A.

Teknologi Informasi Meningkatkan Pengendalian Internal

Sebagian besar entitas, termasuk perusahaan keluarga berukuran kecil, mengandalkan TI untuk mencatat dan memproses transaks bisnis. Beberapa perubahan pengendalian internal yang diakibatkan oleh pengintegrasian TI ke dalam system akuntansi : Pengendalian computer menggantikan pengendalian manual. Manfaat nyata dari TI adalah kemampuannya untuk menangani sejumlah besar transaksi bisnis yang rumit secara murah. Karena computer memproses informasi secara konsisten, system TI dapat mengurangi salah saji dengan mengganti prosedur manual dengan pengendalian terprogram yang menerapkan pengecekan dan penyeimbangan setiap transaksi yang diproses. Ini mengurangi kesalahan manusia yang sering terjadi dalam memproses transaksi secara manual. Tersedianya informasi yang bermutu lebih tinggi. Aktivitas TI yang kompleks biasanya dikelola secara efektif karena kerumitan itu memerlukan organisasi, prosedur, dan dokumentasi yang efektif. Ini biasanya menghasilkan informasi yang bermutu lebih tinggi bagi manajemen, jauh lebih cepat dari system manual.

B. Menilai Risiko Teknologi Informasi

Meskipun TI dapat meningkatkan pengendalian internal perusahaan, hal itu juga dapat mempengaruhi risiko pengendalian perusahaan secara keseluruhan. Banyak risiko dalam system manual dapat dikurangi dan dalam beberapa kasus malah dihilangkan. Namun, akan tercipta resiko baru yang spesifik pada system TI yang selanjutnya dapat menimbulkan kerugian yang besar jika diabaikan. Risiko khusus pada system TI meliputi: 1. Risiko pada perangkat keras dan data, mencakup: Ketergantungan pada kemampuan berfungsinya perangkat keras dan lunak. Tanpa perlindungan fisik yang layak, perangkat keras atau perangkat lunak tidak dapat berfungsi dengan baik. Kesalahan sistematis versus kesalahan acak. Ketika organisasi mengganti prosedur manual dengan prosedur berbasis teknologi, resiko

kesalahan acak akibat keterlibatan manusia akan berkurang. Namun, resiko kesalahan sistematis dapat meningkat karena setelah prosedur diprogramkan ke dalam perangkat lunak computer, computer akan memproses informasi tentang semua transaksi secara konsisten sampai prosedur yang diprogramkan itu diubah. Akses yang tidak sah. System akuntansi berbasis TI sering kali memungkinkan akses secara online ke data elektronik dalam file induk, perangkat lunak dan catatan lainnya. Karena akses online dapat terjadi dari jarak jauh, termasuk oleh pihak eksternal melalui internet, mungkin saja terjadi akses yang tidak sah. Hilangnya data. Sebagian besar data pada system TI disimpan dalam file elektronik yang terpusat. Ini dapat meningkatkan resiko kehilangan atau kerusakan file data secara keseluruhan. 2. Jejak audit yang berkurang, mencakup: Visibilitas jejak audit. Karena sebagian besar informasi dimasukkan secara langsung ke dalam computer, penggunaan TI sering kali mengurangi bahkan meniadakan dokumen dan catatan sumber yang memungkinkan organisasi untuk menelusuri informasi akuntansi. Dokumen dan catatan tersebut disebut jejak audit. Karena hilangnya jejak audit, pengendalian kemampuan lainnya harus dimasukkan untuk menggantikan tradisional dalam membandingkan

informasi output dengan data salinan yang tercetak. Keterlibatan manusia yang berkurang. Dalam banyak system TI, karyawan yang terlibat dengan pemprosesan awal transaksi tidak pernah melihat hasil akhirnya. Karena itu, mereka kurang mampu mengidentifikasi salah saji pemrosesan. Tidak adanya otorisasi tradisional. System TI yang sangat canggih sering memprakarsai jenis transaksi tertentu secara otomatis, seperti penghitungan bunga atas rekening tabungan di bank dan pemesanan persediaan apabila tingkat pesanan yang ditentukan sebelumnya telah dicapai. Karena itu, otorisasi yang tepat tergantung pada prosedur perangkat lunak dan keakuratan file induk yang digunakan untuk membuat keputusan otorisasi.

3. Kebutuhan akan pengalaman TI dan pemisahan tugas TI, mencakup: Pemisahan tugas yang berkurang. Apabila organisasi beralih dari system manual ke system komputerisasi, computer akan melaksanakan banyak tugas-tugas yang secara tradisional dipisahkan, seperti otorisasi dan pembukuan. Penggabungan berbagai aktivitas dari bagian organisasi yang berbeda ke suatu fungsi TI akan memusatkan tanggung jawab yang secara tradisional terpisah. Kebutuhan akan pengalaman TI. Meskipun perusahaan membeli paket perangkat lunak akuntansi yang dijual di pasaran, perusahaan juga harus merekrut personil yang memiliki pengetahuan dan pengalaman untuk memasang, memelihara, serta menggunakan system tersebut. Dengan meningkatnya penggunaan system TI, kebutuhan akan spesialis TI yang berkualitas juga meningkat.

C. Pengendalian Internal Khusus Atas Teknologi Infomasi.

Untuk menghadapi banyak resiko yang berkaitan dengan ketergantungan pada TI, organisasi sering mengimplementasikan pengendalian khusus atas fungsi TI. Standar auditing menguraikan dua kategori pengendalian atas system TI yaitu:

1. Pengendalian umum, terdiri dari: Administrasi fungsi TI, sikap dewan direksi dan manajemen senior tentang TI mempengaruhi arti penting TI yang dirasakan dalam suatu organisasi. Pengawasan, alokasi sumber daya, dan keterlibatannya dalam setiap keputusan kunci TI memberikan isyarat tentang pentingnya TI. Dalam lingkungan yang kompleks, manajemen dapat menetapkan komite pengendalian TI untuk membantu memantau kebutuhan teknologi organisasi. Pemisahan tugas-tugas TI, sebagai respon terhadap risiko menggabungkan tanggung jawab penyimpanan tradisional, otorisasi, dan administrasi ke dalam fungsi TI, organisasi yang dikendalikan dengan baik memisahkan tugas-tugas kunci dalam TI. Sebagai contoh, tugas-tugas TI harus dipisahkan untuk mencegah personil TI mengotorisasi dan mencatat transaksi untuk menutupi pencurian aktiva.

 Pengembangan system, mencakup: membeli perangkat lunak atau mengembangkan sendiri perangkat lunak itu di kantor yang memenuhi kebutuhan organisasi dan menguji semua perangkat lunak guna memastikan bahwa perangkat lunak baru itu kompatibel dengan perangkat keras dan perangkat lunak yang ada, serta menentukan apakah perangkat keras dan perangkat lunak itu dapat menangani volume transaksi yang diinginkan. Keamanan fisik dan online, pengendalia fisik atas computer dan pembatasan online ke perangkat lunak serta file data terkait mengurangi risiko dilakukannya perubahan yang tidak diotorisasi ke program dan penggunaan program serta file data yang tepat. Rencana keamanan harus tertulis dan dipantau secara terus menerus. Pengendalian keamanan mencakup pengendalian fisik maupun pengendalian akses online. Backup dan perencanaan kontinjensi, harus mengidentifikasi perangkat keras alternative yang dapat digunakan untuk memroses data perusahaan. Perusahaan dengan system TI yang lebih sederhana dapat membeli computer pengganti dalam keadaan darurat dan memroses kembali catatan akuntansi dengan menggunakan salinan backup dari perangkat lunak dan file data. Perusahaan yang lebih besar sering mengadakan kontrak dengan pusat data TI yang berspesialisasi dalam

memberikan akses ke computer off-site dan jasa TI lainnya untuk digunakan dalam peristiwa malapetaka TI. Pengendalian perangkat keras, sudah dipasang dalam peralatan computer oleh pabrik pembuatnya untuk mendeteksi dan melaporkan kegagalan peralatan. Auditor akan lebih berkonsentrasi pada bagaimana klien menangani kesalahan yang diidentifikasi oleh pengendalian perangkat keras ketimbang pada kecukupan perangkat itu. Tanpa memperhatikan mutu pengendalian perangkat keras, output akan dikoreksi hanya jika klien telah berusaha menangani kesalahan mesin. 2. Pengendalian aplikasi, terdiri dari: Pengendalian input, dirancang untuk memastikan bahwa informasi yang dimasukkan ke dalam computer sudah diotorisasi, akurat, dan lengkap. Pengendalian input sangat penting karena sebagian besar kesalahan dalam system TI diakibatkan oleh kesalahan memasukkan data, sehingga kesalahan input akan menimbulkan kesalahan output tanpa dipengaruhi oleh mutu pemrosesan informasi. Pengendalian tipikal yang dikembangkan dalam system manual tetap dianggap penting bagi system TI, antara lain: Otorisasi manajemen atas transaksi Penyiapan dokumen sumber input yang memadai Personil yang kompeten

Pengendalian pemrosesan, mencegah dan mendeteksi kesalahan ketika data transaksi diproses. Pengendalian umum, terutama pengendalian yang berhubungan dengan pengembangan system dan keamanan,

merupakan

pengendalian

pemprosesan

aplikasi

khusus

sering

deprogram ke dalam perangkat lunak untuk mencegah, mendeteksi, dan mengoreksi kesalahan pemrosesan.

Pengendalian output, berfokus pada mendeteksi kesalahan setelah pemrosesan diselesaikan, bukan pada mencegah kesalahan. Pengendalian output yang paling penting adalah review kelayakan data oleh seseorang yang memahami output itu. Beberapa pengendalian yang umum untuk mendeteksi kesalahan output mencakup: o Merekonsiliasi output yang dihasilkan computer dengan total pengendalian manual. o Membandingkan jumlah unit yang diproses dengan jumlah unit yang diserahkan untuk pemrosesan. o Membandingkan sample output transaksi dengan dokumen sumber input. o Memverifikasi tanggal dan waktu pemrosesan untuk mengidentifikasi setiap pemrosesan yang tidak sesuai urutan.

D. Dampak Teknologi Informasi Terhadap Proses Audit

Dampak teknologi informasi terhadap proses audit mencakup: 1. Pengaruh pengendalian umum terhadap aplikasi keseluruhan system. Pengendalian umum yang tidak efektif akan menimbulkan potensi salah saji yang material pada semua aplikasi system, tanpa memperhatikan mutu dari setiap pengendalian aplikasi. Sebagai contoh, jika tugas-tugas TI tidak dipisahkan secara memadai, misalnya operator computer juga menjadi programmer dan mempunyai akses ke program serta file computer, auditor harus memperhatikan adanya program perangkat lunak yang tidak diotorisasi atau perubahan file data yang dapat menimbulkan transaksi fiktif atau data yang tidak diotorisasi dan penghilangan akun-akun seperti penjualan, pembelian, dan gaji. Demikian pula jika auditor mengamati bahwa file data tidak dilindungi secara memadai, auditor dapat menyimpulkan bahwa ada risiko kehilangan data yang signifikan bagi setiap kelas transaksi yang bergantung pada data itu dalam melaksanakan pengendalian aplikasi. Dalam situasi ini, auditor mungkin perlu memperluas pengujian audit dalam beberapa area seperti penerimaan kas, pengeluaran kas, dan penjualan guna memenuhi tujuan kelengkapan. 2. Pengaruh pengendalian umum terhadap perubahan perangkat lunak. Jika klien mengganti perangkat lunak aplikasi, hal itu akan mempengaruhi ketergantungan auditor pada pengendalian yang terotomatisasi. Ketika klien mengganti perangkat lunak, auditor harus mengevaluasi apakah diperlukan pengujian tambahan. Jika pengendalian umumnya efektif, auditor dapat dengan mudah mengidentifikasi kapan perubahan perangkat lunak itu dilakukan. Namun bagi perusahaan yang pengendalian umumnya lemah, mungkin sulit untuk mengidentifikasi perubahan perangkat lunak. Akibatnya, apabila pengendalian umum dianggap lemah, auditor harus mempertimbangkan pelaksanaan pengujian pengendalian aplikasi selama audit tahun berjalan.

3. Memahami pengendalian umum klien. Biasanya auditor memperoleh informasi tentang pengendalian umum dan aplikasi melalui cara-cara berikut: o Wawancara dengan personil TI dan para pemakai kunci. o Memeriksa dokumentasi system seperti bagan arus, manual pemakai, permintaan perubahan program, dan hasil pengujian. o Mereview kuesioner terinci yang diselesaikan oleh staf TI Dalam kebanyakan kasus, auditor harus menggunakan beberapa dari pendekatan tersebut karena masing-masing memberikan informasi yang berbeda. Sebagai contoh, wawancara dengan CIO dan analis system menghasilkan informasi yang bermanfaat tentang pengoperasian fungsi TI secara keseluruhan, luas pengembangan perangkat lunak dan perubahan perangkat keras yang dilakukan pada perangkat lunak aplikasi akuntansi, serta tinjauan umum atas perubahan yang direncanakan. Review atas permintaan perubahan program dan hasil pengujian system sangat berguna dalam mengidentifikasi perubahan program perangkat lunak aplikasi. Kuesioner akan membantu auditor untuk mengidentifikasi pengendalian internal yang khusus. 4. Mengaitkan pengendalian TI dengan tujuan audit yang berkaitan dengan transaksi. Biasanya auditor tidak menghubungkan pengendalian dan defisiensi pengendalian umum dengan tujuan audit khusus yang berkaitan dengan transaksi, karena pengendalian umum mempengaruhi tujuan audit dalam beberapa siklus, maka jika pengendalian umumnya tidak efektif, kemampuan auditor dalam menggunakan pengendalian aplikasi untuk mengurangi risiko pengendalian pada semua siklus akan berkurang. Sebaliknya, jika pengendalian umum efektif, kemampuan auditor dalam menggunakan pengendalian aplikasi pada semua siklus akan meningkat. Sebagai contoh, untuk mencegah pembayaran kepada karyawan fiktif, pembandingan nomor identifikasi karyawan yang telah diinput dalam computer dengan file induk karyawan dapat mengurangi resiko pengendalian untuk tujuan keterjadian pada transaksi penggajian. 5. Pengaruh pengendalian TI terhadap pengujian substantive. Setelah mengidentifikasi pengendalian aplikasi khusus yang dapat digunakan untuk mengurangi risiko pengendalian, auditor lalu mengurangi pengujian substantive. Karena pengendalian aplikasi yang terotomatisasi bersifat

sistematis, hal itu akan memungkinkan auditor mengurangi ukuran sample yang digunakan untuk menguji pengendalian tersebut baik dalam audit laporan keuangan maupun audit pengendalian internal atas pelaporan keuangan. Auditor juga dapat menggunakan pengujian tahun sebelumnya atas pengendalian yang terotomatisasi, apabila pengendalian umum efektif dan pengendalian yang terotomatisasi belum diubah perangkat lunaknya sendiri untuk menguji pengendalian bersangkutan. Dampak pengendalian umum dan pengendalian aplikasi terhadap audit mungkin bervariasi tergantung pada tingkat kompleksitas lingkungan TI. Banyak organisasi yang memiliki lingkungan TI yang tidak rumit sering kali sangat bergantung pada mikrokomputer untuk melakukan fungsi-fungsi system akuntansi. Penggunaan mikrokomputer dapat menimbulkan beberapa pertimbangan audit antara lain: Ketergantungan yang terbatas pada pengendalian yang terotomatisasi. Pengendalian yang terotomatisasi sering kali dapat diandalkan. Sebagai contoh, program perangkat lunak mikrokomputer dapat diload pada hard drive computer dengan format yang tidak memungkinkan diubah oleh personil klien, yang membuat risiko perubahan yang tidak diotorisasi dalam perangkat lunak menjadi rendah. Akses ke file induk. Auditor harus memperhatikan akses ke file induk oleh orang-orang yang tidak berwenang. Pemisahan tugas yang tepat di antara personil yang memiliki akses pada file induk dan yang bertanggung jawab atas pemrosesan merupakan hal yang penting. Risiko virus computer. Virus computer dapat menyebabkan hilangnya data dan program. Virus-virus tertentu bahkan dapat merusak file elektronik atau menyebabkan shut down jaringan computer secara keseluruhan. Perangkat lunak anti virus yang diupdate secara teratur untuk menangkal infeksi virus akan meningkatkan pengendalian.

Tiga pendekatan pengujian yang digunakan oleh auditor ketika mengaudit melalui computer antara lain: Pendekatan data pengujian. Dalam pendekatan ini auditor memroses data pengujiannya sendiri dengan menggunakan system computer klien dan program aplikasi untuk menentukan apakah pengendalian yang terotomatisasi memroses dengan tepat data pengujian itu. Pendekatan ini memiliki tiga pertimbangan utama yaitu: 1. Data pengujian harus mencakup semua kondisi yang relevan yang ingin diuji auditor. Auditor harus merancang data pengujian untuk menguji semua pengendalian kunci berbasis computer dan memasukan data yang realistic yang mungkin akan menjadi bagian dari pemrosesan normal klien, termasuk transaksi sah dan tidak sah. 2. Program aplikasi yang diuji oleh data pengujian auditor harus sama dengan yang digunakan klien selama tahun berjalan. Salah satu pendekatan adalah menjalankan data pengujian atas dasar kejutan, mungkin secara acak selama tahun berjalan, walaupun agak mahal dan menghabiskan waktu.

3. Data pengujian harus dieliminasi dari catatan klien. Jika auditor memroses data pengujian sedangkan klien memroses transaksinya sendiri, auditor harus menghilangkan data pengujian dalam file induk klien setelah pengujian itu selesai. Karena kompleksitas dari banyak program perangkat lunak aplikasi klien, auditor yang menggunakan pendekatan data pengujian sering kali memperoleh bantuan dari spesialis auditor computer. Banyak kantor akuntan public yang lebih besar mempunyai staf yang ditugaskan untuk membantu menguji pengendalian aplikasi klien.

Simulasi parallel. Auditor seringkali menggunakan perangkat lunak yang dikendalikan auditor untuk melaksanakan operasi yang sama dengan yang dilaksanakan oleh perangkat lunak klien, dengan menggunakan file data yang juga sama. Tujuannya adalah untuk menentukan keefektifan pengendalian

yang terotomatisasi dan untuk mendapatkan bukti tentang saldo akun elektronik. Pendekatan ini disebut pengujian simulasi parallel. Biasanya auditor melakukan pengujian simulasi parallel dengan menggunakan perangkat lunak audit tergeneralisasi, yaitu program yang dirancang secara khusus untuk tujuan auditing. Perangkat lunak audit tergeneralisasi memiliki tiga keunggulan yaitu: 1. Relative mudah melatih staf audit untuk menggunakannya, meskipun mereka hanya mempunyai pelatihan yang minim di bidang TI yang berkaitan dengan audit. 2. Perangkat lunak tersebut dapat diterapkan pada berbagai klien dengan penyesuaian yang minimal. 3. Mampu melaksanakan pengujian audit jauh lebih cepat dan lebih terinci ketimbang menggunakan prosedur manual yang tradisional.

 Pendekatan modul audit tertanam. Ketika menggunakan pendekatan ini, auditor menyisipkan modul audit dalam system aplikasi klien untuk mengidentifikasi jenis transaksi tertentu. Sebagai contoh, auditor mungkin ingin menggunakan modul audit tertanam guna mengidentifikasi semua pembelian yang melebihi $25.000 untuk ditindak lanjuti dengan pemeriksaan yang lebih terinci bagi tujuan keterjadian dan keakuratan yang berkaitan dengan transaksi. Pendekatan modul audit tertanam memungkinkan auditor untuk terus mengaudit transaksi dengan mengidentifikasi transaksi actual yang diproses oleh klien yang dibandingkan dengan data pengujian dan pendekatan simulasi parallel. Walaupun dapat menggunakan satu atau setiap kombinasi dari pendekatan pengujian, biasanya auditor menggunakan: Data pengujian untuk melaksanakan pengujian pengendalian dan pengujian substantive atas transaksi. Simulasi parallel untuk pengujian substantive, seperti menghitung ulang jumlah transaksi dan menjumlahkan file induk catatan tambahan saldo akun. Modul audit tertanam untuk mengidentifikasi transaksi tidak biasa bagi pengujian substantive.

E. Permasalahan Pada Lingkungan TI Yang Berbeda.

1. Masalah pada lingkungan jaringan. Dalam lingkungan jaringan, perangkat lunak aplikasi dan file data yang digunakan untuk memroses transaksi berada pada beberapa computer yang saling terhubung. Akses ke aplikasi dari mikrokomputer atau workstation dikelola oleh perangkat lunak server jaringan. Bahkan perusahaan kecil dapat mempunyai beberapa server computer yang saling terhubung pada suatu jaringan, sementara perusahaan besar dapat mempunyai ratusan server di banyak lokasi yang terjalin bersama. Apabila klien mempunyai aplikasi akuntansi yang diproses dalam lingkungan jaringan, auditor harus mempelajari konfigurasi jaringan, termasuk lokasi server computer dan workstation yang saling terhubung satu sama lain, perangkat lunak jaringan yang digunakan untuk mengelola system, serta pengendalian atas akses dan perubahan program aplikasi serta file data yang

ada pada server. Pengetahuan ini dapat berimplikasi bagi penilaian risiko pengendalian auditor ketika merencanakan audit laporan keuangan dan ketika menguji pengendalian dalam audit pengendalian internal atas laporan keuangan. 2. Masalah pada system manajemen database. System manajemen database memungkinkan klien membuat database yang meliputi informasi yang dapat digunakan bersama dalam banyak aplikasi. Dalam system non database, setiap aplikasi mempunyai file data sendiri, sedangkan dalam system manajemen database, banyak aplikasi saling berbagi file. Klien mengimplementasikan system manajemen database untuk mengurangi kelebihan data, meningkatkan pengendalian atas data, dan menyediakan informasi yang lebih baik bagi pengambilan keputusan dengan mengintegrasikan informasi disemua fungsi dan departemen. Sebagai contoh, data pelanggan seperti alamat, dan nama pelanggan, dapat digunakan bersama dalam fungsi penjualan, kredit, akuntansi, pemasaran, dan pengiriman, yang menghasilkan informasi yang konsisten bagi semua pemakai dan pengurangan biaya yang signifikan. Perusahaan seringkali mengintegrasikan system manajemen database keseluruh organisasi dengan menggunakan program perangkat lunak perusahaan. Auditor klien yang menggunakan system manajemen database harus memahami perencanaan, organisasi, dan kebijakan serta prosedur klien untuk menentukan seberapa baik system itu dikelola. Pemahaman ini dapat mempengaruhi penilaian auditor atas risiko pengendalian dan pendapat auditor tentang keefektifan pelaksanaan pengendalian internal atas pelaporan keuangan. 3. Masalah pada system E-commerce. Perusahaan yang menggunakan system e-commerce untuk melakukan transaksi bisnis secara elektronis akan menghubungkan system akuntansi internalnya dengan system pihak eksternal, seperti pelanggan dan pemasok. Akibatnya, risiko yang dihadapi suatu perusahaan sebagian bergantung pada seberapa baik mitra e-commerce nya mengidentifikasi dan mengelola risiko dalam system TI nya sendiri. Penggunaan system e-commerce juga membuat data perusahaan yang sensitive, program, dan perangkat keras terbuka terhadap kemungkinan campur tangan atau sabotase oleh pihak luar. Untuk membatasi keterbukaan ini, perusahaan menggunakan firewall, teknik enkripsi, dan tanda tangan

digital. Firewall melindungi data, program dan sumber daya TI lainnya dari para pemakai eksternal yang tidak berhak mengakses system melalui jaringan, seperti internet. Firewall adalah system perangkat keras dan perangkat lunak yang memantau serta mengendalikan aliran komunikasi e-commerce dengan menyalurkan semua koneksi jaringan melalui pengendalian yang memverifikasi pemakai eksternal, memberikan akses kepada pemakai yang berhak, menolak akses pada pemakai yang tidak berhak, dan mengarahkan pemakai yang sah ke program atau data yang diminta. Teknik enkripsi melindungi keamanan komunikasi elektronik ketika informasi yang sedang dikirimkan. Tanda tangan digital adalah untuk membuktikan keaslian validitas mitra dagang yang melaksanakan bisnis secara elektronik. 4. Masalah yang timbul ketika klien mengoutsource TI. Banyak klien mengoutsource beberapa atau semua kebutuhan TI-nya kepada pusat pelayanan computer yang independen, termasuk penyedia jasa aplikasi, dan bukan menyelenggarakan pusat TI internal. Perusahaan juga mengoutsource system e-commerce nya ke penyedia jasa website eksternal. Seperti semua keputusan outsourcing, perusahaan memutuskan apakah akan menggunakan TI atas dasar biaya manfaat. Apabila mengoutsouring kepada pusat jasa computer, klien menyerahkan data input, yang akan diproses oleh pusat jasa dengan membayar fee tertentu, dan mengembalikan output yang telah disepakati serta input aslinya. Dalam memahami pengendalian internal dalam system outsource auditor menghadapi kesulitan untuk memamhami pengendalian internal klien dalam situasi tersebut karena banyaknya pengendalian yang ada di pusat jasa dan auditor tidak dapat mengasumsikan bahwa pengendalian itu memadai hanya karena pusa jasa tersebut merupakan perusahaan independen. Standar auditing mengharuskan auditor mempertimbangkan kebutuhan untuk memahami dan menguji pengendalian pusat jasa, jika aplikasi pusat jasa itu melibatkan pemrosesan data keuangan yang penting. Sebagai contoh, banyak pengendalian untuk tujuan audit yang berkaitan dengan transaksi penggajian berada dalam program perangkat lunak yang diselenggarakan dan didukung oleh perusahaan jasa penggajian, bukan klien audit.