Bab ini membahas bagaimana organisasi benar-benar menyusun aktivitas mereka untuk

menerapkan strategi mereka dan mencapai tujuan bisnis mereka (organisasi). Organisasi
menyusun kegiatan menjadi proses bisnis atau proyek. Meskipun ada beberapa proses umum di
seluruh organisasi, komposisi dan struktur yang tepat akan unik untuk setiap organisasi. Bahkan
di dalam sebuah organisasi, mungkin ada variabilitas yang cukup besar dalam proses di seluruh
area.

Apa itu proses bisnis? Ini hanyalah serangkaian aktivitas terhubung yang saling terkait untuk
mencapai tujuan. Bagan 5-2 menguraikan klasifikasi dasar kegiatan bisnis. Ada tiga jenis
aktivitas bisnis: proses operasi, proses manajemen dan dukungan, dan proyek. Meskipun bagan
ini menggambarkan mereka sebagai proses dan aktivitas yang terpisah dan berbeda, pembaca
harus mencatat bahwa mereka tidak independen satu sama lain.

Proses operasi untuk kebanyakan organisasi mencakup proses inti dimana organisasi mencapai
tujuan utamanya. Bagi perusahaan manufaktur, ini adalah proses yang melaluinya menghasilkan

1
dan menjual produk. Bagi penyedia layanan seperti perusahaan konsultan atau lembaga
keuangan, ini adalah proses yang mereka gunakan untuk memasarkan dan memberikan layanan
mereka. Entitas pemerintah seperti pemadam kebakaran kota atau organisasi nirlaba juga
memiliki proses operasi yang melaluinya mereka memberikan layanan. Begitu produk atau
layanan dirancang (proses 1 sampai 3 dalam bagan 5-2), proses operasi yang tersisa (proses 4
sampai 6) dipandang secara esensial berlanjut, berulang kali berulang kali dalam siklus bisnis.
Proses inilah yang menciptakan nilai organisasi dan menyampaikannya secara langsung kepada
pelanggan mereka.

Beberapa organisasi mungkin menggunakan metode yang berbeda untuk mengatur penciptaan
nilai aktivitas. Struktur ini, yang disebut proyek, digunakan bila aktivitas terjadi dalam jangka
waktu lama, memerlukan urutan yang kompleks, dan relatif unik karena aktivitas spesifik tidak
dilakukan terus menerus. Contoh kegiatan inti organisasi dengan cara ini adalah perusahaan
rekayasa dan konstruksi; perusahaan pertambangan, minyak, dan gas, dan kontraktor pertahanan.
Proses 13 dan 14 dalam bagan 5-2 meperlihatkan dua perbedaan jenis proyek. Proses 13 berlaku
ketika organisasi merancang dan membangun aset dan mengoperasikannya juga. Misalnya,
sebuah perusahaan minyak bumi dan kemudian mengoperasikan sumur minyak. Proses 14
berlaku ketika organisasi merancang dan membangun aset dan menyerahkannya ke organisasi
lain untuk beroperasi (misalnya, pabrik atau bangunan dibangun oleh perusahaan teknik dan
kemudian dipindahkan ke perusahaan lain untuk operasi). Perhatikan bahwa contoh-contoh ini
berhubungan dengan aset berwujud. Namun, pendekatan proyek yang sama berlaku untuk
perusahaan yang memberikan layanan. Dalam kasus ini, "aset" mungkin merupakan proposisi
intelektual atau beberapa aset tak berwujud lainnya.

Proyek juga sering digunakan di sebagian besar organisasi untuk menyusun aktivitas non-
operasional untuk dibuat bagi organisasi. Misalnya, struktur proyek akan digunakan untuk dan
menerapkan sistem akuntansi baru, implementasi awal inisiatif utama, seperti yang diwajibkan
untuk mematuhi ketentuan pengendalian internal AS. Sarbanes-oxley Act of 2002, atau
pembangunan proses produksi baru.

Proses manajemen dan dukungan adalah kegiatan yang mengawasi dan mendukung proses
penciptaan nilai inti organisasi. Sementara proses ini akan bervariasi antar organisasi, umumnya

2
diperlukan di semua industri dan dukungan, namun tidak secara langsung menciptakan, nilai
yang tercakup dalam tujuan organisasi. Proses manajemen dan dukungan mencakup hal-hal yang
digunakan untuk organisasi manusia, keuangan, informasi dan teknologi, dan sumber daya fisik
(proses 7 sampai 10). Proses dukungan semacam itu mencakup rekrutmen, akuntansi,
pengelolaan kas, penggajian, pembelian, dan lain-lain. Proses ini juga akan mencakup program
kepatuhan organisasi (proses 11). Kategori ini juga mencakup proses yang digunakan organisasi
untuk mengelola hubungan ekstemal (proses 12) seperti dengan pemasok, pelanggan, entitas
mental, dan regulator, serta hubungan dengan pasar modal dan mitra usaha dan aliansi.
Akhirnya, walaupun tidak secara khusus digambarkan dalam pameran, kegiatan yang terlibat
dalam organisasi tata kelola yang mengatur arahan stra gic organisasi dan memberikan
pengawasan terhadap organisasi sebagaimana dibahas di Bab 3, "Tata Kelola," juga dapat
dianggap sebagai proses dukungan organisasi. Contoh proses pemerintahan mencakup
perencanaan strategis, program kepatuhan dan etika organisasi. , kegiatan dewan komisaris dan
direksi, program manajemen risiko perusahaan, dan berbagai aktivitas monitoring dan assurance.

Gambar 5-2 mengilustrasikan proses bisnis dari perspektif tingkat tinggi. Masing-masing 14
jenis klasifikasi ini juga dapat digambarkan sebagai seperangkat aktivitas yang lebih rahasia.
Exhibit 5-3 mengilustrasikan hal ini. Misalnya, sebuah organisasi ritel dapat menggambarkan
proses penjualan secara umum pada tingkat tertinggi untuk proses 4, 5, dan 6 Jenis penjualan
tertentu mungkin merupakan penjualan eceran, yang mencakup proses dimana pelanggan
memilih barang, membayar barang dengan uang tunai atau sebuah janji untuk membayar, dan
atau atas kepemilikan barang. Karena penjualan eceran dapat dilakukan di toko yang lebih rinci
dapat dirancang untuk aktivitas unik tersebut. Tingkat detail yang digunakan untuk
menggambarkan proses ini akan bervariasi tergantung tingkat dokumentasi yang diinginkan. Jika
ikhtisar diinginkan, tingkat ict yang ditunjukkan pada bagian atas pameran 5-3 adalah ufficient.1f
rinci diperlukan, contoh menengah atau bawah yang ditunjukkan pada pameran 5-3 mungkin
lebih sesuai. Dalam beberapa kasus, subproses dapat ditunjukkan pada tingkat yang lebih rinci
daripada yang ditunjukkan pada pameran 53. Misalnya, proses "menyimpan iale memasukkan
informasi ke dalam kasir dapat melibatkan sejumlah subproses seperti memperbarui jumlah
inventaris, mencatat pendapatan penjualan, dan membuka laci uang. Pendekatan terperinci dan
terperinci dapat bermanfaat bagi auditor internal, seperti yang dibahas pada bagian selanjutnya.

3
Memahami Proses Bisnis

Bagi auditor internal untuk menambah nilai dan memperbaiki operasi organisasi, pahami model
bisnis organisasi. Model bisnis mencakup tujuan organisasi dan bagaimana proses bisnisnya
disusun untuk mencapai tujuan ini. Model ini didefinisikan oleh visi, misi, dan nilai organisasi,
serta serangkaian batasan untuk produk atau layanan organisasi yang akan disampaikannya, yang
sesuai dengan pasar yang akan ditargetkannya, dan saluran pasokan dan pengiriman apa yang
akan digunakannya. Sementara model bisnis mencakup strategi tingkat tinggi dan arahan taktis
untuk bagaimana organisasi akan menerapkan model ini, namun juga mencakup sasaran tahunan
yang menetapkan langkah-langkah spesifik yang ingin dilakukan organisasi di tahun depan dan
langkah-langkah untuk pencapaian yang diharapkan. Masing-masing ini kemungkinan
merupakan bagian dari dokumentasi internal yang tersedia bagi auditor internal. Bagi perusahaan
publik, sumber eksternal dari informasi ini juga tersedia. Misalnya, pengajuan peraturan di
Amerika Serikat, seperti pengajuan Formulir 10-K dengan Securities and Exchange Commission
(SEC) AS, mencakup informasi mengenai tujuan dan risiko utama. Selain itu, laporan analis
mungkin berisi perspektif eksternal mengenai strategi organisasi. sementara visi, misi, nilai, dan
tujuan organisasi relatif stabil Dari tahun ke tahun, fungsi audit internal masih harus secara
berkala memperbarui pemahamannya tentang strategi organisasi. Biasanya, akan dilakukan
setiap tahun saat meninjau tujuan tahunan organisasi dan manajemen eksekutif.

Terdapat dua pendekatan umum yang dapat membantu dalam memahami proses bisnis dan peran
mereka dalam model bisnis yaitu pendekatan top-down dan pendekatan bottom-up. Dalam
pendekatan top-down, seseorang mulai di pansus organisasi. sesuai dengan tujuan organisasi, dan
kemudian mengidentifikasi proses utama yang penting bagi keberhasilan setiap tujuan tersebut
Suatu proses dianggap kunci relatif terhadap tujuan spesifik jika kegagalan proses untuk
berfungsi secara efektif akan mengakibatkan organisasi secara langsung tidak melemahkan
objektif. Misalnya, jika tujuan spesifik adalah untuk meningkatkan nilai pemegang saham
dengan secara konsisten memberikan pertumbuhan dalam operasi eamings (secara historis, 12
persen per tahun), maka-mengacu pada proses tingkat tinggi, 2, proses 3, 4, dan 5 dapat
dilakukan. kunci, sedangkan beberapa proses pendukung, seperti proses 8, mengelola sumber
keuangan, mungkin tidak. Penting untuk dicatat bahwa, sementara proses mungkin bukan kunci
untuk satu tujuan tertentu, namun mungkin kunci untuk yang lain. Jadi, pada contoh di atas,

4
sementara proses klausa bulanan mungkin tidak menjadi proses kunci bagi pertumbuhan
pendapatan, semoga proses kunci untuk tujuan organisasi seperti "menyediakan proses keuangan
yang andal dan tepat waktu diidentifikasi, mereka dianalisis dalam informasi lebih lanjut."
Setelah detail kunci, proses pemecah menjadi subproses, dan akhirnya mencapai tingkat
aktivitas. Pendekatan ini efektif karena menghasilkan serangkaian proses kritis yang dapat diatur.
Hal ini biasanya dilakukan oleh tim individu dengan perspektif yang luas namun tidak dengan
pengetahuan terperinci masing-masing daerah. Akibatnya, ada potensi untuk mengabaikan
proses yang pada akhirnya terbukti kritis namun diabaikan dalam pendekatan top-down.

Pendekatan bottom-up dimulai dengan melihat semua proses pada tingkat aktivitas. Pendekatan
semacam itu mengharuskan setiap area organisasi untuk mengidentifikasi dan
mendokumentasikan proses bisnis di mana mereka terlibat. Hal ini dilakukan oleh orang-orang di
daerah yang bertanggung jawab atas kegiatan yang sebenarnya. Proses yang teridentifikasi ini
kemudian dikumpulkan di seluruh organisasi. Meskipun pendekatan ini bekerja dengan baik
untuk organisasi yang lebih kecil dengan jumlah proses yang relatif terbatas, namun hal ini
kurang efektif dalam organisasi yang besar dan kompleks karena sangat merepotkan untuk
mempersonalisasi signifikansi setiap proses relatif terhadap yang lain.

Setelah proses diidentifikasi, langkah selanjutnya dalam pendekatan top-down atau bottom-up
adalah menentukan tujuan utama proses. Menentukan tujuan utama melibatkan mendapatkan
jawaban atas pertanyaan seperti:

1. Mengapa proses itu ada

2. Bagaimana proses mendukung strategi organisasi dan berkontribusi terhadap
keberhasilannya
3. Bagaimana orang diharapkan untuk bertindak?
4. Proses apa lagi yang dilakukannya yang penting bagi manajemen?
Bagi auditor internal, atau seseorang yang tidak terlibat langsung dalam prosesnya, sumber
informasi pertama adalah pemilik proses dan dokumentasi kebijakan dan kebijakan yang ada
untuk proses tersebut. Idealnya, pemilik proses telah menetapkan tujuan proses formal yang
memberikan jawaban atas empat pertanyaan di atas. Jika tidak, internal perlu bekerja sama
dengan orang-orang penting yang terlibat dalam proses memperoleh informasi yang diperlukan.

5
Begitu tujuan proses dipahami, langkah selanjutnya adalah memahami masukan terhadap proses,
aktivitas spesifik yang diperlukan untuk mencapai tujuan proses, dan proses keluaran . Untuk
memahami bagaimana input dan aktivitas menghasilkan output, dokumen yang ada harus
ditinjau ulang. Dokumen semacam itu dapat mencakup, misalnya:
1. Mengolah manual prosedural.
2. Kebijakan terkait proses.
3. Deskripsi pekerjaan orang yang terlibat dalam proses.
4. Proses peta yang menggambarkan alur proses.

PROSES BISNIS DOKUMEN

Dokumentasi proses bisnis diperlukan. Biasanya, hal itu harus dilakukan oleh pemilik proses dan
orang-orang yang terlibat dalam proses tersebut. Namun, ada beberapa kasus bila bukan karena
permintaan harian pekerjaan mereka atau karena mereka tidak melihat nilai dokumentasi formal.
Meskipun tidak menyelesaikan dokumentasi proses mungkin hanya memiliki sedikit
konsekuensi langsung, seiring berjalannya waktu dan pihak-pihak yang terlibat dalam proses
pindah ke posisi lain atau meninggalkan organisasi, tujuan proses dapat hilang atau terdistorsi.
Dokumentasi proses dapat sangat efektif dalam (1) mengorientasikan personil baru, (2)
menentukan bidang tanggung jawab, (3) mengevaluasi efisiensi proses, (4) menentukan bidang
perhatian utama, dan (5) mengidentifikasi risiko dan kontrol utama. Auditor internal juga harus
mendokumentasikan pemahaman mereka untuk mendukung keseluruhan penilaian risiko dan
kontrol mereka dalam organisasi dan dalam keterlibatan assurance tertentu yang mereka lakukan
pada proses tersebut. Dua metode yang umum digunakan untuk mendokumentasikan proses
adalah peta proses dan narasi proses. Peta proses menjadi tingkat tinggi atau pada tingkat
aktivitas rinci dan melibatkan representasi bergambar masukan, langkah, alur kerja, dan
keluaran. Peta proses juga dapat mencakup beberapa narasi yang menyertainya. Peta proses
tingkat tinggi mencoba untuk menggambarkan masukan, aktivitas, alur kerja, dan interaksi yang
luas dengan proses dan keluaran lainnya. Mereka menyediakan kerangka keseluruhan untuk
memahami aktivitas dan subproses yang terperinci. Tujuan dalam peta proses tingkat tinggi
adalah tetap sederhana dan fokus pada hutan daripada pepohonan.

6
Bagan 5-4 memberikan contoh peta proce tingkat tinggi untuk sampai ke kelas 8:00 pagi besok
tepat waktu. Tidak ada standar mutlak mengenai format simbol untuk pemetaan proses,
walaupun fungsi audit internal dan perusahaan layanan profesional biasanya berusaha untuk
konsistensi. Bagan 5-5 menyajikan simbol dasar dengan tipikal makna. Peta proses biasanya
terstruktur sehingga urutan aktivitas berjalan dari kiri ke kanan, seperti pada pameran 5-4, atau
dari atas ke bawah. Bagan 5-6 menyajikan peta proses tingkat terperinci untuk sampai ke kelas
pukul 08:00:00 tepat pada waktunya. Proses tingkat tinggi pada pameran 5-4 dipecah untuk
mencerminkan aktivitas atau subproses tertentu. Narasi sering disertakan bersama dengan peta
proses untuk menjelaskan aktivitas secara lebih rinci. Bagan 5-6 mengilustrasikan bagaimana
narasi mendukung peta proses. Dalam kasus ini, narasi tersebut memberikan rincian lebih lanjut
tentang aktivitas tersebut tetapi juga mencakup deskripsi kontrol.

BUSINESS RISKS

Begitu auditor internal memperoleh pemahaman tentang objetives organisasi dan proses utama
yang digunakan untuk mencapai tujuan tersebut, langkah selanjutnya adalah mengevaluasi risiko
bisnis yang dapat menghambat pencapaian kemampuan eksekutif audit kepala eksekutif dan
manajemen audit internal untuk mendapatkan. Pemahaman menyeluruh tentang risiko bisnis
organisasi akan menentukan sejauh mana fungsi audit internal akan dapat memenuhi misinya dan
memberi nilai tambah kepada organisasi, sangat membantu untuk mengembangkan keseluruhan
profil risiko organisasi yang mengidentifikasi risiko kritis terhadap pencapaian setiap tujuan
strategis. Untuk semakin banyaknya organisasi yang menerapkan manajemen risiko perusahaan
(ERM), profil risiko secara keseluruhan dapat dikembangkan oleh manajemen. Dalam kasus ini,

7
setiap fungsi audit internal dapat membangun penilaian risikonya dari profil risiko organisasi,
namun jika profil semacam itu tidak ada maka fungsi audit internal perlu membuat profil sebagai
titik awal perencanaan audit tahunannya.

Exhibit 5-5

Common Process Mapping Symbols

Exhibit 5-6

Detailed Level Process Map

8
Ada sejumlah alat dan metodologi yang berbeda untuk membantu pengembangan profil risiko.
Bab ini hanya membahas satu set kecil saja. Perhatikan juga bahwa terlepas dari serangkaian
penilaian risiko organisasi tetap merupakan proses yang sangat subjektif yang memerlukan
pengalaman dan penilaian yang masuk akal.

Pendekatan yang sama mungkin dimulai dengan melakukan sesi brainstorming dengan
manajemen senior atau jika tidak tersedia dengan anggota fungsi audit internal. Kelompok ini
mungkin memulai dengan model risiko generik yang menggambarkan kategori dan jenis risiko
yang mungkin dihadapi oleh sebuah organisasi model risiko tersebut disajikan pada exhibit 5.7.
Dalam contoh ini, potensi risiko dipecah menjadi empat kategori yang sesuai dengan komite
sponsor.

9
Exhibit 5-7

Basic Business Risk Model

Berbagai risiko kemudian dinilai dalam hal dampak dan kemungkinan. Efek buruk dari hasil
risiko biasanya dinilai dalam 3 kategori (tinggi, sedang, dan rendah) atau 5 kategori yang
digunakan. Model 5 kategori disajikan pada exhibit 5.8. Menetapkan batasan untuk setiap
kategori yang berguna untuk mengumpulkan masukan dari banyak orang. Dalam model ini, batas
dampak ditentukan berdasarkan nilai dolar dan dampaknya pada sasaran bisnis. Namun,
beberapa organisasi menetapkan batasan untuk tindakan lain juga.

10
Exhibit 5-8

Risk Assessment Model

Kemungkinan dapat dievaluasi dengan menilai kemungkinan atau probabilitas dari dampak
risiko yang terjadi. Namun, mengingat sifat subjektif dari penilaian ini kebanyakan manajer dan
auditor internal lebih nyaman mengekspresikan kemungkinan dalam kategori yang kurang tepat.
Sekali lagi, skala 3 kategori atau 5 kategori sering digunakan. Seperti dampaknya, hal ini
membantu menentukan batas kategori. Hal ini biasanya dilakukan dalam kisaran probabilitas
atau rentang probabilitas tertentu (seperti pada skala 8 di exhibit 5.8).

Menggunakan model penilaian risiko pada exhibit 5.8, berbagai risiko dari dasar model risiko
bisnis (exhibit 5.7) dapat ditempatkan pada matriks. Seringkali, ini dilakukan dalam sesi
kelompok yang melibatkan manajemen senior atau jika tersedia tingkat manajemen lainnya dan
individu yang lebih berpengalaman. Fungsi audit internal, manajemen senior dan manajemen
operasi lebih diutamakan karena mereka memiliki pemahaman terbaik tentang risiko di bidang
tanggung jawab mereka.

Bagan 5.8 menunjukkan matriks dipecah menjadi 25 kotak. Dalam model ini, kotak 20 sampai
25 mewakili risiko kritis, dan kotak 16 sampai 19 dinyatakan tinggi. Risiko ini menghadirkan
tantangan paling serius untuk memenuhi tujuan organisasi. Kotak 7 sampai 15 adalah risiko
sedang dan kotak 1 sampai 6 adalah risiko rendah.

11
Exhibit 5-9

Identification Of Critical Risks

Exhibit 5-10

Objectives and Critical Risk Matrix

12
Exhibit 5.9 menyajikan pemetaan model risiko terhadap matriks penilaian risiko untuk
perusahaan jasa keuangan online. Empat risiko yang diidentifikasi sebagai kritis muncul di kotak
21 dan 22. Risiko di kotak 18 dan 19 dianggap tinggi dan tergantung pada berapa banyak
sasaran.

Langkah selanjutnya adalah secara formal menghubungkan risiko yang teridentifikasi dengan
tujuan spesifik bahwa setiap risiko dapat mengganggu, ini membantu memastikan bahwa semua
risiko utama dan dampak kelas telah diidentifikasi. Beberapa tujuan strategis yang spesifik dapat
dikembangkan untuk mencapai misi ini:

1. Menghadiri semua kelas

2. Tepat waktu pada setiap kelas
3. Melakukan penugasan sebelum kelas dibahas
4. Melengkapi semua tugas tepat waktu
5. Mendapat nilai B+ atau lebih pada semua ujian

13
Jenis analisis yang dilakukan untuk mendapatkan pengetahuan dan keterampilan yang
dibutuhkan agar sukses dalam posisi audit internal entry-level dan tujuan yang diperlukan dapat
diterapkan pada organisasi juga.

MAPPING RISKS TO THE BUSINESS PROCESSES

Langkah selanjutnya adalah mengembangkan respon yang tepat terhadap semua risiko. Ada
empat tanggapan yang dapat diambil oleh sebuah organisasi, yaitu:

 Penghindaran, keputusan dibuat untuk keluar atau divestasi kegiatan sehingga

menimbulkan risiko.
 Pengurangan, tindakan diambil untuk mengurangi dampak risiko, kemungkinan, atau
keduanya. Ini melibatkan segudang keputusan bisnis sehari-hari seperti menerapkan
kontrol.
 Berbagi, dampak atau kemungkinan risiko dikurangi dengan mentransfer atau membagi
sebagian risiko. Teknik umum meliputi pembelian produk asuransi, terlibat dalam
transaksi lindung nilai, atau melakukan outsourcing aktivitas.
 Penerimaan, tidak ada tindakan yang diambil untuk mempengaruhi dampak atau
kemungkinan risiko, organisasi bersedia menerima risiko pada tingkat saat ini, alih-alih
menerapkan salah satu respon risiko lainnya sebagai pilihan sumber daya berharga.
Untuk memilih strategi respon yang tepat secara efektif, pemahaman tentang bagaimana risiko
berhubungan dengan proses bisnis organisasi diperlukan. Pengawas internal juga harus
menetapkan hubungan antara risiko dan proses bisnis untuk menentukan apakah risiko dikelola
sesuai tingkat di dalam strategi respon manajemen dan untuk mengidentifikasi risiko.

Standar IIA 2010: perencanaan secara eksplisit mengharuskan CAE untuk “menetapkan rencana
berbasis risiko untuk menentukan prioritas kegiatan audit internal, sesuai dengan tujuan
organisasi.”

14
Exhibit 5-11

Risks By Process Matrix

Cara efektif untuk menggambarkan bagaimana proses menghubungkan dengan risiko yang
mendasarinya adalah menciptakan risiko dengan matriks proses (serupa dengan matriks yang
ditunjukkan pada exhibit 5.10, yang menghubungkan tujuan dengan risiko kritis). Risiko
tercantum di sepanjang bagian atas matriks, dan proses dicatat di samping. Bagan 5.11
mengilustrasikan matriks ini adalah model risiko bisnis. Biasanya ini akan menjadi 30 sampai 70
risiko.

Tautan sekunder adalah hubungan yang membantu pengelolaan risiko secara tidak langsung.
pada contoh di atas, risiko kritis 3 akan dinilai link, sementara risiko kritis hanya dapat dianggap
sebagai link sekunder. Bila tautan dilihat di sebagian risiko, harus ada satu atau dua proses
(paling banyak tiga) memiliki tautan dan jumlah proses tambahan yang diidentifikasi memiliki
tautan sekunder. Setelah risiko dengan proses matriks selesai, dapat digunakan oleh fungsi audit
untuk menentukan keterlibatan mana yang harus disertakan dalam rencana audit tahunan fungsi
tersebut.

Langkah pertama adalah menghitung jumlah tautan utama dan sekunder untuk setiap proses.
Jumlah dan sifat hubungan antara risiko dan proses akan mencakup jenis audit yang mungkin
diperlukan. Untuk sebuah proses yang memiliki beberapa risiko, kandidat yang baik untuk proses
risiko memiliki hubungan penting dengan anak perusahaan, mungkin lebih tepat untuk
melakukan audit terhadap semua proses pendahuluan seperti itu yang menyediakan keseluruhan.

15
EXHIBIT 5-12.

PENDEKATAN FAKTOR RISIKO

DESKRIPSI FAKTOR, BOBOT DAN SKOR

X
skor (1-
Faktor Resiko Deskripsi Bera Skor Berat
3)
t

faktor Eksternal

 Kurang dari $ 500.000

 Dari $ 500.000 sampai %
miliar 10
1. Aset beresiko  Lebih besar dari $ 5 miliar
 Unit operasi / pelanggan
langsung
 Unit pelanggan Divisi /
tiruan 10
2. Visibilitas  Organisasi / pers nasional
 Proses sederhana dan
rutin membuat proses
 Memerlukan beberapa
langkah dan interaksi
beberapa orang
 Beberapa langkah
memerlukan koordinasi
beberaoa individu baik
dalam proses maupun 10
3. Kompleksitas lainnya
 Proses mempengaruhi
kurang dari 3% aktivitas
organisasi
 Proses mempengaruhi 3%
sampai 15% aktivitas
organisasi
 Proses mempengaruhi
4. Ukuran lebih dari 15% akivitas 10
proses/operasi organisasi
 beberapa persyaratan
atau umumnya tidak
diatur
 beberapa persyaratan
5. hukum/peraturan/ hukum, peraturan, dan 10
Persyaratan eksternal eksternal

16
  jumlah dan kompleksitas
persyaratan yang
signifikan
Faktor Internal

 System pengendalian
risiko dan pengendalian
yang matang
 System pengendalian
risiko dan pengendalian
yang stabil dengan
perubahan sedang
 Perubahan signifikan
6. kestabilan pada system risiko dan 5
pengendalian internal pengendalian
 Tidak ada masalah
pengendalian internal
atau kompabilitas dalam
dua tahun terakhir
 Contoh kecurangan,
kelemahan pengendalian
internal, atau kegagalan
kepatuhan, namun tidak
ada yang signifikan dalam
dua tahun terkahir
 Kecurangan yang
signifikan kelemahan
pengendalian internal,
atau kegagalan
7. Keefektifan kepatuhan dalam dua 10
pengendalian internal tahun terakhir.
 Tidak ada perubahan
signifikan dalam 12 bulan
terakhir
 Beberapa perubahan
dalam proses atau
personil kunci dalam 12
8. Perubahan operasi, bulan terakhir
proses , personil, atau  Perubaha besar dalam
teknologi yang bisnis dan proses atau
signifikan factor system TI baru dalam 12 15
factor lain bulan terakhir
Faktor Lainnya

 Tidak ada kekhawatiran

9. Kepengurusan yang dungkapkan 10
manajemen  Beberapa kekhawatiran

17
 yang diungkapkan oleh
manahemen senior
 Masalah pentng yang
diungkapkan oleh
manajemen senior atau
dewan direksi
 Tidak ada masalah
pengendalian internal
dan kepatuhan dalam
audit terakhir
 Masalah pengendalian
internal dan kepatuhan
dalam audit terakhir
 Kelemahan pengendalian
internal atau kepatuhan
10. Hasil audit yang signifikan dalam 10
sebelumnya audit terakhir

EXHIBIT 5-13

PENDEKATAN FAKTOR RISIKO

18
PROSES BISNIS DAN RISIKO DALAM KETERLIBATAN JAMINAN

Pendekatan untuk mengidentifikasi proses bisnis dan risiko yang dibahas sampai saat ini juga
berlaku pada tingkat keterlibatan. Ingat contoh yang disajikan di awal bab ini (figur 5-10) - misi
untuk mendapatkan pengetahuan dan keterampilan yang diperlukan agar sukses dalam memasuki
posisi audit internal dan lima tujuan yang ditetapkan untuk mewujudkan misi ini. Misalkan orang
tua murid menginginkan kepastian bahwa misi dan tujuan akan tercapai dan meminta saudara
yang lebih tua, baru saja lulus dan bekerja sebagai auditor internal untuk mengunjungi siswa
tersebut dan melakukan audit internal. Ini diawali dengan siswa dan turun dan daftar sejumlah
kegiatan dan proses yang dilakukan siswa untuk mencapai misi :

1. Belajar untuk ujian.

2. Membaca materi yang ditugaskan.
3. Melengkapi tugas dan proyek kelas.
4. Makan makanan.
5. Membayar biaya kuliah dan bukit lainnya.
6. Mendengarkan dan mencatat di kelas.
7. memilih dan mendaftar untuk kelas yang sesuai
8. melakukan
9. Membersihkan apartemen.
10. Sampai ke kelas pertama hari itu tepat waktu

Proses 10, sampai ke kelas pertama hari itu tepat waktu, akan menjadi fokus dari serangkaian
contoh ini. Auditor internal memulai dengan pertanyaan tentang bagaimana persiapan untuk hari
berikutnya dilakukan dan bangun di pagi hari dan pergi ke kelas. Siswa tersebut menjelaskan
bahwa, meskipun kelas hanya diadakan pada hari Senin, Rabu, dan Jumat di semester ini, kelas
pertama mulai pada pukul 8:00 m. Setelah menjawab pertanyaan di atas. sebuah peta proses dan
menanyakan apakah ia mengetahui informasi yang dia berikan. Siswa tersebut menyarankan
beberapa perubahan, menghasilkan tidur siang yang ditunjukkan pada (figur 5.6) .

19
Langkah selanjutnya merupakan mengidentifikasi dan mengevaluasi resiko yang spesifik
terhadap setiap aktifitas atau subproses dalam proses penting. Auditor internal melakukan hal ini
dengan cara menempatkan setiap aktifitass pada matriks dan membuat daftar deskripsi atau
penjelasan dari setiap resiko. Setiap pernyataan resiko menggambarkan suatu kejadian yang
mungkin berdampak negatif yang mempengaruhi aktifitas atau kemampuan subproses dalam
mencapai tujuannya. Kemudian dampak potensial dari kejadian itu diidentifikasi dan di evaluasi
menurut tingkat keseriusannya.Pada akhirnya, kemungkinan-kemungkinan kejadian tersebut
dapat diukur/dinilai.

Setelah resiko yang spesifik telah diidentifikasi, langkah selanjutnya yaitu menentukan
bagaimana resiko-resiko tersebut dimanaje dan jika tanggapannya adalah efektif dalam
mengurangi resiko ke tingkat yang dapat diterima.Seperti yang diketahui tingkatan resiko pada
umumnya ada empat yaitu, menghindari resiko, mengurangi resiko, share, dan dapat diterima. Di
dalam proses, seringkali tanggapan terhadap beberapa resiko yang spesifik yaitu
menerima/mengambil resiko tersebut atau mencoba untuk mengurangi resiko melalui
pengendalian.

Langkah selanjutnya adalah risiko ini dikelola dan jika responsnya efektif dalam mengurangi
mereka ke tingkat yang dapat diterima. Seperti yang telah disebutkan sebelumnya, ada empat
tanggapan umum: hindari mengunyah, berbagi, dan menerima, dalam proses, seringkali
responnya terhadap dia untuk menerima risiko atau usaha mengatasinya melalui diskusi spesifik
adalah topik yang dibahas.

Setelah strategi respon telah ditentukan, dan sebelum dan berisiko setelah diuji efektivitasnya,
ikhtisar strategi respons Strategi dapat diperoleh dengan membuat peta kendali risiko, yang
berisiko signifikan (dalam contoh ini, dampak dan kemungkinan digabungkan menciptakan
signifikansi rendah, sedang, dan kritis) terhadap efektivitas pengendalian. Hal ini diilustrasikan
dalam pameran 5-16 dengan menggunakan risiko spesifik dari pameran 5-14 untuk proses 10
(sampai ke kelas pertama pada hari ke hari). Peta kontrol risiko menunjukkan adanya
keseimbangan antara risiko dan pengendalian; bahwa kita, kontrol yang lebih efektif atas risiko
kritis (dampak tinggi dan kemungkinan) dari pada risiko rendah (dampak rendah dan kesempatan
terjadinya rendah).

20
 EXHIBIT 5- 14

Aktivitas atau subproses Dampak Kemungkinan Teknik untuk menilai

Pernyataan risiko Dampak Potensial
dalam proses kunci Rating rating Respon Risiko efektivitas
1. Lupa Untuk mengemasi Tugas hilangnya poin untuk
-
persiapan ransel untuk besok pekerjaan rumah terlambat kerja medium medium menerima
tidak dapat menerima selalu menjaga hp telepon untuk menguji
2. Lupa untuk menaruh hp atau membuat panggilan rendah tinggi di ransel lokasi
terlambat karena
3. Lupa mematikan dan membawa tertunda dengan -
laptop shutdown rendah medium menerima
nyalakan alarm di tanya dan amati untuk
melompati dan
pagi hari saat mengetahui apakah ini
melewatkan kelas
pasang alarm jam 6 pagi 4. Lupa menyalakan alarm tinggi tinggi bangun sedang dilakukan
melompati dan
mengamati
5. Tidur terlalu maalam melewatkan kelas tinggi rendah
Tidur lebih awal 6. Tidak dapat tidur lelah keesokan harinya medium rendah menerima -
7. Terlambat untuk tidur lelah keesokan harinya medium medium menerima -
selidiki untuk melihat
8. mematikan alarm dan tidur terlambat ke kelas letakan alarm di apakah ada alarm yang
Tidur / Bangun kembali tinggi medium kamar menyilang ruagan
9. menunda alarm berulang kali terlambat ke kelas tinggi rendah alarm kedua mengamati

21
EXHIBIT 5-15

PETA RISIKO SEBAGIAN SELESAI UNTUK PROSES 10:

SAMPAI KELAS 8.00 PAGI TEPAT WAKTU

Risiko yang jatuh diantara dua garis putus putus 4, 3, dan 6 terbukti seimbang. Diatas dan dikiri
garis putus putus pada (risiko 7), hubungan troll /risiko tidak tepat diimbangi strategi respon
yang tidak tepat untuk mengurangi risiko. Disisi lain, dibawah dan di kanan garis putus putus
adalah sejumlah risiko yang mungkin terlalu dikuasai (5, 9, dan 2). Mereka mewakili situasi
dimana efisiensi dapat diperoleh dengan mengurangi sumber daya yang dikhususkan untuk
control terkait.

PROSES BISNIS OUTSOURCING

Sebelum menyelesaikan pembahasan proses bisnis dan risiko, penting untuk mendiskusikan
situasi di mana proses tersebut tidak dilaksanakan oleh karyawan organisasi. Dalam upaya untuk
merampingkan operasi dan mengurangi biaya, banyak organisasi meningkatkan tingkat di mana
mereka melakukan outsourcing proses bisnis tertentu. Karena proses ini memainkan peran

22
penting dalam membantu organisasi mencapai obiktif mereka, proses yang kami lakukan harus
terkonsolidasi dalam penilaian risiko organisasi dan audit internal tidak beralasan.

EXHIBIT 5 – 16

PETA KENDALI RISIKO SEBAGIAN SELESAI UNTUK PROSES 10: SAMAPI KELAS 8
PAGI TEPAT WAKTU

Proses bisnis outsourcing (Business Process Outsourcing) adalah keputusan dalam mentransfer
beberapa proses bisnis organisasi ke penyedia di luar organisasi untuk memenuhi pengurangan
biaya sementara meningkatkan kualitass dan efisiensi layanan. Karena proses ini berulang dan
menggunakan kontrak jangka panjang, outsourcing digunakan jauh melampaui penggunaan
sebagai konsultan. Secara historis, daftar biaya gaji bagian Information Technology (IT)
merupakan salah satu contoh proses bisnis yang utama dalam outsourcing. Namun, tren

23
kebutuhan outsourcing meningkat yang diantaranya meliputi sumber daya manusia, insinyur,
pelayanan pelanggan, keuangan dan akuntansi, dan logistik dimana organisasi mencari cara
dalam mengurangi biaya-biaya.

Meskipun fungsi dapat di outsource, mengkritisi bahwa manajemen dan fungsi audit internal
memastikan system pengendalia internal yang memadai dengan vendor outsource. Dalam banyak
kasus, system pengendalian internal menjadi lebih baik dan lebih efisien dari pada jika prosesnya
dipelihara secara internal. Namun, ada risiko baru, terutama yang dihadapi dalam fase tranferensi
baik fungsi bisnis outsourcing atay dikelola secara internal . Berikut ini beberapa daftar praktik
yang direkomendasikan bahwa organisasi harus memenuhinya agar manajemen resiko yang
efektif dan pengendalian terhadap resiko proses bisnis:

1. Mendokumentasi proses outsourcing dan menunjukkan pengendalian utama yang telah di

outsourcing.
2. Memastikan adagia arti atau maksud dari pemantauan terhadap efektifitas proses
outsourcing.
3. Memiliki keyakinan terhadap pengendalian internal tertanam di dalam proses outsourcing
berjalan secara efektif, baik melalui audit internal seperti pengendalian atau ulasan
eksternal mengenai pengendalian tersebut (contoh, laporan SAS 70 di Amerika Serikat).
4. Mengevaluasi secara berkala terhadap kasus proses bisnis outsourcing tetap valid.

EXHIBIT 5-17

10 PELUANG UNTUK FUNGSI AUDIT INTERNAL UNTUK MENYEDIAKAN DIRI

YANG BERKAITAN DENGAN ANALISIS PROSES BISNIS DAN RISIKO BISNIS

1. Identifikasi area dimana pengendali yang terlalu terkendali dan pengendaliannya

dikurangi sehingga lebih disukai
2. Identifikasi risiko spesifik dalam proses yang memerlukan control tambahan dimana
control dapat dilakukan dengan lebih efektif
3. Tentukan daerah dimana indikator kinerja dapat diimplementasikan atau ditingkatkan
untuk meningkatkan pengawasan manajemen terhadap proses bisnis.
4. Membantu manajemen menilai strategi proses bisnis outsourcing secara periodic

24
 5. Memberikan manajemen dengan insight pada control dan operasi seputar proses alih daya
Bersama dengan penilaian vendor selama due diligence
6. Memfasilitasi diskusi seputar kegiatan pemetaan ERM dan assurance untuk memperbaiki
pemahaman organisasi tentang proses dan risiko bisnis utama dan bagaimana mereka
menyesuaikan diri dengan berbagai alat yang digunakan oleh manajemen.
7. Menasihati manajemen selama perampingan dan penyelarasan yang signifikan mengenai
proses bisnis utama impadio terkait dengan risiko, kontrol, dan efisiensi
8. Mengevaluasi peluang penggunaan teknologi untuk meningkatkan efisiensi dan
pengendalian proses bisnis.
9. Tentukan peluang untuk menerapkan analisis data dengan mendapatkan pemahaman
yang lebih baik tentang semua proses bisnis utama dan di mana penggunaannya dapat
paling berdampak
10. Review organisasi lain di industri yang sama untuk menentukan praktik terbaik dalam
kinerja kegiatan bisnis

PELUANG UNTUK MENYEDIAKAN INSIGHT

Proses dan kemampuan staf audit internal dalam menganalisis risiko terkait bisnis memberikan
fungsi audit internal kesempatan untuk menambahkan nilai signifikan bagi organisasi melalui
wawasan yang dapat diberikan pekerjaan mereka kepada manajemen di tingkat operasional dan
eksekutif. Kesempatan untuk menerapkan keterampilan ini mungkin datang sebagai hasil kerja
yang dilakukan untuk memberikan kepastian mengenai manajemen risiko dan pengendalian
internal dalam rangka pelaksanaan pertarungan tradisional atau dalam perikatan khusus seperti
inisiatif rekayasa ulang proses bisnis, studi outsourcing shaving, due review diligence dalam
merger dan akuisisi, atau review sistem pra-implementasi. Exhibit 5-17 menggambarkan 10
peluang fungsi audit internal untuk memberikan wawasan mengenai proses bisnis dan risikonya.

25