BUSINESS PROCESSES AND RISKS

Tujuan Pembelajaran
1. memahami bagaimana struktur organisasi kegiatan mereka untuk mencapai tujuan
mereka
2. mengidentifikasi proses bisnis kunci dalam sebuah organisasi
3. memperoleh pemahaman tentang proses bisnis tertentu dan dapat dokumen .
4. memahami tipe dasar bisnis risiko menghadapi organisasi
5. mengidentifikasi dan menilai risiko kunci untuk tujuan organisasi dan bagaimana
mereka terkait dengan proses bisnis.
6. mengembangkan semesta audit organisasi dan menentukan rencana audit internal
tahunan berdasarkan risiko bisnis utama
7. memahami bagaimana menggunakan teknik penilaian risiko dalam keterlibatan
jaminan
8. memperoleh kesadaran akan risiko baru yang muncul ketika sebuah organisasi jasa
kontraktor beberapa proses kunci
business process : set kegiatan yang terhubung terkait satu sama lain untuk tujuan
mencapai satu atau lebih tujuan bisnis.
Objectives : keinginan entitas untuk mencapai. ketika mengacu pada apa
yang ingin suatu organisasi untuk mencapai, ini disebut tujuan bisnis dan
dapat diklasifikasikan sebagai strategis, operasi, pelaporan, dan kepatuhan.
Strategy : mengacu pada bagaimana manajemen berencana untuk mencapai tujuan
organisasi

Terdapat 3 (Tiga) tipe dari business activity :

1. Operating Processes
Operating Processes pada sebagian besar organisasi merupakan suatu prosesinti yang dilalui
untukmencapai tujuan utamanya. Melalui proses ini organisasi menciptakan nilai dan
menyampaikannyasecara langsung kepada konsumen.
2. Management and Support Processes
Management and Support Processes merupakan kegiatan yang mengawasi dan mendukung
prosespenciptaan nilai inti dari perusahaan (organizations core value-creation process).
3. Projects

Projects merupakan suatu metode yang digunakan untuk menyelenggarakan kegiatan

yangmenghasilkan nilai (value-creating activities). Projects digunakan ketika terjadi kegiatan
selama jangka waktu tertentu, memerlukan proses pengerjaan yang rumit, dan relatif unik di
manamemerlukan kegiatan spesifik yang tidak dilakukan secara berkesinambungan. Projects
juga seringdigunakan pada sebagian besar organisasi untuk membentuk kegiatan nonrutin
untuk menciptakan aset untuk kepentingan organisasi.

Understanding Business Processes

Internal auditor harus mengerti model bisnis suatu organisasi untuk bisa menambah
nilai dan meningkatkan kinerja operasi suatu organisasi. Model bisnis terdiri atas tujuan
organisasi (Visi, Misi, nilai serta Tujuan Tahunan) dan bagaimana struktur proses bisnisnya
dapat mencapai tujuan tersebut(Strategi tingkat pimpinan dan tingkat Taktis). Model bisnis
tersebut biasanya merupakan bagian dokumen internal yang tersedia untuk audior
internal.Untuk perusahaan terbuka, sumber eksternal terkait informasi model bisnis suatu
organisasi dapat tersedia.
Contohnya adalah laporan analis mungkin memuat perspektif eksternal terhadap
strategiorganisasi.Sementara Visi, misi, nilai serta tujuan perusahaan relatif sama dari tahun
ke tahun, fungsiinternal audit harus di update secara periodik mengenai pemahamannya
tentang strategi organisasi.Terdapat dua pendekatan yang biasanya digunakan
untuk membantu memahami proses bisnis danperannya dalam bisnis model:
1) Top-down approach : dimulai pada tingkat entitas dengan tujuan organisasi dan
kemudian mengidentifikasi proses kunci penting untuk keberhasilan setiap tujuan
organisasi.Top dowm approach Dimulai pada penetapan tujuan di level organisasi,
 dan kemudian diidentifikasi proses-proses kunciyang kritikal terhadap keberhasilan
pencapaian setiap tujuan tersebut.
2) Bottom up approach : dimulai dengan melihat semua proses secara langsung
pada tingkat aktivitas, dan kemudian agregat proses diidentifikasi di
seluruh organisasi.
Bottom up approach Dimulai dengan melihat semua proses pada level kegiatan. Hal
ini dilakukan oleh orang yangbertanggung jawab terhadap kegiatan aktualnya.
Ketika suatu proses sudah diidentifikasi (baik top-down maupun bottom-up) berikutnya
adalahmenentukan tujuan kunci (key objectives) dari proses yang dilakukan.Auditor Internal
perlu untuk mengetahui pemilik proses (process owner) untuk memahami tujuan proses
(proecess objectives) Ketika tujuan proses sudah dipahami, langkah selanjutnya adalah
memahami proses masukan, kegiatan spesifikyang diperlukan untuk mencapai tujuan proses
dan output proses.
Sebagai tambahan dalam mengidentifikasi tujuan kunci, memahami proses tersebut
memerlukanpemahaman tentang bagaimana manajemen dan pemilik proses mengetahui
bahwa proses berjalansesuai yang dikehendaki. Pemilik proses seharusnya memiliki KPI
(Key performance Indicator), yangmerupakan suatu metrik ataupun dalam bentuk lain untuk
mengukur apakah suatu proses ataupuntugas individu telah dilakukan sesuai toleransi
yang ditetapkan.

Documenting Business Processes

Metode yang biasa digunakan untuk mendokumentasi proses adalah Process Map dan
Process Narative.Process Map merupakan gambaran yang merepresentasikan dari inout,
langkah-langkah,workflows,dan output.Tidak ada standar yang absolut mengenai format dan
simbol dari Process Mapping, namunharus konsisten penggunaannya. Process Map biasanya
digambarkan berupa urutan dari suatu kegiatandari kanan ke kiri.
dokumentasi proses dapat sangat efektif dalam
1. berorientasi baru
2. mendefinisikan tanggung jawab
3. mengevaluasi efisiensi proses
4. menentukan perhatian utama
5. mengidentifikasi risiko utama dan kontrol

BusinessRisk
 Ketika internal auditorsudah memahami tujuan organisasi dan proses kunci
yang digunakan untukmencapai tujuan tersebut, langkah berikutnya adalah mengevaluasi
risiko bisnis yang dapatmenghalangi pencapaian tujuan tersebut. Bagi organisasi yang
telahmenerapkan Enterprise RiskManagement (ERM), umumnya manajemen telah
mengembagkan suatu risk profile. Dalam kasus tersebut maka fungsi internal audit dapat
membangun penilaian risikonya dari risk profile tersebut. Bila risk profile tidak tersedia,
maka fungsi internal audit adalah menyusun profil sebagai titik awal untuk perencanaan audit
tahunan.

Pendekatan umum yang dapt dilakukan untuk mengembangkan risk profile adalah
dengan melakukansesi brainstorming dengan senior manajemen atau, jika mereka tidak dapat,
dengan anggota fungsiinternal audit. Potensi risiko dibagi ke dalam 4 (empat) kategori sesuai
dengan ERM COSO yaitu StrategicRisks, Compliance Risks, Reporting Risks, dan
Operations Risks. (Lihat Chapter 4 Risk Management)Risiko yang beraneka ragam tersebut
kemudian dinilai dampak dan keterjadiannya seperti gambar dibawah ini.

Tahap selanjutnya adalah dimasukannya risiko-riko yang telah terdapat dalam Risk Model ke
dalamMatriks Risk Assessment di atas danmenghubungkan risiko yang telah teridentifikasi
dengan tujuanspesifiknya. Hal tersebut akan membantu untuk memastikan bahwa semua
risiko kunci, dan dampakyang dihasilkan telah diidentifikasi
Memetakan Resiko Pada Proses Bisnis

A.Membangun Respon yang Sesuai untuk Masing-masing Risiko

Respon yang bisa diberikan oleh organisasi terhadap risiko (perspektif ERM):
1)Avoidance/Penghindaran
(contoh: tidak meluaskan pangsa pasar, menjual sebuah divisi)
2)Reduction/Pengurangan
yaitu mengurangidampak, keterjadian atau keduanya (contoh:mengimplementasikan
control)
3)Sharing/Membagi
dengan mentransfer atau membagi porsi risiko, (contoh: asuransi, hedging,
outsource activity )
4)Acceptance/Penerimaan
organisasi memilih menerima risiko dengan level tertentu daripadamenggunakan sumber
daya untuk merespon dengan cara lainnya.
IIA Standard 2010 bilang:
Planning explicity requires CAE to establish a risk-based plan to determine the priorities of
the internalaudit activity, consistent with the organizations goals
AtauPerencanaansecara eksplisitmembutuhkan CAE untuk 'menetapkan rencana
berbasis risiko untukmenentukan prioritas kegiatan audit internal,yangkonsisten dengan
tujuan organisasi

B.Menganalisis Proses untuk menentukan adanya hubungan antara proses dan risiko
C.Hubungan yang sudah dianalisis (antara proses dan risiko),Dievaluasi
untuk menentukan manayang kunci atau bukan (sekunder)
Hubungan kunci (Key link) yangprosesnya dilaksanakan secara langsung untuk memanaje
risiko.Hubungan sekunder (secondary link) yang prosesnya dilaksanakan secara tidak
langsung untukmemanaje risiko.
RBPM pada exhibit5-11di atas digunakan internal auditor untuk
memutuskan bagian manayang harusdimasukkan kedalam rencana audit
fungsional tahunan.Langkahnya menghitung jumlahlink key dan secondary
untuk setiap proses. Hal ini karena link tersebut akan mempengaruhi tipe audit yang
akandilakukan.
Selain pakai RBPM, pendekatan lainuntuk mencari hubungan antara bisnis proses dan
risiko adalahdengan membangun factor risiko dasar yang digunakan untuk mengevaluasi
risiko melalui proses (risk factor approach).Biasanya model RF ini diidentifikasi 7 sampai 15
faktor untuk mengassess masing2proses. Biasanya ada 2 jenis factor,external risk factor dan
internal risk factor
a)External Risk Factor

Berkaitan dengan faktor-faktor yang dibangun ke dalam lingkungan dan sifat

proses itu sendiri.

b)Internal Risk Factor

Berkaitandengan kontrol batas yang dirancang ke dalam proses untuk

menjamin pencapaian tujuan,kinerja orang-orang yang terlibat dalam
kegiatan dan dalam mengelola proses, dan tingkatperubahan dalam proses dan
lingkungan di manabisnisberoperasi.
Setelah factor diidentifikasi, ada 3 keputusan yang harus dibuat sebelum model
diimplementasikan:
1.Menentukan skala untuk tiap factor yang di assess

2.Menentukan pembobotan untuk tiap factor

3.Menentukan bagaimana tiap factor dikombinasikan

Proses Bisnis dan Risiko dalam Assurance Engagement

Assurance engagement ialah pemeriksaan obyektif pada bukti bukti dengan

tujuan memberikan penilaian independen terhadap tata kelola, manajemen risiko dan proses
kontrol untuk organisasi.

Business Process Outsorcing

Business Process Outsorcing adalah tindakan mentransfer beberapa proses bisnis
organisasi ke penyedialuargunamencapai pengurangan biaya, efektivitas
operasi, atau efisiensi operasional sekaligus meningkatkan kualitas pelayanan.Dulu
yang paling awal ada outsorce gini sih di payrollsama fungsi IT. Sekarang berkembang
menjadi HRD,engineering, CS, keuangan dan akuntansi.Karena outsorce ini, beberapa sistem
IC jadi lebih baik dan efisien, tetapi ada juga risiko tambahan.Beberapa hal yang harus
diperhatikan dalam IC pada bisnis prosesoutsorcing:

a. mendokumentasikan proses outsorcedan menunjukkan

kontrol utamayangtelahdi outsorce
b. memastikan ada cara memantau efektivitas proses outsorce
c. memperoleh keyakinan bahwa pengendalian internal yangmelekat dalam
proses outsorceberoperasi secara efektif, baikmelalui audit internal
kontrolatautinjauan eksternal kontrol

mengevaluasi secara berkala apakah kasus bisnis outsorcing tetap berlaku

PELUANG UNTUK MEMBERIKANWAWASAN

Kemampuan dari auditor internal dalam menganalisis proses bisnis danrisiko terkait
penyediaan fungsiaudit internal member kesempatan untuk menambah nilai yang signifikan
bagi organisasi melalui wawasan mereka terkait pekerjaan yang dilakukan yang dapat
diberikan kepada manajemen di tingkat operasional dan eksekutif. Kesempatan untuk
menerapkan keterampilan ini mungkin datang sebagaiakibat dari pekerjaan yang dilakukan
untuk memberikan keyakinan pada manajemen risiko dan pengendalian internal dalam
rangka keterlibatan jaminan tradisional seperti inisiatif rekayasa ulang proses bisnis, ulasan
dalam merger dan akuisisi, atau review sebelum impelementasi sistem.