My Facebook

Profil Facebook Yudo Yurist

Senin, 12 April 2010

Cybercrime

Cybercrime
Budi Rahardjo
PPAU Mikroelektronika ITB
IDCERT – Indonesia Computer Emergency Response Team
br@paume.itb.ac.id – budi@cert.or.id
2001-07-28

Perkembangan Internet dan umumny dunia cyber tidak selamanya menghasilkan hal-hal yang postif. Salah satu hal negatif yang merupakan efek sampingannya antara lain adalah kejahatan di dunia cyber atau, cybercrime. Hilangnya batas ruang dan waktu di Internet mengubah banyak hal. Seseorang cracker di Rusia dapat masuk ke sebuah server di Pentagon tanpa ijin. Salahkah dia bila sistem di Pentagon terlalu lemah sehingga mudah ditembus? Apakah batasan dari sebuah cybercrime? Seorang yang baru “mengetuk pintu” (port scanning) komputer anda, apakah sudah dapat dikategorikan sebagai kejahatan? Apakah ini masih dalam batas ketidak-nyamanan (inconvenience) saja? Bagaimana pendapat anda tentang penyebar virus dan bahkan pembuat virus? Bagaimana kita menghadapi cybercrime ini? Bagaimana aturan / hukum yang cocok untuk mengatasi atau menanggulangi masalah cybercrime di Indonesia? Banyak sekali pertanyaan yang harus kita jawab.
Contoh kasus di Indonesia
Pencurian dan penggunaan account Internet milik orang lain. Salah satu kesulitan dari sebuah ISP (Internet Service Provider) adalah adanya account pelanggan mereka yang “dicuri” dan digunakan secara tidak sah. Berbeda dengan pencurian yang dilakukan secara fisik, “pencurian” account cukup menangkap “userid” dan “password” saja. Hanya informasi yang dicuri. Sementara itu orang yang kecurian tidak merasakan hilangnya “benda” yang dicuri. Pencurian baru terasa efeknya jika informasi ini digunakan oleh yang tidak berhak. Akibat dari pencurian ini, penggunan dibebani biaya penggunaan acocunt tersebut. Kasus ini banyak terjadi di ISP. Namun yang pernah diangkat adalah penggunaan account curian oleh dua Warnet di Bandung.
Membajak situs web. Salah satu kegiatan yang sering dilakukan oleh cracker adalah mengubah halaman web, yang dikenal dengan istilah deface. Pembajakan dapat dilakukan dengan mengeksploitasi lubang keamanan. Sekitar 4 bulan yang lalu, statistik di Indonesia menunjukkan satu (1) situs web dibajak setiap harinya. Hukum apa yang dapat digunakan untuk menjerat cracker ini?
Probing dan port scanning. Salah satu langkah yang dilakukan cracker sebelum masuk ke server yang ditargetkan adalah melakukan pengintaian. Cara yang dilakukan adalah dengan melakukan “port scanning” atau “probing” untuk melihat servis-servis apa saja yang tersedia di server target. Sebagai contoh, hasil scanning dapat menunjukkan bahwa server target menjalankan program web server Apache, mail server Sendmail, dan seterusnya. Analogi hal ini dengan dunia nyata adalah dengan melihat-lihat apakah pintu rumah anda terkunci, merek kunci yang digunakan, jendela mana yang terbuka, apakah pagar terkunci (menggunakan firewall atau tidak) dan seterusnya. Yang bersangkutan memang belum melakukan kegiatan pencurian atau penyerangan, akan tetapi kegiatan yang dilakukan sudah mencurigakan. Apakah hal ini dapat ditolerir (dikatakan sebagai tidak bersahabat atau unfriendly saja) ataukah sudah dalam batas yang tidak dapat dibenarkan sehingga dapat dianggap sebagai kejahatan?
Berbagai program yang digunakan untuk melakukan probing atau portscanning ini dapat diperoleh secara gratis di Internet. Salah satu program yang paling populer adalah “nmap” (untuk sistem yang berbasis UNIX, Linux) dan “Superscan” (untuk sistem yang berbasis Microsoft Windows). Selain mengidentifikasi port, nmap juga bahkan dapat mengidentifikasi jenis operating system yang digunakan.


budi@router:~$ nmap localhost

Starting nmap V. 2.12 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
Interesting ports on localhost (127.0.0.1):
Port State Protocol Service
21 open tcp ftp
22 open tcp ssh
25 open tcp smtp
53 open tcp domain
80 open tcp http
110 open tcp pop-3
111 open tcp sunrpc
143 open tcp imap2
1008 open tcp ufsd
3128 open tcp squid-http

Nmap run completed -- 1 IP address (1 host up) scanned in 1 second



Apa yang harus dilakukan apabila server anda mendapat port scanning seperti contoh di atas? Kemana anda harus melaporkan keluhan (complaint) anda?
Virus. Seperti halnya di tempat lain, virus komputer pun menyebar di Indonesia. Penyebaran umumnya dilakukan dengan menggunakan email. Seringkali orang yang sistem emailnya terkena virus tidak sadar akan hal ini. Virus ini kemudian dikirimkan ke tempat lain melalui emailnya. Kasus virus ini sudah cukup banyak seperti virus Mellisa, I love you, dan SirCam. Untuk orang yang terkena virus, kemungkinan tidak banyak yang dapat kita lakukan. Akan tetapi, bagaimana jika ada orang Indonesia yang membuat virus (seperti kasus di Filipina)? Apakah diperbolehkan membuat virus komputer?
Denial of Service (DoS) dan Distributed DoS (DDos) attack. DoS attack merupakan serangan yang bertujuan untuk melumpuhkan target (hang, crash) sehingga dia tidak dapat memberikan layanan. Serangan ini tidak melakukan pencurian, penyadapan, ataupun pemalsuan data. Akan tetapi dengan hilangnya layanan maka target tidak dapat memberikan servis sehingga ada kerugian finansial. Bagaimana status dari DoS attack ini? Bayangkan bila seseorang dapat membuat ATM bank menjadi tidak berfungsi. Akibatnya nasabah bank tidak dapat melakukan transaksi dan bank (serta nasabah) dapat mengalami kerugian finansial. DoS attack dapat ditujukan kepada server (komputer) dan juga dapat ditargetkan kepada jaringan (menghabiskan bandwidth). Tools untuk melakukan hal ini banyak tersebar di Internet. DDoS attack meningkatkan serangan ini dengan melakukannya dari berberapa (puluhan, ratusan, dan bahkan ribuan) komputer secara serentak. Efek yang dihasilkan lebih dahsyat dari DoS attack saja.
Kejahatan yang berhubungan dengan nama domain. Nama domain (domain name) digunakan untuk mengidentifikasi perusahaan dan merek dagang. Namun banyak orang yang mencoba menarik keuntungan dengan mendaftarkan domain nama perusahaan orang lain dan kemudian berusaha menjualnya dengan harga yang lebih mahal. Pekerjaan ini mirip dengan calo karcis. Istilah yang sering digunakan adalah cybersquatting. Masalah lain adalah menggunakan nama domain saingan perusahaan untuk merugikan perusahaan lain. (Kasus: mustika-ratu.com) Kejahatan lain yang berhubungan dengan nama domain adalah membuat “domain plesetan”, yaitu domain yang mirip dengan nama domain orang lain. (Seperti kasus klikbca.com) Istilah yang digunakan saat ini adalah typosquatting.
IDCERT (Indonesia Computer Emergency Response Team) . Salah satu cara untuk mempermudah penanganan masalah keamanan adalah dengan membuat sebuah unit untuk melaporkan kasus keamanan. Masalah keamanan ini di luar negeri mulai dikenali dengan munculnya “sendmail worm” (sekitar tahun 1988) yang menghentikan sistem email Internet kala itu. Kemudian dibentuk sebuah Computer Emergency Response Team (CERT) . Semenjak itu di negara lain mulai juga dibentuk CERT untuk menjadi point of contact bagi orang untuk melaporkan masalah kemanan. IDCERT merupakan CERT Indonesia.
Sertifikasi perangkat security. Perangkat yang digunakan untuk menanggulangi keamanan semestinya memiliki peringkat kualitas. Perangkat yang digunakan untuk keperluan pribadi tentunya berbeda dengan perangkat yang digunakan untuk keperluan militer. Namun sampai saat ini belum ada institusi yang menangani masalah evaluasi perangkat keamanan di Indonesia. Di Korea hal ini ditangani oleh Korea Information Security Agency.
Bagaimana di Luar Negeri?
Berikut ini adalah beberapa contoh pendekatan terhadap cybercrime (khususnya) dan security (umumnya) di luar negeri.
• Amerika Serikat memiliki Computer Crime and Intellectual Property Section (CCIPS) of the Criminal Division of the U.S. Departement of Justice. Institusi ini memiliki situs web yang memberikan informasi tentang cybercrime. Namun banyak informasi yang masih terfokus kepada computer crime.
• National Infrastructure Protection Center (NIPC) merupakan sebuah institusi pemerintah Amerika Serikat yang menangani masalah yang berhubungan dengan infrastruktur. Institusi ini mengidentifikasi bagian infrastruktur yang penting (critical) bagi negara (khususnya bagi Amerika Serikat). Situs web: . Internet atau jaringan komputer sudah dianggap sebagai infrastruktur yang perlu mendapat perhatian khusus. Institusi ini memberikan advisory
• The National Information Infrastructure Protection Act of 1996
• CERT yang memberikan advisory tentang adanya lubang keamanan (Security holes).
• Korea memiliki Korea Information Security Agency yang bertugas untuk melakukan evaluasi perangkat keamanan komputer & Internet, khususnya yang akan digunakan oleh pemerintah.
Penutup
Tulisan ini hanya menampilkan sedikit permasalahan yang terkait dengan cybercrime. Tentunya masih banyak permasalahan lain yang belum dibahas pada tulisan singkat ini.

Ciri-ciri profesionalisme di bidang IT dan kode etik profesional yang harus dipunyai oleh seorang IT

Ciri-ciri seorang profesional di bidang IT adalah :

*
o Memiliki pengetahuan yang tinggi di bidang TI
o Memiliki ketrampilan yang tinggi di bidang TI
o Memiliki pengetahuan yang luas tentang manusia dan masyarakat, budaya, seni, sejarah dan komunikasi
o Tanggap thd masalah client, faham thd isyu-isyu etis serta tata nilai kilen-nya
o Mampu melakukan pendekatan multidispliner
o Mampu bekerja sama
o Bekerja dibawah disiplin etika
o Mampu mengambil keputusan didasarkan kepada kode etik, bila dihadapkan pada situasi dimana pengambilan keputusan berakibat luas terhadap masyarakat

Kode Etik IT Profesional :

Idealnya, setiap bidang profesi memiliki rambu-rambu yang mengatur bagaimana seorang profesional berfikir dan bertindak. Dalam beberapa bidang profesi, seperti kedokteran, jurnalistik, dan hukum, rambu-rambu ini telah disepakati bersama para profesionalnya dan dituangkan ke dalam Kode Etik. Seseorang yang melanggar Kode Etik dinyatakan melakukan malpraktek dan bisa mendapatkan sangsi tergantung kepada kekuatan Kode Etik itu di mata hukum. Sangsi yang dikenakan adalah mulai dari yang paling ringan, yaitu sekedar mendapat sebutan “tidak profesional” sampai pada pencabutan ijin praktek, bahkan hukuman pidana.

Sebagai salah satu bidang profesi, Information Technology (IT) bukan pengecualian, diperlukan rambu-rambu tersebut yang mengatur bagaimana para IT profesional ini melakukan kegiatannya. Sejauh yang saya ketahui, belum ada Kode Etik khusus yang ditujukan kepada IT Profesional di Indonesia. Memang sudah ada beberapa kegiatan yang mengarah ke terbentuknya Kode Etik ini, namun usahanya belum sampai menghasilkan suatu kesepakatan. Dalam tulisan ini, saya ingin memusatkan perhatian kepada Kode Etik yang dibuat oleh IEEE Computer Society dan ACM yang ditujukan khusus kepada Software Engineer sebagai salah satu bidang yang perannya makin meningkat di IT.

Kode Etik Software Engineering yang dikeluarkan oleh joint team IEEE Computer Society dan ACM terdiri dari dua bentuk, versi singkat dan versi panjang. Versi singkatnya dapat dilihat pada gambar di samping, sedangkan versi panjangnya dapat di-download di sini.

Kode Etik ini menekankan agar software engineer (IT profesional) memiliki komitmen yang tinggi untuk menjaga agar profesinya adalah profesi yang bermanfaat bagi masyarakat dan merupakan profesi yang terhormat. Komitmen ini tercermin pada saat seorang software engineer melakukan kegiatannya dalam membangun software, mulai dari melakukan analisa, membuat spesifikasi, membuat design, melakukan coding, testing maupun pemeliharaan software.

Pada setiap kegiatan tersebut, peran software engineer sangat penting, karena ia turut menentukan hasil akhir dari suatu pengembangan system. Dengan kata lain, dia berada dalam posisi untuk berbuat kebaikan atau berbuat yang merugikan orang lain. Untuk itulah pentingnya Kode Etik ini diterapkan oleh setiap individu software engineer.

Kalau kita melihat Kode Etik seperti yang disebutkan di atas, ada lima aktor yang perlu diperhatikan:

1. Publik
2. Client
3. Perusahaan
4. Rekan Kerja
5. Diri Sendiri

Kepentingan publik (public interest) mendapat perhatian cukup besar dalam kode etik ini dan di berbagai tempat dalam Kode Etik, kepentingan publik itu disebut-sebut. Dalam melakukan kegiatannya, seorang software engineer dituntut untuk konsisten dengan kepentingan publik. Bahkan dalam rangka memenuhi kewajiban kepada client dan perusahaan pun kita dituntut untuk juga memikirkan kepentingan publik.

Untuk software yang menyangkut hajat hidup orang banyak, misalnya software flight control untuk pesawat terbang, kepentingan publik sangat kentara, yaitu salah satunya adalah safety. Definisi konsisten dengan kepentingan publik dalam kasus ini adalah agar kita membangun suatu software flight control yang reliable dan sesuai dengan fungsinya.

Lantas, bagaimana dengan software-software sederhana yang tidak mempengaruhi kehidupan publik? Misalnya sistem kepegawaian dalam suatu instansi pemerintah? Walaupun dalam derajat yang mungkin lebih rendah dibandingkan nyawa manusia, masih banyak kepentingan publik yang perlu diperhatikan, misalnya kemudahan masyarakat, transparansi, akuntabilitas, masalah uang publik, dll. Kode Etik tersebut meminta agar dalam setiap tindakannya, seorang software engineer memperhatikan kepentingan publik tersebut.

Terhadap client dan perusahaan tempatnya bekerja, software engineer dituntut agar dalam menimbang dan melakukan kegiatannya selalu berorientasi yang terbaik bagi client dan perusahaan. Yang terbaik bagi client adalah apabila kita menghasilkan suatu software yang berkualitas dengan delivery waktu yang sesuai. Bagi perusahaan, yang terbaik adalah apabila pengembangan software tersebut dilakukan dengan se-efisien mungkin sehingga biaya produksi dapat ditekan serendah mungkin. Dalam hal ini, kepentingan kedua aktor tersebut dapat dipenuhi sekaligus dengan melakukan pekerjaan yang efektif dan efisien.

Dalam prakteknya, seorang profesional IT bisa dihadapkan pada suatu kondisi yang bertolak belakang antara kepentingan satu aktor dengan kepentingan aktor lainnya. Misalnya, situasi di mana antara kepentingan Perusahaan dengan kepentingan Client bertolak belakang. Perusahaan ingin memotong biaya dengan mengurangi fitur-fitur, sedangkan Client ingin terus menambah fitur-fitur. Bagaimana kita harus bersikap? Siapa yang akan kita menangkan dalam hal ini?

Atau ada kasus sebagai berikut, sebuah instansi pemerintah dalam rangka ”menghabiskan” sisa anggarannya meminta anda untuk membuat suatu system yang anda tahu tidak akan digunakan dan hanya akan membuang uang saja. Sementara Client (dalam hal ini instansi pemerintah) dan Perusahaan anda telah setuju dengan proyek tersebut. Client anda tidak mempermasalahkan apakah software yang dihasilkan akan digunakan atau tidak, begitu pula Perusahaan tempat anda bekerja, tetapi anda tahu bahwa software yang anda buat tidak akan digunakan semestinya dan hal tersebut berarti hanya membuang-buang uang saja. Bagaimana anda bersikap?

Kode Etik tidak berdiri sendiri, perangkat hukum lainnya seperti kontrak kerja harus sama-sama dipenuhi. Dalam kasus pertama dimana terjadi konflik antara Client dan Perusahaan, kita mesti lihat kontraknya. Dokumen kontrak memiliki konsekuensi hukum yang jelas. Tentunya kita ingin memenuhi kontrak tersebut agar tidak kena sangsi hukum.

Kembali ke kasus ”menghabiskan” sisa anggaran tadi, bagaimana kita sebagai IT profesional bertindak apabila kita tahun bahwa proyek yang kita sedang kerjakan adalah sebetulnya proyek main-main untuk menghabiskan anggaran saja? Dari ketiga kemungkinan di bawah ini, mana yang anda pilih?

1. Minta transfer ke proyek lain yang lebih ”benar”. Atau, kalau tidak memungkinkan untuk minta transfer ke proyek lain, cari saja kerja di perusahaan yang lain.
2. Kerja secara profesional, menghasilkan software yang terbaik, tidak usah ambil pusing dengan urusan publik.
3. Kerja setengah hati sambil ngedumel ke rekan kerja bahwa yang dikerjakannya akan hanya buang-buang uang saja.

Dari ketiga pilihan ini pilihan ketiga yang paling tidak konsisten dengan kode etik.

Kode Etik juga mengatur hubungan kita dengan rekan kerja. Bahwa kita harus selalu fair dengan rekan kerja kita. Tidak bolehlah kita sengaja menjerumuskan rekan kerja kita dengan memberi data atau informasi yang keliru. Persaingan yang tidak sehat ini akan merusak profesi secara umum apabila dibiarkan berkembang.

Karyawan IT di client mestinya juga mengadopsi Kode Etik tersebut, sehingga bisa terjalin hubungan profesional antara konsultan dengan client. Bertindak fair terhadap kolega juga berlaku bagi karyawan IT di organisasi client dalam memperlakukan vendornya. Apabila dua perusahaan telah sepakat untuk bekerja sama membangun suatu software, maka para profesional IT di kedua perusahaan tersebut harus dapat bekerja sama dengan fair sebagai sesama profesional IT .

Beberapa perlakuan yang tidak fair terhadap kolega, antara lain:

1. Menganggap kita lebih baik dari rekan kita karena tools yang digunakan. Misalnya, kita yang menggunakan bahasa JAVA lebih baik daripada orang lain yang pakai Visual BASIC.
2. Kita merasa lebih senior dari orang lain, oleh karena itu kita boleh menganggap yang dikerjakan orang lain lebih jelek dari kita, bahkan tanpa melihat hasil kerjanya terlebih dahulu.
3. Seorang profesional IT di client merasa lebih tinggi derajatnya daripada profesional IT si vendor sehingga apapun yang disampaikan olehnya lebih benar daripada pendapat profesional IT vendor.

Persaingan yang tidak sehat akan menghasilkan zero-sum game, yaitu kondisi dimana seorang dapat maju dengan cara membuat orang lain mundur. Dengan bertindak fair, dapat dimungkinan dua pihak yang berkompetisi dapat sama-sama maju.

Walaupun Kode Etik di atas belum secara resmi diadopsi oleh asosiasi profesi di Indonesia, namun tidak ada salahnya apabila kita para profesional di bidang Software Engineering mengadopsinya secara pribadi. Selain hal tersebut merupakan bentuk pertanggung-jawaban moral sebagai profesional di bidangnya, mengadopsi kode etik akan mengangkat citra kita ke tingkat yang lebih tinggi.

Sumber :http://www.blog.simetri.co.id

Senin, 08 Maret 2010

Etika & Profesionalisme

Perilaku etika merupakan fondasi peradaban modern- menggarisbawahi keberhasilan berfungsinya hampir setiap aspek masyarakat, dari kehidupan keluarga sehari-hari sampai hukum, kedokteran, dan bisnis. Etika (ethic) mengacu pada suatu sistem atau kode perilaku berdasarkan kewajiban moral yang menunjukkan bagaimana seorang individu harus berperilaku dalam masyarakat.
Perilaku etika juga merupakan fondasi profesionalisme modern. Profesionalisme didefinisikan secara luas, mengacu pada perilaku, tujuan, atau kualitasyang membentuk karakter atau memberi ciri suatu profesi atau orang-orang profesional. Seluruh profesi menyusun aturan atau kode perilaku yang mendefinisikan perilaku etika bagi anggota profesi tersebut. Untuk menjadi sumber objektif yang dapat dipercaya, profesional harus memiliki reputasi yang kuat tidak hanya untuk kompetensi tetapi juga untuk karakter dan integritas yang tidak diragukan lagi.
Mengingat pentingnya reputasi, perilaku etika, dan profesionalisme, profesi akuntan telah mengembangkan Kode Perilaku Profesional yang memberikan pedoman pada perilaku profesional akuntansi.

Teori Perilaku Etika

Beberapa pilihan etika cukup sulit karena godaan atau tekanan atau mengikuti kepentingan pribadi seseorang, yang dapat menutupi pertimbangan terkait dengan apa yang benar atau salah. Pilihan lain diperumit oleh kesulitan memilih isu dan menguraikan tindakan apa yang mungkin tepat atau tidak tepat untuk diambil.
S. M. Mintz telah mengusulkan bahwa terdapat tiga metode atau teori perilaku etika yang dapat menjadi pedoman analisis isu-isu etika dalam akuntansi. Teori ini antara lain (1) paham manfaat atau utilitarianisme. (2) pendekatan berbasis hak (rights based approach), dan (3) pendeketan berbasis keadilan (justice based approach).
Teori utilitarian mengakui bahwa pengambilan keputusan mencakup pilihan antara manfaat dan beban dari tindakan-tindakan alternatif, dan menfokuskan pada konsekuensi tindakan pada individu yang terpengaruh. Teori hak mengasumsikan bahwa individu memiliki hak tertentu dan individu lainnya memiliki kewajiban untuk menghormati hak tersebut. Teori keadilan berhubungan dengan isu seperti ekuitas, kewajaran, dan keadilan. Teori keadilan mencakup dua prinsip dasar. Prinsip pertama menganggap bahwa setiap orang memiliki hak untuk memiliki kebebasan pribadi tingkat maksimumyang masih sesuai dengan kebebasan orang lain . Prinsip kedua menyatakan bahwa tindakan sosial dan ekonomi harus dilakukan untuk memberikan manfaat bagi setiap orang dan tersedia bagi semuanya.

Pengembangan Pertimbangan Moral

Penelitian menunjukkan bahwa pertimbangan moral berkembang dari waktu ke waktu dan merupakan fungsi dari usia, pendidikan, dan kompleksitas pengalaman. Enam tahap pengembangan etika:
• Tingkat 1: Prekonvensional
Tahap I: Tindakan individu dipertimbangkan dalam hal konsekuensi fisiknya.
Tahap II: Individu memerhatikan kebutuhan orang lain, tetapi pemenuhan kebutuhan individu merupakan motivasi dasar untuk bertindak.
• Tingkat 2: Konvensional
Tahap III: Individu berupaya untuk menyesuaikan diri dengan norma kelompok.
Tahap IV: Individu dipersoalkan tentang perintah dalam masyarakat dan peraturannya.
• Tingkat 3: Pascakonvensional
Tahap V: Individu memandang kontrak sosial dan kewajiban mutual sebagai sesuatu yang penting.
Tahap VI: Individu mendasarkan tindakan pada prinsip moral dan etika universial yang diterapkan ke seluruh individu dan kelompok.

KODE PERILAKU PROFESIONAL AICPA:
KERANGKA KERJA KOMPREHENSIF BAGI AUDITOR

Kode Perilaku Profesional AICPA terdiri atas dua bagian:
• Prinsip-prinsip Perilaku Profesional (Principles of Profesionnal Conduct); menyatakan tindak-tanduk dan perilaku ideal.
• Aturan Perilaku (Rules of Conduct); menentukan standar minimum.

Prinsip-prinsip Perilaku Profesional menyediakan kerangka kerja untuk Aturan Perilaku. Pedoman tambahan untuk penerapan Aturan Perilaku tersedia melalui:
• Interpretasi Aturan Perilaku (Interpretations of Rules of Conduct)
• Putusan (Rulings) oleh Professional Ethics Executive Committee.

Enam Prinsip-prinsip Perilaku Profesional:
• Tanggung jawab: Dalam melaksanakan tanggung jawabnya sebagai profesional, anggota harus melaksanakan pertimbangan profesional dan moral dalam seluruh keluarga.
• Kepentingan publik: Anggota harus menerima kewajiban untuk bertindak dalam suatu cara yang akan melayani kepentingan publik, menghormati kepercayaan publik, dan menunjukkan komitmen pada profesionalisme.
• Integritas: Untuk mempertahankan dan memperluas keyakinan publik, anggota harus melaksanakan seluruh tanggung jawab profesional dengan perasaan integritas tinggi.
• Objektivitas dan Independesi: Anggota harus mempertahankan objektivitas dan bebas dari konflik penugasan dalam pelaksanaan tanggung jawab profesional.
• Kecermatan dan keseksamaan: Anggota harus mengamati standar teknis dan standar etik profesi.
• Lingkup dan sifat jasa: Anggota dalam praktik publik harus mengamati Prinsip-prinsip Perilaku Profesional dalam menentukan lingkup dan sifat jasa yang akan diberikan.

Aturan perilaku dikelompokkan dalam lima kategori:
• Indepedensi, Integritas, dan Objektivitas.
• Standar Umum dan Prinsip Akuntansi.
• Tanggung Jawab kepada Klien.
• Tanggung Jawab kepada Rekan Seprofesi.
• Tanggung Jawab dan Praktik Lain.

INDEPENDENSI, INTEGRITAS, DAN OBJEKTIVITAS

Independensi

Jika seorang auditor tidak independen terhadap kliennya, maka tidak mungkin pengguna laporan keuangan akan mengandalkan pekerjaan CPA. Dalam melakukan kompilasi laporan keuangan klien tidak memerlukan independensi, tetapi akuntan atau firmayang kurang independen harus secara tersurat menunjukkan fakta dalam laporan kompilasi.

Hubungan Finansial (Financial Relationship). Interpretasi aturan 101-1 melarang anggotanya memiliki hubungan finansial dengan klienyang dapat menurunkan independensi. Hal ini mencakup kepentingan finansial langsung atau tidak langsung yang material kepada klien. Terdapat juga situasi ketika kepentingan finansial nonklien yang berkaitan dalam berbagai cara dengan klien bisa mempengaruhi independensi CPA yaitu:
• Jika nonklien sebagai penerima investasi adalah material terhadap klien sebagai investor, adanya kepentingan finansial langsung atau tidak langsung material oleh CPA.
• Jika klien sebagai penerima investasi adalah material terhadap nonklien sebagai investor, adanya kepentingan finansial langsung atau tidak langsung material oleh CPA.

Hubungan Bisnis (Business Relationship). Aturan 101 pada intinya menunjukkan bahwa independensi CPA akan menurun jika CPA melakukan peran manajerial atau peran penting lainnya bagi organisasi klien selama periode waktuyang tercakup oleh perikatan atestasi.

Pemberian Jasa Nonaudit (Provision of Nonaudit Services). Kode Perilaku Profesional menguraikan persyaratan umum untuk melakukan jasa profesional lain untuk klien atestasi:
1. CPA tidak diperkenankan untuk melakukan fungsi manajemen atau mengambil keputusan manajemen untuk klien atestasi.
2. Klien harus setuju untuk melakukan fungsi-fungsi berikut ini dalam hubungannya dengan perikatan nonatestasi:
a. Buat seluruh keputusan manajemen dan melakukan seluruh fungsi manajemen.
b. Tunjuk seorang karyawan kompeten untuk mengawasi jasa ini.
c. Evaluasi kecukupan dan hasil dari jasa yang dilakukan.
d. Terima tanggung jawab untuk hasil dari jasa tersebut.
e. Bentuk dan pertahankan pengendalian internal.

3. Sebelum melakukan jasa nonatestasi, CPA harus menyusun dan mendokumentasikan secara tertulis pemahamannya kepada klien berkaitan dengan hal berikut:
a. Tujuan perikatan.
b. Jasa yang akan dilakukan.
c. Penerimaan klien atas tanggung jawabnya.
d. Tanggung jawab anggota.
e. Adanya keterbatasan perikatan.

Persyaratan Independesi SEC untuk Audit Perusahaan Publik (SEC Independence Requirement for Audit of Public Companies).

SEC menspesifikasikan sembilan kategori yang dengan beberapa pengecualian dipertimbangkan dapat menurunkan independensi jika diberikan kepada klien perusahaan publik:
• Pembukuan atau jasa lainnya yang terkait dengan pencatatan akuntansi atau laporan keuangan klien audit.
• Desain dan implementasi sistem informasi keuangan.
• Jasa penilaian atau valiasi, pendapat kewajaran, atau laporan kontribusi.
• Jasa akturia.
• Jasa audit internal yang bersumber dari luar.
• Fungsi manajemen atau sumber daya manusia.

Pengaruh Hubungan Keluarga (Effect of Family Relationship). Kepentingan finansial atau bisnis oleh kerabat dekat tidak menurunkan independensi. Dua situasi yang dapat menurunkan independensi adalah:
• Kerabat dekat memiliki kepentingan finansial pada klien yang material terhadap kerabat dekat tersebut, dan CPA yang ikut terlibat dalam perikatan tersebut mengetahui kepentingan tersebut.
• Individu yang terlibat dalam perikatan memiliki kerabat dekat yang dapat melakukan pengaruh penting atas kebijakan keuangan.

Pengaruh Litigasi Aktual atau yang Bersifat Ancaman (Effect of Actual or Threatened Ligitation). Kadang kala litigasi aktual atau yang bersifat ancaman antara klien dengan auditor dapat menurunkan independensi auditor. Interpertasi 101-6 menyebutkan tiga kategori litigasi: (1) litigasi antara klien dengan CPA, (2) litigasi oleh pemegang saham, dan (3) litigasi pihak ketiga antara lain dimana independensi CPA dapat menurun.

Integritas dan Objektivitas

Aturan 102: dalam menjalankan tugasnya, anggota KAP harus mempertahankan integritas dan objektivitas, harus bebas dari benturan kepentingan, dan tidak boleh membiarkan faktor salah saji material yang diketahuinya atau mengalihkan pertimbangannya kepada pihak lain.
Jika anggota menyimpulkan bahwa laporan keuangan atau pencatatan disalah sajikan secara material, ia harus mengkomunikasikan dengan tingkat manajemen yang lebih tinggi dalam organisasi. Anggota juga harus mempertimbangkan apakah terdapat tanggung jawab untuk mengkomunikasikan masalah kepada pihak ketiga, seperti badan pengatur atau akuntan eksternal pemberi kerja.

STANDAR PENGENDALIAN MUTU

Firma KAP diisyaratkan untuk menerapkan kebijakan dan prosedur guna mengawasi praktik firma dan memastikan bahwa standar profesional akan diikuti. Standar Pengendalian Mutu (SQCS) No.2 diterapkan hanya untuk praktik audit dan akuntansi. Meskipun tidak diisyaratkan, dianjurkan bahwa pedoman dalam pernyataan ini diterapkan ke jasa lain seperti jasa perpajakan dan jasa konsultasi.

Sistem Pengendalian Mutu

Sistem pengendalian mutu KAP mencakup struktur organisasi, kebijakan dan prosedur yang ditetapkan KAP untuk memberikan keyakinan memadai tentang kesesuaian perikatan profesional dengan standar profesional. Akan tetapi sifat dan lingkup kebijakan dan prosedur pengendalian mutu yang ditetapkan oleh KAP tergantung pada berbagai faktor, antara lain ukuran KAP, tingkat otonomi yang diberikan kepada stafnya dan kantor-kantor cabangnya, sifat praktik, organisasi kantornya, dan pertimbangan biaya manfaat.

Unsur-unsur Pengendalian Mutu

SQCS No.2 mengidentifikasi lima unsur pengendalian mutu berikut ini:
• Independensi, Integritas, dan Objektivitas: Kebijakan dan prosedur harus disusun untuk memberikan firma keyakinan memadai bahwa personel mempertahankan independensi dalam semua kondisi yang diperlukan, melakukan seluruh tanggung jawab profesional dengan integritas, dan mempertahankan objektivitas.
• Manajemen Personalia: Kebijakan dan prosedur harus disusun untuk pemberian kerja, penugasan personel, pengembangan profesional, dan aktivitas promosi yang memberikan keyakinan memadai.
• Penerimaan dan Keberlanjutan Klien dan Perikatan: Kebijakan dan prosedur harus disusun untuk memutuskan apakah menerima atau melanjutkan hubungan klien dan apakah melakukan perikatan tertentu untuk klien tersebut.
• Kinerja Perikatan: Kebijakan dan prosedur harus disusun untuk memberikan firma keyakinan memadai bahwa pekerjaan yang dilakukan oleh personel perikatan memenuhi standar profesional yang berlaku, persyaratan peraturan, dan standar kualitas firma.
• Pengawasan: Kebijakan dan prosedur harus disusun untuk memberikan firma keyakinan memadai bahwa kebijakan dan prosedur yang disusun oleh firma untuk masing-masing unsur pengendalian mutu lain secara tepat didesain dan diterapkan secara efektif.

Pengawasan Pengendalian Mutu

Standar pengendalian mutu mensyaratkan pengawasan konsisten atas (1) relevansi dan kepatuhan dengan kebijakan dan prosedur, (2) kecukupan materi pedoman firma dan bantuan praktik, dan (3) efektivitas program pengembangan profesional. Firma harus menerapkan prosedur pengawasan untuk mengidentifikasi dan mengkomunikasi keadaan yang bisa mengharuskan perubahan dan pengembangan sistem pengendalian mutu firma.

Inspeksi PCAOB atas Kantor Akuntan Publik Terdaftar

Tujuan dari inspeksi PCAOB adalah untuk memastikan bahwa KAP terdaftar dalam hubungannya dengan audit perusahaan publik, mematuhi Undang-undang Sarbanes-Oxley, peraturan PCAOB, perusahaan SEC, dan standar profesional. PCAOB melakukan inspeksi khusus pada dasar informal ketika memiliki penyebab tertentu, tetapi frekuensi dimana pemeriksaan rutin dilakukan diatur oleh hukum.