Bab V Penilaian Risiko Fraud
Bab V Penilaian Risiko Fraud
Oleh
Raihan Ramadhani
1901203010001
2019
A. PENDAHULUAN
Pada tahun 2002 Sarbanes-Oxley Act (SOX) mempelajari dan melakukan kebijakan
terkait maraknya fraud yang dilakukan perusahaan-perusahaan besar, seperti Enron.
Securities and Exchange Commission (SEC) accounting arm the Public Companies
Accounting Oversight Board (PCAOB) juga telah mengeluarkan panduan tentang topik
ini. Komite Organisasi Sponsoring (COSO) juga telah melakukan upaya yang signifikan
di bidang penilaian risiko, memproduksi COSO Model untuk penilaian risiko perusahaan.
Meskipun demikian, statistik fraud (seperti disampaikan dalam Bab 2) menunjukkan
konsistensi relatif dalam jumlah keseluruhan diperkirakan fraud dan peningkatan jumlah
kerugian dari penipuan benar-benar ditemukan.
Gagasan penilaian risiko telah menjadi bagian dari literatur teknis untuk audit,
menunjukkan atau langsung mengharuskan penilaian risiko menggabungkan audit.
Standar dalam beberapa tahun terakhir mencerminkan peningkatan cakupan di risiko.
Bagi perusahaan publik, PCAOB Auditing Standards No. 5 (AS5) ini, Audit
Pengendalian Internal atas Pelaporan Keuangan yang terintegrasi dengan Audit Laporan
Keuangan (diadopsi pada tahun 2007), dibangun di atas standar PCAOB sebelumnya
sudah ada No 2 (AS2 ) terutama dengan memperluas peran penilaian risiko. AS2
ditujukan penilaian risiko dari perspektif manajemen dan auditor, dan termasuk cakupan
risiko di berbagai tingkatan (transaksional, akun, dll). AS5 memperdalam konsep AS2
dan menekankan pentingnya top-down, pendekatan berbasis risiko untuk audit
pengendalian internal, dan pentingnya memahami lingkungan entitas (ukuran, industri,
dll). Secara garis besar, standar PCAOB diresapi dengan bahasa, isi, dan saran mengenai
penilaian risiko.
The American Institute of Certified Public Accountants (AICPA) mengadopsi '' Risk
Suite '' standar, Pernyataan Standar Auditing (SAS) Nos. 104-111 tahun 2006. Secara
garis besar, risk suite ditujukan untuk penilaian risiko dalam konteks audit laporan
keuangan dan pengendalian internal. Seperti AS5, risk suite termasuk penekanan pada
holistik, top-down, pendekatan audit berbasis risiko termasuk pengetahuan mendalam
tentang lingkungan entitas dan pengendalian internal. Lebih spesifik untuk fraud, AICPA
SAS No. 99, Pertimbangan fraud dalam Audit Laporan Keuangan, memberikan panduan
bagi auditor keuangan, termasuk curah pendapat selama fase perencanaan, dan pengakuan
paksa potensial fraud tertentu, terutama manipulasi pendapatan.
Faktor yang dapat dipertimbangkan pada berbagai tingkatan, termasuk entitas, orang
(perilaku), divisi, geografi, produk atau jasa, proses akuntansi atau bisnis, kontrol, atau
sistem komputerisasi. Biasanya, faktor yang dianggap pertama di tingkat entitas, sebagai
probabilitas penipuan, pencurian, atau penggelapan dalam lingkungan kerja merupakan
produk dari kepribadian eksekutif dan karyawan, kondisi kerja, efektivitas pengendalian
internal, dan tingkat kejujuran di dalamnya (budaya organisasi atau lingkungan)
Jika entitas tidak melakukan penilaian risiko formal, tidak dapat secara efektif
mempertahankan diri dari risiko-risiko tersebut, atau mengurangi risiko-risiko untuk
alasan yang jelas. Dalam rangka mengembangkan penilaian risiko yang efektif,
manajemen harus melakukan dengan teliti, pendekatan formal daripada pendekatan ad
hoc. Pendekatan yang mencakup orang-orang dan proses.
1. Leader (s)
Proses penilaian risiko harus mencakup orang atau kelompok yang tepat, dan
idealnya harus mencakup sebuah tim. Untuk manajemen organisasi, orang yang tepat
biasanya, seseorang yang memiliki independensi yang cukup, seperti seseorang dari
fungsi audit internal, jika ada, dan memiliki kemampuan untuk secara efektif
mendukung manajemen risiko. Seseorang yang berpengalaman memiliki nilai
tersendiri dan terbukti efektif dalam mengukur resiko yang terlibat dengan fungsi
penilaian risiko yang tidak dapat dilebih-lebihkan. Baik bisa dukungan entitas komite
audit atau dewan direksi.
2. Team
Tim harus dipilih dengan hati-hati. Meskipun harus mulai dengan pakar
internal dan / atau konsultan, itu harus menyertakan cross section yang luas dari
entitas tersebut. Cross section harus melibatkan berbagai tingkat entitas, terutama
tingkat manajemen. Tim harus mewakili semua unit bisnis utama (terutama akuntansi
dan penjualan karena kebanyakan penipuan terjadi di sana), proses bisnis, posisi
kunci, dan perspektif yang diperlukan untuk memberikan penilaian risiko kualitas.
Orang-orang yang berpikir kreatif, alasan logis, memahami bisnis dan industri dengan
baik, dan secara efektif dapat memainkan advokasi orang yang penih tipu daya
sebaiknya dicari, terlepas dari posisi mereka.
4. Inherent Risk
Tim harus menentukan risiko apa yang melekat untuk skema penipuan ini
untuk entitas atau proses bisnis ini. Penilaian bisa menjadi probabilitas (1 sampai 100
persen) atau hanya rendah, sedang, atau berisiko tinggi. Sejumlah faktor dapat
dipertimbangkan di sini, beberapa di antaranya adalah industri, strategi, volatilitas
pasar, dan struktur organisasi.
5. Controls Assessment
Auditor dan orang penting lainnya dalam tim harus menentukan kontrol apa
pada tempat tertentu untuk mengurangi skema penipuan itu. Penilaian akan tentu saja
sesuai dengan metode untuk menilai risiko yang melekat (persentase atau tingkat).
Salah satu harus yakin untuk mempertimbangkan bahwa orang-orang di posisi penting
terbaik dapat mengevaluasi kelemahan pengendalian internal dan risiko, tetapi orang-
orang yang sama yang berpotensi orang-orang untuk melakukan penipuan di bidang
tertentu.
6. Residual Risk
Sebuah fungsi matematika sederhana mengurangi tingkat mitigasi kontrol dari
risiko yang melekat akan meninggalkan risiko residual. Sekali lagi, itu akan
mengambil bentuk apa pun yang dipilih untuk risiko yang melekat. Risiko residual
pasti akan memerlukan salah satu dari dua tanggapan: tidak ada tindakan, karena
risiko yang tersisa diterima, atau tindakan untuk mengurangi atau memulihkan
melalui tambahan pencegahan atau prosedur deteksi (bahkan berpotensi termasuk
pembelian asuransi). Tanggapan yang diambil harus didokumentasikan dan dilacak
dari waktu ke waktu, sebagian untuk menentukan kemampuan entitas untuk
mengukur dan mengelola risiko.
7. Business Processes
Kolom ini adalah kolom notasi untuk mengidentifikasi proses bisnis (yaitu,
penerimaan kas, penggajian, dll) yang terlibat dengan skema ini. Pemilik proses bisnis
harus didokumentasikan sebagai pihak yang bertanggung jawab untuk area dan, jika
berlaku, untuk menanggapi risiko residual yang tidak dapat diterima. Mengingat
agregat jumlah dan peringkat risiko dari semua skema oleh proses bisnis juga dapat
menjelaskan risiko penipuan.
8. Red Flag
Disini tim akan mengidentifikasi bendera merah yang bisa dikaitkan dengan
skema. Dokumentasi ini adalah titik awal untuk prosedur pencegahan fraud atau
deteksi. Bendera merah yang tersedia dari berbagai sumber literatur.