UNIVERSITAS INDONESIA

Rangkuman Materi Pertemuan 13

“QUALITY ASSURANCE”
AUDIT INTERNAL

AYU DIAR SARI

AULIYA ZULFATILLAH
RININTA AMANDARI

FAKULTAS EKONOMI
PROGRAM STUDI S1 AKUNTANSI
DEPOK, DESEMBER 2014
 STATEMENT OF AUTHORSHIP

“Kami yang bertandatangan dibawah ini menyatakan bahwa tugas terlampir

adalah murni hasil pekerjaan kami sendiri. Tidak ada pekerjaan orang lain yang
kami gunakan tanpa menyebutkan sumbernya.

Materi ini belum pernah disajikan/digunakan sebagai bahan untuk tugas pada
mata ajaran lain kecuali kami menyatakan dengan jelas bahwa kami menyatakan
dengan jelas menggunakannya.

Kami memahami bahwa tugas yang kami kumpulkan ini dapat diperbanyak dan
atau dikomunikasikan untuk tujuan mendeteksi adanya plagiarisme.”

Mata Kuliah : Audit Internal

Judul Makalah/Tugas : Quality Assurance
Tanggal : 09 Desember 2014
Dosen : Lutfi Julian

Nama : Auliya Zulfatillah Nama : Ayu Diar Sari

NPM : 1106012533 NPM : 1106003781
Tandatangan : Tandatangan :

Nama : Rininta A
NPM :1206266965
Tandatangan :
 Chapter 30
ISO 27001, ISO 9000, and International Standards
Background
Selepas perang dunia 2, Amerika Serikat muncul sebagai negara dengan
kekuatan terbesar yang mendominasi kehidupan ekonomi dan politik dunia.
Dominasi ini begitu besar sehingga banyak perusahaan di Amerika Serikat
mengabaikan beberapa standar praktik komersial terbaik yang ada di negara-
negara lain, terlepas dari fakta bahwa kini perekonomian Amerika Serikat
terhubung secara global dengan perekonomian seluruh negara di dunia. Hal ini
disebabkan masing-masing negara mempunyai standar praktik komersial yang
berbeda-beda, yang dikembangkan menurut tingkat kebutuhan nasional dari
negara-negara tersebut.
Namun kemudian, muncul kesadaran untuk membuat suatu standar yang
sama yang berlaku secara global dan dapat dipraktikkan di seluruh negara di
dunia. Standar internasional tersebut bernama The International Organization for
Standardization (ISO) yang kantor pusatnya berkedudukan di Jenewa, Swiss.
Standar ini mengatur beberapa lingkup area sekaligus, dari mulai bagaimana
pemasangan mesin mobil yang aman, ukuran ketebalan kartu kredit yang
dikeluarkan, hingga standar kualitas dari teknologi informasi yang digunakan oleh
perusahaan. Beberapa tahun belakangan, lingkup area yang dicakup oleh ISO ini
semakin diperluas untuk mengatur standar kualitas tata kelola perusahaan yang
baik.
Bagi seorang internal auditor, sangatlah penting untuk memahami peran dari
adanya standar ISO ini bagi perusahaan. Tata kelola dan implementasi dari ISO
standar ini akan sangat membantu auditor internal dalam melakukan tugas
auditnya di kantor perusahaan, terlebih lagi di area produksi perusahaan tersebut.
Pada Bab kali ini akan dibahas beberapa standar ISO yang sangat penting untuk
dipahami oleh seorang internal auditor. Fokus utama dalam bab ini adalah ISO
9001 tentang standar kualitas dan ISO 27001 tentang standar keamanan komputer.
Selain itu juga akan dibahas standar ISO yang mengatur tentang manajemen IT
sistem dan manajemen kualitas.
I. Peranan dan Pentingnya ISO Standar
ISO bertanggung jawab untuk menerbitkan dan mengembangkan berbagai
macam standar internasional yang melingkupi banyak area bisnis dan proses
kegiatan industri yang ada di seluruh dunia. Beberapa standar tersebut bersifat
umum, seperti ISO 14001 yang mengatur tentang sistem kontrol lingkungan yang
efektif, sementara sebagian lagi bersifat sangat rinci dan mendetail, seperti salah
satu standar yang mengatur tentang ukuran dan tingkat ketebalan kartu kredit.
Kedua jenis standar yang berbeda sifatnya ini mempunyai manfaatnya masing-
masing.
Standar ISO dibuat dan dikembangkan melalui serangkaian proses kerjasama
dari banyak lembaga standar nasional yang ada di masing-masing negara di dunia.
Proses pembuatan standar ini sendiri dimulai dengan adanya pembahasan
mengenai suatu standar baru yang dibutuhkan di area tertentu. Sebagai contoh,
ISO 27001 yang berisi tentang persyaratan tingkat tinggi yang dibutuhkan
perusahaan untuk keamanan informasi yang efektif dalam sistem manajemen
dibuat atas hasil kerjasama Komite Teknik Internasional yang disponsori oleh ISO
dengan International Electrotechnical Commission. Dalam isiannya, standar
tersebut tidak secara spesifik menjelaskan rincian persyaratan yang harus dipenuhi
perusahaan, namun lebih kepada saran tentang apa yang harus perusahaan lakukan
untuk mencapai tujuan yang terkandung dalam standar ISO tersebut.
Karena banyaknya pihak yang terlibat dalam proses pembuatan satu standar
ISO, maka wajar apabila untuk membentuk suatu standar baru akan memerlukan
waktu yang sangat panjang dan lama. Pertama, sebuah komite yang terdiri dari
para ahli akan membuat draft atau rancangan awal dari standar yang akan
dikembangkan tersebut. Draft tersebut kemudian akan ditinjau dan dibicarakan
bersama dengan para pakar untuk kemudian dikembalikan lagi ke Komite Ahli.
Setelah draft tersebut dikembalikan, Komite Ahli akan terus menyempurnakan
draft tersebut sesuai dengan pendapat para pakar. Barulah setelah serangkaian
proses penyempurnaan, draft tersebut dapat disetujui untuk kemudian diterbitkan
sebagai sebuah standar. Setelah standar tersebut diterbitkan, perusahaan di bidang
yang terkait dengan standar tersebut harus segera mengaplikasikannya. Dan untuk
membuktikan bahwa perusahaan telah mengaplikasikan standar tersebut dengan
baik dan benar, dikontraklah eksternal auditor untuk melakukan pemeriksaan atas
hal tersebut.
Berbeda dengan pedoman praktik Information Technology Infrastructure
Library (ITIL) yang sudah dibahas sebelumnya, standar ISO dikontrol dengan
ketat. Standar yang diterbitkan benar-benar dikontrol melalui serangkaian proteksi
hak cipta yang dimiliki oleh Organisasi ISO tersebut, sehingga tidaklah
memungkinkan untuk mencari dan mengunduh standar-standar tersebut melalui
Google Search. Apabila seseorang atau perusahaan ingin mengunduh suatu
standar, maka ia harus membeli standar tersebut melalui situs resmi ISO. Selain
itu, beberapa referensi dan petunjuk yang ada dalam standar ini sangatlah jelas,
mudah dimengerti, tidak bersifat ambigu dan kadang juga menyertakan langkah
follow up yang harus diambil oleh perusahaan. Standar ISO juga lebih
komprehensif karena membahas lebih dari sekedar praktik terbaik yang dapat
diambil oleh perusahaan, namun juga mendalami tentang pengukuran kinerja dari
perusahaan tersebut apabila dibandingkan dengan perusahaan sejenis. Dan dengan
mengikuti standar yang berlaku dan diterima di seluruh dunia, perusahaan dapat
menunjukkan bahwa mereka telah beroperasi secara konsisten dan sesuai dengan
standar internasional.
Seperti yang telah dijelaskan sebelumnya, untuk menunjukkan bahwa suatu
perusahaan telah menerapkan standar ISO dengan baik, mereka harus menyewa
auditor eksternal untuk melakukan pemeriksaan atas hal tersebut. Proses yang
dilakukan oleh auditor eksternal dalam rangka mencari tahu tingkat kepatuhan
perusahaan dalam menerapkan standar ISO secara garis besar tidaklah jauh
berbeda dengan proses pemeriksaan laporan keuangan yang biasanya dilakukan
oleh financial eksternal auditor. Disini eksternal auditor harus memeriksa apakah
penerapan kegiatan operasional perusahaan sudah sesuai dengan standar ISO atau
belum. Dan setelah diperiksa, auditor eksternal dapat mengeluarkan opininya atau
sertifikasinya. Keuntungan bagi perusahaan apabila ia memperoleh sertifikasi
yang baik dari auditor eksternal, perusahaan tersebut dapat mempromosikan pada
berbagai pihak, seperti konsumen atau pemegang saham, bahwa mereka telah
menerapkan standar ISO dengan baik.
II. Tinjauan Atas Standar ISO
Kini dengan adanya peraturan SEC, seluruh perusahaan publik yang listing di
bursa efek diharuskan menerbitkan laporan keuangan yang telah diaudit (yang
berarti telah diperiksa apakah laporan keuangan tersebut sesuai dengan IFRS atau
tidak). Bagi perusahaan sendiri, apabila mereka mendapatkan opini audit yang
buruk atas laporan keuangannya maka akan berdampak negatif bagi nilai
perusahaan di bursa efek. Sementara itu, kesesuaian praktik perusahaan dengan
standar ISO yang tepat belum diwajibkan oleh SEC dan hanya bersifat sukarela.
Walaupun begitu, kesesuaian operasi perusahaan dengan standar ISO akan
berdampak sangat menguntungkan bagi perusahaan kedepannya.
Bagi internal auditor, memahami dan mempelajari sistem kualitas standar
ISO dan bagaimana penerapannya di perusahaan sangatlah penting. Beberapa
standar, seperti ketebalan dan ukuran kartu kredit, memiliki peranan yang sangat
besar bagi aktifitas penjualan perusahaan secara global. Disini, tugas internal
auditorlah untuk memeriksa tingkat kepatuhan berbagai macam aktifitas yang ada
di perusahaan dengan standar ISO yang telah diterbitkan.
a) ISO 9000 Quality Management Systems dan Sarbanes-Oxley
Apabila ditinjau ke belakang, pembentukan ISO 9000 sebenarnya berkaitan
erat dengan masalah yang terjadi pada Perang Dunia II. Masalah tersebut adalah
tidak adanya keseragaman kualitas produk, walaupun kuantitas produk yang
dihasilkan amatlah banyak. Walaupun produk yang dihasilkan hanyalah berupa
peluru ataupun bom, tetap diperlukan pengawasan yang ketat akan kualitas kedua
produk tersebut. Masalah ini mulai terpecahkan ketika Pihak Sekutu mulai
menciptakan suatu standar yang meyakinkan mengenai kualitas produk,
bermunculannya para ahli di bidang industri dan adanya quality control specialist.
Setelah perang usai, didirikanlah ISO yang merupakan bagian dari General
Agreement on Trade and Tariffs. ISO 9000 sendiri termasuk standar yang paling
awal dibuat oleh organisasi ini.
Jepang, salah satu negara yang kalah perang dan harus membangun kembali
sendi-sendi perekonomiannya yang hancur akibat perang, mulai menerapkan
quality management systems pada tahun 1950an dan 1960an. Di tahun tersebut,
Jepang mulai mendatangkan para pakar dibidang quality systems, seperti W.
Edwards Deming. Namun diluar itu, filosofi dan teknik yang diterapkan oleh
bangsa Jepanglah yang akhirnya membuat industri mereka dibidang otomotif dan
alat elektronik mulai merambah ke pasar Amerika Serikat dan Eropa di tahun
1970. Hal ini tidak terlepas dari kualitas produk mereka yang teramat baik dan
disukai oleh konsumen.
ISO 9000 merupakan bagian yang penting dalam kumpulan standar yang
mengatur tentang quality management systems. Standar ini meliputi persyaratan
untuk hal-hal seperti:
 Proses pemantauan untuk memastikan kegiatan atau aktifitas berjalan
dengan efektif.
 Menjaga catatan yang memadai.
 Memeriksa output dari adanya cacat pada produk, dengan pengambilan
tindakan perbaikan yang sesuai apabila diperlukan.
 Secara teratur meninjau proses individu dan sistem kualitas itu sendiri
untuk melihat seberapa efektif pelaksanaanya.
 Memfasilitasi adanya peningkatan proses secara berkelanjutan.
Masing-masing poin mengacu pada proses yang harus dilakukan, bukan
tindakan spesifik yang harus diambil. Sementara itu untuk menilai seberapa besar
tingkat kepatuhannya dengan standar, seperti yang telah dijelaskan sebelumnya,
diperlukan pemeriksaan yang mendalam oleh auditor eksternal.
i. Proses Dokumentasi Pada ISO 9000
ISO 9000 dan standar ISO lainnya memberlakukan persyaratan
dokumentasi yang cukup berat pada suatu perusahaan. Tidaklah cukup
bagi perusahaan dengan hanya mengklaim bahwa beberapa proses telah
didokumentasikan sekali. Harus ada proses yang berkelanjutan untuk
menjaga dokumentasi yang ada saat ini dari waktu ke waktu. Dalam
beberapa tahun terakhir sendiri, telah banyak perusahaan yang berusaha
mendokumentasi kegiatannya, namun tidak berjalan dengan tetap setiap
tahunnya. Hal ini senada dengan apa yang biasanya dihadapi oleh auditor
internal. Biasanya auditor internal akan bertanya apakah suatu aktifitas
telah didokumentasikan dan apakah dokumentasinya dapat direview
kembali atau tidak. Kadangkala dapat terjadi suatu kegiatan tidak
didokumentasikan atau file dokumentasinya hilang. Dan untuk hal
tersebut auditor internal akan mencatatnya sebagai temuan audit dan akan
melakukan tindakan koreksi yang diperlukan. Dengan adanya penerapan
ISO 9000, auditor internal pastinya akan terbantu karena standar ini
mengharuskan sebuah perusahaan untuk memiliki dokumentasi atas
seluruh aktifitas pada semua tingkatan level.
Untuk lebih memperjelasnya, ISO 9000 sebenarnya bukanlah satu-
satunya standar yang ada, namun merupakan salah satu bagian dari
standar mutu dan panduan yang dibuat untuk perusahaan dan akan terus
menerus di update seiring berjalannya waktu. Standar lainnya adalah:
 ISO 9001. Standar mutu yang berkaitan dengan desain.
 ISO 9002. Standar mutu yang berkaitan dengan proses
manufaktur.
 ISO 9003. Standar mutu yang berkaitan dengan proses
manufaktur dan perakitan barang.
 ISO 9004. Pedoman dalam mendefinisikan quality system.

ISO 9000 adalah kumpulan standar untuk sistem perbaikan berbasis

kualitas terus-menerus atau berkelanjutan. Proses yang berkelanjutan ini
terdiri atas harus adanya pemantuan proses secara keseluruhan, adanya
tindakan yang direncanakan untuk melakukan perbaikan, dan adanya
pertimbangan atas tindakan yang akan diimplementasikan untuk
pemantauan berikutnya dan perbaikan lebih lanjut, seperti yang terlihat
pada gambar di atas.
Dokumentasi yang solid dan akurat sangatlah penting bagi suatu
perusahaan yang ingin mengklaim bahwa operasinya telah sesuai standar
ISO. Salah satu panduan yang diterapkan oleh ISO adalah dengan adanya
penerapan sistem hirarki dalam penerapan proses dokumentasi di
perusahaan, yang dimulai dari tingkatan paling atas yang berisi manual
yang menjelaskan aspek apa yang dilakukan hingga tingkatan paling
bawah yang berisi dokumen dan form yang berupa supporting materials,
proses dokumentasi seperti pada gambar dibawah sangatlah penting
untuk mendukung adanya quality management system dan tentu
diperlukan untuk mendapatkan sertifikasi ISO dari auditor eksternal.

Paragraf diatas telah mengemukakan pentingnya ISO 9000 bagi proses

manajeman kualitas diperusahaan. Sayangnya, IIA belum menyarankan
bahwa standar ISO 9000 ini wajib diaplikasikan oleh perusahaan. Satu-
satunya artikel yang dikeluarkan oleh IIA hanyalah saran untuk
menerapkan standar ISO 9001 dan 14001 sebagai pasangan dari COSO
internal control Framework untuk membantu perusahaan dalam
mengatasi resiko yang mungkin berdampak pada finansial perusahan.
Dapat dilihat disini bahwa IIA tidak sepenuhnya antusias dalam berusaha
 menerapkan dan menegakkan penggunaan standar ISO. Sangatlah
berbeda dengan AICPA yang menjadi organisasi pertama di dunia yang
berhasil meraih sertifikasi atas standar ISO 9001.
ii. ISO 9000 AND SARBANAS-OXLEYS: COMMON THREADS
Banyak para manajer keuangan dan auditor internal yang beranggapan
bahwa mereka terlalu sibuk dengan penerapan Sarbanas Oxley (SOx) dan
mereka bertanya-tanya kenapa mereka juga harus menerapkan ISO
standard. William A. Stimson membandingkan ISO 9000 dan SOx dan
menemukan hal-hal berikut ini:
 Sox Title II terkait independensi auditor sangat mirip dengan ISO
9001
 SOx Title III terkait tanggung jawab pelaporan keuangan
perusahaan (Section 302) mirip dengan ISO 9001 yang
menyatakan eksekutive komite harus memverifikasi laporan
untuk memastikan kelengkapan konten pelaporan.
 SOx Title IV pengungkapan keuangan, mirip dengan ISO 9001
terkait tanggungjawab manajemen untuk kualitas sistem
manajemen.
 SOx Title VIII pada akuntabilitas kecuraangan, yang mirip
dengan ISO 9001 terkait tanggungjawab manajer untuk
pencatatan dan pendokumentasian.
 ISO standard, persyaratan ISO 9000 outline untuk peningkatan yang
terus menerus dari kualitas sistem manajemen. Perusahaan harus
menerima masukan dari costumer untuk menginisiasi proses peningkatan
yang terus-menerus. List Exhibit 30.4 high level key element of ISO
9000, dimana setiap seksi ditunjang dengan hal-hal yang lebih detail.
Lalu, Exhibit 30.5 on section 8.2.2, internal auditing, menunjukkkan
konten terkait persyaratan auditing pada ISO standard. Persyaratan
tersebut dibangaun pada sebuah paragraf. Auditing pada exhibit tersebut
merujuk pada ASQ quality auditor yang didiskusikan pada chapter 31.

b) IT Security Standard: ISO 17799 and 27001

ISO 17799 pertamakali diterbitkan di United Kingdom sebagai BS7799 pada
1995 dan dilakukan pembaruan dari tahun ketahun menjadi ISO 17799: 2005,
dan sedang direncanakan untuk diperbarui lagi menjadi ISO 27002. Saat ini, ISO
17799 memaparkan pentingnya IT-related security standard yang di design untuk
membantu perusahaan memanajemen praktek IS-nya.
ISO 17799 adalah standar mengenai informasi dan IS secara umum dan hal-
hal terkait lainnya. Semenjak informasi dapat bermacam-macam jenisnya, standar
ini mengambil ruang yang sangat luas yaitu:
 File Data dan elektronik softwere.
 Semua format kertas dokumentasi termasuk material cetak, catatan tulisan
tangan, dan foto.
 Rekaman audio dan video.
 Percakapan telefon beserta, e-mail, fax, video, dan bentuk pesan lainnya.
Konsepnya adalah setiap bentuk dari informasi memiliki nilai dan penting
untuk dilindungi seperti halnya asset perusahaan lainnya. Banyak perusahaan
sekarang tidak menyadari standar pengamanan untuk bagian ini, akan tetapi ISO
standard mendorong mereka untuk menerapkan hal tersebut. Oleh karena itu,
infrastruktur penunjang informasi tersebut seperti jaringan, sisitem, juga harus
dilindungi dari berbagai macam ancaman, termasuk human error dan bencana lain
dari luar.
Seperti standar ISO lainnya, publikasi ini tidak menggambarkan secara jelas
hal-hal apa saja yang patut dilindungi. Akan tetapi lebih kepada area mana saja
yang seharusnya diterapkan standar pengamannan terhadapnya. Exhibit 30.6
menggariskan haigh-level standar area yang dibicarakan pada ISO 17799. Karena
ISO 17799 tidak menspesifikasikan hal-hal yang harus dilindungi maka
perusahaan harus membuat turunan dari standar ini dengan penyesuaian yang
diperlukan.
Langkah pertama dalam penerapan ISO 17799 adalah perusahaan harus
mengidentifkasi kebutuhan IS-nya sendiri. Dari sini akan menghasilkan risk
assessment yang sesuai dangan COSO Enterprise Risk Managenet (COSO ERM).
Dengan ini akan diketahui juga ancaman mana yang sering dialami dan wilayah
apa saja yang rentan terkena.
 Perusahaan harus dapat mengidentifikasi dan memahami semua aturan,
undang-undang atau hukum lainnya tekait hal ini dan terkait pihak-pihak yang
berhubungan dengan perusahaan seperti partner jual beli, kontraktor, dan penyedia
layanan.

c) IT Security Technique Requirement: ISO 27001

Saat ISO 17799 adalah high-level code terkait security kontrol, ISO 27001
adalah spesifikasi dari Information Security System. Ini adalah standar yang
dibuat untuk mengukur, memonitor, dan kontrol menajemen security dari atas
hingga bawah. Standar ini mendefinisikan cara untuk mengaplikasikan ISO
17799 menjadi 6 bagian:
1. Mendefinisikan kebijakan security. Hal fundamental untuk menjadi
rujukan pengukuran nantinya.
2. Mendefinisikan ruang lingkup ISMS. ISO 17799 mendefinisikan area
secara luas, oleh karena itu tidak perlu/tepat diterapkan untuk semua
perusahaan. Maka mendefinisikan serara khusus untuk perusahaan harus
dilakukan.
3. Melakukan Risk Assesment. Perusahaan harus mendefinisikan
metodologi risk assesment yang sesuai dengan lingkungan ISMS, lalu
mengembangkan kriteria untuk penerimaan resiko, dan menentukan level
of risk yang dapat diterima.
4. Manajemen Resiko. ini adalah proses yang mencakup identifikasi resiko,
analisa resiko, dan opsi penaggulangan ancaman tersebut.
5. Memilih kontrol objektif dan kontrol yang akan dilaksanakan. Sejalan
dengan audit dan kontrol proses dalam perencanaan dan pelaksanaan audit
internal.
6. Menyusun pernyataan aplikasi. Adalah dokumen resmi untuk
melakukan proses dokumentasi ISMS.
Seperti yang kita amati pada tahapan diatas, bahwa analisa resiko dan
kebijakan pengamanan adalah hal yang sangat fundamental pada standar ini.
 THE FUTURE
ISO 17799 (segera bernama ISO 27002) dan ISO 27001 telah menjadi standar
global yang telah di terapkan di Eropa. Kedepannya sepertinya akan berkembang
ke arah control framework seperti CobiT.

d) Service QualityManajement: ISO 20000

ISO 20000 memaparkan pelayanan menajemen terkait ITIL. Standar ini
terdiri dari dua bagian, Part I pengimplementasian service managenen dan part II
praktek dari service manajemen. Part I menspesifikasikan kebutuhan dari proses
pendokumentasian service manajemen seperti merumuskan syarat, perubahan atau
pembaharuan, hubungan pendokumentasian, kontrol, resolusi, dan prosoes
pemberhentian. Standar ini juga mempromosikan penggunaan proses yang
terintegrasi pada pelayanan manajemen agar seiring dengan pasar dan permintaan
costumer. Selain itu, ISO 20000 ini sangat sesuai dengan ITIL framework.

III. ISO 19011 Quality Management Systems Auditing

ISO 19011 ini sangat kuat hubungannya dengan ASQ quality audit standard
yang akan didiskusikan pada chapter 31. Secara garis besar mencakup:
1. Urgensi pemaparan yang jelas dari prinsip sistem audit sistem
manajemen.
2. Petunjuk untuk program audit manajemen.
3. Petunjuk aturan audit internal atau eksternal.
4. Saran terhadap kompetensi dan evaluasi auditor.
Standar ini memaparkan 5 prinsip audit:
1. Ethical conduct. Audit harus dilakukan dengan jujur dan benar.
2. Fair presentation (Penyajian yang seimbang). Auditor harus adil dalam
memberikan laporan audit
3. Menjalankan hak profesional care. Auditor harus melakukan hal yang
memiliki landasan dan diharapkan.
4. Independensi. Auditor harus menghidari konflik kepentingan untuk
menjaga integritas mereka.
 5. Evidence-Based approach. Auditor harus melakukan investigasi terlebih
dahulu baru melaporkan fakta.
Exhibit 30.7 menunjukkan prinsip ISO 19011 dan turunannya

IV. ISO Standards and Internal Auditors

Perusahaan hari demi hari semakin mudah melakukan transaksi, oleh karena
itu ISO standard menjadi lebih penting juga. Auditor juga harus memahami
standar tersbeut, bagaimana implementasinya dan cara pengauditannya. Dimasa
depan, pengetahuan akan ISO dapat menjadi syarat pengetahuan standar para
auditor.
 Chapter 31

Quality Assurance Auditing and ASQ Standard

31.1 Duties and Responsibilities of Quality auditors

Fokus dari buku ini terdapat dalam standar auditor internal yang dimuat oleh IIA,
CIAs dan CPA. Ternyata ada profesi yang juga mengacu kepada standar tersebut. Ada
banyak professional auditor yang tergabung dalam American Society Quality (ASQ)
professional organization, mereka memiliki kesamaan dengan auditor internal dan
memiliki standar, kode etik dan sertifikasi nya tersendiri. Mereka disebut Quality auditor
dan bertanggung jawab dalam melakukan review standar ISO atas kesesuaian, efisiensi
dan kualitas proses operasi perusahaan tersebut. Quality audit Divison (QAD) miliki ASQ
bertanggungjawab terhadap audit yang dilakukan berdasarkan standar ISO. ASQ dan
QAD mendefinisikan berbagai level audit, yakni :

1. Self-audits
Audit kualitas yang dilakukan oleh internal perusahaan untuk mereview
kesesuian berdasarkan standar kualitas ISO
2. Second-party audits
Audit yang dilakukan Quality auditor sebuah perusahaan saat mereview
salah satu supplier perusahaan tersebut.
3. Third-party audits
Audit yang dilakukan oleh organisasi independen

ASQ menggunakan istilah ‘auditor’ untuk ‘Quality auditor’ , perubahan ini

terjadi karena perlebaran model professional ASQ. Gambar 31.1 menerangkan klasifikasi
Quality audit, siapa yang membutuhkan assurance tersebut dan supplier ASQ.
Framework Quality auditor tersebut berbeda dengan framework IIA internal auditor.
Framework menimbulkan kebingungan karena ASQ membagi Quality auditor menjadi
dua, yakni internal auditor yang meriviu kontrol, standar dalam perusahaan dan eksternal
auditor yang memberikan jasa third-party review pada perusahaan lain dan memberikan
sertifikasi ISO.
 Berdasarkan AICPA eksternal auditor menurut istilah ASQ tidak memiliki
hubungan regular dengan laporan keuangan, istilah Quality auditor digunakan untuk
membedakannya dengan IIA-Internal Auditor. IIA memiliki sertifikasi Certified
Internal Auditor (CIA), ISACA memiliki sertifikasi Certified Information System
Auditor (CISA) dan ASQ memiliki sertifikasi Certified Quality auditor (CQA).

31.2 Role of the Quality auditor

ASQ memiliki prosedur, standar dan panduan audit kualitas yang serupa dengan
standar yang digunakan IIA auditor internal. Quality auditor biasanya tidak terlibat
dalam reviu internal kontrol atas keuangan dan IT perusahaan, mereka seringkali
merujuk pada standar industri internasional seperti ISO 9000. Proses audit yang
dilakukan Quality auditor seringkali jauh lebih kuantitatif dan matematis daripada jenis
audit IIA internal auditor. Cara kerja audit yang dilakukan Quality auditor memiliki
kesamaan dengan proses yang digunakan assurance pada kualitas produk manufaktur.
Gambar 31.2 menunjukkan bahwa Quality audit dapat dibentuk sebagai produk,
proses dan sistem audit berdasarkan ruang lingkup dan tujuannya.
  A product audit : penilaian terhadap final produk atau jasa berdasarkan
spesifikasi ‘fitness for use’ yang telah ditentukan
 A process audit : review dilakukan untuk memverifikasi kepatuhan atas
standar, metode, prosedur dan peraturan lainnya
 A system audit : audit yang menyeluruh, meliputi seluruh aspek sistem
kontrol perusahaan

Berdasarkan tipenya, Quality audit jauh lebih analitis dalam melaukan

pendekatan dibanding tipe IIA internal auditor. Hal tersebut terjadi karena kebanyakan
Quality auditor adalah engineering daripada akuntan. Beragam alasan tersebut
menjelaskan mengapa Quality auditor melapor pada divisi produksi, alih-alih kepada
CAE dan komite audit. Tools dan teknik yang digunakan Quality auditor juga seringkali
berbeda dengan IIA internal auditor. Contohnya penggunaan pareto chart untuk menilai
event mana yang paling mmpengaruhi dan butuh perhatian lebih ketat.
 Standar ISO 9000 berpengaruh signifikan dalam konteks Quality audit. Standar ini
digunakan pada level internasional dan mengubah peran Quality auditor. Standar ISO
menetapkan syarat yang harus dipenuhi auditor internal dan meminta manajemen
perusahaan melakukan review terhadap standar quality management perusahaan,
impelementasi dan efektifitas pengelolaannya.

Standar ISO lainnya yang mengatur Quality audit adalah Internal ISMS Audit. Standar
tersebut menyatakan hal berikut ini :

Beragam alasan diatas mendukung bahwa perusahaan yang membuat atau

menggunakan sertifikasi standar tertentu harus memiliki fungsi Quality audit.
DIbandingkan dengan auditor internal, Quality auditor jauh lebih informal dalam cara
kerja nya dan sering melakukan improvement based test. Tes dilakukan berdasarkan
review yang sebelumnya telah dilakukan, Quality auditor harus menganalisa trend an
kelemahannya untuk terus melakukan improvisasi. Hasil yang diperoleh lalu
dibandingkan dengan target, tujuan dan analisa proses untuk mengidentifikasi resiko,
inefisiensi, peluang untuk improvisasi dan tren negative nya. Hasil tes ini dapat
memberikan rekomendasi untuk mengubah prosedur.
31.3 Performing ASQ Quality audit

Praktek Quality audit ASQ membawa perspektif yang berbeda terhadap audit.
Quality audit dinilai sedemikian penting dalam mengukur kepatuhan terhadap standar
ISO. Untuk melakukan review, tim Quality audit melakukan siklus plan, do, check, act
(PDCA) sebagai berikut :

1. Plan
Apa tujuan dari Quality audit team? Perubahan apa yang diinginkan dan data apa
yang dibutuhkan? Tipe dari pengujian apa yang dibutuhkan? Bagaimana operasi
diobservasi?

2. Do
Melakukan pengujian yang direncanakan.

3. Check
Mengobservasi hasil pengujian untuk mengembangkan kesimpulan awal

4. Act
Mempelajari semua hasil tes untuk menilai apa yang sudah dipelajari dan
membuat prediksi atas hasil tersebut. Menggunakan hasil tes, Quality auditor
memilih area yang butuh peningkatan

5. Repeat steps while gaining more knowledge

Mengulangi rangkaian proses tersebut untuk menambah pengetahuan dan
meningkatkan improvisasi
Quality auditor tertarik menilai kepatuhan berdasarkan standar yang ada dengan
tujuan sebagai berikut:

 Memverifikasi sistem yang sudah diimplementasikan benar-benar berjalan

 Memverifikasi bahwa supporting training program sifatnya cost effective
 Mengidentifikasi orang atau grup yang tidak mengikuti prosedur
 Menyediakan bukti ke manajemen dan lainnya bahwa proses berjalan dan
didokumentasikan
Quality audit dilakukan serupa dengan IIA Internal audit yakni mengembangkan audit
plan, melakukan prosedur audit yang direncanakan dan membuat audit report.
 Exhibit 31.6 menunjukkan outline langkah dalam proses Quality audit yang
serupa dengan yang digunakan IIA internal auditor. Perbedaan utamanya adalah Quality
auditor lebih banyak terlibat dalam correcting audit findings dan membuat inisiasi
corrective action. Berbeda dengan IIA internal auditor yang menilai kelemahan pada
control dan melaukan pemeriksaan untuk menentukan corrective action yang harus
diimplementasikan.

31.4 Quality auditors and the IIA Internal Auditor

Seiring perkembangan jaman Quality auditing berganti menjadi hanya auditing

saja. ISO pun mendefinisikan auditing sebagai “proses yang sistematis, independen dan
terdokumentasikan untuk mendapatkan bukti audit dan mengevaluasinya secara obyektif
untuk menentukan dimana kriteria audit sudah terjadi. Dalam beberapa perusahaan saat
ini, CAE biasanya terlibat dalam fungsi audit kualitas perusahaan dalam setidaknya
courtesy level.

31.5 Quality Assurance Reviews of the Internal Audit Function

Auditor intern memiliki peran istimewa atas jasanya terhadap manajemen suatu
perusahaan. Seperti yang telah dijelaskan di chapter-chapter sebelumnya bahwa
auditor intern melakukan kunjungan ke suatu unit yang ada di dalam perusahaan,
mengulas pengendaliannya, dan memberikan rekomendasi untuk memperbaiki.
Auditor intern modern menggunakan International Standards for the Professional
Practice of Internal Auditing dan juga beberapa prosedur pendukung lainnya.
Fungsi audit intern modern yang efektif harus melihat dirinya dari waktu ke waktu
untuk menentukan apakah komponennya telah sesuai dengan praktik dan prosedur
audit intern yang baik. QA review ini membuat fungsi audit intern untuk menilai
kualitas prosedurnya dan apakah sesuai dengan standar audit intern. Bagian ini
mendeskripsikan elemen yang harus dimasukkan dalam program QA audit intern
dan mendeskripsikan bagaimana audit intern dapat membuat program untuk
menjalakan ulasan ini.

(a) Benefits of an Internal Audit QA Review

Audit internal perlu cara untuk mengukur dirinya sendiri dan untuk
membangun insentif agar dapat melakukan pekerjaan yang lebih baik. Ini
adalah salah satu manfaat nyata dari kajian QA audit internal. Kajian
tersebut memungkinkan audit internal untuk menunjukkan kepada
manajemen bahwa mereka telah melakukan pekerjaan yang baik atau
mengambil tindakan korektif bila ada yang harus diperbaiki.

(i) Benefits to Internal Audit

Audit internal berbeda dengan fungsi operasi lainnya yang biasanya ada di
perusahaan dan tidak bisa dievaluasi dengan perhitungan umum seperti
keberhasilan dalam penjualan, produksi atau efisiensi administratif. QA
review dapat membuat peninjau dari luar menilai seberapa baik fungsi
audit internal telah sesuai dengan standar audit internal atau apakah
efisiensi yang lebih baik dapat dicapai.

(ii) Benefits to Management

Semua anggota manajemen akan mendapatkan manfaat dari fungsi audit
internal yang efisien dan efektif. Temuan akan program yang baik
berdasarkan QA Review dapat menunjukkan audit yang lebih baik dan
lebih efisien. Audit intern adalah komponen kuat dalam sistem
pengendalian internal. Audit internal memperlihatkan hasil dari kajian QA
kepada beberapa level manajemen senior.

(b) Elements of an Internal Audit Quality-Assurance Review

QA Review audit internal adalah proses formal yang mirip dengan
prosedur audit lainnya. Untuk melakukan review tersebut harus dilakukan
perencanaan yang tepat, mengikuti program audit yang formal, dan
 dilakukan oleh pengulas berkualitas yang memiliki tingkat independensi
yang sesuai. Siapapun yang melakukan pengulasan, review harus
mengikuti standar independensi dan objektivitas dalam audit internal.
Menetapkan syarat apa saja yang dibutuhkan untuk review adalah langkah
utama yang penting untuk meluncurkan fungsi review kualitas audit
internal. Review yang dilakukan harus terkonsentrasi terhadap kesesuaian
antara audit internal dengan standard IIA. Tujuan dari pendekatan dengan
cara review ini adalah untuk mengukur kualitas keseluruhan prosedur
audit internal itu sendiri. Dalam beberapa kasus, jika pengulas menemukan
bahwa audit tertentu yang sudah lengkap tidak mengikuti prosedur audit
internal yang baik, program review secara langsung atau tindakan korektif
harus segera ditetapkan.

(c) Who Performs the Quality-Assurance Review?

Meskipun CAE harus melihat nilai dari tinjauan QA, pihak pengulas
independen sering dibutuhkan. Dalam departemen audit internal multiunit
yang besar, tim auditor internal perusahaan dan yang lainnya dari unit
divisi yang berbeda sering kali dapat melakukan tinjauan QA akan unit
divisi lainnya. Pihak luar yang dapat melakukan QA review termasuk
kantor akuntan publik, konsultan yang spesialisasinya untuk melakukan
QA review, atau auditor internal dari perusahaan lain. Sebagai pilihan lain,
IIA memiliki program review di mana ia dapat menjadwalkan tim
profesional relawan untuk melakukan review. Fungsi audit internal yang
lebih besar juga dapat membuat program quality-review yang efektif
dengan menetapkan auditor internal berkualitas untuk bertanggung jawab
melakukan review tersebut.

31.6 Launching the Internal Audit Quality-Assurance Review

CAE harus memimpin dalam meluncurkan program quality review audit internal
jika fungsi QA formal tidak siap. Tidak masalah siapa yang memulai review, tapi
staf audit internal akan menyadari adanya hal penting bila CAE menginisiasi
proses tersebut. Jika auditor luar, misalnya yang menyarankan pelaksanaan review
tersebut kepada anggota komite audit, semua pihak akan bertanya-tanya apa yang
salah dengan audit internal. Tetapi jika audit internal itu sendiri yang berinisiatif
memulai proses, akan terdapat fleksibilitas yang lebih besar untuk menyarankan
pihak mana yang paling tepat untuk melakukan review. Self-assesment review
dimana anggota dari audit intern melakukan review terhadap aktivitas audit
mereka sendiri cocok untuk perusahaan yang cenderung kecil.

(a) Quality-Assurance Review Approaches

Fungsi audit internal untuk meluncurkan program QA review perlu
membuat beberapa perencanaan dan keputusan dasar. Selain memutuskan
siapa yang akan melakukan review, manajemen audit internal harus
memutuskan pada ruang lingkup, kedalaman, dan keluasan review yang
akan dilakukan. Lingkup disini menyiratkan jumlah detail yang akan
dimasukkan dalam setiap review. Kedalaman di sini mengacu pada jumlah
detail yang akan dimasukkan dalam review QA dari berbagai area.
Breadth, seperti yang digunakan di sini, mengacu pada jumlah unit yang
akan disertakan dalam setiap review QA.

(b) Example Quality-Assurance Review of an Internal Audit Function

(i) QA Review Pleminary Planning
Tim audit internal yang melakukan QA review harus mengikuti prosedur
yang biasa digunakan bila melaksanakan audit internal, yang meliputi:
 Mengumumkan QA review yang telah direncanakan
 Menugaskan sumber daya yang ada untuk melakukan review
 Bertemu dengan manajemen audit internal
 Bertemu dengan anggota manajemen lainnya

(ii) QA Internal Audit Review Procedures

Review dilakukan dengan menginvestigasi prosedur dan standar yang
dipakai oleh internal auditor. Reviewer harus bisa memahami tentang
dokumentasi yang dibuat oleh internal auditor. Sebaiknya reviewer tidak
hanya melakukan review atas dokumen di periode ini, namun juga
mereview di periode sebelumnya agar bisa memperoleh pemahaman yg
lebih baik untuk melakukan testing.

Sampling dilakukan dengan tujuan untuk merepresentasikan semua area,

sehingga menggunakan metode judgemental sampling. Misal ketika
reviewer ingin mengetahui tentang analisis resiko oleh audit, maka
melakukan pemilihan sampel secara judgemental apakah telah dilakukan
analisis resiko dengan tepat.

Proses review sama dengan proses internal auditor yang terdiri dari
pemilihan sampel, pengujian, pengevaluasian dan pendokumentasian.

(iii) Reviews of Individual Completed Audits

Review juga dilakukan pada setiap department yang berbeda. Hal yang
perlu menjadi pertimbangan melakukan review di tiap departmen yaitu:
 Audit sampling used : review tidak boleh teralalu berdasarkan
internal auditor karena mereka menggunakan statistical sampling
dibanfing judgmental
 Compliance with accounting standard : jika audit keuangan banyak
bergantung kepada internal auditor, maka reviewer wajib
menentukan ketepatan penggunaan prosedur sesuai standar yang
berlaku
 Appropriate consideration of ITs : biasanya proses audit dilakukan
dengan menggunakan data dari IT, oleh sebab itu penting
melakukan review atas control terhadap IT baik yang general
control maupun application control
 Use of CAATTs : jika terdapat proses audit yang tidak
menggunakan CAATT, maka perlu diberikan kritikan
 Use other audit automation techniques : jika internal audit tidak
mendokumentasikan pekerjaanya dengan bantuan computer maka
perlu diberikan teguran atas hal tsb
Reviewer juga perlu mengkomunikasikan hasil reviewnya kepada internal auditor
untuk klarifikasi. Biasanya terdapat informasi tambahan yang tidak ada pada
workpaper sehingga memperjelas masalah sebeanrnya. Selain itu audit finding
dan report juga perlu direview. Reviewer tidak berfokus kepada kesalahan
grammar kalimat, tetapi memastikan apakah laporan tersebut telah disusun sesuai
standar department. Selain itu perlu memastikan waktu penerbitan laporan yang
tepat, karena agar informasi bisa segera direspon agar tidak menimbulkan
dampak.

(iv) Auditee Interviews and Surveys

Reviewer bisa melakukan benchmarking terhadap perusahaan lain, yaitu dengan
cara melakukan survey kepada internal auditor di perusahaan lain yang sejenis

(A) Quality-Assurance Auditee Interviews

Reviewer juga melakukan interview terhadap auditee untuk
mendapatkan pandangan tentang profesionalisme internal auditor
menurut auditee. Reviewer biasanya melakukan interview terhadap
satu auditee saja agar lebih terbuka jika dibandingkan dengan
menginterview banyak auditee. Namun auditee juga bisa
memberikan informasi palsu karena tidak ingin melukai perasaan
internal audit. Sang reviewer harus berfokus kepada permasalahan
tentang kesalahan prosedur bukan tentang pencarian oknum/orang
yang bersalah di internal audit. Reviewer juga wajib menjaga
kerahasiaan informasi yang diberikan oleh auditee

(B) Internal Audit Quality-Assurance Surveys

Biasanya survey dilakukan jika perusahaan mempunyai banyak
cabang di luar daerah sehingga cukup melakukan survey lewat
internet saja. Reviewer harus berhati hati dalam memberikan
pertanyaan agar tidak terjadi bias
 (C) Reporting the Results of an Internal Audit Quality-Assurance
Review
Hasil review dilaporkan kepada komite audit. Prosedur pelaporan
sama seperti dalam laporan internal audit, yaitu menyiapkan draft
beserta temuannya lalu setelah direspon baru diterbitkan laporanya.
Perbedaan antara laporan internal aduit dan laporan review adalah
pendistribusianya, dimana laporan review hanya disebarkan ke
CAE, komite audit dan beberapa internal audit terpilih. Di
perusahaan yang relative kecil tetap harus dilakukan proses review.
Jika tidak memungkinkan untuk ada pihak yang melakukan review
maka bisa menggunakan self assesement review melalui diskusi
terbuka dan kuisioner. Yang melakukan survey biasanya direktur
langsung atau jika tidak memungkinkan bisa dilakukan oleh HRD,
sehingga hasil survey bisa independen. Hasil dari survey ini harus
dikomunikasikan lagi ke staff internal audit sehingga mereka bisa
menentukan penuingkatan yang bisa dilakukan sesuai hasil survey
tsb.

31.7 Future Directions for Quality-Assurance Auditing

Dalam chapter ini membahas tentang quality assurance dari dua dimensi yaitu
kualitas auditor dan review atas standard & prosedur. Quality auditor dan internal
auditor berbeda. Kedua profesi ini diharapkan mampu berkembang bersama sama
di masa depan. Internal auditor perlu belajar stasitical dan analytical dari quality
auditor. Begitu juga quality auditor perlu belajar kedisiplinan dari internal auditor.

1300 – Quality Assurance and Improvement Program

The chief audit executive must develop and maintain a quality assurance and
improvement program that covers all aspects of the internal audit activity.
Interpretation:
A quality assurance and improvement program is designed to enable an evaluation
of the internal audit activity’s conformance with the Definition of Internal
Auditing and the Standards and an evaluation of whether internal auditors apply
the Code of Ethics. The program also assesses the efficiency and effectiveness of
the internal audit activity and identifies opportunities for improvement.
1310 – Requirements of the Quality Assurance and Improvement Program
The quality assurance and improvement program must include both internal and
external assessments.
1311 – Internal Assessments
Internal assessments must include:
 Ongoing monitoring of the performance of the internal audit activity; and
 Periodic self-assessments or assessments by other persons within the
organization with sufficient knowledge of internal audit practices.
Interpretation:
Ongoing monitoring is an integral part of the day-to-day supervision, review, and
measurement of the internal audit activity. Ongoing monitoring is incorporated
into the routine policies and practices used to manage the internal audit activity
and uses processes, tools, and information considered necessary to evaluate
conformance with the Definition of Internal Auditing, the Code of Ethics, and the
Standards.
Periodic assessments are conducted to evaluate conformance with the Definition
of Internal Auditing, the Code of Ethics, and the Standards.
Sufficient knowledge of internal audit practices requires at least an understanding
of all elements of the International Professional Practices Framework.
1312 - External Assessments
External assessments must be conducted at least once every five years by a
qualified, independent assessor or assessment team from outside the organization.
The chief audit executive must discuss with the board:
The form and frequency of external assessment; and
The qualifications and independence of the external assessor or assessment team,
including any potential conflict of interest.
Interpretation:
External assessments can be in the form of a full external assessment, or a self-
assessment with independent external validation.
A qualified assessor or assessment team demonstrates competence in two areas:
the professional practice of internal auditing and the external assessment process.
Competence can be demonstrated through a mixture of experience and theoretical
learning. Experience gained in organizations of similar size, complexity, sector or
industry, and technical issues is more valuable than less relevant experience. In
the case of an assessment team, not all members of the team need to have all the
competencies; it is the team as a whole that is qualified. The chief audit executive
uses professional judgment when assessing whether an assessor or assessment
team demonstrates sufficient competence to be qualified.
An independent assessor or assessment team means not having either a real or an
apparent conflict of interest and not being a part of, or under the control of, the
organization to which the internal audit activity belongs.
1320 – Reporting on the Quality Assurance and Improvement Program
The chief audit executive must communicate the results of the quality assurance
and improvement program to senior management and the board.
Interpretation:
The form, content, and frequency of communicating the results of the quality
assurance and improvement program is established through discussions with
senior management and the board and considers the responsibilities of the internal
audit activity and chief audit executive as contained in the internal audit charter.
To demonstrate conformance with the Definition of Internal Auditing, the Code of
Ethics, and the Standards, the results of external and periodic internal assessments
are communicated upon completion of such assessments and the results of
ongoing monitoring are communicated at least annually. The results include the
assessor’s or assessment team’s evaluation with respect to the degree of
conformance.
1321 – Use of “Conforms with the International Standards for the
Professional Practice of Internal Auditing”
The chief audit executive may state that the internal audit activity conforms with
the International Standards for the Professional Practice of Internal Auditing only
if the results of the quality assurance and improvement program support this
statement.
Interpretation:
The internal audit activity conforms with the Standards when it achieves the
outcomes described in the Definition of Internal Auditing, Code of Ethics, and
Standards. The results of the quality assurance and improvement program include
the results of both internal and external assessments. All internal audit activities
will have the results of internal assessments. Internal audit activities in existence
for at least five years will also have the results of external assessments.
1322 – Disclosure of Nonconformance
When nonconformance with the Definition of Internal Auditing, the Code of
Ethics, or the Standards impacts the overall scope or operation of the internal
audit activity, the chief audit executive must disclose the nonconformance and the
impact to senior management and the board.