Sudah pernah mendengar dan familiar dengan istilah risk-based audit kan? Pendekatan audit ini merupakan pendekatan yang paling sering digunakan oleh organisasi. Risk based audit adalah metodologi pemeriksaan yang dipergunakan untuk memberikan jaminan bahwa risiko telah dikelola sesuai dengan selera risiko yang telah ditetapkan oleh manajemen perusahaan. Konsep utama pendekatan risk-based audit ini adalah: mengurangi risiko audit, meningkatkan efisiensi pelaksanaan audit, dan memastikan pencapaian sasaran organisasi.
Dalam melakukan Risk-Based Audit terdapat tiga tahapan utama, yaitu melakukan asesmen terhadap maturitas risiko, membuat perencanaan audit, dan melaksanakan audit.
- Assessmen Maturitas Risiko
Dilakukan untuk melihat secara umum sejauh apa manajemen telah menentukan, melakukan asesmen, memitigasi dan memonitor risiko. Dengan adanya asesmen ini, maka kita dapat melihat reliability atau keandalan dari register risiko yang sudah kita miliki sebagai dasar perencanaan audit. Hasil dari identifikasi maturitas risiko menjadi dasar untuk penentuan strategi audit yang akan dilakukan. Apabila level maturitas risiko organisasi belum sesuai dengan kebutuhan, maka Risk Based Audit tidak bisa langsung diterapkan secara menyeluruh. Namun pun demikian adanya Risk Based Audit tetap memberikan manfaat terhadap organisasi, karena dengan adanya risk based audit, organisasi mengetahui tingkat maturitas risiko perusahaan. Hal ini dapat menjadi peluang peningkatan bagi organisasi.
- Membuat Perencanaan Audit
Perencanaan audit dilakukan untuk membuat daftar rencana kegiatan audit yang akan dijalankan dalam rentang waktu yang ditentukan. Pada saat perencanaan, hal pertama yang harus ditentukan adalah mengidentifikasi respons dan proses manajemen risiko yang telah dilakukan organisasi untuk mengelola key risks atau risiko-risiko utama organisasi tersebut. Jika organisasi memiliki jumlah risiko yang besar, maka risiko-risiko tersebut dapat dikategorisasikan dan diprioritaskan. Kategorisasi risiko dapat dilakukan berdasarkan business unit, fungsi, ataupun sasaran. Prioritasi risiko sendiri dapat dilakukan berdasarkan (1)level risiko inheren (dengan kata lain, semakin besar risiko, maka prioritas yang diberikan pun semakin bersar), (2) kontribusi respons untuk mengelola risiko, (artinya apakah respons yang kita lakukan dapat membuat perbedaan nilai skor risiko inheren dan risiko residual yang signifikan). Setelah kita mengkategorisasikan risiko, selanjutnya kita menghubungkan antara risiko dan perencanaan aktivitas/kegiatan audit (audit assignments). Salah satu metode yang dilakukan adalah dengan mengelompokkan risiko-risiko berdasarkan unit bisnis, tujuan, fungsi atau pun sistem kemudian melakukan audit berdasarkan pengelompokan tersebut. Untuk setiap aktivitas/kegiatan tersebut, kita juga menentukan rencana periode audit berdasarkan ketersediaan sumber daya/resource. Hasil perencanaan audit ini kemudian dikomunikasikan kepada manajemen dan komite audit.
- Pelaksanaan Audit
Pelaksanaan audit dilakukan dengan mendiskusian dan mengobservasi control yang telah diterapkan. Tujuaannya adalah memastikan bahwa sistem manajemen risiko yang diterapkan telah sesuai dengan tujuannya. Pada tahapan ini juga dilakukan verifikasi bukti/evidence untuk memastikan bahwa control risiko telah dijalankan. Hasil pelaksanaan audit ini harus didokumentasikan. Audit juga dilakukan untuk mengevaluasi sejauh apa dan bagaimana manajemen telah mengevaluasi risiko residual. Setelah seluruh aktivitas tersebut dilakukan, maka hasil audit disimpulkan dan dilaporkan untuk melakukan CI.