A.

ANCAMAN SIA

Ancaman-ancaman atas Sistem Informasi Akuntansi (SIA), meliputi :

1. Kehancuran karena bencana alam dan politik, seperti : kebakaran atau panas berlebih, banjir,
gempa bumi, badai angin, peperangan.
2. Kesalahan pada software dan tidak berfungsinya peralatan, seperti : kegagalan hardware,
kesalahan atau kerusakan pada software, kegagalan sistem operasi, gangguan dan fluktuasi
listrik, kesalahan pengiriman data yg tidak terdeteksi.
3. Tindakan yang tidak disengaja, seperti : kecelakaan yang disebabkan oleh kesalahan manusia,
kesalahan atau penghapusan karena ketidaktahuan, hilangnya atau salah letaknya data,
kesalahan pada logika sistem, sistem yang tidak memenuhi kebutuhan perusahaan atau tidak
mampu menangani tugas yang diberikan.
4. Tindakan disengaja yang biasanya disebut sebagai kejahatan komputer, seperti : sabotase,
penipuan melalui komputer, penyalahgunaan aset, pencurian.
 Sabotase merupakan tindakan yang disengaja di mana tujuannya untuk menghancurkan
sistem atau beberapa komponennya.

B. PENIPUAN

1. Definisi Fraud
Kecurangan (fraud) merupakan penipuan (beberapa dan semua sarana) yang
digunakan untuk mendapatkan keuntungan pribadi atau untuk merugikan orang lain.
Dalam hukum pidana, kecurangan adalah kejahatan atau pelanggaran yang dengan
sengaja menipu orang lain dengan maksud untuk merugikan mereka, biasanya untuk
memiliki sesuatu/harta benda atau jasa ataupun keuntungan dengan cara tidak
adil/curang. Kecurangan dapat mahir melalui pemalsuan terhadap barang atau benda.
Dalam hukum pidana secara umum disebut dengan “pencurian dengan penipuan”,
“pencurian dengan tipu daya/muslihat”, “pencurian dengan penggelapan dan
penipuan” atau hal serupa lainnya.
Secara legal, untuk tindakan dikatakan curang maka harus ada :
a. Pernyataan, representasi, atau pengungkapan yang salah;
b. Fakta material, yaitu sesuatu yang menstimulasi seseorang untuk bertindak;
c. Niat untuk menipu;
d. Kepercayaan yang dapat dijustifikasi (dibenarkan);
e. Pencederaan atau kerugian yang diderita oleh korban.
 Dalam hal ini para pelaku penipuan sering kali dianggap sebagai kriminal kerah putih (white-
collar criminals), kejahatan yang dilakukan biasanya digunakan untuk menipu atau
memperdaya, dan biasanya melibatkan pelanggaran kepercayaan/keyakinan.
Korupsi (Corruption) merupakan perilaku tidak jujur yang sering kali melibatkan tindakan yang
tidak terlegitimasi, tidak bermoral, atau tidak kompatibel dengan standar etis. Jenis fraud ini
yang paling sulit dideteksi karena menyangkut kerja sama dengan pihak lain seperti suap dan
korupsi, di mana hal ini merupakan jenis yang terbanyak terjadi di negara-negara berkembang
yang penegakan hukumnya lemah dan masih kurang kesadaran akan tata kelola yang baik
sehingga faktor integritasnya masih dipertanyakan. Fraud jenis ini sering kali tidak dapat
dideteksi karena para pihak yang bekerja sama menikmati keuntungan (simbiosis
mutualisma). Termasuk di dalamnya adalah penyalahgunaan wewenang/konflik kepentingan
(conflict of interest), penyuapan (bribery), penerimaan yang tidak sah/ilegal (illegal
gratuities), dan pemerasan secara ekonomi (economic extortion).
Sedangkan Penipuan investasi merupakan misrepresentasi atau meninggalkan fakta-fakta
untuk mempromosikan investasi yang menjanjikan laba fantastik dengan hanya sedikit atau
bahkan tidak ada risiko.

2. Klasifikasi/Jenis Penipuan dalam Bisnis

a. Penyalahgunaan/Penyimpangan atas aset (Asset Misappropriation);
Asset misappropriation meliputi penyalahgunaan/pencurian aset atau harta perusahaan
atau pihak lain oleh karyawan. Ini merupakan bentuk fraud yang paling mudah dideteksi
karena sifatnya yang tangible atau dapat diukur/dihitung (defined value).
b. Kecurangan Pelaporan Keuangan
Pernyataan palsu atau salah pernyataan (Fraudulent Statement) meliputi tindakan yang
dilakukan oleh pejabat atau eksekutif suatu perusahaan atau instansi pemerintah untuk
menutupi kondisi keuangan yang sebenarnya dengan melakukan rekayasa keuangan
(financial engineering) dalam penyajian laporan keuangannya untuk memperoleh
keuntungan atau mungkin dapat dianalogikan dengan istilah window dressing.
Sedangkan kecurangan pelaporan keuangan (fraudulent financial reporting) merupakan
perilaku yang disengaja atau ceroboh, apaka dengan tindakan atau kelalaian, yang
menghasilkan laporan keuangan menyesatkan secara material.

3. SAS No. 99 : Tanggung Jawab Auditor Untuk Mendeteksi Penipuan

Statement on Auditing Standards (SAS) No. 99, Consideration of Fraud in a Financial
Statement Audit, mensyaratkan auditor untuk :
a. Memahami penipuan;
b. Mendiskusikan risiko salah saji kecurangan yang material;
c. Memperoleh informasi;
 d. Mengidentifikasi, menilai, dan merespons risiko;
e. Mengevaluasi hasil pengujian auditnya;
f. Mendokumentasikan dan mengkomunikasikan temuan;
g. Menggabungkan fokus teknologi.

C. SIAPA YANG MELAKUKAN PENIPUAN DAN MENGAPA

Para peneliti membandingkan karakteristik psikologis dan demografis tiga kelompok orang :
• Kejahatan kerah putih
Sedikit perbedaan
• Masyarakat umum Perbedaan yang signifikan

• Kejahatan kekerasan

Karakteristik yang umum pada pelaku fraud tersebut, antara lain :

 Sebagian besar dari mereka membelanjakan penghasilan tidak sahnya, bukan
menginvestasikan atau menabungnya.
 Sekali mereka melakukan kecurangan, sangatlah sulit bagi mereka untuk berhenti.
 Mereka biasanya mulai bergantung pada penghasilan ekstra tersebut.
 Para pelaku computer fraud (kecurangan komputer) cenderung berumur lebih muda dan
memiliki lebih banyak pengalaman dan keahlian komputer.
 Beberapa pelaku computer fraud lebih termotivasi oleh rasa penasaran dan tantangan untuk
“mengalahkan sistem”.
 Pelaku lainnya melakukan computer fraud untuk mendapatkan status yang lebih tinggi di
antara komunitas pemakai komputer.

Segitiga Penipuan
Tiga kondisi yang biasanya melatarbelakangi terjadinya fraud :

Rasionalisasi
1. Tekanan atau motif
Dorongan atau motivasi seseorang untuk melakukan penipuan.
 Tekanan-tekanan keuangan, meliputi : gaya hidup melebihi kemampuan, tingginya hutang
pribadi, pendapatan tidak cukup, rendahnya tingkat kredit, besarnya kerugian keuangan,
besarnya hutang judi.
 Tekanan-tekanan yang berhubungan dengan pekerjaan, meliputi : gaji yang rendah, tidak
adanya pengakuan atas kinerja, ketidakpuasan atas pekerjaan, rasa takut akan kehilangan
pekerjaan, rencana bonus yang terlalu agresif.
 Tekanan-tekanan lainnya, seperti : tantangan, tekanan keluarga/rekan kerja, ketidak-
stabilan emosi, kebutuhan akan kekuasaan, harga diri atau ambisi yang berlebihan.
Tekanan yang dapat menyebabkan penipuan/penyalahgunaan oleh karyawan yaitu terkait
dengan keuangan, emosional, dan gaya hidup. Sedangkan tekanan yang dapat menyebabkan
penipuan laporan keuanhan yaitu berkaitan dengan karakteristik manajemen, kondisi
industri, dan keuangan.

2. Peluang/Kesempatan
Peluang adalah kondisi atau situasi yang memungkinkan seseorang/organisasi untuk
melakukan dan menutupi suatu tindakan yang tidak jujur, serta mengubahnya menjadi
keuntungan pribadi. Peluang yang paling umum menimbulkan fraud, seringnya berasal dari
kegagalan perusahaan untuk menjalankan sistem pengendalian internalnya.
Pada proses fraud terdapat tiga langkah/karakteristik, yaitu:
(1)pencurian sesuatu yang berharga  (2)konversi ke uang tunai  (3)penyembunyian.
Untuk menyembunyikan pencurian aset perusahaan, dapat dilakukan dengan cara :
a. membebankan item yang dicuri ke akun beban/rekening biaya (contoh: biaya entertaint);
b. menggunakan skema lapping
Dalam skema gali lubang tutup lubang (lapping), pelaku mencuri uang yang diterima dari
pelanggan A untuk membayar piutangnya. Dana yang diterima di kemudian hari dari
pelanggan B akan digunakan untuk menutup saldo pelanggan A, dst.
c. menggunakan skema cek kiting
 Di dalam skema perputaran (kitting), pelaku menutupi pencuriannya dengan cara
menciptakan uang melalui transfer uang antar bank.
 Pelaku fraud menyetorkan sebuah cek dari bank A ke bank B, lalu menarik uang.
 Ketika ada dana di bank A tidak cukup untuk menutup cek, maka pelaku memasukkan
cek dari bank C ke bank A sebelum ceknya ke bank B dikliring.
 Ketika bank C juga tidak memiliki dana yang cukup, cek (uang) harus dimasukkan ke
bank C sebelum ceknya ke bank A dikliring.
  Skema ini akan terus berputar dengan proses pembuatan cek dan penyerahan cek,
selama dibutuhkan untuk menghindari cek-cek tersebut ditolak.

3. Rasionalisasi
Kebanyakan pelaku fraud mempunyai alasan atau rasionalisasi yang membuat mereka
merasa perilaku yang ilegal tersebut sebagai sesuatu yang wajar (pembenaran perilaku
ilegal), antara lain meliputi :
 Pelaku hanya meminjam aset yang dicuri;
 Pelaku tidak melukai seseorang, hanya sistem computer (merasa tindakan yang
dilakukan tidak serius);
 Pelaku meyakini sebab/alasan yang dia miliki itu baik;
 Pelaku meyakini bahwa orang lain juga melakukannya;
 Tidak pernah seorangpun yang akan mengetahui.

D. PENIPUAN KOMPUTER

Departemen Kehakiman Amerika Serikat mendefinisikan Computer Fraud (Kecurangan

Komputer) sebagai tindak ilegal apapun yang membutuhkan pengetahuan teknologi komputer
untuk melakukan tindakan awal fraud, penyelidikan, atau pelaksanaannya.
Beberapa contoh kecurangan komputer itu, antara lain :
 Pencurian, penggunaan, akses, modifikasi, penyalinan, dan perusakan software, hardware,
atau data secara tidak sah;
 Pencurian uang dengan mengubah catatan komputer atau pencurian waktu komputer;
 Penggunaan atau konpirasi untuk menggunakan sumber daya komputer dalam melakukan
tindak pidana;
 Keinginan untuk secara ilegal mendapatkan informasi atau properti berwujud melalui
penggunaan komputer;

1. Meningkatnya Penipuan Komputer

Organisasi-organisasi yang melacak computer fraud memperkirakan bahwa 80% usaha di
Amerika Serikat telah menjadi korban paling tidak satu insiden computer fraud. Tidak ada
seorangpun yang mengetahui dengan pasti bagaimana perusahaan kalah menghadapi
computer fraud.
Beberapa faktor yang mempengaruhi peningkatan penipuan komputer antara lain :
  Tidak setiap orang setuju tentang hal-hal yang termasuk computer fraud.
 Banyak computer fraud yang tidak terdeteksi.
 Sebagian besar jaringan memiliki tingkat keamanan yang rendah.
 Banyak halaman dalam internet yang memberikan instruksi per langkah tentang
bagaimana memulai kejahatan dan melakukan penyalahgunaan komputer.
 Penegakan hukum tidak mampu mengikuti pertumbuhan jumlah computer fraud.

2. Klasifikasi Penipuan Komputer

Fraud
Fraud Fraud Fraud
a. Penipuan input
Fraud
Mengganti /memalsukan input komputer merupakan cara paling sederhana dan umum
untuk melakukan penipuan komputer. Keterampilan yang dibutuhkan sedikit, pelaku
hanya perlu memahami cara kerja sistem operasi, sehingga dapat menutupi jejaknya.
b. Penipuan prosesor
Penipuan pada tahap proses merupakan penggunaan sistem yang tidak sah, termasuk
pencurian waktu dan layanan komputer.
c. Penipuan instruksi komputer
Penipuan instruksi komputer termasuk merusak software perusahaan, menyalin,
menggunakan, dan mengembangkan software secara ilegal serta untuk aktivitas ilegal.
d. Penipuan data
Penipuan data meliputi tindakan menggunakan, menyalin, mencari, atau membahayakan
data perusahaan secara ilegal.
e. Penipuan output
Jika tidak diamankan secara benar, tampilan/cetakan output dapat dicuri, disalin, atau
disalahgunakan. Pelaku penipuan menggunakan komputer untuk memalsukan output
yang terlihat otentik, misalnya cek pembayaran.

E. MENCEGAH DAN MENDETEKSI PENIPUAN DAN PENYALAHGUNAAN

Ukuran bahwa potensial fraud dapat menurun, dipengaruhi beberapa faktor antara lain :
1. Membuat Fraud Lebih Jarang atau Tidak Terjadi
• Menciptakan budaya organisasi yang menekankan integritas dan komitmen untuk nilai
etis dan kompetensi;
• Mengadopsi struktur organisasi, filosofi manajemen, gaya operasional, dan risiko yang
meminimalkan kemungkinan penipuan;
• Membutuhkan pengawasan komite audit yang aktif, terlibat, dan independen.
• Menggunakan praktik mempekerjakan dan memecat pegawai yang semestinya;
• Mengatur para pegawai yang merasa tidak puas;
• Melatih para pegawai mengenai standar keamanan dan pencegahan terhadap fraud;
• Mengelola dan menelusuri lisensi software;
• Meminta menandatangani perjanjian kerahasiaan kerja.
2. Meningkatkan Kesulitan Dalam Melakukan Fraud
• Mengembangkan sistem pengendalian internal yang kuat;
• Memisahkan tugas;
• Meminta pegawai mengambil cuti dan melakukan rotasi pekerjaan;
• Membatasi akses ke perlengkapan komputer dan file data;
• Mengenkripsi data dan program.
3. Memperbaiki Metode Pendeteksian
• Mengamankan saluran telepon dan sistem dari virus;
• Mengendalikan data yang sensitive;
• Mengendalikan komputer laptop;
• Mengawasi informasi hacker.
4. Mengurangi kerugian akibat Fraud
• Tetap menggunakan jaminan asuransi yang memadai;
• Menyimpan salinan cadangan program dan file data pada lokasi luar kantor yang aman;
• Mengembangkan rencana kontinjensi dalam hal kejadian fraud;
• Menggunakan software untuk mengawasi kegiatan sistem dan untuk memulihkan diri dari
akibat fraud.
5. Menuntut dan Memenjarakan Pelaku Fraud
Sebagian besar fraud tidak dilaporkan dan tidak dituntut untuk beberapa alasan berikut :
• Banyak kasus fraud yang belum terdeteksi;
• Perusahaan segan melaporkan kejahatan komputer.
 Kendala/tantangan dalam menghadapai Fraud antara lain :
 Petugas penegak hukum dan pengadilan sibuk sekali dengan kejahatan kekerasan, sehingga
mereka hanya punya waktu sedikit untuk kasus Fraud (Kecurangan) yang tidak mengandung
kekerasan fisik.
 Fraud adalah hal yang sulit, berbiaya mahal, dan memakan waktu lama untuk diselidiki dan
dituntut.
 Banyak petugas penegak hukum, pengacara dan hakim kurang ahli dalam komputer yang
dibutuhkan untuk menyelidiki, menuntut, dan mengevaluasi kejahatan komputer.

F. SERANGAN DAN PENYALAHGUNAAN KOMPUTER

Beberapa Teknik Kecurangan dan Penyalahgunaan Komputer (Computer Fraud and Abuse
Techniques), antara lain :
1. Menjebol (cracking)

2. Mengacak data (data diddling)  mengubah data sebelum atau selama entri ke dalam sebuah
sistem komputer untuk menghapus, mengubah, menambah, atau memperbarui data sistem
kunci yang salah.

3. Kebocoran data (data leakage)  menyalin data perusahaan tanpa ijin, sering kali tanpa
meninggalkan indikasi bahwa ia telah disalin.

4. Podslurping  menggunakan sebuah perangkat kecil dengan kapasitas penyimpanan seperti

iPod atau flash drive, untuk mengunduh data tanpa ijin dari sebuah komputer.

5. Serangan penolakan pelayanan (denial of service attack - DoS)  serangan komputer dimana
penyerang mengirimkan sejumlah bom e-mail atau permintaan halaman web, biasanya dari
alamat salah yang diperoleh secara acak, agar server e-mail atau web server yaitu penyedia
layanan internet kelebihan beban dan ditutup.

6. Spamming  secara bersamaan mengirimkan pesan yang tak diminta kepada banyak orang
pada saat bersamaan, biasanya dalam bentuk sebuah upaya untuk menjual sesuatu.
Serangan kamus (dictionary attack) / serangan panen direktori  menggunakan software
khusus untuk menebak alamat e-mail perusahaan dan mengirimkan pesan e-mail kosong, jika
 pesan tidak kembali maka biasanya alamat e-mail tersebut valid sehingga akan ditambahkan
pada daftar alamat e-mail pelaku spamming.

7. Splog  spam blog yang diciptakan untuk meningkatkan situs Google PageRank, yang
merupakan intensitas sebuah halaman situs yang direferensikan oleh halaman situs lainnya.

8. Spoofing  mengubah beberapa bagian dari komunikasi elektronik untuk membuat seolah-
olah orang lain yang mengirimkannya agar mendapatkan kepercayaan dari penerima.
Beberapa bentuk spoofing antara lain : e-mail spoofing, caller ID spoofing, IP address spoofing,
Address Resolution Protocol (ARP) spoofing, SMS spoofing, web-page spoofing, dan DNS
spoofing.

9. Zero-day attack / zero-hour attack  serangan di antara waktu kerentanan sebuah software
baru ditemukan dan merilisnya sembarangan, serta saat sebuah pengembang software
merilis patch (kode yang dirilis pengembang software) untuk memperbaiki masalah.

10. Cross-site scripting (XSS)  kerentanan di halaman situs dinamis yang memungkinkan
penyerang menerobos mekanisme keamanan browser dan memerintahkan korbannya untuk
mengeksekusi kode, mengira bahwa itu berasal dari situs yang dikehendaki.

11. Serangan limpahan buffer (buffer overflow attack)  saat jumlah data yang dimasukkan ke
dalam sebuah program lebih banyak daripada jumlah dari input buffer. Limpahan input
menimpa instruksi komputer berikutnya, menyebabkan sistem rusak.

12. Serangan injeksi (insersi) SQL (SQL injection/insertion attack)  menyisipkan query SQL
berbahaya pada input sehingga query tersebut lolos dan dijalankan oleh sebuah program
aplikasi.

13. Serangan man in the middle (MITM attack)  hacker menempatkan dirinya di antara seorang
klien dan host untuk memotong komunikasi di antara mereka.

14. Masquerading / impersonation  mengakses ke sebuah sistem dengan berpura-pura

menjadi pengguna yang sah, pelaku perlu tahu ID dan password pengguna yang sah.

15. Pemalsuan dan Ancaman E-mail (e-mail forgery and threats)  ancaman dikirim ke korban
melalui e-mail, biasanya perlu beberapa tindakan follow-up dan mengakibatkan kerugian
besar bagi korban.
16. Penipuan lelang internet  menggunakan situs lelang internet untuk menipu orang lain.

17. Penipuan pump-and-pump internet  menggunakan internet untuk menaikkan harga saham
kemudian menjualnya.

18. Penipuan klik  memanipulasi jumlah waktu iklan yang diklik untuk meningkatkan tagihan
periklanan.

19. Penjelasan situs (web cramming)  menawarkan situs gratis selama sebulan,
mengembangkan situs tak berharga, dan membebankan tagihan telepon dari klien yang
menerima tawaran selama berbulan-bulan.

20. Pembajakan software (software piracy)  menyalin atau mendistribusikan software berhak
cipta tanpa ijin.

21. Melanggar masuk (hacking)  akses, modifikasi, atau penggunaan yang tidak sah atas
perangkat elektronik atau beberapa elemen dalam sistem komputer.

22. Informasi yang salah di internet - Terorisme Internet  menggunakan internet untuk
mengganggu perdagangan elektronik serta membahayakan komputer dan komunikasi.

23. Misinformasi internet  menggunakan internet untuk menyebarkan informasi palsu atau
menyesatkan.

24. Menyusup (piggybacking)  menyadap jalur komunikasi dan mengunci secara elektronik
pengguna yang sah sehingga tanpa sadar membawa pelaku masuk ke sistem; penggunaan
diam-diam atas wifi tetangga; seseorang yang tidak berwenang mengikuti seseorang yang
berwenang memasuki pintu yang aman, menembus pengendalian keamanan fisik.

25. Penjebolan Password (password cracking)  saat penyusup memasuki pertahanan sebuah
sistem, mencuri file yang berisikan kata sandi valid, mendekripsinya, dan menggunakannya
untk mengakses program, file, dan data.
26. War dialing  memrogram sebuah komputer untuk menghubungi ribuan sambungan
telepon untk mencari dial-up modem lines, yaitu dengan menerobos ke dalam PC yang
tersambung dengan modem kemudian mengakses jaringan yang terhubung.
War driving : berkendara mencari jaringan nirkabel rumah atau perusahaan yang tidak
terlindungi.
War rocketing : menggunakan roket untuk melepaskan titik akses nirkabel yang terhubung
pada parasut untuk mendeteksi jaringan nirkabel tidak aman.

27. Phreaking  penyerangan sistem telepon untuk mendapatkan akses sambungan telepon
gratis, menggunakan sambungan telepon untuk mengirimkan malware, mengakses, mencari,
sera menghancurkan data.

28. Teknik salami (salami technique)  pencurian sebagian kecil uang dari beberapa rekening
yang berbeda.

29. Pembulatan ke bawah (round-down)  memerintahkan komputer untuk membulatkan

seluruh perhitungan bunga menjadi dua tempat desimal. Pecahan dari sen yang dibulatkan
pada setiap perhitungan dimasukkan ke dalam rekening pemrogram.

30. Spionase ekonomi (economic espionage)  mencari informasi, rahasia dagang, dan kekayaan
intelektual.

31. Pemerasan dunia maya (cyber-extortion)  ancaman untuk membahayakan sebuah

perusahaan atau seseorang jika sejumlah uang tertentu tidak dibayarkan.

32. Cyber-bullying  menggunakan teknologi komputer untuk mendukung perilaku disengaja,

berulang, dan bermusuhan yang menyiksa, mengancam, mengusik, menghina,
mempermalukan, atau membahayakan orang lain.

33. Sexting  tukar-menukar pesan teks dan gambar yang terang-terangan bersifat seksual
dengan orang lain, biasanya dengan perantara telepon.

34. Pembajakan Software (hijacking)  pengambilan kendali atas komputer orang lain untuk
melakuakn aktivitas terlarang tanpa sepengetahuan pengguna komputer yang sebenarnya.
Botnet (robot network) : sebuah jaringan komputer terbajak yang dan berbahaya yang
digunakan untuk menyerang sistem atau menyebarkan malware.
Zombie : sebuah komputer yang dibajak, biasanya merupakan bagian dari botnet yang
dipergunakan untuk melakukan berbagai serangan internet.
Bot herder : seseorang yang menciptakan botnet dengan memasangkan software pada pc
yang merespon instruksi elektronik milik bot herder.