Selasa, 03 Januari 2012

Fraud di Lingkungan Digital


Fraud dalam Lingkungan Digital:  Fraud yang Berkaitan Dengan Komputer

1.      Lingkungan Digital (Digital Environment)
Tulang punggung perekonomian digital baru adalah munculnya perangkat komunikasi, Internet, dan teknologi komputer yang telah maju. Untuk mengambil keuntungan penuh dari munculnya ekonomi digital, bisnis yang mempekerjakan bisnis-ke-bisnis (B2B) dan business-to-consumer (B2C) e-commerce dengan mengembangkan (1) sebuah situs web dengan sumber daya internal yang mengintegrasikan jangka panjang dan jangka pendek tujuan organisasi; (2) ruang lingkup dan skala operasi e-commerce berfokus pada keamanan, privasi, dan isu-isu manajemen risiko lainnya.
1.1.  Ekonomi Digital (Digital economy)
Selama dua tahun terakhir, telah terjadi pertumbuhan yang sangat pesat dalam e-commerce. Internet telah merevolusi cara berbisnis, mulai dari akuisisi sampai pelayanan pelanggan yang  pembayarannya dilakukan secara elektronik. Organisasi terus menemukan cara baru untuk memberikan produk dan layanan elektronik. E-commerce saat ini dilihat sebagai faktor penting bagi pertumbuhan ekonomi di abad kedua puluh satu. Ekonomi digital yang muncul telah mendapatkan perhatian yang signifikan oleh regulator dan pembuat kebijakan. Robert J. Shapiro, Wakil Sekretaris Perdagangan untuk Urusan Ekonomi, menyatakan bahwa:
Kita semua menemukan diri kita di tengah-tengah sebuah revolusi teknologi yang didorong oleh pengolahan digital. Di sekitar kita, dengan cara dan bentuk kita tidak bisa sepenuhnya menghargai pengelolaan ekonomi berbasis digital yang telah mengubah cara orang bekerja secara bersama-sama maupun bekerja sendirian, berkomunikasi dan berhubungan, cara mengkonsumsi barang dan berelaksasi. Perubahan ini telah cepat dan tersebar secara luas dan sering tidak sesuai dengan kategori-kategori yang digunakan untuk memahami perkembangan ekonomi.
Dua aspek dari "ekonomi digital" adalah perdagangan elektronik (yang menggunakan Internet atau beberapa hak milik lainnya, berbasis sistem web) dan kemajuan teknologi informasi yang memungkinkan e-commerce.
1.2. Perdagangan Secara Elektronik (Electronic commerce)
E-commerce telah merevolusi cara berbisnis dan cara organisasi beriklan, memasarkan, dan menjual produk dan jasa mereka. E-commerce secara luas didefinisikan sebagai tindakan komunikasi dan transaksi bisnis melalui jaringan yang dimediasi oleh komputer.
Strategi-strategi E-commerce dapat dijelaskan sebagai berikut:
·         Bisnis-ke-bisnis (B2B) mengacu pada pertukaran barang dan jasa secara online yang melibatkan transaksi-transaksi antara perusahaan dan pemasok (misalnya, CISCO).
·         Bisnis-ke-konsumen (B2C) adalah sebuah strategi bisnis yang secara online  berhadapan langsung dengan konsumen (misalnya, Amazon.com).
·         Konsumen-to-Konsumen (C2C) adalah sebuah strategi konsumen secara online berhadapan langsung dengan konsumen lainnya (misalnya, eBay).
·         Bisnis-ke-pemerintah (B2G) berkaitan dengan transaksi elektronik antara perusahaan dan lembaga pemerintah lokal, negara bagian, dan pemerintah pusat.
·         Pemerintah-ke-pemerintah (G2G) strategi e-commerce mencakup semua  program dan kegiatan secara online antar instansi pemerintah (misalnya, transfer elektronik dana dan deposit langsung).
·         Pemerintah-ke-konsumen (G2C) mengacu pada transaksi online antara lembaga pemerintah dan konsumen (misalnya, transfer cek subsidi negara secara elektronik).
·         Peer-to-Peer (P2P) berkaitan dengan berbagi kemampuan komputer antar platform aplikasi
Adapun strategi dan transasksi E-commerce yang terkait disajikan di Tabel berikut ini:
Bentuk

Deskripsi
Business to Business (B2B)

Kemampuan pembangunan usaha B2B melalui vendor penyedia layanan dan / atau sumber daya rumahan (in-house resources)
Business to Consumer (B2C)

B2C menawarkan kesempatan kepada perusahaan untuk (1) meningkatkan komunikasi dan informasi manajemen dalam organisasi dan / dengan pelanggan; (2) mendorong inovasi dan pertumbuhan, dan (3) meningkatkan "bottom line."
Consumer to Consumer (C2C)

C2C mengacu pada suatu strategi konsumen online  yang behubungan secara langsung dengan konsumen seperti lelang online, eBay
Business to Government (B2)

B2G menciptakan kemampuan bagi perusahaan untuk melakukan bisnis online dengan berbagai macam instansi pemerintah melalui lelang online untuk menjamin adanya kompetisi (misalnya, kontrak pemerintah secara online dengan pebisnis menggantikan lelang tradisional - penawaran lelang tertutup versus lelang online).
Government to Consumer (G2C)

G2C memberikan kesempatan bagi lembaga pemerintah
untuk menyebarkan informasi secara online, efektif, dan efisien (misalnya, pendaftaran pemilih atau mobil, transfer elektronik cek subsidi negara, dan pembelian lisensi yang dikeluarkan pemerintah secara online).
Government to Government (G2G)

G2G mendorong kegiatan intra-pemerintah dan antar lembaga pemerintah secara online (misalnya, mendigitalkan permohonan penggantian perjalanan  antar lembaga pemerintah atau pegawai).
E-commerce telah memberikan pebisnis dengan banyak kesempatan untuk menghemat biaya dan terus meningkatkan kinerja mereka. Pelanggan dapat log on ke situs web perusahaan untuk berbelanja produk dan layanan perusahaan. Perusahaan dapat menerima pesanan online dan pembayaran elektronik. Dengan demikian, e-commerce memfasilitasi percepatan perintah, faktur, pengakuan, dan pembayaran. Kemunculan arena  e-commerce begitu signifikan. Pebisnis dari semua ukuran dan di semua industri mendapatkan manfaat secara signifikan dari penggunaan e-commerce yang tepat. Bisnis kecil bisa mendapatkan keuntungan dari e-commerce untuk bersaing dengan perusahaan yang lebih besar pada pasar yang sama atau untuk menjangkau pasar global. Perusahaan besar perlu e-commerce untuk mempertahankan pangsa pasar mereka di pasar global, meningkatkan pertumbuhan berkelanjutan, dan menjangkau pasar baru.
1.3. Perubahan Dalam Lingkungan Bisnis (Changes in business environment)
Untuk memahami mengapa laporan bisnis saat ini tidak memiliki nilai yang relevan dan tidak berguna untuk pengambilan keputusan keuangan, diperlukan analisis dan pemahaman atas perubahan yang terjadi di dunia usaha dan bagaimana perubahan itu berdampak pada kebutuhan informasi bagi pengguna  laporan usaha. Tiga perubahan mendasar dalam lingkungan bisnis adalah (1) kemajuan teknologi; (2) globalisasi ekonomi dan bisnis, dan (3) konvergensi dalam keuangan dan modal pasar.
1.4. Pelaporan Keuangan Secara Elektronik (Electronic financial reporting)
Saat ini penyusunan dan penyebarluasan laporan keuangan yang berbasis Web merupakan reproduksi secara elektronik dari laporan tahunan yang tercetak. Praktis, hal ini merupakan penduplikasi laporan keuangan yang dicetak secara tradisional dengan tidak memberikan nilai tambah, namun hanya memudahkan dalam hal penyediaan laporan tersebut. Animasi grafis, video, dan suara pada laporan keuangan berbasis web, sementara ini meningkatkan tampilan dan nuansa informasi, namun tidak menambah manfaat informasi tersebut.
Laporan berbasis web memberikan banyak keuntungan kepada investor, kreditor, dan pengguna informasi keuangan lainnya. Web ini relatif murah dan memfasilitasi cara yang cepat untuk berkomunikasi dengan banyak pengguna elektronik, namun, tidak ada standar untuk pelaporan informasi di internet, dan hal ini seringkali menyulitkan untuk menemukan data akuntansi untuk perusahaan-perusahaan tertentu di web.
2.       Fraud yang Terkait dengan Komputer (Computer Related Fraud)
Suatu kejahatan yang berkaitan dengan komputer, dalam istilah yang sangat luas, berarti  kejahatan yang telah dilakukan atau bersekongkol melalui penggunaan komputer dan kejahatan di mana komputer itu sendiri adalah korban. Kejahatan yang biasa dilakukan dengan komputer meliputi penggelapan, pencurian properti dan informasi kepemilikan, penipuan, peniruan dan pemalsuan. Kejahatan yang dilakukan terhadap komputer mencakup sabotase, vandalisme, akses elektronik yang tidak sah (mendapatkan akses ilegal dengan meniru pengguna yang berwenang), dan tindakan yang melebihi kewenangannya (insider hacker).
Pada dasarnya, kejahatan yang berkaitan dengan komputer adalah suatu kejahatan yang berhubungan dengan pekerjaan/jabatan. Artinya, hal ini dilakukan terutama oleh orang-orang yang memiliki keterampilan, pengetahuan, dan akses. Akses lebih mudah  diperoleh oleh orang yang berada dalam organisasi (karyawan) dibandingkan dengan orang luar (penyusup, hacker). Penelitian tentang hal ini telah menemukan bahwa sekitar 70 sampai 80% tindakan berbahaya yang menyangkut komputer dilakukan oleh orang dalam dibandingkan oleh orang luar. Oleh karena itu, hal ini menunjukkan bahwa orang dalam lebih berpotensi menjadi ancaman kejahatan komputer dibandingkan dari luar, meskipun komentator di media massa sering menyarankan sebaliknya.
Orang mungkin menyimpulkan bahwa kejahatan yang berhubungan dengan komputer adalah sebuah fenomena yang melibatkan orang-orang berpengetahuan dengan watak atau sikap yang diragukan. Namun hal itu merupakan gagasan yang terlalu sederhana. Gagasan bahwa tindak pidana (kriminal) merupakan kejahatan yang cenderung dilahirkan tidak mendapatkan dukungan dari kebanyakan ilmuwan perilaku (behavioral scientists). Mereka menyarankan bahwa pengondisian budaya dan lingkungan adalah faktor yang lebih signifikan dalam memahami kejahatan. Oleh karena itu, penting untuk memandang kejahatan yang berkaitan dengan komputer dari berbagai perspektif:
·         Kriminal individual dan motivasinya
·         Faktor-faktor lingkungan eksternal yang meningkatkan motivasi untuk melakukan kejahatan komputer.
·         Budaya internal organisasi yang meminimalkan atau memaksimalkan kemungkinan terjadinya kejahatan.
2.1. Ruang Lingkup Fraud yang Terkait dengan Komputer (Scope of Computer-Related Fraud)
Stanford Research International (SRI) melakukan penelusuran kejadian-kejadian yang dilaporkan oleh publik yang terkait dengan penyalahgunaan komputer, beberapa di antaranya merupakan tindak pidana dan lainnya merupakan pelanggaran undang-undang sipil (perdata), seperti undang-undang hak cipta dan paten. SRI mengelompokkan kejadian ini dalam empat kategori:
(1)     Perusakan komputer.
(2)     Pencurian informasi dan kepemilikan
(3)     Fraud atau pencurian keuangan
(4)     Menggunakan atau menjual jasa komputer secara tidak sah.
Kejahatan yang berkaitan dengan komputer dapat dikelompokkan menjadi tiga kategori yang terdiri dari tiga tahap pengolahan data yang paralel yaitu: kejahatan input, output, dan pengolahan (processing). Kejahatan atas input  mencakup entri data yang tidak benar atau fraudulent data ke komputer, mengubah data,  mengarang atau memalsukan kenaikan/penurunan, menghancurkan, sengaja menghilangkan, atau mengarang-ngarang Penipuan atas input mungkin  merupakan kejahatan yang berkaitan dengan komputer yang paling umum namun mungkin kejahatan jenis ini yang termudah untuk dicegah dengan pengawasan dan pengendalian yang efektif (yaitu, pemisahan tugas dan jejak audit yang tepat). Kejahatan atas output, seperti pencurian atas laporan yang dihasilkan oleh dan data file (mailing list pelanggan, hasil penelitian dan pengembangan, rencana jangka panjang, daftar karyawan, rumus-rumus rahasia, dll) tampaknya akan meningkat di era persaingan yang ketat. Kejahatan atas throughput (pengolahan data) biasanya membutuhkan pengetahuan tentang teknologi, kecuali jika sistem ini tidak memiliki pengendalian atas  akses ke komputer atau program aplikasi.
2.2. Prinsip-Prinsip dan Teori-teori tentang Fraud yang Terkait dengan Komputer (Computer-related fraud theories and Principles)
Kejahatan yang berkaitan dengan komputer adalah salah satu kejahatan terhadap komputer atau menggunakan komputer untuk melakukan fraud atau kejahatan konvensional (contohnya fraudulent disbursement, fraudulent financial statements). Dengan demikian, prinsip-prinsip fraud seperti segitiga fraud atau pohon fraud, diterapkan juga untuk fraud yang berkaitan dengan komputer. Salah satu teori kejahatan yang berkaitan dengan komputer adalah konsep yang dikenal sebagai MOMM. MOMM merupakan singkatan dari  motivations, opportunities, means, dan methods.
Pencurian yang berkaitan dengan komputer dapat digambarkan sebagai suatu proses berulang-ulang. Kondisi lingkungan yang telah memberikan motivasi bagi kejahatan dan pelanggaran yang berkaitan dengan kompuetr  meliputi lingkungan internal perusahaan yang mengoperasikan komputer dan lingkungan eksternal (dunia atau pasar secara umum). Pengaruh internal yang dapat menambah motif yang berkaitan dengan kejahatan dan penyalahgunaan komputer meliput:
·         Lingkungan kerja
·         Sistem penghargaan (reward)
·         Tingkat kepercayaan antar personal
·         Tingkat etika
·         Tingkat stes (tekanan atas kinerja)
·         Tingkat pengendalian internal.

2.3. Karakteristik Lingkungan Komputer (Characteristics of the computer environment)
Sitem akuntansi terkomputerisasi adalah perkembangan secara alami dari sistem akuntansi manual. Namun, sietem ini memiliki karakteristik khusus yang membuatnya lebih rentan terhadap kejahatan. Untuk memahami potensi dampak dan tingkat kejahatan yang berkaitan dengan komputer  maka perlu untuk memahami karakteristik sistem ini.
Konektivitas (Connectivity).
Komunikasi komputer dapat didefinisikan sebagai kemampuan untuk mentransfer pesan antar perangkat independen. Dalam rangka untuk berkomunikasi, perangkat komputer harus, tentu saja, dihubungkan dalam beberapa cara. Peningkatan konektivitas teknologi informasi telah meningkatkan kerentanan untuk kejahatan komputer.
Data yang Terpusat (Concentrated Data)
Sistem komputer mengumpulkan dan menggabungkan data dari semua departemen dalam sebuah organisasi. Data-data ini diproses dan biasanya  disimpan secara terpusat. Sentralisasi untuk tujuan keamanan adalah menguntungkan, tetapi lokasi data dalam satu lokasi membuat data rentan terhadap risiko. Cukup dengan mendapatkan password yang sesuai atau akses fisik,seseorang dapat mengakses setiap atau semua catatan keuangan perusahaan keuangan atau informasi lainnya. Sejatinya, kesalahan manusia atau kegagalan sistem dapat menghancurkan catatan selamanya jika rencana kontinjensi tidak diterapkan atau tidak bekerja dengan baik.
2.4. Profil Pelaku Fraud Internet (Profiling internet fraudsters)
Profiling adalah teknik yang umum digunakan oleh investigator kriminal di lokasi kejahatan. Dengan menggunakan bukti semua yang tersedia, investigator mengkompilasi apa yang mereka ketahui ke dalam profil kriminal. Profil membantu dalam mengevaluasi tersangka yang mungkin bersalah dan dalam upaya mencari lebih banyak bukti. Profil sangat diperlukan terkait kejahatan internet karena invisibility, untraceability, dan seringkali kurangnya bukti.
Menurut Commission on Critical Infrastructure Protection, diperkirakan 19 juta penduduk dunia memiliki kemampuan untuk melakukan malicious hacking. Profil pelaku adalah laki-laki, berusia 13 – 15 tahun, memiliki kepandaian yang tinggi tentang komputer. Mereka biasanya merupakan pelaku kejahatan pemula atau kejahatan untuk pertama kalinya..
Pertimbangan profil lainnya  juga relevan untuk digunakan. Pengetahuan tentang latar belakang kejahatan, asosiasi, kecenderungan, budaya, kekuatan, dan kelemahan sangat membantu dalam penyelidikan dengan memprediksi dan mengkonfirmasi nilai terutama dalam membantu menentukan maksud kejahatan (motivasi).
3.       Solusi Keamanan Komunikasi (Communication security solutions)
E-commerce memungkinkan transaksi bisnis dilakukan dengan kecepatan yang luar biasa. Sayangnya, teknologi ini juga  memungkinkan bisnis terkena fraud pada tingkat kecepatan yang sama pula.
Saat ini telah tersedia teknologi pengaman. Teknologi pengaman ini memberikan perlindungan atas arus komunikasi dalam suatu organisasi. Meskipun teknologi pengaman ini pengembangannya tidak didasari pola pikir pendeteksian dan pencegahan fraud, jika digunakan secara layak, solusi ini dapat memberikan laporan tentang kemungkinan adanya upaya fraud secara instan atau mendekati instan.
Firewalls
Firewalls merupakan sinonim dari keamanan komputer. Banyak orang yang sehari-hari tidak memiliki interaksi  dengan IT sering merasa bahwa jika mereka memiliki firewall dan perlindungan virus, mereka memiliki keamanan yang memadai. Namun demikian, terdapat aspek yang berbeda dari segi keamanan. Untuk mengamankan setiap lingkungan komputasi, kombinasi metodologi sangat diperlukan. Firewall hanyalah salah satu dari sekian banyak lapisan pengamanan. Firewall merupakan perangkat keamanan yang efektif menyaring atau memblokir lalu lintas yang melintas melaluinya.Lalu lintas ini seringkali dilindungi oleh teknologi yang dikenal dengan nama Network Address Translation (NAT).
Karena firewall sering digunakan untuk memberikan perlindungan dari serangan eksternal, dapat digunakan untuk melayani personil manajemen risiko dan auditor. Semua lalu lintas yang melintasi firewall dapat di-log. Meskipun lalu lintas sering dilindungi dengan menggunakan NAT, real sources dan komputer tujuan dapat dibangun kembali (bila menggunakan alat yang tepat).
Messaging: E-mail
Pada kebanyakan organisasi, pesan e-mail mengkonsumsi lebih banyak bandwidth dibandingkan bentuk komunikasi lainnya (terutama jika adanya faktor e-mail yang tidak diinginkan seperti spam). Pada kasus ini, terdapat hambatan yang besar untuk menyortir dan mengindeks semua e-mail yang dikirim dan diterima.
Memberitahu karyawan bahwa mereka seharusnya tidak memiliki harapan privasi sehubungan dengan e-mail atau penggunaan lainnya dari jaringan perusahaan dan sistem komputer dapat bertindak sebagai pencegah yang sangat baik untuk kegiatan fraud. Seringkali kebijakan penggunaan komputer atau kebijakan keamanan ini dipublikasikan  dalam buku pegangan karyawan atau dokumentasi perekrutan pegawai baru. Kebijakan ini harus diperkuat dengan kemampuan nyata untuk audit dan / atau memblokir pesan e-mail . Staf manajemen risiko dan auditor harus dapat mengakses data ini.
Messaging: Instant Messaging
Menurut penelitian yang dilakukan oleh ComScore MediaMetrix, lebih dari 250 juta penduduk menggunakan instant massaging (IM) secara teratur. Dan International Data Corporation (IDC) memperkirakan lebih dari 7 jiuta IM terkirim setiap hari.
Pelayanan IM yang paling populer adalah AOL, Yahoo, MSN dan ICQ. Kebanyakan pengguna memiliki asumsi yang salah bahwa karyawan mereka tidak memiliki kemampuan untuk me-log lalu lintas ini. Kenyataannya, ada beberapa solusi yang dapat digunakan. Solusi untuk mengidentifiaksi lalu lintas IM dari lalu lintas web lain menggunakan TCP port yang sama. Ketika lalu lintas diidentifikasi, ia dapat diblokir atau dikendalikan oleh alamat atau pengguna IP tertentu yang memiliki akses ke IM.
Content Filtering
Solusi content filtering terutama digunakan untuk membatasi dan/atau me-log akses ke situs web tertentu di internet.
-----------------------
Dirangkum dari:
Silverstone, H., and Sheetz, M., 2007, Forensic Accounting and Fraud Investigation for Non-Expert, 2nd Edition, New York: John Wiley & Sons, Inc. (BAB 10)
Rezaee, Z., 2002, Financial Statement Fraud: Prevention and Detection, New York: John Wiley & Sons, Inc. (BAB 13)
Coenen, T., 2008, Essential of Corporate Fraud, New York: John Wiley & Sons, Inc. (BAB 9)
Cendrowski, H., Martin, J. P., and Petro, L.W., 2007, The Handbook of Fraud Deterrence, New York: John Wiley & Sons, Inc. (BAB 12) 

Tidak ada komentar:

Posting Komentar