Jika awalnya internal audit hanya berfokus dalam mengidentifikasi pelanggaran semata serta

menekankan compliance terhadap regulasi, hingga kemudian punya pemahaman yang

menyeluruh mengenai risiko, kini sudah sampai berkembang risk-based audit atau audit berbasis
risiko.
Beberapa pendekatan lain dalam audit adalah shotgun approach, compliance based approach dan
control based approach. Pendekatan-pendekatan ini adalah yang sering digunakan secara
tradisional, dan biasanya dalam prakteknya dapat memakan waktu yang lama.

Shotgun approach

Yakni merupakan pendekatan audit tradisional post the facts, dimana audit hanya bertujuan untuk
mengungkap temuan, mencari-cari dan mengidentifikasi kesalahan maupun pelanggaran baik
dalam aktivitas, kebijakan maupun laporan perusahaan.

Compliance-based approach

Yakni merupakan pendekatan audit dimana dilakukan pengecekan terhadap keselarasan antara
kebijakan dan prosedur yang dilakukan dengan ketetapan regulasi. Hanya saja, kekurangannya
adalah jika terdapat aktivitas yang tidak comply padahal sebenarnya itu merupakan inovasi,
sementara aturan yang ditetapkan sudah out of date. Jika auditor tidak bisa memahami perspektif
yang diaudit, maka pendekatan ini bisa jadi kontraproduktif karena membatasi kreativitas.

Control-based approach

Mirip dengan compliance-based approach, namun bedanya disini auditor menggunakan kontrol
internal yang merupakan best practice. Tim auditor punya checklist dan framework tersendiri
mengenai aktivitas mana saja yang perlu dikontrol. Kelemahan dari pendekatan ini adalah
seringkali terlalu menekankan kontrol, sehingga seringkali melupakan pertimbangan faktor
praktis maupun cost-benefit dalam implementasi kontrol tersebut.

Risk-based approach

Di pendekatan ini, auditor pertama-tama harus memahami dulu bagaimana visi, misi, tujuan,
target, dan strategi dari perusahaan, baru kemudian mengidentifikasi dan menganalisa risiko
yang berpotensi menghalangi pencapaian tujuan. Auditor bertugas untuk menentukan apakah
kontrol sudah ditempatkan dengan baik dan berjalan secara efektif dalam mengelola risiko.
Pada metodologi risk-based audit, perusahaan bukan hanya sekadar punya pemahaman yang
menyeluruh mengenai risiko, melainkan juga mengontrol pengelolaannya dan memastikan
bahwa kontrol berjalan secara efektif. Jika dulunya internal audit sekedar post the facts atau
mengungkap fakta atau temuan kesalahan, maka dengan risk-based audit kini bisa melakukan
anticipation before the facts, antisipasi sebelum kesalahan benar-benar terjadi. Untuk melakukan
risk-based audit ini, fungsi risiko dari suatu organisasi harus bekerjasama dengan fungsi internal
audit supaya risiko bisa terus menerus dimonitor dan dikelola secara proaktif sebelum benar-

benar terjadi dan membahayakan pencapaian tujuan organisasi.

Definisi
Audit berbasis risiko merupakan metodologi yang memastikan bahwa manajemen risiko sudah
dilakukan sesuai dengan risk appetite yang dimiliki organisasi.
Pendekatan audit ini berfokus dalam mengevaluasi risiko-risiko baik strategis, finansial,
operasional, regulasi dan lainnya yang dihadapi oleh organisasi. Dalam RBIA, risiko-risiko yang
tinggi diaudit, sehingga kemudian manajemen bisa mengetahui area baru mana yang berisiko dan
area mana yang kontrolnya harus diperbaiki.
Manfaat RBIA
Audit berbasis risiko mempunyai manfaat yang banyak bagi organisasi, antara lain adalah
sebagai berikut:
menjadi sistem check and balance terhadap kontrol organisasi
meningkatkan kemampuan dalam mengidentifikasi kesalahan dalam laporan keuangan
meningkatkan kemampuan dalam mengidentifikasi dan mengukur risiko
meningkatkan kemampuan dalam mengidentifikasi adanya fraud atau masalah lainnya
mengungkap temuan mengenai kelemahan yang dimiliki manajemen

Setelah audit dilakukan, kemudian diskusikan temuan-temuan yang diperoleh serta buat laporan
audit. Jika ada temuan baru, maka diskusikan dengan manajer untuk meng-update daftar risiko
dan audit (risk & audit universe). Ambil kesimpulan mengenai hasil audit berbasis risiko
tersebut, yakni opini mengenai apakah risiko dalam batasan yang ditentukan, dan sudah dikelola
dengan memadai, untuk memastikan bahwa tujuan organisasi dapat dicapai dengan baik.
Dengan melakukan audit berbasis risiko, maka organisasi dapat memastikan bahwa kontrol
internal yang dilakukannya berjalan dengan baik. Pengelolaan risiko yang terjamin menjadikan
organisasi menghindari risiko yang berlebihan, sehingga tujuan organisasi bisa tercapai. Jika
setiap perusahaan melakukan audit berbasis risiko ini, tentunya kita harapkan krisis finansial
tidak akan terulang kembali di kemudian hari.