BAB 3

Penilaian Risiko

Sebuah rantai hanya akan sekuat mata rantai terlemahnya.

Perkenalan
Teori kendala mengadopsi ungkapan umum “sebuah rantai hanya akan sekuat mata rantai terlemahnya.” Hal ini
berarti bahwa organisasi, program, proses, dan bahkan departemen sangatlah rentan karena elemen yang paling
lemah selalu dapat merusak, menghancurkan, atau paling tidak berdampak buruk terhadap hasil. Jadi, perhatian
harus diberikan untuk melakukan inventarisasi seluruh komponen terkait, menilai kekuatan dan kelemahannya,
melakukan analisis kesenjangan, mengidentifikasi respons yang tepat, menerapkan tindakan perbaikan terbaik, dan
memantau hasil. Dalam banyak hal, hal ini menggambarkan penilaian risiko dan proses manajemen.
Ada banyak jenis risiko, mulai dari risiko strategis, operasional, kepatuhan, pelaporan, dan

terkait TI. Konsekuensinya bervariasi dan dipengaruhi oleh jenis kerentanan yang ada, sejauh mana konsekuensi
tersebut dapat diantisipasi untuk menghalangi atau mencegah terjadinya, kecanggihan mekanisme respons, dan
fleksibilitas organisasi untuk beradaptasi sesuai kebutuhan. Artinya manajemen harus sadar, terlibat, dan
berpengetahuan untuk belajar dari sejarah, memahami masa kini, dan mempersiapkan masa depan.
Risiko dan CSA merupakan mekanisme yang efektif untuk melibatkan pihak-pihak yang memiliki kepemilikan
atas risiko dan pengendalian dalam organisasi. Dengan mendokumentasikan proses, partisipan, dan variabel yang
mempengaruhi, manajemen dapat lebih siap untuk mengalokasikan sumber daya secara tepat, menetapkan prioritas,
menetapkan akuntabilitas, dan melembagakan prosedur pemantauan.
Lanskap risiko dan pengendalian telah berubah secara signifikan selama tiga dekade terakhir. Perubahan

operasional, seperti kemajuan teknologi, globalisasi, outsourcing (domestik dan luar negeri), kompleksitas pasar
keuangan, dan pergeseran demografi, telah memaparkan organisasi pada serangkaian dinamika risiko yang
memerlukan kreativitas dan kewaspadaan terus-menerus. Pengendalian dan prosedur manual memiliki nilai terbatas
dalam lingkungan dimana kondisi dapat berubah dengan cepat, dan ekspektasi yang tiada henti akan biaya yang
lebih rendah dan kualitas yang lebih tinggi memerlukan otomatisasi, kecepatan, dan akurasi.

65
66▪Audit Operasional

Di tengah semua dinamika ini, auditor internal diposisikan secara unik untuk membantu manajemen dan dewan
direksi mereka, dan melakukan advokasi bagi pemangku kepentingan lainnya yang tidak memiliki akses langsung ke
peristiwa bisnis sehari-hari, namun kepentingannya juga harus dilindungi.

Penilaian Risiko
Penilaian risiko adalah proses mengidentifikasi, mengukur, dan menganalisis risiko yang relevan dengan suatu
program atau proses. Penilaian ini bersifat sistematis, berulang, dan bergantung pada masukan dan faktor
kuantitatif dan kualitatif. Selain itu, hal ini juga bergantung pada jangka waktu peninjauan.

Identifikasi Risiko

Aspek kunci dari setiap penilaian risiko adalah identifikasi risiko yang relevan. Ini berbentuk daftar risiko.
Seringkali langkah ini tidak cukup menyeluruh atau dilakukan oleh individu yang memiliki pengetahuan terbatas
mengenai proses yang dinilai. Akibatnya, hanya sebagian risiko relevan yang teridentifikasi. Hal ini menimbulkan
beberapa keterbatasan, yang pertama dan terpenting adalah kenyataan bahwa semua tindakan lain yang terkait
dengan penilaian risiko juga akan terbatas. Jika suatu risiko belum teridentifikasi, risiko tersebut juga tidak akan
diukur atau dianalisis.

Auditor internal terkadang gagal mengidentifikasi risiko yang relevan karena kurangnya pengetahuan
mendalam tentang proses yang diaudit. Hal ini dapat dimengerti sampai batas tertentu karena mereka adalah
pengulas eksternal. Pada saat yang sama, hal ini menyoroti pentingnya auditor melakukan perencanaan dan penelitian
yang memadai sehingga mereka memahami aktivitas yang terlibat. Alasan lain mengapa auditor terbatas dalam
mengidentifikasi risiko adalah bias yang mungkin dimiliki sebagian orang sebagai akibat dari pelatihan umum yang
dimiliki banyak orang di bidang akuntansi. Jika auditor mempunyai pendidikan di bidang akuntansi, mempunyai
pengalaman di bidang akuntansi, dan fokus utamanya pada audit akuntansi dan kepatuhan, maka auditor akan
cenderung melihat sebagian besar permasalahan dari sudut pandang akuntansi dan kepatuhan. Meskipun hal ini
juga dapat dimengerti,
Untuk menghindari masalah ini, ada baiknya untuk melibatkan orang-orang yang memiliki pengetahuan luas
tentang program atau proses yang akan dianalisis dalam latihan identifikasi risiko. Ini termasuk para eksekutif,
karyawan dengan keterampilan teknis khusus, dan mereka yang memiliki masa kerja panjang di organisasi.
Pengalaman dan keahlian mereka bisa sangat membantu pada tahap proses ini dan juga sama pentingnya dalam
langkah selanjutnya.
Cara lain untuk mengidentifikasi risiko yang relevan adalah dengan menggunakan daftar yang telah disiapkan.
Ada beberapa templat dan daftar yang tersedia, sering kali diatur berdasarkan industri. COSO, ISO, Information
Technology Infrastructure Library (ITIL), CVNET, dan lainnya telah menyiapkan daftar yang dapat membantu
mengidentifikasi beberapa risiko utama yang harus dimasukkan dalam penilaian. Saat menggunakannya, auditor
harus selalu mempertimbangkan kekhasan organisasinya dan memastikan bahwa daftar tersebut disesuaikan.
Meskipun banyak item dalam daftar yang telah disiapkan relevan, hal ini tidak selalu terjadi.
Berikut ini adalah beberapa risiko umum yang harus dipertimbangkan oleh auditor operasional selama
penilaian risiko mereka. Tidak semua risiko dapat diterapkan pada setiap organisasi karena perbedaan dalam
industri, aktivitas bisnis, lokasi geografis, dan ukuran organisasi menyebabkan perbedaan. Selain itu, ketika
melakukan tinjauan operasional, auditor harus memeriksa risiko yang lebih luas, dan bukan hanya risiko keuangan.
Penting bagi auditor internal untuk mengingat bahwa ada kendala internal dan eksternal dalam organisasi.
Kendala internal biasanya mencakup
 Penilaian Risiko▪67

Tabel 3.1 Jenis Risiko Operasional

Jenis Keterangan

Kapasitas ▪ Ketidakmampuan untuk memproduksi unit sebanyak yang dibutuhkan

▪ Proses menghasilkan limbah dalam jumlah berlebihan

▪ Memproduksi terlalu banyak suku cadang yang cacat (yaitu, tingkat kesalahan)

▪ Menyerahkan barang atau jasa yang dipesan melewati tanggal yang dijanjikan

▪ Ketidakmampuan untuk memberikan layanan berkualitas tinggi kepada setiap

pelanggan
Strategis ▪ Gagal menjaga hubungan yang bermanfaat dengan pelanggan

▪ Ketidakmampuan sistem komputer untuk mendukung kebutuhan unit

operasi

▪ Lini manufaktur tidak mampu mengimbangi pertumbuhan penjualan

▪ Kurangnya pendanaan untuk membiayai ekspansi bisnis

▪ Pengetahuan terkuras karena pergantian karyawan

▪ Kegagalan untuk merespons perubahan preferensi pelanggan

Kepatuhan ▪ Kegagalan untuk memenuhi persyaratan eksternal (misalnya undang-undang

dan peraturan)

▪ Kegagalan memenuhi persyaratan prosedur operasi standar (SOP) internal

▪ Kegagalan untuk memenuhi persyaratan gabungan (misalnya kontrak)

Lingkungan alami ▪ Gangguan pasokan energi

▪ Kerusakan akibat kebakaran, air, atau bencana alam (misalnya banjir, gempa
bumi, angin topan, dan angin puting beliung)

▪ Ketidakmampuan untuk mengamankan sumber daya yang dibutuhkan (misalnya air

dan mineral)
▪ Ketergantungan pada sumber energi berbasis karbon

▪ Gangguan usaha yang disebabkan oleh penyakit

Politik ▪ Perubahan peraturan perundang-undangan karena adanya perubahan pemerintahan

▪ Kerusuhan sosial dipicu oleh pergantian pemerintahan

Peralatan. Jenis peralatan yang tersedia dan cara penggunaannya membatasi kemampuan proses untuk
menghasilkan lebih banyak barang berkualitas tinggi dan memberikan layanan. Rakyat.
Kurangnya pekerja yang terampil dan termotivasi membatasi kapasitas produktif dari setiap proses.
Sikap dan model mental lainnya (misalnya, perasaan kalah, menjadi korban, atau putus asa) yang
dianut oleh pekerja dapat mengarah pada perilaku yang menjadi kendala dalam proses tersebut.
68▪Audit Operasional

Kebijakan. Kebijakan tertulis dan tidak tertulis dapat menghalangi proses produksi barang dan jasa
yang lebih berkualitas.

Selain itu, ketika mengevaluasi dinamika dan risiko internal, auditor internal harus memperhatikan:

(1) operasi paling lambat dalam suatu proses, (2) sinkronisasi aktivitas di dalam atau antar proses, dan (3) merampok
material dan sumber daya lain di dalam atau di luar proses. antar proses atau unit. Menurut pengalaman saya,
banyak permasalahan operasional yang terwujud karena satu atau beberapa dinamika ini.

Pengukuran Risiko
Setelah risiko diidentifikasi, risiko tersebut harus diukur. Proses pengukuran dapat bersifat subyektif atau
kuantitatif, dan didorong oleh fakta atau tidak. Pengukuran subjektif didorong oleh pengalaman dan intuisi
partisipan mengenai risiko yang ada. Seringkali, risiko diukur menggunakan skala tiga poin yaitu tinggi – sedang
– rendah. Dengan menggunakan ukuran-ukuran ini, dampak risiko, jika risiko itu terwujud, dan kemungkinan
risiko, jika risiko itu terjadi, akan dinilai. Hal ini juga dapat dilakukan dengan menggunakan skala lima poin,
dengan ukuran kemungkinan yang jarang–tidak mungkin–mungkin–mungkin–hampir pasti. Ukuran dampak
dapat mencakup dampak tidak signifikan – kecil – sedang – besar – bencana.
Keterbatasan utama dalam penggunaan langkah-langkah ini adalah bahwa langkah-langkah tersebut tidak
didasarkan pada angka atau fakta yang jelas. Dengan demikian, risiko “minor” pada satu orang, bisa jadi risiko
“sedang” bagi orang lain, dan seterusnya. Meskipun perbedaan pendapat ini akan selalu ada, prevalensi dan
besarnya perbedaan tersebut umumnya meningkat jika prosesnya sebagian besar bersifat subjektif.
Untuk memperbaikinya, nilai-nilai dapat dilampirkan pada penilaian seperti yang ditunjukkan pada Gambar 3.1 dan

3.2. Ada yang berpendapat bahwa nilai probabilitas tidak harus linier dan disusun dalam interval berukuran
sama. Misalnya, Derbyshire di Inggris Utara menggunakan skala kemungkinan berikut yang ditunjukkan pada Tabel
3.2.1

Dampak Rentang ($)

1 Dapat diabaikan 0 ke 50.000

2 Marjinal 50.001 ke 100.000
3 Kritis 100.001 ke 200.000
4 Berat 200.001 ke 500.000
5 Bencana besar 1 juta+

Gambar 3.1 Peringkat dampak berdasarkan jangkauan.

Kemungkinan Jangkauan (%)

1 Tidak sepertinya 0 ke 20
2 Terpencil 21 ke 40
3 Mungkin 41 ke 60
4 Mungkin 61 ke 80
5 Sangat mungkin 80 ke 100

Gambar 3.2 Peringkat kemungkinan berdasarkan rentang.

 Penilaian Risiko▪69

Tabel 3.2 Contoh Peringkat Kemungkinan Nonlinier

Tingkat Deskripsi Kemungkinan Lebih Dari 5 Tahun Kemungkinan Lebih Dari 5 Tahun

1 > 0,005% > 1 dalam 20.000 peluang

Rendah

2 Sedang–rendah > 0,05% > Peluang 1 dalam 2000

3 Sedang > 0,5% > 1 dalam 200 peluang

4 Sedang–tinggi > 5% > 1 dari 20 peluang

5 Tinggi > 50% > Peluang 1 dalam 2

Demikian pula, peringkat dampak dapat diperluas untuk memberikan deskripsi yang lebih rinci mengenai
rentang masing-masing dampak. Hal ini mungkin mencakup variabel-variabel seperti tingkat gangguan terhadap
organisasi, cedera tubuh pada pekerja dan orang lain, keamanan, kesehatan dan keselamatan, dampak sosial,
ekonomi, dan lingkungan (Tabel 3.3 dan 3.4).2

Meskipun pendekatan ini telah digunakan secara luas selama bertahun-tahun oleh auditor dan pihak lain,
pendekatan kuantitatif yang lebih tepat kini bermunculan untuk menghubungkan data dengan ukuran-ukuran
yang ditunjukkan di atas. Mulai dari yang cukup sederhana hingga yang sangat kompleks berdasarkan algoritma
ekstensif dan data historis. Meskipun banyak organisasi tidak siap untuk mengadopsi pendekatan yang sangat
kompleks, tren dan harapannya adalah bahwa seiring berjalannya waktu, organisasi akan meningkatkan
kecanggihannya, dan menggabungkan data yang lebih nyata, dapat diverifikasi, dan kuat. Misalnya dalam
menghitung dampak atau akibat kebakaran suatu gudang, kemungkinannya dapat didasarkan pada intuisi dan
tingkat kepedulian terhadap barang yang disimpan dan dikerjakan di gudang tersebut.

Jika kita mempertimbangkan kemungkinan truk pengantar barang mengalami kecelakaan di pinggir jalan,
ukuran kuantitatifnya dapat ditingkatkan dengan melihat data Dewan Keselamatan Transportasi Nasional dan
industri asuransi yang menunjukkan tingkat kecelakaan kendaraan serupa per 100.000 mil di jalan. Angka tersebut
dapat disesuaikan dengan kepadatan wilayah (rute perkotaan vs. pinggiran kota vs. pedesaan), kondisi cuaca
(misalnya, wilayah bersalju vs. hujan vs. gersang), topografi (misalnya, berbukit vs. datar), waktu (misalnya, siang
hari vs. .malam hari), dan berat muatan (misalnya, beban ringan vs. berat).
Demikian pula dampak terhadap organisasi dan operasionalnya jika terjadi kebakaran di gudang

dapat didasarkan pada keyakinan dan asumsi, atau dapat didasarkan pada nilai penggantian bangunan dan nilai rata-
rata (atau tertinggi) dari persediaan yang disimpan. di fasilitas tersebut. Angka-angka ini dapat disesuaikan secara
berkala untuk memastikan bahwa pengukurannya seakurat mungkin.
Pendekatan yang sama dapat diterapkan pada truk pengiriman, dimana dampak terhadap organisasi dan pihak lain
dapat didasarkan pada statistik industri dan sejarah perusahaan, nilai rata -rata dan jenis barang pengiriman, serta
cakupan tambahan untuk potensi cedera dan kerusakan pada pihak lain.

Spesifikasi teknik, statistik industri, dan data historis dapat membantu organisasi memperoleh data untuk
pendekatan ini. Analisis skenario, analisis Monte Carlo, dan simulasi pohon keputusan adalah contoh alat
pengambilan keputusan pemodelan probabilistik. Hal-hal tersebut berada di luar cakupan buku ini, namun semakin
banyak digunakan untuk menilai eksposur dengan lebih baik.
 70▪Audit Operasional
Dapat diabaikan—sangat rendah
Marginal—rendah—minor
kerusakan atau bahaya
Kritis—moderat—signifikan
kerusakan atau bahaya yang besar
Parah—sangat—serius
kerusakan atau bahaya
(Lanjutan)
Peringkat Dampak
Sangat sedikit kerusakan atau kerugian. Tidak ada gangguan dalam operasional.
Jumlah cedera atau dampak terhadap kesehatan yang tidak signifikan.
Jumlah orang yang mengungsi dalam jumlah kecil dan dukungan
pribadi yang diperlukan tidaklah signifikan. Gangguan yang tidak
signifikan terhadap layanan masyarakat, atau terhadap perekonomian
lokal
Tidak ada gangguan berarti dalam operasional. Acaranya kurang
kemungkinan besar akan menyebabkan kerugian yang signifikan terhadap
staf atau orang lain dan dapat dikelola. Sejumlah kecil orang yang terkena
dampak, tidak ada korban jiwa, dan sejumlah kecil luka ringan diobati dengan
pengobatan pertolongan pertama. Kerusakan kecil pada properti atau
perpindahan sejumlah kecil orang dalam waktu kurang dari 24 jam dan
diperlukan dukungan pribadi ringan. Gangguan kecil yang bersifat lokal
terhadap layanan masyarakat atau infrastruktur yang berlangsung kurang
dari 24 jam. Dampaknya terhadap perekonomian lokal dapat diabaikan dan
biayanya mudah diserap. Terdapat dampak kecil terhadap lingkungan dan
tidak mempunyai dampak yang bertahan lama
Peristiwa dapat menyebabkan beberapa gangguan singkat terhadap operasional.
Kemungkinan besar akan terjadi cedera parah pada staf dan dapat
mengakibatkan hilangnya aset dalam jumlah sedang, namun kejadian
tersebut masih dapat dikendalikan. Jumlah korban yang signifikan,
beberapa memerlukan rawat inap dan perawatan medis. Kerusakan
yang terbatas pada lokasi tertentu, atau pada sejumlah lokasi, namun
memerlukan sumber daya tambahan. Perpindahan lokal lebih dari 100
orang hingga 3 hari. Gangguan terhadap infrastruktur dan pelayanan
masyarakat. Dampak yang terbatas terhadap perekonomian lokal
dengan hilangnya produksi dalam jangka pendek dan kemungkinan
biaya pembersihan tambahan. Dampak terbatas terhadap lingkungan
lokal dengan dampak jangka pendek atau jangka panjang
Dapat menyebabkan gangguan atau penangguhan yang signifikan
operasi. Dapat menyebabkan cedera parah atau kematian pada pekerja
atau anggota staf. Dapat mengakibatkan hilangnya aset dan keuangan
secara besar-besaran dan sangat membahayakan kemampuan
perusahaan. Sulit untuk dikelola. Sejumlah besar orang di daerah yang
terkena dampak terkena dampak dengan banyak kematian, banyak
cedera serius atau luas, dan rawat inap yang signifikan. Kerusakan yang
signifikan memerlukan sumber daya eksternal untuk mendukung
respons lokal. 100–500 orang dalam bahaya dan mengungsi selama
lebih dari 1 minggu. Dampak signifikan dan kemungkinan terhentinya
penyampaian beberapa layanan masyarakat lokal. Dampak signifikan
terhadap perekonomian lokal dengan hilangnya produksi jangka
menengah. Biaya pembersihan dan pemulihan ekstra yang signifikan.
Dampak signifikan terhadap lingkungan dengan dampak jangka
menengah dan panjang
 Penilaian Risiko▪71

TABEL 3.3(Lanjutan) Peringkat Dampak yang Diperluas

Peringkat Dampak

Bencana—sangat tinggi—
kritis—ekstrim
kerusakan atau bahaya
Dapat mengakibatkan penghentian operasi jangka panjang dan kemungkinan
penutupan kantor atau program. Kekhawatiran akan hilangnya nyawa dalam waktu
dekat. Kehilangan atau kerusakan aset yang besar dan sulit untuk dipulihkan. Sangat
sulit atau tidak mungkin untuk dikelola.
Sejumlah besar orang di daerah yang terkena dampak terkena dampakdengan jumlah
korban jiwa yang signifikan, jumlah orang yang membutuhkan juga sangat besar
rawat inap dengan cedera serius dengan efek jangka panjang. Kerusakan parah
pada properti dan infrastruktur di daerah yangterkena dampak memerlukan
pembongkaran besar-besaran.
Diperlukan perpindahan lebih dari 500 orang secara umum dan meluas dalam
jangka waktu lama dan memerlukan dukungan pribadi yang ekstensif.
Kerusakan infrastruktur menyebabkan gangguan signifikan, atau hilangnya,
layanan-layanan utama dalam jangka waktu yang lama. Masyarakat tidak dapat
berfungsi tanpa dukungan yang signifikan dan terdapat dampak serius terhadap
perekonomian lokal dan regional dengan kerugian produksi jangka panjang dan
berpotensi permanen. Biaya pembersihan dan pemulihan yang besar. Dampak
jangka panjang yang serius atau kerusakan permanen terhadap lingkungan

Matriks Risiko
Matriks risiko adalah alat yang banyak digunakan dan sangat efektif untuk mencatat dan menganalisis tujuan,
risiko, dan pengendalian dalam program atau proses yang diaudit sebagaimana didefinisikan dalam definisi
ruang lingkup. Matriks risiko merupakan unsur penting ketika melakukan audit berbasis risiko, karena matriks
risiko menyediakan sarana untuk menangkap dan menganalisis hal-hal tersebut.
Tata letaknya berbeda-beda menurut organisasi, tetapi secara umum terlihat seperti terlihat pada Gambar 3.3.

Menilai Risiko dan Jenis Pengendalian

Penilaian risiko adalah aktivitas kompleks yang sebagian orang bingung dengan manajemen risiko. Penilaian risiko
adalah sebuah proses, yang artinya bersifat dinamis, dan hal ini mulai menunjukkan kurangnya pemahaman sebagian
orang mengenai hal ini.
Bagi sebagian orang, penilaian risiko terdiri dari menebak seberapa besar kemungkinan terjadinya sesuatu yang
buruk, dan jika hal tersebut terjadi, tebak apa dampaknya. Hal ini dilakukan beberapa orang hanya untuk
menanggapi permintaan orang lain sehingga mereka dapat mengeluarkan tugas tersebut dari daftar “tugas”
mereka.
Penilaian risiko merupakan proses yang sering dilakukan secara berulang. Prosesnya dimulai dengan
mengidentifikasi potensi bahaya dan menganalisis hal-hal tersebut untuk menentukan apa yang bisa terjadi jika
bahaya itu terjadi.
Ada banyak kejadian negatif yang dapat terjadi, sehingga organisasi harus mempertimbangkan banyaknya
bahaya yang mungkin atau mungkin dihadapi oleh organisasi dan pemangku kepentingannya. Hal ini dapat
terjadi tergantung pada besarnya, lokasi, waktu, kecepatan, dan persistensi bahaya yang menyebabkan kerusakan
pada organisasi, pemangku kepentingan, dan asetnya. Aspek penting dari penilaian risiko adalah
72▪Audit Operasional
mengidentifikasi dan mengukur aset yang berisiko.
 Penilaian Risiko▪73

Tabel 3.4 Peringkat Kemungkinan yang Diperluas

Peringkat
Kemungkinan
Peristiwa tersebut dianggap tidak realistis kemungkinan
Tidak mungkin – sangat rendah
terjadinya hal yang merugikan organisasi dalam kondisi
yang berlaku. Organisasi ini hanya mempunyai sedikit
paparan terhadap ancaman tersebut

Jauh—rendah—agak mungkin Peristiwa tersebut dinilai wajar

kemungkinan terjadinya dan mempengaruhi organisasi dalam
kondisi yang berlaku. Organisasi ini mempunyai beberapa,
namun terbatas, paparan terhadap ancaman tersebut. Hal ini juga
dapat mengindikasikan kelemahan dalam langkah-langkah
keamanan yang ada

Mungkin—sedang—mungkin Peristiwa tersebut dinilai memiliki probabilitas yang cukup

tinggi terjadi dan mempengaruhi organisasi dalam kondisi
yang berlaku. Organisasi mempunyai paparan yang wajar
terhadap ancaman tersebut. Hal ini mungkin menunjukkan
langkah- langkah keamanan yang tidak memadai

Sangat mungkin—tinggi Peristiwa tersebut dinilai memiliki probabilitas yang sangat tinggi
terjadi dan mempengaruhi organisasi dalam kondisi yang
berlaku. Organisasi mempunyai tingkat paparan ancaman yang
tinggi. Hal ini dapat mengindikasikan lemahnya langkah-
langkah keamanan

Pasti atau akan segera terjadi—sangat Peristiwa ini dianggap sudah dekat dan diharapkanterjadi.
tinggi Organisasi ini memiliki tingkat paparan ancaman yang
sangat tinggi. Hal ini dapat menunjukkan kurangnya/tidak
adanya langkah- langkah keamanan yang tepat

Tujuan Resiko Kontrol Langkah-langkah program audit

Tujuan Resiko SORC IT F Masalah. Imp. Vel Pers. Kontrol P/DA/MX/D/W/M/Q Langkah -l angkah audi t

O1 R11 Bab 111 AS1 (C111, C112, C113, C121)

Bab 112

Bab 113

R12 Bab 121 AS2 (C122, C123)

Bab 122

Bab 123

Bab 124 AS3 (C124)

R13 -

- Bab 141

Gambar 3.3 Matriks risiko.

74▪Audit Operasional

Meskipun kata “aset” biasanya dikaitkan dengan sumber daya moneter, barang berwujud (misalnya bangunan,
kendaraan, mesin, dan inventaris), reputasi, serta kesehatan dan keselamatan karyawan dan pelanggan juga penting,
karena reputasi yang buruk atau cedera merupakan pertimbangan penting dalam penilaian risiko apa pun.
Kerusakan pada TI perusahaan juga merupakan pertimbangan utama, karena sejumlah besar sumber daya biasanya
diinvestasikan pada item-item ini dan gangguan terhadap kelanjutan operasinya dapat menyebabkan gangguan parah
pada organisasi. Terjadinya peristiwa risiko dapat berdampak negatif pada hubungan organisasi dengan pelanggan,
pemasok, masyarakat sekitar, investor, dan pemangku kepentingan lainnya. Hilangnya kepercayaan terhadap
organisasi, kepemimpinannya, produknya, dan layanannya bisa sangat parah.
Melakukan penilaian risiko berarti kita harus mencari kelemahan (terkadang disebut
sebagai kerentanan) yang dapat membuat suatu aset rentan terhadap kerusakan atau kerugian akibat bahaya
tersebut. Terkait kerentanan, beberapa kelemahan yang umum adalah usia, kondisi, dan lokasi bangunan, serta
isinya (misalnya, di dekat pantai atau wilayah seismik, sistem kritis di lantai bawah yang rentan terhadap banjir,
lokasi kantor bersama). Sebagai ilustrasi, sebuah gudang tanpa sistem sprinkler kebakaran dapat mengalami
kerugian total, atau setidaknya kerusakan yang jauh lebih parah dibandingkan bangunan dengan sistem sprinkler
kebakaran yang dirancang, dipasang, dipelihara, dan diperiksa secara profesional secara profesional. Demikian pula,

Kamus Bisnis mendefinisikan kerentanan sebagai “sejauh mana manusia, properti, sumber daya, sistem, dan
aktivitas budaya, ekonomi, lingkungan, dan sosial rentan terhadap bahaya, degradasi, atau kehancuran karena
terpapar oleh agen atau faktor yang bermusuhan.”3Dengan mengingat definisi ini, auditor internal dapat bekerja
dengan manajemen untuk memeriksa segala aspek organisasi. Proses mengidentifikasi peristiwa yang relevan akan
ditentukan oleh definisi ruang lingkup tinjauan, dan dapat dilakukan dengan mengikuti salah satu pendekatan berikut.
Berdasarkan tujuan. Identifikasi peristiwa yang dapat menghambat kemampuan organisasi untuk mencapai
tujuannya sebagian atau seluruhnya. Dalam hal ini, brainstorming dan metode Adelphi mungkin merupakan teknik
yang berguna untuk mengumpulkan informasi yang relevan dan menilai dampak dari peristiwa tersebut. Perlu
dicatat bahwa peristiwa tersebut tidak harus bersifat negatif dalam penafsiran langsungnya. Misalnya, perubahan
cepat dalam ketersediaan broadband, aplikasi, dan cara konsumen menggunakan ponsel mengubah dinamika industri
yang membatasi pangsa pasar BlackBerry, sementara Apple, Samsung, dan LG memanfaatkan dinamika ini dan
tumbuh pesat. Kejadiannya sama, dampaknya terhadap organisasi berbeda nyata bagi perusahaan-perusahaan yang
disebutkan.
Berdasarkan skenario. Buat skenario berbeda atau cara alternatif untuk mencapai tujuan dan tentukan
bagaimana kekuatan berinteraksi. Pendekatan yang berguna adalah dengan mengidentifikasi pemicu yang dapat
memulai-menghentikan terjadinya berbagai skenario. Dengan mengidentifikasi dan memahami pemicu yang
disebabkan atau dipercepat oleh skenario ini, organisasi dapat mempersiapkan diri dengan lebih baik dalam
memanfaatkan peluang dan menghindari konsekuensi negatif.

Untuk salah satu dari dua pendekatan ini, manajemen harus mempertimbangkan faktor eksternal dan internal
yang dapat mempengaruhi terjadinya peristiwa:

Luar. Misalnya faktor ekonomi, bisnis, lingkungan alam, politik, sosial, danteknologi.
Intern. Contohnya termasuk infrastruktur, personel, proses, dan teknologi.

Untuk mengidentifikasi peristiwa, manajemen harus melihat masa lalu dan masa depan untuk
mengidentifikasi tren, pergeseran demografi, pasar baru, aktivitas pesaing, dan lain-lain. Dalam banyak kasus,
 Penilaian Risiko▪75

peristiwa-peristiwa ini dipengaruhi oleh perubahan teknologi, perkembangan ekonomi, peningkatan tingkat melek
huruf, pencapaian pendidikan tinggi, peristiwa alam (misalnya banjir dan angin topan), dan perubahan demografi.
Peristiwa dapat mempunyai dampak positif atau negatif yang mewakili risiko dan peluang. Perkembangan ini
harus dimasukkan ke dalam proses penetapan tujuan dan penilaian risiko.

Pemeriksaan risiko umum. Gunakan daftar risiko umum yang telah dibuat sebelumnya di industri atau area
cakupan Anda. Teknik ini dijelaskan lebih detail di bawah.
Bagan risiko. Kombinasi pendekatan di atas terdiri dari daftar sumber daya yang berisiko dan ancaman terhadap
sumber daya tersebut. Identifikasi faktor risiko dan konsekuensinya. Bahaya menjadi perhatian jika dapat
mengakibatkan kerugian pada program, proses, atau organisasi. Dampak dari bahaya-bahaya ini dan cara
menguranginya merupakan aspek berikutnya dari proses penilaian risiko. Halini disebut sebagai mitigasi.
Ada banyak bahaya yang dapat mengancam keselamatan dan kelangsungan operasi suatu organisasi (Tabel 3.5).
Daftar bahaya yang ada sangat banyak, dan sumber daya yang tersedia untuk mengidentifikasi dan
memasukkannya ke dalam penilaian risiko juga telah meningkat dalam beberapa tahun terakhir. Berikut ini adalah
beberapa sumber daya yang tersedia.
Badan Manajemen Darurat Federal menyediakan Platform Informasi Pemetaan dan MAP Risiko

(Pemetaan, Penilaian, dan Perencanaan) untuk membantu organisasi dengan memberikan data yang meningkatkan
kesadaran masyarakat dan mengarah pada tindakan untuk mengurangi risiko terhadap properti dan kehidupan.4
Layanan Geologi AS (USGS) memiliki banyak informasi seismik untuk membantu organisasi mengidentifikasi
kerentanan mereka dari garis patahan, dan riwayat insiden sebagai kemungkinan ukuran aktivitas di masa depan
melalui analisis probabilitas berdasarkan lokasi, rentang waktu, dan radius dari lokasi yang ditentukan. . USGS juga
memberikan informasi terkait tanah longsor, aktivitas gunung berapi, sedangkan Administrasi Keselamatan dan
Kesehatan Kerja Departemen Tenaga Kerja AS,juga memberikan informasi tentang bahaya di tempat kerja.5
Layanan Cuaca Nasional menyediakan informasi hujan, angin topan, kualitas udara, badai musim dingin, banjir,
dan cuaca laut, yang dapat berdampak besar pada kesehatan, keselamatan, dan

Tabel 3.5 Bahaya Organisasi

Bahaya Contoh

Alami Banjir, gempa bumi, angin topan, suhu, pandemi, dankontaminasi

Manusia Tidak disengaja: peralatan yang dioperasikan dengan buruk, prosedur kerja yang tidak aman,
kelelahan, kurang latihan, dan gangguan

Disengaja: kekerasan di tempat kerja, pemogokan, pembakaran, dan penipuan

Mekanis Peralatan yang ditempatkan atau dipasang dengan buruk, peralatan usang, struktural
kegagalan dan kerusakan mekanis, dan bahan berbahaya

Teknologi Hilangnya konektivitas dan data rusak

Logistik Gangguan pemasok dan gangguan transportasi

76▪Audit Operasional

pengoperasian proses organisasi. Ingat dampak turunnya salju yang sangat dingin dan lebatterhadap jaringan MBTA
selama musim dingin tahun 2015.6
Kekerasan di tempat kerja telah mendapatkan banyak perhatian sebagai akibat dari beberapa insiden yang
mempengaruhi keselamatan di tempat kerja, beberapa di antaranya berakibat fatal. Kelompok Respons Insiden
Kritis FBI menerbitkanKekerasan di Tempat Kerja: Masalah dalam Responsnya panduan. Kekerasan di tempat kerja
dapat disebabkan oleh satu atau beberapa individu yang tidak puas (misalnya karyawan dan pelanggan), namun juga
dapat disebabkan oleh kelompok terorganisir (misalnya teroris). Sifat kekerasan di tempat kerja yang terus
berkembang memerlukan penilaian manajemen untuk melindungi fasilitas perusahaan, karyawan, dan pengunjung.
Meskipun ancaman terorisme semakin menghantui pikiran masyarakat, pembunuhan massal ini, meskipun serius,
relatif jarang terjadi. Sebaliknya, ancaman, pelecehan, penindasan, kekerasan dalam rumah tangga, penguntitan,
pelecehan emosional, intimidasi, dan bentuk perilaku lainnya serta kekerasan fisik dapat mengakibatkan perilaku
kekerasan yang lebih serius. Hal ini terutama terjadi jika tidak ada kebijakan yang ada, kebijakan tersebut tidak
memadai, atau tidak ditegakkan oleh supervisor dan manajer. Penyelia dan manajer harus menangani masalah ini
dengan segera, tegas, dan konsisten.

Pengusaha mempunyai kewajiban hukum dan etika untuk menciptakan lingkungan kerja yang bebas dari
ancaman dan kekerasan dan, sebagai tambahan, mereka dapat menghadapi kerugian ekonomi akibat kekerasan dalam
bentuk hilangnya waktu kerja, rusaknya moral dan produktivitas pekerja, serta peningkatan pembayaran
kompensasi pekerja. , biaya pengobatan, dan kemungkinan tuntutan hukum serta biaya pertanggungjawaban.
Badan Perlindungan Lingkungan (EPA) memberikan informasi dan bantuan mengenai dampak berbahaya
terhadap kesehatan manusia atau sistem ekologi yang disebabkan oleh paparan terhadap entitas fisik, kimia, atau
biologis apa pun yang dapat mengakibatkan respons buruk (disebut pemicu stres). Dalam hal ini, yang menjadi
perhatian khusus adalah berapa banyak bahan kimia yang ada, berapa banyak paparan yang dapat atau telah terjadi,
dan toksisitas bahan kimia tersebut. Akibatnya, proses penilaian penilaian risiko kesehatan manusia terdiri dari
identifikasi bahaya, diikuti dengan analisis hubungan antara paparan dan efek (yaitu penilaian dosis-respons),
penilaian paparan untuk mencatat apa yang diketahui tentang frekuensi, waktu, dan tingkat kontak dengan
stresor dan terakhir,

Proses ini dapat difasilitasi dengan mengajukan serangkaian pertanyaan, misalnya

▪ Jenis masalah kesehatan apa yang mungkin disebabkan oleh faktor stres lingkungan seperti bahan kimia dan
radiasi?
▪ Seberapa besar kemungkinan orang akan mengalami masalah kesehatan ketika terpapar pada tingkat
stres lingkungan yang berbeda-beda?
▪ Apakah ada tingkat di bawah ini dimana beberapa bahan kimia tidak menimbulkan risiko kesehatan
manusia? Faktor pemicu stres lingkungan apa saja yang dialami manusia, pada tingkat apa, dan berapa
lama?
▪ Apakah beberapa orang lebih rentan terhadap pemicu stres lingkungan karena faktor-faktor seperti usia,
genetika, kondisi kesehatan yang sudah ada sebelumnya, praktik etnis, jenis kelamin, dan lain-lain?
▪ Apakah beberapa orang lebih mungkin terkena stresor lingkungan karena faktor-faktor seperti tempat
mereka bekerja, tempat mereka bermain, makanan apa yang mereka sukai, dan lain-lain?7

EPA, seperti USGS, National Weather Service, dan lainnya, menyediakan berbagai database, model, dan alat
lain untuk melakukan penilaian risiko.8Penggunaan perangkat kuantitatif ini membantu organisasi menghindari,
atau setidaknya membatasi, jumlah perkiraan yang menjadi ciri khasnya
 Penilaian Risiko▪77

beberapa penilaian risiko sehingga penghitungan kemungkinan dan dampak dapat dilakukan denganlebih ilmiah.
Jawaban atas pertanyaan-pertanyaan semacam ini membantu para pengambil keputusan, baik orang tua atau
pejabat publik, untuk memahami kemungkinan risiko kesehatan manusia dari media lingkungan.
Di kalangan teknologi, kerentanan dan paparan umum (CVE) adalah daftar kerentanan dan paparan
keamanan informasi yang memberikan nama umum untuk masalah keamanan siber yang diketahui. Dijalankan oleh
Departemen Keamanan Dalam Negeri AS, ini adalah sumber daya publik dan gratis yang memudahkan berbagi data
di seluruh alat dan layanan. Daftar CVE memberikan informasi penting ke Basis Data Kerentanan Nasional (NVD)
AS untuk memberikan informasi yang ditingkatkan untuk setiap pengidentifikasi (juga dikenal sebagai nama atau
nomor CVE), seperti tindakan perbaikan, tingkat keparahan dan dampak yang diatur oleh vendor, produk, repositori,
versi produk , jenis kerentanan, dan informasi eksploitasi.

Karena CVE memberikan informasi tentang beberapa alat dan cakupan yang disediakan oleh masing -masing alat,
CVE memungkinkan organisasi memindai sistem deteksi intrusi mereka untuk menentukan apakah mereka
memiliki perlindungan yang tepat untuk mengidentifikasi upaya untuk mengeksploitasi kerentanan tertentu.
Kerentanan dalam perangkat lunak dapat digunakan oleh peretas untuk mendapatkan akses ke sistem atau
jaringan, sehingga dengan memiliki informasi ini memungkinkan organisasi untuk mencegah kemungkinan
serangan.
Melalui saran keamanan, organisasi dapat memeriksa database, alat, dan layanan mereka untuk memastikan
mereka segera mengidentifikasi perbaikan yang diperlukan dari produk perangkat lunak vendor. Jadi, jika vendor
dan pelanggan menggunakan standar CVE dan kompatibel dengan CVE, akan lebih mudah dan cepat untuk
mengidentifikasi dan memperbaiki kerentanan. Pada akhirnya organisasi akan mengetahui alat mana yang paling
efektif untuk kebutuhan organisasi karena mereka dapat menghubungkan database untuk mengetahui kelemahan
yang ada. Dengan informasi ini, dan NVD AS, para pemimpin bisnis dapat mengidentifikasi solusi yang akan
melindungi sistem organisasi.9

Ketika manajemen menilai eksposur mereka terhadap berbagai risiko, mereka harus memberikan perhatian
khusus pada keamanan data. Hal ini lebih dari sekedar menilai informasi identitas pribadi yang cenderung
ditampilkan dalam banyak berita utama saat ini. Informasi yang berisiko mencakup kekayaan intelektual, rencana
strategis perusahaan, komunikasi (misalnya email), dan data operasional yang digunakan untuk mengambil
keputusan bisnis. Penting untuk memastikan organisasi berfokus pada integritas dan ketersediaan informasi dan
tidak hanya pada kerahasiaan informasi. Meskipun penting untuk berfokus pada peningkatan pengendalian guna
mencegah insiden siber, organisasi juga harus meningkatkan kemampuannya untuk memantau dan mengidentifikasi
apakah organisasi tersebut mengalami insiden siber. Untuk ini,
Jika dampaknya signifikan, organisasi harus mempertimbangkan untuk membuat strategi mitigasi. Jika
dampaknya sedang atau rendah, maka kegiatan pengendalian saja sudah cukup. Bahaya relevan jika terdapat aset
yang dapat terkena dampak negatif dari bahaya tersebut. Aset mencakup orang, properti, barang dagangan, dan
sistem komputer. Hal yang sangat menarik, dan alasan mengapa praktik ini penting bagi auditor dan pemimpin
bisnis, adalah kemungkinan dan besarnya dampak terhadap organisasi.
Dampaknya beragam, antara lain kerugian finansial, kerusakan properti, denda, tuntutan hukum, kehilangan
pelanggan, dan masih banyak lagi. Tabel 3.6 mengilustrasikan hubungan antara item-item tersebut.
Penilaian risiko, dengan identifikasi bahaya, aset yang berisiko, analisis dampak, dan aktivitas respons dapat
bermanfaat bagi organisasi dan meningkatkan kemungkinan tercapainya tujuan dan sasaran. Tantangan saat ini lebih
besar dibandingkan masa lalu, karena dalam lingkungan bisnis dan operasi yang dinamis dan sangat kompetitif saat
ini, organisasi yang kurang memiliki kemampuan untuk beradaptasi, dan memanfaatkan peluang secara proaktif,
kemungkinan besar akan gagal dibandingkan dengan organisasi yang tidak mengelola risiko dengan baik. hasil
yang merugikan.
78▪Audit Operasional

Tabel 3.6 Hubungan Bahaya, Aset Berisiko, dan Dampak Organisasi

Bahaya Aset Berisiko Dampak

Serangan dunia maya Properti Kerusakan properti

Kegagalan pemasok Manusia, properti Kerugian keuangan

Kerusakan mekanis Sistem Kehilangan pelanggan

Mesin Cedera pribadi

Pemadaman utilitas

Pandemi Reputasi, kawan Kontaminasi

Tumpahan bahan berbahaya Lingkungan Denda dan penalti

Terorisme Properti, manusia Tuntutan hukum, cedera pribadi

Kebakaran, ledakan, Properti, orang, mesin Hilangnya kepercayaan terhadap

keruntuhan struktural organisasi, kerugian finansial

Organisasi harus memiliki ketahanan, sehingga meskipun mengantisipasi dampak buruk adalah kunci
keberhasilannya, kurangnya fleksibilitas untuk menerima teknologi baru, memahami, dan memanfaatkan
teknologi baru, produk keuangan, pasar negara berkembang, dan dinamika sosial dapat menjadi penyebab
kehancuran.
Organisasi mungkin terlambat mengetahui bahwa organisasi lain telah memperoleh pangsa pasar, memperoleh
pendanaan yang diperlukan, dan mengurangi biaya operasional lebih cepat, sehingga menjadikannya tidak
kompetitif.

Pentingnya CSA
Auditor internal telah menyatakan bahwa manajemen dan dewan “memiliki” program dan proses organisasi,
tujuan dari program dan proses tersebut, risiko yang membahayakan pencapaian tujuan tersebut, dan
pengendalian yang mengurangi kemungkinan dan dampaknya. Meskipun hal ini benar, menurut pengalaman saya,
terlalu banyak manajer yang tidak menyadari kepemilikan ini. Selama seminar audit internal, saya sering bertanya
kepada lulusan perguruan tinggi baru-baru ini apakah mereka diminta untuk mengambil kelas audit internal dan
ketika kondisinya membaik, sering kali hanya jurusan akuntansi yang melaporkan bahwa mereka diminta untuk
mengambil kelas tersebut. Akibatnya, jika sebagian besar jurusan bisnis tidak menerima instruksi khusus mengenai
risiko dan pengendalian, berapa banyak pengajaran yang akan diterima oleh jurusan nonbisnis? Hal ini
memprihatinkan karena nantinya banyak yang mengambil tanggung jawab manajemen.
CSA dirancang untuk mengatasi kesenjangan ini. Mereka terdiri dari kuesioner dan dokumen lain yang
diselesaikan oleh pemilik proses yang mengidentifikasi aktivitas utama dalam program dan proses mereka, tujuan,
risiko dan pengendalian, individu yang melakukan tugas dan pengendalian utama, dan tantangan utama yang
mempengaruhi program dan proses ini. CSA mengharuskan manajer untuk memikirkan desain dan kondisi area
tanggung jawab mereka, serta menilai keberadaan dan kualitas pengendalian terkait.
Penerapan CSA masih jauh dari universal. Faktanya, ketika saya bertanya kepada peserta seminar apakah ada
program CSA di organisasi mereka, banyak yang menyatakan bahwa organisasi mereka belum memiliki program
CSA, dan mereka belum memulai proses penerapannya. Mereka yang sudah memiliki program tersebut sering
kali mengatakan bahwa program tersebut tidak memenuhi harapan mereka
 Penilaian Risiko▪79

ketentuan penggunaan di seluruh organisasi atau kualitas data yang diambil dalam dokumenini.
Saya telah menemukan bahwa kesuksesan membutuhkan banyak kerja keras, namun imbalannya sepadan dengan
usaha yang dilakukan. Prosesnya harus mencakup auditor internal yang berbicara dengan manajer selama masa
orientasi mereka. Pelatihan manajer harus mencakup topik yang berkaitan dengan pengendalian internal. Informasi
yang diperoleh selama proses CSA juga harus menjadi sasaran tinjauan audit dan perbandingan antara apa yang
ditunjukkan oleh pemilik proses dalam formulir dan apa yang diidentifikasi oleh audit internal dalam hal risiko dan
efektivitas pengendalian. Perbedaan harus dianalisis dan didiskusikan dengan manajer terkait dan penilaian awal
diperbarui.

Ketika siklus berikutnya menangkap data baru, proses tersebut berulang dan pada tahun ketiga atau keempat,
kualitas data biasanya mencerminkan kondisi yang ada dengan lebih akurat. Oleh karena itu, program CSA yang
efektif memerlukan komunikasi, keterkaitan dengan kepatuhan perusahaan dan hasil audit internal, pemberian
umpan balik mengenai analisis kesenjangan, dan penguatan. Pengendalian penilaian mandiri bisa sangat berguna
dalam membantu organisasi meningkatkan tata kelola perusahaan. Hal ini sering terjadi ketika proses tersebut sudah
tertanam dalam praktik organisasi dan mereka yang berpartisipasi dalam aktivitas serta bertanggung jawab untuk
melengkapi dokumen-dokumen ini, memperoleh peningkatan pengetahuan tentang risiko dan pengendalian
organisasi, dan bagaimana kaitannya dengan tujuan bisnis. Penilaian ini juga meningkatkan kualitas penilaian risiko
karena pemilik proses memperoleh kompetensi mengenai keterkaitan dan menggabungkan pengetahuan ini dalam
pengambilan keputusan operasional dan strategis. CSA juga membantu meningkatkan akuntabilitas karena
dokumentasi terkait mencakup peran pemilik proses, identifikasi titik kontrol dan pelaku utama, proses eskalasi
yang dipicu ketika kekurangan teridentifikasi, dan bagaimana remediasi masalah dilakukan dan dibuktikan. Hasilnya
adalah efektivitas operasional yang lebih baik seiring dengan peningkatan kesadaran, dokumentasi, pengawasan,
akuntabilitas, dan tindak lanjut. Auditor internal didorong untuk mendorong penerapan dan promosi CSA, sehingga
penerapannya berkelanjutan dan manfaatnya dapat direalisasikan. CSA juga membantu meningkatkan
akuntabilitas karena dokumentasi terkait mencakup peran pemilik proses, identifikasi titik kontrol dan pelaku utama,
proses eskalasi yang dipicu ketika kekurangan teridentifikasi, dan bagaimana remediasi masalah dilakukan dan
dibuktikan. Hasilnya adalah efektivitas operasional yang lebih baik seiring dengan peningkatan kesadaran,
dokumentasi, pengawasan, akuntabilitas, dan tindak lanjut. Auditor internal didorong untuk mendorong penerapan
dan promosi CSA, sehingga penerapannya berkelanjutan dan manfaatnya dapat direalisasikan. CSA juga membantu
meningkatkan akuntabilitas karena dokumentasi terkait mencakup peran pemilik proses, identifikasi titik kontrol dan
pelaku utama, proses eskalasi yang dipicu ketika kekurangan teridentifikasi, dan bagaimana remediasi masalah
dilakukan dan dibuktikan. Hasilnya adalah efektivitas operasional yang lebih baik seiring dengan peningkatan
kesadaran, dokumentasi, pengawasan, akuntabilitas, dan tindak lanjut. Auditor internal didorong untuk mendorong
penerapan dan promosi CSA, sehingga penerapannya berkelanjutan dan manfaatnya dapat direalisasikan. Hasilnya
adalah efektivitas operasional yang lebih baik seiring dengan peningkatan kesadaran, dokumentasi, pengawasan,
akuntabilitas, dan tindak lanjut. Auditor internal didorong untuk mendorong penerapan dan promosi CSA, sehingga
penerapannya berkelanjutan dan manfaatnya dapat direalisasikan. Hasilnya adalah efektivitas operasional yang lebih
baik seiring dengan peningkatan kesadaran, dokumentasi, pengawasan, akuntabilitas, dan tindak lanjut. Auditor
internal didorong untuk

Aktivitas Bisnis dan Implikasi Risikonya

Organisasi terlibat dalam berbagai aktivitas dan menggunakan banyak alat dalam aktivitas sehari-hari
mereka. Dan penting juga bagi auditor internal untuk memiliki pemahaman umum mengenai praktik-praktik ini,
namun mereka juga harus mengetahui bagaimana risiko dan peluang memengaruhi alat dan tindakan tersebut.
Berikut ini adalah daftar pilihan dan pembahasan praktik bisnis untuk memberikan pemahaman umum tentang
konsep tersebut, dan juga implikasinya bagi auditor internal, serta letak risiko dan peluangnya.
 80▪Audit Operasional
 Rakit sesuai pesanan. Ini adalah jenis sistem produksi di mana bahan disiapkan sehingga dapat dirakit dengan
cepat setelah menerima permintaan pelanggan dan biasanya dapat disesuaikan sampai tingkat tertentu. Pada
umumnya suku cadang sudah diproduksi, namun belum akan dirakit hingga pesanan diterima. Strategi ini berada
di antara dua strategi manufaktur umum lainnya: make to stock (MTS) dan make to order (MTO). Di MTS ,
produk diproduksi terlebih dahulu, sedangkan di MTO, produk diproduksi setelah pesanan diterima. Dengan
menggabungkan kedua strategi tersebut, organisasi dapat mengirimkan produk ke pelanggan dengan cepat
sekaligus memberikan fleksibilitas untuk dapat disesuaikan, sehingga pelanggan dapat dengan cepat menerima
produk berdasarkan kebutuhan mereka.
Dalam skenario ini, perusahaan dapat menjual sejumlah besar produk berbeda dari suku cadang biasa. Mereka
memelihara inventaris untuk suku cadang umum dan menjual produk yang disesuaikan. Karena perusahaan tidak
harus mengantisipasi setiap produk akhir yang diinginkan pelanggan, mereka dapat memiliki lebih sedikit
barang dalam persediaan dan juga menggunakan lebih sedikit ruang penyimpanan. Manfaat lainnya adalah
organisasi dapat mengurang kemungkinan kesalahan dengan memberikan pelanggan daftar cara produk dapat
dirakit. Jadi, komponen dibuat sesuai stok dan kemudian dirakit sesuai pesanan setelah pesanan pelanggan
diterima.
Meskipun konsep ini biasanya dikaitkan dengan manufaktur, seperti sistem komputer, peralatan industri, dan
mobil, konsep ini juga dapat diterapkan di lingkungan lain, seperti jasa,misalnya pelatihan perusahaan.
MTO. Metodologi ini melibatkan manufaktur hanya setelah pesanan pelanggan diterima, sehingga
prosesnya dimulai ketika permintaan terjadi. Ini adalah operasi rantai pasokan tipe tarik karena produksi
dilakukan ketika permintaan dikonfirmasi. Dengan kata lain, hal ini ditarik oleh permintaan. Model bisnis
sebaliknya adalah memproduksi produk untuk stok MTS, yaitu produksitipe push.
Ada berbagai model untuk MTO. Misalnya, dalam beberapa kasus, proses perakitan komponen yang telah
disiapkan dimulai ketika permintaan sebenarnya terjadi. Atau, dalam kasus lain, proses produksi dimulai dengan
perolehan bahan dan suku cadang, atau lebih jauh lagi dari perancangan pengembangan (engineering).
MTS. Saat menggunakan metodologi ini, produk diproduksi berdasarkan perkiraan permintaan. Karena
keakuratan perkiraan akan mencegah kelebihan persediaan di satu sisi, dan meminimalkan hilangnya peluang karena
kehabisan stok di sisi lain, permasalahan bagi organisasi adalah bagaimana memperkirakan permintaan secara
akurat.
Metodologi ini berarti memproduksi produk untuk stok berdasarkan perkiraan permintaan,
yang dapat dianggap sebagai produksi tipe dorong. Dalam lingkungan produksi massal dan pemasaran massal,
kebutuhan produksi massal mendesak standarisasi dan manajemen bisnis yang efisien seperti pengurangan biaya.
 Kemacetan. Istilah ini mengacu pada suatu titik dalam suatu proses di mana kapasitas produktif terbatas dan
arusnya melambat. Penyempitan ini dapat memperlambat atau bahkan menghentikan alur pekerjaan sampai
terjadi intervensi, atau waktu berlalu sehingga barang dapat berpindah, sementara barang masuk lainnya terus
menumpuk. Ketika input masuk lebih cepat dari kecepatan proses, akumulasi mulai terjadi.
D e n g a n d e m i k i a n p r o d u k si a k a n t e r h a m b a t d a n terhenti sehingga mempengaruhi jumlah barang yang akan
diproduksi, dan berdampak juga pada kepuasan pelanggan karena menyebabkan peningkatan waktu siklus. Dampak
tambahannya termasuk kelebihan stok pasokan jika barang diproduksi lebih cepat daripada penjualannya. Situasi ini
juga dapat membuat frustasi bagi karyawan, yang mengalami kurangnya kinerja positif dari proses tersebut,
kemungkinan adanya keluhan dari pelanggan, dan sebagai akibatnya mengalami semangat kerja yang rendah.
Jika masalahnya bersifat jangka pendek atau sementara (misalnya, seorang karyawan mengambil cuti beberapa
hari), dampaknya seringkali tidak signifikan dan pelanggan sering kali menerima penjelasannya. Namun, auditor
internal harus selalu menentukan apakah perlambatan ini dapat diterima dan apakah operator cadangan harus
memberikan perlindungan.
Jika masalahnya bersifat jangka panjang, maka dampaknya jauh lebih besar dan harus diselidiki lebih lanjut.
Kesalahan yang sering terjadi adalah menganggap penundaan ini hanya bersifat sementara karena ada karyawan
yang keluar, namun ketika karyawan lain mengambil waktu istirahat yang diberikan, efek kumulatifnya bisa saja
 Penilaian Risiko▪81
menyebabkan unit mengalami kemacetan di suatu tempat. Pada akhirnya, hal ini berdampak pada kepuasan
pelanggan dan menimbulkan pertanyaan tentang cakupan cadangan. Bentuk lain dari kemacetan jangka panjang
terjadi ketika mesin tidak dapat memenuhi permintaan karena inefisiensinya.
Maka Menghilangkan kemacetan ini sangat penting untuk meningkatkan efisiensi di lini produksi
p e r u sa h a a n . Bottleneck dapat ditemukan dengan mengidentifikasi area terjadinya akumulasi, mengevaluasi
output proses, menilai apakah setiap mesin yang digunakan dalam proses produksi digunakan secara maksimal, dan
mencari mesin dengan waktu tunggu tertinggi. Masalah serupa terjadi dalam lingkungan kerja kasus, sehingga
auditor didorong untuk mempertimbangkan konsep yang disajikan di sini dan menerapkannya pada lingkungan
yang sesuai yang diaudit.
 Manajemen inventaris kolaboratif. Dimana hal ini Terdiri dari kerjasama antara pembeli dan pemasok untuk
meningkatkan ketersediaan stok dan mengurangi biaya. Hal ini sering kali dicapai dengan berbagi informasi
perkiraan dan menggunakan satu rencana.
 Konsinyasi. Ini adalah metode manajemen inventaris dan pengisian ulang di mana pembeli hanya membayar
produk yang disimpan di lokasi pihak ketiga ketika barang telah terjual ke pelanggan. Produk yang tidak terjual
biasanya dapat dikembalikan kepada pemasok barang. Wikipedia mendefinisikannya sebagai “tindakan
menyerahkan tanggung jawab, hak asuh atau perawatan materi atau barang apa pun kepada orang atau agen
lain, namun tetap mempertahankan kepemilikan sah sampai materi atau barang tersebut dijual.” Artinya
mengirimkan barang kepada pihak lain, namun kepemilikan atas barang tersebut tetap pada pengirimnya.
Pengaturan ini sering digunakan untuk menempatkan produk dekat dengan pelanggan untuk mengurangi
waktu pengiriman. Hal ini juga dapat mengurangi biaya penyimpanan dan inventaris karena organisasi lain yang
menjaga penyimpanan barang dapat menyimpan barang tersebut dengan biaya lebih rendah dibandingkan jika
perusahaan produsen melakukannya sendiri dengan memelihara beberapa fasilitas penyimpanan di berbagai lokasi
geografis.
Pembedaan ini penting karena berarti barang-barang tersebut tetap ada dalam catatan keuangan pemilik sebagai
persediaan sampai dijual. Auditor perlu memastikan barang-barang tersebut dihitung secara teratur, dilaporkan
secara akurat, dan dievaluasi secara berkala untuk memastikan nilai moneternya akurat dan bahwa barang-barang
tersebut tidak usang (yaitu tidak dapat dijual). Sebaliknya, jika organisasi mengeluarkan biaya penyimpanan
persediaan yang tinggi, memelihara beberapa fasilitas penyimpanan, dan tidak mampu mengelolanya secara
efektif, atau waktu pengiriman dipengaruhi oleh waktu tunggu yang lama, pengaturan konsinyasi mungkin
merupakan rekomendasi yang berguna bagi manajemen.
 Waktu siklus. Mengacu pada pengurangan waktu dan biaya terkait yang diperlukan suatu produk atau layanan
untuk bergerak melalui sebagian atau seluruh rantai pasokan. Auditor internal yang berfokus pada keuangan dan
banyak risiko kepatuhan kurang memberikan perhatian pada topik ini. Namun, ketika kepuasan pelanggan
semakin penting untuk memastikan penjualan pertama dan selanjutnya, dan untuk meningkatkan citra organisasi,
auditor internal akan merugikan organisasi mereka jika mereka tidak memeriksa waktu siklus sebagai risiko dan
peluang mereka. Selain itu, setiap kali persyaratan kepatuhan menyatakan “pelaporan tepat waktu…,” auditor
internal harus bertanya: “Bagaimana kita memastikan bahwa kita memenuhi tenggat waktu pelaporan setiap
saat?”
Sedangkan yang dimkasud dengan Kompresi waktu siklus adalah konsep terkait dan berkaitan dengan
rekayasa ulang proses untuk mengurangi waktu siklus. Peringatan juga diperlukan di sini. Beberapa auditor
mungkin berasumsi bahwa setiap kali saya menyebutkan rantai pasokan, yang saya maksud adalah organisasi
manufaktur dan operasi terkaitnya. Bukan itu masalahnya. Konsep rantai pasokan mengacu pada sistem orang,
aktivitas, informasi, dan sumber daya yang terlibat dalam menciptakan dan memindahkan produk atau layanan dari
pemasok ke pelanggan.
Dengan mengingat hal ini, konsep ini juga berlaku untuk organisasi jasa, dan di dalam sebuah organisasi, kita dapat
berargumentasi bahwa terdapat banyak rantai pasokan mikro. Misalnya, apa yang diperlukan suatu organisasi untuk
merekrut karyawan baru? Apa langkah-langkah dalam rantai pasokan yang memastikan faktur masuk dibayar sesuai
 82▪Audit Operasional
dengan ketentuan yang disepakati?
 Pusat Distribusi (DC). Aktivitas ini mengacu pada menghindari DC atau seluruh saluran distribusi dengan
mengarahkan barang langsung ke tujuannya. Dengan kata lain, memindahkan produk dari produsen
langsung ke pengecer atau pengguna akhir tanpa melalui saluran distribusi pada umumnya. Hal ini
memerlukan koordinasi dengan pemasok dan pelanggan untuk memastikan persediaan barang mencukupi dan
untuk mengatasi frekuensi pengiriman yang dibutuhkan oleh pelanggan.
Meskipun praktik ini dapat mengurangi waktu siklus dan biaya, praktik ini dapat menimbulkan beberapa
risiko bagi organisasi karena individu yang tidak bermoral dapat mengirimkan barang ke lokasi yang tidak sah
untuk keperluan pribadi. memperoleh. Auditor internal harus memeriksa pengaturan tersebut dengan hati-hati
untuk memastikan bahwa semua pengiriman sah dan sah.
 Pertukaran data elektronik (EDI). Ini terdiri dari kumpulan data standar yang dikirimkan antara berbagai mitra
bisnis selama transaksi bisnis. Dengan menggunakan standar yang sama, dua perusahaan dapat bertukar
dokumen dan mengurangi ketergantungan pada kertas, serta mengurangi interaksi manusia sehingga
menghemat waktu dan uang. Manfaat lainnya adalah dengan dokumen elektronik yang dicadangkan, dokumen-
dokumen tersebut akan lebih mudah diambil dan biaya penyimpanan juga berkurang dan tetap terlindung dari
bahaya alam (misalnya kebakaran, air, dan kerusakan).
Dalam kasus pembeli dan penjual, hal ini memungkinkan terjadinya pertukaran informasi mengenai peristiwa
rantai pasokan, seperti faktur, pemberitahuan pengiriman, pesanan pembelian, dan permintaan penawaran harga.
Seiring dengan semakin banyaknya mitra dagang yang mengirimkan informasi secara elektronik, EDI telah menjadi
mekanisme yang banyak digunakan untuk berbagi informasi dan memungkinkan transaksi bisnis lebih cepat dan
lebih murah.
Misalnya, penjual dapat memberi tahu produsen untuk mengirim dari gudang ke pengecer secara elektronik dan
memasukkan rincian transmisi tentang pihak penerima seperti alamat pengiriman, alamat penagihan, item tertentu
yang akan dikirim, dan kuantitas.
Di luar jenis transaksi rantai pasokan, EDI digunakan untuk bertukar berbagai jenis informasi lainnya,

seperti catatan medis, hasil laboratorium, informasi transportasi (misalnya, jenis kontainer dan cara pengiriman), dan
telekomunikasi. EDI mensyaratkan adanya antarmuka antara sistem internal masing- masing organisasi dan sistem
mitra. Untuk dokumen “masuk”, penerima perlu memvalidasi bahwa mitra dagang yang mengirimkan file adalah
mitra dagang yang sah, bahwa struktur file memenuhi standar EDI, dan bahwa masing-masing bidang informasi
memenuhi standar yang disepakati. Biasanya, perangkat lunak akan membuat file (misalnya, panjang tetap, panjang
variabel, atau format bertanda XML) kemudian mengkonversi dan mengimpor file atau database yang dikonversi ke
dalam format yang dapat diimpor ke sistem bisnis penerima (misalnya, ERP).
Untuk dokumen “keluar”, prosesnya terdiri dari mengekspor file (atau membaca database) dari sistem
informasi perusahaan dan mengkonversi file ke format yang sesuai. File tersebut kemudian divalidasi untuk
memastikannya memenuhi standar yang disepakati oleh mitra dagang, diubah menjadi format “EDI”
(menambahkan pengidentifikasi dan struktur kontrol yang sesuai), dan dikirim ke mitra dagang menggunakan
protokol komunikasi yang sesuai.
Aspek penting dari pertukaran EDI adalah kebutuhan untuk memverifikasi bahwa semua langkah yang
diperlukan telah diikuti seiring aliran data dan dokumen antar mitra dagang. Semua transaksi harus dilacak untuk
memastikan tidak hilang. Misalnya, jika pesanan pembelian (PO) yang dikirimkan pembeli ke vendor hilang, kedua
belah pihak akan menanggung akibat negatifnya. Pemasok tidak memenuhi pesanan, sehingga terjadi kerugian
finansial akibat hilangnya bisnis dan hubungan bisnis juga akan terpengaruh. Bagi pembeli, yang bisa jadi
merupakan pengecer, mereka mengalami kehabisan stok dan kehilangan penjualan, mengalami penurunan layanan
dan kepuasan pelanggan, dan pada akhirnya memperoleh keuntungan yang lebih rendah. Auditor internal dapat
menambah nilai bagi organisasinya dengan memastikan bahwa hubungan tersebut diformalkan, bahwa kedua
belah pihak mengikuti standar yang sama,
 Inventaris. Stok bahan mentah, barang setengah jadi (misalnya barang dalam proses), atau bahan jadi disimpan
 Penilaian Risiko▪83
untuk melindungi organisasi dari pasokan atau permintaan yang tidak dapat diprediksi, tidak pasti, atau tidak
menentu dengan tujuan u n t u k menghindari situasi kehabisan stok. Meskipun merupakan praktik umum untuk
memelihara inventaris dalam berbagai jumlah dan jenis, di lokasi berbeda dalam suatu fasilitas atau beberapa
lokasi dalam rantai pasokan, yang dikelola oleh pemilik barang atau pihak ketiga, konsep manajemen inventaris
telah berubah seiring berjalannya waktu.
Selama beberapa dekade, JIT telah menganjurkan tingkat persediaan nol atau mendekati nol. Idenya adalah
bahwa organisasi hanya boleh menerima pasokan yang diketahuinya akan diperlukan, dan barang-barang tersebut
harus tiba segera ketika dibutuhkan, dan harus segera disalurkan ke pengguna akhir. Akibatnya, tidak menyimpan
inventaris apa pun melainkan menggunakan sistem tarik. Strategi penarik terdiri dari pembeli yang “menarik”
barang atau informasi yang mereka perlukan (misalnya, meminta kebutuhan mereka), sementara pemasok
“mendorong” barang atau informasi tersebut ke arah konsumen. Secara sederhana, produksi dorong didasarkan
pada perkiraan permintaan dan produksi tarik didasarkan pada permintaan aktual atau permintaan yang dikonsumsi.
Premis utamanya adalah bahwa inventaris adalah penyimpanan sumber daya perusahaan yang dapat digunakan di
tempat lain untuk tujuan yang lebih produktif. Persediaan juga mempunyai biaya tercatat (misalnya penyimpanan
dan perlindungan) dan jika permintaan tidak pernah terwujud, barang tersebut mungkin menjadi usang.

Ada sejumlah aspek utama manajemen inventaris yang harus menjadi fokus perhatian auditor internal.
Misalnya, memverifikasi bahwa semua inventaris dicatat dan tercermin secara akurat dalam laporan keuangan dan
laporan keuangan organisasi, memastikan bahwa inventaris masih dapat dijual, jika tidak, inventaris tersebut harus
diperlakukan sesuai dengan pedoman kelebihan dan usang (E&O) dan dihapuskan.

Tantangan Masa Depan dan Implikasi Risikonya

Organisasi saat ini menghadapi berbagai jenis risiko yang berbeda-beda. Meskipun secara tradisional auditor internal
fokus terutama pada risiko akuntansi, keuangan, dan kepatuhan, saat ini mereka diharapkan dapat membantu klien
mereka mengidentifikasi, menilai, dan merespons dengan tepat terhadap beragam risiko yang jauh lebih luas. Di
masa depan, organisasi akan semakin dihadapkan pada hal-hal berikut.
 Peningkatan outsourcing. Tren ini, yang mulai mendapat perhatian luas pada tahun 1980an, meningkat pesat
pada tahun 1990an, menjadi hal yang lumrah pada tahun 2000an dan terus berkembang hingga tahun 2010an.
Awalnya, hal ini disebut-sebut sebagai mekanisme yang hebat untuk mengurangi pengeluaran, meningkatkan
produktivitas dan efisiensi, serta membebaskan organisasi, sehingga dapat fokus pada aktivitas intinya. Praktek ini
konsisten dengan argumen strategi bisnis yang dikemukakan oleh Michael Porter10terkait dengan keunggulan
kompetitif dan cara organisasi dapat mengalahkan pesaingnya: biaya atau diferensiasi yang lebih rendah. Dengan
mencari pasar di mana biaya tenaga kerja dan produksi lainnya lebih rendah, organisasi dapat meningkatkan
profitabilitasnya. Namun, tren outsourcing ini, yang dimulai dengan aktivitas berulang dengan keterampilan
rendah yang dilakukan oleh pihak ketiga yang berbiaya rendah, telah berkembang hingga ke titik di mana
perusahaan semakin bergantung pada pihak ketiga untuk menjalankan fungsi-fungsi bisnis yang penting.
Penggunaan perusahaan outsourcing luar negeri membawa risiko dan tantangan, termasuk peraturan yang
berbeda, paparan nilai tukar mata uang, hambatan bahasa, perbedaan budaya, risiko gangguan rantai pasokan, dan
kualitas yang buruk. Konsekuensinya dapat berupa denda, sanksi peraturan, tuntutan hukum, dan kerusakan
reputasi. Faktanya, Audit Internal KPMG: 10 Risiko Utama Teratas pada tahun 2016 menyebutkan hubungan pihak
ketiga/ manajemen vendor sebagai salah satu risiko utama yang harus dievaluasi perusahaan sebagai bagian dari
keseluruhan strategi, penilaian risiko, dan rencana audit internal mereka. Hal ini didorong oleh meningkatnya
pengawasan terhadap hubungan pihak ketiga dan vendor serta kebutuhan untuk mencegah dan mendeteksi
kegagalan manajemen risiko dengan segera di organisasi-organisasi ini.
Auditor internal harus memastikan bahwa organisasi mereka mempraktikkan manajemen risiko yang efektif
dalam hubungan dengan pihak ketiga, termasuk uji tuntas yang memadai, memverifikasi bahwa manajemen telah
mengembangkan dan menerapkan proses dan pengendalian untuk mengukur, memantau, dan memperbaiki setiap
 84▪Audit Operasional
kekurangan yang dilakukan oleh perusahaan-perusahaan tersebut, dan memastikan bahwa terdapat aktivitas
pemantauan kinerja yang efektif. Karena beberapa pihak ketiga ini dapat memiliki akses ke sistem komputer
organisasi, risiko pelanggaran data meningkat seperti yang terlihat dalam pelanggaran data besar-besaran di Target di
mana peretas menggunakan kredensial curian dari kontraktor pendingin untuk menanam malware yang
mengumpulkan data pelanggan.
Target menemukan bahwa peretas mengakses informasi debit dan kartu kredit pelanggan selama musim
belanja Thanksgiving dan Natal tahun 2013. Target melaporkan bahwa 110 juta pelanggan, yang menggunakan kartu
pembayaran pada perangkat titik penjualan (POS) perusahaan di toko mereka, informasi kartu pembayarannya
disalin untuk tujuan penipuan. Perusahaan menghadapi setidaknya tiga tuntutan hukum classaction dan lebih dari
80 tuntutan hukum terkait sebagai akibat dari pelanggaran tersebut, dan pelanggaran data tersebut merugikan
pemegang saham sebesar $148 juta.11Selain itu, penjualan mengalami penurunan akibat pelanggaran data dan pada
tanggal 26 Februari 2014 tersebutJurnal Wall Streetmelaporkan bahwa pendapatan turun 46%.12Pada bulan
Desember 2015, Target melaporkan bahwa mereka akan membayar penyelesaian $39,4 juta kepada bank dan credit
unions yang mengajukan tuntutan hukum terhadap pengecer tersebut.13
 Sumber global. Jika dulu sebagian besar perusahaan bekerja sama dan memperoleh barang mentah dan setengah
jadi dari pemasok lokal, kini sudah menjadi hal yang lumrah bagi organisasi untuk mencari pemasok di seluruh
dunia. Hal ini didorong oleh harga yang lebih rendah dan penghematan yang terkait, namun juga karena kualitas
input yang bersumber dari luar negeri telah meningkat dalam banyak kasus. Meskipun tantangannya masih ada,
banyak barang yang bersumber dari luar negeri dapat diterima oleh perusahaan-perusahaan barat dan dalam
banyak kasus, kualitasnya mendekati kualitas perusahaan-perusahaan barat, atau setara dengan biaya produksi
yang lebih rendah. Tiongkok telah menjadi contoh yang baik tentang negara yang berhasil memenuhi kebutuhan
pelanggan di seluruh dunia pada tingkat harga tertinggi dengan kualitas yang setara. Faktanya, meskipun
pengerjaannya buruk dan kualitasnya rendah sering kali dikaitkan dengan barang-barang buatan Tiongkok, Hal
ini tidak selalu terjadi karena Tiongkok kini memproduksi sebagian besar barang elektronik rumah tangga di
dunia dan semakin banyak pula barang- barang industri. Kami melihat perkembangan serupa terjadi di Jepang,
yang pada awalnya memiliki reputasi buruk dalam hal ekspor. Hasilnya, perusahaan mereka mengeksplorasi cara
berpikir baru tentang kualitas dan transformasinya sangat besar.
Dan dengan Biaya transportasi yang lebih rendah, perluasan dan peningkatan fasilitas pelabuhan, pembatasan
perdagangan yang lebih rendah, dan pembatasan arus modal yang lebih sedikit juga berkontribusi terhadap
perubahan yang ada. Karena Selama tahun 1970an dan 1980an, banyak pembatasan perdagangan diberlakukan yang
membatasi aliran barang dan modal antar negara dan wilayah. Maka Dengan berlakunya perjanjian perdagangan
bebas, seperti Perjanjian Perdagangan Bebas Amerika Utara, Perjanjian Perdagangan Bebas Amerika Tengah,
Mercosur, Perjanjian Perdagangan Asia Pasifik, Kawasan Perdagangan Bebas ASEAN, dan lain-lain, perdagangan
global meningkat sehingga memudahkan perusahaan untuk mendapatkan produknya. dan menjualnya kepada
pelanggan mereka di seluruh dunia. Kombinasi antara biaya yang lebih rendah, logistik yang lebih baik, dan
peraturan yang lebih sedikit mendorong pergerakan menuju pengadaan global yang tidak ada bandingannya dalam
sejarah umat manusia.
 Kompresi margin. Karena persaingan telah meluas ke lingkungan yang lebih global, dan beberapa pesaing baru
mendapatkan keuntungan dari biaya yang lebih rendah dan bahkan subsidi serta praktik proteksionis di beberapa
negara, banyak organisasi yang berjuang untuk tetap kompetitif dalam kondisi seperti itu.
 Teknologi. Jumlah dan skala perubahan teknologi selama dua dekade terakhir sangatlah besar. Hal ini mencakup
dampak dan keuntungan dari teknologi tersebut, namun tidak terbatas pada, sistem ERP dengan manajemen rantai
pasokan bawaan, manajemen siklus hidup produk, manajemen hubungan pelanggan, manajemen hubungan
pemasok, manajemen dokumen, dan fungsionalitas manajemen proyek. Dan Mereka juga dapat mengelola
transportasi, pergudangan, penagihan, pengumpulan, kepegawaian, dan penggajian. Dengan tekonologi yang
maju mereka juga dapat memindahkan data dari platform internal atau ke penyimpanan dan pemrosesan data
berbasis internet, dan bahkan perangkat lunak sebagai layanan dapat mengubah cara data diperoleh, dimanipulasi,
 Penilaian Risiko▪85
disebarluaskan, dan disimpan. Terakhir, akses terhadap konektivitas dapat dilakukan dengan cepat, di mana saja
dan kapan saja.
 Pertumbuhan pasar di Asia dan pasar berkembang lainnya. Dengan Meningkatnya daya beli dan penciptaan
kekayaan di pasar negara berkembang, dapat membuka peluang baru yang tidak boleh dilewatkan oleh banyak
organisasi. Hal ini mengakibatkan pencarian pelanggan dan adaptasi terkait aktivitas penjualan dan pemasaran
untuk mengatasi kondisi yang berbeda-beda di pasar yang cukup beragam.
 Analisis pelanggan yang ditingkatkan. Di masa lalu, organisasi lebih berfokus pada produksi massal untuk
menurunkan biaya per unit. Namun Belakangan, glokalisasi menjadi hal yang lumrah ketika organisasi
mengadopsi pendekatan global, sambil mencoba menampilkan nuansa lokal dalam pemasaran barang dan jasa
mereka. Informasi ini dikumpulkan dari transaksi kartu kredit, lalu lintas internet, informasi pinjaman, perangkat
POS, dan cara lainnya, sehingga menghasilkan akumulasi data yang semakin banyak ditambang dan dianalisis oleh
para spesialis. Kemudian Ketika kita memasuki zaman yang sudah cukup maju ini, semakin terlihat jelas bahwa
ketersediaan dan analisis data yang tersebar luas di mana-mana akan menghasilkan pemahaman yang lebih baik
tentang pelanggan, dan terus mendorong identifikasi kebutuhan dan keinginan mereka secara lebih dekat. Seperti
yang mungkin telah disimpulkan oleh pembaca,
Undang-undang disahkan setiap tahun. Berikut ini adalah beberapa contoh dari Amerika Serikat:

▪ Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA)

▪ Undang-Undang Modernisasi Jasa Keuangan, juga dikenal sebagai Undang-Undang Gramm–Leach–Bliley

▪ Aturan Akhir tentang Privasi Informasi Keuangan Konsumen, 16 Kode Peraturan Federal, Bagian
313

▪ Undang-Undang Pelaporan Kredit yang Adil

▪ Undang-undang Praktik Penagihan Utang yang Adil

▪ Undang-Undang Perlindungan Privasi Pengemudi

Di Kanada, Undang-Undang Perlindungan Informasi Pribadi dan Dokumen Elektronik (PIPEDA) dan Undang -
Undang Privasi adalah contoh undang-undang yang mengatur pengumpulan, penggunaan, dan pengungkapan
informasi pribadi. Inggris dan negara-negara UE mematuhi Pasal 8 Konvensi Eropa tentang Hak Asasi Manusia,
yang mensyaratkan penghormatan terhadap kehidupan pribadi dan keluarga, rumah, dan korespondensi seseorang.
 Kemampuan menangkap dan mentransfer data. Perbaikan dalam penyimpanan data, dapat menurunkan biaya
secara dramatis selama tiga dekade terakhir. peningkatan dalam kemampuan jaringan (jaringan area lokal
[LAN], jaringan area luas [WAN]) dan internet, dan peningkatan dalam komunikasi nirkabel, seperti
identifikasi frekuensi radio ( RFID), menjadikannya semakin mudah dan ekonomis bagi organisasi untuk
memperoleh, menganalisis, dan menyebarkan informasi secara real time atau mendekati real time. Hal ini
memungkinkan organisasi mengetahui apa yang terjadi di seluruh organisasinya dan segera memperbaiki
masalahnya.
Meluasnya penggunaan standar komunikasi, seperti XML juga akan memfasilitasi kolaborasi dan semakin
mengurangi biaya dan kejutan. Saat data dikumpulkan tentang preferensi dan praktik belanja pelanggan, seperti
“memori” Amazon, chip yang tertanam dalam barang yang dibeli (misalnya, mobil) atau fitur keikutsertaan
pascapenjualan (misalnya, FitBit, iWatch/iPhone), akan memungkinkan perusahaan menawarkan manfaat dan
layanan pascapenjualan yang berharga. Pembuatan data dalam jumlah besar ini membawa risiko dan peluang.
 Inisiatif lingkungan. Pertimbangan ekologis semakin menjadi perhatian utama bagi organisasi. Baik itu
pengadaan bahan secara lokal, maupun pengadaannya melalui praktik perdagangan yang adil. Dan ju ga
pengurangan jumlah bahan baku dan kemasan yang digunakan, penurunan jumlah limbah yang dihasilkan,
pembuatan barang menggunakan komponen daur ulang, atau produksi barang dari bahan-bahan yang
 86▪Audit Operasional
digunakan kembali, maka hal-hal tersebut dapat mempengaruhi pertimbangan lingkungan y a n g a d a .
bagaimana organisasi dipandang dan dalam beberapa kasus bahkan mengarahkan keputusan pembelian.
Fokusnya tidak terbatas pada apa yang diproduksi, tetapi juga bagaimana barang diproduksi dan bahkan dalam
kondisi apa. Ambil contoh dampak penempatan panel surya di atap rumah perusahaan, atau penurunan jumlah
konsumsi air di kantor produksi dan pendukung, hingga penurunan penggunaan kertas dan listrik, penggunaan
cahaya alami secara lebih efisien, peningkatan penggunaan energi listrik, dan penggunaan energi listrik. biofuel,
dan memperoleh energi dari sumber terbarukan. Semua dinamika ini mempengaruhi organisasi dan mempengaruhi
keputusan pembelian, manufaktur, transportasi, kantor, desain, dan kepegawaian.
 Keterlibatan pemerintah. Meskipun tingkat penerimaan keterlibatan pemerintah berbeda-beda di setiap negara
dan berubah seiring berjalannya waktu, pemerintah secara umum semakin terlibat dalam mendukung kegiatan
sektor swasta. Hal ini merupakan hasil dari pemahaman yang lebih baik mengenai peran yang dapat dimainkan
oleh pemerintah dalam memfasilitasi perdagangan, memberikan perlindungan berdasarkan supremasi hukum,
mendidik masyarakat, membangun infrastruktur yang dibutuhkan, memberikan rezim perpajakan yang
menguntungkan, dan mengurangi kontrol keuangan untuk memfasilitasi aliran modal. Dan Hal ini juga terlihat
dari banyaknya perjanjian perdagangan disetiap negara. Pada tanggal 1 Januari 2015, Amerika Serikat memiliki
14 perjanjian perdagangan bebas yang berlaku dengan 20 negara. Amerika Serikat sedang merundingkan
Kemitraan Trans-Pasifik dan Kemitraan Perdagangan dan Investasi Transatlantik.14Perjanjian-perjanjian ini
mempengaruhi perdagangan.
Karena tantangan infrastruktur di seluruh dunia, organisasi cenderung memulai upaya kolaborasi pemerintah-
swasta melalui investasi swasta, kebijakan publik, dan investasi infrastruktur bersama. Perusahaan dan pemerintah
akan berupaya membangun, memperbaiki, dan mengoperasikan jalan raya, pelabuhan, bandara, dan jalur kereta api.
 Risiko geo-politik. Bangkitnya ekstremisme di seluruh dunia mengancam kemampuan organisasi untuk beroperasi
secara bebas di seluruh dunia. Beberapa di antaranya terkait dengan pengeboman terhadap fasilitas perusahaan
minyak dan gas serta industri ekstraktif lainnya hingga serangan terhadap masyarakat umum yang membuat
takut wisatawan dan berdampak pada industri pariwisata (misalnya maskapai penerbangan, hotel, restoran, dan
museum). Hal ini juga mempengaruhi rencana strategis organisasi, aliansi strategis mereka, dan kemampuan
mereka untuk mengerahkan pekerja di tempat-tempat dimana kondisinya dapat berubah dari damai menjadi
bermusuhan dalam sekejap.

 Korupsi. Organisasi-organisasi yang ada, bahkan seluruh perekonomian disetiap negara, terus menderita akibat
dari tindakan korupsi tersebut. Korupsi itu sendiri Didefinisikan sebagai perilaku tidak jujur atau tidak etis
yang dilakukan oleh seseorang yang diberi wewenang, sering kali untuk mendapatkan keuntungan pribadi,
tindakan ini mencakup banyak aktivitas termasuk penyuapan dan penggelapan. meskipun tindakan ini juga
dapat melibatkan praktik yang legal di banyak negara, seperti favoritisme dan nepotisme secara terang-terangan.
, diskriminasi, dan kemurahan hati. Hal ini terjadi ketika pejabat pemerintah atau pegawai sektor swasta
bertindak dalam kapasitas resminya demi keuntungan pribadi. Hal ini mendistorsi pasar dengan mengalihkan
sumber daya ke tujuan yang kurang produktif dan meningkatkan biaya menjalankan bisnis dengan memaksa
pembayaran tambahan. Da n Hal ini juga menimbulkan skeptisisme dan kecurigaan. Di sektor publik, hal ini
membatasi kesejahteraan penduduk dan sering kali terlihat pada infrastruktur yang tidak memenuhi standar,
pekerja anak,
Transparency International (TI) menerbitkan Indeks Persepsi Korupsi (CPI) tahunan, yang mengukur persepsi
tingkat korupsi sektor publik di seluruh dunia. Mereka melaporkan bahwa meskipun korupsi masih merajalela
secara global, lebih banyak negara yang berhasil meningkatkan skor mereka pada CPI TI tahun 2015 dibandingkan
menurunkannya. Namun, dua pertiga dari 168 negara pada indeks tahun 2015 mendapat skor di bawah 50, dalam
skala dari 0 (dianggap sangat korup) hingga 100 (dianggap sangat bersih). Skala permasalahannya sangat besar. 68%
negara di seluruh dunia mempunyai masalah korupsi yang serius.
Setengah dari negara-negara G20 termasuk di dalamnya.
 Penilaian Risiko▪87
Para pemimpin bisnis, pembuat kebijakan, auditor internal, dan pemangku kepentingan lainnya menggunakan
laporan ini dan laporan TI lainnya sebagai ukuran dan masukan ketika melakukan penilaian risiko. Auditor internal
harus memeriksa di mana organisasi mereka beroperasi, di mana pemasok mereka beroperasi dan di mana pelanggan
mereka tinggal, dan mengevaluasi implikasi dari jaringan geografis mereka yang unik terhadap profil risiko
mereka.
Indikator korupsi yang lebih tinggi tentu saja menunjukkan perlunya prosedur audit yang lebih ketat.15

Ringkasan
Laporan Pencarian Nilai melalui Audit Internal KPMG menyatakan bahwa departemen audit internal tidak
memberikan nilai yang dicari oleh ketua komite audit dan CFO. Laporan-laporan tersebut menyebut hal ini sebagai
“kesenjangan nilai,” yang paling jelas terlihat dalam penilaian risiko dan praktik manajemen risiko, terutama terkait
dengan risiko-risiko yang muncul. Laporan tersebut, berdasarkan survei terhadap anggota komite audit dan CFO,
menyatakan bahwa hanya 22% dari mereka percaya audit internal membantu menilai risiko dan praktik manajemen
risiko. Selain itu, 57% dari mereka mengatakan lebih banyak wawasan mengenai risiko akan memberikan nilai
paling besar bagi organisasi. Kesenjangan serupa juga terjadi sehubungan dengan risiko- risiko yang muncul, dimana
hanya 5% yang menyatakan bahwa audit internal memberikan perspektif yang terinformasi mengenai risiko-risiko
yang muncul, sementara 36% menganggap hal ini sebagai sesuatu yang berharga untuk diterima.

Manajemen risiko, sebagai bidang profesional, dimulai beberapa dekade yang lalu dan sebagian besar
berpusat pada cakupan asuransi dan reasuransi. Namun hal ini mendapat dorongan ketika COSO merilis kerangka
kerja manajemen risiko perusahaan (ERM) pada tahun 2004 dan Organisasi Internasional untuk Standardisasi
menerbitkan ISO 31000 pada tahun 2009, yang keduanya membantu mempromosikan konsep tersebut secara luas.
Saat ini, terdapat sertifikasi seperti Profesional Manajemen Risiko, Manajer Risiko Bersertifikat, Sertifikasi Jaminan
Manajemen Risiko, Sertifikat Internasional Manajemen Risiko, dan bahkan gelar master dalam manajemen risiko.
Auditor internal didorong untuk memperoleh pemahaman seluas dan sedalam mungkin mengenai metodologi
manajemen risiko karena hal ini akan memungkinkan mereka menilai program yang ada dengan lebih baik, dan
membuat rekomendasi untuk perbaikan.
Bab 4 membahas 8 E—kumpulan atribut operasional yang mendefinisikan organisasi yang sukses. Hal ini
mudah diingat karena kesederhanaannya, namun membutuhkan waktu lama bagi organisasi untuk menguasainya
karena mencakup budaya organisasi, struktur, penerapan, dan pelaksanaan di dalam dan di luar organisasi, di
seluruh pemangku kepentingan. Ini mengacu pada efektivitas, efisiensi, ekonomi, keunggulan, etika, kesetaraan,
ekologi, dan emosi.
Menerapkan 8 E telah melambungkan beberapa organisasi menjadi bintang kompetitif, menciptakan tempat
kerja yang diakui sebagai tempat terbaik untuk bekerja, dan menghancurkan organisasi-organisasi yang
mengabaikan satu atau lebih elemen-elemen ini. Auditor internal harus memperlakukan 8 E sebagai bagian integral
dari tema yang mereka masukkan dalam rencana audit mereka, dan sebagai bagian dari topik yang diperiksa selama
peninjauan mereka.

PERTANYAAN
1. Apa manfaat fungsi audit internal dalam menetapkan rencana berbasis risiko ketika mengidentifikasi
prioritas aktivitas audit internal?

2. Jelaskan tiga cara agar auditor internal dapat mengidentifikasi risiko yang terkait dengan area yang
ditinjau dengan lebih baik.
3. Apa tiga faktor internal dan tiga faktor eksternal yang mempengaruhi suatu organisasi pada
umumnya? Bagaimana faktor-faktor ini mempengaruhi prospek masa depan organisasi?
4. Jelaskan peristiwa yang telah mengubah atau mengganggu suatu industri dan sertakan: (1) Contoh
88▪Audit Operasional
organisasi yang memperoleh manfaat dari peluang tersebut dan (2) contoh organisasi lain yang salah
mengelolanya dan menderita kerugian sebagai akibatnya.
5. Sebutkan tiga organisasi yang menyediakan daftar kerentanan umum yang berguna selama

penilaian risiko.
6. Sebutkan tiga manfaat program CSA.

7. Jelaskan tiga risiko yang unik untuk masing-masing dari dua pendekatan manufaktur berikut: made to order
(MTO) dan made to stock (MTS).
8. Jelaskan mengapa auditor internal harus mempertimbangkan kemacetan, waktu siklus yang panjang,
redundansi, dan pemrosesan ulang sebagai risiko operasional.

9. Apa implikasi risiko dari outsourcing? Jelaskan mengapa manajemen harus tetap waspada meskipun
proses dan aktivitas terkait telah dialihdayakan ke organisasi lain.
10. Praktik apa saja yang diharapkan dari organisasi dalam memerangi korupsi dan mendukungupaya
mengurangi korupsi institusional?

Catatan

1 Lihat http://www.derbyshireprepared.org.uk/risks/risk_terminology/

2 Informasi ini diadaptasi dari Derbyshire Prepared, Local Resilience Forum dan Other Solutions Ltd.

Di http://othersolutions.eu/

3 Lihat
http://www.businessdictionary.com/definition/vulnerability.html#ixzz3wnmuoCS7 4
Untuk informasi tambahan, kunjungi https://hazards.fema.gov/femaportal/wps/portal
5 Untuk informasi tambahan, kunjungi http://geohazards.usgs.gov/eqprob/2009/index.php,
http://landslides.usgs. gov/, http://volcanoes.usgs.gov/, dan https://www.osha.gov
6 Untuk informasi tambahan, lihat http://www.weather.gov/ dan http://www.wbur.org/2015/12/23/end-of-year-

ulasan-mbta-celaka

7 Untuk informasi lebih lanjut mengenai penilaian kesehatan manusia, lihat http://www.epa.gov/risk/human-health-risk-
penilaian

8 Lihat, misalnya, http://www.epa.gov/risk/risk-tools-and-databases, http://www.weather.

gov/informationcenter, dan https://www.osha.gov/ (di bawah Data dan Statistik).

9 Untuk informasi tambahan tentang Kerentanan dan Paparan Umum, lihat http://cve.mitre.org/ 10 Michael
Porter adalah pakar terkemuka dan telah banyak menulis tentang keunggulan kompetitif. Miliknya
publikasi termasuk bukuKeunggulan kompetitif(1985),Keunggulan Kompetitif Bangsa-Bangsa(1990), dan

Lima Kekuatan Kompetitif yang Membentuk Strategi(2008) selain banyak artikel. 11 Lihat https://
www.privacyrights.org/data-breach-asc?title=target&=Apply
12 Lihat http://www.wsj.com/articles/SB10001424052702304255604579406694182132568 13
Lihat http://www.reuters.com/article/us-target-breach-settlement-idUSKBN0TL20Y20151203#
qmGPWO0mR7raj6J0.97

14 Lihat http://trade.gov/fta/

15 Untuk membaca lebih lanjut tentang CPI, metodologi yang digunakan, dan mengunduh laporan lengkap, kunjungi http://www.

transparansi.org/cpi2015/