SS CH 5 Id
SS CH 5 Id
CH A PTER
LIMA
Risiko
Penipuan
Penilaian
PENDAHULUAN
Sejak Enron dan kecurangan-kecurangan lain yang terjadi di waktu yang hampir
bersamaan, terdapat fokus yang signifikan terhadap kecurangan, pengendalian
internal, dan konsep manajemen risiko kecurangan termasuk penilaian risiko.
Pengesahan Sarbanes-Oxley Act (SOX) pada tahun 2002 memberikan perhatian
lebih besar pada kedua hal tersebut dan memasukkan prinsip-prinsip y a n g
terkait ke dalam hukum federal. Komisi Sekuritas dan Bursa Efek (SEC) dan
badan akuntansinya, Dewan Pengawas Akuntansi Perusahaan Publik (PCAOB),
telah menerbitkan panduan tentang topik ini. Committee on Sponsoring
Organizations (COSO) juga telah melakukan upaya yang signifikan di bidang
penilaian risiko, menghasilkan Model COSO untuk penilaian risiko perusahaan.
Meskipun demikian, statistik kecurangan (seperti yang disampaikan dalam Bab
2) menunjukkan konsistensi relatif dalam jumlah keseluruhan estimasi
kecurangan dan peningkatan jumlah kerugian dari kecurangan yang benar-benar
ditemukan.
Landasan dan inti dari tata kelola perusahaan yang efektif, pengendalian
internal, program antifraud, atau investigasi kecurangan adalah penilaian risiko
yang menyeluruh. Penilaian risiko kecurangan yang efektif bergantung pada
pengetahuan tentang konsep kecurangan (segitiga kecurangan, t a n d a
b a h a y a , skema kecurangan, dan akuntansi
113
114 ■ Penilaian Risiko
Penipuan
Gagasan tentang penilaian risiko telah menjadi bagian dari literatur teknis
untuk audit, yang menyarankan atau secara langsung mengharuskan audit
untuk memasukkan penilaian risiko. Standar-standar dalam beberapa tahun
terakhir mencerminkan peningkatan cakupan risiko. Untuk perusahaan publik,
Standar Audit PCAOB No. 5 (AS5), Audit atas Pengendalian Internal atas
Pelaporan Keuangan yang Terintegrasi dengan Audit atas Laporan Keuangan
(diadopsi pada tahun 2007), dibuat berdasarkan standar PCAOB No. 2
(AS2) yang telah ada sebelumnya, terutama dengan memperluas peran
penaksiran risiko. AS2 membahas penilaian risiko dari perspektif
manajemen dan auditor, dan mencakup cakupan risiko di berbagai tingkatan
(transaksional, akun, dll.). AS5 mengembangkan konsep AS2 dan
menekankan pentingnya pendekatan top-down, pendekatan berbasis risiko
untuk audit pengendalian internal, dan pentingnya memahami lingkungan
entitas (ukuran, industri, dll.). Secara garis besar, standar PCAOB dipenuhi
dengan bahasa, konvensi, dan saran-saran mengenai penilaian risiko.
American Institute of Certified Public Accountants (AICPA) mengadopsi
"Risk Suite" dari standar-standar, Statement on Auditing Standards (SAS) No.
104-111 pada tahun 2006. S e c a r a g a r i s b e s a r , Risk Suite membahas
penilaian risiko dalam konteks audit laporan keuangan dan pengendalian
internal. Seperti AS5, Risk Suite mencakup penekanan pada pendekatan audit
berbasis risiko yang holistik, top-down, termasuk pengetahuan yang menyeluruh
tentang lingkungan entitas dan pengendalian internalnya. Lebih spesifik lagi,
SAS No. 99 dari AICPA, Consideration of Fraud in a Financial Statement
Audit, memberikan panduan bagi para auditor keuangan, termasuk
brainstorming selama tahap perencanaan, dan pengakuan paksa atas potensi
kecurangan tertentu, terutama manipulasi pendapatan. Secara lebih luas, standar
AICPA mensyaratkan pertimbangan sejumlah faktor spesifik organisasi, seperti
industri, strategi, dan lain sebagainya. Auditor diharuskan untuk menyesuaikan
sifat, waktu, dan luasnya prosedur audit
Faktor Penilaian Risiko ■ 115
Faktor Internal
Faktor-faktor internal yang meningkatkan kemungkinan terjadinya kecurangan,
pencurian, dan penggelapan termasuk pengendalian manajemen atau kegiatan
pemantauan yang tidak memadai seperti berikut ini:
Faktor Penipuan
Setiap penilaian risiko juga harus mempertimbangkan skema penipuan yang
lebih mungkin terjadi untuk memandu program antipenipuan. Tindakan
pencegahan dan pendeteksian tentu akan lebih efektif jika ditujukan pada
skema penipuan yang paling mungkin dilakukan.
Untuk penipuan laporan keuangan, jelas para eksekutif entitas adalah
calon penipu yang paling mungkin terjadi dan dengan demikian penilaian
risiko harus menyertakan individu-individu tersebut. Untuk penyalahgunaan
aset, karyawan yang berada dalam posisi yang dipercaya kemungkinan besar
adalah pelakunya. Untuk korupsi, mungkin sama, namun melibatkan
seseorang di luar entitas yang bekerja sama dengan seseorang di dalam entitas -
sebuah karakteristik unik dari skema korupsi.
Statistik dari ACFE RTTNs dapat memberikan bantuan dalam membuat
penentuan ini, seperti halnya curah pendapat yang produktif dari tim lintas
fungsi.
Jika suatu entitas belum melakukan penilaian risiko secara formal, maka
entitas tersebut tidak dapat secara efektif mempertahankan diri dari risiko-
risiko tersebut, atau memitigasi risiko-risiko tersebut karena alasan-alasan
yang jelas. Untuk mengembangkan penilaian risiko yang efektif, manajemen
harus mengambil pendekatan formal yang teliti dan bukan pendekatan ad hoc.
120 ■ Penilaian Risiko
Pendekatan Penipuan
tersebut mencakup orang-orang dan prosesnya.
Praktik Terbaik Penilaian Risiko ■ 121
Pemimpin (s)
Proses penilaian risiko harus melibatkan orang atau kelompok yang tepat,
dan idealnya melibatkan sebuah tim. Untuk manajemen organisasi, orang
yang tepat biasanya adalah seseorang yang memiliki kemandirian yang
memadai, seperti seseorang dari fungsi audit internal, jika ada, dan
kemampuan untuk mendukung manajemen risiko secara efektif. Nilai dari
memiliki orang yang berpengalaman dan terbukti efektif dalam menilai risiko
yang terlibat dalam fungsi penilaian risiko tidak dapat dilebih-lebihkan.
Demikian pula dukungan dari komite audit dan/atau dewan direksi entitas.
Tim
Tim harus dipilih dengan hati-hati. Meskipun tim ini harus dimulai d a r i ahli
dan/atau konsultan internal, tim ini harus mencakup seluruh bagian d a r i
entitas. Bagian tersebut harus melibatkan berbagai tingkat entitas, terutama
tingkat manajemen. Tim tersebut harus mewakili semua unit bisnis utama
(terutama akuntansi dan penjualan karena sebagian besar penipuan terjadi di
sana), proses bisnis, posisi kunci, dan perspektif yang diperlukan untuk
memberikan penilaian risiko yang berkualitas. Orang-orang yang berpikir
kreatif, bernalar secara logis, memahami bisnis dan industri dengan baik, dan
secara efektif dapat memainkan peran sebagai advokat setan harus dicari, apa
pun posisinya.
Mendokumentasikan penilaian risiko sangat penting, terutama karena
dokumentasi dapat ditinjau kembali setelahnya ketika risiko yang telah
dinilai telah atau belum terwujud. Dokumentasi kemudian dapat berfungsi
sebagai alat pembelajaran untuk penilaian yang lebih efektif dan tindakan
pencegahan; yaitu, pelajaran yang diperoleh dapat membantu menyempurnakan
versi penilaian risiko di masa depan. Dokumentasi juga membentuk
akuntabilitas bagi orang-orang yang terlibat dalam proses tersebut. Beberapa
perangkat dapat digunakan untuk melakukan penilaian risiko, yang juga
memiliki tujuan ganda untuk mendokumentasikannya. Gambar 5.2
memberikan daftar periksa sebagai salah satu contoh bagaimana
mengorganisir penilaian risiko.
Daftar periksa yang ditunjukkan pada Gambar 5.2 dirancang untuk membantu
akuntan dalam menilai dan mengelola risiko kecurangan dalam organisasi
mereka dan klien mereka. Secara umum, semua jawaban ''Tidak'' memerlukan
investigasi dan tindak lanjut, yang hasilnya harus didokumentasikan. Jika ada
dokumentasi tambahan seperti itu, tujuan dari kolom ''Ref'' adalah untuk
merujuk silang daftar periksa ke sumber yang sesuai.
Daftar periksa ini hanya ditujukan untuk penggunaan umum. Meskipun
penggunaan daftar periksa ini membantu memastikan bahwa faktor-faktor yang
memadai telah dipertimbangkan, penggunaan daftar periksa ini tidak menjamin
pencegahan atau pendeteksian kecurangan dan daftar periksa ini tidak
dimaksudkan sebagai pengganti audit atau prosedur serupa. Jika pencegahan
kecurangan m e r u p a k a n h a l y a n g sangat penting atau jika dicurigai adanya
126 ■ Penilaian Risiko
kecurangan, Penipuan
penilaian sistematis di luar daftar periksa h a r u s dilakukan
dan/atau meminta nasihat dari spesialis.1
Daftar Periksa dan Dokumentasi Manajemen ■ 127
Risiko
■ Skema penipuan
■ Penilaian risiko yang melekat pada kecurangan dalam entitas atau
proses bisnis tertentu
■ Faktor yang dimiliki oleh pengendalian internal dalam memitigasi risiko
tersebut
■ ''Risiko residual'' yang tersisa setelah mitigasi pengendalian internal
yang ada terkait dengan skema penipuan ini dalam entitas atau proses
bisnis ini
■ Proses bisnis, di mana skema ini mungkin terjadi, jika memang terjadi
■ Tanda-tanda b a h a y a , yang dapat digunakan untuk mendeteksi skema ini
dll.), dan entitas atau elemen lain yang diidentifikasi oleh para pemimpin
dan tim. Ada kemungkinan perusahaan sangat besar sehingga lapisan yang
berbeda mungkin diperlukan: misalnya, unit bisnis digabungkan dengan
anak perusahaan, digabungkan dengan korporat, di mana risiko yang lebih
tinggi digabungkan dengan unit yang terkait dengan risiko tertentu. Cara yang
berpotensi lebih efektif, meskipun lebih menantang, untuk menilai risiko pada
tingkat tinggi dalam organisasi besar adalah dengan akuntansi atau proses
bisnis karena hal ini dapat lebih akurat mencerminkan risiko kecurangan
yang ada dan dapat lebih mudah diselaraskan dengan skema kecurangan;
misalnya, manajemen kas, penggajian, pembuatan produk "X", atau
penelitian dan pengembangan.
Skema Penipuan
Terdapat berbagai cara untuk menentukan skema penipuan yang akan
dicantumkan dalam kolom pertama pada Gambar 5.3 (Skema Penipuan).
Namun, kita sebaiknya memulai dengan taksonomi yang sudah ada (lihat Bab
2) dan menambahkan atau menghapus dari daftar tersebut sesuai kebutuhan.
Kemudian, dengan menggunakan taksonomi lain, atau penilaian yang baik
tentang skema tertentu yang merupakan risiko bagi industri atau entitas
tertentu, seseorang harus membuat penambahan atau penghapusan yang
diperlukan. Di sinilah nilai dari penggunaan brainstorming - tim yang
menggunakan kriteria bersama untuk memastikan bahwa skema yang
penting tidak terlewatkan dan skema yang tidak relevan tidak dipertimbangkan
(setidaknya untuk entitas tertentu, skema penipuan tertentu mungkin tidak
relevan).
Penilaian Kontrol
Auditor dan orang-orang penting lainnya dalam tim harus menentukan
kontrol apa saja yang tersedia untuk memitigasi skema penipuan tertentu.
Penilaian ini tentu saja harus sesuai dengan metode penilaian risiko inheren
(persentase atau tingkatan). Kita harus yakin untuk mempertimbangkan
bahwa orang-orang yang berada di posisi kunci dapat mengevaluasi
kelemahan dalam pengendalian internal dan risiko dengan sebaik-baiknya;
tetapi orang-orang yang sama juga berpotensi untuk melakukan kecurangan
di area tertentu.
Risiko Sisa
Fungsi matematis sederhana untuk mengurangi tingkat mitigasi kontrol dari
risiko inheren akan menyisakan risiko residual. Sekali lagi, ini akan mengambil
bentuk apa pun yang dipilih untuk risiko inheren. Risiko residual pasti akan
membutuhkan salah satu dari dua tanggapan: tidak ada tindakan, karena
risiko yang tersisa diterima, atau tindakan untuk memitigasi atau
memulihkan melalui prosedur pencegahan atau deteksi tambahan (bahkan
berpotensi termasuk pembelian asuransi). Tanggapan yang diambil harus
didokumentasikan dan ditelusuri dari waktu ke waktu, sebagai bagian untuk
menentukan kemampuan entitas dalam mengukur dan mengelola risiko.
Proses Bisnis
Kolom ini merupakan kolom notasi untuk mengidentifikasi proses bisnis
mana (misalnya, penerimaan kas, penggajian, dll.) yang terlibat dalam skema
ini. Pemilik proses bisnis harus didokumentasikan sebagai pihak yang
bertanggung jawab untuk area tersebut dan, jika berlaku, untuk menanggapi
risiko residual yang tidak dapat diterima. Mempertimbangkan jumlah
agregat dan peringkat risiko dari semua skema berdasarkan proses bisnis
juga dapat menjelaskan risiko penipuan.
Bendera Merah
Di sini tim akan mengidentifikasi tanda bahaya yang dapat dikaitkan dengan
skema tersebut. Dokumentasi ini merupakan titik awal untuk prosedur
pencegahan atau pendeteksian penipuan. Tanda-tanda bahaya tersedia dari
berbagai sumber literatur. Hal tersebut meliputi:
RINGKASAN
Penilaian risiko adalah titik awal yang penting untuk audit secara umum. Dalam
bab ini, penilaian risiko digunakan sebagai alat untuk program antifraud entitas,
di mana entitas berusaha meminimalkan risiko fraud. Dengan demikian, langkah
ini tidak terjadi selama proses audit kecurangan. Melainkan, ini adalah alat
untuk mengidentifikasi risiko dan mengatasi risiko yang paling penting.
Disarankan agar setiap bisnis, terutama y a n g d i p e r d a g a n g k a n secara
publik, m e l a k u k a n latihan ini secara teratur, dan bahwa auditor kecurangan
mempertimbangkan konsep-konsep ini dan kemampuan manajemen risiko
perusahaan dalam proses pencegahan, deteksi, dan investigasi kecurangan.
CATATAN
1. Joseph T. Wells, Prinsip-prinsip Pemeriksaan Kecurangan (New York: John Wiley &
Sons,
2008).
2. AU316, hal. 30-34.
3. Joseph T. Wells, Penipuan dan Penyalahgunaan di Tempat Kerja (Austin, TX:
ACEF, 1997).