Abstrak
Tujuan dari penelitian ini adalah untuk mengevaluasi tingkat efektivitas Sistem Pengendalian di
Komputerisasi Sistem Informasi Akuntansi (CAIS) yang diimplementasikan di sektor perbankan Yordania
untuk menjaga kerahasiaan, integritas dan ketersediaan data bank dan CAIS mereka.
Sebuah survei empiris menggunakan kuesioner self-diadministrasikan telah dilakukan untuk mencapai tujuan
tersebut di atas. Hasil studi menunjukkan bahwa bank-bank domestik Yordania menggunakan penipuan dan
pengurangan kesalahan efektif kontrol. Penelitian ini juga mengungkapkan bahwa bank-bank tersebut kekurangan
dalam penerapan dimensi Control System lainnya (akses fisik, akses logis, keamanan data, standar Dokumentasi,
Disaster Recovery, Internet, komunikasi dan E-Control dan kontrol keamanan Output). Rekomendasi utama
penelitian ini adalah untuk bank domestik Yordania untuk meningkatkan CAIS kekuatan sistem kontrol untuk
semua dimensi, untuk menghindari ancaman yang mungkin yang bisa mengancam CAIS mereka.
I. PENDAHULUAN
Sistem Informasi Komputerisasi Akuntansi (CAIS) menghadapi ancaman keamanan serius yang
mungkin timbul dari kelemahan Sistem Pengendalian mereka (CS) atau dari sifat lingkungan yang kompetitif
(Information Age) sebagai kebutuhan akan informasi lebih besar. Pada saat yang sama, kelangsungan
hidup organisasi tergantung pada manajemen yang benar, keamanan dan kerahasiaan informasi mereka,
Eduardo dan Marino (2004). Dimana aset informasi merupakan proporsi yang signifikan dari nilai pasar
suatu entitas (ITGI, 2001)
Akibatnya ancaman keamanan terkait dengan CAIS memerlukan perhatian besar dari auditor
dan akuntan untuk diakui dan diminimalkan dengan mengevaluasi organisasi CS. (Greenstein dan
Vasarhelyi, 2000).
Banyak upaya sini muncul sebagai peningkatan minat, terutama oleh auditor untuk berkembang
model audit terhadap metode yang lebih tindakan-driven kontrol, revisi dan jaminan, Timothy et al, (1998).
Beberapa komite profesional telah dilakukan
*
Talal H. Hayale. Associate Professor. Arab Academy Untuk Perbankan Dan Keuangan Sciences. Amman Yordania
Husam Abu Khadra. Asisten profesor. Arab Academy Untuk Perbankan Dan Keuangan Sciences. Amman Yordania
40 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68
usaha ini, bahkan jika itu terlambat, seperti AICPA yang diterbitkan SAS No.94 pada tahun 2001. Namun,
inisiatif ini berada dalam bentuk petunjuk umum, dan tidak ada yang spesifik dilihat dipertimbangkan sebagai
pedoman rinci untuk auditor dalam pekerjaan mereka, Boynton (2001) & Kinusn Tam (2002).
Pada tahun 2002 The Sarbanes-Oxley tindakan panggilan untuk real time pengungkapan
informasi tentang perubahan materi dalam kondisi keuangan atau operasi dari perusahaan publik.
Sebagai akibatnya, organisasi lebih peduli dengan ketepatan waktu dan kualitas informasi kinerja
keuangan. Uday (2004). Demikian, itu
Tanggung jawab telah meningkat secara dramatis pada profesi akuntansi, dengan cepat mengenali dan
menilai risiko yang berkaitan dengan Sistem Pengendalian (CS) di lingkungan TI dan menentukan rinci kontrol
keamanan checklist yang akan diperoleh; karena teknologi dalam banyak kasus dikembangkan lebih cepat
dari kemajuan di CS, Ryan & Bordoloi (1997).
Tujuan dari makalah ini adalah untuk mengevaluasi Komputerisasi Akuntansi Sistem Informasi (CAIS)
Sistem Pengendalian (CS) di sektor perbankan Yordania dan untuk mengukur efektivitas mereka. Penelitian ini
juga bertujuan untuk mengidentifikasi apakah ada perbedaan yang signifikan antara responden dalam sampel
penelitian (Auditor Internal dan Kepala Komputer Departemen (HOCD)) sehubungan dengan tingkat efektivitas
CS. Sementara isu menciptakan pengukuran efektivitas keseluruhan untuk mengevaluasi CAIS Control
System telah mendapat perhatian penelitian yang cukup di Amerika Utara dan Eropa, studi berdasarkan
pengalaman internasional, khususnya di negara-negara berkembang, relatif jarang. Kami tidak menyadari ada
studi dalam mengevaluasi Sistem Pengendalian CAIS di Yordania yang membahas masalah penciptaan
pengukuran efektivitas keseluruhan untuk mengevaluasi CAIS Control System dari sudut pandang dari kedua
auditor internal perusahaan dan spesialis IT. Oleh karena itu hasil penelitian ini dapat memberikan wawasan
berharga dan mengarah pada pemahaman yang lebih baik dari persepsi masing-masing dua kelompok besar
ini untuk menciptakan sebuah pengukuran efektivitas keseluruhan untuk mengevaluasi praktek-praktek CAIS
Control System di negara berkembang.
Penelitian ini untuk yang terbaik dari pengetahuan peneliti adalah yang pertama yang mencoba untuk membuat
pengukuran efektivitas keseluruhan untuk mengevaluasi CAIS Control System melalui menetapkan semua komponen
yang diperlukan yang harus ada dalam sistem kontrol yang efektif di sektor perbankan Yordania.
Setelah konsultasi dengan para ahli di bidang ini, kuesioner dikembangkan untuk tujuan penelitian
ini untuk mengevaluasi prosedur pengendalian CAIS umum yang akan diterapkan untuk semua CS, yang
mempengaruhi semua aplikasi komputer dalam organisasi. Kuesioner ini mencakup bagian yang berbeda
dari CS di CAIS.
Penelitian ini mencoba untuk menjawab pertanyaan-pertanyaan berikut: (1) Apa praktik aktual di
bank-bank domestik Yordania mengenai informasi CS? Selain itu, adalah CS ini cukup untuk melindungi
bank-bank dalam negeri terhadap ancaman keamanan yang dirasakan? (2) Apakah ada perbedaan yang signifikan
antara responden dalam sampel penelitian
AICPA, Auditing Standards Board. SAS No. 94: Pengaruh Teknologi Informasi pada Pertimbangan Auditor Internal
Control dalam Audit Laporan Keuangan. April 2001. SAS ini bintik cahaya pada efek teknologi informasi pada
pertimbangan auditor dalam audit laporan keuangan; Selain itu, ia mencoba untuk memberikan bimbingan kepada
auditor tentang pengaruh TI pada pengendalian internal yang diprogram atau dibangun ke dalam perangkat lunak,
dan menegaskan bahwa kontrol ini harus diuji dan termasuk dalam strategi audit.
Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68 41
(Auditor Internal dan HOCD) mengenai tingkat efektivitas CAIS yang diimplementasikan di
bank-bank domestik Yordania?
Konsep pengendalian internal atau keamanan setua akuntansi itu sendiri, Henry, (1997); Namun
perhatian telah dibayarkan kepada itu sejak awal abad kedua puluh. Pada usia dini, tujuan akuntansi adalah
untuk mencatat transaksi moneter dan kemudian melaporkannya dalam bentuk yang berguna dan akurat, Lee,
(1971). Namun, bahwa pelaporan sederhana dan hanya disiapkan untuk penggunaan internal karena sebagian
besar perusahaan yang individu atau keluarga perusahaan.
Kemudian, bentuk-bentuk utama dari pelaporan keuangan yang dikembangkan secara dramatis
menjadi dalam bentuk laporan keuangan saat ini, yang menjadi utama atau bahkan satu-satunya sumber
informasi bagi pemilik dan pihak terkait lainnya seperti pemberi pinjaman. Akibatnya, kebutuhan untuk
memastikan keakuratan laporan mengarah profesi untuk memulai mencari sistem kontrol yang menjamin tidak
hanya pelaporan yang akurat tetapi juga mencapai tujuan perusahaan.
Reaksi profesi untuk perubahan ini dimulai pada awal abad kedua puluh, di mana definisi formal
pertama untuk Kontrol Keamanan atau Sistem Pengendalian berada di 1947 publikasi oleh AICPA berjudul
Pengendalian Internal yang disebutkan tiga faktor yang berkontribusi terhadap pengakuan memperluas
signifikansi pengendalian internal, Boynton et al., (2001).
Studi sebelumnya juga didefinisikan konsep pengendalian internal. Salah satu yang paling awal adalah
(Grady, 1957) yang mendefinisikan pengendalian internal sebagai kontrol bahwa
merupakan rencana organisasi dan prosedur yang digunakan dalam bisnis untuk (1) menjaga aset dari rugi oleh
kecurangan atau kesalahan yang tidak disengaja (2) memeriksa ketepatan dan keandalan data akuntansi yang
digunakan dalam membuat keputusan (3) mempromosikan efektivitas operasional dan mendorong kepatuhan
terhadap kebijakan yang diterapkan di daerah-daerah di mana akuntansi dan departemen keuangan memiliki
tanggung jawab, langsung atau tidak langsung".
Teori pengendalian internal telah mengalami reappraisals utama dan perubahan selama dekade
terakhir. Perubahan ini dimulai pada tahun 1988, ketika AICPA mengeluarkan SAS No. 55, yang
menggambarkan pengendalian internal dalam tiga komponen yang utama: lingkungan pengendalian, sistem
akuntansi dan prosedur pengendalian. Empat tahun kemudian, Committee of Sponsoring Organizations (COSO)
dikeluarkan Kerangka Integrated Internal Control,
di mana pengendalian internal ditandai oleh lima
komponen: lingkungan pengendalian, aktivitas pengendalian, penilaian risiko, informasi & komunikasi dan
monitoring. Dalam waktu yang berarti, konsep pengendalian internal berevolusi dari "struktur" menjadi
"proses," sehingga keduanya lebih luas dan lebih dinamis. Kemudian,
pada tahun 1995,American Institute of Certified Public
COSO awalnya dibentuk pada tahun 1985 untuk mensponsori Komisi Nasional Pelaporan Keuangan Penipuan,
sebuah inisiatif independen sektor swasta yang mempelajari faktor-faktor penyebab yang dapat menyebabkan
kecurangan pelaporan keuangan dan rekomendasi yang dikembangkan untuk perusahaan publik dan auditor
independen mereka, untuk SEC dan regulator lainnya , dan untuk lembaga pendidikan. Komisi Nasional disponsori
bersama oleh lima asosiasi profesional utama di Amerika Serikat, American Accounting Association, American
Institute Akuntan Publik, Keuangan Eksekutif Internasional, The Institute of Internal Auditors, dan Asosiasi Nasional
Akuntan (sekarang Institut Akuntan manajemen). Komisi itu sepenuhnya independen dari masing-masing organisasi
yang mensponsori, dan berisi perwakilan dari industri, akuntan publik, perusahaan investasi, dan Bursa Efek New
York.
42 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68
Akuntan (AICPA) mengadopsi definisi COSO dan lima komponen pengendalian intern dan mengeluarkan
SAS No 78 untuk melengkapi SAS No. 55, Curtis dan Borthick, (1999).
Selain itu, COSO melaporkan dan AU 319,07 **, mempertimbangkan lima komponen yang saling
terkait pengendalian internal yang berasal dari cara manajemen yang menjalankan bisnis dan terintegrasi
dengan proses manajemen, Vallabhaneni, (2001). Kelima komponen:
A. Pengendalian Lingkungan:
B. Penilaian Risiko:
C. Pengendalian Aktivitas:
D. Informasi dan Komunikasi:
F. Monitoring:
Beberapa penelitian difokuskan pada sistem kontrol CAIS dan bagaimana hal itu berbeda dari yang manual.
Kinsun, (2002) menganggap bahwa adopsi yang cepat dari teknologi informasi dengan bisnis tidak berubah
kebutuhan dasar bagi pengendalian internal tetapi telah memperpanjang peran pengendalian internal berbasis IT.
Dengan kata lain, Kinsun percaya bahwa perkembangan dalam pengendalian internal harus dalam prosedur
pengendalian tanpa mengubah kerangka pengendalian internal.
Pada tahun 2000, ISACF dikembangkan COBIT yang , yang merupakan kerangka umum yang berlaku
IS praktik keamanan dan pengendalian kontrol teknologi informasi. Kerangka ini memungkinkan manajemen
untuk benchmark praktik keamanan dan pengendalian lingkungan TI. Selain itu, memastikan bahwa keamanan
dan kontrol yang memadai ada, Lainhart & John, (2000).
Namun, tujuan pengendalian di bawah COBIT didefinisikan dengan cara yang berorientasi pada proses
mengikuti prinsip rekayasa ulang bisnis. Jenis kontrol dilaksanakan pada domain dan tingkat proses. "Kontrol IT"
Konsep disesuaikan dengan Laporan ISACF dan didefinisikan sebagai "Sebuah pernyataan dari hasil yang
diinginkan atau tujuan yang ingin dicapai dengan menerapkan prosedur pengendalian dalam kegiatan IT
tertentu." Kontrol ini dilakukan pada tingkat aktivitas TI, Curtis dan Borthick, (1999).
Domain COBIT TI terdiri dari empat bagian: Perencanaan & organisasi, akuisisi & implementasi,
pengiriman, dukungan dan pemantauan. Tiga puluh empat proses TI diidentifikasi dalam masing-masing
empat domain.
Akibatnya, kegiatan dalam proses juga diidentifikasi kegiatan berurusan dengan hari-hari
rutinitas IT. Tujuan kontrol pusat adalah untuk menghubungkan domain IT, proses dan kegiatan
untuk proses operasional entitas dan kegiatan. Tujuan TI pada dasarnya adalah untuk
memfasilitasi pencapaian tujuan bisnis. tujuan bisnis disebut sebagai "Persyaratan Bisnis
Informasi" yang meliputi sebagai berikut:
* * Pernyataan Standar Auditing: AU Bagian 319: Pertimbangan Pengendalian Internal dalam Audit Laporan
Keuangan.
Audit Sistem Informasi dan Pengawasan Foundation.
tujuan pengendalian untuk informasi dan teknologi terkait.
Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68 43
Memeriksa literatur yang bersangkutan dengan evaluasi efektifitas sistem pengendalian CAIS
menyimpulkan langka dari studi yang tersedia di daerah ini khususnya penelitian. Salah satu alasan
untuk ini adalah bahwa daerah penelitian relatif baru. Juga, sebagian besar studi di bidang ini dilakukan
pada tingkat mikro dan terhubung dengan studi konsolidasi dari bidang manajemen bisnis, ilmu
komputer, dan kadang-kadang teknik dan mereka biasanya dalam bentuk laporan atau studi deskriptif,
dan yang jarang empiris .
Dimulai dengan buku teks, Romeny dan Steinbart (1999) tercatat dua belas poin kontrol umum
yang harus ada di CS untuk mencapai tujuan secara efektif; dua belas kontrol ini adalah:
Mereka memberikan justifikasi empiris untuk setiap kontrol dan ditetapkan ancaman yang mengontrol
prosedur bisa mencegah, yang memberikan kredibilitas dan peluang yang lebih besar untuk menemukan kontrol
ini dalam praktek. Selanjutnya, Boockholdt, (1999), mentiond empat kategori kontrol umum sebagai berikut:
- Pusat data kontrol operasi. Ini termasuk data Prosedur Backup, Kontingensi
Rencana (DRP) dan Pemisahan Tugas.
- Sistem akuisisi perangkat lunak dan pemeliharaan kontrol.
- kontrol akses keamanan.
- pengembangan sistem aplikasi dan pemeliharaan kontrol. Kontrol ini adalah; formil dan otorisasi dari
setiap sistem baru, dokumentasi yang memadai untuk prosedur manual dan diprogram, Rencana untuk
pengujian setiap sistem baru secara memadai dan otorisasi dan dokumentasi untuk perubahan ke sistem
yang ada
Boockholdt (1999) diklasifikasikan perangkat lunak sistem akuisisi dan pemeliharaan kontrol menjadi dua
bagian utama:
C) Administrasi Database. Memilih dan memperbarui perangkat lunak, membatasi akses ke data, menjaga
efisiensi.
44 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68
Umumnya, baik Romeny dan Steinbart, (1999) dan Boockholdt, (1999) memiliki poin yang sama tetapi
dengan klasifikasi yang berbeda untuk kelompok utama, dan penamaan kadang-kadang berbeda untuk prosedur
rinci yang sama (misalnya Rencana Kontinjensi bukan Disaster Recovery Plan - DRP). Penelitian ini terutama
tergantung pada kategorisasi Romeny ini, dan merumuskan daftar prosedur rinci untuk setiap kategori.
Pada bagian berikut kita melihat dulu studi yang tersedia peer review, dimulai dengan orang-orang yang mencakup
wilayah parsial evaluasi CS dan berakhir dengan orang-orang yang mencakup daerah ini dalam pandangan yang lebih
komprehensif.
Jacob & Weiner, (1997) melakukan studi teoritis di mana mereka terdaftar sebelas poin untuk
membangun efektif Disaster Recovery Plan (DRP). Titik-titik ini menurut Jacob et. Al. studi memastikan
membangun DRP yang komprehensif, menanggapi skenario terburuk dan memungkinkan organisasi untuk
memulihkan operasi mereka dengan cepat. Titik-titik ini:
Warigon, (1998) melakukan studi teoritis di mana ia menjelaskan sekelompok tindakan perlindungan
yang harus ada untuk menjaga gudang data. Langkah-langkah ini dapat digambarkan sebagai berikut:
- Dinding Manusia: Sejumlah tepat dari staf keamanan komputer harus ada.
- Akses pengguna Klasifikasi: Data gudang (DW) pengguna harus diklasifikasikan sebagai General Access Pengguna,
Pengguna Akses Terbatas, atau pengguna akses terbatas.
- Kontrol akses: Akhir-pengguna hanya dapat mengakses data atau program yang mereka memiliki hak istimewa yang
sah.
- Integritas Kontrol: Kontrol ini mencakup rencana pemulihan bencana dirancang dengan baik dan diuji.
Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68 45
- Data Encryption: enkripsi ini adalah untuk data sensitif di DW untuk memastikan bahwa data
yang diakses secara resmi saja.
- Partisi: Mekanisme harus dikembangkan untuk partisi data sensitif ke dalam tabel terpisah, sehingga pengguna
hanya berwenang dapat mengakses tabel ini sesuai dengan kebutuhan mereka.
Buttross dan Ackers, (1990) melakukan studi teoritis di mana mereka membahas praktek keamanan
komputer mikro. Selain itu, Buttross dan studi Ackers disediakan kontrol keamanan checklist yang dapat
digunakan untuk membantu auditor internal dalam mengevaluasi keamanan komputer. Hal ini membantu dalam
mengidentifikasi kelemahan keamanan dan mengoreksi itu. Daftar periksa ini dirancang untuk perusahaan
ukuran kecil dan menengah. daftar ini termasuk empat kategori kontrol keamanan. Setiap kategori termasuk
beberapa elemen kontrol keamanan. kategori ini adalah:
- kontrol organisasi.
- kontrol hardware.
- kontrol perangkat lunak.
- Data dan integritas data kontrol.
Dougan, (1994) menyarankan checklist pengendalian internal untuk sistem komputer. checklist ini bisa
digunakan untuk memeriksa kontrol keamanan di tempat; dan untuk memastikan prosedur keamanan yang diterapkan
cukup dan efektif untuk mencegah kerugian data komputer. Dougan dikelompokkan checklist ke dalam empat kategori
utama:
Henry, (1997) melakukan survei pada 261 perusahaan di Amerika Serikat, untuk menentukan sifat
sistem akuntansi mereka dan keamanan digunakan. Tujuh metode keamanan dasar disajikan di ruang kerjanya.
Metode ini adalah enkripsi, akses password, backup data, perlindungan virus, dan otorisasi untuk perubahan
sistem, sistem keamanan fisik dan pemeriksaan berkala. Hasil studi Henry menunjukkan bahwa 80,3% dari
perusahaan cadangan sistem akuntansi mereka, 74,4% dari perusahaan mengamankan sistem akuntansi
mereka dengan password, dimana hanya 42,7% menggunakan antivirus dalam sistem mereka. Hasil penelitian
juga mengungkapkan bahwa kurang dari 6% dari perusahaan menggunakan enkripsi data, terakhir, 45%
perusahaan mengalami semacam audit periodik untuk sistem informasi akuntansi mereka.
Studi lain, yang dilakukan oleh Qurashi & Siegel , (1997), meyakinkan
tanggung jawab akuntan untuk memeriksa keamanan dari sistem komputer. Para peneliti melakukan studi
teoritis untuk mengembangkan checklist keamanan. Daftar ini mencakup berikut empat kelompok kontrol
keamanan, yang kebijakan Client, keamanan perangkat lunak, keamanan Hardware dan keamanan data.
Cerullo dan Michael, (1999) melakukan survei dengan menggunakan kuesioner dari dua puluh potensi
keamanan dan mekanisme kontrol, yang beredar di kalangan direksi audit dua ratus perusahaan
keberuntungan di Amerika Serikat. Mekanisme ini ditempatkan oleh studi Cerullo dalam empat kategori, yaitu
Client berbasis, Jaringan berbasis, berbasis Application Server berbasis dan.
46 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68
Data dikumpulkan oleh diadministrasikan diri kuesioner dengan cara survei email. Populasi
sasaran terdiri IS manajer dan auditor internal CIS dari organisasi yang anggota Tradegate ECA,
dan CIS auditor eksternal dari Big enam perusahaan akuntansi. Survei ini menghasilkan 54
tanggapan dari 159 kuesioner dikirimkan, dari yang 48 itu bisa digunakan.
Hasil penelitian menunjukkan bahwa ada kurangnya konsensus antara IS manajer dan auditor CIS
dalam teknik enkripsi dan kontrol keamanan operasional, dan ini membutuhkan penyelidikan lebih lanjut,
misalnya di daerah di mana IS manajer menganggap kontrol menjadi kurang penting dibandingkan CIS auditor,
ada mungkin kelemahan dalam kontrol karena manajer IS tidak menganggap itu berharga atau biaya-efektif
cukup untuk melaksanakan apa auditor CIS anggap sebagai kontrol yang memadai. sebaliknya juga mungkin
benar, yaitu, mereka kontrol yang tidak perlu telah dilaksanakan. Jika demikian, penghentian pengoperasian
kontrol yang tidak perlu dapat menghasilkan penghematan biaya.
Moscove dan Stephan (2001) menganggap bahwa organisasi e-bisnis harus menjaga sekelompok prosedur
pengendalian untuk melindungi sistem mereka membentuk ancaman yang mungkin, prosedur tersebut meliputi:
The CAIS daftar keamanan termasuk delapan puluh prosedur keamanan yang dikategorikan di bawah
berikut sepuluh kelompok.
Abu Musa, (2004) hasil penelitian mengungkapkan bahwa kepala departemen komputer
dibayar relatif lebih memperhatikan masalah-masalah teknis kontrol keamanan CAIS, di mana
kepala departemen audit internal menekankan kontrol keamanan perilaku dan organisasi daripada
masalah teknis dari keamanan CAIS kontrol.
Sung et. Al. (2004) mengusulkan sistem pendukung keputusan membantu auditor dalam penilaian risiko yang
saat ini didasarkan pada pertimbangan profesional mereka daripada aturan obyektif dan kriteria.
Sistem ini didasarkan pada Cased Berbasis Penalaran Model (CBR) yang merupakan paradigma
pemecahan masalah digunakan khusus ketika aturan domain tidak lengkap, tidak jelas dan tidak konsisten. CBR
mampu memanfaatkan pengetahuan spesifik kasus-kasus konkret sebelumnya mengalami. Sistem Sung juga
didasarkan pada laporan COSO, SAS Nos.
55, 78 dan 94, TeamAsset checklist yang didirikan oleh Pricewaterhouse dan pendapat ahli yang terlibat
dalam praktik audit selama lebih dari 10 tahun untuk menentukan faktor-faktor yang mempengaruhi baik dari
Control Environment dan lingkungan TI dan faktor pemantauan
Faktor-faktor tersebut di atas dipecah untuk enam kategori faktor, kategori ini adalah:
kategori ini dipecah menjadi dua puluh tiga faktor dan kemudian ke enam fifty indeks dibenarkan dengan
menggunakan berat badan materialitas.
Menerapkan indeks ini pada kasus-kasus yang sebenarnya, para peneliti mengekstrak hasil validasi (rasio Hit) untuk
digunakan dalam memperkirakan tingkat risiko yang terkait dengan setiap kasus audit internal. Untuk memvalidasi kinerja
Lembaga Pemeringkat Kredit-CBR, kasus 137 perusahaan Korea dikumpulkan dan diindeks dari kasus yang sebenarnya untuk
industri manufaktur untuk tahun ini
1999. Pendekatan penelitian ini dan digunakan indeks (pertanyaan) tergantung pada pengetahuan
responden sehubungan dengan angka mempertanyakan bukan meminta mereka tentang keberadaan
prosedur kontrol tertentu. Pendekatan tersebut akan tidak efisien digunakan jika responden tidak
berpendidikan tentang dimensi dipertanyakan.
Baru-baru ini Boritz (2005) melakukan tinjauan ekstensif dari literatur untuk mengidentifikasi atribut
kunci dari integritas informasi dan isu-isu terkait kemudian ia membawa dua kelompok fokus praktisi
berpengalaman untuk membahas temuan didokumentasikan diekstrak dari tinjauan literatur melalui
kuesioner memeriksa konsep inti dari informasi integritas dan elemen. Boritz (2005) considerd keamanan
informasi (Dalam berbeda dari kerahasiaan) sebagai salah satu inti atribut untuk integritas informasi,
keamanan ini harus mencakup bidang-bidang berikut: kontrol akses fisik dan kontrol akses Logical.
Hasil menunjukkan bahwa keamanan memiliki lebih rendah kerusakan skor keparahan dari beberapa aspek
praktis lainnya seperti ketersediaan dan pemastian. Boritz merujuk temuan tersebut untuk penggunaan yang efektif
dari kontrol keamanan di organisasi diwakili.
Coe (2005) dalam studinya berfokus pada pemenuhan Sarbanes-Oxley tindakan 2002 yang mengharuskan
perusahaan publik untuk melaporkan tentang efektivitas sistem pengendalian internal mereka.
48 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68
Coe menjelaskan dalam penelitian ini bahwa perusahaan-perusahaan Amerika menggunakan COBIT
untuk Sarbanes-Oxley tindakan 2002 kepatuhan, dan ini adalah karena tujuannya telah dipetakan ke COSO
dalam publikasi berjudul IT Kontrol Tujuan untuk Sarbanes-Oxley. COBIT juga telah dipetakan ke perencanaan
sumber daya perusahaan populer (ERP) sistem seperti SAP, Oracle dan PeopleSoft. Pemetaan ini dan
bimbingan terkait memberikan COBIT framework referensi dan metodologi untuk audit dan pengujian sistem
ERP utama.
Tapi diputuskan nanti untuk menggunakan layanan SysTrust untuk memastikan sistem perusahaan melaksanakan
proses bisnis andal. Di sinilah Coe membangun lima langkah proses menunjukkan bagaimana CPA dapat menggunakan
kerangka layanan kepercayaan untuk mengevaluasi perusahaan mengontrol TI ketika entitas terutama menggunakan
pendekatan COSO. Langkah-langkah ini:
1. Menggunakan kerangka kerja COSO untuk mengidentifikasi risiko dalam setiap siklus bisnis dan kontrol
yang menanggulanginya.
2. Mengumpulkan informasi IT awal.
3. Identifikasi semua sistem informasi yang berhubungan dengan pelaporan keuangan.
4. Gunakan percaya kerangka kerja layanan untuk membuat satu keseluruhan matriks IT.
5. Menilai kontrol diidentifikasi dalam matriks yang dibuat di atas.
Akhirnya, Martin (2005) menyebutkan langkah yang sama dalam studinya di mana ia mencoba untuk menjelaskan
bagaimana sistem informasi auditor dapat menggunakan AICPA / CICA layanan kepercayaan kerangka kerja untuk
mengevaluasi pengendalian internal terutama kontrol atas teknologi informasi.
Penelitian Hipotesis
Penelitian saat ini meneliti hipotesis penelitian sebagai berikut dalam bentuk nol: H1 0:
bank domestik Yordania tidak memiliki efektif Sistem Pengendalian pada Sistem Informasi
Komputerisasi Akuntansi mereka. Hipotesis ini dapat dibagi ke hipotesis nol berikut:
1.1 bank domestik Yordania tidak memiliki Penipuan efektif dan Kesalahan Pengurangan
Kontrol.
1.2 bank domestik Yordania tidak memiliki Kontrol akses fisik yang efektif.
1.3 bank domestik Yordania tidak memiliki Kontrol Akses Logical efektif.
1.4 bank domestik Yordania tidak memiliki efektif Kontrol Keamanan Data.
1,5 bank domestik Yordania tidak memiliki Standar Dokumentasi efektif.
1,6 bank domestik Yordania tidak memiliki rencana Disaster Recovery efektif.
1,7 bank domestik Yordania tidak memiliki Internet yang efektif, Komunikasi dan
kontrol e-Banking.
1.8 bank domestik Yordania tidak memiliki Kontrol Keluaran Keamanan efektif.
H2 0: Tidak ada perbedaan yang signifikan antara responden dalam sampel penelitian
(Internal auditor / HOCD) sehubungan dengan CAIS Kontrol tingkat efektivitas sistem di bank
domestik.
Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68 49
Populasi penelitian terdiri dari semua bank domestik Yordania (lokal dan asing). Jumlah bank
domestik di Yordania adalah dua puluh tiga bank; tiga di antaranya dikeluarkan dari penelitian ini karena
pendirian terbaru mereka (mereka didirikan hanya pada tahun 2005). Penelitian ini hanya mencakup
kantor pusat bank di mana responden yang ditargetkan diharapkan ada. responden yang ditargetkan
mewakili pihak yang memiliki kemampuan dan pengetahuan untuk mengatasinya; Oleh karena itu,
kuesioner dibagikan kepada auditor internal dan kepala departemen komputer HOCD. Empat puluh
kuesioner yang dibagikan; tiga puluh diterima dalam format yang dapat digunakan.
Salah satu cara untuk menilai potensi non-respon bias adalah untuk membandingkan data dari
responden terlambat untuk data dari responden tepat waktu seperti di Oppenheim (1992) dan Wallace dan
Mellor (1988). Dalam penelitian kami, lima tanggapan diterima berikut pengingat. Mereka tanggapan akhir tidak
berbeda secara signifikan dari tanggapan lain di salah satu analisis dilaporkan di bagian hasil.
Yang disebutkan di atas prosedur dan fungsi dikategorikan di bawah delapan kategori berikut
sesuai dengan fungsi atau tujuan mereka:
1. Penipuan dan kontrol pengurangan kesalahan.
2. Akses fisik.
3. akses logis.
4. kontrol keamanan data.
5. standar dokumentasi.
6. Disaster Recovery Plan.
7. Internet, komunikasi dan e-banking kontrol.
8. kontrol keamanan output.
Untuk menyelidiki instrumen penelitian validitas, profesional dan akademisi dikonsultasikan. Mereka
diminta untuk memeriksa apakah kontrol keamanan menyarankan dan prosedur yang ada dalam kuesioner
penelitian merupakan elemen penting dalam sistem kontrol yang efektif. Mereka juga diminta untuk
mengkonfirmasi bahwa setiap titik (prosedur control) dikategorikan dalam kelompok yang benar dan representatif.
Akhirnya, para ahli diminta untuk menyarankan berat untuk setiap prosedur kontrol dalam kelompok yang mana
skor total untuk masing-masing kelompok tidak melebihi 100%.
Setelah rekomendasi semua ahli dan saran, mean dan standar deviasi *** dihitung untuk
bobot disarankan dan dipertimbangkan untuk keluar dengan daftar akhir prosedur pengendalian
dan berat materialitas untuk masing-masing dari mereka untuk menggunakannya dalam
penelitian saat ini.
Cronbach Alpha digunakan untuk memeriksa stabilitas kuesioner untuk semua komponennya.
Selanjutnya, analisis keandalan memungkinkan para peneliti untuk mempelajari sifat-sifat dari skala
pengukuran dan item yang membuat mereka.
bobot ini akan disebut sebagai "Norma" kemudian dalam penelitian ini.
***
Standar deviasi dihitung untuk setiap titik dan untuk semua poin.
50 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68
Menggunakan skala nominal untuk mengukur efektivitas prosedur pengendalian membuat kita
pilih chi square sebagai prosedur nonparametrik untuk menguji hipotesis kedua yang meneliti apakah ada
perbedaan yang signifikan antara pengendali EDP dan auditor internal terhadap CAIS sistem kontrol
tingkat efektivitas. X 2 - tes adalah sama dengan kuadrat perbedaan antara frekuensi diamati dan
diharapkan, membaginya dengan frekuensi yang diharapkan dalam setiap sel tabel, menyimpulkan atas
semua sel dari tabel. Uji X2 sekitar mengikuti distribusi chi-kuadrat dengan 1 derajat kebebasan.
Zikmond, (Pp 520, 2003).
Untuk memiliki hasil yang akurat untuk chi-square (2 X 2) tabel, diasumsikan bahwa setiap
frekuensi yang diharapkan harus memiliki lima kasus setidaknya. Dalam situasi bahwa asumsi ini
tidak dipenuhi, uji Fisher Exact Probability digunakan untuk menghindari keterbatasan ini. Pertama
hipotesis (termasuk hipotesis minor yang berhubungan dengan proporsi populasi persentase p
efektivitas Kontrol Keamanan) diuji dengan menghitung proporsi sampel ps (ps = X / n), maka nilai
statistik ini dibandingkan dengan nilai hipotesis dari parameter p (standar Efektivitas). Selain itu, nilai
p digunakan untuk menguji normalitas distribusi sampling menggunakan aturan berikut: "Jika jumlah
keberhasilan (X) dan jumlah kegagalan masing-masing setidaknya lima, distribusi sampling dari
proporsi sekitar mengikuti standar distribusi normal
Z= Ps-P
------------
P (1-P)
---------
n
Dimana
proporsi Ps = Diamati keberhasilan (Jumlah keberhasilan dibagi pada ukuran sampel P = proporsi
hipotesis dari keberhasilan dalam populasi.
Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68 51
IV. HASIL
Seperti muncul dalam tabel (1), 80% dari responden melaporkan bahwa bank-bank mereka memiliki lebih dari
empat spesialis informasi.
Tabel 1
distribusi frekuensi sistem Informasi spe cialist
Informasi nomor frekuensi Persen
spesialis sistem
0 2 6,7%
1-3 4 13,3%
4-7 9 30,0%
8-11 2 6,7%
12-15 8 26,7%
Lebih dari 15 5 16,7%
Total 30 % 100
Mayoritas responden (73,3%) dan seperti yang ditampilkan dalam tabel (2) melaporkan bahwa mereka memiliki
empat atau lebih tahun pengalaman di posisi saat ini yang mereka punya, sementara hanya 20,7% dari responden
memiliki kurang dari empat tahun pengalaman di posisi mereka saat ini.
tabel 2
distribusi frekuensi dari pengalaman responden dalam posisi mereka saat ini
Hampir delapan puluh sembilan persen responden menyatakan bahwa mereka memiliki empat atau lebih tahun
pengalaman di bank yang sama, sementara hanya sebelas persen melaporkan bahwa mereka memiliki kurang dari empat
tahun pengalaman di bank diamati.
tabel 3
distribusi frekuensi dari pengalaman responden di bank diamati
Secara umum dapat disimpulkan bahwa individu yang menjawab kuesioner memiliki minimal
dibutuhkan tingkat pengetahuan, yang mungkin meningkatkan kredibilitas dan keandalan jawaban
mereka.
Bagian berikut berfokus pada temuan statistik yang berkaitan dengan kontrol keamanan. Ini
terdiri dari statistik deskriptif seperti frekuensi dan persentase.
tabel 4
Fra u d dan kesalahan kontrol pengurangan (Freq uencies)
Tidak ada ada
# Prosedur kontrol
Freq. Persen Freq persen
Sana pemisahan
aku s Sebuah
informasi fungsi pengembangan sistem
1 (Analyst, Programmer, Operator, 0 0% 30 100,0%
Pengguna, Pustakawan, Data controller).
Sana pemisahan
aku s Sebuah
2 akuntansi tugas (misalnya 0 0% 30 100,0%
Otorisasi, Recording).
Rotasi tugas digunakan untuk mengurangi
kemungkinan penipuan dan
3 10 33,3% 20 66,7%
meningkatkan kesempatan paparan
kesalahan.
Penelitian ini mengungkapkan bahwa sebagian besar responden (93%) menyatakan bahwa bank
mereka mendirikan kamar terkunci untuk server dan peralatan komputer yang sensitif. Di sisi lain, hanya 7%
dari responden melaporkan bahwa bank mereka
Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68 53
tidak menerapkan prosedur pengendalian tersebut, itu tidak menguntungkan oleh peneliti untuk mendapatkan
persentase ini meskipun yang satu tinggi, hal ini karena mengungkapkan bahwa beberapa bank bahkan tidak
menerapkan beberapa SysTrust dasar (2003) aturan. Para responden juga diminta untuk menunjukkan apakah
bank-bank domestik dikelola alat akses fisik diawasi oleh staf keamanan bank. Sebagian besar dari responden
(93,3%) menyatakan bahwa bank mereka menerapkan prosedur tersebut, sementara sekitar 7% dari responden
percaya bahwa bank mereka tidak berhasil prosedur ini. Selain itu, frekuensi statistik menunjukkan bahwa 70%
responden menegaskan bahwa bank mereka Pembatasan mengakses ruang server dan perangkat keras yang
berhubungan dengan individu yang berwenang oleh sistem kartu kunci dan dipantau oleh video surveillance.
Selain itu, hasil penelitian menunjukkan bahwa 63,3% responden melaporkan bahwa bank-bank mereka
menyimpan catatan bagi pengunjung yang menunjukkan nama pengunjung dan tujuan kunjungannya. Hampir 77%
dari responden percaya bahwa bank mereka mempertahankan pencurian dan bahaya asuransi yang memadai
meliputi hardware komputer, persentase tersebut lebih rendah dari yang diekstrak dari sektor perbankan Mesir,
Abu Musa (2004). Selanjutnya, 70% dari responden melaporkan bahwa bank-bank mereka dipasang alarm
dengan konsentrasi tinggi pada peralatan komputer. Secara umum, hasilnya konsisten dengan Romeny dan
Steinbart (1999), Buttros dan Ackers (1990), Dougan (1994), Henry (1997) Moscove dan Stephan (2001) dan
Bortiz (2005).
tabel 5
Akses fisik kontrol (Frekuensi)
Apakah tidak ada ada
# Prosedur kontrol
Freq. Persen Freq. Persen
kamar terkunci untuk server dan
5 sensitif 2 6,7% 28 93,3%
perangkat komputer.
Kartu akses fisik dikelola oleh staf
keamanan bank. penggunaan kartu akses
6 login. Log dipelihara dan ditinjau oleh staf 2 6,7% 28 93,3%
keamanan Bank.
Untuk menyelidiki keberadaan dan pelaksanaan yang memadai kontrol akses logis di bank domestik,
responden diminta untuk menunjukkan apakah prosedur kontrol ada atau tidak. Temuan statistik menunjukkan
bahwa semua responden menyatakan bahwa bank mereka berhasil menerapkan password dan ID pada
komputer pengguna. Di sisi lain, 66,7% dari responden melaporkan bahwa setiap komputer diberikan dengan
screen saver yang terkunci dengan password. 96,7% responden menyatakan bahwa pihak berwenang untuk
mengakses informasi perusahaan didefinisikan menurut ID pengguna. Menurut 90% responden, komputer dan
perangkat lunak password mengandung setidaknya enam karakter, salah satunya adalah non-alfanumerik.
password ini juga case sensitif dan harus diperbarui setiap sembilan puluh hari. Selain itu, 83,3% dari responden
melaporkan bahwa bank mereka berhasil prosedur yang memadai untuk mencegah akses publik yang tidak sah
melalui dial-up, sementara 63,3% responden menyatakan bahwa perangkat lunak VPN digunakan di bank-bank
jaringan mereka untuk mengizinkan akses remote yang tidak sah. Selanjutnya, 80% dari responden percaya
bahwa bank-bank mereka disediakan pengguna dengan satu-satunya layanan jaringan yang dibutuhkan dan
dinonaktifkan layanan yang tidak perlu. sistem deteksi intrusi digunakan di bank-bank dalam negeri sesuai
dengan 67% dari responden dalam rangka memberikan pemantauan terus menerus dari jaringan entitas dan
untuk mengidentifikasi pelanggaran keamanan potensial. Selain itu, 70% responden menyatakan bahwa bank
mereka menerapkan prosedur verifikasi routing untuk memastikan bahwa pesan tidak diteruskan ke alamat
sistem yang salah. Sembilan puluh persen dari responden percaya bahwa bank mereka diperlukan identifikasi
elektronik untuk setiap terminal jaringan resmi, sementara 66,3% dari responden melaporkan bahwa teknik
pesan pengakuan yang digunakan di bank mereka untuk menginformasikan pengirim bahwa pesan itu telah
disampaikan.
Hasil ini konsisten dengan SysTrust v 2.0 prosedur pengendalian yang diusulkan dalam kontras
dengan prosedur pengendalian yang diekstrak dari Romeny dan Steinbart (1999).
tabel 6
log ical akses kontrol (Frekuensi)
Tidak ada ada
# Prosedur kontrol
Freq. Persen Freq. Persen
Semua responden setuju bahwa bank-bank dalam negeri dilindungi area penyimpanan file dari kondisi
berbahaya (seperti kebakaran, debu ... dll). Selanjutnya, 80% dari responden melaporkan bahwa bank mereka
mempertahankan kamus data didefinisikan dengan baik, sementara 70% dari responden mengatakan bahwa data
didefinisikan ke lapisan, dan setiap lapisan memiliki tingkat keamanan sendiri.
56 Talal H. Hayale et al./ Jurnal Akuntansi - Bisnis & Manajemen 13 (2006) 39-68
Lebih dari 66% dari responden percaya bahwa setiap elemen dari informasi itu diidentifikasi kepada siapa
itu diperlukan, ketika dibutuhkan, dan sistem informasi yang ada. Selain itu, persen sama responden
menyatakan bahwa bank mereka mempertahankan mekanisme write-perlindungan untuk melindungi data
dari lebih menulis atau menghapus file data. Selain itu, semua responden melaporkan bahwa bank mereka
memiliki backup dikelola dengan baik dan copy pekerjaan dipelihara sesuai dengan jadwal yang telah
ditetapkan.
tabel 7
kontrol keamanan data (Frekuensi)
Tidak ada ada
# Prosedur kontrol
Freq. Persen Freq. Percent
Also 73.3% of the respondents believed that their banks took the required steps in order to avoid
unauthorized copying of hardcopy data. 93.3% of the respondents said that their banks implemented
adequate security controls over the manual handling of data between branches and headquarters as well
as among the banks' departments. Approximately 77% of respondents also believed that their banks kept
a hard copy of the critical data. 57% of the respondents claimed that a FORMAT command was removed
from users computers.Furthermore, 73% of the respondents reported that their banks drafted
confidentiality. Finally, 93.3% of the respondents claimed that their banks kept backup diskettes or
cartridges secured in safe cabinets or fire rated safes. The empirical results confirmed the validity of most
of the protective measures that withdrawn from Warigon (1998) theoretical study.
Documentation standards
Almost 90% of the respondents reported that their banks set up well-defined standards and
procedures for data processing, including the justifications and authorization of new systems and
system changes...etc. On the other hand, 60% of the respondents believed that their banks kept
documentation describing each application system, including narrative material, flow charts and
program listings. A lower percent of the respondents (50%) believed that the documentation that was
kept in their banks describing what was needed to run a program, including the equipment
configuration, programs and data files as well as procedures in order to setup and execute the job.
70% of respondents reported that users were provided with instructions for communicating potential
security breaches to the information security team in order to monitor these incidents and to be
evaluated. Again, a lower percent (56.7%) claimed that existing documentation contained procedures
that ensured that the issues of non-compliance with system security policies were promptly addressed
and the corrective measures were taken on a timely basis.
Table 8
Doc umentation standards (Frequencies)
Doe s not exist Exists
# Control Procedure
Freq. Percent Freq. Percent
Well defined standards and procedures for data
processing, including the
justification and authorization of new systems
35 and system changes, standards for 3 10.0% 27 90.0%
system analysis, design and
programming, and procedures for file handling
and storage.
Documentation describes each
application system, including narrative material,
36 12 40.0% 18 60.0%
flow
charts and program listings.
58 Talal H. Hayale et al./ Journal of Accounting Business & Management 13 (2006) 39-68
The empirical results of this section cope with COSO fourth component, information and
communication, where this component should provide a clear understanding of individuals roles
and responsibilities. Also it emphasis the importance of Systrust 2.0 criteria Policies that aim to
document and define the company policies.
The respondents were asked to indicate whether their banks had a plan identifying the
application, hardware and software necessary to keep the organization running in emergency cases,
and the sequence as well as timing of all recovery activates. The statistical results herein revealed that
73.3% of the respondents reported that their banks kept such plan. In addition, 76.7% of the
respondents claimed that the DRP that their banks had provided the ability to recover the lost or
destroyed files when a disaster occurred. Also 63.3% of the respondents reported that the DRP that
existed in their banks defined the responsible individuals or teams for implementing the different DRP
activities. All of the respondents reported that their banks provided servers and sensitive operation
computers with uninterruptible power supply (UPS) units in order to supply power to these computers
during power outages. The lowest percentage of the respondents (60%) claimed that their banks
managed an insurance policy that covered the cost of business interruption resulting from computer
disasters.
Talal H. Hayale et al./ Journal of Accounting Business & Management 13 (2006) 39-68 59
Table 9
Disaster recovery plan components (Frequen cies)
Does not exist Exists
# Control Procedure
Freq. Percent Freq. Percent
A plan identifying the applications, hardware and
software necessary to keep the organization running
40 in emergency cases, and the sequence as well as 8 26.7% 22 73.3%
the timing of all recovery activities
All of the disaster recovery plan procedures have acceptable existence percentage, which withdrawn
from Jacob & Weiner (1997), Romeny & Steinbart (1999) and Moscove & Stephan (2001)
As expected, all of the respondents reported that their banks placed antivirus software, which
includes virus scans of incoming e-mail messages and virus signatures that were updated at least weekly.
Again, 100% of the respondents claimed that their banks installed firewalls (Software & Hardware) to
control and protect communication between the internal network and the external networks (e.g. the
Internet). 63.3% of the respondents believed that their banks assigned a specific ceiling (e.g. 2000 JD)
for the monetary transaction that went through e-banking service. Only 43.3% of the respondents
reported that their banks provided two user ID's for E-Banking service, One ID for general inquires and
the other for transfers and monetary transactions. A higher percentage of the respondents (66.7%)
believed that the users account was activated only after successful login that was encrypted through a
128-bit SSL session. Additionally,
76.7% of the respondents claimed that monetary transfers in their banks were restricted to the accounts
in the same bank. Merely half of the respondents believed that the unused e-banking accounts in their
banks were purged automatically by the bank system. The majority of the respondents (83%) reported
that the login access in
60 Talal H. Hayale et al./ Journal of Accounting Business & Management 13 (2006) 39-68
their banks was terminated after three unsuccessful login attempts. On the other hand, 76.7% of the
respondents believed that their bank used 128-bit secure sockets layer (SSL) encryption for
transmission of private or confidential information over public networks, including user's IDs and
passwords. Furthermore, users were required to update their browser to the latest version tested and
approved by the security administrator
Table 10
Inter n et, communications and e-Banking controls ( Frequencies)
Does not exist Exist s
# Control Procedure
Freq. Percent Freq. Percent
Antivirus software is in place,
including virus scans of
46 incoming e-mail messages. Virus 0 0.0% 30 100.0%
signatures are updated at least
weekly.
Firewalls (Hardware &
Software)
installed to control and protect
47 communications between the internal 0 0.0% 30 100.0%
network and external networks such
as the internet.
All respondents believed that their banks have control over access to sensitive information and
restricted it only to the authorized users in the authorized time. A lower percent of the respondents
(86.7) reported that sensitive computer output in their banks was secured in a lock cabinet. Only 60%
of the respondents believed that the system output was stamped with the date and time. Also, 83.3% of
the respondents reported that their banks performed printing and distributing data and information
under proper supervision and only by authorized persons in the bank. On one hand, 76.7% of the
respondents believed that shredding machines were available and used for sensitive data disposal,
while, 70% of the respondents reported that shredding these sensitive documents was restricted only to
security-cleared personnel. Lastly, 76.7% of the respondents claimed that their banks performed
random output/input auditing on regular basis in order to verify correct processing.
62 Talal H. Hayale et al./ Journal of Accounting Business & Management 13 (2006) 39-68
The following section focuses on the statistical findings concerned with the hypothesis testing. To
test the first Hypothesis and related minor hypotheses, the Z test for proportion was conducted as can be
seen in the following table.
Table 12
Z-test for percent differences
Dimension Norms Percent N Z Value P
The developed norms are used as a cut point for the minimum accepted percentage of applying
CS standards, where the bank is considered applying effective control system if its own CS standards
evaluation percentage exceeds this norm. Then we tested for significant differences between the applied
percentage in the Jordanian domestic banks and these norms using Z test for proportion.
From table (12) p value appears to be less than 0.05 for fraud and error reduction controls. This means
that there are significant differences between the accepted norms (65%) and the applied percentage
(91%). The Z value is also higher than 1.96, which means it falls in a rejection area. All of that lead us
to reject the null hypothesis. This implies that that the Jordanian domestic banks are using effective
fraud and error reduction controls.
While p value is more than (0.05) for (Physical access, Logical access, Data security, Documentation
standard, Disaster Recovery, Internet, communication and EControl, Output security controls), also the
Z values for them were in the acceptance area (1.96 < Z < -1.96) , which means that there are no
significant differences. Consequently, the researcher concludes that the Jordanian domestic banks are
not using effective control procedures for (Physical access, Logical access, Data security,
Documentation standard, Disaster Recovery, Internet, communication and E-Control and Output security
controls).
According to the above-mentioned results, we accept the main null hypothesis that stated,
"Domestic Banks are not using effective Control Systems on their Computerized Accounting
Information System."
To test the second hypothesis, we used Chi-square as appears in appendix (1), Chisquare results show
that there is no difference between EDP controllers and the internal auditors opinions in respect of the
CAIS control system effectiveness level. Accordingly, the null hypothesis is accepted.
CONCLUSION
The research showed that Jordanian domestic banks effective use fraud and error reduction controls
mainly, while they do not do enough with regard to the other dimensions (Physical access, Logical
access, Data security, Documentation standard, Disaster Recovery, Internet, communication and
E-Control and Output security controls).
Norms equal to materiality weights that previously mentioned into methodology section.
64 Talal H. Hayale et al./ Journal of Accounting Business & Management 13 (2006) 39-68
The analysis indicates that there are no differences between head of computer departments and
internal auditors perception for the effectiveness level of CAIS control systems for its dimensions.
REFERENCES
Moscove, Stephen A., E-Business Security and Controls, CPA Journal, Vol. 71,
Issue 11, Nov2001..
Jacob J. and Weiner S. "The CPA Role in Disaster Recovery Planning, CPA Journal ,
Vol. 67, Issue 11, November 1997.
Appendix (1)
Internal
Question IT z p
Auditor
Does not exist - -
1 0.00 1.00
Exists 15 15
Does not exist - -
2 0.00 1.00
Exists 15 15
Does not exist 4 6
3 . 700 . 35
Exists 11 9W
Does not exist 5 5
4 0.00 1.00
Exists 10 10W
Does not exist 1 1
5 0.00 1.00
Exists 14 14W
Does not exist 1 1
6 0.00 1.00
Exists 14 14W
Does not exist 4 5
7 0.15 0.69
Exists 11 10W
Does not exist 6 5
8 0.14 0.70
Exists 9 10W
Does not exist 4 3
9 0.18 0.66
Exists 11 12W
Does not exist 5 4
10 0.15 0.69
Exists 10 11W
Does not exist 15 15
11 0.00 1.00
Exists - -
Does not exist 4 6
12 0.60 0.43
Exists 11 9W
Does not exist 1 -
13 1.03 0.39
Exists 14 15W
Does not exist 1 2
14 0.37 0.54
Exists 14 13W
Does not exist 2 3
15 0.24 0.62
Exists 13 12W
Does not exist 5 6
16 0.14 0.70
Exists 10 9W
Does not exist 2 4
17 0.83 0.36
Exists 13 11W
Does not exist 5 5
18 0.00 1.00
Exists 10 10W
Does not exist 6 6
19 0.00 1.00
Exists 9 9W
Does not exist 4 5
20 Exists 0.15 0.69
11 10W
Internal
Question IT z p
Auditor
Exists 15 15
Does not exist 3 3
24 0.00 1.00
Exists 12 12W
Does not exist 4 5
25 0.15 0.69
Exists 11 10W
Does not exist 4 6
26 0.60 0.43
Exists 11 9W
Does not exist 4 6
27 0.60 0.43
Exists 11 9W
Does not exist - -
28 0.00 1.00
Exists 15 15
Does not exist 4 4
29 0.00 1.00
Exists 11 11W
Does not exist 1 1
30 0.00 1.00
Exists 14 14W
Does not exist 3 4
31 0.188 0.66
Exists 12 11W
Does not exist 6 7
32 0.13 0.71
Exists 9 8W
Does not exist 4 4
33 0.00 1.00
Exists 11 11W
Does not exist 1 1
34 0.00 1.00
Exists 14 14W
Does not exist 2 1
35 0.37 0.54
Exists 13 14W
Does not exist 6 6
36 0.00 1.00
Exists 9 9W
Does not exist 7 8
37 0.13 0.71
Exists 8 7W
Does not exist 3 6
38 1.42 0.23
Exists 12 9W
Does not exist 7 6
39 0.45 0.65
Exists 8 9W
Does not exist 4 4
40 0.00 1.00
Exists 11 11W
Does not exist 4 3
41 0.18 0.66
Exists 11 12W
Does not exist 5 6
42 0.14 0.70
Exists 10 9W
Does not exist 4 5
43 0.15 0.69
Exists 11 10W
Does not exist - -
44 0.00 1.00
Exists 15 15
Does not exist 5 7
45 0.45 0.55
Exists 10 8W
Does not exist - -
46 0.00 1.00
Exists 15 15
Does not exist
47 - - 0.00 1.00
68 Talal H. Hayale et al./ Journal of Accounting Business & Management 13 (2006) 39-68
Internal
Question IT z p
Auditor
Exists 15 15
Does not exist 5 6
48 0.14 0.70
Exists 10 9W
Does not exist 10 7
49 1.22 0.26
Exists 5 8W
Does not exist 5 5
50 0.000 1.00
Exists 10 10W
Does not exist 4 3
51 0.18 0.66
Exists 11 12W