RESUME P6 CHAPTER 5

BAB 5
Proses Bisnis dan Risiko

PROSES BISNIS
Proses operasi untuk sebagian besar organisasi mencakup proses inti di mana organisasi mencapai tujuan utamanya. Melalui proses inilah organisasi menciptakan nilai dan menyampaikannya langsung kepada pelanggan mereka. Beberapa organisasi mungkin menggunakan metode yang berbeda untuk mengatur aktivitas penciptaan nilai. Struktur ini, yang disebut proyek, digunakan ketika aktivitas terjadi selama periode waktu yang lama, memerlukan urutan yang kompleks, dan relatif unik karena aktivitas tertentu tidak dilakukan terus menerus. Pendekatan proyek yang sama berlaku untuk perusahaan yang memberikan layanan, dalam hal ini "aset" dapat berupa kekayaan intelektual atau aset tak berwujud lainnya. Proyek juga sering digunakan di sebagian besar organisasi untuk menyusun aktivitas nonrutin guna menciptakan aset untuk digunakan organisasi. 
Proses manajemen dan dukungan adalah aktivitas yang mengawasi dan mendukung proses penciptaan nilai inti organisasi. Sementara proses ini akan bervariasi antar organisasi, mereka umumnya diperlukan di semua industri dan dukungan, tetapi tidak secara langsung menciptakan, nilai yang tertanam dalam tujuan organisasi. Proses manajemen dan dukungan termasuk yang digunakan untuk mengelola sumber daya manusia, keuangan, informasi dan teknologi, dan fisik organisasi. Proses dukungan tersebut meliputi rekrutmen, akuntansi, manajemen kas, penggajian, pembelian, dll. Proses ini juga akan mencakup program kepatuhan organisasi. Kategori ini juga mencakup proses yang digunakan organisasi untuk mengelola hubungan eksternalnya. Aktivitas yang terlibat dalam tata kelola organisasi yang menetapkan arah strategis organisasi dan memberikan pengawasan terhadap organisasi juga dapat dianggap sebagai proses dukungan organisasi. Contoh proses tata kelola termasuk perencanaan strategis, program kepatuhan dan etika organisasi, aktivitas dewan dan komite dewan, program manajemen risiko perusahaan (ERM), dan berbagai aktivitas pemantauan dan penjaminan.

Memahami Proses Bisnis
Model bisnis mencakup tujuan organisasi dan bagaimana proses bisnisnya disusun untuk mencapai tujuan tersebut. Model ini ditentukan oleh visi, misi, dan nilai organisasi, serta serangkaian batasan bagi organisasi produk atau layanan apa yang akan diberikannya, pelanggan atau pasar apa yang akan dituju, dan saluran pasokan dan pengiriman apa yang akan digunakan. Sementara model bisnis mencakup strategi tingkat tinggi dan arahan taktis tentang bagaimana organisasi akan menerapkan model, itu juga mencakup tujuan tahunan yang menetapkan langkah-langkah spesifik yang ingin dilakukan organisasi di tahun depan dan langkah-langkah untuk pencapaian yang diharapkan. Masing-masing kemungkinan akan menjadi bagian dari dokumentasi internal yang tersedia bagi auditor internal.
Laporan analis mungkin berisi perspektif eksternal tentang strategi organisasi. Sementara visi, misi, nilai, dan tujuan organisasi relatif stabil dari tahun ke tahun, fungsi audit internal harus tetap memperbarui pemahamannya tentang strategi organisasi secara berkala. Biasanya, ini akan dilakukan setiap tahun ketika meninjau tujuan tahunan untuk organisasi dan manajemen eksekutif.
Ada dua pendekatan umum yang dapat membantu dalam memahami proses bisnis dan perannya dalam model bisnis: pendekatan top-down dan pendekatan dari bawah ke atas. Dalam pendekatan top-down, seseorang mulai di tingkat organisasi dengan tujuan organisasi, dan kemudian mengidentifikasi proses kunci yang penting bagi keberhasilan masing-masing tujuan tersebut. Suatu proses dianggap sebagai kunci relatif terhadap tujuan tertentu jika kegagalan proses berfungsi secara efektif akan secara langsung mengakibatkan organisasi tidak mencapai tujuan. Misalnya, jika tujuan khusus adalah untuk meningkatkan nilai pemegang saham dengan secara konsisten memberikan pertumbuhan pendapatan operasional (secara historis, 12 persen per tahun), Pendekatan ini efektif karena menghasilkan serangkaian proses kritis yang dapat dikelola. Biasanya dilakukan oleh tim individu dengan perspektif organisasi tetapi tidak dengan pengetahuan rinci tentang masing-masing area. Akibatnya, ada potensi untuk mengabaikan proses yang pada akhirnya terbukti penting tetapi dihilangkan dalam pendekatan top-down. Sedangkan Pendekatan bottom-up dimulai dengan melihat semua proses pada tingkat aktivitas. Pendekatan semacam itu mengharuskan setiap area organisasi untuk mengidentifikasi dan mendokumentasikan proses bisnis di mana mereka terlibat. Hal ini dilakukan oleh orang-orang di daerah yang bertanggung jawab atas kegiatan yang sebenarnya. Proses yang diidentifikasi kemudian dikumpulkan di seluruh organisasi. Sementara pendekatan ini bekerja dengan baik untuk organisasi yang lebih kecil dengan jumlah proses yang relatif terbatas, pendekatan ini kurang efektif dalam organisasi besar dan kompleks karena menjadi tidak praktis untuk memprioritaskan signifikansi setiap proses relatif terhadap yang lain karena signifikansi relatif berubah ketika seseorang bergerak ke tingkat yang lebih tinggi dalam organisasi.
DOKUMENTASI PROSES BISNIS
Proses bisnis harus didokumentasikan Biasanya, dokumentasi disiapkan oleh pemilik proses dan orang-orang yang terlibat dalam proses. Namun, ada beberapa contoh ketika pemilik proses mengabaikan dokumentasi karena tuntutan sehari-hari dari pekerjaan mereka atau karena mereka tidak melihat nilai dokumentasi formal. Meskipun tidak menyelesaikan dokumentasi proses mungkin memiliki sedikit konsekuensi langsung, mempertahankan serangkaian dokumentasi proses terkini untuk semua kunci proses sangat penting karena digunakan untuk : 
Mengorientasikan personel baru
Mendefinisikan area tanggung jawab
Mengevaluasi efisiensi proses
Menentukan area yang menjadi perhatian utama
Mengidentifikasi risiko dan kontrol utama
Auditor internal juga harus mendokumentasikan pemahaman mereka untuk mendukung penilaian risiko dan pengendalian mereka secara keseluruhan dalam organisasi dan dalam setiap penugasan jaminan khusus yang mereka lakukan dalam proses tersebut. Dua metode yang umum digunakan untuk mendokumentasikan proses adalah peta proses dan narasi proses. Peta proses adalah representasi bergambar dari input, langkah, alur kerja, dan output. Mereka dapat disiapkan pada tingkat tinggi, memberikan gambaran proses, atau pada tingkat aktivitas terperinci. Peta proses juga dapat mencakup beberapa narasi yang menyertainya. Peta proses tingkat tinggi mencoba untuk menggambarkan input, aktivitas, alur kerja, dan interaksi yang luas dengan proses dan output lainnya. Mereka menyediakan kerangka kerja keseluruhan untuk memahami aktivitas dan subproses terperinci. Tujuan dari peta proses tingkat tinggi adalah untuk membuatnya tetap sederhana dan fokus.
RISIKO BISNIS
Setelah auditor internal memperoleh pemahaman tentang tujuan organisasi dan proses utama yang digunakan untuk mencapai tujuan tersebut, langkah selanjutnya adalah mengevaluasi risiko bisnis yang dapat menghambat pencapaian tujuan. Kemampuan chief audit executive (CAE) dan manajemen audit internal untuk mendapatkan pemahaman yang menyeluruh tentang risiko bisnis organisasi akan menentukan sejauh mana fungsi audit internal akan dapat memenuhi misinya dan memberi nilai tambah bagi organisasi. Akan sangat membantu untuk mengembangkan profil risiko keseluruhan organisasi yang mengidentifikasi risiko kritis untuk mencapai setiap tujuan strategis. Untuk peningkatan jumlah organisasi yang menerapkan ERM, profil risiko secara keseluruhan dapat dikembangkan oleh manajemen.
IDENTIFIKASI RISIKO KRITIS
Menyajikan pemetaan model risiko ke matriks penilaian risiko untuk perusahaan jasa keuangan online. Empat risiko yang diidentifikasi sebagai kritis muncul di kotak 21 dan 22. Risiko dalam kotak 18 dan 19 dianggap tinggi dan, tergantung pada berapa banyak tujuan yang mereka pengaruhi, juga mungkin memerlukan perhatian yang ekstensif.
Langkah selanjutnya adalah secara formal menghubungkan risiko yang teridentifikasi dengan tujuan spesifik yang dapat dirusak oleh setiap risiko. Ini membantu memastikan bahwa semua risiko utama, dan dampak yang dihasilkan, telah diidentifikasi.
Jenis analisis yang dilakukan untuk memperoleh pengetahuan dan keterampilan yang diperlukan agar berhasil dalam posisi audit internal tingkat pemula dan tujuan yang diperlukan juga dapat diterapkan pada organisasi. Tujuan biasanya dapat ditemukan dalam pengajuan peraturan, seperti pengajuan 10-K untuk perusahaan publik di Amerika Serikat, atau dalam dokumen perencanaan strategis organisasi.

Memetakan Risiko ke Proses Bisnis
Dari perspektif ERM, langkah selanjutnya adalah mengembangkan respons yang tepat untuk setiap risiko. Ada lima tanggapan yang dapat diambil organisasi: 
Penerimaan. Tidak ada tindakan yang diambil untuk mengurangi dampak atau kemungkinan risiko. Organisasi bersedia menerima risiko pada tingkat saat ini daripada menghabiskan sumber daya yang berharga untuk menyebarkan salah satu opsi respons risiko lainnya.
Penghindaran. Keputusan dibuat untuk keluar atau divestasi dari aktivitas yang menimbulkan mempertaruhkan. Penghindaran risiko mungkin melibatkan, misalnya, keluar dari lini produk, memutuskan untuk tidak memperluas ke pasar geografis baru, atau menjual divisi.
Pengejaran. Eksploitasi risiko jika mengambil risiko tersebut menguntungkan bagi organisasi atau diperlukan untuk mencapai tujuan bisnis tertentu. 
Pengurangan. Tindakan diambil untuk mengurangi dampak risiko, kemungkinan, atau keduanya. Ini melibatkan segudang keputusan bisnis sehari-hari, seperti menerapkan kontrol. 
Membagikan. Dampak atau kemungkinan risiko dikurangi dengan mentransfer atau berbagi sebagian dari risiko. Teknik umum termasuk membeli produk asuransi, terlibat dalam transaksi lindung nilai, atau melakukan outsourcing aktivitas.
Standar IIA 2010: Perencanaan secara eksplisit mengharuskan CAE untuk "menetapkan rencana berbasis risiko untuk menentukan prioritas kegiatan audit internal, konsisten dengan tujuan organisasi.". Cara yang efektif untuk menggambarkan bagaimana proses menghubungkan ke risiko yang mendasarinya adalah dengan menciptakan risiko dengan matriks proses. Risiko dicantumkan di bagian atas matriks, dan proses dicantumkan di bagian bawah. Risikonya adalah risiko yang diidentifikasi dalam model risiko bisnis. 
Proses penilaian risiko dapat digunakan untuk mempersingkat daftar risiko. Langkah selanjutnya adalah menganalisis proses untuk menentukan apakah ada hubungan antara proses dan risiko.
Setelah mengidentifikasi risiko yang terkait dengan proses tertentu, asosiasi tersebut harus dievaluasi apakah link tersebut adalah kunci atau sekunder. Tautan kunci adalah tautan di mana proses memainkan peran langsung dan kunci dalam mengelola risiko. Tautan sekunder adalah tautan di mana proses membantu mengelola risiko secara tidak langsung.
OUTSOURCING PROSES BISNIS
Dalam upaya untuk merampingkan operasi dan mengurangi biaya, banyak organisasi meningkatkan sejauh mana mereka melakukan outsourcing proses bisnis tertentu. Karena proses-proses ini memainkan peran penting dalam membantu organisasi mencapai tujuan mereka, proses-proses yang dialihdayakan ini harus dimasukkan dalam penilaian risiko organisasi di alam semesta audit internal. 
Business process outsourcing (BPO) adalah tindakan mentransfer beberapa proses bisnis organisasi ke penyedia luar untuk mencapai pengurangan biaya sambil meningkatkan kualitas dan efisiensi layanan. Karena prosesnya berulang dan kontrak jangka panjang digunakan, outsourcing jauh melampaui penggunaan konsultan.
Fungsi penggajian dan TI adalah proses bisnis penting pertama yang dialihdayakan. Namun, tren telah berkembang untuk memasukkan sumber daya manusia, teknik, layanan pelanggan, keuangan dan akuntansi, dan logistik sebagai organisasi berusaha untuk mengurangi biaya melalui leverage dan skala ekonomi yang diperoleh oleh orang-orang dalam bisnis outsourcing.
Meskipun fungsi dapat dialihdayakan, manajemen tetap bertanggung jawab atas risikonya. Sangat penting bahwa manajemen dan fungsi audit internal memastikan adanya sistem pengendalian internal yang memadai dengan vendor yang dialihdayakan. Dalam banyak kasus, sistem pengendalian internal mungkin lebih baik dan lebih efisien daripada jika proses disimpan secara internal. Namun, ada risiko baru, terutama yang dihadapi dalam fase transisi dari fungsi bisnis outsourcing atau membawanya kembali untuk dikelola secara internal. Daftar berikut menyajikan beberapa praktik yang direkomendasikan yang harus diikuti oleh organisasi untuk manajemen risiko yang efektif dan pengendalian proses bisnis yang dialihdayakan:
Dokumentasikan proses yang dialihdayakan dan tunjukkan kontrol kunci mana yang telah dialihdayakan.
Pastikan ada sarana untuk memantau efektivitas proses outsourcing.
Memperoleh jaminan bahwa pengendalian internal yang tertanam dalam proses yang dialihdayakan beroperasi secara efektif, baik melalui audit internal atas pengendalian tersebut atau tinjauan eksternal atas pengendalian ini (seperti laporan SSAE16 SOC1 atau SOC 2 di Amerika Serikat)
Evaluasi kembali secara berkala apakah kasus bisnis untuk proses outsourcing tetap valid.

PELUANG UNTUK MEMBERIKAN WAWASAN
Kecakapan staf audit internal dalam menganalisis proses bisnis dan risiko terkaitnya memberikan fungsi audit internal kesempatan untuk menambah nilai signifikan bagi organisasi melalui wawasan yang dapat diberikan pekerjaan mereka kepada manajemen di tingkat operasional dan eksekutif. Kesempatan untuk menerapkan keterampilan ini mungkin datang sebagai hasil dari pekerjaan yang dilakukan untuk memberikan jaminan pada manajemen risiko dan pengendalian internal selama penugasan jaminan tradisional atau dalam penugasan khusus seperti inisiatif rekayasa ulang proses bisnis, studi outsourcing/off-shoring, tinjauan uji tuntas dalam merger dan akuisisi, atau tinjauan sistem pra-implementasi

10 PELUANG FUNGSI AUDIT INTERNAL UNTUK MEMBERIKAN WAWASAN TERKAIT ANALISIS BISNIS PROSES DAN RISIKO USAHA
Mendidik staf lini dan manajemen menengah tentang identifikasi dan penilaian risiko.
Identifikasi area di mana proses dikendalikan secara berlebihan dan aktivitas pengendalian dapat dikurangi untuk mendapatkan efisiensi.
Identifikasi risiko spesifik dalam proses yang memerlukan kontrol tambahan atau di mana kontrol dapat dilakukan dengan lebih efektif.
Menentukan area di mana KPI dapat diterapkan atau ditingkatkan untuk meningkatkan pengawasan manajemen terhadap proses bisnis.
Menyelaraskan pendekatan manajemen dan fungsi audit internal dan penilaian risiko dalam setiap proses bisnis.

Membantu manajemen dalam menilai strategi proses bisnis outsourcing secara berkala.
Memberikan wawasan kepada manajemen tentang kontrol dan operasi seputar proses outsourcing selama proses pemilihan vendor dan setelahnya.
memfasilitasi diskusi seputar ERM dan pemetaan jaminan kegiatan untuk meningkatkan pemahaman organisasi tentang proses dan risiko bisnis utama dan bagaimana mereka cocok dengan berbagai alat yang digunakan oleh manajemen.
Memberi saran kepada manajemen selama aktivitas perampingan dan penyelarasan yang signifikan mengenai dampak terhadap proses bisnis utama yang terkait dengan risiko, kontrol, dan efisiensi.
Mengevaluasi peluang penggunaan teknologi untuk meningkatkan efisiensi dan efektivitas pengendalian dalam proses bisnis.

Komentar

Posting Komentar

Postingan populer dari blog ini

Analisis Data dan Pengambilan Sampel Audit

Gambar
Sampling audit, menurut definisi, penerapan prosedur audit kurang dari 100 persen item dalam populasi kepentingan audit untuk tujuan menarik kesimpulan tentang seluruh populasi. Ini paling sering digunakan oleh auditor internal untuk menguji efektivitas operasi pengendalian. Namun, auditor internal semakin dapat menerapkan analisis pada populasi data yang besar untuk mengidentifikasi anomali yang dapat menunjukkan perlunya perbaikan. Pengambilan sampel audit (baik statistik maupun nonstatistik) dan analitik data akan dibahas saat diterapkan oleh auditor internal dalam pengujian pengendalian. Sering kali, pengujian diperlukan dalam kasus kontrol manual atau ketika informasi terdokumentasi tidak disimpan secara elektronik. ANALISIS DATA Analisis data adalah proses mengumpulkan dan menganalisis data dan kemudian menggunakan hasilnya untuk membuat keputusan yang lebih baik. Survei kepala eksekutif audit (CAE) mengungkapkan arti yang paling populer untuk istilah “analisis data” sebagai beri...
Baca selengkapnya

RISIKO DAN PENGENDALIAN TEKNOLOGI INFORMASI

  RISIKO DAN PENGENDALIAN TEKNOLOGI INFORMASI   10 Risiko Terbaik Teknologi Navigasi Badan Pengetahuan Umum Audit Internal Global Keamanan siber Keamanan Informasi Proyek Pengembangan Sistem TI Tata Kelola TI Layanan TI yang Dialihdayakan Penggunaan Media Sosial Komputasi Seluler Keterampilan TI di antara Auditor Internal Teknologi yang Muncul Kesadaran Teknologi Dewan dan Komite Audit Seperti disebutkan dalam “GTAG: Menilai Risiko Keamanan Siber: Peran Tiga Garis Pertahanan” (bagian dari seri Panduan Audit Teknologi Global [GTAG] IIA), ketiga garis pertahanan memainkan peran penting dalam memantau organisasi dan melindunginya dari potensi risiko keamanan siber. Sebagai garis pertahanan pertama, manajemen memiliki dan mengelola data, proses, risiko, dan kontrol. Untuk keamanan siber, fungsi ini sering berada pada administrator sistem dan pihak lain yang bertanggung jawab untuk menjaga aset organisasi. ...
Baca selengkapnya

RESUME AUDIT INTERNAL P5-ALFINA AGISTIANI

MENGELOLA FUNGSI AUDIT INTERNAL 1. POSISI FUNGSI AUDIT INTERN  DALAM ORGANISASI Salah satu pendapat mengatakan, fungsi audit internal ditempatkan pada tingkat manajemen senior, memberikan fungsi visibilitas, wewenang, dan tanggung jawab untuk mengevaluasi penilaian manajemen terhadap sistem pengendalian internal organisasi, dan menilai organisasi  kemampuan untuk mencapai tujuan bisnis dan mengelola, memantau, dan mengurangi risiko yang terkait dengan pencapaian tujuan tersebut.  Selain jasa assurance, fungsi audit internal ini biasanya diminta oleh manajemen untuk memberikan jasa konsultasi dalam bentuk inisiatif atau proyek yang memungkinkan manajemen untuk menggunakan keahlian profesional yang dimiliki oleh fungsi audit internal. Organisasi yang menyadari pentingnya menempatkan fungsi audit internal pada posisi yang memaksimalkan efektivitas dan kemampuannya untuk mengevaluasi keefektifan proses manajemen risiko, pengendalian, dan tata kelola yang ada sering melak...
Baca selengkapnya