![Salinan Terjemahan ISO 19011 2018 [PDF]](https://pdfs.asia/img/200x200/salinan-terjemahan-iso-19011-2018.jpg)
5 0 422 KB
STANDAR 19011 INTERNASION Edisi ketiga 2018-07 AL ISO
Pedoman untuk sistem manajemen audit Lignes directrices pour l'audit des systèmes de management
Nomor referensi ISO 19011: 2018 (E)
ISO 19011: 2018 (E)
© ISO 2018
DOKUMEN DILINDUNGI HAK CIPTA © ISO 2018 Semua hak dilindungi undang-undang. Kecuali ditentukan lain, atau diperlukan dalam konteks pelaksanaannya, tidak ada bagian dari publikasi ini yang boleh direproduksi atau digunakan dalam bentuk apa pun atau dengan cara apa pun, elektronik atau mekanis, termasuk fotokopi, atau posting di internet atau intranet, tanpa sebelumnya. izin tertulis. Izin dapat diminta dari ISO di alamat di bawah atau dari badan anggota ISO di negara pemohon. Kantor hak cipta ISO CP 401 • Ch. de Blandonnet 8 CH-1214 Vernier, Jenewa Telepon: +41 22 749 01 11 Faks: +41 22 749 09 47 Email: [email protected]
Situs web: www.iso.org Diterbitkan di Swiss
ii © ISO 2018 - Semua hak dilindungi undang-undang
ISO 19011: 2018 (E)
Isi Halaman Kata
Pengantar........................................
............................................v
Pendahuluan....
.................................................. ....................vi ..................................................
.................................................. ..................................................
.................................................. ..................................................
.................................................. ..................................................
1 Ruang Lingkup........................... .................................................. ..................................................
................................................1
.................................................. .................................................. ...1 .................................................. .......................................1
2
Acuan
normatif.............................
..................................................
3 Istilah dan definisi.......................................... ..................................................
4 Prinsip audit ...... .................................................. ..................................................
.................................................. ..........................5
5 Mengelola program audit.................. .................................................. .................................................. .......................................6 5.1 Umum........ .................................................. .................................................. .................................................. ............................................. 6 5.2 Mendirikan a Tujuan program audit............................................... .................................................. ...................... 9 5.3 Menentukan dan mengevaluasi risiko dan peluang program audit.................. ............................ 9 5.4 Membangun program audit................ .................................................. .................................................. .................10 5.4.1 Peran dan tanggung jawab individu yang mengelola program audit..10 5.4.2 Kompetensi individu yang mengelola program audit . .................................................. ...11 5.4.3 Menetapkan tingkat program audit...................................... .................................................. ..........11 5.4.4 Menentukan sumber daya program audit . ............................... .................................................. ............12 5.5 Pelaksanaan program audit.............................. .................................................. .................................................. ........12 5.5.1 Umum..................................... .................................................. .................................................. ..........................................12 5.5.2 Mendefinisikan tujuan, ruang lingkup dan kriteria untuk audit individu...................................13 5.5.3 Memilih dan menentukan audit metode................................................. .............................................14 5.5.4 Memilih anggota tim audit . .............................................. .................................................. ........................14 5.5.5 Menugaskan tanggung jawab untuk audit individu kepada ketua tim audit........... .......15 5.5.6 Mengelola hasil program audit................................... .................................................. ........................16 5.5.7 Mengelola dan m menjaga catatan program audit.............................................. ..................16 5.6 Program audit pemantauan . .......................... .................................................. .................................................. ..................17 5.7 Meninjau dan menyempurnakan program audit......................... .................................................. ..................................17 6 Melakukan audit........... .................................................. .................................................. .................................................. ......................18 6.1 Umum......................... .................................................. .................................................. .................................................. .........................18 6.2 Memulai audit..................... .................................................. ........................................... .................................................. ..................18 6.2.1 Umum........................... .................................................. .................................................. .................................................. ..18 6.2.2 Menjalin kontak dengan auditee........................................ .................................................. ........................18 6.2.3 Menentukan kelayakan audit.................. .................................................. .................................................. .19 6.3 kegiatan audit Mempersiapkan............................................ .................................................. .................................................. ............19 6.3.1 Melakukan review atas informasi yang terdokumentasi............................. .................................................. .19 perencanaan 6.3.2 Audit........................................... ...................... .................................................. ..............................................19 6.3.3 Menugaskan pekerjaan ke tim audit............................................. .................................................. .............................21 6.3.4 Mempersiapkan informasi terdokumentasi untuk audit............ .................................................. .......................21 6.4 Melaksanakan kegiatan audit...................... .................................................. .................................................. ..............................21 6.4.1 Umum............... .................................................. .................................................. .................................................. ..............21 6.4.2 Menetapkan peran dan tanggung jawab pemandu dan pengamat........................ .......................21 6.4.3 Melakukan pertemuan pembukaan.................... ........................................... .................................................. ............22 6.4.4 Berkomunikasi selama audit............................... .................................................. ............................................23 6.4.5 Informasi audit ketersediaan dan akses............................................... ................................................23 6.4 .6 Meninjau informasi yang
terdokumentasi saat melakukan audit.......................................... .....23 6.4.7 Mengumpulkan dan memverifikasi informasi ..................................... .................................................. ...................24 6.4.8 Menghasilkan temuan audit........................ .................................................. .................................................. ..........25 6.4.9 Menentukan kesimpulan audit . ................................ .................................................. .....................................25 6.4.10 Melakukan closing mee ting................................................. .................................................. .............................26 6.5 Menyiapkan dan mendistribusikan laporan audit.............. .................................................. .................................................. ......27 6.5.1 Menyiapkan laporan audit..................................... .................................................. .................................................. ....27 6.5.2 Mendistribusikan laporan audit....................................... .................................................. ..............................................27 6.6 Menyelesaikan audit.................................................. .................................................. .................................................. ..........................28 6.7 Melakukan audit tindak lanjut................. .................................................. .................................................. . .................................28
ISO 19011: 2018 (E)
© ISO 2018 - Semua hak dilindungi undang-undang iii
7 Kompetensi dan evaluasi auditor............................................. .................................................. .....................................28 7.1 Umum.......... .................................................. .................................................. .................................................. ........................................28 7.2 Menentukan kompetensi auditor..... .................................................. .................................................. ...............................29 7.2.1 Umum.............. .................................................. .................................................. .................................................. ...............29 7.2.2 Perilaku pribadi............................. .................................................. ........................................ ..............................29 7.2.3 Pengetahuan dan keterampilan ............. .................................................. .................................................. ...............................30 7.2.4 Mencapai kompetensi auditor............ .................................................. .................................................. .........32 7.2.5 Mencapai kompetensi ketua tim audit................................ .................................................. .............33 7.3 Menetapkan kriteria evaluasi auditor............................... .................................................. ........................................33 7.4 Memilih metode evaluasi auditor yang tepat... .................................................. ...........................................33 7.5 Melakukan evaluasi auditor.. .................................................. .................................................. ............................. ............33 7.6 Mempertahankan dan meningkatkan kompetensi auditor............................... .................................................. ..................34 Lampiran A (informatif) Panduan tambahan untuk auditor yang merencanakan dan melaksanakan audit.................. ...35 Daftar Pustaka............................................. .................................................. .................................................. .................................................. ..........................46
iv © ISO 2018 - Semua hak dilindungi undang-undang
ISO 19011: 2018 (E)
Kata Pengantar ISO (Organisasi Internasional untuk Standardisasi ) adalah federasi badan standar nasional di seluruh dunia (badan anggota ISO). Pekerjaan mempersiapkan Standar Internasional biasanya dilakukan melalui komite teknis ISO. Setiap badan anggota yang tertarik pada topik yang komite teknisnya telah dibentuk berhak untuk diwakili dalam komite tersebut. Organisasi internasional, pemerintah dan non-pemerintah, dalam hubungannya dengan ISO, juga ambil bagian dalam pekerjaan tersebut. ISO bekerja sama erat dengan International Electrotechnical Commission (IEC) dalam semua masalah standardisasi elektroteknik. Prosedur yang digunakan untuk mengembangkan dokumen ini dan yang dimaksudkan untuk pemeliharaan selanjutnya dijelaskan dalam Petunjuk ISO / IEC, Bagian 1. Secara khusus, kriteria persetujuan berbeda yang diperlukan untuk jenis dokumen ISO yang berbeda harus diperhatikan.
Dokumen ini disusun sesuai dengan aturan editorial ISO / IEC Directive, Bagian 2 (lihat www.iso.org/directives). Harap diperhatikan kemungkinan bahwa beberapa elemen dari dokumen ini mungkin tunduk pada hak paten. ISO tidak akan bertanggung jawab untuk mengidentifikasi salah satu atau semua hak paten tersebut. Rincian setiap hak paten yang diidentifikasi selama pengembangan dokumen akan ada di Pendahuluan dan / atau pada daftar pernyataan paten ISO yang diterima (lihat www.iso.org/patents). Nama dagang apa pun yang digunakan dalam dokumen ini adalah informasi yang diberikan untuk kenyamanan pengguna dan bukan merupakan pengesahan. Untuk penjelasan tentang sifat sukarela standar, arti istilah dan ekspresi khusus ISO terkait penilaian kesesuaian, serta informasi tentang kepatuhan ISO terhadap prinsip-prinsip Organisasi Perdagangan Dunia (WTO) dalam Penghalang Teknis Perdagangan (TBT) lihat bagian URL berikut: www.iso.org/iso/foreword.html. Dokumen ini disiapkan oleh Komite Proyek ISO / PC 302, Pedoman sistem manajemen audit. Edisi ketiga ini membatalkan dan menggantikan edisi kedua (ISO 19011: 2011), yang telah direvisi secara teknis. Perbedaan utama dibandingkan dengan edisi kedua adalah sebagai berikut: - penambahan pendekatan berbasis risiko pada prinsip audit; - perluasan pedoman pengelolaan program audit, termasuk risiko program audit; - perluasan pedoman dalam melakukan audit, khususnya bagian tentang perencanaan audit; - perluasan persyaratan kompetensi umum untuk auditor; - penyesuaian terminologi untuk mencerminkan proses dan bukan objek ("benda"); - penghapusan lampiran yang berisi persyaratan kompetensi untuk mengaudit disiplin sistem manajemen tertentu (karena banyaknya standar sistem manajemen individu, tidak praktis untuk memasukkan persyaratan kompetensi untuk semua disiplin ilmu); - perluasan Lampiran A untuk memberikan panduan tentang konsep audit (baru) seperti konteks organisasi, kepemimpinan dan komitmen, audit virtual, kepatuhan dan rantai pasokan.
ISO 19011: 2018 (E)
© ISO 2018 - All rights reserved v
Pendahuluan Sejak edisi kedua dokumen ini diterbitkan pada tahun 2011, sejumlah standar sistem manajemen baru telah diterbitkan, banyak di antaranya memiliki struktur yang sama, persyaratan inti yang identik dan istilah umum dan definisi inti. Akibatnya, ada kebutuhan untuk mempertimbangkan pendekatan yang lebih luas untuk audit sistem manajemen, serta memberikan panduan yang lebih umum. Hasil audit dapat memberikan masukan pada aspek analisis perencanaan bisnis, dan dapat berkontribusi pada identifikasi kebutuhan dan kegiatan perbaikan.
Suatu audit dapat dilakukan terhadap berbagai kriteria audit, secara terpisah atau kombinasi, termasuk tetapi tidak terbatas pada: - persyaratan yang ditentukan dalam satu atau lebih standar sistem manajemen; - kebijakan dan persyaratan yang ditentukan oleh pihak terkait yang relevan; - persyaratan hukum dan regulasi; - satu atau lebih proses sistem manajemen yang ditentukan oleh organisasi atau pihak lain; - rencana sistem manajemen yang berkaitan dengan penyediaan keluaran spesifik dari sistem manajemen (misalnya rencana mutu, rencana proyek). Dokumen ini memberikan panduan untuk semua ukuran dan jenis organisasi dan audit dari berbagai cakupan dan skala, termasuk yang dilakukan oleh tim audit besar, biasanya dari organisasi yang lebih besar, dan yang dilakukan oleh auditor tunggal, baik di organisasi besar maupun kecil. Panduan ini harus disesuaikan dengan ruang lingkup, kompleksitas dan skala program audit. Dokumen ini berkonsentrasi pada audit internal (pihak pertama) dan audit yang dilakukan oleh organisasi pada penyedia eksternal mereka dan pihak berkepentingan eksternal lainnya (pihak kedua). Dokumen ini juga dapat berguna untuk audit eksternal yang dilakukan untuk tujuan selain sertifikasi sistem manajemen pihak ketiga. ISO / IEC 17021-1 memberikan persyaratan untuk sistem manajemen audit untuk sertifikasi pihak ketiga; dokumen ini dapat memberikan panduan tambahan yang berguna (lihat Tabel 1). Tabel 1 - Berbagai jenis audit st
nd
1 a udit pihak internal AuditAudit
2
pihak audit
rd
3
Audit pihak Audit
penyedia eksternalpenyedia
sertifikasi dan / atau akreditasi Audit
pihak berkepentingan eksternal lainnya Audit
undang-undang, peraturan, dan serupa
Untuk menyederhanakan keterbacaan dokumen ini, lebih disukai dalam bentuk tunggal "sistem manajemen", tetapi pembaca dapat menyesuaikan penerapannya panduan untuk situasi mereka sendiri. Ini juga berlaku untuk penggunaan "individu" dan "individu", "auditor" dan "auditor". Dokumen ini dimaksudkan untuk diterapkan pada berbagai pengguna potensial, termasuk auditor, organisasi yang menerapkan sistem manajemen dan organisasi yang perlu melakukan audit sistem manajemen untuk alasan kontrak atau peraturan. Namun, pengguna dokumen ini dapat menerapkan panduan ini dalam mengembangkan persyaratan terkait audit mereka sendiri. Panduan dalam dokumen ini juga dapat digunakan untuk tujuan deklarasi diri dan dapat berguna bagi organisasi yang terlibat dalam pelatihan auditor atau sertifikasi personel. Panduan dalam dokumen ini dimaksudkan agar fleksibel. Seperti yang ditunjukkan di berbagai poin dalam teks, penggunaan panduan ini dapat berbeda bergantung pada ukuran dan tingkat kematangan sistem manajemen organisasi. Sifat dan kompleksitas organisasi yang diaudit, serta tujuan dan ruang lingkup audit yang akan dilakukan, juga harus dipertimbangkan.
vi © ISO 2018 - Hak cipta dilindungi undang-undang
ISO 19011: 2018 (E)
Dokumen ini mengadopsi pendekatan audit gabungan ketika dua atau lebih sistem manajemen dari berbagai disiplin ilmu diaudit bersama-sama. Jika sistem ini diintegrasikan ke dalam sistem manajemen tunggal, prinsip dan proses audit sama dengan audit gabungan (terkadang disebut sebagai audit terintegrasi). Dokumen ini memberikan panduan tentang manajemen program audit, perencanaan dan pelaksanaan audit sistem manajemen, serta kompetensi dan evaluasi auditor dan tim audit.
© ISO 2018 - Semua hak dilindungi undang-undang vii
STANDAR INTERNASIONAL ISO 19011: 2018 (E)
Pedoman untuk sistem manajemen audit 1 Ruang Lingkup Dokumen ini memberikan panduan tentang sistem manajemen audit, termasuk prinsip-prinsip audit, mengelola program audit dan melakukan audit sistem manajemen, sebagaimana serta pedoman evaluasi kompetensi individu yang terlibat dalam proses audit. Aktivitas ini termasuk individu yang mengelola program audit, auditor dan tim audit. Ini berlaku untuk semua organisasi yang perlu merencanakan dan melakukan audit internal atau eksternal sistem manajemen atau mengelola program audit. Penerapan dokumen ini untuk jenis audit lain dimungkinkan, asalkan pertimbangan khusus diberikan untuk kompetensi khusus yang dibutuhkan.
2 Acuan normatif Tidak ada acuan normatif dalam dokumen ini.
3 Istilah dan definisi Untuk keperluan dokumen ini, istilah dan definisi berikut berlaku. ISO dan IEC memelihara basis data terminologis untuk digunakan dalam standardisasi di alamat berikut: - Platform penjelajahan online ISO: tersedia di https://www.iso.org/obp - IEC Electropedia: tersedia di http://www.electropedia.org/ 3.1 audit proses sistematis, independen dan terdokumentasi untuk memperoleh bukti obyektif ( 3.8) dan mengevaluasinya secara obyektif untuk menentukan sejauh mana kriteria audit ( 3 .7) dipenuhi Catatan 1 untuk entri: Audit internal, kadang-kadang disebut audit pihak pertama, dilakukan oleh , atau atas nama, organisasi itu sendiri. Catatan 2 untuk entri: Audit eksternal mencakup audit yang umumnya disebut audit pihak kedua dan ketiga. Audit pihak kedua dilakukan oleh pihak yang memiliki kepentingan dalam organisasi, seperti pelanggan, atau individu lain atas nama mereka. Audit pihak ketiga dilakukan oleh organisasi audit independen, seperti yang memberikan sertifikasi / registrasi kesesuaian atau lembaga pemerintah.
[SUMBER: ISO 9000: 2015, 3.13.1, dimodifikasi - Catatan entri telah dimodifikasi] 3.2 auditgabungan audit ( 3.1) dilakukan bersama-sama pada satu auditee ( 3.13) pada dua atau lebih sistem manajemen (3.18) Catatan 1 untuk entri: Ketika dua atau lebih sistem manajemen disiplin ilmu tertentu diintegrasikan ke dalam satu sistem manajemen, ini dikenal sebagai sistem manajemen terintegrasi.
[SUMBER: ISO 9000: 2015, 3.13.2, dimodifikasi]
ISO 19011: 2018 (E)
© ISO 2018 - All rights reserved 1
3,3 audit gabungan Audit ( 3,1) dilakukan padatunggal auditee (3.13) dengan dua atau lebih audit organisasi [SUMBER: ISO 9000: 2015, 3.13.3] 3.4 program audit pengaturanuntuk satu atau lebih audit ( 3.1) yang direncanakan untuk kerangka waktu tertentu dan diarahkan ke tujuan tertentu [SUMBER: ISO 9000: 2015, 3.13. 4, dimodifikasi - kata-kata telah ditambahkan ke definisi] 3.5 ruang lingkup audit luasdan batas-batas audit ( 3.1) Catatan 1 untuk entri: Ruang lingkup audit umumnya mencakup deskripsi lokasi fisik dan virtual, fungsi, unit organisasi, aktivitas dan proses, serta periode waktu yang dicakup. Catatan 2 untuk entri: Lokasi virtual adalah tempat organisasi melakukan pekerjaan atau menyediakan layanan menggunakan lingkungan on-line yang memungkinkan individu terlepas dari lokasi fisik untuk menjalankan proses.
[SUMBER: ISO 9000: 2015, 3.13.5, dimodifikasi - Catatan 1 entri telah dimodifikasi, Catatan 2 entri telah ditambahkan] 3.6 rencana audit deskripsitentang kegiatan dan pengaturan untuk audit ( 3.1) [SUMBER: ISO 9000: 2015, 3.13.6] 3.7 kriteria audit serangkaian persyaratan (3.23) yang digunakan sebagai referensi untuk bukti obyektif (3.8) membandingkan Catatan 1 untuk entri: Jika kriteria audit legal (termasuk undang-undang atau peraturan ) persyaratan, kata "kepatuhan" atau "ketidakpatuhan" sering digunakan dalam temuan audit (3.10). Catatan 2 untuk entri: Persyaratan dapat mencakup kebijakan, prosedur, instruksi kerja, persyaratan hukum, kewajiban kontrak, dll.
[SUMBER: ISO 9000: 2015, 3.13.7, dimodifikasi - definisi telah diubah dan Catatan untuk entri 1 dan 2 memiliki telah ditambahkan] 3.8 bukti obyektif yang datamendukung keberadaan atau kebenaran sesuatu Catatan 1 untuk masukan: Bukti obyektif dapat diperoleh melalui observasi, pengukuran, tes atau dengan cara lain. Catatan 2 untuk entri: Bukti obyektif untuk tujuan audit (3.1) umumnya terdiri dari catatan, pernyataan fakta, atau informasi lain yang relevan dengan kriteria audit ( 3.7) dan dapat diverifikasi.
[SUMBER: ISO 9000: 2015, 3.8.3] 3.9 bukti audit catatan, pernyataan fakta atau informasi lain, yang relevan dengan kriteria audit ( 3.7) dan dapat diverifikasi [SUMBER: ISO 9000: 2015, 3.13.8]
2 © ISO 2018 - All rights reserved
ISO 19011: 2018 (E)
3.10 temuan audit hasil evaluasi daridikumpulkan bukti audit yang (3.9) terhadap kriteria audit (3.7) Catatan 1 untuk entri: Temuan audit menunjukkan kesesuaian (3.20) atau ketidaksesuaian (3.21). Catatan 2 untuk entri: Temuan audit dapat mengarah pada identifikasi risiko, peluang untuk perbaikan atau pencatatan praktik yang baik. Catatan 3 untuk masukan: Dalam bahasa Inggris, jika kriteria audit dipilih dari persyaratan perundang-undangan atau persyaratan peraturan, temuan audit disebut kepatuhan atau ketidakpatuhan.
[SUMBER: ISO 9000: 2015, 3.13.9, dimodifikasi - Catatan untuk entri 2 dan 3 telah dimodifikasi] 3.11 kesimpulan audit hasildari suatu audit ( 3.1), setelah mempertimbangkan tujuan audit dan semua temuan audit (3.10) [SUMBER : ISO 9000: 2015, 3.13.10] 3.12 klien audit organisasiatau orang yang meminta audit ( 3.1) Catatan 1 untuk entri: Dalam kasus audit internal, klien audit juga dapat menjadi auditi (3.13) atau individu yang mengelola program audit. Permintaan untuk audit eksternal dapat berasal dari sumber seperti regulator, pihak yang mengadakan kontrak, atau klien potensial atau klien yang sudah ada.
[SUMBER: ISO 9000: 2015, 3.13.11, diubah - Catatan 1 entri telah ditambahkan] 3.13 auditee organisasisecara keseluruhan atau sebagian diaudit [SUMBER: ISO 9000: 2015, 3.13.12, diubah] 3.14 tim audit satu atau lebih orang yang melakukan audit (3.1), didukung jika diperlukan oleh ahli teknis (3.16) Catatan 1 untuk entri: Satu auditor (3.15) dari tim audit (3.14) ditunjuk sebagai ketua tim audit. Catatan 2 untuk entri: Tim audit dapat memasukkan auditor-dalam-pelatihan.
[SUMBER: ISO 9000: 2015, 3.13.14] 3.15 auditor
orangyang melakukan audit ( 3.1) [SUMBER: ISO 9000: 2015, 3.13.15] 3.16 pakar teknis orang yang memberikan pengetahuan atau keahlian khusus kepada tim audit ( 3.14) Catatan 1 untuk entri: Pengetahuan atau keahlian khusus berkaitan dengan organisasi, aktivitas, proses, produk, layanan, disiplin yang diaudit, atau bahasa atau budaya. Catatan 2 untuk entri: Seorang ahli teknis untuk tim audit (3.14) tidak bertindak sebagai auditor (3.15). [SUMBER: ISO 9000: 2015, 3.13.16, dimodifikasi - Catatan untuk entri 1 dan 2 telah
dimodifikasi]
ISO 19011: 2018 (E)
© ISO 2018 - Semua hak dilindungi undang-undang 3
3.17 pengamat individuyang mendampingi tim audit (3.14) tetapi tidak bertindak sebagai auditor ( 3.15) [SUMBER: ISO 9000: 2015, 3.13.17, dimodifikasi] 3.18 sistem manajemen kumpulandari elemen yang saling terkait atau berinteraksi dari suatu organisasi untuk menetapkan kebijakan dan tujuan, dan proses (3.24) untuk mencapainya tujuan Catatan 1 untuk entri: Sebuah sistem manajemen dapat menangani satu disiplin atau beberapa disiplin ilmu, misalnya manajemen mutu, manajemen keuangan atau manajemen lingkungan. Catatan 2 untuk entri: Elemen sistem manajemen menetapkan struktur, peran dan tanggung jawab organisasi, perencanaan, operasi, kebijakan, praktik, aturan, keyakinan, tujuan, dan proses untuk mencapai tujuan tersebut. Catatan 3 untuk entri: Ruang lingkup sistem manajemen dapat mencakup keseluruhan organisasi, fungsi organisasi yang spesifik dan teridentifikasi, bagian organisasi yang spesifik dan teridentifikasi, atau satu atau lebih fungsi di seluruh grup organisasi.
[SUMBER: ISO 9000: 2015, 3.5.3, dimodifikasi - Catatan 4 entri telah dihapus] 3.19 risiko efekketidakpastian Catatan 1 untuk entri: Efek adalah penyimpangan dari yang diharapkan - positif atau negatif. Catatan 2 untuk entri: Ketidakpastian adalah keadaan, bahkan sebagian, dari kekurangan informasi yang berkaitan dengan, pemahaman atau pengetahuan tentang, suatu peristiwa, konsekuensi dan kemungkinannya. Catatan 3 untuk entri: Risiko sering ditandai dengan referensi ke peristiwa potensial (sebagaimana didefinisikan dalam ISO Guide 73: 2009, 3.5.1.3) dan konsekuensi (sebagaimana didefinisikan dalam ISO Guide 73: 2009, 3.6.1.3), atau kombinasi dari semuanya . Catatan 4 untuk entri: Risiko sering dinyatakan dalam kombinasi konsekuensi dari suatu peristiwa (termasuk perubahan keadaan) dan kemungkinan terkait (sebagaimana didefinisikan dalam ISO Guide 73: 2009, 3.6.1.1) terjadinya.
[SUMBER: ISO 9000: 2015, 3.7.9, dimodifikasi - Catatan untuk entri 5 dan 6 telah dihapus] 3.20 kesesuaian pemenuhansuatu persyaratan ( 3.23) [SUMBER: ISO 9000: 2015, 3.6.11, diubah - Catatan 1 untuk entri telah dihapus] 3.21 ketidaksesuaian tidak terpenuhinya persyaratan ( 3 .23) [SUMBER: ISO 9000: 2015, 3.6.9, dimodifikasi - Catatan 1 hingga entri telah dihapus] 3.22 kompetensi kemampuanuntuk menerapkan pengetahuan dan keterampilan untuk mencapai hasil yang diinginkan [SUMBER: ISO 9000: 2015, 3.10.4, dimodifikasi - Catatan untuk entri telah dihapus] 4 © ISO 2018 -
Semua hak dilindungi undang-undang
ISO 19011: 2018 (E)
3.23 kebutuhanpersyaratan atau harapanyang dinyatakan, secara umum tersirat atau wajib Catatan 1 untuk entri: "Secara umum tersirat" berarti bahwa itu adalah kebiasaan atau praktik umum untuk organisasi dan pihak yang berkepentingan yang tersirat oleh kebutuhan atau harapan yang sedang dipertimbangkan. Catatan 2 untuk entri: Persyaratan yang ditentukan adalah salah satu yang dinyatakan, misalnya dalam informasi terdokumentasi. [SUMBER: ISO 9000: 2015, 3.6.4, dimodifikasi - Catatan untuk entri
3, 4, 5, dan 6 telah dihapus] 3.24 proses kumpulanaktivitas yang saling terkait atau berinteraksi yang menggunakan masukan untuk memberikan hasil yang diinginkan [SUMBER: ISO 9000: 2015, 3.4.1, dimodifikasi - Catatan untuk entri telah dihapus] 3.25 kinerja hasil yang dapat diukur Catatan 1 untuk entri: Kinerja dapat berhubungan baik dengan temuan kuantitatif atau kualitatif.
Catatan 2 untuk entri: Kinerja dapat berhubungan dengan pengelolaan aktivitas, proses ( 3 .24), produk, layanan, sistem atau organisasi.
[SUMBER: ISO 9000: 2015, 3.7.8, dimodifikasi - Catatan 3 entri telah dihapus] 3,26 efektivitas sejauhke mana kegiatan yang direncanakan terealisasi dan hasil yang direncanakan tercapai [SUMBER: ISO 9000: 2015, 3.7.11, dimodifikasi - Catatan 1 entri telah dihapus]
4 Prinsip audit Auditing ditandai dengan ketergantungan pada sejumlah prinsip. Prinsip-prinsip ini harus membantu membuat audit menjadi alat yang efektif dan andal dalam mendukung kebijakan dan pengendalian manajemen, dengan memberikan informasi yang dapat digunakan organisasi untuk meningkatkan kinerjanya. Kepatuhan terhadap prinsip-prinsip ini merupakan prasyarat untuk memberikan kesimpulan audit yang relevan dan memadai, dan untuk memungkinkan auditor, bekerja secara independen satu sama lain, untuk mencapai kesimpulan yang sama dalam keadaan yang serupa. Panduan yang diberikan dalam Klausul 5 sampai 7 didasarkan pada tujuh prinsip yang diuraikan di bawah ini. a) Integritas: fondasi profesionalisme Auditor dan individu yang mengelola program audit harus: - melakukan pekerjaan mereka secara etis, dengan kejujuran dan tanggung jawab; - hanya melakukan aktivitas audit jika kompeten untuk melakukannya; - melakukan pekerjaan mereka dengan cara yang tidak memihak, yaitu tetap adil dan tidak memihak dalam semua urusan mereka; - peka terhadap pengaruh apa pun yang mungkin digunakan dalam penilaian mereka saat melaksanakan audit. b) Penyajian yang wajar: kewajiban untuk melaporkan secara jujur dan akurat temuan audit, kesimpulan audit dan laporan audit harus mencerminkan kegiatan audit secara jujur dan akurat. Hambatan signifikan yang dihadapi selama audit dan perbedaan yang tidak terselesaikan
ISO 19011: 2018 (E)
© ISO 2018 - All rights reserved 5
opini antara tim audit dan auditee harus dilaporkan. Komunikasi harus jujur, akurat, obyektif, tepat waktu, jelas dan lengkap. c) Kecermatan profesional: penerapan ketekunan dan pertimbangan dalam mengaudit Auditor harus melakukan kehati-hatian sesuai dengan pentingnya tugas yang mereka lakukan dan kepercayaan yang diberikan oleh klien audit dan pihak lain yang berkepentingan. Faktor penting dalam melaksanakan pekerjaan mereka dengan kehati-hatian profesional adalah memiliki kemampuan untuk membuat pertimbangan yang masuk akal dalam semua situasi audit. d) Kerahasiaan: keamanan informasi Auditor harus berhati-hati dalam menggunakan dan melindungi informasi yang diperoleh selama menjalankan tugasnya. Informasi audit tidak boleh digunakan secara tidak tepat untuk keuntungan pribadi oleh auditor atau klien audit, atau dengan cara yang merugikan kepentingan sah auditi.
Konsep ini mencakup penanganan yang tepat atas informasi sensitif atau rahasia. e) Independensi: dasar untuk ketidakberpihakan audit dan objektivitas kesimpulan audit. Auditor harus independen dari aktivitas yang diaudit jika memungkinkan, dan dalam semua kasus harus bertindak dengan cara yang bebas dari bias dan konflik kepentingan. Untuk audit internal, auditor harus independen dari fungsi yang diaudit jika memungkinkan. Auditor harus menjaga objektivitas selama proses audit untuk memastikan bahwa temuan dan kesimpulan audit hanya didasarkan pada bukti audit. Untuk organisasi kecil, auditor internal mungkin tidak dapat sepenuhnya independen dari aktivitas yang diaudit, tetapi setiap upaya harus dilakukan untuk menghilangkan bias dan mendorong objektivitas. f) Pendekatan berbasis bukti: metode rasional untuk mencapai kesimpulan audit yang andal dan dapat direproduksi dalam proses audit yang sistematis Bukti audit harus dapat diverifikasi. Secara umum, audit harus didasarkan pada contoh informasi yang tersedia, karena audit dilakukan selama periode waktu yang terbatas dan dengan sumber daya yang terbatas. Penggunaan pengambilan sampel yang tepat harus diterapkan, karena hal ini terkait erat dengan keyakinan yang dapat ditempatkan dalam kesimpulan audit. g) Pendekatan berbasis risiko: pendekatan audit yang mempertimbangkan risiko dan peluang Pendekatan berbasis risiko harus secara substantif memengaruhi perencanaan, pelaksanaan, dan pelaporan audit untuk memastikan bahwa audit difokuskan pada hal-hal yang signifikan bagi klien audit, dan untuk mencapai tujuan program audit.
5 Mengelola program audit 5.1 Umum Program audit harus ditetapkan yang dapat mencakup audit yang menangani satu atau lebih standar sistem manajemen atau persyaratan lain, yang dilakukan secara terpisah atau dalam kombinasi (audit gabungan). Cakupan program audit harus didasarkan pada ukuran dan sifat auditi, serta sifat, fungsionalitas, kompleksitas, jenis risiko dan peluang, dan tingkat kematangan sistem manajemen yang akan dilaksanakan. diaudit. Fungsionalitas sistem manajemen dapat menjadi lebih kompleks ketika sebagian besar fungsi penting dialihdayakan dan dikelola di bawah kepemimpinan organisasi lain. Perhatian khusus perlu diberikan pada di mana keputusan paling penting dibuat dan apa yang merupakan manajemen puncak dari sistem manajemen.
6 © ISO 2018 - Semua hak dilindungi undang-undang
ISO 19011: 2018 (E)
Dalam kasus beberapa lokasi / situs (misalnya negara yang berbeda), atau di mana fungsi penting dialihdayakan dan dikelola di bawah kepemimpinan organisasi lain, perhatian khusus harus diberikan desain, perencanaan dan validasi program audit. Dalam kasus organisasi yang lebih kecil atau kurang kompleks, program audit dapat diskalakan dengan tepat. Untuk memahami konteks auditi, program audit harus mempertimbangkan:diaudit
- tujuan organisasi yang; - masalah eksternal dan internal yang relevan; - kebutuhan dan harapan pihak berkepentingan yang relevan; - persyaratan keamanan dan kerahasiaan informasi. Perencanaan program audit internal dan, dalam beberapa kasus, program untuk mengaudit penyedia eksternal, dapat diatur untuk berkontribusi pada tujuan lain organisasi. Individu yang mengelola program audit harus memastikan integritas audit dipertahankan dan tidak ada pengaruh yang tidak semestinya yang diberikan atas audit tersebut. Prioritas audit harus diberikan untuk mengalokasikan sumber daya dan metode untuk hal-hal dalam sistem manajemen dengan risiko inheren yang lebih tinggi dan tingkat kinerja yang lebih rendah. Individu yang kompeten harus ditugaskan untuk mengelola program audit. Program audit harus mencakup informasi dan mengidentifikasi sumber daya untuk memungkinkan audit dilakukan secara efektif dan efisien dalam kerangka waktu yang ditentukan. Informasi tersebut harus mencakup: a) tujuan program audit; b) risiko dan peluang yang terkait dengan program audit (lihat 5.3) dan tindakan untuk mengatasinya; c) ruang lingkup (luas, batas, lokasi) dari setiap audit dalam program audit; d) jadwal (jumlah / durasi / frekuensi) audit; e) jenis audit, seperti internal atau eksternal; f) kriteria audit; g) metode audit yang akan digunakan; h) kriteria untuk memilih anggota tim audit; i) informasi terdokumentasi yang relevan. Beberapa dari informasi ini mungkin tidak tersedia sampai perencanaan audit yang lebih rinci selesai. Pelaksanaan program audit harus dipantau dan diukur secara berkelanjutan (lihat 5.6) untuk memastikan tujuannya telah tercapai. Program audit harus ditinjau untuk mengidentifikasi kebutuhan perubahan dan kemungkinan peluang untuk perbaikan (lihat 5.7). Gambar 1 mengilustrasikan aliran proses untuk pengelolaan program audit. © ISO 2018 - All rights
reserved 7
ISO 19011: 2018 (E)
CATATAN 1 Gambar ini mengilustrasikan penerapan siklus Plan-Do-Check-Act dalam dokumen ini.
CATATAN 2 Penomoran klausul / sub klausul mengacu pada klausul / sub klausul yang relevan dari dokumen ini.
Gambar 1 - Alur proses untuk pengelolaan program audit
8 © ISO 2018 - Hak cipta dilindungi undang-undang
ISO 19011: 2018 (E)
5.2 Menetapkan tujuan program audit Klien audit harus memastikan bahwa tujuan program audit ditetapkan untuk mengarahkan perencanaan dan pelaksanaan audit dan harus memastikan program audit dilaksanakan secara efektif. Tujuan program audit harus konsisten dengan arahan strategis klien audit dan mendukung kebijakan dan tujuan sistem manajemen. Tujuan tersebut dapat didasarkan pada pertimbangan berikut ini: a) kebutuhan dan harapan pihak terkait, baik eksternal maupun internal; b) karakteristik dan persyaratan untuk proses, produk, layanan dan proyek, dan setiap perubahannya; c) persyaratan sistem manajemen; d) kebutuhan untuk evaluasi penyedia eksternal; e) tingkat kinerja auditee dan tingkat kematangan sistem manajemen, sebagaimana tercermin dalam indikator kinerja yang relevan (misalnya KPI), terjadinya ketidaksesuaian atau insiden atau keluhan dari pihak yang berkepentingan; f) mengidentifikasi risiko dan peluang yang diaudit; g) hasil audit sebelumnya. Contoh tujuan program audit dapat mencakup berikut ini: - mengidentifikasi peluang untuk peningkatan sistem manajemen dan kinerjanya; mengevaluasi kemampuan auditi untuk menentukan konteksnya; - mengevaluasi kemampuan auditee untuk menentukan risiko dan peluang serta mengidentifikasi dan menerapkan tindakan efektif untuk mengatasinya; - memenuhi semua persyaratan yang relevan, misalnya persyaratan undang-undang dan peraturan, komitmen kepatuhan, persyaratan sertifikasi untuk standar sistem manajemen; - mendapatkan dan mempertahankan kepercayaan pada kemampuan penyedia eksternal; - menentukan kesesuaian, kecukupan, dan efektivitas sistem manajemen yang diaudit secara berkelanjutan; - mengevaluasi kesesuaian dan penyelarasan tujuan sistem manajemen dengan arah strategis organisasi.
5.3 Menentukan dan mengevaluasi risiko dan peluang program audit Terdapat risiko dan peluang yang terkait dengan konteks auditee yang dapat dikaitkan dengan program audit dan dapat memengaruhi pencapaian tujuannya. Individu yang mengelola program audit harus mengidentifikasi dan menyajikan kepada klien audit risiko dan peluang yang dipertimbangkan saat mengembangkan program audit dan persyaratan sumber daya, sehingga dapat ditangani dengan tepat.
Terdapat risiko yang terkait dengan hal-hal berikut: a) perencanaan, misalnya kegagalan untuk menetapkan tujuan audit yang relevan dan menentukan luas, jumlah, durasi, lokasi, dan jadwal audit; b) sumber daya, misalnya memberikan waktu, peralatan dan / atau pelatihan yang tidak memadai untuk mengembangkan program audit atau melaksanakan audit; c) pemilihan tim audit, misalnya kompetensi keseluruhan yang tidak memadai untuk melakukan audit secara efektif; © ISO 2018 - All rights reserved 9
ISO 19011: 2018 (E)
d) komunikasi, misalnya proses / saluran komunikasi eksternal / internal yang tidak efektif; e) implementasi, misalnya koordinasi audit yang tidak efektif dalam program audit, atau tidak mempertimbangkan keamanan dan kerahasiaan informasi; f) pengendalian informasi terdokumentasi, misalnya penentuan yang tidak efektif dari informasi terdokumentasi yang diperlukan yang diperlukan oleh auditor dan pihak berkepentingan terkait, kegagalan untuk melindungi catatan audit secara memadai untuk menunjukkan efektivitas program audit; g) memantau, meninjau dan meningkatkan program audit, misalnya pemantauan hasil program audit yang tidak efektif; h) ketersediaan dan kerjasama auditee dan ketersediaan bukti untuk dijadikan sampel. Peluang untuk meningkatkan program audit dapat mencakup: - memungkinkan beberapa audit dilakukan dalam satu kunjungan; - meminimalkan waktu dan jarak perjalanan ke situs; - menyesuaikan tingkat kompetensi tim audit dengan tingkat kompetensi yang diperlukan untuk mencapai tujuan audit; - menyelaraskan tanggal audit dengan ketersediaan staf kunci yang diaudit.
5.4 Menetapkan program audit 5.4.1 Peran dan tanggung jawab individu yang mengelola program audit Individu yang mengelola program audit harus: a) menetapkan luas program audit sesuai dengan tujuan yang relevan (lihat 5.2) dan kendala yang diketahui; b) menentukan masalah eksternal dan internal, serta risiko dan peluang yang dapat memengaruhi program audit, dan menerapkan tindakan untuk mengatasinya, mengintegrasikan tindakan ini dalam semua aktivitas audit yang relevan, jika sesuai; c) memastikan pemilihan tim audit dan kompetensi keseluruhan untuk kegiatan audit dengan menetapkan peran, tanggung jawab dan wewenang, dan kepemimpinan pendukung, yang sesuai; d) menetapkan semua proses yang relevan termasuk proses untuk: - koordinasi dan penjadwalan semua audit dalam program audit;
- penetapan tujuan audit, ruang lingkup dan kriteria audit, penentuan metode audit dan pemilihan tim audit; - mengevaluasi auditor; - pembentukan proses komunikasi eksternal dan internal, yang sesuai; - resolusi perselisihan dan penanganan pengaduan; - audit tindak lanjut jika berlaku; - melaporkan kepada klien audit dan pihak berkepentingan yang relevan, yang sesuai. e) menentukan dan memastikan penyediaan semua sumber daya yang diperlukan; f) memastikan bahwa informasi terdokumentasi yang tepat disiapkan dan dipelihara, termasuk catatan program audit;
10 © ISO 2018 - Semua hak dilindungi undang-undang
ISO 19011: 2018 (E)
g) memantau, meninjau, dan meningkatkan program audit; h) mengkomunikasikan program audit kepada klien audit dan, jika sesuai, pihak berkepentingan yang relevan. Individu yang mengelola program audit harus meminta persetujuannya dari klien audit. 5.4.2 Kompetensi individu yang mengelola program audit Individu yang mengelola program audit harus memiliki kompetensi yang diperlukan untuk mengelola program dan risiko serta peluang terkait serta masalah eksternal dan internal secara efektif dan efisien, termasuk pengetahuan tentang: a ) prinsip audit (lihat Klausul 4), metode dan proses (lihat A.1 dan A.2); b) standar sistem manajemen, standar relevan lainnya dan dokumen acuan / pedoman; c) informasi mengenai auditi dan konteksnya (misalnya masalah eksternal / internal, pihak berkepentingan yang relevan serta kebutuhan dan harapan mereka, aktivitas bisnis, produk, layanan, dan proses yang diaudit); d) persyaratan perundang-undangan dan peraturan yang berlaku serta persyaratan lain yang relevan dengan aktivitas bisnis auditee. Jika sesuai, pengetahuan tentang manajemen risiko, manajemen proyek dan proses, serta teknologi informasi dan komunikasi (TIK) dapat dipertimbangkan. Individu yang mengelola program audit harus terlibat dalam aktivitas pengembangan berkelanjutan yang sesuai untuk mempertahankan kompetensi yang diperlukan untuk mengelola program audit. 5.4.3 Menetapkan luas program audit Individu yang mengelola program audit harus menentukan luas program audit. Hal ini dapat bervariasi tergantung pada informasi yang diberikan oleh auditi mengenai konteksnya (lihat 5.3). CATATAN Dalam kasus tertentu, tergantung pada struktur auditi atau aktivitasnya, program audit mungkin hanya terdiri dari satu audit (misalnya proyek atau organisasi kecil).
Faktor-faktor lain yang memengaruhi luas program audit dapat mencakup hal-hal berikut: a) tujuan, ruang lingkup dan durasi setiap audit dan jumlah audit yang akan dilaksanakan, metode pelaporan dan, jika berlaku, tindak lanjut audit; b) standar sistem manajemen atau kriteria lain yang berlaku; c) jumlah, kepentingan, kompleksitas, kesamaan dan lokasi kegiatan yang diaudit; d) faktor-faktor yang mempengaruhi efektivitas sistem manajemen; e) kriteria audit yang berlaku, seperti pengaturan yang direncanakan untuk standar sistem manajemen yang relevan, persyaratan perundang-undangan dan peraturan dan persyaratan lain yang menjadi komitmen organisasi; f) hasil audit internal atau eksternal sebelumnya dan tinjauan manajemen, jika sesuai; g) hasil review program audit sebelumnya; h) masalah bahasa, budaya dan sosial; i) kekhawatiran pihak yang berkepentingan, seperti keluhan pelanggan, ketidakpatuhan dengan persyaratan undang-undang dan peraturan, dan persyaratan lain yang menjadi komitmen organisasi, atau masalah rantai pasokan;
ISO 19011: 2018 (E)
© ISO 2018 - All rights reserved 11
j) perubahan signifikan pada konteks auditi atau operasinya serta risiko dan peluang terkait; k) ketersediaan teknologi informasi dan komunikasi untuk mendukung aktivitas audit, khususnya penggunaan metode audit jarak jauh (lihat A.16); l) terjadinya peristiwa internal dan eksternal, seperti ketidaksesuaian produk atau layanan, kebocoran keamanan informasi, insiden kesehatan dan keselamatan, tindakan kriminal atau insiden lingkungan; m) risiko dan peluang bisnis, termasuk tindakan untuk mengatasinya. 5.4.4 Menentukan sumber daya program audit Ketika menentukan sumber daya untuk program audit, individu yang mengelola program audit harus mempertimbangkan: a) sumber daya keuangan dan waktu yang diperlukan untuk mengembangkan, menerapkan, mengelola dan meningkatkan kegiatan audit; b) metode audit (lihat A.1); c) ketersediaan individu dan keseluruhan auditor dan pakar teknis yang memiliki kompetensi yang sesuai dengan tujuan program audit tertentu; d) luas program audit (lihat 5.4.3) dan risiko dan peluang program audit (lihat 5.3); e) waktu dan biaya perjalanan, akomodasi dan kebutuhan audit lainnya; f) dampak zona waktu yang berbeda; g) ketersediaan teknologi informasi dan komunikasi (misalnya, sumber daya teknis yang diperlukan untuk menyiapkan audit jarak jauh menggunakan teknologi yang mendukung kolaborasi jarak jauh); h) ketersediaan alat, teknologi dan perlengkapan yang dibutuhkan;
i) ketersediaan informasi terdokumentasi yang diperlukan, sebagaimana ditentukan selama pembentukan program audit (lihat A.5); j) persyaratan yang terkait dengan fasilitas, termasuk izin dan perlengkapan keamanan (misalnya pemeriksaan latar belakang, alat pelindung diri, kemampuan mengenakan pakaian bersih).
5.5 Pelaksanaan program audit 5.5.1 Umum Setelah program audit ditetapkan (lihat 5.4.3) dan sumber daya terkait telah ditentukan (lihat 5.4.4) perlu untuk melaksanakan perencanaan operasional dan koordinasi semua kegiatan dalam program. Individu yang mengelola program audit harus: a) mengkomunikasikan bagian yang relevan dari program audit, termasuk risiko dan peluang yang terlibat, kepada pihak yang berkepentingan yang relevan dan menginformasikan kemajuannya secara berkala, menggunakan saluran komunikasi eksternal dan internal yang telah ditetapkan; b) menentukan tujuan, ruang lingkup dan kriteria untuk setiap audit individu; c) memilih metode audit (lihat A.1); d) mengoordinasikan dan menjadwalkan audit dan aktivitas lain yang relevan dengan program audit; e) memastikan tim audit memiliki kompetensi yang diperlukan (lihat 5.5.4); 12 © ISO 2018 - Semua hak dilindungi undang-undang
ISO 19011: 2018 (E)
f) menyediakan sumber daya individu dan keseluruhan yang diperlukan untuk tim audit (lihat 5.4.4); g) memastikan pelaksanaan audit sesuai dengan program audit, mengelola semua risiko operasional, peluang dan masalah (misalnya, kejadian tak terduga), yang muncul selama penerapan program; h) memastikan informasi terdokumentasi yang relevan mengenai kegiatan audit dikelola dan dipelihara dengan baik (lihat 5.5.7); i) menentukan dan menerapkan pengendalian operasional (lihat 5.6) yang diperlukan untuk pemantauan program audit; j) meninjau program audit untuk mengidentifikasi peluang untuk perbaikannya (lihat 5.7). 5.5.2 Mendefinisikan tujuan, ruang lingkup dan kriteria untuk audit individu Setiap audit individu harus didasarkan pada tujuan, ruang lingkup dan kriteria audit yang ditetapkan. Ini harus konsisten dengan tujuan program audit secara keseluruhan. Tujuan audit menentukan apa yang harus dicapai oleh audit individu dan dapat mencakup hal-hal berikut: a) penentuan tingkat kesesuaian sistem manajemen yang akan diaudit, atau bagian-bagiannya, dengan kriteria audit; b) evaluasi kemampuan sistem manajemen untuk membantu organisasi dalam memenuhi persyaratan perundang-undangan dan peraturan yang relevan serta persyaratan lain yang menjadi komitmen organisasi;
c) evaluasi efektivitas sistem manajemen dalam memenuhi hasil yang diinginkan; d) identifikasi peluang untuk potensi perbaikan sistem manajemen; e) evaluasi kesesuaian dan kecukupan sistem manajemen sehubungan dengan konteks dan arahan strategis auditee; f) evaluasi kemampuan sistem manajemen untuk menetapkan dan mencapai tujuan dan secara efektif menangani risiko dan peluang, dalam konteks yang berubah, termasuk implementasi tindakan terkait. Ruang lingkup audit harus konsisten dengan program audit dan tujuan audit. Ini mencakup faktor-faktor seperti lokasi, fungsi, aktivitas dan proses yang diaudit, serta periode waktu yang dicakup oleh audit. Kriteria audit digunakan sebagai acuan untuk menentukan kesesuaian. Ini dapat mencakup satu atau lebih dari berikut ini: kebijakan, proses, prosedur, kriteria kinerja yang berlaku termasuk tujuan, persyaratan perundang-undangan dan peraturan, persyaratan sistem manajemen, informasi mengenai konteks dan risiko serta peluang yang ditentukan oleh auditi (termasuk eksternal / persyaratan pihak yang berkepentingan internal), kode etik sektor atau pengaturan terencana lainnya. Jika terjadi perubahan pada tujuan, ruang lingkup atau kriteria audit, program audit harus dimodifikasi jika perlu dan dikomunikasikan kepada pihak yang berkepentingan, untuk mendapatkan persetujuan jika sesuai. Jika lebih dari satu disiplin ilmu diaudit pada saat yang sama, penting agar tujuan, ruang lingkup, dan kriteria audit konsisten dengan program audit yang relevan untuk setiap disiplin. Beberapa disiplin ilmu dapat memiliki ruang lingkup yang mencerminkan keseluruhan organisasi dan yang lainnya dapat memiliki ruang lingkup yang mencerminkan bagian dari keseluruhan organisasi.
ISO 19011: 2018 (E)
© ISO 2018 - All rights reserved 13
5.5.3 Memilih dan menentukan metode audit Individu yang mengelola program audit harus memilih dan menentukan metode untuk melaksanakan audit secara efektif dan efisien, tergantung pada definisi yang ditetapkan. tujuan, ruang lingkup dan kriteria audit. Audit dapat dilakukan di tempat, dari jarak jauh, atau sebagai kombinasi. Penggunaan metode ini harus seimbang, antara lain berdasarkan pertimbangan risiko dan peluang yang terkait. Jika dua atau lebih organisasi audit melakukan audit bersama atas auditi yang sama, individu yang mengelola program audit yang berbeda harus menyetujui metode audit dan mempertimbangkan implikasinya terhadap sumber daya dan perencanaan audit. Jika seorang auditi mengoperasikan dua atau lebih sistem manajemen dari disiplin ilmu yang berbeda, audit gabungan dapat dimasukkan dalam program audit. 5.5.4 Memilih anggota tim audit Individu yang mengelola program audit harus menunjuk anggota tim audit, termasuk ketua tim dan semua pakar teknis yang diperlukan untuk audit tertentu. Tim audit harus dipilih, dengan mempertimbangkan kompetensi yang diperlukan untuk mencapai tujuan audit individu dalam ruang lingkup yang ditentukan. Jika hanya ada satu auditor, auditor harus melakukan semua tugas yang berlaku dari seorang ketua tim audit.
CATATAN Klausul 7 berisi panduan untuk menentukan kompetensi yang diperlukan untuk anggota tim audit dan menjelaskan proses untuk mengevaluasi auditor.
Untuk memastikan kompetensi tim audit secara keseluruhan, langkah-langkah berikut harus dilakukan: - identifikasi kompetensi yang diperlukan untuk mencapai tujuan audit; - pemilihan anggota tim audit sehingga kompetensi yang diperlukan ada dalam tim audit. Dalam menentukan ukuran dan komposisi tim audit untuk audit tertentu, pertimbangan harus diberikan sebagai berikut: a) kompetensi keseluruhan tim audit yang diperlukan untuk mencapai tujuan audit, dengan mempertimbangkan ruang lingkup dan kriteria audit; b) kompleksitas audit; c) apakah audit tersebut merupakan audit gabungan atau gabungan; d) metode audit yang dipilih; e) memastikan objektivitas dan ketidakberpihakan untuk menghindari konflik kepentingan proses audit; f) kemampuan anggota tim audit untuk bekerja dan berinteraksi secara efektif dengan perwakilan auditi dan pihak terkait yang berkepentingan; g) masalah eksternal / internal yang relevan, seperti bahasa audit, dan karakteristik sosial dan budaya auditi. Masalah-masalah ini dapat diatasi baik dengan keterampilan auditor sendiri atau melalui dukungan seorang ahli teknis, juga mempertimbangkan kebutuhan akan penerjemah; h) jenis dan kompleksitas proses yang akan diaudit. Jika sesuai, individu yang mengelola program audit harus berkonsultasi dengan ketua tim tentang komposisi tim audit. Jika kompetensi yang diperlukan tidak tercakup oleh auditor dalam tim audit, ahli teknis dengan kompetensi tambahan harus tersedia untuk mendukung tim tersebut. Auditor-dalam-pelatihan dapat dimasukkan dalam tim audit, tetapi harus berpartisipasi di bawah arahan dan bimbingan auditor. 14 © ISO 2018 - Semua hak dilindungi undang-undang
ISO 19011: 2018 (E)
Perubahan pada komposisi tim audit mungkin diperlukan selama audit, misalnya jika konflik kepentingan atau masalah kompetensi muncul. Jika situasi seperti itu muncul, hal itu harus diselesaikan dengan pihak yang sesuai (misalnya ketua tim audit, individu yang mengelola program audit, klien audit atau auditi) sebelum perubahan apa pun dilakukan. 5.5.5 Menetapkan tanggung jawab untuk audit individu kepada ketua tim audit Individu yang mengelola program audit harus menetapkan tanggung jawab untuk melakukan audit individu kepada pemimpin tim audit. Penugasan harus dilakukan dalam waktu yang cukup sebelum tanggal audit yang dijadwalkan, untuk memastikan perencanaan audit yang efektif. Untuk memastikan pelaksanaan audit individu yang efektif, informasi berikut harus diberikan kepada ketua tim audit: a) tujuan audit;
b) kriteria audit dan informasi terdokumentasi yang relevan; c) ruang lingkup audit, termasuk identifikasi organisasi dan fungsi serta prosesnya yang diaudit; d) proses audit dan metode terkait; e) komposisi tim audit; f) rincian kontak auditee, lokasi, kerangka waktu dan durasi kegiatan audit yang akan dilakukan; g) sumber daya yang diperlukan untuk melakukan audit; h) informasi yang diperlukan untuk mengevaluasi dan menangani risiko dan peluang yang teridentifikasi untuk pencapaian tujuan audit; i) informasi yang mendukung pemimpin tim audit dalam interaksinya dengan auditi untuk efektivitas program audit. Informasi penugasan juga harus mencakup hal-hal berikut, jika sesuai: - bahasa kerja dan pelaporan audit yang berbeda dari bahasa auditor atau auditi, atau keduanya; - hasil pelaporan audit sebagaimana diperlukan dan kepada siapa itu akan didistribusikan; - hal-hal yang berkaitan dengan kerahasiaan dan keamanan informasi, seperti yang dipersyaratkan oleh program audit; - pengaturan kesehatan, keselamatan, dan lingkungan apa pun untuk auditor; - persyaratan untuk perjalanan atau akses ke situs terpencil; - persyaratan keamanan dan otorisasi apa pun; - tindakan apa pun yang akan ditinjau, misalnya tindakan tindak lanjut dari audit sebelumnya; - koordinasi dengan aktivitas audit lain, misalnya ketika tim yang berbeda mengaudit proses yang serupa atau terkait di lokasi berbeda atau dalam kasus audit bersama. Jika audit bersama dilakukan, penting untuk mencapai kesepakatan di antara organisasi yang melakukan audit, sebelum audit dimulai, tentang tanggung jawab khusus masing-masing pihak, terutama yang berkaitan dengan wewenang ketua tim yang ditunjuk untuk audit.
ISO 19011: 2018 (E)
© ISO 2018 - All rights reserved 15
5.5.6 Mengelola hasil program audit Individu yang mengelola program audit harus memastikan bahwa kegiatan berikut dilakukan: a) evaluasi pencapaian tujuan untuk setiap audit dalam program audit; b) review dan persetujuan laporan audit tentang pemenuhan ruang lingkup dan tujuan audit; c) penelaahan atas efektivitas tindakan yang diambil untuk menangani temuan audit; d) distribusi laporan audit kepada pihak terkait yang berkepentingan; e) penentuan perlunya audit tindak lanjut. Individu yang mengelola program audit harus mempertimbangkan, jika sesuai: mengomunikasikan hasil audit dan praktik terbaik ke area lain dalam organisasi, dan -
implikasi untuk proses lain. 5.5.7 Mengelola dan memelihara catatan program audit Individu yang mengelola program audit harus memastikan bahwa catatan audit dibuat, dikelola dan dipelihara untuk mendemonstrasikan pelaksanaan program audit. Proses harus ditetapkan untuk memastikan bahwa kebutuhan keamanan dan kerahasiaan informasi yang terkait dengan catatan audit ditangani. Rekaman dapat mencakup berikut ini: a) Rekaman yang terkait dengan program audit, seperti: - jadwal audit; - tujuan dan luas program audit; - mereka yang menangani risiko dan peluang program audit, dan masalah eksternal dan internal yang relevan; - review efektivitas program audit. b) Rekaman yang terkait dengan setiap audit, seperti: - rencana audit dan laporan audit; - bukti dan temuan audit yang obyektif; - laporan ketidaksesuaian; - koreksi dan laporan tindakan korektif; - laporan audit tindak lanjut. c) Rekaman yang terkait dengan tim audit yang mencakup topik-topik seperti: - kompetensi dan evaluasi kinerja anggota tim audit; - kriteria pemilihan tim audit dan anggota tim dan pembentukan tim audit; - pemeliharaan dan peningkatan kompetensi. Bentuk dan tingkat kerincian rekaman harus menunjukkan bahwa tujuan program audit telah tercapai.
16 © ISO 2018 - Hak cipta dilindungi undang-undang
ISO 19011: 2018 (E)
5.6 Program audit pemantauan Individu yang mengelola program audit harus memastikan evaluasi: a) apakah jadwal terpenuhi dan tujuan program audit tercapai; b) kinerja anggota tim audit termasuk ketua tim audit dan ahli teknis; c) kemampuan tim audit untuk mengimplementasikan rencana audit; d) umpan balik dari klien audit, auditee, auditor, ahli teknis dan pihak terkait lainnya; e) kecukupan dan kecukupan informasi terdokumentasi dalam keseluruhan proses audit. Beberapa faktor dapat menunjukkan kebutuhan untuk memodifikasi program audit. Ini dapat mencakup perubahan pada: - temuan audit;
- menunjukkan tingkat efektivitas dan kematangan sistem manajemen yang diaudit; efektivitas program audit; - ruang lingkup audit atau lingkup program audit; - sistem manajemen auditi; - standar, dan persyaratan lain yang menjadi komitmen organisasi; - penyedia eksternal; - konflik kepentingan yang teridentifikasi; - persyaratan klien audit.
5.7 Meninjau dan meningkatkan program audit Individu yang mengelola program audit dan klien audit harus meninjau program audit untuk menilai apakah tujuannya telah tercapai. Pembelajaran dari review program audit sebaiknya dijadikan masukan untuk perbaikan program. Individu yang mengelola program audit harus memastikan hal-hal berikut: peninjauan terhadap keseluruhan implementasi program audit; - identifikasi area dan peluang untuk perbaikan; - penerapan perubahan pada program audit jika perlu; - penelaahan atas pengembangan profesional berkelanjutan auditor, sesuai dengan 7.6; - pelaporan hasil program audit dan penelaahan dengan klien audit dan pihak berkepentingan terkait, yang sesuai. Kajian program audit harus mempertimbangkan hal-hal berikut: a) hasil dan tren dari pemantauan program audit; b) kesesuaian dengan proses program audit dan informasi terdokumentasi yang relevan; c) kebutuhan dan harapan yang berkembang dari pihak berkepentingan yang relevan; d) catatan program audit;
ISO 19011: 2018 (E)
© ISO 2018 - Semua hak dilindungi undang-undang 17
e) metode audit alternatif atau baru; f) alternatif atau metode baru untuk mengevaluasi auditor; g) efektivitas tindakan untuk mengatasi risiko dan peluang, dan masalah internal dan eksternal yang terkait dengan program audit; h) masalah kerahasiaan dan keamanan informasi yang berkaitan dengan program audit. 6 Melakukan audit
6.1 Umum Klausul ini berisi panduan tentang persiapan dan pelaksanaan audit tertentu sebagai bagian dari
program audit. Gambar 2 memberikan gambaran umum tentang aktivitas yang dilakukan dalam audit tipikal. Sejauh mana ketentuan klausul ini dapat diterapkan bergantung pada tujuan dan ruang lingkup audit tertentu.
6.2 Memulai audit 6.2.1 Umum Tanggung jawab untuk melakukan audit harus tetap pada ketua tim audit yang ditugaskan (lihat 5.5.5) sampai audit selesai (lihat 6.6). Untuk memulai audit, langkah-langkah pada Gambar 1 harus dipertimbangkan; namun, urutannya dapat berbeda bergantung pada auditi, proses, dan kondisi spesifik audit. 6.2.2 Menjalin kontak dengan auditi Ketua tim audit harus memastikan bahwa kontak dilakukan dengan auditi untuk: a) mengkonfirmasi saluran komunikasi dengan perwakilan auditi; b) mengkonfirmasi kewenangan untuk melakukan audit; c) memberikan informasi yang relevan tentang tujuan audit, ruang lingkup, kriteria, metode dan komposisi tim audit, termasuk setiap pakar teknis; d) meminta akses ke informasi yang relevan untuk tujuan perencanaan termasuk informasi tentang risiko dan peluang yang telah diidentifikasi organisasi dan bagaimana menanganinya; e) menentukan persyaratan perundang-undangan dan peraturan yang berlaku serta persyaratan lain yang relevan dengan aktivitas, proses, produk, dan layanan yang diaudit; f) mengkonfirmasi kesepakatan dengan auditee mengenai sejauh mana pengungkapan dan perlakuan informasi rahasia; g) membuat pengaturan untuk audit termasuk jadwal; h) menentukan pengaturan spesifik lokasi untuk akses, kesehatan dan keselamatan, keamanan, kerahasiaan atau lainnya; i) menyetujui kehadiran pengamat dan kebutuhan pemandu atau juru bahasa untuk tim audit; j) menentukan bidang minat, perhatian, atau risiko yang diaudit terkait dengan audit tertentu; k) menyelesaikan masalah tentang komposisi tim audit dengan auditi atau klien audit.
18 © ISO 2018 - Hak cipta dilindungi undang-undang
ISO 19011: 2018 (E)
6.2.3 Menentukan kelayakan audit Kelayakan audit harus ditentukan untuk memberikan keyakinan yang wajar bahwa tujuan audit dapat dicapai. Penentuan kelayakan harus mempertimbangkan faktor-faktor seperti ketersediaan berikut ini: a) informasi yang cukup dan tepat untuk perencanaan dan pelaksanaan audit; b) kerjasama yang memadai dari auditi;
c) waktu dan sumber daya yang memadai untuk melaksanakan audit. CATATAN Sumber daya termasuk akses ke teknologi informasi dan komunikasi yang memadai dan tepat.
Jika audit tidak memungkinkan, alternatif harus diusulkan kepada klien audit, sesuai dengan pihak yang diaudit.
6.3 Mempersiapkan kegiatan audit 6.3.1 Melakukan penelaahan atas informasi terdokumentasi Sistem manajemen yang relevan informasi terdokumentasi dari auditi harus ditinjau untuk: - mengumpulkan informasi untuk memahami operasi auditi dan untuk mempersiapkan kegiatan audit dan dokumen kerja audit yang berlaku (lihat 6.3.1). 4), misalnya pada proses, fungsi; - menetapkan gambaran umum tentang luas informasi yang terdokumentasi untuk menentukan kemungkinan kesesuaian dengan kriteria audit dan mendeteksi kemungkinan area yang menjadi perhatian, seperti defisiensi, kelalaian, atau konflik. Informasi yang didokumentasikan harus mencakup, tetapi tidak terbatas pada: dokumen dan catatan sistem manajemen, serta laporan audit sebelumnya. Kajian tersebut harus mempertimbangkan konteks organisasi auditi, termasuk ukuran, sifat dan kompleksitasnya, serta risiko dan peluang yang terkait. Ini juga harus mempertimbangkan ruang lingkup, kriteria dan tujuan audit. CATATAN Panduan tentang cara memverifikasi informasi disediakan di A.5.
6.3.2 Perencanaan audit 6.3.2.1 Pendekatan berbasis risiko untuk perencanaan Ketua tim audit harus mengadopsi pendekatan berbasis risiko untuk merencanakan audit berdasarkan informasi dalam program audit dan informasi terdokumentasi yang disediakan oleh auditi. Perencanaan audit harus mempertimbangkan risiko aktivitas audit pada proses yang diaudit dan memberikan dasar untuk kesepakatan di antara klien audit, tim audit dan auditi tentang pelaksanaan audit. Perencanaan harus memfasilitasi penjadwalan yang efisien dan koordinasi kegiatan audit untuk mencapai tujuan secara efektif. Jumlah detail yang diberikan dalam rencana audit harus mencerminkan ruang lingkup dan kompleksitas audit, serta risiko tidak mencapai tujuan audit. Dalam merencanakan audit, ketua tim audit harus mempertimbangkan hal-hal berikut: a) komposisi tim audit dan kompetensinya secara keseluruhan; b) teknik pengambilan sampel yang sesuai (lihat A.6); c) peluang untuk meningkatkan efektivitas dan efisiensi aktivitas audit; © ISO 2018 - All rights reserved 19
ISO 19011: 2018 (E)
d) risiko untuk mencapai tujuan audit yang diciptakan oleh perencanaan audit yang tidak efektif; e) risiko yang ditimbulkan oleh auditee dengan melakukan audit. Risiko bagi auditi dapat diakibatkan oleh kehadiran anggota tim audit yang secara negatif mempengaruhi pengaturan auditi untuk kesehatan dan keselamatan, lingkungan dan kualitas, dan produk, layanan, personel atau infrastrukturnya (misalnya kontaminasi di fasilitas kamar bersih). Untuk audit gabungan, perhatian khusus harus diberikan pada interaksi antara proses operasional dan
tujuan serta prioritas yang bersaing dari sistem manajemen yang berbeda. 6.3.2.2 Rincian perencanaan audit Skala dan isi perencanaan audit dapat berbeda, misalnya, antara audit awal dan audit berikutnya, serta antara audit internal dan eksternal. Perencanaan audit harus cukup fleksibel untuk memungkinkan perubahan yang mungkin diperlukan seiring dengan kemajuan aktivitas audit. Perencanaan audit harus mengacu atau mengacu pada hal-hal berikut: a) tujuan audit; b) ruang lingkup audit, termasuk identifikasi organisasi dan fungsinya, serta proses yang diaudit; c) kriteria audit dan referensi informasi terdokumentasi; d) lokasi (fisik dan virtual), tanggal, perkiraan waktu dan durasi kegiatan audit yang akan dilakukan, termasuk pertemuan dengan manajemen auditi; e) kebutuhan tim audit untuk membiasakan diri dengan fasilitas dan proses yang diaudit (misalnya dengan melakukan tur ke lokasi fisik, atau meninjau teknologi informasi dan komunikasi); f) metode audit yang akan digunakan, termasuk sejauh mana pengambilan sampel audit diperlukan untuk memperoleh bukti audit yang cukup; g) peran dan tanggung jawab anggota tim audit, serta pemandu dan pengamat atau juru bahasa; h) alokasi sumber daya yang sesuai berdasarkan pertimbangan risiko dan peluang yang terkait dengan aktivitas yang diaudit. Perencanaan audit harus mempertimbangkan, jika sesuai: - identifikasi perwakilan auditi untuk audit; - bahasa kerja dan pelaporan audit yang berbeda dari bahasa auditor atau auditi atau keduanya; - topik laporan audit; - pengaturan logistik dan komunikasi, termasuk pengaturan khusus untuk lokasi yang akan diaudit; - tindakan spesifik apa pun yang harus diambil untuk mengatasi risiko dalam mencapai tujuan audit dan peluang yang timbul; - hal-hal yang berkaitan dengan kerahasiaan dan keamanan informasi; - Tindak lanjut dari audit sebelumnya atau sumber lain, misalnya pelajaran yang didapat, tinjauan proyek; - setiap kegiatan tindak lanjut untuk audit yang direncanakan; - koordinasi dengan aktivitas audit lainnya, dalam hal audit bersama. 20 © ISO 2018 - Semua hak dilindungi undang-undang
ISO 19011: 2018 (E)
Rencana audit harus dipresentasikan kepada auditi. Masalah apa pun dengan rencana audit harus diselesaikan antara ketua tim audit, auditi dan, jika perlu, individu yang mengelola program audit. 6.3.3 Menugaskan pekerjaan kepada tim audit Pemimpin tim audit, dalam konsultasi dengan tim audit, harus menugaskan kepada setiap anggota tim tanggung jawab untuk mengaudit proses, kegiatan, fungsi atau lokasi tertentu dan, jika sesuai, wewenang untuk pengambilan keputusan. Penugasan tersebut harus mempertimbangkan ketidakberpihakan dan objektivitas dan kompetensi auditor dan penggunaan sumber daya yang efektif,
serta peran dan tanggung jawab auditor, auditor dalam pelatihan dan pakar teknis yang berbeda. Rapat tim audit harus diadakan, jika sesuai, oleh ketua tim audit untuk mengalokasikan penugasan kerja dan memutuskan kemungkinan perubahan. Perubahan penugasan dapat dilakukan seiring dengan berjalannya audit untuk memastikan pencapaian tujuan audit. 6.3.4 Mempersiapkan informasi terdokumentasi untuk audit Anggota tim audit harus mengumpulkan dan meninjau informasi yang relevan dengan penugasan audit mereka dan menyiapkan informasi terdokumentasi untuk audit, menggunakan media yang sesuai. Informasi yang didokumentasikan untuk audit dapat mencakup tetapi tidak terbatas pada: a) daftar periksa fisik atau digital; b) detail sampling audit; c) informasi audio visual. Penggunaan media ini tidak boleh membatasi luasnya aktivitas audit, yang dapat berubah sebagai hasil dari informasi yang dikumpulkan selama audit. CATATAN Panduan untuk menyiapkan dokumen kerja audit diberikan dalam A.13.
Informasi terdokumentasi yang disiapkan untuk, dan dihasilkan dari, audit harus disimpan setidaknya sampai audit selesai, atau seperti yang ditentukan dalam program audit. Penyimpanan informasi yang terdokumentasi setelah penyelesaian audit dijelaskan dalam 6.6. Informasi terdokumentasi yang dibuat selama proses audit yang melibatkan informasi rahasia atau hak milik harus dijaga dengan baik setiap saat oleh anggota tim audit.
6.4 Melakukan aktivitas auditAktivitas 6.4.1Umum Auditbiasanya dilakukan dalam urutan yang ditentukan seperti yang ditunjukkan pada Gambar 1. Urutan ini dapat bervariasi untuk menyesuaikan dengan kondisi audit tertentu. 6.4.2 Menetapkan peran dan tanggung jawab pemandu dan pengamat Pemandu dan pengamat dapat mendampingi tim audit dengan persetujuan dari ketua tim audit, klien audit dan / atau auditi, jika diperlukan. Mereka tidak boleh mempengaruhi atau mengganggu pelaksanaan audit. Jika hal ini tidak dapat dijamin, pemimpin tim audit harus memiliki hak untuk menolak kehadiran pengamat selama aktivitas audit tertentu. Untuk pengamat, setiap pengaturan untuk akses, kesehatan dan keselamatan, lingkungan, keamanan dan kerahasiaan harus dikelola antara klien audit dan auditi.
ISO 19011: 2018 (E)
© ISO 2018 - All rights reserved 21
Panduan, yang ditunjuk oleh auditi, harus membantu tim audit dan bertindak atas permintaan ketua tim audit atau auditor yang ditugaskan kepada mereka. Tanggung jawab mereka harus mencakup yang berikut: a) membantu auditor dalam mengidentifikasi individu untuk berpartisipasi dalam wawancara dan memastikan waktu dan lokasi;
b) mengatur akses ke lokasi tertentu yang diaudit; c) memastikan bahwa aturan mengenai pengaturan khusus lokasi untuk akses, kesehatan dan keselamatan, lingkungan, keamanan, kerahasiaan, dan masalah lain diketahui dan dihormati oleh anggota tim audit dan pengamat dan segala risiko ditangani; d) menyaksikan audit atas nama auditi, jika sesuai; e) memberikan klarifikasi atau membantu mengumpulkan informasi, bila diperlukan. 6.4.3 Melakukan pertemuan pembukaan Tujuan dari pertemuan pembukaan adalah untuk: a) mengkonfirmasi persetujuan semua peserta (misalnya auditee, tim audit) terhadap rencana audit; b) memperkenalkan tim audit dan peran mereka; c) memastikan bahwa semua kegiatan audit yang direncanakan dapat dilakukan. Pertemuan pembukaan harus diadakan dengan manajemen auditi dan, jika sesuai, dengan mereka yang bertanggung jawab atas fungsi atau proses yang diaudit. Selama pertemuan, kesempatan untuk bertanya harus disediakan. Derajat detail harus konsisten dengan pengetahuan auditee dengan proses audit. Dalam banyak contoh, misalnya audit internal dalam organisasi kecil, rapat pembukaan mungkin hanya berisi komunikasi bahwa audit sedang dilaksanakan dan menjelaskan sifat audit. Untuk situasi audit lainnya, pertemuan tersebut mungkin formal dan catatan kehadiran harus disimpan. Rapat harus dipimpin oleh ketua tim audit. Pengenalan hal-hal berikut harus dipertimbangkan, jika sesuai: - peserta lain, termasuk pengamat dan pemandu, penerjemah dan garis besar peran mereka; - metode audit untuk mengelola risiko organisasi yang mungkin timbul dari kehadiran anggota tim audit. Konfirmasi dari item berikut harus dipertimbangkan, jika sesuai: - tujuan, ruang lingkup dan kriteria audit; - rencana audit dan pengaturan relevan lainnya dengan auditi, seperti tanggal dan waktu rapat penutupan, rapat interim antara tim audit dan manajemen auditi, dan setiap perubahan yang diperlukan; - saluran komunikasi formal antara tim audit dan auditi; - bahasa yang akan digunakan selama audit; - auditi terus diberi informasi tentang kemajuan audit selama audit; - ketersediaan sumber daya dan fasilitas yang dibutuhkan oleh tim audit; - hal-hal yang berkaitan dengan kerahasiaan dan keamanan informasi;
22 © ISO 2018 - Semua hak dilindungi undang-undang
ISO 19011: 2018 (E)
- akses yang relevan, kesehatan dan keselamatan, keamanan, keadaan darurat, dan pengaturan lain untuk tim audit; - aktivitas di lokasi yang dapat memengaruhi pelaksanaan audit.
Penyajian informasi tentang item berikut harus dipertimbangkan, jika sesuai: - metode pelaporan temuan audit termasuk kriteria penilaian, jika ada; - kondisi di mana audit dapat dihentikan; - bagaimana menangani kemungkinan temuan selama audit; - sistem apapun untuk umpan balik dari auditi atas temuan atau kesimpulan audit, termasuk keluhan atau banding. 6.4.4 Berkomunikasi selama audit Selama audit, mungkin perlu untuk membuat pengaturan formal untuk komunikasi dalam tim audit, serta dengan auditi, klien audit dan kemungkinan dengan pihak eksternal yang berkepentingan (misalnya regulator), terutama jika undang-undang dan peraturan perundang-undangan. persyaratan peraturan membutuhkan pelaporan wajib atas ketidaksesuaian. Tim audit harus berunding secara berkala untuk bertukar informasi, menilai kemajuan audit dan menugaskan kembali pekerjaan antara anggota tim audit, sesuai kebutuhan. Selama audit, ketua tim audit harus secara berkala mengkomunikasikan kemajuan, temuan penting, dan kekhawatiran apa pun kepada auditi dan klien audit, jika sesuai. Bukti yang dikumpulkan selama audit yang menunjukkan risiko langsung dan signifikan harus segera dilaporkan kepada auditi dan, jika sesuai, kepada klien audit. Setiap kekhawatiran tentang masalah di luar ruang lingkup audit harus dicatat dan dilaporkan kepada ketua tim audit, untuk kemungkinan komunikasi dengan klien audit dan auditi. Jika bukti audit yang tersedia menunjukkan bahwa tujuan audit tidak dapat dicapai, ketua tim audit harus melaporkan alasannya kepada klien audit dan auditi untuk menentukan tindakan yang tepat. Tindakan tersebut dapat mencakup perubahan pada perencanaan audit, tujuan audit atau ruang lingkup audit, atau penghentian audit. Setiap kebutuhan untuk perubahan pada rencana audit yang mungkin terlihat sebagai kemajuan aktivitas audit harus ditinjau dan diterima, jika sesuai, oleh individu yang mengelola program audit dan klien audit, dan disajikan kepada auditi. 6.4.5 Ketersediaan dan akses informasi audit Metode audit yang dipilih untuk suatu audit bergantung pada tujuan, ruang lingkup dan kriteria audit yang ditetapkan, serta durasi dan lokasi. Lokasi adalah tempat informasi yang dibutuhkan untuk aktivitas audit tertentu tersedia bagi tim audit. Ini mungkin termasuk lokasi fisik dan virtual. Di mana, kapan, dan bagaimana mengakses informasi audit sangat penting untuk audit. Ini tidak tergantung di mana informasi dibuat, digunakan dan / atau disimpan. Berdasarkan masalah ini, metode audit perlu ditentukan (lihat Tabel A.1). Audit dapat menggunakan berbagai metode. Selain itu, kondisi audit dapat berarti bahwa metode tersebut perlu diubah selama audit. 6.4.6 Meninjau informasi terdokumentasi saat melakukan audit Informasi terdokumentasi relevan yang diaudit harus ditinjau untuk: - menentukan kesesuaian sistem, sejauh yang didokumentasikan, dengan kriteria audit; - mengumpulkan informasi untuk mendukung kegiatan audit. CATATAN Panduan tentang cara memverifikasi informasi disediakan di A.5.
ISO 19011: 2018 (E)
© ISO 2018 - All rights reserved 23
Tinjauan dapat digabungkan dengan aktivitas audit lainnya dan dapat berlanjut selama audit, dengan ketentuan hal ini tidak merugikan keefektifan pelaksanaan audit. Jika informasi terdokumentasi yang memadai tidak dapat diberikan dalam kerangka waktu yang diberikan dalam rencana audit, ketua tim audit harus memberi tahu individu yang mengelola program audit dan auditi. Bergantung pada tujuan dan ruang lingkup audit, keputusan harus dibuat, apakah audit harus dilanjutkan atau ditangguhkan hingga masalah informasi yang terdokumentasi diselesaikan. 6.4.7 Mengumpulkan dan memverifikasi informasi Selama audit, informasi yang relevan dengan tujuan, ruang lingkup dan kriteria audit, termasuk informasi yang berkaitan dengan antarmuka antara fungsi, aktivitas, dan proses harus dikumpulkan dengan cara pengambilan sampel yang tepat dan harus diverifikasi, sejauh dapat dipraktikkan. . CATATAN 1 Untuk memverifikasi informasi, lihat A.5. CATATAN 2 Panduan pengambilan sampel diberikan dalam A.6.
Hanya informasi yang dapat diverifikasi sampai tingkat tertentu yang harus diterima sebagai bukti audit. Jika tingkat verifikasi rendah, auditor harus menggunakan pertimbangan profesional mereka untuk menentukan tingkat kepercayaan yang dapat digunakan sebagai bukti. Bukti audit yang mengarah pada temuan audit harus dicatat. Jika, selama pengumpulan bukti obyektif, tim audit menyadari adanya keadaan baru atau berubah, atau risiko atau peluang, hal ini harus ditangani oleh tim sebagaimana mestinya. Gambar 2 memberikan gambaran umum tentang proses yang khas, mulai dari mengumpulkan informasi hingga mencapai kesimpulan audit.
Gambar 2 - Gambaran umum proses pengumpulan dan verifikasi informasi. Metode pengumpulan informasi termasuk, tetapi tidak terbatas pada hal-hal berikut: - wawancara;
24 © ISO 2018 - Semua hak dilindungi undang-undang
ISO 19011: 2018 (E)
- observasi; - review informasi yang terdokumentasi. CATATAN 3 Panduan pemilihan sumber informasi dan observasi diberikan dalam A.14. CATATAN 4 Panduan mengunjungi lokasi auditi diberikan dalam A.15. CATATAN 5 Panduan untuk melakukan wawancara diberikan di A.17.
6.4.8 Menghasilkan temuan audit Bukti audit harus dievaluasi terhadap kriteria audit untuk menentukan temuan audit. Temuan audit dapat menunjukkan kesesuaian atau ketidaksesuaian dengan kriteria audit. Jika ditentukan oleh rencana audit, temuan audit individu harus mencakup kesesuaian dan praktik yang baik bersama dengan bukti pendukungnya, peluang untuk perbaikan, dan setiap rekomendasi kepada auditi. Ketidaksesuaian dan bukti audit pendukungnya harus dicatat. Ketidaksesuaian dapat dinilai tergantung pada konteks organisasi dan risikonya. Penilaian ini dapat bersifat kuantitatif (misalnya 1 sampai 5) dan kualitatif (misalnya minor, mayor). Mereka harus direview bersama auditi untuk mendapatkan pengakuan bahwa bukti audit akurat dan bahwa ketidaksesuaian dapat dipahami. Setiap upaya harus dilakukan untuk menyelesaikan setiap perbedaan pendapat tentang bukti atau temuan audit. Masalah yang belum terselesaikan harus dicatat dalam laporan audit. Tim audit harus bertemu jika diperlukan untuk meninjau temuan audit pada tahapan yang sesuai selama audit. CATATAN 1 Panduan tambahan tentang identifikasi dan evaluasi temuan audit diberikan dalam A.18. CATATAN 2 Kesesuaian atau ketidaksesuaian dengan kriteria audit yang terkait dengan persyaratan perundang-undangan atau peraturan atau persyaratan lainnya, kadang-kadang disebut sebagai kepatuhan atau ketidakpatuhan.
6.4.9 Menentukan kesimpulan audit 6.4.9.1 Preparasi bagi menutup pertemuan Tim audit harus berunding sebelum pertemuan penutupan untuk: a) meninjau temuan audit dan setiap informasi yang tepat lainnya yang dikumpulkan selama audit, terhadap tujuan audit; b) menyetujui kesimpulan audit, dengan mempertimbangkan ketidakpastian yang melekat dalam proses audit; c) menyiapkan rekomendasi, jika ditentukan oleh rencana audit; d) mendiskusikan tindak lanjut audit, sebagaimana berlaku. 6.4.9.2 Isi kesimpulan audit Kesimpulan audit harus membahas masalah-masalah seperti berikut ini: a) tingkat kesesuaian dengan kriteria audit dan kekuatan sistem manajemen, termasuk keefektifan sistem manajemen dalam memenuhi hasil yang diinginkan, identifikasi risiko dan efektivitas tindakan yang diambil oleh auditee untuk menangani risiko;
b) penerapan, pemeliharaan, dan peningkatan sistem manajemen yang efektif; c) pencapaian tujuan audit, cakupan ruang lingkup audit dan pemenuhan kriteria audit; d) temuan serupa yang dibuat di area berbeda yang diaudit atau dari audit bersama atau audit sebelumnya untuk tujuan mengidentifikasi tren.
ISO 19011: 2018 (E)
© ISO 2018 - Hak cipta dilindungi undang-undang 25
Jika ditentukan oleh rencana audit, kesimpulan audit dapat mengarah pada rekomendasi untuk perbaikan, atau kegiatan audit di masa depan. 6.4.10 Melakukan rapat penutupan Rapat penutupan harus diadakan untuk mempresentasikan temuan dan kesimpulan audit. Rapat penutupan harus dipimpin oleh ketua tim audit dan dihadiri oleh manajemen auditee dan mencakup, sebagaimana berlaku: - mereka yang bertanggung jawab atas fungsi atau proses yang telah diaudit; klien audit; - anggota tim audit lainnya; - pihak terkait lainnya yang berkepentingan sebagaimana ditentukan oleh klien audit dan / atau auditi. Jika memungkinkan, ketua tim audit harus memberi tahu auditi tentang situasi yang dihadapi selama audit yang dapat menurunkan kepercayaan yang dapat ditempatkan dalam kesimpulan audit. Jika ditentukan dalam sistem manajemen atau dengan kesepakatan dengan klien audit, para peserta harus menyetujui kerangka waktu rencana tindakan untuk menangani temuan-temuan audit. Derajat kerincian harus mempertimbangkan keefektifan sistem manajemen dalam mencapai tujuan auditi, termasuk pertimbangan konteks dan risiko serta peluangnya. Keakraban auditee dengan proses audit juga harus dipertimbangkan selama rapat penutupan, untuk memastikan tingkat detail yang benar diberikan kepada peserta. Untuk beberapa situasi audit, rapat dapat bersifat formal dan notulen, termasuk catatan kehadiran, harus disimpan. Dalam contoh lain, misalnya audit internal, rapat penutupan bisa jadi tidak terlalu formal dan hanya terdiri dari mengkomunikasikan temuan audit dan kesimpulan audit. Jika sesuai, berikut ini harus dijelaskan kepada auditi dalam rapat penutupan: a) memberi tahu bahwa bukti audit yang dikumpulkan didasarkan pada sampel informasi yang tersedia dan belum tentu sepenuhnya mewakili keefektifan keseluruhan proses yang diaudit; b) metode pelaporan; c) bagaimana temuan audit harus ditangani berdasarkan proses yang disepakati; d) konsekuensi yang mungkin terjadi jika tidak menangani temuan audit secara memadai; e) penyajian temuan dan kesimpulan audit sedemikian rupa sehingga dapat dipahami dan diakui oleh manajemen auditi; f) semua aktivitas pasca-audit terkait (misalnya implementasi dan peninjauan tindakan korektif, menangani keluhan audit, proses banding). Setiap perbedaan pendapat tentang temuan audit atau kesimpulan antara tim audit dan auditi harus
dibahas dan, jika memungkinkan, diselesaikan. Jika tidak terselesaikan, ini harus dicatat. Jika ditentukan oleh tujuan audit, peluang untuk rekomendasi perbaikan dapat disajikan. Perlu ditekankan bahwa rekomendasi tidak mengikat.
26 © ISO 2018 - Hak cipta dilindungi undang-undang
ISO 19011: 2018 (E)
6.5 Menyiapkan dan mendistribusikan laporan audit 6.5.1 Menyiapkan laporan audit Ketua tim audit harus melaporkan kesimpulan audit sesuai dengan program audit. Laporan audit harus memberikan catatan audit yang lengkap, akurat, ringkas dan jelas, dan harus mencakup atau mengacu pada hal-hal berikut: a) tujuan audit; b) ruang lingkup audit, terutama identifikasi organisasi (auditi) dan fungsi atau proses yang diaudit; c) identifikasi klien audit; d) identifikasi tim audit dan peserta yang diaudit dalam audit; e) tanggal dan lokasi di mana kegiatan audit dilakukan; f) kriteria audit; g) temuan audit dan bukti terkait; h) kesimpulan audit; i) pernyataan tentang sejauh mana kriteria audit telah dipenuhi; j) perbedaan pendapat yang belum terselesaikan antara tim audit dan auditi; k) audit pada dasarnya adalah latihan pengambilan sampel; dengan demikian terdapat risiko bahwa bukti audit yang diperiksa tidak representatif. Laporan audit juga dapat mencakup atau mengacu pada hal-hal berikut, jika sesuai: - rencana audit termasuk jadwal waktu; - ringkasan proses audit, termasuk setiap kendala yang dihadapi yang dapat menurunkan keandalan kesimpulan audit; - konfirmasi bahwa tujuan audit telah dicapai dalam ruang lingkup audit sesuai dengan rencana audit; - setiap area dalam ruang lingkup audit yang tidak tercakup termasuk masalah ketersediaan bukti, sumber daya, atau kerahasiaan, dengan justifikasi terkait; - ringkasan yang mencakup kesimpulan audit dan temuan audit utama yang mendukungnya; teridentifikasi praktik baik; - tindak lanjut rencana aksi yang disepakati, jika ada;
- pernyataan tentang kerahasiaan konten; - implikasi apa pun untuk program audit atau audit selanjutnya. 6.5.2 Mendistribusikan laporan audit Laporan audit harus diterbitkan dalam jangka waktu yang disepakati. Jika tertunda, alasannya harus dikomunikasikan kepada auditi dan individu yang mengelola program audit. Laporan audit harus diberi tanggal, ditinjau dan diterima, jika sesuai, sesuai dengan program audit.
ISO 19011: 2018 (E)
© ISO 2018 - Hak Cipta Dilindungi Undang-Undang 27
Laporan audit kemudian harus didistribusikan ke pihak terkait terkait yang ditetapkan dalam program audit atau rencana audit. Saat mendistribusikan laporan audit, tindakan yang tepat untuk memastikan kerahasiaan harus dipertimbangkan.
6.6 Menyelesaikan audit Audit diselesaikan ketika semua aktivitas audit yang direncanakan telah dilaksanakan, atau jika disepakati dengan klien audit (misalnya, mungkin ada situasi yang tidak terduga yang mencegah audit diselesaikan sesuai dengan rencana audit). Informasi terdokumentasi yang berkaitan dengan audit harus disimpan atau dibuang berdasarkan kesepakatan antara pihak yang berpartisipasi dan sesuai dengan program audit dan persyaratan yang berlaku. Kecuali diwajibkan oleh undang-undang, tim audit dan individu yang mengelola program audit tidak boleh mengungkapkan informasi apa pun yang diperoleh selama audit, atau laporan audit, kepada pihak lain mana pun tanpa persetujuan eksplisit dari klien audit dan, jika sesuai, persetujuan auditi. Jika pengungkapan isi dokumen audit diperlukan, klien audit dan auditi harus diberitahu secepat mungkin. Pembelajaran dari audit dapat mengidentifikasi risiko dan peluang untuk program audit dan auditi.
6.7 Melakukan audit tindak lanjut Hasil audit dapat, tergantung pada tujuan audit, menunjukkan perlunya koreksi, atau tindakan korektif, atau peluang untuk perbaikan. Tindakan tersebut biasanya diputuskan dan dilakukan oleh auditi dalam jangka waktu yang disepakati. Jika sesuai, auditi harus memberi tahu individu yang mengelola program audit dan / atau tim audit tentang status tindakan ini. Penyelesaian dan efektivitas tindakan ini harus diverifikasi. Verifikasi ini mungkin menjadi bagian dari audit berikutnya. Hasil harus dilaporkan kepada individu yang mengelola program audit dan dilaporkan kepada klien audit untuk tinjauan manajemen.
7 Kompetensi dan Evaluasi Auditor 7.1Umum Keyakinandalam proses audit dan kemampuan untuk mencapai tujuannya bergantung pada kompetensi individu yang terlibat dalam pelaksanaan audit, termasuk auditor dan ketua tim audit. Kompetensi harus dievaluasi secara berkala melalui proses yang mempertimbangkan perilaku pribadi dan kemampuan untuk menerapkan pengetahuan dan keterampilan yang diperoleh melalui pendidikan, pengalaman kerja, pelatihan auditor dan pengalaman audit. Proses ini harus mempertimbangkan
kebutuhan program audit dan tujuannya. Beberapa pengetahuan dan keterampilan yang dijelaskan dalam 7.2.3 adalah umum bagi auditor dari setiap disiplin sistem manajemen; yang lain khusus untuk disiplin sistem manajemen individu. Tidak perlu setiap auditor dalam tim audit memiliki kompetensi yang sama. Namun, kompetensi tim audit secara keseluruhan harus cukup untuk mencapai tujuan audit. Evaluasi kompetensi auditor harus direncanakan, dilaksanakan dan didokumentasikan untuk memberikan hasil yang obyektif, konsisten, adil dan dapat diandalkan. Proses evaluasi harus mencakup empat langkah utama, sebagai berikut: a) menentukan kompetensi yang dibutuhkan untuk memenuhi kebutuhan program audit; b) menetapkan kriteria evaluasi; c) memilih metode evaluasi yang sesuai; 28 © ISO 2018 - Semua hak dilindungi undang-undang
ISO 19011: 2018 (E)
d) melakukan evaluasi. Hasil dari proses evaluasi harus memberikan dasar untuk hal-hal berikut: pemilihan anggota tim audit (seperti yang dijelaskan dalam 5.5.4); - menentukan kebutuhan untuk peningkatan kompetensi (misalnya pelatihan tambahan); - evaluasi kinerja auditor yang berkelanjutan. Auditor harus mengembangkan, memelihara dan meningkatkan kompetensi mereka melalui pengembangan profesional berkelanjutan dan partisipasi reguler dalam audit (lihat 7.6). Proses untuk mengevaluasi auditor dan ketua tim audit dijelaskan dalam 7.3, 7.4 dan 7.5. Auditor dan ketua tim audit harus dievaluasi berdasarkan kriteria yang ditetapkan dalam 7.2.2 dan 7.2.3 serta kriteria yang ditetapkan dalam 7.1. Kompetensi yang dibutuhkan individu yang mengelola program audit dijelaskan dalam 5.4.2. 7.2
Menentukan kompetensi auditor 7.2.1 Umum Dalam memutuskan kompetensi yang diperlukan untuk suatu audit, pengetahuan dan keterampilan auditor yang terkait dengan hal-hal berikut harus dipertimbangkan: a) ukuran, sifat, kompleksitas, produk, layanan, dan proses yang diaudit; b) metode audit; c) disiplin sistem manajemen yang diaudit; d) kompleksitas dan proses sistem manajemen yang diaudit; e) jenis dan tingkat risiko dan peluang yang ditangani oleh sistem manajemen; f) tujuan dan luas program audit; g) ketidakpastian dalam mencapai tujuan audit; h) persyaratan lain, seperti yang diberlakukan oleh klien audit atau pihak berkepentingan terkait lainnya, jika sesuai. Informasi ini harus dicocokkan dengan yang tercantum dalam 7.2.3.
7.2.2 Perilaku pribadi Auditor harus memiliki atribut yang diperlukan untuk memungkinkan mereka bertindak sesuai dengan prinsip audit seperti yang dijelaskan dalam Klausul 4. Auditor harus menunjukkan perilaku profesional selama pelaksanaan aktivitas audit. Perilaku profesional yang diinginkan meliputi: a) etis, yaitu adil, jujur, tulus, jujur dan bijaksana; b) berpikiran terbuka, yaitu bersedia mempertimbangkan ide atau sudut pandang alternatif; c) diplomatik, yaitu bijaksana dalam berurusan dengan individu; d) jeli, yaitu secara aktif mengamati lingkungan dan aktivitas fisik; e) perseptif, yaitu sadar dan mampu memahami situasi; f) serbaguna, yaitu mampu dengan mudah beradaptasi dengan situasi yang berbeda;
ISO 19011: 2018 (E)
© ISO 2018 - Semua hak dilindungi undang-undang 29
g) ulet, yaitu gigih dan fokus pada pencapaian tujuan; h) tegas, yaitu mampu mencapai kesimpulan tepat waktu berdasarkan penalaran dan analisis logis; i) mandiri, yaitu mampu bertindak dan berfungsi secara mandiri sambil berinteraksi secara efektif dengan orang lain; j) mampu bertindak dengan ketabahan, yaitu mampu bertindak secara bertanggung jawab dan etis, meskipun tindakan ini mungkin tidak selalu populer dan terkadang dapat mengakibatkan perselisihan atau konfrontasi; k) terbuka untuk perbaikan, yaitu mau belajar dari situasi; l) peka budaya, yaitu jeli dan menghormati budaya auditee; m) kolaboratif, yaitu berinteraksi secara efektif dengan orang lain, termasuk anggota tim audit dan personel auditi. 7.2.3 Pengetahuan dan keterampilan 7.2.3.1Umum Auditorharus memiliki: a) pengetahuan dan keterampilan yang diperlukan untuk mencapai hasil audit yang diharapkan yang diharapkan untuk mereka lakukan; b) kompetensi umum dan tingkat disiplin serta pengetahuan dan keterampilan khusus sektor. Pemimpin tim audit harus memiliki pengetahuan dan keterampilan tambahan yang diperlukan untuk memberikan kepemimpinan kepada tim audit. 7.2.3.2 Pengetahuan dan keterampilan umum auditor sistem manajemen Auditor harus memiliki pengetahuan dan keterampilan dalam bidang yang diuraikan di bawah ini. a) Prinsip, proses dan metode audit: pengetahuan dan keterampilan di bidang ini memungkinkan auditor untuk memastikan audit dilakukan secara konsisten dan sistematis. Auditor harus mampu untuk:
- memahami jenis risiko dan peluang yang terkait dengan audit dan prinsip pendekatan berbasis risiko untuk audit; - merencanakan dan mengatur pekerjaan secara efektif; - melakukan audit dalam jadwal waktu yang telah disepakati; - memprioritaskan dan fokus pada hal-hal yang penting; - berkomunikasi secara efektif, lisan dan tertulis (baik secara pribadi, atau melalui penggunaan penerjemah); - mengumpulkan informasi melalui wawancara yang efektif, mendengarkan, mengamati dan meninjau informasi yang terdokumentasi, termasuk catatan dan data; - memahami kesesuaian dan konsekuensi penggunaan teknik pengambilan sampel untuk audit; memahami dan mempertimbangkan pendapat ahli teknis; - mengaudit proses dari awal sampai akhir, termasuk keterkaitan dengan proses lain dan fungsi yang berbeda, jika sesuai; - memverifikasi relevansi dan keakuratan informasi yang dikumpulkan; 30 © ISO 2018 - Semua hak dilindungi undang-undang
ISO 19011: 2018 (E)
- mengonfirmasi kecukupan dan kesesuaian bukti audit untuk mendukung temuan dan kesimpulan audit; - menilai faktor-faktor yang dapat mempengaruhi keandalan temuan dan kesimpulan audit; - mendokumentasikan kegiatan audit dan temuan audit, dan menyiapkan laporan; - menjaga kerahasiaan dan keamanan informasi. b) Standar sistem manajemen dan referensi lain: pengetahuan dan keterampilan di bidang ini memungkinkan auditor untuk memahami ruang lingkup audit dan menerapkan kriteria audit, dan harus mencakup hal-hal berikut: - standar sistem manajemen atau dokumen normatif atau pedoman / pendukung lain yang digunakan untuk menetapkan audit kriteria atau metode; - penerapan standar sistem manajemen oleh auditi dan organisasi lain; - hubungan dan interaksi antara proses sistem manajemen; - memahami pentingnya dan prioritas berbagai standar atau referensi; - penerapan standar atau referensi untuk situasi audit yang berbeda. c) Organisasi dan konteksnya: pengetahuan dan keterampilan di bidang ini memungkinkan auditor untuk memahami struktur, tujuan, dan praktik manajemen yang diaudit dan harus mencakup hal-hal berikut: - kebutuhan dan ekspektasi pihak berkepentingan terkait yang berdampak pada sistem manajemen; - jenis organisasi, tata kelola, ukuran, struktur, fungsi dan hubungan; - konsep bisnis dan manajemen umum, proses dan terminologi terkait, termasuk perencanaan, penganggaran dan manajemen individu; - aspek budaya dan sosial dari auditee. d) Persyaratan perundang-undangan dan peraturan yang berlaku serta persyaratan lain: pengetahuan
dan keterampilan di bidang ini memungkinkan auditor untuk menyadari, dan bekerja sesuai dengan, persyaratan organisasi. Pengetahuan dan keterampilan khusus untuk yurisdiksi atau untuk aktivitas, proses, produk dan layanan yang diaudit harus mencakup hal-hal berikut: - persyaratan perundang-undangan dan peraturan dan badan pengaturnya; - terminologi hukum dasar; - kontrak dan kewajiban. CATATAN Kesadaran akan persyaratan perundang-undangan dan peraturan tidak menyiratkan keahlian hukum dan audit sistem manajemen tidak boleh diperlakukan sebagai audit kepatuhan hukum.
7.2.3.3 Disiplin dan kompetensi khusus sektor auditor Tim audit harus memiliki disiplin kolektif dan kompetensi khusus sektor yang sesuai untuk mengaudit jenis sistem dan sektor manajemen tertentu. Kedisiplinan dan kompetensi auditor khusus sektor meliputi: a) persyaratan dan prinsip sistem manajemen, dan penerapannya; b) dasar-dasar disiplin dan sektor yang terkait dengan standar sistem manajemen seperti yang diterapkan oleh auditee; c) penerapan disiplin dan metode, teknik, proses, dan praktik khusus sektor untuk memungkinkan tim audit menilai kesesuaian dalam ruang lingkup audit yang ditentukan dan menghasilkan temuan dan kesimpulan audit yang sesuai;
ISO 19011: 2018 (E)
© ISO 2018 - All rights reserved 31
d) prinsip, metode dan teknik yang relevan dengan disiplin ilmu dan sektor, sehingga auditor dapat menentukan dan mengevaluasi risiko dan peluang yang terkait dengan tujuan audit. 7.2.3.4 Kompetensi umum ketua tim audit Untuk memfasilitasi pelaksanaan audit yang efisien dan efektif, pemimpin tim audit harus memiliki kompetensi untuk: a) merencanakan audit dan menetapkan tugas audit sesuai dengan kompetensi spesifik dari masing-masing anggota tim audit ; b) mendiskusikan masalah strategis dengan manajemen puncak auditee untuk menentukan apakah mereka telah mempertimbangkan masalah ini saat mengevaluasi risiko dan peluang mereka; c) mengembangkan dan memelihara hubungan kerja kolaboratif di antara anggota tim audit; d) mengelola proses audit, termasuk: - memanfaatkan sumber daya secara efektif selama audit; - mengelola ketidakpastian pencapaian tujuan audit; - melindungi kesehatan dan keselamatan anggota tim audit selama audit, termasuk memastikan kepatuhan auditor dengan kesehatan dan keselamatan yang relevan, dan pengaturan keamanan; - mengarahkan anggota tim audit; - memberikan arahan dan bimbingan kepada auditor-in-training; - Mencegah dan menyelesaikan konflik dan masalah yang dapat terjadi selama audit, termasuk yang ada di dalam tim audit, jika diperlukan.
e) mewakili tim audit dalam komunikasi dengan individu yang mengelola program audit, klien audit, dan auditi; f) memimpin tim audit untuk mencapai kesimpulan audit; g) menyiapkan dan menyelesaikan laporan audit. 7.2.3.5 Pengetahuan dan keterampilan untuk mengaudit berbagai disiplin ilmu Saat mengaudit sistem manajemen berbagai disiplin ilmu, anggota tim audit harus memiliki pemahaman tentang interaksi dan sinergi antara sistem manajemen yang berbeda. Pemimpin tim audit harus memahami persyaratan dari setiap standar sistem manajemen yang diaudit dan mengenali batasan kompetensi mereka di setiap disiplin ilmu. CATATAN Audit dari berbagai disiplin ilmu yang dilakukan secara bersamaan dapat dilakukan sebagai audit gabungan atau sebagai audit sistem manajemen terintegrasi yang mencakup berbagai disiplin ilmu.
7.2.4 Pencapaian kompetensi auditor Kompetensi auditor dapat diperoleh dengan menggunakan kombinasi dari berikut ini: a) berhasil menyelesaikan program pelatihan yang mencakup pengetahuan dan keterampilan auditor umum; b) pengalaman dalam posisi teknis, manajerial atau profesional yang relevan yang melibatkan pelaksanaan penilaian, pengambilan keputusan, pemecahan masalah dan komunikasi dengan manajer, profesional, rekan kerja, pelanggan dan pihak berkepentingan terkait lainnya; c) pendidikan / pelatihan dan pengalaman dalam disiplin dan sektor sistem manajemen tertentu yang berkontribusi pada pengembangan kompetensi secara keseluruhan; 32 © ISO 2018 - Hak cipta dilindungi undang-undang
ISO 19011: 2018 (E)
d) pengalaman audit yang diperoleh di bawah pengawasan auditor yang kompeten dalam disiplin yang sama. CATATAN Berhasil menyelesaikan kursus pelatihan akan bergantung pada jenis kursus. Untuk mata kuliah dengan komponen ujian, ini berarti berhasil lulus ujian. Untuk kursus lain, ini berarti berpartisipasi dan menyelesaikan kursus.
7.2.5 Mencapai kompetensi pemimpin tim audit Seorang pemimpin tim audit harus memperoleh pengalaman audit tambahan untuk mengembangkan kompetensi yang dijelaskan dalam 7.2.3.4. Pengalaman tambahan ini seharusnya diperoleh dengan bekerja di bawah arahan dan bimbingan dari ketua tim audit yang berbeda.
7.3 Menetapkan kriteria evaluasi auditor Kriteria harus kualitatif (seperti menunjukkan perilaku yang diinginkan, pengetahuan atau kinerja keterampilan, dalam pelatihan atau di tempat kerja) dan kuantitatif (seperti tahun pengalaman kerja dan pendidikan, jumlah audit yang dilakukan , jam pelatihan audit).
7.4 Memilih metode evaluasi auditor yang tepat Evaluasi harus dilakukan dengan menggunakan dua atau lebih metode yang diberikan dalam Tabel 2. Dalam menggunakan Tabel 2, hal berikut harus diperhatikan: a) metode yang diuraikan mewakili berbagai pilihan dan mungkin tidak berlaku di semua
situasi; b) berbagai metode yang diuraikan mungkin berbeda dalam keandalannya; c) kombinasi metode harus digunakan untuk memastikan hasil yang obyektif, konsisten, adil dan dapat diandalkan. Tabel 2 - Metode evaluasi auditor Metode evaluasi
Tujuan
Contoh
Review catatan
Untuk memverifikasi latar belakang auditor
Analisis catatan pendidikan, pelatihan, pekerjaan, kredensial profesional dan pengalaman audit
Umpan balik
Untuk memberikan informasi tentang bagaimana kinerja auditor dipersepsikan
Survei, kuesioner, referensi pribadi, testimonial, keluhan, evaluasi kinerja, peer review
Wawancara
Untuk mengevaluasi perilaku profesional yang diinginkan dan keterampilan komunikasi, untuk memverifikasi informasi dan menguji pengetahuan dan untuk memperoleh informasi tambahan
Wawancara pribadi
Pengamatan
Untuk mengevaluasi perilaku profesional yang diinginkan dan kemampuan untuk menerapkan pengetahuan dan keterampilan
Bermain peran, audit yang disaksikan, kinerja di tempat kerja
Pengujian
Untuk mengevaluasi perilaku dan pengetahuan yang diinginkan dan keterampilan dan aplikasinya
Ujian lisan dan tertulis, pengujian psikometri
Review pasca-audit
Untuk memberikan informasi tentang kinerja auditor selama kegiatan audit, id menentukan kekuatan dan peluang untuk perbaikan
Review laporan audit, wawancara dengan ketua tim audit, tim audit dan, jika sesuai, umpan balik dari auditee
7.5 Melakukan evaluasi auditor Informasi yang dikumpulkan tentang auditor yang sedang dievaluasi harus dibandingkan dengan kriteria yang ditetapkan di 7.2.3. Ketika auditor dalam evaluasi yang diharapkan untuk berpartisipasi dalam program audit
ISO 19011: 2018 (E)
© ISO 2018 - All rights reserved 33
tidak memenuhi kriteria, maka pelatihan tambahan, pengalaman kerja atau audit harus dilakukan dan -evaluasi harus dilakukan.
7.6 Mempertahankan dan meningkatkan kompetensi auditor Auditor dan ketua tim audit harus terus meningkatkan kompetensinya. Auditor harus mempertahankan kompetensi audit mereka melalui partisipasi reguler dalam audit sistem manajemen dan pengembangan profesional berkelanjutan. Ini dapat dicapai melalui cara-cara seperti pengalaman kerja tambahan, pelatihan, studi pribadi, pembinaan, kehadiran di pertemuan, seminar dan konferensi atau kegiatan terkait lainnya.
Individu yang mengelola program audit harus menetapkan mekanisme yang sesuai untuk evaluasi berkelanjutan atas kinerja auditor dan ketua tim audit. Kegiatan pengembangan profesional berkelanjutan harus mempertimbangkan hal-hal berikut: a) perubahan kebutuhan individu dan organisasi yang bertanggung jawab atas pelaksanaan audit; b) perkembangan praktik audit termasuk penggunaan teknologi; c) standar yang relevan termasuk pedoman / dokumen pendukung dan persyaratan lainnya; d) perubahan sektor atau disiplin ilmu.
34 © ISO 2018 - Hak cipta dilindungi undang-undang
ISO 19011: 2018 (E)
Lampiran A (informatif) Panduan tambahan untuk perencanaan dan pelaksanaan audit auditor
A.1 Menerapkan metode audit Suatu audit dapat dilakukan dengan menggunakan berbagai metode audit. Penjelasan tentang metode audit yang umum digunakan dapat ditemukan dalam lampiran ini. Metode audit yang dipilih untuk suatu audit bergantung pada tujuan, ruang lingkup dan kriteria audit yang ditetapkan, serta durasi dan lokasi. Kompetensi auditor yang tersedia dan ketidakpastian yang timbul dari penerapan metode audit juga harus dipertimbangkan. Penerapan berbagai dan kombinasi metode audit yang berbeda dapat mengoptimalkan efisiensi dan efektivitas proses audit dan hasilnya. Kinerja audit melibatkan interaksi antara individu dalam sistem manajemen yang diaudit dan teknologi yang digunakan untuk melakukan audit. Tabel A.1 memberikan contoh metode audit yang dapat digunakan, secara tunggal atau kombinasi, untuk mencapai tujuan audit. Jika audit melibatkan penggunaan tim audit dengan banyak anggota, metode di tempat dan jarak jauh dapat digunakan secara bersamaan. CATATAN Informasi tambahan tentang mengunjungi lokasi fisik diberikan dalam A.15.
Tabel A.1 - metode Audit Tingkat keterlibatan antara auditor dan auditee interaksiManusia
Lokasi auditor di lokasi
Jarak Jauh
Melakukan wawancara
Via sarana komunikasi interaktif: -
Melengkapi daftar dan kuesioner dengan partisipasi auditee
budidaya wawancara;
Melakukan review dokumen dengan partisipasi au ditee Sampling
- mengamati pekerjaan yang dilakukan dengan panduan jarak jauh; - melengkapi daftar periksa dan kuesioner;
- melakukan tinjauan dokumen dengan partisipasi au ditee. Tidak ada interaksi manusia
Melakukan tinjauan dokumen (mis. Rekaman, analisis data)
Melakukan tinjauan dokumen (mis. Catatan, analisis data)
Mengamati pekerjaan yang dilakukan
Mengamati pekerjaan yang dilakukan melalui sarana pengawasan, mempertimbangkan sosial dan persyaratan undang-undang dan peraturan
Melakukan kunjungan di tempat Melengkapi daftar periksa Pengambilan sampel (mis. Produk)
Menganalisis data Aktivitas audit di tempat dilakukan di lokasi auditi. Aktivitas audit jarak jauh dilakukan di tempat lain selain lokasi auditi, terlepas dari jaraknya. Kegiatan audit interaktif melibatkan interaksi antara personel auditi dan tim audit. Aktivitas audit non-interaktif tidak melibatkan interaksi manusia dengan individu yang mewakili auditi tetapi melibatkan interaksi dengan peralatan, fasilitas, dan dokumentasi.
Tanggung jawab penerapan metode audit yang efektif untuk setiap audit tertentu dalam tahap perencanaan tetap berada pada individu yang mengelola program audit atau ketua tim audit. Pimpinan tim audit memiliki tanggung jawab ini untuk melakukan aktivitas audit.
ISO 19011: 2018 (E)
© ISO 2018 - All rights reserved 35
Kelayakan kegiatan audit jarak jauh dapat bergantung pada beberapa faktor (misalnya, tingkat risiko untuk mencapai tujuan audit, tingkat kepercayaan antara auditor dan personel yang diaudit, dan persyaratan peraturan ). Pada tingkat program audit, harus dipastikan bahwa penggunaan penerapan metode audit jarak jauh dan di tempat sudah sesuai dan seimbang, untuk memastikan pencapaian tujuan program audit yang memuaskan.
A.2 Pendekatan proses untuk audit Penggunaan "pendekatan proses" adalah persyaratan untuk semua standar sistem manajemen ISO sesuai dengan ISO / IEC Directive, Bagian 1, Lampiran SL. Auditor harus memahami bahwa mengaudit sistem manajemen adalah mengaudit proses organisasi dan interaksinya dalam kaitannya dengan satu atau lebih standar sistem manajemen. Hasil yang konsisten dan dapat diprediksi dicapai dengan lebih efektif dan efisien ketika aktivitas dipahami dan dikelola sebagai proses yang saling terkait yang berfungsi sebagai sistem yang koheren.
A.3 Pertimbangan profesional Auditor harus menerapkan pertimbangan profesional selama proses audit dan menghindari konsentrasi pada persyaratan spesifik dari setiap klausul standar dengan mengorbankan pencapaian hasil yang diinginkan dari sistem manajemen. Beberapa klausul standar sistem manajemen ISO tidak siap untuk audit dalam hal perbandingan antara sekumpulan kriteria dan isi dari prosedur atau instruksi kerja. Dalam situasi ini, auditor harus menggunakan pertimbangan profesional mereka untuk menentukan apakah maksud klausul telah terpenuhi.
A.4 Hasil kinerja Auditor harus fokus pada hasil yang diinginkan dari sistem manajemen selama proses audit. Meskipun proses dan apa yang mereka capai itu penting, hasil dari sistem manajemen dan kinerjanya adalah yang terpenting. Penting juga untuk mempertimbangkan tingkat integrasi berbagai sistem manajemen dan hasil yang diinginkan. Tidak adanya proses atau dokumentasi bisa menjadi penting dalam risiko tinggi atau organisasi yang kompleks tetapi tidak begitu signifikan di organisasi lain.
A.5 Memverifikasi informasi Sejauh dapat dipraktikkan, auditor harus mempertimbangkan apakah informasi tersebut memberikan bukti obyektif yang cukup untuk menunjukkan bahwa persyaratan dipenuhi, seperti: a) lengkap (semua konten yang diharapkan terkandung dalam informasi yang didokumentasikan); b) benar (konten sesuai dengan sumber terpercaya lainnya seperti standar dan peraturan); c) konsisten (informasi yang didokumentasikan konsisten dengan dokumen terkait); d) terkini (konten terbaru). Juga harus dipertimbangkan apakah informasi yang diverifikasi memberikan bukti obyektif yang cukup untuk menunjukkan bahwa persyaratan dipenuhi. Jika informasi diberikan dengan cara selain yang diharapkan (misalnya oleh individu yang berbeda, media alternatif), integritas bukti harus dinilai. Perhatian khusus diperlukan untuk keamanan informasi karena peraturan yang berlaku tentang perlindungan data (khususnya untuk informasi yang berada di luar ruang lingkup audit, tetapi juga
terkandung dalam dokumen). 36 © ISO 2018 - Hak cipta dilindungi undang-undang
ISO 19011: 2018 (E)
A.6 Pengambilan sampelPengambilan A.6.1Umum sampel Auditterjadi ketika tidak praktis atau hemat biaya untuk memeriksa semua informasi yang tersedia selama audit, misalnya catatan terlalu banyak atau terlalu tersebar secara geografis untuk membenarkan pemeriksaan setiap item dalam populasi. Sampling audit dari populasi yang besar adalah proses memilih kurang dari 100% item dalam total kumpulan data yang tersedia (populasi) untuk mendapatkan dan mengevaluasi bukti tentang beberapa karakteristik populasi tersebut, untuk membentuk kesimpulan tentang populasi. Tujuan dari pengambilan sampel audit adalah untuk memberikan informasi kepada auditor agar yakin bahwa tujuan audit dapat atau akan dicapai. Risiko yang terkait dengan pengambilan sampel adalah bahwa sampel mungkin tidak mewakili populasi tempat mereka dipilih. Dengan demikian, kesimpulan auditor mungkin bias dan berbeda dari kesimpulan yang akan dicapai jika seluruh populasi diperiksa. Mungkin ada risiko lain tergantung pada variabilitas dalam populasi yang akan diambil sampelnya dan metode yang dipilih. Pengambilan sampel audit biasanya melibatkan langkah-langkah berikut: a) menetapkan tujuan pengambilan sampel; b) memilih luas dan komposisi populasi yang akan dijadikan sampel; c) memilih metode pengambilan sampel; d) menentukan ukuran sampel yang akan diambil; e) melakukan kegiatan pengambilan sampel; f) menyusun, mengevaluasi, melaporkan dan mendokumentasikan hasil. Saat pengambilan sampel, pertimbangan harus diberikan pada kualitas data yang tersedia, karena pengambilan sampel data yang tidak mencukupi dan tidak akurat tidak akan memberikan hasil yang berguna. Pemilihan sampel yang sesuai harus didasarkan pada metode pengambilan sampel dan jenis data yang diperlukan, misalnya untuk menyimpulkan pola perilaku tertentu atau menarik kesimpulan di seluruh populasi. Pelaporan sampel yang dipilih dapat mempertimbangkan ukuran sampel, metode pemilihan, dan perkiraan yang dibuat berdasarkan sampel dan tingkat kepercayaan. Audit dapat menggunakan pengambilan sampel berbasis penilaian (lihat A.6.2) atau pengambilan sampel statistik (lihat A.6.3). A.6.2 Pengambilan sampel berbasis
penilaian Pengambilan sampel berbasis penilaian bergantung pada kompetensi dan pengalaman tim audit (lihat Klausul 7). Untuk pengambilan sampel berbasis pertimbangan, berikut ini dapat dipertimbangkan: a) pengalaman audit sebelumnya dalam ruang lingkup audit; b) kompleksitas persyaratan (termasuk persyaratan perundang-undangan dan peraturan) untuk mencapai tujuan audit;
c) kompleksitas dan interaksi proses organisasi dan elemen sistem manajemen; d) tingkat perubahan teknologi, faktor manusia atau sistem manajemen; e) risiko signifikan dan peluang perbaikan yang telah diidentifikasi sebelumnya; f) keluaran dari pemantauan sistem manajemen. Kelemahan dari pengambilan sampel berbasis penilaian adalah bahwa tidak ada estimasi statistik tentang pengaruh ketidakpastian dalam temuan audit dan kesimpulan yang diambil.
ISO 19011: 2018 (E)
© ISO 2018 - All rights reserved 37
A.6.3 Pengambilan sampel statistik Jika keputusan dibuat untuk menggunakan pengambilan sampel statistik, rencana pengambilan sampel harus didasarkan pada tujuan audit dan apa yang diketahui tentang karakteristik populasi secara keseluruhan dari mana sampel akan diambil. Rancangan sampling statistik menggunakan proses pemilihan sampel berdasarkan teori probabilitas. Pengambilan sampel berbasis atribut digunakan jika hanya ada dua kemungkinan hasil sampel untuk setiap sampel (misalnya benar / salah atau lulus / gagal). Pengambilan sampel berbasis variabel digunakan ketika hasil sampel terjadi dalam rentang yang berkelanjutan. Rencana pengambilan sampel harus mempertimbangkan apakah hasil yang diperiksa kemungkinan besar berbasis atribut atau berbasis variabel. Misalnya, ketika mengevaluasi kesesuaian formulir yang telah diisi dengan persyaratan yang ditetapkan dalam prosedur, pendekatan berbasis atribut dapat digunakan. Saat memeriksa terjadinya insiden keamanan pangan atau jumlah pelanggaran keamanan, pendekatan berbasis variabel kemungkinan akan lebih tepat. Elemen yang dapat mempengaruhi rencana pengambilan sampel audit adalah: a) konteks, ukuran, sifat dan kompleksitas organisasi; b) jumlah auditor yang kompeten; c) frekuensi audit; d) waktu audit individu; e) tingkat kepercayaan yang dibutuhkan secara eksternal; f) terjadinya kejadian yang tidak diinginkan dan / atau tidak terduga. Ketika rencana pengambilan sampel statistik dikembangkan, tingkat risiko pengambilan sampel yang bersedia diterima oleh auditor merupakan pertimbangan penting. Ini sering disebut sebagai tingkat kepercayaan yang dapat diterima. Misalnya, risiko pengambilan sampel sebesar 5% sesuai dengan tingkat kepercayaan yang dapat diterima sebesar 95%. Risiko pengambilan sampel 5% berarti auditor bersedia menerima risiko bahwa 5 dari 100 (atau 1 dari 20) sampel yang diperiksa tidak akan mencerminkan nilai sebenarnya yang akan terlihat jika seluruh populasi diperiksa. Ketika pengambilan sampel statistik digunakan, auditor harus mendokumentasikan pekerjaan yang dilakukan dengan tepat. Ini harus mencakup deskripsi populasi yang akan dijadikan sampel, kriteria pengambilan sampel yang digunakan untuk evaluasi (misalnya sampel apa yang dapat diterima), parameter statistik dan metode yang digunakan, jumlah sampel yang dievaluasi dan hasil yang diperoleh.
A.7 Kepatuhan audit dalam sistem manajemen Tim audit harus mempertimbangkan apakah auditi memiliki proses yang efektif untuk:
a) mengidentifikasi persyaratan perundang-undangan dan peraturan serta persyaratan lain yang menjadi komitmennya; b) mengelola aktivitas, produk, dan layanannya untuk memenuhi persyaratan ini; c) mengevaluasi status kepatuhannya. Selain pedoman umum yang diberikan dalam dokumen ini, ketika menilai proses yang telah dilaksanakan oleh auditi untuk memastikan kepatuhan dengan persyaratan yang relevan, tim audit harus mempertimbangkan apakah auditi: 1) memiliki proses yang efektif untuk mengidentifikasi perubahan dalam persyaratan kepatuhan dan untuk menganggapnya sebagai bagian dari manajemen perubahan; 2) memiliki individu yang kompeten untuk mengelola proses kepatuhannya;
38 © ISO 2018 - Semua hak dilindungi undang-undang
ISO 19011: 2018 (E)
3) memelihara dan memberikan informasi terdokumentasi yang sesuai tentang status kepatuhannya seperti yang dipersyaratkan oleh regulator atau pihak berkepentingan lainnya; 4) memasukkan persyaratan kepatuhan dalam program audit internalnya; 5) menangani setiap kasus ketidakpatuhan; 6) mempertimbangkan kinerja kepatuhan dalam tinjauan manajemennya.
A.8 Konteks audit Banyak standar sistem manajemen mengharuskan organisasi untuk menentukan konteksnya, termasuk kebutuhan dan harapan pihak berkepentingan yang relevan serta masalah eksternal dan internal. Untuk melakukan ini, organisasi dapat menggunakan berbagai teknik untuk analisis dan perencanaan strategis. Auditor harus memastikan bahwa proses yang sesuai telah dikembangkan untuk ini dan digunakan secara efektif, sehingga hasilnya memberikan dasar yang dapat diandalkan untuk menentukan ruang lingkup dan pengembangan sistem manajemen. Untuk melakukan ini, auditor harus mempertimbangkan bukti obyektif yang terkait dengan hal-hal berikut: a) proses atau metode yang digunakan; b) kesesuaian dan kompetensi individu yang berkontribusi pada proses; c) hasil proses; d) penerapan hasil untuk menentukan ruang lingkup dan pengembangan sistem manajemen; e) tinjauan konteks secara berkala, yang sesuai. Auditor harus memiliki pengetahuan spesifik sektor yang relevan dan pemahaman tentang alat manajemen yang dapat digunakan organisasi untuk membuat penilaian mengenai keefektifan proses yang digunakan untuk menentukan konteks.
A.9 Kepemimpinan dan komitmen audit Banyak standar sistem manajemen telah meningkatkan persyaratan untuk manajemen puncak. Persyaratan ini termasuk menunjukkan komitmen dan kepemimpinan dengan mempertanggungjawabkan efektivitas sistem manajemen dan memenuhi sejumlah tanggung jawab. Ini
termasuk tugas-tugas yang harus dilakukan oleh manajemen puncak sendiri dan tugas lain yang dapat didelegasikan. Auditor harus memperoleh bukti obyektif tentang sejauh mana manajemen puncak terlibat dalam pengambilan keputusan terkait dengan sistem manajemen dan bagaimana hal itu menunjukkan komitmen untuk memastikan keefektifannya. Ini dapat dicapai dengan meninjau hasil dari proses yang relevan (misalnya kebijakan, tujuan, sumber daya yang tersedia, komunikasi dari manajemen puncak) dan dengan mewawancarai staf untuk menentukan tingkat keterlibatan manajemen puncak. Auditor juga harus bertujuan untuk mewawancarai manajemen puncak untuk memastikan bahwa mereka memiliki pemahaman yang memadai tentang masalah spesifik disiplin yang relevan dengan sistem manajemen mereka, bersama dengan konteks organisasi mereka beroperasi, sehingga mereka dapat memastikan bahwa sistem manajemen mencapai hasil yang diinginkan. . Auditor hendaknya tidak hanya fokus pada kepemimpinan di tingkat manajemen puncak tetapi juga harus mengaudit kepemimpinan dan komitmen di tingkat manajemen lain, jika sesuai.
ISO 19011: 2018 (E)
© ISO 2018 - All rights reserved 39
A.10 Audit risiko dan peluang Sebagai bagian dari penugasan audit individu, penentuan dan pengelolaan risiko dan peluang organisasi dapat disertakan. Tujuan inti dari penugasan audit tersebut adalah untuk: - memberikan jaminan atas kredibilitas proses identifikasi risiko dan peluang; memberikan jaminan bahwa risiko dan peluang ditentukan dan dikelola dengan benar; meninjau bagaimana organisasi menangani risiko dan peluang yang telah ditentukan. Audit pendekatan organisasi untuk penentuan risiko dan peluang tidak boleh dilakukan sebagai aktivitas yang berdiri sendiri. Ini harus tersirat selama seluruh audit sistem manajemen, termasuk saat mewawancarai manajemen puncak. Auditor harus bertindak sesuai dengan langkah-langkah berikut dan mengumpulkan bukti obyektif sebagai berikut: a) masukan yang digunakan oleh organisasi untuk menentukan risiko dan peluangnya, yang dapat mencakup: - analisis masalah eksternal dan internal; - arah strategis organisasi; - pihak yang berkepentingan, terkait dengan sistem manajemen khusus disiplin dan persyaratannya, juga; - potensi sumber risiko seperti aspek lingkungan, dan bahaya keselamatan, dll. B) metode di mana risiko dan peluang dievaluasi, yang dapat berbeda antara disiplin ilmu dan sektor. Perlakuan organisasi atas risiko dan peluangnya, termasuk tingkat risiko yang ingin diterima dan cara pengendaliannya, akan membutuhkan penerapan pertimbangan profesional oleh auditor.
A.11 Siklus hidup Beberapa sistem manajemen khusus disiplin memerlukan penerapan perspektif siklus hidup untuk
produk dan layanan mereka. Auditor tidak boleh menganggap ini sebagai persyaratan untuk mengadopsi pendekatan siklus hidup. Perspektif siklus hidup melibatkan pertimbangan kontrol dan pengaruh yang dimiliki organisasi terhadap tahapan siklus hidup produk dan layanannya. Tahapan dalam siklus hidup meliputi perolehan bahan baku, desain, produksi, pengangkutan / pengiriman, penggunaan, perawatan akhir masa pakai dan pembuangan akhir. Pendekatan ini memungkinkan organisasi untuk mengidentifikasi area di mana, dalam mempertimbangkan ruang lingkupnya, dapat meminimalkan dampaknya terhadap lingkungan sambil menambah nilai bagi organisasi. Auditor harus menggunakan pertimbangan profesional mereka tentang bagaimana organisasi telah menerapkan perspektif siklus hidup dalam kaitannya dengan strateginya dan: a) masa pakai produk atau layanan; b) pengaruh organisasi pada rantai pasokan; c) panjang rantai pasokan; d) kompleksitas teknologi produk. Jika suatu organisasi telah menggabungkan beberapa sistem manajemen ke dalam satu sistem manajemen untuk memenuhi kebutuhannya sendiri, auditor harus melihat dengan cermat setiap tumpang tindih terkait pertimbangan siklus hidup.
A.12Audit rantai pasokan Audit rantai pasokan untuk persyaratan khusus dapat diperlukan. Program audit pemasok harus dikembangkan dengan kriteria audit yang berlaku untuk jenis pemasok dan penyedia eksternal.
40 © ISO 2018 - All rights reserved
ISO 19011: 2018 (E)
lingkup audit rantai pasokan dapat berbeda, misalnya lengkap Audit sistem manajemen, proses audit tunggal, pemeriksaan produk, pemeriksaan konfigurasi.
A.13 Mempersiapkan dokumen kerja audit Saat menyiapkan dokumen kerja audit, tim audit harus mempertimbangkan pertanyaan-pertanyaan di bawah ini untuk setiap dokumen. a) Catatan audit mana yang akan dibuat dengan menggunakan dokumen kerja ini? b) Aktivitas audit mana yang terkait dengan dokumen kerja khusus ini? c) Siapa yang akan menjadi pengguna dokumen kerja ini? d) Informasi apa yang diperlukan untuk menyiapkan dokumen kerja ini? Untuk audit gabungan, dokumen kerja harus dikembangkan untuk menghindari duplikasi aktivitas audit dengan: - pengelompokan persyaratan serupa dari kriteria yang berbeda; - mengoordinasikan konten daftar periksa dan kuesioner terkait. Dokumen kerja audit harus memadai untuk menangani semua elemen sistem manajemen dalam ruang lingkup audit dan dapat disediakan di media apa pun.
A.14 Memilih sumber informasi Sumber informasi yang dipilih dapat bervariasi sesuai dengan ruang lingkup dan kompleksitas audit dan dapat mencakup hal-hal berikut:
a) wawancara dengan karyawan dan individu lain; b) observasi aktivitas dan lingkungan serta kondisi kerja sekitarnya; c) informasi terdokumentasi, seperti kebijakan, tujuan, rencana, prosedur, standar, instruksi, lisensi dan izin, spesifikasi, gambar, kontrak dan pesanan; d) rekaman, seperti rekaman inspeksi, risalah rapat, laporan audit, rekaman program pemantauan dan hasil pengukuran; e) ringkasan data, analisis dan indikator kinerja; f) informasi tentang rencana pengambilan sampel yang diaudit dan setiap prosedur untuk pengendalian pengambilan sampel dan proses pengukuran; g) laporan dari sumber lain, misalnya umpan balik pelanggan, survei dan pengukuran eksternal, informasi relevan lainnya dari pihak eksternal dan peringkat penyedia eksternal; h) database dan situs web; i) simulasi dan pemodelan.
A.15 Mengunjungi lokasi auditi Untuk meminimalkan interferensi antara aktivitas audit dan proses kerja auditi dan untuk memastikan kesehatan dan keselamatan tim audit selama kunjungan, hal-hal berikut harus dipertimbangkan: a) Perencanaan kunjungan: - memastikan izin dan akses ke bagian lokasi auditi tersebut, untuk dikunjungi sesuai dengan ruang lingkup auditnya;
ISO 19011: 2018 (E)
© ISO 2018 - All rights reserved 41
- memberikan informasi yang memadai kepada auditor tentang keamanan, kesehatan (misalnya karantina), kesehatan dan keselamatan kerja dan norma budaya dan jam kerja untuk kunjungan termasuk vaksinasi yang diminta dan direkomendasikan dan izin, jika berlaku; - konfirmasi dengan auditi bahwa alat pelindung diri (APD) yang diperlukan akan tersedia untuk tim audit, jika ada; - mengkonfirmasi pengaturan dengan auditee mengenai penggunaan perangkat seluler dan kamera termasuk merekam informasi seperti foto lokasi dan peralatan, salinan screen shot atau fotokopi dokumen, video kegiatan dan wawancara, dengan mempertimbangkan masalah keamanan dan kerahasiaan; - kecuali untuk audit ad hoc yang tidak terjadwal, pastikan bahwa personel yang dikunjungi akan diberi tahu tentang tujuan dan ruang lingkup audit. b) Kegiatan di lokasi: - hindari gangguan yang tidak perlu dari proses operasional; - memastikan bahwa tim audit menggunakan APD dengan benar (jika ada); - memastikan prosedur darurat dikomunikasikan (misalnya pintu keluar darurat, titik berkumpul); - Jadwalkan komunikasi untuk meminimalkan gangguan; - menyesuaikan ukuran tim audit dan jumlah pemandu dan pengamat sesuai dengan ruang lingkup audit, untuk menghindari gangguan pada proses operasional sejauh mungkin;
- jangan menyentuh atau memanipulasi peralatan apa pun, kecuali diizinkan secara eksplisit, bahkan jika kompeten atau berlisensi; - jika suatu insiden terjadi selama kunjungan di lokasi, ketua tim audit harus meninjau situasi dengan auditi dan, jika perlu, dengan klien audit dan mencapai kesepakatan tentang apakah audit harus diinterupsi, dijadwalkan ulang atau dilanjutkan; - jika mengambil salinan dokumen di media apa pun, mintalah izin terlebih dahulu dan pertimbangkan kerahasiaan dan masalah keamanan; - saat membuat catatan, hindari mengumpulkan informasi pribadi kecuali diharuskan oleh tujuan audit atau kriteria audit. c) Kegiatan audit virtual: - memastikan bahwa tim audit menggunakan protokol akses jarak jauh yang disetujui termasuk perangkat yang diminta, perangkat lunak, dll .; - jika mengambil salinan tangkapan layar dari dokumen apa pun, mintalah izin sebelumnya dan pertimbangkan kerahasiaan dan masalah keamanan dan hindari merekam individu tanpa izin mereka; - jika insiden terjadi selama akses jarak jauh, ketua tim audit harus meninjau situasi dengan auditi dan, jika perlu, dengan klien audit dan mencapai kesepakatan tentang apakah audit harus diinterupsi, dijadwalkan ulang atau dilanjutkan; - gunakan denah / diagram lantai dari lokasi terpencil untuk referensi; - menjaga rasa hormat terhadap privasi selama jeda audit. Pertimbangan perlu diberikan untuk disposisi informasi dan bukti audit, terlepas dari jenis medianya, di kemudian hari, setelah kebutuhan akan penyimpanannya habis.
42 © ISO 2018 - Semua hak dilindungi undang-undang
ISO 19011: 2018 (E)
A.16 Mengamati aktivitas dan lokasi virtual Audit virtual dilakukan saat organisasi melakukan pekerjaan atau menyediakan layanan menggunakan lingkungan online yang memungkinkan orang terlepas dari lokasi fisik untuk melaksanakan proses ( misalnya intranet perusahaan, "cloud komputasi"). Audit lokasi virtual terkadang disebut sebagai audit virtual. Audit jarak jauh mengacu pada penggunaan teknologi untuk mengumpulkan informasi, mewawancarai auditi, dll. Ketika metode "tatap muka" tidak memungkinkan atau diinginkan. Audit virtual mengikuti proses audit standar sambil menggunakan teknologi untuk memverifikasi bukti objektif. Auditee dan tim audit harus memastikan persyaratan teknologi yang tepat untuk audit virtual yang dapat mencakup: - memastikan tim audit menggunakan protokol akses jarak jauh yang disepakati, termasuk perangkat yang diminta, perangkat lunak, dll .; - melakukan pemeriksaan teknis sebelum audit untuk menyelesaikan masalah teknis; - memastikan rencana kontinjensi tersedia dan dikomunikasikan (misalnya gangguan akses, penggunaan teknologi alternatif), termasuk ketentuan untuk waktu audit tambahan jika perlu.
Kompetensi auditor harus mencakup: - keterampilan teknis untuk menggunakan peralatan elektronik dan teknologi lain yang sesuai saat mengaudit; - Pengalaman dalam memfasilitasi pertemuan secara virtual untuk melakukan audit dari jarak jauh. Saat melakukan pertemuan pembukaan atau audit secara virtual, auditor harus mempertimbangkan dan hal-hal berikut ini: - risiko yang terkait dengan audit virtual atau jarak jauh; - menggunakan denah / diagram lokasi terpencil untuk referensi atau pemetaan informasi elektronik; memfasilitasi pencegahan gangguan dan gangguan kebisingan latar belakang; - meminta izin sebelumnya untuk mengambil salinan tangkapan layar dokumen atau rekaman apa pun, dan mempertimbangkan masalah kerahasiaan dan keamanan; - memastikan kerahasiaan dan privasi selama jeda audit misalnya dengan mematikan mikrofon, menjeda kamera.
A.17 Melakukan wawancara Wawancara merupakan sarana penting untuk mengumpulkan informasi dan harus dilakukan dengan cara yang disesuaikan dengan situasi dan individu yang diwawancarai, baik secara tatap muka atau melalui alat komunikasi lain. Namun, auditor harus mempertimbangkan hal-hal berikut: a) wawancara harus dilakukan dengan individu dari tingkat dan fungsi yang sesuai yang melaksanakan kegiatan atau tugas dalam ruang lingkup audit; b) wawancara biasanya harus dilakukan selama jam kerja normal dan, jika memungkinkan, di tempat kerja normal dari individu yang diwawancarai; c) upaya harus dilakukan untuk membuat individu yang diwawancarai dengan nyaman sebelum dan selama wawancara; d) alasan wawancara dan pencatatan harus dijelaskan; e) wawancara dapat dimulai dengan meminta individu untuk mendeskripsikan pekerjaan mereka; f) jenis pertanyaan yang digunakan harus dipilih dengan cermat (misalnya pertanyaan terbuka, tertutup, pertanyaan utama, pertanyaan apresiatif);
ISO 19011: 2018 (E)
© ISO 2018 - All rights reserved 43
g) kesadaran akan komunikasi non-verbal yang terbatas dalam pengaturan virtual; alih-alih fokus harus pada jenis pertanyaan yang akan digunakan dalam menemukan bukti obyektif; h) hasil dari wawancara harus diringkas dan ditinjau dengan individu yang diwawancarai; i) individu yang diwawancarai harus berterima kasih atas partisipasi dan kerjasamanya.
A.18 Temuan audit A.18.1 Penentuan temuan audit Dalam menentukan temuan audit, hal-hal berikut harus dipertimbangkan:
a) tindak lanjut dari catatan dan kesimpulan audit sebelumnya; b) persyaratan klien audit; c) akurasi, kecukupan dan kesesuaian bukti obyektif untuk mendukung temuan audit; d) sejauh mana kegiatan audit yang direncanakan direalisasikan dan hasil yang direncanakan dicapai; e) temuan yang melebihi praktik normal, atau peluang untuk perbaikan; f) ukuran sampel; g) kategorisasi (jika ada) dari temuan audit.
A.18.2 Pencatatan kesesuaian Untuk catatan kesesuaian, berikut ini harus dipertimbangkan: a) deskripsi atau referensi ke kriteria audit yang kesesuaian ditampilkan; b) bukti audit untuk mendukung kesesuaian dan efektivitas, jika berlaku; c) pernyataan kesesuaian, jika berlaku.
A.18.3 Pencatatan ketidaksesuaian Untuk catatan ketidaksesuaian, hal-hal berikut harus dipertimbangkan: a) deskripsi atau referensi ke kriteria audit; b) bukti audit; c) pernyataan ketidaksesuaian; d) temuan audit terkait, jika berlaku.
A.18.4 Menangani temuan yang terkait dengan berbagai kriteria Selama audit, dimungkinkan untuk mengidentifikasi temuan yang terkait dengan berbagai kriteria. Jika auditor mengidentifikasi temuan yang terkait dengan satu kriteria pada audit gabungan, auditor harus mempertimbangkan kemungkinan dampak pada kriteria yang sesuai atau serupa dari sistem manajemen lain. Bergantung pada pengaturan dengan klien audit, auditor dapat mengajukan: a) temuan terpisah untuk setiap kriteria; atau b) satu temuan, menggabungkan referensi ke beberapa kriteria.
44 © ISO 2018 - Semua hak dilindungi undang-undang
ISO 19011: 2018 (E)
Tergantung pada pengaturan dengan klien audit, auditor dapat memandu auditi tentang cara menanggapi temuan tersebut.
© ISO 2018 - Semua hak dilindungi undang-undang 45
ISO 19011: 2018 (E)
Daftar Pustaka
[1] ISO 9000: 2015, Sistem manajemen mutu - Dasar-dasar dan kosakata [ 2] ISO 9001, Sistem manajemen mutu - Persyaratan1) [3] Panduan ISO 73: 2009, Manajemen risiko - Kosakata [4] ISO / IEC 17021-1, Penilaian kesesuaian - Persyaratan untuk badan yang menyediakan audit dan sertifikasi sistem manajemen - Bagian 1: Persyaratan
1) Lihat www.iso.org/ tc176 / ISO9001AuditingPracticesGroup.
46 © ISO 2018 - Semua hak dilindungi undang-undang
ISO 19011: 2018 (E)
ICS 03.120.20; 03.100.70 Harga berdasarkan 46 halaman © ISO 2018 - Semua hak dilindungi undang-undang
