AUDITING OF E-BUSINESS AND E-COMMERCE

Perdagangan elektronik (e-commerce) melibatkan penggunaan teknologi internet, sistem

jaringan, dan pemrosesan dan transmisi data elektronik. E-commerce mewadahi aktivitas-

aktivitas yang beragam, termasuk perdagangan barang dan jasa secara elektronik, pengiriman

online produk digital, transfer dana elektronik (electronic funds transfer / EFT), perdagangan

saham secara elektronik, dan pemasaran langsung ke pelanggan. Dipacu oleh revolusi internet,

e-commerce secara dramatis memperluas dan mengalami perubahan radikal. Meskipun e-

commerce menjanjikan kesempatan yang sangat besar untuk pelanggan dan bisnis,

implementasi dan pengendaliannya yang efektif adalah tantangan mendesak bagi manajemen

organisasi dan auditor.

Bila e-commerce berarti menggunakan TI untuk membeli dan menjual barang dan jasa secara

elektronik, maka e-business lebih luas maknanya, tidak hanya meliputi pertukaran barang dan

jasa, tapi juga semua bentuk bisnis yang dilakukan menggunakan transmisi data dan informasi

secara elektronik. Evolusi e-business dimulai dari penggunaan pertukaran data elektronik

(electronic data interchange / EDI) oleh perusahaan-perusahaan untuk saling bertukar data

bisnis. Evolusi e-business digambarkan dalam gambar

Perusahaan-perusahaan menggunakan EDI untuk mempercepat proses pembelian dan

penagihan dalam manajemen rantai persediaan. Pada awalnya aplikasi EDI menggunakan jalur

telekomunikasi biasa. Kemudian muncul perusahaan-perusahaan yang khusus bergerak di

bidang value added network (VAN) untuk EDI yang menciptakan jaringan privat antar

perusahaan. Dengan revolusi internet, perusahaan beralih menerapkan EDI menggunakan

internet dan tidak lagi bergantung pada VAN.

12

A. INTERNET

Internet merupakan jaringan-jaringan saling terkoneksi dari sistem-sistem komputer yang

dapat saling diakses. Internet adalah jaringan internasional dari local area networks (LAN)

dan komputer tanpa ada satu pun pengendalinya. Internet dikembangkan pertama kali

pada tahun 1969 sebagai proyek gabungan Defense Advanced Research Project Agency

(DARPA), agensi pertahanan militer Amerika Serikat (AS), dengan empat universitas di AS.

Pertumbuhan internet menjadi sangat cepat karena tiga faktor berikut:

a. Pada tahun 1995, perusahan-perusahaan telekomunikasi mengambil alih elemen

backbone internet dan melanjutkan peningkatan infrastruktur internet.

b. Jasa-jasa online yang menyediakan e-mail yang memungkinkan pengguna internet

berkomunikasi satu sama lain.

c. Pengembangan browser web berbasis grafis yang membuat pengaksesan internet

menjadi hal yang sederhana.

Masing-masing sistem komputer yang dihubungkan dengan inernet diberi alamat internet

protocol (IP) yang unitk. Alamat IP terdiri dari empat kelompok angka digit yang dipisahkan

dengan titik dan masing-masing kelompok bernilai dari angka 0 – 255. Contoh alamat IP:

202.159.14.45. Kelompok angka pertama mengidentifikasi wilayah geografis, kelompok

berikutnya adalah untuk entitas organisasi tertentu, kelompok ketiga adalah kelompok

identifikasi komputer atau jaringan, dan angka terakhir menunjukkan komputer tertentu.

Aplikasi Internet

Ada dua jenis aplikasi internet yaitu:

1. Intranet. Situs web intranet sama halnya dengan situs web lain, tapi dilindungi firewall

dari akses yang tidak sah dan didisain untuk dapat diakses hanya oleh anggota

organisasi.

2. Ekstranet adalah jaringan yang dikendalikan dengan password untuk pengguna privat

bukan publik. Ekstranet digunakan untuk memberikan akses di antara basis data

internal perusahaan rekanan.

13

Komponen

Teknologi yang mendasari internet termasuk komponen jaringan (terutama arsitektur

client-server dan server), browser web dan teknologi pengembangan web, teknologi e-

mail, file transfer protocol (FTP), dan transmission control protocol (TCP/IP). Berikut ini

adalah beberapa komponen penting internet:

- Protokol.

Protokol adalah suatu kumpulan aturan-aturan yang mengendalikan sistem-sistem yang

berhubungan sehingga dapat beroperasi dan berkomunikasi dengan kompatibel dan

lancar. Protokol di internet diorganisasikan dalam bentuk lapisan-lapisan. Lapisan tingkat

paling bawah adalah TCP/IP. TCP/IP bertugas memastikan bahwa paket-paket data

elektronik dikirimkan dan diterima dengan benar dari satu sistem komputer ke sistem

komputer yang lain. Protokol yang tingkatannya lebih tinggi adalah:

• FTP, digunakan untuk memuat file (upload) dan mengambil file (download).

• Simple Mail Transfer Protocol (SMTP), digunakan untuk mengirim e-mail.

• TELNET, untuk emulasi terminal jaringan.

• Hypertext Transmission Protocol (HTTP), adalah standar transmisi data melalui World

Wide Web, komponen grafis internet.

. Server adalah hardware dan software yang selalu berjalan secara konstan dan melayani

pertukaran informasi dengan client. Beberapa jenis server yang penting dalam internet:

• Server Email, bertugas sebagai kotak dan kantor pos elektronik yang menyimpan email

yang masuk dan mengirimkan email ke server email lain sesuai alamat email yang dituju.

• Server File, bertugas untuk melayani penyimpanan dan pengambilan file pada

komputer remote untuk pengguna yang sah.

• Server Web, tempat menyimpan halaman dan program web organisasi yang menerima

permintaan jaringan dan mengirim file berformat hypertext markup language (HTML)

sebagai responnya.

14

HTML dan XML

HTML adalah bahasa format yang menentukan penyajian informasi melalui Web dan

menjadi dasar untuk pengembangan aplikasi internet. Tetapi e-business membutuhkan

bahasa lain untuk memampukan transmisi dan manipulasi informasi melalui internet.

Bahasa ini adalah exstensible markup language (XML).

XML sama dengan HTML dalam hal markup language, tetapi berbeda dalam hal HTML

memiliki tag markup yang tetap, sedangkan tag XML bersifat dapat diciptakan sendiri dan

diperluas. Sehingga XML dapat digunakan untuk menciptakan tag-tag khusus sesuai

industri penggunanya.

Industri akuntansi dan keuangan saat ini sedang mengembangkan extensible business

reporting language (XBRL), yang digunakan untuk pelaporan bisnis melalui internet. Tag

XBRL memastikan pengambilan data dan memampukan manipulasi informasi supaya dapat

dilakukan komparasi antara data akuntansi dan keuangan satu perusahaan dengan

perusahaan lain.

Bahasa spesifik industri lain yang sedang dikembangkan adalah XML e-business (ebXML).

Bahasa standar ini akan memfasilitasi pertukaran data bisnis melalui rantai persediaan

internet dengan cara yang mirip dengan bahasa standar EDI (EDIFACT dan X12).

B. E-COMMERCE

Jenis E-Commerce

E-commerce secara umum dibagi menjadi tiga kategori yang berbeda sebagai berikut:

1. BUSINESS-TO-CONSUMER (B2C)

B2C adalah pertukaran jasa, informasi dan atau produk dari perusahaan kepada

konsumen menggunakan internet dan teknologi perdagangan elektronik.

Pengertian Business-to-Consumer adalah konsep bisnis dimana penjual berhubungan

langsung dengan para pembelinya dan antara penjual dan pembeli belum tentu kenal

dengan penjual.

15

Apa itu Permission Marketing ?

Konsep permission marketing dicetuskan pertama kali oleh Seth Godin, seorang

blogger ternama, penulis, speaker, sekaligus entrepreneur. Permission marketing

adalah kegiatan promosi dengan kesadaran sendiri dari customer. Dari sumber di

internet juga dikatakan bahwa Permission Marketing didefinisikan sebagai suatu teknik

pemasaran yang memerlukan persetujuan dari customernya. Pengguna permission

marketing biasanya adalah marketers yang menggunakan personal marketing.

Pemission marketing ini untuk menggunakan sistem email, website atau pengisian

form tertentu. Agar promo produk lebih efektif maka permission marketing

merupakan metoda yang efektif untuk mencapai target marketnya. Sebagai contoh,

permohonan izin untuk mengirimkan iklan kepada pelanggan yang menjanjikan.

Sehingga orang yang kita kirimkan adalah benar-benar pelanggan yang membutuhkan

atau tertarik pada produk yang kita jual.

Mengapa Permission Marketing Sangat Diperlukan Bagi B2C?

1. Permission marketing memungkinkan kita menjalankan pemasaran secara lebih

efisien dan efektif. Kita memanfaatkan sumber daya hanya kepada target pasar yang

benar-benar tertarik pada produk/layanan kita. Mereka memberikan perhatian penuh

pada kita, dan bersedia untuk meluangkan waktu untuk mempertimbangkan

produk/layanan kita dalam keputusan pembelian.

2. Dengan menerapkan permission marketing, berarti kita memperlakukan orang lain

dengan respect. Dan bukanlah suatu yang tidak mungkin jika kita memperoleh respect

pula dari orang lain. Brand kita mungkin akan memperoleh reputasi sebagai brand

yang beretika. Jika kita ingin menerapkan permission marketing ini, maka terdapat

beberapa implikasi yang harus kita ikuti yaitu jangan mengirim SPAM dan kita harus

menghargai mereka yang memilih untuk menolak penawaran kita.

Conclusion

Dengan adanya Permission Marketing maka menguntungkan bagi perusahaan dan juga

customer. Dari sisi perusahaan, mereka bisa fokus memasarkan produk mereka

kepada orang yang memang ingin mengetahui informasi dan membeli produk

16

tersebut. Sehingga tentunya menjadi lebih efektif. Sedangkan dari sisi Customer,

mereka akan dikirimi penawaran-penawaran sesuai keinginan mereka masing-masing.

Jadi mereka tidak akan menerima informasi-informasi yang tidak mereka inginkan yang

tentunya cukup mengganggu, yang mungkin akan membuat si penerima menjadi kesel

dan sebel dengan perusahaan yang menawarkan produk tersebut (merusak brand

image dari perusahaan itu sendiri).

2. BUSINESS-TO-BUSINESS (B2B)

B2B adalah pertukaran jasa, informasi dan atau produk dari perusahaan kepada

perusahaan menggunakan internet dan teknologi perdagangan elektronik. B2B pada

intinya adalah EDI melalui internet menggunakan web.

Describes commerce transactions between businesses, such as between a

manufacturer and a wholesaler, or between a wholesaler and a retailer.

Business to Business eCommerce umumnya menggunakan mekanisme Electronic Data

Interchange (EDI). Sayangnya banyak standar EDI yang digunakan sehingga

menyulitkan interkomunikasi antar pelaku bisnis. Standar yang ada saat ini antara lain:

EDIFACT, ANSI X.12, SPEC 2000, CARGO-IMP, TRADACOMS, IEF, GENCOD,

EANCOM,ODETTE, CII.

Selain standar yang disebutkan di atas, masih ada formatformat lain yang sifatnya

proprietary. Jika anda memiliki beberapa partner bisnis yang sudah menggunakan

standar yang berbeda, maka anda harus memiliki sistem untuk melakukan konversi

dari satu format ke format lain. Saat ini sudah tersedia produk yang dapat melakukan

konversi seperti ini.

Pendekatan lain yang sekarang cukup populer dalam standarisasi pengiriman data

adalah dengan menggunakan Extensible Markup Language (XML) yang dikembangkan

oleh World Wide Web Consortium (W3C). XML menyimpan struktur dan jenis elemen

data di dalam dokumennya dalam bentuk tags seperti HTML tags sehingga sangat

17

efektif digunakan untuk sistem yang berbeda. Kelompok yang mengambil jalan ini

antara lain adalah XML/EDI group (www.xmledi.net).

Pada mulanya EDI menggunakan jaringan tersendiri yang sering disebut VAN

(ValueAdded Network). Populernya jaringan komputer Internet memacu inisiatif EDI

melalui jaringan Internet, atau dikenal dengan nama EDI overInternet.

Topik yang juga mungkin termasuk di dalam business-to-business eCommerce adalah

electronic/Internet procurement dan Enterprise Resource Planning (ERP). Hal ini

adalah implementasi penggunaan teknologi informasi pada perusahaan dan pada

manufakturing. Sebagai contoh, perusahaan Cisco maju pesat dikarenakan

menggunakan teknologi informasi sehingga dapat menjalankan just-in-time

manufacturing untuk produksi produknya.

SERVIS YANG HARUS TERSEDIA

Untuk menjalankan eCommerce, diperlukan beberapa servis atau infrastruktur

yangmendukung pelaksanaan commerce. Servis-servis ini akan dibahas pada bagian

(section) di bawah ini.

1. Directory Services

Directory services menyediakan informasi tentang pelaku bisnis dan end user, seperti

halnya buku telepon dan Yellow Pages. Ada beberapa standar yang digunakan untuk

menyediakan directory services. Salah satu standar yang cukup populer adalah LDAP

(Lightweight Directory Access Protocol) yang kemudian menimbulkan OpenLDAP

(www.openLDAP.org). Salah satu permasalahan yang mengganjal dalam penggunaan

directory services adalah adanya potensi security hole, yaitu ada kemungkinan orang

melakukan spamming. pamming adalah proses pengiriman email sampah yang tak

diundang (unsolicied emails) yang biasanya berisi tawaran barang atau servis ke

banyak orang sekaligus. Seorang spammer dapat melihat daftar user dari sebuah

directory services kemudian mengirimkan email spamnya kepada alamat-alamat email

yang dia peroleh dari directory services tersebut.

18

2. Intfrastruktur Kunci Publik (Public Key Infrastructure)

Untuk menjalankan eCommerce, dibutuhkan tingkat keamanan yang dapat diterima.

Salah satu cara untuk meningkatkan keamanan adalah dengan menggunakan teknologi

kriptografi, yaitu antara lain dengan menggunakan enkripsi untuk mengacak data.

Salah satu metoda yang mulai umum digunakan adalah pengamanan informasi dengan

menggunakan public key system. Sistem lain yang bisa digunakan adalah privae key

system. Infrastruktur yang dibentuk oleh sistem public key ini disebut Public Key

Infrastructure (PKI), atau diterjemahkan dalam Bahasa Indonesia menjadi Infrastruktur

Kunci Publik (IKP), dimana kunci publik dapat dikelola untuk pengguna yang tersebar

(di seluruh dunia). Komponen-komponen dari infrastruktur kunci publik ini

akandibahas lebih lanjut pada bagian berikut.

3. Certification Authority (CA)

Merupakan sebuah body / enity yang memberikan dan mengelola sertifikat digital

yang dibutuhkan dalam transaksi elektronik. CA berhubungan erat dengan pengelolaan

public key system. Contoh sebuah CA di Amerika adalah Verisign (www.verisign.com).

Adalah merugikan apabila perusahaan di Indonesia menggunakan fasilitas Verisign

dalam transaksi eCommerce. Untuk itu di Indonesia harus ada sebuah (atau lebih) CA.

Sayangnya, untuk menjalankan CA tidak mudah. Banyak hal teknis dan non-teknis yang

harus dibenahi. (Catatan: penulis saat ini sedang mengembangkan sebuah CA untuk

Indonesia. Kontak penulis untuk informasi lebih anjut.) CA dapat diimplementasikan

dengan menggunakan software yang komersial (seperti yang dijual oleh Verisign) dan

juga yang gratis seperti yang dikembangkan oleh OpenCA1.

4. IPSec.

Keamanan media komunikasi merupakan hal yang penting. Mekanisme untuk

mengamankan media komunikasi yang aman (secure) selain menggunakan SSL, yang

akan dijelaskan kemudian, adalah dengan menggunakan IP Secure. Plain IP versi 4,

yang umum digunakan saat ini, tidak menjamin keamanan data.

19

5. Pretty Good Privacy (PGP).

PGP dapat digunakan untuk authentication, encryption, dan digital signature. PGP

umum digunakan (de facto) di bidang eMail. PGP memiliki permasalahan hukum (law)

dengan algoritma enkripsi yang digunakannya, sehingga ada dua sistem, yaitu sistem

yang dapat digunakan di Amerika Serikat dan sistem untuk internasional (di luar

Amerika Serikat). Implementasi dari PGP ada bermacam-macam, dan bahkan saat ini

sudah ada implementasi dari GNU yang disebut GNU PrivacyGuard (GPG).

6. Privacy Enhanced Mail (PEM).

PEM merupakan standar pengamanan email yang diusulkan oleh Internet Engineering

Task Force (IETF) (http://www.IETF.org).

7. PKCS

Public Key Cryptography Standards.

8. S/MIME

Selain menggunakan PGP, pengamanan eMail dapat juga dilakukan dengan

menggunakan standar S/MIME. S/MIME sendiri merupakan standar dari secure

messaging, dan tidak terbatas hanya untuk eMail saja. Beberapa vendor EDI sudah

berencana untuk menggunakan S/MIME sebagai salah satu standar yang didukung

untuk messaging. Informasi mengenai S/MIME dapat diperoleh dari berbagai tempat,

seperti misanya: S/MIME Central <http://www.rsa.com/smime/>

9. Secure Sockets Layer (SSL).

Seperti dikemukakan pada awal dari report ini, eCommerce banyak menggunakan

teknologi Internet. Salah satu teknologi yang digunakan adalah standar TCP/IP dengan

menggunakan socket. Untuk meningkatkan keamanan informasi keamanan layer

socket perlu ditingkatkan dengan menggunakan teknologi kriptografi. Netscape

mengusulkan pengamanan dengan menggunakan Secure Socket Layer (SSL) ini. Untuk

implementasi yang bersifat gratis dan open source, sudah tersedia OpenSSL project

(http://www.openSSL.org). Selain SSL ada juga pendekatan lain, yaitu dengan

menggunakan Transport Layer Security (TLS v1).

20

ELECTRONIC PAYMENT

Pembayaran dengan menggunakan media elektronik merupakan sebuah masalah yang

belum tuntas. Ada berbagai solusi yang ditawarkan untuk mengatasi masalah

electronic payment, antara lain:

1. Standards: SET, Mondex

2. Electronic money: e-cash digicash, CyberCash, iKP

3. Virtual wallet, EMV electronic purse

4. Credits and debits on the Internet, First Virtual.

5. Internet banking beserta group yang terlibat di dalamnya, seperti kelompok

OpenFinancial Exchange (OFX) yang dimotori oleh CheckFree Corporation Intuit,

dan Microsoft beserta institusi finansial lainnya.

6. Stocks and trading

7. Smartcards: introduction, CLIP, ISO 7816 (beserta seluruh bagian/part-nya) Java

Card, Open Card Framework.

8. Regulatory issues

9. Internet economics, digital money

10. Internet payment protocol, ePurse protocol

11. Micropayments, yaitu pembayaran dalam jumlah yang sangat kecil (misalnya

untuk membaca web site dichage 0.25c/halaman): Millicen

12. Electronic check: FSTC Electronic Check Project4

13. Limitatitions Of Traditonal Payment Instrument.

14. Security requirement (Authentications, Privacy, Integrity, Non-repudiation, Safety).

15. Single-Key (Symentric) Encryption.

16. Public/Private Key System.

17. Electronic Credit Card (payment using unencypted, encrypted payments, high level

security and privacy).

18. Electronic CASH.

19. Electronic Pyment Card (smart card).

20. Three Party Payment System.

21

KEAMANAN (SECURITY)

Secara umum, keamanan merupakan salah satu komponen atau servis yang

dibutuhkan untuk menjalankan eCommerce. Beberapa bagian dari keamanan ini sudah

dibahas di atas dalam bagian tersendiri, seperti Infrastruktur Kunci Publik (IKP), dan

privacy. Untuk menjamin keamanan, perlu adanya kemampuan dalam bidang ini yang

dapat diperoleh melalui penelitian dan pemahaman. Beberapa topik (issues) yang

harus dikuasai antara lain akan didaftar di bawah ini.

1. Teknologi Kriptografi.

Teknologi kriptografi menjelaskan bagaimana mengamankan data dengan

menggunakan enkripsi. Berbagai sistem sudah dikembangkan seperti sistem privae key

dan public key. Penguasaan algoritma-algoritma populer digunakan untuk

mengamankan data juga sangat penting. Contoh algoritma ini antara lain DES, IDEA,

RC5, RSA dan ECC (Ellliptic Curve Cryptography). Penelitian dalam bidang ini di

perguruan tinggi merupakan suatu hal yang penting. Salah satu masalah dalam

mengamankan enkripsi adalah bagaimana memastikan bahwa hanya sang penerima

yang dapat mengakses data. Anda dapat menggembok data dan mengirimkannya

bersama kuncinya ke alamat tujuan, tetapi bagaimana memastikan kunci itu tidak

dicuri orang di tengah jalan? Salah satu cara untuk memecahkannya adalah bahwa si

penerima yang mengirimkan gemboknya, tetapi tidak mengirimkan kuncinya. Anda

menggembok data dengan gembok yang dikirim olehnya dan mengirimkannya. Si

penerima kemudian akan membukanya dengan kunci miliknya yang tidak pernah

dikirimkannya ke siapa-siapa. Kini masalahnya bila data yang digembok itu dicuri

orang, tetapi dengan enkripsi yang kompleks akan sangat sulit bagi orang itu untuk

mengakses data yanmg sudah digembok itu.

2. One Time Pasword.

Penggunaan password yang hanya dapat dipakai sebanyak satu kali. Biasanya

password angka digital yang merandom angka setiap kali transaksi.

3. Konsultan keamanan.

22

Konsultan, organisasi, dan institusi yang bergerak di bidang keamanan dapat

membantu meningkatkan dan menjaga keamanan. Contoh organisasi yang bergerak di

bidang ini adalah IDCERT.

KERANGKA KERJA ECOMMERCE

Kerangka kerja (framework) dari eCommerce memiliki beberapa komponen, antara

lain:

1. National Inormation Technology Committee (on eCommerce). Komite ini

bertanggung jawab untuk memformulasikan Information Technology, speciically

eCommerce, di Indonesia. Komite ini dapat membuat working group untuk

meneliti penggunaan teknologi informasi lebih lanjut. Berbagai pihak yang terlibat

dalam bidang commerce dan electronic commerce sebaiknya terwakili dalam

komite ini, misalnya adanya wakil dari Perbankan.

2. Communication Infrastructure

3. EC/EDI standards / infrastructure. Menentukan standar yang dapat diterima oleh

semua pihak merupakan salah satu kunci utama.

4. Cyberlaw: EC laws, Electronic Security laws.

5. Customers & related organizations

3. CONSUMER-TO-CONSUMER (C2C)

C2C adalah model bisnis e-commerce dimana konsumen menjual kepada konsumen

lain menggunakan perusahaan perantara (broker) atau lelang elektronik.

Consumer to Consumer (C2C) dikenal juga dengan istilah Peer to Peer (P2P)

electronic Commerce merupakan transaksi dengan difasilitasi komputer antara

pelanggan/consumer melalui perantara pihak ketiga. Contoh umum untuk kasus ini

adalah lelang online, dimana pelanggan memposting sebuah barang untuk dijual dan

pelanggan lain menawar untuk membelinya, pihak ketiga umumnya mengambil

keuntungan dari komisi atau biaya administrasi. Situs dari pihak ketiga hanya sebagai

mediator untuk mempertemukan pelanggan, dan pihak ketiga tidak bertanggung

jawab terhadap kualitas barang yang ditawarkan oleh consumer

23

Contoh dari C2C :

Beberapa contoh dari situs yang menerapkan konsep consumer to consumer

eBay

Craiglist

Amazon.com

Jenis E-commerce C2C diperkirakan akan mengalami peningkatan di masa depan

karena mengurangi biaya untuk menggunakan perusahaan lain. Sebuah contoh yang

dirujuk dalam Management Information Systems adalah seseorang yang mempunyai

garage sale yang hendak mempromosikan jualannya melalui iklan yang ditransmisikan

ke unit GPS dari kendaraan yang ada didaerah tersebut. Hal Ini secara potensial akan

mampu menjangkau audience yang lebih luas dibandingkan dengan hanya memasang

pengumuman di sekitar lingkungan tempat tinggalnya. Dalam krisis ekonomi yang

dimulai tahun 2008 peningkatan bisnis C2C meningkat secara dramatis

C2C menjadi lebih populer diantara mahasiswa sebab banyak komunitas besar dari

mereka yang berasal dari daerah yang sama yang mempunyai keuangan yang terbatas,

sehingga mereka mencari pasaran yang menguntungkan lebih sering dan website

seperti contoh diatas menawarkannya. Universitas sendiri menyediakan tempat bagi

mahasiswa untuk menjual buku teks atau barang lainnya kepada sesama mereka,

contohnya adalah periklanan tiger books dan Dalhouise University yang menyediakan

layanan kepada siswa.

KOMPONEN E-COMMERCE

Komponen-komponen e-commerce terdiri dari:

1. Sistem Pembayaran Elektronik

Sistem pembayaran elektronik diperlukan oleh sembarang bisnis yang menjual barang

dan jasa secara online. Bisnis membutuhkan beberapa metode untuk: menerima

pembayaran selama pelanggan sedang online, mengotentikasi pelanggan, dan

melindungi privasi detil transaksi.

2. Protokol

24

TCP/IP menyediakan protokol paling banyak yang diperlukan untuk melengkapi

transaksi bisnis secara online, tapi protokol khusus dibutuhkan untuk mengenkripsi

informasi transaksi dan memelihara privasi pelanggan. Protokol yang sering digunakan

adalah sebagai berikut:

• SSL.

Salah satu protokol yang umum digunakan adalah Secure Socket Layer (SSL). SSL

menggunakan kunci, sertifikat/tanda tangan digital, dan enkripsi untuk melindungi

informasi dan mengotentikasi pelanggan dan penjual.

• SET.

Protokol lain yang digunakan adalah Secure Electronic Transactions (SET), yang

disponsori oleh VISA, Master Card, dan American Express. Perbedaan antara SET dan

SSL adalah bahwa SET mengkonfirmasi ketersediaan dana selama dua phak sedang

online, dan melindungi infromasi di antara ketiga pihak. SET juga menggunakan

enkripsi yang kuat dan sertifikat/tanda tangan digital.

Risiko E-Commerce

Risiko e-commerce datang dari internal maupun eksternal sebagai berikut:

1. Internal

Mayoritas aktivitas menyimpang tidak datang dari penyusup luar, tetapi dari dalam,

dan tentu, kegagalan sistem umum. Ahli riset TI, The Gartner Group, mengestimasi

bahwa lebih dari 70% akses tidak sah ke sistem informasi dilakukan oleh pegawai, yang

lebih dari 95% penyusupan mengakibatkan kerugian keuangan yang signifikan.

• Kecelakaan/Kegagalan Sistem.

Dari sekian banyak jenis risiko yang terkait dengan ketersediaan atau kerusakan sistem,

kegagalan sistem adalah alasan paling umum terjadinya masalah.

• Akuntabilitas yang Tidak Efektif.

25

Meskipun kebijakan dikembangkan dengan tujuan baik, dan banyak prosedur efektif

disusun secara seksama, penyebab utama pengendalian yang tidak efektif adalah sering

kali karena kurangnya akuntabilitas dalam memastikan bahwa prosedur senyatanya

dilaksanakan.

• Aktivitas yang Menyimpang.

Salah satu aspek serius risiko internal muncul dari pegawai entitas sendiri, terutama

ketika dia menjadi termotivasi untuk membalas dendam kepada perusahaannya.

• Kecurangan (Fraud).

Kasus-kasus kecurangan keuangan telah membuat publik sadar akan skop dari

kecurangan dalam bisnis saat ini. Association of Certified Fraud Examiners

memperkirakan bahwa kecurangan oleh pegawai menyebabkan kerugian bisnis sebesar

enam juta dollar AS pada tahun 2002.

2. Eksternal

Risiko eksternal terkait terutama dengan penyusup dan perangkatnya.

• Penyusup.

Penyusup dapat dibagi menjadi empat grup:

Hacker

Digunakan sebagai istilah komplementer untuk menggambarkan mereka yang berbakat

dalam TI yang dapat meng-hack kode dan menjalankan sistem operasi rahasia.

Whitehat Hacker adalah hacker berpengalaman yang dipekerjakan oleh organisasi

untuk bermain seperti devil’s advocate dan mengungkapkan semua kelemahan dalam

sistem jaringan dan konektivitas internetnya.

Cracker

Masuk ke sistem dengan tujuan “mencuri, membunuh, atau menghancurkan”.

Script Kiddy. Terkait dengan cracker dan hacker dalam hal mereka memperoleh kode

yang ditulis oleh black-hat hacker atau cracker dan menggunakan pengetahuan dasar

jaringan dan internet untuk mengeksekusi script atau kode tersebut untuk memberi

kerusakan atau cidera kepada target.

26

• Virus.

Risiko terbesar dari sumber eksternal diwakili oleh virus, yang merupakan penyebab

pengeluaran besar oleh perusahaan untuk membersihkan kerusakan sistem.

• Cyberterrorism/Cyber-Crime.

Risiko cyberterrorism tinggi untuk bisnis tertentu, tetapi terjadi hingga derajat tertentu

untuk setiap bisnis yang terhubung dengan internet.

C. E-BUSINESS

E-business menawarkan keuntungan sebagai berikut:

1. Produktivitas dan penurunan biaya

2. Kecepatan

3. Kesempatan dan penciptaan nilai baru

Meskipun begitu e-business juga membuat perusahaan harus menghadapi risiko

sebagai berikut:

1. Privasi dan Kerahasiaan

Privasi meliputi perlindungan terhadap informasi hak kepemilikan, termasuk

informasi pribadi dan informasi yang terkait terhadap suatu pertukaran atau

transaksi. Kerahasiaan mirip dengan privasi, hanya saja lebih terfokus pada

informasi yang secara spesifik didesain untuk bersifat rahasia. Ada tiga alasan

kegunaan privasi dan kerahasiaan dalam e-business:

• E-business menyediakan peluang mengumpulkan data tentang pembeli dan

penjual lebih dari yang bisa diperoleh di dunia perdagangan konvensional.

• Internet memungkinkan diseminasi informasi pada banyak orang dengan lebih

mudah melalui banyak jalur komunikasi

• Informasi yang diperoleh di e-business bisa dipertukarkan dan ditangkap tanpa

sepengetahuan penyedia informasi.

27

Banyak transaksi mengorbankan privasi, sehingga bisa saja terjadi trade off antara

privasi dengan personalisasi ataupun antara privasi dan keamanan. Beberapa cara

mengatasi risiko tentang privasi dan kerahasiaan adalah:

• Membuat kebijakan privasi: i) untuk melindungi entitas karena secara jelas

menerangkan bagaimana mereka memperlakukan kepemilikan informasi, ii) untuk

menyediakan jaminan kepada rekan bisnis bagaimana informasi tentang mereka

akan dipergunakan).

• Memanfaatkan alat pelacak internet (untuk memonitor tingkah laku di internet

menggunakan log dan cookies).

2. Pengamanan Informasi dan Pemeliharaan Ketersediaan Sistem

Karena internet merupakan jaringan, maka seluruh risiko dan pengendalian atas

sistem telekomunikasi dan jaringan umum terikat padanya. E-business memiliki

risiko keamanan melebihi jaringan lainnya dengan dua alasan berikut: a) jaringan

adalah milik publik sehingga bisa diakses oleh semua pengguna dengan web

browser dan ISP sehingga tidak bisa dilindungi seperti pemakaian jaringan privat, b)

e-commerce berdasarkan definisinya meliputi pertukaran moneter dan aset likuid

lainnya sebagai tambahan aset informasi lainnya. Sehingga transmisi dari aset ini

pada jaringan publik akan membuat informasi sangat rapuh.

Pengawasan atas risiko internet dan e-business ini diatasi dengan cara:

• Mengamankan informasi e-business dengan enkripsi

• Mengamankan pembayaran elektronik

• Mengamankan web server

• Ketersediaan dan keandalan sistem

3. Integritas Transaksi dan Kebijakan Bisnis

Integritas dari transaksi e-business dan kebijakan e-business yang komprehensif

merupakan komponen yang penting dari keandalan sistem ini.

• Integritas Transaksi.

28

Menurut SysTrust dari AICPA, integrasi transaksi diartikan sebagai “pemrosesan

sistem sudah komplit, akurat, tepat waktu, dan diotorisasikan”.

Repudiation (Penolakan)

Adalah suatu kemampuan pihak tertentu untuk terikat dalam suatu transaksi untuk

menolak partisipasi mereka ataupun karakteristik tertentu dari transaksi itu sendiri.

Dalam e-business, repudiation meningkatkan risiko karena mudah melepaskan

suatu identitas di dalam lingkungan virtual dibandingkan di dunia nyata. Salah satu

alat yang bisa dipakai untuk mengatasi masalah repudiation adalah tanda tangan

digital (digital signature) yang bisa menghubungkan pengirim pesan kepada

dokumen yang dikomunikasikan. Sertifikat digital adalah pernyataan keotentikan

yang dikeluarkan oleh pihak ketiga yang bisa dipercaya (yang disebut otoritas

sertifikat).

Jejak Audit Elektronik

Transaksi e-business menghasilkan data dalam bytes (bukan kertas), sehingga

menghasilkan bukti elektronik berupa log, jejak audit, dokumen sumber, pesan e-

mail, dan komunikasi lainnya. Log transaksi menangkap data seperti log in pemakai,

passwords, tanggal dan jam pemakaian. Jejak audit memperlihatkan data sejarah

transaksi mulai dari awal sampai pada titik dimana ia dipublikasikan dalam laporan

keuangan. Auditor TI harus meyakini bahwa jejak audit benar terjadi dalam semua

aplikasi e-business dan mereka memiliki pengendalian internal yang cukup untuk

melindungi mereka. Bukti elektronik berbeda dari kertas dokumen di beberapa

aspek. Dokumen elektronik hanya terjadi pada periode waktu tertentu. Ini berarti

auditor harus memilih sampel audit di dalam basis periodik. Pada tahun 1996 dan

1997 AICPA mengeluarkan SAS no. 80 mengamandemen SAS no. 31 Evidential

Matter dan an Auditing Procedures Study (APS) The Information Technology Age:

Evidential Matter in the Electronic Environment guna menyediakan suatu pedoman

bagi auditor terkait bukti elektronik.

Kebijakan E-Business.

29

Kebijakan e-business yang efektif berkembang saat organisasi belajar apa yang

memberikan hasil terbaik dalam praktik. Kekurangan kebijakan bisnis untuk

aktivitas menjadi indikasi risiko untuk e-business. Harus ada kebijakan bisnis di

dalam tiap kejadian pada proses bisnis. Contohnya: untuk proses penjualan ada

kebijakan mengatur tentang pemesanan penjualan, pemenuhan pesanan, dan

pembayaran aktivitas. Tanggung jawab auditor IT terkait kebijakan e-business

adalah: 1) untuk menjamin kebijakan yang ditegakkan sesuai dengan tujuan

organisasi, 2) untuk memperoleh tingkatan dimana kebijakan ini diobservasi.

D. APLIKASI E-BUSINESS KHUSUS

E-business dan e-commerce meliputi area aplikasi yang memiliki risiko pengendalian

khusus. Beberapa aplikasi e-business khusus itu adalah sebagai berikut:

1. EDI (Electronic Data Interchange).

EDI adalah pertukaran pemrosesan informasi bisnis antara perusahaan dalam suatu

format standar. Manfaat EDI:

1. Pengurangan entri data.

2. Pengurangan kesalahan.

3. Pengurangan kertas.

4. Pengurangan biaya pengiriman melalui pos.

5. Otomatisasi prosedur.

6. Pengurangan persediaan yang arus dikelola.

EDI berkembang karena keinginan untuk mengurangi waktu transaksi

pelanggan/pemasok. EDI mahal karena membutuhkan penginstalan program khusus

dan seharusnya terdapat jalur komunikasi berdedikasi atau VAN pihak ketiga. Akibatnya

EDI baru diadaptasikan di perusahaan besar dan kurang efisien bagi perusahaan kecil.

Tetapi perkembangan internet dan WWW memberikan alternatif baru bagi

perkembangan EDI. Mereka bisa mengirimkan data EDI yang terenkripsi melalui

internet. Intranet yang diperluaspun juga menjadi alternatif EDI dalam mengecek

persediaan dan harga serta tempat pemesanan berdasarkan password yang membuat

30

mereka bisa mengakses data tersebut. Bagi auditor TI fokusnya lebih pada

pembentukan form komputer dari data sharing antara rekanan yang bervariasi atas

pendekatan yang dilakukan. Terkait masalah VAN auditor membutuhkan audit

penjaminan dari pihak ketiga.

2. Collaborative Commerce.

Pada masa internet sudah sulit memprediksi kapan bisnis dimulai ataupun akan

berakhir. Semua orang berusaha menciptakan keunggulan kompetitifnya. Collaborative

commerce bermakna dua atau lebih entitas saling berbagi kepentingan untuk mencapai

suatu tujuan tertentu. Rekanan ini berarti saling membagi informasi yang berarti bisa

menambah risiko. Auditor TI harus menjamin bahwa pembagian informasi benar-benar

merupakan hal yang “perlu diketahui”. Pada aplikasi ini juga sangat penting

mempertimbangkan privasi.

3. Keamanan dan Privasi E-Mail.

Sistem e-mail merupakan aplikasi jaringan terbesar dalam perusahaan, sehingga

keamanan merupakan salah satu poin penting yang harus menjadi perhatian. Ancaman

terhadap sistem e-mail ada 2:

• Ancaman Keamanan E-Mail.

Virus/Worm

Pesan e-mail dan attachment mungkin mengandung kode yang mencurigakan. Di

beberapa kasus kode ini akan mereplika dirinya dan mengirim sendiri pada semua

daftar alamat penerima e-mail.

Spam

Pengiriman e-mail yang tak diminta pada banyak user.

Bombs

Pengiriman e-mail yang tak diinginkan secara berulang pada satu alamat e-mail yang

sama.

31

Sniffing

Selama transmisi seorang user yang tidak berwenang dapat membaca pesan e-mail

yang ada.

Session Hijacking

Seorang user yang tidak berwenang bisa mengambil alih sesi komunikasi dengan

mengirimkan pesan palsu pada seorang pemakai e-mail dengan memakai keotentikan

dari pemakai itu.

Spoof

Alamat asal sebuah e-mail bisa jadi palsu.

• Ancaman Privasi E-Mail.

Pelecehan Seksual atau Rasial

Seorang pemakai e-mail bisa mengirim pesan e-mail yang tidak pantas atau terkait

skandal.

Pembocoran Privasi

Ada banyak cara privasi dikompromikan melalui e-mail. Contoh: pesan pribadi di-

forward, dibagi, atau diintip oleh hackers.

Jejak Kertas E-Mail

Pesan e-mail adalah permanen dan bisa dipergunakan sebagai bukti tuntutan hukum.

Penghapusan e-mails terkait masalah hukum bisa dianggap sebagai pelanggaran.

Mata-Mata Perusahaan

Insider bisa membocorkan rahasia perdagangan perusahaan melalui e-mail. Data

kepemilikan bisa saja diperoleh melalui sistem e-mail.

Dalam melakukan pengendalian atas sistem e-mail bisa dilakukan dengan software

tertentu yang berisikan fitur produk berupa enkripsi, kompresi data, otentikasi,

memindai isi, tracking, pemanfaatan otomatis, penghancuran digital, pemfilteran dan

pengeblokan, dan perlindungan anti-virus. Contoh software yang berisi fitur ini adalah

32

Genidocs Server, GLWebMail XT Professional, enRole, dan CAMEO Recon. Cara terbaik

menjamin keamanan privasi e-mail adalah dengan cara enkripsi. Contoh enkripsi

standar untuk e-mail yaitu Pretty Good Privasi (PRP) dan Secure Multipurpose Internet

Mail Extensions (S/MIME).

E. PENGENDALIAN INTERNET/E-COMMERCE

Risiko e-commerce dapat dikurangi dengan penerapan beberapa pengendalian. Adalah

tanggungjawab auditor TI untuk memastikan pengendalian yang memadai telah diterapkan

dan bekerja secara efektif untuk melindungi aset dan bisnis organisasi. Dua hal utama yang

menjadi pertimbangan dalam pengendalian adalah akses tidak sah dan kegagalan peralatan.

Pengendalian

Pengendalian dimulai dengan praktik-praktik terbaik penggunaan kebijakan dan prosedur

untuk menghadapi risiko yang diidentifikasi dalam penilaian risiko yang dilakukan oleh

perusahaan atau auditornya, dan termasuk beberapa perangkat canggih TI untuk

mengurangi risiko tersebut.

1. Kebijakan dan Prosedur

Sekali tim penilai risiko mengidentifikasi risiko spesifik, yang melampaui tingkat risiko

yang dapat ditoleransi dan pengendalian menjadi cost-effective, maka tim harus

mengembangkan kebijakan, untuk menyatakan maksud organisasi sehubungan dengan

kejadian yang berisiko. Kebijakan akan berlanjut dengan pilihan prosedur-prosedur

untuk mencegah dan sekaligus mendeteksi risiko.

2. Teknik SDLC

Salah satu area yang harus diawasi adalah praktik-praktik terbaik yang didirikan dalam

komunitas TI/SI selama bertahun-tahun dalam system development life cycle (SDLC)

atau analisis dan disain sistem.

3. Sistem Anti-Virus. Sistem anti-virus dapat mengurangi risiko serangan virus, tetapi

sistem anti-virus sendiri tidak cukup, meskipun di-update secara reguler. Dibutuhkan

perangkat lain untuk memberi peringatan dini akan aktivitas yang mencurigakan.

33

4. Nomor Urut Pesan

Penyusup dalam kanal komunikasi mungkin berusaha untuk menghapus pesan dari dari

aliran pesan, mengubah urutan pesan yang diterima, atau menggandakan pesan.

Melalui penomoran urut pesan, suatu nomor urut disisipkan dalam tiap pesan, dan

usaha penyusup akan menjadi terlihat pada pihak penerima.

5. Log

Semua aktivitas yang dilakukan dalam sistem harus dicatat dalam log transaksi secara

lengkap.

6. Sistem Monitoring

Router dan gateway pengawasan menjadi perangkat efektif untuk memonitor aktivitas-

aktivitas yang mencurigakan. Bila dikombinasikan dengan grafik yang dapat dibaca

secara terus menerus, sembarang aktivitas yang mencurigakan dapat disorot melalui

perubahan yang digambarkan oleh grafik.

7. Sistem Pengendalian Akses

Digunakan untuk mengotorisasi dan mengotentikasi pengguna. Sistem pengendalian

akses menggunakan satu atau lebih dari tiga pendekatan dasar keamanan: (1) sesuatu

yang Anda punyai, (2) sesuatu yang Anda ketahui, dan (3) siapa Anda.

• Sistem Call Back

Perangkat keamanan seperti password, perangkat otentikasi, dan enkripsi memiliki

kelemahan yaitu dengan terbukanya risiko keamanan setelah pelaku kejahatan dapat

masuk ke sistem. Perangkat call-back mengharuskan pengguna dial-in untuk

memasukkan password dan diidentifikasi. Sistem kemudian memutuskan koneksi untuk

melakukan otentikasi pengguna. Bila pengguna telah diotorisasi, perangkat call-back

memanggil kembali perangkat pengguna untuk membuat koneksi baru ke sistem.

• Sistem Chalenge-Response

Penyusup mungkin berusaha untuk mencegah atau menunda penerimaan pesan dari

pengirimnya. Dengan teknik challenge-response, pesan pengendali dari pengirim dan

respon dari penerima dikirim pada interval periodik dan sinkron.

34

• Sistem Password Multifaset

Sistem ini mengkombinasikan password dengan perangkat pengendalian akses lain.

• Biometrik

Adalah pengukuran otomatis dari satu atau lebih atribut atau fitur spesifik seseorang,

dengan tujuan dapat membedakan orang tersebut dari orang lain. Karakterisitik fisik

seperti sidik jari, garis tangan, suara, retina dan iris, dan wajah dapat digunakan sebagai

kode akses dalam biometrik.

• Firewall

Organisasi yang terhubung dengan internet atau jaringan publik lain sering kali

menerapkan firewall elektronik untuk mengisolasi LAN dari penyusup luar. Firewall

terdiri dari software dan hardware yang menjadi titik pusat keamanan dengan

menyalurkan semua koneksi jaringan melalui gateway pengendali. Firewall dapat

digunakan untuk mengotentikasi pengguna jaringan dari luar, memverifikasi tingkat

otoritas aksesnya, dan mengarahkan pengguna ke program, data, atau jasa yang

dimintanya. Firewall dibagi menjadi dua jenis umum:

1. Firewall Tingkat-Jaringan

Adalah pengendalian akses berbiaya rendah dan dengan tingkat keamanan yang

rendah pula. Firewall jenis ini terdiri dari router screening yang menguji alamat sumber

dan tujuan yang dimasukkan pada paket pesan masuk. Menggunakan teknik IP

spoofing, hacker dapat menyamarkan paket pesan supaya seperti datang dari

pengguna yang sah dan mendapat akses ke jaringan.

2. Firewall Tingkat-Aplikasi

Adalah pengamanan jaringan tingkat tinggi yang dapat di-custom, tetapi dapat berbiaya

sangat mahal. Sistem ini dikonfigurasi untuk menjalankan aplikasi keamanan yang

disebut proxy yang membolehkan layanan rutin seperti email untuk melewati firewall,

tapi dapat melakukan fungsi-fungsi canggih seperti logging atau otentikasi pengguna

untuk tugas-tugas khusus.

35

• Sistem Deteksi Penyusupan

Sistem deteksi penyusupan (intrusion detection systems/IDS) memeriksa semua

aktivitas jaringan masuk dan keluar dan mengidentifikasi pola-pola mencurigakan yang

mungkin mengindikasikan serangan jaringan atau sistem dari seseorang yang berusaha

untuk masuk ke dalam sistem.

Ada beberapa cara untuk menggolongkan IDS:

Deteksi Penyalahgunaan Versus Deteksi Anomali

- Penyalahgunaan: IDS mencari serangan spesifik yang pernah didokumentasi (seperti

anti-virus).

- Anomali: IDS memonitor segmen jaringan untuk membandingkan keadaan yang ada

dengan keadaan normal dan mencari anomali.

Sistem Berbasis-Jaringan Versus Sistem Berbasis-Host

- Berbasis-jaringan (Network IDS/NIDS): paket indvidual yang mengalir melalui

jaringan dianalisa.

- Berbasis-host: IDS memeriksa aktivitas pada tiap komputer atau host.

Sistem Pasif Versus Sistem Reaktif

- Pasif: IDS mendeteksi pelanggaran keamanan potensial, mencatat informasi dalam

log dan mengirim sinyal peringatan.

- Reaktif: IDS merespon aktivitas mencurigakan dengan me-logoff pengguna

memeriksa aktivitas pada tiap komputer atau host.

• Mengendalikan Serangan Denial-of-Service (DoS)

Ketika pengguna membuat koneksi internet melalui TCP/IP, terjadi handshake tiga-

jalur. Server asal mengirimkan kode inisiasi yang disebut paket SYN ke server tujuan.

Server tujuan kemudian mengakui permintaan dengan mengirim paket SYN/ACK.

Akhirnya mesin pengirim merespon dengan kode paket ACK. DoS terjadi ketika server

pengirim mengirimkan paket SYN dalam jumlah besar dan terus menerus tapi tidak

pernah merespon dengan ACK untuk menyelesaikan koneksi. Meskipun DoS tidak dapat

36

dicegah, tapi dapat dikurangi risiko serangannya dengan software keamanan yang

dapat meindai koneksi yang setengah terbuka.

• Enkripsi

Enkripsi adalah konversi data menjadi kode rahasia untuk disimpan dalam basis data

dan transmisi melalui jaringan. Pengirim menggunakan algoritma enkripsi untuk

mengkonversi pesan original (cleartext) menjadi pesan yang telah dikode (ciphertext).

Pada penerima chipertext di-dekode (dekripsi) kembali menjadi cleartext.

Ada dua komponen dasar enkripsi: kunci dan algoritma. Kunci adalah nilai matematis

yang dipilih oleh pengirim pesan. Algoritma adalah prosedur sederhana penggeser tiap

huruf dalam pesan cleartext. Ada dua jenis metode umum enkripsi yang digunakan:

Enkripsi Kunci Privat

Metodologi yang umum digunakan adalah Data Encryption Standard (DES) yang

menggunakan satu kunci yang digunakan untuk mengenkripsi pesan asli menjadi pesan

rahasia maupun mendekripsi pesan rahasia menjadi pesan asli.

Enkripsi Kunci Publik

Teknik ini menggunakan dua kunci berbeda: satu untuk meng-enkode pesan dan yang

lain untuk men-dekode pesan.

• Sertifikat Digital/Tandatangan Digital

Sertifikat digital adalah lampiran pesan elektronik yang digunakan untuk tujuan

keamanan. Umumnya digunakan untuk memverifikasi pengirim pesan dan

menyediakan alat bagi penerima untuk meng-enkode pesan jawaban.

Tandatangan digital adalah kode yang dapat dilampirkan ke pesan yang dikirim secara

elektronik yang secara unik mengidentifikasi pengirim.

8. Business Recovery Plan (BRP)

Adalah pengendalian yang efektif untuk perusahaan e-commerce untuk tetap dapat

menjalankan bisnis setelah aktivitas bisnis mengalami kejadian yang merugikan.

37

9. Incident Response Plan

Mirip dengan BRP, tetapi yang diantisipasi adalah persiapan dan perencanaan respon

perusahaan kepada publik dan media setelah kejadian yang merugikan.

10. Mengendalikan Kemungkinan Kegagalan Peralatan

Berikut ini adalah teknik pengendalian yang didisain untuk membatasi ancaman dari

kegagalan peralatan yang dapat mengganggu, menghancurkan, atau merusak transaksi

elektris basis data dan program komputer.

• Echo Check

Melibatkan penerima pesan untuk mengembalikan pesan kepada pengirim. Pengirim

membandingkan pesan yang dikembalikan dengan pesan orisinal.

• Parity Check

Memasukkan bit ekstra ke dalam struktur string bit ketika dibuat atau dikirim. Parity

dapat berupa bit vertikal dan horisontal (longitudinal).

Tujuan Audit

Tujuan audit atas internet/e-commerce:

1. Memverifikasi keamanan dan integritas transaksi perdagangan elektronik dengan

menentukan bahwa pengendalian (1) dapat mendeteksi dan mengkoreksi pesan yang hilang

karena kegagalan peralatan, (2) dapat mencegah dan mendeteksi akses ilegal baik internal

dan dari internet, (3) memberikan data yang tak berguna yang berhasil diambil oleh pelaku.

2. Memverifikasi bahwa prosedur backup memadai untuk menjaga integritas dan

keamanan fisik basis data dan file lainnya yang terhubung ke jaringan.

3. Menentukan bahwa (1) semua transaksi EDI telah diotorisasi, divalidasi dan patuh

terhadap perjanjian dengan partner perdagangan; (2) tidak ada organisasi yang tidak

diotorisasi yang mengakses record basis data; (3) partner perdagangan yang diotorisasi

memiliki akses hanya untuk data yang telah disetujui; dan (4) pengendalian yang memadai

diterapkan untuk memastikan jejak audit semua transaksi EDI.

38

Prosedur Audit

Untuk mencapai tujuan audit tersebut, auditor dapat melakukan prosedur pengujian

pengendalian sebagai berikut:

1. Memilih sampel pesan dari log transaksi dan memeriksanya untuk isi yang terdistorsi

akibat noise jalur transmisi.

2. Mereview log transaksi pesan untuk memverifikasi bahwa semua pesan diterima dalam

urutan yang tepat.

3. Menguji operasi fitur call-back dengan mencoba panggilan yang tidak diotorisasi dari

luar.

4. Mereview prosedur pengamanan yang mengatur administrasi kunci enkripsi data.

5. Memverifikasi proses enkripsi dengan mengirimkan pesan percoban dan memeriksa

isinya pada beberapa titik sepanjang kanal antara lokasi pengiriman dan penerimaan.

6. Mereview kecukupan firewall dalam mencapai keseimbangan yang tepat antara

pengendalian dan kenyamanan berdasarkan tujuan bisnis organisasi dan risiko

potensial. Kriteria untuk penilaian efektivitas firewall meliputi: fleksibilitas, proxy

services, penyeringan, pemisahan sistem, alat-alat audit, penyelidikan atas kelemahan

dan review atas prosedur pengendalian password.

F. JASA ASURANS PIHAK KETIGA

COBIT mengontrol jasa pihak ketiga sebagai bagian dari dimensi Delivery & Support (DS2)-

nya. Dengan adanya e-business meningkatkan keandalan pihak luar terhadap bentuk ISP,

ASP, otoritas sertifikat, dan penyedia pembayaran elektronik. Auditor TI mengevaluasi jasa

pihak ketiga perlu memahami lebih dulu hubungan antara entitas yang direview dan pihak

ketiga itu sendiri. Selanjutnya mereka menyusun langkah-langkah audit yang diperlukan

dalam mengevaluasi jasa pihak ketiga itu. Audit jasa pihak ketiga terkadang dikaitkan

dengan SAS 70 Reports on the Processing of Transactions by Service Organizations, yang

bertujuan menyediakan pedoman bagi auditor keuangan dalam mengaudit laporan

keuangan yang bergantung pada jasa organisasi pihak ketiga untuk memproses beberpa

39

transaksinya. SAS 70 juga berisi pedoman mereview laporan atas proses transaksi yang akan

dimanfaatkan oleh auditor lainnya.

Tujuan dari jasa penjaminan pihak ketiga adalah untuk mengarahkan privasi dan keamanan

dari pelanggan akhir dan perusahaan dalam melaksanakan bisnis di internet. Pihak ketiga

seperti auditor TI dapat mengevaluasi bisnis dalam artian privasi, keamanan, integritas

transaksi, keandalan sistem, dan kebijakan bisnis. Contoh organisasi yang menawarkan jasa

penjaminan: gabungan AICPA dan CICA menghasilkan CPA WebTrust yang memberikan dua

jasa penjaminan WebTrust dan SysTrust. WebTrust diarahkan utamnya pada transaksi e-

commerce dan bagian dari SysTrust yang diperuntukkan bagi semua sistem informasi.

SysTrust dan WebTrust terdiri atas kumpulan prinsip dan kriteria. Prinsip-prinsip itu adalah:

keamanan, ketersediaan, integritas proses, online privasi, dan tingkat keyakinan. Di dalam

ikatan WebTrust auditor mengevaluasi satu atau semua prinsip ini melawan kumpulan

kriteria. Empat kategori kriteria itu adalah: kebijakan, komunikasi, prosedur, dan

pengawasan. Diantara tiap kategori adalah kriteria spesifik yang umum untuk setiap prinsip.

Dan tiap criteria spesifik bisa ditemani oleh pengendalian ilustrasi spesifik.

Jasa penjaminan dari organisasi tertentu akan bisa dipercaya apabila merek yang diusung

organisasi itu familiar bagi pelaku bisnis. Tingkat keyakinan akan meningkat saat mereka

mempercayai merek tersebut. Selain CPA WebTrust ada beberapa penyedia jasa

penjaminan yang cukup disukai pelaku bisnis, diantaranya: PriceWaterhouseCooper’s

BetterWeb, Better Business Bureau (BBB), Truste, dan Verisign Inc. Verisign menawarkan

suatu varietas jasa kepercayaan digital termasuk security seal yang memberikan jaminan

bahwa situs Web itu otentik dan transmisi data menggunakan enkripsi SSL.

G. AUDIT E-COMMERCE DALAM ISACA

ISACA sebagai asosiasi penerbit standar audit sistem informasi memberi pedoman

mengenai audit e-commerce terutama kategori B2C, yaitu: G22 Business-to-consumer (B2C)

E-commerce Review.

40

Pedoman G22 merujuk pada materi CoBIT yang relevan untuk e-commerce B2C dan bisnis

berbasis-TI dalam skop Plan and Organise, Acquire and Implement, Deliver and

Support yang dijabarkan dalam sasaran-sasaran pengendalian berikut:

- PO1—Define a strategic IT plan

- PO2—Define the information architecture

- PO3—Determine technological direction

- PO8—Ensure compliance with external requirements

- PO9—Assess risks

- AI2—Acquire and maintain application software

- AI3—Acquire and maintain technology infrastructure

- AI4—Develop and maintain procedures

- AI5—Install and accredit systems

- AI6—Manage changes

- DS1—Define and manage service levels

- DS2—Manage third-party services

- DS3—Manage performance and capacity

Kriteria informasi yang paling relevan dengan audit B2C adalah :

- Primer: ketersediaan, kepatuhan, kerahasiaan, efektivitas dan integritas

- Sekunder: efisiensi dan keterandalan.

41