Audit Kecurangan
Meskipun
dewasa ini audit kecurangan sudah menjadi suatu materi tersendiri dalam
pem-bahasan tentang audit,14 di samping di Amerika Serikat terdapat
profesi tersendiri yang mem-fokuskan pada masalah kecurangan dan sama sekali
tidak menggunakan terminology audit se-perti Certified Fraud Examiner,
pada bagian ini yang dimaksud dengan audit kecurangan ada-lah prosedur audit
yang digunakan oleh auditor untuk memperoleh keyakinan yang memadai mengenai
apakah laporan keuangan bebas dari salah saji yang material yang disebabkan
oleh kecurangan (fraud).
Sebagaimana
juga diakui oleh IAI, kesengajaan sering sulit ditentukan, padahal faktor
ke-sengajaan merupakan kata kunci yang digunakan oleh IAI untuk menentukan
apakah suatu ke-salahan dianggap
sebagai kekeliruan (error) atau kecurangan. Meskipun demikian, adanya fak-tor risiko atau kondisi lain dapat memperingatkan
auditor tentang kemungkinan adanya ke-curangan.15 Kondisi lain ini sering disebut
dengan istilah “red flags” yang antara lain dapat ber-bentuk sebagai berikut:16
- Pengendalian intern yang lemah
atau diabaikan oleh manajemen.
- Kerugian persediaan dalam
jumlah yang besar.
- Hasil-hasil pemeriksaan auditor intern
ataupun auditor ekstern yang diabaikan oleh ma-najemen.
- Aktivitas perbankan yang tidak
biasa atau aneh.
- Pengeluaran untuk biaya atau
pembelian dalam jumlah yang besar.
- Manajemen didominasi oleh salah
seorang atau beberapa orang secara bersama-sama.
- Terdapat perputaran pimpinan
yang tinggi, atau sering berganti-ganti pimpinan.
- Perusahaan mempunyai perjanjian
kontrak yang signifikan.
- Kompensasi manajemen didasarkan
pada kinerja tertulis sehingga membuka peluang bagi manajemen untuk
“mengutak-atik” kinerja agar memperoleh bonus atau kompen-sasi yang besar.
- Auditor menjumpai adanya
ketidakjujuran dari manajemen.
- Perusahaan sering
berganti-ganti auditor.
Berdasarkan
“red flags” tersebut auditor “harus secara khusus menaksir risiko salah
saji material dalam laporan keuangan sebagai akibat dari kecurangan dan harus
mempertimbang-kan taksiran risiko ini dalam mendesain prosedur audit yang akan
dilaksanakan.”17 Untuk me-naksir risiko salah saji material dalam
laporan keuangan tersebut, auditor perlu meminta kete-rangan dari manajemen
dengan maksud (1) untuk memperoleh pemahaman dari manajemen berkenaan dengan
risiko kecurangan dalam entitas, dan (2) untuk menentukan apakah manaje-men
memiliki pengetahuan tentang kecurangan yang telah dilakukan terhadap atau
terjadi da-lam entitas.18
Berdasarkan
informasi dari manajemen tersebut diharapkan auditor dapat mengidentifika-si
faktor-faktor risiko kecurangan yang mungkin berdampak pada taksiran auditor.
Akan tetapi karena kecurangan yang berakibat pada terjadinya salah saji yang
material dalam laporan ke-uangan ada dua jenis ––yaitu salah saji yang timbul
sebagai akibat dari kecurangan dalam pe-laporan keuangan dan kecurangan yang
timbul dari perlakuan tidak semestinya terhadap ak-tiva–– maka IAI juga membagi
faktor-faktor risiko kecurangan tersebut dalam dua bagian sebagai berikut:19
- Faktor risiko yang berkaitan
dengan salah saji yang timbul dari kecurangan dalam pe-laporan keuangan,
yang dapat dikelompokkan ke dalam tiga golongan sebagai berikut:
a. Karakteristik dan pengaruh manajemen atas
lingkungan pengendalian dapat menjadi faktor pendorong bagi manajemen untuk
melakukan kecurangan dalam pelaporan keuangan. Hal-hal yang dapat memberi
indikasi kecurangan bagi au-ditor antara lain adalah sebagai berikut:
(1) Adanya dorongan bagi manajemen untuk melakukan
kecurangan dalam pe-laporan keuangan, misalnya karena adanya bonus, stock
option, atau insen-tif lain yang nilainya
signifikan; keinginan yang berlebihan dalam memper-tahankan atau meningkatkan
harga saham; manajemen memberikan komit-men kepada analis, kreditur atau pihak ketiga lainnya untuk mencapai
pra-kiraan yang tampak terlalu agresif atau secara jelas tidak realistis; atau
ke-pentingan manajemen dalam menempuh cara yang tidak semestinya untuk
meminimumkan laba yang dilaporkan berdasarkan alasan pajak.
(2) Adanya kegagalan untuk menyajikan dan mengkomunikasikan sikap yang se-mestinya
tentang pengendalian intern dan proses pelaporan keuangan oleh pihak manajemen,
seperti pengkomunikasian nilai atau etika yang tidak se-mestinya; staf
akuntansi, teknologi informasi dan/atau auditor intern yang tidak efektif yang
dipekerjakan secara terus menerus.
(3) Adanya partisipasi dan fokus yang berlebihan dari
manajemen nonkeuang-an terhadap pemilihan prinsip akuntansi atau penentuan
estimasi signifikan.
(4) Adanya perputaran yang tinggi pada anggota
manajemen senior, penasihat, atau dewan
komisaris.
(5) Adanya hubungan yang tidak baik atau tegang antara
manajemen dengan auditor sekarang atau auditor pendahulu, misalnya permintaan
yang tidak masuk aka1 kepada auditor, termasuk batasan waktu yang tidak
realistis un-tuk menyelesaikan audit atau penerbitan laporan auditor;
pembatasan (res-mi atau tidak resmi) terhadap auditor terhadap akses auditor ke orang atau in-formasi
atau atas kemampuan auditor untuk melakukan komunikasi secara efektif dengan
dewan komisaris atau komite audit.
(6) Adanya informasi mengenai pelanggaran terhadap
peraturan sekuritas atau adanya tuntutan melakukan kecurangan atau pelanggaran
undang-undang sekuritas kepada perusahaan atau manajemen senior.
b. Kondisi industri. Faktor risiko ini mencakup
lingkungan ekonomi dan peraturan dalam industri yang menjadi tempat
beroperasinya perusahaan, seperti adanya akuntansi atau peraturan perundang-undangan yang baru yang dapat
menghan-curkan stabilitas keuangan atau
profitabilitas perusahaan; tingginya tingkat kom-petisi atau kejenuhan pasar yang
disertai dengan menurunnya laba; atau terjadi-nya perubahan pesat dalam
industri yang menimbulkan kerentanan terhadap perubahan teknologi atau
keusangan produk cepat.
c. Karakteristik operasi dan stabilitas keuangan.
Faktor risiko ini berkaitan de-ngan sifat dan kekompleksan entitas dan
transaksinya, keadaan keuangan enti-tas, manajemen memiliki utang entitas dalam
jumlah yang signifikan yang dija-min secara pribadi, serta kemampuan entitas
dalam menghasilkan laba, seperti ketidakmampuan untuk menghasilkan arus kas
dari operasi, tetapi perusahaan dilaporkan laba dan labanya mengalami
pertumbuhan.
- Faktor risiko yang berkaitan
dengan salah saji yang disebabkan oleh perlakuan tidak se-mestinya
terhadap aktiva, yang dapat dikelompokkan ke dalam dua golongan sebagai
berikut:
a. Tingkat kecurigaan tentang terjadinya perlakuan
tidak semestinya terhadap aktiva. Hal ini berkaitan dengan sifat aktiva entitas
dan tingkat kerentanan aktiva dari pencurian, seperti jumlah kas yang sangat
besar; karakteristik persedia-an atau aktiva lainnya yang dimiliki entitas
seperti ukurannya kecil, nilai atau permintaannya tinggi, mudah dijual, tidak
adanya identifikasi kepe-milikan, mudah diubah misalnya obligasi atas unjuk (bearer bond), berlian,
atau computer chip; dan sebagainya.
b. Pengendalian. Hal ini berkaitan dengan kurangnya pengendalian
yang di-rancang untuk mencegah atau mendeteksi terjadinya perlakuan tidak
se-mestinya terhadap aktiva, seperti kurangnya pengendalian oleh manaje-men,
tidak memadainya penyelenggaraan catatan, kurangnya
sistem otori-sasi dan pengesahan transaksi, kurangnya pemisahan tugas atau penge-cekan secara
independent, dan sebagainya.
Luasnya
pertimbangan auditor atas faktor risiko dalam golongan pengendalian (golong-an
b di atas) dipengaruhi oleh tingkat keberadaan faktor risiko dalam golongan a.
Selain itu, meskipun auditor tidak wajib merencanakan audit untuk menemukan
informasi yang memberikan indikasi adanya tekanan keuangan bagi karyawan atau
hubungan yang merugikan antara entitas dengan
karyawannya, auditor mungkin menya-dari informasi tentang itu,
seperti adanya:
a. Pemutusan hubungan kerja karyawan yang diperkirakan
akan terjadi yang te-lah diketahui oleh karyawan.
b. Karyawan yang memiliki akses ke aktiva yang
dicurigai rentan terhadap perlakuan tidak semestinya telah diketahui tidak puas
terhadap entitas.
c. Perubahan yang telah diketahui yang bersifat luar
biasa dalam perilaku atau gaya hidup karyawan yang memiliki akses ke aktiva
yang dicurigai rentan terhadap perlakuan tidak semestinya.
d. Tekanan keuangan pribadi karyawan yang memiliki akses
ke aktiva yang dicurigai rentan terhadap perlakuan tidak semestinya.
Apabila auditor mengetahui adanya informasi seperti itu, ia harus mem-pertimbangkannya
dalam menaksir risiko salah saji material sebagai akibat dari per-lakuan tidak
semestinya terhadap aktiva.
Sebagaimana
disebutkan sebelumnya, IAI mengharuskan auditor untuk menaksir risiko salah
saji yang material dalam laporan keuangan sebagai akibat dari kecurangan.
Informasi yang biasanya digunakan oleh auditor untuk mengakses risiko salah
saji yang material dalam laporan keuangan akibat dari kecurangan adalah sebagai
berikut:20
- Informasi yang diperoleh dari
komunikasi diantara anggota tim audit berkaitan de-ngan pengetahuan mereka
mengenai perusahaan dan perusahaan yang sejenis, terma-suk bagaimana dan
dimana entitas memiliki kecenderungan terjadinya salah saji da-lam laporan
keuangan sebagai akibat dari kecurangan.
Hal ini
antara lain mencakup faktor-faktor yang dipahami oleh para anggota tim audit,
baik faktor tersebut internal ataupun eksternal entitas yang diaudit, yang
dapat:
- mendorong atau memberikan tekanan kepada manajemen untuk melakukan tindak-an-tindakan yang berbau
kecurangan;
- menciptakan kesempatan bagi
dilakukannya tindakan kecurangan;
- mengindikasikan adanya
kebiasaan atau lingkungan yang memungkinkan bagi manajemen untuk
merasionalisasikan tindakan-tindakan yang berbau kecurangan.
Selain itu,
komunikasi antar anggota tim audit juga perlu diarahkan untuk mempero-leh
pemahaman tentang bagaimana manajemen dapat melakukan dan menyembunyi-kan
tindakan-tindakan yang berbau kecurangan, caracara mengenai bagaimana aktiva
perusahaan dapat digelapkan, serta bagaimana auditora harus merespon mengenai
ke-mungkinan salah saji yang material dalam laporan keuangan akibat dari
kecurangan.
- Jawaban manajemen atas
pertanyaan auditor mengenai pandangan mereka terhadap risiko kecurangan
serta mengenai caracara dan pengendalian yang digunakan untuk menangani
risiko kecurangan yang teridentifikasi.
Pertanyaan
auditor kepada manajemen dan pihak-pihak lain di dalam entitas sangat penting
karena cara ini biasanya dapat mengungkapkan kemungkinan-kemungkinan terjadinya
kecurangan. Cara inilah yang memberi kesempatan kepada para pegawai, terlebih
mereka yang biasanya diidentifikasi sebagai BSH (barisan sakit hati), akan
dengan ”suka cita” menceritakan hal-hal yang terjadi dalam entitas yang
diaudit.
IAI
menyatakan bahwa jawaban atas pertanyaan auditor kepada manajemen dan
pi-hak-pihak lain di dalam entitas ”dapat mengidentifikasi faktor-faktor risiko
kecu-rangan yang mungkin berdampak terhadap taksiran auditor dan tanggapan yang
bersangkutan. Beberapa hal yang dapat diajukan sebagai pertanyaan adalah (a)
apakah terdapat lokasi anak perusahaan tertentu, segmen bisnis, tipe transaksi,
saldo akun, atau golongan laporan keuangan yang di dalamnya terdapat faktor risiko kecu-rangan atau memiliki kemungkinan lebih besar adanya faktor risiko tersebut
dan (b) bagaimana manajemen menangani risiko seperti itu.”21 Boynton dan
Johnston menyatakan bahwa jawaban manajemen dan pihak-pihak lain dalam entitas
atas pertanyaan auditor dapat digunakan untuk memperoleh pandangan mereka
tentang risiko kecurangan dan bagaimana risiko-risiko tersebut diatasi seperti
kebijakan yang digunakan untuk mengurangi risiko-risiko tersebut. Jika terjadi
ketidaksamaan jawaban diantara mereka, maka auditor harus mencari informasi
lain untuk menga-tasi ketidaksamaan tersebut.22
- Faktor-faktor risiko tertentu
atas kecurangan dalam pelaporan keuangan (fraudulent financial
reporting) dan kecurangan yang timbul dari perlakuan tidak
semestinya ter-hadap aktiva.
SA Seksi 316
juga menghendaki agar auditor melakukan evaluasi terhadap faktor risiko
kecurangan dan kondisi lain23 yang mengindikasikan hal-hal yang
disebutkan pada butir 1 di atas yang mengarah pada the Fraud Triangle.
- Hasil pengujian analitis yang
diperoleh dalam tahap perencanaan yang mengindikasi-kan hal-hal yang
fantastis atau hubungan-hubungan yang tidak diharapkan.
Prosedur
analitis atau sering juga disebut reviu analitis (analytical review)
atau au-diting analitis (analytical auditing) “terdiri dari
evaluasi terhadap informasi keu-angan yang dibuat dengan mempelajari hubungan
yang masuk akal antara data keu-angan yang satu dengan data keuangan lainnya,
atau antara data keuangan dengan data nonkeuangan.”24 Dari
hubungan-hubungan tersebut auditor dapat memperoleh gambaran tentang risiko
kecurangan. Karena kecurangan sering menyangkut mani-pulasi tentang pendapatan,
maka tidak mengherankan apabila IAI menggunakan con-toh penjualan yang perlu
dilakukan prosedur analitisnya dengan cara “membanding-kan pendapatan penjualan
dan kos penjualan (cost of sale) menurut lokasi dan ke-lompok bisnis
dengan harapan yang dikembangkan oleh auditor.”25
Meskipun
demikian, auditor juga harus berhati-hati dan menyadari bahwa prosedur analitis
yang hanya membandingkan data keuangan
saja mungkin tidak akan efektif untuk menemukan kecurangan dalam pelaporan
keuangan karena angka-angka yang dibuat entitas telah dibuat sedemikian rupa
agar terlihat baik. Karena itu auditor se-mestinya juga membandingkan data keuangan dengan data nonkeuangan tentang ak-tivitas bisnis, seperti membandingkan
nilai dan kuantitas persediaan dengan upah buruh langsung, dan sebagainya.26
- Pengetahuan atau informasi yang
diperoleh melalui prosedur-prosedur lainnya.
Pengetahuan
atau informasi lain yang perlu diperoleh oleh auditor antara lain adalah
mengenai integritas dan kejujuran manajemen yang diperoleh auditor dalam proses
awal penugasan, diskusi dengan mereka, evaluasi atas tindak lanjut terhadap
pengen-dalian intern yang disarankan untuk diperbaiki pada audit periode
sebelumnya, dan sebagainya.
Jika dari pelaksanaan prosedur di atas
auditor menemukan adanya risiko salah saji yang material
yang diakibatkan oleh kecurangan, maka pertama-tama auditor harus membahas
te-muan ini dengan manajemen untuk memperoleh pandangan mereka tentang potensi
kecu-rangan dan pengendalian yang ada yang dapat digunakan untuk mencegah atau mendeteksi sa-lah saji.
Apabila pengendalian semacam itu ada untuk mengurangi risiko tertentu akibat
ke-curangan, maka auditor harus melakukan evaluasi mengenai memadai-tidaknya
pengenda-lian atau cara-cara tersebut.27 Tergantung pada akun atau
pos-pos dalam laporan keuangan yang mengindikasikan adanya kecurangan, tiga hal
yang biasanya dilakukan oleh auditor adalah sebagai berikut:28
- Mengubah pelaksanaan audit guna merespon risiko kecurangan yang ditemukan, ter-masuk
mempekerjakan tenaga audit yang lebih berpengalaman atau bahkan
spesia-lis. Sebagaimana disebutkan
sebelumnya (lihat hal. 423), auditor mungkin menarik diri dari penugasan audit bila merasakan risiko akibat
kecurangan tersebut terlalu besar. Hanya saja standar audit mengharuskan
auditor untuk mengkomunikasikan pengunduran diri tersebut kepada komite
audit atau pihak lain yang berwenang.
- Merancang dan melaksanakan prosedur-prosedur audit untuk
menangani risiko ke-curangan yang ditemukan. Prosedur-prosedur audit ini
tentunya bergantung pada je-nis akun atau pos-pos dalam laporan keuangan
yang tengah diaudit dan jenis risiko kecurangan yang dihadapi auditor,
oleh karena itu masing-masing prosedur tentu-nya berbeda, misalnya dalam
akun pembelian fokus auditor adalah pembelian fik-tif.29
- Merancang dan melaksanakan prosedur-prosedur audit untuk menangani risiko aki-bat manajemen menabrak rambu-rambu
pengendalian. Karena kekuasaan yang di-miliki manajemen, maka kemungkinan
seperti ini sangat sering terjadi dalam setiap pekerjaan audit. Tiga
prosedur yang harus senantiasa dilakukan oleh auditor adalah sebagai
berikut:30
- Menguji jurnal-jurnal
transaksi dan jurnal penyesuaian yang dibuat untuk men-cari bukti adanya
kemungkinan terjadinya kecurangan.
- Telaah estimasi-estimasi akuntansi untuk menilai ada-tidaknya kecurangan. Mes-kipun demikian, IAI juga menyatakan
bahwa hal ini sulit dilakukan.31
- Evaluasi rasional dari bisnis
yang dilakukan untuk mengetahui transaksi-tran-saksi besar yang tidak
biasa. IAI menyatakan bahwa untuk transaksi-transaksi besar yang tidak
biasa terutama yang terjadi menjelang atau pada tanggal neraca, maka
auditor perlu melakukan penyelidikan mengenai kemungkinan kaitan-nya
dengan pihak-pihak yang memiliki hubungan istimewa serta sumber
pem-belanjaan yang mendukung transaksi tersebut.32
Dengan
menerapkan prosedur-prosedur tersebut di atas, maka apabila auditor telah
me-netapkan bahwa salah saji yang terjadi adalah akibat dari kecurangan atau
mungkin diaki-batkan oleh kecurangan, maka baik auditor dapat menentukan apakah
efeknya material atau tidak pada laporan keuangan, maka auditor harus melakukan
hal-hal sebagai berikut:33
- Mengupayakan untuk memperoleh
bukti audit untuk menentukan apakah kecurang-an yang material memang
benar-benar terjadi, dan bila ya, apa akibatnya.
- Mempertimbangkan implikasinya
pada aspek lain dari audit yang dilaksanakannya.
- Membahas masalah tersebut dan
ancangan yang akan dilakukan untuk melakukan penyelidikan bersama
manajemen pada tingkatan yang memadai, yaitu setidak-ti-daknya satu tingkat di atas manajemen
yang terlibat dalam tindakan yang berbau ke-curangan.
- Jika memungkinkan, menyarankan kepada manajemen untuk menggunakan jasa kon-sultan hukum.
Taylor dan
Glezen menyatakan bahwa keempat prosedur di atas hanya dilakukan apabi-la
pengaruh dari kecurangan tersebut pada laporan keuangan adalah material.
Apabila pe-ngaruh dari kecurangan tersebut
pada laporan keuangan tidak material, mereka menyaran-kan agar auditor melakukan hal-hal sebagai berikut:34
- Sampaikan hal tersebut kepada
manajemen pada tingkatan yang memadai, yaitu se-tidak-tidaknya satu tingkat
di atas manajemen yang terlibat dalam tindakan yang berbau kecurangan.
- Yakinkan diri sendiri bahwa
implikasi dari adanya kecurangan tersebut pada aspek lain dari pekerjaan
audit telah diperhatikan secara memadai.
Audit Forensik
Sebagaimana disebutkan sebelumnya, auditor
berkewajiban untuk menilai bagaimana pe-ngendalian yang ada yang dapat
digunakan untuk mencegah atau mendeteksi salah saji. Dalam kaitannya dengan pemanfaatan komputer dalam pengolahan data, kebijakan-kebijakan
berikut ini perlu menjadi perhatian manajemen:35
- Penggunaan dan penyalahgunaan
komputer.
Sebagai
bagian dari pengendalian untuk mencegah atau mendeteksi salah saji, sudah
semestinya apabila entitas mempunyai kebijakan yang terkait dengan apa yang
dina-makan dengan benar dan tidak benar dalam memanfaatkan teknologi milik
entitas yang bersangkutan, termasuk dalam masalah
komputer sebagai berikut:
- apakah pegawai boleh atau
tidak boleh membawa laptop milik entitas ke rumah mereka atau saat mereka
liburan;
- apakah pegawai boleh atau tidak boleh
meminjamkan laptop milik entitas ke se-sama pegawai;
- apakah pegawai boleh atau
tidak boleh membuat kopy atau piranti lunak milik en-titas;
- apakah pegawai boleh atau
tidak boleh menggunakan piranti lunak bajakan pada desktop pegawai di
kantor;
- apakah pegawai boleh atau
tidak boleh melakukan surfing di internet pada jam kantor atau
melakukan urusan pribadi pegawai tersebut di internet (misalnya me-mesan
tiket pribadi untuk liburan dirinya dan/atau keluarganya);
- apa yang boleh dan yang tidak
boleh dilakukan oleh pegawai dalam menggu-nakan e-mail;
- bagaimana protokol tentang
kata sandi, seperti mengubah kata sandi secara perio-dik;
- bagaimana cara memutakhirkan
program perlindungan terhadap virus komputer;
- bagaimana cara memanfaatkan (sharing)
fail dan media penyimpanan pada kom-puter kantor; dan sebagainya.
- Kebijakan tentang pengamanan
jaringan.
Apabila
entitas menggunakan jaringan (network) dalam pengolahan data mereka,
ma-ka sebagai bagian dari pengendalian untuk mencegah atau mendeteksi salah
saji, su-dah semestinya pula apabila entitas mempunyai kebijakan tentang
pengamanan ja-ringan, baik pada tingkat jaringan maupun pada tingkat program
aplikasinya, sehingga dapat diketahui pegawai mana yang boleh dan yang tidak boleh
mengakses jaringan (authentication), program aplikasi apa saja yang
boleh dan yang tidak boleh diakses oleh pegawai tertentu, bagaimana pegawai
dapat memastikan telah terpasangnya pro-teksi firewall, bagaimana
dokumen dan e-mail dapat diacak (encrypt) dan dikirimkan melalui
jaringan, dan sebagainya.
- Kebijakan entitas tentang
kecurangan.
Beberapa
entitas memisahkan kebijakan tentang kecurangan, terutama dalam hal apa saja
yang dapat dikategorikan sebagai kecurangan, kepada siapa saja kebijakan
terse-but diterapkan, bagaimana
pelakunya akan ditindak, apakah pemberi informasi ten-tang kecurangan tersebut (whistle-blower)
akan diberi perlindungan, bagaimana pe-rencanaan entitas atau prosedur yang digunakan dalam menangani
insiden kecurangan yang terjadi atau pembocoran informasi ke luar entitas oleh
pegawai, di samping do-kumentasi mengenai hal-hal sebagai berikut:
- bagaimana insiden tersebut
diungkapkan atau terungkap;
- sistem mana yang dilanggar dan
secara rinci bagaimana sistem tersebut diakses;
- kapan kecurangan tersebut
terjadi (tanggal dan jam berapa);
- siapa pelakunya;
- bagaimana kejadian kecurangan
tersebut diselesaikan;
- berapa biaya atau kerugian
yang ditimbulkan oleh kecurangan tersebut;
- modifikasi apa yang diperlukan
untuk memperbaiki sistem yang ada sehingga da-pat mencegah kejadian
serupa di masa-masa mendatang.
Uraian di
atas menunjukkan seolah-olah setiap kecurangan yang melibatkan komputer akan
dengan mudah diketahui oleh pegawai entitas
atau auditor. Dalam praktik tidak semua pe-gawai atau auditor
memiliki keahlian untuk mendeteksi dan mengetahui apa yang telah terjadi
(kecurangan) yang melibatkan komputer, dan ada orang-orang tertentu yang
mengkhususkan diri untuk mendapatkan dan mengakses informasi secara legal dan
bahkan dapat menyajikan-nya di pengadilan berdasarkan metodologi dan prosedur
yang juga legal. Orang-orang seperti ini disebut ahli forensik komputer.36
Ini berarti bahwa apabila ahli forensik komputer tersebut adalah auditor, maka
kecurangan yang ingin dibuktikan oleh auditor forensik melibatkan penggunaan
teknologi komputer. Hunton et al. menyatakan kecurangan yang melibatkan
peng-gunaan teknologi komputer ini dengan istilah kecurangan teknologi
informasi (IT fraud).37
Karena auditor dapat dinyatakan bertanggung
jawab atas terjadinya kecurangan (lihat catatan akhir 10), maka auditor PDE
perlu pula memahami kecurangan terutama yang berkaitan dengan kecurangan
teknologi informasi, di samping memahami pula teknologi apa saja yang dapat
digunakannya untuk mendeteksi kecurangan, termasuk teknik audit berbantuan
komputer.
Hal-hal yang
dapat dilakukan oleh seorang ahli forensik komputer adalah sebagai beri-kut:38
- Mencari, mengakses kembali dan
mengkonversi (decipher) data elektronik di kom-puter atau media
penyimpanan data lainnya meskipun data tersebut sudah secara se-ngaja diacak (encrypt),
dihapuskan oleh pelaku kecurangan TI atau bahkan hard disk atau media penyimpanan data lainnya tersebut
telah diformat ulang.
- Memperbaiki (recover)
pekerjaan yang dilakukan dalam beberapa tahap. Sebagai contoh, misalkan
seseorang di bagian pembukuan melakukan pembuatan faktur fiktif. Jika hal
ini dilakukan dalam beberapa tahap seperti membuat template faktur,
mengkopy dan mem-paste logo perusahaan dan kemudian mengisi
fakturnya de-ngan data palsu, maka langkah-langkah ini dapat
direkonstruksi secara terpisah dan kemudian disatukan serta dapat
dijadikan bukti investigasi kejahatan.
- Mencocokkan disket yang berisi
data dengan kompurter personal yang digunakan untuk menyimpan data dalam disket tersebut.
Keahlian seperti ini dibutuhkan untuk menentukan siapa pemilik disket yang dicurigai
atau yang terkait dengan kecurang-an atau kejahatan.
- Memastikan apakah suatu komputer yang telah diidentifikasi
dengan program ter-tentu seperti Micro-ID sebagai milik seseorang memang
benar-benar milik orang tersebut. Hal ini mungkin saja terjadi akibat
banyaknya komputer yang secara fisik terlihat sama, sehingga program
seperti Micro-ID sering digunakan untuk menulis identifikasi individual
pemilik komputer seperti nama, alamat,
nomor telepon, tang-gal lahir dan sebagainya, dan data pribadi ini
disimpan dalam tempat yang
rahasia di hard disk komputer. Apabila komputer tersebut dicuri,
maka seorang ahli forensik komputer dapat menggunakan program tertentu untuk mencocokkan apakah nama,
alamat, nomor telepon, atau tanggal lahir yang disimpan dalam tempat yang rahasia dalam hard disk komputer yang
dicurigai sebagai barang curian tersebut memang sama dengan nama, alamat,
nomor telepon, atau tanggal lahir pemiliknya atau yang mengaku pemiliknya.
- Mencari dan mengakses kembali
surat-surat elektronik (e-mail) yang telah dihapus-kan beserta
lampiran-lampiran (attachment) pada surat-surat elektronik yang
telah dihapuskan tersebut.
- Menelusuri situs-situs yang
pernah digunakan oleh seseorang yang tengah diselidiki tindakannya dalam
menggunakan internet, informasi apa saja yang diunduh (down load),
serta kepada siapa saja informasi tersebut didistribusikan.
- Melakukan evaluasi terhadap
lingkungan sistem informasi guna memberikan reko-mendasi mengenai apakah
data yang ada di komputer sudah cukup terproteksi dari invasi elektronik
para penjahat komputer, pesaing, dan pelaku kecurangan lainnya.
- Membantu organisasi untuk
mengembangkan data warehousing yang aman dan mengurangi
prosedur-prosedur untuk menghilangkan atau meminimalisir data yang rangkap
atau tumpang tindih (redundancy) dan penyimpanan data yang lama
untuk data yang tidak lagi dibutuhkan atau diperlukan.
Untuk dapat
melaksanakan pekerjaannya tersebut seorang ahli forensik komputer biasa-nya
menggunaan peralatan dan perlengkapan berupa perangkat keras dan perangkat
lunak. Perangkat keras dalam hal ini bukan hanya peralatan komputer saja
melainkan juga alat-alat seperti obeng untuk membuka casing komputer
untuk melihat ada-tidaknya hard disk dalam komputer tersebut. Bila hard
disk-nya masih ada maka pekerjaan dapat dilanjutkan karena pada dasarnya
seorang ahli forensik komputer ”menghidupkan kembali” data yang sebenar-nya masih
ada dalam hard disk tersebut meski telah dihapus oleh pelakunya. Akan
tetapi apabila pelaku kecurangan tersebut juga membawa serta hard disk-nya
maka ahli forensik komputer tersebut juga tidak akan mampu berbuat banyak.
Selain itu, kamera dijital juga perlu disiapkan ahli forensik komputer terlebih
apabila komputer tersebut harus dikembali-kan ke posisi semula sebagaimana
sebelum ”diotak-atik” oleh ahli forensik komputer ter-sebut, di samping
tentunya media perekaman data seperti hard disk untuk backup, CD
atau DVD recordable, dan sebagainya. Selebihnya adalah program-program utility
sebagaimana tampak pada Tabel 14.4.
Tabel 14.4
Contoh-contoh Program Utility yang Biasa
Digunaka