Fraud dapat
diartikan sebagai suatu tindakan secara sadar atau tidak (kebiasaan) yang
dilakukan oleh seseorang atau kelompok
dalam melanggar aturan yang telah diterapkan untuk keuntungan pribadi.
Menurut ACFE
(The Association of Certified Fraud Examiners) Fraud Tree adalah system
klasifikasi mengenai kemungkinan kecurangan yang dilakukan oleh karyawan di
dalam suatu perusahaan. Secara umum, klasifikasi yang dilakukan terbagi menjadi
tiga, yaitu:
1. Penyimpangan
atas asset (Asset Missappropiation)
Penyalahgunaan
terhadap aktiva tetap atau harta perusahaan yang digunakan untuk keuntungan
pribadi. Ini merupakan bentuk yang paling mudah dideteksi karena sifatnya yang tangible atau dapat diukur/dihitung
(defined value). Asset
misappropriation meliputi
penyalahgunaan/pencurian aset atau harta perusahaan atau pihak lain. Asset
misappropriation dalam bentuk penjarahan cash dilakukan dalam tiga bentuk,
yaitu: skimming, larceny, dan fraudulent
disbursements.
Fraudulent disbursements ialah pencurian melalui pengeluaran
yang tidak sah. Modus operandi dalam penjarahan aset yang bukan uang tunai atau
uang di bank adalah misuse dan larceny. Misuse adalah
penyalahgunaan, misalnya penggunaan kendaraan bermotor perusahaan atau aset
tetap lainnya untuk kepentingan pribadi. Kalau hanya dipakai selama menjabat
disebut misuse, namun kalau tidak dikembalikan sesudah tidak lagi
menjabat disebut larceny.
2. Pernyataan
palsu (Frudulent Statement)
Biasanya
pernyataan dalam suatu laporan keuangan yang digunakan agar perusahaan terlihat
lebih baik, padahal dalam kenyataannya tidak. Dilakukan dengan cara-cara
akuntansi seperti earning managemen dan windows dressing. Contoh: kasus Enron
Jenis fraud ini sangat dikenal
para auditor yang melakukan general audit (opinion audit). Fraudulent
statement meliputi tindakan yang dilakukan oleh pejabat atau eksekutif
suatu perusahaan atau instansi pemerintah untuk menutupi kondisi keuangan yang
sebenarnya dengan melakukan rekayasa keuangan (financial engineering) dalam
penyajian laporan keuangannya untuk memperoleh keuntungan atau mungkin dapat
dianalogikan dengan istilah window dressing. Fraud ini berupa salah saji
aset atau pendapatan yang lebih tinggi dari sebenarnya (asset/revenue
overstatements) dan menyajikan aset atau pendapatan lebih rendah dari yang
sebenarnya (asset/revenue understatements).
3. Korupsi (Corruption)
Tindakan
yang dilakukan biasanya oleh satu atau lebih orang yang saling menguntungkan.
Jenis ini yang paling sulit dideteksi karena menyangkut kerja sama dengan pihak
lain seperti suap dan korupsi, dimana hal ini merupakan jenis yang terbanyak
terjadi di Negara-negara berkembang yang penegakan hukumnya lemah dan masih
kurang kesadaran akan tata kelola yang baik sehingga factor integritasnya masih
seringkali tidak dapat terdeteksi. Menurut Associatian of Certified Fraud
Examiners (ACFE) menggambarkan corruption sebagai berikut:
a. Conflicts
of interest ialah suatu keadaan dimana para pejabat memanfaatkan kuasanya
untuk menggunakan keluarga ataupun kroninya menjadi pemasok atau rekanan di
lembaga – lembaga pemerintah dan di dunia bisnis sekalipun.
b. Bribery
ialah pemberian hadiah kepada seseorang dengan maksud untuk mencapai sutu
tujuan (penyuapan).
c. Illegal
gratuities ialah pemberian atau hadiah yang merupakan bentuk terselubung
dari penyuapan. Contoh hadiah ulang tahun, parsel dll.
d. Economic extortion ialah suatu bentuk
meminta dengan mengancam (pemerasan) kepada orang lain.
2. COSO Framework 2013
2. COSO Framework 2013
Terdapat
5 komponen, yaitu:
1. Control
Environment
Tindakan atau kebijakan manajemen yang
mencerminkan sikap manajemen puncak secara keseluruhan dalam pengendalian
manajemen. Yang termasuk dalam control environment adalah:
-
Integrity and ethical values (Integritas
dan nilai etika)
- Commitment to competence (komitmen
terhadap kondisi)
- Board of Directors and audit comitte (Dewan
komisaris dan komite audit)
- Management’s philosophy and operating
style (filosofi manajemen dan gaya mengelola operasi)
- Organizational structure (struktur
organisasi)
- Human resource policies and procedures
(kebijakan sumber daya manusia dan prosedurnya)
2. Risk
Assesment
Tindakan manajemen
untukmengidentifikasi,menganalisis risiko-risiko yang relevan dalam penyusunan
laporan keuangan danperusahaan secara umum. Yang termasuk dalam risk assessment
adalah:
-
Company-wide objectives (tujuan perusahaan
secara keseluruhan)
-
Process-level objectives (tujuan di
setiap tingkat proses)
-
Risk identification and analysis
(identifikasi risiko dan analisisnya)
-
Managing Change (mengelola perubahan)
3. Control
Activities
Tindakan-tindakan yang diambil manajemen
dalam rangka pengendalian intern. Yang termasuk control activities adalah:
- Policies and procedures (kebijakan dan
prosedur)
- Security (application and network) =
keamanan dalam hal aplikasi dan jaringan
- Application change and management
(manajemen perubahan aplikasi)
-
Business continuity or backups
(kelangsungan bisnis)
-
Outsourscing (penggunaan tenaga
outsourcing)
4. Information
and Communication
Tindakan untuk mencatat, memproses dan
melaporkan transaksi yang sesuai untuk menjaga akuntabilitas. Yang termasuk
komponen ini adalah:
-
Quality of information (kualitas
informasi)
-
Effectiveness of communication
(efektivitas komunikasi)
5. Monitoring
Penilaian terhadap mutu pengendalian
internal secara berkelanjutan maupun periodik untuk memastikan pengendalian internal
telah berjalan dan telah dilakukan penyesuaian yang diperlukan sesuai kondisi
yang ada. Yang termasuk di dalam kondisi ini yaitu:
-
On-going monitoring (pengawasan yang
terus berlangsung)
-
Separate of evaluations (evaluasi yang
terpisah)
- Reporting deficiencies (melaporkan
kekurangan-kekurangan yang terjadi)
3. Two Types of IT control
1. IT
General Control (ITGC)
ITGC menggambarkan dasar dari struktur
pengendalian IT. ITGC membantu memastikan kebenaran dari data yang dihasilkan oleh system IT dan didukung pernyataan yang
tegas bahwa hasil tersebut dijamin kebenarannya. ITGC biasanya mengandung
beberapa tipe pengendalian,yaitu:
- Control environment, untuk membentuk
budaya perusahaan.
- Change management procedures, didesain
untuk memastikan perubahan sesuai dengan criteria bisnis.
- Source code/document version control
procedures, didesain untuk melindungi integritas dari kode program.
- Software development life cycle
standars, didesain untuk meyakinkan proyek IT diatur secara efektif.
- Logical access policies, standards, and
procedures, didesain untuk mengatur akses berdasarkan kebutuhan bisnis.
- Incident management policies and
procedures, didesain untuk menunjukkan kesalahan proses operasional.
- Problem management policies and
procedures, didesain untuk mengidentifikasi dan menunjukkan akar permasalahan
suatu insiden.
- Technical support policies and
procedures, didesain untuk membantu pengguna menyajikan secara lebih efektif
dan melaporkan permasalahannya.
- Hardware/software configuration, installation,
testing, management standards, policies and procedures.
- Disaster recover/backup and recovery
procedures, untuk dapat melanjutkan proses meskipun dalam keadaan merugikan.
- Physical security, untuk memastikan
keamanan fisik teknologi informasi dari risiko individu dan risiko lingkungan.
2. IT
Application Control (ITAC)
Merupakan disajikan secara otomatis oleh
sistem. Didesain untuk memastikan kelengkapan dan keakuratan pemrosesan data
dari input hingga outputnya. Pengendalian ini dasarnya sangat bervariasi sesuai
dengan tujuan bisnis dari aplikasi yang spesifik.. pengendalian ini juga
membantu memastikan keamanan dan privasi
data yang ditransmisikan antar aplikasi. Beberapa komponen yang termasuk ITAC,
yaitu:
- Completeness checks control, memastikan
semua catatan diproses mulai dari permulaan hingga lengkap.
- Validity checks controls, memastikan
bahwa hanya data yang valid yang diinput atau diproses.
- Identification controls, memastikan
semua pengguna diidentifikasi secara unik dan tak bias dibantah.
- Authentication controls, yang memberikan
sebuah mekanisme autentifikasi di dalam system aplikasi.
- Authorization controls, memastikan bahwa
hanya bisnis yang disetujui pengguna yang mempunyai akses pada system aplikasi.
-
Input controls, memastikan integritas
data berasal dari sumber yang baru ke dalam system aplikasi.
- Forensic controls, memastikan data
adalah secara ilmiah benar dan secara matematis benar berdasarkan pada input
dan outputnya.
Sumber:
Sumber:
