Fraud bukan hanya isu akuntansi; ia adalah risiko bisnis yang sering kali bertemu langsung dengan dunia cybersecurity: identitas palsu, manipulasi data, rekayasa sosial, penyalahgunaan akses, hingga perubahan konfigurasi sistem yang tidak sah. Dalam konteks audit laporan keuangan, ISA 240 (International Standard on Auditing 240) menegaskan tanggung jawab auditor terkait fraud, terutama terkait salah saji material akibat kecurangan. Di sisi lain, gelombang AI dan analitik modern menawarkan cara baru untuk memperkuat pertahanan—dengan catatan, harus diimplementasikan secara hati-hati, dapat diaudit, dan selaras dengan kontrol internal.

Artikel ini membahas bagaimana mengintegrasikan AI ke dalam pendekatan fraud defense yang selaras dengan ISA 240, dari perspektif defensif (pencegahan, deteksi, respons) untuk membantu tim audit, risk, compliance, dan keamanan informasi bekerja dalam satu bahasa yang sama.

Memahami ISA 240 dalam Konteks Fraud Defense

ISA 240 berfokus pada tanggung jawab auditor dalam mempertimbangkan fraud dalam audit laporan keuangan. Intinya, ISA 240 mengharuskan auditor untuk:

  • Mempertahankan skeptisisme profesional sepanjang audit.
  • Mengidentifikasi dan menilai risiko fraud (misalnya manipulasi pendapatan, penyalahgunaan aset, override kontrol manajemen).
  • Merancang dan melaksanakan prosedur audit untuk merespons risiko yang telah dinilai.
  • Mengevaluasi bukti audit dan mengomunikasikan temuan yang relevan kepada pihak berwenang.

Dari sudut pandang defensif, ISA 240 bisa dipandang sebagai “kompas” yang memastikan organisasi tidak hanya mengandalkan intuisi. Ia menuntut proses yang terdokumentasi: apa risikonya, kontrolnya apa, bukti apa yang membuktikan kontrol bekerja, dan bagaimana menanggapi anomali.

Mengapa AI Relevan untuk ISA 240?

AI relevan bukan karena “lebih canggih”, tetapi karena fraud modern sering bersifat:

  • Berpola halus: transaksi kecil namun sering, vendor mirip nama, atau perubahan master data bertahap.
  • Lintas sistem: ERP, HR, procurement, bank, CRM, dan sistem pendukung.
  • Berbasis identitas: kredensial dibajak, otorisasi disalahgunakan, atau akun “ghost”.
  • Berkecepatan tinggi: terutama di organisasi dengan volume transaksi besar.

AI dan analitik dapat membantu memprioritaskan investigasi dan menemukan sinyal lemah yang sulit ditangkap oleh sampling manual. Namun, AI dalam konteks audit dan kepatuhan harus dapat dijelaskan, dapat diuji, dan dapat ditelusuri agar tidak menjadi “kotak hitam” yang menambah risiko baru.

Peta Integrasi: ISA 240 + AI dalam Siklus Fraud Defense

Agar AI benar-benar mendukung ISA 240, integrasinya sebaiknya dipetakan ke tiga fase: pencegahan, deteksi, dan respons. Setiap fase harus menghasilkan artefak yang bisa diaudit: kebijakan, parameter, log, bukti review, dan hasil tindak lanjut.

1) Pencegahan: Mengurangi Peluang Fraud Sebelum Terjadi

ISA 240 menekankan pentingnya memahami lingkungan pengendalian dan risiko. AI dapat memperkuat pencegahan melalui:

  • Risk scoring onboarding vendor dan karyawan: menilai kelengkapan dokumen, kesamaan atribut (alamat, rekening), dan pola historis untuk memicu verifikasi tambahan.
  • Kontrol akses adaptif: mendeteksi anomali perilaku login atau akses modul sensitif, lalu mendorong langkah verifikasi tambahan sesuai kebijakan.
  • Kualitas data dan master data governance: AI dapat membantu menemukan duplikasi vendor, kemiripan nama, atau perubahan tidak lazim pada data master yang sering menjadi pintu fraud.

Catatan defensif: AI tidak menggantikan kontrol dasar. Tetap utamakan segregation of duties, prinsip least privilege, persetujuan berjenjang, serta review periodik akses dan perubahan master data.

2) Deteksi: Menangkap Indikasi Fraud Secara Lebih Cepat

Dalam praktik audit, prosedur sering mencakup analitik, penelusuran jurnal, dan pengujian transaksi. AI dapat membantu meningkatkan cakupan dan ketajaman deteksi dengan pendekatan berikut:

  • Anomaly detection pada jurnal dan transaksi: menandai pola yang menyimpang dari baseline (misalnya jam transaksi tidak biasa, pembulatan angka, vendor tertentu, atau kombinasi akun tertentu).
  • Deteksi potensi konflik kepentingan: mengidentifikasi keterkaitan data (contoh: kemiripan alamat, nomor telepon, rekening bank) antara vendor dan karyawan, untuk memicu review.
  • Natural Language Processing (NLP) untuk dokumen pendukung: menilai konsistensi informasi antar dokumen (PO, invoice, penerimaan barang) dan menandai ketidaksesuaian yang perlu diperiksa.
  • Alert triage: AI membantu mengurutkan alert berdasarkan risiko, sehingga tim audit/anti-fraud fokus pada kasus paling kritis.

Prinsip penting: hasil AI harus diperlakukan sebagai indikasi, bukan kesimpulan final. ISA 240 tetap menuntut auditor menilai bukti, melakukan prosedur lanjutan, dan mendokumentasikan pertimbangan profesional.

3) Respons: Dari Alert ke Investigasi yang Tertib

Fraud defense yang kuat tidak berhenti di deteksi. Anda perlu alur respons yang jelas agar alert tidak menjadi “noise”:

  • Playbook investigasi: langkah-langkah standar untuk verifikasi, pengumpulan bukti, dan eskalasi.
  • Chain of custody untuk bukti digital: log, snapshot, dan dokumen harus dijaga integritasnya.
  • Koordinasi lintas fungsi: audit, legal, HR, dan security harus punya titik temu peran dan batasan akses.
  • Post-incident control improvement: temuan harus diterjemahkan menjadi perbaikan kontrol, bukan sekadar penutupan tiket.

Dari perspektif ISA 240, bagian respons juga berkaitan dengan kewajiban komunikasi dan evaluasi dampak salah saji, termasuk apakah ada indikasi override kontrol oleh manajemen.

Kontrol Kunci agar AI “Audit-Ready” dan Selaras ISA 240

AI yang digunakan untuk fraud defense harus memenuhi kebutuhan auditabilitas. Berikut kontrol kunci yang sebaiknya dipersiapkan:

Governance dan Akuntabilitas Model

  • Dokumentasi tujuan model: risiko fraud apa yang ditangani, apa definisi “alert”, dan batasannya.
  • Model ownership: siapa pemilik bisnis, siapa pemilik teknis, siapa yang menyetujui perubahan.
  • Change management: setiap perubahan parameter, data input, atau versi model harus tercatat dan dapat ditelusuri.

Kualitas Data dan Jejak Bukti (Evidence Trail)

  • Data lineage: sumber data, transformasi, dan waktu ekstraksi harus jelas.
  • Kontrol integritas: hashing atau mekanisme serupa untuk memastikan data/log tidak dimodifikasi tanpa jejak.
  • Retensi: periode penyimpanan data dan log disesuaikan dengan kebutuhan audit dan regulasi.

Explainability dan Validasi

  • Alasan alert: simpan faktor pendorong (fitur) yang memicu alert agar reviewer bisa menilai kewajaran.
  • Uji performa: false positive/false negative, serta evaluasi berkala terhadap drift.
  • Human-in-the-loop: keputusan material tetap harus melibatkan penilaian manusia, terutama untuk tindakan yang berdampak pada individu atau laporan keuangan.

Keamanan Sistem AI

  • Akses terbatas ke pipeline data, fitur, dan konfigurasi model.
  • Pemisahan lingkungan (dev/test/prod) dan persetujuan rilis.
  • Monitoring terhadap aktivitas admin, query massal, atau ekstraksi data yang tidak lazim.

Use Case yang Paling Selaras dengan Risiko ISA 240

ISA 240 secara historis menyoroti beberapa area risiko fraud yang sering terjadi. AI dapat mendukung prosedur yang lebih fokus di area berikut:

Risiko Pengakuan Pendapatan (Revenue Recognition)

  • Analitik tren penjualan yang tidak wajar di akhir periode.
  • Deteksi pola kredit memo atau retur yang mencurigakan setelah closing.
  • Korelasi antara diskon ekstrem, perubahan syarat pembayaran, dan approval yang tidak biasa.

Override Kontrol oleh Manajemen

  • Deteksi posting jurnal manual yang tidak lazim (waktu, akun, user, deskripsi).
  • Alert pada perubahan master data sensitif (rekening vendor, alamat, pajak) yang dilakukan oleh role berisiko tinggi.
  • Analitik akses administratif dan aktivitas privileged yang berpotensi mem-bypass kontrol.

Penyalahgunaan Aset (Asset Misappropriation)

  • Deteksi vendor duplikat/serupa dan transaksi berulang dalam nominal mendekati threshold.
  • Analitik pola klaim biaya dan reimburse yang tidak konsisten.
  • Penandaan transaksi procurement yang tidak match dengan penerimaan barang/jasa.

Kesalahan Umum Saat Mengadopsi AI untuk Fraud Defense

Banyak organisasi kecewa karena AI dianggap “tidak bekerja”, padahal masalahnya pada implementasi kontrol dan proses. Hindari jebakan berikut:

  • Menganggap AI sebagai pengganti kontrol, bukan penguat. Kontrol dasar yang lemah akan membuat AI hanya menghasilkan alert yang ramai namun tidak efektif.
  • Data tidak siap: duplikasi, data hilang, definisi field tidak konsisten, atau minim metadata membuat model sulit dipertanggungjawabkan.
  • Tidak ada proses tindak lanjut: alert tanpa ownership, SLA, dan playbook akan menumpuk.
  • Tidak mengukur kinerja: tanpa metrik (precision/recall, waktu investigasi, nilai kerugian yang dicegah), sulit membuktikan nilai bisnis.
  • Model menjadi “kotak hitam”: auditor dan pemilik proses butuh alasan yang bisa dijelaskan untuk setiap red flag.

Langkah Praktis Membangun Program AI yang Mendukung ISA 240

Berikut pendekatan bertahap yang umumnya lebih aman dan lebih mudah diaudit:

  • Mulai dari risk assessment: selaraskan dengan risiko fraud utama (pendapatan, jurnal, vendor, akses privileged).
  • Tetapkan definisi kasus: apa yang dianggap anomali, apa yang dianggap pelanggaran kebijakan, dan apa yang perlu investigasi.
  • Bangun baseline analitik (rule + statistik) sebelum model yang lebih kompleks, agar ada pembanding yang jelas.
  • Integrasikan workflow: ticketing, approval investigasi, dokumentasi bukti, dan pelaporan ke pemangku kepentingan.
  • Siapkan kontrol model: change management, versi model, monitoring drift, dan review berkala.

Dengan cara ini, AI menjadi bagian dari sistem pengendalian internal yang dapat diaudit, bukan eksperimen terpisah yang sulit dipertanggungjawabkan.

FAQ

Apa hubungan ISA 240 dengan cybersecurity?

ISA 240 membahas fraud dalam audit laporan keuangan, tetapi banyak skenario fraud modern melibatkan sistem informasi: penyalahgunaan kredensial, manipulasi data, override kontrol aplikasi, hingga perubahan master data. Karena itu, kontrol cybersecurity (akses, logging, monitoring, change management) sering menjadi bukti penting untuk menilai dan merespons risiko fraud.

Apakah AI boleh dijadikan dasar kesimpulan audit?

AI sebaiknya digunakan sebagai alat bantu analitik dan prioritisasi. Untuk kesimpulan audit, auditor tetap perlu bukti yang memadai dan tepat, serta dokumentasi pertimbangan profesional. Dalam praktik yang baik, output AI menjadi pemicu prosedur lanjutan (inquiry, inspeksi dokumen, rekalkulasi, konfirmasi) bukan satu-satunya dasar kesimpulan.

Bagaimana cara mengurangi false positive agar tim tidak kewalahan?

Gunakan pendekatan bertahap: kalibrasi threshold, lakukan segmentasi (per unit bisnis/negara/proses), tambahkan konteks risiko (misalnya role pengguna, nilai transaksi, sensitivitas akun), dan terapkan mekanisme feedback loop dari hasil investigasi untuk memperbaiki aturan/model. Penting juga memiliki workflow triage dengan SLA dan kategori prioritas.

Data apa yang paling penting untuk AI fraud defense yang selaras ISA 240?

Umumnya: data transaksi (GL, AP, AR), jurnal manual, master data vendor/karyawan, log persetujuan (approval), data akses dan perubahan (audit trail ERP), serta referensi waktu (periode pelaporan). Kunci utamanya bukan hanya banyaknya data, tetapi kualitas, konsistensi definisi, dan keterlacakan (lineage).

Apa indikator bahwa program AI fraud defense sudah “audit-ready”?

Indikator praktisnya: ada dokumentasi tujuan dan batasan model, versi dan perubahan tercatat, data lineage jelas, alasan alert dapat dijelaskan, hasil investigasi terdokumentasi, dan ada metrik kinerja serta review berkala. Dengan itu, output AI dapat dipakai sebagai bagian dari bukti pendukung dalam kerangka kerja yang selaras dengan ISA 240.

AIauditComplianceCybersecuritydata analyticsfraud defenseGRCinternal controlISA 240Risk Management
By