Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Plugin sesi-6-jah-bab-3


Published on

Published in: Education, Business
  • Be the first to comment

Plugin sesi-6-jah-bab-3

  1. 1. Accounting Information Systems, 6th edition James A. Hall And Accounting Information System, 4th edition Wilkinson
  2. 2. Objectives for Chapter 3• Broad issues pertaining to business ethics• Ethical issues related to the use of information technology• Distinguish between management fraud and employee fraud• Common types of fraud schemes• Key features of SAS 78 / COSO internal control framework• Objects and application of physical controls
  3. 3. Business Ethics Why should we be concerned about ethics in the business world?• Ethics are needed when conflicts arise—the need to choose• In business, conflicts may arise between: – employees – management – stakeholders• Litigation
  4. 4. Business Ethics Business ethics involves finding the answers to two questions:• How do managers decide on what is right in conducting their business?• Once managers have recognized what is right, how do they achieve it?
  5. 5. Four Main Areas of Business Ethics
  6. 6. Computer Ethics… concerns the social impact of computer technology(hardware, software, and telecommunications). What are the main computer ethics issues? Privacy Security—accuracy and confidentiality Ownership of property Equity in access Environmental issues Artificial intelligence Unemployment and displacement Misuse of computer
  7. 7. Legal Definition of Fraud• False representation - false statement or disclosure• Material fact - a fact must be substantial in inducing someone to act• Intent to deceive must exist• The misrepresentation must have resulted in justifiable reliance upon information, which caused someone to act• The misrepresentation must have caused injury or loss
  8. 8. Factors that Contribute to Fraud
  9. 9. 2004 ACFE Study of Fraud• Loss due to fraud equal to 6% of revenues— approximately $660 billion• Loss by position within the company:• Other results: higher losses due to men, employees acting in collusion, and employees with advance degrees
  10. 10. Enron, WorldCom, Adelphia Underlying Problems• Lack of Auditor Independence: auditing firms also engaged by their clients to perform nonaccounting activities• Lack of Director Independence: directors who also serve on the boards of other companies, have a business trading relationship, have a financial relationship as stockholders or have received personal loans, or have an operational relationship as employees• Questionable Executive Compensation Schemes: short-term stock options as compensation result in short-term strategies aimed at driving up stock prices at the expense of the firm’s long-term health.• Inappropriate Accounting Practices: a characteristic common to many financial statement fraud schemes. – Enron made elaborate use of special purpose entities – WorldCom transferred transmission line costs from current expense accounts to capital accounts
  11. 11. Sarbanes-Oxley Act of 2002Its principal reforms pertain to: – Creation of the Public Company Accounting Oversight Board (PCAOB) – Auditor independence—more separation between a firm’s attestation and non-auditing activities – Corporate governance and responsibility—audit committee members must be independent and the audit committee must oversee the external auditors – Disclosure requirements—increase issuer and management disclosure – New federal crimes for the destruction of or tampering with documents, securities fraud, and actions against whistleblowers
  12. 12. Employee Fraud• Committed by non-management personnel• Usually consists of: an employee taking cash or other assets for personal gain by circumventing a company’s system of internal controls
  13. 13. Management Fraud• Perpetrated at levels of management above the one to which internal control structure relates• Frequently involves using financial statements to create an illusion that an entity is more healthy and prosperous than it actually is• Involves misappropriation of assets, it frequently is shrouded in a maze of complex business transactions
  14. 14. Fraud SchemesThree categories of fraud schemes according tothe Association of Certified Fraud Examiners: A. fraudulent statements B. corruption C. asset misappropriation
  15. 15. A. Fraudulent Statements• Misstating the financial statements to make the copy appear better than it is• Usually occurs as management fraud• May be tied to focus on short-term financial measures for success• May also be related to management bonus packages being tied to financial statements
  16. 16. B. Corruption• Examples: – bribery – illegal gratuities – conflicts of interest – economic extortion• Foreign Corrupt Practice Act of 1977: – indicative of corruption in business world – impacted accounting by requiring accurate records and internal controls
  17. 17. C. Asset Misappropriation• Most common type of fraud and often occurs as employee fraud• Examples: – making charges to expense accounts to cover theft of asset (especially cash) – lapping: using customer’s check from one account to cover theft from a different account – transaction fraud: deleting, altering, or adding false transactions to steal assets
  18. 18. Computer Fraud Schemes• Theft, misuse, or misappropriation of assets by altering computer-readable records and files• Theft, misuse, or misappropriation of assets by altering logic of computer software• Theft or illegal use of computer-readable information• Theft, corruption, illegal copying or intentional destruction of software• Theft, misuse, or misappropriation of computer hardware
  19. 19. Using the general IS model, explain how fraud can occur at the different stages of information processing?
  20. 20. Data Collection Fraud• This aspect of the system is the most vulnerable because it is relatively easy to change data as it is being entered into the system.• Also, the GIGO (garbage in, garbage out) principle reminds us that if the input data is inaccurate, processing will result in inaccurate output.
  21. 21. Data Processing FraudProgram Frauds• altering programs to allow illegal access to and/or manipulation of data files• destroying programs with a virusOperations Frauds• misuse of company computer resources, such as using the computer for personal business
  22. 22. Database Management Fraud• Altering, deleting, corrupting, destroying, or stealing an organization’s data• Oftentimes conducted by disgruntled or ex- employee
  23. 23. Information Generation Fraud Stealing, misdirecting, or misusing computer outputScavenging• searching through the trash cans on the computer center for discarded output (the output should be shredded, but frequently is not)
  24. 24. Internal Control Objectives According to AICPA SAS1. Safeguard assets of the firm2. Ensure accuracy and reliability of accounting records and information3. Promote efficiency of the firm’s operations4. Measure compliance with management’s prescribed policies and procedures
  25. 25. Modifying Assumptions to the Internal Control Objectives• Management Responsibility The establishment and maintenance of a system of internal control is the responsibility of management.• Reasonable Assurance The cost of achieving the objectives of internal control should not outweigh its benefits.• Methods of Data Processing The techniques of achieving the objectives will vary with different types of technology.
  26. 26. Limitations of Internal Controls• Possibility of honest errors• Circumvention via collusion• Management override• Changing conditions--especially in companies with high growth
  27. 27. Exposures of Weak Internal Controls (Risk)• Destruction of an asset• Theft of an asset• Corruption of information• Disruption of the information system
  28. 28. The Internal Controls Shield
  29. 29. Preventive, Detective, and Corrective Controls Undesirable Events Preventive Preventive Preventive PreventiveLevels Detective Detective DetectiveofControl Corrective Corrective Corrective
  30. 30. Chapter 7: Risk Exposures and the Internal Control Structure Accounting Information Systems: Essential Concepts and Applications Fourth Edition by Wilkinson, Cerullo, Raval, and Wong-On-Wing
  31. 31. Internal Control• Internal Control adalah suatu kondisi yang berusaha dicapai oleh manajemen untuk menjamin bahwa tujuan perusahaan akan dapat dicapai.• Controls ini mencakup semua ukuran dan praktek yang digunakan untuk menghilangkan risk exposure.• Setiap perusahaan menghadapi resiko yang dapat mengurangi kesempatan perusahaan dalam pencapaian tujuannya.• Risk exposure dapat muncul baik dari sumber internal maupun external seperti pegawai, pelanggan, computer hackers, criminals, dsb.• Kerangka kontrolnya disebut Internal Control Structure (ICS).
  32. 32. Internal Control• Jika ICS yang diterapkan baik, semua operasi, sumber daya fisik, dan data akan dimonitor dan berada dibawah kontrol, tujuan akan dicapai, resiko akan diminimalkan, dan output- output informasi akan dapat dipercaya.• Jika ICS yang diterapkan buruk, sumber daya perusahaan mudah hilang melalui pencurian, kelalaian, pengabaian, dan resiko-resiko lainnya.
  33. 33. Objectives of the Internal Control Structure• Meningkatkan keefektifan dan efisiensi operasi• Reliabilitas pelaporan keuangan• Menjaga aset• Memeriksa keakuratan dan reliabilitas data akuntansi.• Memenuhi kewajiban hukum dan regulasi.• Mendorong ketaatan terhadap kebijakan manajerial yang telah ditetapkan.
  34. 34. Components and Major Considerations of the IC Structure Internal Control Structure Control Risk Control Information & Monitoring Environment Assessment Activities Communication Activities related Activities related to Financial to Information Reporting Processing General Application Controls ControlsFigure 7-1
  35. 35. Control Environment• Control Environment menentukan sifat dari suatu perusahaan, mempengaruhi kesadaran kontrol para pegawainya.• Control environment yang lemah menunjukkan kelemahan komponen-komponen ICS lainnya.• Terdiri dari tujuh komponen, yaitu: • Management philosophy and operating style → membutuhkan tindakan manajemen yang positif, seperti menset contoh perilaku etis yang diikuti dengan kode etik personal, menetapkan formal corporate code of conduct, menekankan pentingnya internal control, memperlakukan pegawai dengan adil dan rasa hormat.
  36. 36. Control Environment• Integrity and ethical values, perilaku ets dan tidak etis dari manajer dan pegawai dapat memiliki pengaruh yang merembes ke seluruh ICS, membuat atmosfir yang mempengaruhi validitas proses pelaporan keuangan.• Commitment to competence, perusahaan harus merekrut pegawai yang kompeten dan dapat dipercaya untuk mendorong inisiatif dan kreatifitas dan beraksi cepat menghadapi kondisi yang berubah.• The Board of Directors and the Audit Committee, peranan komite audit adalah secara aktif mengawasi akuntansi perusahaan serta praktek-praktek dan kebijakan pelaporan keuangan.• Organizational Structure, menunjukkan kerangka hubungan formal untuk mencapai tujuan perusahaan.
  37. 37. Control Environment (CE)• Assignment of authority and responsibility, otoritas adalah hak untuk memerintah bawahan berdasarkan ranking atau posisi formal. Responsibility adalah kewajiban seseorang untuk melaksanakan tugas dan bertanggung jawab terhadap hasil-hasil yang dicapai.• Human resources policies and practices, pertimbangan kebijakan mengenai rekruitment, orientation, motivasi, evaluasi,promosi, kompensasi, konseling, pemberhentian, dan perlindungan pegawai.
  38. 38. Highlights of CE Components - I • Management Philosophy and Operating Style – Apakah manajemen menekankan keuntungan jangka pendek dan tujuan operasi daripada tujuan jangka panjang? – Apakah manajemen didominasi oleh satu atau beberapa orang? – Resiko bisnis apa yang diambil oleh manajemen dan bagaimana resiko-resiko ini dikelola? – Apakah manajemen konservatif atau agresif untuk memilih prinsip-prinsip akuntansi akternatif yang tersedia?Figure 7-2
  39. 39. Highlights of CE Components - II • Organization Structure – Apakah grafik organisasi yang up-to-date dipersiapkan, menunjukkan nama-nama personil penting? – Apakah fungsi sistem informasi terpisah dari fungsi- fungsi yang bertentangan? – Bagaimana bagian akuntansi diorganisasi? – Apakah fungsi internal audit terpisah dan berbeda dari akuntansi? – Apakah manajer-manajer tingkat lebih rendah melapor ke lebih dari satu supervisor?Figure 7-2 Continued
  40. 40. Highlights of CE Components - III • Assignment of Authority and Responsibility – Apakah perusahaan menyiapkan job description pegawai secara tertulis yang menetapkan tugas- tugas khusus dan hubungan pelaporan? – Apakah persetujuan tertulis dibutuhkan untuk perubahan yang dibuat untuk sistem informasi? – Apakah perusahaan menggambarkan dengan jelas kepada pegawai dan manajer batasan-batasan hubungan otoritas dan tanggung jawab? – Apakah perusahaan mendelegasikan otoritas ke pegawai dan departemen dengan sebaik-baiknya?Figure 7-2 Continued
  41. 41. Highlights of CE Components - IV • Human Resource Policies and Practices – Apakah pegawai baru diindoktrinasikan dengan Internal Controls, Ethics Policies, dan Corporate Code of Conduct? – Apakah perusahaan memenuhi ADA (American with Disabilities Act)? EEOA (The Equal Employment Oportunity Act)? – Apakah prosedur keluhan untuk mengatur konflik dalam kendala? – Apakah perusahaan memelihara program relasi pegawai yang baik? – Apakah pegawai bekerja dalam lingkungan yang aman dan sehat? – Apakah program konseling tersedia bagi pegawai? – Apakah program pemisahan yang baik dalam kendala untuk pegawai yang meninggalkan perusahaan? – Apakah pegawai yang kritis dikeluarkan?Figure 7-2 Continued
  42. 42. Key Functions Performed by Audit Committees• Menetapkan bagian audit internal.• Mereview scope dan status audit.• Mereview temuan audit dengan dewan dan meyakinkan bahwa manajemen telah mengambil tindakan yang tepat yang direkomendasikan pada laporan audit dan Letter of Reportable Conditions.• Memelihara jalur komunikasi langsung diantara dewan, manajemen dan auditor internal dan secara periodik menyusun pertemuan diantara pihak-pihak tsb. Figure 7-3
  43. 43. Key Functions Performed by Audit Committees• Mereview audited Audited Financial Statements dengan auditor internal dan dewan direksi.• Mewajibkan review kualitas periodik dari operasi bagian audit internal untuk mengidentifikasi area-area yang membutuhkan perbaikan.• Mengawasi investigasi khusus seperti Fraud Investigations.• Memperkirakan kinerja manajemen keuangan.• Mengharuskan review terhadap pemenuhan kewajiban hukum dan regulasi dengan Corporate Codes of Conduct Figure 7-3
  44. 44. Risk Assessment• Top management harus terlibat langsung dalam Business Risk Assessment.• Hal ini melibatkan identifikasi dan analisa resiko-resiko yang relevan yang dapat mencegah pencapaian tujuan perusahaan dan tujuan unit-unit organisasi dan formasi rencana untuk menentukan bagaimana mengelola resiko-resiko tsb.
  45. 45. Control Activities - I• Control Activities dihubungkan dengan Financial Reporting dapat diklasifikasijan menurut maksud penggunaannya dalam suatu sistem : • Preventive Controls menghalangi event-event yang berlawanan seperti error atau kerugian. • Detective Controls menemukan kejadian- kejadian dari events yang berlawanan seperti ketidakefisienan operasional. • Corrective controls dirancang untuk memperbaiki masalah-masalah melalui detective controls • Security Measures dimaksudkan untuk menyediakan perlindungan yang cukup terhadap akses dan penggunaan aset dan data records.
  46. 46. Control Activities - II• Control Activities dihubungkan dengan Information Processing juga dapat diklasifikasikan menurut kemana control activities tsb akan diklasifikasikan dalam sistem • General controls adalah kontrol-kontrol yang berhubungan dengan semua aktivitas yang melibatkan SIA dan aset perusahaan. • Application controls berhubungan dengan tugas- tugas akuntansi khusus atau transaksi-transaksi.• Kecenderungan secara keseluruhan agaknya akan berjalan dari specific application controls ke general controls yang lebih global.
  47. 47. Control Activities - III• Performance Reviews – Membandingan Budgets dengan Actual Values – Menghubungkan Different Sets of Data-Operating atau Financial-ke satu sama lain, bersama-sama dengan Analyses of the relationships (analisa hubungan) dan Investigative and Corrective Actions (tindakan investigasi dan koreksi) – Mereview kinerja fungsional seperti bank’s consumer loan manager’s review of reports by branch, region, dan loan type untuk loan approvals and collections
  48. 48. Information & Communication• Semua transaksi yang dimasukkan untuk pengolahan adalah Valid dan Authorized• Semua transaksi yang valid dicapture dan dimasukkan berdasarkan Timely Basis dan dalam rincian yang cukup (Sufficient Detail) untuk mengijinkan klasifikasi transaksi yang tepat.• Input data dari semua transaksi yang dimasukkan adalah akurat dan lengkap (Accurate and Complete), dengan transaksi yang diungkapkan dalam istilah moneter (Monetary terms) yang tepat.• Semua transaksi yang dimasukkan diproses sebagaimana mestinya untuk mengupdate semua record yang dipengaruhi pada file master dan/atau tipe data sets lainnya.• Semua Outputs yang dibutuhkan disiapkan menurut Appropriate Rules untuk menyediakan Accurate and Reliable Information• Semua transaksi disimpan pada Accounting Period yang benar.
  49. 49. Monitoring • Tujuan Monitoring: – Memperkirakan kualitas ICS sepanjang waktu dengan melakukan ongoing activities dan evaluasi terpisah. – Ongoing monitoring activities seperti mengawasi pegawai, dilakukan setiap hari. – Separate monitoring activities seperti audit ICS dilakukan secara periodik.Figure 7-2 Continued
  50. 50. Risk Exposure• Perusahaan bisnis menghadapi resiko-resiko yang mengurangi kesempatan pencapaian tujuan kontrol.• Risk exposures timbul dari sumber internal, contoh: pegawai seperti juga sumber eksternal, contohnya computer hackers.• Risk assessment terdiri dari identifikasi resiko- resiko yang relevan, analisa keluasan exposure terhadap resiko-resiko tsb, dan pengelolaan resiko dengan mengusulkan prosedur kontrol yang efektif.
  51. 51. Some Typical Sources of Risk - I • Clerical and Operational Employees, yang memproses data transaksi dan memiliki akses terhadap aset. • Computer Programmers, yang memiliki pengetahuan yang berhubungan dengan instruksi- instruksi untuk mengolah transaksi. • Managers and Accountants, yang memiliki akses terhadap Records dan Financial Reports dan seringkali memiliki otorisasi untuk menyetujui yransaksi.Figure 7-4
  52. 52. Some Typical Sources of Risk - II • Former Employees, yang masih memahami struktur pengendalian dan mungkin menyembunyikan dendam terhadap perusahaan • Customers and Suppliers, yang menghasilkan banyak transaksi yang diproses oleh perusahaan • Competitors, yang mungkin memiliki keinginan untuk mendapatkan informasi rahasia dari perusahaan • Outside Persons, seperti Computer Hackers dan Criminals, yang memiliki berbagai alasan untuk mengakses data perusahaan atau aset-asetnya atau untuk melakukan perbuatan-perbuatan destruktif. • Acts of Nature or Accidents, seperti banjir, kebakaran, dan kerusakan-kerusakan peralatan.Figure 7-4 Continued
  53. 53. Types of Risks• Unintentional errors• Deliberate Errors (Fraud)• Unintentional Losses of Assets• Thefts of assets• Breaches of Security• Acts of Violence and Natural Disasters
  54. 54. Factors that Increase Risk Exposure• Frequency – semakin sering transaksi terjadi semakin besar the exposure to risk• Vulnerability - liquid dan/atau aset-aset yang mudah untuk diangkut memperbesar risk exposure• Size of the potential loss – semakin tingi nilai moneter yang hilang, semakin besar risk exposure
  55. 55. Problem Conditions Affecting Risk Exposures• Collusion (both internal and external), adalah kerjasama dua orang atau lebih untuk tujuan penipuan , adalah sukar untuk dihilangkan meskipun dengan prosedur kontrol yang baik.• Lack of Enforcement Manajemen mungkin tidak menuntut orang yang bersalah karena mungkin memalukan.• Computer crime memiliki tingkatan resiko yang sangat tinggi, dan kegiatan penipuan sukar untuk dideteksi.
  56. 56. Computer Crime• Computer crime (computer abuse) adalah penggunaan komputer untuk menipu dengan tujuan memperoleh keuntungan pribadi.• Dengan perkembangan network dan PC, kejahatan komputer diperkirakan akan meningkat baik dalam frekuensi maupun jumlah kerugian.• Ini adalah spekulasi bahwa kejahatan komputer yang terdeteksi relatif kecil/sedikit dan bahkan lebih sedikit lagi yang dilaporkan.
  57. 57. Examples of Computer Crime• Pencurian hardware dan software komputer• Penggunaan fasilitas komputer yang tidak sah untuk pemakaian pribadi• Modifikasi transaksi-transaksi yang curang atau penggunaan data atau programs.
  58. 58. Reasons Why Computers Cause Control Problems• Pengolahan dipusatkan• Audit Trails mungkin dikurangi• Pendapat manusia dilewati• Data disimpan pada Device-Oriented dari pada Human- Oriented forms – Invisible Data – Stored data are Erasable – Data are stored in a Compressed form – Stored data are relatively accessible• Peralatan komputernya Powerful tetapi rumit dan mudah diserang.
  59. 59. Methods for Thwarting Computer Abuse• Kenali gejala-gejala penyalahgunaan komputer seperti: – Perubahan perilaku atau gaya hidup pada seorang pegawai – Ketidakberesan akuntansi (accounting irregularities) seperti memalsukan, mengubah atau memusnahkan dokumen-dokumen input atau adanya accounting adjustments yang mencurigakan. – Meningggalkan atau mengabaikan prosedur kontrol – Adanya banyak keanehan atau penyimpangan- penyimpangan yang luar biasa yang tidak dapat dibandingkan• Mendorong perilaku etis
  60. 60. Methods for Thwarting Computer Abuse• Dapatkan dukungan top-management sehingga kesadaran akan penyalahgunaan komputer akan merembes ke bawah melalui management ranks.• Laksanakan dan jalankan prosedur kontrol.• Tingkatkan kesadaran pegawai dengan sunguh- sungguh dalam penyalahgunaan komputer, jumlah biaya, dan kekacauan yang dibuat.• Tetapkan code of conduct.• Sadari karakteristik dari orang-orang yang menyalahgunakan komputer.
  61. 61. Control Problems Caused by Computerization: Data Collection Manual System Computer-based System Characteristics Characteristics Risk Exposures Compensating Controls Data recorded in Data sometimes Audit trail may be Printed copies of paper source captured without partially lost source documents documents use of source prepared by documents computer systems Data reviewed for Data often not Errors, accidental Edit checks errors by clerks subject to review or deliberate, may performed by by clerks be entered for computer system processingFigure 7-6
  62. 62. Control Problems Caused by Computerization: Data System Manual System Computer-based Processing Characteristics Characteristics Risk Exposures Compensating Controls Processing steps Processing steps Errors may cause Outputs reviewed by performed by clerks performed by CPU incorrect results of users of computer who possess judgment “blindly” in accordance processing system; carefully with program developed computer instructions processing programs Processing steps Processing steps Unauthorized Restricted access to among various clerks in concentrated within manipulation of data computer facilities; clear separate departments computer CPU and theft of assets can procedure for occur on larger scale authorizing changes to programs Processing requires Processing does not Audit trail may be Printed journals and use of journals and require use of journals partially lost other analyses ledgers Processing performed Processing performed Effects of errors may Editing of all data relatively slowly very rapidly spread rapidly through during input and files processing stepsFigure 7-6 Continued
  63. 63. Control Problems Caused by Computerization: Data Storage & Retrieval Manual System Computer-based System Characteristics Characteristics Risk Exposures Compensating Controls Data stored in file Data compressed Data may be Security measures drawers throughout on magnetic media accessed by at points of access the various (e.g., tapes, disks)unauthorized and over data departments persons or stolen library Data stored on Data stored in Data are Data files printed hard copies in invisible, eraseable, temporarily periodically; backup human- readable computer-readable unusable by of files; protection form form humans, and might against sudden possibly be lost power losses Stored data Stored data often Data may be Security measures accessible on a readily accessible accessed by at points of access piece-meal basis at from various unauthorized various locations locations via persons terminalsFigure 7-6 Continued
  64. 64. Control Problems Caused by Computerization: Information Generation Manual System Computer-based System Characteristics Characteristics Risk Exposures Compensating Controls Outputs Outputs generated Inaccuracies may Reviews by users generated quickly and neatly, be buried in of outputs, laboriously and often in large impressive-looking including the usually in small volumes outputs that users checking of volumes accept on faith amounts Outputs usually in Outputs provided Information stored Backup of files; hard-copy form in various forms, on magnetic periodic printing of including soft-copy media is subject to stored files onto displays and voice modification (only hard-copy records responses hard copy provides permanent record)Figure 7-6 Continued
  65. 65. Control Problems Caused by Computerization: Equipment Manual System Computer-based System Characteristics Characteristics Risk Exposures Compensating Controls Relatively simple, Relatively Business Backup of data inexpensive, and complex, operations may be and power supply mobile expensive, and in intentionally or and equipment; fixed locations unintentionally preventive interrupted; data maintenance of or hardware may equipment; be destroyed; restrictions on operations may be access to delayed through computer facilities; inefficiencies documentation of equipment usage and processing proceduresFigure 7-6 Continued
  66. 66. Feasibility of Controls• Audit Considerations• Cost-Benefit Considerations – Tentukan sumber daya komputer khusus untuk kontrol – Tentukan semua Potential Threats terhadap sistem komputer perusahaan – Perkirakan resko-resiko relevan yang diungkap oleh perusahaan – Ukur luas tiap Risk exposure yang relevan dalam dolar – Kalikan Estimated Effect of each Relevant Risk Exposure dengan Estimated Frequency of Occurrence pada periode yang layak seperti setahun. – Hitung biaya instalasi dan pemeliharaan suatu kontrol untuk menjawab setiap Relevant Risk Exposure – Bandingkan keuntungan dengan biaya tiap kontrol
  67. 67. Forces for the Improvement of Controls • Kekuatan yang paling berpengaruh adalah: – Needs of Management, diperlukan untuk menjaga aset perusahaan, berperan dalam ICS, dan untuk membuat keputusan yang baik. – Ethical Concerns of Proffessional Association, memiliki kode etik profesional, diantaranya adalah aturan-aturan mengenai indepensi, technical competence, praktek-praktek audit yang sesuai, consulting engagement yang melbatkan sistem informasi. – Acts of Government Bodies, investigasi oleh agen pemintah seperti SEC menemukan kegiaan ilegal yang dilakukan oleh perusahaan-perusahaan Amerika yang tidak terdeteksi dengan ICS . Konsekuensinya:Figure 7-2
  68. 68. Legislation• The Foreign Corrupt Practices Act of 1977• Of the Federal Legislation memerintahkan penggunaan komputer, The Computer Fraud and Abuse Act of 1984 (amended in 1986) barangkali sangat penting – Tindakan ini menyebabkan federal crime untuk secara sengaja mengakses komputer dengan tujuan seperti: (1)memperoleh top-secret military information, pribadi, informasi keuangan ataupun kredit – (2) melakukan penipuan – (3) mengubah atau mememusnahkan informasi federal