Pada sebuah perusahaan, peran dari audit internal sangatlah penting. Audit internal merupakan suatu fungsi dalam membantu perusahaan dalam mencapai tujuan dengan mengawasi kegiatan operasional perusahaan dan melakukan evaluasi, dan hasil evaluasi tersebut adalah catatan mengenai kekurangan dari kinerja ataupun sistem atau kekurangan lainnya yang dimiliki perusahaan. Dari situ audit internal dapat membantu manajemen perusahaan untuk memperbaiki kinerja dan meningkatkan efektifitas perusahaan guna mencapai tujuan perusahaan dengan memberikan rekomendasi atau masukan.
Audit internal ada untuk memastikan bahwa pengendalian internal dari proses bisnis suatu perusahaan berjalan dengan semestinya, sehingga audit internal dapat melaporkan secara independen bahwa pengendalian internal beroperasi dengan benar. Embun dalam bukunya yang berjudul "Manajemen Risiko Pasar Modal (ISO 31000: 2018)" mengatakan saat ini audit internal berperan sebagai konsultan internal yang memberikan rekomendasi guna menghindari terjadinya kejadian risiko dan melakukan perbaikan atas sistem yang sudah ada, dan bukan lagi sebagai pemeriksa yang mencari adanya penyimpangan dari tiap unit perusahaan.
Untuk memenuhi perannya tersebut, yaitu sebagai konsultan internal ataupun problem solver, audit internal harus terhubung secara keseluruhan dengan kerangka kerja manajemen risiko organisasi, ini disebut sebagai metodologi Audit Internal Berbasis Risiko (AIBR). Dengan mengimplementasikan audit internal berbasis risiko tersebut, akan memudahkan auditor dalam memberikan rekomendasi atau masukan kepada pihak manajemen perusahaan, contohnya dewan direksi, mengenai keefektifan proses penerapan manajemen risiko di perusahaan dan apakah itu sudah sesuai dengan selera risiko atau risk appetite atau belum.
Embun menyatakan terdapat beberapa manfaat yang dapat diperoleh dengan mengimplementasikan audit internal berbasis risiko, diantaranya yaitu: (1) manajemen telah mengidentifikasi risiko, menilai risiko, dan melakukan perlakuan atas risiko sesuai dengan risk appetite atau selera risikonya, (2) risiko akan dikelola dengan lebih efektif tetapi tidak berlebihan jika risiko tersebut tidak sesuai dengan selera risiko, (3) risiko residual yang tidak sesuai dengan selera risiko akan segera diperbaiki agar sesuai dengan selera risiko dengan memberikan perlakukan atau treatment yang sesuai pula, (4) tanggapan dan rekomendasi penyelesaian risiko yang diberikan internal audit akan lebih efektif dalam memastikan unit pada perusahaan beroperasi secara tepat dan efektif, (5) tanggapan dan perlakuan terhadap risiko yang disarankan oleh audit internal terus dipastikan telah dilaporkan secara baik dan benar.
Terdapat 3 tahapan pelaksanaan audit internal berbasis risiko menurut Embun. Tahap pertama adalah meniali kematangan risiko atau risk maturity perusahaan. Untuk dapat menilai tingkat kematangan risiko, terdapat beberapa proses yang harus dilakukan yaitu: (1) mendiskusikan dengan direksi dan manajer senior mengenai pemahaman risk maturity, (2) memperoleh dokumen-dokumen yang terkait dengan risk maturity, contohnya seperti tujuan perusahaan, proses identifikasi risiko, risk appetite yang telah disetujui, dll, (3) menilai dan melaporkan risk maturity, (4) memilh strategi audit atas risiko yang sesuai dengan risk maturity perusahaan.
Tahap kedua yaitu melakukan perencanaan pemeriksaan periodik, ini dilakukan guna memastikan semua proses manajemen risiko yang sudah dilaksanakan sesuai rekomendasi dari audit internal berjalan secara objektif dan efektif. Tahap ketiga yaitu penugasan audit. Dalam penugasan audit, auditor melakukan audit yaitu dengan mengaudit keseluruhan manajemen risiko, mulai dari tindakan sampai langkah-langkah yang diambil tim manajemen guna mengelola risiko perusahaan. Auditor juga harus membahas, mengamati, dan mengendalikan proses penerapan manajemen risiko dengan risk owner. Audit internal juga harus memberikan laporan mengenai rendahnya kematangan risiko kepada manajemen dan komite audit agar mereka segera mengambil tindakan dan kebijakan. Audit internal juga membutuhkan keterlibatan manajemen perusahaan selaku risk owner pada tiap unit dalam perusahaan.
