Fraud Tree dan Pencegahannya
Fraud atau kecurangan adalah sebuah kerugian yang dialami oleh tiap perusahaan atau organisasi. Fraud dapat diartikan sebagai kecurangan. Dalam hal ini kecurangan dapat dilakukan oleh siapa saja, baik oleh sorang karyawan biasa, maupun manajer yang memiliki kedudukan tinggi dalam sebuah organisasi.
Penyebab terjadinya fraud dapat bermacam-macam. Akan
tetapi, Cressey dalam risetnya telah merangkum faktor-faktor apa saja yang
dapat menyebabkan orang untuk melakukan fraud. Hasil penelitian Cressey ini
kemudian disebut dengan Fraud Triangle. Teori ini juga dianggap sebagai teori
yang paling komprehensif menjelaskan tentang latar belakang orang melakukan
tindak kejahatan, khususnya fraud. Selanjutnya Fraud Triangle terdiri atas:
·
Pressure
Tekanan merupakan salah satu
penyebab mengapa seseorang melakukan fraud. Tekanan dapat terjadi karena
beberapa hal. Namun biasanya, tekanan ekonomilah yang paling sering menyebabkan
orang dapat melakukan fraud. Sebagai contoh ketika seseorang yang sedang
dililit hutang, maka dia bisa dengan nekat mencuri uang milik perusahaan tempat
dia bekerja.
·
Opportunity
Kemudian adalah tekanan, fraud dapat
terjadi karena adanya kesempatan. Dalam hal ini kesempatan dapat terkait dengan
kedudukan seseorang dalam sebuah perusahaan maupun kemampuan atau skill orang
yang dimiliki orang tersebut.
·
Rationalization
Yang terakhir adalah rasionalisasi.
Dalam hal ini, ketika seseorang melakukan fraud, orang tersebut menganggap
bahwa tindakan fraud adalah sebuah tindakan yang rasional dilakukan di tempat
dia bekerja, sehingga dia sah-sah saja untuk ikut melakukan kecurangan.
bagaimana dengan jenis-jenis fraud?
Jika dijabarkan sebenarnya jenis-jenis fraud dapat jadi bermacam-macam. Jika di
Indonesia ada banyak kasus korupsi, maka tindakan korupsi juga termasuk dalam
fraud. Jenis-jenis fraud yang lain dijelaskan oleh ACFE(Associated of Certified
Fraud Examiner) dalam fraud tree berikut
Fraud terbagi atas 5 bagian yaitu antara lain :
Corruption
Korupsi disini merupakan
penyalahgunaan wewenang. Maka dari itu pelaku korupsi ini biasanya merupakan
orang-orang yang memiliki kedudukan dalam suatu instansi maupun organisasi.
Contohnya bisa kita lihat sendiri pada banyak kasus yang terjadi di Indonesia.
Biasanya koruptor tersebut merupakan pejabat negara atau instansi yang memiliki
kewenangan tertentu. Terjadinya korupsi bisa terjadi karena beberapa hal,
antara lain:
·
Konflik
Kepentingan.
Hal ini sering kita jumpai dalam
berbagai bentuk, di antaranya bisnis pelat merah atau bisnis pejabat dan
keluarga beserta kroni mereka yang menjadi pemasok atau rekanan di
lembaga-lembaga pemerintah dan di dunia bisnis sekalipun.
·
Penyuapan.
Praktek-praktek penyuapan
sesungguhnya banyak terjadi dalam dunia bisnis di sekitar kita. Penyuapan
biasanya dilakukan agar dapat menghindari prosedur atau birokrasi yang terkesan
berbelit-belit. Penyuapan ada berbagai macam bentuknya. Kickback meruapkan
salah satu bentuk penyuapan dimana penjual menyerahkan sebagian dari hasil
penjualannya. Prosentase yang diserahkan itu bisa diatur dimuka atau diserahkan
sepenuhnya kepada penjual. Dalam hal terakhir, apabila penerima kickback
mengganggap kickback yang diterimanya terlalu kecil maka dia akan mengalihkan
bisnisnya ke rekanann yang mampu memberi kickback yang lebih tinggi.
· Illegal
Gratuities adalah pemberian arau hadiah yang merupakan dalam bentuk terselubung atau
sering disebut juga sebagai gratifikasi.
Asset Misappropriation
Merupakan pengambilan asset secara
illegal atau sering juga disebur sebagai penggelapan. Asset missappropriation
biasanya dilakukan dengan 3 cara antara lain:
·
Skimming:
dalam skimming uang dijarah sebelum uang tersebut secara fisik masuk ke
perusahaan. Cara ini terlihat dalam fraud yang sangat dikenal oleh auditor,
yaitu lapping.
·
Larceny.
Berbeda dengan skimming, maka larceny yaitu menjarah uang ketika sudah masuk
dalam perusahaan. Dalam fraud tree larceny ada 5 yaitu billing schemes, Payroll
Schemes, Expense Reimbursement Schemes, Check Tampering dan Register
Disbursement
Ø Billing
Schemes: adalah skema dengan menggunakan proses billing atau pembebanan tagihan
sebagai sarananya. Pelaku dapat mendirikan perusahaan bayangan yang seolah-olah
merupakan pemasok atau rekanan atau kontraktor sungguhan. Perusahaan bayangan
ini merupakan sarana untuk mengalirkan dana secara tidak sah ke luar
perusahaan.
Ø Payroll
Schemes: adalah sekema melalui pembayaran gaji. Bentuk permainannya antara lain
dengan pegawai atau karyawan fiktif. Atau dalam pemalsuan jumlah gaji. Jumlah
gaji yang dilaporkan lebih besar dari gaji yang dibayarkan.
Ø Expense
Reimbursement Schemes. Sekam melalui pembayaran kembali-biaya-biaya, misalnya
biaya perjalanan. Contoh seorang salesman mengambil uang muka perjalanan dan
sekembalinya dari perjalanan dia membuat perhitungan biaya perjalanan. Kalau
biaya perjalanan melampaui melampaui uang mukanaya, ia akan meminta
penggantian. Ada beberapa cara skema melalui reimbursement ini. rincian biaya
menyamarkan jenis pengeluaran yang sebenarnya atau biayanya dilaporkan lebih
besar dari pengeluaran sebenarnya.
Ø Check Tampering: pemalsuan cek
Ø Register
Disbursement adalah pengeluaran yang sudah masuk dalam Cash Register. Skema ini
melalui register disbursement pada dasarnya ada dua yaitu pengembalian uang
yang dibuat-buat dan pembatalan palsu.
·
Fraudulent
Statement
Fraud yang berkenaan dengan penyajian laporan
keuangan. Ada beberapa cara yang dapar dilakukan antara lain menyajikan asset
atau pendapatan lebih tinggi dari yang sebenarnya dan juga menyajikan asset
atau pendapatan lebih rendah dari yang sebenarnya.
Pencegahan Fraud
Ada banyak cara yang dipakai untuk
mencegah fraud. Dalam teori fraud untuk mendeteksi sebuah fraud dimulai dengan
mengidentifikasi skema fraud yang sering digunakan dan bagaimana fraud tersebut
dapat terjasi. Tetapi untuk membuktikannya penyekidik perlu mengetahui skema
fraud, fraud triangle, sesuatu mengenai pengendalian dan juga beberapa indikasi
mengenai fraud.
Dalam penelitian dari ACFE
mengemukakan bahwa dalam beberapa tahun dari mulai 1996 hingga 2008 kasus fraud
dapat diungkap karena adanya tip atau aduan. Selain itu fraud dapat diketahui
dengan tanpa disengaja, internal audit, internal audit. Kemudian fraud juga
dapat diketahui karena adanya pemeriksaan pihak luar seperti kantor akuntan
publik yang melaksanakan audit tahunan dan juga dari penegak hukum.
Metode lain dapat dikembangkan untuk
pencegahan fraud secara umum maupun secara spesifik. Beberapa metode dapat
digunakan sebagai deteksi secara umum antara lain:
· Internal
audit yang secara aktif terlibat dalam aktivitas pencegahan fraud.
·
Sarbanes
Oxley Act section 404 yang dapat memberikan petunjuk untuk mengidentifikasi
kelemahan dari yang bisa mengakibatkan resiko lebih tinggi untuk area atau
proses bisnis
·
Analisis
vertikal dan horisontal pada laporan keuangan, khususnya ketika perbandingan
antara unit bisnis dan data.
Analisis rasio,
khususnya menganalisis trend dalam beberapa tahun terakhir dan dengan
membandingkan unit bisnis dengan unit lainnya dan juga dengan perusahaan secara
keseluruhan.
·
Audit
mendadak atau perhitungan kas secara mendadak.
· Aduan secara
anonim dan sistem pengaduan dimana karyawan, vendor atau pelanggan dapat
mengakses dengan mudah, nyaman dan aman.
·
Data mining
untuk mendetekasi adanya indikasi kecurangan.
Penelitian mengenai skema fraud yang
dilakukan jajaran tinggi dalam perusahaan dan juga indikasi dari tiap fraud
adalah kunci sukses dalam mendeteksi terjadinya frud. Melalui pengertian dan
analisis dalam mengetahui indikasi kecurangan akan membantu dalam mengembangkan
metode deteksi fraud, penelitian dari ACFE sendiri telah memberikan pandangan
dalam metode deteksi yang efektif.
Definisi Pengendalian Internal menurut COSO
Pengendalian internal
adalah proses yang dipengaruhi dewan direksi, manajemen dan personel lainnya,
pada suatu entitas, didesain untuk menyediakan penjaminan bertanggung jawab
mengenai pencapaian tujuan hubungannya dengan operasional, laporan dan
pencapaian tujuan.
Konsep
fundamental pengendalian internal:
· Pemenuhan
pencapaian tujuan di satu atau dua kategori-operasi, laporan dan kepatuhan
peraturan
· Proses yang
mengandung tugas dan aktivitas yang kontinyu-bertujuan pada suatu akhir, bukan
akhir dari proses itu sendiri,
dipenuhi oleh
orang-bukan melulu tentang kebijakan dan prosedur manual, sistem dan formulir,
tapi juga orang dan tindakan yang dilkaukan di setiap level organisasi untuk
mempengaruhi pengendalian internal.
· Mudah untuk
menyediakan penjaminan tanggung jawab-tapi bukan penjaminan mutlak, bagi senior
manajemen dan dewan direksi suatu entitas
· Mudah
menyesuaikan dengan struktur entitas-fleksibel dalam aplikasinya untuk seluruh
entitas atau untuk informasi cabang, divisi, unit operasi atau proses bisnis.
 |
Ada sebuah hubungan langsung antara tujuan, sesuatu
yang diperjuangkan entitas untuk dicapai, komponen/unsur-unsur, yang
menunjukkan apa yang dibutuhkan untuk meraih tujuan tersebut dan unit operasi,
entitas resmi dan struktur lainnya dalam entitas. Hubungan tersebut dilukiskan
dalam bentuk kubus.
· Tiga
kategori tujuan ditunjukkan pada kolom
· Lima
komponen ditunjukkan oleh baris
· Struktur
organisasi yang menunjukkan keseluruhan entitas, divisi, cabang, unit operasi
atau fungsional, termasuk proses bisnis seperti penjualan, pembelian, produksi
dan marketing dan untuk yang berkaitan dengan pengendalian internal,
digambarkan oleh tiga dimensi dari kubus.
Komponen
Pengendalian Internal
- Control Environtment / Lingkungan Pengendalian
Merupakan susunan dari standar, proses dan struktur
yang menyediakan dasar untuk terlaksananya pengendalian internal dalam
organisasi. Dewan Direksi dan majajemen senior menetapkannya sebagai sifat
paling utama menimbang pentingnya pengendalian internal dan juga mengharapkan
standar perilaku.
Control environtment terdiri dari intergritas dan
etika dari organisasi; parameter memperbolehkan dewan direksi untuk untuk
menjalankan kepemimpinannya mempertanggungjawabkan kesalahan; struktur
organisasi dan tugas-tugas bagi yang berhak dan bertanggung jawab; proses untuk
menarik, mengembangkan dan mempertahankan kompetensi individual; dan ukuran
prestasi, insentif dan hadiah untuk mengarahkan akuntabilitas pada prestasi.
Dari control environtment yang berhasil dapat menembus dampak pada seluruh
sistem pengendalian internal.
- Risk Assessment / Taksiran Resiko
Setiap entitas menghadapi berbagai resiko dari
eksternal maupun internal. Resiko dipandang sebagai kemungkinan bahwa suatu
kegiatan akan dilaksanakan tidak dapat memenuhi tujuan. Analisis Resiko
berkaitan secara dinamis dan literatif untuk mengidentifikasi dan menaksir
resiko untuk mencapai tujuan. Resiko untuk mencapai tujuan ini disadari
oleh entitas berkaitan untuk menentukan toleransi resiko. Maka, perkiraan
resiko membentuk dasar untuk menentukan bagaiman resiko itu adan diatur.
- Control Activities / Aktivitas Pengendalian
Merupakan tindakan penentuan melalui kebijakan dan
prosedur yang membantu menjamin bahwa arahan manajemen untuk mengurangi resiko
dalam pencapaian tujuan itu terlaksana. Control activities diterapkan pada
semua level entitas, di berbagai tingkat dalam proses bisnis dan seluruh
lingkungan teknologi. Mereka dapat mencegah atau mendeteksi secara alami dan
dapat mencakup jangkauan aktivitas manual dan otomatis seperti otorisasi dan
aproval, verivikasi, rekonsiliasi dan review prestasi bisnis. Pemisahan tugas
biasanya dibangun dalam seleksi dan pemngembangan aktivitas pengendalian. Jika
pemisahan tugas tidak diterapkan, manajemen memilih dan mengembangkan
alternatif aktivitas pengendalian.
- Information and Communication / Informasi dan Komunikasi
Informasi penting untuk entitas melaksanakan
tanggungjawab pengendalian supaya mendukung pencapaian tujuan. Manajemen
memperoleh dan menggunakan informasi berkualitas dan relevan dari tiap pihak
eksternal dan internal untuk mendukung berfungsinya komponen lain dari
pengendalian internal.
Komunikasi
sifatnya berkelanjutan, berguna dalam proses pelayanan, diskusi dan
menyampaikan informasi penting. Komunikasi internal artinya informasi
disebarkan melalui organisasi, ke atas, ke bawah dan antar entitas. Ini
memungkinkan personal untuk menerima pesan yang jelas dari senior manajemen
yang mengendalikan tanggung jawab harus ditindak serius. Komunikasi eksternal
ada dua, memungkinkan komunikasi timbal balik dari informasi eksternal yang
relevan dan melayani informasi ke pihak eksternal sebagai balasan kebutuhan dan
harapan.
- Monitoring Activities / Aktivitas Monitoring
Evaluasi berkelanjutan, evaluasi sebagian, atau
beberapa kombinasi keduanya digunakan untuk mengetahui apakah kelima komponen
dari pengendalian internal, termasuk pengendalian pengaruh prinsip dalam setiap
komponen, apakah ada dan berfungsi. Evaluasi berkelanjutan, dibangun menjadi
proses bisnis pada level yangberbeda dari entitas, menyediakan informasi yang
aktual. Evaluasi sebagian, dilaksanakan periodik, akan bervariasi dalam
jangkauan dan frekuensi tergantung taksiran resiko, keefektifan ecaluasi
berkelanjutan dan pertimbangan manajemen lainnya. Penemuan dievaluasi
berdasar kriteria yang ditetapkan pembuat keputusan, mengenali isi
pengaturan standar atau manajemen dan dewan direksi, dan ketidakefisienan dikomunikasikan
pada manajemen dan dewan direksi yang mumpuni.
Ada 17 prinsip Coso framework 2013 seperti yang akan
dijabarkan dibawah ini antara lain :
Control Environment
- 1. menunjukkan komitmen atas integritas dan nilai etis
- 2. mengadakan pertanggungjawaban kesalahan
- 3. menetapkan struktur, wewnang dan tanggung jawab
- 4. menunjukkan komitmen terhadap kompetensi
- 5. menyelenggarakan akuntabilitas
Risk Assessment
- 6. spesifikasi sasaran yang sesuai
- 7. identifikasi dan analisis resiko
- 8. menaksir penyelewengan resiko
- 9. identifikasi dan analisis perubahan yang signifikan
Control Activities
- 10. memilih dan mengembangkan aktivitas kontrol
- 11. memilih dan mengembangkan kontrol umum terhadap teknologi
- 12. menyebarkan kebijakan dan prosedur
Information & Communication
- 13. menggunakan informasi yang relevan
- 14. komunikasi internal
- 15. komunikasi eksternal
Monitoring
- 16. mengadakan evaluasi terus-menerus dan / atau berkala
- 17. evaluasi dan defisiensi komunikasi
Dalam Frame
work ada tiga kategori tujuan yang
difokuskan oleh organisasi dalam aspek yang berbeda dari pengendalian internal
yaitu :
- Operation objectives/tujuan operasional
Hal ini dapat berkaitan dengan efektivitas dasn efisiensi
dari operasional entitas, termasuk operasional dan tujuan kegiatan keuangan,
dan pengamankan aset dari kerugian.
- Reporting Objectives/tujuan laporan
Kejadian tersebut berkaitan dengan laporan keuangan
dan non-keuangan baik intern dan ekstern dan bisa meliputi kepercayaan, jangka
waktu, transparansi dan kondisi lain seperti memasang permanen oleh para
pengatur, mengenali pengatur standar atau kebijakan entitas.
- Compliance Objectives/pemenuhan tujuan
Hal itu berkaitan dengan ketaatan pada hukum dan
peraturan yang menjadi subjek entitas.
Audit SIA merupakan proses pengumpulan dan evaluasi
bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat
melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu
pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang
dimiliki secara efisien (Weber, 2000).
Pada dasarnya, Audit Sistem Informasi dibedakan
menjadi dua kategori, yaitu:
1. Pengendalian Aplikasi (Application Control)
Tujuan pengendalian aplikasi dimaksudkan untuk
memastikan bahwa data di-input secara benar ke dalam aplikasi, diproses secara
benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan.
Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum
juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap
efektifitas atas pengendalian-pengendalian aplikasi.
2. Pengendalian Umum (General Control)
Tujuan pengendalian umum lebih menjamin integritas
data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas
program atau aplikasi yang digunakan untuk melakukan pemrosesan data.
PENGENDALIAN UMUM
Pengendalian umum pada perusahaan dilakukan terhadap
aspek fisikal maupun logikal. Aspek fisikal dilakukan terhadap aset-aset fisik
perusahaan, sedangkan aspek logikal terhadap sistem informasi di level
manajemen (misal: sistem operasi). Pengendalian umum sendiri digolongkan
menjadi beberapa, diantaranya:
a) Pengendalian organisasi dan otorisasi.
Yang dimaksud dengan pengendalian organisasi adalah
secara umum terdapat pemisahan tugas dan jabatan antara pengguna sistem
(operasi) dan administrator sistem (operasi). Dan juga dapat dilihat bahwa
pengguna hanya dapat mengakses sistem apabila memang telah diotorisasi oleh
administrator.
b) Pengendalian operasi.
Operasi sistem informasi dalam perusahaan juga perlu
pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi dengan
baik selayaknya sesuai yang diharapkan.
c) Pengendalian
perubahan.
Perubahan-perubahan yang dilakukan terhadap sistem
informasi harus dikendalikan, termasuk pengendalian versi dari sistem informasi
tersebut, catatan perubahan versi, serta manajemen perubahan atas
diimplementasikannya sebuah sistem informasi.
d) Pengendalian akses fisikal
dan logikal.
Pengendalian akses fisikal berkaitan dengan akses
secara fisik terhadap fasilitas-fasilitas sistem informasi suatu perusahaan,
sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap sistem
operasi sistem tersebut (misal: windows).
PENGENDALIAN APLIKASI
Pengendalian aplikasi adalah prosedur-prosedur
pengendalian yang didisain oleh manajemen organisasi untuk meminimalkan resiko
terhadap aplikasi yang diterapkan perusahaan agar proses bisnisnya dapat
berjalan dengan baik.
Macam Aplikasi
Aplikasi berwujud perangkat lunak, yang dapat dibagi
menjadi dua tipe dalam perusahaan untuk kepentingan audit PDE:
·
Perangkat lunak berdiri sendiri
Terdapat pada organisasi yang belum menerapkan SIA dan
sistem ERP, sehingga masih banyak aplikasi yang berdiri sendiri pada
masing-masing unitnya. Contoh: aplikasi (software) MYOB pada fungsi
akuntansi dan keuangan.
·
Perangkat lunak di server
Tedapat pada organisasi yang telah menerapkan SIA dan
sistem ERP. Aplikasi terinstall pada server sehingga tipe struktur sistemnya
memakai sistem client-server . Client hanya dipakai sebagai
antar-muka (interface) untuk mengakses aplikasi pada server.
Macam Pengendalian Aplikasi
a. Pengendalian
Organisasi dan Akses Aplikasi
Pada pengendalian organisasi, hampir sama dengan
pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang
diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna,
hingga pengembangan aplikasi tersebut.
Untuk pengendalian akses, terpusat hanya pada
pengendalian logika saja untuk menghindari akses tidak terotorisasi. Selain itu
juga terdapat pengendalian role based menu dibalik pengendalian akses
logika, dimana hanya pengguna tertentu saja yang mampu mengakses menu yang
telah ditunjuk oleh administrator. Hal ini berkaitan erat dengan kebijakan TI
dan prosedur perusahaan berkaitan dengan nama pengguna dan sandi nya.
b. Pengendalian Input
Pengendalian input memastikan data-data yang
dimasukkan ke dalam sistem telah tervalidasi, akurat, dan terverifikasi.
c. Pengendalian
Proses
Pengendalian proses biasanya terbagi menjadi dua
tahapan, yaitu (1) tahapan transaksi, dimana proses terjadi pada berkas-berkas
transaksi baik yang sementara maupun yang permanen dan (2) tahapan database,
proses yang dilakukan pada berkas-berkas master.
d. Pengendalian Output
Pada pengendalian ini dilakukan beberapa pengecekan
baik secara otomatis maupun manual (kasat mata) jika output yang dihasilkan
juga kasat mata.
e.
Pengendalian Berkas Master
Pada pengendalian ini harus terjadi integritas
referensial pada data, sehingga tidak akan diketemukan anomali-anomali,
seperti:
·
Anomaly
penambahan
·
Anomaly
penghapusan
·
Anomaly
pemuktahiran/pembaruan
Hubungan Pengendalian Umum dan Aplikasi
Hubungan antara pengendalian umum dan aplikasi
bersifat pervasif. Artinya apabila pengendalian umum terbukti jelek, maka
pengendalian aplikasinya diasumsikan jelek juga, sedangkan bila pengendalian umum
terbukti baik, maka diasumsikan pengendalian aplikasinya juga baik.
