tersebut, langkah berikutnya adalah mengevaluasi risiko bisnis yang dapat menghalangi
pencapaian tujuan tersebut.
Bagi organisasi yang telah menerapkan Enterprise Risk Management (ERM), umumnya
manajemen telah
mengembagkan suatu risk profile. Dalam kasus tersebut maka fungsi internal audit dapat
membangun penilaian
risikonya dari risk profile tersebut. Bila risk profile tidak tersedia, maka fungsi internal
audit adalah menyusun profil
sebagai titik awal untuk perencanaan audit tahunan.
Pendekatan umum yang dapt dilakukan untuk mengembangkan risk profile adalah
dengan melakukan sesi
brainstorming dengan senior manajemen atau, jika mereka tidak dapat, dengan anggota
fungsi internal audit. Potensi
risiko dibagi ke dalam 4 (empat) kategori sesuai dengan ERM COSO yaitu Strategic Risks,
Compliance Risks, Reporting
Risks, dan Operations Risks. (Lihat Chapter 4 Risk Management)
Risiko yang beraneka ragam tersebut kemudian dinilai dampak dan keterjadiannya
seperti gambar di bawah ini.
Tahap selanjutnya adalah dimasukannya risiko-riko yang telah terdapat dalam Risk
Model ke dalam Matriks Risk
Assessment di atas dan menghubungkan risiko yang telah teridentifikasi dengan tujuan
spesifiknya. Hal tersebut akan
membantu untuk memastikan bahwa semua risiko kunci, dan dampak yang dihasilkan
telah diidentifikasi
Memetakan Resiko Pada Proses Bisnis
Next Step.(A, B, C dst)
A. Membangun Respon yang Sesuai untuk Masing-masing Risiko
Respon yang bisa diberikan oleh organisasi terhadap risiko (perspektif ERM):
1) Avoidance/Penghindaran (contoh: tidak meluaskan pangsa pasar, menjual sebuah
divisi)
2) Reduction/Pengurangan yaitu mengurangi dampak, keterjadian atau keduanya
(contoh: mengimplementasikan
control)
3) Sharing/Membagi dengan mentransfer atau membagi porsi risiko, (contoh: asuransi,
hedging, outsource activity)
4) Acceptance/Penerimaan organisasi memilih menerima risiko dengan level tertentu
daripada menggunakan
sumber daya untuk merespon dengan cara lainnya.
IIA Standard 2010 bilang:
Planning explicity requires CAE to establish a risk-based plan to determine the priorities
of the internal audit activity,
consistent with the organizations goals
Atau
Perencanaan secara eksplisit membutuhkan CAE untuk 'menetapkan rencana berbasis
risiko untuk menentukan
prioritas kegiatan audit internal, yang konsisten dengan tujuan organisasi
_______Mohon Tengok Exhibit 5-11 RISK BY PROCESS MATRIX Hal. 5-16___________
B. Menganalisis Proses untuk menentukan adanya hubungan antara proses dan
risiko
C. Hubungan yang sudah dianalisis (antara proses dan risiko), Dievaluasi untuk
menentukan mana yang kunci atau
bukan (sekunder)
Hubungan kunci (Key link) yang prosesnya dilaksanakan secara langsung untuk
memanaje risiko. Hubungan
sekunder (secondary link) yang prosesnya dilaksanakan secara tidak langsung untuk
memanaje risiko.
RBPM pada exhibit 5-11 di atas digunakan internal auditor untuk memutuskan bagian
mana yang harus dimasukkan
kedalam rencana audit fungsional tahunan. Langkahnya menghitung jumlah link key dan
secondary untuk setiap
proses. Hal ini karena link tersebut akan mempengaruhi tipe audit yang akan dilakukan.
Selain pakai RBPM, pendekatan lain untuk mencari hubungan antara bisnis proses dan
risiko adalah dengan
membangun factor risiko dasar yang digunakan untuk mengevaluasi risiko melalui proses
(risk factor approach).
Biasanya model RF ini diidentifikasi 7 sampai 15 faktor untuk mengassess masing2
proses. Biasanya ada 2 jenis factor,
external risk factor dan internal risk factor.
a) External Risk Factor
Berkaitan dengan faktor-faktor yang dibangun ke dalam lingkungan dan sifat proses itu
sendiri.
b) Internal Risk Factor
Berkaitan dengan kontrol batas yang dirancang ke dalam proses untuk menjamin
pencapaian tujuan, kinerja
orang-orang yang terlibat dalam kegiatan dan dalam mengelola proses, dan tingkat
perubahan dalam proses dan
lingkungan di mana bisnis beroperasi.
Setelah factor diidentifikasi, ada 3 keputusan yang harus dibuat sebelum model
diimplementasikan:
1. Menentukan skala untuk tiap factor yang di assess
2. Menentukan pembobotan untuk tiap factor
3. Menentukan bagaimana tiap factor dikombinasikan
_______Mohon Tengok Exhibit 5-12 RISK FACTOR APPROACH Hal. 5-18___________
Proses Bisnis dan Risiko dalam Assurance Engagement
Assurance engagement ialah pemeriksaan obyektif pada bukti-bukti dengan tujuan
memberikan penilaian independen
terhadap tata kelola, manajemen risiko dan proses kontrol untuk organisasi.
_______Mohon Tengok Exhibit 5-14 RISK/CONTROL MATRIX FOR PROCESS Hal.
5-14___________
_______Mohon Tengok Exhibit 5-15 RISK MAP PARTIALLY COMPLETED Hal. 515___________
Business Process Outsorcing
Business Process Outsorcing adalah tindakan mentransfer beberapa proses bisnis
organisasi ke penyedia luar guna
mencapai pengurangan biaya, efektivitas operasi, atau efisiensi operasional sekaligus
meningkatkan kualitas
pelayanan.
Dulu yang paling awal ada outsorce gini sih di payroll sama fungsi IT. Sekarang
berkembang menjadi HRD, engineering,
CS, keuangan dan akuntansi.
Karena outsorce ini, beberapa sistem IC jadi lebih baik dan efisien, tetapi ada juga risiko
tambahan. Beberapa hal yang
harus diperhatikan dalam IC pada bisnis proses outsorcing:
a. mendokumentasikan proses outsorce dan menunjukkan kontrol utama yang telah di
outsorce
b. memastikan ada cara memantau efektivitas proses outsorce
c. memperoleh keyakinan bahwa pengendalian internal yang melekat dalam proses
outsorce beroperasi secara
efektif, baik melalui audit internal kontrol atau tinjauan eksternal kontrol
d. mengevaluasi secara berkala apakah kasus bisnis outsorcing tetap berlaku
PELUANG UNTUK MEMBERIKAN WAWASAN
Kemampuan dari auditor internal dalam menganalisis proses bisnis dan risiko terkait
penyediaan fungsi audit internal
member kesempatan untuk menambah nilai yang signifikan bagi organisasi melalui
wawasan mereka terkait pekerjaan
yang dilakukan yang dapat diberikan kepada manajemen di tingkat operasional dan
eksekutif. Kesempatan untuk
menerapkan keterampilan ini mungkin datang sebagai akibat dari pekerjaan yang
dilakukan untuk memberikan
keyakinan pada manajemen risiko dan pengendalian internal dalam rangka keterlibatan
jaminan tradisional seperti
inisiatif rekayasa ulang proses bisnis, ulasan dalam merger dan akuisisi, atau review
sebelum impelementasi sistem.