Tahap awal audit internal ISO 27001:2022: Perencanaan dan opening meeting

 

 

Sebagai konsultan ISO 27001:2022, saya selalu mendampingi perusahaan (klien) dalam kegiatan penerapan sistem manajemen keamanan informasi (SMKI) ISO 27001, termasuk pendampingan kegiatan audit internal.

Saya ingin menceritakan kegiatan pedampingan saya di salah satu perusahaan dalam kegiatan audit internal ISO 27001:2022.  Perusahaan yang saya dampingi ini bergerak di bidang asuransi dan berlokasi di Jakarta Selatan. Jumlah karyawan tidak lebih dari 80 personel dan telah mengadopsi standar keamanan informasi ISO 27001:2013 (standar versi lama) dan tengah migrasi ke versi SMKI terbaru ISO 27001:2022.

Perencanaan audit 

Sebelum kegiatan audit dimulai, lead auditor atau personel yang ditunjuk mengelola kegiatan audit di perusahaan tsb menyusun perencanaan audit. Dalam perencanaan audit,  lead auditor membuat jadwal audit internal yang memuat item-item sebagai berikut: 

• bagian yang di audit (auditee), 
• nama-nama auditor 
  
• referensi klausul ISO 27001:2022,  
• Lokasi tempat dilaksanakannya audit 
• tanggal audit 
• durasi audit  

Jadwal audit dikirim via email oleh lead auditor kepada semua pihak yang terlibat dalam audit atau disebut auditee, pihak yang diaudit, termasuk direktur utama, direktur keuangan dan direktur operasional.

Selain menyusun dan mengirimkan jadwal audit, sebelumnya lead auditor telah memberi tugas kepada semua auditor  menyusun checklist audit. Checklist audit berfungsi sebagai time keeper bagi auditor internal pada saat melakukan audit nanti.

Opening meeting 

Opening meeting dilaksanakan sebelum audit internal dimulai. Opening meeting diadakan di ruang meeting perusahaan, hadir dalam kegiatan ini direktur keuangan, direktur operasional, lead auditor, auditor dan auditee. Tujuan kegiatan opening meeting untuk menjamin bahwa serangkaian kegiatan audit internal bisa dijalankan sesuai jadwal yang telah disepakati. Jika terdapat perubahan yang disebabkan kegiatan mendesak dari auditee atau pihak lain, perubahan jadwal disepakati dalam opening meeting.

 

Lead auditor membuka opening meeting secara singkat. Kemudian dilanjutkan dengan kata sambutan dari direktur keuangan dan direktur operasional. Manajemen memberikan semangat kepada para auditor dan auditee untuk menjalankan kegiatan audit yang dilaksanakan satu tahun sekali dengan sungguh-sungguh demi kemajuan perusahaan. Menurut manajemen, kegiatan audit merupakan kegiatan continuous improvement dan setiap masukan sekecil apapun memberikan manfaat bagi perusahaan. Direksi mengingatkan agar auditor tidak perlu sungkan-sungkan untuk memberikan temuan atau finding audit mengingat auditor dan auditee adalah  rekan kerja yang saling mengenal baik bahkan sudah menjadi sahabat.

 

Setelah sambutan dari para direktur, lead auditor memperkenalkan tim auditor internal. Tim auditor berjumlah 10 orang, dan terdapat 3 personel yang baru saja menjadi auditor internal. Setelah perkenalan auditor selesai, lead auditor menjelaskan jadwal audit secara rinci, baik dari segi waktu dan lokasi, dll . Sesuai jadwal , audit berlangsung mulai pukul 10.00 sd 16.00 selama 5 hari. Hari ke-5 merupakan kegiatan closing meeting. 

 

Sesi opening meeting diakhiri dengan penjelasan lead auditor tentang finding audit yang terdiri dari tiga kategori yaitu:

• Major 
• minor 
• observasi 
  

Ketiga kategori diterangkan kepada auditee agar para pihak yang terlibat dalam audit memiliki pandangan dan pemahaman yang sama terkait kategori finding audit.

 

Opening meeting berlangsung singkat, tidak lebih dari 45 menit. Auditor dan auditee yang belum mendapat giliran audit kembali ke tempat kerjanya masing-masing, sedangkan auditor yang bertugas sesuai jadwal menyiapkan checklist audit yang telah dibuatnya untuk digunakan pada kegaiatan audit internal.

Manager bertindak Sebagai Auditor Internal?

Kegiatan audit internal ISO dilakukan personel dari berbagai jabatan, mulai dari staff hingga jabatan tinggi seperti manager atau senior manager.

Ada kelebihan dan kendala ketika manager atau senior manager bertindak atau ikut serta sebagai auditor internal. Adalah sesuatu yang positif jika manager atau senior manager turut serta sebagai auditor internal. Ini menunjukkan komitmen positif perusahaan.

 Namun ada juga kendala. Kehadiran manager atau senior manager pada kegiatan audit akan memberikan dampak psikologis buat auditee seperti rasa kawatir, takut, dan tertekan.

Untuk menghindari hal tersebut, ada baiknya auditor manager berpartner dengan auditor yang jabatannya lebih rendah. Pada awal audit hendaknya auditor manager lebih banyak membuat catatan audit dan membiarkan auditor jabatan rendah yang melakukan interview.

Akan tetapi, jika dalam praktek, auditee selalu melirik auditor manager sebelum menjawab pertanyaan audit, saya menyarankan auditor manager mengundurkan diri dari tim auditor dan mencari cara lain untuk berpartisipasi dalam kegiatan audit.

Baca juga:

• ISO 9001: Auditor Harus Independen

Berapa jumlah auditor yang tepat melakukan audit internal ISO?

Seorang calon auditor internal bertanya kepada saya, apakah boleh 2 auditor melakukan audit pada satu unit kerja (auditee).  Ia merasa belum cukup percaya diri melakukan audit seorang diri. 

Saya jawab, ada kelebihan dan kekurangan jika audit dilakukan 2 auditor dibandingkan 1 auditor.

Kelebihannya: Auditor yang belum berpengalaman dapat belajar dari auditor berpengalaman (ruang untuk belajar). Banyak auditor tidak bisa memutuskan temuan atau bukan temuan, begitu juga menentukan finding major atau minor, dst. Jika hadir auditor ke dua, auditor tsb bisa memberikan masukan (ruang untuk berdiskusi). Terkadang auditor sulit memahami proses yang diauditnya. Dengan kehadiran auditor lain maka bisa berbagi tugas: seorang auditor membuat catatan, sementara auditor lain melakukan interview auditee (ruang untuk kolaborasi). 

Namun, ada kekurangan jika audit dilakukan 2 auditor pada satu auditee.

Kekurangannya: Auditee (orang yang diaudit) merasakan intimidasi jika audit dilakukan 2 auditor sekaligus. Kekurangan lainnya, kedua auditor cenderung saling berdiskusi terlalu lama dan tidak memberikan ruang komunikasi dan kolaborasi auditee. 

Keputusan menentukan satu atau dua auditor sebaiknya mempertimbangkan: pengalaman auditor, ruang lingkup audit  dan proses yang diaudit rumit atau tidak (kompleksitas proses).

Baca juga:

ISO 9001: Auditor Harus Independen

ISO 9001: Auditor Harus Independen

Dalam suatu kesempatan training auditor internal ISO 9001 di Jakarta, saya terlibat diskusi dengan peserta training tentang orang yang pantas menjadi auditor internal.

Standar ISO 9001:2015 mensyaratkan auditor internal harus independen untuk memastikan obyektivitas dan ketidakberpihakan proses audit.

Seorang peserta training mengatakan, Pak Slamet, yang sekarang bekerja di bagian Marketing, cocok melakukan audit Dept Purchasing sebab dia pernah bekerja dibagian Purchasing beberapa tahun lalu. Peserta training itu melanjutkan argumennya, pak Slamet mengetahui seluk beluk proses purchasing dengan baik sehingga proses audit akan mudah menemukan ketidaksesuaian audit.

Saya berpendapat, seorang auditor internal yang baik adalah ia yang sedikit tahu tentang proses yang akan diauditnya.

Seseorang yang semakin banyak tahu tentang area yang akan diaudit, dirinya akan cenderung melakukan audit berdasarkan opininya dan bukan berdasarkan persyaratan standar ISO 9001 atau aturan prosedur.

Baca juga:

• Ini dia sifat penting seorang auditor internal ISO

Fokus Pelanggan dalam ISO 9001: Kunci Keberhasilan Perusahaan

Fokus pelanggan (Customer focus) adalah satu persyaratan penting Sistem Manajemen Mutu (SMM) ISO 9001:2015. Persyaratan ini menekankan bahwa manajemen puncak wajib memperagakan kepemimpinan dan komitmennya untuk berfokus pada pelanggan. Prinsip ini bertujuan agar perusahaan dapat mencapai keberhasilan jangka panjang dengan menjadikan pelanggan sebagai pusat dari setiap aktivitasnya.

Maksud persyaratan fokus pelanggan untuk meyakinkan bahwa manajemen puncak secara nyata menunjukkan kepemimpinan dan komitmen serta senantiasa mempertahankan fokus perusahaan pada memenuhi persyaratan pelanggan dan meningkatkan kepuasan pelanggan.

Pelanggan yang dimaksud yaitu organisasi yang membeli produk dan layanan perusahaan. Namun, pelanggan juga dapat berarti individu atau perorangan seperti pasien, siswa, dll, seseorang yang menerima produk dan layanan perusahaan.

Manajemen puncak perlu memastikan bahwa proses-proses yang efektif telah diterapkan untuk menentukan persyaratan pelanggan dan peraturan perundangan yang terkait dengan produk dan layanan yang disediakan, dan meyakinkan bahwa persyaratan atau peraturan ini telah dipahami di dalam jajaran internal.

Dalam banyak kasus, fokus pelanggan artinya berfokus pada pengiriman tepat waktu dan fokus pada penanganan atau tindakan perbaikan yang tepat atas keluhan pelanggan yang diterima demi meningkatkan kepuasan pelanggan.

Manajemen puncak perlu memastikan bahwa tindakan yang tepat telah dilakukan untuk mengatasi risiko dan peluang, sehingga hasil yang diharapkan tercapai secara konsisten. Jika tidak, pendekatan Plan-Do-Check-Act (PDCA) harus diikuti untuk memastikan bahwa tanggung jawab telah diberikan kepada personel untuk menerapkan perbaikan lebih lanjut, hingga tercapai kebutuhan dan harapan pelanggan.

Manajemen puncak wajib fokus pada peningkatan kepuasan pelanggan dengan menggunakan data hasil analisis dan data evaluasi kepuasan pelanggan.

Baca juga:

• ISO 9001: 2015 Konteks Organisasi (isu internal dan eksternal)