FRAUD RISKS AND CONTROLS Perngertian dari kata “fraud” segera menunjukkan pengkhianatan kepercayaan dan penemuan kesalahan. Pertimbangkan pengalaman anda sendiri ketika mendengar istilah “fraud” yang digunakan untuk mengekspresikan kemarahan moral dalam konteks umum, misalnya. "Dia penipu!" atau "Tapi, tunggu-bukankah itu penipuan?" Memang, penipuan membangkitkan kemarahan banyak orang benar dan emosi karena menunjuk pada ketidakadilan, orang yang tidak jujur dengan sengaja menipu orang lain. Bahkan, profesi audit AS, dengan cara sipil dan profesional, terus melihat penipuan sebagai "penyimpangan akuntansi" sampai sebelum abad ke-21. Pada saat itu, kecurangan laporan keuangan telah meningkat secara dramatis dalam insiden dan dampaknya, dan itu menjadi perlu untuk membuang eufemisme dan menyebutnya dengan pantas. Salah satu risiko penting yang dihadapi oleh organisasi kontemporer adalah risiko fraud. Ketika fraud itu muncul – apakah itu fraud internal, penipuan pihak ketiga, atau penipuan kolusi, dapat menimbulkan dampak keuangan yang signifikan serta merusak reputasi serius pada organisasi. Dalam banyak kasus, terjadinya penipuan dengan cepat mengarah pada penurunan harga saham dan kapitalisasi pasar, dan merupakan indikator awal kesulitan keuangan, yang akhirnya menyebabkan kebangkrutan atau kehancuran perusahaan. Memang, fraud dan kesulitan keuangan tampaknya berhubungan satu sama lain seperti “ayam-dantelur” dengan semacam cara: Penipuan dapat menyebabkan kesulitan keuangan, tapi kesulitan keuangan sering memicu terjadinya fraud. Mengingat konsekuensi ekonomi yang serius mengenai fraud, manajemen senior dari banyak organisasi berada di bawah tekanan untuk mengatasi meningkatnya ekspektasi kunci yang terkait dengan bisnis, kepatuhan terhadap peraturan dan penggerak dalam mengembangkan program antifraud dan pengendalian aktivitas. Fokus global diperbaharui pada tata kelola perusahaan yang berasal dari kesadaran bahwa laporan keuangan dengan mudah dapat dipalsukan bagi organisasi mana pun. Sejak tahun 2002, penekanan pada perbaikan tata kelola perusahaan telah menjadi tren yang semakin global, pada beberapa negara seperti Inggris, Perancis, dan Jerman (dan Eropa pada umumnya), Kanada, Indonesia, Afrika Selatan, Australia, India, Jepang yang mengadopsi regulasi dan peraturan baru. Jelas, faktor pendorong di belakang peraturan tersebut adalah untuk menjaga kepercayaan pasar dengan langsung menangani mitigasi dan risiko penipuan pelaporan keuangan. Akibatnya, penjaga integritas keuangan, di antara internal auditor, telah mencapai keunggulan yang signifikan dan semakin sering diminta untuk memainkan peran kunci dalam mencegah, menghalangi, dan mendeteksi fraud dalam organisasi laba, pemerintah, dan organisasi nirlaba global. Pada tingkat internasional, standar relevan pemberian pedoman bagi auditor adalah International Standar on Auditing (ISA) Nomor 240: Tanggung Jawab Auditor untuk Pertimbangkan Penipuan dan Kesalahan dalam Audit Laporan Keuangan, yang dikeluarkan oleh Federasi Akuntan Internasional (IFAC). Walaupun standar ini berlaku terutama untuk auditor independen di luar, auditor internal juga akan mendapatkan keuntungan dari penelaahan atas isi dan bimbingan. Fraud, penyia-nyiaan, dan penyalahgunaan juga menjadi
perhatian besar dalam pemerintahan, dan baru-baru ini direvisi dan diperbarui Generally Accepted Goverment Auditing Standards (GAGAS) di Amerika Serikat - juga dikenal sebagai Buku Kuning – mencurahkan beberapa bagian tanggung jawab pemerintah auditor internal di daerah ini. Selain itu, individu-individu dan organisasi yang dibebankan dengan lebih-melihat manajemen senior (misalnya, komite audit) dan mereka yang bertanggung jawab untuk pelaporan keuangan dan pemantauan pengungkapan yang memiliki harapan tinggi sehubungan dengan auditor internal untuk mencegah suatu penipuan. Penelitian terbaru dalam tata kelola perusahaan perbandingan menemukan bahwa reformasi pemerintahan adalah tren global, dan internal auditor di seluruh dunia sedang menghadapi meningkatnya ekspektasi dalam memerangi fraud. DEFINISI FRAUD Organisasi yang mewakili profesional khusus seperti auditor internal dan auditor eksternal, serta penguji fraud, telah berusaha untuk mendefinisikan fraud dan menggariskan peran dan tanggung jawab anggota masing-masing konstitusi. Selain gelar Certified Internal Auditor (CIA), pelatihan auditor internal sering disebut sebutan lainnya seperti Certified Public Accountants (CPA), atau Chartered Accountant di yurisdiksi non-US, dan Certified Fraud Examiner (CFE). Dengan demikian, definisi fraud dinyatakan oleh Institute of International Auditors (IIA), the American Institute of Certified Public Accountants (AICPA), dan Asspciation of Certified Fraud Examiner (ACFE), akan dibahas di bawah ini. Institute of Internal Auditor's Definition IIA menyatakan definisi fraud dalam kerangka praktik profesional sebagai berikut: Fraud. Setiap tindakan ilegal ditandai dengan penipuan, penyembunyian atau pelanggaran kepercayaan. Tindakan ini tidak tergantung pada aplikasi kekerasan atau ancaman kekerasan fisik. Penipuan yang dilakukan oleh partai dan organisasi untuk memperoleh kekayaan uang, atau jasa; untuk menghindari pembayaran atau hilangnya layanan, atau untuk mengamankan keuntungan pribadi atau bisnis. Secara khusus, peran fungsi audit internal telah ditekankan dalam undang-undang terbaru, mandat peraturan, serta tata-organisasi yang berfokus di seluruh dunia. Auditor Internal, sebagai "mata dan telinga, dan lengan dan kaki dari komite audit," dianjurkan untuk mempertimbangkan pertanyaan-pertanyaan berikut: • Apa risiko fraud sedang dipantau oleh fungsi audit internal secara berkala atau teratur? Bagaimana fungsi audit internal untuk melanjutkan audit terhadap risiko ini? (Sebuah konsekuensi penting dari dugaan fraud adalah kerusakan reputasi yang signifikan terhadap organisasi, merek, produk, dan orang.) • Prosedur spesifik apa yang dilakukan oleh fungsi audit internal untuk pengelolaan kegiatan pengawasan internal? • Apakah sesuatu yang terjadi akan mengakibatkan fungsi audit internal untuk mengubah penilaian mengenai risiko, menggantikan pengelolaan kegiatan pengawasan internal?
• Apa kompetensi dan keahlian auditor internal dalam mengatasi risiko fraud dalam
organisasi? Kapan mereka harus membawa spesialis untuk menangani isu-isu khususnya yang kompleks? • Bagaimana seharusnya fungsi audit internal mencurahkan perhatiannya pada pencegahan, pencegahan, pengintaian, dan aspek investigasi penipuan? • Selain membentuk garis pelaporan langsung kepada komite audit, bagaimana status organisasi independen terhadap fungsi audit internal diperkuat? Bagaimana mereka bisa datang untuk diandalkan sebagai profesional yang kompeten dan objektif dalam menangani risiko penipuan dan isu-isu kontrol untuk organisasi? American Institute of Certified Public Accountants’ Definition Mengingat fokus utama profesi akuntansi publik pada audit laporan keuangan, sekarang berkembang di Amerika Serikat untuk termasuk audit pengendalian internal atas pelaporan keuangan berdasarkan Section 404 dari undang-undang Sarbanex-Oxley tahun 2002, tidak mengherankan bahwa AICPA membahas konsep fraud dengan mengevaluasi hubungannya dengan, dan efek, laporan keuangan organisasi. Dengan demikian, definisi AICPA - diambil dari Statement on Auditing (SAS) 99 yang berlaku efektif untuk audit laporan keuangan setelah 15 Desember 2002 - menggambarkan dua jenis penipuan: salah saji yang timbul dari penipuan laporan keuangan (distorsi laporan keuangan) dan salah saji yang timbul dari penyalahgunaan aset (pencurian atau penyalahgunaan aset organisasi). Penipuan pelaporan keuangan melibatkan salah saji disengaja atau kelalaian dari jumlah atau pengungkapan dalam laporan keuangan yang dirancang untuk mengelabui pengguna laporan keuangan. Sifat dari salah saji atau kelalaian adalah kegagalan laporan keuangan yang akan disajikan dalam semua hal yang material, sesuai dengan prinsip akuntansi yang berlaku umum (GAAP). Penipuan pelaporan keuangan yang dapat dicapai sebagai berikut: • Manipulasi, pemalsuan, atau perubahan catatan akuntansi atau dokumen pendukung dari laporan keuangan yang disusun. • Keliru dalam, atau kelalaian yang disengaja dari, laporan keuangan peristiwa, transaksi, atau informasi penting lainnya. • Kesalahan yang disengaja dalam penerapan prinsip akuntansi yang berkaitan dengan jumlah, klasifikasi, cara penyajian, atau pengungkapan. Salah saji yang timbul dari penyalahgunaan aset (kadang-kadang disebut sebagai polferage, penggelapan, dari penyalahgunaan kepercayaan) melibatkan pencurian atas aktiva suatu entitas yang mempengaruih penyebab laporan keuangan tidak untuk disampaikan, dalam semua hal yang material, sesuai dengan GAAP. Penyalahgunaan aset dapat dilakukan dengan berbagai cara, termasuk menggelapkan penerimaan, mencuri aset, atau menyebabkan suatu entitas membayar untuk barang atau jasa yang belum diterima. Penyalahgunaan aset bisa disertai dengan catatan palsu atau menyesatkan dokumen, atau bukti yang mungkin dibuat untuk menghindari kegiatan pengawasan internal. Sering, kolusi dengan karyawan yang lain atau pihak ketiga juga mungkin terlibat.
Association of Certified Fraud Examiners’ Definition Association of Certified Fraud Examiner (ACFE), pada tahun 2006 dengan Laporan untuk Report to the Nation on Occupational Fraud and Abuse mendefinisikan fraud sebagai berikut: Penggunaan pekerjaan seseorang untuk peng-kayakan pribadi melalui penyalahgunaan yang disengaja atau penyalahgunaan sumber daya organisasi atau aset. Penipuan kerja mencakup berbagai kesalahan oleh karyawan, manajer, dan eksekutif. Skema penipuan kerja dapat yang digambarkan secara sederhana seperti pencurian kas kecil atau serumit penggelapan laporan keuangan. Empat unsur dari penipuan kerja. seperti: • Apakah rahasia (yaitu, kerahasiaan dan curiga). • Melanggar tugas untuk organisasi. • Apakah berkomitmen untuk manfaat keuangan langsung atau tidak langsung bagi pelaku. • Biaya aktiva organisasi yang mempekerjakan, nilai atau cadangan. The ACFE's Uniform Occupational Fraud Classification (Fraud Tree), menggambarkan tiga jenis utama dari penipuan: penyalahgunaan aset, yang melibatkan pencurian atau penyalahgunaan aset organisasi (misalnya, menggelapkan pendapatan, mencuri persediaan, penipuan penggajian), korupsi, di mana penipu menyalahgunakan pengaruh mereka dalam transaksi bisnis untuk mendapatkan beberapa keuntungan untuk diri sendiri atau orang lain, bertentangan dengan kewajiban mereka untuk majikan mereka atau hak-hak orang lain (misalnya,,berurusan suap diri, konflik kepentingan), dan penipuan laporan, yang umumnya melibatkan pemalsuan organisasi; laporan keuangan (misalnya, pendapatan melebihlebihkan, pemahaman kewajiban dan biaya). CFEs melakukan investigasi akuntansi forensik (biasanya setelah fakta, ketika predikasi ada) untuk menyelesaikan tuduhan atau kecurigaan terjadinya fraud, pelaporan baik ke tingkat yang memadai dari manajemen atau komite audit atau komisaris, tergantung pada sifat masalah dan personel yang terlibat. Mereka juga dapat membantu komite audit dan dewan komisaris dengan aspek dari proses pengawasan, baik secara langsung atau sebagai bagian dari tim auditor internal atau auditor independen luar, dalam mengevaluasi penilaian risiko fraud dan tindakan pencegahan fraud yang dilaksanakan oleh manajemen senior. Mereka dapat memberikan masukan yang lebih objektif dalam evaluasi manajemen terhadap risiko penipuan (terutama penipuan yang melibatkan manajemen senior, seperti pemalsuan laporan keuangan) dan pengembangan antifraud sesuai dengan kegiatan pengendalian yang kurang rentan terhadap manajemen. Dalam beberapa tahun terakhir, beberapa profesional internal audit telah memperoleh penunjukan gelar CFE dan, memiliki keahlian khusus yang diperoleh, yang lebih siap untuk melaksanakan tanggung jawab mereka di daerah ini. Sejak 1996, ACFE telah merilis Report to the Nation, yang menyoroti pada sebagian besar biaya penipuan kerja yang membebankan organisasi. Tujuan lain dari laporan ini adalah untuk:
• Ringkaskan pendapat ahli pada persentase dan jumlah pendapatan organisasi yang
hilang sehubungan dengan penipuan dan penyalahgunaan. • Menguji karakteristik karyawan yang melakukan pekerjaan penipuan penyalahgunaan. • Kategorisasi cara-cara penipuan yang serius dan penyalahgunaan terjadi.
dan
Governance, Risk Management dan Pengendalian Aktivitas dalam Konteks Fraud Secara umum regulator pasar modal di seluruh dunia sedang memperkenalkan aturan-aturan yang dirancang untuk meningkatkan akuntabilitas manajemen untuk proses pelaporan keuangan dan untuk memperkuat tata kelola perusahaan. Beberapa dari mandat legislatif dan persyaratan peraturan, baik secara langsung maupun tidak langsung, akan membantu menciptakan dan mempertahankan suatu lingkungan pengendalian yang lebih kuat sehingga meningkatkan kemungkinan mencegah, menghalangi, dan mendeteksi laporan keuangan atau penipuan lainnya. Selanjutnya, implementasi kerangka kerja setiap enterprisewide manajamen risiko - misalnya, Committee of Sponsoring Organization of the Treadway Commission (COSO) Enterprise Risk Management (ERM) - Integrated Framework - akan mengharuskan penekanan ditempatkan pada evaluasi dan penilaian risiko fraud negatif yang mempengaruhi pencapaian tujuan organisasi dan sasaran strategis. Sehubungan dengan tanggung jawab manajemen untuk membuat dan memelihara sistem pengendalian internal yang efektif untuk mencegah, menghalangi, dan mendeteksi penipuan, IIA Praktek Penasehat 1210.A2-2, Tanggung Jawab Penipuan Deteksi, menyatakan bahwa “manajemen memiliki tanggung jawab untuk membangun dan memelihara keefektifan sistem kontrol dengan biaya yang wajar.” Penyisihan khusus yang didapat dari review berkembang aturan dan peraturan, serta standar profesional, yang dirangkum di bawah ini, bersama dengan indikasi tentang bagaimana fungsi audit internal mungkin terlibat dalam upaya-upaya: • Dukungan komite audit (atau sejajar pemerintahan) memastikan pengawasan bahwa manajemen telah mengimplementasikan sistem pengendalian internal yang efektif, termasuk pengendalian kegiatan untuk membantu mencegah, menghalangi, dan mendeteksi fraud. Komite Audit juga diperlukan untuk membuat prosedur untuk menerima dan menindaklanjuti keluhan dari pegawai mengenai pengendalian kegiatan, serta akuntansi dan masalah audit yang dipertanyakan. Jelas, fungsi audit internal memiliki peran penting dalam mendukung komite audit melaksanakan fungsi pengawasan, termasuk menerapkan ketentuan yang efektif. Praktik terbaik di bidang ini merekomendasikan bahwa jaringan etika diperluas untuk mencakup tidak hanya karyawan tetapi juga orang-orang di luar organisasi seperti vendor, pelanggan, dan pihak ketiga lainnya. • Penilaian validasi manajemen dan dari laporan, keefektivan sistem pengendalian internal perusahaan dan prosedur untuk pelaporan keuangan, termasuk kontrol mitigasi risiko penipuan. Internal auditor independen dapat memeriksa dan memberikan tingkat jaminan tertentu tentang keberhasilan upaya ini sebelum laporan pengesahan formal auditor independen luar.
• Memberikan jaminan dalam [manajemen chief executive officer (CEO) dan chief
financial officer (CFO)] sertifikasi laporan keuangan di setiap triwulan dan laporan tahunan yang diajukan, misalnya, dengan Securities and Exchange Commission (SEC). Seperti keharusan menekankan tanggung jawab utama manajemen dalam merancang dan melaksanakan kegiatan pengendalian internal yang efektif di seluruh organisasi, dan pengaturan nada yang tepat di bagian atas. Auditor Internal dapat memberikan jaminan kepada manajemen tentang efektifitas pengendalian internal yang mendasari atas pelaporan keuangan, serta kontrol operasional, dan kepatuhan hukum dan peraturan. Mereka juga bisa mendapatkan arti dari iklim etis dalam organisasi melalui pengujian berkala program anti fraud dan pengendalian aktivitas. • Mengawasi pengungkapan tahunan apakah perusahaan telah mengadopsi kode etik yang mencakup CEO dan pejabat senior keuangan. Catatan bahwa SEC mendefinisikan kode istilah etika sebagai standar yang cukup untuk mencegah kesalahan dan untuk mengembangkan: Jujur dan perilaku etis. Kendali, adil, akurat, tepat waktu, dan pengungkapan dalam laporan SEC yang bisa dipahami dan komunikasi publik. Kepatuhan terhadap hukum pemerintah yang berlaku, regulasi dan peraturan. Minta pelaporan internal mengenai pelanggaran kode. Akuntabilitas untuk kepatuhan terhadap kode. Auditor Internal dapat berkonsultasi pada desain organisasi seperti kode etik/etika, serta kegiatan pengendalian untuk mengurangi integritas risiko. Mereka juga dapat menguji kondisi etis serta persepsi nada yang berlaku di bagian atas. Selain itu, fungsi audit internal juga dapat melakukan posting etika audit untuk menentukan apakah suatu organisasi mengadopsi kode etik, telah dilaksanakan dengan baik dan tepat. Peran Auditor Internal Auditor Internal merupakan bagian integral dari tata organisasi, dan harus mendukung kegiatan ERM seperti digambarkan dalam kerangka COSO ERM. Salah satu risiko yang paling penting yang mempengaruhi suatu organisasi adalah kerentanan terhadap fraud. Memang, tanpa mitigasi risiko fraud ke tingkat yang cukup rendah, "pemerintahan yang efektif" bukan merupakan kalimat bermakna. Dengan kata lain, terjadinya penipuan materi pertama dan terutama menunjukkan kegagalan tata kelola perusahaan (termasuk penilaian yang tidak tepat terhadap risiko dari organisasi dan penerimaan risiko). Oleh karena itu adalah tanggung jawab setiap fungsi audit internal untuk meningkatkan kesadaran fraud dalam sebuah organisasi, termasuk mendorong komite audit dan manajemen senior untuk mengatur pengakuan yang tepat, menciptakan kesadaran kontrol, dan membantu mengembangkan respon yang kredibel terhadap potensi risiko fraud. Hal ini juga harus menekankan adanya kepatuhan terhadap nilai-nilai organisasi dan kode etik perusahaan serta melaporkan setiap kegiatan yang meningkatkan kecurigaan bahwa ini dapat ilegal, tidak etis, atau dengan cara lainnya. Komite audit dan dewan komisaris mengharapkan tidak kurang dari hasil yang kompeten dan nilai tambah dari fungsi audit internal.
Selain itu, standar 2130 menyatakan bahwa “kegiatan audit internal harus menilai dan membuat rekomendasi yang sesuai untuk meningkatkan proses pemerintahan dalam pemenuhan atas tujuan sebagai berikut: • Memajukan nilai-nilai dan etika yang sesuai dalam organisasi. • Memastikan kinerja manajemen dalam organisasi efektif dan akuntabilitas. • Secara efektif mengkomunikasikan risiko dan pengendalian informasi ke daerahdaerah yang sesuai dalam organisasi. • Secara efektif mengkoordinasikan kegiatan dan mengkomunikasikan informasi di antara dewan komisaris, auditor internal dan eksternal, dan manajemen.” Mengingat pentingnya fungsi audit dalam memperkuat proses tata kelola, penilaian risiko fraud dan mitigasi merupakan area yang penting dalam fokus audit. Auditor internal sering memiliki kompetensi untuk mengidentifikasi indikator fraud (kadang-kadang disebut "bendera merah"). Mereka yang dapat memberikan jaminan independen dan obyektif tentang efektivitas dari proses yang ditempatkan oleh manajemen untuk mengelola risiko fraud. Mereka bertanggung jawab untuk meninjau program anti fraud dan secara spesifik mencegah terjadinya penipuan, dan kegiatan pengendalian deteksi yang ditetapkan oleh manajemen, dan untuk membuat rekomendasi untuk meningkatkan efisiensi dan efektivitas program tersebut. Ketergantungan Auditor Eksternal pada Hasil Pelaporan Audit Internal Dalam konteks audit laporan keuangan, auditor independen luar dapat meninjau pekerjaan yang dilakukan oleh fungsi audit internal maupun membuat permintaan tenaga audit internal, meningkatkan pemahaman mereka terhadap kecukupan dan efektivitas pengendalian internal atas pelaporan keuangan..Iinformasi tersebut dapat bermanfaat bagi auditor independen di luar itu, kemudian hanya perlu melakukan prosedur audit kritis yang dibutuhkan untuk menjelaskan atau menyelesaikan laporan keuangan yang signifikan (pengungkapan) mengenai masalah pengendalian. Beberapa contoh dari pertanyaan yang mungkin dibuat dari auditor internal adalah keandalan dan integritas efektivitas keuangan dan operasional, kecukupan dan efektivitas informasi keuangan, pengamanan aset, kepatuhan terhadap peraturan hukum, dan kontrak, dan indikator penipuan. Tentu saja, perlu ditekankan bahwa auditor independen luar terus memiliki tanggung jawab secara keseluruhan untuk menyatakan pendapat terhadap laporan keuangan organisasi, baik atau tidak, sebagian didasarkan pada kepercayaan dari pekerjaan yang dilakukan oleh fungsi audit internal. Memahami Fraud, Fraudsters, dan Faktor Fraud Risk Ilmu perilaku sejauh ini tidak mampu mengidentifikasi kesatuan karakteristik psikologis atau serangkaian karakteristik yang dapat berfungsi sebagai penanda kecenderungan seseorang untuk melakukan fraud. Pada saat yang sama, untuk mengatakan bahwa "keserakahan dan ketidakjujuran" - yang biasadidengar dengan menahan diri - dapat menjelaskan semua yang terjadi di selama antusiasme "irasional" tahun 1990-an akan terlalu sederhana. Bagaimanapun, ada banyak profesional di dunia bisnis yang sangat ambisius, kompetitif, dan kaya, namun sepenuhnya mematuhi hukum. Mereka tidak selalu melaukan fraud untuk mencapai tujuan peregangan mereka. Satu akuntan forensik yang berpengalaman dan pengujian fraud. Thomas Golden dari PricewaterhouseCoopers, berpendapat bahwa pelaku
penipuan pelaporan keuangan sesuai dengan salah satu dari dua profil: “berorientasi yang lebih besar”atau tipe “licik/egois.” Mereka yang cocok dengan profil berorientasi lebih besar adalah "”ndividu dinyatakan jujur yang menggambarkan nomor dengan rasionalisasi bahwa apa yang mereka lakukan yang terbaik bagi compay.” Sedangkan tipe jenis licik/egois adalah “individu yang mengabaikan kebenaran., sangat menyadari apa yang mereka lakukan dan yang berusaha untuk mencapai tujuan yang tidak jujur.” Dari perspektif kriminologi, fraud, seperti kejahatan lainnya, dapat dijelaskan oleh tiga faktor: adanya motivasi, ketersediaan target yang sesuai, dan tidak adanya sistem pengendalian keamanan. Berikut adalah kerangka konseptual Segitiga Fraud. Segitiga Fraud Sebuah kerangka kerja konseptual yang penting dalam pemahaman fraud adalah Cressey's Segitiga Fraud, berdasarkan apakah polisi dan detektif melihat sebagai “sarana, motif, dan kesempatan.” Pemikiran pertama oleh sosiolog Donald Cressey dan disebarluaskan oleh Association of Certified Fraud Examiner, bahwa segitigafraud memiliki tiga komponen: pressure, perceived opportunity, dan rationalization. Penipuan segitiga menyoroti tiga unsur yang dapat disebut akar penyebab "fraud" yang selalu hadir, tak peduli jenis penipuan apapun. Pelaku fraud ingin memanipulasi kenyataan atau tekanan yang dirasakan untuk menunjukkan kinerja (misalnya, menghasilkan sikap bahwa ketika Anda tidak bisa "membuat" angka-angka, Anda hanya "membuat" angka), mereka perlu melihat kesempatan yang luas sehingga mereka dapat melakukan penipuan dengan mudah (misalnya, tidak ada yang mengawasi toko, karyawan dipercaya benar-benar), dan yang paling penting, mereka perlu untuk merasionalisasi tindakan mereka sebagai diterima. Rasionalisasi memungkinkan pelaku penipuan percaya bahwa mereka telah melakukan sesuatu yang salah, dan “orang normal.” Khususnya, pelaku penipuan harus mampu membenarkan tindakan mereka untuk diri mereka sebagai sebuah mekanisme psikologis yang erurusan dengan disonansi "kognitif" (yaitu, kurangnya kesesuaian antara persepsi mereka sendir untuki bersikap jujur dan sifat/perilaku menipu). Mereka butuh alasan. Daftar umum meliputi: • Semua orang melakukannya, jadi saya tidak berbeda. • Mengambil uang dari kas hanyalah sementara dengan kata lain “meminjam.” Uang itu akan dikembalikan saat perjudian/taruhan dimenangkan. • Pengusaha tidak menggaji saya, jadi saya pantas mendapat “tunjangan” sebagai kompensasi masuk akal, dan perusahaan tertentu dapat membelinya. • Saya tidak menyakiti siapa pun - Sebenarnya, hal itu untuk tujuan mulia. • Hal ini bukanlah masalah serius. Pertimbangkan beberapa contoh: Seorang karyawan toko mebel mencuri persediaan, dapat mengambil keuntungan dari lemahnya kegiatan pengawasan internal (dianggap kesempatan), mereka perlu untuk melengkapi apartemen baru dengan gratis (dianggap tekanan dari pasangan), dan menggunakan rasionalisasi yang lain karyawan toko mungkin mencuri, terlalu (baik atau tidak, ini adalah fakta). Dalam kasus penipuan manajemen, tekanan dirasakan
mungkin untuk memenuhi target laba sehingga bonus bisa mewah, kesempatan mungkin lemah kegiatan pengawasan keuangan pelaporan atau komite audit tidak aktif. Walaupun segitiga penipuan adalah alat konseptual yang kuat., ada faktor-faktor lain seperti keserakahan dan keinginan untuk memiliki, orientasi “membalas fraud” untuk membuat organisasi untuk membayar apa yang dirasakan, atau perilaku “catch me if you can” bahwa beberapa pelaku fraud, dan karakteristik kepribadian pelaku tidak mudah masuk dalam kerangka segitiga penipuan. Demikian pula, penilaian sikap organisasi terhadap indetifikasi penipuan (misalnya kelesuan organisasi dan keengganan untuk mengambil tindakan apapun, menutup mata.) Penelitian terakhir telah berusaha untuk melihat efektivitas relatif indikator risiko penipuan tertentu (bendera merah) sehingga lebih berat dapat dilampirkan ke indikator-indikator oleh auditor internal. Secara keseluruhan, rata-rata efektivitas indikator penipuan yang termasuk dalam kategori sikap/rasionalisasi adalah yang paling efektif, diikuti oleh kesempatan, dan kemudian oleh insentif/tekanan. Secara umum, auditor internal harus mencurigai ketika manajemen mencoba untuk mengendalikan dan mengurangi ruang lingkup pemeriksaan audit - mungkin suatu usaha untuk menyembunyikan aktivitas penipuan. Lebih khusus lagi, para penulis studi melengkapi peringkat tertentu pada skala dari 1 sampai 5 (meningkatkan efektivitas) dengan faktor risiko fraud jatuh di bawah masing-masing dari tiga titik segitiga fraud. Peeingkatnya sebagai berikut: Kesempatan • Formal atau informal mengenai pembatasan auditor yang tidak tepat membatasi akses kepada orang-orang atau informasi, atau yang membatasi kemampuan mereka untuk berkomunikasi secara efektif dengan dewan atau komite audit (4.97). • Signifikan pihak terkait dalam transaksi yang tidak normal dari bisnis atau dengan entitas terkait yang diaudit atau tidak diaudit oleh perusahaan lain (4.74). • Dominasi pengelolaan oleh satu orang atau kelompok kecil dalam sebuah bisnis yang dikelola tanpa kompensasi pengendalian kegiatan (4.72). • Akuntansi dan sistem informasi yang tidak efektif, termasuk situasi yang melibatkan kekurangan atau kelemahan material yang signifikan dalam pengendalian internal atas pelaporan keuangan (4.47). • Pemantauan pengendalian internal yang tidak signifikan (4.43). • Pengawasan dewan atau komite audit yang tidak efektif atas proses pelaporan keuangan dan sistem pengendalian internal (4.27). • Tingkat perputaran yang tinggi atau akuntansi, audit internal maupun staf teknologi informasi yang tidak efektif (4.25). Sikap/Rasionalisasi • Penting, unik, atau transaksi yang sangat kompleks, khususnya yang terjadi dekat dengan akhir tahun, yang berpola “substansi lebih” dari pertanyaan (4.95). • dominasi perilaku manajemen dalam menghadapi auditor internal, khususnya yang melibatkan usaha-usaha untuk mempengaruhi lingkup kerja auditor internal (4.92).
• Dikenal sejarah pelanggaran hukum surat berharga, atau klaim terhadap entitas
tersebut, manajemen senior, atau anggota dewan menuduh penipuan atau pelanggaran hukum efek (4.82). • Komunikasi, implementasi, dukungan, atau penegakan nilai-nilai entitas atau standar etika oleh manajemen yang tidak efektif, atau nilai-nilai komunikasi atau standar etika yang tidak tepat (4.52). • Sering terjadi perselisihan dengan auditor internal saat ini atau sebelumnya di akuntansi, audit, atau pelaporan masalah (4.35). • Ketertarikan manajemen dalam menggunakan cara yang tidak tepat untuk mengurangi laba yang dilaporkan untuk alasan motivasi pajak (4.30). • Berulang upaya oleh manajemen untuk membenarkan akuntansi marjinal atau tidak tepat atas dasar materialitas (4.22). • Kegagalan manajemen dalam menghubungkan kekurangan atau kelemahan material yang signifikan dalam pengendalian internal atas pelaporan keuangan secara tepat waktu (4.17). Skeptisisme Profesional, Penilaian Profesional, dan Teknologi Forensik Pelaksanaan judgment profesional terletak di jaminan fungsi audit internal dan kegiatan konsultasi. Ketika penilaian risiko fraud yang terlibat, auditor internal harus menunjukkan sikap skeptis tingkat tinggi, yaitu kemampuan untuk secara kritis menilai bukti dan informasi yang tersedia di tangan. Hal ini khususnya terjadi karena pelaku penipuan biasanya “menutupi jejak mereka” dan ketekunan signifikan mungkin diperlukan untuk mengurai skema fraud baik yang tersembunyi. (Misalnya, ketekunan mantap oleh Majalah Time Person 2004 tahun Cynthia Cooper dan timnya sangat penting dalam menggali penipuan besarbesaran di WorldCom.) Tidak auditor internal mendapat pelatihan pada tingkat yang sama dengan skeptisisme profesional – kadang beberapa lebih skeptis, dan tidak - beberapa menerima penjelasan pada nilai nominal, yang lain ingin menyelidiki lebih lanjut dan menggali lebih dalam. Jenis terakhir, memiliki “kecenderungan menyelidiki”, juga menampilkan tingkat skeptisisme profesional yang lebih tinggi, secara umum. Meskipun menjadi "paranoid" mungkin sering mengakibatkan over-audit, kapan fakta dan keadaan yang lebih tinggi menunjukkan kemungkinan penipuan, menunjukkan tingkat tinggi dari skeptisisme profesional mungkin diharapkan, diperlukan, dan dibenarkan. Setiap tugas penilaian risiko yang kompleks melibatkan penelaahan keberadaan bukti yang berbeda, dengan beragam karakteristik dan tingkat keandalan. Dalam konteks tersebut, seorang auditor internal yang berpengalaman memiliki kemampuan yang lebih baik untuk "menghubungkan titik-titik" dan merekonstruksi seluruh gambar dari informasi yang tidak lengkap dan bukti. Inilah sebabnya mengapa kelompok penyelidikan fraud adalah staf dengan individu-individu yang memiliki pengalaman yang signifikan dengan pengendalian kegiatan. Memang, penelitian pada aplikasi-aplikasi kecerdasan buatan (termasuk teknologi jaringan saraf) telah memecahkan teka-teki "jigsaw", yaitu bukti agregasi yang tersebar, sesungguhnya adalah masalah pengenalan pola. Dengan kata lain, semua bukti yang tersedia
tidak dapat dianggap secara berurutan, sebaliknya, pendekatan holistik yang mempertimbangkan semua bukti yang tersedia secara simultan mungkin diperlukan. Dalam keadaan seperti itu, mungkin penting bantuan teknologi cerdas bagi auditor internal untuk pengambilan keputusan leverage, sistem pakar, dan kecerdasan buatan untuk meningkatkan efektifitas dan efisiensi [misalnya, Hukum Benford atau analisis digital, kemajuan teknik audit yang dibantu komputer (CAATs), analisis prediksi termasuk model regresi dan jaringan). Dengan menggunakan komunikasi melalui e-mail, penyelidikan forensik dan pemeriksaan penipuan di masa mendatang akan sangat tergantung pada forensik komputer, komputer data imaging, penemuan bukti elektronik, dan analisis data terstruktur dan tidak terstruktur. Dalam lainnya: .. kata-kata, penggunaan teknologi tidak akan terbatas pada analisis data (setelah data terstruktur telah dikumpulkan), melainkan sangat ekstraksi dan menyimpan bukti elektronikbiasanya dalam bentuk tekstual, data yang tidak terstruktur yang membutuhkan pencarian kata kunci, misalnya-akan menjadi teknologi intensif. Dalam konteks seperti itu, itu akan menjadi penting bagi pemeriksa penipuan untuk memiliki pemahaman yang baik, dan penguasaan atas, "forensik digital" - yang terbaru dan alat-alat teknologi baru dan teknik forensik. Internal Control Breakdown VS Management Override of Controls Sistem pengendalian internal bisa memiliki desain cacat yang dapat dilacak (misalnya, di mana beberapa jenis kesalahan atau penipuan tidak dimodelkan), atau untuk efektivitas operasi perusahaan (misalnya, tantangan implementasi, termasuk kesalahpahaman manusia), atau keduanya. Ketika ini terjadi, itu merupakan gangguan pengendalian internal. Namun, ketika dirancang dan berfungsi dengan baik, sistem pengendalian internal hanya ditunda, diabaikan, dielakkan, atau dipecat oleh manajemen senior - orang-orang yang mengendalikan pelaksanaan kegiatan di tempat pertama itu adalah kasus klasik dari "Management Override of Controls "(misalnya, seorang polisi lalu lintas balap melalui lampu merah karena ia diduga mengejar tersangka). COSO menyatakan, “Sebuah sistem pengendalian internal, tidak peduli seberapa baikdipahami dan dioperasikan, hanya dapat memberikan keyakinan kepada manajemen dan dewan mengenai pencapaian tujuan entitas itu. Kemungkinan prestasi dipengaruhi oleh keterbatasan semua sistem pengendalian internal. Ini termasuk kenyataan bahwa penilaian dalam pengambilan keputusan dapat rusak, dan bahwa kerusakan dapat terjadi karena kesalahan sederhana. Selain itu, kegiatan pengendalian dapat dielakkan dengan kolusi dari dua orang atau lebih, dan manajemen memiliki kemampuan untuk mengesampingkan sistem.” Manajemen mengesampingkan kegiatan pengendalian internal adalah sangat sulit untuk mendeteksi terutama karena auditor internal sebagian besar dilatih untuk menerima bahwa “tidak adanya bukti merupakan bukti dari ketiadaan.” Dan ketika pelaku fraud yang termotivasi adalah anggota manajemen senior, pelaku biasanya akan berupaya keras untuk
menyembunyikan bukti. Namun demikian, fungsi audit internal dapat mencegah dan mengambil beberapa langkah untuk mencegah kemungkinan terjadinya dengan: • Bersikeras terhadap pemeriksaan latar belakang untuk semua karyawan sebelum memperkerjakan terutama di jajaran eksekutif senior. • Mempertahankan tingkat skepticim profesional yang tepat. • Pemeliharaan operasional manajemen risiko dan budaya kepatuhan, dan pengumpulan informasi tentang potensi risiko fraud dari fungsi risiko secara terpisah dan operasi kepatuhan. • Memanfaatkan kode etik perusahaan untuk menilai kondisi etis dari organisasi. • Bekerja untuk mendidik komite audit dan membangun kesadaran terhadap fraud di seluruh organisasi. • Pelaporan secara berkala kepada komite audit mengenai desain kegiatan pengendalian fraud dan efektifitas operasional mereka. • Memastikan bahwa organisasi secara aktif mempromosikan dan mendukung program whistleblower, termasuk tidak ada harapan untuk membalas dendam. • Mengembangkan jaringan informasi yang luas dan jaringan komunikasi umpan balik. Pencegahan Fraud , Pencegahan, dan Deteksi Program Setiap pendekatan kredibel untuk pencegahan fraud, pencegahan, dan deteksi harus konsisten terhadap kerangka kerja yang diterima, seperti – COSO's Internal Control – Integrated Framework. Bagan 7-9 menggambarkan kubus COSO. Untuk informasi lebih lanjut mengenai COSO Internal Control-Integrated Framework, lihat Bab 5, "Internal Control." Secara khusus, penting untuk mempertimbangkan komponen-komponen COSO berikut dalam melihat program-program dan pengendalian anti-fraud: (1) engendalian lingkungan, (2) penilaian risiko, (3) kontrol aktivitas, (4) informasi dan komunikasi, dan (5) pemantauan. Pendekatan berbasis COSO Pada dasar pendirian, perlu untuk mempertimbangkan penciptaan pengendalian lingkungan melalui pengaturan suara yang tepat pada budaya organisasi, karena semua organisasi mempunyai kode etik (sebaiknya dibaca dan ditandatangani oleh setiap karyawan), memberikan pelatihan kesadaran terhadap fraud, dan memelihara hubungan whistleblower. Hal ini juga penting untuk mengembangkan kebijakan formal dan metodologi untuk menyelidiki kejadian potensial fraud, serta dipandang untuk menanggapi insiden fraud dengan cepat, adil, dan tegas. Kegiatan-kegiatan ini menciptakan persepsi bahwa organisasi melakukan fraud yang sangat serius. Hal ini juga membantu organisasi mengembangkan catatan dalam hal komitmen manajemen dalam menanggapi insiden fraud dengan penuh semangat dan tegas. Selanjutnya, penting bahwa penilaian risiko fraud secara berkala dilakukan untuk menilai iklim etika dalam organisasi dan menindaklanjuti kasus-kasus tertentu yang menimbulkan kecurigaan. Proses ini dilakukan secara rutin, termasuk melibatkan para profesional terhadap fraud dan keahlian forensik, mengidentifikasi faktor risiko fraud, ide-ide mengenai potensi fraud risk, dan mengevaluasi kelayakan skema fraud yang dilakukan tanpa disadari atau tersembunyi, meskipun adanya pengendalian aktivitas. Setelah langkah ini, ada kebutuhan untuk menghubungkan identifikasi risiko fraud untuk kegiatan pengendalian tertentu. Ini merupakan bagian dari desain dan pelaksanaan program
antifraud dan kontrol risiko fraud. Akhirnya, mereka yang dituduh dengan tata pemerintahan (yaitu, biasanya komite audit atau setara) perlu untuk memantau efektivitas program antifraud dan pengendalian aktivitas, mungkin dengan memasukkan kegiatan-kegiatan pengujian pengendalian oleh fungsi audit internal secara berkala. Idealnya, teknologi digunakan untuk mendorong kegiatan pemantauan secara terus menerus dan deteksi, merupakan puncak dari proses pemantauan dan pengawasan. The IIA menunjukkan bahwa internal auditor mempertimbangkan penipuan dalam konteks lima komponen pengendalian internal (COSO) seperti yang dijelaskan di bawah ini: • Pengendalian lingkungan. Menilai aspek pengendalian lingkungan, melakukan audit dan investigasi proaktif terhadap fraud, mengkomunikasikan hasil audit fraud, dan memberikan dukungan bagi upaya pemulihan. Dalam beberapa kasus, auditor internal juga mungkin memiliki hotline whistleblower. • Penilaian risiko. Mengevaluasi penilaian risiko fraud dari manajemen , khususnya, proses untuk mengidentifikasi, menilai, dan pengujian potensi fraud dan kesalahan skema dan skenario, termasuk yang dapat melibatkan pemasok, kontraktor, dan pihak lain. • Pengendalian aktivitas. Menilai efektivitas desain dan operasi pengendalian kegiatan fraud yang berhubungan, memastikan bahwa rencana dan program audit risiko residu dan menggabungkan audit penipuan, mengevaluasi desain fasilitas dari perspektif fraud, dan memeriksa perubahan yang diusulkan pada hukum, peraturan atau sistem, dan dampak pada pengendalian aktivitas. • Informasi dan komunikasi. Menilai efektivitas operasi sistem informasi dan komunikasi dan praktek, serta memberikan dukungan untuk pelatihan yang berhubungan dengan inisiatif. • Pemantauan. Menilai kegiatan pemantauan dan perangkat lunak komputer yang terkait, melakukan investigasi, dukungan pengawasan komite audit yang terkait dengan pengendalian dan hal-hal penipuan, mendukung pengembangan indikator penipuan, dan mempekerjakan dan melatih karyawan, sehingga mereka dapat mengaudit audit atau investigasi sesuai dengan pengalaman.
Dukungan Jaminan kepada Dewan dan Manajemen Senior Sebuah fungsi audit internal yang kompeten dan efektif dipercaya bisa mendukung dewan dan manajemen senior dalam melakukan aspek pemantauan dan pengawasan fungsi terhadap ukuran dan program antifraud. Jelas, pengetahuan auditor internal dan keakraban yang mendalam dengan organisasi dan kegiatan pengendalian memungkinkan mereka untuk mengidentifikasi indikator risiko dan melaporkan penipuan ini kepada dewan dan manajemen senior. Dalam hal ini, perhatikan bahwa IIA Standar 1210.A2 hanya mensyaratkan bahwa: "Auditor internal harus memiliki pengetahuan yang cukup untuk mengidentifikasi indikator penipuan tetapi tidak diharapkan untuk memiliki keahlian seseorang yang tanggung jawab utamanya adalah mendeteksi dan menyelidiki penipuan." Auditor Internal juga memiliki kesempatan untuk mengevaluasi risiko penipuan dan kegiatan pengendalian dan merekomendasikan tindakan untuk mengurangi risiko dan meningkatkan kegiatan pengendalian.
Mengevaluasi Budaya Organisasi Auditor Internal harus memiliki garis pelaporan independen langsung kepada komite audit, untuk memungkinkan mereka untuk mengekspresikan keprihatinan apapun tentang komitmen manajemen untuk pengendalian internal yang sesuai atau melaporkan kecurigaan atau dugaan penipuan yang melibatkan manajemen senior. Audit internal dapat mencegah serta mengukur deteksi. Auditor internal dapat membantu dalam pencegahan penipuan dengan meneliti dan mengevaluasi kecukupan dan efektivitas sistem pengendalian internal, pengungkapan sepadan dengan tingkat risiko potensial atau di berbagai segmen operasi organisasi. Dalam melaksanakan tanggung jawab ini, auditor internal harus, misalnya, menentukan apakah: • Pertumbuhan kesadaran lingkungan pengendalian organisasi. • Realisasi tujuan organisasi dan tujuan yang ditetapkan. • Kebijakan (misalnya, kode etik) yang menggambarkan kegiatan dan tindakan yang diperlukan setiap kali ditemukan pelanggaran. • Kebijakan, praktek, prosedur, laporan, dan mekanisme lain yang dikembangkan untuk memantau kegiatan dan menjaga aset, terutama di daerah berisiko tinggi • Komunikasi memberikan manajemen informasi yang cukup dan dapat diandalkan. • Rekomendasi harus dibuat untuk pembentukan atau peningkatan kegiatan pengendalian dari biaya yang efektif untuk membantu mencegah penipuan. Internal auditor dapat melakukan audit proaktif untuk mencari koripsi, penyalahgunaan aset, dan penipuan pelaporan keuangan. Ini mungkin termasuk penggunaan CAATs untuk mendeteksi jenis penipuan tertentu. Auditor internal juga dapat menggunakan prosedur analitis dan lainnya untuk mengisolasi anomali dan meninjau rekening risiko dan transaksi secara rinci untuk mengidentifikasi potensi penipuan pelaporan keuangan.
Menilai Risiko Fraud Aktivitas yang paling penting dalam membentuk dasar untuk merancang dan melaksanakan program-program anti-fraud dan kegiatan pengendalian adalah proses penilaian risiko penipuan. Dengan demikian, sangat penting untuk mempertimbangkan bagaimana membuat penilaian risikofraud yang lebih efektif. Penilain risiko fraud sebagai berikut: • Apakah dilakukan secara sistematis dan berulang. • mempertimbangkan kemungkinan skema dan skenario fraud, termasuk pertimbangan faktor internal dan eksternal. • Menilai cakupan resiko di seluruh unit bisnis perusahaan dan tingkat akuntansi yang signifikan. • Mengevaluasi kemungkinan, signifikansi, dan kegunaan setiap risiko. • Menilai eksposur yang timbul dari tiap kategori risiko fraud dengan mengidentifikasi kegiatan pengendalian mitigasi dan mempertimbangkan efektivitas kegiatan kontrol.
• Apakah dilakukan dengan personel yang tepat. • Menganggap manajemen mengesampingkan pengendalian (misalnya, transaksi yang tidak rutin dan entri jurnal, penghentian pengendalian sementara). • Apakah diperbaharui bila muncul keadaan khusus (misalnya, merger dan akuisisi dan sistem baru). Aplikasi Ilustrasi Domain: Penipuan Laporan Keuangan dan Penipuan Pengadaan Dalam hal pelaksanaan, beberapa contoh-contoh praktis disediakan untuk memahami skema penipuan, metode deteksi, serta metode pencegahan. Sehubungan dengan deteksi dan pencegahan penipuan pelaporan keuangan, beberapa skema khas yang menyebabkan salah saji material/distorsi dalam laporan keuangan adalah: • Pendapatan fiktik. • Kewajiban dan beban yang dirahasiakan. • Penilaian aset yang tidak benar. • Pengungkapan yang tidak benar. • Perbedaan waktu (termasuk rekaman jumlah pada periode yang salah). Beberapa metode untuk mendeteksi kejanggalan akuntansi, penyimpangan dan pelanggaran yang mungkin timbul dari GAAP meliputi: • Analisis vertikal dan horizontal (yaitu, comparatives dalam, antara, dan lintas periode dan komponen). • Rasio analisis, termasuk pengujian cut-off dan analisis prosedur review lain. • Review kepatuhan pembatasan utang dan perjanjian pinjaman. • Tinjauan pajak dan pemberitahuan yang diterima dari otoritas pajak. • Penyelidikan manajemen tentang spesifikasi, dan penjelasan variasi. • Analisis arus kas, serta bank yang dipilih, pelanggan, dan konfirmasi vendor. • Pada industri, tinjauan terhadap tindakan peraturan di industri perusahaan atau spesifikasi khusus terhadap perusahaan. Beberapa metode pencegahan meliputi: • Mempunyai fungsi independen, objektif, dan audit internal yang kuat (yang melakukan pemikirin rutin tentang potensi risiko fraud). • Etika dari manajemen untuk mempromosikan integritas karyawan. • Pengawasan aktif dari manajemen oleh orang-orang pemerintahan yang dibebankan. • Mengurangi peluang (misalnya, kegiatan pengawasan internal) dan tekanan (misalnya, opsi saham terkait dengan harga saham, bukan kinerja) terkait dengan penipuan pelaporan keuangan. • Membatasi rasionalisasi melalui pelatihan kesadaran akan fraud. Demikian pula, mempertimbangkan skema berikut ini sehubungan dengan siklus pengadaan: kolusi antara pembeli dan penjual, perjanjian pembayaran kembali, suap, gratifikasi ilegal, substitusi produk, konflik kepentingan, perjanjian, dll.
Metode pencegahan di bidang pengadaan meliputi: analisis tingkat persediaan, kontrak dibuat tepat di bawah persetujuan, tinjauan terhadap kebijakan kompetitif, transaksi dengan pihak terkait, keluhan dari vendor, kegagalan produk dan kinerja kurang lancar, dan karyawan yang sesuai dan database vendor. Metode pencegahan meliputi: pemisahan tugas, manajemen sign-off di semua permintaan pengadaan, bersikeras pada persaingan terbuka (kebijakan sourcing), tanggung jawab staf pengadaan, pemantauan kinerja, audit dan pemeriksaan secara rutin. Jelas bahwa ada banyak kebutuhan untuk penelitian yang lebih empiris mengenai penipuan, pemborosan, penyalahgunaan, dan korupsi untuk menilai tingkat risiko fraud dan mengembangkan cara-cara untuk memerangi hal itu. Oleh karena itu, ACFE dan AICPA telah menciptakan Institute for Fraud Prevention (IFP) untuk memperbaiki kekurangan penelitian dan korupsi dan data tentang korupsi untuk memberikan pengetahuan kepada publik mengenai cara terbaik untuk mencegah kejahatan Fraud. IFP merupakan kemitraan antara ACFE, AICPA, Grant Thornton dan D-Quest, banyak pemerintah dan lembaga nirlaba anti-fraud, dan sebuah konsorsium universitas internasional IFP. Situs webnya adalah: http://www.theifp.org. Pemeriksaan Tanggung Jawab Auditor Internal Terkait dengan Fraud Sebagaimana dibahas sebelumnya dalam bab ini, fungsi audit internal dapat terlibat jauh-jauh dari pelatihan kesadaran fraud dan perancangan program dan kegiatan pengendalian antifraud, untuk menguji efektivitas kegiatan operasi pengendalian tersebut, untuk menyelidiki kejanggalan dan keluhan , dan melakukan penyelidikan penuh atas perintah dari komite audit. Investigasi Fraud Tuduhan penipuan dapat muncul dari keluhan atau kadang-kadang bahkan melalui kecelakaan kecil (misalnya, seorang karyawan menggantikan karyawan lain yang berlibur dapat menemukan beberapa pengaturan yang tidak biasa). Memang, ACFE telah lama menyatakan bahwa tips anonim dan keluhan terus menjadi sumber terbaik untuk menggali penipuan. Oleh karena itu, mereka merekomendasikan etika bagi setiap organisasi, dan mendorong karyawan dan pihak-pihak luar, seperti pelanggan dan vendor, untuk memanggil mereka dengan kecurigaan kesalahan yang dilakukan, tidak etis, atau tindakan ilegal. Tentu saja, penipuan juga dapat dideteksi oleh auditor luar independen atau auditor internalsebagai akibat dari penipuan mereka mengenai faktor risiko (bendera merah). Biasanya dalam kasuskasus tersebut, komite audit akan terlibat, dan jika hal tersebut melibatkan ketidakpatuhan peraturan atau tindakan ilegal potensial, maka sangat mungkin, nasihatnya terlalu umum. Pertanyaan pertama bagi auditor internal dalam keadaan seperti itu adalah apakah litigasi telah dimulai atau diantisipasi. Jika demikian halnya, adalah sangat penting bagi auditor internal untuk mengamankan hak istimewa pengacara-klien yang sesuai dengan merekomendasikan penunjukan sebuah perusahaan di luar hukum untuk melakukan
investigasi. Jika tidak, kertas kerja auditor internal dengan mudah dapat menjadi subyek dari panggilan pengadilan dan juga bisa menjadi koran penggugat. Namun, ketika tip atau kecurigaan pada tahap awal yang dikonfirmasi atau membantah dengan sangat sedikit kemungkinan adanya tuntutan hukum, auditor internal harus bersedia untuk mengambil petunjuk dari komite audit dan penasihat umum dalam mengeksplorasi masalah(sensitif) secara lebih rinci. Fungsi audit internal harus merencanakan untuk melakukan melalui pekerjaan setiap melakukan investigasi. Audit internal harus menentukan apakah kompetensi, independensi dan objektivitas yang ada untuk melakukan investigasi. Dimana fungsi internal audit menemukan masalah yang kompleks dan di luar lingkup keahliannya, perlu menganjurkan pengetahuan, kualifikasi forensik dan spesialis yang sesuai atau pemeriksa penipuan untuk tujuan ini. Ketika fungsi audit internal telah diberikan kepada peran seorang penyidik, menurut The IIA, rencana penyelidikan harus dikembangkan untuk penyelidikan masing-masing, mengikuti prosedur investigasi atau protokol organisasi. Kemungkinan bahwa mungkin ada potensi konflik kepentingan dengan mereka yang sedang diselidiki, atau dengan karyawan organisasi, harus dibersihkan. Menurut Praktek Penasehat 1210.A2-2, tanggung jawab untuk Deteksi Rencana Penipuan, harus mempertimbangkan metode untuk: • Mengumpulkan bukti, seperti pengawasan, wawancara, atau pernyataan tertulis. • Dokumen bukti, mengingat aturan-aturan hukum dari bukti dan bisnis menggunakan bukti. • Menentukan tingkat penipuan. • Menentukan skema (teknik yang digunakan untuk memperbuat penipuan). Mengevaluasi penyebabnya. • Identifikasi para pelaku. Pada setiap titik dalam proses ini, peneliti dapat menyimpulkan bahwa keluhan atau kecurigaan tidak berdasar dan mengikuti proses untuk menutup kasus ini. Kegiatan harus dikoordinasikan dengan manajemen, penasehat hukum, dan spesialis lain (lihat lebih lanjut tentang hal ini dalam Penggunaan Penipuan Spesialis), seperti sumber daya manusia dan asuransi manajemen risiko, di seluruh program penyelidikan. Penyidik harus berpengetahuan dan sadar akan hak orang-orang dalam lingkup investigasi dan reputasi organisasi itu sendiri. Tingkat keterlibatan dalam penipuan seluruh organisasi harus dinilai. Penilaian ini dapat penting untuk memastikan bahwa bukti penting tidak hancur atau tercemar, dan untuk menghindari memperoleh informasi yang menyesatkan dari orang-orang yang mungkin terlibat. Penggunaan Spesialis Fraud Kualifikasi utama untuk spesialis fraud adalah gelar CFE. Namun, ketika penyelidikan melihat ke dalam laporan keuangan palsu, yang memiliki CPA/CA dan / atau mandat CIA bisa sangat membantu. Meskipun setiap klasifikasi standar industri terbesar memiliki kode
standar, klasifikasi perusahaan biasanya memiliki fungsi audit internal, hanya beberapa dari mereka memiliki unit investigasi tambahan khusus (special investigative unit / SIU) atau pengaturan lain melalui tuduhan dan kecurigaan yang terselesaikan. Organisasi muncul untuk menggunakan struktur yang berbeda untuk terlibat dan menggunakan spesialis fraud, termasuk: • Menciptakan SIU, yang berdiri sendiri terpisah dari organisasi yang memiliki tanggung jawab untuk segala sesuatu yang berhubungan dengan fraud dan kesalahan (yakni, disengaja dengan tujuan perilaku dirancang untuk menipu orang lain) Sesekali SIU dapat terletak di dalam fungsi audit internal dan melaporkan kepada CAE. Kepala petugas kepatuhan. Atau bahkan penasihat umum. Jika tidak, suatu SIU juga bisa menjadi bagian dari tim keamanan global yang memiliki tanggung jawab untuk fisik (misalnya,) penjaga gudang serta infrastruktur elektronik (misalnya otentikasi, IT password, tingkat akses kontrol.) • Untuk organisasi yang lebih kecil, lebih khas bahwa fungsi audit internal dilengkapi oleh akuntan forensik luar dan sebagai spesialis fraud dan ketika situasi menuntut hal itu. Pendekatan cosourcing menghindari biaya tetap dan memperlakukan murni sebagai biaya variabel pembelian forensik dan keahlian fraud pemeriksaan terhadap permintaan. Untuk perusahaan kecil, ada banyak keuntungan menggunakan spesialis fraud di luar, di samping kebebasan pekerjaan mereka. Mereka memiliki pengetahuan yang mendalam tentang skema fraud serupa di masa lalu, dan dapat benchmark terhadap "tersangka biasa", aktor kunci dan pemain, serta metode penyelidikan. Setelah bekerja dengan pengacara independen, penasihat umum, pengacara negara, regulator, aparat penegak hukum, akuntan dan auditor lainnya, dan jaksa, mereka memiliki pemahaman yang baik tentang isu-isu seperti: • Pendekatan terbaik untuk investigasi jenis skema fraud tertentu. • Menilai kualitas dan kuantitas bukti yang dibutuhkan. • Mengevaluasi diterimanya bukti dalam konsultasi dengan pengacara di luar. • Menjaga bukti dan rantai. • Kebutuhan, serta potensi untuk bertindak sebagai, saksi fakta atau sebagai saksi ahli. Mengkomunikasikan Hasil Audit Fraud Auditor Internal harus berusaha untuk mengidentifikasi kriteria, kondisi, penyebab, dan efek untuk merangkum temuan dari penyelidikan fraud. Mereka harus mencoba untuk menulis komunikasi mereka dengan cara yang sistematis dan terorganisir untuk meningkatkan kejelasan dan pemahaman. Dalam hal organisasi, mungkin akan berguna untuk memulai dengan suatu pernyataan, singkat dan jelas mengenai isu, diikuti oleh sebuah kutipan dari kebijakan yang relevan, peraturan, standar, hukum, dan peraturan yang mungkin berlaku. Selanjutnya, mereka harus menyediakan analisis bukti yang dikumpulkan untuk membentuk pendapat profesional. Ini harus diikuti oleh kesimpulan, yaitu temuan dan rekomendasi. Mudah-mudahan, penasihat umum atau pengacara di luar yang melakukan investigasi akan menemukan komunikasi auditor internal yang berguna dan berharga sehingga dapat dibuat
bagian dari komunikasi mereka sendiri. Pada setiap waktu, komunikasi yang dikeluarkan oleh auditor internal harus berisi fakta-fakta saja, dan setiap upaya harus dilakukan untuk menghindari pendapat pribadi atau bias atau spekulasi yang berpotensi pada analisis. Dalam kasus apapun, mereka tidak boleh berusaha memperbaiki kesalahan pada setiap karyawan tertentu, tetapi hanya harus menyatakan bahwa bukti yang dikumpulkan tampaknya mendukung kesimpulan bahwa penipuan mungkin telah dilakukan. Penentuan kesalahan dan pembubuhan dari menyalahkan adalah fungsi dari pengadilan (hakim dan juri), dan biasanya di luar lingkup internal auditor. Menurut The IIA, pelaporan penipuan terdiri dari komunikasi lisan atau tertulis, berbagai interim atau final kepada manajemen senior dan /atau dewan komisaris tentang status dan hasil penyelidikan fraud. “Dengan demikian, sehubungan dengan keterlibatan komunikasi, bimbingan interpretatif berikut dengan Praktek Penasehat 1210. A2-2, Mengenai Tanggung Jawab Auditor Penipuan Investigasi, Pelaporan, Resolusi, dan Komunikasi, disediakan: • Sebuah rancangan yang diusulkan pada akhir komunikasi fraud harus diserahkan kepada penasihat hukum untuk diperiksa. Dalam kasus di mana organisasi dapat menjalankan hak istimewa klien, dan memilih untuk melakukannya, laporan harus ditujukan kepada penasehat hukum. • Ketika insiden penipuan yang signifikan, atau erosi kepercayaan telah dibentuk untuk sebuah kepastian yang memadai, manajemen senior dan dewan komisaris harus segera diberitahu. • Hasil penyelidikan fraud mungkin menunjukkan bahwa penipuan mungkin memiliki dampak buruk yang belum ditemukan sebelumnya pada posisi keuangan organisasi dan hasil operasional selama satu tahun atau lebih laporan keuangan yang telah diterbitkan. Manajemen senior dan dewan komisaris harus diberitahu tentang penemuan tersebut. • Sebuah laporan tertulis atau komunikasi formal lain harus dikeluarkan di akhir tahap penyelidikan. Ini harus mencakup dasar untuk penyelidikan awal, waktu, pengamatan, kesimpulan, resolusi, dan tindakan korektif yang diambil (atau rekomendasi) untuk meningkatkan pengendalian aktivitas. Tergantung pada bagaimana penyelidikan itu diselesaikan, laporan itu mungkin harus ditulis dengan cara yang menyediakan kerahasiaan kepada beberapa orang yang terlibat. Isi laporan ini sensitif, dan harus memenuhi kebutuhan dewan komisaris dan manajemen, sekaligus mematuhi persyaratan hukum dan pembatasan dan kebijakan perusahaan dan prosedur.