Menaksir/menilai risiko fraud

Literatur teknis dan menaksir risiko

Gagasan penilaian risiko telah menjadi bagian dari literatur teknis untuk audit,
menunjukkan atau langsung mengharuskan penilaian risiko termasuk didalam audit. Standar
dalam beberapa tahun terakhir mencerminkan peningkatan cakupan pada risiko. Bagi
perusahaan publik, PCAOB Auditing Standards No. 5 (AS5), suatu Audit Pengendalian
Internal atas Pelaporan Keuangan yang terintegrasi dengan Audit Laporan Keuangan
(diadopsi pada tahun 2007), dibangun di atas standar PCAOB sebelumnya sudah ada No 2
(AS2 ) terutama dengan memperluas peran penilaian risiko. AS2 ditujukan penilaian risiko
dari perspektif manajemen dan auditor, dan termasuk cakupan risiko di berbagai tingkatan
(transaksional, akun, dll). AS5 menjelaskan lebih lanjut dari konsep AS2 dan menekankan
pentingnya top-down, pendekatan berbasis risiko untuk audit pengendalian internal, dan
pentingnya memahami lingkungan entitas (ukuran, industri, dll). Secara garis besar, standar
PCAOB diresapi dengan bahasa, konten, dan saran mengenai penilaian risiko.
American Institute of Certified Public Accountants (AICPA) yang telah mengadopsi ''
Risk Suite '' standar, Pernyataan Standar Auditing (SAS) Nos. 104-111 pada tahun 2006.
Secara garis besar, Risk suite menunjukkan penilaian risiko dalam konteks audit laporan
keuangan dan pengendalian internal. Seperti AS5, risk suite termasuk penekanan pada
holistik, top-down, pendekatan audit berbasis risiko termasuk pengetahuan mendalam tentang
lingkungan entitas dan kontrol internal. Lebih spesifik lagi untuk penipuan, AICPA SAS No.
99, Pertimbangan Penipuan dalam Audit Laporan Keuangan, memberikan panduan bagi
auditor keuangan, termasuk bertukar pikiran selama fase perencanaan, dan pengakuan paksa
penipuan potensial tertentu, terutama manipulasi pendapatan. Lebih luas, standar AICPA
memerlukan pertimbangan dari sejumlah faktor organisasi-spesifik, seperti industri, strategi,
dan sebagainya. Auditor wajib menyesuaikan sifat, waktu, dan luas prosedur audit jika
keadaan menjamin itu, berdasarkan pada penilaian risiko selama curah pendapat dan
pengetahuan dan hasil dari prosedur berikutnya.
The Institute of Internal Auditors (IIA) mempromosikan gagasan bahwa semua fungsi
audit dari internal audit dan kegiatan harus dimulai dengan penilaian risiko (misalnya, bagian
2010 dan 2600 dari Standards of professional practice in internal audit [SPPIA]). Sistem
Informasi Audit dan Control Association (ISACA) juga memiliki persyaratan yang sama
dalam literatur teknis. Pernyataan Informasi Standar Sistem Audit (SISAS), Penggunaan
Penilaian Risiko dalam Perencanaan Audit, menguraikan persyaratan tertentu yang terkait
dengan penipuan untuk audit teknologi informasi. Banyak standar ISACA lainnya mengatasi
penilaian risiko juga, terutama SISAS 8, Pertimbangan Audit untuk Penyimpangan.

Faktor menaksir/menilai risiko

Konsep dasar penilaian risiko adalah probabilitas (kesempatan acara akan terjadi) dan
dampak (besarnya acara jika terjadi). Namun sederhana konsep-konsep yang, mengukur dan

menerapkannya sulit. Faktor-faktor apa yang harus dipertimbangkan? Alat apa yang dapat
membantu dalam menilai risiko? Bagaimana risiko secara tepat diukur?
Faktor yang dapat dipertimbangkan pada berbagai tingkatan, termasuk entitas, orang
(perilaku), divisi, geografi, produk atau jasa, akuntansi atau proses bisnis, kontrol, atau sistem
komputerisasi. Biasanya, faktor yang dianggap pertama di tingkat entitas, sebagai
probabilitas penipuan, pencurian, atau penggelapan dalam lingkungan kerja adalah produk
dari kepribadian eksekutif dan karyawan, kondisi kerja, efektivitas pengendalian internal, dan
tingkat kejujuran di dalamnya (budaya organisasi atau lingkungan). Namun proses dimulai,
perspektif yang berbeda harus dimasukkan dan / atau diperiksa dalam proses penilaian risiko,
termasuk bagaimana manajemen entitas menggabungkan manajemen risiko praktik terbaik.

Faktor lingkungan perusahaan

Penipuan karyawan, pencurian, dan penggelapan lebih banyak terjadi di beberapa
industri dan beberapa organisasi daripada di others.
The Asosiasi of Certfied Fraud Examiners (ACFE) 2008 Report to the Nation (RTTN)
yang telah mensurvei anggotanya mengenai penipuan yang diselesaikan, dan total 959 kasus
yang dilaporkan. Salah satu statistik berkaitan dengan industri diwakili oleh kasus ini.
Sedangkan hasil statistik dapat menunjukkan jenis industri yang paling mungkin untuk
menyewa Certified Fraud Examiner (CFE) untuk menyelidiki penipuan, hasil juga bisa
menunjukkan industri lebih rentan terhadap penipuan. Untuk industri yang lebih rentan
terhadap penipuan, entitas dalam industri tersebut jelas memiliki risiko yang lebih besar dari
penipuan-sesuatu yang perlu dipertimbangkan dalam penilaian risiko untuk entitas tersebut.
Artinya, penilaian risiko harus mempertimbangkan rekening tingkat risiko penipuan dinilai
dalam industri entitas. 2008 Hasil RTTN adalah:
Industry by Frequency:

Banking/Financial services (14.5% of all cases reported)

Government/Public administration (11.7%)
Health care (8.4%)
Manufacturing (7.2%)
Retail (7%)

Industry by Median Loss:

Telecommunications ($800,000/16 cases)

Agriculture/Forestry/Fishing/Hunting ($450,000/13 cases)
Manufacturing ($441,000/65 cases)
Technology ($405,000/28 cases)
Construction ($330,000/42 cases)

Sebuah penilaian risiko juga harus mempertimbangkan ekonomi saat ini. Di saat yang
baik, orang mencuri; di saat buruk, orang mencuri lagi! Sebuah survei 2008-2009 oleh ACFE
meminta 507 CFEs untuk melaporkan tingkat penipuan sejak awal krisis ekonomi. Lebih dari
setengah menunjukkan bahwa jumlah penipuan meningkat selama waktu itu. Juga, 49 persen
melaporkan peningkatan jumlah dolar dari kerugian penipuan selama periode yang sama.

Teorinya adalah bahwa satu kaki dari segitiga penipuan adalah apa Donald Cressey disebut
sebagai '' kebutuhan non shareable keuangan '' atau tekanan (seperti yang tercantum dalam
Bab 2) dan orang-orang pada umumnya berada di bawah tekanan lebih selama resesi
ekonomi dan dalam arti bahwa akan terjadi peningkatan yang didiharapkan dalam penipuan.
Selain itu, kebijaksanaan konvensional di antara anggota masyarakat audit dan
keamanan menunjukkan bahwa organisasi yang paling rentan adalah mereka dengan kontrol
manajemen, akuntansi, dan keamanan terlemah. Organisasi yang lebih rentan terhadap
karyawan yang melakukan penipuan dan penyalahgunaan kerja juga dapat dibedakan dari
orang-orang yang kurang rentan dengan kontras lingkungan dan budaya

Faktor Internal
Faktor internal yang meningkatkan kemungkinan penipuan, pencurian, dan
penggelapan termasuk kontrol manajemen yang tidak memadai dan kegiatan pemantauan
seperti berikut:

Kegagalan untuk menciptakan budaya jujur

Kegagalan untuk mengartikulasikan dan mengkomunikasikan standar minimum
kinerja dan perilaku pribadi
Orientasi dan pelatihan yang tidak memadai pada hukum, etika, penipuan, dan
keamanan masalah
Kebijakan perusahaan yang tidak memadai sehubungan dengan sanksi bagi hukum,
etika, dan pelanggaran keamanan; terutama untuk penipuan dan kejahatan kerah putih
Kegagalan nasihat dan mengambil tindakan administratif ketika tingkat kinerja atau
perilaku pribadi turun di bawah standar yang dapat diterima, atau melanggar entitas
prinsip dan pedoman
Ambiguitas dalam peran pekerjaan, tugas, tanggung jawab, dan bidang akuntabilitas
Kurangnya tepat waktu atau periodik audit, inspeksi, dan tindak lanjut untuk
memastikan sesuai dengan tujuan entitas, prioritas, kebijakan, prosedur, dan
pemerintah peraturan; secara umum, kurangnya akuntabilitas atas kunci posisi
kepercayaan

Faktor Fraud
Apa penilaian risiko juga harus mempertimbangkan skema penipuan yang lebih
mungkin terjadi dalam rangka untuk memandu program antifraud. Pencegahan dan deteksi
penanggulangan tentu lebih efektif jika mereka mengatasi skema penipuan yang paling
mungkin dilakukan.
Untuk penipuan laporan keuangan, jelas para eksekutif dari entitas adalah yang paling
mungkin menjadi calon penipu dan dengan demikian penilaian risiko tentu akan mencakup
orang-orang. Untuk penyalahgunaan aset, karyawan dalam posisi dipercaya cenderung
menjadi pelakunya. Untuk korupsi, mungkin sama tetapi mencakup seseorang di luar entitas
bekerja dengan seseorang di dalam-karakteristik unik dari skema korupsi.
Statistik dari ACFE RTTNs dapat memberikan beberapa bantuan dalam membuat
penentuan ini, seperti dapat brainstorming yang produktif di tim lintas fungsi.

Penilaian Risiko Praktik Terbaik

Jika entitas tidak melakukan penilaian risiko formal, tidak dapat secara efektif
mempertahankan diri dari risiko-risiko tersebut, atau mengurangi risiko-risiko untuk alasan
yang jelas. Dalam rangka mengembangkan penilaian risiko yang efektif, manajemen harus
mengambil teliti, pendekatan formal daripada pendekatan ad hoc. Pendekatan yang mencakup
orang-orang dan proses.