Audit Berbasis Risiko atau yang biasa dikenal dengan Risk Based Audit adalah suatu proses, pendekatan, dan metodologi audit untuk meyakinkan kecukupan bahwa risiko pada sebuah perusahaan dikelola sesuai dengan batasan risiko yang ditetapkan
Terdapat perbedaan antara audit internal biasa dan audit internal yang berbasis risiko. Audit internal berfokus pada pengendalian internal. Sedangkan audit internal berbasis risiko berfokus pada potensi risiko maksimum apa yang mungkin dialami organisasi, bagaimana menangani risiko tersebut dan bahkan mengubahnya menjadi peluang.
Pelaksanaan audit internal berbasis risiko ini tentunya bisa berbeda-beda antara satu organisasi dengan organisasi lainnya, tergantung dari kerangka kerja pengelolaan risiko milik masing-masing organisasi. Pengelolaan risiko di dalam organisasi menjadi salah satu faktor penting yang harus ditinjau sebelum melakukan audit internal berbasis risiko karena hal ini dapat menentukan kesiapan suatu organisasi untuk melaksanakan audit internal berbasis risiko.
Audit internal berbasis risiko memiliki sejumlah manfaat dibandingkan pendekatan audit yang lebih tradisional. Berikut manfaat dari penerapan metode RBIA adalah sebagai berikut :
Umumnya, pendekatan audit tradisional membuat perencanaan audit berdasarkan rotasi atas suatu siklus, misal dibuat rotasi audit atas suatu siklus setiap satu, atau dua, atau tiga tahun sekali dan audit yang dilakukan lebih bersifat compliance sedangkan metode RBIA melakukan perencanaan audit berdasarkan risiko – risiko yang dapat mengancam tercapainya tujuan perusahaan secara keseluruhan. Dengan melakukan perencanaan audit berdasarkan risiko, maka diharapkan auditor internal dapat memiliki cara pandang yang lebih komprehensif & preventif serta align dengan tujuan perusahaan. Jika cara pandang ini sudah melekat dalam tubuh departemen audit internal, tentulah audit internal lebih dapat memberikan suatu nilai tambah / manfaat yang lebih bersifat jangka panjang bagi suatu organisasi. Pendekatan audit internal berbasis risiko yang mengacu pada prioritisasi risiko yang dihadapi organisasi memungkinkan alokasi sumber daya lebih efektif dan efisien karena diutamakan pada area risiko dengan prioritas tinggi sehingga pelaksanaan audit lebih efisien dan tepat sasaran.
RBIA merupakan metode yang dapat membantu Audit Internal dalam menjalankan fungsi/peranannya seperti yang tercantum dalam Section 2010 dari ”Standards for the Profesional Practice of Internal Auditing” yang diterbitkan IIA, dimana CAE diberi mandat uuntuk menetapkan perencanaan audit atas dasar risiko (risk-based plans) untuk menentukan prioritas perencanaan audit dan section 2110 – dimana kegiatan internal audit harus memonitor dan mengevaluasi keefektifan dari manajemen risiko dan sistem pengendalian. Dengan kata lain metode ini membantu audit internal dalam menjalankan fungsinya sebagai katalis/konsultan, sesuai dengan apa yang diharapkan dari fungsi audit internal dalam paradigma baru.
Metode RBIA juga membuat hubungan audit internal dengan manajemen menjadi lebih baik. Audit internal tidak lagi dianggap sebagai polisi yang hanya “menilang” saja tapi dapat dianggap sebagai mitra kerja bagi pihak manajemen yaitu dengan menjalankan fungsinya sebagai katalis/konsultan. Dengan menggunakan metode RBIA ini, audit internal akan melibatkan manajemen untuk berpartisipasi aktif sehingga sehingga terjalin komunikasi yang lebih baik.
4. RBIA tidak hanya fokus kepada risiko – risiko yang berdampak besar yang tidak dikontrol secara layak, akan tetapi juga risiko – risiko yang memiliki over controlled sehingga menghabiskan sumber daya yang tidak diperlukan.
Tahapan – Tahapan dalam Audit Internal Berbasis Risiko
Ada 3 tahapan besar dalam melaksanakan RBIA yaitu :
Pada tahap awal, penting untuk mengetahui sejauh mana manajemen menentukan, menilai, mengelola dan memantau risiko. Hal ini diperlukan untuk mendapatkan gambaran mengenai indikasi dari reliabilitas dari daftar risiko (risk register) untuk tujuan perencanaan pelaksanaan audit. Tahap ini akan menghasilkan strategi audit keseluruhan yang nantinya akan dikomunikasikan kepada pihak manajemen dan Komite Audit.
Produk/hasil yang akan dicapai di tahap kedua ini adalah Risk & Audit Universe (RAU) yang dipakai oleh internal audit sebagai dasar pembuatan audit plan. RAU merupakan suatu produk/hasil yang menghubungkan risk register yang dibuat oleh manajemen dengan audit yang akan dilakukan oleh auditor internal untuk memberikan keyakinan bahwa masing – masing risiko tersebut telah dikelola dengan efektif. contohnya yaitu periode tahunan dengan mengidentifikasi dan melakukan prioritisasi pada semua area cakupan yang membutuhkan jaminan objektif. Pada tahap ini juga dilakukan peninjauan dan identifikasi terhadap proses pengelolaan risiko dan risiko utama, dan pencatatan serta pelaporan risiko.
Tahapan terakhir yaitu menjalankan prosedur audit berbasis risiko untuk memberikan jaminan sebagai salah satu bagian dari kerangka kerja manajemen risiko, termasuk pula mengenai mitigasi risiko individual atau grup. Hasil akhir dari tahap ini yaitu hasil audit yang biasa dituangkan dalam bentuk laporan audit.
Pada akhirnya, audit berbasis risiko menempatkan Risk Universe sebagai titik pusat dari pengembangan strategi audit untuk menangani risiko manajemen sesuai tingkat prioritisasinya. Di sepanjang siklus audit, risiko akan ditangani dengan tepat dan dilaporkan dengan akurat untuk memberikan insight kepada top level management sehingga mereka dapat membuat keputusan yang lebih tepat sebagai langkah kontrol berikutnya.