Nama : Vini Cahya Fitriani

NIM : 042011333131
Kelas : Audit Forensik (M)

RMK Audit Forensik TM 11

(Fraud Risk Assessment)
A. Overview
1. What Is Fraud Risk?
Tiga elemen yang saling terkait yang memungkinkan seseorang melakukan penipuan:
kebutuhan keuangan yang tidak dapat dibagikan yang mendorong seseorang untuk
melakukan penipuan, peluang yang memungkinkan dia untuk melakukan penipuan, dan
kemampuan untuk merasionalisasi perilaku penipuan. Kerentanan yang dimiliki
organisasi terhadap mereka yang mampu mengatasi ketiganya elemen adalah risiko
penipuan. Risiko penipuan dapat berasal dari sumber baik internal maupun eksternal
organisasi dan merupakan salah satu dari sekian banyak jenis risiko yang harus dikelola
oleh suatu organisasi. Risiko yang ada sebelum tindakan manajemen digambarkan
sebagai risiko bawaan. Risiko yang tersisa setelah tindakan manajemen digambarkan
sebagai risiko residual.
2. Why Should an Organization Be Concerned about Fraud Risk?
Pemangku kepentingan organisasi mengharapkan pengurus mereka untuk bijaksana
dan berhati-hati dalam melindungi bisnis. Namun, meskipun cerita penipu mendapat
banyak perhatian publik, banyak organisasi masih mengalami kesulitan menghadapi
kenyataan kerentanan mereka terhadap penipuan.
3. Factors That Influence Fraud Risk
a. The Nature of the Business
Jenis risiko yang dihadapi organisasi berhubungan langsung dengan sifat bisnis
yang dijalankannya. Misalnya, risiko penipuan inheren yang dihadapi oleh
rumah sakit dan praktik medis sangat berbeda dengan yang dihadapi oleh bank
dan lembaga keuangan, perusahaan konstruksi, lembaga pendidikan, atau
organisasi ritel.
b. The Operating Environment
Lingkungan di mana organisasi beroperasi berdampak langsung pada
kerentanannya terhadap penipuan. Bisnis lokal memiliki profil risiko yang
berbeda dengan bisnis yang beroperasi di arena internasional.
c. The Effectiveness of Its Internal Controls
Sistem kontrol internal yang baik, dengan keseimbangan yang tepat antara
kontrol preventif dan detektif, dapat sangat mengurangi kerentanan organisasi
terhadap kecurangan.
d. The Ethics and Values of the Company and its Employees
Organisasi yang jelas dan konsisten tentang etika, nilai, dan ekspektasinya akan
mengurangi kemampuan calon penipu untuk merasionalisasi tindakan
kecurangannya.
B. What is a Fraud Risk Assessment?
Penilaian risiko penipuan atau fraud risk assessment adalah proses yang ditujukan untuk
secara proaktif mengidentifikasi dan mengatasi kerentanan organisasi terhadap penipuan
internal dan eksternal. Penilaian risiko penipuan dimulai dengan identifikasi dan prioritas
risiko penipuan yang ada dalam bisnis.
 ▪ What Is the Objective of a Fraud Risk Assessment?
Tujuan penilaian risiko penipuan adalah untuk membantu organisasi mengenali apa
yang membuatnya paling rentan terhadap penipuan. Melalui penilaian risiko penipuan,
organisasi dapat mengidentifikasi dimana penipuan paling mungkin terjadi,
memungkinkan langkah-langkah proaktif dipertimbangkan dan diterapkan untuk
mengurangi kemungkinan hal itu bisa terjadi. Alasan strategis yang digunakan dalam
melakukan penilaian risiko penipuan memerlukan pola pikir skeptis dan melibatkan
pertanyaan-pertanyaan seperti:
a. Bagaimana pelaku penipuan mengeksploitasi kelemahan dalam sistem kontrol?
b. Bagaimana pelaku dapat mengesampingkan atau mengelak dari kontrol?
c. Apa yang dapat dilakukan pelaku untuk menyembunyikan penipuan?

C. Why Should Organizations Conduct Fraud Risk Assessment?

Setiap organisasi harus melakukan penilaian risiko penipuan dan membangun prosedur
untuk menjaga agar proses penilaian tetap terkini dan relevan. Praktek ini bukan hanya tata
kelola perusahaan yang baik, tetapi juga masuk akal bagi bisnis.
1. Improve Communication and Awareness about Fraud
Penilaian risiko penipuan dapat menjadi sarana yang bagus bagi organisasi untuk
membuka komunikasi dan meningkatkan kesadaran tentang penipuan. Saat karyawan
terlibat dalam diskusi terbuka tentang penipuan, percakapan itu sendiri dapat berperan
dalam mengurangi kerentanan penipuan. Komunikasi terbuka dan kesadaran tentang
penipuan juga dapat menghalangi calon penipu dengan mengurangi kemampuannya
untuk merasionalisasi perilaku buruk dan meningkatkan persepsinya bahwa seseorang
mungkin mengetahui tindakannya dan melaporkannya.
2. Identify What Activities Are the Most Vulnerable to Fraud
Manajemen harus tahu di mana perusahaan paling rentan terhadap penipuan untuk
mencegahnya. Penilaian risiko penipuan membantu memandu organisasi untuk fokus
pada aktivitas yang menempatkan perusahaan pada risiko terbesar.
3. Know Who Puts the Organization at the Greatest Risk
Tindakan individu tertentu dapat secara signifikan meningkatkan kerentanan
perusahaan terhadap penipuan. Risiko dapat didorong oleh cara seseorang membuat
keputusan, berperilaku, atau memperlakukan orang lain di dalam dan di luar organisasi.
Penilaian risiko penipuan dapat membantu mengetahui orang-orang tersebut dan
aktivitas mereka yang dapat meningkatkan risiko penipuan perusahaan secara
keseluruhan.
4. Develop Plans to Mitigate Fraud Risk
Jika manajemen mengetahui di mana risiko penipuan terbesar, ia dapat membuat
rencana untuk mengurangi atau memitigasi risiko tersebut. Hasil dari penilaian risiko
kecurangan dapat digunakan untuk memperoleh keselarasan di antara berbagai
pemangku kepentingan dan untuk mendorong tindakan pencegahan.
5. Develop Techniques to Determine Whether Fraud Has Occurred in High-Risk
Areas
Menilai suatu area memiliki risiko penipuan yang tinggi tidak secara meyakinkan
berarti bahwa penipuan terjadi di sana. Penilaian risiko penipuan berguna dalam
mengidentifikasi area yang harus diselidiki secara proaktif untuk bukti penipuan.
6. Assess Internal Controls
 Banyak organisasi sangat bergantung pada sistem pengendalian internal mereka untuk
mencegah dan mendeteksi penipuan. Melakukan penilaian risiko kecurangan
memberikan kesempatan kepada manajemen untuk meninjau efektivitas sistem
pengendalian internal perusahaan, dengan mempertimbangkan pertimbangan berikut:
a. Kontrol yang mungkin telah dihilangkan karena upaya restrukturisasi
(misalnya, penghapusan pemisahan tugas karena perampingan).
b. Kontrol yang mungkin terkikis dari waktu ke waktu karena rekayasa ulang
proses bisnis.
c. Peluang baru untuk kolusi.
d. Kurangnya kontrol internal di area yang rentan.
e. Non-kinerja prosedur kontrol.
f. Keterbatasan inheren dari pengendalian internal, termasuk peluang bagi mereka
yang bertanggung jawab atas pengendalian untuk melakukan dan
menyembunyikan kecurangan (misalnya, melalui manajemen dan penggantian
sistem).
7. Comply with Regulations and Professional Standards
Penilaian risiko kecurangan dapat membantu manajemen dan auditor (internal dan
eksternal) dalam memenuhi persyaratan peraturan dan mematuhi standar profesional
yang berkaitan dengan tanggung jawab mereka atas manajemen risiko kecurangan.
D. What Makes a Good Fraud Risk Assessment?
Penilaian risiko penipuan yang baik adalah yang sesuai dengan budaya organisasi,
disponsori dan didukung oleh orang yang tepat, mendorong setiap orang untuk
berpartisipasi secara terbuka, dan secara umum diterima di seluruh bisnis sebagai proses
yang penting dan berharga.
▪ Collaborative Effort of Management and Auditors
Baik manajemen maupun auditor memiliki tanggung jawab atas manajemen risiko
kecurangan. Meskipun demikian manajemen dan dauditor memiliki pengetahuan serta
perspektif yang berbeda tentang fraud risk yang dihadapi organisasi. Manajemen lebih
erat kaitannya dengan operasi bisnis sehari-hari, tanggung jawab untuk menilai risiko
bisnis dan menerapkan kontrol organisasi, kewenangan untuk menyesuaikan operasi,
pengaruh atas budaya organisasi dan suasana etis, dan kontrol atas sumber daya
organisasi (misalnya, orang dan sistem). Sebaliknya, auditor dilatih dalam identifikasi
dan penilaian risiko dan memiliki keahlian dalam mengevaluasi pengendalian internal,
yang sangat penting untuk proses penilaian risiko kecurangan. Konsekuensinya,
penilaian risiko kecurangan paling efektif ketika manajemen dan auditor berbagi
kepemilikan proses dan akuntabilitas untuk keberhasilannya.

▪ The Right Sponsor

Memiliki sponsor yang tepat sangat penting dalam memastikan keberhasilan dan
efektivitas fraud risk assessment. Sponsor harus cukup senior dalam organisasi untuk
mendapatkan rasa hormat dari karyawan dan mendapatkan kerja sama penuh dalam
prosesnya. Sponsor juga harus seseorang yang berkomitmen untuk mempelajari
kebenaran tentang di mana kerentanan penipuan perusahaan berada; orang ini dalam
menjalankan tugasnya haruslah mencari kebenaran bukan seseorang yang cenderung
rasionalisasi atau bahkan menyangkal. Dalam situasi yang ideal, sponsor adalah
seorang dewan direktur independen atau anggota komite audit; namun, seorang chief
executive officer atau pemimpin senior internal juga bisa menjadi seorang sponsor.
 Budaya organisasi memainkan peran kunci dalam mempengaruhi kerentanan entitas
terhadap kecurangan. Jika budaya perusahaan dibentuk oleh pemimpin yang kuat dan
mendominasi, memperoleh partisipasi jujur dari peserta mungkin sulit dilakukan
dengan pemimpin tersebut sebagai sponsor dari penilaian risiko penipuan.

Sponsor yang tepat adalah seseorang yang mau mendengar yang baik, yang buruk, dan
yang jelek. Misalnya, penilaian risiko penipuan mengungkapkan bahwa salah satu
risiko penipuan terbesar yang dihadapi organisasi adalah penyuapan/korupsi
berdasarkan hubungan erat antara salah satu pemimpin bisnis utama dan mitra bisnis
perusahaan. Agar penilaian risiko penipuan menjadi efektif, sponsor harus independen
dan terbuka dalam mengevaluasi situasi dan, yang paling penting, tepat dalam
menanggapi risiko yang teridentifikasi.

▪ Independence and Objectivity of the People Leading and Conducting the Work
fraud risk assessment yang baik dapat dilakukan secara efektif baik oleh orang-orang
di dalam organisasi maupun menggunakan sumber daya eksternal. Sangat penting
bahwa orang yang memimpin dan melakukan penilaian risiko penipuan tetap
independen dan objektif selama proses penilaian. Selain itu, mereka harus dianggap
independen dan objektif oleh orang lain

Mereka yang memimpin dan melakukan pekerjaan harus memperhatikan bias pribadi
yang mungkin mereka miliki mengenai organisasi dan orang-orang di dalamnya dan
harus mengambil langkah-langkah untuk mengurangi atau menghilangkan semua bias
yang dapat memengaruhi proses penilaian risiko penipuan. Misalnya, jika seorang
karyawan di tim penilai risiko penipuan memiliki pengalaman masa lalu yang buruk
dengan seseorang di departemen hutang dagang, dia mungkin membiarkan pengalaman
itu memengaruhi penilaiannya terhadap risiko penipuan yang terkait dengan area bisnis
tersebut. Untuk menghindari kemungkinan ini, orang lain harus melakukan pekerjaan
penilaian risiko penipuan yang terkait dengan aktivitas departemen hutang dagang

Netralitas budaya merupakan aspek penting dari independensi dan objektivitas saat
memimpin atau melakukan penilaian risiko penipuan. Beberapa organisasi memiliki
budaya perusahaan yang sangat kuat yang dapat memainkan peran besar dalam
mempengaruhi cara berpikir orang-orang di dalam organisasi tentang risiko penipuan

▪ A Good Working Knowledge of the Business

Individu yang memimpin dan melakukan fraud risk assessment harus memiliki
pengetahuan bisnis yang baik. Setiap organisasi itu unik; bahkan perusahaan yang
tampak serupa memiliki karakteristik yang membedakan mereka dan risiko penipuan
dari pesaing mereka. Beberapa dari perbedaan itu bisa terlihat jelas maupun sedikit
samar

Untuk memastikan pengetahuan bisnis yang baik, penilai risiko penipuan harus
mengetahui, apa yang dilakukan bisnis dan bagaimana operasinya. Dia juga harus
memiliki pemahaman tentang apa yang membuat organisasi serupa dan berbeda dari
perusahaan lain dalam lini bisnis terkait

Mendapatkan informasi tentang risiko penipuan industri yang luas dari sumber
eksternal dapat membantu. Sumber tersebut termasuk berita industri; pengaduan dan
penyelesaian pidana, perdata, dan peraturan; dan organisasi profesi, seperti Institute of
 Internal Auditors, American Institute of Certified Public Accountants, dan Association
of Certified Fraud Examiners.

▪ Access to People at All Levels of the Organization

Dalam sebuah organisasi, penting bahwa persepsi orang di semua tingkatan
dimasukkan dalam proses penilaian risiko penipuan.
Pemimpin bisnis atau fungsi sering memiliki perspektif yang sangat berbeda dari
bawahan mereka tentang bagaimana sesuatu dianggap atau dijalankan, tetapi ini tidak
berarti bahwa satu perspektif benar dan yang lain salah. Artinya adalah bahwa
ekspektasi dan persepsi dalam organisasi tidak selaras, yang dapat meningkatkan risiko
penipuan

Penilaian risiko yang dibuat atau dilakukan oleh manajemen dan auditor tanpa masukan
dari staf yang melakukan tugas operasional tidak akan efektif. Sangat penting untuk
melibatkan anggota dari semua tingkatan organisasi dalam proses penilaian risiko untuk
memastikan bahwa semua risiko yang relevan ditangani dan ditinjau dari berbagai
perspektif.

▪ Engendered Trust
Jika manajemen dan karyawan tidak mempercayai orang yang memimpin dan
melakukan fraud risk assessment, mereka tidak akan terbuka dan jujur tentang realitas
bisnis, budayanya, dan kerentanannya terhadap penipuan. Kepercayaan bukanlah
sesuatu yang dapat diberikan oleh otoritas; melainkan harus diperoleh melalui kata-kata
dan tindakan. Saat mereka melibatkan karyawan di seluruh bisnis, mereka yang
memimpin dan melakukan penilaian risiko penipuan harus dengan sengaja dan hati-hati
merencanakan kontak awal dengan upaya mengembangkan hubungan dan
mendapatkan kepercayaan

▪ The Ability to Think the Unthinkable

Bagian penting dalam melakukan penilaian risiko penipuan yang efektif melibatkan
pemikiran layaknya seorang penipu. fraud risk assessment yang baik harus
memungkinkan orang yang memimpin dan melakukan penilaian menjadi luas dalam
pertimbangan dan evaluasi risiko penipuan mereka

▪ A Plan to Keep It Alive and Relevant

fraud risk assessment tidak boleh hanya sekedar dilakukan dan dilaporkan kemudian
dilupakan atau bahkan ditinggalkan. Organisasi harus berusaha untuk menjaga agar
proses ini tetap hidup dan relevan melalui dialog yang berkelanjutan, pengelolaan
rencana tindakan yang aktif, dan pengembangan prosedur untuk memastikan bahwa
penilaian dipertahankan berdasarkan arus.

E. Considerations for Developing an Effective Fraud Risk Assessment

Penilaian risiko penipuan hanya efektif jika organisasi menerimanya dan menggunakan
hasilnya untuk memantau, mengubah, atau memengaruhi faktor-faktor yang menempatkan
perusahaan pada risiko penipuan. Untuk tujuan ini, beberapa hal harus dipertimbangkan
selama pengembangan penilaian risiko kecurangan.
1. Packaging It Right
 Setiap organisasi memiliki kosa kata sendiri dan metode komunikasi yang disukai.
Pengumuman dan pelaksanaan penilaian risiko penipuan, termasuk pelaporan hasil,
hanya akan efektif jika diselesaikan dalam bahasa bisnis.
2. One Size Does Not Fit All
Mengenali nuansa bisnis dan menyesuaikan pendekatan dan pelaksanaan untuk
organisasi tertentu berkontribusi pada keberhasilan penilaian risiko penipuan.
3. Keeping It Simple
Semakin rumit penilaian risiko penipuan, semakin sulit untuk melaksanakannya dan
menggunakannya untuk mendorong tindakan. Harus memfokuskan upaya dan waktu
untuk mengevaluasi area yang paling mungkin memiliki risiko kecurangan.
F. Preparing The Company for The Fraud Risk Assessment
Mempersiapkan perusahaan dengan benar untuk penilaian risiko penipuan sangat penting
untuk keberhasilan penilaian. Budaya organisasi harus memengaruhi pendekatan yang
digunakan dalam persiapan penilaian risiko kecurangan.
1. Assembling the Right Team to Lead and Conduct the Fraud Risk Assessment
Organisasi harus membangun tim penilaian risiko penipuan yang terdiri dari individu
dengan beragam pengetahuan, keterampilan, dan perspektif untuk memimpin dan
melakukan penilaian. Ukuran tim akan bergantung pada ukuran organisasi dan metode
yang digunakan untuk melakukan penilaian. Tim harus memiliki individu yang kredibel
dan yang memiliki pengalaman dalam mengumpulkan dan memunculkan informasi.
2. Determining the Best Techniques to Use in Conducting the Fraud Risk Assessment
Memilih metode atau kombinasi metode yang tepat secara budaya untuk organisasi
akan membantu memastikan keberhasilannya. Tim penilai juga harus
mempertimbangkan cara terbaik untuk mengumpulkan informasi jujur dari orang-orang
di seluruh tingkatan organisasi, dimulai dengan memahami teknik apa yang umum dan
efektif digunakan di seluruh organisasi.
a. Interviews
Wawancara dapat menjadi cara yang efektif untuk melakukan percakapan satu
lawan satu yang jujur, tetapi kegunaannya bergantung pada seberapa besar
keinginan orang-orang dalam organisasi untuk bersikap terbuka dan jujur dalam
dialog langsung dengan pewawancara. Asesor harus mempertimbangkan
apakah wawancara umum dan efektif digunakan dalam organisasi untuk
mengumpulkan dan memperoleh informasi.
b. Focus Groups
Grup fokus memungkinkan penilai untuk mengamati interaksi karyawan saat
mereka mendiskusikan pertanyaan atau masalah. Beberapa topik mungkin
cocok untuk didiskusikan dalam forum terbuka di mana orang merasa nyaman
di antara kolega mereka.
c. Surveys
Survei dapat bersifat anonim atau langsung dikaitkan dengan individu. Kadang-
kadang orang berbagi lebih terbuka ketika mereka merasa terlindungi di
belakang komputer atau lembar pertanyaan kertas. Dalam organisasi di mana
budayanya bukan budaya di mana orang terbuka dan berbicara dengan bebas,
survei anonim dapat menjadi cara yang efektif untuk mendapatkan umpan balik.
d. Anonymous Feedback Mechanisms
 Kotak saran anonim atau mekanisme serupa digunakan untuk mendorong dan
mengumpulkan umpan balik karyawan secara berkala. Penggunaan mekanisme
umpan balik anonim bisa efektif di lingkungan di mana orang cenderung tidak
terbuka dan jujur melalui metode dan teknik lain.
3. Obtaining the Sponsor’s Agreement on the Work to Be Performed
Sebelum prosedur penilaian risiko penipuan dimulai, sponsor dan tim penilai perlu
menyepakati:
a. Lingkup pekerjaan yang akan dilakukan.
b. Metode yang akan digunakan (misalnya, survei, wawancara, kelompok fokus,
atau anonim mekanisme umpan balik).
c. Individu yang akan berpartisipasi dalam metode yang dipilih.
d. Isi dari metode yang dipilih.
e. Bentuk output penilaian.

4. Educating the Organization and Openly Promoting the Process

Proses penilaian risiko penipuan harus terlihat dan dikomunikasikan ke seluruh bisnis.
Karyawan akan lebih cenderung untuk berpartisipasi dalam proses jika mereka
memahami tujuan dan hasil yang diharapkan. Sponsor harus sangat didorong untuk
mempromosikan proses secara terbuka. Semakin personal komunikasi dari sponsor,
semakin efektif dalam mendorong karyawan untuk berpartisipasi.
G. Executing The Fraud Risk Assessment
Penilaian risiko penipuan dapat dilakukan dengan berbagai cara. Untuk memastikan
keberhasilan penilaian, pendekatan harus terstruktur, rasional, dan disesuaikan dengan
organisasi.
1. Identifying Potential Inherent Fraud Risks
Salah satu langkah pertama dalam penilaian risiko penipuan melibatkan identifikasi
potensi risiko penipuan yang melekat pada organisasi. Tim penilaian risiko penipuan
harus bertukar pikiran untuk mengidentifikasi risiko penipuan yang dapat diterapkan
pada organisasi.
a. Incentives, Pressures, and Opportunities to Commit Fraud
b. Risk of Management’s Override of Controls
c. Population of Fraud Risks
d. Asset Misappropriations
e. Corruption
f. Regulatory and Legal Misconduct
g. Reputation Risk
h. Risk to Information Technology

2. Assessing the Likelihood of Occurrence of the Identified Fraud Risks

Menilai kemungkinan setiap potensi risiko penipuan adalah proses subyektif yang
memungkinkan organisasi mengelola risiko penipuannya dan menerapkan kontrol
pencegahan dan detektif secara rasional. Tim penilai risiko kecurangan pertama-tama
harus mempertimbangkan risiko kecurangan terhadap organisasi secara inheren, tanpa
mempertimbangkan pengendalian yang diketahui. Dengan mendekati penilaian dengan
cara ini, tim akan lebih mampu mempertimbangkan semua risiko penipuan yang
relevan dan kemudian mengevaluasi dan merancang kontrol untuk mengatasi risiko
 tersebut. Tim penilaian risiko penipuan harus mempertimbangkan faktor-faktor berikut
dalam menilai kemungkinan terjadinya setiap risiko penipuan:
a. Kasus penipuan tertentu di masa lalu di organisasi.
b. Prevalensi risiko penipuan di industri organisasi.
c. Lingkungan pengendalian internal organisasi.
d. Sumber daya yang tersedia untuk mengatasi penipuan.
e. Dukungan upaya pencegahan penipuan oleh manajemen.
f. Standar etika organisasi.
g. Jumlah transaksi individu yang terlibat.
h. Kompleksitas risiko penipuan.
i. Jumlah orang yang terlibat dalam meninjau atau menyetujui proses yang
relevan.
j. Kerugian yang tidak dapat dijelaskan.
k. Keluhan oleh pelanggan atau vendor.
l. Informasi dari survei penipuan.

3. Assessing the Significance to the Organization of the Fraud Risks

Tim penilai risiko kecurangan harus mempertimbangkan faktor kualitatif dan
kuantitatif saat menilai signifikansi risiko kecurangan yang teridentifikasi bagi
organisasi. Misalnya, risiko penipuan tertentu yang mungkin hanya menimbulkan
risiko keuangan langsung yang tidak material bagi organisasi tetapi dapat sangat
memengaruhi reputasinya akan dianggap sebagai risiko yang signifikan bagi organisasi.
Signifikansi setiap potensi kecurangan dapat diklasifikasikan sebagai tidak material,
signifikan, atau material. Dalam menilai signifikansi dari setiap risiko kecurangan, tim
penilai risiko kecurangan harus mempertimbangkan faktor-faktor berikut:
a. Laporan keuangan dan signifikansi moneter.
b. Kondisi keuangan organisasi.
c. Nilai aset yang terancam.
d. Kekritisan aset yang terancam bagi organisasi.
e. Pendapatan yang dihasilkan oleh aset yang terancam.
f. Signifikansi terhadap operasi organisasi, nilai merek, dan reputasi.
g. Tanggung jawab pidana, perdata, dan peraturan.

4. Evaluating Which People and Departments Are Most Likely to Commit Fraud
and Identifying the Methods They Are Likely to Use
Dalam mengidentifikasi potensi risiko kecurangan, tim penilai risiko akan
mengevaluasi insentif dan tekanan pada individu dan departemen untuk melakukan
kecurangan. Tim harus menggunakan informasi yang diperoleh dalam proses tersebut
untuk mengidentifikasi individu dan departemen yang paling mungkin melakukan
kecurangan dan metode yang mungkin mereka gunakan.
5. Identifying and Mapping Existing Preventive and Detective Controls to the
Relevant Fraud Risks
Setelah mengidentifikasi dan menilai risiko penipuan untuk kemungkinan terjadinya
dan untuk signifikansi, tim penilaian risiko penipuan harus mengidentifikasi dan
memetakan kontrol pencegahan dan detektif yang ada ke risiko penipuan yang relevan.
a. Preventive Controls, dimaksudkan untuk mencegah kecurangan sebelum
terjadi, meliputi:
 ● Membawa kesadaran kepada personel di seluruh organisasi tentang
risiko penipuan program manajemen yang ada.
● Melakukan pemeriksaan latar belakang karyawan (jika diizinkan oleh
undang undang).
● Mempekerjakan personel yang kompeten dan memberi mereka
pelatihan anti fraud.
● Melakukan wawancara keluar.
● Menerapkan kebijakan dan prosedur.
● Memisahkan tugas.
● Memastikan keselarasan yang tepat antara otoritas individu dan tingkat
jabatannya tanggung jawab.
● Meninjau transaksi pihak ketiga dan pihak terkait.
b. Detective Controls, dimaksudkan untuk mendeteksi penipuan jika memang
terjadi, meliputi:
● Menetapkan dan memasarkan keberadaan sistem pelaporan rahasia,
seperti hotline pelapor.
● Menerapkan kontrol proaktif untuk proses deteksi kecurangan, seperti
rekonsiliasi, tinjauan independen, pemeriksaan/penghitungan fisik,
analisis, dan audit.
● Menerapkan prosedur deteksi kecurangan secara proaktif, seperti
analisis data dan teknik audit berkelanjutan.
● Melakukan audit mendadak.

6. Evaluating Whether the Identified Controls Are Operating Effectively and

Efficiently
Tim penilai risiko kecurangan harus memastikan bahwa terdapat pengendalian yang
memadai, bahwa pengendalian tersebut mengurangi risiko kecurangan sebagaimana
dimaksud, dan bahwa manfaat pengendalian melebihi biayanya.
7. Identifying and Evaluating Residual Fraud Risks Resulting from Ineffective or
Nonexistent Controls
Pertimbangan atas struktur pengendalian internal dapat mengungkapkan risiko
kecurangan residual tertentu, termasuk pengesampingan manajemen atas pengendalian
yang telah ditetapkan yang belum dimitigasi secara memadai.
H. Addressing the Identified Fraud Risks
1. Establishing an Acceptable Level of Risk
Karena tidak praktis atau hemat biaya bagi organisasi untuk menghilangkan semua
risiko penipuan, manajemen harus menetapkan tingkat risiko penipuan yang dapat
diterima berdasarkan tujuan bisnis dan toleransi risiko organisasi. Dalam menanggapi
risiko penipuan yang teridentifikasi selama penilaian risiko penipuan, manajemen harus
menentukan bagaimana risiko penipuan mempengaruhi tujuan bisnis dan, dengan
menggunakan analisis biaya/manfaat, memutuskan di mana sumber daya terbaik untuk
pencegahan dan deteksi penipuan.
2. Ranking and Prioritizing Risks
Setelah risiko diidentifikasi, mereka perlu diprioritaskan. Ada dua kerangka kerja dasar
untuk memprioritaskan risiko yaitu:
a. Estimating Likely Cost of a Risk
b. Plotting Risks on a Heat Map
 3. Responding to Residual Fraud Risks
Terlepas dari kerangka kerja yang digunakan untuk melakukan penilaian risiko
kecurangan, manajemen perlu menangani risiko yang teridentifikasi untuk memastikan
bahwa organisasi berada dalam tingkat toleransi yang ditetapkan untuk risiko
kecurangan. Bahwa manajemen dapat menggunakan satu, atau kombinasi, dari
pendekatan berikut untuk menanggapi risiko penipuan sisa organisasi:
a. Avoid the Risk
b. Transfer the Risk
c. Mitigate the Risk
d. Assume the Risk
e. Combination Approach

I. Reporting The Result of The Fraud Risk Assessment

Keberhasilan proses penilaian risiko penipuan bergantung pada seberapa efektif hasil
dilaporkan dan apa yang kemudian dilakukan organisasi dengan hasil tersebut. Laporan
yang dikomunikasikan dengan buruk dapat merusak keseluruhan proses dan menghentikan
semua momentum yang sudah mapan. Laporan harus disampaikan dengan gaya yang
paling sesuai dengan bahasa bisnis.

▪ Considerations When Reporting the Assessment Results

Untuk memaksimalkan efektivitas proses penilaian risiko kecurangan, tim harus
mengingat beberapa poin penting saat mengembangkan laporan hasil.
a. Report Objective—Not Subjective—Results
Saat melaporkan hasil penilaian, tim harus berpegang pada fakta dan menjaga
semua opini dan bias dari laporan. Sebuah laporan yang dibumbui dengan
perspektif subyektif tim penilai akan melemahkan, dan berpotensi merusak,
hasil kerja.
b. Keep It Simple
Hasil penilaian harus dilaporkan dengan cara yang mudah dipahami dan selaras
dengan manajemen. Pembaca laporan harus dapat dengan cepat melihat dan
memahami hasilnya.
c. Focus on What Really Matters
Laporan tersebut harus disajikan dengan cara yang berfokus pada apa yang
benar-benar penting, dengan jelas menyoroti poin-poin yang paling penting dan
yang akan berdampak paling besar pada upaya manajemen risiko penipuan
organisasi.
d. Identify Actions That Are Clear and Measurable
Laporan harus menyertakan rekomendasi utama untuk tindakan yang jelas dan
dapat diukur dan yang akan mengurangi risiko penipuan.
J. Making An Impact With The Fraud Risk Assessment
Untuk memaksimalkan proses penilaian risiko kecurangan, manajemen tidak boleh melihat
laporan akhir sebagai akhir dari proses. Nilai sebenarnya dari penilaian risiko penipuan
terletak pada seberapa efektif dan ekstensif manajemen menggunakan hasilnya dalam
upaya anti penipuan yang sedang berlangsung.
1. Beginning a Dialogue across the Company
 Hasil penilaian risiko penipuan awal dapat digunakan untuk memulai dialog di seluruh
perusahaan yang mempromosikan kesadaran, pendidikan, dan perencanaan tindakan
yang ditujukan untuk mengurangi risiko penipuan.
2. Looking for Fraud in High-Risk Areas
Audit internal atau tim investigasi dalam organisasi dapat menggunakan hasil penilaian
risiko kecurangan untuk mengidentifikasi proses atau aktivitas berisiko tinggi dan
transaksi tidak biasa yang mungkin mengindikasikan kecurangan.
3. Holding Responsible Parties Accountable for Progress
Untuk secara efektif mengurangi risiko penipuan yang teridentifikasi, manajemen harus
meminta pertanggungjawaban karyawan untuk mendorong hasil.
4. Keeping the Assessment Alive and Relevant
Karena ada begitu banyak faktor yang dapat mempengaruhi kerentanan organisasi
terhadap risiko kecurangan, manajemen harus memastikan bahwa penilaian risiko
kecurangan tetap terkini dan relevan.
5. Monitor Key Controls
organisasi harus memiliki pandangan yang jelas tentang area dimana organisasi rentan
terhadap kecurangan dan kontrol yang dirancang dan diterapkan untuk mengatasi titik
lemah tersebut.
K. The Fraud Risk Assessment and The Audit Process
Penilaian risiko penipuan harus memainkan peran penting dalam menginformasikan dan
mempengaruhi proses audit. Selain digunakan dalam proses perencanaan audit tahunan,
penilaian risiko kecurangan harus mendorong pemikiran dan kesadaran dalam
pengembangan program audit untuk area yang telah diidentifikasi memiliki risiko
kecurangan sedang hingga tinggi. Dalam perjalanan pekerjaan mereka, auditor harus
memvalidasi bahwa organisasi secara tepat mengelola risiko penipuan sedang hingga tinggi
yang diidentifikasi dalam penilaian risiko penipuan dengan:
a. Mengidentifikasi dan memetakan pengendalian preventif dan detektif yang ada yang
berkaitan dengan risiko penipuan sedang hingga tinggi yang diidentifikasi dalam
penilaian risiko kecurangan.
b. Merancang dan melakukan pengujian untuk mengevaluasi apakah pengendalian yang
teridentifikasi beroperasi secara efektif dan efisien.
c. Mengidentifikasi dalam area risiko penipuan sedang hingga tinggi apakah terdapat
risiko sedang hingga tinggi atas pengabaian pengendalian internal oleh manajemen.
d. Mengembangkan dan menyampaikan laporan yang menyertakan hasil validasi dan
pengujian kontrol risiko penipuan.
▪ Fraud Risk Assessment Tool
Alat Penilaian Risiko Penipuan terdiri dari lima belas modul, masing-masing berisi
serangkaian pertanyaan yang dirancang untuk membantu organisasi berfokus pada area
risiko tertentu.