BUSINESS PROCESS AND RISK

Konsep Business Process

Suatu proses bisnis yang baik harus memiliki tujuan-tujuan seperti mengefektifkan,
mengefisienkan dan membuat mudah untuk beradaptasi pada proses-proses didalamnya. Artinya proses
bisnis tersebut harus merupakan proses bisnis yang berorientasikan pada jumlah dan kualitas produk
output, minimal dalam menggunakan sumber daya dan dapat beradaptasi sesuai dengan kebutuhan bisnis
dan pasar.
Pengelolaan bisnis proses yang baik akan memberikan keuntungan-keuntungan pada organisasi
perusahaan yang banyak, yaitu :
• Organisasi dapat lebih memfokuskan diri pada kebutuhan customer.
• Organisasi mampu mengendalikan dan memprediksi setiap perubahan yang terjadi di lingkungan
dalam ataupun luar.
• Organisasi mampu memperbaiki tingkat penggunaan sumber dayanya sehingga dapat menekan
biaya pemakaian serendah mungkin.
• Organisasi dapat mengelola dengan baik interrelasi proses-proses antar bagian yang ada.
Untuk internal auditors untuk menambahkan nilai dan meningkatkan satu operasi suatu organisasi,
mereka harus pertama mengerti model bisnis organisasinya. Model bisnis meliputi obyektifitas dari
perusahaan tersebut dan bagaimana proses bisnis ini tersrtruktur untuk mencapai obyektifitas yang ingin
dicapai perusahaan.dalam organisasi atau perusahaan biasanya apa produk atau jasa ini akan sampaikan,
apa pelanggan atau pasar ini akan ditargetkan, dan apa perusahaan menyediakan dan alur pengiriman ini
akan dipergunakan. Sementara busness memodelkan meliputi pada taraf yang tinggi strategi dan arah
tectical
Proses bisnis merupakan sebuah pendekatan untuk membantu perusahaan/organisasi untuk
memperbaiki proses bisnisnya sehingga menjadi proses yang lebih efisien. BPI ini menjadi dasar dalam
melakukan process redesign dan business process reengineering.

Terdapat 3 (Tiga) tipe dari business activity :

1. Operating Processes
Operating Processes pada sebagian besar organisasi merupakan suatu proses inti yang dilalui untuk
mencapai tujuan utamanya. Melalui proses ini organisasi menciptakan nilai dan menyampaikannya
secara langsung kepada konsumen.
2. Management and Support Processes
Management and Support Processes merupakan kegiatan yang mengawasi dan mendukung proses
penciptaan nilai inti dari perusahaan (organization’s core value-creation process)
3. Projects
 Projects merupakan suatu metode yang digunakan untuk menyelenggarakan kegiatan yang
menghasilkan nilai (value-creating activities). Projects digunakan ketika terjadi kegiatan selama
jangka waktu tertentu, memerlukan proses pengerjaan yang rumit, dan relatif unik di mana
memerlukan kegiatan spesifik yang tidak dilakukan secara berkesinambungan. Projects juga sering
digunakan pada sebagian besar organisasi untuk membentuk kegiatan nonrutin untuk menciptakan
aset untuk kepentingan organisasi.

2.2 Understanding Business Processes

Internal auditor harus mengerti model bisnis suatu organisasi untuk bisa menambah nilai dan
meningkatkan kinerja operasi suatu organisasi. Model bisnis terdiri atas tujuan organisasi (Visi, Misi,
nilai serta Tujuan Tahunan) dan bagaimana struktur proses bisnisnya dapat mencapai tujuan tersebut
(Strategi tingkat pimpinan dan tingkat Taktis).
Model bisnis tersebut biasanya merupakan bagian dokumen internal yang tersedia untuk audior
internal.Untuk perusahaan terbuka, sumber eksternal terkait informasi model bisnis suatu organisasi dapat
tersedia. Contohnya adalah laporan analis mungkin memuat perspektif eksternal terhadap strategi
organisasi. Sementara Visi,misi, nilai serta tujuan perusahaan relatif sama dari tahun ke tahun, fungsi
internal audit harus di-update secara periodik mengenai pemahamannya tentang strategi organisasi.
Terdapat dua pendekatan yang biasanya digunakan untuk membantu memahami proses bisnis dan
perannya dalam bisnis model:
1. Top down approach
Dimulai pada penetapan tujuan di level organisasi, dan kemudian diidentifikasi proses-proses
kunci yang kritikal terhadap keberhasilan pencapaian setiap tujuan tersebut.
2. Bottom up approach
Dimulai dengan melihat semua proses pada level kegiatan. Hal ini dilakukan oleh orang yang
bertanggung jawab terhadap kegiatan aktualnya.
Ketika suatu proses sudah diidentifikasi (baik top-down maupun bottom-up) berikutnya adalah
menentukan tujuan kunci (key objectives) dari proses yang dilakukan. Auditor Internal perlu untuk
mengetahui pemilik proses (process owner) untuk memahami tujuan proses (process objectives) Ketika
tujuan proses sudah dipahami, langkah selanjutnya adalah memahami proses masukan, kegiatan spesifik
yang diperlukan untuk mencapai tujuan proses dan output proses.
Sebagai tambahan dalam mengidentifikasi tujuan kunci, memahami proses tersebut memerlukan
pemahaman tentang bagaimana manajemen dan pemilik proses mengetahui bahwa proses berjalan sesuai
yang dikehendaki.
Pemilik proses seharusnya memiliki KPI (Key performance Indicator), yang merupakan suatu
metrik ataupun dalam bentuk lain untuk mengukur apakah suatu proses ataupun tugas individu telah
dilakukan sesuai toleransi yang ditetapkan.
2.3 Documenting Business Process
Dokumentasi proses bisnis diperlukan. Biasanya, hal itu harus dilakukan oleh pemilik proses dan
orang-orang yang terlibat dalam proses. Namun, ada contoh ketika itu tidak terjadi karena permintaan
harian pekerjaan mereka atau karena mereka tidak melihat nilai dokumentasiyang formal. Dokumentasi
proses dapat sangat efektif dalam, yaitu :
(1) orientasi personel baru,
(2) mendefinisikan tentang tanggung jawab,
(3) mengevaluasi efisiensi proses,
(4) menentukan bidang yang menjadi perhatian utama, dan
 (5) mengidentifikasi risiko-risiko utama dan kontrol. auditor internal juga harus mendokumentasikan
pemahaman mereka untuk mendukung penilaian mereka secara keseluruhan risiko dan
pengendalian dalam organisasi dan dalam keterlibatan jaminan khusus yang mereka melakukan
pada proses.

Metode yang biasa digunakan untuk mendokumentasi proses adalah Process Map dan Process
Narative. Process Map merupakan gambaran yang merepresentasikan dari input, steps, workflows, dan
output.
Tidak ada standar yang absolut mengenai format dan simbol dari process mapping, namun fungsi
internal audit dan perusahaan jasa profesional biasanya berusaha untuk konsistensi.

2.4 Business Risk

Ketika internal auditor sudah memahami tujuan organisasi dan proses kunci yang digunakan untuk
mencapai tujuan tersebut, langkah berikutnya adalah mengevaluasi risiko bisnis yang dapat menghalangi
pencapaian tujuan tersebut.
Kemampuan dari chief audit executive (CAE) dan manajemen audit internal untuk mendapatkan
pemahaman yang menyeluruh tentang resiko bisnis organisasi akan menentukan sejauh mana fungsi audit
internal akan mampu memenuhi misinya dan menambah nilai bagi organisasi. Akan sangat membantu
untuk mengembangkan profil risiko secara keseluruhan dari organisasi yang mengidentifikasi risiko
penting untuk pencapaian masing-masing tujuan strategis. Bagi organisasi yang telah menerapkan
Enterprise Risk Management (ERM), umumnya manajemen telah mengembangkan suatu risk profile.
Dalam kasus tersebut, maka fungsi internal audit dapat membangun penilaian risikonya dari risk profile
tersebut. Bila risk profile tidak tersedia, maka fungsi internal audit adalah menyusun profil sebagai titik
awal untuk perencanaan audit tahunan.
Pendekatan umum yang dapat dilakukan untuk mengembangkan risk profile adalah dengan
melakukan sesi brainstorming dengan senior manajemen atau, jika mereka tidak dapat, dengan anggota
fungsi internal audit.
Tahap selanjutnya adalah dimasukannya risiko-risiko yang telah terdapat dalam Risk Model ke
dalam Matriks Risk Assessment di atas dan menghubungkan risiko yang telah teridentifikasi dengan
tujuan spesifiknya. Hal tersebut akan membantu untuk memastikan bahwa semua risiko kunci, dan
dampak yang dihasilkan telah diidentifikasi..
2.5 Matriks Resiko (Development)

Dari perspektif ERM yang dibahas dalam bab 4 "Manajemen Risiko", langkah berikutnya untuk
mengembangkan respon yang tepat untuk masing-masing risiko. Ada empat responses organisasi yaitu :
1. Avoidance/Penghindaran.
Sebuah keputusan dibuat untuk keluar atau divestasi kegiatan yang menimbulkan risiko atau
menghindari resiko yang mungkin terjadi. Contoh: tidak meluaskan pangsa pasar, menjual sebuah
divisi.
2. Reduction /Pengurangan
Tindakan yang diambil untuk mengurangi dampak resiko. Ini melibatkan segudang keputusan
bisnis sehari-hari, seperti menerapkan pengendalian atas tiap resiko. Contoh:
mengimplementasikan control.
3. Sharing/Berbagi
 Dampak risiko dan kemungkinan berkurang dengan mentransfer atau berbagi sebagian dari risiko.
Contoh: asuransi, hedging, outsource activity.
4. Acceptance /Penerimaan
Tidak ada tindakan yang diambil untuk mempengaruhi dampak risiko dan kemungkinan.
Organisasi bersedia menerima risiko pada tingkat saat ini daripada menghabiskan sumber daya
berharga menyebarkan salah satu pilihan respon risiko lain.
Memilih strategi respon yang tepat secara efektif pemahaman tentang risiko berhubungan dengan
proses bisnis organisasi yang diperlukan. Auditor internal juga harus membangun hubungan antara risiko
dan proses bisnis untuk menentukan apakah risiko sedang berhasil tingkat yang tepat dalam strategi
respon manajemen dan untuk mengidentifikasi mana organisasi risiko kritis berada. IIA Standard 2010:
Perencanaan eksplisit mengharuskan CAE untuk "membangun pembangkit berbasis-risiko untuk
menentukan prioritas dari aktivitas audit internal, konsisten dengan tujuan organisasi”.

Setelah mengidentifikasi dengan mana risiko proses tertentu dikaitkan asosiasi harus dievaluasi
apakah link adalah kunci atau sekunder. Link kunci adalah mereka yang proses memainkan peran
langsung dan kunci dalam mengelola risiko. Link sekunder adalah orang di mana proses membantu untuk
mengelola risiko secara tidak langsung.dari contos diatas, risiko kritis 3 akan dinilai sebagai kunci link,
sementara risiko kritis 4 hanya dapat dianggap link sekunder. Ketika link yang dilihat di risiko tertentu,
harus ada satu atau dua proses (paling banyak tiga) diidentifikasi memiliki kunci link dan nomor atau
proses tambahan diidentifikasi memiliki link sekunder.
Salah satu risiko dengan proses matriks selesai, dapat digunakan oleh fungsi audit internal rencana
audit tahunan. Langkah pertama bisa menghitung jumlah link kunci dan sekunder untuk setiap proses.
 Jumlah dan sifat hubungan antara risiko dan proses akan mempengaruhi jenis audit internal yang dapat
dilakukan. Misalkan jika risiko memiliki hubungan kunci untuk beberapa proses, mungkin lebih tepat
untuk melakukan audit semua proses tersebut untuk memberikan jaminan mengenai risiko secara
keseluruhan. Pengalaman yang cukup diperlukan untuk membuat penilaian ini. siklus untuk mengaudit
setiap proses dapat ditentukan berdasarkan dampak dan kemungkinan risiko terkait. Pertimbangan juga
harus diberikan kepada hasil audit terakhir. Misalnya, bahkan proses pada tiga atau empat tahun siklus
harus diaudit sebelum siklus berakhir jika audit belum mendapatkan dokumen yang signifikan.
Risiko juga mengkaji dalam hal sebab dan akibat. Sebab dan akibat kurang baik dari satu hasil
risiko, biasanya dikaji dalam hal kategori. Secara khas ada tiga tingkatan (tinggi, sedang, rendah).
Mendirikan batas untuk masing-masing kategori adalah berguna untuk mengumpulkan input dari
beberapa orang-orang. Bagaimanapun, beberapa organisasi mendirikan dampak dalam hal reputasi,
kesehatan dan keselamatan, yang baik atau kerusakan atas asset perusahaan.
Mempergunakan penilaian risiko memodelkan risiko berbagai dari model resiko bisnis dasar telah
dapat ditempatkan sebagai acuan. Beberapa langkah berikutnya adalah untuk secara formal
menghubungkan risiko diidentifikasi ke obyektif spesifik itu masing-masing risiko mungkin mengalami
masalah. pengendalian ini dilakukan untuk memastikan bahwa semua resiko,dan dampak yang
dihasilkan,telah diidentifikasi.

2.6 Business Processes and Riskos in the Assurance Engagement

Contoh beberapa jumlah kegiatan dan proses seorang siswa untuk menyelesaikan tugasnya :
1. Belajar untuk ujian
2. Membaca bahan yang ditugaskan
3. Melengkapi tugas kelas dan proyeknya
4. Membayar biaya kuliah dan tagihan lainya
5. Mendengarkan dan mencatat di kelas
6. Memilih dan mendaftar pelajaran yang diinginkan
7. Berolahraga
8. Membersihkan apartemen
9. Datang tepat waktu

Contoh :

Risk/control matrix for process || getting to an 8:00 a.m . class on time

Likelih Technice for
Risk Potential Impact Risk
Activity ood assessing
statement impact rating response
rating effectiveness
Mempersiapkan 1. Lupa 1.Kehilangan Sedang Sedang Kerjakan -
perlengkapan buat mengerjakan point karena tugasnya
besok tugas sekolah tidak
mengerjakan
tugas
 2. Lupa 2. Terlambat Rendah Rendah Langsung -
mematikan karena lupa matikan
laptop mematikan laptop
laptop
Setel alarm untuk 1. Lupa 1. Ketiduran Tinggi Tinggi Menyalak Meminta
bangun jam 06.00 menyetel dan datang an alarm seseorang
pagi alarm untuk terlambat jika ingin untuk
bangun pagi bangun mengingatka
pagi n jika ingin
bangun pagi
2. Baterai 2. Kesiangan Tinggi Tinggi Siapkan Periksa
alarm mati dan datang baterai apakah
terlambat cadangan baterainya
sudah mau
habis atau
tidak
Pergi tidur 1. Tidak bisa 1. Mengalami Sedang Rendah Pergi tidur -
tidur ngantuk besok
paginya
Bangun tidur 1. Kemauan 1. Kesiangan Tinggi Sedang Menyetel Segera
untuk tidur dan terlambat alarm bangun
beberapa masuk kelas berulangk
menit lagi ali

2.7 Hubungan yang sudah dianalisis (antara proses dan risiko), Dievaluasi untuk menentukan
mana yang kunci atau bukan (sekunder)
Hubungan kunci (Key link) yang prosesnya dilaksanakan secara langsung untuk memanaje risiko.
Hubungan sekunder (secondary link) yang prosesnya dilaksanakan secara tidak langsung untuk
memanaje risiko.. Langkahnya menghitung jumlah link key dan secondary untuk setiap proses. Hal ini
karena link tersebut akan mempengaruhi tipe audit yang akan dilakukan.
Selain pakai RBPM, pendekatan lain untuk mencari hubungan antara bisnis proses dan risiko
adalah : dengan membangun factor risiko dasar yang digunakan untuk mengevaluasi risiko melalui proses
(risk factor approach). Biasanya model RF ini diidentifikasi 7 sampai 15 faktor untuk mengassess
masing2 proses. Biasanya ada 2 jenis factor, external risk factor dan internal risk factor.
a) External Risk Factor
Berkaitan dengan faktor-faktor yang dibangun ke dalam lingkungan dan sifat proses itu sendiri.
b) Internal Risk Factor
Berkaitan dengan kontrol batas yang dirancang ke dalam proses untuk menjamin pencapaian tujuan,
kinerja orang-orang yang terlibat dalam kegiatan dan dalam mengelola proses, dan tingkat
perubahan dalam proses dan lingkungan di mana bisnis beroperasi.
Setelah factor diidentifikasi, ada 3 keputusan yang harus dibuat sebelum model diimplementasikan:
1. Menentukan skala untuk tiap factor yang di assess
2. Menentukan pembobotan untuk tiap factor
3. Menentukan bagaimana tiap factor dikombinasikan
2.8 Business Process Outsourcing
Business Process Outsorcing adalah tindakan mentransfer beberapa proses bisnis organisasi ke
penyedia luar guna mencapai pengurangan biaya, efektivitas operasi, atau efisiensi operasional sekaligus
meningkatkan kualitas pelayanan. Dulu yang paling awal ada outsorce gini sih di payroll sama fungsi IT.
Sekarang berkembang menjadi HRD, engineering, CS, keuangan dan akuntansi. Karena outsorce ini,
beberapa sistem IC jadi lebih baik dan efisien, tetapi ada juga risiko tambahan. Beberapa hal yang harus
diperhatikan dalam IC pada bisnis proses outsorcing:
a. mendokumentasikan proses outsorce dan menunjukkan kontrol utama yang telah di outsorce.
b. memastikan ada cara memantau efektivitas proses outsorce.
c. memperoleh keyakinan bahwa pengendalian internal yang melekat dalam proses outsorce
beroperasi secara efektif, baik melalui audit internal kontrol atau tinjauan eksternal control.
d. mengevaluasi secara berkala apakah kasus bisnis outsorcing tetap berlaku.

2.8 Peluang Untuk Memberikan Wawasan

Kemampuan dari auditor internal dalam menganalisis proses bisnis dan risiko terkait penyediaan
fungsi audit internal member kesempatan untuk menambah nilai yang signifikan bagi organisasi melalui
wawasan mereka terkait pekerjaan yang dilakukan yang dapat diberikan kepada manajemen di tingkat
operasional dan eksekutif. Kesempatan untuk menerapkan keterampilan ini mungkin datang sebagai
akibat dari pekerjaan yang dilakukan untuk memberikankeyakinan pada manajemen risiko dan
pengendalian internal dalam rangka keterlibatan jaminan tradisional seperti inisiatif rekayasa ulang proses
bisnis, ulasan dalam merger dan akuisisi, atau review sebelum impelementasi sistem.

KESIMPULAN

3.1 Kesimpulan
Konsep Proses bisnis dan risko yang dibahas dalam materi ini memberikan dasar untuk
memahami bagaimana organisasi struktur kegiatan mereka untuk mencapai tujuan bisnis mereka.
Pertama, yang penting untuk mendapatkan pemahaman tingkat tinggi proses ini dan bagaimana mereka
mendukung tujuan. Selanjutnya, risiko yang dapat mempengaruhi pencapaian sasaran harus diidentifikasi
dan dinilai. Akhirnya, key processes dan sub proses yang dirancang untuk mengelola risiko yang sesuai
dengan strategi yang diinginkan dapat diidentifikasi sebagai calon untuk audit internal.
Namun, konsep-konsep ini tidak terbatas untuk digunakan oleh auditor internal. Mereka dapat
menjadikan suatu dasar yang digunakan oleh personil organisasi lain, atau bahkan individu dalam
kehidupan sehari-hari, untuk mendukung pengambilan keputusan.
 DIPOTONG – POTONG

Konsep Business Process

Suatu proses bisnis yang baik harus memiliki tujuan-tujuan seperti mengefektifkan,
mengefisienkan dan membuat mudah untuk beradaptasi pada proses-proses didalamnya. Artinya proses
bisnis tersebut harus merupakan proses bisnis yang berorientasikan pada jumlah dan kualitas produk
output, minimal dalam menggunakan sumber daya dan dapat beradaptasi sesuai dengan kebutuhan bisnis
dan pasar.
Pengelolaan bisnis proses yang baik akan memberikan keuntungan-keuntungan pada organisasi
perusahaan yang banyak, yaitu :
• Organisasi dapat lebih memfokuskan diri pada kebutuhan customer.
• Organisasi mampu mengendalikan dan memprediksi setiap perubahan yang terjadi di lingkungan
dalam ataupun luar.
• Organisasi mampu memperbaiki tingkat penggunaan sumber dayanya sehingga dapat menekan
biaya pemakaian serendah mungkin.
• Organisasi dapat mengelola dengan baik interrelasi proses-proses antar bagian yang ada.
Untuk internal auditors untuk menambahkan nilai dan meningkatkan satu operasi suatu organisasi,
mereka harus pertama mengerti model bisnis organisasinya. Model bisnis meliputi obyektifitas dari
perusahaan tersebut dan bagaimana proses bisnis ini tersrtruktur untuk mencapai obyektifitas yang ingin
dicapai perusahaan.dalam organisasi atau perusahaan biasanya apa produk atau jasa ini akan sampaikan,
apa pelanggan atau pasar ini akan ditargetkan, dan apa perusahaan menyediakan dan alur pengiriman ini
akan dipergunakan. Sementara busness memodelkan meliputi pada taraf yang tinggi strategi dan arah
tectical
Proses bisnis merupakan sebuah pendekatan untuk membantu perusahaan/organisasi untuk
memperbaiki proses bisnisnya sehingga menjadi proses yang lebih efisien. BPI ini menjadi dasar dalam
melakukan process redesign dan business process reengineering.

Terdapat 3 (Tiga) tipe dari business activity :

4. Operating Processes
Operating Processes pada sebagian besar organisasi merupakan suatu proses inti yang dilalui untuk
mencapai tujuan utamanya. Melalui proses ini organisasi menciptakan nilai dan menyampaikannya
secara langsung kepada konsumen.
5. Management and Support Processes
Management and Support Processes merupakan kegiatan yang mengawasi dan mendukung proses
penciptaan nilai inti dari perusahaan (organization’s core value-creation process)
6. Projects
Projects merupakan suatu metode yang digunakan untuk menyelenggarakan kegiatan yang
menghasilkan nilai (value-creating activities). Projects digunakan ketika terjadi kegiatan selama
 jangka waktu tertentu, memerlukan proses pengerjaan yang rumit, dan relatif unik di mana
memerlukan kegiatan spesifik yang tidak dilakukan secara berkesinambungan. Projects juga sering
digunakan pada sebagian besar organisasi untuk membentuk kegiatan nonrutin untuk menciptakan
aset untuk kepentingan organisasi.

2.2 Understanding Business Processes

Internal auditor harus mengerti model bisnis suatu organisasi untuk bisa menambah nilai dan
meningkatkan kinerja operasi suatu organisasi. Model bisnis terdiri atas tujuan organisasi (Visi, Misi,
nilai serta Tujuan Tahunan) dan bagaimana struktur proses bisnisnya dapat mencapai tujuan tersebut
(Strategi tingkat pimpinan dan tingkat Taktis).
Model bisnis tersebut biasanya merupakan bagian dokumen internal yang tersedia untuk audior
internal.Untuk perusahaan terbuka, sumber eksternal terkait informasi model bisnis suatu organisasi dapat
tersedia. Contohnya adalah laporan analis mungkin memuat perspektif eksternal terhadap strategi
organisasi. Sementara Visi,misi, nilai serta tujuan perusahaan relatif sama dari tahun ke tahun, fungsi
internal audit harus di-update secara periodik mengenai pemahamannya tentang strategi organisasi.
Terdapat dua pendekatan yang biasanya digunakan untuk membantu memahami proses bisnis dan
perannya dalam bisnis model:
1. Top down approach
Dimulai pada penetapan tujuan di level organisasi, dan kemudian diidentifikasi proses-proses
kunci yang kritikal terhadap keberhasilan pencapaian setiap tujuan tersebut.
2. Bottom up approach
Dimulai dengan melihat semua proses pada level kegiatan. Hal ini dilakukan oleh orang yang
bertanggung jawab terhadap kegiatan aktualnya.
Ketika suatu proses sudah diidentifikasi (baik top-down maupun bottom-up) berikutnya adalah
menentukan tujuan kunci (key objectives) dari proses yang dilakukan. Auditor Internal perlu untuk
mengetahui pemilik proses (process owner) untuk memahami tujuan proses (process objectives) Ketika
tujuan proses sudah dipahami, langkah selanjutnya adalah memahami proses masukan, kegiatan spesifik
yang diperlukan untuk mencapai tujuan proses dan output proses.
Sebagai tambahan dalam mengidentifikasi tujuan kunci, memahami proses tersebut memerlukan
pemahaman tentang bagaimana manajemen dan pemilik proses mengetahui bahwa proses berjalan sesuai
yang dikehendaki.
Pemilik proses seharusnya memiliki KPI (Key performance Indicator), yang merupakan suatu
metrik ataupun dalam bentuk lain untuk mengukur apakah suatu proses ataupun tugas individu telah
dilakukan sesuai toleransi yang ditetapkan.
2.4 Documenting Business Process
Dokumentasi proses bisnis diperlukan. Biasanya, hal itu harus dilakukan oleh pemilik proses dan
orang-orang yang terlibat dalam proses. Namun, ada contoh ketika itu tidak terjadi karena permintaan
harian pekerjaan mereka atau karena mereka tidak melihat nilai dokumentasiyang formal. Dokumentasi
proses dapat sangat efektif dalam, yaitu :
(1) orientasi personel baru,
(2) mendefinisikan tentang tanggung jawab,
(3) mengevaluasi efisiensi proses,
(4) menentukan bidang yang menjadi perhatian utama, dan
(5) mengidentifikasi risiko-risiko utama dan kontrol. auditor internal juga harus mendokumentasikan
pemahaman mereka untuk mendukung penilaian mereka secara keseluruhan risiko dan
pengendalian dalam organisasi dan dalam keterlibatan jaminan khusus yang mereka melakukan
pada proses.

Metode yang biasa digunakan untuk mendokumentasi proses adalah Process Map dan Process
Narative. Process Map merupakan gambaran yang merepresentasikan dari input, steps, workflows, dan
output.
Tidak ada standar yang absolut mengenai format dan simbol dari process mapping, namun fungsi
internal audit dan perusahaan jasa profesional biasanya berusaha untuk konsistensi.

2.4 Business Risk

Ketika internal auditor sudah memahami tujuan organisasi dan proses kunci yang digunakan untuk
mencapai tujuan tersebut, langkah berikutnya adalah mengevaluasi risiko bisnis yang dapat menghalangi
pencapaian tujuan tersebut.
Kemampuan dari chief audit executive (CAE) dan manajemen audit internal untuk mendapatkan
pemahaman yang menyeluruh tentang resiko bisnis organisasi akan menentukan sejauh mana fungsi audit
internal akan mampu memenuhi misinya dan menambah nilai bagi organisasi. Akan sangat membantu
untuk mengembangkan profil risiko secara keseluruhan dari organisasi yang mengidentifikasi risiko
penting untuk pencapaian masing-masing tujuan strategis. Bagi organisasi yang telah menerapkan
Enterprise Risk Management (ERM), umumnya manajemen telah mengembangkan suatu risk profile.
Dalam kasus tersebut, maka fungsi internal audit dapat membangun penilaian risikonya dari risk profile
tersebut. Bila risk profile tidak tersedia, maka fungsi internal audit adalah menyusun profil sebagai titik
awal untuk perencanaan audit tahunan.
Pendekatan umum yang dapat dilakukan untuk mengembangkan risk profile adalah dengan
melakukan sesi brainstorming dengan senior manajemen atau, jika mereka tidak dapat, dengan anggota
fungsi internal audit.
Tahap selanjutnya adalah dimasukannya risiko-risiko yang telah terdapat dalam Risk Model ke
dalam Matriks Risk Assessment di atas dan menghubungkan risiko yang telah teridentifikasi dengan
tujuan spesifiknya. Hal tersebut akan membantu untuk memastikan bahwa semua risiko kunci, dan
dampak yang dihasilkan telah diidentifikasi..
2.5 Matriks Resiko (Development)

Dari perspektif ERM yang dibahas dalam bab 4 "Manajemen Risiko", langkah berikutnya untuk
mengembangkan respon yang tepat untuk masing-masing risiko. Ada empat responses organisasi yaitu :
1. Avoidance/Penghindaran.
Sebuah keputusan dibuat untuk keluar atau divestasi kegiatan yang menimbulkan risiko atau
menghindari resiko yang mungkin terjadi. Contoh: tidak meluaskan pangsa pasar, menjual sebuah
divisi.
2. Reduction /Pengurangan
Tindakan yang diambil untuk mengurangi dampak resiko. Ini melibatkan segudang keputusan
bisnis sehari-hari, seperti menerapkan pengendalian atas tiap resiko. Contoh:
mengimplementasikan control.
3. Sharing/Berbagi
Dampak risiko dan kemungkinan berkurang dengan mentransfer atau berbagi sebagian dari risiko.
Contoh: asuransi, hedging, outsource activity.
4. Acceptance /Penerimaan
Tidak ada tindakan yang diambil untuk mempengaruhi dampak risiko dan kemungkinan.
Organisasi bersedia menerima risiko pada tingkat saat ini daripada menghabiskan sumber daya
berharga menyebarkan salah satu pilihan respon risiko lain.
Memilih strategi respon yang tepat secara efektif pemahaman tentang risiko berhubungan dengan
proses bisnis organisasi yang diperlukan. Auditor internal juga harus membangun hubungan antara risiko
dan proses bisnis untuk menentukan apakah risiko sedang berhasil tingkat yang tepat dalam strategi
respon manajemen dan untuk mengidentifikasi mana organisasi risiko kritis berada. IIA Standard 2010:
Perencanaan eksplisit mengharuskan CAE untuk "membangun pembangkit berbasis-risiko untuk
menentukan prioritas dari aktivitas audit internal, konsisten dengan tujuan organisasi”.

Jumlah dan sifat hubungan antara risiko dan proses akan mempengaruhi jenis audit internal yang
dapat dilakukan. Misalkan jika risiko memiliki hubungan kunci untuk beberapa proses, mungkin lebih
tepat untuk melakukan audit semua proses tersebut untuk memberikan jaminan mengenai risiko secara
keseluruhan. Pengalaman yang cukup diperlukan untuk membuat penilaian ini. siklus untuk mengaudit
setiap proses dapat ditentukan berdasarkan dampak dan kemungkinan risiko terkait. Pertimbangan juga
harus diberikan kepada hasil audit terakhir. Misalnya, bahkan proses pada tiga atau empat tahun siklus
harus diaudit sebelum siklus berakhir jika audit belum mendapatkan dokumen yang signifikan.
Risiko juga mengkaji dalam hal sebab dan akibat. Sebab dan akibat kurang baik dari satu hasil
risiko, biasanya dikaji dalam hal kategori. Secara khas ada tiga tingkatan (tinggi, sedang, rendah).
Mendirikan batas untuk masing-masing kategori adalah berguna untuk mengumpulkan input dari
beberapa orang-orang. Bagaimanapun, beberapa organisasi mendirikan dampak dalam hal reputasi,
kesehatan dan keselamatan, yang baik atau kerusakan atas asset perusahaan.
 Mempergunakan penilaian risiko memodelkan risiko berbagai dari model resiko bisnis dasar telah
dapat ditempatkan sebagai acuan. Beberapa langkah berikutnya adalah untuk secara formal
menghubungkan risiko diidentifikasi ke obyektif spesifik itu masing-masing risiko mungkin mengalami
masalah. pengendalian ini dilakukan untuk memastikan bahwa semua resiko,dan dampak yang
dihasilkan,telah diidentifikasi.

Hubungan yang sudah dianalisis (antara proses dan risiko), Dievaluasi untuk menentukan mana
yang kunci atau bukan (sekunder)
Hubungan kunci (Key link) yang prosesnya dilaksanakan secara langsung untuk memanaje risiko.
Hubungan sekunder (secondary link) yang prosesnya dilaksanakan secara tidak langsung untuk
memanaje risiko.. Langkahnya menghitung jumlah link key dan secondary untuk setiap proses. Hal ini
karena link tersebut akan mempengaruhi tipe audit yang akan dilakukan.
Selain pakai RBPM, pendekatan lain untuk mencari hubungan antara bisnis proses dan risiko
adalah : dengan membangun factor risiko dasar yang digunakan untuk mengevaluasi risiko melalui proses
(risk factor approach). Biasanya model RF ini diidentifikasi 7 sampai 15 faktor untuk mengassess
masing2 proses. Biasanya ada 2 jenis factor, external risk factor dan internal risk factor.
a) External Risk Factor
Berkaitan dengan faktor-faktor yang dibangun ke dalam lingkungan dan sifat proses itu sendiri.
b) Internal Risk Factor
Berkaitan dengan kontrol batas yang dirancang ke dalam proses untuk menjamin pencapaian tujuan,
kinerja orang-orang yang terlibat dalam kegiatan dan dalam mengelola proses, dan tingkat
perubahan dalam proses dan lingkungan di mana bisnis beroperasi.
Setelah factor diidentifikasi, ada 3 keputusan yang harus dibuat sebelum model diimplementasikan:
1. Menentukan skala untuk tiap factor yang di assess
2. Menentukan pembobotan untuk tiap factor
3. Menentukan bagaimana tiap factor dikombinasikan

2.8 Business Process Outsourcing

Business Process Outsorcing adalah tindakan mentransfer beberapa proses bisnis organisasi ke
penyedia luar guna mencapai pengurangan biaya, efektivitas operasi, atau efisiensi operasional sekaligus
meningkatkan kualitas pelayanan. Dulu yang paling awal ada outsorce gini sih di payroll sama fungsi IT.
Sekarang berkembang menjadi HRD, engineering, CS, keuangan dan akuntansi. Karena outsorce ini,
beberapa sistem IC jadi lebih baik dan efisien, tetapi ada juga risiko tambahan. Beberapa hal yang harus
diperhatikan dalam IC pada bisnis proses outsorcing: