Bab 3 Audit Operasional
Bab 3 Audit Operasional
Penilaian Risiko
Perkenalan
Teori kendala mengadopsi ungkapan umum “sebuah rantai hanya akan sekuat mata rantai terlemahnya.” Hal ini
berarti bahwa organisasi, program, proses, dan bahkan departemen sangatlah rentan karena elemen yang paling
lemah selalu dapat merusak, menghancurkan, atau paling tidak berdampak buruk terhadap hasil. Jadi, perhatian
harus diberikan untuk melakukan inventarisasi seluruh komponen terkait, menilai kekuatan dan kelemahannya,
melakukan analisis kesenjangan, mengidentifikasi respons yang tepat, menerapkan tindakan perbaikan terbaik, dan
memantau hasil. Dalam banyak hal, hal ini menggambarkan penilaian risiko dan proses manajemen.
Ada banyak jenis risiko, mulai dari risiko strategis, operasional, kepatuhan, pelaporan, dan
terkait TI. Konsekuensinya bervariasi dan dipengaruhi oleh jenis kerentanan yang ada, sejauh mana konsekuensi
tersebut dapat diantisipasi untuk menghalangi atau mencegah terjadinya, kecanggihan mekanisme respons, dan
fleksibilitas organisasi untuk beradaptasi sesuai kebutuhan. Artinya manajemen harus sadar, terlibat, dan
berpengetahuan untuk belajar dari sejarah, memahami masa kini, dan mempersiapkan masa depan.
Risiko dan CSA merupakan mekanisme yang efektif untuk melibatkan pihak-pihak yang memiliki kepemilikan
atas risiko dan pengendalian dalam organisasi. Dengan mendokumentasikan proses, partisipan, dan variabel yang
mempengaruhi, manajemen dapat lebih siap untuk mengalokasikan sumber daya secara tepat, menetapkan prioritas,
menetapkan akuntabilitas, dan melembagakan prosedur pemantauan.
Lanskap risiko dan pengendalian telah berubah secara signifikan selama tiga dekade terakhir. Perubahan
operasional, seperti kemajuan teknologi, globalisasi, outsourcing (domestik dan luar negeri), kompleksitas pasar
keuangan, dan pergeseran demografi, telah memaparkan organisasi pada serangkaian dinamika risiko yang
memerlukan kreativitas dan kewaspadaan terus-menerus. Pengendalian dan prosedur manual memiliki nilai terbatas
dalam lingkungan dimana kondisi dapat berubah dengan cepat, dan ekspektasi yang tiada henti akan biaya yang
lebih rendah dan kualitas yang lebih tinggi memerlukan otomatisasi, kecepatan, dan akurasi.
65
66▪Audit Operasional
Di tengah semua dinamika ini, auditor internal diposisikan secara unik untuk membantu manajemen dan dewan
direksi mereka, dan melakukan advokasi bagi pemangku kepentingan lainnya yang tidak memiliki akses langsung ke
peristiwa bisnis sehari-hari, namun kepentingannya juga harus dilindungi.
Penilaian Risiko
Penilaian risiko adalah proses mengidentifikasi, mengukur, dan menganalisis risiko yang relevan dengan suatu
program atau proses. Penilaian ini bersifat sistematis, berulang, dan bergantung pada masukan dan faktor
kuantitatif dan kualitatif. Selain itu, hal ini juga bergantung pada jangka waktu peninjauan.
Identifikasi Risiko
Aspek kunci dari setiap penilaian risiko adalah identifikasi risiko yang relevan. Ini berbentuk daftar risiko.
Seringkali langkah ini tidak cukup menyeluruh atau dilakukan oleh individu yang memiliki pengetahuan terbatas
mengenai proses yang dinilai. Akibatnya, hanya sebagian risiko relevan yang teridentifikasi. Hal ini menimbulkan
beberapa keterbatasan, yang pertama dan terpenting adalah kenyataan bahwa semua tindakan lain yang terkait
dengan penilaian risiko juga akan terbatas. Jika suatu risiko belum teridentifikasi, risiko tersebut juga tidak akan
diukur atau dianalisis.
Auditor internal terkadang gagal mengidentifikasi risiko yang relevan karena kurangnya pengetahuan
mendalam tentang proses yang diaudit. Hal ini dapat dimengerti sampai batas tertentu karena mereka adalah
pengulas eksternal. Pada saat yang sama, hal ini menyoroti pentingnya auditor melakukan perencanaan dan penelitian
yang memadai sehingga mereka memahami aktivitas yang terlibat. Alasan lain mengapa auditor terbatas dalam
mengidentifikasi risiko adalah bias yang mungkin dimiliki sebagian orang sebagai akibat dari pelatihan umum yang
dimiliki banyak orang di bidang akuntansi. Jika auditor mempunyai pendidikan di bidang akuntansi, mempunyai
pengalaman di bidang akuntansi, dan fokus utamanya pada audit akuntansi dan kepatuhan, maka auditor akan
cenderung melihat sebagian besar permasalahan dari sudut pandang akuntansi dan kepatuhan. Meskipun hal ini
juga dapat dimengerti,
Untuk menghindari masalah ini, ada baiknya untuk melibatkan orang-orang yang memiliki pengetahuan luas
tentang program atau proses yang akan dianalisis dalam latihan identifikasi risiko. Ini termasuk para eksekutif,
karyawan dengan keterampilan teknis khusus, dan mereka yang memiliki masa kerja panjang di organisasi.
Pengalaman dan keahlian mereka bisa sangat membantu pada tahap proses ini dan juga sama pentingnya dalam
langkah selanjutnya.
Cara lain untuk mengidentifikasi risiko yang relevan adalah dengan menggunakan daftar yang telah disiapkan.
Ada beberapa templat dan daftar yang tersedia, sering kali diatur berdasarkan industri. COSO, ISO, Information
Technology Infrastructure Library (ITIL), CVNET, dan lainnya telah menyiapkan daftar yang dapat membantu
mengidentifikasi beberapa risiko utama yang harus dimasukkan dalam penilaian. Saat menggunakannya, auditor
harus selalu mempertimbangkan kekhasan organisasinya dan memastikan bahwa daftar tersebut disesuaikan.
Meskipun banyak item dalam daftar yang telah disiapkan relevan, hal ini tidak selalu terjadi.
Berikut ini adalah beberapa risiko umum yang harus dipertimbangkan oleh auditor operasional selama
penilaian risiko mereka. Tidak semua risiko dapat diterapkan pada setiap organisasi karena perbedaan dalam
industri, aktivitas bisnis, lokasi geografis, dan ukuran organisasi menyebabkan perbedaan. Selain itu, ketika
melakukan tinjauan operasional, auditor harus memeriksa risiko yang lebih luas, dan bukan hanya risiko keuangan.
Penting bagi auditor internal untuk mengingat bahwa ada kendala internal dan eksternal dalam organisasi.
Kendala internal biasanya mencakup
Penilaian Risiko▪67
Jenis Keterangan
▪ Memproduksi terlalu banyak suku cadang yang cacat (yaitu, tingkat kesalahan)
▪ Menyerahkan barang atau jasa yang dipesan melewati tanggal yang dijanjikan
▪ Kerusakan akibat kebakaran, air, atau bencana alam (misalnya banjir, gempa
bumi, angin topan, dan angin puting beliung)
Peralatan. Jenis peralatan yang tersedia dan cara penggunaannya membatasi kemampuan proses untuk
menghasilkan lebih banyak barang berkualitas tinggi dan memberikan layanan. Rakyat.
Kurangnya pekerja yang terampil dan termotivasi membatasi kapasitas produktif dari setiap proses.
Sikap dan model mental lainnya (misalnya, perasaan kalah, menjadi korban, atau putus asa) yang
dianut oleh pekerja dapat mengarah pada perilaku yang menjadi kendala dalam proses tersebut.
68▪Audit Operasional
Kebijakan. Kebijakan tertulis dan tidak tertulis dapat menghalangi proses produksi barang dan jasa
yang lebih berkualitas.
Selain itu, ketika mengevaluasi dinamika dan risiko internal, auditor internal harus memperhatikan:
(1) operasi paling lambat dalam suatu proses, (2) sinkronisasi aktivitas di dalam atau antar proses, dan (3) merampok
material dan sumber daya lain di dalam atau di luar proses. antar proses atau unit. Menurut pengalaman saya,
banyak permasalahan operasional yang terwujud karena satu atau beberapa dinamika ini.
Pengukuran Risiko
Setelah risiko diidentifikasi, risiko tersebut harus diukur. Proses pengukuran dapat bersifat subyektif atau
kuantitatif, dan didorong oleh fakta atau tidak. Pengukuran subjektif didorong oleh pengalaman dan intuisi
partisipan mengenai risiko yang ada. Seringkali, risiko diukur menggunakan skala tiga poin yaitu tinggi – sedang
– rendah. Dengan menggunakan ukuran-ukuran ini, dampak risiko, jika risiko itu terwujud, dan kemungkinan
risiko, jika risiko itu terjadi, akan dinilai. Hal ini juga dapat dilakukan dengan menggunakan skala lima poin,
dengan ukuran kemungkinan yang jarang–tidak mungkin–mungkin–mungkin–hampir pasti. Ukuran dampak
dapat mencakup dampak tidak signifikan – kecil – sedang – besar – bencana.
Keterbatasan utama dalam penggunaan langkah-langkah ini adalah bahwa langkah-langkah tersebut tidak
didasarkan pada angka atau fakta yang jelas. Dengan demikian, risiko “minor” pada satu orang, bisa jadi risiko
“sedang” bagi orang lain, dan seterusnya. Meskipun perbedaan pendapat ini akan selalu ada, prevalensi dan
besarnya perbedaan tersebut umumnya meningkat jika prosesnya sebagian besar bersifat subjektif.
Untuk memperbaikinya, nilai-nilai dapat dilampirkan pada penilaian seperti yang ditunjukkan pada Gambar 3.1 dan
3.2. Ada yang berpendapat bahwa nilai probabilitas tidak harus linier dan disusun dalam interval berukuran
sama. Misalnya, Derbyshire di Inggris Utara menggunakan skala kemungkinan berikut yang ditunjukkan pada Tabel
3.2.1
1 Tidak sepertinya 0 ke 20
2 Terpencil 21 ke 40
3 Mungkin 41 ke 60
4 Mungkin 61 ke 80
5 Sangat mungkin 80 ke 100
Tingkat Deskripsi Kemungkinan Lebih Dari 5 Tahun Kemungkinan Lebih Dari 5 Tahun
Demikian pula, peringkat dampak dapat diperluas untuk memberikan deskripsi yang lebih rinci mengenai
rentang masing-masing dampak. Hal ini mungkin mencakup variabel-variabel seperti tingkat gangguan terhadap
organisasi, cedera tubuh pada pekerja dan orang lain, keamanan, kesehatan dan keselamatan, dampak sosial,
ekonomi, dan lingkungan (Tabel 3.3 dan 3.4).2
Meskipun pendekatan ini telah digunakan secara luas selama bertahun-tahun oleh auditor dan pihak lain,
pendekatan kuantitatif yang lebih tepat kini bermunculan untuk menghubungkan data dengan ukuran-ukuran
yang ditunjukkan di atas. Mulai dari yang cukup sederhana hingga yang sangat kompleks berdasarkan algoritma
ekstensif dan data historis. Meskipun banyak organisasi tidak siap untuk mengadopsi pendekatan yang sangat
kompleks, tren dan harapannya adalah bahwa seiring berjalannya waktu, organisasi akan meningkatkan
kecanggihannya, dan menggabungkan data yang lebih nyata, dapat diverifikasi, dan kuat. Misalnya dalam
menghitung dampak atau akibat kebakaran suatu gudang, kemungkinannya dapat didasarkan pada intuisi dan
tingkat kepedulian terhadap barang yang disimpan dan dikerjakan di gudang tersebut.
Jika kita mempertimbangkan kemungkinan truk pengantar barang mengalami kecelakaan di pinggir jalan,
ukuran kuantitatifnya dapat ditingkatkan dengan melihat data Dewan Keselamatan Transportasi Nasional dan
industri asuransi yang menunjukkan tingkat kecelakaan kendaraan serupa per 100.000 mil di jalan. Angka tersebut
dapat disesuaikan dengan kepadatan wilayah (rute perkotaan vs. pinggiran kota vs. pedesaan), kondisi cuaca
(misalnya, wilayah bersalju vs. hujan vs. gersang), topografi (misalnya, berbukit vs. datar), waktu (misalnya, siang
hari vs. .malam hari), dan berat muatan (misalnya, beban ringan vs. berat).
Demikian pula dampak terhadap organisasi dan operasionalnya jika terjadi kebakaran di gudang
dapat didasarkan pada keyakinan dan asumsi, atau dapat didasarkan pada nilai penggantian bangunan dan nilai rata-
rata (atau tertinggi) dari persediaan yang disimpan. di fasilitas tersebut. Angka-angka ini dapat disesuaikan secara
berkala untuk memastikan bahwa pengukurannya seakurat mungkin.
Pendekatan yang sama dapat diterapkan pada truk pengiriman, dimana dampak terhadap organisasi dan pihak lain
dapat didasarkan pada statistik industri dan sejarah perusahaan, nilai rata -rata dan jenis barang pengiriman, serta
cakupan tambahan untuk potensi cedera dan kerusakan pada pihak lain.
Spesifikasi teknik, statistik industri, dan data historis dapat membantu organisasi memperoleh data untuk
pendekatan ini. Analisis skenario, analisis Monte Carlo, dan simulasi pohon keputusan adalah contoh alat
pengambilan keputusan pemodelan probabilistik. Hal-hal tersebut berada di luar cakupan buku ini, namun semakin
banyak digunakan untuk menilai eksposur dengan lebih baik.
70▪Audit Operasional
Peringkat Dampak
Dapat diabaikan—sangat rendah Sangat sedikit kerusakan atau kerugian. Tidak ada gangguan dalam operasional.
Jumlah cedera atau dampak terhadap kesehatan yang tidak signifikan.
Jumlah orang yang mengungsi dalam jumlah kecil dan dukungan
pribadi yang diperlukan tidaklah signifikan. Gangguan yang tidak
signifikan terhadap layanan masyarakat, atau terhadap perekonomian
lokal
(Lanjutan)
Penilaian Risiko▪71
Peringkat Dampak
Bencana—sangat tinggi— Dapat mengakibatkan penghentian operasi jangka panjang dan kemungkinan
kritis—ekstrim penutupan kantor atau program. Kekhawatiran akan hilangnya nyawa dalam waktu
kerusakan atau bahaya dekat. Kehilangan atau kerusakan aset yang besar dan sulit untuk dipulihkan. Sangat
sulit atau tidak mungkin untuk dikelola.
Sejumlah besar orang di daerah yang terkena dampak terkena dampakdengan jumlah
korban jiwa yang signifikan, jumlah orang yang membutuhkan juga sangat besar
rawat inap dengan cedera serius dengan efek jangka panjang. Kerusakan parah
pada properti dan infrastruktur di daerah yangterkena dampak memerlukan
pembongkaran besar-besaran.
Diperlukan perpindahan lebih dari 500 orang secara umum dan meluas dalam
jangka waktu lama dan memerlukan dukungan pribadi yang ekstensif.
Kerusakan infrastruktur menyebabkan gangguan signifikan, atau hilangnya,
layanan-layanan utama dalam jangka waktu yang lama. Masyarakat tidak dapat
berfungsi tanpa dukungan yang signifikan dan terdapat dampak serius terhadap
perekonomian lokal dan regional dengan kerugian produksi jangka panjang dan
berpotensi permanen. Biaya pembersihan dan pemulihan yang besar. Dampak
jangka panjang yang serius atau kerusakan permanen terhadap lingkungan
Matriks Risiko
Matriks risiko adalah alat yang banyak digunakan dan sangat efektif untuk mencatat dan menganalisis tujuan,
risiko, dan pengendalian dalam program atau proses yang diaudit sebagaimana didefinisikan dalam definisi
ruang lingkup. Matriks risiko merupakan unsur penting ketika melakukan audit berbasis risiko, karena matriks
risiko menyediakan sarana untuk menangkap dan menganalisis hal-hal tersebut.
Tata letaknya berbeda-beda menurut organisasi, tetapi secara umum terlihat seperti terlihat pada Gambar 3.3.
Peringkat
Kemungkinan
Peristiwa tersebut dianggap tidak realistis kemungkinan
Tidak mungkin – sangat rendah
terjadinya hal yang merugikan organisasi dalam kondisi
yang berlaku. Organisasi ini hanya mempunyai sedikit
paparan terhadap ancaman tersebut
Sangat mungkin—tinggi Peristiwa tersebut dinilai memiliki probabilitas yang sangat tinggi
terjadi dan mempengaruhi organisasi dalam kondisi yang
berlaku. Organisasi mempunyai tingkat paparan ancaman yang
tinggi. Hal ini dapat mengindikasikan lemahnya langkah-
langkah keamanan
Pasti atau akan segera terjadi—sangat Peristiwa ini dianggap sudah dekat dan diharapkanterjadi.
tinggi Organisasi ini memiliki tingkat paparan ancaman yang
sangat tinggi. Hal ini dapat menunjukkan kurangnya/tidak
adanya langkah- langkah keamanan yang tepat
Tujuan Resiko SORC IT F Masalah. Imp. Vel Pers. Kontrol P/DA/MX/D/W/M/Q Langkah -l angkah audi t
Bab 113
Bab 123
- Bab 141
Meskipun kata “aset” biasanya dikaitkan dengan sumber daya moneter, barang berwujud (misalnya bangunan,
kendaraan, mesin, dan inventaris), reputasi, serta kesehatan dan keselamatan karyawan dan pelanggan juga penting,
karena reputasi yang buruk atau cedera merupakan pertimbangan penting dalam penilaian risiko apa pun.
Kerusakan pada TI perusahaan juga merupakan pertimbangan utama, karena sejumlah besar sumber daya biasanya
diinvestasikan pada item-item ini dan gangguan terhadap kelanjutan operasinya dapat menyebabkan gangguan parah
pada organisasi. Terjadinya peristiwa risiko dapat berdampak negatif pada hubungan organisasi dengan pelanggan,
pemasok, masyarakat sekitar, investor, dan pemangku kepentingan lainnya. Hilangnya kepercayaan terhadap
organisasi, kepemimpinannya, produknya, dan layanannya bisa sangat parah.
Melakukan penilaian risiko berarti kita harus mencari kelemahan (terkadang disebut
sebagai kerentanan) yang dapat membuat suatu aset rentan terhadap kerusakan atau kerugian akibat bahaya
tersebut. Terkait kerentanan, beberapa kelemahan yang umum adalah usia, kondisi, dan lokasi bangunan, serta
isinya (misalnya, di dekat pantai atau wilayah seismik, sistem kritis di lantai bawah yang rentan terhadap banjir,
lokasi kantor bersama). Sebagai ilustrasi, sebuah gudang tanpa sistem sprinkler kebakaran dapat mengalami
kerugian total, atau setidaknya kerusakan yang jauh lebih parah dibandingkan bangunan dengan sistem sprinkler
kebakaran yang dirancang, dipasang, dipelihara, dan diperiksa secara profesional secara profesional. Demikian pula,
Kamus Bisnis mendefinisikan kerentanan sebagai “sejauh mana manusia, properti, sumber daya, sistem, dan
aktivitas budaya, ekonomi, lingkungan, dan sosial rentan terhadap bahaya, degradasi, atau kehancuran karena
terpapar oleh agen atau faktor yang bermusuhan.”3Dengan mengingat definisi ini, auditor internal dapat bekerja
dengan manajemen untuk memeriksa segala aspek organisasi. Proses mengidentifikasi peristiwa yang relevan akan
ditentukan oleh definisi ruang lingkup tinjauan, dan dapat dilakukan dengan mengikuti salah satu pendekatan berikut.
Berdasarkan tujuan. Identifikasi peristiwa yang dapat menghambat kemampuan organisasi untuk mencapai
tujuannya sebagian atau seluruhnya. Dalam hal ini, brainstorming dan metode Adelphi mungkin merupakan teknik
yang berguna untuk mengumpulkan informasi yang relevan dan menilai dampak dari peristiwa tersebut. Perlu
dicatat bahwa peristiwa tersebut tidak harus bersifat negatif dalam penafsiran langsungnya. Misalnya, perubahan
cepat dalam ketersediaan broadband, aplikasi, dan cara konsumen menggunakan ponsel mengubah dinamika industri
yang membatasi pangsa pasar BlackBerry, sementara Apple, Samsung, dan LG memanfaatkan dinamika ini dan
tumbuh pesat. Kejadiannya sama, dampaknya terhadap organisasi berbeda nyata bagi perusahaan-perusahaan yang
disebutkan.
Berdasarkan skenario. Buat skenario berbeda atau cara alternatif untuk mencapai tujuan dan tentukan
bagaimana kekuatan berinteraksi. Pendekatan yang berguna adalah dengan mengidentifikasi pemicu yang dapat
memulai-menghentikan terjadinya berbagai skenario. Dengan mengidentifikasi dan memahami pemicu yang
disebabkan atau dipercepat oleh skenario ini, organisasi dapat mempersiapkan diri dengan lebih baik dalam
memanfaatkan peluang dan menghindari konsekuensi negatif.
Untuk salah satu dari dua pendekatan ini, manajemen harus mempertimbangkan faktor eksternal dan internal
yang dapat mempengaruhi terjadinya peristiwa:
Luar. Misalnya faktor ekonomi, bisnis, lingkungan alam, politik, sosial, danteknologi.
Intern. Contohnya termasuk infrastruktur, personel, proses, dan teknologi.
Untuk mengidentifikasi peristiwa, manajemen harus melihat masa lalu dan masa depan untuk
mengidentifikasi tren, pergeseran demografi, pasar baru, aktivitas pesaing, dan lain-lain. Dalam banyak kasus,
Penilaian Risiko▪75
peristiwa-peristiwa ini dipengaruhi oleh perubahan teknologi, perkembangan ekonomi, peningkatan tingkat melek
huruf, pencapaian pendidikan tinggi, peristiwa alam (misalnya banjir dan angin topan), dan perubahan demografi.
Peristiwa dapat mempunyai dampak positif atau negatif yang mewakili risiko dan peluang. Perkembangan ini
harus dimasukkan ke dalam proses penetapan tujuan dan penilaian risiko.
Pemeriksaan risiko umum. Gunakan daftar risiko umum yang telah dibuat sebelumnya di industri atau area
cakupan Anda. Teknik ini dijelaskan lebih detail di bawah.
Bagan risiko. Kombinasi pendekatan di atas terdiri dari daftar sumber daya yang berisiko dan ancaman terhadap
sumber daya tersebut. Identifikasi faktor risiko dan konsekuensinya. Bahaya menjadi perhatian jika dapat
mengakibatkan kerugian pada program, proses, atau organisasi. Dampak dari bahaya-bahaya ini dan cara
menguranginya merupakan aspek berikutnya dari proses penilaian risiko. Halini disebut sebagai mitigasi.
Ada banyak bahaya yang dapat mengancam keselamatan dan kelangsungan operasi suatu organisasi (Tabel 3.5).
Daftar bahaya yang ada sangat banyak, dan sumber daya yang tersedia untuk mengidentifikasi dan
memasukkannya ke dalam penilaian risiko juga telah meningkat dalam beberapa tahun terakhir. Berikut ini adalah
beberapa sumber daya yang tersedia.
Badan Manajemen Darurat Federal menyediakan Platform Informasi Pemetaan dan MAP Risiko
(Pemetaan, Penilaian, dan Perencanaan) untuk membantu organisasi dengan memberikan data yang meningkatkan
kesadaran masyarakat dan mengarah pada tindakan untuk mengurangi risiko terhadap properti dan kehidupan.4
Layanan Geologi AS (USGS) memiliki banyak informasi seismik untuk membantu organisasi mengidentifikasi
kerentanan mereka dari garis patahan, dan riwayat insiden sebagai kemungkinan ukuran aktivitas di masa depan
melalui analisis probabilitas berdasarkan lokasi, rentang waktu, dan radius dari lokasi yang ditentukan. . USGS juga
memberikan informasi terkait tanah longsor, aktivitas gunung berapi, sedangkan Administrasi Keselamatan dan
Kesehatan Kerja Departemen Tenaga Kerja AS,juga memberikan informasi tentang bahaya di tempat kerja.5
Layanan Cuaca Nasional menyediakan informasi hujan, angin topan, kualitas udara, badai musim dingin, banjir,
dan cuaca laut, yang dapat berdampak besar pada kesehatan, keselamatan, dan
Manusia Tidak disengaja: peralatan yang dioperasikan dengan buruk, prosedur kerja yang tidak aman,
kelelahan, kurang latihan, dan gangguan
Mekanis Peralatan yang ditempatkan atau dipasang dengan buruk, peralatan usang, struktural
kegagalan dan kerusakan mekanis, dan bahan berbahaya
pengoperasian proses organisasi. Ingat dampak turunnya salju yang sangat dingin dan lebatterhadap jaringan MBTA
selama musim dingin tahun 2015.6
Kekerasan di tempat kerja telah mendapatkan banyak perhatian sebagai akibat dari beberapa insiden yang
mempengaruhi keselamatan di tempat kerja, beberapa di antaranya berakibat fatal. Kelompok Respons Insiden
Kritis FBI menerbitkanKekerasan di Tempat Kerja: Masalah dalam Responsnya panduan. Kekerasan di tempat kerja
dapat disebabkan oleh satu atau beberapa individu yang tidak puas (misalnya karyawan dan pelanggan), namun juga
dapat disebabkan oleh kelompok terorganisir (misalnya teroris). Sifat kekerasan di tempat kerja yang terus
berkembang memerlukan penilaian manajemen untuk melindungi fasilitas perusahaan, karyawan, dan pengunjung.
Meskipun ancaman terorisme semakin menghantui pikiran masyarakat, pembunuhan massal ini, meskipun serius,
relatif jarang terjadi. Sebaliknya, ancaman, pelecehan, penindasan, kekerasan dalam rumah tangga, penguntitan,
pelecehan emosional, intimidasi, dan bentuk perilaku lainnya serta kekerasan fisik dapat mengakibatkan perilaku
kekerasan yang lebih serius. Hal ini terutama terjadi jika tidak ada kebijakan yang ada, kebijakan tersebut tidak
memadai, atau tidak ditegakkan oleh supervisor dan manajer. Penyelia dan manajer harus menangani masalah ini
dengan segera, tegas, dan konsisten.
Pengusaha mempunyai kewajiban hukum dan etika untuk menciptakan lingkungan kerja yang bebas dari
ancaman dan kekerasan dan, sebagai tambahan, mereka dapat menghadapi kerugian ekonomi akibat kekerasan dalam
bentuk hilangnya waktu kerja, rusaknya moral dan produktivitas pekerja, serta peningkatan pembayaran
kompensasi pekerja. , biaya pengobatan, dan kemungkinan tuntutan hukum serta biaya pertanggungjawaban.
Badan Perlindungan Lingkungan (EPA) memberikan informasi dan bantuan mengenai dampak berbahaya
terhadap kesehatan manusia atau sistem ekologi yang disebabkan oleh paparan terhadap entitas fisik, kimia, atau
biologis apa pun yang dapat mengakibatkan respons buruk (disebut pemicu stres). Dalam hal ini, yang menjadi
perhatian khusus adalah berapa banyak bahan kimia yang ada, berapa banyak paparan yang dapat atau telah terjadi,
dan toksisitas bahan kimia tersebut. Akibatnya, proses penilaian penilaian risiko kesehatan manusia terdiri dari
identifikasi bahaya, diikuti dengan analisis hubungan antara paparan dan efek (yaitu penilaian dosis-respons),
penilaian paparan untuk mencatat apa yang diketahui tentang frekuensi, waktu, dan tingkat kontak dengan
stresor dan terakhir,
▪ Jenis masalah kesehatan apa yang mungkin disebabkan oleh faktor stres lingkungan seperti bahan kimia dan
radiasi?
▪ Seberapa besar kemungkinan orang akan mengalami masalah kesehatan ketika terpapar pada tingkat
stres lingkungan yang berbeda-beda?
▪ Apakah ada tingkat di bawah ini dimana beberapa bahan kimia tidak menimbulkan risiko kesehatan
manusia? Faktor pemicu stres lingkungan apa saja yang dialami manusia, pada tingkat apa, dan berapa
lama?
▪ Apakah beberapa orang lebih rentan terhadap pemicu stres lingkungan karena faktor-faktor seperti usia,
genetika, kondisi kesehatan yang sudah ada sebelumnya, praktik etnis, jenis kelamin, dan lain-lain?
▪ Apakah beberapa orang lebih mungkin terkena stresor lingkungan karena faktor-faktor seperti tempat
mereka bekerja, tempat mereka bermain, makanan apa yang mereka sukai, dan lain-lain?7
EPA, seperti USGS, National Weather Service, dan lainnya, menyediakan berbagai database, model, dan alat
lain untuk melakukan penilaian risiko.8Penggunaan perangkat kuantitatif ini membantu organisasi menghindari,
atau setidaknya membatasi, jumlah perkiraan yang menjadi ciri khasnya
Penilaian Risiko▪77
beberapa penilaian risiko sehingga penghitungan kemungkinan dan dampak dapat dilakukan denganlebih ilmiah.
Jawaban atas pertanyaan-pertanyaan semacam ini membantu para pengambil keputusan, baik orang tua atau
pejabat publik, untuk memahami kemungkinan risiko kesehatan manusia dari media lingkungan.
Di kalangan teknologi, kerentanan dan paparan umum (CVE) adalah daftar kerentanan dan paparan
keamanan informasi yang memberikan nama umum untuk masalah keamanan siber yang diketahui. Dijalankan oleh
Departemen Keamanan Dalam Negeri AS, ini adalah sumber daya publik dan gratis yang memudahkan berbagi data
di seluruh alat dan layanan. Daftar CVE memberikan informasi penting ke Basis Data Kerentanan Nasional (NVD)
AS untuk memberikan informasi yang ditingkatkan untuk setiap pengidentifikasi (juga dikenal sebagai nama atau
nomor CVE), seperti tindakan perbaikan, tingkat keparahan dan dampak yang diatur oleh vendor, produk, repositori,
versi produk , jenis kerentanan, dan informasi eksploitasi.
Karena CVE memberikan informasi tentang beberapa alat dan cakupan yang disediakan oleh masing -masing alat,
CVE memungkinkan organisasi memindai sistem deteksi intrusi mereka untuk menentukan apakah mereka
memiliki perlindungan yang tepat untuk mengidentifikasi upaya untuk mengeksploitasi kerentanan tertentu.
Kerentanan dalam perangkat lunak dapat digunakan oleh peretas untuk mendapatkan akses ke sistem atau
jaringan, sehingga dengan memiliki informasi ini memungkinkan organisasi untuk mencegah kemungkinan
serangan.
Melalui saran keamanan, organisasi dapat memeriksa database, alat, dan layanan mereka untuk memastikan
mereka segera mengidentifikasi perbaikan yang diperlukan dari produk perangkat lunak vendor. Jadi, jika vendor
dan pelanggan menggunakan standar CVE dan kompatibel dengan CVE, akan lebih mudah dan cepat untuk
mengidentifikasi dan memperbaiki kerentanan. Pada akhirnya organisasi akan mengetahui alat mana yang paling
efektif untuk kebutuhan organisasi karena mereka dapat menghubungkan database untuk mengetahui kelemahan
yang ada. Dengan informasi ini, dan NVD AS, para pemimpin bisnis dapat mengidentifikasi solusi yang akan
melindungi sistem organisasi.9
Ketika manajemen menilai eksposur mereka terhadap berbagai risiko, mereka harus memberikan perhatian
khusus pada keamanan data. Hal ini lebih dari sekedar menilai informasi identitas pribadi yang cenderung
ditampilkan dalam banyak berita utama saat ini. Informasi yang berisiko mencakup kekayaan intelektual, rencana
strategis perusahaan, komunikasi (misalnya email), dan data operasional yang digunakan untuk mengambil
keputusan bisnis. Penting untuk memastikan organisasi berfokus pada integritas dan ketersediaan informasi dan
tidak hanya pada kerahasiaan informasi. Meskipun penting untuk berfokus pada peningkatan pengendalian guna
mencegah insiden siber, organisasi juga harus meningkatkan kemampuannya untuk memantau dan mengidentifikasi
apakah organisasi tersebut mengalami insiden siber. Untuk ini,
Jika dampaknya signifikan, organisasi harus mempertimbangkan untuk membuat strategi mitigasi. Jika
dampaknya sedang atau rendah, maka kegiatan pengendalian saja sudah cukup. Bahaya relevan jika terdapat aset
yang dapat terkena dampak negatif dari bahaya tersebut. Aset mencakup orang, properti, barang dagangan, dan
sistem komputer. Hal yang sangat menarik, dan alasan mengapa praktik ini penting bagi auditor dan pemimpin
bisnis, adalah kemungkinan dan besarnya dampak terhadap organisasi.
Dampaknya beragam, antara lain kerugian finansial, kerusakan properti, denda, tuntutan hukum, kehilangan
pelanggan, dan masih banyak lagi. Tabel 3.6 mengilustrasikan hubungan antara item-item tersebut.
Penilaian risiko, dengan identifikasi bahaya, aset yang berisiko, analisis dampak, dan aktivitas respons dapat
bermanfaat bagi organisasi dan meningkatkan kemungkinan tercapainya tujuan dan sasaran. Tantangan saat ini lebih
besar dibandingkan masa lalu, karena dalam lingkungan bisnis dan operasi yang dinamis dan sangat kompetitif saat
ini, organisasi yang kurang memiliki kemampuan untuk beradaptasi, dan memanfaatkan peluang secara proaktif,
kemungkinan besar akan gagal dibandingkan dengan organisasi yang tidak mengelola risiko dengan baik. hasil
yang merugikan.
78▪Audit Operasional
Organisasi harus memiliki ketahanan, sehingga meskipun mengantisipasi dampak buruk adalah kunci
keberhasilannya, kurangnya fleksibilitas untuk menerima teknologi baru, memahami, dan memanfaatkan
teknologi baru, produk keuangan, pasar negara berkembang, dan dinamika sosial dapat menjadi penyebab
kehancuran.
Organisasi mungkin terlambat mengetahui bahwa organisasi lain telah memperoleh pangsa pasar, memperoleh
pendanaan yang diperlukan, dan mengurangi biaya operasional lebih cepat, sehingga menjadikannya tidak
kompetitif.
Pentingnya CSA
Auditor internal telah menyatakan bahwa manajemen dan dewan “memiliki” program dan proses organisasi,
tujuan dari program dan proses tersebut, risiko yang membahayakan pencapaian tujuan tersebut, dan
pengendalian yang mengurangi kemungkinan dan dampaknya. Meskipun hal ini benar, menurut pengalaman saya,
terlalu banyak manajer yang tidak menyadari kepemilikan ini. Selama seminar audit internal, saya sering bertanya
kepada lulusan perguruan tinggi baru-baru ini apakah mereka diminta untuk mengambil kelas audit internal dan
ketika kondisinya membaik, sering kali hanya jurusan akuntansi yang melaporkan bahwa mereka diminta untuk
mengambil kelas tersebut. Akibatnya, jika sebagian besar jurusan bisnis tidak menerima instruksi khusus mengenai
risiko dan pengendalian, berapa banyak pengajaran yang akan diterima oleh jurusan nonbisnis? Hal ini
memprihatinkan karena nantinya banyak yang mengambil tanggung jawab manajemen.
CSA dirancang untuk mengatasi kesenjangan ini. Mereka terdiri dari kuesioner dan dokumen lain yang
diselesaikan oleh pemilik proses yang mengidentifikasi aktivitas utama dalam program dan proses mereka, tujuan,
risiko dan pengendalian, individu yang melakukan tugas dan pengendalian utama, dan tantangan utama yang
mempengaruhi program dan proses ini. CSA mengharuskan manajer untuk memikirkan desain dan kondisi area
tanggung jawab mereka, serta menilai keberadaan dan kualitas pengendalian terkait.
Penerapan CSA masih jauh dari universal. Faktanya, ketika saya bertanya kepada peserta seminar apakah ada
program CSA di organisasi mereka, banyak yang menyatakan bahwa organisasi mereka belum memiliki program
CSA, dan mereka belum memulai proses penerapannya. Mereka yang sudah memiliki program tersebut sering
kali mengatakan bahwa program tersebut tidak memenuhi harapan mereka
Penilaian Risiko▪79
ketentuan penggunaan di seluruh organisasi atau kualitas data yang diambil dalam dokumenini.
Saya telah menemukan bahwa kesuksesan membutuhkan banyak kerja keras, namun imbalannya sepadan dengan
usaha yang dilakukan. Prosesnya harus mencakup auditor internal yang berbicara dengan manajer selama masa
orientasi mereka. Pelatihan manajer harus mencakup topik yang berkaitan dengan pengendalian internal. Informasi
yang diperoleh selama proses CSA juga harus menjadi sasaran tinjauan audit dan perbandingan antara apa yang
ditunjukkan oleh pemilik proses dalam formulir dan apa yang diidentifikasi oleh audit internal dalam hal risiko dan
efektivitas pengendalian. Perbedaan harus dianalisis dan didiskusikan dengan manajer terkait dan penilaian awal
diperbarui.
Ketika siklus berikutnya menangkap data baru, proses tersebut berulang dan pada tahun ketiga atau keempat,
kualitas data biasanya mencerminkan kondisi yang ada dengan lebih akurat. Oleh karena itu, program CSA yang
efektif memerlukan komunikasi, keterkaitan dengan kepatuhan perusahaan dan hasil audit internal, pemberian
umpan balik mengenai analisis kesenjangan, dan penguatan. Pengendalian penilaian mandiri bisa sangat berguna
dalam membantu organisasi meningkatkan tata kelola perusahaan. Hal ini sering terjadi ketika proses tersebut sudah
tertanam dalam praktik organisasi dan mereka yang berpartisipasi dalam aktivitas serta bertanggung jawab untuk
melengkapi dokumen-dokumen ini, memperoleh peningkatan pengetahuan tentang risiko dan pengendalian
organisasi, dan bagaimana kaitannya dengan tujuan bisnis. Penilaian ini juga meningkatkan kualitas penilaian risiko
karena pemilik proses memperoleh kompetensi mengenai keterkaitan dan menggabungkan pengetahuan ini dalam
pengambilan keputusan operasional dan strategis. CSA juga membantu meningkatkan akuntabilitas karena
dokumentasi terkait mencakup peran pemilik proses, identifikasi titik kontrol dan pelaku utama, proses eskalasi
yang dipicu ketika kekurangan teridentifikasi, dan bagaimana remediasi masalah dilakukan dan dibuktikan. Hasilnya
adalah efektivitas operasional yang lebih baik seiring dengan peningkatan kesadaran, dokumentasi, pengawasan,
akuntabilitas, dan tindak lanjut. Auditor internal didorong untuk mendorong penerapan dan promosi CSA, sehingga
penerapannya berkelanjutan dan manfaatnya dapat direalisasikan. CSA juga membantu meningkatkan
akuntabilitas karena dokumentasi terkait mencakup peran pemilik proses, identifikasi titik kontrol dan pelaku utama,
proses eskalasi yang dipicu ketika kekurangan teridentifikasi, dan bagaimana remediasi masalah dilakukan dan
dibuktikan. Hasilnya adalah efektivitas operasional yang lebih baik seiring dengan peningkatan kesadaran,
dokumentasi, pengawasan, akuntabilitas, dan tindak lanjut. Auditor internal didorong untuk mendorong penerapan
dan promosi CSA, sehingga penerapannya berkelanjutan dan manfaatnya dapat direalisasikan. CSA juga membantu
meningkatkan akuntabilitas karena dokumentasi terkait mencakup peran pemilik proses, identifikasi titik kontrol dan
pelaku utama, proses eskalasi yang dipicu ketika kekurangan teridentifikasi, dan bagaimana remediasi masalah
dilakukan dan dibuktikan. Hasilnya adalah efektivitas operasional yang lebih baik seiring dengan peningkatan
kesadaran, dokumentasi, pengawasan, akuntabilitas, dan tindak lanjut. Auditor internal didorong untuk mendorong
penerapan dan promosi CSA, sehingga penerapannya berkelanjutan dan manfaatnya dapat direalisasikan. Hasilnya
adalah efektivitas operasional yang lebih baik seiring dengan peningkatan kesadaran, dokumentasi, pengawasan,
akuntabilitas, dan tindak lanjut. Auditor internal didorong untuk mendorong penerapan dan promosi CSA, sehingga
penerapannya berkelanjutan dan manfaatnya dapat direalisasikan. Hasilnya adalah efektivitas operasional yang lebih
baik seiring dengan peningkatan kesadaran, dokumentasi, pengawasan, akuntabilitas, dan tindak lanjut. Auditor
internal didorong untuk
seperti catatan medis, hasil laboratorium, informasi transportasi (misalnya, jenis kontainer dan cara pengiriman), dan
telekomunikasi. EDI mensyaratkan adanya antarmuka antara sistem internal masing- masing organisasi dan sistem
mitra. Untuk dokumen “masuk”, penerima perlu memvalidasi bahwa mitra dagang yang mengirimkan file adalah
mitra dagang yang sah, bahwa struktur file memenuhi standar EDI, dan bahwa masing-masing bidang informasi
memenuhi standar yang disepakati. Biasanya, perangkat lunak akan membuat file (misalnya, panjang tetap, panjang
variabel, atau format bertanda XML) kemudian mengkonversi dan mengimpor file atau database yang dikonversi ke
dalam format yang dapat diimpor ke sistem bisnis penerima (misalnya, ERP).
Untuk dokumen “keluar”, prosesnya terdiri dari mengekspor file (atau membaca database) dari sistem
informasi perusahaan dan mengkonversi file ke format yang sesuai. File tersebut kemudian divalidasi untuk
memastikannya memenuhi standar yang disepakati oleh mitra dagang, diubah menjadi format “EDI”
(menambahkan pengidentifikasi dan struktur kontrol yang sesuai), dan dikirim ke mitra dagang menggunakan
protokol komunikasi yang sesuai.
Aspek penting dari pertukaran EDI adalah kebutuhan untuk memverifikasi bahwa semua langkah yang
diperlukan telah diikuti seiring aliran data dan dokumen antar mitra dagang. Semua transaksi harus dilacak untuk
memastikan tidak hilang. Misalnya, jika pesanan pembelian (PO) yang dikirimkan pembeli ke vendor hilang, kedua
belah pihak akan menanggung akibat negatifnya. Pemasok tidak memenuhi pesanan, sehingga terjadi kerugian
finansial akibat hilangnya bisnis dan hubungan bisnis juga akan terpengaruh. Bagi pembeli, yang bisa jadi
merupakan pengecer, mereka mengalami kehabisan stok dan kehilangan penjualan, mengalami penurunan layanan
dan kepuasan pelanggan, dan pada akhirnya memperoleh keuntungan yang lebih rendah. Auditor internal dapat
menambah nilai bagi organisasinya dengan memastikan bahwa hubungan tersebut diformalkan, bahwa kedua
belah pihak mengikuti standar yang sama,
Inventaris. Stok bahan mentah, barang setengah jadi (misalnya barang dalam proses), atau bahan jadi disimpan
Penilaian Risiko▪83
untuk melindungi organisasi dari pasokan atau permintaan yang tidak dapat diprediksi, tidak pasti, atau tidak
menentu dengan tujuan u n t u k menghindari situasi kehabisan stok. Meskipun merupakan praktik umum untuk
memelihara inventaris dalam berbagai jumlah dan jenis, di lokasi berbeda dalam suatu fasilitas atau beberapa
lokasi dalam rantai pasokan, yang dikelola oleh pemilik barang atau pihak ketiga, konsep manajemen inventaris
telah berubah seiring berjalannya waktu.
Selama beberapa dekade, JIT telah menganjurkan tingkat persediaan nol atau mendekati nol. Idenya adalah
bahwa organisasi hanya boleh menerima pasokan yang diketahuinya akan diperlukan, dan barang-barang tersebut
harus tiba segera ketika dibutuhkan, dan harus segera disalurkan ke pengguna akhir. Akibatnya, tidak menyimpan
inventaris apa pun melainkan menggunakan sistem tarik. Strategi penarik terdiri dari pembeli yang “menarik”
barang atau informasi yang mereka perlukan (misalnya, meminta kebutuhan mereka), sementara pemasok
“mendorong” barang atau informasi tersebut ke arah konsumen. Secara sederhana, produksi dorong didasarkan
pada perkiraan permintaan dan produksi tarik didasarkan pada permintaan aktual atau permintaan yang dikonsumsi.
Premis utamanya adalah bahwa inventaris adalah penyimpanan sumber daya perusahaan yang dapat digunakan di
tempat lain untuk tujuan yang lebih produktif. Persediaan juga mempunyai biaya tercatat (misalnya penyimpanan
dan perlindungan) dan jika permintaan tidak pernah terwujud, barang tersebut mungkin menjadi usang.
Ada sejumlah aspek utama manajemen inventaris yang harus menjadi fokus perhatian auditor internal.
Misalnya, memverifikasi bahwa semua inventaris dicatat dan tercermin secara akurat dalam laporan keuangan dan
laporan keuangan organisasi, memastikan bahwa inventaris masih dapat dijual, jika tidak, inventaris tersebut harus
diperlakukan sesuai dengan pedoman kelebihan dan usang (E&O) dan dihapuskan.
▪ Aturan Akhir tentang Privasi Informasi Keuangan Konsumen, 16 Kode Peraturan Federal, Bagian
313
Di Kanada, Undang-Undang Perlindungan Informasi Pribadi dan Dokumen Elektronik (PIPEDA) dan Undang -
Undang Privasi adalah contoh undang-undang yang mengatur pengumpulan, penggunaan, dan pengungkapan
informasi pribadi. Inggris dan negara-negara UE mematuhi Pasal 8 Konvensi Eropa tentang Hak Asasi Manusia,
yang mensyaratkan penghormatan terhadap kehidupan pribadi dan keluarga, rumah, dan korespondensi seseorang.
Kemampuan menangkap dan mentransfer data. Perbaikan dalam penyimpanan data, dapat menurunkan biaya
secara dramatis selama tiga dekade terakhir. peningkatan dalam kemampuan jaringan (jaringan area lokal
[LAN], jaringan area luas [WAN]) dan internet, dan peningkatan dalam komunikasi nirkabel, seperti
identifikasi frekuensi radio ( RFID), menjadikannya semakin mudah dan ekonomis bagi organisasi untuk
memperoleh, menganalisis, dan menyebarkan informasi secara real time atau mendekati real time. Hal ini
memungkinkan organisasi mengetahui apa yang terjadi di seluruh organisasinya dan segera memperbaiki
masalahnya.
Meluasnya penggunaan standar komunikasi, seperti XML juga akan memfasilitasi kolaborasi dan semakin
mengurangi biaya dan kejutan. Saat data dikumpulkan tentang preferensi dan praktik belanja pelanggan, seperti
“memori” Amazon, chip yang tertanam dalam barang yang dibeli (misalnya, mobil) atau fitur keikutsertaan
pascapenjualan (misalnya, FitBit, iWatch/iPhone), akan memungkinkan perusahaan menawarkan manfaat dan
layanan pascapenjualan yang berharga. Pembuatan data dalam jumlah besar ini membawa risiko dan peluang.
Inisiatif lingkungan. Pertimbangan ekologis semakin menjadi perhatian utama bagi organisasi. Baik itu
pengadaan bahan secara lokal, maupun pengadaannya melalui praktik perdagangan yang adil. Dan ju ga
pengurangan jumlah bahan baku dan kemasan yang digunakan, penurunan jumlah limbah yang dihasilkan,
pembuatan barang menggunakan komponen daur ulang, atau produksi barang dari bahan-bahan yang
86▪Audit Operasional
digunakan kembali, maka hal-hal tersebut dapat mempengaruhi pertimbangan lingkungan y a n g a d a .
bagaimana organisasi dipandang dan dalam beberapa kasus bahkan mengarahkan keputusan pembelian.
Fokusnya tidak terbatas pada apa yang diproduksi, tetapi juga bagaimana barang diproduksi dan bahkan dalam
kondisi apa. Ambil contoh dampak penempatan panel surya di atap rumah perusahaan, atau penurunan jumlah
konsumsi air di kantor produksi dan pendukung, hingga penurunan penggunaan kertas dan listrik, penggunaan
cahaya alami secara lebih efisien, peningkatan penggunaan energi listrik, dan penggunaan energi listrik. biofuel,
dan memperoleh energi dari sumber terbarukan. Semua dinamika ini mempengaruhi organisasi dan mempengaruhi
keputusan pembelian, manufaktur, transportasi, kantor, desain, dan kepegawaian.
Keterlibatan pemerintah. Meskipun tingkat penerimaan keterlibatan pemerintah berbeda-beda di setiap negara
dan berubah seiring berjalannya waktu, pemerintah secara umum semakin terlibat dalam mendukung kegiatan
sektor swasta. Hal ini merupakan hasil dari pemahaman yang lebih baik mengenai peran yang dapat dimainkan
oleh pemerintah dalam memfasilitasi perdagangan, memberikan perlindungan berdasarkan supremasi hukum,
mendidik masyarakat, membangun infrastruktur yang dibutuhkan, memberikan rezim perpajakan yang
menguntungkan, dan mengurangi kontrol keuangan untuk memfasilitasi aliran modal. Dan Hal ini juga terlihat
dari banyaknya perjanjian perdagangan disetiap negara. Pada tanggal 1 Januari 2015, Amerika Serikat memiliki
14 perjanjian perdagangan bebas yang berlaku dengan 20 negara. Amerika Serikat sedang merundingkan
Kemitraan Trans-Pasifik dan Kemitraan Perdagangan dan Investasi Transatlantik.14Perjanjian-perjanjian ini
mempengaruhi perdagangan.
Karena tantangan infrastruktur di seluruh dunia, organisasi cenderung memulai upaya kolaborasi pemerintah-
swasta melalui investasi swasta, kebijakan publik, dan investasi infrastruktur bersama. Perusahaan dan pemerintah
akan berupaya membangun, memperbaiki, dan mengoperasikan jalan raya, pelabuhan, bandara, dan jalur kereta api.
Risiko geo-politik. Bangkitnya ekstremisme di seluruh dunia mengancam kemampuan organisasi untuk beroperasi
secara bebas di seluruh dunia. Beberapa di antaranya terkait dengan pengeboman terhadap fasilitas perusahaan
minyak dan gas serta industri ekstraktif lainnya hingga serangan terhadap masyarakat umum yang membuat
takut wisatawan dan berdampak pada industri pariwisata (misalnya maskapai penerbangan, hotel, restoran, dan
museum). Hal ini juga mempengaruhi rencana strategis organisasi, aliansi strategis mereka, dan kemampuan
mereka untuk mengerahkan pekerja di tempat-tempat dimana kondisinya dapat berubah dari damai menjadi
bermusuhan dalam sekejap.
Korupsi. Organisasi-organisasi yang ada, bahkan seluruh perekonomian disetiap negara, terus menderita akibat
dari tindakan korupsi tersebut. Korupsi itu sendiri Didefinisikan sebagai perilaku tidak jujur atau tidak etis
yang dilakukan oleh seseorang yang diberi wewenang, sering kali untuk mendapatkan keuntungan pribadi,
tindakan ini mencakup banyak aktivitas termasuk penyuapan dan penggelapan. meskipun tindakan ini juga
dapat melibatkan praktik yang legal di banyak negara, seperti favoritisme dan nepotisme secara terang-terangan.
, diskriminasi, dan kemurahan hati. Hal ini terjadi ketika pejabat pemerintah atau pegawai sektor swasta
bertindak dalam kapasitas resminya demi keuntungan pribadi. Hal ini mendistorsi pasar dengan mengalihkan
sumber daya ke tujuan yang kurang produktif dan meningkatkan biaya menjalankan bisnis dengan memaksa
pembayaran tambahan. Da n Hal ini juga menimbulkan skeptisisme dan kecurigaan. Di sektor publik, hal ini
membatasi kesejahteraan penduduk dan sering kali terlihat pada infrastruktur yang tidak memenuhi standar,
pekerja anak,
Transparency International (TI) menerbitkan Indeks Persepsi Korupsi (CPI) tahunan, yang mengukur persepsi
tingkat korupsi sektor publik di seluruh dunia. Mereka melaporkan bahwa meskipun korupsi masih merajalela
secara global, lebih banyak negara yang berhasil meningkatkan skor mereka pada CPI TI tahun 2015 dibandingkan
menurunkannya. Namun, dua pertiga dari 168 negara pada indeks tahun 2015 mendapat skor di bawah 50, dalam
skala dari 0 (dianggap sangat korup) hingga 100 (dianggap sangat bersih). Skala permasalahannya sangat besar. 68%
negara di seluruh dunia mempunyai masalah korupsi yang serius.
Setengah dari negara-negara G20 termasuk di dalamnya.
Penilaian Risiko▪87
Para pemimpin bisnis, pembuat kebijakan, auditor internal, dan pemangku kepentingan lainnya menggunakan
laporan ini dan laporan TI lainnya sebagai ukuran dan masukan ketika melakukan penilaian risiko. Auditor internal
harus memeriksa di mana organisasi mereka beroperasi, di mana pemasok mereka beroperasi dan di mana pelanggan
mereka tinggal, dan mengevaluasi implikasi dari jaringan geografis mereka yang unik terhadap profil risiko
mereka.
Indikator korupsi yang lebih tinggi tentu saja menunjukkan perlunya prosedur audit yang lebih ketat.15
Ringkasan
Laporan Pencarian Nilai melalui Audit Internal KPMG menyatakan bahwa departemen audit internal tidak
memberikan nilai yang dicari oleh ketua komite audit dan CFO. Laporan-laporan tersebut menyebut hal ini sebagai
“kesenjangan nilai,” yang paling jelas terlihat dalam penilaian risiko dan praktik manajemen risiko, terutama terkait
dengan risiko-risiko yang muncul. Laporan tersebut, berdasarkan survei terhadap anggota komite audit dan CFO,
menyatakan bahwa hanya 22% dari mereka percaya audit internal membantu menilai risiko dan praktik manajemen
risiko. Selain itu, 57% dari mereka mengatakan lebih banyak wawasan mengenai risiko akan memberikan nilai
paling besar bagi organisasi. Kesenjangan serupa juga terjadi sehubungan dengan risiko- risiko yang muncul, dimana
hanya 5% yang menyatakan bahwa audit internal memberikan perspektif yang terinformasi mengenai risiko-risiko
yang muncul, sementara 36% menganggap hal ini sebagai sesuatu yang berharga untuk diterima.
Manajemen risiko, sebagai bidang profesional, dimulai beberapa dekade yang lalu dan sebagian besar
berpusat pada cakupan asuransi dan reasuransi. Namun hal ini mendapat dorongan ketika COSO merilis kerangka
kerja manajemen risiko perusahaan (ERM) pada tahun 2004 dan Organisasi Internasional untuk Standardisasi
menerbitkan ISO 31000 pada tahun 2009, yang keduanya membantu mempromosikan konsep tersebut secara luas.
Saat ini, terdapat sertifikasi seperti Profesional Manajemen Risiko, Manajer Risiko Bersertifikat, Sertifikasi Jaminan
Manajemen Risiko, Sertifikat Internasional Manajemen Risiko, dan bahkan gelar master dalam manajemen risiko.
Auditor internal didorong untuk memperoleh pemahaman seluas dan sedalam mungkin mengenai metodologi
manajemen risiko karena hal ini akan memungkinkan mereka menilai program yang ada dengan lebih baik, dan
membuat rekomendasi untuk perbaikan.
Bab 4 membahas 8 E—kumpulan atribut operasional yang mendefinisikan organisasi yang sukses. Hal ini
mudah diingat karena kesederhanaannya, namun membutuhkan waktu lama bagi organisasi untuk menguasainya
karena mencakup budaya organisasi, struktur, penerapan, dan pelaksanaan di dalam dan di luar organisasi, di
seluruh pemangku kepentingan. Ini mengacu pada efektivitas, efisiensi, ekonomi, keunggulan, etika, kesetaraan,
ekologi, dan emosi.
Menerapkan 8 E telah melambungkan beberapa organisasi menjadi bintang kompetitif, menciptakan tempat
kerja yang diakui sebagai tempat terbaik untuk bekerja, dan menghancurkan organisasi-organisasi yang
mengabaikan satu atau lebih elemen-elemen ini. Auditor internal harus memperlakukan 8 E sebagai bagian integral
dari tema yang mereka masukkan dalam rencana audit mereka, dan sebagai bagian dari topik yang diperiksa selama
peninjauan mereka.
PERTANYAAN
1. Apa manfaat fungsi audit internal dalam menetapkan rencana berbasis risiko ketika mengidentifikasi
prioritas aktivitas audit internal?
2. Jelaskan tiga cara agar auditor internal dapat mengidentifikasi risiko yang terkait dengan area yang
ditinjau dengan lebih baik.
3. Apa tiga faktor internal dan tiga faktor eksternal yang mempengaruhi suatu organisasi pada
umumnya? Bagaimana faktor-faktor ini mempengaruhi prospek masa depan organisasi?
4. Jelaskan peristiwa yang telah mengubah atau mengganggu suatu industri dan sertakan: (1) Contoh
88▪Audit Operasional
organisasi yang memperoleh manfaat dari peluang tersebut dan (2) contoh organisasi lain yang salah
mengelolanya dan menderita kerugian sebagai akibatnya.
5. Sebutkan tiga organisasi yang menyediakan daftar kerentanan umum yang berguna selama
penilaian risiko.
6. Sebutkan tiga manfaat program CSA.
7. Jelaskan tiga risiko yang unik untuk masing-masing dari dua pendekatan manufaktur berikut: made to order
(MTO) dan made to stock (MTS).
8. Jelaskan mengapa auditor internal harus mempertimbangkan kemacetan, waktu siklus yang panjang,
redundansi, dan pemrosesan ulang sebagai risiko operasional.
9. Apa implikasi risiko dari outsourcing? Jelaskan mengapa manajemen harus tetap waspada meskipun
proses dan aktivitas terkait telah dialihdayakan ke organisasi lain.
10. Praktik apa saja yang diharapkan dari organisasi dalam memerangi korupsi dan mendukungupaya
mengurangi korupsi institusional?
Catatan
1 Lihat http://www.derbyshireprepared.org.uk/risks/risk_terminology/
2 Informasi ini diadaptasi dari Derbyshire Prepared, Local Resilience Forum dan Other Solutions Ltd.
Di http://othersolutions.eu/
3 Lihat
http://www.businessdictionary.com/definition/vulnerability.html#ixzz3wnmuoCS7 4
Untuk informasi tambahan, kunjungi https://hazards.fema.gov/femaportal/wps/portal
5 Untuk informasi tambahan, kunjungi http://geohazards.usgs.gov/eqprob/2009/index.php,
http://landslides.usgs. gov/, http://volcanoes.usgs.gov/, dan https://www.osha.gov
6 Untuk informasi tambahan, lihat http://www.weather.gov/ dan http://www.wbur.org/2015/12/23/end-of-year-
ulasan-mbta-celaka
7 Untuk informasi lebih lanjut mengenai penilaian kesehatan manusia, lihat http://www.epa.gov/risk/human-health-risk-
penilaian
9 Untuk informasi tambahan tentang Kerentanan dan Paparan Umum, lihat http://cve.mitre.org/ 10 Michael
Porter adalah pakar terkemuka dan telah banyak menulis tentang keunggulan kompetitif. Miliknya
publikasi termasuk bukuKeunggulan kompetitif(1985),Keunggulan Kompetitif Bangsa-Bangsa(1990), dan
Lima Kekuatan Kompetitif yang Membentuk Strategi(2008) selain banyak artikel. 11 Lihat https://
www.privacyrights.org/data-breach-asc?title=target&=Apply
12 Lihat http://www.wsj.com/articles/SB10001424052702304255604579406694182132568 13
Lihat http://www.reuters.com/article/us-target-breach-settlement-idUSKBN0TL20Y20151203#
qmGPWO0mR7raj6J0.97
14 Lihat http://trade.gov/fta/
15 Untuk membaca lebih lanjut tentang CPI, metodologi yang digunakan, dan mengunduh laporan lengkap, kunjungi http://www.
transparansi.org/cpi2015/