Metode yang biasa digunakan untuk mendokumentasi proses adalah Process Map dan Process
Narative. Process Map merupakan gambaran yang merepresentasikan dari input, steps, workflows, dan
output.
Tidak ada standar yang absolut mengenai format dan simbol dari process mapping, namun fungsi
internal audit dan perusahaan jasa profesional biasanya berusaha untuk konsistensi.
Dari perspektif ERM yang dibahas dalam bab 4 "Manajemen Risiko", langkah berikutnya untuk
mengembangkan respon yang tepat untuk masing-masing risiko. Ada empat responses organisasi yaitu :
1. Avoidance/Penghindaran.
Sebuah keputusan dibuat untuk keluar atau divestasi kegiatan yang menimbulkan risiko atau
menghindari resiko yang mungkin terjadi. Contoh: tidak meluaskan pangsa pasar, menjual sebuah
divisi.
2. Reduction /Pengurangan
Tindakan yang diambil untuk mengurangi dampak resiko. Ini melibatkan segudang keputusan
bisnis sehari-hari, seperti menerapkan pengendalian atas tiap resiko. Contoh:
mengimplementasikan control.
3. Sharing/Berbagi
Dampak risiko dan kemungkinan berkurang dengan mentransfer atau berbagi sebagian dari risiko.
Contoh: asuransi, hedging, outsource activity.
4. Acceptance /Penerimaan
Tidak ada tindakan yang diambil untuk mempengaruhi dampak risiko dan kemungkinan.
Organisasi bersedia menerima risiko pada tingkat saat ini daripada menghabiskan sumber daya
berharga menyebarkan salah satu pilihan respon risiko lain.
Memilih strategi respon yang tepat secara efektif pemahaman tentang risiko berhubungan dengan
proses bisnis organisasi yang diperlukan. Auditor internal juga harus membangun hubungan antara risiko
dan proses bisnis untuk menentukan apakah risiko sedang berhasil tingkat yang tepat dalam strategi
respon manajemen dan untuk mengidentifikasi mana organisasi risiko kritis berada. IIA Standard 2010:
Perencanaan eksplisit mengharuskan CAE untuk "membangun pembangkit berbasis-risiko untuk
menentukan prioritas dari aktivitas audit internal, konsisten dengan tujuan organisasi”.
Setelah mengidentifikasi dengan mana risiko proses tertentu dikaitkan asosiasi harus dievaluasi
apakah link adalah kunci atau sekunder. Link kunci adalah mereka yang proses memainkan peran
langsung dan kunci dalam mengelola risiko. Link sekunder adalah orang di mana proses membantu untuk
mengelola risiko secara tidak langsung.dari contos diatas, risiko kritis 3 akan dinilai sebagai kunci link,
sementara risiko kritis 4 hanya dapat dianggap link sekunder. Ketika link yang dilihat di risiko tertentu,
harus ada satu atau dua proses (paling banyak tiga) diidentifikasi memiliki kunci link dan nomor atau
proses tambahan diidentifikasi memiliki link sekunder.
Salah satu risiko dengan proses matriks selesai, dapat digunakan oleh fungsi audit internal rencana
audit tahunan. Langkah pertama bisa menghitung jumlah link kunci dan sekunder untuk setiap proses.
Jumlah dan sifat hubungan antara risiko dan proses akan mempengaruhi jenis audit internal yang dapat
dilakukan. Misalkan jika risiko memiliki hubungan kunci untuk beberapa proses, mungkin lebih tepat
untuk melakukan audit semua proses tersebut untuk memberikan jaminan mengenai risiko secara
keseluruhan. Pengalaman yang cukup diperlukan untuk membuat penilaian ini. siklus untuk mengaudit
setiap proses dapat ditentukan berdasarkan dampak dan kemungkinan risiko terkait. Pertimbangan juga
harus diberikan kepada hasil audit terakhir. Misalnya, bahkan proses pada tiga atau empat tahun siklus
harus diaudit sebelum siklus berakhir jika audit belum mendapatkan dokumen yang signifikan.
Risiko juga mengkaji dalam hal sebab dan akibat. Sebab dan akibat kurang baik dari satu hasil
risiko, biasanya dikaji dalam hal kategori. Secara khas ada tiga tingkatan (tinggi, sedang, rendah).
Mendirikan batas untuk masing-masing kategori adalah berguna untuk mengumpulkan input dari
beberapa orang-orang. Bagaimanapun, beberapa organisasi mendirikan dampak dalam hal reputasi,
kesehatan dan keselamatan, yang baik atau kerusakan atas asset perusahaan.
Mempergunakan penilaian risiko memodelkan risiko berbagai dari model resiko bisnis dasar telah
dapat ditempatkan sebagai acuan. Beberapa langkah berikutnya adalah untuk secara formal
menghubungkan risiko diidentifikasi ke obyektif spesifik itu masing-masing risiko mungkin mengalami
masalah. pengendalian ini dilakukan untuk memastikan bahwa semua resiko,dan dampak yang
dihasilkan,telah diidentifikasi.
Contoh :
2.7 Hubungan yang sudah dianalisis (antara proses dan risiko), Dievaluasi untuk menentukan
mana yang kunci atau bukan (sekunder)
Hubungan kunci (Key link) yang prosesnya dilaksanakan secara langsung untuk memanaje risiko.
Hubungan sekunder (secondary link) yang prosesnya dilaksanakan secara tidak langsung untuk
memanaje risiko.. Langkahnya menghitung jumlah link key dan secondary untuk setiap proses. Hal ini
karena link tersebut akan mempengaruhi tipe audit yang akan dilakukan.
Selain pakai RBPM, pendekatan lain untuk mencari hubungan antara bisnis proses dan risiko
adalah : dengan membangun factor risiko dasar yang digunakan untuk mengevaluasi risiko melalui proses
(risk factor approach). Biasanya model RF ini diidentifikasi 7 sampai 15 faktor untuk mengassess
masing2 proses. Biasanya ada 2 jenis factor, external risk factor dan internal risk factor.
a) External Risk Factor
Berkaitan dengan faktor-faktor yang dibangun ke dalam lingkungan dan sifat proses itu sendiri.
b) Internal Risk Factor
Berkaitan dengan kontrol batas yang dirancang ke dalam proses untuk menjamin pencapaian tujuan,
kinerja orang-orang yang terlibat dalam kegiatan dan dalam mengelola proses, dan tingkat
perubahan dalam proses dan lingkungan di mana bisnis beroperasi.
Setelah factor diidentifikasi, ada 3 keputusan yang harus dibuat sebelum model diimplementasikan:
1. Menentukan skala untuk tiap factor yang di assess
2. Menentukan pembobotan untuk tiap factor
3. Menentukan bagaimana tiap factor dikombinasikan
2.8 Business Process Outsourcing
Business Process Outsorcing adalah tindakan mentransfer beberapa proses bisnis organisasi ke
penyedia luar guna mencapai pengurangan biaya, efektivitas operasi, atau efisiensi operasional sekaligus
meningkatkan kualitas pelayanan. Dulu yang paling awal ada outsorce gini sih di payroll sama fungsi IT.
Sekarang berkembang menjadi HRD, engineering, CS, keuangan dan akuntansi. Karena outsorce ini,
beberapa sistem IC jadi lebih baik dan efisien, tetapi ada juga risiko tambahan. Beberapa hal yang harus
diperhatikan dalam IC pada bisnis proses outsorcing:
a. mendokumentasikan proses outsorce dan menunjukkan kontrol utama yang telah di outsorce.
b. memastikan ada cara memantau efektivitas proses outsorce.
c. memperoleh keyakinan bahwa pengendalian internal yang melekat dalam proses outsorce
beroperasi secara efektif, baik melalui audit internal kontrol atau tinjauan eksternal control.
d. mengevaluasi secara berkala apakah kasus bisnis outsorcing tetap berlaku.
KESIMPULAN
3.1 Kesimpulan
Konsep Proses bisnis dan risko yang dibahas dalam materi ini memberikan dasar untuk
memahami bagaimana organisasi struktur kegiatan mereka untuk mencapai tujuan bisnis mereka.
Pertama, yang penting untuk mendapatkan pemahaman tingkat tinggi proses ini dan bagaimana mereka
mendukung tujuan. Selanjutnya, risiko yang dapat mempengaruhi pencapaian sasaran harus diidentifikasi
dan dinilai. Akhirnya, key processes dan sub proses yang dirancang untuk mengelola risiko yang sesuai
dengan strategi yang diinginkan dapat diidentifikasi sebagai calon untuk audit internal.
Namun, konsep-konsep ini tidak terbatas untuk digunakan oleh auditor internal. Mereka dapat
menjadikan suatu dasar yang digunakan oleh personil organisasi lain, atau bahkan individu dalam
kehidupan sehari-hari, untuk mendukung pengambilan keputusan.
DIPOTONG – POTONG
Metode yang biasa digunakan untuk mendokumentasi proses adalah Process Map dan Process
Narative. Process Map merupakan gambaran yang merepresentasikan dari input, steps, workflows, dan
output.
Tidak ada standar yang absolut mengenai format dan simbol dari process mapping, namun fungsi
internal audit dan perusahaan jasa profesional biasanya berusaha untuk konsistensi.
Dari perspektif ERM yang dibahas dalam bab 4 "Manajemen Risiko", langkah berikutnya untuk
mengembangkan respon yang tepat untuk masing-masing risiko. Ada empat responses organisasi yaitu :
1. Avoidance/Penghindaran.
Sebuah keputusan dibuat untuk keluar atau divestasi kegiatan yang menimbulkan risiko atau
menghindari resiko yang mungkin terjadi. Contoh: tidak meluaskan pangsa pasar, menjual sebuah
divisi.
2. Reduction /Pengurangan
Tindakan yang diambil untuk mengurangi dampak resiko. Ini melibatkan segudang keputusan
bisnis sehari-hari, seperti menerapkan pengendalian atas tiap resiko. Contoh:
mengimplementasikan control.
3. Sharing/Berbagi
Dampak risiko dan kemungkinan berkurang dengan mentransfer atau berbagi sebagian dari risiko.
Contoh: asuransi, hedging, outsource activity.
4. Acceptance /Penerimaan
Tidak ada tindakan yang diambil untuk mempengaruhi dampak risiko dan kemungkinan.
Organisasi bersedia menerima risiko pada tingkat saat ini daripada menghabiskan sumber daya
berharga menyebarkan salah satu pilihan respon risiko lain.
Memilih strategi respon yang tepat secara efektif pemahaman tentang risiko berhubungan dengan
proses bisnis organisasi yang diperlukan. Auditor internal juga harus membangun hubungan antara risiko
dan proses bisnis untuk menentukan apakah risiko sedang berhasil tingkat yang tepat dalam strategi
respon manajemen dan untuk mengidentifikasi mana organisasi risiko kritis berada. IIA Standard 2010:
Perencanaan eksplisit mengharuskan CAE untuk "membangun pembangkit berbasis-risiko untuk
menentukan prioritas dari aktivitas audit internal, konsisten dengan tujuan organisasi”.
Jumlah dan sifat hubungan antara risiko dan proses akan mempengaruhi jenis audit internal yang
dapat dilakukan. Misalkan jika risiko memiliki hubungan kunci untuk beberapa proses, mungkin lebih
tepat untuk melakukan audit semua proses tersebut untuk memberikan jaminan mengenai risiko secara
keseluruhan. Pengalaman yang cukup diperlukan untuk membuat penilaian ini. siklus untuk mengaudit
setiap proses dapat ditentukan berdasarkan dampak dan kemungkinan risiko terkait. Pertimbangan juga
harus diberikan kepada hasil audit terakhir. Misalnya, bahkan proses pada tiga atau empat tahun siklus
harus diaudit sebelum siklus berakhir jika audit belum mendapatkan dokumen yang signifikan.
Risiko juga mengkaji dalam hal sebab dan akibat. Sebab dan akibat kurang baik dari satu hasil
risiko, biasanya dikaji dalam hal kategori. Secara khas ada tiga tingkatan (tinggi, sedang, rendah).
Mendirikan batas untuk masing-masing kategori adalah berguna untuk mengumpulkan input dari
beberapa orang-orang. Bagaimanapun, beberapa organisasi mendirikan dampak dalam hal reputasi,
kesehatan dan keselamatan, yang baik atau kerusakan atas asset perusahaan.
Mempergunakan penilaian risiko memodelkan risiko berbagai dari model resiko bisnis dasar telah
dapat ditempatkan sebagai acuan. Beberapa langkah berikutnya adalah untuk secara formal
menghubungkan risiko diidentifikasi ke obyektif spesifik itu masing-masing risiko mungkin mengalami
masalah. pengendalian ini dilakukan untuk memastikan bahwa semua resiko,dan dampak yang
dihasilkan,telah diidentifikasi.
Hubungan yang sudah dianalisis (antara proses dan risiko), Dievaluasi untuk menentukan mana
yang kunci atau bukan (sekunder)
Hubungan kunci (Key link) yang prosesnya dilaksanakan secara langsung untuk memanaje risiko.
Hubungan sekunder (secondary link) yang prosesnya dilaksanakan secara tidak langsung untuk
memanaje risiko.. Langkahnya menghitung jumlah link key dan secondary untuk setiap proses. Hal ini
karena link tersebut akan mempengaruhi tipe audit yang akan dilakukan.
Selain pakai RBPM, pendekatan lain untuk mencari hubungan antara bisnis proses dan risiko
adalah : dengan membangun factor risiko dasar yang digunakan untuk mengevaluasi risiko melalui proses
(risk factor approach). Biasanya model RF ini diidentifikasi 7 sampai 15 faktor untuk mengassess
masing2 proses. Biasanya ada 2 jenis factor, external risk factor dan internal risk factor.
a) External Risk Factor
Berkaitan dengan faktor-faktor yang dibangun ke dalam lingkungan dan sifat proses itu sendiri.
b) Internal Risk Factor
Berkaitan dengan kontrol batas yang dirancang ke dalam proses untuk menjamin pencapaian tujuan,
kinerja orang-orang yang terlibat dalam kegiatan dan dalam mengelola proses, dan tingkat
perubahan dalam proses dan lingkungan di mana bisnis beroperasi.
Setelah factor diidentifikasi, ada 3 keputusan yang harus dibuat sebelum model diimplementasikan:
1. Menentukan skala untuk tiap factor yang di assess
2. Menentukan pembobotan untuk tiap factor
3. Menentukan bagaimana tiap factor dikombinasikan