MAKALAH AUDIT SISTEM INFORMASI

RESIKO E-BISNIS

Dosen Pengampu:
Dr. EMRINALDI NUR DP, SE,AK,M.SI,CA

Disusun Oleh Kelompok 6

PROGRAM STUDI MAGISTER AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS RIAU
APRIL 2023

1
 KATA PENGANTAR

Puji dan syukur kepada Tuhan Yang Maha Esa atas rahmat-Nya yang telah
dilimpahkan kepada Tim Penulis dapat menyelesaikan makalah yang berjudul
“Resiko E-Bisnis”.

Dalam menyelesaikan makalah ini, kami mendapat bantuan dan masukan

dari berbagai pihak. Oleh karena itu, kami ucapkan terima kasih kepada :

1. Dr. Emrinaldi Nur DP, SE, AK, M.Si, CA selaku Dosen Mata kuliah Audit
Sistem Infromasi Universitas Riau yang telah memberikan tugas ini sehingga
pengetahuan kami semakin bertambah dan sangat bermanfaat bagi pembuatan
makalah selanjutnya.
2. Teman-teman yang telah membantu dan memberikan dorongan semangat
agar makalah ini dapat diselesaikan
Penyusunan makalah ini masih jauh dari kesempurnaan, kritik dan saran yang
bersifat membangun akan Tim Penulis terima dengan senang hati. Semoga
bermanfaat bagi pihak-pihak yang memerlukan.

Pekanbaru, April 2023

Tim Penulis

2i
 DAFTAR ISI

KATA PENGANTAR ........................................................................................ i

DAFTAR ISI ...................................................................................................... ii

BAB I PENDAHULUAN

1.1 Latar Belakang ............................................................................................ 1

1.2 Rumusan Masalah ....................................................................................... 2
1.3 Tujuan ......................................................................................................... 2

BAB II PEMBAHASAN

2.1 Model E-Bisnis.............................................................................................. 3

2.2 Teknologi E-Bisnis........................................................................................ 4

2.2.1 Protokol, Software Dan Hardware ........................................................ 4
2.2.2 Html Dan Xml ....................................................................................... 5
2.3 Pemahaman Resiko E-Bisnis ........................................................................ 5
2.3.1 Privasi Dan Keyakinan .......................................................................... 6
2.3.1.1 Aturan privasi............................................................................ 7
2.3.1.2 Peralatan Tracking Internet ....................................................... 9
2.3.2 Keamanan Informasi Dan Pemeliharaan Ketersediaan Sistem ........... 10
2.3.2.1 Mengamankan Informasi E-Bisnis Melalui Enkripsi ............. 10
2.3.2.2 Keamanan Pembayaran Elektronik ......................................... 11
2.3.2.3 Keamanan Server Web ......................................................... 12
2.3.2.4 Ketersediaan Dan Ketahanan Sistem ...................................... 12
2.3.3 Integritas Transaksi Dan Kebijakan Bisnis ......................................... 14
2.4 Aplikasi E-Bisnis Khusus - EDI ................................................................. 17
2.4.1 Penggabungan Commerce ................................................................... 18
2.4.2 Keamanan E-Mail Dan Privasi ............................................................ 18
2.5 Mengelola Penyedia Pihak Ketiga .............................................................. 19
2.6 Layanan Asuranse Pihak Ketiga ................................................................. 21

3ii
BAB III PENUTUP

3.1 Kesimpulan ................................................................................................ 23

DAFTAR PUSTAKA ...................................................................................... 24

4iii
 BAB I
PENDAHULUAN

1.1 Latar Belakang

Sistem keamanan e-bisnis lebih berisiko daripada bisnis manual atau
tradisional. Dunia e-bisnis sangat rentan terhadap resiko-resiko yang dikarenakan
banyaknya bisnis yang menggunakan sistem e-bisnis baik pelanggan, pemasok
maupun karyawan. Dalam sistem e-bisnis hacker merupakan salah satu ancaman
besar keamanan sistem keamanan yang bersifat pribadi dan rahasia. Perdagangan
elektronik (e-bisnis) melibatkan penggunaan teknologi internet, sistem jaringan,
dan pemrosesan dan transmisi data elektronik. E-bisnis mewadahi aktivitas-
aktivitas yang beragam, termasuk perdagangan barang dan jasa secara elektronik,
pengiriman online produk digital, transfer dana elektronik (electronic funds
transfer / EFT), perdagangan saham secara elektronik dan pemasaran langsung ke
pelanggan. Dipacu oleh perdagangan saham secara elektronik dan pemasaran
langsung ke pelanggan. Dipacu oleh revolusi internet. E-bisnis secara dramatis
memperluas dan mengalami perubahan radikal.
Meskipun e-bisnis menjanjikan kesempatan yang sangat besar untuk
pelanggan dan bisnis, implementasi dan pengendaliannya yang efektif adalah
tantangan mendesak bagi manajer organisasi dan auditor. Bila e-bisnis berarti
menggunakan TI untuk membeli dan menjual barang dan jasa secara elektronik
maka e-bisnis lebih luas maknanya, tidak hanya meliputi pertukaran barang dan
jasa, tapi juga semua bentuk bisnis yang dilakukan menggunakan transmisi data
dan informasi secara elektronik (electronic data interchange/EDI) oleh
perusahaan-perusahaan untuk saling bertukar data bisnis. Perusahaan-perusahaan
menggunakan EDI untuk mempercepat proses pembelian dan penagihan dalam
manajemen rantai persediaan. Pada awalnya aplikasi EDI menggunakan jalur
telekomunikasi biasa. Kemudian, muncul perusahaan-perusahaan yang khusus
bergerak di bidang value added network (VAN) untuk EDI yang menciptakan
jaringan privat antar perusahaan. Dengan revolusi internet, perusahaan beralih
menerapkan EDI menggunakan internet dan tidak lagi bergantung pada VAN.

1
1.2 Rumusan Masalah
a. Apa Yang Dimaksud Dengan Model E-Bisnis ?
b. Apa Yang Menjadi Teknologi E-Bisnis ?
c. Apa Yang Harus Dipahami Pada Resiko E-Bisnis ?
d. Apa Yang Menjadi Aplikasi Khusus E-Bisnis ?
e. Bagaimana Mengelola Penyedia Pihak Ketiga ?
f. Bagaimana Layanan Asuranse Pihak Ketiga ?

1.3 Tujuan Penulisan

a. Untuk Memahami Model E-Bisnis.
b. Untuk Memahami Teknologi E-Bisnis.
c. Untuk Memahami Resiko E-Bisnis.
d. Untuk Memahami Aplikasi Khusus E-Bisnis.
e. Untuk Memahami Penyedia Pihak Ketiga.
f. Untuk Memahami Layanan Pihak Ketiga.

2
 BAB II
PEMBAHASAN
2.1 Model E-bisnis
Istilah e-bisnis" dan "e-commerce" tidak benar-benar memiliki arti yang sama. E-
commerce berarti menggunakan TI untuk membeli dan menjual barang dan jasa secara
elektronik. E-bisnis adalah istilah yang lebih luas, tidak hanya mencakup pertukaran barang
dan jasa. tetapi juga semua bentuk bisnis yang dilakukan menggunakan transmisi data dan
informasi elektronik. Misalnya, e-bisnis termasuk menggunakan Internet atau intranet untuk
pelatihan karyawan atau dukungan pelanggan.
E-bisnis dimulai ketika pelanggan dan pemasok mengakui keuntungan dari pertukaran
dokumen seperti pesanan pembelian dan faktur secara elektronik, daripada melalui layanan
pos. Pertukaran data elektronik (EDI) ini dapat mempercepat pemesanan dan pemenuhan
secara dramatis. Munculnya Internet memungkinkan bisnis, organisasi, dan individu untuk
menerbitkan halaman World Wide Web dan berkomunikasi dengan pengguna yang lebih
luas. Pada awalnya, halaman Web adalah cermin dari dokumen kertas. Tetapi dengan
meningkatnya kecanggihan, pengguna menyadari bahwa ada hal-hal yang dapat mereka
lakukan dengan halaman Web yang tidak mungkin dilakukan dengan media kertas. Misalnya,
mereka dapat menangkap informasi tentang berapa kali seseorang mengakses halaman Web
(jumlah klik). Mereka juga dapat meminta informasi dari mereka yang membaca halaman
Web. Ketika pengguna internet dan pengembangan halaman Web berkembang, manajer
belajar untuk memanfaatkan sifat unik Internet dalam banyak hal. Misalnya, pengecer
menyadari bahwa mengubah harga suatu barang memerlukan beberapa penekanan tombol di
Internet dibandingkan dengan mencetak ulang materi promosi dan daftar harga di lingkungan
offline. Transparansi Internet, atau kemampuan untuk berbagi informasi secara instan secara
massal, juga menciptakan pasar yang hampir sempurna efisien untuk barang suatu layanan.
Tahap selanjutnya dalam evolusi e-bisnis adalah mendistribusikan penggunaannya ke seluruh
organisasi. Merupakan bentuk intranet. Bisnis menciptakan internet internal ini untuk
memungkinkan karyawan saling berkomunikasi dan bertukar informasi. Layanan mandiri
karyawan adalah contoh fungsional intranet. Melalui jaringan internal, karyawan dapat
mengisi formulir pengeluaran, mengubah informasi pengurangan pajak mereka, mengajukan
asuransi, meminta waktu liburan, dan sebagainya.
Begitu perusahaan menguasai komunikasi internal melalui intranet, mereka beralih ke
luar. Tautan ke pelanggan muncul lebih awal-dengan halaman Web pertama. Hubungan
rantai pasokan lainnya terjadi pada tahap evolusi berikutnya ketika bisnis mulai memperluas
koneksi ke pemasok, pelanggan, dan distributor. Termasuk menambahkan fungsional
manajemen rantai pasokan (SCM) dan manajemen hubungan pelanggan (CRM). Portal
memungkinkan pelanggan dan pemasok untuk terhubung lebih dekat dengan suatu
perusahaan.
Keadaan e-bisnis saat ini merupakan c-bisnis sebenarnya, di mana "c" adalah singkatan
dari kolaboratif. Dalam c-business, batas-batas diantara perusahaan semakin buram. Bisnis di
atas dan di bawah rantai pasokan bekerja sama untuk mencapai tujuan yang memaksimalkan
profitabilitas keseluruhan. Misalnya, di dunia "nyata", pelanggan C melakukan pemesanan
dengan Perusahaan B. Perusahaan B kemudian meminta pasokan dari Pemasok A. Pemasok

3
A menyediakan barang ke B, yang mendistribusikannya ke C. Pada c-commerce "virtual",
Pelanggan c mungkin berperspektif demikian, tetapi pada kenyataannya pesanan Pelanggan C
akan melalui B ke A secara real time. B hanya terlibat selagi hal tersebut menambah nilai
pada bahan Pemasok A atau untuk membantu A dan C untuk berkumpul.

Berikut gambaran Evolusi E-bisnis (Figur 2-1 Evolusi E-bisnis):

Tahap I - EDI
Dokumen sumber pertukaran elektronik antara pembeli dan penjual

Tahap II - Halaman Web

Pengembangan halaman web yang mencerminkan paper documents

Tahap III-Aktif
Pengembangan situs Web yang menggunakan fitur komunikasi lnternet

Tahap IV-Intranet
Penggunaan kemampuan Internet untuk meningkatkan bisnis dalam organisasi

Tahap V-Rantai Pasokan

Penggunaan kemampuan Internet untuk meningkatkan bisnis di seluruh rantai pasokan

Tahap VI-Perdagangan Kolaboratif

Penggunaan kemampuan Internet untuk menjalankan bisnis "secara virtual"

2.2 Teknologi E-bisnis

Internet merupakan jaringan perangkat keras, perangkat lunak dan sistem komunikasi
dengan banyak fitur jaringan. Faktanya, internet merupakan jaringan terbesar di dunia,
menghubungkan ribuan sistem komputer jaringan lain. Berbisnis melalui internet
membutuhkan berbagai protokol khusus, perangkat lunak, serta browser dan server. Selain
itu, e-bisnis membutuhkan bahasa perangkat lunak khusus.

2.2.1 Protokol, Software Dan Hardware

Salah satu yang paling banyak digunakan dari semua protokol adalah Transmission
Control Protocol/internet Protocol (TCP/IP). TCP/IP memungkinkan komunikasi antar
mode internet, dan setiap komputer atau jaringan yang terhubung ke lnternet harus
mendukung. Setiap transmisi pesan melalui Internet memerlukan alamat IP untuk
pengirim dan penerima. Alamat IP adalah terjemahan numerik dari alamat teks. Alamat
IP mencakup informasi sumber dan tujuan. Setiap alamat unik dan terdiri dari jaringan
dan alamat host. Panjang alamat IP bervariasi, tergantung pada klasifikasi. Misalnya,
alamat IPv4 Kelas A adalah untuk organisasi yang sangat besar yang perlu
mengidentifikasi banyak jaringan dan host komputer; Faktanya, kelas ini dapat

4
 menampung lebih dari enam belas juta komputer host. Contoh alamat lP adalah
251.36.220.5. Kelompok angka pertama mengidentifikasi wilayah geografis, kelompok
berikutnya adalah untuk entitas organisasi tertentu, kelompok ketiga adalah kelompok
komputer atau identifikasi jaringan, dan angka terakhir merujuk pada komputer tertentu.
Akhirnya, alamat IP mungkin statis atau dinamis. Alamat IP statis ditetapkan dan tetap
sama dari satu sesi komputasi ke sesi komputasi lainnya. Dengan pendekatan
pengalamatan dinamis, komputer, bertipe klien, menerima alamat IP baru untuk setiap
sesi komputasi. Server dapat mempertahankan seperangkat alamat dinamis untuk tujuan
ini.
Berdasarkan TCP/IP, internet mendukung protokol lain untuk tugas-tugas khusus.
Hypertext transmission protocol (HTTP) adalah salah satunya. HTTP adalah seperangkat
aturan standar yang mengatur transmisi data melalui World Wide Web, komponen grafis
internet.
Komponen perangkat keras utama dalam e-commerce adalah server web, yang
menghosting halaman web organisasi dan program yang mendapat permintaan jaringan
dan mengirim kembali file HTML secara bertanggung jawab. Halaman-halaman ini
dalam format bahasa markup hypertext. Server web mengirim dan menerima pesan dari
pengguna dalam format pesan HTTP.

2.2.2 HTML dan XML

HTML adalah bahasa format yang menentukan penyajian informasi melalui world
wide web. Tidak diragukan lagi bahwa HTML telah menjadi dasar bagi perkembangan
internet. Namun, E -business membutuhkan bahasa lain untuk memungkinkan transmisi
dan manipulasi informasi di seluruh jaringan internet. Bahasa ini adalah perpanjangan
markup language (XML)yang memungkinkan.
Karena sistem aplikasi menyimpan data dalam berbagai format, internet
membutuhkan bahasa umum untuk berkomunikasi dan memanipulasi informasi. Dengan
mengkonversi data ke format XML umum, sistem komputer yang berbeda dapat bertukar
data lebih mudah daripada lainnya. Database juga dapat menyimpan data dalam format
xml, yang memungkinkan aplikasi yang berbeda untuk mengambil dan bertukar data
dengan mudah.
Seperti HTML, XML adalah bahasa markup. Menggunakan tag untuk
menggambarkan elemen data. Tidak seperti HTML, tag ini menjelaskan data daripada
hanya menggambarkan bagaimana data harus disajikan.misalnya, tag HTML untuk 30
September 2003, mungkin membaca <body>, menunjukkan bahwa tanggal akan disajikan
dalam badan teks yang akan dilihat browser web. HTML menjelaskan bagaimana data
ditampilkan. Tag XML untuk tanggal yang sama mungkin bertuliskan <date>, yang
menjelaskan arti data.

2.3 Pemahaman Resiko E-bisnis

5
E-bisnis menyaratkan persetujuan syarat pada beberapa bagian sistem informasi organisasi,
karenanya terdapat ancaman auterisasi akses. Penggunaan server web harus membatasi
akses, meskipun hacker tetap berusaha mengakses walau dengan keamanan jaringan yang
tinggi. Serta beragam variasi resiko e-bisnis sejalan dengan evolusi. Singkatnya, ketika
organisasi mengatur publikasi materi marketing sederhana di web, berkemungkinan dihack.
Web aktif, kostumer dan supplier membeli dan menjual online adalah subjek yang
mengancam interupsi layanan. Pada e-commerce, interupsi layanan akan menimbulkan
penghentian bisnis.

Pembahasan berfokus pada resiko dan pengontrolan yang berasosiasi dengan beberapa
kategori resiko terkait e-bisnis. Privasi dan keyakinan, keamanan dan ketersediaan, integritas
transaksi dan aturan bisnis.

2.3.1 Privasi dan Keyakinan

Privasi memfokuskan pada proteksi yang menguntungkan untuk kesopanan informasi,

termasuk informasi personal dan yang terkait pertukaran atau transaksi. Proteksi mungkin
berlawanan dengan akses yang tidak diautorisasi, atau mungkin aturan untuk meyakinkan
bahwa pengakses tidak menggunakan informasi untuk tujuan selain yang diizinkan.
Keyakinan sama seperti privasi, kecuali pada focus informasi yang spesifik yang didesain
untuk keyakinan atau rahasia.

Privasi dan keyakinan secara ekstrim sangat penting pada e-bisnis dengan tiga alasan.
Pertama, e-bisnis menyediakan peluang untuk mengumpulkan lebih banyak data buyer dan
pembeli daripada yang mungkin pada tembok dan adukan mortar. Kedua, internet
memungkinkan pemisahan informasi pada lebih banyak orang dengan lebih mudah dibanding
saluran komunikasi lainnya. Terakhir, informasi pertukaran e-bisnis memungkinkan tanpa
pengetahuan penyedia informasi. Misalnya, pembelian online, pelanggan menyediakan
demografik dan informasi kartu kredit penjual. Hal ini jelas, dan pelanggan peduli pada
informasi personal mereka. Bagaimanapun, pelanggan juga menyediakan informasi bagian
secara mendasar. Singkatnya, laman web site retail pelanggan menyediakan informasi
tentang pola pembelanjaan pelanggan. Secara berkala web browser mengakses laman, server
mencatat akses log file. Kasus poin 2-1 menjelaskan isu privasi pada e-bisnis.

Kasus 2-1

Citibank, dalam peningkatan komunikasi elektronik dengan pelanggan, menyewa Acxiom

Corp. untuk mengumpulkan alamat email kartu kredit pelanggan. Bank tersebut kemudian
menyandingkan teknologi touchwood, inc untuk mengirim email pada pelanggan,
menanyakan akses pada akun pelanggan baik secara online ataupun melalui email. Inisiatif
inilah yang membuat pemusatan privasi memulai perhatian privasi karena sangatlah mungkin

6
bahwa alamat email bukanlah pemegang akun, karena itu beresiko pengungkapan data
keuangan yang sensitive pada oknum yang salah.

Banyak individu mengira privasi bukanlah hal penting karena tidak ada rahasia. Sayangnya,
tidak seperti pada kasus. Orang yang berhati-hati pada email mereka tidak akan membiarkan
email tersebut diekspos. Begitupun dengan bagaimana mereka menggunakan waktunya untuk
online-serta web yang diakses.

Kebanyakan transaksi mengesampingkan privasi, dikarenakan pertukaran antara privasi dan

personalisasi. Dengan memberikan informasi, memungkinkan bisnis untuk lebih memahami
kebutuhan konsumen. Aturan ini menjadi pilihan individu. Seseorang mungkin menyukai
toko buku online yang menawarkan buku berlandaskan pilihan pembelian. Sebaliknya, kesan
dunia yang mengerikan pada movie “Minority Report”. Kasir masa depan yang melayani
pelanggan secara personal dan menampilkan pemahaman terhadap pelanggan melalui riwayat
pribadi yang secara personalisasi tidak menghilangkan privasi pada level tertentu.

Juga terhadap pertukaran antara privasi dan keamanan. Agensi pemerintah dan polisi
menentang perdebatan bahwa mereka membutuhkan informasi untuk penyediaan keamanan.
Singkatnya, demi mengikuti jejak teroris biro imigrasi dan pelaksanaan undang-undang bea
cukai harus berhati-hati dalam memantau perubahan pengunjung pada negara tersebut.
Berdasarkan UU teroris 11 September, kebanyakan warga Amerika bersedia
mengesampingkan privasi.

Secara individu, resiko privasi yang dihadapi dengan memadukan level e-commerce dari
malu sederhana untuk mengidentifikasi pencuri. Pada entitas bisnis, resiko privasi
berketahanan dalam bentuk litigasi untuk autorisasi temuan pada informasi meyakinkan atau
kehilangan informasi kompetitif. Figure 2-3 menjelaskan beberapa indicator resiko terkait
privasi dan keyakinan. Pembahasannya terkait dengan privasi yakni aturan privasi dan
tracking internet.

2.3.1.1 Aturan privasi

Banyak entitas yang mengatur e-bisnis dengan aturan privasi. Aturan tersebut menyediakan
dua tujuan utama. Pertama, melindungi entitas karena aturan tersebut menerangkan dengan
jelas bagaimana perlakuan pada informasi kesopanan. Berikutnya, aturan tersebut menjamin
partner bisnis akan informasi yang akan digunakan. Auditor TI dipengaruhi dalam
penyusunan aturan atau pengevaluasian.Terdapat beberapa elemen pada aturan privasi.
Termasuk laporan umum, menjelaskan informasi yang dikumpulkan dari laman, penggunaan
informasi.

Bagian pertama pada aturan privasi umum menjelaskan filosofi entitas tentang privasi.
Catatan aturan perusahaan elektrik umum menyampaikan focus pada privasi dan
menyediakan beberapa jaminan tentang informasi personal.

7
Misalnya Perusahaan Elektrik Umum berkomitmen untuk memproteksi informasi personal
yang disediakan. Secara bagian, kami mempercayai bahwa penting bagi Anda
untuk mengetahui perlakuan informasi yang tersedia tersebut.

Perusahaan tersebut tidak memiliki aturan privasi.

Perusahaan menyimpan data yang tidak diperlukan pada proses transaksi.
Level proteksi yang kurang memuaskan tentang aturan privasi.
Perusahaan menggunakan cookies utama
Perusahaan memperbolehkan cookies pihak ketiga.
Transmisi dari dan untuk perusahaan tidak terenkripsi.
Perusahaan tidak menjanjikan untuk membagikan data pada pihak ketiga
Figur 2-3 Resiko indicator privasi e-bisnis dan keyakinan

Bagian lain aturan privasi menjelaskan informasi yang dikumpulkan dari web yang diakses.
Catatan beberapa tampilan pada aturan perusahaan elektrik umum. Aturan tersebut secara
eksplisit menjelaskan bahwa server web tidak berisi informasi individu tanpa izin. Juga
tersedia laporan terkait akses web oleh anak-anak.

Misalnya Umumnya, Anda bisa mengunjungi web tanpa menginformasikan siapa anda atau
mengungkapkan informasi pribadi. Server web mengumpulkan nama domain,
bukan alamat email pengunjung. Lebih lanjut, ada bagian dari web yang
mengharuskan pengumpulan informasi personal dengan tujuan spesifik, seperti
penyediaan informasi tertentu yang diminta….

… keragaman penyediaan web, kami memerlukan pengumpulan informasi tentang

gender dan etnik, misalnya bisnis yang dimiliki wanita. Web ini tidak diintensikan
oleh pengguna di bawah 13 tahun. Mereka tidak mengumpulkan informasi
personal dari atau tentang anak bawah umur, dan tidak mengetahui produk dan
layanan terkait.

Aturan privasi bukan hanya menjelaskan informasi apa yang dikumpulkan, tetapi informasi
yang digunakan. Aturan perusahaan elektrik umum menjelaskan kegunaan informasi sebaik
perusahaan menginformasikan. Pada akhir bagian menjelaskan bagian bisnis yang
mengharuskan registrasi.

Misalnya informasi nama domain yang dikumpulkan tidak digunakan secara personal untuk
mengidentifikasi pengguna dan merupakan agregasi untuk mengukur jumlah
pengunjung, rata-rata waktu yang dihabiskan pada web, laman yang dilihat, dsb.
Perusahaan menggunakan informasi untuk mengukur penggunaan web dan untuk
meningkatkan isi web… Biasanya, perusahaan menggunakan informasi personal
yang tersedia hanya untuk merespon pemeriksaan dan permintaan pengguna
(seperti menerima laporan tahunan elektrik atau untuk menambahkan database
ragam supplier). Informasi ini mungkin diinformasikan oleh perusahaan elektrik
general lain, namun hanya jika diperlukan. Perusahaan menginformasikan
informasi yang tersedia jika perusahaan menggunakan jasanya. Vendor tersebut
menggunakan informasi hanya terkait layanan. Perusahaan tidak membagikan,
menjual atau menyewakan informasi tentang Anda kepada pihak ketiga untuk
8
 penggunaan marketing… Anda harus mereview kebijakan privasi terkait web
bisnis perusahaan umum tentang informasi lebih lanjut dan praktek privasi.

Kebijakan privasi mungkin meliputi beberapa bagian dalam penambahan tiga bagian utama
yang dijelaskan. Pada perusahaan elektrik umum, laporan termasuk cookies, bagaimana link
web dengan web lain (web partner bisnis), keamanan pengumpulan informasi, kemampuan
untuk mengakses informasi yang disediakan pada web, informasi kontak, dan catatan tentang
frekuensi perubahaan pernyataan kebijakan privasi.

2.3.1.2 Peralatan Tracking Internet

Bisnis dan software aplikasi menggunakan peralatan tracking internet untuk memantau
perilaku melalui internet. Dua peralatan ini merupakan log dan cookies. Server web membuat
rekaman browsing setiap pengguna pada laman internet. Rekaman ini disebut file log,
merupakan kunci nyata bahwa “seseorang selalu menonton” ketika sedang menggunakan
internet. Kebanyakan, tidak seorang pun yang memperhatikan dan file log tidak penting.
Kadang, bagaimanapun, informasi mungkin berguna untuk berbagai tujuan. Misalnya,
beberapa karyawan ditegur atau diberhentikan setelah ditemukan file log kunjungan pada
web hiburan selama jam kerja. File log merupakan dokumen legal dan digunakan untuk
membantah individu di pengadilan.

Data pada log file berdasarkan jenisnya termasuk nama dan alamat IP pengguna komputer,
waktu permohonan, web yang diminta, dan URL laman sebelumnya yang dikunjungi. URL
saat ini atau laman yang disediakan merujuk pada link. Iklan sangat disukai pada link karena
merupakan pola perilaku pengguna web.

Peralatan lainnya adalah cookie. Cookie merupakan bagian data (senar dari teks) yang
ditempatkan sebagai memori browser. Teks terdiri dari identitas server yang meninggalkan
cookie (web yang dikunjungi) dan identitas pengguna komputer. Saat cookies telah menjadi
subjek yang kontroversial karena pelanggaran privasi, cookies memiliki banyak fungsi yang
berguna. Cookies bisa memasukkan pilihan dan data pribadi yang membuat pengguna
membrowsing dengan lebih mudah. Misalnya, pembeli online mendapat sambutan hangat
pada beberapa web, dan informasi dari laman ke laman sebelumnya menjadi sesuatu yang
nyaman cookie yang digunakan sebagai utama web, pengguna lebih memilih untuk tidak
membagikan cookies pada pihak ketiga. Pihak ketiga cookienya berasal dari sumber lain pada
laman yang dikunjungi. Iklan mungkin menggunakan cookie untuk mentrack perjalanan
Anda melalui laman web untuk tujuan marketing.

Peralatan tracking web merupakan pengendalian yang menyediakan rentetan aktivitas audit.
Merupakan pelanggaran privasi. Pengguna online memiliki power melalui pemantauan,
setidaknya menghargai cookie. Seorang atau sekelompok pengguna berketahanan memilih
meniadakan cookie pada PC. Hal sangat mudah dilakukan pada web. Misalnya, pada figure
2-4 menampakkan layer internet explorer 6.0 yang memungkinkan pengguna untuk memilih
pengaturan atau level pengaturan melalui cookies (tersedia dengan mengklik peralatan|pilihan
internet|privasi. Pengguna berkemungkinan menghapus cookie pada komputernya setiap saat.

9
Spyware merupakan peralatan tracking internet lainnya. dioperasikan untuk menginstal apple
atau program software lainnya pada pengguna komputer yang mentransmisi penggunaan
informasi pada pihak ketiga. Spyware digunakan untuk tujuan marketing atau oleh hacker
yang berisi rahasia atau informasi privasi.

2.3.2 Keamanan Informasi Dan Pemeliharaan Ketersediaan Sistem

Sejak adanya jaringan internet, resiko jaringan umum dan sistem telekomunikasi dan
pengontrolan menerapkannya. E-bisnis, bagaimanapun merupakan proses keamanan beresiko
terhadap jaringan tertentu untuk alasan tertentu. Pertama, jaringan public – yang bisa diakses
berbagai pengguna dengan web browser dan ISP dan karena itu tidak diproteksi layaknya
jaringan pribadi. Alasan berikutnya bahwa e-commerce berdasarkan defenisinya berpengaruh
pada pertukaran keuangan dan aset lancar lainnya, penambahan pada informasi aset.
Transmisi aset, seperti nomor kartu kredit, melalui jaringan public yang membuat
penyerangan lebih lanjut. Resiko lain yang meningkat pada internet dibanding jaringan lain
adalah pada ukuran fiktif dan peningkatan pentingnya fungsi ekonomi. Kasus poin 2-2
menekankan perhatian tentang e-bisnis.

Kasus poin 2-2

Resiko terkait e-commerce, terutama nomor kartu kredit ditransmisi melalui internet,
membuat penerbitan visa mengharuskan sederatan keamanan pada partner bisnis. Niaga yang
berkeperluan visa harus secara berkala mematuhi keharusan keamanan, termasuk kebijakan
kemanan dokumentasi, praktek pengembangan keamanan aplikasi, termasuk kebijakan
dokumentasi, pengontrolan akses dan autentifikasi pengguna, enkripsi, firewall, rencana
penanganan serangan, arsitektur sistem bagian, latarbelakang karyawan, dan audit kepatuhan
keamanan berkala.

2.3.2.1 Mengamankan Informasi E-Bisnis Melalui Enkripsi

Enkripsi, merupakan bagian sistem keamanan jaringan, merupakan bagian penting e-bisnis.
Infromasi ditransmisi selama pertukaran produk dan jasa dengan keyakinan dan sensitive.
Menawarkan pelanggan cara yang aman untuk pembelian barang melalui internet merupakan
kritik pada kesuksesan retail online.

Internet umumnya digunakan umum atau enkripsi pribadi. Bagian tentang bisnis melalui
internet memperhatikan penerbitan koneksi keamanan. Teknologi SSL, protocol enkripsi
yang dikembangkan Netscape, menyediakan layanan ini. Dengan SSL, pelanggan browser
meletakkan kunci niaga umum, yang digunakan pada web retail. Pelanggan menggunakan
kunci tersebut untuk mengenkripsi pesan yang hanya bisa dibaca oleh niaga tersebut.
Langkah ini meyakinkan bahwa data dikirim oleh pelanggan pada vendor tidak bisa dibaca

10
siapapun selain pelanggan, namun tidak memastikan pengguna. Hanya perlindungan
penentangan pendengar. Bagaimana jika niaga berbohong ? maka niaga harus menggunakan
informasi tersebut layaknya pelanggan dan membeli produk tersebut. Kelemahannya, SSL
mempertinggi sertifikat digital untuk mengauntentik transaksi berbagai pihak.

SSL digunakan ketika browser dan server berkomunikasi. protocol lainnya menggunakan
OSI asli berlapis dengan SSH, SET, S-HTTP, dan keamanan IP. SSH digunakan untuk
criptografi yang kuat untuk membuka sesi keamanan dari termin remot. Yang menyediakan
keyakinan dan auntentifikasi. SET protocol telah digabungkan untuk mengembangkan visa
dan mastercard untuk meyakinkan keamanan pembayaran kartu kredit melalui internet. SET
sama seperti SSL, namun termasuk auntetifikasi melalui penggunaan sertifikat digital terkait
dengan institusi buyer dan niaga. SET menggunakan dua tipe umum criptografi algoritma.
RSA digunakan untuk enkrip umum, dan DES enkrip pribadi. Algoritma merupakan formula
matematika complex yang mengunakan angka-angka. S-HTTP juga seperti SSL. Namun SSL
menggunakan enkripsi kunci pribadi, S-HTTP menggunakan enkripsi algoritma untuk
mengenkripsi permintaan dan menjawab HTTP. Keamanan IP merupakan level rendah
protocol yang digunakan untuk mengenkripsi IP packets. Menyediakan keyakinan utama.

2.3.2.2 Keamanan Pembayaran Elektronik

Kebanyakan bagian b2c transaksi e-bisnis menggunakan kartu kredi atau sejenis faktur
piutang dan sistem pembayaran transaksi offline. Bagaimanapun, berbagai transaksi online
mengharuskan sistem pembayaran khusus. Misalnya, secara individu melakukan pembelian
eBay yang tidak membagikan informasi kartu kredit dengan pihak manapun terkait transaksi.
Niaga akan menyampaikan kepada eBay secara individu, atau perusahaan representative,
yang membuat transaksi pembayaran tersebut pada pengirim produk. Sistem pembayaran ini,
menggunakan pihak ketiga sebagai perantara kartu kredit, umumnya pembayaran b2c.
membuat permintaan pada jenis baru bisnis-perantara kartu kredit.

Pembayaran elektronik merupakan jenis lainnya. Sama halnya dengan pembayaran uang
kertas, memerlukan informasi tentang pembeli, pembayar, tanggal, jumlah, dan nomor akun.
Perbedaannya tidak ada bentuk kertas. Pembayar membuat nota elektronik dan mengirimnya
pada pembayar secara elektronik melalui email. Pembayar mendeposit dengan mengirim
melalui bank online. Bank menyelesaikan pembayaran dan mengkredit akun pembayar.
Pembayaran digital menggunakan tandatangan yang lebih aman dibanding pembayaran fisik.

Individu dan perusahaan telah meningkatkan pembayaran nota online. Dilakukan melalui
sistem EBPP. Pengguna menggunakannya dengan mengatur kreditur melalui layanan
perbankan. Bisnis ini diharapkan berkembang pesat pada tahun-tahun berikutnya. Pelanggan
akan menemukan kemampuan untuk membayar secara elektronik dan melihat status online
mereka yang menenangkan dan tabungan. Bisnis juga harus menyimpan biaya transaksi akun
pelanggan dan menguranginya sejumlah pembayaran. Kasus poin 2-3 menjelaskan
bagaimana fasilitas EBPP pada CheckFree.

11
Kasus poin 2-3

CheckFree telah berpartner dengan ratusan perusahaan sehingga pelanggan bisa melakukan
pembayaran online pada web yang disebut MyCheckFree. Pengguna log in pada web untuk
pembayaran atau memeriksa nota dan informasi pembayaran. Merupakan layanan gratis.
Checkfree mengumpulkan biaya layanan dari perusahaan pembayaran, dengan keuntungan
lebih pembayaran nota dan biaya transaksi yang lebih rendah.

Tentu saja, pembayaran kas melalui internet tidaklah mungkin. Kas merupakan sistem
pembayaran yang disetorkan sesuai jenis mata uang dan recehan atau setidaknya jumlah yang
mendekati. Keuntungan pembayaran kas adalah kejelasannya. Pembayaran kas berjejak.
Pembeli dan penjual pada internet, mengharapkan kejelasan serupa, sehingga diperlukan
bentuk virtual. Seperti token atau penetapan jumlah yang disetorkan, umumnya menggunakan
sistem kas virtual.

2.3.2.3 Keamanan Server Web

Tujuan keamanan server web adalah untuk meyakinkan privasi dan keyakinan, mencegah
download program yang beresiko, dan serangan penyelundup baik dari dalam dan luar
organisasi. Ketika banyak pengguna diautorisasi untuk berinteraksi dengan server web,
keamanan server harus meyakinkan sejumlah penguna sah yang menonaktifkan server,
memelihara, log in, dan mengendalikan data akuntansi terkait (logs dan penggunaan statistic).

Untuk meyakinkan keamanan web, jaringan harus mengenali untuk meminimalkan layanan
yang tersedia pada host komputer. Misalnya, server berbeda pada akses email dan web.
Lokasi server web dengan memperhatikan firewall sebagai isu lainnya. Server web seringnya
merupakan subjek serangan penyelundup. Alasan ini, server web harus menyiagakan firewall.
Jika server web menembus firewell, dia akan bisa mengakses pada seluruh jaringan. Ada dua
pilihan seperti yang ditampakkan pada figure 2-5. Yang pertama memposisikan server web
di luar firewall, lainnya diposisikan diantara firewall internal dan eksternal, pada DMZ.
Dengan demikian, akses akan terbatas pada DMZ.

2.3.2.4 Ketersediaan Dan Ketahanan Sistem

B2C e-commerce besar, namun B2B e-commerce lebih besar dan sejak 2004 hampir
mencapai $8 triliun. Dikarenakan peningkatan jumlah transaksi dolar yang meningkat,

12
demikian pula pada perhatian ketersediaan dan ketahanan proses bisnis online. Ketersediaan
bermakna web dan terkait dengan proses tepat waktu, dan ketersediaan berarti web dan
proses kinerja yang diharapkan.

Ada beragam ancaman pada ketersediaan dan ketahanan e-bisnis. Yang paling umum adalah
serangan DDOS yang diilustrasikan pada kasus 2-4.

Kasus 2-4

Pada 22 Oktober 2002, internet diserang oleh DDOS dengan target tiga belas server yang
menyediakan domain director untuk komunikasi internet. Serangan terjadi selama satu jam,
selama pengguna internet, kebanyakan pengguna internet lupa pada keamanan. Ada lebih
banyak server yang terkena imbas, atau jika serangan lebih lama, akan berakibat penundaan
atau kegagalan koneksi.

Server web yang diposisikan di luar firewall

Komputer 1

Komputer 2
Internet
Komputer 3

Server Web Komputer Internal

Server web yang diposisikan di dalam eksternal dan di luar internal firewall.

Komputer 1

Internet Komputer 2

Komputer 3

Server Web
Komputer Internal
Figur 2-5 Alternatif Konfirgurasi Firewall Server Web

13
Pada 2001, beredar beberapa web populer. Biayanya melampaui kerugian
penjualan selama periode keluaran. Dikarenakan interupsi ketersediaan atau
ketahanan menyebabkan kerugian, dan resiko keberlangsungan bisnis. Serangan
terkait infrastruktur seluruh internet mencabangkan ekonomi global.

Memastikan ketersediaan dan ketahanan layanan online yang mengharuskan

pemeliharaan. Rumit, namun jika memungkinkan, akan memproteksi server dari
serangan DDS, yang meningkatkan kepentingan backup dan pemulihan rencana
dan prosedur.

2.3.3 Integritas Transaksi Dan Kebijakan Bisnis

Integritas transaksi e-bisnis dan kebijakan e-bisnis komprehensif sangatlah

penting pada ketahanan komponen sistem. Lingkungan bisnis menciptakan resiko
transaksi lainnya dalam penghargaan terhadap penolakan, atau kemampuan untuk
menolak aspek transaksi. Lebih lanjut, transaksi e-bisnis membuat jejak audit
berupa elektronik dibandingkan kertas serta bukti elektronik.

Prinsip praktek systrust AICPA menjelaskan integritas transaksi sebagai sistem

proses yang komplit, akurat, berjangka, dan berpengesahan. Kelengkapan dan
pada beberapa tingkatan, akurasi secara utama diyakinkan dengan pemeliharan
manual atau otomatisasi transaksi dan transmisi eror log, biasanya pemeriksaan
log dan menyelesaikan eror. Akurasi dan kelengkapan juga mengharuskan input
yang memadai dan pengendalian output, misalnya program edit memeriksa
kelengkapan dan data input bebas eror. Ketepatan waktu transaksi dipastikan pada
bagian ketersediaan sistem pemeliharaan dan kebutuhan waktu komunikasi.
Autorisasi transaksi bergantung pada kebijakan dan prosedur menjamin personel
yang tepat dan calon sistem otomatis serta kelengkapan transaksi berdasarkan
kebijakan tertentu dan level autorisasi. Lengkapnya, pengendalian, kelengkapan,
akurasi, jangka waktu dan autorisasi transaksi pemrosesan pada scenario e-bisnis
tergantung pada pengendalian tempat tertentu. Dua pengendalian untuk
memastikan penerimaan transaksi e-bisnis dan jejak audit elektronik.

Penolakan merupakan kemampuan yang diperlukan untuk menolak transaksi baik

secara partisipasi atau karakteristik tertentu transaksi. Penyangkalan menjadi
masalah dimana pihak yang bertransaksi tidak secara fisik. Misalnya, layanan
pengantaran pizza haru memastikan pizza telah diantar pada pihak dan tempat
yang benar. Tepat yang dimaksudkan berarti persetujuan. Dikarenakan pengorder
berkemungkinan menginformasikan alamat yang tidak tepat, bisnis pizza harus
memastikan alamat penerima melalui telepon. Juga sekaligus memastikan
pemesanan pada niaga (misalnya papperoni besar dengan jamur kuping kecil) dan
harga pemesanan yang disepakati.

14
Dalam berbagai cara, isu integritas pada transaksi online tidak begitu berbeda
dibanding bisnis pengantaran pizza. Merupakan keharusan untuk memastikan
penerimaan asli (bahwa pengirim mengirim pesan atau produk) dan bukti
penerimaan (bahwa penerima menerima pesan atau produk). Selanjutnya, telepon
penolakan sebagai bukti pengiriman barang yang disepakati jumlahnya. Peralatan
yang memungkinkan yang menyediakan penerimaan termasuk tanda tangan
digital dan teknik pemastian lain, bukti elektronik dan jejak audit.

Penolakan pada e-bisnis menambahkan level resiko karena lebih mudah menjadi
“lelucon” identifikasi lingkungan virtual daripada lingkungan fisik. Misalnya,
pelanggan yang ingin membeli produk online dari web page menarik yang lebih
murah daripada membangun kantor. Bisnis dan pelanggan akhir mungkin
beranggapan berbisnis dengan kolomerat multinasional Ketika faktanya “bisnis”
di balik web hanyalah persorangan dengan PC. Kasus 2-5 merupakan gambaran
isu.

Kasus 2-5

SEC memusatkan bahwa investor menjadi scamming secara individu yang

membuat bisnis web untuk memikat investor. Membuat public lebih peduli pada
dampak memercayai web bisnis bonafit, SEC membuat serangkaian web bisnis
yang keliru. Misalnya McWhortle (www.mcwhortle.com) . Pokok web
merupakan perusahaan biotech dengan keuntungan gamang. Investor yang tertarik
diarahkan pada laman dengan kejutan – peringatan SEC bahwa jika mereka
menyepakati maka mereka akan discamming.

Tanda tangan digital merupakan salah satu yang dimaksudkan memastikan

penolakan karena mereka “mengikat” pengirim pesan pada dokumen yang
dikomunikasikan. Pada 2000, kongres melewatkan tanda tangan digital hukum
global dan commerce nasional, yang membubuhi dokumen dengan tanda tangan
digital dengan status legal yang sama layaknya dokumen kertas. Hukum
mengizinkan berbagai jenis tanda tangan elektronik yang menyediakan berbagai
tingkatan level keamanan dan auntentifikasi. Tanda tangan digital merupakan
spektrum tertinggi. “tanda” individual pada dokumen dengan tanda tangan digital
dengan enkripsi konten pesan dengan kunci private. Pesan yang dienkripsi secara
lancar menjadi tanda tangan digital yang unik. Pesan ini tidak terpisah dari
kuncinya. Pengirim mengirim tanda tangan digital dan dokumen pada penerima.
Penerima dokumen elektronik mendekrip pesan sesuai kuncinya. Jika kunci
berfungsi dan pesan dekrip sesuai dengan pesan yang dikirim, penerima
memastikan dokumen asli oleh si penanda tangan; dokumen tersebut asli karena
kunci public merupakan bagian dari kunci private/public yang dipasangkan untuk
penandatangan dokumen. Usaha mengubah pesan tanda tangan digital yang
dikirimkan akan menggagalkan deskrip. Pesan penerima akan memverify kunci

15
public dengan isu authority sertifikat untuk meningkatkan keyakinan. Penggunaan
tanda tangan digital untuk meyakinkan penerimaan asli dan konten. Termasuk
waktu stempel pada konten pesan yang menyediakan pengendalian lebih terhadap
penolakan transaksi.

Sertifikat digital merupakan laporan asli yang diisukan kepercayaan pihak ketiga.
Pihak ketiga ini disebut sertifikat autoritas (misalnya verisign atau Thawte ).
Sertifikat autoritas merupakan isu id card pengguna online. Biasanya
mengharuskan beberapa bentuk auntentik sebelum isu certifikat. Sertifikat digital
termasuk identifikasi informasi tentang pihak yang disertifikasi, informasi kunci
public, dan tanda tangan sertifikat autoritas. Kunci public yang dikirim oleh
browser Ketika sedang mengirim email. Pihak sertifikasi menjaga kerahasiaan
kunci.

Transaksi e-bisnis meneruskan data dalam satuan bites bukan kertas. Bukti
elektronik termasuk logs, jejak audit, dokumen sumber, pesan email, dan
komunikasi lainnya. Transaksi logs merekam data seperti log in pengguna,
password, jam dan tanggal. Jejak audit menampakkan riwayat transaksi-dari awal
hingga disusunnya laporan keuangan. Logs transaksi menampakkan siapa, kapan
dan dimana seseorang log in. Jejak audit memungkinkan auditor TI untuk
menelusuri transaksi asli, menampakkan siapa yang bertransaksi, kapan serta
informasi yang dimodifikasi, tambah, atau hapus sebagai hasil.

Auditor TI pada lingkungan e-bisnis perlu mereview logs dan rekaman lainnya
layaknya audit lain, namun lingkungan e-bisnis memerlukan tahapan ekstra.
Misalnya, auditor harus melihat usaha gagal pada akses jaringan, tidak beralasan
untuk sesi log-in lama, dual log-ons (dua atau lebih komputer yang dilog-in
dengan id yang sama) dan usaha untuk mengubah keaslian data. Jejak audit
elektronik versus kertas akan lebih mudah atau rumit ditelusuri, tergantung yang
digunakan. Auditor TI harus memastikan jejak audit ada pada setiap aplikasi e-
bisnis dan pengendalian internal memadai.

Bukti elektronik berbeda dengan dokumentasi fisik dalam beberapa aspek.

Keberadaan dokumen elektronik hanya pada periode tertentu. Hal ini mungkin
berarti auditor perlu memilih sampel audit secara periodik. Untuk memback up
atau tanpa perlengkapan dan kemampuan akses yang memadai, auditor akan sulit
menyelamatkan data elektronik. Pada 1996 dan 1997, dewan audit AICPA
mengisukan standar laporan audit no.80, amandemen SAS no.31, masalah bukti
dan kajian prosedur audit (APS), lama informasi teknologi : masalah bukti pada
lingkungan elektronik, untuk menyediakan panduan auditor terkait bukti
elektronik.

APS menyediakan panduan praktikal untuk pelaksanaan standar audit dan

menjelaskan beberapa atribut bukti elektronnik yang terdiri, termasuk kerumitan

16
pilihan, kredibilitas prima facie, kelengkapan dokumen, persetujuan dokumen,
penggunaan, dan pendonasian. SAS no.94, juga mengharuskan auditor untuk
memahami prosedur otomatis yang digunakan organisasi untuk menyiapkan
laporan keuangan dan pengungkapan lainnya.

Kebijakan e-bisnis efektif mempengaruhi organisasi untuk memahami praktek

konstitut terbaik. Kurangnya kebijakan bisnis pada aktivitas seperti proses
kembalinya niaga yang dibeli online merupakan indicator resiko e-bisnis.
Kebijakan bisnis pada setiap even tanpa proses bisnis. Misalnya, proses penjualan,
terdapat kebijakan yang mengatur order penjualan, pemenuhan order, dan
kegiatan pembayaran.

Tanggungjawab auditor TI dengan menghargai kebijakan e-bisnis adalah dengan

memastikan bahwa kebijakan ditetapkan untuk memenuhi objektivitas organisasi,
dan untuk menguji level kebijakan sesuai pengamatan.

2.4 Aplikasi Khusus E-bisnis - EDI

E-bisnis dan e-commerce termasuk beberapa area aplikasi yang memiliki

pengendalian resiko. Misalnya, pada bentuk e-commerce sebelumnya, EDI,
dipengaruhi pihak ketiga dan karena itu menambah elemen resiko. Penggabungan
commerce juga dipengaruhi pihak ketiga. Entitas bisnis dirancang menjadi
gabungan atau e-commerce secara berkala menyediakan akses sistem informasi
kepada entitas lain pada rantai pemasoknya. Sehingga, email merupakan aspek e-
bisnis unik yang beresiko. Sistem email menampakkan keamanan khusus dan
resiko privasi karena secara lingkungan merupakan sistem terbuka.

E-business meliputi area aplikasi yang memiliki risiko pengendalian

khusus. Beberapa aplikasi e-business khusus itu adalah sebagai berikut:
1. EDI (Electronic Data Interchange).
EDI adalah pertukaran pemrosesan informasi bisnis antara perusahaan
dalam suatu format standar. Manfaat EDI:
a) Pengurangan entri data.
b) Pengurangan kesalahan.
c) Pengurangan kertas.
d) Pengurangan biaya pengiriman melalui pos.
e) Otomatisasi prosedur.
f) Pengurangan persediaan yang arus dikelola.
EDI berkembang karena keinginan untuk mengurangi waktu transaksi
pelanggan/pemasok. EDI mahal karena membutuhkan penginstalan program

17
khusus dan seharusnya terdapat jalur komunikasi berdedikasi atau VAN pihak
ketiga. Akibatnya EDI baru diadaptasikan di perusahaan besar dan kurang efisien
bagi perusahaan kecil. Tetapi perkembangan internet dan WWW memberikan
alternatif baru bagi perkembangan EDI.
Mereka bisa mengirimkan data EDI yang terenkripsi melalui internet.
Intranet yang diperluaspun juga menjadi alternatif EDI dalam mengecek
persediaan dan harga serta tempat pemesanan berdasarkan password yang
membuat mereka bisa mengakses data tersebut. Bagi auditor TI fokusnya lebih
pada pembentukan form komputer dari data sharing antara rekanan yang
bervariasi atas pendekatan yang dilakukan. Terkait masalah VAN auditor
membutuhkan audit penjaminan dari pihak ketiga.

2.4.1 Penggabungan Commerce

Pada era internet, sulit untuk memilah kapan suatu bisnis berakhir dan
bisnis lainnya dimulai. Semua orang berusaha menciptakan keunggulan
kompetitif. Penggabungan commerce bermakna dua atau lebih entitas saling
berbagi kepentingan untuk mencapai suatu tujuan tertentu. Rekanan ini berarti
saling membagi informasi yang berarti bisa menambah risiko. Auditor TI harus
menjamin bahwa pembagian informasi benar-benar merupakan hal yang “perlu
diketahui”. Pada aplikasi ini juga sangat penting mempertimbangkan privasi.

2.4.2 Keamanan dan Privasi E-mail

Sistem e-mail merupakan aplikasi jaringan terbesar dalam perusahaan,

sehingga keamanan merupakan salah satu poin penting yang harus menjadi
perhatian. Ancaman terhadap sistem e-mail ada 2:
a) Ancaman Keamanan E-Mail.
- Virus/Worm. Pesan e-mail dan attachment mungkin mengandung kode
yang mencurigakan. Di beberapa kasus kode ini akan mereplika dirinya
dan mengirim sendiri pada semua daftar alamat penerima e-mail.
- Spam. Pengiriman e-mail yang tak diminta pada banyak user.

18
 - Bombs. Pengiriman e-mail yang tak diinginkan secara berulang pada satu
alamat email yang sama.
- Sniffing. Selama transmisi seorang user yang tidak berwenang dapat
membaca pesan email yang ada.
- Session Hijacking. Seorang user yang tidak berwenang bisa mengambil
alih sesi komunikasi dengan mengirimkan pesan palsu pada seorang
pemakai e-mail dengan memakai keotentikan dari pemakai itu.
- Spoof. Alamat asal sebuah e-mail bisa jadi palsu.

b) Ancaman Privasi E-Mail.

- Pelecehan Seksual atau Rasial. Seorang pemakai e-mail bisa mengirim
pesan e-mail yang tidak pantas atau terkait skandal.
- Pembocoran Privasi. Ada banyak cara privasi dikompromikan melalui e-
mail. Contoh: pesan pribadi diforward, dibagi, atau diintip oleh hackers.
- Jejak Kertas E-Mail. Pesan e-mail adalah permanen dan bisa dipergunakan
sebagai bukti tuntutan hukum. Penghapusan e-mails terkait masalah
hukum bisa dianggap sebagai pelanggaran.
- Mata-Mata Perusahaan. Insider bisa membocorkan rahasia perdagangan
perusahaan melalui e-mail. Data kepemilikan bisa saja diperoleh melalui
sistem e-mail.

c) Sistem Pengendalian E-mail

Dalam melakukan pengendalian atas sistem e-mail bisa dilakukan dengan
software tertentu yang berisikan fitur produk berupa enkripsi, kompresi data,
otentikasi, memindai isi, tracking, pemanfaatan otomatis, penghancuran digital,
pemfilteran dan pengeblokan, dan perlindungan anti-virus. Misalnya software
yang berisi fitur ini adalah Genidocs Server, GLWebMail XT Professional,
enRole, dan CAMEO Recon. Cara terbaik menjamin keamanan privasi e-mail
adalah dengan cara enkripsi. Misalnya enkripsi standar untuk e-mail yaitu Pretty
Good Privasi (PRP) dan Secure Multipurpose Internet Mail Extensions
(S/MIME).

19
2.5 Mengatur Penyedia Pihak ketiga
CobiT memfokuskan pengendalian layanan pihak ketiga sebagai aspek
pengantaran dan dukungan (DS2). Bisnis terkait pihak ketiga menyediakan jasa
selama beberapa waktu. Keuntungan e-bisnis, bagaimanapun membawa
peningkatan terkait pihak luar dalam bentuk ISP (Internet Service Providers), ASP
(Application Service Providers), autoriti sertifikat, dan penyedia pembayaran
elektronik. Berbagai sumber luar organisasi fungsi e-bisnis, termasuk
pengembangan web dan pemeliharaan. Tingkat pengaruh pihak ketiga dengan
ragam sistem pengendalian internal dengan penyediaan layanan sambungan.
Auditor TI, mengevaluasi pengendalian layanan pihak ketiga, memerlukan
pemahaman hubungan diantara entitas yang direview dan pihak ketiga. Hal ini
dimulai dengan review kebijakan organisasi dan prosedur terkait penyediaan
layanan pihak ketiga. Termasuk review dan monitoring kesepakatan level
persetujuan dan kontrak. Auditor TI juga memerlukan review dan dokumen proses
pihak ketiga dan pengendalian melalui survei, percakapan dan pengamatan. Juga
evaluasi resiko hubungan, pengendalian, dan pengembangan kesimpulan terkait
keefektifan pengendalian. Figure 2-8 menjelaskan beberapa tahapan spesifik
dalam Kerjasama rencana audit layanan pihak ketiga.
Tidak lazim pihak ketiga menghasilkan laporan pengendalian internal yang terdiri
dari evaluasi penguji luar. Bisnis menyediakan layanan klien secara berkala yang
berisi laporan dan mengunakannya untuk penyediaan asuranse pelanggan
potensial. Auditor TI yang menerima laporan akan mempertimbangkan kualifikasi
professional dan pihak independent untuk membuat laporan, kekurangan laporan,
dan jangka waktu selama laporan.
Layanan audit pihak terkadang merujuk pada review SAS 70. SAS 70, laporan
proses transaksi oleh layanan organisasi, diisukan oleh dewan standar audit
AICPA pada 1992. Tujuan standar adalah untuk menyediakan petunjuk pada
auditor keuangan dalam audit laporan keuangan organisasi terkait layanan pihak
ketiga untuk proses transaksi. Standar juga menyediakan petunjuk untuk
penyediaan laporan review SAS 70 atau laporan proses transaksi yang mungkin
digunakan oleh auditor lain. Auditor TI secara berkala menemukan pengelolaan
jenis audit karena sistem infromasi umum yang digeneralisasi transaksi.

20
Evaluasi atau kontrak layanan pihak ketiga berhubungan dengan objektif
organisasi. inspeksi layanan-level persetujuan dan evaluasi kepatuhan dengan
persetujuan.
Evaluasi cakupan layanan yang ditawarkan pihak ketiga dan penjelasan bagian
persetujuan level layanan.
Inspek kontrak dan penjelasan jangka waktu kontrak dilengkapi oleh bagian
tersebut.
Memastikan kontrak termasuk provisi kontingensi, keyakinan, keamanan, durasi,
biaya, jangka waktu dan kejakatan kontrak dan jangka waktu penyelesaian.
Memastikan layanan pihak ketiga berkinerja sebelum persetujuan vendor dan
kontrak dihargai secara kompetitif.
Menjelaskan kontrak termasuk metrik kinerja dan level pengamatan dan
pengujian.
Figur 2-8 Langkah Sampel Audit Untuk Layanan Evaluasi Pihak Ketiga

2.6 Layanan Asuranse Pihak Ketiga

COBIT mengontrol jasa pihak ketiga sebagai bagian dari dimensi Delivery
& Support (DS2)-nya. Dengan adanya e-business meningkatkan keandalan pihak
luar terhadap bentuk ISP, ASP, otoritas sertifikat, dan penyedia pembayaran
elektronik. Auditor TI mengevaluasi jasa pihak ketiga perlu memahami lebih dulu
hubungan antara entitas yang direview dan pihak ketiga itu sendiri. Selanjutnya
mereka menyusun langkah-langkah audit yang diperlukan dalam mengevaluasi
jasa pihak ketiga itu. Audit jasa pihak ketiga terkadang dikaitkan dengan SAS 70
Laporan Proses Transaksi Perusahaan Jasa, yang bertujuan menyediakan pedoman
bagi auditor keuangan dalam mengaudit laporan keuangan yang bergantung pada
jasa organisasi pihak ketiga untuk memproses beberpa transaksinya. SAS 70 juga
berisi pedoman mereview laporan atas proses transaksi yang akan dimanfaatkan
oleh auditor lainnya.
Tujuan dari jasa penjaminan pihak ketiga adalah untuk mengarahkan
privasi dan keamanan dari pelanggan akhir dan perusahaan dalam melaksanakan
bisnis di internet. Pihak ketiga seperti auditor TI dapat mengevaluasi bisnis dalam

21
artian privasi, keamanan, integritas transaksi, keandalan sistem, dan kebijakan
bisnis. Contoh organisasi yang menawarkan jasa penjaminan: gabungan AICPA
dan CICA menghasilkan CPA WebTrust yang memberikan dua jasa penjaminan
WebTrust dan SysTrust. WebTrust diarahkan utamanya pada transaksi E-Bisnis
dan bagian dari SysTrust yang diperuntukkan bagi semua sistem informasi.
SysTrust dan WebTrust terdiri atas kumpulan prinsip dan kriteria. Prinsip-prinsip
itu adalah: keamanan, ketersediaan, integritas proses, online privasi, dan tingkat
keyakinan. Di dalam ikatan WebTrust auditor mengevaluasi satu atau semua
prinsip ini melawan kumpulan kriteria. Empat kategori kriteria itu adalah:
kebijakan, komunikasi, prosedur, dan pengawasan. Diantara tiap kategori adalah
kriteria spesifik yang umum untuk setiap prinsip. Dan tiap kriteria spesifik bisa
ditemani oleh pengendalian ilustrasi spesifik.
Jasa penjaminan dari organisasi tertentu akan bisa dipercaya apabila merek
yang diusung organisasi itu familiar bagi pelaku bisnis. Tingkat keyakinan akan
meningkat saat mereka mempercayai merek tersebut. Selain CPA WebTrust ada
beberapa penyedia jasa penjaminan yang cukup disukai pelaku bisnis,
diantaranya: PriceWaterhouseCooper’s BetterWeb, Better Business Bureau
(BBB), Truste, dan Verisign Inc. Verisign menawarkan suatu varietas jasa
kepercayaan digital termasuk security seal yang memberikan jaminan bahwa situs
Web itu otentik dan transmisi data menggunakan enkripsi SSL.

22
 BAB III
PENUTUP

3.1 Kesimpulan

E-bisnis awalnya terdiri dari EDI dan teknologi dana transfer. Seiring
perkembangan internet, bisnis berubah dari bentuk kertas menjadi web.
Perusahaan menggunakan internet baik intranet maupun ekstranet untuk usaha
bisnis dengan kolega.

Teknologi e-bisnis sama halnya dengan jaringan protocol, hardware dan software.
Protocol khusus digabungkan dengan e-bisnis TCP/IP dab HTTP. Beragam
bahasa software yang digunakan pada e-bisnis termasuk HTML dan XML. Bentuk
khusus dari XML e-bisnis hampir sama seperti XBRL dan ebXML.

E-bisnis memunculkan resiko baru, bagian dari penggabungan jaringan

tradisional. Resiko jenis ini merupakan isu privasi, keamanan dan perhatian
ketersediaan, atau pemrosesan transaksi dan isu kebijakan bisnis. Salah satu
perhatian pada pengaruh kebijakan individu dan bisnis terbesar adalah privasi.

Aplikasi e-bisnis tertentu memiliki resiko dan pengendalian unik. Adapun areanya
meliputi EDI, penggabungan commerce dan email.

E-bisnis menciptakan kesempatan layanan pihak ketiga. Auditor TI menyebutnya

sebagai evaluasi layanan pihak ketiga dan mereka juga menyediakan asuranse
sebagai pihak ketiga.

23
 DAFTAR PUSTAKA

Hunton James E., et al. 2004 Core Concepts of Information Technology Auditing,
united stated of america:Boston John wiley

24