INTERNAL CONTROL AND FRAUD DETERRENCE FRAUD RISK

ASSESMENT

Mata Kuliah : Audit Forensik

Disusun oleh:

Adelia Anugrahi Kusuma (12030117210001)

Bintang Nugraheka (12030117210002)

Nur Kusuma Dewi (12030117210007)

Fiannita Nur Ekapartiwi (1203011721000)

PPA XXIX

FAKULTAS EKONOMIKA DAN BISNIS

UNIVERSITAS DIPONEGORO

2018
 LATAR BELAKANG

Komite Sponsoring Organisasi Komisi Treadway (COSO) dibentuk pada

tahun 1985, dan merupakan inisiatif sektor swasta independen yang mempelajari
faktor penyebab kecurangan dan pelaporan keuangan yang curang. COSO terus
mendefinisikan rekomendasi dan praktik terbaik untuk industri; banyak
rekomendasi ini diimplementasikan dan dikodifikasi oleh regulator seperti
Securities and Exchange Commission (SEC) dan Pengawasan Akuntan Publik
Board (PCAOB).

Awalnya, COSO mensponsori Komisi Nasional Pelaporan Keuangan, yang

diketuai oleh James C. Treadway, Jr., mantan komisaris SEC. Treadway diberi
nama ke SEC oleh Presiden Ronald Reagan pada tahun 1982 dan bertugas sampai
17 April 1985; keterlibatannya dengan komisi nasional menghasilkan nama populer
Komisi Treadway.

Asosiasi profesional yang mensponsori Komisi Treadway meliputi:

1. American Accounting Association. Didirikan pada tahun 1916, American

Accounting Association mempromosikan keunggulan duniawi dalam
pendidikan akuntansi, penelitian. dan berlatih.
2. American Institute of Certified Public Accountants (AICPA). Asosiasi
profesional mengatur praktik akuntansi publik. Pada tahun 1985, AICPA
bertanggung jawab atas definisi standar untuk audit perusahaan publik;
otoritas ini telah dihapus oleh Sarbanes-Oxley Act of 2002 dan ditugaskan
ke Dewan Pengawas Akuntansi Perusahaan Publik (PCAOB).
3. Financial Executives International (FEI). Organisasi yang unggul untuk
kepala keuangan perwira dan eksekutif senior keuangan lainnya.
4. Institut Auditor Internal (IIA). Asosiasi yang mendefinisikan standar
profesional untuk praktek audit internal, penilaian risiko, dan tata kelola.
5. Asosiasi Akuntan Nasional (sekarang Institute of Management
Accountants (IMA)). Menyediakan kepemimpinan di bidang manajemen
akuntansi dan manajemen keuangan.
Sejak pertengahan 1980an, COSO telah menerbitkan lima laporan utama:

1. Komisi Nasional Penipuan Pelaporan Keuangan (Oktober 1987)

2. Pengendalian Internal, Kerangka Terpadu (1992)
3. Masalah Pengendalian Internal dalam Penggunaan Derivatif (1996)
4. Pelaporan Keuangan yang Curang, 1987-1997: Analisis Perusahaan
Publik A.S. (1999)
5. Enterprise Risk Management, Integrated Framework (2004).

RELEVANSI

Tujuan utama sistem pengendalian internal adalah untuk menyediakan

perusahaan, manajemen, dewan pengurus dan komite audit, serta pemilik dan
pemangku kepentingan lainnya dengan wajar dasar untuk mengandalkan pelaporan
keuangan perusahaan, yang mencakup pelaporan keuangan yang akurat,
penyimpanan catatan bisnis, dan pencegahan akuisisi dan penghapusan yang tidak
sah aset.

COSO Integrated Framework tidak ditulis sebagai model pengendalian

internal untuk umum perusahaan; Sebaliknya, konsep pengendalian internal
tercakup dalam kerangka kerja terpadu berlaku untuk semua perusahaan, besar dan
kecil, publik dan swasta. Studi terbaru oleh Asosiasi dari Certified Fraud Examiners
mengungkapkan bahwa 90 persen kecurangan dalam penelitian mereka akan telah
dicegah oleh seperangkat kontrol internal yang tepat yang ditentukan dan konsisten
ditegakkan dalam sebuah organisasi.

Model kontrol internal COSO dianggap sebagai standar emas pengendalian

internal untuk organisasi Menurut ketua COSO Larry E. Rittenberg, Pengendalian
Internal, Terpadu Kerangka merupakan terobosan dalam berpikir karena:

1. Komprehensif. Kerangka kerja ini lebih luas daripada pelaporan keuangan

dan mengidentifikasi hal yang penting mengendalikan tujuan yang
berkaitan dengan operasi dan kepatuhan terhadap peraturan dan
perusahaan kebijakan.
 2. Mengakui bahwa pengendalian internal adalah proses integratif yang
dimulai dengan kontrol yang kuat lingkungan Hidup.
3. Apakah konseptual dan prinsip berbasis. Ini memaparkan karakteristik
dasar internal yang baik kontrol tanpa menentukan aktivitas pengendalian
khusus yang harus dilakukan oleh semua perusahaan.

Sedangkan Integrated Framework sudah ada bertahun-tahun sebagai standar

praktik terbaik bagi banyak orang organisasi, telah menjadi persyaratan bagi banyak
organisasi melalui pelaksanaannya hukum dan peraturan.

FDICIA-Tindakan Perbaikan Lembaga Penjamin Simpanan Federal telah

diundangkan di Indonesia 1991 untuk membantu industri lembaga keuangan
menghindari masalah yang melanda tabungan dan industri pinjaman di akhir tahun
1980an. FDICIA mewajibkan institusi untuk menjaga internal yang memadai
sistem kontrol sesuai dengan kerangka pengendalian internal yang berlaku umum;
model COSO adalah model yang dipertimbangkan saat tindakan tersebut
diundangkan.

PCAOB-Undang-Undang Sarbanes-Oxley tahun 2002, Bagian 404,

mewajibkan emiten laporan keuangan untuk menilai sistem pengendalian internal
mereka terhadap pengendalian internal yang sesuai. Kerangka PCAOB Auditing
Standard 2 mendefinisikan kerangka kerja COSO sebagai standar untuk evaluasi
kontrol.
Oleh karena itu, petunjuk kinerja dan pelaporan dalam standar ini didasarkan
pada COSO kerangka. COSO secara luas mendefinisikan pengendalian internal
sebagai sebuah proses, yang dilakukan oleh dewan direksi entitas, manajemen, dan
personil lainnya, yang dirancang untuk memberikan kepastian yang memadai
mengenai pencapaian tujuan dalam kategori ini:
1. Efektivitas dan efisiensi operasi
2. Keandalan pelaporan keuangan
3. Kepatuhan terhadap hukum dan peraturan yang berlaku
Definisi komprehensif dari Integrated Framework dimaksudkan untuk
mengatasi kecurangan terkait aset, salah saji keuangan dan kecurangan pelaporan
keuangan, serta penipuan eksternal (korupsi). COSO Integrated Framework adalah
model pemersatu kendali yang mengakui peran pengendalian internal dalam
manajemen bisnis. Pengendalian internal bertanggung jawab atas alokasi sumber
daya, produksi produk sesuai standar mutu, dan pengelolaan pegawai disamping
tujuan pencatatan di atas. Kerangka kerja COSO mengenali bahwa agar organisasi
mencapai nilai maksimal dan mendapatkan keuntungan dari arsitektur kontrol,
pengendalian internal harus dipandang sebagai seperangkat kebijakan, prosedur,
dan tindakan.
Sedangkan model COSO memberikan panduan yang luar biasa untuk
aktivitas pencegahan penipuan, kecurangan. Penolakan adalah bagian dari tujuan
keseluruhan struktur pengendalian internal dalam sebuah organisasi dan subset dari
model COSO itu sendiri. Diskusi tentang unsur-unsur yang mengikuti fokus pada
subset itu

Elemen
Kerangka Terpadu COSO mengidentifikasi lima komponen pengendalian
internal. Sebagai kerangka kerja terpadu, prosedur ini dimaksudkan untuk
diintegrasikan dengan operasi bisnis yang sedang berlangsung, tidak hanya
berfungsi sebagai lapisan diskrit di atas organisasi. Agar organisasi dapat mencapai
pengendalian internal yang efektif, kelima lapisan harus hadir dan berfungsi.
Kelemahan pada satu atau lebih komponen akan menurunkan keefektifan sistem.
Kelima elemen pengendalian internal adalah:
1. Kontrol lingkungan
2. Informasi dan komunikasi
3. Penilaian risiko
4. Prosedur pengendalian
5. Monitoring
Perhatikan bahwa komponen ini mencakup kedua faktor keras, seperti
prosedur dan sistem, serta faktor lunak, seperti praktik budaya dan komunikasi.
Untuk alasan ini, implementasi Kerangka Terpadu menjadi sebuah organisasi
adalah proses yang panjang yang melibatkan perubahan organisasi dan perancangan
ulang.

Lingkungan pengendalian
Lingkungan pengendalian merupakan fondasi bagi sistem pengendalian
internal dalam suatu organisasi. Hal ini paling sering diidentifikasi sebagai nada
manajemen di atas, namun lingkungan kontrol juga mencakup faktor-faktor yang
memperkuat elemen lain dari sistem pengendalian internal. Kontrol lingkungan
juga mendefinisikan budaya pengendalian organisasi; ini memperkuat perilaku
yang sesuai dengan tidak adanya kebijakan dan prosedur yang ditetapkan mengenai
situasi tertentu. Intinya, lingkungan kontrol adalah ekspresi hidup dari kode moral
organisasi.
Banyak kegagalan pelaporan keuangan perusahaan utama di awal tahun
2000an disebabkan oleh lingkungan kontrol yang buruk. Manajemen memilih
untuk mengesampingkan pengendalian internal, mengabaikan prinsip akuntansi
generallya ccepted (GAAP), dan melanggar tugas mereka untuk pelaporan
keuangan yang akurat. Masalah ini bukan disebabkan oleh kurangnya prosedur
terdokumentasi, kurangnya komunikasi, atau kurangnya pemantauan, walaupun
kelemahan di daerah ini berkontribusi terhadap penundaan dalam mendeteksi salah
saji. Sebaliknya, kegagalan ini adalah hasil dari orang yang salah yang bertanggung
jawab atas perusahaan besar pada waktu yang salah.
Bahkan dengan persyaratan pengawasan baru Sarbanes-Oxley, manajemen
menggantikan internal kontrol masih menjadi perhatian utama profesi akuntansi
dan regulator. Intinya, anggota manajemen yang merancang dan menerapkan
prosedur pengendalian internal juga dapat memilih untuk memotong atau
mengganti kontrol tersebut. AICPA mengacu pada situasi ini sebagai Achilles
Heels pada pelaporan keuangan. Poin ini menyoroti pentingnya lingkungan
pengendalian di setiap organisasi: Meskipun ada sistem pengendalian internal
lainnya yang ada di dalam sebuah organisasi, pada akhirnya, manajemen yang
benar-benar percaya bahwa penting menjalankan tugas dengan rasa kepatutan
seringkali merupakan pembeda antara integritas dan kecurangan.
 Segitiga penipuan mendefinisikan tiga faktor yang ada dalam situasi
kecurangan (motif / insentif, rasionalisasi / sikap, peluang); lingkungan kontrol
yang tepat dan budaya pengendalian positif penting untuk membantu mengurangi
motif kecurangan dan menghalangi rasionalisasi perilaku yang tidak tepat.

Manajemen Nada di Atas

Karyawan dalam organisasi sangat menyadari tindakan manajemen;
Bahkan dalam menghadapi kata-kata sebaliknya, perilaku manajemen yang tidak
tepat memberi contoh yang buruk bagi anggota organisasi lainnya untuk diikuti.
Pemilik dan manajemen mempengaruhi budaya pengendalian dengan memastikan
bahwa organisasi menerapkan kebijakan, prosedur, dan praktik yang tepat. Sama
pentingnya, mereka harus memperkuat pesan ini dengan benar-benar mengikuti
prosedur yang mereka tetapkan. Nada di bagian atas ini membantu mengirim pesan
yang jelas, memperkuat komitmen pemilik dan manajer terhadap nilai integritas
dan etika.
Selain itu, manajemen harus secara konsisten memperkuat, melalui kata-
kata dan tindakan, bahwa struktur pengendalian internal yang berfungsi dengan
baik merupakan keharusan semua karyawan dan proses bisnis. Prioritas
pengelolaan ini sangat penting untuk memastikan pengembangan dan pelaksanaan
semua aspek sistem pengendalian internal di seluruh organisasi. Misalnya, unit
bisnis perorangan harus mengembangkan dan secara konsisten menjalankan
prosedur pengendalian internal; menjadi sukses, melakukan hal ini harus dikenal
sebagai keharusan pengelolaan. Selain itu, lingkungan pengendalian adalah
penguatan struktur pengendalian internal dengan menghalangi setiap usaha untuk
menggantikan prosedur pengendalian yang disetujui.
Sarbanes-Oxley Section 302 mensyaratkan bahwa manajemen
menyatakan bahwa pengendalian internal organisasi telah berjalan dan berfungsi
dengan baik; Sertifikasi ini dibuat oleh manajemen dengan pengetahuan tidak
langsung tentang keadaan sebenarnya. Chief executive officer (CEO) dan chief
financial officer (CFO) tidak dapat mengunjungi setiap unit bisnis dan secara
langsung memeriksa keadaan PT kontrol internal; Dengan demikian mereka
bergantung pada kompetensi orang lain dalam organisasi untuk melaporkan status
kontrol di dalam domain mereka. Oleh karena itu, manajemen mengekspresikan
kepercayaan yang luar biasa pada lingkungan pengendalian organisasi, dengan
asumsi bahwa setiap unit dengan jujur melaporkan keadaan sebenarnya dan tidak
menyembunyikan prosedur yang tidak efektif. Sekali lagi, manajemen harus
menunjukkan melalui tindakannya bahwa anggotanya benar-benar peduli dengan
pengembangan kontrol yang memadai, tidak hanya ingin melaporkan status yang
positif namun terlalu dibesar-besarkan.
Perilaku manajemen yang tepat dapat sangat menghalangi rasionalisasi
pelaku kecurangan potensial. Jika manajer berperilaku dengan cara yang
bertentangan dengan kebijakan dan prosedur tertulis, atau jika mereka sebaliknya
menunjukkan kurangnya integritas melalui tindakan mereka, akan lebih mudah bagi
karyawan untuk merasionalisasi bahwa perilaku yang tidak pantas pada
bagian mereka sebenarnya bukan masalah besar.

Pertimbangan dewan
Manajemen bertanggung jawab atas definisi sistem pengendalian internal,
dan dewan pengurus bertanggung jawab untuk memastikan manajemen secara
efektif melaksanakan tugas tersebut. Sarbanes-Oxley didefinisikan standar baru
untuk komite audit perusahaan publik; standar ini dengan cepat menjadi standar
praktik terbaik untuk organisasi lain juga. Agar efektif, anggota Komite audit harus
memenuhi syarat dan independen dari organisasi. Komite Audit anggota harus
berpengalaman dengan standar industri untuk organisasi, GAAP, dan organisasi
tujuan dan prosedur internal. Kemandirian sangat penting untuk memungkinkan
dewan direksi anggota untuk menantang manajemen dan memberikan panduan
yang tepat jika manajemen hadir informasi yang tidak sesuai dengan harapan dewan
direksi.
Dewan juga bertanggung jawab untuk mengumpulkan dan menyelesaikan
masalah yang dipresentasikan oleh karyawan organisasi terkait dengan prosedur
dan manajemen akuntansi yang tidak tepat tindakan. Dengan cara ini, karyawan
memantau perilaku manajemen, namun lingkungan pengendalian harus sedemikian
rupa sehingga karyawan benar-benar akan melaporkan temuan mereka ke dewan
untuk bertindak. Dewan adalah tingkat teratas dari proses pemantauan dan,
karenanya, harus Memenuhi syarat dan independen untuk memantau masalah
organisasi, serta untuk mandiri memantau tindakan manajemen.

Ketinggian Kekhawatiran Karyawan

Lingkungan pengendalian yang berfungsi dengan benar harus menyambut
peningkatan perhatian karyawan tentang perilaku atau pelaporan keuangan.
Manajemen harus beroperasi dengan budaya yang mengakui karyawan individu
sebagai sumber vital dalam penilaian risiko dan pemantauan proses. Bila risiko
diidentifikasi, mereka harus bebas tampil di lingkungan yang bebas ancaman,
pembalasan, atau intimidasi.
Penerbit laporan keuangan diwajibkan di bawah Sarbanes-Oxley Section 301
untuk menetapkan prosedur untuk pengiriman rahasia dan anonim oleh karyawan
dari penerbit yang bersangkutan masalah akuntansi atau audit yang patut
dipertanyakan Sementara ketentuan ini dirancang untuk diberikan sebuah jalan
keluar untuk melaporkan penyimpangan manajemen terhadap pengendalian
internal, kebutuhan akan saluran anonim merupakan indikator bahwa lingkungan
kontrol mungkin tidak berfungsi dengan benar. Pengelolaan yang beroperasi
dengan otoritas yang tidak diragukan lagi bisa menjadi indikator kecenderungan
yang bisa terjadi akhirnya menyebabkan adanya override kontrol internal, dan harus
menjadi perhatian dewan atau Kepemilikan Perusahaan.
Program Benturan Kepentingan dan Kepatuhan
Kebijakan dan prosedur harus secara jelas menentukan perilaku yang sesuai
dengan mitra dagang dan apa yang dianggap sebagai konflik kepentingan. Tidak
setiap situasi dapat diatasi dengan kebijakan dan prosedur; Diharapkan lingkungan
pengendalian membimbing individu terhadap perilaku etis dengan tidak adanya
instruksi prosedural yang jelas. Dengan cara ini lingkungan kontrol berubah
kebijakan statis menjadi pedoman aktif untuk perilaku yang tepat. Lingkungan
kontrol secara konsisten memperkuat bahwa setiap benturan kepentingan yang
nyata atau yang nyata tidak akan ditolerir; ini dilakukan dengan menerapkan
kebijakan dan prosedur dan menentukan standar perilaku etis yang tinggi.
Konflik kepentingan adalah agen yang menaruh minat pada transaksi yang
berpotensi merugikan kepada prinsipal tanpa pengungkapan penuh dan tepat waktu
kepada prinsipal. Dengan kata lain, itu terjadi Jika seseorang memiliki kewajiban
kepada dua pihak dan tidak dapat secara adil mewakili kepentingan yang merugikan
keduanya pesta. Konflik kepentingan dapat mencakup, misalnya, agen real estat
yang menerima komisi baik dari pembeli maupun penjual dalam transaksi real estat,
atau agen pembelian yang membeli bahan dari perusahaan sampingan dimana dia
memiliki kepentingan kepemilikan.
Sementara konflik kepentingan dapat mengasumsikan berbagai bentuk, yang
paling umum adalah sebuah organisasi prihatin dengan hadiah yang berlebihan dari
vendor untuk mempengaruhi keputusan pembelian. Sebagai contoh, Dalam skema
kickback, agen pembelian menerima uang tunai atau aset berharga lainnya sebagai
gantinya untuk membayar harga beli yang lebih tinggi atau melakukan pembelian
yang sebaliknya tidak akan membuat Ini berbahaya bagi perusahaan (harganya
mahal), dan konfliknya tidak diungkapkan kepada perusahaan.
Organisasi telah mengambil pendekatan yang berbeda terhadap definisi
tingkat hadiah yang akan terjadi merupakan konflik :
1. Definisi relatif dari konflik kepentingan, seperti "tidak ada hadiah atau
penghargaan yang dapat diterima dari nilai yang akan cukup tinggi untuk
mempengaruhi orang tersebut. "Beberapa merasa ini tidak tepat
bimbingan, karena "nilai" pemberian semacam itu tidak terdefinisi dan
bisa menjadi sasaran liar interpretasi. Pendekatan ini bisa berhasil jika
organisasi telah mencapai yang sesuai budaya kontrol; Dalam lingkungan
seperti itu karyawan sebenarnya akan mempertimbangkan dampaknya dari
nilai hadiah dan berperilaku tepat.
2. Langit dolar yang keras untuk tingkat hadiah, seperti "tidak ada hadiah
atau penghargaan dapat diterima di mana nilai wajar dari hadiah itu
melebihi $ 100. "Hal ini menimbulkan kekhawatiran bahwa seorang
karyawan yang tidak waras kompromi batas dolar jika hadiah itu "sedikit"
 di atas tutup, atau mungkin tidak dipertimbangkan nilai total dari paket
hadiah, atau mungkin hanya menerima aliran hadiah yang lebih kecil,
masing-masing yang tidak melebihi batas
3. Larangan langsung atas hadiah. Meskipun ini menentukan tingkat kinerja
yang jelas, itu menimbulkan masalah bahkan item token yang tidak
penting (misalnya, pena plastik murah dengan vendor logo) tidak bisa
diterima Dalam arti, ini mengakui bahwa lingkungan kontrol tidak cukup
untuk menyebabkan perilaku yang sesuai dan bahwa karyawan tidak boleh
dibimbing dengan batas diskresioner.
Terlepas dari batas batas langit yang ditetapkan untuk menentukan konflik
kepentingan, kebutuhan organisasi untuk menentukan hukuman yang jelas karena
melanggar kebijakan dan memastikan bahwa kebijakan dipantau dan dipaksakan
secara konsisten, termasuk pelanggaran oleh manajemen senior. Secara proaktif, ini
termasuk memerlukan deklarasi tahunan tentang konflik kepentingan oleh semua
karyawan di dalam organisasi. Selain itu, kebijakan benturan kepentingan harus
disebarkan secara terbuka ke perdagangan mitra, termasuk instruksi bahwa
penyimpangan dari kebijakan tersebut harus dilaporkan ke sebuah otoritas yang
tepat dalam organisasi, seperti audit internal atau kantor kepatuhan.
Banyak organisasi telah menemukan kesuksesan dengan surat tahunan
kepada mitra dagang yang mengingatkan mereka dari polis, terutama disekitar
musim liburan.

Program Kompensasi dan Kebijakan dan Prosedur Sumber Daya Manusia

Program kompensasi dan kebijakan dan prosedur sumber daya manusia harus
ditetapkan memperkuat perilaku yang sesuai di seluruh organisasi. Membayar
kenaikan, komisi, dan Program bonus harus disesuaikan dengan tujuan organisasi
dan tidak dioptimasi secara individual tujuan yang mungkin bertentangan dengan
tujuan organisasi, termasuk keuangan yang akurat pelaporan. Tingkat kompensasi
yang besar terkait erat dengan hasil keuangan jangka pendek menciptakan insentif
untuk mendistorsi laporan keuangan, menyimpang dari GAAP, atau mengubah
bisnis transaksi. Misalnya, jika kepala departemen ditawari bonus $ 100.000 untuk
pencapaian a Kenaikan penjualan 10 persen selama tahun kalender, dan penjualan
aktual hanya meningkat dengan 9,2 persen pada awal Desember, ia memiliki
insentif yang luar biasa untuk mencari tambahan penjualan, sah atau sebaliknya.
Program kompensasi dapat menciptakan motif penipuan jika karyawan diberi
gaji rendah; rendah seperti itu kompensasi juga dapat menciptakan rasionalisasi
siap jika karyawan juga percaya "Berutang" lebih banyak kompensasi oleh
organisasi. Selain itu, banyak pengaruh dari luar yang menciptakan motif penipuan
ditangani oleh program dukungan karyawan di banyak organisasi (mis.,
penyalahgunaan zat, konseling kredit).
Prosedur sumber daya manusia juga harus menanamkan komitmen terhadap
kompetensi melalui perekrutan, pelatihan, dan retensi karyawan yang memenuhi
syarat. Karyawan yang berkualitas sangat penting untuk mencapai tujuan organisasi
seperti kualitas, penjualan, dan kepuasan pelanggan. Berkualitas Karyawan juga
penting untuk menerapkan struktur pengendalian internal secara memadai
memungkinkan tujuan yang harus dipenuhi; misalnya, karyawan terampil di bidang
akuntansi seharusnya dapat memahami pertimbangan akuntansi suatu transaksi dan
berpotensi mengidentifikasi dan melaporkan perilaku yang tidak pantas dari
karyawan atau manajemen lainnya. Karyawan kualifikasi juga berarti bahwa
otoritas harus ditugaskan ke tingkat yang sesuai di dalam organisasi. Delegasi
wewenang ke tingkat yang tidak sesuai dalam organisasi (mis., Memberi otorisasi
pemegang buku untuk bertemu dengan atasan akuntan atau menyetujui transaksi
besar) dapat perkenalkan kesempatan untuk mengesampingkan kontrol,
membahayakan akurasi pelaporan keuangan dan keamanan aset.
Secara umum, program kompensasi dan kebijakan dan prosedur sumber daya
manusia harus didefinisikan secara memadai memberi penghargaan kepada
karyawan atas usaha mereka, mendukung moral positif organisasi, dan menciptakan
lingkungan dimana para karyawan mengupayakan keberhasilan organisasi melalui
struktur pengendalian internal.

Penipuan Penipuan (FRAUD DETERENCE)

 Kenyataan bahwa manajemen berkaitan dengan masalah etika dan insiden
kecurangan, dengan sendirinya, Penipuan yang luar biasa terhadap kecurangan:
Lebih sulit untuk merasionalisasi perilaku yang tidak pantas. Jika proyek
manajemen terus berlanjut, sinyal kuat bahwa perilaku semacam itu tidak akan
ditolerir.
Selain itu, kehadiran sistem kontrol internal yang kuat akan memperkuat
pesan tersebut bahwa penyimpangan apapun dari perilaku yang diharapkan akan
cepat terdeteksi dan pelaku dihukum demikian.

COBIT (Tujuan Pengendalian untuk Informasi dan Teknologi Terkait)

bersifat komprehensif model untuk pengendalian TI; itu diterbitkan oleh Audit
Sistem Informasi dan Asosiasi Kontrol (ISACA) . COBIT mendefinisikan tujuan
pengendalian yang diperlukan agar proses TI dapat disampaikan informasi yang
dibutuhkan bisnis untuk mencapai tujuan mereka - perencanaan dan organisasi,
akuisisi dan implementasi, penyampaian dan dukungan, dan pemantauan sesuai
beberapa bisnis Persyaratan:
● Efektivitas
● Efisiensi
● Kerahasiaan
● Integritas
● Ketersediaan
● Kepatuhan
● Reliability
Model COBIT memberikan panduan terperinci untuk implementasi dan
penilaian struktur kontrol yang tepat untuk mencapai tujuan bisnis, dan merupakan
sumber daya yang luar biasa pengelolaan.
Baru-baru ini, Institute of Internal Auditors memperkenalkan Audit
Teknologi Global Panduan (GTAG); fokus utama GTAG adalah "risiko terkait
teknologi dan direkomendasikan praktik. "9 GTAG mengambil pendekatan
manajemen, menjelaskan kebutuhan dan risiko utama yang terkait dengan struktur
kontrol teknologi informasi. IIA telah menerbitkan dua volume pertama dari
pekerjaan GTAG Panduan 1, Kontrol Teknologi Informasi, menggambarkan
pandangan TI kontrol dari perspektif manajemen, terutama mengingat persyaratan
kepatuhan perusahaan yang baru. Panduan 2, Change and Patch Management
Controls, menggambarkan pentingnya memadai kontrol atas pembaruan perangkat
lunak. IIA bermaksud untuk terus menerbitkan volume tambahan pekerjaan GTAG
sesuai kebutuhan untuk mendukung kebutuhan manajemen dan chief executive
audit.
Prosedur pengendalian manual (nonautomated) juga bertanggung jawab
atas arus yang akurat informasi untuk proses bisnis; Namun, di kebanyakan
organisasi, kelemahan di bidang TI struktur kontrol akan menciptakan isu-isu yang
meresap yang sangat merugikan. Selain itu, Banyak eksekutif senior, termasuk
eksekutif senior keuangan, tidak berpengalaman secara rinci aspek teknis teknologi
informasi dan memperlakukan lingkungan TI sebagai sesuatu dari "Kotak ajaib."
Untuk alasan ini, kontrol TI yang berfungsi dengan baik berpengaruh signifikan
informasi dan komunikasi dalam organisasi.

Buka Komunikasi
Komunikasi terbuka adalah salah satu keunggulan lingkungan kontrol yang
berfungsi dengan baik dan merupakan pendorong utama moral karyawan juga.
Karyawan harus merasa diberdayakan untuk meningkatkan kesadaran akan risiko,
melaporkan sebuah isu, menawarkan saran untuk memperbaiki kualitas proses
(proses keuangan atau lainnya), atau umumnya mengungkapkan kekhawatiran. Jika
komunikasi terbuka semacam itu ditekan, karyawan dapat merasakan kebencian
terhadap manajemen atau perusahaan atau merasa bahwa manajemen benar-benar
tidak peduli dengan pengoperasian proses bisnis yang tepat.
Di bawah Sarbanes-Oxley Section 301, pelaporan anonim diperlukan untuk
emiten laporan keuangan: "Setiap komite audit harus membuat prosedur untuk. . .
rahasia, penyerahan anonim oleh karyawan penerbit masalah terkait masalah
akuntansi atau audit yang patut dipertanyakan. "10 Kebutuhan akan pelaporan
kasus secara rahasia mengindikasikan, bagaimanapun, komunikasi terbuka tidak
didorong dalam sebuah organisasi, dan lingkungan kontrol tidak berfungsi seperti
yang diharapkan. Fasilitas pelaporan anonim diperlukan karena ruam perwira
senior perusahaan publik yang dengan sengaja menyimpangkan laporan keuangan.
Tidak realistis untuk percaya bahwa komunikasi terbuka akan diterima di
lingkungan seperti itu.
Bahkan di luar peran di perusahaan publik, sistem pelaporan rahasia
mengurangi kerugian penipuan secara signifikan. Proses penyampaian dan evaluasi
pelaporan rahasia harus diperluas untuk mencakup sumber pihak ketiga seperti
pelanggan dan vendor, terutama di usaha kecil, yang paling terpukul oleh
kecurangan.11 Tip adalah cara yang sangat umum bahwa penipuan akhirnya
ditemukan, dan fasilitas anonim adalah sarana untuk memungkinkan manajemen
mendapatkan tip sebanyak mungkin. Selain itu, keberadaan saluran pelaporan
rahasia mengirimkan pesan yang jelas bahwa kecurangan dapat dilaporkan dengan
mudah ke manajemen, dan oleh karena itu, pelaku berisiko lebih besar melakukan
intervensi setelah ditemukan.
Agar sukses, fasilitas pelaporan anonim perlu didukung dengan prosedur
yang jelas untuk jenis kekhawatiran apa yang harus dilaporkan dan bagaimana
melaporkannya. Panduan ini harus disosialisasikan baik secara internal untuk
karyawan dan secara eksternal kepada vendor dan pemasok. Hal ini selanjutnya
dijelaskan di bagian "Konflik Kepentingan dan Kepatuhan" di awal bab ini.
Komunikasi karyawan terbuka mendukung tujuan organisasi lainnya selain
pencegahan penipuan. Sebagai contoh, landasan teori kualitas adalah bahwa
karyawan bertanggung jawab secara individual untuk keluaran proses, dan faktor-
faktor yang secara negatif membatasi bahwa output harus ditingkatkan ke
manajemen. Divisi Saturn Motor General Corporation pernah menampilkan sebuah
iklan yang menggambarkan seorang karyawan pada hari kerja pertamanya yang
menemukan cacat dalam produksi dan menarik kabelnya untuk hentikan garis dan
beri tahu manajemen Dalam komersial, karyawan dipuji karena ketekunannya dan
perilaku itu diperkuat. Komersial ini memperkuat kunci lain teori kualitas:
Tindakan korektif lebih murah bila terdeteksi di awal proses. Hal ini berlaku untuk
penipuan Pencegahan juga: Pencegahan penipuan jauh lebih murah daripada
remediasi; deteksi dini adalah jauh lebih murah daripada membiarkan penipuan
terus berlanjut dalam basis jangka panjang. Komunikasi terbuka adalah sebuah
enabler untuk pencegahan penipuan karena memungkinkan organisasi untuk
mengemukakan kekhawatiran kepada manajemen lebih mudah.

Risk Assesment
Penilaian risiko adalah survei berwawasan ke depan mengenai lingkungan
bisnis untuk mengidentifikasi apapun yang bisa mencegah tercapainya tujuan
organisasi. Karena berkaitan dengan pencegahan penipuan, Penilaian risiko
melibatkan identifikasi sarana internal dan eksternal yang bisa berpotensi
mengalahkan struktur pengendalian internal organisasi, membahayakan aset, dan
menyembunyikan tindakan dari manajemen Penilaian risiko adalah proses kreatif;
itu melibatkan identifikasi sebagai potensi ancaman sebanyak mungkin dan
evaluasilah dengan cara menentukan yang membutuhkan tindakan, dan prioritas
tindakan tersebut.
Idealnya, kegiatan penilaian risiko dilakukan secara terus menerus, oleh
semua karyawan dalam organisasi Sebagai risiko diidentifikasi, mereka diangkat ke
tingkat yang sesuai manajemen untuk dipertimbangkan Jenis budaya penilaian
risiko ini menjadi bagian dari kontrol lingkungan Hidup. Dalam kebanyakan kasus,
dan biasanya untuk risiko strategis, proses penilaian risiko dilakukan secara
interval, biasanya sekali per tahun.

Identifikasi resiko
Identifikasi risiko berusaha untuk mengidentifikasi ancaman sebanyak
mungkin tanpa melakukan evaluasi terhadap ancaman tersebut. Ini secara alami
mendorong proses untuk memasukkan sebanyak mungkin individu dari organisasi
mungkin, terutama termasuk yang memiliki informasi detail spesifik tentang yang
spesifik area risiko sedang dipertimbangkan Misalnya, penilaian risiko strategis
akan melibatkan manajemen senior, orang keuangan senior, dan area perencanaan
strategis. Penilaian risiko operasional termasuk dari unit operasi karena mereka
memiliki wawasan yang luar biasa bagaimana proses bisnis benar-benar bekerja
dan khususnya ancaman apa yang akan mengganggu pencapaian tujuan bisnis.
Untuk memudahkan proses identifikasi risiko, kerangka risiko dapat
membantu memberikan tambahan panduan untuk peserta penilaian risiko dan
membantu mengatur ancaman yang teridentifikasi. Itu kerangka kerja dapat
mengatur kategori risiko dan risiko spesifik berdasarkan elemen struktural
(misalnya, strategi, orang, proses, teknologi, data), atau oleh proses bisnis (mis.,
siklus pendapatan, pencairan siklus, manajemen kas dan treasury, pelaporan
keuangan, operasi).
Kerangka risiko harus mempertimbangkan faktor internal dan eksternal;
tugas beresiko peserta harus diingatkan dan didorong untuk mengidentifikasi
ancaman dari kedua faktor tersebut.
Faktor internal:
● Metode komunikasi
● Aktivitas penilaian risiko
● Ketepatan kegiatan pengendalian internal
● Hubungan buruh
● Pelatihan dan kemampuan karyawan
● Tingkat pengawasan karyawan
Faktor eksternal:
● Perubahan peraturan
● Kompetisi industri
● Hubungan dengan pemasok utama
● Hubungan dengan pelanggan
● Perekrutan dan perekrutan
● Risiko internasional
Selain itu, adalah tepat untuk mempertimbangkan evaluasi evaluasi kegiatan
penilaian risiko: memeriksa risiko yang dialami yang tidak diidentifikasi dalam
penilaian risiko sebelumnya. Itu Risiko diperiksa untuk melihat apakah tidak
diidentifikasi, dan jika tidak, mengapa tidak, atau jika memang diidentifikasi namun
dievaluasi sebagai item berisiko rendah. Dalam kedua kasus tersebut, pengamatan
harus dilakukan untuk memperbaiki proses penilaian risiko untuk iterasi masa
depan.

Evaluasi Resiko
Tujuan dari evaluasi risiko adalah untuk memberikan penilaian risiko yang
obyektif dan independen menghadapi organisasi Setiap item risiko yang
teridentifikasi dievaluasi, umumnya oleh skala dua faktor dampak dan
kemungkinan:
o Dampak Efeknya berisiko terhadap tujuan organisasi jika memang
demikian untuk benar-benar terjadi.
o Kemungkinan. Kemungkinan resiko itu akan benar-benar terjadi.
Dengan memaparkan evaluasi item risiko pada skala dua faktor ini, dengan
asal usul grafik menjadi rendah dampak dan kemungkinan rendah, item dengan
prioritas lebih tinggi (yaitu item dengan tinggi impact dan high likelihood ratings)
akan grafik di kuadran kanan atas. Resiko dapat dievaluasi pada tingkat risiko
inheren atau residual, dan ini adalah item perdebatan di antara praktisi penilaian
risiko.
 Risiko yang melekat adalah risiko yang ada sebelum kontrol diterapkan
untuk mengurangi hal tersebut risiko.
 Resiko sisa adalah risiko yang masih ada setelah semua kegiatan
pengendalian dijalankan.
Mengevaluasi risiko inheren akan cenderung mengevaluasi semua item
sebagai dampak tinggi dan kemungkinan tinggi risiko (yaitu, karena tidak ada
pertimbangan kontrol), sehingga mencegah segala jenis prioritas dari item risiko
Mengevaluasi risiko residual adalah mengevaluasi aktivitas pengendalian yang
mungkin dilakukan atau mungkin tidak efektif; sebuah risiko dapat diabaikan
karena evaluator bergantung pada internal kontrol yang sebenarnya tidak berfungsi.
Untuk itulah, banyak kegiatan penilaian risiko mengevaluasi risiko residual dan
mengidentifikasi kontrol kunci untuk mencapai dampak dan kemungkinan yang
lebih rendah skor, dan kemudian memverifikasi bahwa kontrol tersebut memang
ada pada tempatnya dan berfungsi. Tidak mengherankan, Kegiatan pengendalian
preventif cenderung mengurangi kemungkinan terjadinya risiko, sementara
Detektif dan kontrol korektif akan cenderung mengurangi dampak terjadinya risiko.

Pengendalian dan Prosedur Pengungkapan

Sarbanes-Oxley Section 302 mewajibkan CEO dan CFO perusahaan untuk
memastikan tanggung jawab mereka untuk menetapkan, memelihara dan
mengevaluasi pengendalian dan prosedur pengungkapan; prosedur ini digunakan
untuk mengembangkan diskusi manajemen dan analisis (MD & A) bagian dari
laporan keuangan.
SEC mendefinisikan pengendalian dan prosedur pengungkapan sebagai
proses untuk mengumpulkan, menganalisis, dan melaporkan kejadian,
ketidakpastian, kondisi, kontinjensi yang dapat mempengaruhi operasi secara
material hasil perusahaan. MD & A harus menawarkan pandangan internal
pemegang saham kepada pemegang saham perusahaan, berdasarkan item
manajemen percaya bisa berdampak pada operasi masa depan.
Pengungkapan perusahaan menyajikan informasi prospektif dan bukan
historis, strategis dan operasional informasi lebih tepatnya transaksional, informasi
keuangan.
Prosedur dalam organisasi harus menangkap informasi yang relevan dengan
penilaian dari kebutuhan untuk mengungkapkan perkembangan dan risiko yang
berkaitan dengan bisnis emiten. Misalnya untuk beberapa bisnis, penilaian dan
evaluasi operasional dan peraturan risiko mungkin diperlukan. Manajemen pada
akhirnya harus menentukan tingkat risiko yang mereka inginkan untuk
memungkinkan dalam proses apapun; Proses penilaian risiko, bagaimanapun, dapat
memberikan dokumentasi struktur untuk memudahkan identifikasi dan evaluasi
terhadap permasalahan tersebut.

Manajemen Risiko Perusahaan

 Enterprise risk management (ERM) adalah analisis menyeluruh terhadap
semua risiko yang dihadapi organisasi, termasuk risiko finansial, operasional, dan
kepatuhan. Banyak organisasi yang diimplementasikan sebuah proses ERM karena
tekanan peraturan yang meningkat, atau untuk mengambil keuntungan lebih besar.
Peluang bisnis yang kerap ditemani oleh tingkat risiko yang lebih besar.
Pada bulan September 2004, COSO menerbitkan Enterprise Risk
Management-Integrated Framework. Kerangka ERM mencakup definisi ini:
Manajemen risiko perusahaan adalah sebuah proses, yang dilakukan oleh
dewan direksi, manajemen perusahaan dan personil lainnya, diterapkan dalam
penetapan strategi dan di seluruh perusahaan, yang dirancang untuk
mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan
mengelola risiko berada dalam risk appetite-nya, untuk menyediakannya keyakinan
yang wajar mengenai pencapaian tujuan entitas.
Definisi ini mengakui bahwa ERM adalah proses cairan yang terus
berlangsung yang melibatkan keseluruhan organisasi. Sama seperti model kontrol
COSO yang dimaksudkan untuk menjadi pemersatu teori internal kontrol, kerangka
manajemen risiko perusahaan COSO dimaksudkan untuk menjadi pemersatu dan
analisis risiko yang komprehensif. Menurut model, ERM meliputi:
 Menyelaraskan selera dan strategi risiko. Manajemen mempertimbangkan
risk appetite entitas dalam mengevaluasi alternatif strategis, menetapkan
tujuan yang terkait, dan mengembangkan mekanisme untuk mengelola
risiko terkait.
 Meningkatkan keputusan respons risiko. Manajemen risiko perusahaan
memberikan ketegasan untuk mengidentifikasi dan pilih di antara respons
risiko alternatif: penghindaran risiko, pengurangan, pembagian, dan
penerimaan.
 Mengurangi kejutan dan kerugian operasional. Entitas mendapatkan
peningkatan kemampuan untuk mengidentifikasi kejadian potensial dan
menetapkan tanggapan, mengurangi kejutan dan biaya atau kerugian yang
terkait.
  Mengidentifikasi dan mengelola banyak dan risiko lintas perusahaan.
Setiap perusahaan menghadapi a segudang risiko yang mempengaruhi
berbagai bagian organisasi, dan ERM memfasilitasi efektif menanggapi
dampak yang saling terkait, dan tanggapan terpadu terhadap berbagai
risiko.
 Merebut peluang. Dengan mempertimbangkan berbagai kejadian
potensial, manajemen diposisikan untuk mengidentifikasi dan secara
proaktif menyadari peluang.
 Meningkatkan penerapan modal. Mendapatkan informasi risiko yang kuat
memungkinkan manajemen untuk secara efektif menilai kebutuhan modal
secara keseluruhan dan meningkatkan alokasi modal.
Kemampuan ini melekat dalam manajemen bantuan ERM mencapai target
kinerja dan profitabilitas entitas dan mencegah hilangnya sumber daya. ERM
membantu memastikan pelaporan dan pelaporan yang efektif mematuhi hukum dan
peraturan, dan membantu menghindari kerusakan pada reputasi entitas dan
konsekuensi yang terkait. Singkatnya, ERM membantu entitas menuju ke tempat
yang diinginkannya dan menghindari jebakan dan kejutan di sepanjang jalan.
Kerangka Kerja Manajemen Risiko Perusahaan COSO Enterprise
memberikan panduan terbaik untuk

Prosedur Pengendalian
Prosedur pengendalian, walaupun hanya satu dari lima elemen pengendalian
internal yang didefinisikan dalam Kerangka kerja terpadu COSO, adalah elemen
yang biasanya diidentifikasi dengan kontrol "pengendalian internal" Prosedur
adalah kebijakan, prosedur, dan panduan terdokumentasi yang mengarahkan
karyawan melalui proses bisnis yang sedang berlangsung. Prosedur pengendalian
juga prima area fokus untuk keterlibatan pencegahan penipuan; jika prosedur
pengendalian tidak didefinisikan secara memadai dan secara konsisten ditegakkan
di dalam organisasi, kesempatan untuk penipuan diperkenalkan. Namun, mereka
harus dipertimbangkan dalam fungsi keseluruhan sistem pengendalian internal.
Sebagai contoh, tidak ada gunanya memiliki seperangkat prosedur pengendalian
yang ditetapkan dengan baik bimbingan yang sangat baik bagi karyawan dalam
menjalankan pekerjaan mereka namun tidak memiliki kontrol pemantauan dasar
untuk memastikan bahwa panduan diikuti secara konsisten.
Prosedur pengendalian menentukan proses bisnis dan mencerminkan cara-
cara yang disetujui oleh manajemen untuk menyelesaikan setiap tugas kritis.
Prosedur terdokumentasi bersifat statis, namun proses bisnisnya fungsi terus-
menerus, dan sering perlu berubah untuk mencerminkan tujuan manajemen baru,
peluang, dan risiko bisnis. Untuk alasan ini, proses manajemen perubahan harus
dilakukan untuk mengidentifikasi dan mengesahkan perubahan yang diperlukan
dan memperbarui dokumentasi yang dapat diterima prosedur secara reguler, jika
tidak terus menerus, dasar. Ini adalah elemen yang sangat penting prosedur
pengendalian untuk perusahaan tersebut diwajibkan untuk melaporkan status
pengendalian internal di bawah Sarbanes-Oxley Bagian 404. Di perusahaan
semacam itu, perubahan informal terhadap prosedur tanpa memperbarui prosedur
pengendalian yang disetujui dapat menyebabkan pelanggaran pelaporan.

Prosedur Pengendalian dan Penipuan Penipuan (FRAUD DETERRENCE)

Prosedur pengendalian harus dirancang oleh manajemen, dilaksanakan, dan
ditegakkan secara konsisten untuk memastikan bahwa aset dijaga dan pelaporan
keuangan akurat. Untuk perlindungan aset, Ini biasanya melibatkan identifikasi aset
di dalam organisasi yang akan rentan terhadapnya penipuan dan menentukan
prosedur pengendalian sehingga aset tidak dapat dihapus dan pemindahannya
tersembunyi. Penipuan pencegahan melibatkan secara proaktif memeriksa prosedur
pengendalian ini untuk memverifikasi bahwa mereka cukup dirancang dan benar-
benar berfungsi dalam organisasi.
Penipuan pencegahan juga perlu menerapkan pendekatan analisis proses
terhadap ancaman terhadap organisasi. Seringkali manajemen mempertimbangkan
dan mengendalikan area risiko dengan tepat tanpa mengidentifikasi risiko lainnya
dalam proses bisnis yang sama. Perhatikan contoh rumah sakit dengan sangat ruang
kas yang dirancang dengan baik, dengan akses terbatas ke dua kasir yang
berwenang. Pengelolaan percaya bahwa prosedur kas mereka ada pada tempatnya
dan berfungsi. Di seluruh rumah sakit, Namun, uang dikumpulkan oleh berbagai
unit klinis, kafetaria, bar kopi, toko suvenir, dan sebuah layanan parkir valet, yang
semuanya diambil oleh orang yang bertanggung jawab atas pengumpulan uang
tunai (misalnya, petugas toko suvenir) ke jendela kasir. Manajemen tidak
mempertimbangkan atau menyetujui apapun prosedur pengendalian yang mengatur
bagaimana aktivitas ritel tersebut dilakukan, dan rumah sakit memiliki risiko
seseorang bisa mengonversi uang tunai sebelum dibawa ke jendela kasir.
Keterlibatan pencegahan penipuan harus melacak aset berharga sepenuhnya
melalui siklus bisnis memastikan bahwa aset terus dijaga saat mereka bergerak
melalui organisasi.
Penghapusan aset perlu dicegah apakah disembunyikan atau tidak. Sementara
penipuan melibatkan unsur penyembunyian yang memungkinkan pencurian
berlanjut dalam jangka waktu yang lebih lama, tidak terkendali pencurian masih
menjadi masalah bagi organisasi karena menciptakan kerugian aset. Kontrol
prosedur harus dirancang untuk membatasi akses terhadap aset berharga hanya
kepada pegawai yang disetujui tersebut dengan tujuan bisnis yang sah. Contoh
umum dari prosedur pengendalian semacam itu adalah membatasi akses ke ruang
penghitungan kas. Sebagian besar organisasi menyadari kebutuhan untuk memiliki
ruang terkunci terpisah dimana uang tunai dihitung, diverifikasi, dan disiapkan
untuk deposit. Untuk yang sama alasan, akses ke area persediaan, toko peralatan
kecil, dan barang berharga lainnya harus dibatasi karena mereka mengundang target
pencurian.

Pemisahan Tugas
Aspek penyembunyian penipuan biasanya ditanggulangi melalui penugasan
tugas pisahkan fungsi kustodianship (yaitu orang yang mengendalikan aset) dari
pencatatan fungsi (yaitu, orang yang bertanggung jawab atas catatan aset).
Meskipun ini penting Aspek prosedur pengendaliannya, itu hanya salah satu dari
beberapa elemen yang harus diperhatikan.
 Yang lebih penting daripada pemisahan prosedur sebenarnya adalah proses
berpikir bahwa manajemen pergi untuk menugaskan prosedur dengan tepat.
Diharapkan mereka teridentifikasi berharga aset dan fungsi pencatatan yang terkait
dan dianggap sebagai skema yang berbahaya karyawan bisa menggunakan
kompromi aset dan menyembunyikan tindakan itu. Kemudian dipersenjatai dengan
informasi itu, Mereka secara metodis menugaskan tugas untuk mengurangi risiko
kerugian. Proses ini, bagaimanapun, seharusnya tidak menjadi acara satu kali.
Pelaku penipuan sangat pandai dalam hal mengalahkan prosedur pengendalian, dan
manajemen perlu tetap rajin terhadap ancaman dan perancangan ulang yang baru
kontrol prosedur yang tepat. Penugasan tugas untuk memisahkan fungsi yang tidak
sesuai, sedangkan aspek kontrol yang penting, memiliki keterbatasan yang melekat
yang harus dipahami dalam keseluruhan konteks sistem kontrol internal.
Pemisahan fungsi kustodian dan pencatatan umumnya tidak efektif mencegah
kecurangan kolusi Sebagai contoh, adalah umum untuk memisahkan fungsi
produksi cek (kustodianship) dari proses rekonsiliasi bank (pencatatan), namun jika
keduanya individu yang bertanggung jawab atas fungsi memutuskan untuk bekerja
sama untuk menghapus aset dan menyembunyikan Tindakannya, struktur kontrol
bisa dikalahkan. Dalam banyak kasus seperti ini, pemisahan yang jelas Tugas
menciptakan rasa aman palsu bahwa semuanya harus bekerja dengan benar.
Prosedur pemantauan tambahan harus diterapkan agar manajemen memastikan
semua itu Transaksi yang diproses sesuai meskipun terjadi kecurangan kolusi.
Organisasi kecil memiliki batas alam dengan tugas tugas: Tidak mungkin
untuk memisahkan fungsi kustodianasi dan pencatatan karena jumlahnya terbatas
personil. Tidak selalu mungkin untuk hanya mempekerjakan personil tambahan
untuk mencapai yang lebih besar kontrol, dan praktisi pencegahan kecurangan
harus sangat berhati-hati jika membuat rekomendasi ini ke manajemen Dalam kasus
ini, manajemen harus memahami tambahannya eksposur potensial yang diizinkan
oleh tugas yang tidak sesuai dan mengembangkan tambahan prosedur pemantauan
untuk memastikan transaksi diproses dengan benar. Misalnya kecil organisasi
mungkin memiliki satu pemegang buku yang bertanggung jawab atas persiapan
pemeriksaan dan rekonsiliasi rekening bank. Tidak ada orang yang memenuhi
syarat yang dipekerjakan yang dapat berasumsi salah satu dari tugas ini Dalam hal
ini manajemen harus mengerti bahwa ia harus mengembangkan tambahan prosedur
pengendalian untuk mengawasi situasi. Misalnya, manajemen dalam hal ini harus
langsung menerima pernyataan bank, meninjau kembali pernyataan untuk
mencurigakan, periksa dibatalkan memeriksa atau memeriksa gambar, dan
kemudian memberikan pernyataan tersebut kepada pemegang buku untuk
rekonsiliasi. Dalam kasus ini, meskipun pembukuan melakukan rekonsiliasi,
manajemen sedang melakukan sebuah tinjauan tingkat tinggi untuk membantu
memastikan tidak ada transaksi yang tidak tepat.
Di banyak organisasi, sistem komputer mengendalikan kemampuan aktual
karyawan untuk memprosesnya transaksi terlepas dari apa yang didokumentasikan
dalam prosedur tertulis. Intinya, sistem ini menegakkannya pemisahan tugas yang
tidak sesuai dan harus dijaga dengan prosedur keamanan yang sesuai untuk
memastikan tujuan pengelolaan terpenuhi. Misalnya, jika seorang karyawan
berubah posisi dalam organisasi, otoritas lama mereka harus dihapus sebagai
otoritas baru sudah ditambahkan. Prosedur keamanan untuk memastikan pihak
berwenang dipelihara sangat penting untuk memastikan karyawan hanya dapat
melakukan prosedur manajemen yang berwenang.
Selain itu, pemisahan fungsi pencatatan dan kustodianasi mungkin tidak
terjadi di lingkungan kontrol optimal. Pertimbangkan pemisahan persiapan cek dan
fungsi rekonsiliasi bank. Manajemen dapat memutuskan untuk menetapkan fungsi
rekonsiliasi untuk petugas yang tidak ada hubungannya dengan cek produksi.
Namun, mengingat situasi ini, kemungkinan besar rekonsiliasi yang akan disiapkan
hanya akan menjadi rekonsiliasi "tick-and-tie" sebagai Petugas akan memiliki
sedikit pengetahuan untuk menantang transaksi yang diberikan. Rekonsiliasi
semacam itu diproduksi oleh sistem otomatis: Jika nomor cek dan jumlahnya sama,
itemnya akan cocok dan rekonsiliasi secara otomatis. Dalam situasi tertentu,
prosedur pengendalian lebih efektif akan memungkinkan orang yang menyiapkan
cek untuk mendamaikan akun, dan menyediakannya pengawasan manajemen
tambahan terhadap proses rekonsiliasi melalui pemantauan tambahan Prosedur.
Prosedur yang Tepat untuk Tingkat dan Personil
Kerugian terkait fraud terkait langsung dengan posisi pelaku. Penipuan oleh
pemiliknya atau eksekutif senior sebuah organisasi menyebabkan kerugian 6 kali
lebih besar daripada penipuan yang dilakukan oleh manajer, dan 14 kali lebih besar
daripada penipuan yang dilakukan oleh karyawan.16 Ini karena lebih banyak
Orang-orang senior dalam organisasi memiliki kemampuan untuk mengarahkan
bawahan dan mengganti internal prosedur pengendalian; dan mereka juga memiliki
kemampuan untuk mengendalikan hubungan besar, seperti dengan bank dan
akuntan eksternal. Kemampuan untuk melakukan kecurangan dalam jumlah besar
juga bisa terjadi ketika manajemen mendefinisikan prosedur pengendalian yang
mendelegasikan terlalu banyak kontrol untuk menurunkan tingkat organisasi.
Manajemen, terutama di organisasi kecil, harus hati-hati untuk mempertahankan
kontrol atas proses kunci, termasuk otoritas transfer kawat, persetujuan vendor
baru, hubungan bank, dan hubungan dengan penasehat eksternal, termasuk akuntan
dan pengacara.
Prosedur pengendalian juga perlu didefinisikan dengan benar untuk
kualifikasi karyawan dalam organisasi Bagi perusahaan kecil, jika manajemen
memberi kepercayaan yang tidak semestinya pada pekerjaan itu staf akuntansi yang
tidak memenuhi syarat, catatan akuntansi yang buruk, rekonsiliasi yang tidak benar,
dan Keputusan bisnis yang buruk bisa terjadi. Akhirnya hal ini bisa mengganggu
pelaporan dan hubungan pajak dengan bank atau investor, dan bisa mencegah
perencanaan keuangan usaha yang sesuai pemilik. Bagi perusahaan publik,
risikonya lebih besar lagi.
Jika manajemen mengharapkan karyawan untuk membuat keputusan terkait
dengan akuntansi yang kompleks dan Masalah bisnis-misalnya, interpretasi GAAP-
ia harus berinvestasi secara tepat individu. Bagian 13A dari Exchange Act
mewajibkan emiten untuk mengajukan aplikasi tahunan dan kuartalan laporan
dengan SEC; Ini mewujudkan persyaratan bahwa laporan tersebut benar. Emiten
harus merancang dan menerapkan pengendalian internal untuk memastikan bahwa
transaksi dicatat seperlunya untuk memungkinkan penyusunan laporan keuangan
sesuai dengan GAAP dan untuk menjaga akuntabilitas aset. Persyaratan ini meliputi
pemeliharaan yang sesuai dan terlatih staf untuk melakukan tugas yang diperlukan
untuk mencatat transaksi tersebut dan menyiapkan laporan keuangan. SEC
memberlakukan proses berhenti-dan-berhenti melawan Cummins, Inc., untuk
keuangan melaporkan kekurangan. Temuan dari SEC termasuk:
Antara lain, Cummins gagal mempekerjakan dan melatih personil yang
berkualifikasi di Fridley dan Departemen keuangan Darlington dan gagal memiliki
sistem pengendalian internal yang memadai untuk dipantau proses rekonsiliasi
akun.
Mempertahankan karyawan yang kompeten dan terlatih juga merupakan
bagian penting dari proses pemantauan. Karyawan harus berpengalaman dengan
prosedur pengendalian yang disetujui dan dapat memahami dampak potensial dari
penyimpangan dari prosedur tersebut untuk memahami dan menantang
penyangkalan manajemen potensial dari sistem pengendalian internal. Dalam
banyak kasus di mana kecurangan dilakukan, manajemen dengan sengaja
mempekerjakan personil yang tidak memenuhi syarat dan dengan sengaja gagal
mendokumentasikan prosedur pengendalian yang jelas sehingga sangat mudah
untuk menginstruksikan karyawannya untuk melakukan tindakan yang tidak
pantas, sehingga memudahkan kecurangan.

Tujuan Pengendalian
Proses bisnis bervariasi dari satu organisasi ke organisasi lain berdasarkan
ukuran, sumber daya, dan tujuan organisasi itu Demikian juga, prosedur
pengendalian perlu diubah juga. Tujuan kontrol - tujuan yang prosedurnya
dirancang untuk dicapai - cukup konsisten dari organisasi ke organisasi. Misalnya,
tujuan pengendalian yang penting adalah memastikan hal itu faktur vendor hanya
dibayar sekali, atau, dengan kata lain, faktur duplikat dikenali dan tidak dibayar. Di
banyak perusahaan besar, sistem hutang merupakan kontrol utama; sistem
memeriksa nomor vendor, nomor faktur, tanggal faktur, dan jumlah faktur terhadap
yang berbayar file sejarah, dan duplikat diidentifikasi. Di organisasi yang lebih
kecil, dengan akun manual sistem hutang, petugas toko menarik berkas kertas yang
berisi faktur sebelum membayar dan memeriksa fakturnya terhadap tagihan
sebelum bayar. Dalam setiap kasus, tujuan pengendalian "pembayaran duplikat
adalah dihindari "dipenuhi, namun dengan prosedur pengendalian yang sama sekali
berbeda.
Lapisan umum tujuan pengendalian memungkinkan penasehat profesional,
termasuk pencegahan kecurangan analis dan atasan auditor, untuk secara konsisten
mengevaluasi prosedur pengendalian secara beragam organisasi. Begitu penasehat
menjadi terbiasa dengan tujuan pengendalian untuk proses tertentu, adalah mungkin
untuk menilai sejauh mana prosedur pengendalian yang diimplementasikan
mencapai kontrol objektif. Untuk tujuan audit laporan keuangan, auditor secara
khusus berfokus pada mengendalikan tujuan yang mendukung pernyataan
manajemen atas laporan keuangan juga sebagai tujuan audit transaksi dan
keseimbangan.
Penegasan Manajemen
1. Keberadaan
2. Kelengkapan
3. Penilaian dan alokasi
4. Kewajiban dan hak
5. Presentasi dan pengungkapan

Tujuan Audit terkait Transaksi

1. Keberadaan
2. Kelengkapan
3. Akurasi
4. Klasifikasi
5. Ketepatan waktu
6. Posting
7. Ringkasan
Tujuan Audit yang berkaitan dengan keseimbangan
1. Keberadaan
 2. Kelengkapan
3. Akurasi
4. Klasifikasi
5. Potong-putus
6. Detil dasi (sub-akun ditautkan ke buku besar)
7. Nilai Realisasi (mis., Penurunan nilai)
8. Hak dan kewajiban
9. Presentasi dan pengungkapan

Evaluasi Kontrol
Tujuan evaluasi kontrol adalah untuk menentukan tingkat optimal prosedur
pengendalian yang diperlukan untuk sebuah organisasi untuk memastikan tujuan
proses bisnis terpenuhi, namun tetap memungkinkan proses berfungsi secara
efisien. Prosedur pengendalian yang berlebihan cenderung menurunkan efisiensi
operasi; Prosedur pengendalian yang tepat harus menyeimbangkan menyelesaikan
sesuatu dengan mendapatkan mereka melakukannya dengan benar Tingkat kontrol
yang benar adalah keputusan manajemen yang harus dilakukan secara eksplisit,
dengan pengetahuan tentang risiko yang diasumsikan oleh organisasi. Contohnya
akan jadilah tingkat di mana anggota manajemen harus melakukan pengecekan
ulang. Ambang batas rendah berarti manajer akan menghabiskan sebagian besar
hari mereka untuk meninjau dan menandatangani cek- mungkin bukan penggunaan
waktu terbaik. Tingkat yang terlalu tinggi berarti pengawasan manajemen penting
transaksi mungkin tidak tercapai Tingkat yang tepat menyeimbangkan risiko
dengan biaya kontrol, semua berdasarkan pandangan manajemen mengenai tingkat
risiko yang dapat diterima terhadap organisasi.
Proses evaluasi kontrol akan mendokumentasikan struktur pengendalian
internal sebagaimana diimplementasikan dalam organisasi untuk memungkinkan
penilaian terhadap efektivitas kontrol tersebut. Ini dilakukan dengan
mendokumentasikan tujuan pengendalian yang diperlukan untuk menghasilkan
hasil yang akurat untuk setiap tugas dalam proses bisnis dan mengidentifikasi
prosedur pengendalian yang memastikan bahwa setiap tujuan pengendalian tertentu
terpenuhi. Dengan cara ini, tujuan proses mendorong tujuan pengendalian, yang
dipenuhi oleh prosedur pengendalian.
Untuk membantu mengelola penilaian, setiap proses bisnis harus dipilah
menjadi apapun jumlah subproses dan tugas Hal ini akan membantu membuat
penilaian lebih mudah dikelola setiap tugas dapat dinilai secara individual dan hasil
dikumpulkan untuk mencapai suatu organisasi melihat. Selain itu, model proses
dapat digunakan untuk memastikan tidak ada proses, subproses, atau tugas tidak
terjawab dalam evaluasi.
Tujuan utama penilaian tersebut adalah memperbaiki struktur pengendalian
internal di dalam sebuah organisasi dan mengurangi kesempatan untuk kecurangan
dan salah saji finansial. Ini termasuk mengidentifikasi di mana prosedur
pengendalian tidak dirancang secara memadai (yaitu, kontrol saat ini prosedur tidak
akan memenuhi tujuan pengendalian), serta dimana prosedur pengendaliannya
tidak diikuti oleh organisasi secara konsisten. Pada saat bersamaan, efisiensi dan
efektifitasnya operasi harus dinilai juga. Seringkali teknik kontrol baru tersedia
yang dapat membantu meningkatkan efisiensi operasi dengan kontrol yang serupa
atau lebih baik. Contoh terbaru adalah ketersediaan umum Internet banking yang
memungkinkan pengguna yang berwenang untuk melihat-lihat cek setiap hari dan
memeriksa kembali gambar secara online. Selain itu, penilaian memberi
kesempatan untuk mempertanyakan mengapa sebuah kontrol dilakukan di tempat
pertama, berpotensi mengidentifikasi dimana kontrol kuno atau usang harus
dieliminasi dan dibebaskan sumber daya untuk melakukan kegiatan pengendalian
yang penting.
Penilaian akan menunjukkan gap kontrol dimana disain, implementasi, atau
efisiensi Perbaikan harus dilakukan oleh organisasi. Peluang perbaikan ini akan
memberi nilai kepada manajemen, dan harus diberi peringkat untuk membantu
manajemen fokus pada masalah kontrol yang membutuhkan tindakan prioritas.
Misalnya, jika tujuan pengendalian tidak dipenuhi oleh kontrol yang ada dalam
prosesnya, ini bisa menghadirkan kesempatan untuk menghapus aset atau
menyembunyikan tindakan terlarang (yaitu, biarkan terjadi kecurangan). Temuan
ini harus ditandai untuk tindakan segera. Jika tujuan kontrol yang memberikan
risiko lebih rendah terhadap organisasi tidak terpenuhi, hal itu seharusnya ditandai
untuk masa depan mengikuti. Kontrol kesenjangan dan rencana tindakan korektif,
termasuk penyelidikan jika perlu, harus didokumentasikan secara menyeluruh
untuk memastikannya tindak lanjut yang memadai oleh manajemen.
Tujuan akhir dari proses evaluasi kontrol adalah memberikan manajemen
secara detail kepada Secara positif menyimpulkan bahwa sebuah sistem diterapkan
untuk melindungi aset dan memastikan bahwa keuangan yang akurat pelaporan
tercapai Dokumentasi ini sangat membantu setiap organisasi dan dibutuhkan bagi
perusahaan yang harus melaporkan status struktur pengendalian internal mereka
kepada SEC di bawah Sarbanes-Oxley Bagian 404.

Monitoring
Pemantauan adalah proses yang dirancang untuk memberikan jaminan
independen bahwa prosedur pengendalian internal beroperasi secara efektif dan
bahwa semua transaksi yang diproses sesuai dengan standar. Pemantauan yang
sedang berlangsung harus dilakukan di berbagai tingkatan di seluruh organisasi
sebagai bagian dari operasi bisnis normal.
Untuk pengendalian teknologi informasi, banyak kerangka kerja yang
diterima, seperti model COBIT yang diterbitkan oleh Audit Sistem Informasi dan
Pengendalian Informasi, mencakup aspek pemantauan sebagai kunci keberhasilan
organisasi. Kerangka kerja COBIT mencakup standar pemantauan dan panduan
implementasi terperinci bagi manajemen untuk:
● Pantau prosesnya
● Menilai kecukupan pengendalian internal
● Dapatkan jaminan independen
● Menyediakan audit independen18
Pemantauan melibatkan kegiatan pencegahan pencurian dan deteksi
kecurangan. Pertama, manajemen harus memastikan bahwa semua proses
pengendalian dilakukan sesuai yang dirancang dan disetujui. Mengontrol analisis
kepatuhan untuk memverifikasi kinerja prosedur yang benar dapat mengungkapkan
kontrol yang telah dimodifikasi atau tidak dilakukan sesuai persetujuan; Kelemahan
kontrol ini bisa menghadirkan peluang terjadinya kecurangan. Secara proaktif
mengidentifikasi kelemahan dan koreksi ini adalah aspek pencegahan pencurian
dari proses pemantauan.
Selain itu, manajemen harus menganalisis transaksi historis secara
independen dari proses pelaporan normal. Ini adalah aspek deteksi kecurangan
pemantauan, dan penting untuk mendeteksi jika seseorang telah mengidentifikasi
cara untuk mengalahkan prosedur pengendalian yang disetujui. Misalnya, kolusi
bisa mengalahkan prosedur pengendalian internal standar, dan pemantauan kinerja
prosedur pengendalian mungkin tidak mendeteksi hal ini. Analisis transaksi,
termasuk pengujian terperinci data elektronik, seringkali dapat mendeteksi
transaksi yang tidak sesuai ini. Panduan komprehensif untuk teknik pemantauan
data independen tercakup dalam Bab 14.
Komite audit harus menentukan ruang lingkup dan frekuensi evaluasi sistem
pengendalian internal; Bagi organisasi yang memiliki fungsi audit internal, jadwal
ini harus ditetapkan sebagai bagian dari proses perencanaan audit internal tahunan.
Selain itu, komite audit harus mendefinisikan proses untuk melaporkan kekurangan
kepada manajemen senior, termasuk waktu dan detail untuk disertakan dalam
laporan.

Kinerja Prosedur
Manajemen harus secara teratur memverifikasi bahwa prosedur pengendalian
internal dilakukan sebagaimana dimaksud dalam proses pemantauan. Bagi emiten
laporan keuangan yang diwajibkan untuk melaporkan status pengendalian internal
di bawah Sarbanes-Oxley Section 404, verifikasi kinerja prosedur pengendalian
merupakan bagian dari proses pelaporan yang dipersyaratkan. Bagi emiten lain dan
perusahaan non-publik, verifikasi ini masih penting untuk memastikan sistem
pengendalian internal bekerja dengan benar.
Pemantauan kegiatan pengendalian harus memastikan bahwa semua
karyawan menjalankan prosedur memahami standar kinerja untuk fungsinya dan
harus mendapatkan bukti positif bahwa karyawan secara konsisten menjalankan
prosedur sesuai standar tersebut. Beberapa metode verifikasi dapat diterapkan
untuk mendapatkan bukti ini.
● Wawancara. Karyawan harus dapat secara jelas mengartikulasikan
bagaimana mereka melaksanakan prosedur mereka. Seringkali,
wawancara ini akan mengungkapkan sedikit variasi dalam kinerja proses
dua sampai jalan pintas, perubahan proses dadakan, atau perubahan proses
yang belum dikomunikasikan kepada manajemen. Untuk semua
perusahaan, ini harus dijajaki dan disertifikasi jika memang proses
perbaikan. Bagi emiten yang melaporkan berdasarkan Bagian 404
Sarbanes-Oxley, perubahan proses yang tidak terdokumentasi tersebut
dapat mengakibatkan masalah pelaporan keuangan.
● Proses walk-through. Pengamatan terhadap proses bisnis yang dilakukan
oleh karyawan harus sesuai dengan deskripsi proses. Metode validasi ini
berguna karena memungkinkan pengamatan sumber transaksi, dan
pengolahan transaksi output dari transaksi (yaitu, kaitannya dengan proses
bisnis selanjutnya dimana arus transaksi). Seringkali, dalam proses walk-
through, perbedaan diamati untuk jalan pintas, perubahan sistem yang
tidak terdokumentasi, atau perbedaan sumber informasi (misalnya sumber
informasi yang digunakan untuk memproses transaksi). Hal ini dapat
terjadi karena orang yang melaksanakan proses tersebut tidak menjelaskan
metode pemrosesan sebenarnya dengan detail yang cukup selama detail
atau telah melakukan perubahan pada pemrosesan yang menurutnya tidak
signifikan. Analisis yang cermat harus diterapkan untuk menentukan
bagaimana perubahan kecil ini mempengaruhi keseluruhan sistem kontrol.
● Penggandaan. Informasi yang diperoleh selama wawancara dan
pengamatan proses dalam satu proses harus memverifikasi pemahaman
standar pengendalian internal yang diperoleh dianalisis proses terkait
Misalnya, jika pengawas akuntansi penggajian mencatat bahwa semua
karyawan mengubah formulir permintaan diproses sebelum cutoff minggu
pembayaran, dan pengguna laporan ringkasan gaji yang sering diabaikan
 atau diproses terlambat diproses, penyelidikan lebih lanjut mengenai
prosedur pemrosesan di area penggajian adalah sesuai.
● Pembuktian secara eksternal. Komunikasi dari pihak eksternal harus
menguatkan secara internal menghasilkan informasi tentang eksekusi
proses Pihak eksternal, seperti vendor dan pelanggan, akan sering
memiliki wawasan yang luar biasa tentang metode pemrosesan aktual
organisasi; Pemantauan informasi ini bisa memberikan perspektif yang
independen bagaimana caranya prosesnya benar-benar bekerja.

Verifikasi Transaksi
Verifikasi transaksi memonitor integritas proses melalui rekaman laten yang
dihasilkan oleh transaksi yang diproses oleh sistem. Verifikasi ini dapat didasarkan
pada data sistem diproses atau review catatan transaksi berbasis kertas. Manajemen
harus mengembangkan skenario untuk mengalahkan kontrol internal untuk
memungkinkan kecurangan atau salah saji keuangan; tes harus monitor untuk
transaksi yang bisa mengindikasikan skenario yang telah terjadi.
Rekonsiliasi akun dapat memberi wawasan tentang kelayakan transaksi;
pengelolaan harus memastikan bahwa:
● Rekonsiliasi kunci diberikan kepada orang yang independen
● Kunci akun untuk rekonsiliasi yang harus dilakukan adalah katalog
● Rekonsiliasi item diidentifikasi, didokumentasikan, diselidiki dan
diselesaikan
● Manajemen menyadari proses rekonsiliasi dan menyadari rekonsiliasi
utama item dan item dan akun yang tidak didamaikan.
Manajemen juga harus mengembangkan metode pemantauan yang
independen dari laporan yang dihasilkan sebagai bagian dari proses bisnis normal.
Seringkali laporan ini dikembangkan dengan batas ekstraksi yang melekat yang
memungkinkan transaksi diproses dan tidak terdeteksi sebagai bagian dari keadaan
normal proses bisnis. Bab 14 mencakup panduan untuk pengembangan pemantauan
independen kegiatan. Sistem pemantauan yang berguna harus menyediakan:
● Independensi dari transaksi pemrosesan sistem
 ● Perbandingan data cross-system dan cross-functional terhadap aturan
bisnis
● Pengolahan data dalam jumlah besar, bukan hanya sampel saja
● Pemberitahuan untuk pengelolaan anomali potensial untuk tindak lanjut
tambahan

Audit internal
Fungsi audit internal berfungsi sebagai kegiatan pemantauan utama
manajemen; sebuah internal Fungsi audit sangat dibutuhkan oleh banyak bursa efek
sebagai syarat untuk dicatatkan. Itu profesi audit internal dipandu oleh standar
profesional yang dikeluarkan oleh Lembaga Internal Auditor.19 Definisi IIA
tentang audit internal menyatakan: Audit internal adalah kegiatan assurance dan
konsultasi independen yang bertujuan untuk menambahkan nilai dan memperbaiki
operasi organisasi. Ini membantu organisasi mencapai tujuannya dengan membawa
pendekatan yang sistematis dan disiplin mengevaluasi dan meningkatkan
efektivitas proses manajemen, pengendalian, dan tata kelola risiko.
Standar IIA mewajibkan fungsi audit agar tetap independen dari manajemen
operasi, Intinya, menempatkan auditor dalam posisi untuk memberikan penilaian
perusahaan yang obyektif operasi ke komite audit dewan. Fungsi audit internal
membantu audit komite dengan pelaksanaan dan evaluasi tata kelola perusahaan
dengan cara berkomunikasi nilai dan sasaran dan dengan memantau pencapaian
organisasi dari tujuan tersebut.
Secara tradisional, audit internal dilibatkan dalam audit operasional dan
kepatuhan; namun, karena persyaratan Undang-Undang Sarbanes-Oxley memberi
penekanan khusus pada Pentingnya pelaporan keuangan yang akurat, banyak fungsi
audit internal meningkatkan keterlibatan mereka dalam evaluasi inisiatif kepatuhan
Sarbanes-Oxley dalam organisasi, termasuk prosedur pelaporan keuangan dan
Bagian 404 upaya dokumentasi pengendalian internal.
Piagam audit tersebut mendefinisikan tujuan, wewenang, dan tanggung jawab
audit internal fungsi dalam organisasi. Fungsi audit internal mengembangkan
piagam dengan persetujuan komite audit dewan berdasarkan kebutuhan
pengawasan di dalam organisasi. Begitu ekspektasi dewan teridentifikasi, fungsi
audit internal dapat berkembang anggaran audit tingkat tinggi, seringkali mencakup
gabungan antara audit kepatuhan, pengawasan laporan keuangan, kegiatan
konsultasi internal, dan proyek khusus. Banyak dari kegiatan ini melampaui
kegiatan "kepatuhan" tradisional: Untuk pengendalian internal, misalnya, audit
internal dapat membantu dengan evaluasi efisiensi dan efektivitas prosedur
pengendalian internal, juga sebagai keseluruhan kepatuhan terhadap prosedur
tersebut.
Selama melakukan pekerjaan mereka, auditor internal akan tetap waspada
untuk kontrol yang signifikan kelemahan, dan melaporkan pengamatan semacam
itu ke tingkat manajemen yang sesuai. Ini menempatkan fungsi audit internal di
garis depan pencegahan penipuan. Kontrol yang signifikan Kelemahan bisa
menghadirkan peluang kecurangan, dan peluang semacam itu, tergantung pada
situasi spesifik, sebaiknya ditelaah untuk mengetahui apakah peluang itu memang
dieksploitasi.
Audit internal dapat melakukan investigasi kecurangan; Namun, ini akan
membutuhkan perubahan dalam lingkup, kualifikasi, dan anggaran dari rencana
audit awal. Pemeriksa yang melakukan audit kecurangan harus memenuhi syarat;
keterampilan ini biasanya tersedia di sebagian besar fungsi audit internal. Jika tidak,
chief executive audit harus memiliki wewenang dan anggaran untuk menyewa
seorang ahli luar untuk membantu pemeriksaan kecurangan.

Penipuan Penipuan (FRAUD DETERRENCE)

Pemantauan secara inheren merupakan aktivitas pendeteksian; Namun,
kenyataan bahwa manajemen secara aktif memantau kinerja pengendalian internal
untuk memastikan kepatuhan terhadap prosedur dan tambahan monitor untuk
transaksi yang tidak sesuai mengirimkan pesan yang jelas bahwa ada upaya untuk
melakukan penipuan. Aktivitas akan cepat terdeteksi dan diperbaiki. Ini, pada
intinya, memperkuat kontrol budaya dan kontrol lingkungan pesan bahwa perilaku
tersebut tidak akan ditolerir. Dengan cara ini, pengetahuan organisasi tentang
kegiatan pemantauan yang efektif adalah pencegahan yang kuat terhadap
kecurangan.

Faktor Penilaian Risiko

Konsep dasar penilaian risiko adalah probabilitas (kesempatan akan terjadi)
dan dampak (besarnya kejadian jika terjadi). Namun Konsep sederhana itu,
mengukur dan menerapkannya sulit dilakukan. Apa faktor yang harus
dipertimbangkan? Alat apa yang bisa membantu dalam menilai risiko? Bagaimana
bisa risiko diukur secara tepat? Faktor dapat dipertimbangkan pada berbagai
tingkatan, termasuk entitas, orang (behavioral), divisi, geografi, produk atau
layanan, akuntansi atau bisnis proses, kontrol, atau sistem komputerisasi. Biasanya,
faktor dipertimbangkan pertama pada tingkat entitas, sebagai kemungkinan
kecurangan, pencurian, atau penggelapan dalam bentuk apapun Lingkungan kerja
merupakan produk kepribadian eksekutif dan karyawan, kondisi kerja, efektivitas
pengendalian internal, dan tingkat Kejujuran didalamnya (budaya organisasi atau
lingkungan). Namun demikian Proses dimulai, perspektif yang berbeda harus
disertakan dan / atau diperiksa proses penilaian risiko, termasuk bagaimana
pengelolaan entitas digabungkan praktik terbaik manajemen risiko.

Faktor Lingkungan Perusahaan

Kecurangan, pencurian, dan penggelapan karyawan lebih banyak terjadi di
beberapa industri dan beberapa organisasi daripada organisasi lainnya. Asosiasi
Penguji Penipuan Bersertifikat (ACFE) 2008 melaporkan kepada Nation (RTTN)
mensurvei anggotanya mengenai kecurangan yang dipecahkan, dan total 959 kasus
dilaporkan terjadi. Salah satu statistik berkaitan dengan industri yang diwakili oleh
kasus-kasus ini. Sementara hasil statistik dapat menunjukkan jenis industri yang
kemungkinan besar akan menyewa Certified Fraud Examiner (CFE) untuk
menyelidiki kecurangan, hasilnya juga dapat mengindikasikan industri lebih rentan
terhadap kecurangan. Bagi industri yang lebih rentan terhadap kecurangan, entitas
dalam industri tersebut memiliki risiko penipuan yang lebih besar - sesuatu yang
perlu dipertimbangkan dalam penilaian risiko bagi entitas tersebut. Artinya,
penilaian risiko harus mempertimbangkan tingkat risiko raud yang dinilai dalam
industri entitas. Tahun 2008 Hasil RTTN adalah:
Industri menurut Frekuensi:
1. Layanan perbankan / keuangan (14,5% dari semua kasus dilaporkan)
2. Pemerintah / administrasi publik (11,7%)
3. Perawatan kesehatan (8,4%)
4. Manufaktur (7,2%)
5. Ritel (7%)
Industri dengan Median Loss:
1. Telekomunikasi ($ 800.000 / 16 kasus)
2. Pertanian / Kehutanan / Perikanan / Berburu ($ 450.000 / 13 kasus)
3. Manufaktur ($ 441.000 / 65 kasus)
4. Teknologi ($ 405.000 / 28 kasus)
5. Konstruksi ($ 330.000 / 42 kasus)

Penilaian RISIKO juga harus mempertimbangkan ekonomi saat ini. Disaat

yang baik, orang mencuri; Di saat buruk, orang mencuri lebih banyak lagi! Survei
2008-2009 oleh ACFE meminta 507 CFE untuk melaporkan tingkat kecurangan
sejak awal krisis ekonomi. Lebih dari separuh menunjukkan bahwa jumlah
penipuan telah terjadi meningkat selama waktu itu. Juga, 49 persen melaporkan
kenaikan dolar jumlah kerugian penipuan selama periode yang sama. Teorinya
adalah satu kaki dari Segitiga penipuan itulah yang disebut Donald Cressey sebagai
'' unshareable financial perlu '' atau tekanan (seperti yang tercantum dalam Bab 2)
dan orang umumnya berada di bawah lebih tekanan selama resesi ekonomi dan
dalam hal itu akan terjadi diharapkan terjadi peningkatan kecurangan.
Selain itu, kearifan konvensional di kalangan anggota audit dan Komunitas
keamanan menyarankan agar organisasi yang paling rentan berada mereka yang
memiliki kontrol manajemen, akuntansi, dan keamanan terlemah. Organisasi yang
lebih rentan terhadap kecurangan pekerjaan karyawan dan penyalahgunaan juga
bisa dibedakan dari yang kurang rentan oleh kontras lingkungan dan budaya yang
ditunjukkan pada Tampilan 5.1.
Faktor Potensi Penipuan Tinggi Potensi Penipuan yang Rendah
Gaya manajemen Otokratis, profit terfokus Partisipatif, fokus pelanggan
Orientasi Teori kepercayaan rendah X Kepercayaan tinggi teori Y
Manajemen Power driven Prestasi digerakkan
Manajemen dengan isu krisis Manajemen secara obyektif
dan perbedaan pribadi diikat Isu dan perbedaan pribadi dihadapkan
atau ditekan dan diatasi secara terbuka
Struktur Birokratis Collegial
Manajemen dan Regimented (mengatur) Sistematis
Kontrol Tidak fleksibel Terbuka untuk berubah
Kontrol yang teruji Dikontrol sendiri
Banyak bertingkat, vertikal Struktur datar, horizontal
Karakteristik Raksasa Profesional
CEO Pembual Menentukan
Cukup tertarik Cepat
Sopir Ramah
Tidak peka terhadap orang Dihormati oleh rekan sejawat
Takut Aman
Penjudi tidak aman Pengambil risiko
Impulsif Bijaksana
Kikir Dermawan dengan waktu dan uang
Nomor dan hal-hal yang pribadi
berorientasi Produk dan berorientasi pasar
Pencari laba Pembangun
Sia sia Percaya diri
Bombastis Pembantu
Sangat emosional Disusun, tenang, disengaja, bahkan
Sebagian disposisi
Berpura-pura lebih dari dia Adil
 Tahu siapa, apa, dan dimana dia
Wewenang Terpusat, dicadangkan oleh atas Desentralisasi, didelegasikan kepada
pengelolaan semua
Aturan kaku sangat ditegakkan tingkat
Aturan yang masuk akal cukup
ditegakkan
Perencanaan Terpusat Terdesentralisasi
Jarak dekat Jarak jauh
Kinerja Diukur secara kuantitatif dan Diukur baik secara kualitatif maupun
dalam jangka pendek kuantitatif, dan secara jangka panjang
Umpan balik kritis Kritik yang baik
Umpan balik negatif Umpan balik yang mendukung
Pelaporan Laporan rutin hanya Semuanya Laporan pengecualian
didokumentasikan - sebuah Dokumentasi yang memadai, tapi tidak
peraturan untuk semuanya memberatkan-beberapa kebijaksanaan
diperbolehkan.
Formal, tertulis, kaku, Informal, lisan, jelas, ramah,
sombong, komunikasi internal terbuka, komunikasi internal yang jujur
ambigu
Masalah Pelestarian modal Manusia, maka modal dan pemanfaatan
Manajemen Memaksimalkan keuntungan aset teknologi
Primer Pengoptimalan keuntungan
Sistem Hukuman Memperkuat
penghargaan Kikir Murah hati
Dikelola secara politis Cukup diadministrasikan
Terutama moneter Pengakuan, promosi, ditambah
tanggung jawab, pilihan tugas, ditambah
uang
Etika bisnis Ambivalen: mengendarai arus Jelas didefinisikan dan diikuti secara
pasang surut teratur
 Nilai dan Ekonomi, politik Sosial, spiritual
Keyakinan Egois Berpusat pada kelompok

Hubungan Sangat kompetitif, bermusuhan Ramah, kompetitif, suportif

internal
Hubungan Bermusuhan Profesional
Eksternal /
Pesaing
Hubungan rekan Bermusuhan, agresif, Koperasi, ramah
kontroversial
Success Basis / Bekerja lebih keras Bekerja lebih cerdas
Formula
Sumber daya Omset tinggi Peluang promosi tidak cukup untuk
manusia Habis terbakar semua talenta
Masalah Keluhan Ketidakhadiran
Masalah Kekurangan arus kas Peluang untuk investasi baru
keuangan
Loyalitas Rendah Tinggi
Perusahaan
Pola Sporadis Konsisten, mantap
Pertumbuhan

Faktor internal
Faktor internal yang meningkatkan probabilitas kecurangan, pencurian, dan
penggelapan termasuk pengendalian manajemen atau pemantauan kegiatan yang
tidak memadai seperti berikut ini:
1. Gagal menciptakan budaya yang jujur.
2. Gagal mengartikulasikan dan mengkomunikasikan standar kinerja
minimum dan perilaku pribadi.
3. Orientasi dan pelatihan yang tidak memadai tentang hukum, etika,
kecurangan, dan keamanan masalah.
 4. Kebijakan perusahaan yang tidak memadai sehubungan dengan sanksi atas
pelanggaran hukum, etika, dan keamanan; terutama untuk penipuan dan
kejahatan kerah putih.
5. Gagal untuk memberi nasihat dan melakukan tindakan administratif saat
tingkat kinerja atau perilaku pribadi berada di bawah standar yang dapat
diterima, atau melanggar prinsip dan pedoman entitas.
6. Ambiguitas dalam peran pekerjaan, tugas, tanggung jawab, dan bidang
pertanggungjawaban.
7. Kurangnya audit, inspeksi, dan tindak lanjut berkala atau periodik untuk
memastikan kepatuhan terhadap tujuan, prioritas, kebijakan, prosedur, dan
peraturan perundang-undangan; Secara umum, kurangnya akuntabilitas
atas posisi kunci kepercayaan.

Faktor Penipuan
Setiap penilaian risiko juga harus mempertimbangkan skema penipuan yang
lebih kemungkinan terjadi dalam rangka membimbing program antifraud.
Pencegahan dan Penanggulangan deteksi tentu lebih efektif jika mereka menangani
Skema penipuan yang paling mungkin dilakukan.
Untuk kecurangan laporan keuangan, jelas eksekutif entitas tersebut adalah
kemungkinan besar akan menjadi penipu dan dengan demikian penilaian risiko
pasti dilakukan termasuk individu tersebut. Untuk penyalahgunaan aset, seorang
karyawan di yang terpercaya Posisi kemungkinan menjadi pelakunya. Untuk
korupsi, mungkin saja sama saja termasuk seseorang di luar entitas yang bekerja
dengan seseorang di dalam-yang unik karakteristik skema korupsi.
Statistik dari ACFE RTTN dapat memberikan beberapa bantuan membuat
penentuan ini, seperti yang bisa otak produktif menyemprotkan fungsi silang tim.

Simpulan
Penilaian risiko merupakan titik awal yang penting untuk audit pada
umumnya. Di dalam bab, penilaian risiko digunakan sebagai alat untuk program
antifraud entitas, dimana entitas berusaha meminimalkan risiko kecurangannya.
Dengan demikian, langkah ini tidak tidak terjadi selama proses audit fraud.
Sebaliknya, ini adalah alat untuk mengidentifikasi risiko dan alamat yang paling
penting. Dianjurkan itu bisnis, terutama yang diperdagangkan secara publik,
melalui latihan ini secara reguler, dan bahwa auditor penipuan mempertimbangkan
konsep dan manajemen ini kemampuan manajemen risiko dalam pencegahan
penipuan, deteksi, dan investigasi.