Risk-Based dalam audit, maksudnya apa?

Suatu hari diskusi dengan seorang teman Kepala Divisi TI di sebuah perusahaan. Singkatnya dia komplain atas sebuah hasil audit TI. Terdapat temuan yang mengharuskannya mengkonsolidasikan beberapa aplikasi ke dalam satu aplikasi fisik. Argumentasi auditor, arsitektur eksisting menyebabkan data tidak real time ke MIS (dashboard). Teman saya ini berkata: lho bisnis butuhnya memang tak real time, karena itu dashboard. Manajemen menyampaikan cukup H-1 untuk mengambil keputusan.

#1 – Kontrol dipilih berbasis risiko

Kegiatan audit dilakukan berdasarkan program audit. Program audit berisi daftar kontrol yang harus diperiksa, dan bagaimana prosedur auditnya. Daftar kontrol yang menjadi lingkup audit dipilih berdasarkan profil risiko yang dihasilkan dari kegiatan risk assessment.

Dengan kata lain, tidak boleh sebuah kontrol menjadi lingkup audit jika tak bisa dijawab apa risiko jika kontrol tersebut tak efektif.

#2 – Temuan disusun dalam perspektif risiko

Sebuah kondisi dinyatakan sebagai temuan jika ada risiko terkait dengannya. Jika tak ada risiko terkait dengannya, maka tak bisa dikatakan sebagai temuan. Seorang auditor tidak dapat menyandarkan pertimbangan efektif atau tidaknya kontrol berdasarkan pertimbangannya sendiri, tetapi harus merujuk kepada konteks risiko auditee.

Misalnya dalam konteks studi kasus di awal: kalau kondisi sekarang tidaklah menyebabkan risiko, maka tidak obyektif jika kondisi tersebut menjadi temuan.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: