AUDIT INTERNAL (Business Processes And Risks) Diajukan Untuk Tugas Audit Internal Program Studi Akuntansi Fakultas Ekonomi Universitas Widyatama Dosen : Dr. Rita Yuniarti, S.E., M.M., Ak., C.A.
Disusun oleh : Irvano Ridwansyah H
0116101003
Akbar
0116101021
Merry Christianti S
0116101028
Bunga Annisa A
0116101038
Tia Indah S
0116101042
Elvira Meitawati
0116101044
Nur Sofiani Savitri
0116101045
FAKULTAS EKONOMI UNIVERSITAS WIDYATAMA Terakreditasi ( Accredited ) “A” BANDUNG 2019
KATA PENGANTAR
Assalamu’alaikum Wr. Wb Dengan mengucapkan puji dan syukur kepada ALLAH SWT atas segala rahmat dan karunia yang telah diberikan kepada kami, akhirnya kami dapat menyelesaikan Makalah yang berjudul “Business Processes And Risks”. Dalam menyusun makalah ini, kami berusaha dengan segala pengetahuan yang ada dalam menyajikan laporan dengan sebaik-baiknya, namun kami menyadari bahwa masih ada berbagai kekurangan baik dalam teknik penulisan maupun penyajian laporan, hal ini mungkin disebabkan oleh keterbatasan pengalaman dan ilmu yang dimiliki oleh kami. Oleh karena itu, kritik dan saran atas tugas Makalah ini dari berbagai pihak sehingga dapat dijadikan pengalaman yang berharga untuk dimasa yang akan datang. Kami
menyadari
bahwa
makalah
ini
masih
jauh
dari
kesempurnaan, namun semoga makalah ini dapat bermanfaat bagi semua pihak yang membaca. Wassalamu’alaikum Wr.Wb
Bandung, 17 Maret 2019
Kelompok 2
DAFTAR ISI KATA PENGANTAR.................................................................................. ........i DAFTAR ISI..................................................................................................... ....ii BAB I PENDAHULUAN........................................................................... ..........1 1.1
Latar Belakang..........................................................................................1
1.2
Rumusan Masalah.....................................................................................1
1.3
Tujuan.......................................................................................................1 BAB II PEMBAHASAN.............................................................................. ........3
2.1
Proses Bisnis..............................................................................................3
2.2
Memahami Proses Bisnis................................................................................6
2.3
Mendokumentasikan Proses Bisnis..……………………………………….....9
2.4
Risiko Bisnis…........................................................................................11 2.4.1 Proses Umum Simbol Pemetaan………………………………..11 2.4.2 Risk Assessment Model……………………………………...…12 2.5
Pemetaan Risiko ke Proses
Bisnis………………………….......……....13 2.5.1 Risiko Dengan Proses Matrix………………………………..…15 2.5.2 Risiko Faktor Pendekatan………………………………………16 2.6
Proses Bisnis dan Resiko dalam Assurance
3
Engagement………………19 BAB III PENUTUP........................................................................................ ....22 3.1
Kesimpulan...............................................................................................22 DAFTAR PUSTAKA........................................................................................ .23
4
BAB I PENDAHULUAN 1.1 Latar Belakang Auditor internal memiliki keterampilan yang memadai dan pengalaman yang luas untuk memainkan perannya dalam penerapan yang berhasil dan efektif manajemen risiko.Banyak perusahaan dan organisasi yang tidak menyadari arti pentingnya peran auditor internal dalam penerapan manajemen risiko. Kegagalan mengakibatkan auditor internal dalam manajemen risiko akan berdampak tidak efektifnya program manajemen risiko yang diterapkan dan bahkan lebih jauh lagi dapat menimbulkan kegagalan total terhadap ekspektasi penerapan manajemen risiko. Rumusan Masalah a. b. c. d.
Bagaimana sejarah guidance setting untuk profesi auditor internal ? Apa yang dimaksud dengan The international professional practise framework ? Apa yang dimaksud dengan Mandatory guidance ? Apa yang dimaksud dengan Strongly recommended guidance ?
Tujuan 1. 2. 3. 4. 5.
Memahami struktur aktivitas organisasi untuk mencapai tujuan Mengidentifikasi proses utama bisnis di organisasi Memperoleh pemahaman tentang proses bisnis yang diberikan Memahami jenis resiko bisnis yang dihadapi organisasi Mengidentifikasi dan menilai resiko utama, tujuan organisasi dan
bagaimana mereka terhubung dengan proses bisnis 6. Mengembangkan audit universe untuk organisasi dan menentukan rencana audit internal tahunan berdasarkan resiko utama bisnis 7. Memahami bagaimana menggunakan teknik penilaian resiko dalam jaminan
5
8. Memperoleh kesadaran baru yang timbul ketika beberapa proses kunci merupakan outsource
BAB II PEMBAHASAN 6
PROSES BISNIS Bab 3, “Tata Kelola,” membahas pentingnya proses tata kelola ketika menetapkan tujuan organisasi dan batasan-batasan dalam beroperasi. Bab ini mengkaji bagaimana sebenarnya struktur organisasi, dan bagaimana kegiatan mereka untuk menerapkan strategi dan mencapai tujuan bisnis. Organisasi struktur kegiatan ke proses bisnis atau proyek. Meskipun ada beberapa proses yang umum di seluruh organisasi, campuran yang tepat dan struktur akan unik untuk setiap organisasi. bahkan di dalam sebuah organisasi. Proses bisnis adalah serangkaian kegiatan yang terhubung yang berhubungan dengan satu sama lain untuk mencapai tujuan. Bab ini mengkaji bagaimana sebenarnya struktur organisasi, dan bagaimana kegiatan mereka untuk menerapkan strategi dan mencapai tujuan bisnis. Proses operasi untuk sebagian besar organisasi termasuk proses inti organisasi untuk mencapai tujuan utama. Untuk perusahaan manufaktur, ini akan menjadi proses membuat dan menjual produk. Untuk perusahaan penyedia layanan (jasa) seperti sebuah konsultasi lembaga, perusahaan atau keuangan, proses tersebut adalah memasarkan dan memberikan layanan. Entitas Pemerintah atau organisasi nirlaba juga memiliki proses yang dimana mereka memberikan layanan operasi. Setelah produk atau jasa dirancang proses operasi tersisa dipandang sebagai dasarnya terus-menerus diulang berkali-kali di siklus bisnis. Melalu proses ini organisasi menciptakan nilai dan mengirimkannya langsung kepelanggan mereka. Beberapa organisasi dapat menggunakan metode yang berbeda untuk mengatur kegiatan penciptaan nilai.struktur ini, disebut proyek, digunakan ketika kegiatan terjadi lebih dari satu periode waktu yang panjang, memerlukan sequencing kompleks, 7
dan relatif unik karena aktivitas tertentu tidak dilakukan terus menerus.Contoh organisasi yang sering mengatur kegiatan inti mereka dengan cara ini adalah perusahaan rekayasa dan konstruksi, pertambangan, minyak, dan gas perusahaan dan kontraktor pertahanan. Proses 13 dan 14 menunjukkan dua jenis proyek. memproses 13 berlaku ketika desain organisasi dan membangun aset dan mengoperasikannya, juga. misalnya latihan perusahaan minyak dan kemudian mengoperasikan sumur minyak.Proses 14 berlaku ketika desain organisasi dan membangun aset dan tangan itu ke organisasi lain untuk beroperasi. misalnya pabrik atau bangunan yang dibangun oleh sebuah perusahaan rekayasa dan kemudian dipindahkan ke perusahaan lain untuk operasi Proyek juga sering digunakan dalam sebagian besar organisasi untuk struktur kegiatan non rutin untuk menciptakan aset untuk organisasi. misalnya struktur proyek akan digunakan untuk seleksi dan implementasi sistem akuntansi baru, pelaksanaan awal inisiatif besar seperti apa yang diperlukan untuk mematuhi AS Sarbanes Oxley Act of 2002 atau negara lain persyaratan pelaporan keuangan atau pembangunan produksi baru. Proses manajemen dan support adalah kegiatan yang mengawasi dan mendukung proses penciptaan nilai organisasi inti. sementara proses ini akan bervariasi antara organisasi, mereka umumnya diperlukan di semua industri dan dukungan tapi tidak langsung membuat, nilai tertanam dalam tujuan organisasi. manajemen dan dukungan proses termasuk yang digunakan untuk mengelola SDM organisasi, keuangan, informasi dan teknologi dan sumber daya fisik (proses 7 sampai 10) proses dukungan tersebut meliputi perekrutan, akuntansi, manajemen kas, penggajian, pembelian, dll (proses 11). kategori ini juga termasuk proses 8
organisasi untuk mengelola hubungan eksternal (proses 12) seperti yang dengan pemasok, pelanggan, badan pemerintah dan regulator, serta hubungan dengan pasar modal dan usaha dan mitra aliansi. Exhibit 5-2 menggambarkan proses bisnis dari perspektif tingkat tinggi. masingmasing dari 14 jenis klasifikasi juga dapat digambarkan sebagai kegiatan yang lebih bijaksana. Exhibit 5-3 menggambarkan hal ini.misalnya organisasi ritel dapat menggambarkan proses penjualan umum di tingkat tertinggi organisasi 4,5 dan 6. Dari penjualan eceran, yang meliputi proses dimana pelanggan memilih barang, membayar barang dengan uang tunai atau janji untuk membayar (piutang) , dan menerima kepemilikan. Penjualan ritel dapat dilakukan dalam pengaturan toko atau melalui internet, proses yang lebih rinci dapat dirancang bagi kegiatan mereka, tingkat detail yang digunakan untuk menggambarkan proses ini akan bervariasi tergantung pada dokumentasi tingkat yang diinginkan.
9
Jika gambaran yang diinginkan, diksi tingkat tinggi ditunjukkan pada gambar atas 5-3 sudah cukup.jika tingkat yang lebih rinci yang diinginkan, contoh menengah atau lebih rendah ditunjukkan gambar 5-3 mungkin lebih tepat. dalam beberapa kasus subproses dapat ditampilkan di bahkan tingkat yang lebih rinci daripada yang ditunjukkan pada gambar 5-3. misalnya proses penjualan toko memasukkan informasi ke kasir bisa melibatkan sejumlah subproses seperti memperbarui nomor persediaan, pencatatan pendapatan penjualan, dan membuka laci kas. baik tingkat tinggi dan pendekatan rinci dapat berharga untuk auditor internal, seperti yang dibahas pada bagian berikutnya. Memahami Proses Bisnis
10
Untuk auditor internal untuk menambah nilai dan meningkatkan operasi yang organisasi, mereka harus terlebih dahulu memahami model bisnis organisasi. model bisnis meliputi tujuan organisasi dan bagaimana proses bisnis yang disusun untuk mencapai tujuan tersebut. model didefinisikan oleh visi organisasi, misi, dan nilai, serta set batas bagi organisasi - apa produk atau jasa itu akan memberikan, apa pelanggan atau pasar itu akan menargetkan, dan apa pasokan dan pengiriman saluran itu akan digunakan. sementara model bisnis meliputi strategi tingkat tinggi dan arah taktis untuk bagaimana organisasi akan menerapkan model, juga termasuk sasaran-sasaran tahunan yang mengatur langkah-langkah spesifik organisasi bermaksud untuk melakukan di tahun depan dan langkah-langkah untuk prestasi yang diharapkan mereka. masing-masing cenderung menjadi bagian dari dokumentasi internal yang tersedia untuk internal auditor Untuk perusahaan publik, sumber eksternal ini mungkin juga tersedia.sementara visi organisasi, misi, nilai-nilai dan tujuan yang relatif stabil dari tahun ke tahun, fungsi audit internal harus tetap secara berkala memperbarui pemahamannya tentang strategi organisasi. biasanya ini akan dilakukan setiap tahun ketika meninjau tujuan tahun untuk organisasi dan manajemen eksekutif. Ada dua pendekatan umum yang dapat membantu dalam memahami proses bisnis dan peran mereka dalam model bisnis: pendekatan top down dan bottom up pendekatan. dalam pendekatan top-down, satu dimulai pada tingkat organisasi dengan tujuan organisasi, dan mengidentifikasi proses kunci penting untuk keberhasilan setiap tujuan tersebut. Proses dianggap kunci relatif terhadap tujuan tertentu jika kegagalan proses untuk berfungsi secara efektif langsung akan mengakibatkan organisasi tidak mencapai tujuan. misalnya, jika tujuan tertentu adalah untuk meningkatkan nilai pemegang saham dengan konsisten 11
memberikan pertumbuhan laba operasi. misalnya, jika tujuan tertentu adalah untuk meningkatkan nilai pemegang saham dengan konsisten memberikan pertumbuhan laba operasi (historis 12 persen per tahun) kemudian - mengacu pada proses tingkat tinggi dalam gambar 5-2 - proses 3,4,5 mungkin menjadi kunci, sedangkan beberapa proses dukungan, seperti proses 8, mengelola sumber daya keuangan mungkin tidak. penting untuk dicatat bahwa, sementara proses mungkin tidak menjadi kunci untuk satu tujuan tertentu, mereka mungkin menjadi kunci yang lain. Dengan demikian, dalam contoh di atas sementara proses penutupan akuntansi bulanan mungkin tidak menjadi proses kunci untuk tujuan pertumbuhan laba, mungkin menjadi proses kunci untuk tujuan organisasi seperti "memberikan informasi keuangan yang handal dan tepat waktu" Setelah proses kunci diidentifikasi mereka dianalisis secara lebih rinci, melanggar proses ke tingkat sub proses dan akhirnya mencapai tingkat aktivitas. Pendekatan ini efektif karena menghasilkan satu set dikelola proses kritis. biasanya dilakukan oleh tim dari individu dengan perspektif dewan organisasi, tapi tidak dengan pengetahuan rinci dari masing-masing daerah. sebagai hasilnya, ada potensi untuk mengabaikan proses yang utimately membuktikan menjadi kritis tetapi dihilangkan dalam pendekatan top-down. Pendekatan Bottom-Up dimulai dengan melihat semua proses pada tingkat aktivitas. pendekatan seperti mengharuskan setiap daerah organisasi untuk mengidentifikasi dan mendokumentasikan proses bisnis di mana mereka terlibat. hal ini dilakukan oleh orang-orang di daerah yang bertanggung jawab untuk kegiatan yang sebenarnya. Proses diidentifikasi kemudian dikumpulkan di seluruh organisasi. sementara pendekatan ini bekerja dengan baik untuk organisasi kecil dengan jumlah yang relatif terbatas proses, itu kurang efektif dalam organisasi besar dan 12
kompleks karena menjadi rumit untuk memprioritaskan pentingnya setiap proses relatif terhadap orang lain. Sekali proses diidentifikasi langkah selanjutnya baik dalam top-down atau pendekatan bottom-up adalah untuk menentukan tujuan utama untuk proses tersebut. menentukan tujuan utama melibatkan mendapatkan jawaban atas pertanyaan-pertanyaan seperti: 1. mengapa proses ada? 2. bagaimana proses mendukung strategi organisasi dan berkontribusi prosesnya? 3. bagaimana orang diharapkan untuk bertindak? 4. apa lagi yang proses melakukan itu penting untuk manajemen? Untuk internal auditor, atau seseorang yang tidak terlibat langsung dalam proses, sumber pertama informasi adalah pemilik proses dan kebijakan dan prosedur dokumentasi yang ada untuk proses tersebut. idealnya, pemilik proses telah membentuk proses formal tujuan yang memberikan jawaban atas empat pertanyaan di atas. jika tidak, auditor internal perlu bekerja dengan orang-orang penting yang terlibat dengan proses untuk memperoleh informasi yang diperlukan. Sekali tujuan proses dipahami langkah berikutnya adalah untuk memahami masukan untuk proses kegiatan khusus yang dibutuhkan untuk mencapai tujuan proses, dan output proses. Untuk memahami bagaimana input dan kegiatan menggabungkan untuk menghasilkan output, dokumen yang ada harus ditinjau. Dokumen tersebut dapat mencakup, misalnya: proses prosedur manual, kebijakan yang berkaitan dengan proses, deskripsi pekerjaan dari orang yang terlibat dalam proses, peta proses yang menggambarkan aliran proses. Meskipun dokumen yang ada merupakan awal yang penting, biasanya diperlukan untuk membahas aspek proses dengan orang-orang yang melakukan kegiatan signifikan dalam proses. 13
Pertanyaan berikut dapat ditanyakan dari pemilik proses dan personil kunci lain untuk membantu memperoleh pemahaman tentang proses bisnis. 1. Mengapa proses ini ada? 2. Manakah dari tujuan strategis organisasi [tidak) proses mempengaruhi dan bagaimana? 3. Apa yang harus inisiatif proses berjanji untuk membantu organisasi mencapai tujuan strategis? 4. Apa proses menyediakan organisasi, tanpa mana organisasi akan memiliki waktu yang sulit menjadi sukses? 5. Pada akhirnya, apa yang memberikan karyawan yang terlibat dalam proses rasa keberhasilan dengan pekerjaan mereka? 6. Apa prestasi cenderung untuk mendapatkan karyawan yang terlibat dalam proses diakui oleh manajemen atau pelanggan internal? 7. Bagaimana orang yang terlibat dengan proses diharapkan untuk bertindak? Apa yang terjadi ifthey tidak memenuhi harapan ini? 8. Apakah indikator kinerja utama (KPI) yang ada untuk membantu mengukur dan memantau kinerja? Selain mengidentifikasi tujuan utama, memahami proses ini membutuhkan mendapatkan pemahaman tentang bagaimana manajemen gersang pemilik proses mengetahui proses ..berkinerja sebagaimana dimaksud. Pemilik proses harus telah menetapkan KPI yang digunakan untuk memantau kinerja proses. Indikatorindikator ini harus diamati (mereka dapat diukur secara obyektif), relevan dengan tujuan (bukan hanya digunakan karena mereka dapat diukur), tersedia secara tepat waktu, dan dikomunikasikan kepada orang-orang yang terlibat dalam proses. KPI atau jenis lain dari metrik kinerja dapat menunjukkan harapan manajemen, atau tingkat toleransi, terkait dengan hasil proses. MENDOKUMENTASIKAN PROSES BISNIS
14
Dokumentasi proses bisnis diperlukan. Tipically, hal itu harus dilakukan oleh pemilik proses dan orang-orang yang terlibat dalam proses. Namun, ada contoh ketika itu tidak terjadi karena tuntutan harian pekerjaan mereka atau karena mereka tidak melihat nilai dokumentasi formal. Meskipun tidak menyelesaikan dokumentasi proses mungkin memiliki sedikit konsekuensi langsung, dengan berjalannya waktu dan mereka yang terlibat dalam langkah proses On ke posisi lain atau meninggalkan organisasi, tujuan dari proses dapat hilang atau terdistorsi. Proses dapat sangat efektif dalam (1) orientasi personel baru, (2) mendefinisikan bidang tanggung jawab, (3) mengevaluasi efisiensi proses, (4) menentukan bidang yang menjadi perhatian utama. dan (5) risiko utama identifikasi dan kontrol. Auditor internal juga harus mendokumentasikan pemahaman mereka untuk mendukung penilaian mereka secara keseluruhan risiko dan pengendalian dalam organisasi dan dalam keterlibatan jaminan khusus yang mereka melakukan pada proses. Dua metode yang umum digunakan untuk proses pendokumentasian adalah peta proses dan narasi proses. Peta proses mungkin tingkat tinggi atau tingkat aktivitas rinci dan melibatkan representasi bergambar masukan, langkah-langkah, alur kerja, dan output. Proses juga peta dapat mencakup beberapa narasi yang menyertainya.Peta tingkat tinggi proses mencoba untuk menggambarkan luas masukan, kegiatan, alur kerja, dan interaksi dengan proses dan output lainnya. Mereka menyediakan suatu kerangka menyeluruh untuk memahami kegiatan rinci dan subproses. Tujuan di peta proses tingkat tinggi adalah untuk tetap sederhana. Ada standarabsolutmengenaiformatdan simboluntuk pemetaanproses, meskipunfungsiaudit internaldan perusahaanlayanan profesionalbiasanyaberusahauntuk konsistensi. 15
Exhibit 5-5menyajikansimboldasar denganmaknayang khas. Peta proses biasanya terstruktur sehingga urutan kegiatan berjalan dari kiri ke kanan seperti dalam Exhibit 5-4 atau dari atas ke bawah.
Risiko Bisnis Exhibit 5-5. PROSES UMUM SIMBOL PEMETAAN
Setelah auditor internal memperoleh pemahaman tentang tujuan organisasi dan proses kunci yang digunakan untuk mencapai tujuan tersebut, langkah berikutnya adalah untuk mengevaluasi risiko bisnis yang bisa menghambat pencapaian tujuan. Kemampuan eksekutif Audit (CAE) dan manajemen audit internal untuk mendapatkan pemahaman yang menyeluruh tentang risiko bisnis organisasi akan menentukan sejauh mana fungsi audit internal akan dapat memenuhi misinya dan menambah nilai bagi 16
organisasi. Hal ini membantu untuk mengembangkan profil risiko secara keseluruhan organisasi yang mengidentifikasi risiko penting. Untuk peningkatan jumlah organisasi yang menerapkan manajemen risiko perusahaan (ERM), profil risiko secara keseluruhan bisa dikembangkan oleh manajemen. Dalam kasus ini, masing-masing fungsi audit internal dapat membangun penilaian risiko dari profil risiko organisasi. Namun, jika profil tersebut tidak ada, fungsi audit internal perlu membuat profil sebagai titik awal untuk perencanaan audit tahunan. Ada sejumlah alat yang berbeda dan metodologi untuk membantu dalam mengembangkan profil risiko. Bab ini terlihat hanya pada satu set kecil dari mereka. Perhatikan juga bahwa meskipun berbagai alat yang tersedia, penilaian risiko organisasi tetap proses yang sangat subjektif yang membutuhkan pengalaman dan penilaian yang baik. Pendekatan yang umum mungkin untuk memulai dengan melakukan sesi brainstrorming dengan manajemen senior atau, jika mereka tidak tersedia, dengan anggota fungsi audit internal.Kelompok ini mungkin mulai dengan model risiko generik yang menggambarkan kategori dan jenis risiko sebuah organisasi mungkin mengalaminya.Model risiko tersebut disajikan dalam tampilan 5-7.Dalam contoh ini, potensi risiko dipecah menjadi empat kategori yang sejajar dengan COSO (COSO) tujuan ERM, kategori dan 10 subkategori. Exhibit5-8. Risk Assessment Model
17
Berbagai risiko yang kemudian dinilai dalam hal dampak dan kemungkinan. Dampak, dampak buruk dari hasil risiko, biasanya dinilai dari segi kategori. Biasanya, tiga (tinggi, sedang, rendah) atau lima kategori yang digunakan. Sebuah model lima kategori disajikan dalam tampilan 5-8. Menetapkan batas-batas untuk setiap kategori berguna untuk mengumpulkan masukan dari beberapa orang. Dalam model ini, batas-batas untuk dampak ditetapkan dalam hal nilai-nilai dolar dan dampaknya pada tujuan bisnis. Namun, beberapa organisasi menetapkan batas-batas untuk langkah-langkah lain juga. Misalnya, beberapa organisasi membangun dampak dari segi reputasi, kesehatan dan keselamatan, hukum, atau kerusakan aset. Untuk kesehatan dan keselamatan, kategori mungkin sedikit cedera, cedera ringan, cedera utama, kematian, dan beberapa korban jiwa, dengan skala pergi dari diabaikan yang ekstrim (skala dampak ditampilkan di Exhibit 5-8), masing-masing. Pembaca harus mencatat bahwa istilah lain dapat digunakan untuk menandakan dampak. Signifikansi kadang-kadang digunakan, meskipun penulis lebih memilih untuk menyebut makna sebagai penilaian gabungan dampak dan kemungkinan sampel datanya. Kurang umum, tingkat keparahan adalah istilah lain yang digunakan untuk menandakan dampak buruk dari hasil risiko. Kemungkinan dapat dievaluasidengan menilai peluang atau probabilitas dampak risiko yang terjadi. Namun,mengingat sifat 18
subjektif dari penilaian ini, sebagian besar manajerdanauditor internal lebih nyaman mengungkapkan kemungkinan dikategori kurang tepat. Sekali lagi, skala tiga kategori (tinggi, sedang, rendah) atauskalalimakategori(seperti yang ditunjukkan dalam Exhibit 5-8) sering digunakan. Sepertidampak,itu tidak membantu untukmenentukanbatas-bataskategori. Hal ini biasanya dilakukandalam haltertentu ataupenjagaprobabilitas(seperti dalam skalaExhibit5-8). Jenis analisis dilakukan untuk kembali pengetahuan dan keterampilan yang diperlukan untuk menjadi sukses dalam posisi audit internal tingkat masuk dan tujuan yang diperlukan dapat diterapkan untuk organisasi juga. Seperti disebutkan dalam diskusi kita proses bisnis sebelumnya dalam bab ini, tujuan biasanya dapat ditemukan dalam pengajuan peraturan, seperti pengajuan 10-k untuk perusahaan publik di Amerika Serikat, atau di organisasi dokumen perencanaan strategis. Pemetaan Risiko ke Proses Bisnis Dari perspektif ERM dibahas dalam Bab 4, "Manajemen Risiko," langkah berikutnya akan untuk mengembangkan respon yang tepat untuk masing-masing risiko. Ada empat respon organisasi dapat mengambil: 1. Penghindaran. Sebuah keputusan dibuat untuk keluar atau divestasi kegiatan yang menimbulkan risiko. Menghindari risiko mungkin melibatkan, misalnya, keluar lini produk, memutuskan untuk tidak memperluas ke pasar geografis baru, atau menjual divisi. 2. Pengurangan. Tindakan yang diambil untuk mengurangi dampak resiko, kemungkinan, atau keduanya. Ini melibatkan segudang keputusan bisnis sehari-hari, seperti menerapkan kontrol. 3. Berbagi. Dampak risiko atau kemungkinannya berkurang dengan mentransfer atau sebagian dari risiko.Teknik umum termasuk membeli
19
produk asuransi, terlibat dalam transaksi nilai lindung, atau sumber luar kegiatan 4. Penerimaan. Tidak ada tindakan yang diambil untuk mempengaruhi dampak risiko atau kemungkinan organisasi. Bersedia menerima risiko pada tingkat saat ini daripada menghabiskan sumber daya berharga menyebarkan salah satu pilihan respon risiko lain. Untuk dapat memilih strategi dalam merespon resiko secara efektif, perlu pemahamaan yang baik mengenai bagaimana resiko berdampak terhadap proses bisnis pada organisasi tersebut. auditor internal juga harus /menjembatani antara resiko dengan proses bisnis untuk dapat mengukur apakah resiko telah di manaje dengan baik atau pada tingkatan yang dapat diterima dan mengidentifikasi tingkat resiko yang sangat tinggi dimana organisasi menilai bahwa tingkat tersebut merupakan titik kritikal resiko. Efektif disini menggambarkan bagaimana hubungan antara proses dengan resiko untuk menciptakan resiko dari proses matrix (seperti yang digambarkan pada Exhibit 5-10, dimana objektif terkait dengan resiko kritikal. resiko digambarkan berada di atas matrix, dan proses digambarkan menurun kebawah. Resiko itu yang akan menjadi model resiko bisnis (Exhibit 5-7). Biasanya terdapat 30 hingga 70 resiko. Proses evaluasi resiko di tunjukkan pada Exhibit 5-8 dan 5-9 bisa digunakan untuk memperkecil daftar resiko. Sebagai contoh, itu mungkin dapat menjadi yang organisasi inginkan untuk membatasi resiko-resiko terhadap proses yang terkait dengan resiko pada sel 7 hingga 25 (Exhibit 5-8).
Exhibit 5-11. Risiko dengan Proses Matrix
20
Langkah selanjutnya yaitu menganalisa proses untuk menentukan apakah terdapat asosiasi antara proses dengan resiko. Setelah mengidentifikasi proses tertentu mana yang terkait dengan resiko, asosiasi seharusnya dievaluasi baik keterkaitan tersebut sebagai Key link atau Secondary link. Key link yaitu keterkaitan yang dimana proses berperan sebagai peran kunci dalam memanaje resiko secara langsung. Sedangkan Secondary link merupakan proses dimana yang posisinya membantu untuk memanage resiko secara tidak langsung. Sebagai contoh resiko kritikal 3 dapat dinilai sebagai Key link, sedangkan kritikal resiko 4 dinilai sebagai Secondary link. Ketika kedua link tersebut terlihat memotong resiko tertentu maka seharusnya ada satu atau dua proses. Setelah penilaian resiko dari matriks proses telah selesai, dapat digunakan oleh fungsi audit internal untuk menentukan dimana komitmen harus termasuk ke dalam rencana tahunan audit. Banyaknya link dan karakteristik/sifatnya antara resiko dan proses akan berpengaruh kepada tipe audit internal yang akan dilakukan. Pertimbangan juga perlu dilakukan di akhir audit. Pendekatan secara tidak langsung yang lainnya adalah menghubungkan antara proses bisnis dan resiko nya melalui pengembangan faktor resiko dasar yang digunakan untuk evaluasi resiko yang di proses (pendekatan faktor resiko). Biasanya, model faktor resiko mengenal atau menggunakan tujuh hingga 15 21
faktor yang dapat digunakan untuk menilai setiap proses. Faktor-faktor resiko yang dimaksud disini tidak sama dengan resiko yang ada pada awal-awal model dasar resiko bisnis sebelumnya. Kebanyakan model tersusun dari dua tipe dasar faktor, faktor resiko eksternal dan faktor resiko internal.faktor resiko internal menyinggung akan hal faktor-faktor yang dibangun dari lingkungan dan alam dari proses itu sendiri. Kedua hal tersebut memiliki ciri seperti tingkat aktifitas yang relatif, jumlah serta likuiditas dari aset yang ikut terlibatkan dalam proses, kompleksitas proses dalam hal banyaknya langkah dan input yang diambil, tingkat hukum dan regulasi yang menjadi kendala, dan masih banyak yang lainnya. Faktor resiko internal berkenaan dengan tingkat pengendalian yang dirancang atau dimaksudkan untuk memastikan proses mencapai objektifnya, kinerja dari yang terlibat pada aktifitas dan memanaje proses, dan tingkat perubahan dalam proses dan lingkungan dimana keduanya beroperasi. Beberapa model termasuk pada beberapa faktor tambahan, biasanya: kapan terakhir kali dilakukannya audit, hasil audit sebelumnya, dan spesifik perhatian manajemen.
Exhibit 5-12. RISIKO FAKTOR PENDEKATAN
22
Setelah faktor-faktor teridentifikasi, tiga langkah atau pilihan harus dilakukan sebelum model diimplementasikan. Pertama, skala yang digunakan untuk mengukur setiap faktor harus di atur. Biasanya, tiga, lima, hingga tujuh poin skala digunakan. Tanpa memperhatikan skala mana yang digunakan, skala itu juga yang harus digunakan dalam mengukur faktor-faktor yang lainnya.
23
Langkah selanjutnya menerangkan mengenai kepentingan yang relatif antara satu dengan faktor yang lainnya. Jika kepentingan setiap faktor resiko dianggap sama, resiko itu akan memberikan bobot yang sama. Biasanya, pembobotan dapat dilakukan dengan memberi angka dari 0 hingga 100, sehingga jumlah bobot sama dengan 100. Demikian, jika ada lima faktor resiko dan setiap faktor dianggap sama kepentingannya, bobot setiap faktor tersebut ialah 20. Langkah yang terakhir berhubungan bagaimana faktor resiko digabungkan.Pada kebanyakan pendekatan faktor resiko menggunakan weightedadditive model — setiap faktor tersebut bernilai bobot faktor yang dikalikan, dan dijumlahkan pada faktor-faktor tersebut untuk memberikan nilai resiko secara keseluruhan (Exhibit 5-12).Jarak antara nilai resiko dapat disesuaikan jika seluruh nilai telah ditentukan. Kemudian akan muncul kategori-kategori yang dapat digunakan untuk menetapkan setiap proses audit, siklus pertama, kedua, dan tahun-tahun berikutnya. Dengan demikian, jika proses tersebut ditetapkan untuk siklus dua tahunan, seharusnya dilakukan audit setiap dua tahun. Sebagai alternatif dalam menetapkan setiap proseske dalam siklus, memprioritaskan proses dapat membantu menyortir proses tersebut dengan nilai resiko dan memilih salah satu diantara nilai yang paling tinggi untuk dimasukkan ke dalam rencana audit internal hingga perencanaan audit telah lewat. Salah satu tekhnik yang dapat digunakan yaitu menambahkan terkahir kalinya dilakukan audit ke dalam faktor resiko. Beberapa fungsi internal audit lebih memilih untuk tidak membuat keputusan berdassarkan total nilai resiko, tetapi berdasar pada nilai faktor (eksternal, internal, dan lainnya). Hal ini dapat dilakukan dengan cara menetapkan penilaian rendah, medium dan tinggi untuk setiap faktor.
24
Exhibit 5-13. RISIKO FAKTOR PENDEKATAN
Proses Bisnis dan Resiko dalam Assurance Engagement Langkah selanjutnya merupakan mengidentifikasi dan mengevaluasi resiko yang spesifik terhadap setiap aktifitas atau subproses dalam proses penting. Auditor internal melakukan hal ini dengan cara menempatkan setiap aktifitass pada matriks dan membuat daftar deskripsi atau penjelasan dari setiap resiko. Setiap pernyataan resiko menggambarkan suatu kejadian yang mungkin berdampak negatif yang mempengaruhi aktifitas atau kemampuan subproses dalam mencapai tujuannya. Kemudian dampak potensial dari kejadian itu diidentifikasi dan di evaluasi menurut tingkat keseriusannya.Pada akhirnya, kemungkinan-kemungkinan kejadian tersebut dapat diukur/dinilai. Setelah resiko yang spesifik telah diidentifikasi, langkah selanjutnya yaitu menentukan bagaimana resiko-resiko tersebut dimanaje dan jika tanggapannya adalah efektif dalam mengurangi resiko ke tingkat yang dapat diterima.Seperti yang diketahui tingkatan resiko pada umumnya ada empat yaitu, menghindari
25
resiko, mengurangi resiko, share, dan dapat diterima. Di dalam proses, seringkali tanggapan terhadap beberapa resiko yang spesifik yaitu menerima/mengambil resiko tersebut atau mencoba untuk mengurangi resiko melalui pengendalian. Exhibit 5-16. Risiko Pengendalian Peta Sebagian Selesai Untuk Proces
Setelah strategi respon telah ditentukan, dan baik sebelum dan sesudah strategi tersebut diuji untuk efektifitas, sebagai gambaran dari strategi respon resiko dapat diperoleh dengan menciptakan pemetaan pengendalian resiko, dimana merencanakan signifikan resiko terhadap efektifitas pengendalian. Proses bisnis outsourcing (Business Process Outsourcing) adalah keputusan dalam mentransfer beberapa proses bisnis organisasi ke penyedia di luar organisasi untuk memenuhi pengurangan biaya sementara meningkatkan kualitass dan efisiensi layanan. Karena proses ini berulang dan menggunakan kontrak jangka panjang, outsourcing digunakan jauh melampaui penggunaan sebagai konsultan. Secara historis, daftar biaya gaji bagian Information Technology (IT) merupakan salah satu contoh proses bisnis yang utama dalam outsourcing. Namun, tren kebutuhan outsourcing meningkat yang diantaranya meliputi sumber daya manusia, insinyur, pelayanan pelanggan, keuangan dan akuntansi, dan logistik dimana organisasi mencari cara dalam mengurangi biayabiaya.
26
Walaupun beberapa fungsi telah dilakukan outsourcing, hal itu dianggap kritis bahwa manajemen dan audit internal memastikan sistem pengendalian internal yang memadai dengan penyedia outsourcing. Berikut ini beberapa daftar praktik yang direkomendasikan bahwa organisasi harus memenuhinya agar manajemen resiko yang efektif dan pengendalian terhadap resiko proses bisnis: 1. Mendokumentasi proses outsourcing dan menunjukkan pengendalian utama yang telah di outsourcing. 2. Memastikan adagia arti atau maksud dari pemantauan terhadap efektifitas proses outsourcing. 3. Memiliki keyakinan terhadap pengendalian internal tertanam di dalam proses outsourcing berjalan secara efektif, baik melalui audit internal seperti pengendalian atau ulasan eksternal mengenai pengendalian tersebut (contoh, laporan SAS 70 di Amerika Serikat). 4. Mengevaluasi secara berkala terhadap kasus proses bisnis outsourcing tetap valid.
27
BAB III PENUTUP 3.1
Kesimpulan Proses bisnis dan konsep resiko yang didiskusikan pada bab ini menjelaskan fondasi pemahaman bagaimana organisasi menstrukturkan aktifitas mereka untuk mencapai tujuan bisnis mereka. Pertama, pentingnya untuk memperoleh pemahaman mengenai proses ini dan bagaimana hal itu dapat menopang tujuannya. Lalu, resiko yang berdampak terhadap pencapaian tujuannya harus di identifikasi dan diukur. Terakhir, proses yang menjadi kunci penting dan subproses yang dirancang untuk memanaje konsistensi resiko dengan strategi yang dibutuhkan dapat diidentifikasi sebagai potensial kandidat untuk audit internal. Bagaimanapun juga, konsep ini tidak terbatas untuk digunakan oleh auditor internal. Konsep ini dapat menjadi alat yang mendasar yang digunakan oleh personil organisasi yang lain, atau bahkan individual dalam kehidupan sehari-hari untuk membantu membuat keputusan. Hal ini diilustrasikan pada bab sebelumnya melalui contoh dari pelajar yang memiliki tujuan sebagai auditor internal.
28
DAFTAR PUSTAKA https://dokumen.tips/documents/proses-bisnis-dan-resiko.html http://auditinternal.yolasite.com/resources/AUDIT_INTEREN_1/BAB %204%20BUSINESS%20PROCESSES%20AND%20BUSINESS%20RISK.pptx
29