Audit Berbasis Resiko sesuai dengan International Standards on Auditing !

Audit Berbasis Resiko atau Risk Based Audit (RBA) merupakan pendekatan audit yang
berkembang pesat sejak tahun 2000an. Pendekatan ini saat ini mendapatkan perhatian yang luas
dan dianggap sebagai pendekatan yang paling efektif karena terbukti paling cocok diterapkan
untuk kondisi lingkungan bisnis yang selalu berubah-ubah seperti sekarang ini. Indonesia telah
meratifikasi ketentuan untuk menerapkan International Standards on Auditing (ISA) mulai awal
tahun 2013. ISA sepenuhnya mengadopsi pendekatan Audit Berbasis Resiko, sehingga saat ini
penerapan Audit Berbasis Resiko bagi auditor di Indonesia menjadi hal wajib (mandatory)

Mengapa memakai pendekatan berbasis resiko?

Saya selalu mencontohkan Nokia dan Blackberry. Apa yang salah dari dua perusahaan tersebut?
Apakah mereka penjualaanya kecil? Apakah tata kelola mereka tidak baik? Apakah mereka
memiliki SDM yang tidak berkualitas? Jawaban terhadap semua pertanyaan tersebut tentu saja
adalah TIDAK. Tetapi mengapa mereka BANGKRUT. Karena mereka terlambat merespon para
pesaing dan perkembangan lingkungan, dan ini terjadi sangat cepat. Pada tahun 2008 nilai pasar
Blackberry adalah 84 Milyar dollar dan tahun 2013 atau lima tahun kemudian tinggal 4 Milyar
dollar. Apabila anda menjadi auditor bagi Nokia dan Blackberry, opini apa yang akan anda
berikan?

Artinya auditor sekarang dituntut tidak hanya memberikan keyakinan memadai terkait kewajaran
laporan keuangan, tetapi juga memberikan penilaian terhadap keberlanjutan (going concern)
perusahaan untuk paling tidak setahun kedepan. Pendekatan lama auditor yang hanya berbasis
transaksi ataupun siklus saat ini dipandang tidak cukup untuk memberikan tingkat keyakinan
memadai terhadap kewajaran laporang keuangan.

Sebagai contoh, ketika persaingan semakin ketat dan situasi ekonomi sedang krisis, disisi lain
manajemen dituntut untuk terus meningkatkan performa maka dorongan untuk terjadinya
kecurangan keuangan menjadi sangat besar. Sehingga resiko yang harus ditanggung auditor
untuk terjadinya salah memberikan opini juga meningkat. Sehingga auditor perlu melakukan
modifikasi-modifikasi terkait strategi audit maupun prosedur-prosedur yang dijalankan sehingga
bisa meminimalisir terjadinya salah pemberian opini tersebut.

Apa itu audit berbasis resiko?

Audit berbasis resiko lebih berupa perubahan pola pandang dari pada sebuah teknik. Memakai
kacamata audit berbasis resiko auditor harus menilai kemampuan manajemen dalam mengukur
resiko, merespon resiko dan melaporkan resiko. Apabila manajemen memiliki kemampuan yang
cukup dalam mengukur, merespon dan melaporkan resiko dalam suatu area atau proses, maka
resiko bawaan bisa diturunkan. Artinya auditor tidak harus meningkatkan tingkat ketelitian,
menambah prosedur atau menambahkan waktu analisa. Sebaliknya kalau manajemen resiko
klien buruk, maka auditor harus meningkatkan keteliatian, menambah prosedur dan
menambahkan waktu analisa. Sehingga bobot atau score resiko di masing-masing area atau
proses tersebut bisa dijadikan sebagai salah satu dasar untuk penentuan prioritas audit oleh
auditor.

Penentuan prioritas berdasarkan analisa resiko ini dianggap paling tepat dalam upaya
mengalokasikan waktu dan staff auditor yang terbatas. Audit menggunakan sampling, dan
selama ini metodologi audit mengatur bagaimana pengambilan sampling yang paling efektif dan
efisien. Efektif dalam arti sample yang diambil tersebut haruslah mampu mewakili populasi yang
akan diperiksa.
Audit Berbasis Risiko (Risk Based Audit)

2.4.1 Pengertian Audit Berbasis Risiko

(Tujuan sub-bab ini adalah memahami apa yang dimaksud audit berbasis risiko)

Audit Berbasis Risiko (Risk Based Audit) adalah metodologi pemeriksaan yang dipergunakan
untuk memberikan jaminan bahwa risiko telah dikelola di dalam batasan risiko yang telah
ditetapkan manajemen pada tingkatan korporasi.

Pendekatan audit ini berfokus dalam mengevaluasi risiko-risiko baik strategis, finansial,
operasional, regulasi dan lainnya yang dihadapi oleh organisasi. Dalam Audit berbasis risiko,
risiko-risiko yang tinggi diaudit, sehingga kemudian manajemen bisa mengetahui area baru mana
yang berisiko dan area mana yang kontrolnya harus diperbaiki.

Risk-Based Audit memastikan bahwa seluruh tanggung jawab manajemen telah dilakukan secara
efektif. Tanggung jawab manajemen yang utama termasuk memastikan internal control telah
memadai dan manajemen risiko telah dilakukan dengan tepat, diikuti oleh berbagai fungsi dan
unit kerja di perusahaan. Peran Risk-Based Audit dalam peningkatan Internal Control dan Proses
Manajemen Risiko sangat menyeluruh dan strategis. Oleh karena itu apabila Risk Based
Auditdiimplementasikan dengan konsisten, maka efektivitas Internal Control dan Proses
Manajemen Risiko perusahaan akan meningkat.

Pendekatan audit berpeduli risiko bukan berarti menggantikan pendekatan audit konvensional
yang dijalankan oleh lembaga audit intern yang sudah berjalan selama ini. Pendekatan ini hanya
membawa suatu metodologi audit yang dapat dijalankan oleh auditor intern dalam
pelaksanaanpenugasan auditnya melalui pendekatan dan pemahaman atas risiko yang harus
diantisipasi, dihadapi, atau dialihkan oleh manajemen guna mencapai tujuan.

Perbedaan pendekatan audit berpeduli risiko dengan pendekatan audit konvensional adalah pada
metodologi yang digunakan dimana auditor mengurangi perhatian pada pengujian transaksi
individual dan lebih berfokus pada pengujian atas sistem dan proses bagaimana manajemen
mengatasi hambatan pencapaian tujuan, serta berusaha untuk membantu manajemen mengatasi
(mengalihkan) hambatan yang dikarenakan faktor risiko dalam pengambilan keputusan.
1.4.2 Tujuan Audit Berbasis Risiko

(Tujuan sub-bab ini adalah mengetahui tujuan pelaksanaan audit berbasis risiko)

Tujuannya audit berbasis risiko adalah memberikan keyakinan kepada Komite Audit, Dewan
Komisaris dan Direksi bahwa:
1. Perusahaan telah memiliki proses manajemen risiko, dan proses tersebut telah dirancang
dengan baik.

2. Proses manajemen risiko telah diintegrasikan oleh manajemen ke dalam semua tingkatan
organisasi mulai tingkat korporasi, divisi sampai unit kerja terkecil dan telah berfungsi dengan
baik.

3. Kerangka kerja internal dan tata kelola yang baik telah tersedia secara cukup dan berfungsi
dengan baik guna mengendalikan risiko.

1.4.3 Manfaat Audit Berbasis Risiko

(Tujuan sub-bab ini adalah mengetahui manfaat dari pelaksanaan audit berbasis risiko)

Audit berbasis risiko mempunyai manfaat yang banyak bagi organisasi, antara lain adalah
sebagai berikut:

1. menjadi sistem check dan balance terhadap kontrol organisasi

2. meningkatkan kemampuan dalam mengidentifikasi kesalahan dalam laporan keuangan

3. meningkatkan kemampuan dalam mengidentifikasi dan mengukur risiko

4. meningkatkan kemampuan dalam mengidentifikasi adanya fraud atau masalah lainnya

5. mengungkap temuan mengenai kelemahan yang dimiliki manajemen

1.4.4 Ruang Lingkup Audit Berbasis Risiko

(Tujuan sub-bab ini adalah mengetahui batasan-batasan audit berbasis risiko)

1. Penilaian atas identifikasi risiko yang dilakukan oleh manajemen

termasuk risiko bisnis yang dapat menghalangi pencapaian tujuan perusahaan.

2. Mengetahui kadar dan dampak risiko yang menimpa perusahaan.

3. Mempercepat eskalasi risiko tinggi kepada manajemen puncak.

4. Kemampuan melakukan pemeriksaan manajemen risiko yang akan ditularkan kepada

seluruh anggota auditor maupun auditee.

1.4.5 Peran Audit Berbasis Risiko

(Tujuan sub-bab ini adalah mengetahui peran audit berbasis risiko)

1. Dengan analisis risiko yang berkesinambungan, Internal Audit akan memiliki Early
Warning Signals, sehingga penanganan risiko dapat dilakukan lebih proaktif dan dini.
2. Mengomunikasikan visi, misi, strategi kebijakan direksi dan mekanisme pelaporan yang
berkaitan dengan manajemen risiko perusahaan ke seluruh jajaran perusahaan.

3. Mengidentifikasi KPI (Key Performance Index) dan CSA ( Control Self-Assessment)

yang berkaitan dengan risiko.

4. Mengikutsertakan stakeholders utama dan komunitas investasi dalam kegiatan dan

perkembangan manajemen risiko perusahaan.

Agar ABR dapat berhasil dengan baik diperlukan kerjasama antara auditor intern dengan
manajemen dalam melakukan penilaian kelemahan pengendalian diri sendiri (control self
assessment). Control self assessment merupakan proses dimana manajemen melakukan self
assessment terhadap pengendalian atas aktivitas pada unit operasional masing-masing dengan
bimbingan auditor intern.

Dalam hal ini, manajemen melakukan identifikasi risiko kegiatan serta mengevaluasi apakah
telah ada pengendalian yang dapat mengurangi risiko tersebut serta mengembangkan rencana
kerja (action plan) untuk meningkatkan pengendalian yang ada. Manfaat utama dari control self
assessment oleh manajemen adalah adanya kesadaran bahwa tanggung jawab untuk menilai
risiko dan mengendalikan aktivitas suatu organisasi berada di tangan manajemen sendiri
sehingga dapat meningkatkan kepedulian terhadap pengendalian intern.

Pendekatan ABR memerlukan keterlibatan auditor intern dalam melakukan penaksiran risiko
(risk assessment). Risk assessment menyoroti peran auditor intern dalam mengidentifikasi dan
menganalisis risiko-risiko yang dihadapi entitas. Oleh karena itu diperlukan sikap proaktif dari
auditor intern dalam mengenali risiko yang dihadapi manajemen dalam mencapai tujuan
organisasinya. Auditor intern dapat menjadi mitra manajemen dalam meminimalkan risiko
kerugian (loss) serta memaksimalkan peluang (opportunity) yang dimiliki entitas. Penentuan
tujuan dan ruang lingkup audit serta alokasi sumber daya auditor intern sepenuhnya didasarkan
pada prioritas tingkat risiko yang dihadapi organisasi.

Sejalan dengan evolusi peran auditor intern dan perubahan paradigma dari pihak manajemen,
maka pandangan terhadap risiko juga berubah, yaitu:

1. Bila sebelumnya hanya auditor yang tertarik dengan masalah pengelolaan risiko audit,
pada paradigma baru, pihak-pihak yang terkait dengan manajemen organisasi mulai tertarik
dengan manajemen risiko;

2. Pendekatan dalam menangani risiko yang tadinya dilakukan secara terpisah-pisah

(fragmentasi) dan tidak mengenal kebijakan risiko (risk policy), saat ini pengelolaan risiko telah
terfokus, terkoordinasi dan telah ditetapkan kebijakan dalam penanganannya;

3. kegiatan auditor yang tadinya berupa: inspeksi, deteksi dan reaksi terhadap risiko, pada
saat ini lebih mengarah pada: antisipasi, pencegahan dan monitoring risiko;
4. pendekatan lama menganggap bahwa sumber risiko adalah orang-orang di dalam dan di
luar organisasi, saat ini yang dianggap sebagai sumber risiko adalah proses.

2.4.6 Aspek yang Harus Diperhatikan

(Tujuan sub-bab ini adalah mengetahui aspek yang harus dipraktekkan sebelum melakukan audit
berbasis risiko)

Adapun Aspek-aspek yang perlu diperhatikan auditor dalam melakukan pendekatan audit
berbasis risiko:

1. Dalam menerapkan ABR, auditor perlu mengidentifikasi wilayah/area yang memiliki risiko
yang menghambat pencapaian tujuan manajemen. Misalnya dalam audit keuangan, risiko salah
saji yang besar/tinggi pada penyajian laporan keuangan. Wilayah/area yang memiliki tingkat
risiko yang tinggi tersebut akan memerlukan pengujian yang lebih mendalam.

2. Auditor dapat mengalokasikan sumber daya auditnya berdasarkan hasil identifikasi atas
kemungkinan dan dampak terjadinya risiko. Wilayah berisiko rendah menjadi prioritas akhir
alokasi sumber daya audit.

Oleh karena itu, dalam ABR, auditor harus melakukan analisis dan penaksiran risiko yang
dihadapi auditi. Dalam melakukan analisis dan penaksiran risiko (risk assessment), auditor perlu
memerhatikan hal-hal sebagai berikut.

1. Risiko kegiatan dari auditi (the auditee business risk), yaitu risiko terjadinya suatu kejadian
yang dapat memengaruhi pencapaian tujuan dan sasaran manajemen. Risiko yang dimaksud
bukan hanya risiko atas salah saji laporan keuangan namun juga risiko tidak
tercapainya sasaran/tujuan yang telah ditetapkan.

2. Cara manajemen mengurangi atau meminimalisasi risiko.

3. Wilayah/area yang mengandung risiko dan belum diidentifikasi oleh manajemen secara
memadai atau bahkan tidak diketahui sama sekali oleh manajemen.

2.4.7 Metodologi Audit Berbasis Risiko

(Tujuan sub-bab ini adalah mengetahui cara melakukan audit berbasis risiko dan diharapkan para
pembaca dapat melakukan audit berbasis risiko)

Pendekatan dan metodologi audit berbasis risiko diilustrasikan dalam 3 tahapan besar yaitu:

2.4.7.1 Asesmen Risiko

Tahapan yang digunakan untuk menentukan frekuensi, intensitas, dan waktu audit dengan cara
mengidentifikasi, mengukur, dan menentukan prioritas risiko agar keterbatasan sumber daya
yang kita miliki dapat diarahkan ke area dengan bobot risiko tinggi. Tahap ini dapat ditiadakan
bilamana profil risiko yang dihasilkan oleh unit Manajemen Risiko Korporasi sudah tersedia dan
dapat diyakini keandalannya

Pada tahap ini, internal auditor juga perlu menetapkan kriteria auditable units antara lain:

1. Unit tersebut memberikan kontribusi yang berdampak cukup besar pada tujuan perusahaan

2. Justifikasi biaya pengendalian atas unit yang memiliki potensi kerugian yang lebih besar
daripada biaya yang dikeluarkan untuk pengendalian termasuk biaya audit.

2.4.7.2 Penyusunan Program Audit Internal

Berdasarkan hasil asesmen risiko, masing-masing auditable units ditetapkan nilai akhirnya
menggunakan faktor risiko seperti:

1. Audit Assurance; Melihat relevansi hasil kajian audit periode sebelumnya atas area yang
memiliki risiko dengan rating tinggi

2. Materialistis; Mengkaji area yang memiliki dampak risiko tinggi dengan menggunakan
parameter keuangan maupun non keuangan

3. Residual Risk; Nilai risiko yang telah memperhitungkan faktor positif yang dimiliki
perusahaan seperti pengendalian internal

4. Audit Judgement; Pertimbangan auditor atas perubahan sistem dan prosedur, restrukturisasi
organisasi yang mempunyai dampak kepada area tertentu

2.4.7.3 Pelaksanaan Program Audit Internal

1. Mengkaji keselarasan sasaran unit operasional, direktorat, dan individu dengan tujuan
perusahaan; Auditor Internal harus memastikan bahwa tujuan bisnis sudah diterapkan secara
efektif dan telah dikomunikasikan ke seluruh tingkatan dalam organisasi.

2. Mengevaluasi efektivitas ketersediaan, kuantifikasi, dan penerapan selera dan batasan risiko
(corporate risk appetite and risk tolerance) berdasarkan kebijakan dan prosedur di dalam
perusahaan; Auditor Internal harus dapat memberikan keyakinan bahwa manajemen bekerja
dalam parameter risiko yang telah ditetapkan.

3. Mendeteksi analisis kesenjangan praktik manajemen risiko dan prosedurnya berdasarkan

kerangka kerja yang telah ditetapkan; Auditor Internal harus melakukan evaluasi terhadap proses
implementasi kerangka kerja penerapan manajemen risiko yang telah didokumentasikan dan
diyakini dapat memfasilitasi perubahan dinamis perusahaan.

4. Menguji efektivitas dan perlindungan terhadap informasi dan akses terhadap

pengendalian; Auditor Internal harus memahami rancangan pengendalian dan ketepatannya
berhubungan dengan bagaimana suatu tindakan pengendalian tersebut dilakukan secara
konsisten sesuai dengan arah dan kebijakan perusahaan.

Menyediakan jaminan independen dan berfungsi sebagai konsultan internal dalam rangka
memastikan pencapaian tujuan perusahaan; Auditor Internal harus memberikan jaminan yang
obyektif kepada Direksi bahwa risiko bisnis telah dikelola secara tepat dan pengendalian
internal telah berjalan secara efektif

Contoh kasus:

1. Instansi : Direktorat Bina Sosial pada Departemen ABC

2. Tujuan (sesuai renstra) : Pelaksanaan program penyaluran dana bergulir kepada UKM dalam
rangka untuk membantu modal kerja, memberdayakan dan memberikan nilai tambah peran
usaha kecil menengah, untuk mendorong peningkatan pendapatan masyarakat

3. Risiko yang dikemukakan dan dianggap penting oleh manajemen pada aktivitas ini adalah
sebagai berikut:

a. Belum ada strategi penyaluran bantuan kepada UKM.

b. Pedoman Teknis yang ada belum dapat digunakan sebagai acuan oleh pelaksana di
lapangan tentang mekanisme penyaluran dan pola bergulir kepada UKM yang lain.

c. Adanya kelompok UKM yang ingin menguasai penyaluran karena mereka telah ditunjuk
sebagai wakil kelompok UKM.Mahalnya biaya penyaluran melalui mitra lembaga keuangan,
yang dalam penganggaran biaya tersebut belum ditetapkan.

d. Staf dan tenaga teknis yang ditugaskan meskipun telah mendapatka pelatihan namun belum
berpengalaman dalam pengelolaan dana bergulir.

Penyelesaian:

1. Langkah pertama adalah menyusun program audit internal. Berdasarkan risiko di atas, maka
maka pengendalian intern yang dapat dilakukan untuk menjamin agar program dapat mencapai
tujuannya dapat diuraikan sebagai berikut:

Menetapkan strategi penyaluran dan identifikasi kriteria UKM yang layak mendapatkan
dana bergulir
 Menyempurnakan pedoman teknis yang ada dengan pengaturan besarnya dana yang
dapat diterima oleh UKM dan persyaratan dapat digulirkan kepada UKM yang belum
memperoleh kesempatan

Penegasan adanya aturan bahwa hanya kelompok UKM yang memenuhi syarat yang
mendapatkan bantuan dan tidak disalurkan kepada wakil kelompok.

Mengupayakan negosiasi melalui program pendampingan untuk menekan biaya dan

usulan dana tambahan biaya pengelolaan yang belum tersedia.

Penetapan program transfer keahlian melalui program pendampingan dengan pihak mitra
lembaga keuangan untuk proses penyaluran dana kepada UKM.

2. Langkah kedua adalah melaksanakan melaksanakan pengendalian internal tersebut

Penyelesaian tersbut dapat disajikan dalam diagram sebagai berikut:

 IMPLEMENTASI AUDIT BERBASIS RISIKO DALAM AUDIT
PENGENDALIAN INTERNAL ATAS LAPORAN KEUANGAN DI PT.
TELEKOMUNIKASI INDONESIA, Tbk

PT. Telekomunikasi Indonesia, Tbk. Atau disingkat PT. TELKOM sebagai Badan Usaha
Milik Negara (BUMN) yang bergerak pada usaha jasa telekomunikasi dan merupakan
infrastruktur yang vital memiliki visi, misi dan tujuan yang akan dicapai. PT. Telkom sebagai
perusahaan yang sudah go public dituntut untk senantiasa memenuhi apa yang diharapkan oleh
para pemegang saham, termasuk pemerintah sebagai pemegang saham mayoritas.

Pemerintah disamping mengharapkan pembagian laba melalui deviden dari PT. Telkom
yang tumbuh dari waktu ke waktu, juga di dalam setiap pelaksanaan RUPS (Rapat Umum
Pemegang Saham) selalu menekankan pentingnya ketepatan waktu pelaksanaan RUPS. RUPS
dapat dilaksanakan tepat waktu kalau laporan keuangan PT. Telkom disajikan secara tepat
waqktu dan penyelesain audit oleh auditor Eksternal juga tepat waktu.

Sebagai salah satu perusahaan public yang terdatar di New York Stock Exchange (NYSE)
sejak tahun 1995, PT. Telkom harus mengikuti semua peraturan dan ketentuan Stock Exchange
committee (SEC) yaitu Otoritas yang menangani penanaman modal asing di USA. PT. Telkom
juga harus complay terhadap aturan atau ketentuan yang dicetuskan oleh Senator : Paul S.
Sarbanes dan Michael G. Oxley Act. Aturan atau ketentuan ini ditetapkan oleh Conggres USA
sebagai Undang-undang untuk memperbaiki kepercayaan investor dalam pasar keuangan/saham
yang lebih dikenal dengan SOA (Sarbanes Oxley Act) atau SOX.

Sejak tahun 2003, PT. Telkom telah mengimplementasikan SOA dengan menyediakan
Sertifikasi tahunan. Apa artinya bagi PT. Telkom? Manajemen PT. Telkom (termasuk anak
perusahaan) secara individu dan kolektif bertanggung jawab terhadap lingkungan pengendalian
internal perusahaan. Tanggung jawab untuk dokumentasi dan evaluasi Internal control akan
bergeser dari auditor eksternal ke manejemen. Adanya kelemahan internal control harus
diperbaiki, dan jika tidak maka perusahaan harus memeberi harus memberitahu kepada Komite
Audit atau Eksternal Auditor.

Selama lebih kurang tiga tahun PT. Telkom telah menyiapkan agar setiap proses yang
bermuara kepada penyusunan laporan keuangan harus complay terhadap aturan dan ketentuan
SOA, diantaranya menyesuaikan Bisnis Proses yang ada kedalam Bisnis Proses SOA yang
memasukan aspek resiko dan control pada setiap aktivitas.

Untuk memenuhi aturan dan ketentuan SOA tersebut, mulai tahun 2006 PT. TELKOM
dilakukan dua audit oleh Auditor Eksternal yaitu Audit Laporan Keuangan dan Audit
Pengendalian Internal Atas laporan Keuangan (Internal Control Over Financial Reportin =
ICOFR). Dalam kondisi ini, permasalahan ketepatan waktu menjadi sangat penting dan seluruh
jajaran PT. TELKOM harus concern dan mendukung agar audit-audit tersebut dapat diselesaikan
secara efektif dan efisien dalam arti tepat waktu dan opini hasil audit ICOFR : effective.

Disini peran Auditor Internal sangat diperlukan untuk melakukan review atas Laporan
Keuangan dan Internal Control secara periodic dan berkesinambungan. Peran manajemen dalam
mendukung review atas laporan keuangan dan internal control sangat diperlukan dengan
melakukan Risk Control Self Assesment (RCSA). Agar review yang dilakukan Auditor Internal
atas Laporan Keuangan dan internal control dapat berjalan efektif dan efisien dan mampu
mendukung pelaksanaan audit oleh Auditor Eksternal, maka auditor Internal harus
mengimplementasikan Risk Based Audit dalam setiap audit yang dilakukan.

Risk Based Audit PT Jamsostek (Persero)

Perubahan paradigma dari profesi internal audit menurut definisi internal auditing yang
dikeluarkan oleh International Internal Auditing (IIA) tahun 1999 dimana istilah kontrol sudah
beralih menjadi risiko. Fokus audit saat ini adalah risiko bisnis dari perusahaan bukan system
internal control, fokus pengujian adalah semua aktivitas risk manajemen, tidak lagi aktivitas
control, fokus dari pelaporan adalah kecukupan dan efektivitas dari strategy manajemen bukan
kecukupan dan efektivitas dari internal kontrol dan tujuan dari hasil audit adalah mencapai
pelaksanaan manajemen risiko yang sesuai bukan memperbaiki internal control. Dari perubahan
paradigma ini istilah risiko menjadi hal yang sangat krusial karena risiko adalah segala hal yang
menyebabkan tujuan dari perusahaan tidak tercapai sehingga internal audit seharusnya
melakukan analisa risiko untuk mengidentifikasikan segala risiko yang mungkin terjadi di masa
yang akan datang. Analisa risiko itu penting karena manajemen akan mengambil keputusan
setiap saat tentang apa yang akan dilakukan, berapa banvak waktu dan sumber dava yang
dibutuhkan dari suatu kegiatan dan hal - hal penting yang perlu dilaporkan sehingga internal
audit dapat memberikan nilai tambah bagi perusahaan.
Risk Based Audit adalah proses untuk mengidentifikasikan dan melakukan pengujian atas risiko
terutama yang berdampak material bagi perusahaan dan dilakukan bersama manajemen. Auditor
melakukan pengujian yang independen atas kontrol yang sudah tersedia dalam pelaksanaan audit
dan menghitung eksposure dari risiko melalui kesimpulan auditnya. Implementasi dari Risk
Based Audit (RBA) dalam siklus audit dimulai dari proses penyusunan perencanaan audit,
membuat audit program, pelaksanaan audit (field work) sampai dengan pelaporan. Tujuan RBA
secara umum dalam perencanaan audit adalah efektivitas alokasi sumber daya sedangkan tujuan
dalam audit program adalah pengujian terhadap efektivitas key control untuk mengurangi key
risk yang mengancam pencapaian tujuan. Tujuan dalam proses pelaksanaan audit (field work)
adalah mengembangkan temuan dalam perspektif manajemen risiko dan menyimpulkan hasil
pelaporan dalam konteks risiko yang menjadi tujuan proses pelaporan.

Pertanyaan: Bagaimana PT. Jamsostek (Persero) menerapkan RBH?

Dalam setiap bisnis pasti akan terjadi risiko yang harus ditanggung namun tentunya
risiko yang masih dapat ditoleransi. Risiko didefinisikan sebagai peluang terjadinya peristiwa /
hasil yang tidak diinginkan. Sedangkan terjadinya peristiwa yang menciptakan potensi adanya
hasil yang tidak diinginkan merupakan kejadian risiko, yang mempunyai konsekuensi balk
langsung atau tidak langsung terjadinya kerugian. Kerugian ini dapat berbentuk kerugian
financial atau non financial.
Bank merupakan institusi yang diberi izin oleh otoritas perbankan untuk melakukan
aktivitas yang berlandaskan prinsip kepercayaan. Bisnis bank yang terdiri dari penyimpanan
dana masyarakat, penyaluran kredit, treasury, transaksi pembayaran, dan lain-lain tidak terlepas
dari risiko. Risiko-risiko tersebut tidak dapat dihindari karena bank bukan bisnis risk avoider,
risiko tersebut harus dikelola dengan balk sehingga return yang diharapkan lebih besar dari
 risiko yang diterima. Risk management yang yang tepat dapat mengurangi risiko yang jika tidak
dikendalikan pada akhirnya akan merugikan stakeholder termasuk organisasi perbankan itu
sendiri. Organisasi perbankan harus memaksimalkan fungsi tersebut agar risiko yang akan
terjadi dapat diminimalkan.
Risk management merupakan tanggung jawab manajemen organisasi sebagai pemilik
risiko, fungsi internal audit dalam hal risk management adalah membantu organisasi untuk
mencapai tujuannya, dengan mengevaluasi dan meningkatkan efektifitas dari risk management
itu sendiri.
Risk management tidak dapat dijalankan dengan balk tanpa ada pihak yang melakukan
evaluasi atas pelaksanaan risk management itu sendiri.
Penilaian risk management pada pemeriksaan business area di Bank Anugerah Alam, seperti
evaluasi atas pengelolaan credit risk, dan operational risk yang meliputi strategic risk,
transaction risk, legal risk dan reputation risk dalam proses kredit, disertai dengan rekomendasi
kepada manajemen organisasi sebagai pemilik risiko. Sesuai dengan peran internal audit yakni to
evaluate and to improve risk management process.