Senin, 30 November 2015

Penjelasan Fraud tree, Coso framework 2013, dan Rangkuman Pengendalian umum dan Aplikasi



Fraud Tree dan Pencegahannya

Fraud atau kecurangan adalah sebuah kerugian yang dialami oleh tiap perusahaan atau organisasi. Fraud dapat diartikan sebagai kecurangan. Dalam hal ini kecurangan dapat dilakukan oleh siapa saja, baik oleh sorang karyawan biasa, maupun manajer yang memiliki kedudukan tinggi dalam sebuah organisasi.
Penyebab terjadinya fraud dapat bermacam-macam. Akan tetapi, Cressey dalam risetnya telah merangkum faktor-faktor apa saja yang dapat menyebabkan orang untuk melakukan fraud. Hasil penelitian Cressey ini kemudian disebut dengan Fraud Triangle. Teori ini juga dianggap sebagai teori yang paling komprehensif menjelaskan tentang latar belakang orang melakukan tindak kejahatan, khususnya fraud. Selanjutnya Fraud Triangle terdiri atas:
·          


      Pressure

Tekanan merupakan salah satu penyebab mengapa seseorang melakukan fraud. Tekanan dapat terjadi karena beberapa hal. Namun biasanya, tekanan ekonomilah yang paling sering menyebabkan orang dapat melakukan fraud. Sebagai contoh ketika seseorang yang sedang dililit hutang, maka dia bisa dengan nekat mencuri uang milik perusahaan tempat dia bekerja.
·          
      Opportunity

Kemudian adalah tekanan, fraud dapat terjadi karena adanya kesempatan. Dalam hal ini kesempatan dapat terkait dengan kedudukan seseorang dalam sebuah perusahaan maupun kemampuan atau skill orang yang dimiliki orang tersebut.
·          
      Rationalization

Yang terakhir adalah rasionalisasi. Dalam hal ini, ketika seseorang melakukan fraud, orang tersebut menganggap bahwa tindakan fraud adalah sebuah tindakan yang rasional dilakukan di tempat dia bekerja, sehingga dia sah-sah saja untuk ikut melakukan kecurangan.

bagaimana dengan jenis-jenis fraud? Jika dijabarkan sebenarnya jenis-jenis fraud dapat jadi bermacam-macam. Jika di Indonesia ada banyak kasus korupsi, maka tindakan korupsi juga termasuk dalam fraud. Jenis-jenis fraud yang lain dijelaskan oleh ACFE(Associated of Certified Fraud Examiner) dalam fraud tree berikut


 Fraud terbagi atas 5 bagian yaitu antara lain : 
 

Corruption
Korupsi disini merupakan penyalahgunaan wewenang. Maka dari itu pelaku korupsi ini biasanya merupakan orang-orang yang memiliki kedudukan dalam suatu instansi maupun organisasi. Contohnya bisa kita lihat sendiri pada banyak kasus yang terjadi di Indonesia. Biasanya koruptor tersebut merupakan pejabat negara atau instansi yang memiliki kewenangan tertentu. Terjadinya korupsi bisa terjadi karena beberapa hal, antara lain:
·         
          Konflik Kepentingan.
Hal ini sering kita jumpai dalam berbagai bentuk, di antaranya bisnis pelat merah atau bisnis pejabat dan keluarga beserta kroni mereka yang menjadi pemasok atau rekanan di lembaga-lembaga pemerintah dan di dunia bisnis sekalipun.
·      
       Penyuapan.
Praktek-praktek penyuapan sesungguhnya banyak terjadi dalam dunia bisnis di sekitar kita. Penyuapan biasanya dilakukan agar dapat menghindari prosedur atau birokrasi yang terkesan berbelit-belit. Penyuapan ada berbagai macam bentuknya. Kickback meruapkan salah satu bentuk penyuapan dimana penjual menyerahkan sebagian dari hasil penjualannya. Prosentase yang diserahkan itu bisa diatur dimuka atau diserahkan sepenuhnya kepada penjual. Dalam hal terakhir, apabila penerima kickback mengganggap kickback yang diterimanya terlalu kecil maka dia akan mengalihkan bisnisnya ke rekanann yang mampu memberi kickback yang lebih tinggi.

·       Illegal Gratuities adalah pemberian arau hadiah yang merupakan dalam bentuk terselubung atau sering disebut juga sebagai gratifikasi.

Asset Misappropriation

Merupakan pengambilan asset secara illegal atau sering juga disebur sebagai penggelapan. Asset missappropriation biasanya dilakukan dengan 3 cara antara lain:

·         Skimming: dalam skimming uang dijarah sebelum uang tersebut secara fisik masuk ke perusahaan. Cara ini terlihat dalam fraud yang sangat dikenal oleh auditor, yaitu lapping.
·         Larceny. Berbeda dengan skimming, maka larceny yaitu menjarah uang ketika sudah masuk dalam perusahaan. Dalam fraud tree larceny ada 5 yaitu billing schemes, Payroll Schemes, Expense Reimbursement Schemes, Check Tampering dan Register Disbursement
Ø  Billing Schemes: adalah skema dengan menggunakan proses billing atau pembebanan tagihan sebagai sarananya. Pelaku dapat mendirikan perusahaan bayangan yang seolah-olah merupakan pemasok atau rekanan atau kontraktor sungguhan. Perusahaan bayangan ini merupakan sarana untuk mengalirkan dana secara tidak sah ke luar perusahaan.
Ø  Payroll Schemes: adalah sekema melalui pembayaran gaji. Bentuk permainannya antara lain dengan pegawai atau karyawan fiktif. Atau dalam pemalsuan jumlah gaji. Jumlah gaji yang dilaporkan lebih besar dari gaji yang dibayarkan.
Ø  Expense Reimbursement Schemes. Sekam melalui pembayaran kembali-biaya-biaya, misalnya biaya perjalanan. Contoh seorang salesman mengambil uang muka perjalanan dan sekembalinya dari perjalanan dia membuat perhitungan biaya perjalanan. Kalau biaya perjalanan melampaui melampaui uang mukanaya, ia akan meminta penggantian. Ada beberapa cara skema melalui reimbursement ini. rincian biaya menyamarkan jenis pengeluaran yang sebenarnya atau biayanya dilaporkan lebih besar dari pengeluaran sebenarnya.
Ø  Check Tampering: pemalsuan cek

Ø  Register Disbursement adalah pengeluaran yang sudah masuk dalam Cash Register. Skema ini melalui register disbursement pada dasarnya ada dua yaitu pengembalian uang yang dibuat-buat dan pembatalan palsu.

·         Fraudulent Statement
Fraud yang berkenaan dengan penyajian laporan keuangan. Ada beberapa cara yang dapar dilakukan antara lain menyajikan asset atau pendapatan lebih tinggi dari yang sebenarnya dan juga menyajikan asset atau pendapatan lebih rendah dari yang sebenarnya.

Pencegahan Fraud

Ada banyak cara yang dipakai untuk mencegah fraud. Dalam teori fraud untuk mendeteksi sebuah fraud dimulai dengan mengidentifikasi skema fraud yang sering digunakan dan bagaimana fraud tersebut dapat terjasi. Tetapi untuk membuktikannya penyekidik perlu mengetahui skema fraud, fraud triangle, sesuatu mengenai pengendalian dan juga beberapa indikasi mengenai fraud.

Dalam penelitian dari ACFE mengemukakan bahwa dalam beberapa tahun dari mulai 1996 hingga 2008 kasus fraud dapat diungkap karena adanya tip atau aduan. Selain itu fraud dapat diketahui dengan tanpa disengaja, internal audit, internal audit. Kemudian fraud juga dapat diketahui karena adanya pemeriksaan pihak luar seperti kantor akuntan publik yang melaksanakan audit tahunan dan juga dari penegak hukum.
Metode lain dapat dikembangkan untuk pencegahan fraud secara umum maupun secara spesifik. Beberapa metode dapat digunakan sebagai deteksi secara umum antara lain:


·           Internal audit yang secara aktif terlibat dalam aktivitas pencegahan fraud.
·         Sarbanes Oxley Act section 404 yang dapat memberikan petunjuk untuk mengidentifikasi kelemahan dari yang bisa mengakibatkan resiko lebih tinggi untuk area atau proses bisnis
·      Analisis vertikal dan horisontal pada laporan keuangan, khususnya ketika perbandingan antara unit bisnis dan data.
Analisis rasio, khususnya menganalisis trend dalam beberapa tahun terakhir dan dengan membandingkan unit bisnis dengan unit lainnya dan juga dengan perusahaan secara keseluruhan.
·        Audit mendadak atau perhitungan kas secara mendadak.
·   Aduan secara anonim dan sistem pengaduan dimana karyawan, vendor atau pelanggan dapat mengakses dengan mudah, nyaman dan aman.
·        Data mining untuk mendetekasi adanya indikasi kecurangan.

Penelitian mengenai skema fraud yang dilakukan jajaran tinggi dalam perusahaan dan juga indikasi dari tiap fraud adalah kunci sukses dalam mendeteksi terjadinya frud. Melalui pengertian dan analisis dalam mengetahui indikasi kecurangan akan membantu dalam mengembangkan metode deteksi fraud, penelitian dari ACFE sendiri telah memberikan pandangan dalam metode deteksi yang efektif.
 Definisi Pengendalian Internal menurut COSO
Pengendalian internal adalah proses yang dipengaruhi dewan direksi, manajemen dan personel lainnya, pada suatu entitas, didesain untuk menyediakan penjaminan bertanggung jawab mengenai  pencapaian tujuan hubungannya dengan operasional, laporan dan pencapaian tujuan.
Konsep fundamental pengendalian internal:
·         Pemenuhan pencapaian tujuan di satu atau dua kategori-operasi, laporan dan kepatuhan peraturan
·         Proses yang mengandung tugas dan aktivitas yang kontinyu-bertujuan pada suatu akhir, bukan akhir dari proses itu sendiri,
 dipenuhi oleh orang-bukan melulu tentang kebijakan dan prosedur manual, sistem dan formulir, tapi juga orang dan tindakan yang dilkaukan di setiap level organisasi untuk mempengaruhi pengendalian internal.
·         Mudah untuk menyediakan penjaminan tanggung jawab-tapi bukan penjaminan mutlak, bagi senior manajemen dan dewan direksi suatu entitas
·         Mudah menyesuaikan dengan struktur entitas-fleksibel dalam aplikasinya untuk seluruh entitas atau untuk informasi cabang, divisi, unit operasi atau proses bisnis.



Ada sebuah hubungan langsung antara tujuan, sesuatu yang diperjuangkan entitas untuk dicapai, komponen/unsur-unsur, yang menunjukkan apa yang dibutuhkan untuk meraih tujuan tersebut dan unit operasi, entitas resmi dan struktur lainnya dalam entitas. Hubungan tersebut dilukiskan dalam bentuk kubus.

·         Tiga kategori tujuan ditunjukkan pada kolom
·         Lima komponen ditunjukkan oleh baris
·         Struktur organisasi yang menunjukkan keseluruhan entitas, divisi, cabang, unit operasi atau fungsional, termasuk proses bisnis seperti penjualan, pembelian, produksi dan marketing dan untuk yang berkaitan dengan pengendalian internal, digambarkan oleh tiga dimensi dari kubus.



Komponen Pengendalian Internal
  • Control Environtment / Lingkungan Pengendalian
Merupakan susunan dari standar, proses dan struktur yang menyediakan dasar untuk terlaksananya pengendalian internal dalam organisasi. Dewan Direksi dan majajemen senior menetapkannya sebagai sifat paling utama menimbang pentingnya pengendalian internal dan juga mengharapkan standar perilaku.
Control environtment terdiri dari intergritas dan etika dari organisasi; parameter memperbolehkan dewan direksi untuk untuk menjalankan kepemimpinannya mempertanggungjawabkan kesalahan; struktur organisasi dan tugas-tugas bagi yang berhak dan bertanggung jawab; proses untuk menarik, mengembangkan dan mempertahankan kompetensi individual; dan ukuran prestasi, insentif dan hadiah untuk mengarahkan akuntabilitas pada prestasi. Dari control environtment yang berhasil dapat menembus dampak pada seluruh sistem pengendalian internal.  
  • Risk Assessment / Taksiran Resiko
Setiap entitas menghadapi berbagai resiko dari eksternal maupun internal. Resiko dipandang sebagai kemungkinan bahwa suatu kegiatan akan dilaksanakan tidak dapat memenuhi tujuan. Analisis Resiko berkaitan secara dinamis dan literatif untuk mengidentifikasi dan menaksir resiko untuk mencapai tujuan. Resiko untuk mencapai tujuan ini  disadari oleh entitas berkaitan untuk menentukan toleransi resiko. Maka, perkiraan resiko membentuk dasar untuk menentukan bagaiman resiko itu adan diatur.
  • Control Activities / Aktivitas Pengendalian
Merupakan tindakan penentuan melalui kebijakan dan prosedur yang membantu menjamin bahwa arahan manajemen untuk mengurangi resiko dalam pencapaian tujuan itu terlaksana. Control activities diterapkan pada semua level entitas, di berbagai tingkat dalam proses bisnis dan seluruh lingkungan teknologi. Mereka dapat mencegah atau mendeteksi secara alami dan dapat mencakup jangkauan aktivitas manual dan otomatis seperti otorisasi dan aproval, verivikasi, rekonsiliasi dan review prestasi bisnis. Pemisahan tugas biasanya dibangun dalam seleksi dan pemngembangan aktivitas pengendalian. Jika pemisahan tugas tidak diterapkan, manajemen memilih dan mengembangkan alternatif aktivitas pengendalian.
  • Information and Communication / Informasi dan Komunikasi
Informasi penting untuk entitas melaksanakan tanggungjawab pengendalian supaya mendukung pencapaian tujuan. Manajemen memperoleh dan menggunakan informasi berkualitas dan relevan dari tiap pihak eksternal dan internal untuk mendukung berfungsinya komponen lain dari pengendalian internal.
Komunikasi sifatnya berkelanjutan, berguna dalam proses pelayanan, diskusi dan menyampaikan informasi penting. Komunikasi internal artinya informasi disebarkan melalui organisasi, ke atas, ke bawah dan antar entitas. Ini memungkinkan personal untuk menerima pesan yang jelas dari senior manajemen yang mengendalikan tanggung jawab harus ditindak serius. Komunikasi eksternal ada dua, memungkinkan komunikasi timbal balik dari informasi eksternal yang relevan dan melayani informasi ke pihak eksternal sebagai balasan kebutuhan dan harapan.
  • Monitoring Activities / Aktivitas Monitoring
Evaluasi berkelanjutan, evaluasi sebagian, atau beberapa kombinasi keduanya digunakan untuk mengetahui apakah kelima komponen dari pengendalian internal, termasuk pengendalian pengaruh prinsip dalam setiap komponen, apakah ada dan berfungsi. Evaluasi berkelanjutan, dibangun menjadi proses bisnis pada level yangberbeda dari entitas, menyediakan informasi yang aktual. Evaluasi sebagian, dilaksanakan periodik, akan bervariasi dalam jangkauan dan frekuensi tergantung taksiran resiko, keefektifan ecaluasi berkelanjutan dan pertimbangan manajemen lainnya. Penemuan dievaluasi  berdasar kriteria yang ditetapkan pembuat keputusan, mengenali isi pengaturan standar atau manajemen dan dewan direksi, dan ketidakefisienan dikomunikasikan pada manajemen dan dewan direksi yang mumpuni.

Ada 17 prinsip Coso framework 2013 seperti yang akan dijabarkan dibawah ini antara lain :

Control Environment
  • 1.       menunjukkan komitmen atas integritas dan nilai etis
  • 2.       mengadakan pertanggungjawaban kesalahan
  • 3.       menetapkan struktur, wewnang dan tanggung jawab
  • 4.       menunjukkan komitmen terhadap kompetensi
  • 5.       menyelenggarakan akuntabilitas 
 Risk Assessment
  • 6.       spesifikasi sasaran yang sesuai
  • 7.       identifikasi dan analisis resiko
  • 8.       menaksir penyelewengan resiko
  • 9.       identifikasi dan analisis perubahan yang signifikan
Control Activities
  • 10.   memilih dan mengembangkan aktivitas kontrol
  • 11.   memilih dan mengembangkan kontrol umum terhadap teknologi
  • 12.   menyebarkan kebijakan dan prosedur
Information & Communication
  • 13.   menggunakan informasi yang relevan
  • 14.   komunikasi internal
  • 15.   komunikasi eksternal
Monitoring
  • 16.   mengadakan evaluasi terus-menerus dan / atau berkala
  • 17.   evaluasi dan defisiensi komunikasi
 Dalam Frame work  ada tiga kategori tujuan yang difokuskan oleh organisasi dalam aspek yang berbeda dari pengendalian internal yaitu :

  • Operation objectives/tujuan operasional
Hal ini dapat  berkaitan dengan efektivitas dasn efisiensi dari operasional entitas, termasuk operasional dan tujuan kegiatan keuangan, dan pengamankan aset dari kerugian.
  • Reporting Objectives/tujuan laporan
Kejadian tersebut berkaitan dengan laporan keuangan dan non-keuangan baik intern dan ekstern dan bisa meliputi kepercayaan, jangka waktu, transparansi dan kondisi lain seperti memasang permanen oleh para pengatur, mengenali pengatur standar atau kebijakan entitas.
  • Compliance Objectives/pemenuhan tujuan
Hal itu berkaitan dengan ketaatan pada hukum dan peraturan yang menjadi subjek entitas.



Audit SIA merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien (Weber, 2000).
 Pada dasarnya, Audit Sistem Informasi dibedakan menjadi dua kategori, yaitu:
1. Pengendalian Aplikasi (Application Control)
Tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data di-input secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan. Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi.
2. Pengendalian Umum (General Control)
Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data.

PENGENDALIAN UMUM
Pengendalian umum pada perusahaan dilakukan terhadap aspek fisikal maupun logikal. Aspek fisikal dilakukan terhadap aset-aset fisik perusahaan, sedangkan aspek logikal terhadap sistem informasi di level manajemen (misal: sistem operasi). Pengendalian umum sendiri digolongkan menjadi beberapa, diantaranya:
a)      Pengendalian organisasi dan otorisasi.
Yang dimaksud dengan pengendalian organisasi adalah secara umum terdapat pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan administrator sistem (operasi). Dan juga dapat dilihat bahwa pengguna hanya dapat mengakses sistem apabila memang telah diotorisasi oleh administrator.
b)      Pengendalian operasi.
Operasi sistem informasi dalam perusahaan juga perlu pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi dengan baik selayaknya sesuai yang diharapkan.
c)      Pengendalian perubahan.
Perubahan-perubahan yang dilakukan terhadap sistem informasi harus dikendalikan, termasuk pengendalian versi dari sistem informasi tersebut, catatan perubahan versi, serta manajemen perubahan atas diimplementasikannya sebuah sistem informasi.
d)     Pengendalian akses fisikal dan logikal.
Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas sistem informasi suatu perusahaan, sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap sistem operasi sistem tersebut (misal: windows).

PENGENDALIAN APLIKASI
Pengendalian aplikasi adalah prosedur-prosedur pengendalian yang didisain oleh manajemen organisasi untuk meminimalkan resiko terhadap aplikasi yang diterapkan perusahaan agar proses bisnisnya dapat berjalan dengan baik.
Macam Aplikasi
Aplikasi berwujud perangkat lunak, yang dapat dibagi menjadi dua tipe dalam perusahaan untuk kepentingan audit PDE:
·       Perangkat lunak berdiri sendiri
Terdapat pada organisasi yang belum menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang berdiri sendiri pada masing-masing unitnya. Contoh: aplikasi (software) MYOB pada fungsi akuntansi dan keuangan.
·       Perangkat lunak di server
Tedapat pada organisasi yang telah menerapkan SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe struktur sistemnya memakai sistem client-server . Client hanya dipakai sebagai antar-muka (interface) untuk mengakses aplikasi pada server.
Macam Pengendalian Aplikasi
a.      Pengendalian Organisasi dan Akses Aplikasi
Pada pengendalian organisasi, hampir sama dengan pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna, hingga pengembangan aplikasi tersebut.
Untuk pengendalian akses, terpusat hanya pada pengendalian logika saja untuk menghindari akses tidak terotorisasi. Selain itu juga terdapat pengendalian role based menu dibalik pengendalian akses logika, dimana hanya pengguna tertentu saja yang mampu mengakses menu yang telah ditunjuk oleh administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur perusahaan berkaitan dengan nama pengguna dan sandi nya.
b.      Pengendalian Input
Pengendalian input memastikan data-data yang dimasukkan ke dalam sistem telah tervalidasi, akurat, dan terverifikasi.
c.       Pengendalian Proses
Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan transaksi, dimana proses terjadi pada berkas-berkas transaksi baik yang sementara maupun yang permanen dan (2) tahapan database, proses yang dilakukan pada berkas-berkas master.
d.      Pengendalian Output
Pada pengendalian ini dilakukan beberapa pengecekan baik secara otomatis maupun manual (kasat mata) jika output yang dihasilkan juga kasat mata.
e.        Pengendalian Berkas Master
Pada pengendalian ini harus terjadi integritas referensial pada data, sehingga tidak akan diketemukan anomali-anomali, seperti:
·       Anomaly penambahan
·       Anomaly penghapusan
·       Anomaly pemuktahiran/pembaruan

Hubungan Pengendalian Umum dan Aplikasi
Hubungan antara pengendalian umum dan aplikasi bersifat pervasif. Artinya apabila pengendalian umum terbukti jelek, maka pengendalian aplikasinya diasumsikan jelek juga, sedangkan bila pengendalian umum terbukti baik, maka diasumsikan pengendalian aplikasinya juga baik.



Tidak ada komentar:

Posting Komentar