Quality Assurance -PERTEMUAN 10.docx
-
Upload
dewitarahmayana -
Category
Documents
-
view
117 -
download
6
Transcript of Quality Assurance -PERTEMUAN 10.docx
Dewita Rahmayana 1206317045
Gilang Wildan Pratama 1206317316
ISO 27001, ISO 9000, and Other International Standards
Importance of ISO Standards in Today’s Global World
ISO bertanggung jawab untuk mengembangkan dan menerbitkan berbagai
standar internasional di banyak daerah bisnis dan proses. Beberapa standar ini sangat
luas, seperti ISO 14001, yang meliputi sistem pengendalian lingkungan yang efektif,
sementara yang lain sangat rinci dan tepat, seperti standar yang meliputi ukuran dan
ketebalan kartu kredit plastik. Standar ISO yang luas sangat penting karena mereka
memungkinkan semua perusahaan di seluruh dunia untuk berbicara bahasa yang sama
ketika mereka bisa mengklaim bahwa mereka memiliki, misalnya, ISO 14001 sistem
kontrol lingkungan yang efektif.
Karena banyak otoritas internasional pemerintah, kelompok profesional, dan
para ahli yang terlibat dalam proses penetapan standar, membangun dokumen ISO
biasanya panjang dan lambat. Komite ahli mengembangkan sebuah rancangan standar
awal yang meliputi beberapa daerah, draft dikirim keluar untuk diperiksa dan diberi
komentar dengan tanggal jatuh tempo, dan panitia kemudian kembali untuk meninjau
komentar draft sebelum mengeluarkan standar baru atau mengirimkan draft revisi
untuk putaran tijauan berikutnya beserta perubahan yang disarankan. Setelah itu,
standar diterbitkan. Perusahaan kemudian dapat mengambil langkah yang diperlukan
untuk memenuhi standar. Untuk menyatakan kepatuhan mereka, mereka harus
membuat kontrak dengan auditor luar, dengan keterampilan dalam standar tertentu,
untuk membuktikan kepatuhan mereka.
Kepatuhan dengan ISO 9000 standar memungkinkan perusahaan di seluruh
dunia untuk merancang operasi mereka, standar yang konsisten dan kemudian
menegaskan bahwa mereka memiliki sistem manajemen kualitas sesuai dengan
standar internasional. Perusahaan tidak hanya harus mengubah proses untuk
memenuhi standar ISO, tetapi juga harus menunjukkan kepatuhan tersebut kepada
pihak lain. Untuk membuktikan kepatuhan terhadap standar ISO, suatu perusahaan
harus melakukan kontrak dengan reviewer dari luar yang berwenang untuk menilai
kepatuhan terhadap standar itu. Sertifikasi ISO ini merupakan proses yang sama
dengan audit eksternal yang dilakukan oleh certified public accountant (CPA). Proses
sertifikasi ISO juga mirip dengan audit keuangan berdasarkan kepatuhan auditee
dengan standar auditing (GAAS) yang dilakukan oleh akuntan publik besar
perusahaan. Setelah disertifikasi, perusahaan dapat beriklan ke dunia luar bahwa ia
memiliki proses yang efektif karena memenuhi standar ISO yang spesifik.
ISO Standards Overview
Meskipun hampir semua perusahaan publik wajib diaudit laporan
keuangannya, kepatuhan terhadap standar ISO tidak diwajibkan. Karena peraturan
pelaporan keuangan SEC, kurangnya laporan keuangan yang diaudit atau laporan
dengan pendapat auditor yang tidak menguntungkan bisa sangat merusak bagi
perusahaan publik. Dalam kebanyakan kasus, Kepatuhan terhadap standar ISO hanya
sukarela tetapi sering menjadi hal yang penting.
Auditor internal harus berusaha untuk mempelajari lebih lanjut tentang status
proses kepatuhan standar sistem kualitas ISO dalam perusahaan mereka. Beberapa
standar, seperti pola benang pada baut atau ketebalan kartu kredit, harus menjadi
wajib jika perusahaan melakukan penjualan di seluruh dunia.
a. ISO 9001 Quality Management Systems and Sarbanes-Oxley
ISO 9000 pada sistem manajemen kualitas adalah salah satu standar ISO
sebelumnya. Hal ini mendapatkan perhatian yang besar di negara-negara Eropa
yang baru pulih. ISO 9000 adalah sebuah standar yang penting untuk sistem
manajemen kualitas. Dikelola oleh ISO, standar ini meliputi persyaratan untuk
hal-hal seperti:
- Pemantauan proses untuk memastikan keefektifan
- Menyimpan catatan yang memadai
- Memeriksa output yang cacat, dengan tindakan korektif yang tepat
- Secara teratur meninjau proses individu dan sistem kualitas untuk
efektivitas
- Memfasilitasi perbaikan secara terus-menerus
(i) ISO 9000 PROSES DOKUMENTASI
Standar ISO 9000 dan standar ISO lainnya memberlakukan
persyaratan dokumentasi yang berat pada suatu perusahaan. Hal ini tidak
mencukupi untuk suatu perusahaan hanya untuk mengklaim bahwa beberapa
proses telah didokumentasikan. Auditor internal akan menanyakan bahwa
beberapa sistem atau proses yang mereka tinjau didokumentasikan. Seringkali
mereka diberitahu bahwa dokumentasi itu kedaluwarsa atau tidak ada.
Kurangnya dokumentasi kemudian akan menjadi temuan audit internal tetapi
hanya akan ada sedikit tindakan korektif yang diambil. Kepatuhan ISO 9000
menimbulkan persyaratan dokumentasi untuk proses kualitas ke tingkat yang
baru. Reviewer luar harus menyatakan bahwa perusahaan telah patuh, dan
kemudian reviewer ISO dapat menyatakan kepada dunia luar bahwa
perusahaan telah memenuhi standar ISO. Tinjauan kepatuhan ini tidak satu kali
saja; tinjauan pembaruan periodik diperlukan. Untuk memperjelas, ISO 9000
tidak hanya satu standar tetapi serangkaian standar dan pedoman:
- ISO 9001. Standar tersertifikasi yang berurusan dengan desain
- ISO 9002. Standar tersertifikasi yang berurusan dengan manufaktur
- ISO 9003. Standar tersertifikasi yang berurusan dengan manufaktur dan
perakitan
- ISO 9004. Pedoman yang menjelaskan sistem kualitas
ISO 9000 adalah satu rangkaian standar untuk sistem peningkatan
kualitas yang berkesinambungan, tidak peduli apakah komponen manufaktur
atau proses jasa. Dalam proses yang berkelanjutan ini, proses yang ada harus
dipantau, tindakan direncanakan untuk perbaikan, dan item tindakan
diimplementasikan untuk pemantauan selanjutnya dan perbaikan lebih lanjut.
Auditor internal dan sistem pengembangan profesional telah menggunakan
proses umum yang sama sejak awal pengembangan sistem TI, disebut dengan
Systems Development Life Cycle (SDLC), yaitu proses untuk
mengembangkan sistem informasi TI baru.
Dokumentasi yang solid dan akurat sangat penting bagi suatu
perusahaan untuk mengklaim pendaftaran ISO. Masalah di sini adalah bahwa
pendaftaran ISO memiliki jangkauan global. Ketika ISO 9001: 20000 seksi
4.2.3 menyatakan bahwa "prosedur terdokumentasi harus ditetapkan untuk
mendefinisikan pengendalian yang diperlukan" dan "a) menyetujui kecukupan
dokumen penerbitan," sistem pengendalian proses dokumentasi diperlukan
untuk menunjukkan kepatuhan. Praktik terbaik ISO menyerukan hirarki
dokumentasi di setiap daerah dimulai dengan tingkat manual.
ISO 9000 sangat penting untuk semua jenis perusahaan dalam
menegaskan kepada manajemen internal mereka sendiri dan dunia luar bahwa
mereka mewakili perusahaan yang fokus pada kualitas. The IIA, sayangnya,
belum agresif mengomunikasikan tentang ISO 9000. Pada saat publikasi ini,
hanya satu artikel di IIA Internal Auditor yang telah menyarankan
penggunaan ISO 9001 dan 14001 dengan kerangka pengendalian internal
Committee of Sponsoring Organization (COSO)untuk membantu perusahaan
menangani risiko yang dapat mempengaruhi laporan keuangan mereka.
(ii) ISO 9000 and Sarbanes-Oxley: COMMON THREADS
Banyak manajer keuangan dan auditor internal yang mungkin
berpendapat bahwa mereka cukup sibuk dengan kegiatan kepatuhan terhadap
SOx, dan mereka mungkin mempertanyakan mengapa mereka harus terlibat
dengan standar ISO. William A. Stimson, spesialis audit kualitas, telah
membandingkan persyaratan SOx dan ISO 9000 dan telah menemukan
banyak ancaman yang sama.
- SOx Title II pada independensi auditor sangat mirip dengan pedoman
dalam ISO 9001.
- SOx Title III tentang tanggung jawab perusahaan untuk pelaporan
keuangan (Pasal 302) mirip dengan ISO 9001 bahwa komite eksekutif
perusahaan harus menyatakan laporan tertentu sebagai kebenaran dan juga
membuktikan kepatuhan mereka dengan isi laporan.
- SOx Title IV pada pengungkapan keuangan mirip dengan ISO 9001 pada
tanggung
- jawab manajemen dalam sistem manajemen kualitas; baik standar untuk
menyatakan bahwa pengendalian internal efektif maupun adanya kode
etik .
- SOx Title VIII pada fraud akuntabilitas perusahaan dan pidana memiliki
persyaratan yang sama dengan aturan
- ISO 9001 pada tanggung jawab manajemen pada laporan dan dokumen.
Tujuannya adalah hanya untuk menyoroti area di mana SOx dan ISO
9000 memiliki beberapa persyaratan yang sama. Mungkin perbedaan
utamanya adalah bahwa SOx memiliki hukuman pidana bagi yang melanggar;
kegagalan untuk mencapai standar ISO mengurangi daya saing suatu
perusahaan. Seperti banyak standar ISO, ISO 9000 menguraikan persyaratan
untuk perbaikan terus-menerus pada sistem manajemen kualitas suatu
perusahaan.
b. IT Security Standards: ISO 17799 and 27001
ISO 17799 diterbitkan di Inggris sebagai BS7799 pada tahun 1995;
standar telah diperbarui selama bertahun-tahun dan sekarang dikenal sebagai
IS0 17799: 2005, dan direncanakan akan dinomori ulang sebagai ISO 27002.
Untuk saat ini, ISO 17799 merupakan standar keamanan yang berhubungan
dengan TI yang dirancang untuk membantu setiap perusahaan yang perlu
membuat program IS manajemen yang komprehensif atau meningkatkan
praktek IS. ISO 17799 adalah standar tentang informasi dan IS dalam
pengertian umum. Karena informasi tersebut bisa terjadi dalam berbagai
bentuk, standar mengambil pendekatan yang sangat luas dan mencakup
berbagai standar keamanan yang mencakup keamanan mengenai:
- Data dan software file elektronik
- Semua format dokumen kertas termasuk bahan cetak, catatan tulisan
tangan, dan bahkan foto-foto
- Rekaman video dan audio
- Percakapan telepon maupun e-mail, fax, video, dan bentuk-bentuk pesan
Konsepnya adalah bahwa semua bentuk informasi memiliki nilai dan
perlu dilindungi seperti aset perusahaan lainnya. Banyak perusahaan saat ini
bahkan tidak mempertimbangkan standar keamanan di daerah-daerah yang
luas, tetapi standar ISO menyarankan mereka harus ikut dicakup. Seperti
semua standar ISO lainnya, standar ini diterbitkan tidak benar-benar
menentukan apa yang diperlukan secara spesifik tetapi menguraikan daerah
dimana ada persyaratan standar yang berhubungan dengan keamanan. Sebagai
langkah pertama untuk menerapkan ISO 17799, perusahaan harus
mengidentifikasi sendiri kebutuhan dan persyaratan IS.
ISO 17799 adalah serangkaian standar internasional pertama yang
dimaksudkan untuk setiap perusahaan yang menggunakan sistem komputer
internal atau eksternal, memiliki data yang bersifat rahasia, bergantung pada IT
dalam melaksanakan kegiatan usahanya, atau hanya ingin mengadopsi tingkat
keamanan yang lebih tinggi dengan mematuhi standar. ISO 17799 adalah
metodologi terstruktur dan diakui secara internasional yang akan membantu
perusahaan untuk mengembangkan manajemen yang lebih baik dari IS secara
berkelanjutan. Ini adalah kode praktek yang mendukung persyaratan sistem
manajemen IS dari standar keamanan terkait, ISO 27001.
c. IT Security Technique Requirements: ISO 27001
Jika ISO 17799 adalah kode tingkat tinggi dari praktek yang meliputi
kontrol keamanan, ISO 27001 adalah sebagai "spesifikasi" untuk Sistem
Manajemen Keamanan Informasi. Artinya, standar ini dirancang untuk
mengukur, memantau, dan mengendalikan manajemen keamanan dari
perspektif top-down. Standar dasarnya menjelaskan bagaimana menerapkan
ISO 17799, dan mendefinisikan pelaksanaan standar ini dengan enam bagian
proses:
- Menjelaskan kebijakan keamanan.
- Menjelaskan lingkup ISMS
- Melakukan penilaian risiko.
- Mengelola risiko
- Pilih tujuan pengendalian dan pengendalian yang akan dilaksanakan.
- Siapkan pernyataan penerapan
Seperti dapat dilihat dari langkah-langkah ini, analisis risiko dan
kebijakan keamanan sangatlah fundamental untuk standar ini. Ketika
pengaturan praktek-praktek ini bukanlah masalah audit internal, audit internal
dapat memberikan bantuan yang kuat untuk manajemen TI dengan
menawarkan pelayanan sebagai konsultan internal dan membantu untuk
melakukan prosedur penilaian risiko yang memadai.
Auditor Internal harus memantau status progress secara berkelanjutan
dari standar-standar keamanan TI; melakukannya untuk ISMS sesuai dalam
fungsi TI. Sementara fungsi TI dapat menunda sepenuhnya dalam penerapan
ISO 27001, 27002, dan ISMS, beberapa vendor atau pemangku kepentingan
utama lainnya dapat menuntut bukti kepatuhan perusahaan terhadap standar
ini. Audit internal dapat membantu terkait hal-hal tersebut.
d. Service Quality Management: ISO 20000
ISO 20000 tentang manajemen kualitas pelayanan memperkenalkan
beberapa konvergensi standar yang sangat dibutuhkan. Ini merupakan standar
internasional untuk manajemen layanan TI, dan memperkenalkan banyak
manajemen pelayanan praktik terbaik ITIL. ISO 20000 menyerukan
perusahaan untuk mengadopsi dan menyatakan bahwa mereka telah
mengadopsi praktik terbaik ITIL. Secara formal, standar ini "mempromosikan
adopsi pendekatan proses yang terintegrasi untuk secara efektif memberikan
jasa yang dikelola untuk memenuhi bisnis dan kebutuhan pelanggan." ISO
20000 adalah standar global pertama untuk manajemen jasa TI dan
sepenuhnya kompatibel dan mendukung kerangka ITIL. Ini tentu akan
memiliki dampak yang signifikan pada penggunaan dan penerimaan praktik
terbaik ITIL dan seluruh manajemen layanan TI.
ISO 19011 Quality Management Systems Auditing
Standar ISO 19011 audit sistem manajemen mutu/kualitas sangat berkaitan
dengan standar audit kualitas ASQ, dan menguraikan empat sumber daya
keputusan / dukungan yang penting untuk perencanaan, pelaksanaan, dan evaluasi
yang efisien dari kualitas dan / atau audit lingkungan:
- Pentingnya penjelasan terhadap prinsip-prinsip sistem manajemen audit
- Pedoman tentang pengelolaan program audit
- Pedoman tentang pelaksanaan audit internal atau eksternal
- Saran pada kompetensi dan evaluasi auditor
Standar ISO ini menguraikan lima prinsip-prinsip audit:
- Perilaku etis. Auditor yang melakukan audit ISO 19011 harus jujur dan
melakukan hal yang benar.
- Penyajian secara wajar. Auditor harus menyerahkan ketika melaporkan
hasil.
- Melalakukan profesionalitas. Auditor harus melakukan apa yang wajar dan
biasanya diharapkan.
- Independen. Auditor harus menghindari konflik kepentingan untuk
memastikan integritas mereka.
- Pendekatan berbasis bukti. Auditor harus menyelidiki dan kemudian
melaporkan fakta-fakta.
Standar ISO 19011 berisi satu rangkaian prinsip-prinsip audit yang detail dari
perspektif audit kualitas ISO. IIA mengirimkan survei pada bulan April 2008 melalui
jaringan GAIN untuk menilai keterlibatan internal auditor dengan ISO 19011. Dari
1.500 survei yang dikirim keluar, hanya sekitar 150 yang dikembalikan. Hasil secara
umum memperlihatkan bahwa auditor internal IIA memiliki sedikit keterlibatan
dengan auditor kualitas. Berdasarkan hasil survei, 70% dari anggota IIA menyatakan
bahwa tidak ada keterlibatan dengan ISO 19011 di perusahaan mereka.
ISO Standards and Internal Auditors
Seiring perusahaan menjadi lebih global dengan banyak interkoneksi
perdagangan dan hubungan, standar ISO menjadi lebih penting. Sementara standar
menggambarkan komponen dimensi yang sangat penting untuk perdagangan, standar
sistem kualitas yang lebih halus, seperti ISO 9000, sama-sama penting. Perusahaan di
satu lokasi akan menolak untuk melakukan bisnis dengan perusahaan lain kecuali
mereka dapat menyatakan kepatuhan mereka dengan beberapa standar ISO.
Auditor internal harus mengembangkan tingkat pemahaman umum CBOK
dari standar ISO, seperti 9000 untuk kualitas dan 19001 untuk audit. Selain itu,
dimana standar spesifik digunakan di perusahaan auditor internal, seperti untuk
pembuatan produk, auditor internal harus belajar lebih banyak tentang standar
tersebut dan bagaimana standar tersebut diimplementasikan dan diaudit. Di masa
depan, pemahaman tentang standar ISO yang tepat harus menjadi persyaratan
pengetahuan utama auditor internal.
Quality Assurance Auditing (QAD) and American Society of Quality
(ASQ) Standards
Duties and Responsibilities of Quality Auditors
Kami mengacu profesional ASQ sebagai auditor kualitas untuk membedakan
mereka dari auditor internal. ASQ adalah pendukung utama gerakan kualitas di
Amerika Serikat. Ia memiliki publikasi yang luas, sertifikasi profesional, dan divisi
terpisah yang mencakup industri seperti aerospace dan obat-obatan serta praktek
profesional. ASQ sangat terlibat dengan standar mutu ISO di Amerika Serikat, dan
QAD bertanggung jawab atas kepatuhan audit terhadap standar-standar ISO.
Misi QAD adalah "Untuk mendukung auditor dan stakeholder lainnya dengan
mendefinisikan dan mempromosikan audit sebagai alat manajemen untuk mencapai
perbaikan terus-menerus, komunikasi yang efektif, dan meningkatkan kepuasan
pelanggan." Sekali lagi, penggunaan kata "auditor" menyebabkan kebingungan
tentang peran auditor kualitas tersebut. Selain itu, ASQ dan QAD mengakui dan
mendefinisikan beberapa tingkat aktivitas audit:
- Self-audit. Ini adalah kualitas audit yang dilakukan di dalam perusahaan
untuk meninjau kesesuaian dengan standar mutu ISO dan sejenisnya.
- Second-party audits. Auditor kualitas sering melakukan tinjauan untuk
menilai apakah pemasok mereka beroperasi sesuai dengan standar yang
telah ditetapkan. Second-party audit terjadi ketika auditor kualitas
perusahaan sendiri mengunjungi pemasok untuk menguji kepatuhan
terhadap standar.
- Third-party audits. Ini adalah audit yang dilakukan di perusahaan oleh
organisasi independen, seperti salah satu pendaftar ISO, atau auditor dari
lembaga pemerintah, seperti Departemet of Labor's Occupational Safety
and Health Administration (OSHA) atau Federal Drug Administration
(FDA).
Seperti yang telah dibahas, meskipun sejarah ASQ menggunakan istilah
auditor kualitas, saat ini yang digunakan adalah auditor. Perubahan ini disebabkan
oleh ASQ memperluas sebutan profesionalnya sendiri. Exhibit 31.1 menjelaskan
klasifikasi audit kualitas yang menunjukkan baik pelanggan dari luar maupun yang
membutuhkan jaminan kualitas audit, dan pemasok. Daerah kegiatan ini
menempatkan auditor kualitas dalam kerangka yang berbeda dari auditor internal IIA.
EXHIBIT 31.1 Classifications of Quality Audits
Terminologi audit kualitas menjadi lebih membingungkan karena ASQ
merunjuk profesional audit sebagai auditor internal dan eksternal. Auditor internal
ASQ meninjau pengendalian dan standar dalam perusahaan auditor. Auditor eksternal
ASQ, dalam konteks ini, melakukan tinjauan pihak ketiga di perusahaan lain untuk
menetapkan hal-hal seperti sertifikasi ISO. Sementara auditor kualitas dapat menjadi
anggota dari IIA selain ASQ, penunjukan auditor kualitas eksternal tidak memiliki
hubungan reguler dengan laporan keuangan atestasi auditor, penunjukan American
Institute of Certified Public Accountants (AICPA). Kami umumnya menggunakan
istilah auditor kualitas untuk semua referensi auditor ASQ-background untuk
membuat perbedaan antara auditor internal IIA-heritage.
Role of the Quality Auditor
Auditor kualitas mengikuti banyak langkah-langkah umum yang sama dengan
IIA-sponsored auditor internal dalam prosedur mereka untuk mengembangkan
program, pelaporan temuan, dan sejenisnya. Auditor kualitas biasanya tidak terlibat
dengan masalah audit seperti review dari pengendalian internal keuangan mereka dan
juga tidak terlibat langsung dengan audit yang mencakup banyak teknologi informasi
(TI) pada area pengendalian internal. Kualitas auditor sering mengikuti standard
industri internasional, seperti ISO 9000, dan audit mereka sering cenderung jauh lebih
kuantitatif dan matematis dibanding pekerjaan auditor internal yang khas dari IIA-
heritage. Pekerjaan auditor kualitas sering berkaitan erat dengan proses klasik yang
digunakan oleh spesialis penjamin kualitas produksi manufaktur. Exhibit 31.2
menunjukkan bahwa kualitas audit dapat ditunjuk sebagai produk, proses, dan sistem
audit berdasarkan lingkup dan tujuan mereka.
EXHIBIT 3.2 Types of Quality Audits
- Audit produk merupakan penilaian dari produk atau jasa akhir dan review
dari "fitness for use" terhadap persyaratan atau spesifikasinya. Dalam arti
manufaktur, audit produk akan dilakukan pada beberapa item yang lolos
dari inspeksi akhir dan siap untuk pengiriman ke pelanggan.
- Sebuah proses audit adalah jenis utama dari pemeriksaan yang dilakukan
oleh auditor kualitas. Ini adalah review untuk memverifikasi kesesuaian
dengan standar, metode, prosedur, atau persyaratan lainnya.
- Audit sistem bukanlah sistem tinjauan yang terkait IT tapi audit yang
mencakup semua aspek dari sistem pengendalian. Jenis ulasan dilakukan
untuk memverifikasi, melalui bukti obyektif, bahwa semua aspek sistem
manajemen dan rencana organisasi dilaksanakan untuk memenuhi
persyaratan yang memadai.
Standard ISO menyatakan, antara lain:
Auditor kualitas sering terlibat dengan tes untuk perbaikan berdasarkan
temuan mereka dari tinjauan sebelumnya. Untuk mencapai perbaikan terus-menerus
ini, data dalam review baru harus dianalisis akan tren dan kelemahannya. Auditor
kualitas kemudian membandingkan hasil dengan tujuan dan sasaran, dan
menganalisis proses data untuk mengidentifikasi risiko, inefisiensi, peluang untuk
perbaikan, serta tren negatif. Hasilnya mungkin rekomendasi untuk perubahan
prosedur atau unsur-unsur lain dari proses, seperti perbaikan dalam kriteria
penerimaan atau metode pengawasan. Perubahan yang disarankan terhadap peralatan
atau teknologi juga mungkin merupakan ruang lingkup auditor kualitas dalam
mengidentifikasi area untuk perbaikan terus-menerus. Dalam banyak hal, auditor
kualitas lebihsering merekomendasikan perubahan yang lebih signifikan untuk siklus
perbaikan daripada auditor internal.
Performing ASQ Quality Audits
Praktek ASQ akan audit kualitas membawa perspektif yang agak berbeda
terhadap audit. Meskipun berakar pada jaminan kualitas sebelumnya dan proses
teknik industri, audit kualitas sangat penting untuk mengukur kepatuhan terhadap
standar ISO, dan ada komponen internal dan eksternal dalam praktek audit ini. Audit
kualitas ASQ agak berbeda dari banyak IIA internal yang kontrol berorientasi audit.
ASQ menilai aturan kepatuhan terhadap peraturan atau untuk memenuhi persyaratan
ISO standar pendaftaran atau sertifikasi. Audit kualitas ASQ juga penting karena
mereka adalah umpan balik penting dalam kualitas sistem perusahaan untuk menjaga
manajemen mendapatkan informasi tentang kepatuhan terhadap prosedur sistem yang
terdokumentasi.
Diilustrasikan dalam Exhibit 31.5, ini adalah siklus perbaikan terus-menerus
di mana tim auditor kualitas akan bekerja untuk meningkatkan proses. Tim akan
menggunakan siklus PDCA untuk meninjau proses dengan mengikuti lima langkah:
Exhibit 3.5 PSCA Cylcle
- Langkah 1. Plana. Apa tujuan dari tim audit kualitas? Perubahan apa yang
diinginkan, dan data apa yang dibutuhkan? Jenis tes apa yang dibutuhkan?
Bagaimana operasi diamati?
- Langkah 2. Do. Lanjutkan atau jalankan tes yang telah direncanakan.
- Langkah 3. Check. Amati hasil tes untuk mengembangkan kesimpulan
awal.
- Langkah 4. Act. Mempelajari semua hasil tes untuk menilai apa yang telah
dipelajari dan apa yang bisadiprediksi dari latihan. Berdasarkan hasil
tersebut, tentukan area untuk perbaikan proses.
- Langkah 5. Ulangi langkah sambil mendapatkan lebih banyak
pengetahuan.
Audit kualitas ASQ sering lebih luas daripada audit internal tradisional IIA-
heritage. Auditor kualitas seringkali berkepentingan dalam kesesuaian dengan standar
yang berlaku dengan tujuan untuk:
- Pastikan bahwa sistem yang diterapkan bekerja
- Pastikan bahwa program pelatihan pendukung mengeluarkan biaya yang
efektif
- Mengidentifikasi orang atau kelompok yang tidak mengikuti prosedur
- Memberikan bukti kepada manajemen dan lainnya bahwa proses bekerja
seperti yang didokumentasikan
Exhibit 31.6 menguraikan langkah-langkah proses audit kualitas, yang sangat mirip
dengan yang digunakan di audit internal IIA atau audit keuangan. Perbedaan
utamanya adalah bahwa auditor kualitas jauh lebih terlibat pada memperbaiki temuan
audit dan meluncurkan inisiatif tindakan korektif.
Quality Auditors and the IIA Internal Auditor
Ada tingkat integrasi yang terus berkembang antara audit internal IIA dengan
audit kualitas ASQ. Istilah audit kualitas digantikan dengan hanya audit dalam
publikasi ASQ dan dalam beberapa standar ISO. Terminologi yang digunakan dalam
kedua standar IIA dan ISO menjadi semakin konsisten dengan revisi selama beberapa
tahun terakhir. ISO mendefinisikan audit sebagai "proses sistematis, independen dan
terdokumentasi untuk memperoleh bukti audit dan mengevaluasinya secara objektif
untuk menentukan sejauh mana kriteria audit terpenuhi."
Dalam beberapa perusahaan saat ini,Chief audit executive (CAE) juga terlibat
dengan fungsi audit kualitas suatu perusahaan. Di masa depan, fungsi audit internal
akan hampir pasti menjadi lebih menyadari akan kegiatan fungsi audit kualitas dan
harus mempertimbangkan berbagi sumber daya. Meskipun akar sejarah mereka
berbeda, kedua fungsi audit harus terlibat dengan fungsi nilai tambah audit bagi
perusahaan. Auditor internal IIA-heritage harus mengembangkan pemahaman
terhadap prosedur audit kualitas, dan kedua kelompok audit harus membangun
hubungan komunikasi yang teratur dan berkelanjutan. Sementara masing-masing
memiliki pendekatan dan tujuan yang berbeda, mungkin ada beberapa nilai untuk
berbagi ide dan bahkan melakukan beberapa review kerjasama.
Quality Assurance Reviews of the Internal Audit Function
Fungsi audit internal modern yang efektif harus dilihat dari waktu ke waktu
untuk menentukan apakah semua komponennya mengikuti praktik dan prosedur audit
internal yang baik. Hal ini paling baik dilakukan jika audit internal berjalan melalui
jenis tinjauan audit-the-auditor atas fungsinya sendiri. Standar Internasional untuk
Praktik Profesional Audit Internal merujuk pada tinjauan jaminan kualitas. Standar
IIA 560 merujukk CAE ''untuk membangun dan memelihara program penjaminan
kualitas '' untuk menilai kualitas pekerjaan audit yang dilakukan melalui tinjauan
berkelanjutan oleh pengawas, tinjauan audit internal terhadap pekerjaannya sendiri,
dan tinjauan oleh pihak eksternal.
Selain fungsi tinjuan jaminan kualitas internalnya sendiri, audit internal harus
mengatur audit internalentitas lain yang independen atau kontrak dengan penyedia
luar untuk menilai kualitas keseluruhan dari fungsi audit internal. Ini merupakan
persyaratan utama bagi semua departemen audit internal.
a. Keuntungan dari review internal audit quality-assurance
(i) MANFAAT UNTUK AUDIT INTERNAL
Yang paling diuntungkan dari setiap program review audit internal QA adalah
audit internal itu sendiri. Audit internal beroperasi agak berbeda dari banyak
fungsi lain dalam perusahaan dan tidak bisa mengevaluasi diri sendiri dengan
langkah-langkah umum seperti keberhasilan penjualan, produksi, atau efisiensi
administrasi. Peninjau eksternal yang memahami proses audit internal dan
telah memiliki paparan perusahaan lain dapat meninjau operasi audit internal
dari perspektif kepatuhan audit internal terhadap standar profesional dan
seberapa operasinya dibandingkan dengan perusahaan audit internal lain yang
sejenis.
(ii) BENEFITS TO MANAGEMENT
Komite audit dan manajemen senior harus menyadari manfaat yang besar dari
program tinjauan Audit internal QA. Audit internal adalah komponen yang
kuat dalam sistem pengendalian internal. Manajemen senior dan komite audit
seharusnya memahami prinsip-prinsip keseluruhan pengendalian internal,
tetapi tidak selalu sepenuhnya memahami cara kerja fungsi audit internal
mereka. Audit internal berbagi hasil ringkasan tinjauan QA dengan berbagai
tingkat manajemen senior. Informasi ini memberikan manajemen senior
kepercayaan diri dalam kualitas review audit internal yang dilakukan. Ini
adalah manfaat besar untuk perusahaan secara keseluruhan.
b. Elemen-elemen dari Review Internal Audit QA
Review QA biasanya diawali dengan review detail mengenai kepatuhan
terhadap prosedut audit. Hal ini termasuk evaluasi rencana proses penilaian
resiko, review dokumen perencanaan dan staff prosedur penilaian, review
workpaper dan laporan yang digunakan dalam audit aktual dan review
perencanaan dan admnistratif material yang digunakan internal audit. Tujuan
dilakukan pendekatan ini untuk mengukur kualitas prosedur internal audit itu
sendiri secara keseluruhan.
c. Siapa yang melakukan Review Quality-Assurance?
Walaupun CAE harus melihat nilai dari review QA, review dari pihak
independen juga kadang dibutuhkan. Dalam departemen internal audit yang
besar, tim auditor internal yang tersentralisasi dan pihak lain dengan divisi
berbeda bisa melakukan review QA unit divisi lainnya.
Launching the Internal Audit Quality-Assurance Review
a. Pendekatan Review Quality-Assurance
Fungsi audit internal dalam meluncurkan program review QA perlu membuat
keputusan rencana dan pengaturan dasar. Selain itu untuk menentukan siapa yang
melakukan review, manajemen harus melihat dari ruang lingkup (scope), kedalaman
(depth) dan luas (breadth) review yang akan dilakukan. Scope disini adalah jumlah
detail yaang dimasukkan dalam review, depth merujuk pada banyaknya detail dalam
satu area yang dimasukkan dalam review QA, dan breadth, adalah jumlah unit yang
dimasukkan dalam review QA.
b. Contoh review QA dari fungsi audit internal
Contoh disini mengikuti prosedur umum dan mengasumsikan bahwa tim
review mempunyai komuniasi terbatas. Asumsi bahwa grup yang direview adalah
unit independen dari perusahaan induk.
i. QA Review Preliminary Planning
- Mengumumkan review QA yang telah direncanakan
- Menyebutkan siapa yang mereview dan direview
- Bertemu dengan manajemen audit internal
- Bertemu dengan anggota manajemen lain