Panduan untuk Mengaudit Sistem Manajemen
CATATAN 1 Seorang pengamat bukan merupakan bagian dari tim audit (3.9) dan tidak mempengaruhi atau mengganggu dengan pelaksanaan audit (3.1)
5. Mengelola program audit
5.3. Menetapkan program audit
5.3.1. Peran dan tanggung jawab orang yang mengelola program audit Orang yang mengelola program audit sebaiknya :
menetapkan luasnya program audit;
mengidentifikasi dan mengevaluasi risiko untuk program audit;
menetapkan tanggung jawab audit;
menetapkan prosedur untuk program audit;
menentukan sumber daya yang diperlukan;
memastikan pelaksanaan program audit, termasuk pembentukan tujuan audit,
Orang yang mengelola program audit sebaiknya memiliki kompetensi yang diperlukan untuk mengelola program dan risiko secara efektif dan efisien, serta pengetahuan dan keterampilan dalam bidang berikut :
prinsip, prosedur dan metode audit;
standar sistem manajemen dan dokumen referensi;
kegiatan, produk dan proses dari auditee;
persyaratan hukum dan lainnya yang berlaku terkait dengan kegiatan dan
produk dari auditee;
pelanggan, pemasok dan pihak lain yang berkepentingan dari auditee, mana
yang berlaku.
Orang yang mengelola program audit sebaiknya terlibat dalam kegiatan pengembangan profesional yang sesuai terus-menerus untuk mempertahankan pengetahuan dan keterampilan yang diperlukan untuk mengelola program audit. 5.3.3. Menetapkan luasan program audit
Orang yang mengelola program audit sebaiknya menentukan luasan program audit, yang dapat bervariasi tergantung pada ukuran dan sifat dari auditee, serta pada sifat, fungsi, kompleksitas dan tingkat kematangan, dan hal-hal penting untuk sistem manajemen yang diaudit.
CATATAN Dalam beberapa kasus, tergantung pada struktur auditee atau kegiatannya, program audit dapat hanya terdiri dari audit tunggal (misalnya kegiatan proyek kecil).
Faktor-faktor lain yang mempengaruhi luasan program audit meliputi :
tujuan, ruang lingkup dan durasi setiap audit dan jumlah audit yang akan
dilakukan, termasuk pemeriksaan tindak lanjut, jika berlaku;
jumlah, kepentingan, kompleksitas, kesamaan dan lokasi kegiatan yang akan
diaudit;
faktor-faktor yang mempengaruhi efektivitas sistem manajemen;
kriteria audit yang berlaku, seperti pengaturan yang direncanakan untuk
standar manajemen yang relevan, Iegal dan persyaratan kontrak dan persyaratan lainnya yang mana organisasi memiliki komitmen;
kesimpulan audit internal atau eksternal sebelumnya;
hasil tinjauan program audit sebelumnya;
masalah bahasa, budaya dan sosial;
kekhawatiran pihak yang berkepentingan, seperti keluhan pelanggan atau
ketidakpatuhan terhadap persyaratan hukum;
perubahan yang signifikan terhadap auditee atau pengoperasiannya;
mempertimbangkan risiko ini dalam perkembangannya. Risiko ini dapat berhubungan dengan hal-hal berikut :
perencanaan, misalnya kegagalan untuk menetapkan tujuan audit yang
relevan dan menentukan luasan program audit;
sumber daya, misalnya memungkinkan cukup waktu untuk mengembangkan
program audit atau melakukan audit;
pemilihan tim audit, misalnya tim tidak memiliki kompetensi kolektif untuk melakukan audit secara efektif;
implementasi, misalnya komunikasi yang tidak efektif dari program audit;
rekaman dan pengendalian mereka, misalnya kegagalan untuk melindungi
rekaman audit yang memadai untuk menunjukkan efektivitas program audit;
pemantauan, peninjauan dan peningkatan program audit, misalnya
pemantauan tidak efektif atas hasil program audit. 5.3.5. Menetapkan prosedur untuk program audit
Orang yang mengelola program audit sebaiknya menetapkan satu atau lebih prosedur, untuk menangani hal berikut ini yang berlaku :
perencanaan dan penjadwalan audit dengan mempertimbangkan risiko
program audit;
menjaga keamanan informasi dan kerahasiaan;
menjamin kompetensi auditor dan ketua tim audit;
memilih tim audit yang tepat dan menetapkan peran dan tanggung jawab
mereka;
melakukan audit, termasuk penggunaan metode sampling yang tepat;
melakukan audit tindak lanjut, jika ada;
melaporkan kepada manajemen puncak pada keseluruhan pencapaian
program audit;
pemeliharaan rekaman program audit;
pemantauan dan peninjauan kinerja dan risiko, dan meningkatkan efektivitas
program audit.
5.3.6. Mengidentifikasi sumber daya program audit
Ketika mengidentifikasi sumber daya untuk program audit, orang yang mengelola program audit sebaiknya mempertimbangkan :
sumber daya keuangan yang diperlukan untuk mengembangkan,
melaksanakan, mengelola dan meningkatkan kegiatan audit;
metode audit;
ketersediaan auditor dan tenaga ahli teknis yang memiliki kompetensi yang
sesuai dengan tujuan program audit khusus;
audit dengan cara berikut :
mengkomunikasikan bagian yang bersangkutan dari program audit kepada
pihak terkait dan menginformasikan secara berkala dari perkembangannya;
mendefinisikan tujuan, ruang lingkup dan kriteria untuk setiap audit individu;
mengkoordinasi dan menjadwalkan audit dan kegiatan lain yang relevan
dengan program audit;
memastikan pemilihan tim audit dengan kompetensi yang diperlukan;
menyediakan sumber daya yang diperlukan untuk tim audit;
memastikan pelaksanaan audit sesuai dengan program audit dan dalam
kerangka waktu yang telah disepakati;
memastikan bahwa audit kegiatan direkam dan rekaman dikelola dan
dipelihara.
5.4.2. Mendefinisikan tujuan, ruang lingkup dan kriteria untuk audit individu Setiap audit individu sebaiknya didasarkan pada tujuan, ruang lingkup dan kriteria audit terdokumentasi. Hal ini sebaiknya didefinisikan oleh orang yang mengelola program audit dan konsisten dengan tujuan program audit secara keseluruhan. Tujuan audit menentukan apa yang sebaiknya dicapai oleh audit individu dan dapat termasuk hal berikut :
menentukan tingkat kesesuaian sistem manajemen yang diaudit, atau bagian
dari itu, dengan kriteria audit;
menentukan tingkat kesesuaian kegiatan, proses dan produk dengan
persyaratan dan prosedur sistem manajemen;
evaluasi kemampuan sistem manajemen untuk memastikan kepatuhan dengan
persyaratan hukum dan kontrak dan persyaratan lainnya yang diikuti oleh komitmen organisasi;
evaluasi efektivitas sistem manajemen dalam mencapai tujuan yang
ditentukan;
identifikasi daerah untuk potensi perbaikan sistem manajemen.
Ruang lingkup audit sebaiknya konsisten dengan program audit dan tujuan audit. Ini mencakup faktor-faktor seperti lokasi fisik, unit organisasi, kegiatan dan proses yang akan diaudit, serta periode waktu yang dicakup oleh audit.
Kriteria audit digunakan sebagai acuan terhadap yang mana kesesuaian ditentukan dan dapat mencakup kebijakan, prosedur, standar, persyaratan hukum, persyaratan sistem manajemen, persyaratan kontrak, sektor kode etik yang berlaku atau
CATATAN Pedoman bagaimana menentukan metode audit diberikan dalam Lampiran B.
Dimana dua atau lebih organisasi audit melakukan pemeriksaan bersama dari auditee yang sama, orang-orang yang mengelola program audit yang berbeda sebaiknya setuju pada metode audit dan mempertimbangkan implikasi bagi sumber daya dan perencanaan audit. Jika suatu auditee mengoperasikan dua atau lebih sistem manajemen disiplin ilmu yang berbeda, audit gabungan dapat dimasukkan dalam program audit.
5.4.4. Menyeleksi anggota tim audit
Orang yang mengelola program audit sebaiknya menunjuk anggota tim audit, termasuk ketua tim dan setiap ahli teknis yang diperlukan untuk audit tertentu.
Tim audit sebaiknya dipilih, dengan mempertimbangkan kompetensi yang dibutuhkan untuk mencapai tujuan audit individu dalam lingkup yang ditetapkan. Jika hanya ada satu auditor, auditor sebaiknya melakukan seluruh tugas yang berlaku bagi ketua tim audit.
CATATAN Klausul 7 berisi panduan dalam menentukan kompetensi yang diperlukan untuk
anggota tim audit dan menjelaskan proses untuk mengevaluasi auditor.
Dalam menentukan ukuran dan komposisi tim audit untuk audit tertentu, pertimbangan sebaiknya diberikan sebagai berikut :
a) keseluruhan kompetensi tim audit yang diperlukan untuk mencapai tujuan audit, dengan memperhitungkan ruang lingkup dan kriteria audit;
b) kompleksitas audit dan jika audit adalah audit gabungan atau bersama; c) metode audit yang telah dipilih;
d) persyaratan hukum dan kontrak dan persyaratan lainnya yang diikuti oleh komitmen organisasi;
e) kebutuhan untuk menjamin independensi anggota tim audit dari kegiatan yang akan diaudit dan untuk menghindari konflik kepentingan [lihat prinsip e) dalam Klausul 4];
f) kemampuan anggota tim audit untuk berinteraksi secara efektif dengan perwakilan auditee dan untuk bekerja sama;
g) bahasa audit, dan karakteristik sosial dan budaya auditee. Isu-isu ini dapat diatasi baik oleh keterampilan auditor sendiri atau melalui dukungan dari ahli teknis.
Untuk menjamin kompetensi secara keseluruhan tim audit, langkah-langkah berikut sebaiknya dilakukan :
identifikasi pengetahuan dan keterampilan yang diperlukan untuk mencapai
tujuan audit;
Penyesuaian ukuran dan komposisi untuk tim audit mungkin diperlukan selama audit, yaitu jika konflik kepentingan atau masalah kompetensi muncul. Jika situasi seperti ini muncul, hal itu sebaiknya didiskusikan dengan pihak yang tepat (misalnya ketua tim audit, orang yang mengelola program audit, klien audit atau auditee) sebelum penyesuaian dilakukan.
5.4.5. Menunjuk penanggung jawab untuk audit individu kepada ketua tim audit
Orang yang mengelola program audit sebaiknya menetapkan tanggung jawab untuk melakukan audit individu kepada ketua tim audit.
Penugasan sebaiknya dilakukan dalam waktu yang cukup sebelum tanggal audit yang dijadwalkan, untuk memastikan perencanaan audit.
Untuk memastikan pelaksanaan yang efektif dari audit individual, informasi berikut sebaiknya disediakan kepada ketua tim audit :
a) tujuan audit;
b) kriteria audit dan dokumen referensi apapun;
c) ruang lingkup audit, termasuk identifikasi unit dan proses organisasi dan fungsional untuk diaudit;
d) metode dan prosedur audit; e) komposisi tim audit;
f) rincian kontak dari auditee, lokasi, tanggal dan durasi kegiatan audit yang akan dilakukan;
g) alokasi sumber daya yang tepat untuk melakukan audit;
h) informasi yang dibutuhkan untuk mengevaluasi dan menangani risiko yang teridentifikasi untuk pencapaian tujuan audit.
Informasi tugas juga sebaiknya mencakup berikut, yang sesuai :
bahasa pekerjaan dan pelaporan audit di mana hal ini berbeda dengan bahasa
auditor atau auditee, atau keduanya;
isi laporan audit dan distribusi yang diperlukan oleh program audit;
hal yang berkaitan dengan kerahasiaan dan keamanan informasi, jika
diperlukan oleh program audit;
persyaratan kesehatan dan keselamatan untuk auditor;
setiap keamanan dan otorisasi persyaratan;
tindakan tindak lanjut, misalnya dari audit sebelumnya, jika berlaku;
tinjauan dan persetujuan laporan audit, termasuk mengevaluasi kesesuaian dan kecukupan temuan audit;
tinjauan analisis akar penyebab dan efektivitas tindakan perbaikan dan
tindakan pencegahan;
distribusi laporan audit ke manajemen puncak dan pihak lain yang terkait;
penentuan kebutuhan bagi setiap pemeriksaan tindak lanjut.
5.4.7. Mengelola dan memelihara rekaman program audit
Orang yang mengelola program audit sebaiknya memastikan bahwa rekaman audit dibuat, dikelola dan dipelihara untuk menunjukkan pelaksanaan program audit. Proses sebaiknya ditetapkan untuk memastikan bahwa setiap kebutuhan kerahasiaan terkait dengan rekaman audit ditangani.
Rekaman sebaiknya mencakup sebagai berikut :
a) rekaman yang berhubungan dengan program audit, seperti:
tujuan dan luasan program audit terdokumentasi;
mereka menangani risiko program audit;
meninjau efektivitas program audit;
b) catatan yang berhubungan dengan setiap audit individual, seperti :
rencana audit dan laporan audit;
laporan ketidaksesuaian;
laporan tindakan perbaikan dan pencegahan;
laporan audit tindak lanjut, jika ada;
c) catatan yang berhubungan dengan personel audit yang mencakup topik-topik seperti :
evaluasi kompetensi dan kinerja anggota tim audit;
pemilihan tim audit dan anggota tim;
pemeliharaan dan peningkatan kompetensi.
Format dan tingkat detail dari rekaman sebaiknya menunjukkan bahwa tujuan dari program audit telah dicapai.