INTERNAL AUDIT

Base on ISO 19011:2011

TUJUAN TRAINING

Membantu peserta untuk mampu :

Memahami
 Tujuan dan proses audit
 Peran dan tanggung jawab auditor
 Persyaratan minimum kegiatan audit

Melakukan
 Perencanaan audit
 Pembuatan ceklist audit, pelaksanaan audit, pelaporan hasil audit
 Identifikasi tindakan koreksi dan verifikasi
 OVERVIEW ISO 27001:2013
Control Domains of ISO 27001:2013
Annex A:
Kontrol keamanan
informasi yang diperlukan
oleh organisasi untuk
mengendalikan risiko
keamanan informasi yang
relevan. Terdiri dari 14
Domain / Area Kontrol, 35
Control Objectives dan 114
Kontrol Keamanan informasi
PENGERTIAN AUDIT
Proses sistematik, independen dan
AUDIT terdokumentasi untuk mendapatkan bukti
AUDIT

Audit dan mengevaluasi secara objektif

untuk memastikan kriteria audit dipenuhi.

Catatan, pernyataan fakta atau informasi lainnya,

Bukti
yang relevan dengan kriteria audit dan dapat
Audit diverifikasi

Kriteria
Audit Seperangkat kebijakan, prosedur atau persyaratan
ISTILAH & DEFINISI

AUDIT :
Systematic , independent and documented process for obtaining audit evidence and evaluating it
AUDIT

objectively to determine the extent to which audit criteria are fulfilled

AUDIT CRITERIA :
Set of policies , procedures or requirements against which collected audit evidence is compared
AUDIT EVIDENCE :
Records , statements of fact or other information , which are relevant to audit and verifiable.
AUDIT FINDINGS :
Results of the evaluation of the collected audit evidence against audit criteria
AUDIT CONCLUSIONS :
Outcome of an audit , provided by the audit team after consideration of all the audit objectives
and all audit findings
AUDIT CLIENT :
Organization or person requesting an audit
ISTILAH & DEFINISI

AUDITEE :
Organization being audited
AUDIT

AUDITOR :
Person with the competence to conduct an audit.
AUDIT TEAM :
One or more auditors conducting an audit , supported if needed by technical experts
AUDIT PROGRAMME :
Set of one or more audits planned for a specific time frame and directed towards a specific
purpose.
AUDIT PLAN :
Description of the activities and arrangement for an audit.
AUDIT SCOPE :
Extent and boundaries of an audit
PRINSIP AUDIT
PRINSIP AUDIT
Fair Presentation
Integrity The obligation to report truthfully and
The foundation of Professionalism accurately
• Audit finding
• Honesty • Audit conclusion
• Responsibility • Audit report
• Observe and comply with any applicable (including if any dispute and obstacle
regulation during the audit process)
• Demonstrate their competence while performing
their work
Confidentiality
Security of information
Due Professional Care - Protection information
The Application of Diligence and - Proper handling of sensitive or confidential
Judgement in Auditing information
• The importance of the task
• Having the ability to make reasonedjudgements Evidence-Based Approach
in all audit situation The rational method for reaching reliable and
reproducible audit conclusions in a systematic
Independence
audit process
The basis for impartiality of the audit and
objectivity of the audit conclusion • Audit Evidence is Verifiable
• independent of the activity being audited • Base on samples of information
• Free from bias and conflict of interest • Audit conclusion related to the appropriate use of
• Maintain the objective state of mind sampling
 TIM AUDIT
INTERNAL AUDIT COORDINATOR IA Team Member
Perencanaan IA Team Member
IA
• Mempersiapkan program dan jadwal audit IA Team Member
Coordinator
• Memberitahukan dan mengkonfirmasikan jadwal IA Team Member
tersebut pada auditee
• Memastikan bahwa persiapan yang cukup telah INTERNAL AUDIT TEAM MEMBER
dilakukan sebelum kegiatan audit dimulai
• Menentukan aspek yang diverifikasi pada bagian
Pengorganisasian yang diaudit
• Menentukan lamanya kegiatan audit dan jumlah • Mempersiapkan ceklis audit
anggota tim sesuai dengan program audit • Memeriksa kesesuaian dokumentasi dengan
• Menyeleksi auditor yang kompeten untuk fungsi persyaratan
yang akan diaudit • Memeriksa pelaksanaan dengan dokumentasi
• Memastikan bahwa tim audit telah siap sesuai • Mengumpulkan dan mendokumentasikan bukti-
dengan jadwal bukti obyektif
Pengendalian • Mencatat dengan tepat dan melaporkan dengan
• Mengadakan rapat pembuka dan penutup jelas penemuan-penemuan audit
• Memecahkan masalah yang dihadapi dalam • Memberitahukan Koordinator AI hal-hal yang
pelaksanaan audit dapat menghalangi keberhasilan kegiatan audit
• Menarik kesimpulan yang tepat dari hasil kegiatan • Memverifikasi tindakan koreksi
audit
PERSONAL ATRIBUT & KUALIFIKASI AUDITOR
PERSONAL ATRIBUT
 Systematic  Etika Percaya diri
 Tidak berbelit-belit  Diplomatis  Adil
 Fleksibel  Dapat mengambil Keputusan  Tegas
 Jeli  Obyektif  Pemikiran Terbuka
 Tidak cepat puas  Ramah  Lekas Mengerti

KUALIFIKASI AUDITOR
 Pendidikan / Education
 Pengalaman Kerja
 Training
 Pengalaman Audit
 Independen
 Kemampuan untuk memahami aktifitas – aktifitas
19
AKTIVITAS AUDIT

Pra - Audit On site - Audit Post - Audit

Inisiasi Audit: Opening Meeting Laporan audit
Audit team leader
Tujuan, scope, kriteria
Feasibility Proses audit:
 Audit team  Communication Distribusi laporan audit
 Initial contact  UTJ Guide & Observer
 Collecting & Verifying
Document Review information
 Audit finding Completing the Audit
Persiapan onsite audit :  Persiapan kesimpulan
 Audit plan audit
 Tim assignment
 Dokumen Kerja
Closing Meeting Follow up Audit
PHASE AUDIT

1 2
PELAKSANAAN
PERSIAPAN AUDIT
AUDIT

TINDAK LANJUT PELAPORAN

AUDIT AUDIT

4 3
PHASE 1 – PERSIAPAN AUDIT

PEMBUATAN PROGRAM AUDIT

PEMBUATAN JADWAL AUDIT

PEMBUATAN CEKLIST AUDIT

PERSIAPAN PERALATAN AUDIT

PHASE 1 – PERSIAPAN AUDIT
TUJUAN, LINGKUP, KRITERIA AUDIT

• sesuai dengan penyusunan program audit

• merupakan sesuatu yang TERDOKUMENTASI
• kriteria :
- Kebijakan dan Prosedur
- Standar
- Regulasi
- Persyaratan sistem manajemen
- Persyaratan kontrak

Tujuan :
Ditetapkan oleh “ audit client”

Scope dan Kriteria :

Ditetapkan bersama antara “audit client” dan “Audit team leader”
PHASE 1 – PERSIAPAN AUDIT
PROGRAM AUDIT
Dept/Area Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec
Top Manajemen atau
QMR
Layanan Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec
IT
SAP
HRD
Aplikasi BPM
Umum (GA)
Data Center / hosting
DRC
Email
Jaringan
Manajemen Suplier
JADWAL AUDIT
Tanggal Waktu Dept Auditor Referensi
Perhatikan 5-Jan 10.00 – 10.30 Top Manajemen Bp. Jono (HRD) klausul 4; 5; 7;

 Independen Auditor klausul 4.2.2; 4.2.3; 4.2.4; 8.2.1; 8.2.2;

8.2.1; 8.2.2.
 Jam kerja 5-Jan 10.30 – 12.00 MR
Bp. Sutresno
(GA)
SOP Pengendalian Dokumen,
Pengendalian Records, Internal Audit,
 Lokasi Manajemen Review
 Jumlah personil Istirahat 12.00 – 13.00 --- --- ---
 Kerumitan proses klausul A.10; A.11; A.12,
5-Jan 13.00 – 15.00 IT Ibu Kurnia (GA)
 Performa proses SOP Operasional TI
Bp. Hendrawan klausul A.8.1; A.8.2; A.8.3
 Referensi terkait 5-Jan 15.00 – 16.00 HRD
(IT) SOP Rekruitmen dan Pelatihan
 Efisiensi waktu audit Bp. Ahmad klausul A.9
5-Jan 16.00 – 17.00 GA
(HRD) SOP Pemeliharaan
 PHASE 1 – PERSIAPAN AUDIT
CEKLIST AUDIT  Fahami proses, alur kerja, prosedur terkait
 Membantu auditor mengingat apa yang harus diperiksa  Fahami klausul ISO terkait
 Membantu pengaturan waktu dan struktur wawancara  Kembangkan, apa yang mungkin salah dari proses
 Membantu dalam memastikan cakupan ruang lingkup  Apa bukti yang harus ada
 Lebih profesional  Cek list yang singkat dan mencakup proses terkait
PHASE 1 – PERSIAPAN AUDIT
PERALATAN AUDIT

• Rencana audit (agenda), audit checklist, standard terkait

• Clipboard (papan tulis kecil) jika diperlukan
• Kertas untuk mencatat, pensil/ballpoint
• Form Report audit
• Jam Tangan
• Pakaian sesuai kondisi lapangan
• Perlengkapan pengaman dan alat bantu lainnya
sesuai dengan persyaratan area atau proses
yang akan di Audit

35
PHASE 2 – PELAKSANAAN AUDIT

OPENING MEETING

AUDIT

KONFIRMASI TEMUAN

TIM AUDIT MEETING

PHASE 2 – PELAKSANAAN AUDIT
OPENING MEETING

1. Perkenalan anggota tim

2. Tujuan, Scope dan kriteria yang digunakan
3. Audit time table
4. Metode dan prosedur pelaksanaan audit
5. Konfirmasi jalur komunikasi formal dengan auditee
6. Konfirmasi bahasa yang digunakan
7. Auditee akan menerima progress audit
8. Konfirmasi ketersediaan fasilitas
9. Kerahasiaan
10. Work safety, emergency and security procedure
11. Guide
12. Laporan audit
PHASE 2 – PELAKSANAAN AUDIT
METODE PENGUMPULAN INFORMASI

Wawancara Pemeriksaan Lapangan

• Harus sesuai dengan jadwal audit

• Pertanyaan yang dilakukan secara

terbuka dan faktual (tertutup)
Telaah Dokumen
• Verifikasi jawaban saat melakukan
observasi lapangan

• Ikuti checklist audit

PHASE 2 – PELAKSANAAN AUDIT
AUDIT
• Memasuki area dan paparan mengenai lingkup
tersebut

• Perhatikan alur wawancara

• Jelaskan apa yang ingin anda ketahui
• Jangan terlalu kaku dalam mengikuti checklist
• Perhatikan jawaban
• sampel untuk bukti obyektif (random)

• Catat hasil pada checklist (sesuai / tidak sesuai)

• Tentukan lingkup masalah (minor / major)

• Pertimbangkan dampak terhadap keamanan

informasi / layanan TI sebelum penyelidikan lebih
lanjut

• Tuntaskan penyelidikan sebelum melangkah ke

hal baru
PHASE 2 – PELAKSANAAN AUDIT
AUDIT
 Bertanya (Tanyakan apa yang dilakukan)
Pertanyaan Terbuka
- Memberikan kesempatan kepada auditee untuk menjelaskan dan membuat auditee
lebih santai
- Kesempatan auditor untuk menanyakan lebih mendalam/detil mengenai topik
tertentu \ dari keterangan auditee
Pertanyaan Tertutup
Kesempatan bagi auditor dan auditee untuk menyamakan persepsi
 Audit Lapangan
Lihat bagaimana auditee melakukannya
Periksa (Kesesuaian dengan apa yang diharuskan prosedur)

INGAT:
Prinsip audit adalah mencari kesesuaian, bukan mencari ketidaksesuaian
Dalam mencari kesesuaian, mungkin menemukan ketidaksesuaian.
PHASE 2 – PELAKSANAAN AUDIT
TEKNIK WAWANCARA

 Bersikap sopan, bersahabat, netral/tidak berpihak dan objektif

 Mendengarkan dan menunjukan perhatian dengan sekali kali

memberi tanggapan singkat

 Secara periodik memberikan ringkasan pembicaraan untuk menguji

pemahaman kebenaran pemahaman auditor atas topik diskusi

 Hanya mencatat butir-butir penting pembicaraan

PHASE 2 – PELAKSANAAN AUDIT
TEKNIK WAWANCARA

 Membuat perumpamaan (asumsi)

 Terlibat membicarakan staf lain atau isu politik

 Mendesak auditee untuk menjawab atau mendesak mendapatkan

informasi diluar kewenangan auditee

 Menggunakan humor yang berlebihan

 Terlalu banyak mencatat dan menggunakan perekam

 Auditee mengendalikan jalannya wawancara

 Melebihi batas waktu yang disepakati

PHASE 2 – PELAKSANAAN AUDIT
TEKNIK WAWANCARA

 Mendebat dan beradu argumentasi

 Mengintimidasi dan membuat auditee merasa bersalah

 Memberikan penilaian, opini dan pandangan pribadi atas pertanyaan

auditee

 Mengajukan pertanyaan yang kompleks dan rumit

 Bertanya dengan pertanyaan tertutup

 Melakukan interupsi saat auditee berbicara

 Memberikan harapan dan menjanjikan sesuatu

PHASE 2 – PELAKSANAAN AUDIT
TEKNIK WAWANCARA

PERTANYAAN TERBUKA
 Mengharapkan auditee memberikan lebih banyak penjelasan

 Menginginkan pandangan auditee atas sesuatu hal

 6W’s + 1 H
What, which, why, when, where, who, how

 Jangan menaruh harapan atas pertanyaan yang akan dijawab auditee

 Contoh
 Dapatkah anda menunjukan …….pada saya
 bagaimana pendapat anda tentang………
PHASE 2 – PELAKSANAAN AUDIT
TEKNIK WAWANCARA

PERTANYAAN TERTUTUP
 Dapat dijawab dengan “ya” atau “tidak” atau jawaban singkat lainnya

 Sangat membantu jika yang diinginkan adalah informasi yang sangat

spesifik

 Dapat menjadi masalah dan membuat “jeda” wawancara

 Contoh :
 Apakah ada otorisasi terhadap penggunaan aset?
Apakah ada monitoring proses pada layanan?
Apakah anda mempunyai copy dokumen kebijakan lingkungan
perusahaan ?
PHASE 2 – PELAKSANAAN AUDIT
AUDIT LAPANGAN

INPUT PROSES OUTPUT

u Lakukan audit dengan mengikuti alur proses

Cermati aspek-aspek kerja yang berpengaruh terhadap input, proses dan output
u INGAT …. Prinsip SHOW ME !
u Cek dokumen, record, data di komputer, dll
u Pastikan pernyataan auditee dicek kembali dengan dokumen pendukung, seperti
pernyataan dari personil lain dengan otoritas yang khusus, bukti record, dll
u Periksa efektifitas pengendalian yang ada

LAKUKAN SAMPLING
PHASE 2 – PELAKSANAAN AUDIT
AUDIT & KONFIRMASI TEMUAN
 Perhatikan komunikasi lisan dan non  Bicara dengan suara yang jelas
lisan  Ingat nama auditee
 Hindari Konflik  Dengar minimum 75% dari waktu audit
 Waspadai trik auditee (absen, mengulur  Hindari pengajuan lebih dari satu
waktu, dll) pertanyaan pada saat yang sama dan
 Buat suasana lebih santai (posisi duduk, pertanyaan menjebak / mengarahkan
senyum, pujian, sedikit humor)  Auditor harus memilih sample sendiri
 Hindari cara bertanya seperti interogasi  Konfirmasikan temuan kepada auditee
 Selalu objektif, tenang dan bersahabat

SIMPULKAN PENYELIDIKAN HASIL AUDIT

BERDASARKAN FAKTA DAN BUKTI AUDIT,
BUKAN BERDASARKAN ASUMSI ATAU GOSIP
PHASE 2 – PELAKSANAAN AUDIT
AUDIT TIM MEETING

Jika kegiatan audit telah selesai, tim audit harus mengadakan peninjauan tersendiri atas
penemuan-penemuan tersebut
 Diketuai oleh koordinator AI
 Perbaiki jadwal jika perlu
 Meninjau bukti, observasi dan perbedaan
 Menilai seberapa serius ketidaksesuaian yang ditemukan
 Masalah-masalah apa saja yang dihadapi selama audit
 Menentukan kegiatan penyelidikan lebih lanjut pada tanggal berikutnya
 Tindakan lanjut :
– memperbaiki jadwal audit untuk hari berikutnya
– memperbaiki dan/atau menperbaharui daftar periksa
PHASE 3 – PELAPORAN AUDIT

KLASIFIKASI TEMUAN

PEMBUATAN AUDIT REPORT

CLOSING MEETING
PHASE 3 – PELAPORAN AUDIT
EVALUASI HASIL AUDIT
Untuk menentukan derajat pemenuhan sistem manajemen terhadap :
• Persyaratan standar ISO 20000 & 27000
• Peraturan dan persyaratan lain
• Kriteria audit yang ditetapkan dan memastikan tindak lanjut dan berjalannya continual
improvement

KETIDAKSESUAIAN

Penyimpangan melalui bukti objektif

atas kriteria audit yang ditetapkan

Auditor harus menginvestigasi untuk

menentukan secara tepat kriteria audit
yang dilanggar dan menetapkan
rekomendasi tindakan perbaikan
PHASE 3 – PELAPORAN AUDIT
KLASIFIKASI TEMUAN
Ketidaksesuaian Observasi / Rekomendasi
fakta yang didukung oleh bukti objektif fakta yang ditunjang oleh bukti objektif
yang membuktikan kegagalan dalam yang tidak membuktikan kegagalan
memenuhi persyaratan standar. dalam pemenuhan persyaratan
standar, namun mengurangi
Ketidaksesuaian Mayor keefektifan sistem mutu.
Ketiadaan, maupun kegagalan, sebuah
proses dalam memenuhi persyaratan
yang ada pada klausul ISO dimana
Ketidaksesuaian minor
mengakibatkan/ berpotensi KEGAGALAN
yang signifikan bagi proses
Kegagalan dalam memenuhi satu
ATAU persyaratan dari satu sub pasal ISO
Sejumlah minor NC terhadap satu sub- atau dokumen referensi lainnya
klausul pada ISO yang secara bersama- ATAU
sama akan mengurangikeefektifan Kegagalan dalam memenuhi satu
sebuah proses persyaratan dari prosedur perusahaan
PHASE 3 – PELAPORAN AUDIT
NON CONFIRMITY REPORT

Setiap pernyataan ketidaksesuaian JELAS sehingga tindakan perbaikan dan

pencegahan dari auditee akan tepat. Temuan harus menyatakan 4 hal:
 Penemuan (Problem)
 Lokasi (Location)
 Bukti objektif (Objective Evidence) PLOR
 Persyaratan (References)
 Pengaruh ketidaksesuaian bagi proses ITSM / ISMS (Finding Effect) (jika perlu)
PHASE 3 – PELAPORAN AUDIT
NON CONFORMITY REPORT

Contoh Kasus:
Audit Administrator sistem (tgl. 18 April 2011)
• Berdasarkan pengamatan kepada sistem terdapat 4 dari seluruh
user yang sudah tidak bekerja lagi di perusahaan terlihat bahwa
user ID ke sistem tersebut masih aktif dan tidak pernah dievaluasi
statusnya.
• SOP Pengelolaan Hak Akses (SOP-TI-01, bab 2.2),
mempersyaratkan bahwa user ID harus dievaluasi secara berkala (6
bulan) dan bagi setiap pegawai yang telah keluar, user ID pegawai
tersebut harus langsung dinonaktifkan.
 PHASE 3 – PELAPORAN AUDIT
NON CONFORMITY REPORT
IRCA QUALITY AUDITS Incident Number …....................
NONCONFORMITY REPORT
Company under Audit: XYZ plc Note Number .............................
Area under review: ISO Clause Number
Lokasi Aplikasi SAP
………………………………………. …………………………………… A.11.2.4
Category MAJOR* MINOR* * delete one
Deficiency

Di sistem SAP, ditemukan 4 pegawai yang

telah keluar masih memiliki user ID yang Objek
masih aktif.
Problem Hal ini tidak sesuai dengan persyaratan yang
diminta dalam SOP Pengelolaan Hak Akses
(SOP-TI-01, bab 2.2), yang menyebutkan
bahwa user ID harus dievaluasi secara
berkala (6 bulan) dan bagi setiap pegawai
yang telah keluar, user ID pegawai tersebut
harus langsung dinonaktifkan

Auditor A. U. Ditor
Referensi
PHASE 3 – PELAPORAN AUDIT
BAD WRITING NCR

 Regarding the ISMS documentation, it’s observed that

company has risk assessment methodology.

 No evidence of risk assessment report as a result of risk

management process was available.
PHASE 3 – PELAPORAN AUDIT
CLOSING MEETING

• Mengucapkan terima kasih

• Menyampaikan hal-hal positif
• Menyampaikan ketidaksesuaian & observasi
• Mendiskusikan ketidaksesuaian & tanggal corrective action
• Membuka pertanyaan
• Penutupan
PHASE 3 – PELAPORAN AUDIT

TUJUAN DAN MANFAAT LAPORAN AUDIT

 Memberikan informasi proses dan hasil audit kepada manajemen

 Mendokumentasikan pelaksanaan audit dan temuan audit

 Dasar penyusunan tindakan perbaikan

 Dasar evaluasi manajemen untuk memperbaiki sistem manajemen

PHASE 3 – PELAPORAN AUDIT
ISI LAPORAN AUDIT

• Identitas klien / auditee

• Tujuan, lingkup dan rencana audit
• Kriteria audit
• Jangka waktu audit dan tanggal pelaksanaan audit
• Identitas anggota tim audit
• Identitas staff/personil auditee yang terlibat dalam audit
• Ringkasan jalannya audit serta kendala yang dihadapi
• Temuan audit
• Kesimpulan audit
• Daftar penerima laporan audit
PHASE 3 – PELAPORAN AUDIT
PERSETUJUAN DAN DISTRIBUSI LAPORAN AUDIT

• Disampaikan sesuai dengan waktu yang disetujui

• Apabila ada penundaan perlu disampaikan ke “Audit client”
• Harus di beri tanggal, diperiksa dan disetujui sesuai prosedur
• Disampaikan ke penerima yang ditetapkan oleh “Audit client”
• Merupakan property dari “audit client”
• Kerahasiaan perlu dijaga oleh tim audit dan penerima

COMPLETING THE AUDIT

• Audit dikatakan komplit bila seluruh audit plan sudah di penuhi dan laporan audit sudah
didistribusikan

• Catatan terkait dengan proses audit dapat disimpan atau dimusnahkan tergantung
kepada prosedur ataupun agreement yang dibuat
PHASE 4 – TINDAK LANJUT AUDIT

IDENTIFIKASI PENYEBAB

IDENTIFIKASI TINDAKAN
PERBAIKAN / PENCEGAHAN

IMPLEMENTASI TINDAKAN
PERBAIKAN / PENCEGAHAN

VERIFIKASI AUDIT
PHASE 4 – TINDAK LANJUT AUDIT
IDENTIFIKASI PENYEBAB & TINDAKAN
PERBAIKAN / PENCEGAHAN DAN
IMPLEMENTASI SERTA VERIFIKASI

1. Pelajari hasil audit

2. Tentukan tindakan perbaikan langsung
3. Identifikasi masalah yang memerlukan tindakan
pencegahan - koordinasi dengan Wakil
Manajemen (bila perlu)
4. Mengumpulkan masukan mengenai
kemungkinan penyebab
5. Mengumpulkan dan menganalisa data
6. Menentukan tindakan koreksi (yang mencegah
terulangnya kembali masalah
7. Melaksanakan tindakan koreksi - tepat waktu
8. Mengawasi hasil
9. Bila tidak efektif, ulang mulai #4
10. Melaporkan hasil
TERIMA KASIH