5

Subscribe to DeepL Pro to translate larger documents.

Visit www.DeepL.com/pro for more information.

CH A PTER
LIMA

Risiko
Penipuan
Penilaian

PENDAHULUAN

Sejak Enron dan kecurangan-kecurangan lain yang terjadi di waktu yang hampir
bersamaan, terdapat fokus yang signifikan terhadap kecurangan, pengendalian
internal, dan konsep manajemen risiko kecurangan termasuk penilaian risiko.
Pengesahan Sarbanes-Oxley Act (SOX) pada tahun 2002 memberikan perhatian
lebih besar pada kedua hal tersebut dan memasukkan prinsip-prinsip y a n g
terkait ke dalam hukum federal. Komisi Sekuritas dan Bursa Efek (SEC) dan
badan akuntansinya, Dewan Pengawas Akuntansi Perusahaan Publik (PCAOB),
telah menerbitkan panduan tentang topik ini. Committee on Sponsoring
Organizations (COSO) juga telah melakukan upaya yang signifikan di bidang
penilaian risiko, menghasilkan Model COSO untuk penilaian risiko perusahaan.
Meskipun demikian, statistik kecurangan (seperti yang disampaikan dalam Bab
2) menunjukkan konsistensi relatif dalam jumlah keseluruhan estimasi
kecurangan dan peningkatan jumlah kerugian dari kecurangan yang benar-benar
ditemukan.
Landasan dan inti dari tata kelola perusahaan yang efektif, pengendalian
internal, program antifraud, atau investigasi kecurangan adalah penilaian risiko
yang menyeluruh. Penilaian risiko kecurangan yang efektif bergantung pada
pengetahuan tentang konsep kecurangan (segitiga kecurangan, t a n d a
b a h a y a , skema kecurangan, dan akuntansi

113
114 ■ Penilaian Risiko
Penipuan

sistem informasi), semua dipertimbangkan dalam lingkungan penipuan yang

berlaku (entitas, kerangka waktu, efektivitas kontrol internal saat ini, dll.).
Meskipun istilah penilaian risiko mungkin menyiratkan suatu latihan berkala
dan dilakukan pada satu titik waktu, manajemen risiko yang sebenarnya
membutuhkan proses yang berkelanjutan. Bab ini membahas konsep dan alat
penilaian risiko untuk membantu proses tersebut. Meskipun disajikan terutama
dari sudut pandang internal entitas yang bersangkutan, isi bab ini juga dapat
diterapkan pada investigasi kecurangan yang dilakukan oleh pihak eksternal dan
pembaca e k s t e r n a l lainnya.

LITERATUR TEKNIS DAN PENILAIAN RISIKO

Gagasan tentang penilaian risiko telah menjadi bagian dari literatur teknis
untuk audit, yang menyarankan atau secara langsung mengharuskan audit
untuk memasukkan penilaian risiko. Standar-standar dalam beberapa tahun
terakhir mencerminkan peningkatan cakupan risiko. Untuk perusahaan publik,
Standar Audit PCAOB No. 5 (AS5), Audit atas Pengendalian Internal atas
Pelaporan Keuangan yang Terintegrasi dengan Audit atas Laporan Keuangan
(diadopsi pada tahun 2007), dibuat berdasarkan standar PCAOB No. 2
(AS2) yang telah ada sebelumnya, terutama dengan memperluas peran
penaksiran risiko. AS2 membahas penilaian risiko dari perspektif
manajemen dan auditor, dan mencakup cakupan risiko di berbagai tingkatan
(transaksional, akun, dll.). AS5 mengembangkan konsep AS2 dan
menekankan pentingnya pendekatan top-down, pendekatan berbasis risiko
untuk audit pengendalian internal, dan pentingnya memahami lingkungan
entitas (ukuran, industri, dll.). Secara garis besar, standar PCAOB dipenuhi
dengan bahasa, konvensi, dan saran-saran mengenai penilaian risiko.
American Institute of Certified Public Accountants (AICPA) mengadopsi
"Risk Suite" dari standar-standar, Statement on Auditing Standards (SAS) No.
104-111 pada tahun 2006. S e c a r a g a r i s b e s a r , Risk Suite membahas
penilaian risiko dalam konteks audit laporan keuangan dan pengendalian
internal. Seperti AS5, Risk Suite mencakup penekanan pada pendekatan audit
berbasis risiko yang holistik, top-down, termasuk pengetahuan yang menyeluruh
tentang lingkungan entitas dan pengendalian internalnya. Lebih spesifik lagi,
SAS No. 99 dari AICPA, Consideration of Fraud in a Financial Statement
Audit, memberikan panduan bagi para auditor keuangan, termasuk
brainstorming selama tahap perencanaan, dan pengakuan paksa atas potensi
kecurangan tertentu, terutama manipulasi pendapatan. Secara lebih luas, standar
AICPA mensyaratkan pertimbangan sejumlah faktor spesifik organisasi, seperti
industri, strategi, dan lain sebagainya. Auditor diharuskan untuk menyesuaikan
sifat, waktu, dan luasnya prosedur audit
 Faktor Penilaian Risiko ■ 115

jika keadaan mengharuskannya, berdasarkan penilaian risiko selama brain

storming dan pengetahuan serta hasil dari prosedur.
Institute of Internal Auditors (IIA) mempromosikan gagasan bahwa semua
audit fungsi audit internal dan aktivitasnya harus dimulai dengan penilaian
risiko (misalnya, bagian 2010 dan 2600 dari Standar Praktik Profesional Audit
Internal [SPPIA]). Information Systems Audit and Control Associa- tion
(ISACA) juga memiliki persyaratan yang sama dalam literatur teknisnya.
Statement on Information Systems Auditing Standards (SISAS), Penggunaan
Penilaian Risiko dalam Perencanaan Audit, menguraikan persyaratan tertentu
yang terkait dengan kecurangan untuk audit teknologi informasi. Banyak
standar ISACA lainnya yang juga membahas penilaian risiko, terutama SISAS
8, Pertimbangan Audit untuk Penyimpangan.

FAKTOR PENILAIAN RISIKO

Konsep dasar penilaian risiko adalah probabilitas (kemungkinan suatu peristiwa

akan terjadi) dan dampak (besarnya peristiwa jika terjadi). Betapapun
sederhananya konsep-konsep tersebut, mengukur dan menerapkannya adalah hal
yang sulit. Faktor-faktor apa saja yang harus dipertimbangkan? Alat bantu apa
yang dapat membantu dalam menilai risiko? Bagaimana risiko dapat diukur
Faktor-faktor dapat dipertimbangkan dalam berbagai tingkatan, termasuk
entitas, orang (be-
perilaku), divisi, geografi, produk atau jasa, akuntansi atau bisnis
dengan tepat?
proses, kontrol, atau sistem terkomputerisasi. Biasanya, faktor-faktor tersebut
dipertimbangkan pertama kali pada tingkat entitas, seperti kemungkinan penipuan,
pencurian, atau penggelapan dalam
lingkungan kerja adalah produk dari kepribadian eksekutif dan karyawan.
ees, kondisi kerja, efektivitas pengendalian internal, dan tingkat
kejujuran di dalamnya (budaya atau lingkungan organisasi). Bagaimanapun
prosesnya dimulai, perspektif yang berbeda harus disertakan dan/atau
diperiksa dalam proses penilaian risiko, termasuk bagaimana manajemen
entitas menggabungkan praktik terbaik manajemen risiko.

Faktor Lingkungan Perusahaan

Penipuan, pencurian, dan penggelapan oleh karyawan lebih banyak terjadi di
beberapa industri dan beberapa organisasi dibandingkan dengan yang lain.
Association of Certified Fraud Examiners (ACFE) 2008 Report to the
Nation (RTTN) mensurvei para anggotanya mengenai penipuan yang telah
diselesaikan, dan total 959 kasus telah dilaporkan. Salah satu statistik
berkaitan dengan industri yang diwakili oleh kasus-kasus ini. Sementara
hasil statistik dapat menunjukkan jenis
116 ■ Penilaian Risiko
Penipuan

industri yang paling mungkin untuk menyewa Certified Fraud Examiner

(CFE) untuk menyelidiki suatu kecurangan, hasilnya juga dapat
mengindikasikan industri yang lebih rentan terhadap kecurangan. Untuk
industri yang lebih rentan terhadap kecurangan, entitas dalam industri
tersebut jelas memiliki risiko kecurangan yang lebih besar-sesuatu yang
perlu dipertimbangkan dalam penilaian risiko untuk entitas tersebut.
Artinya, penilaian risiko harus mempertimbangkan tingkat risiko
kecurangan yang dinilai dalam industri entitas tersebut. Hasil RTTN 2008
adalah:

Industri berdasarkan Frekuensi:

■ Perbankan/Jasa Keuangan (14,5% dari semua kasus yang dilaporkan)
■ Pemerintah/Administrasi publik (11,7%)
■ Perawatan kesehatan (8,4%)
■ Manufaktur (7,2%)
■ Ritel (7%)

Industri berdasarkan Median Kerugian:

■ Telekomunikasi ($800.000/16 kasus)
■ Pertanian/Kehutanan/Perikanan/Berburu ($ 450.000/13 kasus)
■ Manufaktur ($441.000/65 kasus)
■ Teknologi ($405.000/28 kasus)
■ Konstruksi ($330.000/42 kasus)

Penilaian risiko juga harus mempertimbangkan kondisi ekonomi saat

ini. Di saat-saat yang baik, orang mencuri; di saat-saat yang buruk, orang
mencuri lebih banyak lagi! Sebuah survei tahun 2008-2009 oleh ACFE meminta
507 CFE untuk melaporkan tingkat penipuan sejak awal krisis ekonomi. Lebih
dari separuhnya mengindikasikan bahwa jumlah penipuan telah meningkat
selama masa itu. Selain itu, 49 persen melaporkan peningkatan jumlah dolar
dari kerugian penipuan selama periode yang sama. Teorinya adalah bahwa salah
satu kaki dari segitiga penipuan adalah apa yang disebut Donald Cressey
sebagai ''kebutuhan keuangan yang tidak dapat dipenuhi'' atau tekanan (seperti
yang disebutkan dalam Bab 2) dan orang-orang pada umumnya berada di
bawah tekanan yang lebih besar selama resesi ekonomi dan dalam hal ini
akan terjadi peningkatan penipuan.
Selain itu, kebijaksanaan konvensional di antara anggota komunitas
audit dan keamanan menunjukkan bahwa organisasi yang paling rentan
adalah organisasi yang memiliki manajemen, akuntansi, dan kontrol
keamanan yang paling lemah. Organisasi yang lebih rentan terhadap
kecurangan pekerjaan karyawan dan
penyalahgunaan juga dapat dibedakan dari mereka yang kurang rentan oleh
 Faktor Penilaian Risiko ■ 117
kontras lingkungan dan budaya yang ditunjukkan pada Gambar 5.1.
118 ■ Penilaian Risiko
Penipuan

GAMBAR 5.1 Lingkungan Penipuan Perusahaan: Potensi Penipuan

Faktor Potensi Penipuan Tinggi Potensi Penipuan Rendah
Gaya Manajemen Otokratis, berfokus pada Partisipatif dan berfokus pada
keuntungan pelanggan
Orientasi Manajemen Teori X kepercayaan Kepercayaan yang tinggi Teori Y
rendah Manajemen yang yang didorong oleh prestasi
digerakkan oleh kekuasaan Manajemen berdasarkan tujuan
oleh isu-isu krisis dan Masalah dan perbedaan pribadi
perbedaan pribadi adalah adalah
disisipi atau ditekan dihadapkan dan ditangani secara
terbuka
Struktur dan Birokratis Tertib Kolegial
Kontrol dan tidak Sistematis
Manajemen fleksibel Kontrol Terbuka untuk
yang dipaksakan perubahan
Bertingkat banyak, vertikal Terkendali
sendiri
Struktur datar, horizontal
Karakteristik CEO Swinger Profesional
Braggart Tegas
Pengemudi yang Bersahabat
mementingkan diri Bergerak
sendiri Tidak peka Cepat
terhadap orang lain Dihormati oleh rekan kerja
Ditakuti Penjudi Aman
yang tidak aman Pengambil
Impulsif risiko Bijaksana
Berorientasi pada angka Dermawan dengan waktu dan
dan hal-hal yang uang pribadi Pembangun yang
berorientasi pada berorientasi pada produk dan
keuntungan pasar
Sia-sia Pembantu
Bombastis Rumah Tangga
Sangat emosional yang percaya
Parsial diri
Berpura-pura menjadi lebih Tenang, tenang, penuh
dari yang sebenarnya pertimbangan, bahkan disposisi
Adil
Tahu siapa, apa, dan di mana
dia berada
Otoritas Terpusat, dipesan oleh Terdesentralisasi, didelegasikan
manajemen puncak ke semua tingkatan
Aturan yang kaku ditegakkan Aturan yang wajar ditegakkan
dengan kuat secara adil
Perencanaan Terpusat Terdesentralisasi
Jarak pendek Jarak jauh
Kinerja Diukur secara kuantitatif Diukur secara kualitatif dan
dan dalam jangka pendek kuantitatif, dan dalam jangka
Umpan balik kritis Umpan panjang
balik negatif Umpan balik positif
Umpan balik yang mendukung
 Faktor Penilaian Risiko ■ 119
Pelaporan Hanya laporan rutin saja Pelaporan pengecualian
Semuanya Dokumentasi yang memadai,
didokumentasikan- aturan tetapi tidak memberatkan
untuk semuanya kebijaksanaan diperbolehkan
(lanjutan)
120 ■ Penilaian Risiko
Penipuan

GAMBAR 5.1 ( Lanjutan)

Formal, tertulis, kaku, Informal, lisan, jelas, ramah,

sombong, ambigu terbuka, dan terus terang secara
komunikasi internal internal
komunikasi
Kekhawatiran Pelestarian modal Pemanfaatan aset manusia,
Manajemen Maksimalisasi kemudian aset modal dan
Utama keuntungan teknologi Optimalisasi laba
Sistem Penghargaan Hukuman Memperkuat
yang Dermawan
Menyedih Dikelola secara
kan adil
Dikelola secara politis Pengakuan, promosi, tanggung
Terutama moneter jawab tambahan, pilihan
penugasan, ditambah uang
Etika Bisnis Ambivalen: mengendarai Didefinisikan dengan jelas dan
pasang surut air laut teratur
diikuti
Nilai dan Keyakinan Ekonomi, politik Sosial, spiritual
Berpusat pada diri sendiri Berpusat pada kelompok
Hubungan Sangat kompetitif, tidak Ramah, kompetitif, mendukung
Internal bersahabat

Hubungan Bermusuhan Profesional

Eksternal/Pes
aing
Hubungan dengan Bermusuhan, agresif, Kooperatif, ramah
Teman Sebaya perdebatan
Dasar Bekerja lebih keras Bekerja lebih cerdas
Keberhasilan/
Formula
Masalah Sumber Perputaran Tidak ada kesempatan promosi
Daya Manusia karyawan yang cukup untuk semua
yang tinggi talenta
Kelelahan
Keluhan Ketidakhadiran
Masalah Keuangan Kekurangan arus kas Peluang untuk investasi baru
Loyalitas Perusahaan Rendah Tinggi
Pola Pertumbuhan Sporadis Konsisten, mantap

Sumber: Jack Bologna, Tinjauan Akuntansi Forensik (1985).

Faktor Internal
Faktor-faktor internal yang meningkatkan kemungkinan terjadinya kecurangan,
pencurian, dan penggelapan termasuk pengendalian manajemen atau kegiatan
pemantauan yang tidak memadai seperti berikut ini:

■ Kegagalan untuk menciptakan budaya yang jujur

 Praktik Terbaik Penilaian Risiko ■ 119

■ Kegagalan dalam mengartikulasikan dan mengkomunikasikan standar

minimum kinerja dan perilaku pribadi
■ Orientasi dan pelatihan yang tidak memadai tentang masalah hukum,
etika, penipuan, dan keamanan
■ Kebijakan perusahaan yang tidak memadai sehubungan dengan sanksi
atas pelanggaran hukum, etika, dan keamanan; terutama untuk penipuan
dan kejahatan kerah putih
■ Kegagalan untuk menasihati dan mengambil tindakan administratif
ketika tingkat kinerja atau perilaku pribadi berada di bawah standar
yang dapat diterima, atau melanggar prinsip-prinsip dan pedoman
entitas
■ Ambiguitas dalam peran, tugas, tanggung jawab, dan area
pertanggungjawaban pekerjaan
■ Kurangnya audit, inspeksi, dan tindak lanjut yang tepat waktu atau berkala
untuk memastikan kepatuhan terhadap tujuan, prioritas, kebijakan,
prosedur, dan peraturan pemerintah; secara umum, kurangnya
akuntabilitas atas posisi-posisi kunci yang menjadi kepercayaan

Faktor Penipuan
Setiap penilaian risiko juga harus mempertimbangkan skema penipuan yang
lebih mungkin terjadi untuk memandu program antipenipuan. Tindakan
pencegahan dan pendeteksian tentu akan lebih efektif jika ditujukan pada
skema penipuan yang paling mungkin dilakukan.
Untuk penipuan laporan keuangan, jelas para eksekutif entitas adalah
calon penipu yang paling mungkin terjadi dan dengan demikian penilaian
risiko harus menyertakan individu-individu tersebut. Untuk penyalahgunaan
aset, karyawan yang berada dalam posisi yang dipercaya kemungkinan besar
adalah pelakunya. Untuk korupsi, mungkin sama, namun melibatkan
seseorang di luar entitas yang bekerja sama dengan seseorang di dalam entitas -
sebuah karakteristik unik dari skema korupsi.
Statistik dari ACFE RTTNs dapat memberikan bantuan dalam membuat
penentuan ini, seperti halnya curah pendapat yang produktif dari tim lintas
fungsi.

PRAKTIK TERBAIK PENILAIAN RISIKO

Jika suatu entitas belum melakukan penilaian risiko secara formal, maka
entitas tersebut tidak dapat secara efektif mempertahankan diri dari risiko-
risiko tersebut, atau memitigasi risiko-risiko tersebut karena alasan-alasan
yang jelas. Untuk mengembangkan penilaian risiko yang efektif, manajemen
harus mengambil pendekatan formal yang teliti dan bukan pendekatan ad hoc.
120 ■ Penilaian Risiko
Pendekatan Penipuan
tersebut mencakup orang-orang dan prosesnya.
 Praktik Terbaik Penilaian Risiko ■ 121

Pemimpin (s)
Proses penilaian risiko harus melibatkan orang atau kelompok yang tepat,
dan idealnya melibatkan sebuah tim. Untuk manajemen organisasi, orang
yang tepat biasanya adalah seseorang yang memiliki kemandirian yang
memadai, seperti seseorang dari fungsi audit internal, jika ada, dan
kemampuan untuk mendukung manajemen risiko secara efektif. Nilai dari
memiliki orang yang berpengalaman dan terbukti efektif dalam menilai risiko
yang terlibat dalam fungsi penilaian risiko tidak dapat dilebih-lebihkan.
Demikian pula dukungan dari komite audit dan/atau dewan direksi entitas.

Tim
Tim harus dipilih dengan hati-hati. Meskipun tim ini harus dimulai d a r i ahli
dan/atau konsultan internal, tim ini harus mencakup seluruh bagian d a r i
entitas. Bagian tersebut harus melibatkan berbagai tingkat entitas, terutama
tingkat manajemen. Tim tersebut harus mewakili semua unit bisnis utama
(terutama akuntansi dan penjualan karena sebagian besar penipuan terjadi di
sana), proses bisnis, posisi kunci, dan perspektif yang diperlukan untuk
memberikan penilaian risiko yang berkualitas. Orang-orang yang berpikir
kreatif, bernalar secara logis, memahami bisnis dan industri dengan baik, dan
secara efektif dapat memainkan peran sebagai advokat setan harus dicari, apa
pun posisinya.
Mendokumentasikan penilaian risiko sangat penting, terutama karena
dokumentasi dapat ditinjau kembali setelahnya ketika risiko yang telah
dinilai telah atau belum terwujud. Dokumentasi kemudian dapat berfungsi
sebagai alat pembelajaran untuk penilaian yang lebih efektif dan tindakan
pencegahan; yaitu, pelajaran yang diperoleh dapat membantu menyempurnakan
versi penilaian risiko di masa depan. Dokumentasi juga membentuk
akuntabilitas bagi orang-orang yang terlibat dalam proses tersebut. Beberapa
perangkat dapat digunakan untuk melakukan penilaian risiko, yang juga
memiliki tujuan ganda untuk mendokumentasikannya. Gambar 5.2
memberikan daftar periksa sebagai salah satu contoh bagaimana
mengorganisir penilaian risiko.

Frekuensi dan Keselarasan dengan Keuangan

Penilaian risiko formal dalam suatu entitas harus dilakukan secara teratur,
mungkin setiap 12 hingga 24 bulan. Frekuensi tahunan akan memungkinkan
penilaian risiko penipuan untuk diselaraskan dengan perencanaan keuangan
dan/atau kerangka waktu pelaporan keuangan. Perencanaan keuangan
memerlukan pertimbangan masa depan terkait keuangan dan kecurangan.
Pelaporan keuangan dapat mencakup temuan (penyesuaian, pengungkapan,
kekurangan pengendalian, dll.) yang mungkin memerlukan perbaikan di
122 ■ Penilaian Risiko
Penipuan
masa mendatang.
 Praktik Terbaik Penilaian Risiko ■ 123

GAMBAR 5.2 Daftar Periksa Manajemen Risiko

Ya. Tidak N/A Ref
.
1. Apakah organisasi memiliki tingkat yang
memadai untuk
kesadaran akan kecurangan dan apakah ada
kebijakan yang tepat untuk meminimalkan risiko
kecurangan? Secara spesifik:
a. Faktor risiko umum
Apakah setiap karyawan telah diberi "tingkat peluang"
maksimum untuk melakukan kecurangan; untuk
setiap karyawan, apakah manajemen telah
mengajukan pertanyaan kepada dirinya sendiri,
''Berapa jumlah maksimum yang dapat ditipu oleh
karyawan ini, dan ( ) ( ) ( )
apakah ini merupakan risiko yang dapat diterima?
Apakah tingkat peluang "bencana" telah
ditetapkan; yaitu, apakah manajemen telah
bertanya pada dirinya sendiri, ''Apakah kita telah
memastikan bahwa tidak ada satu pun karyawan
- atau sekelompok karyawan yang berkolusi -
yang dapat melakukan kecurangan yang dapat ( ) ( ) ( )
membahayakan organisasi?
risiko bertahan hidup?
Apakah merupakan kebijakan organisasi untuk
segera memberhentikan karyawan yang
ditemukan memiliki ( ) ( ) ( )
melakukan penipuan?
Apakah merupakan kebijakan organisasi untuk
melaporkan semua kecurangan kepada ( ) ( ) ( )
pihak berwenang dan mengajukan tuntutan?
Untuk setiap dan semua penipuan yang dilakukan
perusahaan
pernah dialami di masa lalu, apakah alasan yang
menyebabkan kecurangan tersebut telah ( ) ( ) ( )
dievaluasi dan diperbaiki
tindakan yang diambil?
b. Mengelola faktor risiko individu (yaitu, untuk
mempromosikan perilaku bermoral dan
meminimalkan motivasi untuk
melakukan penipuan)
Apakah organisasi memiliki pernyataan misi
perusahaan, yang mencakup sebagai tujuan
dari good corporate citizenship; yaitu menjaga
hubungan yang baik ( ) ( ) ( )
berdiri di masyarakat?
Apakah organisasi memiliki kode etik tertulis
dan perilaku bisnis? ( ) ( ) ( )
Apakah organisasi mengadakan pelatihan etika dan
keamanan untuk karyawan baru dengan
pembaruan berkala ( ) ( ) ( )
untuk karyawan yang sudah ada?
124 ■ Penilaian Risiko
Penipuanmemberikan contoh yang
Apakah manajemen
benar; misalnya, apakah manajemen
mengikuti pernyataan misi perusahaan, kode
etik dan perilaku bisnis, dan kebijakan
organisasi lainnya, dan apakah mereka ( ) ( ) ( )
melakukan
karyawan melihatnya dengan jelas saat
melakukannya?
(lanjutan)
 Praktik Terbaik Penilaian Risiko ■ 125

GAMBAR 5.2 (Lanjutan)

Ya. Tidak N/A Ref
.
Apakah budaya perusahaan menghindari
karakteristik yang mendorong perilaku tidak etis;
misalnya, daya saing yang tinggi atau bahkan
permusuhan dalam organisasi, mendorong
karyawan untuk kelelahan, kebijakan yang kaku
dan/atau picik, atau sentralisasi yang berlebihan ( ) ( ) ()
otoritas?
Ketika merekrut, apakah organisasi, sejauh mungkin,
mencari individu dengan karakter moral yang
tinggi dan menyingkirkan mereka yang bermoral
rendah ( ) ( ) ()
karakter?
Untuk posisi yang sangat sensitif, apakah prosedur
penyaringan dan/atau pengujian digunakan;
misalnya, pemeriksaan latar belakang, tes
psikologi, tes narkoba ( ) ( ) ()
pengujian, tes detektor kebohongan di mana yang
legal?
Apakah organisasi menyediakan dan/atau mendorong
konseling untuk karyawan yang memiliki masalah
pribadi; misalnya, penyalahgunaan alkohol dan ( ) ( ) ()
narkoba?
Apakah organisasi memiliki kebijakan hubungan
karyawan dan kompensasi yang adil; misalnya,
gaji, tunjangan tambahan, penilaian kinerja,
promosi, pesangon? Apakah kebijakan-kebijakan
ini lebih baik dibandingkan dengan kebijakan
pesaing dan
mempromosikan lingkungan yang meminimalkan ( ) ( ) ()
kekecewaan dan motivasi serupa untuk
melakukan penipuan?
Apakah ada mekanisme yang adil untuk menangani
keluhan karyawan? ( ) ( ) ()
Sebagai mekanisme umpan balik atas
kebijakannya sehubungan dengan hubungan
karyawan, apakah organisasi melakukan
wawancara keluar bagi karyawan yang akan ( ) ( ) ()
keluar?
karyawan?
c. Kesadaran manajemen
Secara keseluruhan, apakah manajemen
menunjukkan kesadaran akan kecurangan dan
kemungkinan manifestasinya; misalnya, tanda-
tanda masalah karyawan seperti kecanduan
narkoba, dan karyawan bergaji rendah yang tiba- ( ) ( ) ()
tiba
tampil dengan hiasan kekayaan?
126 ■ Penilaian Risiko
Penipuan memiliki sistem yang
2. Apakah organisasi
memadai
pengendalian internal? Secara khusus:
a. Penipuan yang tidak terpisahkan dari
pengendalian internal
Apakah kebutuhan akan pencegahan kecurangan
telah dipertimbangkan secara eksplisit dalam
desain dan pemeliharaan ( ) ( ) ()
sistem pengendalian internal?
 Praktik Terbaik Penilaian Risiko ■ 127

Ya. Tidak N/A Ref

.
b. Kontrol atas akses fisik dan logis
Apakah organisasi memiliki kebijakan dan praktik
untuk mengunci pintu, meja, dan lemari setelah jam
kerja dan saat tidak dijaga, terutama untuk area
dengan aset berharga termasuk file dan catatan
seperti personalia dan penggajian, cek dan
dokumen akuntansi lainnya, daftar pelanggan dan
vendor, daftar perusahaan ( ) ( ) ( )
strategi, rencana pemasaran, dan penelitian?
Apakah organisasi memiliki kebijakan dan praktik
menggunakan ID dan kata sandi untuk akses
komputer secara umum? ( ) ( ) ( )
Untuk file dan aplikasi yang sensitif, apakah
sistem komputer memerlukan kontrol akses
tambahan? Misalnya, apakah kontrol akses
setiap ID pengguna membatasi aksesnya?
Apakah ada lapisan kontrol akses tambahan
untuk akses jarak jauh (seperti kartu pintar, ( ) ( ) ( )
PIN sementara,
biometrik, dll.)?
Apakah organisasi memiliki kebijakan yang
dinyatakan dan ditegakkan bahwa akses dibatasi
hanya untuk mereka yang membutuhkannya
untuk menjalankan fungsi pekerjaan mereka,
termasuk kebijakan yang ketat terhadap
karyawan yang mengizinkan akses kepada ( ) ( ) ( )
personel yang tidak berwenang dengan
meminjamkan kunci, berbagi
kata sandi, dan sebagainya?
Untuk area yang sangat sensitif, apakah ada ( ) ( ) ( )
tambahan
keamanan terkomputerisasi dan/atau sistem
pengawasan elektronik?
Bagi pengamat yang tidak memihak, apakah
tempat kerja ( ) ( ) ( )
tampaknya memiliki kontrol akses yang memadai?
c. Deskripsi pekerjaan
Apakah organisasi memiliki kebijakan tertulis dan
spesifik ( ) ( ) ( )
deskripsi pekerjaan?
Apakah karyawan dan manajer mematuhinya? ( ) ( ) ( )
Apakah perusahaan memiliki bagan organisasi yang
mencerminkan dan konsisten dengan pekerjaan
karyawan ( ) ( ) ( )
deskripsi?
Apakah tugas-tugas yang tidak sesuai dipisahkan;
yaitu,
penanganan aset berharga, terutama kas dan ( ) ( ) ( )
catatan terkait?
128 ■ Penilaian Risiko
Penipuan
Apakah fungsi pembelian dipisahkan dengan baik;
misalnya, untuk memastikan bahwa satu orang
tidak dapat meminta barang atau jasa, menyetujui
dan melakukan pembayaran terkait, dan
mengakses utang usaha ( ) ( ) ( )
catatan?
(lanjutan)
 Praktik Terbaik Penilaian Risiko ■ 129

GAMBAR 5.2 (Lanjutan)

Ya. Tidak N/A Ref
.
Apakah tugas-tugas yang sangat sensitif dirangkap;
yaitu,
penandatanganan cek dua kali lipat dari jumlah ( ) ( ) ()
tertentu?
Apakah deskripsi pekerjaan menyebutkan bahwa
liburan tahunan ( ) ( ) ()
harus diambil?
Secara keseluruhan, apakah proses perumusan
deskripsi pekerjaan telah terintegrasi, memberikan
pertimbangan yang memadai terhadap pentingnya
pencegahan penipuan? ( ) ( ) ()
d. Rekonsiliasi dan analisis akuntansi secara
berkala
Rekonsiliasi bank, untuk semua akun? ( ) ( ) ()
Rekonsiliasi piutang usaha (bulan ke
bulan, buku besar ke buku besar)? ( ) ( ) ()
Rekonsiliasi utang usaha (dari bulan ke bulan,
buku besar ke subledger)? ( ) ( ) ()
Analisis varians akun buku besar
(anggaran terhadap realisasi, tahun berjalan ( ) ( ) ()
dibandingkan tahun sebelumnya)?
Analisis vertikal akun laba rugi, yaitu sebagai
persentase dari penjualan, terhadap historis
dan/atau ( ) ( ) ()
standar anggaran?
Analisis penjualan dan pengeluaran utama yang
terperinci; yaitu, ( ) ( ) ()
berdasarkan lini produk atau wilayah geografis?
e. Pengawasan
Apakah supervisor dan manajer memiliki kesadaran
akan kecurangan yang memadai; yaitu, apakah
mereka waspada terhadap kemungkinan
kecurangan setiap kali terjadi situasi yang tidak
biasa atau luar biasa, seperti ketika pemasok atau ( ) ( ) ()
pelanggan mengeluh tentang akunnya?
Apakah supervisor dan manajer secara rajin meninjau
pekerjaan bawahan mereka; misalnya, rekonsiliasi
akuntansi, dan, jika perlu, bahkan memiliki
karyawan tersebut melakukan kembali ( ) ( ) ()
pekerjaannya?
Untuk bisnis yang lebih kecil atau di mana
pembagian tugas tidak memungkinkan, apakah
ada pengawasan yang ketat sehingga ( ) ( ) ()
untuk mengkompensasi kurangnya pemisahan?
130 ■ Penilaian Risiko
Penipuan manajemen atau supervisi
Apakah pengambilalihan
(seorang manajer atau supervisor mengambil alih,
mengubah, atau mencampuri pekerjaan bawahan)
dilarang, dan apakah orang lain dalam hierarki
waspada terhadap situasi ini ( ) ( ) ()
sebagai tanda bahaya penipuan?
 Daftar Periksa dan Dokumentasi Manajemen ■ 125
Risiko

Ya. Tidak N/A Ref

.
f. Audit
Apakah ada fungsi audit internal? ( ) ( ) ( )
Apakah fungsi audit internal melakukan pemeriksaan
rutin
pemeriksaan untuk memastikan bahwa mekanisme ( ) ( ) ( )
pencegahan penipuan telah tersedia dan beroperasi
sebagaimana mestinya?
Apakah audit eksternal dilakukan secara teratur; ( ) ( ) ( )
yaitu, triwulanan untuk bisnis yang lebih besar?
Apakah manajemen bekerja sama secara penuh
dengan auditor eksternal sehubungan dengan
pekerjaannya secara umum dan masalah-
masalah kecurangan secara khusus; yaitu, ( ) ( ) ( )
melalui
komite audit?
3. Apakah organisasi telah membahas hal-hal
berikut ini
masalah pencegahan penipuan?
Mempromosikan lingkungan yang beretika? ( ) ( ) ( )
Pembiayaan risiko? ( ) ( ) ( )

pertimbangan. Idealnya, penilaian risiko merupakan proses berkelanjutan di

mana pemilik pusat secara konsisten memantau dan beradaptasi dengan
lingkungan kecurangan dengan ''penyegaran'' penilaian risiko secara berkala
dan merencanakan respons. Perusahaan publik memiliki SOX §404 sebagai
jenis mandat dari proses berulang ini.

DAFTAR PERIKSA DAN DOKUMENTASI MANAJEMEN

RISIKO

Daftar periksa yang ditunjukkan pada Gambar 5.2 dirancang untuk membantu
akuntan dalam menilai dan mengelola risiko kecurangan dalam organisasi
mereka dan klien mereka. Secara umum, semua jawaban ''Tidak'' memerlukan
investigasi dan tindak lanjut, yang hasilnya harus didokumentasikan. Jika ada
dokumentasi tambahan seperti itu, tujuan dari kolom ''Ref'' adalah untuk
merujuk silang daftar periksa ke sumber yang sesuai.
Daftar periksa ini hanya ditujukan untuk penggunaan umum. Meskipun
penggunaan daftar periksa ini membantu memastikan bahwa faktor-faktor yang
memadai telah dipertimbangkan, penggunaan daftar periksa ini tidak menjamin
pencegahan atau pendeteksian kecurangan dan daftar periksa ini tidak
dimaksudkan sebagai pengganti audit atau prosedur serupa. Jika pencegahan
kecurangan m e r u p a k a n h a l y a n g sangat penting atau jika dicurigai adanya
126 ■ Penilaian Risiko
kecurangan, Penipuan
penilaian sistematis di luar daftar periksa h a r u s dilakukan
dan/atau meminta nasihat dari spesialis.1
 Daftar Periksa dan Dokumentasi Manajemen ■ 127
Risiko

Daftar Periksa Skema Penipuan

Pendekatan lain untuk penilaian risiko adalah dengan menggunakan
taksonomi skema fraud yang sesuai. Sebagai contoh, pohon penipuan ACFE
dapat digunakan untuk menentukan setidaknya daftar awal skema penipuan.
Pendekatan ini dapat bekerja dengan sangat baik. Kolom-kolom dalam bentuk
penilaian risiko ini meliputi (lihat Gambar 5.3):

■ Skema penipuan
■ Penilaian risiko yang melekat pada kecurangan dalam entitas atau
proses bisnis tertentu
■ Faktor yang dimiliki oleh pengendalian internal dalam memitigasi risiko
tersebut
■ ''Risiko residual'' yang tersisa setelah mitigasi pengendalian internal
yang ada terkait dengan skema penipuan ini dalam entitas atau proses
bisnis ini
■ Proses bisnis, di mana skema ini mungkin terjadi, jika memang terjadi
■ Tanda-tanda b a h a y a , yang dapat digunakan untuk mendeteksi skema ini

Entitas yang Berbeda untuk Dinilai

Jika sebuah organisasi cukup besar, penilaian risiko tunggal mungkin tidak akan
berguna seperti penilaian risiko yang terpisah. Dalam hal ini, disarankan agar
penilaian dan tim yang berbeda digunakan untuk setiap unit bisnis utama, setiap
proses bisnis yang signifikan yang melintasi unit bisnis, unit korporat (eksekutif,

GAMBAR 5.3 Daftar Periksa Risiko Skema Penipuan

Melekat Kontrol Sisa Bisnis
Skema Penipuan Risiko Penilaian Risiko Proses Bendera
Merah
Antipenipuan umum
Pernyataan palsu
Keuangan:
Pendapatan yang
terlalu tinggi
Perbedaan waktu
Pendapatan fiktif
Kewajiban
tersembunyi
Pengungkapan yang
tidak tepat
Aset yang tidak tepat
penilaian
Aset/pendapatan
bersahaja
128 ■ Penilaian Risiko
Penipuan

dll.), dan entitas atau elemen lain yang diidentifikasi oleh para pemimpin
dan tim. Ada kemungkinan perusahaan sangat besar sehingga lapisan yang
berbeda mungkin diperlukan: misalnya, unit bisnis digabungkan dengan
anak perusahaan, digabungkan dengan korporat, di mana risiko yang lebih
tinggi digabungkan dengan unit yang terkait dengan risiko tertentu. Cara yang
berpotensi lebih efektif, meskipun lebih menantang, untuk menilai risiko pada
tingkat tinggi dalam organisasi besar adalah dengan akuntansi atau proses
bisnis karena hal ini dapat lebih akurat mencerminkan risiko kecurangan
yang ada dan dapat lebih mudah diselaraskan dengan skema kecurangan;
misalnya, manajemen kas, penggajian, pembuatan produk "X", atau
penelitian dan pengembangan.

Skema Penipuan
Terdapat berbagai cara untuk menentukan skema penipuan yang akan
dicantumkan dalam kolom pertama pada Gambar 5.3 (Skema Penipuan).
Namun, kita sebaiknya memulai dengan taksonomi yang sudah ada (lihat Bab
2) dan menambahkan atau menghapus dari daftar tersebut sesuai kebutuhan.
Kemudian, dengan menggunakan taksonomi lain, atau penilaian yang baik
tentang skema tertentu yang merupakan risiko bagi industri atau entitas
tertentu, seseorang harus membuat penambahan atau penghapusan yang
diperlukan. Di sinilah nilai dari penggunaan brainstorming - tim yang
menggunakan kriteria bersama untuk memastikan bahwa skema yang
penting tidak terlewatkan dan skema yang tidak relevan tidak dipertimbangkan
(setidaknya untuk entitas tertentu, skema penipuan tertentu mungkin tidak
relevan).

Ukuran dan Hubungan

Mengukur risiko secara kuantitatif biasanya cukup sulit. Beberapa dasar harus
digunakan sebagai konsekuensi dari dampak kerugian potensial dari
kemungkinan kecurangan. Apa yang dimaksud dengan indikasi yang relevan,
dapat diandalkan, dan representatif dari risiko yang perlu diukur? Penentuan
tersebut harus dibuat dan disetujui oleh tim sesuai dengan kriteria yang telah
direncanakan bersama. Pekerjaan yang kritis dan sulit dalam mengukur risiko
sekali lagi menjadi bukti pentingnya memilih tim yang beragam dan mencakup
seluruh organisasi yang mampu membuat keputusan yang logis selama
proses penilaian risiko.

Risiko yang melekat

Tim harus menentukan apa risiko yang melekat pada skema penipuan untuk
entitas atau proses bisnis ini. Penilaian dapat berupa probabilitas (1 hingga
100 persen) atau hanya risiko rendah, sedang, atau tinggi. Sejumlah faktor
 Daftar Periksa dan Dokumentasi Manajemen ■ 129
dapat dipertimbangkan Risiko di sini, beberapa di antaranya adalah industri,
strategi, volatilitas pasar, dan struktur organisasi.
130 ■ Penilaian Risiko
Penipuan

Penilaian Kontrol
Auditor dan orang-orang penting lainnya dalam tim harus menentukan
kontrol apa saja yang tersedia untuk memitigasi skema penipuan tertentu.
Penilaian ini tentu saja harus sesuai dengan metode penilaian risiko inheren
(persentase atau tingkatan). Kita harus yakin untuk mempertimbangkan
bahwa orang-orang yang berada di posisi kunci dapat mengevaluasi
kelemahan dalam pengendalian internal dan risiko dengan sebaik-baiknya;
tetapi orang-orang yang sama juga berpotensi untuk melakukan kecurangan
di area tertentu.

Risiko Sisa
Fungsi matematis sederhana untuk mengurangi tingkat mitigasi kontrol dari
risiko inheren akan menyisakan risiko residual. Sekali lagi, ini akan mengambil
bentuk apa pun yang dipilih untuk risiko inheren. Risiko residual pasti akan
membutuhkan salah satu dari dua tanggapan: tidak ada tindakan, karena
risiko yang tersisa diterima, atau tindakan untuk memitigasi atau
memulihkan melalui prosedur pencegahan atau deteksi tambahan (bahkan
berpotensi termasuk pembelian asuransi). Tanggapan yang diambil harus
didokumentasikan dan ditelusuri dari waktu ke waktu, sebagai bagian untuk
menentukan kemampuan entitas dalam mengukur dan mengelola risiko.

Proses Bisnis
Kolom ini merupakan kolom notasi untuk mengidentifikasi proses bisnis
mana (misalnya, penerimaan kas, penggajian, dll.) yang terlibat dalam skema
ini. Pemilik proses bisnis harus didokumentasikan sebagai pihak yang
bertanggung jawab untuk area tersebut dan, jika berlaku, untuk menanggapi
risiko residual yang tidak dapat diterima. Mempertimbangkan jumlah
agregat dan peringkat risiko dari semua skema berdasarkan proses bisnis
juga dapat menjelaskan risiko penipuan.

Bendera Merah
Di sini tim akan mengidentifikasi tanda bahaya yang dapat dikaitkan dengan
skema tersebut. Dokumentasi ini merupakan titik awal untuk prosedur
pencegahan atau pendeteksian penipuan. Tanda-tanda bahaya tersedia dari
berbagai sumber literatur. Hal tersebut meliputi:

■ Standar ISACA 030.020.010 (SISAS 8), Pertimbangan Audit untuk

Penyimpangan
■ AICPA SAS No. 99, Pertimbangan atas Kecurangan dalam Audit Laporan
Keuangan2
■ Standar PCAOB No. 5 dan No. 2
 Catat ■ 129
an

■ Penipuan dan Penyalahgunaan Pekerjaan3

■ Kebijakan, prosedur, dan pengendalian internal perusahaan
■ Kasus-kasus penipuan yang sebenarnya, terutama entitas

RINGKASAN

Penilaian risiko adalah titik awal yang penting untuk audit secara umum. Dalam
bab ini, penilaian risiko digunakan sebagai alat untuk program antifraud entitas,
di mana entitas berusaha meminimalkan risiko fraud. Dengan demikian, langkah
ini tidak terjadi selama proses audit kecurangan. Melainkan, ini adalah alat
untuk mengidentifikasi risiko dan mengatasi risiko yang paling penting.
Disarankan agar setiap bisnis, terutama y a n g d i p e r d a g a n g k a n secara
publik, m e l a k u k a n latihan ini secara teratur, dan bahwa auditor kecurangan
mempertimbangkan konsep-konsep ini dan kemampuan manajemen risiko
perusahaan dalam proses pencegahan, deteksi, dan investigasi kecurangan.

CATATAN

1. Joseph T. Wells, Prinsip-prinsip Pemeriksaan Kecurangan (New York: John Wiley &
Sons,
2008).
2. AU316, hal. 30-34.
3. Joseph T. Wells, Penipuan dan Penyalahgunaan di Tempat Kerja (Austin, TX:
ACEF, 1997).