FRAUD TREE
Association of Certified Fraud Examinations
(ACFE-2000), mengkategorikan kecurangan dalam tiga kelompok sebagai berikut:
1. Kecurangan Laporan Keuangan
(Financial Statement Fraud)
Financial
Statement Fraud merupakan kecurangan yang berkenaan dengan penyajian laporan
keuangan. Laporan keuangan akan diubah sesuai dengan kepentingan pribadi dan
tidak berdasarkan pada realita yang terjadi dalam perusahaan. Ada beberapa cara
yang dapat dilakukan, antara lain menyajikan asset atau pendapatan lebih tinggi
dari yang sebenarnya (asset/revenue overstatements) dan juga menyajikan asset
atau pendapatan lebih rendah dari yang sebenarnya (asset/revenue
understatements). Bentuk dari kecurangan penyajian asset atau pendapatan yang
lebih tinggi dari sebenarnya:
a. Timing difference, bentuk
kecurangan laporan keuangan dengan mencatat waktu transaksi lebih awal dengan
waktu transaksi yang sebenarnya, misalnya mencatat transaksi penjualan lebih
awal dari transaksi sebenarnya.
b. Fictious revenues, bentuk
laporan keuangan dengan menciptakan pendapatan yang sebenarnya tidak pernah
terjadi (fiktif).
c. Cancealed liabilities and
expenses, bentuk kecurangan laporan keuangan dengan menyembunyikan kewajiban-kewajiban
perusahaan, sehingga laporan keuangan terlihat bagus.
d. Improper disclosure, bentuk
kecurangan perusahaan yang tidak melakukan pengungkapan atas laporan keuangan
secara cukup dengan maksud untuk menyembunyikan kecurangan-kecurangan yang
terjadi di perusahaan, sehingga pembaca laporan keuangan tidak mengetahui keadaan
yang sebenarnya terjadi di perusahaan.
e. Improper asset valuation,
adalah bentuk kecurangan laporan keuangan dengan melakukan penilaian yang tidak
wajar atau tidak sesuai prinsip akuntansi berlaku umum atas aset perusahaan dengan
tujuan untuk meningkatkan pendapatan dan menurunkan biaya.
Sedangkan bentuk dari
kecurangan penyajian asset atau pendapatan yang lebih rendah dari sebenarnya:
a. Timing difference, bentuk
kecurangan laporan keuangan dengan mencatat transaksi lebih lama dari yang
sebenarnya.
b. Understated revenues,
bentuk kecurangan laporan keuangan dengan mencatat nilai pendapatan lebih
rendah.
c. Overstated liabilities
and Expenses, bentuk kecurangan laporan keuangan dengan mencatat beban-beban
dan utang lebih tinggi.
2. Penyalahgunaan aset (
Asset Misappropiation)
Merupakan
pengambilan asset secara illegal atau sering juga disebut sebagai penggelapan.
Asset missappropriation atau penyalahgunaan aset dapat digolongkan dalam kecurangan
kas (cash fraud) dan kecurangan atas persediaan dan asset lainnya (fraud of
inventory and all other asset). Kecurangan kas adalah pencurian kas dan pengeluaran-pengeluaran
secara curang yang terbagi menjadi:
a. Theft of cash on hand,
bentuk kecurangan kas dengan cara pengambilan uang yang sudah ada di perusahaan
secara langsung.
b. Theft of cash receipt,
bentuk kecurangan kas yang diperoleh dari pengambilan uang atas penerimaan atau
pemasukan ke perusahaan. Contohnya adalah skimming, dan cash larceny.
c. Fraudulent Disbursement, bentuk
kecurangan kas yang berkenaan dengan penyajian laporan keuangan. Ada beberapa
cara yang dapat dilakukan antara lain menyajikan asset atau pendapatan lebih
tinggi dari yang sebenarnya dan juga menyajikan asset atau pendapatan lebih
rendah dari yang sebenarnya.
I.
Billing Schemes, skema dengan menggunakan proses
billing atau pembebanan tagihan sebagai sarananya.
II.
Payroll Schemes, skema melalui pembayaran gaji.
III.
Expense Reimbursement Schemes, skema melalui
pembayaran kembali-biaya-biaya, misalnya biaya perjalanan.
IV.
Check Tampering, pemalsuan cek.
V.
Register Disbursement adalah pengeluaran yang
sudah masuk dalam Cash Register Fraud yang berkenaan dengan penyajian laporan
keuangan.
Kemudian yang kedua ada kecurangan
atas persediaan dan aset lainnya (fraud of inventory and all other asset) adalah
kecurangan berupa pencurian dan pemakaian untuk kepentingan pribadi terhadap
persediaan atau aset lainnya. Kecurangan atas persediaan dan aset lainnya
dibagi menjadi:
a. Misuse, penyalahgunaan
pemakaian barang, contoh penyalahgunaan mobil dinas yang dipakai untuk liburan
keluarga.
b. Larceny, pencurian atau
pengambilan barang perusahaan.
3. Korupsi (Corruption)
Korupsi
disini merupakan penyalahgunaan wewenang. Maka dari itu pelaku korupsi ini
biasanya merupakan orang-orang yang memiliki kedudukan dalam suatu instansi
maupun organisasi. Contohnya bisa kita lihat sendiri pada banyak kasus yang
terjadi di Indonesia. Biasanya koruptor tersebut merupakan pejabat negara atau
instansi yang memiliki kewenangan tertentu. Terjadinya korupsi bisa terjadi
karena beberapa hal, antara lain:
a. Conflict of interest,
pertentangan kepentingan terjadi ketika karyawan, manajer dan eksekutif
perusahaan memiliki kepentingan pribadi terhadap transaksi yang mengakibatkan
dampak kurang baik terhadap perusahaan. Pertentanggan kepentingan termasuk
kedalam tiga kategori, yaitu perencanaan penjualan (sales schemes), rencana
pembelian (purchase schemes) dan rencana lainnya.
b. Bribery, bentuk korupsi
dalam bentuk suap, penawaran, pemberian, penerimaan atau permohonan sesuatu
dengan tujuan untuk mempengaruhi pembuat keputusan dalam membuat keputusan
bisnis.
c. Iillegal gratuity, pemberian
illegal hampir sama dengan suap tetapi pemberian illegal disini bukan untuk
mempengaruhi keputusan bisnis, ini hanya sebuah permainan. Orang yang memiliki
pengaruh yang dia berikan dalam negosiasi atau kesepakatan bisnis. Hadiah
diberikan setelah kesepakatan selesai.
d. Economic extortion, pada
dasarnya pemerasan secara ekonomi lawan dari suap. Penjual menawarkan memberi
suap atau hadiah kepada pembeli yang memesan produk dari perusahaan.
COSO ERM- Integrated FRAMEWORK
Pada tahun
2001, COSO memulai proyek untuk mengembangkan sebuah kerangka kerja manajemen
risiko yang dapat digunakan untuk mengevaluasi dan meningkatkan efektivitas
ERM. Kerjasama ini membuahkan hasil pada tahun 2004 dengan dirilisnya COSO ERM
– Integrated Framework.
Dalam kerangka manajemen risikonya, COSO ERM
menuntut perusahaan untuk dapat menentukan terlebih dahulu sasaran
perusahaannya, yang terdiri dari empat kategori yaitu:
1.
Strategis: sasaran yang mendukung dan selaras dengan misi perusahaan.
2.
Operasi: efektivitas dan efisiensi dari penggunaan sumber daya perusahaan.
3.
Pelaporan: keterpercayaan dari pelaporan.
4.
Pemenuhan: pemenuhan terhadap hukum dan regulasi yang berlaku.
Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:
1.
Lingkungan Internal (Internal Environment)
Sangat menentukan
warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap
risiko dari setiap orang dalam organisasi tersebut. Didalam lingkungan internal
ini termasuk, filosofi manajemen risikodan risk appetite, nilai-nilai etika dan
integritas, dan lingkungan dimana kesemuanya tersebut berjalan.
2. Penentuan
Tujuan (Objective Setting)
Tujuan
perusahaan harus ada terlebih dahulu sebelum manajemen dapat mengidentifikasi
kejadian-kejadian yang berpotensi mempengaruhi dalam pencapaian tujuan
tersebut. ERM memastikan bahwa manajemen memiliki sebuah proses untuk
menetapkan tujuan dan tujuan tersebut terkait serta mendukung misi perusahaan
dan konsisten dengan risk appetite-nya.
3. Identifikasi Kejadian
(Event Identification)
Kejadian
internal dan eksternal yang mempengaruhi pencapaian tujuan perusahaan harus
diidentifikasi, dan dibedakan antara risiko dan peluang yang dapat terjadi.
Peluang dikembalikan kepada proses penetapan strategi atau tujuan manajemen.
4. Penilaian
Risiko (Risk Assessment)
Risiko
dianalisis dengan memperhitungkan kemungkinan terjadi (likelihood) dan
dampaknya (impact), sebagai dasar bagi penentuan pengelolaan risiko.
5. Respons Risiko
(Risk Response)
Manajemen memilih
respons risiko, menghindar, menerima, mengurangi, mengalihkan, dan
mengembangkan suatu kegiatan agar risiko yang terjadi masih sesuai dengan
toleransi dan risk appetite.
6. Kegiatan Pengendalian
(Control Activities)
Kebijakan
serta prosedur yang ditetapkan dan diimplementasikan untuk membantu memastikan
respons risiko berjalan dengan efektif.
7. Informasi dan
Komunikasi (Information and Communication)
Informasi yang
relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu
yang memungkinkan setiap orang menjalankan tanggung jawabnya.
8. Pengawasan
(Monitoring)
Keseluruhan
proses ERM dimonitor dan modifikasi dilakukan apabila perlu. Pengawasan
dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-menerus,
melalui evaluasi secara khusus, atau dengan keduanya.
GENERAL
CONTROLS & APPLICATION CONTROLS
Pengendalian Umum (General Controls)
Pengendalian umum merupakan pengendalian
menyeluruh yang berdampak terhadap lingkungan sistem informasi komputer (SIK)
meliputi kebijakan dan prosedur mengenai semua aktifitas PDE yang bertujuan
untuk membuat kerangka pengendalian yang menyeluruh mengenai aktifitas PDE,
serta untuk memberikan tingkat keyakinan yang memadai bahwa seluruh tujuan
pengendalian intern dapat tercapai. Pengendalian ini diperlukan untuk
memberikan jaminan bahwa pengendalian aplikasi berjalan dengan baik sebagaimana
mestinya, yang bergantung pada sumber daya komputer. Karena jika pengendalian
aplikasi tidak berfungsi, misalnya ada format data yang tidak sesuai tapi dapat
dibaca komputer, pengendalian umum akan langsung bereaksi dan memberikan umpan
balik. Dengan begitu, petugas dapat segera melakukan koreksi. Adanya
pengendalian umum ini merupakan bentuk kombinasi kebaikan yang terdapat pada
Auditing Manual dan Auditing PDE. Menurut IAI, pengendalian umum meliputi
unsur-unsur sebagai berikut.
1.
Pengendalian Organisasi dan Manajemen
Meliputi pemisahan
fungsi serta kebijakan dan prosedur yang berkaitan dengan fungsi pengendalian.
2.
Pengendalian terhadap Pengembangan dan Pemeliharaan Sistem Aplikasi
Untuk memperoleh
keyakinan bahwa sistem PDE telah dikembangkan dan dipelihara secara efisien dan
ada otorisasinya.
3.
Pengendalian terhadap Operasi Sistem
Yang dijabarkan
melalui poin-poin seperti sistem digunakan hanya untuk hal-hal yang telah ada
otorisasinya, akses ke operasi komputer hanya diijinkan kepada mereka yang
telah memiliki otorisasi, program yang digunakan juga hanya yang ada
otorisasinya, kesalahan pengolahan dapat dideteksi dan dikoreksi.
4.
Pengendalian terhadap Perangkat Lunak Sistem
Untuk meyakinkan bahwa
perangkat lunak sistem dimiliki dan dikembangkan secara efisien, serta
diotorisasikan.
5.
Pengendalian terhadap Entri Data dan Program
Struktur otorisasi
ditetapkan dengan jelas atas transaksi, serat akses ke data dan program
dibatasi hanya kepada mereka yang memiliki otorisasi.
6.
Pengendalian terhadap Keamanan PDE
Menjaga PDE lain yang
berhubungan dengan PDE bersangkutan, misalnya digunakannya salinan cadangan (backups)
di tempat yang terpisah, prosedur pemulihan (recovery procedures)
ataupun fasilitas pengolahan di luar perusahaan dalam hal terjadi bencana.
Keenam kategori tersebut dapat diklasifikasikan menjadi tujuh jenis
pengendalian umum, yakni:
1.
Pengendalian organisasi dan manajemen, contohnya pemisahan fungsi
departemen PDE dan non PDE, pemisahan fungsi dalam departemen PDE (sistem dan pemrograman, operasi computer, pengendalian dan penjadwalan input-output, pemeliharaan kepustakaan), otorisasi transaksi, pengendalian personil (penggunaan job
describtion, pemilihan dan pelatihan
pegawai, supervisi dan penilaian, job rotation dan cuti wajib, asuransi pegawai, perencanaan, penganggaran dan sistem pembebanan
kepada pemakai.
2.
Pengendalian piranti lunak dan piranti keras, contoh pengendalian piranti lunak adalah sebagai berikut: read or write check, record length check, label checking routines, access control, dan storage device check. Sementara contoh pengendalian piranti keras: boundary protection, dual read, dual circuitry, echo check, interlock, file protection ring, parity check, reverse multiplication,
validity check, firmware, graceful degradation, overflow check dan UPS.
3.
Pengendalian akses, contohnya seperti pembatasan akses fisik
dan logic, dokumentasi program, dan fasilitas-fasilitas on-line.
4.
Pengendalian data dan prosedur, bisa dilakukan degan: control group, fail dan database (pengendalian akses, pengendalian integritas,
pengendalian aplikasi perangkat lunak, pengendalian simultan, pengendalian
kriptografi, pengendalian penanganan fail, pengendalian jejak audit,
pengendalian eksistensi), prosedur-prosedur
standar, keamanan fisik (backup, asuransi program, perencanaan
pemulihan akibat bencana), dan pemeriksaan intern.
5.
Pengendalian pengembangan sistem baru, dilakukan dengan partisipasi manajemen dan pemakai, pengembangan standard dan pedoman, manajemen proyek, pengujian sistem dan konversi dan penelaahan setelah pemasangan.
6.
Pengendalian pemeliharaan sistem dan program, dilakukan dengan cara otorisasi dan persetujuan, prosedur standard dan dokumentasi, pengendalian program dan pelaksanaan, pengujian terhadap perubahan.
7.
Pengendalian dokumentasi, dibagi menjadi dokumentasi standar
dan dokumentasi pendefinisian masalah, dokumentsi sistem, dokumentasi program, dokumentasi oprasional, dokumentasi pemakai.
Pengendalian
Aplikasi (Application Controls)
Pengendalian
aplikasi adalah sistem pengendalian intern komputer yang berkaitan dengan
pekerjaan atau kegiatan tertentu yang telah ditentukan (setiap aplikasi berbeda
karateristik dan kebutuhan pengendaliannya). Misalnya komputerisasi kepegawaian
tentu berbeda resiko dan kebutuhan pengendaliannya dengan sistem komputerisasi
penjualan, apalagi bila sistem penjualan tersebut didesain web-based
atau E-Commerce. Pengendalian Aplikasi Terdiri Dari:
1.
Pengendalian Atas Masukkan (Input
Controls)
Mengapa
diperlukan pengendalian input? Karena input merupakan salah satu tahap dalam
sistem komputerisasi yang paling krusial dan mengandung resiko. Berbagai resiko
yang dihadapi misalnya ialah data transaksi yang ditulis oleh pelaku transaksi
salah, kesalahan pengisian dengan kesengajaan disalahkan, penulisan tidak jelas
sehingga dibaca salah oleh orang lain (misalnya petugas yang harus meng-entry
data tersebut ke komputer), khususnya bila yang diolah bukan dokumen aslinya,
melainkan tembusan. Adapun cara dalam pemrosesan data input, yaitu:
a.
Batch Sistem
b.
On-line Real time Entry
2.
Pengendalian Atas Pengolahan (Processing Controls)
Pengendalian proses ialah
pengendalian intern untuk mendeteksi agar jangan sampai data (khususnya data
yang sesungguhnya sudah valid) menjadi error karena adanya kesalahan
proses. Kemungkinan yang paling besar untuk menimbulkan terjadinya error
adalah kesalahan logika program, salah rumus, salah urutan program,
ketidakterpaduan antar subsistem atupun kesalahan teknis lainnya.
3.
Pengendalian Atas Keluaran (Output Controls)
Pengendalian keluaran ialah
pengendalian intern untuk mendeteksi agar jangan sampai informasi yang
disajikan tidak akurat, tidak lengkap, tidak mutakhir datanya, atau
didistribusikan kepada orang- orang yang tidak berhak. Kemungkinan resiko yang
dihadapi yang terkait dengan keluaran ialah seperti telah disebutkan di atas:
laporan tidak akurat, tidak lengkap, terlambat atau data tidak up-to-date,
banyak item data yang tidak relevan, bias, dibaca oleh pihak yang tidak berhak.
Dalam sistem yang sudah lebih terbuka (menggunakan jaringan komunikasi publik)
potensi akses oleh hacker, cracker atau orang yang tidak berwenang
lainnya menjadi makin tinggi.
Referensi :
Steiberg, Richard
M, dkk. 2004. “Enterprise Risk Management-Integrated Framework”, Executive Summary, Amerika Serikat:
Pricewaterhouse LLP.
James A.
Hall.-Accounting Information System-Cengange Learing. 2010. e-book.
