Berbagai kebijakan dan prosedur yang digunakan untuk memastikan tindakan yang tepat
dilakukan untuk menangani berbagai risiko yang telah diidentifikasi perusahaan yang
dikelompokkan dalam dua kategori : pengendalian komputer dan pengendalian fisik.
Pengendalian komputer berkaitan dengan lingkungan TI dan audit TI, digolongkan dalam dua
kelompok : pengendalian umum (general control) berkaitan dengan perhatian tingkat
keseluruhan perusahaan seperti pengendalian terhadap pusat data dan pengendalian aplikasi
(application control) memastikan integritas sistem yang dijalankan seperti pemrosesan pesanan
penjualan. Pengendalian fisik berhubungan dengan sistem akuntansi tradisional yang
menggunakan prosedur manual memberikan pandangan atas risiko dan kekhawatiran
pengendalian dalam lingkungan TI yang terdiri atas :
Otorisasi Transaksi. Untuk memastikan bahwa semua transaksi material yang diproses oleh
sistem informasi yang valid dan sesuai dengan rujukan pihak manajemen. Otorisasi dapat
bersifat umum tanggungjawab personel operasiona dari operasi rutin atau khusus tanggungjawab
manajemen dari transaksi non rutin atas kasus. Di lingkungan TI merupakan aturan berkode yang
melekat dalam program komputer. Contoh modul program dalam sistem pembelian. Hal ini
mengakibatkan auditor kesulitan menilai kesesuaian transaksi dengan tujuan manajemen. Maka
kegagalan otorisasi tidak terlihat sampai terjadi gejala negatif. Tujuan pengendalian otorisasi
transaksi pada akurasi dan konsistensi (integritas) program komputer.
Pemisahan tugas. Dilakukan untuk meminimalkan fungsi-fungsi yang tidak sesuai yang berupa
berbagai macam bentuk tergantung pada tugas. Terdapat tiga tujuan pemisahan tugas, yaitu :
1. Pemisahan tugas seharusnya sedemikian rupa sehingga otorisasi untuk suatu transaksi
terpisah dari pemrosesan transaksi tersebut.
2. Tanggung jawab untuk menyimpan aktiva seharusnya terpisah dari tanggung jawab
pancatatan.
3. Perusahaan seharusnya distrukturiasasi agar jika ada penipuan maka penipuan hanya dapat
dilakukan lewat kolusi antara dua atau lebih individu dengan pekerjaan yang tidak saling
bersesuaian (kompatibel).
Berbeda dengan lingkungan manual dalam lingkungan IT beberapa tugas tidak perlu
dipisahkan karena tidak akan efisien, berlawanan dengan tujuan otomatisasi dan tidak berguna
secara operasional. Komputer tidak melakukan kesalahan namun kesalahan berasal dari
pemrograman (manusia). Auditor TI mengarahkan pada aktivitas yang mengancam integritas
aplikasi.
Supervisi. Pemisahan tugas yang memadai membutuhkan karyawan yang banyak sehingga saat
terjadi ketidakseimbangan karena kekosongan pengendalian diisi oleh supervisi yang dekat
sebagai pengendalian penyeimbang (compensating control). Supervisi berbentuk supervise fisik,
laporan, atau cara lainnya dengan syarat kompeten dan dapat dipercaya. Dalam sistem manual
perluasan pengendalian bersifat langsung. Dalam lingkungan IT, pengendalian lebih luas dengan
alasan : berhubungan dengn masalah menarik karyawan yang kompeten karena teknologi
pemrosesan data sangant rumit dan membutuhkan karyawan khusus, kekhawatiran manajemen
atas kepercayaan untuk personel pemrosesan dalam area yang berisiko tinggi yang memiliki
akses langsung dan tidak terbatas ke program dan data perusahaan akan melakukan
penyimpangan atau pengrusakan, dan ketidakmampuan manajemen secara memadai mengamati
karyawan dalam suatu lingkungan TI.
Catatan Akuntansi (Accounting Record). Tradisional terdiri atas dokumen sumber, jurnal dan
buku besar yang mengandung aspek ekonomi transaksi dan menyediakan jejak audit peristiwa
ekonomi yang berperan penting dan membantu auditor menelusuri transaksi dari awal peristiwa
hingga laporan keuangan. Dalam lingkuan TI sama pentingnya untuk dilindungi namun beberapa
sistem komputer tidak menyimpan sumber fisik berupa record transaksi dan peristiwa ekonomi
lainnya yang terfragmentasi. Auditor harus memahami prinsip operasional sistem manajemen
basis data dan pengaruhnya atas berbagai catatan akuntansi serta jejak audit struktur file lainnya.
Jejak audit berbentuk digital di berbagai file tidak dapat dilihat. Maka programmer dan analisis
perlu memahami peran penting daftar (log), dan bagaimana menangkap data dalam jumlah cukup
dengan tujuan jejak audit.
Pengendalian Akses. Memastikan hanya personel yang sah saja yang memiliki akses ke aktiva
perusahaan sehingga terhindar dari penyalahgunaan, pengrusakan, dan pencurian. Dalam sistem
manual catatan akuntans bersifat fisik dan tersebar di beberapa lokasi. Sedangkan salam
lingkungan TI, catatan akuntansi berpusat pada pemrosesan data pada perangkat penyimpanan
data yang besar. Konsolidasi data menyebabkan beberapa ancaman : (1) penipuan komputer, dan
(2) kerugian akibat bencana. Masalah lainnya adalah mengendalikan akses ke program saat tahap
pengembangan aplikasi komputer diamati dan diuji, saat tahap pengembangan dikhawatirkan
berubahnya integritas aplikasi pada tahap pemeliharaan.
Pengandalian yang menangani berbagai risiko meliputi berbagai teknik yang didesain
untuk membatasi akses otoritas personel, membatasi akses ke program komputer, memberikan
keamanan fisik untuk pemrosesan data, memastikan adanya cadangan yang memadai atas
berbagai file data, serta menyediakan kemampuan untuk pemulihan bencana.