-Audit atau atau yang dikenal juga sebagai electronic audit memang bukan suatu terminologi baru dalam

kajian perkomputeran. Penggunaan e- di depan kata Audit saya persamakan maknanya dengan penggunaan kata e- di depan kata e-Mail dan juga e-Banking. Dalam beberapa kesempatan, kegiatan e-Audit ini biasa juga disebut sebagai Security Audit . Justru mungkin terminologi security audit yang lebi la!im digunakan di "nternet. Penggunaan kata eAudit dalam al ini saya pergunakan untuk menggambarkan kon#ergensi antara konsep legal due diligence dengan konsep security audit. $ntuk keperluan praktis saya akan tetap menggunakan istila e-Audit dalam tulisan ini. $ntuk mengeta ui lebi lanjut mengenai %ecurity Audit&e-Audit dapat kita li at dari pendapat Bill 'ayes berikut. a systematic, measurable technical assessment of how the organizations security policy is employed at a specific site. Computer security auditors work with the full knowledge of the organization, at times with considerable inside information, in order to understand the resources to be audited. %ecara bebas dapat diterjema kan menjadi suatu kegiatan yang sistematis, terukur dan penu per itungan mengenai bagaimana mengorganisasikan suatu kebijakan dibidang keamanan dan bagaimana kebijakan tersebut dapat diberlakukan. Audit dibidang keamanan komputer dilakukan untuk mengeta ui sumberdaya objek yang diaudit. Dalam tulisan yang sama, Bill 'ayes membedakan antara %ecurity Audit dengan Pen-(est )Penetration Testing *. $ntuk membedakan antara security audit dengan pen-test saya memberikan beberapa poin penting antara lain sebagai berikut. +. e-Audit merupakan kegiatan yang sistematis, terukur dan penu per itungan ,. -okus dalam melakukan e-Audit terletak pada organisasi kebijakan .. Pemeriksaan dilakukan secara menyeluru ter adap segala sumber daya terkait keamanan komputer Bedasarkan poin tersebut, saya menilai kalau pen-test tidak memenu i poin yang kedua, yaitu melakukan pemeriksaan ter adap organisasi kebijakan dalam bidang keamanan )security policy*, karena pada umumnya, pen-test anya ber/okus pada upaya penetrasi sebua sistem. %elain itu, dalam pen-test tidak dilakukan pemeriksaan menyeluru ter adap sumber daya, karena sebagaimana tela dijelaskan, kalau pen-test tersebut ber/okus pada keamanan jaringan belaka. Apa yang akan saya konsepkan disini tidak terbatas pada pemeriksaan ter adap keamanan jaringan belaka, tetapi juga mencakup kebijakan mengenai keamanan jaringan. $ntuk itu pada dasarnya, e-Audit ini tidak anya dilakukan secara jarak jau )remote auditing* tetapi arus juga dilakukan melalui site isiting. Dalam 0egal Due Diligence, 1em2site #isiting1&em2 si/atnya opsional saja, meskipun si/atnya opsional, site isiting sangat dianjurkan agar si auditor dapat secara langsung mengeta ui apa yang di adapinya, se ingga dalam melakukan audit, auditor lebi pa am mengenai kondisi lapangan dan ter indar dari kesala an pemberian opini. 'al tersebut yang saya pikir perlu juga dilakukan dalam e-Audit.

Dalam konsep e-Audit, ada beberapa aspek yang menjadi tolak ukur auditing. Artinya, aspek ini menjadi titik krusial dalam pemeriksaan si Auditor. Pemili an aspek ini sebenarnya masi dalam ta ap pengembangan dan besar kemungkinan akan ada penamba an titik pemeriksaan atau mungkin terjadi pengurangan titik pemeriksaan sebagai alasan dari e/isiensi pemeriksaan. adapun poin tersebut sebagai berikut. 1. Software Pemeriksaan yang dilakukan ter adap so/t3are tidak anya terbatas pada legalitas dari so/t3are tersebut, tetapi pemeriksaannya juga meliputi kebijakan instalasi, manajemen dan pemba aruan so/t3are )updating* dan ketentuan lainnya yang secara keseluru an terkait erat dengan terms and conditions dari so/t3are tersebut. Pema aman ter adap terms and conditions suatu so/t3are si/atnya adala mutlak, dimana dengan pema aman ter adap terms and conditions tersebut, para pi ak dapat mema ami ak dan ke3ajiban masing-masing. %ala satu aspek penting pema aman terms and conditions dari suatu so/t3are adala terkait pemeriksaan ter adap aspek legalitas yang di arapkan dilakukan tidak anya sebatas pada ba 3a so/t3are tersebut diperole melalui cara yang legal, melainkan juga pemeriksaan meliputi kesesuaian antara ketentuan terms and condition dari so/t3are tersebut dengan kondisi real dari suatu perusa aan. %ebagai conto , ada kalanya suatu so/t3are secara tegas anya bole diinstal pada suatu 3orkstation, sementara so/t3are lain memperbole kan lisensi so/t3are tersebut digunakan untuk lebi dari satu komputer. 'al tersebut tentu dapat kita keta ui anya apabila kita mema ami terms and condition dari so/t3are tersebut. 'al lainnya, yaitu instalasi, e-Audit di arapkan dapat dilakukan dengan meliputi pema aman )i* bagaimana kriteria so/t3are yang diperbole kan diinstal dalam suatu perusa aan, al ini se ubungan dengan kebutu an dari suatu perusa aan. %ebagai conto , perusa aan yang bergerak dibidang perbankan tentu membutu kan so/t3are yang berbeda dengan perusa aan yang bergerak dibidang ekspedisi, )ii* pendataan ter adap so/t3are yagn terinstall dalam suatu jaringan guna mengklasi/ikasi so/t3are tersebut berdasarkan kegunaan ataupun berdasarkan ketentuan yang melekat pada so/t3are tersebut, seperti apaka so/t3are tersebut merupakan free!software, shared!software, dan lainnya. Berlanjut kepada aspek teknis. Dalam aspek teknis se ubungan dengan so/t3are terdapat beberapa al penting yang arus diper atikan, yaitu4 )i* integritas dari so/t3are yang terinstall dalam suatu sistem, )ii* akurasi dari so/t3are tersebut, dan )iii* reliability dari so/t3are tersebut. -aktor yang perlu dipastikan ole auditor dalam e-Audit teknis ter adap so/t3are adala memastikan so/t3are tersebut memiliki keamanan, keandalan dan si/at reliability yang tepat dengan sistem suatu perusa aan tersebut. 'al ini erat terkait dengan akurasi dari out!put yang di asilkan ole sistem. %ebagai conto , apabila suatu so/t3are yang terinstall dalam suatu sistem tidak memiliki integritas yang baik, tentu segala out!put dari sistem secara keseluru an tidak dapat dipertanggungja3abkan. 5egiatan seperti update dan patching ter adap so/t3are juga termasuk dalam genus ini. Aspek pemeriksaan ini sesunggu nya adala pengeje3anta an dari dari perinta peraturan perundang-undangan yang ada di "ndonesia, yang dalam al ini adala $ndang-undang 6o. ++ (a un ,778 (entang "n/ormasi dan (ransaksi 9lektronik )$$ "(9*. Pasal +: ayat )+* $$ "(9 secara tegas menyatakan sebagai berikut.

%etiap Penyelenggara %istem 9lektronik arus menyelenggarakan %istem 9lektronik secara andal dan aman serta bertanggung "awab ter adap beroperasinya Sistem #lektronik sebagaimana mestinya. Andal artinya %istem 9lektronik memiliki kemampuan yang sesuai dengan kebutu an penggunaannya. Aman artinya %istem 9lektronik terlindungi secara /isik dan non/isik. Beroperasi sebagaimana mestinya artinya %istem 9lektronik memiliki kemampuan sesuai dengan spesi/ikasinya. 2. Hardware Pemeriksaan ter adap ard3are ampir serupa dengan pemeriksaan ter adap so/t3are, yaitu arus dilakukan ter adap aspek non-teknis dan aspek teknisnya. $ntuk aspek non-teknis dari suatu ard3are yang perlu diper atikan adala apaka ard3are yang digunakan dalam suatu sistem tersebut merupakan ard3are yang tela memenu i persyaratan legal untuk digunakan. %ebagai conto , untuk ard3are yang merupakan berkaitan dengan sistem komunikasi, ard3are tersebut arus melalui serti/ikasi dari Depkomin/o sebagaimana dipersyaratkan. %elai itu perlu juga diper atikan ba 3a ard3are yang digunakan adala ard3are yang legal, dalam al ini ard3are tersebut bukan merupakan ard3are asil keja atan ter adap ak kekayaan intelektual )$P infringement products*. Dari segi teknis, sesunggu nya prinsip e-Audit ter adap so/t3are juga dapat diterapkan ter adap pemeriksaan ard3are, dimana aspek keamanan, keandalan dan reliability merupakan /okus utamanya.

3. Policy Policy atau kebijakan merupakan elemen utama dari e-Audit yang arus diperiksa, karena dari suatu policy la suatu perusa aan yang diperiksa menentukan so/t3are dan ard3are yang akan digunakan. Dari policy ini pula la kita dapat menentukan lebi lanjut aspek pemeriksaan ter adap so/t3are dan ard3are di suatu perusa aan & jaringan. %ebagai conto , apabila dalam policy perusa aan secara tegas terli at ba 3a selain so/t3are yang secara de/ault terinstall di 3orkstation, maka user dilarang menginstall so/t3are lainnya, maka dalam melakukan e-Audit, kita arus dapat memastikan ba 3a memang benar tidak ada so/t3are lain yang terinstall. Apabila dalam pemeriksaan ternyata ditemukan banyak so/t3are lain yang terinstall, maka so/t3are tersebut arus dimasukan dalam laporan pemeriksaan agar dapat ditindaklanjuti berdasarkan policy yang ada. %elain itu, policy yang baik dari suatu pemeriksaan dapat mendukung terciptanya keamanan, keandalan dan reliability dari jaringan secara keseluru an. %e ingga total suatu proses dalam sistem yang dimulai dari input ingga out!put dapat berjalan dengan baik. ;;; Penjabaran di atas adala uraian secara singkat mengenai konsep dari e-Audit. Di arapkan kedepannya konsep ini dapat berkembang dari kenyataan yang ada dalam dunia praktis, karena setiap kondisi di lapangan dapat mempengaru i pemeriksaan itu sendiri. Dengan demikian, uraian tersebut di atas langka a3al pema aman e-Audit.