RESUME AUDIT INTERN

KELOMPOK G

05.05.2023

ARRANGED BY LECTURER
BETH SHEKINA - 202050023 RINJANI, S.E., M.SI.
OLWEN FEBRY IRAWAN - 202050201
JENNYVER - 202050272
 RESUME KELOMPOK G
Risk Based Internal Audit
Jumat 13:30 – 16.00
Kelas E
Rinjani, S.E., M.SI.

Nama Kelompok:
Beth Shekina Grahan-202050023
Olwen Febry Irawan-202050201
Jennyver-202050272

Accounting Major
Trisakti School of Management
Jakarta
2023
Risk Based Internal Audit (RBIA) Methodology

Risk Based Internal Audit (RBIA) adalah metodologi internal yang terutama berfokus pada
risiko inheren yang terlibat dalam aktivitas atau sistem dan memberikan jaminan bahwa risiko
dikelola oleh manajemen dalam tingkat selera risiko yang ditetapkan.

RBIA adalah kerangka kerja manajemen risiko dari manajemen dan di setiap tahap berupaya
memperkuat tanggung jawab manajemen dan Direksi-BOD (Board of Directors) untuk
mengelola risiko.

RBIA memungkinkan audit internal untuk memberikan jaminan kepada dewan bahwa proses
manajemen risiko mengelola risiko secara efektif, terkait dengan selera risiko Audit internal
berbasis risiko dilakukan oleh departemen audit internal untuk membantu fungsi manajemen
risiko perusahaan dengan memberikan jaminan tentang mitigasi risiko.

Tujuan Risk Based Internal Audit (RBIA)

Audit internal RBIA mempunyai tujuan:

● Mengidentifikasi, menilai dan menanggapi risiko diatas dan dibawah risk appetite
● Memberi tanggapan terhadap risiko efektif tetapi tidak berlebihan dalam mengelola
risiko yang melekat dalam risk appetite
● Mengambil tindakan memperbaiki, jika risiko residual tidak sejalan dengan risk
appetite.
● Memantau proses manajemen risiko, termasuk keefektifan tanggapan dan penyelesaian
tindakan, oleh manajemen untuk memastikan mereka terus beroperasi secara efektif
● Mengklasifikasikan dan melaporkan risiko, tanggapan dan tindakan diklasifikasikan
dan dilaporkan dengan benar.

Connection Between Internal Audit and Risk Management

Risiko adalah sesuatu yang dapat mengurangi pencapaian tujuan pengendalian.

Risiko dapat muncul dari sumber-sumber internal dan eksternal seperti customer, employees,
computer hacken, criminals.

Risiko dapat berubah dengan adanya perubahan lingkungan seperti berubahnya penggunaan
teknologi, berubahnya kebijakan pengupahan dan lain-lain.

Manajemen risiko merupakan bagian yang tak terpisahkan dari bentuk manajemen sebuah
perusahaan berkualitas, yang sering dikaitkan dengan proses audit internal yang dilakukan
secara berkala oleh pihak perusahaan itu sendiri.

TRISAKTI SCHOOL OF MANAGEMENT 2|Page

Fungsi utama dari manajemen risiko adalah untuk mengidentifikasi dan mengelola risiko
yang ada

Tugas utama dari audit internal adalah untuk memastikan bahwa semua risiko yang dihadapi
perusahaan telah ditangani dengan maksimal.

Agar dapat mendesain sistem pengendalian yang efektif, akuntan dan perancang sistem harus
dapat menilai dan menemukan risiko yang dapat mempengaruhi perusahaan dalam mencapai
tujuannya.

Pengendalian yang efektif terhadap pada suatu entitas bisnis akan menghasilkan efisiensi
penggunaan sumber daya perusahaan, berjalannya mekanisme pertanggungjawaban, dan
menghasilkan informasi yang berguna serta dapat dipercaya.

Untuk menciptakan pengendalian yang efektif perusahaan seringkali melibatkan akuntan dan
auditor sebagai internal controller. Di sisi lain, tuntutan dari berbagai aspek, baik internal
maupun eksternal perusahaan membuat keberadaan audit internal sebagai pelengkap sistem
manajemen risiko menjadi semakin dibutuhkan.

Tuntutan tersebut hadir dalam berbagai bentuk yaitu:

1. Tuntutan dari para pemegang kebijakan dan pemegang saham yang

mengharuskan pihak perusahaan untuk lebih meningkatkan kontrol, tanggung jawab,
dan disiplin.
2. Risiko dalam hal keuangan yang semakin kompleks. Kebijakan dalam hal investasi,
pinjaman, dana cadangan perusahaan, serta portofolio nilai kredit perusahaan
membutuhkan pengawasan secara terus menerus untuk memastikan bahwa semua
kemungkinan risiko yang dapat terjadi sewaktu-waktu telah diantisipasi sebelumnya.
3. Risiko keamanan dari pihak penyedia. Pihak manajemen sebuah perusahaan,
khususnya bagian manajemen risiko perlu lebih mempersiapkan diri menghadapi risiko
yang dibawa oleh pihak penyedia atau supplier.
4. Risiko keamanan yang semakin bertambah. Risiko keamanan yang dihadapi pihak
perusahaan menjadi semakin bertambah dari waktu ke waktu, mulai dari kasus
pencurian yang dilakukan oleh karyawan hingga pembobolan jaringan komputer oleh
peretas.
5. Risiko tuntutan hukum atas kelalaian yang terjadi. Risiko mendapat tuntutan
hukum dari pihak yang merasa dirugikan oleh pihak lain menjadi semakin besar.
Pelaksanaan audit internal akan memastikan bahwa segala celah yang rentan akan
tuntutan hukum telah memiliki jaring pengaman.

Dengan adanya semua tuntutan tersebut, keberadaan audit internal menjadi sangat penting dan
berdiri sejajar dengan proses manajemen risiko. Keberadaan manajemen risiko sendiri tidak
akan lengkap tanpa adanya audit internal untuk melakukan review terhadap efektivitas
kebijakan pihak manajemen untuk kebaikan perusahaan itu sendiri

TRISAKTI SCHOOL OF MANAGEMENT 3|Page

Hubungan antara Risk Management dengan Audit Internal adalah sangat erat dimana
memfokuskan pada kinerja manajemen dalam mencakup pengembangan control dan aktifitas
monitoring untuk mengevaluasi kinerja dan supervisi aktivitas perusahaan. Hal ini
dimaksudkan agar terjadi kesesuaian aktivitas dengan kebijakan dan prosedur serta kesesuaian
aktivitas dengan peraturan-peraturan dan regulasi.

Responsibillity for Risk Management of internal auditor

Peran audit internal melibatkan tiga elemen utama: menilai dan meningkatkan risiko
manajemen, menilai sistem internal pengendalian ,dan proses tata kelola di perusahaan.

Unsur-unsur tersebut meliputi kebijakan dan prosedur untuk memastikan penilaian risiko dan
kepatuhan terhadap hukum dan peraturan yang berlaku.

Peran utama audit internal dalam manajemen risiko adalah menilai dan memantau risiko yang
dihadapi perusahaan, dan memberikan rekomendasi pengendalian mitigasi risiko yang tepat.

Tanggung Jawab Internal Audit Terkait Manajemen Risiko:

1. Peran audit internal inti terkait dengan ERM

● Memberikan jaminan atas proses manajemen risiko
● Memberikan jaminan bahwa risiko dievaluasi dengan benar
● Mengevaluasi proses manajemen risiko
● Mengevaluasi pelaporan risiko utama
● Meninjau pengelolaan risiko utama

2. Peran audit internal yang sah dengan perlindungan

● Memfasilitasi identifikasi & evaluasi risiko
● Coaching manajemen dalam menanggapi risiko
● Mengkoordinir kegiatan ERM
● Pelaporan konsolidasi tentang resiko
● Memelihara dan mengembangkan kerangka kerja ERM
● Memperjuangkan pembentukan ERM
● Mengembangkan strategi RM untuk persetujuan dewan

Response for Risks

Risk response adalah sarana yang dipilih organisasi untuk mengelola risiko individu. Risiko
dikelola dengan menggunakan proses respons yang telah dipertimbangkan. Manajer
bertanggung jawab untuk mengembangkan respons terhadap risiko dan memutuskan tindakan
yang akan diambil jika risiko tidak dikendalikan dengan baik. Setiap risiko harus memiliki
respons; setiap respons dapat diaudit. Beberapa kategori dari respons terhadap risiko adalah:

TRISAKTI SCHOOL OF MANAGEMENT 4|Page

 ● Tolerate - tidak melakukan apapun. Respons ini digunakan di mana tidak mungkin
untuk mengurangi risiko secara efektif. Jika hal ini berlaku, penting agar dewan secara
formal menerima risikonya. Kebutuhan akan rencana darurat harus dipertimbangkan.
omite audit harus menyadari hal ini dan kemungkinan memberikan jaminan atas
rencana kontinjensi dipertimbangkan.
● Transfer - mengalihkan risiko ke pihak lain, misalnya dengan asuransi atau
mengontrakkannya. Perhatikan bahwa outsourcing tidak serta merta mentransfer risiko,
itu hanya dapat mengubah orang yang bertanggung jawab untuk mengelolanya.
Asuransi tidak mengalihkan semua risiko; hanya sebagian atau sebagian besar biaya
dampak.
● Terminate - menghilangkan keadaan yang menimbulkan risiko.
● Treat - menerapkan sistem pengendalian internal untuk mengurangi risiko hingga di
bawah risk appetite (tingkat risiko yang dapat diterima oleh dewan atau manajemen).

Sebagai alternatif, organisasi dapat merespons dengan mengambil opportunity – Ini adalah opsi
yang berlaku untuk tolerate, transfer atau treat dan khususnya berlaku untuk usaha baru. Risk
modelling techniques harus digunakan untuk memastikan bahwa nilai risiko dibenarkan oleh
kemungkinan gain.

The Changed Audit Approach

Laporan audit 'tradisional' biasanya terdiri dari konfirmasi bahwa kontrol beroperasi dengan
benar (sebuah istilah yang sering tidak didefinisikan), dan membuat rekomendasi di tempat
yang tidak semestinya. Pembuatan rekomendasi oleh auditor internal, yang diharapkan dapat
diterima oleh manajer, dapat menimbulkan asumsi bahwa audit internal bertanggung jawab
atas pengendalian dan, implikasinya, manajemen risiko.

Namun, Turnbull Guidance (dan pedoman selanjutnya dikeluarkan oleh organisasi lain)
menekankan kenyataan: manajer bertanggung jawab untuk mengembangkan respons terhadap
risiko dan untuk memutuskan tindakan yang akan diambil jika risiko tidak dikendalikan dengan
baik.

Dampak terhadap aktivitas audit internal adalah memperjelas perannya:

Peran inti Audit Internal adalah untuk memberikan jaminan (assurance) kepada manajemen
dan dewan tentang efektivitas manajemen risiko.

Jika jaminan tidak dapat diberikan, tanggung jawab ada pada manajemen untuk menerapkan
respons yang tepat. Audit internal mungkin masih membuat rekomendasi, tetapi ini adalah
bagian dari peran ‘konsultasi’.

Pemisahan peran audit internal dengan cara ini, memiliki implikasi besar bagi departemen audit
internal:

Dalam konteks RBIA, audit internal hanya dapat memberikan jaminan (assurance) di mana
kerangka kerja manajemen risiko sudah ada: semua pekerjaan lainnya adalah konsultasi.

TRISAKTI SCHOOL OF MANAGEMENT 5|Page

Assessing Risks

Penilaian (evaluation/scoring) sebuah risiko mempengaruhi pendekatan audit (assurance atau

konsultasi) yang akan dibahas lebih detail saat melihat perencanaan audit.

Metode scoring risks yang biasa dilakukan adalah menentukan tingkat (misalnya tinggi,
sedang, rendah), atau skor (misalnya 1 sampai 5) pada “konsekuensi” dan “kemungkinan”
risiko. Jika level diberi nilai numerik, skor “konsekuensi” dan “kemungkinan” dapat
digabungkan (misalnya, dengan perkalian, atau dengan memberi peringkat pada grid) untuk
memberikan skor keseluruhan. Jadi misalnya, skor risiko tertinggi adalah 25 atas dasar ini, saat
menggunakan rentang skor 1 hingga 5.

Contoh grid ada di bawah. Organisasi yang bersangkutan telah menetapkan setiap risiko yang
mendapat skor 5, atau lebih, berada di atas risk appetite-nya, meskipun dianggap bahwa setiap
risiko yang mendapat skor 9 atau lebih adalah risiko utama dan tindakan harus diambil untuk
mengelola risiko (lihat 3.3.2).

Lampiran A memberikan saran lebih lanjut tentang penilaian risiko, dengan menggunakan
skala 1-5.

TRISAKTI SCHOOL OF MANAGEMENT 6|Page

Risiko inheren dan risiko residual dinilai. Dalam sistem penilaian numerik perbedaan antara
skor ini dikenal sebagai control score, penilaian efektivitas kontrol, atau control co-efficient.
Semakin tinggi control score, semakin penting kontrol tersebut. Karena risiko sekarang
memiliki nilai numerik, risiko tersebut dapat diurutkan untuk menunjukkan risiko inheren
terbesar, risiko residual terbesar, atau risiko dengan control score terbesar.

Dalam organisasi dengan beberapa unit operasi, seperti anak perusahaan di luar negeri,
konsekuensi risiko dapat dinilai dalam kaitannya dengan nilai unit tersebut serta dalam
kaitannya dengan organisasi secara keseluruhan. Dengan demikian risiko yang menyebabkan
kegagalan katastropik dari anak perusahaan kecil dapat mencetak konsekuensi 5 dalam daftar
risiko anak perusahaan, tetapi hanya 3 dalam daftar risiko korporat.

Management Monitoring of Controls

Klarifikasi bahwa manajemen bertanggung jawab untuk mengembangkan, mengoperasikan,
dan memantau sistem pengendalian internal mengarah pada persyaratan bagi manajemen untuk
memiliki proses yang memastikan bahwa pengendalian beroperasi dengan benar. Kontrol
pemantauan tersebut dapat mencakup:
- Daftar periksa kontrol utama bulanan, ditandatangani oleh staf yang bertanggung
jawab, sebagai bukti bahwa pemeriksaan penting telah dilakukan.
- Persetujuan manajemen rekonsiliasi bank untuk memeriksa item lama, atau tidak biasa.
- Pemeriksaan manajemen atas daftar debitur yang beredar, untuk memastikan kontrol
kredit beroperasi secara efektif.

Dengan RBIA, penekanan pada pengecekan kontrol berpindah dari memastikan kontrol operasi
utama (seperti otorisasi tagihan) efektif, untuk memeriksa bahwa kontrol manajemen yang
melaporkan kegagalan dalam kontrol operasi utama efektif. Sementara memeriksa bahwa
pengendalian operasi efektif masih penting, ada bahaya bahwa manajemen bergantung pada
audit internal untuk memastikan operasi yang tepat daripada memulai pemeriksaan mereka
sendiri.

The RBIA Stages

1. Penilaian risk management maturity
Menurut IIA (Institute of internal auditor): Memberikan pemahaman atas reliabilitas risk
register dalam tujuan perencanaan audit.
Tujuan penilaian tingkat kematangan manajemen risiko adalah untuk mengidentifikasi tingkat
kematangan penerapan manajemen risiko dan menentukan kemungkinan dilakukannya AIBR
pada perusahaan serta menentukan bagaimana Departemen Audit Internal menyusun rencana
audit dan dapat menghasilkan laporan kepada komite audit. Penilaian dilakukan dengan
menggunakan kuesioner survai tingkat kematangan manajemen risiko ataupun wawancara dan
workshop.

TRISAKTI SCHOOL OF MANAGEMENT 7|Page

Score Tingkat Kematangan

Tahapan RBIA

TRISAKTI SCHOOL OF MANAGEMENT 8|Page

Tingkat kematangan manajemen risiko menurut David Griffiths terdiri dari Risk Naive, Risk
Aware, Risk Defined, Risk Managed, dan Risk Enabled.
a. Risk Enabled: (Manajemen risiko dan pengendalian internal menyatu dalam operasi).
Memiliki suatu daftar risiko yang lengkap yaitu daftar yang berisi risiko-risiko
lengkap dengan penilaian risiko bawaan (inherent risk) dan control yang di-design
untuk merespon inherent risk tersebut serta nilai risiko setelah adanya control tersebut.
Jika suatu organisasi sudah berada pada tahapan risk enable, maka kecil kemungkinan
didapati temuan-temuan signifikan berkaitan dengan tugas/peranan pertama sampai
ketiga dari audit internal. Organisasi di tingkat risk enable ini dianggap cukup matang
dalam menjalankan proses manajemen risiko secara penuh sehingga kalaupun
ditemukan kelemahan-kelemahan pada saat hasil audit nantinya, diharapkan
manajemen sudah aware dan telah mengetahui tindakan-tindakan yang perlu diambil
untuk mengatasi kelemahan tersebut.

b. Risk Managed: (Perusahaan telah mengembangkan dan mengkomunikasikan

manajemen risiko secara enterprises-wide)
Masih memerlukan perhatian khusus dari auditor internal pada saat dia
menjalankan tugasnya di tahapan pertama sampai ketiga. Organisasi pada tahap ini
masih memerlukan peranan auditor internal dalam hal pemberian rekomendasi kepada
pihak manajemen

c. Risk Defined: (Strategi, kebijakan, dan risk appetite diterapkan dan dikomunikasikan)
Sudah mengindentifikasi risiko-risiko hanya saja belum menyatukan risiko-
risiko tersebut dalam suatu daftar risiko yang lengkap dan terintegrasi. Disinilah audit
internal memainkan peranannya sebagai konsultan dalam memfasilitasi penyatuan
risiko-risiko yang telah dibuat oleh para manajer. Audit internal akan banyak
memberikan perhatiannya dalam menjalankan peranan pertama sampai ketiga dan juga
akan memberikan masukan bagi manajer untuk mengambil tindakan-tindakan yang
perlu diambil pada saat ditemukan permasalahan-permasalahan.

d. Risk Aware: (Pengembangan manajemen risiko masih terpisah-pisah (silo) atau

perbagian)
Pada tingkat ini, belum memiliki daftar risiko-risiko, mungkin hanya ada sedikit
manajer yang telah menetapkan risiko-risiko dalam departemennya. Audit internal akan
berfungsi sebagai konsultan/fasilitator untuk membantu para manajer dalam
mengidentifikasi risiko-risiko yang menjadi tanggung jawabnya, menilai risiko-risiko
tersebut dan memberikan masukan kepada manajer bagaimana merespon risiko-risiko
tersebut. Oleh karena organisasi pada tahapan ini belum memiliki kerangka manajemen
risiko, maka RBIA tidak dapat diterapkan.

e. Risk Naive: (Tidak ada pendekatan formal yang dikembangkan untuk manajemen
risiko).
Audit internal akan berperan sebagai konsultan dalam membuat kerangka
manajemen risiko. RBIA baru dapat diterapkan setelah kerangka tersebut selesai dibuat.
Yang membedakan tingkat risk aware dengan risk naive adalah pada risk aware,
organisasi sudah mengenal apa itu risiko dan organisasi tersebut sedang bergerak dari

TRISAKTI SCHOOL OF MANAGEMENT 9|Page

 pendekatan risiko yang terpisah – pisah (scattered silo approach) ke Enterprise Risk
Management, sedangkan pada risk naive sama sekali belum memiliki pendekatan
formal dalam mengembangkan manajemen risiko.

2. Perencanaan audit
Menurut IIA: Merencanakan pekerjaan dalam rangka assurance dan consulting untuk
periode tertentu, menetapkan area prioritas, risiko kunci, cara memanajemen risiko, pencatatan
dan pelaporan risiko.
Produk/hasil yang akan dicapai di tahap kedua ini adalah Risk & Audit Universe (RAU)
yang dipakai oleh internal audit sebagai dasar pembuatan audit plan. RAU merupakan suatu
produk/hasil yang menghubungkan risk register yang dibuat oleh manajemen dengan audit
yang akan dilakukan oleh auditor internal untuk memberikan keyakinan bahwa masing –
masing risiko tersebut telah dikelola dengan efektif.

Tahapan Audit internal dalam menghasilkan RAU (Risk & Audit Universe):
- Menyaring risiko = dilakukan dengan menentukan risiko yang akan
ditindaklanjuti dengan audit dengan mengeluarkan risiko dari daftar register
risiko. Risiko yang ditidaklanjuti seperti: risiko yang skornya dibawah risk
appetite, dibuat oleh pihak ketiga, dan pihak yang sudah ditransfer kepada pihak
lain misal diasuransikan.
- Membuat kategori atas risiko = membantunya dalam perencanaan audit dan
menghindari adanya risiko – risiko ganda

TRISAKTI SCHOOL OF MANAGEMENT 10 | P a g e

Proses Filtering Risiko

Menurut Ciawi (2018):

a. Pengembangan audit universe (daftar unit-unit auditee)
 Identifikasi seperti:
 Pertimbangan dalam penetapan Audit Universe
Sumbangan terhadap tujuan program, atau concern perusahaan dan stakeholders
lainnya.
 Bahan untuk pertimbangan penetapan Audit Universe :
- Dokumen Perencanaan,
- Struktur Organisasi
- Statistik Daerah/Nasional,
- Diskusi dengan Pihak Eksekutif,
- Peraturan yang berkenaan dengan pembentukan unit,
- Peraturan perundang – undangan dari Kementerian BUMN,
- Brainstorming dan lain sebagainya

TRISAKTI SCHOOL OF MANAGEMENT 11 | P a g e

Contoh Audit Universe

 Penentuan faktor–faktor Risiko

Faktor Risiko adalah kriteria (kategori atau faktor) yang digunakan untuk
menggambarkan kondisi risiko yang ada dalam suatu unit audit yaitu dengan risk
register
 Penilaian Nilai Risiko Global

b. Penentuan kebijakan penilaian dan frekuensi audit

Ada 2 Metode penentuan, yaitu :
- Audit Atas Seluruh Unit Audit
- Audit Atas Sebagian Unit Audit

c. Alokasi Sumber Daya Audit (SDM, Waktu, Anggaran)

Hal – hal yang harus diperhatikan :
- Identifikasi jumlah auditor berdasarkan tingkat keterampilan dan pengalaman
yang diperlukan untuk setiap pemeriksaan,
- Identifikasi kebutuhan untuk menggunakan tenaga ahli external,
- Hitung hari kerja yang tersedia dalam satu tahun setelah dikurangi hari cuti dan
hari libur
- Perhitungkan waktu bagi auditor untuk melakukan pendidikan dan pelatihan
- Perhitungkan waktu auditor untuk melakukan kegiatan pemeriksaan lain dan
penugasan khusus lainnya.
- Perhatikan tarif transportasi dan tarif biaya perjalanan dinas
- Perhatikan sarana pendukung dan peralatan yang dibutuhkan

TRISAKTI SCHOOL OF MANAGEMENT 12 | P a g e

 3. Penugasan individual audit
Menurut IIA: Melakukan setiap pekerjaan dengan berlandaskan risiko untuk memberikan
assurance sebagai bagian dari kerangka manajemen risiko, termasuk melakukan mitigasi atas
kelompok risiko maupun risiko individu.

Tujuan: memastikan bahwa risiko – risiko telah dikelola dengan efektif. Hasil dari
pelaksanaan audit individu ini adalah suatu bentuk laporan yang menyajikan risiko –risiko yang
ternyata tidak dikelola dengan baik atau pengendalian tidak dilakukan dengan semestinya.
Laporan ini nantinya berguna untuk memberikan nasihat kepada pihak manajemen dalam
meng-update residual risk dalam risk register mereka.

Tahapan pelaksanaan AIBR untuk individual audit terdiri dari:

a. Memperoleh latar belakang auditan
b. Pemahaman proses bisnis
c. Pemahaman risiko dalam proses bisnis
d. Evaluasi efektifitas rancangan pengendalian risiko
e. Evaluasi efektivitas pelaksanaan pengendalian risiko
f. Penilaian risiko residual
g. Identifikasi isu-isu utama
h. Penyusunan Laporan Hasil Audit
The Pluses Minuses RBIA
The Pluses RBIA
- Audit berbasis risiko adalah konsep sederhana. Hal ini melibatkan seluruh organisasi
dan prosesnya, jadi tidak perlu menentukan fungsi mana yang harus melibatkan
audit internal semuanya.
- Memberikan nilai tambah bagi organisasi. Dengan melakukan perencanaan audit
berdasarkan risiko, maka diharapkan auditor internal dapat memiliki cara pandang
yang lebih komprehensif & preventif serta align dengan tujuan perusahaan. Jika cara
pandang ini sudah melekat dalam tubuh departemen audit internal, tentulah audit
internal lebih dapat memberikan suatu nilai tambah / manfaat yang lebih bersifat
jangka panjang bagi suatu organisasi.
- Menjalankan komunikasi yang lebih baik dengan manajemen. Audit internal
dianggap sebagai mitra kerja bagi pihak manajemen yaitu dengan menjalankan
fungsinya sebagai katalis/konsultan. Dengan menggunakan metode RBIA ini, audit
internal akan melibatkan manajemen untuk berpartisipasi aktif sehingga sehingga
terjalin komunikasi yang lebih baik.
- RBIA tidak hanya fokus kepada risiko-risiko yang berdampak besar yang tidak
dikontrol secara layak, akan tetapi juga risiko – risiko yang memiliki over controlled
sehingga menghabiskan sumber daya yang tidak diperlukan
- Pekerjaan lebih menantang dan menarik bagi staf. Mereka harus bekerja di bidang
non keuangan, dengan staf yang mungkin diperbantukan untuk audit. Tidak ada
program kerja yang berubah-ubah, tanpa benar-benar memahami mengapa tes itu
dilakukan.
- Audit berbasis risiko lebih efisien, karena mengarahkan audit ke area berisiko tinggi,
berlawanan dengan area keuangan, yang mungkin tidak mewakili risiko sebesar itu.
- RBIA dapat memberi peringkat rekomendasi, untuk memberikan nilai tambah
terbesar dalam hal mitigasi risiko.

TRISAKTI SCHOOL OF MANAGEMENT 13 | P a g e

 - RBIA mengharuskan organisasi memiliki daftar risiko inheren yang lengkap,
terstruktur, dan diprioritaskan. Karena risiko adalah tanggung jawab manajemen,
akan melibatkan sumber daya manajemen senior untuk menyusunnya. Namun,
setelah disusun, daftar seperti itu hanya perlu diperbarui secara berkala revisi dan
diperlukan untuk tujuan lain, seperti pengambilan keputusan manajemen.

Minuses RBIA
- Hubungan yang lebih dekat dengan bagian organisasi lainnya dapat mengurangi
independensi fungsi audit internal. Kita harus mencegah hal ini dengan memperjelas
tanggung jawab audit internal
- Ini kerja keras! Menjual proses berbasis risiko kepada organisasi, membuatnya
memberi tahu risikonya, menilai mereka, dan kemudian harus melakukan beberapa
audit sulit yang belum pernah kami lakukan sebelumnya. Manajemen pemangku
kepentingan sangat penting, dan membutuhkan waktu.
- Meskipun prinsipnya sederhana, penyampaiannya bisa rumit
- Staf yang ada memerlukan pelatihan ulang.
- Dengan berkonsentrasi pada audit atas risiko inheren di atas selera risiko, beberapa
audit yang sebelumnya dianggap penting oleh manajemen senior mungkin akan
hilang.

TRISAKTI SCHOOL OF MANAGEMENT 14 | P a g e