eBusiness dan eCommerce
-
Upload
rajim-laymonds -
Category
Documents
-
view
780 -
download
2
description
Transcript of eBusiness dan eCommerce
AUDITING OF E-BUSINESS AND E-COMMERCE
Perdagangan elektronik (e-commerce) melibatkan penggunaan teknologi internet, sistem
jaringan, dan pemrosesan dan transmisi data elektronik. E-commerce mewadahi aktivitas-
aktivitas yang beragam, termasuk perdagangan barang dan jasa secara elektronik, pengiriman
online produk digital, transfer dana elektronik (electronic funds transfer / EFT), perdagangan
saham secara elektronik, dan pemasaran langsung ke pelanggan. Dipacu oleh revolusi internet,
e-commerce secara dramatis memperluas dan mengalami perubahan radikal. Meskipun e-
commerce menjanjikan kesempatan yang sangat besar untuk pelanggan dan bisnis,
implementasi dan pengendaliannya yang efektif adalah tantangan mendesak bagi manajemen
organisasi dan auditor.
Bila e-commerce berarti menggunakan TI untuk membeli dan menjual barang dan jasa secara
elektronik, maka e-business lebih luas maknanya, tidak hanya meliputi pertukaran barang dan
jasa, tapi juga semua bentuk bisnis yang dilakukan menggunakan transmisi data dan informasi
secara elektronik. Evolusi e-business dimulai dari penggunaan pertukaran data elektronik
(electronic data interchange / EDI) oleh perusahaan-perusahaan untuk saling bertukar data
bisnis. Evolusi e-business digambarkan dalam gambar
Perusahaan-perusahaan menggunakan EDI untuk mempercepat proses pembelian dan
penagihan dalam manajemen rantai persediaan. Pada awalnya aplikasi EDI menggunakan jalur
telekomunikasi biasa. Kemudian muncul perusahaan-perusahaan yang khusus bergerak di
bidang value added network (VAN) untuk EDI yang menciptakan jaringan privat antar
perusahaan. Dengan revolusi internet, perusahaan beralih menerapkan EDI menggunakan
internet dan tidak lagi bergantung pada VAN.
12
A. INTERNET
Internet merupakan jaringan-jaringan saling terkoneksi dari sistem-sistem komputer yang
dapat saling diakses. Internet adalah jaringan internasional dari local area networks (LAN)
dan komputer tanpa ada satu pun pengendalinya. Internet dikembangkan pertama kali
pada tahun 1969 sebagai proyek gabungan Defense Advanced Research Project Agency
(DARPA), agensi pertahanan militer Amerika Serikat (AS), dengan empat universitas di AS.
Pertumbuhan internet menjadi sangat cepat karena tiga faktor berikut:
a. Pada tahun 1995, perusahan-perusahaan telekomunikasi mengambil alih elemen
backbone internet dan melanjutkan peningkatan infrastruktur internet.
b. Jasa-jasa online yang menyediakan e-mail yang memungkinkan pengguna internet
berkomunikasi satu sama lain.
c. Pengembangan browser web berbasis grafis yang membuat pengaksesan internet
menjadi hal yang sederhana.
Masing-masing sistem komputer yang dihubungkan dengan inernet diberi alamat internet
protocol (IP) yang unitk. Alamat IP terdiri dari empat kelompok angka digit yang dipisahkan
dengan titik dan masing-masing kelompok bernilai dari angka 0 – 255. Contoh alamat IP:
202.159.14.45. Kelompok angka pertama mengidentifikasi wilayah geografis, kelompok
berikutnya adalah untuk entitas organisasi tertentu, kelompok ketiga adalah kelompok
identifikasi komputer atau jaringan, dan angka terakhir menunjukkan komputer tertentu.
Aplikasi Internet
Ada dua jenis aplikasi internet yaitu:
1. Intranet. Situs web intranet sama halnya dengan situs web lain, tapi dilindungi firewall
dari akses yang tidak sah dan didisain untuk dapat diakses hanya oleh anggota
organisasi.
2. Ekstranet adalah jaringan yang dikendalikan dengan password untuk pengguna privat
bukan publik. Ekstranet digunakan untuk memberikan akses di antara basis data
internal perusahaan rekanan.
13
Komponen
Teknologi yang mendasari internet termasuk komponen jaringan (terutama arsitektur
client-server dan server), browser web dan teknologi pengembangan web, teknologi e-
mail, file transfer protocol (FTP), dan transmission control protocol (TCP/IP). Berikut ini
adalah beberapa komponen penting internet:
- Protokol.
Protokol adalah suatu kumpulan aturan-aturan yang mengendalikan sistem-sistem yang
berhubungan sehingga dapat beroperasi dan berkomunikasi dengan kompatibel dan
lancar. Protokol di internet diorganisasikan dalam bentuk lapisan-lapisan. Lapisan tingkat
paling bawah adalah TCP/IP. TCP/IP bertugas memastikan bahwa paket-paket data
elektronik dikirimkan dan diterima dengan benar dari satu sistem komputer ke sistem
komputer yang lain. Protokol yang tingkatannya lebih tinggi adalah:
• FTP, digunakan untuk memuat file (upload) dan mengambil file (download).
• Simple Mail Transfer Protocol (SMTP), digunakan untuk mengirim e-mail.
• TELNET, untuk emulasi terminal jaringan.
• Hypertext Transmission Protocol (HTTP), adalah standar transmisi data melalui World
Wide Web, komponen grafis internet.
. Server adalah hardware dan software yang selalu berjalan secara konstan dan melayani
pertukaran informasi dengan client. Beberapa jenis server yang penting dalam internet:
• Server Email, bertugas sebagai kotak dan kantor pos elektronik yang menyimpan email
yang masuk dan mengirimkan email ke server email lain sesuai alamat email yang dituju.
• Server File, bertugas untuk melayani penyimpanan dan pengambilan file pada
komputer remote untuk pengguna yang sah.
• Server Web, tempat menyimpan halaman dan program web organisasi yang menerima
permintaan jaringan dan mengirim file berformat hypertext markup language (HTML)
sebagai responnya.
14
HTML dan XML
HTML adalah bahasa format yang menentukan penyajian informasi melalui Web dan
menjadi dasar untuk pengembangan aplikasi internet. Tetapi e-business membutuhkan
bahasa lain untuk memampukan transmisi dan manipulasi informasi melalui internet.
Bahasa ini adalah exstensible markup language (XML).
XML sama dengan HTML dalam hal markup language, tetapi berbeda dalam hal HTML
memiliki tag markup yang tetap, sedangkan tag XML bersifat dapat diciptakan sendiri dan
diperluas. Sehingga XML dapat digunakan untuk menciptakan tag-tag khusus sesuai
industri penggunanya.
Industri akuntansi dan keuangan saat ini sedang mengembangkan extensible business
reporting language (XBRL), yang digunakan untuk pelaporan bisnis melalui internet. Tag
XBRL memastikan pengambilan data dan memampukan manipulasi informasi supaya dapat
dilakukan komparasi antara data akuntansi dan keuangan satu perusahaan dengan
perusahaan lain.
Bahasa spesifik industri lain yang sedang dikembangkan adalah XML e-business (ebXML).
Bahasa standar ini akan memfasilitasi pertukaran data bisnis melalui rantai persediaan
internet dengan cara yang mirip dengan bahasa standar EDI (EDIFACT dan X12).
B. E-COMMERCE
Jenis E-Commerce
E-commerce secara umum dibagi menjadi tiga kategori yang berbeda sebagai berikut:
1. BUSINESS-TO-CONSUMER (B2C)
B2C adalah pertukaran jasa, informasi dan atau produk dari perusahaan kepada
konsumen menggunakan internet dan teknologi perdagangan elektronik.
Pengertian Business-to-Consumer adalah konsep bisnis dimana penjual berhubungan
langsung dengan para pembelinya dan antara penjual dan pembeli belum tentu kenal
dengan penjual.
15
Apa itu Permission Marketing ?
Konsep permission marketing dicetuskan pertama kali oleh Seth Godin, seorang
blogger ternama, penulis, speaker, sekaligus entrepreneur. Permission marketing
adalah kegiatan promosi dengan kesadaran sendiri dari customer. Dari sumber di
internet juga dikatakan bahwa Permission Marketing didefinisikan sebagai suatu teknik
pemasaran yang memerlukan persetujuan dari customernya. Pengguna permission
marketing biasanya adalah marketers yang menggunakan personal marketing.
Pemission marketing ini untuk menggunakan sistem email, website atau pengisian
form tertentu. Agar promo produk lebih efektif maka permission marketing
merupakan metoda yang efektif untuk mencapai target marketnya. Sebagai contoh,
permohonan izin untuk mengirimkan iklan kepada pelanggan yang menjanjikan.
Sehingga orang yang kita kirimkan adalah benar-benar pelanggan yang membutuhkan
atau tertarik pada produk yang kita jual.
Mengapa Permission Marketing Sangat Diperlukan Bagi B2C?
1. Permission marketing memungkinkan kita menjalankan pemasaran secara lebih
efisien dan efektif. Kita memanfaatkan sumber daya hanya kepada target pasar yang
benar-benar tertarik pada produk/layanan kita. Mereka memberikan perhatian penuh
pada kita, dan bersedia untuk meluangkan waktu untuk mempertimbangkan
produk/layanan kita dalam keputusan pembelian.
2. Dengan menerapkan permission marketing, berarti kita memperlakukan orang lain
dengan respect. Dan bukanlah suatu yang tidak mungkin jika kita memperoleh respect
pula dari orang lain. Brand kita mungkin akan memperoleh reputasi sebagai brand
yang beretika. Jika kita ingin menerapkan permission marketing ini, maka terdapat
beberapa implikasi yang harus kita ikuti yaitu jangan mengirim SPAM dan kita harus
menghargai mereka yang memilih untuk menolak penawaran kita.
Conclusion
Dengan adanya Permission Marketing maka menguntungkan bagi perusahaan dan juga
customer. Dari sisi perusahaan, mereka bisa fokus memasarkan produk mereka
kepada orang yang memang ingin mengetahui informasi dan membeli produk
16
tersebut. Sehingga tentunya menjadi lebih efektif. Sedangkan dari sisi Customer,
mereka akan dikirimi penawaran-penawaran sesuai keinginan mereka masing-masing.
Jadi mereka tidak akan menerima informasi-informasi yang tidak mereka inginkan yang
tentunya cukup mengganggu, yang mungkin akan membuat si penerima menjadi kesel
dan sebel dengan perusahaan yang menawarkan produk tersebut (merusak brand
image dari perusahaan itu sendiri).
2. BUSINESS-TO-BUSINESS (B2B)
B2B adalah pertukaran jasa, informasi dan atau produk dari perusahaan kepada
perusahaan menggunakan internet dan teknologi perdagangan elektronik. B2B pada
intinya adalah EDI melalui internet menggunakan web.
Describes commerce transactions between businesses, such as between a
manufacturer and a wholesaler, or between a wholesaler and a retailer.
Business to Business eCommerce umumnya menggunakan mekanisme Electronic Data
Interchange (EDI). Sayangnya banyak standar EDI yang digunakan sehingga
menyulitkan interkomunikasi antar pelaku bisnis. Standar yang ada saat ini antara lain:
EDIFACT, ANSI X.12, SPEC 2000, CARGO-IMP, TRADACOMS, IEF, GENCOD,
EANCOM,ODETTE, CII.
Selain standar yang disebutkan di atas, masih ada formatformat lain yang sifatnya
proprietary. Jika anda memiliki beberapa partner bisnis yang sudah menggunakan
standar yang berbeda, maka anda harus memiliki sistem untuk melakukan konversi
dari satu format ke format lain. Saat ini sudah tersedia produk yang dapat melakukan
konversi seperti ini.
Pendekatan lain yang sekarang cukup populer dalam standarisasi pengiriman data
adalah dengan menggunakan Extensible Markup Language (XML) yang dikembangkan
oleh World Wide Web Consortium (W3C). XML menyimpan struktur dan jenis elemen
data di dalam dokumennya dalam bentuk tags seperti HTML tags sehingga sangat
17
efektif digunakan untuk sistem yang berbeda. Kelompok yang mengambil jalan ini
antara lain adalah XML/EDI group (www.xmledi.net).
Pada mulanya EDI menggunakan jaringan tersendiri yang sering disebut VAN
(ValueAdded Network). Populernya jaringan komputer Internet memacu inisiatif EDI
melalui jaringan Internet, atau dikenal dengan nama EDI overInternet.
Topik yang juga mungkin termasuk di dalam business-to-business eCommerce adalah
electronic/Internet procurement dan Enterprise Resource Planning (ERP). Hal ini
adalah implementasi penggunaan teknologi informasi pada perusahaan dan pada
manufakturing. Sebagai contoh, perusahaan Cisco maju pesat dikarenakan
menggunakan teknologi informasi sehingga dapat menjalankan just-in-time
manufacturing untuk produksi produknya.
SERVIS YANG HARUS TERSEDIA
Untuk menjalankan eCommerce, diperlukan beberapa servis atau infrastruktur
yangmendukung pelaksanaan commerce. Servis-servis ini akan dibahas pada bagian
(section) di bawah ini.
1. Directory Services
Directory services menyediakan informasi tentang pelaku bisnis dan end user, seperti
halnya buku telepon dan Yellow Pages. Ada beberapa standar yang digunakan untuk
menyediakan directory services. Salah satu standar yang cukup populer adalah LDAP
(Lightweight Directory Access Protocol) yang kemudian menimbulkan OpenLDAP
(www.openLDAP.org). Salah satu permasalahan yang mengganjal dalam penggunaan
directory services adalah adanya potensi security hole, yaitu ada kemungkinan orang
melakukan spamming. pamming adalah proses pengiriman email sampah yang tak
diundang (unsolicied emails) yang biasanya berisi tawaran barang atau servis ke
banyak orang sekaligus. Seorang spammer dapat melihat daftar user dari sebuah
directory services kemudian mengirimkan email spamnya kepada alamat-alamat email
yang dia peroleh dari directory services tersebut.
18
2. Intfrastruktur Kunci Publik (Public Key Infrastructure)
Untuk menjalankan eCommerce, dibutuhkan tingkat keamanan yang dapat diterima.
Salah satu cara untuk meningkatkan keamanan adalah dengan menggunakan teknologi
kriptografi, yaitu antara lain dengan menggunakan enkripsi untuk mengacak data.
Salah satu metoda yang mulai umum digunakan adalah pengamanan informasi dengan
menggunakan public key system. Sistem lain yang bisa digunakan adalah privae key
system. Infrastruktur yang dibentuk oleh sistem public key ini disebut Public Key
Infrastructure (PKI), atau diterjemahkan dalam Bahasa Indonesia menjadi Infrastruktur
Kunci Publik (IKP), dimana kunci publik dapat dikelola untuk pengguna yang tersebar
(di seluruh dunia). Komponen-komponen dari infrastruktur kunci publik ini
akandibahas lebih lanjut pada bagian berikut.
3. Certification Authority (CA)
Merupakan sebuah body / enity yang memberikan dan mengelola sertifikat digital
yang dibutuhkan dalam transaksi elektronik. CA berhubungan erat dengan pengelolaan
public key system. Contoh sebuah CA di Amerika adalah Verisign (www.verisign.com).
Adalah merugikan apabila perusahaan di Indonesia menggunakan fasilitas Verisign
dalam transaksi eCommerce. Untuk itu di Indonesia harus ada sebuah (atau lebih) CA.
Sayangnya, untuk menjalankan CA tidak mudah. Banyak hal teknis dan non-teknis yang
harus dibenahi. (Catatan: penulis saat ini sedang mengembangkan sebuah CA untuk
Indonesia. Kontak penulis untuk informasi lebih anjut.) CA dapat diimplementasikan
dengan menggunakan software yang komersial (seperti yang dijual oleh Verisign) dan
juga yang gratis seperti yang dikembangkan oleh OpenCA1.
4. IPSec.
Keamanan media komunikasi merupakan hal yang penting. Mekanisme untuk
mengamankan media komunikasi yang aman (secure) selain menggunakan SSL, yang
akan dijelaskan kemudian, adalah dengan menggunakan IP Secure. Plain IP versi 4,
yang umum digunakan saat ini, tidak menjamin keamanan data.
19
5. Pretty Good Privacy (PGP).
PGP dapat digunakan untuk authentication, encryption, dan digital signature. PGP
umum digunakan (de facto) di bidang eMail. PGP memiliki permasalahan hukum (law)
dengan algoritma enkripsi yang digunakannya, sehingga ada dua sistem, yaitu sistem
yang dapat digunakan di Amerika Serikat dan sistem untuk internasional (di luar
Amerika Serikat). Implementasi dari PGP ada bermacam-macam, dan bahkan saat ini
sudah ada implementasi dari GNU yang disebut GNU PrivacyGuard (GPG).
6. Privacy Enhanced Mail (PEM).
PEM merupakan standar pengamanan email yang diusulkan oleh Internet Engineering
Task Force (IETF) (http://www.IETF.org).
7. PKCS
Public Key Cryptography Standards.
8. S/MIME
Selain menggunakan PGP, pengamanan eMail dapat juga dilakukan dengan
menggunakan standar S/MIME. S/MIME sendiri merupakan standar dari secure
messaging, dan tidak terbatas hanya untuk eMail saja. Beberapa vendor EDI sudah
berencana untuk menggunakan S/MIME sebagai salah satu standar yang didukung
untuk messaging. Informasi mengenai S/MIME dapat diperoleh dari berbagai tempat,
seperti misanya: S/MIME Central <http://www.rsa.com/smime/>
9. Secure Sockets Layer (SSL).
Seperti dikemukakan pada awal dari report ini, eCommerce banyak menggunakan
teknologi Internet. Salah satu teknologi yang digunakan adalah standar TCP/IP dengan
menggunakan socket. Untuk meningkatkan keamanan informasi keamanan layer
socket perlu ditingkatkan dengan menggunakan teknologi kriptografi. Netscape
mengusulkan pengamanan dengan menggunakan Secure Socket Layer (SSL) ini. Untuk
implementasi yang bersifat gratis dan open source, sudah tersedia OpenSSL project
(http://www.openSSL.org). Selain SSL ada juga pendekatan lain, yaitu dengan
menggunakan Transport Layer Security (TLS v1).
20
ELECTRONIC PAYMENT
Pembayaran dengan menggunakan media elektronik merupakan sebuah masalah yang
belum tuntas. Ada berbagai solusi yang ditawarkan untuk mengatasi masalah
electronic payment, antara lain:
1. Standards: SET, Mondex
2. Electronic money: e-cash digicash, CyberCash, iKP
3. Virtual wallet, EMV electronic purse
4. Credits and debits on the Internet, First Virtual.
5. Internet banking beserta group yang terlibat di dalamnya, seperti kelompok
OpenFinancial Exchange (OFX) yang dimotori oleh CheckFree Corporation Intuit,
dan Microsoft beserta institusi finansial lainnya.
6. Stocks and trading
7. Smartcards: introduction, CLIP, ISO 7816 (beserta seluruh bagian/part-nya) Java
Card, Open Card Framework.
8. Regulatory issues
9. Internet economics, digital money
10. Internet payment protocol, ePurse protocol
11. Micropayments, yaitu pembayaran dalam jumlah yang sangat kecil (misalnya
untuk membaca web site dichage 0.25c/halaman): Millicen
12. Electronic check: FSTC Electronic Check Project4
13. Limitatitions Of Traditonal Payment Instrument.
14. Security requirement (Authentications, Privacy, Integrity, Non-repudiation, Safety).
15. Single-Key (Symentric) Encryption.
16. Public/Private Key System.
17. Electronic Credit Card (payment using unencypted, encrypted payments, high level
security and privacy).
18. Electronic CASH.
19. Electronic Pyment Card (smart card).
20. Three Party Payment System.
21
KEAMANAN (SECURITY)
Secara umum, keamanan merupakan salah satu komponen atau servis yang
dibutuhkan untuk menjalankan eCommerce. Beberapa bagian dari keamanan ini sudah
dibahas di atas dalam bagian tersendiri, seperti Infrastruktur Kunci Publik (IKP), dan
privacy. Untuk menjamin keamanan, perlu adanya kemampuan dalam bidang ini yang
dapat diperoleh melalui penelitian dan pemahaman. Beberapa topik (issues) yang
harus dikuasai antara lain akan didaftar di bawah ini.
1. Teknologi Kriptografi.
Teknologi kriptografi menjelaskan bagaimana mengamankan data dengan
menggunakan enkripsi. Berbagai sistem sudah dikembangkan seperti sistem privae key
dan public key. Penguasaan algoritma-algoritma populer digunakan untuk
mengamankan data juga sangat penting. Contoh algoritma ini antara lain DES, IDEA,
RC5, RSA dan ECC (Ellliptic Curve Cryptography). Penelitian dalam bidang ini di
perguruan tinggi merupakan suatu hal yang penting. Salah satu masalah dalam
mengamankan enkripsi adalah bagaimana memastikan bahwa hanya sang penerima
yang dapat mengakses data. Anda dapat menggembok data dan mengirimkannya
bersama kuncinya ke alamat tujuan, tetapi bagaimana memastikan kunci itu tidak
dicuri orang di tengah jalan? Salah satu cara untuk memecahkannya adalah bahwa si
penerima yang mengirimkan gemboknya, tetapi tidak mengirimkan kuncinya. Anda
menggembok data dengan gembok yang dikirim olehnya dan mengirimkannya. Si
penerima kemudian akan membukanya dengan kunci miliknya yang tidak pernah
dikirimkannya ke siapa-siapa. Kini masalahnya bila data yang digembok itu dicuri
orang, tetapi dengan enkripsi yang kompleks akan sangat sulit bagi orang itu untuk
mengakses data yanmg sudah digembok itu.
2. One Time Pasword.
Penggunaan password yang hanya dapat dipakai sebanyak satu kali. Biasanya
password angka digital yang merandom angka setiap kali transaksi.
3. Konsultan keamanan.
22
Konsultan, organisasi, dan institusi yang bergerak di bidang keamanan dapat
membantu meningkatkan dan menjaga keamanan. Contoh organisasi yang bergerak di
bidang ini adalah IDCERT.
KERANGKA KERJA ECOMMERCE
Kerangka kerja (framework) dari eCommerce memiliki beberapa komponen, antara
lain:
1. National Inormation Technology Committee (on eCommerce). Komite ini
bertanggung jawab untuk memformulasikan Information Technology, speciically
eCommerce, di Indonesia. Komite ini dapat membuat working group untuk
meneliti penggunaan teknologi informasi lebih lanjut. Berbagai pihak yang terlibat
dalam bidang commerce dan electronic commerce sebaiknya terwakili dalam
komite ini, misalnya adanya wakil dari Perbankan.
2. Communication Infrastructure
3. EC/EDI standards / infrastructure. Menentukan standar yang dapat diterima oleh
semua pihak merupakan salah satu kunci utama.
4. Cyberlaw: EC laws, Electronic Security laws.
5. Customers & related organizations
3. CONSUMER-TO-CONSUMER (C2C)
C2C adalah model bisnis e-commerce dimana konsumen menjual kepada konsumen
lain menggunakan perusahaan perantara (broker) atau lelang elektronik.
Consumer to Consumer (C2C) dikenal juga dengan istilah Peer to Peer (P2P)
electronic Commerce merupakan transaksi dengan difasilitasi komputer antara
pelanggan/consumer melalui perantara pihak ketiga. Contoh umum untuk kasus ini
adalah lelang online, dimana pelanggan memposting sebuah barang untuk dijual dan
pelanggan lain menawar untuk membelinya, pihak ketiga umumnya mengambil
keuntungan dari komisi atau biaya administrasi. Situs dari pihak ketiga hanya sebagai
mediator untuk mempertemukan pelanggan, dan pihak ketiga tidak bertanggung
jawab terhadap kualitas barang yang ditawarkan oleh consumer
23
Contoh dari C2C :
Beberapa contoh dari situs yang menerapkan konsep consumer to consumer
eBay
Craiglist
Amazon.com
Jenis E-commerce C2C diperkirakan akan mengalami peningkatan di masa depan
karena mengurangi biaya untuk menggunakan perusahaan lain. Sebuah contoh yang
dirujuk dalam Management Information Systems adalah seseorang yang mempunyai
garage sale yang hendak mempromosikan jualannya melalui iklan yang ditransmisikan
ke unit GPS dari kendaraan yang ada didaerah tersebut. Hal Ini secara potensial akan
mampu menjangkau audience yang lebih luas dibandingkan dengan hanya memasang
pengumuman di sekitar lingkungan tempat tinggalnya. Dalam krisis ekonomi yang
dimulai tahun 2008 peningkatan bisnis C2C meningkat secara dramatis
C2C menjadi lebih populer diantara mahasiswa sebab banyak komunitas besar dari
mereka yang berasal dari daerah yang sama yang mempunyai keuangan yang terbatas,
sehingga mereka mencari pasaran yang menguntungkan lebih sering dan website
seperti contoh diatas menawarkannya. Universitas sendiri menyediakan tempat bagi
mahasiswa untuk menjual buku teks atau barang lainnya kepada sesama mereka,
contohnya adalah periklanan tiger books dan Dalhouise University yang menyediakan
layanan kepada siswa.
KOMPONEN E-COMMERCE
Komponen-komponen e-commerce terdiri dari:
1. Sistem Pembayaran Elektronik
Sistem pembayaran elektronik diperlukan oleh sembarang bisnis yang menjual barang
dan jasa secara online. Bisnis membutuhkan beberapa metode untuk: menerima
pembayaran selama pelanggan sedang online, mengotentikasi pelanggan, dan
melindungi privasi detil transaksi.
2. Protokol
24
TCP/IP menyediakan protokol paling banyak yang diperlukan untuk melengkapi
transaksi bisnis secara online, tapi protokol khusus dibutuhkan untuk mengenkripsi
informasi transaksi dan memelihara privasi pelanggan. Protokol yang sering digunakan
adalah sebagai berikut:
• SSL.
Salah satu protokol yang umum digunakan adalah Secure Socket Layer (SSL). SSL
menggunakan kunci, sertifikat/tanda tangan digital, dan enkripsi untuk melindungi
informasi dan mengotentikasi pelanggan dan penjual.
• SET.
Protokol lain yang digunakan adalah Secure Electronic Transactions (SET), yang
disponsori oleh VISA, Master Card, dan American Express. Perbedaan antara SET dan
SSL adalah bahwa SET mengkonfirmasi ketersediaan dana selama dua phak sedang
online, dan melindungi infromasi di antara ketiga pihak. SET juga menggunakan
enkripsi yang kuat dan sertifikat/tanda tangan digital.
Risiko E-Commerce
Risiko e-commerce datang dari internal maupun eksternal sebagai berikut:
1. Internal
Mayoritas aktivitas menyimpang tidak datang dari penyusup luar, tetapi dari dalam,
dan tentu, kegagalan sistem umum. Ahli riset TI, The Gartner Group, mengestimasi
bahwa lebih dari 70% akses tidak sah ke sistem informasi dilakukan oleh pegawai, yang
lebih dari 95% penyusupan mengakibatkan kerugian keuangan yang signifikan.
• Kecelakaan/Kegagalan Sistem.
Dari sekian banyak jenis risiko yang terkait dengan ketersediaan atau kerusakan sistem,
kegagalan sistem adalah alasan paling umum terjadinya masalah.
• Akuntabilitas yang Tidak Efektif.
25
Meskipun kebijakan dikembangkan dengan tujuan baik, dan banyak prosedur efektif
disusun secara seksama, penyebab utama pengendalian yang tidak efektif adalah sering
kali karena kurangnya akuntabilitas dalam memastikan bahwa prosedur senyatanya
dilaksanakan.
• Aktivitas yang Menyimpang.
Salah satu aspek serius risiko internal muncul dari pegawai entitas sendiri, terutama
ketika dia menjadi termotivasi untuk membalas dendam kepada perusahaannya.
• Kecurangan (Fraud).
Kasus-kasus kecurangan keuangan telah membuat publik sadar akan skop dari
kecurangan dalam bisnis saat ini. Association of Certified Fraud Examiners
memperkirakan bahwa kecurangan oleh pegawai menyebabkan kerugian bisnis sebesar
enam juta dollar AS pada tahun 2002.
2. Eksternal
Risiko eksternal terkait terutama dengan penyusup dan perangkatnya.
• Penyusup.
Penyusup dapat dibagi menjadi empat grup:
Hacker
Digunakan sebagai istilah komplementer untuk menggambarkan mereka yang berbakat
dalam TI yang dapat meng-hack kode dan menjalankan sistem operasi rahasia.
Whitehat Hacker adalah hacker berpengalaman yang dipekerjakan oleh organisasi
untuk bermain seperti devil’s advocate dan mengungkapkan semua kelemahan dalam
sistem jaringan dan konektivitas internetnya.
Cracker
Masuk ke sistem dengan tujuan “mencuri, membunuh, atau menghancurkan”.
Script Kiddy. Terkait dengan cracker dan hacker dalam hal mereka memperoleh kode
yang ditulis oleh black-hat hacker atau cracker dan menggunakan pengetahuan dasar
jaringan dan internet untuk mengeksekusi script atau kode tersebut untuk memberi
kerusakan atau cidera kepada target.
26
• Virus.
Risiko terbesar dari sumber eksternal diwakili oleh virus, yang merupakan penyebab
pengeluaran besar oleh perusahaan untuk membersihkan kerusakan sistem.
• Cyberterrorism/Cyber-Crime.
Risiko cyberterrorism tinggi untuk bisnis tertentu, tetapi terjadi hingga derajat tertentu
untuk setiap bisnis yang terhubung dengan internet.
C. E-BUSINESS
E-business menawarkan keuntungan sebagai berikut:
1. Produktivitas dan penurunan biaya
2. Kecepatan
3. Kesempatan dan penciptaan nilai baru
Meskipun begitu e-business juga membuat perusahaan harus menghadapi risiko
sebagai berikut:
1. Privasi dan Kerahasiaan
Privasi meliputi perlindungan terhadap informasi hak kepemilikan, termasuk
informasi pribadi dan informasi yang terkait terhadap suatu pertukaran atau
transaksi. Kerahasiaan mirip dengan privasi, hanya saja lebih terfokus pada
informasi yang secara spesifik didesain untuk bersifat rahasia. Ada tiga alasan
kegunaan privasi dan kerahasiaan dalam e-business:
• E-business menyediakan peluang mengumpulkan data tentang pembeli dan
penjual lebih dari yang bisa diperoleh di dunia perdagangan konvensional.
• Internet memungkinkan diseminasi informasi pada banyak orang dengan lebih
mudah melalui banyak jalur komunikasi
• Informasi yang diperoleh di e-business bisa dipertukarkan dan ditangkap tanpa
sepengetahuan penyedia informasi.
27
Banyak transaksi mengorbankan privasi, sehingga bisa saja terjadi trade off antara
privasi dengan personalisasi ataupun antara privasi dan keamanan. Beberapa cara
mengatasi risiko tentang privasi dan kerahasiaan adalah:
• Membuat kebijakan privasi: i) untuk melindungi entitas karena secara jelas
menerangkan bagaimana mereka memperlakukan kepemilikan informasi, ii) untuk
menyediakan jaminan kepada rekan bisnis bagaimana informasi tentang mereka
akan dipergunakan).
• Memanfaatkan alat pelacak internet (untuk memonitor tingkah laku di internet
menggunakan log dan cookies).
2. Pengamanan Informasi dan Pemeliharaan Ketersediaan Sistem
Karena internet merupakan jaringan, maka seluruh risiko dan pengendalian atas
sistem telekomunikasi dan jaringan umum terikat padanya. E-business memiliki
risiko keamanan melebihi jaringan lainnya dengan dua alasan berikut: a) jaringan
adalah milik publik sehingga bisa diakses oleh semua pengguna dengan web
browser dan ISP sehingga tidak bisa dilindungi seperti pemakaian jaringan privat, b)
e-commerce berdasarkan definisinya meliputi pertukaran moneter dan aset likuid
lainnya sebagai tambahan aset informasi lainnya. Sehingga transmisi dari aset ini
pada jaringan publik akan membuat informasi sangat rapuh.
Pengawasan atas risiko internet dan e-business ini diatasi dengan cara:
• Mengamankan informasi e-business dengan enkripsi
• Mengamankan pembayaran elektronik
• Mengamankan web server
• Ketersediaan dan keandalan sistem
3. Integritas Transaksi dan Kebijakan Bisnis
Integritas dari transaksi e-business dan kebijakan e-business yang komprehensif
merupakan komponen yang penting dari keandalan sistem ini.
• Integritas Transaksi.
28
Menurut SysTrust dari AICPA, integrasi transaksi diartikan sebagai “pemrosesan
sistem sudah komplit, akurat, tepat waktu, dan diotorisasikan”.
Repudiation (Penolakan)
Adalah suatu kemampuan pihak tertentu untuk terikat dalam suatu transaksi untuk
menolak partisipasi mereka ataupun karakteristik tertentu dari transaksi itu sendiri.
Dalam e-business, repudiation meningkatkan risiko karena mudah melepaskan
suatu identitas di dalam lingkungan virtual dibandingkan di dunia nyata. Salah satu
alat yang bisa dipakai untuk mengatasi masalah repudiation adalah tanda tangan
digital (digital signature) yang bisa menghubungkan pengirim pesan kepada
dokumen yang dikomunikasikan. Sertifikat digital adalah pernyataan keotentikan
yang dikeluarkan oleh pihak ketiga yang bisa dipercaya (yang disebut otoritas
sertifikat).
Jejak Audit Elektronik
Transaksi e-business menghasilkan data dalam bytes (bukan kertas), sehingga
menghasilkan bukti elektronik berupa log, jejak audit, dokumen sumber, pesan e-
mail, dan komunikasi lainnya. Log transaksi menangkap data seperti log in pemakai,
passwords, tanggal dan jam pemakaian. Jejak audit memperlihatkan data sejarah
transaksi mulai dari awal sampai pada titik dimana ia dipublikasikan dalam laporan
keuangan. Auditor TI harus meyakini bahwa jejak audit benar terjadi dalam semua
aplikasi e-business dan mereka memiliki pengendalian internal yang cukup untuk
melindungi mereka. Bukti elektronik berbeda dari kertas dokumen di beberapa
aspek. Dokumen elektronik hanya terjadi pada periode waktu tertentu. Ini berarti
auditor harus memilih sampel audit di dalam basis periodik. Pada tahun 1996 dan
1997 AICPA mengeluarkan SAS no. 80 mengamandemen SAS no. 31 Evidential
Matter dan an Auditing Procedures Study (APS) The Information Technology Age:
Evidential Matter in the Electronic Environment guna menyediakan suatu pedoman
bagi auditor terkait bukti elektronik.
Kebijakan E-Business.
29
Kebijakan e-business yang efektif berkembang saat organisasi belajar apa yang
memberikan hasil terbaik dalam praktik. Kekurangan kebijakan bisnis untuk
aktivitas menjadi indikasi risiko untuk e-business. Harus ada kebijakan bisnis di
dalam tiap kejadian pada proses bisnis. Contohnya: untuk proses penjualan ada
kebijakan mengatur tentang pemesanan penjualan, pemenuhan pesanan, dan
pembayaran aktivitas. Tanggung jawab auditor IT terkait kebijakan e-business
adalah: 1) untuk menjamin kebijakan yang ditegakkan sesuai dengan tujuan
organisasi, 2) untuk memperoleh tingkatan dimana kebijakan ini diobservasi.
D. APLIKASI E-BUSINESS KHUSUS
E-business dan e-commerce meliputi area aplikasi yang memiliki risiko pengendalian
khusus. Beberapa aplikasi e-business khusus itu adalah sebagai berikut:
1. EDI (Electronic Data Interchange).
EDI adalah pertukaran pemrosesan informasi bisnis antara perusahaan dalam suatu
format standar. Manfaat EDI:
1. Pengurangan entri data.
2. Pengurangan kesalahan.
3. Pengurangan kertas.
4. Pengurangan biaya pengiriman melalui pos.
5. Otomatisasi prosedur.
6. Pengurangan persediaan yang arus dikelola.
EDI berkembang karena keinginan untuk mengurangi waktu transaksi
pelanggan/pemasok. EDI mahal karena membutuhkan penginstalan program khusus
dan seharusnya terdapat jalur komunikasi berdedikasi atau VAN pihak ketiga. Akibatnya
EDI baru diadaptasikan di perusahaan besar dan kurang efisien bagi perusahaan kecil.
Tetapi perkembangan internet dan WWW memberikan alternatif baru bagi
perkembangan EDI. Mereka bisa mengirimkan data EDI yang terenkripsi melalui
internet. Intranet yang diperluaspun juga menjadi alternatif EDI dalam mengecek
persediaan dan harga serta tempat pemesanan berdasarkan password yang membuat
30
mereka bisa mengakses data tersebut. Bagi auditor TI fokusnya lebih pada
pembentukan form komputer dari data sharing antara rekanan yang bervariasi atas
pendekatan yang dilakukan. Terkait masalah VAN auditor membutuhkan audit
penjaminan dari pihak ketiga.
2. Collaborative Commerce.
Pada masa internet sudah sulit memprediksi kapan bisnis dimulai ataupun akan
berakhir. Semua orang berusaha menciptakan keunggulan kompetitifnya. Collaborative
commerce bermakna dua atau lebih entitas saling berbagi kepentingan untuk mencapai
suatu tujuan tertentu. Rekanan ini berarti saling membagi informasi yang berarti bisa
menambah risiko. Auditor TI harus menjamin bahwa pembagian informasi benar-benar
merupakan hal yang “perlu diketahui”. Pada aplikasi ini juga sangat penting
mempertimbangkan privasi.
3. Keamanan dan Privasi E-Mail.
Sistem e-mail merupakan aplikasi jaringan terbesar dalam perusahaan, sehingga
keamanan merupakan salah satu poin penting yang harus menjadi perhatian. Ancaman
terhadap sistem e-mail ada 2:
• Ancaman Keamanan E-Mail.
Virus/Worm
Pesan e-mail dan attachment mungkin mengandung kode yang mencurigakan. Di
beberapa kasus kode ini akan mereplika dirinya dan mengirim sendiri pada semua
daftar alamat penerima e-mail.
Spam
Pengiriman e-mail yang tak diminta pada banyak user.
Bombs
Pengiriman e-mail yang tak diinginkan secara berulang pada satu alamat e-mail yang
sama.
31
Sniffing
Selama transmisi seorang user yang tidak berwenang dapat membaca pesan e-mail
yang ada.
Session Hijacking
Seorang user yang tidak berwenang bisa mengambil alih sesi komunikasi dengan
mengirimkan pesan palsu pada seorang pemakai e-mail dengan memakai keotentikan
dari pemakai itu.
Spoof
Alamat asal sebuah e-mail bisa jadi palsu.
• Ancaman Privasi E-Mail.
Pelecehan Seksual atau Rasial
Seorang pemakai e-mail bisa mengirim pesan e-mail yang tidak pantas atau terkait
skandal.
Pembocoran Privasi
Ada banyak cara privasi dikompromikan melalui e-mail. Contoh: pesan pribadi di-
forward, dibagi, atau diintip oleh hackers.
Jejak Kertas E-Mail
Pesan e-mail adalah permanen dan bisa dipergunakan sebagai bukti tuntutan hukum.
Penghapusan e-mails terkait masalah hukum bisa dianggap sebagai pelanggaran.
Mata-Mata Perusahaan
Insider bisa membocorkan rahasia perdagangan perusahaan melalui e-mail. Data
kepemilikan bisa saja diperoleh melalui sistem e-mail.
Dalam melakukan pengendalian atas sistem e-mail bisa dilakukan dengan software
tertentu yang berisikan fitur produk berupa enkripsi, kompresi data, otentikasi,
memindai isi, tracking, pemanfaatan otomatis, penghancuran digital, pemfilteran dan
pengeblokan, dan perlindungan anti-virus. Contoh software yang berisi fitur ini adalah
32
Genidocs Server, GLWebMail XT Professional, enRole, dan CAMEO Recon. Cara terbaik
menjamin keamanan privasi e-mail adalah dengan cara enkripsi. Contoh enkripsi
standar untuk e-mail yaitu Pretty Good Privasi (PRP) dan Secure Multipurpose Internet
Mail Extensions (S/MIME).
E. PENGENDALIAN INTERNET/E-COMMERCE
Risiko e-commerce dapat dikurangi dengan penerapan beberapa pengendalian. Adalah
tanggungjawab auditor TI untuk memastikan pengendalian yang memadai telah diterapkan
dan bekerja secara efektif untuk melindungi aset dan bisnis organisasi. Dua hal utama yang
menjadi pertimbangan dalam pengendalian adalah akses tidak sah dan kegagalan peralatan.
Pengendalian
Pengendalian dimulai dengan praktik-praktik terbaik penggunaan kebijakan dan prosedur
untuk menghadapi risiko yang diidentifikasi dalam penilaian risiko yang dilakukan oleh
perusahaan atau auditornya, dan termasuk beberapa perangkat canggih TI untuk
mengurangi risiko tersebut.
1. Kebijakan dan Prosedur
Sekali tim penilai risiko mengidentifikasi risiko spesifik, yang melampaui tingkat risiko
yang dapat ditoleransi dan pengendalian menjadi cost-effective, maka tim harus
mengembangkan kebijakan, untuk menyatakan maksud organisasi sehubungan dengan
kejadian yang berisiko. Kebijakan akan berlanjut dengan pilihan prosedur-prosedur
untuk mencegah dan sekaligus mendeteksi risiko.
2. Teknik SDLC
Salah satu area yang harus diawasi adalah praktik-praktik terbaik yang didirikan dalam
komunitas TI/SI selama bertahun-tahun dalam system development life cycle (SDLC)
atau analisis dan disain sistem.
3. Sistem Anti-Virus. Sistem anti-virus dapat mengurangi risiko serangan virus, tetapi
sistem anti-virus sendiri tidak cukup, meskipun di-update secara reguler. Dibutuhkan
perangkat lain untuk memberi peringatan dini akan aktivitas yang mencurigakan.
33
4. Nomor Urut Pesan
Penyusup dalam kanal komunikasi mungkin berusaha untuk menghapus pesan dari dari
aliran pesan, mengubah urutan pesan yang diterima, atau menggandakan pesan.
Melalui penomoran urut pesan, suatu nomor urut disisipkan dalam tiap pesan, dan
usaha penyusup akan menjadi terlihat pada pihak penerima.
5. Log
Semua aktivitas yang dilakukan dalam sistem harus dicatat dalam log transaksi secara
lengkap.
6. Sistem Monitoring
Router dan gateway pengawasan menjadi perangkat efektif untuk memonitor aktivitas-
aktivitas yang mencurigakan. Bila dikombinasikan dengan grafik yang dapat dibaca
secara terus menerus, sembarang aktivitas yang mencurigakan dapat disorot melalui
perubahan yang digambarkan oleh grafik.
7. Sistem Pengendalian Akses
Digunakan untuk mengotorisasi dan mengotentikasi pengguna. Sistem pengendalian
akses menggunakan satu atau lebih dari tiga pendekatan dasar keamanan: (1) sesuatu
yang Anda punyai, (2) sesuatu yang Anda ketahui, dan (3) siapa Anda.
• Sistem Call Back
Perangkat keamanan seperti password, perangkat otentikasi, dan enkripsi memiliki
kelemahan yaitu dengan terbukanya risiko keamanan setelah pelaku kejahatan dapat
masuk ke sistem. Perangkat call-back mengharuskan pengguna dial-in untuk
memasukkan password dan diidentifikasi. Sistem kemudian memutuskan koneksi untuk
melakukan otentikasi pengguna. Bila pengguna telah diotorisasi, perangkat call-back
memanggil kembali perangkat pengguna untuk membuat koneksi baru ke sistem.
• Sistem Chalenge-Response
Penyusup mungkin berusaha untuk mencegah atau menunda penerimaan pesan dari
pengirimnya. Dengan teknik challenge-response, pesan pengendali dari pengirim dan
respon dari penerima dikirim pada interval periodik dan sinkron.
34
• Sistem Password Multifaset
Sistem ini mengkombinasikan password dengan perangkat pengendalian akses lain.
• Biometrik
Adalah pengukuran otomatis dari satu atau lebih atribut atau fitur spesifik seseorang,
dengan tujuan dapat membedakan orang tersebut dari orang lain. Karakterisitik fisik
seperti sidik jari, garis tangan, suara, retina dan iris, dan wajah dapat digunakan sebagai
kode akses dalam biometrik.
• Firewall
Organisasi yang terhubung dengan internet atau jaringan publik lain sering kali
menerapkan firewall elektronik untuk mengisolasi LAN dari penyusup luar. Firewall
terdiri dari software dan hardware yang menjadi titik pusat keamanan dengan
menyalurkan semua koneksi jaringan melalui gateway pengendali. Firewall dapat
digunakan untuk mengotentikasi pengguna jaringan dari luar, memverifikasi tingkat
otoritas aksesnya, dan mengarahkan pengguna ke program, data, atau jasa yang
dimintanya. Firewall dibagi menjadi dua jenis umum:
1. Firewall Tingkat-Jaringan
Adalah pengendalian akses berbiaya rendah dan dengan tingkat keamanan yang
rendah pula. Firewall jenis ini terdiri dari router screening yang menguji alamat sumber
dan tujuan yang dimasukkan pada paket pesan masuk. Menggunakan teknik IP
spoofing, hacker dapat menyamarkan paket pesan supaya seperti datang dari
pengguna yang sah dan mendapat akses ke jaringan.
2. Firewall Tingkat-Aplikasi
Adalah pengamanan jaringan tingkat tinggi yang dapat di-custom, tetapi dapat berbiaya
sangat mahal. Sistem ini dikonfigurasi untuk menjalankan aplikasi keamanan yang
disebut proxy yang membolehkan layanan rutin seperti email untuk melewati firewall,
tapi dapat melakukan fungsi-fungsi canggih seperti logging atau otentikasi pengguna
untuk tugas-tugas khusus.
35
• Sistem Deteksi Penyusupan
Sistem deteksi penyusupan (intrusion detection systems/IDS) memeriksa semua
aktivitas jaringan masuk dan keluar dan mengidentifikasi pola-pola mencurigakan yang
mungkin mengindikasikan serangan jaringan atau sistem dari seseorang yang berusaha
untuk masuk ke dalam sistem.
Ada beberapa cara untuk menggolongkan IDS:
Deteksi Penyalahgunaan Versus Deteksi Anomali
- Penyalahgunaan: IDS mencari serangan spesifik yang pernah didokumentasi (seperti
anti-virus).
- Anomali: IDS memonitor segmen jaringan untuk membandingkan keadaan yang ada
dengan keadaan normal dan mencari anomali.
Sistem Berbasis-Jaringan Versus Sistem Berbasis-Host
- Berbasis-jaringan (Network IDS/NIDS): paket indvidual yang mengalir melalui
jaringan dianalisa.
- Berbasis-host: IDS memeriksa aktivitas pada tiap komputer atau host.
Sistem Pasif Versus Sistem Reaktif
- Pasif: IDS mendeteksi pelanggaran keamanan potensial, mencatat informasi dalam
log dan mengirim sinyal peringatan.
- Reaktif: IDS merespon aktivitas mencurigakan dengan me-logoff pengguna
memeriksa aktivitas pada tiap komputer atau host.
• Mengendalikan Serangan Denial-of-Service (DoS)
Ketika pengguna membuat koneksi internet melalui TCP/IP, terjadi handshake tiga-
jalur. Server asal mengirimkan kode inisiasi yang disebut paket SYN ke server tujuan.
Server tujuan kemudian mengakui permintaan dengan mengirim paket SYN/ACK.
Akhirnya mesin pengirim merespon dengan kode paket ACK. DoS terjadi ketika server
pengirim mengirimkan paket SYN dalam jumlah besar dan terus menerus tapi tidak
pernah merespon dengan ACK untuk menyelesaikan koneksi. Meskipun DoS tidak dapat
36
dicegah, tapi dapat dikurangi risiko serangannya dengan software keamanan yang
dapat meindai koneksi yang setengah terbuka.
• Enkripsi
Enkripsi adalah konversi data menjadi kode rahasia untuk disimpan dalam basis data
dan transmisi melalui jaringan. Pengirim menggunakan algoritma enkripsi untuk
mengkonversi pesan original (cleartext) menjadi pesan yang telah dikode (ciphertext).
Pada penerima chipertext di-dekode (dekripsi) kembali menjadi cleartext.
Ada dua komponen dasar enkripsi: kunci dan algoritma. Kunci adalah nilai matematis
yang dipilih oleh pengirim pesan. Algoritma adalah prosedur sederhana penggeser tiap
huruf dalam pesan cleartext. Ada dua jenis metode umum enkripsi yang digunakan:
Enkripsi Kunci Privat
Metodologi yang umum digunakan adalah Data Encryption Standard (DES) yang
menggunakan satu kunci yang digunakan untuk mengenkripsi pesan asli menjadi pesan
rahasia maupun mendekripsi pesan rahasia menjadi pesan asli.
Enkripsi Kunci Publik
Teknik ini menggunakan dua kunci berbeda: satu untuk meng-enkode pesan dan yang
lain untuk men-dekode pesan.
• Sertifikat Digital/Tandatangan Digital
Sertifikat digital adalah lampiran pesan elektronik yang digunakan untuk tujuan
keamanan. Umumnya digunakan untuk memverifikasi pengirim pesan dan
menyediakan alat bagi penerima untuk meng-enkode pesan jawaban.
Tandatangan digital adalah kode yang dapat dilampirkan ke pesan yang dikirim secara
elektronik yang secara unik mengidentifikasi pengirim.
8. Business Recovery Plan (BRP)
Adalah pengendalian yang efektif untuk perusahaan e-commerce untuk tetap dapat
menjalankan bisnis setelah aktivitas bisnis mengalami kejadian yang merugikan.
37
9. Incident Response Plan
Mirip dengan BRP, tetapi yang diantisipasi adalah persiapan dan perencanaan respon
perusahaan kepada publik dan media setelah kejadian yang merugikan.
10. Mengendalikan Kemungkinan Kegagalan Peralatan
Berikut ini adalah teknik pengendalian yang didisain untuk membatasi ancaman dari
kegagalan peralatan yang dapat mengganggu, menghancurkan, atau merusak transaksi
elektris basis data dan program komputer.
• Echo Check
Melibatkan penerima pesan untuk mengembalikan pesan kepada pengirim. Pengirim
membandingkan pesan yang dikembalikan dengan pesan orisinal.
• Parity Check
Memasukkan bit ekstra ke dalam struktur string bit ketika dibuat atau dikirim. Parity
dapat berupa bit vertikal dan horisontal (longitudinal).
Tujuan Audit
Tujuan audit atas internet/e-commerce:
1. Memverifikasi keamanan dan integritas transaksi perdagangan elektronik dengan
menentukan bahwa pengendalian (1) dapat mendeteksi dan mengkoreksi pesan yang hilang
karena kegagalan peralatan, (2) dapat mencegah dan mendeteksi akses ilegal baik internal
dan dari internet, (3) memberikan data yang tak berguna yang berhasil diambil oleh pelaku.
2. Memverifikasi bahwa prosedur backup memadai untuk menjaga integritas dan
keamanan fisik basis data dan file lainnya yang terhubung ke jaringan.
3. Menentukan bahwa (1) semua transaksi EDI telah diotorisasi, divalidasi dan patuh
terhadap perjanjian dengan partner perdagangan; (2) tidak ada organisasi yang tidak
diotorisasi yang mengakses record basis data; (3) partner perdagangan yang diotorisasi
memiliki akses hanya untuk data yang telah disetujui; dan (4) pengendalian yang memadai
diterapkan untuk memastikan jejak audit semua transaksi EDI.
38
Prosedur Audit
Untuk mencapai tujuan audit tersebut, auditor dapat melakukan prosedur pengujian
pengendalian sebagai berikut:
1. Memilih sampel pesan dari log transaksi dan memeriksanya untuk isi yang terdistorsi
akibat noise jalur transmisi.
2. Mereview log transaksi pesan untuk memverifikasi bahwa semua pesan diterima dalam
urutan yang tepat.
3. Menguji operasi fitur call-back dengan mencoba panggilan yang tidak diotorisasi dari
luar.
4. Mereview prosedur pengamanan yang mengatur administrasi kunci enkripsi data.
5. Memverifikasi proses enkripsi dengan mengirimkan pesan percoban dan memeriksa
isinya pada beberapa titik sepanjang kanal antara lokasi pengiriman dan penerimaan.
6. Mereview kecukupan firewall dalam mencapai keseimbangan yang tepat antara
pengendalian dan kenyamanan berdasarkan tujuan bisnis organisasi dan risiko
potensial. Kriteria untuk penilaian efektivitas firewall meliputi: fleksibilitas, proxy
services, penyeringan, pemisahan sistem, alat-alat audit, penyelidikan atas kelemahan
dan review atas prosedur pengendalian password.
F. JASA ASURANS PIHAK KETIGA
COBIT mengontrol jasa pihak ketiga sebagai bagian dari dimensi Delivery & Support (DS2)-
nya. Dengan adanya e-business meningkatkan keandalan pihak luar terhadap bentuk ISP,
ASP, otoritas sertifikat, dan penyedia pembayaran elektronik. Auditor TI mengevaluasi jasa
pihak ketiga perlu memahami lebih dulu hubungan antara entitas yang direview dan pihak
ketiga itu sendiri. Selanjutnya mereka menyusun langkah-langkah audit yang diperlukan
dalam mengevaluasi jasa pihak ketiga itu. Audit jasa pihak ketiga terkadang dikaitkan
dengan SAS 70 Reports on the Processing of Transactions by Service Organizations, yang
bertujuan menyediakan pedoman bagi auditor keuangan dalam mengaudit laporan
keuangan yang bergantung pada jasa organisasi pihak ketiga untuk memproses beberpa
39
transaksinya. SAS 70 juga berisi pedoman mereview laporan atas proses transaksi yang akan
dimanfaatkan oleh auditor lainnya.
Tujuan dari jasa penjaminan pihak ketiga adalah untuk mengarahkan privasi dan keamanan
dari pelanggan akhir dan perusahaan dalam melaksanakan bisnis di internet. Pihak ketiga
seperti auditor TI dapat mengevaluasi bisnis dalam artian privasi, keamanan, integritas
transaksi, keandalan sistem, dan kebijakan bisnis. Contoh organisasi yang menawarkan jasa
penjaminan: gabungan AICPA dan CICA menghasilkan CPA WebTrust yang memberikan dua
jasa penjaminan WebTrust dan SysTrust. WebTrust diarahkan utamnya pada transaksi e-
commerce dan bagian dari SysTrust yang diperuntukkan bagi semua sistem informasi.
SysTrust dan WebTrust terdiri atas kumpulan prinsip dan kriteria. Prinsip-prinsip itu adalah:
keamanan, ketersediaan, integritas proses, online privasi, dan tingkat keyakinan. Di dalam
ikatan WebTrust auditor mengevaluasi satu atau semua prinsip ini melawan kumpulan
kriteria. Empat kategori kriteria itu adalah: kebijakan, komunikasi, prosedur, dan
pengawasan. Diantara tiap kategori adalah kriteria spesifik yang umum untuk setiap prinsip.
Dan tiap criteria spesifik bisa ditemani oleh pengendalian ilustrasi spesifik.
Jasa penjaminan dari organisasi tertentu akan bisa dipercaya apabila merek yang diusung
organisasi itu familiar bagi pelaku bisnis. Tingkat keyakinan akan meningkat saat mereka
mempercayai merek tersebut. Selain CPA WebTrust ada beberapa penyedia jasa
penjaminan yang cukup disukai pelaku bisnis, diantaranya: PriceWaterhouseCooper’s
BetterWeb, Better Business Bureau (BBB), Truste, dan Verisign Inc. Verisign menawarkan
suatu varietas jasa kepercayaan digital termasuk security seal yang memberikan jaminan
bahwa situs Web itu otentik dan transmisi data menggunakan enkripsi SSL.
G. AUDIT E-COMMERCE DALAM ISACA
ISACA sebagai asosiasi penerbit standar audit sistem informasi memberi pedoman
mengenai audit e-commerce terutama kategori B2C, yaitu: G22 Business-to-consumer (B2C)
E-commerce Review.
40
Pedoman G22 merujuk pada materi CoBIT yang relevan untuk e-commerce B2C dan bisnis
berbasis-TI dalam skop Plan and Organise, Acquire and Implement, Deliver and
Support yang dijabarkan dalam sasaran-sasaran pengendalian berikut:
- PO1—Define a strategic IT plan
- PO2—Define the information architecture
- PO3—Determine technological direction
- PO8—Ensure compliance with external requirements
- PO9—Assess risks
- AI2—Acquire and maintain application software
- AI3—Acquire and maintain technology infrastructure
- AI4—Develop and maintain procedures
- AI5—Install and accredit systems
- AI6—Manage changes
- DS1—Define and manage service levels
- DS2—Manage third-party services
- DS3—Manage performance and capacity
Kriteria informasi yang paling relevan dengan audit B2C adalah :
- Primer: ketersediaan, kepatuhan, kerahasiaan, efektivitas dan integritas
- Sekunder: efisiensi dan keterandalan.
41