PROSES BISNIS DAN RISIKO

1.1 PROSES BISNIS

Apa yang dimaksud dengan proses bisnis? Ini hanyalah serangkaian
kegiatan terkait satu sama lain untuk mencapai suatu tujuan. Pameran 5-2
menguraikan klasifikasi dasar kegiatan usaha. Ada tiga jenis kegiatan usaha:
proses operasi, manajemen dan dukungan proses, dan proyek. Sementara
pameran ini menggambarkan mereka sebagai proses dan kegiatan yang terpisah
dan berbeda, Pembaca harus mencatat bahwa mereka tidak independen satu sama
lain. Misalnya, mengembangkan kegiatan strategi (proses 2) adalah elemen yang
lebih operasional terfokus pada arah strategis pemerintahan. Pengembangan
strategi dalam konteks operasi ini mungkin berhubungan dengan banyak kegiatan
lain yang ditunjukkan dalam pameran 5-2. Selain itumanajemen dan dukungan
proses dapat mengaktifkan dan berinteraksi dengan proses operasi dan proyek.
Proses operasi untuk sebagian besar organisasi termasuk proses inti melalui
mana organisasi mencapai tujuan utamanya. Untuk perusahaan manufaktur, ini
akan menjadi proses melalui yang membuat dan menjual produk. Untuk penyedia
layanan seperti perusahaan konsultan atau lembaga keuangan, itu yang akan
menjadi proses mereka yaitu memasarkan dan memberikan layanan mereka.
Entitas pemerintah seperti pemadam kebakaran kota atau tidak-untuk organisasi
nirlaba (misalnya, Pramuka) juga memiliki proses operasi di mana mereka
memberikan layanan. Setelah produk atau jasa dirancang (proses 1 sampai 3 di
pameran 5-2), proses operasi yang tersisa (proses 4-6) dipandang sebagai dasarnya
terus menerus, yang diulang berkali-kali dalam siklus bisnis. Melalui proses ini
bahwa organisasi menciptakan nilai dan mengirimkannya langsung ke pelanggan
mereka.
Beberapa organisasi dapat menggunakan metode yang berbeda untuk
mengatur kegiatan penciptaan nilai. Struktur ini, yang disebut proyek, digunakan
ketika kegiatan terjadi selama jangka waktu, memerlukan pengurutan kompleks,
dan relatif unik karena aktivitas tertentu tidak dilakukan terus menerus. Contoh

Page | 1

organisasi yang sering diatur oleh kegiatan inti mereka dengan cara ini adalah
rekayasa dan perusahaan konstruksi; pertambangan, minyak, dan gas perusahaan;
dan kontraktor pertahanan. Proses 13 dan 14 dari pameran 5-2 menunjukkan dua
jenis proyek. Proses 13 berlaku ketika organisasi mendesain dan membangun aset
dan beroperasi itu, juga. Sebagai contoh, sebuah latihan perusahaan minyak dan
kemudian beroperasi sumur minyak.
Exhibit 5-2

Page | 2

Proses 14 berlaku ketika desain organisasi dan membangun aset dan tangan
itu ke organisasi lain untuk beroperasi (misalnya, pabrik atau bangunan dibangun
oleh sebuah perusahaan rekayasa dan kemudian dipindahkan ke perusahaan lain
untuk operasi). Perhatikan bahwa contoh-contoh ini berhubungan dengan aset
berwujud. Namun, pendekatan proyek yang sama berlaku untuk perusahaanperusahaan memberikan layanan. Dalam hal ini, "aset" mungkin kekayaan

Page | 3

intelektual atau aset tidak berwujud lainnya.Proyek juga sering digunakan dalam
sebagian besar organisasi untuk struktur kegiatan tidak rutin untuk menciptakan
aset untuk digunakan organisasi.
Manajemen dan dukungan proses adalah kegiatan yang mengawasi dan
mendukung proses penciptaan nilai organisasi inti. Sementara proses ini akan
bervariasi antara organisasi. Mereka umumnya diperlukan di semua industri dan
dukungan, tetapi tidak menciptakan langsung. Nilai tertanam dalam tujuan
organisasi. Manajemen dan dukungan proses termasuk yang digunakan untuk
mengelola organisasi manusia, keuangan, informasi dan teknologi, dan sumber
daya fisik (proses 7 sampai 10). Proses dukungan tersebut meliputi perekrutan,
akuntansi, manajemen kas, penggajian, pembelian dll. Proses ini juga akan
mencakup Program Pemenuhan organisasi (proses 11). Kategori ini meliputi
proses organisasi untuk mengelola hubungan yang eksternal (proses 12) seperti
yang dengan pemasok, pelanggan, badan pemerintah, dan regulator, serta
hubungan dengan pasar modal dan Venture dan mitra aliansi.
Pameran 5-2 menggambarkan proses bisnis dari perspektif tingkat tinggi.
Setiap dari 14 jenis klasifikasi ini juga berlari digambarkan sebagai set lebih
bijaksana kegiatan. Pameran 5-3 menggambarkan hal ini. Sebagai contoh, sebuah
organisasi ritel dapat menggambarkan proses penjualan umum pada tingkat
tertinggi untuk proses 4, 5. Dan 6. Sebuah jenis tertentu dari penjualan mungkin
penjualan eceran. yang meliputi proses dimana pelanggan memilih barang,
membayar barang dengan uang tunai atau janji untuk membayar, dan menerima
kepemilikan barang. Sejak penjualan ritel dapat dilakukan dalam pengaturan toko
atau melalui Internet, proses yang lebih rinci dapat dirancang bagi mereka
kegiatan unik. Tingkat detail yang digunakan untuk menggambarkan proses ini
akan bervariasi tergantung pada tingkat yang diinginkan dokumentasi.
Exhibit 5-3

Page | 4

1.1.1 Memahami Proses Bisnis

Untuk auditor internal untuk menambah nilai sebuah meningkatkan operasi
organisasi, pertama Mereka harus memahami model bisnis organisasi. Model
bisnis meliputi tujuan organisasi dan bagaimana proses bisnis yang disusun untuk
mencapai tujuan tersebut. Model didefinisikan oleh visi organisasi, misi dan nilainilai, Serta set batas bagi organisasi-apa produk atau jasa yang akan memberikan,
pelanggan apa atau memasarkan akan menargetkan, dan apa pasokan dan chanel
pengiriman yang akan digunakan. Sementara model bisnis meliputi strategi

Page | 5

tingkat tinggi dan arah taktis untuk bagaimana organisasi akan menerapkan
model, juga termasuk sasaran-sasaran tahunan yang mengatur langkah-langkah
spesifik organisasi bermaksud untuk melakukan pada tahun selanjutnya dan
langkah-langkah untuk prestasi mereka diharapkan. Masing-masing cenderung
menjadi bagian dari dokumentasi internal yang tersedia untuk auditor internal.
Ada dua pendekatan umum yang dapat membantu dalam memahami proses
bisnis dan peran mereka dalam model bisnis: pendekatan top-down dan
pendekatan bottom-up
Pendekatan top-down, satu dimulai pada tingkat organisasi dengan tujuan
organisasi,

dan

kemudian

mengidentifikasi

kunci-proses

penting

untuk

keberhasilan setiap tujuan tersebut. Sebuah proses dianggap kunci relatif terhadap
tujuan tertentu jika kegagalan proses untuk berfungsi secara efektif langsung akan
mengakibatkan organisasi tidak mencapai tujuan. Kemudian-mengacu pada proses
tingkat tinggi dalam pameran 5-2-proses 3, 4, dan 6 dapat menjadi kunci,
sedangkan beberapa proses dukungan, seperti proses 8, mengelola sumber daya
keuangan, mungkin tidak. Hal ini penting untuk dicatat bahwa, sementara proses
mungkin tidak menjadi kunci untuk satu tujuan tertentu, mereka mungkin menjadi
kunci yang lain. Setelah proses kunci yang diidentifikasi, mereka dianalisis secara
lebih rinci, melanggar proses ke tingkat subproses, dan akhirnya mencapai tingkat
aktivitas.
Pendekatan ini efektif karena menghasilkan satu set dikelola proses kritis.
Hal ini biasanya dilakukan oleh tim individu dengan perspektif yang luas atau
organisasi, tapi tidak dengan pengetahuan rinci dari masing-masing daerah.
Akibatnya, ada potensi untuk mengabaikan proses yang pada akhirnya terbukti
kritis tetapi dihilangkan dalam pendekatan top-down.
Pendekatan bottom-up dimulai dengan melihat semua proses sama sekali
proses di tingkat aktivitas. Pendekatan seperti mengharuskan setiap daerah
organisasi untuk identitas dan mendokumentasikan proses bisnis di mana mereka
terlibat. Hal ini dilakukan oleh orang-orang di daerah yang bertanggung jawab

Page | 6

untuk kegiatan yang sebenarnya. Proses yang diidentifikasi kemudian

dikumpulkan di seluruh organisasi. Meskipun pendekatan ini bekerja dengan baik
untuk organisasi yang lebih kecil dengan jumlah yang relatif terbatas proses, itu
kurang efektif dalam organisasi-organisasi besar dan kompleks karena menjadi
rumit untuk memprioritaskan pentingnya setiap proses relatif terhadap orang lain.
Setelah proses yang teridentifikasi, langkah berikutnya baik dalam top-down
atau pendekatan bottom-up adalah untuk menentukan tujuan utama dari proses.
Menentukan tujuan utama melibatkan mendapatkan jawaban atas pertanyaanpertanyaan seperti:

Mengapa proses ada?

Bagaimana proses mendukung strategi organisasi dan berkontribusi untuk

kesuksesan?
Bagaimana orang diharapkan untuk bertindak?
Proses Apa lagi yang penting dilakukan untuk manajemen?
Untuk internal auditor, atau seseorang yang tidak terlibat langsung dalam

proses, sumber pertama informasi adalah pemilik proses dan kebijakan dan
prosedur doumentasi ada untuk proses. Idealnya, pemilik proses telah membentuk
tujuan proses formal yang memberikan jawaban atas empat pertanyaan di atas.
Jika tidak, auditor internal akan perlu untuk bekerja dengan orang-orang kunci
yang terlibat dengan proses untuk memperoleh informasi yang diperlukan.
Setelah tujuan dipahami, Langkah berikutnya adalah untuk memahami input
ke proses, kegiatan khusus yang dibutuhkan untuk mencapai tujuan proses, dan
output proses. Untuk memahami bagaimana input dan kegiatan menggabungkan
untuk menghasilkan output, dokumen yang ada harus ditinjau. Dokumen tersebut
dapat mencakup, misalnya:

Proses prosedur manual.

Kebijakan yang terkait dengan proses.
Deskripsi pekerjaan dari orang yang terlibat dalam proses.
Proses peta yang menggambarkan aliran proses.

Page | 7

Meskipun dokumen yang ada merupakan awal yang penting, biasanya

diperlukan untuk membahas aspek proses dengan orang-orang melakukan
kegiatan yang signifikan dalam proses. Pertanyaan-pertanyaan berikut dapat
ditanyakan dari pemilik proses dan personil kunci lain untuk membantu
memperoleh pemahaman tentang proses bisnis:
1. Mengapa proses ini ada?
2. Manakah dari tujuan strategis organisasi tidak mempengaruhi proses dan
bagaimana?
3. Apa yang harus inisiatif proses berjanji untuk membantu organisasi
mencapai tujuan strategis?
4. Apa proses menyediakan organisasi, tanpa mana organisasi akan memiliki
waktu yang sulit menjadi sukses?
5. Pada akhirnya, apa yang memberikan karyawan yang terlibat dalam proses
rasa keberhasilan dengan pekerjaan mereka?
6. Apa prestasi cenderung untuk mendapatkan karyawan yang terlibat dalam
proses manajemen yang diakui atau pelanggan internal?
7. Bagaimana Apakah orang-orang yang terlibat Apakah dengan proses kecuali
untuk bertindak? Apa yang terjadi jika mereka tidak memenuhi harapan ini?
8. Apakah indikator kinerja utama (KPI) yang ada untuk membantu mengukur
dan memantau kinerja?
Selain mengidentifikasi tujuan utama, memahami proses ini membutuhkan
mendapatkan pemahaman tentang bagaimana manajemen dan pemilik proses tahu
proses ini tampil sebagaimana dimaksud. Pemilik proses harus telah menetapkan
KPI yang digunakan untuk memantau kinerja proses. Indikator-indikator ini harus
diamati (mereka dapat diukur secara obyektif), relevan dengan tujuan (bukan
hanya digunakan karena mereka dapat diukur), tersedia secara tepat waktu. Dan
dikomunikasikan kepada orang yang terlibat dalam proses. KPI atau jenis lain dari
metrik kinerja dapat menunjukkan harapan manajemen, atau tingkat toleransi,
Terkait dengan hasil proses.
1.2 MENDOKUMENTASIKAN PROSES BISNIS
Dokumentasi proses bisnis Diperlukan. Biasanya, ini harus dilakukan oleh
pemilik proses dan orang-orang yang terlibat dalam proses. Meskipun tidak

Page | 8

menyelesaikan dokumentasi proses mungkin memiliki sedikit konsekuensi

langsung, dengan berjalannya waktu dan mereka yang terlibat dalam langkah
proses ke posisi lain atau meninggalkan organisasi, Tujuan proses dapat hilang
atau terdistorsi. Dokumentasi proses dapat sangat efektif dalam (1) orientasi
personel baru. (2) mendefinisikan bidang tanggung jawab. (3) mengevaluasi
efisiensi proses, (4) menentukan bidang yang menjadi perhatian utama, dan (5)
mengidentifikasi risiko-risiko utama dan kontrol. Auditor internal juga harus
mendokumentasikan pemahaman mereka untuk mendukung penilaian mereka
secara keseluruhan risiko dan pengendalian dalam organisasi dan dalam
keterlibatan jaminan khusus yang mereka melakukan pada proses.
Dua metode yang umum digunakan untuk proses pendokumentasian adalah
peta proses dan narasi proses. Peta proses mungkin tingkat tinggi atau tingkat
aktivitas rinci dan melibatkan representasi bergambar masukan, langkah-langkah.
alur kerja, dan peta outputs.Process juga dapat mencakup beberapa narasi yang
menyertainya.
Peta tingkat tinggi proses mencoba untuk menggambarkan input yang luas,
kegiatan, Workflows, dan interaksi dengan proses dan output lainnya. Mereka
menyediakan suatu kerangka menyeluruh untuk memahami kegiatan rinci dan
subproses.
Tidak ada standar mutlak mengenai format dan simbol untuk pemetaan
proses, meskipun fungsi audit internal dan perusahaan layanan profesional
biasanya berusaha untuk konsistensi. Pameran 5-5 menyajikan simbol dasar
dengan makna yang khas.
Exhibit 5-5

SIMBOL UMUM PROSES PEMETAAN

Proses atau operasi proses , subproses , atau aktivitas.

Keputusan - menunjukkan alternatif pilihan (contoh, ya / tidak

Page | 9

atau menerima / menolak), yang masing-masing menghasilkan

arus yang berbeda dari kegiatan

Garis aliran - arah aktifitas, alur kerja dan handoffs

Terminator - awal atau akhir dari aliran

1.3 RISIKO USAHA

Setelah auditor internal memperoleh pemahaman tentang tujuan organisasi
dan proses kunci yang digunakan untuk mencapai tujuan tersebut, langkah
berikutnya adalah untuk mengevaluasi risiko bisnis yang bisa menghambat
pencapaian tujuan. Kemampuan eksekutif Audit (CAE) dan manajemen audit
internal untuk mendapatkan pemahaman yang menyeluruh tentang risiko bisnis
organisasi akan menentukan sejauh mana fungsi audit internal akan dapat
memenuhi misinya dan menambah nilai bagi organisasi. Hal ini membantu untuk
mengembangkan profil risiko keseluruhan dari organisasi yang identitas risiko
penting untuk pencapaian masing-masing tujuan strategis.
Untuk peningkatan jumlah organisasi yang menerapkan manajemen risiko
perusahaan (ERM), laba keseluruhan risiko dapat dikembangkan oleh manajemen.
Dalam kasus ini, masing-masing fungsi audit internal dapat membangun penilaian
risiko dari profil risiko organisasi. Namun, jika profil tersebut tidak ada, fungsi
audit internal perlu membuat profil sebagai titik awal untuk perencanaan audit
tahunan tersebut.
Ada sejumlah alat yang berbeda dan metodologi untuk membantu dalam
mengembangkan profil risiko. Bab ini terlihat hanya pada satu set kecil dari
mereka. Perhatikan juga bahwa meskipun berbagai alat yang tersedia, penilaian
risiko organisasi tetap proses yang sangat subjektif yang membutuhkan
pengalaman dan penilaian yang baik.

Page | 10

Exhibit 5-7

Pendekatan yang umum mungkin untuk memulai dengan melakukan sesi

brainstorming dengan manajemen senior atau, jika mereka tidak tersedia. dengan
anggota fungsi audit internal. Kelompok ini mungkin mulai dengan model risiko
generik yang menggambarkan kategori dan jenis risiko sebuah organisasi
mungkin dihadapi. Dalam contoh ini, potensi risiko dipecah menjadi empat
kategori yang sejajar dengan COSO (COSO) ERM tujuan kategori dan 10
subkategori.
Berbagai risiko yang kemudian dinilai dalam hal dampak dan kemungkinan.
Dampak, dampak buruk dari hasil risiko, Apakah biasanya dinilai dari segi

Page | 11

kategori. Biasanya, tiga (tinggi, sedang, rendah) atau lima kategori yang
digunakan. Sebuah model lima kategori disajikan dalam pameran 5-8.
Menetapkan batas-batas untuk setiap kategori berguna untuk mengumpulkan
masukan dari beberapa orang. Dalam model ini, The batas untuk dampak
ditetapkan dalam hal nilai-nilai dolar dan dampaknya pada tujuan bisnis. Namun,
beberapa organisasi menetapkan batas-batas untuk langkah-langkah lain juga.
Pembaca harus mencatat bahwa istilah lain dapat digunakan untuk menandakan
dampak. Signifikansi kadang-kadang digunakan, meskipun penulis lebih memilih
untuk menyebut makna sebagai penilaian gabungan dampak dan likelihcod.
Kemungkinan dapat dievaluasi dengan menilai peluang atau probabilitas
dampak risiko yang terjadi. Namun, mengingat sifat subjektif dari ini sebagai
Assessment, sebagian besar manajer dan auditor internal lebih nyaman
mengungkapkan kemungkinan di kategori kurang tepat. Sekali lagi, skala tiga
kategori (tinggi, sedang, rendah) atau afive kategori skala (seperti yang
ditunjukkan dalam Tampilan 5-8) sering digunakan. Seperti dampak, itu tidak
membantu untuk menentukan batas-batas kategori. Hal ini biasanya dilakukan
dalam hal tertentu atau rentang probabilitas (seperti dalam skala dalam pameran 58)
Menggunakan model penilaian risiko di pameran 5-3, berbagai risiko-risiko
dari model bisnis dasar (Exhibit 5-7) dapat ditempatkan pada matriks. Sering, hal
ini dilakukan dalam sesi kelompok yang melibatkan manajemen senior atau, jika
mereka tidak tersedia, tingkat lain dari manajemen dan individu lebih
berpengalaman dari fungsi audit internal. Menggunakan manajemen senior dan
operasi managere lebih disukai karena mereka memiliki pemahaman terbaik dari
risiko di bidang tanggung jawab mereka. Dalam pertemuan ini, risiko dibahas dan
konsensus diperoleh mengenai dampak, kemungkinan, dan posisi risiko masingmasing pada matriks. Kombinasi dampak dan kemungkinan menentukan
pentingnya risiko. Pameran 5-8 menunjukkan matriks dipecah menjadi 25 kotak.
Dalam model ini, box 20 melalui 25 mewakili risiko kritis, dan kotak 16 melalui
19 mewakili risiko tinggi. Risiko ini menyajikan tantangan paling serius untuk

Page | 12

memenuhi tujuan organisasi. Kotak 7 melalui 15 risiko moderat dan kotak

1through 6 risiko rendah.
Exhibit 5-8

MODEL PENILAIAN RISIKO

Extreme

High

Medium

15

19

22

24

25

10

14

18

21

23

13

17

20

12

16

11

Remote

Unlikely

Possible

Probable

Certain

Low

Negligible

LIKELIHOOD
Dampak
Ekstrim

: mengancam keberadaan berkelanjutan

Risiko Kritis

Tinggi

: sulit untuk mencapai tujuan bisnis

Risiko Tinggi

Rendah

: beberapa hasil yang tidak diinginkan

Risiko Moderat

Diabaikan : tidak ada dampak yang nyata pada tujuan

Risiko Rendah

Page | 13

Pameran 5-8 menyajikan pemetaan model risiko untuk matriks penilaian

risiko untuk perusahaan jasa keuangan online dibahas sebelumnya. Empat risiko
diidentifikasi sebagai kritis muncul dalam kotak 21 dan 22. risiko dalam kotak 18
dan 19 dianggap tinggi dan, tergantung pada berapa banyak tujuan mereka
dampak, mungkin juga memerlukan perhatian luas.
Langkah berikutnya adalah untuk secara resmi menghubungkan risiko yang
teridentifikasi untuk tujuan tertentu yang setiap risiko dapat mengganggu. Hal ini
membantu untuk memastikan bahwa semua risiko kunci, dan dampak yang
dihasilkan. Telah diidentifikasi.
Jenis analisis dilakukan untuk mendapatkan pengetahuan dan keterampilan
yang diperlukan untuk menjadi sukses dalam posisi audit internal entry-level dan
tujuan yang diperlukan dapat diterapkan untuk organisasi juga. Seperti disebutkan
dalam diskusi kita proses bisnis sebelumnya dalam bab ini, tujuan biasanya dapat
ditemukan dalam pengajuan peraturan. seperti pengajuan 10-K untuk sebuah
perusahaan publik di Amerika Serikat, atau dalam dokumen perencanaan strategis
organisasi.
1.3.1 Pemetaan Risiko ke Proses Bisnis
Perspektif ERM dibahas dalam Bab 4, Manajemen Risiko, langkah
berikutnya akan dibahas untuk mengembangkan respon yang tepat untuk masingmasing risiko Ada empat respon organisasi yang dapat diambil :
Penghindaran. Keputusan dibuat untuk keluar atau divestasi dari kegiatan
yang menimbulkan risiko. menghindari risiko mungkin melibatkan,
misalnya, keluar lini produk, memutuskan untuk tidak memperluas ke pasar
geografis baru, atau menjual divisi.
Pengurangan. Tindakan diambil untuk mengurangi dampak risiko,
kemungkinan , atau keduanya. Ini melibatkan segudang keputusan bisnis
sehari-hari, seperti menerapkan kontrol.

Page | 14

 Berbagi. Dampak risiko atau kemungkinan berkurang dengan mentransfer

atau berbagi pada risiko. Teknik umum termasuk membeli produk asuransi,
terlibat dalam transaksi lindung nilai, atau kegiatan outsourcing.
Penerimaan. Tidak ada tindakan yang diambil untuk mempengaruhi
dampak risiko atau kemungkinan. Organisasi bersedia menerima risiko pada
tingkat saat ini daripada menghabiskan sumber daya berharga menyebarkan
salah satu pilihan respon risiko lain.
Untuk memilih strategi respon yang tepat secara efektif, pemahaman
tentang bagaimana risiko berhubungan dengan proses bisnis organisasi
diperlukan. auditor internal juga harus membangun hubungan antara risiko dan
proses bisnis untuk menentukan apakah risiko sedang berhasil sesuai tingkat
dalam strategi respon manajemen dan untuk mengidentifikasi di mana dalam
organisasi risiko kritis berada. IIA Standard 2010: Perencanaan eksplisit
mengharuskan CAE untuk menetapkan rencana berbasis risiko untuk menentukan
prioritas kegiatan audit internal, konsisten dengan tujuan organisasi.
Cara yang efektif untuk menggambarkan bagaimana proses link ke risiko
yang mendasari untuk membuat risiko dengan proses matriks (mirip dengan
matriks ditampilkan di pameran 5-10, yang dikaitkan dengan tujuan risiko kritis).
Risiko tercantum di sepanjang bagian atas matriks, dan proses tercantum di sisi.
Bukti 5-11 menggambarkan matriks ini. risiko akan yang diidentifikasi dalam
model risiko bisnis (pameran 5-7) .Tipe, ini akan berasal dari 30 ke 70 risiko.
Proses evaluasi risiko yang ditunjukkan dalam Pameran 5-8 dan 5-9 dapat
digunakan untuk memperpendek daftar risiko. Misalnya, mungkin diinginkan
untuk membatasi risiko yang proses terkait dengan risiko hanya mereka di sel 7
sampai 25 (lihat Exhibit 5-8).
Langkah berikutnya adalah menganalisis proses untuk menentukan apakah
ada hubungan antara proses dan risiko.
Setelah mengidentifikasi dengan mana risiko proses tertentu dikaitkan,
asosiasi harus dievaluasi apakah link adalah link kunci utama atau sekunder

Page | 15

adalah mereka di mana proses memainkan peran langsung dan kunci dalam
mengelola risiko. link sekunder adalah orang di mana proses membantu untuk
mengelola risiko secara tidak langsung. Dalam contoh di atas, risiko kritis 3 akan
dinilai sebagai kunci link, sementara risiko kritis 4 hanya dapat dianggap link
sekunder. Ketika link yang dilihat di risiko tertentu, harus ada satu atau dua proses
(paling banyak tiga) diidentifikasi memiliki link kunci dan sejumlah proses
tambahan diidentifikasi sebagai memiliki link sekunder.
Exhibit 5-10

Page | 16

Setelah risiko oleh proses matriks selesai, dapat digunakan oleh fungsi audit
internal untuk menentukan keterlibatan harus dimasukkan dalam rencana audit
tahunan fungsi ini. Langkah pertama bisa menghitung jumlah link kunci dan
sekunder untuk setiap proses. Jumlah dan sifat hubungan antara risiko dan proses
akan mempengaruhi jenis audit internal yang dapat dilakukan. Misalnya, proses
dengan link kunci untuk beberapa risiko mungkin calon yang baik untuk audit
komprehensif dari seluruh proses. Atau, jika risiko memiliki hubungan kunci
untuk beberapa proses, mungkin lebih tepat untuk melakukan audit semua proses
tersebut untuk memberikan assurance mengenai risiko secara keseluruhan.
Pengalaman yang cukup perlu membuat penilaian ini. Juga, siklus untuk
mengaudit setiap proses dapat ditentukan berdasarkan dampak dan kemungkinan
tersebut yang risiko terkait. Misalnya, proses dengan link kunci untuk satu atau
lebih kritis risiko atau several risiko tinggi dan sedang diaudit pada siklus satu
atau dua tahun dan mereka yang hanya link kedua untuk risiko kritis dan tinggi
pada tiga lima siklus tahun. Pertimbangan juga harus diberikan untuk hasil masa
lalu. Misalnya, bahkan pada siklus tiga atau empat tahun harus diaudit sebelum
siklus berakhir jika audit sebelum mengidentifikasi signifikan.
Lainnya , lebih tidak langsung, pendekatan untuk menghubungkan proses
bisnis dan risiko adalah melalui pengembangan faktor risiko dasar yang
digunakan untuk mengevaluasi risiko di seluruh proses (pendekatan faktor risiko).
Biasanya, model faktor risiko ini mengidentifikasi tujuh sampai 15 faktor yang
dapat digunakan untuk menilai setiap proses. faktor-faktor ini tidak identik dengan
risiko dalam dasar model risiko bisnis sebelumnya (Exhibit 5-7). Mereka adalah
tingkat yang lebih tinggi dari abstraksi, menghujani untuk setiap proses.
Kebanyakan model terdiri dari dua tipe dasar faktor, faktor risiko eksternal
dan faktor risiko internal yang, meskipun faktor risiko lain juga dapat
dimasukkan. Faktor risiko eksternal berkaitan dengan faktor dibangun ke dalam
lingkungan dan sifat dari proses itu sendiri.Mereka bisa menjadi karakteristik
seperti tingkat relatif aktivitas, jumlah dan likuiditas aset yang terlibat dalam
proses, kompleksitas dari proses dalam hal jumlah langkah dan masukan, tingkat

Page | 17

kendala hukum dan peraturan, dan sebagainya. Faktor risiko internal yang
berhubungan dengan kontrol sejauh dirancang ke dalam proses menjamin proses
mencapai tujuannya, kinerja orang-orang yang terlibat dalam kegiatan dan dalam
mengelola proses, dan ketidaksetujuan perubahan dalam proses dan lingkungan di
mana ia beroperasi. Beberapa model meliputi beberapa faktor tambahan, paling
sering kalinya sejak audit terakhir, hasil audit sebelumnya, dan kekhawatiran
manajemen tertentu.
Setelah faktor telah diidentifikasi, tiga keputusan lainnya harus dibuat
sebelum menerapkan model. Pertama, skala yang digunakan untuk menilai setiapfaktor diatur. Biasanya, tiga, lima, atau skala tujuh poin digunakan. Sebagai
contoh, dalam skala tiga titik, 1 mungkin rendah, 2 menengah, dan 3 yang tinggi.
Batas-batas pada tiga kategori juga dapat diatur untuk setiap faktor.
Exhibit 5-12 menunjukkan contoh model 10-faktor menggunakan skala tiga
poin. 10 faktor dibagi antara tiga jenis faktor risiko (eksternal,internal dan
lainnya). Exhibit 5-12 menunjukkan nama faktor risiko di kolom dan penjelasan
dari apa yang masing-masing dari tiga nilai berarti pada kolom kedua keputusan
berikutnya berkaitan dengan kepentingan relatif (atau berat) salah satu faktor
yang lain.
Jika setiap faktor risiko yang considcred menjadi sebesar dikan impor,
mereka dapat diberikan bobot numerik yang sama. Biasanya, bobot 100, sehingga
jumlah dari bobot dilakukan dengan nomor menugaskan dari 0 sampai 100. sama
demikian, jika ada lima faktor risiko dan masing-masing faktor dianggap sama
pentingnya, setiap faktor akan diberi delapan Dalam model faktor risiko
ditampilkan di pameran 5-12, stabilitas internal diberikan bobot of5, yang berarti
dianggap hanya setengah portant sebagai aset faktor risiko (bobot 10) dan hanya
sepertiga sama pentingnya dengan faktor penting perubahan (berat 15) Keputusan
akhir berkaitan dengan bagaimana faktor risiko digabungkan. Kebanyakan
pendekatan faktor ri menggunakan model tertimbang-aditif setiap nilai faktor
dikalikan dengan bobot faktor dan dijumlahkan seluruh faktor untuk memberikan
berlebihan semua skor risiko (pameran 5-12). Misalnya, nilai keseluruhan dapat

Page | 18

berkisar dari 100 sampai 300 dan dapat diartikan sebagai risiko rendah (skor di
bawah 150) risiko menengah (skor dari 150 sampai 239), dan risiko tinggi (skor
240 dan lebih besar). Rentang skor dapat disesuaikan setelah distribusi skor atas
semua proses ditentukan.

Page | 19

Kategori kemudian dapat digunakan assign setiap proses siklus audit satu,
dua, tiga, tahun lagi. kita, jika suatu proses ditugaskan untuk siklus dua tahun, itu
akan dijadwalkan untuk pemeriksaan setiap dua tahun alternatif untuk

Page | 20

menugaskan setiap proses untuk siklus, memprioritaskan proses-proses dapat

dilakukan dengan menyortir proses oleh skor risiko mereka dan memilih orang
dengan nilai tertinggi untuk memasukkan dalam rencana audit internal sampai jam
tersedia untuk periode perencanaan telah habis. pendekatan yang digunakan,
penting untuk dicatat ketika proses terakhir diaudit. Salah satu teknik untuk
melakukan ini adalah dengan menambahkan kalinya sejak audit terakhir sebagai
salah satu faktor risiko.
Beberapa fungsi audit internal memilih untuk tidak membuat penilaian
dengan menggunakan skor total, tapi melihat nilai oleh faktor (eksternal, internal
lainnya). Hal ini dapat dilakukan dengan menetapkan rendah, sedang, atau rating
yang tinggi untuk setiap faktor. Perhatikan bahwa rentang skor bervariasi
berdasarkan jumlah faktor dalam setiap kategori (5,3, dan 2 dalam contoh saat ini)
dan perbedaan pembobotan . Dengan demikian, dalam model yang disajikan
dalam pameran 5-12, total eksternalitas skor risiko nal dapat berkisar dari 50
sampai 150, skor total internal yang berisiko dari 30 melalui 90, dan total faktor
lain mencetak gol dari 20 melalui 60. Mengingat rentang ini , rating rendah untuk
risiko eksternal mungkin skor kurang dari 90 dan rating tinggi mungkin seores
dari 125 atau lebih besar. Sebuah rating rendah untuk risiko internal mungkin skor
kurang dari 50 dan rating tinggi mungkin skor 75 atau lebih besar. Sebuah rating
rendah untuk faktor-faktor lain mungkin skor kurang dari 35 sementara rating
tinggi mungkin skor 50 atau lebih besar. Pameran 5-13 menggambarkan secara
visual bagaimana ini mungkin ditampilkan untuk membantu menentukan siklus
audit . Seperti sebelumnya, proses dapat ditempatkan pada siklus satu, dua, tiga,
atau lebih tahun.
1.3.2 Proses Bisnis dan Risiko di Jaminan Keterlibatan Pendekatan
Pendekatan untuk mengidentifikasi proses bisnis dan risiko dibahas sampai
titik ini juga berlaku pada tingkat keterlibatan. Ingat contoh yang disajikan
sebelumnya dalam bab ini (Exhibit 5-10) misi -yang untuk mendapatkan
pengetahuan dan keterampilan yang diperlukan untuk menjadi sukses dalam antar

Page | 21

posisi pemeriksaan di entry-level dan lima tujuan didirikan untuk mencapai misi
ini.
Langkah berikutnya adalah mengidentifikasi dan mengevaluasi risiko
spesifik di setiap sub proses kegiatan dalam proses kunci. The auditor / sibling
internal yang melakukan hal ini dengan menempatkan setiap aktivitas di matriks
dan daftar deskripsi dari setiap risiko di sisi halaman. Setiap pernyataan risiko
menggambarkan suatu peristiwa yang dapat mempengaruhi kemampuan aktivitas
atau sub proses untuk mencapai tujuan. Dampak potensial dari acara ini kemudian
identifikasi dan dievaluasi oleh keseriusannya.
Evaluasi juga dapat ditampilkan menggunakan peta risiko untuk
memprioritaskan risiko dalam proses kunci. Mereka di kuadran kanan atas peta
risiko akan menjadi yang paling penting, sedangkan di Ene kuadran kiri bawah
akan menjadi perhatian relatif rendah. Pada peta risiko, dampak dan kemungkinan
digabungkan untuk menentukan risiko jika adalah penting, moderat, atau rendah
signifikansi
Setelah risiko tertentu telah diidentifikasi, langkah berikutnya adalah untuk
menentukan bagaimana risiko tersebut dikelola dan di respon efektif dalam
mengurangi mereka untuk tingkat yang dapat diterima. Seperti disebutkan
sebelumnya, ada empat tanggapan umum: menghindari, mengurangi, berbagi, dan
menerima. Dalam proses, paling sering respon terhadap risiko tertentu adalah baik
untuk menerima risiko atau mencoba untuk kembali diolah melalui kontrol.
Keenam kolom indikasi strategi respon risiko dan ketujuh menentukan bagaimana
seseorang dapat memperoleh jaminan bahwa strategi respon (khususnya, kontrol)
adalah efektif dalam mengelola risiko. Setelah strategi respon telah ditentukan,
dan baik sebelum dan sesudah strategi telah diuji untuk efektivitas, gambaran dari
strategi respon risiko dapat diperoleh dengan menciptakan peta pengendalian
risiko, yang penting risiko terhadap efektivitas pengendalian. Pengendalian peta
risiko menunjukkan di mana ada keseimbangan yang tepat antara risiko dan
kontrol; yaitu, kontrol yang lebih efektif atas risiko kritis (high-impact dan
kemungkinan) dari risiko rendah (ow-dampak dan kesempatan rendah terjadinya).

Page | 22

Risiko jatuh antara dua garis putus-putus paralel (risiko 4, 8, 1, 3, dan 6) yang
terbukti tepat seimbang. Atas dan kiri dari garis putus-putus di peta (risk 7),
hubungan ckontrol resiko tidak tepat seimbang; strategi respon tidak tepat
mengurangi risiko. Di sisi lain, di bawah dan kanan dari garis putus-putus
sejumlah risiko yang mungkin lebih dikendalikan 2). Mereka mewakili situasi di
mana efisiensi mungkin bisa diperoleh dengan mengurangi sumber daya yang
ditujukan untuk kontrol terkait.
1.4 PROSES BISNIS OUTSOURCING
Sebelum mengakhiri pembahasan proses bisnis dan risiko, penting untuk
membahas situasi di mana proses ini tidak dilakukan oleh karyawan organisasi.
Dalam upaya untuk merampingkan operasi dan mengurangi biaya, banyak
organisasi meningkat derajat tlie yang mereka outsourcing proses bisnis yang
spesifik. Karena proses ini memainkan peran penting dalam membantu organisasi
mencapai tujuan mereka, ini proses outsourcing harus dimasukkan dalam risiko
organisasi menilai pemerintah dan alam semesta audit internal.
Proses bisnis outsourcing (BPO) adalah tindakan mentransfer beberapa
proses bisnis organisasi untuk penyedia luar untuk mencapai pengurangan biaya
sekaligus meningkatkan kualitas pelayanan dan efisiensi Karena proses diulang
dan

kontrak

jangka

panjang

digunakan,

outsourcing

jauh

melampaui

menggunakan konsultan. Secara historis, gaji dan teknologi informasi yang (IT)
fungsi adalah yang pertama proses bisnis penting outsourcing. Namun, tren telah
berkembang untuk memasukkan sumber daya manusia, teknik, layanan
pelanggan, keuangan dan akuntansi, dan logistik sebagai organisasi berusaha
untuk mengurangi biaya melalui leverage dan skala ekonomi yang diperoleh oleh
mereka dalam bisnis outsourcing.
Meskipun fungsi mungkin outsourcing, sangat penting bahwa manajemen
dan fungsi audit internal memastikan sistem yang memadai kontrol internal ada
dengan vendor outsource. Dalam banyak kasus, sistem pengendalian internal
mungkin lebih baik dan lebih efisien daripada jika proses disimpan secara

Page | 23

internal. Namun, Thore risiko baru, terutama yang dimentahkan dalam tahap
transisi baik bisnis fungsi outsourcing atau membawa mereka kembali untuk
dikelola

secara

internal.

Daftar

berikut

menyajikan

beberapa

praktek

merekomendasikan bahwa organisasi harus mengikuti untuk manajemen risiko

yang efektif dan pengendalian proses bisnis outsourcing.
Mendokumentasikan proses outsourcing dan menunjukkan yang kontrol
utama telah outsourcing.
Pastikan ada cara memantau keefektifan dari proses outsourcing.
memperoleh keyakinan bahwa pengendalian internal yang tertanam dalam
proses outsourcing beroperasi secara efektif, baik melalui audit internal
kontrol tersebut atau kajian eksternal kontrol ini (seperti SAS 70 laporan di
Amerika Serikat)
Secara berkala mengevaluasi kembali apakah kasus bisnis untuk
outsourcing Proses tetap berlaku.

Page | 24