CHAPTER 5 : BUSINESS PROCESSES AND RISKS

Understanding Business Processes

Internal auditor harus mengerti model bisnis suatu organisasi untuk bisa menambah nilai
dan meningkatkan kinerja
operasi suatu organisasi. Model bisnis terdiri atas tujuan organisasi (Visi, Misi, nilai serta
Tujuan Tahunan) dan
bagaimana struktur proses bisnisnya dapat mencapai tujuan tersebut (Strategi tingkat
pimpinan dan tingkat Taktis).
Model bisnis tersebut biasanya merupakan bagian dokumen internal yang tersedia untuk
audior internal.
Untuk perusahaan terbuka, sumber eksternal terkait informasi model bisnis suatu
organisasi dapat tersedia.
Contohnya adalah laporan analis mungkin memuat perspektif eksternal terhadap strategi
organisasi. Sementara Visi,
misi, nilai serta tujuan perusahaan relatif sama dari tahun ke tahun, fungsi internal audit
harus di-update secara
periodik mengenai pemahamannya tentang strategi organisasi.
Terdapat dua pendekatan yang biasanya digunakan untuk membantu memahami proses
bisnis dan perannya dalam
bisnis model:
1. Top dowm approach
Dimulai pada penetapan tujuan di level organisasi, dan kemudian diidentifikasi prosesproses kunci yang kritikal
terhadap keberhasilan pencapaian setiap tujuan tersebut.
2. Bottom up approach
Dimulai dengan melihat semua proses pada level kegiatan. Hal ini dilakukan oleh orang
yang bertanggung jawab
terhadap kegiatan aktualnya.
Ketika suatu proses sudah diidentifikasi (baik top-down maupun bottom-up) berikutnya
adalah menentukan tujuan
kunci (key objectives) dari proses yang dilakukan. Auditor Internal perlu untuk
mengetahui pemilik proses (process
owner) untuk memahami tujuan proses (proecess objectives) Ketika tujuan proses sudah
dipahami, langkah
selanjutnya adalah memahami proses masukan, kegiatan spesifik yang diperlukan untuk
mencapai tujuan proses dan
output proses.
Sebagai tambahan dalam mengidentifikasi tujuan kunci, memahami proses tersebut
memerlukan pemahaman
tentang bagaimana manajemen dan pemilik proses mengetahui bahwa proses berjalan
sesuai yang dikehendaki.
Pemilik proses seharusnya memiliki KPI (Key performance Indicator), yang merupakan
suatu metrik ataupun dalam
bentuk lain untuk mengukur apakah suatu proses ataupun tugas individu telah dilakukan
sesuai toleransi yang
ditetapkan.
Documenting Business Processes
Metode yang biasa digunakan untuk mendokumentasi proses adalah Process Map dan
Process Narative. Process Map
merupakan gambaran yang merepresentasikan dari inout, langkah-langkah, workflows,
dan output.Tidak ada standar
yang absolut mengenai format dan simbol dari Process Mapping, namun harus konsisten
penggunaannya. Process
Map biasanya digambarkan berupa urutan dari suatu kegiatan dari kanan ke kiri.
Business Risk
Ketika internal auditor sudah memahami tujuan organisasi dan proses kunci yang
digunakan untuk mencapai tujuan

tersebut, langkah berikutnya adalah mengevaluasi risiko bisnis yang dapat menghalangi
pencapaian tujuan tersebut.
Bagi organisasi yang telah menerapkan Enterprise Risk Management (ERM), umumnya
manajemen telah
mengembagkan suatu risk profile. Dalam kasus tersebut maka fungsi internal audit dapat
membangun penilaian
risikonya dari risk profile tersebut. Bila risk profile tidak tersedia, maka fungsi internal
audit adalah menyusun profil
sebagai titik awal untuk perencanaan audit tahunan.
Pendekatan umum yang dapt dilakukan untuk mengembangkan risk profile adalah
dengan melakukan sesi
brainstorming dengan senior manajemen atau, jika mereka tidak dapat, dengan anggota
fungsi internal audit. Potensi
risiko dibagi ke dalam 4 (empat) kategori sesuai dengan ERM COSO yaitu Strategic Risks,
Compliance Risks, Reporting
Risks, dan Operations Risks. (Lihat Chapter 4 Risk Management)
Risiko yang beraneka ragam tersebut kemudian dinilai dampak dan keterjadiannya
seperti gambar di bawah ini.
Tahap selanjutnya adalah dimasukannya risiko-riko yang telah terdapat dalam Risk
Model ke dalam Matriks Risk
Assessment di atas dan menghubungkan risiko yang telah teridentifikasi dengan tujuan
spesifiknya. Hal tersebut akan
membantu untuk memastikan bahwa semua risiko kunci, dan dampak yang dihasilkan
telah diidentifikasi
Memetakan Resiko Pada Proses Bisnis
Next Step.(A, B, C dst)
A. Membangun Respon yang Sesuai untuk Masing-masing Risiko
Respon yang bisa diberikan oleh organisasi terhadap risiko (perspektif ERM):
1) Avoidance/Penghindaran (contoh: tidak meluaskan pangsa pasar, menjual sebuah
divisi)
2) Reduction/Pengurangan yaitu mengurangi dampak, keterjadian atau keduanya
(contoh: mengimplementasikan
control)
3) Sharing/Membagi dengan mentransfer atau membagi porsi risiko, (contoh: asuransi,
hedging, outsource activity)
4) Acceptance/Penerimaan organisasi memilih menerima risiko dengan level tertentu
daripada menggunakan
sumber daya untuk merespon dengan cara lainnya.
IIA Standard 2010 bilang:
Planning explicity requires CAE to establish a risk-based plan to determine the priorities
of the internal audit activity,
consistent with the organizations goals
Atau
Perencanaan secara eksplisit membutuhkan CAE untuk 'menetapkan rencana berbasis
risiko untuk menentukan
prioritas kegiatan audit internal, yang konsisten dengan tujuan organisasi
_______Mohon Tengok Exhibit 5-11 RISK BY PROCESS MATRIX Hal. 5-16___________
B. Menganalisis Proses untuk menentukan adanya hubungan antara proses dan
risiko
C. Hubungan yang sudah dianalisis (antara proses dan risiko), Dievaluasi untuk
menentukan mana yang kunci atau
bukan (sekunder)
Hubungan kunci (Key link) yang prosesnya dilaksanakan secara langsung untuk
memanaje risiko. Hubungan
sekunder (secondary link) yang prosesnya dilaksanakan secara tidak langsung untuk
memanaje risiko.
RBPM pada exhibit 5-11 di atas digunakan internal auditor untuk memutuskan bagian
mana yang harus dimasukkan

kedalam rencana audit fungsional tahunan. Langkahnya menghitung jumlah link key dan
secondary untuk setiap
proses. Hal ini karena link tersebut akan mempengaruhi tipe audit yang akan dilakukan.
Selain pakai RBPM, pendekatan lain untuk mencari hubungan antara bisnis proses dan
risiko adalah dengan
membangun factor risiko dasar yang digunakan untuk mengevaluasi risiko melalui proses
(risk factor approach).
Biasanya model RF ini diidentifikasi 7 sampai 15 faktor untuk mengassess masing2
proses. Biasanya ada 2 jenis factor,
external risk factor dan internal risk factor.
a) External Risk Factor
Berkaitan dengan faktor-faktor yang dibangun ke dalam lingkungan dan sifat proses itu
sendiri.
b) Internal Risk Factor
Berkaitan dengan kontrol batas yang dirancang ke dalam proses untuk menjamin
pencapaian tujuan, kinerja
orang-orang yang terlibat dalam kegiatan dan dalam mengelola proses, dan tingkat
perubahan dalam proses dan
lingkungan di mana bisnis beroperasi.
Setelah factor diidentifikasi, ada 3 keputusan yang harus dibuat sebelum model
diimplementasikan:
1. Menentukan skala untuk tiap factor yang di assess
2. Menentukan pembobotan untuk tiap factor
3. Menentukan bagaimana tiap factor dikombinasikan
_______Mohon Tengok Exhibit 5-12 RISK FACTOR APPROACH Hal. 5-18___________
Proses Bisnis dan Risiko dalam Assurance Engagement
Assurance engagement ialah pemeriksaan obyektif pada bukti-bukti dengan tujuan
memberikan penilaian independen
terhadap tata kelola, manajemen risiko dan proses kontrol untuk organisasi.
_______Mohon Tengok Exhibit 5-14 RISK/CONTROL MATRIX FOR PROCESS Hal.
5-14___________
_______Mohon Tengok Exhibit 5-15 RISK MAP PARTIALLY COMPLETED Hal. 515___________
Business Process Outsorcing
Business Process Outsorcing adalah tindakan mentransfer beberapa proses bisnis
organisasi ke penyedia luar guna
mencapai pengurangan biaya, efektivitas operasi, atau efisiensi operasional sekaligus
meningkatkan kualitas
pelayanan.
Dulu yang paling awal ada outsorce gini sih di payroll sama fungsi IT. Sekarang
berkembang menjadi HRD, engineering,
CS, keuangan dan akuntansi.
Karena outsorce ini, beberapa sistem IC jadi lebih baik dan efisien, tetapi ada juga risiko
tambahan. Beberapa hal yang
harus diperhatikan dalam IC pada bisnis proses outsorcing:
a. mendokumentasikan proses outsorce dan menunjukkan kontrol utama yang telah di
outsorce
b. memastikan ada cara memantau efektivitas proses outsorce
c. memperoleh keyakinan bahwa pengendalian internal yang melekat dalam proses
outsorce beroperasi secara
efektif, baik melalui audit internal kontrol atau tinjauan eksternal kontrol
d. mengevaluasi secara berkala apakah kasus bisnis outsorcing tetap berlaku
PELUANG UNTUK MEMBERIKAN WAWASAN
Kemampuan dari auditor internal dalam menganalisis proses bisnis dan risiko terkait
penyediaan fungsi audit internal
member kesempatan untuk menambah nilai yang signifikan bagi organisasi melalui
wawasan mereka terkait pekerjaan
yang dilakukan yang dapat diberikan kepada manajemen di tingkat operasional dan
eksekutif. Kesempatan untuk

menerapkan keterampilan ini mungkin datang sebagai akibat dari pekerjaan yang
dilakukan untuk memberikan
keyakinan pada manajemen risiko dan pengendalian internal dalam rangka keterlibatan
jaminan tradisional seperti
inisiatif rekayasa ulang proses bisnis, ulasan dalam merger dan akuisisi, atau review
sebelum impelementasi sistem.