Menghubungkan Rencana Audit dengan Risiko dan Eksposur

Di dalam Standar 2010 tentang Perencanaan, Kepala Eksekutif Audit (CAE) harus menetapkan rencana berbasis risiko untuk menentukan prioritas Aktivitas Audit Internal, yang  konsisten selaras dengan tujuan organisasi.
Untuk itu CAE harus mempertimbangkan kerangka kerja manajemen risiko organisasi, termasuk dengan menggunakan risk appetite yang ditetapkan oleh manajemen untuk berbagai kegiatan atau bagian dari organisasi. Jika kerangka kerja manajemen risiko tidak tersedia, CAE menggunakan penilaiannya sendiri atas risiko-risiko yang ada setelah berkonsultasi dengan manajemen senior dan Dewan.
Selanjutnya IIA memberikan panduan menghubungkan (linking) antara rencana audit dan risiko tersebut sebagai berikut:

1. Dalam mengembangkan rencana audit Aktivitas Audit Internal, banyak Kepala Eksekutif Audit (CAE) memandang penting untuk pertama-tama mengembangkan atau memperbarui semesta audit (audit universe). Semesta audit adalah daftar semua kemungkinan audit yang dapat dilakukan. CAE dapat memperoleh masukan atas semesta audit dari manajemen senior dan Dewan.
2. Semesta audit mencakup komponen-komponen dari rencana strategis organisasi. Dengan mencakup komponen-komponen dari rencana strategis organisasi, semesta audit telah mempertimbangkan dan mencerminkan tujuan bisnis secara keseluruhan. Rencana strategis juga cenderung mencerminkan sikap organisasi terhadap risiko dan tingkat kesulitan untuk mencapai tujuan yang telah ditetapkan. Semesta audit biasanya akan dipengaruhi oleh hasil proses manajemen risiko. Rencana strategis organisasi itu juga mempertimbangkan lingkungan di mana organisasi beroperasi. Faktor-faktor lingkungan yang sama kemungkinan akan berdampak terhadap semesta audit dan penilaian risiko-risiko terkait.
3. CAE menyiapkan rencana audit Aktivitas Audit Internal berdasarkan semesta audit, masukan dari manajemen senior dan Dewan, serta penilaian risiko dan eksposur yang mempengaruhi organisasi. Tujuan utama audit biasanya untuk memberikan keyakinan (assurance) dan informasi bagi manajemen senior dan Dewan untuk membantu mereka mencapai tujuan organisasi, termasuk penilaian efektivitas kegiatan manajemen risiko dari manajemen.
4. Semesta audit dan rencana audit yang terkait akan diperbarui untuk mencerminkan perubahan dalam arah, tujuan, penekanan, dan fokus manajemen. Disarankan untuk menilai semesta audit setidaknya setiap tahun untuk mencerminkan strategi dan arah organisasi terkini. Dalam beberapa situasi, rencana audit mungkin perlu diperbarui lebih sering (misalnya, triwulanan) untuk merespons terhadap perubahan dalam bisnis organisasi, operasi, program, sistem, dan pengendalian.
5. Jadwal penugasan audit didasarkan pada faktor-faktor antara lain, penilaian risiko dan eksposur. Pemrioritasan diperlukan untuk membuat keputusan pembagian sumber daya. Terdapat berbagai model risiko untuk membantu CAE. Sebagian besar model risiko menggunakan faktor risiko seperti dampak (impact), kemungkinan (likelihood), materialitas, likuiditas aset, kompetensi manajemen, kualitas dan kepatuhan pengendalian internal, tingkat perubahan atau stabilitas, waktu dan hasil penugasan audit terakhir, kompleksitas, dan karyawan.