Pelatihan internal audit memberikan panduan tentang proses audit internal, peran auditor, dan persyaratan audit sesuai ISO 19011 dan ISO 27001. Pelatihan ini membantu peserta memahami dan melaksanakan perencanaan, pelaksanaan, dan pelaporan audit."
2. TUJUAN TRAINING
Membantu peserta untuk mampu :
Memahami
Tujuan dan proses audit
Peran dan tanggung jawab auditor
Persyaratan minimum kegiatan audit
Melakukan
Perencanaan audit
Pembuatan ceklist audit, pelaksanaan audit, pelaporan hasil audit
Identifikasi tindakan koreksi dan verifikasi
3. OVERVIEW ISO 27001:2013
Control Domains of ISO 27001:2013
Annex A:
Kontrol keamanan
informasi yang diperlukan
oleh organisasi untuk
mengendalikan risiko
keamanan informasi yang
relevan. Terdiri dari 14
Domain / Area Kontrol, 35
Control Objectives dan 114
Kontrol Keamanan informasi
4. PENGERTIAN AUDIT
Proses sistematik, independen dan
terdokumentasi untuk mendapatkan bukti
Audit dan mengevaluasi secara objektif
untuk memastikan kriteria audit dipenuhi.
AUDIT
AUDIT
Catatan, pernyataan fakta atau informasi lainnya,
yang relevan dengan kriteria audit dan dapat
diverifikasi
Bukti
Audit
Seperangkat kebijakan, prosedur atau persyaratan
Kriteria
Audit
5. ISTILAH & DEFINISI
AUDIT
AUDIT :
Systematic , independent and documented process for obtaining audit evidence and evaluating it
objectively to determine the extent to which audit criteria are fulfilled
AUDIT CRITERIA :
Set of policies , procedures or requirements against which collected audit evidence is compared
AUDIT EVIDENCE :
Records , statements of fact or other information , which are relevant to audit and verifiable.
AUDIT FINDINGS :
Results of the evaluation of the collected audit evidence against audit criteria
AUDIT CONCLUSIONS :
Outcome of an audit , provided by the audit team after consideration of all the audit objectives
and all audit findings
AUDIT CLIENT :
Organization or person requesting an audit
6. ISTILAH & DEFINISI
AUDIT
AUDITEE :
Organization being audited
AUDITOR :
Person with the competence to conduct an audit.
AUDIT TEAM :
One or more auditors conducting an audit , supported if needed by technical experts
AUDIT PROGRAMME :
Set of one or more audits planned for a specific time frame and directed towards a specific
purpose.
AUDIT PLAN :
Description of the activities and arrangement for an audit.
AUDIT SCOPE :
Extent and boundaries of an audit
7. PRINSIP AUDIT
Integrity
The foundation of Professionalism
• Honesty
• Responsibility
• Observe and comply with any applicable
regulation
• Demonstrate their competence while performing
their work
Fair Presentation
The obligation to report truthfully and
accurately
• Audit finding
• Audit conclusion
• Audit report
(including if any dispute and obstacle
during the audit process)
Due Professional Care
The Application of Diligence and
Judgement in Auditing
• The importance of the task
• Having the ability to make reasonedjudgements
in all audit situation
Independence
The basis for impartiality of the audit and
objectivity of the audit conclusion
• independent of the activity being audited
• Free from bias and conflict of interest
• Maintain the objective state of mind
Evidence-Based Approach
The rational method for reaching reliable and
reproducible audit conclusions in a systematic
audit process
• Audit Evidence is Verifiable
• Base on samples of information
• Audit conclusion related to the appropriate use of
sampling
Confidentiality
Security of information
- Protection information
- Proper handling of sensitive or confidential
information
PRINSIP AUDIT
8. TIM AUDIT
INTERNAL AUDIT COORDINATOR
Perencanaan
• Mempersiapkan program dan jadwal audit
• Memberitahukan dan mengkonfirmasikan jadwal
tersebut pada auditee
• Memastikan bahwa persiapan yang cukup telah
dilakukan sebelum kegiatan audit dimulai
Pengorganisasian
• Menentukan lamanya kegiatan audit dan jumlah
anggota tim sesuai dengan program audit
• Menyeleksi auditor yang kompeten untuk fungsi
yang akan diaudit
• Memastikan bahwa tim audit telah siap sesuai
dengan jadwal
Pengendalian
• Mengadakan rapat pembuka dan penutup
• Memecahkan masalah yang dihadapi dalam
pelaksanaan audit
• Menarik kesimpulan yang tepat dari hasil kegiatan
audit
INTERNAL AUDIT TEAM MEMBER
• Menentukan aspek yang diverifikasi pada bagian
yang diaudit
• Mempersiapkan ceklis audit
• Memeriksa kesesuaian dokumentasi dengan
persyaratan
• Memeriksa pelaksanaan dengan dokumentasi
• Mengumpulkan dan mendokumentasikan bukti-
bukti obyektif
• Mencatat dengan tepat dan melaporkan dengan
jelas penemuan-penemuan audit
• Memberitahukan Koordinator AI hal-hal yang
dapat menghalangi keberhasilan kegiatan audit
• Memverifikasi tindakan koreksi
IA
Coordinator
IA Team Member
IA Team Member
IA Team Member
IA Team Member
9. PERSONAL ATRIBUT & KUALIFIKASI AUDITOR
19
Systematic
Tidak berbelit-belit
Fleksibel
Jeli
Tidak cepat puas
Percaya diri
Adil
Tegas
Pemikiran Terbuka
Lekas Mengerti
Etika
Diplomatis
Dapat mengambil Keputusan
Obyektif
Ramah
Pendidikan / Education
Pengalaman Kerja
Training
Pengalaman Audit
Independen
Kemampuan untuk memahami aktifitas – aktifitas
PERSONAL ATRIBUT
KUALIFIKASI AUDITOR
10. AKTIVITAS AUDIT
Inisiasi Audit:
Audit team leader
Tujuan, scope, kriteria
Feasibility
Audit team
Initial contact
Persiapan onsite audit :
Audit plan
Tim assignment
Dokumen Kerja
Document Review
Proses audit:
Communication
UTJ Guide & Observer
Collecting & Verifying
information
Audit finding
Persiapan kesimpulan
audit
Opening Meeting
Closing Meeting
Laporan audit
Distribusi laporan audit
Completing the Audit
Follow up Audit
Pra - Audit On site - Audit Post - Audit
13. PHASE 1 – PERSIAPAN AUDIT
TUJUAN, LINGKUP, KRITERIA AUDIT
• sesuai dengan penyusunan program audit
• merupakan sesuatu yang TERDOKUMENTASI
• kriteria :
- Kebijakan dan Prosedur
- Standar
- Regulasi
- Persyaratan sistem manajemen
- Persyaratan kontrak
Tujuan :
Ditetapkan oleh “ audit client”
Scope dan Kriteria :
Ditetapkan bersama antara “audit client” dan “Audit team leader”
14. PHASE 1 – PERSIAPAN AUDIT
PROGRAM AUDIT
Dept/Area Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec
Top Manajemen
QMR
IT
HRD
Umum (GA)
DRC
Layanan Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec
SAP
Aplikasi BPM
Data Center / hosting
Email
Jaringan
Manajemen Suplier
JADWAL AUDIT
atau
Tanggal Waktu Dept Auditor Referensi
5-Jan 10.00 – 10.30 Top Manajemen Bp. Jono (HRD) klausul 4; 5; 7;
5-Jan 10.30 – 12.00 MR
Bp. Sutresno
(GA)
klausul 4.2.2; 4.2.3; 4.2.4; 8.2.1; 8.2.2;
8.2.1; 8.2.2.
SOP Pengendalian Dokumen,
Pengendalian Records, Internal Audit,
Manajemen Review
Istirahat 12.00 – 13.00 --- --- ---
5-Jan 13.00 – 15.00 IT Ibu Kurnia (GA)
klausul A.10; A.11; A.12,
SOP Operasional TI
5-Jan 15.00 – 16.00 HRD
Bp. Hendrawan
(IT)
klausul A.8.1; A.8.2; A.8.3
SOP Rekruitmen dan Pelatihan
5-Jan 16.00 – 17.00 GA
Bp. Ahmad
(HRD)
klausul A.9
SOP Pemeliharaan
Perhatikan
Independen Auditor
Jam kerja
Lokasi
Jumlah personil
Kerumitan proses
Performa proses
Referensi terkait
Efisiensi waktu audit
15. PHASE 1 – PERSIAPAN AUDIT
CEKLIST AUDIT
Membantu auditor mengingat apa yang harus diperiksa
Membantu pengaturan waktu dan struktur wawancara
Membantu dalam memastikan cakupan ruang lingkup
Lebih profesional
Fahami proses, alur kerja, prosedur terkait
Fahami klausul ISO terkait
Kembangkan, apa yang mungkin salah dari proses
Apa bukti yang harus ada
Cek list yang singkat dan mencakup proses terkait
16. PHASE 1 – PERSIAPAN AUDIT
PERALATAN AUDIT
35
• Rencana audit (agenda), audit checklist, standard terkait
• Clipboard (papan tulis kecil) jika diperlukan
• Kertas untuk mencatat, pensil/ballpoint
• Form Report audit
• Jam Tangan
• Pakaian sesuai kondisi lapangan
• Perlengkapan pengaman dan alat bantu lainnya
sesuai dengan persyaratan area atau proses
yang akan di Audit
18. PHASE 2 – PELAKSANAAN AUDIT
OPENING MEETING
1. Perkenalan anggota tim
2. Tujuan, Scope dan kriteria yang digunakan
3. Audit time table
4. Metode dan prosedur pelaksanaan audit
5. Konfirmasi jalur komunikasi formal dengan auditee
6. Konfirmasi bahasa yang digunakan
7. Auditee akan menerima progress audit
8. Konfirmasi ketersediaan fasilitas
9. Kerahasiaan
10. Work safety, emergency and security procedure
11. Guide
12. Laporan audit
19. PHASE 2 – PELAKSANAAN AUDIT
METODE PENGUMPULAN INFORMASI
Wawancara
Telaah Dokumen
Pemeriksaan Lapangan
• Harus sesuai dengan jadwal audit
• Pertanyaan yang dilakukan secara
terbuka dan faktual (tertutup)
• Verifikasi jawaban saat melakukan
observasi lapangan
• Ikuti checklist audit
20. PHASE 2 – PELAKSANAAN AUDIT
AUDIT
• Memasuki area dan paparan mengenai lingkup
tersebut
• Perhatikan alur wawancara
• Jelaskan apa yang ingin anda ketahui
• Jangan terlalu kaku dalam mengikuti checklist
• Perhatikan jawaban
• sampel untuk bukti obyektif (random)
• Catat hasil pada checklist (sesuai / tidak sesuai)
• Tentukan lingkup masalah (minor / major)
• Pertimbangkan dampak terhadap keamanan
informasi / layanan TI sebelum penyelidikan lebih
lanjut
• Tuntaskan penyelidikan sebelum melangkah ke
hal baru
21. PHASE 2 – PELAKSANAAN AUDIT
AUDIT
Bertanya (Tanyakan apa yang dilakukan)
Pertanyaan Terbuka
- Memberikan kesempatan kepada auditee untuk menjelaskan dan membuat auditee
lebih santai
- Kesempatan auditor untuk menanyakan lebih mendalam/detil mengenai topik
tertentu dari keterangan auditee
Pertanyaan Tertutup
Kesempatan bagi auditor dan auditee untuk menyamakan persepsi
Audit Lapangan
Lihat bagaimana auditee melakukannya
Periksa (Kesesuaian dengan apa yang diharuskan prosedur)
INGAT:
Prinsip audit adalah mencari kesesuaian, bukan mencari ketidaksesuaian
Dalam mencari kesesuaian, mungkin menemukan ketidaksesuaian.
22. PHASE 2 – PELAKSANAAN AUDIT
TEKNIK WAWANCARA
Bersikap sopan, bersahabat, netral/tidak berpihak dan objektif
Mendengarkan dan menunjukan perhatian dengan sekali kali
memberi tanggapan singkat
Secara periodik memberikan ringkasan pembicaraan untuk menguji
pemahaman kebenaran pemahaman auditor atas topik diskusi
Hanya mencatat butir-butir penting pembicaraan
23. PHASE 2 – PELAKSANAAN AUDIT
TEKNIK WAWANCARA
Membuat perumpamaan (asumsi)
Terlibat membicarakan staf lain atau isu politik
Mendesak auditee untuk menjawab atau mendesak mendapatkan
informasi diluar kewenangan auditee
Menggunakan humor yang berlebihan
Terlalu banyak mencatat dan menggunakan perekam
Auditee mengendalikan jalannya wawancara
Melebihi batas waktu yang disepakati
24. PHASE 2 – PELAKSANAAN AUDIT
TEKNIK WAWANCARA
Mendebat dan beradu argumentasi
Mengintimidasi dan membuat auditee merasa bersalah
Memberikan penilaian, opini dan pandangan pribadi atas pertanyaan
auditee
Mengajukan pertanyaan yang kompleks dan rumit
Bertanya dengan pertanyaan tertutup
Melakukan interupsi saat auditee berbicara
Memberikan harapan dan menjanjikan sesuatu
25. PHASE 2 – PELAKSANAAN AUDIT
TEKNIK WAWANCARA
Mengharapkan auditee memberikan lebih banyak penjelasan
Menginginkan pandangan auditee atas sesuatu hal
6W’s + 1 H
What, which, why, when, where, who, how
Jangan menaruh harapan atas pertanyaan yang akan dijawab auditee
Contoh
Dapatkah anda menunjukan …….pada saya
bagaimana pendapat anda tentang………
PERTANYAAN TERBUKA
26. PHASE 2 – PELAKSANAAN AUDIT
TEKNIK WAWANCARA
Dapat dijawab dengan “ya” atau “tidak” atau jawaban singkat lainnya
Sangat membantu jika yang diinginkan adalah informasi yang sangat
spesifik
Dapat menjadi masalah dan membuat “jeda” wawancara
Contoh :
Apakah ada otorisasi terhadap penggunaan aset?
Apakah ada monitoring proses pada layanan?
Apakah anda mempunyai copy dokumen kebijakan lingkungan
perusahaan ?
PERTANYAAN TERTUTUP
27. PHASE 2 – PELAKSANAAN AUDIT
AUDIT LAPANGAN
u Lakukan audit dengan mengikuti alur proses
Cermati aspek-aspek kerja yang berpengaruh terhadap input, proses dan output
u INGAT …. Prinsip SHOW ME !
u Cek dokumen, record, data di komputer, dll
u Pastikan pernyataan auditee dicek kembali dengan dokumen pendukung, seperti
pernyataan dari personil lain dengan otoritas yang khusus, bukti record, dll
u Periksa efektifitas pengendalian yang ada
PROSES
INPUT OUTPUT
LAKUKAN SAMPLING
28. PHASE 2 – PELAKSANAAN AUDIT
AUDIT & KONFIRMASI TEMUAN
Perhatikan komunikasi lisan dan non
lisan
Hindari Konflik
Waspadai trik auditee (absen, mengulur
waktu, dll)
Buat suasana lebih santai (posisi duduk,
senyum, pujian, sedikit humor)
Hindari cara bertanya seperti interogasi
Selalu objektif, tenang dan bersahabat
Bicara dengan suara yang jelas
Ingat nama auditee
Dengar minimum 75% dari waktu audit
Hindari pengajuan lebih dari satu
pertanyaan pada saat yang sama dan
pertanyaan menjebak / mengarahkan
Auditor harus memilih sample sendiri
Konfirmasikan temuan kepada auditee
SIMPULKAN PENYELIDIKAN HASIL AUDIT
BERDASARKAN FAKTA DAN BUKTI AUDIT,
BUKAN BERDASARKAN ASUMSI ATAU GOSIP
29. PHASE 2 – PELAKSANAAN AUDIT
AUDIT TIM MEETING
Jika kegiatan audit telah selesai, tim audit harus mengadakan peninjauan tersendiri atas
penemuan-penemuan tersebut
Diketuai oleh koordinator AI
Perbaiki jadwal jika perlu
Meninjau bukti, observasi dan perbedaan
Menilai seberapa serius ketidaksesuaian yang ditemukan
Masalah-masalah apa saja yang dihadapi selama audit
Menentukan kegiatan penyelidikan lebih lanjut pada tanggal berikutnya
Tindakan lanjut :
– memperbaiki jadwal audit untuk hari berikutnya
– memperbaiki dan/atau menperbaharui daftar periksa
31. PHASE 3 – PELAPORAN AUDIT
Untuk menentukan derajat pemenuhan sistem manajemen terhadap :
• Persyaratan standar ISO 20000 & 27000
• Peraturan dan persyaratan lain
• Kriteria audit yang ditetapkan dan memastikan tindak lanjut dan berjalannya continual
improvement
EVALUASI HASIL AUDIT
KETIDAKSESUAIAN
Penyimpangan melalui bukti objektif
atas kriteria audit yang ditetapkan
Auditor harus menginvestigasi untuk
menentukan secara tepat kriteria audit
yang dilanggar dan menetapkan
rekomendasi tindakan perbaikan
32. PHASE 3 – PELAPORAN AUDIT
Ketidaksesuaian
fakta yang didukung oleh bukti objektif
yang membuktikan kegagalan dalam
memenuhi persyaratan standar.
KLASIFIKASI TEMUAN
Observasi / Rekomendasi
fakta yang ditunjang oleh bukti objektif
yang tidak membuktikan kegagalan
dalam pemenuhan persyaratan
standar, namun mengurangi
keefektifan sistem mutu.
Ketidaksesuaian minor
Kegagalan dalam memenuhi satu
persyaratan dari satu sub pasal ISO
atau dokumen referensi lainnya
ATAU
Kegagalan dalam memenuhi satu
persyaratan dari prosedur perusahaan
Ketidaksesuaian Mayor
Ketiadaan, maupun kegagalan, sebuah
proses dalam memenuhi persyaratan
yang ada pada klausul ISO dimana
mengakibatkan/ berpotensi KEGAGALAN
yang signifikan bagi proses
ATAU
Sejumlah minor NC terhadap satu sub-
klausul pada ISO yang secara bersama-
sama akan mengurangikeefektifan
sebuah proses
33. PHASE 3 – PELAPORAN AUDIT
NON CONFIRMITY REPORT
Setiap pernyataan ketidaksesuaian JELAS sehingga tindakan perbaikan dan
pencegahan dari auditee akan tepat. Temuan harus menyatakan 4 hal:
Penemuan
Lokasi
Bukti objektif
Persyaratan
Pengaruh ketidaksesuaian bagi proses ITSM / ISMS (Finding Effect) (jika perlu)
(Problem)
(Location)
(Objective Evidence)
(References)
P L O R
34. PHASE 3 – PELAPORAN AUDIT
NON CONFORMITY REPORT
Contoh Kasus:
Audit Administrator sistem (tgl. 18 April 2011)
• Berdasarkan pengamatan kepada sistem terdapat 4 dari seluruh
user yang sudah tidak bekerja lagi di perusahaan terlihat bahwa
user ID ke sistem tersebut masih aktif dan tidak pernah dievaluasi
statusnya.
• SOP Pengelolaan Hak Akses (SOP-TI-01, bab 2.2),
mempersyaratkan bahwa user ID harus dievaluasi secara berkala (6
bulan) dan bagi setiap pegawai yang telah keluar, user ID pegawai
tersebut harus langsung dinonaktifkan.
35. IRCA QUALITY AUDITS Incident Number …....................
NONCONFORMITY REPORT
Company under Audit: XYZ plc Note Number .............................
Area under review: ISO Clause Number
………………………………………. ……………………………………
Category MAJOR* MINOR* * delete one
Deficiency
Auditor
Di sistem SAP, ditemukan 4 pegawai yang
telah keluar masih memiliki user ID yang
masih aktif.
Hal ini tidak sesuai dengan persyaratan yang
diminta dalam SOP Pengelolaan Hak Akses
(SOP-TI-01, bab 2.2), yang menyebutkan
bahwa user ID harus dievaluasi secara
berkala (6 bulan) dan bagi setiap pegawai
yang telah keluar, user ID pegawai tersebut
harus langsung dinonaktifkan
Aplikasi SAP A.11.2.4
A. U. Ditor
Problem
Lokasi
Objek
Referensi
PHASE 3 – PELAPORAN AUDIT
NON CONFORMITY REPORT
36. PHASE 3 – PELAPORAN AUDIT
BAD WRITING NCR
Regarding the ISMS documentation, it’s observed that
company has risk assessment methodology.
No evidence of risk assessment report as a result of risk
management process was available.
38. PHASE 3 – PELAPORAN AUDIT
TUJUAN DAN MANFAAT LAPORAN AUDIT
Memberikan informasi proses dan hasil audit kepada manajemen
Mendokumentasikan pelaksanaan audit dan temuan audit
Dasar penyusunan tindakan perbaikan
Dasar evaluasi manajemen untuk memperbaiki sistem manajemen
39. PHASE 3 – PELAPORAN AUDIT
ISI LAPORAN AUDIT
• Identitas klien / auditee
• Tujuan, lingkup dan rencana audit
• Kriteria audit
• Jangka waktu audit dan tanggal pelaksanaan audit
• Identitas anggota tim audit
• Identitas staff/personil auditee yang terlibat dalam audit
• Ringkasan jalannya audit serta kendala yang dihadapi
• Temuan audit
• Kesimpulan audit
• Daftar penerima laporan audit
40. PHASE 3 – PELAPORAN AUDIT
PERSETUJUAN DAN DISTRIBUSI LAPORAN AUDIT
• Disampaikan sesuai dengan waktu yang disetujui
• Apabila ada penundaan perlu disampaikan ke “Audit client”
• Harus di beri tanggal, diperiksa dan disetujui sesuai prosedur
• Disampaikan ke penerima yang ditetapkan oleh “Audit client”
• Merupakan property dari “audit client”
• Kerahasiaan perlu dijaga oleh tim audit dan penerima
COMPLETING THE AUDIT
• Audit dikatakan komplit bila seluruh audit plan sudah di penuhi dan laporan audit sudah
didistribusikan
• Catatan terkait dengan proses audit dapat disimpan atau dimusnahkan tergantung
kepada prosedur ataupun agreement yang dibuat
42. PHASE 4 – TINDAK LANJUT AUDIT
IDENTIFIKASI PENYEBAB & TINDAKAN
PERBAIKAN / PENCEGAHAN DAN
IMPLEMENTASI SERTA VERIFIKASI
1. Pelajari hasil audit
2. Tentukan tindakan perbaikan langsung
3. Identifikasi masalah yang memerlukan tindakan
pencegahan - koordinasi dengan Wakil
Manajemen (bila perlu)
4. Mengumpulkan masukan mengenai
kemungkinan penyebab
5. Mengumpulkan dan menganalisa data
6. Menentukan tindakan koreksi (yang mencegah
terulangnya kembali masalah
7. Melaksanakan tindakan koreksi - tepat waktu
8. Mengawasi hasil
9. Bila tidak efektif, ulang mulai #4
10. Melaporkan hasil