Radian Wicob – Risk Based Auditing atau RBA membantu fungsi audit internal memilih area audit yang benar-benar penting bagi bisnis, bukan sekadar memutar jadwal audit tahunan seperti kalender servis kendaraan. Dalam materi SharePoint RWI, Risk Based Auditing muncul sebagai topik pelatihan yang membekali auditor internal, controller, dan manajer risiko agar mereka memahami pemanfaatan informasi risiko untuk audit atau pemantauan.

Risk Based Auditing: Menyusun Audit Plan yang Tepat

Materinya mencakup konsep RBA, proses, metode, teknik, penilaian mandiri risiko dan kontrol, serta hasil rekomendasi dan pelaporan. Itu memberi pesan yang cukup jelas: RBA bukan audit biasa yang diberi nama lebih keren. RBA menuntut auditor membaca risiko lebih dulu, lalu baru menyusun rencana audit.

Pendekatan ini juga sejalan dengan pola audit manajemen risiko yang muncul dalam proposal BPJS Ketenagakerjaan. Di sana, pendampingan Audit Enterprise Risk Management mengikuti standar GIAS dan dimulai dari perencanaan audit berbasis pemahaman atas konteks organisasi, profil risiko, dan prioritas pengendalian.

Tim audit lalu menyusun program audit, meninjau proses dan pengendalian, menilai kepatuhan, memberi rekomendasi, lalu melaporkan hasil serta tindak lanjutnya. Jadi, kalau kita bicara audit plan berbasis risiko, kita tidak sedang bicara daftar unit yang ingin dikunjungi auditor. Kita bicara cara memilih area audit yang paling memengaruhi tujuan strategis, kinerja, dan kontrol organisasi.

Apa itu Risk Based Auditing?

Risk Based Auditing adalah pendekatan audit yang menempatkan risiko sebagai titik awal perencanaan dan pelaksanaan audit. Dalam contoh penerapan audit manajemen risiko pada BPJS Ketenagakerjaan, tahap pertama RBA menuntut tim audit memahami konteks organisasi, tujuan strategis, profil risiko, dan prioritas pengendalian, lalu mengacu pada risk universe organisasi.

Contoh area kritis yang muncul di dokumen itu meliputi investasi, kepesertaan atau iuran, klaim, dan sistem inti TI. Artinya, auditor tidak memilih area audit karena area itu kebetulan familiar atau karena tahun lalu area lain sudah diaudit. Auditor memilih area audit karena area itu mengandung eksposur risiko yang paling material.

Materi konten RWI tentang RBA juga menyederhanakan logika ini ke dalam enam langkah: identifikasi risiko, penilaian risiko berdasarkan dampak dan probabilitas, perencanaan strategi, implementasi audit, monitoring, serta pelaporan dan saran hasil audit untuk manajemen. Walau formatnya dibuat untuk materi promosi, intinya tetap tepat. RBA selalu bergerak dari risiko ke prioritas, lalu ke program audit, lalu ke rekomendasi yang bisa dipakai manajemen.

Mengapa audit plan harus berbasis risiko?

Audit plan berbasis risiko membuat fungsi audit internal fokus pada area yang paling memengaruhi tujuan organisasi. Dalam framework manajemen risiko berbasis PER-2/MBU/03/2023 yang tampil di beberapa materi SharePoint, Internal Audit Plan muncul langsung di dalam kerangka proses manajemen risiko, berdampingan dengan risk appetite statement, risk threshold values, business goals, risk identification, control identification and assessment, risk quantification, risk treatment plan, dan composite risk rating.

Ini penting sekali. Posisi itu menunjukkan bahwa audit internal bukan elemen yang berdiri di luar ERM. Audit internal masuk ke ekosistem yang sama dengan strategi, pengukuran risiko, kontrol, dan evaluasi kinerja.

Dokumen road map manajemen risiko ASDP juga menegaskan bahwa lini ketiga memberi assurance independen untuk memastikan perusahaan menerapkan tata kelola, pengendalian risiko, dan pengendalian internal secara efektif. Kalau audit plan tidak berbasis risiko, fungsi lini ketiga akan sibuk memeriksa hal-hal yang rapi di kertas tetapi kurang relevan bagi ancaman terbesar perusahaan. Itu pekerjaan yang rajin, tetapi nilainya tipis.

Cara menyusun audit plan berbasis risiko

Berikut struktur praktis yang bisa dipakai untuk menyusun audit plan berbasis risiko, dengan dasar dari materi SharePoint RWI.

1. Mulai dari konteks bisnis dan tujuan strategis

Tim audit perlu memahami konteks organisasi, tujuan strategis, profil risiko, dan prioritas pengendalian sebelum menyentuh jadwal audit. Proposal BPJS menuliskan ini secara eksplisit pada tahap perencanaan audit. Jadi, langkah pertama bukan menyusun daftar kunjungan audit. Langkah pertama adalah membaca peta bisnis dan membaca apa yang paling bisa menggagalkan target organisasi.

Dalam kerangka berbasis PER-2, proses itu juga terhubung dengan business goals, business strategy, financial figures, dan integrated governance plan. Jadi, audit plan yang sehat harus bertanya: target bisnis mana yang paling kritis, strategi mana yang paling berisiko, dan proses mana yang paling menentukan pencapaian target itu.

2. Bentuk risk universe dan audit universe

Setelah konteks bisnis jelas, tim audit perlu membangun risk universe atau peta area risiko yang layak diaudit. Contoh BPJS menyebut area seperti investasi, iuran, klaim, IT core system, fraud claim, dan kepatuhan regulasi. Dari sana, tim audit bisa menurunkannya menjadi audit universe berupa proses, unit, sistem, aktivitas, atau tema audit.

Kalau organisasi berada di sektor TI atau digital, dokumen audit TI memberi contoh yang cukup rapi. Annual IT Audit Plan berbasis risiko dapat mencakup audit tata kelola TI, audit kepatuhan dan pengendalian TI, audit operasional dan infrastruktur TI, serta evaluasi business continuity. Ini contoh bagus bahwa audit universe harus mengikuti bentuk risiko bisnis, bukan sekadar struktur organisasi.

3. Hubungkan area audit dengan profil risiko dan kontrol

RBA tidak berhenti di daftar area. Tim audit perlu menghubungkan tiap area dengan profil risiko, kontrol yang ada, dan tingkat paparan risikonya. Dalam kerangka PER-2 dan materi RMI, proses dan kontrol risiko mencakup identifikasi risiko, pengukuran dan prioritisasi risiko, perlakuan risiko, dan pelaporan risiko. Di kerangka proses yang sama, organisasi juga melakukan control identification and assessment serta risk quantification. Itu artinya tim audit punya dasar yang kuat untuk membaca area mana yang benar-benar perlu masuk prioritas audit.

Secara praktis, tim audit bisa mulai dari pertanyaan sederhana: area mana yang memuat risiko utama, area mana yang kontrolnya lemah, area mana yang menanggung tekanan regulasi paling tinggi, dan area mana yang menimbulkan konsekuensi paling besar bagi target bisnis. Contoh BPJS menunjukkan logika itu lewat fokus pada investasi, klaim, IT, dan fraud.

4. Tentukan prioritas area audit

Penentuan prioritas area audit harus mengikuti eksposur risiko, bukan kenyamanan auditor. Dalam contoh BPJS, tim audit memulai dari risk mapping atas area kritis. Dokumen itu juga menegaskan bahwa daftar pertanyaan dan fokus peninjauan harus bergerak dari parameter prioritas tinggi ke prioritas rendah. Jadi, prioritas area audit harus bergerak dari yang paling kritis ke yang paling ringan.

Kalau ditarik ke bentuk yang lebih operasional, area audit biasanya layak naik ke prioritas atas ketika memenuhi beberapa ciri berikut:

• area itu berkaitan langsung dengan tujuan strategis atau angka keuangan penting,
• area itu memuat risiko utama atau prioritas pengendalian,
• area itu berada di bawah tekanan regulasi tinggi,
• area itu mengandung kontrol yang lemah atau gap proses,
• area itu menyimpan potensi fraud, gangguan operasional, atau kegagalan sistem.

Dasar logika ini muncul cukup konsisten di dokumen SharePoint, terutama pada hubungan antara business goals, financial figures, internal audit plan, risk identification, control assessment, dan risk prioritization.

5. Susun audit work program untuk area prioritas

Setelah tim audit memilih area prioritas, tim harus menyusun audit work program yang terdokumentasi, terstruktur, dan berbasis risiko. Proposal BPJS menjelaskan isi minimal dokumen ini: tujuan audit, lingkup, prosedur uji, metode sampling, dan regulasi acuan. Ini bagian penting yang sering diremehkan. Banyak tim tahu area mana yang berisiko, tetapi gagal mengubahnya menjadi program audit yang disiplin.

Dokumen audit TI juga menguatkan pola itu. Perencanaan audit harus melahirkan program audit berbasis risiko yang selaras dengan Renstra TI dan RKAP TI, lalu menghasilkan rencana audit tahunan yang jelas. Jadi, audit plan yang baik harus mengalir ke audit program yang detail. Kalau tidak, prioritas tinggal jadi slogan yang enak di rapat pembukaan.

6. Lakukan peninjauan proses, kontrol, dan kepatuhan

Pada tahap pelaksanaan, tim audit perlu meninjau proses identifikasi risiko, mitigasi, monitoring, serta efektivitas kontrol internal secara berbasis bukti. Proposal BPJS menulis ini secara tegas. Tim audit juga harus menilai kepatuhan terhadap regulasi eksternal dan kebijakan internal. Jadi, auditor tidak hanya mencari dokumen, tetapi juga harus membuktikan apakah proses dan kontrol benar-benar bekerja di lapangan.

Bagian ini sangat penting untuk menentukan bobot rekomendasi. Kalau auditor menemukan bahwa verifikasi klaim belum terotomasi dan itu menaikkan risiko fraud, auditor punya dasar kuat untuk menempatkan isu itu pada prioritas yang tinggi. Dokumen BPJS bahkan memberi contoh seperti itu secara eksplisit.

7. Tulis rekomendasi yang bisa dijalankan dan dorong tindak lanjut

RBA tidak boleh berhenti di temuan. Proposal BPJS menegaskan bahwa rekomendasi harus actionable, memberi nilai tambah, berbasis bukti, dan mendukung tata kelola serta pencapaian tujuan strategis. Dokumen yang sama juga menekankan pelaporan yang jelas, ringkas, dan punya mekanisme tindak lanjut.

Ini berarti auditor harus menulis rekomendasi yang menjawab akar masalah, bukan sekadar mengulang temuan dalam bahasa yang lebih rapi. Kalau prioritas area audit sudah tepat sejak awal, rekomendasi yang lahir juga akan lebih tajam dan lebih relevan bagi manajemen.

Bagaimana cara membaca prioritas area audit dalam praktik?

Dalam praktik, tim audit bisa mengelompokkan area audit ke tiga lapisan.

• Lapisan pertama berisi area strategis dan material tinggi. Contohnya investasi, klaim, core system, fraud, atau area yang langsung memukul target keuangan dan reputasi. Contoh seperti ini muncul jelas di dokumen BPJS.
• Lapisan kedua berisi area penting yang mendukung kepatuhan, efektivitas kontrol, dan kesinambungan proses. Dalam dokumen audit TI, contoh area ini mencakup tata kelola TI, kepatuhan TI, pengendalian TI, operasional TI, infrastruktur, dan business continuity.
• Lapisan ketiga berisi area dengan risiko lebih rendah atau area yang dampaknya tidak sebesar dua lapisan pertama. Area ini tetap penting, tetapi tim audit tidak perlu menaruhnya di garis depan saat sumber daya audit terbatas. RBA justru membantu tim audit berani memilih, bukan mencoba mengaudit semuanya lalu kehabisan napas di tengah jalan.

Kesimpulan

Risk Based Auditing menuntut fungsi audit internal memulai perencanaan dari risiko, tujuan strategis, dan prioritas pengendalian. Materi SharePoint RWI menunjukkan pola yang cukup konsisten: tim audit perlu memahami konteks organisasi, membangun risk universe, memilih area kritis, menyusun audit work program berbasis risiko, meninjau proses dan kontrol secara berbasis bukti, menilai kepatuhan, lalu menulis rekomendasi yang bisa dijalankan.

Kerangka PER-2 juga menegaskan bahwa internal audit plan harus terhubung dengan risk appetite, risk identification, control assessment, risk quantification, dan peran tiga lini. Jadi, audit plan berbasis risiko bukan dokumen administratif. Audit plan adalah alat untuk mengarahkan perhatian audit ke area yang paling menentukan kesehatan bisnis.

Radian menyediakan pelatihan dan pendampingan Risk Based Auditing untuk membantu organisasi memahami konsep RBA, proses, metode, teknik, self assessment risiko dan kontrol, sampai rekomendasi dan pelaporan hasil audit. Pendekatan ini terlihat konsisten di materi layanan, katalog pelatihan, dan proposal audit ERM yang ada di SharePoint.