Risk Based Audit (RBA) adalah sebuah metode audit internal untuk menyakinkan kecukupan
bahwa risiko pada sebuah perusahaan dikelola sesuai dengan batasan risiko (risk appetite) yang
ditetapkan perusahaan. Hal tersebut bertujuan meyakinkan kegiatan manajemen risiko yang telah
disepakati oleh manajemen perusahaan telah berjalan secara efektif dan efisien. RBA tidak hanya
memusatkan perhatian pada catatan akuntansi dan penyiapan laporan keuangan, namun juga memusatkan
perhatian pada proses akuntansi, pemilihan dan pencatatan data, pengidentifikasian indikator risiko
kegagalan. Dalam Audit berbasis risiko, risiko-risiko yang tinggi diaudit, sehingga kemudian manajemen
bisa mengetahui area baru mana yang berisiko dan area mana yang kontrolnya harus diperbaiki.
Pendekatan audit berbasis risiko bukan berarti menggantikan pendekatan audit konvensional yang
dijalankan oleh lembaga audit intern yang sudah berjalan selama ini. Pendekatan ini hanya membawa
suatu metodologi audit yang dapat dijalankan oleh auditor intern dalam pelaksanaanpenugasan auditnya
melalui pendekatan dan pemahaman atas risiko yang harus diantisipasi, dihadapi, atau dialihkan oleh
manajemen guna mencapai tujuan.
Perbedaan pendekatan audit berpeduli risiko dengan pendekatan audit konvensional adalah pada
metodologi yang digunakan dimana auditor mengurangi perhatian pada pengujian transaksi individual
dan lebih berfokus pada pengujian atas sistem dan proses bagaimana manajemen mengatasi hambatan
pencapaian tujuan, serta berusaha untuk membantu manajemen mengatasi (mengalihkan) hambatan yang
dikarenakan faktor risiko dalam pengambilan keputusan.
Saat ini unit internal auditing telah melakukan reorientasi dalam melakukan audit antara lain
dengan menerapkan pendekatan risk basesd auditing. Tiga aspek dalam risk based audit, yaitu
penggunaan faktor risiko (risk factor) dalam perencanaan audit, identifikasi independent risk &
assessment dan partisipasi dalam inisiatif risk management & processes.
Ruang lingkup dari risk based audit termasuk dilakukannya identifikasi atas inherent business
risks dan control risk yang potensial. Satuan Pengawasan Intern (SPI) dapat melakukan review secara
periodik tiap tahun atas risk based internal Auditing dikaitkan dengan perencanaan audit.
Tunggal (2007) menyebutkan tujuan umum metode risk based audit adalah mengurangi risiko,
mengantisipasi risiko potensial yang dapat merugikan operasional perusahaan dan melindungi perusahaan
dari kejadian yang tak terduga yang diantisipasi sebelum kejadian tersebut benar-benar terjadi.
Mengapa harus memakai pendekatan berbasis risiko? Karena auditor sekarang dituntut tidak
hanya memberikan keyakinan memadai terkait kewajaran laporan keuangan, tetapi juga memberikan
penilaian terhadap keberlanjutan (going concern) perusahaan untuk paling tidak setahun kedepan.
Pendekatan lama auditor yang hanya berbasis transaksi ataupun siklus saat ini dipandang tidak cukup
untuk memberikan tingkat keyakinan memadai terhadap kewajaran laporang keuangan.
Sebagai contoh, ketika persaingan semakin ketat dan situasi ekonomi sedang krisis, disisi lain
manajemen dituntut untuk terus meningkatkan performa maka dorongan untuk terjadinya kecurangan
keuangan menjadi sangat besar. Sehingga resiko yang harus ditanggung auditor untuk terjadinya salah
memberikan opini juga meningkat. Sehingga auditor perlu melakukan modifikasi-modifikasi terkait
strategi audit maupun prosedur-prosedur yang dijalankan sehingga bisa meminimalisir terjadinya salah
pemberian opini tersebut.
Tujuan RBA adalah untuk memberikan jaminan yang independent kepada direksi bahwa;
1. Proses manajemen risiko yang ditetapkan oleh manajemen dalam organsiasi ( mencakup proses
manajemen risiko perusahaan, divisi, unit bisnis proses bisnis, tingkatan dasb) beroperasi seperti
yang dimaksudkan
2. Proses manajemen risiko ini dirancang secara tepat
3. Tindakan yang diberikan oleh manajemen terhadap risiko yang mereka ingin perlakukan cukup
dan efektif dalam mengurangi risiko-risiko pada tingkat yang diterima oleh dewan direksi
4. Kerangka pengendalian yang memadai ditetapkan secara cukup untuk mengurangi risiko yang
akan diperlakukan oleh manajemen.
Audit berbasis risiko mempunyai manfaat yang banyak bagi organisasi, antara lain adalah sebagai
berikut:
1. menjadi sistem check dan balance terhadap kontrol organisasi
2. meningkatkan kemampuan dalam mengidentifikasi kesalahan dalam laporan keuangan
3. meningkatkan kemampuan dalam mengidentifikasi dan mengukur risiko
4. meningkatkan kemampuan dalam mengidentifikasi adanya fraud atau masalah lainnya
5. mengungkap temuan mengenai kelemahan yang dimiliki manajemen
Penerapan Audit Internal Berbasis Resiko (Risk Based Audit) ialah salah satu contoh peran
auditor internal sebagai katalisator. Sebagai katalisator audit internal terlibat aktif dalam penilaian risiko
yang terdapat dalam proses bisnis perusahaan. Oleh karena itu diperlukan sikap proaktif dari pihak
auditor internal dalam mengenali risiko-risiko yang mungkin akan dihadapi perusahaan, dalam hal ini
perusahaan perlu memastikan bahwa manajemen risiko berjalan dengan efektif. Pada penerapan audit
internal berbasis resiko, auditor bertugas bukan hanya untuk membuat temuan-temuan audit saja
melainkan untuk mencari kemungkinan resiko-resiko yang akan terjadi pada perusahaan kedepannya serta
bertugas untuk mencari solusi dari tiap-tiap resiko yang akan terjadi.
Hal yang wajib dilakukan oleh Internal Auditor pada Audit Internal Berbasis Resiko, yakni:
1. Memastikan / meyakinkan atas proses pengelolaan resiko
2. Meyakinkan bahwa resiko telah dievaluasi secara benar
3. Melakukan evaluasi proses manajemen resiko
4. Melakukan evaluasi laporan resiko utama
5. Melakukan review pengelolaan resiko utama
Peranan internal auditor dalam praktik audit berbasis risiko antara lain:
Mulai dari memfokuskan pekerjaan audit pada risiko signifikan korporasi, yang telah
diidentifikasi oleh fungsi manajemen risiko korporasi dan melakukan audit atas proses
manajemen risiko lintas organisasi guna memastikan pengelolaan risiko yang telah teridentifikasi
Untuk berperan aktif sebagai konsultan internal yang melakukan training dan edukasi bagi staf
lini dalam memastikan efektivitas pengendalian internal
Untuk memberikan dukungan dan partisipasi aktif dalam proses pengendalian internal perusahaan
Untuk melalukan koordinasi pelaporan audit berbasis risiko kepada Direksi dan Dewan
Komisaris, dan Komite Audit
Pendekatan dan metodologi audit berbasis risiko diilustrasikan dalam 3 tahapan besar yaitu:
1. ASESMEN RISIKO
Tahapan yang digunakan untuk menentukan frekuensi, intensitas, dan waktu audit dengan cara
mengidentifikasi, mengukur, dan menentukan prioritas risiko agar keterbatasan sumber daya yang kita
miliki dapat diarahkan ke area dengan bobot risiko tinggi. Tahap ini dapat ditiadakan bilamana profil
risiko yang dihasilkan oleh unit Manajemen Risiko Korporasi sudah tersedia dan dapat diyakini
keandalannya
Pada tahap ini, internal auditor juga perlu menetapkan kriteria auditable units antara lain:
- Unit tersebut memberikan kontribusi yang berdampak cukup besar pada tujuan perusahaan
- Justifikasi biaya pengendalian atas unit yang memiliki potensi kerugian yang lebih besar daripada biaya
yang dikeluarkan untuk pengendalian termasuk biaya audit.
Berdasarkan hasil asesmen risiko, masing-masing auditable units ditetapkan nilai akhirnya
menggunakan faktor risiko seperti:
- Audit Assurance; Melihat relevansi hasil kajian audit periode sebelumnya atas area yang memiliki risiko
dengan rating tinggi
- Materialistis; Mengkaji area yang memiliki dampak risiko tinggi dengan menggunakan parameter
keuangan maupun non keuangan
- Residual Risk; Nilai risiko yang telah memperhitungkan faktor positif yang dimiliki perusahaan seperti
pengendalian internal
- Audit Judgement; Pertimbangan auditor atas perubahan sistem dan prosedur, restrukturisasi organisasi
yang mempunyai dampak kepada area tertentu
- Mengkaji keselarasan sasaran unit operasional, direktorat, dan individu dengan tujuan perusahaan;
Auditor Internal harus memastikan bahwa tujuan bisnis sudah diterapkan secara efektif dan telah
dikomunikasikan ke seluruh tingkatan dalam organisasi.
- Mengevaluasi efektivitas ketersediaan, kuantifikasi, dan penerapan selera dan batasan risiko (corporate
risk appetite and risk tolerance) berdasarkan kebijakan dan prosedur di dalam perusahaan; Auditor
Internal harus dapat memberikan keyakinan bahwa manajemen bekerja dalam parameter risiko yang
telah ditetapkan.
- Mendeteksi analisis kesenjangan praktik manajemen risiko dan prosedurnya berdasarkan kerangka kerja
yang telah ditetapkan; Auditor Internal harus melakukan evaluasi terhadap proses implementasi
kerangka kerja penerapan manajemen risiko yang telah didokumentasikan dan diyakini dapat
memfasilitasi perubahan dinamis perusahaan.
- Menguji efektivitas dan perlindungan terhadap informasi dan akses terhadap pengendalian; Auditor
Internal harus memahami rancangan pengendalian dan ketepatannya berhubungan dengan bagaimana
suatu tindakan pengendalian tersebut dilakukan secara konsisten sesuai dengan arah dan kebijakan
perusahaan.
- Menyediakan jaminan independen dan berfungsi sebagai konsultan internal dalam rangka memastikan
pencapaian tujuan perusahaan; Auditor Internal harus memberikan jaminan yang obyektif kepada Direksi
bahwa risiko bisnis telah dikelola secara tepat dan pengendalian internal telah berjalan secara efektif