Professional Documents
Culture Documents
Chapter 30 Brink
Chapter 30 Brink
Chapter 30 Brink
FAKULTAS EKONOMI
PROGRAM STUDI S1 AKUNTANSI
DEPOK, DESEMBER 2014
STATEMENT OF AUTHORSHIP
Materi ini belum pernah disajikan/digunakan sebagai bahan untuk tugas pada
mata ajaran lain kecuali kami menyatakan dengan jelas bahwa kami menyatakan
dengan jelas menggunakannya.
Kami memahami bahwa tugas yang kami kumpulkan ini dapat diperbanyak dan
atau dikomunikasikan untuk tujuan mendeteksi adanya plagiarisme.”
Nama : Rininta A
NPM :1206266965
Tandatangan :
Chapter 30
ISO 27001, ISO 9000, and International Standards
Background
Selepas perang dunia 2, Amerika Serikat muncul sebagai negara dengan
kekuatan terbesar yang mendominasi kehidupan ekonomi dan politik dunia.
Dominasi ini begitu besar sehingga banyak perusahaan di Amerika Serikat
mengabaikan beberapa standar praktik komersial terbaik yang ada di negara-
negara lain, terlepas dari fakta bahwa kini perekonomian Amerika Serikat
terhubung secara global dengan perekonomian seluruh negara di dunia. Hal ini
disebabkan masing-masing negara mempunyai standar praktik komersial yang
berbeda-beda, yang dikembangkan menurut tingkat kebutuhan nasional dari
negara-negara tersebut.
Namun kemudian, muncul kesadaran untuk membuat suatu standar yang
sama yang berlaku secara global dan dapat dipraktikkan di seluruh negara di
dunia. Standar internasional tersebut bernama The International Organization for
Standardization (ISO) yang kantor pusatnya berkedudukan di Jenewa, Swiss.
Standar ini mengatur beberapa lingkup area sekaligus, dari mulai bagaimana
pemasangan mesin mobil yang aman, ukuran ketebalan kartu kredit yang
dikeluarkan, hingga standar kualitas dari teknologi informasi yang digunakan oleh
perusahaan. Beberapa tahun belakangan, lingkup area yang dicakup oleh ISO ini
semakin diperluas untuk mengatur standar kualitas tata kelola perusahaan yang
baik.
Bagi seorang internal auditor, sangatlah penting untuk memahami peran dari
adanya standar ISO ini bagi perusahaan. Tata kelola dan implementasi dari ISO
standar ini akan sangat membantu auditor internal dalam melakukan tugas
auditnya di kantor perusahaan, terlebih lagi di area produksi perusahaan tersebut.
Pada Bab kali ini akan dibahas beberapa standar ISO yang sangat penting untuk
dipahami oleh seorang internal auditor. Fokus utama dalam bab ini adalah ISO
9001 tentang standar kualitas dan ISO 27001 tentang standar keamanan komputer.
Selain itu juga akan dibahas standar ISO yang mengatur tentang manajemen IT
sistem dan manajemen kualitas.
I. Peranan dan Pentingnya ISO Standar
ISO bertanggung jawab untuk menerbitkan dan mengembangkan berbagai
macam standar internasional yang melingkupi banyak area bisnis dan proses
kegiatan industri yang ada di seluruh dunia. Beberapa standar tersebut bersifat
umum, seperti ISO 14001 yang mengatur tentang sistem kontrol lingkungan yang
efektif, sementara sebagian lagi bersifat sangat rinci dan mendetail, seperti salah
satu standar yang mengatur tentang ukuran dan tingkat ketebalan kartu kredit.
Kedua jenis standar yang berbeda sifatnya ini mempunyai manfaatnya masing-
masing.
Standar ISO dibuat dan dikembangkan melalui serangkaian proses kerjasama
dari banyak lembaga standar nasional yang ada di masing-masing negara di dunia.
Proses pembuatan standar ini sendiri dimulai dengan adanya pembahasan
mengenai suatu standar baru yang dibutuhkan di area tertentu. Sebagai contoh,
ISO 27001 yang berisi tentang persyaratan tingkat tinggi yang dibutuhkan
perusahaan untuk keamanan informasi yang efektif dalam sistem manajemen
dibuat atas hasil kerjasama Komite Teknik Internasional yang disponsori oleh ISO
dengan International Electrotechnical Commission. Dalam isiannya, standar
tersebut tidak secara spesifik menjelaskan rincian persyaratan yang harus dipenuhi
perusahaan, namun lebih kepada saran tentang apa yang harus perusahaan lakukan
untuk mencapai tujuan yang terkandung dalam standar ISO tersebut.
Karena banyaknya pihak yang terlibat dalam proses pembuatan satu standar
ISO, maka wajar apabila untuk membentuk suatu standar baru akan memerlukan
waktu yang sangat panjang dan lama. Pertama, sebuah komite yang terdiri dari
para ahli akan membuat draft atau rancangan awal dari standar yang akan
dikembangkan tersebut. Draft tersebut kemudian akan ditinjau dan dibicarakan
bersama dengan para pakar untuk kemudian dikembalikan lagi ke Komite Ahli.
Setelah draft tersebut dikembalikan, Komite Ahli akan terus menyempurnakan
draft tersebut sesuai dengan pendapat para pakar. Barulah setelah serangkaian
proses penyempurnaan, draft tersebut dapat disetujui untuk kemudian diterbitkan
sebagai sebuah standar. Setelah standar tersebut diterbitkan, perusahaan di bidang
yang terkait dengan standar tersebut harus segera mengaplikasikannya. Dan untuk
membuktikan bahwa perusahaan telah mengaplikasikan standar tersebut dengan
baik dan benar, dikontraklah eksternal auditor untuk melakukan pemeriksaan atas
hal tersebut.
Berbeda dengan pedoman praktik Information Technology Infrastructure
Library (ITIL) yang sudah dibahas sebelumnya, standar ISO dikontrol dengan
ketat. Standar yang diterbitkan benar-benar dikontrol melalui serangkaian proteksi
hak cipta yang dimiliki oleh Organisasi ISO tersebut, sehingga tidaklah
memungkinkan untuk mencari dan mengunduh standar-standar tersebut melalui
Google Search. Apabila seseorang atau perusahaan ingin mengunduh suatu
standar, maka ia harus membeli standar tersebut melalui situs resmi ISO. Selain
itu, beberapa referensi dan petunjuk yang ada dalam standar ini sangatlah jelas,
mudah dimengerti, tidak bersifat ambigu dan kadang juga menyertakan langkah
follow up yang harus diambil oleh perusahaan. Standar ISO juga lebih
komprehensif karena membahas lebih dari sekedar praktik terbaik yang dapat
diambil oleh perusahaan, namun juga mendalami tentang pengukuran kinerja dari
perusahaan tersebut apabila dibandingkan dengan perusahaan sejenis. Dan dengan
mengikuti standar yang berlaku dan diterima di seluruh dunia, perusahaan dapat
menunjukkan bahwa mereka telah beroperasi secara konsisten dan sesuai dengan
standar internasional.
Seperti yang telah dijelaskan sebelumnya, untuk menunjukkan bahwa suatu
perusahaan telah menerapkan standar ISO dengan baik, mereka harus menyewa
auditor eksternal untuk melakukan pemeriksaan atas hal tersebut. Proses yang
dilakukan oleh auditor eksternal dalam rangka mencari tahu tingkat kepatuhan
perusahaan dalam menerapkan standar ISO secara garis besar tidaklah jauh
berbeda dengan proses pemeriksaan laporan keuangan yang biasanya dilakukan
oleh financial eksternal auditor. Disini eksternal auditor harus memeriksa apakah
penerapan kegiatan operasional perusahaan sudah sesuai dengan standar ISO atau
belum. Dan setelah diperiksa, auditor eksternal dapat mengeluarkan opininya atau
sertifikasinya. Keuntungan bagi perusahaan apabila ia memperoleh sertifikasi
yang baik dari auditor eksternal, perusahaan tersebut dapat mempromosikan pada
berbagai pihak, seperti konsumen atau pemegang saham, bahwa mereka telah
menerapkan standar ISO dengan baik.
II. Tinjauan Atas Standar ISO
Kini dengan adanya peraturan SEC, seluruh perusahaan publik yang listing di
bursa efek diharuskan menerbitkan laporan keuangan yang telah diaudit (yang
berarti telah diperiksa apakah laporan keuangan tersebut sesuai dengan IFRS atau
tidak). Bagi perusahaan sendiri, apabila mereka mendapatkan opini audit yang
buruk atas laporan keuangannya maka akan berdampak negatif bagi nilai
perusahaan di bursa efek. Sementara itu, kesesuaian praktik perusahaan dengan
standar ISO yang tepat belum diwajibkan oleh SEC dan hanya bersifat sukarela.
Walaupun begitu, kesesuaian operasi perusahaan dengan standar ISO akan
berdampak sangat menguntungkan bagi perusahaan kedepannya.
Bagi internal auditor, memahami dan mempelajari sistem kualitas standar
ISO dan bagaimana penerapannya di perusahaan sangatlah penting. Beberapa
standar, seperti ketebalan dan ukuran kartu kredit, memiliki peranan yang sangat
besar bagi aktifitas penjualan perusahaan secara global. Disini, tugas internal
auditorlah untuk memeriksa tingkat kepatuhan berbagai macam aktifitas yang ada
di perusahaan dengan standar ISO yang telah diterbitkan.
a) ISO 9000 Quality Management Systems dan Sarbanes-Oxley
Apabila ditinjau ke belakang, pembentukan ISO 9000 sebenarnya berkaitan
erat dengan masalah yang terjadi pada Perang Dunia II. Masalah tersebut adalah
tidak adanya keseragaman kualitas produk, walaupun kuantitas produk yang
dihasilkan amatlah banyak. Walaupun produk yang dihasilkan hanyalah berupa
peluru ataupun bom, tetap diperlukan pengawasan yang ketat akan kualitas kedua
produk tersebut. Masalah ini mulai terpecahkan ketika Pihak Sekutu mulai
menciptakan suatu standar yang meyakinkan mengenai kualitas produk,
bermunculannya para ahli di bidang industri dan adanya quality control specialist.
Setelah perang usai, didirikanlah ISO yang merupakan bagian dari General
Agreement on Trade and Tariffs. ISO 9000 sendiri termasuk standar yang paling
awal dibuat oleh organisasi ini.
Jepang, salah satu negara yang kalah perang dan harus membangun kembali
sendi-sendi perekonomiannya yang hancur akibat perang, mulai menerapkan
quality management systems pada tahun 1950an dan 1960an. Di tahun tersebut,
Jepang mulai mendatangkan para pakar dibidang quality systems, seperti W.
Edwards Deming. Namun diluar itu, filosofi dan teknik yang diterapkan oleh
bangsa Jepanglah yang akhirnya membuat industri mereka dibidang otomotif dan
alat elektronik mulai merambah ke pasar Amerika Serikat dan Eropa di tahun
1970. Hal ini tidak terlepas dari kualitas produk mereka yang teramat baik dan
disukai oleh konsumen.
ISO 9000 merupakan bagian yang penting dalam kumpulan standar yang
mengatur tentang quality management systems. Standar ini meliputi persyaratan
untuk hal-hal seperti:
Proses pemantauan untuk memastikan kegiatan atau aktifitas berjalan
dengan efektif.
Menjaga catatan yang memadai.
Memeriksa output dari adanya cacat pada produk, dengan pengambilan
tindakan perbaikan yang sesuai apabila diperlukan.
Secara teratur meninjau proses individu dan sistem kualitas itu sendiri
untuk melihat seberapa efektif pelaksanaanya.
Memfasilitasi adanya peningkatan proses secara berkelanjutan.
Masing-masing poin mengacu pada proses yang harus dilakukan, bukan
tindakan spesifik yang harus diambil. Sementara itu untuk menilai seberapa besar
tingkat kepatuhannya dengan standar, seperti yang telah dijelaskan sebelumnya,
diperlukan pemeriksaan yang mendalam oleh auditor eksternal.
i. Proses Dokumentasi Pada ISO 9000
ISO 9000 dan standar ISO lainnya memberlakukan persyaratan
dokumentasi yang cukup berat pada suatu perusahaan. Tidaklah cukup
bagi perusahaan dengan hanya mengklaim bahwa beberapa proses telah
didokumentasikan sekali. Harus ada proses yang berkelanjutan untuk
menjaga dokumentasi yang ada saat ini dari waktu ke waktu. Dalam
beberapa tahun terakhir sendiri, telah banyak perusahaan yang berusaha
mendokumentasi kegiatannya, namun tidak berjalan dengan tetap setiap
tahunnya. Hal ini senada dengan apa yang biasanya dihadapi oleh auditor
internal. Biasanya auditor internal akan bertanya apakah suatu aktifitas
telah didokumentasikan dan apakah dokumentasinya dapat direview
kembali atau tidak. Kadangkala dapat terjadi suatu kegiatan tidak
didokumentasikan atau file dokumentasinya hilang. Dan untuk hal
tersebut auditor internal akan mencatatnya sebagai temuan audit dan akan
melakukan tindakan koreksi yang diperlukan. Dengan adanya penerapan
ISO 9000, auditor internal pastinya akan terbantu karena standar ini
mengharuskan sebuah perusahaan untuk memiliki dokumentasi atas
seluruh aktifitas pada semua tingkatan level.
Untuk lebih memperjelasnya, ISO 9000 sebenarnya bukanlah satu-
satunya standar yang ada, namun merupakan salah satu bagian dari
standar mutu dan panduan yang dibuat untuk perusahaan dan akan terus
menerus di update seiring berjalannya waktu. Standar lainnya adalah:
ISO 9001. Standar mutu yang berkaitan dengan desain.
ISO 9002. Standar mutu yang berkaitan dengan proses
manufaktur.
ISO 9003. Standar mutu yang berkaitan dengan proses
manufaktur dan perakitan barang.
ISO 9004. Pedoman dalam mendefinisikan quality system.
Fokus dari buku ini terdapat dalam standar auditor internal yang dimuat oleh IIA,
CIAs dan CPA. Ternyata ada profesi yang juga mengacu kepada standar tersebut. Ada
banyak professional auditor yang tergabung dalam American Society Quality (ASQ)
professional organization, mereka memiliki kesamaan dengan auditor internal dan
memiliki standar, kode etik dan sertifikasi nya tersendiri. Mereka disebut Quality auditor
dan bertanggung jawab dalam melakukan review standar ISO atas kesesuaian, efisiensi
dan kualitas proses operasi perusahaan tersebut. Quality audit Divison (QAD) miliki ASQ
bertanggungjawab terhadap audit yang dilakukan berdasarkan standar ISO. ASQ dan
QAD mendefinisikan berbagai level audit, yakni :
1. Self-audits
Audit kualitas yang dilakukan oleh internal perusahaan untuk mereview
kesesuian berdasarkan standar kualitas ISO
2. Second-party audits
Audit yang dilakukan Quality auditor sebuah perusahaan saat mereview
salah satu supplier perusahaan tersebut.
3. Third-party audits
Audit yang dilakukan oleh organisasi independen
Standar ISO lainnya yang mengatur Quality audit adalah Internal ISMS Audit. Standar
tersebut menyatakan hal berikut ini :
Praktek Quality audit ASQ membawa perspektif yang berbeda terhadap audit.
Quality audit dinilai sedemikian penting dalam mengukur kepatuhan terhadap standar
ISO. Untuk melakukan review, tim Quality audit melakukan siklus plan, do, check, act
(PDCA) sebagai berikut :
1. Plan
Apa tujuan dari Quality audit team? Perubahan apa yang diinginkan dan data apa
yang dibutuhkan? Tipe dari pengujian apa yang dibutuhkan? Bagaimana operasi
diobservasi?
2. Do
Melakukan pengujian yang direncanakan.
3. Check
Mengobservasi hasil pengujian untuk mengembangkan kesimpulan awal
4. Act
Mempelajari semua hasil tes untuk menilai apa yang sudah dipelajari dan
membuat prediksi atas hasil tersebut. Menggunakan hasil tes, Quality auditor
memilih area yang butuh peningkatan
Proses review sama dengan proses internal auditor yang terdiri dari
pemilihan sampel, pengujian, pengevaluasian dan pendokumentasian.