Anda di halaman 1dari 13

CH 3 VONA

ORGANIZATIONAL FRAUD RISK ASSESMENT


Dalam dunia nyata, manajemen, konsultan, dan auditor mempersiapkan
dan menggunakan alat penilaian risiko fraud untuk mengelola risiko fraud.
budaya organisasi tercermin dalam penilaian risiko yang digunakan dalam hal:
tingkatan detail, kuantifikasi, dan gaya operasi manajemen dan auditor. Tidak
peduli dari pihak-pihak mana yang mempersiapkan dokumentasi, pertanyaan
mendasarnya sama. yang mempersiapkan dokumentasi penilaian risiko harus
menjawab tiga pertanyaan:
1. Apakah risiko penipuan teridentifikasi?
2. Apakah pengendalian internal yang terkait dengan risiko fraud?
3. Apakah risiko fraud berkurang ke tingkat yang dapat ditolerir?
Apa yang membedakan antara pihak-pihak tersebut adalah bagaimana
masing-masing menggunakan penilaian risiko fraud. Misalnya, dengan
menggunakan penilaian risiko fraud, manajemen memenuhi tanggung jawab
untuk mengelola risiko yang dihadapi organisasi atau sistem bisnis. Dokumen
penilaian risiko menguraikan proses penilaian risiko dan diperlukan sebagai
bagian dari model pengendalian. Dari perspektif auditor, penilaian risiko fraud
adalah alat yang menentukan sifat, lingkup, dan waktu prosedur audit.
Tidak ada satu cara untuk menerapkan penilaian risiko fraud. Pemilihan
metodologi tergantung pada alasan untuk melakukan penilaian risiko. Biasanya,
penilaian risiko dilakukan untuk memenuhi persyaratan peraturan dan
persyaratan audit, untuk mengukur pengendalian internal, dan untuk
menemukan fraud dalam sistem bisnis inti. Dalam menentukan metodologi,
pertanyaannya menjadi pada tingkatan manajemen apa dan/atau auditor
berkeinginan untuk mengidentifikasi dan menanggapi risiko fraud. penilaian
risiko fraud dapat dilakukan pada tiga tingkatan:
1. Tingkat Risiko Makro. Penilaian risiko besar/luas suatu
perusahaan
Penilaian risiko fraud perusahaan yang luas dirancang untuk memberikan
identifikasi yang komprehensif untuk menghadapi semua kegiatan fraud
pada suatu organisasi dan menghubungkan kepemilikan dengan
pemeriksaan tanggung jawab untuk risiko fraud. Tujuannya adalah untuk
menciptakan
struktur
untuk
membangun
kepemilikan,
menilai
kemungkinan fraud terjadi, memahami efek fraud dan bagaimana metode
risiko fraud akan dikelola. Penilaian risiko fraud perusahaan yang luas
berfokus pada lingkungan pengendalian internal untuk menentukan
kemungkinan risiko fraud yang terjadi. Dampak fraud harus diidentifikasi
dan dipahami. Budaya organisasi akan menentukan apakah pendekatan
kuantitatif
atau
deskriptif
yang
akan
digunakan
untuk
mendokumentasikan dampak fraud. Tujuan manajemen adalah untuk
menciptakan struktur untuk mengelola biaya fraud.

2. Tingkat Risiko Mikro. Sebuah penilaian risiko proses bisnis


Penilaian risiko fraud proses bisnis dirancang untuk mengidentifikasi
skema fraud tertentu pada tingkat proses bisnis, dan hubungan prosedur
pengendalian internal khusus untuk risiko fraud yang melekat pada
proses. Penilaian proses bisnis berfokus pada prosedur internal control,
monitoring control, dan pengendalian yang terkait dengan sistem
informasi dan komunikasi. Tujuan manajemen adalah untuk sampai pada
keputusan mitigasi risiko. Tujuan auditor, yang sama, dimaksudkan untuk
fokus pada pengembangan program audit.
3. Tingkat Risiko Mega. Sebuah penetrasi penilaian risiko fraud
Penetrasi penilaian risiko fraud dirancang untuk mengidentifikasi
kemungkinan besar lokasi transaksi fraud dalam rekening tertentu, jenis
transaksi dan lokasi bisnis. Penilaian tersebut digunakan dalam
pengembangan program audit fraud yang menempatkan dan
mengidentifikasi aktivitas fraud sebelum dugaan fraud terwujud melalui
hot line, tip, atau beberapa peristiwa tak terduga. Tujuan keseluruhan dari
pelaksanaan penilaian risiko fraud pada tingkat ini adalah untuk
menemukan transaksi fraud dalam sistem bisnis inti.
Tingkat risiko apa yang dapat ditolerir adalah pertanyaan yang harus
dijawab sebelum memulai penilaian risiko fraud. pengendalian internal
menyediakan alasan yang dapat diterima, tetapi tidak ada jaminan mutlak
tingkatan fraud yang dapat ditolerir dalam sebuah organisasi. Jawaban khas
adalah bahwa tidak ada fraud yang dapat ditolerir. Meskipun hal ini mungkin
benar secara filosofis, tidak ada organisasi yang mampu membayar biaya
pelaksanaan pengendalian untuk benar-benar mencegah fraud.
Dari perspektif manajemen, jawabannya akan berkorelasi dengan risiko
toleransi dan strategi untuk mengelola biaya fraud. Pada dasarnya, fraud seperti
biaya lain dalam melakukan bisnis. Biaya harus diidentifikasi, dan kontrol harus
di tempatkan untuk mengelola biaya pada tingkat yang dapat diterima. Dalam
hal ini, penilaian risiko fraud bertindak sebagai alat untuk membantu manajemen
sampai pada keputusan mengenai biaya pengelolaan risiko fraud.
Semua auditor menghubungkan toleransi risiko organisasi dengan faktor
materialitas. Misalnya, auditor eksternal mengeluarkan pendapat atas laporan
keuangan untuk memastikan bahwa laporan keuangan bebas dari salah saji
material. Sedangkan, auditor internal memastikan bahwa pengendalian internal
dirancang dan dioperasikan sesuai dengan toleransi risiko manajemen. Jika
auditor internal tidak setuju dengan keputusan toleransi risiko manajemen,
mereka harus melaporkan ketidaksetujuan mereka kepada komite audit.

FRAUD RISK MITIGATION DECISIONS

Pentingnya penilaian risiko fraud sebagai alat untuk mengidentifikasi fraud


bervariasi tergantung pada perspektif yang menggunakannya. Manajemen dapat

menggunakan penilaian untuk membuat keputusan yang cukup, tidak hanya


tentang bagaimana untuk menangani insiden fraud yang terungkap, tapi
bagaimana untuk menerapkan kontrol yang kuat untuk mencegah risiko fraud
dimasa depan. Dari perspektif audit, auditor pada dasarnya menggunakan
penilaian risiko fraud untuk mengatasi ancaman langsung dari tindakan fraud.
Meskipun kedua manajemen dan auditor menggunakan penilaian untuk
membuat keputusan penting mengenai mitigasi fraud, perspektif mereka
berbeda mengingat perbedaan peran mereka dalam sebuah proses. Terlepas dari
perspektif-perspektif yang berbeda, kekuatan penilaian risiko fraud menjadi jelas
dalam menggunakan potensinya.

Sebuah Perspektif Manajemen


Penilaian risiko fraud terjadi pada dua tingkat dari perspektif organisasi:
tingkat perusahaan yang luas dan tingkat proses bisnis. Tada tingkatan
perusahaan yang luas, penilaian resiko fraud adalah alat manajemen yang
mengidentifikasi di mana organisasi ini rentan terhadap kerugian yang terjadi
dari tindakan fraud. Penilaian risiko fraud proses bisnis dirancang untuk
mengidentifikasi skema fraud yang berkaitan dengan proses bisnis atau jenis
akun dalam sebuah proses tertentu . Kedua penilaian risiko fraud di tingkat
perusahaan dan pada tingkat proses bisnis dapat dilakukan secara terpisah,
dikombinasikan, atau dirancang sedemikian rupa untuk membandingkan satu
sama lain.
Setiap organisasi memiliki risiko fraud yang melekat. Risiko ini dapat
timbul baik dari sumber internal dan eksternal, dan perbuatan curang dapat
dilakukan oleh karyawan baru atau lama - karyawan jangka. Faktor risiko fraud
bagi suatu organisasi meliputi: sifat industri, lokasi geografis, struktur organisasi
dan ukuran, kondisi ekonomi, dan gaya operasi manajemen.
Organisasi secara historis mengakui bahwa fraud membenani keuangan
mereka. Mereka menerapkan pengendalian untuk mengelola risiko yang
diketahui. Departemen Pencegahan dan Keamanan Resiko mengatasi kerugian
yang terkait dengan pencurian atau klaim palsu. Namun, departemen ini
cenderung berfokus pada jenis fraud tertentu. Departemen pencegahan kerugian
ritel fokus pada pengutil, sedangkan, departemen tersebut dalam organisasi
kesehatan berfokus pada klaim medis palsu. Sebagian besar organisasi tidak
memiliki pendekatan sistematis untuk mengidentifikasi seluruh biaya dari semua
jenis fraud. Oleh karena itu, perlu ada untuk sebuah pendekatan untuk
mengidentifikasi semua peluang terjadinya fraud yang dihadapi organisasi.
Penilaian risiko fraud adalah pendekatan semacam itu dan, karena itu, menjadi
titik awal untuk mengelola risiko fraud di seluruh organisasi.
Sebuah Perspektif Audit
Penilaian risiko fraud memungkinkan auditor untuk memusatkan upaya
mereka di mana laporan keuangan atau sistem bisnis yang rentan terhadap
tindakan fraud. Secara khusus, dalam melakukan penilaian risiko fraud, auditor
fokus pada kecukupan pengendalian internal untuk mengelola risiko fraud

sebagai dasar untuk menentukan sifat, lingkup, dan saat prosedur audit. Oleh
karena itu, penilaian ini biasanya dilakukan pada tingkat proses bisnis sesuai
standar yang ada.
Public Company Accounting Oversight Board (PCAOB) Audit Standard No.2
menyatakan:
Pertimbangan fraud dalam audit pengendalian internal atas pelaporan
keuangan. Auditor harus mengevaluasi semua kontrol yang khusus
ditujukan untuk mengatasi risiko fraud yang memiliki kemungkinan terjadi
dan memiliki dampak material terhadap laporan keuangan perusahaan.
Pengendalian dapat menjadi bagian dari salah satu dari lima komponen
pengendalian internal atas pelaporan keuangan. Kontrol yang berkaitan
dengan pencegahan dan deteksi fraud sering memiliki efek yang luas
pada risiko fraud. kontrol tersebut meliputi, tetapi tidak terbatas pada,:

Kontrol menahan penyalahgunaan aset perusahaan yang dapat


mengakibatkan salah saji material dari laporan keuangan;
Proses penilaian risiko perusahaan;
Kode etik/ ketentuan perilaku, terutama yang berhubungan dengan
konflik kepentingan, transaksi pihak terkait, tindakan ilegal, dan
pemantauan kode oleh manajemen dan komite audit atau dewan;
Kecukupan kegiatan audit internal dan apakah laporan fungsi audit
internal secara langsung kepada komite audit, serta tingkat
keterlibatan komite audit dan interaksi dengan audit internal; dan
Kecukupan prosedur perusahaan untuk menangani keluhan dan
untuk menerima pengajuan rahasia dari kekhawatiran tentang
akuntansi atau audit yang dipertanyakan.

ENTERPRISE - WIDE RISK ASSESSMENT

Penilaian risiko fraud perusahaan yang luas membutuhkan pengembangan


gambaran organisasi yang luas yang membutuhkan kebijakan keputusan dan
pemahaman lengkap tentang proses bisnis perusahaan. Seperti membangun
rumah, kekuatan pondasi berkorelasi dengan kekuatan rumah. Penilaian risiko
fraud diimplementasikan setelah seluruh dasar pengetahuan dikembangkan.
Keputusan kebijakan kemudian dapat dibuat secara wajar dan efektif. Selain itu,
tidak hanya satu orang yang membangun kota, penilaian risiko fraud merupakan
upaya kolaborasi dari manajemen dan auditor. Dengan dasar pemikiran ini,
langkah-langkah dalam mengembangkan penilaian risiko perusahaan yang luas
adalah:
1. Mengembangkan
metodologi
untuk
mengidentifikasi
mengklasifikasikan populasi risiko fraud.
Termasuk standar profesional yang relevan.
Mengadopsi definisi fraud.
Termasuk teori fraud: The Triangle fraud.
2. Melakukan analisis kemungkinan terjadinya fraud.
Mengembangkan nilai kemungkinan terjadinya fraud

dan

Memahami dan mengukur dampak dari fraud


3. Menghubungkan manajemen dan auditor yang bertanggung jawab untuk
risiko fraud.
Mengidentifikasi Populasi dari Resiko Fraud
Sebuah penilaian risiko fraud harus mengidentifikasi, mengklasifikasikan,
dan mengukur fraud pada tingkat entitas dan tingkat proses bisnis. Penilaian
risiko fraud pada keduanya, tingkat entitas dan tingkat proses bisnis harus
dihubungkan bersama untuk memastikan gambaran komprehensif. Hubungan ini
penting untuk penilaian risiko fraud dalam mengidentifikasi jenis besar dan kecil
dari risiko fraud dan menghubungkan jenis fraud dengan skema fraud tertentu
pada tingkat proses bisnis. Jenis utama skema fraud adalah:

Penyalahgunaan aset
Pelaporan keuangan
Korupsi / pemerasan
Pendapatan tidak wajar yang diperoleh
Menghindari beban
Menghindari peraturan pemerintah
Memperoleh informasi luar saluran yang tepat atau kehilangan tujuan
informasi
Fraud komputer
Mengesampingkan kepentingan manajemen

Jenis kecil risiko penipuan akan bervariasi dengan skema besar yang
dipekerjakan, organisasi, dan definisi fraud yang dipilih untuk metodologi
penilaian risiko perusahaan yang besar/luas. Jenis minor fraud keduanya umum
untuk semua bisnis dan spesifik untuk jenis usaha. Siklus pengeluaran
cenderung lebih umum, sedangkan, siklus pendapatan cenderung lebih spesifik
untuk industri. Exhibit 3.1 menggambarkan jenis kecil fraud yang terkait dengan
skema penipuan besar.
Contoh berikut menunjukkan bagaimana jenis utama dari risiko fraud,
jenis kecil dari risiko fraud, unit operasi utama, dan sistem bisnis berhubungan
dengan penilaian risiko fraud:
1. Mengidentifikasi penyalahgunaan aset di tingkat perusahaan
Jenis utama: penyalahgunaan Aset
Jenis kecil: Penggelapan dana
Unit operasi utama: Perusahaan ABC
Sistem bisnis: Pencairan atau hutang
2. Mengidentifikasi skema fraud penagihan pada tingkat proses bisnis (Step
down Process)
Jenis akun tertentu: layanan profesional
Skema fraud: penagihan palsu untuk vendor fiktif
variasi skema penipuan: penagihan palsu untuk vendor fiktif (Penilaian
penetrasi fraud yang fokus pada variasi vendor fiktif dan pengeluaran
fiktif.)
3. Mengidentifikasi fraud pelaporan keuangan di tingkat perusahaan

Jenis utama: Pelaporan keuangan


Jenis kecil: pendapatan dilaporkan fiktif
Unit operasi utama: Perusahaan ABC
Sistem bisnis: Sistem pelaporan penjuaan
4. Mengidentifikasi skema fraud pendapatan pada tingkat proses bisnis (step
down process)
Jenis akun tertentu: Penjualan domestik
Skema fraud: pendapatan fiktif kepada pelanggan fiktif
variasi skema fraud: pendapatan fiktif kepada pelanggan fiktif
(Penilaian penetrasi fraud akan fokus pada variasi pelanggan fiktif dan
pendapatan fiktif.)
Inclusion of the Relevant Professional Standards
Auditor dan keamanan profesional mengidentifikasi dan menilai risiko
berdasarkan standar profesional. Seorang CPA akan merujuk pada generally
accepted auditing standards (GAAS); auditor internal akan melihat kestandar
Institute of Internal Auditor (IIA) atau Government Auditing Standards.
Sementara standar ini diatur, setiap set berbeda per sumber. Penilaian risiko
harus menyatakan standar yang digunakan untuk membangun penilaian risiko.
Adoption of a Fraud Definition
Titik awal dari penilaian risiko fraud adalah untuk membangun definisi
fraud. American Institute Akuntan Publik (AICPA) menawarkan definisi dalam
standar auditingnya. Profesi hukum menawarkan definisi di Black Law Dictionary.
Parlemen Eropa menawarkan definisi fraud dalam kebijakannya. Negara
menawarkan definisi dalam undang-undang mereka. Dengan mengadopsi
definisi fraud, penilaian risiko menetapkan ruang lingkup penilaian dan
parameter yang terkait. Definisi penulis adalah:
Fraud. Tindakan yang dilakukan pada organisasi atau oleh organisasi atau
untuk organisasi. Tindakan yang dilakukan oleh sumber internal atau
eksternal dan disengaja dan tersembunyi. Tindakan biasanya ilegal atau
menunjukkan kesalahan, seperti dalam kasus: salah saji keuangan,
pelanggaran kebijakan, pelanggaran etis, atau masalah persepsi. Tindakan
menyebabkan hilangnya dana perusahaan, nilai perusahaan, atau reputasi
perusahaan, atau manfaat yang tidak sah apakah diterima secara pribadi
atau oleh orang lain.

Contoh
Jika sebuah organisasi tidak benar menghitung uang lembur bagi karyawan atau
misclassifies karyawan seperti gaji vs jam, akankah skema ini dimasukkan dalam
penilaian risiko fraud? Menariknya, banyak auditor tidak akan menyebut ini
sebagai fraud. Pada kenyataannya, tindakan tersebut melanggar hukum sebagai
pelanggaran terhadap hukum perburuhan, dan, karena itu, mengakibatkan
hilangnya dana karena hukuman dan publisitas yang merugikan bagi organisasi.
Namun, tindakan ilegal belum tentu naik ke tingkatan fraud kecuali manajemen
sengaja melakukan kesalahan klasifikasi karyawan dan menyembunyikan

kebenaran tentang klasifikasi tersebut. Dengan menggunakan definisi fraud


tradisional, risiko tidak akan disertakan dalam penilaian risiko fraud suatu
organisasi. Namun, dengan menggunakan definisi fraud dari penulis, risiko akan
dibahas dalam penyediaan tindakan ilegal dari definisi dan di bawah tindakan
yang dilakukan oleh organisasi.
Inclusion of the Fraud Theory: The Fraud Triangle
The fraud triangle menjelaskan bahwa ketika fraud terjadi, harus ada
kesempatan, tekanan, dan rasionalisasi. Mengenai penilaian risiko perusahaan
yang luas/lebar, kesempatan berhubungan dengan lingkungan pengendalian,
khususnya, unit operasi atau pemilik sistem bisnis. Oleh karena itu, auditor harus
memilih prosedur kontrol tertentu. Kemudian, kejadian tersebut dapat diukur dan
sebaiknya memilih prosedur itu.
Enterprise - Wide Fraud Likelihood Analysis
Seperti bagian kesempatan dari fraud triangle yang ditujukan melalui
analisis lingkungan pengendalian, tekanan dan bagian rasionalisasi termasuk
dalam analisis kemungkinan fraud. Faktor risiko fraud yang dipilih untuk analisis
ini didasarkan pada jenis auditor yang melakukan penilaian risiko. Misalnya,
auditor eksternal akan melihat ke faktor organisasi. Contoh-contoh ini
menggambarkan konsep tersebut:
1. Dewan pengawasan direksi ditetapkan melalui komite audit independen,
memenuhi kriteria yang ditetapkan dalam New York Stock Exchange
(NYSE) Corporate Governance Rules section 303A.
2. Upaya oleh manajemen senior, seperti etika hot line yang dilembagakan,
fungsinya dikomunikasikan kepada karyawan, dan menerima promosi
tahunan.
3. Sebuah audit internal dilaksanakan dengan menggunakan pendekatan
audit fraud sebagaimana didefinisikan dalam Bab 2.
4. Kontrol integritas, seperti kode etik atau kebijakan etika, hadir dan
dipromosikan setiap tahun oleh manajemen senior.
5. Kesadaran dari tekanan dan faktor rasionalisasi, seperti tindakan moral
negatif, perubahan karyawan internal yang tidak diharapan atau
persyaratan pekerjaan baru.
Alih-alih faktor organisasi ditujukan atas, auditor internal fokus pada unit
operasi. Contoh analisisnya seperti:
1. Komitmen manajemen untuk kontrol antifraud, seperti pelaksanaan
penilaian risiko fraud manajemen dan self-auditing.
2. Pelatihan kesadaran fraud di unit dasar yang dilakukan setiap tahun dan
diperkuat dengan komunikasi manajemen mengenai yang tidak dapat
ditoleransi
3. Kesadaran akan tekanan dan faktor rasionalisasi, seperti unit - tingkat
kejadian moral negatif dan isu-isu kelangsungan bisnis
4. Sejarah masalah fraud dikenal berkaitan dengan frekuensi tuduhan dan
insiden fraud yang diketahui kemudian dilaporkan
5. Menentukan efektivitas dalam operasi pengendalian internal berdasarkan
hasil audit sebelumnya dan komitmen manajemen untuk penggunaan
pengendalian internal.

Developing a Fraud Likelihood Score


Penilaian risiko fraud harus memungkinkan alasan logis yang konsisten
untuk mengukur kemungkinan fraud. Teknik untuk rating kemungkinan fraud
harus disepakati dan dipahami oleh semua anggota manajemen. Namun,
kesepakatan dengan teknik rating dan memahami peringkat sebenarnya bukan
hal yang sama. Peringkat kemungkinan fraud harus menghasilkan penugasan
skor. Sistem penilaian dapat menggunakan nomor tinggi, sedang, atau rendah
atau, asalkan peringkat memenuhi kebutuhan organisasi untuk pengukuran
kemungkinan fraud. Dengan dipahami oleh semua pihak, sistem pengukuran
yang dilaksanakan akan menghasilkan skor yang berarti. Sebuah skor yang
berarti harus menunjukkan salah satu dari berikut:
1. Organisasi melebihi praktik terbaik.
2. Organisasi memenuhi praktik terbaik.
3. Organisasi tidak memenuhi praktik terbaik.
Contoh penggunaan sistem penilaian direksi di papan sebuah organisasi
sehubungan dengan audit pengendalian adalah sebagai berikut:
Piagam komite audit tidak mengandung semua unsur NYSE aturan
Corporate governance bagian 303A: skor 3
Piagam Audit mengandung unsur yang dibutuhkan: skor 2
Piagam Audit melebihi persyaratan minimum Rule 303A: skor 1
Understanding and Measuring Fraud Effects
Efek fraud bervariasi dengan sifat skema fraud umum dan risiko fraud
khusus yang teridentifikasi. Memang benar dari semua organisasi, jika skema
fraud terjadi, maka akan ada kerugian, terutama yang moneter. Misalnya, jenis
kerugian mungkin kerugian dana langsung, kehilangan nilai pasar, biaya tidak
langsung terkait dengan reaksi terhadap perbuatan fraud, atau kerugian
kualitatif dalam hal publisitas yang merugikan atau hilangnya kepercayaan
publik. Selain itu, sekali perbuatan fraud diidentifikasi maka kerugian yang
terkait dengan publisitas maka membutuhkan waktu dan upaya untuk
menyelesaikan masalah dengan baik.
Oleh karena itu, auditor harus mengidentifikasi fraud dan kemudian
memahami dampak fraud untuk mengukur efek fraud menjadi sebuah perspektif
yang dapat dikelola. Identifikasi dan pemahaman adalah langkah-langkah
sederhana; mengukur dampak merupakan proses yang lebih sulit dan subjektif.
Langkah pertama adalah untuk mengidentifikasi dampak fraud dan kemudian
menghitung tingkat kerugian. Dua perhitungan kerugian harus dipertimbangkan
dalam menentukan besarnya kerugian yang: perhitungan besarnya risiko kotor
dan perhitungan kerugian risiko bersih.
The Gross Magnitude Risk Calculation. Dalam perhitungan besarnya
risiko kotor, potensi kerugian maksimum ditentukan. Sementara organisasi
jarang menderita kerugian maksimum, organisasi telah gagal karena
tindakan fraud. Enron dan Barings Bank adalah contoh dari dampak
besarnya fraud kotor.
Secara khusus, Barings Bank menderita kerugian besar karena dari buku
perdagangan saham, dan, karena tindakan fraud, kerugian melebihi

kemampuan organisasi untuk tetap dalam bisnis. Sementara panti sosial


keuangan lainnya telah menderita kerugian dari tindakan fraud, tindakan
tidak menyebabkan mereka untuk menghentikan, karena penemuan fraud
terjadi pada waktunya untuk mencegah pertumbuhan kerugian untuk
ukuran yang akan mengakibatkan pembubaran. Dalam kebanyakan kasus,
hilangnya sejumlah marjinal, dalam kaitannya dengan ukuran organisasi,
biasanya akan mengakibatkan hilangnya dana, dan dalam publisitas yang
merugikan, dan mungkin penghentian individu penting, bukan penutupan.
Net Loss Risk Calculation. Perhitungan yang kedua digunakan dalam
memprediksi besarnya kerugian bersih dari perhitungan risiko kerugian.
Perhitungan ini menentukan efek dari fraud pada pengendalian internal
organisasi. Perhitungan kerugian risiko bersih adalah perhitungan
besarnya risiko kotor yang disesuaikan untuk menentukan kualitas kontrol
antifraud yang dirasakan. Penyesuaian ini menghasilkan perhitungan risiko
fraud residual, yang harus dikaitkan dengan tingkat toleransi risiko
manajemen. Sistem penilaian dapat numerik atau menggunakan sistem
narasi PCAOB. Sebagai contoh, sebuah skor narasi berikut:
Inconsequential. Individual atau kolektif, suatu peristiwa atau kejadian
yang tidak akan mencegah pencapaian tujuan pengendalian.
More than consequential. Individual atau kolektif, suatu peristiwa atau
kejadian akan mempengaruhi operasi pengendalian, tetapi tidak
dianggap merugikan.
Consequential. Individual atau kolektif, suatu peristiwa atau kejadian
akan mengakibatkan dampak negatif terhadap operasi pengendalian.

Contoh scoring
Konsisten dengan teknik penilaian kemungkinan fraud, proses mengukur efek
dari fraud yang harus mencakup identifikasi dampak risiko, pengembangan
faktor threshold, dan penugasan skor. Contoh sebagai berikut:
Kerugian aset oleh fraud internal atau Eksternal
Loss akan kurang dari $ 100.000.
Loss akan kurang dari $ 1 juta.
Loss akan melebihi $ 1 juta.
Risiko reputasi atau Publisitas buruk
Even akan memiliki dampak minimal pada reputasi perusahaan.
Even akan menodai reputasi dengan efek yang berlangsung kurang dari
satu tahun.
Even akan menodai reputasi selama lebih dari satu tahun.
Merusak Perilaku Bisnis Harian
Even akan mengakibatkan gangguan minimal dari perilaku sehari-hari
bisnis.
Even akan mempengaruhi organisasi kurang dari satu tahun.
Even akan mempengaruhi organisasi yang lebih dari satu tahun.
Merugikan Konsekuensi Hukum
Even akan menghasilkan tindakan sipil.

Even akan mengakibatkan denda atau penalti.


Even akan mengakibatkan gugatan class action.
Aksi Kriminal perusahaan
Even akan mengakibatkan pencabutan izin praktek dari bisnis.
Even akan mengakibatkan tindakan pidana terhadap manajemen operasi.
Even akan mengakibatkan tindakan pidana terhadap organisasi.
Noncompliance with Regulations
Even akan mengakibatkan tidak ada sanksi.
Even akan mengakibatkan sanksi, tidak ada dampak moneter.
Even akan mengakibatkan sanksi dengan dampak moneter.
Menghubungkan Manajemen dan Audit Tanggung Jawab
Langkah
terakhir
dalam
mengembangkan
metodologi
untuk
mengidentifikasi dan mengklasifikasikan populasi risiko fraud adalah untuk
membangun kontrol dan kepemilikan audit. Proses ini membutuhkan
menghubungkan setiap skema penipuan untuk pemilik dan auditor. Membangun
kepemilikan control memungkinkan tanggung jawab untuk mengelola risiko fraud
yang akan ditugaskan ke departemen. Penugasan audit, dalam hal internal dan
eksternal, juga memberikan tanggung jawab untuk mengelola risiko penipuan,
dan penugasan tersebut memiliki manfaat mengurangi tumpang tindih audit.
Dua contoh dari menghubungkan manajemen dan audit yang bertanggung jawab
untuk tindak risiko penipuan:
1. Contoh pelaporan keuangan
Jenis utama dari risiko penipuan: Pelaporan keuangan
Jenis kecil dari risiko penipuan: penjualan fiktif
Unit operasi utama: ABC Perusahaan
Akun atau bisnis sistem: Penjualan sistem pelaporan
akun tertentu: Penjualan domestik
kepemilikan kontrol: Departemen Penjualan
kepemilikan Audit: auditor eksternal
2. Contoh Penyalahgunaan Aset
Jenis utama dari risiko penipuan: penyalahgunaan Aset
Jenis kecil dari risiko penipuan: Penggelapan dana
Unit operasi: Perusahaan ABC
Akun atau sistem bisnis: Pencairan atau hutang
akun tertentu: Jasa profesional
kepemilikan kontrol: Departemen Keuangan
kepemilikan Audit: Audit internal dan audit eksternal
BUSINESS PROCESS FRAUD RISK ASSESSMENT

Penilaian risiko perusahaan yang lebar/luas memberikan kerangka untuk


penilaian risiko fraud yang komprehensif. Oleh karena itu, dalam hal risiko global,
model proses bisnis harus terhubung ke model penilaian perusahaan yang lebar.
Penilaian risiko proses bisnis fraud mengidentifikasi prosedur kunci
pengendalian internal yang terkait dengan berbagai risiko fraud yang melekat
pada proses bisnis. Setelah prosedur kunci pengendalian internal teridentifikasi,
kemungkinan fraud dan sejauh mana tingkat fraud yang dihadapi organisasi

harus ditentukan. Bab 6 sampai 12 membahas skema fraud yang paling umum
dalam sistem bisnis utama. Anda perlu beradaptasi dengan risiko yang melekat
pada industri masing-masing dan organisasi.
Dalam menentukan kemungkinan fraud dan sejauh mana tingkat fraud,
matriks fraud adalah alat yang berguna untuk menghubungkan prosedur
pengendalian internal untuk risiko fraud tertentu atau untuk membangun
program audit yang menghubungkan prosedur audit fraud khusus untuk skema
fraud tertentu. Pada dasarnya, matriks dimulai dengan menghubungkan
prosedur pengendalian internal untuk skema fraud dan berakhir dengan
menawarkan kesimpulan tentang mitigasi risiko fraud yang ditimbulkan oleh
skema tertentu.
Pengendalian internal
Secara umum, strategi pengendalian fraud berfokus pada pencegahan dan
deteksi fraud. Proses dimulai dengan model pengendalian internal yang berlaku
di negara asal auditor dan mengidentifikasi strategi pengendalian yang relevan.
Di Amerika Serikat, model pengendalian COSO (Committee of Sponsoring
Organizations) manajemen risiko perusahaan (ERM). Bagian lain dunia dapat
menggunakan model pengendalian yang berbeda. Dalam proses bisnis penilaian
risiko fraud, prosedur pengendalian internal diidentifikasi dan disesuaikan
dengan risiko fraud. Mengelola risiko fraud terkait dengan prosedur pengendalian
internal dibahas dalam Bab 13.
Identifikasi Skema Fraud
Setiap sistem bisnis memiliki sejumlah batasan skema fraud yang melekat
dan jumlah variasi yang terbatas pada skema tersebut. Penilaian risiko proses
bisnis pertama harus fokus pada risiko fraud yang melekat. Semua variasi fraud
bisa dipertimbangkan dalam penetrasi penilaian risiko fraud. Masalah yang
termasuk semua variasi dalam penilaian risiko fraud bisnis adalah bahwa
penilaian akan menjadi terlalu besar untuk menjadi alat yang berguna untuk
manajemen. Oleh karena itu, variasi yang paling berlaku harus diidentifikasi oleh
auditor untuk mengembangkan data yang komprehensif - rencana penggalian
dan mengembangkan prosedur audit tertentu.
Peluang fraud
Siapa yang akan berbuat dan menyembunyikan skema fraud dalam sistem
bisnis dan apa metode yang akan mereka gunakan adalah pertanyaan yang
berkaitan dengan segitiga fraud, khususnya, kesempatan fraud. Jawabannya
akan terdiri dari orang tertentu atau sekelompok orang. "Karyawan yang
melakukan persetujuan faktur" adalah contoh dari sekelompok orang melakukan
prosedur pengendalian. Kesempatan untuk melakukan skema akan tergantung
pada jumlah peluang pengendalian dalam proses bisnis dan jumlah orang yang
melakukan prosedur pengendalian.
Dalam menentukan peluang fraud, auditor harus mewawancarai
manajemen dan membaca kebijakan dan prosedur manual. Wawancara
dimaksudkan untuk mengkonfirmasi bahwa pemahaman umum dari prosedur
pengendalian ada dan untuk mengidentifikasi praktek bisnis yang tidak

dijelaskan dalam kebijakan dan prosedur. Misalnya, proses wawancara harus


membantu kesadaran auditor fitur override yang dibangun ke dalam sistem data.
Skenario fraud
Hasil identifikasi pengendalian dan menghubungkan ke skema fraud yang
melekat dan kesempatan fraud, menentukan skenario fraud. Pengembangan
skenario fraud perlu mengekspos fraud dan melembagakan langkah yang tepat
untuk mencegah tindakan terjadi lagi dalam proses bisnis yang spesifik. Oleh
karena itu, sekali skenario penipuan diidentifikasi, langkah berikutnya adalah
untuk memahami bagaimana penipuan yang tersembunyi.
Penyembunyian Fraud
Auditor harus memahami teknik penyembunyian yang digunakan untuk
menyembunyikan skema fraud untuk menentukan bagaimana prosedur
pengendalian. Tanpa menganalisis strategi penyembunyian dalam hal kebijakan
dan prosedur yang ada, efektivitas pengendalian internal tidak dapat dievaluasi
dengan benar.
Perumusan Kesimpulan
Kesimpulan harus dirumuskan dengan menyikapi apakah pengendalian
internal secara efektif mengurangi probabilitas risiko terjadinya fraud. Sistem
ranking yang digunakan harus konsisten dengan sistem peringkat yang
digunakan dalam penilaian perusahaan yang luas. Seperti fokus penilaian
perusahaan yang luas pada kemungkinan terjadinya fraud. Khusus untuk
penilaian proses bisnis, kemungkinan analisis fraud menentukan apakah
pengendalian yang teridentifikasi akan mencegah risiko terjadinya fraud atau
kemungkinan even terjadi. Selain itu, jika risiko fraud itu terjadi, akankah
pengendalian internal mendeteksi kesalahan dengan tepat waktu? Misalnya,
rekonsiliasi bank dilakukan dalam waktu 30 hari. Dengan mengukur jumlah hari
di bawah prosedur praktek terbaik, kesalahan akan terdeteksi dalam jangka
waktu yang wajar.
Paparan kerugian yang dihasilkan, jika risiko penipuan tidak terjadi,
berfokus pada pemahaman paparan risiko maksimum yang mungkin diberikan
oleh risiko tertentu. Paparan kerugian akan bervariasi tergantung pada skema
penipuan global yang jelas. Sebagai contoh, dalam sebuah skema
penyalahgunaan aset, manajer sengaja membuat tagihan vendor palsu; paparan
maksimum dibatasi untuk departemen otoritas anggaran manajer. Kunci untuk
analisis eksposur kerugian yang efektif adalah dengan menunjukkan potensi
kerugian yang sebenarnya. Dokumentasi dari tingkat paparan kerugian
mengharuskan manajemen untuk memahami toleransi risiko mereka.
Dari perspektif audit, program audit harus fokus pada risiko fraud yang
teridentifikasi dalam penilaian risiko proses bisnis. Akibatnya, toleransi risiko
auditor terkait dengan tingkat materialitas.
Konversi fraud
Istilah "konversi fraud" berarti bagaimana individu memperoleh
keuntungan finansial. Penilaian risiko proses bisnis tidak memerlukan identifikasi

siklus konversi fraud. Namun, memahami bagaimana mengkonversi skema dari


even untuk keuntungan finansial dapat membantu meyakinkan manajemen
kelayakan suatu even menjadi nyata versus murni teoritis. Seringkali orang
menolak skema yang melekat karena mereka tidak mengerti atau percaya
kelayakan konversi.