Irma

 Oktavia  Kusuma  Dewi  

16/397028/EK/20984  
 
Ringkasan  Materi  Kuliah  IV  
Auditing of E-commerce and E-business

Dalam era digitalisasi seperti sekarang ini, seringkali kita mendengar

istilah E-commerce dan E-business. E-commerce atau perdagangan
elektronik merupakan kegiatan transaksi jual-beli barang dan jasa yang
dilakukan secara elektronik. E-commerce adalah kegiatan komersial
melalui penyebaran, pembelian, penjualan, dan pemasaran barang dan
jasa melalui sistem elektronik seperti internet atau jaringan computer
lainnya. Sedangkan, e-business atau bisnis elektronik menjangkau aktivitas
yang jauh lebih luas, yaitu segala bentuk bisnis yang menggunakan
transmisi data dan informasi secara elektronik. Lebih jelasnya lagi, e-
business berkaitan secara menyeluruh dengan proses bisnis termasuk
value chain, yakni pembelian secara elektronik (electronic purchasing),
manajemen rantai persediaan (supply chain management), pemrosesan
order secara elektronik, penanganan dan pelayanan kepada pelanggan,
dan kerja sama dengan mitra bisnis
Awal munculnya bisnis elektronik dimulai dari perubahan metode
pertukaran dokumen seperti pesanan pembelian (purchase order) dan nota
(invoice) yang dikirimkan melalui pos ke pengiriman secara elektronik.
Lama kelamaan, para pelaku bisnis kemudian merasa bahwa metode
elektronik relatif lebih menguntungkan karena selain dapat mempercepat
proses bisnis metode ini memicu penghematan biaya dan ramah
lingkungan. Pada akhirnya, metode elektronik kemudian terus digunakan
dan banyak dikembangkan hingga saat ini. Proses perkembangan tersebut
telah melalui berbagai fase sebagai berikut:
Fase 1 – Pertukaran data elektronik/EDI
Fase 2 – Pengembangan web yang mirip dengan dokumen kertas
Fase 3 – Pengembangan web yang memanfaatkan fitur komunikasi
internet
Fase 4 – Penggunaan internet untuk meningkatkan bisnis di dalam
organisasi
Fase 5 – Penggunaan internet untuk meningkatkan bisnis sepanjang
supply chain
Fase 6 – Penggunaan internet untuk menjalankan bisnis secara virtual

Internet adalah sebuah jaringan yang terdiri dari banyak entitas, baik
individu atau perusahaan. Untuk melakukan pengiriman informasi melalui
internet, pelaku bisnis elektronik saling berkomunikasi dan terhubung
melalui protokol TCP/IP yang memberikan identitas berupa angka unik (IP
Address) pada setiap unit komputer. IP Address atau alamat IP terdiri dari
dua jenis:
1. Berupa angka yang statis, yaitu seterusnya akan tetap sama untuk
satu komputer, atau
2. Berupa angka dinamis, yang akan berubah setiap kali pergantian sesi
pemakaian.

Setiap sistem aplikasi menyimpan data dengan cara yang berbeda.

Oleh karena itu, para pelaku bisnis online membutuhkan satu bahasa
universal untuk berkomunikasi. Bahasa universal yang digunakan bernama
HTML, yaitu bahasa yang berfokus pada bagaimana sebuah data
dipresentasikan dan XML, yang berfokus pada bagaimana sebuah data
dideskripsikan.

Bisnis elektronik dapat dengan mudah memberikan izin atas akses

terhadap sebagian dari sistem informasi yang dimiliki oleh perusahaan.
Maka dari itu, terdapat ancaman atas akses tanpa izin (unauthorized
access) yang dapat terjadi pada tingkat tertentu. Terdapat beberapa risiko-
risiko pengendalian yang dapat mengancam bisnis elektronik:
1. Risiko Privasi dan Kerahasiaan Informasi. Risiko ini mengancam
privasi dan kerahasiaan data, misalnya data kartu kredit konsumen,
atau data paten milik perusahaan.
2. Risiko Keamanan Informasi dan Ketersediaan Sistem. Risiko yang
menyebabkan pemberian akses tanpa izin terhadap informasi-
informasi transaksi, misalnya informasi terkait pembayaran yang
memuat nomor kartu kredit/debit dan identitas lengkap konsumen
serta adanya resiko dari pihak luar, misalnya serangan DDOS, yang
mengancam ketersediaan dan keandalan dari sistem. Pada risiko ini,
server dapat dipaksa untuk berhenti dari jarak jauh oleh pihak luar.
3. Risiko Integritas Transaksi dan Kebijakan Bisnis. Risiko yang
mengindikasikan bahwa pemrosesan bisnis oleh sistem tidak
dilakukan secara menyeluruh, akurat, tepat waktu, serta terotorisasi.
Kebijakan bisnis yang tidak mampu mengatur jalannya proses bisnis,
misalnya sales order, dengan baik juga termasuk ke dalam risiko ini.

Bisnis elektronik memiliki beberapa aplikasi khusus (specialized

application) yang membawa risikonya masing-masing secara spesifik.
Secara umum, risiko ini dapat dikategorikan menjadi dua; 1) Risiko yang
muncul karena adanya pihak ketiga dan 2) Risiko yang muncul karena
kemampuan/fitur yang tersedia di aplikasi itu sendiri.

Risiko pertama meliputi Electronic Data Interchange (EDI) dan

Collaborative Commerce. EDI memfasilitasi pertukaran data secara online
yang membutuhkan penginstalan software khusus. Penginstalan ini
memberi pilihan pada perusahaan untuk bekerja sama dengan pihak
ketiga untuk menyediakan Value Added Network/VAN atau membuat jalur
komunikasi khusus (dedicated communication channel). Pada
Collaborative Commerce, perusahaan harus bekerjasama dengan pihak
ketiga untuk menyediakan layanan yang terintegrasi pada konsumen.
Adanya campur tangan pihak ketiga pada aplikasi-aplikasi khusus ini tentu
secara tidak langsung membawa risiko bahwa data dapat diakses oleh
banyak entitas. Salah satu prosedur audit yang dapat dilakukan adalah
memeriksa kredibilitas dari pihak ketiga, sehingga data dapat dipastikan
keamanannya secara reasonable (reasonable assurance).

Risiko kedua meliputi e-mail. E-mail adalah platform yang memberikan

layanan kirim-terima pesan melalui internet, dan sistem e-mail juga
merupakan sistem terbesar yang dimiliki perusahaan sehingga
memperbesar dampak dari risiko yang muncul. E-mail memiliki kapabilitas
yang memungkinkan adanya attachment berupa virus atau worm yang
dapat membahayakan informasi dan data pengguna. Selain itu, e-mail juga
memiliki kapabilitas untuk dapat disusupi oleh program penyadap
(eavesdropping program), mengirimkan spam, dan disusupi oleh trojan
horse.

IT Auditor akan menemukan banyak sekali tantangan, terlebih lagi apabila

perusahaan yang diaudit memiliki relasi dengan pihak ketiga yang jumlahnya
tidak sedikit. Maka dari itu, sesuai dengan yang diatur dalam Statement of
Auditing Standards No. 70 (SAS 70), IT Auditor harus memahami hubungan
antara perusahaan (klien) dengan pihak ketiga dan juga memeriksa efisiensi
dan keefektifan proses bisnis pihak ketiga kepada klien dan pengendalian atas
proses bisnis tersebut. Apabila pihak ketiga tersebut ternyata memberikan
jasa asurans kepada klien, IT Auditor juga harus memeriksa kompetensi dan
independensi dari pihak ketiga yang menyediakan jasa asurans tersebut.

Referensi  
Hunton, E. James. 2004. Core Concept of Information Technology Auditing. 1sted.
John Wiley & Sons.