Anda di halaman 1dari 16

BAB.

I
PENDAHULUAN

Sejak tindakan kecuranga Enron dan kecurangan lainnya terungkap pada saat
bersamaan, telah terjadi fokus yang signifikan pada kecurangan, kontrol internal, dan
konsep manajemen risiko kecurangan termasuk penilaian risiko. Bagian dari Sarbanes-
Oxley Act (SOX) pada tahun 2002 membawa perhatian lebih besar pada subjek-subjek
ini dan memasukkan prinsip-prinsip yang terkait dengannya ke dalam undang-undang
federal. Komisi Sekuritas dan Bursa Efek (SEC) dan akuntansi. Badan Pengawas
Akuntansi Perusahaan Publik (PCAOB) telah mengeluarkan panduan mengenai topik ini.
Komite Sponsoring Organizations (COSO) juga telah melakukan upaya signifikan dalam
bidang penilaian risiko, yang menghasilkan Model COSO untuk penilaian risiko
perusahaan. Meskipun demikian, statistik kecurangan menunjukkan konsistensi relatif
dalam jumlah keseluruhan perkiraan kecurangan dan peningkatan jumlah kerugian dari
penipuan yang benar-benar ditemukan.
Landasan dan inti tata kelola perusahaan yang efektif, pengendalian internal,
program ant fraud, atau penyelidikan kecurangan adalah penilaian risiko yang
menyeluruh. Penilaian risiko fraud yang efektif bergantung pada pengetahuan tentang
konsep penipuan (segitiga penipuan, bendera merah, skema penipuan, dan sistem
informasi akuntansi), semua dipertimbangkan di lingkungan kecurangan yang berlaku
(entitas, kerangka waktu, efektivitas pengendalian internal saat ini). Sementara istilah
penilaian risiko mungkin menyiratkan latihan point-in-time periodik, manajemen risiko
sejati memerlukan proses berkelanjutan yang berkelanjutan. Meskipun disajikan
terutama dari perspektif internal terhadap entitas yang ada, konten di sini berlaku untuk
penyelidikan kecurangan eksternal dan khalayak eksternal lainnya.
Dalam dunia nyata, manajemen, konsultan, dan auditor sedang mempersiapkan
dan menggunakan alat penilaian risiko fraud untuk mengelola risiko fraud. Budaya
organisasi tercermin dalam penilaian risiko yang digunakan dalam hal : tingkat detail,
kuantifikasi, dan gaya operasi manajemen dan auditor. Tidak peduli dari pihak ini
menyiapkan dokumentasi, pertanyaan mendasar adalah sama. Mempersiapkan
kebutuhan dokumentasi penilaian risiko harus menjawab tiga pertanyaan, yaitu:
1. Apakah risiko fraud diidentifikasi?
2. Apakah pengendalian internal terkait dengan risiko fraud?
3. Apakah risiko fraud dikurangi ketingkat yang dapat diterima?

1
BAB II
TINJAUAN TEORITIS

2.1. Penilaiann Risiko


Gagasan tentang penilaian risiko telah menjadi bagian dari literatur teknis
untuk audit, menyarankan atau secara langsung mensyaratkan bahwa audit
memasukkan penilaian risiko. Untuk perusahaan publik, Standar Auditing PCAOB
No. 5 (AS5), Audit Pengendalian Internal atas Pelaporan Keuangan yang
Terintegrasi dengan Audit Laporan Keuangan (diadopsi pada tahun 2007), dibuat
berdasarkan standar PCAOB yang ada sebelumnya No.2 (AS2 ) terutama dengan
memperluas peran penilaian risiko. AS2 menangani penilaian risiko dari perspektif
manajemen dan auditor, dan mencakup cakupan risiko di berbagai tingkatan
(transaksional, akun, dan lain-lain). AS5 memajukan konsep AS2 dan menekankan
pentingnya pendekatan berbasis risiko berbasis kendali atas kendali internal, dan
pentingnya memahami lingkungan entitas (ukuran, industri, dan lain-lain). Secara
umum, standar PCAOB dilengkapi dengan bahasa, konten, dan saran mengenai
penilaian risiko.
American Institute of Certified Public Accountants (AICPA) mengadopsi
standar ''Suite Risk'', Pernyataan Standar Auditing (SAS) No. 104-111 pada tahun
2006. Secara umum, Suite Risk menangani penilaian risiko dalam konteks
keuangan. pernyataan audit dan pengendalian internal. Seperti AS5, Suite Risk
mencakup penekanan pada audit berbasis holistik, top-down, berbasis risiko
termasuk pengetahuan menyeluruh tentang lingkungan entitas dan pengendalian
internalnya. Lebih spesifik untuk kecurangan, SAS No. 99 dari AICPA,
Penimbangan Penipuan dalam Audit Laporan Keuangan, memberikan panduan
bagi auditor keuangan, termasuk melakukan brainstorming selama tahap
perencanaan, dan pengakuan paksa terhadap potensi penipuan tertentu, terutama
manipulasi pendapatan. Secara lebih luas, standar AICPA memerlukan
pertimbangan sejumlah faktor spesifik organisasi, seperti industri, strategi, dan
lain-lain. Auditor diminta untuk menyesuaikan sifat, waktu, dan tingkat prosedur
audit jika keadaan memerlukannya, berdasarkan penilaian risiko selama
brainstorming dan pengetahuan selanjutnya dan hasil dari prosedur.
Institute of Internal Auditor (IIA) mempromosikan gagasan bahwa semua
audit dan fungsi audit internal harus dimulai dengan penilaian risiko (misalnya,
bagian 2010 dan 2600 Standar Praktik Profesional dalam Audit Internal [SPPIA]).
Asosiasi Audit dan Pengendalian Sistem Informasi (ISACA) juga memiliki

2
persyaratan yang sama dalam literatur teknisnya. Pernyataan Standar Audit
Sistem Informasi (SISAS), Penggunaan Penilaian Resiko dalam Perencanaan
Audit, menguraikan persyaratan tertentu yang terkait dengan kecurangan dalam
audit teknologi informasi. Banyak standar ISACA lainnya juga menangani penilaian
risiko, terutama SISAS 8, Pertimbangan Audit untuk Penyimpangan.
Salah satu model risk-based auditing yang dapat digunakan adalah model
yang diperkenalkan oleh The Committee of Sponsoring Organizations of the
Treadway Commissions (COSO). Model COSO menunjukkan hubungan antara
risiko organisasi dengan perencanaan audit. Model COSO menggambarkan
pendekatan pengendalian intern dari perspektif tujuan organisasi, risiko yang
dihadapi dalam mencapai tujuan organisasi dan selanjutnya pengendalian yang
diperlukan untuk menekan risiko. Manajemen bertanggung jawab untuk
menentukan tujuan organisasi yang hendak dicapai serta berupaya untuk
mencapainya secara optimal dengan menggunakan sumber daya yang tersedia.
Dalam proses penggunaan sumber daya, manajemen menghadapi berbagai
ketidakpastian yang dapat menimbulkan dampak negatif (risiko) atau pengaruh
positif (kesempatan) bagi organisasi. Kaitan antara ketidakpastian dan pencapaian
tujuan organisasi sangat tergantung pada kemampuan manajemen untuk
mengidentifikasi ketidakpastian tersebut sehingga selanjutnya manajemen dapat
merancang langkah-langkah dan prosedur pengendalian untuk menekan risiko dan
mengoptimalkan kesempatan. Upaya manajemen untuk mengidentifikasi risiko dan
menekan risiko serta mengoptimalkan kesempatan tersebut biasa dikenal sebagai
Manajemen Risiko (Risk Management).
Dalam risk-based auditing, auditor melakukan tahapan-tahapan:
a. Mengidentifikasi tujuan organisasi
b. Menilai risiko:
Mengidentifikasi risiko
Mengukur risiko
c. Menetapkan prioritas dalam usaha untuk meminimalisasi risiko.
d. Memahami upaya yang sudah dilakukan manajemen untuk meminimalisasi
risiko yang ada, yang dapat berupa merancang dan menerapkan pengendalian
intern, mengasuransikan dan men-diversifikasikan.

2.2. Faktor Penilaian Risiko


Konsep dasar penilaian risiko adalah probabilitas (kemungkinan suatu
peristiwa akan terjadi) dan dampak (besarnya kejadian jika terjadi). Betapapun

3
sederhana konsep tersebut, mengukur dan menerapkannya adalah sulit. Faktor
penilaian risiko ini dapat dipertimbangkan di berbagai tingkatan, termasuk entitas,
orang (perilaku), divisi, geografi, produk atau layanan, proses akuntansi atau
bisnis, kontrol, atau sistem komputerisasi. Biasanya, faktor pertama adalah pada
tingkat entitas, karena probabilitas kecurangan, pencurian, atau penggelapan di
lingkungan kerja berasal eksekutif dan karyawan, kondisi kerja, efektivitas
pengendalian internal, dan tingkat kejujuran didalamnya (budaya organisasi atau
lingkungan). Namun dalam prosesnya, perspektif yang berbeda harus disertakan
dan/atau diperiksa dalam proses penilaian risiko, termasuk bagaimana entitas
manajemen menggabungkan praktik terbaik manajemen risiko.
2.2.1. Faktor Lingkungan Perusahaan
The Association of Certified Fraud Examiners (ACFE) pada tahun 2008
Report to the Nation (RTTN) mensurvei anggotanya mengenai kecurangan
yang dipecahkan, dan total 959 kasus dilaporkan terjadi. Salah satu statistik
berkaitan dengan lingkungan industri dimana kasus tersebut terjadi.
Sementara hasil statistik dapat menunjukkan jenis industri yang
kemungkinan besar akan menyewa Certified Fraud Examiner (CFE) untuk
menyelidiki kecurangan, hasilnya juga dapat mengindikasikan industri lebih
rentan terhadap kecurangan. Bagi industri yang lebih rentan terhadap
kecurangan, entitas dalam industri tersebut memiliki risiko penipuan yang
lebih besar - sesuatu yang perlu dipertimbangkan dalam penilaian risiko
bagi entitas tersebut. Artinya, penilaian risiko harus memperhitungkan
tingkat risiko kecurangan yang dinilai dalam industri entitas. Hasil survei
yang dilakukan oleh RTTN tahun 2008 adalah:
a. Industri menurut frekuensi:
Layanan Perbankan/Keuangan (14,5% dari semua kasus dilaporkan)
Administrasi Pemerintahan/Pemerintahan (11,7%)
Perawatan kesehatan (8,4%)
Manufaktur (7,2%)
Ritel (7%)
b. Industri dengan Median Loss:
Telekomunikasi ($ 800.000 / 16 kasus)
Pertanian / Kehutanan / Perikanan / Berburu ($ 450.000 / 13 kasus)
Manufaktur ($ 441.000 / 65 kasus)
Teknologi ($ 405.000 / 28 kasus)

4
Konstruksi ($ 330.000 / 42 kasus)
Selain mempertimbangkan jenis industri penilaian risiko juga harus
mempertimbangkan ekonomi saat ini. Survei 2008-2009 oleh ACFE
meminta 507 CFE untuk melaporkan tingkat kecurangan sejak awal krisis
ekonomi. Lebih dari setengah menunjukkan bahwa jumlah kecurangan
meningkat selama waktu itu. Juga, 49 persen melaporkan kenaikan jumlah
dolar dari kerugian penipuan selama periode yang sama. Teorinya adalah
bahwa satu dari segitiga penipuan itulah yang oleh Donald Cressey disebut
sebagai 'kebutuhan finansial yang tak terbelakang' atau tekanan dan orang-
orang pada umumnya berada di bawah tekanan selama resesi ekonomi
dan dalam hal ini akan ada menjadi peningkatan yang diharapkan dalam
penipuan. Selain itu, kearifan konvensional di antara anggota komunitas
audit dan keamanan menunjukkan bahwa organisasi yang paling rentan
adalah mereka yang memiliki manajemen, akuntansi, dan kontrol
keamanan terlemah.

2.2.2. Faktor Internal


Faktor internal yang meningkatkan probabilitas kecurangan, pencurian,
dan penggelapan termasuk pengendalian manajemen atau pemantauan
kegiatan yang tidak memadai seperti berikut ini:
a. Gagal menciptakan budaya yang jujur
b. Gagal mengartikulasikan dan mengkomunikasikan standar kinerja
minimum dan perilaku pribadi
c. Orientasi dan pelatihan yang tidak memadai mengenai masalah hukum,
etika, penipuan, dan keamanan
d. Kebijakan perusahaan yang tidak memadai sehubungan dengan sanksi
atas pelanggaran hukum, etika, dan keamanan; terutama untuk
penipuan dan kejahatan kerah putih
e. Gagal untuk memberi nasihat dan melakukan tindakan administratif saat
tingkat kinerja atau perilaku pribadi berada di bawah standar yang dapat
diterima, atau melanggar prinsip dan pedoman entitas
f. Ambiguitas dalam peran pekerjaan, tugas, tanggung jawab, dan bidang
pertanggungjawaban
g. Kurangnya audit, inspeksi, dan tindak lanjut berkala atau periodik untuk
memastikan kepatuhan terhadap tujuan, prioritas, kebijakan, prosedur,
dan peraturan perundang-undangan

5
2.2.3. Faktor Fraud
Setiap penilaian risiko juga harus mempertimbangkan skema
kecurangan yang lebih mungkin terjadi untuk memandu program antifraud.
Penanggulangan pencegahan dan deteksi tentu lebih efektif jika mereka
menangani skema kecurangan yang paling mungkin dilakukan. Untuk
kecurangan laporan keuangan, jelas eksekutif entitas adalah calon penipu
yang paling mungkin terjadi dan dengan demikian penilaian risiko harus
mencakup individu tersebut. Untuk penyalahgunaan aset, karyawan yang
berada dalam posisi terpercaya cenderung menjadi pelakunya. Untuk
korupsi, itu mungkin sama tapi mencakup seseorang di luar entitas yang
bekerja dengan seseorang di dalam - karakteristik unik dari skema korupsi.

2.3. Risiko Penilaian Praktik Terbaik


Jika suatu entitas tidak melakukan penilaian risiko formal, ia tidak dapat
secara efektif mempertahankan diri dari risiko tersebut, atau mengurangi risiko
tersebut dengan alasan yang jelas. Untuk mengembangkan penilaian risiko yang
efektif, manajemen harus mengambil pendekatan formal dan teliti daripada
pendekatan ad hoc. Pendekatan itu mencakup orang-orang dan prosesnya.
Proses penilaian risiko harus mencakup orang atau kelompok yang tepat,
dan idealnya harus mencakup sebuah tim. Untuk manajemen organisasi, orang
yang tepat biasanya adalah seseorang yang memiliki independensi yang cukup,
seperti seseorang dari fungsi audit internal, dan kemampuan untuk secara efektif
mendukung manajemen risiko. Nilai seseorang yang berpengalaman dan terbukti
efektif dalam menilai risiko yang terkait dengan fungsi penilaian risiko tidak dapat
dilebih-lebihkan.
Saat akan melakukan pembentukan tim penilaian risiko, setiap anggota tim
harus dipilih dengan hati-hati. Meskipun harus dimulai dengan pakar dan/atau
konsultan internal, harus mencakup bagian penampang yang luas. Penampang itu
harus melibatkan berbagai tingkat entitas, terutama tingkat manajemen. Tim harus
mewakili semua unit bisnis utama (terutama akuntansi dan penjualan karena
kebanyakan kecurangan terjadi di sana), proses bisnis, posisi kunci, dan perspektif
yang diperlukan untuk memberikan penilaian risiko kualitas. Orang yang berpikir
kreatif, beralasan logis, memahami bisnis dan industri dengan baik, dan secara
efektif dapat bermain advokat setan harus dicari, terlepas dari posisi mereka.
Mendokumentasikan penilaian risiko sangat penting, terutama karena
dokumentasi dapat ditinjau ulang jika risiko yang dinilai telah atau belum

6
terealisasi. Dokumentasi kemudian dapat dijadikan alat pembelajaran untuk
penilaian dan tindakan pencegahan yang lebih efektif. Dokumentasi juga
menetapkan akuntabilitas bagi orang-orang yang terlibat dalam proses tersebut.
2.3.1. Frekuensi dan Alignment dengan Keuangan
Penilaian risiko formal dalam suatu entitas harus dilakukan secara
teratur, mungkin setiap 12 sampai 24 bulan. Frekuensi tahunan akan
memungkinkan penilaian risiko kecurangan untuk disesuaikan dengan
kerangka waktu perencanaan keuangan dan/atau pelaporan keuangan
yang khas. Perencanaan keuangan memerlukan pertimbangan masa
depan yang tumpang tindih dengan keuangan dan kecurangan. Pelaporan
keuangan dapat mencakup temuan (penyesuaian, pengungkapan,
kekurangan kontrol, dan lain-lain) yang mungkin memerlukan pertimbangan
di masa depan. Idealnya, penilaian risiko adalah proses yang terus
menerus dimana pemilik pusat secara konsisten memantau dan
menyesuaikan diri dengan lingkungan penipuan dengan 'penyegaran'
periodik dari penilaian risiko dan rencana respons. Perusahaan publik
memiliki SOX 404 sebagai jenis mandat dari proses iteratif ini.

2.4. Rencana Audit Berbasis Risiko


Tahap perencanaan audit ini merupakan langkah awal dan sekaligus penting
dalam menghasilkan proses dan hasil audit yang efisien dan efektif. Ada beberapa
alasan mengapa rencana audit tahunan perlu disusun:
a. Dewan komisaris dan direksi membutuhkan rencana dimaksud sebagai sebuah
target bagi pelaksanaan audit intern.
b. Dengan perencanaan ini, Internal Audit Group (DAI) dapat menetapkan:
Arah atau tujuan, pendekatan dan prioritas audit,
Sumber daya (tenaga, waktu dan biaya) yang dibutuhkan untuk
melaksanakan setiap audit, sekaligus membandingkannya dengan sumber
daya yang tersedia,
Melakukan audit secara efektif dan efisien.
c. Untuk beberapa industri diwajibkan oleh regulator.
Rencana audit ini harus dibuat sejalan dengan piagam audit dan dengan
tujuan akhir (goal) perusahaan, sebagaimana ditegaskan dalam Performance
Standard dari the IIA nomor 2010 yaitu agar "The chief audit executive should
establish riskbased plans to determine the priorities of the internal audit activity,
consistent with the organization's goals."

7
Standar ini menganjurkan agar rencana kegiatan audit intern didasarkan
pada penaksiran risiko (risk assessment) yang dilakukan sekurangnya setahun
sekali, mempertimbangkan masukan dari dewan komisaris dan direksi serta
tujuan untuk menilai dan meningkatkan pengelolaan risiko dan kegiatan operasi
perusahaan maupun untuk menambah nilai.

2.5. Prinsip Penyusunan Rencana Audit


Menurut Robert T. (2005), ada beberapa prinsip yang perlu diperhatikan
dalam penyusunan rencana audit, yaitu sebagai berikut:
a. Mempertimbangkan peran dan tanggung jawab auditor yang unik serta
kebutuhan untuk mengintegrasikan faktor risiko ke dalam setiap audit mulai dari
yang memiliki score risiko lebih tinggi.
b. Karena sumber daya untuk melaksanakan audit (tenaga, waktu dan dana)
terbatas, tidak mungkin untuk melakukan audit dengan coverage 100%.
Keterbatasan ini tercermin dari pemakaian risk assessment guna menetapkan
skala prioritas audit.
c. Kriteria dalam risk assessment yang digunakan untuk menetapkan ranking dari
audit universe, memberi penekanan akan pentingnya pemahaman mengenai
sistem pengendalian intern dari auditee yang sebenarnya, yang mungkin saja
berbeda dari yang lain.
d. Apabila pada konsep lama seorang atau beberapa auditor mendapat tugas
audit untuk satu subyek pada satu saat tertentu, maka dengan konsep baru ini
seorang atau lebih auditor akan mendapat beberapa tugas audit untuk satu saat
tertentu.
e. Adanya inherent risk dan keterbatasan metode atau sistem penetapan prioritas
audit, mengharuskan internal audit untuk secara berkala mengkaji semua faktor
risiko serta proses scoring yang ada dalam rangka menyempurnakan rencana
audit.
Berdasarkan prinsip-prinsip di atas, kegiatan penyusunan rencana audit
harus didasarkan pada sebuah penilaian atas risiko dan eksposur yang punya
dampak negatif terhadap upaya pencapaian tujuan perusahaan. Informasi
mengenai program memitigasi risiko yang memiliki dampak pada tujuan
perusahaan haruslah menjadi tujuan akhir dari audit.

8
2.6. Manajemen Risiko Ceklist dan Dokumentasi
Daftar periksa dirancang untuk membantu akuntan dalam menilai dan
mengelola risiko kecurangan dalam organisasi mereka dan kepentingan klien
mereka. Umumnya, semua jawaban ''Tidak'' yang diberikan memerlukan
investigasi dan tindak lanjut, yang hasilnya harus didokumentasikan. Bila ada
dokumentasi tambahan semacam itu, maka tujuan dari kolom 'Ref' adalah untuk
referensi silang daftar periksa ke sumber yang sesuai.
Daftar periksa ini hanya untuk penggunaan umum saja. Sementara
penggunaan daftar periksa membantu memastikan faktor yang memadai
dipertimbangkan, dengan menggunakan daftar periksa tidak menjamin
pencegahan atau deteksi kecurangan dan daftar periksa tidak dimaksudkan
sebagai pengganti audit atau prosedur serupa. Jika pencegahan kecurangan
adalah masalah yang sangat penting atau jika dugaan kecurangan, penilaian
sistematis di luar daftar periksa harus dilakukan dan/atau saran spesialis harus
dicari.
2.6.1. Daftar Periksa Skema Penipuan
Pendekatan lain untuk penilaian risiko adalah menggunakan taksonomi
yang tepat dari skema penipuan. Misalnya, fraud tree ACFE dapat digunakan
untuk menentukan setidaknya daftar awal skema penipuan. Kolom dari
bentuk penilaian risiko ini meliputi:
a. Skema penipuan
b. Penilaian risiko inheren untuk kecurangan tersebut dalam entitas atau
proses bisnis tertentu
c. Faktor-faktor kontrol internal telah mengurangi sisa risiko yang tersisa
setelah mitigasi kontrol internal yang ada terkait dengan skema penipuan
ini dalam entitas atau proses bisnis ini.
d. Proses bisnis, dimana skema ini mungkin terjadi, jika memang terjadi
e. Red flags, yang bisa digunakan untuk mendeteksi skema ini

2.6.2. Entitas yang berbeda untuk dinilai


Jika sebuah organisasi cukup besar, penilaian risiko tunggal mungkin
tidak berguna seperti penilaian risiko yang terpisah. Dalam hal ini,
disarankan agar penilaian dan tim yang berbeda digunakan untuk setiap unit
bisnis utama, setiap proses bisnis penting yang melintasi unit bisnis, unit
perusahaan dan entitas atau elemen lain yang menjadi pemimpin dan tim
mengidentifikasi mungkin saja perusahaan itu begitu besar sehingga

9
diperlukan lapisan yang berbeda: misalnya, unit bisnis digulirkan ke anak
perusahaan, digulirkan ke perusahaan, di mana risiko yang lebih tinggi
digulirkan secara spesifik mengenai unit yang terkait dengan risiko spesifik.
Cara yang berpotensi lebih efektif, meski lebih menantang, untuk menilai
risiko pada tingkat tinggi di organisasi besar adalah dengan proses akuntansi
atau bisnis karena ini dapat secara lebih akurat mencerminkan risiko
kecurangan yang ada dan dapat lebih mudah disesuaikan dengan skema
penipuan.

2.6.3. Skema Penipuan


Ada berbagai cara untuk menentukan skema penipuan yang akan
dicantumkan. Namun, seseorang harus memulai dengan beberapa
taksonomi mapan dan menambahkan atau menghapus dari daftar itu sesuai
kebutuhan. Kemudian, dengan menggunakan taksonomi lain, atau penilaian
yang baik mengenai skema spesifik yang berisiko terhadap industri atau
entitas tertentu ini, seseorang harus melakukan penambahan atau
penghapusan yang diperlukan. Inilah gunanya menggunakan tim
brainstorming menggunakan kriteria bersama untuk memastikan bahwa
skema penting tidak dilewatkan dan skema yang tidak relevan tidak
dipertimbangkan (setidaknya untuk entitas tertentu skema kecurangan
tertentu mungkin tidak relevan).
a. Pengukuran dan Hubungan
Mengukur risiko secara kuantitatif biasanya cukup sulit. Beberapa
dasar harus digunakan sebagai akibat wajar dari dampak potensi kerugian
dari kemungkinan kecurangan. Apa indikasi yang relevan, andal, dan
representatif dari pengukuran yang membutuhkan risiko? Penentuan
seperti itu harus dibuat dan disepakati oleh tim sesuai dengan kriteria
bersama dan direncanakan. Tugas kritis dan sulit untuk mengukur risiko
kembali merupakan bukti pentingnya memilih tim yang beragam dan
mencakup organisasi yang dapat membuat keputusan logis selama
proses penilaian risiko.
b. Risiko yang Inheren
Tim harus menentukan risiko inheren untuk skema penipuan ini
untuk entitas atau proses bisnis ini. Penilaian bisa menjadi probabilitas (1
sampai 100 persen) atau hanya berisiko rendah, sedang, atau tinggi.

10
Sejumlah faktor dapat dipertimbangkan di sini, beberapa di antaranya
adalah industri, strategi, volatilitas pasar, dan struktur organisasi.
c. Penilaian Kontrol
Auditor dan orang-orang penting lainnya dalam tim harus
menentukan kontrol apa di tempat untuk mengurangi skema kecurangan
spesifik. Penilaiannya tentu saja sesuai dengan metode penilaian risiko
inheren (persentase atau tingkat). Kita harus yakin untuk
mempertimbangkan bahwa orang-orang di posisi kunci dapat
mengevaluasi kelemahan dalam pengendalian dan risiko internal; tetapi
orang-orang yang sama berpotensi melakukan kecurangan di wilayah
tertentu.
d. Risiko Residual
Fungsi matematika sederhana untuk mengurangi tingkat mitigasi
kontrol dari risiko inheren akan meninggalkan risiko residual. Sekali lagi,
itu akan berbentuk apa pun yang dipilih untuk risiko inheren. Resiko sisa
pasti akan memerlukan satu dari dua tanggapan: tidak ada tindakan,
karena risiko yang tersisa diterima, atau tindakan untuk mengurangi atau
memperbaiki melalui prosedur pencegahan atau pendeteksian tambahan
(bahkan berpotensi termasuk pembelian asuransi). Tanggapan yang
diambil harus didokumentasikan dan dilacak dari waktu ke waktu,
sebagian untuk menentukan kemampuan entitas untuk mengukur dan
mengelola risiko.
e. Proses Bisnis
Kolom ini adalah kolom notasi untuk mengidentifikasi proses bisnis
mana (yaitu, penerimaan kas, penggajian, dan lain-lain) terlibat dengan
skema ini. Proses bisnis pemilik harus didokumentasikan sebagai pihak
yang bertanggung jawab atas wilayah tersebut dan, jika berlaku, untuk
menanggapi risiko residu yang tidak dapat diterima. Mengingat jumlah
gabungan dan peringkat risiko dari semua skema oleh proses bisnis juga
dapat menjelaskan risiko penipuan.
f. Red Flags
Disini tim akan mengidentifikasi bendera merah yang bisa dikaitkan
dengan skema tersebut. Dokumentasi ini merupakan titik awal
pencegahan penipuan atau prosedur deteksi. Bendera merah tersedia
dari berbagai sumber literatur. Mereka termasuk:

11
ISACAs standard 030.020.010 (SISAS 8), Audit Considerations for
Irregularities
AICPA SAS No. 99, Consideration of Fraud in a Financial Statement
Audit
PCAOB Standards No. 5 and No. 2
Penipuan dan Penyalahgunaan Okupasi
Kebijakan perusahaan, prosedur, dan pengendalian internal
Kasus penipuan aktual, terutama entitas

12
BAB. III
KASUS

Sejarah mencatat kasus Phar Mor Inc. sebagai kasus fraud yang melegenda
dikalangan auditor keuangan. Eksekutif di Phar Mor secara sengaja melakukan fraud
untuk mendapatkan keuntungan financial yang masuk ke saku pribadi individu di jajaran
top manajemen perusahaan. Phar Mor Inc, termasuk perusahaan retail terbesar di
Amerika Serikat yang dinyatakan bangkrupt pada bulan Agustus 1992 berdasarkan
undang-undangan U.S. Bangkruptcy Code.
Pada masa puncak kejayaannya, Phar Mor mempunyai 300 outlet besar di hampir
seluruh negara bagian dan memperkerjakan 23,000 orang karyawan. Produk yang dijual
sangat bervariasi, dari obat-obatan, furniture, electronik, pakaian olah raga hingga
videotape. Dalam melakukan fraud, top manajemen Phar Mor membuat 2 laporan
ganda. Satu laporan inventory, sedangkan laporan lain adalah laporan bulanan
keuangan (monthly financial report). Satu set laporan inventory berisi laporan inventory
yang benar (true report), sedangkan satu set laporan lainnya berisi informasi tentang
inventory yang di adjustment dan ditujukan untuk auditor use only.
Demikian juga dengan laporan bulanan keuangan, laporan keuangan yang benar
berisi tentang kerugian yang diderita oleh perusahaan, ditujukan hanya untuk jajaran
eksekutif. Laporan lainnya adalah laporan yang telah dimanipulasi sehingga seolah-olah
perusahaan mendapat keuntungan yang berlimpah. Dalam mempersiapkan laporan-
laporan tersebut, manajemen Phar Mor sengaja merekrut staf dari Kantor Akuntan Publik
(KAP) Cooper & Lybrand. Staf-staf tersebut yang kemudian dipromosikan menjadi Vice
President bidang financial dan kontrol, yang dikemudian hari ternyata terbukti turut
terlibat aktif dalam fraud tersebut.
Dalam kasus Phar Mor, salah satu syarat agar internal audit bisa berfungsi, yaitu
fungsi control environment telah diberangus. Control environment sangat ditentukan oleh
attituted dari manajemen. Idealnya, manajemen harus mendukung penuh aktivitas
internal audit dan mendeklarasikan dukungan itu kesemua jajaran operasional
perusahaan. Top manajemen Phar Mor, tidak menunjukkan attitude yang baik.
Manajemen kemudian malah merekrut staf auditor dari KAP Cooper & Librand untuk
turut dimainkan dalam fraud. Langkah ini bukan tanpa perencanaan matang. Staf
mantan auditor kemudian dipromosikan menduduki jabatan penting, tetapi dengan
imbalan harus membuat laporan-laporan keuangan ganda.

13
Sejauh ini manajemen Phar Mor telah membuktikan tentang teori: The Fraud
Triangle. Yaitu teori yang menerangkan tentang penyebab fraud terjadi. Menurut teori ini,
penyebab fraud terjadi akibat 3 hal: Insentive/Pressure, Opportunity dan
Rationalization/Attitude. Insentive/Pressure adalah ketika manajemen atau karyawan
mendapat insentive atau justru mendapat tekanan (presure) sehingga mereka
commited untuk melakukan fraud. Opportunity adalah peluang terjadinya fraud akibat
lemahnya atau tidak efektivenya control sehingga membuka peluang terjadinya fraud.
Sedangkan Rationalization/Attitude menjelaskan teori yang menyatakan bahwa fraud
terjadi karena kondisi nilai-nilai etika lokal yang membolehkan terjadinya fraud. Dalam
kasus Phar Mor, setidak-tidaknya top manajemen telah membuktikan satu dari tiga
penyusun triangle, yaitu : top manajemen telah melakukan Insentive/Pressure.

14
BAB. IV
KESIMPULAN

Penilaian risiko merupakan titik awal yang penting untuk audit pada umumnya
penilaian risiko digunakan sebagai alat untuk program entitas antifraud, ketika entitas
berusaha untuk meminimalkan risiko fraud-nya. Dengan demikian, langkah ini tidak
terjadi selama proses pemeriksaan fraud. Sebaliknya, alat untuk mengidentifikasi risiko
dan alamat yang paling penting. Disarankan bahwa setiap bisnis, terutama publik yang
diperdagangkan satu, melalui latihan ini secara teratur, dan bahwa auditor fraud
mempertimbangkan konsep-konsep dan risiko manajemen, kemampuan manajemen
risiko menjadi pencegahan fraud, deteksi, dan investigasi.

15
DAFTAR PUSTAKA

Dwisajono. 2014. Kasus Kecurangan Audit : Perusahaan Phar Mor Inc. https://
dwisarjono. wordpress. com/ 2014/ 10/ 29/ kasus- kecurangan- audit- perusahaan-
phar-mor-inc/ (diakses di Makassar, 29 September 2017)

Singleton, Tommie dan Aaron J. Singleton.2010. Fraud Auditing and Forensic


Accounting 4th ed. New Jersey: John Wiley & Sons, Inc.

Setyobudi, Yayon Wahyu. 2006. Permodelan Penilaian Risiko (Risk Assesment) dalam
Perencanaan Audit Umum Pada Divisi Audit Intern (Studi KAsus pada Bank ABC
Kantor Cabang Jakarta). Tesis. Program Pascasarjana Universitas Diponegoro.

Robert Tampubolon. 2005. Risk and Systems-Based Internal Auditing. PT Elex Media
Komputindo, Jakarta.

16