Internal Audit Indonesia's

Maret 1, 2010

Mengelola Kinerja Perusahaan dengan Balanced Scorecard

Filed under: Artikel seputar Internal Audit — internalauditindonesia @ 12:00 am
  • Written by Yodhia Antariksa

You can not manage what you can not measure, demikian guru manajemen Peter Drucker pernah berujar. Spirit kalimat itu mengindikasikan bahwa pengelolaan kinerja manajemen atau kinerja bisnis selalu mesti dilakoni melalui proses dan hasil yang terukur. Tanpa manajemen yang berbasis pada indikator yang terukur dan objektif, sebuah gerak organisasi bisnis bisa terpeleset menjadi sejenis paguyuban yang tak produktif.

Dalam konteks pengukuran kinerja perusahaan ini, sekarang kita mengenal adanya sebuah pendekatan yang disebut sebagai balanced scorecard. Pendekatan ini sendiri dipopulerkan oleh Kaplan and Norton melalui bukunya yang fenomenal itu, Balanced Scorecard : Translating Strategy Into Action. Pengertian balanced scorecard sendiri jika diterjemahkan bisa bermakna sebagai rapot kinerja yang seimbang (balanced). Kenapa disebut seimbang karena pendekatan ini hendak mengukur kinerja organisasi secara komprehensif melalui empat dimensi utama, yakni : dimensi keuangan, pelanggan, proses bisnis internal dan dimensi learning & growth.

Dimensi keuangan merupakan hasil akhir yang ingin digapai oleh sebuah organisasi bisnis. Sebab tanpa menghasilkan profit yang sustainable dan cash flow yang sehat, sebuah perusahaan mungkin akan lebih layak disebut sebagai paguyuban sosial. Dalam dimensi ini, beberapa indikator kinerja (atau lazim disebut sebagai key performance indicators atau KPI) yang kerap digunakan sebagai acuan antara lain adalah : tingkat profitabilitas perusahaan, jumlah penjualan dalam setahun (sales revenue), tingkat efisiensi biaya operasi (operation cost dibanding sales), ataupun juga sejumlah indikator keuangan seperti ROI (return on investment), ROA (return on asset) ataupun EVA (economic value added).

Dimensi selanjutnya adalah dimensi pelanggan yang notabene merupakan tonggak penting untuk mencapai kejayaan dalam aspek keuangan. Sebab tanpa pelanggan, sebuah organisasi bisnis tak lagi punya alasan untuk meneruskan nafasnya. Demikianlah untuk menggapai kesuksesan, perusahaan juga mesti memetakan sejumlah ukuran keberhasilan dalam dimensi pelanggan. Sejumlah key performance indicator (KPI) yang lazim digunakan dalam dimensi pelanggan ini antara lain adalah : tingkat kepuasan pelanggan (customer satisfaction index), brand image index, brand loyalty index, persentase market share, ataupun market penetration level.

Dimensi berikutnya adalah dimensi proses bisnis internal. Pertanyaan kunci yang layak diajukan disini adalah : untuk meraih keberhasilan keuangan dan memuaskan pelanggan kita, proses bisnis internal apa yang harus terus menerus disempurnakan? Beberapa elemen kunci dalam proses bisnis internal yang layak dikendalikan dengan optimal mencakup segenap mata rantai (supply chain) proses produksi/operasi, manajemen mutu, dan juga proses inovasi. Beberapa contoh KPI yang lazim digunakan dalam dimensi ini antara lain adalah : persentase produk yang cacat (defect rate), tingkat kecepatan dalam proses produksi, jumlah inovasi proses dan produk yang dikembangkan dalam setahun, jumlah produk/jasa yang di-delivery dengan tepat waktu, ataupun jumlah pelanggaran SOP (standard operating procedures).

Dimensi yang terakhir adalah dimensi learning and growth. Dimensi ini sejatinya hendak berfokus pada pengembangan kapabilitas SDM, potensi kepemimpinan dan kekuatan kultur organisasi untuk terus dimekarkan ke titik yang optimal. Dengan kata lain, dimensi ini hendak meletakkan sebuah pondasi yang kokoh nan tegar agar sebuah organisasi bisnis terus bisa mengibarkan keunggulannya. Contoh KPI (key performance indicators) yang lazim digunakan untuk mengukur kinerja pada dimensi ini antara lain adalah : tingkat kepuasan karyawan (employee satisfaction index), level kompetensi rata-rata karyawan, indeks kultur organisasi (organizational culture index), ataupun jumlah jam pelatihan dan pengembangan per karyawan.

Demikianlah empat dimensi utama yang mesti dikelola dan diukur kinerjanya secara konstan dari waktu ke waktu. Pada dasarnya keempat dimensi diatas bersifat sinergis dan saling behubungan erat secara hirarkis. Sebuah organisasi bisnis hampir tidak mungkin mencapai keunggulan finansial tanpa ditopang oleh barisan pelanggan yang puas dan loyal. Dan barisan pelanggan yang loyal ini tak akan pernah terus tumbuh jika sebuah organisasi tidak memiliki proses bisnis yang ekselen nan inovatif. Dan pada akhirnya, proses kerja yang ekselen ini hanya akan mungkin menjelma menjadi kenyataan jika organisasi tersebut ditopang oleh barisan SDM yang unggul, kepemimimpinan yang tangguh dan budaya organisasi yang positif.

Pengelolaan kinerja organisasi bisnis secara optimal dengan demikian mesti mempertimbangkan keempat dimensi diatas secara intregratif. Serangkaian key performance indicators (beserta target angka) untuk tiap dimensi diatas mesti diidentifikasi dan kemudian dimonitor pencapaiannya secara periodik (misal setiap sebulan sekali dalam sesi monthly performance review meeting). Melalui proses pengelolaan kinerja yang komprehensif pada empat dimensi inilah, sebuah organisasi bisnis mestinya bisa terus tumbuh dan mekar menuju ranah kejayaan.

Basics of Conflict Management

Filed under: Artikel seputar Internal Audit — internalauditindonesia @ 12:00 am

Clarifying Confusion About Conflict

Conflict is when two or more values, perspectives and opinions are contradictory in nature and haven’t been aligned or agreed about yet, including:

  1. Within yourself when you’re not living according to your values;
  2. When your values and perspectives are threatened; or
  3. Discomfort from fear of the unknown or from lack of fulfillment.

Conflict is inevitable and often good, for example, good teams always go through a “form, storm, norm and perform” period. Getting the most out of diversity means often-contradictory values, perspectives and opinions.

Conflict is often needed. It:

  1. Helps to raise and address problems.
  2. Energizes work to be on the most appropriate issues.
  3. Helps people “be real”, for example, it motivates them to participate.
  4. Helps people learn how to recognize and benefit from their differences.

Conflict is not the same as discomfort. The conflict isn’t the problem – it is when conflict is poorly managed that is the problem.

Conflict is a problem when it:

  1. Hampers productivity.
  2. Lowers morale.
  3. Causes more and continued conflicts.
  4. Causes inappropriate behaviors.

Types of Managerial Actions that Cause Workplace Conflicts

1)      Poor communications

  • Employees experience continuing surprises, they aren’t informed of new decisions, programs, etc.
  • Employees don’t understand reasons for decisions, they aren’t involved in decision-making.
  • As a result, employees trust the “rumor mill” more than management.

2)      The alignment or the amount of resources is insufficient. There is:

  • Disagreement about “who does what”.
  • Stress from working with inadequate resources.

3)        “Personal chemistry”, including conflicting values or actions among managers and employees, for example:

  • Strong personal natures don’t match.
  • We often don’t like in others what we don’t like in ourselves.

4)   Leadership problems, including inconsistent, missing, too-strong or uninformed leadership (at any level in the organization), evidenced by:

  • Avoiding conflict, “passing the buck” with little follow-through on decisions.
  • Employees see the same continued issues in the workplace.
  • Supervisors don’t understand the jobs of their subordinates.

Key Managerial Actions / Structures to Minimize Conflicts

1) Regularly review job descriptions. Get your employee’s input to them. Write down and date job descriptions. Ensure:

  • Job roles don’t conflict.
  • No tasks “fall in a crack”.

2) Intentionally build relationships with all subordinates.

  • Meet at least once a month alone with them in office.
  • Ask about accomplishments, challenges and issues.

3) Get regular, written status reports and include:

  • Accomplishments.
  • Currents issues and needs from management.
  • Plans for the upcoming period.

4) Conduct basic training about:

  • Interpersonal communications.
  • Conflict management.
  • Delegation.

5) Develop procedures for routine tasks and include the employees’ input.

  • Have employees write procedures when possible and appropriate.
  • Get employees’ review of the procedures.
  • Distribute the procedures.
  • Train employees about the procedures.

6) Regularly hold management meetings, for example, every month, to communicate new initiatives and status of current programs.

7) Consider an anonymous suggestion box in which employees can provide suggestions.

Ways People Deal With Conflict

There is no one best way to deal with conflict. It depends on the current situation. Here are the major ways that people use to deal with conflict.

1) Avoid it. Pretend it is not there or ignore it.

Use it when it simply is not worth the effort to argue. Usually this approach tends

to worsen the conflict over time.

2) Accommodate it. Give in to others, sometimes to the extent that you compromise yourself.

Use this approach very sparingly and infrequently, for example, in situations

when you know that you will have another more useful approach in the very

near future. Usually this approach tends to worsen the conflict over time, and

causes conflicts within yourself.

3) Competing. Work to get your way, rather than clarifying and addressing the issue. Competitors love accommodators.

Use when you have a very strong conviction about your position.

4) Compromising. Mutual give-and-take.

Use when the goal is to get past the issue and move on.

5) Collaborating. Focus on working together.

  • Use when the goal is to meet as many current needs as possible by using mutual resources.
  • This approach sometimes raises new mutual needs.Use when the goal is to cultivate ownership and commitment.

To Manage a Conflict Within Yourself – “Core Process”

It’s often in the trying that we find solace, not in getting the best solution. The following steps will help you in this regard.

1) Name the conflict, or identify the issue, including what you want that you aren’t getting. Consider:

  • Writing your thoughts down to come to a conclusion.
  • Talk to someone, including asking them to help you summarize the conflict in 5 sentences or less.

2) Get perspective by discussing the issue with your friend or by putting it down in writing. Consider:

  • How important is this issue?
  • Does the issue seem worse because you’re tired, angry at something else, etc.?
  • What’s your role in this issue?

3) Pick at least one thing you can do about the conflict.

  • Identify at least three courses of action.
  • For each course, write at least three pros and cons.
  • Select an action – if there is no clear course of action, pick the alternative that will not hurt, or be least hurtful, to yourself and others.
  • Briefly discuss that course of action with a friend.

4) Then do something.

  • Wait at least a day before you do anything about the conflict. This gives you a cooling off period.
  • Then take an action. Have in your own mind, a date when you will act again if you see no clear improvement.

To Manage a Conflict With Another – “Core Process”

1) Know what you don’t like about yourself, early on in your career. We often don’t like in others what we don’t want to see in ourselves.

  • Write down 5 traits that really bug you when see them in others.
  • Be aware that these traits are your “hot buttons”.

2) Manage yourself. If you and/or the other person are getting heated up, then manage yourself to stay calm by

  • Speaking to the person as if the other person is not heated up – this can be very effective!
  • Avoid use of the word “you” – this avoids blaming.
  • Nod your head to assure them you heard them.
  • Maintain eye contact with them.

3) Move the discussion to a private area, if possible.

4) Give the other person time to vent.

Don’t interrupt them or judge what they are saying.

5) Verify that you’re accurately hearing each other. When they are done speaking:}

  • Ask the other person to let you rephrase (uninterrupted) what you are hearing from them to ensure you are hearing them.
  • To understand them more, ask open-ended questions. Avoid “why” questions – those questions often make people feel defensive.

6) Repeat the above step, this time for them to verify that they are hearing you. When you present your position

  • Use “I”, not “you”.
  • Talk in terms of the present as much as possible.
  • Mention your feelings.

7) Acknowledge where you disagree and where you agree.

8) Work the issue, not the person. When they are convinced that you understand them:

Ask “What can we do fix the problem?” They will likely begin to complain again.

Then ask the same question. Focus on actions they can do, too.

9) If possible, identify at least one action that can be done by one or both of you.

  • Ask the other person if they will support the action.
  • If they will not, then ask for a “cooling off period”.

10) Thank the person for working with you.

11) If the situation remains a conflict, then:

  • Conclude if the other person’s behavior conflicts with policies and procedures in the workplace and if so, present the issue to your supervisor.
  • Consider whether to agree to disagree.
  • Consider seeking a third party to mediate.

Februari 27, 2010

Model Internal Audit Activity Charter

Filed under: Artikel seputar Internal Audit — internalauditindonesia @ 12:00 am

MISSION AND SCOPE OF WORK

The mission of the internal auditing department is to provide independent, objective assurance and consulting services designed to add value and improve the organization’s operations.  It helps the organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.

The scope of work of the internal auditing department is to determine whether the organization’s network of risk management, control, and governance processes, as designed and represented by management, is adequate and functioning in a manner to ensure:

  • Risks are appropriately identified and managed.
  • Interaction with the various governance groups occurs as needed.
  • Significant financial, managerial, and operating information is accurate, reliable, and timely.
  • Employee’s actions are in compliance with policies, standards, procedures, and applicable laws and regulations.
  • Resources are acquired economically, used efficiently, and adequately protected.
  • Programs, plans, and objectives are achieved.
  • Quality and continuous improvement are fostered in the organization’s control process.
  • Significant legislative or regulatory issues impacting the organization are recognized and addressed properly.

Opportunities for improving management control, profitability, and the organization’s image may be identified during audits. They will be communicated to the appropriate level of management.

ACCOUNTABILITY

The chief audit executive (CAE), in the discharge of his/her duties, shall be accountable to management and the audit committee to:

  • Provide annually an assessment on the adequacy and effectiveness of the organization’s processes for controlling its activities and managing its risks in the areas set forth under the mission and scope of work.
  • Report significant issues related to the processes for controlling the activities of the organization and its affiliates, including potential improvements to those processes, and provide information concerning such issues through resolution.
  • Provide information periodically on the status and results of the annual audit plan and the sufficiency of department resources.
  • Coordinate with and provide oversight of other control and monitoring functions (risk management, compliance, security, legal, ethics, environmental, external audit).

INDEPENDENCE

To provide for the independence of the internal auditing department, its personnel report to the CAE, who reports administratively to the chief executive officer and functionally to the board and audit committee in a manner outlined in the above section on Accountability.  It will include as part of its reports to the audit committee a regular report on internal audit personnel.

RESPONSIBILITY

The CAE and staff of the internal auditing department have responsibility to:

  • Develop a flexible annual audit plan using appropriate risk-based methodology, including any risks or control concerns identified by management, and submit that plan to the audit committee for review and approval.
  • Implement the annual audit plan, as approved, including, and as appropriate, any special tasks or projects requested by management and the audit committee.
  • Maintain a professional audit staff with sufficient knowledge, skills, experience, and professional certifications to meet the requirements of this Charter.
  • Establish a quality assurance program by which the CAE assures the operation of internal auditing activities.
  • Perform consulting services, beyond internal auditing’s assurance services, to assist management in meeting its objectives.  Examples may include facilitation, process design, training, and advisory services.
  • Evaluate and assess significant merging/consolidating functions and new or changing services, processes, operations, and control processes coincident with their development, implementation, and/or expansion.
  • Issue periodic reports to the audit committee and management summarizing results of audit activities.
  • Keep the audit committee informed of emerging trends and successful practices in internal auditing.
  • Provide a list of significant measurement goals and results to the audit committee.
  • Assist in the investigation of significant suspected fraudulent activities within the organization and notify management and the audit committee of the results.
  • Consider the scope of work of the external auditors and regulators, as appropriate, for the purpose of providing optimal audit coverage to the organization at a reasonable overall cost.

AUTHORITY

The CAE and staff of the internal auditing department are authorized to:

  • Have unrestricted access to all functions, records, property, and personnel.
  • Have full and free access to the audit committee.
  • Allocate resources, set frequencies, select subjects, determine scopes of work, and apply the techniques required to accomplish audit objectives.
  • Obtain the necessary assistance of personnel in units of the organization where they perform audits, as well as other specialized services from within or outside the organization.

The CAE and staff of the internal auditing department are not authorized to:

  • Perform any operational duties for the organization or its affiliates.
  • Initiate or approve accounting transactions external to the internal auditing department.
  • Direct the activities of any organization employee not employed by the internal auditing department, except to the extent such employees have been appropriately assigned to auditing teams or to otherwise assist the internal auditors.

STANDARDS OF AUDIT PRACTICE

The internal auditing department will meet or exceed the International Standards for the Professional Practice of Internal Auditing of The Institute of Internal Auditors.

_________________________________

Chief Audit Executive

_________________________________

Chief Executive Officer

_________________________________

Audit Committee Chair

___________________________

Dated

CIA EXAM CONTENT

Filed under: Artikel seputar Internal Audit — internalauditindonesia @ 12:00 am

Home / Certification / Certified Internal Auditor / CIA Exam Content / Part 1 – The Internal Audit Activity’s Role in Governance, Risk, and Control

A. Comply with The IIA’s Attribute Standards (15-25%) (P)

  1. Define purpose, authority, and responsibility of the internal audit activity
    a.  Determine if the purpose, authority, and responsibility of the internal audit
    activity are clearly documented and approved
    b.  Determine if the purpose, authority, and responsibility of the internal audit
    activity are communicated to the engagement clients
    c.  Demonstrate an understanding of the purpose, authority, and responsibility
    of the internal audit activity
  2. Maintain independence and objectivity
    a.  Foster independence
    1) Understand organizational independence
    2) Recognize the importance of organizational independence
    3) Determine if the internal audit activity is properly aligned to achieve organizational independence
    b.  Foster objectivity
    1) Establish policies to promote objectivity
    2) Assess individual objectivity
    3) Maintain individual objectivity
    4) Recognize and mitigate impairments to independence and objectivity
  3. Determine if the required knowledge, skills, and competencies are available
    a.  Understand the knowledge, skills, and competencies that an internal
    auditor needs to possess
    b.  Identify the knowledge, skills, and competencies required to fulfill the
    responsibilities of the internal audit activity
  4. Develop and/or procure necessary knowledge, skills and competencies
    collectively required by the internal audit activity
  5. Exercise due professional care
  6. Promote continuing professional development
    a.  Develop and implement a plan for continuing professional
    development for internal audit staff
    b.  Enhance individual competency through continuing professional
    development
  7. Promote quality assurance and improvement of the internal audit activity
    a.  Establish and maintain a quality assurance and improvement program
    b.  Monitor the effectiveness of the quality assurance and improvement
    program
    c.  Report the results of the quality assurance and improvement program
    to the board or other governing body
    d.  Conduct quality assurance procedures and recommend improvements
    to the performance of the internal audit activity
  8. Abide by and promote compliance with The IIA Code of Ethics

B. Establish a Risk-based Plan to Determine the Priorities of the Internal Audit Activity (15-25%) (P)

  1. Establish a framework for assessing risk
  2. Use the framework to:
    a.  Identify sources of potential engagements (e.g., audit universe,
    management request, regulatory mandate)
    b.  Assess organization-wide risk
    c.  Solicit potential engagement topics from various sources
    d.  Collect and analyze data on proposed engagements
    e.  Rank and validate risk priorities
  3. Identify internal audit resource requirements
  4. Coordinate the internal audit activity’s efforts with:
    a.  External auditor
    b.  Regulatory oversight bodies
    c.  Other internal assurance functions (e.g., health and safety department)
  5. Select engagements.
    a.  Participate in the engagement selection process
    b.  Select engagements
    c.  Communicate and obtain approval of the engagement plan from board

C. Understand the Internal Audit Activity’s Role in Organizational Governance (10-20%) (P)

  1. Obtain board’s approval of audit charter
  2. Communicate plan of engagements
  3. Report significant audit issues
  4. Communicate key performance indicators to board on a regular basis
  5. Discuss areas of significant risk
  6. Support board in enterprise-wide risk assessment
  7. Review positioning of the internal audit function within the risk management framework within the organization
  8. Monitor compliance with the corporate code of conduct/business practices
  9. Report on the effectiveness of the control framework
  10. Assist board in assessing the independence of the external auditor
  11. Assess ethical climate of the board
  12. Assess ethical climate of the organization
  13. Assess compliance with policies in specific areas (e.g., derivatives)
  14. Assess organization’s reporting mechanism to the board
  15. Conduct follow-up and report on management response to regulatory body reviews
  16. Conduct follow-up and report on management response to external audit
  17. Assess the adequacy of the performance measurement system, achievement of corporate objective
  18. Support a culture of fraud awareness and encourage the reporting of improprieties

D. Perform Other Internal Audit Roles and Responsibilities (0-10%) (P)

  1. Ethics/Compliance
    a.  Investigate and recommend resolution for ethics/compliance complaints
    b.  Determine disposition of ethics violations
    c.  Foster healthy ethical climate
    d.  Maintain and administer business conduct policy (e.g., conflict of interest)
    e.  Report on compliance
  2. Risk Management
    a.  Develop and implement an organization-wide risk and control framework
    b.  Coordinate enterprise-wide risk assessment
    c.  Report corporate risk assessment to board
    d.  Review business continuity planning process
  3. Privacy
    a.  Determine privacy vulnerabilities
    b.  Report on compliance
  4. Information or physical security
    a.  Determine security vulnerabilities
    b.  Determine disposition of security violations
    c.  Report on compliance

E. Governance, Risk, and Control Knowledge Elements (15-25%)

  1. Corporate governance principles (A)
  2. Alternative control frameworks (A)
  3. Risk vocabulary and concepts (P)
  4. Risk management techniques (P)
  5. Risk/control implications of different organizational structures (P)
  6. Risk/control implications of different leadership styles (A)
  7. Change management (A)
  8. Conflict management (A)
  9. Management control techniques (P)
  10. Types of control (e.g., preventive, detective, input, output) (P)

F. Plan Engagements (15-25%) (P)

  1. Initiate preliminary communication with engagement client
  2. Conduct a preliminary survey of the area of engagement
    a.  Obtain input from engagement client
    b.  Perform analytical reviews
    c.  Perform benchmarking
    d.  Conduct interviews
    e.  Review prior audit reports and other relevant documentation
    f.  Map processes
    g.  Develop checklists
  3. Complete a detailed risk assessment of the area (prioritize or evaluate risk/control factors)
  4. Coordinate audit engagement efforts with
    a.  External auditor
    b.  Regulatory oversight bodies
  5. Establish/refine engagement objectives and identify/finalize the scope of engagement
  6. Identify or develop criteria for assurance engagements (criteria against which to audit)
  7. Consider the potential for fraud when planning an engagement
    a.  Be knowledgeable of the risk factors and red flags of fraud
    b.  Identify common types of fraud associated with the engagement area
    c.  Determine if risk of fraud requires special consideration when
    conducting an engagement
  8. Determine engagement procedures
  9. Determine the level of staff and resources needed for the engagement
  10. Establish adequate planning and supervision of the engagement
  11. Prepare engagement work program

P=Candidates must exhibit proficiency (thorough understanding and ability to apply concepts) in these topic areas.
A=Candidates must exhibit awareness (knowledge of terminology and fundamentals) in these topic areas.

Home / Certification / Certified Internal Auditor / CIA Exam Content / Part 2 – Conducting the Internal Audit Engagement

A. Conduct Engagements (25-35%) (P)

  1. Research and apply appropriate standards:
    a.  IIA Professional Practices Framework (Code of Ethics, Standards,
    Practice Advisories)
    b.  Other professional, legal, and regulatory standards
  2. Maintain an awareness of the potential for fraud when conducting an engagement
    a.  Notice indicators or symptoms of fraud
    b.  Design appropriate engagement steps to address significant risk
    of fraud
    c.  Employ audit tests to detect fraud
    d.  Determine if any suspected fraud merits investigation
  3. Collect data
  4. Evaluate the relevance, sufficiency, and competence of evidence
  5. Analyze and interpret data
  6. Develop work papers
  7. Review work papers
  8. Communicate interim progress
  9. Draw conclusions
  10. Develop recommendations when appropriate
  11. Report engagement results
    a.  Conduct exit conference
    b.  Prepare report or other communication
    c.  Approve engagement report
    d.  Determine distribution of report
    e.  Obtain management response to report
  12. Conduct client satisfaction survey
  13. Complete performance appraisals of engagement staff

B. Conduct Specific Engagements (25-35%) (P)

  1. Conduct assurance engagements
    a.  Fraud investigation
    1)  Determine appropriate parties to be involved with investigation
    2)  Establish facts and extent of fraud (e.g., interviews, interrogations
    and data analysis)
    3)  Report outcomes to appropriate parties
    4)  Complete a process review to improve controls to prevent fraud
    and recommend changes
    b.  Risk and control self-assessment
    1)  Facilitated approach
    (a)  Client-facilitated
    (b)  Audit-facilitated
    2)  Questionnaire approach
    3)  Self-certification approach
    c.  Audits of third parties and contract auditing
    d.  Quality audit engagements
    e.  Due diligence audit engagements
    f.   Security audit engagements
    g.   Privacy audit engagements
    h.   Performance (key performance indicators) audit engagements
    i.   Operational (efficiency and effectiveness) audit engagements
    j.   Financial audit engagements
    k.   Information technology (IT) audit engagements
    1)  Operating systems
    (a)  Mainframe
    (b)  Workstations
    (c)  Server
    2)  Application development
    (a)  Application authentication
    (b)  Systems development methodology
    (c)  Change control
    (d)  End user computing
    3)  Data and network communications/connections (e.g., LAN, VAN,
    and WAN)
    4)  Voice communications
    5)  System security (e.g., firewalls, access control)
    6)  Contingency planning
    7)  Databases
    8)  Functional areas of IT operations (e.g., data center operations)
    9)  Web infrastructure
    10) Software licensing
    11) Electronic funds transfer (EFT)/Electronic data interchange (EDI)
    12) e-Commerce
    13) Information protection (e.g., viruses, privacy)
    14) Encryption
    15) Enterprise-wide resource planning (ERP) software (e.g., SAP R/3)
    l.  Compliance audit engagements
  2. Conduct consulting engagements
    a.  Internal control training
    b.  Business process review
    c.  Benchmarking
    d.  Information technology (IT) and systems development
    e.  Design of performance measurement systems

C. Monitor Engagement Outcomes (5-15%) (P)

  1. Determine appropriate follow-up activity by the internal audit activity
  2. Identify appropriate method to monitor engagement outcomes
  3. Conduct follow-up activity
  4. Communicate monitoring plan and results

D. Fraud Knowledge Elements (5-15%)

  1. Discovery sampling (A)
  2. Interrogation techniques (A)
  3. Forensic auditing (A)
  4. Use of computers in analyzing data (P)
  5. Red flag (P)
  6. Types of fraud (P)

E. Engagement Tools (15-25%)

  1. Sampling (A)
    a.  Nonstatistical (judgmental)
    b.  Statistical
  2. Statistical analyses (process control techniques) (A)
  3. Data gathering tools (P)
    a.  Interviewing
    b. Questionnaires
    c. Checklists
  4. Analytical review techniques (P)
    a.  Ratio estimation
    b.  Variance analysis (e.g., budget vs. actual)
    c.  Other reasonableness tests
  5. Observation (P)
  6. Problem solving (P)
  7. Risk and control self-assessment (CSA) (A)
  8. Computerized audit tools and techniques (P)
    a.  Embedded audit modules
    b.  Data extraction techniques
    c.  Generalized audit software (e.g., ACL, IDEA)
    d.  Spreadsheet analysis
    e.  Automated work papers (e.g., Lotus Notes, Auditor Assistant)
  9. Process mapping including flowcharting (P)

P=Candidates must exhibit proficiency (thorough understanding and ability to apply concepts) in these topic areas.
A=Candidates must exhibit awareness (knowledge of terminology and fundamentals) in these topic areas.

Home / Certification / Certified Internal Auditor / CIA Exam Content / Part 3 – Business Analysis and Information Technology

A. Business Processes (15-25%)

  1. Quality management (e.g., TQM) (A)
  2. The International Organization for Standardization (ISO) framework (A)
  3. Forecasting (A)
  4. Project management techniques (P)
  5. Business process analysis (e.g., workflow analysis and bottleneck management, theory of constraints) (P)
  6. Inventory management techniques and concepts (P)
  7. Marketing – pricing objectives and policies (A)
  8. Marketing – supply chain management (A)
  9. Human Resources (Individual performance management and measurement; supervision; environmental factors that affect performance; facilitation techniques; personnel sourcing/staffing; training and development; safety) (P)
  10. Balanced scorecard (A)

B. Financial Accounting and Finance (15-25%)

  1. Basic concepts and underlying principles of financial accounting (e.g., statements, terminology, relationships) (P)
  2. Intermediate concepts of financial accounting (e.g., bonds, leases, pensions, intangible assets, R&D) (A)
  3. Advanced concepts of financial accounting (e.g., consolidation, partnerships, foreign currency transactions) (A)
  4. Financial statement analysis (P)
  5. Cost of capital evaluation (A)
  6. Types of debt and equity (A)
  7. Financial instruments (e.g., derivatives) (A)
  8. Cash management (treasury functions) (A)
  9. Valuation models (A)
    a. Inventory valuation
    b. Business valuation
  10. Business development life cycles (A)

C. Managerial Accounting (10-20%)

  1. Cost concepts (e.g., absorption, variable, fixed) (P)
  2. Capital budgeting (A)
  3. Operating budget (P)
  4. Transfer pricing (A)
  5. Cost-volume-profit analysis (A)
  6. Relevant cost (A)
  7. Costing systems (e.g., activity-based, standard) (A)
  8. Responsibility accounting (A)

D. Regulatory, Legal, and Economics (5-15%) (A)

  1. Impact of government legislation and regulation on business
  2. Trade legislation and regulations
  3. Taxation schemes
  4. Contracts
  5. Nature and rules of legal evidence
  6. Key economic indicators

E. Information Technology – IT (30-40%) (A)

  1. Control frameworks (e.g., COBIT)
  2. Data and network communications/connections (e.g., LAN, VAN, and WAN)
  3. Electronic funds transfer (EFT)
  4. e-Commerce
  5. Electronic data interchange (EDI)
  6. Functional areas of IT operations (e.g., data center operations)
  7. Encryption
  8. Information protection (e.g. viruses, privacy)
  9. Evaluate investment in IT (cost of ownership)
  10. Enterprise-wide resource planning (ERP) software (e.g., SAP R/3)
  11. Operating systems
  12. Application development
  13. Voice communications
  14. Contingency planning
  15. Systems security (e.g. firewalls, access control)
  16. Databases
  17. Software licensing
  18. Web infrastructure

P=Candidates must exhibit proficiency (thorough understanding and ability to apply concepts) in these topic areas.
A=Candidates must exhibit awareness (knowledge of terminology and fundamentals) in these topic areas.

Home / Certification / Certified Internal Auditor / CIA Exam Content / Part 4 – Business Management Skills

A. Strategic Management (20-30%) (A)

  1. Global analytical techniques
    a.  Structural analysis of industries
    b.  Competitive strategies (e.g., Porter’s model)
    c.  Competitive analysis
    d.  Market signals
    e.  Industry evolution
  2. Industry environments
    a.  Competitive strategies related to:
    1)  Fragmented industries
    2)  Emerging industries
    3)  Declining industries
    b.  Competition in global industries
    1)  Sources/impediments
    2)  Evolution of global markets
    3)  Strategic alternatives
    4)  Trends affecting competition
  3. Strategic decisions
    a.  Analysis of integration strategies
    b.  Capacity expansion
    c.  Entry into new businesses
  4. Portfolio techniques of competitive analysis
  5. Product life cycles

B. Global Business Environments (15-25%) (A)

  1. Cultural/legal/political environments
    a.   Balancing global requirements and local imperatives
    b.   Global mindsets (personal characteristics/competencies)
    c.   Sources and methods for managing complexities and contradictions
    d.   Managing multicultural teams
  2. Economic/financial environments
    a.   Global, multinational, international, and multilocal compared and contrasted
    b.   Requirements for entering the global market place
    c.   Creating organizational adaptability
    d.   Managing training and development

C. Organizational Behavior (15-25%) (A)

  1. Motivation
    a.  Relevance and implication of various theories
    b.  Impact of job design, rewards, work schedules, etc.
  2. Communication
    a.  The process
    b.  Organizational dynamics
    c.  Impact of computerization
  3. Performance
    a.  Productivity
    b.  Effectiveness
  4. Structure
    a.  Centralized/decentralized
    b.  Departmentalization
    c.  New configurations (e.g., hourglass, cluster, network)

D. Management Skills (20-30%) (A)

  1. Group dynamics
    a.  Traits (e.g., cohesiveness, roles, norms, groupthink)
    b.  Stages of group development
    c.  Organizational politics
    d.  Criteria and determinants of effectiveness
  2. Team building
    a.  Methods used in team building
    b.  Assessing team performance
  3. Leadership skills
    a.  Theories compared and contrasted
    b.  Leadership grid (topology of leadership styles)
    c.  Mentoring
  4. Personal time management

E. Negotiating (5-15%) (A)

  1. Conflict resolution
    a.  Competitive/cooperative
    b.  Compromise, forcing, smoothing, etc.
  2. Added-value negotiating
    a.  Description
    b.  Specific steps

P=Candidates must exhibit proficiency (thorough understanding and ability to apply concepts) in these topic areas.
A=Candidates must exhibit awareness (knowledge of terminology and fundamentals) in these topic areas.

Deteksi Dini Crisis-Management di Unit Bisnis

Filed under: Artikel seputar Internal Audit — internalauditindonesia @ 12:00 am

Sejumlah pertanyaan ini seringkali terabaikan saat Risk Surveyor. Maklum mereka lebih banyak memeriksa dan bertanya hanya pada aspek resiko fisik saja. Khususnya masalah Fire Prevention. Padahal, senyatanya aspek-aspek potensial gangguan operasional bisa terjadi disebabkan oleh sejumlah aspek resiko lainnya diluar Operasitional Risk.

Kami lebih senang menyebut sejumlah daftar pertanyaan ini sebagai deteksi dini dari fungsi kontrol Crisis Management di unit bisnis. Boleh juga ini disebut sebagai Risk-Control Operational Safety Audit.

OPERATIONAL RISK :

  1. Siapkah unit bisnis menjalankan Peak Time Management untuk Sabtu, Minggu, Tanggal Merah dan peak season ?
  2. Adakah complain di unit bisnis ini disampaikan via komunitas webblog yang ada di kota ini ? Sudahkah di-check ?
  3. Apakah BCP telah disosialisasikan kepada seluruh personil Supervisor, Security dan staf Risk Control Team di Unit Kerja ?
  4. Apakah copy daftar jaga piket malam unit bisnis ini dimiliki Komandan Security Building ?
  5. Apakah Ketua Regu Security perusahaan memiliki no HP & Telp Komandan Security Building ?
  6. Apakah Teknisi perusahaan memiliki no HP & Telp Maintenance Building Manager ?
  7. Adakah kebocoran air atau air limbah di dalam dari luar area sudah ditindaklanjuti ?
  8. Apakah ada stock barang di luar perusahaan dalam container atau menyewa tempat tersendiri di luar unit bisnis ?
  9. Seberapa sering kasus copet terjadi di unit bisnis dalam 6 bulan terakhir ? Bagaimana program antisipasinya ?
  10. Apakah ada bazaar yang berlokasi di luar unit bisnis atau di luar kota ? Apakah aspek keamanan & keselamatannya telah dipersipkan secara seksama, matang dan sungguh-sungguh ? Apakah ada complain (termasuk surat pembaca) atas kehadiran bazaar tersebut dari pedagang local / masyarakat setempat ?
  11. Apakah ibu kantin dan karyawan yang memasok makanan/minuman/jajanan telah membaca BCP/ Business Continuity Plan?
  12. Apakah traffic, sales, EBIT, shringkage semester ini lebih baik berturut-turut selama 3 tahun tarakhir ?
  13. Apakah dalam 3 bulan terakhir, tidak ada kasus kehilangan handphone karyawan ?
  14. Apakah ada peletakan-peletakan barang di duckting ?
  15. Apakah rolling door berfungsi baik & tidak mudah dibuka ?
  16. Apakah Material Visual & Promosi (Autopole/Telescopic Poles) kuat dan tidak membahayakan pengunjung.
  17. Saran dan masukan apa saja untuk Risk Control Team / Crisis Management untuk peningkatan kinerja dan support untuk unit kerja ?
  18. Apakah ada hal yang tidak lazim atau tidak sesuai prosedur selama proses pemindahan atau penjualan fixed asset ?
  19. Apakah sudah ada standar baku untuk penanganan complain customer baik secara langsung, menulis pada kotak saran, email dan complain di surat pembaca ?
  20. Complain tentang apa yang paling sering disampaikan Customer dalam 3 bulan terakhir ?

MAINTENANCE & PROJECT RISK :

  1. Apakah disain pengamanan eskalator sudah aman, nyaman dan ergonomik ? Apakah sisirnya lengkap ?
  2. Apakah kelayakan lift dan eskalator masih berlaku ?
  3. Apakah pasca renovasi regrouping listrik OK ?
  4. Apakah konstruksi gudang arsip dan stockroom aman, baik dan kuat ?
  5. Apakah pasca major renovation, APAR tersedia secara proporsional ?
  6. Apakah Electricity Audit sudah dilakukan dan sudah ditindaklanjuti ?
  7. Apakah semua neon box milik supplier sudah diperiksa oleh teknisi sebelum di pasang di area ?
  8. Apakah beban terpasang dan beban terpakai listrik telah sesuai dengan beban ideal ?
  9. Apakah Personil Teknisi sudah mendapat Basic Training dari Maintenance Dept.

SOCIAL, MARKET & REPUTATIONAL RISK :

  1. Surat Kabar Apa yang sekarang menjadi acuan bagi kalangan bisnis (website, telp.) ?
  2. Dua surat kabar apa yang sekarang menjadi acuan bagi masyarakat umum di kota ini ?
  3. Radio apa saja yang sering menyiarkan siaran live on air ?
  4. Adakah issue SARA di dalam building dan lingkungan building dalam 6 bulan terakhir ?
  5. Apakah ada poster yang barbau SARA/Pornografi ?
  6. Apakah Pole Sign, Sinage dan Billboard telah sesuai warna dan disainnya, serta kuat konstruksinya ?
  7. Apakah ada pengaduan layanan pelanggan yang disampaikan via YLKI/LSM kepada unit bisnis dlm 6 bulan terakhir ?
  8. Apakah unit bisnis sudah bebas stiker partai / LSM ?
  9. Apakah ada awak unit bisnis yang terkena razia malam saat pulang malam ?
  10. Apakah ada kasus kehilangan barang di area parkir mobil 6 bulan terakhir ? Apakah harga parkir wajar dan sesuai harga parkir di pasaran ?
  11. Apakah ada serikat pekerja pada management building ?
  12. Adakah tenant gathering dilakukan secara periodik oleh BM ?
  13. Apakah BM melakukan upaya repotioning atau upaya-2 lain untuk meningkatkan keunggulan bersaing ?
  14. Apakah zoning dan grouping di area BM telah sesuai dengan target market ?
  15. Apakah logo perusahaan menyala hingga tutup unit bisnis ?
  16. Apakah ada plesetan/lelucon/gurauan terhadap brand (logo, simbol atau gambar) tertentu yang sudah dipatenkan atau milik (resmi) perusahaan lain yang menimbulkan kesan penghinaan atau pelecehan ?

REGULATORY RISK :

  1. Apakah ada Perda yang dirasakan menghambat operasional unit bisnis ?
  2. Apakah ada pelanggaran terhadap Perda yang menyangkut pihak ketiga atau Building Management yang belum atau tidak ditindaklanjuti ?
  3. Apakah ada Organisasi Massa / LSM yang dirasakan mengganggu operasional unit bisnis ?
  4. Apakah ada complain/tuntutan/sweeping berkait dengan Lisensi IT ? Apakah SC sudah memastikan tidak ada program komputer yang illegal ?
  5. Apakah ada complain berkait dengan kandungan berbahaya dalam produk Toys ?
  6. Apakah semua produk kosmetik/parfum telah dilengkapai dengan keterangan brand asli, ijin depkes dan ijin edar ?
  7. Apakah area kerja dan area penjualan bebas dari gambar unsur pornografi, SARA atau “gambar terlarang” ?
  8. Apakah Pimpinan Unit Kerja dilibatkan dalam perpanjangan MOU untuk melengkapi kekurangan-2 sebelumnya ?

HR RISK :

  1. Apakah Perjanjian Kerja Bersama atau Peraturan Perusahaan sudah mengakomodasi kebutuhan mayoritas seluruh pemangku kepentingan ?
  2. Apakah pemberian sanksi (SP1, SP2, SP3, dlsb) sudah sesuai dengan jenis atau criteria kesalahannya, dan apakah sudah dikonfirmasi kepada HR Regional dan Regional Manager ?
  3. Apakah pemberian SP atau sanksi administrative lainnya sudah ditembuskan kepada HRD Pusat ?
  4. Apakah penegakan disiplin, tata tertib, peraturan perusahaan dan Code of Conduct sudah benar-benar ditegakkan ?
  5. Apakah di Unit Kerja tidak ada dualisme kepemimpinan antara Pimpinan Cabang (Store Manager) dengan Wakil Pimpinan Cabang (Assisstant Store Manager)
  6. Apakah “Kebijakan Pintu Terbuka” sudah diterapkan kepada seluruh jenjang level dan seluruh karyawan tanpa terkecuali untuk menampung seluruh aspirasi, keluh kesah, kebutuhan dan tuntutan operasional ?
  7. Apakah “karyawan sulit yang kontra produktif” sudah diawasi, dibina dan diberdayakan secara khusus tanpa harus kehilangan energi dan fokus pimpinan kepada target-target penting perusahaan ?
  8. Apakah ada SMS Gelap atau Surat Kaleng dalam 6 bulan terakhir kepada Manajer, Asisten Manajer dan Staf lain ?
  9. Apakah kasus saling mengabsensikan benar-benar tidak dilakukan oleh satu orang karyawan pun, dan terutama tidak terjadi di level staf Supervisor atau jabatan yang lebih tinggi ?
  10. Apakah ada proyek penelitian atau magang di unit kerja yang belum dilaporkan kepada HRD ?
  11. Apakah pemberlakuan akses terbatas bagi karyawan magang atau karyawan yang sedang melakukan penelitian sudah disampaikan secara benar, jelas, dan lengkap? Apakah larangan membawa USB, disket, CD, foto atau alat rekam / alat foto sudah diberlakukan pada karyawan magang atau karyawan yang sedang melakukan penelitian?
  12. Apakah ”pengurus union/serikat pekerja/ikatan karyawan” sudah dibarukan 2 tahun sekali ?
  13. Apakah ada serikat pekerja dalam unit bisnis yang tidak kooperatif dengan Manajemen Cabang ?
  14. Apakah ada penunggakan Jamsostek dalam 6 bulan terakhir ?
  15. Apakah ada pemutihan pada keuangan Koperasi 6 bulan terakhir ?
  16. Adakah MOU berkait dengan hubungan industrial dibuatkan aturan tambahannya guna meningkatkan kesidiplinan karyawan kontrak ?
  17. Apakah semua perijinan HR telah diselesaikan ?
  18. Adakah issue berbau SARA ?
  19. Apakah Branch Manager atau Store Manager dan HR Supervisor sudah melakukan penelitian secara periodik minimal sebulan sekali kepada semua bagian bahwa tidak ada terjadi kasus pelecehan seksual di dalam dan lingkungan kerja perusahaan ?
  20. Apakah Manajer HRD memberlakukan daftar cekal bagi SPG/SPB/BA “nakal” antar cabang & regional ?
  21. Apakah kebijakan mengenai SPG Hamil Tidak Mengambil Cuti sudah disampaikan secara tertulis dan dengan penjelasan secara lengkap dan jelas oleh HR Supervisor sehingga dapat difahami dan dimengerti secara penuh oleh SPG yang bersangkutan ?

FINANCIAL RISK :

  1. Apakah pembatalan sales pada Kartu Loyality Program disertai pembatalan pada jumlah poinnya ?
  2. Apakah ada masalah berarti mengenai uang pecahan kecil (Rp 20.000,- kebawah) ?
  3. Berapa nilai transaksi fee-nya per penukaran uang kecil tidak melebihi 0,32% ? Adakah perhitungan per nilai transaksinya ?
  4. Bagaimana upaya-upaya unit kerja mengamankan proses penukaran uang kecil sudah dilakukan maksimal ?
  5. Sudahkah nomor kombinasi brankas dibarukan sehubungan dengan status masuk/keluar personil Manajemen Cabang ?
  6. Apakah ada masalah dengan insentif sales performance atau insentif shringkage yang belum diselesaikan ?

Bila seluruh pertanyaan (questionner) ini disampaikan dengan teliti, hampir dapat dipastikan potensi gangguan operasional bisa ditekan secara signifikan. Tak percaya ? Silakan coba, dan review 2 tahun kemudian !

Februari 11, 2010

Minority Report Vs Over-Communication

Filed under: Artikel seputar Internal Audit — internalauditindonesia @ 12:00 am

Tidak semua gangguan operasional, kejadian luar biasa, kejadian pencurian oleh karyawan internal, atau kejadian berkategori crisis dan penyimpangan, akan bermanfaat bila diberitakan ke seluruh cabang / outlet.

Bila di satu branch misalnya mendapat ancaman bom pada hari Senin, dan dua hari kemudian di branch lain mendapat ancaman bom juga, apakah bijak setiap ada ancaman berita ini disebarkan kepada seluruh Branch Manager ? Jangan-jangan mereka berpikir, “Wah, gawat nih… koq ada ancaman terus ya ke perusahaan kita ?”. Selain akan menimbulkan kepanikan atau ketidaknyamanan, mereka pun bisa jadi cemas dan mengganggu produktivitas.

Jadi, perlu ada regulasi dan media untuk memastikan bahwa setiap ada kejadian – “gangguan operasional”, kejadian krisis, penyimpangan, pencurian atau hal lain yang menjadi concern Risk Management dan Internal Audit – unntuk tidak langsung ke cc-kan ke seluruh cabang.

Biarlah bagian Risk Management (Security, Loss Prevention atau Crisis Management) yang mengetahui saja. Fasilitas Risk Management Information System, dapat diisi secara lengkap fakta kejadian dan upaya antisipasi kedepan. Setidaknya ada belasan isian yang harus diisi, sehingga database ini dapat dimanfaatkan untuk mengetahui pola, sebaran dan trend kejadian kedepan.

Beberapa alasan lain yang bermanfaat dengan sentralisasi laporan ini, antara lain :

1. Tidak semua informasi memiliki dampak positif bagi cabang. Sebagai contoh, bila dalam satu minggu ada 3 kali ancaman bom di 3 cabang yang masing-masing berinisiatif menyebarkan ke semua cabang, maka cabang lain akan merasa was-was “kapan ancaman itu datang ke cabang saya” ?

2. Agar tidak terjadi over-communication. Dan biarlah bagian Risk Management yang terlebih dahulu menyaring apakah informasi ini perlu diberitakan ke seluruh cabang atau tidak.

3. Pembelajaran satu cabang dari cabang lainnya akan disampaikan setelah terlebih dahulu dinilai dan dirasakan anggap perlu. Itu pun akan diberikan informasi trend / pola dan antisipasinya, atau catatan lain yang perlu ditindaklanjuti. Sehingga informasi itu lebih berbobot, berkualitas dan bernilai operasional.

4. Fasilitas Lotus Notes misalnya dapat digunakan untuk mengakomodasi pertimbangan-pertimbangan diatas. Selain untuk me-record dan melihat trend, serta mengantisipasi prioritas kerja apa yang harus dilakukan bersama.

Hal yang sama, hemat kami juga berlaku untuk pelaporan kasus pencurian  Internal, manipulasi, korupsi dan uapaya penipuan dari pihak luar di Cabang. Cukup kiranya informasi seperti ini cukup diberikan kepada Bagian Loss Prevention (LP) Head Office (HO) saja. Karena informasi seperti ini bisa mengilhami bagi (oknum) karyawan lainnya — direkayasa dengan modus yang lain — untuk melakukan tindakan pencurian / penyimpangan.

Dan biarlah bagian LossP HO yang kemudian akan memberikan warning kepada personil LP Cabang terkait. Sepanjang pengalaman kami, LP HO cs punya ratusan modus dan cukup banyak diantaranya dikategorikan rahasia karena semua itu dipergunakan semata untuk menangkal angka kehilangan dan penyimpangan (Trend, pola dan modusnya bisa ditanyakan ke LP HO).

Pada akhirnya, Risk Management berharap, kedepan tidak ada lagi “over communication” dan cukup bagian LP saja yang mengetahui hal ini.

Bukankah penegakan “prinsip minority report” – dalam konteks risk management – jauh lebih bermanfaat untuk semua pihak ? Dan bukankah kita selalu dituntut bekerja dengan baik, efektif dan preventif ?

7 Aspek Penting Risk Management Ritel

Filed under: Artikel seputar Internal Audit — internalauditindonesia @ 12:00 am

Keberadaan Divisi Risk Management di perusahaan ritel, terutama yang berskala nasional kini sudah tidak sekedar sebagai tuntutan dari Stakeholder, Pemerintah maupun Customer. Namun sudah menjadi tuntutan strategis agar perusahaan mampu tampil dengan nilai keunggulan bersaing dan kompetitif di masa kini, terlebih di masa yang akan datang.

Dari pengalaman selama ini menggeluti aplikasi Risk Management di operasional outlet ritel, setidaknya ada 7 Aspek Penting Risk Management yang mesti diperhatikan para praktisi ritel, yaitu :

1. Risk Management adalah serangkaian prosedur dan metodologi serta analisa terhadap setiap proses atau kegiatan yang digunakan untuk mengidentifikasi resiko, melakukan tindakan atau persiapan untuk meminimalkan kemungkinan terjadinya suatu resiko dan meminimalkan dampak negatif yang ditimbulkan oleh resiko tersebut.

2. Tujuan utama Risk Management adalah untuk keberlangsungan hidup, bisnis dan proses / kegiatan operasional.

3. Elemen atau unsur terpenting yang selalu melekat didalam aplikasi tujuan Risk Management adalah unsur keamanan (Security) dan keselamatan (Safety).

4. Guna mendapatkan semua aspek diatas, maka diperlukan metoda atau pola pikir untuk selalu “sudah melakukan sebelum orang lain memikirkan” (view step aheads) dengan sikap proaktif, responsif, penuh tanggungjawab, peduli dan penuh disiplin.

5. Dalam tataran aplikasi di lapangan, dibutuhkan departemen dalam Divisi Risk Management yang secara khusus mengantisipasi dan menangani keadaan darurat atau krisis. Apakah itu dinamakan Fire Prevention Team, Risk Control Team (RCT), atau pun Crisis Management. Tim ini dibentuk khusus untuk menangani masalah ini.

6. RCT adalah team yang bertugas di toko untuk menjaga keamanan dan keselamatan dengan cara menganalisis kedepan atas setiap proses / kegiatan di toko, mengidentifikasi resiko, melakukan persiapan atau tindakan aksi untuk meminimalisasi resiko, serta meminimalisasi resiko atau dampak dari resiko yang sudah terjadi.

7. Tindakan RCT dalam perspektif Risk Management mencakup 4 tahapan, yaitu : Pertama, Identifikasi. Kedua, Mitigasi (Pencegahan Antisipasi), Ketiga Kontinjensi (Penanggulangan) dan terakhir Keempat Recovery (Pemulihan).

Tantangan Crisis Management di Dunia Ritel

Filed under: Artikel seputar Internal Audit — internalauditindonesia @ 12:00 am

Pengalaman kami menggeluti Crisis Management di dunia ritel sangatlah beragam, menantang dan tak jarang bikin deg-degan. Dalam penerapannya di lapangan, program-program kami sering menemukan sejumlah tantangan, masalah dan hambatan yang tentu saja perlu disadari semua pelaku bisnis ritel. Antara lain :

1. Sejumlah kasus terjadi secara SERENTAK, KOMPLEK & BERAGAM (meliputi sejumlah outlet di sejumlah kota, mulai bencana alam, ganggauan kamtibmas dan ekses politik hingga kasus kecelakaan dan kelalaian).

2. Tingkat pendidikan yang rendah.

3. Kurang peduli pada diri sendiri dan orang lain.

4. Kecenderungan untuk mencari gampang dan enak, antara lain tidak melaporkan melalui lotus notes namun melaporkan dengan pelaporan deskriptif kronologis kejadian.

5. Cenderung mementingkan ego dan gengsi. Ditandai terlampau percaya pada Field Operation dan tidak me-recheck dan cross check pelaksanaan programnya di lapangan.

6. Kecenderungan bangga dan suka untuk melanggar aturan.

7. “Sifat Dasar Negatif” : Keluh kesah, terlampau banyak perhitungan, merasa berkecukupan dalam hal ilmu dan kontribusi, lalai, suka membantah kebenaran (indisipliner), tergesa-gesa, lemah, dll.

8. Inkonsistensi dalam pelaksanaan kegiatan rutin dan sehari-hari (fire drill, checklist ).

Lalu, bagaimana solusinya ? Kembalikan saja pada visi, misi dan kebijakan blue-print Risk Management perusahaan. Dan mintalah para praktisi di lapangan memberikan kritik, kendala dan sekaligus ajuan solusi terbaiknya. Sulit ? Memang. Namun, sulit bukan berarti tidak bisa. Titik.

7 Aspek Penting Membangun Akuntabilitas

Filed under: Artikel seputar Internal Audit — internalauditindonesia @ 12:00 am

Akuntabilitas, kini sering jadi tuntutan, wacana dan pembicaraan dalam penerapan kebijakan publik, GCG, Risk Management dan pengembangan organisasi. Namun dalam penerapan di lapangan, tak jarang aspek-aspek yang mempengaruhi akuntabilitas tercecer dan tak terperhatikan secara utuh dan lengkap.

Lalu aspek apa saja yang harus diperhatikan dalam mengembangkan dan membangun akuntabilitas dalam organisasi ? Sepengetahuan kami, khususnya dalam praktik Risk Management pada perusahaan ritel, setidaknya ada 7 aspek yang harus mendapat perhatian serius dari pemangku kepentingan organisasi.

Pertama, Transparansi. Transparansi adalah harga mati.

Kedua, Sistem dan Prosedur yang ter-update secara periodik setahun sekali dan maksimal 2 tahun sekali.

Ketiga, Partisipatif Representatif. Keikutsertaan dari karyawan yang kemudian terwakilkan dalam pembahasan kepentingan bersama pada jenjang yang lebih tinggi, tentu akan relatif membawa aspirasi akar-rumput yang cukup jelas, faktual dan lengkap.

Keempat, Evaluasi dan Review. Pada tahapan ini, evaluasi dan review difokuskan pada metodologi dan validitas pengumpulan masukan; proses pembuatan kebijakan; dan respon penerapan kebijakan dari pengguna akhir (end user) di lapangan. Juga perlu diperhatikan apakah konten dan konteksnya masih relevan, memenuhi rasa keadilan, dan proposional sesuai kemampuan perusahaan ?

Pemberian “Service Level Survey Result” untuk semua Dept Head atau pimpinan unit kerja, kiranya akan mampu meningkatkan layanan unit kerja kepada end-user dan memberikan masukan berarti untuk perbaikan dan penerapan program kerja yang lebih akurat.

Kelima, Keluhan dan Respon. Apakah ada wadah untuk menampung keluhan dari semua pemangku kepentingan dan apakah responnya telah dilakukan dengan cepat, tepat dan efektif sesuai harapan pemangku kepentingan ?

Keenam, Monitoring. Pemantauan bisa dilakukan dengan pengetatan sistem dan prosedur; kesungguhan atasan langsung untuk menjalankan program dan kebijakan;  komitmen pimpinan tertinggi untuk memastikan garis kebijakan telah dilakukan dengan sungguh-sungguh dan efektif; pemeriksaan rutin internal audit; pembentukan Dewan Kehormatan; serta pelibatan eksternal audit yang independen bila dirasakan perlu.

Ketujuh, Kebijakan Futuristik. Apakah program-program dalam kebijakan itu mengacu pada kepentingan jangka panjang untuk kemaslahatan semua pemangku kepentingan, sesuai trend dan tuntutan industri sejenis ? Upaya lain untuk membuat kebijakan futusistik yang membumi dan didukung sumber daya yang ada dapat dilakukan dengan studi banding serta patok-duga (benchmark), sehingga pada akhirnya dapat dirasakan akan semakin mendekatkan pada visi dan misi perusahaan.

Rasanya, bila ketujuh aspek tersebut diatas terpenuhi maka bisa jadi untuk menjadi organisasi pembelajaran dan penerapan GCG pada perusahaan, bukanlah suatu hal yang terlampau sulit dilakukan. Tak percaya ? Coba saja 7 ”ajian pamungkas” membangun akuntabilitas itu !

Deteksi Dini Crisis-Management di Unit Bisnis

Filed under: Artikel seputar Internal Audit — internalauditindonesia @ 12:00 am

Sejumlah pertanyaan ini seringkali terabaikan saat Risk Surveyor. Maklum mereka lebih banyak memeriksa dan bertanya hanya pada aspek resiko fisik saja. Khususnya masalah Fire Prevention. Padahal, senyatanya aspek-aspek potensial gangguan operasional bisa terjadi disebabkan oleh sejumlah aspek resiko lainnya diluar Operasitional Risk.

Kami lebih senang menyebut sejumlah daftar pertanyaan ini sebagai deteksi dini dari fungsi kontrol Crisis Management di unit bisnis. Boleh juga ini disebut sebagai Risk-Control Operational Safety Audit.

OPERATIONAL RISK :

  1. Siapkah unit bisnis menjalankan Peak Time Management untuk Sabtu, Minggu, Tanggal Merah dan peak season ?
  2. Adakah complain di unit bisnis ini disampaikan via komunitas webblog yang ada di kota ini ? Sudahkah di-check ?
  3. Apakah BCP telah disosialisasikan kepada seluruh personil Supervisor, Security dan staf Risk Control Team di Unit Kerja ?
  4. Apakah copy daftar jaga piket malam unit bisnis ini dimiliki Komandan Security Building ?
  5. Apakah Ketua Regu Security perusahaan memiliki no HP & Telp Komandan Security Building ?
  6. Apakah Teknisi perusahaan memiliki no HP & Telp Maintenance Building Manager ?
  7. Adakah kebocoran air atau air limbah di dalam dari luar area sudah ditindaklanjuti ?
  8. Apakah ada stock barang di luar perusahaan dalam container atau menyewa tempat tersendiri di luar unit bisnis ?
  9. Seberapa sering kasus copet terjadi di unit bisnis dalam 6 bulan terakhir ? Bagaimana program antisipasinya ?
  10. Apakah ada bazaar yang berlokasi di luar unit bisnis atau di luar kota ? Apakah aspek keamanan & keselamatannya telah dipersipkan secara seksama, matang dan sungguh-sungguh ? Apakah ada complain (termasuk surat pembaca) atas kehadiran bazaar tersebut dari pedagang local / masyarakat setempat ?
  11. Apakah ibu kantin dan karyawan yang memasok makanan/minuman/jajanan telah membaca BCP/ Business Continuity Plan?
  12. Apakah traffic, sales, EBIT, shringkage semester ini lebih baik berturut-turut selama 3 tahun tarakhir ?
  13. Apakah dalam 3 bulan terakhir, tidak ada kasus kehilangan handphone karyawan ?
  14. Apakah ada peletakan-peletakan barang di duckting ?
  15. Apakah rolling door berfungsi baik & tidak mudah dibuka ?
  16. Apakah Material Visual & Promosi (Autopole/Telescopic Poles) kuat dan tidak membahayakan pengunjung.
  17. Saran dan masukan apa saja untuk Risk Control Team / Crisis Management untuk peningkatan kinerja dan support untuk unit kerja ?
  18. Apakah ada hal yang tidak lazim atau tidak sesuai prosedur selama proses pemindahan atau penjualan fixed asset ?
  19. Apakah sudah ada standar baku untuk penanganan complain customer baik secara langsung, menulis pada kotak saran, email dan complain di surat pembaca ?
  20. Complain tentang apa yang paling sering disampaikan Customer dalam 3 bulan terakhir ?

MAINTENANCE & PROJECT RISK :

  1. Apakah disain pengamanan eskalator sudah aman, nyaman dan ergonomik ? Apakah sisirnya lengkap ?
  2. Apakah kelayakan lift dan eskalator masih berlaku ?
  3. Apakah pasca renovasi regrouping listrik OK ?
  4. Apakah konstruksi gudang arsip dan stockroom aman, baik dan kuat ?
  5. Apakah pasca major renovation, APAR tersedia secara proporsional ?
  6. Apakah Electricity Audit sudah dilakukan dan sudah ditindaklanjuti ?
  7. Apakah semua neon box milik supplier sudah diperiksa oleh teknisi sebelum di pasang di area ?
  8. Apakah beban terpasang dan beban terpakai listrik telah sesuai dengan beban ideal ?
  9. Apakah Personil Teknisi sudah mendapat Basic Training dari Maintenance Dept.

SOCIAL, MARKET & REPUTATIONAL RISK :

  1. Surat Kabar Apa yang sekarang menjadi acuan bagi kalangan bisnis (website, telp.) ?
  2. Dua surat kabar apa yang sekarang menjadi acuan bagi masyarakat umum di kota ini ?
  3. Radio apa saja yang sering menyiarkan siaran live on air ?
  4. Adakah issue SARA di dalam building dan lingkungan building dalam 6 bulan terakhir ?
  5. Apakah ada poster yang barbau SARA/Pornografi ?
  6. Apakah Pole Sign, Sinage dan Billboard telah sesuai warna dan disainnya, serta kuat konstruksinya ?
  7. Apakah ada pengaduan layanan pelanggan yang disampaikan via YLKI/LSM kepada unit bisnis dlm 6 bulan terakhir ?
  8. Apakah unit bisnis sudah bebas stiker partai / LSM ?
  9. Apakah ada awak unit bisnis yang terkena razia malam saat pulang malam ?
  10. Apakah ada kasus kehilangan barang di area parkir mobil 6 bulan terakhir ? Apakah harga parkir wajar dan sesuai harga parkir di pasaran ?
  11. Apakah ada serikat pekerja pada management building ?
  12. Adakah tenant gathering dilakukan secara periodik oleh BM ?
  13. Apakah BM melakukan upaya repotioning atau upaya-2 lain untuk meningkatkan keunggulan bersaing ?
  14. Apakah zoning dan grouping di area BM telah sesuai dengan target market ?
  15. Apakah logo perusahaan menyala hingga tutup unit bisnis ?
  16. Apakah ada plesetan/lelucon/gurauan terhadap brand (logo, simbol atau gambar) tertentu yang sudah dipatenkan atau milik (resmi) perusahaan lain yang menimbulkan kesan penghinaan atau pelecehan ?

REGULATORY RISK :

  1. Apakah ada Perda yang dirasakan menghambat operasional unit bisnis ?
  2. Apakah ada pelanggaran terhadap Perda yang menyangkut pihak ketiga atau Building Management yang belum atau tidak ditindaklanjuti ?
  3. Apakah ada Organisasi Massa / LSM yang dirasakan mengganggu operasional unit bisnis ?
  4. Apakah ada complain/tuntutan/sweeping berkait dengan Lisensi IT ? Apakah SC sudah memastikan tidak ada program komputer yang illegal ?
  5. Apakah ada complain berkait dengan kandungan berbahaya dalam produk Toys ?
  6. Apakah semua produk kosmetik/parfum telah dilengkapai dengan keterangan brand asli, ijin depkes dan ijin edar ?
  7. Apakah area kerja dan area penjualan bebas dari gambar unsur pornografi, SARA atau “gambar terlarang” ?
  8. Apakah Pimpinan Unit Kerja dilibatkan dalam perpanjangan MOU untuk melengkapi kekurangan-2 sebelumnya ?

HR RISK :

  1. Apakah Perjanjian Kerja Bersama atau Peraturan Perusahaan sudah mengakomodasi kebutuhan mayoritas seluruh pemangku kepentingan ?
  2. Apakah pemberian sanksi (SP1, SP2, SP3, dlsb) sudah sesuai dengan jenis atau criteria kesalahannya, dan apakah sudah dikonfirmasi kepada HR Regional dan Regional Manager ?
  3. Apakah pemberian SP atau sanksi administrative lainnya sudah ditembuskan kepada HRD Pusat ?
  4. Apakah penegakan disiplin, tata tertib, peraturan perusahaan dan Code of Conduct sudah benar-benar ditegakkan ?
  5. Apakah di Unit Kerja tidak ada dualisme kepemimpinan antara Pimpinan Cabang (Store Manager) dengan Wakil Pimpinan Cabang (Assisstant Store Manager)
  6. Apakah “Kebijakan Pintu Terbuka” sudah diterapkan kepada seluruh jenjang level dan seluruh karyawan tanpa terkecuali untuk menampung seluruh aspirasi, keluh kesah, kebutuhan dan tuntutan operasional ?
  7. Apakah “karyawan sulit yang kontra produktif” sudah diawasi, dibina dan diberdayakan secara khusus tanpa harus kehilangan energi dan fokus pimpinan kepada target-target penting perusahaan ?
  8. Apakah ada SMS Gelap atau Surat Kaleng dalam 6 bulan terakhir kepada Manajer, Asisten Manajer dan Staf lain ?
  9. Apakah kasus saling mengabsensikan benar-benar tidak dilakukan oleh satu orang karyawan pun, dan terutama tidak terjadi di level staf Supervisor atau jabatan yang lebih tinggi ?
  10. Apakah ada proyek penelitian atau magang di unit kerja yang belum dilaporkan kepada HRD ?
  11. Apakah pemberlakuan akses terbatas bagi karyawan magang atau karyawan yang sedang melakukan penelitian sudah disampaikan secara benar, jelas, dan lengkap? Apakah larangan membawa USB, disket, CD, foto atau alat rekam / alat foto sudah diberlakukan pada karyawan magang atau karyawan yang sedang melakukan penelitian?
  12. Apakah ”pengurus union/serikat pekerja/ikatan karyawan” sudah dibarukan 2 tahun sekali ?
  13. Apakah ada serikat pekerja dalam unit bisnis yang tidak kooperatif dengan Manajemen Cabang ?
  14. Apakah ada penunggakan Jamsostek dalam 6 bulan terakhir ?
  15. Apakah ada pemutihan pada keuangan Koperasi 6 bulan terakhir ?
  16. Adakah MOU berkait dengan hubungan industrial dibuatkan aturan tambahannya guna meningkatkan kesidiplinan karyawan kontrak ?
  17. Apakah semua perijinan HR telah diselesaikan ?
  18. Adakah issue berbau SARA ?
  19. Apakah Branch Manager atau Store Manager dan HR Supervisor sudah melakukan penelitian secara periodik minimal sebulan sekali kepada semua bagian bahwa tidak ada terjadi kasus pelecehan seksual di dalam dan lingkungan kerja perusahaan ?
  20. Apakah Manajer HRD memberlakukan daftar cekal bagi SPG/SPB/BA “nakal” antar cabang & regional ?
  21. Apakah kebijakan mengenai SPG Hamil Tidak Mengambil Cuti sudah disampaikan secara tertulis dan dengan penjelasan secara lengkap dan jelas oleh HR Supervisor sehingga dapat difahami dan dimengerti secara penuh oleh SPG yang bersangkutan ?

FINANCIAL RISK :

  1. Apakah pembatalan sales pada Kartu Loyality Program disertai pembatalan pada jumlah poinnya ?
  2. Apakah ada masalah berarti mengenai uang pecahan kecil (Rp 20.000,- kebawah) ?
  3. Berapa nilai transaksi fee-nya per penukaran uang kecil tidak melebihi 0,32% ? Adakah perhitungan per nilai transaksinya ?
  4. Bagaimana upaya-upaya unit kerja mengamankan proses penukaran uang kecil sudah dilakukan maksimal ?
  5. Sudahkah nomor kombinasi brankas dibarukan sehubungan dengan status masuk/keluar personil Manajemen Cabang ?
  6. Apakah ada masalah dengan insentif sales performance atau insentif shringkage yang belum diselesaikan ?

Bila seluruh pertanyaan (questionner) ini disampaikan dengan teliti, hampir dapat dipastikan potensi gangguan operasional bisa ditekan secara signifikan. Tak percaya ? Silakan coba, dan review 2 tahun kemudian !

« Halaman SebelumnyaHalaman Berikutnya »

The Rubric Theme. Blog pada WordPress.com.

Ikuti

Get every new post delivered to your Inbox.