Anda pernah diaudit? atau setidaknya pernah diceritakan seseorang pada saat audit? Sebagian mungkin akan bercerita betapa tegangnya saat ditanya oleh auditor. begitu tegangnya sehingga banyak yang gugup dan kemudian sedikit paranoid ketika diberitahu bahwa beberapa hari lagi akan diadakan audit di unit kerjanya.
Pernahkan membayangkan bila audit dilakukan tanpa bertemu secara langsung dengan auditor? ISO 19011:2018 Panduan untuk Audit Sistem Manajemen sebenarnya telah menguraikan apa yang harus dilakukan bila pelaksanaan audit tidak dimungkin dilakukan secara langsung atau tanpa tatap muka secara langsung.
Diatas adalah dokumen yang ada di ISO 19011:2018. Versi terbaru audit sistem manajemen ISO 19011:2018 ini mengakomodasi bagaimana bila audit tidak dilakukan dengan interview atau tatap muka secara langsung.
Dari gambar diatas, kita punya 4 skenario audit yang didasarkan atas 2 kondisi
a. kondisi : berinteraksi / diskusi dengan auditee, skenario bertemu langsung
skenario ini adalah kondisi audit yang umumnya dilakukan oleh auditor. Anda mendapatkan jadwal audit kemudian anda bertatap muka dengan auditor yang melontarkan pertanyaan serta meminta bukti pelaksanaan. Normal, orang yang pernah bekerja banyak yang sudah mengalami
b. kondisi : berinteraksi / diskusi dengan auditee, skenario TIDAK bertemu langsung
Ada audit tapi auditor tidak bertemu dengan auditee karena audit dilaksanakan secara remote / dari lokasi yang berbeda. Apakah mungkin skenario ini terjadi? Sangat mungkin bahkan mungkin anda sudah pernah mengalaminya. Pernahkah anda melakukan audit awal tapi hanya bertemu 1 kali ? proses itu adalah contoh skenario b ini. Jadi pada dasarnya audit untuk mendapatkan sertifikasi dilakukan 2 kali / 2 tahapan(stage). Tahapan pertama terkadang diisi dengan desk audit (audit yang dilakukan oleh auditor di kantor sendiri) Auditor akan menilai dokumen – dokumen yang diterima dan menyatakan apakah auditee sudah siap melakukan audit. Bila audit telah dilakukan maka keluarlah temuan non conformance yang harus di perbaiki oleh auditee. Setelah temuan ini selesai maka dilakukan audit stage 2, dengan skenario a diatas/berkunjung ke perusahaan.
hehehe sering ga sadar yah klo biasanya konsultan membantu dengan meminta auditor tidak berkunjung ke tempat anda pada tahapan stage 1
c. kondisi : TIDAK berinteraksi / diskusi dengan auditee, skenario mengunjungi langsung auditee
Skenario ini yang sebenarnya mungkin masih dianggap baru. Auditor datang ke lokasi tanpa di diampingi oleh guide / pendamping. Apakah mungkin? Kondisi untuk memungkinkan bahwa skenario ini dapat berjalan adalah bila perusahaan anda telah menerapkan sistem informasi IT secara keseluruhan. Dengan demikian anda sebagai tuan rumah hanya perlu menyambut layaknya tamu dan memberitahu hal – hal penting dalam sistem informasi anda. Lalu anda membiarkan auditor melakukan pekerjaannya sesuai dengan tabel diatas.Di ujung hari anda mendapatkan daftar temuan dari hasil audit yang dilakukan. Apakah saya pernah bertemu dengan audit seperti ini ? jawabnya TIDAK , maafkan atas kurangnya pengalaman saya 🙁
d. kondisi : TIDAK berinteraksi / diskusi dengan auditee, skenario TIDAK mengunjungi langsung audite
Bagaimana dengan skenario ini? Kondisi ini adalah hal yang umum pada saat audit ISO 27001:2013. Auditor akan melakukan pemeriksaan pada keamanan informasi sistem keamanan informasi yang biasanya di lakukan pada waktu tertentu dengan perencanaan dan persetujuan dari auditee. Pelaksanaan audit dilaksanakan secara remote, dengan melakukan penetration test terhadap keamanan informasi.
Standar ISO 19011:2018 ini telah berupaya mengakomodasikan situasi dan kondisi yang mungkin timbul pada saat audit, jadi jangan heran bila ke depan anda mungkin akan mengalami jenis audit type c atau type d. Walopun kondisi type d ini menyebalkan !! karena kita tidak bisa mengajak auditor makan di tempat mewah dan enak dengan gratis alias atas biaya perusahaan hehehe
Jadi audit mana yang akan anda pilih?