-->
LWt8LWp5NGVbNaV5MWF9NWV8LTcsynIkynwbzD1c

Audit Internal ISO 27001:2013

cara melakukan audit internal ISO 27001:2013

BLANTERLANDINGv101
8858981123184540158

Audit Internal ISO 27001:2013

29 Mei 2021


Melakukan audit internal ISO 27001:2013 adalah salah satu langkah dalam fase akhir untuk implementasi ISO 27001:2013. (fase berikutnya adalah tinjauan manajemen setelah itu baru lakukan audit badan sertifikasi) Sebenarnya telah ada beberapa tulisan bagaimana melakukan audit internal di blog ini. Silahkan di search, meski yang ditulis adalah audit internal untuk ISO 9001:2015 tetap aja prinsipnya sama karena audit pada ISO baik internal maupun eksternal menggunakan panduan ISO 19011:2018 Panduan Audit Sistem Manajemen. 

baca :  Klausul 9 ISO 27001:2013 : Audit Internal (bagian 2 dari 3)

Bila anda membaca tentang tulisan audit internal di blog ini, kemungkinan anda akan menyadari bahwa saya selalu memperhatikan pola PDCA dalam sistem manajemen. Termasuk bagaimana membuat audit internal dengan pola PDCA sebagaimana yang diinginkan oleh sistem manajemen ISO. 

Jadi mari kita uraikan apa yang harus dilakukan dalam audit internal ISO 27001:2013 dengan menggunakan pendekatan PDCA. Prinsipnya akan sama untuk melakukan audit di ISO baik ISO 900, ISO 14001 dan standar ISO lainnya seperti ISO 27001:2013 ini. Hanya saja ada modifikasi dikit terkait penerapan yang harus dilakukan  (bagian DO)

PLAN

Kita butuh perencanaan bagaimana melakukan audit internal. Sesuai dengan persyaratan ISO 19011:2018 maka anda setidaknya perencanaan yang kita lakukan dapat dibagi menjadi 2 jenis yaitu 

a. Perencanaan tim 

Sangat sulit bila melakukan audit hanya seorang diri. Setidaknya kita butuh tim yang bekerjasama untuk melaksanakan audit internal. Atau minimal auditornya 1 tp ada yang ngebantu utk adminnya. Dengan demikin, sesuai dengan persyaratan ISO 19011:2018 kita harus mempunyai 

1. Program audit 

Sebuah rencana jangka panjang tentang kapan saja audit dilaksanakan. Seberap panjang rencananya? minimal cuma 1 tahun kok. jadi bayangkan dalam 1 tahun anda punya rencana untuk melakukan audit ke dept mana saja sehingga semua dept terkait dapat jatah rencana audit minimal 1x 

2. Jadwal audit 

Lets say kita udah tetapkan program audit untuk Dept pemasaran pada tgl 1 Agustus atau 1-7 agustus maka tentunya anda diharuskan mempunyai rencana 

  • Siapa yg jadi auditor?
  • siapa yang jadi auditee
  • jam berapa auditnya?
  • berapa lama auditnya
  • apa pertanyaannya? 
  • apa dokumen yang diaudit?

Seperti yang telah ada di contoh tulisan soal audit maka disarankan anda membuat tabel sehingga dapat dengan mudah dimengerti oleh semua yang membaca 

b. Perencanaan auditor  

Sebagai auditor tentunya anda harus melakukan persiapan sebagai bagian dari proses PLAN yang dilakukan. Apa saja yang harus anda lakukan? 

- Mempelajari dokumen auditee 

Pastikan anda mengetahui dokumen apa saja yang dimiliki auditee dan mempelajarinya agar mengetahui proses yang dilakukan oleh auditee. Dalam proses ini juga, anda diminta untuk melakukan identifikasi "informasi" apa saja yang beredar pada proses yang dilakukan oleh auditee. 

selalu ada informasi dan atau barang yang mengalir dalam sebuah proses. 

Dengan mengidentifikasi aliran informasi tersebut maka anda dapat melihat bagaimana "klasifikasi informasi" serta bagaimana "perlakukan terhadap informasi" (lihat annex 8

- Menyiapkan daftar pertanyaan audit 

Terdapat keunikan dalam ISO 27001:2013 yang sedikit berbeda dengan standar ISO lainnya. Keuinikan tersebut adalah adanya lampiran (annex) A yang meminta melakukan pengendalian teknis terhadap manajemen keamanan informasi.  

Pengendalian ini banyak berhubungan dengan klausul ISO 27001:2013 yang berjumlah 10 klausul (7 klausul persyaratan dan 3 klausul keterangan). Dengan kondisi tersebut diharapkan auditor mempunyai daftar pertanyaan yang lebih detil pada sebuah topik tanpa mengulang topik tersebut 

contoh : Klausul 7.4 tentang Komunikasi. Anda juga dapat menanyakan soal pengendaliannya terkait Annex 15 keamanan Komunikasi. 

- Menyiapkan temuan audit

Dalam sebuah audit saya selalu bilang "HARUS" ada temuan. Baik dalam bentuk KETIDAKSESUAIAN ataupun dalam bentuk OBSERVASI. Karena prinsip "perbaikan berkenajutan" dalam standar ISO maka bisa dikatakan tidak ada batasan dalam sebuah perbaikan. The sky is the limit. Bisa jadi anda menerapkan persyaratan dengan sangat baik sehingga tidak ada KETIDAKSESUAIAN tetapi tetap saja selalu ada peluang perbaikan sehingga dapat mengajukan temuan OBSERVASI sebagai bagian dari proses perbaikan

Siapkan kertas kerja untuk mencatat temuan audit. Bila dalam kertas kerja dalam bentuk digital  atau aplikasi tertentu silahkan pastikan beberapa hal yang harus ada dalam sebuah kertas kerja tercatat dalam aplikasi tsb. 

  • tanggal audit
  • auditor
  • Dept auditee 
  • Nama auditee
  • deskripsi temuan 
  • penyebab temuan 
  • usulan perbaikan 
  • verifikasi hasil perbaikan

DO

Pada pelaksanaan audit ini tentunya terdapat tahapan audit yang harus dilakukan sehingga memenuhi persyaratan ISO 19011:2018 dan ISO 27001:2013. Tahapan tersebut antara lain 

a. Rapat pembukaan 

Opening meeting dilakukan sebelum pelaksanaan audit. Dihadiri oleh auditor dan auditee. Pelaksanaannya berguna untuk memastikan 

  • metode audit yang dilakukan auditor
  • pengenalan nama auditor dan perwakilan dept auditee 
  • penjelasan rencana audit 
  • kondisi yang diinginkan pada saat pelaksanaan audit 
Dengan perencanaan yang baik, harusnya opening meeting hanya berlangsung selama 15-45 menit. Karena bersifat konfirmasi dari perencanaan pendahuluan yang telah dilaksanakan 

b. Pelaksanaan Audit

Pelaksanaan audit dilakukan sesuai dengan rencana yang telah dibuat. Auditor memastikan bahwa semua persyaratan telah di penuhi oleh auditee. Sedangkan auditee membuktikan bahwa mereka telah menerapkan persyaratan sesuai dengan standar ISO 27001:2013.  

Harap diingat bahwa tujuan audit adalah memastikan 

  • organisasi telah menerapkan persyaratan 
  • peluang untuk melakukan perbaikan

Dengan demikian pastikan bahwa auditee tidak melakukan upaya untuk menutupi kondisi sebenarnya sedangkan auditor harus dapat mengusulkan peluang untuk perbaikan baik dalam bentuk temuan ketidaksesuaian maupun temuan observasi. 

Standar sih, ada 2 kegiatan yang dilakukan pada saat audit 

  1. memeriksa dokumen 
  2. memeriksa kondisi dilapangan 

Dua kegiatan ini boleh dilakukan secara bersamaan atau dibuatkan waktu khusus. Tidak masalah mana yang anda pilih. Pastikan saja semua klausul dan annex telah diperiksa.

c. Rapat Penutupan 

Rapat penutupan bertujuan untuk menginformasikan hasil audit yang telah dilaksanakan. Di dalam rapat penutupan  auditee dapat bertanya kepada auditor terkait temuan yang diberikan. Memahami uraian temuan dari auditor adalah mutlak sehingga auditee dapat melakukan perbaikan sesuai dengan temuan yang telah diberikan auditor. 

Pastikan juga anda telah menentukan kapan penyelesaian atas temuan direncanakan selesai. Dengan demikian dapat mengatur jadwal verifikasi atas perbaikan hasil temuan

d. Tindak lanjut audit  

Tindakan lanjut audit adalah proses untuk melakukan verifikasi atas perbaikan yang telah dilakukan oleh audite. Pada sesi ini auditor memeriksa apakah temuan telah diselesaikan dengan baik sehingga temuan dapat dinyatakan ditutup. Bukti perbaikan selalu diusahakan dalam bentuk dokumen sehingga bisa disimpan dan dijadikan sejarah dalam proses perbaikan sistem manajemen

Verifikasi atas temuan ini merupakan salah satu persyaratan dalam ISO 19011:2018 untuk memastikan bahwa perbaikan berkelanjutan berjalan dan didokumentasikan dengan baik. 

CHECK 

Proses pemeriksaan dapat dilakukan dengan menyusun laporan audit. Sebuah laporan yang mencatat semua kegiatan mulai dari perencanaan, pelaksanaan serta hasil dari audit yang telah dilakukan. Laporan audit nantinya akan didistribusikan kepada pihak - pihak yang dianggap berkepentingan. Misal : pimpinan perusahaan. 

Laporan audit dapat berupa sebuah laporan yang disusun secara sistematis ataupun dalam sebuah bentuk / format yang telah ditentukan. Selama semua informasi yang dibutuhkan telah ada dalam laporan tersebut maka laporan audit dapat dianggap memenuhi persyaratan. 

ACTION 

Usulan perbaikan terhadap proses pelaksanaan audit lebih baik dimasukkan dalam laporan audit yang dibuat. Dengan demikian maka dokumentasi pelaksanaan audit dapat dianggap lengkap karena memuat rencana - pelaksanaan - laporan - usulan perbaikan (PDCA). 

Di dalam laporan audit dapat ditulis kendala yang ditemui pada saat pelaksanaan audit sehingga dapat mengidentifikasi hal - hal yang dapat ditingkatkan dimasa depan (audit periode berikutnya). Misal : terdapat dept yang sangat lambat dalam menyelesaikan temuan audit sehingga temuan audit tidak bisa ditutup dan disarankan untuk diverifikasi pada saat pelaksanaan audit berikutnya

Seluruh laporan audit terutama temuan yang telah di buat akan dimasukkan dalam pembahasan yang ada pada proses tinjauan manajemen. Sebuah bahasan yang akan kita diskusikan pada tulisan berikutnya

Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami

BLANTERLANDINGv101

Formulir Kontak Whatsapp×
Data Anda
Data Lainnya
Kirim Sekarang