Dalam standar 2010 tentang Perencanaan, CAE harus menetapkan rencana berbasis risiko untuk menentukan prioritas Aktivitas

Audit Internal, yang konsisten selaras dengan tujuan organisasi. Dengan demikian tidak terhindarkan bagi Aktivitas Audit Internal untuk menggunakan proses manajemen risiko yang ada di dalam organisasi sebagai bagian dari proses perencanaan tersebut. Penggunaan proses yang ada sangat penting karena akan mendorong cara pandang dan bahasa yang sama antara Aktivitas Audit Internal dan unit lain di dalam organisasi terhadap risiko dan proses manajemen risiko. Penggunaan manajemen risiko dalam perencanaan ini diberikan pedoman lebih lanjut oleh IIA sebagai berikut: 1. Manajemen risiko adalah bagian penting dalam penerapan tata kelola yang sehat yang menyentuh seluruh kegiatan organisasi. Banyak organisasi yang tergerak untuk mengadopsi pendekatan manajemen risiko yang konsisten dan holistik, yang terintegrasi sepenuhnya ke dalam manajemen organisasi. Ini berlaku di semua tingkatan organisasi, baik tingkat organisasi keseluruhan, fungsi, atau unit bisnis. Manajemen biasanya menggunakan kerangka kerja manajemen risiko tertentu untuk melakukan penilaian dan mendokumentasikan hasil penilaian. 2. Suatu proses manajemen risiko yang efektif dapat membantu dalam mengidentifikasi pengendalian utama yang terkait dengan risiko melekat (inherent risk) yang signifikan. Enterprise Risk Management (ERM) adalah istilah yang umum digunakan. Committee of Sponsoring Organizations (COSO) dari Treadway Commission mendefinisikan ERM sebagai suatu proses, yang dilakukan oleh dewan direksi organisasi, manajemen, dan personil lainnya, diterapkan dalam menyusun strategi dan di seluruh perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi organisasi, dan mengelola risiko untuk berada dalam risk appetite, untuk memberikan keyakinan memadai tentang pencapaian tujuan organisasi. Pelaksanaan pengendalian adalah salah satu metode yang umum digunakan oleh manajemen untuk mengelola risiko agar tetap di dalam risk appetite-nya. Auditor Internal melakukan audit terhadap pengendalian kunci dan memberikan keyakinan pada proses manajemen risiko yang signifikan. 3. Standar mendefinisikan pengendalian sebagai setiap tindakan yang diambil oleh manajemen, Dewan, dan pihak lain untuk mengelola risiko dan meningkatkan kemungkinan bahwa tujuan dan sasaran akan dicapai. Manajemen merencanakan, mengatur, dan mengarahkan pelaksanaan tindakan yang cukup untuk memberikan keyakinan memadai bahwa tujuan dan sasaran akan dicapai. 4. Dua konsep risiko yang fundamental adalah risiko melekat (inherent risk) dan risiko sisa (residual risk, juga dikenal sebagai current risk). Auditor eksternal/finansial sejak lama telah memiliki konsep risiko melekat yang secara ringkas diartikan sebagai kerentanan salah saji material atas informasi atau data, dengan asumsi tidak terdapat pengendalian terkait untuk memitigasi kerentanan tersebut. Standar mendefinisikan risiko residual sebagai risiko yang tersisa setelah manajemen mengambil tindakan untuk mengurangi dampak (impact) dan kemungkinan (likelihood) dari suatu peristiwa buruk (adverse events), termasuk aktivitas pengendalian dalam menanggapi risiko. Sedangkan current risk sering didefinisikan sebagai risiko yang dapat dikelola dalam pengendalian atau sistem pengendalian yang ada. 5. Pengendalian utama (key control) dapat didefinisikan sebagai pengendalian atau kelompok pengendalian yang membantu mengurangi risiko ke tingkat yang dapat ditoleransi, di liuar risiko yang dinyatakan tidak dapat diterima. Dalam suatu proses manajemen risiko yang efektif (dengan dokumentasi yang memadai), pengendalian

utama dapat dengan mudah diidentifikasi dari perbedaan antara risiko melekat dan risiko residual. Jika penilaian belum diberikan terhadap risiko melekat, auditor internal dapat melakukan sendiri estimasi penilaian risiko melekat tersebut. Pada saat mengidentifikasi pengendalian utama (dengan asumsi auditor internal telah dapat menyimpulkan bahwa proses manajemen risiko berada pada tingkat mature dan dapat diandalkan), auditor internal perlu mencari:

Faktor-faktor risiko individual mana yang terdapat penurunan yang signifikan dari risiko melekat ke risiko residual (terutama jika risiko melekat sangat tinggi). Ini untuk menyoroti pengendalian yang penting/utama bagi organisasi. Pengendalian-pengendalian yang berfungsi untuk memitigasi sejumlah besar risiko

6. Perencanaan audit internal perlu memanfaatkan proses manajemen risiko organisasi, bila proses tersebut telah berjalan. Dalam merencanakan penugasan, auditor internal perlu mempertimbangkan risiko signifikan dari kegiatan dan juga sarana yang digunakan manajemen untuk memperkecil risiko tersebut pada tingkat yang dapat diterima. Auditor internal menggunakan teknik penilaian risiko dalam pengembangan rencana Aktivitas Audit Internal termasuk dalam menentukan prioritas untuk mengalokasikan sumber daya audit internal. Penilaian risiko digunakan untuk mereview area-area yang dapat diaudit (auditable units) dan untuk kemudian dipilih area-area yang memiliki risiko terbesar ke dalam rencana Aktivitas Audit Internal. 7. Auditor Internal mungkin tidak memenuhi kualifikasi yang diperlukan untuk mengevaluasi setiap kategori risiko dan proses ERM di dalam organisasi (misalnya, audit internal terhadap kesehatan dan keselamatan kerja, audit lingkungan, atau instrumen keuangan yang kompleks). CAE harus memastikan untuk menggunakan auditor internal dengan keahlian khusus atau penyedia layanan eksternal untuk melakukan evaluasi dengan tepat. 8. Proses dan sistem manajemen risiko bisa diterapkan secara berbeda-beda di antara organisasi di seluruh dunia, sesuai dengan tingkat kematangan (maturity level) manajemen risiko pada organisasi yang bersangkutan. Apabila organisasi memiliki kegiatan manajemen risiko secara terpusat, peran kegiatan ini termasuk pula mengkoordinasikan dengan manajemen mengenai review terus-menerus terhadap struktur pengendalian agar terus sesuai dengan selera risiko (risk appetite) yang terus bergerak. Proses manajemen risiko yang digunakan di berbagai belahan dunia mungkin memiliki logika, struktur, dan terminologi yang berbeda. Oleh karena itu auditor internal perlu membuat penilaian terhadap proses manajemen risiko organisasi untuk kemudian menentukan bagian mana dari proses tersebut yang dapat digunakan dalam mengembangkan rencana Aktivitas Audit Internal dan bagian mana untuk perencanaan penugasan audit internal secara individual. 9. Faktor-faktor yang perlu diperhatikan ketika mengembangkan rencana audit internal meliputi:

Risiko inheren Apakah telah diidentifikasi dan dinilai? Risiko residual Apakah telah diidentifikasi dan dinilai? Pengendalian mitigasi, rencana kontinjensi , dan aktivitas pemantauan Apakah telah dikaitkan dengan peristiwa dan / atau risiko individual? Daftar risiko (Risk register) Apakah disusun secara sistematis, lengkap, dan akurat? Dokumentasi Apakah risiko dan kegiatan didokumentasikan?

Selain itu, auditor internal perlu berkoordinasi dengan penyedia layanan assurance lainnya serta mempertimbangkan apakah dapat menggunakan hasil pekerjaan mereka (diatur lebih lanjut dalam practice advisory mengenai Assurance Maps). 10. Piagam audit internal biasanya mengharuskan Aktivitas Audit Internal untuk fokus pada area-area yang berisiko tinggi, baik dari aspek risiko melekat ataupun residual. Aktivitas audit internal perlu mengidentifikasi area-area yang memiliki risiko melekat tinggi, risiko residual tinggi, dan sistem pengendalian utama yang diandalkan organisasi untuk melakukan mitigasi. Jika Aktivitas Audit Internal mengidentifikasi adanya area-area risiko residual yang tidak dapat diterima (unacceptable), manajemen perlu segera diberitahu sehingga risiko tersebut dapat ditangani. Dari proses ini auditor internal akan mampu mengidentifikasi berbagai jenis kegiatan yang bisa dimasukkan rencana kegiatan, termasuk:

Kegiatan review /assurance Pengendalian di mana auditor internal melakukan review kecukupan dan efisiensi sistem pengendalian serta memberikan assurance bahwa pengendalian telah berjalan dan risiko telah dikelola secara efektif. Kegiatan Inquiry- di mana ketika manajemen organisasi mendapati pengendalian tertentu berada pada tingkatan yang tidak dapat diterima terkait dengan suatu kegiatan bisnis atau area risiko terkait serta auditor internal melakukan serangkaian prosedur untuk mendapatkan pemahaman yang lebih baik tentang risiko dan pengendalian dimaksud. Kegiatan konsultasi (Consulting) di mana auditor internal menyarankan manajemen organisasi mengembangkan sistem pengendalian untuk mengurangi risiko saat ini (current risk) yang berada pada tingkatan tidak dapat diterima.

Auditor Internal juga mengidentifikasi pengendalian yang tidak perlu, tumpang tindih, berlebihan, atau kompleks sehingga tidak efisien dalam mengurangi risiko. Dalam kasuskasus ini, biaya pengendalian mungkin lebih besar daripada manfaat yang didapatkan, sehingga desain pengendalian mungkin perlu diperbaiki. 11. Untuk memastikan bahwa risiko yang relevan teridentifikasi, proses identifikasi risiko harus dilakukan secara sistematis dan didokumentasikan dengan jelas. Dokumentasi dapat bervariasi, dari cukup dilakukan dengan spreadsheet untuk organisasi yang kecil hingga penggunaan perangkat lunak yang canggih untuk organisasi yang kompleks. Prinsipnya adalah bahwa kerangka kerja manajemen risiko didokumentasikan secara keseluruhannya. 12. Dokumentasi manajemen risiko di dalam sebuah organisasi bisa berada di berbagai tingkat di bawah tingkatan strategis dari proses manajemen risiko. Banyak organisasi mengembangkan daftar risiko untuk mendokumentasikan risiko-risiko di bawah tingkat strategis, yang berisi dokumentasi mengenai risiko signifikan di suatu area beserta penilaian risiko melekat dan residual, pengendalian utama, dan faktor-faktor mitigasinya. Selanjutnya dapat dilakukan alignment untuk mengidentifikasi hubungan yang lebih langsung antara kategori dan aspek risiko yang terdokumentasikan dalam register risiko dengan dokumentasi semesta audit yang ada pada Aktivitas Audit Internal. 13. Beberapa organisasi mungkin mengidentifikasi beberapa area dengan risiko melekat yang tinggi sekaligus. Meskipun risiko yang tinggi harus menjadi perhatian Aktivitas Audit Internal, namun tidak selalu mungkin untuk memasukkan semuanya ke dalam perencanaan audit internal. Dalam hal daftar risiko masih menunjukkan adanya beberapa area yang berisiko tinggi, namun tidak ada tindakan manajemen serta tidak memungkinkan lagi untuk

dimasukkan dalam perencanaan Aktivitas Audit Internal, CAE melaporkan area-area tersebut secara terpisah kepada Dewan dengan rincian analisis risiko dan alasan kurangnya/ ketidakefektifan pengendalian internal terkait. 14. Area-area yang memiliki risiko yang lebih rendah, tidak selamanya diabaikan untuk masuk dalam perencanaan audit internal. Secara berkala, area-area dengan risiko lebih rendah dapat dipilih untuk menunjukkan bahwa area-area tersebut tetap merupakan area yang dicover oleh Aktivitas Audit Internal dan, lebih penting lagi, untuk memastikan risiko-risiko yang pernah dinilai rendah tersebut tetap rendah. Lebih lanjut, Aktivitas Audit Internal perlu menetapkan metode untuk mempergilirkan prioritas risiko-risiko yang belum tersentuh oleh audit internal. 15. Rencana Aktivitas Audit Internal biasanya akan berfokus pada:

Risiko residual yang tidak dapat diterima di mana manajemen perlu segera bertindak. Ini merupakan area-area dengan pengendalian utama atau faktor-faktor mitigasi yang minimal. Sistem pengendalian di mana organisasi sangat tergantung/mengandalkan. Area-area dimana terdapat perbedaan besar antara risiko melekat dengan risiko residual. Area-area di mana risiko melekat sangat tinggi

16. Ketika merencanakan penugasan audit internal individual, auditor internal mengidentifikasi dan menilai risiko terkait dengan area yang sedang diaudit.