Chapter 30 Brink

UNIVERSITAS INDONESIA

Rangkuman Materi Pertemuan 13 “QUALITY ASSURANCE” ASSURANCE” AUDIT INTERNAL

AYU DIAR SARI AULIYA ZULFATILLAH RININTA AMANDARI

FAKULTAS EKONOMI PROGRAM STUDI S1 AKUNTANSI DEPOK, DESEMBER 2014

STATEMENT OF AUTHORSHIP

“Kami yang  bertandatangan dibawah ini menyatakan bahwa tugas terlampir adalah murni hasil pekerjaan kami sendiri. Tidak ada pekerjaan orang lain yang kami gunakan tanpa menyebutkan sumbernya.

Materi ini belum pernah disajikan/digunakan sebagai bahan untuk tugas pada mata ajaran lain kecuali kami menyatakan dengan jelas bahwa kami menyatakan dengan jelas menggunakannya.

Kami memahami bahwa tugas yang kami kumpulkan ini dapat diperbanyak dan atau dikomunikasikan untuk tujuan mendeteksi adanya plagiarisme.”

Mata Kuliah

: Audit Internal

Judul Makalah/Tugas

: Quality Assurance

Tanggal

: 09 Desember 2014

Dosen

: Lutfi Julian

 Nama

: Auliya Zulfatillah

Nama

: Ayu Diar Sari

 NPM

: 1106012533

NPM

: 1106003781

Tandatangan

:

Tandatangan

:

 Nama

: Rininta A

 NPM

:1206266965

Tandatangan

:

Chapter 30 ISO 27001, ISO 9000, and International Standards Background

Selepas perang dunia 2, Amerika Serikat muncul sebagai negara dengan kekuatan terbesar yang mendominasi kehidupan ekonomi dan politik dunia. Dominasi ini begitu besar sehingga banyak perusahaan di Amerika Serikat mengabaikan beberapa standar praktik komersial terbaik yang ada di negaranegara lain, terlepas dari fakta bahwa kini perekonomian Amerika Serikat terhubung secara global dengan perekonomian seluruh negara di dunia. Hal ini disebabkan masing-masing negara mempunyai standar praktik komersial yang  berbeda-beda, yang dikembangkan menurut tingkat kebutuhan nasional dari negara-negara tersebut.  Namun kemudian, muncul kesadaran untuk membuat suatu standar yang sama yang berlaku secara global dan dapat dipraktikkan di seluruh negara di dunia. Standar internasional tersebut bernama The International Organization for Standardization  Standardization  (ISO) yang kantor pusatnya berkedudukan di Jenewa, Swiss. Standar ini mengatur beberapa lingkup area sekaligus, dari mulai bagaimana  pemasangan mesin mobil yang aman, ukuran ketebalan kartu kredit yang dikeluarkan, hingga standar kualitas dari teknologi informasi yang digunakan oleh  perusahaan. Beberapa tahun belakangan, lingkup lin gkup area yang dicakup oleh ISO ini semakin diperluas untuk mengatur standar kualitas tata kelola perusahaan yang  baik. Bagi seorang internal auditor, sangatlah penting untuk memahami peran dari adanya standar ISO ini bagi perusahaan. Tata kelola dan implementasi dari ISO standar ini akan sangat membantu auditor internal dalam melakukan tugas auditnya di kantor perusahaan, terlebih lagi di area produksi perusahaan tersebut. Pada Bab kali ini akan dibahas beberapa standar ISO yang sangat penting untuk dipahami oleh seorang internal auditor. Fokus utama dalam bab ini adalah ISO 9001 tentang standar kualitas dan ISO 27001 tentang standar keamanan komputer. Selain itu juga akan dibahas standar ISO yang mengatur tentang manajemen IT sistem dan manajemen kualitas.

I.

Peranan dan Pentingnya ISO Standar

ISO bertanggung jawab untuk menerbitkan dan mengembangkan berbagai macam standar internasional yang melingkupi banyak area bisnis dan proses kegiatan industri yang ada di seluruh dunia. Beberapa standar tersebut bersifat umum, seperti ISO 14001 yang mengatur tentang sistem kontrol lingkungan yang efektif, sementara sebagian lagi bersifat sangat rinci dan mendetail, seperti salah satu standar yang mengatur tentang ukuran dan tingkat ketebalan kartu kredit. Kedua jenis standar yang berbeda sifatnya ini mempunyai manfaatnya masingmasing. Standar ISO dibuat dan dikembangkan melalui serangkaian proses kerjasama dari banyak lembaga standar nasional yang ada di masing-masing negara di dunia. Proses pembuatan standar ini sendiri dimulai dengan adanya pembahasan mengenai suatu standar baru yang dibutuhkan di area tertentu. Sebagai contoh, ISO 27001 yang berisi tentang persyaratan tingkat tinggi yang dibutuhkan  perusahaan untuk keamanan informasi yang efektif dalam sistem manajemen dibuat atas hasil kerjasama Komite Teknik Internasional yang disponsori oleh ISO dengan International Electrotechnical Commission. Dalam isiannya, standar tersebut tidak secara spesifik menjelaskan rincian persyaratan yang harus dipenuhi  perusahaan, namun lebih kepada saran tentang apa yang harus perusahaan lakukan untuk mencapai tujuan yang terkandung dalam standar ISO tersebut. Karena banyaknya pihak yang terlibat dalam proses pembuatan satu standar ISO, maka wajar apabila untuk membentuk suatu standar baru akan memerlukan waktu yang sangat panjang dan lama. Pertama, sebuah komite yang terdiri dari  para ahli akan membuat draft atau rancangan awal dari standar yang akan dikembangkan tersebut. Draft tersebut kemudian akan ditinjau dan dibicarakan  bersama dengan para pakar untuk kemudian dikembalikan lagi ke Komite Ahli. Setelah draft tersebut dikembalikan, Komite Ahli akan terus menyempurnakan draft tersebut sesuai dengan pendapat para pakar. Barulah setelah serangkaian  proses penyempurnaan, draft tersebut dapat disetujui untuk kemudian diterbitkan sebagai sebuah standar. Setelah standar tersebut diterbitkan, perusahaan di bidang yang terkait dengan standar tersebut harus segera mengaplikasikannya. Dan untuk membuktikan bahwa perusahaan telah mengaplikasikan standar tersebut dengan

 baik dan benar, dikontraklah eksternal auditor untuk melakukan pemeriksaan atas hal tersebut. Berbeda dengan pedoman praktik  Information Technology Infrastructure  Library  (ITIL) yang sudah dibahas sebelumnya, standar ISO dikontrol dengan ketat. Standar yang diterbitkan benar-benar dikontrol melalui serangkaian proteksi hak cipta yang dimiliki oleh Organisasi ISO tersebut, sehingga tidaklah memungkinkan untuk mencari dan mengunduh standar-standar tersebut melalui Google Search. Apabila seseorang atau perusahaan ingin mengunduh suatu standar, maka ia harus membeli standar tersebut melalui situs resmi ISO. Selain itu, beberapa referensi dan petunjuk yang ada dalam standar ini sangatlah jelas, mudah dimengerti, tidak bersifat ambigu dan kadang juga menyertakan langkah  follow up  yang harus diambil oleh perusahaan. Standar ISO juga lebih komprehensif karena membahas lebih dari sekedar praktik terbaik yang dapat diambil oleh perusahaan, namun juga mendalami tentang pengukuran kinerja dari  perusahaan tersebut apabila dibandingkan dengan perusahaan sejenis. Dan dengan mengikuti standar yang berlaku dan diterima di seluruh dunia, perusahaan dapat menunjukkan bahwa mereka telah beroperasi secara konsisten dan sesuai dengan standar internasional. Seperti yang telah dijelaskan sebelumnya, untuk menunjukkan bahwa suatu  perusahaan telah menerapkan standar ISO dengan baik, mereka harus menyewa auditor eksternal untuk melakukan pemeriksaan atas hal tersebut. Proses yang dilakukan oleh auditor eksternal dalam rangka mencari tahu tingkat kepatuhan  perusahaan dalam menerapkan standar ISO secara garis besar tidaklah jauh  berbeda dengan proses pemeriksaan laporan keuangan yang biasanya dilakukan oleh financial eksternal auditor. Disini eksternal auditor harus memeriksa apakah  penerapan kegiatan operasional perusahaan sudah sesuai dengan standar ISO atau  belum. Dan setelah diperiksa, auditor eksternal dapat mengeluarkan opininya atau sertifikasinya. Keuntungan bagi perusahaan apabila ia memperoleh sertifikasi yang baik dari auditor eksternal, perusahaan tersebut dapat mempromosikan pada  berbagai pihak, seperti konsumen atau pemegang saham, bahwa mereka telah menerapkan standar ISO dengan baik.

II.

Tinjauan Atas Standar ISO

Kini dengan adanya peraturan SEC, seluruh perusahaan publik yang listing  di  bursa efek diharuskan menerbitkan laporan keuangan yang telah diaudit (yang  berarti telah diperiksa apakah laporan keuangan tersebut sesuai dengan IFRS atau tidak). Bagi perusahaan sendiri, apabila mereka mendapatkan opini audit yang  buruk atas laporan keuangannya maka akan berdampak negatif bagi nilai  perusahaan di bursa efek. Sementara itu, kesesuaian praktik perusahaan dengan standar ISO yang tepat belum diwajibkan oleh SEC dan hanya bersifat sukarela. Walaupun begitu, kesesuaian operasi perusahaan dengan standar ISO akan  berdampak sangat menguntungkan bagi perusahaan kedepannya. Bagi internal auditor, memahami dan mempelajari sistem kualitas standar ISO dan bagaimana penerapannya di perusahaan sangatlah penting. Beberapa standar, seperti ketebalan dan ukuran kartu kredit, memiliki peranan yang sangat  besar bagi aktifitas penjualan perusahaan secara global. Disini, tugas internal auditorlah untuk memeriksa tingkat kepatuhan berbagai macam aktifitas yang ada di perusahaan dengan standar ISO yang telah diterbitkan. a) ISO 9000 Quality Management Systems dan Sarbanes-Oxley

Apabila ditinjau ke belakang, pembentukan ISO 9000 sebenarnya berkaitan erat dengan masalah yang terjadi pada Perang Dunia II. Masalah tersebut adalah tidak adanya keseragaman kualitas produk, walaupun kuantitas produk yang dihasilkan amatlah banyak. Walaupun produk yang dihasilkan hanyalah berupa  peluru ataupun bom, tetap diperlukan pengawasan yang ketat akan kualitas kedua  produk tersebut. Masalah ini mulai terpecahkan ketika Pihak Sekutu mulai menciptakan suatu standar yang meyakinkan mengenai kualitas produk,  bermunculannya para ahli di bidang industri dan adanya quality control specialist . Setelah perang usai, didirikanlah ISO yang merupakan bagian dari General  Agreement on Trade and Tariffs. ISO 9000 sendiri termasuk standar yang paling awal dibuat oleh organisasi ini. Jepang, salah satu negara yang kalah perang dan harus membangun kembali sendi-sendi perekonomiannya yang hancur akibat perang, mulai menerapkan quality management systems  pada tahun 1950an dan 1960an. Di tahun tersebut, Jepang mulai mendatangkan para pakar dibidang quality systems, seperti W.

Edwards Deming. Namun diluar itu, filosofi dan teknik yang diterapkan oleh  bangsa Jepanglah yang akhirnya membuat industri mereka dibidang otomotif dan alat elektronik mulai merambah ke pasar Amerika Serikat dan Eropa di tahun 1970. Hal ini tidak terlepas dari kualitas produk mereka yang teramat baik dan disukai oleh konsumen. ISO 9000 merupakan bagian yang penting dalam kumpulan standar yang mengatur tentang quality management systems. Standar ini meliputi persyaratan untuk hal-hal seperti: 

Proses pemantauan untuk memastikan kegiatan atau aktifitas berjalan dengan efektif.



Menjaga catatan yang memadai.



Memeriksa output dari adanya cacat pada produk, dengan pengambilan tindakan perbaikan yang sesuai apabila diperlukan.



Secara teratur meninjau proses individu dan sistem kualitas itu sendiri untuk melihat seberapa efektif pelaksanaanya.



Memfasilitasi adanya peningkatan proses secara berkelanjutan.

Masing-masing poin mengacu pada proses yang harus dilakukan, bukan tindakan spesifik yang harus diambil. Sementara itu untuk menilai seberapa besar tingkat kepatuhannya dengan standar, seperti yang telah dijelaskan sebelumnya, diperlukan pemeriksaan yang mendalam oleh auditor eksternal. i.

Proses Dokumentasi Pada ISO 9000

ISO 9000 dan standar ISO lainnya memberlakukan persyaratan dokumentasi yang cukup berat pada suatu perusahaan. Tidaklah cukup  bagi perusahaan dengan hanya mengklaim bahwa beberapa proses telah didokumentasikan sekali. Harus ada proses yang berkelanjutan untuk menjaga dokumentasi yang ada saat ini dari waktu ke waktu. Dalam  beberapa tahun terakhir sendiri, telah banyak perusahaan yang berusaha mendokumentasi kegiatannya, namun tidak berjalan dengan tetap setiap tahunnya. Hal ini senada dengan apa yang biasanya dihadapi oleh auditor internal. Biasanya auditor internal akan bertanya apakah suatu aktifitas telah didokumentasikan dan apakah dokumentasinya dapat direview kembali atau tidak. Kadangkala dapat terjadi suatu kegiatan tidak

didokumentasikan atau file dokumentasinya hilang. Dan untuk hal tersebut auditor internal akan mencatatnya sebagai temuan audit dan akan melakukan tindakan koreksi yang diperlukan. Dengan adanya penerapan ISO 9000, auditor internal pastinya akan terbantu karena standar ini mengharuskan sebuah perusahaan untuk memiliki dokumentasi atas seluruh aktifitas pada semua tingkatan level. Untuk lebih memperjelasnya, ISO 9000 sebenarnya bukanlah satusatunya standar yang ada, namun merupakan salah satu bagian dari standar mutu dan panduan yang dibuat untuk perusahaan dan akan terus menerus di update seiring berjalannya waktu. Standar lainnya adalah: 

ISO 9001. Standar mutu yang berkaitan dengan desain.



ISO 9002. Standar mutu yang berkaitan dengan proses manufaktur.



ISO 9003. Standar mutu yang berkaitan dengan proses manufaktur dan perakitan barang.



ISO 9004. Pedoman dalam mendefinisikan quality system.

ISO 9000 adalah kumpulan standar untuk sistem perbaikan berbasis kualitas terus-menerus atau berkelanjutan. Proses yang berkelanjutan ini terdiri atas harus adanya pemantuan proses secara keseluruhan, adanya tindakan yang direncanakan untuk melakukan perbaikan, dan adanya  pertimbangan atas tindakan yang akan diimplementasikan untuk  pemantauan berikutnya dan perbaikan lebih lanjut, seperti yang terlihat  pada gambar di atas.

Dokumentasi yang solid dan akurat sangatlah penting bagi suatu  perusahaan yang ingin mengklaim bahwa operasinya telah sesuai standar ISO. Salah satu panduan yang diterapkan oleh ISO adalah dengan adanya  penerapan sistem hirarki dalam penerapan proses dokumentasi di  perusahaan, yang dimulai dari tingkatan paling atas yang berisi manual yang menjelaskan aspek apa yang dilakukan hingga tingkatan paling  bawah yang berisi dokumen dan form yang berupa  supporting materials,  proses dokumentasi seperti pada gambar dibawah sangatlah penting untuk mendukung adanya quality management system dan tentu diperlukan untuk mendapatkan sertifikasi ISO dari auditor eksternal.

Paragraf diatas telah mengemukakan pentingnya ISO 9000 bagi proses manajeman kualitas diperusahaan. Sayangnya, IIA belum menyarankan  bahwa standar ISO 9000 ini wajib diaplikasikan oleh perusahaan. Satusatunya artikel yang dikeluarkan oleh IIA hanyalah saran untuk menerapkan standar ISO 9001 dan 14001 sebagai pasangan dari COSO internal control Framework untuk membantu perusahaan dalam mengatasi resiko yang mungkin berdampak pada finansial perusahan. Dapat dilihat disini bahwa IIA tidak sepenuhnya antusias dalam berusaha

menerapkan dan menegakkan penggunaan standar ISO. Sangatlah  berbeda dengan AICPA yang menjadi organisasi pertama di dunia yang  berhasil meraih sertifikasi atas standar ISO 9001. ii.

ISO 9000 AND SARBANAS-OXLEYS: COMMON THREADS

Banyak para manajer keuangan dan auditor internal yang beranggapan  bahwa mereka terlalu sibuk dengan penerapan Sarbanas Oxley (SOx) dan mereka bertanya-tanya kenapa mereka juga harus menerapkan ISO standard. William A. Stimson membandingkan ISO 9000 dan SOx dan menemukan hal-hal berikut ini: 

Sox Title II terkait independensi auditor sangat mirip dengan ISO 9001



SOx Title III terkait tanggung jawab pelaporan keuangan  perusahaan (Section 302) mirip dengan ISO 9001 yang menyatakan eksekutive komite harus memverifikasi laporan untuk memastikan kelengkapan konten pelaporan.



SOx Title IV pengungkapan keuangan, mirip dengan ISO 9001 terkait

tanggungjawab

manajemen

untuk

kualitas

sistem

manajemen. 

SOx Title VIII pada akuntabilitas kecuraangan, yang mirip dengan

ISO

9001

terkait

tanggungjawab

 pencatatan dan pendokumentasian.

manajer

untuk

ISO standard, persyaratan ISO 9000 outline untuk peningkatan yang terus menerus dari kualitas sistem manajemen. Perusahaan harus menerima masukan dari costumer untuk menginisiasi proses peningkatan yang terus-menerus. List Exhibit 30.4 high level key element of ISO 9000, dimana setiap seksi ditunjang dengan hal-hal yang lebih detail. Lalu, Exhibit 30.5 on section 8.2.2, internal auditing, menunjukkkan konten terkait persyaratan auditing pada ISO standard. Persyaratan tersebut dibangaun pada sebuah paragraf. Auditing pada exhibit tersebut merujuk pada ASQ quality auditor yang didiskusikan pada chapter 31.

b) IT Security Standard: ISO 17799 and 27001

ISO 17799 pertamakali diterbitkan di United Kingdom sebagai BS7799 pada 1995 dan dilakukan pembaruan dari tahun ketahun menjadi ISO 17799: 2005, dan sedang direncanakan untuk diperbarui lagi menjadi ISO 27002. Saat ini, ISO 17799 memaparkan pentingnya IT-related security standard yang di design untuk membantu perusahaan memanajemen praktek IS-nya. ISO 17799 adalah standar mengenai informasi dan IS secara umum dan halhal terkait lainnya. Semenjak informasi dapat bermacam-macam jenisnya, standar ini mengambil ruang yang sangat luas yaitu: 

File Data dan elektronik softwere.



Semua format kertas dokumentasi termasuk material cetak, catatan tulisan tangan, dan foto.



Rekaman audio dan video.



Percakapan telefon beserta, e-mail, fax, video, dan bentuk pesan lainnya.

Konsepnya adalah setiap bentuk dari informasi memiliki nilai dan penting untuk dilindungi seperti halnya asset perusahaan lainnya. Banyak perusahaan

sekarang tidak menyadari standar pengamanan untuk bagian ini, akan tetapi ISO standard mendorong mereka untuk menerapkan hal tersebut. Oleh karena itu, infrastruktur penunjang informasi tersebut seperti jaringan, sisitem, juga harus dilindungi dari berbagai macam ancaman, termasuk human error dan bencana lain dari luar. Seperti standar ISO lainnya, publikasi ini tidak menggambarkan secara jelas hal-hal apa saja yang patut dilindungi. Akan tetapi lebih kepada area mana saja yang seharusnya diterapkan standar pengamannan terhadapnya. Exhibit 30.6 menggariskan haigh-level standar area yang dibicarakan pada ISO 17799. Karena ISO 17799 tidak menspesifikasikan hal-hal yang harus dilindungi maka  perusahaan harus membuat turunan dari standar ini dengan penyesuaian yang diperlukan. Langkah pertama dalam penerapan ISO 17799 adalah perusahaan harus mengidentifkasi kebutuhan IS-nya sendiri.

Dari sini akan menghasilkan risk

assessment yang sesuai dangan COSO Enterprise Risk Managenet (COSO ERM). Dengan ini akan diketahui juga ancaman mana yang sering dialami dan wilayah apa saja yang rentan terkena.

Perusahaan harus dapat mengidentifikasi dan memahami semua aturan, undang-undang atau hukum lainnya tekait hal ini dan terkait pihak-pihak yang  berhubungan dengan perusahaan seperti partner jual beli, kontraktor, dan penyedia layanan.

c) IT Security Technique Requirement: ISO 27001

Saat ISO 17799 adalah high-level code terkait security kontrol, ISO 27001 adalah spesifikasi dari Information Security System.

Ini adalah standar yang

dibuat untuk mengukur, memonitor, dan kontrol menajemen security dari atas hingga bawah. Standar ini

mendefinisikan cara untuk mengaplikasikan ISO

17799 menjadi 6 bagian: 1. Mendefinisikan kebijakan security . Hal fundamental untuk menjadi rujukan pengukuran nantinya. 2. Mendefinisikan ruang lingkup ISMS. ISO 17799 mendefinisikan area secara luas, oleh karena itu tidak perlu/tepat diterapkan untuk semua  perusahaan. Maka mendefinisikan serara khusus untuk perusahaan harus dilakukan. 3. Melakukan

Risk

Assesment.

Perusahaan harus mendefinisikan

metodologi risk assesment yang sesuai dengan lingkungan ISMS, lalu mengembangkan kriteria untuk penerimaan resiko, dan menentukan level of risk yang dapat diterima. 4. Manajemen Resiko.  ini adalah proses yang mencakup identifikasi resiko, analisa resiko, dan opsi penaggulangan ancaman tersebut. 5. Memilih kontrol objektif dan kontrol yang akan dilaksanakan.  Sejalan dengan audit dan kontrol proses dalam perencanaan dan pelaksanaan audit internal. 6. Menyusun

pernyataan

aplikasi.   Adalah

dokumen

resmi

untuk

melakukan proses dokumentasi ISMS. Seperti yang kita amati pada tahapan diatas, bahwa analisa resiko dan kebijakan pengamanan adalah hal yang sangat fundamental pada standar ini.

THE FUTURE

ISO 17799 (segera bernama ISO 27002) dan ISO 27001 telah menjadi standar global yang telah di terapkan di Eropa. Kedepannya sepertinya akan berkembang ke arah control framework seperti CobiT.

d) Service QualityManajement: ISO 20000

ISO 20000 memaparkan pelayanan menajemen terkait ITIL. Standar ini terdiri dari dua bagian, Part I pengimplementasian service managenen dan part II  praktek dari service manajemen. Part I menspesifikasikan kebutuhan dari proses  pendokumentasian service manajemen seperti merumuskan syarat, perubahan atau  pembaharuan, hubungan pendokumentasian, kontrol, resolusi, dan prosoes  pemberhentian. Standar ini juga mempromosikan penggunaan proses

yang

terintegrasi pada pelayanan manajemen agar seiring dengan pasar dan permintaan costumer. Selain itu, ISO 20000 ini sangat sesuai dengan ITIL framework.

III.

ISO 19011 Quality Management Systems Auditing

ISO 19011 ini sangat kuat hubungannya dengan ASQ quality audit standard yang akan didiskusikan pada chapter 31. Secara garis besar mencakup: 1. Urgensi pemaparan yang jelas

dari prinsip sistem audit sistem

manajemen. 2. Petunjuk untuk program audit manajemen. 3. Petunjuk aturan audit internal atau eksternal. 4. Saran terhadap kompetensi dan evaluasi auditor. Standar ini memaparkan 5 prinsip audit: 1. Ethical conduct. Audit harus dilakukan dengan jujur dan benar. 2. Fair presentation (Penyajian yang seimbang). Auditor harus adil dalam memberikan laporan audit 3. Menjalankan hak profesional care. Auditor harus melakukan hal yang memiliki landasan dan diharapkan. 4. Independensi.  Auditor harus menghidari konflik kepentingan untuk menjaga integritas mereka.

5. Evidence-Based approach. Auditor harus melakukan investigasi terlebih dahulu baru melaporkan fakta. Exhibit 30.7 menunjukkan prinsip ISO 19011 dan turunannya

IV.

ISO Standards and Internal Auditors

Perusahaan hari demi hari semakin mudah melakukan transaksi, oleh karena itu ISO standard menjadi lebih penting juga. Auditor juga harus memahami standar tersbeut, bagaimana implementasinya dan cara pengauditannya. Dimasa depan, pengetahuan akan ISO dapat menjadi syarat pengetahuan standar para auditor.

Chapter 31 Quality Assurance Auditing and ASQ Standard

31.1 Duties and Responsibilities of Quality auditors Fokus dari buku ini terdapat dalam standar auditor internal yang dimuat oleh IIA, CIAs dan CPA. Ternyata ada profesi yang juga mengacu kepada standar tersebut. Ada  banyak professional auditor yang tergabung dalam  American Society Quality  (ASQ)  professional organization, mereka memiliki kesamaan dengan auditor internal dan memiliki standar, kode etik dan sertifikasi nya tersendiri. Mereka disebut Quality auditor  dan bertanggung jawab dalam melakukan review standar ISO atas kesesuaian, efisiensi dan kualitas proses operasi perusahaan tersebut. Quality audit Divison (QAD) miliki ASQ  bertanggungjawab terhadap audit yang dilakukan berdasarkan standar ISO. ASQ dan QAD mendefinisikan berbagai level audit, yakni : 1. Self-audits Audit kualitas yang dilakukan oleh internal perusahaan untuk mereview kesesuian berdasarkan standar kualitas ISO 2. Second-party audits Audit yang dilakukan Quality auditor   sebuah perusahaan saat mereview salah satu supplier perusahaan tersebut. 3. Third-party audits Audit yang dilakukan oleh organisasi independen ASQ menggunakan istilah

‘auditor’  

untuk ‘ Quality auditor ’   , perubahan ini

terjadi karena perlebaran model professional ASQ. Gambar 31.1 menerangkan klasifikasi Quality audit , siapa yang membutuhkan assurance  tersebut dan supplier ASQ.  Framework Quality auditor   tersebut berbeda dengan  framework IIA internal auditor. Framework menimbulkan kebingungan karena ASQ membagi Quality auditor   menjadi dua, yakni internal auditor yang meriviu kontrol, standar dalam perusahaan dan eksternal auditor yang memberikan jasa third-party review  pada perusahaan lain dan memberikan sertifikasi ISO.

Berdasarkan AICPA eksternal auditor menurut istilah ASQ tidak memiliki hubungan regular dengan laporan keuangan, istilah Quality auditor   digunakan untuk membedakannya dengan IIA-Internal Auditor. IIA memiliki sertifikasi Certified  Internal Auditor   (CIA), ISACA memiliki sertifikasi Certified Information System  Auditor  (CISA) dan ASQ memiliki sertifikasi Certified Quality auditor  (CQA).

31.2 Role of the Quality auditor ASQ memiliki prosedur, standar dan panduan audit kualitas yang serupa dengan standar yang digunakan IIA auditor internal. Quality auditor   biasanya tidak terlibat dalam reviu internal kontrol atas keuangan dan IT perusahaan, mereka seringkali merujuk pada standar industri internasional seperti ISO 9000. Proses audit yang dilakukan Quality auditor  seringkali jauh lebih kuantitatif dan matematis daripada jenis audit IIA internal auditor. Cara kerja audit yang dilakukan Quality auditor   memiliki kesamaan dengan proses yang digunakan assurance pada kualitas produk manufaktur. Gambar 31.2 menunjukkan bahwa Quality audit dapat dibentuk sebagai produk,  proses dan sistem audit berdasarkan ruang lingkup dan tujuannya.



 A product audit   : penilaian terhadap final produk atau jasa berdasarkan spesifikasi ‘fitness for use’ yang telah ditentukan



 A process audit   : review dilakukan untuk memverifikasi kepatuhan atas standar, metode, prosedur dan peraturan lainnya



 A system audit   : audit yang menyeluruh, meliputi seluruh aspek sistem kontrol perusahaan

Berdasarkan tipenya, Quality audit   jauh lebih analitis dalam melaukan  pendekatan dibanding tipe IIA internal auditor. Hal tersebut terjadi karena kebanyakan Quality auditor   adalah engineering   daripada akuntan. Beragam alasan tersebut menjelaskan mengapa Quality auditor   melapor pada divisi produksi, alih-alih kepada CAE dan komite audit. Tools dan teknik yang digunakan Quality auditor  juga seringkali  berbeda dengan IIA internal auditor. Contohnya penggunaan pareto chart untuk menilai event mana yang paling mmpengaruhi dan butuh perhatian lebih ketat.

Standar ISO 9000 berpengaruh signifikan dalam konteks Quality audit . Standar ini digunakan pada level internasional dan mengubah peran Quality auditor . Standar ISO menetapkan syarat yang harus dipenuhi auditor internal dan meminta

manajemen

 perusahaan melakukan review terhadap  standar quality management   perusahaan, impelementasi dan efektifitas pengelolaannya.

Standar ISO lainnya yang mengatur Quality audit adalah Internal ISMS Audit. Standar tersebut menyatakan hal berikut ini :

Beragam alasan diatas mendukung bahwa perusahaan yang membuat atau menggunakan sertifikasi standar tertentu harus memiliki fungsi Quality audit. DIbandingkan dengan auditor internal, Quality auditor   jauh lebih informal dalam cara kerja nya dan sering melakukan improvement based test.  Tes dilakukan berdasarkan review yang sebelumnya telah dilakukan, Quality auditor   harus menganalisa trend an kelemahannya untuk terus melakukan improvisasi. Hasil yang diperoleh lalu dibandingkan dengan target, tujuan dan analisa proses untuk mengidentifikasi resiko, inefisiensi, peluang untuk improvisasi dan tren negative nya. Hasil tes ini dapat memberikan rekomendasi untuk mengubah prosedur.

31.3 Performing ASQ Quality audit Praktek Quality audit ASQ membawa perspektif yang berbeda terhadap audit. Quality audit dinilai sedemikian penting dalam mengukur kepatuhan terhadap standar ISO. Untuk melakukan review, tim Quality audit melakukan siklus  plan, do, check, act  (PDCA) sebagai berikut : 1.  Plan Apa tujuan dari Quality audit team? Perubahan apa yang diinginkan dan data apa yang dibutuhkan? Tipe dari pengujian apa yang dibutuhkan? Bagaimana operasi diobservasi? 2.  Do Melakukan pengujian yang direncanakan. 3. Check Mengobservasi hasil pengujian untuk mengembangkan kesimpulan awal 4.  Act Mempelajari semua hasil tes untuk menilai apa yang sudah dipelajari dan membuat prediksi atas hasil tersebut. Menggunakan hasil tes, Quality auditor  memilih area yang butuh peningkatan 5.  Repeat steps while gaining more knowledge Mengulangi rangkaian proses tersebut untuk menambah pengetahuan dan meningkatkan improvisasi Quality auditor tertarik menilai kepatuhan berdasarkan standar yang ada dengan tujuan sebagai berikut: 

Memverifikasi sistem yang sudah diimplementasikan benar-benar berjalan



Memverifikasi bahwa supporting training program sifatnya cost effective



Mengidentifikasi orang atau grup yang tidak mengikuti prosedur



Menyediakan bukti ke manajemen dan lainnya bahwa proses berjalan dan didokumentasikan

Quality audit dilakukan serupa dengan IIA Internal audit yakni mengembangkan audit  plan, melakukan prosedur audit yang direncanakan dan membuat audit report.

Exhibit 31.6 menunjukkan outline langkah dalam proses Quality audit yang serupa dengan yang digunakan IIA internal auditor. Perbedaan utamanya adalah Quality auditor   lebih banyak terlibat dalam correcting audit findings  dan membuat inisiasi corrective action. Berbeda dengan IIA internal auditor yang menilai kelemahan pada control dan melaukan pemeriksaan untuk menentukan corrective action  yang harus diimplementasikan. 31.4 Quality auditors and the IIA Internal Auditor Seiring perkembangan jaman Quality auditing berganti menjadi hanya auditing saja. ISO pun mendefinisikan auditing sebagai “proses yang sistematis, independen dan terdokumentasikan untuk mendapatkan bukti audit dan mengevaluasinya secara obyektif untuk menentukan dimana kriteria audit sudah terjadi. Dalam beberapa perusahaan saat ini, CAE biasanya terlibat dalam fungsi audit kualitas perusahaan dalam setidaknya courtesy level .

31.5 Quality Assurance Reviews of the Internal Audit Function

Auditor intern memiliki peran istimewa atas jasanya terhadap manajemen suatu  perusahaan. Seperti yang telah dijelaskan di chapter-chapter sebelumnya bahwa auditor intern melakukan kunjungan ke suatu unit yang ada di dalam perusahaan, mengulas pengendaliannya, dan memberikan rekomendasi untuk memperbaiki. Auditor intern modern menggunakan  International Standards for the Professional  Practice of Internal Auditing dan juga beberapa prosedur pendukung lainnya. Fungsi audit intern modern yang efektif harus melihat dirinya dari waktu ke waktu untuk menentukan apakah komponennya telah sesuai dengan praktik dan prosedur audit intern yang baik. QA review ini membuat fungsi audit intern untuk menilai kualitas prosedurnya dan apakah sesuai dengan standar audit intern. Bagian ini

mendeskripsikan elemen yang harus dimasukkan dalam program QA audit intern dan mendeskripsikan bagaimana audit intern dapat membuat program untuk menjalakan ulasan ini.

(a) Benefits of an Internal Audit QA Review Audit internal perlu cara untuk mengukur dirinya sendiri dan untuk membangun insentif agar dapat melakukan pekerjaan yang lebih baik. Ini adalah salah satu manfaat nyata dari kajian QA audit internal. Kajian tersebut memungkinkan audit internal untuk menunjukkan kepada manajemen bahwa mereka telah melakukan pekerjaan yang baik atau mengambil tindakan korektif bila ada yang harus diperbaiki.

(i)

Benefits to Internal Audit

Audit internal berbeda dengan fungsi operasi lainnya yang biasanya ada di  perusahaan dan tidak bisa dievaluasi dengan perhitungan umum seperti keberhasilan dalam penjualan, produksi atau efisiensi administratif. QA review dapat membuat peninjau dari luar menilai seberapa baik fungsi audit internal telah sesuai dengan standar audit internal atau apakah efisiensi yang lebih baik dapat dicapai.

(ii)

Benefits to Management

Semua anggota manajemen akan mendapatkan manfaat dari fungsi audit internal yang efisien dan efektif. Temuan akan program yang baik  berdasarkan QA Review dapat menunjukkan audit yang lebih baik dan lebih efisien. Audit intern adalah komponen kuat dalam sistem  pengendalian internal. Audit internal memperlihatkan hasil dari kajian QA kepada beberapa level manajemen senior.

(b) Elements of an Internal Audit Quality-Assurance Review QA Review audit internal adalah proses formal yang mirip dengan  prosedur audit lainnya. Untuk melakukan review tersebut harus dilakukan  perencanaan yang tepat, mengikuti program audit yang formal, dan

dilakukan oleh pengulas berkualitas yang memiliki tingkat independensi yang sesuai. Siapapun yang melakukan pengulasan, review harus mengikuti standar independensi dan objektivitas dalam audit internal. Menetapkan syarat apa saja yang dibutuhkan untuk review adalah langkah utama yang penting untuk meluncurkan fungsi review kualitas audit internal. Review yang dilakukan harus terkonsentrasi terhadap kesesuaian antara audit internal dengan standard IIA. Tujuan dari pendekatan dengan cara review ini adalah untuk mengukur kualitas keseluruhan prosedur audit internal itu sendiri. Dalam beberapa kasus, jika pengulas menemukan  bahwa audit tertentu yang sudah lengkap tidak mengikuti prosedur audit internal yang baik, program review secara langsung atau tindakan korektif harus segera ditetapkan.

(c) Who Performs the Quality-Assurance Review? Meskipun CAE harus melihat nilai dari tinjauan QA, pihak pengulas independen sering dibutuhkan. Dalam departemen audit internal multiunit yang besar, tim auditor internal perusahaan dan yang lainnya dari unit divisi yang berbeda sering kali dapat melakukan tinjauan QA akan unit divisi lainnya. Pihak luar yang dapat melakukan QA review termasuk kantor akuntan publik, konsultan yang spesialisasinya untuk melakukan QA review, atau auditor internal dari perusahaan lain. Sebagai pilihan lain, IIA memiliki program review di mana ia dapat menjadwalkan tim  profesional relawan untuk melakukan review. Fungsi audit internal yang lebih besar juga dapat membuat program quality-review yang efektif dengan menetapkan auditor internal berkualitas untuk bertanggung jawab melakukan review tersebut.

31.6 Launching the Internal Audit Quality-Assurance Review

CAE harus memimpin dalam meluncurkan program quality review audit internal  jika fungsi QA formal tidak siap. Tidak masalah siapa yang memulai review, tapi staf audit internal akan menyadari adanya hal penting bila CAE menginisiasi  proses tersebut. Jika auditor luar, misalnya yang menyarankan pelaksanaan review

tersebut kepada anggota komite audit, semua pihak akan bertanya-tanya apa yang salah dengan audit internal. Tetapi jika audit internal itu sendiri yang berinisiatif memulai proses, akan terdapat fleksibilitas yang lebih besar untuk menyarankan  pihak mana yang paling tepat untuk melakukan review. Self-assesment review dimana anggota dari audit intern melakukan review terhadap aktivitas audit mereka sendiri cocok untuk perusahaan yang cenderung kecil.

(a) Quality-Assurance Review Approaches Fungsi audit internal untuk meluncurkan program QA review perlu membuat beberapa perencanaan dan keputusan dasar. Selain memutuskan siapa yang akan melakukan review, manajemen audit internal harus memutuskan pada ruang lingkup, kedalaman, dan keluasan review yang akan dilakukan. Lingkup disini menyiratkan jumlah detail yang akan dimasukkan dalam setiap review. Kedalaman di sini mengacu pada jumlah detail yang akan dimasukkan dalam review QA dari berbagai area. Breadth, seperti yang digunakan di sini, mengacu pada jumlah unit yang akan disertakan dalam setiap review QA.

(b) Example Quality-Assurance Review of an Internal Audit Function (i)

QA Review Pleminary Planning

Tim audit internal yang melakukan QA review harus mengikuti prosedur yang biasa digunakan bila melaksanakan audit internal, yang meliputi:

(ii)



Mengumumkan QA review yang telah direncanakan



Menugaskan sumber daya yang ada untuk melakukan review



Bertemu dengan manajemen audit internal



Bertemu dengan anggota manajemen lainnya

QA Internal Audit Review Procedures

Review dilakukan dengan menginvestigasi prosedur dan standar yang dipakai oleh internal auditor. Reviewer harus bisa memahami tentang dokumentasi yang dibuat oleh internal auditor. Sebaiknya reviewer tidak hanya melakukan review atas dokumen di periode ini, namun juga

mereview di periode sebelumnya agar bisa memperoleh pemahaman yg lebih baik untuk melakukan testing.

Sampling dilakukan dengan tujuan untuk merepresentasikan semua area, sehingga menggunakan metode judgemental sampling. Misal ketika reviewer ingin mengetahui tentang analisis resiko oleh audit, maka melakukan pemilihan sampel secara judgemental apakah telah dilakukan analisis resiko dengan tepat.

Proses review sama dengan proses internal auditor yang terdiri dari  pemilihan sampel, pengujian, pengevaluasian dan pendokumentasian.

(iii)

Reviews of Individual Completed Audits

Review juga dilakukan pada setiap department yang berbeda. Hal yang  perlu menjadi pertimbangan melakukan review di tiap departmen yaitu: 

Audit sampling used : review tidak boleh teralalu berdasarkan internal auditor karena mereka menggunakan statistical sampling dibanfing judgmental



Compliance with accounting standard : jika audit keuangan banyak  bergantung

kepada

internal

auditor,

maka

reviewer

wajib

menentukan ketepatan penggunaan prosedur sesuai standar yang  berlaku 

Appropriate consideration of ITs : biasanya proses audit dilakukan dengan menggunakan data dari IT, oleh sebab itu penting melakukan review atas control terhadap IT baik yang general control maupun application control



Use of CAATTs : jika terdapat proses audit yang tidak menggunakan CAATT, maka perlu diberikan kritikan



Use other audit automation techniques : jika internal audit tidak mendokumentasikan pekerjaanya dengan bantuan computer maka  perlu diberikan teguran atas hal tsb

Reviewer juga perlu mengkomunikasikan hasil reviewnya kepada internal auditor untuk klarifikasi. Biasanya terdapat informasi tambahan yang tidak ada pada workpaper sehingga memperjelas masalah sebeanrnya. Selain itu audit finding dan report juga perlu direview. Reviewer tidak berfokus kepada kesalahan grammar kalimat, tetapi memastikan apakah laporan tersebut telah disusun sesuai standar department. Selain itu perlu memastikan waktu penerbitan laporan yang tepat, karena agar informasi bisa segera direspon agar tidak menimbulkan dampak.

(iv)

Auditee Interviews and Surveys

Reviewer bisa melakukan benchmarking terhadap perusahaan lain, yaitu dengan cara melakukan survey kepada internal auditor di perusahaan lain yang sejenis

(A) Quality-Assurance Auditee Interviews Reviewer juga melakukan interview terhadap auditee untuk mendapatkan pandangan tentang profesionalisme internal auditor menurut auditee. Reviewer biasanya melakukan interview terhadap satu auditee saja agar lebih terbuka jika dibandingkan dengan menginterview

banyak

auditee.

Namun

auditee

juga

bisa

memberikan informasi palsu karena tidak ingin melukai perasaan internal audit. Sang reviewer harus berfokus kepada permasalahan tentang kesalahan prosedur bukan tentang pencarian oknum/orang yang bersalah di internal audit. Reviewer juga wajib menjaga kerahasiaan informasi yang diberikan oleh auditee

(B) Internal Audit Quality-Assurance Surveys Biasanya survey dilakukan jika perusahaan mempunyai banyak cabang di luar daerah sehingga cukup melakukan survey lewat internet saja. Reviewer harus berhati hati dalam memberikan  pertanyaan agar tidak terjadi bias

(C) Reporting the Results of an Internal Audit Quality-Assurance Review Hasil review dilaporkan kepada komite audit. Prosedur pelaporan sama seperti dalam laporan internal audit, yaitu menyiapkan draft  beserta temuannya lalu setelah direspon baru diterbit kan laporanya. Perbedaan antara laporan internal aduit dan laporan review adalah  pendistribusianya, dimana laporan review hanya disebarkan ke CAE, komite audit dan beberapa internal audit terpilih. Di  perusahaan yang relative kecil tetap harus dilakukan proses review. Jika tidak memungkinkan untuk ada pihak yang melakukan review maka bisa menggunakan self assesement review melalui diskusi terbuka dan kuisioner. Yang melakukan survey biasanya direktur langsung atau jika tidak memungkinkan bisa dilakukan oleh HRD, sehingga hasil survey bisa independen. Hasil dari survey ini harus dikomunikasikan lagi ke staff internal audit sehingga mereka bisa menentukan penuingkatan yang bisa dilakukan sesuai hasil survey tsb.

31.7 Future Directions for Quality-Assurance Auditing

Dalam chapter ini membahas tentang quality assurance dari dua dimensi yaitu kualitas auditor dan review atas standard & prosedur. Quality auditor dan internal auditor berbeda. Kedua profesi ini diharapkan mampu berkembang bersama sama di masa depan. Internal auditor perlu belajar stasitical dan analytical dari quality auditor. Begitu juga quality auditor perlu belajar kedisiplinan dari internal auditor.

1300 –   Quality Assurance and Improvement Program

The chief audit executive must develop and maintain a quality assurance and improvement program that covers all aspects of the internal audit activity. Interpretation: A quality assurance and improvement program is designed to enable an evaluation of the internal audit activity’s conformance with the Definition of Internal Auditing and the Standards and an evaluation of whether internal auditors apply

the Code of Ethics. The program also assesses the efficiency and effectiveness of the internal audit activity and identifies opportunities for improvement. 1310 –  Requirements of the Quality Assurance and Improvement Program

The quality assurance and improvement program must include both internal and external assessments. 1311 –   Internal Assessments

Internal assessments must include: 



Ongoing monitoring of the performance of the internal audit activity; and Periodic self-assessments or assessments by other persons within the

organization with sufficient knowledge of internal audit practices. Interpretation: Ongoing monitoring is an integral part of the day-to-day supervision, review, and measurement of the internal audit activity. Ongoing monitoring is incorporated into the routine policies and practices used to manage the internal audit activity and uses processes, tools, and information considered necessary to evaluate conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards. Periodic assessments are conducted to evaluate conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards. Sufficient knowledge of internal audit practices requires at least an understanding of all elements of the International Professional P ractices Framework. 1312 - External Assessments

External assessments must be conducted at least once every five years by a qualified, independent assessor or assessment team from outside the organization. The chief audit executive must discuss with the board: The form and frequency of external assessment; and The qualifications and independence of the external assessor or assessment team, including any potential conflict of interest. Interpretation: External assessments can be in the form of a full external assessment, or a selfassessment with independent external validation.

A qualified assessor or assessment team demonstrates competence in two areas: the professional practice of internal auditing and the external assessment process. Competence can be demonstrated through a mixture of experience and theoretical learning. Experience gained in organizations of similar size, complexity, sector or industry, and technical issues is more valuable than less relevant experience. In the case of an assessment team, not all members of the team need to have all the competencies; it is the team as a whole that is qualified. The chief audit executive uses professional judgment when assessing whether an assessor or assessment team demonstrates sufficient competence to be qualified. An independent assessor or assessment team means not having either a real or an apparent conflict of interest and not being a part of, or under the control of, the organization to which the internal audit activity belongs. 1320 –  Reporting on the Quality Assurance and Improvement Program

The chief audit executive must communicate the results of the quality assurance and improvement program to senior management and the board. Interpretation: The form, content, and frequency of communicating the results of the quality assurance and improvement program is established through discussions with senior management and the board and considers the responsibilities of the internal audit activity and chief audit executive as contained in the internal audit charter. To demonstrate conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards, the results of external and periodic internal assessments are communicated upon completion of such assessments and the results of ongoing monitoring are communicated at least annually. The results include the assessor’s or assessment team’s evaluation with respect to the degree of conformance. 1321  –  Use of “Conforms with the International Standards for the Professional Practice of Internal Auditing”

The chief audit executive may state that the internal audit activity conforms with the International Standards for the Professional Practice of Internal Auditing only if the results of the quality assurance and improvement program support this statement.