5-8 DOKUMEN PROSES BISNIS

Dokumentasi proses bisnis diperlukan. Biasanya, itu harus dilakukan oleh pemilik proses dan
orang-orang yang terlibat dalam proses tersebut. Namun, ada beberapa contoh ketika itu
tidak terjadi karena tuntutan pekerjaan harian mereka atau karena mereka tidak melihat
nilai dokumentasi formal. Walaupun tidak menyelesaikan dokumentasi proses mungkin
memiliki konsekuensi langsung yang kecil, karena waktu dan mereka yang terlibat dalam
proses pindah ke posisi lain atau meninggalkan organisasi, tujuan dari proses tersebut
mungkin hilang atau terdistorsi. Dokumentasi proses bisa sangat efektif dalam (1)
mengarahkan personel baru, (2) mendefinisikan bidang tanggung jawab, (3) mengevaluasi
efisiensi proses, (4) menentukan bidang yang menjadi perhatian utama, dan (5)
mengidentifikasi risiko dan kontrol utama. Auditor internal juga harus mendokumentasikan
pemahaman mereka untuk mendukung penilaian keseluruhan risiko dan kontrol dalam
organisasi dan dalam keterlibatan jaminan spesifik yang mereka lakukan pada proses
Dua metode yang biasa digunakan untuk mendokumentasikan proses adalah peta proses dan
proses narasi. Peta proses mungkin tingkat tinggi atau pada tingkat kegiatan yang terinci dan
melibatkan representasi gambar dari input, langkah, alur kerja, dan output. Peta proses juga
dapat mencakup beberapa narasi yang menyertainya
Peta proses tingkat tinggi berupaya menggambarkan input luas, aktivitas, alur kerja, dan
interaksi dengan proses dan output lainnya. Mereka memberikan kerangka kerja keseluruhan
untuk memahami kegiatan dan subproses terperinci. Tujuan dalam peta proses tingkat tinggi
adalah untuk membuatnya sederhana dan fokus pada hutan daripada pohon. Bukti 54
memberikan contoh peta proses tingkat tinggi untuk sampai jam 8:00 pagi besok, tepat
waktu
Tidak ada standar absolut mengenai format dan simbol untuk pemetaan proses, meskipun
fungsi audit internal dan perusahaan jasa profesional biasanya berusaha untuk konsistensi.
Bukti S-5 menyajikan simbol dasar dengan makna yang khas. Peta proses biasanya terstruktur
sehingga urutan kegiatan berjalan dari kiri ke kanan, seperti pada pameran 54, dari atas ke
bawah.
Gambar 5-6 menyajikan peta proses tingkat-ganda untuk sampai besok pukul 8.00 pagi, tepat
waktu. Proses tingkat tinggi dalam tampilan 5-4 dipecah untuk mencerminkan kegiatan atau
subproses spesifik. Narasi sering disertakan bersama dengan peta proses untuk menjelaskan
kegiatan secara lebih rinci. Eshibit 5-6 menggambarkan bagaimana narasi mendukung peta
proses. Dalam kasus ini, narasi memberikan detail lebih lanjut tentang aktivitas tetapi juga
dapat menyertakan deskripsi kontrol.
5-9 RISIKO BISNIS
Setelah auditor internal memperoleh pemahaman tentang tujuan organisasi dan proses
kunci yang digunakan untuk mencapai tujuan tersebut, langkah selanjutnya adalah
mengevaluasi risiko bisnis yang dapat menghambat pencapaian tujuan. Kemampuan chief
audit executive (CAE) dan manajemen audit internal untuk mendapatkan pemahaman
menyeluruh tentang risiko bisnis organisasi akan menentukan sejauh mana fungsi audit
internal akan dapat memenuhi misinya dan menambah nilai bagi organisasi. Sangat
membantu untuk mengembangkan keseluruhan profil risiko yang terkait dengan risiko.
Untuk perusahaan yang meningkatkan manajemen risiko perusahaan (ERM), profil risiko
dikembangkan oleh manajemen. Dalam masalah ini, setiap fungsi audit internal membangun
risiko dari profil risiko organisasi. Namun, jika profil semacam itu tidak ada, fungsi audit
internal perlu membuat profil sebagai titik awal untuk perencanaan audit tahunannya.
Ada sejumlah alat dan metodologi yang berbeda untuk membantu mengembangkan profil
risiko. Bab ini hanya membahas sekumpulan kecil saja. Perhatikan juga bahwa meskipun
berbagai alat tersedia, penilaian risiko organisasi tetap merupakan proses yang sangat
subyektif yang membutuhkan pengalaman dan penilaian yang baik
Pendekatan umum mungkin dimulai dengan melakukan sesi curah pendapat dengan
manajemen senior atau, jika tidak tersedia, dengan anggota fungsi audit internal. Grup
mungkin mulai dengan model risiko umum yang menggambarkan kategori dan jenis risiko
yang mungkin dimiliki organisasi perjumpaan. Seperti model risiko disajikan pada pameran 5-
7. Dalam contoh ini, risiko potensial dipecah menjadi empat kategori yang selaras dengan
Komite Sponsoring dapat digunakan untuk menandakan dampak. Signifikansi kadang-kadang
digunakan, meskipun penulis lebih suka merujuk pada signifikansi sebagai penilaian
gabungan dampak dan kemungkinan. Lebih jarang, keparahan adalah istilah lain yang
digunakan untuk menandakan dampak buruk dari hasil risiko.
Kemungkinan dapat dievaluasi dengan menilai peluang atau probabilitas dampak risiko yang
terjadi. Namun, mengingat sifat subyektif dari penilaian ini, sebagian besar manajer dan
auditor internal lebih nyaman mengekspresikan kemungkinan dalam kategori yang kurang
tepat. Sekali lagi, skala tiga kategori (tinggi, sedang rendah) atau skala kategori tinggi (seperti
yang ditunjukkan dalam exhihit S-8) sering digunakan. Seperti dampak, itu membantu untuk
menentukan kategori houndaries. Ini biasanya dilakukan dalam hal spesifik atau rentang
probabilitas dalam skala di eshibit -8
Menggunakan model penilaian risiko dalam pameran S-8, berbagai risiko dari model risiko
bisnis dasar lexhibit 5-7) dapat ditempatkan pada matriks. Seringkali, ini dilakukan dalam sesi
kelompok yang melibatkan, manajemen senior atau, jika mereka tidak tersedia, tingkat
individu yang lebih berpengalaman dan lebih berpengalaman dari fungsi audit internal.
Menggunakan manajemen senior dan manajer operasi lebih baik karena mereka memiliki
pemahaman terbaik tentang risiko dalam bidang tanggung jawab mereka. Dalam pertemuan
ini, risiko dibahas dan konsensus diperoleh mengenai dampak, kemungkinan, dan posisi risiko
masing-masing pada matriks. Kombinasi dampak dan kemungkinan menentukan pentingnya
risiko, Gambar 5-8 menunjukkan matriks dipecah menjadi 25 kotak. Dalam model ini, kotak
20 hingga 25 merupakan risiko kritis, dan kotak 16 hingga 19 mewakili risiko tinggi. Risiko-
risiko ini menghadirkan tantangan paling serius untuk memenuhi tujuan organisasi, Kotak 7
hingga 15 adalah risiko sedang dan kotak 1 hingga 6 adalah risiko rendah
Tampilan 59 menyajikan pemetaan model risiko ke matriks penilaian risiko untuk perusahaan
jasa keuangan online. Empat risiko yang diidentifikasi sebagai kritis muncul di kotak 21 dan
22. Risiko dalam kotak 18 dan 19 dianggap tinggi dan tergantung pada berapa banyak tujuan
yang berdampak, juga mungkin memerlukan perhatian luas.
Langkah selanjutnya adalah mengaitkan risiko yang diidentifikasi secara formal dengan
tujuan spesifik yang dapat merusak setiap risiko. Ini membantu memastikan bahwa semua
risiko utama, dan dampak yang ditimbulkan, telah diidentifikasi. Kembali ke contoh
mendapatkan ke kelas tepat waktu, anggap misi semester ini adalah untuk mendapatkan
pengetahuan dan keterampilan yang diperlukan untuk berhasil dalam posisi audit internal
entry level, Beberapa tujuan strategis spesifik dapat dikembangkan untuk mencapai misi ini:
1. Hadiri semua kelas.
2. Tepat waktu untuk setiap kelas.
3. Apakah ditugaskan membaca sebelum kelas di mana ia akan
4. Lengkapi semua tugas tepat waktu.
5. Dapatkan B + atau lebih baik pada semua ujian yang akan dibahas
Proses yang digambarkan dalam pameran 5-4 dan S-6 yang menguraikan sampai jam 8:00
tepat waktu berkontribusi pada tujuan 2 dan, sampai batas tertentu, tujuan 1 Proses lain,
seperti proses studi, akan sangat penting untuk tujuan 3, 4, dan 5. Bab 4, "Manajemen
Risiko," mendefinisikan risiko sebagai kemungkinan bahwa suatu peristiwa akan terjadi dan
mempengaruhi pencapaian suatu sasaran secara negatif. Dengan mengingat definisi ini,
sejumlah risiko dapat diidentifikasi yang dapat menghambat pencapaian lima tujuan.
Misalnya, menjadi sakit dapat memengaruhi pencapaian sasaran 1, 2, dan 4. Pameran 5-10
menghadirkan tujuh risiko kritis dan potensinya untuk menghambat lima sasaran strategis
ini.
Jenis analisis yang dilakukan untuk memperoleh pengetahuan dan keterampilan yang
diperlukan untuk menjadi sukses dalam posisi audit internal entry-level dan tujuan yang
disyaratkan dapat diterapkan pada organisasi juga. Seperti yang disebutkan dalam diskusi
kami tentang proses bisnis di awal bab ini, tujuan biasanya dapat ditemukan dalam
pengajuan peraturan, seperti pengajuan 10-K untuk perusahaan publik di Amerika Serikat,
atau dalam dokumen perencanaan strategis organisasi