Terjemahan FRAUD RISK ASSESSMENT

Penilaian Risiko Penipuan

PENGANTAR

Sejak Enron dan penipuan lainnya mendekati waktu yang sama, telah ada fokus yang signifikan
pada penipuan, kontrol internal, dan konsep manajemen risiko penipuan termasuk penilaian
risiko. Bagian dari Sarbanes-Oxley Act (SOX) pada tahun 2002 membawa lebih banyak
perhatian pada subyek ini dan menempatkan prinsip-prinsip yang terkait dengan mereka ke
dalam hukum federal. Komisi Sekuritas dan Pertukaran (SEC) dan cabang akuntansinya, Dewan
Pengawas Akuntansi Perusahaan Publik (PCAOB) telah menerbitkan panduan tentang topik ini.
Komite Organisasi Sponsoring (COSO) juga telah melakukan upaya yang signifikan di bidang
penilaian risiko, menghasilkan Model COSO untuk penilaian risiko perusahaan. Meskipun
demikian, statistik penipuan (sebagaimana disampaikan dalam Bab 2) menunjukkan konsistensi
relatif dalam keseluruhan jumlah dugaan penipuan dan peningkatan jumlah kerugian dari
penipuan yang sebenarnya ditemukan. Landasan dan inti dari tata kelola perusahaan yang efektif,
kontrol internal, program anti penipuan, atau investigasi penipuan adalah penilaian risiko yang
menyeluruh. Penilaian risiko penipuan yang efektif tergantung pada pengetahuan konsep
penipuan (segitiga penipuan, bendera merah, skema penipuan, dan akuntansi

sistem informasi), semua dipertimbangkan dalam lingkungan penipuan yang berlaku (entitas,
kerangka waktu, efektivitas kontrol internal saat ini, dll.). Sementara penilaian risiko jangka
mungkin menyiratkan latihan berkala, point-in-time, manajemen risiko sejati membutuhkan
proses berkelanjutan yang berkelanjutan. Bab ini membahas konsep dan alat penilaian risiko
untuk membantu dalam proses itu. Walaupun disajikan terutama dari perspektif internal ke
entitas yang ada, konten di sini berlaku untuk investigasi penipuan yang dilakukan secara
eksternal dan audiens eksternal lainnya.

SASTRA TEKNIS DAN PENILAIAN RISIKO

Gagasan penilaian risiko telah menjadi bagian dari literatur teknis untuk audit, menyarankan atau
langsung mengharuskan audit menggabungkan penilaian risiko. Standar dalam beberapa tahun
terakhir mencerminkan peningkatan cakupan risiko. Untuk perusahaan publik, Standar Audit
PCAOB No. 5 (AS5), Audit Pengendalian Internal atas Pelaporan Keuangan yang Terintegrasi
dengan Audit Laporan Keuangan (diadopsi pada 2007), dibangun berdasarkan standar PCAOB
No. 2 (AS2 yang sebelumnya sudah ada) ) dominan dengan memperluas peran penilaian risiko.
AS2 membahas penilaian risiko dari perspektif manajemen dan auditor, dan termasuk cakupan
risiko di berbagai tingkatan (transaksional, akun, dll.). AS5 melanjutkan konsep AS2 dan
menekankan pentingnya pendekatan top-down, berbasis risiko untuk audit pengendalian internal,
dan pentingnya memahami lingkungan entitas (ukuran, industri, dll.). Secara umum, standar
PCAOB dipenuhi dengan bahasa, konten, dan saran mengenai penilaian risiko. Lembaga
Akuntan Publik Amerika (AICPA) dari American Institute mengadopsi standar 'Suite Risiko',
Pernyataan tentang Standar Audit (SAS) No. 104–111 pada tahun 2006. Secara umum, Risk
Suite membahas penilaian risiko dalam konteks keuangan. audit pernyataan dan kontrol internal.
Seperti AS5, Risk Suite mencakup penekanan pada pendekatan audit berbasis risiko yang
holistik, top-down, termasuk pengetahuan menyeluruh tentang lingkungan entitas dan kontrol
internalnya. Lebih spesifik untuk penipuan, AICPA's SAS No. 99, Pertimbangan Penipuan dalam
Audit Laporan Keuangan, memberikan panduan bagi auditor keuangan, termasuk brainstorming
selama tahap perencanaan, dan pengakuan paksa terhadap potensi penipuan tertentu, terutama
manipulasi pendapatan. Secara lebih luas, standar AICPA memerlukan pertimbangan sejumlah
faktor khusus organisasi, seperti industri, strategi, dan sebagainya. Auditor diharuskan untuk
menyesuaikan sifat, waktu, dan luasnya prosedur audit

jika keadaan memungkinkan, berdasarkan penilaian risiko selama curah pendapat dan
pengetahuan selanjutnya dan hasil dari prosedur. Institute of Internal Auditor (IIA)
mempromosikan gagasan bahwa semua fungsi dan audit fungsi audit internal harus dimulai
dengan penilaian risiko (mis., Bagian 2010 dan 2600 Standar Praktik Profesional dalam Audit
Internal [SPPIA]). Asosiasi Audit dan Pengendalian Sistem Informasi (ISACA) juga harus
memiliki semua persyaratan dalam bidang teknis. Pernyataan Standar Audit Sistem Informasi
(SISAS), Penggunaan Penilaian Risiko dalam Perencanaan Audit, menguraikan persyaratan
tertentu yang terkait dengan kecurangan untuk teknologi informasi perangkat. Pertimbangan
untuk Penyimpangan.

FAKTOR PENILAIAN RISIKO

Konsep dasar penilaian risiko adalah probabilitas (kemungkinan suatu peristiwa akan terjadi) dan
dampak (besarnya peristiwa jika itu terjadi). Betapapun sederhananya konsep-konsep itu,
mengukur dan menerapkannya sulit. Faktor apa yang harus dipertimbangkan? Alat apa yang
dapat membantu dalam menilai risiko? Bagaimana risiko dapat diukur secara tepat? Faktor dapat
dipertimbangkan pada banyak tingkatan, termasuk entitas, orang (perilaku), divisi, geografi,
produk atau layanan, proses akuntansi atau bisnis, kontrol, atau sistem komputer. Biasanya,
faktor dianggap pertama pada tingkat entitas, karena kemungkinan penipuan, pencurian, atau
penggelapan dalam lingkungan kerja apa pun adalah produk dari kepribadian eksekutif dan
karyawan, kondisi kerja, efektivitas kontrol internal, dan level kejujuran di dalamnya (budaya
organisasi atau lingkungan). Namun proses dimulai, perspektif yang berbeda harus dimasukkan
dan / atau diperiksa dalam proses penilaian risiko, termasuk bagaimana manajemen entitas
menggabungkan praktik terbaik manajemen risiko.

Faktor Lingkungan Perusahaan

Penipuan, pencurian, dan penggelapan karyawan lebih banyak terjadi di beberapa industri dan di
beberapa organisasi daripada di yang lain. Asosiasi Pengkaji Penipuan Bersertifikat (ACFE),
2008 Report to the Nation (RTTN), mensurvei beberapa anggota mengenai penipuan yang
diselesaikan, dan total 959 kasus dilaporkan. Salah satu statistik berkaitan dengan industri yang
diwakili oleh kasus-kasus ini. Sementara hasil statistik bisa menunjukkan jenisnya jika keadaan
memungkinkan, berdasarkan penilaian risiko selama curah pendapat dan pengetahuan
selanjutnya dan hasil dari prosedur. Institute of Internal Auditor (IIA) mempromosikan gagasan
bahwa semua fungsi dan audit fungsi audit internal harus dimulai dengan penilaian risiko (mis.,
Bagian 2010 dan 2600 Standar Praktik Profesional dalam Audit Internal [SPPIA]). Asosiasi
Audit dan Pengendalian Sistem Informasi (ISACA) juga harus memiliki semua persyaratan
dalam bidang teknis. Pernyataan Standar Audit Sistem Informasi (SISAS), Penggunaan Penilaian
Risiko dalam Perencanaan Audit, menguraikan persyaratan tertentu yang terkait dengan
kecurangan untuk teknologi informasi perangkat. Pertimbangan untuk Penyimpangan.

FAKTOR PENILAIAN RISIKO

Konsep dasar penilaian risiko adalah probabilitas (kemungkinan suatu peristiwa akan terjadi) dan
dampak (besarnya peristiwa jika itu terjadi). Betapapun sederhananya konsep-konsep itu,
mengukur dan menerapkannya sulit. Faktor apa yang harus dipertimbangkan? Alat apa yang
dapat membantu dalam menilai risiko? Bagaimana risiko dapat diukur secara tepat? Faktor dapat
dipertimbangkan pada banyak tingkatan, termasuk entitas, orang (perilaku), divisi, geografi,
produk atau layanan, proses akuntansi atau bisnis, kontrol, atau sistem komputer. Biasanya,
faktor dianggap pertama pada tingkat entitas, karena kemungkinan penipuan, pencurian, atau
penggelapan dalam lingkungan kerja apa pun adalah produk dari kepribadian eksekutif dan
karyawan, kondisi kerja, efektivitas kontrol internal, dan level kejujuran di dalamnya (budaya
organisasi atau lingkungan). Namun proses dimulai, perspektif yang berbeda harus dimasukkan
dan / atau diperiksa dalam proses penilaian risiko, termasuk bagaimana manajemen entitas
menggabungkan praktik terbaik manajemen risiko.

Faktor Lingkungan Perusahaan

Penipuan, pencurian, dan penggelapan karyawan lebih banyak terjadi di beberapa industri dan di
beberapa organisasi daripada di yang lain. Asosiasi Pengkaji Penipuan Bersertifikat (ACFE),
2008 Report to the Nation (RTTN), mensurvei beberapa anggota mengenai penipuan yang
diselesaikan, dan total 959 kasus dilaporkan. Salah satu statistik berkaitan dengan industri yang
diwakili oleh kasus-kasus ini. Sementara hasil statistik bisa menunjukkan jenisnya

dari industri yang kemungkinan besar akan menyewa Penilai Penipuan Bersertifikat (CFE) untuk
menyelidiki penipuan, hasilnya juga bisa menunjukkan industri lebih rentan terhadap penipuan.
Untuk industri yang lebih rentan terhadap penipuan, entitas dalam industri tersebut jelas
memiliki risiko penipuan yang lebih besar — sesuatu yang harus dipertimbangkan dalam
penilaian risiko untuk entitas tersebut. Artinya, penilaian risiko harus mempertimbangkan tingkat
risiko kecurangan yang dinilai dalam industri entitas. Hasil RTTN 2008 adalah:

Industri berdasarkan Frekuensi:

n Layanan Perbankan / Keuangan (14,5% dari semua kasus yang dilaporkan) n Pemerintah /
administrasi Publik (11,7%) n Perawatan kesehatan (8,4%) n Manufaktur (7,2%) n Ritel (7%)

Industri oleh Kerugian Median:

n Telekomunikasi ($ 800.000 / 16 kasing) n Pertanian / Kehutanan / Memancing / Berburu ($
450.000 / 13 kasing) n Manufaktur ($ 441.000 / 65 kasing) n Teknologi ($ 405.000 / 28 kasing) n
Konstruksi ($ 330.000 / 42 kasing)

Penilaian risiko juga harus mempertimbangkan ekonomi saat ini. Di saat yang baik, orang
mencuri; di saat buruk, orang mencuri lebih banyak! Sebuah survei 2008-2009 oleh ACFE
meminta 507 CFE untuk melaporkan tingkat penipuan sejak awal krisis ekonomi. Lebih dari
setengahnya menunjukkan bahwa jumlah penipuan telah meningkat selama waktu itu. Juga, 49
persen melaporkan peningkatan jumlah dolar kerugian penipuan selama periode yang sama.
Teorinya adalah bahwa satu kaki dari segitiga penipuan adalah apa yang disebut Donald Cressey
sebagai "kebutuhan keuangan yang tidak dapat dibagikan" atau tekanan (seperti disebutkan
dalam Bab 2) dan orang-orang umumnya berada di bawah tekanan lebih selama resesi ekonomi
dan dalam arti itu akan ada menjadi peningkatan penipuan yang diharapkan. Selain itu,
kebijaksanaan konvensional di antara anggota komunitas audit dan keamanan menunjukkan
bahwa organisasi yang paling rentan adalah mereka yang memiliki kontrol manajemen,
akuntansi, dan keamanan yang paling lemah. Organisasi yang lebih rentan terhadap penipuan dan
penyalahgunaan pekerjaan karyawan juga dapat dibedakan dari mereka yang tidak terlalu rentan
oleh perbedaan lingkungan dan budaya yang ditunjukkan dalam Tampilan 5.1.

Faktor internal

Faktor internal yang meningkatkan kemungkinan penipuan, pencurian, dan penggelapan

termasuk kontrol manajemen yang tidak memadai atau kegiatan pemantauan seperti berikut ini:

n Gagal menciptakan budaya yang jujur

n Kegagalan untuk mengartikulasikan dan mengomunikasikan standar minimum kinerja dan

perilaku pribadi n Orientasi dan pelatihan yang tidak memadai tentang masalah hukum, etika,
penipuan, dan keamanan n Kebijakan perusahaan yang tidak memadai sehubungan dengan
sanksi atas pelanggaran hukum, etika, dan keamanan; khususnya untuk penipuan dan kejahatan
kerah putih n Kegagalan untuk memberi nasihat dan mengambil tindakan administratif ketika
tingkat kinerja atau perilaku pribadi berada di bawah standar yang dapat diterima, atau
melanggar prinsip dan pedoman entitas n Ambiguitas dalam peran pekerjaan, tugas, tanggung
jawab, dan bidang akuntabilitas n Kurangnya audit tepat waktu atau berkala, inspeksi, dan tindak
lanjut untuk memastikan kepatuhan dengan tujuan entitas, prioritas, kebijakan, prosedur, dan
peraturan pemerintah; secara umum, kurangnya akuntabilitas atas posisi kunci kepercayaan

Faktor-faktor Penipuan

Setiap penilaian risiko juga harus mempertimbangkan skema penipuan yang lebih mungkin
terjadi untuk memandu program anti-penipuan. Pencegahan dan deteksi tindakan tentu lebih
efektif jika mereka menangani skema penipuan yang paling mungkin dilakukan. Untuk penipuan
laporan keuangan, jelas eksekutif entitas adalah penipu yang paling mungkin dan dengan
demikian penilaian risiko harus mencakup individu-individu tersebut. Untuk penyelewengan
aset, seorang karyawan dalam posisi tepercaya kemungkinan besar akan menjadi pelakunya.
Untuk korupsi, mungkin sama tetapi melibatkan seseorang di luar entitas yang bekerja dengan
seseorang di dalam — karakteristik unik skema korupsi. Statistik dari ACFE RTTNs dapat
memberikan bantuan dalam membuat penentuan ini, seperti halnya brainstorming yang produktif
dari tim lintas fungsi.

PRAKTIK TERBAIK PENILAIAN RISIKO

Jika suatu entitas belum melakukan penilaian risiko formal, entitas tidak dapat secara efektif
mempertahankan diri dari risiko tersebut, atau memitigasi risiko tersebut karena alasan yang
jelas. Untuk mengembangkan penilaian risiko yang efektif, manajemen harus mengambil
pendekatan formal dan teliti daripada pendekatan ad hoc. Pendekatan itu mencakup orang-orang
dan prosesnya.

Pemimpin

Proses penilaian risiko harus mencakup orang atau kelompok yang tepat, dan idealnya harus
menyertakan tim. Untuk manajemen organisasi, orang yang tepat biasanya adalah seseorang
yang memiliki independensi yang memadai, seperti seseorang dari fungsi audit internal, jika ada,
dan kemampuan untuk secara efektif mendukung manajemen risiko. Nilai memiliki seseorang
yang berpengalaman dan terbukti efektif dalam menilai risiko yang terlibat dengan fungsi
penilaian risiko tidak dapat dilebih-lebihkan. Juga tidak dapat dukungan dari komite audit entitas
dan / atau dewan direksi.

Tim

Tim harus dipilih dengan cermat. Meskipun harus dimulai dengan ahli dan / atau konsultan
internal, namun harus mencakup bagian lintas entitas yang luas. Penampang itu harus melibatkan
berbagai tingkat entitas, terutama tingkat manajemen. Tim harus mewakili semua unit bisnis
utama (terutama akuntansi dan penjualan karena sebagian besar penipuan terjadi di sana), proses
bisnis, posisi kunci, dan perspektif yang diperlukan untuk memberikan penilaian risiko yang
berkualitas. Orang yang berpikir kreatif, beralasan secara logis, memahami bisnis dan industri
dengan baik, dan dapat secara efektif berperan sebagai pendukung setan harus dicari, terlepas
dari posisi mereka. Mendokumentasikan penilaian risiko sangat penting, terutama karena
dokumentasi dapat ditinjau sesudahnya ketika risiko yang dinilai telah atau belum direalisasikan.
Dokumentasi kemudian dapat berfungsi sebagai alat pembelajaran untuk penilaian yang lebih
efektif dan tindakan pencegahan; yaitu, pelajaran yang dipetik dapat membantu
menyempurnakan versi penilaian risiko di masa depan. Dokumentasi juga menetapkan
akuntabilitas bagi orang-orang yang terlibat dalam proses. Beberapa alat dapat digunakan untuk
melakukan penilaian risiko, yang akan melayani tujuan ganda mendokumentasikannya juga.
Tampilan 5.2 menyediakan daftar periksa untuk berfungsi sebagai salah satu contoh bagaimana
mengatur penilaian risiko.

Frekuensi dan Keselarasan dengan Keuangan

Penilaian risiko formal dalam suatu entitas harus dilakukan secara teratur, mungkin setiap 12
hingga 24 bulan. Frekuensi tahunan akan memungkinkan penilaian risiko kecurangan untuk
menyelaraskan dengan perencanaan keuangan yang khas dan / atau kerangka waktu pelaporan
keuangan. Perencanaan keuangan memerlukan pertimbangan masa depan yang tumpang tindih
dengan keuangan dan penipuan. Pelaporan keuangan dapat mencakup temuan (penyesuaian,
pengungkapan, defisiensi kontrol, dll.) Yang mungkin memerlukan masa depan
pertimbangan. Idealnya, penilaian risiko adalah proses yang berkelanjutan di mana pemilik pusat
secara konsisten memantau dan beradaptasi dengan lingkungan penipuan dengan ‘‘ menyegarkan
’dari penilaian risiko dan merencanakan respons. Perusahaan publik memiliki SOX §404 sebagai
jenis yang diamanatkan dari proses berulang ini.

DAFTAR PERIKSA DAN DOKUMENTASI MANAJEMEN RISIKO

Daftar periksa yang ditunjukkan dalam Tampilan 5.2 dirancang untuk membantu akuntan dalam
menilai dan mengelola risiko penipuan dalam organisasi mereka dan orang-orang dari klien
mereka. Secara umum, semua jawaban ‘‘ Tidak ’membutuhkan penyelidikan dan tindak lanjut,
yang hasilnya harus didokumentasikan. Di mana ada dokumentasi tambahan seperti itu, tujuan
kolom ‘‘ Ref ’adalah untuk referensi silang daftar periksa ke sumber yang sesuai. Daftar periksa
ini hanya untuk penggunaan umum. Meskipun penggunaan daftar periksa membantu memastikan
faktor-faktor yang memadai dipertimbangkan, penggunaan daftar periksa tidak menjamin
pencegahan atau deteksi penipuan dan daftar periksa tidak dimaksudkan sebagai pengganti audit
atau prosedur serupa. Jika pencegahan kecurangan adalah masalah yang sangat vital atau jika
kecurigaan dicurigai, penilaian sistematis di luar daftar periksa harus dilakukan dan / atau saran
spesialis harus dicari.1

Daftar Periksa Skema Penipuan

Pendekatan lain untuk penilaian risiko adalah dengan menggunakan taksonomi yang sesuai dari
skema penipuan. Sebagai contoh, pohon penipuan ACFE dapat digunakan untuk menentukan
setidaknya daftar awal skema penipuan. Pendekatan ini dapat bekerja dengan sangat baik. Kolom
dari bentuk penilaian risiko ini meliputi (lihat Tampilan 5.3):

n Skema penipuan n Penilaian risiko bawaan untuk kecurangan dalam entitas atau proses bisnis
tertentu n Faktor kontrol internal dalam memitigasi risiko itu n 'Risiko residual' tersisa setelah
mitigasi kontrol internal yang ada terkait skema penipuan dalam entitas ini atau proses bisnis n
Proses bisnis, di mana skema tersebut mungkin terjadi, jika hal itu terjadi n Bendera, yang dapat
digunakan untuk mendeteksi skema ini

Entitas yang Berbeda untuk Dievaluasi

Jika suatu organisasi cukup besar, penilaian risiko tunggal mungkin tidak berguna seperti
penilaian risiko terpisah. Dalam hal ini, direkomendasikan bahwa penilaian dan tim yang
berbeda digunakan untuk setiap unit bisnis utama, masing-masing proses bisnis signifikan yang
melintasi unit bisnis, unit perusahaan (eksekutif,

PAMERAN 5.3. Daftar Periksa Risiko Skema Penipuan

dll.), dan entitas atau elemen lain apa pun yang diidentifikasi oleh pemimpin dan tim. Mungkin
saja perusahaan begitu besar sehingga lapisan yang berbeda mungkin diperlukan: misalnya, unit
bisnis digulung ke anak perusahaan, digulung ke perusahaan, di mana risiko yang lebih tinggi
terkait dengan spesifik untuk unit yang terkait dengan risiko tertentu. Cara yang berpotensi lebih
efektif, meskipun lebih menantang, untuk menilai risiko pada level tinggi dalam organisasi besar
adalah dengan akuntansi atau proses bisnis karena ini dapat lebih akurat mencerminkan risiko
penipuan yang ada dan lebih mudah dapat menyelaraskan dengan skema penipuan; misalnya,
manajemen kas, penggajian, produk manufaktur ‘‘ X, ’atau penelitian dan pengembangan.

Skema Penipuan

Ada berbagai cara untuk menentukan skema penipuan untuk dicantumkan di kolom pertama
Tampilan 5.3 (Skema Penipuan). Namun, seseorang harus mulai dengan beberapa taksonomi
yang sudah ada (lihat Bab 2) dan menambah atau menghapus dari daftar itu sesuai kebutuhan.
Kemudian, dengan menggunakan taksonomi lain, atau penilaian yang baik tentang skema
spesifik yang berisiko bagi industri atau entitas tertentu ini, seseorang harus membuat
penambahan atau penghapusan yang diperlukan. Di sini adalah nilai menggunakan brainstorming
— tim yang menggunakan kriteria bersama untuk memastikan bahwa skema penting tidak
dilewatkan dan bahwa skema yang tidak relevan tidak dipertimbangkan (setidaknya untuk entitas
tertentu skema penipuan tertentu mungkin tidak relevan).

Tindakan dan Hubungan

Mengukur risiko negatif yang sebenarnya adalah sulit diterima. Beberapa orang harus digunakan
sebagai konsekuensi wajar terhadap dampak kerugian potensial dari penipuan yang mungkin
terjadi. Apa pengukuran yang relevan, andal, dan representatif untuk mengukur kebutuhan?
Tekad seperti itu harus dibuat dan disetujui oleh tim sesuai dengan kriteria bersama yang
direncanakan. Pekerjaan kritis dan sulit mengukur risiko sekali lagi merupakan bukti pentingnya
memilih tim yang terdiversifikasi dan mencakup organisasi yang mampu membuat keputusan
logis selama proses penilaian risiko.

Risiko yang melekat

Tim harus menentukan risiko bawaan untuk skema penipuan ini untuk entitas atau proses bisnis
ini. Penilaian dapat berupa probabilitas (1 hingga 100 persen) atau risiko rendah, sedang, atau
tinggi. Sejumlah faktor dapat dipertimbangkan di sini, beberapa di antaranya adalah industri,
strategi, volatilitas pasar, dan struktur organisasi.

Penilaian Kontrol

Auditor dan orang-orang penting lainnya dalam tim harus menentukan kontrol apa yang ada
untuk mengurangi skema penipuan tertentu. Penilaian akan, tentu saja, cocok dengan metode
penilaian risiko yang melekat (persentase atau tingkat). Seseorang harus yakin untuk
mempertimbangkan bahwa orang-orang di posisi-posisi kunci dapat mengevaluasi kelemahan
dalam pengendalian dan risiko internal; tetapi orang-orang yang sama berpotensi untuk
melakukan penipuan di area yang diberikan.

Risiko Sisa

Fungsi matematika sederhana untuk mengurangi tingkat mitigasi kontrol dari risiko yang
melekat akan meninggalkan risiko residual. Sekali lagi, itu akan mengambil bentuk apa pun yang
dipilih untuk risiko yang melekat. Risiko residual pasti akan memerlukan satu dari dua
tanggapan: tidak ada tindakan, karena risiko yang tersisa diterima, atau tindakan untuk
mengurangi atau memulihkan melalui prosedur pencegahan atau deteksi tambahan (bahkan
berpotensi termasuk pembelian asuransi). Respons yang diambil harus didokumentasikan dan
dilacak dari waktu ke waktu, sebagian untuk menentukan kemampuan entitas dalam mengukur
dan mengelola risiko.

Proses bisnis

Kolom ini adalah kolom notasi untuk mengidentifikasi proses bisnis mana (mis., Penerimaan
kas, daftar gaji, dll.) Yang terlibat dengan skema ini. Pemilik proses bisnis harus
didokumentasikan sebagai pihak yang bertanggung jawab untuk area tersebut dan, jika berlaku,
untuk menanggapi risiko residual yang tidak dapat diterima. Mempertimbangkan jumlah agregat
dan peringkat risiko semua skema oleh proses bisnis juga dapat menjelaskan risiko penipuan.

Bendera merah

Di sini tim akan mengidentifikasi bendera merah yang dapat dikaitkan dengan skema.
Dokumentasi ini adalah titik awal untuk prosedur pencegahan atau deteksi penipuan. Bendera
merah tersedia dari berbagai sumber literatur. Mereka termasuk:

n standar ISACA 030.020.010 (SISAS 8), Pertimbangan Audit untuk Penyimpangan n AICPA
SAS No. 99, Pertimbangan Penipuan dalam Audit Laporan Keuangan2 n Standar PCAOB No. 5
dan No. 2

n Penipuan dan Penyalahgunaan Pekerjaan3 n Kebijakan perusahaan, prosedur, dan kontrol

internal n Kasus penipuan aktual, terutama entitas

RINGKASAN

Penilaian risiko adalah titik awal yang kritis untuk audit secara umum. Dalam bab ini, penilaian
risiko digunakan sebagai alat untuk program anti-penipuan entitas, di mana entitas tersebut
berusaha meminimalkan risiko penipuannya. Dengan demikian, langkah ini tidak terjadi selama
proses audit penipuan. Sebaliknya, itu adalah alat untuk mengidentifikasi risiko dan mengatasi
yang paling penting. Disarankan bahwa setiap bisnis, terutama yang diperdagangkan secara
publik, melalui latihan ini secara teratur, dan bahwa auditor penipuan mempertimbangkan
konsep-konsep ini dan kemampuan manajemen risiko manajemen dalam rangka pencegahan,
deteksi, dan investigasi penipuan.