Perencanaan audit sebaiknya dirancang dengan mempertimbangkan resiko perusahaan dan resiko pengungkapan laporan keuangan. Konsep pengauditan berbasis resiko secara sederhana dimulai dengan observasi dan analisa pengendalian kemudian diproses untuk menentukan resiko- resiko yang terkait dengan operasi dan pada akhirnya menentukan apakah aktivitas yang dilakukan sesuai dengan tujuan perusahaan atau tidak. Sawyer (2003) merekomendasikan pendekatan diawali dengan: 1. Penetapan tujuan perusahaan 2. Menilai resiko resiko ( identifikasi, pengukuran, prioritas) 3. Mendorong manajemen untuk mengendalikan dan menerima resiko, Menghindari dan mendiversifikasi resiko, Sharing kepada unit yang lain, Melakukan pengendalian terhadap resiko dapat dilakukan dengan mengurangi ukuran dan jumlah. Menerima resiko dapat disesuaikan dengan profit yang akan diterima. Menghindari resiko dapat dilakukan dengan cara mendesain ulang proses bisnis untuk mengubah pola resiko. Sedangkan mendiversifikasi resiko dapat digunakan dengan cara menggunakan beberapa vendor material dan terakhir dapat digunakan dengan cara bekerjasama dengan pihak luar misalnya asuransi. Definisi setiap kategori tujuan merupakan langkah awal dalam penilaian resiko. Tujuan yang luas namun disajikan dalam berbagai kategori dapat menyaring kepada tujuan rinci sehingga resiko resiko dapat lebih mudah teridentifikasi. Di bawah ini disajikan salah satu contoh yang dilakukan intenal auditor dimulai dengan mengidentifikasi operasional, keuangan dan kepatuhan tujuan operasi.
Internal auditor mengembangkan daftar resiko resiko dengan mengobservasi aktivitas
aktivitas dan menggunakan suatu pendekatan analitis, kecerdikan dan imajinasi. Intenal auditor sebaiknya dapat menentukan apa yang sebaiknya dilakukan dalam mencapai tujuan dan apa yang sebaiknya tidak dilakukan. 4.4 Manajemen Resiko Terdapat dua aspek yang harus diperhatikan internal auditor terkait resiko: 1. Meriview resiko resiko pada area yang akan diaudit untuk dapat mengembangkan program audit 2. Apabila dalam perusahaan terdapat program manajemen resiko maka internal auditor harus melakukan evaluasi sebagai satu bagian audit. Standar internasional profesi internal auditor nemor 2110-1 merekomendasikan kepada internal auditor untuk:
1. Membantu
perusahaan
dalam
mengidentifikasi
dan
menevaluasi
serta
mengimplementasikan manajemen resiko dan menentukan bagaimana hal ini dapat
diselesaikan ulang oleh manajemen resiko operasi dan pengendalian. 2. Menjadikannya perhatian bagi dewan tentang tidak adanya proses manajemen resiko dan memberikan usulan untuk menyusun beberapa proses. 3. Mendapatkan pemahaman tentang ekspektasi manajemen dan dewan sebagai suatu bantuan internal audit yang dapat disediakan dalam mengembangkan proses manjemen resiko. 4. Mendapatkan dari manajemen konsep peran internal audit yang harus dilakukan. Internal auditor seharusnya membantu pihak manajemen bukan hanya mengidentifikasi area area yang memiliki resiko saja tetapi juga membantu manjemen untuk mengendalikan resiko dengan cara yang positif. Ada tiga resiko yang harus dikendalikan oleh internal auditor: 1. Resiko pengendalian Resiko terkait dengan pengendalian mencakup tiga hal yaitu: a. Dukungan secara proaktif terhadap program pengendalian terkait dengan resiko dan kerugian b. Memberikan insentif maksimal terhadap partisipasi dalam program pengendalian resiko c. Monitor efektivitas aktivitas pengendalian resiko 2. Resiko keuangan Resiko yang terkait dengan keuangan adalah: a. Memperhitungkan seluruh sumber daya keuangan yang ada b. Mengantisipasi adanya bencana c. Mengalokasikan biaya resiko keuangan diantara operasi yang wajar 3. Resiko administrasi Resiko yang terkait dengan administrasi adalah: a. Menciptakan dan mendorong komitmen manajemen terhadap manajemen resiko b. Menyetujui struktur manajemen resiko yang tergambar dengan jelas c. Mengembangkan tujuan yang telah ditargetkan dengan jelas d. Mengkomunikasikan kepada seluruh pihak manajemen yang terkait.