UNIVERSITAS BUDI LUHUR

FAKULTAS EKONOMI DAN BISNIS

PERTEMUAN 5
SISTEM PENGENDALIAN DAN
MASALAH-MASALAH SERTA
ANCAMAN

Capaian : Mahasiswa dapat memahami dan

Pembelajaran menganalisis sistem pengendalian
dan masalah-masalah serta
ancaman yang akan dihadapi pada
organisasi (season 1)

Sub Pokok : 5.1.Kejahatan dan Penyalahgunaan

Bahasan Komputer
5.2. Konsep dan kerangka
pengendalian
5.3. Lingkungan pengendalian
5.4. Penilaian risiko
5.5. Aktivitas pengendalian
 5.6. Informasi dan komunikasi

Daftar Pustaka : 1. Accounting Information Systems

14th Edition. Marshall B.
Romney & Paul John Steinbart,
Pearson Prentice Hall, New
Jersey 2018
2. Sistem Informasi Akuntansi Edisi
4. James A Hall, Salemba
Empat,Jakarta 2007
 SISTEM PENGENDALIAN DAN MASALAH-MASALAH SERTA ANCAMAN

5.1. Kejahatan dan Penyalahgunaan Komputer

Penipuan (fraud) dikatakan apabila beberapa dan semua sarana yang digunakan
seseorang untuk memperoleh keuntungan yang tidak adil dari orang lain. Penipuan
investasi (investment fraud) adalah misrepresentasi atau meninggalkan fakta-fakta untuk
mempromosikan investasi yang menjanjikan laba fantastic dengan hanya sedikit atau
tidak ada risiko. Contohnya termasuk skema Ponzi dan penipuan sekuritas.
Kriminal kerah putih (white-collar criminals), umumnya para pelaku bisnis yang
melakukan penipuan. Kejahatan kerah putih biasanya digunakan untuk menipu atau
memperdaya, dan kejahatan mereka biasanya melibatkan pelanggaran kepercayaan atau
keyakinan.
Korupsi (corruption) adalah perilaku tidak jujur yang sering kali melibatkan tindakan
yang tidak terlegitimasi, tidak bermoral, atau tidak kompatibel dengan standar etis.
Contohnya termasuk penyuapan dan persengkokolan tender.

TABEL 5.1 Ancaman untuk Sistem Informasi Akuntansi

Ancaman Contoh
Bencana alam dan politik Kebakaran, banjir, gempa bumi, perang, serangan
teroris, dll.
Kesalahan perangkat lunak dan Kegagalan dan kesalahan perangkat
kegagalan fungsi peralatan lunak/perangkat keras, benturan sistem operasi,
pemadaman listrik, kesalahan transmisi data yang
tidak terdeteksi, dll.
Tindakan yang tidak diharapkan Kecelakaan yg disebabkan oleh kelalaian manusia,
kegagalan ubtuk mengikuti prosedur yang
ditetapkan, personel yang dilatih atau diawasi
dengan buruk, kehilangan/kerusakan/kesalahan
menempatkan data, kesalahan logika, sistem yang
tidak memenuhi kebutuhan perusahaan, dll.
Tindakan yang disengaja Sabotase, misrepresentasi, penggunaan yang
(kejahatan komputer) salah, pengungkapan data yang tidak diotorisasi,
penyalahgunaan asset, penipuan laporan
keuangan, korupsi, penipuan computer/serangan,
rekayasa social, malware, dll.

Penyalahgunaan aset (misappropriation of asset) adalah pencurian asset oleh

karyawan. Kecurangan pelaporan keuangan (fraudulent financial reporting) adalah
perilaku yang disengaja atau ceroboh, apakah dengan tindakan atau kelalaian, yang
menghasilkan laporan keuangan menyesatkan secara material.
Penipuan komputer (computer fraud) adalah setiap penipuan yang mensyaratkan
teknologi komputer untuk melakukan penipuan. Seperti yang ditunjukan pada gambar
5.1, penipuan komputer dapat dikategorikan dengan menggunakan model pengolahan
data: Input Penipuan (Input Faud), Penipuan Prosesor (Processor Fraud), Penipuan
Instruksi Komputer (Computer Instructions Fraud), Penipuan Data (Data Fraud), Output
Penipuan (Output Fraud).

Gambar 5.1 Klasifikasi Penipuan Komputer

Teknik Penipuan dan Penyalahgunaan Komputer, diantaranya:
a. Serangan dan Penyalahgunaan Komputer
• Hacking adalah akses, modifikasi, atau penggunaan yang tidak sah atas perangkat
elektronik atau beberapa elemen dalam sistem komputer.
• Hijacking (pembajakan) adalah pengambilan kembali atas komputer orang lain
untuk melakukan aktivitas terlarang tanpa sepengetahuan pengguna komputer
yang sebenarnya.
• Botnet, singkatan dari robot network adalah sebuah jaringan komputer terbajak
yang kuat dan berbahaya yang digunakan untuk menyerang sistem atau
menyebarkan malware.
• Zombie adalah sebuah komputer yang dibajak, biasanya merupakan bagian dari
botnet yang dipergunakan untuk melakukan berbagai serangan internet.
• Bot herder adaalah seseorang yang menciptakan botnet dengan memasangkan
perangkat lunak pada PC yang merespons intruksi elektronik milik bot herder.
• Spoofing adalah membuat komunikasi elektronik agar terlihat seolah-olah orang lain
yang mengirimkannya agar mendapatkan kepercayaan dari penerima.
• Patch adalah kode yang dirilis pengembang perangkat lunak yang memperbaiki
kerentanan perangkat lunak tertentu.
• Cross-site scripting (XSS) adalah sebuah kerentanan di halaman situs dinamis yang
memungkinkan penyerang menerobos mekanisme keamanan browser dan
memerintahkan browser korban untuk mengeksekusi kode, mengira bahwa itu
berasal dari situs yang dikehendaki.
• Buffer overflow attack (serangan limpahan buffer) terjadi ketika jumlah data yang
dimasukkan ke dalam sebuah program lebih banyak daripada jumlah dari input
buffer. Limpahan input menimpa intruksi komputer berikutnya, menyebabkan
sistem rusak. Para hacker memanfaatkannya dengan merangkai input sehingga
limpahan memuat kode yang menyatakan ke komputer apa yang dilakukan
selanjutnya. Kode ini dapat membuka sebuah pintu belakang di dalam sistem.
• SQL injection (insertion) attack (Serangan injeksi (insersi) SQL), menyisipkan query
 SQL berbahaya pada input sehingga query tersebut lolos dan dijalankan oleh sebuah
program aplikasi. Hal ini memungkinkan seorang hacker meyakinkan agar aplikasi
menjalankan kode SQL yang tidak dikehendaki untuk dijalankan.
• Man-In-The-Middle attack (serangan MITM) adalah seorang hacker yang
menempatkan dirinya di antara seorang klien dan host untuk memotong komunikasi
di antara mereka, seperti yang ditunjukkan pada gambar 5.2.
• Password cracking (pemecahan kata sandi) adalah ketika seseorang penyusup
memasuki pertahanan sebuah sistem, mencuri file yang berisikan kata sandi valid,
mendeskripsinya, dan menggunakannya untuk mendapatkan akses atas program,
file, dan data.
• Data diddling adalah mengubah data sebelum atau selama entri ke dalam sebuah
sistem komputer untuk menghapus, mengubah, menambah, atau memperbarui
data sistem kunci yang salah.
• Data leakage (kebocoran data) adalah menyalin data perusahaan tanpa izin, sering
kali tanpa meninggalkan indikasi bahwa ia telah disalin.
• Salami technique (teknik salami) adalah pencurian sebagian kecil uang dari
beberapa rekening yang berbeda. Skema salami adalah bagian dari lini plot dalam
beberapa film, seperti Superman III, Hacker, dan Office Space.
 Gambar 5.2 Serangan Dunia Maya Man-in-the-Middle
• Round-down froud (penipuan round-down) adalah memerintahkan komputer untuk
membulatkan seluruh perhitungan bunga menjadi dua tempat desimal. Pecahan
dari sen yang dibulatkan pada setiap perhitungan dimasukkan ke dalam rekening
pemrogram.(spionase ekonomi adalah pencurian informasi, rahasia dagang, dan
kekayaan intelektual.
• Cyber-extortion (pemerasan dunia maya adalah ancaman untuk mmbahayakan
sebuah perusahaan atau seseorang jika sejumlah uang tertentu tidak dibayarkan.
• Internet terrorism (terorisme internet) yaitu menggunakan internet untuk
mengganggu perdagangan elektronik serta membahayakan komputer dan
komunikasi.
• Internet pump-and-pump fraud (penipuan pump-and-pump internet) yaitu
menggunakan internet untuk menaikkan harga saham kemudian menjualnya.
• Click fraud adalah memanipulasi jumlah waktu iklan yang diklik untuk meningkatkan
tagihan periklanan.
• Web cramming (penjejalan situs) yaitu menawarkan situs gratis selama sebulan,
mengembangkan situs tidak berharga, dan membebankan tagihan telepon dari
orang-orang yang menerima tawaran untuk berbulan-bulan, terlepas mereka ingin
melanjutkan menggunakan situs tersebut atau tidak.
b. Social engineering (rekayasa sosial) adalah teknik atau trik psikologis yang
digunakan agar orang-orang mematuhi keinginan pelaku dalam rangka untuk
menadapatkan akses fisik atau logis ke sebuah bangunan, komputer, server, atau
jaringan. Biasanya untuk mendapatkan informasi yang dibutuhkan untuk
mendapatkan data rahasia. Berikut beberapa teknik rekayasa sosial:
• Identity theft (pencurian identitas) adalah mengambil identitas seseorang, biasanya
untuk keuntungan ekonomi dengan mendapatkan dan menggunakan informasi
rahasia secara illegal, seperti nomor Sosial Secutity, nomor rekening bank atau kartu
kredit.
• Posing adalah menciptakan bisnis yang terlihat sah, mengumpulkan informasi
pribadi sambil melakukan penjualan, tetapi tidak pernah mengirimkan barang.
• Pishing adalah mengirimkan sebuah pesan elektronik seolah dari sebuah
perusahaan yang sah, biasanya institusi keuangan, dan meminta informasi atau
verifikasi dari informasi serta sering memberi peringatan mengenai konsekuensi
negative bila permintaan tersebut tidak terpenuhi. Permintaannya palsu dan
informasi yang dikumpulkan digunakan untuyk melakukan pencurian identitas atau
untuk mencuri dana dari rekening korban.
• Carding adalah kegiatan yang dilakukan pada kartu kredit curian, termasuk
melakukan pembelian kecil secara online untuk memastikan apakah kartu masih vali
serta membeli dan menjual nomor kartu kradit curian.
• Evil twin adalah sebuah jaringan nirkabel dengan nama yang sama (disebut Server
Set Identifier) seolah menjadi sebuah titik akses nirkabel yang sah. Pengguna
tersambung dengannya karena ia memiliki sinyal nirkabel yang lebih kuat atau evil
twin mengganggu atau menonaktifkan titik akses yang sah. Para pengguna tidak
menyadari bahwa mereka tersambung ke evil twin dan si pelaku mangawasi lalu
lintas untuk mencari informasi rahasia.
c. Malware adalah segala perangkat lunak yang digunakan untuk membahayakan.
Sebagian besar malware adalah hasil dari pemasangan atau penyuntikan oleh
penyerang dari jarak jauh. Spyware merupakan perangkat lunak yang secara
diam-diam mengawasi dan mengumpulkan informasi pribadi mengenai pengguna
dan mengirimkannya kepada orang lain, biasanya tanpa izin pengguna komputer.

5.2. Konsep dan Kerangka Pengendalian

Hampir setiap tahun, lebih dari 60% organisasi mengalami kegagalan utama dalam
mengendalikan keamanan dan integritas sistem komputer mereka. Organisasi belum
melindungi data dengan baik karena:
• Beberapa perusahaan memandang kehilangan atas informasi penting sebagai
sebuah ancaman yang tidak mungkin tejadi
• Implikasi pengendalian atas pemindahan dari sistem komputer tersentralisasi ke
sistem berbasis Internet tidak sepenuhnya dipahami.
• Banyak perusahaan tidak menyadari bahwa informasi adalah sebuah sumber daya
 strategis dan melindungi informasi harus menjadi sebuah ketentuan strategis.
• Produktivitas ukuran-ukuran pengendalian yang memakan waktu.
Pengendalian internal (internal control) adalah proses dan prosedur yang dijalankan
untuk menyediakan jaminan memadai bahwa tujuan pengendalian dipenuhi.
Pengendalian internal menjalankan tiga fungsi penting sebagai pengendalian preventif
(preventive control) yaitu mencegah masalah sebelum timbul, pengendalian detektif
(detective control) yaitu menemukan masalah yang tidak terelakan, pengendalian korektif
(corrective control) yaitu mengidentifikasi dan memperbaiki masalah serta memperbaiki
dan memulihkannya dari kesalahan yang dihasilkan.
Pengendalian internal sering kali dipisahkan dalam dua kategori sebagai berikut.
1. Pengendalian umum (general control), memastikan lingkunan pengendalian sebuah
organisasi stabil dan dikleola dengan baik.
2. Pengendalian aplikasi (application control), mencegah, mendeteksi, dan mengoreksi
kesalahan transaksi serta penipuan di dalam program aplikasi.
Control objective for Information and Related Technology (COBIT) adalah sebuah
kerangka keamanan dan pengendalian yang memungkinkan (1) manajemen untuk
membuat tolak ukur prakti-praktik keamanan dan pengendalian lingkungan TI; (2) para
pengguna layanan TI dijamin dengan adanya keamanan dan pengendalian yang
memadai; (3) para auditor memperkuat opini pengendalian internal dan
mempertimbangkan masalah keamanan TI dan pengendalian yang dilakukan.
Committee of Sponsoring Organizations (COSO) yaitu sebuah kelompok sektor
swasta yang terdiri atas Asosiasi Akuntansi Amerika (Amercan Accounting Association),
AICPA, Ikatan Auditor Internal (Institute of Internal Auditors), Ikatan Akuntan
Manajemen (Institute of Management Accountants), dan Ikatan Eksekutif Keuangan
(Financial Executive Institute). COSO menerbitkan Pengendalian Internal (Internal
Control) – Kerangka Terintegrasi (Integrated Framework) – IC, yang diterima secara luas
sebagai otoritas untuk pengendalian internal yang digabungkan internal yang
digabungkan ke dalam kebijakan, peraturan, dan regulasi yang digunakan untuk
mengendalikan aktivitas bisnis.
Manajeman Risiko Perusahaan (Enterprise Risk Management)–Kerangka
Terintegrasi (Intergrated Framework)–ERM adalah proses yang digunakan oleh dewan
direksi dana manajemen untuk mengatur strategi, mengidentifikasi kejadian yang
mungkin memengaruhi entitas, menilai dan mengelola risiko, serta menyediakan jaminan
memadai bahwa perusahaan mencapai tujuan dan sasarannya.

5.3. Lingkungan Pengendalian

Lingkungan Internal (internal environment) adalah budaya perusahaan yang
merupakan d-fondasi dari seluruh ERM lainnya karena ini memengaruhi cara organisasi
menetapkan strategi dan tujuannya; membuat struktur aktivitas bisnis; dan
mengidentifikasi, menilai, serta merespons risiko.
Perusahaan juga memiliki selera risiko (risk appetite), yaitu jumlah risiko yang
bersedia diterima oleh sebuah perusahaan untuk mencapai tujuan dan sasarannya. Untuk
menghindari risiko yang tidak semestinya, selera risiko harus selaras dengan strategi
perusahaan.
Suatu perusahaan publik disyaratkan untuk memiliki sebuah komite audit (audit
committee), yaitu sejumlah anggota dewan direksi yang berasal dari luar dan independen
yang bertanggung jawab untuk pelopar keuangan, kepatuhan terhadap peraturan,
pengendalian internal, serta perekrutan dan pengawasan auditor internal dan eksternal.
Kebijakan dan prosedur manual menjelaskan praktik bisnis yang sesuai,
mendiskripsikan pengetahuan dan pengalaman yang dibutuhkan, menjelaskan prosedur
dokumen, menjelaskan cara menangani transaksi, dan mendata sumber daya yang
disediakan untuk melaksanakan tugas-tugas tertentu.
Pengecekan latar belakang (background check) merupakan sebuah investigasi para
pegawai atau calon pegawai yang memasukkan verifikasi pendidikan dan pengalaman
kerja mereka, berbicara berdasarkan referensi, pengecekan catatan kriminal atau
masalah kredit, dan pemerikasaan informasi lain yang tersedia secara publik.

5.4. Penilaian Risiko

Risiko bawaan (inherent risk) adalah kelemahan dari sebuah penetapan akun atau
transaksi pada masalah pengendalian yang signifikan tanpa adanya pengendalian
internal. Risiko residual adalah risiko yang tersisa setelah manajemen
mengimplementasikan pengendaliam imternal atau beberapa respons lainnya terhadap
risiko. Manajemen dapat merespons risiko dengan cara mengurangi, menerima,
membagikan, atau menghindari risiko tersebut.

5.5. Aktivitas Pengendalian

Aktivitas pengendalian (control activities) adalah kebijakan, prosedur, dan aturan
yang memberikan jaminan memadai bahwa tujuan pengendalian telah dicapai dan
direspons risiko dilakukan.
Pemberdayaan pegawai atau disebut dengan otorisasi (authorization), yaitu
penetapan kebijakan bagi para pegawai untuk diikuti dan kemudian memberdayakan
mereka guna melakukan fungsi organisasi tertentu. Otorisasi sering didokumentasikan
dengan penandatanganan, penginisialisasian, atau pemasukan kode pengotorisasian
pada sebuah dokumen atau catatan.

Gambar 5.3 Pemisahan Tugas

 Sebagaimana yang ditunjukan pada gambar 5.3, pemisahan tugas akuntansi
(segregation of accounting duties) yang efektif tercapai ketika fungsi-fungsi berikut
dipisahkan guna meminimalkan kemampuan pegawai untuk melakukan penipuan.
• Fungsi Otorisasi: menyetujui transaksi dan keputusan
• Fungsi Pencatatan: menyiapkan dokumen sumber atau memasukkan data secara
online; memelihara jurnal, buku besar, file, database; menyiapkan rekonsiliasi;
menyiapkan laporan kinerja
• Fungsi Penyimpanan: menangani kas; menangani persediaan, peralatan, atau
aktiva tetap; menuliskan cek; menerima cek yang dikirim.
Pemisahan tugas sistem yaitu penerapan prosedur-prosedur pengendalian untuk
membagi wewenang dan tanggung jawab secara jelas di dalam fungsi sistem informasi.
Wewenang dan tanggung jawab harus dibagi dengan jelas menurut fungsi-fungsinya.
Beberapa perusahaan mempekerjakan seorang sistem integrator untuk mengelola
sebuah upaya pengembangan sistem yang melibatkan personel dalam perusahaan,
kliennya, dan vendor lainnya.

5.6. Informasi dan Komunikasi

Sistem informasi dan komunikasi haruslah memperoleh dan mempertukaran
informasi yang dibutuhkan untuk mengatur, mengelola, dan mengendalikan operasi
perusahaan. Jejak audit adalah sebuah jalur yang memungkinkan transaksi untuk
ditelusuri melalui sistem pengolahan data dari titik asal ke output atau seblaiknya dari
output ke titik asal.

Rangkuman
1. Pedoman perusahaan dalam pencegahan terjadinya penipuan adalah sebagai
berikut:
• Memeriksa pengendalian internal untuk menentukan efektivitas dalam
mencegah penipuan.
• Meletakkan pengendalian yang baru untuk mendeteksi penipuan.
 • Melatih karyawan mengenai kesadaran penipuan, pengukuran keamanan, dan
isu etis.
2. Teknik Penipuan dan Penyalahgunaan Komputer, diantaranya serangan dan
Penyalahgunaan Komputer, Social engineering (rekayasa sosial), dan Malware.
3. Pengendalian internal (internal control) adalah proses dan prosedur yang dijalankan
untuk menyediakan jaminan memadai bahwa tujuan pengendalian dipenuhi.
Pengendalian internal menjalankan tiga fungsi penting sebagai pengendalian
preventif (preventive control), pengendalian detektif (detective control), dan
pengendalian korektif (corrective control).
4. Aktivitas pengendalian (control activities) adalah kebijakan, prosedur, dan aturan
yang memberikan jaminan memadai bahwa tujuan pengendalian telah dicapai dan
direspons risiko dilakukan.
5. Control objective for Information and Related Technology (COBIT) adalah sebuah
kerangka keamanan dan pengendalian yang memungkinkan (1) manajemen untuk
membuat tolak ukur prakti-praktik keamanan dan pengendalian lingkungan TI; (2)
para pengguna layanan TI dijamin dengan adanya keamanan dan pengendalian
yang memadai; (3) para auditor memperkuat opini pengendalian internal dan
mempertimbangkan msasalah keamanan TI dan pengendalian yang dilakukan.
6. Pemisahan tugas akuntansi (segregation of accounting duties) yang efektif tercapai
ketika fungsi otorisasi, fungsi pencatatan, dan fungsi penyimpanan dipisahkan guna
meminimalkan kemampuan pegawai untuk melakukan penipuan.

Latihan
1. Apakah Anda percaya bahwa cara yang paling efektif untuk memperoleh keamanan
sistem yang memadai adalah bergantung pada integritas karyawan perusahaan?
Mengapa atau mengapa tidak? Apakah ini tampak ironis? Apa yang sebaiknya
dilakukan perusahaan untuk memastikan integritas karyawan?
2. Apa motif yang dimilki orang-orang dalam melakukan hacking? Mengapa hacking
menjadi sangat popular pada tahun-tahun terakhir? Apakah Anda menganggap
hacking sebagai penipuan? Jelaskan pendapat Anda!
3. Salah satu fungsi dari SIA adalah untuk menyediakan pengendalian yang memadai
guna memastikan keamanan asset organisasi, termasuk data. Namun, banyak
orang menganggap prosedur pengendalian sebagai “birokrasi”. Mereka juga
percaya pengendalian bisnis bukannya memproduksi manfaat yang berwujud, tetapi
malah akan menciptakan kemarahan dan hilangnya moral perusahaan. Diskusikan
keadaan ini!
4. Ketika Anda pergi ke bioskop, Anda membeli sebuah tiket yang telah diberi nomor
sebelumnya dari kasir. Tiket ini deserahkan ke orang lain di pintu masuk bioskop.
Jenis penyimpangan apa yang coba dicegah oleh bioskop ini? Pengendalian apa
yang ia gunakan untuk mencegah penyimpangan-penyimpangan tersebut? apa
risiko yang tersisa atau paparan yang dapat Anda identifikasikan?
5. Pemisahan tugas yang efektif terkadang tidak mungkin secara ekonomis untuk
sebuah bisnis kecil. Elemen pengendalian internal apa yang menurut Anda dapat
membantu mengopeasikan ancaman ini!
 FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS BUDI LUHUR
Jl. Raya Ciledug, Petukangan Utara, Pesanggrahan
Jakarta Selatan, 12260
Telp: 021-5853753 Fax : 021-5853752
http://feb@budiluhur.ac.id