Pengendalian dan Risiko Teknologi Informasi & Risiko Kecurangan dan Tindakan Ilegal

 Risiko dan Pegendalian Teknologi Informasi

    Terlepas dari seberapa cepat organisasi mengadopsi teknologi baru saat muncul, semua berinvestasi dalam TI. Mereka melakukannya karena beberapa alasan, yang semuanya berhubungan langsung untuk mencapai tujuan bisnis organisasi.

    Auditor internal yang bekerja secara luas di bidang sistem informasi terkomputerisasi harus memiliki keahlian TI, kontrol, dan audit yang mendalam. Auditor seperti itu biasanya disebut sebagai auditor sistem informasi (IS) atau auditor TI.

Komponen Kunci dari Sistem Informasi Moder Lanjutan 

1. Computer Hardware
2. Network (Client Server Network, LAN, WAN, Intranet, Ekstranet, VAN, Internet, dan Dua perangkat dapat berbagi informasi hanya di antara mereka sendiri tanpa dilekatkan ke jaringan lain)
3. Computer software
4. Database
5. Informasi
6. People (Chief Information Officer (CIO), administrator database, pengembang sistem, personil pengolahan data, dan pengguna akhir)

Peluang dan Risiko Teknologi Informasi

    Peluang adalah kemungkinan bahwa suatu peristiwa akan terjadi dan secara positif mempengaruhi pencapaian tujuan organisasi, dan risiko adalah kemungkinan bahwa suatu peristiwa akan terjadi dan berpengaruh negatif terhadap pencapaian tujuan organisasi.

Peluang Diaktifkan oleh Teknologi Informasi

Peluang lain yang telah dimungkinkan oleh kemajuan TI:

a. Sistem ERP (Enterprise Resource Planning) Sistem ERP adalah sistem perangkat lunak modular yang memungkinkan organisasi untuk mengintegrasikan proses bisnis mereka menggunakan database operasi tunggal.

b. EDI (Electronic Data Interchange) EDI melibatkan pertukaran dokumen bisnis komputer-ke-komputer dalam bentuk elektronik antara organisasi dan mitra dagangnya.

Risiko Teknologi Informasi

1. Perangkat keras komputer rentan terhadap pemadaman listrik yang mengganggu pemrosesan transaksi.
2. Jaringan mengirimkan informasi yang yang mungkin disadap dan dicuri atau disalahgunakan.
3. Perangkat lunak komputer yang diprogram tidak akurat dapat menghasilkan informasi yang tidak valid, tidak lengkap, dan / tidak akurat.
4. Database dapat diinfiltrasi untuk penyalahgunaan tujuan atau penyalahgunaan informasi.
5. Informasi yang tidak valid, tidak lengkap, dan / tidak akurat dapat menghasilkan keputusan yang buruk.
6. Seseorang dapat melakukan tugas TI yang tidak sesuai untuk melakukan dan menyembunyikan kesalahan atau penipuan.

RESIKO DARI KECURANGAN DAN TINDAKAN ILEGAL

DEFINISI KECURANGAN

• Menurut Komite Organisasi Pendukung yang diperbarui dari panduan COSO dan diproduksi dalam kolaborasi dengan ACFE menyatakan bahwa "kecurangan adalah tindakan sengaja atau kelalaian yang dirancang untuk menipu orang lain, mengakibatkan korban menderita kerugian dan atau pelaku mendapatkan keuntungan."
• Menurut IIA "kecurangan adalah setiap tindakan ilegal yang ditandai dengan penipuan, penyembunyian, atau pelanggaran kepercayaan." 
• Menurut AICPA "kecurangan adalah salah saji yang timbul dari pelaporan keuangan yang curang dan salah saji yang timbul karena salah dalam melakukan penilaian asset". 

    Pelaporan keuangan yang curang dapat dilakukan dengan :

1.  Memanipulasi, memalsukan atau mengubah catatan akuntansi atau dokumen pendukung darimana laporan keuangan tersebut disusun. 
2. Salah mengartikan atau sengaja menghilangkan peristiwa yang terjadi pada laporan keuangan, transaksi atau informasi penting lainnya.
3. Menyalahgunakan prinsip akuntansi terkait dengan jumlah, klasifikasi, cara presentasi, atau pengungkapan. 

    The ACFE's Occupational Fraud and Abuse Classification System menjelaskan tiga jenis utama kecurangan: 

• Pernyataan palsu, yang umumnya melibatkan pemalsuan laporan keuangan suatu organisasi.
• penyalahgunaan asset yang melibatkan pencurian atau penyalahgunaan aset organisasi dan
• korupsi, di mana pelaku kecurangan menggunakan pengaruh mereka dalam sebuah transaksi bisnis untuk mendapatkan manfaat bagi diri sendiri atau orang lain, bertentangan dengan kewajiban mereka kepada atasan mereka atau hak-hak dari pihak lain. 

SEGITIGA KECURANGAN

    Tiga komponen dalam segitiga kecurangan yaitu

• kesempatan, dimana kecurangan yang terjadi akibat adanya kesempatan yang luas untuk melakukan tindakan yang disengaja dan merugikan. 
• Tekanan, yaitu kebutuhan/tekanan yang dirasakan, dimana pelaku ingin mengurangi tekanan yang nyata atau yang dirasakan dengan mencari peluang. 
• Rasionalisasi yaitu perilaku kecurangan ini memungkinkan pelaku penipuan untuk percaya bahwa mereka tidak melakukan kesalahan.

PRINSIP UTAMA UNTUK MENGELOLA RISIKO KECURANGAN

• Tata kelola risiko kecurangan (Prinsip !): Sebuah entitas perlu membangun struktur tata kelola yang kuat untuk mengawasi manajemen risiko dan aktivitas lain untuk membantu memastikan pencapaian tujuan bisnis, terutama untuk mengidentifikasi dan mengelola risiko kecurangan.
• Penilaian terhadap risiko kecurangan (Prinsip 2) :Manajemen harus terlebih dahulu memahami risiko kecurangan inheren yang dihadapi oleh organisasi. Pertama, organisasi haru mengidentifikasi peristiwa atau scenario yang potensial. Kemudian mengumpulkan informasi dan melakukan penilaian.
• Kontrol aktivitas kecurangan (Prinsip 3) Prosedur yang dilakukan untuk menyeimbangkan kontrol pencegahan dan deteksi terhadap kecurangan.
• Investigasi kecurangan dan tindakan korektif (Prinsip 4): Hal ini dilakukan untuk memberikan kepastian yang masuk akal dan bukan absolut terhadap adanya kecurangan.
• Aktivitas pemantauan manajemen terhadap risiko kecurangan (Prinsip 5): Aktivitas yang dilakukan untuk memastikan bahwa 5 prinsip manajemen risiko kecurangan ini berfungsi sebagaimana dirancang dan organisasi dapat mengidentifikasi perubahan yang diperlukan pada waktu yang tepat.

PERAN DAN TANGGUNG JAWAB

    Dewan Direksi, bertanggung jawab dengan membantu mengatur praktik tata kelola risiko kecurangan. Manajemen, bertanggung jawab untuk mengimplementasikan, mengevaluasi dan mengawasi keseluruhan program manajemen terhadap risiko kecurangan. Pegawai. bertanggung jawab untuk terlibat dalam pelaksanaan semua program manajemen dengan dibekali adanya pemahaman akan kesadaran terhadap tindak kecurangan. Audit internal, bertanggung jawab sebagai unit yang memiliki peran assurance dalam dalam tata kelola dan program manajemen risiko kecurangan di perusahaan.

KOMPONEN DALAM PROGRAM MANAJEMEN RISIKO KECURANGAN

    Adapun komponennya yaitu :

1. Komitmen dari dewan direksi dan manajemen senior.
2. Aktivitas kesadaran akan tindakan kecurangan. 
3. Penegasan terhadap tindakan kecurangan. 
4. Pengungkapan konflik kecurangan. 
5. Penilaian atas risiko kecurangan. 
6. Prosedur pelaporan dan pelindungan pelapor. 
7. Proses investigasi. 
8. Tindakan disiplin dan atau korektif. 
9. Proses evaluasi dan 
10. Peningkatan serta pemantauan keberlanjutan.

PENILAIAN RISIKO KECURANGAN

    Terdapat tiga langkah kunci yaitu :

1. Mengidentifikasi risiko fraud yang melekat melalui brainstorming.
2. Mengukur dampak yang tidak hanya terkait laporan keuangan moenter dan keterjadian dari risiko yang diidentifikasi serta mengembangkan respon atas risiko yang memiliki dampak dan keterjadian tinggi pada kejadian diluar toleransi manajemen
3. Penilaian risiko mencakup personel akuntansi dan keuangan, personel unit bisnis non-keuangan, personel bidang hukum dan kepatuhan, personel manajemen risiko, auditor internal, serta pihak lain dari intern maupun ekstern yang dapat menyediakan tambahan keahlian.

TINDAKAN DAN RESPON ILEGAL

    Dalam banyak kasus, tindakan illegal ini juga merupakan kecurangan atau penipuan, sehingga teknik untuk mengatasi dan merespons risiko kecurangan mungkin terbawa ke tingkat tindakan illegal.

PENCEGAHAN KECURANGAN

    Sebagai tambahan terhadap pelaksanaan lingkungan tata kelola yang kuat, panduan fraud menguraikan unsur-unsur umum yang dapat memainkan peran penting dalam mencegah kecurangan yaitu; 

• Melakukan investigasi latar belakang.
• Memberikan pelatihan anti-fraud. 
• Mengevaluasi kinerja dan program kompensasi. 
• Melakukan wawancara ketika pegawai keluar. 
• Pembatasan otoritas, dan 
• Prosedur transaksi yang berlapis 

PENDETEKSIAN RISIKO

    Pendeteksian risiko ini dilakukan dengan individu dalam suatu organsiasi untuk mengidentifikasi terjadinya kecurangan atau gejala yang mengindikasikan kecurangan, Ada 3 metode yaitu: whistleblower hotlines, proses pengendalian dan prosedur proaktif pendeteksian risiko.

TINDAKAN INVESTIGASI DAN KOREKTIF

• Langkah awal menerima Tuduhan/laporan: 

1. Mengkategorikan permasalahan
2. Mengkonfirmasi validitas laporan 
3. Mendefinisikan tingkat keparahan laporan 
4. Menyelidiki permasalahan disaat yang tepat
5. Mengacu pada isu isu permasalahan di luar lingkup program
6. Melakukan investigasi dan pencarian fakta
7. Menjaga permasalahan yang dikategorikan rahasia
8. Mendefinisikan bagaimana investigasi akan didokumentasikan
9. Mengelola dan mempertahankan,
10. Menjaga keamanan dokumen dan informasi

• Langkah kedua, mengevaluasi laporan/aduan 

      Menentukan apakah laporan ini memerlukan investigasi formal atau informasi sudah didapatkan secara cukup untuk menarik kesimpulan dengan. 

• Langkah ketiga, membuat protokol investigasi yang disetujui oleh manajemen dan dewan yang akan memastikan penyelidikan mencapai tujuannya. 
• Langkah terakhir menentukan tindakan yang tepat berdasarkan hasil dari investigasi tersebut.

MEMAHAMI PERILAKU KECURANGAN

    Auditor internal harus memiliki rasa skeptisme profesional yang tinggi dan tidak menganggap bahwa orang lain akan "melaksanakan hal yang benar". Disini auditor tidak boleh langsung percaya dengan klien yang sedang diauditnya. Faktor yang mempengaruhi risiko kecurangan yaitu faktor terkait kepribadian abnormal/menyimpang dan juga faktor risiko terkait non-kepribadian.

IMPLIKASI TERHADAP INTERNAL AUDITOR DAN LAINNYA

    Sebagai "mata dan telinga, lengan dan kaki dari komite audit," auditor internal perlu mempertimbangkan pertanyaan-pertanyaan mengenai penyelidikan kecurangan, risiko apa yang terjadi dan juga bagaimana prosedur yang dilakukan terkait mengatasi risiko kecurangan tersebut. Pelaksanaan professional judgment terletak di kegiatan assurance dan konsultasi fungsi audit internal.

    Ketika menilai risiko fraud, auditor internal harus menunjukkan tingkat professional skepticism yang tinggi, yaitu, kemampuan secara kritis mengevaluasi bukti dan informasi yang tersedia. Hal ini khususnya terjadi karena pelaku fraud yang biasanya "menutupi jejak mereka". Dengan menggunakan teknologi komunikasi, investigasi forensik dan pemeriksaan fraud di masa depan akan sangat bergantung pada forensik komputer, pencitraan data komputer, penemuan bukti elektronik, dan analisis data terstruktur dan tidak terstruktur.

     Fungsi auditor internal dapat memainkan berbagai peran untuk memerangi kecurangan dalam suatu organisasi, termasuk melakukan pelatihan penyadaran kecurangan, menilai desain program dan kontrol anti kecurangan dan menguji efektifitas atas operasi kontrol. Auditor internal harus mengidentifikasi kriteria, kondisi, penyebab dan upaya untuk meringkas temuan mereka dari penyelidikan kecurangan. Mereka harus menuliskan komunikasi mereka secara sistematis, terorganisir untuk meningkatkan kejelasan dan pemahaman yang biasanya mencakup tentang pernyataan singkat dan jelas terkait masalah kecurangan yang terjadi.