AUDIT SISTEM INFORMASI

CONDUCTING AN INFORMATION SYSTEM AUDIT

Kelompok 8
Rizki Syafwan 24010313120003
Fany Herlina 24010313120004
Indra Malik 24010313120007
Mariza Putri 24010313120022
Miqdad Izzudin 24010313140070

JURUSAN ILMU KOMPUTER/ INFORMATIKA

FAKULTAS SAINS DAN MATEMATIKA
UNIVERSITAS DIPONEGORO
SEMARANG
2015
 CHAPTER 5
Conducting an Information System Audit
Gambaran dari sebuah program yang ditawarkan yaitu perencanaan dan prosedur,
complain dan substantive testing, testing tools, dan process reporting.
A. Audit Program
Variasi dari aktifitas yang terlibat dalam pendefinisian audit program termasuk ke
dalam termasuk dalam prosedur berikut :
1. Audit checklist, merupakan list inti dari variasi test yang auditor harus lakukan dalam
suatu permintaan untuk menjelaskan dimana control kunci dimaksudkan untuk mutigasi
masalah yang segnifikan terhadap fungsi yang telah dibuat.
2. Resource planning, program audit membantu auditor system informasi untuk
merencanakan sumberdaya yang dibutuhkan.
3. Consistency, penggunaan program audit dan checklist membantu untuk menunjang
konsistersi di dalam test yang dilakukan ketika auditing sebuah proses yang segnifikan
atau keseluruhan system dalam satu siklus.
Audit program tergabung ke dalam 6 kategori berdasarkan control system informasi yaitu:
1. Organisasi dan administrasi
2. Perawatan program dan system development
3. Mengakses file data dan database
4. Application controls
5. Network controls
6. Continuity of operation yang terdiri dari :
a. Perlindungan fisik dan lingkungan
b. Fisik dan logic akses control
c. Personnel policies
d. Jaminan
e. Backup procedure
f. Disaster recovery plant

B. Audit Plant
Audit plant adalah karakteristik dengan aktivitas yang bervariasi, yang dapat
didiskusikan sebagai berikut :
1. Engagement letter, pada tahap perencanaan auditor dari luar memutuskan dimana
perjanjian seharusnya diterima. Jika pilihan untuk menerima perjanjian, auditor
dibutuhkan untuk mendapatkan surat perjanjian yang mendefinisikan cakupan dari
tugas. Surat perjanjian harus terdapat :
a. Proses informasi untuk mengaudit, menspesifikasikan cakupan audit dalam
perubahan proses yang terlibat.
b. Asset informasi untuk mengkover, beberapa sistem informasi bisa saja terlibat
banyak asset informasi. Audit engagement harusnya menspesifikasikan asset
yang temasuk didalam cakupan audit.
c. Objek audit, audit adalah ekspresi yang utama dari pendapat bagi auditor.
Perubahan perjanjian harus menspesifikasikan aspek apa saja dari system
informasi yang dibutuhkan untuk dikomentari
2. Background overview, auditor dilihat sebagai background informasi tentang klien,
legal obligasi, bisnis, dan industry. Auditor mengerti tujuan-tujuan dari tugas,
mendapatkan background informasi, mengerti tugas staf yang semestinya, dan
mengindentifikasi masalah audit.
3. Materiality level, adalah pengaturan setelah membuat keputusan tentang level atau
yang dapat diterima dalam masalah audit. Beberapa area dan beberapa unit mungkin
dapat terjadi error, irregularity, ketidakefektifan, dan ketidakefisien.
4. Technique used for information system planning, teknik yang bervariasi yang
digunakan auditor termasuk audit area selection, simulation and modelling, scoring,
competency center.
a. Audit area selection, teknik yang mengaplikasikan banyak lokasi dalam system
komputer yang komplek. Hal itu membantu auditor untuk mengidentifikasi area
dimana audit membutuhkan perhatian yang tinggi. Ini dapat membantu
mengoptimasi batasan penggunaan sumber daya yang efektif.
b. Simulation and modelling, prosedur audit yang digunakan untuk memonitor
transaksi yang dipilih dalam basis secara berkala.
c. Scoring, dalam teknik ini karakteristik dari sebuah system aplikasi
diindentifikasi dan di kubuitas score tersebut diperoleh dari setiap karakteristik
dan turunan dari score tersebut.
d. Competency center, alternative atau teknik untuk mensentralisasi audit.
Diselenggarakan dari lokasi sentralisasi menggunakan software editing dan
 proses lain. Lokasi lainnya dikunjungi secara selektif untuk mengevaluasi
control yang dibutuhkan verifikasi fisik.
C. Audit Procedures and Approaches
Audit system informasi yang paling banyak mengidentifikasi kesalahan dan untuk
mengevaluasi control yang cukup di dalam system informasi yang vital. Tahapan-tahapan
yang terlibat dalam proses audit system informasi adalah :
1. Obtain the background information, informasi tentang organisasi termasuk operasi,
pekerjaan, system computing yang didapatkan oleh auditor saat pengerjaan audit.
2. Understanding the control, auditor membuat suatu evaluasi dari kontrol-kontrol, apa
kelebihannya, kekuranggannya dan kehandalan control tersebut. Control internal
disini termasuk :
a. Control environment, terdiri dari management philosophy, responsibility,
authority assignment, struktur dan fungsi dari komisi yang mengaudit dan
metodologi perhitungan performa dan monitoring.
b. Risk assessment, penanganan ini membantu auditor dalam mengidentifikasi area
berbahaya dengan memprioritaskan yang sama.
c. Control activities, termasuk akses authorization, duties dll. Control yang cukup
dan efektifitas control juga membutuhkan penalaran.
d. Information and communication, termasuk aturan yang sudah ada dan tanggung
jawab dari information generation and exchange control.
e. Monitoring, memantau dan menganalisis operasi control internal.
3. Developing the audit plan
Pengembangan dari sebuah rencana audit dan program audit untuk menjadwalkan
sebuah audit komponen yang kritis untuk proses audit.
4. Compliance test of controls
Rangkuman complain dan test menyajikan jaminan bahwa control system berfungsi
seperti yang diinginkan.
5. Use of analytical review procedures
Various ration, trends dan hubungan antara data item memungkinkan ditinjau
menggunakan prosedur matematika untuk mengidentifikasi area yang akan
dibutuhkan kedepannya.
6. Substantive test of details of transactions
Didesain berdasarkan tingkat kepuasan dan kepercayaan dari hasil complain test.
7. Summary of evidences
 Ringkasan dari audit, fakta-fakta selama pengauditan.
8. Evaluation and opinion
Auditor akan membuat formulir dan sebuah opini audit.
D. System understanding and review
Fungsi auditor harus familiar dengan komponen yang beragam. Auditor membutuhkan
pembelajaran input yang bervariasi, proses data, dan output yang bervariasi.
E. Compliance review and tests
Test of controls, membantu mengkontrol pre-event dan deteksi error, penghilangan dan
ketidakaturan dan membantu mengurangi dampak merugikan dan bahaya yang
mendatang. Lima area selama proses complain review and tests:
1. A study of internal controls principles
2. An overview of application system
3. Industry standards (nature and type)
4. An outline of the computing standards
5. The control philosophy of the audit and tolerance
Setelah pengujian pengendalian yang dibuat auditor akan menilai kembali risiko kontrol
dan memutuskan prosedur lebih lanjut untuk audit dan alam, lingkup, dan saat
melaksanakan pengujian substantif. Dalam kasus ekstrim di mana tes kontrol yang
konklusif, auditor dapat membentuk opini audit pada tahap ini
Test of transaction: Sampel dari transaksi material yang ditelusuri dari inisiasi mereka
sampai akhir untuk menganalisis dampak dari berbagai kontrol aplikasi dan efisiensi dan
kehandalan mereka. Fokus pengujian tersebut tidak untuk menilai implikasi keuangan,
tetapi untuk memahami aliran proses melalui sistem.
Keseluruhan tes: Sebelum membentuk pendapat akhir pada tingkat kesalahan, salah saji
dan kelemahan dalam sistem, kegagalan untuk menjaga aset, dan kegagalan untuk menjaga
integritas data, auditor akan melakukan tes mengingat sistem secara keseluruhan.
Audit trails: Jejak audit memberikan jejak dari inisiasi transaksi untuk disposisi melalui
semua poin menengah. Dalam sistem komputerisasi itu termasuk dokumen sumber,
menelusuri semua kegiatan pengolahan, dan output. Audit trails memiliki 8 item:
a. Docuent Number
b. Transaction logs
c. Control total
d. Error logs
e. Control grids
 f. Access rules
g. Run to run control totals
h. Exception and statistical reports
F. Substantive review and tests
Menentukan validitas dari kelas-kelas transaksi dan informasi yang muncul oleh system.
Terlibat dalam sebuah penelitian dan investigasi system dengan metode dan control yang
telah di aplikasikan untuk menjamin keefektifan, efisiensi dan akurasi input, processing
dan output. Prosedur yang dijelaskan ada lima yaitu:
1. Confirmation, memverifikasi fakta atau kondisi dengan korensponden pihak ketiga,
contohnya vendor.
2. Inspection, terlibat dalam perhitungan fisik dan pengujian asset system informasi.
3. Reperformance, informasi yang disajikan system bertingkat dari sebah hasil
komputasi, perbandingan, rangkuman oleh system informasi.
4. Document review, pengujian review dan pengujian fakta-fakta yang mendukung
sebuah proses atau item untuk menentukan validitasnya.
5. Reconciliation, mengandung identifikasi dan accounting perbedaan antara dua nilai
yang seharusnya disetujui.
G. Audit Tools and Technique
Alat yang biasa digunakan dalam melakukan audit sistem informasi antara lain tujuh item
berikut:
1. Daftar periksa Audit
2. Wawancara
3. Observasi
4. Kuesioner pengendalian intern
5. Sampling Statistik dan menghakimi
6. Sistem Aplikasi dan Program flowchart
7. Audit software
Selain daftar ini, ada sejumlah teknik khusus menggunakan audit komputerisasialat untuk
menguji rutinitas komputasi, logika program, atau sistem aplikasi secara keseluruhan
dengan tujuan untuk menentukan efektivitas kontrol, akurasi pemrosesan komputer, dan
prosedur pemrosesan yang lebih spesifik. Beberapa teknik ini dibahas dalam bagian
berikut.
Kontrol Pengujian Program Aplikasi Komputer
Berbagai teknik yang digunakan untuk kontrol pengujian program aplikasi komputer
meliputi
empat metode:
1. Test data method: Metode ini memverifikasi akurasi pengolahan oleh programs.
Aplikasi ini dicapai dengan menjalankan program-program ini menggunakan set
disiapkan secara manual kasus uji, dan data uji yang hasilnya standar dari pengolahan
dikenal. Hasil dari pengolahan dibandingkan dengan hasil yang diharapkan untuk
memverifikasi apakah logika program sudah benar dan konsisten.

2. Base Case System Evaluation: Ini adalah teknik yang menerapkan penstandardan data,
input, parameter, dan output disebut kasus dasar untuk program aplikasi komputer. Hasil
dari sistem yang dinilai berdasarkan kriteria set. Ini merupakan perpanjangan dari metode
data uji kecuali bahwa kasus dasar adalah seperangkat standar. Hal ini sangat berguna
dalam kasus pengujian efektivitas perangkat lunak yang berbeda terhadap aplikasi
tertentu.
3. Integrated test facility: Ini adalah teknik untuk meninjau logika program aplikasi dan
fungsi-fungsi untuk memungkinkan auditor dengan bukti prosedur operasi diamati dan
kondisi penanganan error. Auditor memberikan input data uji untuk entitas fiktif dan
output dari pengolahan data tersebut dibandingkan dengan hasil tes precalculated dan
standar.
4. Parallel simulation: Metode simulasi paralel memproses data hidup melalui program
uji. Program simulasi paralel antara logika aplikasi, perhitungan, dan kontrol yang
relevan dengan tujuan audit tertentu.

Selecting/Monitoring Data Processing Transactions

Ada berbagai teknik untuk memilih atau pemantauan transaksi pengolahan data. Tiga
teknik yang umum digunakan adalah sebagai berikut:
1. Transaction Selection: Metode ini memungkinkan auditor untuk memeriksa dan
menganalisis volume transaksi dan tingkat kesalahan dan secara statistik transaksi
sampel yang ditentukan. Salah satu aplikasi yang umum akan meninjau volume data yang
hilang selama transmisi dan tingkat standar untuk kehilangan data tersebut.
2. Embedded Audit Data Collection: dirancang khusus modul pengumpulan data yang
tertanam dalam sistem aplikasi komputer untuk memilih dan merekam data untuk analisis
dan evaluasi selanjutnya. Teknik ini dimaksudkan untuk menyoroti transaksi yang tidak
biasa dan tunduk mereka untuk mengaudit dan pengujian. Menghitung jumlah kali item
ditarik dari persediaan akan menjadi contoh dari pengujian tersebut, karena data ini akan
menyoroti gerakan yang tidak biasa.

3. Extended Records: catatan yang diperpanjang mencakup semua data yang signifikan
dari semua sistem aplikasi komputer yang memberikan kontribusi untuk pengolahan
transaksi, yang mana auditor dapat gunakan untuk review audit dan analisis.

Verifikasi Data

Alat umum yang digunakan untuk verifikasi data selama audit sistem informasi termasuk
tiga berikut:

1. Generalized audit software: Program-program ini membantu auditor untuk

mengekstrak dan menganalisis data. Keuntungan-keuntungannya mencakup kemampuan
untuk membaca seluruh file dari sampel; untuk mengekstrak semua pengecualian secara
statistik memproyeksikan tingkat pengecualian dalam file aplikasi tertentu; dan untuk
menentukan karakteristik data dan profil data.
2. Terminal audit software: Sebuah perangkat lunak audit terminal mengakses, ekstrak,
memanipulasi, dan menampilkan data dari database online, termasuk log dan database
event, menggunakan perintah penyelidikan terminal jarak jauh.
3. Customized audit programs: Program ini khusus dikembangkan untuk mengekstrak
dan melaporkan data dari file data system aplikasi yg spesifik dan mengakses catatan.

Menganalisis Program Aplikasi

Analisis program aplikasi melibatkan berbagai teknik. Empat teknik populer dibahas di
sini.

1. Snapshots: Sebuah teknik yang mengekstrak data yang berada dalam memori
komputer yang mungkin berisi elemen data yang terlibat dalam proses pengambilan
 keputusan terkomputerisasi. Snapshot ini biasanya diperoleh pada saat keputusan dibuat
untuk merekam variabel yang digunakan oleh sistem untuk membuat keputusan.
2. Tracing: Sebuah teknik audit yang memungkinkan auditor dengan kemampuan
melakukan suatu walkthrough elektronik aplikasi komputer.
3. Mapping: ini dilakukan oleh alat pengukuran kinerja perangkat lunak yang
menganalisis program komputer selama eksekusi dan menunjukkan pernyataan program
yang mana yang telah dieksekusi dan waktu CPU yang digunakan oleh setiap segmen
program.
4. Kontrol flowcharting: Sebuah teknik grafis atau flowchart untuk menyederhanakan
identifikasi dan hubungan kontrol dapat sangat membantu dalam mengevaluasi
keberadaan dan kecukupan kontrol tersebut.

Other Tools and Techniques

Selain alat-driven kontrol generik dan teknik, ada beberapa alat dan teknik lain yang
digunakan oleh auditor sistem informasi. Dua dari yang umum dibahas di sini.

1. Utility programs: Program Utility dapat digunakan untuk memeriksa status port
komunikasi, volume lalu lintas jaringan, insiden permintaan data yang spesifik, mencari
file yang telah dihapus, dan sebagainya.
2. Query language software: Ini adalah alat yang user-friendly yang ditulis untuk orang-
orang yang bukan programmer dengan menu dan mendorong layar yang menerima
pertanyaan dan permintaan dari pengguna.

H. Sampling Technique
Auditor sering melakukan tes kontrol untuk tujuan tingkat perkiraan penyimpangan
dari kebijakan pengendalian atau prosedur. Tes tersebut memungkinkan auditor untuk
memastikan frekuensi penyimpangan tersebut. Sampling adalah teknik yang berguna
untuk membuat penilaian bias-bebas tanpa memverifikasi setiap satu instance dari
penggunaan proses.
1. Auditor harus mendefinisikan masalah secara memadai untuk dapat mengidentifikasi
apa yang diukur, kebutuhan informasi yang relevan, dan prosedur pengujian yang
akan digunakan.
2. Auditor harus memastikan ukuran populasi dan karakteristik.
 3. Auditor harus mempelajari kelebihan dan kelemahan dari sistem pengendalian
internal.
4. Tingkat kesalahan maksimum yang dapat diterima oleh auditor harus diputuskan.
5. Kesimpulan tentang populasi akan diambil dari hasil sampling
I. Audit Questionnaire
Kuesioner adalah daftar checking bahwa auditor digunakan saat query audite.
Penggunaan standar checklist menjamin konsistensi penghakiman pada keandalan kontrol
atas sistem aplikasi. Kuesioner memecah proses review menjadi langkah-langkah yang
ditetapkan, memastikan bahwa auditor melakukan semua langkah sebelum membentuk
setiap pendapat tentang berfungsi dari kontrol. Ada tiga aspek utama dari desain kuesioner:
1. Design of questions, melibatkan mengidentifikasi aspek audit yang akan ditutupi oleh
kuesioner.
2. Desain dari skala respon, respon dari auditee mungkin objektif atau subjektif. Bahkan
ketika tanggapan yang bersifat obyektif, mereka mungkin biner-ya atau tidak-atau
skala, misalnya, skala 1 sampai 5, di mana 1 menunjukkan perjanjian lengkap dengan
pertanyaan dan 5 menunjukkan ketidaksetujuan lengkap.
3. Desain tata letak dan struktur kuesioner, kuesioner dapat dirancang agar sesuai
dengan baik proses auditee atau aplikasi. Sebagai contoh, seseorang mungkin
memiliki pertanyaan tentang proses kontrol akses, yang berlaku di semua aplikasi,
atau satu juga mungkin memiliki pertanyaan tentang aplikasi tertentu.
Terdapat 4 panduam dalam merancang questionnaires:
1. The characteristic of the user group, pertanyaan-pertanyaan harus spesisfik.
2. The nature of the information sought, Auditor dapat menggunakan kuesioner untuk
memperoleh baik fakta atau opini.
3. Methodology of administering the questionnaire, Pertimbangan ini mendefinisikan
sejauh mana pertanyaan harus jelas. Jika auditor mengelola kuesioner, dapat
diasumsikan bahwa auditor mampu menjawab pertanyaan dan mengklarifikasi
setiap ambiguitas yang muncul.
4. Choice of the layout and structure, Tujuan dari perancangan kuesioner adalah untuk
mencapai tata letak dan struktur yang sederhana, logis, dan menarik secara visual.
J. Audit Documentation
Selama audit sistem informasi, auditor memeriksa berbagai catatan, mempelajari
berbagai informasi dan data, mengamati prosedur kerja termasuk tampilan layar, dan
wawancara berbagai personil. Proses ini menghasilkan bukti bahwa sistem informasi
auditor mengevaluasi untuk membentuk pendapat atas kecukupan dan efektivitas
pengendalian internal, dan efisiensi dan faktor-faktor lain di bawah lingkup audit sistem.
Sangat penting bahwa dokumen auditor dan aman menyimpan bukti-bukti ini untuk
pengambilan masa depan.
Dokumentasi audit juga disebut sebagai Audit working paper. Audit working paper
biasanya dijaga di dua file-file permanen dan file saat ini. File permanen mungkin berisi,
antara bahan lain, sebagai berikut:
a. Organization structure entitas audit
b. Information systems policies of the auditee
c. Historical background of the information system in the auditee entity
d. Extracts of copies of relevant legal documents
e. Report of evaluation of internal controls related to information systems
f. Copies of past information systems audit reports and observations
File biasanya berisi:
a. Engagement letter.
b. Audit program.
c. Report yang mencangkup sifat, waktu, dan luas prosedur audit yang dilakukan berserta
hasil audit prosedure tersebut.
d. Salinan komunikasi dan risalah rapat dengan auditee.
e. Representasi dan konfirmasi yang diterima dari auditee.
f. Observasi dan kesimpulan auditor pada aspek signifikan dari audit.
g. Ekstrak, termasuk screenshot, laporan data dan sistem yang digunakan untuk
membentuk opini audit.
Untuk dokumentasi audit dapat digunakan dan dapat diterima sebagai bukti, harus
memenuhi kriteria tertentu yang luas, termasuk yang berkaitan dengan tujuh bidang
berikut:
1. Sebuah record dari poin yang dibahas dalam sebuah wawancara harus menentukan:
a. Topik diskusi.
b. Orang yang diwawancarai bersama dengan nya penunjukan dan peran dalam
organisasi auditee.
c. Waktu dan tempat wawancara.
d. Jika ada respon tertentu, pertanyaan yang mendorong respon.
2. Physical observations made
3. Reports and data obtained from the system
 4. Auditor mungkin jelas menandai komentar dan pertanyaan yang beredar di
dokumentasi.
5. Keterangan dan persetujuan dari senior atau rekan
6. Dokumentasi harus mempertahankan kontrol versi dan menjaga salinan waktu dicap
rancangan dan laporan akhir.
7. Di mana pun bukti itu diperoleh dengan adanya auditee, auditor harus mencoba untuk
mendapatkan dukungan dari auditee dalam dokumentasi.
K. Audit report
Audit Report merupakan komunikasi tertulis formal auditor dengan auditee dan
manajemen. Sejak laporan audit memberikan pernyataan singkat tentang apa yang
ditemukan dan membentuk pendapat yang timbul dari pelaksanaan audit, laporan audit
adalah titik fokus untuk auditor dan bagi semua orang yang mengandalkan pekerjaan
auditor.
Struktur laporan audit sangat penting untuk komunikasi yang efektif dari hasil audit.
Laporan audit harus mencakup delapan unsur-unsur berikut:
1. Ringkasan eksekutif dari temuan yang tidak memerlukan pengetahuan teknis untuk
memahami
2. Identifikasi lingkup pekerjaan dan tujuan yang ingin dicapai
3. Identifikasi fungsi dan operasi
4. Latar atau pengantar pernyataan
5. Ekspresi sebuah pendapat tentang efektivitas, keamanan, efisiensi, dan integritas
sistem
6. Temuan lengkap didukung oleh bukti
7. List temuan yang memerlukan baik pengetahuan teknis atau keahlian operasi
8. Kesimpulan menyoroti prestasi audit
Opini yang terdapat dalam audit report mengarah pada 4 tipe:
1. Disclaimer: sistem informasi auditor merasa bahwa karena bukti yang cukup, tidak
ada pendapat dapat dinyatakan.
2. Adverse ( Merugikan) : Sistem Informasi auditor berpendapat bahwa auditee telah
gagal untuk menunjukkan kompetensinya sesuai dengan tujuan audit. Misalnya,
jika tujuan audit adalah untuk menilai kesiapan keamanan, maka auditee tidak bisa
menunjukkan kesiapan yang memadai.
3. Qualified: Pendapat ini menunjukkan bahwa auditee sesuai dengan tujuan audit
dengan beberapa penyimpangan. Penyimpangan ini tidak penting untuk menjamin
 pendapat yang merugikan tetapi berpotensi dapat membahayakan pencapaian
tujuan.
4. Unqualified: Auditor berpendapat bahwa auditee telah menunjukkan kompetensi
dalam pencapaian tujuan audit. Ketika auditor membuat setiap opini audit yang
berkualitas, alasan harus dimasukkan dalam laporan, menyatakan kondisi, dampak,
asal, langkah-langkah pencegahan yang diperlukan, dan lain rekomendasi sehingga
auditor dapat dianggap bijaksana
L. Audit Approaches
Audit system informasi mengadopsi pendekatan audit yang melengkapi kebutuhan dari
audit. Pendekatan audit terbagi menjadi tiga yaitu :
Auditing around the computer, pendekatan audit yang tidak langsung dimana
system yang mengaudit melakukan pengujian input dan outputnya. Auditor berbasis
mengguji dan mengevaluasi copy dari input dan output yang di print, dan control
menajemen yang diimplementasikan. Teknik audit dapat di aplikasikan pada 6 kodisi
berikut :
a. The system simple and essentially involves repetitive function
b. Inherent risk is low
c. Processing logic is simple
d. Separation of duties and management
e. Processing consist input of data and updating
f. Audit trails are clear
Teknik yang digunakan oleh auditor melalui pendekatan :
Auditor menghitung hasil yang sudah diperkirakan dari transaksi yang masuk. Kemudian
auditor membandingkan nilai-nilai ini dengan hasil yang ada di komputer. Jika hasilnya
akurat dan valid, maka system tersebut efektif dan berjalan dengan baik. Pendekatan ini
memiliki batasan :
1. Berguna hanya pada system yang simple
2. Metode tidak menguji kemampuan system dengan perubahan dan input non-standar.
3. Memverifikasi keakuratan output tapi tidak berdasarkan logika program yang benar dan
efisien.
a. Auditing with computer, pendekatan audit yang menggabungkan teknik dan tools
yang sama dengan computer-assisted audit technique atau (CAAT). CAAT
terlibat menggunakan kompter dalam membantu auditor mengembangkan
observasi dan mengembangkan opini.
 b. Auditing through the computer, komputer digunakan untuk menguji logika proses
dan akurasi record yang dihasilkan system informasi. Teknik ini digunakan
diproses operasi yang kompleks, berfokus menguji logika program dan review
yang rutin dan kontroll program.
M. Audit Objectives and Scope
1. Utilization objective of information system assets.
2. Security objectives for information system assets.
3. Security settings for individual users as well as groups.
4. Account policies governing privileges associated with a type of account.
5. Local policies defining the operating environment provided on a system.
6. User rights assigned to individual users or groups.
7. Security options available and the rationale behind selecting those implemented.
8. Passwords policies along with implementation status.
9. User training and awareness.
N. Audit process
Proses system audit system informasi membandingkan perbedaan langkah-langkah yang
mencakup:
1. Conduct an opening meeting with the auditee to reiterate the audit objective and define
resource requirement.
2. Finalize audit plan and confirm it with the auditee.
3. Conduct risk analysis exercise to identify areas that need special focus.
4. Identify, test, and evaluate adequacy and efficiency of controls.
5. Conduct risk assessment based on preliminary risk assessment and test of controls.
6. Initiate substantive testing-based risk assessment.
7. Draft report and discuss the same with the auditee.
8. Conduct closing meeting.
9. Finalize and issue the audit report.
O. Testing techniques
Tehnik yang berbeda dapat digunakan pada pengujian dan evaluasi control, meliputi:
1. Interviews and inquiry.
2. Inspection of documents including policies and procedures.
3. Selective confirmation of documents, particularly those pertaining to external
agencies.
4. Observation of procedures including outcome.
5. Reperformance of procedures to ascertain or verify that the generation of outcome is
the same or similar to the original outcome.
6. Performance of selected tests on critical transactions and activities.
7. Performance of analytical procedures to assess technical efficiency wherever
applicable.