3. ISO-14010
ISO-14011
ISO-14012
ISO 10011-1, 2, 3
ISO-19011:2002
(SNI 19-19011-2005)
AUDIT
LINGKUNGAN
AUDIT
MUTU
AUDIT
MUTU DAN
LINGKUNGAN
Guidelines on Quality
and/or Environmental
Management System
Auditing
AmbikA
4. SNI-19-19011-2005
(ISO 19011: 2002)
Guidelines on Quality and/or
Environmental Management System
Auditing
SNI-19-19011-2009
(ISO 19011: 2008)
SNI ISO 19011:2012
(ISO 19011: 2011)
ISO 19011: 2018 Guidelines of Management System
Auditing
Guidelines on Quality and/or
Environmental Management System
Auditing
Guidelines of Management System
Auditing
AmbikA
6. A
AmbikA 6
Penambahan pendekatan berbasis risiko dalam
prinsip audit;
Perluasan panduan mengelola program audit,
termasuk risiko program audit;
Perluasan panduan melaksanakan audit,
khususnya bagian perencanaan audit;
Perluasan persyaratan kompetensi umum
Auditor;
Penyesuaian terminologi untuk mencerminkan
pendekatan ‘proses’ dan bukan objek (hal);
Penghapusan Annex A yg mengandung
persyaratan kompetensi utk audit disiplin
sistem manajemen yg menjenis (spesifik)
Perluasan Annex B (sekarang mjd Annex A) utk
memberikan panduan tentang konsep audit
(baru) seperti konteks organisasi,
kepemimpinan dan komitmen, audit virtual,
ketaatan dan rantai pasok.
7. AmbikA
1 • Ruang Lingkup
2 • Acuan Normatif
3 • Istilah dan Definisi
4 • Prinsip Audit
5 • Pengelolaan Program Audit
6 • Pelaksanaan Audit
7 • Kompetensi dan Evaluasi Auditor
11. 1. Penerapan metode audit
2. Pendekatan proses audit
3. Justifikasi professional
4. Hasil audit
5. Memverifikasi informasi
6. Pencuplikan conto
7. Audit ketaatan dalam SM
8. Audit kontek
9. Audit kepemimpinan &
komitmen
10. Audit risiko & peluang
11. Daur hidup
12. Audit rantai pasok
13. Mempersiapkan dokumen
kerja audit
14. Memilih sumber informasi
15. Mengunjungi lokasi auditee
16. Audit kegiatan & lokasi
virtual
17. Melaksanakan wawancara
18. Temuan audit
11
13. b
A
AmbikA
1st party audit 2nd party audit 3rd party audit
Internal audit External provider audit Certification and/or
accreditation audit
Other external interested
party audit
Statutory, regulatory and
similar audit
13
14. Proses yang ’sistematik, mandiri, dan
terdokumentasi’ untuk
mendapatkan ’bukti audit’, dan
mengevaluasinya secara ‘objektif’ untuk
menentukan sejauh mana ’kriteria audit’
dipenuhi
AmbikA
16. 16
Sistem Manajemen
•Serangkaian elemen yg saling
terkait & berinteraksi dari
organisasi utk menetapkan
kebijakan & sasaran serta proses
utk mencapai sasaran
AmbikA
17. Bukti Audit (audit evidence)
• Rekaman, pernyataan fakta atau informasi
lain yg relevan dgn kriteria audit & dapat
diverifikasi
Bukti Objektif (objective evidence)
• Data yg mendukung keberadaan atau
kebenaran sesuatu
AmbikA
18. AmbikA 18
Persyaratan
• Kebutuhan & harapan yg dinyatakan, umumnya kewajiban
Proses
• Serangkaian kegiatan yg saling berkaitan atau berinteraksi yg
menggunakan masukan utk memberikan hasil yg diinginkan
Kinerja
• Hasil yg terukur
Efektifitas
• Sejauh mana kegiatan yg direncanakan direalisasikan dan hasil
yang direncanakan tercapai
19. Audit Kombinasi (combined audit)
• Audit yg dilaksanakan bersama terhadap satu
Auditi untuk dua atau lebih sistem manajemen
• Catatan: Berbeda dgn IMS Audit (lihat Ref. IAF MD-11:2013)
Audit Bersama (joint audit)
• Audit yg dilaksanakan terhadap satu Auditi
oleh dua atau lebih organisasi/pihak
pelaksana Audit
AmbikA
22. •Dasar profesionalisme (jujur, bertanggungjawab, tidak berpihak, unbias,
sensitive thp pengaruh, bdsr kompetensi)
Integritas
•Memaparkan kebenaran & akurat hasil audit. Komunikasi dilakukan dgn
jujur, akurat, objektif, tepat waktu, jelas, lengkap.
Pemaparan dgn Adil
•Berhati-hati dalam menjalankan audit dan menjaga kepercayaan yg
diberikan Klien/Pihak lain. Berkemampuan dalam memberikan alasan
dalam penilaian audit pada semua situasi audit yg dihadapi
Due Profesional Care
•Menerapakan kebijakan dalam menggunakan & melindungi informasi yg
diperoleh dari Auditi
Kerahasiaan
•Tidak berpihak dan objektif , serta bebas dari bias dan konflik kepentingan
Mandiri
• Metode yg rasional utk mencapai kesimpulan audit yg handal & dan dapat di-ulang dgn
proses audit yg sistematis
• Bukti audit harus dapat diverifikasi, menggunakan metode sampling yg tepat, dan
mengambil sampel informasi yg sesuai
Berlandaskan Bukti
•Utk memastikan audit difokuskan pada hal2 yg signifikan bagi Klien & utk
mencapai tujuan program audit
Berlandaskan Risiko
AmbikA 22
23. The application of “the risk-based approach” can
serve as a tool for risk prevention, and optimization
of the efficiency and effectiveness of the audit
process and its outcome(s).
AmbikA 23
25. AmbikA 25
1. General
2. Establishing audit programme objectives
3. Determining and evaluating audit programme risks and opportunitie
4. Establishing the audit programme
1. Roles and responsibilities of the individual(s) managing the audit programme..
2. Competence of individual(s) managing audit programme
3. Establishing extent of audit programme
4. Determining audit programme resources
5. Implementing audit programme
1. General
2. Defining the objectives, scope and criteria for an individual audit
3. Selecting and determining audit methods
4. Selecting audit team members
5. Assigning responsibility for an individual audit to the audit team leader
6. Managing audit programme results
7. Managing and maintaining audit programme records
6. Monitoring audit programme
7. Reviewing and improving audit programme
26. adalah pengaturan satu atau lebih audit yg
direncanakan dalam suatu ‘kerangka waktu
tertentu’, & mengarah pd suatu ‘tujuan
tertentu’
Program audit sebaiknya mencakup informasi
& identifikasi sumberdaya utk melaksanakan
audit dgn efektif & efisien dalam kerangka
waktu yg ditetapkan.
AmbikA
27. Informasi program audit sebaiknya mencakup :
Tujuan program audit
Risiko & peluang yg terkait program audit & tindakan utk
menanganinya
Lingkup (keluasan, batasan, lokasi) utk setiap audit dalam program
audit
Jadual (jumlah/durasi/frekuensi) setiap audit
Tipe audit, seperti audit internal atau eksternal
Kriteria audit
Metode audit
Kriteria memilih anggota tim
Informasi terdokumentasi yg relevan
AmbikA
28. RISIKO terkait Program Audit
Perencanaan,
Sumberdaya,
Pemilihan Tim Audit
Komunikasi,
Penerapan
Pengendalian informasi terdokumentasi
Pemantauan, tinjauan, dan peningkatan program audit
Ketersediaan & kerjasama Auditi & ketersediaan bukti yg
dicuplik
AmbikA 28
29. PELUANG terkait Program Audit
Memungkinkan audit multiple dilaksanakan pd
kunjungan tunggal;
Meminimisasi waktu & jarak perjalanan ke tapak;
Mencocokkan tingkat kompetensi tim audit dgn
tingkat kompetensi yg dibutuhkan utk mencapai
tujuan audit;
Menyelaraskan waktu audit dgn ketersediaan staf
kunci Auditi.
AmbikA 29
30. Memiliki pengetahuan tentang:
Prinsip audit, metode, dan proses
Standar SM & standar lain
Informasi Auditi dan konteks-nya (isu internal/eksternal,
pihak berkepentingan, & kebutuhan & harapan, kegiatan
bisnis, produk, jasa, dan proses auditi);
Persyaratan peraturan & persyaratan lain yg terkait dgn
kegiatan bisnis Auditi
AmbikA
31. Tujuan audit dapat mencakup:
Menentukan kesesuaian SM yg diaudit atau bagian SM, terhadap
kriteria audit
Mengevaluasi kapabilitas SM utk membantu organisasi dalam
memenuhi persyaratan hukum & persyaratan lain yg menjadi
komitmen organisasi
Mengevaluasi efektifitas SM dalam memenuhi hasil yg
diharapkan
Mengidentifikasi peluang potensi peningkatan SM
Mengevaluasi kesesuaian & kecukupan SM terhadap arahan
konteks & strategi dari Auditi
Mengevaluasi kapabilitas SM dalam menetapkan & mencapai
tujuan & menangani dgn efektif risiko & peluang pada
perubahan konteks, termasuk penerapapan dari tindakan terkait
AmbikA 31
33. Metode pelaksanaan audit dapat dilakukan
On-site
Remote
Kombinasi
sebaiknya berkeseimbangan, berdasarkan
pertimbangan risiko & peluang yg terkait
Bila joint-audit, pengelola program audit sebaiknya
menyepakati metode audit
AmbikA 33
34. Utk memastikan keseluruhan kompetensi tim audit, sebaiknya
dilaksanakan:
Identifikasi kompetensi yg dibutuhkan utk mencapai tujuan audit
Memilih anggota tim audit yg memenuhi kebutuhan kompetensi tim audit
Ukuran & komposisi tim audit, mempertimbangkan:
Kompetensi keseluruhan tim audit yg dibutuhkan utk mencapai tujuan audit,
dgn mempertimbangkan lingkup & kriteria audit
Kompleksitas audit
Jenis audit, apakah audit gabungan atau audit bersama
Metode audit yg digunakan
Memastikan objektifitas dan ketidakberpihakan utk menghindari konflik
kepentingan apapun dalam proses audit
Kemampuan anggota tim audit bekerja & berinteraksi efektif dgn wakil Auditi
dan pihak berkepentingan
Isu internal/eksternal, seperti bahasa, sosial, dan budaya
Tipe & kompleksitas dari proses yg diaudit.
AmbikA 34
35. Pengelola progam audit sebaiknya memberikan
tanggungjawab pelaksanaan audit kpd KTA dalam
waktu yg cukup utk memastikan KTA dapat menyusun
rencana audit yg efektif
Informasi berikut sebaiknya diberikan kpd KTA
Tujuan audit, lingkup, dan kriteria audit (termasuk identifikasi organisasi & fungsi
serta proses yg akan diaudit)
Proses audit & metode audit terkait
Komposisi tim audit
Kontak Auditi, lokasi, kerangka waktu, dan durasi waktu dari kegiatan audit yg
dilaksanakan
Sumberdaya yg diperlukan utk pelaksanaan audit
Informasi yg dibutuhkan utk mengevaluasi dan menangani risiko & peluang
dalam mencapai tujuan audit
Informasi yg mendukung KTA dalam berinteraksi dgn Auditi utk efektifitas
AmbikA
program audit 35
36. Pengelola program audit sebaiknya memastikan kegiatan
berikut dilaksanakan:
Evaluasi pencapaian tujuan dari setiap audit
Tinjauan & persertujuan laporan audit terkait pemenuhan tujuan & lingkup
audit
Tinjauan efektifitas tindakan yg dilakukan dalam menangani temuan audit
Distribusi laporan audit kpd pihak berkepentingan
Penetapan perlunya dilakukan tindak-lanjut audit
Pengelola progam audit sebaiknya mempertimbangkan (bila
sesuai) :
Mengomunikasikan hasil audit & praktik terbaik kpd bidang lain
dari organisasi
Implikasi terhadap proses lainnya
AmbikA 36
37. Rekaman audit sebaiknya dipastikan dikelola &
dipelihara utk memeragakan penerapan program
audit
Sebaiknya tersedia proses utk memastikan
keamanan & kerahasiaan informasi terkait
rekaman audit
AmbikA 37
38. Evaluasi Program Audit dilakukan utk memastikan :
Apakah jadual audit telah dilaksanakan, dan tujuan
program audit telah tercapai ?
Kinerja anggota tim audit termasuk KTA & tenaga ahli
Kemapuan tim audit menerapkan rencana audit
Umpan balik dari Klien, Auditi, tenaga ahli, & pihak
berkepentingan
Kecukupan informasi terdokumentasi dalam proses
audit keseluruhan
AmbikA 38
39.
40. ISO/IEC 17021-1:2015
Klausal 9. Persyaratan Proses
(9.1. sd 9.4)
ISO/IEC 19011:2018
Klausal 6. Pelaksanaa Audit
Annex A. Panduan Tambahan
Pelaksanaan Audit
“Shall”
+
“Should”
AmbikA 40
43. Evaluasi Bukti Temuan Audit Kesimpulan Rekomendasi
Opening
Meeting
Verifikasi
Fakta/Bukti
Sampling Diskusi Tim
Closing
Meeting
Draft Audit Plan Evaluasi di Klien Persetujuan Audit Plan
Pre-Visit Diskusi Auditi Data Collecting Diskusi Klien
44. AmbikA
• Membangun pemahaman dasar
• Merancang & mempersiapkan pelaksanaan audit
lapangan agar efektif & efisien
• Mengidentifikasi & mempersiapkan unsur logistik
& pendukung pelaksanaan audit lapangan
44
45. AmbikA
• Kontak awal dgn auditi
• Penentuan kelayakan audit
Memulai
Audit
• tinjauan awal informasi
terdokumentasi
Persiapan
Audit
• Pendekatan berlandaskan risiko utk audit
• rencana audit
• Penugasan tim audit
• Persiapan informasi terdokumentasi
audit
Perencanaan
Audit
46. Perencanaan audit mempertimbangkan risiko dari kegiatan audit
pd proses Auditi dan memberikan dasar utk perjanjian antara
klien audit, tim audit dan Auditi ttg pelaksanaan audit.
Kerincian rencana audit mencerminkan lingkup & kompleksitas
audit, serta risiko tidak tercapainya tujuan audit.
Dalam merencanakan audit, KTA sebaiknya
mempertimbangkan hal-hal berikut:
a) komposisi tim audit & kompetensi tim keseluruhan;
b) teknik sampling yg tepat (lihat A.6);
c) peluang utk meningkatkan efektifitas & efisiensi kegiatan audit;
d) risiko mencapai tujuan audit dari perencanaan audit yg tidak efektif;
e) risiko thp Auditi dari pelaksanaan audit
AmbikA 46
47. Risiko thp Auditi dapat terjadi dari kehadiran anggota
tim audit yg berpengaruh negatif pd pengaturan Auditi
ttg K3, lingkungan, mutu, dan produk, serta jasa
misal: kontaminasi pada fasilitas ruangan yg bersih
Untuk “audit kombinasi”, perhatian khusus diberikan pd
interaksi antara proses operasional dan persaingan
setiap tujuan & prioritas dari SM yg berbeda
AmbikA 47
48. AUDITI
• kehadiran anggota tim
audit yg berpengaruh
negatif pd pengaturan
Auditi ttg K3,
lingkungan, mutu, dan
produk, serta jasa
TIM
AUDIT
• risiko tidak
tercapainya tujuan
audit
PENDEKATAN
RISIKO
AmbikA 48
50. Skala dan isi dari rencana audit dapat berbeda,
misalnya, antara audit awal, survailen, audit ulang,
serta antara audit internal & eksternal.
Perencanaan audit harus cukup “fleksibel” untuk
memungkinkan perubahan yg dapat menjadi penting
saat kegiatan audit berlangsung.
Cross Ref: ISO/IEC 17021-1:2015 Cl.9.2
AmbikA
51. Mencakup:
Tujuan audit
Lingkup & kriteria audit
Jadual audit (lokasi, tanggal, waktu & durasi
audit)
Metode audit, termasuk pencuplikan conto
Tim Audit & penugasan Tim Audit, termasuk
pemandu & pengamat
Alokasi sumberdaya
AmbikA
52. Apa yg ingin diperoleh dari hasil audit?
Menjadi acuan untuk apa audit dilaksanakan,
Tujuan audit dijawab dalam kesimpulan audit
Ditetapkan oleh CAB
Cl.9.2.1.2. ISO/IEC 17021-1:2015:
Menentukan kesesuaian SM Auditi, atau bagian-bagiannya, dengan
kriteria audit;
Menentukan kemampuan SM utk memastikan Auditi memenuhi
persyaratan yg berlaku, persyaratan hukum, peraturan dan kontrak;
Menentukan keefektifan SM utk memastikan klien dapat secara wajar
mencapai tujuan yg ditentukan;
Identifikasi area utk potensi peningkatan SM
AmbikA
53. AmbikA
Tujuan khusus audit sertifikasi sistem manajemen,
untuk masing2 jenis audit dapat dirujuk pada
ISO/IEC ISO17021-1:2015,
Tujuan Audit Stage-1, Cl.9.3.1.2.2
Tujuan Audit Stage-2, Cl.9.3.1.3
Tujuan Audit Survailen, Cl. 9.6.2.
Tujuan Audit Resertifikasi, Cl.9.6.3.1.
53
54. AmbikA
Rencana audit mencerminkan:
Lingkup dan kompleksitas audit
Pengaruh ketidakpastian dlm mencapai sasaran audit
– Teknik pencuplikan conto audit yg tepat
– Komposisi dan kompetensi tim audit
– Risiko bagi organisasi yg ditimbulkan dr kegiatan audit
55. AmbikA
Penugasan Tim Audit oleh KTA
berdasarkan pendekatan terkait proses, kegiatan, fungsi
dan lokasi.
memperhitungkan kemandirian, objektifitas &
kompetensi masing2 auditor, dan penggunaan
efektif sumberdaya audit.
memperhitungkan peran & tanggungjawab
berbeda dari Auditor, Auditor in-trainee, dan
tenaga ahli
Cross Ref: ISO/IEC 17021-1:2015 Cl.9.2.2
56. AmbikA
Anggota tim audit
Mengumpulkan & mengkaji informasi sesuai penugasan
Mempersiapkan informasi terdokumentasi utk pelaksanaan
audit, menggunakan media yg sesuai, seperti:
– Cheklist fisik atau digital
– Rincian pencuplikan conto audit
– Informasi audio visual
Informasi terdokumentasi tsb harus disimpan sampai
selesainya audit atau sbgmn ditentukan o/ program audit,
dan dijaga keamanannya oleh seluruh anggota tim audit
sesuai ketentuan program audit.
56
57. AmbikA
Sumberdaya audit dialokasikan berdasarkan
pertimbangan ‘risiko & peluang’ terkait kegiatan &
proses yg di audit
59. Identifikasi populasi & besarannya
Kaji karakteristik & faktor pengaruh
Tetapkan metode pencuplikan yg
sesuai, mewakili, & berlandaskan
pendekatan risiko :
Justifikasi
Statistik
• Acak
• Berjenjang
• Blok
• Interval
• Kombinasi
Hindari bias, sedapat mungkin
representatif
60. Pencuplikan conto berdasarkan JUSTIFIKASI
mempertimbangkan:
Pengalaman audit sebelumnya pd lingkup audit yg sama;
Kompleksitas persyaratan (termasuk persyaratan hukum) utk
mencapai sasaran audit;
Kompleksitas & interaksi proses organisasi dan elemen sistem
manajemen;
Derajat perubahan teknologi, faktor manusia atau sistem
manajemen;
Identifikasi area risiko kunci sebelumnya dan area perbaikan;
Hasil pemantauan sistem manajemen.
AmbikA
61. Siapa?
Kemana?
Kapan? (hari & jam)
Melakukan Apa ?
Bertemu Siapa?
AmbikA
66. AmbikA
Tujuan Pertemuan Pembukaan :
Mengkofirmasi kesepakatan Rencana Audit
Memperkenalkan tim audit dan peran masing2
Memastikan seluruh kegiatan audit yg
direncanakan dapat dilaksanakan
Cross Ref: ISO/IEC 17021-1:2015 Cl.9.4.2
67. AmbikA
Dipimpin oleh KTA, dihadiri o/ Manajemen Auditi & Tim Audit
Memperkenalkan anggota tim audit & peran-nya (termasuk bila ada observer
dan pemandu)
Mengkonfirmasikan tujuan, lingkup, kriteria audit
Mengkonfirmasi jadual audit, termasuk waktu pertemuan penutupan
Menjelaskan metode & prosedur audit, serta teknik sampling
Menjelaskan metode audit utk mengelola risiko yg timbul akibat kehadiran tim
audit
Mengkonfirmasi saluran komunikasi
Mengkonfirmasi bahasa yang digunakan selama audit
Mengkonfirmasi bahwa selama audit, auditi akan selalu diberi informasi
Memastikan sumberdaya & fasilitas yg dibutuhkan telah tersedia
Memastikan kerahasiaan dan keamanan informasi
Mengkonfirmasi prosedur K3, kedaruratan, dan keamanan tim audit
Memastikan ketersediaan & peran pemandu (guide), observer, interpreter
Metode pelaporan audit & kategori temuan
Cross Ref: ISO/IEC 17021-1:2015 Cl.9.4.2
68. Sebaiknya dipertimbangkan memaparkan informasi:
Metode pelaporan temuan audit, termasuk kriteria
peringkat temuan
Penjelasan atas dalam kondisi apa pelaksanaan audit dapat
dihentikan
Bagaimana kesepakatan thp kemungkinan temuan selama
audit
Bagaimana sistem umpan balik dari Auditi terhadap temuan
atau kesimpulan audit, termasuk proses penanganan
keluhan dan banding.
AmbikA
69. Komunikasi diantara Tim Audit
– Pertukaran informasi ttg kemajuan proses audit
– Bila ada hal2 penting diluar lingkup audit yg perlu
segera dikomunikasikan kpd Klien & Auditi
Komunikasi KTA dengan Wakil Auditi;
– Bila ada resiko signifikan, Auditi harus segera diberitahu
(tanpa ditunda)
– Kebutuhan u/ perubahan lingkup audit sejalan
perkembangan audit sebaiknya disetujui o/ Klien &
Auditi
AmbikA Cross Ref: ISO/IEC 17021-1:2015 Cl.9.4.3
70. Pemilihan metode audit yg digunakan salah satunya
tergantung pd lokasi audit dilakukan.
Lokasi adalah tempat dimana informasi yg diperlukan
utk kegiatan audit tertentu tersedia untuk Tim Audit,
dapat berupa ’lokasi fisik dan virtual’
Utk audit thp akses informasi audit sangat penting
mengetahui ‘dimana, kapan & bagaimana’ informasi
dapat diakses
Tidak bergantung pada dimana informasi dibuat, digunakan,
dan/atau disimpan
Audit dapat menggunakan metode gabungan
AmbikA 70
72. Informasi terdokumentasi Auditi dikaji untuk:
menetapkan kesesuaian sistem thp kriteria audit,
sepanjang terdokumentasi
mengumpulkan informasi utk mendukung kegiatan audit
bila informasi terdokumentasi tidak dapat tersedia dalam
kerangka waktu yg ditetapkan dalam rencana audit, KTA
menginformasikan hal tsb kpd Auditi Audit
dapat ’diteruskan atau ditunda’ sampai masalah
ketersediaan informasi terdokumentasi terselesaikan
AmbikA 72
73. AmbikA
Informasi yg relevan dgn tujuan, lingkup, & kriteria audit,
termasuk informasi yg berkaitan dgn fungsi, kegiatan, &
proses harus dikumpulkan dgn cara ’pencuplikan conto yg
tepat’ dan harus diverifikasi.
Hanya informasi yg dapat dilakukan beberapa tingkat
verifikasi yg dapat diterima sebagai bukti audit.
Pada tingkat verifikasi yg rendah, auditor harus menggunakan
penilaian profesional utk menentukan tingkat kepercayaan utk
menjadikannya sbg bukti.
Bukti audit yang mengarah pada temuan audit harus direkam.
73
Cross Ref: ISO/IEC 17021-1:2015 Cl.9.4.4
75. Auditor memastikan apakah informasi menyediakan “bukti objektif”
yg cukup utk memeragakan bahwa persyaratan dipenuhi, antara
lain:
– Lengkap (seluruh isi tercakup);
– Benar (isi sesuai dgn sumber lain yg handal, seperti standar dan regulasi);
– Konsisten (konsisten di dalam dokumen itu sendiri dan dengan dokumen
yang terkait);
– Terkini (isi mutakhir).
Integritas bukti harus dinilai JIKA informasi diberikan dgn cara
selain yg diharapkan (mis: individu yang berbeda, media alternatif);
Perhatian khusus diperlukan utk “keamanan informasi” karena
peraturan yg berlaku tentang perlindungan data (khususnya untuk
informasi yg berada di luar lingkup audit, tetapi juga terdapat dalam
dokumen).
AmbikA 75
76. Sumber informasi yg dipilih tergantung pd lingkup & kompleksitas
audit, & dapat mencakup:
a) Wawancara dgn karyawan & individu lain;
b) Observasi kegiatan & lingkungan kerja dan kondisi sekitar;
c) Informasi terdokumentasi, mis: kebijakan, sasaran, rencana, prosedur, standar,
instruksi kerja, izin, spesifikasi, gambar, kontrak, pesanan, dll;
d) Rekaman, mis: rekaman inspeksi, MoM, laporan audit, rekaman program
pemantauan, hasil pengukuran;
e) Ringkasan data, analisis,dan indicator kinerja;
f) Informasi rencana pencuplikan conto auditi dan prosedur pengendalian
pencuplikan dan proses pengukuran;
g) Laporan dari sumber lain, mis: umpan balik pelanggan, survey eksternal dan
pengukuran eksternal, informasi pihak eksternal yg relevan lain dan peringkat
penyedia eksternal;
h) Pangkalan data dan situs web;
i) Simulasi dan pemodelan.
AmbikA 76
77. Perencanaan kunjungan
Kegiatan audit lapangan (on-site activities)
Kegiatan audit virtual
AmbikA 77
78. Audit virtual dilakukan utk organisasi yg pekerjaan atau
layanan-nya menggunakan “lingkungan kerja online” yg
memungkinkan orang terlepas dari lokasi fisik utk
melaksanakan proses (missal: intranet perusahaan, suatu
“cloud komputasi").
Audit thp suatu lokasi virtual sering disebut dgn “audit
virtual”. Audit jarak jauh mengacu pd penggunaan
teknologi utk mengumpulkan informasi, mewawancarai
auditee, dll, ketika metode "tatap muka" tidak
dimungkinkan atau diinginkan.
AmbikA 78
79. Audit virtual mengikuti proses audit yg standar saat menggunakan teknologi utk
memverifikasi bukti objektif.
Auditi dan Tim Audit sebaiknya memastikan persyaratan teknologi yg tepat utk
audit virtual, mencakup:
Memastikan Tim Audit menggunakan protokol akses jarak jauh yg
disetujui, termasuk perangkat yg diminta, perangkat lunak, dll ;
Melaksanakan pemeriksanaan teknikal sebelum audit utk menyelesaikan
isu teknikal;
Memastikan tersedia rencana kontingensi dan telah dikomunikasikan
(mis: gangguan akses, penggunaan teknologi alternatif), termasuk
ketentuan utk waktu audit tambahan jika diperlukan.
Auditor kompeten, mencakup:
Ketrampilan teknikal utk menggunakan peralatan elektronik yg tepat dan
teknologi lainnya yg digunakan saat audit
Pengalaman dalam memfasilitasi pertemuan secara virtual utk melakukan audit
jarak jauh.
AmbikA 79
80. Saat melaksanakan pertemuan pembukaan atau audit
secara virtual, Auditor sebaiknya mempertimbangkan :
Risiko yg terkait dgn audit virtual atau jarak jauh;
Menggunakan diagram/rencana denah dari lokasi lokasi jarak
jauh sbg referensi atau pemetaan dari informasi elektronik;
Memfasilitasi pencegahan gangguan latar belakang suara &
interupsi;
meminta izin terlebih dahulu utk mengambil salinan layar dari
dokumen atau segala jenis rekaman, dan mempertimbangkan
kerahasiaan dan masalah keamanan;
memastikan kerahasiaan dan privasi selama masa istirahat audit
mis: dgn mematikan mikrofon, menghentikan kamera.
AmbikA 80
84. Mempertimbangkan apakah Auditi telah memiliki proses yg
efektif utk:
Mengidentifikasi persyaratan hukum & persyaratan lainnya
Mengelola kegiatan, produk, & jasa utk mencapai penaatan thp persyaratan
Mengevaluasi status penaatan
Utk memastikan ketaatan thp persyaratan yg relevan, Tim
Audit mempertimbangkan apakah Auditi:
Memiliki proses yg efektif utk mengidentifikasi perubahan dalam persyaratan
penaatan, dan mempertimbangkan menjadi bagian dari MOC;
Memiliki personil yg kompeten utk mengelola proses penaatan;
Memelihara & menyediakan informasi terdokumentasi pd status penaatan yg
dipersyaratkan;
Mencakup persyaratan penaatan dalam program audit internal;
Menangani ketidak-taatan yg terjadi;
Mempertimbangkan kinerja penaatan dalam tinjauan manajemen
AmbikA 84
85. Konteks organisasi dapat ditetapkan dgn menggunakan beragam
teknik utk perencanaan dan analisis strategik
Auditor mengkonfirmasi, apakah telah dikembangkan ‘proses yg
sesuai’ dalam menetapkan konteks, dan apakah proses tsb
digunakan dgn ‘efektif’
Auditor sebaiknya mempertimbangkan bukti2 objektif terkait:
Proses atau metode yg digunakan;
Kesesuaian dan kompetensi dari individu yg terlibat dalam proses;
Hasil dari proses;
Penerapan hasil utk menetapkan lingkup & pengembangan SM;
Tinjauan berkala konteks organisasi
Auditor harus memiliki pengetahuan pd sektor spesifik &
pemahaman instrumen manajemen yg digunakan organisasi
AmbikA 85
86. Auditor seharusnya memperoleh bukti objektif ttg
‘derajat keterlibatan’ manajemen puncak dalam
pengambilan keputusan terkait SM, dan
‘bagaimana komitmen diperagakan’ utk
memastikan efektifitasnya, yg dapat diperoleh dgn
mengkaji hasil2 dari proses yg relevan (kebijakan,
sasaran, ketersediaan sumberdaya, komunikasi)
mewawancarai staf utk menetapkan derajat
keterlibatan manajemen puncak
AmbikA 86
87. Auditor seharusnya ‘mewawancarai manajemen puncak’
utk mengkonfirmasi ybs memiliki pemahaman yg
memadai ttg
isu2 spesifik pd disiplin SM yg relevan,
konteks organisasi dimana organisasi beroperasi
Untuk memastikan SM mencapai hasil yg diharapkan
Auditor juga sebaiknya mengaudit kepemimpinan &
komitmen pada tingkatan manajemen lainnya, selain
manajemen puncak
AmbikA 87
88. Tujuan utama
Memberikan jaminan kredibilitas proses identifikasi risiko &
peluang
Memberikan jaminan bahwa risiko & peluang telah
ditetapkan dan dikelola dgn benar
Mengkaji bagaimana organisasi menangani risiko & peluang
yg telah ditetapkan
Audit thp pendekatan organisasi menetapkan risiko &
peluang tidak dilaksanakan sbg kegiatan tersendiri,
namun sebaiknya implisit dilakukan sepanjang audit
SM, termasuk saat mewancarai manajemen puncak.
AmbikA 88
89. Auditor melakukan pengumpulan bukti objektif :
Masukan yg digunakan utk menetapkan risiko & peluang,
mencakup:
Analisis isu internal & eksternal
Arahan strategik organisasi
Pihak berkepentingan, terkait SM disiplin spesifik, dan persyaratannya
Sumber2 risiko potensial, seperti aspek lingkungan, bahaya K3, dll
Metode mengevaluasi risiko & peluang
Perlakuan organisasi thp risiko & peluang, termasuk tingkat
risiko yg dapat diterima dan bagaimana mengendalikannya,
membutuhkan justifikasi professional Auditor.
AmbikA 89
90. Pendekatan daur hidup mempertimbangkan “kendali
& pengaruh” organisasi di sepanjang tahap daur hidup
produk dan jasa.
Auditor sebaiknya menggunakan justifikasi
professional utk menilai bagaimana organisasi
menerapkan LCP dalam strategi organisasi dan
Kehidupan produk atau jasa;
Pengaruh organisasi pd rantai pasok;
Panjang rantai pasok;
Kompleksitas teknologi dari produk
AmbikA 90
91. Program audit pemasok sebaiknya dikembangkand
dgn menggunakan kriteria audit yg sesuai utk jenis
pemasok & peyedia eksternal.
Lingkup audit rantai pasok dapat beragam:
Audit SM lengkap;
Audit proses tunggal;
Audit produk;
dll
AmbikA 91
92.
93. Hasil ‘penilaian dan evaluasi’
terhadap bukti-bukti audit yg
terkumpul setelah
membandingkan dgn ‘kriteria
audit’
94. Pengumpulan bukti dilakukan sesuai rencana audit
Bukti
Objektif
terverifikasi
Bukti Fisik
Bukti
Dokumentasi
Bukti
Kesaksian
Dikumpulkan dari wawacara personil
teknik, operasi, admin/ manajerial.
Bukti ini menyediakan suatu kontek utk
memahami informasi yg bersifat fisik &
dokumentasi.
Ditulis di atas kertas atau direkam secara
elektronik, dapat berupa prosedur operasi &
pengawasan, buku log, lembar pemeriksaan,
faktur, dan hasil analisis
Merujuk pd sesuatu yg dapat dilihat/ disentuh,
dikumpulkan dgn pengamatan langsung
peralatan/ proses, peralatan
pengukuran/pemantauan, dll
BUKTI
HARUS DIUJI
95. • didukung o/ bukti yg cukup
dan terverifikasi
Objektif
• tidak ada faktor yg
mempengaruhi
Bebas Bias
• Handal, memadai dan terkait
dgn ketidaksesuaian
Relevan
AmbikA
96. Semakin tinggi risiko terjadi ketidaksesuaian,
semakin banyak bukti yg diperlukan Auditor utk
mencapai Kesimpulan
JENIS BUKTI:
Sufficient: apakah bukti yg dikumpulkan telah cukup
(Kuantitas)
Appropriate: apakah bukti handal dan relevan (Kualitas)
Appropria
te
Sufficient
When evidence is appropriate, less of its
required, while more evidence is
required for less appropriate evidenced
AmbikA
97. m
k
Hierarchy Evidence Type Example
HIGH
Evidence that is collected directly
by the Auditor
Inspection through a site visit
Documentary evidence that
originates outside of the Auditi’s
data management system but is
processed by it
Contractor’s or Outsource’s report
Documents produced by the
Auditi’s
Operational records
LOW Oral evidence Interview with OHS personnel
RELEVANT: evidence that pertains to the verification objective.
Its Auditor’s responsibility to correctly identify the relevant information.
RELIABLE: evidence depends on the nature and source of the evidence.
AmbikA
99. Saat menetapkan temuan audit, sebaiknya
dipertimbangkan:
a) Tindak-lanjut dari rekaman audit terdahulu, & kesimpulan audit;
b) Persyaratan dari Klien audit;
c) Keakuratan, kecukupan, & relevansi bukti audit yg mendukung temuan
audit;
d) Sejauh mana kegiatan rencana audit direalisasikan, dan rencana hasil
tercapai;
e) Temuan yg melampaui praktik normal atau peluang utk peningkatan
(OFI);
f) Ukuran conto;
g) Kategorisasi temuan audit (bila ada).
AmbikA 99
100. Rekaman kesesuaian, sebaiknya
mempertimbangkan:
a) Deskripsi atau acuan kriteria audit yang menunjukkan
kesesuaian;
b) Bukti audit utk mendukung kesesuaian dan efektifitas,
jika dapat diterapkan;
c) Deklarasi kesesuaian; jika dapat diterapkan
AmbikA 100
102. Identifikasi temuan yg terkait “multiple criteria”.
Jika auditor mengidentifikasi temuan yg terkait dgn satu kriteria
pd audit kombinasi, auditor sebaiknya mempertimbangkan
kemungkinan dampak pd kriteria yg sesuai atau serupa dari
sistem manajemen SM lainnya.
Tergantung pd kesepakatan dgn Klien audit, Auditor dapat
menerbitkan:
a) Temuan yg terpisah utk setiap kriteria audit; atau
b) Satu Temuan, menggabungkan acuan dari “multiple criteria”
Tergantung pd kesekapatan dgn Klien audit, Auditor dapat
memandu Auditi ttg bagaimana menanggapi temuan tsb.
AmbikA 102
103. AmbikA
Tim audit harus berunding sebelum rapat
penutupan utk:
a) Evaluasi temuan audit & informasi lain yg relevan
b) Menyepakati kesimpulan audit dgn mempertimbangkan
ketidakpastian dalam proses audit
c) Menyiapkan rekomendasi, bila dipersyaratkan dalam
rencana audit;
d) Mendiskusikan tindak lanjut audit, bila sesuai
103
Cross Ref: ISO/IEC 17021-1:2015 Cl.9.4.6
104. ‘Kesimpulan audit harus mampu menjawab Tujuan Audit’
Isu yg dapat dicakup, antara lain:
Keluasan kesesuaian terhadap kriteria audit;
Kekokohan SM termasuk efektifitas SM memenuhi hasil yg diharapkan,
identifikasi risiko dan efektifitas tindakan yg dilakukan Auditi utk menangani
risiko
Efektifitas penerapan, pemeliharaan, dan peningkatan/ penyempurnaan SM
Pencapaian tujuan audit, cakupan lingkup audit, dan pemenuhan kriteria
audit
Temuan yg mirip yg dijumpai di area audit yg berbeda2 atau hasil join audit
atau audit sebelumnya utk kegunaan identifikasi kecenderungan
Kesimpulan khusus, spt: rekomendasi peningkatan atau kegiatan audit
berikutnya
AmbikA
106. Dipimpin KTA, dihadiri oleh Anggota Tim Audit, Wakil
Manajemen Auditi, & PIC fungsi/proses yg di-audit, Klien Audit,
pihak berkepentingan lain.
Agenda utama memaparkan ‘temuan audit dan kesimpulan
audit’
Derajat kerincian pertemuan penutupan mempertimbangkan
keefektifan SM dalam mencapai tujuan, termasuk pertimbangan
“konteks, risiko dan peluang”
Terbiasanya Auditi dengan proses audit juga harus
dipertimbangkan selama pertemuan penutupan utk
memastikan tingkat kerincian yg benar diberikan kpd peserta
pertemuan
AmbikA Cross Ref: ISO/IEC 17021-1:2015 Cl.9.4.7
107. AmbikA
Paparan KTA tentang:
Proses audit, termasuk kendala/hambatan (bila ada);
Bukti audit dikumpulkan berdasarkan sampling;
Situasi yg dijumpai selama audit yg dapat mengurangi tingkat
kepercayaan kesimpulan audit;
Metode pelaporan;
Bagaimana temuan audit ditindak-lanjuti berdasarkan proses yg
disepakati;
Konsekuensi yg mungkin timbul dari tidak ditanganinya dgn
baik temuan audit;
Hasil temuan audit dan Kesimpulan audit
Kegiatan paska audit (CAPA dan batas waktu penyelesaian)
Proses penanganan keluhan dan banding
Cross Ref: ISO/IEC 17021-1:2015 Cl.9.4.7
108. AmbikA
Perbedaan pendapat thp temuan atau kesimpulan
audit antara Tim Audit sebaiknya didiskusikan, dan
jika mungkin diselesaikan. Jika tidak dapat
diselesaikan, halini harus direkam
Jika ditentukan dalam tujuan audit, peluang utk
saran peningkatan (OFI) dapat dipaparkan, namun
rekomendasi ini sifatnya tidak mengikat.
108
113. Tujuan audit;
Lingkup audit (khususnya organisasi Auditi, dan fungsi/proses yg diaudit)
Identifikasi klien audit;
Identifikasi tim audit dan peserta auditi dalam audit;
Tanggal dan lokasi kegiatan audit dilaksanakan;
Kriteria audit;
Temuan audit dan bukti terkait;
Kesimpulan audit;
Pernyataan mengenai derajat pemenuhan kriteria audit;
Perbedaan opini yg belum terselesaikan antara Tim Audit dan Auditi
Risiko bahwa bukti audit yg diuji tidak mewakili karena audit didasarkan
atas pencuplikan conto
AmbikA Cross Ref: ISO/IEC 17021-1:2015 Cl.9.4.8
114. AmbikA
FAKTA DIMANA
KRITERIA
AUDIT
• Cara diperoleh
• Akurat
• Reliable
• Lokasi / fungsi/
proses spesifik
• Berdasar peran
&
• Acuan spesifik
• Disesuaikan
terhadap fakta
tanggungjawab
JELAS, SINGKAT, PADAT (15-18 kata), dan MUDAH
DIPAHAMI
117. Diterbitkan pd peride waktu yg telah disepakati
Bila ditunda, harus dikomunikasikan kpd Auditi dan personil
penanggungjawab program audit
Laporan harus ‘bertanggal, ditinjau, & disetujui’
sesuai program audit
Laporan audit didistribusikan kpd pihak2
berkepentingan yg telah ditetapkan dalam program
audit atau rencana audit
Saat distribusi laporan audit, dipertimbangkan
langkah yg tepat utk memastikan kerahasiaan laporan.
AmbikA 117
118. Audit dinyatakan berakhir setelah seluruh kegiatan audit yg
direncanakan telah dilaksanakan, atau telah disetujui oleh Klien
Audit.
Informasi terdokumentasi audit sebaiknya disimpan atau
dimusnahkan sesuai kesepakatan antara pihak2 berkepentingan
dan sesuai program audit serta persyaratan lainnya.
Kecuali dipersyaratkan hukum, tim audit & personil pengelola
program audit seharusnya tidak membuka informasi apapun yg
diperoleh selama audit atau laporan audit kpd pihak manapun
tanpa persetujuan eksplisit dari Klien Audit, dan bila
memungkinkan dari Auditi.
Jika isi dokumen audit dipersyaratkan utk dibuka, Klien audit dan
Auditi seharusnya diinformasikan sesegera mungkin
AmbikA 118
124. Mempertimbangkan pengetahuan & ketrampilan
terkait:
Ukuran, sifat, kompleksitas, produk, jasa, & proses Auditi;
Metode auditg;
Disiplin SM yg di-audit;
Kompleksitas & proses SM yg diaudit;
Jenis & tingkat risiko & peluang yg ditangani SM;
Sasaran & keluasan program audit;
Ketidakpastian dalam mencapai sasaran audit;
Persyaratan lain, seperti yg dikenakan oleh klien audit atau pihak
terkait yg relevan lainnya, jika diperlukan.
AmbikA 124
126. 1
• Pengetahuan & keterampilan UMUM SM
2
• Pengetahuan & keterampilan SPESIFIK
3
• Pengetahuan dan keterampilan TAMBAHAN yg dibutuhkan utk
MEMIMPIN TIM Audit
4
• Pengetahuan & keterampilan utk mengaudit sistem
manajemen MULTIDISIPLIN
AmbikA
127. Prinsip, proses, dan metode audit:
Standar SM dan dokumen acuan
Organisasi dan konteks-nya
Persyaratan hukum & kontraktual serta
persyaratan lain yg berlaku utk Auditi
AmbikA
128. Kompetensi kolektif Tim Audit utk tipe audit SM &
sektor tertentu, mencakup :
Prinsip & persyaratan SM, serta penerapannya
Dasar2 disiplin dan sektor, terkait standar SM Auditi
Aplikasi disiplin & metode sektor spesifik, teknik, proses, &
praktik utk memungkinkan tim audit menilai kesesuaian dalam
lingkup audit, menghasilkan temuan & kesimpulan audit yg
memadai
Prinsip, metode, & teknik yg relevan dgn disiplin & sektor,
sehingga auditor dapat menetapkan & mengevaluasi risiko &
peluang yg berkaitan dgn tujuan audit
AmbikA 128
129. Merencanakan audit & menetapkan penugasan audit sesuai dgn kompetensi
spesifik individu anggota tim audit
Mendiskusikan isu strategik dgn Manajemen Puncak Auditi utk menentukan
apakah organisasi telah mempertimbangkan isu strategik tsb saat mengevaluasi
risiko & peluang;
Mengembangkan & memelihara hubungan kerja kolaboratif di antara anggota
tim audit;
Mengelola proses audit, termasuk:
memanfaatkan sumber daya secara efektif selama audit;
mengelola ketidakpastian pencapaian tujuan audit;
melindungi kesehatan & keselamatan anggota tim audit selama audit, termasuk memastikan ketaatan auditor
thp K3 yg relevan, dan pengaturan keamanan;
mengarahkan anggota tim audit;
memberikan arahan & bimbingan kpd auditor-in-trainee;
mencegah & menyelesaikan konflik dan masalah yg dapat terjadi selama audit, termasuk yg terjadi di dalam
tim audit.
Mewakili Tim Audit dalam berkomunikasi dgn personil pengelola program audit,
klien audit dan Auditi;
Memimpin Tim Audit utk mencapai kesimpulan audit;
Menyiapkan & menyelesaikan laporan audit.
AmbikA 129
130. Saat mengaudit beberapa disiplin SM, anggota tim
audit harus memiliki pemahaman ttg interaksi &
sinergi antara SM yg berbeda-beda.
KTA harus memahami persyaratan dari masing2
standar SM yg diaudit & mengenali batasan
kompetensi anggota tim pd masing2 disiplin ilmu.
Audit multi-disiplin yg dilakukan bersamaan dikenal sbg
audit kombinasi (atau audit IMS)
AmbikA 130
132. • Mampu memperagakan perilaku personil,
pengetahuan atau kinerja ketrampilan pd
pelatihan atau di tempat kerja
Kualitatif
• Lama Pengalaman kerja
• Lama Pendidikan
• Waktu (jumlah jam) Pelatihan
• Jumlah audit
Kuantitatif
AmbikA
133. kA
Evaluasi Auditor sebaiknya dilakukan dgn menggunakan 2
atau lebih metode
Tinjauan Rekaman
Umpan Balik
Wawancara
Observasi (Witness)
Pengujian
Tinjauan Post Audit
AmbikA
135. KTA & Auditor seharusnya meningkatkan kompetensi
secara berkelanjutan, melalui:
Berpartisipasi dalam audit SM
CPD: pengalaman kerja, training, seminar, konferensi, belajar
mandiri, coaching
Kegiatan CPD seharusnya memperhitungkan:
Perubahan kebutuhan individu & tanggung-jawab organisasi utk
melaksanakan audit;
Pengembangan praktik audit termasuk penggunaan teknologi;
Standar yg relevan, termasuk pedoman/dokumen pendukung, dan
persyaratan lain ygrelevan;
AmbikA
Perubahan dalam sector atau disiplin
