MENGENAL LEBIH JAUH AUDIT BERBASIS RISIKO

Fauziah Try Millinia

ABSTRAK
Aktifitas suatu perusahaan akan senantiasa berubah dan berkembang seiring dengan
perubahan di lingkungan internal dan eksternal perusahaan. Tuntutan perubahan dan
peningkatan kapabilitas perusahaan memunculkan risiko (risk) dan sekaligus bisa menjadi
peluang (opportunities) bagi perusahaan. Hal ini menuntut perusahaan untuk melakukan
manajemen risiko. Penting bagi organisasi untuk memastikan bahwa manajemen risiko
berjalan dengan efektif. Hal ini tidak terlepas dari peran seorang auditor, auditor internal
khususnya. Dengan adanya Audit berbasis risiko (RBA) sebuah metologi yang
menghubungkan audit internal dengan seluruh kerangka manajemen risiko yang
memungkinkan proses audit internal mendapatkan keyakinan memadai bahwa manajemen
risiko organisasi telah dikelola dengan memadai sehubungan dengan risiko yang dapat
diterima.
Kata Kunci : Manajemen Risiko, Audit Internal, Audit Berbasis Risiko
ABSTRACK
The activities of a company will change and develop along with changes in the
company's internal and external environment. The demands of change and improvement of
the company's capabilities raise risks (risks) and at the same time can become opportunities
(opportunities) for the company. This requires companies to carry out risk management. It is
important for organizations to ensure that risk management is effective. This is inseparable
from the role of an auditor, especially internal auditors. With the existence of risk-based
auditing (RBA) a methodology that links internal audit with the entire risk management
framework that allows the internal audit process to obtain reasonable assurance that the
organization's risk management has been adequately managed with respect to acceptable
risks.
Keywords: Risk Management, Internal Audit, Risk Based Audit
I. PENDAHULUAN harus dapat mengenali risiko yang
dapat menghambat pencapaian tujuan
Aktifitas suatu perusahaan unit. Pendekatan yang dilakukan saat
akan senantiasa berubah dan proses mengenali dan menilai risiko
berkembang seiring dengan perubahan pada sertiap unit/setiap level yaitu
di lingkungan internal dan eksternal dengan Risk Self Assesstment. Maka
perusahaan. Tuntutan perubahan dan dari itu dalam rangka meminimalisir
peningkatan kapabilitas perusahaan risiko-risiko yang dapat
memunculkan risiko (risk) dan mengakibatkan dampak buruk di masa
sekaligus bisa menjadi peluang depan (Widodo, 2018)
(opportunities) bagi perusahaan. Hal
ini menuntut perusahaan untuk Penting bagi organisasi untuk
melakukan manajemen risiko. memastikan bahwa manajemen risiko
Didalam pengelolaannya banyak yang berjalan dengan efektif. Hal ini tidak
beranggapan bahwa manajemen risiko terlepas dari peran seorang auditor,
adalah tanggung jawab pimpinan auditor internal khususnya.
tertinggi semata. COSO (Committee of Perkembangan peran Audit internal
Sponsoring Organizations of the dari waktu ke waktu mengalami
Treadway Commission) Framework perubahan dengan cepat seiring
memandang bahwa untuk setiap dengan perkembangan zaman. Telah
unit/setiap level di dalam perusahaan terjadi pergerseran paradigma yang
 pada awal audit internal berperan Pengungkapan risiko oleh
sebagai pengawas pada setiap kegiatan perusahaan sangat berguna bagi
operasional perusahaan, sekarang para stakeholder untuk pengambilan
audit internal dapat berperan juga keputusan dalam menanamkan
sebagai konsultan dan mitra kerja bagi saham. Pengungkapan risiko juga
manajemen. Maka dari itu merupakan salah satu cara perusahaan
digunakanlah Risk Based Audit (RBA) untuk berkomunikasi dengan para
atau audit berbasis risiko oleh stakeholdernya. Melalui
perusahaan. Audit Berbasis Risiko pengungkapan risiko, perusahaan
adalah audit yang difokuskan dan dapat memberikan informasi
diprioritaskan pada risiko bisnis dan khususnya informasi mengenai
prosesnya serta pengendalian terhadap risiko yang terjadi di perusahaan. Luas
risiko yang dapat terjadi. Dalam pengungkapan manajemen risiko
konsepnya, semakin tinggi risiko suatu menunjukkan kemampuan sebuah
area maka harus semakin tinggi pula perusahaan dalam mengelola
perhatian dalam audit area tersebut. manajemen risikonya dan
Dengan digunakan metodologi Audit membuktikan bahwa perusahaan
Berbasis Risiko oleh audit internal, berusaha untuk memuaskan
perusahaan bukan hanya sekadar kebutuhan akan informasi yang
punya pemahaman yang menyeluruh dibutuhkan oleh para stakeholder
mengenai risiko, melainkan juga (Kumalasari, Subowo dan
mengontrol pengelolaannya dan Anisykurlillah, 2014)
memastikan bahwa kontrol berjalan Risiko adalah sesuatu
secara efektif. Sehingga nantinya bisa peristiwa yang mungkin terjadi yang
menjadikan peluang bagi perusahaan. dapat membawa akibat yang tidak
Jika dulunya audit internal bertujuan diinginkan atas tujuan, strategi,
untuk mengungkap fakta atau temuan sasaran dan/atau target yang telah
kesalahan, maka dengan Audit ditetapkan. Menurut Menurut COSO
Berbasis Risiko kini bisa melakukan Enterprise Risk.
antisipasi sebelum kesalahan benar- Pentingnya membuat
benar terjadi. manajemen risiko 'diperhitungkan'
dalam keputusan strategis tingkat
Untuk melakukan Audit tinggi mungkin merupakan pelajaran
Berbasis Risiko ini, fungsi risiko dari yang paling disepakati para pelaku
suatu organisasi harus bekerjasama industri saat ini (Mikes 2009).
dengan fungsi audit internal supaya Tanggung jawab utama untuk
risiko bisa terus menerus dimonitor manajemen risiko tidak hanya terletak
dan dikelola secara proaktif sebelum pada direktur dan manajemen senior,
benar-benar terjadi dan melainkan juga auditor internal juga
membahayakan pencapaian tujuan dipandang sebagai kontributor utama
organisasi. Audit berbasis risiko sebagai konsultan dan penyedia
(RBA) adalah sebuah metologi yang jaminan pada proses dan sistem
menghubungkan audit internal dengan manajemen risiko (Stewart &
seluruh kerangka manajemen risiko Subramaniam 2010). Auditor internal
yang memungkinkan proses audit sebagai lini pertahanan ketiga
internal mendapatkan keyakinan bertanggung jawab untuk memantau
memadai bahwa manajemen risiko (mengaudit) para manajer untuk
organisasi telah dikelola dengan memastikan manajemen risiko dan
memadai sehubungan dengan risiko pengendalian internal yang tepat
yang dapat diterima. (Roussy & Rodrigue 2018).
Management, Integrated
II. TINJAUAN PUSTAKA Framework, COSO, 2004 : Enterprise
A. Manajemen Risiko
Risk Management adalah suatu proses berjalan sebagaimana
yang dipengaruhi oleh manajemen, mestinya, kesalahan dari
board of directors, dan personel lain manusia, atau kegagalan dari
dari suatu organisasi, diterapkan dalam sistem. Sumber risiko
setting strategi, dan mencakup operasional paling tinggi
organisasi secara keseluruhan, dapat bersumber dari kegiatan
didesain untuk mengidentifikasi operasional dan jasa-jasa,
kejadian potensial yang akuntansi, sistem teknologi
mempengaruhi suatu organisasi, dari informasi, sistem
mengelola risiko dlam batas toleransi informasi dari manajemen
suatu organisasi, untuk memberikan atau juga sistem pengelolaan
jaminan yang cukup pantas berkaitan dari sumber daya manusia.
dengan pencapaian tujuan organisasi.  Risiko eksternal merupakan
Manajemen risiko dapat Risiko yang muncul dari
diterapkan di setiap level di organisasi. faktor lingkungan eksternal,
Manajemen risiko dapat diterapkan di dimana lingkungan eksternal
level strategis dan level operasional. bisa memunculkan kondisi
Manajemen risiko juga dapat kondusif bagi bencana yang
diterapkan pada proyek yang spesifik, dapat menimbulkan kerugian.
untuk membantu proses pengambilan Kerugian adalah suatu
keputusan ataupun untuk pengelolaan penyimpangan yang tidak
daerah dengan risiko yang spesifik. diharapkan. Ada beberapa
Adapun manfaat manajemen risiko sumber penyebab kerugian
yang diberikan terhadap perusahaan dan juga risiko yang dapat
dapat dibagi dalam lima kategori diklasifikasikan sebagai
utama yaitu: sebuah risiko sosial, risiko
 Manajemen risiko fisik, dan juga risiko
dimungkinkan dapat ekonomi. Menentukan
memperkecil peluang sumber risiko merupakan hal
perusahaan dari kegagalan. yang sangat penting karena
 Manajemen risiko menunjang menentukan bagaimana cara
secara langsung dalam penanganannya.
perolehan laba.  Risiko Finansial bagi investor
 Manajemen risiko dapat adalah risiko akibat dari
memberikan laba secara tidak ketidakmampuan emiten
langsung. saham dan obligasi dalam
 Adanya ketenangan pikiran memenuhi kewajiban
bagi manajer yang pembayaran deviden dan
disebabkan karena adanya pokok pinjaman.
perlindungan terhadap risiko  Risiko strategik merupakan
murni, merupakan harta non risiko atas keadaan yang tidak
material bagi perusahaan itu. terduga. Hal ini dapat
mengurangi kemampuan
Dalam mengidentifikasi setiap manajer dalam
menganalisa dan mengevaluasi risiko mengimplementasikan
maka risiko yang akan dihadapi strateginya dengan signifikan.
perusahaan dapat di klasifikasikan
kedalam: Pembagian proses manajemen
 Risiko operasional risiko berdasar COSO dibagi ke atas 8
merupakan risiko yang tahap:
muncul dikarenakan sistem 1. Internal-environment
internal yang berlaku tidak (Lingkungan- internal)
 Tahapan ini berkaitan dengan 5. Event-identification
lingkungan dimana (Identifikasi-risiko) Pada
perusahaan berada dan tahap ini dilakukan
beroperasi. Cakupannya identifikasi kejadian yang
adalah kultur manajemen berpotensi terjadi di internal
terkait risiko, integritas, maupun eksternal perusahaan
perspektif terhadap risiko, yang dapat mempengaruhi
penerimaan terhadap risiko, strategi ataupun menghambat
nilai moral, struktur tercapainya tujuan organisasi.
organisasi, dan juga Terdapat 4 model pada
pendelegasian wewenang. pengidentifikasian suatu
2. Objective-setting (Penentuan- risiko, yaitu (1) Exposure-
tujuan) Manajemen harus analysis; (2) Environmental
membuat tujuan organisasi analysis; (3) Threat scenario;
agar dapat (4) Brainstorming questions.
mengidentifikasi,meng-akses, 6. Risk assessment (Penilaian
dan mengelola suatu risiko. risiko). Tahapan ini dapat
Objective dapat memberikan informasi
diklasifikasikan menjadi sampai seberapa besar akibat
suatu strategic-objective dan dari events (kejadian atau
activity-objective. Strategic keadaan) bisa mengganggu
objective di perusahaan pencapaian visi dan misi
terkait pencapaian dan kinerja perusahaan. Dampak suatu
dari suatu instansi dalam akibat bisa ketahui melalui
jangka menengah ataupun inherent dan juga residual
panjang, serta merupakan risk, serta dianalisis dalam
sebuah implementasi dari visi dua perspektif: likelihood
dan misi instansi tersebut. (kecenderungan atau peluang)
3. Activity objective bisa dibagi dan impact / consequence
menjadi 3 kategori, yaitu (1) (besaran akibat suatu risiko).
operations objectives (2) Besarnya risiko dalam setiap
reporting objective dan (3) kegiatan. Aktivitas Aktivitas
compliance objectives. yang harus dicermati adalah
Sumber daya manusia (SDM) events relationships yaitu
suatu organisasi harus hubungan antar kejadian.
dilibatkan serta mengerti Events secara individu
risiko yang akan dihadapi. kemungkinan memiliki risiko
Keterlibatan tersebut kecil. Namun, bila
berkaitan dengan anggapan digabungkan dapat menjadi
semua pejabat / pegawai signifikan. Karenanya, risiko
merupakan pemilik dari yang dapat mempengaruhi
risiko. Demikian pula, dalam business-units perlu untuk
penentuan tujuan suatu dikelompokkan ke dalam
organisasi, dapat ditentukan common-event- categories,
juga risk appetite and risk dan dinilai secara aggregate.
tolerance (variasi dari tujuan 7. Risk-response (penanganan
yang bisa diterima). risiko) Pada tahapan ini
4. Risk tolerance merupakan organisasi harus bisa
variasi dalam pencapaian menentukan sikap
tujuan perusahaan yang bisa berdasarkan hasil penilaian
diterima oleh manajemen. risiko. Risk-response dari
suatu organisasi terdiri dari:
 (1) avoidance, yaitu kegiatan
aktivitas yang berisiko atau
pelayanan yang ber-risiko
dihentikan; (2) reduction,
yaitu pengambilan langkah
untuk mengurangi peluang
munculnya atau dampak
risiko; (3) sharing, yaitu
mengalihkan atau
menanggung sebagian dengan
pihak lain; (4) acceptance,
yaitu menerima risiko yang
akan terjadi (umumnya risiko
kecil), dan tidak melakukan
upaya khusus lainnya. Dalam
memilih sikap, perlu untuk
dipertimbangkan faktor-
faktor dari pengaruh tiap
sikap terhadap risk likelihood
dan impact, sikap/response
optimal yang dapat bersinergi
dengan pemenuhan risk
appetite and tolerances, analis
cost versus benefits, dan juga
kemungkinan adanya
opportunities yang bisa
timbul dari setiap tindakan
risk response.
8. Control Activities (Aktifitas
Pengendalian). Agar Risk
response dapat dilaksanakan
secara tepat, diperlukan
komponen aktifitas
pengendalian dalam
penyusunan kebijakan-dan-
prosedur. Aktifitas
pengendalian memerlukan
suatu lingkungan-
pengendalian: (1) integritas
dan juga nilai etika; (2)
kompetensi; (3) kebijakan-
dan-juga-praktik-praktik
SDM; (4) budaya-organisasi;
(5) filosofi dan juga gaya
kepemimpinan manajemen;
(6) struktur organisasi; dan
(7) wewenang serta tanggung
jawab. Dengan memahami
arti dari lingkungan
pengendalian, maka dapat
ditetapkan jenis dan juga
aktifitas pengendalian.
Beberapa jenis pengendalian
adalah; preventive, detective,
corrective, dan directive.
Sedangkan aktifitas
pengendalian dapat berupa:
(1) pembuatan kebijakan dan
prosedur; (2) pengamanan
kekayaan organisasi; (3)
delegasi wewenang dan
pemisahan fungsi; dan (4)
supervisi atasan. Aktifitas
pengendalian sebaiknya
diintegrasi dengan
manajemen risiko sehingga
alokasi sumber-daya yang
dimiliki organisasi-bisa-
menjadi optimal.
B. AUDIT INTERNAL
The Association of Chartered
Certified Accountants (ACCA)
menerangkan Audit Internal adalah
peran yang menantang dan penting
yang membantu organisasi untuk
berhasil. Peran audit internal adalah
untuk memberikan jaminan dan
konsultasi independen. Auditor
internal perlu memahami risiko
keuangan tetapi juga harus memahami
aspek organisasi yang lebih luas untuk
mendukung peningkatan bisnis
Salah satu hal yang
memegang peranan penting dalam
meningkatkan pencegahan fraud dari
sebuah perusahaan adalah adanya
peranan efektif dan efisien dari Satuan
Pengendalian Internal atau yang sering
disebut dengan Internal Audit.
Pemahaman yang mendalam akan
sebuah proses, teknik serta langkah-
langkah dalam melakukan proses audit
akan memberi dampak yang positif
bagi perusahaan terutama dalam
meminimalkan suatu risiko yang akan
dihadapi oleh perusahaan.
Tujuan audit internal adalah
membantu para anggota organisasi
agar mereka dapat melaksanakan
tanggung jawabnya secara efektif.
Sedangkan Fungsi audit internal
adalah sebagai mata dan telinga
manajemen, karena manajemen butuh
kepastian bahwa semua kebijakan Audit internal menghadapi
yang telah ditetapkan tidak akan ancaman dan peluang dari perubahan
dilaksanakan secara menyimpang. bentuk proses organisasi (Spira &
Menurut Artikel (2019) Page 2003). Dalam peran asurans,
Auditor Internal berfungsi untuk tujuan utama auditor internal adalah
membantu manajemen dengan memberikan penilaian yang objektif
mengevaluasi dan memberikan bagi manajemen perusahaan. Auditor
rekomendasi perbaikan proses internal melakukan peran mereka
Manajemen Risiko, Pengendalian dalam konteks kriteria tertentu yang
Internal, dan Tata pengelolaan telah ditentukan dan berbagi temuan
Perusahaan. Auditor internal berfungsi mereka dengan manajemen
untuk mendukung manajemen dalam perusahaan (Kiral & Karabacak 2020).
hal, yakni; Di sisi lain, konsultasi dilakukan atas
 Mengawasi kegiatan dari permintaan klien, berbeda dengan
manajemen puncak yang peran assurance yang dilakukan secara
tidak dapat dilakukan oleh reguler. Namun, dalam peran
mereka sendiri. konsultasi, tujuan utama auditor
 Mengidentifikasi dan internal adalah memberikan
menekan kemungkinan risiko rekomendasi yang sesuai dengan
semaksimal mungkin. Semua kebutuhan klien. Auditor internal
organisasi melakukan berfungsi sebagai mitra solusi klien.
pendekatan holistic yang Untuk mewujudkan potensi konsultasi,
mencangkup setiap resiko di auditor internal harus menyesuaikan
perusahaan, yang berasal dari kompetensi mereka dengan kebutuhan
hukum, politik dan pembuat klien. Auditor internal harus keluar
peraturan, hubungan dengan dari rutinitas mereka untuk
pemegang saham, dan memberikan layanan konsultasi. Peran
pengaruh persaingan untuk ini bergerak di luar jaminan dalam arti
menetapkan manajemen membutuhkan pengetahuan lebih
resiko. lanjut dan waktu dan energi ekstra dari
 Memverifikasi laporan auditor internal. Auditor internal
kepada bertanggung jawab untuk
manajemen puncak. Para memverifikasi rekomendasi yang
manajemen membuat suatu dibuat mengenai manajemen risiko
keputusan berlandaskan yang baik. Proses manajemen risiko
laporan yang dibuat auditor- dan fungsi audit internal sangat
internal. penting untuk keberhasilan,
 Melindungi manajemen keberlanjutan organisasi, dan
dalam bidang teknis. Auditor manajemen risiko merupakan elemen
internal wajib mengetahui vital yang didasarkan pada
dari mana data berasal, ketidakpastian tentang peristiwa atau
bagaimana memprosesnya, hasil yang dapat terjadi yang
dan cara pengaman data- data berdampak utama pada pencapaian
perusahaan. tujuan strategis (Tamimi 2021)
 Meninjau kegiatan perusahan C. PERANAN AUDIT
di masa lalu dan masa depan INTERNAL DALAM PROSES
untuk membantu proses MANAJEMEN RISIKO
keputusan.
 Membantu manajer membuat Peranan auditor internal
perencanaan, pengorganisasi, dalam manajemen risiko antara satu
pengarahan dan pengendalian perusahaan dengan perusahaan lainnya
masalah. berbeda-beda. Hal ini timbul karena
adanya kompleksitas risiko yang
berbeda. Peranan Internal Audit dalam
suatu perusahaan terhadap manajemen
risiko akan berubah sepanjang waktu
mengikuti perkembangan
kompleksitas manajemen risiko yang
dilaksanakan dalam perusahaan.
Dalam praktiknya peranan audit
internal dalam manajemen risiko
mencakup (1) memfokuskan tugas
audit internal pada risiko-risiko utama
dan penting, sebagaimana
diidentifikasi oleh manajemen, (2)
mengaudit proses Manajemen Risiko
di seluruh organisasi, (3) memberikan
assurance kepada pengelolaan risiko,
(5) memberikan dukungan dan
keterlibatan aktif dalam proses
manajemen risiko, (6) memfasilitasi
identifikasi/penilaian risiko dan
pendidikan manajemen lini dalam
manajemen risiko dan pengendalian
internal, (7) mengkoordinasi pelaporan
risiko kepada Dewan Komisaris dan
Direksi, Komite Audit dan lainnya.
Pelaksanaan audit oleh
auditor internal atas kegiatan usaha
perbankan tidak hanya mencakup
kelemahan pengendalian intern tetapi
juga kekurangan–kekurangan dari
sistem manajemen risiko. Auditor
internal adalah alat Direksi untuk
memastikan bahwa semua elemen
perusahaan memiliki pemahaman yang
sama mengenai risiko (Karmudiandri,
2014).
Fungsi audit internal dalam
manajemen risiko dalah mengevaluasi
proses manajemen risiko. Tujuannya
adalah untuk memberikan jaminan
bahwa proses manajemen risiko ber-
fungsi sebagaimana direncanakan dan
akan memungkinkan sasaran dalam
tujuan organisasi tercapai. Audit atas
proses kegiatan manajemen risiko
dimulai dari mengidentifikasi seluruh
risiko yang dilakukan oleh
manajemen, kemudian fokus pada
risiko-risiko utama dengan metode
risk based audit yaitu serangkaian
tahapan yang memuat tehnik dan
prosedur untuk mengawasi suatu
Perusahaan tertentu dengan berfokus
pada risiko-risiko yang melekat pada
kegiatan perusahaan yang terlebih
dahulu memperhatikan kajian risiko
(risk assesment) dari masing-masing
unit kerja yang di audit setelah
mengidentifikasi risiko kemudian
menganalisa atas evaluasi potensi
kemungkinan terjadinya kerugian dan
besarnya kerugian, dituangkan dalam
rencana audit tahunan dan anggaran
audit. Diserahkan pada Dewan
Komisaris dan Direksi untuk
persetujuan. Internal audit
menjabarkan ruang lingkup audit,
fokus audit dan prosedur audit yang
direncanakan dan jadwal waktu audit
untuk tiap-tiap auditable activities.
Audit internal akan mereview
internal control terhadap risiko yang
telah diidentifikasi sebelumnya dan
memonitor pengembangan dan
pemilihan metoda pengelolaan risiko
yang dipilih oleh manajemen.
Selanjutnya memonitor kinerja dan
kesesuaian metode pengelolaan risiko
dalam mengelola risiko yang ada
secara terus menerus untuk melihat
keefektifitasannya atas penerapan
metode tersebut. Review tersebut audit
internal akan mengumpulkan dan
mengidentifikasikan adanya findings.
Berapa penyimpangan dari peraturan
dan prosedur yang berlaku dan salah
pencatatan atau dokumen dari hasil,
internal auditor akan mengkoordina-
sikan pelaporan risiko kepada dewan
komisaris, direksi dan komite audit.
Fungsi internal audit memberi
kebijakan bahwa internal control atas
proses manajemen risiko yang telah
ditetapkan telah dapat memitigasi
risiko sampai ke tingkat yang dapat
diterima.
D. AUDIT BERBASIS RISIKO
Pada awalnya internal audit
lebih berorientasi kepada pemeriksaan
terhadap tingkat kepatuhan para
pelaksana terhadap ketentuan-
ketentuan yang ada (compliance),
Terdapat dua kondisi yang menekan
audit internal dalam dua sisi yang
berbeda. Kondisi yang pertama adalah
kegiatan bisnis yang makin kompleks
dan bisnis yang membutuhkan
pertumbuhan yang berakselerasi dan
berkesinambungan. Di sisi lain,
terdapat tekanan terus menerus bagi
bisnis untuk mengatur biaya yang ada
dan me- mastikan bahwa sumber daya
terbatas (Sumber Daya Manusia,
Uang) digunakan seefisien mungkin.
Risk Based Audit dalam
konsep paling sederhana yaitu Audit
yang diprioritaskan, sama seperti
kegiatan bisnis lainnya, prioritas
adalah hal utama yang paling
diperhatikan dalam audit internal. Risk
Based Audit adalah pendekatan yan
memungkinkan Internal Auditor untuk
memenuhi ekspektasi atas kedua
kondisi tersebut. Risk Based Audit
memungkinkan Internal Auditor untuk
memproritaskan audit dalam bentuk
yang sistematis dan terkoordinir.
Sementara pada kenyataannya audit
internal selalu memfokuskan tindakan
pada area paling berisiko dalam
organisasi, dimana biasanya hal itu
timbul dari pertimbangan Internal
Auditor atas penilaian risiko.
Sebaliknya, dengan Risk Based Audit
Internal Auditor bersama-sama dengan
Manajemen menentukan dan menilai
risiko yang ada dalam perusahaan.
Risk Based Audit digunakan untuk
penilaian dari bisnis unit yang
bertujuan untuk mengidentifikasi dan
memitigasi risiko-risiko yang timbul.
Proses Risk Based Audit
adalah (1) strategy proses meng-
identifikasi strategi bisnis yang akan
digunakan, (2) objectives proses
menentukan tujuan bisnis yang ingin
dicapai, (3) process mengidentifi- kasi
proses pendukung dari strategi dan
tujuan yang ingin dicapai, (4) risks
mengidentifikasi risiko yang terkait
dengan proses, (5) controls
mengidentifikasi kontrol yang
digunakan atas risiko yang timbul, (6)
risk appetite mengukur toleransi limit
(established by management), (7)
classification menentukan klasifikasi
risiko, (8) risk response menentukan
respon atas risiko dan bagaimana
memitigasinya, (9) risk prioritisation
menentukan area yang menjadi
prioritas berdasarkan audit, (10)
evaluation pengujian atas penilaian
risiko oleh auditee, (11) approach
menyetujui risk maturity dan
pendekatan audit oleh auditee, (12)
audit plan merupakan pengembangan
dari Internal Audit (Karmudiandri,
2014).
Audit berbasis risiko (Risk
based auditing) adalah audit yang
difokuskan dan diprioritaskan pada
risiko bisnis dan prosesnya serta
pengendalian terhadap risiko yang
dapat terjadi. Dengan demikian audit
berbasis risiko berfungsi mulai dari
saat penetapan tujuan perusahaan
sampai kepada upaya untuk mencapai
tujuan tersebut dengan memberikan
fokus lebih kepada risiko (termasuk
kontrol) yang telah diidentifikasi oleh
manajemen, khususnya risiko yang
dapat menggagalkan pencapaian
tujuan perusahaan.
Risk Based Audit merupakan
sebuah metode atau cara yang
digunakan oleh auditor internal dalam
melaksanakan tugas auditnya,
sehingga memberikan jaminan bahwa
risiko yang ada sudah dikelola oleh
pihak manajemen dengan baik dan
memiliki batasan risiko yang tidak
berdampak terhadap tujuan
perusahaan. Dengan adanya metode
pendekatan audit ini dapat membantu
terpenuhinya tanggung jawab
manajemen secara efektif. Pihak
manajemen bertanggung- jawab dalam
memastikan pengendalian internal
berjalan dengan baik dan proses
manajemen risiko juga berjalan secara
efektif, dari tanggung jawab
manajemen tersebut maka risk based
audit sangat penting untuk dijalankan.
Ada beberapa cara yang
dilakukan dalam mengelola risiko
sampai ketahap yang dapat diterima
oleh manajamen:
  Dihindari (avoid). Merancang  Menilai risiko (terdiri atas:
ulang proses sebagai jalan mengidentifikasi,
untuk mengurangi risiko atau menganaliss/mengukur serta
menghindari aktifitas menetapkan prioritas risiko)
tersebut, jika risiko tidak  Menetapkan pengendalian
dapat dikurangi sampai yang dibutuhkan untuk
ketahap yang bisa diterima. mengendalikan risiko yang
 Dialihkan (transfer). ada.
Mengalihkan risiko kepihak
yang lain seperti: asuransi. Lembaga Office of the
 Diterima (accept). Menerima Auditor General of Canada
risiko yang ada karena biaya mengemukakan 6 alasan pentingnya
yang dikeluarkan tidak efektif audit internal memahami risiko bisnis,
untuk mengurangi risiko. yaitu sebagai berikut:
 Dikurangi (Reduce).  Dalam menyusun rencana
Menggunakan teknik untuk audit, auditor dapat
mengurangi dampak dan memfokuskan sumber daya
kemungkinan terjadinya yang terbatas ke area yang
risiko, contoh: paling memberikan nilai
mendifersifikasi portofolio. tambah kepada perusahaan.
 Dinaikan (increase).  Dengan melakukan analisis
Menaikan risiko dengan risiko secara berkelanjutan
menghilangkan hambatan melalui data yang dibangun
yang ada, hal ini akan (databases), auditor akan
meningkatkan kesempatan memiliki sinyal atau
dan mempertahankan risiko peringatan dini sehingga
pada tahap yang masih bisa dapat mengubah prioritas
diterima. audit untuk segera menangani
siatuasi yang cenderung
1. Penilaian Risiko memburuk sebelum
Risk assessment didefinisikan keadaanya menjadi parah.
sebagai sebuah proses estimasi score  Risk assessment dapat
risiko dari audutable units dalam menjadi dasar bagi auditor
perusahaan. Risk assessment ini mengidentifikasi prosedur
digunakan unutk mengidentifikasi, pengendalian yang
mengukur dan menentukan prioritas sebenarnya tidak perlu ada,
dari risiko, agar sebagian besar sumber dengan membandingkan
daya diarahkan ke area layak audit biaya pengendalian dengan
dengan score atau bobot risiko tinggi. potensi rugi yang mungkin
Tujuan utamanya adalah untuk timbul.
menentukan prioritas risiko masing-  Dengan selalu
masing available units, yang pada mempertimbangkan risiko,
giliran berikutnya akan menentukan auditor dapat memahami
frekuensi, intensitas dan waktu audit. kadar dan jenis risiko yang
Menurut David McNamee dihadapi perusahaan, serta
dari the IIA secara garis besar ada 3 orang yang terkena dampak
langkah dalam melakukan risk risiko tersebut.
assessment dengan menggunakan  Dengan menyampaikan
pendekatan COSO yaitu: laporan mengenai risiko,
 Menentukan sasaran dan auditor dapat memberi
tujuan organisasi peringatan manajemen
 puncak mengenai pentingnya secara cukup dan efektif guna
isu yang ada. menurunkan dampak serta
 Kemampuan auditor dalam kemungkinan terjadinya
mengidentifikasi risiko dapat risiko ketingkat yang dapat
dibagikan kepada auditee diterima oleh dewan
pada saat pelaksanaan audit, komisaris dan direksi.
sehingga auditee dapat
Tujuan Audit Berbasis Risiko
mengidentifikasi,
adalah untuk mendapatkan jaminan
menganalisis dan
bahwa tidak ada salah saji material
memperkecil risiko disatuan
baik yang disebabkan oleh fraud
kerjanya sendiri.
maupun kesalahan yang ada dalam
laporan keuangan. Hal ini melibatkan
2. Tujuan Audit Berbasis Risiko
tiga langkah utama yaitu :
Tujuan audit berbasis risiko
secara umum dalam rangka 1) Risk Assessement : Menilai
mengurangi risiko, mengantisipasi risiko salah saji material
risiko potensial yang dapat merugikan dalam laporan keuangan
operasi perusahaan serta melindungi dengan kegiatan pra-
perusahaan dari kejadian tak terduga penugasan, melaksanakan
yang diantisipasi sebelum kejadian prosedur penilaian risiko, dan
tersebut benar-benar terjadi. Secara merencanakan audit.
lebih rinci tujuan Risk-Based Auditing 2) Risk Response : Mendesain
adalah untuk memberikan keyakinan dan melaksanakan prosedur
atau kepastian kepada komite audit, audit lebih lanjut yang
Dewan Komisaris dan Direksi, bahwa: menanggapi risiko yang
 Perusahaan telah memiliki dinilai dan mengurangi risiko
proses manajemen risiko, dan material salah saji dalam
proses tersebut telah laporan keuangan ke level
dirancang dengan baik. terendah dilakukan dengan
 Proses manajemen risiko merancang tanggapan
dimaksud telah diintegrasikan menyeluruh dan prosedur
oleh manajemen perusahaan audit selanjutnya, lalu
ke dalam semua tingkatan implementasikan tanggapan.
organisasi mulai dari tingkat 3) Reporting : Menerbitkan
korporasi, divisi sampai unit laporan audit dengan kata-
kerja terkecil dan telah kata yang sesuai berdasarkan
berfungsi sebagaimana yang temuan audit tersebut
diinginkan. dilakukan dengan
 Kerangka kerja pengendalian mengevaluasi bukti audit, jika
internal (internal control diperlukan pekerjaan
framework) dan tata kelola tambahan maka kembali ke
yang baik (governance) yang Risk Assessement, dan
ada telah tersedia secara terakhir membuat Laporan
cukup dan berfungsi secara Auditor Independen.
baik guna mengendalikan
risiko yang ada. 3. Manfaat Audit Berbasis Risiko
 Manajemen mampu Audit berbasis risiko
mengindentifikasi dan menggunakan pendekatan yang
menilai risiko yang ada berbeda dengan audit konvensional.
secara baik, serta telah Audit berbasis risiko lebih
memberikan tanggapan menekankan pada proses dan sistem
terhadap risiko tersebut yang dijalankan oleh perusahaan dan
tidak berfokus pada individual di
dalamnya, seperti halnya yang
dilakukan oleh audit konvensional.
Pendekatan ini membuat proses audit
berbasis risiko memberikan manfaat
yang berbeda pula bagi pihak
perusahaan, yaitu:
 Meningkatkan kemampuan
dalam melakukan identifikasi
dan mengukur risiko dalam
berbagai area mulai dari area
strategis, kebijakan, finansial,
operasional, dan area kerja
lain
 Meningkatkan kemampuan
dalam mengidentifikasi
kelemahan yang ada di pihak
manajemen
 Meningkatkan kemampuan
dalam mengidentifikasi
adanya kemungkinan
penipuan yang terjadi di
dalam sistem atau masalah
lainnya
 Menjadi sistem check and
balance terhadap kontrol
perusahaan
Proses audit berbasis risiko
menawarkan banyak manfaat bagi
sebuah perusahaan/organisasi.
Pelaksanaan audit berbasis risiko
bersama dengan proses audit lainnya
akan membantu meningkatkan
produktivitas, efektivitas, dan efisiensi
kerja secara menyeluruh untuk
perkembangan perusahaan di masa
yang akan datang.
4. Tahapan dalam melakukan
audit berbasis risiko
Tahapan dalam melakukan
Risk Based Auditing, sebagai berikut:
 Memastikan bahwa risk
register yang sudah dimiliki
oleh unit usaha sudah tepat
dijadikan sebagai dasar
perencanaan audit
 Membuat risk register. Sejak
risiko harus diberi skor dan
diurutkan sesuai dengan
tingkat risikonya, data
tersebut sebaiknya dimasukan
kedalam sebuah database
yang bisa dilakukan denngan
menggunakan aplikasi
spreadsheet (contoh: Ms.
Excel) atau program database
(contoh: Ms. Access).
 Memutuskan risiko yang
dimiliki oleh manajemen
untuk diberikan opini oleh
audit internal.
 Menyusun rencana audit
tahunan. (Risk Based
Auditing Makro)
 Melakukan individual audit
ke setiap unit usaha. (Risk
Based Auditing Mikro)
III. KESIMPULAN
Suatu entitas dibentuk dan
diorganisasikan agar dapat
menjalankan tugas dan fungsi dengan
cara yang efektif, efisien, dan
senantiasa patuh pada peraturan dan
ketentuan yang berlaku. Berdasarkan
hal tersebut, manajemen suatu entitas
diharuskan untuk mampu merancang,
menerapkan, dan mengevaluasi tata
kelola, pengendalian, serta manajemen
risiko yang digunakan untuk
menjalankan fungsi – fungsi yang ada
untuk mencapai tujuan serta sasaran
organisasi.
Audit Berbasis Risiko atau
yang dikenal Risk Based Audit (RBA)
adalah Proses, pendekatan, metodologi
audit untuk meyakinkan kecukupan
bahwa risiko pada sebuah perusahaan
dikelola sesuai dengan batasan risiko
yang ditetapkan.
Risk assessment menyoroti
peran internal auditor dalam
mengidentifikasi dan menganalisis
risiko bisnis yang dihadapi perusahaan
sehingga diperlukan sikap proaktif
dari internal auditor dalam mengenali
risiko – risiko yang dihadapi
manajemen dalam mencapai tujuan
organisasi. Internal auditor dalam hal
ini dapat menjadi mitra manajemen
 dalam meminimalkan risiko kerugian
serta memaksimalkan peluang yang
dimiliki perusahaan.
Audit berbasis risiko sangat
penting karena berfungsi untuk
memberikan sebuah keyakinan kepada
Dewan Komisaris dan Direksi bahwa
proses pengendalian internal dan
manajemen risiko sudah dilakukan
dengan baik sehingga manajemen
mampu mengefektifkan
tanggungjawabnya dengan membatasi
risiko tersebut.
Audit internal telah
menerapkan Audit berbasis Risiko
dalam implementasinya sudah berjalan
secara optimal dan dilakukan secara
berkesinambungan dan bekerjasama
dengan Strategic Business Unit (SBU)
dalam hal manajemen risiko. Posisi
audit internal bukan hanya sebagai
Watch Dog tetapi juga business
partner dan konsultan bagi SBU. Hal
itu harus tetap dipertahankan dan perlu
disempurnakan secara terus menerus
sesuai dengan kondisi dan lingkungan
yang senantiasa berkembang. Divisi
audit internal memiliki mekanisme
pengawasan atas pelaksanaan kode
etik tersebut agar setiap personil
berfungsi seperti yang diharapkan.
REFERENSI
Artikel, I. (2019) “Manajemen Risiko ,
Internal Kontrol , Tata Kelola Perusahaan
dan Kinerja Keuangan BUMN dengan
Maturity Level Departemen Audit Internal
sebagai Pemoderasi Monang Nixon
Haposan Tampubolon,” 6(2), hal. 69–80.
Fahmi, Muhammad. 2019. Peranan Audit
Internal Dalam Pencegahan (Fraud).
Liabilities Jurnal Pendidikan Akuntansi.
Farida, Arifa Kiss. 2015. Audit Berbasis
Risiko Pada Pembiayaan Murabahah Di
Bank Bri Syariah Kantor Cabang
Gubeng Surabaya. Digilib UINS.
https://www.gustani.id/2021/04/apa-itu-
audit-berbasis-risiko.html diakses pada
tanggal 19 Oktober 2022
http://www.ppak.co.id/dokumen/artikel-
berita/Audit%20Berbasis%20Risiko.pdf
diakses pada tanggal 19 Oktober 2022
https://crmsindonesia.org/publications/
manfaat-proses-audit-berbasis-risiko-di-
perusahaan/ diakses pada tanggal 19
Oktober 2022
Karmudiandri, A. (2014) “Peranan Audit
Internal Dalam Manajemen Risiko Bank,”
Media Bisnis, 6(1), hal. 19–26.
Kiral, H., & Karabacak, H. 2020.
Resolution of the Internal Audit-Based
Role Conflicts in Risk Management:
Evidence from Signaling Game Analysis.
Group Decision and Negotiation, 29(5),
823–841. https://doi.org/10.1007/s10726-
020-09679-x
Kumalasari, M., Subowo dan
Anisykurlillah, I. (2014) “Faktor - Faktor
Yang Berpengaruh Terhadap Luas
Pengungkapan Manajemen Risiko,”
Accounting Analysis Journal, 3(1), hal.
361–369.
Mujennah, Budi Artinah. 2018. Analisis
Sistem Pengendalian Internal Melalui
Audit Berbasis Risiko (ABR) Oleh
Aparat Pengawas Intern Pemerintah
(APIP) Dalam Mencapai Target
Rencana. Jurnal Akuntansi.
Tamimi, O. Y. 2021. The role of internal
audit in risk management from the
perspective of risk managers in the
banking sector. Australasian Accounting,
Business and Finance Journal, 15(2), 114–
129. https://doi.org/10.14453/aabfj.v15i2.8
Widodo, M. (2018) “Audit Berbasis Risiko
pada PT. SP,” Jurnal Ekonomi dan
Kewirausahaan Kreatif, 3(2), hal. 63–74.