Mengetahui bagaimana kebijakan organisasi terhadap system informasi. Apakah seluruh panduan telah disetuji oleh manajemen tingkat atas, dan apakah dilakukan reviu terhadap panduan tersebut minimal setahun sekali.
- Prosedur
Mengetahui apakah seluruh dokumen system informasi yang ada, telah sesuai dengan kebijakan manajemen tingkat atas. Apakah Standar Operasional Prosedur telah disusun secara rinci, dan telah disetujui manajemen, serta dilakukan reviu minimal satu tahun sekali.
- Flowchart
Flowchart disusun untuk menggambarkan seluruh rangkaian proses bisnis system informasi yang dibangun.
Gambar yang ada dalam flowchart dapat dipahami untuk menggambarkan interaksi berbagai proses dan bagaimana hubungan antar aliran transaksi tersebut, apakah saling ketergantungan dan memiliki cabang ke berbagai arah (transaksi lainnya).
- Audit Log dan Screenshot (tangkapan layer)
Setiap organisasi memiliki monitoring pengendalian terhadap seluruh proses system informasi dan menyimpan bukti nya dalam suatu system log (penyimpanan) dan system screenshot (tangkapan layar).
Audit log yang ada dalam setiap system informasi memberikan bukti tambahan bagi auditor untuk mengetahui bagaimana monitoring pengendalian yang dibangun manajemen.
- Konfirmasi kepada Pegawai berwenang
Auditor melakukan pertemuan dengan masing-masing bagian/departemen dan melakukan wawancara terhadap personil kunci/pegawai berwenang, untuk:
- Mengetahui pemahaman pegawai terhadap kebijakan dan prosedur system informasi
- Melaporkan hirarki dan hubungan (Entity Relationship Diagram) untuk memahami implementasi pengendalian terhadap pemisahan tugas
- Mendapatkan pengetahuan tentang seluruh proses dan aliran data/transaksi dalam organisasi
- Melakukan penelusuran
Penelusuran dilakukan untuk memahami implementasi proses yang berbeda dan mendapatkan bukti kepatuhan dan/atau penyimpangan jika ada.
Penelusuran termasuk fisik sekitar fasilitas, mengamati untuk mengetahui bagaimana akses dan interaksi karyawan yang dilakukan, dan penelusuran melalui dokumentasi yang ada (maintained), dalam bentuk form input atau output, yang telah dilakukan operator.
- Menguji Pengendalian Sistem Informasi
Pengujian terhadap pengendalian yang dilakukan manajemen terhadap system informasi dilakukan sebagai berikut:
- Mendapatkan populasi dan melakukan uji kepatuhan terhadap seluruh populasi dan/ atau sampel yang dipilih dari populasi
- Jika ada alat audit (audit tools) yang akan digunakan, maka pengujian dilakukan dengan menggunakan utilitas alat tersebut
Pengujian dilakukan untuk mengetahui apakah pengendalian yang dilakukan manajemen telah berjalan dengan baik,.
