ISO 9001:2015. Internal Audit Of Quality Management System

Transkripsi

1 ISO 9001:2015 Internal Audit Of Quality Management System PT TUV Rheinland Indonesia 2018

2 Training Outline Internal Quality Audit Training 1 st Day 2 st Day 3 st Day 08:00-09:45 Review of ISO 9001: 2015 Requirements 09:45-10:00 Coffee Break 10:00-11:30 ISO 19011: 2011 Management System Auditing Terminology & Audit Framework-PDCA Managing Audit Program 11:30-12:30 Lunch Break 12:30-13:30 Implementing Audit Program Audit Workflow Preparation of Audit Documents Selection of Audit Team 13:30-14:30 How to Conduct On-site Audit Opening Meeting & Closing Audit Techniques NCR Reporting Using P-L-O-R Technique 14:30-14:45 Coffee Break 14: How to Conduct On-site Audit (Continued) Opening Meeting & Closing Audit Techniques NCR Reporting Using P-L-O-R Technique Workshop of Risk Identification and Assessment 08: 00-09:45 Concept of Correction and Corrective Action Evaluating Auditor Competency 09:45-10:00 Coffee Break 10:00-11:30 Audit simulation : Opening Meeting Audit term 1 Audit term 2 11:30-12:30 Break & Lunch 12:30-13:30 Making Of Audit Findings 13:30-14:30 Pesentation of Audit Findings Closing meeting 14:30-14:45 Coffee Break 14:45-16:00 Review & Sharing of Problem Encountered in the Audit 08:00-09:45 Induksi dan Peningkatan Awareness Pimpinan terhadap Penjaminan Mutu Perguruan Tinggi oleh Dr. Syahrul Aminullah SKM., M.Si. Kasubdit Pengembangan Sistem Mutu Kemenristek Dikti 09:45-10:00 Coffee Break 10:00-11:30 Induksi dan Peningkatan Awareness Pimpinan terhadap Penjaminan Mutu Perguruan Tinggi oleh Dr. Syahrul Aminullah SKM., M.Si. Kasubdit Pengembangan Sistem Mutu Kemenristek Dikti 11:30-13:00 Break & Lunch 13:30-14:30 Post Test

3 Internal Audit Training ISO 19011:2011 Welcome to TÜV Rheinland Academy Internal Audit of ISO 9001:2015 Based on ISO 19011:2011 About us Building trust and credibility in all markets TÜV Rheinland Founded in 1872 as part of the German Steam Boiler Association Now a worldwide service provider for testing, inspection, certification, consulting and training Aiming at quality and safety of people, technology and the environment Skilling globally. Focusing locally. Our Academy Leading technical training provider More than 200,000 participants per year, at over 30,000 training and education events, in about 25 countries worldwide Different learning forms from face to face training to digital learning solutions 2 2/6/2018 TUV Rheinland Indonesia 1

4 Internal Audit Training ISO 19011:2011 Milestones Long tradition originator of many TIC services Founded to ensure the safety of manufacturing plants First elevator inspection First Bluetooth product certification Global market leader in photovoltaic certification One of the biggest independent service providers for ICT security First vehicle inspection First product certification First internet-based certification database New test mark with QR code for fast research 3 2/6/2018 Corporate Presentation 2017 Enabling Key facts 6 Business Streams 27 Business Fields 2,000 Services INDUSTRIAL SERVICES MOBILITY PRODUCTS ACADEMY & LIFE CARE ICT & BUSINESS SOLUTIONS SYSTEMS Adding value and enabling a safer and better use of modern technologies 4 2/6/2018 Corporate Presentation

5 Internal Audit Training ISO 19011:2011 Milestones - TÜV Rheinland Indonesia st Project : Technical Assistance Launch homologation business Accredited for VLK, PHPL, HACCP Certify for ISO 9001, 14001, Accredited for ISPO, Star Rating Hotel Appointed by Ministry of Industry for Toys Testing Laboratory Founded TÜV International Indonesia Receive Accreditation for Product Cert. (LsPro) Launch Electrical and Wheel Testing Laboratory Launch Tire Testing Laboratory 5 2/6/2018 Corporate Presentation 2017 At home in All Over Indonesia Our locations have expanded to 7 representative offices and 3 testing laboratory Corporate Presentation

6 Internal Audit Training ISO 19011:2011 Your seminar Internal Audit of ISO 9001:2015 based on ISO 19011:2011 Sasaran Pelatihan Memahami persyaratan sistem manajemen mutu berdasarkan ISO 9001:2015 sebagai kriteria audit Mampu merencanakan audit mutu internal Mampu membuat checklist audit Mampu melakukan audit mutu internal Mampu membuat kesimpulan audit Mampu membuat laporan audit Mempu memeriksa tindakan perbaikan yang dilakukan auditee atas temuan ketidaksesuaian 7 2/6/2018 Internal Quality Audit Review Persyaratan Standard 8 4

7 Internal Audit Training ISO 19011:2011 Siklus P-D-C-A dari ISO 9001:2015 Organization And it s context (4) Quality management System (4) Support & operation (7,8) Customer satisfaction Customer requirement Planning (6) Leadership (5) Performance Evaluation (9) Result of the QMS Products and services Needs and expectations of interested parties (4) Improvement (10) 9 2/6/2018 PT TUV Rheinland Indonesia Persyaratan ISO 9001: Scope 2 Normative references 3 Terms and definitions 4 Context of the organization 4.1 Understanding the organization and its context 4.2 Understanding the needs and expectations of Interested parties 4.3 Determining the scope of the quality management system 4.4 Quality management system and its processes 5 Leadership 5.1 Leadership Commitment General Customer Focus 5.2 Policy Establishing the quality policy Communicating the quality policy 5.3 Organizational roles, responsibilities and authorities 6 Planning for the quality management system 6.1 Actions to address risks and opportunities 6.2 Quality objectives and planning to achieve them 6.3 Planning of changes 7 Support 7.1 Resources General People Infrastructure Environment for the operation of processes Monitoring and measuring resources Organizational knowledge 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented information General Creating and updating Control of documented information Next slide : clause 8,9, /6/2018 PT TUV Rheinland Indonesia 5

8 Internal Audit Training ISO 19011:2011 Persyaratan ISO 9001: Operation 8.1 Operational planning and control 8.2 Requirements for products and services Customer communication Determination of requirements related to products and services Review of requirements related to products and service Change to requirements for product and service 8.3 Design and development of products and services General Design and development planning Design and development Inputs Design and development controls Design and development outputs Design and development changes 8.4 Control of externally provided, processes products and services General Type and extent of control Information for external providers 8.5 Production and service provision Control of production and service provision Identification and traceability Property belonging to customers or external providers Preservation Post-delivery activities Control of changes 8.6 Release of products and services 8.7 Control of nonconforming process outputs 9 Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation General Customer satisfaction Analysis and evaluation 9.2 Internal audit 9.3 Management review General Management review inputs Management review outputs 10 Improvement 10.1 General 10.2 Nonconformity and corrective action 10.3 Continual improvement Annex A Clarification of new structure, terminology and concepts Annex B Other international standard on quality management and quality management systems developed by ISO/TS /6/2018 PT TUV Rheinland Indonesia Persyaratan ISO 9001:2015 ISO 9001:2008 ISO 9001:2015 ISO 9001 : scope 2. Normative Reference 3. Terms and definitions = = = ISO 9001 : scope 2. Normative Reference 3. Terms and definitions 4. Quality Management Systems 4.1 General Requirement 4.2 Documentation Requirements Persyaratan pengendalian outsource Ada di klausul :2015 Persyaratan Documentasi ada di klausul : Context of the organization 4.1 Understanding the organization and its context 4.2 Understanding the needs and expectations of interested parties 4.3 Determining the scope of the quality management system 4.4 Quality management system 12 2/6/2018 PT TUV Rheinland Indonesia 6

9 Internal Audit Training ISO 19011:2011 Persyaratan ISO 9001: Context of organization 4.1 Understanding context 4.2 Interested parties 4.3 Scope 4.4 QMS Klausul 4.1 menentukan eksternal dan internal issue yang relevan dengan tujuan, arah trategis yang berpengaruh terhadap QMS Harus dipantau dan ditinjau Klausul 4.2 menetapkan: Pihak-pihak berkepentingan yang relevan dengan QMS; Persyaratan dari pihak berkepentingan ini yang relevan dengan QMS Harus dipantau dan ditinjau Klausul 4.3 Persyaratan untuk lingkup QMS lebih diperjelas, harus didokumentasikan dan mempertimbangkan: isu internal eksternal; persyaratan interested party ;produk dan layanan justifikasi untuk setiap kasus di mana persyaratan tidak dapat diterapkan 13 2/6/2018 PT TUV Rheinland Indonesia Klausul 4.4 Klausul 4.1 ISO 9001:2008 ditambahkan mengenai persyaratan risk pada saat penetapan proses dan informasi mengenai documented information Persyaratan ISO 9001:2015 ISO 9001:2008 ISO 9001: Management Responsibility 5.1 Management commitment 5.2 Customer focus 5.3 Quality policy 5.4. Planning 5.5 Authorities, Responsibility and communication 5.6 Management Review Management Reviewi ada di klausul : Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organization roles, responsibilities and authorities Komunikasi ada di klausul : Planning 6.1 Actions to address risks and opportunities 6.2 Quality objectives and planning to achieve them 6.3 Planning of changes 14 2/6/2018 PT TUV Rheinland Indonesia 7

10 Internal Audit Training ISO 19011:2011 Persyaratan ISO 9001: Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organizational roles, responsibilities and authorities Klausul komitmen manajemen Meminta TM juga: Akuntabilitas terhadap QMS terlibat, mengarahkan dan mendukung orang-orang untuk berkontribusi terhadap efektifitas QMS Klausul Fokus Pelanggan Manajemen puncak harus juga memastikan bahwa : persyaratan hukum dan peraturan yang ditentukan risiko ditentukan dan diperhatikan Klausul 5.2 Kebijakan mutu harus : Dikomunikasikan, dipahami dan diterapkan Tersedia untuk interested parties jika diperlukan Klausul 5.3 Tanggung jawab dan wewenang Sebelumnya ini adalah klausul 5.5 di ISO 9001:2008 Tidak ada pesyaratan MR tetapi secara fungsi masih tetap ada (penetapan tergantung dari TM) 15 2/6/2018 PT TUV Rheinland Indonesia Persyaratan ISO 9001:2015 ISO 9001:2008 ISO 9001: Management Responsibility 5.1 Management commitment 5.2 Customer focus 5.3 Quality policy 5.4. Planning 6. Planning 6.1 Actions to address risks and opportunities 6.2 Quality objectives and planning to achieve them 6.3 Planning of changes 5.5 Authorities, Responsibility and communication 5.6 Management Review 16 2/6/2018 PT TUV Rheinland Indonesia 8

11 Internal Audit Training ISO 19011:2011 Persyaratan ISO 9001: Planning 6.1 Actions to address risk and opportunity 6.2 Objectives and planning 6.3 Planning of changes Klausul 6.1 Klausul Baru Mengenai persyaratan dan tujuan dari identifikasi risk&opportunities Rencana yang dilakukan untuk mengatasi risk&opportunities Klausul 6.2 Lebih eksplisit persyaratan mengenai perencanaan untuk mencapai sasaran mutu (apa yang akan dilakukan; sumber daya apa yang diperlukan; siapa yang bertanggungjawab; kapan akan selesai; bagaimana hasilnya akan dievaluasi Klausul 6.3 Perubahan pada QMS harus dilakukan secara terencana. Persyaratan ini Keterkaitan juga dengan 17 2/6/2018 PT TUV Rheinland Indonesia Klausul pengetahuan Organisasi - untuk mengatasi perubahan kebutuhan dan tren, sehubungan dengan pengetahuan Klausul Mengontrol perubahan operasional, yang direncanakan atau tidak direncanakan Klausul Mengatasi perubahan yang mempengaruhi produk & jasa Persyaratan ISO 9001: : Support ISO 9001:2008 ISO 9001: Resource Management 6.1 General 6.2 Human Resource 5.3 Infrastructure 6.4 Work Environment 7. Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented information Klausul dan ISO 9001:2008 Klausul 7 ini sama dengan klausul 6 di ISO 9001:2008 berisikan pengelolan dari sumber daya (manusia, Infrastruktur dan lingkungan) ditambahkan dengan pengendalian dokumen dan komunikasi 18 2/6/2018 PT TUV Rheinland Indonesia 9

12 Internal Audit Training ISO 19011:2011 Persyaratan ISO 9001: Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented information 2/6/ People Infrastructure Environment for the operation of processes Monitoring and measuring resources Organizational knowledge Klausul 7.1 Menyediakan Sumberdaya manusia, lingkungan, infrastruktur, pengetahuan, peralatan pemantauan/pengukuran baik dari internal/eksternal, Klausul 7.2, 7.3 dan 7.4 orang yang relevan melakukan pekerjaan di bawah kendali organisasi harus memiliki kompetensi, kesadaran dan komunikasi (internal dan eksternal) dari QMS Klausul 7.5 Sama dengan klausul 4.21,4.2.3 dan ISO 9001:2008 tetapi lebik eksplisit persyaratan untuk kerahasiaan, integridas dan akses dari dokumen 19 PT TUV Rheinland Indonesia Persyaratan ISO 9001: Operation ISO 9001:2008 ISO 9001: Product Realization 7.1 Planning of product realization 7.2 Customer-related processes 7.3 Design and development 7.4 Purchasing 7.5 Production and service provision 7.6 Control of monitoring and measuring equipment monitoring and measurement product 8.3 Control of Nonconforming product 8. Operation 8.1 Operational planning and control 8.2 Requirements for products and services 8.3 Design and development of products and services 8.4 Control of externally provided products and services 8.5 Production and service provision 8.6 Release of products and services 8.7 Control of nonconforming process outputs 20 2/6/2018 PT TUV Rheinland Indonesia 10

13 Internal Audit Training ISO 19011:2011 Persyaratan ISO 9001: Operation 8.1 Operational planning and control 8.2 Requirements for products and services 8.3 Design and development of products and services 8.4 Control of externally provided processes products and services 8.5 Production and service provision 8.5 Production and service provision Control of production and service provision Klausul 8.1 sama dengan klausul 7.1 ISO 9001:2008 Lebih eksplisit tentang penetapan kriteria proses Klausul 8.2 sama dengan klausul 7.2 ISO 9001:2008 Lebih eksplisit pertimbangan komunikasi pelanggan termasuk customer property dan contingency actions Klausul 8.3 sama dengan klausul 7.3 ISO 9001:2008 Bagian ini pada desain dan pengembangan produk dan jasa telah secara substansial berubah dan disederhanakan: Klausul 8.4 Bagian ini merupakan gabungan dari persyaratan 4.1 mengenaia pengendalian outsource dan 7.4 pembelian di ISO 9001: /6/2018 PT TUV Rheinland Indonesia Persyaratan ISO 9001: Operation 8.1 Operational planning and control 8.2 Requirements for products and services 8.3 Design and development of products and services 8.4 Control of externally provided processes products and services 8.5 Production and service provision 8.5 Production and service provision Klausul 8.5 sama dengan klausul 7.5 ISO 9001:2008 Dalam titekankan tentang persyaratan kualifikasi personil dan pengendalian kesalahan dari orang Validasi proses bagian dari klausul Pada yang diminta di jaga bukan hanya properti pelanggan tetapi juga properti milik eksternal provider Persyaratan baru mengenai post delivery activity (8.5.5) dan pengendalian perubahan (8.5.6) Klausul 8.6 dan 8.7 Sekarang bagian dari operasional sebelumnya yaitu di persyaratan pementauan dan pengukuran produk dan 8.3 pengendalian produk tidak sesuai Control of production and service provision 22 2/6/2018 PT TUV Rheinland Indonesia 11

14 Internal Audit Training ISO 19011:2011 ISO Requirement ISO 9001:2008 ISO 9001: Measurement, analysis and improvement 8.1 General 8.2 Monitoring and measurement 8.3 Control of nonconforming product 8.4 Analysis of data 8.5 Improvement 9. Performance evaluation 9.1 Monitoring, measurement, analysis And evaluation 9.2 Internal audit 9.3 Management review 10. Improvement 10.1 Nonconformity and corrective action 10.2 Improvement 23 2/6/2018 PT TUV Rheinland Indonesia Persyaratan ISO 9001: Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation General Customer satisfaction Analysis and evaluation 9.2 Internal audit 9.3 Management review Klausul Mempersyaratkan organisasi untuk menetapkan apa, bagaimana dan kapan pemantauan, pengukuran, analisis dan improvement harus dilakukan Klausul Mengatur tentang pengukuran kepuasan pelanggan. Tidak ada perubahan signifikan dari ISO 9001:2008 Klausul Hal-hal apa saja yang secara minimum harus dianalisis dan dievaluasi. Risk based thinking pada tahap CHECK ada pada klausul ini Klausul 9.2 Tentang audit internal. Hal penting yang ditekankan: Program audit berbasis risiko Netralitas auditor internal Kriteria audit mempertimbangkan interested parties Klausul 9.3 Management review ada tambahan agenda rapat karena pendekatan berbasis risiko 24 2/6/2018 PT TUV Rheinland Indonesia 12

15 Internal Audit Training ISO 19011:2011 Persyaratan ISO 9001: Improvement 10.1 General 10.2 Nonconformity and corrective action 10.3 Continual improvement Klausul 10.1 Lebih menekankan pada peluan untuk perbaikan Meminta untuk melihat perbaikan kedepan dari produk dan jasa Penekanan pada pencegaan terjadinya ketidaksesuaian Klausul 10.2 Berlaku umum tidak hanya untuk ketidaksesuaian produk saja Dari hasil perbaikan bila diperlukan memperbaharui resiko dan peluang yang ditentukan selama perencanaan,; Mengevaluasi kebutuhan untuk tindakan menghilangkan penyebab dari ketidaksesuaian, dengan masud supaya tidak akan muncul lagi di tempat lain merupakan bagian dari corrective action terdokumentasi Klausul 10.3 Peluang harus diperhatikan sebagai bagian dari perbaikan berkelanjutan 25 2/6/2018 PT TUV Rheinland Indonesia PENGANTAR INTERNAL AUDIT Pengertian Audit Tipe Audit Internal Audit Tujuan Internal Audit Manfaat Internal Audit 26 13

16 Internal Audit Training ISO 19011:2011 PENGERTIAN AUDIT(ISO 19011) Audit Sebuah proses yang sistematik, independen dan terdokumentasi untuk mencari bukti-bukti audit dan mengevaluasi bukti-bukti tsb secara objective (tidak subjective) untuk menentukan sejauh mana kriteria-kriteria yang menjadi acuan audit telah dipenuhi. A systematic, independent and documented process for obtaining audit evidence and evaluating it objectively to determine the extent to which agreed criteria are fulfilled. 27 PENGERTIAN AUDIT(ISO 19011) Bukti Audit Rekaman, pernyataan atas fakta atau informasi lain, yang relevan terhadap kriteria audit dan dapat diverifikasi Catatan: Bukti audit dapat berbentuk kualitatif ataupun kuantitatif Kriteria Audit seperangkat kebijakan, prosedur atau persyaratan yang digunakan sebagai referensi sebagai pembanding bukti audit 28 14

17 Internal Audit Training ISO 19011:2011 TIPE AUDIT FIRST PARTY oleh diri sendiri (Internal Audit) SECOND PARTY Pihak yang berkepentingan (Customer/Supplier Audit) THIRD PARTY Pihak independan (Audit sertifikasi) 29 INTERNAL AUDIT Persyaratan ISO 9001:2015 (9.2) : Audit harus dilakukan pada interval yang terencana Mempertimbangkan status dan pentingnya proses dan bidang yang diaudit Sebaiknya ada sebuah prosedur yang mengatur audit internal Auditor tidak boleh mengaudit pekerjaannya sendiri Audit harus objektif dan tidak memihak 30 15

18 Internal Audit Training ISO 19011:2011 TUJUAN INTERNAL AUDIT Internal Audit dilakukan untuk memastikan bahwa SMM Dilaksanakan (sesuai Prosedur/IK) Sesuai persyaratan standard (mis. ISO 9001) Dilaksanakan dan dipelihara secara efektif Audit juga sebaiknya menemukan potensipotensi perbaikan 31 MANFAAT INTERNAL AUDIT Mengapa perlu audit? Untuk melihat dari sudut pandang yang berbeda dan akurat apa yang sedang terjadi dalam sebuah organisasi pada suatu saat tertentu Manfaat lain: Peluang untuk perbaikan Mengidentifikasi akar masalah dan rencana koreksi dan pencegahan. Membantu auditor dalam memahami kesehatan perusahaan Persiapan eksternal audit Sebagai alat manajemen 32 16

19 Internal Audit Training ISO 19011:2011 PRINSIP AUDIT DAN KOMPETENSI AUDITOR Standard Panduan Audit Prinsip Audit Kompetensi Auditor 33 STANDAR PANDUAN AUDIT ISO :1990 Quality ISO :1991 ISO :1991 TC 176 (Quality management & quality assurance) ISO 9000:2015 Fundamentals & Vocabulary ISO 19011:2002 Environmental TC 207 (Environmental management) Panduan untuk quality and/or environmental management systems auditing ISO 14010:1996 ISO 14011:1996 ISO 14012:1996 ISO 14001:2015 Vocabulary Combined Audit ISO 9001 ISO OHSAS ISO 19011:2011 Panduan untuk audit sistem manajemen (Guidelines for auditing management systems) Our company Customer Supplier 34 17

20 Internal Audit Training ISO 19011:2011 PRINSIP AUDIT (ISO 19011) Prinsip-prinsip berikut terkait dengan audit : 1. Integritas : dasar dari profesionalisme Dapat dipercaya, dapat menjaga kerahasiaan dan berpendirian, adalah penting dalam pelaksanaan audit 2. Penyampaian yang Jujur: kewajiban untuk melaporkan secara jujur dan akurat Temuan audit, kesimpulan audit dan laporan audit sebaiknya mencerminkan pelaksanaan kegiatan audit yang jujur dan akurat 3. Profesionalisme: pelaksanaan audit dengan cermat memelihara profesionalisme sesuai dengan pentingnya tugas yang dilaksanakan dan kepercayaan yang diberikan 35 PRINSIP AUDIT (ISO 19011) 4. Kerahasiaan : menjaga informasi yang diperoleh Auditor sebaiknya menjaga kerahasiaan dari informasi yang diperoleh selama melakukan audit 5. Independensi : bersifat impartial (netral) dan objective Auditor sebaiknya independen terhadap aktifitas yang diaudit dan bebas dari bias dan konflik kepentingan. Auditor menjaga keputusan yang objektif selama proses audit untuk meyakinkan temuan temuan dan keputusan keputusan didasarkan pada bukti (evidence). 6. Bukti berdasarkan fakta Audit evidence (Bukti audit) dapat diverifikasi. Berdasarkan sampel dan informasi yang tersedia, sejak audit dilaksanakan selama waktu yang terbatas dan sumberdaya yang terbatas 36 18

21 Internal Audit Training ISO 19011:2011 KONSEP KOMPETENSI AUDITOR Quality Environmental Quality - specific knowledge and Skills Generic knowledge and Skills and Environmental Specific knowledge and Skills Education Work Experience Auditor Training Audit Experience 7.4 Personal Behaviours KOMPETENSI AUDITOR General Internal auditor sebaiknya kompeten atas dasar, pendidikan training pengalaman kerja pengalaman audit 38 19

22 Internal Audit Training ISO 19011:2011 KOMPETENSI AUDITOR CONTOH MATRIX KOMPETENSI AUDITOR 39 KOMPETENSI AUDITOR Auditor Pemahaman tentang prinsip prinsip Audit, tujuan, prosedur dan teknik Pemahaman tentang disiplin ilmu manajemen dan dokumen dokumen referensi Pemahaman tentang situasi organisasi dan peran proses audit di organisasi Pemahaman tentang persyaratan perundangan, hukum dan persyaratan lain yang dilaksanakan termasuk dari lembaga eksternal Pemahaman tentang kompleksitas sistem manajemen yang diaudit Ketercapaian target audit yang telah dilakukan Lead Auditor Sama dengan auditor ditambah : Mengorganisir dan mengarahkan anggota tim Audit Memimpin Tim Audit untuk mendapatkan keputusan Audit Menghindari dan memecahkan permasalahan Menyiapkan dan menyelesaikan laporan audit Sebaiknya mempunyai kompetensi juga : Terminologi Mutu/Lingkungan/K3 Panduan umum, prinsip dan teknis sistem manajemen Alat Sistem Manajemen dan aplikasinya (contoh: SPC, Cause&effect analysis, dll) Pengetahuan mengenai aktifitas pada area yang akan diaudit 40 20

23 Internal Audit Training ISO 19011:2011 KOMPETENSI AUDITOR Personal behaviours Menjunjung kode etik; sopan, jujur, kebenaran, tulus, bijaksana Berpikiran terbuka Diplomatis Teliti Mengamati Cepat Tanggap Mandiri Mampu memutuskan Percaya diri Adaptasi 41 KOMPETENSI AUDITOR Menjadi Auditor Sebaiknya Lebih bersahabat dan tidak tegang Pendengar yang baik dan lancar berkomunikasi (75% mendengar, 25% bertanya) Menunjukan minat yang tinggi Lebih objektif dan logis Berpandangan positif dan elalu menanggapi dengan baik Hindari adu argumentasi Mudah bergaul dengan setiap tingkatan di organisasi Memiliki rasa ingin tahu yang tinggi Memahami teknologi dan hal-hal baru Hindari cari-cari kesalahan dan catat hal-hal yang baik juga Tepat waktu Periksa semua proses Hargai kerahasiaan organisasi Hindari membaca SOP/dokumen sendiri mintalah penjelasan. Audit sistem bukan individu 42 21

24 Internal Audit Training ISO 19011:2011 KOMPETENSI AUDITOR Tipe Perilaku Auditor Pasif Agresif Asertif Ekspresi kebutuhan, keinginan, pandangan dan perasaan Sikap sempurna Langsung pada persoalan Junjung tinggi hak orang lain Bekerja demi kepuasan semua/mayoritas 43 KOMPETENSI AUDITOR Kinerja auitor juga sebaiknya dilakukan evaluasi Contoh metode evaluasi Auditor 44 22

25 Internal Audit Training ISO 19011:2011 MANAJEMEN PROGRAM AUDIT Manajemen Program Audit Pelaksanaan Audit Pelaporan Audit 45 Manajemen Program Audit Plan Top Manajemen sebaiknya menunjuk seseorang yang bertanggung jawab untuk Manajemen Program Audit, dengan wewenang: Menetapkan, menerapkan, mengawasi, meninjau dan meningkatkan Program Audit Mengidentifikasi dan memastikan sumber daya yang diperlukan tersedia Organisasi dapat menetapkan satu Program Audit yang didalamnya terdiri dari beberapa sistem manajemen dan juga berbagai macam tujuan

26 Internal Audit Training ISO 19011:2011 Manajemen Program Audit Plan Menentukan Tujuan Audit (5.2) Act Peninjauan dan Peningkatan Program Audit Perencanaan Program Audit (5.3) Tanggung jawab manager program audit Kompetensi manager program audit menetapkan cakupan program audit Identifikasi dan evaluasi Risiko program audit Penetapan prosedur program audit Identifikasi sumber daya yang dibutuhkan (5.6) Kompetensi Implementasi Program Audit (5.4) dan evaluasi Umum Menentukan Tujuan, Lingkup Auditors dan Kriteria Audit (clause 7) Pemilihan Metode Audit Pemilihan Tim Auditor Kegiatan Penetapan tanggung jawab dari auditor Audit Mengelola dan merawat rekaman audit (clause 6) Plan Do 5.5 Monitoring Program Audit Check 47 ISO 9001:2015 clause Organisasi harus: a) merencanakan, menetapkan dan memelihara program audit termasuk frekuensi, metode, tanggung jawab, perencanaan, persyaratan dan pelaporan, yang harus mempertimbangkan kepentingan dari proses yang menjadi perhatian, perubahan yang mempengaruhi organisasi dan hasil dari audit sebelumnya Misalnya Langsung berkaitan dengan pelanggan maka diaudit lebih sering atau lebih lama. Langsung berkaitan dengan regulasi pemerintah, audit harus lebih diperketat, atau frekuensi audit ditambah. Untuk special process, ISO 9001:2015 clause f) (proses dimana ketidaksesuaian yang timbul tidak dapat diverifikasi pada saat inspeksi) audit harus lebih ditekankan kepada bagaimana metode validasi prosesnya 48 24

27 Internal Audit Training ISO 19011:2011 Manajemen Program Audit Plan Tujuan Audit Tujuan Audit sebaiknya didasarkan pada beberapa pertimbangan sebagai berikut : Prioritas Manajemen Tujuan Komersial Karakteristik proses, produk, projek dan perubahan apapun yang terjadi padanya, Persyaratan Sistem Manajemen Persyaratan Perundangan dan Kontraktual Kebutuhan evaluasi vendor Persyaratan pelanggan dan Kebutuhan pihak pihak yang berkepentingan Tingkat kinerja auditee terutama yang berkaitan dengan kegagalan ataupun keluhan pelanggan Risiko organisasi Tindak lanjut dari audit sebelumnya Tingkat kematangan dari sistem manajemen 49 Manajemen Program Audit Plan Tanggung Jawab dan Peran Manajer Program Audit bertanggung jawab untuk: Menetapkan tujuan dan lingkup program audit Mengindentifikasi dan mengevaluasi Risiko dari program audit Menetapkan tanggung jawab dan prosedur dan memastikan ketersediaan sumber daya Memastikan penerapan program audit Memastikan catatan terkait dengan program audit terpelihara Mengawasi, meninjau dan meningkatkan program audit 50 25

28 Internal Audit Training ISO 19011:2011 Manajemen Program Audit Plan Kompetensi Manajer Program Audit Seorang manajer program audit sebaiknya memiliki kemampuan untuk mengelola program audit, menangani Risiko yang terkait secara efektif dan efisien, sebaik pengetahuan dan keahlian yang dimilikinya mengenai : Prinsip, prosedur dan metode audit Standar sistem manajemen dan dokumen referensi Aktifitas, produk dan proses-proses dari auditee Perundang-undangan dan persyaratan lainnya yang terkait Pelanggan, supplier dan pihak-pihak yang terkait Dan terus menerus meningkatkan pengetahuan dan keahliannya tersebut 51 Manajemen Program Audit Plan Penetapan Ruang Lingkup Audit (5.3.3) Manajer program audit sebaiknya menetapkan ruang lingkup dari program audit yang dapat bervariasi tergantung dari : Ukuran organisasi Sifat organisasi Fungsi Kompleksitas dan tingkat kematangan organisasi Sebuah organisasi dapat memiliki audit program yang berisi satu jenis audit, tergantung dari jenis aktifitas dan struktur auditee

29 Internal Audit Training ISO 19011:2011 Manajemen Program Audit Plan Ruang Lingkup Program (5.3.3) Ruang lingkup Program Audit dipengaruhi oleh: Ruang lingkup,tujuan, waktu dan frekuensi audit Jumlah, kepentingan, kompleksitas, kesamaan sifat dan lokasi, aktivitas yang diaudit Faktor-faktor yang memepengaruhi keefektifan sistem manajemen Standar, peraturan dan persyaratan kontraktual serta kriteria lainnya yang berlaku Hasil dari audit (eksternal dan internal) dan tinjauan program audit sebelumnya Bahasa, budaya dan isu sosial Kepentingan dari pihak-pihak terkait (e.g. keluhan pelanggan dan ketidaktaatan terhadap peraturan) Perubahan yang mendasar dalam organisasi dan operasinya. Ketersediaan informasi dan teknologi informasi pendukung aktivitas audit (e.g. metode jarak jauh) Ketidaksesuaian yang terjadi baik dari internal ataupun eksternal (e.g. kegagalan produk dan bocornya keamanan informasi) 53 Manajemen Program Audit Plan Identifikasi dan Evaluasi Risiko Program Audit (5.3.4) Terdapat Risiko yang bervariasi terkait dengan penetapan, implementasi, pemantauan dan peningkatan suatu program audit yang dapat mempengaruhi tujuan audit. Manajer program audit sebaiknya mempertimbangkan Risiko ini dalam mengembangkan program audit. Risiko-Risiko tersebut dapat terkait dengan Perencanaan (e.g. kegagalan dalam menetapkan tujuan audit dan ruang lingkup program audit) Sumber daya (e.g Kurangnya waktu pada pelaksanaan audit) Pemilihan tim audit (e.g. kompetensi yang tidak sesuai) Pelaksanaan audit (e.g. komunikasi yang tidak efektif) Pengendalian rekaman (e.g. kerusakan rekaman audit) Pengawasan, peninjauan dan peningkatan program audit (e.g. pengawasan ketidakefektifan program audit) 54 27

30 Internal Audit Training ISO 19011:2011 Manajemen Program Audit Plan Menetapkan Prosedur Program Audit (5.3.5) Prosedur Program Audit sebaiknya ditetapkan termasuk : Membuat perencanaan dan jadwal Audit dengan mempertimbangkan Risiko program audit Memastikan keamanan informasi dan kerahasiaan Menjamin kompetensi auditor dan lead auditor Menyeleksi tim Audit, menetapkan tugas dan tanggung jawabnya Menentukan kompetensi Auditor dan Lead Auditor Melaksanakan audit termasuk penggunaan metode sampling yang sesuai Pelaksanaan tindak lanjut Audit, jika dapat dilaksanakan Pelaporan pencapaian program audit secara keseluruhan ke manajemen puncak Memelihara catatan Program Audit Mengawasi dan meninjau kinerja dan efektifitas Program Audit 55 Diskusi kelompok 1. Pelajari identifikasi risiko dan peluang organisasi 2. Tentukan skala prioritas risiko dan peluang 3. Berdasarkan skala prioritas risiko dan peluang tersebut, buat program audit meliputi: a) Proses apa? b) Departemen apa? c) Frekuensi berapa kali? d) Kualifikasi auditor yang tepat untuk program tersebut 28

31 Internal Audit Training ISO 19011:2011 Manajemen Program Audit Plan Menetapkan Sumber Daya (5.3.6) Pada saat mengidentifikasi sumberdaya program audit, kita sebaiknya mempertimbangkan: Finansial untuk mengembangkan, menerapkan, mengelola dan meningkatkan aktivitas audit Metode/ Teknik Audit Ketersediaan informasi dan teknologi komunikasi ketersediaan auditor dan expert (jika perlu) sesuai tujuan audit Lingkup program dan Risiko audit Waktu perjalanan, akomodasi dan kebutuhan lain 57 Manajemen Program Audit Do Implementasi Program Audit (5.4) Mengkomunikasikan program audit kepada pihak terkait Menetapkan tujuan, lingkup dan kriteria untuk setiap audit Koordinasi dan penjadualan audit dan aktivitas lain terkait dengan program audit Memastikan pemilihan tim audit Memastikan ketersediaan fasilitas yang dibutuhkan tim audit Meyakinkan pelaksanaan audit sesuai program audit Memastikan pengendalian catatan dari aktivitas audit 58 29

32 Internal Audit Training ISO 19011: st party audit 2 nd party audit, 3 rd party AUDIT INITIATED Lead Auditor, Auditor, Expert, Trainee CONTINUAL IMPROVEMENT AUDIT WORKFLOW AUDIT PLAN (obj, scope, criteria) OK INITIAL VISIT PREPARE AUDIT DOCUMENTS BRIEF AUDIT TEAM CARRY OUT AUDIT OPENING MEETING PHYSICAL AUDIT CLOSING MEETING NOT OK RESOLVE WITH AUDITEE Audit Plan, Audit Checklist Audit Notes, NC Report Audit Report, RESULT OF OVERALL PERFORMANCE NO Finding? YES CORRECTIVE/ PREVENTIVE ACTION MANAGEMENT REVIEW YES VERIFICATION? NO 59 Manajemen Program Audit Do Catatan Audit Catatan Program Audit lingkup dan tujuan program audit yang terdokumentasi Risiko program audit hasil tinjauan efektivitas program Catatan Hasil Audit audit plan laporan audit laporan ketidaksesuaian laporan tindakan koreksi audit notes hasil verifikasi Catatan Personnel Evaluasi kompetensi dan kinerja auditor Seleksi Tim Audit Menjaga dan meningkatkan kompetensi Notes: Catatan sebaiknya dipelihara untuk menunjukan implementasi program audit sudah terpenuhi

33 Internal Audit Training ISO 19011:2011 Manajemen Program Audit Check Pengawasan dan Peninjauan Program Audit (5.6) Penerapan program audit sebaiknya dimonitor dan ditinjau pada interval waktu yang sesuai. Hasil tinjauan sebaiknya di laporkan kepada manajemen puncak. Peninjauan program sebaiknya juga terhadap: Tinjauan peningkatan kompetensi tim audit Laporan tinjauan efektivitas program audit 61 Manajemen Program Audit Action Peningkatan / Improvement Program Audit (5.6) Peningkatan program audit sebaiknya mempertimbangkan: hasil-hasil dan trend pengawasan kesesuaian prosedur Kebutuhan dan harapan pihak terkait catatan program audit praktek audit yang baru atau alternatif efektivitas hasil pengukuran resiko program Kerahasiaan dan keamanan informasi program audit 62 31

34 Internal Audit Training ISO 19011:2011 PELAKSANAAN KEGIATAN AUDIT 63 Audit Sistem Manajemen ISO 19011:2011 Pelaksanaan Audit Memulai audit menunjuk audit team leader definisi tujuan-tujuan audit, ruang lingkup dan kriteria menentukan kelayakan audit (informasi audit plan, kerja sama dari auditee, waktu dan sumber daya) menetapkan tim audit melakukan kontak awal dengan auditee 64 32

35 Internal Audit Training ISO 19011:2011 Pelaksanaan Audit Review dokumen Meninjau dokumen dokumen yang relevan dengan Dokumentasi Sistem Manajemen, termasuk catatan, laporan audit sebelumnya. Daftar dokumen: Pedoman/Manual Prosedur Instruksi Kerja Dokumen Eksternal Peraturan Perundangan-undangan 65 Pelaksanaan Audit Persiapan Pelaksanaan Audit Rencana Audit: tujuan-tujuan audit kriteria audit dan referensi dokumen ruang lingkup, tmsk.: identifikasi unit fungsi dan proses dalam organisasi yang akan diaudit tanggal dan tempat Waktu yang disepakati dan durasi peran dan tanggung jawab alokasi sumber daya yang sesuai identifikasi auditee 66 33

36 Internal Audit Training ISO 19011:2011 AUDIT PLAN (SAMPLE) Company / Auditee Audit Objective PT. XYZ Check QMS systems implementation Audit Location JL. Soekarno Hatta, Bandung Auditee Representatives MR and Division Head Audit Scope All Division Audit Criteria ISO 9001:2015 Date of Audit Oktober 2015 Audit Leader Sukamta (SKT) Lead Auditor Auditor Ronaldo (RO),Torres (TR), Del Piero (DP) DAY / TIME Day One AREA / ORGANIZATIONAL UNIT AUDITEE AUDITOR RELATED CLAUSES TO ISO 9001: : Opening Meeting All All Auditor Top Management Director, Vice Director Quality and Document Control All Auditor 4.1, 4.2, 4.3, 5.1, 5.2, 5.3, 6.1, 6.2, 6.3, 7.1, 7.2, 7.3, 7.4, 9.3, 10.1 MR MS, RO 5.3, 6.2, 7.5, 9.1, 9.2, 10.2, Human Resource Dept. Head of HRD TR, DP 5.3, 6.2, 7.1.2, 7.2, 7.3, 7.4, 9.1, 10.2, Pelaksanaan Audit Persiapan dan Pelaksanaan Audit Pembagian tugas Tim Auditor Internal didasarkan pada : Independensi Auditor Kompetensi Auditor Efektivitas penggunaan sumber daya, dan peran serta tanggung jawab dari auditor auditors-in-training technical experts Perubahan tugas mungkin bisa terjadi pada saat pelaksanaan audit untuk pencapaian Tujuan Audit

37 Internal Audit Training ISO 19011:2011 Pelaksanaan Audit Persiapan dokumen kerja Dokumen kerja sebaiknya disiapkan dan digunakan oleh Tim Audit sebagai referensi dan alat pencatatan hasil audit, termasuk : checklist and audit sampling plan form pencatatan ketidaksesuaian (Corrective Action Request/Report) Catatan catatan yang dihasilkan pada saat Audit Internal dilakukan, harus disimpan (lihat elemen ISO 9001:2015) 69 Teknik-teknik Sampling Karena terbatas oleh waktu dan sumber daya maka proses audit dilakukan dengan cara sampling, beberapa teknik sampling a.l; Vertical Slice Sampling Mengambil satu sample dan memeriksa kesesuaiannya terhadap semua element Quality system atau persyaratan tertentu yang terkait Horizontal Slice Sampling Konsentrasi pada satu elemen quality system dan memeriksa beberapa sample terkait dengan elemen tersebut. Pada umumnya, digunakan kombinasi dari kedua teknik tersebut

38 Internal Audit Training ISO 19011:2011 Jika suatu masalah terdeteksi melalui vertical slice, horizontal slice sampling harus digunakan untuk menentukan kedalaman dan keseriusan dari masalah tsb!! Sample 1 Sample 2 Sample 3 Sample 4 Kepuasan Pelanggan Analisis dan evaluasi data kepuasan pealnggan Corrective action 51 Pelaksanaan Audit Manfaat Checklist Untuk mengatur dan mengendalikan waktu pelaksanaan audit Untuk mengatur dan mengendalikan ruang lingkup audit agar sesuai dengan rencana dan jadwal yang telah dibuat Memberikan panduan dalam menelusuri dokumen referensi yang diperlukan Alat bantu dalam penyusunan hasil audit yang dilakukan 72 36

39 Internal Audit Training ISO 19011:2011 Pelaksanaan Audit Penyusunan Checklist What aktivitas apa yang akan dicek/diverifikasi Why tujuan pelaksanaan aktivitas (kesesuaian dengan target, kebijakan, prosedural, dll.) Where informasi yang dibutuhkan terkait dengan pelaksanaan aktivitas yang diobservasi When tenggat waktu pelaporan kinerja dan penyelesaian aktivitas sesuai target Who orang/bagian/site yang bertanggungjawab atas pelaksanaan aktivitas terkait dan penanggungjawab tindak lanjut jika target tidak tercapai How bagaimana aturan main pelaksanaan, pemantauan dan pengukuran keberhasilan aktivitas tersebut 73 Contoh Checklist Audit Klausul (9001) Hal Yang Diperiksa Dokumentasi Diterapkan Status Ya Tidak Bukti Obyektif OK Not OK Keterangan 6.2 Target di bagian HRD dan rencana untuk mencapai target 9.1 pemantauan dan pengukuran pencapaian target, analisa dan evaluasi target di bagian HRD 5.3 tugas dan tanggung jawab bagian HRD 8.1 perencanaan pelaksanaan proses HRD 8.7 ketidaksesuaian mungkin terjadi 10.2 tindakan korektif yang dilakukan terhadap ketidaksesuaian di HRD 74 37

40 Internal Audit Training ISO 19011:2011 Checklist audit Buat checklist audit untuk tiap proses yang akan diaudit Checklist audit harus mencakup minimum 3 kriteria audit Checklist audit harus mencakup sikuls PDCA Sediakan tempat yang cukup untuk mencatat: o Semua informasi untuk menjadi bukti audit o Kriteria audit o Kriteria temuan audit 75 Pelaksanaan Audit Opening Meeting Memperkenalkan anggota Tim Audit Konfirmasi mengenai Tujuan, Ruang Lingkup dan Kriteria Audit Konfirmasi mengenai Rencana Audit (Audit Plan) Metode Pelaksanaan Audit dan Manajemen Risiko Sumberdaya dan Fasilitas yang diperlukan Konfirmasi mengenai kerahasiaan informasi dan data Konfirmasi mengenai hadirnya personil yang relevan dengan ruang lingkup audit Status temuan audit (misal; major, minor, atau observasi) 76 38

41 Internal Audit Training ISO 19011:2011 Catat Gunakan Metode yang Sesuai Tanya Check buktinya Metode Audit Minta Bukti Wawancara - 5W 1H 1S 1N Observasi fisik dari pelaksanaan dan kondisi sarana/prasarana Review dokumen Melakukan pengujian / test 77 Metode Audit : Wawancara Gunakan 5W + 1 H + 1S + 1N Why (Mengapa), Where (Dimana), What (Apa), When (Kapan), Who (Siapa), How (Bagaimana), disertai dengan pembuktian/verifikasi hasil yang baik. (Show me) Jangan lupa dicatat buktinya (Note) Contoh: T : Bagaimana anda menyimpan bahan baku? J : Bahan baku disimpan pada area yang terpisah dan aman diserta tanda tanda peringatan yang memadai dan terdapat pemadam kebakaran T : Tunjukkan kepada saya (catat/rekam bukti/hasil observasinya) 78 39

42 Internal Audit Training ISO 19011:2011 Open Question : Pertanyaan umum, tidak dapat dijawab dengan ya atau tidak Contoh: Bagaimana cara penetapan sasaran mutu di organisasi anda? Extended Question: Pengembangan dari pernyataan auditee Contoh: Apa dan bagaimana cara anda mengukur pencapaian sasaran mutunya? Clarification Question : untuk mencegah informasi yang kurang atas jawaban pertanyaan umum Metode Audit : Wawancara Gunakan Metode yang Sesuai Contoh : dari penjelasan anda dilakukan pengukuran setiap bulan, bagaimana anda memastikan bahwa itu dilakukan? Closing Question: untuk menutup pertanyaan yang diajukan digunakan untuk mengkonfirmasi fakta 79 Metode Audit : Wawancara Gunakan Metode yang Sesuai Trace Forward telusuri dari input ke output untuk mengetahui hasilnya. Contoh: mulai dari kontrak marketing untuk meyakinkan apakah persyaratan pelanggan telah dipenuhi. Trace Backward telusuri dari output ke input untuk melihat tahapan proses yang dilalui apakah sesuai. Contoh: dari keluhan pelanggan, kemudian diteruskan ke prosesproses realisasi operasional Combination 80 40

43 Internal Audit Training ISO 19011:2011 Struktur Penyampaian Pertanyaan dalam Audit (trace forward) Tanyakan proses/ aktivitasnya apa (8.1) Tanyakan target Tanyakan bagaimana cara mencapainya? - cara (8.1/8.3,8.5.,7.1.4) - alat (7.1.3,7.1.5, 8.4) - orang (7.1.2, 7,2, 7.3, 7.4, 5.3) Tanyakan cara mengukurnya (9.1, 8.6) Tanyakan bagaimana bila tidak tercapai (8.7, 10.1, 10.2, 10.3) Tanyakan prosedurnya (7.5) Lihat kebijakan mutu, fokus pada masalah apa? (5.2) Quality objective (6.2) Koreksinya spt apa?apakah ada verifikasi stlh diperbaiki? T Ada? Referensi : UU, Permen Manual Mutu Prosedur WI Lihat program peningkatan kompetensi (5.3, 7.2) Tanyakan kompetensi orang (7.2) Tanyakan record (7.5) 81 Contoh Audit Quality Risk Tanyakan Aktifitas (Input-proses-output) (4.4.1) Tanyakan apa yang menjadi Risiko di proses tersebut (6.1.1) Tanyakan langkah-langkah yang dilakukan untuk mengatasi risk tersebut (6.1.2) Cek bagamana implementasinya ( 7 / 8 ) Cek apakah dilakukan evaluasi (9.1) Cek apakah ketidaksesuaian yang berkaitan dengan risk sudah diidentifikasi (10.2) Cek setelah melakukan tindakan korektif apakah harus mengupdate risk (10.2) 82 41

44 Internal Audit Training ISO 19011:2011 Metode Audit : Wawancara Yang sebaiknya dicatat Tanggal audit Area / Lokasi Audit : Misalnya: Laboratory, Warehouse, Production,etc Klausul relevan dari ISO 9001:2015 Referensi dokumen/ bukti audit Deskripsi dari proses, produk atau personel yang diaudit Nama dan Tanggal dokumen audit Yang berpotensi menjadi ketidaksesuaian Hal-hal yang akan di follow up Improvement idea Bukti-bukti kesesuaian 83 Metode Audit : Wawancara Jangan jadi interogator Tetap objektif dan bersahabat Lebih banyak mendengar (75%) Hindari menjebak, mencurigai, AWAS! menuduh atau pertanyaan beruntun 84 42

45 Internal Audit Training ISO 19011:2011 Metode Audit : Wawancara Karakter dan Situasi Audit Orang-orang yang argumentatif Serangan total Pembuang waktu Waffles (gaya bicara berlebihan tapi isinya sedikit) Orang yang gemar memuji/flatterers atau pura-pura ramah Pikun (senility) Interupsi yang terencana/tidak terencana Cook s Tours dan penjelasan yg panjang Coffee/lunch break yg diperpanjang Menguraikan kasus-kasus khusus 85 Sikap permusuhan dari auditee Progressive Hostility Sudden Hostility Immediate Hostility Yang dapat dilakukan Auditor antara lain: Menjelaskan kepada auditee bahwa audit adalah audit sistem bukan orang. Penyimpangan terjadi mungkin karena ketidakjelasan sistem (instruksi kerja tidak jelas) atau mengindikasikan adanya kelemahan pada sistem (tidak dilakukannya on the job training/ sosialisasi terhadap sistem yang baru)` 43

46 Internal Audit Training ISO 19011:2011 Metode Audit : Wawancara Berbicaralah kepada yang mengerjakan pekerjaan Jangan menyuruh diam Berbicaralah dengan bahasa interviewee Berbicaralah dengan jelas Jangan membingungkan-ajukan pertanyaan satu per satu Kembali ke pertanyaan yang tidak dapat dijawab segera 87 Metode Audit : Observasi Lapangan 1. Pengamatan terhadap kondisi sarana/prasarana (eg. Gedung, AC, mesin, dll) 2. Pengamatan terhadap Lingkungan kerja (yang berkaitan baik terhadap mutu, lingkungan ataupun K3) 3. Pengamatan dalam proses pengerjaan (sesuai persyaratan/tidak) 4. Tingkah laku manusia (terutama Audit K3 berhubungan dengan unsafe action) Jangan lupa dicatat/direkam Catatan : pada saat observasi fisik/lapangan sebaiknya didampingi seorang saksi (baik dari guide ataupun auditee) untuk memperkuat bukti laporan 88 44

47 Internal Audit Training ISO 19011:2011 Verifikasi hasil Audit Ringkasan Proses Mengumpulkan dan Memverifikasi Informasi Sumber Informasi mengumpulkan informasi dengan cara sampling yang sesuai Bukti audit Evaluasi terhadap kriteria audit Temuan audit peninjauan Kesimpulan audit 89 Pelaporan Audit Temuan Audit Temuan audit sebaiknya dievaluasi berdasarkan kriteria audit yang digunakan untuk menentukan klasifikasi temuan. Temuan audit dapat diklasifikasikan kesesuaian atau ketidaksesuaian terhadap standar dan/atau sebagai peluang perbaikan mutu. Jenis temuan audit yang dijelaskan terperinci saat closing meeting: Observasi/Opportunity For Improvement (OFI) Ketidaksesuaian Minor/ non significant Ketidaksesuaian Major/ significant 90 45

48 Internal Audit Training ISO 19011:2011 Pelaporan Audit Temuan Audit Observation/OFI tidak dikategorikan ketidaksesuaian tidak melanggar elemen dari sistem manajemen mutu yang telah ditetapkan berdasarkan pengalaman dan pengetahuan seorang Auditor Internal bersifat saran untuk peningkatan atau peluang perbaikan Contoh: Pelaksanaan diklat On-Job-Training sebaiknya mempertimbangkan waktu yang tepat untuk pelaksanaan dan evaluasinya. 91 Pelaporan Audit Temuan Audit Minor/ Non Significant Nonconformity tidak mempunyai dampak yang serius terhadap mutu atau sistem mutu human error contoh: Kesalahan atau ketidaksesuaian pada dokumen seperti prosedur atau instruksi kerja terhadap pelaksanaan yang sebenarnya atau terhadap persyaratan standar yang ada Penyimpangan dalam penerapan terhadap bagian dari prosedur instruksi kerja 92 46

49 Internal Audit Training ISO 19011:2011 Pelaporan Audit Temuan Audit Major/ Significant Nonconformity berdampak yang serius terhadap pencapaian mutu atau efektivitas sistem mutu Contoh: Tidak dilakukannya pemeriksaan/pengujian pada saat penerimaan bahan baku Tidak adanya pengendalian terhadap proses khusus Tidak dilakukannya program audit mutu internal 93 Pelaporan Audit NC Jika P-L-O ada tapi R tidak ada?? Jika P-R ada tapi L&O tidak ada?? Jika R-L&O ada tapi P tidak ada?? Jika P-L-O-R maka?? Location & Objective Evidence Problem : Apakah ada masalah? Location : Dimana lokasinya? Objective evidence : Apa buktinya? Reference : Apakah ada standard/prosedur yang mengatur? 94 47

50 Internal Audit Training ISO 19011:2011 Pelaporan Audit Analisa Penentuan Status Temuan Problem Location Objective Evidence Reference NC Tidak ada NC Kesesuaian / Observasi" Berdampak signifikan MAJOR Tidak Berdampak signifikan MINOR 95 Pelaporan Audit Contoh: ISO 9001:2015 O L Target KPI tahun 2016 di Departemen Marketing P tidak dianalisa dan dievaluasi pencapaiannya, seperti yang diminta dalam Prosedur PM/MR/08 revisi 01 dan klausul dari ISO 9001:2015. R 96 48

51 Internal Audit Training ISO 19011:2011 Pelaporan Audit Closing Meeting Menyelesaikan perbedaan Menyampaikan kesimpulan audit sesuai tujuan audit Memberikan rekomendasi jika diperlukan dan kita mengerti tentang hal tersebut Memastikan kapan tindakan perbaikan dilakukan Menginformasikan waktu penyerahan laporan Menekankan kerahasiaan informasi 97 Pelaporan Audit Tugas Internal Auditor Mengidentifikasi ketidaksesuaian yang ditemukan dalam LKS/PTP/CAR/NCR Menjelaskan ketidaksesuaian yang ditemukan kepada auditee Meminta persetujuan dari auditee mengenai batas waktu pelaksanaan tindakan perbaikan Verifikasi tindakan perbaikan yang dilakukan 98 49

52 Internal Audit Training ISO 19011:2011 Tindak lanjut audit oleh auditee Correction (3.12.3) Action to eliminate a detected nonconformity Corrective Action (3.12.2) Action to eliminate the cause of a nonconformity and to prevent recurrence Oleh karena itu jangan membuat corrective action sebelum mengetahui penyebabnya Penyebab yang berbeda akan menghasilkan corrective action yang juga berbeda Sumber: ISO 9000: Pelaporan Audit Verifikasi Verifikasi bahwa akar penyebab permasalahan telah benar-benar teridentifikasi. Verifikasi bahwa tindakan perbaikan yang dilakukan telah cukup baik dan efektif. Verifikasi bahwa personal yang terkait benar - benar mengetahui tindakan perbaikan yang dilaksanakan atau dengan adanya pelatihan mengenai perubahan sistem/dokumen akibat tindakan perbaikan tersebut. Melihat dokumentasi dari tindakan perbaikan yang telah dilakukan (adanya perubahan dokumen/data)

53 Internal Audit Training ISO 19011:2011 Have we met your expectations? We look forward to your feedback /6/2018 Internal Quality Audit Thank You Contact Us For All Your Training Needs PT TUV Rheinland Indonesia Menara Karya 10th Floor Jl. H.R. Rasuna Said Block X-5 Kav. 1-2 Jakarta Indonesia mukhsin.safiq@tuv.com Website : Phone : ext 179 Fax : PT TUV Rheinland Indonesia 51

54 Quality Management System Requirements Persyaratan Sistem Manajemen Mutu 1 Scope This International Standard specifies requirements for a quality management system when and organization: a) needs to demonstrate its ability to consistently provide products and services that meet customer and applicable statutory and regulatory requirements, and b) aims to enhance customer satisfaction through the effective application of the system, including processes for improvement of the system and the assurance of conformity to customer andapplicable statutory and regulatory requirements. All the requirements of this International Standard are generic and are intended to be applicable to any organization, regardless of its type or size, or the products and services it provides. 1 Ruang Lingkup Standard Internasional ini menetapkan persyaratan untuk sistem manajemen mutu ketika suatu organisasi: a) Memerlukan untuk membuktikan kemampuannya untuk secara konsisten menyediakan produk dan jasa yang memenuhi persyaratan pelanggan dan peraturan perundangan yang berlaku, dan b) Bertujuan untuk meningkatkan kepuasan pelanggan melalui penerapan sistem yang efektif, termasuk proses proses untuk peningkatan sistem dan jaminan kesesuaian terhadap persyaratan pelanggan dan peraturan perundangan yang berlaku. Semua persyaratan dari standard internasional ini bersifat umum dan bertujuan untuk dapat diterapkan kepada semua organisasi, tanpa memperhatikan ukuran atau jenisnya, atau barang dan jasa yang disediakannya. NOTE 1 In this International Standard, the terms product or service only apply to products and services intended for, or required by, a customer. NOTE 2 Statutory and regulatory requirements can be expressed as legal requirements. 2 Normative references The following documents, in whole or in part, are normatively referenced in this document and are indispensable for its application. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies. ISO 9000:2015, Quality management systems Fundamentals and vocabulary 3 Terms and definitions For the purposes of this document, the terms and definitions given in ISO 9000:2015 apply. 4 Context of the organization Catatan 1 Dalam standard internasional ini, istilah produk atau jasa hanya berlaku untuk produk dan jasa yang dimaksudkan untuk, atau dikehendaki oleh pelanggan. Catatan 2 Persyaratan Peraturan dan perundangan dapat dinyatakan sebagai persyaratan hukum. 2 Referensi Baku Dokumen berikut, secara keseluruhan maupun sebagian, adalah rujukan baku dalam dokumen ini dan wajib diterapkan. Untuk referensi bertanggal, hanya tanggal kutipan yang berlaku. Untuk referensi tidak bertanggal, edisi terakhir dari rujukan dokumen (termasuk adanya perubahan) yang berlaku. ISO 9000:2015, Quality Management Systems Fundamentals and Vocabulary 3 Istilah dan definisi Untuk tujuan dokumen ini, istilah dan definisi diberikan dalam ISO 9000:2015 berlaku. 4 Konteks Organsasi 1

55 4.1 Understanding the organization and its context The organization shall determine external and internal issues that are relevant to its purpose and its strategic direction and that affect its ability to achieve the intended result(s) of its quality management system. The organization shall monitor and review information about these external and internal issues. NOTE 1 Issues can include positive and negative factors or conditions for consideration. NOTE 2 Understanding the external context can be facilitated by considering issues arising from legal, technological, competitive, market, cultural, social and economic environments, whether international, national, regional or local. NOTE 3 Understanding the internal context can be facilitated by considering issues related to values, culture, knowledge and performance of the organization. 4.2 Understanding the needs and expectations of interested parties Due to their effect or potential effect on the organization s ability to consistently provide products and services that meet customer and applicable statutory and regulatory requirements, the organization shall determine: a) the interested parties that are relevant to the quality management system; b) the requirements of these interested parties that are relevant to the quality management system. The organization shall monitor and review information about these interested parties and their relevant requirements. 4.3 Determining the scope of the quality management system The organization shall determine the boundaries and applicability of the quality management system to establish its scope. When determining this scope, the organization shall consider: a) the external and internal issues referred 4.1 Pemahaman Organisasi dan konteksnya Suatu organisasi harus menentukan eksternal dan internal issue yang relevan dengan tujuan dan arah strategisnya dan yang mempengaruhi kemampuan untuk mencapai hasil yang diinginkan dari sistem manajemen mutunya. Organisasi harus memantau dan meninjau informasi mengenai internal dan eksternal issue ini. Catatan 1 Catatan 2 Catatan 3 issue dapat termasuk faktor positif dan negatif atau kondisi untuk dipertimbangkan. Pemahaman konteks eksternal dapat difasilitasi dengan mempertimbangkan issue yang timbul dari hukum/ peraturan, teknologi, kompetisi, pasar, budaya, social dan lingkungan ekonomis, baik internasional, nasional, regional maupun lokal. Pemahaman konteks internal dapat difasilitasi dengan mempertimbangkan issue terkait dengan nilai, budaya, pengetahuan dan kinerja organisasi. 4.2 Pemahaman kebutuhan dan harapan dari pihak berkepentingan Mengingat efek dan potensial efek terhadap kemampuan organisasi untuk secara konsisten menyediakan produk dan jasa yang memenuhi persyaratan pelanggan dan peraturan perundangan, organisasi harus menetapkan: a) Pihak pihak berkepentingan yang relevan dengan sistem manajemen mutu; b) Persyaratan dari pihak berkepentingan ini yang relevan dengan sistem manajemen mutu. Organisasi harus memantau dan meninjau informasi mengenai pihak pihak yang berkepentingan ini dan persyaratan mereka yang relevan. 4.3 Menentukan ruang lingkup dari sistem manajemen mutu Organisasi harus menentukan batasan dan penerapan dari sistem manajemen mutu untuk menentukan ruang lingkupnya. Ketika menentukan ruang lingkup ini, organisasi harus mempertimbangkan: a) Issue issue internal dan eksternal 2

56 to in 4.1; b) the requirements of relevant interested parties referred to in 4.2; c) the products and services of the organization. The organization shall apply all the requirements of this International Standard if they are applicable within the determined scope of its quality management system. The scope of the organization s quality management system shall be available and be maintained as documented information. The scope shall state the types of products and services covered, and provide justification for any requirement of this International Standard that the organization determines is not applicable to the scope of its quality management system. Conformity to this International Standard may only be claimed if the requirements determined as not being applicable do not affect the organization s ability or responsibility to ensure the conformity of its products and services and the enhancement of customer satisfaction. 4.4 Quality management system and its processes The organization shall establish, implement, maintain and continually improve a quality management system, including the processes needed and their interactions, in accordance with the requirements of this International Standard. The organization shall determine the processes needed for the quality management system and their application throughout the organization, and shall: a) determine the inputs required and the outputs expected from these processes; b) determine the sequence and interaction of these processes; c) determine and apply the criteria and methods (including monitoring, measurements and related performance indicators) needed to ensure the effective operation and control of these processes; d) determine the resources needed for mengacu pada 4.1; b) Persyaratan dari pihak berkepentingan yang relevan mengacu pada 4.2; c) Produk dan jasa dari organisasinya. Organisasi harus menerapkan semua persyaratan dari standard insternasional ini jika mereka berlaku dalam scope yang sudah ditentukan dari sistem manajemen mutunya. Scope sistem manajemen mutu organisasi harus tersedia dan dipelihara sebagai informasi terdokumentasi. Scope harus menyatakan tipe produk dan jasa yang tercakup, dan menyediakan justifikasi untuk persyaratan dari standard internasional ini, yang ditentukan oleh organisasi untuk tidak diterapkan dalam scope sistem manajemen mutunya. Kesesuaian terhadap standard internasional ini hanya bisa diakui jika persyaratan yang tidak diberlakukan tidak mempengaruhi kemampuan atau tanggung jawab organisasi untuk memastikan kesesuaian produk dan jasanya dan peningkatan kepuasan pelanggan. 4.4 Sistem Manajemen Mutu dan prosesprosesnya Organisasi harus menetapkan, menerapkan, memelihara dan terus meningkatkan sistem manajemen mutu, termasuk proses yang diperlukan dan interaksinya, sesuai dengan persyaratan dari standard internasional ini. Organisasi harus menetapkan proses yang diperlukan untuk sistem manajemen mutu dan penerapannya di seluruh organisasi, dan harus: a) Menentukan input yang diperlukan dan output yang diharapkan dari prosesproses ini; b) Menentukan urutan dan interaksi dari proses proses ini; c) Menentukan dan menerapkan kriteria dan metode (termasuk pemantauan, pengukuran, dan indikator performa yang terkait) untuk memastikan pengerjaan dan pengendalian yang efektif dari proses proses ini; d) Menentukan sumber daya yang 3

57 these processes and ensure their availability; e) assign the responsibilities and authorities for these processes; f) address the risks and opportunities as determined in accordance with the requirements of 6.1; g) evaluate these processes and implement any changes needed to ensure that these processes achieve their intended results; h) improve the processes and the quality management system To the extent necessary, the organization shall: a) maintain documented information to support the operation of its processes; b) retain documented information to have confidence that the processes are being carried out as planned. 5 Leadership 5.1 Leadership and commitment General Top management shall demonstrate leadership and commitment with respect to the quality management system by: a) taking accountability for the effectiveness of the quality management system; b) ensuring that the quality policy and quality objectives are established for the quality management system and are compatible with the context and strategic direction of the organization; c) ensuring the integration of the quality management system requirements into the organization s business processes; d) promoting the use of the process approach and risk based thinking; e) ensuring that the resources needed for the quality management system are available; f) communicating the importance of effective quality management and of conforming to the quality management system requirements; diperlukan untuk proses proses ini dan memastikan ketersediaannya; e) Menugaskan tanggung jawab dan wewenang untuk proses proses ini; f) Mengatasi resiko dan peluang seperti yang ditentukan sesuai dengan persyaratan dari 6.1; g) Mengevaluasi proses proses ini dan menerapkan perubahan yang diperlukan untuk memastikan bahwa proses proses ini mencapai hasil yang diinginkan; h) Meningkatkan proses dan sistem manajemen mutu Sejauh yang diperlukan, organsasi harus: a) memelihara informasi terdokumentasi untuk mendukung pengerjaan prosesprosesnya; b) menyimpan informasi terdokumentasi untuk meyakinkan bahwa prosesnya dilakukan sesuai dengan yang telah direncanakan. 5 Kepemimpinan 5.1 Kepemimpinan dan Komitmen Umum Top manajemen harus menunjukkan kepemimpinan dan komitmennya terkait dengan sistem manajemen mutu, dengan: a) Mempertimbangkan efektifitas sistem manajemen mutu; b) Memastikan bahwa kebijakan mutu dan sasaran mutu ditetapkan untuk sistem manajemen mutu sesuai dengan konteks dan arah strategis organisasi; c) Memastikan integrasi dari persyaratan sistem manajemen mutu ke dalam bisnis proses organisasi; d) Mendorong penggunaan pendekatan proses dan pemikiran berbasis resiko; e) Memastikan tersedianya sumber daya yang dibutuhkan untuk sistem manajemen mutu; f) Mengkomunikasikan pentingnya efektifitas sistem manajemen mutu dan kesesuaian terhadap persyaratan sistem manajemen mutu; 4

58 g) ensuring that the quality management system achieves its intended results; h) engaging, directing and supporting persons to contribute to the effectiveness of the quality management system; i) promoting improvement; j) supporting other relevant management roles to demonstrate their leadership as it applies to their areas of responsibility. NOTE Reference to business in this International Standard can be interpreted broadly to mean those activities that are core to the purposes of the organization s existence, whether the organization is public, private, for profit or not for profit Customer focus Top management shall demonstrate leadership and commitment with respect to customer focus by ensuring that: a) customer and applicable statutory and regulatory requirements are determined, understood and consistently met; b) the risks and opportunities that can affect conformity of products and services and the ability to enhance customer satisfaction are determined and addressed; c) the focus on enhancing customer satisfaction is maintained. 5.2 Policy Establishing the quality policy Top management shall establish, implement and maintain a quality policy that: a) is appropriate to the purpose and context of the organization and supports its strategic direction; b) provides a framework for setting quality objectives; c) includes a commitment to satisfy applicable requirements; d) includes a commitment to continual improvement of the quality management system. g) Memastikan sistem manajemen mutu mencapai hasil yang diinginkan; h) Mengikutsertakan, mengarahkan dan mendukung personel untuk berkontribusi terhadap efektifitas sistem manajemen mutu; i) Mendorong peningkatan; j) Mendukung tugas management lain yang relevan untuk menunjukkan kepempimpinan mereka sesuai dengan area tanggung jawabnya. Catatan Acuan terhadap bisnis dalam standard internasional ini dapat diartikan secara luas menjadi aktifitas yang terutama ditujukan untuk eksistensi organisasi, apakah public, private, untuk tujuan profit ataupun non profit Fokus Pelanggan Top management harus menunjukkan kepeminpinan dan komitmen berkenaan dengan focus pelanggan dengan memastikan bahwa: a) Persyaratan pelanggan dan peraturan perundangan yang berlaku ditetapkan, dipahami dan secara konsisten dipenuhi; b) Resiko dan peluang yang dapat mempengaruhi produk dan jasa dan kemampuan untuk meningkatkan kepuasan pelanggan ditetapkan dan ditangani; c) Focus dan peningkatan kepuasan pelanggan dipertahankan. 5.2 Kebijakan Menetapkan Kebijakan Mutu Top Manajemen harus menetapkan, menerapkan dan memelihara kebijakan mutu yang: a) Sesuai dengan tujuan dan konteks organisasi dan mendukung arah strategisnya; b) Menyediakan kerangka kerja untuk menetapkan sasaran mutu; c) memasukkan komitmen untuk memenuhi persyaratan yang berlaku; d) memasukkan komitmen untuk peningkatan berkelanjutan dari sistem manajemen mutu. 5

59 5.2.2 Communicating the quality policy The quality policy shall: a) be available and be maintained as documented information; b) be communicated, understood and applied within the organization; c) be available to relevant interested parties, as appropriate. 5.3 Organizational roles, responsibilities and authorities Top management shall ensure that the responsibilities and authorities for relevant roles are assigned, communicated and understood within the organization. Top management shall assign the responsibility and authority for: a) ensuring that the quality management system conforms to the requirements of this International Standard; b) ensuring that the processes are delivering their intended outputs; c) reporting on the performance of the quality management system and on opportunities for improvement (see 10.1), in particular to top management; d) ensuring the promotion of customer focus throughout the organization; e) ensuring that the integrity of the quality management system is maintained when changes to the quality management system are planned and implemented. 6 Planning 6.1 Actions to address risks and opportunities When planning for the quality management system, the organization shall consider the issues referred to in 4.1 and the requirements referred to in 4.2 and determine the risks and opportunities that need to be addressed to: a) give assurance that the quality management system can achieve its intended result(s); b) enhance desirable effects; Mengkomunikasikan kebijakan mutu Kebijakan mutu harus: a) Tersedia dan dipelihara sebagai informasi terdokumentasi; b) Dikomunikasikan, dipahami dan diberlakukan dalam organisasi; c) Tersedia untuk pihak pihak yang berkepentingan dengan semestinya. 5.3 Tugas, tanggung jawab dan wewenang organisatoris Top manajemen harus memastikan bahwa tanggung jawab dan wewenang untuk peran yang relevan sudah ditetapkan, dikomunikasikan dan dipahami dalam organisasi. Top manajemen harus menetapkan tanggung jawab dan wewenang untuk: a) Memastikan bahwa sistem manajemen mutu sesuai dengan persyaratan dari standard internasional ini; b) Memastikan bahwa proses proses menghasilkan output yang diinginkannya; c) Melaporkan performa dari sistem manajemen mutu dan peluang peningkatan (lihat 10.1), khususnya kepada top manajemen; d) Memastikan dorongan terhadap fokus pelanggan di seluruh organisasi; e) Memastikan integritas dari sistem manajemen mutu tetap terjaga ketika perubahan terhadap sistem manajemen mutu direncanakan dan diterapkan. 6 Perencanaan 6.1 Tindakan untuk mengatasi resiko dan peluang Ketika merencanakan sistem manajemen mutu, organisasi harus mempertimbangkan issue issue mengacu pada 4.1 dan persyaratan yang mengacu pada 4.2, dan menentukan resiko dan peluang yang dibutuhkan untuk ditujukan kepada: a) memberikan jaminan bahwa sistem manajemen mutu dapat mencapai hasil yang diinginkan; b) meningkatkan efek yang diharapkan; 6

60 c) prevent, or reduce, undesired effects; d) achieve improvement The organization shall plan: a) actions to address these risks and opportunities; b) how to: 1) integrate and implement the actions into its quality management system processes (see 4.4); 2) evaluate the effectiveness of these actions. Actions taken to address risks and opportunities shall be proportionate to the potential impact on the conformity of products and services. NOTE 1 Options to address risks can include avoiding risk, taking risk in order to pursue an opportunity, eliminating the risk source, changing the likelihood or consequences, sharing the risk, or retaining risk by informed decision. NOTE 2 Opportunities can lead to the adoption of new practices, launching new products, opening new markets, addressing new customers, building partnerships, using new technology and other desirable and viable possibilities to address the organization s or its customers needs. 6.2 Quality objectives and planning to achieve them The organization shall establish quality objectives at relevant functions, levels and processes needed for the quality management system. The quality objectives shall: a) be consistent with the quality policy; b) be measurable; c) take into account applicable requirements; d) be relevant to conformity of products and services and to enhancement of customer satisfaction; e) be monitored; f) be communicated; c) mencegah, atau mengurangi efek yang tidak diharapkan; d) mencapai peningkatan Organisasi harus merencanakan: a) Tindakan untuk mengatasi resiko resiko dan peluang peluang ini; b) bagaimana untuk: 1) mengintegrasikan dan menerapkan tindakan terhadap proses proses sistem manajemen mutu (lihat 4.4); 2) Mengevaluasi efektifitas dari tindakantindakan ini. Tindakan yang diambil untuk mengatasi resiko dan peluang harus proporsional terhadap potensial akibat atas kesesuaian produk dan jasa. Catatan1 Pilihan untuk mengatasi resiko dapat termasuk menghindari resiko, mengambil resiko untuk mengejar peluang, mengubah kemungkinan atau konsekuensi, membagi resiko atau membiarkan resiko dengan keputusan yang diinformasikan. Catatan2 Peluang dapat menuntun pada pengadopsian praktek baru, peluncuran produk baru, pembukaan pasar baru, mendapatkan pelanggan baru, membangun kemitraan, menggunakan teknologi baru dan kemungkinan lain yang diinginkan dan berjalan terus, yang ditujukan untuk memenuhi kebutuhan organisasi atau pelanggan. 6.2 Sasaran mutu dan rencana untuk mencapainya Organisasi harus menetapkan sasaran mutu pada fungsi, level dan proses terkait, yang diperlukan untuk sistem manajemen mutu. Sasaran mutu harus: a) Konsisten dengan kebijakan mutu; b) Terukur; c) Memperhitungkan persyaratan yang berlaku; d) Relevan untuk kesesuaian produk dan jasa, dan peningkatan kepuasan pelanggan; e) Dipantau; f) Dikomunikasikan; 7

61 g) be updated as appropriate. The organization shall maintain documented information on the quality objectives When planning how to achieve its quality objectives, the organization shall determine: a) what will be done; b) what resources will be required; c) who will be responsible; d) when it will be completed; e) how the results will be evaluated. 6.3 Planning of changes When the organization determines the need for changes to the quality management system, the changes shall be carried out in a planned manner (see 4.4). The organization shall consider: a) the purpose of the changes and their potential consequences; b) the integrity of the quality management system; c) the availability of resources; d) the allocation or reallocation of responsibilities and authorities. 7 Support 7.1 Resources General The organization shall determine and provide the resources needed for the establishment, implementation, maintenance and continual improvement of the quality management system. The organization shall consider: a) the capabilities of, and constraints on, existing internal resources; b) what needs to be obtained from external providers People The organization shall determine and provide the persons necessary for the effective implementation of its quality management system and for the operation and control of its processes Infrastructure The organization shall determine, provide and g) Diperbaharui dengan semestinya. Organisasi harus mempertahankan informasi terdokumentasi mengenai sasaran mutu Ketika merencanakan bagaimana mencapai sasaran mutunya, organisasi harus menentukan: a) apa yang akan dilakukan; b) sumber daya apa yang diperlukan; c) siapa yang bertanggungjawab; d) kapan akan selesai; e) bagaimana hasilnya akan dievaluasi. 6.3 Rencana Perubahan Ketika organisasi menentukan kebutuhan untuk perubahan sistem manajemen mutu, perubahan harus dilakukan secara terencana (lihat 4.4) Organisasi harus mempertimbangkan: a) Tujuan dari perubahan dan potensial akibatnya; b) Intergritas dari sistem manajemen mutu; c) Ketersediaan sumber daya; d) Alokasi atau realokasi dari tanggung jawab dan wewenang. 7 Pendukung 7.1 Sumber daya Umum Organisasi harus menentukan dan menyediakan sumber daya yang diperlukan untuk menetapkan, menerapkan, memelihara dan meningkatkan sistem manajemen mutu. Organisasi harus mempertimbangkan: a) Kemampuan dari, dan kendala terhadap, sumber daya internal yang ada; b) Apa yang perlu didapatkan dari penyedia eksternal Manusia Organisasi harus menentukan dan menyediakan orang orang yang diperlukan untuk penerapan yang efektif dari sistem manajemen mutu dan untuk pengerjaan dan pengendalian dari prosesprosesnya Infrastructure Organisasi harus menentukan, menyediakan dan 8

62 maintain the infrastructure necessary for the operation of its processes and to achieve conformity of products and services. NOTE Infrastructure can include: a) buildings and associated utilities; b) equipment, including hardware and software; c) transportation resources; d) information and communication technology Environment for the operation of processes The organization shall determine, provide and maintain the environment necessary for the operation of its processes and to achieve conformity of products and services. NOTE A suitable environment can be a combination of human and physical factors, such as: a) social (e.g. non discriminatory, calm, non confrontational); b) psychological (e.g. stress reducing, burnout prevention, emotionally protective); c) physical (e.g. temperature, heat, humidity, light, airflow, hygiene, noise). These factors can differ substantially depending on the products and services provided Monitoring and measuring resources General The organization shall determine and provide the resources needed to ensure valid and reliable results when monitoring or measuring is used to verify the conformity of products and services to requirements. The organization shall ensure that the resources provided: a) are suitable for the specific type of monitoring and measurement activities being undertaken; b) are maintained to ensure their continuing fitness for their purpose. The organization shall retain appropriate documented information as evidence of fitness memelihara infrastruktur yang diperlukan untuk pengerjaan proses prosesnya dan untuk mencapai kesesuaian dari produk dan jasa. CATATAN Infrastruktur meliputi: a) Bangunan dan perangkat terkait; b) Peralatan, termasuk perangkat keras dan perangkat lunak; c) Sumber daya transportasi; d) Teknologi informasi dan komunikasi Environment for the operation of processes Organisasi harus menentukan, menyediakan dan memelihara lingkungan yang diperlukan untuk pengerjaan dari proses dan untuk mencapai kesesuaian produk dan jasa. CATATAN Sebuah lingkungan dapat berupa gabungan dari manusia dan faktor fisik, seperti: a) Social (misalnya tidak ada diskriminasi, tenang, tidak ada konfrontasi); b) Psikologis (misalnya mengurangi stress, pencegahan mental jatuh, terlindung secara emosional); c) Fisik (misalnya suhu, panas, kelembaban, pencahayaan, aliran udara, kebersihan, kebisingan). Faktor faktor ini dapat berbeda bergantung pada produk dan jasa yang disediakan Sumber daya pemantauan dan pengukuran Umum Organisasi harus menetapkan dan menyediakan sumber daya yang dibutuhkan untuk memastikan hasil yang terpercaya ketika pemantauan atau pengukuran digunakan untuk memverifikasi kesesuaian produk dan jasa terhadap persyaratan. Organisasi harus memastikan bahwa sumber daya yang tersedia: a) Sesuai untuk tipe spesifik dari pemantauan dan pengukuran yang dilakukan; b) Dipelihara untuk memastikan keberlanjutan kemampuannya sesuai dengan tujuannya. Organisasi harus menyimpan informasi terdokumentasi yang sesuai sebagai bukti dari 9

63 for purpose of the monitoring and measurement resources Measurement traceability When measurement traceability is a requirement, or is considered by the organization to be an essential part of providing confidence in the validity of measurement results, measuring equipment shall be: a) calibrated or verified, or both, at specified intervals, or prior to use, against measurement standards traceable to international or national measurement standards; when no such standards exist, the basis used for calibration or verification shall be retained as documented information; b) identified in order to determine their status; c) safeguarded from adjustments, damage or deterioration that would invalidate the calibration status and subsequent measurement results. The organization shall determine if the validity of previous measurement results has been adversely affected when measuring equipment is found to be unfit for its intended purpose, and shall take appropriate action as necessary Organizational knowledge The organization shall determine the knowledge necessary for the operation of its processes and to achieve conformity of products and services. This knowledge shall be maintained and be made available to the extent necessary. When addressing changing needs and trends, the organization shall consider its current knowledge and determine how to acquire or access any necessary additional knowledge and required updates. NOTE 1 Organizational knowledge is knowledge specific to the organization; it is generally gained by experience. It is information that is used and shared to achieve the organization s objectives. NOTE 2 Organizational knowledge can be based kemampuan sumber daya untuk tujuan pemantauan dan pengukuran Mampu telusur pengukuran Ketika mampu telusur adalah sebuah persyaratan atau dipertimbagkan oleh organisasi sebagai sebuah bagian penting yang menyediakan hasil pengukuran yang terpercaya, maka alat ukur harus: a) Dikalibrasi atau diverifikasi, atau keduanya, pada jangka waktu yang spesifik, atau sebelum digunakan, terhadap standard pengukuran yang terlacak terhadap standard pengukuran nasional atau internasional; ketika tidak ada standard tersebut, dasar yang digunakan untuk kalibrasi atau verifikai tersebut harus dipelihara sebagai informasi terdokumentasi; b) Mengidentifikasi untuk menentukan statusnya. c) Diamankan dari pengaturan, kerusakan atau kemunduran fungsi yang akan membuat status kalibrasi dan hasil pengukuran selanjutnya tidak sah. Organisasi harus memutuskan jika validitas hasil pengukuran sebelumnya terpengaruh buruk ketika alat ukur ditemukan tidak sesuai dengan tujuan yang diinginkannya, dan harus mengambil tindakan yang tepat sesuai yang diperlukan Pengetahuan Organisasi Organisasi harus menetapkan pengetahuan yang diperlukan untuk pengerjaan proses prosesnya dan untuk mencapai kesesuaian produk dan jasa. Pengetahuan ini harus dipelihara dan tersedia sejauh yang diperlukan. Ketika mengatasi perubahan dan kebutuhan, organisasi harus mempertimbangkan pengetahuan saat ini dan menetapkan bagaimana untuk memperoleh atau mengakses tambahan pengetahuan penting dan pembaharuan yang diperlukan. CATATAN 1 Pengetahuan organisasi adalah pengetahuan yang spesifik terhadap organisasi; pada umumnya diperoleh dengan pengalaman. Ini adalah informasi yang digunakan dan dibagikan untuk memperoleh sasaran organisasi. CATATAN 2 Pengetahuan organisasi dapat 10

64 on: a) internal sources (e.g. intellectual property; knowledge gained from experience; lessons learned from failures and successful projects; capturing and sharing undocumented knowledge and experience; the results of improvements in processes, products and services); b) external sources ( e.g. standards; academia; conferences; gathering knowledge from customers or external providers). 7.2 Competence The organization shall: a) determine the necessary competence of person(s) doing work under its control that affects the performance and effectiveness of the quality management system; b) ensure that these persons are competent on the basis of appropriate education, training, or experience; c) where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness of the actions taken; d) retain appropriate documented information as evidence of competence. NOTE Applicable actions can include, for example, the provision of training to, the mentoring of, or the reassignment of currently employed persons; or the hiring or contracting of competent persons. 7.3 Awareness The organization shall ensure that persons doing work under the organization s control are aware of: a) the quality policy; b) relevant quality objectives; c) their contribution to the effectiveness of the quality management system, including the benefits of improved performance; d) the implications of not conforming with the quality management system berdasarkan pada: a) Sumber daya internal (misalnya property intelektual; pegetahuan berasal dari pengalaman; Pelajaran yang diperoleh dari project yang gagal atau berhasil; mengambil dan membagi pengetahuan dan pengalaman yang tidak terdokumentasi; hasil improvement pada proses, produk dan jasa); b) Sumber daya eksternal (misalnya standard, lembaga pendidikan; konferensi, pengumpulan pengetahuan dari pelanggan maupun penyedia eksternal). 7.2 Kompetensi Organisasi harus: a) Menetapkan kompetensi yang diperlukan dari setiap orang yang melakukan pekerjaan dibawah control yang mempengaruhi efektifitas sistem manajemen mutu; b) Memastikan bahwa orang orang ini kompeten berdasarkan pendidikan, pelatihan atau pengalaman yang sesuai; c) Jika diperlukan, ambil tindakan untuk memperoleh kompetensi yang diperlukan dan mengevaluasi efektifitas dari tindakan yang diambil; d) Menyimpan informasi terdokumentasi yang sesuai sebagai bukti kompetensi. CATATAN Tindakan yang berlaku dapat berupa, misalnya mengadakan pelatihan, mentoring, atau penugasan kembali karyawan saat ini; atau menyewa atau mengontrak orang yang kompeten. 7.3 Kesadaran Organsasi harus memastikan bahwa orang yang melakukan pekerjaan di bawah kendali organisasi menyadari: a) Kebijakan mutu; b) Sasaran mutu yang relevan; c) Kontribusinya terhadap efektifitas dari sistem manajemen mutu, termasuk keuntungan dari kinerja yang meningkat; d) Akibat dari ketidaksesuaian dengan persyaratan sistem manajemen mutu. 11

65 requirements. 7.4 Communication The organization shall determine the internal and external communications relevant to the quality management system, including: a) on what it will communicate; b) when to communicate; c) with whom to communicate; d) how to communicate; e) who communicates. 7.5 Documented information General The organization s quality management system shall include: a) documented information required by this International Standard; b) documented information determined by the organization as being necessary for the effectiveness of the quality management system. NOTE The extent of documented information for a quality management system can differ from one organization to another due to: the size of organization and its type of activities, processes, products and services; the complexity of processes and their interactions; the competence of persons Creating and updating When creating and updating documented information, the organization shall ensure appropriate: a) identification and description (e.g. a title, date, author, or reference number); b) format (e.g. language, software version, graphics) and media (e.g. paper, electronic); c) review and approval for suitability and adequacy. 7.4 Komunikasi Organisasi harus menetapkan komunikasi internal dan eksternal yang relevan dengan sistem manajemen mutu, termasuk: a) Apa yang akan dikomunikasikan; b) Kapan dikomunikasikan; c) Dengan siapa dikomunikasikan; d) Bagaimana mengkomunikasikannya; e) Siapa yang mengkomunikasikan. 7.5 Informasi terdokumentasi Umum Sistem manajemen mutu organisasi harus termasuk: a) Informasi terdokumentasi yang dibutuhkan oleh standard internasional ini; b) Informasi terdokumentasi yang ditetapkan perlu oleh organisasi untuk efektifitas sistem manajemen mutu. CATATAN Banyaknya informasi terdokumentasi untuk sistem manajemen mutu bisa berbeda antara satu organisasi dengan organisasi lainya, tergantung pada: Ukuran organisasi dan jenis aktifitasnya, proses, produk dan jasanya; Kerumitan dari proses dan interaksinya; Kompetensi orangnya Membuat dan Memperbaharui Ketika membuat dan memperbaharui informasi terdokumentasi, organisasi harus memastikan ketepatan: a) Identifikasi dan deskripsi (misalnya judul, tanggal, pembuat, atau nomor acuan); b) Format (misalnya bahasa, versi software, grafik) dan media (misalnya kertas, elektronik); c) Peninjauan dan persetujuan untuk kecocokan dan kecukupan. 12

66 7.5.3 Control of documented information Documented information required by the quality management system and by this International Standard shall be controlled to ensure: a) it is available and suitable for use, where and when it is needed; b) it is adequately protected (e.g. from loss of confidentiality, improper use, or loss of integrity) For the control of documented information, the organization shall address the following activities, as applicable: a) distribution, access, retrieval and use; b) storage and preservation, including preservation of legibility; c) control of changes (e.g. version control); d) retention and disposition. Documented information of external origin determined by the organization to be necessary for the planning and operation of the quality management system shall be identified as appropriate, and be controlled. Documented information retained as evidence of conformity shall be protected from unintended alterations. NOTE Access can imply a decision regarding the permission to view the documented information only, or the permission and authority to view and change the documented information. 8 Operation 8.1 Operational planning and control The organization shall plan, implement and control the processes (see 4.4) needed to meet the requirements for the provision of products and services, and to implement the actions determined in Clause 6, by: a) determining the requirements for the products and services; b) establishing criteria for: Pengendalian informasi terdokumentasi Informasi terdokumentasi yang diperlukan oleh sistem manajemen mutu dan oleh standard internasional ini harus dikendalikan untuk memastikan: a) Ketersediaan dan kesesuaiannya untuk digunakan, dimana dan kapan diperlukan; b) Dilindungi secara memadai (misalnya dari kehilangan kerahasiaan, penggunaan yang tidak sesuai, atau kehilangan integritas); untuk pengendalian informasi terdokumentasi, organisasi harus menangani aktifitas berikut, sesuai yang berlaku: a) Distribusi, akses, pengambilan dan penggunaan; b) Penyimpanan dan pemeliharaan, termasuk menjaga agar tetap terbaca; c) Pengendalian perubahan (misalnya pengendalian versi); d) Penyimpanan dan pendisposisian. Informasi terdokumentasi yang berasal dari luar (eksternal) yang ditetapkan perlu oleh organisasi untuk perencanaan dan pengerjaan sistem manajemen mutu harus diidentifikasi dengan semestinya dan dikendalikan. Informasi terdokumentasi yang disimpan sebagai bukti dari kesesuaian harus terlindung dari perubahan yang tidak diinginkan. CATATAN Akses dapat berarti sebuah keputusan terkait dengan ijin hanya untuk melihat informasi terdokumentasi, atau ijin dan kewenangan untuk melihat dan mengubah informasi terdokumentasi. 8 Operasional/ Pengerjaan 8.1 Perencanaan dan pengendalian operasional Organisasi harus merencanakan, menerapkan dan mengendalikan proses (lihat 4.4) yang diperlukan untuk memenuhi persyaratan dari penetapan produk dan jasa, dan untuk menerapkan tindakan yang ditetapkan dalam klausa 6, dengan: a) Menetapkan persyaratan untuk produk dan jasa; b) Menetapkan kriteria untuk: 13

67 1) the processes; 2) the acceptance of products and services; c) determining the resources needed to achieve conformity to the product and service requirements; d) implementing control of the processes in accordance with the criteria; e) determining, maintaining and retaining documented information to the extent necessary: 1) to have confidence that the processes have been carried out as planned; 2) to demonstrate the conformity of products and services to their requirements. The output of this planning shall be suitable for the organization s operations. The organization shall control planned changes and review the consequences of unintended changes, taking action to mitigate any adverse effects, as necessary. The organization shall ensure that outsourced processes are controlled (see 8.4). 8.2 Requirements for products and services Customer communication Communication with customers shall include: a) providing information relating to products and services; b) handling enquiries, contracts or orders, including changes; c) obtaining customer feedback relating to products and services, including customer complaints; d) handling or controlling customer property; e) establishing specific requirements for contingency actions, when relevant Determining the requirements for products and services When determining the requirements for the products and services to be offered to customers, the organization shall ensure that: a) the requirements for the products and 1) Proses; 2) Keberterimaan produk dan jasa; c) Menetapkan sumber daya yang diperlukan untuk mencapai kesesuaian persyaratan produk dan jasa; d) Menerapkan kendali dari proses sesuai dengan kriterianya. e) Menetapkan, memelihara dan menyimpan informasi terdokumentasi sejauh yang diperlukan: 1) Untuk membuktikan bahwa proses telah dilakukan sesuai dengan rencana; 2) Untuk menunjukan kesesuaian produk dan jasa dengan persyaratannya. Output dari perencanaan ini harus sesuai untuk pengerjaan organisasi. Organisasi harus mengendalikan perubahan yang direncanakan dan peninjauan akibat dari perubahan yang tidak diinginkan, mengambil tidakan untuk mengurangi efek buruk, seperlunya. Organisasi harus memastikan bahwa proses outsource dikendalikan (lihat 8.4). 8.2 Persyaratan untuk produk dan jasa Komunikasi Pelanggan Komunikasi dengan pelanggan harus termasuk: a) Penyediaan informasi terkait dengan produk dan jasa; b) Penanganan permintaan, kontrak atau pemesanan, termasuk perubahan; c) Memperoleh umpan balik pelanggan terkait dengan produk dan jasa, termasuk keluhan pelanggan; d) Menangani dan mengendalikan property pelanggan; e) Menetapkan persyaratan khusus untuk kemungkinan tindakan, bila relevan Menetapkan persyaratan untuk produk dan jasa Ketika menetapkan persyaratan dari produk dan jasa yang akan ditawarkan kepada pelanggan, organisasi harus memastikan bahwa: a) Persyaratan untuk produk dan jasa 14

68 services are defined, including: 1) any applicable statutory and regulatory requirements; 2) those considered necessary by the organization; b) the organization can meet the claims for the products and services it offers Review of the requirements for products and services The organization shall ensure that it has the ability to meet the requirements for products and services to be offered to customers. The organization shall conduct a review before committing to supply products and services to a customer, to include: a) requirements specified by the customer, including the requirements for delivery and post delivery activities; b) requirements not stated by the customer, but necessary for the specified or intended use, when known; c) requirements specified by the organization; d) statutory and regulatory requirements applicable to the products and services; e) contract or order requirements differing from those previously expressed. The organization shall ensure that contract or order requirements differing from those previously defined are resolved. The customer s requirements shall be confirmed by the organization before acceptance, when the customer does not provide a documented statement of their requirements. NOTE In some situations, such as internet sales, a formal review is impractical for each order. Instead, the review can cover relevant product information, such as catalogues The organization shall retain documented information, as applicable: a) on the results of the review; b) on any new requirements for the didefinisikan, termasuk: 1) Peraturan dan perundangan yang berlaku; 2) Hal yang dianggap penting oleh organisasi; b) Organisasi dapat memenuhi klaim untuk produk dan jasa yang ditawarkan Peninjauan persyaratan untuk produk dan jasa Organisasi harus memastikan memiliki kemampuan untuk memenuhi persyaratan produk dan jasa yang ditawarkan kepada pelanggan. Organisasi harus mengadakan peninjauan sebelum memberikan komitmen untuk memberikan produk dan jasa kepada pelanggan, untuk termasuk: a) Persyaratan yang ditentukan pelanggan, termasuk persyaratan untuk pengiriman dan aktifitas pasca pengiriman. b) Persyaratan yang tidak dinyatakan oleh pelanggan tetapi penting untuk penggunaan spesifik tertentu, jika diketahui; c) persyaratan yang ditentukan oleh organisasi; d) peraturan perundangan yang berlaku pada produk dan jasa; e) kontrak atau persyaratan pemesanan yang berbeda dari yang dinyatakan sebelumnya. Organisasi harus memastikan bahwa persyaratan kontrak atau permintaan yang berbeda dari yang dinyatakan sebelumnya sudah diatasi. Persyaratan pelanggan harus dikonfirmasi oleh organisasi sebelum diterima, bila pelanggan tidak menyediakan peryataan tertulis dari persyaratan mereka. CATATAN dalam beberapa situasi, seperti penjualan internet, peninjauan resmi tidak dilakukan untuk tiap permintaan. Sebagai gantinya, peninjauan dapat berupa informasi produk yang relevan seperti catalog Organisasi harus menyimpan informasi terdokumentasi, sebagamana berlaku: a) terhadap hasil dari tinjauan; b) terhadap persyaratan baru dari produk 15

69 products and services Changes to requirements for products and services The organization shall ensure that relevant documented information is amended, and that relevant persons are made aware of the changed requirements, when the requirements for products and services are changed. 8.3 Design and development of products and services General The organization shall establish, implement and maintain a design and development process that is appropriate to ensure the subsequent provision of products and services Design and development planning In determining the stages and controls for design and development, the organization shall consider: a) the nature, duration and complexity of the design and development activities; b) the required process stages, including applicable design and development reviews; c) the required design and development verification and validation activities; d) the responsibilities and authorities involved in the design and development process; e) the internal and external resource needs for the design and development of products and services; f) the need to control interfaces between persons involved in the design and development process; g) the need for involvement of customer and users in the design and development proess; h) the requirements for subsequent provision of products and services; i) the level of control expected for the design and development process by customers and other relevant interested dan jasa Perubahan terhadap persyaratan untuk produk dan jasa Organisasi harus memastikan bahwa informasi terdokumentasi yang relevan telah berubah, dan bahwa orang yang terkait menyadari akan perubahan persyaratan, pada saat persyaratan untuk produk dan jasa berubah. 8.3 Perancangan dan Pengembangan produk dan jasa Umum Organisasi harus menetapkan, menerapkan dan memelihara proses perancangan dan pengembangan yang sesuai untuk memastikan penetapan produk dan jasa selanjutya Rencana Perancangan dan Pengembangan Dalam menentukan tahapan dan pengendalian untuk perancangan dan pengembangan, organisasi harus mempertimbangkan: a) Sifat dasar, durasi dan kerumitan dari kegiatan perancangan dan pengembangan; b) Tahapan proses yang diperlukan, termasuk peninjauan perancangan dan pengembangan yang berlaku; c) Kegiatan verifikasi dan validasi perancangan dan pengembangan yang diperlukan; d) Tanggung jawab dan wewenang yang terlibat dalam proses perancangan dan pengembangan. e) Sumber daya internal dan eksternal yang dibutuhkan untuk perancangan dan pengembangan produk dan jasa; f) Kebutuhan untuk mengendalikan interface antar personil yang terlibat dalam perancangan dan pengembangan; g) Kebutuhan untuk melibatkan pelanggan dan pengguna dalam proses perancangan dan pengembangan; h) Persyaratan untuk penetapan produk dan jasa selanjutnya; i) Tingkat pengendalian yang diharapkan untuk proses perancangan dan pengendalian oleh pelanggan dan pihak 16

70 parties; j) the documented information needed to demonstrate that design and development requirements have been met Design and development inputs The organization shall determine the requirements essential for the specific types of products and services to be designed and developed. The organization shall consider: a) functional and performance requirements; b) information derived from previous similar design and development activities; c) statutory and regulatory requirements; d) standards or codes of practice that the organization has committed to implement; e) potential consequences of failure due to the nature of the products and services. Inputs shall be adequate for design and development purposes, complete and unambiguous. Conflicting design and development inputs shall be resolved. The organization shall retain documented information on design and development inputs Design and development controls The organization shall apply controls to the design and development process to ensure that: a) the results to be achieved are defined; b) reviews are conducted to evaluate the ability of the results of design and development to meet requirements; c) verification activities are conducted to ensure that the design and development outputs meet the input requirements; d) validation activities are conducted to ensure that the resulting products and services meet the requirements for the specified application or intended use; e) any necessary actions are taken on lain yang berkepentingan; j) Informasi terdokumentasi yang diperlukan untuk menunjukkan bahwa persyaratan perancangan dan pengembangan sudah terpenuhi Input perancangan dan pengembangan Organisasi harus menetapkan persyaratan mendasar untuk jenis produk dan jasa yang spesifik akan dirancang dan dikembangkan. Organisasi harus mempertimbangkan: a) Persyaratan fungsional dan kinerja; b) Informasi yang berasal dari perancangan dan pengembangan serupa sebelumnya; c) Persyaratan peraturan perundangan yang berlaku; d) Standard atau aturan praktis yang telah menjadi komitmen organisasi untuk diterapkan; e) Kegagalan yang potensial terjadi akibat dari sifat dasar dari produk dan jasa. Input harus memadai untuk tujuan perancangan dan pengembangan, lengkap dan jelas. Input perancangan dan pengembangan yang bertentangan harus diatasi. Organisasi harus menyimpan informasi terdokumentasi atas input perancangan dan pengembangan Design and development controls Organisasi harus memberlakukan pengendalian terhadap proses perancangan dan pengembangan untuk memastikan bahwa: a) Hasil yang diinginkan dapat tercapai; b) Peninjauan dilakukan untuk mengevaluasi kemampuan hasil perancangan dan pengembangan untuk memenuhi persyaratan; c) Kegiatan verifikasi dilakukan untuk memastikan bahwa output perancangan dan pengembangan sesuai dengan persyaratan input. d) Kegiatan validasi dilakukan untuk memastikan bahwa hasil produk dan jasa memenuhi persyaratan untuk aplikasi tertentu atau penggunaan yang dimaksudkan; e) Tindakan yang diperlukan diambil 17

71 problems determined during the reviews, or verification and validation activities; f) documented information of these activities is retained. NOTE Design and development reviews, verification and validation have distinct purposes. They can be conducted separately or in any combination, as is suitable for the products and services of the organization Design and development outputs The organization shall ensure that design and development outputs: a) meet the input requirements; b) are adequate for the subsequent processes for the provision of products and services; c) include or reference monitoring and measuring requirements, as appropriate, and acceptance criteria; d) specify the characteristics of the products and services that are essential for their intended purpose and their safe and proper provision. The organization shall retain documented information on design and development outputs Design and development changes The organization shall identify, review and control changes made during, or subsequent to, the design and development of products and services, to the extent necessary to ensure that there is no adverse impact on conformity to requirements. The organization shall retain documented information on: a) design and development changes; b) the results of reviews; c) the authorization of the changes; d) the actions taken to prevent adverse impacts. terhadap masalah yang ditetapkan selama peninjauan, atau kegiatan verifikasi dan validasi; f) Informasi terdokumentasi dari aktifitas ini dipelihara. CATATAN Tinjauan perancangan dan pengembangan, verifikasi dan validasi memiliki tujuan berbeda. Dapat dilakukan terpisah atau digabung, sesuai dengan kecocokan produk dan jasa suatu organisasi Design and development outputs Organisasi harus memastikan bahwa output perancangan dan pengembangan: a) Memenuhi persyaratan input; b) Tercukupi untuk proses selanjutnya untuk penetapan produk dan jasa; c) Termasuk atau mengacu pada persyaratan pemantauan dan pengukuran, sewajarnya dan kriteria keberterimaan; d) Menentukan karakteristik produk dan jasa yang mendasar untuk tujuan yang diinginkannya dan penetapan yang aman dan tepat. Organisasi harus memelihara informasi terdokumentasi atas output perancangan dan pengembangan Perubahan Perancangan dan pengembangan Organisasi harus mengidentifikasi, meninjau dan mengendalikan perubahan selama, atau setelah perancangan produk dan jasa, sejauh yang diperlukan untuk memastikan bahwa tidak ada akibat buruk pada kesesuaian persyaratan. Organisasi harus menyimpan informasi terdokumentasi mengenai: a) Perubahan perancangan dan pengembangan; b) Hasil tinjauan; c) Wewenang perubahan; d) Tindakan yang dilakukan untuk mencegah akibat buruk. 18

72 8.4 Control of externally provided processes, products and services General The organization shall ensure that externally provided processes, products and services conform to requirements. The organization shall determine the controls to be applied to externally provided processes, products and services when: a) products and services from external providers are intended for incorporation into the organization s own products and services; b) products and services are provided directly to the customer(s) by external providers on behalf of the organization; c) a process, or part of a process, is provided by an external provider as a result of a decision by the organization. The organization shall determine and apply criteria for the evaluation, selection, monitoring of performance, and re evaluation of external providers, based on their ability to provide processes or products and services in accordance with requirements. The organization shall retain documented information of these activities and any necessary actions arising from the evaluations Type and extent of control The organization shall ensure that externally provided processes, products and services do not adversely affect the organization s ability to consistently deliver conforming products and services to its customers. The organization shall: a) ensure that externally provided processes remain within the control of its quality management system; b) define both the controls that it intends to apply to an external provider and those it intends to apply to the resulting output; c) take into consideration: 1) the potential impact of the externally provided processes, products and 8.4 Pengendalian penyedia proses, produk dan jasa eksternal Umum Organisasi harus memastikan bahwa proses produk dan jasa yang dilakukan di luar, sesuai dengan persyaratan. Organisasi harus menetapkan pengendalian untuk diberlakukan terhadap proses, produk dan jasa yang dilakukan puhak luar, ketika: a) Produk dan service dari pihak luar dimaksudkan untuk digabungkan dengan produk dan jasa organisasi sendiri. b) Produk dan jasa disediakan langsung untuk pelanggan oleh pihak luar atas nama organisasi; c) Proses atau bagian dari proses, dilakukan pihak luar sebagai hasil dari keputusan organisasi. Organisasi harus menetapkan dan memberlakukan kriteria untuk evaluasi, seleksi dan pemantauan kinerja, dan re evaluasi pihak penyedia eksternal, berdasarkan kemampuannya untuk menyediakan proses atau produk dan jasa sesuai dengan persyaratan. Organisasi harus menyimpan informasi terdokumentasi dari kegiatan ini dan tindakan lain yang diperlukan yang timbul dari hasil evaluasi Jenis dan tingkat pengendalian Organisasi harus memastikan bahwa proses, produk dan jasa yang disediakan pihak luar tidak berakibat buruk terhadap kemampuan organisasi untuk secara konsisten mengirimkan produk dan jasa yang sesuai kepada pelanggannya. Organisasi harus: a) Memastikan bahwa proses yang dilakukan pihak luar tetap berada dalam kendali sistem manajemen mutunya. b) Penentukan pengendalian, baik yang dimaksudkan untuk diberlakukan terhadap pihak luar maupun yang dimaksudkan untuk diberlakukan terhadap output yang dihasilkan. c) Mempertimbangkan: 1) Akibat potensial dari proses, produk dan jasa yang disediakan pihak luar 19

73 services on the organization s ability to consistently meet customer and applicable statutory and regulatory requirements; 2) the effectiveness of the controls applied by the external provider; d) determine the verification, or other activities, necessary to ensure that the externally provided processes, products and services meet requirements Information for external providers The organization shall ensure the adequacy of requirements prior to their communication to the external provider. The organization shall communicate to external providers its requirements for: a) the processes, products and services to be provided; b) the approval of: 1) products and services; 2) methods, processes and equipment; 3) the release of products and services; c) competence, including any required qualification of persons; d) the external providers interactions with the organization; e) control and monitoring of the external providers performance to be applied by the organization; f) verification or validation activities that the organization, or its customer, intends to perform at the external providers premises. 8.5 Production and service provision Control of production and service provision The organization shall implement production and service provision under controlled conditions. Controlled conditions shall include, as applicable: a) the availability of documented information that defines: terhadap kemampuan organisasi untuk secara konsisten dapat memenuhi persyaratan pelanggan dan peraturan dan perundangan yang berlaku; 2) Efektifitas dari pengendalian yang diberlakukan terhadap pihak luar; d) Menetapkan verifikasi atau kegiatan lain yang diperlukan untuk memastikan bahwa proses, produk dan jasa yang disediakan pihak luar memenuhi persyaratan Informasi untuk pihak penyedia eksternal Organisasi harus memastikan kecukupan dari persyaratan sebelum melakukan komunikasi dengan pihak penyedia eksternal. Organisasi harus berkomunikasi dengan pihak penyedia eksternal mengenai persyaratannya untuk: a) Proses, produk dan jasa yang disediakan; b) Persetujuan dari: 1) Produk dan jasa; 2) Metode, proses dan peralatan; 3) Pelepasan produk dan jasa; c) Kompetensi, termasuk kualifikasi orang yang diperlukan; d) Interaksi pihak luar dengan organisasi; e) Pengendalian dan pemantauan kinerja pihak penyedia eksternal yang diberlakukan oleh organisasi; f) Kegiatan verifikasi atau validasi yang dimaksudkan oleh organisasi atau pelanggannya, untuk dilakukan di tempat pihak penyedia eksternal. 8.5 Penetapan produksi dan jasa Pengendalian penetapan produksi dan jasa Organisasi harus menerapkan penetapan produksi dan jasa dibawah kondisi terkendali. Kondisi terkendali harus meliputi, sebagaimana berlaku: a) Ketersediaan informasi terdokumentasi yang mendefinisikan: 20

74 1) the characteristics of the products to be produced, the services to be provided, or the activities to be performed; 2) the results to be achieved; b) the availability and use of suitable monitoring and measuring resources; c) the implementation of monitoring and measurement activities at appropriate stages to verify that criteria for control of processes or outputs, and acceptance criteria for products and services, have been met; d) the use of suitable infrastructure and environment for the operation of processes; e) the appointment of competent persons, including any required qualification; f) the validation, and periodic revalidation, of the ability to achieve planned results of the processes for production and service provision, where the resulting output cannot be verified by subsequent monitoring or measurement; g) the implementation of actions to prevent human error; h) the implementation of release, delivery and post delivery activities. 1) Karakteristik produk yang dihasilkan, jasa yang disediakan atau kegiatan yang dilakukan; 2) Hasil yang akan dicapai; b) Ketersediaan dan penggunaan sumber daya yang sesuai untuk pemantauan dan pengukuran; c) Penerapan kegiatan pemantauan dan pengukuran pada tahapan yang sesuai untuk memverifikasi bahwa kriteria untuk pengendalian proses atau output dan kriteria keberterimaan untuk produk dan jasa sudah terpenuhi. d) Penggunaan infrastruktur dan lingkungan yang sesuai untuk proses pengerjaan; e) Penunjukkan orang yang kompeten, termasuk kualifikasi yang diperlukan; f) Validasi dan validasi ulang secara periodik terhadap kemampuan untuk mencapai hasil yang diinginkan dari proses untuk penetapan produksi dan jasa, bila output yag dihasilkan tidak bisa diverifikasi oleh pemantauan dan pengukuran selanjutnya; g) Penerapan tindakan untuk mencegah kesalahan manusia; h) Penerapan kegiatan pelepasan, pengiriman dan pasca pengiriman Identification and traceability The organization shall use suitable means to identify outputs when it is necessary to ensure the conformity of products and services. The organization shall identify the status of outputs with respect to monitoring and measurement requirements throughout production and service provision. The organization shall control the unique identification of the outputs when traceability is a requirement, and shall retain the documented information necessary to enable traceability Property belonging to customers or external providers The organization shall exercise care with Identifikasi dan mampu telusur Organisasi harus menggunakan suatu cara untuk mengidentifikasikan output untuk memastikan kesesuaian produk dan jasa. Organisasi harus mengidentifikasi status dari output berkenaan dengan persyaratan pemantauan dan pengukuran di seluruh produksi dan jasa yang ditetapkan. Organisasi harus mengendalikan identifikasi unik dari output ketika mampu telusur adalah sebuah persyaratan, dan harus menyimpan informasi terdokumentasi yang diperlukan untuk mengaktifkan ketertelusuran Property belonging to customers or external providers Organisasi harus menjaga property milik 21

75 property belonging to customers or external providers while it is under the organization s control or being used by the organization. The organization shall identify, verify, protect and safeguard customers or external providers property provided for use or incorporation into the products and services. When the property of a customer or external provider is lost, damaged or otherwise found to be unsuitable for use, the organization shall report this to the customer or external provider and retain documented information on what has occurred. NOTE A customer s or external provider s property can include materials, components, tools and equipment, premises, intellectual property and personal data Preservation The organization shall preserve the outputs during production and service provision, to the extent necessary to ensure conformity to requirements. NOTE Preservation can include identification, handling, contamination control, packaging, storage, transmission or transportation, and protection Post-delivery activities The organization shall meet requirements for post delivery activities associated with the products and services. In determining the extent of post delivery activities that are required, the organization shall consider: a) statutory and regulatory requirements; b) the potential undesired consequences associated with its products and services; c) the nature, use and intended lifetime of its products and services; d) customer requirements; e) customer feedback. NOTE Post delivery activities can include actions under warranty provisions, contractual obligations such as maintenance services, and supplementary services such as recycling or final disposal. pelanggan atau pihak eksternal ketika berada di bawah pengendalian organisasi atau sedang digunakan oleh organisasi. Organisasi harus mengidentifikasi, menverifikasi, melindungi dan menjaga property pelanggan atau pihak eksternal yang tersedia untuk digunakan atau digabungkan ke dalam produk atau jasa. Ketika property pelanggan atau pihak eksternal hilang, rusak atau ditemukan tidak sesuai untuk digunakan, organisasi harus melaporkan hal ini pada pelanggan atau pihak luar dan menyimpan informasi terdokumentasi atas apa yang telah terjadi. CATATAN property pelanggan atau pihak luar dapat berupa material, komponen, pekakas dan peralatan, tempat, property intelektual dan data personal Penjagaan Organisasi harus menjaga output selama pelaksanaan produksi dan jasa, sejauh yag diperlukan untuk memastikan kesesuaian terhadap persyaratan. CATATAN Pemeliharaan termasuk identifikasi, penanganan, pengendalian kontaminasi, pengepakan, penyimpanan, pemindahan atau transportasi dan perlindungan Post-delivery activities Organisasi harus memenuhi persyaratan untuk kegiatan pasca pengiriman yang berkaitan dengan produk dan jasa. Dalam menentukan tingkat kegiatan pasca pengiriman yang diperlukan, organisasi harus mempertibangkan: a) Persyaratan peraturan perundangan; b) Potensial konsekuensi yang tidak diinginkan berkaitan dengan produk dan jasa; c) Sifat dasar, penggunaan dan masa hidup yang diinginkan dari produk dan jasanya; d) Persyaratan pelanggan; e) Umpan balik pelanggan. CATATAN Kegiatan pasca pengiriman dapat termasuk kegiatan dibawah penyediaan jaminan, kewajiban kontraktual seperti pelayanan pemeliharaan dan layanan tambahan 22

76 seperti daur ulang atau pembuangan akhir Control of changes The organization shall review and control changes for production or service provision, to the extent necessary to ensure continuing conformity with requirements. The organization shall retain documented information describing the results of the review of changes, the person(s) authorizing the change, and any necessary actions arising from the review. 8.6 Release of products and services The organization shall implement planned arrangements, at appropriate stages, to verify that the product and service requirements have been met. The release of products and services to the customer shall not proceed until the planned arrangements have been satisfactorily completed, unless otherwise approved by a relevant authority and, as applicable, by the customer. The organization shall retain documented information on the release of products and services. The documented information shall include: a) evidence of conformity with the acceptance criteria; b) traceability to the person(s) authorizing the release. 8.7 Control of nonconforming outputs The organization shall ensure that outputs that do not conform to their requirements are identified and controlled to prevent their unintended use or delivery. The organization shall take appropriate action based on the nature of the nonconformity and its effect on the conformity of products and services. This shall also apply to nonconforming products and services detected after delivery of products, during or after the provision of services. The organization shall deal with nonconforming outputs in one or more of the following ways: Pengendalian atas perubahan Organisasi harus meninjau dan mengendalikan perubahan atas penetapan produksi dan jasa, sejauh yang diperlukan untuk memastikan keberlanjutan kesesuaian dengan persyaratan. Organisasi harus menyimpan informasi terdokumentasi yang menggambarkan hasil dari tinjauan perubahan, personil yang berwenang atas perubahan dan tindakan yang diperlukan yang timbul dari tinjauan. 8.6 Pelepasan produk dan jasa Organisasi harus menerapkan pengaturan yang direncanakan, pada tahapan yang sesuai, untuk memverifikasi bahwa persyaratan produk dan jasa telah terpernuhi. Pelepasan produk dan jasa untuk pelanggan harus dihentikan sampai pengaturan yang direncanakan telah selesai dengan memuaskan, kecuali dinyatakan disetujui oleh otoritas yang berwenang dan, sebagaimana berlaku, oleh pelanggan. Organisasi harus menyimpan informasi terdokumentasi dalam pelepasan produk dan jasa. Informasi terdokumentasi harus termasuk: a) Bukti dari kesesuaian dengan kriteria keberterimaan; b) Mampu telusur kepada orang yang berwenang melepas. 8.7 Pengendalian output yang tidak sesuai Organisasi harus memastikan bahwa output yang tidak sesuai dengan persyaratannya diidentifikasi dan dikendalikan untuk mencegah penggunaan dan pengiriman yang tidak diharapkan. Organisasi harus mengambil tindakan yang sesuai berdasarkan sifat dasar ketidaksesuaian dan efeknya terhadap kesesuaian produk dan jasa. Hal ini harus juga berlaku kepada ketidaksesuaian produk dan jasa yang terdeteksi setelah pengiriman produk, selama dan setelah penyediaan jasa. Organisasi harus berurusan dengan ketidaksesuaian output dengan satu atau lebih 23

77 a) correction; b) segregation, containment, return or suspension of provision of products and services; c) informing the customer; d) obtaining authorization for acceptance under concession. Conformity to the requirements shall be verified when nonconforming outputs are corrected The organization shall retain documented information that: a) describes the nonconformity; b) describes the actions taken; c) describes any concessions obtained; d) identifies the authority deciding the action in respect of the nonconformity. 9 Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation General The organization shall determine: a) what needs to be monitored and measured; b) the methods for monitoring, measurement, analysis and evaluation needed to ensure valid results; c) when the monitoring and measuring shall be performed; d) when the results from monitoring and measurement shall be analysed and evaluated. The organization shall evaluate the performance and the effectiveness of the quality management system. The organization shall retain appropriate documented information as evidence of the results Customer satisfaction The organization shall monitor customers perceptions of the degree to which their needs and expectations have been fulfilled. The organization shall determine the methods for obtaining, monitoring and reviewing this cara berikut ini: a) Perbaikan; b) Pemisahan, penahanan, pengembalian atau penagguhan penyediaan produk dan jasa; c) Memberitahukan pelanggan; d) Memperoleh otorisasi untuk keberterimaan dibawah konsensi. Kesesuaian terhadap persyaratan harus diverifikasi ketika ketidaksesuaian output sudah diperbaiki Organisasi harus menyimpan informasi terdokumentasi yang: a) Mendeskripsikan ketidaksesuaian; b) Mendeskripsikan tindakan yang diambil; c) Mendeskripsikan konsensi yang diambil; d) Mengidentifikasi otoritas yang memutuskan tindakan yang terkait dengan ketidaksesuaian. 9 Performance evaluation 9.1 Pemantauan, pngukuran, analisa dan evaluasi Umum Organisasi harus menetapkan: a) Apa yang diperlukan untuk dipantau dan diukur; b) Metode untuk melakukan pemantauan, pengukuran, analisa dan evaluasi yang diperlukan untuk memastikan hasil yang dapat dipercaya; c) Kapan pemantauan dan pengukuran harus dilakukan; d) Kapan hasil dari pemantauan dan pengukuran harus dianalisa dan dievaluasi. Organisasi harus mengevaluasi kinerja dan efektifitas dari sistem manajemen mutu. Organisasi harus menyimpan informasi terdokumentasi yang sesuai, sebagai bukti dari hasilnya Kepuasan Pelanggan Organisasi harus memantau persepsi pelanggan pada tingkat dimana kebutuhan dan ekspektasi mereka telah dipenuhi. Organisasi harus menentukan metode untuk memperoleh, pemantauan dan peninjauan informasi. 24

78 information. NOTE Examples of monitoring customer perceptions can include customer surveys, customer feedback on delivered products and services, meetings with customers, marketshare analysis, compliments, warranty claims and dealer reports Analysis and evaluation The organization shall analyse and evaluate appropriate data and information arising from monitoring and measurement. The results of analysis shall be used to evaluate: a) conformity of products and services; b) the degree of customer satisfaction; c) the performance and effectiveness of the quality management system; d) if planning has been implemented effectively; e) the effectiveness of actions taken to address risks and opportunities; f) the performance of external providers; g) the need for improvements to the quality management system. NOTE Methods to analyse data can include statistical techniques. 9.2 Internal audit The organization shall conduct internal audits at planned intervals to provide information on whether the quality management system: a) conforms to: 1) the organization s own requirements for its quality management system; 2) the requirements of this International Standard; b) is effectively implemented and maintained The organization shall: a) plan, establish, implement and maintain an audit programme(s) including the frequency, methods, responsibilities, planning requirements and reporting, which shall take into consideration the importance of the processes concerned, changes affecting the organization, and the results of previous audits; CATATAN Contoh dari pemantauan persepsi pelanggan dapat berupa survey pelanggan, umpan balik pelanggan terhadap pengiriman produk dan jasa, pertemuan dengan pelanggan, analisa pangsa pasar, compliments, jaminan klaim dan laporan dealer Analisa dan evaluasi Organisasi harus menganalisa dan mengevaluasi data dan informasi yang sesuai yang didapat dari pemantauan dan pengkuran. Hasil analisa harus digunakan untuk evaluasi: a) Kesesuaian produk dan jasa; b) Tingkat kepuasan pelanggan; c) Kinerja dan efektifitas dari sistem manajemen mutu; d) Jika perencanaan telah diterapkan secara efektif; e) Efektifitas dari tindakan yang diambil untuk mengatasi resiko dan peluang; f) Kinerja dari pihak penyedia luar; g) Kebutuhan untuk peningkatan sistem manajemen mutu. CATATAN Metode untuk menganalisa data bisa berupa teknik statistic. 9.2 Internal audit Organisasi harus mengadakan audit internal pada waktu yang direncanakan untuk menyediakan informasi akan apakan sistem manajemen mutu: a) sesuai dengan: 1) persyaratan organisasi sendiri untuk sistem manajemen mutunya; 2) persyaratan internasional standard ini; b) diterapkan dan dipelihara dengan efektif Organisasi harus: a) merencanakan, menetapkan dan memelihara program audit termasuk frekuensi, metode, tanggung jawab, perencanaan persyaratan dan pelaporan, yang harus mempertimbangkan kepentingan dari proses yang menjadi perhatian, perubahan yang mempengaruhi organisasi dan hasil dari 25

79 b) define the audit criteria and scope for each audit; c) select auditors and conduct audits to ensure objectivity and the impartiality of the audit process; d) ensure that the results of the audits are reported to relevant management; e) take appropriate correction and corrective actions without undue delay; f) retain documented information as evidence of the implementation of the audit programme and the audit results. NOTE See ISO for guidance. 9.3 Management review General Top management shall review the organization s quality management system, at planned intervals, to ensure its continuing suitability, adequacy, effectiveness and alignment with the strategic direction of the organization Management review inputs The management review shall be planned and carried out taking into consideration: a) the status of actions from previous management reviews; b) changes in external and internal issues that are relevant to the quality management system; c) information on the performance and effectiveness of the quality management system, including trends in: 1) customer satisfaction and feedback from relevant interested parties; 2) the extent to which quality objectives have been met; 3) process performance and conformity of products and services; 4) nonconformities and corrective actions; 5) monitoring and measurement results; 6) audit results; 7) the performance of external providers; d) the adequacy of resources; audit sebelumnya; b) mendefinisikan kriteria dan scope audit untuk setiap audit; c) memilih auditor dan melaksanakan audit untuk memastikan objektifitas dan keberpihakan dari proses audit; d) memastikan bahwa hasil audit dilaporkan kepada manajemen terkait; e) melakukan perbaikan dan tindakan perbaikan yang sesuai tanpa penundaan/ dengan segera; f) menyimpan informasi terdokumentasi sebagai bukti dari penerapan program audit dan hasil audit. CATATAN Lihat ISO sebagai pedoman. 9.3 Tinjauan Manajemen Umum Top manajemen harus meninjau sistem manajemen mutu organisasi, dalam interval terencana, untuk memastikan kesesuaian berkelanjutan, kecukupan, efektifitas dan kesejajaran dengan arah strategis organisasi Input tinjauan manajemen Manajemen review harus direncanakan dan dilakukan dengan mempertimbangkan: a) status tindakan dari manajemen review sebelumnya; b) perubahan terhadap isu eksternal dan internal yang relevan terhadap sistem manajemen mutu; c) informasi terhadap kinerja dan efektifitas dari sistem manajemen mutu, termasuk tren dalam: 1) kepuasan pelanggan dan umpan balik dari pihak berkepentingan; 2) Sejauh mana sasaran mutu telah terpenuhi; 3) Kinerja proses dan kesesuaian dari produk dan jasa; 4) Ketidaksesuaian dan tindakan perbaikan; 5) Hasil pemantauan dan pengukuran; 6) Hasil audit; 7) Kinerja pihak penyedia eksternal; d) Kecukupan sumber daya; 26

80 e) the effectiveness of actions taken to address risks and opportunities (see 6.1); f) opportunities for improvement Management review outputs The outputs of the management review shall include decisions and actions related to: a) opportunities for improvement; b) any need for changes to the quality management system; c) resource needs. The organization shall retain documented information as evidence of the results of management reviews. 10 Improvement 10.1 General The organization shall determine and select opportunities for improvement and implement any necessary actions to meet customer requirements and enhance customer satisfaction. These shall include: a) improving products and services to meet requirements as well as to address future needs and expectations; b) correcting, preventing or reducing undesired effects; c) improving the performance and effectiveness of the quality management system. NOTE Examples of improvement can include correction, corrective action, continual improvement, breakthrough change, innovation and re organization Nonconformity and corrective action When a nonconformity occurs, including any arising from complaints, the organization shall: a) react to the nonconformity and, as applicable: 1) take action to control and correct it; e) Efektifitas tindakan yang diambil untuk mengatasi resiko dan peluang (lihat 6.1); f) Peluang untuk peningkatan Output Tinjauan Manajemen Output manajemen review harus termasuk keputusan dan tindakan untuk: a) Peluang untuk peningkatan; b) Adanya kebutuhan untuk perubahan terhadap sistem manajemen mutu; c) Sumber daya yang dibutuhkan. Organisasi harus menyimpan informasi terdokumentasi sebagai bukti dari hasil tinjauan manajemen. 10 Peningkatan 10.1 Umum Organisasi harus menetapkan dan memilih peluang untuk peningkatan dan menerapkan tindakan yang diperlukan untuk memenuhi persyaratan pelanggan dan meningkatkatkan kepuasan pelanggan. Hal ini termasuk: a) Meningkatkan produk dan jasa untuk memenuhi persyaratan dan memenuhi kebutuhan dan ekspektasi yang akan datang. b) Memperbaiki, mencegah dan mengurangi efek yang tidak diinginkan; c) Meningkatkan kinerja dan efektifitas dari sistem manajemen mutu. CATATAN Contoh peningkatkan berupa perbaikan, tindakan perbaikan, peningkatan berkelanjutan, terobosan, inovasi dan pengaturan kembali Ketidaksesuaian dan Tindakan perbaikan Ketika ketidaksesuaian timbul, termasuk yang berasal dari keluhan, organisasi harus: a) menanggapi ketidaksesuaian dan, sesuai dengan yang berlaku: 1) mengambil tindakan untuk mengendalikandan mempe rbaikinya; 27

81 2) deal with the consequences; b) evaluate the need for action to eliminate the cause(s) of the nonconformity, in order that it does not recur or occur elsewhere, by: 1) reviewing and analysing the nonconformity; 2) determining the causes of the nonconformity; 3) determining if similar nonconformities exist, or could potentially occur; c) implement any action needed; d) review the effectiveness of any corrective action taken; e) update risks and opportunities determined during planning, if necessary; f) make changes to the quality management system, if necessary. Corrective actions shall be appropriate to the effects of the nonconformities encountered The organization shall retain documented information as evidence of: a) the nature of the nonconformities and any subsequent actions taken; b) the results of any corrective action Continual improvement The organization shall continually improve the suitability, adequacy and effectiveness of the quality management system. The organization shall consider the results of analysis and evaluation, and the outputs from management review, to determine if there are needs or opportunities that shall be addressed as part of continual improvement. 2) mengatasi akibatnya; b) Mengevaluasi kebutuhan untuk tindakan menghilangkan penyebab dari ketidaksesuaian, dengan masud supaya tidak akan muncul lagi di manapun, dengan: 1) Meninjau dan menganalisa ketidaksesuaian; 2) Menetapkan penyebab ketidaksesuaian; 3) Menetapkan jika ketidaksesuaian serupa muncul atau potensial akan muncul; c) Menerapkan tindakan yang diperlukan; d) Meninjau efektifitas dari tindakan yang diambil; e) Memperbaharui resiko dan peluang yang ditentukan selama perencanaan, bila diperlukan; f) Membuat perubahan terhadap sistem manajemen mutu jika diperlukan. Tindakan perbaikan harus sesuai terhadap akibat dari ketidaksesuaian yang ditemukan Organisasi harus menyimpan informasi terdokumentasi sebagai bukti dari: a) sifat ketidaksesuaian dan tindakan yang diambil selanjutnya; b) hasil dari tindakan perbaikan Peningkatan berkelanjutan Organisasi harus terus menerus melakukan peningkatan yang sesuai, kecukupan dan efektifitas dari sistem manajemen mutu. Organisasi harus mempertimbangkan hasil analisa dan evaluasi dan output dari tinjauan manajemen, untuk menentukan jika ada kebutuhan dan peluang yang harus diatasi sebagai bagian dari peningkatan berkelanjutan. 28

82 Panduan untuk Mengaudit Sistem Manajemen Berdasarkan ISO 19011:2011 Panduan mengaudit sistem manajemen, termasuk prinsipprinsip audit, pengelolaan program audit dan melakukan audit sistem manajemen, serta panduan tentang evaluasi kompetensi individu yang terlibat dalam proses audit, termasuk orang yang mengelola program audit, auditor dan tim audit.

83 Panduan untuk Mengaudit Sistem Manajemen 2 Panduan untuk Mengaudit Sistem Manajemen 1. Ruang lingkup Standar lnternasional ISO 19011:2011 ini menyediakan panduan mengaudit sistem manajemen, termasuk prinsip-prinsip audit, pengelolaan program audit dan melakukan audit sistem manajemen, serta panduan tentang evaluasi kompetensi individu yang terlibat dalam proses audit, termasuk orang yang mengelola program audit, auditor dan tim audit. Hal ini berlaku untuk seluruh organisasi yang perlu untuk melakukan audit internal atau eksternal dari sistem manajemen atau mengelola program audit. Penerapan Standar lnternasional ini dengan audit jenis lain adalah mungkin, asalkan pertimbangan khusus diberikan kepada kompetensi khusus yang diperlukan. 2. Acuan normatif Tidak ada acuan normatif. Klausul ini termasuk dalam rangka mempertahankan penomoran klausul yang identik dengan standar sistem manajemen ISO lainnya. 3. Istilah dan definisi Untuk tujuan dokumen ini, istilah dan definisi berikut berlaku. 3.1 Audit Proses yang sistematis, independen dan terdokumentasi untuk memperoleh bukti audit (3.3) dan mengevaluasinya secara objektif untuk menentukan sejauh mana kriteria audit (3.2) terpenuhi. CATATAN 1 CATATAN 2 Audit internal, kadang-kadang disebut sebagai audit pihak pertama, dilakukan oleh organisasi itu sendiri, atau atas namanya, untuk tinjauan manajemen dan tujuan internal lainnya (misalnya untuk mengkonfirmasi efektivitas sistem manajemen atau untuk mendapatkan informasi untuk perbaikan manajemen sistem). Audit internal dapat membentuk dasar untuk deklarasi kesesuaian organisasi sendiri. Dalam banyak kasus, terutama di organisasi kecil, kemandirian dapat ditunjukkan dengan kebebasan dari tanggung jawab pada kegiatan yang diaudit atau kebebasan dari bias dan konflik kepentingan. Audit eksternal mencakup audit pihak kedua dan ketiga. Audit pihak kedua dilakukan oleh pihak yang memiliki kepentingan dalam organisasi, seperti pelanggan, atau oleh Internal Use Only - Translated by RIZQI HERMAWAN

84 Panduan untuk Mengaudit Sistem Manajemen orang lain atas nama mereka. Audit pihak ketiga dilakukan oleh organisasi audit independen, seperti regulator atau mereka yang memberikan sertifikasi. 3 CATATAN 3 CATATAN 4 Bila dua atau lebih sistem manajemen disiplin ilmu yang berbeda (misalnya mutu, lingkungan, kesehatan dan keselamatan kerja) diaudit bersama, hal ini disebut audit gabungan. Bila dua atau lebih organisasi audit bekerja sama mengaudit auditee tunggal (3.7), ini disebut audit bersama. CATATAN 5 Dikutip dari ISO 9000: 2005, definisi Kriteria audit ( audit criteria ) Menetapkan kebijakan, prosedur atau persyaratan yang digunakan sebagai acuan terhadap bukti audit (3.3) yang akan dibandingkan. CATATAN 1 Dikutip dari ISO 9000: 2005, definisi CATATAN 2 Jika kriteria audit adalah persyaratan legal (termasuk hukum atau regulasi), istilah "kesesuaian" atau "ketidaksesuaian" sering digunakan dalam temuan audit (3,4). 3.3 Bukti audit ( audit evidence ) Rekaman, pernyataan fakta atau informasi lain yang relevan dengan kriteria audit (3.2) dan dapat diverifikasi. CATATAN Bukti audit dapat kualitatif atau kuantitatif. < lso 9000: 2005, definisi > 3.4 Temuan audit ( audit findings ) Hasil evaluasi bukti audit (3.3) yang dikumpulkan terhadap kriteria audit (3.2). CATATAN 1 CATATAN 2 CATATAN 3 Temuan audit menunjukkan kesesuaian atau ketidaksesuaian. Temuan audit dapat menimbulkan identifikasi peluang bagi perbaikan atau merekam praktek yang baik. Jika kriteria audit dipilih dari persyaratan hukum atau lainnya, temuan audit disebut kepatuhan atau ketidakpatuhan. CATATAN 4 Dikutip dari ISO 9000: 2005, definisi Kesimpulan audit ( audit conclusion ) Hasil audit (3.1), setelah mempertimbangkan tujuan audit dan seluruh temuan audit (3.4). CATATAN Dikutip dari ISO 9000: Definisi Klien audit ( audit client ) Organisasi atau orang yang meminta audit (3.1). CATATAN 1 Dalam kasus audit internal, klien audit juga dapat menjadi auditee (3.7) atau orang yang mengelola program audit. Permintaan untuk audit eksternal bisa berasal dari Internal Use Only - Translated by RIZQI HERMAWAN

85 Panduan untuk Mengaudit Sistem Manajemen sumber seperti regulator, pihak kontraktor atau klien potensial. CATATAN 2 Dikutip dari ISO 9000: 2005, definisi Auditee Organisasi yang diaudit. < ISO 9000: 2005, definisi > 3.8 Auditor Orang yang melakukan audit (3.1). 3.9 Tim audit ( team audit ) Satu atau lebih auditor (3.8) melakukan audit (3.1), jika diperlukan didukung oleh ahli teknis (3.10). CATATAN 1 CATATAN 2 Salah satu auditor dari tim audit ditunjuk sebagai ketua tim audit. Tim audit dapat mencakup auditor dalam pelatihan. < ISO 9000: 2005, definisi > 3.10 Ahli teknis ( technical expert ) Orang yang memberikan pengetahuan atau keahlian khusus untuk tim audit (3.9). CATATAN 1 CATATAN 2 Pengetahuan atau keahlian khusus adalah yang berkaitan dengan organisasi, proses atau kegiatan yang akan diaudit, atau bahasa atau budaya. Seorang ahli teknis tidak bertindak sebagai auditor (3.8) dalam tim audit. < lso 9000:2005, definisi > 3.11 Pengamat ( observer ) Orang yang menyertai tim audit (3.9) tetapi tidak mengaudit. CATATAN 1 CATATAN 2 Seorang pengamat bukan merupakan bagian dari tim audit (3.9) dan tidak mempengaruhi atau mengganggu dengan pelaksanaan audit (3.1). Seorang pengamat dapat dari auditee (3.7), regulator atau pihak lain yang berkepentingan yang menyaksikan audit (3.1) Pemandu ( guide ) Orang yang ditunjuk oleh auditee (3.7) untuk membantu tim audit (3.9) Program audit ( audit programme ) Pengaturan untuk seperangkat satu atau beberapa audit (3.1) yang direncanakan untuk kerangka waktu tertentu dan diarahkan menuju tujuan tertentu CATATAN Dikutip dari ISO 9000: 2005, definisi Internal Use Only - Translated by RIZQI HERMAWAN

86 Panduan untuk Mengaudit Sistem Manajemen Ruang lingkup audit ( audit scope ) 5 Luasan dan batas-batas audit (3.1). CATATAN Ruang lingkup audit umumnya mencakup uraian dari lokasi fisik, unit organisasi, kegiatan dan proses, serta periode waktu yang dicakup. < ISO 9000: 2005, definisi > 3.15 Rencana audit ( audit plan ) Deskripsi kegiatan dan pengaturan untuk audit (3.1) < ISO 9000: 2005, definisi > 3.16 Risiko ( risk ) Pengaruh ketidakpastian pada tujuan CATATAN Dikutip dari ISO Guide 73: 2009, definisi Kompetensi ( competence ) Kemampuan untuk menerapkan pengetahuan dan keterampilan untuk mencapai hasil yang diinginkan. CATATAN Kemampuan menyiratkan aplikasi yang sesuai perilaku pribadi selama proses audit 3.18 Kesesuaian ( conformity ) Pemenuhan persyaratan < ISO 9000: 2005, definiiion > 3.19 Ketidaksesuaian ( nonconformity ) Tidak terpenuhinya persyaratan < ISO 9000: 2005, definisi > 3.20 Sistem manajemen Sistem untuk menetapkan kebijakan dan tujuan dan untuk mencapai tujuan tersebut CATATAN Suatu sistem manajemen sebuah organisasi dapat mencakup sistem manajemen yang berbeda, seperti sistem manajemen mutu, sistem managemenl keuangan atau sistem manajemen lingkungan. < ISO 9000: 2005, definisi > Internal Use Only - Translated by RIZQI HERMAWAN

87 Panduan untuk Mengaudit Sistem Manajemen 4. Prinsip-prinsip mengaudit 6 Audit ditandai dengan kepercayaan pada sejumlah prinsip. Prinsip-prinsip ini akan membantu untuk membuat audit menjadi alat yang efektif dan dapat dipercaya dalam mendukung kebijakan manajemen dan pengendalian, dengan memberikan informasi yang suatu organisasi dapat bertindak dalam rangka meningkatkan kinerjanya. Kepatuhan terhadap prinsip-prinsip ini merupakan prasyarat untuk memberikan kesimpulan audit yang relevan dan cukup dan untuk memungkinkan auditor, bekerja secara independen satu sama lain, untuk mencapai kesimpulan yang sama dalam kondisi yang sama. Panduan yang diberikan dalam Klausul 5 sampai 7 didasarkan pada enam prinsip yang diuraikan di bawah ini. a) lntegritas : dasar dari profesionalisme Auditor dan orang yang mengelola program audit sebaiknya : melakukan pekerjaan mereka dengan kejujuran, ketekunan, dan tanggung jawab; mematuhi dan memenuhi persyaratan hukum yang berlaku; menunjukkan kemampuan mereka saat melakukan pekerjaan mereka; melakukan pekerjaan mereka dengan cara yang berimbang, yaitu tetap adil dan tidak bias dalam segala urusan mereka; peka terhadap setiap pengaruh yang mungkin diberikan pada penilaian mereka saat melakukan audit. b) Penyajian secara wajar : kewajiban untuk melaporkan secara jujur dan akurat Temuan audit, kesimpulan audit dan laporan audit sebaiknya mencerminkan kegiatan audit yang jujur dan akurat. Kendala yang berarti yang ditemui selama perbedaan opini-opini audit dan belum terselesaikan antara tim audit dan auditee sebaiknya dilaporkan. Komunikasi sebaiknya jujur, akurat, objektif, tepat waktu, jelas dan lengkap. c) Pelayanan profesional : penerapan ketekunan dan penilaian dalam audit Auditor sebaiknya berhati-hati karena sesuai dengan pentingnya tugas yang mereka lakukan dan kepercayaan ditempatkan kepada mereka dengan klien audit dan pihak lain yang berkepentingan. Salah satu faktor penting dalam melaksanakan pekerjaan mereka dengan pelayanan profesional yang memiliki kemampuan untuk membuat penilaian yang beralasan dalam segala situasi audit. d) Kerahasiaan : keamanan informasi Auditor sebaiknya menerapkan kebijaksanaan dalam penggunaan dan perlindungan informasi yang diperoleh dalam tugasnya. Informasi audit tidak boleh digunakan secara tidak tepat untuk keuntungan pribadi oleh auditor atau klien audit, atau dengan cara yang merugikan kepentingan yang sah dari auditee. Konsep ini mencakup penanganan informasi yang sensitif atau rahasia. Internal Use Only - Translated by RIZQI HERMAWAN

88 Panduan untuk Mengaudit Sistem Manajemen e) Kemandirian : dasar untuk ketidakberpihakan audit dan objektivitas kesimpulan audit 7 Auditor sebaiknya independen dari kegiatan yang diaudit dimanapun prakteknya, dan sebaiknya dalam segala kasus bertindak dengan cara yang bebas dari bias dan konflik kepentingan. Untuk audit internal, auditor sebaiknya independen dari manajer fungsi operasi yang diaudit. Auditor sebaiknya menjaga objektivitas seluruh proses audit untuk memastikan bahwa temuan audit dan kesimpulan didasarkan hanya pada bukti audit. Untuk organisasi kecil, hal itu dapat tidak mungkin bagi auditor internal untuk menjadi sepenuhnya independen dari kegiatan yang diaudit, tetapi setiap upaya sebaiknya dilakukan untuk menghilangkan bias dan mendorong objektivitas. f) Berbasis pendekatan bukti : metode rasional untuk mencapai kesimpulan audit yang handal dan direproduksi dalam proses audit yang sistematis Bukti audit sebaiknya diverifikasi. Hal ini akan secara umum didasarkan pada sampel informasi yang tersedia, karena audit dilakukan selama periode waktu yang terbatas dan dengan sumber daya yang terbatas. Sebuah penggunaan sampling yang tepat sebaiknya diterapkan, karena hal ini berkaitan erat dengan kepercayaan yang dapat ditempatkan dalam kesimpulan audit. 5. Mengelola program audit 5.1. Umum Sebuah organisasi yang perlu melakukan audit sebaiknya membentuk suatu program audit yang memberikan kontribusi untuk penentuan efektivitas sistem manajemen auditee. Program audit dapat mencakup audit yang mempertimbangkan satu atau lebih standar sistem manajemen, yang dilakukan baik secara terpisah atau dalam kombinasi. Manajemen puncak sebaiknya memastikan bahwa tujuan program audit ditetapkan dan menetapkan satu atau lebih orang yang berkompeten untuk mengelola program audit. Luasnya program audit sebaiknya didasarkan pada ukuran dan sifat organisasi yang diaudit, serta pada sifat, fungsi, kompleksitas dan tingkat kematangan sistem manajemen yang diaudit. Prioritas sebaiknya diberikan untuk mengalokasikan sumber daya program audit untuk mengaudit hal penting dalam sistem manajemen. Hal ini mungkin termasuk karakteristik kunci dari kualitas produk atau bahaya yang terkait dengan kesehatan dan keselamatan, atau aspek lingkungan yang signifikan dan pengendalian mereka. CATATAN Konsep ini dikenal sebagai audit berbasis risiko. Standar lnternasional ISO 19011:2011 ini tidak memberikan panduan lebih lanjut mengenai audit berbasis risiko. Program audit sebaiknya mencakup informasi dan sumber daya yang diperlukan untuk mengatur dan melakukan audit secara efektif dan efisien dalam kerangka waktu tertentu dan juga dapat mencakup hal berikut : tujuan untuk program audit dan audit individu; luasan / jumlah / jenis / durasi / lokasi / jadwal audit; Internal Use Only - Translated by RIZQI HERMAWAN

89 Panduan untuk Mengaudit Sistem Manajemen prosedur program audit; kriteria audit; 8 metode audit; pemilihan tim audit; sumber daya yang diperlukan, termasuk perjalanan dan akomodasi; proses untuk penanganan kerahasiaan, keamanan informasi, kesehatan dan keselamatan, dan hal-hal serupa lainnya. Pelaksanaan program audit sebaiknya dipantau dan diukur untuk memastikan tujuannya telah dicapai. Program audit sebaiknya ditinjau untuk mengidentifikasi kemungkinan perbaikan. Gambar 1 menggambarkan aliran proses untuk pengelolaan suatu program audit. 5.2 Menetapkan tujuan program audit 5.3 Menetapkan program audit Peran dan tanggung jawab orang yang mengelola program audit Kompet ensi orang yang mengelola program audit Menetapkan luasan program audit Mengidentifikasi dan mengevaluasi risiko program audit Menetapkan prosedur untuk program audit Mengidentifikasi sumber daya program audit PLAN 5.4 Melaksanakan program audit Umum Mendefinisikan tujuan, ruang lingkup dan kriteria untuk audit individu Menyeleksi met ode audit Menyeleksi anggota tim audit Menunjuk penanggung jawab untuk audit individu kepada ketua tim audit Mengelola hasil program audit Mengelola dan memelihara rekam an program audit Kompetensi dan evaluasi auditor (Klausul 7) Melakukan audit (Klausul 6) DO 5.5 Memantau program audit CHECK 5.6 Meninjau dan meningkatkan program audit ACT CATATAN 1 Gambar ini mengilustrasikan penerapan siklus Plan-Do-Check-Act dalam Standar Internasional ISO 19011:2011 ini. CATATAN 2 Penomoran klausul / subklausul mengacu pada klausul / subklausul yang relevan dengan Standar Internasional ISO 19011:2011 ini. Gambar 1 Alur proses untuk pengelolaan program audit Internal Use Only - Translated by RIZQI HERMAWAN

90 Panduan untuk Mengaudit Sistem Manajemen 5.2. Menetapkan tujuan program audit Manajemen puncak sebaiknya memastikan bahwa tujuan program audit ditetapkan untuk mengarahkan perencanaan dan pelaksanaan audit dan sebaiknya memastikan program audit diimplementasikan secara efektif. Tujuan program audit sebaiknya konsisten dengan dan mendukung kebijakan dan tujuan sistem manajemen. 9 Tujuan-tujuan ini dapat didasarkan pada pertimbangan sebagai berikut : a) manajemen prioritas; b) tujuan bisnis komersial dan lainnya; c) karakteristik proses, produk dan proyek, dan perubahan dengan mereka; d) persyaratan sistem manajemen; e) persyaratan hukum dan kontrak dan persyaratan lainnya yang diikuti oleh komitmen organisasi; f) keperluan untuk evaluasi pemasok; g) kebutuhan dan harapan pihak berkepentingan, termasuk pelanggan; h) tingkat kinerja auditee, sebagaimana tercermin dalam terjadinya kegagalan atau insiden atau keluhan pelanggan; i) risiko kepada auditee; j) hasil audit sebelumnya; k) tingkat kematangan sistem manajemen yang diaudit. Contoh tujuan program audit meliputi berikut ini : untuk berkontribusi pada perbaikan sistem manajemen dan kinerjanya; untuk memenuhi kebutuhan eksternal, misalnya sertifikasi untuk standar sistem manajemen; untuk memverifikasi kesesuaian dengan persyaratan kontrak; untuk mendapatkan dan mempertahankan kepercayaan pada kemampuan pemasok; untuk menentukan efektivitas dari sistem manajemen; untuk mengevaluasi kompatibilitas dan keselarasan sasaran sistem manajemen dengan kebijakan sistem manajemen dan tujuan organisasi secara keseluruhan Menetapkan program audit Peran dan tanggung jawab orang yang mengelola program audit Orang yang mengelola program audit sebaiknya : menetapkan luasnya program audit; mengidentifikasi dan mengevaluasi risiko untuk program audit; menetapkan tanggung jawab audit; menetapkan prosedur untuk program audit; menentukan sumber daya yang diperlukan; memastikan pelaksanaan program audit, termasuk pembentukan tujuan audit, ruang lingkup dan kriteria audit individu, menentukan metode audit dan memilih tim audit dan evaluasi auditor; memastikan bahwa rekaman program audit yang tepat dikelola dan dipelihara; memantau, meninjau dan meningkatkan program audit. Internal Use Only - Translated by RIZQI HERMAWAN

91 Panduan untuk Mengaudit Sistem Manajemen Orang yang mengelola program audit sebaiknya memberitahukan manajemen puncak dari isi program audit dan, jika perlu, meminta persetujuannya Kompetensi orang yang mengelola program audit Orang yang mengelola program audit sebaiknya memiliki kompetensi yang diperlukan untuk mengelola program dan risiko secara efektif dan efisien, serta pengetahuan dan keterampilan dalam bidang berikut : prinsip, prosedur dan metode audit; standar sistem manajemen dan dokumen referensi; kegiatan, produk dan proses dari auditee; persyaratan hukum dan lainnya yang berlaku terkait dengan kegiatan dan produk dari auditee; pelanggan, pemasok dan pihak lain yang berkepentingan dari auditee, mana yang berlaku. Orang yang mengelola program audit sebaiknya terlibat dalam kegiatan pengembangan profesional yang sesuai terus-menerus untuk mempertahankan pengetahuan dan keterampilan yang diperlukan untuk mengelola program audit Menetapkan luasan program audit Orang yang mengelola program audit sebaiknya menentukan luasan program audit, yang dapat bervariasi tergantung pada ukuran dan sifat dari auditee, serta pada sifat, fungsi, kompleksitas dan tingkat kematangan, dan hal-hal penting untuk sistem manajemen yang diaudit. CATATAN Dalam beberapa kasus, tergantung pada struktur auditee atau kegiatannya, program audit dapat hanya terdiri dari audit tunggal (misalnya kegiatan proyek kecil). Faktor-faktor lain yang mempengaruhi luasan program audit meliputi : tujuan, ruang lingkup dan durasi setiap audit dan jumlah audit yang akan dilakukan, termasuk pemeriksaan tindak lanjut, jika berlaku; jumlah, kepentingan, kompleksitas, kesamaan dan lokasi kegiatan yang akan diaudit; faktor-faktor yang mempengaruhi efektivitas sistem manajemen; kriteria audit yang berlaku, seperti pengaturan yang direncanakan untuk standar manajemen yang relevan, Iegal dan persyaratan kontrak dan persyaratan lainnya yang mana organisasi memiliki komitmen; kesimpulan audit internal atau eksternal sebelumnya; hasil tinjauan program audit sebelumnya; masalah bahasa, budaya dan sosial; kekhawatiran pihak yang berkepentingan, seperti keluhan pelanggan atau ketidakpatuhan terhadap persyaratan hukum; perubahan yang signifikan terhadap auditee atau pengoperasiannya; ketersediaan teknologi informasi dan komunikasi untuk mendukung kegiatan audit, khususnya penggunaan metode pemeriksaan jarak jauh (lihat klausul B.1); terjadinya peristiwa internal dan eksternal, seperti kegagalan produk, kebocoran keamanan informasi, insiden kesehatan dan keselamatan, tindakan kriminal atau insiden lingkungan. Internal Use Only - Translated by RIZQI HERMAWAN

92 Panduan untuk Mengaudit Sistem Manajemen Mengidentifikasi dan mengevaluasi program audit Ada banyak risiko yang berbeda yang berhubungan dengan penetapan, pelaksanaan, pemantauan, peninjauan dan peningkatan program audit yang dapat mempengaruhi pencapaian tujuannya. Orang yang mengelola program sebaiknya mempertimbangkan risiko ini dalam perkembangannya. Risiko ini dapat berhubungan dengan hal-hal berikut : 11 perencanaan, misalnya kegagalan untuk menetapkan tujuan audit yang relevan dan menentukan luasan program audit; sumber daya, misalnya memungkinkan cukup waktu untuk mengembangkan program audit atau melakukan audit; pemilihan tim audit, misalnya tim tidak memiliki kompetensi kolektif untuk melakukan audit secara efektif; implementasi, misalnya komunikasi yang tidak efektif dari program audit; rekaman dan pengendalian mereka, misalnya kegagalan untuk melindungi rekaman audit yang memadai untuk menunjukkan efektivitas program audit; pemantauan, peninjauan dan peningkatan program audit, misalnya pemantauan tidak efektif atas hasil program audit Menetapkan prosedur untuk program audit Orang yang mengelola program audit sebaiknya menetapkan satu atau lebih prosedur, untuk menangani hal berikut ini yang berlaku : perencanaan dan penjadwalan audit dengan mempertimbangkan risiko program audit; menjaga keamanan informasi dan kerahasiaan; menjamin kompetensi auditor dan ketua tim audit; memilih tim audit yang tepat dan menetapkan peran dan tanggung jawab mereka; melakukan audit, termasuk penggunaan metode sampling yang tepat; melakukan audit tindak lanjut, jika ada; melaporkan kepada manajemen puncak pada keseluruhan pencapaian program audit; pemeliharaan rekaman program audit; pemantauan dan peninjauan kinerja dan risiko, dan meningkatkan efektivitas program audit Mengidentifikasi sumber daya program audit Ketika mengidentifikasi sumber daya untuk program audit, orang yang mengelola program audit sebaiknya mempertimbangkan : sumber daya keuangan yang diperlukan untuk mengembangkan, melaksanakan, mengelola dan meningkatkan kegiatan audit; metode audit; ketersediaan auditor dan tenaga ahli teknis yang memiliki kompetensi yang sesuai dengan tujuan program audit khusus; luasan program audit dan program audit risiko; perjalanan waktu dan biaya, akomodasi dan kebutuhan audit lainnya; ketersediaan teknologi informasi dan komunikasi. Internal Use Only - Translated by RIZQI HERMAWAN

93 Panduan untuk Mengaudit Sistem Manajemen 5.4. Melaksanakan program audit Umum 12 Orang yang mengelola program audit sebaiknya mengimplementasikan program audit dengan cara berikut : mengkomunikasikan bagian yang bersangkutan dari program audit kepada pihak terkait dan menginformasikan secara berkala dari perkembangannya; mendefinisikan tujuan, ruang lingkup dan kriteria untuk setiap audit individu; mengkoordinasi dan menjadwalkan audit dan kegiatan lain yang relevan dengan program audit; memastikan pemilihan tim audit dengan kompetensi yang diperlukan; menyediakan sumber daya yang diperlukan untuk tim audit; memastikan pelaksanaan audit sesuai dengan program audit dan dalam kerangka waktu yang telah disepakati; memastikan bahwa audit kegiatan direkam dan rekaman dikelola dan dipelihara Mendefinisikan tujuan, ruang lingkup dan kriteria untuk audit individu Setiap audit individu sebaiknya didasarkan pada tujuan, ruang lingkup dan kriteria audit terdokumentasi. Hal ini sebaiknya didefinisikan oleh orang yang mengelola program audit dan konsisten dengan tujuan program audit secara keseluruhan. Tujuan audit menentukan apa yang sebaiknya dicapai oleh audit individu dan dapat termasuk hal berikut : menentukan tingkat kesesuaian sistem manajemen yang diaudit, atau bagian dari itu, dengan kriteria audit; menentukan tingkat kesesuaian kegiatan, proses dan produk dengan persyaratan dan prosedur sistem manajemen; evaluasi kemampuan sistem manajemen untuk memastikan kepatuhan dengan persyaratan hukum dan kontrak dan persyaratan lainnya yang diikuti oleh komitmen organisasi; evaluasi efektivitas sistem manajemen dalam mencapai tujuan yang ditentukan; identifikasi daerah untuk potensi perbaikan sistem manajemen. Ruang lingkup audit sebaiknya konsisten dengan program audit dan tujuan audit. Ini mencakup faktor-faktor seperti lokasi fisik, unit organisasi, kegiatan dan proses yang akan diaudit, serta periode waktu yang dicakup oleh audit. Kriteria audit digunakan sebagai acuan terhadap yang mana kesesuaian ditentukan dan dapat mencakup kebijakan, prosedur, standar, persyaratan hukum, persyaratan sistem manajemen, persyaratan kontrak, sektor kode etik yang berlaku atau pengaturan yang direncanakan lainnya. Dalam hal terjadi perubahan tujuan, ruang lingkup atau kriteria audit, program audit sebaiknya diubah jika perlu. Ketika dua atau lebih sistem manajemen disiplin ilmu yang berbeda diaudit bersamasama (audit gabungan), adalah penting bahwa tujuan, ruang lingkup dan kriteria audit konsisten dengan tujuan dari program audit yang relevan. Internal Use Only - Translated by RIZQI HERMAWAN

94 Panduan untuk Mengaudit Sistem Manajemen Menyeleksi metode audit Orang yang mengelola program audit sebaiknya menyeleksi dan menentukan metode agar secara efektif melakukan audit, tergantung pada tujuan, ruang lingkup dan kriteria audit ditetapkan. 13 CATATAN Pedoman bagaimana menentukan metode audit diberikan dalam Lampiran B. Dimana dua atau lebih organisasi audit melakukan pemeriksaan bersama dari auditee yang sama, orang-orang yang mengelola program audit yang berbeda sebaiknya setuju pada metode audit dan mempertimbangkan implikasi bagi sumber daya dan perencanaan audit. Jika suatu auditee mengoperasikan dua atau lebih sistem manajemen disiplin ilmu yang berbeda, audit gabungan dapat dimasukkan dalam program audit Menyeleksi anggota tim audit Orang yang mengelola program audit sebaiknya menunjuk anggota tim audit, termasuk ketua tim dan setiap ahli teknis yang diperlukan untuk audit tertentu. Tim audit sebaiknya dipilih, dengan mempertimbangkan kompetensi yang dibutuhkan untuk mencapai tujuan audit individu dalam lingkup yang ditetapkan. Jika hanya ada satu auditor, auditor sebaiknya melakukan seluruh tugas yang berlaku bagi ketua tim audit. CATATAN Klausul 7 berisi panduan dalam menentukan kompetensi yang diperlukan untuk anggota tim audit dan menjelaskan proses untuk mengevaluasi auditor. Dalam menentukan ukuran dan komposisi tim audit untuk audit tertentu, pertimbangan sebaiknya diberikan sebagai berikut : a) keseluruhan kompetensi tim audit yang diperlukan untuk mencapai tujuan audit, dengan memperhitungkan ruang lingkup dan kriteria audit; b) kompleksitas audit dan jika audit adalah audit gabungan atau bersama; c) metode audit yang telah dipilih; d) persyaratan hukum dan kontrak dan persyaratan lainnya yang diikuti oleh komitmen organisasi; e) kebutuhan untuk menjamin independensi anggota tim audit dari kegiatan yang akan diaudit dan untuk menghindari konflik kepentingan [lihat prinsip e) dalam Klausul 4]; f) kemampuan anggota tim audit untuk berinteraksi secara efektif dengan perwakilan auditee dan untuk bekerja sama; g) bahasa audit, dan karakteristik sosial dan budaya auditee. Isu-isu ini dapat diatasi baik oleh keterampilan auditor sendiri atau melalui dukungan dari ahli teknis. Untuk menjamin kompetensi secara keseluruhan tim audit, langkah-langkah berikut sebaiknya dilakukan : identifikasi pengetahuan dan keterampilan yang diperlukan untuk mencapai tujuan audit; pemilihan anggota tim audit sehingga semua pengetahuan dan keterampilan yang diperlukan hadir dalam tim audit. Jika semua kompetensi yang diperlukan tidak tercakup oleh auditor dalam tim audit, ahli teknis dengan kompetensi tambahan sebaiknya dimasukkan dalam tim. Ahli-ahli teknis Internal Use Only - Translated by RIZQI HERMAWAN

95 Panduan untuk Mengaudit Sistem Manajemen sebaiknya beroperasi di bawah arahan auditor, tetapi tidak sebaiknya bertindak sebagai auditor. 14 Auditor-dalam-pelatihan dapat dimasukkan dalam tim audit, tetapi sebaiknya berpartisipasi di bawah arahan dan bimbingan dari auditor. Penyesuaian ukuran dan komposisi untuk tim audit mungkin diperlukan selama audit, yaitu jika konflik kepentingan atau masalah kompetensi muncul. Jika situasi seperti ini muncul, hal itu sebaiknya didiskusikan dengan pihak yang tepat (misalnya ketua tim audit, orang yang mengelola program audit, klien audit atau auditee) sebelum penyesuaian dilakukan Menunjuk penanggung jawab untuk audit individu kepada ketua tim audit Orang yang mengelola program audit sebaiknya menetapkan tanggung jawab untuk melakukan audit individu kepada ketua tim audit. Penugasan sebaiknya dilakukan dalam waktu yang cukup sebelum tanggal audit yang dijadwalkan, untuk memastikan perencanaan audit. Untuk memastikan pelaksanaan yang efektif dari audit individual, informasi berikut sebaiknya disediakan kepada ketua tim audit : a) tujuan audit; b) kriteria audit dan dokumen referensi apapun; c) ruang lingkup audit, termasuk identifikasi unit dan proses organisasi dan fungsional untuk diaudit; d) metode dan prosedur audit; e) komposisi tim audit; f) rincian kontak dari auditee, lokasi, tanggal dan durasi kegiatan audit yang akan dilakukan; g) alokasi sumber daya yang tepat untuk melakukan audit; h) informasi yang dibutuhkan untuk mengevaluasi dan menangani risiko yang teridentifikasi untuk pencapaian tujuan audit. Informasi tugas juga sebaiknya mencakup berikut, yang sesuai : bahasa pekerjaan dan pelaporan audit di mana hal ini berbeda dengan bahasa auditor atau auditee, atau keduanya; isi laporan audit dan distribusi yang diperlukan oleh program audit; hal yang berkaitan dengan kerahasiaan dan keamanan informasi, jika diperlukan oleh program audit; persyaratan kesehatan dan keselamatan untuk auditor; setiap keamanan dan otorisasi persyaratan; tindakan tindak lanjut, misalnya dari audit sebelumnya, jika berlaku; koordinasi dengan kegiatan audit lainnya, dalam hal audit bersama. Dimana audit bersama dilakukan, adalah penting untuk mencapai kesepakatan antara organisasi yang melakukan audit, sebelum audit dimulai, pada tanggung jawab spesifik dari masing-masing pihak, khususnya yang terkait dengan kewenangan ketua tim yang ditunjuk untuk mengaudit. Internal Use Only - Translated by RIZQI HERMAWAN

96 Panduan untuk Mengaudit Sistem Manajemen Mengelola hasil program audit Orang yang mengelola program audit sebaiknya memastikan bahwa kegiatan-kegiatan 15 berikut dilakukan : tinjauan dan persetujuan laporan audit, termasuk mengevaluasi kesesuaian dan kecukupan temuan audit; tinjauan analisis akar penyebab dan efektivitas tindakan perbaikan dan tindakan pencegahan; distribusi laporan audit ke manajemen puncak dan pihak lain yang terkait; penentuan kebutuhan bagi setiap pemeriksaan tindak lanjut Mengelola dan memelihara rekaman program audit Orang yang mengelola program audit sebaiknya memastikan bahwa rekaman audit dibuat, dikelola dan dipelihara untuk menunjukkan pelaksanaan program audit. Proses sebaiknya ditetapkan untuk memastikan bahwa setiap kebutuhan kerahasiaan terkait dengan rekaman audit ditangani. Rekaman sebaiknya mencakup sebagai berikut : a) rekaman yang berhubungan dengan program audit, seperti: tujuan dan luasan program audit terdokumentasi; mereka menangani risiko program audit; meninjau efektivitas program audit; b) catatan yang berhubungan dengan setiap audit individual, seperti : rencana audit dan laporan audit; laporan ketidaksesuaian; laporan tindakan perbaikan dan pencegahan; laporan audit tindak lanjut, jika ada; c) catatan yang berhubungan dengan personel audit yang mencakup topik-topik seperti : evaluasi kompetensi dan kinerja anggota tim audit; pemilihan tim audit dan anggota tim; pemeliharaan dan peningkatan kompetensi. Format dan tingkat detail dari rekaman sebaiknya menunjukkan bahwa tujuan dari program audit telah dicapai Memantau program audit Orang yang mengelola program audit sebaiknya memantau implementasi dengan mempertimbangkan kebutuhan untuk : a) mengevaluasi kesesuaian dengan program audit, jadwal dan tujuan audit; b) mengevaluasi kinerja anggota tim audit; c) mengevaluasi kemampuan tim audit untuk melaksanakan rencana audit; Internal Use Only - Translated by RIZQI HERMAWAN

97 Panduan untuk Mengaudit Sistem Manajemen d) mengevaluasi tanggapan dari manajemen puncak, auditee, auditor dan pihak lain yang berkepentingan. 16 Beberapa faktor dapat menentukan kebutuhan untuk memodifikasi program audit, seperti berikut : temuan audit; tingkat yang menunjukkan efektivitas sistem manajemen; perubahan pada klien atau sistem manajemen auditee; perubahan standar, persyaratan hukum dan kontrak dan persyaratan lainnya yang diikuti oleh komitmen organisasi; perubahan pemasok Meninjau dan meningkatkan program audit Orang yang mengelola program audit sebaiknya meninjau program audit untuk menilai apakah tujuannya telah dicapai. Pelajaran yang dipetik dari tinjauan program audit sebaiknya digunakan sebagai masukan untuk proses perbaikan berkesinambungan untuk program tersebut. Tinjauan program audit sebaiknya mempertimbangkan hal berikut : a) hasil dan tren dari pemantauan program audit; b) kesesuaian dengan prosedur program audit; c) kebutuhan dan harapan yang berkembang dari pihak yang berkepentingan; d) rekaman program audit; e) metode audit alternatif atau baru; f) efektivitas tindakan untuk mengatasi risiko yang terkait dengan program audit; g) masalah kerahasiaan dan keamanan informasi yang berkaitan dengan program audit. Orang yang mengelola program audit sebaiknya meninjau pelaksanaan keseluruhan program audit, mengidentifikasi bidang perbaikan, mengubah program jika diperlukan, dan juga sebaiknya : meninjau pengembangan profesional berkelanjutan dari auditor, sesuai dengan 7.4,7.5 dan 7,6; melaporkan hasil tinjauan program audit kepada manajemen puncak. 6. Melakukan audit 6.1. Umum Klausul ini berisi panduan untuk mempersiapkan dan melakukan kegiatan audit sebagai bagian dari program audit. Gambar 2 memberikan gambaran tentang kegiatan audit yang khas. Cakupan di mana ketentuan klausul ini berlaku tergantung pada tujuan dan ruang lingkup audit tertentu. Internal Use Only - Translated by RIZQI HERMAWAN

98 Panduan untuk Mengaudit Sistem Manajemen 6.2 Memulai audit Umum Menetapkan kontak awal dengan auditee Menentukan kelayakan audit Mempersiapkan kegiatan audit Melakukan tinjauan dokum en dalam persiapan untuk audit Mempersiapkan rencana audit Tugas kerja kepada tim audit Mempersiapkan dokum en kerja 6.4 Melakukan kegiatan audit Umum Melakukan rapat pembuka Melakukan tinjauan dokum en ketika melakukan audit Komunikasi selam a audit Tugas peran dan tanggung jawab kepada pemandu dan pengam at Mengum pulkan dan m emverifikasi inform asi Mengeluarkan temuan audit Mempersiapkan kesimpulan audit Melakukan rapat penutup 6.5 Mempersiapkan dan mendistribusikan laporan audit Mempersiapkan laporan audit Mendistribusikan laporan audit 6.6 Menyelesaikan audit 6.7 Melakukan audit tindak lanjut (jika ditentukan dalam rencana audit) CATATAN Penomoran subklausul mengacu pada subklausul yang relevan dengan Standar lnternasional ISO 19011:2011 ini Gambar 2 Kegiatan audit yang khas 6.2. Memulai audit Umum Ketika audit dimulai, tanggung jawab untuk melakukan audit tetap kepada ketua tim audit yang ditetapkan (lihat 5.4.5) sampai audit selesai (lihat 6.6). Untuk memulai audit, langkah-langkah pada Gambar 2 sebaiknya dipertimbangkan; namun, urutan dapat berbeda tergantung pada auditee, proses dan keadaan tertentu dari audit. Internal Use Only - Translated by RIZQI HERMAWAN