Soal diskusi 5:

Salah satu metodologi yang digunakan untuk mengevaluasi 3E (efektivitas, efisiensi dan
ekonomisasi) di organisasi sektor pubik adalah dengan menggunakan audit berbasis risiko.
Apa yang anda ketahui tentang audit berbasis risiko? Jelaskan!

Menurut IIA (2014), Audit Internal Berbasis Risiko didefinisikan sebagai sebuah metodologi
yang menghubungkan antara audit internal dengan seluruh kerangka manajemen risiko, yang
memungkinkan proses audit internal mendapatkan keyakinan memadai bahwa manajemen risiko
organisasi telah dikelola dengan memadai sehubungan dengan risiko yang dapat diterima (risk
appetie)
Menurut Kurniawan (2012) terdapat tujuan dari pelaksanaan audit menggunakan metode
audit berbasis risiko, yaitu untuk memberikan jaminan yang independen bahwa beberapa hal-hal di
bawah ini telah tercapai.
1. Proses-proses manajemen risiko yang telah ditetapkan oleh manajemen telah berjalan
sebagaimana yang diharapkan oleh organisasi.
2. Manajemen risiko telah didesain dengan baik.
3. Berbagai respons atas risiko yang dibuat oleh manajemen adalah mencukupi dan efektif
untuk menekan risiko-risiko tersebut sampai ke tingkat yang diterima oleh organisasi.
4. Telah menetapkan kerangka kerja pengendalian yang baik agar dapat memitigasi risiko-
risiko yang mungkin muncul.
Pada level manajemen, dalam penerapan Audit Berbasis Risiko ini, manajemen memiliki tanggung
jawab untuk menjalankan kebijakan atas pengendalian-pengendalian yang telah ditetapkan untuk
mengurangi risiko-risiko yang telah teridentifikasi. Pelaksanaan Audit Berbasis Risiko menurut
Griffiths (2006) terbagi ke dalam 3 tahap :

a. Tahap 1 – Assesing risk maturity yakni memperoleh gambaran tentang sejuh mana manajemen
telah mengidentifikasi, menilai, mengelola, dan memonitoring risiko untuk membantu proses
perencanaan audit apa yang akan dilakukan. Terdapat 5 macam risk maturity antara lain :

1. Risk Naïve, kondisi dimana manajemen tidak menerapkan dan melaksanakan pengendalian
apapun atas risiko yang mungkin dihadapi.
2. Risk Aware,  kondisi dimana menajemen telah melaksanakan penilaian atau pengukuran atas
risiko.
3. Risk Defined,  kondisi dimana manajemen melaksanakan serta mengkomunikasikan
kebijakan-kebijakan untuk mengatasi risiko. Risk Appetite juga telah ditetapkan oleh
manajemen.
4. Risk Managed, kondisi dimana manajemen telah menerapkan manajemen risiko.
5. Risk Enabled, kondisi dimana manajemen risiko serta pengendalian internal yang telah
dilaksanakan oleh manajemen dan telah menjadi satu dengan kegiatan operasionalnya.

b. Tahap 2 – Periodic audit planning yakni memilah risiko-risiko yang perlu dilakukannya audit.
Mengutamakan fungsi-fungsi yang memiliki risiko diatas risk appetite.

c. Tahap 3 – Individual audit assignment . Tahap audit dilaksanakan di mana memastikan bahwa
risiko-risiko telah dikelola dengan baik.

1
Sumber : BMP EKSI4413, Audit Manajemen, Modul 6, Hal 6.38 – 6.40