Maribeth A. Wollard, CPA: Risk Based Auditing; Is It Right for You memberikan definisi risk-based auditing sebagai berikut:
Risk based auditing can be defined as identifying the risk of material misstatement in areas of the financial statement and subsequently determining the most efficient and appropriate effort to be applied to each area. First, the auditor needs to identify areas where there is a high risk of material mistatement; those are the areas that will require the application of more procedures. Secondly, the auditor should determine how to reduce the procedures applied to the areas identified as low-risk. In addition, the following should also be analyzed to identify the risk of material misstatement:
- The client's business risk (risk that an event will adversely affect the company's goals and objectives
- How management mitigates those risks, and
- The areas of risk that management has not addressed at all.
Definisi tersebut dilatar belakangi oleh audit laporan keuangan dan tujuan audit laporan keuangan yang lebih dititikberatkan pada identifikasi risiko salah saji material dalam pos-pos laporan keuangan. Tujuan manajemen atas laporan keuangan adalah untuk menyajikan secara wajar posisi keuangan sehingga risiko yang dihadapi oleh manajemen adalah risiko salah saji sehingga manajemen perlu menekan risiko tersebut.
Auditor semestinya menjadikan manajemen sebagai sasaran auditnya sehingga auditor juga harus dapat memahami bagaimana manajemen mengidentifikasi risiko yang mereka hadapi. Dengan mengenali risiko yang dihadapi manajemen, akan membuat auditor lebih dapat mengklasifikasikan area audit berdasarkan risiko sehingga nantinya dapat memfokuskan audit pada area yang mempunyai risiko tinggi.
2. Model Risk-Based Auditing
Salah satu model risk-based auditing yang dapat digunakan adalah model yang diperkenalkan oleh The Committee of Sponsoring Organizations of the Treadway Commissions (COSO). Model COSO menunjukkan hubungan antara risiko organisasi dengan perencanaan audit.
Model COSO menggambarkan pendekatan pengendalian intern dari perspektif tujuan organisasi, risiko yang dihadapi dalam mencapai tujuan organisasi dan selanjutnya pengendalian yang diperlukan untuk menekan risiko.
Manajemen bertanggung jawab untuk menentukan tujuan organisasi yang hendak dicapai serta berupaya untuk mencapainya secara optimal dengan menggunakan sumber daya yang tersedia.
Dalam proses penggunaan sumber daya, manajemen menghadapi berbagai ketidakpastian yang dapat menimbulkan dampak negatif (risiko) atau pengaruh positif (kesempatan) bagi organisasi. Kaitan antara ketidakpastian dan pencapaian tujuan organisasi sangat tergantung pada kemampuan manajemen untuk mengidentifikasi ketidakpastian tersebut sehingga selanjutnya manajemen dapat merancang langkah-langkah dan prosedur pengendalian untuk menekan risiko dan mengoptimalkan kesempatan.
Upaya manajemen untuk mengidentifikasi risiko dan menekan risiko serta mengoptimalkan kesempatan tersebut biasa dikenal sebagai Manajemen Risiko (Risk Management).
Dalam risk-based auditing, auditor melakukan tahapan-tahapan:
- Mengidentifikasi tujuan organisasi
- Menilai risiko:
- Mengidentifikasi risiko
- Mengukur risiko
- Menetapkan prioritas dalam usaha untuk meminimalisasi risiko.
Dalam pendekatan risk-based auditing, penilaian risiko merupakan cara untuk mengalokasikan sumber daya audit. Penilaian risiko juga digunakan dalam audit individual untuk mengidentifikasi area terpenting dalam cakupan audit. Penilaian risiko memungkinkan auditor untuk mendesain program audit untuk menguji pengendalian kunci dengan lebih mendalam. Untuk dapat melakukan penilaian risiko, auditor harus melakukan pemahaman secara mendalam mengenai proses bisnis organisasi, termasuk pemahaman atas risiko dan pengendalian untuk mencapai tujuan organisasi. Rencana audit didesain untuk mengalokasikan waktu lebih banyak pada area yang berisiko tinggi dan mempunyai skala kepentingan yang tinggi bagi tujuan organisasi. Waktu lebih sedikit akan dialokasikan pada area yang mempunyai skala kepentingan yang rendah dan berisiko rendah.
d. Memahami upaya yang sudah dilakukan manajemen untuk meminimalisasi risiko yang ada, yang dapat berupa merancang dan menerapkan pengendalian intern, mengasuransikan dan men-diversifikasikan.
Dari tahapan ini auditor mengindentifikasi risiko residual (residual risk) atau "risiko sisa" setelah mempertimbangkan pengendalian intern yang ada.
Dalam audit keuangan, setiap area yang berpotensi tinggi mengandung risiko residual akan dijadikan sebagai fokus pengujian pengendalian dan menentukan kecukupan pengujian substantif untuk memenuhi risiko audit yang dapat diterima (acceptable audit risk). Sedangkan dalam audit operasional, risiko residual ini menggambarkan area signifikan yang dapat menjadi fokus audit dan memberi masukan kepada manajemen atas risiko yang ada, perbaikan terhadap pengendalian intern yang ada dan upaya untuk menekan risiko tersebut.
3. Risk-Based Auditing (RBA) dan Audit Konvensional
Penerapan risk-based auditing bukan berarti menggantikan pendekatan audit konvensional yang selama ini dilakukan. Seperti misalnya dalam audit laporan keuangan, pelaksanaan audit menggunakan pendekatan risk-based auditing adalah tetap bertujuan untuk menilai kewajaran penyajian laporan keuangan. Yang membuat pendekatan risk-based auditing berbeda dengan audit konvensional adalah metodologi yang digunakan dimana auditor mengurangi fokus perhatian pada transaksi individual dan lebih berfokus pada sistem dan proses bisnis organisasi.
Menurut Audittindo Education, (2006), ada sejumlah perbedaan antara pendekatan risk-based auditing dan pendekatan audit konvensional dilihat dari beberapa dimensi, yaitu:
a. Sudut Pandang Auditor
TABEL PERBEDAAN AUDIT KONVENSIONAL DENGAN RISK BASED AUDIT
(SUDUT PANDANG AUDITOR)
Sumber : Audittindo Education, 2006
b. Kerangka Waktu
TABEL PERBEDAAN AUDIT KONVENSIONAL DENGAN RISK BASED AUDIT
(KERANGKA WAKTU)
Sumber : Audittindo Education, 2006
c. Dimensi Lain
1). Pusat Perhatian
TABEL PERBEDAAN AUDIT KONVENSIONAL DENGAN RISK BASED AUDIT
(DIMENSI LAIN PUSAT PERHATIAN)
Sumber : Audittindo Education, 2006
2). Susunan Tim Audit
TABEL PERBEDAAN AUDIT KONVENSIONAL DENGAN RISK BASED AUDIT
(DIMENSI LAIN SUSUNAN TIM AUDIT)
Sumber : Audittindo Education, 2006
3). Bukti/Informasi
TABEL PERBEDAAN AUDIT KONVENSIONAL DENGAN RISK BASED AUDIT
(DIMENSI LAIN BUKTI/INFORMASI)
Sumber : Audittindo Education, 2006
4). Output
TABEL
PERBEDAAN AUDIT KONVENSIONAL DENGAN RISK BASED AUDIT
(DIMENSI LAIN – OUTPUT)
Sumber : Audittindo Education, 2006