SISTEM INFORMASI AKUNTANSI 2

Dosen : Diah Iskandar

MODUL 7
RISIKO YANG TERKAIT DENGAN
KOMERSIAL ELEKTRONIK

Sub Pokok Bahasan :

- Apakah Risiko Internet itu
- Keamanan, Kapastian dan Kepercayaan
- Implikasi untuk Profesi Akuntansi

TUJUAN INSTRUKSIONAL UMUM

Memahami pendekatan database untuk mengelola sumber daya data organisasi.

TUJUAN INSTRUKSIONAL KHUSUS

Setelah mempelajari materi ini, mahasiswa akan dapat:
1. Mengenal teknologi dasar dan pendekatan berlapis pada protokol yang digunakan
dalam komunikasi Internet.
2. Mengenal kesempatan bisnis dan risiko yang berhubungan dengan komersial
elektronik.

METODE PEMBELAJARAN
1. Kuliah Mimbar
2. Tanya Jawab
3. Latihan

ALAT BANTU PEMBELAJARAN

1. LCD/Overhead Projector
2. White Board dan Spidol

REFERENSI
 1. James A. Hall, 2001. Sistem Informasi Akuntansi, Penerbit Salemba Empat, Jakarta.
2. Nugroho Widjajanto, 2001. Sistem Informasi Akuntansi, Penerbit Erlangga.

MODUL 7

RISIKO YANG TERKAIT DENGAN KOMERSIAL

ELEKTRONIK
(ELECTRONIC COMMERCE)

Sebagai alat untuk memproses transaksi bisnis, potensi untuk komersial elek-
tronik adalah hampir tidak terbatas. Namun, keterandalan pada komersial elektronik,
membuka area baru untuk perhatian mengenai akses tanpa wewenang untuk
informasi rahasia. Karena LAN menjadi program dari aplikasi dan data penting-misi,
pemilik informasi, data pelanggan, dan catatan keuangan berisiko. Organisasi yang
dihubungkan pada pelanggan mereka dan mitra bisnis melalui Internet biasanya di-
ungkapkan. Tanpa perlindungan yang memadai, perusahaan membuka pintu mereka
pada hacker komputer, perusak, pencuri, dan mata-mata industri baik di dalam dan
dari seluruh dunia.

Paradoks dari jaringan adalah bahwa jaringan ada untuk menyediakan peng-
guna akses, pada sumber yang dibagi, namun tujuan yang paling penting dari setiap
jaringan adalah untuk mengontrol akses. Karenanya, untuk setiap perdebatan pro-
duktivitas yang mendukung akses jauh, terdapat suatu perdebatan keamanan ter-
hadapnya. Manajemen ogranisasi harus mencari suatu keseimbangan antara kinerja
yang ditingkatkan dan risiko yang berhubungan.

Bagian ini dibuka dengan suatu definisi dari risiko komersial elektronik. Kita
kemudian memeriksa risiko internal yang ditempatkan oleh Intranet dan pegawai
yang tidak jujur dengan pengetahuan teknikal dan posisi untuk melakukan penipuan
dan tindakan kejahatan. Akhirnya, kita memalingkan perhatian kita pada Internet dan
risiko yang dihadapi baik oleh pelanggan dan kesatuan bisnis dalam batas bisnis
 3

yang relatif baru.

A. APAKAH RISIKO ITU?

Risiko bisnis adalah kemungkinan dari kehilangan atau kerugian yang dapat
mengurangi atau menghilangkan kemampuan organisasi untuk menetapi tujuannya.
Dalam pengertian komersial elektronik, risiko berhubungan pada kehilangan, pen-
curian, atau pengrusakan dari data atau penggunaan atau penciptaan dari data atau
program komputer yang secara keuangan atau secara fisik merugikan organisasi.
Risiko Intranet

Intranet terdiri dari LAN kecil dan WAN besar yang mungkin berisi ribuan dari
simpul individual. Intranet digunakan untuk menghubungkan pegawai dalam suatu
gedung tunggal di antara gedung pada kampus fisik yang sama, dan antara lokasi
yang secara geografi terpisah. Aktivitas Intranet yang khusus termasuk mengatur
rute e-mail, pemrosesan transaksi antara unit bisnis, dan hubungan pada Internet
luar.

Menghentikan Pesan Jaringan

Simpul individual pada kebanyakan Intranet dihubungkan pada suatu saluran
terpisah di mana kartu identitas pengguna, kata sandi (password), e-mail rahasia,
dan file data keuangan melakukan perjalanan. Penghentian yang tidak berwenang
dari informasi ini melalui suatu simpul pada jaringan disebut sniffing. Penyingkapan
tersebut bahkan lebih besar saat Intranet dihubungkan pada Internet.

Mengakses Database Korporasi

Intranet yang dihubungkan pada korporasi pusat meningkatkan risiko bahwa
data akan dilihat, dikorupsi, diubah, atau disalin oleh seorang pegawai. Nomor ke-
amanan sosial, daftar pelanggan, informasi kartu kredit, resep, formula, dan spesi-
fikasi desain mungkin diambil dan dijual. Pegawai dengan akses istimewa untuk
rekening keuangan telah disogok oleh pihak luar untuk secara elektronik menghapus
suatu rekening piutang atau menghapus suatu tagihan pajak yang belum dibayar.

Pusat Pengembangan Bahan Ajar - UMB Diah Iskandar SE. M.Si

SISTEM INFORMASI AKUNTANSI 2
Risiko Internet
Bagian ini melihat beberapa risiko yang lebih penting yang dihubungkan
dengan komersial Internet. Pertama risiko yang berhubungan pada kerahasiaan
pribadi konsumen dan keamanan transaksi diuji. Risiko terhadap kesatuan bisnis dari
penipuan, tindakan jahat dan kegagalan jaringan kemudian ditinjau kembali.
Risiko pada Konsumen
Semakin banyak orang berhubungan, penipuan Internet meningkat, National
Consumer League melaporkan bahwa penipuan Internet meningkat 600 persen
antara tahun 1997 dan 1998. Berdasarkan pada U.S. Securities and Exchange
Commision, jumlah dari keluhan email menduga keras penipuan telah meningkat dari
kira-kira 12 per hari di tahun 1997 ke antara 200 dan 300 per hari di tahun 1999.
Dalam suatu percobaan baru-baru ini untuk mendeteksi dan memperbaiki kelemahan
keamanan Internet, peneliti yang bekerja untuk National Research Institute for
Mathematics and Computer Science di Amsterdam membuka kode keamanan inter-
nasional yang digunakan untuk melindungi angka kartu kredit, transaksi saham, dan
informasi aman lainnya yang dikirim melalui Internet. Suatu tim profesional dari se-
luruh dunia, termasuk pegawai dari Microsoft dan Sun Microsystems, ikut serta
dalam proyek ini. Walaupun teknologi yang dibutuhkan untuk meniru percobaan
adalah mahal dan sulit untuk didapat, jika ini jatuh ke tangan dari kriminal komputer
dan hacker, kehilangan dari kepercayaan dalam komersial elektronik akan menjadi
tidak dapat dihitung.

Tidak mengherankan bahwa banyak konsumen memandang Internet sebagai

suatu tempat tidak aman untuk melakukan bisnis. Khususnya, mereka mengkha-
watirkan mengenai informasi kartu kredit tertinggal pada situs dan secara rahasia
dari transaksi mereka. Bagian ini memeriksa beberapa ancaman yang lebih umum
bagi konsumen dari kriminal cyber. Bagian berikut akan melihat beberapa risiko yang
dihadapi kesatuan bisnis ketika melakukan bisnis pada Web.

Pencurian Angka Kartu Kredit. Persepsi bahwa Internet tida aman untuk
pembelian kartu kredit dianggap hambatan terbesar bagi e-commerce. Apakah
perusahaan-perusahaan Internet sembrono atau bahkan curang dalam cara mereka
mengumpulkan, menggunakan, dan meyimpan informasi kartu kreditnya? Satu
hacker telah berhasil mencuri 100.000 angka kartu kredit dengan suatu batas kredit
 5

gabungan sebesar $ 1 miliar melalui suatu arsip pelanggan dari penyedia pelayanan
Internet. Ia ditangkap ketika mencoba menjual informasi tersebut kepada seorang
agen FBI yang menyamar.

Pencuri Password (Kata Sandi). Satu bentuk dari penipuan Internet meliputi
pembuatan suatu situs untuk maksud mencuri password pengunjung. Untuk
mengakses halaman Web, pengunjung diminta untuk mendaftar dan memberikan
alamat e-mail dan password. Banyak orang menggunakan password sama untuk
aplikasi berbeda seperti jasa ATM, e-mail dan akses jaringan pemberi kerja. Dengan
harapan bahwa pengunjung situs masuk ke rota perilaku, kriminal cyber mengguna-
kan password yang ditangkap untuk masuk ke rekening korban.

Kerahasiaan Konsumen. Keprihatinan mengenai kekurangan dari ke-

rahasiaan pribadi memberanikan konsumen untuk melakukan komersial Internet.
Satu jejak pendapat mengungkapkan bahwa :
• Hampir dua pertiga dari pengguna non-Internet akan mulai menggunakan
Inter-net jika mereka dapat diyakinkan bahwa informasi pribadi mereka
terlindung.
• Rahasia pribadi adalah atasan nomor satu bahwa individu menghindari
komersial Internet.
Banyak koalisi telah dibentuk untuk mencoba mempengaruhi untuk tindakan
kerahasiaan yang lebih kuat. The Center for Democracy and Technology (CDT),
Electronic Frontier Foundarion (EFF); dan Electronic Privacy Information Center
(EPIF) adalah tiga kelompok terkemuka. Satu aspek dari kerahasiaan pribadi
meliputi cara di mana situs menangkap dan menggunakan "cookies."

Cookies adalah file yang berisi informasi pengguna yang diciptakan oleh
server Web dari situs yang dikunjungi dan kemudian disimpan pada perangkat keras
komputer pengunjung sendiri. Cookies berisi URL dari situs yang dikunjungi oleh
pengguna. Saat situs dikunjungi kembali browser pengguna mengirim cookies
khusus pada server Web. Maksud awal di balik cookies adalah untuk meningkatkan
efisiensi dalam pemrosesan kunjungan kembali pada situs di mana pengguna
diminta untuk mendaftar untuk jasa. Sebagai contoh, pada kunjungan pengguna

Pusat Pengembangan Bahan Ajar - UMB Diah Iskandar SE. M.Si

SISTEM INFORMASI AKUNTANSI 2
pertama kali pada suatu situs tertentu, URL dan (ID) disimpan sebagai suatu
cookies. Pada kunjungan berikutnya, situs mengeluarkan pengenal pengguna,
dengan demikian menghemat pengunjung dari menyesuaikan kembali informasi.

Cookies memungkinkan situs Web untuk tidak mengeluarkan simpanan dari

informasi rutin tentang jumlah pegunjung yang banyak. Adalah jauh lebih efisien bagi
server Web untuk mengeluarkan informasi dari suatu file cookie yang disimpan pada
komputer pengguna daripada mencari seluruh jutaan dari catatan demikian yang
disimpan di situs. Kebanyakan browser memiliki pilihan untuk tidak meng-fungsikan
cookies atau untuk memperingatkan pengguna sebelum menerimanya.

Pertentangan kerahasiaan mengenai cookies berhubungan pada apa yang

di-tangkap dalam suatu cookie dan bagaimana informasi tersebut digunakan.
Sebagai contoh, cookie mungkin digunakan untuk menciptakan suatu profit dari
pilihan peng-guna untuk tujuan pemasaran. Profil dapat didasarkan pada halaman
yang diakses atau pilihan yang dipilih selama kunjungan situs, waktu kunjungan
siang atau malam, lamanya waktu dihabiskan pada situs. Profil dapat juga meliputi
alamat e-mail pengguna, kode pas, nomor telepon rumah, dan informasi lainnya
yang peng-guna bersedia memberikan pada situs.

Cookies dan Keamanan Konsumen. Kekhawatiran lain mengenai peng-

gunaan dari cookies berhubungan pada keamanan. Cookies adalah file teks (.txt)
yang dapat dibaca dengan pengedit teks manapun. Beberapa situs Web menyimpan
password pengguna dalam cookies. Jika password tidak dienkrip (dibahas
kemudian) sebelum disimpan, maka seseorang dengan akses Pada komputer dapat
mengeluar-kan cookies dan password. Dengan demikian, saat suatu komputer di
tempat kerja dibagi oleh berbagai karyawan, file cookies, yang disimpan di direktori
umum, mungkin ditinjau ulang oleh semua pengguna dari komputer.

Suatu bentuk yang berhubungan dengan risiko datang dari situs kriminal atau
situs Web jahat. Saat pengguna melihat-lihat situs, suatu program JavaScript seperti
"Frieburg Bug" dimasukkan ke komputer pengguna. Program secara rahasia
memeriksa hard drive untuk file cookies dan menyalinnya pada situs di mana ini
ditinjau ulang untuk password.
 7

Risiko pada Bisnis

Terdapat suatu kecenderungan untuk berpikir bahwa risiko yang ber-
hubungan dengan Intenet komersial ada sepenuhnya pada pundak konsumen.
Kesatuan bisnis juga berisiko dari penipuan dan kegagalan sistem. IP spoofing dan
penyangkalan dari serangan jasa adalah dua topik penipuan penting diperiksa di
bawah. Bagian ini menyimpulkan dengan suatu diskusi ringkas dari ancaman dari
kegagalan teknologi.

IP Spoofing. IP spoofing adalah suatu bentuk dari penyamaran untuk

mendapatkan akses tidak berwenang pada suatu server Web dan/atau untuk melak-
sanakan suatu tindakan kejahatan berlawanan hukum tanpa mengungkapkan iden-
titas seseorang. Untuk mencapaikan ini pelaku kejahatan menyamar identitasnya
dengan mengganti alamat IP dari server asli dengan server lainnya. Seorang kriminal
mungkin menggunakan IP spoofing untuk membuat suatu pesan tampaknya muncul
dari suatu sumber yang dapat dipercaya atau berwenang dan dengan demikian lewat
melalui sistem kontrol yang didesain untuk menerima transmisi dari tuan rumah
komputer pusat (yang dipercaya) tertentu dan menghalangi yang lain. Teknik ini
dapat digunakan untuk masuk ke dalam jaringan korporasi untuk melaksanakan
kejahatan penipuan, melakukan tindakan mata-mata, atau menghancurkan data.

Penyangkalan dari Penyerangan Pelayanan (Denial of service attack). Suatu

penyangkalan dari penyerangan pelayanan adalah suatu penyerangan pada suatu
server Web untuk mencegahnya dari melayani pengguna. Karena serangan
demikian dapat ditujukan pada setiap jenis dari situs, mereka khususnya meng-
hancurkan kesatuan bisnis yang tidak dapat menerima dan memproses transaksi
bisnis dari pelanggan mereka.

Ketika seorang pengguna menetapkan suatu hubungan pada Internet melalui

TCP lIP, suatu tiga cara jabat tangan terjadi. Server yang terhubung mengirim kode
permulaan yang disebut suatu paket SYN (SYNchronize) pada server penerima.
Server yang menerima kemudian mengakui permintaan dengan mengirim kembali
suatu paket SYN-ACK (SYNchonize-ACKnowledge). Akhirnya mesin tuan rumah
yang memulai menanggapi dan suatu kode paket ACK. Serangan dicapai dengan

Pusat Pengembangan Bahan Ajar - UMB Diah Iskandar SE. M.Si

SISTEM INFORMASI AKUNTANSI 2
tidak mengirim pengakuan final pada respons server SYN-ACK, yang menyebabkan
server terus mengirimkan sinyal untuk pengakuan sampai server kehabisan waktu.

Kegagalan Teknologi. Gangguan pelayanan Web disebabkan oleh kegagalan

perangkat keras dapat menyebabkan organisasi e-bisnis untuk kehilangan baik
kredi-bilitas pelanggan dan pendapatan penjualan. Organisasi yang juga berisiko jika
hubungan jaringan mereka menjadi menurun oleh permintaan yang tidak diduga
yang memenuhi sistem rnereka, Kegagalan demikian menyebabkan kehilangan pen-
dapatan dalam operasi pendek, tetapi dalam operasi panjang baik pelanggan
sekarang dan potensial mungkin berpindan selamanya ke pemasok yang lebih dapat
diandalkan.

Program Kejahatan. Virus dan bentuk lain dari masalah kejahatan seperti
cacing (worms), born logika (logic bombs), and kuda Trojan (Trojan horses) me-
nempatkan suatu ancaman pada baik pengguna Internet dan Intranet. Program
kejahatan adalah, bagaimanapun, tidak secara eksklusif suatu topik komersial elek-
tronik; manajemen database, keamanan sistem operasij dan integritas aplikasi juga
terancam.

Area dari Perhatian Umum

Risiko konsumen khusus dan risiko bisnis yang dialamatkan di atas dapat
diringkas dalam empat area dari perhatian umum yang dibahaskan sebagai berikut.

 Keamanan Data. Istilah keamanan data berhubungan pada tingkat dari per-
lindungan di atas data yang disimpan dan dikirim. Sebelum konsumen dan
mitra perdagangan melakukan bisnis elektronik dengan suatu perusahaan
berdasar-Web, mereka butuh untuk mengetahui tentang kualitas dari
tindakan keamanan yang pada tempatnya untuk melindungi data yang
dikirimkannya. Mereka mem-perhatikan tentang keamanan dari database
internal yang berisi informasi bisnis dan pribadi. Mereka butuh kepastian
bahwa data ini akan dilindungi dari akses yang tidak berwenang dan
kerusakan yang tidak disengaja baik dari pihak luar dan mereka yang berada
dalam organisasi.
 9

Kebijakan Bisnis. Konsumen dan mitra perdagangan E-commerce mem-

perhatikan tentang kebijakan bisnis dari perusahaan dengan siapa mereka me-
lakukan bisnis. Mereka perlu untuk mengetahui apakah kebijakan organisasi di-
nyatakan secara publik dan secara konsisten diikuti. Beberapa dari perhatian
yang lebih umum berhubungan pada kebijakan perusahaan mengenai rekening
dan pembayaran, pengembalian barang dagangan, pengiriman barang, dan pe-
ngumpulan pajak atas penjualan.
 Kerahasiaan Pribadi. Kerahasiaan Pribadi berhubungan pada tingkat dari
ke-rahasiaan yang digunakan suatu organisasi dalam menangani data
pelanggan dan data mitra perdagangan. Kerahasiaan pribadi diterapkan juga
pada data yang dikumpulkan oleh situs dari pengunjung yang bukan
pelanggan sebenarnya. Perhatian khusus termasuk:
• Apakah organisasi memiliki suatu kebijakan kerahasiaan pribadi yang
dinyatakan?
• Apa informasi mengenai pelanggan, mitra perdagangan, dan penunjung
ditangkap oleh perusahaan?
• Apakah organisasi membagi atau menjual informasi pelanggannya, mitra
perdagang-annya, atau pengunjungnya?
• Dapatkah individu dan kesatuan bisnis memeriksa dan memperbaharui informasi
yang ditangkap tentang mereka?
• Mekanisme apa yang ada untuk memastikan aplikasi konsisten dari kebijakan ke-
rahasiaan pribadi yang telah dinyatakan?

 Integritas Proses Bisnis. Kesatuan Proses Bisnis berhubungan pada

akurasi, kelengkapan, dan kosistensi di mana suatu organisasi memproses
transaksi bis-nisnya. Dalam lingkungan EDI tradisional, kepastian tentang
topik ini disediakan melalui suatu perjanjian kemitraan perdagangan yang
dinegosiasikan di muka dari hubungan perdagangan. Dalam lingkungan
organisasi maya yang dinamis, mitra perdagangan potensial membutuhkan
informasi secara cepat karena tidak mungkin ada waktu untuk menegosiasi
suatu perjanjian mitra perdagangan formal. Perhatian proses bisnis
berhubung terutama pada kecukupan kontrol internal. Pertanyaan khusus
yang perlu untuk dijawab termasuk:
• Apakah perusahaan memiliki kontrol yang cukup untuk memastikan
bahwa ini tidak menghilangkan pesanan penjualan?

Pusat Pengembangan Bahan Ajar - UMB Diah Iskandar SE. M.Si

SISTEM INFORMASI AKUNTANSI 2
 • Bagaimana perusahaan memproses informasi penagihan dan rekening?
• Apakah kontrol ada untuk memastikan bahwa pembayaran dicatat
secara akurat dan dalam suatu cara tepat waktu?
• Kontrol apa yang memastikan pesanan pelanggan dikirim pada
waktunya dan benar?

B. KEAMANAN, KEPASTIAN, DAN KEPERCAYAAN

Kepercayaan adalah suatu katalis untuk meningkatkan e-komersial. Baik
konsumen dan bisnis digambarkan pada organisasi yang dianggap memiliki integ-
ritas. Organisasi harus menyampaikan suatu kesan bahwa mereka adalah kompeten
dan melakukan bisnis secara adil dengan pelanggan, mitra perdagangan dan pe-
gawai mereka. Ini merupakan masalah dua-cabang.
- Pertama, perusahaan harus mengimplementasikan infrastruktur teknologi dan
kontrol yang dibutuhkan untuk menyediakan keamanan yang memadai.
- Kedua, perusahaan harus memastikan pelanggan potensial dan mitra
perdagangan bahwa usaha perlindungan memadai ada dan bekerja.

Menurut Forrester Research, organisasi diharapkan untuk menghabiskan se-

jumlah besar dari anggaran keamanan mereka dalam tiga area kunci: enkripsi data,
pembuktian digital, dan firewall.

Enkripsi
Enkripsi adalah pengubahan dari data ke dalam suatu sandi rahasia untuk
penyimpanan dalam database dan transmisi melalui jaringan. Pengirim mengguna-
kan algoritma enkripsi untuk merubah pesan asal (disebut cleartext) ke dalam suatu
ekuivalen yang disandikan (disebut ciphertext). Pada akhir dari penerimaan cipher-
text diuraikan sandinya (dekrip) kembali ke dalam cleartext. Algoritma enkripsi
menggunakan suatu kunci, yang merupakan angka biner yang umumnya dari 40
hingga 128 bits panjangnya. Semakin banyak bit di kunci makin kuat metode enkripsi
tersebut. Kini, tidak ada kurang dari 128-bit algoritma dianggap sangat aman. Dua
metode yang umumnya digunakan oleh enkripsi adalah
- standar enkripsi data (data encryption standar-DES
- enkripsi kunci publik.
 11

Standar enkripsi data

Pendekatan standar enkripsi data menggunakan suatu kunci tunggal yang
dikenal baik oleh pengirim dan penerima dari pesan. Untuk menyandikan suatu
pesan, pengirim menyediakan algoritma enkripsi dengan kuncinya, yang menghasil-
kan pesan ciphertext. Ini dikirim pada lokasi penerima, di mana ini diuraikan sandi-
nya (decoded) menggunakan kunci yang sama untuk menghasilkan suatu pesan
cleartext. Karena kunci yang sama digunakan untuk menyandi dan menguraikan
sandi, kontrol atas kunci menjadi suatu topik keamanan yang penting. Semakin
banyak individu perlu untuk merubah data enkrip, semakinbesar kesempatan bahwa
kunci akan diketahui pada pengacau yang tidak berwenang yang dapat menghenti-
kan suatu pesan dan membacanya, merubahnya, menundanya, atau menghancur
kannya.

Enkripsi Kunci Publik

Untuk mengatasi masalah di atas, teknik enkripsi kunci publik dipikirkan.
Pendekatan ini menggunakan dua kunci berbeda: satu untuk Pesan yang disandikan
dan lainnya untuk menguraikan sandinya. Penerima memiliki suatu kunci privat yang
digunakan untuk menguraikan sandi yang tetap dijaga rahasia. Penyandian adalah
umum dan diterbitkan untuk setiap orang untuk digunakan. Pendekatan ini di-
ilustrasikan dalam Gambar 12-18.

Penerima tidak pernah membutuhkan untuk membagi kunci privat dengan

pengirim, dengan demikian mengurangi kemungkinan bahwa mereka jatuh di tangan
pengacau. Metode enkripsi kunci publik yang paling terpercaya adalah RSA (Rivest-
Shamir-Adleman). Metode ini, namun, secara komputasi intensif dan lebih lambat
dari enkripsi DES. Kadang-kadang, baik DES dan RSA digunakan bersama yang
disebut suatu amplop digital (digital envelope).

Gambar 12-18. Enkripsi Kunci Pokok

0100090000032a0200000200a20100000000a201000026060f003a03574d46430100
00000000010051100000000001000000180300000000000018030000010000006c00
00000000000000000000350000006f00000000000000000000000d3900008e230000
20454d4600000100180300001200000002000000000000000000000000000000401
3000028190000d10000001101000000000000000000000000000068300300682a04

Pusat Pengembangan Bahan Ajar - UMB Diah Iskandar SE. M.Si

SISTEM INFORMASI AKUNTANSI 2
Pembuktian Digital
Tidak semua perhatian keamanan diselesaikan oleh enkripsi sendiri. Sebagai
contoh, bagaimana pemasok (penerima) mengetahui dengan pasti bahwa suatu
pesanan pembelian (pesan) untuk 1.000 unit dari produk dikirim oleh seorang
 13

pelanggan (pengirim) tidak dihentikan oleh seorang hacker selama pengiriman

(transmisi) dan diubah untuk dibaca 100.000? Jika pengubahan ini terjadi tanpa
terdeteksi, pemasok akan mendatangkan biaya tenaga kerja, biaya bahan, biaya
manufakturing, dan biaya distribusi untuk pesanan. Proses peradilan antara pihak
tidak bersalah mungkin terjadi.

Suatu tanda tangan digital adalah suatu teknik pembuktian elektronik yang
memastikan pesan yang dikirim berasal dari pengirim yang berwenang dan ini tidak
dirusak setelah tanda tangan diterapkan. Tanda tangan digital dihasilkan dari suatu
singkatan yang dihitung dengan komputer secara matematik dari dokumen yang
telah dienkrip dengan kunci privat pengirim. Baik tanda tangan digital dan pesan leks
dienkrip menggunakan kunci publik penerima dan dikirimkan pada penerima. Pada
akhir dari penerimaan, pesan didekrip menggunakan kunci privat penerima untuk
menghasilkan tanda tangan digital (singkatan yang dienkrip) dan versi cleartext dari
pesan. Akhirnya penerima menggunakan kunci publik pengirim untuk mendekrip
sinyal digital untuk menghasilkan singkatan. Penerima menghitung kembali
singkatan dari cleartext menggunakan algoritma hashing asli dan membandingkan ini
untuk singkatan yang dikirimkan. Jika pesan ini otentik, dua nilai singkatan akan
sesuai. Jika bahkan satu karakter tunggal dari pesan diubah dalam transmisi, angka
singkat-an akan tidak sama.

Perhatian lain yang dihadapi penerima adalah menentukan apakah suatu

pesan benar-benar berasal dari pengirim yang diharapkan. Sebagai contoh, anggap
pemasok menerima suatu pesanan pembelian dialamatkan dari pelanggan A untuk
100.000 unit produk, yang sebenarnya dikirim dari kriminal komputer yang tidak di-
kenal. Sekali lagi, biaya signifikan ini akan tumbuh pada organisasi pemasok ter-
hadap tindakan pada pesan curang ini.

Suatu sertifikat digital seperti suatu kartu identifikasi elektronik yang diguna-
kan bersama dengan suatu sistem enkripsi kunci publik untuk memeriksa keotentik-
kan dari Pesan pengirim. Juga disebut pengenal digital (digital ID), sertifikat digital
dikeluarkan oleh pihak ketiga yang dipercaya dikenal sebagai certification authorities
(Cas), seperti Veri-Sign, Inc., Mountain View, CA. Sertifikat digital adalah sebenarnya
kunci publik pengirim yang telah ditandatangani secara digital oleh CA. Sertifikat

Pusat Pengembangan Bahan Ajar - UMB Diah Iskandar SE. M.Si

SISTEM INFORMASI AKUNTANSI 2
digital dikirim dengan pesan dienkrip untuk membuktikan pengirim. Penerima meng-
gunakan kunci publik CA untuk dekrip kunci publik pengirim (yang disertakan pada
pesan) dan kemudian menggunakan kunci publik pengirim untuk mendekrip pesan
sebenarnya.

Karena enkripsi kunci publik adalah pusat pada otentik digital, manajemen
kunci publik menjadi suatu pain kontrol penting dalam proses ini. Infrastruktur kunci
publik (Public Key Infrastructure/ PKI) merupakan kebijakan dan prosedur untuk
mengatur aktivitas ini. Suatu sistem PKI terdiri dari:
1. Suatu otoritas sertifikat yang mengeluarkan dan
menarik kembali sertifikat digital
2. Suatu otoritas registrasi (registration authority-RA)
yang memeriksa identitas dari pendaftar sertifikat.
Proses berbeda tergantung pada tingkat dari sertifikasi
yang diinginkan. Ini meliputi penetapan identitas
seseorang dengan dokumen formal seperti izin
mengemudi, notaris, dan cap jempol dan membuktikan
kepemilikan seseorang dari kunci publik.
3. Suatu penyimpanan sertifikasi (certification repository-
CR), database yang secara publik dapat diakses yang
berisi informasi sekarang tentang sertifikat sekarang
dan suatu daftar pembatalan sertifikat (certification
revocation list-CRL) dari ser-tifikat yang telah dicabut
dan atasan untuk pembatalan.

Firewalls
Suatu firewall adalah suatu sistem yang digunakan untuk menyekat suatu
Intranet organisasi dari pengacau luar. Mereka dapat digunakan untuk membuktikan
pengguna luar dari jaringan, memeriksa tingkat dari akses otoritasnya, dan kemudi-
an mengarahkan pengguna pada program, data atau pelayanan yang diinginkan.
Sebagai tambahan untuk menyekat jaringan organisasi dari jaringan luar, firewall
dapat juga digunakan untuk melindungi LAN dari akses internal yang tidak ber-
wenang.
 15

Firewall dapat dikelompokkan ke dalam dua jenis umum: firewall tingkat-

jaringan, dan firewall tingkat-aplikasi. Firewall tingkat-jaringan menyediakan biaya
rendah dan kontrol akses keamanan rendah. Mereka memilih rute pesan pada tujuan
mereka berdasarkan pada sumber dan alamat tujuan yang dilampirkan pada paket
Pesan yang masuk. Firewall tingkat aplikasi menyediakan suatu tingkat tinggi dari
keamanan jaringan yang dapat dipesan, tetapi dapat sangat mahal. Sistem ini di-
konfigurasikan untuk menjalankan aplikasi keamanan disebut proxies yang memung-
kinkan pelayanan rutin seperti e-mail untuk melalui firewall, tetapi dapat melakukan
fungsi yang canggih seperti memeriksa keotentikan pengguna.

Kepastian
Dalam respons terhadap permintaan konsumen untuk bukti bahwa suatu
bisnis berdasarkan Web adalah dapat dipercaya, sejumlah dari organisasi pihak ke-
tiga "yang dipercaya" menawarkan segel dari kepastian yang dapat ditampilkan
bisnis pada home page situs. Untuk secara sah memikul segel, perusahaan harus
menunjukkan bahwa hal ini sesuai dengan praktik bisnis, kemampuan, dan kontrol
tertentu. Bagian ini meninjau enam organisasi yang meninjau segel: Better Business
Bureau (BBB). TRUSTe, Veri-Sign, Inc., International Computer Security Association
(ICSA), AICPA/CICA WebTrust, dan AICPA/CICA SysTrust.

C. IMPLIKASI UNTUK PROFESI AKUNTANSI

Topik yang dibahas dalam modul ini membawa banyak implikasi untuk
auditor dan prolesi akuntansi publik. Bagian ini menyimpulkan suatu pembahasan
dari arah baru untuk teknik auditing, pendidikan auditor, dan kesempatan bisnis
masa depan dan jasa yang timbul dari komersial elektronik.

Suatu Paradigma Audit Baru

Sebagaimana fungsi kunci seperti usaha pengadaan persediaan,
pemrosesan penjualan, pemberitahuan pengiriman, dan pengeluaran dana kas
dilakukan secara otomatis, secara digital, dan dalam waktu sebenarnya, auditor
dihadapkan dengan tantangan dari mengembangkan metode baru dari memantau

Pusat Pengembangan Bahan Ajar - UMB Diah Iskandar SE. M.Si

SISTEM INFORMASI AKUNTANSI 2
dan memeriksa kejadi-an ekonomi. Pendekatan audit setelah fakta tradisional
menambah sedikit nilai dalam dunia maya dari komersial elektronik yang cepat
berubah.

Pengauditan Berkelanjutan (Continuous Auditing)

Teknik pengauditan proses berkelanjutan perlu untuk dikembangkan yang
akan memungkinkan auditor untuk meninjau transaksi pada interval yang sering atau
saat mereka muncul. Untuk menjadi efektif pendekatan semacam ini akan mem-
butuhkan untuk menggunakan agen kontrol intelegen (program komputer) yang
mewujudkan penyelidikan sendiri (heuristics) yang ditetapkan auditor yang mencari
transaksi elektronik untuk keganjilan. Terhadap penemuan kejadian tidak biasa, agen
kontrol akan pertama mencari kejadian yang sama untuk mengidentifikasi suatu pola.
Jika keganjilan tidak dapat dijelaskan, agen memperingatkan auditor dengan suatu
alarm atau laporan perkecualian.

Pengauditan berkelanjutan waktu sebenarnya semakin penting karena pe-

ningkatan kebutuhan untuk menghasilkan informasi keuangan yang akurat dan dapat
diandalkan pada pemberitahuan singkat. Sebagai contoh, organisasi mungkin
membutuhkan untuk menyediakan calon mitra perdagangan dan pemegang saham
lainnya dengan informasi status keuangan sebelum memasuki ke dalam suatu
transaksi bisnis.

Penelusuran Audit Elektronik

Transaksi diproses oleh sistem tradisional ditimbulkan oleh dokumen sumber
yang meninggalkan suatu jejak audit kertas, yang dapat ditinjau dengan mengguna-
kan teknik audit tradisional. Dalam suatu lingkungan EDI, transaksi elektronik dihasil-
kan secara otomatis oleh suatu komputer mitra perdagangan, disiarkan oleh VAN,
dan diproses oleh komputer klien tanpa campur tangan manusia. Karena tidak ada
jejak audit kertas, auditor harus melakukan teknik non tradisional. Memberlakukan
transaksi demikian mungkin melibatkan klien, mitra perdagangan, dan jaringan nilai
tambah (value-added networks-VANs) yang menghubungkan mereka. Dalam pe-
netapan ini audit mungkin diperluas pada sistem penting dari pihak yang terlibat
dalam transaksi. Ini dapat mengambil bentuk dari peninjauan langsung dari sistem ini
 17

atau suatu kerja sama antara auditor dari mitra perdagangan dan VAN.

Keahlian Baru Dibutuhkan oleh Auditor dari Klien Lebih Kecil

Di masa lalu, tantangan dari mengaudit EDI dan bentuk lain dari transaksi
elektronik dibatasi pada perusahaan lebih besar dengan klien yang lebih besar.
Akses pada Internet telah memungkinkan organisasi yang jauh lebih kecil untuk
melakukan EDI dengan mitra perdagangan dan komersial berdasar Web dengan
konsumen. Perusahaan akuntansi yang umumnya lebih kecil yang melayani
organisasi ini sekarang akan membutuhkan untuk mengaudit transaksi tanpa kertas.
Keberhasilan mereka akan sebagian bergantung pada kemampuan mereka untuk
menarik suatu keturunan baru dari lulusan akuntansi yang akan memiliki keahlian
teknikal yang kuat.

Keahlian yang dibutuhkan untuk berprestasi dalam lingkungan baru ini akan
meliputi pengetahuan dari sistem operasi, pemrograman komputer, teknologi jaring-
an dan teknik keamanan seperti firewall dan teknik otentikasi. Keahlian ini juga
penting untuk menyediakan jasa kepastian WebTrust dan SysTrust. Keturunan baru
dari akuntan adalah lebih berhubung pada seorang ahli komputer daripada seorang
pemegang buku.

Penetapan Ulang Dari Perhatian Pengauditan Tradisional

Perhatian dari audit tradisional berhubungan dengan kerahasiaan dari data
klien, otentikasi dari transaksi, tanpa penyangkalan (non-repudiation) dari transaksi,
integritas data, dan kontrol akses mengambil arti baru dalam lingkungan komersial
elektronik.

Kerahasiaan dari Data

Sebagaimana desain sistem semakin membuka untuk mengakomodasi trans-
aksi mitra perdagangan, informasi misi penting ada dalam risiko dari terbuka ter-
hadap pengaeau baik dari dalam dan luar organisasi. Akuntan perlu untuk mema-
hami teknik kriptografik yang digunakan untuk menjaga kerahasiaan dari data yang
disimpan dan dikirim. Mereka perlu untuk mengakses kualitas dari alat enkripsi yang
digunakan dan efektivitas dari prosedur manajemen kund yang digunakan oleh

Pusat Pengembangan Bahan Ajar - UMB Diah Iskandar SE. M.Si

SISTEM INFORMASI AKUNTANSI 2
otoritas sertifikasi. Lebih jauh, istilah misi-penting (mission-critikal) mendefinisikan
suatu kumpulan dari informasi yang memperluas melebihi perhatian keuangan tradi-
sional dari akuntan. Kumpulan lebih luas ini menetapkan permintaan suatu pende-
katan holistik yang lebih untuk mengakses kontrol internal yang memastikan kera-
hasiaan dari data.

Pembuktian (Authentication)
Dalam sistem tradisional, pembuktian dari suatu pesanan penjualan dari
suatu mitra perdagangan atau pelanggan ditentukan oleh kertas bisnis di mana ini
ditulis. Dalam sistem komersial elektronik, penentuan identitas dari pelanggan bukan
merupakan suatu tugas mudah. Dengan tanpa bentuk fisik untuk meninjau dan
menyetujui, pembuktian dicapai melalui tandatangan digital dan sertifikat digital.
Akuntan harus mengembangkan dan mengerti teknologi ini dan aplikasi mereka
untuk melakukan fungsi kepastiannya.

Tanpa penyangkalan (nonrepudiation)

Akuntan bertanggung jawab untuk mengakses akurasi, kelengkapan, dan
validasi transaksi yang terdiri dari penjualan klien, piutang dagang, pembelian, dan
kewajiban. Transaksi dapat secara sepihak disangkal oleh seorang mitra perdagang-
an dapat mengarah Pada pendapatan yang tidak tertagih atau tindakan hukum.
Dalam sistem tradisional, faktur yang ditandatangani, perjanjian penjualan, dan
dokumen fisik lainnya menyediakan bukti bahwa suatu transaksi terjadi. Seperti
halnya dengan masalah dari pembuktian, sistem komersial elektronik dapat juga
menggunakan tandatangan digital dan sertifikat digital untuk meningkatkan tanpa
penyangkalan. Teknologi ini memiliki implikasi khusus untuk profesi akuntansi.
Karena perusahaan akuntansi publik menikmati suatu tingkat tinggi dari kepercayaan
publik, mereka secara alami kandidat untuk otoritas sertifikasi.

Integritas Data
Suatu transaksi tanpa penyangkalan dari seorang mitra perdagangan otentik
mungkin masih dihentikan dan dibuat tidak akurat di dalam suatu cara penting.
Dalam suatu lingkungan berdasarkan kertas, seperti pengubahan adalah mudah
 19

untuk dideteksi. Transmisi digital, namun, memiliki lebih banyak masalah. Untuk
menilai integritas data, akuntan harus mengenal konsep dari perhitungan suatu
intisari dari suatu dokumen dan peranan dari tanda tangan digital di transmisi data.

Kontrol Akses
Kontrol perlu Pada tempatnya yang mencegah atau mendeteksi akses yang
tidak berwenang pada suatu sistem informasi organisasi. Organisasi yang sistemnya
dihubungkan pada Internet adalah risiko terbesar dari pengacau luar. Perusahaan
akuntansi harus menjadiahli dalam menilai kontrol akses klien. Banyak perusahaan
sekarang melakukan uji penetrasi, didesain untuk menilai kecukupan dari kontrol
akses klien mereka dengan meniru teknik yang dikenal yang digunakan oleh hacker
dan cracker

Pengembangan Dari Lini Bisnis Dan Jasa Baru

Komersial elektronik menciptakan sejumlah dari masalah bisnis baru di mana
profesi akuntansi publik diposisikan dengan baik untuk dimanfaatkan. Beberapa me-
nyangkut penilaian keterandalan sistem (SysTrust) untuk maksud tidak membukti-
kan, dan analisis risiko situs Web dan kepastian (Web Trust). Kesempatan lain yang
membawa profesi ke dalam area baru termasuk :
• Menyediakan jasa pemrosesan transaksi elektronik untuk organisasi yang
mem-butuhkan untuk mencari sumber luar fungsi ini.
• Mengembangkan, membuktikan, dan menyimpan tanda tangan digital yang
di-gunakan dalam transaksi elektronik.
• Menyediakan jasa otoritas sertifikat.

Suatu Lingkungan Sah Yang Berubah

Akuntan secara tradisional telah melayani klien mereka dengan menilai risiko
(baik bisnis maupun hukum) dan merancang teknik untuk mengurangi dan me-
ngontrol risiko. Peranan penilaian risiko sangat diperluas oleh komersial Internet,
yang kerangka kerja hukumnya masih berkembang dalam lingkungan bisnis penuh
dengan risiko baru dan tak terduga. Untuk memperkirakan penyingkapan kliennya
pada kewajiban secara hukum dalam penetapan ini, laporan publik harus mengerti

Pusat Pengembangan Bahan Ajar - UMB Diah Iskandar SE. M.Si

SISTEM INFORMASI AKUNTANSI 2
implikasi hukum potensial (baik domestik dan internasional) dari tindakan yang
diambil oleh sistem komersial elektronik klien. Tindakan menciptakan suatu halaman
Web dari mana pelanggan mungkin memesan barang membuka organisasi pada
komunitas bisnis nasional dan internasional dan juga membuka pada kemungkinan
peraturan hukum konflik yang berganda. Topik hukum yang berhubungan pajak,
kerahasiaan pribadi, keamanan, hak kepemilikan intelektual, dan pencemaran nama
baik adalah perhatian khusus. Sebagai contoh, jika suatu perusahaan memiliki
kantor pusat korporasi dan gudang persediaan di satu negara dan sistem
pemrosesan transaksi Internetnya di tempat lain, dimanakah asal penjualan untuk
maksud pajak?

Topik hukum yang berhubungan dengan elektronik komersial punya dan akan
berlanjut menciptakan kesempatan baru untuk profesi. Perusahaan akuntansi akan
perlu untuk memberkan kliennya dengan saran yang cepat dan akurat pada suatu
rentang yang luas dari pertanyaan hukum. Dalam menanggapi permintaan untuk
pelayanan demikian, perusahaan besar seperti Pricewaterhouse Coopers
memperluas persediaan mereka dari bakat hukum internasional.

********************