COSO 2013
1. Monitoring
Yang termasuk di dalam komponen ini, yakni:
- On-going monitoring (pengawasan yang terus berlangsung)
- Separate evaluations (evaluasi yang terpisah)
- Reporting deficiencies (melaporkan kekurangan-kekurangan yang terjadi)
2. Information and communication
Yang termasuk komponen ini adalah sebagai berikut.
- Quality of information (kualitas informasi)
- Effectiveness of communication (efektivitas komunikasi)
3. Control activities
. Yang termasuk control activities:
- Policies and procedures (kebijakan dan prosedur)
- Security (application and network) > (keamanan dalam hal aplikasi dan jaringan)
- Application change management (manajemen perubahan aplikasi)
4. Risk assessment
Yang termasuk dalam risk assessment:
- Company-wide objectives (tujuan perusahaan secara keseluruhan)
- Process-level objectives (tujuan di setiap tingkat proses)
- Risk identification and analysis (indentifikasi risiko dan analisisnya)
5. Control environment
Yang termasuk dalam control environment:
- Integrity and ethical values (integritas dan nilai etika)
- Commitment to competence (komitmen terhadap kompetensi)
- Board of Directors and audit committee (dewan komisaris dan komite audit)
FRAUD TREE
Berdasarkan bagan diatas, fraud terbagi dalam tiga
kelompok besar yaitu Corruption, Asset Misappropriation dan Fraudulent
Statement. Dari tiga kelompok besar tersebut nantinya akan diklasifikasi lagi.
Corruption
Korupsi disini merupakan penyalahgunaan wewenang. Maka dari
itu pelaku korupsi ini biasanya merupakan orang-orang yang memiliki kedudukan
dalam suatu instansi maupun organisasi. Contohnya bisa kita lihat sendiri pada
banyak kasus yang terjadi di Indonesia. Biasanya koruptor tersebut merupakan
pejabat negara atau instansi yang memiliki kewenangan tertentu. Terjadinya
korupsi bisa terjadi karena beberapa hal, antara lain:
1. Konflik
Kepentingan
Hal ini sering kita jumpai dalam berbagai bentuk, di antaranya
bisnis pelat merah atau bisnis pejabat dan keluarga beserta kroni mereka yang
menjadi pemasok atau rekanan di lembaga-lembaga pemerintah dan di dunia bisnis
sekalipun.
2. Penyuapan
Praktek-praktek penyuapan sesungguhnya banyak terjadi dalam
dunia bisnis di sekitar kita. Penyuapan biasanya dilakukan agar dapat
menghindari prosedur atau birokrasi yang terkesan berbelit-belit. Penyuapan ada
berbagai macam bentuknya. Kickback merupakan salah satu bentuk
penyuapan dimana penjual menyerahkan sebagian dari hasil penjualannya.
Prosentase yang diserahkan itu bisa diatur dimuka atau diserahkan sepenuhnya
kepada penjual. Dalam hal terakhir, apabila penerima kickback mengganggap
kickback yang diterimanya terlalu kecil maka dia akan mengalihkan bisnisnya ke
rekanann yang mampu memberi kickback yang lebih tinggi.
3. Illegal
Gratuities adalah pemberian atau hadiah yang merupakan dalam bentuk
terselubung atau sering disebut juga sebagai gratifikasi.
Asset Misappropriation
Merupakan pengambilan aset secara ilegal atau sering juga
disebur sebagai penggelapan. Asset missappropriation biasanya
dilakukan dengan cara-cara antara lain:
1. Skimming: dalam
skimming uang dijarah sebelum uang tersebut secara fisik masuk ke perusahaan.
Cara ini terlihat dalam fraud yang sangat dikenal oleh auditor, yaitu lapping.
2. Larceny. Berbeda
dengan skimming, maka larceny yaitu menjarah uang ketika sudah masuk dalam
perusahaan. Dalam fraud tree larceny ada 5 yaitu:
a. Billing Schemes:
adalah skema dengan menggunakan proses billing atau pembebanan tagihan sebagai
sarananya. Pelaku dapat mendirikan perusahaan bayangan yang seolah-olah
merupakan pemasok atau rekanan atau kontraktor sungguhan. Perusahaan bayangan
ini merupakan sarana untuk mengalirkan dana secara tidak sah ke luar
perusahaan.
b. Payroll Schemes:
adalah sekema melalui pembayaran gaji. Bentuk permainannya antara lain dengan
pegawai atau karyawan fiktif. Atau dalam pemalsuan jumlah gaji. Jumlah gaji
yang dilaporkan lebih besar dari gaji yang dibayarkan.
c. Expense
Reimbursement Schemes. Sekam melalui pembayaran kembali-biaya-biaya, misalnya
biaya perjalanan. Contoh seorang salesman mengambil uang muka perjalanan dan
sekembalinya dari perjalanan dia membuat perhitungan biaya perjalanan. Kalau
biaya perjalanan melampaui melampaui uang mukanaya, ia akan meminta
penggantian. Ada beberapa cara skema melalui reimbursement ini. rincian biaya
menyamarkan jenis pengeluaran yang sebenarnya atau biayanya dilaporkan lebih
besar dari pengeluaran sebenarnya.
d. Check Tampering
e. Register Disbursement
adalah pengeluaran yang sudah masuk dalam Cash Register. Skema ini melalui
register disbursement pada dasarnya ada dua yaitu pengembalian uang yang
dibuat-buat dan pembatalan palsu.
Fraudulent Statement
Fraud yang berkenaan dengan penyajian laporan keuangan.
Ada beberapa cara yang dapat dilakukan antara lain menyajikan aset atau
pendapatan lebih tinggi dari yang sebenarnya dan juga menyajikan aset atau
pendapatan lebih rendah dari yang sebenarnya. Untuk menangani berkurangnya
keyakinan investor akibat kegagalan bisnis dan pelaporan ulang akuntansi,
kongres merumuskan hukum dan Presiden Bush mengesahkan Undang-Undang
Sarbanes-Oxley pada bulan Juli 2002. Hukum tersebut dibuat untuk modernisasi
dan reformasi pengawasan serta audit perusahaan. . Perubahn utama yang dibuat
berkaitan dengan (1) pembuatan komite audit, (2) independensi auditor, (3) tata
kelola perusahaan dan tanggung jawab perusahaan, (4) keharusan untuk
pengungkapan, dan (5) penalti untuk penipuan dan berbagai pelanggaran lainnya.
IT controls
IT controls memiliki dua tipe. Yang pertama yaitu IT
General Controls (ITGC) atau yang diartikan denganpengendalian umum teknologi
informasi. ITGC mewakili lembaga struktur pengendalian TI, membantu memastikan
keandalan dari data yang dihasilkan oleh sistem TI dan mendukung pernyataan
bahwa sistem beroperasi sebagaimana dimaksud dan menghasilkan output
yang handal. Biasanya, ITGC terdiri dari beberapa tipe pengendalian. Ada 11
tipe pengendalian, yaitu :
1. Pengendalian
lingkungan: pengendalian yang dirancang untuk membentuk budaya perusahaan atau
"tone at the top."
2. Prosedur pergantian
manajemen: pengendalian yang dirancang untuk memastikan perubahan memenuhi
kebutuhan bisnis dan sah
3. Kode sumber/prosedur
pengendalian versi dokumen: pengendalian dirancang untuk melindungi integritas
kode program
4. Standar perkembangan
siklus kehidupan software: pengendalian yang dirancang untuk
memastikan proyek TI dikelola secara efektif
5. Kebijakan akses
logical, standard an proses: pengendalian yang dirancang untuk mengelola akses
berdasarkan kebutuhan bisnis
6. Kebijakan dan prosedur
manajemen insiden: pengendalian yang dirancang untuk mengatasi kesalahan
proses operasional
7. Kebijakan dan prosedur
manajemen masalah: pengendalian yang dirancang untuk mengidentifikasi dan
mengatasi akar penyebab dari insiden
8. Kebijakan dan prosedur
dukungan teknikal: kebijakan yang membantu pengguna bekerja lebih efisien dan
melaporkan masalah
9. Konfigurasi hardware/software,
instalasi, pengujian, standar manajemen, kebijakan dan prosedur
10. Pemulihan/backup bencana dan prosedur
pemulihan: memungkinkan proses berlanjut meskipun kondisi tidak
sesuai (buruk)
11. Keamanan fisik: pengendalian untuk memastikan
keamanan TI dari risiko individual dan lingkungan
Yang kedua adalah IT Application Control atau dalam artinya
yaitu pengendalian aplikasi teknologi informasi. Pengendalian ini sepenuhnya
otomatis (dilakukan sepenuhnya oleh sistem) dirancang untuk memastikan proses
data yang lengkap dan akurat, dari input hingga output;bervariasi berdasarkan
tujuan bisnis dari aplikasi spesifik; dapat membantu memastikan privasi dan
keamanan dari data yang dikirimkan antar aplikasi. Ada beberapa kategori
pengendalian aplikasi TI, yaitu:
1. Pemeriksaan
kelengkapan: pengendalian yang memastikan seluruh pencatatan diproses dari awal
hingga penyelesaian.
2. Pemeriksaan validitas:
pengendalian yang memastikan bahwa hanya data yang valid yang menjadi input dan
diproses
3. Identifikasi:
pengendalian yang memastikan seluruh user memiliki keunikan dan dapat
diidentifikasi
4. Autentikasi:
pengendalian yang menyediakan mekanisme pembuktian keaslian (autentik) pada
sistem aplikasi
5. Otorisasi:
pengendalian yang memastikan hanya user bisnis yang diizinkan yang
dapat mengakses sistem aplikasinya
6. Pengendalian input:
pengendalian yang memastikan integritas data dari sumber upstream ke dalam
sistem aplikasi
7. Pengendalian forensik:
pengendalian yang memastikan bahwa data adalah benar secara ilmiah dan
matematis berdasarkan input dan output
