Panduan untuk Mengaudit Sistem Manajemen

CATATAN 1 Seorang pengamat bukan merupakan bagian dari tim audit (3.9) dan tidak mempengaruhi atau mengganggu dengan pelaksanaan audit (3.1)

6. Melakukan audit

6.3. Mempersiapkan kegiatan audit

6.3.1. Melakukan tinjauan dokumen dalam persiapan untuk audit

Dokumentasi sistem manajemen yang relevan dari auditee sebaiknya ditinjau untuk :

 mengumpulkan informasi untuk mempersiapkan kegiatan audit dan dokumen

kerja yang berlaku (lihat 6.3.4), misalnya pada proses, fungsi;

6.3.2.1. Ketua tim audit sebaiknya mempersiapkan rencana audit

berdasarkan informasi yang terdapat dalam program audit dan dokumentasi yang diberikan oleh auditee. Rencana audit sebaiknya mempertimbangkan efek dari kegiatan audit terhadap proses auditee dan memberikan dasar untuk perjanjian antara klien audit, tim audit dan auditee terkait pelaksanaan audit. Rencana tersebut sebaiknya memfasilitasi penjadwalan dan koordinasi kegiatan audit yang efisien dalam rangka mencapai tujuan secara efektif.

Jumlah detail yang disediakan dalam rencana audit sebaiknya mencerminkan ruang lingkup dan kompleksitas audit, serta pengaruh ketidakpastian dalam mencapai tujuan audit. Dalam penyusunan rencana audit, ketua tim audit sebaiknya menyadari hal berikut :

 teknik pengambilan sampel yang sesuai (lihat Klausul B.3);

 komposisi tim audit dan kompetensi kolektifnya;

 risiko terhadap organisasi yang diciptakan oleh audit.

Misalnya, risiko terhadap organisasi mungkin akibat dari kehadiran anggota tim audit yang mempengaruhi kesehatan dan keselamatan, lingkungan dan kualitas, dan kehadiran mereka menyajikan ancaman terhadap produk, jasa, personil atau infrastruktur auditee (misalnya kontaminasi di fasilitas ruang yang bersih).

Untuk audit gabungan, perhatian khusus sebaiknya diberikan untuk interaksi antara proses operasional dan persaingan tujuan dan prioritas sistem manajemen yang berbeda.

6.3.2.2. Skala dan isi rencana audit mungkin berbeda, misalnya, antara audit awal dan selanjutnya, serta antara audit internal dan eksternal. Rencana audit sebaiknya cukup fleksibel untuk memungkinkan perubahan yang dapat menjadi diperlukan karena kegiatan audit berlangsung.

Rencana audit sebaiknya mencakup atau mengacu hal berikut : a) tujuan audit;

b) ruang lingkup audit, termasuk identifikasi unit-unit organisasi dan fungsional, serta proses yang akan diaudit;

c) kriteria audit dan setiap dokumen referensi;

d) lokasi, tanggal, waktu dan durasi yang diharapkan dari kegiatan audit yang akan dilakukan, termasuk rapat dengan manajemen auditee;

e) metode audit yang akan digunakan, termasuk sejauh mana sampling audit diperlukan untuk memperoleh bukti audit yang cukup dan desain rencana sampling, jika berlaku;

f) peran dan tanggung jawab anggota tim audit, serta panduan dan pengamat; g) alokasi sumber daya yang tepat untuk area-area kritis dari audit.

 tindakan tindak lanjut dari audit sebelumnya;

 kegiatan tindak lanjut audit yang direncanakan;

 koordinasi dengan kegiatan audit lainnya, dalam kasus audit bersama.

Rencana audit dapat ditinjau dan diterima oleh klien audit, dan sebaiknya

disampaikan kepada auditee. Setiap keberatan oleh auditee dengan rencana audit sebaiknya diselesaikan antara ketua tim audit, auditee dan klien audit.

6.3.3. Tugas kerja kepada tim audit

Ketua tim audit, dalam konsultasi dengan tim audit, sebaiknya menetapkan untuk masing- masing anggota tim bertanggung jawab untuk mengaudit proses, kegiatan, fungsi atau lokasi yang spesifik. Tugas tersebut sebaiknya mempertimbangkan independensi dan kompetensi auditor dan penggunaan sumber daya secara efektif, serta peran dan tanggung jawab yang berbeda dari auditor, auditor-dalam-pelatihan dan ahli teknis.

Pengarahan tim audit sebaiknya diadakan, sebagaimana layaknya, dengan ketua tim audit untuk mengalokasikan tugas kerja dan memutuskan perubahan yang mungkin. Perubahan pada tugas kerja dapat dibuat sebagai audit berlangsung untuk

memastikan pencapaian tujuan audit. 6.3.4. Mempersiapkan dokumen kerja

Para anggota tim audit sebaiknya mengumpulkan dan meninjau informasi yang relevan dengan tugas audit dan menyiapkan dokumen kerja, yang diperlukan, untuk referensi dan untuk merekam bukti audit. Dokumen kerja tersebut dapat mencakup hal-hal berikut :

 daftar periksa (checklist);

 rencana sampling audit;

 formulir untuk merekam informasi, seperti bukti pendukung, temuan audit dan

rekaman rapat.

Penggunaan daftar periksa dan formulir tidak sebaiknya membatasi tingkat kegiatan audit, yang dapat berubah sebagai hasil dari informasi yang dikumpulkan selama audit.

CATATAN Panduan untuk mempersiapkan dokumen kerja diberikan dalam Klausul B.4.

Dokumen kerja, termasuk rekaman yang disebabkan dari penggunaan mereka, sebaiknya dipertahankan setidaknya sampai pemeriksaan selesai, atau sebagaimana ditentukan dalam rencana audit. Penyimpanan dokumen setelah pemeriksaan selesai dijelaskan dalam bagian 6.6. Dokumen-dokumen yang melibatkan informasi rahasia

ditunjukkan pada Gambar 2. Urutan ini dapat bervariasi sesuai keadaan tertentu dari audit.

6.4.2. Melakukan rapat pembuka

Tujuan dari pertemuan pembukaan adalah untuk :

a) mengkonfirmasi persetujuan dari semua pihak (misalnya auditee, tim audit) dengan rencana audit;

b) memperkenalkan tim audit;

c) memastikan bahwa semua kegiatan audit yang direncanakan dapat dilakukan. Pertemuan pembuka sebaiknya diadakan dengan manajemen auditee dan, jika relevan, pihak yang bertanggung jawab atas fungsi atau proses yang akan diaudit. Dalam pertemuan tersebut, kesempatan untuk mengajukan pertanyaan sebaiknya disediakan.

Tingkat detail sebaiknya konsisten dengan kebiasaan dari auditee dengan proses audit. Dalam banyak kasus, misalnya audit internal dalam organisasi kecil, rapat pembuka dapat hanya terdiri dari mengkomunikasikan bahwa audit sedang dilakukan dan menjelaskan sifat audit.

Untuk situasi audit lainnya, rapat mungkin formal dan rekaman kehadiran sebaiknya disimpan. Rapat sebaiknya dipimpin oleh ketua tim audit, dan hal-hal berikut sebaiknya dipertimbangkan, bila sesuai :

 pengenalan peserta, termasuk pengamat dan pemandu, dan garis besar peran

mereka;

 konfirmasi tujuan, ruang lingkup dan kriteria audit;

 konfirmasi rencana audit dan pengaturan lain yang relevan dengan auditee,

seperti tanggal dan waktu untuk rapat penutup, setiap rapat interim antara tim audit dan manajemen auditee, dan perubahan akhir;

 penyajian metode yang akan digunakan untuk melakukan audit, termasuk

memberi nasihat kepada auditee bahwa bukti audit akan didasarkan pada sampel informasi yang tersedia;

 pengenalan metode untuk mengelola risiko terhadap organisasi yang mungkin

timbul dari kehadiran anggota tim audit;

 konfirmasi saluran komunikasi formal antara tim audit dan auditee;

 konfirmasi bahasa yang akan digunakan selama audit;

 konfirmasi bahwa, selama audit, auditee akan dijaga informasi tentang

kemajuan audit;

 konfirmasi bahwa sumber daya dan fasilitas yang diperlukan oleh tim audit

tersedia;

 konfirmasi hal yang berkaitan dengan kerahasiaan dan keamanan informasi;

6.4.3. Melakukan tinjauan dokumen ketika melakukan audit Dokumentasi auditee yang relevan sebaiknya ditinjau untuk :

 menentukan kesesuaian sistem, sejauh didokumentasikan, dengan kriteria

audit;

 mengumpulkan informasi untuk mendukung kegiatan audit.

CATATAN Panduan tentang cara melakukan tinjauan dokumen yang diatur dalam Klausul B.2.

Tinjauan ini dapat dikombinasikan dengan kegiatan audit lainnya dan dapat berlanjut sepanjang audit, penyediaan ini tidak merugikan efektivitas dari pelaksanaan audit. Jika dokumentasi yang memadai tidak dapat diberikan dalam jangka waktu tertentu sesuai rencana audit, ketua tim audit sebaiknya memberitahukan keduanya orang yang mengelola program audit dan auditee. Tergantung pada tujuan dan ruang lingkup audit, keputusan sebaiknya dibuat apakah pemeriksaan sebaiknya dilanjutkan atau ditunda sampai masalah dokumentasi diselesaikan. 6.4.4. Komunikasi selama audit

Selama audit, mungkin perlu untuk membuat pengaturan formal untuk berkomunikasi dalam tim audit, serta dengan auditee, klien audit dan kemungkinan dengan badan eksternal (misalnya regulator), terutama di mana persyaratan hukum meminta laporan wajib tentang ketidaksesuaian.

Tim audit sebaiknya berunding secara berkala untuk bertukar informasi, menilai kemajuan audit, dan menetapkan kembali kerja antara anggota tim audit, sesuai kebutuhan.

Selama audit, ketua tim audit sebaiknya secara berkala mengkomunikasikan kemajuan audit dan setiap masalah apapun kepada auditee dan audit klien, yang tepat. Bukti yang dikumpulkan selama audit yang menunjukkan risiko langsung dan signifikan terhadap auditee sebaiknya dilaporkan tanpa penundaan kepada auditee dan, jika perlu, untuk klien audit. Setiap kekhawatiran tentang masalah di luar lingkup audit sebaiknya dicatat dan dilaporkan kepada ketua tim audit, untuk kemungkinan berkomunikasi dengan klien audit dan auditee.

Dimana bukti audit yang tersedia menunjukkan bahwa tujuan audit adalah tidak mungkin tercapai, ketua tim audit sebaiknya melaporkan alasan kepada klien audit dan auditee untuk menentukan tindakan yang tepat. Tindakan tersebut dapat mencakup konfirmasi ulang atau modifikasi rencana audit, perubahan tujuan audit atau ruang lingkup audit, atau penghentian audit.

sebaiknya memiliki hak untuk menolak pengamat mengambil bagian dalam kegiatan audit tertentu.

Untuk pengamat, kewajiban dalam kaitannya dengan kesehatan dan keselamatan, keamanan dan kerahasiaan sebaiknya dikelola antara klien audit dan auditee. Pemandu, yang ditunjuk oleh auditee, sebaiknya membantu tim audit dan bertindak atas permintaan ketua tim audit. Tanggung jawab mereka sebaiknya mencakup sebagai berikut :

a) membantu auditor dalam mengidentifikasi individu untuk berpartisipasi dalam wawancara dan mengkonfirmasikan timing;

b) mengatur akses ke lokasi tertentu dari auditee;

c) memastikan bahwa aturan tentang prosedur keselamatan dan keamanan lokasi dikenal dan dihormati oleh anggota tim audit dan pengamat.

Peran pemandu juga dapat mencakup berikut ini :

 menyaksikan audit atas nama auditee;

 memberikan klarifikasi atau membantu dalam mengumpulkan informasi.

6.4.6. Mengumpulkan dan memverifikasi informasi

Selama audit, informasi yang relevan dengan tujuan, ruang lingkup dan kriteria audit, termasuk informasi yang berkaitan dengan antarmuka antara fungsi, kegiatan dan proses, sebaiknya dikumpulkan dengan cara sampling yang tepat dan sebaiknya diverifikasi. Hanya informasi yang dapat diverifikasi sebaiknya diterima sebagai bukti audit. Bukti audit yang mengarah ke hasil audit sebaiknya dicatat. Jika, selama pengumpulan bukti, tim audit menjadi mengetahui adanya keadaan baru atau diubah atau risiko, hal ini sebaiknya ditangani oleh tim yang tepat.

CATATAN 1 Panduan tentang pengambilan sampel diberikan dalam Klausul B.3.

Gambar 3 memberikan gambaran tentang proses, dari pengumpulan informasi untuk mencapai kesimpulan audit.

Bukti audit

Mengevaluasi terhadap krit eria audit

Tem uan audit

Meninjau

Kesimpulan audit

Gambar 3 - Gambaran umum proses pengumpulan dan verifikasi informasi

Metode pengumpulan informasi meliputi berikut ini:

 wawancara;

 pengamatan;

 tinjauan dokumen, termasuk rekaman.

CATATAN 2 Panduan tentang sumber informasi diberikan dalam Klausul B.5. CATATAN 3 Panduan tentang mengunjungi lokasi auditee diberikan dalam Klausul B.6. CATATAN 4 Panduan tentang bagaimana melakukan wawancara diberikan dalam Klausul B.7.

6.4.7. Mengeluarkan temuan audit

Bukti audit sebaiknya dievaluasi terhadap kriteria audit untuk menentukan temuan audit. Temuan audit dapat menunjukkan kesesuaian atau ketidaksesuaian dengan kriteria audit. Ketika ditetapkan oleh rencana audit, temuan audit individu sebaiknya mencakup kesesuaian dan praktik yang baik bersama dengan bukti pendukung mereka, kesempatan untuk perbaikan, dan setiap rekomendasi kepada auditee. Ketidaksesuaian dan bukti audit pendukungnya sebaiknya dicatat. Ketidaksesuaian dapat dinilai. Mereka sebaiknya ditinjau bersama auditee untuk mendapatkan pengakuan bahwa bukti audit adalah akurat, dan bahwa ketidaksesuaian dipahami. Setiap upaya sebaiknya dilakukan untuk menyelesaikan setiap pendapat yang menyimpang mengenai bukti audit atau temuan, dan poin yang belum terselesaikan

audit, terhadap tujuan audit;

b) menyetujui pada kesimpulan audit, dengan mempertimbangkan ketidakpastian yang melekat dalam proses audit;

c) menyiapkan rekomendasi, bila ditentukan oleh rencana audit; d) mendiskusikan audit tindak lanjut, sebagaimana berlaku. Kesimpulan audit dapat mengatasi masalah-masalah seperti berikut :

 tingkat kesesuaian dengan kriteria audit dan ketangguhan dari sistem

manajemen, termasuk efektivitas sistem manajemen dalam memenuhi tujuan yang telah ditetapkan;

 pelaksanaan yang efektif, pemeliharaan dan perbaikan sistem manajemen;

 kemampuan proses tinjauan manajemen untuk memastikan kesesuaian,

kecukupan, efektivitas dan peningkatan sistem manajemen;

 pencapaian tujuan audit, cakupan ruang lingkup audit, dan pemenuhan kriteria

audit;

 akar penyebab temuan, jika disertakan dalam rencana audit;

 temuan serupa yang dibuat di area yang berbeda yang telah diaudit untuk

tujuan mengidentifikasi tren.

Jika ditentukan oleh rencana audit, kesimpulan audit dapat menyebabkan rekomendasi untuk perbaikan, atau kegiatan audit di masa depan.

6.4.9. Melakukan rapat penutup

Rapat penutup, difasilitasi oleh ketua tim audit, sebaiknya diadakan untuk menyajikan temuan audit dan kesimpulan. Peserta dalam rapat penutup sebaiknya mencakup manajemen auditee dan, jika relevan, pihak yang bertanggung jawab atas fungsi atau proses yang telah diaudit, dan juga dapat mencakup klien audit dan pihak lain. Jika berlaku, ketua tim audit sebaiknya memberi saran auditee tentang situasi yang dihadapi selama audit yang dapat menurunkan kepercayaan yang dapat ditempatkan dalam kesimpulan audit. Jika didefinisikan dalam sistem manajemen atau dengan perjanjian dengan klien audit, para peserta sebaiknya menyepakati kerangka waktu untuk rencana tindakan untuk mengatasi temuan audit.

Tingkat detail sebaiknya konsisten dengan kebiasaan dari auditee dengan proses audit. Untuk beberapa situasi audit, rapat dapat formal dan menit, termasuk catatan kehadiran, sebaiknya disimpan. Pada kasus lain, misalnya audit internal, rapat penutup kurang formal dan dapat terdiri hanya dari mengkomunikasikan temuan audit dan kesimpulan audit.

Bila tepat, berikut ini sebaiknya dijelaskan kepada auditee dalam rapat penutup :

 menyarankan bahwa bukti audit yang dikumpulkan berdasarkan sampel dari

informasi yang tersedia;

tidak diselesaikan, ini sebaiknya direkam.

Jika ditentukan oleh tujuan audit, rekomendasi perbaikan dapat disajikan. Perlu ditekankan bahwa rekomendasi tidak mengikat.