Akhir-akhir ini pimpinan suatu organisasi / manajemen perusahaan banyak yang mengkhawatirkan timbulnya kecurangan (fraud) dilingkungan organisasi / perusahaannya. Fraud memang dapat terjadi kapan saja dan di perusahaan mana saja. Meskipun suatu organisasi (perusahaan) telah menggunakan teknologi tinggi (computerized) namun sulit terdeteksi apabila terjadi kolusi antara oknum karyawan dengan pihak ketiga diluar organisasi / perusahaan. Fraud dapat dilakukan oleh orang dalam perusahaan (internal fraud) yang mengetahui kebijakan dan prosedur perusahaan. Fraud juga dapat dilakukan oleh seseorang dari luar perusahaan. Mengingat adanya pengendalian (control) yang diterapkan secara ketat oleh hampir semua organisasi / perusahaan untuk mengamankan asetnya, membuat pihak luar sukar untuk melakukan pencurian.
Internal fraud terdiri dari 2 (dua) kategori yaitu Employee fraud yang dilakukan oleh seseorang atau kelompok orang untuk memperoleh keuntungan finansial pribadi maupun kelompok dan Fraudulent financial reporting. Fraudulent financial reporting adalah perilaku yang disengaja atau ceroboh, baik dengan tindakan atau penghapusan,yang menghasilkan laporan keuangan yang menyesatkan (bias). Saat ini hampir semua organisasi telah menggunakan teknologi komputer dalam pengolahan data / informasi, sehingga baik internal fraud maupun fraudulent financial reporting dapat dilakukan melalui kejahatan komputer (computer fraud). Computer fraud saat ini sedang menjadi topik hangat dalam dunia keamanan sistem informasi (information system security). Kejahatan dunia maya (cyber crime) yang salah satunya akses internet melalui komputer desktop atau notebook dari tahun ke tahun selalu meningkat. Apabila computer fraud tidak segera ditangani dengan serius dan komprehensif, maka akan sangat merugikan organisasi (perusahaan), bahkan dapat menimbulkan kebangkrutan.
Mengingat kejahatan ini menggunakan teknologi tinggi, maka pembuktiannya relatif sulit dan memerlukan pengetahuan khusus, seperti forensic audit. Audit terhadap cyber crime dapat dilakukan dengan bantuan software, seperti CAAT (Computer Assisted Audit Tools). Auditor yang melakukan audit atas cyber crime, selain harus ahli di bidang EDP Audit juga ahli di bidang fraud audit. Untuk memiliki keahlian khusus dibidang audit sistem informasi, auditor dapat mengikuti ujian sertifikasi untuk memperoleh gelar CISA (Certified Information System Audit). Akan lebih baik lagi, apabila auditor tersebut juga memiliki gelar CFE (Certified Fraud Examiner). Melalui kombinasi keahlian dibidang audit sistem informasi dan fraud audit, diharapkan dapat mengungkap cyber crime secara cermat dan cepat. Saat ini kita perlu mengembangkan disiplin khusus yaitu computer forensic, hal ini menjadi sangat penting mengingat cyber crime melalui kejahatan komputer (computer fraud) semakin meluas dan canggih.
Proses, Unsur dan Faktor Pemicu Fraud
Proses timbulnya fraud biasanya terdiri dari 3 (tiga) macam, yaitu pencurian (theft) dari sesuatu yang berharga (cash, inventory, tools, supplies, equipment atau data), konversi (conversion) asset yang dicuri kedalam cash dan pengelabuhan / penutupan (concealment) tindakan kriminal agar tidak dapat terdeteksi. Unsur-unsur fraud antara lain sekurang-kurangnya melibatkan dua pihak (collussion), tindakan penggelapan/penghilangan atau false representation dilakukan dengan sengaja, menimbulkan kerugian nyata atau potensial atas tindakan pelaku fraud. Meskipun organisasi / perusahaan secara hukum dapat menuntut para pelaku fraud, namun ternyata tidak mudah usaha untuk menangkap para pelaku fraud, mengingat pembuktiannya relatif sangat sulit. Apalagi apabila fraud tersebut termasuk perbuatan kolusi dalam computer fraud. Penyebab timbulnya fraud berupa segitiga fraud (the fraud triangle), sebagai berikut :
The Fraud Triangle
Penyebab / faktor pemicu fraud dibedakan atas 3 (tiga) hal yaitu :
* Tekanan (Unshareable pressure/ incentive) yang merupakan motivasi seseorang untuk melakukan fraud. Motivasi melakukan fraud, antara lain motivasi ekonomi, alasan emosional (iri/cemburu, balas dendam, kekuasaan, gengsi) dan nilai (values).
* Adanya kesempatan / peluang (Perceived Opportunity) yaitu kondisi atau situasi yang memungkinkan seseorang melakukan atau menutupi tindakan tidak jujur.
* Rasionalisasi (Rationalization) atau sikap (Attitude), yang paling banyak digunakan adalah hanya meminjam (borrowing) asset yang dicuri.
Fraud dapat dikatagorikan atas 3 (tiga) macam sbb. :
* Penyalahgunaan wewenang/jabatan (Occupational Frauds); kecurangan yang dilakukan oleh individu- individu yang bekerja dalam suatu organisasi untuk mendapatkan keuntungan pribadi.
* Kecurangan Organisatoris (Organisational Frauds); kecurangan yang dilakukan oleh organisasi itu sendiri demi kepentingan/keuntungan organisasi itu.
* Skema Kepercayaan (Confidence Schemes). Dalam kategori ini, pelaku membuat suatu skema kecurangan dengan menyalahgunakan kepercayaan korban.
Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem informasi, akan terus meningkat dikarenakan beberapa hal, antara lain:
* Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi dan jaringan komputer semakin meningkat. Sebagai contoh saat ini mulai bermunculan aplikasi bisnis seperti on-line banking, electronic commerce (e-commerce), Electronic Data Interchange (EDI), dan masih banyak lainnya.
* Desentralisasi server sehingga lebih banyak sistem yang harus ditangani dan membutuhkan lebih banyak operator dan administrator yang handal. Padahal mencari operator dan administrator yang handal adalah sangat sulit.
* Transisi dari single vendor ke multi-vendor sehingga lebih banyak yang harus dimengerti dan masalah interoperability antar vendor yang lebih sulit ditangani.
* Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakannya.
* Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan telekomunikasi yang sangat cepat.
Jenis-Jenis Fraud
Jenis-jenis fraud yang sering terjadi di suatu organisasi (perusahaan) pada umumnya dapat dibedakan atas 3 (tiga) kategori :
* Pemalsuan (Falsification) data dan tuntutan palsu (illegal act). Hal ini terjadi karena pelaku fraud secara sadar dan sengaja memalsukan suatu fakta, laporan, penyajian atau klaim yang mengakibatkan kerugian keuangan atau ekonomi dari para pihak yang menerima laporan atau data palsu tersebut.
* Penggelapan kas (embezzlement cash), pencurian persediaan/aset (Theft of inventory / asset) dan kesalahan (false) atau misleading catatan dan dokumen.
* Kejahatan Komputer (Computer fraud).
Computer fraud adalah kejahatan / kecurangan dengan memanfaatkan teknologi komputer sebagai sarana pengolahan data / informasi. Computer fraud termasuk salah satu kejahatan kerah putih (white collar crime). White collar crime adalah kegiatan yang salah atau serangkaian dari tindakan yang dilakukan tanpa tindakan secara non-fisik dan rahasia atau tipu muslihat untuk mendapatkan uang atau property,untuk menghindari pembayaran atau kehilangan uang atau property, atau untuk mendapatkan bisnis termasuk keuntungan pribadi. Computer fraud meliputi tindakan ilegal yang mana pengetahuan tentang teknologi komputer adalah sangat esensial untuk perpetration, investigation atau prosecution. Dengan menggunakan sebuah komputer seorang fraud perpetrator dapat mencuri lebih banyak dalam waktu lebih singkat dengan usaha yang lebih kecil. Pelaku fraud telah menggunakan berbagai metode untuk melakukan Computer fraud .
Jenis-jenis Computer Fraud
Pengkategorian Computer fraud melalui penggunaan model pemrosesan data (data processing model), dapat dirinci sbb :
* Cara yang paling sederhana dan umum untuk melaksanakan fraud adalah mengubah computer input.
* Computer fraud dapat dilakukan melalui penggunaan sistem (dalam hal ini Processor) oleh yang tidak berhak, termasuk pencurian waktu dan jasa komputer serta penggunaan komputer untuk keperluan diluar job deskripsi pegawai.
* Computer fraud dapat dicapai dengan mengganggu perangkat lunak (software) yang mengolah data perusahaan atau Computer istruction . Cara ini meliputi mengubah software, membuat copy ilegal atau menggunakannya tanpa otorisasi (unauothorized).
* Computer fraud dapat dilakukan dengan mengubah atau merusak data files organisasi / perusahaan atau membuat copy, menggunakan atau melakukan pencarian terhadap data tanpa otorisasi.
* Computer fraud dapat dilaksanakan dengan mencuri atau menggunakan secara tidak benar system output.
Pencegahan Computer Fraud
Salah satu cara untuk mencegah timbulnya computer fraud adalah dengan merancang sebuah sistem yang dilengkapi dengan internal control yang cukup memadai sehingga computer fraud sukar dilakukan oleh pihak luar maupun orang dalam perusahaan. Selain itu manajemen perusahaan harus memiliki komitmen untuk selalu meningkatkan budaya integritas (culture of integrity). Mengingat computer fraud dewasa ini semakin meningkat, metode dan cara untuk melindungi perusahaan dari computer fraud masih sangat terbatas, secara hukum Indonesia belum ada cyber law yang dapat dijadikan payung bagi petugas polisi dan aparat terkait lainnya untuk bertindak dan saat ini masih menggunakan KUHP umum. Berikut beberapa cara perlindungan yang dapat dilakukan oleh organisasi / perusahaan untuk melindungi / mencegah timbulnya computer fraud, yaitu:
* Personnel screening.
* Definisi pekerjaan (job defined).
* Pemisahan tugas (segregration of duties).
* Etika profesional (professional ethics)
* Lisensi (license)
* System design control
* Physical access security
* Electronic access security.
* Internal control and edit.
Computer fraud harus dicegah sebelum terjadi, merupakan tanggung jawab manajemen untuk menciptakan lingkungan yang kondusif sehingga dapat mencegah terjadinya computer fraud.
Pendeteksian fraud oleh Internal Auditor
Pada awalnya perhatian utama internal auditor adalah langsung mendeteksi terjadinya computer fraud. Namun fungsi internal auditor ternyata lebih bersifat protektif dan detektif daripada konstruktif. Berdasarkan Statement on Internal Auditing Standards (SIAS). Ada 4 (empat) fungsi dan tanggung jawab dari internal auditor dalam menghadapi fraud, yaitu :
Pencegahan computer fraud
Tanggung jawab utama pencegahan computer fraud berada pada pihak manajemen. Tanggung jawab internal auditor terletak pada audit dan evaluasi kelengkapan dan keefektifan tindakan yang dijalankan managemen untuk memenuhi kewajibannya
Pendeteksian computer fraud
Internal auditor harus memiliki pengetahuan yang cukup tentang computer fraud untuk dapat melakukan identifikasi indikasi computer fraud. Apabila pengendalian (control) terhadap kelemahan yang signifikan telah dideteksi, sebagai pengujian lanjutan (substantive test) internal auditor harus menambahkan pengujian langsung (direct test) terhadap identifikasi dan indikator computer fraud. Meskipun prosedur audit serta kemahiran jabatan professional (due professional care) dari internal auditor telah dilakukan dengan baik belum tentu dapat menjamin sepenuhnya computer fraud dapat dideteksi.
Penginvestigasian computer fraud
Investigasi terhadap computer fraud mungkin telah diarahkan atau telah ada partisipasi dari internal auditor, lawyer, investigators, security personnel, dan spesialis lainnya dari dalam maupun luar perusahaan. Internal auditor harus dapat mengakses fakta dari seluruh computer fraud investigation , sebagai berikut :
* Menjelaskan kebutuhan pengendalian (control) yang harus diimplementasikan.
* Merancang pengujian audit (design audit test) untuk membantu pengungkapan adanya computer fraud di masa yang akan datang.
* Membantu dokumentasi tanggung jawab internal auditor dalam pengembangan pengetahuan (knowledge) tentang computer fraud, sehingga dapat digunakan sebagai pedoman / acuan oleh para auditor berikutnya.
Pelaporan computer fraud .
Pelaporan (report) tentang computer fraud harus dibuat berdasarkan kesimpulan dari setiap tahapan / fase investigasi. Selain itu, harus melaporkan seluruh temuan (finding), kesimpulan, rekomendasi, dan tindak lanjut (feed back) perbaikan yang telah diambil. Apabila internal auditor menemukan indikasidan mencurigai terjadinya computer fraud di perusahaan, maka ia harus segera memberitahukan hal tersebut kepada top manajemen. Apabila indikasi tersebut cukup kuat, manajemen akan menugaskan suatu tim audit untuk melakukan investigasi. Tim yang ditugaskan tersebut biasanya yang memiliki keahlian dibidang Sistem Informasi (computer skill). Sertifikat internasional bagi auditor yang lulus ujian sertifikasi spesialisasi bidang audit sistem informasi adalah Certified Information System Audit (CISA). Peran internal auditor untuk menemukan indikasi adanya computer fraud dan melakukan investigasi terhadap computer fraud adalah sangat besar. Walaupun internal auditor tidak dapat menjamin bahwa computer fraud tidak akan terjadi, namun ia harus menggunakan kemahiran jabatannya (due professional care) dan dapat memberikan saran / rekomendasi yang bermanfaat kepada manajemen untuk mencegah terjadinya computer fraud. Rekomendasi internal audit tersebut akan membantu manajemen dalam mengambil tindakan perbaikan sehingga kemungkinan terjadinya computer fraud dapat diperkecil.
Berdasarkan uraian tersebut diatas dapat disimpulkan sebagai berikut :
1. Fraud merupakan problem yang serius, dan Computer Fraud dapat terjadi kapan saja dan di organisasi (perusahaan) mana saja, maka manajemen perusahaan harus mengambil langkah-langkah komprehensif untuk mencegah timbulnya computer fraud antara lain melalui peningkatan internal control, review sistem & prosedur serta peningkatan integritas moral karyawan dan manajemen perusahaan.
2. Auditor internal maupun auditor independen bertanggung jawab untuk melakukan pencegahan (prevention), pendeteksian (detection) serta penginvestigasian (investigation) terhadap computer fraud.
3. Salah satu jenis audit yang dapat dilakukan oleh auditor internal maupun auditor independen untuk melakukan pencegahan, pendeteksian serta penginvestigasian terhadap computer fraud adalah melalui audit sistem informasi atau EDP audit.
Internal fraud terdiri dari 2 (dua) kategori yaitu Employee fraud yang dilakukan oleh seseorang atau kelompok orang untuk memperoleh keuntungan finansial pribadi maupun kelompok dan Fraudulent financial reporting. Fraudulent financial reporting adalah perilaku yang disengaja atau ceroboh, baik dengan tindakan atau penghapusan,yang menghasilkan laporan keuangan yang menyesatkan (bias). Saat ini hampir semua organisasi telah menggunakan teknologi komputer dalam pengolahan data / informasi, sehingga baik internal fraud maupun fraudulent financial reporting dapat dilakukan melalui kejahatan komputer (computer fraud). Computer fraud saat ini sedang menjadi topik hangat dalam dunia keamanan sistem informasi (information system security). Kejahatan dunia maya (cyber crime) yang salah satunya akses internet melalui komputer desktop atau notebook dari tahun ke tahun selalu meningkat. Apabila computer fraud tidak segera ditangani dengan serius dan komprehensif, maka akan sangat merugikan organisasi (perusahaan), bahkan dapat menimbulkan kebangkrutan.
Mengingat kejahatan ini menggunakan teknologi tinggi, maka pembuktiannya relatif sulit dan memerlukan pengetahuan khusus, seperti forensic audit. Audit terhadap cyber crime dapat dilakukan dengan bantuan software, seperti CAAT (Computer Assisted Audit Tools). Auditor yang melakukan audit atas cyber crime, selain harus ahli di bidang EDP Audit juga ahli di bidang fraud audit. Untuk memiliki keahlian khusus dibidang audit sistem informasi, auditor dapat mengikuti ujian sertifikasi untuk memperoleh gelar CISA (Certified Information System Audit). Akan lebih baik lagi, apabila auditor tersebut juga memiliki gelar CFE (Certified Fraud Examiner). Melalui kombinasi keahlian dibidang audit sistem informasi dan fraud audit, diharapkan dapat mengungkap cyber crime secara cermat dan cepat. Saat ini kita perlu mengembangkan disiplin khusus yaitu computer forensic, hal ini menjadi sangat penting mengingat cyber crime melalui kejahatan komputer (computer fraud) semakin meluas dan canggih.
Proses, Unsur dan Faktor Pemicu Fraud
Proses timbulnya fraud biasanya terdiri dari 3 (tiga) macam, yaitu pencurian (theft) dari sesuatu yang berharga (cash, inventory, tools, supplies, equipment atau data), konversi (conversion) asset yang dicuri kedalam cash dan pengelabuhan / penutupan (concealment) tindakan kriminal agar tidak dapat terdeteksi. Unsur-unsur fraud antara lain sekurang-kurangnya melibatkan dua pihak (collussion), tindakan penggelapan/penghilangan atau false representation dilakukan dengan sengaja, menimbulkan kerugian nyata atau potensial atas tindakan pelaku fraud. Meskipun organisasi / perusahaan secara hukum dapat menuntut para pelaku fraud, namun ternyata tidak mudah usaha untuk menangkap para pelaku fraud, mengingat pembuktiannya relatif sangat sulit. Apalagi apabila fraud tersebut termasuk perbuatan kolusi dalam computer fraud. Penyebab timbulnya fraud berupa segitiga fraud (the fraud triangle), sebagai berikut :
The Fraud Triangle
Penyebab / faktor pemicu fraud dibedakan atas 3 (tiga) hal yaitu :
* Tekanan (Unshareable pressure/ incentive) yang merupakan motivasi seseorang untuk melakukan fraud. Motivasi melakukan fraud, antara lain motivasi ekonomi, alasan emosional (iri/cemburu, balas dendam, kekuasaan, gengsi) dan nilai (values).
* Adanya kesempatan / peluang (Perceived Opportunity) yaitu kondisi atau situasi yang memungkinkan seseorang melakukan atau menutupi tindakan tidak jujur.
* Rasionalisasi (Rationalization) atau sikap (Attitude), yang paling banyak digunakan adalah hanya meminjam (borrowing) asset yang dicuri.
Fraud dapat dikatagorikan atas 3 (tiga) macam sbb. :
* Penyalahgunaan wewenang/jabatan (Occupational Frauds); kecurangan yang dilakukan oleh individu- individu yang bekerja dalam suatu organisasi untuk mendapatkan keuntungan pribadi.
* Kecurangan Organisatoris (Organisational Frauds); kecurangan yang dilakukan oleh organisasi itu sendiri demi kepentingan/keuntungan organisasi itu.
* Skema Kepercayaan (Confidence Schemes). Dalam kategori ini, pelaku membuat suatu skema kecurangan dengan menyalahgunakan kepercayaan korban.
Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem informasi, akan terus meningkat dikarenakan beberapa hal, antara lain:
* Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi dan jaringan komputer semakin meningkat. Sebagai contoh saat ini mulai bermunculan aplikasi bisnis seperti on-line banking, electronic commerce (e-commerce), Electronic Data Interchange (EDI), dan masih banyak lainnya.
* Desentralisasi server sehingga lebih banyak sistem yang harus ditangani dan membutuhkan lebih banyak operator dan administrator yang handal. Padahal mencari operator dan administrator yang handal adalah sangat sulit.
* Transisi dari single vendor ke multi-vendor sehingga lebih banyak yang harus dimengerti dan masalah interoperability antar vendor yang lebih sulit ditangani.
* Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakannya.
* Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan telekomunikasi yang sangat cepat.
Jenis-Jenis Fraud
Jenis-jenis fraud yang sering terjadi di suatu organisasi (perusahaan) pada umumnya dapat dibedakan atas 3 (tiga) kategori :
* Pemalsuan (Falsification) data dan tuntutan palsu (illegal act). Hal ini terjadi karena pelaku fraud secara sadar dan sengaja memalsukan suatu fakta, laporan, penyajian atau klaim yang mengakibatkan kerugian keuangan atau ekonomi dari para pihak yang menerima laporan atau data palsu tersebut.
* Penggelapan kas (embezzlement cash), pencurian persediaan/aset (Theft of inventory / asset) dan kesalahan (false) atau misleading catatan dan dokumen.
* Kejahatan Komputer (Computer fraud).
Computer fraud adalah kejahatan / kecurangan dengan memanfaatkan teknologi komputer sebagai sarana pengolahan data / informasi. Computer fraud termasuk salah satu kejahatan kerah putih (white collar crime). White collar crime adalah kegiatan yang salah atau serangkaian dari tindakan yang dilakukan tanpa tindakan secara non-fisik dan rahasia atau tipu muslihat untuk mendapatkan uang atau property,untuk menghindari pembayaran atau kehilangan uang atau property, atau untuk mendapatkan bisnis termasuk keuntungan pribadi. Computer fraud meliputi tindakan ilegal yang mana pengetahuan tentang teknologi komputer adalah sangat esensial untuk perpetration, investigation atau prosecution. Dengan menggunakan sebuah komputer seorang fraud perpetrator dapat mencuri lebih banyak dalam waktu lebih singkat dengan usaha yang lebih kecil. Pelaku fraud telah menggunakan berbagai metode untuk melakukan Computer fraud .
Jenis-jenis Computer Fraud
Pengkategorian Computer fraud melalui penggunaan model pemrosesan data (data processing model), dapat dirinci sbb :
* Cara yang paling sederhana dan umum untuk melaksanakan fraud adalah mengubah computer input.
* Computer fraud dapat dilakukan melalui penggunaan sistem (dalam hal ini Processor) oleh yang tidak berhak, termasuk pencurian waktu dan jasa komputer serta penggunaan komputer untuk keperluan diluar job deskripsi pegawai.
* Computer fraud dapat dicapai dengan mengganggu perangkat lunak (software) yang mengolah data perusahaan atau Computer istruction . Cara ini meliputi mengubah software, membuat copy ilegal atau menggunakannya tanpa otorisasi (unauothorized).
* Computer fraud dapat dilakukan dengan mengubah atau merusak data files organisasi / perusahaan atau membuat copy, menggunakan atau melakukan pencarian terhadap data tanpa otorisasi.
* Computer fraud dapat dilaksanakan dengan mencuri atau menggunakan secara tidak benar system output.
Pencegahan Computer Fraud
Salah satu cara untuk mencegah timbulnya computer fraud adalah dengan merancang sebuah sistem yang dilengkapi dengan internal control yang cukup memadai sehingga computer fraud sukar dilakukan oleh pihak luar maupun orang dalam perusahaan. Selain itu manajemen perusahaan harus memiliki komitmen untuk selalu meningkatkan budaya integritas (culture of integrity). Mengingat computer fraud dewasa ini semakin meningkat, metode dan cara untuk melindungi perusahaan dari computer fraud masih sangat terbatas, secara hukum Indonesia belum ada cyber law yang dapat dijadikan payung bagi petugas polisi dan aparat terkait lainnya untuk bertindak dan saat ini masih menggunakan KUHP umum. Berikut beberapa cara perlindungan yang dapat dilakukan oleh organisasi / perusahaan untuk melindungi / mencegah timbulnya computer fraud, yaitu:
* Personnel screening.
* Definisi pekerjaan (job defined).
* Pemisahan tugas (segregration of duties).
* Etika profesional (professional ethics)
* Lisensi (license)
* System design control
* Physical access security
* Electronic access security.
* Internal control and edit.
Computer fraud harus dicegah sebelum terjadi, merupakan tanggung jawab manajemen untuk menciptakan lingkungan yang kondusif sehingga dapat mencegah terjadinya computer fraud.
Pendeteksian fraud oleh Internal Auditor
Pada awalnya perhatian utama internal auditor adalah langsung mendeteksi terjadinya computer fraud. Namun fungsi internal auditor ternyata lebih bersifat protektif dan detektif daripada konstruktif. Berdasarkan Statement on Internal Auditing Standards (SIAS). Ada 4 (empat) fungsi dan tanggung jawab dari internal auditor dalam menghadapi fraud, yaitu :
Pencegahan computer fraud
Tanggung jawab utama pencegahan computer fraud berada pada pihak manajemen. Tanggung jawab internal auditor terletak pada audit dan evaluasi kelengkapan dan keefektifan tindakan yang dijalankan managemen untuk memenuhi kewajibannya
Pendeteksian computer fraud
Internal auditor harus memiliki pengetahuan yang cukup tentang computer fraud untuk dapat melakukan identifikasi indikasi computer fraud. Apabila pengendalian (control) terhadap kelemahan yang signifikan telah dideteksi, sebagai pengujian lanjutan (substantive test) internal auditor harus menambahkan pengujian langsung (direct test) terhadap identifikasi dan indikator computer fraud. Meskipun prosedur audit serta kemahiran jabatan professional (due professional care) dari internal auditor telah dilakukan dengan baik belum tentu dapat menjamin sepenuhnya computer fraud dapat dideteksi.
Penginvestigasian computer fraud
Investigasi terhadap computer fraud mungkin telah diarahkan atau telah ada partisipasi dari internal auditor, lawyer, investigators, security personnel, dan spesialis lainnya dari dalam maupun luar perusahaan. Internal auditor harus dapat mengakses fakta dari seluruh computer fraud investigation , sebagai berikut :
* Menjelaskan kebutuhan pengendalian (control) yang harus diimplementasikan.
* Merancang pengujian audit (design audit test) untuk membantu pengungkapan adanya computer fraud di masa yang akan datang.
* Membantu dokumentasi tanggung jawab internal auditor dalam pengembangan pengetahuan (knowledge) tentang computer fraud, sehingga dapat digunakan sebagai pedoman / acuan oleh para auditor berikutnya.
Pelaporan computer fraud .
Pelaporan (report) tentang computer fraud harus dibuat berdasarkan kesimpulan dari setiap tahapan / fase investigasi. Selain itu, harus melaporkan seluruh temuan (finding), kesimpulan, rekomendasi, dan tindak lanjut (feed back) perbaikan yang telah diambil. Apabila internal auditor menemukan indikasidan mencurigai terjadinya computer fraud di perusahaan, maka ia harus segera memberitahukan hal tersebut kepada top manajemen. Apabila indikasi tersebut cukup kuat, manajemen akan menugaskan suatu tim audit untuk melakukan investigasi. Tim yang ditugaskan tersebut biasanya yang memiliki keahlian dibidang Sistem Informasi (computer skill). Sertifikat internasional bagi auditor yang lulus ujian sertifikasi spesialisasi bidang audit sistem informasi adalah Certified Information System Audit (CISA). Peran internal auditor untuk menemukan indikasi adanya computer fraud dan melakukan investigasi terhadap computer fraud adalah sangat besar. Walaupun internal auditor tidak dapat menjamin bahwa computer fraud tidak akan terjadi, namun ia harus menggunakan kemahiran jabatannya (due professional care) dan dapat memberikan saran / rekomendasi yang bermanfaat kepada manajemen untuk mencegah terjadinya computer fraud. Rekomendasi internal audit tersebut akan membantu manajemen dalam mengambil tindakan perbaikan sehingga kemungkinan terjadinya computer fraud dapat diperkecil.
Berdasarkan uraian tersebut diatas dapat disimpulkan sebagai berikut :
1. Fraud merupakan problem yang serius, dan Computer Fraud dapat terjadi kapan saja dan di organisasi (perusahaan) mana saja, maka manajemen perusahaan harus mengambil langkah-langkah komprehensif untuk mencegah timbulnya computer fraud antara lain melalui peningkatan internal control, review sistem & prosedur serta peningkatan integritas moral karyawan dan manajemen perusahaan.
2. Auditor internal maupun auditor independen bertanggung jawab untuk melakukan pencegahan (prevention), pendeteksian (detection) serta penginvestigasian (investigation) terhadap computer fraud.
3. Salah satu jenis audit yang dapat dilakukan oleh auditor internal maupun auditor independen untuk melakukan pencegahan, pendeteksian serta penginvestigasian terhadap computer fraud adalah melalui audit sistem informasi atau EDP audit.
