5-8 DOKUMEN PROSES BISNIS Dokumentasi proses bisnis diperlukan. Biasanya, itu harus dilakukan oleh pemilik proses dan orang-orang yang terlibat dalam proses tersebut. Namun, ada beberapa contoh ketika itu tidak terjadi karena tuntutan pekerjaan harian mereka atau karena mereka tidak melihat nilai dokumentasi formal. Walaupun tidak menyelesaikan dokumentasi proses mungkin memiliki konsekuensi langsung yang kecil, karena waktu dan mereka yang terlibat dalam proses pindah ke posisi lain atau meninggalkan organisasi, tujuan dari proses tersebut mungkin hilang atau terdistorsi. Dokumentasi proses bisa sangat efektif dalam (1) mengarahkan personel baru, (2) mendefinisikan bidang tanggung jawab, (3) mengevaluasi efisiensi proses, (4) menentukan bidang yang menjadi perhatian utama, dan (5) mengidentifikasi risiko dan kontrol utama. Auditor internal juga harus mendokumentasikan pemahaman mereka untuk mendukung penilaian keseluruhan risiko dan kontrol dalam organisasi dan dalam keterlibatan jaminan spesifik yang mereka lakukan pada proses Dua metode yang biasa digunakan untuk mendokumentasikan proses adalah peta proses dan proses narasi. Peta proses mungkin tingkat tinggi atau pada tingkat kegiatan yang terinci dan melibatkan representasi gambar dari input, langkah, alur kerja, dan output. Peta proses juga dapat mencakup beberapa narasi yang menyertainya Peta proses tingkat tinggi berupaya menggambarkan input luas, aktivitas, alur kerja, dan interaksi dengan proses dan output lainnya. Mereka memberikan kerangka kerja keseluruhan untuk memahami kegiatan dan subproses terperinci. Tujuan dalam peta proses tingkat tinggi adalah untuk membuatnya sederhana dan fokus pada hutan daripada pohon. Bukti 54 memberikan contoh peta proses tingkat tinggi untuk sampai jam 8:00 pagi besok, tepat waktu Tidak ada standar absolut mengenai format dan simbol untuk pemetaan proses, meskipun fungsi audit internal dan perusahaan jasa profesional biasanya berusaha untuk konsistensi. Bukti S-5 menyajikan simbol dasar dengan makna yang khas. Peta proses biasanya terstruktur sehingga urutan kegiatan berjalan dari kiri ke kanan, seperti pada pameran 54, dari atas ke bawah. Gambar 5-6 menyajikan peta proses tingkat-ganda untuk sampai besok pukul 8.00 pagi, tepat waktu. Proses tingkat tinggi dalam tampilan 5-4 dipecah untuk mencerminkan kegiatan atau subproses spesifik. Narasi sering disertakan bersama dengan peta proses untuk menjelaskan kegiatan secara lebih rinci. Eshibit 5-6 menggambarkan bagaimana narasi mendukung peta proses. Dalam kasus ini, narasi memberikan detail lebih lanjut tentang aktivitas tetapi juga dapat menyertakan deskripsi kontrol. 5-9 RISIKO BISNIS Setelah auditor internal memperoleh pemahaman tentang tujuan organisasi dan proses kunci yang digunakan untuk mencapai tujuan tersebut, langkah selanjutnya adalah
mengevaluasi risiko bisnis yang dapat menghambat pencapaian tujuan. Kemampuan chief audit executive (CAE) dan manajemen audit internal untuk mendapatkan pemahaman menyeluruh tentang risiko bisnis organisasi akan menentukan sejauh mana fungsi audit internal akan dapat memenuhi misinya dan menambah nilai bagi organisasi. Sangat membantu untuk mengembangkan keseluruhan profil risiko yang terkait dengan risiko. Untuk perusahaan yang meningkatkan manajemen risiko perusahaan (ERM), profil risiko dikembangkan oleh manajemen. Dalam masalah ini, setiap fungsi audit internal membangun risiko dari profil risiko organisasi. Namun, jika profil semacam itu tidak ada, fungsi audit internal perlu membuat profil sebagai titik awal untuk perencanaan audit tahunannya. Ada sejumlah alat dan metodologi yang berbeda untuk membantu mengembangkan profil risiko. Bab ini hanya membahas sekumpulan kecil saja. Perhatikan juga bahwa meskipun berbagai alat tersedia, penilaian risiko organisasi tetap merupakan proses yang sangat subyektif yang membutuhkan pengalaman dan penilaian yang baik Pendekatan umum mungkin dimulai dengan melakukan sesi curah pendapat dengan manajemen senior atau, jika tidak tersedia, dengan anggota fungsi audit internal. Grup mungkin mulai dengan model risiko umum yang menggambarkan kategori dan jenis risiko yang mungkin dimiliki organisasi perjumpaan. Seperti model risiko disajikan pada pameran 57. Dalam contoh ini, risiko potensial dipecah menjadi empat kategori yang selaras dengan Komite Sponsoring dapat digunakan untuk menandakan dampak. Signifikansi kadang-kadang digunakan, meskipun penulis lebih suka merujuk pada signifikansi sebagai penilaian gabungan dampak dan kemungkinan. Lebih jarang, keparahan adalah istilah lain yang digunakan untuk menandakan dampak buruk dari hasil risiko. Kemungkinan dapat dievaluasi dengan menilai peluang atau probabilitas dampak risiko yang terjadi. Namun, mengingat sifat subyektif dari penilaian ini, sebagian besar manajer dan auditor internal lebih nyaman mengekspresikan kemungkinan dalam kategori yang kurang tepat. Sekali lagi, skala tiga kategori (tinggi, sedang rendah) atau skala kategori tinggi (seperti yang ditunjukkan dalam exhihit S-8) sering digunakan. Seperti dampak, itu membantu untuk menentukan kategori houndaries. Ini biasanya dilakukan dalam hal spesifik atau rentang probabilitas dalam skala di eshibit -8 Menggunakan model penilaian risiko dalam pameran S-8, berbagai risiko dari model risiko bisnis dasar lexhibit 5-7) dapat ditempatkan pada matriks. Seringkali, ini dilakukan dalam sesi kelompok yang melibatkan, manajemen senior atau, jika mereka tidak tersedia, tingkat individu yang lebih berpengalaman dan lebih berpengalaman dari fungsi audit internal. Menggunakan manajemen senior dan manajer operasi lebih baik karena mereka memiliki pemahaman terbaik tentang risiko dalam bidang tanggung jawab mereka. Dalam pertemuan ini, risiko dibahas dan konsensus diperoleh mengenai dampak, kemungkinan, dan posisi risiko masing-masing pada matriks. Kombinasi dampak dan kemungkinan menentukan pentingnya risiko, Gambar 5-8 menunjukkan matriks dipecah menjadi 25 kotak. Dalam model ini, kotak 20 hingga 25 merupakan risiko kritis, dan kotak 16 hingga 19 mewakili risiko tinggi. Risiko-
risiko ini menghadirkan tantangan paling serius untuk memenuhi tujuan organisasi, Kotak 7 hingga 15 adalah risiko sedang dan kotak 1 hingga 6 adalah risiko rendah Tampilan 59 menyajikan pemetaan model risiko ke matriks penilaian risiko untuk perusahaan jasa keuangan online. Empat risiko yang diidentifikasi sebagai kritis muncul di kotak 21 dan 22. Risiko dalam kotak 18 dan 19 dianggap tinggi dan tergantung pada berapa banyak tujuan yang berdampak, juga mungkin memerlukan perhatian luas. Langkah selanjutnya adalah mengaitkan risiko yang diidentifikasi secara formal dengan tujuan spesifik yang dapat merusak setiap risiko. Ini membantu memastikan bahwa semua risiko utama, dan dampak yang ditimbulkan, telah diidentifikasi. Kembali ke contoh mendapatkan ke kelas tepat waktu, anggap misi semester ini adalah untuk mendapatkan pengetahuan dan keterampilan yang diperlukan untuk berhasil dalam posisi audit internal entry level, Beberapa tujuan strategis spesifik dapat dikembangkan untuk mencapai misi ini: 1. Hadiri semua kelas. 2. Tepat waktu untuk setiap kelas. 3. Apakah ditugaskan membaca sebelum kelas di mana ia akan 4. Lengkapi semua tugas tepat waktu. 5. Dapatkan B + atau lebih baik pada semua ujian yang akan dibahas Proses yang digambarkan dalam pameran 5-4 dan S-6 yang menguraikan sampai jam 8:00 tepat waktu berkontribusi pada tujuan 2 dan, sampai batas tertentu, tujuan 1 Proses lain, seperti proses studi, akan sangat penting untuk tujuan 3, 4, dan 5. Bab 4, "Manajemen Risiko," mendefinisikan risiko sebagai kemungkinan bahwa suatu peristiwa akan terjadi dan mempengaruhi pencapaian suatu sasaran secara negatif. Dengan mengingat definisi ini, sejumlah risiko dapat diidentifikasi yang dapat menghambat pencapaian lima tujuan. Misalnya, menjadi sakit dapat memengaruhi pencapaian sasaran 1, 2, dan 4. Pameran 5-10 menghadirkan tujuh risiko kritis dan potensinya untuk menghambat lima sasaran strategis ini. Jenis analisis yang dilakukan untuk memperoleh pengetahuan dan keterampilan yang diperlukan untuk menjadi sukses dalam posisi audit internal entry-level dan tujuan yang disyaratkan dapat diterapkan pada organisasi juga. Seperti yang disebutkan dalam diskusi kami tentang proses bisnis di awal bab ini, tujuan biasanya dapat ditemukan dalam pengajuan peraturan, seperti pengajuan 10-K untuk perusahaan publik di Amerika Serikat, atau dalam dokumen perencanaan strategis organisasi