Risk based audit dimulai dengan melakukan risk assesment baik dalam bentuk
macro maupun micro (detail), untuk setiap entitas yang dapat diaudit yang umumnya
terdiri dari proses,produk,unit kerja pada organisasi dan sebagainya. Entitas audit
yang berisiko tinggi umumnya di audit lebih sering daripada entitas audit dengan
risiko lebih rendah frekuensi pelaksanaan audit atas tiap entitas yang disesuaikan
dengan risiko hasil pengukuran risiko disebut dengan audit frequency. Risk assesment
disusun dengan secara sistematis dimulai dengan pemahaman terhadap strategi dan
tujuan dari organisasi. Selanjutnya dibuatkan daftar seluruh risiko yang ada untuk
setiap entitas audit. Kumpulan risiko ini disebut risk universe. Selanjutnya risiko
diukur dari perspektif dampak dan profitabilitas. Dampak menggambarkan besarnya
ketugian yang harus ditanggung jika kondisi tersebut terjadi, dan probabilitas
menggambarkan kemunhkinan terjadinya kondisi tersebut.
Risk assesment yang dilakukan SKAI seharusnya searag dengan strategi
manajemen risiko sehingga konsep integrated assuranve dimana SKAI sebagai layer
ketiga dapat berjalan selaras dan efektif bersama fungsi assurance lainnya di layer
kedua dan pertama, umumnya untuk mendapatkan pengukuran risiko yang telah
terindentifikasi dalam risk universe menggunakan perkalian antara dampak dengan
probabilitas, untuk itu setiap dampak yang ada harus dikualifikasikasi, begitu juga
halnya dengan probabilitas. Hasil pengukuran ini biasanya dipetakan dalam kuadran
risiko yang dibagi sesuai dampak dan probabiltas.
3. Perencanaan Audit Tahunan terkait dengan RBA
Dalam perencanaan audit, auditor internal menentukan tujuan, ruang lingkup,
waktu, dan sumber daya yang dibutuhkan. Hal tersebut sesuai dengan Performance
Standart kode 2200.
Tujuan dari setiap aktivitas audit yang akan dilaksanakan harus selaras dengan
hasil risk assesment, artinya prosedur dan teknik audit serta kompetensi auditor yg
dilibatkan sesuai dengan risiko dan pengendalian internal yang akan diaudit.
Selanjutnya ruang lingkup audit harus memenuhi kebutuhan dari tujuan audit tersebut.
Dalam tahap perencanaan audit, bentuk komunikasi dan laporan hasil audit juga dapat
dibentuk dari awal.
Untuk melaksanakan audit, auditor internal dapat membuat audit
program/engagement work program yg berisi prosedur dan teknik audit yang akan
dijlankan, sumber daya auditor yang terlibat, waktu, dan target penyelesaian. Dalam
pelaksanaannya audit program ini dapat dimodifikasi dalam pelaksanaan audit.
Selanjutnya supervisi dalam pelaksanaan audit harus dilakukan untuk
memastikan tujuan audit telah tercapai, kualitas terpenuhi, dan kompetensi auditor
menjadi lebih baik.
Hal-hal yang harus dipertimbangkan dalam perencanaan audit tahunan adalah
sebagai berikut :
a. Tujuan dari aktivitas audit dan bagaimana kinerja dari aktivitas tersebut dapat
diawasi.
b. Risiko signifikan yg timbul dari hasil risk assesment telah tercakup dalam
ruang lingkup audit
c. Risiko dari aktivitas audit yg dilakukan dan level yang dapat diterima jika
terjadi penyimpangan terhadap tujuan dan ruang lingkup pada saat
perencanaan
d. Apakah ruang lingkup dan prosedur audit yang digunakan dapat memberi
dampak signifikan terhadap perbaikan proses manajemen risiko, tata kelolaa
dan proses pengendalian internal yang diperiksa. Dalam hak ini apakah biaya
yg telah dikeluarkan dan sumber daya yang digunakan akan memberi manfaat
yang optimal.