Accounting Information Systems, 6th edition James A.

Hall
And
Accounting Information System, 4th edition Wilkinson

Objectives for Chapter 3

Broad issues pertaining to business ethics
Ethical issues related to the use of information
technology
Distinguish between management fraud and
employee fraud
Common types of fraud schemes
Key features of SAS 78 / COSO internal control
framework
Objects and application of physical controls

Business Ethics
Why should we be concerned about ethics in
the business world?
Ethics are needed when conflicts arisethe
need to choose
In business, conflicts may arise between:
employees
management
stakeholders
Litigation

Business Ethics
Business ethics involves finding the
answers to two questions:
How do managers decide on what is right
in conducting their business?
Once managers have recognized what is
right, how do they achieve it?

Four Main Areas of Business Ethics

Computer Ethics
concerns the social impact of computer technology
(hardware, software, and telecommunications).
What are the main computer ethics issues?
Privacy
Securityaccuracy and confidentiality
Ownership of property
Equity in access
Environmental issues
Artificial intelligence
Unemployment and displacement
Misuse of computer

Legal Definition of Fraud

False representation - false statement or
disclosure
Material fact - a fact must be substantial in
inducing someone to act
Intent to deceive must exist
The misrepresentation must have resulted in
justifiable reliance upon information, which
caused someone to act
The misrepresentation must have caused
injury or loss

Factors that Contribute to Fraud

2004 ACFE Study of Fraud

Loss due to fraud equal to 6% of revenues
approximately $660 billion
Loss by position within the company:

Other results: higher losses due to men, employees

acting in collusion, and employees with advance
degrees

Enron, WorldCom, Adelphia

Underlying Problems
Lack of Auditor Independence: auditing firms also engaged by
their clients to perform nonaccounting activities
Lack of Director Independence: directors who also serve on
the boards of other companies, have a business trading
relationship, have a financial relationship as stockholders or
have received personal loans, or have an operational
relationship as employees
Questionable Executive Compensation Schemes: short-term
stock options as compensation result in short-term strategies
aimed at driving up stock prices at the expense of the firms
long-term health.
Inappropriate Accounting Practices: a characteristic common
to many financial statement fraud schemes.
Enron made elaborate use of special purpose entities
WorldCom transferred transmission line costs from current
expense accounts to capital accounts

Sarbanes-Oxley Act of 2002

Its principal reforms pertain to:
Creation of the Public Company Accounting
Oversight Board (PCAOB)
Auditor independencemore separation between a
firms attestation and non-auditing activities
Corporate governance and responsibilityaudit
committee members must be independent and the
audit committee must oversee the external auditors
Disclosure requirementsincrease issuer and
management disclosure
New federal crimes for the destruction of or
tampering with documents, securities fraud, and
actions against whistleblowers

Employee Fraud
Committed by non-management
personnel
Usually consists of: an employee taking
cash or other assets for personal gain by
circumventing a companys system of
internal controls

Management Fraud
Perpetrated at levels of management above the one
to which internal control structure relates
Frequently involves using financial statements to
create an illusion that an entity is more healthy and
prosperous than it actually is
Involves misappropriation of assets, it frequently is
shrouded in a maze of complex business
transactions

Fraud Schemes
Three categories of fraud schemes according to
the Association of Certified Fraud Examiners:
A. fraudulent statements
B. corruption
C. asset misappropriation

A. Fraudulent Statements
Misstating the financial statements to make the
copy appear better than it is
Usually occurs as management fraud
May be tied to focus on short-term financial
measures for success
May also be related to management bonus
packages being tied to financial statements

B. Corruption
Examples:
bribery
illegal gratuities
conflicts of interest
economic extortion
Foreign Corrupt Practice Act of 1977:
indicative of corruption in business world
impacted accounting by requiring accurate
records and internal controls

C. Asset Misappropriation
Most common type of fraud and often occurs as
employee fraud
Examples:
making charges to expense accounts to cover
theft of asset (especially cash)
lapping: using customers check from one
account to cover theft from a different account
transaction fraud: deleting, altering, or adding
false transactions to steal assets

Computer Fraud Schemes

Theft, misuse, or misappropriation of assets by
altering computer-readable records and files
Theft, misuse, or misappropriation of assets by
altering logic of computer software
Theft or illegal use of computer-readable
information
Theft, corruption, illegal copying or intentional
destruction of software
Theft, misuse, or misappropriation of computer
hardware

Using the general IS model, explain how fraud can occur

at the different stages of information processing?

Data Collection Fraud

This aspect of the system is the most
vulnerable because it is relatively easy to
change data as it is being entered into the
system.
Also, the GIGO (garbage in, garbage out)
principle reminds us that if the input data is
inaccurate, processing will result in
inaccurate output.

Data Processing Fraud

Program Frauds
altering programs to allow illegal access to
and/or manipulation of data files
destroying programs with a virus
Operations Frauds
misuse of company computer resources, such as
using the computer for personal business

Database Management Fraud

Altering, deleting, corrupting, destroying, or
stealing an organizations data
Oftentimes conducted by disgruntled or exemployee

Information Generation Fraud

Stealing, misdirecting, or misusing computer
output
Scavenging
searching through the trash cans on the
computer center for discarded output (the output
should be shredded, but frequently is not)

Internal Control Objectives

According to AICPA SAS
1. Safeguard assets of the firm
2. Ensure accuracy and reliability of accounting
records and information
3. Promote efficiency of the firms operations
4. Measure compliance with managements
prescribed policies and procedures

Modifying Assumptions to the

Internal Control Objectives
Management Responsibility
The establishment and maintenance of a system of
internal control is the responsibility of management.
Reasonable Assurance
The cost of achieving the objectives of internal
control should not outweigh its benefits.
Methods of Data Processing
The techniques of achieving the objectives will vary
with different types of technology.

Limitations of Internal Controls

Possibility of honest errors

Circumvention via collusion
Management override
Changing conditions--especially in companies
with high growth

Exposures of Weak Internal

Controls (Risk)

Destruction of an asset
Theft of an asset
Corruption of information
Disruption of the information system

The Internal Controls Shield

Preventive, Detective, and Corrective

Controls
Undesirable Events

Preventive

Levels
of
Control

Preventive

Detective

Corrective

Preventive

Detective

Corrective

Preventive

Detective

Corrective

Chapter 7: Risk Exposures and

the Internal Control Structure

Accounting Information Systems: Essential Concepts and

Applications
Fourth Edition by Wilkinson, Cerullo,
Raval, and Wong-On-Wing

Internal Control

Internal Control adalah suatu kondisi yang berusaha

dicapai oleh manajemen untuk menjamin bahwa tujuan
perusahaan akan dapat dicapai.
Controls ini mencakup semua ukuran dan praktek yang
digunakan untuk menghilangkan risk exposure.
Setiap perusahaan menghadapi resiko yang dapat
mengurangi kesempatan perusahaan dalam pencapaian
tujuannya.
Risk exposure dapat muncul baik dari sumber internal
maupun external seperti pegawai, pelanggan, computer
hackers, criminals, dsb.
Kerangka kontrolnya disebut Internal Control Structure
(ICS).

Internal Control

Jika ICS yang diterapkan baik, semua operasi,

sumber daya fisik, dan data akan dimonitor
dan berada dibawah kontrol, tujuan akan
dicapai, resiko akan diminimalkan, dan outputoutput informasi akan dapat dipercaya.

Jika ICS yang diterapkan buruk, sumber daya

perusahaan mudah hilang melalui pencurian,
kelalaian, pengabaian, dan resiko-resiko
lainnya.

Objectives of the Internal

Control Structure
Meningkatkan keefektifan dan efisiensi operasi
Reliabilitas pelaporan keuangan
Menjaga aset
Memeriksa keakuratan dan reliabilitas data
akuntansi.
Memenuhi kewajiban hukum dan regulasi.
Mendorong ketaatan terhadap kebijakan
manajerial yang telah ditetapkan.

Components and Major Considerations

of the IC Structure
Internal Control
Structure

Control
Environment

Risk
Assessment

Control
Activities

Activities related
to Financial
Reporting

Monitoring

Activities related
to Information
Processing

General
Controls
Figure 7-1

Information
&
Communication

Application
Controls

Control Environment
Control Environment menentukan sifat dari suatu
perusahaan, mempengaruhi kesadaran kontrol para
pegawainya.
Control environment yang lemah menunjukkan
kelemahan komponen-komponen ICS lainnya.
Terdiri dari tujuh komponen, yaitu:
Management philosophy and operating style
membutuhkan tindakan manajemen yang positif,
seperti menset contoh perilaku etis yang diikuti dengan
kode etik personal, menetapkan formal corporate code
of conduct, menekankan pentingnya internal control,
memperlakukan pegawai dengan adil dan rasa hormat.

Control Environment
Integrity and ethical values, perilaku ets dan tidak etis
dari manajer dan pegawai dapat memiliki pengaruh yang
merembes ke seluruh ICS, membuat atmosfir yang
mempengaruhi validitas proses pelaporan keuangan.
Commitment to competence, perusahaan harus
merekrut pegawai yang kompeten dan dapat dipercaya
untuk mendorong inisiatif dan kreatifitas dan beraksi cepat
menghadapi kondisi yang berubah.

The Board of Directors and the Audit Committee,

peranan komite audit adalah secara aktif mengawasi
akuntansi perusahaan serta praktek-praktek dan
kebijakan pelaporan keuangan.

Organizational Structure, menunjukkan kerangka

hubungan formal untuk mencapai tujuan perusahaan.

Control Environment (CE)

Assignment of authority and responsibility,
otoritas adalah hak untuk memerintah bawahan
berdasarkan ranking atau posisi formal. Responsibility
adalah kewajiban seseorang untuk melaksanakan tugas
dan bertanggung jawab terhadap hasil-hasil yang dicapai.

Human resources policies and practices,

pertimbangan kebijakan mengenai rekruitment,
orientation, motivasi, evaluasi,promosi, kompensasi,
konseling, pemberhentian, dan perlindungan pegawai.

Highlights of CE Components - I
Management Philosophy and Operating Style
Apakah manajemen menekankan keuntungan jangka
pendek dan tujuan operasi daripada tujuan jangka
panjang?
Apakah manajemen didominasi oleh satu atau
beberapa orang?
Resiko bisnis apa yang diambil oleh manajemen dan
bagaimana resiko-resiko ini dikelola?
Apakah manajemen konservatif atau agresif untuk
memilih prinsip-prinsip akuntansi akternatif yang
tersedia?

Figure 7-2

Highlights of CE Components - II
Organization Structure
Apakah grafik organisasi yang up-to-date
dipersiapkan, menunjukkan nama-nama personil
penting?
Apakah fungsi sistem informasi terpisah dari fungsifungsi yang bertentangan?
Bagaimana bagian akuntansi diorganisasi?
Apakah fungsi internal audit terpisah dan berbeda
dari akuntansi?
Apakah manajer-manajer tingkat lebih rendah
melapor ke lebih dari satu supervisor?

Figure 7-2 Continued

Highlights of CE Components - III

Assignment of Authority and Responsibility
Apakah perusahaan menyiapkan job description
pegawai secara tertulis yang menetapkan tugastugas khusus dan hubungan pelaporan?
Apakah persetujuan tertulis dibutuhkan untuk
perubahan yang dibuat untuk sistem informasi?
Apakah perusahaan menggambarkan dengan jelas
kepada pegawai dan manajer batasan-batasan
hubungan otoritas dan tanggung jawab?
Apakah perusahaan mendelegasikan otoritas ke
pegawai dan departemen dengan sebaik-baiknya?

Figure 7-2 Continued

Highlights of CE Components - IV
Human Resource Policies and Practices
Apakah pegawai baru diindoktrinasikan dengan Internal
Controls, Ethics Policies, dan Corporate Code of Conduct?
Apakah perusahaan memenuhi ADA (American with
Disabilities Act)? EEOA (The Equal Employment Oportunity
Act)?
Apakah prosedur keluhan untuk mengatur konflik dalam
kendala?
Apakah perusahaan memelihara program relasi pegawai
yang baik?
Apakah pegawai bekerja dalam lingkungan yang aman dan
sehat?
Apakah program konseling tersedia bagi pegawai?
Apakah program pemisahan yang baik dalam kendala untuk
pegawai yang meninggalkan perusahaan?
Apakah pegawai yang kritis dikeluarkan?
Figure 7-2 Continued

Key Functions Performed by

Audit Committees
Menetapkan bagian audit internal.
Mereview scope dan status audit.
Mereview temuan audit dengan dewan dan
meyakinkan bahwa manajemen telah mengambil
tindakan yang tepat yang direkomendasikan pada
laporan audit dan Letter of Reportable Conditions.
Memelihara jalur komunikasi langsung diantara dewan,
manajemen dan auditor internal dan secara periodik
menyusun pertemuan diantara pihak-pihak tsb.

Figure 7-3

Key Functions Performed by Audit

Committees
Mereview audited Audited Financial Statements
dengan auditor internal dan dewan direksi.
Mewajibkan review kualitas periodik dari operasi
bagian audit internal untuk mengidentifikasi area-area
yang membutuhkan perbaikan.
Mengawasi investigasi khusus seperti Fraud
Investigations.
Memperkirakan kinerja manajemen keuangan.
Mengharuskan review terhadap pemenuhan kewajiban
hukum dan regulasi dengan Corporate Codes of
Conduct
Figure 7-3

Risk Assessment
Top management harus terlibat langsung
dalam Business Risk Assessment.
Hal ini melibatkan identifikasi dan analisa
resiko-resiko yang relevan yang dapat
mencegah pencapaian tujuan perusahaan
dan tujuan unit-unit organisasi dan formasi
rencana untuk menentukan bagaimana
mengelola resiko-resiko tsb.

Control Activities - I
Control Activities dihubungkan dengan Financial
Reporting dapat diklasifikasijan menurut maksud
penggunaannya dalam suatu sistem :
Preventive Controls menghalangi event-event
yang berlawanan seperti error atau kerugian.
Detective Controls menemukan kejadiankejadian dari events yang berlawanan seperti
ketidakefisienan operasional.
Corrective controls dirancang untuk
memperbaiki masalah-masalah melalui detective
controls
Security Measures dimaksudkan untuk
menyediakan perlindungan yang cukup terhadap
akses dan penggunaan aset dan data records.

Control Activities - II
Control Activities dihubungkan dengan
Information Processing juga dapat
diklasifikasikan menurut kemana control activities
tsb akan diklasifikasikan dalam sistem
General controls adalah kontrol-kontrol yang
berhubungan dengan semua aktivitas yang melibatkan
SIA dan aset perusahaan.
Application controls berhubungan dengan tugastugas akuntansi khusus atau transaksi-transaksi.

Kecenderungan secara keseluruhan agaknya

akan berjalan dari specific application controls ke
general controls yang lebih global.

Control Activities - III

Performance Reviews
Membandingan Budgets dengan Actual Values
Menghubungkan Different Sets of Data-Operating
atau Financial-ke satu sama lain, bersama-sama
dengan Analyses of the relationships (analisa
hubungan) dan Investigative and Corrective Actions
(tindakan investigasi dan koreksi)
Mereview kinerja fungsional seperti banks consumer
loan managers review of reports by branch, region,
dan loan type untuk loan approvals and collections

Information & Communication

Semua transaksi yang dimasukkan untuk pengolahan adalah
Valid dan Authorized
Semua transaksi yang valid dicapture dan dimasukkan
berdasarkan Timely Basis dan dalam rincian yang cukup
(Sufficient Detail) untuk mengijinkan klasifikasi transaksi yang
tepat.
Input data dari semua transaksi yang dimasukkan adalah
akurat dan lengkap (Accurate and Complete), dengan transaksi
yang diungkapkan dalam istilah moneter (Monetary terms) yang
tepat.
Semua transaksi yang dimasukkan diproses sebagaimana
mestinya untuk mengupdate semua record yang dipengaruhi
pada file master dan/atau tipe data sets lainnya.
Semua Outputs yang dibutuhkan disiapkan menurut
Appropriate Rules untuk menyediakan Accurate and Reliable
Information
Semua transaksi disimpan pada Accounting Period yang benar.

Monitoring
Tujuan Monitoring:
Memperkirakan kualitas ICS sepanjang waktu
dengan melakukan ongoing activities dan
evaluasi terpisah.
Ongoing monitoring activities seperti
mengawasi pegawai, dilakukan setiap hari.
Separate monitoring activities seperti audit
ICS dilakukan secara periodik.

Figure 7-2 Continued

Risk Exposure
Perusahaan bisnis menghadapi resiko-resiko
yang mengurangi kesempatan pencapaian
tujuan kontrol.
Risk exposures timbul dari sumber internal,
contoh: pegawai seperti juga sumber eksternal,
contohnya computer hackers.
Risk assessment terdiri dari identifikasi resikoresiko yang relevan, analisa keluasan exposure
terhadap resiko-resiko tsb, dan pengelolaan
resiko dengan mengusulkan prosedur kontrol
yang efektif.

Some Typical Sources of Risk - I

Clerical and Operational Employees, yang
memproses data transaksi dan memiliki akses
terhadap aset.
Computer Programmers, yang memiliki
pengetahuan yang berhubungan dengan instruksiinstruksi untuk mengolah transaksi.
Managers and Accountants, yang memiliki akses
terhadap Records dan Financial Reports dan
seringkali memiliki otorisasi untuk menyetujui
yransaksi.

Figure 7-4

Some Typical Sources of Risk - II

Former Employees, yang masih memahami struktur
pengendalian dan mungkin menyembunyikan
dendam terhadap perusahaan
Customers and Suppliers, yang menghasilkan
banyak transaksi yang diproses oleh perusahaan
Competitors, yang mungkin memiliki keinginan untuk
mendapatkan informasi rahasia dari perusahaan
Outside Persons, seperti Computer Hackers dan
Criminals, yang memiliki berbagai alasan untuk
mengakses data perusahaan atau aset-asetnya atau
untuk melakukan perbuatan-perbuatan destruktif.
Acts of Nature or Accidents, seperti banjir,
kebakaran, dan kerusakan-kerusakan peralatan.
Figure 7-4 Continued

Types of Risks

Unintentional errors
Deliberate Errors (Fraud)
Unintentional Losses of Assets
Thefts of assets
Breaches of Security
Acts of Violence and Natural Disasters

Factors that Increase Risk

Exposure
Frequency semakin sering transaksi terjadi
semakin besar the exposure to risk
Vulnerability - liquid dan/atau aset-aset yang
mudah untuk diangkut memperbesar risk
exposure
Size of the potential loss semakin tingi nilai
moneter yang hilang, semakin besar risk
exposure

Problem Conditions Affecting

Risk Exposures
Collusion (both internal and external), adalah
kerjasama dua orang atau lebih untuk tujuan
penipuan , adalah sukar untuk dihilangkan meskipun
dengan prosedur kontrol yang baik.
Lack of Enforcement Manajemen mungkin tidak
menuntut orang yang bersalah karena mungkin
memalukan.
Computer crime memiliki tingkatan resiko yang
sangat tinggi, dan kegiatan penipuan sukar untuk
dideteksi.

Computer Crime
Computer crime (computer abuse) adalah
penggunaan komputer untuk menipu dengan
tujuan memperoleh keuntungan pribadi.
Dengan perkembangan network dan PC,
kejahatan komputer diperkirakan akan
meningkat baik dalam frekuensi maupun
jumlah kerugian.
Ini adalah spekulasi bahwa kejahatan
komputer yang terdeteksi relatif kecil/sedikit
dan bahkan lebih sedikit lagi yang dilaporkan.

Examples of Computer Crime

Pencurian hardware dan software
komputer
Penggunaan fasilitas komputer yang tidak
sah untuk pemakaian pribadi
Modifikasi transaksi-transaksi yang curang
atau penggunaan data atau programs.

Reasons Why Computers Cause

Control Problems

Pengolahan dipusatkan
Audit Trails mungkin dikurangi
Pendapat manusia dilewati
Data disimpan pada Device-Oriented dari pada HumanOriented forms
Invisible Data
Stored data are Erasable
Data are stored in a Compressed form
Stored data are relatively accessible
Peralatan komputernya Powerful tetapi rumit dan mudah
diserang.

Methods for Thwarting Computer

Abuse
Kenali gejala-gejala penyalahgunaan komputer
seperti:
Perubahan perilaku atau gaya hidup pada seorang
pegawai
Ketidakberesan akuntansi (accounting irregularities)
seperti memalsukan, mengubah atau memusnahkan
dokumen-dokumen input atau adanya accounting
adjustments yang mencurigakan.
Meningggalkan atau mengabaikan prosedur kontrol
Adanya banyak keanehan atau penyimpanganpenyimpangan yang luar biasa yang tidak dapat
dibandingkan

Mendorong perilaku etis

Methods for Thwarting Computer

Abuse
Dapatkan dukungan top-management sehingga
kesadaran akan penyalahgunaan komputer akan
merembes ke bawah melalui management ranks.
Laksanakan dan jalankan prosedur kontrol.
Tingkatkan kesadaran pegawai dengan sunguhsungguh dalam penyalahgunaan komputer, jumlah
biaya, dan kekacauan yang dibuat.
Tetapkan code of conduct.
Sadari karakteristik dari orang-orang yang
menyalahgunakan komputer.

Control Problems Caused by

Computerization: Data Collection
Computer-based System

Manual System

Characteristics

Characteristics

Risk Exposures

Compensating
Controls

Data recorded in
paper source
documents

Data sometimes
captured without
use of source
documents

Audit trail may be

partially lost

Printed copies of
source documents
prepared by
computer systems

Data reviewed for

errors by clerks

Data often not

subject to review
by clerks

Errors, accidental Edit checks

or deliberate, may performed by
be entered for
computer system
processing

Figure 7-6

Control Problems Caused by

Computerization:
Data
Processing
Computer-based System
Manual System
Characteristics

Characteristics

Risk Exposures

Compensating
Controls

Processing steps
performed by CPU
blindly in accordance
with program
instructions
Processing steps
Processing steps
among various clerks in concentrated within
separate departments
computer CPU

Errors may cause

incorrect results of
processing

Processing requires
use of journals and
ledgers

Processing does not

require use of journals

Audit trail may be

partially lost

Outputs reviewed by
users of computer
system; carefully
developed computer
processing programs
Restricted access to
computer facilities; clear
procedure for
authorizing changes to
programs
Printed journals and
other analyses

Processing performed
relatively slowly

Processing performed
very rapidly

Effects of errors may

spread rapidly through
files

Editing of all data

during input and
processing steps

Processing steps
performed by clerks
who possess judgment

Figure 7-6 Continued

Unauthorized
manipulation of data
and theft of assets can
occur on larger scale

Control Problems Caused by Computerization:

Data Storage & Retrieval
Computer-based System

Manual System

Characteristics

Characteristics

Data stored in file

drawers throughout
the various
departments
Data stored on
hard copies in
human- readable
form

Data compressed
on magnetic media
(e.g., tapes, disks)

Risk Exposures

Data may be
accessed by
unauthorized
persons or stolen
Data stored in
Data are
invisible, eraseable, temporarily
computer-readable unusable by
form
humans, and might
possibly be lost
Stored data
Stored data often
Data may be
accessible on a
readily accessible
accessed by
piece-meal basis at from various
unauthorized
various locations
locations via
persons
terminals
Figure 7-6 Continued

Compensating
Controls
Security measures
at points of access
and over data
library
Data files printed
periodically; backup
of files; protection
against sudden
power losses
Security measures
at points of access

Control Problems Caused by Computerization:

Information Generation
Manual System

Computer-based System

Characteristics

Characteristics

Outputs
generated
laboriously and
usually in small
volumes
Outputs usually in
hard-copy form

Outputs generated
quickly and neatly,
often in large
volumes

Figure 7-6 Continued

Risk Exposures

Inaccuracies may
be buried in
impressive-looking
outputs that users
accept on faith
Outputs provided Information stored
in various forms,
on magnetic
including soft-copy media is subject to
displays and voice modification (only
responses
hard copy
provides
permanent record)

Compensating
Controls

Reviews by users
of outputs,
including the
checking of
amounts
Backup of files;
periodic printing of
stored files onto
hard-copy records

Control Problems Caused by

Computerization:
Equipment
Computer-based System
Manual System
Characteristics

Characteristics

Risk Exposures

Compensating
Controls

Relatively simple,
inexpensive, and
mobile

Relatively
complex,
expensive, and in
fixed locations

Business
operations may be
intentionally or
unintentionally
interrupted; data
or hardware may
be destroyed;
operations may be
delayed through
inefficiencies

Backup of data
and power supply
and equipment;
preventive
maintenance of
equipment;
restrictions on
access to
computer facilities;
documentation of
equipment usage
and processing
procedures

Figure 7-6 Continued

Feasibility of Controls
Audit Considerations
Cost-Benefit Considerations
Tentukan sumber daya komputer khusus untuk kontrol
Tentukan semua Potential Threats terhadap sistem
komputer perusahaan
Perkirakan resko-resiko relevan yang diungkap oleh
perusahaan
Ukur luas tiap Risk exposure yang relevan dalam
dolar
Kalikan Estimated Effect of each Relevant Risk
Exposure dengan Estimated Frequency of Occurrence
pada periode yang layak seperti setahun.
Hitung biaya instalasi dan pemeliharaan suatu kontrol
untuk menjawab setiap Relevant Risk Exposure
Bandingkan keuntungan dengan biaya tiap kontrol

Forces for the Improvement

of Controls
Kekuatan yang paling berpengaruh adalah:
Needs of Management, diperlukan untuk menjaga
aset perusahaan, berperan dalam ICS, dan untuk
membuat keputusan yang baik.
Ethical Concerns of Proffessional Association,
memiliki kode etik profesional, diantaranya adalah
aturan-aturan mengenai indepensi, technical
competence, praktek-praktek audit yang sesuai,
consulting engagement yang melbatkan sistem
informasi.
Acts of Government Bodies, investigasi oleh agen
pemintah seperti SEC menemukan kegiaan ilegal
yang dilakukan oleh perusahaan-perusahaan
Amerika yang tidak terdeteksi dengan ICS .
Konsekuensinya:
Figure 7-2

Legislation
The Foreign Corrupt Practices Act of 1977
Of the Federal Legislation memerintahkan
penggunaan komputer, The Computer Fraud and
Abuse Act of 1984 (amended in 1986) barangkali
sangat penting
Tindakan ini menyebabkan federal crime untuk secara
sengaja mengakses komputer dengan tujuan seperti:
(1)memperoleh top-secret military information, pribadi,
informasi keuangan ataupun kredit
(2) melakukan penipuan
(3) mengubah atau mememusnahkan informasi federal