Nama Anggota :

1. Nabila Permatasari (NIM. 180422623090)

2. Nanda Ratna Agustina (NIM. 180422623082)
Offering HH
SUMMARY
Risk of Fraud and Illegal Acts

Menurut IIA, Penipuan (Fraud) merupakan tindakan ilegal yang ditandai dengan
penipuan, penyembunyian, atau pelanggaran kepercayaan. Penipuan dilakukan oleh para
pihak dan organisasi untuk mendapatkan uang, properti, atau layanan; untuk menghindari
pembayaran atau kehilangan layanan; atau untuk mengamankan keuntungan pribadi atau
bisnis.

Prinsip Kunci untuk Mengelola Risiko Penipuan

Panduan COSO menguraikan lima prinsip inti untuk organisasi dalam mengelola
risiko, diantaranya yang pertama adalah prinsip tata kelola risiko penipuan. Penting bagi
organisasi untuk mengembangkan struktur tata kelola yang kuat untuk mengawasi
manajemen risiko dan kegiatan lain yang ada untuk membantu memastikan pencapaian
tujuan bisnis. Kedua, prinsip penilaian risiko penipuan. Program manajemen risiko
kecurangan tidak akan berhasil tanpa manajemen terlebih dahulu memahami risiko
kecurangan yang melekat yang dihadapi organisasi. Langkah-langkah dalam penilaian risiko
penipuan serupa dengan yang dijelaskan untuk penilaian risiko perusahaan.

Ketiga, prinsip aktivitas control penipuan. Program manajemen risiko penipuan harus
memiliki keseimbangan yang tepat antara kontrol pencegahan dan deteksi. Kontrol
pencegahan dapat mencakup kebijakan, prosedur, pelatihan, dan komunikasi, yang semuanya
dirancang untuk mencegah terjadinya penipuan. Keempat, prinsip investigasi penipuan dan
tindakan korektif. Aktivitas kontrol hanya dapat diharapkan untuk memberikan jaminan yang
masuk akal terhadap penipuan. Kelima, prinsip kegiatan pemantauan manajemen risiko fraud.
Organisasi menggunakan kegiatan pemantauan manajemen risiko penipuan untuk
memastikan bahwa masing-masing dari lima prinsip manajemen risiko penipuan hadir dan
berfungsi sebagaimana dirancang dan bahwa organisasi mengidentifikasi perubahan yang
diperlukan secara tepat waktu.

PENILAIAN RISIKO PENIPUAN

Proses melakukan penilaian risiko penipuan mirip dengan melakukan penilaian risiko
perusahaan. Tiga langkah utama adalah:

1. Identifikasi risiko penipuan

Cara yang efektif untuk mengidentifikasi daftar skenario risiko penipuan yang paling
komprehensif adalah melalui brainstorming. Brainstorming dapat membantu organisasi
mengidentifikasi dan mendiskusikan beragam skenario potensial yang mungkin ada. Salah
satu tantangan ketika melakukan brainstorming risiko kecurangan adalah untuk memastikan
bahwa diskusi tidak terbatas pada skenario yang dilakukan oleh seorang individu.

2. Menilai dampak dan kemungkinan risiko yang diidentifikasi

Konsep penilaian risiko yang diuraikan sebelumnya berlaku untuk penilaian risiko penipuan
juga. Berikut ini adalah poin kunci yang harus dipertimbangkan ketika menilai risiko
penipuan.

 Impact = Tingkat keparahan hasil yang disebabkan oleh peristiwa risiko. Dapat
diukur dalam keuangan, reputasi, hukum, atau jenis hasil lainnya
 Likelihood = Probabilitas bahwa peristiwa risiko akan terjadi. Penilaian tentang
probabilitas atau frekuensi skenario penipuan sebagian dipengaruhi oleh pengalaman
masa lalu

3. Kembangkan respons terhadap risiko-risiko yang memiliki dampak cukup

tinggi dan kemungkinan untuk menghasilkan hasil potensial di luar toleransi
manajemen

Respons risiko = Suatu tindakan, atau serangkaian tindakan, yang diambil oleh manajemen
untuk mencapai strategi manajemen risiko yang diinginkan. Respons risiko dapat
dikategorikan sebagai penghindaran risiko, pengurangan, pembagian, atau penerimaan.

Pencegahan Penipuan

 Panduan Penipuan menyatakan, “Salah satu kunci pencegahan adalah membuat

personel di seluruh organisasi sadar akan program manajemen risiko penipuan,
termasuk jenis penipuan dan pelanggaran yang mungkin terjadi
 Panduan Fraud menguraikan elemen-elemen umum yang dapat memainkan peran
penting dalam mencegah penipuan, diantaranya yaitu:

1. Melakukan investigasi latar belakang

2. Memberikan pelatihan anti-penipuan
3. Mengevaluasi kinerja dan program kompensasi
4. Melakukan wawancara keluar
5. Pembatasan otoritas
6. Prosedur tingkat transaksi
 CONTOH KASUS

Firma Kredit Equifax Diretas, Data 143 Juta Warga AS Terekspos

Inti Kasus
Perusahaan pengawas kredit Equifax mengumumkan bahwa jaringan sistem komputer
di firmanya diretas. Peretasan ini menimbulkan bocornya data atas nama konsumen, nomor
jaminan sosial, tanggal lahir, alamat, nomor SIM, serta nomor kartu kredit untuk 209.000
konsumen AS. Informasi sensitif semacam itu bisa cukup bagi penjahat untuk membajak
identitas orang, berpotensi menimbulkan malapetaka pada kehidupan para korban. Semenjak
pemberitahuan publik tentang peretasan ini, saham perusahaan pengawas kredit Equifax pun
jatuh.
Analisis dari sudut pandang Auditor Internal
Kasus cyber crime yang terjadi pada Equifax merupakan fraud jenis data breaches,
dimana data yang dihasilkan dari aktivitas hacking digunakan oleh pihak yang tidak
berkepentingan. Kasus ini menunjukkan bahwa masih lemahnya tingkat pengendalian
internal atas fraud oleh perusahaan.
Dalam kasus cyber crime seluruh anggota karyawan dalam perusahaan berperan
penting, salah satunya auditor internal. Dalam kasus ini, auditor internal berperan penting.
Auditor internal bertanggung jawab untuk melakukan pencegahan hinga pendeteksian atas
fraud.
Standar IIA memberikan panduan khusus untuk auditor internal, seperti contoh berikut:

 Standar 1210.A2 – Auditor internal harus memiliki pengetahuan yang memadai

untuk mengevaluasi risiko kecurangan dan cara pengelolaannya oleh organisasi, tetapi
tidak diharapkan memiliki keahlian dari seseorang yang tanggung jawab utamanya
mendeteksi dan menyelidiki kecurangan.
 Standar 1220.A1 – Auditor internal harus menjalankan perawatan profesional
karena dengan mempertimbangkan … kemungkinan kesalahan signifikan, penipuan,
atau ketidakpatuhan …
 Standar 2060 – Kepala eksekutif audit harus melaporkan secara berkala kepada
manajemen senior dan dewan tentang … risiko penipuan …
 Standar 2120.A2 – [fungsi] audit internal harus mengevaluasi potensi terjadinya
kecurangan dan bagaimana organisasi mengelola risiko kecurangan.

Dalam hal ini, auditor harus memiliki pengetahuan yang cukup untuk mengatasi
kasus yang terjadi tanpa harus menanganinya, karena yang bertanggung jawab adalah
pihak IT.

Langkah yang diambil oleh Audit Internal

1. Bekerja sama dengan manajemen dan dewan direksi untuk mengembangkan strategi
dan kebijakan cyber security.
 2. Mengidentifikasi peluang untuk memperbaiki kemampuan organisasi untuk
mengidentifikasi, menilai dan mengurangi risiko cyber security ke tingkat yang dapat
diterima.
3. Mengakui bahwa risiko cyber security tidak hanya bersifat eksternal; Menilai dan
mengurangi ancaman potensial yang dapat timbul dari tindakan karyawan atau mitra
bisnis.
4. Memperluas hubungan dengan komite audit dan dewan untuk meningkatkan
kesadaran dan pengetahuan tentang cyber security, dan memastikan bahwa dewan
direksi tetap terlibat dalam masalah cyber security dan mengetahui perubahan sifat
risiko cyber security.
5. Pastikan risiko cyber security terintegrasi secara formal ke dalam rencana audit.
6. Kembangkan pemahaman tentang bagaimana teknologi dan tren yang muncul dapat
mempengaruhi perusahaan dan profil risiko cyber security.
7. Mengevaluasi program cyber security organisasi terhadap Cybersecurity NIST
framework, dengan menyadari bahwa framework tidak mencapai tingkat kontrol,
program cyber security mungkin memerlukan evaluasi tambahan terhadap ISO 27001
dan 27002.
8. Carilah kesempatan untuk mengkomunikasikan kepada manajemen bahwa,
sehubungan dengan cyber security, kemampuan untuk melakukan pencegahan
memerlukan integrasi keamanan antar sumber daya manusia dan teknologi.
9. Tekankan bahwa kontrol cyber security dan cyber incident response harus menjadi
prioritas manajemen puncak; Sebuah protokol eskalasi yang jelas dapat membantu
membuat kasus ini – mempertahankan – dan membuat prioritas ini.
10. Mengkaji setiap staf IT/audit dan kekurangan sumber daya serta kurangnya
teknologi / alat pendukung, yang dapat menghambat upaya pengelolaan risiko cyber
security.

Daftar Referensi

https://itgid.org/apa-saja-peran-audit-internal-dalam-cyber-security/
https://www.liputan6.com/global/read/3086903/firma-kredit-equifax-diretas-data-143-juta-
warga-as-terekspos s