Nama : Ellen Fatmalissya

NIM : F1314037

Kelas : A (S1 Transfer Akuntansi)

Mata Kuliah : Sistem Informasi Akuntansi

TUGAS RINGKASAN MATERI KULIAH KE-4

Computer Fraud, Computer Fraud and Abuse Techniques, & Auditing CBIS

A. ANCAMAN SIA

Ancaman-ancaman atas Sistem Informasi Akuntansi (SIA), meliputi :

1. Kehancuran karena bencana alam dan politik, seperti : kebakaran atau panas berlebih, banjir, gempa bumi, badai angin, peperangan.

2. Kesalahan pada software dan tidak berfungsinya peralatan, seperti : kegagalan hardware, kesalahan atau kerusakan pada software, kegagalan sistem operasi, gangguan dan fluktuasi listrik, kesalahan pengiriman data yg tidak terdeteksi.

3. Tindakan yang tidak disengaja, seperti : kecelakaan yang disebabkan oleh kesalahan manusia, kesalahan atau penghapusan karena ketidaktahuan, hilangnya atau salah letaknya data, kesalahan pada logika sistem, sistem yang tidak memenuhi kebutuhan perusahaan atau tidak mampu menangani tugas yang diberikan.

4. Tindakan disengaja yang biasanya disebut sebagai kejahatan komputer, seperti : sabotase, penipuan melalui komputer, penyalahgunaan aset, pencurian.

Sabotase merupakan tindakan yang disengaja di mana tujuannya untuk menghancurkan sistem atau beberapa komponennya.

B. PENIPUAN

1. Definisi Fraud

Kecurangan (fraud) merupakan penipuan (beberapa dan semua sarana) yang digunakan untuk mendapatkan keuntungan pribadi atau untuk merugikan orang lain. Dalam hukum pidana, kecurangan adalah kejahatan atau pelanggaran yang dengan sengaja menipu orang lain dengan maksud untuk merugikan mereka, biasanya untuk memiliki sesuatu/harta benda atau jasa ataupun keuntungan dengan cara tidak adil/curang. Kecurangan dapat mahir melalui pemalsuan terhadap barang atau benda. Dalam hukum pidana secara umum disebut

1

dengan “pencurian dengan penipuan”, “pencurian dengan tipu daya/muslihat”, “pencurian dengan penggelapan dan penipuan” atau hal serupa lainnya.

Secara legal, untuk tindakan dikatakan curang maka harus ada :

a. Pernyataan, representasi, atau pengungkapan yang salah;

b. Fakta material, yaitu sesuatu yang menstimulasi seseorang untuk bertindak;

c. Niat untuk menipu;

d. Kepercayaan yang dapat dijustifikasi (dibenarkan);

e. Pencederaan atau kerugian yang diderita oleh korban.

Dalam hal ini para pelaku penipuan sering kali dianggap sebagai kriminal kerah putih (white-collar criminals), kejahatan yang dilakukan biasanya digunakan untuk menipu atau memperdaya, dan biasanya melibatkan pelanggaran kepercayaan/keyakinan.

Korupsi (Corruption) merupakan perilaku tidak jujur yang sering kali melibatkan tindakan yang tidak terlegitimasi, tidak bermoral, atau tidak kompatibel dengan standar etis. Jenis fraud ini yang paling sulit dideteksi karena menyangkut kerja sama dengan pihak lain seperti suap dan korupsi, di mana hal ini merupakan jenis yang terbanyak terjadi di negara-negara berkembang yang penegakan hukumnya lemah dan masih kurang kesadaran akan tata kelola yang baik sehingga faktor integritasnya masih dipertanyakan. Fraud jenis ini sering kali tidak dapat dideteksi karena para pihak yang bekerja sama menikmati keuntungan (simbiosis mutualisma). Termasuk di dalamnya adalah penyalahgunaan wewenang/konflik kepentingan (conflict of interest), penyuapan (bribery), penerimaan yang tidak sah/ilegal (illegal gratuities), dan pemerasan secara ekonomi (economic extortion).

Sedangkan Penipuan investasi merupakan misrepresentasi atau meninggalkan fakta-fakta untuk mempromosikan investasi yang menjanjikan laba fantastik dengan hanya sedikit atau bahkan tidak ada risiko.

2. Klasifikasi/Jenis Penipuan dalam Bisnis

a. Penyalahgunaan/Penyimpangan atas aset (Asset Misappropriation);

Asset misappropriation meliputi penyalahgunaan/pencurian aset atau harta perusahaan atau pihak lain oleh karyawan. Ini merupakan bentuk fraud yang paling mudah dideteksi karena sifatnya yang tangible atau dapat diukur/dihitung (defined value).

b. Kecurangan Pelaporan Keuangan

Pernyataan palsu atau salah pernyataan (Fraudulent Statement) meliputi tindakan yang dilakukan oleh pejabat atau eksekutif suatu perusahaan atau instansi pemerintah untuk menutupi kondisi keuangan yang sebenarnya dengan melakukan rekayasa keuangan (financial engineering) dalam penyajian laporan keuangannya untuk memperoleh keuntungan atau mungkin dapat dianalogikan dengan istilah window dressing.

2

Sedangkan kecurangan pelaporan keuangan (fraudulent financial reporting) merupakan perilaku yang disengaja atau ceroboh, apaka dengan tindakan atau kelalaian, yang menghasilkan laporan keuangan menyesatkan secara material.

3. SAS No. 99 : Tanggung Jawab Auditor Untuk Mendeteksi Penipuan

Statement on Auditing Standards (SAS) No. 99, Consideration of Fraud in a Financial Statement Audit, mensyaratkan auditor untuk :

a. Memahami penipuan;

b. Mendiskusikan risiko salah saji kecurangan yang material;

c. Memperoleh informasi;

d. Mengidentifikasi, menilai, dan merespons risiko;

e. Mengevaluasi hasil pengujian auditnya;

f. Mendokumentasikan dan mengkomunikasikan temuan;

g. Menggabungkan fokus teknologi.

C. SIAPA YANG MELAKUKAN PENIPUAN DAN MENGAPA

Para peneliti membandingkan karakteristik psikologis dan demografis tiga kelompok orang :

• Kejahatan kerah putih

• Masyarakat umum

• Kejahatan kekerasan

Karakteristik yang umum pada pelaku fraud tersebut, antara lain :

Sebagian besar dari mereka membelanjakan penghasilan tidak sahnya, bukan menginvestasikan atau menabungnya.

Sekali mereka melakukan kecurangan, sangatlah sulit bagi mereka untuk berhenti.

Mereka biasanya mulai bergantung pada penghasilan ekstra tersebut.

Para pelaku computer fraud (kecurangan komputer) cenderung berumur lebih muda dan memiliki lebih banyak pengalaman dan keahlian komputer.

Beberapa pelaku computer fraud lebih termotivasi oleh rasa penasaran dan tantangan untuk “mengalahkan sistem”.

Pelaku lainnya melakukan computer fraud untuk mendapatkan status yang lebih tinggi di antara komunitas pemakai komputer.

3

Sedikit perbedaan Perbedaan yang signifikan

Segitiga Penipuan

Tiga kondisi yang biasanya melatarbelakangi terjadinya fraud :

1. Tekanan atau motif

Dorongan atau motivasi seseorang untuk melakukan penipuan.

Tekanan-tekanan keuangan, meliputi : gaya hidup melebihi kemampuan, tingginya hutang pribadi, pendapatan tidak cukup, rendahnya tingkat kredit, besarnya kerugian keuangan, besarnya hutang judi.

Tekanan-tekanan yang berhubungan dengan pekerjaan, meliputi : gaji yang rendah, tidak adanya pengakuan atas kinerja, ketidakpuasan atas pekerjaan, rasa takut akan kehilangan pekerjaan, rencana bonus yang terlalu agresif.

Tekanan-tekanan lainnya, seperti : tantangan, tekanan keluarga/rekan kerja, ketidak-stabilan emosi, kebutuhan akan kekuasaan, harga diri atau ambisi yang berlebihan.

Tekanan yang dapat menyebabkan penipuan/penyalahgunaan oleh karyawan yaitu terkait dengan keuangan, emosional, dan gaya hidup. Sedangkan tekanan yang dapat menyebabkan penipuan laporan keuanhan yaitu berkaitan dengan karakteristik manajemen, kondisi industri, dan keuangan.

2. Peluang/Kesempatan

Peluang adalah kondisi atau situasi yang memungkinkan seseorang/organisasi untuk melakukan dan menutupi suatu tindakan yang tidak jujur, serta mengubahnya menjadi keuntungan pribadi. Peluang yang paling umum menimbulkan fraud, seringnya berasal dari kegagalan perusahaan untuk menjalankan sistem pengendalian internalnya.

Pada proses fraud terdapat tiga langkah/karakteristik, yaitu:

(1)pencurian sesuatu yang berharga (2)konversi ke uang tunai (3)penyembunyian.

Untuk menyembunyikan pencurian aset perusahaan, dapat dilakukan dengan cara :

a. membebankan item yang dicuri ke akun beban/rekening biaya (contoh: biaya entertaint);

b. menggunakan skema lapping

4

Rasionalisasi

Dalam skema gali lubang tutup lubang (lapping), pelaku mencuri uang yang diterima dari pelanggan A untuk membayar piutangnya. Dana yang diterima di kemudian hari dari pelanggan B akan digunakan untuk menutup saldo pelanggan A, dst.

c. menggunakan skema cek kiting

Di dalam skema perputaran (kitting), pelaku menutupi pencuriannya dengan cara menciptakan uang melalui transfer uang antar bank.

Pelaku fraud menyetorkan sebuah cek dari bank A ke bank B, lalu menarik uang.

Ketika ada dana di bank A tidak cukup untuk menutup cek, maka pelaku memasukkan cek dari bank C ke bank A sebelum ceknya ke bank B dikliring.

Ketika bank C juga tidak memiliki dana yang cukup, cek (uang) harus dimasukkan ke bank C sebelum ceknya ke bank A dikliring.

Skema ini akan terus berputar dengan proses pembuatan cek dan penyerahan cek, selama dibutuhkan untuk menghindari cek-cek tersebut ditolak.

3. Rasionalisasi

Kebanyakan pelaku fraud mempunyai alasan atau rasionalisasi yang membuat mereka merasa perilaku yang ilegal tersebut sebagai sesuatu yang wajar (pembenaran perilaku ilegal), antara lain meliputi :

Pelaku hanya meminjam aset yang dicuri;

Pelaku tidak melukai seseorang, hanya sistem computer (merasa tindakan yang dilakukan tidak serius);

Pelaku meyakini sebab/alasan yang dia miliki itu baik;

Pelaku meyakini bahwa orang lain juga melakukannya;

Tidak pernah seorangpun yang akan mengetahui.

D. PENIPUAN KOMPUTER

Departemen Kehakiman Amerika Serikat mendefinisikan Computer Fraud (Kecurangan Komputer) sebagai tindak ilegal apapun yang membutuhkan pengetahuan teknologi komputer untuk melakukan tindakan awal fraud, penyelidikan, atau pelaksanaannya.

Beberapa contoh kecurangan komputer itu, antara lain :

Pencurian, penggunaan, akses, modifikasi, penyalinan, dan perusakan software, hardware, atau data secara tidak sah;

Pencurian uang dengan mengubah catatan komputer atau pencurian waktu komputer;

5

Penggunaan atau konpirasi untuk menggunakan sumber daya komputer dalam melakukan tindak pidana;

Keinginan untuk secara ilegal mendapatkan informasi atau properti berwujud melalui penggunaan komputer;

1. Meningkatnya Penipuan Komputer

Organisasi-organisasi yang melacak computer fraud memperkirakan bahwa 80% usaha di Amerika Serikat telah menjadi korban paling tidak satu insiden computer fraud. Tidak ada seorangpun yang mengetahui dengan pasti bagaimana perusahaan kalah menghadapi computer fraud.

Beberapa faktor yang mempengaruhi peningkatan penipuan komputer antara lain :

Tidak setiap orang setuju tentang hal-hal yang termasuk computer fraud.

Banyak computer fraud yang tidak terdeteksi.

Sebagian besar jaringan memiliki tingkat keamanan yang rendah.

Banyak halaman dalam internet yang memberikan instruksi per langkah tentang bagaimana memulai kejahatan dan melakukan penyalahgunaan komputer.

Penegakan hukum tidak mampu mengikuti pertumbuhan jumlah computer fraud.

2. Klasifikasi Penipuan Komputer

a. Penipuan input

Mengganti /memalsukan input komputer merupakan cara paling sederhana dan umum untuk melakukan penipuan komputer. Keterampilan yang dibutuhkan sedikit, pelaku hanya perlu memahami cara kerja sistem operasi, sehingga dapat menutupi jejaknya.

b. Penipuan prosesor

Penipuan pada tahap proses merupakan penggunaan sistem yang tidak sah, termasuk pencurian waktu dan layanan komputer.

c. Penipuan instruksi komputer

Penipuan instruksi komputer termasuk merusak software perusahaan, menyalin, menggunakan, dan mengembangkan software secara ilegal serta untuk aktivitas ilegal.

d. Penipuan data

6

FraudPerintah Komputer

Fraud pemroses

FraudDataFraud

InputFraud Output

Penipuan data meliputi tindakan menggunakan, menyalin, mencari, atau membahayakan data perusahaan secara ilegal.

e. Penipuan output

Jika tidak diamankan secara benar, tampilan/cetakan output dapat dicuri, disalin, atau disalahgunakan. Pelaku penipuan menggunakan komputer untuk memalsukan output yang terlihat otentik, misalnya cek pembayaran.

E. MENCEGAH DAN MENDETEKSI PENIPUAN DAN PENYALAHGUNAAN

Ukuran bahwa potensial fraud dapat menurun, dipengaruhi beberapa faktor antara lain :

1. Membuat Fraud Lebih Jarang atau Tidak Terjadi

• Menciptakan budaya organisasi yang menekankan integritas dan komitmen untuk nilai etis dan kompetensi;

• Mengadopsi struktur organisasi, filosofi manajemen, gaya operasional, dan risiko yang meminimalkan kemungkinan penipuan;

• Membutuhkan pengawasan komite audit yang aktif, terlibat, dan independen.

• Menggunakan praktik mempekerjakan dan memecat pegawai yang semestinya;

• Mengatur para pegawai yang merasa tidak puas;

• Melatih para pegawai mengenai standar keamanan dan pencegahan terhadap fraud;

• Mengelola dan menelusuri lisensi software;

• Meminta menandatangani perjanjian kerahasiaan kerja.

2. Meningkatkan Kesulitan Dalam Melakukan Fraud

• Mengembangkan sistem pengendalian internal yang kuat;

• Memisahkan tugas;

• Meminta pegawai mengambil cuti dan melakukan rotasi pekerjaan;

• Membatasi akses ke perlengkapan komputer dan file data;

• Mengenkripsi data dan program.

3. Memperbaiki Metode Pendeteksian

• Mengamankan saluran telepon dan sistem dari virus;

• Mengendalikan data yang sensitive;

• Mengendalikan komputer laptop;

• Mengawasi informasi hacker.

4. Mengurangi kerugian akibat Fraud

7

• Tetap menggunakan jaminan asuransi yang memadai;

• Menyimpan salinan cadangan program dan file data pada lokasi luar kantor yang aman;

• Mengembangkan rencana kontinjensi dalam hal kejadian fraud;

• Menggunakan software untuk mengawasi kegiatan sistem dan untuk memulihkan diri dari akibat fraud.

5. Menuntut dan Memenjarakan Pelaku Fraud

Sebagian besar fraud tidak dilaporkan dan tidak dituntut untuk beberapa alasan berikut :

• Banyak kasus fraud yang belum terdeteksi;

• Perusahaan segan melaporkan kejahatan komputer.

Kendala/tantangan dalam menghadapai Fraud antara lain :

Petugas penegak hukum dan pengadilan sibuk sekali dengan kejahatan kekerasan, sehingga mereka hanya punya waktu sedikit untuk kasus Fraud (Kecurangan) yang tidak mengandung kekerasan fisik.

Fraud adalah hal yang sulit, berbiaya mahal, dan memakan waktu lama untuk diselidiki dan dituntut.

Banyak petugas penegak hukum, pengacara dan hakim kurang ahli dalam komputer yang dibutuhkan untuk menyelidiki, menuntut, dan mengevaluasi kejahatan komputer.

F. SERANGAN DAN PENYALAHGUNAAN KOMPUTER

Beberapa Teknik Kecurangan dan Penyalahgunaan Komputer (Computer Fraud and Abuse Techniques), antara lain :

1. Menjebol (cracking)

2. Mengacak data (data diddling) mengubah data sebelum atau selama entri ke dalam sebuah sistem komputer untuk menghapus, mengubah, menambah, atau memperbarui data sistem kunci yang salah.

3. Kebocoran data (data leakage) menyalin data perusahaan tanpa ijin, sering kali tanpa meninggalkan indikasi bahwa ia telah disalin.

4. Podslurping menggunakan sebuah perangkat kecil dengan kapasitas penyimpanan seperti iPod atau flash drive, untuk mengunduh data tanpa ijin dari sebuah komputer.

8

5. Serangan penolakan pelayanan (denial of service attack - DoS) serangan komputer dimana penyerang mengirimkan sejumlah bom e-mail atau permintaan halaman web, biasanya dari alamat salah yang diperoleh secara acak, agar server e-mail atau web server yaitu penyedia layanan internet kelebihan beban dan ditutup.

6. Spamming secara bersamaan mengirimkan pesan yang tak diminta kepada banyak orang pada saat bersamaan, biasanya dalam bentuk sebuah upaya untuk menjual sesuatu.

Serangan kamus (dictionary attack) / serangan panen direktori menggunakan software khusus untuk menebak alamat e-mail perusahaan dan mengirimkan pesan e-mail kosong, jika pesan tidak kembali maka biasanya alamat e-mail tersebut valid sehingga akan ditambahkan pada daftar alamat e-mail pelaku spamming.

7. Splog spam blog yang diciptakan untuk meningkatkan situs Google PageRank, yang merupakan intensitas sebuah halaman situs yang direferensikan oleh halaman situs lainnya.

8. Spoofing mengubah beberapa bagian dari komunikasi elektronik untuk membuat seolah-olah orang lain yang mengirimkannya agar mendapatkan kepercayaan dari penerima.

Beberapa bentuk spoofing antara lain : e-mail spoofing, caller ID spoofing, IP address spoofing, Address Resolution Protocol (ARP) spoofing, SMS spoofing, web-page spoofing, dan DNS spoofing.

9. Zero-day attack / zero-hour attack serangan di antara waktu kerentanan sebuah software baru ditemukan dan merilisnya sembarangan, serta saat sebuah pengembang software merilis patch (kode yang dirilis pengembang software) untuk memperbaiki masalah.

10. Cross-site scripting (XSS) kerentanan di halaman situs dinamis yang memungkinkan penyerang menerobos mekanisme keamanan browser dan memerintahkan korbannya untuk mengeksekusi kode, mengira bahwa itu berasal dari situs yang dikehendaki.

11. Serangan limpahan buffer (buffer overflow attack) saat jumlah data yang dimasukkan ke dalam sebuah program lebih banyak daripada jumlah dari input buffer. Limpahan input menimpa instruksi komputer berikutnya, menyebabkan sistem rusak.

12. Serangan injeksi (insersi) SQL (SQL injection/insertion attack) menyisipkan query SQL berbahaya pada input sehingga query tersebut lolos dan dijalankan oleh sebuah program aplikasi.

9

13. Serangan man in the middle (MITM attack) hacker menempatkan dirinya di antara seorang klien dan host untuk memotong komunikasi di antara mereka.

14. Masquerading / impersonation mengakses ke sebuah sistem dengan berpura-pura menjadi pengguna yang sah, pelaku perlu tahu ID dan password pengguna yang sah.

15. Pemalsuan dan Ancaman E-mail (e-mail forgery and threats) ancaman dikirim ke korban melalui e-mail, biasanya perlu beberapa tindakan follow-up dan mengakibatkan kerugian besar bagi korban.

16. Penipuan lelang internet menggunakan situs lelang internet untuk menipu orang lain.

17. Penipuan pump-and-pump internet menggunakan internet untuk menaikkan harga saham kemudian menjualnya.

18. Penipuan klik memanipulasi jumlah waktu iklan yang diklik untuk meningkatkan tagihan periklanan.

19. Penjelasan situs (web cramming) menawarkan situs gratis selama sebulan, mengembangkan situs tak berharga, dan membebankan tagihan telepon dari klien yang menerima tawaran selama berbulan-bulan.

20. Pembajakan software (software piracy) menyalin atau mendistribusikan software berhak cipta tanpa ijin.

21. Melanggar masuk (hacking) akses, modifikasi, atau penggunaan yang tidak sah atas perangkat elektronik atau beberapa elemen dalam sistem komputer.

22. Informasi yang salah di internet - Terorisme Internet menggunakan internet untuk mengganggu perdagangan elektronik serta membahayakan komputer dan komunikasi.

23. Misinformasi internet menggunakan internet untuk menyebarkan informasi palsu atau menyesatkan.

10

24. Menyusup (piggybacking) menyadap jalur komunikasi dan mengunci secara elektronik pengguna yang sah sehingga tanpa sadar membawa pelaku masuk ke sistem; penggunaan diam-diam atas wifi tetangga; seseorang yang tidak berwenang mengikuti seseorang yang berwenang memasuki pintu yang aman, menembus pengendalian keamanan fisik.

25. Penjebolan Password (password cracking) saat penyusup memasuki pertahanan sebuah sistem, mencuri file yang berisikan kata sandi valid, mendekripsinya, dan menggunakannya untk mengakses program, file, dan data.

26. War dialing memrogram sebuah komputer untuk menghubungi ribuan sambungan telepon untk mencari dial-up modem lines, yaitu dengan menerobos ke dalam PC yang tersambung dengan modem kemudian mengakses jaringan yang terhubung.

War driving : berkendara mencari jaringan nirkabel rumah atau perusahaan yang tidak terlindungi.

War rocketing : menggunakan roket untuk melepaskan titik akses nirkabel yang terhubung pada parasut untuk mendeteksi jaringan nirkabel tidak aman.

27. Phreaking penyerangan sistem telepon untuk mendapatkan akses sambungan telepon gratis, menggunakan sambungan telepon untuk mengirimkan malware, mengakses, mencari, sera menghancurkan data.

28. Teknik salami (salami technique) pencurian sebagian kecil uang dari beberapa rekening yang berbeda.

29. Pembulatan ke bawah (round-down) memerintahkan komputer untuk membulatkan seluruh perhitungan bunga menjadi dua tempat desimal. Pecahan dari sen yang dibulatkan pada setiap perhitungan dimasukkan ke dalam rekening pemrogram.

30. Spionase ekonomi (economic espionage) mencari informasi, rahasia dagang, dan kekayaan intelektual.

31. Pemerasan dunia maya (cyber-extortion) ancaman untuk membahayakan sebuah perusahaan atau seseorang jika sejumlah uang tertentu tidak dibayarkan.

32. Cyber-bullying menggunakan teknologi komputer untuk mendukung perilaku disengaja, berulang, dan bermusuhan yang menyiksa, mengancam, mengusik, menghina, mempermalukan, atau membahayakan orang lain.

11

33. Sexting tukar-menukar pesan teks dan gambar yang terang-terangan bersifat seksual dengan orang lain, biasanya dengan perantara telepon.

34. Pembajakan Software (hijacking) pengambilan kendali atas komputer orang lain untuk melakuakn aktivitas terlarang tanpa sepengetahuan pengguna komputer yang sebenarnya.

Botnet (robot network) : sebuah jaringan komputer terbajak yang dan berbahaya yang digunakan untuk menyerang sistem atau menyebarkan malware.

Zombie : sebuah komputer yang dibajak, biasanya merupakan bagian dari botnet yang dipergunakan untuk melakukan berbagai serangan internet.

Bot herder : seseorang yang menciptakan botnet dengan memasangkan software pada pc yang merespon instruksi elektronik milik bot herder.

G. REKAYASA SOSIAL

Rekayasa sosial (social engineering) merupakan teknik atau trik psikologis yang digunakan agar orang-orang memenuhi keinginan pelaku dalam rangka untuk mendapatkan akses fisik atau logis ke sebuah bangunan, komputer, server, atau jaringan. Hal ini biasanya untuk mendapatkan informasi yang dibutuhkan untuk memperoleh data rahasia.

Tujuh sifat manusia yang dimanfaatkan agar seseorang bersedia mengungkapkan atau melakukan tindakan tertentu, menurut Cisco, yaitu : belas kasihan, keserakahan, daya tarik, kemalasan, kepercayaan, urgensi, dan kesombongan.

Beberapa isu dan teknik rekayasa sosial, antara lain :

1. Pencurian identitas

2. Pretexting

3. Posing

4. Phishing

5. Phishing suara (vishing)

6. Carding

7. Pharming

8. Evil twin

9. Typosquating

10. Tabnapping

11. Pencarian (scavenging)

12. Shoulder surfing

13. Loop Lebanon (Lebanese looping)

14. Skimming

15. Chipping

16. Menguping (eavesdropping)

12

H. MALWARE

Malware adalah segala software yang digunakan untuk tujuan yang membahayakan. Sebagian besar malware merupakan hasil pemasangan atau penyutikan oleh penyerang dari jarak jauh. Malware disebarkan dengan beberapa pendekatan termasuk akses bersama file, lampiran e-mail, dan kerentanan akses jarak jauh.

Beberapa teknik malware yaitu :

1. Spyware

2. Adware

3. Torpedo software

4. Scareware

5. Ransomware

6. Keylogger

7. Bom waktu logika (logic time bomb)

8. Menyamar atau Meniru

9. Serangan cepat (superzapping)

10. Pintu jebakan (trap door)

11. Kuda troya (trojan horse)

12. Virus

13. Cacing (worm)

14. Packet sniffer

15. Program steganografi

16. Rootkit

17. Bluesnarfing

18. Bluebugging

I. PENGAUDITAN SISTEM INFORMASI BERBASIS KOMPUTER

Pengauditan adalah proses sistematik atas pemerolehan dan pengevaluasian bukti mengenai asersi-asersi tentang tindakan dan kejadian ekonomi dalam rangka menentukan seberapa baik kesesuaiannya dengan kriteria yang ditetapkan.

Pengauditan internal merupakan aktivitas penjaminan dan konsultasi yang didesain untuk menambah nilai dan menigkatkan efektivitas dan efisiensi serta mencapai tujuan organisasi.

Audit keuangan adalah pemeriksaan keterandalan dan integritas dari transaksi-transaksi keuangan, catatan akuntans, dan laporan keuangan.

Audit sistem informasi (internal control) merupakan audit atas pengendalian umum dan aplikasi atas sebuah sistem informasi untuk menilai kepatuhannya dengan kebijakan dan prosedur pengendalian internal serta efektivitas dalam pengamanan aset.

Jenis-jenis audit:

1. Financial audit, memeriksa keterandalan dan integritas dari transaksi keuangan, catatan akuntansi, dan laporan keuangan.

13

2. Operational audit, terkonsen pada efisiensi dan efektivitas dengan semua sumberdaya yang digunakan untuk melaksanakan tugas, cakupanya meliputi kesesuaian praktik dan prosedur dengan peraturan yang ditetapkan.

3. Compliance audit, terkonsentrasi pada cakupan undang-undang, peraturan pemerintah, pengendalian dan kewajiban badan eksternal lain yang telah diikut.

4. Project manajement and change control audit, (dulu dikenal sebagai suatu pengembangan sistem audit) terkonsentrasi oleh efesiensi dan efektifitas pada berbagai tahap pengembangan sistem siklus kehidupan yang sedang diselenggarakan.

5. Internal control audit, terkonsentrasi pada evaluasi struktur pengendalian internalFinancial audit terkonsentrasi pada kewajaran laporan keuangan yang menunjukan posisi keuangan, aliran kas dan hasil kinerja perusahaan. Termasuk di dalamnya audit sistem informasi, untuk memeriksa pengendalian atas SIA.

6. Fraud audit adalah nonrecurring audit (audit investigatif) yang dilaksanakan untuk mengumpulkan bukti untuk menentukan apakah sedang terjadi, telah terjadi atau akan terjadi kecurangan. Dan penyelesaian hal sesuai dengan pemberian tanggungjawab.

J. SIFAT PENGAUDITAN

Tinjauan menyeluruh proses audit :

1. Perencanaan audit

a. Menetapkan lingkup dan tujuan

b. Mengatur tim audit

c. Memeriksa hasil audit sebelumnya

d. Mengidentifikasi faktor-faktor risiko

e. Menyiapkan program audit

2. Pengumpulan bukti audit

a. Observasi atas aktivitas operasi

b. Pemeriksaan atas dokumentasi

c. Diskusi dengan para pegawai

d. Kuesioner

e. Pemeriksaan fisik atas aset

f. Konfirmasi melalui pihak ketiga

g. Mengulang prosedur yang ada

14

h. Vouching atas dokumen sumber

i. Tinjauan analitis

j. Penarikan sampel audit

3. Pengevaluasian bukti

a. Menilai kualitas pengendalian internal

b. Menilai keterandalan informasi

c. Menilai kinerja pengoperasian

d. Mempertimbangan kebutuhan akan bukti tambahan

e. Mempertimbangkan faktor-faktor risiko

f. Mempertimbangkan faktor-faktor materialitas

g. Mendokumentasikan temuan-temuan audit

4. Pengkomunikasian hasil audit

a. Memformulasikan kesimpulan audit

b. Mengembangkan rekomendasi bagi manajemen

c. Menyiapkan laporan audit

d. Menyajikan hasil audit ke manajemen

K. AUDIT SISTEM INFORMASI

Tujuan audit sistem informasi adalah untuk memeriksa dan mengevaluasi pengendalian internal yang melindungi sistem, yaitu meliputi hal-hal sebagai berikut :

1. Keamanan sistem informasi menyeluruh melindungi peralatan komputer, program, komunikasi, dan data-data dari akses, modifikasi, atau penghancuran yang tidak diotorosasi.

2. Pengembangan dan akuisisi program sesuai otorosasi umum dan spesifikasi manajemen.

3. Modifikasi program sesuai otorosasi dan persetujuan manajemen.

4. Pemrosesan komputer proses transaksi, file, laporan, catatan, dll tepat dan lengkap.

5. Data sumber penanganan data yang tidak tepat/ilegal berdasarkan kebijakan manajerial.

6. File data tepat, lengkap, rahasia.

15

L. PERANGKAT LUNAK AUDIT

Computer-assisted audit techniques (CAATs) merupakan software audit yang menggunakan spesifikasi yang disediakan oleh auditor untk menghasilakna sebuah program untuk menjalankan fungsi audit, sehingga akan mengotomastiskan/ menyederhanakan proses audit. Perangkat ini sering disebut Generalized audit software (GAS), contoh software nya antara lain Audit Control Language (ACL), dan Interactive Data Extraction and Analysis (IDEA).

CAATs sangat sesuai untuk memeriksa file data yang besar dalam mengidentifikasi catatan yang memerlukan pengawasan audit lebih jauh. Misal pada perusahaan yang memiliki proses rumit, operasi terdistribusi, volume transaksi tinggi, atau memiliki banyak jenis aplikasi dan sistem.

Contoh penggunaan CAATs antara lain :

Meminta file data untuk memuat catatan yang memenuhi kriteria tertentu;

Membuat, memperbarui, membandingkan, mengunduh, dan menggabungkan file;

Merangkum, menyortir, dan menyaring data.

M. AUDIT OPERASIONAL SIA

Teknik dan prosedur yang digunakan dalam audit operasional serupa dengan audit atas sistem informasi dan laporan keuangan, perbedaan mendasar hanya pada lingkup audit.

ð Audit sistem informasi ditujukan pada pengendalian internal;

ð Audit keuangan ditujukan atas output sistem;

ð Audit operasional meliputi seluruh aspek atas manajemen sistem, dan tujuannya termasuk dalam mengevaluasi efektivitas, efisiensi, dan pencapaian tujuan.

Tahap audit operasional :

1. Perencanaan audit : lingkup dan tujuan audit ditetapkan, persiapan tinjauan sistem, persiapan program audit tentatif;

2. Pengumpulan bukti : memeriksa kebijakan dan dokumentasi operasi, konfirmasi prosedur-prosedur, observasi fungsi dan aktivitas operasi, memeriksa rencana serta laporan keuangan dan operasional, menguji ketepatan informasi operasi, menguji pengendalian;

3. Pengevaluasian bukti : mengukur sistem terhadap salah satu sistem yang mengikuti prinsip-prinsip manajemen yang terbaik;

4. Mendokumentasikan temuan-temuan dan kesimpulannya;

5. Mengkomunikasikan hasil audit kepada manajemen.

16