BAB 5

Penilaian Risiko Penipuan

PENGANTAR

Sejak Enron dan penipuan lainnya di dekat saat yang sama, telah ada fokus yang
signifikan pada penipuan, pengendalian internal, dan konsep manajemen risiko fraud
termasuk penilaian risiko. Bagian dari Sarbanes-Oxley Act (SOX) pada tahun 2002
membawa kedua lebih memperhatikan mata pelajaran dan menempatkan prinsip yang
berhubungan dengan mereka dalam hukum federal. Komisi Sekuritas dan Bursa (SEC) dan
lengan akuntansi Publik Perusahaan Accounting Oversight Board (PCAOB) telah
menerbitkan panduan tentang topik ini. Komite Sponsoring Organizations (COSO) juga telah
melakukan upaya yang signifikan di bidang penilaian risiko, memproduksi COSO Model
untuk penilaian risiko perusahaan. theless None-, statistik penipuan (seperti disampaikan
dalam Bab 2) menunjukkan konsistensi relatif dalam jumlah keseluruhan diperkirakan
penipuan dan peningkatan jumlah kerugian dari penipuan benar-benar menemukan.

Landasan dan pusat pemerintahan yang efektif perusahaan, pengendalian internal,

program antifraud, atau penyelidikan penipuan adalah penilaian risiko menyeluruh. penilaian
risiko fraud yang efektif tergantung pada pengetahuan tentang konsep fraud (segitiga
penipuan, bendera merah, skema penipuan, dan system informasi akuntansi), semua
dipertimbangkan dalam lingkungan penipuan yang berlaku (entitas, kerangka waktu,
efektivitas pengendalian internal saat ini, dll). Sedangkan penilaian risiko jangka mungkin
menyiratkan periodik, latihan point-in-time, manajemen risiko benar membutuhkan proses
yang sedang berlangsung terus menerus. Bab ini membahas konsep-konsep penilaian risiko
dan alat untuk membantu dalam proses itu. Sementara disajikan terutama dari perspektif
internal untuk entitas di tangan, isi di sini berlaku untuk dilakukan secara eksternal
penyelidikan penipuan dan penonton luar lainnya.
LITERATUR TECHNICAL DAN PENILAIAN RESIKO

Gagasan dari penilaian risiko telah menjadi bagian dari literatur teknis untuk audit,
menunjukkan atau langsung mengharuskan risiko audit menggabungkan assessment. Standar
dalam beberapa tahun terakhir mencerminkan peningkatan cakupan pada risiko. Bagi
perusahaan publik, PCAOB ini Standar Auditing No 5 (AS5), Audit Pengendalian Internal
atas Pelaporan Keuangan yang terintegrasi dengan Audit Laporan Keuangan (diadopsi pada
tahun 2007), dibangun di atas standar PCAOB sebelumnya sudah ada No 2 (AS2 ) terutama
dengan memperluas peran risiko penilaian. AS2 ditujukan penilaian risiko dari perspektif
manajemen dan auditor, dan termasuk cakupan risiko di berbagai tingkatan (transaksional,
akun, dll). AS5 furthered konsep AS2 dan menekankan pentingnya top-down, pendekatan
berbasis risiko untuk audit pengendalian internal, dan pentingnya memahami lingkungan
entitas (ukuran, industri, dll). Secara garis besar, standar PCAOB diresapi dengan bahasa, isi
yang, dan saran mengenai penilaian risiko.

American Institute Akuntan Publik (AICPA) mengadopsi '' Suite risiko '' standar,
Pernyataan Standar Auditing (SAS) Nos. 104-111 tahun 2006. Secara garis besar, penilaian
risiko alamat Suite Risiko dalam konteks audit laporan keuangan dan pengendalian internal.
Seperti AS5, Suite Risiko mencakup penekanan pada holistik, top-down, pendekatan audit
berbasis risiko termasuk pengetahuan mendalam tentang lingkungan entitas dan kontrol
internal. Lebih spesifik untuk penipuan, AICPA SAS No. 99, Pertimbangan Penipuan dalam
Audit Laporan Keuangan, memberikan panduan bagi auditor keuangan, termasuk curah
pendapat selama fase perencanaan, dan pengakuan paksa penipuan potensial tertentu,
terutama memanipulasi pendapatan. Lebih luas, standar AICPA memerlukan pertimbangan
dari sejumlah faktor organisasi tertentu, seperti industri, strategi, dan sebagainya. Auditor
diminta menyesuaikan sifat, waktu, dan luas prosedur audit jika keadaaan mendesaknya,
berdasarkan penilaian risiko selama brainstorming dan pengetahuan berikutnya dan hasil dari
prosedur.

The Institute of Internal Auditors (IIA) mempromosikan gagasan bahwa semua audit
internal fungsi audit dan kegiatan harus dimulai dengan penilaian risiko (misalnya, bagian
2010 dan 2600 dari Standar Praktik Profesional di Audit Internal [SPPIA]). Sistem Informasi
Audit dan Pengendalian Association tion (ISACA) juga memiliki persyaratan yang sama
dalam literatur teknis. Pernyataan tentang Sistem Audit Informasi Standar (SISAS),
Penggunaan Penilaian Risiko dalam Perencanaan Audit, menguraikan persyaratan tertentu
yang terkait dengan penipuan untuk audit teknologi informasi. Banyak standar lain ISACA
mengatasi penilaian risiko juga, terutama SISAS 8, Pertimbangan Audit untuk
Penyimpangan.

KONSEP PENILAIAN RISIKO

Konsep dasar penilaian risiko adalah probabilitas (peluang suatu peristiwa akan
terjadi) dan dampak (besarnya event jika terjadi). Namun sederhana konsep-konsep yang,
mengukur dan menerapkannya sulit. Faktor-faktor apa yang harus dipertimbangkan? alat apa
yang dapat membantu dalam menilai risiko? Bagaimana risiko secara tepat diukur?

Faktor yang dapat dipertimbangkan pada berbagai tingkatan, termasuk entitas, orang
(menjadi- havioral), divisi, geografi, produk atau jasa, akuntansi atau bisnis proses, kontrol,
atau sistem komputerisasi. Biasanya, faktor yang dianggap pertama di tingkat entitas, sebagai
probabilitas penipuan, pencurian, atau penggelapan dalam lingkungan kerja merupakan
produk kepribadian eksekutif dan karyawan, kondisi kerja, efektivitas pengendalian internal,
dan tingkat kejujuran di dalamnya (budaya organisasi atau lingkungan). Namun proses
dimulai, perspektif yang berbeda harus dimasukkan dan / atau diperiksa dalam proses
penilaian risiko, termasuk bagaimana manajemen entitas menggabungkan manajemen risiko
praktik terbaik.

FAKTOR LINGKUNGAN PERUSAHAAN

Penipuan karyawan, pencurian, dan penggelapan lebih banyak terjadi di beberapa

industri dan beberapa organisasi dari pada orang lain.

Association of Certified Fraud Examiners (ACFE) 2008 Report to the nation (RTTN)
disurvei anggotanya mengenai penipuan yang diselesaikan, dan total 959 kasus yang
dilaporkan. Salah satu statistik berkaitan dengan industri diwakili oleh kasus ini. Sementara
hasil statistik bisa menunjukkan jenis industri yang paling mungkin untuk menyewa Certified
Fraud Examiner (CFE) untuk menyelidiki penipuan, hasilnya juga bisa menunjukkan industri
lebih rentan terhadap penipuan. Untuk industri yang lebih rentan terhadap penipuan, entitas
dalam industri tersebut jelas memiliki risiko yang lebih besar penipuan adalah sesuatu yang
perlu dipertimbangkan dalam penilaian risiko bagi mereka entitas. Artinya, penilaian risiko
harus mempertimbangkan tingkat risiko penipuan dinilai dalam industri entitas.
Hasil RTTN tahun 2008:

Industri menurut Frekuensi:

Layanan perbankan / keuangan (14,5% dari semua kasus yang dilaporkan)

Pemerintah / Administrasi publik (11,7%)

kesehatan (8,4%)

Manufaktur (7,2%)

Ritel (7%)

Industri menurut kerugian median

Telekomunikasi ($ 800.000 / 16 kasus)

Pertanian / Kehutanan / Perikanan / Berburu ($ 450.000 / 13kasus)

Manufaktur ($ 441.000 / 65 kasus)

Teknologi ($ 405.000 / 28 kasus)

Konstruksi ($ 330.000 / 42 kasus)

Sebuah penilaian risiko juga harus mempertimbangkan ekonomi saat ini. Di masa
yang baik, orang mencuri; di saat buruk, orang mencuri lagi! Sebuah survei 2008-2009 oleh
ACFE meminta 507 CFEs untuk melaporkan tingkat penipuan sejak awal krisis ekonomi.
Lebih dari separuh menunjukkan bahwa jumlah penipuan meningkat selama waktu itu. Juga,
49 persen melaporkan peningkatan jumlah dolar dari kerugian penipuan selama periode yang
sama. Teorinya adalah bahwa satu kaki dari segitiga penipuan adalah apa Donald Cressey
disebut sebagai '' kebutuhan keuanganyang tidak bias dibagikan '' atau tekanan (seperti
tercantum dalam Bab 2) dan orang-orang pada umumnya berada di bawah tekanan lebih
selama resesi ekonomi dan dalam arti bahwa ada akan menjadi peningkatan yang diharapkan
dalam penipuan.

Selain itu, kebijaksanaan konvensional di antara anggota masyarakat audit dan

keamanan menunjukkan bahwa organisasi yang paling rentan adalah mereka dengan kontrol
manajemen, akuntansi, dan keamanan terlemah. Organisasi yang lebih rentan terhadap
karyawan penipuan dan penyalahgunaan kerja juga dapat dibedakan dari orang-orang yang
kurang rentan dengan kontras lingkungan dan budaya yang ditampilkan di Exibit 5.1

Exibit 5.1 Lingkungan penipuan perusahaan: Berpotensi untuk penipuan

Faktor Potensi Penipuan tinggi Potensi Penipuan rendah

Gaya Otokratis,laba terfokus Partisipatif, focus pelanggan
manajemen
Pengelolaan Teori kepercayaan rendah X Tinggi kepercayaan teori Y Prestasi didorong
Manajemen oleh Tujuan
Orientasi kekuatan didorong
Struktur Birokrasi kontrol Regimented Isudan perbedaankolegial
pribadi dihadapkan dan
Pengelolaanoleh isu-isu krisistidak
dan
manajemen dan fleksibel Dikenakan banyak vertikal diatasi secara terbuka
perbedaan pribadi mengitari atau Sistematis
Kontrol
ditekan
Raksasa Profesional Tegas Cepat serba Ramah
BukaUntuk mengganti

Pembual dihormatioleh rekan-rekan

Mengendalikan diri

Egois taker Risiko aman Bijaksana

struktur datar, horisontal

Sopir Murah hatidengan waktu pribadi dan uang

CEO
Karakteristik Sensitif terhadap orang produkdan berorientasi pasar

ditakuti Pembangun

Penjudi tidak aman Percaya diri

Impulsif Pembantu

Kikir Tersusun,tenang, disengaja, bahkan disposisi

Terpusat, milikoleh manajemen yang adil
Desentralisasi, didelegasikan
Wewenang puncak

aturan-aturan kaku sangat ditegakkan

perencanaan sentralisasi desentralisasi

Diukur secara kuantitatif dansecara Diukur baik secara kualitatif dan
prestasi jarak pendek Jarak jauh
jangka pendek kuantitatif,dan secara jangka panjang

umpan balik kritis Kritik yang baik

umpan balik negatif umpan balik mendukung

 laporan rutin hanya Semuanya pelaporan pengecualian dokumentasi yang

Pelaporan documented- aturan untuk semuanya memadai, tapitidak memberatkan-beberapa

Formal, tertulis, kaku, sombong, kebijakannya diperbolehkan Informal, lisan,
komunikasi internal ambigu jelas, ramah, terbuka, komunikasi internal

Kekhawatiran Manusia, modal dan teknologi aset optimasi

Kelestarian modal untuk pemanfaatan profit
Manajemen
memaksimalkan keuntungan
primer

Hukuman
Sistem Memperkuat pengakuan, promosi,
Miskin
penghargaan menambahkan tugas tanggung jawab
Dikelola secara poliotis

Etika Bisnis Terutama moneter

Ambivalen:naik pasang surut Jelas dan teratur diikuti

Nilai-nilai dan Ekonomi, politik Sosial, spiritual

keyakinan
Egosentris Kelompok yang berpusat
Hubungan Yang sangat kompetitif, bermusuhan Ramah, kompetitif, mendukung
internal
Hubungan Bermusuhan Profesional
external
Hubungan rekan Bermusuhan,agresif, diperdebatkan Koperasi, ramah

Sukses Dasar / Bekerja lebih keras bekerja lebih cerdas

Formula
Masalah Sumber omset tinggi Tidak peluang promosi cukup untuk semua
daya manusia bakat
Habis terbakar
Kekhawatiran Kekurangan arus kas Kesempatan untuk investasi baru
keluhan Absensi Tidak peluang
Loyalitas promosi cukuprendah
untuk semua bakat tinggi
perusahaan
Pola Sporadis Konsisten, Stabil

Sumber: Jack Bologna, Akuntansi Forensik Ulasan (1985).

Faktor faktor Internal

Faktor internal yang meningkatkan probabilitas penipuan, pencurian, dan penggelapan

mencakup kontrol manajemen yang tidak memadai atau pemantauan kegiatan seperti berikut:

Kegagalan menciptakan budaya jujur

Kegagalan untuk mengartikulasikan dan mengkomunikasikan standar minimum Ance

perform- dan perilaku pribadi
Orientasi yang tidak memadai dan pelatihan tentang hukum, etika, penipuan, dan
masalah keamanan
kebijakan perusahaan yang tidak memadai sehubungan dengan sanksi untuk hukum,
etika, dan pelanggaran keamanan; terutama untuk penipuan dan kejahatan kerah putih
Kegagalan untuk nasihat dan mengambil tindakan administratif ketika tingkat kinerja
atau perilaku pribadi turun di bawah standar yang dapat diterima, atau melanggar
prinsip-prinsip entitas dan pedoman
Ambiguitas dalam peran pekerjaan, tugas, tanggung jawab, dan bidang akuntabilitasn
Kurangnya tepat waktu atau periodik audit, inspeksi, dan tindak lanjut untuk
memastikan kepatuhan dengan tujuan entitas, prioritas, kebijakan, prosedur, dan
pemerintah- peraturan jiwa; secara umum, kurangnya akuntabilitas atas tombol

Faktor Penipuan

Apa penilaian risiko juga harus mempertimbangkan skema penipuan yang lebih
mungkin terjadi dalam rangka untuk memandu program antifraud. Pencegahan dan
deteksi penanggulangan tentu lebih efektif jika mereka mengatasi skema penipuan paling
mungkin dilakukan.

Untuk penipuan laporan keuangan, jelas para eksekutif dari entitas yang paling mungkin
calon penipu dan dengan demikian penilaian risiko tentu akan mencakup individu. Untuk
penyalahgunaan aset, karyawan dalam posisi dipercaya cenderung menjadi pelakunya.
Untuk korupsi, mungkin sama tetapi mencakup seseorang di luar entitas bekerja dengan
seseorang di dalam-ciri yang unik dari skema korupsi.

Statistik dari ACFE RTTNs dapat memberikan beberapa bantuan dalam membuat
penentuan ini, seperti yang bisa brainstorming produktif tim lintas fungsional.
Praktik Terbaik Penilaian Risiko

Jika entitas tidak melakukan penilaian risiko formal, tidak dapat secara efektif
mempertahankan diri dari risiko-risiko tersebut, atau mengurangi risiko-risiko untuk
alasan yang jelas. Dalam rangka mengembangkan penilaian risiko yang efektif,
manajemen harus mengambil teliti, pendekatan formal daripada ad hoc pendekatan.
Pendekatan itu termasuk orang-orang dan proses prosesnya.

Pemimpin

Proses penilaian risiko harus mencakup orang atau kelompok yang tepat, dan idealnya
harus mencakup sebuah tim. Untuk manajemen organisasi, orang yang tepat biasanya
akan menjadi seseorang yang memiliki kemerdekaan yang cukup, seperti seseorang dari
fungsi audit internal, jika ada, dan kemampuan untuk secara efektif mendukung
manajemen risiko. Nilai memiliki seseorang yang berpengalaman dan terbukti efektif
dalam menilai resiko yang terlibat dengan fungsi penilaian risiko tidak dapat dilebih-
lebihkan. Demikian juga dukungan dari komite audit entitas dan / atau direksi.

Tim

Tim harus dipilih dengan hati-hati. Meskipun harus mulai dengan ahli internal dan /
atau konsultan, itu harus menyertakan penampang luas entitas. Bahwa penampang harus
melibatkan berbagai tingkat entitas, terutama tingkat manajemen. tim harus mewakili
semua unit bisnis utama (terutama akuntansi dan penjualan karena sebagian besar
penipuan terjadi di sana), proses bisnis, posisi kunci, dan perspektif yang diperlukan
untuk pro- vide penilaian risiko kualitas. Orang-orang yang berpikir kreatif, alasan logis,
memahami bisnis dan industri dengan baik, dan secara efektif dapat memainkan pembela
setan harus dicari, terlepas dari posisi mereka.

Mendokumentasikan penilaian risiko sangat penting, yang paling terutama karena

dokumentasi dapat ditinjau sesudahnya ketika risiko yang dinilai memiliki atau belum
terealisasi. Dokumentasi kemudian dapat berfungsi sebagai alat pembelajaran bagi
penilaian yang lebih efektif dan tindakan pencegahan; yaitu, pelajaran dapat membantu
menyempurnakan versi masa depan dari penilaian risiko. Dokumentasi juga menetapkan
akuntabilitas untuk orang yang terlibat dalam proses. Beberapa alat dapat digunakan
untuk melakukan penilaian risiko, yang akan melayani tujuan ganda pendokumentasian
 itu juga. Exibit 5.2 menyediakan checklist untuk melayani sebagai salah satu contoh
bagaimana mengatur penilaian risiko.

Frekuensi dan keselarasan dengan keuangan

Penilaian risiko Formal dalam suatu entitas harus dilakukan secara teratur, mungkin
setiap 12 sampai 24 bulan. Frekuensi tahunan akan memungkinkan penilaian risiko
penipuan untuk menyelaraskan dengan perencanaan keuangan yang khas dan / atau
kerangka waktu pelaporan keuangan. perencanaan keuangan memerlukan pertimbangan
masa depan berlebihan lapping keuangan dan penipuan. pelaporan keuangan dapat
mencakup temuan (penyesuaian, pengungkapan, Kekurangan control, dll) yang mungkin
membutuhkan waktu.

Exibit 5.2 Manajemen Ceklis Risiko

Iya Tidak N / A Ref

1. Apakah organisasi memiliki tingkat yang memadai

kesadaran penipuan dan kebijakan yang tepat di tempat
untuk meminimalkan risiko fraud? Secara khusus:

a. faktor risiko generik

setiap karyawan telah ditetapkan maksimum ''tingkat
kesempatan'' untuk melakukan penipuan; untuk setiap
karyawan, telah manajemen meminta sendiri
pertanyaan, '' Berapa jumlah maksimum yang karyawan
ini bisa menipu organisasi, dan hal ini merupakan risiko
Memiliki tingkat kesempatan '' bencana '' telah
yang dapat diterima? ''
ditetapkan; yaitu, memiliki manajemen meminta sendiri
pertanyaan, Apakah kita memastikan bahwa tidak ada
satu karyawan-atau sekelompok pekerja di kolusi-dapat
melakukan penipuan yang akan menempatkan ( ) () ()
organisasi dalam risiko besar akan bertahan hidup? ''
Apakah organisasi kebijakan untuk segera
memberhentikan karyawan yang ditemukan telah
melakukan penipuan?
() () ()
() () ()
Apakah kebijakan organisasi untuk melaporkan semua
penipuan kepada pihak berwenang dan biaya pers?
() () ()

Untuk setiap dan semua penipuan bahwa perusahaan

yang telah mengalami di masa lalu, telah alasan yang
menyebabkan penipuan telah dievaluasi dan tindakan
korektif yang dilakukan?
b. Mengelola faktor risiko individu (yaitu, untuk
() () ()
mempromosikan perilaku moral dan meminimalkan
motivasi untuk melakukan penipuan)
Apakah organisasi memiliki pernyataan misi
perusahaan, yang meliputi sebagai tujuan good
corporate citizenship; yaitu, mempertahankan reputasi
Apakah organisasi memiliki kode yang ditulis etik dan
yang baik di masyarakat?
perilaku bisnis?
() () ()
Apakah organisasi melakukan pelatihan etika dan ( ) () ()
keamanan bagi karyawan baru dengan update berkala
bagi karyawan yang ada?
Apakah manajemen menetapkan contoh yang tepat;
() () ()
misalnya, apakah itu mengikuti pernyataan misi
perusahaan, kode etik dan perilaku bisnis, dan
kebijakan organisasi lainnya, dan melakukan karyawan
jelas melihatnya melakukannya?
Apakah budaya perusahaan menghindari karakteristik
yang mempromosikan perilaku yang tidak etis; ( ) () ()

misalnya kebijakan, tinggi atau bahkan saing

bermusuhan dalam organisasi, mendorong karyawan
untuk burnout, kaku dan / atau kecil, atau over-
Ketika menyewa,
sentralisasi otoritas?tidak organisasi, sejauh mungkin,
mencari individu karakter moral yang tinggi dan
menyingkirkan mereka dari karakter moral yang
rendah?
 Untuk posisi sangat sensitif, screening dan / atau
prosedur pengujian yang digunakan; misalnya,
pemeriksaan latar belakang, tes psikologi, tes narkoba,
kebohongan tes detektor di mana hukum?

Apakah organisasi menyediakan dan / atau mendorong

konseling bagi karyawan dengan masalah pribadi;
misalnya, alkohol dan penyalahgunaan narkoba?

Apakah organisasi memiliki hubungan karyawan adil

dan kebijakan kompensasi; misalnya, gaji, tunjangan,
penilaian kinerja, promosi? Apakah kebijakan ini
menguntungkan dibandingkan dengan pesaing dan
mempromosikan lingkungan yang meminimalkan
kekecewaan dan mirip motivasi untuk melakukan
Apakah
penipuan?mekanisme yang adil di tempat untuk
menangani keluhan karyawan?
Sebagai mekanisme umpan balik pada kebijakannya
sehubungan dengan hubungan karyawan, apakah
organisasi wawancara perilaku keluar dari berangkat
karyawan?

Idealnya, penilaian risiko adalah proses yang berkesinambungan dimana pemilik pusat
konsisten memantau dan beradaptasi dengan lingkungan penipuan dengan periodik ''
refresh '' dari penilaian risiko dan rencana untuk respon. perusahaan publik memiliki SOX
404 sebagai jenis diamanatkan dari proses berulang-ulang ini.

Manajemen Ceklis Risiko dan Dokumentasi

Daftar periksa ditampilkan di Exibit 5.2 dirancang untuk membantu akuntan dalam
menilai dan mengelola risiko penipuan dalam organisasi mereka dan orang-orang dari klien
mereka. Umumnya, semua '' Tidak ada '' jawaban memerlukan investigasi dan tindak lanjut,
hasil yang harus didokumentasikan. Dimana ada dokumentasi tambahan seperti, tujuan dari
'kolom' Ref '' adalah untuk referensi silang checklist ke sumber yang tepat.
 Pada checklist ditujukan untuk penggunaan umum saja. Sedangkan penggunaan
checklist membantu memastikan faktor yang memadai dianggap, menggunakan checklist
tidak menjamin pencegahan penipuan atau deteksi dan daftar ini tidak dimaksudkan sebagai
pengganti audit atau prosedur yang sama. Jika pencegahan penipuan adalah perhatian
terutama penting atau jika penipuan diduga, penilaian yang sistematis melampaui checklist
harus dilakukan dan / atau saran spesialis harus dicari.

Fraud Skema Checklist

Pendekatan lain untuk penilaian risiko adalah dengan menggunakan taksonomi yang
sesuai skema penipuan. Misalnya, pohon penipuan ACFE dapat digunakan untuk menentukan
setidaknya daftar awal skema penipuan. Pendekatan ini dapat bekerja dengan baik. Kolom ini
berupa penilaian risiko (Exibit 5.3)

Skema penipuan

Penilaian risiko yang melekat untuk itu penipuan dalam entitas atau proses bisnis
tertentu
Pengendalian internal faktor memiliki dalam memitigasi risiko yang
The '' risiko residual '' tersisa setelah mitigasi pengendalian internal yang ada terkait
dengan skema penipuan ini di badan atau bisnis ini proses
Proses bisnis, di mana skema ini mungkin terjadi, jika hal itu terjadi
Bendera merah, yang dapat digunakan untuk mendeteksi skema ini

Perbedaan entitas untuk menilai

Jika sebuah organisasi yang cukup besar, penilaian risiko tunggal mungkin tidak
berguna seperti penilaian risiko terpisah. Dalam hal ini, dianjurkan bahwa penilaian yang
berbeda dan tim yang akan digunakan untuk setiap unit bisnis utama, setiap proses bisnis
yang signifikan yang melintasi unit bisnis, unit perusahaan (eksekutif, dll), dan entitas lain
atau elemen yang para pemimpin dan tim mengidentifikasi. Hal ini dimungkinkan perusahaan
adalah begitu besar sehingga lapisan yang berbeda mungkin diperlukan: misalnya, unit bisnis
digulung ke anak perusahaan, digulung ke perusahaan, di mana risiko yang lebih tinggi
digulung dengan spesifik untuk unit yang terkait dengan risiko tertentu. Sebuah berpotensi
lebih efektif, meskipun lebih menantang, cara untuk menilai risiko pada tingkat tinggi dalam
organisasi besar adalah dengan proses akuntansi atau bisnis seperti ini dapat lebih akurat
mencerminkan risiko penipuan hadir dan dapat lebih mudah menyesuaikan dengan skema
penipuan; misalnya, manajemen kas, penggajian, produk turing pabrikan '' X, '' atau
penelitian dan pengembangan.

Risiko Control Sisa Proses Red Flags

Inherent Penilaian Risiko Bisnis
Skema penipuan
Antipenipuan Umum
Laporan penipuan
Keuangan:
melebih-lebihkan
pendapatan
perbedaan waktu
pendapatan fiktif
kewajiban tersembunyi
pengungkapan yang tidak
penilaian
tepat aset yang tidak
tepat
Aset / pendapatan
bersahaja

Fraud Skema

Ada berbagai cara untuk menentukan skema penipuan yang termasuk ke dalam kolom
pertama dari Exibit 5.3 (Skema Penipuan). Namun, orang harus mulai dengan beberapa
taksonomi didirikan (lihat Bab 2) dan menambahkan atau menghapus dari daftar yang
diperlukan. Kemudian, menggunakan taksonomi lainnya, atau penilaian baik tentang skema
tertentu yang risiko untuk industri tertentu atau badan, seseorang harus membuat penambahan
yang diperlukan atau penghapusan. Disini adalah nilai menggunakan curah pendapat-tim
menggunakan kriteria bersama untuk memastikan bahwa skema penting tidak terjawab dan
bahwa skema tidak relevan tidak dianggap (setidaknya untuk entitas tertentu skema penipuan
tertentu mungkin tidak relevan).
Kontrols Assessment

Auditor dan orang-orang penting lainnya dalam tim harus menentukan kontrol apa
berada di tempat untuk mengurangi skema penipuan tertentu. penilaian akan, tentu saja,
sesuai dengan metode untuk menilai risiko yang melekat (persentase atau tingkat). Salah satu
harus yakin untuk menganggap bahwa orang di posisi kunci terbaik dapat mengevaluasi
kelemahan pengendalian internal dan risiko; tapi orang-orang yang sama yang berpotensi
orang-orang untuk melakukan penipuan di daerah tertentu.

Risiko Risidual

Sebuah fungsi matematika sederhana mengurangi tingkat mitigasi kontrol dari risiko
yang melekat akan meninggalkan risiko residual. Sekali lagi, itu akan mengambil bentuk apa
pun yang dipilih untuk risiko yang melekat. risiko residual pasti akan memerlukan salah satu
dari dua tanggapan: tidak ada tindakan, karena risiko yang tersisa diterima, atau tindakan
untuk mengurangi atau memulihkan melalui prosedur pencegahan atau deteksi tambahan
(bahkan berpotensi termasuk pembelian asuransi). Respon yang diambil harus
didokumentasikan dan dilacak dari waktu ke waktu, sebagian untuk menentukan kemampuan
entitas untuk mengukur dan mengelola risiko.

Proses Bisnis

Kolom ini adalah kolom notasi untuk mengidentifikasi proses bisnis (yaitu,
penerimaan kas, penggajian, dll) yang terlibat dengan skema ini. Pemilik proses bisnis harus
didokumentasikan sebagai pihak yang bertanggung jawab untuk wilayah dan, jika berlaku,
untuk menanggapi risiko residual yang tidak dapat diterima. Mengingat jumlah dan risiko
peringkat agregat dari semua skema oleh proses bisnis juga dapat menjelaskan risiko fraud.

Red Flags

Di sini tim akan mengidentifikasi bendera merah yang bisa dikaitkan dengan skema.
Dokumentasi ini adalah titik awal untuk prosedur pencegahan fraud atau deteksi. bendera
merah tersedia dari berbagai sumber literatur. Mereka termasuk:
 standar 030.020.010 (SISAS 8), Pertimbangan Audit ISACA untuk penyimpangan
AICPASAS No. 99, Pertimbangan Penipuan dalam Audit Laporan Keuangan
PCAOBStandar No 5 dan No 2
Pekerjaan Penipuan dan Penyalahgunaan
Kebijakan perusahaan, prosedur, dan pengendalian internal
Kasus penipuan yang sebenarnya, terutama entitas

RINGKASAN

Penilaian Risiko adalah titik awal penting bagi audit pada umumnya. Dalam bab ini,
penilaian risiko digunakan sebagai alat untuk program antipenipuan entitas, di mana entitas
sedang mencoba untuk meminimalkan risiko fraud-nya. Dengan demikian, langkah ini tidak
terjadi selama proses pemeriksaan penipuan. Sebaliknya, itu adalah alat untuk
mengidentifikasi risiko dan alamat yang paling penting. Disarankan bahwa setiap bisnis,
terutama publik yang diperdagangkan satu, melalui latihan ini secara teratur, dan bahwa
auditor penipuan mempertimbangkan konsep-konsep dan kemampuan manajemen
pengelolaan resiko dalam kursus pencegahan fraud, deteksi, dan investigasi.
n