Bab 3 membahas etika bisnis, fraud, dan kerangka kontrol internal. Etiika bisnis melibatkan pengambilan keputusan yang tepat dalam menjalankan bisnis dan mencapai tujuan perusahaan secara etis. Fraud dapat terjadi karena faktor-faktor seperti tekanan, kesempatan, dan rasionalisasi. Kerangka kontrol internal bertujuan untuk mengurangi risiko paparan perusahaan agar tujuan bisnis dapat tercapai."
2. Objectives for Chapter 3
• Broad issues pertaining to business ethics
• Ethical issues related to the use of information
technology
• Distinguish between management fraud and
employee fraud
• Common types of fraud schemes
• Key features of SAS 78 / COSO internal control
framework
• Objects and application of physical controls
3. Business Ethics
Why should we be concerned about ethics in
the business world?
• Ethics are needed when conflicts arise—the
need to choose
• In business, conflicts may arise between:
– employees
– management
– stakeholders
• Litigation
4. Business Ethics
Business ethics involves finding the
answers to two questions:
• How do managers decide on what is right
in conducting their business?
• Once managers have recognized what is
right, how do they achieve it?
6. Computer Ethics…
concerns the social impact of computer technology
(hardware, software, and telecommunications).
What are the main computer ethics issues?
Privacy
Security—accuracy and confidentiality
Ownership of property
Equity in access
Environmental issues
Artificial intelligence
Unemployment and displacement
Misuse of computer
7. Legal Definition of Fraud
• False representation - false statement or
disclosure
• Material fact - a fact must be substantial in
inducing someone to act
• Intent to deceive must exist
• The misrepresentation must have resulted in
justifiable reliance upon information, which
caused someone to act
• The misrepresentation must have caused
injury or loss
9. 2004 ACFE Study of Fraud
• Loss due to fraud equal to 6% of revenues—
approximately $660 billion
• Loss by position within the company:
• Other results: higher losses due to men, employees
acting in collusion, and employees with advance
degrees
10. Enron, WorldCom, Adelphia
Underlying Problems
• Lack of Auditor Independence: auditing firms also engaged by
their clients to perform nonaccounting activities
• Lack of Director Independence: directors who also serve on
the boards of other companies, have a business trading
relationship, have a financial relationship as stockholders or
have received personal loans, or have an operational
relationship as employees
• Questionable Executive Compensation Schemes: short-term
stock options as compensation result in short-term strategies
aimed at driving up stock prices at the expense of the firm’s
long-term health.
• Inappropriate Accounting Practices: a characteristic common
to many financial statement fraud schemes.
– Enron made elaborate use of special purpose entities
– WorldCom transferred transmission line costs from current
expense accounts to capital accounts
11. Sarbanes-Oxley Act of 2002
Its principal reforms pertain to:
– Creation of the Public Company Accounting
Oversight Board (PCAOB)
– Auditor independence—more separation between a
firm’s attestation and non-auditing activities
– Corporate governance and responsibility—audit
committee members must be independent and the
audit committee must oversee the external auditors
– Disclosure requirements—increase issuer and
management disclosure
– New federal crimes for the destruction of or
tampering with documents, securities fraud, and
actions against whistleblowers
12. Employee Fraud
• Committed by non-management
personnel
• Usually consists of: an employee taking
cash or other assets for personal gain by
circumventing a company’s system of
internal controls
13. Management Fraud
• Perpetrated at levels of management above the one
to which internal control structure relates
• Frequently involves using financial statements to
create an illusion that an entity is more healthy and
prosperous than it actually is
• Involves misappropriation of assets, it frequently is
shrouded in a maze of complex business
transactions
14. Fraud Schemes
Three categories of fraud schemes according to
the Association of Certified Fraud Examiners:
A. fraudulent statements
B. corruption
C. asset misappropriation
15. A. Fraudulent Statements
• Misstating the financial statements to make the
copy appear better than it is
• Usually occurs as management fraud
• May be tied to focus on short-term financial
measures for success
• May also be related to management bonus
packages being tied to financial statements
16. B. Corruption
• Examples:
– bribery
– illegal gratuities
– conflicts of interest
– economic extortion
• Foreign Corrupt Practice Act of 1977:
– indicative of corruption in business world
– impacted accounting by requiring accurate
records and internal controls
17. C. Asset Misappropriation
• Most common type of fraud and often occurs as
employee fraud
• Examples:
– making charges to expense accounts to cover
theft of asset (especially cash)
– lapping: using customer’s check from one
account to cover theft from a different account
– transaction fraud: deleting, altering, or adding
false transactions to steal assets
18. Computer Fraud Schemes
• Theft, misuse, or misappropriation of assets by
altering computer-readable records and files
• Theft, misuse, or misappropriation of assets by
altering logic of computer software
• Theft or illegal use of computer-readable
information
• Theft, corruption, illegal copying or intentional
destruction of software
• Theft, misuse, or misappropriation of computer
hardware
19. Using the general IS model, explain how fraud can occur
at the different stages of information processing?
20. Data Collection Fraud
• This aspect of the system is the most
vulnerable because it is relatively easy to
change data as it is being entered into the
system.
• Also, the GIGO (garbage in, garbage out)
principle reminds us that if the input data is
inaccurate, processing will result in
inaccurate output.
21. Data Processing Fraud
Program Frauds
• altering programs to allow illegal access to
and/or manipulation of data files
• destroying programs with a virus
Operations Frauds
• misuse of company computer resources, such as
using the computer for personal business
22. Database Management Fraud
• Altering, deleting, corrupting, destroying, or
stealing an organization’s data
• Oftentimes conducted by disgruntled or ex-
employee
23. Information Generation Fraud
Stealing, misdirecting, or misusing computer
output
Scavenging
• searching through the trash cans on the
computer center for discarded output (the output
should be shredded, but frequently is not)
24. Internal Control Objectives
According to AICPA SAS
1. Safeguard assets of the firm
2. Ensure accuracy and reliability of accounting
records and information
3. Promote efficiency of the firm’s operations
4. Measure compliance with management’s
prescribed policies and procedures
25. Modifying Assumptions to the
Internal Control Objectives
• Management Responsibility
The establishment and maintenance of a system of
internal control is the responsibility of management.
• Reasonable Assurance
The cost of achieving the objectives of internal
control should not outweigh its benefits.
• Methods of Data Processing
The techniques of achieving the objectives will vary
with different types of technology.
26. Limitations of Internal Controls
• Possibility of honest errors
• Circumvention via collusion
• Management override
• Changing conditions--especially in companies
with high growth
27. Exposures of Weak Internal
Controls (Risk)
• Destruction of an asset
• Theft of an asset
• Corruption of information
• Disruption of the information system
29. Preventive, Detective, and Corrective
Controls
Undesirable Events
Preventive Preventive Preventive Preventive
Levels Detective Detective Detective
of
Control
Corrective Corrective Corrective
30. Chapter 7: Risk Exposures and
the Internal Control Structure
Accounting Information Systems: Essential Concepts and
Applications
Fourth Edition by Wilkinson, Cerullo,
Raval, and Wong-On-Wing
31. Internal Control
• Internal Control adalah suatu kondisi yang berusaha
dicapai oleh manajemen untuk menjamin bahwa tujuan
perusahaan akan dapat dicapai.
• Controls ini mencakup semua ukuran dan praktek yang
digunakan untuk menghilangkan risk exposure.
• Setiap perusahaan menghadapi resiko yang dapat
mengurangi kesempatan perusahaan dalam pencapaian
tujuannya.
• Risk exposure dapat muncul baik dari sumber internal
maupun external seperti pegawai, pelanggan, computer
hackers, criminals, dsb.
• Kerangka kontrolnya disebut Internal Control Structure
(ICS).
32. Internal Control
• Jika ICS yang diterapkan baik, semua operasi,
sumber daya fisik, dan data akan dimonitor
dan berada dibawah kontrol, tujuan akan
dicapai, resiko akan diminimalkan, dan output-
output informasi akan dapat dipercaya.
• Jika ICS yang diterapkan buruk, sumber daya
perusahaan mudah hilang melalui pencurian,
kelalaian, pengabaian, dan resiko-resiko
lainnya.
33. Objectives of the Internal
Control Structure
• Meningkatkan keefektifan dan efisiensi operasi
• Reliabilitas pelaporan keuangan
• Menjaga aset
• Memeriksa keakuratan dan reliabilitas data
akuntansi.
• Memenuhi kewajiban hukum dan regulasi.
• Mendorong ketaatan terhadap kebijakan
manajerial yang telah ditetapkan.
34. Components and Major Considerations
of the IC Structure
Internal Control
Structure
Control Risk Control Information
& Monitoring
Environment Assessment Activities Communication
Activities related Activities related
to Financial to Information
Reporting Processing
General Application
Controls Controls
Figure 7-1
35. Control Environment
• Control Environment menentukan sifat dari suatu
perusahaan, mempengaruhi kesadaran kontrol para
pegawainya.
• Control environment yang lemah menunjukkan
kelemahan komponen-komponen ICS lainnya.
• Terdiri dari tujuh komponen, yaitu:
• Management philosophy and operating style →
membutuhkan tindakan manajemen yang positif,
seperti menset contoh perilaku etis yang diikuti dengan
kode etik personal, menetapkan formal corporate code
of conduct, menekankan pentingnya internal control,
memperlakukan pegawai dengan adil dan rasa hormat.
36. Control Environment
• Integrity and ethical values, perilaku ets dan tidak etis
dari manajer dan pegawai dapat memiliki pengaruh yang
merembes ke seluruh ICS, membuat atmosfir yang
mempengaruhi validitas proses pelaporan keuangan.
• Commitment to competence, perusahaan harus
merekrut pegawai yang kompeten dan dapat dipercaya
untuk mendorong inisiatif dan kreatifitas dan beraksi cepat
menghadapi kondisi yang berubah.
• The Board of Directors and the Audit Committee,
peranan komite audit adalah secara aktif mengawasi
akuntansi perusahaan serta praktek-praktek dan
kebijakan pelaporan keuangan.
• Organizational Structure, menunjukkan kerangka
hubungan formal untuk mencapai tujuan perusahaan.
37. Control Environment (CE)
• Assignment of authority and responsibility,
otoritas adalah hak untuk memerintah bawahan
berdasarkan ranking atau posisi formal. Responsibility
adalah kewajiban seseorang untuk melaksanakan tugas
dan bertanggung jawab terhadap hasil-hasil yang dicapai.
• Human resources policies and practices,
pertimbangan kebijakan mengenai rekruitment,
orientation, motivasi, evaluasi,promosi, kompensasi,
konseling, pemberhentian, dan perlindungan pegawai.
38. Highlights of CE Components - I
• Management Philosophy and Operating Style
– Apakah manajemen menekankan keuntungan jangka
pendek dan tujuan operasi daripada tujuan jangka
panjang?
– Apakah manajemen didominasi oleh satu atau
beberapa orang?
– Resiko bisnis apa yang diambil oleh manajemen dan
bagaimana resiko-resiko ini dikelola?
– Apakah manajemen konservatif atau agresif untuk
memilih prinsip-prinsip akuntansi akternatif yang
tersedia?
Figure 7-2
39. Highlights of CE Components - II
• Organization Structure
– Apakah grafik organisasi yang up-to-date
dipersiapkan, menunjukkan nama-nama personil
penting?
– Apakah fungsi sistem informasi terpisah dari fungsi-
fungsi yang bertentangan?
– Bagaimana bagian akuntansi diorganisasi?
– Apakah fungsi internal audit terpisah dan berbeda
dari akuntansi?
– Apakah manajer-manajer tingkat lebih rendah
melapor ke lebih dari satu supervisor?
Figure 7-2 Continued
40. Highlights of CE Components - III
• Assignment of Authority and Responsibility
– Apakah perusahaan menyiapkan job description
pegawai secara tertulis yang menetapkan tugas-
tugas khusus dan hubungan pelaporan?
– Apakah persetujuan tertulis dibutuhkan untuk
perubahan yang dibuat untuk sistem informasi?
– Apakah perusahaan menggambarkan dengan jelas
kepada pegawai dan manajer batasan-batasan
hubungan otoritas dan tanggung jawab?
– Apakah perusahaan mendelegasikan otoritas ke
pegawai dan departemen dengan sebaik-baiknya?
Figure 7-2 Continued
41. Highlights of CE Components - IV
• Human Resource Policies and Practices
– Apakah pegawai baru diindoktrinasikan dengan Internal
Controls, Ethics Policies, dan Corporate Code of Conduct?
– Apakah perusahaan memenuhi ADA (American with
Disabilities Act)? EEOA (The Equal Employment Oportunity
Act)?
– Apakah prosedur keluhan untuk mengatur konflik dalam
kendala?
– Apakah perusahaan memelihara program relasi pegawai
yang baik?
– Apakah pegawai bekerja dalam lingkungan yang aman dan
sehat?
– Apakah program konseling tersedia bagi pegawai?
– Apakah program pemisahan yang baik dalam kendala untuk
pegawai yang meninggalkan perusahaan?
– Apakah pegawai yang kritis dikeluarkan?
Figure 7-2 Continued
42. Key Functions Performed by
Audit Committees
• Menetapkan bagian audit internal.
• Mereview scope dan status audit.
• Mereview temuan audit dengan dewan dan
meyakinkan bahwa manajemen telah mengambil
tindakan yang tepat yang direkomendasikan pada
laporan audit dan Letter of Reportable Conditions.
• Memelihara jalur komunikasi langsung diantara dewan,
manajemen dan auditor internal dan secara periodik
menyusun pertemuan diantara pihak-pihak tsb.
Figure 7-3
43. Key Functions Performed by Audit
Committees
• Mereview audited Audited Financial Statements
dengan auditor internal dan dewan direksi.
• Mewajibkan review kualitas periodik dari operasi
bagian audit internal untuk mengidentifikasi area-area
yang membutuhkan perbaikan.
• Mengawasi investigasi khusus seperti Fraud
Investigations.
• Memperkirakan kinerja manajemen keuangan.
• Mengharuskan review terhadap pemenuhan kewajiban
hukum dan regulasi dengan Corporate Codes of
Conduct
Figure 7-3
44. Risk Assessment
• Top management harus terlibat langsung
dalam Business Risk Assessment.
• Hal ini melibatkan identifikasi dan analisa
resiko-resiko yang relevan yang dapat
mencegah pencapaian tujuan perusahaan
dan tujuan unit-unit organisasi dan formasi
rencana untuk menentukan bagaimana
mengelola resiko-resiko tsb.
45. Control Activities - I
• Control Activities dihubungkan dengan Financial
Reporting dapat diklasifikasijan menurut maksud
penggunaannya dalam suatu sistem :
• Preventive Controls menghalangi event-event
yang berlawanan seperti error atau kerugian.
• Detective Controls menemukan kejadian-
kejadian dari events yang berlawanan seperti
ketidakefisienan operasional.
• Corrective controls dirancang untuk
memperbaiki masalah-masalah melalui detective
controls
• Security Measures dimaksudkan untuk
menyediakan perlindungan yang cukup terhadap
akses dan penggunaan aset dan data records.
46. Control Activities - II
• Control Activities dihubungkan dengan
Information Processing juga dapat
diklasifikasikan menurut kemana control activities
tsb akan diklasifikasikan dalam sistem
• General controls adalah kontrol-kontrol yang
berhubungan dengan semua aktivitas yang melibatkan
SIA dan aset perusahaan.
• Application controls berhubungan dengan tugas-
tugas akuntansi khusus atau transaksi-transaksi.
• Kecenderungan secara keseluruhan agaknya
akan berjalan dari specific application controls ke
general controls yang lebih global.
47. Control Activities - III
• Performance Reviews
– Membandingan Budgets dengan Actual Values
– Menghubungkan Different Sets of Data-Operating
atau Financial-ke satu sama lain, bersama-sama
dengan Analyses of the relationships (analisa
hubungan) dan Investigative and Corrective Actions
(tindakan investigasi dan koreksi)
– Mereview kinerja fungsional seperti bank’s consumer
loan manager’s review of reports by branch, region,
dan loan type untuk loan approvals and collections
48. Information & Communication
• Semua transaksi yang dimasukkan untuk pengolahan adalah
Valid dan Authorized
• Semua transaksi yang valid dicapture dan dimasukkan
berdasarkan Timely Basis dan dalam rincian yang cukup
(Sufficient Detail) untuk mengijinkan klasifikasi transaksi yang
tepat.
• Input data dari semua transaksi yang dimasukkan adalah
akurat dan lengkap (Accurate and Complete), dengan transaksi
yang diungkapkan dalam istilah moneter (Monetary terms) yang
tepat.
• Semua transaksi yang dimasukkan diproses sebagaimana
mestinya untuk mengupdate semua record yang dipengaruhi
pada file master dan/atau tipe data sets lainnya.
• Semua Outputs yang dibutuhkan disiapkan menurut
Appropriate Rules untuk menyediakan Accurate and Reliable
Information
• Semua transaksi disimpan pada Accounting Period yang benar.
49. Monitoring
• Tujuan Monitoring:
– Memperkirakan kualitas ICS sepanjang waktu
dengan melakukan ongoing activities dan
evaluasi terpisah.
– Ongoing monitoring activities seperti
mengawasi pegawai, dilakukan setiap hari.
– Separate monitoring activities seperti audit
ICS dilakukan secara periodik.
Figure 7-2 Continued
50. Risk Exposure
• Perusahaan bisnis menghadapi resiko-resiko
yang mengurangi kesempatan pencapaian
tujuan kontrol.
• Risk exposures timbul dari sumber internal,
contoh: pegawai seperti juga sumber eksternal,
contohnya computer hackers.
• Risk assessment terdiri dari identifikasi resiko-
resiko yang relevan, analisa keluasan exposure
terhadap resiko-resiko tsb, dan pengelolaan
resiko dengan mengusulkan prosedur kontrol
yang efektif.
51. Some Typical Sources of Risk - I
• Clerical and Operational Employees, yang
memproses data transaksi dan memiliki akses
terhadap aset.
• Computer Programmers, yang memiliki
pengetahuan yang berhubungan dengan instruksi-
instruksi untuk mengolah transaksi.
• Managers and Accountants, yang memiliki akses
terhadap Records dan Financial Reports dan
seringkali memiliki otorisasi untuk menyetujui
yransaksi.
Figure 7-4
52. Some Typical Sources of Risk - II
• Former Employees, yang masih memahami struktur
pengendalian dan mungkin menyembunyikan
dendam terhadap perusahaan
• Customers and Suppliers, yang menghasilkan
banyak transaksi yang diproses oleh perusahaan
• Competitors, yang mungkin memiliki keinginan untuk
mendapatkan informasi rahasia dari perusahaan
• Outside Persons, seperti Computer Hackers dan
Criminals, yang memiliki berbagai alasan untuk
mengakses data perusahaan atau aset-asetnya atau
untuk melakukan perbuatan-perbuatan destruktif.
• Acts of Nature or Accidents, seperti banjir,
kebakaran, dan kerusakan-kerusakan peralatan.
Figure 7-4 Continued
53. Types of Risks
• Unintentional errors
• Deliberate Errors (Fraud)
• Unintentional Losses of Assets
• Thefts of assets
• Breaches of Security
• Acts of Violence and Natural Disasters
54. Factors that Increase Risk
Exposure
• Frequency – semakin sering transaksi terjadi
semakin besar the exposure to risk
• Vulnerability - liquid dan/atau aset-aset yang
mudah untuk diangkut memperbesar risk
exposure
• Size of the potential loss – semakin tingi nilai
moneter yang hilang, semakin besar risk
exposure
55. Problem Conditions Affecting
Risk Exposures
• Collusion (both internal and external), adalah
kerjasama dua orang atau lebih untuk tujuan
penipuan , adalah sukar untuk dihilangkan meskipun
dengan prosedur kontrol yang baik.
• Lack of Enforcement Manajemen mungkin tidak
menuntut orang yang bersalah karena mungkin
memalukan.
• Computer crime memiliki tingkatan resiko yang
sangat tinggi, dan kegiatan penipuan sukar untuk
dideteksi.
56. Computer Crime
• Computer crime (computer abuse) adalah
penggunaan komputer untuk menipu dengan
tujuan memperoleh keuntungan pribadi.
• Dengan perkembangan network dan PC,
kejahatan komputer diperkirakan akan
meningkat baik dalam frekuensi maupun
jumlah kerugian.
• Ini adalah spekulasi bahwa kejahatan
komputer yang terdeteksi relatif kecil/sedikit
dan bahkan lebih sedikit lagi yang dilaporkan.
57. Examples of Computer Crime
• Pencurian hardware dan software
komputer
• Penggunaan fasilitas komputer yang tidak
sah untuk pemakaian pribadi
• Modifikasi transaksi-transaksi yang curang
atau penggunaan data atau programs.
58. Reasons Why Computers Cause
Control Problems
• Pengolahan dipusatkan
• Audit Trails mungkin dikurangi
• Pendapat manusia dilewati
• Data disimpan pada Device-Oriented dari pada Human-
Oriented forms
– Invisible Data
– Stored data are Erasable
– Data are stored in a Compressed form
– Stored data are relatively accessible
• Peralatan komputernya Powerful tetapi rumit dan mudah
diserang.
59. Methods for Thwarting Computer
Abuse
• Kenali gejala-gejala penyalahgunaan komputer
seperti:
– Perubahan perilaku atau gaya hidup pada seorang
pegawai
– Ketidakberesan akuntansi (accounting irregularities)
seperti memalsukan, mengubah atau memusnahkan
dokumen-dokumen input atau adanya accounting
adjustments yang mencurigakan.
– Meningggalkan atau mengabaikan prosedur kontrol
– Adanya banyak keanehan atau penyimpangan-
penyimpangan yang luar biasa yang tidak dapat
dibandingkan
• Mendorong perilaku etis
60. Methods for Thwarting Computer
Abuse
• Dapatkan dukungan top-management sehingga
kesadaran akan penyalahgunaan komputer akan
merembes ke bawah melalui management ranks.
• Laksanakan dan jalankan prosedur kontrol.
• Tingkatkan kesadaran pegawai dengan sunguh-
sungguh dalam penyalahgunaan komputer, jumlah
biaya, dan kekacauan yang dibuat.
• Tetapkan code of conduct.
• Sadari karakteristik dari orang-orang yang
menyalahgunakan komputer.
61. Control Problems Caused by
Computerization: Data Collection
Manual System Computer-based System
Characteristics Characteristics Risk Exposures Compensating
Controls
Data recorded in Data sometimes Audit trail may be Printed copies of
paper source captured without partially lost source documents
documents use of source prepared by
documents computer systems
Data reviewed for Data often not Errors, accidental Edit checks
errors by clerks subject to review or deliberate, may performed by
by clerks be entered for computer system
processing
Figure 7-6
62. Control Problems Caused by
Computerization: Data System
Manual System Computer-based
Processing
Characteristics Characteristics Risk Exposures Compensating
Controls
Processing steps Processing steps Errors may cause Outputs reviewed by
performed by clerks performed by CPU incorrect results of users of computer
who possess judgment “blindly” in accordance processing system; carefully
with program developed computer
instructions processing programs
Processing steps Processing steps Unauthorized Restricted access to
among various clerks in concentrated within manipulation of data computer facilities; clear
separate departments computer CPU and theft of assets can procedure for
occur on larger scale authorizing changes to
programs
Processing requires Processing does not Audit trail may be Printed journals and
use of journals and require use of journals partially lost other analyses
ledgers
Processing performed Processing performed Effects of errors may Editing of all data
relatively slowly very rapidly spread rapidly through during input and
files processing steps
Figure 7-6 Continued
63. Control Problems Caused by Computerization:
Data Storage & Retrieval
Manual System Computer-based System
Characteristics Characteristics Risk Exposures Compensating
Controls
Data stored in file Data compressed Data may be Security measures
drawers throughout on magnetic media accessed by at points of access
the various (e.g., tapes, disks)unauthorized and over data
departments persons or stolen library
Data stored on Data stored in Data are Data files printed
hard copies in invisible, eraseable, temporarily periodically; backup
human- readable computer-readable unusable by of files; protection
form form humans, and might against sudden
possibly be lost power losses
Stored data Stored data often Data may be Security measures
accessible on a readily accessible accessed by at points of access
piece-meal basis at from various unauthorized
various locations locations via persons
terminals
Figure 7-6 Continued
64. Control Problems Caused by Computerization:
Information Generation
Manual System Computer-based System
Characteristics Characteristics Risk Exposures Compensating
Controls
Outputs Outputs generated Inaccuracies may Reviews by users
generated quickly and neatly, be buried in of outputs,
laboriously and often in large impressive-looking including the
usually in small volumes outputs that users checking of
volumes accept on faith amounts
Outputs usually in Outputs provided Information stored Backup of files;
hard-copy form in various forms, on magnetic periodic printing of
including soft-copy media is subject to stored files onto
displays and voice modification (only hard-copy records
responses hard copy
provides
permanent record)
Figure 7-6 Continued
65. Control Problems Caused by
Computerization: Equipment
Manual System Computer-based System
Characteristics Characteristics Risk Exposures Compensating
Controls
Relatively simple, Relatively Business Backup of data
inexpensive, and complex, operations may be and power supply
mobile expensive, and in intentionally or and equipment;
fixed locations unintentionally preventive
interrupted; data maintenance of
or hardware may equipment;
be destroyed; restrictions on
operations may be access to
delayed through computer facilities;
inefficiencies documentation of
equipment usage
and processing
procedures
Figure 7-6 Continued
66. Feasibility of Controls
• Audit Considerations
• Cost-Benefit Considerations
– Tentukan sumber daya komputer khusus untuk kontrol
– Tentukan semua Potential Threats terhadap sistem
komputer perusahaan
– Perkirakan resko-resiko relevan yang diungkap oleh
perusahaan
– Ukur luas tiap Risk exposure yang relevan dalam
dolar
– Kalikan Estimated Effect of each Relevant Risk
Exposure dengan Estimated Frequency of Occurrence
pada periode yang layak seperti setahun.
– Hitung biaya instalasi dan pemeliharaan suatu kontrol
untuk menjawab setiap Relevant Risk Exposure
– Bandingkan keuntungan dengan biaya tiap kontrol
67. Forces for the Improvement
of Controls
• Kekuatan yang paling berpengaruh adalah:
– Needs of Management, diperlukan untuk menjaga
aset perusahaan, berperan dalam ICS, dan untuk
membuat keputusan yang baik.
– Ethical Concerns of Proffessional Association,
memiliki kode etik profesional, diantaranya adalah
aturan-aturan mengenai indepensi, technical
competence, praktek-praktek audit yang sesuai,
consulting engagement yang melbatkan sistem
informasi.
– Acts of Government Bodies, investigasi oleh agen
pemintah seperti SEC menemukan kegiaan ilegal
yang dilakukan oleh perusahaan-perusahaan
Amerika yang tidak terdeteksi dengan ICS .
Konsekuensinya:
Figure 7-2
68. Legislation
• The Foreign Corrupt Practices Act of 1977
• Of the Federal Legislation memerintahkan
penggunaan komputer, The Computer Fraud and
Abuse Act of 1984 (amended in 1986) barangkali
sangat penting
– Tindakan ini menyebabkan federal crime untuk secara
sengaja mengakses komputer dengan tujuan seperti:
(1)memperoleh top-secret military information, pribadi,
informasi keuangan ataupun kredit
– (2) melakukan penipuan
– (3) mengubah atau mememusnahkan informasi federal