Ancaman untuk sistem informasi akuntansi dapat diikuti pada tabel 5.1 berikut :
Tabel 5.1. Ancaman untuk SIA
Ancaman Contoh
Rencana alam dan politik Kebakaran atau panas berlebihan
Banjir, gempa bumi, topan, tornado, badai salju
dan hujan yang membekukan, perang dan
serangan teroris
Kesalahan perangkat lunak dan kegagalan Kegagalan perangkat keras dan perangkat lunak
fungsi peralatan Kesalahan perangkat lunak(bugs)
Benturan sistem operasi
Pemadaman listrik dan fluktuasi
Kesalahan transmisi data yang tidak terdeteksi
Bencana alam dan politik seperti kebakaran atau panas berlebihan ,banjir, gempa bumi, topan,
tornado, badai salju dan hujan yang membekukan, perang dan serangan teroris dapat menghancurkan
sisitem informasi dan menyebabkan kegagalan pada perusahaan. Contohnya :
Serangan teroris di World Trade Centre di New York City dan Federal buliding di Oklahoma City
menghancurkan dan merusak semua sistem dalam bangunan tersebut
Banjir di Chicago menghancurkan atau membahayakan 400 pusat pengolahan data. Banjir di Des
Moines, Iowa membakar komputer kota dibawah air enam kaki. Topan dan gempa bumi telah
menghancurkan beberapa sistem komputer dan memotong jalur komunikasi. Sistem lain juga
dihancurkan oleh puing reruntuhan, air dari sistem pemancar air dan debu
Kekawatiran yang semestinya terjadi pada setiap orang ketika serangan cyber dimilitarisasi yaitu
dari serangan disruptif ke serangan destruktif
Kesalahan perangkat lunak (bugs),benturan sistem operasi, kegagalan perangkat keras,
pemadaman listrik dan fluktuasi dan kesalahan transmisi data yang tidak terdeteksi merupakan ancaman
yang kedua. Studi federel memperkirakan kerugian ekonomi berdasarkan pada bugs perangkat lunak
hampir $60juta. Berdasarkan studi tersebut 60% perusahaan memiliki kesalahan perangkat lunak yang
signifikan. Contohnya:
Lebih dari 50 juta orang di Northeast ditinggalkan tanpa daya ketika sistem pengendalian industri
sebagian dari jaringan listrik gagal. Beberapa area benar-benar tanpa daya selama 4 hari dan
kerusakannya sekitar $10juta
Di facebook sistem otomatis untuk memverifikasi kesalahan nilai konfigurasi bisa menjadi
bumerang, membuat setiap klien mencoba untuk mencocokkan data yang akurat jika dirasa tidak
valid. Sejak pencocokkan yang terlibat dalam melakukan query sekumpulan(cluster) database,
kluster tersebut segera diselimuti oleh ratusan atau ribuan pertanyaan dalam satu detik.Benturan
yang dihasilkan membuat sistem facebook menjadi offline untuk dua setengah jam.
Sebagai hasil bugs sistem pajak, Californea gagal untuk mengumpulkan $635 juta pajak bisnis.
Sebuah bugs di perangkat lunak Burger King mengakibatkan biaya kartu kredit &4.344,33 dua kali
yang menyebabkan harga yang terlalu mahal.
Tindakan yang tidak disengaja berupa kecelakaan atau kesalahan dan kelalaian, adalah
resiko terbesar untuk sistem informasi dan menyebabkan kerugian jutaan dolar. Computing Technology
Industry Association memperkirakan bahwa kesalahan manusia menyebabkan 80% permasalahan
keamanan. Forrester Research memperkirakan bahwa karyawan secara tidak sengaja membuat resiko
hukum, peraturan atau keuangan sebesar 25% dari e-mail keluar manusia.
Tindakan yang tidak sengaja disebabkan oleh kecerobohan manusia , kegagalan untuk mengikuti
prosedur yang telah ditetapkan, dan personel yang kurang dilatih dan diawasi dengan baik. Pengguna
kehilangan atau salah menempatkan data dan secara tidak sengaja menghapus atau mengganti file, data,dan
program. Operator dan pengguna komputer memasukkan input yang salah, menggunakan versi program
yang salah atau file data yang salah atau salah menempatkan file data. Analis sistem mengembangkan
sistem yang tidak memenuhi kebutuhan perusahaan, yang membuat analis rentan untuk diserang, atau yang
tidak mampu menangani pekerjannya. Pemrograman membuat kesalahan logika. Contoh-contoh tindakan
yang tidak disengaja :
*Petugas entri data Mizuho Securities secara salah mengetik penjualan untuk 610.000 sahamJ-Com pada
1 Yen dan bukan mengetikkan 1 saham untuk 610.000 yen. Kesalahan tersebut menyebabkan
perusahaan mengalami kerugian sebesar $250 juta
36
*Pemrograman membuat salah satu lini kode kesalahan sehingga membebankan semua barang di
Zappos, pengecer online seharga $49,95 bahkan beberapa barang yang terjual bernilai ribuan dolar.
Perubahan ini terjadi pada tengah malam dan saat terdeteksi adalah puluk 6 pagi, perusahaan telah
merugi $1,6 juta atas barang yang dijual jauh di bawah biaya.
*Pemrogram bank salah menghitung bunga untuk setiap bulan menggunakan 31 hari. Sebelum kesalahan
ditemukan lebih dari $100.000 kelebihan bunga dibayarkan.
*Sebuah spreadsheet Fannie Mae salah menyajikan laba sebesar $1,2 miliar
*UPS kehilangan sekotak komputer yang berisi informasi yang sensitif atas 3,9 juta pelangganCity
Group
*Jefferson Country, West Virginia mengeluarkan alat pencarian online baru yang menampilkan
informasi personal dari 1,6 juta orang
*McAfee, vendor perangkat lunak anti virus salah mengidentifikasi scvhost.exe, bagian penting dalam
sistem operasi Windows, salah satu program terbarunya yang berbahaya. Ratusan ribu PC di seluruh
dunia harus di reboot secara manual-proses yang memerlukan 30 menitper mesin.Rumah sakit terbesar
ketiga di Rhode Island lumpuh karena kesalahan tersebut. Salah satu perusahaan melaporkan bahwa
kesalahan telah membuat perusahaannya merugi $2,5 juta.
Ancaman keempat adalah tindakan yang disengaja seperti kejahatan komputer, penipuan
atau sabotase(sabotage) yang merupakan kerusakan yang disengaja dan membahayakan suatu
sistem. Sistem informasi rentan terhadap serangan. Contoh-contoh tindakan yang disenagaja:
Virus Sobig menimbulkan kerusakan bagi jutaan komputer termasuk matinya sistem kereta api
selama 6 jam
Di Australia karyawan yang tidak puas terhadap perusahaan membajak sistem limbah sebanyak 46
kali selama dua bulan. Pompa menjadi gagal dan seperempat juta galon limbah mentah dituangkan
kedalam sungai terdekat dan membanjiri hotel dan taman.
Pemrograman mampu mengunduh database Opentablekarena cookie yang didesain tidak sesuai(data
situs yang tersimpan dalam komputer anda untuk mengidentifikasikan situs sehingga anda tidak perlu
log on (masuk) setiap kali anda mengunjungi situs tersebut.
Hacker mencuri1,5 juta kartu kredit dan debit dari Global Payments, yang mengakibatkan kerugian
sebesar $84 juta dan 90% mengalami penurunan laba pada pengungkapan kuartal selanjutnya.
Grup hacker aktivitas yang disebut Anonymous memainkan Santa Clause pada suatu hari Natal,
mengindikasikan bahwa grup hacker memberikan harapan bagi orang yang kurang beruntung. Grup
hackerdibanjiri permintaan akan iPad, iPhone,piza, dan ratusan hal lainnya. Grup hackermembajak
kedalam bank dan mengirimkan kartu kredit virtual seniali lebih dari $1 juta ke orang-orang.
Kerugian ekonomi diakibatkan dari aktivitas kecurangan setiap tahunnya. Setiap minggu pers lokal
maupun nasional melaporkan penipuan lain dari beberapa jenis penipuan lainnya. Penipuan-penipuan ini
berkisar dari penipuan beberapa jutaan dolar yang menyedot perhatian nasional sampai dengan tindakan
karyawan yang mencurangi perusahaan setempat walaupun dalam jumlah kecil.
Sebagian besar pelaku penipuan adalah orang dalam memiliki pengetahuan dan akses, keahlian, dan
sumber daya yang diperlukan. Oleh karena karyawan memahami sistem perusahaan dan kelemahannya,
karyawan lebih baik melakukan dan menyembunyikan penipuannya. Pengendalian yang digunakan untuk
melindungi aset perusahaan membuatnya lebih sulit untuk orang luar mencuri dari perusahaan. Pelaku
penipuan seringkali dianggap sebagai kriminal kerah putih(white collors criminals)
Kriminal kerah putih(white collors criminals) umumnya para pelaku bisnis yang melakukan
penipuan.Kejahatan kerah putih putih biasanya digunakan untuk menipu atau memperdaya dan
biasanya melibatkan pelanggaran kepercayaan atau keyakinan.
Terdapat beberapa jenis penipuan yang berbeda misalnya :
1. Korupsi(coruption) merupakan perilaku tidak jujur oleh pihak yang memiliki kekuasaan dan seringkali
melibatkan tindakan yang tidak terlegitimasi, tidak bermoral,atau tidak kompatibel dengan standar etis.
Korupsi dapat berupa penyuapan dan persekongkolan tender
2. Penipuan investasi(investment fraud) adalah misrepresentasi atau meninggalkan fakta untuk
mempromosikan investasi yang menjanjikan laba fantastik dengan sedikit atau bahkan tidak ada
resiko. Contohnya : skema ponzi dan penipuan sekuritas.
Dalam bisnis terdapat dua jenis penipuan yaitu penyalahgunaan aset terkadang disebut
penipuan karyawan dan kecurangan pelaporan keuangan terkadang disebut penipuan manajemen.
Penyalahgunaan aset (misappropriation of asset)merupakan pencurian asset perusahaan
oleh karyawan. Contohnya :
Albert Milano, manajer Reader’s Digest yang bertanggungjawab untuk pemerosesan tagihan,
menggelapkan $1 juta selama lima tahun dengan cara memalsukan tandatangan atasannya pada
faktur untuk pelayanan yang tidak pernah dilakukan, mengajukannya ke utang, memalsukan
pengesahan pada cek,dan mendepositokannya dalam rekening miliknya sendiri.
Manajer di surat kabar Florida bekerja untuk kompetitor setelah dipecat. Pemberi kerja pertama
menyadari bahwa reporternya dimonitor. Investigasi mengungkapkan bahwa manajer tersebut
masih memiliki rekening aktif dan kata sandi serta secara reguler mencari file komputernya untuk
informasi dan cerita eksklusif.
Faktor yang lebih berkontribusi dalam sebagian besar penyalahgunaan adalah tidak adanya
pengendalian internal dan atau/kegagalan menjalankan pengendalian internal yang sudah ada.
Penyalahgunaan umumnya memiliki elemen dan karaktersitik yang penting. Para pelaku :
Memperoleh kepercayaan atau keyakinan dari entitas yang ditipu
Menggunakan informasi yang penuh dengan tipu muslihat, licik,atau menyesatkan untuk
melakukan penipuan
Menyembunyikan penipuan dengan memalsukan catatan atau informasi lainnya
Jarang menghentikan penipuan secara sukarela
Melihat begitu mudah untuk mendapatkan uang ekstra, kebutuhan atau kelemahan akan mendorong
orang untuk melanjutkannya
Menghabiskan uang yang didapatkan secara tidak benar
38
Menjadi tamak dan mengambil sejumlah uang yang lebih besar pada jangka waktu yang lebih
sering akan membuat resiko terungkapnya penipuan meningkat.
Timbulnya kecerobohan dan terlalu percaya diri selama berlalunya waktu.
Kecurangan pelaporan keuangan(fraudulent financial reporting) merupakan perilaku yang
disengaja atau ceroboh apakah dengan tindakan atau kelalaian yang menghasilkan laporan
keuangan menyesatkan secara material.
SAS(Statement on Auditing Standards No.99, consideration of fraud in a financial statement
Audit, yang efektif pada Desember 2002. SAS no 99 mensyaratkan auditor sebagai berikut:
1. Memahami penipuan, sebab auditor tidak dapat secara efektif mengaudit sesuatu yang tidak
dipahaminya, maka auditor harus memahami bagaimana serta mengapa sesuatu dilakukan
2. Mendiskusikan risiko salah saji kecurangan yang material. Saat merencanakan audit, anggota tim
mendiskusikan bagaimana dan dimana laporan keuangan rentan terhadap penipuan
3. Memperoleh informasi. Tim audit mengumpulkan bukti dengan mencari faktor risiko
penipuan;menguji catatan perusahaan;dan menanyakan manajemen,komite audit dari dewan direksi,
dan lainnya apakah mereka mengetahi penipuan yang terjadi saat ini atau masa lalu. Dikarenakan
banyak penipuan melibatkan pengakuan pendapatan, perhatian khusus dalam menguji akun
pendapatan.
4. Mengidentifikasi, menilai, dan merespon risiko. Bukti yang digunakan untuk mengidentifikasi, menilai
dan merespon risiko penipuan dengan mewariskan sifat, waktu, dan luas proses audit dan dengan cara
mengevaluasi secara berhati-hati terhadap risiko manajemen yang mengenyampingkan pengendalian
internal.
5. Mengevaluasi hasil pengujian auditnya. Auditor harus mengevaluasi apakah salah saji yang
diidentifikasi mengindikasikan keberadaan penipuan dan menentukan dampaknya pada laporan
keuangan dan audit.
6. Mendokumentasikan dan mengkomunikasikan temuan. Auditor harus mendokumentasikan dan
mengkomunikasikan temuannya ke manajemen dan komite audit
7. Menggabungkan fokus tekn ologi. SAS no 99 mengakui dampak teknologi memiliki risiko penipuan
dan memberikan komentar dan contoh untuk mengakui dampak ini.Hal ini juga dicatat bahwa
kesempatan yang dimiliki oleh auditor untuk menggunakan teknologi untuk mendisain prosedur audit
penipuan
3. Sejumlah pelaku penipuan yang besar dan tumbuh lebih bersifat predator dan membuat tindakannya
menjadi uang.Pelaku penipuan ini menyerupai kriminal kerah biru yang lebih memperdaya orang lain
dengan merampok melalui komputer
4. Banyak pelaku penipuan pertama kali tertangkap atau tidak tertangkap tetapi tidak diadili, berpindah
dari menjadi pelaku tidak disengaja menjadi pelaku berantai
5. Perangkat lunak berbahaya adalah bisnis yang besar dan mesin pencari laba yang besar untuk sasaran
kriminal, khususnya untuk hacker digital cerdas di Eropa Timur yang membobol rekening keuangan
dan mencuri uang. Hacker digital cerdas ini menjual data ke spammers, organisasi kejahatan, hacker
dan komunitas intelijen, termasuk juga memasarkan malwareseperti perangkat lunak penghasil virus.
6. Kriminal cyber yang mempunyai skema penipuan untuk diatur dan ditargetkan kepada individu dan
bisnis tertentu. Kriminal cybermenggunakan perusahaan pembayaran online untuk mencuci hasil
kejahatannya, untuk menyembunyikan uang, mengambil keuntungan dari kurangnya koordinasi
antarorganisasi penegakan hukm internasional.
Terjadinya penipuan dipicu oleh 3 faktor yaitu :
1. Tekanan (presure) dapat berupa tekanan keuangan, emosional dan gaya hidup. Tekanan (presure)
adalah dorongan atau motivasi seseorang untuk melakukan penipuan
Tabel 5.2 Tekanan yang dapat menyebabkan penipuan karyawan
Keuangan Emosional Gaya Hidup
Hidup di luar kemampuannya Ketamakan,ego,kesombongan,ambisi yang Kebiasaan judi
Utang/beban personal yang tinggi berlebihan Ketergantungan
Gaji/pendapatan yang tidak sesuai Kinerja yang tidak diakui obat/alkohol
Peringkat kredit yang buruk Ketidakpuasan pekerjaan Hubungan seksual
Kerugian keuangan yang besar Takut kehilangan pekerjaan Tekanan keluarga/
Investasi yang buruk Perlu kekuatanatau pengendalian rekan
Penghindaran pajak Nonkonfirmitas yang jelas,disengaja
Kuota/tujuan yang tidak masuk akal Ketidakmampuan untuk mempercayai atau
menghargai aturan
Tantangan mengalahkan sistem
Iri terhadap orang lain
Perlu memenangkan kompetisi dalam kepandaian
mengambil keuntungan dari lawan secara finansial
Pemakaian oleh manajemen puncak
2. Kesempatan (opportunity) adalah kondisi atau situasi, termasuk kemampuan personal seseorang yang
memungkinkan pelaku untuk melakukan tiga hal sebagai berikut :
a. Melakukan penipuan
b. Menyembunyikan penipuan . Menyembnyikan penipuan dapat dilakukan dengan cara lapping dan
cek kiting(check kitting. Lappingmenyembnyikan pencurian uang tunai melalui serangkaian
penundaan dalam posting koleksi untuk piutang sedangkan cek kiting(check kitting) merupakan
pencurian kas melalui cara membuat kas dengan menggunakan jeda antara waktu cek
didepositokan dengan waktu dicairkan di bank.
c. Mengkonversikan pencurian atau misrepresentasi untuk keuntungan personal.
Tabel 5.4 Kesempatan yang Memungkinkan penipuan karyawan dan Laporan Keuangan
Faktor Pengendalian Internal Faktor-faktor Lain
Kegagalan untuk menegakkan/ memonitor pengendalian internal Transaksi yang besar, tidak biasa dan kompleks
Kegagalan manajemen untuk terlibat dalam Sistem pengendalian Beberapa jurnal penyesuaian pada akhir tahun
internal Transaksi pihak terkait
Manajemen mengesampingkan pengendalian internal Departemen akuntansi yang beban kerjanya
Kecerobohan manajemen, tidak memperhatikan detail berlebihan
Manajemen yang dominan dan tidak menantang Personel yang tidak kompeten
Tidak ada tinjauan efektif oleh dewan direksi Tingkat keluar masuk karyawan penting yan cepat
Tidak ada staf internal yang efektif Lamanya masa jabatan pekerjaan penting
Kurangnya pemeriksaan terhadap pihak ketiga Struktur organisasi yang terlalu kompleks
Pemisahan otorisasi, penyimpanan dan pencatatan tugas yang tidak Tidak ada kode etik, pernyataan konflik
sesuai Kepentingan atau definisi perilaku yang tidak
Terlalu banyak kepercayaan pada karyawan penting dapat diterima
Supervisi yang tidak memadai Perubahan yang sering pada auditor,penegak
Gariswewenang yang tidak jelas hukum
Kurangnya prosedur otorisasi yang sesuai Operasi pada basis krisis
Tidak ada pengecekan kinerja yang independen Hubungan yang dekat dengan pemasok/pelanggan
Sistem yang memadai untuk mengamanka aset Aset yang rentan untuk disalahgunakan
Tidak ada sistem keamanan fisik atau logis Praktik akuntansi yang dipertanyakan
Tidak ada jejak audit Mendesak pembatasan prinsip-prinsip akuntansi
Kegagalan untuk melakukan pengecekan latar belakang Kebijakan dan prosedur perusahaan yang tidak
Tidak ada kebijakan liburan tahunan, rotasi pekerjaan jelas
Gagal untuk mengajarkan dan menekankan
kejujuran perusahaan
Kegagalan untuk memenjarakan karyawan yang
tidak jujur
Moral dan loyalitas karyawan yang rendah
3. Rasionalisasi(Rationalization) yaitu alasan yang digunakan para pelaku penipuan untuk membenarkan
perilaku ilegalnya.
41
4). Menjaga akses fisik dan jauh untuk sumberdaya sistem terhadap personel yang berwenang
5). Meminta transaksi dan aktivitas agar diotorisasi dengan personal supervisor yang sesuai.
Memilih sistem yang mengautentikasi orang dan haknya untuk melakukan transaksi , sebelum
mengijinkan transaksi terjadi
6). Menggunakan dokumen dan catatan yang dirancang dengan benar untuk menangkap dan
memproses transaksi
7). Menyimpan semua aset, catatan dan data
8). Mensyaratkan pengecekan independen pada kinerja seperti rekonsiliasi dua perangkat catatan
yang independen
9). Mengimplementasikan pengendalian berbasis komputer atas input data, pemerosesan
komputer, penyimpanan data, transmisi data dan ouput informasi
10). Ketika akan membuang komputer yang digunakan hancurkan perangkat keras untuk untuk
mencegah kriminal dari memperoleh data kembali
11). Mengenkripsi data atau program yang disimpan dan ditransmisikan agar terlindung dari akses
dan penggunaan yang tidak sah
12).Ketika membuang komputer yang digunakan hancurkan hard drive untuk mencegah kriminal
dari penambangan daur ulang hard drive
13). Memperbaiki kerentanan perangkat lunakdengan menginstal pembaruan sistem operasional
serta keamanan dan program aplikasi
c. Meningkatkan metode pendeteksian dengan cara :
1). Mengembangkan dan mengimplementasikan program penilaian resiko penipuan kemungkinan
dan besarnya aktivitas penipuan, dan menilai proses dan pengendalian yang dapat mencegah
dan mendeteksi penipuan potensial
2) Membuat jejak audit agat transaksi individual dapat ditelusuri melalui sistem ke laporan
keuangan dan data laporan keuangan dapat ditelusuri kembali ke transaksi individual
3). Melakukan audit internal dan eksternal secara periodik dan juga audit keamanan jaringan khusus
yang sangat membantu jika dilakukan dengan waktu yang mendadak
4). Menginstal perangkat lunak pendeteksian penipuan
5). Mengimplementasikan hotline penipuan
6). Memotivasi karyawan untuk melaporkan penipuan dengan mengimplementasikan penghargaan
whistleblower(pengungkap aib) dan perlindungan bagi karyawan pelapor
7). Mempekerjakan petugas keamanan komputer dan spesialis forensik yang dibutuhkan
8). Memonitor aktivitas sistem, termasuk upaya keamanan jaringan dan komputer, penggunaan dan
log kesalahan, dan semua tindakan kejahatan lainnya.Menggunakan sistem pendeteksian intrusi
(gangguan) untuk membantu mengotomatisasi proses pemantauan.
d. Mengurangi kerugian penipuan dengan cara :
1). Menjaga asuransi yang memadai
2). Mengembangkan kontingency penipuan yang komprehensif
3). Menyimpan salinan backup program dan file data dalam lokasi luar yang aman
4) Menggunakan perangkat lunak untuk memonitor aktivitas sistem dan memulihkan dari penipuan
1.7 Istilah Kunci
Cek kiting(check kitting), Cookie, Fraudulent financial reporting, Opportunity, White collar
criminas Corruption, Lapping, Fraud, Investment fraud, Computer Fraud, Rasionalization,
Sabotage, Presure
43