Belajar Mendeteksi Fraud dalam 10 Menit

Kemarin2 di blog ini banyak postingan tentang contoh kasus fraud misalnya di Satyam, atau Madoff. Juga ada yang lebih umum kayak ini dan itu.

Dari semua postingan itu, ditambah masih banyak lagi kasus fraud yang lain seperti Enron, WorldCom, Tyco, Adelphia, de-el-el, semakin jelas aja kalo sekarang ini banyak banget kasus fraud yang terbongkar. Tapi hati-hati loh, jangan2 itu cuma fenomena gunung es, yang ketahuan dan kebongkar selalu lebih sedikit dari lebih banyak lagi fraud yang sekarang ini ‘sedang’, dan ‘akan’ dilakukan.  Yang terakhir ini cuma belum kebongkar aja (bisa karena nasib lagi belum apes, ato memang sedemikian canggih dan kompleksnya fraud yang dilakukan).

Terus pertanyaannya adalah, gimana sih cara mendeteksi fraud? Ini tidak hanya relevan buat auditor yang secara langsung maupun tidak langsung menangani kasus fraud, tapi juga sangat menarik buat yang suka ngikutin berita-berita tentang fraud dan korupsi.

Salah satu software yang paling banyak digunakan untuk mendeteksi fraud adalah ACL. Dalam salah satu webinar-nya, ada tips bagus dan simple dari Sean Elrington (Senior Technical Specialist ACL) untuk mendeteksi fraud. Kurang lebih gini caranya…

Suspicious numbers

Cara pertama yang sering dilakukan dalam mendeteksi fraud adalah dengan mencari angka-angka yang ‘mencurigakan’. Ini pake ilmu khusus, ‘curigation’ namanya (baru sekalinya denger sekarang? sama donk, he2x..)

a. Benford Analysis
Populer dengan nama Benford’s Law (kaidah atau hukum Benford), analisanya mengatakan bahwa secara umum dan internasional dalam sebuah populasi, angka yang berawalan 1,2, dan 3 akan berjumlah lebih banyak dari angka yang berawalan 7,8, dan 9. Akan tetapi supaya Benford’s Law ini dapat diterapkan secara efektif, angka-angka dalam satu populasi tersebut harus memenuhi beberapa syarat:

1. Tidak ada batas bawah angka tertentu
2. Lebih banyak nilai/angka-angka yang kecil daripada yang besar (misalnya lebih banyak satuan, puluhan, dan ratusan daripada ratusan ribuan atau puluhan juta)
3. Minimal 1000 data
4. Merupakan angka yang ‘natural’ (bukan daftar angka-angka berupa nomor telepon, KTP, NPWP, dan sejenisnya)
5. Berasal dari transaksi yang mirip/serupa (misalnya, data jumlah pembelian per-konsumen di bulan tertentu)

Harusnya pola yang normal dari sebuah populasi angka menurut Benford’s Law itu seperti ini:

Kurva yang di atas merupakan hasil analisa Benford’s Law yang dilakukan pake software ACL pada set data asli. Pas dimasukkan data palsu ato boongan, kurvanya jadi kayak gini:

Tapi analisa Benford’s Law ini tidak konklusif loh ya. Artinya, cuma menunjukkan adanya kemungkinan atau indikasi potensial terjadinya fraud. Perlu diinget juga bahwa adanya anomali dalam populasi data tidak selalu disebabkan fraud.

b. Even dollar transaction
Kalo yang ini, adalah mencari angka-angka yang jumlahnya sama persis, kalo di ACL menggunakan function MOD atau MODULUS. Kenapa memangnya dengan angka-angka yang sama persis? Karena salah satu cara untuk melakukan fraud adalah dengan mencatat atau menjurnal transaksi palsu, yang kemudian akan dikoreksi atau di-adjustment. Misalnya fraud yang dilakukan dengan menggelembungkan nilai penjualan (sales) supaya dapet bonus gede, lalu dikoreksi atau dihapuskan sejumlah yang sama di periode selanjutnya.

Sekali lagi, tes ‘even dollar transaction’ ini juga hanya menunjukkan indikasi atau potensi terjadinya fraud. Adanya kesamaan data tidak selalu berarti fraud, tapi oke-lah buat memandu investigasi fraud.

Suspicious Vendors

Kalo yang ini, adalah teknik mendeteksi fraud dengan mencari vendor atau supplier atau rekanan yang ‘mencurigakan’. Biasa dikenal dengan istilah ‘phantom vendors’, yang sebenarnya cuma numpang nama doang dan nggak pernah mengirimkan barang ato jasa yang dipesan, tapi melakukan penagihan (invoice) dan dibayar. Yang kayak gini ini biasanya melibatkan orang dalem, yang terlibat dalam siklus pembelian atau procurement dan pembayaran atau payment.

Salah satu cara nyari suspicious vendors adalah dengan mencari keterkaitan atau relasi antara karyawan perusahaan dengan supplier atau vendor tertentu. Bisa dengan mencari kesamaan data antara karyawan dan supplier, seperti alamat, nomor telepon, NPWP, nomor rekening bank, dll. Perusahaan dengan alamat PO. BOX. atau perumahan (apartemen, kompleks) juga bisa jadi mengindikasikan ‘phantom vendors’.

Di ACL juga ada function ‘soundslike’ untuk mencari kesamaan data antara sesama supplier, yang bisa menjadi indikasi adanya ‘phantom vendors’. Misalnya ada 2 vendors, yang satu namanya PT. ABC, satu lagi PT. AB C (tambah spasi). Mencurigakan gak sih.

Suspicious bids

Salah satu fungsi yang paling rawan resiko fraud-nya adalah bagian pengadaan atau pembelian atau procurement. Salah satu modus yang biasa dilakukan yaitu dengan memberikan informasi yang tidak fair kepada calon supplier. Jadinya yang menang 4 L (loe lagi loe lagi) wah CPD (cape dech).

Fraud test yang bisa dilakukan adalah dengan membandingkan tanggal penerimaan dokumen penawaran dengan tanggal pengumuman hasil pemenang. Supplier yang secara konsisten memenangkan tender dengan memasukkan penawaran mendekati tanggal pengumuman hasil tender bisa jadi mendapat info (baca: kolusi) dengan orang dalam. Misalnya dikasih tau harga penawaran supplier lain, dsb.

Kalo mau tau lebih jelas, bisa download video-nya dari sini (format *.wrf) >>> rada aneh kan, makanya harus pake installer ini.

Skandal Satyam mengguncang dunia

Mempunyai 50 ribu karyawan yang tersebar di berbagai pusat pengembangan IT-nya di negara-negara Asia, Amerika, Eropa, dan Australia. Menjadi rekanan dari 654 perusahaan global, termasuk General Electric, Nestle, Qantas Airways, Fujitsu, dan 185 perusahaan Fortune 500 lainnya. Sahamnya listed di India’s National Stock Exchange, The New York Stock Exchange dan Euronext di Eropa. Merupakan perusahaan penyedia perangkat lunak resmi di event FIFA World Cup 2010 di Afrika Selatan dan 2014 di Brazil.

Pada Maret 2008, Satyam melaporkan kenaikan revenue sebesar 46,3 persen menjadi 2,1 milyar dolar AS. Di Oktober 2008, Satyam mengatakan bahwa revenue-nya akan meningkat sebesar 19-21 persen menjadi 2,55-2,59 milyar dolar pada bulan Maret 2009.

Melihat semua reputasinya, pantas saja jika Satyam dinobatkan menjadi raksasa IT terbesar keempat di India.

Satyam didirikan dan dipimpin oleh Ramalinga Raju, lulusan MBA Ohio University dan alumnus Harvard University. Ramalinga Raju mendapatkan berbagai penghargaan di antaranya Ernst & Young Entrepreneur of the Year for Services (tahun 1999), Dataquest IT Man of the Year (2000), dan CNBC’s Asian Business Leader – Corporate Citizen of the Year award (2002). Pada 2004, jumlah kekayaan Ramalinga Raju mencapai 495 juta dolar.

…

Riding a tiger

Sungguh ironis, pada 7 Januari 2009, Ramalinga Raju tiba-tiba mengatakan bahwa sekitar 1,04 milyar dolar saldo kas & bank Satyam adalah palsu (jumlah itu setara dengan 94% nilai kas & bank Satyam di akhir September 2008).

Dalam suratnya yang dikirimkan ke jajaran direksi Satyam, Ramalinga Raju juga mengakui bahwa dia memalsukan nilai pendapatan bunga diterima di muka (accrued interest), mencatat kewajiban lebih rendah dari yang seharusnya (understated liability) dan menggelembungkan nilai piutang (overstated debtors).

The gap in the balance sheet has arisen purely on account of inflated profits over a period of last several years. What started as a marginal gap between actual operating profit and the one reflected in the books of accounts continued to grow over the years. It has attained unmanageable proportions as the size of company operations grew significantly.

Pada awalnya, Satyam fraud dilakukan dengan menggelembungkan nilai keuntungan perusahaan. Setelah dilakukan selama beberapa tahun, selisih antara keuntungan yang sebenarnya dan yang dilaporkan dalam laporan keuangan semakin lama semakin besar. Begitu kompleksnya situasi yang dihadapi Ramalinga Raju karena fraud yang dilakukannya, ia mengatakan dalam suratnya..

It was like riding a tiger, not knowing how to get off without being eaten.

Pada 14 Januari 2009, auditor Satyam selama 8 tahun terakhir – Price Waterhouse India mengumumkan bahwa laporan auditnya berpotensi tidak akurat dan tidak reliable karena dilakukan berdasarkan informasi yang diperoleh dari manajemen Satyam. Institusi akuntan di India ICAI, meminta PwC memberikan jawaban resmi dalam 21 hari terkait skandal Satyam.

Ini bukan pertama kalinya PwC tersangkut masalah di India. Pada 2005, The Reserve Bank of India melarang PwC untuk mengaudit bank selama 8 tahun karena melakukan audit yang tidak memadai atas non-performing asset dari Global Trust Bank. PwC menghadapi investigasi terkait kegagalannya mengidentifikasi fraud senilai 21 juta euro di divisi air mineral grup perusahaan Greencore.

Satyam kini

Menyusul skandal fraud dalam laporan keuangan Satyam, pada 10 Januari 2009 harga saham Satyam jatuh menjadi 11,5 rupees, atau hanya senilai 2% dari harga saham tertingginya di tahun 2008 sebesar 544 rupees.

Satyam adalah pemenang penghargaan the coveted Golden Peacock Award for Corporate Governance under Risk Management and Compliance Issues di tahun 2008. Gelar itu kemudian dicabut sehubungan dengan skandal fraud yang dihadapinya.

Adapun Raju dan saudaranya, B. Rama Raju, yang juga terkait Satyam fraud, kemudian ditahan dengan tuduhan melakukan konspirasi kriminal, penipuan, pemalsuan dokumen, dan menghadapi ancaman hukuman 10 tahun penjara.

Belajar dari sejarah kejayaan dan kejatuhan Satyam, lebih ironis lagi ketika mengetahui bahwa kata Satyam berasal dari bahasa Sanskirt yaitu ‘Satya’, yang artinya kejujuran.

Contoh Soal Ujian CISA (1)

Lanjutan tulisan ini.

Contoh soal ujian CISA

1. The extent to which data will be collected during an IS audit should be determined based on the:
A. availability of critical and required information.
B. auditor’s familiarity with the circumstances.
C. auditee’s ability to find relevant evidence.
D. purpose and scope of the audit being done.

2. Which of the following ensures a sender’s authenticity and an e-mail’s confidentiality?
A. Encrypting the hash of the message with the sender’s private key and thereafter encrypting the hash of the message with the receiver’s public key
B. The sender digitally signing the message and thereafter encrypting the hash of the message with the sender’s private key
C. Encrypting the hash of the message with the sender’s private key and thereafter encrypting the message with the receiver’s public key
D. Encrypting the message with the sender’s private key and encrypting the message hash with the receiver’s public key

3. Which of the following is the GREATEST advantage of elliptic curve encryption over RSA encryption?
A. Computation speed
B. Ability to support digital signatures
C. Simpler key distribution
D. Greater strength for a given key length

4. Which of the following controls would provide the GREATEST assurance of database integrity?
A. Audit log procedures
B. Table link/reference checks
C. Query/table access time checks
D. Rollback and rollforward database features

5. A benefit of open system architecture is that it:
A. facilitates interoperability.
B. facilitates the integration of proprietary components.
C. will be a basis for volume discounts from equipment vendors.
D. allows for the achievement of more economies of scale for equipment.

Jawaban

1. ANSWER: D

NOTE: The extent to which data will be collected during an IS audit should be related directly to the scope and purpose of the audit. An audit with a narrow purpose and scope would result most likely in less data collection, than an audit with a wider purpose and scope. The scope of an IS audit should not be constrained by the ease of obtaining the information or by the auditor’s familiarity with the area being audited. Collecting all the required evidence is a required element of an IS audit, and the scope of the audit should not be limited by the auditee’s ability to find relevant evidence.

2. ANSWER: C

NOTE: To ensure authenticity and confidentiality, a message must be encrypted twice: first with the sender’s private key, and then with the receiver’s public key. The receiver can decrypt the message, thus ensuring confidentiality of the message. Thereafter, the decrypted message can be decrypted with the public key of the sender, ensuring authenticity of the message. Encrypting the message with the sender’s private key enables anyone to decrypt it.

3. ANSWER: A

NOTE: The main advantage of elliptic curve encryption over RSA encryption is its computation speed. This method was first independently suggested by Neal Koblitz and Victor S. Miller. Both encryption methods support digital signatures and are used for public key encryption and distribution. However, a stronger key per se does not necessarily guarantee better performance, but rather the actual algorithm employed.

4. ANSWER: B

NOTE: Performing table link/reference checks serves to detect table linking errors (such as completeness and accuracy of the contents of the database), and thus provides the greatest assurance of database integrity. Audit log procedures enable recording of all events that have been identified and help in tracing the events. However, they only point to the event and do not ensure completeness or accuracy of the database’s contents. Querying/monitoring table access time checks helps designers improve database performance, but not integrity. Rollback and rollforward database features ensure recovery from an abnormal disruption. They assure the integrity of the transaction that was being processed at the time of disruption, but do not provide assurance on the integrity of the contents of the database.

5. ANSWER: A

NOTE: Open systems are those for which suppliers provide components whose interfaces are defined by public standards, thus facilitating interoperability between systems made by different vendors. In contrast, closed system components are built to proprietary standards so that other suppliers’ systems cannot or will not interface with existing systems.