• Tidak ada hasil yang ditemukan

BUSINESS PROCESSES AND RISKS Terdapat 3 (Tiga) tipe dari business activity :

Dalam dokumen Resume Audit Internal (Halaman 34-39)

1. Operating Processes

Operating Processes pada sebagian besar organisasi merupakan suatu proses inti yang dilalui untuk mencapai tujuan utamanya. Melalui proses ini organisasi menciptakan nilai dan menyampaikannya secara langsung kepada konsumen.

2. Management and Support Processes

Management and Support Processes merupakan kegiatan yang mengawasi dan mendukung proses penciptaan nilai inti dari perusahaan (organization’s core value-creation process)

3. Projects

Projects merupakan suatu metode yang digunakan untuk menyelenggarakan kegiatan yang menghasilkan nilai (value-creating activities). Projects digunakan ketika terjadi kegiatan selama jangka waktu tertentu, memerlukan proses pengerjaan yang rumit, dan relatif unik di mana memerlukan kegiatan spesifik yang tidak dilakukan secara berkesinambungan. Projects juga sering digunakan pada sebagian besar organisasi untuk membentuk kegiatan nonrutin untuk menciptakan aset untuk kepentingan organisasi.

Understanding Business Processes

Internal auditor harus mengerti model bisnis suatu organisasi untuk bisa menambah nilai dan meningkatkan kinerja operasi suatu organisasi. Model bisnis terdiri atas tujuan organisasi (Visi, Misi, nilai serta Tujuan Tahunan) dan bagaimana struktur proses bisnisnya dapat mencapai tujuan tersebut (Strategi tingkat pimpinan dan tingkat Taktis). Model bisnis tersebut biasanya merupakan bagian dokumen internal yang tersedia untuk audior internal.

Untuk perusahaan terbuka, sumber eksternal terkait informasi model bisnis suatu organisasi dapat tersedia. Contohnya adalah laporan analis mungkin memuat perspektif eksternal terhadap strategi organisasi. Sementara Visi, misi, nilai serta tujuan perusahaan relatif sama dari tahun ke tahun, fungsi internal audit harus di-update secara periodik mengenai pemahamannya tentang strategi organisasi. Terdapat dua pendekatan yang biasanya digunakan untuk membantu memahami proses bisnis dan perannya dalam bisnis model:

1. Top dowm approach

Dimulai pada penetapan tujuan di level organisasi, dan kemudian diidentifikasi proses-proses kunci yang kritikal terhadap keberhasilan pencapaian setiap tujuan tersebut.

2. Bottom up approach

Dimulai dengan melihat semua proses pada level kegiatan. Hal ini dilakukan oleh orang yang bertanggung jawab terhadap kegiatan aktualnya.

Ketika suatu proses sudah diidentifikasi (baik top-down maupun bottom-up) berikutnya adalah menentukan tujuan kunci (key objectives) dari proses yang dilakukan. Auditor Internal perlu untuk mengetahui pemilik proses (process owner) untuk memahami tujuan proses (proecess objectives) Ketika tujuan proses sudah dipahami, langkah selanjutnya adalah memahami proses masukan, kegiatan spesifik yang diperlukan untuk mencapai tujuan proses dan output proses.

Sebagai tambahan dalam mengidentifikasi tujuan kunci, memahami proses tersebut memerlukan pemahaman tentang bagaimana manajemen dan pemilik proses mengetahui bahwa proses berjalan sesuai yang dikehendaki. Pemilik proses seharusnya memiliki KPI (Key performance Indicator), yang merupakan suatu metrik ataupun dalam bentuk lain untuk mengukur apakah suatu proses ataupun tugas individu telah dilakukan sesuai toleransi yang ditetapkan.

Documenting Business Processes

Metode yang biasa digunakan untuk mendokumentasi proses adalah Process Map dan Process Narative. Process Map merupakan gambaran yang merepresentasikan dari inout, langkah-langkah, workflows, dan output.Tidak ada standar yang absolut mengenai format dan simbol dari Process Mapping, namun harus konsisten penggunaannya. Process Map biasanya digambarkan berupa urutan dari suatu kegiatan dari kanan ke kiri.

Business Risk

Ketika internal auditor sudah memahami tujuan organisasi dan proses kunci yang digunakan untuk mencapai tujuan tersebut, langkah berikutnya adalah mengevaluasi risiko bisnis yang dapat menghalangi pencapaian tujuan tersebut. Bagi organisasi yang telah menerapkan Enterprise Risk Management (ERM), umumnya manajemen telah mengembagkan suatu risk profile. Dalam kasus tersebut maka fungsi internal audit dapat membangun penilaian risikonya dari risk profile tersebut. Bila risk profile tidak tersedia, maka fungsi internal audit adalah menyusun profil sebagai titik awal untuk perencanaan audit tahunan.

Pendekatan umum yang dapt dilakukan untuk mengembangkan risk profile adalah dengan melakukan sesi brainstorming dengan senior manajemen atau, jika mereka tidak dapat, dengan anggota fungsi internal audit. Potensi risiko dibagi ke dalam 4 (empat) kategori sesuai dengan ERM COSO yaitu Strategic Risks, Compliance Risks, Reporting Risks, dan Operations Risks. (Lihat Chapter 4 “Risk Management”) Risiko yang beraneka ragam tersebut kemudian dinilai dampak dan keterjadiannya seperti gambar di bawah ini.

Tahap selanjutnya adalah dimasukannya risiko-riko yang telah terdapat dalam Risk Model ke dalam Matriks Risk Assessment di atas dan menghubungkan risiko yang telah teridentifikasi dengan tujuan spesifiknya. Hal tersebut akan membantu untuk memastikan bahwa semua risiko kunci, dan dampak yang dihasilkan telah diidentifikasi

Memetakan Resiko Pada Proses Bisnis Next Step….(A, B, C dst…)

A. Membangun Respon yang Sesuai untuk Masing-masing Risiko

Respon yang bisa diberikan oleh organisasi terhadap risiko (perspektif ERM):

1) Avoidance/Penghindaran (contoh: tidak meluaskan pangsa pasar, menjual sebuah divisi)

2) Reduction/Pengurangan yaitu mengurangi dampak, keterjadian atau keduanya (contoh: mengimplementasikan control)

3) Sharing/Membagi dengan mentransfer atau membagi porsi risiko, (contoh: asuransi, hedging, outsource activity)

4) Acceptance/Penerimaan organisasi memilih menerima risiko dengan level tertentu daripada menggunakan sumber daya untuk merespon dengan cara lainnya.

IIA Standard 2010 bilang:

“Planning explicity requires CAE to ‘establish a risk-based plan to determine the priorities of the internal audit activity, consistent with the organization’s goals’”

Atau

Perencanaan secara eksplisit membutuhkan CAE untuk 'menetapkan rencana berbasis risiko untuk menentukan prioritas kegiatan audit internal, yang konsisten dengan tujuan organisasi’”

_______Mohon Tengok Exhibit 5-11 RISK BY PROCESS MATRIX Hal. 5-16___________ B. Menganalisis Proses untuk menentukan adanya hubungan antara proses dan risiko

C. Hubungan yang sudah dianalisis (antara proses dan risiko), Dievaluasi untuk menentukan mana yang kunci atau bukan (sekunder)

Hubungan kunci (Key link) yang prosesnya dilaksanakan secara langsung untuk memanaje risiko. Hubungan sekunder (secondary link) yang prosesnya dilaksanakan secara tidak langsung untuk memanaje risiko.

RBPM pada exhibit 5-11 di atas digunakan internal auditor untuk memutuskan bagian mana yang harus dimasukkan kedalam rencana audit fungsional tahunan. Langkahnya menghitung jumlah link key dan secondary untuk setiap proses. Hal ini karena link tersebut akan mempengaruhi tipe audit yang akan dilakukan.

Selain pakai RBPM, pendekatan lain untuk mencari hubungan antara bisnis proses dan risiko adalah dengan membangun factor risiko dasar yang digunakan untuk mengevaluasi risiko melalui proses (risk factor approach). Biasanya model RF ini diidentifikasi 7 sampai 15 faktor untuk mengassess masing2 proses. Biasanya ada 2 jenis factor, external risk factor dan internal risk factor.

a) External Risk Factor

Berkaitan dengan faktor-faktor yang dibangun ke dalam lingkungan dan sifat proses itu sendiri. b) Internal Risk Factor

Berkaitan dengan kontrol batas yang dirancang ke dalam proses untuk menjamin pencapaian tujuan, kinerja orang-orang yang terlibat dalam kegiatan dan dalam mengelola proses, dan tingkat perubahan dalam proses dan lingkungan di mana bisnis beroperasi.

Setelah factor diidentifikasi, ada 3 keputusan yang harus dibuat sebelum model diimplementasikan: 1. Menentukan skala untuk tiap factor yang di assess

2. Menentukan pembobotan untuk tiap factor

3. Menentukan bagaimana tiap factor dikombinasikan

_______Mohon Tengok Exhibit 5-12 RISK FACTOR APPROACH Hal. 5-18___________ Proses Bisnis dan Risiko dalam Assurance Engagement

Assurance engagement ialah pemeriksaan obyektif pada bukti-bukti dengan tujuan memberikan penilaian independen terhadap tata kelola, manajemen risiko dan proses kontrol untuk organisasi.

_______Mohon Tengok Exhibit 5-14 RISK/CONTROL MATRIX FOR PROCESS… Hal. 5-14___________ _______Mohon Tengok Exhibit 5-15 RISK MAP PARTIALLY COMPLETED … Hal. 5-15___________ Business Process Outsorcing

Business Process Outsorcing adalah tindakan mentransfer beberapa proses bisnis organisasi ke penyedia luar guna mencapai pengurangan biaya, efektivitas operasi, atau efisiensi operasional sekaligus meningkatkan kualitas pelayanan.

Dulu yang paling awal ada outsorce gini sih di payroll sama fungsi IT. Sekarang berkembang menjadi HRD, engineering, CS, keuangan dan akuntansi.

Karena outsorce ini, beberapa sistem IC jadi lebih baik dan efisien, tetapi ada juga risiko tambahan. Beberapa hal yang harus diperhatikan dalam IC pada bisnis proses outsorcing:

a. mendokumentasikan proses outsorce dan menunjukkan kontrol utama yang telah di outsorce b. memastikan ada cara memantau efektivitas proses outsorce

c. memperoleh keyakinan bahwa pengendalian internal yang melekat dalam proses outsorce beroperasi secara efektif, baik melalui audit internal kontrol atau tinjauan eksternal kontrol

Dalam dokumen Resume Audit Internal (Halaman 34-39)
Unduh sekarang "Resume Audit Internal"

Garis besar

Dokumen terkait