Jenis audit yang terdahulu adalah Audit Manajemen atau Audit Operasional. Sementara itu, saat ini sedang dikembangkan Audit Berbasis Risiko, yang pembangunan kriterianya masih berjalan.
Tidak semua risiko perlu dibuatkan rencana mitigasi, dan tidak semua risiko dapat dimitigasi. Dengan fakta tersebut, menjalankan rencana mitigasi pada risiko yang tidak perlu atau tidak dapat dimitigasi, adalah pemborosan yang dapat dihindarkan jika tahapan merespon risiko dilaksanakan dengan benar.
Penentu terbesar dari respon risiko, selera risiko (risk appetite). Ditilik lebih dalam, selera risiko adalah fungsi dari kapabilitas dan pada kasus tertentu sensitivitas permasalahan, karena ciri pemangku kepentingannya. Secara sistematik, respon risiko dapat dihubungkan secara logis dengan ciri risiko, menurut ketidak pastian dan dampaknya. Peta risiko baik risk map maupun heat map, membagi risiko menjadi empat kelompok risiko.
1. Risiko Tinggi (High Risk)
Dikelompokkan sebagai risiko tinggi adalah risiko yang terukur memiliki nilai kemungkinan (likelihood) dan nilai dampak (impact) yang tinggi. Tanda bahwa organisasi atau perusahaan harus menempatkan risiko pada kelompok risiko tinggi, adalah jika nilai risiko tersebut melampaui selera risikonya. Dengan kata lain, besaran risiko tersebut melampaui kapasitas pengelolaannya. Oleh karena itu, jika kegiatannya dilaksanakan dipastikan bahwa risiko akan terjadi. Mengingat dampaknya yang besar, maka risiko kegiatan atau transaksi ini harus dihindarkan. Kesempatan yang hilang akibat tidak diambilnya kegiatan dengan risiko kelompok ini, semestinya tidak akan lebih besar daripada biaya yang timbul jika kegiatan diambil dan risiko terjadi.
Sering terjadi bahwa risiko tidak dihindarkan karena kegiatan tersebut harus dilakukan. Kondisi ini misalnya pada layanan instansi pemerintah yang tetap harus dilaksanakan. Alasan ini tidak mengubah kondisi, bahwa nilai risiko kegiatan tersebut melampaui kapasitas pengelolaan risiko organisasi. Oleh karena itu, rencana mitigasi tetap tidak dapat dilaksanakan atau tidak akan efektif hasilnya. Auditor internal harus memahami bahwa ondisi ini boleh dilihat sebagai risiko yang tidak dapat dirancangkan rencana mitigasi. Auditor internal harus memperhitungkan besaran peningkatan nilai selera risiko untuk tetap dapat melaksanakan kegiatan sebagai mandat.
2. Risiko Rendah (Low Risk)
Dikelompokkan sebagai risiko tinggi adalah risiko yang terukur memiliki nilai kemungkinan (likelihood) dan nilai dampak (impact) yang rendah. Nilai risiko kelompok risiko ini masuk atau lebih rendah daripada nilai selera risiko organisasi. Oleh karena itu, tidak perlu dilakukan upaya apapun atas risiko tersebut kecuali dipelihara (retained). Auditor internal harus menegaskan bahwa setiap upaya yang dilakukan pada risiko jenis ini adalah pemborosan sumber daya organisasi.
3. Risiko Murni (Pure Risk)
Risiko murni (pure risk) adalah sisi ekstrim (exteme) dari risiko negatif (downside risk). Disebut sebagai risiko murni karena nilai risikonya bagi organisasi pemiliknya tidak pernah positif. Risiko murni, umumnya mengikuti hukum bilangan besar (law of large numbers), yang menggambarkan cirinya sebagai memiliki likelihood yang rendah, namun dengan impact yang besar. Dengan demikian akan tersedia pasar asuransinya.
Industri asuransi merupakan industri tertua yang memanfaatkan risiko sebagai dasar (underlying) kegiatan usaha. Efisiensinya sebagai pemanfaat prinsip penyebaran risiko (diversification) tentu menjadi yang terbaik lintas industri. Akan sangat sulit bagi internal organisasi untuk mengumpulkan sejumlah besar transaski sejenis untuk menandingi metodologi asuransi.
Kepemilikan aset tetap dalam organisasi, terpapar risiko murni. Dengan memahami sifat risiko murni, maka respon risiko terbaiknya adalah mentransfer keluar kepada pihak ketiga, utamanya perusahaan asuransi. Layak menjadi temuan bagi auditor internal, jika terdapat jenis risiko murni yang dicoba dikelola internal. Pengelolaan risiko murni sendiri pasti menghasilkan pertukaran hasil dan risiko yang buruk.
4. Risiko Spekulatif (Speculative Risk)
Kelompok risiko spekulatif adalah risiko dengan ciri memiliki nilai likelihood besar, tetapi dengan nilai impact yang kecil. Risiko spekulatif merupakan contoh terbaik untuk menggambarkan risiko positif (upside risk). Disebut risiko positif karena jika dikelola dengan tepat, kejadian atau transaksi dengan risiko positif akan menciptakan nilai bagi organisasi.
Menjadi perhatian bagi auditor internal untuk meneliti, apakah organisasi memiliki prosedur untuk mengenali risiko positif. Hanya risiko ini yang secara eksplisit disebut memiliki dampak positif. Dengan demikian hanya risiko positif yang layak diupayakan proses pengelolaannya. Register risiko perusahaan yang tumbuh, dapat diduga berisikan sebagian besar risiko positif. Penekanan juga perlu dilakukan oleh auditor internal, bahwa kepemilikan risiko positif akan berbuah percepatan pertumbuhan jika nilai selera risiko yang ditetapkan organisasi cukup tinggi.
sumber: https://bengkelgrc.id/2020/12/27/respon-risiko-sebagai-kriteria-audit-berbasis-risiko/