bab 9
Post on 21-Jan-2016
52 Views
Preview:
DESCRIPTION
TRANSCRIPT
Bab 9
Piawaian, Kawalan Kualiti, Pengauditan Teknologi Maklumat
Siti Norul Huda Sheikh AbdullahAmna Abdul RahmanAbdul Razak Hamdan
Audit Teknologi Maklumat
Lebih bertumpu kepada aspek-aspek sistem maklumat organisasi berdasarkan komputer.
Ia termasuk perlaksanaan, operasi, dan kawalan sumber-sumber koomputer
Mengandungi komponen audit dalaman dan luaran.
Definisi audit
Information system auditing is the process of collecting and evaluating evodence to determine whether a computer system safeguards assets, maintains data intergrity, allow organizational goals effectively and uses resources to be achieved efficiently.
Elemen-elemen audit
Satu proses yang sistematik Kerangka logikal
Kemasukan pengurusan dan objektif audit Existence, completeness, rights & obligations,
valuation & allocation, presentation and disclosure.Mendapatkan bukti
Selepas melaksanakan kawalan ujian dll.Memperolehi darjah koresponden
berpandukan kritieria Hasil komunikasi
Risiko auditAdalah risiko kegagalan seorang juru audit untuk
mengenalpasti kehilangan sumber hakiki atau sasaran atau silap penyata akaun.
DAR = IR X CR X DRDimana DAR adalah desired audit risk cth kenalpasti
konflik antara audit dalaman dan luaran Ir adalah inherent risk cth sistem kewangan, sistem
strategik, sistem operasi kritikal, sistem lanjutan teknologiCR adalah control risk cth kawalan pengurusan dan
aplikasiDR adalah detection risk cth bukti rekabentuk utk
kenalpasti ralat
Prosedur audit
Prosedur untuk memahami kawalanKawalan ujianUjian terperinci mengenai transaksiUjian terperinci mengenai
keseimbangan kewangan/ keputusan keseluruhannya
Menilai semula prosedur secara analitikal
Struktur Audit TM
Piawaian professional perlua menghasilkan salah satu pandangan,
Disclaimer of opinion – Juru audit tidak mampu memberi pandangan berdasarkan
pengauditan yang telah dibuatAdverse opinion
Juru audit menyatakan kehilangan sumber/silap penyataan kewangan
Qualified opinion Juru audit menyatakan kehilangan wujud atau kesilapan
penyata kewangan berlaku tetapi jumlahnya bukan sumber.
Unqualified opinion Juru audit percaya bahawa tiada kehilangan sumber atau
kesliapan penyata yang berlaku.
Jenis juru audit
Dalamanluaran
Juru auditTugas Melindungi sumber-sumber korporat dengan
memastikan kawalan dilakukan. Memastikan pemprosesan mengikut tatacara dan
peraturan/piawai. Memantau ke atas,
PeraturanPiawaianDataDoumentasiProsedurKeselamatanKerahsiaan
Perbandingan dahulu & kini
Dahulu –dijalankan secara manualKini – jualan/akaun.gaji.inventori di
proses komputer Oleh itu, juru audit perlu ada
pengetahuan tentang perakaunan dan kemahiran IT supaya dapat,Mereka bentuk sistem kewangan,
pembangunan sistem dan aturcara komputer.
Pendekatan audit
Audit around the computer“Jika input betul, dan output betul,
maka pemprosesan adalah betul”Oleh itu, tidak menyemak
pemprosesan komputer secara terus.Audit menembusi komputer (audit
through komputer) iaitu Dengan menyemak input, proses dan
output
Cara/ alat audit
Ujian Data Reka dan proses contoh transaksi dengan
menggunakan data ujian untuk melihat bagaimana sistem mengendalikan transaksi yang berlainan.
Semak program pengiraan Semak prosedur operasi adalah konsisten
dengan polisi korporat Semak data diluar julat, data tidak tersusun,
data berkelompok, tiada nilai, nilai yang tiada dalam syarikat.
….Cara/ alat audit
Program yang ditulis oleh juru audit Semak situasi-situasi yang perlu dianalis Semak manipulasi-manipulasi yang
tidak dibenarkan oleh juru aturcara/operator.
Mahal.
Perisian Audit Am
Membolehkan juruaudit menjalankan tugas audit biasa dengan cepat dan mudah
Aplikasi…Kelebihan
laju, tepat, mudah diguna & pelajari, ‘thoroughness’
Kelemahan fleksibiliti, ...
Kategori Kawalan SistemDikategorikan mengikut objektif:
1. Kawalan preventif Cth: Arahan yang diletakkan pada dokumen akan engelakkan
kerani silap mengisi borang. 2. Kawalan detektif
Cth:Satu program input yang mengenalpasti data yang tersilap masuk ke dalam sistem.
3. Kawalan korektifCth:Satu program yang menggunakan kod khas untuk
memperbetulkan data yang salah/rosak/bising
Dikategorikan mengikut skop: 1. Kawalan am- pengaruhi kesemua sistem
aplikasi 2. Kawalan aplikasi- pengaruhi hanya aplikasi
tertentu
Fungsian sistem maklumat
Subsistem pengurusan
Pengurusan atasanPengurusan sistem maklumatPengurusan pembangunan sistemPengurusan pengaturcaraanPentadbiran pangkalan dataPengurusan Penentuan kualitiPentadbiran keselamatanPengurusan operasi
Subsistem aplikasi
KomunikasiPemprosesanPangkalan dataOutput
Contoh kawalan transaksi tempahan-pelanggan
Kawalan Am
Empat jenis:1. Kawalan operasi pusat data2. Kawalan pengambilan &
selenggara perisian sistem3. Keselamatan akses4. Kawalan pembangunan &
selenggaraan sistem aplikasi
1) Kawalan operasi pusat data
Prosedur sokongan fail teknik datuk-bapa-anak (sistem
pemprosesan kelompok) … pembuangan fail bertempoh (sistem
masa nyata atas-talian) … prosedur untuk PC …
1) Kawalan operasi pusat data
Pelan kontigensi liputan insurans menyeluruh lokasi pemprosesan alternatif aplikasi penting lokasi storan luar-kawasan pekerja bertanggungjawab
1) Kawalan operasi pusat data
Pembahagian tugas juruanalisis sistem dan juru program operasi mesin penyelenggaraan data
2) Kawalan pengambilan & selenggara perisian sistem
Illustration 14-6
3) Keselamatan akses
Akses ke data terhad mengikut prosedur pengenalan
dan pengesahanAkses ke peranti fizikal
terhad mengikut keselamatan fizikal
4) Kawalan pembangunan & selenggaraan sistem aplikasi
Termasuk: pemeriksaan dan pengesahan rasmi dokumentasi mencukupi ujian-ujian mencukupi
Prosedur-prosedur ini disediakan oleh: penggunaan kaedah pembangunan rasmi rekod perubahan program untuk program
sedia ada
Kawalan Aplikasi
Tiga jenis:1. Kawalan Input2. Kawalan Pemprosesan3. Kawalan Output
1. Kawalan Input
Digit periksaPengesahan data …Jumlah kawalan …Kemasukan data terus
2. Kawalan Pemprosesan
Pemeriksaan berjujukanJumlah kawalan digunakan sebagai
kawalan ‘run to run’ …Pengenalan fail fizikalKawalan terprogram
3. Kawalan Output
Laporan kawalan data...
Keselamatan & Integriti Data
Juruaudit sistem berkomputer perlu melihat keselamatan dan integriti data
Keselamatan data: keselamatan data daripada akses tidak dibenarkan
Integriti data: ketepatan dan kebolehpercayaan data
Keselamatan Komputer
Sumber risiko keselamatan komputer: sumber dalaman sumber luaran sumber kedua-duanya
Keselamatan Komputer
Jenis risiko: kemusnahan data espionage gangguan keperibadian ‘Fraud’ pekerja …Illustration 15-5
Keselamatan Komputer
The Fraud Triangle … Keselamatan KomputerKomponen-komponen ‘fraud’:
(setiapnya menyediakan peluang untuk mengesan fraud)
kecurian pertukaran ‘concealment’
Keselamatan dan Integriti dengan DBMS
Risiko dengan DBMS...Kawalan penting dengan DBMS
Keselamatan dan Integriti dalam Rangkaian Komputer
Risiko dalam sistem telepemprosesan
Risiko dalam sistem teragihKawalan penting dalam rangkaian
komputer
Menilai Keselamatan dan Integriti Data
Tanggungjawab juruaudit juruaudit dalaman juruaudit bebas
Penyemakan sistem temubual ‘walkthroughs’ soal selidik
Teknik Pengauditan Berbantukan Komputer (TPBK) data ujian simulasi selari kemudahan ujian
bersepadu modul audit
‘embedded’
top related