Shotgun approach
Yakni merupakan pendekatan audit tradisional post the facts, dimana audit hanya bertujuan untuk
mengungkap temuan, mencari-cari dan mengidentifikasi kesalahan maupun pelanggaran baik
dalam aktivitas, kebijakan maupun laporan perusahaan.
Compliance-based approach
Yakni merupakan pendekatan audit dimana dilakukan pengecekan terhadap keselarasan antara
kebijakan dan prosedur yang dilakukan dengan ketetapan regulasi. Hanya saja, kekurangannya
adalah jika terdapat aktivitas yang tidak comply padahal sebenarnya itu merupakan inovasi,
sementara aturan yang ditetapkan sudah out of date. Jika auditor tidak bisa memahami perspektif
yang diaudit, maka pendekatan ini bisa jadi kontraproduktif karena membatasi kreativitas.
Control-based approach
Mirip dengan compliance-based approach, namun bedanya disini auditor menggunakan kontrol
internal yang merupakan best practice. Tim auditor punya checklist dan framework tersendiri
mengenai aktivitas mana saja yang perlu dikontrol. Kelemahan dari pendekatan ini adalah
seringkali terlalu menekankan kontrol, sehingga seringkali melupakan pertimbangan faktor
praktis maupun cost-benefit dalam implementasi kontrol tersebut.
Risk-based approach
Di pendekatan ini, auditor pertama-tama harus memahami dulu bagaimana visi, misi, tujuan,
target, dan strategi dari perusahaan, baru kemudian mengidentifikasi dan menganalisa risiko
yang berpotensi menghalangi pencapaian tujuan. Auditor bertugas untuk menentukan apakah
kontrol sudah ditempatkan dengan baik dan berjalan secara efektif dalam mengelola risiko.
Pada metodologi risk-based audit, perusahaan bukan hanya sekadar punya pemahaman yang
menyeluruh mengenai risiko, melainkan juga mengontrol pengelolaannya dan memastikan
bahwa kontrol berjalan secara efektif. Jika dulunya internal audit sekedar post the facts atau
mengungkap fakta atau temuan kesalahan, maka dengan risk-based audit kini bisa melakukan
anticipation before the facts, antisipasi sebelum kesalahan benar-benar terjadi. Untuk melakukan
risk-based audit ini, fungsi risiko dari suatu organisasi harus bekerjasama dengan fungsi internal
audit supaya risiko bisa terus menerus dimonitor dan dikelola secara proaktif sebelum benar-
Setelah audit dilakukan, kemudian diskusikan temuan-temuan yang diperoleh serta buat laporan
audit. Jika ada temuan baru, maka diskusikan dengan manajer untuk meng-update daftar risiko
dan audit (risk & audit universe). Ambil kesimpulan mengenai hasil audit berbasis risiko
tersebut, yakni opini mengenai apakah risiko dalam batasan yang ditentukan, dan sudah dikelola
dengan memadai, untuk memastikan bahwa tujuan organisasi dapat dicapai dengan baik.
Dengan melakukan audit berbasis risiko, maka organisasi dapat memastikan bahwa kontrol
internal yang dilakukannya berjalan dengan baik. Pengelolaan risiko yang terjamin menjadikan
organisasi menghindari risiko yang berlebihan, sehingga tujuan organisasi bisa tercapai. Jika
setiap perusahaan melakukan audit berbasis risiko ini, tentunya kita harapkan krisis finansial
tidak akan terulang kembali di kemudian hari.