BAB. I PENDAHULUAN
Sejak tindakan kecuranga Enron dan kecurangan lainnya terungkap pada saat bersamaan, telah terjadi fokus yang signifikan pada kecurangan, kontrol internal, dan konsep manajemen risiko kecurangan termasuk penilaian risiko. Bagian dari SarbanesOxley Act (SOX) pada tahun 2002 membawa perhatian lebih besar pada subjek-subjek ini dan memasukkan prinsip-prinsip yang terkait dengannya ke dalam undang-undang federal. Komisi Sekuritas dan Bursa Efek (SEC) dan akuntansi. Badan Pengawas Akuntansi Perusahaan Publik (PCAOB) telah mengeluarkan panduan mengenai topik ini. Komite Sponsoring Organizations (COSO) juga telah melakukan upaya signifikan dalam bidang penilaian risiko, yang menghasilkan Model COSO untuk penilaian risiko perusahaan. Meskipun demikian, statistik statistik kecurangan kecurangan menunjukkan konsistensi relatif dalam jumlah keseluruhan perkiraan kecurangan dan peningkatan jumlah kerugian dari penipuan yang benar-benar ditemukan. Landasan dan inti tata kelola perusahaan yang efektif, pengendalian internal, program ant fraud, atau penyelidikan kecurangan adalah penilaian risiko yang menyeluruh. Penilaian risiko fraud yang efektif bergantung pada pengetahuan tentang konsep penipuan (segitiga penipuan, bendera merah, skema penipuan, dan sistem informasi akuntansi), semua dipertimbangkan di lingkungan kecurangan yang berlaku (entitas, kerangka waktu, efektivitas pengendalian internal saat ini). Sementara istilah penilaian risiko mungkin menyiratkan latihan point-in-time periodik, manajemen risiko sejati memerlukan proses berkelanjutan yang berkelanjutan. Meskipun disajikan terutama dari perspektif internal terhadap entitas yang ada, konten di sini berlaku untuk penyelidikan kecurangan eksternal dan khalayak eksternal lainnya. Dalam dunia nyata, manajemen, konsultan, dan auditor sedang mempersiapkan dan menggunakan alat penilaian risiko fraud untuk mengelola risiko fraud. Budaya organisasi tercermin dalam penilaian risiko yang digunakan dalam hal : tingkat detail, kuantifikasi, dan gaya operasi manajemen dan auditor. Tidak peduli dari pihak ini menyiapkan dokumentasi, pertanyaan mendasar adalah sama. Mempersiapkan kebutuhan dokumentasi penilaian penilaian risiko harus menjawab tiga pertanyaan, yaitu: 1. Apakah risiko risiko fraud diidentifikasi? 2. Apakah pengendalian internal terkait dengan risiko risiko fraud? 3. Apakah risiko fraud dikurangi ketingkat yang dapat diterima? diterima?
1
BAB II TINJAUAN TEORITIS
2.1. Penilaiann Risiko
Gagasan tentang penilaian risiko telah menjadi bagian dari literatur teknis untuk audit, menyarankan atau secara langsung mensyaratkan bahwa audit memasukkan penilaian risiko. Untuk perusahaan publik, Standar Auditing PCAOB No. 5 (AS5), Audit Pengendalian Internal atas Pelaporan Keuangan yang Terintegrasi dengan Audit Laporan Keuangan (diadopsi pada tahun 2007), dibuat berdasarkan standar PCAOB yang ada sebelumnya No.2 (AS2 ) terutama dengan memperluas peran penilaian risiko. AS2 menangani penilaian risiko dari perspektif manajemen dan auditor, dan mencakup cakupan risiko di berbagai tingkatan (transaksional, akun, dan lain-lain). AS5 memajukan konsep AS2 dan menekankan pentingnya pendekatan berbasis risiko berbasis kendali atas kendali internal, dan pentingnya memahami lingkungan entitas (ukuran, industri, dan lain-lain). Secara umum, standar PCAOB dilengkapi dengan bahasa, konten, dan saran mengenai penilaian risiko. American Institute of Certified Public Accountants (AICPA) mengadopsi
standar ''Suite Risk'' , Pernyataan Standar Auditing (SAS) No. 104-111 pada tahun 2006. Secara umum, Suite Risk menangani penilaian risiko dalam konteks keuangan. pernyataan audit dan pengendalian internal. Seperti AS5, Suite Risk mencakup penekanan pada audit berbasis holistik, top-down, berbasis risiko termasuk pengetahuan menyeluruh tentang lingkungan entitas dan pengendalian internalnya. Lebih spesifik untuk kecurangan, SAS No. 99 dari AICPA, Penimbangan Penipuan dalam Audit Laporan Keuangan, memberikan panduan bagi auditor keuangan, termasuk melakukan brainstorming selama tahap perencanaan, dan pengakuan paksa terhadap potensi penipuan tertentu, terutama manipulasi
pendapatan.
Secara
lebih
luas,
standar
AICPA
memerlukan
pertimbangan sejumlah faktor spesifik organisasi, seperti industri, strategi, dan lain-lain. Auditor diminta untuk menyesuaikan sifat, waktu, dan tingkat prosedur audit jika keadaan memerlukannya, berdasarkan penilaian risiko selama brainstorming dan pengetahuan selanjutnya dan hasil dari prosedur. Institute of Internal Auditor (IIA) mempromosikan gagasan bahwa semua
audit dan fungsi audit internal harus dimulai dengan penilaian risiko (misalnya, bagian 2010 dan 2600 Standar Praktik Profesional dalam Audit Internal [SPPIA]). Asosiasi Audit dan Pengendalian Sistem Informasi (ISACA) juga memiliki 2
persyaratan yang sama dalam literatur teknisnya. Pernyataan Standar Audit Sistem Informasi (SISAS), Penggunaan Penilaian Resiko dalam Perencanaan Audit, menguraikan persyaratan tertentu yang terkait dengan kecurangan dalam audit teknologi informasi. Banyak standar ISACA lainnya juga menangani penilaian risiko, terutama SISAS 8, Pertimbangan Audit untuk Penyimpangan. Salah satu model risk-based auditing yang dapat digunakan adalah model yang diperkenalkan oleh The Committee of Sponsoring Organizations of the Treadway Commissions (COSO). Model COSO menunjukkan hubungan antara
risiko organisasi dengan perencanaan audit. Model COSO menggambarkan pendekatan pengendalian intern dari perspektif tujuan organisasi, risiko yang dihadapi dalam mencapai tujuan organisasi dan selanjutnya pengendalian yang diperlukan
untuk
menekan
risiko.
Manajemen
bertanggung
jawab
untuk
menentukan tujuan organisasi yang hendak dicapai serta berupaya untuk mencapainya secara optimal dengan menggunakan sumber daya yang tersedia. Dalam proses penggunaan sumber daya, manajemen menghadapi berbagai ketidakpastian yang dapat menimbulkan dampak negatif (risiko) atau pengaruh positif (kesempatan) bagi organisasi. Kaitan antara ketidakpastian dan pencapaian tujuan organisasi sangat tergantung pada kemampuan manajemen untuk mengidentifikasi ketidakpastian tersebut sehingga selanjutnya manajemen dapat merancang langkah-langkah dan prosedur pengendalian untuk menekan risiko dan mengoptimalkan kesempatan. Upaya manajemen untuk mengidentifikasi risiko dan menekan risiko serta mengoptimalkan kesempatan tersebut biasa dikenal sebagai Manajemen Risiko (Risk Management ). Dalam risk-based auditing , auditor melakukan tahapan-tahapan: a. Mengidentifikasi tujuan organisasi b. Menilai risiko: Mengidentifikasi risiko
Mengukur risiko
c. Menetapkan prioritas dalam usaha untuk meminimalisasi risiko. d. Memahami upaya yang sudah dilakukan manajemen untuk meminimalisasi risiko yang ada, yang dapat berupa merancang dan menerapkan pengendalian intern, mengasuransikan dan men-diversifikasikan. 2.2. Faktor Penilaian Risiko
Konsep dasar penilaian risiko adalah probabilitas (kemungkinan suatu peristiwa akan terjadi) dan dampak (besarnya kejadian jika terjadi). Betapapun 3
sederhana konsep tersebut, mengukur dan menerapkannya adalah sulit. Faktor penilaian risiko ini dapat dipertimbangkan di berbagai tingkatan, termasuk entitas, orang (perilaku), divisi, geografi, produk atau layanan, proses akuntansi atau bisnis, kontrol, atau sistem komputerisasi. Biasanya, faktor pertama adalah pada tingkat entitas, karena probabilitas kecurangan, pencurian, atau penggelapan di lingkungan kerja berasal eksekutif dan karyawan, kondisi kerja, efektivitas pengendalian internal, dan tingkat kejujuran didalamnya (budaya organisasi atau lingkungan). Namun dalam prosesnya, perspektif yang berbeda harus disertakan dan/atau diperiksa dalam proses penilaian risiko, termasuk bagaimana entitas manajemen menggabungkan praktik terbaik manajemen risiko. 2.2.1. Faktor Lingkungan Perusahaan The Association of Certified Fraud Examiners (ACFE) pada tahun 2008 Report to the Nation (RTTN) mensurvei anggotanya mengenai kecurangan
yang dipecahkan, dan total 959 kasus dilaporkan terjadi. Salah satu statistik berkaitan dengan lingkungan industri dimana kasus tersebut terjadi. Sementara
hasil
statistik
dapat
menunjukkan
jenis
industri
yang
kemungkinan besar akan menyewa Certified Fraud Examiner (CFE) untuk menyelidiki kecurangan, hasilnya juga dapat mengindikasikan industri lebih rentan terhadap kecurangan. Bagi industri yang lebih rentan terhadap kecurangan, entitas dalam industri tersebut memiliki risiko penipuan yang lebih besar - sesuatu yang perlu dipertimbangkan dalam penilaian risiko bagi entitas tersebut. Artinya, penilaian risiko harus memperhitungkan tingkat risiko kecurangan yang dinilai dalam industri entitas. Hasil survei yang dilakukan oleh RTTN tahun 2008 adalah: a. Industri menurut frekuensi: Layanan Perbankan/Keuangan (14,5% dari semua kasus dilaporkan)
Administrasi Pemerintahan/Pemerintahan (11,7%)
Perawatan kesehatan (8,4%)
Manufaktur (7,2%)
Ritel (7%)
b. Industri dengan Median Loss:
Telekomunikasi ($ 800.000 / 16 kasus)
Pertanian / Kehutanan / Perikanan / Berburu ($ 450.000 / 13 kasus)
Manufaktur ($ 441.000 / 65 kasus)
Teknologi ($ 405.000 / 28 kasus)
4
Konstruksi ($ 330.000 / 42 kasus) Selain mempertimbangkan jenis industri penilaian risiko juga harus
mempertimbangkan ekonomi saat ini. Survei 2008-2009 oleh ACFE meminta 507 CFE untuk melaporkan tingkat kecurangan sejak awal krisis ekonomi. Lebih dari setengah menunjukkan bahwa jumlah kecurangan meningkat selama waktu itu. Juga, 49 persen melaporkan kenaikan jumlah dolar dari kerugian penipuan selama periode yang sama. Teorinya adalah bahwa satu dari segitiga penipuan itulah yang oleh Donald Cressey disebut sebagai 'kebutuhan finansial yang tak terbelakang' atau tekanan dan orangorang pada umumnya berada di bawah tekanan selama resesi ekonomi dan dalam hal ini akan ada menjadi peningkatan yang diharapkan dalam penipuan. Selain itu, kearifan konvensional di antara anggota komunitas audit dan keamanan menunjukkan bahwa organisasi yang paling rentan adalah mereka yang memiliki manajemen, akuntansi, dan kontrol keamanan terlemah. 2.2.2. Faktor Internal
Faktor internal yang meningkatkan probabilitas kecurangan, pencurian, dan penggelapan termasuk pengendalian manajemen atau pemantauan kegiatan yang tidak memadai seperti berikut ini: a. Gagal menciptakan budaya yang jujur b. Gagal mengartikulasikan dan mengkomunikasikan standar kinerja minimum dan perilaku pribadi c. Orientasi dan pelatihan yang tidak memadai mengenai masalah hukum, etika, penipuan, dan keamanan d. Kebijakan perusahaan yang tidak memadai sehubungan dengan sanksi atas pelanggaran hukum, etika, dan keamanan; terutama untuk penipuan dan kejahatan kerah putih e. Gagal untuk memberi nasihat dan melakukan tindakan administratif saat tingkat kinerja atau perilaku pribadi berada di bawah standar yang dapat diterima, atau melanggar prinsip dan pedoman entitas f. Ambiguitas dalam peran pekerjaan, tugas, tanggung jawab, dan bidang pertanggungjawaban g. Kurangnya audit, inspeksi, dan tindak lanjut berkala atau periodik untuk memastikan kepatuhan terhadap tujuan, prioritas, kebijakan, prosedur, dan peraturan perundang-undangan 5
2.2.3. Faktor Fraud
Setiap
penilaian
risiko
juga
harus
mempertimbangkan
skema
kecurangan yang lebih mungkin terjadi untuk memandu program antifraud. Penanggulangan pencegahan dan deteksi tentu lebih efektif jika mereka menangani skema kecurangan yang paling mungkin dilakukan. Untuk kecurangan laporan keuangan, jelas eksekutif entitas adalah calon penipu yang paling mungkin terjadi dan dengan demikian penilaian risiko harus mencakup individu tersebut. Untuk penyalahgunaan aset, karyawan yang berada dalam posisi terpercaya cenderung menjadi pelakunya. Untuk korupsi, itu mungkin sama tapi mencakup seseorang di luar entitas yang bekerja dengan seseorang di dalam - karakteristik unik dari skema korupsi. 2.3. Risiko Penilaian Praktik Terbaik
Jika suatu entitas tidak melakukan penilaian risiko formal, ia tidak dapat secara efektif mempertahankan diri dari risiko tersebut, atau mengurangi risiko tersebut dengan alasan yang jelas. Untuk mengembangkan penilaian risiko yang efektif, manajemen harus mengambil pendekatan formal dan teliti daripada pendekatan ad hoc . Pendekatan itu mencakup orang-orang dan prosesnya. Proses penilaian risiko harus mencakup orang atau kelompok yang tepat, dan idealnya harus mencakup sebuah tim. Untuk manajemen organisasi, orang yang tepat biasanya adalah seseorang yang memiliki independensi yang cukup, seperti seseorang dari fungsi audit internal, dan kemampuan untuk secara efektif mendukung manajemen risiko. Nilai seseorang yang berpengalaman dan terbukti efektif dalam menilai risiko yang terkait dengan fungsi penilaian risiko tidak dapat dilebih-lebihkan. Saat akan melakukan pembentukan tim penilaian risiko, setiap anggota tim harus dipilih dengan hati-hati. Meskipun harus dimulai dengan pakar dan/atau konsultan internal, harus mencakup bagian penampang yang luas. Penampang itu harus melibatkan berbagai tingkat entitas, terutama tingkat manajemen. Tim harus mewakili semua unit bisnis utama (terutama akuntansi dan penjualan karena kebanyakan kecurangan terjadi di sana), proses bisnis, posisi kunci, dan perspektif yang diperlukan untuk memberikan penilaian risiko kualitas. Orang yang berpikir kreatif, beralasan logis, memahami bisnis dan industri dengan baik, dan secara efektif dapat bermain advokat setan harus dicari, terlepas dari posisi mereka. Mendokumentasikan penilaian risiko sangat penting, terutama karena dokumentasi dapat ditinjau ulang jika risiko yang dinilai telah atau belum 6
terealisasi. Dokumentasi kemudian dapat dijadikan alat pembelajaran untuk penilaian dan tindakan pencegahan yang lebih efektif. Dokumentasi juga menetapkan akuntabilitas bagi orang-orang yang terlibat dalam proses tersebut. 2.3.1. Frekuensi dan Alignment dengan Keuangan
Penilaian risiko formal dalam suatu entitas harus dilakukan secara teratur, mungkin setiap 12 sampai 24 bulan. Frekuensi tahunan akan memungkinkan penilaian risiko kecurangan untuk disesuaikan dengan kerangka waktu perencanaan keuangan dan/atau pelaporan keuangan yang khas. Perencanaan keuangan memerlukan pertimbangan masa depan yang tumpang tindih dengan keuangan dan kecurangan. Pelaporan keuangan
dapat
mencakup
temuan
(penyesuaian,
pengungkapan,
kekurangan kontrol, dan lain-lain) yang mungkin memerlukan pertimbangan di masa depan. Idealnya, penilaian risiko adalah proses yang terus menerus
dimana
pemilik
pusat
secara
konsisten
memantau
dan
menyesuaikan diri dengan lingkungan penipuan dengan 'penyegaran' periodik dari penilaian risiko dan rencana respons. Perusahaan publik memiliki SOX § 404 sebagai jenis mandat dari proses iteratif ini. 2.4. Rencana Audit Berbasis Risiko
Tahap perencanaan audit ini merupakan langkah awal dan sekaligus penting dalam menghasilkan proses dan hasil audit yang efisien dan efektif. Ada beberapa alasan mengapa rencana audit tahunan perlu disusun: a. Dewan komisaris dan direksi membutuhkan rencana dimaksud sebagai sebuah target bagi pelaksanaan audit intern. b. Dengan perencanaan ini, Internal Audit Group (DAI) dapat menetapkan:
Arah atau tujuan, pendekatan dan prioritas audit,
Sumber
daya
(tenaga,
waktu
dan
biaya)
yang
dibutuhkan
untuk
melaksanakan setiap audit, sekaligus membandingkannya dengan sumber daya yang tersedia,
Melakukan audit secara efektif dan efisien.
c. Untuk beberapa industri diwajibkan oleh regulator. Rencana audit ini harus dibuat sejalan dengan piagam audit dan dengan tujuan akhir (goal ) perusahaan, sebagaimana ditegaskan dalam Performance Standard dari the IIA nomor 2010 yaitu agar "The chief audit executive should establish riskbased plans to determine the priorities of the internal audit activity, consistent with the organization's goals ." 7
Standar ini menganjurkan agar rencana kegiatan audit intern didasarkan pada penaksiran risiko (risk assessment ) yang dilakukan sekurangnya setahun sekali, mempertimbangkan masukan dari dewan komisaris dan direksi serta tujuan untuk menilai dan meningkatkan pengelolaan risiko dan kegiatan operasi perusahaan maupun untuk menambah nilai. 2.5. Prinsip Penyusunan Rencana Audit
Menurut Robert T. (2005), ada beberapa prinsip yang perlu diperhatikan dalam penyusunan rencana audit, yaitu sebagai berikut: a. Mempertimbangkan peran dan tanggung jawab auditor yang unik serta kebutuhan untuk mengintegrasikan faktor risiko ke dalam setiap audit mulai dari yang memiliki score risiko lebih tinggi. b. Karena sumber daya untuk melaksanakan audit (tenaga, waktu dan dana) terbatas, tidak mungkin untuk melakukan audit dengan coverage 100%. Keterbatasan ini tercermin dari pemakaian risk assessment guna menetapkan skala prioritas audit. c. Kriteria dalam risk assessment yang digunakan untuk menetapkan ranking dari audit universe, memberi penekanan akan pentingnya pemahaman mengenai sistem pengendalian intern dari auditee yang sebenarnya, yang mungkin saja berbeda dari yang lain. d. Apabila pada konsep lama seorang atau beberapa auditor mendapat tugas audit untuk satu subyek pada satu saat tertentu, maka dengan konsep baru ini seorang atau lebih auditor akan mendapat beberapa tugas audit untuk satu saat tertentu. e. Adanya inherent risk dan keterbatasan metode atau sistem penetapan prioritas audit, mengharuskan internal audit untuk secara berkala mengkaji semua faktor risiko serta proses scoring yang ada dalam rangka menyempurnakan rencana audit. Berdasarkan prinsip-prinsip di atas, kegiatan penyusunan rencana audit harus didasarkan pada sebuah penilaian atas risiko dan eksposur yang punya dampak negatif terhadap upaya pencapaian tujuan perusahaan. Informasi mengenai program memitigasi risiko yang memiliki dampak pada tujuan perusahaan haruslah menjadi tujuan akhir dari audit.
8
2.6. Manajemen Risiko Ceklist dan Dokumentasi
Daftar periksa dirancang untuk membantu akuntan dalam menilai dan mengelola risiko kecurangan dalam organisasi mereka dan kepentingan klien mereka. Umumnya, semua jawaban ''Tidak'' yang diberikan memerlukan investigasi dan tindak lanjut, yang hasilnya harus didokumentasikan. Bila ada dokumentasi tambahan semacam itu, maka tujuan dari kolom 'Ref' adalah untuk referensi silang daftar periksa ke sumber yang sesuai. Daftar periksa ini hanya untuk penggunaan umum saja. Sementara penggunaan daftar periksa membantu memastikan faktor yang memadai dipertimbangkan,
dengan
menggunakan
daftar
periksa
tidak
menjamin
pencegahan atau deteksi kecurangan dan daftar periksa tidak dimaksudkan sebagai pengganti audit atau prosedur serupa. Jika pencegahan kecurangan adalah masalah yang sangat penting atau jika dugaan kecurangan, penilaian sistematis di luar daftar periksa harus dilakukan dan/atau saran spesialis harus dicari. 2.6.1. Daftar Periksa Skema Penipuan
Pendekatan lain untuk penilaian risiko adalah menggunakan taksonomi yang tepat dari skema penipuan. Misalnya, fraud tree ACFE dapat digunakan untuk menentukan setidaknya daftar awal skema penipuan. Kolom dari bentuk penilaian risiko ini meliputi: a. Skema penipuan b. Penilaian risiko inheren untuk kecurangan tersebut dalam entitas atau proses bisnis tertentu c. Faktor-faktor kontrol internal telah mengurangi sisa risiko yang tersisa setelah mitigasi kontrol internal yang ada terkait dengan skema penipuan ini dalam entitas atau proses bisnis ini. d. Proses bisnis, dimana skema ini mungkin terjadi, jika memang terjadi e. Red flags, yang bisa digunakan untuk mendeteksi skema ini 2.6.2. Entitas yang berbeda untuk dinilai
Jika sebuah organisasi cukup besar, penilaian risiko tunggal mungkin tidak berguna seperti penilaian risiko yang terpisah. Dalam hal ini, disarankan agar penilaian dan tim yang berbeda digunakan untuk setiap unit bisnis utama, setiap proses bisnis penting yang melintasi unit bisnis, unit perusahaan dan entitas atau elemen lain yang menjadi pemimpin dan tim mengidentifikasi mungkin saja perusahaan itu begitu besar sehingga 9
diperlukan lapisan yang berbeda: misalnya, unit bisnis digulirkan ke anak perusahaan, digulirkan ke perusahaan, di mana risiko yang lebih tinggi digulirkan secara spesifik mengenai unit yang terkait dengan risiko spesifik. Cara yang berpotensi lebih efektif, meski lebih menantang, untuk menilai risiko pada tingkat tinggi di organisasi besar adalah dengan proses akuntansi atau bisnis karena ini dapat secara lebih akurat mencerminkan risiko kecurangan yang ada dan dapat lebih mudah disesuaikan dengan skema penipuan. 2.6.3. Skema Penipuan
Ada berbagai cara untuk menentukan skema penipuan yang akan dicantumkan.
Namun,
seseorang
harus
memulai
dengan
beberapa
taksonomi mapan dan menambahkan atau menghapus dari daftar itu sesuai kebutuhan. Kemudian, dengan menggunakan taksonomi lain, atau penilaian yang baik mengenai skema spesifik yang berisiko terhadap industri atau entitas tertentu ini, seseorang harus melakukan penambahan atau penghapusan
yang
diperlukan.
Inilah
gunanya
menggunakan
tim
brainstorming menggunakan kriteria bersama untuk memastikan bahwa skema penting tidak dilewatkan dan skema yang tidak relevan tidak dipertimbangkan (setidaknya untuk entitas tertentu skema kecurangan tertentu mungkin tidak relevan). a. Pengukuran dan Hubungan Mengukur risiko secara kuantitatif biasanya cukup sulit. Beberapa dasar harus digunakan sebagai akibat wajar dari dampak potensi kerugian dari kemungkinan kecurangan. Apa indikasi yang relevan, andal, dan representatif dari pengukuran yang membutuhkan risiko? Penentuan seperti itu harus dibuat dan disepakati oleh tim sesuai dengan kriteria bersama dan direncanakan. Tugas kritis dan sulit untuk mengukur risiko kembali merupakan bukti pentingnya memilih tim yang beragam dan mencakup organisasi yang dapat membuat keputusan logis selama proses penilaian risiko. b. Risiko yang Inheren Tim harus menentukan risiko inheren untuk skema penipuan ini untuk entitas atau proses bisnis ini. Penilaian bisa menjadi probabilitas (1 sampai 100 persen) atau hanya berisiko rendah, sedang, atau tinggi.
10
Sejumlah faktor dapat dipertimbangkan di sini, beberapa di antaranya adalah industri, strategi, volatilitas pasar, dan struktur organisasi. c. Penilaian Kontrol Auditor
dan
orang-orang
penting
lainnya
dalam
tim
harus
menentukan kontrol apa di tempat untuk mengurangi skema kecurangan spesifik. Penilaiannya tentu saja sesuai dengan metode penilaian risiko inheren
(persentase
mempertimbangkan
atau bahwa
tingkat).
Kita
orang-orang
di
harus
yakin
untuk
posisi
kunci
dapat
mengevaluasi kelemahan dalam pengendalian dan risiko internal; tetapi orang-orang yang sama berpotensi melakukan kecurangan di wilayah tertentu. d. Risiko Residual Fungsi matematika sederhana untuk mengurangi tingkat mitigasi kontrol dari risiko inheren akan meninggalkan risiko residual. Sekali lagi, itu akan berbentuk apa pun yang dipilih untuk risiko inheren. Resiko sisa pasti akan memerlukan satu dari dua tanggapan: tidak ada tindakan, karena risiko yang tersisa diterima, atau tindakan untuk mengurangi atau memperbaiki melalui prosedur pencegahan atau pendeteksian tambahan (bahkan berpotensi termasuk pembelian asuransi). Tanggapan yang diambil harus didokumentasikan dan dilacak dari waktu ke waktu, sebagian untuk menentukan kemampuan entitas untuk mengukur dan mengelola risiko. e. Proses Bisnis Kolom ini adalah kolom notasi untuk mengidentifikasi proses bisnis mana (yaitu, penerimaan kas, penggajian, dan lain-lain) terlibat dengan skema ini. Proses bisnis pemilik harus didokumentasikan sebagai pihak yang bertanggung jawab atas wilayah tersebut dan, jika berlaku, untuk menanggapi risiko residu yang tidak dapat diterima. Mengingat jumlah gabungan dan peringkat risiko dari semua skema oleh proses bisnis juga dapat menjelaskan risiko penipuan. f. Red Flags
Disini tim akan mengidentifikasi bendera merah yang bisa dikaitkan dengan
skema
tersebut.
Dokumentasi
ini
merupakan
titik
awal
pencegahan penipuan atau prosedur deteksi. Bendera merah tersedia dari berbagai sumber literatur. Mereka termasuk:
11
ISACA’s standard 030.020.0 10 (SISAS 8), Audit Considerations for Irregularities
AICPA SAS No. 99, Consideration of Fraud in a Financial Statement Audit
PCAOB Standards No. 5 and No. 2
Penipuan dan Penyalahgunaan Okupasi
Kebijakan perusahaan, prosedur, dan pengendalian internal
Kasus penipuan aktual, terutama entitas
12
BAB. III KASUS
Sejarah mencatat kasus Phar Mor Inc. sebagai kasus fraud yang melegenda dikalangan auditor keuangan. Eksekutif di Phar Mor secara sengaja melakukan fraud untuk mendapatkan keuntungan financial yang masuk ke saku pribadi individu di jajaran top manajemen perusahaan. Phar Mor Inc, termasuk perusahaan retail terbesar di Amerika Serikat yang dinyatakan bangkrupt pada bulan Agustus 1992 berdasarkan undang-undangan U.S. Bangkruptcy Code. Pada masa puncak kejayaannya, Phar Mor mempunyai 300 outlet besar di hampir seluruh negara bagian dan memperkerjakan 23,000 orang karyawan. Produk yang dijual sangat bervariasi, dari obat-obatan, furniture, electronik, pakaian olah raga hingga videotape. Dalam melakukan fraud, top manajemen Phar Mor membuat 2 laporan ganda. Satu laporan inventory , sedangkan laporan lain adalah laporan bulanan keuangan (monthly financial report ). Satu set laporan inventory berisi laporan inventory yang benar (true report ), sedangkan satu set laporan lainnya berisi informasi tentang inventory yang di adjustment dan ditujukan untuk auditor use only . Demikian juga dengan laporan bulanan keuangan, laporan keuangan yang benar – berisi tentang kerugian yang diderita oleh perusahaan, ditujukan hanya untuk jajaran eksekutif. Laporan lainnya adalah laporan yang telah dimanipulasi sehingga seolah-olah perusahaan mendapat keuntungan yang berlimpah. Dalam mempersiapkan laporanlaporan tersebut, manajemen Phar Mor sengaja merekrut staf dari Kantor Akuntan Publik (KAP) Cooper & Lybrand. Staf-staf tersebut yang kemudian dipromosikan menjadi Vice President bidang financial dan kontrol, yang dikemudian hari ternyata terbukti turut
terlibat aktif dalam fraud tersebut. Dalam kasus Phar Mor, salah satu syarat agar internal audit bisa berfungsi, yaitu fungsi control environment telah diberangus. Control environment sangat ditentukan oleh attituted dari manajemen. Idealnya, manajemen harus mendukung penuh aktivitas internal audit dan mendeklarasikan dukungan itu kesemua jajaran operasional perusahaan. Top manajemen Phar Mor, tidak menunjukkan attitude yang baik. Manajemen kemudian malah merekrut staf auditor dari KAP Cooper & Librand untuk turut dimainkan dalam fraud. Langkah ini bukan tanpa perencanaan matang. Staf mantan auditor kemudian dipromosikan menduduki jabatan penting, tetapi dengan imbalan harus membuat laporan-laporan keuangan ganda.
13
Sejauh ini manajemen Phar Mor telah membuktikan tentang teori: The Fraud Triangle. Yaitu teori yang menerangkan tentang penyebab fraud terjadi. Menurut teori ini,
penyebab
fraud
terjadi
akibat
3
hal:
Insentive/Pressure,
Opportunity dan
Rationalization/Attitude. Insentive/Pressure adalah ketika manajemen atau karyawan
mendapat insentive atau justru mendapat tekanan (presure) sehingga mereka “commited ” untuk melakukan fraud. Opportunity adalah peluang terjadinya fraud akibat
lemahnya atau tidak efektivenya control sehingga membuka peluang terjadinya fraud. Sedangkan Rationalization/Attitude menjelaskan teori yang menyatakan bahwa fraud terjadi karena kondisi nilai-nilai etika lokal yang membolehkan terjadinya fraud . Dalam kasus Phar Mor, setidak-tidaknya top manajemen telah membuktikan satu dari tiga penyusun triangle, yaitu : top manajemen telah melakukan Insentive/Pressure.
14
BAB. IV KESIMPULAN
Penilaian risiko merupakan titik awal yang penting untuk audit pada umumnya penilaian risiko digunakan sebagai alat untuk program entitas antifraud, ketika entitas berusaha untuk meminimalkan risiko fraud -nya. Dengan demikian, langkah ini tidak terjadi selama proses pemeriksaan fraud . Sebaliknya, alat untuk mengidentifikasi risiko dan alamat yang paling penting. Disarankan bahwa setiap bisnis, terutama publik yang diperdagangkan satu, melalui latihan ini secara teratur, dan bahwa auditor fraud mempertimbangkan konsep-konsep dan risiko manajemen, kemampuan manajemen risiko menjadi pencegahan fraud, deteksi, dan investigasi.
15
DAFTAR PUSTAKA
Dwisajono. 2014. Kasus Kecurangan Audit : Perusahaan Phar Mor Inc. https:// dwisarjono. wordpress. com/ 2014/ 10/ 29/ kasus- kecurangan- audit- perusahaanphar-mor-inc/ (diakses di Makassar, 29 September 2017) Singleton, Tommie dan Aaron J. Singleton.2010. Fraud Auditing and Forensic Accounting 4th ed. New Jersey: John Wiley & Sons, Inc. Setyobudi, Yayon Wahyu. 2006. Permodelan Penilaian Risiko (Risk Assesment) dalam Perencanaan Audit Umum Pada Divisi Audit Intern (Studi KAsus pada Bank ABC Kantor Cabang Jakarta). Tesis. Program Pascasarjana Universitas Diponegoro. Robert Tampubolon. 2005. Risk and Systems-Based Internal Auditing. PT Elex Media Komputindo, Jakarta.
16
