Audit Sistem Informasi (Information System Audit) atau EDP Audit (Electronic Data Processing Audit) atau computer audit  adalah proses pengumpulan data dan pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem aplikasi komputerisasi telah menetapkan dan menerapkan sistem pengendalian internal yang memadai, semua aktiva dilindungi dengan baik atau disalahgunakan serta terjaminnya integritas data, keandalan serta efektifitas dan efesiensi penyelenggaraan sistem informasi berbasis komputer (Ron Weber 1999:10).

• Tujuan Audit Sistem Informasi

Tujuan audit sistem informasi menurut Ron Weber (1999:11-13) secara garis besar terbagi menjadi empat tahap, yaitu:

a. Pengamanan Aset
Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan.

b. Menjaga integritas data
Integritas data (data integrity) adalah salah satu konsep dasar sistem inforamasi. Data memeiliki atribut-atribut tertentu seperti: kelengkapan, keberanaran, dan keakuratan. Jika integritas data tidak terpalihara, maka suatu perusahaan tidak akan lagi memilki hasil atau laporan yang beanr bahkan perusahaan dapat menderita kerugian

c. Efektifitas Sistem
Efektifitas sistem informasi perusahaan melikiki peranan pentigndalam proses pemgambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user.

d. Efisiensi Sistem
Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memilki kapasitas yang memadai atau harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.

e. Ekonomis
Ekonomis mencerminkan kalkulasi untuk rugi ekonomi (cost/benefit) yang lebih bersifat kuantifikasi nilai moneter (uang). Efisiensi berarti sumber daya minimum untuk mencapai hasil maksimal. Sedangkan ekonomis lebih bersifat pertimbangan ekonomi.

• PENGENDALIAN UMUM

Pengendalian umum pada perusahaan dilakukan terhadap aspek fisikal maupun logikal. Aspek fisikal dilakukan terhadap aset-aset fisik perusahaan, sedangkan aspek logikal terhadap sistem informasi di level manajemen (misal: sistem operasi). Pengendalian umum sendiri digolongkan menjadi beberapa, diantaranya:

a) Pengendalian organisasi dan otorisasi.
Yang dimaksud dengan pengendalian organisasi adalah secara umum terdapat pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan administrator sistem (operasi). Dan juga dapat dilihat bahwa pengguna hanya dapat mengakses sistem apabila memang telah diotorisasi oleh administrator.

b) Pengendalian operasi.
Operasi sistem informasi dalam perusahaan juga perlu pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi dengan baik selayaknya sesuai yang diharapkan.

c) Pengendalian perubahan.
Perubahan-perubahan yang dilakukan terhadap sistem informasi harus dikendalikan, termasuk pengendalian versi dari sistem informasi tersebut, catatan perubahan versi, serta manajemen perubahan atas diimplementasikannya sebuah sistem informasi.

d) Pengendalian akses fisikal dan logikal.
Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas sistem informasi suatu perusahaan, sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap sistem operasi sistem tersebut (misal: windows).

• Ruang Lingkup Audit Sistem Informasi

Ruang lingkup Audit Sistem Informasi (SI) sebagai audit operasional terhadap fungsi sistem informasi (IT governance), audit objective-nya adalah melakukan assessment terhadap efektifitas, efisiensi, dan ekonomis tidaknya pengelolaan sistem informasi suatu organisasi.
Audit SI dimaksudkan untuk memberikan informasi kepada manajemen puncak agar manajemen mempunyai “a clear assessment” terhadap sistem informasi yang diimplementasikan pada organisasi tersebut. Misalnya, bahwa application software yang ada telah dianalisis dan didesain dengan baik, telah diimplementasikan dengan security features yang memadai.
Perlu dipahami bahwa audit SI tidak harus selalu merupakan penugasan lengkap mencakup seluruh aspek. Penugasan audit SI mungkin mencakup semua, tetapi bisa dengan beberapa variasi, atau beberapa aspek saja: suatu audit mungkin hanya menitikberatkan fokus pada satu aspek saja, atau beberapa aspek yang penting sesuai kebutuhan organisasi tersebut.
Jadi, terdapat berbagai jenis penugasan audit sistem informasi yang dapat dilaksanakan pada suatu organisasi, misalnya sebagai berikut:

1. Untuk mengidentifikasi sistem yang ada (inventory existing systems), baik yang ada pada tiap divisi/unit/departemen ataupun yang digunakan menyeluruh.
2. Untuk dapat lebih memahami seberapa besar sistem informasi mendukung kebutuhan strategis perusahaan, operasi perusahaan, mendukung kegaitan operasional departemen/unit/divisi, kelompok kerja, maupun para petugas dalam melaksanakan kegiatannya.
3. Untuk mengetahui pada bidang atau area mana, fungsi, kegiatan atau business processes yang didukung dengan sistem serta teknologi informasi yang ada.
4. Untuk menganalisis tingkat pentingnya data/informasi yang dihasilkan oleh sistem dalam rangka mendukung kebutuhan para pemakainya.
5. Untuk mengetahui keterkaitan antara data, sistem pengolahan dan transfer informasi.
6. Untuk mengidentifikasi apakah ada kesenjangan (gap) antara sistem dengan kebutuhan.
7. Untuk membuat peta (map) dari information flows yang ada.

• Pengendalian Aplikasi Audit Sistem Informasi

Pengendalian aplikasi (application controls) adalah sistem pengendalian intern komputer yang berkaitan dengan pekerjaan atau kegiatan tertentu yang telah ditentukan (setiap aplikasi berbeda karateristik dan kebutuhan pengendaliannya). Misalnya komputerisasi kepegawaian tentu berbeda resiko dan kebutuhan pengendaliannya dengan sistem komputerisasi penjualan, apalagi bila sistem penjualan tersebut didesain web-based atau E-Commerce.
Pengendalian Aplikasi Terdiri Dari :

a).   Pengendalian masukan atau input controls.
b).   Pengendalian proses pengolahan data atau process controls.
c).   Pengendalian keluaran atau output controls.

Pengendalian Atas Masukkan (Input)
Mengapa diperlukan pengendalian input ? Karena input merupakan salah satu tahap dalam sistem komputerisasi yang paling krusial dan mengandung resiko.
Resiko yang dihadapi misalnya ialah:
Data transaksi yang ditulis oleh pelaku transaksi salah.
 Kesalahan pengisian dengan kesengajaan disalahkan.
Penulisan tidak jelas sehingga dibaca salah oleh orang lain (misalnya  petugas yang harus meng-entry data tersebut ke komputer), khususnya bila yang diolah bukan dokumen aslinya, melainkan tembusan.

Batch Sistem
Cara pemrosesan data input antara lain dengan sistem batch processing, data diolah dalam satuan kelompok (bundel) dokumen, dan delayed processing system (pengolahan bersifat tertunda, yaitu updating data di  komputer tidak sama dengan terjadinya transaksi).
Pengendalian input dalam sistem batch dilakukan pada tahap:

—  Data Capturing
—  Batch Data Preparation
—  Batch Data Entry
—  Validation
On-line Real time Entry
Pengendalian input sistem on-line real time dilakukan pada tahap :

Entry Data & Validation
Pada batch processing system lazimnya entri data dilakukan petugas data entry (petugas teknis unit komputer), sedangkan dalam sistem on-line real-time lazimnya entri data oleh pemakai langsung (misalnya para pelanggan atau nasabah bank) maupun para petugas operasional (sudah tidak dikatagorikan sebagai pegawai komputer lagi, misalnya: nasabah yang mengambil uang di ATM, petugas front office hotel, bank teller.
Dalam sistem komputerisasi, khususnya yang menggunakan sistem on-line real-time, paperless, maka masalah jejak pemeriksaan (audit trail) menjadi makin penting. Oleh karena itu masalah audit trail antara lain dalam bentuk existence controls harus betul-betul diperhatikan.

• Fungsi Internal Auditor

Fungsi internal auditor yang dikemukakan oleh Holmes dan Overmayer yang menggolongkan secara terperinci:
1.     Menentukan baik tidaknya internal control dengan memperhatikan pemeriksaan fungsi dan apakah prinsip akuntansi benar-benar telah dilaksanakan.
2.     Bertanggung jawab dalam menentukan apakah pelaksanaan sesuai dengan rencana policy dan prosedur yang telah ditetapkan sampai nilai apakah hal tersebut telah diperbaiki atau tidak,
3.     Menverifikasi adanya keuntungan kekayaan atau asset termasuk mencegah dan menentukan penyelesaian.
4.     Menverifikasikan dan menilai tingkat kepercayaan terhadap sistem akuntansi dan pelaporan.
5.     Melaporkan secara objektif apa yang diketahui kepada manajemen disertai rekomendasi perbaikan.

Pendapat lain tentang fungsi pemeriksaan adalah menurut General Accounting Officer yang diterjemahkan oleh Sumardjo Tjitrosidojo adalah sebagai berikut:
1.     Menemukan berbagai situasi untuk meniadakan pemborosan dan daya guna yang tidak baik.
2.     Menyarankan perbaikan dalam bidang kebijaksanaan prosedur dan struktur organisasi.
3.     Menciptakan alat penguji terhadap hasil pekerjaan para individu dan berbagai unit organisasi.
4.     Mengawasi ketaatan pada syarat-syarat yang telah ditentukan oleh anggaran dasar dan undang-undang.
5.     Mencek akan adanya tindakan-tindakan yang tidak atau belum disetujui, penyelewengan dan tidak wajar secara lain.
6.     Mengidentifikasikan tempat-tempat yang mengandung kemungkinan timbulnya  kesulitan kegiatan masa depan.
7.     Menciptakan saluran komunikasi antara berbagai tingkatan dan pimpinan tertinggi.