Anda di halaman 1dari 18

Nama

Ellen Fatmalissya

NIM

F1314037

Kelas

A (S1 Transfer Akuntansi)

Mata Kuliah

Sistem Informasi Akuntansi

TUGAS RINGKASAN MATERI KULIAH KE-4


Computer Fraud, Computer Fraud and Abuse Techniques, &
Auditing CBIS

A. ANCAMAN SIA

Ancaman-ancaman atas Sistem Informasi Akuntansi (SIA), meliputi :


1. Kehancuran karena bencana alam dan politik, seperti : kebakaran atau
panas berlebih, banjir, gempa bumi, badai angin, peperangan.
2. Kesalahan pada software dan tidak berfungsinya peralatan, seperti :
kegagalan hardware, kesalahan atau kerusakan pada software, kegagalan
sistem operasi, gangguan dan fluktuasi listrik, kesalahan pengiriman data
yg tidak terdeteksi.
3. Tindakan yang tidak disengaja, seperti : kecelakaan yang disebabkan oleh
kesalahan manusia, kesalahan atau penghapusan karena ketidaktahuan,
hilangnya atau salah letaknya data, kesalahan pada logika sistem, sistem
yang tidak memenuhi kebutuhan perusahaan atau tidak mampu
menangani tugas yang diberikan.
4. Tindakan disengaja yang biasanya disebut sebagai kejahatan komputer,
seperti : sabotase, penipuan melalui komputer, penyalahgunaan aset,
pencurian.
Sabotase merupakan tindakan yang disengaja di mana tujuannya
untuk menghancurkan sistem atau beberapa komponennya.

B. PENIPUAN

1. Definisi Fraud
Kecurangan (fraud) merupakan penipuan (beberapa dan semua sarana)
yang digunakan untuk mendapatkan keuntungan pribadi atau untuk
merugikan orang lain. Dalam hukum pidana, kecurangan adalah kejahatan
atau pelanggaran yang dengan sengaja menipu orang lain dengan
1

maksud untuk merugikan mereka, biasanya untuk memiliki sesuatu/harta


benda atau jasa ataupun keuntungan dengan cara tidak adil/curang.
Kecurangan dapat mahir melalui pemalsuan terhadap barang atau benda.
Dalam hukum pidana secara umum disebut dengan pencurian dengan
penipuan, pencurian dengan tipu daya/muslihat, pencurian dengan
penggelapan dan penipuan atau hal serupa lainnya.
Secara legal, untuk tindakan dikatakan curang maka harus ada :
a. Pernyataan, representasi, atau pengungkapan yang salah;
b. Fakta material, yaitu sesuatu yang menstimulasi seseorang untuk
bertindak;
c. Niat untuk menipu;
d. Kepercayaan yang dapat dijustifikasi (dibenarkan);
e. Pencederaan atau kerugian yang diderita oleh korban.
Dalam hal ini para pelaku penipuan sering kali dianggap sebagai kriminal
kerah putih (white-collar criminals), kejahatan yang dilakukan biasanya
digunakan untuk menipu atau memperdaya, dan biasanya melibatkan
pelanggaran kepercayaan/keyakinan.
Korupsi (Corruption) merupakan perilaku tidak jujur yang sering kali
melibatkan tindakan yang tidak terlegitimasi, tidak bermoral, atau tidak
kompatibel dengan standar etis. Jenis fraud ini yang paling sulit dideteksi
karena menyangkut kerja sama dengan pihak lain seperti suap dan
korupsi, di mana hal ini merupakan jenis yang terbanyak terjadi di negaranegara berkembang yang penegakan hukumnya lemah dan masih kurang
kesadaran akan tata kelola yang baik sehingga faktor integritasnya masih
dipertanyakan. Fraud jenis ini sering kali tidak dapat dideteksi karena para
pihak yang bekerja sama menikmati keuntungan (simbiosis mutualisma).
Termasuk di dalamnya adalah penyalahgunaan wewenang/konflik
kepentingan (conflict of interest), penyuapan (bribery), penerimaan yang
tidak sah/ilegal (illegal gratuities), dan pemerasan secara ekonomi
(economic extortion).
Sedangkan Penipuan investasi merupakan misrepresentasi atau
meninggalkan fakta-fakta untuk mempromosikan investasi yang
menjanjikan laba fantastik dengan hanya sedikit atau bahkan tidak ada
risiko.

2. Klasifikasi/Jenis Penipuan dalam Bisnis


a. Penyalahgunaan/Penyimpangan atas aset (Asset Misappropriation);
Asset misappropriation meliputi penyalahgunaan/pencurian aset atau
harta perusahaan atau pihak lain oleh karyawan. Ini merupakan bentuk
fraud yang paling mudah dideteksi karena sifatnya yang tangible atau
dapat diukur/dihitung (defined value).
2

b. Kecurangan Pelaporan Keuangan


Pernyataan palsu atau salah pernyataan (Fraudulent Statement)
meliputi tindakan yang dilakukan oleh pejabat atau eksekutif suatu
perusahaan atau instansi pemerintah untuk menutupi kondisi
keuangan yang sebenarnya dengan melakukan rekayasa keuangan
(financial engineering) dalam penyajian laporan keuangannya untuk
memperoleh keuntungan atau mungkin dapat dianalogikan dengan
istilah window dressing.
Sedangkan kecurangan pelaporan keuangan (fraudulent financial
reporting) merupakan perilaku yang disengaja atau ceroboh, apaka
dengan tindakan atau kelalaian, yang menghasilkan laporan keuangan
menyesatkan secara material.

3. SAS No. 99 : Tanggung Jawab Auditor Untuk Mendeteksi Penipuan


Statement on Auditing Standards (SAS) No. 99, Consideration of Fraud in
a Financial Statement Audit, mensyaratkan auditor untuk :
a. Memahami penipuan;
b. Mendiskusikan risiko salah saji kecurangan yang material;
c. Memperoleh informasi;
d. Mengidentifikasi, menilai, dan merespons risiko;
e. Mengevaluasi hasil pengujian auditnya;
f. Mendokumentasikan dan mengkomunikasikan temuan;
g. Menggabungkan fokus teknologi.

C. SIAPA YANG MELAKUKAN PENIPUAN DAN MENGAPA

Para peneliti membandingkan karakteristik psikologis dan demografis tiga


kelompok orang :
Sedikit
perbedaan

Kejahatan kerah putih

Masyarakat umum

Kejahatan kekerasan

Perbedaan yang
signifikan

Karakteristik yang umum pada pelaku fraud tersebut, antara lain :


Sebagian besar dari mereka membelanjakan penghasilan tidak sahnya,
bukan menginvestasikan atau menabungnya.

Sekali mereka melakukan kecurangan, sangatlah sulit bagi mereka untuk


berhenti.
Mereka biasanya mulai bergantung pada penghasilan ekstra tersebut.
Para pelaku computer fraud (kecurangan komputer) cenderung berumur
lebih muda dan memiliki lebih banyak pengalaman dan keahlian
komputer.
Beberapa pelaku computer fraud lebih termotivasi oleh rasa penasaran
dan tantangan untuk mengalahkan sistem.
Pelaku lainnya melakukan computer fraud untuk mendapatkan status
yang lebih tinggi di antara komunitas pemakai komputer.
Segitiga Penipuan
Tiga kondisi yang biasanya melatarbelakangi terjadinya fraud :

Rasionalisasi
1. Tekanan atau motif
Dorongan atau motivasi seseorang untuk melakukan penipuan.
Tekanan-tekanan keuangan, meliputi : gaya hidup melebihi
kemampuan, tingginya hutang pribadi, pendapatan tidak cukup,
rendahnya tingkat kredit, besarnya kerugian keuangan, besarnya
hutang judi.
Tekanan-tekanan yang berhubungan dengan pekerjaan, meliputi : gaji
yang rendah, tidak adanya pengakuan atas kinerja, ketidakpuasan atas
pekerjaan, rasa takut akan kehilangan pekerjaan, rencana bonus yang
terlalu agresif.
Tekanan-tekanan lainnya, seperti : tantangan, tekanan keluarga/rekan
kerja, ketidak-stabilan emosi, kebutuhan akan kekuasaan, harga diri
atau ambisi yang berlebihan.
Tekanan yang dapat menyebabkan penipuan/penyalahgunaan oleh
karyawan yaitu terkait dengan keuangan, emosional, dan gaya hidup.
Sedangkan tekanan yang dapat menyebabkan penipuan laporan
keuanhan yaitu berkaitan dengan karakteristik manajemen, kondisi
industri, dan keuangan.
4

2. Peluang/Kesempatan
Peluang
adalah
kondisi
atau
situasi
yang
memungkinkan
seseorang/organisasi untuk melakukan dan menutupi suatu tindakan yang
tidak jujur, serta mengubahnya menjadi keuntungan pribadi. Peluang yang
paling umum menimbulkan fraud, seringnya berasal dari kegagalan
perusahaan untuk menjalankan sistem pengendalian internalnya.
Pada proses fraud terdapat tiga langkah/karakteristik, yaitu:
(1)pencurian sesuatu yang berharga (2)konversi ke uang tunai
(3)penyembunyian.
Untuk menyembunyikan pencurian aset perusahaan, dapat dilakukan
dengan cara :
a. membebankan item yang dicuri ke akun beban/rekening biaya (contoh:
biaya entertaint);
b. menggunakan skema lapping
Dalam skema gali lubang tutup lubang (lapping), pelaku mencuri uang
yang diterima dari pelanggan A untuk membayar piutangnya. Dana
yang diterima di kemudian hari dari pelanggan B akan digunakan untuk
menutup saldo pelanggan A, dst.
c. menggunakan skema cek kiting
Di dalam skema perputaran (kitting), pelaku menutupi pencuriannya
dengan cara menciptakan uang melalui transfer uang antar bank.
Pelaku fraud menyetorkan sebuah cek dari bank A ke bank B, lalu
menarik uang.
Ketika ada dana di bank A tidak cukup untuk menutup cek, maka
pelaku memasukkan cek dari bank C ke bank A sebelum ceknya ke
bank B dikliring.
Ketika bank C juga tidak memiliki dana yang cukup, cek (uang)
harus dimasukkan ke bank C sebelum ceknya ke bank A dikliring.
Skema ini akan terus berputar dengan proses pembuatan cek dan
penyerahan cek, selama dibutuhkan untuk menghindari cek-cek
tersebut ditolak.

3. Rasionalisasi
Kebanyakan pelaku fraud mempunyai alasan atau rasionalisasi yang
membuat mereka merasa perilaku yang ilegal tersebut sebagai
sesuatu yang wajar (pembenaran perilaku ilegal), antara lain meliputi :

Pelaku hanya meminjam aset yang dicuri;


5

Pelaku tidak melukai seseorang, hanya sistem computer (merasa


tindakan yang dilakukan tidak serius);

Pelaku meyakini sebab/alasan yang dia miliki itu baik;

Pelaku meyakini bahwa orang lain juga melakukannya;

Tidak pernah seorangpun yang akan mengetahui.

D. PENIPUAN KOMPUTER

Departemen Kehakiman Amerika Serikat mendefinisikan Computer Fraud


(Kecurangan Komputer) sebagai tindak ilegal apapun yang membutuhkan
pengetahuan teknologi komputer untuk melakukan tindakan awal fraud,
penyelidikan, atau pelaksanaannya.
Beberapa contoh kecurangan komputer itu, antara lain :

Pencurian, penggunaan, akses, modifikasi, penyalinan, dan perusakan


software, hardware, atau data secara tidak sah;

Pencurian uang dengan mengubah catatan komputer atau pencurian


waktu komputer;

Penggunaan atau konpirasi untuk menggunakan sumber daya komputer


dalam melakukan tindak pidana;

Keinginan untuk secara ilegal mendapatkan informasi atau properti


berwujud melalui penggunaan komputer;

1. Meningkatnya Penipuan Komputer


Organisasi-organisasi yang melacak computer fraud memperkirakan
bahwa 80% usaha di Amerika Serikat telah menjadi korban paling tidak
satu insiden computer fraud. Tidak ada seorangpun yang mengetahui
dengan pasti bagaimana perusahaan kalah menghadapi computer fraud.
Beberapa faktor yang mempengaruhi peningkatan penipuan komputer
antara lain :

Tidak setiap orang setuju tentang hal-hal yang termasuk computer


fraud.

Banyak computer fraud yang tidak terdeteksi.

Sebagian besar jaringan memiliki tingkat keamanan yang rendah.

Banyak halaman dalam internet yang memberikan instruksi per


langkah tentang bagaimana memulai kejahatan dan melakukan
penyalahgunaan komputer.
6

Penegakan hukum tidak mampu mengikuti pertumbuhan jumlah


computer fraud.

2. Klasifikasi Penipuan Komputer

a. Penipuan input
Mengganti /memalsukan input komputer merupakan cara paling
sederhana dan umum untuk melakukan penipuan komputer.
Keterampilan yang dibutuhkan sedikit, pelaku hanya perlu memahami
cara kerja sistem operasi, sehingga dapat menutupi jejaknya.
b. Penipuan prosesor
Penipuan pada tahap proses merupakan penggunaan sistem yang tidak
sah, termasuk pencurian waktu dan layanan komputer.
c. Penipuan instruksi komputer
Penipuan instruksi komputer termasuk merusak software perusahaan,
menyalin, menggunakan, dan mengembangkan software secara ilegal
serta untuk aktivitas ilegal.
d. Penipuan data
Penipuan data meliputi tindakan menggunakan, menyalin, mencari,
atau membahayakan data perusahaan secara ilegal.
e. Penipuan output
Jika tidak diamankan secara benar, tampilan/cetakan output dapat
dicuri, disalin, atau disalahgunakan. Pelaku penipuan menggunakan
komputer untuk memalsukan output yang terlihat otentik, misalnya cek
pembayaran.

E. MENCEGAH DAN MENDETEKSI PENIPUAN DAN PENYALAHGUNAAN

Ukuran bahwa potensial fraud dapat menurun, dipengaruhi beberapa faktor


antara lain :
1. Membuat Fraud Lebih Jarang atau Tidak Terjadi
7

Menciptakan budaya organisasi yang menekankan integritas dan


komitmen untuk nilai etis dan kompetensi;

Mengadopsi struktur organisasi, filosofi manajemen, gaya operasional,


dan risiko yang meminimalkan kemungkinan penipuan;

Membutuhkan pengawasan komite audit yang aktif, terlibat, dan


independen.

Menggunakan praktik mempekerjakan dan memecat pegawai yang


semestinya;

Mengatur para pegawai yang merasa tidak puas;

Melatih para pegawai mengenai standar keamanan dan pencegahan


terhadap fraud;

Mengelola dan menelusuri lisensi software;

Meminta menandatangani perjanjian kerahasiaan kerja.

2. Meningkatkan Kesulitan Dalam Melakukan Fraud

Mengembangkan sistem pengendalian internal yang kuat;

Memisahkan tugas;

Meminta pegawai mengambil cuti dan melakukan rotasi pekerjaan;

Membatasi akses ke perlengkapan komputer dan file data;

Mengenkripsi data dan program.

3. Memperbaiki Metode Pendeteksian

Mengamankan saluran telepon dan sistem dari virus;

Mengendalikan data yang sensitive;

Mengendalikan komputer laptop;

Mengawasi informasi hacker.

4. Mengurangi kerugian akibat Fraud

Tetap menggunakan jaminan asuransi yang memadai;

Menyimpan salinan cadangan program dan file data pada lokasi luar
kantor yang aman;

Mengembangkan rencana kontinjensi dalam hal kejadian fraud;

Menggunakan software untuk mengawasi kegiatan sistem dan untuk


memulihkan diri dari akibat fraud.

5. Menuntut dan Memenjarakan Pelaku Fraud


Sebagian besar fraud tidak dilaporkan dan tidak dituntut untuk beberapa
alasan berikut :

Banyak kasus fraud yang belum terdeteksi;

Perusahaan segan melaporkan kejahatan komputer.


8

Kendala/tantangan dalam menghadapai Fraud antara lain :


Petugas penegak hukum dan pengadilan sibuk sekali dengan kejahatan
kekerasan, sehingga mereka hanya punya waktu sedikit untuk kasus
Fraud (Kecurangan) yang tidak mengandung kekerasan fisik.
Fraud adalah hal yang sulit, berbiaya mahal, dan memakan waktu lama
untuk diselidiki dan dituntut.
Banyak petugas penegak hukum, pengacara dan hakim kurang ahli dalam
komputer yang dibutuhkan untuk menyelidiki, menuntut, dan
mengevaluasi kejahatan komputer.

F. SERANGAN DAN PENYALAHGUNAAN KOMPUTER

Beberapa Teknik Kecurangan dan Penyalahgunaan Komputer (Computer


Fraud and Abuse Techniques), antara lain :
1. Menjebol (cracking)
2. Mengacak data (data diddling) mengubah data sebelum atau selama
entri ke dalam sebuah sistem komputer untuk menghapus, mengubah,
menambah, atau memperbarui data sistem kunci yang salah.
3. Kebocoran data (data leakage) menyalin data perusahaan tanpa ijin,
sering kali tanpa meninggalkan indikasi bahwa ia telah disalin.
4. Podslurping menggunakan sebuah perangkat kecil dengan kapasitas
penyimpanan seperti iPod atau flash drive, untuk mengunduh data tanpa
ijin dari sebuah komputer.
5. Serangan penolakan pelayanan (denial of service attack - DoS)
serangan komputer dimana penyerang mengirimkan sejumlah bom e-mail
atau permintaan halaman web, biasanya dari alamat salah yang diperoleh
secara acak, agar server e-mail atau web server yaitu penyedia layanan
internet kelebihan beban dan ditutup.
6. Spamming secara bersamaan mengirimkan pesan yang tak diminta
kepada banyak orang pada saat bersamaan, biasanya dalam bentuk
sebuah upaya untuk menjual sesuatu.
9

Serangan kamus (dictionary attack) / serangan panen direktori


menggunakan software khusus untuk menebak alamat e-mail perusahaan
dan mengirimkan pesan e-mail kosong, jika pesan tidak kembali maka
biasanya alamat e-mail tersebut valid sehingga akan ditambahkan pada
daftar alamat e-mail pelaku spamming.
7. Splog spam blog yang diciptakan untuk meningkatkan situs Google
PageRank, yang merupakan intensitas sebuah halaman situs yang
direferensikan oleh halaman situs lainnya.
8. Spoofing mengubah beberapa bagian dari komunikasi elektronik untuk
membuat
seolah-olah
orang
lain
yang
mengirimkannya
agar
mendapatkan kepercayaan dari penerima.
Beberapa bentuk spoofing antara lain : e-mail spoofing, caller ID spoofing,
IP address spoofing, Address Resolution Protocol (ARP) spoofing, SMS
spoofing, web-page spoofing, dan DNS spoofing.
9. Zero-day attack / zero-hour attack serangan di antara waktu
kerentanan
sebuah
software
baru
ditemukan
dan
merilisnya
sembarangan, serta saat sebuah pengembang software merilis patch
(kode yang dirilis pengembang software) untuk memperbaiki masalah.
10.
Cross-site scripting (XSS) kerentanan di halaman situs dinamis
yang memungkinkan penyerang menerobos mekanisme keamanan
browser dan memerintahkan korbannya untuk mengeksekusi kode,
mengira bahwa itu berasal dari situs yang dikehendaki.
11.
Serangan limpahan buffer (buffer overflow attack) saat jumlah
data yang dimasukkan ke dalam sebuah program lebih banyak daripada
jumlah dari input buffer. Limpahan input menimpa instruksi komputer
berikutnya, menyebabkan sistem rusak.
12.
Serangan injeksi (insersi) SQL (SQL injection/insertion attack)
menyisipkan query SQL berbahaya pada input sehingga query tersebut
lolos dan dijalankan oleh sebuah program aplikasi.
13.
Serangan man in the middle (MITM attack) hacker menempatkan
dirinya di antara seorang klien dan host untuk memotong komunikasi di
antara mereka.
10

14.
Masquerading / impersonation mengakses ke sebuah sistem
dengan berpura-pura menjadi pengguna yang sah, pelaku perlu tahu ID
dan password pengguna yang sah.
15.
Pemalsuan dan Ancaman E-mail (e-mail forgery and threats)
ancaman dikirim ke korban melalui e-mail, biasanya perlu beberapa
tindakan follow-up dan mengakibatkan kerugian besar bagi korban.
16.
Penipuan lelang internet menggunakan situs lelang internet untuk
menipu orang lain.
17.
Penipuan pump-and-pump internet menggunakan internet untuk
menaikkan harga saham kemudian menjualnya.
18.
Penipuan klik memanipulasi jumlah waktu iklan yang diklik untuk
meningkatkan tagihan periklanan.
19.
Penjelasan situs (web cramming) menawarkan situs gratis selama
sebulan, mengembangkan situs tak berharga, dan membebankan tagihan
telepon dari klien yang menerima tawaran selama berbulan-bulan.

20.
Pembajakan software (software piracy)
mendistribusikan software berhak cipta tanpa ijin.

menyalin

atau

21.
Melanggar masuk (hacking) akses, modifikasi, atau penggunaan
yang tidak sah atas perangkat elektronik atau beberapa elemen dalam
sistem komputer.
22.
Informasi yang salah di internet - Terorisme Internet
menggunakan internet untuk mengganggu perdagangan elektronik serta
membahayakan komputer dan komunikasi.
23.
Misinformasi internet menggunakan internet untuk menyebarkan
informasi palsu atau menyesatkan.
24.
Menyusup (piggybacking) menyadap jalur komunikasi dan
mengunci secara elektronik pengguna yang sah sehingga tanpa sadar
membawa pelaku masuk ke sistem; penggunaan diam-diam atas wifi
11

tetangga; seseorang yang tidak berwenang mengikuti seseorang yang


berwenang memasuki pintu yang aman, menembus pengendalian
keamanan fisik.
25.
Penjebolan Password (password cracking) saat penyusup
memasuki pertahanan sebuah sistem, mencuri file yang berisikan kata
sandi valid, mendekripsinya, dan menggunakannya untk mengakses
program, file, dan data.
26.
War dialing memrogram sebuah komputer untuk menghubungi
ribuan sambungan telepon untk mencari dial-up modem lines, yaitu
dengan menerobos ke dalam PC yang tersambung dengan modem
kemudian mengakses jaringan yang terhubung.
War driving : berkendara mencari
perusahaan yang tidak terlindungi.

jaringan

nirkabel

rumah

atau

War rocketing : menggunakan roket untuk melepaskan titik akses nirkabel


yang terhubung pada parasut untuk mendeteksi jaringan nirkabel tidak
aman.
27.
Phreaking penyerangan sistem telepon untuk mendapatkan akses
sambungan telepon gratis, menggunakan sambungan telepon untuk
mengirimkan malware, mengakses, mencari, sera menghancurkan data.
28.
Teknik salami (salami technique) pencurian sebagian kecil uang
dari beberapa rekening yang berbeda.
29.
Pembulatan ke bawah (round-down) memerintahkan komputer
untuk membulatkan seluruh perhitungan bunga menjadi dua tempat
desimal. Pecahan dari sen yang dibulatkan pada setiap perhitungan
dimasukkan ke dalam rekening pemrogram.
30.
Spionase ekonomi (economic espionage) mencari informasi,
rahasia dagang, dan kekayaan intelektual.
31.
Pemerasan dunia maya (cyber-extortion) ancaman untuk
membahayakan sebuah perusahaan atau seseorang jika sejumlah uang
tertentu tidak dibayarkan.

12

32.
Cyber-bullying menggunakan teknologi komputer untuk
mendukung perilaku disengaja, berulang, dan bermusuhan yang
menyiksa, mengancam, mengusik, menghina, mempermalukan, atau
membahayakan orang lain.
33.
Sexting tukar-menukar pesan teks dan gambar yang terangterangan bersifat seksual dengan orang lain, biasanya dengan perantara
telepon.
34.
Pembajakan Software (hijacking) pengambilan kendali atas
komputer orang lain untuk melakuakn aktivitas terlarang tanpa
sepengetahuan pengguna komputer yang sebenarnya.
Botnet (robot network) : sebuah jaringan komputer terbajak yang dan
berbahaya yang digunakan untuk menyerang sistem atau menyebarkan
malware.
Zombie : sebuah komputer yang dibajak, biasanya merupakan bagian dari
botnet yang dipergunakan untuk melakukan berbagai serangan internet.
Bot herder : seseorang yang menciptakan botnet dengan memasangkan
software pada pc yang merespon instruksi elektronik milik bot herder.

G. REKAYASA SOSIAL

Rekayasa sosial (social engineering) merupakan teknik atau trik psikologis


yang digunakan agar orang-orang memenuhi keinginan pelaku dalam rangka
untuk mendapatkan akses fisik atau logis ke sebuah bangunan, komputer,
server, atau jaringan. Hal ini biasanya untuk mendapatkan informasi yang
dibutuhkan untuk memperoleh data rahasia.

Tujuh sifat manusia yang dimanfaatkan agar seseorang bersedia


mengungkapkan atau melakukan tindakan tertentu, menurut Cisco, yaitu :
belas kasihan, keserakahan, daya tarik, kemalasan, kepercayaan, urgensi,
dan kesombongan.

Beberapa isu dan teknik rekayasa sosial, antara lain :


1. Pencurian identitas

4. Phishing

2. Pretexting

5. Phishing suara (vishing)

3. Posing

6. Carding
13

7. Pharming
8. Evil twin

13.
Loop Lebanon (Lebanese
looping)

9. Typosquating

14.

Skimming

10.

Tabnapping

15.

Chipping

11.

Pencarian (scavenging)

12.

Shoulder surfing

16.
Menguping
(eavesdropping)

17.
18.
H. MALWARE
19.
20.
Malware adalah segala software yang digunakan untuk tujuan yang
membahayakan. Sebagian besar malware merupakan hasil pemasangan
atau penyutikan oleh penyerang dari jarak jauh. Malware disebarkan dengan
beberapa pendekatan termasuk akses bersama file, lampiran e-mail, dan
kerentanan akses jarak jauh.
21.

Beberapa teknik malware yaitu :

1. Spyware

10.

Pintu jebakan (trap door)

2. Adware

11.

Kuda troya (trojan horse)

3. Torpedo software

12.

Virus

4. Scareware

13.

Cacing (worm)

5. Ransomware

14.

Packet sniffer

6. Keylogger

15.

Program steganografi

7. Bom waktu logika (logic time


bomb)

16.

Rootkit

17.

Bluesnarfing

8. Menyamar atau Meniru

18.

Bluebugging

9. Serangan cepat (superzapping)

14

19.
20.
I. PENGAUDITAN SISTEM INFORMASI BERBASIS KOMPUTER
21.
22.
Pengauditan adalah proses sistematik atas pemerolehan dan
pengevaluasian bukti mengenai asersi-asersi tentang tindakan dan kejadian
ekonomi dalam rangka menentukan seberapa baik kesesuaiannya dengan
kriteria yang ditetapkan.
23.
Pengauditan internal merupakan aktivitas penjaminan dan
konsultasi yang didesain untuk menambah nilai dan menigkatkan efektivitas
dan efisiensi serta mencapai tujuan organisasi.
24.
Audit keuangan adalah pemeriksaan keterandalan dan integritas
dari transaksi-transaksi keuangan, catatan akuntans, dan laporan keuangan.
25.
Audit sistem informasi (internal control) merupakan audit atas
pengendalian umum dan aplikasi atas sebuah sistem informasi untuk menilai
kepatuhannya dengan kebijakan dan prosedur pengendalian internal serta
efektivitas dalam pengamanan aset.
26.
27.

Jenis-jenis audit:

1. Financial audit, memeriksa keterandalan dan integritas dari transaksi


keuangan, catatan akuntansi, dan laporan keuangan.
2. Operational audit, terkonsen pada efisiensi dan efektivitas dengan semua
sumberdaya yang digunakan untuk melaksanakan tugas, cakupanya
meliputi kesesuaian praktik dan prosedur dengan peraturan yang
ditetapkan.
3. Compliance audit, terkonsentrasi pada cakupan undang-undang,
peraturan pemerintah, pengendalian dan kewajiban badan eksternal lain
yang telah diikut.
4. Project manajement and change control audit, (dulu dikenal sebagai suatu
pengembangan sistem audit) terkonsentrasi oleh efesiensi dan efektifitas
pada berbagai tahap pengembangan sistem siklus kehidupan yang
sedang diselenggarakan.
5. Internal control audit, terkonsentrasi pada evaluasi struktur pengendalian
internal
Financial audit terkonsentrasi pada kewajaran laporan keuangan yang
menunjukan posisi keuangan, aliran kas dan hasil kinerja perusahaan.
Termasuk di dalamnya audit sistem informasi, untuk memeriksa
pengendalian atas SIA.
6. Fraud audit adalah nonrecurring audit (audit investigatif) yang
dilaksanakan untuk mengumpulkan bukti untuk menentukan apakah

sedang terjadi, telah terjadi atau akan terjadi kecurangan.


penyelesaian hal sesuai dengan pemberian tanggungjawab.
28.
29.
J. SIFAT PENGAUDITAN
30.
31.

Tinjauan menyeluruh proses audit :

1. Perencanaan audit
a. Menetapkan lingkup dan tujuan
b. Mengatur tim audit
c. Memeriksa hasil audit sebelumnya
d. Mengidentifikasi faktor-faktor risiko
e. Menyiapkan program audit
32.
2. Pengumpulan bukti audit
a. Observasi atas aktivitas operasi
b. Pemeriksaan atas dokumentasi
c. Diskusi dengan para pegawai
d. Kuesioner
e. Pemeriksaan fisik atas aset
f. Konfirmasi melalui pihak ketiga
g. Mengulang prosedur yang ada
h. Vouching atas dokumen sumber
i. Tinjauan analitis
j. Penarikan sampel audit
33.
3. Pengevaluasian bukti
a. Menilai kualitas pengendalian internal
b. Menilai keterandalan informasi
c. Menilai kinerja pengoperasian
d. Mempertimbangan kebutuhan akan bukti tambahan
e. Mempertimbangkan faktor-faktor risiko
f. Mempertimbangkan faktor-faktor materialitas
g. Mendokumentasikan temuan-temuan audit

Dan

34.
4. Pengkomunikasian hasil audit
a. Memformulasikan kesimpulan audit
b. Mengembangkan rekomendasi bagi manajemen
c. Menyiapkan laporan audit
d. Menyajikan hasil audit ke manajemen
35.
36.
K. AUDIT SISTEM INFORMASI
37.
38.
Tujuan audit sistem informasi adalah untuk memeriksa dan
mengevaluasi pengendalian internal yang melindungi sistem, yaitu meliputi
hal-hal sebagai berikut :
1. Keamanan sistem informasi menyeluruh melindungi peralatan
komputer, program, komunikasi, dan data-data dari akses, modifikasi,
atau penghancuran yang tidak diotorosasi.
2. Pengembangan dan akuisisi program sesuai otorosasi umum dan
spesifikasi manajemen.
3. Modifikasi program sesuai otorosasi dan persetujuan manajemen.
4. Pemrosesan komputer proses transaksi, file, laporan, catatan, dll tepat
dan lengkap.
5. Data sumber penanganan data yang tidak tepat/ilegal berdasarkan
kebijakan manajerial.
6. File data tepat, lengkap, rahasia.
39.
40.
L. PERANGKAT LUNAK AUDIT
41.
42.
Computer-assisted audit techniques (CAATs) merupakan software
audit yang menggunakan spesifikasi yang disediakan oleh auditor untk
menghasilakna sebuah program untuk menjalankan fungsi audit, sehingga
akan mengotomastiskan/ menyederhanakan proses audit. Perangkat ini
sering disebut Generalized audit software (GAS), contoh software nya antara
lain Audit Control Language (ACL), dan Interactive Data Extraction and
Analysis (IDEA).
43.
CAATs sangat sesuai untuk memeriksa file data yang besar dalam
mengidentifikasi catatan yang memerlukan pengawasan audit lebih jauh.

Misal pada perusahaan yang memiliki proses rumit, operasi terdistribusi,


volume transaksi tinggi, atau memiliki banyak jenis aplikasi dan sistem.
44.
45.

Contoh penggunaan CAATs antara lain :

Meminta file data untuk memuat catatan yang memenuhi kriteria


tertentu;

Membuat,
memperbarui,
menggabungkan file;

Merangkum, menyortir, dan menyaring data.

membandingkan,

mengunduh,

dan

46.
M. AUDIT OPERASIONAL SIA
47.
48.
Teknik dan prosedur yang digunakan dalam audit operasional
serupa dengan audit atas sistem informasi dan laporan keuangan, perbedaan
mendasar hanya pada lingkup audit.
Audit sistem informasi ditujukan pada pengendalian internal;
Audit keuangan ditujukan atas output sistem;
Audit operasional meliputi seluruh aspek atas manajemen sistem, dan
tujuannya termasuk dalam mengevaluasi efektivitas, efisiensi, dan
pencapaian tujuan.
49.
50.

Tahap audit operasional :

1. Perencanaan audit : lingkup dan tujuan audit ditetapkan, persiapan


tinjauan sistem, persiapan program audit tentatif;
2. Pengumpulan bukti : memeriksa kebijakan dan dokumentasi operasi,
konfirmasi prosedur-prosedur, observasi fungsi dan aktivitas operasi,
memeriksa rencana serta laporan keuangan dan operasional, menguji
ketepatan informasi operasi, menguji pengendalian;
3. Pengevaluasian bukti : mengukur sistem terhadap salah satu sistem yang
mengikuti prinsip-prinsip manajemen yang terbaik;
4. Mendokumentasikan temuan-temuan dan kesimpulannya;
5. Mengkomunikasikan hasil audit kepada manajemen.