Menurut IIA, Penipuan (Fraud) merupakan tindakan ilegal yang ditandai dengan
penipuan, penyembunyian, atau pelanggaran kepercayaan. Penipuan dilakukan oleh para
pihak dan organisasi untuk mendapatkan uang, properti, atau layanan; untuk menghindari
pembayaran atau kehilangan layanan; atau untuk mengamankan keuntungan pribadi atau
bisnis.
Panduan COSO menguraikan lima prinsip inti untuk organisasi dalam mengelola
risiko, diantaranya yang pertama adalah prinsip tata kelola risiko penipuan. Penting bagi
organisasi untuk mengembangkan struktur tata kelola yang kuat untuk mengawasi
manajemen risiko dan kegiatan lain yang ada untuk membantu memastikan pencapaian
tujuan bisnis. Kedua, prinsip penilaian risiko penipuan. Program manajemen risiko
kecurangan tidak akan berhasil tanpa manajemen terlebih dahulu memahami risiko
kecurangan yang melekat yang dihadapi organisasi. Langkah-langkah dalam penilaian risiko
penipuan serupa dengan yang dijelaskan untuk penilaian risiko perusahaan.
Ketiga, prinsip aktivitas control penipuan. Program manajemen risiko penipuan harus
memiliki keseimbangan yang tepat antara kontrol pencegahan dan deteksi. Kontrol
pencegahan dapat mencakup kebijakan, prosedur, pelatihan, dan komunikasi, yang semuanya
dirancang untuk mencegah terjadinya penipuan. Keempat, prinsip investigasi penipuan dan
tindakan korektif. Aktivitas kontrol hanya dapat diharapkan untuk memberikan jaminan yang
masuk akal terhadap penipuan. Kelima, prinsip kegiatan pemantauan manajemen risiko fraud.
Organisasi menggunakan kegiatan pemantauan manajemen risiko penipuan untuk
memastikan bahwa masing-masing dari lima prinsip manajemen risiko penipuan hadir dan
berfungsi sebagaimana dirancang dan bahwa organisasi mengidentifikasi perubahan yang
diperlukan secara tepat waktu.
Konsep penilaian risiko yang diuraikan sebelumnya berlaku untuk penilaian risiko penipuan
juga. Berikut ini adalah poin kunci yang harus dipertimbangkan ketika menilai risiko
penipuan.
Impact = Tingkat keparahan hasil yang disebabkan oleh peristiwa risiko. Dapat
diukur dalam keuangan, reputasi, hukum, atau jenis hasil lainnya
Likelihood = Probabilitas bahwa peristiwa risiko akan terjadi. Penilaian tentang
probabilitas atau frekuensi skenario penipuan sebagian dipengaruhi oleh pengalaman
masa lalu
Respons risiko = Suatu tindakan, atau serangkaian tindakan, yang diambil oleh manajemen
untuk mencapai strategi manajemen risiko yang diinginkan. Respons risiko dapat
dikategorikan sebagai penghindaran risiko, pengurangan, pembagian, atau penerimaan.
Pencegahan Penipuan
Inti Kasus
Perusahaan pengawas kredit Equifax mengumumkan bahwa jaringan sistem komputer
di firmanya diretas. Peretasan ini menimbulkan bocornya data atas nama konsumen, nomor
jaminan sosial, tanggal lahir, alamat, nomor SIM, serta nomor kartu kredit untuk 209.000
konsumen AS. Informasi sensitif semacam itu bisa cukup bagi penjahat untuk membajak
identitas orang, berpotensi menimbulkan malapetaka pada kehidupan para korban. Semenjak
pemberitahuan publik tentang peretasan ini, saham perusahaan pengawas kredit Equifax pun
jatuh.
Analisis dari sudut pandang Auditor Internal
Kasus cyber crime yang terjadi pada Equifax merupakan fraud jenis data breaches,
dimana data yang dihasilkan dari aktivitas hacking digunakan oleh pihak yang tidak
berkepentingan. Kasus ini menunjukkan bahwa masih lemahnya tingkat pengendalian
internal atas fraud oleh perusahaan.
Dalam kasus cyber crime seluruh anggota karyawan dalam perusahaan berperan
penting, salah satunya auditor internal. Dalam kasus ini, auditor internal berperan penting.
Auditor internal bertanggung jawab untuk melakukan pencegahan hinga pendeteksian atas
fraud.
Standar IIA memberikan panduan khusus untuk auditor internal, seperti contoh berikut:
Dalam hal ini, auditor harus memiliki pengetahuan yang cukup untuk mengatasi
kasus yang terjadi tanpa harus menanganinya, karena yang bertanggung jawab adalah
pihak IT.
1. Bekerja sama dengan manajemen dan dewan direksi untuk mengembangkan strategi
dan kebijakan cyber security.
2. Mengidentifikasi peluang untuk memperbaiki kemampuan organisasi untuk
mengidentifikasi, menilai dan mengurangi risiko cyber security ke tingkat yang dapat
diterima.
3. Mengakui bahwa risiko cyber security tidak hanya bersifat eksternal; Menilai dan
mengurangi ancaman potensial yang dapat timbul dari tindakan karyawan atau mitra
bisnis.
4. Memperluas hubungan dengan komite audit dan dewan untuk meningkatkan
kesadaran dan pengetahuan tentang cyber security, dan memastikan bahwa dewan
direksi tetap terlibat dalam masalah cyber security dan mengetahui perubahan sifat
risiko cyber security.
5. Pastikan risiko cyber security terintegrasi secara formal ke dalam rencana audit.
6. Kembangkan pemahaman tentang bagaimana teknologi dan tren yang muncul dapat
mempengaruhi perusahaan dan profil risiko cyber security.
7. Mengevaluasi program cyber security organisasi terhadap Cybersecurity NIST
framework, dengan menyadari bahwa framework tidak mencapai tingkat kontrol,
program cyber security mungkin memerlukan evaluasi tambahan terhadap ISO 27001
dan 27002.
8. Carilah kesempatan untuk mengkomunikasikan kepada manajemen bahwa,
sehubungan dengan cyber security, kemampuan untuk melakukan pencegahan
memerlukan integrasi keamanan antar sumber daya manusia dan teknologi.
9. Tekankan bahwa kontrol cyber security dan cyber incident response harus menjadi
prioritas manajemen puncak; Sebuah protokol eskalasi yang jelas dapat membantu
membuat kasus ini – mempertahankan – dan membuat prioritas ini.
10. Mengkaji setiap staf IT/audit dan kekurangan sumber daya serta kurangnya
teknologi / alat pendukung, yang dapat menghambat upaya pengelolaan risiko cyber
security.
Daftar Referensi
https://itgid.org/apa-saja-peran-audit-internal-dalam-cyber-security/
https://www.liputan6.com/global/read/3086903/firma-kredit-equifax-diretas-data-143-juta-
warga-as-terekspos s