Risk Based Internal audit (RBIA) atau Audit Internal Berbasis Risiko (AIBR) adalah sebuah metodologi yang menghubungkan audit internal kepada kerangka kerja manajemen risiko di dalam sebuah perusahaan secara menyeluruh dan komprehensif. Menerapkan RBIA memungkinkan audit internal untuk memberikan masukan kepada dewan direksi bahwa apakah proses penerapan manajemen risiko telah berjalan secara efektif.
Audit internal berbasis risiko bertujuan untuk memperkuat tanggung jawab dewan direksi dalam mengelola risiko pada setiap tahapannya dan menentukan kinerja fungsi/ unit dalam melaksanakan penerapan manajemen risiko.
Audit internal berbasis risiko pada dasarnya memiliki langkah-langkah yang meliputi penilaian risiko, rencana audit berbasis risiko, melakukan perikatan audit, mengkomunikasikan hasil perikatan dan melakukan tindak lanjut audit.
Sedangkan untuk penerapannya bagi perusahaan, terdapat beberapa langkah yang sebaiknya dilakukan oleh perusahaan agar adanya Audit Internal Berbasis Risiko bisa mencapai tujuannya.
LANGKAH PENERAPAN AIBR
Tahap 1: Menilai Kematangan Risiko (Risk Maturity) Perusahaan
Menilai kematangan risiko (risk maturity) perusahan untuk memperoleh gambaran menyeluruh sejauh mana direksi dan manajemen dalam menentukan, menilai, mengelola dan memantau risiko-risiko yang ada di perusahan.
Proses yang dilakukan untuk mencapai tujuan menilai tingkat kematangan risiko dengan cara:
A. Diskusikan pemahaman risk maturity dengan direksi dan manajer senior
- Tentukan apa yang telah dilakukan untuk meningkatkan risk maturity perusahaan dengan pelatihan, lokakarya risiko, kuesioner tentang risiko dan wawancara dengan para manajer sebagai pemilik risiko.
- Menentukan apakah para manajer telah mengisi register risiko sudah benar dan komprehensif.
- Mendiskusikan pemahaman tentang manajemen risiko telah menjadi budaya perusahaan sehingga para manajer merasa bertanggung jawab tidak hanya untuk mengidentifikasi, menilai dan melakukan perlakuan risiko, tetapi juga melakukan memantau kerangka kerja manajemen risiko.
B. Mendapatkan dokumen-dokumen terkait dengan:
- Tujuan dari perusahaan.
- Proses mengidentifikasi risiko yang menghambat tujuan perusahaan
- Bagaimana menganalis risiko terhadap dampak dan probalitas.
- Risk appetite yang telah disetujui direksi dalam penilaian yang menggunakan risiko yang melekat (inherent risk) dan risiko residual (residual risk).
- Bagaimana proses pengambilan keputusan manajemen (direksi) dengan mempertimbangkan risiko.
- Proses pelaporan risiko-risiko pada berbagai tingkat kegawatan risiko di fungsi/unit dalam perusahaan pada risk register.
- Sumber-sumber informasi yang digunakan oleh manajemen dan dewan untuk memantau kerangka kerja (framework) secara efektif untuk mengelola risiko dalam risk appetite.
- Setiap penilaian kematangan risiko perusahaan dan dokumen lainnya yang menunjukkan komitmen direksi untuk penerapan manajemen risiko.
C. Menilai dan melaporkan kematangan risiko (risk maturity)
- Dokumen dan informasi yang telah dikumpulkan untuk menilai kematangan risiko perusahaan dengan melihat dan menilai risiko-risiko yang ada pada fungsi/unit. Melaporkan risk maturity perusahaan akan memberikan penilaian bahwa proses manajemen risiko telah dilaksanakan dengan efektif sesuai dengan pencatatan dan pelaporan risiko, serta melaporkan apabila sistem pengendalian internal perusahaan dan pengawasan dewan belum berjalan dengan efektif.