coso 2013,tree fraud,type of IT controls

COSO 2013

1. Monitoring

 Yang termasuk di dalam komponen ini, yakni:

•  On-going monitoring (pengawasan yang terus berlangsung)
•  Separate evaluations (evaluasi yang terpisah)
•  Reporting deficiencies (melaporkan kekurangan-kekurangan yang terjadi)

2. Information and communication 

 Yang termasuk komponen ini adalah sebagai berikut.

• Quality of information (kualitas informasi)
•  Effectiveness of communication (efektivitas komunikasi)

3. Control activities

. Yang termasuk control activities:

• Policies and procedures (kebijakan dan prosedur)
•  Security (application and network) > (keamanan dalam hal aplikasi dan jaringan)
• Application change management (manajemen perubahan aplikasi)

4. Risk assessment

 Yang termasuk dalam risk assessment:

•  Company-wide objectives (tujuan perusahaan secara keseluruhan)
•  Process-level objectives (tujuan di setiap tingkat proses)
•  Risk identification and analysis (indentifikasi risiko dan analisisnya)       

5. Control environment

Yang termasuk dalam control environment:

•  Integrity and ethical values (integritas dan nilai etika)
•  Commitment to competence (komitmen terhadap kompetensi)
•  Board of Directors and audit committee (dewan komisaris dan komite audit)

FRAUD TREE

Berdasarkan bagan diatas, fraud terbagi dalam tiga kelompok besar yaitu Corruption, Asset Misappropriation dan Fraudulent Statement. Dari tiga kelompok besar tersebut nantinya akan diklasifikasi lagi.

Corruption

Korupsi disini merupakan penyalahgunaan wewenang. Maka dari itu pelaku korupsi ini biasanya merupakan orang-orang yang memiliki kedudukan dalam suatu instansi maupun organisasi. Contohnya bisa kita lihat sendiri pada banyak kasus yang terjadi di Indonesia. Biasanya koruptor tersebut merupakan pejabat negara atau instansi yang memiliki kewenangan tertentu. Terjadinya korupsi bisa terjadi karena beberapa hal, antara lain:

1.       Konflik Kepentingan

Hal ini sering kita jumpai dalam berbagai bentuk, di antaranya bisnis pelat merah atau bisnis pejabat dan keluarga beserta kroni mereka yang menjadi pemasok atau rekanan di lembaga-lembaga pemerintah dan di dunia bisnis sekalipun.

2.       Penyuapan

Praktek-praktek penyuapan sesungguhnya banyak terjadi dalam dunia bisnis di sekitar kita. Penyuapan biasanya dilakukan agar dapat menghindari prosedur atau birokrasi yang terkesan berbelit-belit. Penyuapan ada berbagai macam bentuknya. Kickback merupakan salah satu bentuk penyuapan dimana penjual menyerahkan sebagian dari hasil penjualannya. Prosentase yang diserahkan itu bisa diatur dimuka atau diserahkan sepenuhnya kepada penjual. Dalam hal terakhir, apabila penerima kickback mengganggap kickback yang diterimanya terlalu kecil maka dia akan mengalihkan bisnisnya ke rekanann yang mampu memberi kickback yang lebih tinggi.

3.       Illegal Gratuities adalah pemberian atau hadiah yang merupakan dalam bentuk terselubung atau sering disebut juga sebagai gratifikasi.

Asset Misappropriation

Merupakan pengambilan aset secara ilegal atau sering juga disebur sebagai penggelapan. Asset missappropriation biasanya dilakukan dengan cara-cara antara lain:

1.       Skimming: dalam skimming uang dijarah sebelum uang tersebut secara fisik masuk ke perusahaan. Cara ini terlihat dalam fraud yang sangat dikenal oleh auditor, yaitu lapping.

2.       Larceny. Berbeda dengan skimming, maka larceny yaitu menjarah uang ketika sudah masuk dalam perusahaan. Dalam fraud tree larceny ada 5 yaitu:

a.       Billing Schemes: adalah skema dengan menggunakan proses billing atau pembebanan tagihan sebagai sarananya. Pelaku dapat mendirikan perusahaan bayangan yang seolah-olah merupakan pemasok atau rekanan atau kontraktor sungguhan. Perusahaan bayangan ini merupakan sarana untuk mengalirkan dana secara tidak sah ke luar perusahaan.

b.      Payroll Schemes: adalah sekema melalui pembayaran gaji. Bentuk permainannya antara lain dengan pegawai atau karyawan fiktif. Atau dalam pemalsuan jumlah gaji. Jumlah gaji yang dilaporkan lebih besar dari gaji yang dibayarkan.

c.       Expense Reimbursement Schemes. Sekam melalui pembayaran kembali-biaya-biaya, misalnya biaya perjalanan. Contoh seorang salesman mengambil uang muka perjalanan dan sekembalinya dari perjalanan dia membuat perhitungan biaya perjalanan. Kalau biaya perjalanan melampaui melampaui uang mukanaya, ia akan meminta penggantian. Ada beberapa cara skema melalui reimbursement ini. rincian biaya menyamarkan jenis pengeluaran yang sebenarnya atau biayanya dilaporkan lebih besar dari pengeluaran sebenarnya.

d.      Check Tampering

e.      Register Disbursement adalah pengeluaran yang sudah masuk dalam Cash Register. Skema ini melalui register disbursement pada dasarnya ada dua yaitu pengembalian uang yang dibuat-buat dan pembatalan palsu.

Fraudulent Statement

Fraud yang berkenaan dengan penyajian laporan keuangan. Ada beberapa cara yang dapat dilakukan antara lain menyajikan aset atau pendapatan lebih tinggi dari yang sebenarnya dan juga menyajikan aset atau pendapatan lebih rendah dari yang sebenarnya. Untuk menangani berkurangnya keyakinan investor akibat kegagalan bisnis dan pelaporan ulang akuntansi, kongres merumuskan hukum dan Presiden Bush mengesahkan Undang-Undang Sarbanes-Oxley pada bulan Juli 2002. Hukum tersebut dibuat untuk modernisasi dan reformasi pengawasan serta audit perusahaan. . Perubahn utama yang dibuat berkaitan dengan (1) pembuatan komite audit, (2) independensi auditor, (3) tata kelola perusahaan dan tanggung jawab perusahaan, (4) keharusan untuk pengungkapan, dan (5) penalti untuk penipuan dan berbagai pelanggaran lainnya.

IT controls

  IT controls memiliki dua tipe. Yang pertama yaitu IT General Controls (ITGC) atau yang diartikan denganpengendalian umum teknologi informasi. ITGC mewakili lembaga struktur pengendalian TI, membantu memastikan keandalan dari data yang dihasilkan oleh sistem TI dan mendukung pernyataan bahwa sistem beroperasi sebagaimana dimaksud dan menghasilkan output yang handal. Biasanya, ITGC terdiri dari beberapa tipe pengendalian. Ada 11 tipe pengendalian, yaitu :

1.      Pengendalian lingkungan: pengendalian yang dirancang untuk membentuk budaya perusahaan atau "tone at the top."

2.      Prosedur pergantian manajemen: pengendalian yang dirancang untuk memastikan perubahan memenuhi kebutuhan bisnis dan sah

3.      Kode sumber/prosedur pengendalian versi dokumen: pengendalian dirancang untuk melindungi integritas kode program

4.      Standar perkembangan siklus kehidupan software: pengendalian yang dirancang untuk memastikan proyek TI dikelola secara efektif

5.      Kebijakan akses logical, standard an proses: pengendalian yang dirancang untuk mengelola akses berdasarkan kebutuhan bisnis

6.      Kebijakan dan prosedur manajemen insiden: pengendalian yang dirancang untuk mengatasi kesalahan proses operasional

7.      Kebijakan dan prosedur manajemen masalah: pengendalian yang dirancang untuk  mengidentifikasi dan mengatasi akar penyebab dari insiden

8.      Kebijakan dan prosedur dukungan teknikal: kebijakan yang membantu pengguna bekerja lebih efisien dan melaporkan masalah

9.      Konfigurasi hardware/software, instalasi, pengujian, standar manajemen, kebijakan dan prosedur

10.  Pemulihan/backup bencana dan prosedur pemulihan: memungkinkan proses berlanjut meskipun kondisi tidak sesuai (buruk)

11.  Keamanan fisik: pengendalian untuk memastikan keamanan TI dari risiko individual dan lingkungan

Yang kedua adalah IT Application Control atau dalam artinya yaitu pengendalian aplikasi teknologi informasi. Pengendalian ini sepenuhnya otomatis (dilakukan sepenuhnya oleh sistem) dirancang untuk memastikan proses data yang lengkap dan akurat, dari input hingga output;bervariasi berdasarkan tujuan bisnis dari aplikasi spesifik; dapat membantu memastikan privasi dan keamanan dari data yang dikirimkan antar aplikasi. Ada beberapa kategori pengendalian aplikasi TI, yaitu:

1.      Pemeriksaan kelengkapan: pengendalian yang memastikan seluruh pencatatan diproses dari awal hingga penyelesaian.

2.      Pemeriksaan validitas: pengendalian yang memastikan bahwa hanya data yang valid yang menjadi input dan diproses

3.      Identifikasi: pengendalian yang memastikan seluruh user memiliki keunikan dan dapat diidentifikasi

4.      Autentikasi: pengendalian yang menyediakan mekanisme pembuktian keaslian (autentik) pada sistem aplikasi

5.      Otorisasi: pengendalian yang memastikan hanya user bisnis yang diizinkan yang dapat mengakses sistem aplikasinya

6.      Pengendalian input: pengendalian yang memastikan integritas data dari sumber upstream ke dalam sistem aplikasi

7.      Pengendalian forensik: pengendalian yang memastikan bahwa data adalah benar secara ilmiah dan matematis berdasarkan input dan output