Seringkali metodologi risk based internal audit (RBIA) digunakan dalam melakukan audit internal di suatu organisasi. RBIA adalah metodologi yang digunakan untuk memberikan suatu reasonable assurance bahwa risiko dalam organisasi terkelola sesuai dengan selera risiko yang disepakati dalam organisasi tersebut. Untuk itu auditor harus membuat rencana audit berbasis risiko untuk menentukan prioritas aktivitas internal audit yang juga konsisten dengan tujuan organisasi (IPPF Standards, 2017).
Untuk membuat rencana audit berbasis risiko, diperlukan pemahaman tentang strategi organisasi, key business objectives, risiko-risiko yang terkait dengannya, serta proses manajemen risiko yang dijalankan selama ini. Auditor kemudian mereview dan menyesuaikan rencana auditnya, apabila dirasakan perlu, dalam merespon perubahan dalam bisnis, risiko, operasi, program, dan sistem yang terjadi di organisasi.
Dalam pelaksanaannya, RBIA akan mengevaluasi faktor risiko yang berkaitan dengan proses internal organisasi untuk mentukan apakah risiko telah dikelola pada tingkat yang dapat diterima. Pendekatan ini berusaha untuk meningkatkan kualitas dan efektivitas audit dengan menentukan area risiko yang membutuhkan perhatian lebih tinggi.
Dalam sesi practice sharing yang diberikan oleh Mr. Krasame Singhakul di dalam kelas Internal Audit Master Program International Finance Corporation (World Bank Group) di Bangkok, Thailand pada tanggal 14-16 Juli 2017, dijelaskan bagaimana metodologi RBIA dilakukan di Shanghai Construction Group (SCG). SCG yang mengelola lebih dari 250 anak perusahaannya, memulai RBIA dengan langkah sebagai berikut:
– Memprioritaskan dan mengalokasikan sumber daya dengan menggunakan risk-ased audit model;
– Mereviu risiko sebelum melakukan engagement;
– Mereviu dan mendiskusikan risiko-risiko yang teridentifikasi dengan manajemen;
– Mereviu risiko kembali setelah melakukan penyisiran terhadap proses bisnis dalam organisasi.
Risk-based audit model yang digunakan dapat memberikan keluaran mengenai peta risiko perusahaan (prioritas tinggi, sedang, dan rendah) sebagai dasar perusahaan memutuskan prioritas audit. Juga sebagai dasar menentukan area yang perlu diaudit, frekuensi audit, mengidentifikasi proses bisnis yang memiliki risiko tinggi, serta berapa orang auditor dan man-days yang akan dialokasikan.
SCG mengategorikan risikonya kedalam delapan kategori risiko. Kedelapan risiko tersebut adalah risiko SHE, risiko kepatuhan, risiko harta tak berwujud, risiko Hazard, risiko input, risiko proses, risiko finansial, dan risiko bisnis, serta dua risiko sistem manajemen (risiko proyek investasi dan risiko operasi). Semua kategori tersebut dianalisis, baik secara korporat maupun di tiap unit bisnis, dan hasil analisa tersebut dikalikan dengan bobot untuk tiap-tiap kategori (baik di level korporasi maupun di level unit bisnis).
Hasil pembobotan tersebut akan dievaluasi dengan membandingkannya dengan parameter yang dapat digunakan untuk:
- Menentukan perusahaan mana yang menjadi prioritas berdasarkan skor;
- Pengalokasian sumber daya, berupa berapa man-days yang diperlukan dan berapa auditor yang diperlukan dengan melihat apakah skor yang diperoleh (tinggi, sedang, ataurendah);
- Area apa yang perlu diprioritaskan untuk diaudit di tiap perusahaan, berdasarkan hasil kali analisa risiko dan bobot di tiap kategori risiko yang ada.
Dengan metodologi RBIA ini diharapkan dapat menjawab tantangan yang dihadapi perusahaan saat ini dimana kompleksitas maupun kecepatan perubahan bisnis yang sangat cepat. Fungsi audit internal harus dapat membuat rencana audit yang juga dinamis, menyesuaikan dengan arahan atau strategi perusahaan, sehingga selalu bisa memberikan reasonable assurance bahwa perusahaan dapat terus meningkatkan dan menjaga nilai perusahaannya dengan lebih baik.
Penulis:
Ridwan Hendra MM., ERMCP., CERG., CCSA.