Professional Documents
Culture Documents
PENGANTAR
Sejak Enron dan penipuan lainnya di dekat saat yang sama, telah ada fokus yang
signifikan pada penipuan, pengendalian internal, dan konsep manajemen risiko fraud
termasuk penilaian risiko. Bagian dari Sarbanes-Oxley Act (SOX) pada tahun 2002
membawa kedua lebih memperhatikan mata pelajaran dan menempatkan prinsip yang
berhubungan dengan mereka dalam hukum federal. Komisi Sekuritas dan Bursa (SEC) dan
lengan akuntansi Publik Perusahaan Accounting Oversight Board (PCAOB) telah
menerbitkan panduan tentang topik ini. Komite Sponsoring Organizations (COSO) juga telah
melakukan upaya yang signifikan di bidang penilaian risiko, memproduksi COSO Model
untuk penilaian risiko perusahaan. theless None-, statistik penipuan (seperti disampaikan
dalam Bab 2) menunjukkan konsistensi relatif dalam jumlah keseluruhan diperkirakan
penipuan dan peningkatan jumlah kerugian dari penipuan benar-benar menemukan.
Gagasan dari penilaian risiko telah menjadi bagian dari literatur teknis untuk audit,
menunjukkan atau langsung mengharuskan risiko audit menggabungkan assessment. Standar
dalam beberapa tahun terakhir mencerminkan peningkatan cakupan pada risiko. Bagi
perusahaan publik, PCAOB ini Standar Auditing No 5 (AS5), Audit Pengendalian Internal
atas Pelaporan Keuangan yang terintegrasi dengan Audit Laporan Keuangan (diadopsi pada
tahun 2007), dibangun di atas standar PCAOB sebelumnya sudah ada No 2 (AS2 ) terutama
dengan memperluas peran risiko penilaian. AS2 ditujukan penilaian risiko dari perspektif
manajemen dan auditor, dan termasuk cakupan risiko di berbagai tingkatan (transaksional,
akun, dll). AS5 furthered konsep AS2 dan menekankan pentingnya top-down, pendekatan
berbasis risiko untuk audit pengendalian internal, dan pentingnya memahami lingkungan
entitas (ukuran, industri, dll). Secara garis besar, standar PCAOB diresapi dengan bahasa, isi
yang, dan saran mengenai penilaian risiko.
American Institute Akuntan Publik (AICPA) mengadopsi '' Suite risiko '' standar,
Pernyataan Standar Auditing (SAS) Nos. 104-111 tahun 2006. Secara garis besar, penilaian
risiko alamat Suite Risiko dalam konteks audit laporan keuangan dan pengendalian internal.
Seperti AS5, Suite Risiko mencakup penekanan pada holistik, top-down, pendekatan audit
berbasis risiko termasuk pengetahuan mendalam tentang lingkungan entitas dan kontrol
internal. Lebih spesifik untuk penipuan, AICPA SAS No. 99, Pertimbangan Penipuan dalam
Audit Laporan Keuangan, memberikan panduan bagi auditor keuangan, termasuk curah
pendapat selama fase perencanaan, dan pengakuan paksa penipuan potensial tertentu,
terutama memanipulasi pendapatan. Lebih luas, standar AICPA memerlukan pertimbangan
dari sejumlah faktor organisasi tertentu, seperti industri, strategi, dan sebagainya. Auditor
diminta menyesuaikan sifat, waktu, dan luas prosedur audit jika keadaaan mendesaknya,
berdasarkan penilaian risiko selama brainstorming dan pengetahuan berikutnya dan hasil dari
prosedur.
The Institute of Internal Auditors (IIA) mempromosikan gagasan bahwa semua audit
internal fungsi audit dan kegiatan harus dimulai dengan penilaian risiko (misalnya, bagian
2010 dan 2600 dari Standar Praktik Profesional di Audit Internal [SPPIA]). Sistem Informasi
Audit dan Pengendalian Association tion (ISACA) juga memiliki persyaratan yang sama
dalam literatur teknis. Pernyataan tentang Sistem Audit Informasi Standar (SISAS),
Penggunaan Penilaian Risiko dalam Perencanaan Audit, menguraikan persyaratan tertentu
yang terkait dengan penipuan untuk audit teknologi informasi. Banyak standar lain ISACA
mengatasi penilaian risiko juga, terutama SISAS 8, Pertimbangan Audit untuk
Penyimpangan.
Konsep dasar penilaian risiko adalah probabilitas (peluang suatu peristiwa akan
terjadi) dan dampak (besarnya event jika terjadi). Namun sederhana konsep-konsep yang,
mengukur dan menerapkannya sulit. Faktor-faktor apa yang harus dipertimbangkan? alat apa
yang dapat membantu dalam menilai risiko? Bagaimana risiko secara tepat diukur?
Faktor yang dapat dipertimbangkan pada berbagai tingkatan, termasuk entitas, orang
(menjadi- havioral), divisi, geografi, produk atau jasa, akuntansi atau bisnis proses, kontrol,
atau sistem komputerisasi. Biasanya, faktor yang dianggap pertama di tingkat entitas, sebagai
probabilitas penipuan, pencurian, atau penggelapan dalam lingkungan kerja merupakan
produk kepribadian eksekutif dan karyawan, kondisi kerja, efektivitas pengendalian internal,
dan tingkat kejujuran di dalamnya (budaya organisasi atau lingkungan). Namun proses
dimulai, perspektif yang berbeda harus dimasukkan dan / atau diperiksa dalam proses
penilaian risiko, termasuk bagaimana manajemen entitas menggabungkan manajemen risiko
praktik terbaik.
Association of Certified Fraud Examiners (ACFE) 2008 Report to the nation (RTTN)
disurvei anggotanya mengenai penipuan yang diselesaikan, dan total 959 kasus yang
dilaporkan. Salah satu statistik berkaitan dengan industri diwakili oleh kasus ini. Sementara
hasil statistik bisa menunjukkan jenis industri yang paling mungkin untuk menyewa Certified
Fraud Examiner (CFE) untuk menyelidiki penipuan, hasilnya juga bisa menunjukkan industri
lebih rentan terhadap penipuan. Untuk industri yang lebih rentan terhadap penipuan, entitas
dalam industri tersebut jelas memiliki risiko yang lebih besar penipuan adalah sesuatu yang
perlu dipertimbangkan dalam penilaian risiko bagi mereka entitas. Artinya, penilaian risiko
harus mempertimbangkan tingkat risiko penipuan dinilai dalam industri entitas.
Hasil RTTN tahun 2008:
kesehatan (8,4%)
Manufaktur (7,2%)
Ritel (7%)
Sebuah penilaian risiko juga harus mempertimbangkan ekonomi saat ini. Di masa
yang baik, orang mencuri; di saat buruk, orang mencuri lagi! Sebuah survei 2008-2009 oleh
ACFE meminta 507 CFEs untuk melaporkan tingkat penipuan sejak awal krisis ekonomi.
Lebih dari separuh menunjukkan bahwa jumlah penipuan meningkat selama waktu itu. Juga,
49 persen melaporkan peningkatan jumlah dolar dari kerugian penipuan selama periode yang
sama. Teorinya adalah bahwa satu kaki dari segitiga penipuan adalah apa Donald Cressey
disebut sebagai '' kebutuhan keuanganyang tidak bias dibagikan '' atau tekanan (seperti
tercantum dalam Bab 2) dan orang-orang pada umumnya berada di bawah tekanan lebih
selama resesi ekonomi dan dalam arti bahwa ada akan menjadi peningkatan yang diharapkan
dalam penipuan.
ditakuti Pembangun
Impulsif Pembantu
Hukuman
Sistem Memperkuat pengakuan, promosi,
Miskin
penghargaan menambahkan tugas tanggung jawab
Dikelola secara poliotis
Faktor Penipuan
Apa penilaian risiko juga harus mempertimbangkan skema penipuan yang lebih
mungkin terjadi dalam rangka untuk memandu program antifraud. Pencegahan dan
deteksi penanggulangan tentu lebih efektif jika mereka mengatasi skema penipuan paling
mungkin dilakukan.
Untuk penipuan laporan keuangan, jelas para eksekutif dari entitas yang paling mungkin
calon penipu dan dengan demikian penilaian risiko tentu akan mencakup individu. Untuk
penyalahgunaan aset, karyawan dalam posisi dipercaya cenderung menjadi pelakunya.
Untuk korupsi, mungkin sama tetapi mencakup seseorang di luar entitas bekerja dengan
seseorang di dalam-ciri yang unik dari skema korupsi.
Statistik dari ACFE RTTNs dapat memberikan beberapa bantuan dalam membuat
penentuan ini, seperti yang bisa brainstorming produktif tim lintas fungsional.
Praktik Terbaik Penilaian Risiko
Jika entitas tidak melakukan penilaian risiko formal, tidak dapat secara efektif
mempertahankan diri dari risiko-risiko tersebut, atau mengurangi risiko-risiko untuk
alasan yang jelas. Dalam rangka mengembangkan penilaian risiko yang efektif,
manajemen harus mengambil teliti, pendekatan formal daripada ad hoc pendekatan.
Pendekatan itu termasuk orang-orang dan proses prosesnya.
Pemimpin
Proses penilaian risiko harus mencakup orang atau kelompok yang tepat, dan idealnya
harus mencakup sebuah tim. Untuk manajemen organisasi, orang yang tepat biasanya
akan menjadi seseorang yang memiliki kemerdekaan yang cukup, seperti seseorang dari
fungsi audit internal, jika ada, dan kemampuan untuk secara efektif mendukung
manajemen risiko. Nilai memiliki seseorang yang berpengalaman dan terbukti efektif
dalam menilai resiko yang terlibat dengan fungsi penilaian risiko tidak dapat dilebih-
lebihkan. Demikian juga dukungan dari komite audit entitas dan / atau direksi.
Tim
Tim harus dipilih dengan hati-hati. Meskipun harus mulai dengan ahli internal dan /
atau konsultan, itu harus menyertakan penampang luas entitas. Bahwa penampang harus
melibatkan berbagai tingkat entitas, terutama tingkat manajemen. tim harus mewakili
semua unit bisnis utama (terutama akuntansi dan penjualan karena sebagian besar
penipuan terjadi di sana), proses bisnis, posisi kunci, dan perspektif yang diperlukan
untuk pro- vide penilaian risiko kualitas. Orang-orang yang berpikir kreatif, alasan logis,
memahami bisnis dan industri dengan baik, dan secara efektif dapat memainkan pembela
setan harus dicari, terlepas dari posisi mereka.
Penilaian risiko Formal dalam suatu entitas harus dilakukan secara teratur, mungkin
setiap 12 sampai 24 bulan. Frekuensi tahunan akan memungkinkan penilaian risiko
penipuan untuk menyelaraskan dengan perencanaan keuangan yang khas dan / atau
kerangka waktu pelaporan keuangan. perencanaan keuangan memerlukan pertimbangan
masa depan berlebihan lapping keuangan dan penipuan. pelaporan keuangan dapat
mencakup temuan (penyesuaian, pengungkapan, Kekurangan control, dll) yang mungkin
membutuhkan waktu.
Idealnya, penilaian risiko adalah proses yang berkesinambungan dimana pemilik pusat
konsisten memantau dan beradaptasi dengan lingkungan penipuan dengan periodik ''
refresh '' dari penilaian risiko dan rencana untuk respon. perusahaan publik memiliki SOX
404 sebagai jenis diamanatkan dari proses berulang-ulang ini.
Daftar periksa ditampilkan di Exibit 5.2 dirancang untuk membantu akuntan dalam
menilai dan mengelola risiko penipuan dalam organisasi mereka dan orang-orang dari klien
mereka. Umumnya, semua '' Tidak ada '' jawaban memerlukan investigasi dan tindak lanjut,
hasil yang harus didokumentasikan. Dimana ada dokumentasi tambahan seperti, tujuan dari
'kolom' Ref '' adalah untuk referensi silang checklist ke sumber yang tepat.
Pada checklist ditujukan untuk penggunaan umum saja. Sedangkan penggunaan
checklist membantu memastikan faktor yang memadai dianggap, menggunakan checklist
tidak menjamin pencegahan penipuan atau deteksi dan daftar ini tidak dimaksudkan sebagai
pengganti audit atau prosedur yang sama. Jika pencegahan penipuan adalah perhatian
terutama penting atau jika penipuan diduga, penilaian yang sistematis melampaui checklist
harus dilakukan dan / atau saran spesialis harus dicari.
Pendekatan lain untuk penilaian risiko adalah dengan menggunakan taksonomi yang
sesuai skema penipuan. Misalnya, pohon penipuan ACFE dapat digunakan untuk menentukan
setidaknya daftar awal skema penipuan. Pendekatan ini dapat bekerja dengan baik. Kolom ini
berupa penilaian risiko (Exibit 5.3)
Skema penipuan
Penilaian risiko yang melekat untuk itu penipuan dalam entitas atau proses bisnis
tertentu
Pengendalian internal faktor memiliki dalam memitigasi risiko yang
The '' risiko residual '' tersisa setelah mitigasi pengendalian internal yang ada terkait
dengan skema penipuan ini di badan atau bisnis ini proses
Proses bisnis, di mana skema ini mungkin terjadi, jika hal itu terjadi
Bendera merah, yang dapat digunakan untuk mendeteksi skema ini
Jika sebuah organisasi yang cukup besar, penilaian risiko tunggal mungkin tidak
berguna seperti penilaian risiko terpisah. Dalam hal ini, dianjurkan bahwa penilaian yang
berbeda dan tim yang akan digunakan untuk setiap unit bisnis utama, setiap proses bisnis
yang signifikan yang melintasi unit bisnis, unit perusahaan (eksekutif, dll), dan entitas lain
atau elemen yang para pemimpin dan tim mengidentifikasi. Hal ini dimungkinkan perusahaan
adalah begitu besar sehingga lapisan yang berbeda mungkin diperlukan: misalnya, unit bisnis
digulung ke anak perusahaan, digulung ke perusahaan, di mana risiko yang lebih tinggi
digulung dengan spesifik untuk unit yang terkait dengan risiko tertentu. Sebuah berpotensi
lebih efektif, meskipun lebih menantang, cara untuk menilai risiko pada tingkat tinggi dalam
organisasi besar adalah dengan proses akuntansi atau bisnis seperti ini dapat lebih akurat
mencerminkan risiko penipuan hadir dan dapat lebih mudah menyesuaikan dengan skema
penipuan; misalnya, manajemen kas, penggajian, produk turing pabrikan '' X, '' atau
penelitian dan pengembangan.
Fraud Skema
Ada berbagai cara untuk menentukan skema penipuan yang termasuk ke dalam kolom
pertama dari Exibit 5.3 (Skema Penipuan). Namun, orang harus mulai dengan beberapa
taksonomi didirikan (lihat Bab 2) dan menambahkan atau menghapus dari daftar yang
diperlukan. Kemudian, menggunakan taksonomi lainnya, atau penilaian baik tentang skema
tertentu yang risiko untuk industri tertentu atau badan, seseorang harus membuat penambahan
yang diperlukan atau penghapusan. Disini adalah nilai menggunakan curah pendapat-tim
menggunakan kriteria bersama untuk memastikan bahwa skema penting tidak terjawab dan
bahwa skema tidak relevan tidak dianggap (setidaknya untuk entitas tertentu skema penipuan
tertentu mungkin tidak relevan).
Kontrols Assessment
Auditor dan orang-orang penting lainnya dalam tim harus menentukan kontrol apa
berada di tempat untuk mengurangi skema penipuan tertentu. penilaian akan, tentu saja,
sesuai dengan metode untuk menilai risiko yang melekat (persentase atau tingkat). Salah satu
harus yakin untuk menganggap bahwa orang di posisi kunci terbaik dapat mengevaluasi
kelemahan pengendalian internal dan risiko; tapi orang-orang yang sama yang berpotensi
orang-orang untuk melakukan penipuan di daerah tertentu.
Risiko Risidual
Sebuah fungsi matematika sederhana mengurangi tingkat mitigasi kontrol dari risiko
yang melekat akan meninggalkan risiko residual. Sekali lagi, itu akan mengambil bentuk apa
pun yang dipilih untuk risiko yang melekat. risiko residual pasti akan memerlukan salah satu
dari dua tanggapan: tidak ada tindakan, karena risiko yang tersisa diterima, atau tindakan
untuk mengurangi atau memulihkan melalui prosedur pencegahan atau deteksi tambahan
(bahkan berpotensi termasuk pembelian asuransi). Respon yang diambil harus
didokumentasikan dan dilacak dari waktu ke waktu, sebagian untuk menentukan kemampuan
entitas untuk mengukur dan mengelola risiko.
Proses Bisnis
Kolom ini adalah kolom notasi untuk mengidentifikasi proses bisnis (yaitu,
penerimaan kas, penggajian, dll) yang terlibat dengan skema ini. Pemilik proses bisnis harus
didokumentasikan sebagai pihak yang bertanggung jawab untuk wilayah dan, jika berlaku,
untuk menanggapi risiko residual yang tidak dapat diterima. Mengingat jumlah dan risiko
peringkat agregat dari semua skema oleh proses bisnis juga dapat menjelaskan risiko fraud.
Red Flags
Di sini tim akan mengidentifikasi bendera merah yang bisa dikaitkan dengan skema.
Dokumentasi ini adalah titik awal untuk prosedur pencegahan fraud atau deteksi. bendera
merah tersedia dari berbagai sumber literatur. Mereka termasuk:
standar 030.020.010 (SISAS 8), Pertimbangan Audit ISACA untuk penyimpangan
AICPASAS No. 99, Pertimbangan Penipuan dalam Audit Laporan Keuangan
PCAOBStandar No 5 dan No 2
Pekerjaan Penipuan dan Penyalahgunaan
Kebijakan perusahaan, prosedur, dan pengendalian internal
Kasus penipuan yang sebenarnya, terutama entitas
RINGKASAN
Penilaian Risiko adalah titik awal penting bagi audit pada umumnya. Dalam bab ini,
penilaian risiko digunakan sebagai alat untuk program antipenipuan entitas, di mana entitas
sedang mencoba untuk meminimalkan risiko fraud-nya. Dengan demikian, langkah ini tidak
terjadi selama proses pemeriksaan penipuan. Sebaliknya, itu adalah alat untuk
mengidentifikasi risiko dan alamat yang paling penting. Disarankan bahwa setiap bisnis,
terutama publik yang diperdagangkan satu, melalui latihan ini secara teratur, dan bahwa
auditor penipuan mempertimbangkan konsep-konsep dan kemampuan manajemen
pengelolaan resiko dalam kursus pencegahan fraud, deteksi, dan investigasi.
n