I
PENDAHULUAN
Sejak tindakan kecuranga Enron dan kecurangan lainnya terungkap pada saat
bersamaan, telah terjadi fokus yang signifikan pada kecurangan, kontrol internal, dan
konsep manajemen risiko kecurangan termasuk penilaian risiko. Bagian dari Sarbanes-
Oxley Act (SOX) pada tahun 2002 membawa perhatian lebih besar pada subjek-subjek
ini dan memasukkan prinsip-prinsip yang terkait dengannya ke dalam undang-undang
federal. Komisi Sekuritas dan Bursa Efek (SEC) dan akuntansi. Badan Pengawas
Akuntansi Perusahaan Publik (PCAOB) telah mengeluarkan panduan mengenai topik ini.
Komite Sponsoring Organizations (COSO) juga telah melakukan upaya signifikan dalam
bidang penilaian risiko, yang menghasilkan Model COSO untuk penilaian risiko
perusahaan. Meskipun demikian, statistik kecurangan menunjukkan konsistensi relatif
dalam jumlah keseluruhan perkiraan kecurangan dan peningkatan jumlah kerugian dari
penipuan yang benar-benar ditemukan.
Landasan dan inti tata kelola perusahaan yang efektif, pengendalian internal,
program ant fraud, atau penyelidikan kecurangan adalah penilaian risiko yang
menyeluruh. Penilaian risiko fraud yang efektif bergantung pada pengetahuan tentang
konsep penipuan (segitiga penipuan, bendera merah, skema penipuan, dan sistem
informasi akuntansi), semua dipertimbangkan di lingkungan kecurangan yang berlaku
(entitas, kerangka waktu, efektivitas pengendalian internal saat ini). Sementara istilah
penilaian risiko mungkin menyiratkan latihan point-in-time periodik, manajemen risiko
sejati memerlukan proses berkelanjutan yang berkelanjutan. Meskipun disajikan
terutama dari perspektif internal terhadap entitas yang ada, konten di sini berlaku untuk
penyelidikan kecurangan eksternal dan khalayak eksternal lainnya.
Dalam dunia nyata, manajemen, konsultan, dan auditor sedang mempersiapkan
dan menggunakan alat penilaian risiko fraud untuk mengelola risiko fraud. Budaya
organisasi tercermin dalam penilaian risiko yang digunakan dalam hal : tingkat detail,
kuantifikasi, dan gaya operasi manajemen dan auditor. Tidak peduli dari pihak ini
menyiapkan dokumentasi, pertanyaan mendasar adalah sama. Mempersiapkan
kebutuhan dokumentasi penilaian risiko harus menjawab tiga pertanyaan, yaitu:
1. Apakah risiko fraud diidentifikasi?
2. Apakah pengendalian internal terkait dengan risiko fraud?
3. Apakah risiko fraud dikurangi ketingkat yang dapat diterima?
1
BAB II
TINJAUAN TEORITIS
2
persyaratan yang sama dalam literatur teknisnya. Pernyataan Standar Audit
Sistem Informasi (SISAS), Penggunaan Penilaian Resiko dalam Perencanaan
Audit, menguraikan persyaratan tertentu yang terkait dengan kecurangan dalam
audit teknologi informasi. Banyak standar ISACA lainnya juga menangani penilaian
risiko, terutama SISAS 8, Pertimbangan Audit untuk Penyimpangan.
Salah satu model risk-based auditing yang dapat digunakan adalah model
yang diperkenalkan oleh The Committee of Sponsoring Organizations of the
Treadway Commissions (COSO). Model COSO menunjukkan hubungan antara
risiko organisasi dengan perencanaan audit. Model COSO menggambarkan
pendekatan pengendalian intern dari perspektif tujuan organisasi, risiko yang
dihadapi dalam mencapai tujuan organisasi dan selanjutnya pengendalian yang
diperlukan untuk menekan risiko. Manajemen bertanggung jawab untuk
menentukan tujuan organisasi yang hendak dicapai serta berupaya untuk
mencapainya secara optimal dengan menggunakan sumber daya yang tersedia.
Dalam proses penggunaan sumber daya, manajemen menghadapi berbagai
ketidakpastian yang dapat menimbulkan dampak negatif (risiko) atau pengaruh
positif (kesempatan) bagi organisasi. Kaitan antara ketidakpastian dan pencapaian
tujuan organisasi sangat tergantung pada kemampuan manajemen untuk
mengidentifikasi ketidakpastian tersebut sehingga selanjutnya manajemen dapat
merancang langkah-langkah dan prosedur pengendalian untuk menekan risiko dan
mengoptimalkan kesempatan. Upaya manajemen untuk mengidentifikasi risiko dan
menekan risiko serta mengoptimalkan kesempatan tersebut biasa dikenal sebagai
Manajemen Risiko (Risk Management).
Dalam risk-based auditing, auditor melakukan tahapan-tahapan:
a. Mengidentifikasi tujuan organisasi
b. Menilai risiko:
Mengidentifikasi risiko
Mengukur risiko
c. Menetapkan prioritas dalam usaha untuk meminimalisasi risiko.
d. Memahami upaya yang sudah dilakukan manajemen untuk meminimalisasi
risiko yang ada, yang dapat berupa merancang dan menerapkan pengendalian
intern, mengasuransikan dan men-diversifikasikan.
3
sederhana konsep tersebut, mengukur dan menerapkannya adalah sulit. Faktor
penilaian risiko ini dapat dipertimbangkan di berbagai tingkatan, termasuk entitas,
orang (perilaku), divisi, geografi, produk atau layanan, proses akuntansi atau
bisnis, kontrol, atau sistem komputerisasi. Biasanya, faktor pertama adalah pada
tingkat entitas, karena probabilitas kecurangan, pencurian, atau penggelapan di
lingkungan kerja berasal eksekutif dan karyawan, kondisi kerja, efektivitas
pengendalian internal, dan tingkat kejujuran didalamnya (budaya organisasi atau
lingkungan). Namun dalam prosesnya, perspektif yang berbeda harus disertakan
dan/atau diperiksa dalam proses penilaian risiko, termasuk bagaimana entitas
manajemen menggabungkan praktik terbaik manajemen risiko.
2.2.1. Faktor Lingkungan Perusahaan
The Association of Certified Fraud Examiners (ACFE) pada tahun 2008
Report to the Nation (RTTN) mensurvei anggotanya mengenai kecurangan
yang dipecahkan, dan total 959 kasus dilaporkan terjadi. Salah satu statistik
berkaitan dengan lingkungan industri dimana kasus tersebut terjadi.
Sementara hasil statistik dapat menunjukkan jenis industri yang
kemungkinan besar akan menyewa Certified Fraud Examiner (CFE) untuk
menyelidiki kecurangan, hasilnya juga dapat mengindikasikan industri lebih
rentan terhadap kecurangan. Bagi industri yang lebih rentan terhadap
kecurangan, entitas dalam industri tersebut memiliki risiko penipuan yang
lebih besar - sesuatu yang perlu dipertimbangkan dalam penilaian risiko
bagi entitas tersebut. Artinya, penilaian risiko harus memperhitungkan
tingkat risiko kecurangan yang dinilai dalam industri entitas. Hasil survei
yang dilakukan oleh RTTN tahun 2008 adalah:
a. Industri menurut frekuensi:
Layanan Perbankan/Keuangan (14,5% dari semua kasus dilaporkan)
Administrasi Pemerintahan/Pemerintahan (11,7%)
Perawatan kesehatan (8,4%)
Manufaktur (7,2%)
Ritel (7%)
b. Industri dengan Median Loss:
Telekomunikasi ($ 800.000 / 16 kasus)
Pertanian / Kehutanan / Perikanan / Berburu ($ 450.000 / 13 kasus)
Manufaktur ($ 441.000 / 65 kasus)
Teknologi ($ 405.000 / 28 kasus)
4
Konstruksi ($ 330.000 / 42 kasus)
Selain mempertimbangkan jenis industri penilaian risiko juga harus
mempertimbangkan ekonomi saat ini. Survei 2008-2009 oleh ACFE
meminta 507 CFE untuk melaporkan tingkat kecurangan sejak awal krisis
ekonomi. Lebih dari setengah menunjukkan bahwa jumlah kecurangan
meningkat selama waktu itu. Juga, 49 persen melaporkan kenaikan jumlah
dolar dari kerugian penipuan selama periode yang sama. Teorinya adalah
bahwa satu dari segitiga penipuan itulah yang oleh Donald Cressey disebut
sebagai 'kebutuhan finansial yang tak terbelakang' atau tekanan dan orang-
orang pada umumnya berada di bawah tekanan selama resesi ekonomi
dan dalam hal ini akan ada menjadi peningkatan yang diharapkan dalam
penipuan. Selain itu, kearifan konvensional di antara anggota komunitas
audit dan keamanan menunjukkan bahwa organisasi yang paling rentan
adalah mereka yang memiliki manajemen, akuntansi, dan kontrol
keamanan terlemah.
5
2.2.3. Faktor Fraud
Setiap penilaian risiko juga harus mempertimbangkan skema
kecurangan yang lebih mungkin terjadi untuk memandu program antifraud.
Penanggulangan pencegahan dan deteksi tentu lebih efektif jika mereka
menangani skema kecurangan yang paling mungkin dilakukan. Untuk
kecurangan laporan keuangan, jelas eksekutif entitas adalah calon penipu
yang paling mungkin terjadi dan dengan demikian penilaian risiko harus
mencakup individu tersebut. Untuk penyalahgunaan aset, karyawan yang
berada dalam posisi terpercaya cenderung menjadi pelakunya. Untuk
korupsi, itu mungkin sama tapi mencakup seseorang di luar entitas yang
bekerja dengan seseorang di dalam - karakteristik unik dari skema korupsi.
6
terealisasi. Dokumentasi kemudian dapat dijadikan alat pembelajaran untuk
penilaian dan tindakan pencegahan yang lebih efektif. Dokumentasi juga
menetapkan akuntabilitas bagi orang-orang yang terlibat dalam proses tersebut.
2.3.1. Frekuensi dan Alignment dengan Keuangan
Penilaian risiko formal dalam suatu entitas harus dilakukan secara
teratur, mungkin setiap 12 sampai 24 bulan. Frekuensi tahunan akan
memungkinkan penilaian risiko kecurangan untuk disesuaikan dengan
kerangka waktu perencanaan keuangan dan/atau pelaporan keuangan
yang khas. Perencanaan keuangan memerlukan pertimbangan masa
depan yang tumpang tindih dengan keuangan dan kecurangan. Pelaporan
keuangan dapat mencakup temuan (penyesuaian, pengungkapan,
kekurangan kontrol, dan lain-lain) yang mungkin memerlukan pertimbangan
di masa depan. Idealnya, penilaian risiko adalah proses yang terus
menerus dimana pemilik pusat secara konsisten memantau dan
menyesuaikan diri dengan lingkungan penipuan dengan 'penyegaran'
periodik dari penilaian risiko dan rencana respons. Perusahaan publik
memiliki SOX 404 sebagai jenis mandat dari proses iteratif ini.
7
Standar ini menganjurkan agar rencana kegiatan audit intern didasarkan
pada penaksiran risiko (risk assessment) yang dilakukan sekurangnya setahun
sekali, mempertimbangkan masukan dari dewan komisaris dan direksi serta
tujuan untuk menilai dan meningkatkan pengelolaan risiko dan kegiatan operasi
perusahaan maupun untuk menambah nilai.
8
2.6. Manajemen Risiko Ceklist dan Dokumentasi
Daftar periksa dirancang untuk membantu akuntan dalam menilai dan
mengelola risiko kecurangan dalam organisasi mereka dan kepentingan klien
mereka. Umumnya, semua jawaban ''Tidak'' yang diberikan memerlukan
investigasi dan tindak lanjut, yang hasilnya harus didokumentasikan. Bila ada
dokumentasi tambahan semacam itu, maka tujuan dari kolom 'Ref' adalah untuk
referensi silang daftar periksa ke sumber yang sesuai.
Daftar periksa ini hanya untuk penggunaan umum saja. Sementara
penggunaan daftar periksa membantu memastikan faktor yang memadai
dipertimbangkan, dengan menggunakan daftar periksa tidak menjamin
pencegahan atau deteksi kecurangan dan daftar periksa tidak dimaksudkan
sebagai pengganti audit atau prosedur serupa. Jika pencegahan kecurangan
adalah masalah yang sangat penting atau jika dugaan kecurangan, penilaian
sistematis di luar daftar periksa harus dilakukan dan/atau saran spesialis harus
dicari.
2.6.1. Daftar Periksa Skema Penipuan
Pendekatan lain untuk penilaian risiko adalah menggunakan taksonomi
yang tepat dari skema penipuan. Misalnya, fraud tree ACFE dapat digunakan
untuk menentukan setidaknya daftar awal skema penipuan. Kolom dari
bentuk penilaian risiko ini meliputi:
a. Skema penipuan
b. Penilaian risiko inheren untuk kecurangan tersebut dalam entitas atau
proses bisnis tertentu
c. Faktor-faktor kontrol internal telah mengurangi sisa risiko yang tersisa
setelah mitigasi kontrol internal yang ada terkait dengan skema penipuan
ini dalam entitas atau proses bisnis ini.
d. Proses bisnis, dimana skema ini mungkin terjadi, jika memang terjadi
e. Red flags, yang bisa digunakan untuk mendeteksi skema ini
9
diperlukan lapisan yang berbeda: misalnya, unit bisnis digulirkan ke anak
perusahaan, digulirkan ke perusahaan, di mana risiko yang lebih tinggi
digulirkan secara spesifik mengenai unit yang terkait dengan risiko spesifik.
Cara yang berpotensi lebih efektif, meski lebih menantang, untuk menilai
risiko pada tingkat tinggi di organisasi besar adalah dengan proses akuntansi
atau bisnis karena ini dapat secara lebih akurat mencerminkan risiko
kecurangan yang ada dan dapat lebih mudah disesuaikan dengan skema
penipuan.
10
Sejumlah faktor dapat dipertimbangkan di sini, beberapa di antaranya
adalah industri, strategi, volatilitas pasar, dan struktur organisasi.
c. Penilaian Kontrol
Auditor dan orang-orang penting lainnya dalam tim harus
menentukan kontrol apa di tempat untuk mengurangi skema kecurangan
spesifik. Penilaiannya tentu saja sesuai dengan metode penilaian risiko
inheren (persentase atau tingkat). Kita harus yakin untuk
mempertimbangkan bahwa orang-orang di posisi kunci dapat
mengevaluasi kelemahan dalam pengendalian dan risiko internal; tetapi
orang-orang yang sama berpotensi melakukan kecurangan di wilayah
tertentu.
d. Risiko Residual
Fungsi matematika sederhana untuk mengurangi tingkat mitigasi
kontrol dari risiko inheren akan meninggalkan risiko residual. Sekali lagi,
itu akan berbentuk apa pun yang dipilih untuk risiko inheren. Resiko sisa
pasti akan memerlukan satu dari dua tanggapan: tidak ada tindakan,
karena risiko yang tersisa diterima, atau tindakan untuk mengurangi atau
memperbaiki melalui prosedur pencegahan atau pendeteksian tambahan
(bahkan berpotensi termasuk pembelian asuransi). Tanggapan yang
diambil harus didokumentasikan dan dilacak dari waktu ke waktu,
sebagian untuk menentukan kemampuan entitas untuk mengukur dan
mengelola risiko.
e. Proses Bisnis
Kolom ini adalah kolom notasi untuk mengidentifikasi proses bisnis
mana (yaitu, penerimaan kas, penggajian, dan lain-lain) terlibat dengan
skema ini. Proses bisnis pemilik harus didokumentasikan sebagai pihak
yang bertanggung jawab atas wilayah tersebut dan, jika berlaku, untuk
menanggapi risiko residu yang tidak dapat diterima. Mengingat jumlah
gabungan dan peringkat risiko dari semua skema oleh proses bisnis juga
dapat menjelaskan risiko penipuan.
f. Red Flags
Disini tim akan mengidentifikasi bendera merah yang bisa dikaitkan
dengan skema tersebut. Dokumentasi ini merupakan titik awal
pencegahan penipuan atau prosedur deteksi. Bendera merah tersedia
dari berbagai sumber literatur. Mereka termasuk:
11
ISACAs standard 030.020.010 (SISAS 8), Audit Considerations for
Irregularities
AICPA SAS No. 99, Consideration of Fraud in a Financial Statement
Audit
PCAOB Standards No. 5 and No. 2
Penipuan dan Penyalahgunaan Okupasi
Kebijakan perusahaan, prosedur, dan pengendalian internal
Kasus penipuan aktual, terutama entitas
12
BAB. III
KASUS
Sejarah mencatat kasus Phar Mor Inc. sebagai kasus fraud yang melegenda
dikalangan auditor keuangan. Eksekutif di Phar Mor secara sengaja melakukan fraud
untuk mendapatkan keuntungan financial yang masuk ke saku pribadi individu di jajaran
top manajemen perusahaan. Phar Mor Inc, termasuk perusahaan retail terbesar di
Amerika Serikat yang dinyatakan bangkrupt pada bulan Agustus 1992 berdasarkan
undang-undangan U.S. Bangkruptcy Code.
Pada masa puncak kejayaannya, Phar Mor mempunyai 300 outlet besar di hampir
seluruh negara bagian dan memperkerjakan 23,000 orang karyawan. Produk yang dijual
sangat bervariasi, dari obat-obatan, furniture, electronik, pakaian olah raga hingga
videotape. Dalam melakukan fraud, top manajemen Phar Mor membuat 2 laporan
ganda. Satu laporan inventory, sedangkan laporan lain adalah laporan bulanan
keuangan (monthly financial report). Satu set laporan inventory berisi laporan inventory
yang benar (true report), sedangkan satu set laporan lainnya berisi informasi tentang
inventory yang di adjustment dan ditujukan untuk auditor use only.
Demikian juga dengan laporan bulanan keuangan, laporan keuangan yang benar
berisi tentang kerugian yang diderita oleh perusahaan, ditujukan hanya untuk jajaran
eksekutif. Laporan lainnya adalah laporan yang telah dimanipulasi sehingga seolah-olah
perusahaan mendapat keuntungan yang berlimpah. Dalam mempersiapkan laporan-
laporan tersebut, manajemen Phar Mor sengaja merekrut staf dari Kantor Akuntan Publik
(KAP) Cooper & Lybrand. Staf-staf tersebut yang kemudian dipromosikan menjadi Vice
President bidang financial dan kontrol, yang dikemudian hari ternyata terbukti turut
terlibat aktif dalam fraud tersebut.
Dalam kasus Phar Mor, salah satu syarat agar internal audit bisa berfungsi, yaitu
fungsi control environment telah diberangus. Control environment sangat ditentukan oleh
attituted dari manajemen. Idealnya, manajemen harus mendukung penuh aktivitas
internal audit dan mendeklarasikan dukungan itu kesemua jajaran operasional
perusahaan. Top manajemen Phar Mor, tidak menunjukkan attitude yang baik.
Manajemen kemudian malah merekrut staf auditor dari KAP Cooper & Librand untuk
turut dimainkan dalam fraud. Langkah ini bukan tanpa perencanaan matang. Staf
mantan auditor kemudian dipromosikan menduduki jabatan penting, tetapi dengan
imbalan harus membuat laporan-laporan keuangan ganda.
13
Sejauh ini manajemen Phar Mor telah membuktikan tentang teori: The Fraud
Triangle. Yaitu teori yang menerangkan tentang penyebab fraud terjadi. Menurut teori ini,
penyebab fraud terjadi akibat 3 hal: Insentive/Pressure, Opportunity dan
Rationalization/Attitude. Insentive/Pressure adalah ketika manajemen atau karyawan
mendapat insentive atau justru mendapat tekanan (presure) sehingga mereka
commited untuk melakukan fraud. Opportunity adalah peluang terjadinya fraud akibat
lemahnya atau tidak efektivenya control sehingga membuka peluang terjadinya fraud.
Sedangkan Rationalization/Attitude menjelaskan teori yang menyatakan bahwa fraud
terjadi karena kondisi nilai-nilai etika lokal yang membolehkan terjadinya fraud. Dalam
kasus Phar Mor, setidak-tidaknya top manajemen telah membuktikan satu dari tiga
penyusun triangle, yaitu : top manajemen telah melakukan Insentive/Pressure.
14
BAB. IV
KESIMPULAN
Penilaian risiko merupakan titik awal yang penting untuk audit pada umumnya
penilaian risiko digunakan sebagai alat untuk program entitas antifraud, ketika entitas
berusaha untuk meminimalkan risiko fraud-nya. Dengan demikian, langkah ini tidak
terjadi selama proses pemeriksaan fraud. Sebaliknya, alat untuk mengidentifikasi risiko
dan alamat yang paling penting. Disarankan bahwa setiap bisnis, terutama publik yang
diperdagangkan satu, melalui latihan ini secara teratur, dan bahwa auditor fraud
mempertimbangkan konsep-konsep dan risiko manajemen, kemampuan manajemen
risiko menjadi pencegahan fraud, deteksi, dan investigasi.
15
DAFTAR PUSTAKA
Dwisajono. 2014. Kasus Kecurangan Audit : Perusahaan Phar Mor Inc. https://
dwisarjono. wordpress. com/ 2014/ 10/ 29/ kasus- kecurangan- audit- perusahaan-
phar-mor-inc/ (diakses di Makassar, 29 September 2017)
Setyobudi, Yayon Wahyu. 2006. Permodelan Penilaian Risiko (Risk Assesment) dalam
Perencanaan Audit Umum Pada Divisi Audit Intern (Studi KAsus pada Bank ABC
Kantor Cabang Jakarta). Tesis. Program Pascasarjana Universitas Diponegoro.
Robert Tampubolon. 2005. Risk and Systems-Based Internal Auditing. PT Elex Media
Komputindo, Jakarta.
16