AUDIT INTERNAL BERBASIS RESIKO

Alivia Reysa Putri

Abstract :
Audit Internal menjadi salah satu bagian penting yang bisa mendukung keberlanjutan operasional
perusahaan. Sebab seringkali ditemukan adanya ketidaksinambungan antara kontrol yang dijalankan dalam
proses audit internal dengan risiko yang sebenarnya perusahaan miliki. Hal ini menjadi salah satu yang
mendorong perusahaan untuk melakukan proses audit internal dengan pendekatan berbasis risiko atau Risk
Based Internal Audit. Audit internal berbasis risiko merupakan suatu pendekatan pemeriksaan dimana
departemen audit internal memberikan keyakinan/jaminan bahwa risiko dikelola sampai dengan tingkat yang
dapat diterima. Audit internal berbasis risiko terdiri dari tahap pengidentifikasian, dan tahap penilaian risiko
yang ada. Dalam audit internal berbasis risiko terdapat risk management yaitu pengelolaan risiko, selain itu
juga terdapat risk assessment yaitu penilaian terhadap risiko-risiko. Kecurangan terdiri dari kecurangan
laporan keuangan, penyalahgunaan asset, dan korupsi. Kecurangan dapat terjadi akibat adanya kesempatan,
tekanan,dan sikap. Kecurangan dapat dicegah dengan membangun struktur pengendalian intern yang baik,
mengefektifkan aktivitas pengendalian, meningkatkan kultur organisasi, dan mengefektifkan fungsi internal
audit.
Kata kunci : Auditing, internal auditing, risk based internal auditing, risk management

PENDAHULUAN

Fokus pekerjaan audit internal telah

bergeser selama dekade terakhir dari audit
berbasis sistem ke audit berbasis proses ke
audit berbasis risiko (IIA - Inggris dan
Irlandia, 2003). Auditor internal telah
menanggapi dengan kuat kekhawatiran
manajemen tentang risiko bisnis (Selim
dan McNamee, 1999, hal. 159). Pekerjaan
auditor internal telah bergeser dari
dikendalikan oleh kontrol menjadi
didorong oleh risiko bisnis. Lindow dan
Race (2002) mencatat bahwa auditor
internal harus memainkan peran kunci
dalam memantau profil risiko perusahaan.
Pada era globalisasi perusahaan
menghadapi lingkungan bisnis yang
berubah-ubah karena adanya pengaruh
internal maupun dari eksternal. Tentunya
suatu entitas dibentuk dan diorganisasikan
agar dapat menjalankan tugas dan fungsi
dengan cara yang efektif, efisien, dan
senantiasa patuh pada peraturan dan
ketentuan yang berlaku.
Berdasarkan hal tersebut, manajemen
suatu entitas mengharuskan untuk mampu
merancang, menerapkan, dan
mengevaluasi tata kelola, pengendalian,
serta manajemen risiko yang digunakan
untuk menjalankan fungsi – fungsi yang
ada untuk mencapai tujuan serta sasaran
organisasi. Mengapa ini menjadi suatu
keharusan? Karena pada saat ini mengelola
resiko menjadi bagian integral dalam tata
kelola perusahaan, jadi jika suatu
perusahaan menjalankan good corporate
governance maka pasti didalamnya harus
memperhatikan resiko karena yang terkait
didalamnya yaitu tanggung jawab
menentukan dan pengelolaannya.
terkadang manajemen kurang menyadari
bahwa pencapaian kinerja perusahaan juga
harus diimbangi dengan mengelola risiko
bisnis. Perusahaan bukan hanya sekedar
mempunyai pemahaman yang menyeluruh
mengenai risiko, melainkan juga
mengontrol pengelolaanya dan
memastikan bahwa kontrol berjalan secara
efektif, sehingga nantinya bisa menjadikan
peluang bagi perusahaan.
Dalam praktik bisnis, kegiatan-
kegiatan berkenaan dengan pengelolaan
risiko diakui memainkan peran penting
dalam mengadakan sistem pengendalian
internal yang memadai. Hal ini berarti
manajemen memiliki peranan penting dan
tanggung jawab terhadap upaya untuk
meminimalisir risiko yang kemungkinan
akan terjadi, bahkan jika perlu merubah
risiko tersebut menjadi sebuah strategi
bisnis yang diharapkan meningkatkan
kinerja perusahaan. Risiko merupakan
ukuran seberapa besar para investor
bersedia berkorban untuk memperoleh
keuntungan dari investasinya
Audit Berbasis Risiko atau Risk
Based Audit ( RBA) merupakan
pendekatan audit yang berkembang
pesat sejak tahun 2000an. Mendekati
saat ini mendapatkan perhatian yang
luas dan dianggap sebagai pendekatan
yang paling efektif karena terbukti
paling cocok diterapkan untuk kondisi
lingkungan bisnis yang selalu
berubah-ubah seperti sekarang ini.
Indonesia telah meratifikasi
ketentuan untuk menerapkan
International Standards on Auditing (ISA)
mulai awal tahun 2013.
Risiko yang dihadapi perusahaan-
perusahaan saat ini tidak menentu atau di
luar prediksi, karena beberapa faktor yang
mempengaruhi. Setiap audit bisnis
merupakan evaluasi atas pengendalian
internal yang terkait dengan pengelolaan
risiko. Tujuan dari penilaian ini adalah
untuk menentukan apakah sistem
informasi efektif dalam memenuhi tujuan
yang telah ditetapkan. Proses ini
menghasilkan bukti objektif di mana
penilaian dan keputusan yang baik dapat
dibuat.
Audit Internal menjadi salah satu bagian
penting yang bisa mendukung
keberlanjutan operasional perusahaan.
Sebab seringkali ditemukan adanya
ketidaksinambungan antara kontrol yang
dijalankan dalam proses audit internal
dengan risiko yang sebenarnya perusahaan
miliki. Hal ini menjadi salah satu yang
mendorong perusahaan untuk melakukan
proses audit dengan berbasis risiko
atau Risk Based Audit.
Pelaksanaan risk based audit bertujuan
agar perusahaan dapat mengurangi risiko,
mengantisipasi risiko potensial yang dapat
merugikan operasional perusahaan dan
melindungi perusahaan dari kejadian yang
tak terduga yang diantisipasi sebelum
kejadian tersebut benar-benar terjadi. Risk
based audit juga merupakan proses yang
melibatkan pihak manajemen beserta
jajarannya dalam memitigasi risiko yang
akan terjadi. Metode risk based audit
memungkinkan perusahaan siap
menghadapi risiko dan mengantisipasi dari
kemungkinan kerugian yang berdampak
besar bagi perusahaan. Risiko yang terjadi
diakibatkan beberapa faktor yaitu strategic
risk, compliance risk, reporting risk, dan
operation risk.
Jika suatu organisasi mencapai tujuannya,
maka ia harus memeriksa semua kontrol
yang bertujuan untuk mengurangi semua
risiko yang mengancam pencapaian tujuan
tersebut. Peran Audit internal yang akan
melakukan ini. Istilah audit internal
berbasis risiko muncul untuk membedakan
audit internal dengan Audit internal
'tradisional
TUJUAN DAN METODOLOGI
Tujuan utama dari artikel ini adalah untuk
memberikan pemahaman mendalam
tentang literatur mengenai audit berbasis
risiko dipergunakan untuk memberikan
jaminan bahwa risiko yang ada sudah
dikelola dengan baik serta ada batasan
yang telah ditetapkan manajemen yang
tidak berdampak terhadap tujuan
perusahaan. Dilihat dari sisi internal,
manajemen lebih memahami prioritas
risiko yang akan dihadapi serta bagaimana
mengatasi agar efisien dan efektif sehingga
dapat mengurangi terjadinya kesalahan
pada audit.
PEMBAHASAN
Internal Audit
Institute of Internal Auditor (IIA)
mendefenisikan internal audit sebagai
aktivitas independen, keyakinan objektif
dan konsultasi yang dirancang untuk
memberi nilai tambah dan meningkatkan
operasi organisasi. Audit tersebut
membantu organisasi mencapai tujuannya
dengan menerapkan pendekatan yang
sistematis dan disiplin untuk mengevaluasi
dan meningkatkan efektivitas proses
pengelolaan resiko, kecukupan kontrol,
dan pengelolaan organisasi. 2010. A1
Rencana penugasan aktivitas internal audit
harus didasarkan pada penilaian risiko
yang terdokumentasi, dilaksanakan
sekurangkurangnya setiap tahun. 2120. A1
Berdasarkan hasil penentuan risiko
aktivitas internal audit haruslah
mengevaluasi kecukupan dan efektivitas
kontrol yang mencakup tata kelola, operasi
dan sistem informasi organisasi.
Misi Audit Internal adalah untuk
meningkatkan dan melindungi nilai
organisasi dengan memberikan berbasis
risiko dan objektif jaminan, saran dan
wawasan. Prinsip-prinsip inti untuk praktik
profesional Audit Internal menuntut bahwa
Auditor internal memberikan jaminan
berbasis risiko. Untuk menambahkan,
relevan standar menyatakan perlunya
kompetensi berbasis risiko.
Pencapaian tujuan internal audit
membutuhkan serangkaian aktivitas yang
terstruktur dan sistematis. Pendekatan
audit yang digunakan meliputi serangkaian
aktivitas atau proses audit berbasis risiko
yang berurutan. Aktivitas dimaksud terdiri
dari :
1. Perencanaan Audit.
Tahap menyusun rencana penugasan audit
selama satu tahun dengan hasil akhir
berupa Rencana Audit Tahunan (RAT)
yang meliputi auditable activities yang
akan diaudit, skedul waktu, alokasi biaya
dan sumber daya manusia.
2. Persiapan Audit.
Aktivitas yang dilakukan oleh Tim Audit
dalam mempersiapkan sebuah penugasan
dan merencanakan aktivitas yang akan
dilakukan selama penugasan audit dalam
rangka mencapai tujuan.
3. Program Audit Dan Pendekatan Audit
Berdasarkan analisa pendahuluan, auditor
menyusun program audit/prosedur audit
sebagai dasar pelaksanaan audit.
Penyusunan program audit ini dengan
memperhatikan Internal Audit Approach,
yaitu suatu pendekatan internal audit
dimana penyusunan program audit
disesuaikan dengan kondisi risikonya.
4. Pelaksanaan Audit:
Pelaksanaan audit difokuskan terhadap
pengujian kehandalan pengendalian intern
dan risk control system terhadap eksposur
risiko yang ada. Prosedurprosedur yang
telah disusun berdasarkan approach yang
sesuai dilaksanakan dengan
memperhatikan kecukupan pengujian
terhadap kehandalan pengendalian intern.
Pengujian ini dilaksanakan melalui
metodologi micro risk assessment
5. Temuan Audit:
Dalam Risk Based Audit, suatu temuan
audit bukan hanya mengungkapkan
fakta/kondisi dilapangan.
6. Pelaporan Audit:
Pengungkapan temuan audit melalui
evaluasi/kajian yang memadai terhadap
inherent risk dan risk control system, akan
mendukung pelaporan audit yang lebih
fokus terhadap pemetaan risiko dan profil
risiko. Laporan audit lebih ditujukan pada
kondisi risiko, pengujian kehandalan risk
assessment dan manajemen risiko serta
rekomendasi terhadap risk control system
yang perlu dibangun dalam manajemen
risiko di bank. Laporan ini menampilkan
matrik micro risk assessment melalui
scoring terhadap tingkat kehandalan
pengendalian intern dan risk control
system.
7. Monitoring Audit:
Monitoring audit bukan semata ditujukan
pada pemantauan tindak lanjut hasil temuan
audit, namun lebih diarahkan pada off-site
monitoring. Analisa dalam off-site
monitoring bukan sekedar untuk
mengetahui sejauh mana tindaklanjut telah
dilakukan. Namun secara
berkesinambungan juga untuk memantau
perkembangan parameter inherent risk serta
kondisi perubahan terhadap risk control
system.
8. Evaluasi Audit:
Untuk mendukung quality assurance, setiap
pelaksanaan audit harus dilakukan evaluasi.
Evaluasi tersebut bukan hanya
dimaksudkan untuk menilai
kekurangankekurangan dalam proses
pelaksanaan audit yang telah dilakukan,
namun juga untuk mendukung evaluasi
kompetensi melalui analisa kebutuhan
training/pelatihan para auditor.
Internal Audit dan Audit Berbasis
Risiko (RBA)
Audit berbasis risiko (RBA) adalah sebuah
metologi yang menghubungkan audit
internal dengan seluruh kerangka
manajemen risiko yang memungkinkan
proses audit internal mendapatkan
keyakinan memadai bahwa manajemen
risiko organisasi telah dikelola dengan
memadai sehubungan dengan risiko yang
dapat diterima (risk appetite).
Menurut Wollard audit berbasis resiko
diartikan sebagai pengindentifikasian salah
saji material pada laporan keuangan
sehingga dapat menentukan langkah
selanjutnya yang paling efisien dan tepat
yang akan diterapkan pada suatu
permasalahan dengan beberapa langkah
1. auditor perlu mengidentifikasi area
di mana terdapat risiko salah saji
material yang tinggi; itu adalah
area yang membutuhkan penerapan
lebih banyak prosedur.
2. Kedua, auditor harus menentukan
bagaimana mengurangi prosedur
yang diterapkan pada area Alat
diidentifikasi sebagai risiko rendah.
3. Selain itu, hal-hal berikut juga
harus dianalisis untuk
mengidentifikasi risiko salah saji
material:
a. risiko bisnis klien (risiko
bahwa suatu peristiwa akan
berdampak buruk pada tujuan
perusahaan dan tujuan
b. bagaimana manajemen
memitigasi risiko tersebut, dan
c. area risiko yang belum
ditangani sama sekali oleh
manajemen
The IIA Standards for the professional
Practice of Internal Auditing 2011, 29-30)
Standard 2110 Governance menyatakan
bahwa kegiatan audit internal mampu
menilai dan membuat recomendasi yang
sesuai untuk meningkatkan proses tata
kelola dalam pencapaiannya tujuan
berikut: Mempromosikan etika dan nilai-
nilai yang sesuai dalam perusahaan,
Memastikan manajemen memiliki kinerja
organisasi yang efektif dan Akuntable,
Mengkomunikasikan risiko dan
pengendalian informasi ke setiap bagian di
perusahaan dan mengkoordinasikan
aktivitas dan informasi serta komunikasi
antara internal auditor dan manajemen
eksternal.
Yang mana dapat disimpulkan Risk Based
Audit adalah audit dengan didasarkan hasil
identifikasi dan analysis/ assessment
terhadap risiko yang material dan
berpotensi menghambat strategi bisnis,
aktivitas atau transaksi, sehingga diperoleh
perencanaan audit yang lebih terarah serta
pemeriksaan dan pelaporan yang lebih
fokus. Iya tidak hanya memusatkan
perhatian pada catatan akuntansi dan
penyiapan laporan keuangan, namun juga
memusatkan perhatian pada proses
akuntansi, pemilihan dan pencatatan data,
pengidentifikasian indikator risiko
kegagalan.
Stages of Risk Based Audit (IIA, 2014)
 Meningkatkan kemampuan auditor
(sebagai auditor sekaligus konsultan
yang terpadu dalam GCG)
 Membantu pemahaman yang lebih baik
atas operasi klien
 Membantu auditor untuk dapat menjadi
konsultan yang dapat dipercaya oleh klien
Keuntungan Audit Berbasis Resiko bagi
Auditee
 Memberikan tingkat jaminan yang
lebih tinggi atas proses dan hasil audit
 Membantu meningkatkan proses
manajeman dalam pengelolaan risiko
dan proses pengendalian risiko
perusahaan
 Memberikan nilai tambah bagi jasa
audit melalui rekomendasi/saran yang
terkait dengan peningkatan kinerja
organisasi dan bagaimana mengelola
risiko operasi
Tabel Pendekatan Metode Audit

Keuntungan Audit Berbasis Resiko bagi

KAP
 Proses audit dapat dilaksanakan
dengan lebih efisien
 Mengurangi risiko pelaksanaan audit
 Memberikan pendekatan audit
sitematis dan unggul yang terfokus
pada pengurangan risiko
No Pelaksanaan Audit berbasis
Resiko
1 Ketentuan Semua aktivitas
umum audit usaha, khususnya
yang mengandung
risiko usaha perlu
dipetakan
2 Tujuan Audit Lebih memberikan
keyakinan
(assurance) bahwa
risiko yang
diidentifikasi telah
dikurangi ke tingkat
yang dapat diterima
3 Rencana Diproritaskan ke area
Audit yang berisiko tinggi
Tahunan
4 Tugas Memastikan bahwa
lapangan perusahaan telah
mengidentifikasi,
mengendalikan, dan
memantau semua
risiko yang ada.
5 Pengujian Teknik pengujian pencegahan atau mitigasi risiko tertentu
sama tetapi lebih atau sekelompok risiko.
memastikan bahwa
important risk control Dalam menerapkan RBIA, keyakinan yang
berfungsi dengan diperlukan oleh berbagai fungsi dalam
baik untuk organisasi perlu diperhatikan, dan harus
mengurangi risiko tergambarkan dalam tugas internal audit.
6 Pelaporan Memberi keyakinan Tanggungjawab departemen internal audit
bahwa semua risiko adalah untuk memenuhi keinginan dewan
telah dikelola dengan direksi, dan tanggungjawab dari dewan
baik direksi adalah untuk memenuhi ketentuan
7 Rekomendasi Diberikan dalam legislatif yang telah ditetapkan. Audit
kaitannya manajemen berbasis risiko dimulai dengan proses
risiko agar risiko penilaian risiko audit, sehingga dalam
dihindari,
perencanaan, pelaksanaan, dan pelaporan
didiversifikasi, dan
dikelola dengan baik auditnya lebih difokuskan pada area-area
penting yang berisiko dari penyimpangan
Implementasi risk based audit merupakan dan atau kecurangan.
salah satu cara untuk meningkatkan kinerja
perusahaan karena hasil audit berbasis Dengan demikian audit berbasis risiko
risiko memiliki kontribusi dalam bukanlah merupakan suatu jenis audit,
perbaikan kinerja perusahaan yaitu dalam tetapi lebih merupakan suatu pendekatan
meminimalisir risiko bisnis. implementasi dalam melaksanakan suatu audit. Salah
risk based audit memiliki beberapa satu contoh proses pengendalian risiko
tahapan yaitu – menilai risiko, yang penting adalah sistem pengendalian
mendapatkan gambaran menyeluruh internal yang berusaha mengurangi risiko
tentang bagaimana dewan dan manajemen sampai kepada tingkat yang dapat diterima
menentukan, menilai, mengelola, dan oleh pimpinan perusahaan, atau disebut
memantau risiko. Gambaran ini akan juga risk appetite dari organisasi Gambar
memberikan petunjuk apakah catatan atau di bawah menunjukkan hubungan antara
daftar risiko (risk register) dapat dipercaya risk appetite (digambarkan dalam bentuk
untuk tujuan perencanaan audit. garis putus-putus), risko sebelum
Perencanaan audit berkala, umumnya dikendalikan (inherent risks) dan risiko
setahun sekali, menentukan penugasan setelah dikendalikan (residual risks).
asurans dan konsulting dengan
mengidentifikasi dan memberi prioritas Risk Based Internal Auditing (RBIA)
kepada hal-hal di mana dewan atau Menurut David M. Griffths, PhD, FCA
manajemen membutuhkan asurans, (Risk Based Internal Auditing An
termasuk asurans atas proses-proses Introduction, 2006) “Internal auditing
manajemen risiko, pengelolaan risiko- provides an independent and objective
risiko kunci (key risk), dan pencatatan dan opinion to an organisations management as
pelaporan risiko dan melaksanakan tugas- to whether its risks are being managed to
tugas audit yang sudah direncanakan, acceptable levels. Yaitu suatu metode yang
untuk memberikan asurans dalam digunakan oleh departemn internal audit
kerangka manajemen risiko, termasuk untuk menyediakan keyakinan bahwa
risiko diatur agar berada dalam batas
roleransi risiko perusahaan. Atau dengan
kata lain, suatu proses yang mengelola
risiko sampai pada suatu tingkat yang
dipertimbangkan untuk dapat diterima oleh
dewan direksi untuk bekerja secara efektif
dan efisien.
Dalam menerapkan RBIA, keyakinan yang
diperlukan oleh berbagai fungsi dalam
organisasi perlu diperhatikan, dan harus
tergambarkan dalam tugas internal audit.
Tanggung jawab departemen internal audit
adalah untuk memenuhi keinginan dewan
direksi, dan tanggungjawab dari dewan
direksi adalah untuk memenuhi ketentuan
legislatif yang telah ditetapkan.
Audit berbasis risiko dimulai dengan
proses penilaian risiko audit, sehingga
dalam perencanaan, pelaksanaan, dan
pelaporan auditnya lebih difokuskan pada
area-area penting yang berisiko dari
penyimpangan dan atau kecurangan.
Dengan demikian audit berbasis risiko
bukanlah merupakan suatu jenis audit,
tetapi lebih merupakan suatu pendekatan
dalam melaksanakan suatu audit.
Hubungan Antara Risk Appetite Inherent
Risk Residual Risk
Pada gambar di atas, dapat dilihat peran
resiko basis audit dalam memberikan
keyakinan bahwa pengendalian telah
berjalan dengan efektif, sehingga risiko
sebelum dilakukan pengendalian (inherent
risk) dapat ditekan ke bawah batas risk
appetite perusahaan (menjadi residual
risk).
Penerapan RBIA
Metode RBIA terdiri dari lima bagian inti
aturan audit internal yang mana meliputi
kerangka manajemen risiko secara
keseluruhan organisasi (diketahui sebagai
Enterprise-wide Risk Management
(ERM)) yang mengatur hal-hal sebagai
berikut:
1. Memberikan keyakinan/jaminan bahwa
proses yang digunakan oleh manajemen
untuk mengidentifikasi semua risiko yang
signifikan berjalan dengan efektif
2. Memberikan keyakinan/jaminan bahwa
risiko secara benar telah dinilai (diberi
skor) oleh manajemen dalam hal
memberikan prioritasnya
3. Mengevaluasi proses manajemen risiko,
untuk meyakinkan respon dari setiap risiko
adalah tepat dan sesuai dengan kebijakan
organisasi
4. Mengevaluasi pelaporan atas risiko yang
menjadi kunci utama, oleh manajer ke
direktur
5. Mereview manajemen atas risiko kunci
oleh manajer untuk meyakinkan
pengendalian diambil ke dalam
operasional dan akan dimonitoring
RBIA untuk selanjutnya
diaplikasikan pada setiap risiko yang
mengancam tercapainya tujuan organisasi.
Di sini akan meliputi berbagai macam
risko, seperti contohnya risiko keuangan,
risiko strategis, dan operasional, baik
internal organisasi maupun eksternal
organisasi. Menunjuk pada RBIA yang
efektif, maka pemimpin organisasi
diharuskan untuk meyakinkan bahwa
kerangka manajemen risiko meliputi
beberapa hal dibawah ini :
1. Pemimpin organisasi harus
mengidentifikasi dan menilai risiko
yang mengancam tujuan organisasinya
 dan mengembangkan suatu sistem
pengendalian internal, atau respon
yang cocok lainnya, untuk
mengurangi ancaman ini sampai pada
tingkat risiko yang rendah, atau
melaporkannya ke dewan direksi jika
hal ini tidak memungkinkan.
2. Risiko yang melekat (inherent risk)
dilaporkan dan dinilai dalam berbagai
cara yang mengijinkan mereka untuk
mengurutkan ancaman yang ada.
3. Pemimpin organisasi menemukan
suatu risiko yang muncul bagi
organisasi seperti halnya suatu dasar
risiko yang dapat secara mudah
diidentifikasi baik risiko yang tinggi
maupun rendah.
4. Tanggung jawab untuk memberikan
jaminan pada kerangka manajemen
risiko akan didefinisikan. Hal ini
termasuk mendefinisikan tanggung
jawab manajemen, eksternal audit,
internal audit, dan setiap fungsi
lainnya yang memberikan jaminan,
seperti Human Resource, keuangan,
dan bagian keamanan.
Penerapan dan pelaksanaan operasional
RBIA mempunyai 3 tahapan :
1. Menilai tumbuhnya siklus risiko pada
organisasi.
2. Memberikan risiko kepada suatu audit
yang akan menguji manajemennya.
Merancang Risk and Audit Universe
(RAU) dan menggambarkan suatu
rencana untuk melakukan audit,
biasanya tahunan.
3. Melakukan audit berdasarkan risiko
tersendiri dan timbal balik hasil audit
ke dalam RAU (Risk and Audit
Universe).
Dalam menerapkan RBIA, organisasi
disyaratkan untuk:
1. Mengetahui semua inherent risks yang
signifikan, yaitu semua inherent risks
yang berada di atas batas toleransi
risiko.
2. Telah mengevaluasi risiko-risiko
tersebut sehingga dapat diprioritaskan
berdasarkan urutan dari ancaman yang
dihasilkan dari risiko tersebut.
3. Telah mendefinisikan batas toleransi
risiko (risk appetite), sehingga
inherent dan residual risks dapat
dievaluasi untuk menetukan apakah
risiko-risiko tersebut berada di atas
atau di bawah risk appetite.
Dengan persyaratan di atas menyatakan
bahwa :
1. Pimpinan perusahaan telah
menentukan kebijakan yang tepat
mengenai pengendalian internal
perusahaan.
2. Pimpinan perusahaan telah menyetujui
batas toleransi risiko
3. Pihak manajemen perusahan telah
dilatih dengan tepat untuk
mengidentifikasi dan mengevaluasi
risiko dan merancang, melaksanakan
serta memantau sistem pengendalian
internal yang mengimplementasikan
kebijakan-kebijakan yang diadopsi
oleh pimpinan perusahaan.
Terdapat tiga aspek dalam Risk Based
Auditing, yaitu penggunaan faktor risiko
(risk factor) dalam audit planning,
identifikasi independent risk & assesment
dan partisipasi dalam inisiatif risk
management & processes. Cakupan dari
risk based internal auditing termasuk
dilakukannya identifikasi atas inherent
business risks dan control risk yang
potensial. Departemen Internal Audit
dapat melakukan review secara periodik
tiap tahun atas risk based internal audit
dikaitkan dengan audit plan. Manajemen
puncak (Board of Director) dan Komite
Audit dapat melakukan assessment atas
kinerja (performance) dari risk based
internal audit untuk mengetahui
realibilitas, keakuratan dan
obyektivitasnya.
Profil risiko (Risk profile) atas risk based
internal audit didokumentasikan dalam
audit plan yang dibuat oleh Departemen
Internal Audit. Risk profile tersebut dapat
digunakan untuk melakukan evaluasi
apakah metodologi risk assesment telah
rasional
Dalam menerapkan RBIA kita tidaklah
hanya mengubah teknik audit yang
digunakan, tetapi juga menentukan di
bagian mana yang akan diubah. Verifikasi
fisik yang vital tetap dilakukan untuk
meyakinkan apakah seseorang akan
mengatakan apa yang seharusnya terjadi
secara aktual. Sebagai contoh, kita dapat
tetap melanjutkan menggunakan
pengujian berkelanjutan, sampling
transaksi, pengujian otorisasi tandatangan,
dan verifikasi neraca. Alasan untuk
melibatkan pengujian ini adalah untuk
meyakinkan bahwa pengendalian yang
akan menghilangkan risiko, dan
pengendalian monitoring yang
meyakinkan pengendalian ini
dilaksanakan secara efektif. Pengujian
tidak dirancang secara khusus untuk
mendeteksi kesalahan, atau kecurangan
transaksi. Jadi, sepanjang RBIA
memberikan keyakinan pada semua
risiko, audit berbasis risiko dapat
melibatkan area yang biasanya tidak diuji.
Tujuan dan manfaat RBIA
Salah satu tujuan dari RBIA adalah untuk
menguji bahwa sistem pengendalian
internal akan mengurangi risiko sampai ke
tingkat yang dapat diterima. Salah satu
keuntungan dari RBIA adalah, tidak hanya
menyoroti risiko yang tidak secara tepat
dikendalikan, namun juga menyoroti risiko
yang sangat dikendalikan dan kemudian
memakan sumber daya yang tidak penting.
Dengan RBIA, penekanan pemeriksaan
pengendalian berpindah dari semula
meyakinkan pengendalian operasi yang
utama (seperti otorisasi dari invoice)
berjalan efektif, menjadi meyakinkan
bahwa pengendalian manajemen yang
melaporkan kegagalan dalam pengendalian
operasi yang utama telah berjalan dengan
efektif.
Memeriksa pengendalian operasi berjalan
dengan efektif merupakan proses yang
penting, namun masih ada bahaya yang
dapat timbul, yaitu bahwa pihak
manajemen perusahaan bergantung pada
internal audit untuk mengkonfirmasi
bahwa operasi perusahaan telah berjalan
dengan tepat, dan tidak melakukan
pemeriksaan sendiri.
Manfaat yang akan diperoleh internal
auditor apabila menggunakan risk based
audit approach, antara lain internal auditor
akan lebih efisien & efektif dalam
melakukan audit, sehingga dapat
meningkatkan kinerja Departemen Internal
Audit.
Hubungan RBIA dengan RM
Auditor internal bertanggung jawab untuk
memverifikasi rekomendasi yang dibuat
mengenai manajemen risiko yang baik.
Proses manajemen risiko dan fungsi audit
internal sangat penting untuk keberhasilan,
keberlanjutan organisasi, dan manajemen
risiko merupakan elemen vital yang
didasarkan pada ketidakpastian tentang
peristiwa atau hasil yang dapat terjadi yang
berdampak utama pada pencapaian tujuan
strategis
Menurut David Griffiths, Enterprise Risk
Management (ERM) merupakan suatu
proses manajemen risiko, yang
dipengaruhi oleh pimpinan perusahaan,
pihak manajemen dan personel lainnya,
yang diterapkan pada penetapan strategi
organisasi. ERM dirancang untuk
mengidentifikasikan kejadian potensial
yang dapat mempengaruhi perusahaan dan
mengendalikan risiko agar berada dalam
batas toleransi, serta untuk menyediakan
keyakinan yang memadai dari pencapaian
tujuan organisasi. Penerapan ERM
memungkinkan pihak manajemen untuk
secara efektif menangani ketidakpastian
yang berupa risiko serta kesempatan, serta
meningkatkan kapasitas untuk
menghasilkan nilai bagi para
stakeholdernya, sesuai dengan tujuan
perusahaan.
RBIA adalah suatu rancangan yang dibuat
dengan muatan yang selaras dengan
penerapan ERM, sebagai proses
manajemen terkini. RBIA menggunakan
filosofi yang sama dengan yang digunakan
ERM, bahwa usaha pencapaian tujuan
organisasi akan memiliki nilai tambah
terbesar jika: Semua risiko yang signifikan
dalam pencapaian tujuan organisasi di
identifikasi dan diukur dengan tepat,
Setiap risiko yang signifikan dikelola di
dalam suatu risk appetite (risiko yang
dapat diterima oleh organisasi) yang
tertentu, Manajemen operasi merespon
setiap risiko tepat dan sesuai kapasitas
organisasi. RBIA memiliki hubungan erat
dengan RM organisasi. Ia merupakan
metodologi yang menghubungkan antara
audit intern dengan keseluruhan kerangka
manajemen risiko organisasi.
RBIA atau audit berbasis risiko secara
khusus ditujukan untuk menguji efektivitas
manajemen risiko organisasi dalam
mengelola risikonya. Efektivitas tersebut
bisa dilihat dari keberhasilan organisasi
dalam menjaga risikonya agar berada di
bawah batas toleransi (risk tolerance) dan
selera (risk appetite) yang tetapkan.
Nampak jelas bahwa audit berbasis risiko
bukan berarti audit terhadap risiko
melainkan audit terhadap proses
manajemen risiko. Konsepsi ini sekaligus
menegaskan pemisahan antara tanggung
jawab audit intern dengan tanggung jawab
manajemen risiko. Manajemenlah yang
bertanggung jawab terhadap manajemen
risiko organisasi, lalu auditor intern
mengaudit atau menguji pelaksanaan
tanggung jawab itu.
Griffiths (2015) berpendapat bahwa dalam
konteks RBIA, audit intern dapat
memberikan opini hanya jika telah ada
kerangka manajemen risiko. Jika tidak,
semua aktivitasnya adalah konsultansi.
Karena penerapan manajemen risiko
menjadi syarat mutlak RBIA, maka
diperlukan kriteria untuk menentukan
penerapan manajemen risiko yang layak
sebagai dasar untuk memulai RBIA.
Kriteria ini penting mengingat setiap
organisasi akan berbeda-beda level
penerapan manajemen risikonya.
Pentingnya membuat manajemen risiko
'diperhitungkan' dalam keputusan strategis
tingkat tinggi mungkin merupakan
pelajaran yang paling disepakati para
pelaku industri saat ini Tanggung jawab
utama untuk manajemen risiko tidak hanya
terletak pada direktur dan manajemen
senior, melainkan juga auditor internal
juga dipandang sebagai kontributor utama
sebagai konsultan dan penyedia jaminan
pada proses dan sistem manajemen risiko
Menurut Standar IIA 2120: Manajemen
Risiko, audit internal harus mengevaluasi
efektivitas dan berkontribusi pada
perbaikan proses manajemen risiko.
Aktivitas manajemen risiko yang
dilakukan oleh audit internal harus terdiri
dari lima langkah (Coetzee & Lubbe
2014), yaitu:
 menetapkan tujuan perikatan audit
berdasarkan tujuan aktivitas yang
ditinjau
 mengidentifikasi kejadian operasional
atau strategis dalam ruang lingkup
perikatan audit (termasuk risiko yang
mengancam pencapaian tujuan)
 melakukan penilaian risiko di mana
risiko diukur dalam hal kemungkinan
(kemungkinan bahwa suatu peristiwa
tertentu akan terjadi) dan dampak
(hasil atau akibat dari suatu peristiwa)
 respons risiko (manajemen
mengembangkan serangkaian tindakan
untuk menyelaraskan risiko dengan
selera risiko organisasi) yang telah
atau harus diterapkan oleh manajemen
 dan aktivitas pengendalian yang harus
menjadi bagian dari respons risiko.
Dengan melakukan langkah-langkah
tersebut, auditor internal dapat
membantu perusahaan untuk
melakukan manajemen risiko yang
efektif dan efisien.
Oleh sebab itu, fungsi audit internal harus
mengevaluasi kecukupan desain dan
efektivitas operasi proses manajemen
risiko organisasi dengan memberikan
masukan dan umpan balik melalui tinjauan
berkala (audit). Hal ini juga sesuai untuk
fungsi audit internal untuk memfasilitasi
identifikasi dan evaluasi risiko dan
peluang, melatih manajemen tentang cara
yang tepat untuk menanggapi peristiwa
dan peluang risiko, dan membantu
organisasi mengoordinasikan aktivitas
manajemen risiko di seluruh perusahaan.
Semakin, internal fungsi audit
berkoordinasi lebih aktif dengan kelompok
manajemen risiko lainnya, tidak hanya
dalam perannya sebagai bagian dari lini
pertahanan ketiga, tetapi juga dalam upaya
untuk mendapatkan efisiensi bagi
organisasi dengan memanfaatkan sinergi
penjadwalan dan memanfaatkan upaya
assurance semaksimal mungkin. Namun,
fungsi audit internal tidak boleh
menetapkan selera risiko organisasi,
membuat keputusan tentang respons risiko
yang sesuai, atau mengambil alih
kepemilikan (bertanggung jawab atas)
proses manajemen risiko karena hanya
manajemen yang harus mengambil peran
ini.
KESIMPULAN
Berdasarkan hasil pembahasan yang telah
dipaparkan Audit internal telah memasuki
paradigma baru di mana kini auditor tidak
lagi berfungsi sebagai watchdog, tetapi
lebih sebagai miha. Sejalan dengan hal itu,
pendekatan audit berbasis pengendalian
yangbersifat pasif dan reaktif berubah
menjadi pendekatan audit berbasis risiko
yang. bersifat aktif dan antisipatif. Dalam
Audit Berbasis Risiko, auditor harus
mengevaluasi efektivitas proses
manajemen proses, pengendafian intern,
dan public governance sebagai bentuk
pelaksana anaktivitas assurarice dan
konsultasi untuk dapat memberikan nilai
tambah dan memperbaiki kegiatan
organisasi. Audit Berbasis Risiko adalah
metodologi audit bagi para auditor, yang
berfokus pada risiko-risiko dan manaiemen
risiko sebagai sasaran audit.
Manajemen risiko dan teknik pengendalian
risiko telah menjadi suatu bagian penting
dalam suatu organisasi. Tantangan bagi
para auditor adalah untuk memahami
risiko yang relevan, dampak finansial dari
setiap transaksi yang dilakukan dan tujuan
mendasar dari parapengguna, untuk
menentukan dan menetapkan pengendalian
yang efektif.
Manfaat diterapkannya pendekatan risk IIA – UK and Ireland (2003), Risk Based
based internal auditing antara lain dapat Internal Auditing, Institute of
meningkatkan efisienst dan efektivitas Internal Auditors, Altamonte
internal auditor dalam melakukan audit, Springs, FL, available at:
sehingga secara tidak langsung dapat www.iia.org.uk
meningkatkan kinerja Departemen Internal
audit. Internal Auditor saat ini perlu Institute of Internal Auditors. (2000).
melakukan reorientasi dalam audit, antara Standards for the Professional
lain dengan menerapkan suatu pendekatan Practice of Internal Auditing
yang disebut dengan Risk Based intemal (SPPIA)
Auditing.
Institute of Internal Auditors. 2009. IIA
position paper: the role of internal
auditing in enterprise-wide risk
DAFTAR PUSTAKA management
Arens, Alvin A, Elder, Randal J, & Beasly, Institute of Internal Auditors. (2014).
Mark S. (2011). Auditing and Chartered Institute of Internal
Assurance Services, An Integrated Auditors – Risk based internal
Approach (13thed). Pearson Prentice auditing.
Hall; New Jersey
Sawyer, Lawrence, Dittenhofer, Mortimer,
Ayagre. (2014). The Adoption of Risk and Scheiner, 2003, Sawyer,s
Based Internal Auditing in Internal Auditing : The Practice of
Developing Countries: The Case of Modern lntemal Auditing,
Ghanaian Companies,2, 52-65. TheInstitute of Inlemal Auditor
Retrieved November 15, 2016.
Tampubolon, M. (2005). Manajemen
COSO ERM Integrated Framework. Keuangan, Edisi Pertama. Jakarta,
(2004) by the Committee of Indonesia: Ghalia Indonesia
Sponsoring Organizations of the
Treadway Commission The Institute of Risk Management. 2012.
A Risk Management Standar
Griffiths, D. (2006), Risk Based Internal http://www.theirm.org/publications
Auditing: An Introdution, available /documents/ Risk Management
at: www.internalaudit. biz (accessed Standar 030820.pdf
24 Oktober, 2022).
Tunggal, A.W. (2009). Akuntansi
Griffiths, D. (2006), Risk Based Internal Manajemen. Jakarta, Indonesia:
Auditing: An implementation, Harvindo.
available at: www.internalaudit. biz
(accessed 24 Oktober, 2022).

Ikatan Akuntan Indonesia. 2011. Standar

Profesional Akuntan Publik. IAI;
Jakarta