Audit sistem informasi dalam suatu organisasi dapat memiliki banyak programmer dan analis,

komputer, dan ribuan file, walaupun tidak semua organisasi sebesar ini. Namun, untuk organisasi
kecil, auditor biasanya tidak dapat melakukan pemeriksaan terperinci atas semua pemrosesan data
yang dilakukan dalam fungsi sistem informasi. Sebagai gantinya, mereka harus mengandalkan
sampel data untuk menentukan apakah tujuan audit sistem informasi tercapai. Bagaimana,
kemudian, kita dapat melakukan audit sistem informasi sehingga kita memperoleh kepastian yang
masuk akal bahwa organisasi telah dapat melindungi aset pemrosesan datanya, mempertahankan
integritas data, dan mencapai efektivitas dan efisiensi sistem. Hal terebut dimulai dengan
memeriksa sifat kontrol dan mendiskusikan beberapa teknik untuk menyederhanakan dan
memberikan urutan kompleksitas yang dihadapi ketika membuat penilaian evaluasi pada sistem
informasi berbasis komputer. Selanjutnya kita mempertimbangkan beberapa risiko dasar yang
dihadapi auditor, bagaimana risiko ini memengaruhi pendekatan keseluruhan terhadap audit dan
jenis prosedur audit yang digunakan untuk menilai atau mengendalikan tingkat risiko tersebut.
Kemudian mempertimbangkan langkah-langkah dasar yang harus dilakukan dalam melakukan
audit sistem informasi. Terakihir memeriksa keputusan utama yang harus dibuat oleh auditor
ketika merencanakan dan melaksanakan audit sistem informasi, yaitu, seberapa banyak yang perlu
mereka ketahui tentang cara kerja internal sistem informasi berbasis computer sebelum audit yang
efektif dapat dilakukan.

The Nature of Controls:

Auditor sistem informasi pada akhirnya memperhatikan evaluasi keandalan atau efektivitas
operasi kontrol. Karena itu, penting bagi kita untuk memahami apa yang dimaksud dengan kontrol.
Kontrol adalah sistem yang mencegah, mendeteksi, atau memperbaiki peristiwa yang melanggar
hukum. Ada tiga aspek utama dari definisi ini. Pertama, kontrol adalah sistem. Dengan kata lain,
itu terdiri dari satu set komponen yang saling terkait yang berfungsi bersama untuk mencapai
beberapa tujuan keseluruhan. Kedua, fokus kontrol adalah peristiwa yang melanggar hukum. Suatu
peristiwa yang melanggar hukum dapat muncul jika input yang tidak akurat, tidak lengkap,
berlebihan, tidak efektif atau tidak efisien memasuki sistem. Misalnya, petugas entri data mungkin
memasukkan data yang tidak lengkap ke dalam sistem. Peristiwa yang melanggar hukum juga
dapat muncul jika sistem mengubah input dengan cara yang tidak sah, tidak akurat, tidak lengkap,
berlebihan, tidak efektif, atau tidak efisien. Ketiga, kontrol digunakan untuk mencegah,
mendeteksi, atau memperbaiki peristiwa yang melanggar hukum. Mempertimbangkan beberapa
contoh:

1. Kontrol preventif: Instruksi ditempatkan pada dokumen sumber untuk mencegah panitera salah
mengisinya. Perhatikan bahwa kontrol hanya berfungsi jika instruksi cukup jelas dan petugas
cukup terlatih untuk memahami instruksi. Dengan demikian, baik petugas dan instruksi adalah
komponen dari sistem yang merupakan kontrol. Instruksi sendiri bukan kontrol.
2. Kontrol detektif: Program input mengidentifikasi data yang salah dimasukkan ke sistem melalui
terminal. Sekali lagi, kontrol adalah suatu sistem karena berbagai bagian dari program harus
bekerja bersama untuk menunjukkan kesalahan.
3. Kontrol korektif: Suatu program menggunakan kode khusus yang memungkinkannya untuk
mengoreksi data yang rusak karena kebisingan pada saluran komunikasi. Sekali lagi, kontrol
adalah sistem karena berbagai bagian program harus bekerja bersama dengan kode koreksi
kesalahan untuk memperbaiki kesalahan.

Tugas auditor adalah menentukan apakah ada kontrol dan bekerja untuk mencegah peristiwa yang
melanggar hukum yang mungkin terjadi dalam suatu sistem. Auditor harus peduli untuk melihat
bahwa setidaknya ada satu kontrol yang ada untuk mencakup setiap peristiwa melanggar hukum
yang mungkin terjadi. Biasanya, beberapa peristiwa yang melanggar hukum dalam suatu sistem
tidak akan ditanggung karena kontrol yang hemat biaya tidak dapat ditemukan. Sekalipun suatu
peristiwa yang melanggar hukum dicakup oleh suatu kontrol, namun, auditor harus mengevaluasi
apakah kontrol tersebut beroperasi secara efektif.

Dealing with Complexity

Melakukan audit sistem informasi adalah latihan dalam menghadapi kompleksitas. Karena
kompleksitas adalah akar penyebab masalah yang dihadapi oleh banyak profesional (mis. Insinyur,
arsitek), peneliti telah berupaya mengembangkan pedoman yang mengurangi kompleksitas. Dalam
subbagian berikut, kami mempertimbangkan dua garis pedoman utama yang mendasari pendekatan
yang diambil ketika melakukan audit sistem informasi:

1. Mengingat tujuan audit sistem informasi, faktor sistem yang akan dievaluasi menjadi subsistem.
2. Tentukan keandalan masing-masing subsistem dan implikasi dari tingkat keandalan masing-
masing subsistem untuk keseluruhan tingkat keandalan dalam sistem.

Anjak Subsistem:

Langkah pertama dalam memahami sistem yang kompleks adalah memecahnya menjadi subsistem.
Subsistem adalah komponen dari suatu sistem yang melakukan beberapa fungsi dasar yang
dibutuhkan oleh keseluruhan sistem untuk memungkinkannya mencapai tujuan fundamentalnya.
Subsistem adalah komponen logis daripada fisik, komponen, Dengan kata lain, Anda tidak dapat
"menyentuh" suatu subsistem. Itu hanya ada di mata yang melihatnya. Sebagai contoh, kita tidak
dapat melihat subsistem input dalam sistem komputer. Alih-alih, kita melihat hal-hal seperti
terminal dan petugas entri data yang berfungsi untuk memasukkan data ke dalam sistem, tetapi hal-
hal ini adalah komponen dari subsistem input dan bukan subsistem itu sendiri.

Kedua, setiap subsistem harus terpadu secara internal. Semua aktivitas yang dilakukan oleh
subsistem harus diarahkan untuk mencapai fungsi tunggal. Jika tujuan ini dapat dicapai, akan lebih
mudah bagi auditor untuk memahami dan mengevaluasi kegiatan yang dilakukan oleh subsistem.

Pemahaman tentang sistem yang kompleks hanya dapat diperoleh jika masing-masing bagiannya
dapat dipelajari secara relatif independen dan kegiatan yang dilakukan oleh masing-masing bagian
jelas. Ketika kita mendekomposisi suatu sistem menjadi subsistem, oleh karena itu, kita harus
mengevaluasi sejauh mana penggandaan dan kohesi pada subsistem yang kita pilih. Jika subsistem
tidak digabungkan secara longgar dan kohesif secara internal, kita harus mencoba anjak piutang
yang berbeda. Jika tidak ada anjak piutang yang menggambarkan subsistem yang memiliki
karakteristik ini, kami akan mengalami kesulitan mengevaluasi keandalan sistem karena
kegiatannya terlalu berbelit-belit. Memang, auditor telah lama menyadari bahwa beberapa sistem
tidak dapat diaudit. Teori kopling dan kohesi memberikan dasar pemikiran untuk kesimpulan ini
ketika sistem tersebut ditemukan.
Menilai Keandalan Subsistem:

Setelah kami mengidentifikasi subsistem tingkat terendah dalam struktur tingkat subsistem kami,
kami dapat mengevaluasi keandalan kontrol. Dimulai dengan subsistem tingkat terendah, pertama-
tama kami mencoba mengidentifikasi semua jenis peristiwa yang mungkin terjadi dalam subsistem
ini. Kita harus memperhatikan baik kejadian sah maupun tidak sah yang dapat terjadi.

Sebagai dasar untuk mengidentifikasi peristiwa yang sah dan tidak sah dalam subsistem
manajemen, kami fokus pada fungsi utama yang dilakukan setiap subsistem. Kami
mempertimbangkan bagaimana setiap fungsi harus dijalankan dan kemudian mengevaluasi
seberapa baik suatu subsistem sesuai dengan pandangan normatif kami.

Untuk mengidentifikasi semua peristiwa yang mungkin muncul dalam sistem aplikasi sebagai
akibat dari suatu transaksi, kita harus memahami bagaimana sistem itu cenderung memproses
transaksi. Secara historis, auditor telah menggunakan teknik penelusuran untuk mencapai tujuan
ini. Mereka mempertimbangkan transaksi tertentu, mengidentifikasi komponen tertentu dalam
sistem yang memproses transaksi dan kemudian mencoba memahami setiap langkah pemrosesan
yang dijalankan masing-masing komponen. Mereka juga mempertimbangkan kesalahan atau
penyimpangan (peristiwa yang melanggar hukum) yang mungkin terjadi di sepanjang jalan.

Evaluasi keandalan berlanjut ke atas dalam struktur level suatu sistem. Subsistem tingkat bawah
adalah komponen dari sistem tingkat yang lebih tinggi. Ketika keandalan sistem tingkat bawah
telah dinilai, dampaknya pada sifat dan frekuensi kejadian yang melanggar hukum dalam sistem
tingkat yang lebih tinggi dapat dievaluasi. Evaluasi berlangsung sampai sistem tingkat tertinggi
(seluruh sistem) telah dipertimbangkan. Untuk setiap sistem di setiap level dalam struktur level,
langkah-langkah evaluasinya sama. Transaksi yang mungkin memasuki sistem diidentifikasi
terlebih dahulu. Peristiwa sah dan melanggar hukum yang dapat terjadi sebagai akibatnya kemudian
dipertimbangkan. Akhirnya, keandalan kontrol yang mencakup peristiwa yang melanggar hukum
dinilai.

Auditor harus berhati-hati dengan proses pengumpulan bukti dan penilaian evaluasi, terutama
ketika mereka mulai memperbaiki penilaian evaluasi dalam subsistem tingkat yang lebih rendah
dan beralih ke subsistem dan sistem tingkat yang lebih tinggi.
Steps in Information System Audit:

1. Menetapkan Ketentuan Pengikatan:

Ini akan memungkinkan auditor untuk mengatur ruang lingkup dan tujuan hubungan antara auditor
dan organisasi. Surat perikatan harus membahas tanggung jawab (ruang lingkup, kemandirian,
hasil), otoritas (hak akses ke informasi), dan akuntabilitas (hak auditee, tanggal penyelesaian yang
disepakati) auditor.

2. Tinjauan Awal:

Fase audit ini memungkinkan auditor untuk mengumpulkan informasi organisasi sebagai dasar
untuk membuat rencana audit mereka. Tinjauan awal akan mengidentifikasi strategi dan tanggung
jawab organisasi untuk mengelola dan mengendalikan aplikasi komputer. Auditor dapat
memberikan tinjauan mendalam tentang sistem akuntansi organisasi untuk menetapkan aplikasi
mana yang signifikan secara finansial pada fase ini. Memperoleh data umum tentang perusahaan,
mengidentifikasi bidang aplikasi keuangan, dan menyiapkan rencana audit dapat mencapainya.

3. Dapatkan pemahaman tentang struktur kontrol:

Memahami struktur kontrol dalam suatu organisasi melibatkan memeriksa kontrol manajemen dan
kontrol aplikasi. Sistem kontrol internal harus dirancang dan dioperasikan untuk memberikan
jaminan yang masuk akal bahwa tujuan organisasi dicapai dalam kategori berikut: efektivitas dan
efisiensi

operasi, keandalan pelaporan keuangan, dan kepatuhan terhadap hukum dan peraturan yang
berlaku.

Untuk mengembangkan pemahaman mereka tentang kontrol internal, auditor harus

mempertimbangkan informasi dari audit sebelumnya, penilaian risiko yang melekat, penilaian
tentang materialitas, dan kompleksitas operasi dan sistem organisasi. Setelah auditor
mengembangkan pemahaman mereka tentang kontrol internal organisasi, mereka akan dapat
menilai tingkat risiko kontrol mereka (risiko kelemahan material tidak akan dapat dicegah atau
terdeteksi oleh kontrol internal).

4. Nilai risiko kontrol:

Setelah memperoleh pemahaman yang memuaskan dari pengendalian internal, auditor harus
menilai tingkat risiko pengendalian. Auditor menilai risiko pengendalian dalam hal masing-masing
asersi utama bahwa manajemen harus siap membuat item-item material dalam laporan keuangan.

- Keberadaan: Aset, kewajiban yang termasuk dalam laporan keuangan benar-benar ada.
- Kejadian: Semua transaksi mewakili peristiwa yang sebenarnya terjadi
- Kelengkapan: Semua transisi telah direkam dan disajikan
- Hak dan kewajiban: Aset adalah hak dan kewajiban adalah kewajiban organisasi pada tanggal
neraca
- Penilaian atau alokasi: Aset, kewajiban, ekuitas, cadangan dicatat pada jumlah yang benar
- Penyajian dan pengungkapan: Semua item laporan keuangan telah diklasifikasikan dengan
benar, dijelaskan dan diungkapkan

Setelah auditor memperoleh pemahaman tentang pengendalian internal, mereka harus

menentukan risiko pengendalian dalam kaitannya dengan setiap asersi.

1. Jika auditor menilai kontrol kurang dari tingkat maksimum, mereka pergi ke langkah
berikutnya dan menguji kontrol untuk mengevaluasi apakah mereka beroperasi secara efektif.
2. Jika auditor menilai risiko pengendalian lebih tinggi dari tingkat maksimum, mereka tidak
akan menguji kontrol sama sekali, dan melaksanakan prosedur pemeriksaan substantif
terperinci.

5. Uji kontrol:

Pada langkah ini auditor akan menguji kontrol untuk memastikan apakah mereka beroperasi
secara efektif atau tidak. Auditor akan melakukan pengujian aplikasi dan kontrol manajemen.
Fase ini biasanya dimulai dengan fokus pada kontrol manajemen. Jika pengujian menunjukkan
bahwa kontrol terhadap ekspektasi, kontrol manajemen tidak beroperasi dengan andal, mungkin
ada sedikit gunanya menguji kontrol aplikasi, dalam hal ini auditor dapat mengkualifikasi
pendapat mereka atau melakukan pengujian substantif secara terperinci.

6. Kontrol penilaian ulang:

Setelah auditor menyelesaikan tes kontrol, mereka kembali menilai risiko kontrol. Mengingat
hasil tes, mereka mungkin merevisi risiko kontrol yang diantisipasi ke atas atau ke bawah. Dengan
kata lain auditor dapat menyimpulkan bahwa kontrol internal lebih kuat atau lebih lemah daripada
yang diantisipasi. Mereka juga dapat menyimpulkan bahwa perlu melakukan lebih banyak tes
untuk lebih mengurangi pengujian substantif.

7. Penyelesaian audit:

Pada tahap akhir audit, prosedur audit dikembangkan berdasarkan pemahaman auditor tentang
organisasi dan lingkungannya. Pendekatan audit substantif digunakan ketika mengaudit sistem
informasi organisasi. Setelah prosedur audit dilakukan dan hasilnya telah dievaluasi, auditor akan
mengeluarkan laporan audit yang tidak memenuhi syarat atau berkualitas berdasarkan temuan
mereka.

Audit risks

Kita tahu bahwa auditor sistem informasi memperhatikan empat tujuan: pengamanan aset,
integritas data, efektivitas sistem, dan efisiensi sistem. Auditor eksternal dan internal khawatir
dengan apakah kesalahan atau penyimpangan menyebabkan Josses material untuk organisasi atau
salah saji material dalam informasi keuangan yang disiapkan oleh organisasi. Jika Anda seorang
auditor internal, kemungkinan Anda juga akan khawatir dengan kerugian material yang telah
terjadi atau mungkin terjadi melalui operasi yang tidak efektif atau tidak efisien. Auditor
eksternal, juga, mungkin khawatir ketika operasi tidak efektif atau tidak efisien mengancam untuk
merusak organisasi. Selain itu ~ banyak auditor eksternal melaporkan masalah seperti itu sebagai
bagian dari layanan profesional mereka kepada manajemen suatu organisasi.

Untuk menilai apakah suatu organisasi mencapai pengamanan aset, integritas data, efektivitas
sistem, dan tujuan efisiensi sistem, auditor mengumpulkan bukti. Karena sifat uji audit, auditor
mungkin gagal mendeteksi kerugian material nyata atau potensial atau salah saji akun. Risiko
auditor gagal mendeteksi kerugian material aktual atau potensial atau salah saji akun pada
akhir audit disebut risiko audit. Auditor memilih pendekatan audit dan merancang prosedur
audit dalam upaya untuk mengurangi risiko ini ke tingkat yang dianggap dapat diterima.

Sebagai dasar untuk menentukan tingkat risiko audit yang diinginkan, beberapa badan profesional
auditor telah mengadopsi model risiko audit berikut untuk fungsi audit eksternal:

DAR= IR X CR X DR

Dalam model ini, DAR adalah risiko audit yang diinginkan.

- IR adalah risiko yang melekat, yang mencerminkan kemungkinan bahwa kerugian material
atau salah saji akun ada di beberapa segmen audit sebelum keandalan pengendalian internal
dipertimbangkan.
- CR adalah risiko kontrol, yang mencerminkan kemungkinan bahwa pengendalian internal di
beberapa segmen audit tidak akan mencegah, mendeteksi, atau memperbaiki kerugian
material atau salah saji akun yang muncul.
- DR adalah risiko deteksi, yang mencerminkan bahwa prosedur audit yang digunakan dalam
beberapa segmen audit akan gagal mendeteksi kerugian material atau salah saji akun.

Untuk menerapkan model, auditor pertama-tama memilih tingkat risiko audit yang diinginkan.
Selain itu, mereka menilai konsekuensi jangka pendek dan jangka panjang bagi organisasi mereka
jika mereka gagal mendeteksi kerugian material nyata atau potensial dari operasi yang tidak
efektif atau tidak efisien.

Auditor selanjutnya mempertimbangkan tingkat risiko yang melekat. Awalnya auditor

mempertimbangkan faktor-faktor umum seperti sifat organisasi (mis. Apakah itu flyer tinggi?),
Sifat industri tempat operasinya (mis. Apakah industri mengalami perubahan yang cepat?),
Karakteristik manajemen (mis. Manajemen agresif dan otokratis?). Auditor kemudian
mempertimbangkan risiko inheren yang terkait dengan berbagai segmen audit.

Untuk menilai tingkat risiko kontrol yang terkait dengan segmen audit, auditor
mempertimbangkan keandalan kontrol manajemen & aplikasi dan, kontrol Manajemen Auditor
merupakan lapisan pelindung "kulit bawang" di sekitar aplikasi. Kekuatan yang mengikis
perlindungan aset, integritas data, efektivitas sistem, dan efisiensi sistem harus menembus setiap
lapisan untuk merusak lapisan yang lebih rendah.
lapisan. Sejauh lapisan luar kontrol utuh, lapisan dalam kontrol lebih cenderung utuh.

Auditor selanjutnya menghitung tingkat risiko deteksi yang harus mereka capai untuk mencapai
risiko audit yang diinginkan. Mereka kemudian merancang prosedur pengumpulan bukti dalam
upaya untuk mencapai tingkat risiko deteksi ini.

Singkatnya, inti dari kami mempertimbangkan model risiko audit adalah bahwa upaya audit harus
difokuskan di mana mereka akan memiliki hasil tertinggi. Dalam kebanyakan kasus, auditor tidak
dapat mengumpulkan bukti sejauh yang mereka inginkan. Dengan demikian, mereka harus lihai
dalam hal di mana mereka menerapkan prosedur audit mereka dan bagaimana mereka
menafsirkan bukti yang mereka kumpulkan. Selama audit mereka harus terus membuat keputusan
tentang apa yang harus dilakukan selanjutnya. Pengertian materialitas dan risiko audit memandu
mereka dalam membuat keputusan ini.

Types of audit Procedures

Ketika auditor eksternal mengumpulkan bukti untuk menentukan apakah kerugian material telah
terjadi atau informasi keuangan salah saji secara material, mereka menggunakan lima jenis
prosedur:

1. Prosedur untuk memperoleh pemahaman tentang kontrol: Permintaan, inspeksi, dan panggilan
pengamatan digunakan untuk mendapatkan semua pemahaman tentang kontrol apa yang
seharusnya ada, tunduk dengan baik mereka telah dirancang dan apakah mereka telah
ditempatkan dalam operasi.
2. Tes kontrol: Pertanyaan, inspeksi, pengamatan, dan kinerja prosedur kontrol dapat digunakan
untuk mengevaluasi apakah kontrol beroperasi secara efektif.
3. Tes substantif dari rincian transaksi: Tes ini dirancang untuk mendeteksi kesalahan dolar atau
penyimpangan dalam transaksi yang akan mempengaruhi laporan keuangan. Misalnya,
auditor eksternal dapat memverifikasi bahwa transaksi pembelian dan pengeluaran dicatat
dengan benar dalam jurnal dan buku besar.
4. Perincian substansial dari saldo akun: Tes ini fokus pada saldo buku besar yang berakhir pada
neraca dan laporan laba rugi. Sebagai contoh, auditor eksternal dapat mengedarkan sampel
pelanggan untuk menguji keberadaan dan penilaian saldo debitur.
5. Prosedur tinjauan analitik: Tes ini fokus pada hubungan antara item data dengan tujuan
mengidentifikasi area yang memerlukan pekerjaan audit lebih lanjut. Sebagai contoh, auditor
eksternal mungkin memeriksa tingkat pendapatan penjualan sepanjang waktu untuk
menentukan apakah fluktuasi material yang memerlukan penyelidikan lebih lanjut telah
terjadi pada tahun berjalan.

Auditing Around or Through the Computer:

Ketika auditor datang ke tahap pengujian kontrol audit sistem informasi, salah satu keputusan
utama yang harus mereka buat adalah apakah akan menguji kontrol dengan mengaudit sekitar
atau melalui komputer. Ungkapan "mengaudit di sekitar komputer" dan "mengaudit melalui
komputer" adalah akumulasi dari masa lalu. Mereka muncul selama periode ketika auditor
memperdebatkan berapa banyak pengetahuan teknis yang diperlukan untuk mengaudit sistem
komputer. Beberapa berpendapat bahwa sedikit pengetahuan yang diperlukan karena auditor
dapat mengevaluasi sistem komputer hanya dengan memeriksa input dan output mereka. Lainnya
berpendapat audit tidak dapat dilakukan dengan benar kecuali cara kerja internal sistem komputer
diperiksa dan dievaluasi. Sayangnya, argumen dari kelompok sebelumnya terkadang dimotivasi
oleh kurangnya pengetahuan teknis tentang komputer. Hari ini kami menyadari bahwa kedua
pendekatan tersebut masing-masing memiliki kelebihan dan keterbatasan masing-masing dan
bahwa masing-masing harus dipertimbangkan dengan hati-hati dalam konteks perencanaan dan
pelaksanaan audit yang paling efektif-biaya.

Auditing Around the Computer:

Audit di sekitar komputer melibatkan mencapai opini audit melalui pemeriksaan dan evaluasi
kontrol manajemen dan kemudian input dan output hanya untuk sistem aplikasi. Berdasarkan
kualitas input dan output sistem aplikasi, auditor menyimpulkan kualitas pemrosesan sistem
aplikasi. Pemrosesan sistem aplikasi tidak diperiksa secara langsung. Sebagai gantinya, auditor
melihat komputer sebagai kotak hitam.
Auditor harus mengaudit di sekitar komputer ketika itu adalah cara yang paling efektif untuk
melakukan audit. Keadaan ini sering muncul ketika sistem aplikasi memiliki tiga karakteristik.

Pertama, sistemnya sederhana dan berorientasi batch.

Kedua, seringkali tidak efektif untuk audit di sekitar komputer ketika sistem aplikasi
menggunakan paket umum sebagai platform perangkat lunaknya. Jika paket sudah disediakan
oleh vendor terkemuka, telah menerima penggunaan luas, dan tampak bebas kesalahan, auditor
mungkin memutuskan untuk tidak menguji aspek pemrosesan sistem secara langsung. Sebaliknya
mereka mungkin berusaha untuk memastikan (1) organisasi belum mengubah paket dengan cara
apa pun, (2) kontrol yang memadai ada atas kode sumber, kode objek dan dokumentasi untuk
mencegah modifikasi paket yang tidak sah, dan (3) kontrol berkualitas tinggi ada input dan output
dari paket.

Ketiga, auditor dapat mengaudit di sekitar komputer ketika ketergantungan yang tinggi
ditempatkan pada pengguna daripada kontrol komputer untuk melindungi aset, menjaga integritas
data dan mencapai tujuan efektivitas dan efisiensi. Dalam pengujian, fokusnya adalah pada
keandalan kontrol pengguna daripada keandalan kontrol komputer. Biasanya audit di sekitar
komputer adalah pendekatan sederhana untuk melakukan audit dan itu dapat dilakukan oleh
auditor yang memiliki sedikit pengetahuan teknis tentang komputer. Namun audit harus dikelola
oleh seseorang yang memiliki keahlian dalam audit sistem informasi.

Pendekatan ini memiliki dua batasan utama. Pertama, jenis sistem komputer di mana itu berlaku
sangat terbatas. Seharusnya tidak digunakan ketika sistem kompleks. Jika tidak, auditor mungkin
gagal memahami beberapa aspek dari suatu sistem yang dapat memiliki efek signifikan pada
pendekatan audit. Kedua, tidak memberikan informasi tentang kemampuan sistem untuk
mengatasi perubahan. Sistem dapat dirancang dan program dapat ditulis dengan cara tertentu
untuk menghambat degradasinya ketika persyaratan pengguna berubah.

Auditing Through the Computer:

Saat mengaudit melalui komputer, auditor menggunakan komputer untuk menguji (1) logika
pemrosesan dan kontrol yang ada dalam sistem dan (2) catatan yang dihasilkan oleh sistem.
Bergantung pada kompleksitas sistem aplikasi, tugas audit melalui komputer mungkin cukup
sederhana atau mungkin memerlukan kompetensi teknis yang luas di pihak auditor. Audit melalui
komputer harus digunakan dalam kasus berikut:

1. Risiko bawaan yang terkait dengan sistem aplikasi tinggi.

2. Sistem aplikasi memproses input dalam volume besar dan menghasilkan output dalam volume
besar yang membuat pemeriksaan langsung dan ekstensif terhadap validitas input dan output
sulit dilakukan.
3. Bagian signifikan dari sistem kontrol internal diwujudkan dalam sistem komputer, Sebagai
contoh, dalam sistem perbankan online, program komputer dapat batch transaksi untuk teller
individu untuk memberikan total kontrol untuk rekonsiliasi pada akhir pengolahan hari itu.
4. Logika pemrosesan yang tertanam dalam sistem aplikasi sangat kompleks. Selain itu, sebagian
besar kode sistem dimaksudkan untuk memfasilitasi penggunaan sistem atau pemrosesan yang
efisien.
5. Karena pertimbangan manfaat biaya, kesenjangan besar dalam jejak audit yang terlihat adalah
umum dalam sistem.

Keuntungan utama audit melalui komputer adalah bahwa auditor telah meningkatkan daya untuk
menguji sistem aplikasi secara efektif. Mereka dapat memperluas jangkauan dan kemampuan tes
yang dapat mereka lakukan dan dengan demikian meningkatkan kepercayaan mereka pada
keandalan pengumpulan dan evaluasi bukti. Selanjutnya dengan langsung memeriksa logika
pemrosesan yang tertanam dalam sistem aplikasi, auditor lebih mampu menilai kemampuan sistem
untuk mengatasi perubahan dan kemungkinan kerugian atau salah saji akun yang timbul di masa
depan.

Pendekatan ini memiliki dua kelemahan. Pertama, kadang-kadang bisa mahal, terutama dalam hal
jam kerja yang harus dikeluarkan untuk memahami cara kerja internal sistem aplikasi. Kedua,
dalam beberapa kasus kita akan membutuhkan keahlian teknis yang luas, jika kita ingin memahami
cara kerja sistem.