Internal auditor harus mengerti model bisnis suatu organisasi untuk bisa menambah nilai dan
meningkatkan kinerja operasi suatu organisasi. Model bisnis terdiri atas tujuan organisasi (Visi,
Misi, nilai serta Tujuan Tahunan) dan bagaimana struktur proses bisnisnya dapat mencapai
tujuan tersebut. Model bisnis tersebut biasanya merupakan bagian dokumen internal yang
tersedia untuk audior internal. Untuk perusahaan terbuka, sumber eksternal terkait informasi
model bisnis suatu organisasi dapat tersedia.
Contohnya adalah laporan analis mungkin memuat perspektif eksternal terhadap strategi
organisasi.
Terdapat dua pendekatan yang biasanya digunakan untuk membantu memahami proses bisnis
dan perannya dalam bisnis model:
1. Top dowm approach
Dimulai pada penetapan tujuan di level organisasi, dan kemudian diidentifikasi proses-
proses kunci yang kritikal terhadap keberhasilan pencapaian setiap tujuan tersebut.
2. Bottom up approach
Dimulai dengan melihat semua proses pada level kegiatan. Hal ini dilakukan oleh orang
yang bertanggung jawab terhadap kegiatan aktualnya.
Business Risk
Ketika internal auditor sudah memahami tujuan organisasi dan proses kunci yang digunakan
untuk mencapai tujuan tersebut, langkah berikutnya adalah mengevaluasi risiko bisnis yang
dapat menghalangi pencapaian tujuan tersebut.
Bila risk profile tidak tersedia, maka fungsi internal audit adalah menyusun profil sebagai titik
awal untuk perencanaan audit tahunan. Pendekatan umum yang dapt dilakukan untuk
mengembangkan risk profile adalah dengan melakukan sesi brainstorming dengan senior
manajemen atau, jika mereka tidak dapat, dengan anggota fungsi internal audit.
Tahap selanjutnya adalah dimasukannya risiko-riko yang telah terdapat dalam Risk Model ke
dalam Matriks Risk Assessment di atas dan menghubungkan risiko yang telah teridentifikasi
dengan tujuan spesifiknya. Hal tersebut akan membantu untuk memastikan bahwa semua
risiko kunci, dan dampak yang dihasilkan telah diidentifikasi Memetakan Resiko Pada Proses
Bisnis.
B. Menganalisis Proses untuk menentukan adanya hubungan antara proses dan risiko
C. Hubungan yang sudah dianalisis (antara proses dan risiko), Dievaluasi untuk menentukan
mana yang kunci atau bukan (sekunder) Hubungan kunci (Key link) yang prosesnya
dilaksanakan secara langsung untuk memanaje risiko. Hubungan sekunder (secondary link)
yang prosesnya dilaksanakan secara tidak langsung untuk mengelola risiko.
Selain Menggunakan RBPM, pendekatan lain untuk mencari hubungan antara bisnis proses
dan risiko adalah dengan membangun factor risiko dasar yang digunakan untuk
mengevaluasi risiko melalui proses (risk factor approach). Biasanya model RF ini
diidentifikasi 7 sampai 15 faktor untuk mengassess masing – masing proses. Biasanya ada 2
jenis factor, yaitu:
a) External Risk Factor
Berkaitan dengan faktor-faktor yang dibangun ke dalam lingkungan dan sifat proses itu
sendiri.
b) Internal Risk Factor
Berkaitan dengan kontrol batas yang dirancang ke dalam proses untuk menjamin
pencapaian tujuan, kinerja orang-orang yang terlibat dalam kegiatan dan dalam
mengelola proses, dan tingkat perubahan dalam proses dan lingkungan di mana bisnis
beroperasi. Setelah factor diidentifikasi, ada 3 keputusan yang harus dibuat sebelum
model diimplementasikan:
Menentukan skala untuk tiap factor yang di assess
Menentukan pembobotan untuk tiap factor
Menentukan bagaimana tiap factor dikombinasikan