Quality Assurance -PERTEMUAN 10.docx

30
Dewita Rahmayana 1206317045 Gilang Wildan Pratama 1206317316 ISO 27001, ISO 9000, and Other International Standards Importance of ISO Standards in Today’s Global World ISO bertanggung jawab untuk mengembangkan dan menerbitkan berbagai standar internasional di banyak daerah bisnis dan proses. Beberapa standar ini sangat luas, seperti ISO 14001, yang meliputi sistem pengendalian lingkungan yang efektif, sementara yang lain sangat rinci dan tepat, seperti standar yang meliputi ukuran dan ketebalan kartu kredit plastik. Standar ISO yang luas sangat penting karena mereka memungkinkan semua perusahaan di seluruh dunia untuk berbicara bahasa yang sama ketika mereka bisa mengklaim bahwa mereka memiliki, misalnya, ISO 14001 sistem kontrol lingkungan yang efektif. Karena banyak otoritas internasional pemerintah, kelompok profesional, dan para ahli yang terlibat dalam proses penetapan standar, membangun dokumen ISO biasanya panjang dan lambat. Komite ahli mengembangkan sebuah rancangan standar awal yang meliputi beberapa daerah, draft dikirim keluar untuk diperiksa dan diberi komentar dengan tanggal jatuh tempo, dan panitia kemudian kembali untuk meninjau komentar draft sebelum mengeluarkan

Transcript of Quality Assurance -PERTEMUAN 10.docx

Dewita Rahmayana 1206317045

Gilang Wildan Pratama 1206317316

ISO 27001, ISO 9000, and Other International Standards

Importance of ISO Standards in Today’s Global World

ISO bertanggung jawab untuk mengembangkan dan menerbitkan berbagai

standar internasional di banyak daerah bisnis dan proses. Beberapa standar ini sangat

luas, seperti ISO 14001, yang meliputi sistem pengendalian lingkungan yang efektif,

sementara yang lain sangat rinci dan tepat, seperti standar yang meliputi ukuran dan

ketebalan kartu kredit plastik. Standar ISO yang luas sangat penting karena mereka

memungkinkan semua perusahaan di seluruh dunia untuk berbicara bahasa yang sama

ketika mereka bisa mengklaim bahwa mereka memiliki, misalnya, ISO 14001 sistem

kontrol lingkungan yang efektif.

Karena banyak otoritas internasional pemerintah, kelompok profesional, dan

para ahli yang terlibat dalam proses penetapan standar, membangun dokumen ISO

biasanya panjang dan lambat. Komite ahli mengembangkan sebuah rancangan standar

awal yang meliputi beberapa daerah, draft dikirim keluar untuk diperiksa dan diberi

komentar dengan tanggal jatuh tempo, dan panitia kemudian kembali untuk meninjau

komentar draft sebelum mengeluarkan standar baru atau mengirimkan draft revisi

untuk putaran tijauan berikutnya beserta perubahan yang disarankan. Setelah itu,

standar diterbitkan. Perusahaan kemudian dapat mengambil langkah yang diperlukan

untuk memenuhi standar. Untuk menyatakan kepatuhan mereka, mereka harus

membuat kontrak dengan auditor luar, dengan keterampilan dalam standar tertentu,

untuk membuktikan kepatuhan mereka.

Kepatuhan dengan ISO 9000 standar memungkinkan perusahaan di seluruh

dunia untuk merancang operasi mereka, standar yang konsisten dan kemudian

menegaskan bahwa mereka memiliki sistem manajemen kualitas sesuai dengan

standar internasional. Perusahaan tidak hanya harus mengubah proses untuk

memenuhi standar ISO, tetapi juga harus menunjukkan kepatuhan tersebut kepada

pihak lain. Untuk membuktikan kepatuhan terhadap standar ISO, suatu perusahaan

harus melakukan kontrak dengan reviewer dari luar yang berwenang untuk menilai

kepatuhan terhadap standar itu. Sertifikasi ISO ini merupakan proses yang sama

dengan audit eksternal yang dilakukan oleh certified public accountant (CPA). Proses

sertifikasi ISO juga mirip dengan audit keuangan berdasarkan kepatuhan auditee

dengan standar auditing (GAAS) yang dilakukan oleh akuntan publik besar

perusahaan. Setelah disertifikasi, perusahaan dapat beriklan ke dunia luar bahwa ia

memiliki proses yang efektif karena memenuhi standar ISO yang spesifik.

ISO Standards Overview

Meskipun hampir semua perusahaan publik wajib diaudit laporan

keuangannya, kepatuhan terhadap standar ISO tidak diwajibkan. Karena peraturan

pelaporan keuangan SEC, kurangnya laporan keuangan yang diaudit atau laporan

dengan pendapat auditor yang tidak menguntungkan bisa sangat merusak bagi

perusahaan publik. Dalam kebanyakan kasus, Kepatuhan terhadap standar ISO hanya

sukarela tetapi sering menjadi hal yang penting.

Auditor internal harus berusaha untuk mempelajari lebih lanjut tentang status

proses kepatuhan standar sistem kualitas ISO dalam perusahaan mereka. Beberapa

standar, seperti pola benang pada baut atau ketebalan kartu kredit, harus menjadi

wajib jika perusahaan melakukan penjualan di seluruh dunia.

a. ISO 9001 Quality Management Systems and Sarbanes-Oxley

ISO 9000 pada sistem manajemen kualitas adalah salah satu standar ISO

sebelumnya. Hal ini mendapatkan perhatian yang besar di negara-negara Eropa

yang baru pulih. ISO 9000 adalah sebuah standar yang penting untuk sistem

manajemen kualitas. Dikelola oleh ISO, standar ini meliputi persyaratan untuk

hal-hal seperti:

- Pemantauan proses untuk memastikan keefektifan

- Menyimpan catatan yang memadai

- Memeriksa output yang cacat, dengan tindakan korektif yang tepat

- Secara teratur meninjau proses individu dan sistem kualitas untuk

efektivitas

- Memfasilitasi perbaikan secara terus-menerus

(i) ISO 9000 PROSES DOKUMENTASI

  Standar ISO 9000 dan standar ISO lainnya memberlakukan

persyaratan dokumentasi yang berat pada suatu perusahaan. Hal ini tidak

mencukupi untuk suatu perusahaan hanya untuk mengklaim bahwa beberapa

proses telah didokumentasikan. Auditor internal akan menanyakan bahwa

beberapa sistem atau proses yang mereka tinjau didokumentasikan. Seringkali

mereka diberitahu bahwa dokumentasi itu kedaluwarsa atau tidak ada.

Kurangnya dokumentasi kemudian akan menjadi temuan audit internal tetapi

hanya akan ada sedikit tindakan korektif yang diambil. Kepatuhan ISO 9000

menimbulkan persyaratan dokumentasi untuk proses kualitas ke tingkat yang

baru. Reviewer luar harus menyatakan bahwa perusahaan telah patuh, dan

kemudian reviewer ISO dapat menyatakan kepada dunia luar bahwa

perusahaan telah memenuhi standar ISO. Tinjauan kepatuhan ini tidak satu kali

saja; tinjauan pembaruan periodik diperlukan. Untuk memperjelas, ISO 9000

tidak hanya satu standar tetapi serangkaian standar dan pedoman:

- ISO 9001. Standar tersertifikasi yang berurusan dengan desain

- ISO 9002. Standar tersertifikasi yang berurusan dengan manufaktur

- ISO 9003. Standar tersertifikasi yang berurusan dengan manufaktur dan

perakitan

- ISO 9004. Pedoman yang menjelaskan sistem kualitas

ISO 9000 adalah satu rangkaian standar untuk sistem peningkatan

kualitas yang berkesinambungan, tidak peduli apakah komponen manufaktur

atau proses jasa. Dalam proses yang berkelanjutan ini, proses yang ada harus

dipantau, tindakan direncanakan untuk perbaikan, dan item tindakan

diimplementasikan untuk pemantauan selanjutnya dan perbaikan lebih lanjut.

Auditor internal dan sistem pengembangan profesional telah menggunakan

proses umum yang sama sejak awal pengembangan sistem TI, disebut dengan

Systems Development Life Cycle (SDLC), yaitu proses untuk

mengembangkan sistem informasi TI baru.

Dokumentasi yang solid dan akurat sangat penting bagi suatu

perusahaan untuk mengklaim pendaftaran ISO. Masalah di sini adalah bahwa

pendaftaran ISO memiliki jangkauan global. Ketika ISO 9001: 20000 seksi

4.2.3 menyatakan bahwa "prosedur terdokumentasi harus ditetapkan untuk

mendefinisikan pengendalian yang diperlukan" dan "a) menyetujui kecukupan

dokumen penerbitan," sistem pengendalian proses dokumentasi diperlukan

untuk menunjukkan kepatuhan. Praktik terbaik ISO menyerukan hirarki

dokumentasi di setiap daerah dimulai dengan tingkat manual.

ISO 9000 sangat penting untuk semua jenis perusahaan dalam

menegaskan kepada manajemen internal mereka sendiri dan dunia luar bahwa

mereka mewakili perusahaan yang fokus pada kualitas. The IIA, sayangnya,

belum agresif mengomunikasikan tentang ISO 9000. Pada saat publikasi ini,

hanya satu artikel di IIA Internal Auditor yang telah menyarankan

penggunaan ISO 9001 dan 14001 dengan kerangka pengendalian internal

Committee of Sponsoring Organization (COSO)untuk membantu perusahaan

menangani risiko yang dapat mempengaruhi laporan keuangan mereka.

(ii) ISO 9000 and Sarbanes-Oxley: COMMON THREADS

Banyak manajer keuangan dan auditor internal yang mungkin

berpendapat bahwa mereka cukup sibuk dengan kegiatan kepatuhan terhadap

SOx, dan mereka mungkin mempertanyakan mengapa mereka harus terlibat

dengan standar ISO. William A. Stimson, spesialis audit kualitas, telah

membandingkan persyaratan SOx dan ISO 9000 dan telah menemukan

banyak ancaman yang sama.

- SOx Title II pada independensi auditor sangat mirip dengan pedoman

dalam ISO 9001.

- SOx Title III tentang tanggung jawab perusahaan untuk pelaporan

keuangan (Pasal 302) mirip dengan ISO 9001 bahwa komite eksekutif

perusahaan harus menyatakan laporan tertentu sebagai kebenaran dan juga

membuktikan kepatuhan mereka dengan isi laporan.

- SOx Title IV pada pengungkapan keuangan mirip dengan ISO 9001 pada

tanggung

- jawab manajemen dalam sistem manajemen kualitas; baik standar untuk

menyatakan bahwa pengendalian internal efektif maupun adanya kode

etik .

- SOx Title VIII pada fraud akuntabilitas perusahaan dan pidana memiliki

persyaratan yang sama dengan aturan

- ISO 9001 pada tanggung jawab manajemen pada laporan dan dokumen.

Tujuannya adalah hanya untuk menyoroti area di mana SOx dan ISO

9000 memiliki beberapa persyaratan yang sama. Mungkin perbedaan

utamanya adalah bahwa SOx memiliki hukuman pidana bagi yang melanggar;

kegagalan untuk mencapai standar ISO mengurangi daya saing suatu

perusahaan. Seperti banyak standar ISO, ISO 9000 menguraikan persyaratan

untuk perbaikan terus-menerus pada sistem manajemen kualitas suatu

perusahaan.

b. IT Security Standards: ISO 17799 and 27001

ISO 17799 diterbitkan di Inggris sebagai BS7799 pada tahun 1995;

standar telah diperbarui selama bertahun-tahun dan sekarang dikenal sebagai

IS0 17799: 2005, dan direncanakan akan dinomori ulang sebagai ISO 27002.

Untuk saat ini, ISO 17799 merupakan standar keamanan yang berhubungan

dengan TI yang dirancang untuk membantu setiap perusahaan yang perlu

membuat program IS manajemen yang komprehensif atau meningkatkan

praktek IS. ISO 17799 adalah standar tentang informasi dan IS dalam

pengertian umum. Karena informasi tersebut bisa terjadi dalam berbagai

bentuk, standar mengambil pendekatan yang sangat luas dan mencakup

berbagai standar keamanan yang mencakup keamanan mengenai:

- Data dan software file elektronik

- Semua format dokumen kertas termasuk bahan cetak, catatan tulisan

tangan, dan bahkan foto-foto

- Rekaman video dan audio

- Percakapan telepon maupun e-mail, fax, video, dan bentuk-bentuk pesan

Konsepnya adalah bahwa semua bentuk informasi memiliki nilai dan

perlu dilindungi seperti aset perusahaan lainnya. Banyak perusahaan saat ini

bahkan tidak mempertimbangkan standar keamanan di daerah-daerah yang

luas, tetapi standar ISO menyarankan mereka harus ikut dicakup. Seperti

semua standar ISO lainnya, standar ini diterbitkan tidak benar-benar

menentukan apa yang diperlukan secara spesifik tetapi menguraikan daerah

dimana ada persyaratan standar yang berhubungan dengan keamanan. Sebagai

langkah pertama untuk menerapkan ISO 17799, perusahaan harus

mengidentifikasi sendiri kebutuhan dan persyaratan IS.

ISO 17799 adalah serangkaian standar internasional pertama yang

dimaksudkan untuk setiap perusahaan yang menggunakan sistem komputer

internal atau eksternal, memiliki data yang bersifat rahasia, bergantung pada IT

dalam melaksanakan kegiatan usahanya, atau hanya ingin mengadopsi tingkat

keamanan yang lebih tinggi dengan mematuhi standar. ISO 17799 adalah

metodologi terstruktur dan diakui secara internasional yang akan membantu

perusahaan untuk mengembangkan manajemen yang lebih baik dari IS secara

berkelanjutan. Ini adalah kode praktek yang mendukung persyaratan sistem

manajemen IS dari standar keamanan terkait, ISO 27001.

c. IT Security Technique Requirements: ISO 27001

Jika ISO 17799 adalah kode tingkat tinggi dari praktek yang meliputi

kontrol keamanan, ISO 27001 adalah sebagai "spesifikasi" untuk Sistem

Manajemen Keamanan Informasi. Artinya, standar ini dirancang untuk

mengukur, memantau, dan mengendalikan manajemen keamanan dari

perspektif top-down. Standar dasarnya menjelaskan bagaimana menerapkan

ISO 17799, dan mendefinisikan pelaksanaan standar ini dengan enam bagian

proses:

- Menjelaskan kebijakan keamanan.

- Menjelaskan lingkup ISMS

- Melakukan penilaian risiko.

- Mengelola risiko

- Pilih tujuan pengendalian dan pengendalian yang akan dilaksanakan.

- Siapkan pernyataan penerapan

Seperti dapat dilihat dari langkah-langkah ini, analisis risiko dan

kebijakan keamanan sangatlah fundamental untuk standar ini. Ketika

pengaturan praktek-praktek ini bukanlah masalah audit internal, audit internal

dapat memberikan bantuan yang kuat untuk manajemen TI dengan

menawarkan pelayanan sebagai konsultan internal dan membantu untuk

melakukan prosedur penilaian risiko yang memadai.

Auditor Internal harus memantau status progress secara berkelanjutan

dari standar-standar keamanan TI; melakukannya untuk ISMS sesuai dalam

fungsi TI. Sementara fungsi TI dapat menunda sepenuhnya dalam penerapan

ISO 27001, 27002, dan ISMS, beberapa vendor atau pemangku kepentingan

utama lainnya dapat menuntut bukti kepatuhan perusahaan terhadap standar

ini. Audit internal dapat membantu terkait hal-hal tersebut.

d. Service Quality Management: ISO 20000

ISO 20000 tentang manajemen kualitas pelayanan memperkenalkan

beberapa konvergensi standar yang sangat dibutuhkan. Ini merupakan standar

internasional untuk manajemen layanan TI, dan memperkenalkan banyak

manajemen pelayanan praktik terbaik ITIL. ISO 20000 menyerukan

perusahaan untuk mengadopsi dan menyatakan bahwa mereka telah

mengadopsi praktik terbaik ITIL. Secara formal, standar ini "mempromosikan

adopsi pendekatan proses yang terintegrasi untuk secara efektif memberikan

jasa yang dikelola untuk memenuhi bisnis dan kebutuhan pelanggan." ISO

20000 adalah standar global pertama untuk manajemen jasa TI dan

sepenuhnya kompatibel dan mendukung kerangka ITIL. Ini tentu akan

memiliki dampak yang signifikan pada penggunaan dan penerimaan praktik

terbaik ITIL dan seluruh manajemen layanan TI.

ISO 19011 Quality Management Systems Auditing

Standar ISO 19011 audit sistem manajemen mutu/kualitas sangat berkaitan

dengan standar audit kualitas ASQ, dan menguraikan empat sumber daya

keputusan / dukungan yang penting untuk perencanaan, pelaksanaan, dan evaluasi

yang efisien dari kualitas dan / atau audit lingkungan:

- Pentingnya penjelasan terhadap prinsip-prinsip sistem manajemen audit

- Pedoman tentang pengelolaan program audit

- Pedoman tentang pelaksanaan audit internal atau eksternal

- Saran pada kompetensi dan evaluasi auditor

Standar ISO ini menguraikan lima prinsip-prinsip audit:

- Perilaku etis. Auditor yang melakukan audit ISO 19011 harus jujur dan

melakukan hal yang benar.

- Penyajian secara wajar. Auditor harus menyerahkan ketika melaporkan

hasil.

- Melalakukan profesionalitas. Auditor harus melakukan apa yang wajar dan

biasanya diharapkan.

- Independen. Auditor harus menghindari konflik kepentingan untuk

memastikan integritas mereka.

-  Pendekatan berbasis bukti. Auditor harus menyelidiki dan kemudian

melaporkan fakta-fakta.

Standar ISO 19011 berisi satu rangkaian prinsip-prinsip audit yang detail dari

perspektif audit kualitas ISO. IIA mengirimkan survei pada bulan April 2008 melalui

jaringan GAIN untuk menilai keterlibatan internal auditor dengan ISO 19011. Dari

1.500 survei yang dikirim keluar, hanya sekitar 150 yang dikembalikan. Hasil secara

umum memperlihatkan bahwa auditor internal IIA memiliki sedikit keterlibatan

dengan auditor kualitas. Berdasarkan hasil survei, 70% dari anggota IIA menyatakan

bahwa tidak ada keterlibatan dengan ISO 19011 di perusahaan mereka.

ISO Standards and Internal Auditors

Seiring perusahaan menjadi lebih global dengan banyak interkoneksi

perdagangan dan hubungan, standar ISO menjadi lebih penting. Sementara standar

menggambarkan komponen dimensi yang sangat penting untuk perdagangan, standar

sistem kualitas yang lebih halus, seperti ISO 9000, sama-sama penting. Perusahaan di

satu lokasi akan menolak untuk melakukan bisnis dengan perusahaan lain kecuali

mereka dapat menyatakan kepatuhan mereka dengan beberapa standar ISO.

Auditor internal harus mengembangkan tingkat pemahaman umum CBOK

dari standar ISO, seperti 9000 untuk kualitas dan 19001 untuk audit. Selain itu,

dimana standar spesifik digunakan di perusahaan auditor internal, seperti untuk

pembuatan produk, auditor internal harus belajar lebih banyak tentang standar

tersebut dan bagaimana standar tersebut diimplementasikan dan diaudit. Di masa

depan, pemahaman tentang standar ISO yang tepat harus menjadi persyaratan

pengetahuan utama auditor internal.

Quality Assurance Auditing (QAD) and American Society of Quality

(ASQ) Standards

Duties and Responsibilities of Quality Auditors

Kami mengacu profesional ASQ sebagai auditor kualitas untuk membedakan

mereka dari auditor internal. ASQ adalah pendukung utama gerakan kualitas di

Amerika Serikat. Ia memiliki publikasi yang luas, sertifikasi profesional, dan divisi

terpisah yang mencakup industri seperti aerospace dan obat-obatan serta praktek

profesional. ASQ sangat terlibat dengan standar mutu ISO di Amerika Serikat, dan

QAD bertanggung jawab atas kepatuhan audit terhadap standar-standar ISO.

Misi QAD adalah "Untuk mendukung auditor dan stakeholder lainnya dengan

mendefinisikan dan mempromosikan audit sebagai alat manajemen untuk mencapai

perbaikan terus-menerus, komunikasi yang efektif, dan meningkatkan kepuasan

pelanggan." Sekali lagi, penggunaan kata "auditor" menyebabkan kebingungan

tentang peran auditor kualitas tersebut. Selain itu, ASQ dan QAD mengakui dan

mendefinisikan beberapa tingkat aktivitas audit:

- Self-audit. Ini adalah kualitas audit yang dilakukan di dalam perusahaan

untuk meninjau kesesuaian dengan standar mutu ISO dan sejenisnya.

- Second-party audits. Auditor kualitas sering melakukan tinjauan untuk

menilai apakah pemasok mereka beroperasi sesuai dengan standar yang

telah ditetapkan. Second-party audit terjadi ketika auditor kualitas

perusahaan sendiri mengunjungi pemasok untuk menguji kepatuhan

terhadap standar.

- Third-party audits. Ini adalah audit yang dilakukan di perusahaan oleh

organisasi independen, seperti salah satu pendaftar ISO, atau auditor dari

lembaga pemerintah, seperti Departemet of Labor's Occupational Safety

and Health Administration (OSHA) atau Federal Drug Administration

(FDA).

Seperti yang telah dibahas, meskipun sejarah ASQ menggunakan istilah

auditor kualitas, saat ini yang digunakan adalah auditor. Perubahan ini disebabkan

oleh ASQ memperluas sebutan profesionalnya sendiri. Exhibit 31.1 menjelaskan

klasifikasi audit kualitas yang menunjukkan baik pelanggan dari luar maupun yang

membutuhkan jaminan kualitas audit, dan pemasok. Daerah kegiatan ini

menempatkan auditor kualitas dalam kerangka yang berbeda dari auditor internal IIA.

EXHIBIT 31.1 Classifications of Quality Audits

Terminologi audit kualitas menjadi lebih membingungkan karena ASQ

merunjuk profesional audit sebagai auditor internal dan eksternal. Auditor internal

ASQ meninjau pengendalian dan standar dalam perusahaan auditor. Auditor eksternal

ASQ, dalam konteks ini, melakukan tinjauan pihak ketiga di perusahaan lain untuk

menetapkan hal-hal seperti sertifikasi ISO. Sementara auditor kualitas dapat menjadi

anggota dari IIA selain ASQ, penunjukan auditor kualitas eksternal tidak memiliki

hubungan reguler dengan laporan keuangan atestasi auditor, penunjukan American

Institute of Certified Public Accountants (AICPA). Kami umumnya menggunakan

istilah auditor kualitas untuk semua referensi auditor ASQ-background untuk

membuat perbedaan antara auditor internal IIA-heritage.

Role of the Quality Auditor

Auditor kualitas mengikuti banyak langkah-langkah umum yang sama dengan

IIA-sponsored auditor internal dalam prosedur mereka untuk mengembangkan

program, pelaporan temuan, dan sejenisnya. Auditor kualitas biasanya tidak terlibat

dengan masalah audit seperti review dari pengendalian internal keuangan mereka dan

juga tidak terlibat langsung dengan audit yang mencakup banyak teknologi informasi

(TI) pada area pengendalian internal. Kualitas auditor sering mengikuti standard

industri internasional, seperti ISO 9000, dan audit mereka sering cenderung jauh lebih

kuantitatif dan matematis dibanding pekerjaan auditor internal yang khas dari IIA-

heritage. Pekerjaan auditor kualitas sering berkaitan erat dengan proses klasik yang

digunakan oleh spesialis penjamin kualitas produksi manufaktur. Exhibit 31.2

menunjukkan bahwa kualitas audit dapat ditunjuk sebagai produk, proses, dan sistem

audit berdasarkan lingkup dan tujuan mereka.

EXHIBIT 3.2 Types of Quality Audits

- Audit produk merupakan penilaian dari produk atau jasa akhir dan review

dari "fitness for use" terhadap persyaratan atau spesifikasinya. Dalam arti

manufaktur, audit produk akan dilakukan pada beberapa item yang lolos

dari inspeksi akhir dan siap untuk pengiriman ke pelanggan.

- Sebuah proses audit adalah jenis utama dari pemeriksaan yang dilakukan

oleh auditor kualitas. Ini adalah review untuk memverifikasi kesesuaian

dengan standar, metode, prosedur, atau persyaratan lainnya.

- Audit sistem bukanlah sistem tinjauan yang terkait IT tapi audit yang

mencakup semua aspek dari sistem pengendalian. Jenis ulasan dilakukan

untuk memverifikasi, melalui bukti obyektif, bahwa semua aspek sistem

manajemen dan rencana organisasi dilaksanakan untuk memenuhi

persyaratan yang memadai.

Standard ISO menyatakan, antara lain:

Auditor kualitas sering terlibat dengan tes untuk perbaikan berdasarkan

temuan mereka dari tinjauan sebelumnya. Untuk mencapai perbaikan terus-menerus

ini, data dalam review baru harus dianalisis akan tren dan kelemahannya. Auditor

kualitas kemudian membandingkan hasil dengan tujuan dan sasaran, dan

menganalisis proses data untuk mengidentifikasi risiko, inefisiensi, peluang untuk

perbaikan, serta tren negatif. Hasilnya mungkin rekomendasi untuk perubahan

prosedur atau unsur-unsur lain dari proses, seperti perbaikan dalam kriteria

penerimaan atau metode pengawasan. Perubahan yang disarankan terhadap peralatan

atau teknologi juga mungkin merupakan ruang lingkup auditor kualitas dalam

mengidentifikasi area untuk perbaikan terus-menerus. Dalam banyak hal, auditor

kualitas lebihsering merekomendasikan perubahan yang lebih signifikan untuk siklus

perbaikan daripada auditor internal.

Performing ASQ Quality Audits

Praktek ASQ akan audit kualitas membawa perspektif yang agak berbeda

terhadap audit. Meskipun berakar pada jaminan kualitas sebelumnya dan proses

teknik industri, audit kualitas sangat penting untuk mengukur kepatuhan terhadap

standar ISO, dan ada komponen internal dan eksternal dalam praktek audit ini. Audit

kualitas ASQ agak berbeda dari banyak IIA internal yang kontrol berorientasi audit.

ASQ menilai aturan kepatuhan terhadap peraturan atau untuk memenuhi persyaratan

ISO standar pendaftaran atau sertifikasi. Audit kualitas ASQ juga penting karena

mereka adalah umpan balik penting dalam kualitas sistem perusahaan untuk menjaga

manajemen mendapatkan informasi tentang kepatuhan terhadap prosedur sistem yang

terdokumentasi.

Diilustrasikan dalam Exhibit 31.5, ini adalah siklus perbaikan terus-menerus

di mana tim auditor kualitas akan bekerja untuk meningkatkan proses. Tim akan

menggunakan siklus PDCA untuk meninjau proses dengan mengikuti lima langkah:

Exhibit 3.5 PSCA Cylcle

- Langkah 1. Plana. Apa tujuan dari tim audit kualitas? Perubahan apa yang

diinginkan, dan data apa yang dibutuhkan? Jenis tes apa yang dibutuhkan?

Bagaimana operasi diamati?

- Langkah 2. Do. Lanjutkan atau jalankan tes yang telah direncanakan.

- Langkah 3. Check. Amati hasil tes untuk mengembangkan kesimpulan

awal.

- Langkah 4. Act. Mempelajari semua hasil tes untuk menilai apa yang telah

dipelajari dan apa yang bisadiprediksi dari latihan. Berdasarkan hasil

tersebut, tentukan area untuk perbaikan proses.

- Langkah 5. Ulangi langkah sambil mendapatkan lebih banyak

pengetahuan.

Audit kualitas ASQ sering lebih luas daripada audit internal tradisional IIA-

heritage. Auditor kualitas seringkali berkepentingan dalam kesesuaian dengan standar

yang berlaku dengan tujuan untuk:

- Pastikan bahwa sistem yang diterapkan bekerja

- Pastikan bahwa program pelatihan pendukung mengeluarkan biaya yang

efektif

- Mengidentifikasi orang atau kelompok yang tidak mengikuti prosedur

- Memberikan bukti kepada manajemen dan lainnya bahwa proses bekerja

seperti yang didokumentasikan

Exhibit 31.6 menguraikan langkah-langkah proses audit kualitas, yang sangat mirip

dengan yang digunakan di audit internal IIA atau audit keuangan. Perbedaan

utamanya adalah bahwa auditor kualitas jauh lebih terlibat pada memperbaiki temuan

audit dan meluncurkan inisiatif tindakan korektif.

Quality Auditors and the IIA Internal Auditor

Ada tingkat integrasi yang terus berkembang antara audit internal IIA dengan

audit kualitas ASQ. Istilah audit kualitas digantikan dengan hanya audit dalam

publikasi ASQ dan dalam beberapa standar ISO. Terminologi yang digunakan dalam

kedua standar IIA dan ISO menjadi semakin konsisten dengan revisi selama beberapa

tahun terakhir. ISO mendefinisikan audit sebagai "proses sistematis, independen dan

terdokumentasi untuk memperoleh bukti audit dan mengevaluasinya secara objektif

untuk menentukan sejauh mana kriteria audit terpenuhi."

Dalam beberapa perusahaan saat ini,Chief audit executive (CAE) juga terlibat

dengan fungsi audit kualitas suatu perusahaan. Di masa depan, fungsi audit internal

akan hampir pasti menjadi lebih menyadari akan kegiatan fungsi audit kualitas dan

harus mempertimbangkan berbagi sumber daya. Meskipun akar sejarah mereka

berbeda, kedua fungsi audit harus terlibat dengan fungsi nilai tambah audit bagi

perusahaan. Auditor internal IIA-heritage harus mengembangkan pemahaman

terhadap prosedur audit kualitas, dan kedua kelompok audit harus membangun

hubungan komunikasi yang teratur dan berkelanjutan. Sementara masing-masing

memiliki pendekatan dan tujuan yang berbeda, mungkin ada beberapa nilai untuk

berbagi ide dan bahkan melakukan beberapa review kerjasama.

Quality Assurance Reviews of the Internal Audit Function

Fungsi audit internal modern yang efektif harus dilihat dari waktu ke waktu

untuk menentukan apakah semua komponennya mengikuti praktik dan prosedur audit

internal yang baik. Hal ini paling baik dilakukan jika audit internal berjalan melalui

jenis tinjauan audit-the-auditor atas fungsinya sendiri. Standar Internasional untuk

Praktik Profesional Audit Internal merujuk pada tinjauan jaminan kualitas. Standar

IIA 560 merujukk CAE ''untuk membangun dan memelihara program penjaminan

kualitas '' untuk menilai kualitas pekerjaan audit yang dilakukan melalui tinjauan

berkelanjutan oleh pengawas, tinjauan audit internal terhadap pekerjaannya sendiri,

dan tinjauan oleh pihak eksternal.

Selain fungsi tinjuan jaminan kualitas internalnya sendiri, audit internal harus

mengatur audit internalentitas lain yang independen atau kontrak dengan penyedia

luar untuk menilai kualitas keseluruhan dari fungsi audit internal. Ini merupakan

persyaratan utama bagi semua departemen audit internal.

a. Keuntungan dari review internal audit quality-assurance

(i) MANFAAT UNTUK AUDIT INTERNAL

Yang paling diuntungkan dari setiap program review audit internal QA adalah

audit internal itu sendiri. Audit internal beroperasi agak berbeda dari banyak

fungsi lain dalam perusahaan dan tidak bisa mengevaluasi diri sendiri dengan

langkah-langkah umum seperti keberhasilan penjualan, produksi, atau efisiensi

administrasi. Peninjau eksternal yang memahami proses audit internal dan

telah memiliki paparan perusahaan lain dapat meninjau operasi audit internal

dari perspektif kepatuhan audit internal terhadap standar profesional dan

seberapa operasinya dibandingkan dengan perusahaan audit internal lain yang

sejenis.

(ii) BENEFITS TO MANAGEMENT

Komite audit dan manajemen senior harus menyadari manfaat yang besar dari

program tinjauan Audit internal QA. Audit internal adalah komponen yang

kuat dalam sistem pengendalian internal. Manajemen senior dan komite audit

seharusnya memahami prinsip-prinsip keseluruhan pengendalian internal,

tetapi tidak selalu sepenuhnya memahami cara kerja fungsi audit internal

mereka. Audit internal berbagi hasil ringkasan tinjauan QA dengan berbagai

tingkat manajemen senior. Informasi ini memberikan manajemen senior

kepercayaan diri dalam kualitas review audit internal yang dilakukan. Ini

adalah manfaat besar untuk perusahaan secara keseluruhan.

b. Elemen-elemen dari Review Internal Audit QA

Review QA biasanya diawali dengan review detail mengenai kepatuhan

terhadap prosedut audit. Hal ini termasuk evaluasi rencana proses penilaian

resiko, review dokumen perencanaan dan staff prosedur penilaian, review

workpaper dan laporan yang digunakan dalam audit aktual dan review

perencanaan dan admnistratif material yang digunakan internal audit. Tujuan

dilakukan pendekatan ini untuk mengukur kualitas prosedur internal audit itu

sendiri secara keseluruhan.

c. Siapa yang melakukan Review Quality-Assurance?

Walaupun CAE harus melihat nilai dari review QA, review dari pihak

independen juga kadang dibutuhkan. Dalam departemen internal audit yang

besar, tim auditor internal yang tersentralisasi dan pihak lain dengan divisi

berbeda bisa melakukan review QA unit divisi lainnya.

Launching the Internal Audit Quality-Assurance Review

a. Pendekatan Review Quality-Assurance

Fungsi audit internal dalam meluncurkan program review QA perlu membuat

keputusan rencana dan pengaturan dasar. Selain itu untuk menentukan siapa yang

melakukan review, manajemen harus melihat dari ruang lingkup (scope), kedalaman

(depth) dan luas (breadth) review yang akan dilakukan. Scope disini adalah jumlah

detail yaang dimasukkan dalam review, depth merujuk pada banyaknya detail dalam

satu area yang dimasukkan dalam review QA, dan breadth, adalah jumlah unit yang

dimasukkan dalam review QA.

b. Contoh review QA dari fungsi audit internal

Contoh disini mengikuti prosedur umum dan mengasumsikan bahwa tim

review mempunyai komuniasi terbatas. Asumsi bahwa grup yang direview adalah

unit independen dari perusahaan induk.

i. QA Review Preliminary Planning

- Mengumumkan review QA yang telah direncanakan

- Menyebutkan siapa yang mereview dan direview

- Bertemu dengan manajemen audit internal

- Bertemu dengan anggota manajemen lain

ii. QA Internal Audit Review Procedures

iii. Review of Individual Completed Audits

iv. Auditee Interviews and Surveys