Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68

Evaluasi Efektivitas Sistem Pengendalian di

Sistem Informasi Komputerisasi Akuntansi: Sebuah Empiris
Penelitian Terapan di Sektor Perbankan Yordania

Talal H. Hayale * Husam

A. Abu Khadra

Abstrak

Tujuan dari penelitian ini adalah untuk mengevaluasi tingkat efektivitas Sistem Pengendalian di
Komputerisasi Sistem Informasi Akuntansi (CAIS) yang diimplementasikan di sektor perbankan Yordania
untuk menjaga kerahasiaan, integritas dan ketersediaan data bank dan CAIS mereka.

Sebuah survei empiris menggunakan kuesioner self-diadministrasikan telah dilakukan untuk mencapai tujuan
tersebut di atas. Hasil studi menunjukkan bahwa bank-bank domestik Yordania menggunakan penipuan dan
pengurangan kesalahan efektif kontrol. Penelitian ini juga mengungkapkan bahwa bank-bank tersebut kekurangan
dalam penerapan dimensi Control System lainnya (akses fisik, akses logis, keamanan data, standar Dokumentasi,
Disaster Recovery, Internet, komunikasi dan E-Control dan kontrol keamanan Output). Rekomendasi utama
penelitian ini adalah untuk bank domestik Yordania untuk meningkatkan CAIS kekuatan sistem kontrol untuk
semua dimensi, untuk menghindari ancaman yang mungkin yang bisa mengancam CAIS mereka.

Kata kunci: AIS, komputerisasi, kontrol, efektifitas, evaluasi, jordan

I. PENDAHULUAN

Sistem Informasi Komputerisasi Akuntansi (CAIS) menghadapi ancaman keamanan serius yang
mungkin timbul dari kelemahan Sistem Pengendalian mereka (CS) atau dari sifat lingkungan yang kompetitif
(Information Age) sebagai kebutuhan akan informasi lebih besar. Pada saat yang sama, kelangsungan
hidup organisasi tergantung pada manajemen yang benar, keamanan dan kerahasiaan informasi mereka,
Eduardo dan Marino (2004). Dimana aset informasi merupakan proporsi yang signifikan dari nilai pasar
suatu entitas (ITGI, 2001)

Akibatnya ancaman keamanan terkait dengan CAIS memerlukan perhatian besar dari auditor
dan akuntan untuk diakui dan diminimalkan dengan mengevaluasi organisasi CS. (Greenstein dan
Vasarhelyi, 2000).
Banyak upaya sini muncul sebagai peningkatan minat, terutama oleh auditor untuk berkembang
model audit terhadap metode yang lebih tindakan-driven kontrol, revisi dan jaminan, Timothy et al, (1998).
Beberapa komite profesional telah dilakukan

*
Talal H. Hayale. Associate Professor. Arab Academy Untuk Perbankan Dan Keuangan Sciences. Amman Yordania

Husam Abu Khadra. Asisten profesor. Arab Academy Untuk Perbankan Dan Keuangan Sciences. Amman Yordania
40 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68

usaha ini, bahkan jika itu terlambat, seperti AICPA yang diterbitkan SAS No.94 pada tahun 2001. Namun,
inisiatif ini berada dalam bentuk petunjuk umum, dan tidak ada yang spesifik dilihat dipertimbangkan sebagai
pedoman rinci untuk auditor dalam pekerjaan mereka, Boynton (2001) & Kinusn Tam (2002).

Pada tahun 2002 The Sarbanes-Oxley tindakan panggilan untuk real time pengungkapan
informasi tentang perubahan materi dalam kondisi keuangan atau operasi dari perusahaan publik.
Sebagai akibatnya, organisasi lebih peduli dengan ketepatan waktu dan kualitas informasi kinerja
keuangan. Uday (2004). Demikian, itu
Tanggung jawab telah meningkat secara dramatis pada profesi akuntansi, dengan cepat mengenali dan
menilai risiko yang berkaitan dengan Sistem Pengendalian (CS) di lingkungan TI dan menentukan rinci kontrol
keamanan checklist yang akan diperoleh; karena teknologi dalam banyak kasus dikembangkan lebih cepat
dari kemajuan di CS, Ryan & Bordoloi (1997).

Tujuan dari makalah ini adalah untuk mengevaluasi Komputerisasi Akuntansi Sistem Informasi (CAIS)
Sistem Pengendalian (CS) di sektor perbankan Yordania dan untuk mengukur efektivitas mereka. Penelitian ini
juga bertujuan untuk mengidentifikasi apakah ada perbedaan yang signifikan antara responden dalam sampel
penelitian (Auditor Internal dan Kepala Komputer Departemen (HOCD)) sehubungan dengan tingkat efektivitas
CS. Sementara isu menciptakan pengukuran efektivitas keseluruhan untuk mengevaluasi CAIS Control
System telah mendapat perhatian penelitian yang cukup di Amerika Utara dan Eropa, studi berdasarkan
pengalaman internasional, khususnya di negara-negara berkembang, relatif jarang. Kami tidak menyadari ada
studi dalam mengevaluasi Sistem Pengendalian CAIS di Yordania yang membahas masalah penciptaan
pengukuran efektivitas keseluruhan untuk mengevaluasi CAIS Control System dari sudut pandang dari kedua
auditor internal perusahaan dan spesialis IT. Oleh karena itu hasil penelitian ini dapat memberikan wawasan
berharga dan mengarah pada pemahaman yang lebih baik dari persepsi masing-masing dua kelompok besar
ini untuk menciptakan sebuah pengukuran efektivitas keseluruhan untuk mengevaluasi praktek-praktek CAIS
Control System di negara berkembang.

Penelitian ini untuk yang terbaik dari pengetahuan peneliti adalah yang pertama yang mencoba untuk membuat
pengukuran efektivitas keseluruhan untuk mengevaluasi CAIS Control System melalui menetapkan semua komponen
yang diperlukan yang harus ada dalam sistem kontrol yang efektif di sektor perbankan Yordania.

Setelah konsultasi dengan para ahli di bidang ini, kuesioner dikembangkan untuk tujuan penelitian
ini untuk mengevaluasi prosedur pengendalian CAIS umum yang akan diterapkan untuk semua CS, yang
mempengaruhi semua aplikasi komputer dalam organisasi. Kuesioner ini mencakup bagian yang berbeda
dari CS di CAIS.
Penelitian ini mencoba untuk menjawab pertanyaan-pertanyaan berikut: (1) Apa praktik aktual di
bank-bank domestik Yordania mengenai informasi CS? Selain itu, adalah CS ini cukup untuk melindungi
bank-bank dalam negeri terhadap ancaman keamanan yang dirasakan? (2) Apakah ada perbedaan yang signifikan
antara responden dalam sampel penelitian

AICPA, Auditing Standards Board. SAS No. 94: Pengaruh Teknologi Informasi pada Pertimbangan Auditor Internal
Control dalam Audit Laporan Keuangan. April 2001. SAS ini bintik cahaya pada efek teknologi informasi pada
pertimbangan auditor dalam audit laporan keuangan; Selain itu, ia mencoba untuk memberikan bimbingan kepada
auditor tentang pengaruh TI pada pengendalian internal yang diprogram atau dibangun ke dalam perangkat lunak,
dan menegaskan bahwa kontrol ini harus diuji dan termasuk dalam strategi audit.
 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68 41

(Auditor Internal dan HOCD) mengenai tingkat efektivitas CAIS yang diimplementasikan di
bank-bank domestik Yordania?
Konsep pengendalian internal atau keamanan setua akuntansi itu sendiri, Henry, (1997); Namun
perhatian telah dibayarkan kepada itu sejak awal abad kedua puluh. Pada usia dini, tujuan akuntansi adalah
untuk mencatat transaksi moneter dan kemudian melaporkannya dalam bentuk yang berguna dan akurat, Lee,
(1971). Namun, bahwa pelaporan sederhana dan hanya disiapkan untuk penggunaan internal karena sebagian
besar perusahaan yang individu atau keluarga perusahaan.

Kemudian, bentuk-bentuk utama dari pelaporan keuangan yang dikembangkan secara dramatis
menjadi dalam bentuk laporan keuangan saat ini, yang menjadi utama atau bahkan satu-satunya sumber
informasi bagi pemilik dan pihak terkait lainnya seperti pemberi pinjaman. Akibatnya, kebutuhan untuk
memastikan keakuratan laporan mengarah profesi untuk memulai mencari sistem kontrol yang menjamin tidak
hanya pelaporan yang akurat tetapi juga mencapai tujuan perusahaan.

Reaksi profesi untuk perubahan ini dimulai pada awal abad kedua puluh, di mana definisi formal
pertama untuk Kontrol Keamanan atau Sistem Pengendalian berada di 1947 publikasi oleh AICPA berjudul
Pengendalian Internal yang disebutkan tiga faktor yang berkontribusi terhadap pengakuan memperluas
signifikansi pengendalian internal, Boynton et al., (2001).

Studi sebelumnya juga didefinisikan konsep pengendalian internal. Salah satu yang paling awal adalah
(Grady, 1957) yang mendefinisikan pengendalian internal sebagai kontrol bahwa
merupakan rencana organisasi dan prosedur yang digunakan dalam bisnis untuk (1) menjaga aset dari rugi oleh
kecurangan atau kesalahan yang tidak disengaja (2) memeriksa ketepatan dan keandalan data akuntansi yang
digunakan dalam membuat keputusan (3) mempromosikan efektivitas operasional dan mendorong kepatuhan
terhadap kebijakan yang diterapkan di daerah-daerah di mana akuntansi dan departemen keuangan memiliki
tanggung jawab, langsung atau tidak langsung".

Teori pengendalian internal telah mengalami reappraisals utama dan perubahan selama dekade
terakhir. Perubahan ini dimulai pada tahun 1988, ketika AICPA mengeluarkan SAS No. 55, yang
menggambarkan pengendalian internal dalam tiga komponen yang utama: lingkungan pengendalian, sistem
akuntansi dan prosedur pengendalian. Empat tahun kemudian, Committee of Sponsoring Organizations (COSO)
dikeluarkan Kerangka Integrated Internal Control,
di mana pengendalian internal ditandai oleh lima
komponen: lingkungan pengendalian, aktivitas pengendalian, penilaian risiko, informasi & komunikasi dan
monitoring. Dalam waktu yang berarti, konsep pengendalian internal berevolusi dari "struktur" menjadi
"proses," sehingga keduanya lebih luas dan lebih dinamis. Kemudian,
pada tahun 1995,American Institute of Certified Public

COSO awalnya dibentuk pada tahun 1985 untuk mensponsori Komisi Nasional Pelaporan Keuangan Penipuan,
sebuah inisiatif independen sektor swasta yang mempelajari faktor-faktor penyebab yang dapat menyebabkan
kecurangan pelaporan keuangan dan rekomendasi yang dikembangkan untuk perusahaan publik dan auditor
independen mereka, untuk SEC dan regulator lainnya , dan untuk lembaga pendidikan. Komisi Nasional disponsori
bersama oleh lima asosiasi profesional utama di Amerika Serikat, American Accounting Association, American
Institute Akuntan Publik, Keuangan Eksekutif Internasional, The Institute of Internal Auditors, dan Asosiasi Nasional
Akuntan (sekarang Institut Akuntan manajemen). Komisi itu sepenuhnya independen dari masing-masing organisasi
yang mensponsori, dan berisi perwakilan dari industri, akuntan publik, perusahaan investasi, dan Bursa Efek New
York.
42 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68

Akuntan (AICPA) mengadopsi definisi COSO dan lima komponen pengendalian intern dan mengeluarkan
SAS No 78 untuk melengkapi SAS No. 55, Curtis dan Borthick, (1999).

Selain itu, COSO melaporkan dan AU 319,07 **, mempertimbangkan lima komponen yang saling
terkait pengendalian internal yang berasal dari cara manajemen yang menjalankan bisnis dan terintegrasi
dengan proses manajemen, Vallabhaneni, (2001). Kelima komponen:

A. Pengendalian Lingkungan:
B. Penilaian Risiko:
C. Pengendalian Aktivitas:
D. Informasi dan Komunikasi:
F. Monitoring:

Beberapa penelitian difokuskan pada sistem kontrol CAIS dan bagaimana hal itu berbeda dari yang manual.
Kinsun, (2002) menganggap bahwa adopsi yang cepat dari teknologi informasi dengan bisnis tidak berubah
kebutuhan dasar bagi pengendalian internal tetapi telah memperpanjang peran pengendalian internal berbasis IT.
Dengan kata lain, Kinsun percaya bahwa perkembangan dalam pengendalian internal harus dalam prosedur
pengendalian tanpa mengubah kerangka pengendalian internal.

Pada tahun 2000, ISACF dikembangkan COBIT yang , yang merupakan kerangka umum yang berlaku
IS praktik keamanan dan pengendalian kontrol teknologi informasi. Kerangka ini memungkinkan manajemen
untuk benchmark praktik keamanan dan pengendalian lingkungan TI. Selain itu, memastikan bahwa keamanan
dan kontrol yang memadai ada, Lainhart & John, (2000).

Namun, tujuan pengendalian di bawah COBIT didefinisikan dengan cara yang berorientasi pada proses
mengikuti prinsip rekayasa ulang bisnis. Jenis kontrol dilaksanakan pada domain dan tingkat proses. "Kontrol IT"
Konsep disesuaikan dengan Laporan ISACF dan didefinisikan sebagai "Sebuah pernyataan dari hasil yang
diinginkan atau tujuan yang ingin dicapai dengan menerapkan prosedur pengendalian dalam kegiatan IT
tertentu." Kontrol ini dilakukan pada tingkat aktivitas TI, Curtis dan Borthick, (1999).

Domain COBIT TI terdiri dari empat bagian: Perencanaan & organisasi, akuisisi & implementasi,
pengiriman, dukungan dan pemantauan. Tiga puluh empat proses TI diidentifikasi dalam masing-masing
empat domain.
Akibatnya, kegiatan dalam proses juga diidentifikasi kegiatan berurusan dengan hari-hari
rutinitas IT. Tujuan kontrol pusat adalah untuk menghubungkan domain IT, proses dan kegiatan
untuk proses operasional entitas dan kegiatan. Tujuan TI pada dasarnya adalah untuk
memfasilitasi pencapaian tujuan bisnis. tujuan bisnis disebut sebagai "Persyaratan Bisnis
Informasi" yang meliputi sebagai berikut:

- persyaratan kualitas (kualitas, biaya dan pengiriman)

- persyaratan fidusia, seperti yang didefinisikan oleh COSO (efektivitas dan efisiensi operasi, keandalan
informasi dan kepatuhan terhadap hukum dan peraturan).
- persyaratan keamanan (kerahasiaan, integritas dan ketersediaan).

* * Pernyataan Standar Auditing: AU Bagian 319: Pertimbangan Pengendalian Internal dalam Audit Laporan
Keuangan.
Audit Sistem Informasi dan Pengawasan Foundation.
tujuan pengendalian untuk informasi dan teknologi terkait.
 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68 43

II. TINJAUAN PUSTAKA

Memeriksa literatur yang bersangkutan dengan evaluasi efektifitas sistem pengendalian CAIS
menyimpulkan langka dari studi yang tersedia di daerah ini khususnya penelitian. Salah satu alasan
untuk ini adalah bahwa daerah penelitian relatif baru. Juga, sebagian besar studi di bidang ini dilakukan
pada tingkat mikro dan terhubung dengan studi konsolidasi dari bidang manajemen bisnis, ilmu
komputer, dan kadang-kadang teknik dan mereka biasanya dalam bentuk laporan atau studi deskriptif,
dan yang jarang empiris .

Dimulai dengan buku teks, Romeny dan Steinbart (1999) tercatat dua belas poin kontrol umum
yang harus ada di CS untuk mencapai tujuan secara efektif; dua belas kontrol ini adalah:

1. Mengembangkan rencana keamanan.

2. Pemisahan tugas dalam fungsi sistem.
3. kontrol pengembangan proyek.
4. kontrol akses fisik.
5. kontrol akses logis.
6. kontrol penyimpanan data.
7. kontrol transmisi data.
8. standar dokumentasi
9. Meminimalkan downtime sistem.
10. rencana pemulihan bencana.
11. Perlindungan komputer pribadi dan jaringan client / server.
12. pengendalian internal.

Mereka memberikan justifikasi empiris untuk setiap kontrol dan ditetapkan ancaman yang mengontrol
prosedur bisa mencegah, yang memberikan kredibilitas dan peluang yang lebih besar untuk menemukan kontrol
ini dalam praktek. Selanjutnya, Boockholdt, (1999), mentiond empat kategori kontrol umum sebagai berikut:

- Pusat data kontrol operasi. Ini termasuk data Prosedur Backup, Kontingensi
Rencana (DRP) dan Pemisahan Tugas.
- Sistem akuisisi perangkat lunak dan pemeliharaan kontrol.
- kontrol akses keamanan.
- pengembangan sistem aplikasi dan pemeliharaan kontrol. Kontrol ini adalah; formil dan otorisasi dari
setiap sistem baru, dokumentasi yang memadai untuk prosedur manual dan diprogram, Rencana untuk
pengujian setiap sistem baru secara memadai dan otorisasi dan dokumentasi untuk perubahan ke sistem
yang ada

Boockholdt (1999) diklasifikasikan perangkat lunak sistem akuisisi dan pemeliharaan kontrol menjadi dua
bagian utama:

Tanggung Jawab tetap

A) Administrasi jaringan. Memilih dan perangkat lunak jaringan komunikasi memperbarui.
B) PC pusat bantuan. Menjawab pertanyaan pengguna pada komputer pribadi, penjadwalan pemeliharaan.

C) Administrasi Database. Memilih dan memperbarui perangkat lunak, membatasi akses ke data, menjaga
efisiensi.
44 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68

D) administrator Web. Menentukan isi website, menerapkan keamanan dalam perdagangan

elektronik.

Kebijakan dan prosedur

A) pelamar layar. pengetahuan teknis menjadi usang dengan cepat.
B) Komite Sistem informasi steering. Ulasan keputusan akuisisi perangkat lunak.
C) konfigurasi PC Standard. Software dan hardware organisasi menyetujui untuk
mendukung.

Umumnya, baik Romeny dan Steinbart, (1999) dan Boockholdt, (1999) memiliki poin yang sama tetapi
dengan klasifikasi yang berbeda untuk kelompok utama, dan penamaan kadang-kadang berbeda untuk prosedur
rinci yang sama (misalnya Rencana Kontinjensi bukan Disaster Recovery Plan - DRP). Penelitian ini terutama
tergantung pada kategorisasi Romeny ini, dan merumuskan daftar prosedur rinci untuk setiap kategori.

Pada bagian berikut kita melihat dulu studi yang tersedia peer review, dimulai dengan orang-orang yang mencakup
wilayah parsial evaluasi CS dan berakhir dengan orang-orang yang mencakup daerah ini dalam pandangan yang lebih
komprehensif.
Jacob & Weiner, (1997) melakukan studi teoritis di mana mereka terdaftar sebelas poin untuk
membangun efektif Disaster Recovery Plan (DRP). Titik-titik ini menurut Jacob et. Al. studi memastikan
membangun DRP yang komprehensif, menanggapi skenario terburuk dan memungkinkan organisasi untuk
memulihkan operasi mereka dengan cepat. Titik-titik ini:

1. Tentukan misi fungsi perusahaan kritis & membangun hirarki operasional

pentingnya.
2. Daftar personil kritis dan fungsi pekerjaan mereka.
3. Daftar peralatan kebutuhan orang kritis.
4. Tentukan kontingensi situs relokasi.
5. Membentuk pemulihan bahkan daftar tugas.
6. Dokumen metode backup data komputer saat ini dan frekuensi.
7. Mengidentifikasi dokumen-dokumen hard copy yang penting untuk perusahaan dan tidak mampu
tobe kembali dibuat secara elektronik, dan memberikan solusi untuk menghilangkan kerentanan terhadap hilangnya
dokumen tersebut.
8. Mengidentifikasi misi item penting penting untuk operasi perusahaan yang akan
diperlukan dalam keadaan darurat bencana.
9. Bentuk respon darurat internal yang ( krisis) panitia dengan para karyawan
ditugaskan untuk fungsi krisis tertentu.
10. Buat kit media manajemen krisis.
11. Buat jadwal yang sistematis untuk memperbarui rencana tersebut.

Warigon, (1998) melakukan studi teoritis di mana ia menjelaskan sekelompok tindakan perlindungan
yang harus ada untuk menjaga gudang data. Langkah-langkah ini dapat digambarkan sebagai berikut:

- Dinding Manusia: Sejumlah tepat dari staf keamanan komputer harus ada.
- Akses pengguna Klasifikasi: Data gudang (DW) pengguna harus diklasifikasikan sebagai General Access Pengguna,
Pengguna Akses Terbatas, atau pengguna akses terbatas.
- Kontrol akses: Akhir-pengguna hanya dapat mengakses data atau program yang mereka memiliki hak istimewa yang
sah.
- Integritas Kontrol: Kontrol ini mencakup rencana pemulihan bencana dirancang dengan baik dan diuji.
 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68 45

- Data Encryption: enkripsi ini adalah untuk data sensitif di DW untuk memastikan bahwa data
yang diakses secara resmi saja.
- Partisi: Mekanisme harus dikembangkan untuk partisi data sensitif ke dalam tabel terpisah, sehingga pengguna
hanya berwenang dapat mengakses tabel ini sesuai dengan kebutuhan mereka.

Buttross dan Ackers, (1990) melakukan studi teoritis di mana mereka membahas praktek keamanan
komputer mikro. Selain itu, Buttross dan studi Ackers disediakan kontrol keamanan checklist yang dapat
digunakan untuk membantu auditor internal dalam mengevaluasi keamanan komputer. Hal ini membantu dalam
mengidentifikasi kelemahan keamanan dan mengoreksi itu. Daftar periksa ini dirancang untuk perusahaan
ukuran kecil dan menengah. daftar ini termasuk empat kategori kontrol keamanan. Setiap kategori termasuk
beberapa elemen kontrol keamanan. kategori ini adalah:

- kontrol organisasi.
- kontrol hardware.
- kontrol perangkat lunak.
- Data dan integritas data kontrol.

Dougan, (1994) menyarankan checklist pengendalian internal untuk sistem komputer. checklist ini bisa
digunakan untuk memeriksa kontrol keamanan di tempat; dan untuk memastikan prosedur keamanan yang diterapkan
cukup dan efektif untuk mencegah kerugian data komputer. Dougan dikelompokkan checklist ke dalam empat kategori
utama:

- situs ruang komputer (akses fisik)

- Dokumentasi.
- Pemeliharaan.
- Perlindungan.

Henry, (1997) melakukan survei pada 261 perusahaan di Amerika Serikat, untuk menentukan sifat
sistem akuntansi mereka dan keamanan digunakan. Tujuh metode keamanan dasar disajikan di ruang kerjanya.
Metode ini adalah enkripsi, akses password, backup data, perlindungan virus, dan otorisasi untuk perubahan
sistem, sistem keamanan fisik dan pemeriksaan berkala. Hasil studi Henry menunjukkan bahwa 80,3% dari
perusahaan cadangan sistem akuntansi mereka, 74,4% dari perusahaan mengamankan sistem akuntansi
mereka dengan password, dimana hanya 42,7% menggunakan antivirus dalam sistem mereka. Hasil penelitian
juga mengungkapkan bahwa kurang dari 6% dari perusahaan menggunakan enkripsi data, terakhir, 45%
perusahaan mengalami semacam audit periodik untuk sistem informasi akuntansi mereka.

Studi lain, yang dilakukan oleh Qurashi & Siegel , (1997), meyakinkan
tanggung jawab akuntan untuk memeriksa keamanan dari sistem komputer. Para peneliti melakukan studi
teoritis untuk mengembangkan checklist keamanan. Daftar ini mencakup berikut empat kelompok kontrol
keamanan, yang kebijakan Client, keamanan perangkat lunak, keamanan Hardware dan keamanan data.

Cerullo dan Michael, (1999) melakukan survei dengan menggunakan kuesioner dari dua puluh potensi
keamanan dan mekanisme kontrol, yang beredar di kalangan direksi audit dua ratus perusahaan
keberuntungan di Amerika Serikat. Mekanisme ini ditempatkan oleh studi Cerullo dalam empat kategori, yaitu
Client berbasis, Jaringan berbasis, berbasis Application Server berbasis dan.
46 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68

et Hardy. Al. (2000) diperiksa sistem informasi (IS) manajer dan

sistem informasi terkomputerisasi (CIS) auditor penilaian dari relatif
pentingnya elemen struktur pengendalian intern untuk sistem EDI, menggunakan proses hirarki
analitik (AHP).

Data dikumpulkan oleh diadministrasikan diri kuesioner dengan cara survei email. Populasi
sasaran terdiri IS manajer dan auditor internal CIS dari organisasi yang anggota Tradegate ECA,
dan CIS auditor eksternal dari Big enam perusahaan akuntansi. Survei ini menghasilkan 54
tanggapan dari 159 kuesioner dikirimkan, dari yang 48 itu bisa digunakan.

Hasil penelitian menunjukkan bahwa ada kurangnya konsensus antara IS manajer dan auditor CIS
dalam teknik enkripsi dan kontrol keamanan operasional, dan ini membutuhkan penyelidikan lebih lanjut,
misalnya di daerah di mana IS manajer menganggap kontrol menjadi kurang penting dibandingkan CIS auditor,
ada mungkin kelemahan dalam kontrol karena manajer IS tidak menganggap itu berharga atau biaya-efektif
cukup untuk melaksanakan apa auditor CIS anggap sebagai kontrol yang memadai. sebaliknya juga mungkin
benar, yaitu, mereka kontrol yang tidak perlu telah dilaksanakan. Jika demikian, penghentian pengoperasian
kontrol yang tidak perlu dapat menghasilkan penghematan biaya.

Moscove dan Stephan (2001) menganggap bahwa organisasi e-bisnis harus menjaga sekelompok prosedur
pengendalian untuk melindungi sistem mereka membentuk ancaman yang mungkin, prosedur tersebut meliputi:

1. prosedur pengendalian akses fisik.

2. prosedur pengendalian sandi.
3. enkripsi data seperti enkripsi kunci publik.
4. Rencana pemulihan bencana (DRP).
5. kontrol keamanan berbasis perangkat lunak, seperti firewall.
6. software intrusion detection untuk mendeteksi pintu masuk yang tidak sah ke dalam sistem.

Abu Musa , (2004) melakukan studi empiris untuk menyelidiki kecukupan

Kontrol keamanan yang diterapkan di industri Mesir perbankan (EBI), dimana responden dibatasi untuk
kepala departemen komputer dan kepala departemen audit internal. Abu Musa mencoba untuk
memeriksa apakah Kontrol Keamanan yang diterapkan di EBI memadai untuk melindungi terhadap
ancaman keamanan dirasakan melalui checklist diri diadministrasikan.

The CAIS daftar keamanan termasuk delapan puluh prosedur keamanan yang dikategorikan di bawah
berikut sepuluh kelompok.

1. Organisasi kontrol keamanan informasi.

2. Hardware dan kontrol keamanan akses fisik.
3. Software dan kontrol keamanan akses elektronik.
4. Data dan integritas data kontrol keamanan.
5. program off-line dan kontrol keamanan data.
6. Kontrol keamanan utilitas.
7. Sambungan liar kontrol keamanan akses normal.
8. Pengguna kontrol keamanan pemrograman.
9. Pembagian tugas.
10. kontrol keamanan 10-Output.
 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68 47

Abu Musa, (2004) hasil penelitian mengungkapkan bahwa kepala departemen komputer
dibayar relatif lebih memperhatikan masalah-masalah teknis kontrol keamanan CAIS, di mana
kepala departemen audit internal menekankan kontrol keamanan perilaku dan organisasi daripada
masalah teknis dari keamanan CAIS kontrol.

Sung et. Al. (2004) mengusulkan sistem pendukung keputusan membantu auditor dalam penilaian risiko yang
saat ini didasarkan pada pertimbangan profesional mereka daripada aturan obyektif dan kriteria.

Sistem ini didasarkan pada Cased Berbasis Penalaran Model (CBR) yang merupakan paradigma
pemecahan masalah digunakan khusus ketika aturan domain tidak lengkap, tidak jelas dan tidak konsisten. CBR
mampu memanfaatkan pengetahuan spesifik kasus-kasus konkret sebelumnya mengalami. Sistem Sung juga
didasarkan pada laporan COSO, SAS Nos.
55, 78 dan 94, TeamAsset checklist yang didirikan oleh Pricewaterhouse dan pendapat ahli yang terlibat
dalam praktik audit selama lebih dari 10 tahun untuk menentukan faktor-faktor yang mempengaruhi baik dari
Control Environment dan lingkungan TI dan faktor pemantauan

Faktor-faktor tersebut di atas dipecah untuk enam kategori faktor, kategori ini adalah:

1. Organisasi Aturan dan Tanggung Jawab.

2. pemantauan secara keseluruhan.
3. Fungsi TI dan Organisasi.
4. karakteristik sistem.
5. IT Pemantauan Control.

kategori ini dipecah menjadi dua puluh tiga faktor dan kemudian ke enam fifty indeks dibenarkan dengan
menggunakan berat badan materialitas.
Menerapkan indeks ini pada kasus-kasus yang sebenarnya, para peneliti mengekstrak hasil validasi (rasio Hit) untuk
digunakan dalam memperkirakan tingkat risiko yang terkait dengan setiap kasus audit internal. Untuk memvalidasi kinerja
Lembaga Pemeringkat Kredit-CBR, kasus 137 perusahaan Korea dikumpulkan dan diindeks dari kasus yang sebenarnya untuk
industri manufaktur untuk tahun ini
1999. Pendekatan penelitian ini dan digunakan indeks (pertanyaan) tergantung pada pengetahuan
responden sehubungan dengan angka mempertanyakan bukan meminta mereka tentang keberadaan
prosedur kontrol tertentu. Pendekatan tersebut akan tidak efisien digunakan jika responden tidak
berpendidikan tentang dimensi dipertanyakan.
Baru-baru ini Boritz (2005) melakukan tinjauan ekstensif dari literatur untuk mengidentifikasi atribut
kunci dari integritas informasi dan isu-isu terkait kemudian ia membawa dua kelompok fokus praktisi
berpengalaman untuk membahas temuan didokumentasikan diekstrak dari tinjauan literatur melalui
kuesioner memeriksa konsep inti dari informasi integritas dan elemen. Boritz (2005) considerd keamanan
informasi (Dalam berbeda dari kerahasiaan) sebagai salah satu inti atribut untuk integritas informasi,
keamanan ini harus mencakup bidang-bidang berikut: kontrol akses fisik dan kontrol akses Logical.

Hasil menunjukkan bahwa keamanan memiliki lebih rendah kerusakan skor keparahan dari beberapa aspek
praktis lainnya seperti ketersediaan dan pemastian. Boritz merujuk temuan tersebut untuk penggunaan yang efektif
dari kontrol keamanan di organisasi diwakili.
Coe (2005) dalam studinya berfokus pada pemenuhan Sarbanes-Oxley tindakan 2002 yang mengharuskan
perusahaan publik untuk melaporkan tentang efektivitas sistem pengendalian internal mereka.
48 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68

Coe menjelaskan dalam penelitian ini bahwa perusahaan-perusahaan Amerika menggunakan COBIT
untuk Sarbanes-Oxley tindakan 2002 kepatuhan, dan ini adalah karena tujuannya telah dipetakan ke COSO
dalam publikasi berjudul IT Kontrol Tujuan untuk Sarbanes-Oxley. COBIT juga telah dipetakan ke perencanaan
sumber daya perusahaan populer (ERP) sistem seperti SAP, Oracle dan PeopleSoft. Pemetaan ini dan
bimbingan terkait memberikan COBIT framework referensi dan metodologi untuk audit dan pengujian sistem
ERP utama.

Tapi diputuskan nanti untuk menggunakan layanan SysTrust untuk memastikan sistem perusahaan melaksanakan
proses bisnis andal. Di sinilah Coe membangun lima langkah proses menunjukkan bagaimana CPA dapat menggunakan
kerangka layanan kepercayaan untuk mengevaluasi perusahaan mengontrol TI ketika entitas terutama menggunakan
pendekatan COSO. Langkah-langkah ini:

1. Menggunakan kerangka kerja COSO untuk mengidentifikasi risiko dalam setiap siklus bisnis dan kontrol
yang menanggulanginya.
2. Mengumpulkan informasi IT awal.
3. Identifikasi semua sistem informasi yang berhubungan dengan pelaporan keuangan.
4. Gunakan percaya kerangka kerja layanan untuk membuat satu keseluruhan matriks IT.
5. Menilai kontrol diidentifikasi dalam matriks yang dibuat di atas.

Akhirnya, Martin (2005) menyebutkan langkah yang sama dalam studinya di mana ia mencoba untuk menjelaskan
bagaimana sistem informasi auditor dapat menggunakan AICPA / CICA layanan kepercayaan kerangka kerja untuk
mengevaluasi pengendalian internal terutama kontrol atas teknologi informasi.

Penelitian Hipotesis

Penelitian saat ini meneliti hipotesis penelitian sebagai berikut dalam bentuk nol: H1 0:
bank domestik Yordania tidak memiliki efektif Sistem Pengendalian pada Sistem Informasi
Komputerisasi Akuntansi mereka. Hipotesis ini dapat dibagi ke hipotesis nol berikut:

1.1 bank domestik Yordania tidak memiliki Penipuan efektif dan Kesalahan Pengurangan
Kontrol.
1.2 bank domestik Yordania tidak memiliki Kontrol akses fisik yang efektif.
1.3 bank domestik Yordania tidak memiliki Kontrol Akses Logical efektif.
1.4 bank domestik Yordania tidak memiliki efektif Kontrol Keamanan Data.
1,5 bank domestik Yordania tidak memiliki Standar Dokumentasi efektif.
1,6 bank domestik Yordania tidak memiliki rencana Disaster Recovery efektif.
1,7 bank domestik Yordania tidak memiliki Internet yang efektif, Komunikasi dan
kontrol e-Banking.
1.8 bank domestik Yordania tidak memiliki Kontrol Keluaran Keamanan efektif.

H2 0: Tidak ada perbedaan yang signifikan antara responden dalam sampel penelitian
(Internal auditor / HOCD) sehubungan dengan CAIS Kontrol tingkat efektivitas sistem di bank
domestik.
 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68 49

AKU AKU AKU. METODOLOGI

Populasi penelitian terdiri dari semua bank domestik Yordania (lokal dan asing). Jumlah bank
domestik di Yordania adalah dua puluh tiga bank; tiga di antaranya dikeluarkan dari penelitian ini karena
pendirian terbaru mereka (mereka didirikan hanya pada tahun 2005). Penelitian ini hanya mencakup
kantor pusat bank di mana responden yang ditargetkan diharapkan ada. responden yang ditargetkan
mewakili pihak yang memiliki kemampuan dan pengetahuan untuk mengatasinya; Oleh karena itu,
kuesioner dibagikan kepada auditor internal dan kepala departemen komputer HOCD. Empat puluh
kuesioner yang dibagikan; tiga puluh diterima dalam format yang dapat digunakan.

Salah satu cara untuk menilai potensi non-respon bias adalah untuk membandingkan data dari
responden terlambat untuk data dari responden tepat waktu seperti di Oppenheim (1992) dan Wallace dan
Mellor (1988). Dalam penelitian kami, lima tanggapan diterima berikut pengingat. Mereka tanggapan akhir tidak
berbeda secara signifikan dari tanggapan lain di salah satu analisis dilaporkan di bagian hasil.

Data dikumpulkan dengan menggunakan kuesioner self-diadministrasikan yang dirancang setelah

pengamatan awal pada praktek. Kuesioner ulasan keberadaan semua fungsi dan prosedur yang menjamin CS untuk
menjadi efektif dalam mencapai tujuannya umum. Menggunakan metodologi tersebut untuk mendapatkan CAIS
efektivitas sistem pengendalian meminimalkan responden bias yang mungkin timbul jika mereka diminta langsung
untuk menunjukkan apakah sistem kontrol mereka mencapainya tujuan atau tidak.

Yang disebutkan di atas prosedur dan fungsi dikategorikan di bawah delapan kategori berikut
sesuai dengan fungsi atau tujuan mereka:
1. Penipuan dan kontrol pengurangan kesalahan.
2. Akses fisik.
3. akses logis.
4. kontrol keamanan data.
5. standar dokumentasi.
6. Disaster Recovery Plan.
7. Internet, komunikasi dan e-banking kontrol.
8. kontrol keamanan output.

Untuk menyelidiki instrumen penelitian validitas, profesional dan akademisi dikonsultasikan. Mereka
diminta untuk memeriksa apakah kontrol keamanan menyarankan dan prosedur yang ada dalam kuesioner
penelitian merupakan elemen penting dalam sistem kontrol yang efektif. Mereka juga diminta untuk
mengkonfirmasi bahwa setiap titik (prosedur control) dikategorikan dalam kelompok yang benar dan representatif.
Akhirnya, para ahli diminta untuk menyarankan berat untuk setiap prosedur kontrol dalam kelompok yang mana
skor total untuk masing-masing kelompok tidak melebihi 100%.

Setelah rekomendasi semua ahli dan saran, mean dan standar deviasi *** dihitung untuk
bobot disarankan dan dipertimbangkan untuk keluar dengan daftar akhir prosedur pengendalian
dan berat materialitas untuk masing-masing dari mereka untuk menggunakannya dalam
penelitian saat ini.
Cronbach Alpha digunakan untuk memeriksa stabilitas kuesioner untuk semua komponennya.
Selanjutnya, analisis keandalan memungkinkan para peneliti untuk mempelajari sifat-sifat dari skala
pengukuran dan item yang membuat mereka.

bobot ini akan disebut sebagai "Norma" kemudian dalam penelitian ini.
***
Standar deviasi dihitung untuk setiap titik dan untuk semua poin.
50 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68

Menggunakan skala nominal untuk mengukur efektivitas prosedur pengendalian membuat kita
pilih chi square sebagai prosedur nonparametrik untuk menguji hipotesis kedua yang meneliti apakah ada
perbedaan yang signifikan antara pengendali EDP dan auditor internal terhadap CAIS sistem kontrol
tingkat efektivitas. X 2 - tes adalah sama dengan kuadrat perbedaan antara frekuensi diamati dan
diharapkan, membaginya dengan frekuensi yang diharapkan dalam setiap sel tabel, menyimpulkan atas
semua sel dari tabel. Uji X2 sekitar mengikuti distribusi chi-kuadrat dengan 1 derajat kebebasan.
Zikmond, (Pp 520, 2003).

Untuk memiliki hasil yang akurat untuk chi-square (2 X 2) tabel, diasumsikan bahwa setiap
frekuensi yang diharapkan harus memiliki lima kasus setidaknya. Dalam situasi bahwa asumsi ini
tidak dipenuhi, uji Fisher Exact Probability digunakan untuk menghindari keterbatasan ini. Pertama
hipotesis (termasuk hipotesis minor yang berhubungan dengan proporsi populasi persentase p
efektivitas Kontrol Keamanan) diuji dengan menghitung proporsi sampel ps (ps = X / n), maka nilai
statistik ini dibandingkan dengan nilai hipotesis dari parameter p (standar Efektivitas). Selain itu, nilai
p digunakan untuk menguji normalitas distribusi sampling menggunakan aturan berikut: "Jika jumlah
keberhasilan (X) dan jumlah kegagalan masing-masing setidaknya lima, distribusi sampling dari
proporsi sekitar mengikuti standar distribusi normal

Untuk melakukan uji hipotesis untuk

mengevaluasi ukuran perbedaan antara sampel proporsi ps dan nilai hipotesis parameter p untuk
setiap kelompok Sistem keamanan Control dan untuk sistem Kontrol Keamanan Umum, tes untuk Z
proporsi yang diberikan dalam persamaan berikut digunakan dalam penelitian ini, Berenson (2001):

Z= Ps-P
------------

P (1-P)
---------
n
Dimana
proporsi Ps = Diamati keberhasilan (Jumlah keberhasilan dibagi pada ukuran sampel P = proporsi
hipotesis dari keberhasilan dalam populasi.
 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68 51

IV. HASIL

Seperti muncul dalam tabel (1), 80% dari responden melaporkan bahwa bank-bank mereka memiliki lebih dari
empat spesialis informasi.

Tabel 1
distribusi frekuensi sistem Informasi spe cialist
Informasi nomor frekuensi Persen
spesialis sistem
0 2 6,7%
1-3 4 13,3%
4-7 9 30,0%
8-11 2 6,7%
12-15 8 26,7%
Lebih dari 15 5 16,7%
Total 30 % 100

Mayoritas responden (73,3%) dan seperti yang ditampilkan dalam tabel (2) melaporkan bahwa mereka memiliki
empat atau lebih tahun pengalaman di posisi saat ini yang mereka punya, sementara hanya 20,7% dari responden
memiliki kurang dari empat tahun pengalaman di posisi mereka saat ini.

tabel 2
distribusi frekuensi dari pengalaman responden dalam posisi mereka saat ini

Pengalaman di posisi saat ini frekuensi Persen

Kurang dari satu tahun 1 3,3%
1-3 7 23,3%
4-7 15 50,0%
8-11 4 13,3%
12-15 2 6,7%
Lebih dari 15 1 3,3%
Total 30 100%

Hampir delapan puluh sembilan persen responden menyatakan bahwa mereka memiliki empat atau lebih tahun
pengalaman di bank yang sama, sementara hanya sebelas persen melaporkan bahwa mereka memiliki kurang dari empat
tahun pengalaman di bank diamati.

tabel 3
distribusi frekuensi dari pengalaman responden di bank diamati

Pengalaman di posisi saat ini frekuensi Persen

1-3 5 16,7%
4-7 13 43,3%
8-11 8 26,7%
12-15 3 10,0%
Lebih dari 15 1 3,3%
Total 30 100%
52 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68

Secara umum dapat disimpulkan bahwa individu yang menjawab kuesioner memiliki minimal
dibutuhkan tingkat pengetahuan, yang mungkin meningkatkan kredibilitas dan keandalan jawaban
mereka.
Bagian berikut berfokus pada temuan statistik yang berkaitan dengan kontrol keamanan. Ini
terdiri dari statistik deskriptif seperti frekuensi dan persentase.

Penipuan dan kesalahan kontrol pengurangan

Untuk mengeksplorasi keberadaan dan pelaksanaan prosedur penipuan dan pengurangan

kesalahan kontrol, responden diminta untuk menunjukkan adanya langkah-langkah seperti di bank mereka.
Temuan statistik menunjukkan bahwa semua responden (100%) menunjukkan bahwa bank-bank mereka
dilaksanakan dengan sukses pembagian tugas, apakah pemisahan ini antara fungsi pengembangan sistem
informasi (analisis / pemrograman ... dll) atau antara tugas akuntansi (otorisasi / rekaman .. Dll). Di sisi lain,
hasil penelitian menunjukkan bahwa 67% dari responden percaya bahwa bank mereka menerapkan rotasi
tugas untuk mengurangi kemungkinan penipuan dan meningkatkan kemungkinan paparan kesalahan.
Persentase serupa didukung adanya ikatan karyawan. Selain itu, sepertiga dari responden menyatakan
bahwa prosedur tersebut tidak dilaksanakan. Hasil ini menunjukkan bahwa bank domestik manajemen telah
mengakui pentingnya kontrol keamanan ini untuk meminimalkan penipuan dan kesalahan. Hasil seperti
penekanan Romeny dan Steinbart (1999) percaya sehubungan pentingnya Penipuan dan kontrol
pengurangan kesalahan terutama untuk prosedur pengendalian pertama dan kedua. Sementara kebijakan
ikatan persentase existenance jauh lebih tinggi dari Abu Musa (2004).

tabel 4
Fra u d dan kesalahan kontrol pengurangan (Freq uencies)
Tidak ada ada
# Prosedur kontrol
Freq. Persen Freq persen
Sana pemisahan
aku s Sebuah
informasi fungsi pengembangan sistem
1 (Analyst, Programmer, Operator, 0 0% 30 100,0%
Pengguna, Pustakawan, Data controller).

Sana pemisahan
aku s Sebuah
2 akuntansi tugas (misalnya 0 0% 30 100,0%
Otorisasi, Recording).
Rotasi tugas digunakan untuk mengurangi
kemungkinan penipuan dan
3 10 33,3% 20 66,7%
meningkatkan kesempatan paparan
kesalahan.

4 Karyawan yang memiliki akses ke 10 33,3% 20 66,7%

data sensitif telah terikat.

Kontrol akses fisik

Penelitian ini mengungkapkan bahwa sebagian besar responden (93%) menyatakan bahwa bank
mereka mendirikan kamar terkunci untuk server dan peralatan komputer yang sensitif. Di sisi lain, hanya 7%
dari responden melaporkan bahwa bank mereka
 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68 53

tidak menerapkan prosedur pengendalian tersebut, itu tidak menguntungkan oleh peneliti untuk mendapatkan
persentase ini meskipun yang satu tinggi, hal ini karena mengungkapkan bahwa beberapa bank bahkan tidak
menerapkan beberapa SysTrust dasar (2003) aturan. Para responden juga diminta untuk menunjukkan apakah
bank-bank domestik dikelola alat akses fisik diawasi oleh staf keamanan bank. Sebagian besar dari responden
(93,3%) menyatakan bahwa bank mereka menerapkan prosedur tersebut, sementara sekitar 7% dari responden
percaya bahwa bank mereka tidak berhasil prosedur ini. Selain itu, frekuensi statistik menunjukkan bahwa 70%
responden menegaskan bahwa bank mereka Pembatasan mengakses ruang server dan perangkat keras yang
berhubungan dengan individu yang berwenang oleh sistem kartu kunci dan dipantau oleh video surveillance.
Selain itu, hasil penelitian menunjukkan bahwa 63,3% responden melaporkan bahwa bank-bank mereka
menyimpan catatan bagi pengunjung yang menunjukkan nama pengunjung dan tujuan kunjungannya. Hampir 77%
dari responden percaya bahwa bank mereka mempertahankan pencurian dan bahaya asuransi yang memadai
meliputi hardware komputer, persentase tersebut lebih rendah dari yang diekstrak dari sektor perbankan Mesir,
Abu Musa (2004). Selanjutnya, 70% dari responden melaporkan bahwa bank-bank mereka dipasang alarm
dengan konsentrasi tinggi pada peralatan komputer. Secara umum, hasilnya konsisten dengan Romeny dan
Steinbart (1999), Buttros dan Ackers (1990), Dougan (1994), Henry (1997) Moscove dan Stephan (2001) dan
Bortiz (2005).

tabel 5
Akses fisik kontrol (Frekuensi)
Apakah tidak ada ada
# Prosedur kontrol
Freq. Persen Freq. Persen
kamar terkunci untuk server dan
5 sensitif 2 6,7% 28 93,3%
perangkat komputer.
Kartu akses fisik dikelola oleh staf
keamanan bank. penggunaan kartu akses
6 login. Log dipelihara dan ditinjau oleh staf 2 6,7% 28 93,3%
keamanan Bank.

akses fisik ke ruang komputer, yang berisi

sumber daya, server, dan perangkat keras
terkait seperti firewall dan router IT Bank,
dibatasi untuk individu diizinkan oleh
7 9 30,0% 21 70,0%
sistem kartu kunci dan dipantau oleh video
surveillance.

8 Records untuk pengunjung dan tujuan 11 36,7% 19 63,3%

untuk kunjungan mereka.
Pencurian memadai dan bahaya
9 asuransi yang meliputi hardware 7 23,3% 23 76,7%
komputer.
Instalasi alarm dengan konsentrasi
10 tinggi pada peralatan komputer. 9 30,0% 21 70,0%
54 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68

kontrol akses logis

Untuk menyelidiki keberadaan dan pelaksanaan yang memadai kontrol akses logis di bank domestik,
responden diminta untuk menunjukkan apakah prosedur kontrol ada atau tidak. Temuan statistik menunjukkan
bahwa semua responden menyatakan bahwa bank mereka berhasil menerapkan password dan ID pada
komputer pengguna. Di sisi lain, 66,7% dari responden melaporkan bahwa setiap komputer diberikan dengan
screen saver yang terkunci dengan password. 96,7% responden menyatakan bahwa pihak berwenang untuk
mengakses informasi perusahaan didefinisikan menurut ID pengguna. Menurut 90% responden, komputer dan
perangkat lunak password mengandung setidaknya enam karakter, salah satunya adalah non-alfanumerik.
password ini juga case sensitif dan harus diperbarui setiap sembilan puluh hari. Selain itu, 83,3% dari responden
melaporkan bahwa bank mereka berhasil prosedur yang memadai untuk mencegah akses publik yang tidak sah
melalui dial-up, sementara 63,3% responden menyatakan bahwa perangkat lunak VPN digunakan di bank-bank
jaringan mereka untuk mengizinkan akses remote yang tidak sah. Selanjutnya, 80% dari responden percaya
bahwa bank-bank mereka disediakan pengguna dengan satu-satunya layanan jaringan yang dibutuhkan dan
dinonaktifkan layanan yang tidak perlu. sistem deteksi intrusi digunakan di bank-bank dalam negeri sesuai
dengan 67% dari responden dalam rangka memberikan pemantauan terus menerus dari jaringan entitas dan
untuk mengidentifikasi pelanggaran keamanan potensial. Selain itu, 70% responden menyatakan bahwa bank
mereka menerapkan prosedur verifikasi routing untuk memastikan bahwa pesan tidak diteruskan ke alamat
sistem yang salah. Sembilan puluh persen dari responden percaya bahwa bank mereka diperlukan identifikasi
elektronik untuk setiap terminal jaringan resmi, sementara 66,3% dari responden melaporkan bahwa teknik
pesan pengakuan yang digunakan di bank mereka untuk menginformasikan pengirim bahwa pesan itu telah
disampaikan.

Hasil ini konsisten dengan SysTrust v 2.0 prosedur pengendalian yang diusulkan dalam kontras
dengan prosedur pengendalian yang diekstrak dari Romeny dan Steinbart (1999).

tabel 6
log ical akses kontrol (Frekuensi)
Tidak ada ada
# Prosedur kontrol
Freq. Persen Freq. Persen

11 Setiap user memiliki password dan ID untuk 0 0.0% 30 100,0%

komputernya.
12 Screen saver dengan password. 10 33,3% 20 66,7%
Kewenangan untuk informasi perusahaan akses
13 didefinisikan sesuai dengan ID pengguna. 1 3,3% 29 96,7%

Setiap kata sandi berisi setidaknya enam

karakter, salah satunya adalah non alfanumerik.
14 3 10,0% 27 90,0%
password adalah kasus
sensitif dan diperbarui setiap 90 hari.
 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68 55

Memadai Prosedur seharusnya

diimplementasikan untuk mencegah akses publik yang
15 tidak sah melalui dial-up (misalnya penggunaan dialback, 5 16,7% 25 83,3%
dial up akses terbatas ke informasi bukan rahasia)

virtual private networking (VPN)

perangkat lunak yang digunakan untuk memungkinkan akses
remote oleh pengguna yang tidak sah. Pengguna
16 11 36,7% 19 63,3%
dikonfirmasi oleh server VPN melalui tertentu "klien"
perangkat lunak dan ID dan password pengguna.

jaringan yang tidak diperlukan jasa (untuk

contoh, telnet,ftp, dan http) adalah
dinonaktifkan pada server entitas. Sebuah daftar
layanan yang dibutuhkan dan disahkan
17 dikelola oleh departemen IT. 6 20,0% 24 80,0%
Daftar ini ditinjau oleh manajemen entitas
secara rutin validitas untuk kondisi operasi
saat ini.

sistem deteksi intrusi yang digunakan untuk

menyediakan pemantauan terus menerus dari jaringan
18 10 33,3% 20 66,7%
entitas dan identifikasi awal pelanggaran keamanan
potensial
Kontrak Bank dengan pihak ketiga untuk melakukan
tinjauan keamanan secara berkala dan penilaian
19 kerentanan. Hasil dan rekomendasi untuk 12 40.0% 18 60,0%
perbaikan dilaporkan kepada manajemen.

Routing prosedur verifikasi yang digunakan untuk

20 memastikan bahwa pesan tidak diteruskan ke alamat 9 30,0% 21 70,0%
sistem yang salah.

21 identifikasi elektronik diperlukan untuk 3 10,0% 27 90,0%

setiap terminal jaringan resmi.
teknik pesan pengakuan yang digunakan untuk
menginformasikan pengirim bahwa pesan itu
22 telah disampaikan, seperti (Echo cek, 10 33,3% 20 66,7%
karavan label, dan
batch bernomor).

kontrol keamanan data

Semua responden setuju bahwa bank-bank dalam negeri dilindungi area penyimpanan file dari kondisi
berbahaya (seperti kebakaran, debu ... dll). Selanjutnya, 80% dari responden melaporkan bahwa bank mereka
mempertahankan kamus data didefinisikan dengan baik, sementara 70% dari responden mengatakan bahwa data
didefinisikan ke lapisan, dan setiap lapisan memiliki tingkat keamanan sendiri.
56 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68

Lebih dari 66% dari responden percaya bahwa setiap elemen dari informasi itu diidentifikasi kepada siapa
itu diperlukan, ketika dibutuhkan, dan sistem informasi yang ada. Selain itu, persen sama responden
menyatakan bahwa bank mereka mempertahankan mekanisme write-perlindungan untuk melindungi data
dari lebih menulis atau menghapus file data. Selain itu, semua responden melaporkan bahwa bank mereka
memiliki backup dikelola dengan baik dan copy pekerjaan dipelihara sesuai dengan jadwal yang telah
ditetapkan.

tabel 7
kontrol keamanan data (Frekuensi)
Tidak ada ada
# Prosedur kontrol
Freq. Persen Freq. Percent

23 File storage area protected against fire, 0 0.0% 30 100.0%

dust, and any harm conditions.
24 Well defined data directory is used. 6 20.0% 24 80.0%
Each type of data and the level of protection
25 required for each are well defined. 9 30.0% 21 70.0%

Each element of the information is defined to whom it

26 is required, when it is needed, and at which IS it 10 33.3% 20 66.7%
exists.
Write protection mechanisms protect against users
27 accidentally writing over or erasing data files. 10 33.3% 20 66.7%

Backups and working copies of data are well

28 maintained according to a pre-defined schedule. 0 0.0% 30 100.0%

Adequate steps are taken to avoid unauthorized

29 copying of hardcopy Data. 8 26.7% 22 73.3%

Adequate security controls should be implemented

over manual handling of data between branches and
30 2 6.7% 28 93.3%
the headquarters, as well as among the bank's
departments.

31 A hardcopy should be routinely 7 23.3% 23 76.7%

printed for the critical data.

32 The FORMAT command should be 13 43.3% 17 56.7%

removed from the users computers.
Legal binding confidentiality agreements should be
drafted by the employer and signed by the
33 computer users who have access to sensitive data. 8 26.7% 22 73.3%

Backup Diskettes or cartridges are secured in safe

34 cabinets or fire-rated Safe. 2 6.7% 28 93.3%
 Talal H. Hayale et al./ Journal of Accounting Business & Management 13 (2006) 39-68 57

Also 73.3% of the respondents believed that their banks took the required steps in order to avoid
unauthorized copying of hardcopy data. 93.3% of the respondents said that their banks implemented
adequate security controls over the manual handling of data between branches and headquarters as well
as among the banks' departments. Approximately 77% of respondents also believed that their banks kept
a hard copy of the critical data. 57% of the respondents claimed that a FORMAT command was removed
from users computers.Furthermore, 73% of the respondents reported that their banks drafted
confidentiality. Finally, 93.3% of the respondents claimed that their banks kept backup diskettes or
cartridges secured in safe cabinets or fire rated safes. The empirical results confirmed the validity of most
of the protective measures that withdrawn from Warigon (1998) theoretical study.

Documentation standards

Almost 90% of the respondents reported that their banks set up well-defined standards and
procedures for data processing, including the justifications and authorization of new systems and
system changes...etc. On the other hand, 60% of the respondents believed that their banks kept
documentation describing each application system, including narrative material, flow charts and
program listings. A lower percent of the respondents (50%) believed that the documentation that was
kept in their banks describing what was needed to run a program, including the equipment
configuration, programs and data files as well as procedures in order to setup and execute the job.
70% of respondents reported that users were provided with instructions for communicating potential
security breaches to the information security team in order to monitor these incidents and to be
evaluated. Again, a lower percent (56.7%) claimed that existing documentation contained procedures
that ensured that the issues of non-compliance with system security policies were promptly addressed
and the corrective measures were taken on a timely basis.

Table 8
Doc umentation standards (Frequencies)
Doe s not exist Exists
# Control Procedure
Freq. Percent Freq. Percent
Well defined standards and procedures for data
processing, including the
justification and authorization of new systems
35 and system changes, standards for 3 10.0% 27 90.0%
system analysis, design and
programming, and procedures for file handling
and storage.
Documentation describes each
application system, including narrative material,
36 12 40.0% 18 60.0%
flow
charts and program listings.
58 Talal H. Hayale et al./ Journal of Accounting Business & Management 13 (2006) 39-68

Documentation describes what is

needed to run a
program, including the
equipment configuration, programs and data
37 15 50.0% 15 50.0%
files as
well as procedures to setup and execute the
job.

Users are provided with instructions for

communicating potential security breaches

to the information security team. These

38 9 30.0% 21 70.0%

incidents are monitored and evaluated by the

information security team periodically.

Procedures exist to ensure that issues of

non-compliance with system security
39 policies are promptly 13 43.3% 17 56.7%
addressed and the corrective measures are
taken on a timely basis.

The empirical results of this section cope with COSO fourth component, information and
communication, where this component should provide a clear understanding of individuals roles
and responsibilities. Also it emphasis the importance of Systrust 2.0 criteria Policies that aim to
document and define the company policies.

Disaster recovery plan

The respondents were asked to indicate whether their banks had a plan identifying the
application, hardware and software necessary to keep the organization running in emergency cases,
and the sequence as well as timing of all recovery activates. The statistical results herein revealed that
73.3% of the respondents reported that their banks kept such plan. In addition, 76.7% of the
respondents claimed that the DRP that their banks had provided the ability to recover the lost or
destroyed files when a disaster occurred. Also 63.3% of the respondents reported that the DRP that
existed in their banks defined the responsible individuals or teams for implementing the different DRP
activities. All of the respondents reported that their banks provided servers and sensitive operation
computers with uninterruptible power supply (UPS) units in order to supply power to these computers
during power outages. The lowest percentage of the respondents (60%) claimed that their banks
managed an insurance policy that covered the cost of business interruption resulting from computer
disasters.
 Talal H. Hayale et al./ Journal of Accounting Business & Management 13 (2006) 39-68 59

Table 9
Disaster recovery plan components (Frequen cies)
Does not exist Exists
# Control Procedure
Freq. Percent Freq. Percent
A plan identifying the applications, hardware and
software necessary to keep the organization running
40 in emergency cases, and the sequence as well as 8 26.7% 22 73.3%
the timing of all recovery activities

The DRP provides the ability to recover the lost or

41 destroyed files when a disaster occurs. 7 23.3% 23 76.7%

The DRP defines the responsible individuals or

42 teams implementing the different DRP activities 11 36.7% 19 63.3%

The DRP provides ready backup facilities, these

backup facilities can be provided through spare
hardware, subcontract agreements, or a reciprocal
43 9 30.0% 21 70.0%
agreement with an organization that has compatible
facilities.

44 Uninterruptible power supply (UPS) units 0 0.0% 30 100.0%

to supply power during power outages
Insurance covers the cost of business
45 interruption resulting from computer Disasters 12 40.0% 18 60.0%

All of the disaster recovery plan procedures have acceptable existence percentage, which withdrawn
from Jacob & Weiner (1997), Romeny & Steinbart (1999) and Moscove & Stephan (2001)

Internet, communications and e-Banking controls

As expected, all of the respondents reported that their banks placed antivirus software, which
includes virus scans of incoming e-mail messages and virus signatures that were updated at least weekly.

Again, 100% of the respondents claimed that their banks installed firewalls (Software & Hardware) to
control and protect communication between the internal network and the external networks (e.g. the
Internet). 63.3% of the respondents believed that their banks assigned a specific ceiling (e.g. 2000 JD)
for the monetary transaction that went through e-banking service. Only 43.3% of the respondents
reported that their banks provided two user ID's for E-Banking service, One ID for general inquires and
the other for transfers and monetary transactions. A higher percentage of the respondents (66.7%)
believed that the users account was activated only after successful login that was encrypted through a
128-bit SSL session. Additionally,

76.7% of the respondents claimed that monetary transfers in their banks were restricted to the accounts
in the same bank. Merely half of the respondents believed that the unused e-banking accounts in their
banks were purged automatically by the bank system. The majority of the respondents (83%) reported
that the login access in
60 Talal H. Hayale et al./ Journal of Accounting Business & Management 13 (2006) 39-68

their banks was terminated after three unsuccessful login attempts. On the other hand, 76.7% of the
respondents believed that their bank used 128-bit secure sockets layer (SSL) encryption for
transmission of private or confidential information over public networks, including user's IDs and
passwords. Furthermore, users were required to update their browser to the latest version tested and
approved by the security administrator

Table 10
Inter n et, communications and e-Banking controls ( Frequencies)
Does not exist Exist s
# Control Procedure
Freq. Percent Freq. Percent
Antivirus software is in place,
including virus scans of
46 incoming e-mail messages. Virus 0 0.0% 30 100.0%
signatures are updated at least
weekly.
Firewalls (Hardware &
Software)
installed to control and protect
47 communications between the internal 0 0.0% 30 100.0%
network and external networks such
as the internet.

Limit the electronic monetary

48 transactions to (e.g. 2000 JD) per day. 11 36.7% 19 63.3%

Each e-banking user has two IDs,

one for general inquiries and the

49 17 56.7% 13 43.3%
other
for transfers and monetary
Transactions.
Account activation, subsequent to
successful login, is encrypted through

a 128-bit SSL session. Users are

50 logged out on request (by selecting 10 33.3% 20 66.7%

the "Sign-out" button on the website)

or
after 10 minutes of inactivity.

Monetary transfer capabilities are

restricted to the accounts in the same
51 bank ( Sender and receiver in the 7 23.3% 23 76.7%
same bank).
 Talal H. Hayale et al./ Journal of Accounting Business & Management 13 (2006) 39-68 61

Unused customer accounts (no

52 activity for six month) are purged by 14 46.7% 16 53.3%
the system.
The login session is terminated after
three
unsuccessful login
53 5 16.7% 25 83.3%
attempts. Terminated login
sessions are logged for
follow-up.
The bank uses 128-bit secure sockets
layer (SSL) encryption for
transmission of private or confidential
information over
public networks, including users IDs and
54 7 23.3% 23 76.7%
passwords. Users are required to update
their browser to the latest version tested
and approved by the security
administrator.

Output security controls

All respondents believed that their banks have control over access to sensitive information and
restricted it only to the authorized users in the authorized time. A lower percent of the respondents
(86.7) reported that sensitive computer output in their banks was secured in a lock cabinet. Only 60%
of the respondents believed that the system output was stamped with the date and time. Also, 83.3% of
the respondents reported that their banks performed printing and distributing data and information
under proper supervision and only by authorized persons in the bank. On one hand, 76.7% of the
respondents believed that shredding machines were available and used for sensitive data disposal,
while, 70% of the respondents reported that shredding these sensitive documents was restricted only to
security-cleared personnel. Lastly, 76.7% of the respondents claimed that their banks performed
random output/input auditing on regular basis in order to verify correct processing.
62 Talal H. Hayale et al./ Journal of Accounting Business & Management 13 (2006) 39-68

Table 11 O utput security controls (Frequencies)

Does n ot exist Exists

# Control Procedure
Freq. Percent Freq. Percent
Authorized access to sensitive
information
should be controlled and restricted only to
55 0 0.0% 30 100.0%
the authorized
users during the
authorized time
Sensitive computer output secured in a locked
56 cabinet . 4 13.3% 26 86.7%

Hard copy output stamped

57 automatically with 12 40.0% 18 60.0%
date/time.
Printing and distributing data and
information
58 performed under proper supervision and only 5 16.7% 25 83.3%
by authorized persons in the bank.

Shredding machines are available and used for

59 7 23.3% 23 76.7%
disposal of confidential data.
Shredding sensitive documents is restricted
60 to 9 30.0% 21 70.0%
security cleared personnel.
Random output/input auditing
regularly
conducted to verify correct
61 processing 7 23.3% 23 76.7%
( e.g. Check book order against actual
printed check books).

The following section focuses on the statistical findings concerned with the hypothesis testing. To
test the first Hypothesis and related minor hypotheses, the Z test for proportion was conducted as can be
seen in the following table.

Table 12
Z-test for percent differences
Dimension Norms Percent N Z Value P

Fraud and error reduction control 65% 91% 30 2.98 0.002

Physical access 70% 79% 30 1.05 0.29

Logical access 70% 78% 30 1.08 0.28

 Talal H. Hayale et al./ Journal of Accounting Business & Management 13 (2006) 39-68 63

Data security 65% 79% 30 1.89 0.058

Documentation standards 60% 70% 30 1.20 0.23

A Disaster Recovery Plan 60% 73% 30 1.38 0.16

Internet , communication and e-Control 75% 82% 30 1.00 0.31

Output security controls 65% 85%W 30 1.81 0.07

The developed norms are used as a cut point for the minimum accepted percentage of applying
CS standards, where the bank is considered applying effective control system if its own CS standards
evaluation percentage exceeds this norm. Then we tested for significant differences between the applied
percentage in the Jordanian domestic banks and these norms using Z test for proportion.

From table (12) p value appears to be less than 0.05 for fraud and error reduction controls. This means
that there are significant differences between the accepted norms (65%) and the applied percentage
(91%). The Z value is also higher than 1.96, which means it falls in a rejection area. All of that lead us
to reject the null hypothesis. This implies that that the Jordanian domestic banks are using effective
fraud and error reduction controls.

While p value is more than (0.05) for (Physical access, Logical access, Data security, Documentation
standard, Disaster Recovery, Internet, communication and EControl, Output security controls), also the
Z values for them were in the acceptance area (1.96 < Z < -1.96) , which means that there are no
significant differences. Consequently, the researcher concludes that the Jordanian domestic banks are
not using effective control procedures for (Physical access, Logical access, Data security,
Documentation standard, Disaster Recovery, Internet, communication and E-Control and Output security
controls).

According to the above-mentioned results, we accept the main null hypothesis that stated,
"Domestic Banks are not using effective Control Systems on their Computerized Accounting
Information System."

To test the second hypothesis, we used Chi-square as appears in appendix (1), Chisquare results show
that there is no difference between EDP controllers and the internal auditors opinions in respect of the
CAIS control system effectiveness level. Accordingly, the null hypothesis is accepted.

CONCLUSION

The research showed that Jordanian domestic banks effective use fraud and error reduction controls
mainly, while they do not do enough with regard to the other dimensions (Physical access, Logical
access, Data security, Documentation standard, Disaster Recovery, Internet, communication and
E-Control and Output security controls).

Norms equal to materiality weights that previously mentioned into methodology section.
64 Talal H. Hayale et al./ Journal of Accounting Business & Management 13 (2006) 39-68

The analysis indicates that there are no differences between head of computer departments and
internal auditors perception for the effectiveness level of CAIS control systems for its dimensions.

REFERENCES

Abu Musa, Ahmad, "Investigating the Security Controls of CAIS in an Emerging

Economy: An Empirical Study on the Egyptian Banking Industry", Managerial Auditing Journal,
Vol. 19, No. 2, 2004.
AICPA, Auditing Standards Board. SAS No. 94: The Effect of Information
Technology on the Auditors Consideration of Internal Control in a Financial Statement Audit.
April 2001
Berenson M., Levine D and Krehbiel T. "Basic Business Statistics, Concepts and
Applications" 8 th edition, 2001.
Boritz J. Efrim. IS practitioners' views on core concepts of information integrity
International Journal of Accounting Information Systems ; Vol. 6 Issue 4, p260-279, 20p ,
Dec2005.
Boockholdt J., Accounting Information Systems, Transaction Processing and
Controls, 5 th Edition, McGRAW-HILL Publisher, pp. 433-444, 1999. Boynton W.,Johnson R. and
Kell W.," Modern Auditing ",John Wiley & Sons Inc. ,
Seventh edition, p322,400,401, 2001.
Buttross T. and Ackers M.D, A Time-saving Approach to Microcomputer Security,
Journal of accounting and EDP, Vol. 6, pp.31-35, 1990.
Cerullo M. and Michael J. Client/Server Systems Security and Controls, Internal
Auditor Journal, Vol. 56, Issue 5, October 1999.
Curtis M. and Borthick, "Evaluation of Internal Control from a Control Objective
Narrative", Journal of Information Systems, Vol. 13, Issue 1, Spring 1999. Coe. Martin J., Trust
Services: A better way to evaluate IT controls. , Journal of
Accountancy, Vol. 199, Issue 3, March 2005.
Dougan J., Internal Control Check-list for Hospitality Computer Systems, The
bottom line, Vol. 9, pp. 8- 11, 1994.
Eduardo Frenandez-Medina and Marino Piattini, Designing Secure Databases,
Information and Software Technology Journal, Vol. 47, 2005. Grady Paul . " The Broader
Concept of Internal Control" , The Journal of
Accountancy , May 1957 , pp 41-48.
Greenstein, M and Vasarhelyi, M., The Electronization of Business Process,
European conference on AIS, Section One, July 2000.
Hardy, Catherine, Reeve, Robert. A Study of the Internal Control Structure for
Electronic Data Interchange System Using the Analytical Hierarchy Process. Accounting &
Finance,, Vol. 40, Issue 3, Sep2000.
Henry Laurie, A Study of the Nature and Security of Accounting Information
Systems: The Case of Hampton Roads, Virginia, The Mid- Atlantic Journal of Business, Vol. 33,
Iss.63, pp. 171-189, 1997.
ITGI (IT Governance Institute). IT governance executive summary; board briefing
on IT governance. Rolling Meadows, 2001.
Martin, J. Coe, Trust Services: A Better Way to Evaluate IT controls, Journal of
accountancy, Vol. 199, issue 3, March2005.
 Talal H. Hayale et al./ Journal of Accounting Business & Management 13 (2006) 39-68 65

Moscove, Stephen A., E-Business Security and Controls, CPA Journal, Vol. 71,
Issue 11, Nov2001..
Jacob J. and Weiner S. "The CPA Role in Disaster Recovery Planning, CPA Journal ,
Vol. 67, Issue 11, November 1997.

Kinsun Tam, Implementing Internal Accounting Controls as Constrains in RDBMS

and XML. Working paper European conference of AIS on 2002. Lee T.A, "The Historical
Development of Internal Control from the Earliest Times to
the End of the Seventeenth Century", Journal of Accounting Research, Spring
1971.
Lainhart IV and John W., "COBIT: A Methodology for Managing and Controlling
Information and Information Technology Risks and Vulnerabilities", Journal of Information
Systems, Vol. 14, Issue 1, 2000.
Qurashi A. and Siegel J., "The Accountant and Computer Security", National public
accountant Journal, Vol. 42, Issue 3, May 1997.
Uday S. Murthy, An Analysis of the Effects of Continuous Monitoring Controls on
e-commerce System Performance , Journal of Information Systems, Vol.18, No.2 , Fall 2004.

Oppenheim, A. N. Questionnaire design, interviewing, and attitude measurement.

New York, NY: Pinter Publishers,1992.
Romeny M. and Steinbart P. Accounting Information Systems, Prentice Hall
Publisher, 8 th Edition, pp. 286-307, 383,1999.
Ryan S. D. and B. Bordoloi, Evaluating Security Threats in Mainframe and Client
Server Environments, Information & Management, Vol.32 Issue 3, pp 137-
142, 1997.
Sung-Sik Hwang, Taeksoo Shin and Ingoo Han, CRAS-CBR Internal Control
Assessment System Using Case-based Reasoning, Expert Systems Journal, Vol.21, No. 1,
Feb2004.
Timothy B., Knechel W. Robert and Payre Jeff L., Willingham, John J. " An Empirical
Relationship between the Computerization of Accounting Systems and Incidence and Size
of Audit Differences " , Auditing Journal , Vol 17, Issue
1,Spring 1998,.
Vallabhaneni, S. Rao , " CISA Examination Textbook :Theory " SRV Professional
Publications , 3rd Edition 2001.
Wallace, R., & Mellor, C.. No response bias in mail accounting surveys: A
pedagogical note. British Accounting Review, 20: 131-139, 1988. Warigon Slemo, Data
Warehouse Control & Security, Internal Auditor Journal, Vol.
55 Issue 6, pp. 40-47, December 1998.
Zikmond William, "Business Research Methods", Thomson publisher, 7 th edition,
(2003).
66 Talal H. Hayale et al./ Journal of Accounting Business & Management 13 (2006) 39-68

Appendix (1)

Chi Square results for Security Controls

Internal
Question IT z p
Auditor
Does not exist - -
1 0.00 1.00
Exists 15 15
Does not exist - -
2 0.00 1.00
Exists 15 15
Does not exist 4 6
3 . 700 . 35
Exists 11 9W
Does not exist 5 5
4 0.00 1.00
Exists 10 10W
Does not exist 1 1
5 0.00 1.00
Exists 14 14W
Does not exist 1 1
6 0.00 1.00
Exists 14 14W
Does not exist 4 5
7 0.15 0.69
Exists 11 10W
Does not exist 6 5
8 0.14 0.70
Exists 9 10W
Does not exist 4 3
9 0.18 0.66
Exists 11 12W
Does not exist 5 4
10 0.15 0.69
Exists 10 11W
Does not exist 15 15
11 0.00 1.00
Exists - -
Does not exist 4 6
12 0.60 0.43
Exists 11 9W
Does not exist 1 -
13 1.03 0.39
Exists 14 15W
Does not exist 1 2
14 0.37 0.54
Exists 14 13W
Does not exist 2 3
15 0.24 0.62
Exists 13 12W
Does not exist 5 6
16 0.14 0.70
Exists 10 9W
Does not exist 2 4
17 0.83 0.36
Exists 13 11W
Does not exist 5 5
18 0.00 1.00
Exists 10 10W
Does not exist 6 6
19 0.00 1.00
Exists 9 9W
Does not exist 4 5
20 Exists 0.15 0.69
11 10W

Does not exist 1 2

21 0.37 0.54
Exists 14 13W
Does not exist 5 5
22 0.00 1.00
Exists 10 10W
23 Does not exist - - 0.00 1.00
 Talal H. Hayale et al./ Journal of Accounting Business & Management 13 (2006) 39-68 67

Internal
Question IT z p
Auditor
Exists 15 15
Does not exist 3 3
24 0.00 1.00
Exists 12 12W
Does not exist 4 5
25 0.15 0.69
Exists 11 10W
Does not exist 4 6
26 0.60 0.43
Exists 11 9W
Does not exist 4 6
27 0.60 0.43
Exists 11 9W
Does not exist - -
28 0.00 1.00
Exists 15 15
Does not exist 4 4
29 0.00 1.00
Exists 11 11W
Does not exist 1 1
30 0.00 1.00
Exists 14 14W
Does not exist 3 4
31 0.188 0.66
Exists 12 11W
Does not exist 6 7
32 0.13 0.71
Exists 9 8W
Does not exist 4 4
33 0.00 1.00
Exists 11 11W
Does not exist 1 1
34 0.00 1.00
Exists 14 14W
Does not exist 2 1
35 0.37 0.54
Exists 13 14W
Does not exist 6 6
36 0.00 1.00
Exists 9 9W
Does not exist 7 8
37 0.13 0.71
Exists 8 7W
Does not exist 3 6
38 1.42 0.23
Exists 12 9W
Does not exist 7 6
39 0.45 0.65
Exists 8 9W
Does not exist 4 4
40 0.00 1.00
Exists 11 11W
Does not exist 4 3
41 0.18 0.66
Exists 11 12W
Does not exist 5 6
42 0.14 0.70
Exists 10 9W
Does not exist 4 5
43 0.15 0.69
Exists 11 10W
Does not exist - -
44 0.00 1.00
Exists 15 15
Does not exist 5 7
45 0.45 0.55
Exists 10 8W
Does not exist - -
46 0.00 1.00
Exists 15 15
Does not exist
47 - - 0.00 1.00
68 Talal H. Hayale et al./ Journal of Accounting Business & Management 13 (2006) 39-68

Internal
Question IT z p
Auditor
Exists 15 15
Does not exist 5 6
48 0.14 0.70
Exists 10 9W
Does not exist 10 7
49 1.22 0.26
Exists 5 8W
Does not exist 5 5
50 0.000 1.00
Exists 10 10W
Does not exist 4 3
51 0.18 0.66
Exists 11 12W

Does not exist 6 8

52 0.34 0.72
Exists 9 7W
Does not exist 3 2
53 0.24 0.62
Exists 12 13W
Does not exist 4 3
54 0.18 0.66
Exists 11 12W
Does not exist 2 2
55 0.00 1.000
Exists 13 13W
Does not exist 2 2
56 0.00 1.000
Exists 13 13W
Does not exist 6 6
57 0.00 1.000
Exists 9 9W
Does not exist 3 2
58 0.24 62
Exists 12 13W
Does not exist 4 3
59 0.18 0.66
Exists 11 12W
Does not exist 4 5
60 0.15 0.69
Exists 11 10W
Does not exist 4 3
61 0.18 0.66
Exists 11 12W