B.1. Menerapkan metode audit
Audit dapat dilakukan dengan menggunakan berbagai metode audit. Penjelasan tentang metode audit yang umum digunakan dapat ditemukan dalam lampiran ini. Metode audit yang dipilih untuk mengaudit tergantung pada tujuan, ruang lingkup dan kriteria audit yang ditetapkan, serta durasi dan lokasi. Kompetensi auditor yang tersedia dan ketidakpastian yang timbul dari penerapan metode audit juga sebaiknya dipertimbangkan. Menerapkan berbagai dan kombinasi metode audit yang berbeda dapat mengoptimalkan efisiensi dan efektivitas proses audit dan hasilnya.
Kinerja audit melibatkan interaksi antara individu dengan sistem manajemen yang diaudit dan teknologi yang digunakan untuk melakukan audit. Tabel B.1 memberikan contoh metode audit yang dapat digunakan, tunggal atau kombinasi, dalam rangka mencapai tujuan audit. Jika audit melibatkan penggunaan sebuah tim audit dengan beberapa anggota, baik di tempat dan metode jarak jauh dapat digunakan secara bersamaan.
CATATAN Informasi lain tentang kunjungan lapangan diberikan dalam Klausul B.6.
Tabel B.1 – Metode audit yang dapat diterapkan
Cakupan keterlibatan antara auditor dan auditee
Lokasi auditor
Lapangan Jarak jauh
Interaksi manusia Melakukan wawancara.
Melengkapi daftar periksa dan kuesioner dengan partisipasi auditee.
Melakukan tinjauan dokumen dengan partisipasi auditee. Pengambilan sampel.
Melakukan komunikasi interaktif dengan cara :
melakukan wawancara;
melengkapi daftar periksa dan
kuesioner;
melakukan tinjauan manajemen
dengan partisipasi auditee Tidak ada interaksi
manusia
Melakukan tinjauan dokumen (misalnya rekaman, data analisis). Observasi pekerjaan yang
dilakukan.
Melakukan kunjungan lapangan. Melengkapi daftar periksa. Pengambilan sampel (misalnya produk).
Melakukan tinjauan dokumen (misalnya rekaman, data analisis). Mengamati pekerjaan yang dilakukan melalui sarana
pengawasan, mempertimbangkan persyaratan sosial dan hukum. Menganalisis data.
Kegiatan audit lapangan dilakukan di lokasi dari auditee. Kegiatan jarak jauh dilakukan di tempat lain selain lokasi auditee.
Kelayakan kegiatan audit jarak jauh dapat bergantung pada tingkat kepercayaan antara auditor dan personil auditee.
Pada tingkat program audit, sebaiknya dipastikan bahwa penggunaan penerapan metode audit jarak jauh dan lapangan adalah tepat dan seimbang, untuk memastikan pencapaian yang memuaskan dari tujuan program audit.
B.2. Melakukan tinjauan dokumen
Para auditor sebaiknya mempertimbangkan apakah : informasi dalam dokumen yang disediakan adalah :
o lengkap (seluruh konten yang diharapkan yang terkandung dalam
dokumen);
o benar (konten sesuai dengan sumber-sumber terpercaya lainnya
seperti standar dan peraturan);
o konsisten (dokumen konsisten dalam dirinya sendiri dan dengan
dokumen terkait);
o terkini (konten yang up-to-date);
dokumen yang sedang ditinjau mencakup ruang lingkup audit dan memberikan
informasi yang cukup untuk mendukung tujuan audit;
penggunaan teknologi informasi dan komunikasi, tergantung pada metode
audit, mempromosikan melakukan audit yang efisien: perhatian khusus diperlukan untuk keamanan informasi karena peraturan yang berlaku tentang perlindungan data (khususnya untuk informasi yang terletak di luar ruang lingkup audit, tetapi juga terkandung dalam dokumen).
CATATAN Tinjauan dokumen dapat memberikan indikasi efektivitas pengendalian dokumen dalam sistem manajemen auditee.
B.3. Pengambilan sampel
B.3.1. UmumSampling audit terjadi ketika tidak praktis atau biaya yang efektif untuk memeriksa seluruh informasi yang tersedia selama audit, misalnya rekaman terlalu banyak atau terlalu tersebar secara geografis untuk membenarkan pemeriksaan setiap item dalam populasi. Pengambilan sampel audit populasi besar adalah proses pemilihan kurang dari 100% dari item dalam set total data yang tersedia (populasi) untuk mendapatkan
Sampling audit biasanya melibatkan langkah-langkah berikut :
menetapkan tujuan dari rencana pengambilan sampel;
memilih tingkat dan komposisi populasi yang akan dijadikan sampel;
memilih metode sampling;
menentukan ukuran sampel yang akan diambil;
melakukan kegiatan pengambilan sampel;
menyusun, mengevaluasi, melaporkan dan mendokumentasikan hasil.
Ketika pengambilan sampel, pertimbangan sebaiknya diberikan untuk kualitas data yang tersedia, sebagai sampel data yang tidak memadai dan tidak akurat maka tidak akan menyediakan hasil yang berguna. Pemilihan sampel yang tepat sebaiknya didasarkan pada kedua metode sampling dan jenis data yang dibutuhkan, misalnya untuk menyimpulkan pola perilaku tertentu atau menarik kesimpulan seluruh populasi.
Pelaporan sampel yang dipilih dapat memperhitungkan ukuran sampel, metode seleksi dan estimasi dibuat berdasarkan sampel dan tingkat kepercayaan.
Audit dapat menggunakan sampling berbasis-keputusan (lihat B.3.2) atau sampling statistik (lihat B.3.3).
B.3.3. Pengambilan sampel berbasis-keputusan
Pengambilan sampel berbasis-keputusan bergantung pada pengetahuan, keterampilan dan pengalaman dari tim audit (lihat Klausul 7).
Untuk pengambilan sampel berbasis-keputusan, berikut ini dapat dipertimbangkan :
pengalaman audit sebelumnya di dalam ruang lingkup audit;
kompleksitas dari persyaratan (termasuk persyaratan hukum) untuk mencapai
tujuan audit;
kompleksitas dan interaksi dari proses organisasi dan elemen sistem
manajemen;
tingkat perubahan teknologi, faktor manusia atau sistem manajemen;
area risiko utama yand sebelumnya teridentifikasi dan area dari perbaikan;
output dari pemantauan sistem manajemen.
Kelemahan sampling berbasis-keputusan adalah bahwa tidak akan ada perkiraan statistik yang mempengaruhi ketidakpastian dalam temuan audit dan kesimpulan yang dicapai.
Rencana pengambilan sampel sebaiknya memperhitungkan apakah hasil yang diperiksa kemungkinan akan berbasis atribut atau berbasis variabel. Misalnya, ketika mengevaluasi kesesuaian formulir yang telah dilengkapi dengan
persyaratan yang ditetapkan dalam prosedur, pendekatan berbasis atribut dapat digunakan. Ketika memeriksa terjadinya insiden keamanan pangan atau jumlah pelanggaran keamanan, pendekatan berbasis variabel kemungkinan akan lebih tepat.
Elemen-elemen kunci yang akan mempengaruhi rencana sampling audit adalah :
o ukuran organisasi;
o jumlah auditor yang kompeten;
o frekuensi audit dalam satu tahun;
o waktu audit individu;
o setiap tingkat kepercayaan eksternal yang diperlukan
Ketika rencana sampling statistik dikembangkan, tingkat risiko sampling yang
mana auditor bersedia menerima adalah merupakan pertimbangan yang penting. Hal ini sering disebut sebagai tingkat kepercayaan yang dapat diterima. Sebagai contoh, risiko sampling 5% sesuai dengan tingkat kepercayaan yang dapat diterima dari 95%. Sebuah risiko sampling dari 5% berarti auditor bersedia menerima risiko bahwa 5 dari 100 (atau 1 dalam 20) dari sampel yang diperiksa tidak akan mencerminkan nilai yang sebenarnya yang akan terlihat jika seluruh populasi diperiksa.
Ketika sampling statistik digunakan, auditor sebaiknya tepat mendokumentasikan
pekerjaan yang dilakukan. Ini sebaiknya mencakup deskripsi dari populasi yang dimaksudkan untuk diambil sampel, kriteria pengambilan sampel yang digunakan untuk evaluasi (misalnya apakah sampel yang dapat diterima), parameter statistik dan metode yang digunakan, jumlah sampel yang dievaluasi dan hasil yang diperoleh.
B.4. Mempersiapkan dokumen kerja
Ketika mempersiapkan dokumen kerja, tim audit sebaiknya
mempertimbangkan pertanyaan-pertanyaan di bawah ini untuk setiap dokumen.
a) Apakah rekaman audit akan dibuat dengan menggunakan dokumen kerja ini? b) Apakah kegiatan audit terkait dengan dokumen kerja tersebut?
B.5. Menyeleksi sumber informasi
Sumber-sumber informasi yang dipilih dapat bervariasi sesuai dengan ruang lingkup dan kompleksitas audit dan dapat mencakup hal-hal berikut :
wawancara dengan karyawan dan orang lain;
pengamatan kegiatan dan lingkungan kerja dan kondisi di sekitarnya;
dokumen, seperti kebijakan, tujuan, rencana, prosedur, standar, instruksi, lisensi dan izin, spesifikasi, gambar, kontrak dan order;
rekaman, seperti catatan inspeksi, risalah rapat, laporan audit, catatan program
pemantauan dan hasil pengukuran;
ringkasan data, analisis dan indikator kinerja;
informasi tentang rencana sampling auditee dan prosedur untuk pengendalian
sampling dan proses pengukuran;
laporan dari sumber lain, misalnya umpan balik pelanggan, survei dan
pengukuran eksternal, informasi lain yang relevan dari pihak eksternal dan penilaian pemasok;
database dan website;
simulasi dan pemodelan.
B.6 Panduan mengunjungi lokasi auditee
Untuk meminimalkan gangguan antara kegiatan audit dan proses kerja auditee dan untuk memastikan kesehatan dan keselamatan tim audit selama kunjungan, berikut sebaiknya dipertimbangkan :
a) merencanakan kunjungan :
memastikan izin dan akses ke bagian-bagian dari lokasi auditee, untuk
dikunjungi sesuai dengan ruang lingkup audit;
memberikan informasi yang memadai (misalnya pengarahan) kepada
auditor tentang keamanan, kesehatan (misalnya karantina), kesehatan dan keselamatan kerja masalah dan norma budaya untuk kunjungan termasuk diminta dan direkomendasikan untuk vaksinasi dan pembersihan, jika berlaku;
mengonfirmasi dengan auditee bahwa setiap alat pelindung diri (APD) yang
diperlukan akan tersedia untuk tim audit, jika ada;
kecuali audit ad hoc terjadwal, memastikan bahwa personil yang dikunjungi
akan menginformasikan tentang tujuan dan ruang lingkup audit; b) kegiatan lapangan :
menghindari gangguan yang tidak perlu dari proses operasional;
jika terjadi insiden selama kunjungan di tempat, ketua tim audit
sebaiknya meninjau situasi dengan auditee dan, jika perlu, dengan klien audit dan
mencapai kesepakatan tentang apakah audit sebaiknya diinterupsi, dijadwal ulang atau dilanjutkan;
jika mengambil foto atau materi video, meminta izin dari manajemen di
muka dan mempertimbangkan masalah keamanan dan kerahasiaan dan menghindari mengambil foto dari orang-orang individu tanpa izin mereka;
jika mengambil salinan dokumen apapun, meminta izin terlebih dahulu dan
mempertimbangkan hal kerahasiaan dan keamanan;
ketika mengambil rekaman, hindari mengumpulkan informasi pribadi
kecuali diperlukan oleh tujuan audit atau kriteria audit.
B.7 Melakukan wawancara
Wawancara adalah salah satu cara penting dalam mengumpulkan informasi dan sebaiknya dilakukan dengan cara yang disesuaikan dengan situasi dan orang yang diwawancarai, baik tatap muka atau melalui sarana komunikasi lainnya.
Namun, auditor sebaiknya mempertimbangkan hal berikut :
wawancara sebaiknya dilakukan dengan orang-orang dari tingkatan dan
fungsi untuk melakukan kegiatan atau tugas dalam ruang lingkup audit yang tepat;
wawancara biasanya sebaiknya dilakukan selama jam kerja normal dan, di
mana praktis, di tempat kerja normal orang yang diwawancarai;
berupaya untuk menempatkan orang yang diwawancarai nyaman sebelum dan
selama wawancara;
alasan untuk wawancara dan setiap pencatatan sebaiknya dijelaskan;
wawancara dapat dimulai dengan meminta orang-orang untuk
menggambarkan pekerjaan mereka;
hati-hati untuk memilih jenis pertanyaan yang digunakan (misalnya pertanyaan
terbuka, tertutup, terkemuka);
hasil dari wawancara sebaiknya diringkas dan ditinjau dengan orang
yang diwawancarai;
orang-orang yang diwawancarai sebaiknya diucapkan terima kasih atas
partisipasi dan kerja sama mereka.
B.8 Temuan audit
identifikasi kriteria audit terhadap yang sesuai ditampilkan;
bukti audit untuk mendukung kesesuaian;
deklarasi kesesuaian, jika berlaku.
B.8.3. Catatan ketidaksesuaian
Untuk catatan ketidaksesuaian, berikut sebaiknya dipertimbangkan :
deskripsi atau referensi untuk kriteria audit;
deklarasi ketidaksesuaian;
bukti audit;
terkait temuan audit, jika ada.
B.8.4. Menghadapi dengan temuan yang terkait dengan beberapa kriteria Selama audit, adalah mungkin untuk mengidentifikasi temuan yang terkait dengan beberapa kriteria. Dimana auditor mengidentifikasi temuan terkait untuk satu kriteria pada audit gabungan, auditor sebaiknya mempertimbangkan kemungkinan dampak pada kriteria yang sesuai atau serupa dari sistem manajemen lainnya.
Tergantung pada pengaturan dengan klien audit, auditor dapat meningkatkan baik :
temuan terpisah untuk masing-masing kriteria; atau
sebuah temuan tunggal, yang menggabungkan referensi untuk beberapa
kriteria.
Tergantung pada pengaturan dengan klien audit, auditor dapat memandu auditee tentang cara untuk menanggapi temuan tersebut.