Jumat, 10 Januari 2014

Audit Kecurangan



Audit Kecurangan

Meskipun dewasa ini audit kecurangan sudah menjadi suatu materi tersendiri dalam pem-bahasan tentang audit,14 di samping di Amerika Serikat terdapat profesi tersendiri yang mem-fokuskan pada masalah kecurangan dan sama sekali tidak menggunakan terminology audit se-perti Certified Fraud Examiner, pada bagian ini yang dimaksud dengan audit kecurangan ada-lah prosedur audit yang digunakan oleh auditor untuk memperoleh keyakinan yang memadai mengenai apakah laporan keuangan bebas dari salah saji yang material yang disebabkan oleh kecurangan (fraud).

Sebagaimana juga diakui oleh IAI, kesengajaan sering sulit ditentukan, padahal faktor ke-sengajaan merupakan kata kunci yang digunakan oleh IAI untuk menentukan apakah suatu ke-salahan dianggap sebagai kekeliruan (error) atau kecurangan. Meskipun demikian, adanya fak-tor risiko atau kondisi lain dapat memperingatkan auditor tentang kemungkinan adanya ke-curangan.15 Kondisi lain ini sering disebut dengan istilah “red flags yang antara lain dapat ber-bentuk sebagai berikut:16

  1. Pengendalian intern yang lemah atau diabaikan oleh manajemen.

  1. Kerugian persediaan dalam jumlah yang besar.

  1. Hasil-hasil pemeriksaan auditor intern ataupun auditor ekstern yang diabaikan oleh ma-najemen.

  1. Aktivitas perbankan yang tidak biasa atau aneh.

  1. Pengeluaran untuk biaya atau pembelian dalam jumlah yang besar.


  1. Manajemen didominasi oleh salah seorang atau beberapa orang secara bersama-sama.


  1. Terdapat perputaran pimpinan yang tinggi, atau sering berganti-ganti pimpinan.

  1. Perusahaan mempunyai perjanjian kontrak yang signifikan.

  1. Kompensasi manajemen didasarkan pada kinerja tertulis sehingga membuka peluang bagi manajemen untuk “mengutak-atik” kinerja agar memperoleh bonus atau kompen-sasi yang besar.

  1. Auditor menjumpai adanya ketidakjujuran dari manajemen.

  1. Perusahaan sering berganti-ganti auditor.

Berdasarkan “red flags” tersebut auditor “harus secara khusus menaksir risiko salah saji material dalam laporan keuangan sebagai akibat dari kecurangan dan harus mempertimbang-kan taksiran risiko ini dalam mendesain prosedur audit yang akan dilaksanakan.”17 Untuk me-naksir risiko salah saji material dalam laporan keuangan tersebut, auditor perlu meminta kete-rangan dari manajemen dengan maksud (1) untuk memperoleh pemahaman dari manajemen berkenaan dengan risiko kecurangan dalam entitas, dan (2) untuk menentukan apakah manaje-men memiliki pengetahuan tentang kecurangan yang telah dilakukan terhadap atau terjadi da-lam entitas.18

Berdasarkan informasi dari manajemen tersebut diharapkan auditor dapat mengidentifika-si faktor-faktor risiko kecurangan yang mungkin berdampak pada taksiran auditor. Akan tetapi karena kecurangan yang berakibat pada terjadinya salah saji yang material dalam laporan ke-uangan ada dua jenis ––yaitu salah saji yang timbul sebagai akibat dari kecurangan dalam pe-laporan keuangan dan kecurangan yang timbul dari perlakuan tidak semestinya terhadap ak-tiva–– maka IAI juga membagi faktor-faktor risiko kecurangan tersebut dalam dua bagian sebagai berikut:19

  1. Faktor risiko yang berkaitan dengan salah saji yang timbul dari kecurangan dalam pe-laporan keuangan, yang dapat dikelompokkan ke dalam tiga golongan sebagai berikut:

a. Karakteristik dan pengaruh manajemen atas lingkungan pengendalian dapat menjadi faktor pendorong bagi manajemen untuk melakukan kecurangan dalam pelaporan keuangan. Hal-hal yang dapat memberi indikasi kecurangan bagi au-ditor antara lain adalah sebagai berikut:

(1) Adanya dorongan bagi manajemen untuk melakukan kecurangan dalam pe-laporan keuangan, misalnya karena adanya bonus, stock option, atau insen-tif lain yang nilainya signifikan; keinginan yang berlebihan dalam memper-tahankan atau meningkatkan harga saham; manajemen memberikan komit-men kepada analis, kreditur atau pihak ketiga lainnya untuk mencapai pra-kiraan yang tampak terlalu agresif atau secara jelas tidak realistis; atau ke-pentingan manajemen dalam menempuh cara yang tidak semestinya untuk meminimumkan laba yang dilaporkan berdasarkan alasan pajak.

(2) Adanya kegagalan untuk menyajikan dan mengkomunikasikan sikap yang se-mestinya tentang pengendalian intern dan proses pelaporan keuangan oleh pihak manajemen, seperti pengkomunikasian nilai atau etika yang tidak se-mestinya; staf akuntansi, teknologi informasi dan/atau auditor intern yang tidak efektif yang dipekerjakan secara terus menerus.

(3) Adanya partisipasi dan fokus yang berlebihan dari manajemen nonkeuang-an terhadap pemilihan prinsip akuntansi atau penentuan estimasi signifikan.

(4) Adanya perputaran yang tinggi pada anggota manajemen senior, penasihat, atau dewan komisaris.

(5) Adanya hubungan yang tidak baik atau tegang antara manajemen dengan auditor sekarang atau auditor pendahulu, misalnya permintaan yang tidak masuk aka1 kepada auditor, termasuk batasan waktu yang tidak realistis un-tuk menyelesaikan audit atau penerbitan laporan auditor; pembatasan (res-mi atau tidak resmi) terhadap auditor terhadap akses auditor ke orang atau in-formasi atau atas kemampuan auditor untuk melakukan komunikasi secara efektif dengan dewan komisaris atau komite audit.

(6) Adanya informasi mengenai pelanggaran terhadap peraturan sekuritas atau adanya tuntutan melakukan kecurangan atau pelanggaran undang-undang sekuritas kepada perusahaan atau manajemen senior.

b. Kondisi industri. Faktor risiko ini mencakup lingkungan ekonomi dan peraturan dalam industri yang menjadi tempat beroperasinya perusahaan, seperti adanya akuntansi atau peraturan perundang-undangan yang baru yang dapat menghan-curkan stabilitas keuangan atau profitabilitas perusahaan; tingginya tingkat kom-petisi atau kejenuhan pasar yang disertai dengan menurunnya laba; atau terjadi-nya perubahan pesat dalam industri yang menimbulkan kerentanan terhadap perubahan teknologi atau keusangan produk cepat.

c. Karakteristik operasi dan stabilitas keuangan. Faktor risiko ini berkaitan de-ngan sifat dan kekompleksan entitas dan transaksinya, keadaan keuangan enti-tas, manajemen memiliki utang entitas dalam jumlah yang signifikan yang dija-min secara pribadi, serta kemampuan entitas dalam menghasilkan laba, seperti ketidakmampuan untuk menghasilkan arus kas dari operasi, tetapi perusahaan dilaporkan laba dan labanya mengalami pertumbuhan.

  1. Faktor risiko yang berkaitan dengan salah saji yang disebabkan oleh perlakuan tidak se-mestinya terhadap aktiva, yang dapat dikelompokkan ke dalam dua golongan sebagai berikut:

a. Tingkat kecurigaan tentang terjadinya perlakuan tidak semestinya terhadap aktiva. Hal ini berkaitan dengan sifat aktiva entitas dan tingkat kerentanan aktiva dari pencurian, seperti jumlah kas yang sangat besar; karakteristik persedia-an atau aktiva lainnya yang dimiliki entitas seperti ukurannya kecil, nilai atau permintaannya tinggi, mudah dijual, tidak adanya identifikasi kepe-milikan, mudah diubah misalnya obligasi atas unjuk (bearer bond), berlian, atau computer chip; dan sebagainya.

b. Pengendalian. Hal ini berkaitan dengan kurangnya pengendalian yang di-rancang untuk mencegah atau mendeteksi terjadinya perlakuan tidak se-mestinya terhadap aktiva, seperti kurangnya pengendalian oleh manaje-men, tidak memadainya penyelenggaraan catatan, kurangnya sistem otori-sasi dan pengesahan transaksi, kurangnya pemisahan tugas atau penge-cekan secara independent, dan sebagainya.

Luasnya pertimbangan auditor atas faktor risiko dalam golongan pengendalian (golong-an b di atas) dipengaruhi oleh tingkat keberadaan faktor risiko dalam golongan a. Selain itu, meskipun auditor tidak wajib merencanakan audit untuk menemukan informasi yang memberikan indikasi adanya tekanan keuangan bagi karyawan atau hubungan yang merugikan antara entitas dengan karyawannya, auditor mungkin menya-dari informasi tentang itu, seperti adanya:

a. Pemutusan hubungan kerja karyawan yang diperkirakan akan terjadi yang te-lah diketahui oleh karyawan.

b. Karyawan yang memiliki akses ke aktiva yang dicurigai rentan terhadap perlakuan tidak semestinya telah diketahui tidak puas terhadap entitas.

c. Perubahan yang telah diketahui yang bersifat luar biasa dalam perilaku atau gaya hidup karyawan yang memiliki akses ke aktiva yang dicurigai rentan terhadap perlakuan tidak semestinya.

d. Tekanan keuangan pribadi karyawan yang memiliki akses ke aktiva yang dicurigai rentan terhadap perlakuan tidak semestinya.

Apabila auditor mengetahui adanya informasi seperti itu, ia harus mem-pertimbangkannya dalam menaksir risiko salah saji material sebagai akibat dari per-lakuan tidak semestinya terhadap aktiva.

Sebagaimana disebutkan sebelumnya, IAI mengharuskan auditor untuk menaksir risiko salah saji yang material dalam laporan keuangan sebagai akibat dari kecurangan. Informasi yang biasanya digunakan oleh auditor untuk mengakses risiko salah saji yang material dalam laporan keuangan akibat dari kecurangan adalah sebagai berikut:20

  1. Informasi yang diperoleh dari komunikasi diantara anggota tim audit berkaitan de-ngan pengetahuan mereka mengenai perusahaan dan perusahaan yang sejenis, terma-suk bagaimana dan dimana entitas memiliki kecenderungan terjadinya salah saji da-lam laporan keuangan sebagai akibat dari kecurangan.

Hal ini antara lain mencakup faktor-faktor yang dipahami oleh para anggota tim audit, baik faktor tersebut internal ataupun eksternal entitas yang diaudit, yang dapat:

    1. mendorong atau memberikan tekanan kepada manajemen untuk melakukan tindak-an-tindakan yang berbau kecurangan;

    1. menciptakan kesempatan bagi dilakukannya tindakan kecurangan;

    1. mengindikasikan adanya kebiasaan atau lingkungan yang memungkinkan bagi manajemen untuk merasionalisasikan tindakan-tindakan yang berbau kecurangan.

Selain itu, komunikasi antar anggota tim audit juga perlu diarahkan untuk mempero-leh pemahaman tentang bagaimana manajemen dapat melakukan dan menyembunyi-kan tindakan-tindakan yang berbau kecurangan, caracara mengenai bagaimana aktiva perusahaan dapat digelapkan, serta bagaimana auditora harus merespon mengenai ke-mungkinan salah saji yang material dalam laporan keuangan akibat dari kecurangan.

  1. Jawaban manajemen atas pertanyaan auditor mengenai pandangan mereka terhadap risiko kecurangan serta mengenai caracara dan pengendalian yang digunakan untuk menangani risiko kecurangan yang teridentifikasi.

Pertanyaan auditor kepada manajemen dan pihak-pihak lain di dalam entitas sangat penting karena cara ini biasanya dapat mengungkapkan kemungkinan-kemungkinan terjadinya kecurangan. Cara inilah yang memberi kesempatan kepada para pegawai, terlebih mereka yang biasanya diidentifikasi sebagai BSH (barisan sakit hati), akan dengan ”suka cita” menceritakan hal-hal yang terjadi dalam entitas yang diaudit.

IAI menyatakan bahwa jawaban atas pertanyaan auditor kepada manajemen dan pi-hak-pihak lain di dalam entitas ”dapat mengidentifikasi faktor-faktor risiko kecu-rangan yang mungkin berdampak terhadap taksiran auditor dan tanggapan yang bersangkutan. Beberapa hal yang dapat diajukan sebagai pertanyaan adalah (a) apakah terdapat lokasi anak perusahaan tertentu, segmen bisnis, tipe transaksi, saldo akun, atau golongan laporan keuangan yang di dalamnya terdapat faktor risiko kecu-rangan atau memiliki kemungkinan lebih besar adanya faktor risiko tersebut dan (b) bagaimana manajemen menangani risiko seperti itu.”21 Boynton dan Johnston menyatakan bahwa jawaban manajemen dan pihak-pihak lain dalam entitas atas pertanyaan auditor dapat digunakan untuk memperoleh pandangan mereka tentang risiko kecurangan dan bagaimana risiko-risiko tersebut diatasi seperti kebijakan yang digunakan untuk mengurangi risiko-risiko tersebut. Jika terjadi ketidaksamaan jawaban diantara mereka, maka auditor harus mencari informasi lain untuk menga-tasi ketidaksamaan tersebut.22

  1. Faktor-faktor risiko tertentu atas kecurangan dalam pelaporan keuangan (fraudulent financial reporting) dan kecurangan yang timbul dari perlakuan tidak semestinya ter-hadap aktiva.


SA Seksi 316 juga menghendaki agar auditor melakukan evaluasi terhadap faktor risiko kecurangan dan kondisi lain23 yang mengindikasikan hal-hal yang disebutkan pada butir 1 di atas yang mengarah pada the Fraud Triangle.

  1. Hasil pengujian analitis yang diperoleh dalam tahap perencanaan yang mengindikasi-kan hal-hal yang fantastis atau hubungan-hubungan yang tidak diharapkan.

Prosedur analitis atau sering juga disebut reviu analitis (analytical review) atau au-diting analitis (analytical auditing) “terdiri dari evaluasi terhadap informasi keu-angan yang dibuat dengan mempelajari hubungan yang masuk akal antara data keu-angan yang satu dengan data keuangan lainnya, atau antara data keuangan dengan data nonkeuangan.”24 Dari hubungan-hubungan tersebut auditor dapat memperoleh gambaran tentang risiko kecurangan. Karena kecurangan sering menyangkut mani-pulasi tentang pendapatan, maka tidak mengherankan apabila IAI menggunakan con-toh penjualan yang perlu dilakukan prosedur analitisnya dengan cara “membanding-kan pendapatan penjualan dan kos penjualan (cost of sale) menurut lokasi dan ke-lompok bisnis dengan harapan yang dikembangkan oleh auditor.”25

Meskipun demikian, auditor juga harus berhati-hati dan menyadari bahwa prosedur analitis yang hanya membandingkan data keuangan saja mungkin tidak akan efektif untuk menemukan kecurangan dalam pelaporan keuangan karena angka-angka yang dibuat entitas telah dibuat sedemikian rupa agar terlihat baik. Karena itu auditor se-mestinya juga membandingkan data keuangan dengan data nonkeuangan tentang ak-tivitas bisnis, seperti membandingkan nilai dan kuantitas persediaan dengan upah buruh langsung, dan sebagainya.26

  1. Pengetahuan atau informasi yang diperoleh melalui prosedur-prosedur lainnya.
Pengetahuan atau informasi lain yang perlu diperoleh oleh auditor antara lain adalah mengenai integritas dan kejujuran manajemen yang diperoleh auditor dalam proses awal penugasan, diskusi dengan mereka, evaluasi atas tindak lanjut terhadap pengen-dalian intern yang disarankan untuk diperbaiki pada audit periode sebelumnya, dan sebagainya.

Jika dari pelaksanaan prosedur di atas auditor menemukan adanya risiko salah saji yang material yang diakibatkan oleh kecurangan, maka pertama-tama auditor harus membahas te-muan ini dengan manajemen untuk memperoleh pandangan mereka tentang potensi kecu-rangan dan pengendalian yang ada yang dapat digunakan untuk mencegah atau mendeteksi sa-lah saji. Apabila pengendalian semacam itu ada untuk mengurangi risiko tertentu akibat ke-curangan, maka auditor harus melakukan evaluasi mengenai memadai-tidaknya pengenda-lian atau cara-cara tersebut.27 Tergantung pada akun atau pos-pos dalam laporan keuangan yang mengindikasikan adanya kecurangan, tiga hal yang biasanya dilakukan oleh auditor adalah sebagai berikut:28

  1. Mengubah pelaksanaan audit guna merespon risiko kecurangan yang ditemukan, ter-masuk mempekerjakan tenaga audit yang lebih berpengalaman atau bahkan spesia-lis. Sebagaimana disebutkan sebelumnya (lihat hal. 423), auditor mungkin menarik diri dari penugasan audit bila merasakan risiko akibat kecurangan tersebut terlalu besar. Hanya saja standar audit mengharuskan auditor untuk mengkomunikasikan pengunduran diri tersebut kepada komite audit atau pihak lain yang berwenang.

  1. Merancang dan melaksanakan prosedur-prosedur audit untuk menangani risiko ke-curangan yang ditemukan. Prosedur-prosedur audit ini tentunya bergantung pada je-nis akun atau pos-pos dalam laporan keuangan yang tengah diaudit dan jenis risiko kecurangan yang dihadapi auditor, oleh karena itu masing-masing prosedur tentu-nya berbeda, misalnya dalam akun pembelian fokus auditor adalah pembelian fik-tif.29

  1. Merancang dan melaksanakan prosedur-prosedur audit untuk menangani risiko aki-bat manajemen menabrak rambu-rambu pengendalian. Karena kekuasaan yang di-miliki manajemen, maka kemungkinan seperti ini sangat sering terjadi dalam setiap pekerjaan audit. Tiga prosedur yang harus senantiasa dilakukan oleh auditor adalah sebagai berikut:30

    1. Menguji jurnal-jurnal transaksi dan jurnal penyesuaian yang dibuat untuk men-cari bukti adanya kemungkinan terjadinya kecurangan.

    1. Telaah estimasi-estimasi akuntansi untuk menilai ada-tidaknya kecurangan. Mes-kipun demikian, IAI juga menyatakan bahwa hal ini sulit dilakukan.31

    1. Evaluasi rasional dari bisnis yang dilakukan untuk mengetahui transaksi-tran-saksi besar yang tidak biasa. IAI menyatakan bahwa untuk transaksi-transaksi besar yang tidak biasa terutama yang terjadi menjelang atau pada tanggal neraca, maka auditor perlu melakukan penyelidikan mengenai kemungkinan kaitan-nya dengan pihak-pihak yang memiliki hubungan istimewa serta sumber pem-belanjaan yang mendukung transaksi tersebut.32

Dengan menerapkan prosedur-prosedur tersebut di atas, maka apabila auditor telah me-netapkan bahwa salah saji yang terjadi adalah akibat dari kecurangan atau mungkin diaki-batkan oleh kecurangan, maka baik auditor dapat menentukan apakah efeknya material atau tidak pada laporan keuangan, maka auditor harus melakukan hal-hal sebagai berikut:33

  1. Mengupayakan untuk memperoleh bukti audit untuk menentukan apakah kecurang-an yang material memang benar-benar terjadi, dan bila ya, apa akibatnya.

  1. Mempertimbangkan implikasinya pada aspek lain dari audit yang dilaksanakannya.

  1. Membahas masalah tersebut dan ancangan yang akan dilakukan untuk melakukan penyelidikan bersama manajemen pada tingkatan yang memadai, yaitu setidak-ti-daknya satu tingkat di atas manajemen yang terlibat dalam tindakan yang berbau ke-curangan.

  1. Jika memungkinkan, menyarankan kepada manajemen untuk menggunakan jasa kon-sultan hukum.

Taylor dan Glezen menyatakan bahwa keempat prosedur di atas hanya dilakukan apabi-la pengaruh dari kecurangan tersebut pada laporan keuangan adalah material. Apabila pe-ngaruh dari kecurangan tersebut pada laporan keuangan tidak material, mereka menyaran-kan agar auditor melakukan hal-hal sebagai berikut:34

  1. Sampaikan hal tersebut kepada manajemen pada tingkatan yang memadai, yaitu se-tidak-tidaknya satu tingkat di atas manajemen yang terlibat dalam tindakan yang berbau kecurangan.

  1. Yakinkan diri sendiri bahwa implikasi dari adanya kecurangan tersebut pada aspek lain dari pekerjaan audit telah diperhatikan secara memadai.



Audit Forensik

Sebagaimana disebutkan sebelumnya, auditor berkewajiban untuk menilai bagaimana pe-ngendalian yang ada yang dapat digunakan untuk mencegah atau mendeteksi salah saji. Dalam kaitannya dengan pemanfaatan komputer dalam pengolahan data, kebijakan-kebijakan berikut ini perlu menjadi perhatian manajemen:35

  1. Penggunaan dan penyalahgunaan komputer.

Sebagai bagian dari pengendalian untuk mencegah atau mendeteksi salah saji, sudah semestinya apabila entitas mempunyai kebijakan yang terkait dengan apa yang dina-makan dengan benar dan tidak benar dalam memanfaatkan teknologi milik entitas yang bersangkutan, termasuk dalam masalah komputer sebagai berikut:

    1. apakah pegawai boleh atau tidak boleh membawa laptop milik entitas ke rumah mereka atau saat mereka liburan;

    1. apakah pegawai boleh atau tidak boleh meminjamkan laptop milik entitas ke se-sama pegawai;

    1. apakah pegawai boleh atau tidak boleh membuat kopy atau piranti lunak milik en-titas;

    1. apakah pegawai boleh atau tidak boleh menggunakan piranti lunak bajakan pada desktop pegawai di kantor;

    1. apakah pegawai boleh atau tidak boleh melakukan surfing di internet pada jam kantor atau melakukan urusan pribadi pegawai tersebut di internet (misalnya me-mesan tiket pribadi untuk liburan dirinya dan/atau keluarganya);

    1. apa yang boleh dan yang tidak boleh dilakukan oleh pegawai dalam menggu-nakan e-mail;

    1. bagaimana protokol tentang kata sandi, seperti mengubah kata sandi secara perio-dik;

    1. bagaimana cara memutakhirkan program perlindungan terhadap virus komputer;

    1. bagaimana cara memanfaatkan (sharing) fail dan media penyimpanan pada kom-puter kantor; dan sebagainya.

  1. Kebijakan tentang pengamanan jaringan.

Apabila entitas menggunakan jaringan (network) dalam pengolahan data mereka, ma-ka sebagai bagian dari pengendalian untuk mencegah atau mendeteksi salah saji, su-dah semestinya pula apabila entitas mempunyai kebijakan tentang pengamanan ja-ringan, baik pada tingkat jaringan maupun pada tingkat program aplikasinya, sehingga dapat diketahui pegawai mana yang boleh dan yang tidak boleh mengakses jaringan (authentication), program aplikasi apa saja yang boleh dan yang tidak boleh diakses oleh pegawai tertentu, bagaimana pegawai dapat memastikan telah terpasangnya pro-teksi firewall, bagaimana dokumen dan e-mail dapat diacak (encrypt) dan dikirimkan melalui jaringan, dan sebagainya.

  1. Kebijakan entitas tentang kecurangan.

Beberapa entitas memisahkan kebijakan tentang kecurangan, terutama dalam hal apa saja yang dapat dikategorikan sebagai kecurangan, kepada siapa saja kebijakan terse-but diterapkan, bagaimana pelakunya akan ditindak, apakah pemberi informasi ten-tang kecurangan tersebut (whistle-blower) akan diberi perlindungan, bagaimana pe-rencanaan entitas atau prosedur yang digunakan dalam menangani insiden kecurangan yang terjadi atau pembocoran informasi ke luar entitas oleh pegawai, di samping do-kumentasi mengenai hal-hal sebagai berikut:

    1. bagaimana insiden tersebut diungkapkan atau terungkap;

    1. sistem mana yang dilanggar dan secara rinci bagaimana sistem tersebut diakses;

    1. kapan kecurangan tersebut terjadi (tanggal dan jam berapa);

    1. siapa pelakunya;

    1. bagaimana kejadian kecurangan tersebut diselesaikan;

    1. berapa biaya atau kerugian yang ditimbulkan oleh kecurangan tersebut;

    1. modifikasi apa yang diperlukan untuk memperbaiki sistem yang ada sehingga da-pat mencegah kejadian serupa di masa-masa mendatang.

Uraian di atas menunjukkan seolah-olah setiap kecurangan yang melibatkan komputer akan dengan mudah diketahui oleh pegawai entitas atau auditor. Dalam praktik tidak semua pe-gawai atau auditor memiliki keahlian untuk mendeteksi dan mengetahui apa yang telah terjadi (kecurangan) yang melibatkan komputer, dan ada orang-orang tertentu yang mengkhususkan diri untuk mendapatkan dan mengakses informasi secara legal dan bahkan dapat menyajikan-nya di pengadilan berdasarkan metodologi dan prosedur yang juga legal. Orang-orang seperti ini disebut ahli forensik komputer.36 Ini berarti bahwa apabila ahli forensik komputer tersebut adalah auditor, maka kecurangan yang ingin dibuktikan oleh auditor forensik melibatkan penggunaan teknologi komputer. Hunton et al. menyatakan kecurangan yang melibatkan peng-gunaan teknologi komputer ini dengan istilah kecurangan teknologi informasi (IT fraud).37

Karena auditor dapat dinyatakan bertanggung jawab atas terjadinya kecurangan (lihat catatan akhir 10), maka auditor PDE perlu pula memahami kecurangan terutama yang berkaitan dengan kecurangan teknologi informasi, di samping memahami pula teknologi apa saja yang dapat digunakannya untuk mendeteksi kecurangan, termasuk teknik audit berbantuan komputer.

Hal-hal yang dapat dilakukan oleh seorang ahli forensik komputer adalah sebagai beri-kut:38

  1. Mencari, mengakses kembali dan mengkonversi (decipher) data elektronik di kom-puter atau media penyimpanan data lainnya meskipun data tersebut sudah secara se-ngaja diacak (encrypt), dihapuskan oleh pelaku kecurangan TI atau bahkan hard disk atau media penyimpanan data lainnya tersebut telah diformat ulang.

  1. Memperbaiki (recover) pekerjaan yang dilakukan dalam beberapa tahap. Sebagai contoh, misalkan seseorang di bagian pembukuan melakukan pembuatan faktur fiktif. Jika hal ini dilakukan dalam beberapa tahap seperti membuat template faktur, mengkopy dan mem-paste logo perusahaan dan kemudian mengisi fakturnya de-ngan data palsu, maka langkah-langkah ini dapat direkonstruksi secara terpisah dan kemudian disatukan serta dapat dijadikan bukti investigasi kejahatan.

  1. Mencocokkan disket yang berisi data dengan kompurter personal yang digunakan untuk menyimpan data dalam disket tersebut. Keahlian seperti ini dibutuhkan untuk menentukan siapa pemilik disket yang dicurigai atau yang terkait dengan kecurang-an atau kejahatan.
  2. Memastikan apakah suatu komputer yang telah diidentifikasi dengan program ter-tentu seperti Micro-ID sebagai milik seseorang memang benar-benar milik orang tersebut. Hal ini mungkin saja terjadi akibat banyaknya komputer yang secara fisik terlihat sama, sehingga program seperti Micro-ID sering digunakan untuk menulis identifikasi individual pemilik komputer seperti nama, alamat, nomor telepon, tang-gal lahir dan sebagainya, dan data pribadi ini disimpan dalam tempat yang rahasia di hard disk komputer. Apabila komputer tersebut dicuri, maka seorang ahli forensik komputer dapat menggunakan program tertentu untuk mencocokkan apakah nama, alamat, nomor telepon, atau tanggal lahir yang disimpan dalam tempat yang rahasia dalam hard disk komputer yang dicurigai sebagai barang curian tersebut memang sama dengan nama, alamat, nomor telepon, atau tanggal lahir pemiliknya atau yang mengaku pemiliknya.

  1. Mencari dan mengakses kembali surat-surat elektronik (e-mail) yang telah dihapus-kan beserta lampiran-lampiran (attachment) pada surat-surat elektronik yang telah dihapuskan tersebut.

  1. Menelusuri situs-situs yang pernah digunakan oleh seseorang yang tengah diselidiki tindakannya dalam menggunakan internet, informasi apa saja yang diunduh (down load), serta kepada siapa saja informasi tersebut didistribusikan.

  1. Melakukan evaluasi terhadap lingkungan sistem informasi guna memberikan reko-mendasi mengenai apakah data yang ada di komputer sudah cukup terproteksi dari invasi elektronik para penjahat komputer, pesaing, dan pelaku kecurangan lainnya.

  1. Membantu organisasi untuk mengembangkan data warehousing yang aman dan mengurangi prosedur-prosedur untuk menghilangkan atau meminimalisir data yang rangkap atau tumpang tindih (redundancy) dan penyimpanan data yang lama untuk data yang tidak lagi dibutuhkan atau diperlukan.

Untuk dapat melaksanakan pekerjaannya tersebut seorang ahli forensik komputer biasa-nya menggunaan peralatan dan perlengkapan berupa perangkat keras dan perangkat lunak. Perangkat keras dalam hal ini bukan hanya peralatan komputer saja melainkan juga alat-alat seperti obeng untuk membuka casing komputer untuk melihat ada-tidaknya hard disk dalam komputer tersebut. Bila hard disk-nya masih ada maka pekerjaan dapat dilanjutkan karena pada dasarnya seorang ahli forensik komputer ”menghidupkan kembali” data yang sebenar-nya masih ada dalam hard disk tersebut meski telah dihapus oleh pelakunya. Akan tetapi apabila pelaku kecurangan tersebut juga membawa serta hard disk-nya maka ahli forensik komputer tersebut juga tidak akan mampu berbuat banyak. Selain itu, kamera dijital juga perlu disiapkan ahli forensik komputer terlebih apabila komputer tersebut harus dikembali-kan ke posisi semula sebagaimana sebelum ”diotak-atik” oleh ahli forensik komputer ter-sebut, di samping tentunya media perekaman data seperti hard disk untuk backup, CD atau DVD recordable, dan sebagainya. Selebihnya adalah program-program utility sebagaimana tampak pada Tabel 14.4.


Tabel 14.4
Contoh-contoh Program Utility yang Biasa Digunaka

Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)