RISK BASED AUDIT INTERNAL (AUDIT INTERNAL BERBASIS RISIKO)

Risk Based Audit (RBA) adalah sebuah metode audit internal untuk menyakinkan kecukupan
bahwa risiko pada sebuah perusahaan dikelola sesuai dengan batasan risiko (risk appetite) yang
ditetapkan perusahaan. Hal tersebut bertujuan meyakinkan kegiatan manajemen risiko yang telah
disepakati oleh manajemen perusahaan telah berjalan secara efektif dan efisien. RBA tidak hanya
memusatkan perhatian pada catatan akuntansi dan penyiapan laporan keuangan, namun juga memusatkan
perhatian pada proses akuntansi, pemilihan dan pencatatan data, pengidentifikasian indikator risiko
kegagalan. Dalam Audit berbasis risiko, risiko-risiko yang tinggi diaudit, sehingga kemudian manajemen
bisa mengetahui area baru mana yang berisiko dan area mana yang kontrolnya harus diperbaiki.
Pendekatan audit berbasis risiko bukan berarti menggantikan pendekatan audit konvensional yang
dijalankan oleh lembaga audit intern yang sudah berjalan selama ini. Pendekatan ini hanya membawa
suatu metodologi audit yang dapat dijalankan oleh auditor intern dalam pelaksanaanpenugasan auditnya
melalui pendekatan dan pemahaman atas risiko yang harus diantisipasi, dihadapi, atau dialihkan oleh
manajemen guna mencapai tujuan.
Perbedaan pendekatan audit berpeduli risiko dengan pendekatan audit konvensional adalah pada
metodologi yang digunakan dimana auditor mengurangi perhatian pada pengujian transaksi individual
dan lebih berfokus pada pengujian atas sistem dan proses bagaimana manajemen mengatasi hambatan
pencapaian tujuan, serta berusaha untuk membantu manajemen mengatasi (mengalihkan) hambatan yang
dikarenakan faktor risiko dalam pengambilan keputusan.

Saat ini unit internal auditing telah melakukan reorientasi dalam melakukan audit antara lain
dengan menerapkan pendekatan risk basesd auditing. Tiga aspek dalam risk based audit, yaitu
penggunaan faktor risiko (risk factor) dalam perencanaan audit, identifikasi independent risk &
assessment dan partisipasi dalam inisiatif risk management & processes.

Ruang lingkup dari risk based audit termasuk dilakukannya identifikasi atas inherent business
risks dan control risk yang potensial. Satuan Pengawasan Intern (SPI) dapat melakukan review secara
periodik tiap tahun atas risk based internal Auditing dikaitkan dengan perencanaan audit.

Tunggal (2007) menyebutkan tujuan umum metode risk based audit adalah mengurangi risiko,
mengantisipasi risiko potensial yang dapat merugikan operasional perusahaan dan melindungi perusahaan
dari kejadian yang tak terduga yang diantisipasi sebelum kejadian tersebut benar-benar terjadi.

1. Mengurangi risiko perusahaan (mitigate current risk)

Berdasarkan risk based audit yang dilakukan, maka dapat dideteksi transaksi, produk,
dan aktivitas perusahaan yang berisiko tinggi (high risk). Area yang berisiko tinggi tersebut
dapat diteliti dan dievaluasi penyebabnya sehingga manajemen dapat melakukan mitigasi
risiko tersebut.
2. Mengantisipasi area dengan risiko potensial (anticipate areas of potencial risk)
Risk based audit juga mengungkapkan area mana yang berpotensi mempunyai risiko
tinggi dan mungkin tidak disadari oleh auditee.
3. Melindungi perusahaan (protect company)
Kejadian yang menimbulkan kerugian bagi perusahaan dapat terjadi secara mendadak
dan perusahaan tidak siap menghadapi. Hal ini menimbulkan kerugian yang berpengaruh
besar pada perusahaan. Metode risk based audit memungkinkan perusahaan siap menghadapi
risiko dan mengantisipasi dari kemungkinan kerugian yang berdampak sangat besar bagi
perusahaan.
 Pendekatan RBA timbul karena adanya hal-hal berikut:
Ø Adanya permintaan dan tekanan untuk melakukan reformasi dalam pengelolaan perusahan
(good corporate governance)
Ø Adanya keinginan stakeholders agar perusahaan dikelola secara lebih efektif
Ø Adanya keinginan dari manajemen untuk memperoleh saran-saran perbaikan dalam kegiatan
operasinya

Mengapa harus memakai pendekatan berbasis risiko? Karena auditor sekarang dituntut tidak
hanya memberikan keyakinan memadai terkait kewajaran laporan keuangan, tetapi juga memberikan
penilaian terhadap keberlanjutan (going concern) perusahaan untuk paling tidak setahun kedepan.
Pendekatan lama auditor yang hanya berbasis transaksi ataupun siklus saat ini dipandang tidak cukup
untuk memberikan tingkat keyakinan memadai terhadap kewajaran laporang keuangan.

Sebagai contoh, ketika persaingan semakin ketat dan situasi ekonomi sedang krisis, disisi lain
manajemen dituntut untuk terus meningkatkan performa maka dorongan untuk terjadinya kecurangan
keuangan menjadi sangat besar. Sehingga resiko yang harus ditanggung auditor untuk terjadinya salah
memberikan opini juga meningkat. Sehingga auditor perlu melakukan modifikasi-modifikasi terkait
strategi audit maupun prosedur-prosedur yang dijalankan sehingga bisa meminimalisir terjadinya salah
pemberian opini tersebut.

Tujuan RBA adalah untuk memberikan jaminan yang independent kepada direksi bahwa;
1. Proses manajemen risiko yang ditetapkan oleh manajemen dalam organsiasi ( mencakup proses
manajemen risiko perusahaan, divisi, unit bisnis proses bisnis, tingkatan dasb) beroperasi seperti
yang dimaksudkan
2. Proses manajemen risiko ini dirancang secara tepat
3. Tindakan yang diberikan oleh manajemen terhadap risiko yang mereka ingin perlakukan cukup
dan efektif dalam mengurangi risiko-risiko pada tingkat yang diterima oleh dewan direksi
4. Kerangka pengendalian yang memadai ditetapkan secara cukup untuk mengurangi risiko yang
akan diperlakukan oleh manajemen.

Audit berbasis risiko mempunyai manfaat yang banyak bagi organisasi, antara lain adalah sebagai
berikut:
1. menjadi sistem check dan balance terhadap kontrol organisasi
2. meningkatkan kemampuan dalam mengidentifikasi kesalahan dalam laporan keuangan
3. meningkatkan kemampuan dalam mengidentifikasi dan mengukur risiko
4. meningkatkan kemampuan dalam mengidentifikasi adanya fraud atau masalah lainnya
5. mengungkap temuan mengenai kelemahan yang dimiliki manajemen

Penerapan Audit Internal Berbasis Resiko (Risk Based Audit) ialah salah satu contoh peran
auditor internal sebagai katalisator. Sebagai katalisator audit internal terlibat aktif dalam penilaian risiko
yang terdapat dalam proses bisnis perusahaan. Oleh karena itu diperlukan sikap proaktif dari pihak
auditor internal dalam mengenali risiko-risiko yang mungkin akan dihadapi perusahaan, dalam hal ini
perusahaan perlu memastikan bahwa manajemen risiko berjalan dengan efektif. Pada penerapan audit
internal berbasis resiko, auditor bertugas bukan hanya untuk membuat temuan-temuan audit saja
melainkan untuk mencari kemungkinan resiko-resiko yang akan terjadi pada perusahaan kedepannya serta
bertugas untuk mencari solusi dari tiap-tiap resiko yang akan terjadi.

Hal yang wajib dilakukan oleh Internal Auditor pada Audit Internal Berbasis Resiko, yakni:
1. Memastikan / meyakinkan atas proses pengelolaan resiko
2. Meyakinkan bahwa resiko telah dievaluasi secara benar
3. Melakukan evaluasi proses manajemen resiko
 4. Melakukan evaluasi laporan resiko utama
5. Melakukan review pengelolaan resiko utama
Manfaat dari RBA:
Fleksibilitas Waktu
Upaya tim audit terfokus pada area kunci
Prosedur audit terfokus pada risiko
Pemahaman atas pengendalian internal
Komunikasi tepat waktu
Karena prosedur penilaian risiko tidak menguji
transaksi dan saldo secara rinci prosedur itu dapat
dilaksanakan jauh sebelum akhir tahun dengan
asumsi tidak ada perubahan operasional yang besar,
ini dapat menyeimbangkan beban kerja audit secara
merata sepanjang tahun. Ini juga memberi waktu
yang cukup bagi klien untuk menanggapi temuan
mengenai kelemahan pengendalian intern dan
permintaan bantuan sebelum dimulainya pekerjaan
lapangan pada akhir tahun. Namun kalau informasi
keuangan interim (bulanan) tidak tersedia, prosedur
penilaian risiko anatikal terpaksa dilaksanakan
lebih lambat.
Dengan memahami dimana risiko salah saji
material bisa terjadi dalam laporan keuangan
auditor dapat mengarahkan tim audit ke hal-hal
berisiko tinggi (high-risk areas) dan mengurangi
pekerjaan pada lower-risk areas. Dengan demikian
sumber daya/staf audit dimanfaatkan sebaik-
baiknya.
Prosedur audit selanjutnya dirancang untuk
menanggapi risiko yang dinilai. Oleh karena itu, uji
rincian (test of details) yang hanya menanggapi
risiko secara umum, akan dapat dikurangi secara
signifikan atau sama sekali dihilangkan.
Pemahaman terhadap pengendalian intern (yang
diwajibkan ISA) memungkinkan auditor
mengambil keputusan yang tepat, untuk
menguji/tidak menguji efektifitasnya pengendalian
intern. Uji pengendalian (beberapa pengendalian
hanya perlu diuji setiap tiga tahun) sering
mengurangi banyak pekerjaan, dibandingkan
dengan pelaksanaan uji rincian secara ekstensif
(extensive test of details)
Pemahaman terhadap pengendalian intern yang
meningkatkan memungkinkan auditor
mengidentifikasi kelemahan dalam pengendalian
intern, yang sebelumnya tidak diketahui.
Mengomunikasikan kelemahan dalam
pengendalian intern kepada manajemen secara
tepat waktu memungkinkan entitas mengambil
tindakan yang tepat, dan yang menguntungkan
entitas. Hal ini juga dapat menghemat waktu
pelaksaaan audit.
 RBA adalah metode pemeriksaan atas topik yang dianggap penting oleh perusahaan. Fokus dari
RBA adalah menilai kecukupan atas kegiatan unit bisnis dalam mengidentifikasi dan me-review risiko
berikut mitigasi yang telah dilakukan dalam bentuk manajemen risiko dan kontrol internal.
Ada 2 hal utama yang harus dipahami oleh internal auditor:

 Aspek pengendalian dari setiap proses bisnis yang terkait

 Risiko dan faktor-faktor pengendalian guna mendukung pencapaian sasaran perusahaan

Peranan internal auditor dalam praktik audit berbasis risiko antara lain:

 Mulai dari memfokuskan pekerjaan audit pada risiko signifikan korporasi, yang telah
diidentifikasi oleh fungsi manajemen risiko korporasi dan melakukan audit atas proses
manajemen risiko lintas organisasi guna memastikan pengelolaan risiko yang telah teridentifikasi
 Untuk berperan aktif sebagai konsultan internal yang melakukan training dan edukasi bagi staf
lini dalam memastikan efektivitas pengendalian internal
 Untuk memberikan dukungan dan partisipasi aktif dalam proses pengendalian internal perusahaan
 Untuk melalukan koordinasi pelaporan audit berbasis risiko kepada Direksi dan Dewan
Komisaris, dan Komite Audit

Pendekatan dan metodologi audit berbasis risiko diilustrasikan dalam 3 tahapan besar yaitu:

1. ASESMEN RISIKO

Tahapan yang digunakan untuk menentukan frekuensi, intensitas, dan waktu audit dengan cara
mengidentifikasi, mengukur, dan menentukan prioritas risiko agar keterbatasan sumber daya yang kita
miliki dapat diarahkan ke area dengan bobot risiko tinggi. Tahap ini dapat ditiadakan bilamana profil
risiko yang dihasilkan oleh unit Manajemen Risiko Korporasi sudah tersedia dan dapat diyakini
keandalannya

Pada tahap ini, internal auditor juga perlu menetapkan kriteria auditable units antara lain:

- Unit tersebut memberikan kontribusi yang berdampak cukup besar pada tujuan perusahaan

- Justifikasi biaya pengendalian atas unit yang memiliki potensi kerugian yang lebih besar daripada biaya
yang dikeluarkan untuk pengendalian termasuk biaya audit.

2. PENYUSUNAN PROGRAM AUDIT INTERNAL

Berdasarkan hasil asesmen risiko, masing-masing auditable units ditetapkan nilai akhirnya
menggunakan faktor risiko seperti:

- Audit Assurance; Melihat relevansi hasil kajian audit periode sebelumnya atas area yang memiliki risiko
dengan rating tinggi

- Materialistis; Mengkaji area yang memiliki dampak risiko tinggi dengan menggunakan parameter
keuangan maupun non keuangan
- Residual Risk; Nilai risiko yang telah memperhitungkan faktor positif yang dimiliki perusahaan seperti
pengendalian internal

- Audit Judgement; Pertimbangan auditor atas perubahan sistem dan prosedur, restrukturisasi organisasi
yang mempunyai dampak kepada area tertentu

3. PELAKSANAAN PROGRAM AUDIT INTERNAL

- Mengkaji keselarasan sasaran unit operasional, direktorat, dan individu dengan tujuan perusahaan;
Auditor Internal harus memastikan bahwa tujuan bisnis sudah diterapkan secara efektif dan telah
dikomunikasikan ke seluruh tingkatan dalam organisasi.

- Mengevaluasi efektivitas ketersediaan, kuantifikasi, dan penerapan selera dan batasan risiko (corporate
risk appetite and risk tolerance) berdasarkan kebijakan dan prosedur di dalam perusahaan; Auditor
Internal harus dapat memberikan keyakinan bahwa manajemen bekerja dalam parameter risiko yang
telah ditetapkan.

- Mendeteksi analisis kesenjangan praktik manajemen risiko dan prosedurnya berdasarkan kerangka kerja
yang telah ditetapkan; Auditor Internal harus melakukan evaluasi terhadap proses implementasi
kerangka kerja penerapan manajemen risiko yang telah didokumentasikan dan diyakini dapat
memfasilitasi perubahan dinamis perusahaan.

- Menguji efektivitas dan perlindungan terhadap informasi dan akses terhadap pengendalian; Auditor
Internal harus memahami rancangan pengendalian dan ketepatannya berhubungan dengan bagaimana
suatu tindakan pengendalian tersebut dilakukan secara konsisten sesuai dengan arah dan kebijakan
perusahaan.

- Menyediakan jaminan independen dan berfungsi sebagai konsultan internal dalam rangka memastikan
pencapaian tujuan perusahaan; Auditor Internal harus memberikan jaminan yang obyektif kepada Direksi
bahwa risiko bisnis telah dikelola secara tepat dan pengendalian internal telah berjalan secara efektif