Reviewer : Dr. Vero D., SE.,MSi., Ak.,CA.,CPA

Sumber-Sumber Kecurangan Eksternal

Definisi Kecurangan Eksternal: Secara umum, kecurangan eksternal didefinisikan sebagai aktivitas tidak sah, pencurian, atau kecurangan yang dilakukan oleh pihak ketiga diluar institusi yang menjadi subjek tindakan tersebut. Artinya, pelaku bukanlah orang dalam perusahaan, melainkan orang atau organisasi dari luar yang menargetkan perusahaan.

Sumber Pelaku: Terdapat tiga sumber utama kecurangan eksternal yang dihadapi perusahaan:

• Pelanggan (customers): Pihak yang membeli produk atau layanan perusahaan bisa melakukan penipuan terhadap perusahaan. Contoh: melakukan pembayaran dengan cek palsu atau kartu kredit curian.

• Vendor/Pemasok (vendors): Perusahaan rekanan atau pemasok barang/jasa bisa melakukan kecurangan dalam hubungan bisnis, misalnya penagihan fiktif atau pengaturan tender secara curang.

• Pihak Ketiga Tidak Terkait (unrelated third parties): Pihak di luar pelanggan dan vendor, yang tidak memiliki hubungan bisnis langsung, namun menargetkan perusahaan secara ilegal. Ini mencakup kriminal siber, penipu eksternal, atau bahkan kompetitor yang melakukan spionase.

Ketiga kategori di atas merupakan sumber potensi fraud eksternal. Dengan memahami sumbernya, perusahaan dapat mengidentifikasi area risiko dan modus operandi yang mungkin digunakan oleh masing-masing kategori pelaku.

Mengapa Perusahaan Harus Peduli terhadap Kecurangan Eksternal

Kecurangan eksternal sering kali tidak kalah merugikan dibanding fraud internal. Mengapa perusahaan perlu memberi perhatian serius? Berikut beberapa alasannya:

• Tidak ada yang kebal: “No organization is immune.” Tidak ada organisasi yang sepenuhnya kebal dari ancaman fraud eksternal. Baik perusahaan besar maupun UKM dapat menjadi korban. Contohnya, bisnis kecil rentan terhadap penipuan cek karena mungkin kurang sumber daya untuk memverifikasi pembayaran, sedangkan perusahaan besar sering menjadi target pencurian data atau spionase karena asetnya lebih bernilai.

• Interaksi dengan pihak luar tak terhindarkan: “It is impossible to conduct business without interacting with outsiders.” Setiap perusahaan pasti harus berurusan dengan pelanggan, pemasok, atau publik eksternal. Artinya, selalu ada titik kontak di mana pihak luar bisa memanfaatkan celah untuk melakukan kecurangan. Misalnya, perusahaan ritel tidak mungkin hanya berbisnis dengan orang dalam; mereka harus menerima pembayaran dari pelanggan luar, yang berpotensi menyalahgunakan metode pembayaran.

• Eksposur ke publik: “All businesses have exposure to the public.” Semua bisnis memiliki keterbukaan tertentu kepada publik, baik melalui kehadiran online, toko fisik, maupun iklan. Eksposur ini berarti perusahaan terlihat dan dapat diakses oleh pihak luar, termasuk pelaku kejahatan. Sebagai contoh, data publik tentang bisnis (alamat, nama eksekutif, dsb.) bisa dimanfaatkan oleh penipu untuk melakukan social engineering.

Selain poin-poin di atas, kerugian nyata dari fraud eksternal bisa sangat besar, mencakup kerugian finansial langsung, biaya investigasi, penurunan kepercayaan pelanggan, hingga kerusakan reputasi jangka panjang. Sebagai ilustrasi, penipuan kartu kredit merupakan ancaman global yang terus meningkat, dengan kerugian dunia diproyeksikan mencapai $43 miliar pada tahun 2026. Angka ini menunjukkan betapa seriusnya ancaman fraud eksternal bagi pelaku industri di seluruh dunia, sehingga perusahaan perlu peduli dan proaktif mencegahnya.

Jenis Organisasi yang Paling Rentan terhadap Kecurangan Eksternal

Pada prinsipnya, semua organisasi perlu waspada terhadap fraud eksternal. Namun, ada tipe-tipe organisasi tertentu yang harus lebih waspada karena karakternya menjadikannya sasaran empuk:

• Perusahaan dengan data kepemilikan/proprietary yang besar: Organisasi yang menyimpan banyak data rahasia atau berharga – misalnya rahasia dagang, basis data pelanggan, informasi keuangan sensitif – sangat menarik bagi pelaku eksternal. Data proprietary yang bernilai tinggi memicu upaya pencurian atau akses tanpa izin, baik melalui peretasan maupun spionase. (Contoh: perusahaan teknologi dengan source code atau algoritma eksklusif).

• Perusahaan yang menyimpan banyak data pembayaran pelanggan: Bisnis yang mengelola volume besar data kartu kredit atau informasi pembayaran (seperti bank, e-commerce, fintech, retail) menghadapi risiko tinggi. Pelaku kriminal mengincar data kartu kredit pelanggan untuk disalahgunakan. Kebocoran data seperti ini bisa berakibat pencurian identitas atau transaksi ilegal dalam skala masif.

• Perusahaan dengan fasilitas manufaktur internal: Organisasi yang memiliki pabrik atau fasilitas produksi sendiri juga berisiko. Alasannya, mereka biasanya bergantung pada jaringan pemasok untuk bahan baku atau suku cadang – rantai pasok ini dapat menjadi pintu masuk kecurangan (misal, pemasok mengirim barang tidak sesuai spesifikasi). Selain itu, proses produksi internal bisa menjadi target sabotase atau pencurian teknologi oleh pihak luar.

• Perusahaan dengan kegiatan R&D (research & development) signifikan: Pelaku spionase korporasi sangat tertarik pada organisasi yang giat melakukan penelitian dan pengembangan. Inovasi produk, formula, atau teknologi baru yang dikembangkan merupakan aset intelektual yang berharga. Kompetitor atau agen asing mungkin mencoba mencuri informasi R&D untuk memperoleh keunggulan tanpa harus berinvestasi sendiri (contohnya kasus pencurian formula produk farmasi atau teknologi semikonduktor oleh pesaing).

Organisasi yang memiliki satu atau lebih karakteristik di atas sebaiknya menerapkan pengamanan ekstra. Namun, perlu ditekankan bahwa bahkan entitas yang tidak masuk kategori tersebut tetap tidak boleh lengah terhadap fraud eksternal, karena modusnya sangat beragam dan terus berkembang.

Ancaman dari Pelanggan (Customer Fraud Threats)

Pelanggan – yang semestinya menjadi sumber pendapatan – kadang justru dapat menjadi sumber kerugian bila melakukan kecurangan terhadap perusahaan. Ancaman fraud dari pelanggan dapat bervariasi di setiap industri (misalnya: klaim asuransi palsu, penipuan retur barang di ritel, dsb. yang sifatnya khusus per bidang usaha). Namun, terdapat dua bentuk kecurangan oleh pelanggan yang umum terjadi di banyak industri, yaitu penipuan dengan cek dan penipuan kartu kredit. Berikut penjelasannya:

• Penipuan Cek (Check Fraud): Pelanggan melakukan kecurangan terkait pembayaran dengan cek. Modus yang sering ditemui antara lain cek palsu atau cek kosong. Dengan kemajuan teknologi, cek mudah dipalsukan atau dicetak ulang oleh oknum tertentu. Perusahaan kecil sangat rentan karena keterbatasan waktu dan keahlian karyawan untuk memeriksa keaslian setiap cek yang diterima. Pelaku ahli pemalsuan cek bahkan memiliki julukan tersendiri, yaitu “paperhanger” (ahli penipu cek). Salah satu skema penipuan cek yang kerap dilaporkan dalam transaksi e-commerce adalah scam cek refund: Pelanggan pura-pura membeli barang dari penjual, kemudian mengirimkan cek (biasanya dengan nilai melebihi harga barang). Penjual yang tidak curiga akan mencairkan cek tersebut dan mengembalikan kelebihan dana kepada “pembeli”. Ternyata cek tersebut tidak valid atau tidak ada dananya, sehingga bank menolaknya setelah beberapa hari, dan si pelaku sudah berhasil membawa lari uang refund tersebut. Perusahaan penjual rugi karena barang sudah dikirim dan uang refund sudah diberikan, sementara cek asli tak pernah cair.
  Catatan: Meskipun penggunaan cek secara global menurun, metode ini masih dipakai di beberapa tempat. Faktanya, Amerika Serikat merupakan salah satu negara yang masih menggunakan cek pribadi dalam jumlah signifikan, sehingga penipuan cek masih marak terjadi di sana.

• Penipuan Kartu Kredit (Credit Card Fraud): Pelanggan melakukan penyalahgunaan kartu kredit atau informasi kartu untuk bertransaksi secara tidak sah. Bentuknya bisa berupa penggunaan tanpa izin atas kartu kredit yang hilang/dicuri, pencurian nomor kartu untuk digunakan berbelanja, hingga pemalsuan kartu kredit fisik. Dalam banyak kasus modern, data kartu kredit dicuri melalui internet – misalnya peretasan database toko online atau pemasangan skimmer di mesin EDC. Salah satu kasus terkenal adalah Albert Gonzalez, yang memimpin pencurian puluhan juta nomor kartu kredit dengan meretas sistem jaringan ritel di AS. Data kartu curian semacam ini kemudian dijual di pasar gelap dan digunakan untuk belanja ilegal. Bagi perusahaan pedagang, transaksi dengan kartu curian akan berujung pada chargeback (tagihan balik) dari bank, sehingga perusahaan kehilangan hasil penjualan sekaligus barang yang sudah terlanjur diserahkan. Penipuan kartu kredit merupakan masalah global: laporan intelijen memproyeksikan kerugian akibat kejahatan kartu kredit mencapai $43 miliar pada 2026, berdampak pada berbagai sektor mulai perbankan, retail, hingga hospitality. Angka ini menunjukkan bahwa setiap perusahaan yang memproses pembayaran kartu perlu waspada terhadap modus-modus ini.

Untuk melindungi diri dari ancaman pelanggan, perusahaan perlu menerapkan kontrol seperti verifikasi identitas pembayar, pelatihan kasir untuk mendeteksi tanda-tanda kartu curang, serta kebijakan tegas (misal menolak cek pribadi jika dirasa berisiko). Meskipun demikian, awareness akan modus penipuan terbaru juga penting mengingat penipu selalu mencari celah baru.

Ancaman dari Vendor/Pemasok

Banyak organisasi menjalin hubungan erat dengan vendor atau pemasok untuk pasokan barang dan jasa. Kemitraan ini penting demi efisiensi dan fokus bisnis – perusahaan tidak bisa (dan tidak perlu) melakukan semua sendiri, serta vendor bisa punya keahlian khusus atau menawarkan harga lebih murah. Namun, perlu disadari bahwa adanya hubungan kontraktual formal dengan vendor tidak otomatis mencegah terjadinya kecurangan. Bahkan dengan kontrak sekalipun, pemasok masih dapat menemukan cara merugikan perusahaan jika tidak ada pengawasan memadai. Berikut beberapa skema ancaman fraud yang umum dilakukan oleh vendor:

• Kolusi antar kontraktor (collusion among contractors): Terjadi ketika beberapa vendor atau kontraktor bersekongkol mengatur hasil pengadaan/tender demi keuntungan mereka. Tiga skema kolusi yang dikenal luas:

  • Complementary bids – kompetitor sengaja memasukkan penawaran tinggi atau syarat tidak kompetitif agar pasti kalah, sehingga kontrak dimenangkan oleh rekan kolusinya. Penawaran semacam ini hanya kedok agar seolah-olah ada persaingan (penawaran pendamping saja).

  • Bid rotation – dua pihak atau lebih bergiliran untuk menjadi pemenang dalam serangkaian tender. Mereka mungkin sepakat secara rahasia bahwa pada proyek A yang menang perusahaan X, proyek B perusahaan Y, lalu bergantian lagi, sehingga setiap pihak mendapat jatah pekerjaan secara adil di antara mereka (namun merugikan prinsip persaingan wajar).

  • Phantom bids – adanya peserta tender fiktif yang sebenarnya perusahaan boneka ciptaan para pelaku. Tujuannya menciptakan ilusi seakan-akan banyak penawar, padahal sebenarnya hanya untuk memenuhi syarat formal atau mengatrol harga. Phantom bids juga digunakan untuk melancarkan skema bid rotation/complimentary di atas (perusahaan boneka mengajukan bid tinggi agar kalah, dsb.).

• Penyimpangan Pelaksanaan Kontrak (contract performance schemes): Pada tahap pelaksanaan proyek atau pemenuhan pesanan, vendor dapat melakukan kecurangan yang mengurangi kualitas atau meningkatkan biaya demi keuntungan mereka:

  • Substitusi produk: Pemasok mengganti bahan atau komponen yang disepakati dengan material berkualitas lebih rendah, atau bahkan barang bekas/rekondisi, namun tetap menagih seolah barang baru berkualitas tinggi. Misalnya, memasok suku cadang mesin yang sudah digunakan ulang atau bahan baku mutu rendah, yang dapat berdampak buruk pada produk akhir perusahaan.

  • Cost mischarging: Vendor membebankan biaya-biaya yang tidak semestinya ke dalam tagihan proyek. Ini bisa berupa biaya yang sebenarnya tidak boleh ditagihkan menurut kontrak, biaya yang tidak wajar (mark-up berlebihan), atau biaya di luar lingkup pekerjaan yang dialokasikan secara curang. Contoh: kontraktor proyek pembangunan menagih biaya alat atau tenaga kerja untuk proyek lain ke dalam proyek perusahaan korban.

Selain kedua kategori utama di atas, ancaman dari vendor juga dapat berupa penyuapan dan kickback (suap kepada pegawai internal agar memenangkan kontrak atau menyetujui invoice fiktif). Namun, jenis penipuan tersebut melibatkan kolusi dengan orang dalam, sehingga sering diklasifikasikan sebagai kombinasi fraud internal-eksternal (korupsi). Fokus pembahasan ini adalah skema yang murni berasal dari tindakan si vendor terhadap perusahaan.

Menghadapi ancaman vendor: Perusahaan perlu menerapkan manajemen vendor yang kuat. Audit vendor secara berkala dan uji tuntas (due diligence) saat pemilihan rekanan bisa mengungkap tanda kecurangan lebih awal. Beberapa red flags kecurangan vendor misalnya alamat atau rekening bank vendor ternyata sama dengan milik karyawan internal, alamat vendor tidak jelas, atau terdapat sangat banyak change order (perubahan pesanan) yang merubah nilai kontrak. Dengan pengawasan dan kontrol yang tepat, risiko dari pemasok dapat diminimalisir.

Ancaman dari Pihak Ketiga Tidak Terkait

Selain pelanggan dan pemasok yang memang berinteraksi langsung, perusahaan juga harus waspada terhadap pihak-pihak eksternal lain yang tidak terikat hubungan bisnis namun tetap menargetkan perusahaan. Berbeda dengan pelanggan/vendor yang dipilih sendiri oleh perusahaan, pihak ketiga tidak terkait ini biasanya adalah aktor kriminal yang memilih perusahaan sebagai target karena melihat peluang keuntungan. Motif mereka beragam, bisa pencurian uang, pencurian data, sabotase, pemerasan, dan lain-lain. Jumlah potensi ancaman dari kelompok ini sangat banyak; namun dua ancaman dominan di era modern adalah kejahatan komputer (computer fraud) dan spionase korporasi.

Kejahatan Komputer (Computer Fraud)

Dalam konteks fraud eksternal, kejahatan komputer mengacu pada segala bentuk penipuan atau tindak kejahatan yang melibatkan sistem komputer atau jaringan perusahaan. Hampir semua perusahaan saat ini menggunakan komputer dan terhubung ke Internet, sehingga nyaris seluruh bisnis rentan terhadap serangan siber. Bagi pemeriksa kecurangan (fraud examiner), kasus penipuan komputer sangat menantang karena biasanya tidak meninggalkan jejak kertas (paper trail) dan menuntut pemahaman teknologi yang digunakan pelaku. Seringkali diperlukan bantuan spesialis forensik IT untuk menelusuri insiden ini.

Beberapa contoh dan modus operandi kejahatan komputer yang mengancam perusahaan antara lain:

• Hacking (peretasan): Akses tanpa izin ke sistem komputer perusahaan untuk mencuri atau memanipulasi informasi sensitif. Pelaku dapat menggunakan berbagai metode untuk menembus sistem, misalnya:

  • Password cracking – mencoba membobol kata sandi (secara manual maupun dengan software).

  • Social engineering – memanipulasi orang (misal karyawan) agar membocorkan kredensial atau melakukan aksi tertentu. Contohnya phishing email yang meyakinkan karyawan mengisi password di situs palsu.

  • Phishing – mengelabui korban melalui komunikasi elektronik (email, SMS) agar menyerahkan data login atau data keuangan dengan tampilan seolah resmi.

  • Wire tapping – menyadap jaringan komunikasi data untuk mencuri informasi (misal menyadap kabel jaringan atau Wi-Fi).
    Tujuan hacking bisa bermacam-macam, umumnya mencuri data rahasia (misal: data pelanggan, nomor kartu kredit, rahasia dagang) atau menyalahgunakan sistem (misal: menjadikan server perusahaan sebagai sarana menyerang pihak lain).

• Pembajakan dan perusakan data: Selain mencuri data, pihak ketiga dapat melakukan manipulasi atau penghancuran data di sistem perusahaan. Data manipulation adalah mengubah data (atau program) secara tidak sah untuk keuntungan pelaku atau merugikan korban. Misalnya, pelaku berhasil masuk ke sistem akuntansi dan mengubah angka saldo atau transaksi (financial statement manipulation oleh hacker). Sedangkan data destruction berarti menghapus atau merusak data penting sehingga menghambat operasional perusahaan – contohnya serangan ransomware, di mana data perusahaan dienkripsi/dikunci oleh malware dan baru dibuka setelah korban membayar tebusan. Kedua jenis serangan ini bisa melumpuhkan bisnis dan menimbulkan kerugian finansial besar maupun hilangnya kepercayaan pelanggan.

Kasus kejahatan komputer sangat marak dewasa ini. Banyak perusahaan menjadi korban peretasan massal; misalnya, pencurian data kartu kredit pelanggan seperti yang terjadi pada beberapa retail besar. Terdapat pula penipuan online seperti Business Email Compromise (BEC) di mana penyerang mengelabui perusahaan agar mentransfer uang ke rekening mereka dengan menyamar sebagai vendor atau eksekutif. Semua ini merupakan ancaman eksternal serius yang membutuhkan pengamanan siber kuat. Perusahaan disarankan memiliki kebijakan keamanan formal, memasang firewall, sistem deteksi intrusi, enkripsi data, dan langkah-langkah lain untuk mencegah serta mendeteksi penetrasi tidak sah. Singkatnya, investasi dalam keamanan siber merupakan keharusan untuk mereduksi risiko fraud dari pihak ketiga di ranah digital.

Spionase Korporasi (Corporate Espionage)

Spionase korporasi adalah praktik memata-matai atau mencuri informasi rahasia perusahaan lain oleh pihak luar, biasanya kompetitor atau agen yang berkepentingan. Tujuannya adalah mendapatkan informasi bernilai strategis yang tidak tersedia untuk umum, guna memberi keuntungan kompetitif bagi pelaku. Secara sederhana, ini adalah “mencuri rahasia dagang” perusahaan lain. Mengapa pelaku melakukan spionase? Dalam dunia bisnis, banyak informasi sebenarnya bisa diperoleh secara legal melalui sumber publik (laporan tahunan, publikasi, situs web, dsb.). Namun, data mentah publik hanyalah langkah awal dalam intelijen bisnis; informasi yang paling bernilai biasanya bersifat konfidensial dan dijaga ketat oleh perusahaan. Inilah yang mendorong sebagian pihak nekat melakukan spionase: untuk mendapatkan rahasia dagang, rencana strategis, formula, data teknis, atau informasi internal lain yang tidak bisa didapatkan secara terbuka.

Target favorit para mata-mata perusahaan meliputi berbagai bidang dalam organisasi:

• Penelitian dan Pengembangan (R&D): Produk atau teknologi baru yang masih dikembangkan – misal desain prototype, formula kimia, teknologi manufaktur – sangat diincar karena dapat memberikan lompatan keuntungan bagi kompetitor yang mendapatkannya tanpa harus melakukan R&D sendiri.

• Pemasaran dan Strategi Bisnis: Informasi tentang strategi pemasaran, rencana ekspansi pasar, penetapan harga, atau basis data pelanggan bernilai tinggi jika bocor ke pesaing.

• Produksi/Manufaktur: Detail proses produksi, pemasok kunci, metode efisiensi, hingga perangkat khusus yang digunakan di pabrik bisa menjadi sasaran (terutama jika berkaitan dengan proprietary process yang membuat perusahaan unggul).

• Sumber Daya Manusia: Data SDM mungkin terkesan kurang vital, tetapi informasi tentang gaji, struktur organisasi, hingga daftar pakar kunci di perusahaan bisa dimanfaatkan pesaing untuk headhunting atau mengguncang stabilitas tim manajemen perusahaan target.

Metode spionase yang dipakai juga bervariasi, mulai dari cara konvensional hingga teknologi tinggi. Beberapa metode umum antara lain:

• Menyusup sebagai karyawan atau kontraktor: Pelaku bisa mencoba memperoleh pekerjaan (atau magang) di perusahaan target, atau menyuap orang dalam, agar mendapat akses ke informasi rahasia. Misalnya, agen pesaing melamar kerja di divisi R&D target untuk mencuri data formulasi produk.

• Surveillance/Pengintaian: Termasuk memata-matai gerak-gerik karyawan kunci (misal mengikuti pertemuan, merekam percakapan), pemasangan alat penyadap, hingga memanfaatkan spyware digital untuk mengintip komunikasi internal.

• Dumpster diving (mengais sampah): Teknik kuno tapi masih efektif, yaitu mencari dokumen berharga yang dibuang sembarangan. Pelaku memeriksa tempat sampah kantor untuk menemukan kertas berisi informasi sensitif (misal catatan strategi, draft kontrak, daftar harga, dsb.). Hal ini terdengar sederhana, namun jika perusahaan tidak menghancurkan dokumen sebelum membuang, rahasia penting bisa didapat dari tempat sampah.

Spionase korporasi sering kali sulit terdeteksi sampai kerugian terjadi, karena bentuknya bisa tampak seperti aktivitas normal (pegawainya legal, atau orang luar hanya terlihat “berminat” padahal memata-matai). Dampak dari spionase dapat sangat merugikan: hilangnya keunggulan kompetitif, kegagalan peluncuran produk (karena pesaing sudah meniru), hingga kerugian finansial miliaran akibat pencurian kekayaan intelektual.

Perlindungan terhadap spionase: Perusahaan harus mengambil langkah-langkah preventif untuk melindungi aset informasinya. Beberapa upaya yang direkomendasikan antara lain:

• Keamanan fisik data: Simpan dokumen sensitif dalam lemari terkunci; gunakan shredder (mesin penghancur kertas) untuk menghancurkan berkas rahasia sebelum dibuang; pastikan area pembuangan sampah perusahaan terlindungi (tidak mudah diakses orang luar). Pengiriman dan penerimaan surat penting sebaiknya melalui alamat yang aman dengan kotak surat terkunci.

• Kontrol akses dan pengawasan: Terapkan kebijakan bahwa setiap pengunjung atau pihak luar di fasilitas perusahaan harus terverifikasi dan didampingi. Petugas keamanan perlu memastikan tidak ada orang yang berkeliaran bebas di area terlarang. Selain itu, batasi akses karyawan hanya pada data yang mereka butuhkan (prinsip least privilege), dan awasi area rawan seperti server room atau arsip penting.

• Perjanjian kerahasiaan: Minta karyawan, kontraktor, atau mitra bisnis menandatangani Non-Disclosure Agreement (NDA) yang melarang mereka membocorkan informasi sensitif. NDA memberikan landasan hukum kuat jika suatu saat terjadi kebocoran oleh individu tersebut, sekaligus mengingatkan mereka akan tanggung jawab menjaga kerahasiaan. Evaluasi juga kebijakan internal tentang kerahasiaan: misalnya melarang dokumen rahasia diletakkan terbuka di meja kerja atau dibawa pulang tanpa izin.

Dengan langkah-langkah di atas, risiko spionase dapat ditekan. Intinya, kesadaran keamanan harus menjadi budaya perusahaan, mengingat ancaman bisa datang dari mana saja – bahkan dari seseorang yang tampak sebagai tamu atau pegawai baru, padahal berniat mencuri informasi.

Kesimpulan

Fenomena kecurangan eksternal mencakup beragam skema yang dilakukan oleh pihak-pihak di luar organisasi untuk merugikan perusahaan. Sumber ancaman ini utamanya berasal dari pelanggan, vendor, maupun pelaku eksternal lainnya seperti hacker atau kompetitor yang melakukan spionase. Perusahaan harus peduli karena tidak ada yang sepenuhnya kebal dan interaksi dengan pihak luar pasti terjadi dalam kegiatan bisnis. Terlebih lagi, dampak finansial dan reputasi dari fraud eksternal bisa sangat signifikan. Organisasi yang memiliki aset data besar, memproses banyak transaksi pembayaran, atau bergerak di bidang berteknologi tinggi, perlu ekstra waspada karena cenderung menjadi target utama.

Setiap kategori ancaman eksternal memiliki modus operandi khas: pelanggan dapat melakukan penipuan pembayaran (cek palsu, kartu kredit curian); vendor dapat melakukan kecurangan dalam pengadaan dan pelaksanaan kontrak (kolusi tender, suplai barang inferior, overcharging); sedangkan pihak ketiga tidak terkait mencakup kejahatan siber (peretasan, malware) dan spionase perusahaan untuk mencuri informasi rahasia. Dengan pemahaman mendalam atas skema-skema ini, perusahaan dapat mengenali tanda peringatan sejak dini dan menerapkan pengendalian yang tepat.

Akhir kata, integritas dan keamanan bisnis tidak hanya bergantung pada pengawasan orang dalam, tetapi juga pada kemampuan mengelola risiko dari orang luar. Melalui kombinasi kebijakan pencegahan, edukasi karyawan, pengamanan teknologi, dan budaya waspada, perusahaan dapat mengurangi peluang para pelaku fraud eksternal dalam menjalankan aksinya. Tidak peduli seberapa kokoh tembok internal suatu organisasi, perhatian pada ancaman eksternal adalah kunci pertahanan yang utuh.

Referensi:

1. Joseph T. Wells, Principles of Fraud Examination, Bab 13 “External Fraud Schemes”, hlm. 80–120 (materi terintegrasi dalam penjelasan di atas).

2. Flashpoint (2024). Credit Card Fraud in 2024: A Complete Guide to Prevention. (statistik kerugian global kartu kredit).

3. Recorded Future Insikt Group (2025). Annual Payment Fraud Intelligence Report: 2024. (insight tren fraud pembayaran, termasuk pencurian cek dan data kartu).

Kasus

Skema Kecurangan Eksternal (External Fraud Schemes)

Pendahuluan

Kecurangan eksternal adalah bentuk kecurangan yang dilakukan oleh pihak dari luar organisasi. Berbeda dengan kecurangan internal (yang dilakukan oleh karyawan atau orang dalam), pelaku kecurangan eksternal adalah individu atau entitas pihak ketiga di luar perusahaan yang menjadi target penipuan. Contohnya bisa berupa pelanggan, pemasok (vendor), kompetitor, atau kriminal siber yang tidak memiliki hubungan resmi dengan perusahaan. Tulisan ini akan menjelaskan secara mendetail berbagai aspek skema kecurangan eksternal, mencakup sumber-sumber kecurangan eksternal, alasan mengapa perusahaan harus peduli, jenis-jenis organisasi yang rentan, serta uraian tentang ancaman kecurangan yang berasal dari pelanggan, vendor, pihak ketiga tidak terkait, hingga spionase korporasi (corporate espionage). Pembahasan ini mengintegrasikan pemahaman umum dengan konteks tambahan dari literatur (Joseph T. Wells, Bab 13 halaman 80–120) untuk memberikan gambaran komprehensif.

Sumber-Sumber Kecurangan Eksternal

Kecurangan eksternal didefinisikan sebagai aktivitas tidak sah, pencurian, atau kecurangan yang dilakukan oleh pihak ketiga diluar institusi yang menjadi subjek tindakan tersebut. Artinya, pelaku bukanlah orang dalam perusahaan, melainkan orang atau organisasi dari luar yang menargetkan perusahaan.

Sumber Pelaku:

- Pelanggan (customers): melakukan penipuan terhadap perusahaan, misal menggunakan cek palsu atau kartu kredit curian.
- Vendor/Pemasok (vendors): melakukan penipuan melalui pengadaan atau pelaksanaan proyek.
- Pihak Ketiga Tidak Terkait (unrelated third parties): mencakup kriminal siber atau penipu eksternal.

Mengapa Perusahaan Harus Peduli terhadap Kecurangan Eksternal

Perusahaan harus peduli karena:
- Tidak ada yang kebal terhadap external fraud.
- Tidak mungkin melakukan bisnis tanpa berinteraksi dengan pihak luar.
- Semua bisnis terekspos kepada publik.

Jenis Organisasi yang Paling Rentan terhadap Kecurangan Eksternal

Organisasi yang rentan:
- Memiliki data kepemilikan besar.
- Menyimpan data pembayaran pelanggan.
- Memiliki fasilitas manufaktur.
- Melakukan R&D intensif.

Ancaman dari Pelanggan (Customer Fraud Threats)

Jenis umum:
1. Check Fraud (penipuan cek)
2. Credit Card Fraud (penipuan kartu kredit)

Ancaman dari Vendor/Pemasok

Skema umum:
- Kolusi tender (complementary bids, bid rotation, phantom bids)
- Penyimpangan pelaksanaan kontrak (produk inferior, cost mischarging)

Ancaman dari Pihak Ketiga Tidak Terkait

Jenis ancaman:
- Kejahatan komputer (hacking, phishing, data destruction)
- Corporate espionage (penyusupan informasi, pencurian data strategis)

Spionase Korporasi (Corporate Espionage)

Target umum:
- R&D
- Marketing
- Produksi
- SDM
Metode: menyamar sebagai pegawai, surveillance, dumpster diving
Solusi: proteksi data fisik, kontrol akses, NDA

Kesimpulan

Ancaman external fraud nyata dan harus diwaspadai oleh setiap perusahaan. Dengan kombinasi kontrol internal, teknologi, dan awareness, perusahaan dapat menurunkan risiko fraud dari pihak luar.

Contoh Kasus dan Solusi di Indonesia

1. Fraud oleh Pelanggan (Customer Fraud)

Kasus: Penipuan cek kosong oleh pembeli rumah ke developer di Bekasi. Solusi: verifikasi cek ke bank, gunakan escrow, tunda serah terima hingga dana cair.

2. Fraud oleh Vendor

Kasus: Kolusi tender proyek jalan di Jawa Timur. Solusi: e-procurement, audit vendor, larangan konflik kepentingan.

3. Fraud oleh Pihak Ketiga Tidak Terkait

Kasus: Serangan ransomware RSUD Yogyakarta. Solusi: backup data, firewall, pelatihan staf.

4. Corporate Espionage

Kasus: Karyawan startup membawa kabur desain produk dan bergabung dengan pesaing. Solusi: pembatasan akses file, NDA, pelacakan aktivitas, exit clearance.

Penutup

Kasus di Indonesia menunjukkan bahwa fraud eksternal nyata. Perusahaan harus punya sistem kontrol dan budaya waspada. Awareness SDM dan teknologi adalah kunci.