Business Process and Risk

MAKALAH
Diajukan Untuk Memenuhi Salah Satu Tugas Audit Internal

Disusun Oleh :
RESKI GINALDI

5211131057

M. DIKRI RIFALDI

5211131073

APRILIA MANORAINI

5211131101

AKUNTANSI B

UNIVERSITAS JENDRAL ACHMAD YANI

FAKULTAS EKONOMI
PROGRAM STUDI AKUNTANSI

TUJUAN PEMBELAJARAN
1.
2.
3.
4.
5.

Memahami struktur aktivitas organisasi untuk mencapai tujuan

Mengidentifikasi proses utama bisnis di organisasi
Memperoleh pemahaman tentang proses bisnis yang diberikan
Memahami jenis resiko bisnis yang dihadapi organisasi
Mengidentifikasi dan menilai resiko utama, tujuan organisasi dan bagaimana

mereka terhubung dengan proses bisnis

6. Mengembangkan audit universe untuk organisasi dan menentukan rencana audit
internal tahunan berdasarkan resiko utama bisnis
7. Memahami bagaimana menggunakan teknik penilaian resiko dalam jaminan
8. Memperoleh kesadaran baru yang timbul ketika beberapa proses kunci merupakan
outsource

PROSES BISNIS
Bab 3, Tata Kelola, membahas pentingnya proses tata kelola ketika menetapkan
tujuan organisasi dan batasan-batasan dalam beroperasi. Bab ini mengkaji bagaimana
sebenarnya struktur organisasi, dan bagaimana kegiatan mereka untuk menerapkan
strategi dan mencapai tujuan bisnis. Organisasi struktur kegiatan ke proses bisnis atau
proyek. Meskipun ada beberapa proses yang umum di seluruh organisasi, campuran yang
tepat dan struktur akan unik untuk setiap organisasi. bahkan di dalam sebuah organisasi.
Proses bisnis adalah serangkaian kegiatan yang terhubung yang berhubungan
dengan satu sama lain untuk mencapai tujuan. Bab ini mengkaji bagaimana sebenarnya
struktur organisasi, dan bagaimana kegiatan mereka untuk menerapkan strategi dan
mencapai tujuan bisnis.

Proses operasi untuk sebagian besar organisasi termasuk proses inti organisasi
untuk mencapai tujuan utama. Untuk perusahaan manufaktur, ini akan menjadi proses
membuat dan menjual produk. Untuk perusahaan penyedia layanan (jasa) seperti sebuah
konsultasi lembaga, perusahaan atau keuangan, proses tersebut adalah memasarkan dan
memberikan layanan. Entitas Pemerintah atau organisasi nirlaba juga memiliki proses
yang dimana mereka memberikan layanan operasi. Setelah produk atau jasa dirancang
proses operasi tersisa dipandang sebagai dasarnya terus-menerus diulang berkali-kali di
siklus bisnis. Melalu proses ini organisasi menciptakan nilai dan mengirimkannya
langsung kepelanggan mereka.
Beberapa organisasi dapat menggunakan metode yang berbeda untuk mengatur
kegiatan penciptaan nilai.struktur ini, disebut proyek, digunakan ketika kegiatan terjadi
lebih dari satu periode waktu yang panjang, memerlukan sequencing kompleks, dan
relatif unik karena aktivitas tertentu tidak dilakukan terus menerus.Contoh organisasi
yang sering mengatur kegiatan inti mereka dengan cara ini adalah perusahaan rekayasa
dan konstruksi, pertambangan, minyak, dan gas perusahaan dan kontraktor pertahanan.
Proses 13 dan 14 menunjukkan dua jenis proyek. memproses 13 berlaku ketika
desain organisasi dan membangun aset dan mengoperasikannya, juga. misalnya latihan
perusahaan minyak dan kemudian mengoperasikan sumur minyak.Proses 14 berlaku
ketika desain organisasi dan membangun aset dan tangan itu ke organisasi lain untuk
beroperasi. misalnya pabrik atau bangunan yang dibangun oleh sebuah perusahaan
rekayasa dan kemudian dipindahkan ke perusahaan lain untuk operasi
Proyek juga sering digunakan dalam sebagian besar organisasi untuk struktur
kegiatan non rutin untuk menciptakan aset untuk organisasi.
misalnya struktur proyek akan digunakan untuk seleksi dan implementasi sistem
akuntansi baru, pelaksanaan awal inisiatif besar seperti apa yang diperlukan untuk
mematuhi AS Sarbanes Oxley Act of 2002 atau negara lain persyaratan pelaporan
keuangan atau pembangunan produksi baru.
Proses manajemen dan support adalah kegiatan yang mengawasi dan mendukung
proses penciptaan nilai organisasi inti. sementara proses ini akan bervariasi antara
organisasi, mereka umumnya diperlukan di semua industri dan dukungan tapi tidak

langsung membuat, nilai tertanam dalam tujuan organisasi. manajemen dan dukungan
proses termasuk yang digunakan untuk mengelola SDM organisasi, keuangan, informasi
dan teknologi dan sumber daya fisik (proses 7 sampai 10) proses dukungan tersebut
meliputi perekrutan, akuntansi, manajemen kas, penggajian, pembelian, dll (proses 11).
kategori ini juga termasuk proses organisasi untuk mengelola hubungan eksternal (proses
12) seperti yang dengan pemasok, pelanggan, badan pemerintah dan regulator, serta
hubungan dengan pasar modal dan usaha dan mitra aliansi.
Exhibit 5-2 menggambarkan proses bisnis dari perspektif tingkat tinggi. masing-masing
dari 14 jenis klasifikasi juga dapat digambarkan sebagai kegiatan yang lebih bijaksana.
Exhibit

5-3

menggambarkan

hal

ini.misalnya

organisasi

ritel

dapat

menggambarkan proses penjualan umum di tingkat tertinggi organisasi 4,5 dan 6. Dari
penjualan eceran, yang meliputi proses dimana pelanggan memilih barang, membayar
barang dengan uang tunai atau janji untuk membayar (piutang) , dan menerima
kepemilikan. Penjualan ritel dapat dilakukan dalam pengaturan toko atau melalui internet,
proses yang lebih rinci dapat dirancang bagi kegiatan mereka, tingkat detail yang
digunakan untuk menggambarkan proses ini akan bervariasi tergantung pada dokumentasi
tingkat yang diinginkan.

Jika gambaran yang diinginkan, diksi tingkat tinggi ditunjukkan pada gambar atas
5-3 sudah cukup.jika tingkat yang lebih rinci yang diinginkan, contoh menengah atau
lebih rendah ditunjukkan gambar 5-3 mungkin lebih tepat. dalam beberapa kasus
subproses dapat ditampilkan di bahkan tingkat yang lebih rinci daripada yang ditunjukkan
pada gambar 5-3. misalnya proses penjualan toko memasukkan informasi ke kasir bisa

melibatkan sejumlah subproses seperti memperbarui nomor persediaan, pencatatan

pendapatan penjualan, dan membuka laci kas. baik tingkat tinggi dan pendekatan rinci
dapat berharga untuk auditor internal, seperti yang dibahas pada bagian berikutnya.

Memahami Proses Bisnis

Untuk auditor internal untuk menambah nilai dan meningkatkan operasi yang
organisasi, mereka harus terlebih dahulu memahami model bisnis organisasi. model bisnis
meliputi tujuan organisasi dan bagaimana proses bisnis yang disusun untuk mencapai
tujuan tersebut. model didefinisikan oleh visi organisasi, misi, dan nilai, serta set batas
bagi organisasi - apa produk atau jasa itu akan memberikan, apa pelanggan atau pasar itu
akan menargetkan, dan apa pasokan dan pengiriman saluran itu akan digunakan.
sementara model bisnis meliputi strategi tingkat tinggi dan arah taktis untuk bagaimana
organisasi akan menerapkan model, juga termasuk sasaran-sasaran tahunan yang
mengatur langkah-langkah spesifik organisasi bermaksud untuk melakukan di tahun
depan dan langkah-langkah untuk prestasi yang diharapkan mereka. masing-masing
cenderung menjadi bagian dari dokumentasi internal yang tersedia untuk internal auditor
Untuk perusahaan publik, sumber eksternal ini mungkin juga tersedia.sementara
visi organisasi, misi, nilai-nilai dan tujuan yang relatif stabil dari tahun ke tahun, fungsi
audit internal harus tetap secara berkala memperbarui pemahamannya tentang strategi
organisasi. biasanya ini akan dilakukan setiap tahun ketika meninjau tujuan tahun untuk
organisasi dan manajemen eksekutif.
Ada dua pendekatan umum yang dapat membantu dalam memahami proses bisnis
dan peran mereka dalam model bisnis: pendekatan top down dan bottom up pendekatan.
dalam pendekatan top-down, satu dimulai pada tingkat organisasi dengan tujuan
organisasi, dan mengidentifikasi proses kunci penting untuk keberhasilan setiap tujuan
tersebut. Proses dianggap kunci relatif terhadap tujuan tertentu jika kegagalan proses
untuk berfungsi secara efektif langsung akan mengakibatkan organisasi tidak mencapai
tujuan. misalnya, jika tujuan tertentu adalah untuk meningkatkan nilai pemegang saham
dengan konsisten memberikan pertumbuhan laba operasi. misalnya, jika tujuan tertentu
adalah untuk meningkatkan nilai pemegang saham dengan konsisten memberikan

pertumbuhan laba operasi (historis 12 persen per tahun) kemudian - mengacu pada proses
tingkat tinggi dalam gambar 5-2 - proses 3,4,5 mungkin menjadi kunci, sedangkan
beberapa proses dukungan, seperti proses 8, mengelola sumber daya keuangan mungkin
tidak. penting untuk dicatat bahwa, sementara proses mungkin tidak menjadi kunci untuk
satu tujuan tertentu, mereka mungkin menjadi kunci yang lain.
Dengan demikian, dalam contoh di atas sementara proses penutupan akuntansi
bulanan mungkin tidak menjadi proses kunci untuk tujuan pertumbuhan laba, mungkin
menjadi proses kunci untuk tujuan organisasi seperti "memberikan informasi keuangan
yang handal dan tepat waktu" Setelah proses kunci diidentifikasi mereka dianalisis secara
lebih rinci, melanggar proses ke tingkat sub proses dan akhirnya mencapai tingkat
aktivitas. Pendekatan ini efektif karena menghasilkan satu set dikelola proses kritis.
biasanya dilakukan oleh tim dari individu dengan perspektif dewan organisasi, tapi tidak
dengan pengetahuan rinci dari masing-masing daerah. sebagai hasilnya, ada potensi untuk
mengabaikan proses yang utimately membuktikan menjadi kritis tetapi dihilangkan dalam
pendekatan top-down.
Pendekatan Bottom-Up dimulai dengan melihat semua proses pada tingkat
aktivitas.

pendekatan

seperti

mengharuskan

setiap

daerah

organisasi

untuk

mengidentifikasi dan mendokumentasikan proses bisnis di mana mereka terlibat. hal ini
dilakukan oleh orang-orang di daerah yang bertanggung jawab untuk kegiatan yang
sebenarnya.

Proses diidentifikasi kemudian dikumpulkan di seluruh organisasi.

sementara pendekatan ini bekerja dengan baik untuk organisasi kecil dengan jumlah yang
relatif terbatas proses, itu kurang efektif dalam organisasi besar dan kompleks karena
menjadi rumit untuk memprioritaskan pentingnya setiap proses relatif terhadap orang
lain.
Sekali proses diidentifikasi langkah selanjutnya baik dalam top-down atau
pendekatan bottom-up adalah untuk menentukan tujuan utama untuk proses tersebut.
menentukan tujuan utama melibatkan mendapatkan jawaban atas pertanyaan-pertanyaan
seperti:
1.
2.
3.
4.

mengapa proses ada?

bagaimana proses mendukung strategi organisasi dan berkontribusi prosesnya?
bagaimana orang diharapkan untuk bertindak?
apa lagi yang proses melakukan itu penting untuk manajemen?

Untuk internal auditor, atau seseorang yang tidak terlibat langsung dalam proses,
sumber pertama informasi adalah pemilik proses dan kebijakan dan prosedur dokumentasi
yang ada untuk proses tersebut. idealnya, pemilik proses telah membentuk proses formal
tujuan yang memberikan jawaban atas empat pertanyaan di atas. jika tidak, auditor
internal perlu bekerja dengan orang-orang penting yang terlibat dengan proses untuk
memperoleh informasi yang diperlukan.
Sekali tujuan proses dipahami langkah berikutnya adalah untuk memahami masukan
untuk proses kegiatan khusus yang dibutuhkan untuk mencapai tujuan proses, dan output
proses. Untuk memahami bagaimana input dan kegiatan menggabungkan untuk
menghasilkan output, dokumen yang ada harus ditinjau. Dokumen tersebut dapat
mencakup, misalnya: proses prosedur manual, kebijakan yang berkaitan dengan proses,
deskripsi pekerjaan dari orang yang terlibat dalam proses, peta proses yang
menggambarkan aliran proses. Meskipun dokumen yang ada merupakan awal yang
penting, biasanya diperlukan untuk membahas aspek proses dengan orang-orang yang
melakukan kegiatan signifikan dalam proses. Pertanyaan berikut dapat ditanyakan dari
pemilik proses dan personil kunci lain untuk membantu memperoleh pemahaman tentang
proses bisnis.
1. Mengapa proses ini ada?
2. Manakah dari tujuan strategis organisasi [tidak) proses mempengaruhi dan
bagaimana?
3. Apa yang harus inisiatif proses berjanji untuk membantu organisasi mencapai
tujuan strategis?
4. Apa proses menyediakan organisasi, tanpa mana organisasi akan memiliki waktu
yang sulit menjadi sukses?
5. Pada akhirnya, apa yang memberikan karyawan yang terlibat dalam proses rasa
keberhasilan dengan pekerjaan mereka?
6. Apa prestasi cenderung untuk mendapatkan karyawan yang terlibat dalam proses
diakui oleh manajemen atau pelanggan internal?
7. Bagaimana orang yang terlibat dengan proses diharapkan untuk bertindak? Apa
yang terjadi ifthey tidak memenuhi harapan ini?
8. Apakah indikator kinerja utama (KPI) yang ada untuk membantu mengukur dan
memantau kinerja?

Selain mengidentifikasi tujuan utama, memahami proses ini membutuhkan

mendapatkan pemahaman tentang bagaimana manajemen gersang pemilik proses
mengetahui proses ..berkinerja sebagaimana dimaksud. Pemilik proses harus telah
menetapkan KPI yang digunakan untuk memantau kinerja proses. Indikator-indikator ini
harus diamati (mereka dapat diukur secara obyektif), relevan dengan tujuan (bukan hanya
digunakan

karena

mereka

dapat

diukur),

tersedia

secara

tepat

waktu,

dan

dikomunikasikan kepada orang-orang yang terlibat dalam proses. KPI atau jenis lain dari
metrik kinerja dapat menunjukkan harapan manajemen, atau tingkat toleransi, terkait
dengan hasil proses.

MENDOKUMENTASIKAN PROSES BISNIS

Dokumentasi proses bisnis diperlukan. Tipically, hal itu harus dilakukan oleh
pemilik proses dan orang-orang yang terlibat dalam proses. Namun, ada contoh ketika itu
tidak terjadi karena tuntutan harian pekerjaan mereka atau karena mereka tidak melihat
nilai dokumentasi formal. Meskipun tidak menyelesaikan dokumentasi proses mungkin
memiliki sedikit konsekuensi langsung, dengan berjalannya waktu dan mereka yang
terlibat dalam langkah proses On ke posisi lain atau meninggalkan organisasi, tujuan dari
proses dapat hilang atau terdistorsi. Proses dapat sangat efektif dalam (1) orientasi
personel baru, (2) mendefinisikan bidang tanggung jawab, (3) mengevaluasi efisiensi
proses, (4) menentukan bidang yang menjadi perhatian utama. dan (5) risiko utama
identifikasi dan kontrol. Auditor internal juga harus mendokumentasikan pemahaman
mereka untuk mendukung penilaian mereka secara keseluruhan risiko dan pengendalian
dalam organisasi dan dalam keterlibatan jaminan khusus yang mereka melakukan pada
proses.

Dua metode yang umum digunakan untuk proses pendokumentasian adalah peta
proses dan narasi proses. Peta proses mungkin tingkat tinggi atau tingkat aktivitas rinci
dan melibatkan representasi bergambar masukan, langkah-langkah, alur kerja, dan output.
Proses juga peta dapat mencakup beberapa narasi yang menyertainya.Peta tingkat tinggi
proses mencoba untuk menggambarkan luas masukan, kegiatan, alur kerja, dan interaksi
dengan proses dan output lainnya. Mereka menyediakan suatu kerangka menyeluruh

untuk memahami kegiatan rinci dan subproses. Tujuan di peta proses tingkat tinggi adalah
untuk tetap sederhana.
Ada

standarabsolutmengenaiformatdan

simboluntuk

pemetaanproses,

meskipunfungsiaudit internaldan perusahaanlayanan profesionalbiasanyaberusahauntuk

konsistensi. Exhibit 5-5menyajikansimboldasar denganmaknayang khas. Peta proses
biasanya terstruktur sehingga urutan kegiatan berjalan dari kiri ke kanan seperti dalam
Exhibit 5-4 atau dari atas ke bawah.

Risiko Bisnis
Exhibit 5-5. PROSES UMUM SIMBOL PEMETAAN

Setelah auditor internal memperoleh pemahaman tentang tujuan organisasi dan

proses kunci yang digunakan untuk mencapai tujuan tersebut, langkah berikutnya adalah
untuk mengevaluasi risiko bisnis yang bisa menghambat pencapaian tujuan. Kemampuan
eksekutif Audit (CAE) dan manajemen audit internal untuk mendapatkan pemahaman
yang menyeluruh tentang risiko bisnis organisasi akan menentukan sejauh mana fungsi
audit internal akan dapat memenuhi misinya dan menambah nilai bagi organisasi. Hal ini
membantu untuk mengembangkan profil risiko secara keseluruhan organisasi yang
mengidentifikasi risiko penting.

Untuk peningkatan jumlah organisasi yang menerapkan manajemen risiko

perusahaan (ERM), profil risiko secara keseluruhan bisa dikembangkan oleh manajemen.
Dalam kasus ini, masing-masing fungsi audit internal dapat membangun penilaian risiko
dari profil risiko organisasi. Namun, jika profil tersebut tidak ada, fungsi audit internal
perlu membuat profil sebagai titik awal untuk perencanaan audit tahunan.
Ada sejumlah alat yang berbeda dan metodologi untuk membantu dalam mengembangkan
profil risiko. Bab ini terlihat hanya pada satu set kecil dari mereka. Perhatikan juga bahwa
meskipun berbagai alat yang tersedia, penilaian risiko organisasi tetap proses yang sangat
subjektif yang membutuhkan pengalaman dan penilaian yang baik.
Pendekatan yang umum mungkin untuk memulai dengan melakukan sesi
brainstrorming dengan manajemen senior atau, jika mereka tidak tersedia, dengan
anggota fungsi audit internal.Kelompok ini mungkin mulai dengan model risiko generik
yang

menggambarkan

kategori

dan

jenis

risiko

sebuah

organisasi

mungkin

mengalaminya.Model risiko tersebut disajikan dalam tampilan 5-7.Dalam contoh ini,

potensi risiko dipecah menjadi empat kategori yang sejajar dengan COSO (COSO) tujuan
ERM, kategori dan 10 subkategori.

Exhibit5-8. Risk Assessment Model

Berbagai risiko yang kemudian dinilai dalam hal dampak dan kemungkinan.
Dampak, dampak buruk dari hasil risiko, biasanya dinilai dari segi kategori. Biasanya,
tiga (tinggi, sedang, rendah) atau lima kategori yang digunakan. Sebuah model lima
kategori disajikan dalam tampilan 5-8. Menetapkan batas-batas untuk setiap kategori
berguna untuk mengumpulkan masukan dari beberapa orang. Dalam model ini, batasbatas untuk dampak ditetapkan dalam hal nilai-nilai dolar dan dampaknya pada tujuan
bisnis. Namun, beberapa organisasi menetapkan batas-batas untuk langkah-langkah lain
juga. Misalnya, beberapa organisasi membangun dampak dari segi reputasi, kesehatan
dan keselamatan, hukum, atau kerusakan aset. Untuk kesehatan dan keselamatan, kategori
mungkin sedikit cedera, cedera ringan, cedera utama, kematian, dan beberapa korban
jiwa, dengan skala pergi dari diabaikan yang ekstrim (skala dampak ditampilkan di
Exhibit 5-8), masing-masing. Pembaca harus mencatat bahwa istilah lain dapat digunakan
untuk menandakan dampak. Signifikansi kadang-kadang digunakan, meskipun penulis
lebih memilih untuk menyebut makna sebagai penilaian gabungan dampak dan
kemungkinan sampel datanya. Kurang umum, tingkat keparahan adalah istilah lain yang
digunakan untuk menandakan dampak buruk dari hasil risiko.
Kemungkinandapat

dievaluasidengan

menilaipeluangatauprobabilitasdampakrisikoyang
sifatsubjektifdaripenilaian

ini,

sebagian

terjadi.

Namun,mengingat

besar

manajerdanauditor

internallebihnyamanmengungkapkankemungkinandikategorikurang tepat. Sekali lagi,

skalatigakategori(tinggi, sedang, rendah) atauskalalimakategori(seperti yang ditunjukkan
dalam

Exhibit

5-8)

sering

digunakan.

Sepertidampak,itu

tidak

membantu

untukmenentukanbatas-bataskategori. Hal ini biasanya dilakukandalam haltertentu

ataupenjagaprobabilitas(seperti dalam skalaExhibit5-8).

Jenis analisis dilakukan untuk kembali pengetahuan dan keterampilan yang

diperlukan untuk menjadi sukses dalam posisi audit internal tingkat masuk dan tujuan
yang diperlukan dapat diterapkan untuk organisasi juga. Seperti disebutkan dalam diskusi
kita proses bisnis sebelumnya dalam bab ini, tujuan biasanya dapat ditemukan dalam
pengajuan peraturan, seperti pengajuan 10-k untuk perusahaan publik di Amerika Serikat,
atau di organisasi dokumen perencanaan strategis.

Pemetaan Risiko ke Proses Bisnis Dari perspektif ERM dibahas dalam Bab 4,
"Manajemen Risiko," langkah berikutnya akan untuk mengembangkan respon yang tepat
untuk masing-masing risiko. Ada empat respon organisasi dapat mengambil:
1. Penghindaran. Sebuah keputusan dibuat untuk keluar atau divestasi kegiatan
yang menimbulkan risiko. Menghindari risiko mungkin melibatkan, misalnya,
keluar lini produk, memutuskan untuk tidak memperluas ke pasar geografis baru,
atau menjual divisi.
2. Pengurangan. Tindakan yang diambil untuk mengurangi dampak resiko,
kemungkinan, atau keduanya. Ini melibatkan segudang keputusan bisnis seharihari, seperti menerapkan kontrol.
3. Berbagi. Dampak risiko atau kemungkinannya berkurang dengan mentransfer
atau sebagian dari risiko.Teknik umum termasuk membeli produk asuransi,
terlibat dalam transaksi nilai lindung, atau sumber luar kegiatan
4. Penerimaan. Tidak ada tindakan yang diambil untuk mempengaruhi dampak
risiko atau kemungkinan organisasi. Bersedia menerima risiko pada tingkat saat
ini daripada menghabiskan sumber daya berharga menyebarkan salah satu pilihan
respon risiko lain.
Untuk dapat memilih strategi dalam merespon resiko secara efektif, perlu
pemahamaan yang baik mengenai bagaimana resiko berdampak terhadap proses bisnis
pada organisasi tersebut. auditor internal juga harus /menjembatani antara resiko dengan
proses bisnis untuk dapat mengukur apakah resiko telah di manaje dengan baik atau pada
tingkatan yang dapat diterima dan mengidentifikasi tingkat resiko yang sangat tinggi
dimana organisasi menilai bahwa tingkat tersebut merupakan titik kritikal resiko.

Efektif disini menggambarkan bagaimana hubungan antara proses dengan resiko

untuk menciptakan resiko dari proses matrix (seperti yang digambarkan pada Exhibit 510, dimana objektif terkait dengan resiko kritikal. resiko digambarkan berada di atas
matrix, dan proses digambarkan menurun kebawah. Resiko itu yang akan menjadi model
resiko bisnis (Exhibit 5-7). Biasanya terdapat 30 hingga 70 resiko. Proses evaluasi resiko
di tunjukkan pada Exhibit 5-8 dan 5-9 bisa digunakan untuk memperkecil daftar resiko.
Sebagai contoh, itu mungkin dapat menjadi yang organisasi inginkan untuk membatasi
resiko-resiko terhadap proses yang terkait dengan resiko pada sel 7 hingga 25 (Exhibit 58).

Exhibit 5-11. Risiko denganProsesMatrix

Langkah selanjutnya yaitu menganalisa proses untuk menentukan apakah terdapat

asosiasi antara proses dengan resiko. Setelah mengidentifikasi proses tertentu mana yang
terkait dengan resiko, asosiasi seharusnya dievaluasi baik keterkaitan tersebut sebagai
Key link atau Secondary link. Key link yaitu keterkaitan yang dimana proses berperan
sebagai peran kunci dalam memanaje resiko secara langsung. Sedangkan Secondary link
merupakan proses dimana yang posisinya membantu untuk memanage resiko secara tidak
langsung. Sebagai contoh resiko kritikal 3 dapat dinilai sebagai Key link, sedangkan
kritikal resiko 4 dinilai sebagai Secondary link. Ketika kedua link tersebut terlihat
memotong resiko tertentu maka seharusnya ada satu atau dua proses.

Setelah penilaian resiko dari matriks proses telah selesai, dapat digunakan oleh
fungsi audit internal untuk menentukan dimana komitmen harus termasuk ke dalam
rencana tahunan audit. Banyaknya link dan karakteristik/sifatnya antara resiko dan proses
akan berpengaruh kepada tipe audit internal yang akan dilakukan. Pertimbangan juga
perlu dilakukan di akhir audit.
Pendekatan secara tidak langsung yang lainnya adalah menghubungkan antara
proses bisnis dan resiko nya melalui pengembangan faktor resiko dasar yang digunakan
untuk evaluasi resiko yang di proses (pendekatan faktor resiko). Biasanya, model faktor
resiko mengenal atau menggunakan tujuh hingga 15 faktor yang dapat digunakan untuk
menilai setiap proses. Faktor-faktor resiko yang dimaksud disini tidak sama dengan
resiko yang ada pada awal-awal model dasar resiko bisnis sebelumnya.
Kebanyakan model tersusun dari dua tipe dasar faktor, faktor resiko eksternal dan
faktor resiko internal.faktor resiko internal menyinggung akan hal faktor-faktor yang
dibangun dari lingkungan dan alam dari proses itu sendiri. Kedua hal tersebut memiliki
ciri seperti tingkat aktifitas yang relatif, jumlah serta likuiditas dari aset yang ikut
terlibatkan dalam proses, kompleksitas proses dalam hal banyaknya langkah dan input
yang diambil, tingkat hukum dan regulasi yang menjadi kendala, dan masih banyak yang
lainnya. Faktor resiko internal berkenaan dengan tingkat pengendalian yang dirancang
atau dimaksudkan untuk memastikan proses mencapai objektifnya, kinerja dari yang
terlibat pada aktifitas dan memanaje proses, dan tingkat perubahan dalam proses dan
lingkungan dimana keduanya beroperasi. Beberapa model termasuk pada beberapa faktor
tambahan, biasanya: kapan terakhir kali dilakukannya audit, hasil audit sebelumnya, dan
spesifik perhatian manajemen.

Exhibit 5-12. RISIKO FAKTOR PENDEKATAN

Setelah faktor-faktor teridentifikasi, tiga langkah atau pilihan harus dilakukan

sebelum model diimplementasikan. Pertama, skala yang digunakan untuk mengukur
setiap faktor harus di atur. Biasanya, tiga, lima, hingga tujuh poin skala digunakan. Tanpa
memperhatikan skala mana yang digunakan, skala itu juga yang harus digunakan dalam
mengukur faktor-faktor yang lainnya.
Langkah selanjutnya menerangkan mengenai kepentingan yang relatif antara satu
dengan faktor yang lainnya. Jika kepentingan setiap faktor resiko dianggap sama, resiko
itu akan memberikan bobot yang sama. Biasanya, pembobotan dapat dilakukan dengan

memberi angka dari 0 hingga 100, sehingga jumlah bobot sama dengan 100. Demikian,
jika ada lima faktor resiko dan setiap faktor dianggap sama kepentingannya, bobot setiap
faktor tersebut ialah 20.
Langkah yang terakhir berhubungan bagaimana faktor resiko digabungkan.Pada
kebanyakan pendekatan faktor resiko menggunakan weighted-additive model setiap
faktor tersebut bernilai bobot faktor yang dikalikan, dan dijumlahkan pada faktor-faktor
tersebut untuk memberikan nilai resiko secara keseluruhan (Exhibit 5-12).Jarak antara
nilai resiko dapat disesuaikan jika seluruh nilai telah ditentukan. Kemudian akan muncul
kategori-kategori yang dapat digunakan untuk menetapkan setiap proses audit, siklus
pertama, kedua, dan tahun-tahun berikutnya. Dengan demikian, jika proses tersebut
ditetapkan untuk siklus dua tahunan, seharusnya dilakukan audit setiap dua tahun.
Sebagai

alternatif

dalam

menetapkan

setiap

proseske

dalam

siklus,

memprioritaskan proses dapat membantu menyortir proses tersebut dengan nilai resiko
dan memilih salah satu diantara nilai yang paling tinggi untuk dimasukkan ke dalam
rencana audit internal hingga perencanaan audit telah lewat. Salah satu tekhnik yang
dapat digunakan yaitu menambahkan terkahir kalinya dilakukan audit ke dalam faktor
resiko.
Beberapa fungsi internal audit lebih memilih untuk tidak membuat keputusan
berdassarkan total nilai resiko, tetapi berdasar pada nilai faktor (eksternal, internal, dan
lainnya). Hal ini dapat dilakukan dengan cara menetapkan penilaian rendah, medium dan
tinggi untuk setiap faktor.

Exhibit 5-13. RISIKO FAKTOR PENDEKATAN

Proses Bisnis dan Resiko dalam Assurance Engagement

Langkah selanjutnya merupakan mengidentifikasi dan mengevaluasi resiko yang
spesifik terhadap setiap aktifitas atau subproses dalam proses penting. Auditor internal
melakukan hal ini dengan cara menempatkan setiap aktifitass pada matriks dan membuat
daftar deskripsi atau penjelasan dari setiap resiko. Setiap pernyataan resiko
menggambarkan suatu kejadian yang mungkin berdampak negatif yang mempengaruhi
aktifitas atau kemampuan subproses dalam mencapai tujuannya. Kemudian dampak
potensial

dari

kejadian

itu

diidentifikasi

dan

di

evaluasi

menurut

tingkat

keseriusannya.Pada akhirnya, kemungkinan-kemungkinan kejadian tersebut dapat

diukur/dinilai.
Setelah resiko yang spesifik telah diidentifikasi, langkah selanjutnya yaitu
menentukan bagaimana resiko-resiko tersebut dimanaje dan jika tanggapannya adalah
efektif dalam mengurangi resiko ke tingkat yang dapat diterima.Seperti yang diketahui
tingkatan resiko pada umumnya ada empat yaitu, menghindari resiko, mengurangi resiko,
share, dan dapat diterima. Di dalam proses, seringkali tanggapan terhadap beberapa resiko
yang spesifik yaitu menerima/mengambil resiko tersebut atau mencoba untuk mengurangi
resiko melalui pengendalian.
Exhibit 5-16. Risiko Pengendalian Peta Sebagian Selesai Untuk Proces

Setelah strategi respon telah ditentukan, dan baik sebelum dan sesudah strategi
tersebut diuji untuk efektifitas, sebagai gambaran dari strategi respon resiko dapat
diperoleh dengan menciptakan pemetaan pengendalian resiko, dimana merencanakan
signifikan resiko terhadap efektifitas pengendalian.
Proses bisnis outsourcing (Business Process Outsourcing) adalah keputusan dalam
mentransfer beberapa proses bisnis organisasi ke penyedia di luar organisasi untuk
memenuhi pengurangan biaya sementara meningkatkan kualitass dan efisiensi layanan.
Karena proses ini berulang dan menggunakan kontrak jangka panjang, outsourcing
digunakan jauh melampaui penggunaan sebagai konsultan. Secara historis, daftar biaya
gaji bagian Information Technology (IT) merupakan salah satu contoh proses bisnis yang
utama dalam outsourcing. Namun, tren kebutuhan outsourcing meningkat yang
diantaranya meliputi sumber daya manusia, insinyur, pelayanan pelanggan, keuangan dan
akuntansi, dan logistik dimana organisasi mencari cara dalam mengurangi biaya-biaya.
Walaupun beberapa fungsi telah dilakukan outsourcing, hal itu dianggap kritis
bahwa manajemen dan audit internal memastikan sistem pengendalian internal yang
memadai dengan penyedia outsourcing. Berikut ini beberapa daftar praktik yang
direkomendasikan bahwa organisasi harus memenuhinya agar manajemen resiko yang
efektif dan pengendalian terhadap resiko proses bisnis:
1. Mendokumentasi proses outsourcing dan menunjukkan pengendalian utama yang
telah di outsourcing.
2. Memastikan adagia arti atau maksud dari pemantauan terhadap efektifitas proses
outsourcing.

3. Memiliki keyakinan terhadap pengendalian internal tertanam di dalam proses

outsourcing berjalan secara efektif, baik melalui audit internal seperti
pengendalian atau ulasan eksternal mengenai pengendalian tersebut (contoh,
laporan SAS 70 di Amerika Serikat).
4. Mengevaluasi secara berkala terhadap kasus proses bisnis outsourcing tetap valid.

Ringkasan
Proses bisnis dan konsep resiko yang didiskusikan pada bab ini menjelaskan
fondasi pemahaman bagaimana organisasi menstrukturkan aktifitas mereka untuk
mencapai tujuan bisnis mereka. Pertama, pentingnya untuk memperoleh pemahaman
mengenai proses ini dan bagaimana hal itu dapat menopang tujuannya. Lalu, resiko yang
berdampak terhadap pencapaian tujuannya harus di identifikasi dan diukur. Terakhir,
proses yang menjadi kunci penting dan subproses yang dirancang untuk memanaje
konsistensi resiko dengan strategi yang dibutuhkan dapat diidentifikasi sebagai potensial
kandidat untuk audit internal.
Bagaimanapun juga, konsep ini tidak terbatas untuk digunakan oleh auditor
internal. Konsep ini dapat menjadi alat yang mendasar yang digunakan oleh personil
organisasi yang lain, atau bahkan individual dalam kehidupan sehari-hari untuk
membantu membuat keputusan. Hal ini diilustrasikan pada bab sebelumnya melalui
contoh dari pelajar yang memiliki tujuan sebagai auditor internal.

Pendahuluan
Auditor internal memiliki keterampilan yang memadai dan
pengalaman yang luas untuk memainkan perannya dalam penerapan
yang berhasil dan efektif manajemen risiko.Banyak perusahaan dan
organisasi yang tidak menyadari arti pentingnya peran auditor internal

dalam penerapan manajemen risiko. Kegagalan mengakibatkan auditor

internal dalam manajemen risiko akan berdampak tidak efektifnya
program manajemen risiko yang diterapkan dan bahkan lebih jauh lagi
dapat menimbulkan kegagalan total terhadap ekspektasi penerapan
manajemen risiko. Berikut akan diuraikan mengenai arti penting dan
peran dari audtor internal, khususnya dalam penerapan manajemen
risiko yang efektif dan berhasil di organisasi atau perusahaan.
Peran dan Tanggung Jawab Auditor Internal
1. Organisasi yang sudah menerapkan manajemen risiko
Institute of Internal Auditors (IIA) pada bulan September 2004 telah menerbitkan
position paper mengenai peran auditor internal dalam manajemen risiko. Secara
ringkas,, dinyatakan dalam position paper tersebut bahwa peran penting dari audit
internal berkenaan dengan manajemen risiko adalah menyajikan atau memberikan
assurance yang objektif kepada board of directors mengenai efektivitas dari
kegiatan-kegiatan manajemen risiko di organisasi, yaitu dalam rangka untuk
membantu memastikan risiko-risiko usaha yang utama telah dikelola dengan
selayaknya dan pengendalian intern telah beroperasi secara efektif.
Berikut ini berbagai peran yang dapat dilakukan audit internal berkenaan dengan peranan
manajemen risiko di organisasi.
A. Peran Assurance Service
i) Memberikan assurance terhadap proses manajemen risiko
ii) Memberikan assurance bahwa risiko- risiko telah dengan benar dievaluasi
iii) Mengevaluasi proses manajemen risiko
iv) mengevaluasi pelaporan risiko- risiko yang utama/ penting.
v) Mereview manajemen atas risiko- risiko utama/ penting.
B. Peran Consulting Service
i) Memfasilitasi proses identifikasi dan evalusi risiko.
ii) Memberikan jasa pendampingan kepada manajemen untuk merespon risiko
iii) Mengkoordinasikan aktivitas-aktivitas manajemen risiko
iv) Mengkoordinasikan pelaporan berkenaan dengan risiko.
v) Menjaga dan mengembangkan kerangka kerja manajemen risiko
vi) Menentukan champion dalam pengembangan manajemen risiko
vii) Mengembangjan strategi manajemen risiko untuk mendapatkan persetujuan
board

Di samping peran assurance dan consulting service yang dijalankan auditor internal
berkaitan dengan manajemen risiko, terdapat beberapa peran yang tidak boleh dilakukan
auditor internal berkaitan dengan implementasi manajemen risiko di organisasi, yaitu:
a. menetapkan risk-appetite
b. ikut dalam proses mengelola data
c. menjadi satu-satunya sumber acuan bagi manajemen untuk mendapatkan assurance
bahwa risiko- risiko telah dikelola dengan efektif
d. menerapkan respon terhadap risiko untuk kepentingan manajemen
e. bertanggung jawab untuk mengelola risiko
Dalam ikut berpatisipasi deprogram manajemen risiko organisasi auditor internal
harus berhati-hati untuk memastikan nama peran-peran yang dapat menjadi bagian
tanggung jawabnya dan mana peran- peran yang harus dihindari untuk tidak
menimbulkan benturan kepentingan atau menjadikannya tidak independen dan obyektif
dalam pelaksanaan peran auditor internal tersebut berkenaan dengan program manajemen
risiko organisasi.
Penting

untuk

dipahami

bersama

dengan

bahwa

manajemen

yang

bertanggungjawab terhadap program manajemen risiko. Untuk menghindari kesalahan

dalam peran-peran yang dilaksanakan berkenaan dengan penerapan manajemen risiko,
maka auditor internal perlu mempertimbangkan pengamanan-pengamanan berikut ini:
Harus jelas bahwa manajemenlah yang bertanggung jawab terhadap manajemen risiko
Sifat dan ruang lingkup tanggung jawab unit audit internal harus dituangkan dengan
jelas dengan jelas dalam piagam audit internal dan disetujui oleh komite audit
Unit audit internal tidak boleh ikut mengelola risiko untuk kepentingan manajemen
Unit audit internal harus memberikan saran, tantangan dan dorongan/dukungan atas
keputusan yang diambil manajemen dan bukan membuat keputusan pengelolaan atau
manajemen risiko itu sendiri.
Unit audit internal tidak mungkin dapat memberikan assurance yang objektif terhadap
setiap bagian dari kerangka kerja manajemen risiko dimana hal tersebut menjadi
bagian tanggung jawab dari unit audit internal.
Setiap pekerjaan atau penugasan di luar aktivitas assurance harus dikategorikan
sebagai penugasan consulting; dan oleh karenanya, penerapan standar berkaitan
dengan penugasan tersebut harus diikuti.
2. Organisasi yang belum menerapkan manajemen risiko

Dalam Practice Advisory 2100 - 4 (International Professional Practices Framework

IPPF) dinyatakan bahwa peran audit internal dalam organisasi yang belum menerapkan
proses manajemen risiko, dihubungkan dengan standar 2100 untuk standar audit internal
yang sama, dinyatakan bahwa: unit audit internal harus mengevaluasi dan memberikan
kontribusi untuk peningkatan proses manajemen risiko, pengendalian, dan governance,
yaitu dengan menggunakan pendekatan yang sistematis dan teratur.
Sebagaimana dinyatakan dalam practice advisory dimaksud, dinyatakan bahwa: auditor
internal harus membantu baik manajemen maupun komite audit, dengan melakukan,
pengujian, penilaian, pelaporan, dan pemberian rekomendasi atau saran untuk perbaikan
dan peningkatan kecukupan dan efektivitas proses manajemen risiko. Manajemen dan
board harus bertanggung jawab terhadap proses manajemen risiko dan pengendalian.
Namun demikian, auditor internal yang melakukan peran consulting dapat membantu
organisasi

dalam

mengidentifikasi,

mengevaluasi,

dan

menerapkan

metodologi

manajemen risiko dan pengendalian dalam rangka untuk mitigasi risiko.

Pengaruh Pedan Assurance Auditor Internal
Sebagaimana dinyatakan dalam standar audit internal (Performance Standar 2010) yaitu
bahwa kepala audit internal harus menyusun perencanaan audit berbasis risiko untuk
menentukan prioritas penugasan atau pekerjaan audit yang akan dilaksanakan untuk satu
tahun atau periode yang telah ditetapkan.Audit Universe meliputi seluruh komponen yang
berasal dari perencanaan strategis organisasi.
Berikut hubungan perencanaa audit tahunan dengan risiko kegiatan organisasi:

Perencanaan audit harus dirancang berdasarkan hasil assessment risiko yang

mempengaruhi pencapaian tujuan organisasi.

Perubahan dalam arah, tujuan, penekanan, dan fokus manajemen harus tercermin

terus dalam audit universe dan rencana audit yang berkaitan.

Jadwal pekerjaan audit harus didasarkan pada assessment dari risiko yang

diprioritaskan.
Pelaporan dan rekomendasi manajemen risiko dalam rangka mengurangi risiko
dan kerentanan yang terjadi.