Penipuan
5
TUJUAN PEMBELAJARAN
Jason Scott adalah auditor internal untuk Northwest Industries, sebuah perusahaan hasil hutan. Pada tanggal 31 Maret, dia meninjau
pengembalian pajaknya yang lengkap dan memperhatikan bahwa pemotongan pajak pendapatan federal pada gaji terakhirnya adalah $ 5 lebih
dari jumlah yang ditunjukkan pada formulir W-2-nya. Dia menggunakan jumlah W-2 untuk menyelesaikan pengembalian pajaknya dan
membuat catatan untuk menanyakan departemen penggajian apa yang terjadi dengan $ 5 lainnya. Keesokan harinya, Jason kewalahan, dan
dia mengabaikan selisih $ 5 sebagai hal yang tidak penting.
On April 16, a coworker grumbled that the company had taken $5 more from his check than he was given
credit for on his W-2. When Jason realized he was not the only one with the $5 discrepancy, he investigated
and found that all 1,500 employees had the same $5 discrepancy. He also discovered that the W-2 of Don
Hawkins, the payroll programmer, had thousands of dollars more in withholdings reported to the Internal
Revenue Service (IRS) than had been withheld from his paycheck.
Jason knew that when he reported the situation, management was going to ask ques- tions, such as:
126
3. Why did the company not catch these mistakes? Was there a breakdown in controls?
4. How can the company detect and prevent fraud?
5. How vulnerable is the company's computer system to fraud?
Introduction
As accounting information systems (AIS) grow more complex to meet our escalating needs
for information, companies face the growing risk that their systems may be compromised.
Recent surveys show that 67% of companies had a security breach, over 45% were targeted
by organized crime, and 60% reported financial losses.
The four types of AIS threats a company faces are summarized in Table 5-1.
THREATS EXAMPLES
Natural and political disasters Fire or excessive heat
Floods, earthquakes, landslides, hurricanes, tornadoes, blizzards, snowstorms, and
freezing rain
War and attacks by terrorists
Software errors and equip- Hardware or software failure
ment malfunctions Software errors or bugs
Operating system crashes Power
outages and fluctuations
Undetected data transmission errors
Unintentional acts Accidents caused by human carelessness, failure to follow established procedures, and poorly trained
or supervised personnel
Innocent errors or omissions
Lost, erroneous, destroyed, or misplaced data
Logic errors
Systems that do not meet company needs or cannot handle intended tasks
Intentional acts (computer Sabotage
crimes) Misrepresentation, false use, or unauthorized disclosure of data
Misappropriation of assets
Financial statement fraud
Corruption
Computer fraud-attacks, social engineering, malware, etc.
127
12 BAGIAN II PENGENDALIAN DAN AUDIT SISTEM INFORMASI AKUNTANSI BAB 5 PENIPUAN 12
8 8
AIS Threats
Natural and political disasters-such as fires, floods, earthquakes, hurricanes, tornadoes, bliz-
zards, wars, and attacks by terrorists-can destroy an information system and cause many
companies to fail. For example:
• Terrorist attacks on the World Trade Center in New York City and on the Federal Build- ing in Oklahoma
City destroyed or disrupted all the systems in those buildings.
• A flood in Chicago destroyed or damaged 400 data processing centers. A flood in Des
Moines, Iowa, buried the city's computer systems under eight feet of water. Hurricanes
and earthquakes have destroyed numerous computer systems and severed communica-
tion lines. Other systems were damaged by falling debris, water from ruptured sprinkler
systems, and dust.
• A very valid concern for everyone is what is going to happen when cyber-attacks are
militarized; that is, the transition from disruptive to destructive attacks. For more on this,
see Focus 5-1.
1
Hak Cipta © 1987 oleh National Commission on Fraudulent Financial Reporting.
SAS NO. 99 (AU-C BAGIAN 240): TANGGUNG JAWAB AUDITOR UNTUK
MENDETEKSI PENIPUAN
Pernyataan Standar Audit (SAS) No. 99, Pertimbangan Kecurangan dalam Audit Laporan
Keuangan, berlaku efektif pada bulan Desember 2002. SAS No. 99 mewajibkan auditor untuk:
• Pahami penipuan. Karena auditor tidak dapat mengaudit secara efektif sesuatu yang
tidak mereka pahami, mereka harus memahami kecurangan dan bagaimana serta mengapa
hal itu dilakukan.
• Diskusikan risiko kesalahan penyajian material yang curang. Saat merencanakan audit,
anggota tim mendiskusikan di antara mereka sendiri bagaimana dan di mana laporan
keuangan perusahaan rentan terhadap kecurangan.
• Mendapatkan informasi. The audit team gathers evidence by looking for fraud risk
factors; testing company records; and asking management, the audit committee of the
board of directors, and others whether they know of past or current fraud. Because many
frauds involve revenue recognition, special care is exercised in examining revenue
accounts.
• ldentify, assess, and respond to risks. The evidence is used to identify, assess, and re-
spond to fraud risks by varying the nature, timing, and extent of audit procedures and by
evaluating carefully the risk of management overriding internal controls.
• Evaluate the results of their audit tests. Auditors must evaluate whether identified mis-
statements indicate the presence of fraud and determine its impact on the financial state-
ments and the audit.
• Document and communicate findings. Auditor harus mendokumentasikan dan
mengkomunikasikan temuan mereka kepada manajemen dan komite audit.
• Menggabungkan fokus teknologi. SAS No. 99 mengakui dampak teknologi terhadap
risiko penipuan dan memberikan komentar dan contoh yang mengenali dampak ini. Ini
juga mencatat peluang yang dimiliki auditor untuk menggunakan teknologi untuk
merancang prosedur audit kecurangan.
Selama bertahun-tahun telah terjadi perbaikan dan reorganisasi standar audit. Standar
penipuan sekarang disebut sebagai AU-C Bagian 240.
Pressure
Financial Financial
Employee Financial
Pressure Statement
Triangle Pressure
Triangle
Penjahat dunia maya adalah prioritas utama FBI karena mereka telah berpindah dari
serangan yang terisolasi dan tidak terkoordinasi ke skema penipuan terorganisir yang
ditargetkan pada individu dan bisnis tertentu. Mereka menggunakan perusahaan pembayaran
online untuk mencuci keuntungan haram mereka. Untuk menyembunyikan uang, mereka
memanfaatkan kurangnya koordinasi antara organisasi penegakan hukum internasional.
SEGITIGA PENIPUAN
Untuk sebagian besar pelaku penipuan predator, semua yang dibutuhkan pelaku penipuan adalah
kesempatan dan pola pikir kriminal yang memungkinkannya untuk melakukan penipuan. Untuk
sebagian besar pelaku penipuan yang baru pertama kali melakukan penipuan, ada tiga kondisi yang
muncul saat penipuan terjadi: tekanan, peluang, dan rasionalisasi. Ini disebut sebagai segitiga
penipuan, dan merupakan segitiga tengah pada Gambar 5-1.
tekanan - Insentif atau motivasi
seseorang untuk melakukan
TEKANAN A pressure is a person's incentive or motivation for committing fraud. Three types of
penipuan. pressures that lead to misappropriations are shown in the Employee Pressure Triangle in Figure
5-1 and are summarized in Table 5-2.
Financial pressures often motivate misappropriation frauds by employees. Examples of
such pressures include living beyond one's means, heavy financial losses, or high personal
debt. Often, the perpetrator feels the pressure cannot be shared and believes fraud is the best
way out of a difficult situation. For example, Raymond Keller owned a grain elevator where
karena akun pengeluaran dikosongkan pada akhir setiap tahun. Pelaku yang
menyembunyikan pencurian di rekening neraca harus melanjutkan penyembunyiannya.
Another way to hide a theft of company assets is to use a lapping scheme. In a
lapping - Menyembunyikan lapping scheme, an employee of Company Z steals the cash or checks customer A
pencurian uang tunai melalui mails in to pay the money it owes to Company Z. Later, the employee uses funds from
serangkaian penundaan dalam
posting penagihan ke piutang.
customer B to pay off customer A's balance. Funds from customer C are used to pay
off customer B's balance, and so forth. Because the theft involves two asset accounts
(cash and ac- counts receivable), the cover-up must continue indefinitely unless the
money is replaced or the debt is written off the books.
An individual, for his own personal gain or on behalf of a company, can hide the theft
periksa kiting - Menciptakan uang of cash using a check-kiting scheme. In check kiting, cash is created using the lag be-
tunai dengan menggunakan jeda
antara waktu cek disimpan dan
tween the time a check is deposited and the time it clears the bank. Suppose an individual
waktu kliring bank. or a company opens accounts in banks A, B, and C. The perpetrator "creates" cash by
depositing a $1,000 check from bank B in bank C and withdrawing the funds. If it takes
two days for the check to clear bank B, he has created $1,000 for two days. After two days,
the perpetrator deposits a $1,000 check from bank A in bank B to cover the created
$1,000 for two more days. At the appropriate time, $1,000 is deposited from bank C in
bank A. The scheme continues-writing checks and making deposits as needed to keep the
checks from bouncing-until the person is caught or he deposits money to cover the
created and stolen cash. Electronic banking systems make kiting harder because the time
between a fraudster depositing the check in one bank and the check being presented to
the other bank for payment is shortened.
3. Convert the the/t or misrepresentation to personal gain. In a misappropriation, fraud
perpetrators who do not steal cash or use the stolen assets personally must convert them to
a spendable form. For example, employees who steal inventory or equipment sell the items
or otherwise convert them to cash. In cases of falsified financial statements, perpe- trators
convert their actions to personal gain through indirect benefits; that is, they keep their jobs,
their stock rises, they receive pay raises and promotions, or they gain more power and
influence.
Table 5-4 lists frequently mentioned opportunities. Many opportunities are the result of a deficient system of
internal controls, such as deficiencies in proper segregation of duties,
TABLE 5-4 Opportunities Permitting Employee and Financial Statement Fraud
prosedur otorisasi, garis kewenangan yang jelas, pengawasan yang tepat, dokumen dan catatan
yang memadai, pengamanan aset, atau pemeriksaan independen atas kinerja. Manajemen
mengizinkan penipuan karena kurangnya perhatian atau kecerobohan. Manajemen melakukan
kecurangan dengan mengesampingkan kendali internal atau menggunakan posisi kekuasaan
untuk memaksa bawahan melakukannya. Kesempatan yang paling umum untuk hasil penipuan
dari kegagalan perusahaan untuk merancang dan menegakkan sistem kontrol internalnya.
Perusahaan yang tidak melakukan pemeriksaan latar belakang terhadap calon karyawan
berisiko menyewa "pengendali bayangan". Dalam satu kasus, seorang presiden perusahaan
mampir ke kantor pada suatu malam, melihat lampu di kantor pengawas, dan pergi untuk
melihat mengapa dia bekerja lembur. Presiden terkejut menemukan orang asing di tempat kerja.
Investigasi menunjukkan bahwa pengendali bukanlah seorang akuntan dan telah dipecat dari
tiga pekerjaan selama delapan tahun sebelumnya. Tidak dapat melakukan pekerjaan akuntansi,
dia mempekerjakan seseorang untuk melakukan pekerjaannya untuknya di malam hari. Apa
yang dia kuasai adalah mencuri uang - dia telah menggelapkan beberapa juta dolar.
Other factors provide an opportunity to commit and conceal fraud when the company has
unclear policies and procedures, fails to teach and stress corporate honesty, and fails to pros-
ecute those who perpetrate fraud. Examples include large, unusual, or complex transactions;
numerous adjusting entries at year-end; questionable accounting practices; pushing account- ing
principles to the limit; related-party transactions; incompetent personnel, inadequate staff- ing,
rapid turnover of key employees, lengthy tenure in a key job, and lack of training.
Penipuan terjadi ketika karyawan membangun hubungan pribadi yang saling
menguntungkan dengan pelanggan atau pemasok, seperti agen pembelian yang membeli
barang dengan harga yang dinaikkan untuk ditukar dengan suap vendor. Penipuan juga dapat
terjadi ketika krisis muncul dan prosedur pengendalian normal diabaikan. Sebuah perusahaan
yang masuk dalam daftar Fortune 500 mengalami penipuan senilai tiga juta dolar pada tahun
ketika perusahaan tersebut mengabaikan prosedur pengendalian internal standar ketika
mencoba menyelesaikan serangkaian krisis.
RASIONALISASI Sebuah rasionalisasi memungkinkan pelaku untuk membenarkan perilaku inginkan lebih penting
ilegal mereka. Seperti yang ditunjukkan dalam Segitiga Rasionalisasi pada Gambar 5-1, ini daripada jujur"). Di lain
dapat berupa justifikasi ("Saya hanya mengambil apa yang mereka hutangi"), sikap ("Aturan
tidak berlaku untuk saya"), atau a kurangnya integritas pribadi ("Mendapatkan apa yang saya
rationalization - The excuse that fraud perpetrators use to justify their illegal behavior.
words, perpetrators rationalize that they are not being dishonest, that honesty is not required of
them, or that they value what they take more than honesty and integrity. Some perpetra- tors
rationalize that they are not hurting a real person, but a faceless and nameless computer system or
an impersonal company that will not miss the money. One such perpetrator stole no more than
$20,000, the maximum loss the insurance company would reimburse.
The most frequent rationalizations include the following:
• I am only "borrowing" it, and I will repay my "loan."
• You wouldunderstand ifyouknewhowbadlyIneeded it.
• What I did was not that serious.
• It was for a good cause (the Robin Hood syndrome: robbing the rich to give to the poor).
• In my very important position of trust, I am above the rules.
• Everyone else is doing it.
• No one will ever know.
• The company owes it to me; I am taking no more than is rightfully mine.
Fraud occurs when people have high pressures; an opportunity to commit, conceal, and
convert; and the ability to rationalize away their personal integrity. Fraud is less likely to oc-
cur when people have few pressures, little opportunity, and high personal integrity. Usually
all three elements of the fraud triangle must be present to some degree before a person
commits fraud.
Likewise, fraud can be prevented by eliminating or minimizing one or more fraud tri-
angle elements. Although companies can reduce or minimize some pressures and rationaliza-
tions, their greatest opportunity to prevent fraud lies in reducing or minimizing opportunity
by implementing a good system of internal controls. Controls are discussed in Chapters 7
through 10.
Computer Fraud
computer fraud - Any type of
fraud that requires computer
Computer fraud is any fraud that requires computer technology to perpetrate it. Examples
technology to perpetrate. include:
• Unauthorized theft, use, access, modification, copying, or destruction of software, hard-
ware, or data
• Theft of assets covered up by altering computer records
• Obtaining information or tangible property illegally using computers
INPUT FRAUD The simplest and most common way to commit a computer fraud is to alter or
falsify computer input. It requires little skill; perpetrators need only understand how the sys-
tem operates so they can cover their tracks. For example:
• A man opened a bank account in New York and had blank bank deposit slips printed that
were similar to those available in bank lobbies, except that his account number was en-
coded on them. He replaced the deposit slips in the bank lobby with his forged ones. For
three days, bank deposits using the forged slips went into his account. The perpetrator
withdrew the money and disappeared. He was never found.
• A man used desktop publishing to prepare bills for office supplies that were never or-
dered or delivered and mailed them to local companies. The invoices were for less than
$ 300, jumlah yang seringkali tidak memerlukan pesanan pembelian atau persetujuan.
Persentase yang tinggi dari perusahaan yang membayar tagihan.
• Seorang karyawan di Veteran's Memorial Coliseum menjual tiket harga penuh kepada
pelanggan, memasukkannya sebagai tiket setengah harga, dan mengantongi selisihnya.
• Karyawan kereta api memasukkan data untuk menghapus lebih dari 200 gerbong kereta
api. Mereka memindahkan mobil dari sistem kereta api, mengecat ulang, dan menjualnya.
• Sebuah perusahaan yang menyediakan dukungan teknis di tempat membuat duplikat
persis dari cek yang digunakan untuk membayarnya, menggunakan pemindai siap
pakai, perangkat lunak grafis, dan printer. Jika
GAMBAR 5-2
Data
Penipuan Penipuan
Komputer
Klasifikasi
Penipuan
Instruksi
Komputer
double payments were caught, the bank checked their microfiche copies of the two iden-
tical checks, assumed a clerical error had occurred, and wrote off the loss as a gesture of
maintaining good customer relations.
PROCESSOR FRAUD Processor fraud includes unauthorized system use, including the theft of
computer time and services. For example:
• An insurance company installed software to detect abnormal system activity and found
that employees were using company computers to run an illegal gambling website.
• Two accountants without the appropriate access rights hacked into Cisco's stock option system, transferred over
$6.3 million of Cisco stock to their brokerage accounts, and sold the stock. They used part of the funds to support an
extravagant lifestyle, including a
$52,000 Mercedes-Benz, a $44,000 diamond ring, and a $20,000 Rolex watch.
DATA FRAUD Illegally using, copying, browsing, searching, or harming company data consti-
tutes data fraud. The biggest cause of data breaches is employee negligence.
Companies now report that their losses are greater from the electronic theft of data than
from stealing physical assets. It is estimated that, on average, it costs a company $6.6 million,
including lost business, to recover from a data breach.
Company employees are much more likely to perpetrate data fraud than outsiders are. A
recent study shows that 59% of employees who lost or left a job admitted to stealing con-
fidential company information. Almost 25% of them had access to their former employer's
computer system. In addition, more cases are beginning to surface of employees stealing
their employer's intellectual properties and selling them to foreign companies or
governments.
In the absence of controls, it is not hard for an employee to steal data. For example, an
employee using a small flash drive can steal large amounts of data and remove it without be-
ing detected. In today's world, you can even buy wristwatches with a USB port and internal
memory.
The following are some recent examples of stolen data:
• Manajer kantor firma hukum Wall Street menjual informasi kepada teman dan kerabat
tentang calon merger dan akuisisi yang ditemukan dalam file Word. Mereka
menghasilkan beberapa juta dolar dari perdagangan sekuritas.
• Seorang pria Kazakh berusia 22 tahun membobol jaringan Bloomberg dan mencuri
informasi akun, termasuk Michael Bloomberg, walikota New York dan pendiri
perusahaan berita keuangan. Dia menuntut $ 200.000 sebagai imbalan karena tidak
menggunakan atau menjual informasi tersebut. Dia ditangkap di London saat menerima
uang tebusan.
• Seorang insinyur perangkat lunak mencoba mencuri rencana mikroprosesor baru Intel.
Karena dia dapat melihat tetapi tidak dapat menyalin atau mencetak rencana tersebut, dia
memotretnya layar demi layar pada larut malam di kantornya. Tanpa sepengetahuannya,
salah satu kendali Intel adalah memberi tahu keamanan ketika rencana dilihat setelah jam
kerja. Dia tertangkap basah dan ditangkap.
• Penjahat dunia maya menggunakan teknik peretasan dan pencurian identitas yang canggih
untuk meretas tujuh akun di perusahaan pialang online besar. Mereka menjual sekuritas
dalam rekening tersebut dan menggunakan uang tunai untuk menaikkan harga perusahaan
yang sudah mereka miliki dengan harga rendah dan diperdagangkan tipis. Kemudian
mereka menjual saham di akun pribadi mereka untuk mendapatkan keuntungan besar. E-
trade kehilangan $ 18 juta dan Ameritrade $ 4 juta dalam skema pump-and-dump yang
serupa.
• Departemen Urusan Veteran AS digugat karena laptop karyawan yang berisi catatan 26,5
juta veteran telah dicuri, sehingga menyebabkan pencurian identitas. Tak lama kemudian,
sebuah laptop dengan catatan 38.000 orang menghilang dari kantor subkontraktor.
Data juga dapat diubah, dirusak, dihancurkan, atau dirusak, terutama oleh karyawan dan
peretas yang tidak puas. Para pengacau masuk ke situs web NCAA sebelum turnamen bola
basket
pasangan diumumkan dan dipasang swastika, penghinaan rasial, dan logo kekuatan putih.
Angkatan Udara, CIA, dan NASA juga menjadi korban serangan situs web terkenal. Seorang
analis Institut Keamanan Komputer menggambarkan masalah tersebut sebagai "pengacau
dunia maya dengan kaleng semprotan digital."
Data bisa hilang akibat kelalaian atau kecerobohan. Sumber data rahasia yang baik adalah
hard drive komputer bekas yang disumbangkan untuk amal atau dijual kembali. Seorang
profesor di universitas besar membeli 10 komputer bekas untuk kelas forensik komputernya.
Dengan menggunakan peranti lunak yang tersedia secara komersial, murid-muridnya
menemukan data yang sangat rahasia pada 8 dari 10 hard drive.
Menghapus file tidak menghapusnya. Bahkan memformat ulang hard drive mungkin tidak
menghapusnya hingga bersih. Untuk menghapus hard drive sepenuhnya, perangkat lunak
khusus harus digunakan. Jika komputer bekas akan dibuang, cara terbaik untuk melindungi data
adalah dengan menghancurkan hard drive.
PENIPUAN OUTPUT Kecuali jika dijaga dengan baik, hasil cetakan yang ditampilkan atau
dicetak dapat dicuri, disalin, atau disalahgunakan. Seorang insinyur Belanda menunjukkan
bahwa beberapa monitor memancarkan sinyal seperti televisi yang, dengan bantuan
beberapa peralatan elektronik yang tidak mahal, dapat ditampilkan di layar televisi. Dalam
kondisi ideal, sinyal dapat diambil dari monitor yang berjarak dua mil. Seorang insinyur
menyiapkan peralatan di ruang bawah tanah sebuah gedung apartemen dan membaca
monitor di lantai delapan.
Pelaku penipuan menggunakan komputer untuk membuat hasil yang tampak otentik, seperti
gaji. Pelaku penipuan dapat memindai gaji perusahaan, menggunakan perangkat lunak
penerbitan desktop untuk menghapus penerima pembayaran dan jumlahnya, dan mencetak gaji
fiktif. Kerugian untuk memeriksa penipuan di Amerika Serikat berjumlah lebih dari $ 20 miliar
setahun.
• Menyediakan program dukungan karyawan; ini memberikan tempat bagi karyawan untuk berpaling ketika mereka menghadapi tekanan
yang mungkin ingin mereka selesaikan dengan melakukan penipuan.
• Menjaga jalur komunikasi terbuka dengan karyawan, pelanggan, pemasok, dan pihak eksternal terkait (bank, regulator, otoritas pajak,
dll.).
• Membuat dan menerapkan kode etik perusahaan untuk menuliskan apa yang diharapkan perusahaan dari karyawannya.
• Melatih karyawan dalam pertimbangan integritas dan etika, serta keamanan dan pencegahan penipuan.
• Mewajibkan liburan karyawan tahunan dan menandatangani perjanjian kerahasiaan; merotasi tugas karyawan kunci secara berkala.
• Menerapkan kontrol akuisisi dan pengembangan proyek yang formal dan ketat, serta kontrol manajemen perubahan.
• Meningkatkan sanksi bagi pelaku fraud dengan lebih gencar menuntut pelaku fraud.
TABEL 5-5 Lanjutan