garis panduan pengauditan ict - wk.kats.gov.my panduan/garis... · kaedah penggunaan teknik dan...

DRAF

GARIS PANDUAN PENGAUDITAN

ICT

DRAF

GARIS PANDUAN

PENGAUDITAN ICT

Terbitan Pertama 2007 © Jabatan Audit Negara 2007

www.audit.gov.my

Naskhah asal dalam bahasa Inggeris diterbitkan dengan tajuk ICT Audit Guidelines, published by The National Audit Department of Malaysia in 2002. Hak Cipta Terpelihara. Tidak dibenarkan mengeluarkan ulang mana-mana bahagian artikel, ilustrasi dan isi kandungan buku ini dalam apa jua bentuk dan dengan cara apa jua sama ada secara elektronik, fotokopi, mekanik, rakaman, atau cara lain sebelum mendapat izin bertulis daripada Ketua Audit Negara Malaysia.

DRAF

Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara APRIL 2007

i

MUKA SURAT

PRAKATA iii 1. PENDAHULUAN 1 - 8 1.1 Latar Belakang 1 1.2 Pengenalan 2 1.3 Tujuan Garis Panduan 4 - 5 1.4 Metodologi Audit 6 - 8 2. PANDUAN PENGAUDITAN UMUM ICT 8 - 14

2.1 Objektif Audit 9 2.2 Rancangan Audit 9 - 10 2.3 Pertimbangan Juruaudit 10 - 11 2.4 Penilaian Kawalan Am 11 - 14 2.5 Penilaian Kawalan Aplikasi 14 - 16 2.6 Penilaian Kawalan Rangkaian 16 2.7 Pelaporan 16

3. PANDUAN PENGAUDITAN PEMBANGUNAN ICT 17 - 19

3.1 Pengenalan 17 3.2 Objektif Audit 17 - 18 3.3 Rancangan Audit 18 - 19 3.4 Pelaporan 19

4. PANDUAN PENGAUDITAN PRESTASI ICT 20 - 27

4.1 Pengenalan 20 4.2 Objektif Audit 20 - 21 4.3 Pertimbangan Juruaudit 21 4.4 Rancangan Audit 22 - 26 4.5 Internet 27 4.6 Pelaporan 27

5. PANDUAN PENGGUNAAN CAATTS 27 - 35

5.1 Pengenalan 28 - 29 5.2 Penggunaan CAATTs 29 - 31 5.3 Kategori CAATTs 31 - 33 5.4 Fasa Penggunaan CAATTs 33 - 36

KANDUNGAN

DRAF


ii

LAMPIRAN A Memorandum Rancangan Audit ICT LAMPIRAN B Program Penilaian Kawalan Am LAMPIRAN C Jenis Kawalan Aplikasi LAMPIRAN D Program Penilaian Kawalan Aplikasi LAMPIRAN E Program Penilaian Kawalan Rangkaian LAMPIRAN F Peranan Jabatan Audit Negara Semasa Proses Pembangunan Sistem LAMPIRAN G Program Penilaian Kawalan Pembangunan Sistem LAMPIRAN H Panduan Melaksanakan Pengauditan ke atas Proses Pembangunan Sistem

RUJUKAN PERATURAN ICT GLOSARI

LAMPIRAN

DRAF


iii

Kerajaan telah melancarkan Aplikasi Kerajaan Elektronik dalam usahanya untuk meningkatkan produktiviti Perkhidmatan Awam dan keberkesanan sistem penyampaian perkhidmatan Kerajaan. Beberapa sistem pengkomputeran yang dibangunkan untuk meningkatkan prestasi pengurusan kewangan Kerajaan seperti Sistem Perancangan dan Kawalan Belanjawan Elektronik (eSPKB) di Kerajaan Persekutuan dan pakej Standard Accounting System For Government Agencies (SAGA) di Badan–badan Berkanun Persekutuan di mana semua dokumen kewangan disediakan secara elektronik. Pengenalan aplikasi Government Financial Management and Accounting System (GFMAS) yang diintegrasikan dengan eSPKB dan ePerolehan telah meningkatkan keberkesanan operasi sistem perakaunan Kerajaan. Manakala Sistem Perakaunan Standard Kerajaan (SPEKS) yang diperkenalkan terkini sebagai satu sistem perakaunan yang digunapakai oleh Kerajaan Negeri (kecuali Sabah dan Sarawak) bagi menyediakan penyata kewangan yang berkualiti dan tepat pada masanya. Dalam usaha inovatif bagi mempertingkatkan kualiti kerja pengauditan, Penyata Akaun Awam Versi Audit (Penyata VersAd) untuk SPEKS telah dihasilkan daripada kaedah Penggunaan Teknik dan Peralatan Auditan Bantuan Komputer (CAATTs). Dari aspek pembangunan sistem maklumat Kerajaan, penekanan kepada penghasilan kod sumber (source code) yang ditulis oleh pengaturcara sistem adalah aset Kerajaan yang sangat berharga di mana terma hakmilik Kerajaan perlu dinyatakan secara jelas dalam perjanjian kontrak antara auditi dan vendor.

Perkembangan ini telah mempengaruhi teknik dan metodologi Juruaudit dalam melaksanakan pengauditan dan penilaian sistem auditi. Prasarana ICT yang disediakan sebagai landasan mempraktikkan pengetahuan teknologi maklumat sebagai sumbangan ke arah pengauditan yang berkualiti. Pendekatan audit perlu berubah kepada transaksi secara dalam talian dan masa sebenar. Perubahan ini memberi cabaran kepada Juruaudit kerana ia akan melibatkan perubahan peraturan dan polisi agensi yang diaudit. Persekitaran yang berubah kesan daripada globalisasi, perkembangan dalam bidang ICT dan persekitaran tugas auditi yang bertambah rumit serta aduan orang awam yang kian meningkat terhadap kelemahan aspek akauntabiliti dan urus tadbir auditi menghendaki Juruaudit mengamalkan konsep memperkasa yang berterusan terhadap tugas pengauditan agar sentiasa mencapai tahap yang terbaik dengan mematuhi standard pengauditan yang diterima umum.

Justeru itu, dengan semakan semula Garis Panduan Pengauditan ICT Jabatan Audit Negara ini akan membantu Juruaudit menjalankan pengauditan ICT yang berkualiti dan menjamin keutuhan sesuatu laporan audit. Garis panduan ini adalah mematuhi Manual Audit ICT INTOSAI dan ASOSAI sebagai standard pengauditan ICT yang diiktiraf di seluruh dunia bagi membolehkan garis panduan ini mudah difahami dan mesra pengguna.

(TAN SRI DATO’ SETIA AMBRIN BIN BUANG) KETUA AUDIT NEGARA MALAYSIA April 2007

PRAKATA

DRAF

Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 1 APRIL 2007

1.1 LATAR BELAKANG

Garis Panduan ini disediakan bertujuan untuk pemantapan pengauditan

teknologi maklumat dan komunikasi (ICT) dan memberi panduan yang jelas

yang mudah difahami kepada Juruaudit Jabatan Audit Negara (JAN).

Penerangan kepada 3 jenis pengauditan ICT iaitu Panduan Pengauditan

Umum ICT, Panduan Pengauditan Pembangunan ICT dan Panduan

Pengauditan Prestasi ICT, menyentuh perkara seperti berikut:

[1] Metodologi pelaksanaan pengauditan ICT. Standard kepada

metodologi ini adalah berasaskan kepada Standard Pengauditan

INTOSAI yang menggariskan amalan profesional semasa yang

diterima pakai.

[2] Penilaian-penilaian Umum ICT meliputi tahap Kawalan Am, Kawalan

Aplikasi dan Kawalan Rangkaian; serta penerangan pematuhan

undang-undang dan peraturan ICT yang sedang berkuatkuasa.

[3] Peranan Jabatan Audit Negara pada seluruh proses pembangunan

ICT auditi dan penilaian kawalan pembangunan ICT auditi

merangkumi Kawalan Am, Kawalan Perancangan, Kawalan

Rekabentuk, Kawalan Pelaksanaan, Kawalan Penyenggaraan dan

Kawalan Semakan Semula Selepas Pelaksanaan.

[4] Pengauditan Prestasi dalam Persekitaran ICT, Pengauditan Prestasi

ke atas Pembangunan Sistem ICT dan Pengauditan Prestasi

melibatkan Pengoperasian Sistem ICT.

[5] Penggunaan Teknik dan Peralatan Auditan Bantuan Komputer

(CAATTs) untuk memudahkan pengauditan.

PENDAHULUAN1.

DRAF


1.2 PENGENALAN

[1] Ledakan globalisasi teknologi maklumat dan komunikasi (ICT) masa

kini telah digunakan secara meluas dalam perancangan,

pelaksanaan dan pemantauan program dan aktiviti untuk

mempertingkatkan kecekapan penyampaian perkhidmatan di

Jabatan/Kementerian/Badan Berkanun/Agensi Kerajaan (auditi).

Perkongsian maklumat antara auditi boleh menimbulkan risiko

kebocoran rahsia dan penyalahgunaan maklumat yang tidak

dibenarkan. Sejajar itu, Juruaudit perlu bersedia meningkatkan

pengetahuan ICT dan mewujudkan strategi dan teknik untuk memberi

jaminan sama ada penggunaan ICT telah menambah nilai,

keselamatan sistem, proses kawalan yang teratur dan sempurna

serta ketepatan hasil output auditi. Sistem ICT yang baik boleh

mewujudkan mekanisme program penyampaian perkhidmatan

Kerajaan yang cekap dan berkesan. Keupayaan ICT membolehkan

perkhidmatan yang sedia ada dibelanjakan dengan lebih jimat dan

dapat memberi perkhidmatan tambahan termasuk menyediakan

maklumat prestasi yang lebih cekap, selamat dan terkawal.

Bagaimanapun sistem ICT juga boleh memberi kesan yang lebih

serius terhadap prestasi auditi akibat dari kegagalan sistem berfungsi

berbanding dengan sistem secara manual.

[2] ICT telah meningkatkan keupayaan untuk kuasai (capture), storan,

analisa dan proses bagi data dan maklumat yang amat besar; di

mana telah meningkatkan keupayaan bagi pembuat keputusan suatu

urusan. Terdapat kesan besar di mana peningkatan kepada

penggunaan teknologi telah menghasilkan belanjawan yang

meningkat dan kesedaran bagi keperluan kepada kawalan. ICT juga

telah memberi impak dalam profesion Juruaudit berdasarkan terma

pengauditan yang dilaksanakan dan pengetahuan yang memerlukan

memberi pendapat berkaitan pengoperasian atau keberkesanan,

kecekapan dan integriti bagi sistem dan pelaporan keutuhan ICT.

DRAF


Pada awalannya, impak difokuskan ke atas perubahan persekitaran

pemprosesan ICT yang berubah.

[3] Persekitaran ICT adalah merumitkan dalam corak yang berbentuk

sistem berasaskan komputer berbanding sistem berasaskan kertas di

mana memerlukan suatu kawalan sistem dalaman yang berkesan

untuk melindungi keutuhan proses dan data perakaunan.

[4] Pengauditan ICT adalah penilaian ke atas operasi sistem maklumat

untuk memastikan keutuhan suatu maklumat. Penilaian tertentu

termasuk menilai kecekapan, keberkesanan dan ekonomi yang

berasaskan berkomputer. Ini melibatkan kegunaan komputer sebagai

alat pengauditan. Penilaian juga tertumpu kepada aspek berasaskan

komputer dalam sistem maklumat sebuah organisasi. Ini termasuklah

penilaian pelaksanaan yang sesuai terhadap operasi dan kawalan

sumber berkomputer. Ia juga sebagai sebahagian melengkapkan

fungsi pengauditan kerana dapat menyokong pendapat Juruaudit ke

atas kualiti maklumat yang diproses oleh sistem berkomputer.

Pengauditan ICT juga memerlukan Juruaudit yang menggunakan

kemahiran teknikal dan pengetahuan untuk mengaudit menerusi

sistem komputer atau menyediakan perkhidmatan pengauditan di

mana pemprosesan atau data atau keduanya dibenamkan dalam

satu teknologi. Ianya juga pengauditan berasaskan risiko yang

bercirikan penggunaan CAATTs yang membenarkan auditan melalui

pangkalan data berkomputer. Sebagai contoh, membolehkan

Juruaudit melihat sebarang jejak audit yang wujud dalam bentuk

elektronik yang biasanya tidak dapat dilihat kepada pengguna biasa;

dan menganalisis transaksi, peristiwa dan baki akaun melalui sistem.

Pengauditan ICT adalah penting kerana memerlukan pengauditan

protokol teknologi komunikasi yang komplek melibatkan internet,

intranet, extranet, silih ganti data elektronik (EDI), client server,

rangkaian kawasan setempat, rangkaian kawasan luas, komunikasi

data, telekomunikasi, teknologi wireless; dan sistem video/data/suara

bersepadu (VOIP).

DRAF


[5] Juruaudit hendaklah menjalankan analisa risiko dan membuat

penilaian ke atas keseluruhan sistem ICT auditi. Analisa risiko dan

penilaian ini termasuk semua sistem dan sub-sistem sama ada

secara langsung atau secara tidak langsung yang terlibat dalam

pengeluaran maklumat kewangan dan maklumat kritikal.

Berdasarkan keputusan ini, Juruaudit bertindak mengelaskan tahap

kedudukan sistem mengikut risiko yang bersangkutan. Ini akan

membentuk suatu asas untuk memilih keutamaan pengauditan.

Dalam mempertimbangkan keseluruhan Rancangan Audit, Juruaudit

perlu mengambilkira perkara seperti berikut:

[a] Menentukan tahap saling bergantungan bagi sistem yang

dijangka untuk diletakkan ke atas kawalan ICT dalam

keseluruhan penilaiannya terhadap kawalan dalaman auditi;

[b] Merancang bagaimana, di mana dan bila bagi suatu fungsi

sistem ICT akan dikaji semula; dan

[c] Merancang prosedur menggunakan CAATTs.

1.3 TUJUAN GARIS PANDUAN

[1] Garis panduan ini menerangkan pendekatan asas untuk

melaksanakan pengauditan ICT untuk kegunaan Juruaudit Jabatan

Audit Negara.

[2] Secara umumnya, objektif dan skop pengauditan adalah tidak

berubah di dalam persekitaran sistem berkomputer, walaupun

penggunaan ICT telah mempengaruhi kepantasan pemprosesan data

dan menyediakan media penstoran yang besar bagi data kewangan

dan rekod. Senario perkembangan ICT juga telah memberi kesan

kepada pengurusan pentadbiran, prosedur perakaunan, sistem

DRAF


kawalan dalaman dan mengubah pemprosesan data dan rekod

auditi. Persekitaran ICT khususnya juga telah memberi impak kepada

pengauditan dari segi perubahan prosedur pengauditan untuk

mendapatkan bukti audit dan mengambilkira risiko untuk membuat

penilaian terhadap kawalan am dan kawalan aplikasi. Oleh itu, teknik

dan metodologi semasa menjalankan pengauditan dan penilaian

terhadap sistem dan kawalan dalaman auditi perlu berubah.

Perbezaan melaksanakan pengauditan dalam persekitaran sistem

berkomputer dan persekitaran secara manual adalah seperti berikut:

[a] Bukti audit yang asal;

[b] Prosedur untuk mendapatkan bukti; dan

[c] Tempoh masa dan setakat mana prosedur digunakan

[3] Terdapat 3 jenis pengauditan ICT yang dilaksanakan di Jabatan Audit

Negara seperti berikut:

[a] Pengauditan Umum ICT

• Kawalan Am

• Kawalan Aplikasi

• Kawalan Rangkaian (Network)

[b] Pengauditan Pembangunan ICT

• Pengauditan Serentak (Concurrent)

• Pengauditan Selepas Pelaksanaan

[c] Pengauditan Prestasi ICT

DRAF


1.4 METODOLOGI AUDIT

[1] Metodologi pengauditan ICT adalah kaedah, teknik dan pendekatan

yang digunakan untuk melaksanakan prosedur pengauditan,

pengumpulan data dan dokumentasi bukti audit sebagai asas untuk

memberi pendapat dan kesimpulan. Sebagai contoh, metodologi

yang digunakan dalam pengesahan kewujudan inventori adalah

seperti pemeriksaan, pemerhatian, pengiraan, pertanyaan,

menemuduga, pengesahan, pengiraan berkomputer, penyesuaian,

analisa, pengujian dan pensampelan.

[2] Kaedah pengauditan ICT yang digunapakai oleh Jabatan Audit

Negara memerlukan Juruaudit membuat penilaian ke atas sistem

maklumat berkomputer auditi untuk menentukan sama ada maklumat

yang dikeluarkan adalah pada masanya, tepat, lengkap dan boleh

dipercayai untuk mencapai matlamat dan objektif pengurusan auditi.

[3] Standard pengauditan ICT kepada metodologi ini adalah berasaskan

kepada Standard Pengauditan INTOSAI yang menggariskan amalan

profesional semasa yang diterima pakai seperti di PAGE 3 IT AUDIT

STANDARDS [IT AUDIT GUIDELINES FOR ASOSAI].

[4] Pendekatan pengauditan sering berbeza di kalangan Juruaudit di

mana bergantung kepada keadaan tugasan, pengetahuan Juruaudit

dan spesifikasi dalam piagam pelanggan atau surat pelantikan.

Terdapat tiga pendekatan pelaksanaan pengauditan berasaskan

komputer yang dipraktikkan:

[a] Pengauditan sekitar komputer (Auditing around the computer)

Juruaudit menganggap komputer sebagai sebuah kotak hitam

dan hanya bergantung kepada output komputer. Penumpuan

adalah ke atas pemeriksaan kebetulan output, data dan

dokumen dengan merujuk kepada input sesuatu proses tanpa

DRAF


perlu mendalami prosesnya. Dalam keadaan tertentu,

Juruaudit memeriksa kawalan prosedur melebihi dari komputer

atau kawalan berautomatik. Pendekatan ini adalah sesuai

untuk tahap berisiko rendah, aplikasi yang diuji baik dengan

logik mudah dan Juruaudit tidak perlu berpengetahuan

komputer untuk melaksanakan tugasnya.

[b] Pengauditan melalui komputer (Auditing through the computer]

Juruaudit perlu berpengetahuan sederhana tentang

perkakasan, perisian sistem dan bahasa pengaturcaraan bagi

aplikasi yang ditulis (write). Dalam keadaan tertentu, program

dan data menjadi penting kepada Juruaudit yang akan

mengesahkan logik program dan juga write kod spesifik untuk

menguji kebetulan data. Walaupun pendekatan ini adalah

berkesan tetapi tidak selalu dipraktikkan kerana

berkemungkinan dalam dua keadaan iaitu pertamanya,

terdapat risiko secara langsung kepada data dan aplikasi.

Keduanya, Juruaudit masih kekurangan maklumat tentang

pelbagai jenis teknologi dan perisian aplikasi yang terkini.

[c] Pengauditan bersama komputer (Auditing with the computer)

Juruaudit menggunakan peralatan yang pelbagai untuk

mengekstrak data daripada sistem komputer auditi ke

persekitaran yang bebas. Juruaudit menggunakan pelbagai

teknik data-mining untuk menganalisa data bagi kesimpulan

audit. Dalam keadaan tertentu, Juruaudit tidak perlu menjadi

pengaturcara di mana mereka hanya memerlukan kemahiran

yang sederhana semasa menggunakan peralatan dan

menganalisa data. Kemahiran pengaturcaraan bagi Juruaudit

adalah satu kelebihan. Walaupun dengan penggunaan

peralatan yang berautomasi yang dikenali sebagai CAATTs,

DRAF


Juruaudit yang berkemahiran pengaturcaraan boleh write

program yang customized menggunakan utiliti script dalam

peralatan itu.

DRAF


2.1 OBJEKTIF AUDIT

Objektif Pengauditan Umum ICT adalah untuk menentukan kewibawaan

auditi dalam mengeluarkan sesuatu maklumat kewangan dan maklumat

kritikal.

2.2 RANCANGAN AUDIT

Format Memorandum Rancangan Audit ICT mengandungi perkara seperti di

LAMPIRAN A dan seperti di APPENDIX 2.2 IT AUDIT GUIDELINES FOR

ASOSAI untuk semakan secara menyeluruh. Juruaudit perlu mengumpul

maklumat berkaitan sistem berkomputer yang akan diaudit seperti berikut:

[a] Fungsi dan jawatankuasa organisasi, pemprosesan komputer dan

rangkaian ICT yang sedang digunakan oleh auditi;

[b] Perkakasan dan perisian komputer yang digunakan oleh auditi;

[c] Perincian semua sistem dan aplikasi yang digunakan oleh auditi;

[d] Mengenalpasti aplikasi penting yang digunakan, sifat pemprosesan

(contohnya kelompok dan dalam talian); dan polisi simpanan

sandaran (back-up retention);

[e] Pembangunan sistem yang akan datang termasuk kajian semula

aplikasi yang wujud;

2. PANDUAN PENGAUDITAN UMUM ICT

DRAF


[f] Dokumentasi ICT sebagai contoh polisi dan standard pembangunan

sistem, dokumentasi sistem, pelaksanaan sistem, manual pengguna

dan lain-lain; dan

[g] Polisi perundangan dan peraturan Kerajaan yang berkuatkuasa. Sila

lihat RUJUKAN PERATURAN KERAJAAN BERKAITAN ICT untuk

maklumat lanjut. 2.3 PERTIMBANGAN JURUAUDIT

Juruaudit ICT berperanan memberikan suatu kenyataan jaminan sama ada

kawalan dalaman auditi adalah mencukupi dan boleh dipercayai berada

dalam kedudukan asalnya dan beroperasi dengan cekap dan berkesan.

Juruadit perlu terlibat mengkaji semula sistem maklumat dengan memberi

tumpuan kepada kebimbangannya ke atas aspek kawalan sistem. Juruaudit

hendaklah memastikan peruntukan dibuat seperti berikut:

[a] Jejak audit yang mencukupi supaya transaski yang boleh dijejaki

secara ke hadapan dan ke belakang menerusi sistem.

[b] Dokumentasi, kewujudan kawalan ke atas perakaunan bagi semua

data contohnya transaksi yang dimasukkan ke dalam sistem dan

kawalan untuk memastikan ketelusan transaksi berkenaan

sepanjang segmen sistem yang berkomputer.

[c] Kawalan meliputi perubahan sistem komputer untuk menentukan

sama ada kelulusan yang sesuai telah diberikan dan didokumen.

[d] Prosedur kelulusan untuk mengatasi sistem dan proses

dokumentasi.

[e] Menentukan sama ada organisasi dan polisi dan prosedur kerajaan

adalah dipatuhi dalam pelaksanaan sistem.

DRAF


[f] Melatih kakitangan auditi dalam pengendalian sistem.

[g] Membangunkan kriteria penilaian yang terperinci supaya ianya boleh

menentukan sama ada sistem yang dilaksanakan telah mencapai

spesifikasi yang dipasti terlebih dahulu.

[h] Keselamatan yang mencukupi di antara sistem komputer yang saling

bergantungan.

[i] Prosedur kawalan yang mencukupi untuk melindungi data pengguna.

[j] Memastikan teknologi yang disediakan oleh pelbagai vendor

contohnya landasan pengoperasian adalah serasi dan terkawal.

[k] Prosedur sandaran dan pemulihan untuk sistem pengoperasian dan

jaminan kesinambungan urusan.

[l] Memastikan pangkalan data yang direkabentuk dan dikawal adalah

mencukupi di mana definisi data digunakan sepanjang organisasi,

jika berlaku kes berulang dihapuskan atau terkawal dan data yang

wujud dalam pelbagai pangkalan data dikemaskini setiap masa.

2.4 PENILAIAN KAWALAN AM

Kawalan-kawalan ke atas pemprosesan komputer adalah termasuk

prosedur manual dan prosedur yang diprogramkan. Kedua-dua prosedur

kawalan ini adalah keseluruhan mekanisma di dalam kawalan dalaman

persekitaran ICT untuk menyediakan satu tahap yang munasabah untuk

mencapai objektif kawalan dalaman. Program Penilaian Kawalan Am seperti

di LAMPIRAN B. Dalam menilai Kawalan Am, Juruaudit perlu mengkaji

perkara-perkara seperti berikut:

DRAF


[a] Kawalan Organisasi dan Pengurusan untuk mewujudkan satu rangka

kerja organisasi ke atas aktiviti ICT termasuk:

[i] Risiko berkaitan dengan kawalan yang tidak memadai;

[ii] Struktur organisasi ICT;

[iii] Strategi ICT dan penglibatan pengurusan atasan;

[iv] Polisi kakitangan dan polisi latihan;

[v] Polisi dokumentasi dan polisi sandaran [retention] dokumen;

[vi] Polisi perkhidmatan luar [outsourcing];

[vii] Penglibatan Pasukan Audit Dalam;

[viii] Dasar Keselamatan ICT;

[ix] Pematuhan perundangan dan peraturan; dan

[x] Pengasingan bidang tugasan.

[b] Kawalan Pengurusan Perubahan adalah bagi memastikan semua

perubahan kepada tatarajah sistem adalah dibenarkan, diuji,

didokumenkan, terkawal, pengendalian sistem seperti dijangkakan

dan terdapat jejak audit yang mencukupi ke atas penambahan yang

meliputi:

[i] Perubahan prosedur kawalan;

[ii] Perubahan pertimbangan;

[iii] Perubahan proses;

[iv] Perubahan kajian semula;

[v] Perubahan kecemasan;

[vi] Kawalan versi untuk memastikan versi perisian yang betul

sedang digunakan; dan

[vii] Pindaan kepada alatan dan kemudahan.

[c] Kawalan Operasi adalah untuk mengawal operasi sistem dan jaminan

yang munasabah bahawa:

[i] Sistem yang digunakan adalah untuk tujuan yang dibenarkan

sahaja;

DRAF


[ii] Capaian operasi komputer adalah terhad kepada kakitangan

yang dibenarkan;

[iii] Program yang dibenarkan sahaja digunakan; dan

[iv] Kesilapan (error) pemprosesan dikesan dan diperbetulkan.

[d] Kawalan Akses Logik adalah bagi jaminan yang munasabah bahawa:

[i] Struktur rasmi ditempatkan kepada input yang dibenarkan

pada sistem; dan

[ii] Capaian kepada data, program dan terminal adalah terhad

kepada kakitangan yang dibenarkan.

[e] Kawalan Fizikal dan Persekitaran menyediakan perlindungan kepada

data dan program termasuk perlindungan dari kemungkinan

pengubahsuaian yang tidak dibenarkan atau kemusnahan yang

disebabkan oleh ancaman dan bahaya persekitaran.

[f] Kawalan Perancangan Kesinambungan Urusan yang menyumbang

kepada kesinambungan pemprosesan ICT. Ini termasuk:

[i] Data dan program komputer sandaran di luar lelaman (offsite

back-up); dan

[ii] Prosedur pemulihan bencana semasa keadaan berlakunya

kecurian, kehilangan, kemusnahan yang disengajakan atau

secara kebetulan sebagai contoh peruntukan untuk

pemprosesan data dan program komputer sandaran (back-up)

di luar lelaman (offsite) semasa berlakunya kejadian bencana.

[g] Kawalan Pembekal Perkhidmatan (service provider) untuk menilai

perkhidmatan ICT yang dilaksanakan oleh pembekal, termasuklah

kajian semula perjanjian peruntukan perkhidmatan ICT.

[h] Kawalan Pengguna Komputer adalah untuk menilai kawalan dalaman

persekitaran pengguna komputer termasuk:

DRAF


[i] Kawalan sistem pembangunan ke atas aplikasi pengguna

yang dibangunkan;

[ii] Kawalan capaian ke atas komputer peribadi dan komputer

riba; dan

[iii] Kawalan anti virus.

2.5 PENILAIAN KAWALAN APLIKASI

[1] Penilaian Kawalan Aplikasi adalah untuk mewujudkan prosedur

kawalan yang khusus ke atas aplikasi dengan tujuan memberi

jaminan yang munasabah bahawa semua transaksi auditi adalah

mendapat kebenaran dan diproses dengan lengkap, tepat dan pada

masanya. Ini memastikan bahawa keutuhan kedua-dua sistem dan

maklumat yang disimpan dan diproses adalah berkualiti. Satu

tinjauan mengenai aplikasi ICT mesti dilakukan seperti ditunjukkan di

APPENDIX 2.3 IT AUDIT GUIDELINES FOR ASOSAI. Tinjauan

akan memberi gambaran keseluruhan mengenai sistem ICT auditi

untuk membantu Juruaudit merancang pengauditan terhadapnya. Juruaudit boleh mengenal pasti dan mengkaji dengan mendalam

pelbagai jenis kawalan aplikasi dan melaksanakan ujian berkaitan

untuk menilai keutuhannya. LAMPIRAN C menunjukkan jenis

kawalan yang perlu ditinjau dalam menilai kawalan aplikasi. Program

Penilaian Kawalan Aplikasi seperti di LAMPIRAN D.

[2] Kawalan Aplikasi boleh dikategorikan seperti berikut:

[a] Kawalan Aplikasi Keselamatan

[i] Kawalan log masuk;

[ii] Perlindungan sumber;

[iii] Logging and akauntabiliti; dan

[iv] Perlindungan ke atas log audit.

DRAF


[b] Kawalan Input

[i] Transaksi adalah sahih (valid) dan diberi kelulusan

sebelum diproses oleh komputer;

[ii] Transaksi ditukarkan (convert) kepada format yang

boleh dibaca mesin dan direkod di dalam fail data

berkomputer;

[iii] Transaksi adalah tidak dirosak, ditokoktambah, disalin

atau diubahsuai; dan

[iv] Transaksi yang tidak betul adalah ditolak, diperbetulkan

dan dikemukakan semula pada asas masanya.

[c] Kawalan Pemprosesan

[i] Transaksi yang dijana oleh sistem adalah sah dan

diproses oleh komputer;

[ii] Transaksi adalah tidak dirosak, ditokoktambah, disalin

atau diubahsuai; dan

[iii] Pemprosesan ralat adalah dikenal pasti dan

diperbetulkan pada asas masanya.

[d] Kawalan Output

[i] Keputusan pemprosesan adalah tepat dan lengkap;

[ii] Capaian kepada output adalah terhad kepada

kakitangan yang dibenarkan;

[iii] Output dikemukakan kepada kakitangan yang

dibenarkan pada asas masanya; dan

[iv] Output adalah munasabah dari segi kualiti dan format.

[e] Kawalan Fail Induk dan Kedudukan Data Kekal (Standing

Data)

[i] Pindaan kepada data kekal adalah tidak dibenarkan;

DRAF


[ii] Akauntabiliti kepada pengguna bagi sebarang

perubahan yang dibuat;

[iii] Ketepatan data kekal adalah kemaskini dan tepat;

[iv] Keutuhan data fail induk adalah dikekalkan.

2.6 PENILAIAN KAWALAN RANGKAIAN (NETWORK)

Penilaian Kawalan Rangkaian adalah untuk memberi jaminan sama ada

auditi telah menyediakan perlindungan untuk transmisi data ke rangkaian

dan internet. Program Penilaian Kawalan Rangkaian seperti di LAMPIRAN E. Penilaian ini bertujuan untuk:

[a] Mengurangkan risiko kehilangan, mudah rosak atau manipulasi tanpa

kebenaran bagi data; dan

[b] Kebimbangan keselamatan internet.

3.7 PELAPORAN

Juruaudit hendaklah mematuhi polisi Jabatan Audit Negara untuk

menyediakan pemerhatian dan laporan audit.

DRAF


3.1 PENGENALAN

[1] Juruaudit perlu memperolehi kefahaman yang jelas tentang Kitar

Hayat Pembangunan Sistem atau System Development Life Cycle

(SDLC] auditi. Ini termasuk perancangan, analisa, rekabentuk konsep,

pemilihan, maklumat rekabentuk bagi pelaksanaan dan

penyenggaraan sistem.

[2] Juruaudit akan terlibat di seluruh proses pembangunan sistem ICT

auditi. Maklumat input daripada Juruaudit tentang aspek kawalan-

kawalan dalaman, keselamatan, pengurusan projek, kitar hayat

pembangunan sistem serta kecukupan dan kualiti penyampaian di

seluruh proses pembangunan ICT adalah di bawa ke perhatian

pasukan projek untuk pertimbangan. Adalah penting Juruaudit perlu

mengkaji seluruh proses pembangunan ICT, jika tidak Juruaudit akan

menilai kembali semasa pengauditan selepas pelaksanaan. Carta

Aliran LAMPIRAN F menunjukkan peranan Jabatan Audit Negara

semasa proses pembangunan ICT Auditi.

[3] Pendekatan yang digunapakai oleh Jabatan Audit Negara dalam

pengauditan pembangunan ICT adalah Pengauditan Serentak dan

Pengauditan Selepas Pelaksanaan. Program Pengauditan

Pembangunan ICT seperti yang ditunjukkan di dalam LAMPIRAN G.

3.2 OBJEKTIF AUDIT

[1] Pengauditan Serentak (Concurrent Audit)

Objektif pengauditan serentak adalah untuk memastikan proses

pembangunan ICT adalah mematuhi polisi dan peraturan; kawalan

3.

PANDUAN PENGAUDITAN PEMBANGUNAN ICT

DRAF


dalaman yang berkaitan dan mencukupi dan jejak audit berada pada

kedudukannya, kualiti pembangunan sistem adalah dikekalkan dan

sistem yang menambah nilai (value-for-money] adalah sedang

dibangunkan.

[2] Pengauditan Selepas Pelaksanaan

Semasa pengauditan selepas pelaksanaan ICT, Juruaudit akan

menilai sistem ICT yang spesifik selepas pelaksanaannya. Penilaian

akan meliputi aspek yang sama seperti di atas. Bagaimanapun,

penemuan audit akan menyediakan input berguna untuk pertimbangan

kepada proses pembangunan sistem pada masa akan datang. Objektif

pengauditan ini adalah untuk menambah baik pengurusan proses

pembangunan sistem secara am dan secara khusus.

3.3 RANCANGAN AUDIT

Perancangan semasa menjalankan pengauditan pembangunan ICT auditi

adalah seperti berikut:

[a] Polisi, peraturan dan standard kerajaan berkaitan projek ICT

[b] Peringkat jawatankuasa terlibat dalam kelulusan, perancangan,

perlaksanaan dan pemantauan projek ICT seperti berikut:

• Minit mesyuarat;

• Keputusan yang dibuat sebelum dan di seluruh pelaksanaan

projek

[c] Dokumentasi Perancangan seperti berikut:

• Rancangan Strategi Teknologi Maklumat dan Cadangan

Permintaan Konsep (Concept Request For Proposal)

DRAF


[d] Keserasian pendekatan pembangunan sistem ICT yang diterima

pakai seperti berikut:

• Penyampaian fasa yang berbeza dalam pembangunan sistem

mengikut had masa yang dipersetujui

[e] Tugas yang diambilalih dan kawalan yang mungkin penting dalam

fasa pembangunan sistem ICT seperti berikut:

• Definisi Masalah dan Peluang

• Analisa Kewujudan Sistem

• Formula Keperluan Strategik

• Rekabentuk Sistem

• Perolehan dan Pembangunan

• Penukaran (Conversion) dan Perpindahan (Migration)

• Operasi dan Penyenggaraan

3.4 PELAPORAN

Bagi Pengauditan Selepas Pelaksanaan ICT, Juruaudit hendaklah

mematuhi polisi Jabatan Audit Negara berkaitan penyediaan untuk

pemerhatian dan laporan audit. Manakala pengauditan serentak (con-

current), pendapat dan pemerhatian audit akan dikeluarkan dengan segera

selepas perbincangan dengan jawatankuasa yang terlibat dalam

pembangunan ICT auditi. Ini memastikan bahawa pendapat atau

pemerhatian berkaitan aspek spesifik pembangunan sistem akan

dipertimbangkan tepat. Juruaudit hendaklah menyemak semula minit

mesyuarat bagi memastikan segala perkara yang dibangkitkan adalah

direkodkan dengan tepat.

DRAF


4.1 PENGENALAN

[1] Prestasi sistem ICT auditi yang mantap akan mewujudkan

mekanisme penyampaian program/aktiviti yang cekap dan berkesan.

Ianya berpotensi untuk penyampaian perkhidmatan sedia ada yang

lebih murah dan juga menyediakan pelbagai perkhidmatan

tambahan, termasuk maklumat prestasi program dengan kecekapan

kawalan keselamatan dokumen yang lebih hebat berbanding sistem

secara manual.

[2] Sejajar dengan itu, Juruaudit perlu meningkatkan kemahiran ICT

untuk membangunkan strategi dan teknik untuk menyediakan

jaminan munasabah sama ada kesan penggunaan ICT kepada

keselamatan sistem, kewujudan kawalan proses yang sesuai dan

kesempurnaan dan ketepatan maklumat output auditi adalah telah

menambah nilai (value-for-money) dan mencapai matlamat.

Pengauditan prestasi dalam aspek tertentu membolehkan Juruaudit

dapat memastikan sama ada sistem ICT telah membantu dengan

berekonomi, cekap dan berkesan dari segi pengurusan

program/aktiviti auditi meliputi perancangan, pelaksanaan,

pemantauan dan maklum balas. Program Pengauditan Prestasi ICT

seperti yang ditunjukkan di dalam LAMPIRAN H.

4.2 OBJEKTIF AUDIT

Objektif pengauditan ini perlulah selaras dengan matlamat auditi dalam

penerimaan dan penggunaan sistem ICT. Ini dapat menentukan sama ada:

• Matlamat dan objektif sistem ICT adalah tercapai; dan

• Sistem ICT yang dibangunkan dengan cara yang

ekonomi, cekap dan berkesan

PANDUAN PENGAUDITAN PRESTASI ICT

4.

DRAF


4.3 PERTIMBANGAN JURUAUDIT

[1] Juruaudit perlu memeriksa sama ada sistem ICT telah membantu

meningkatkan keberkesanan auditi dalam mengurus program/aktiviti

dan pertukaran kepada ICT telah memberi manfaat kepada pihak

yang berkepentingan dengan auditi.

[2] Juruaudit juga dikehendaki menilai sama ada sistem ICT dapat

meningkatkan pengurusan program. Beberapa perkara yang perlu

diberi perhatian adalah termasuk:

• ICT hendaklah menyokong objektif auditi dan oleh yang

demikian ia merupakan bahagian yang bergabung dengan

operasinya;

• Operasi ICT memerlukan kakitangan yang berkelayakan;

• Sumbangan ICT kepada operasi auditi adalah dinilai

berdasarkan kecekapan operasinya;

• Manfaat daripada ICT mungkin tidak disedari tanpa perubahan

yang sewajarnya dalam organisasi; dan

• pengukuran yang memberi tambah nilai mungkin sukar

dilaksanakan

[3] Sebagai tambahan bagi menilai sama ada sistem ICT auditi

menghasilkan manfaat, Juruaudit hendaklah menilai sekiranya ICT

telah menyumbang kepada ketelusan, akauntabiliti dan tadbir urus

yang baik.

DRAF


4.4 RANCANGAN AUDIT

4.4.1 Penilaian Prestasi Persekitaran ICT

[a] Menilai persekitaran ICT auditi dan menentukan signifikannya

kepada objektif pengauditan prestasi seperti berikut:

[i] Membina sebuah model operasi organisasi

• Menganalisis objektif organisasi

• Mengenalpasti perhubungan struktur dan aktiviti

organisasi kepada objektif korporat

• Mewujudkan strategi ICT dan sistem maklumat

inventori masa lepas dan semasa

[ii] Mengenalpasti sistem ICT yang signifikan

• Menyediakan satu senarai projek sistem

maklumat berdasarkan kepada kos

• Mengenalpasti proses teras dan

kebergantungannya ke atas sistem maklumat

• Mengenalpasti keselamatan sistem dan kawalan

• Mengenalpasti risiko berpotensi besar dan

pendedahan sistem

[iii] Mengenalpasti dan menilai bukti bagi prestasi sistem

ICT

• Masa, contohnya, adakah sistem ICT yang

digunakan mengikut jadual?

• Kos, contohnya, adakah belanjawan projek

terlebih?

• Kualiti, contohnya, adakah bukti bahawa

DRAF


pelaksanaan sistem ICT adalah baik atau

sebaliknya yang tidak boleh dipercayai,

ketidakpuasan pengguna,dan pertikaian dengan

pembekal.

[iv] Mengcamkan penerangan akibat kegagalan sistem ICT

• Adakah pihak pengurusan atasan mempunyai

kawalan ke atas polisi maklumat?

• Adakah standard pengurusan projek berada

pada kedudukannya dan, jika tidak, adakah

dikuatkuasakan?

• Adakah organisasi memiliki kemahiran yang

penting bagi menghasilkan dan membangunkan

sistem maklumat yang berkesan?

• Mengenalpasti sebarang kekurangan

(deficiencies) dalam kawalan ICT dan memberi

kesan keputusan ke atas kecekapan, ekonomi

dan keberkesanan terhadap prestasi pihak auditi

• Membandingkan perancangan strategik ICT,

amalan pengurusan risiko auditi kepada amalan

industri yang lebih baik dan hubungan kepada

tadbir urus korporat auditi

[b] Mengenal pasti takat (extent) pengauditan sistem ICT yang

diperlukan untuk mencapai objektif pengauditan prestasi

contohnya pendekatan Pengauditan Pembangunan Sistem

ICT dan Pengauditan Umum Sistem ICT;

[c] Mengenal pasti sebarang kelemahan dalam kawalan ICT yang

boleh memberi kesan terhadap kecekapan, ekonomi dan

keberkesanan prestasi auditi;

DRAF


[d] Memeriksa pembangunan dan penyenggaraan sistem ICT

yang diamalkan oleh auditi berbanding dengan amalan terbaik;

[e] Membandingkan rancangan strategi ICT, risiko pengurusan

dan amalan pengurusan projek auditi dengan amalan industri

terbaik berkaitan dengan tadbir urus korporat auditi;

[f] Menentukan sama ada sistem output mencapai kualiti auditi

dan tahap perkhidmatan yang ditetapkan;

[g] Menilai sama ada sistem ICT meningkatkan ekonomi,

kecekapan dan keberkesanan program pengurusan auditi

terutamanya yang berkaitan dengan program perancangan,

pelaksanaan, pemantauan dan maklum balas;

[h] Adakah terdapat penggunaan Teknik dan Alatan Auditan

Bantuan Komputer (CAATTs)

[i] Perancangan dan mendapatkan khidmat Juruperunding

• Sebagaimana pengauditan lain, pengauditan prestasi

terhadap ICT perlu dirancang. Proses perancangan

hendaklah menetapkan objektif audit supaya selaras

dengan objektif auditi dalam menerima

pakai/memperkenalkan sistem ICT dan hendaklah

mengambil kira aspek keselamatan, kawalan dan

menambah nilai. Fasa perancangan juga hendaklah

mengenal pasti sistem ICT, sistem komputer dan perisian

yang digunakan oleh auditi. Perancangan juga perlu

mengenal pasti kemungkinan risiko yang serius dan tahap

pendedahan sistem ICT auditi berkenaan.

DRAF


• Tanggungjawab pengauditan prestasi terhadap ICT

memerlukan anggota yang berkemahiran khusus dan

terlatih dalam bidang ICT, pengauditan dan perakaunan.

Perkhidmatan Juruperunding boleh dipertimbangkan bagi

tugas yang lebih teknikal. JAN hendaklah juga memberi

perhatian dalam perolehan perkakasan dan perisian

komputer. Kakitangan yang terlibat perlu sentiasa

mendapat latihan dari semasa ke semasa mengenai

perkembangan teknologi dan teknik pengauditan ICT.

4.4.2 Penilaian Prestasi Pembangunan Sistem ICT

Pengauditan prestasi yang melibatkan pembangunan sistem ICT

auditi untuk mengenal pasti sama ada:

[a] mendapat kelulusan eksekutif yang sewajarnya bagi

pembangunan sistem ICT, iaitu pengurusan ICT bersesuaian

dengan keadaan dan mematuhi kehendak urus tadbir korporat

auditi;

[b] mengamalkan proses pengurusan projek yang sewajarnya

bagi mengendalikan sesuatu projek;

[c] telah mencapai sasaran masa, kos, fungsi sistem dan

menambah nilai (value for money);

[d] menggunakan metodologi pembangunan sistem ICT yang

bersesuaian;

[e] telah memilih (adopt) pembangunan sistem dan amalan

penyenggaraan ICT yang disokong oleh amalan ICT yang

lebih baik; dan

DRAF


[f] mewujudkan proses, termasuk penglibatan audit dalaman,

bagi menentukan sistem baru mengandungi semua kawalan

yang perlu dan jejak audit menjurus untuk menepati keperluan

Auditi dan semua pihak yang berkepentingan.

4.4.3 Penilaian Prestasi Operasi Sistem ICT

[a] Penilaian Prestasi Operasi Sistem ICT auditi yang perlu diberi

perhatian seperti berikut:

• pengurusan strategik dan operasi ICT auditi, termasuk

jaminan bahawa ICT diambil kira dalam keseluruhan

tadbir urus korporat auditi

• pengurusan projek ICT auditi, termasuk rekod yang

mematuhi perundangan dan menepati syarat lain yang

ditetapkan

• amalan pengurusan risiko yang digunakan berkaitan

dengan ICT

• sistem reka bentuk ICT, kawalan pembangunan dan

penyenggaraan

• pematuhan standard termasuk standard luaran

• kawalan aplikasi

• kawalan pemprosesan termasuk jejak audit

• ketetapan kesinambungan urusan

• keutuhan data, termasuk persampelan data dengan

penggunaan CAATTs

• kawalan capaian dan keselamatan fizikal dan logik bagi

rangkaian dan komputer termasuk firewalls internet

• kawalan keselamatan bagi menghalang perisian yang

menyalahi undang-undang

• pengurusan dan pengukuran prestasi untuk menentukan

sama ada output sistem mencapai kualiti dan had

penyampaian perkhidmatan auditi

• Isu-isu lain yang berbangkit semasa pengauditan

DRAF


4.5 INTERNET

Penggunaan internet adalah perlu untuk tugas-tugas penyelidikan,

perancangan, komunikasi melalui mel eletronik dan pangkalan data

berdasarkan portal web yang boleh dicapai di luar lokasi auditi. Juruaudit

hendaklah menggunakan teknologi internet untuk pencarian dan

mengumpul maklumat korporat auditi yang terkini untuk memudahkan kerja

pengauditan prestasi ICT. Capaian menerusi internet kepada maklumat

tersebut boleh dimuat turun melalui portal web auditi.

4.6 PELAPORAN

Laporan Pengauditan Prestasi ICT perlu mengelakkan penggunaan istilah

teknikal ICT supaya laporan tersebut mudah difahami oleh auditi, pihak

pengurusan Jabatan, badan perundangan dan orang awam. Jika keperluan

istilah teknikal dikekalkan, penjelasan hendaklah diberikan. Penyediaan dan

pengurusan pemerhatian dan laporan audit hendaklah mematuhi polisi

Jabatan Audit Negara.

DRAF


5.1 PENGENALAN

[1] Juruaudit perlu menyemak semula sistem aplikasi untuk

mendapatkan pemahaman kawalan dalaman yang berada pada

tempatnya untuk memastikan ketepatan dan kesempurnaan bagi

data. Sekiranya kawalan dalaman tidak mencukupi, Juruaudit mesti

melaksanakan pengujian yang meluas untuk mengesahkan

kesahihan data. Penggunaan Teknik dan Peralatan Auditan Bantuan

Komputer [CAATTs] dalam proses pengauditan adalah semasa

mencapai keberkesanan dan keutuhan rekabentuk atau operasi bagi

kawalan sistem ICT. Ia boleh digunakan untuk pensampelan

transaksi data dan menguji sistem secara keseluruhan. Ia juga

digunakan dengan pelbagai cara untuk menilai integriti aplikasi,

menentukan pematuhan prosedur dan berterusan memantau

keputusan pemprosesan. CAATTs boleh melaksanakan ujian kepada

kawalan aplikasi dan penyarian data. Kawalan aplikasi dikategorikan

kepada kawalan input, kawalan pemprosesan dan kawalan ouput.

Juruaudit perlu menguji dan menilai kawalan tersebut. Keputusan

untuk menguji dan menilai adalah tidak hanya berkaitan kepada saiz

auditi tetapi juga kerumitan dari persekitaran ICT Auditi.

[2] CAATTs akan meningkatkan signifikan kawalan pengurusan dan

mengurangkan kos jika Juruaudit menggunakan dengan baik. Teknik

automatik ini telah membuktikan lebih baik daripada teknik manual

bila berhadapan maklumat yang berjumlah besar dan kepantasan

melaksanakan analisis data untuk menghimpunkan paparan besar

bagi suatu proses. Pakej Perisian yang dibangunkan khusus untuk

membantu kerja pengauditan adalah ACL, DYL SAS dan IDEA untuk

memilih suatu sampel, menganalisis ciri-ciri fail, mengenalpasti aliran

5.

PANDUAN PENGGUNAAN CAATTs

DRAF


dalam data dan menilai keutuhan data. Sebagai tambahan kepada

perisian auditan, lain-lain produk perisian boleh digunakan untuk

penganalisaan data sebagai contohnya ACCESS digunakan untuk

menganalisis data, mencipta laporan, dan pertanyaan data. Manakala

EXCEL digunakan untuk menganalisis data, menjana sampel,

mencipta graf dan melaksanakan rosotan atau analisa aliran. Oleh

itu, CAATTs memainkan peranan yang sangat penting dalam prestasi

kerja audit.

5.2 PENGGUNAAN CAATTs

[1] Penggunaan CAATTs oleh Juruaudit semakin meningkat dari semasa

ke semasa untuk tujuan pengauditan terperinci seperti berikut:

[a] capaian dan pemilihan maklumat daripada pangkalan data

auditi;

[b] jumlah, ringkasan, susunan, perbandingan dan pemilihan

daripada jumlah populasi data berdasarkan kepada kriteria

yang ditentukan;

[c] penjadualan, penyemakan dan pengiraan ke atas data;

[d] persampelan, prosesan statistik dan analisis;

[e] menghasilkan laporan untuk memenuhi keperluan

pengauditan; dan

[f] kemudahan kepada kawalan dan perancangan audit

contohnya kertas kerja audit berbentuk elektronik bagi

menyokong keberkesanan rujuk silang, semakan semula dan

pelaporan

DRAF


[2] Kebaikan pengunaan CAATTs adalah seperti berikut:

• Penjimatan masa dan kos pengauditan;

• Membolehkan pemeriksaan/pengesahbetulan (verifications)

yang lebih menyeluruh bagi data;

• Menggantikan banyak prosedur yang dibuat secara manual;

• Mengurangkan ujian pengauditan asas;

• Mengukuhkan (Proof) keutuhan fail pengauditan

[3] Contoh rutin CAATTs yang digunakan untuk analisis pengauditan

seperti berkut:

• Pengesahbetulan (Verifying) digunakan untuk memeriksa

keutuhan data, contohnya data tidak mudah rosak [corrupted];

• Perjumlahan (Totalling) digunakan untuk membuktikan

kesempurnaan dan penyesuaian kepada akaun yang

dinyatakan;

• Penstrataan (Stratification) memberikan gambaran yang

lengkap kepada Juruaudit berkenaan nilai julat (range) di dalam

fail;

• Persampelan (Sampling) membolehkan Juruaudit membuat

sarian (extract) bagi memilih perwakilan transaksi dari fail untuk

ujian pengauditan;

• Penduaan (Duplicate) digunakan untuk mengesan sama ada

medan kekunci di dalam fail semasa yang mengandungi

penduaan berturutan di mana mendorong berlakunya aktiviti

penipuan (fraudulent);

• Pengumuran (Ageing) menunjukkan suatu corak pembayaran

di seluruh tempoh masa;

• Selaan (Gap) memaparkan nombor yang hilang dalam turutan;

DRAF


• Pengiraan Semula (Re-performing Calculation) untuk

membuktikan ketepatan formula yang digunakan semasa

penyediaan data;

• Penyesuaian Kabur (Fuzzy Matching) membenarkan

pemeriksaan ke atas maklumat yang hampir sama dan

mengesan percubaan penyelewengan bagi tuntutan/bayaran

5.3 KATEGORI CAATTs

[1] Utiliti perisian Peralatan Muat Turun Fail (File Downloading Tools)

biasanya digunakan oleh pakar CAATTs untuk memindahkan data

pelanggan ke komputer Juruaudit. Contohnya seperti berikut:

• Utiliti Bacaan Pita/Pengimbasan – digunakan untuk

mengesahbetul data di pita dan memastikan pita adalah tidak

rosak dan mengira sejumlah rekod untuk mengesahkan

kesempurnaannya;

• Fdump – utiliti yang disediakan dengan pengurusan pita

Overland Data;

• Tapeutl – utiliti yang disediakan oleh Flagstaff Engineering;

• Depot – utiliti muat turun yang disediakan oleh Overland Data

• Tarsus – utiliti muat turun dan menyari oleh Memory

Technology

[2] Peralatan Soal Selidik Fail (File interrogation Tools) di mana terdapat

2 jenis iaitu:

• Alat yang khusus untuk menganalisa data bagi tujuan

pengauditan: Persampelan, Perjumlahan, Analisis

• Utiliti pangkalan data dan hamparan helaian yang boleh

menyari maklumat dari fail

DRAF


[3] Peralatan Penjana Laporan (Report Generators Tools] – Utiliti

pertanyaan yang boleh menyari data mengikut format yang

dikehendaki dari sebuah fail.

[4] Peralatan Keselamatan (Security System)/Kajian Semula (Review

Tools)– Perisian yang boleh membantu Juruaudit untuk merancang

semakan semula suatu sistem dan menyediakan pensyoran yang

dijana oleh komputer.

[5] Peralatan Perancangan (Planning Tools) – Perisian yang boleh

membantu Juruaudit dalam perancangan pengauditan.

[6] Perisian Tempahan (Bespoke Software) – Utiliti alat yang biasanya

ditulis oleh pakar CAATTs untuk melaksanakan fungsi yang khusus.

[7] Modul Auditan Dibenam (Embedded Audit Modules) adalah perlu jika

data yang dipilih adalah meruap (volatile) atau tidak boleh disediakan

dalam format yang diminta.

[8] Peralatan Pemasangan Data (Data Mining Tool) adalah alat

pengauditan forensik yang memaparkan secara grafiknya

perhubungan yang rumit di antara rekod yang komplek dari fail-fail

yang berbeza.

[9] Bahasa Pertanyaan Berstruktur atau Structured Query Language

(SQL)

• SQL direka untuk menyari (extract) data dari sistem

perhubungan pangkalan data;

• Antaramuka (interface) SQL boleh ditemui dalam sistem

pengurusan/pangkalan data seperti Microsoft Query, Microsoft

DRAF


ACCESS, ORACLE, INFORMICS, DB2, INGRES, dBase IV,

dan lain-lain;

• SQL kerap digunakan sebagai modul terbenam (embedded)

pengauditan untuk menyari (extract] data dari auditi kepada

spesifikasi Juraudit;

• SQL boleh digunakan dalam mod bersendirian (stand alone)

untuk capaian fail dBase;

• Elemen dari lebih daripada satu jadual boleh disari kepada fail

yang baru. Ia juga boleh mengindeks dan menyusun fail

dengan menggunakan SQL;

• SQL boleh melaksanakan banyak fungsi matematik: Pengiraan;

Penjumlahan; Purata; Pendaraban;

• SQL boleh menjana laporan pengecualian yang kompleks

dengan menggunakan julat (range) syarat-syarat: Di Mana; Di

Antara; Mempunyai; Seumpama

5.4 FASA PENGGUNAAN CAATTs

Gambarajah A menunjukkan fasa yang terlibat dalam penggunaan

CAATTs.

Perancangan

Rekabentuk

Pembangunan

Pengujian

Pelaksanaan

Pelaporan

Gambarajah A

DRAF


[a] Perancangan

Peruntukan masa dalam rancangan menggunakan CAATTs boleh

menjimatkan tempoh masa pengauditan. Rancangan Audit termasuk:

• Menentukan objektif pengauditan CAATTs;

• Mengkaji semula sistem ICT dengan tujuan mendapatkan

maklumat yang mencukupi mengenai sistem yang digunakan

oleh Auditi;

• Pemasangan/Sistem Operasi/Kajian Semula Aplikasi;

- Apakah fail yang dicipta oleh sistem (Gambarajah Aliran

Data)

- Kenalpasti struktur pangkalan data contohnya hieraki,

perhubungan (relational), rangkaian, dan lain-lain

• Pilih fail yang paling sesuai bagi soal selidik CAATTs dan

memeriksa fail data. Lain-lain pertimbangan adalah:

- Tentukan medan/jadual yang diperlukan

- Tentukan tempoh masa bagi data yang diperlukan

- Saiz fail dan keupayaan penstoran komputer

• Juruaudit akan menyediakan spesifikasi satu set soal sellidik

yang bertulis termasuk:

- Jenis rekod yang akan disoal selidik

- Ciri-ciri soal selidikan (interrogation)

• Jika kumpulan pakar CAATTs diperlukan, permohonan

bertulis untuk bantuan perlu dimasukkan

[b] Rekabentuk

Juruaudit CAATTs perlu merekabentuk prosedur untuk

melaksanakan analisis CAATTs:

DRAF


• Kaedah memuat turun data ke komputer Juruaudit melalui

media muat turun, capaian secara langsung dan lain-lain.

Utiliti pemindahan data boleh digunakan;

• Sebarang penukaran (conversion) adalah penting untuk

mencipta format fail yang diperlukan;

• Sebarang manipulasi data seperti gabungan maklumat dari

lebih satu fail sebelum soal selidik [interrogation] data;

• Saiz fail data yang diperlukan menurut tempoh masa

pengauditan;

• Data pelanggan telah dilog dan sandaran (backup) telah

dibuat

[c] Pembangunan

Pada fasa ini, Juruaudit perlu mendapatkan data dan fail daripada

auditi:

• Permintaan untuk pengujian data dan format yang diperlukan;

• Paparan rekod yang dibekalkan oleh auditi;

• Rekod yang dicetak menunjukkan sepadan kepada paparan

rekod;

• Maklumat terperinci saiz blok dan pengiraan rekod pada pita;

• Salinan sebarang penukaran/manipulasi fail program;

• Salinan paparan data yang ditukar (convert);

• Salinan definisi rekod yang digunakan dalam perisian soal

selidikan (interrogation);

• Salinan sebarang sarian (extraction) persamaan yang ditulis;

• Kriteria pertanyaan audit yang disediakan

DRAF


[d] Pengujian

Fail yang dimuat turun perlu diuji sebelum Juruaudit meneruskan

dengan soal selidikan. Pengujian termasuk:

• Bukti bahawa data yang dimuat turun adalah sepadan dengan

data di fail;

• Bukti bahawa ke semua rekod pada fail telah ditukar (convert);

• Bukti bahawa fail adalah lengkap dan betul;

• Uji semua persamaan sarian (extraction);

• Periksa kebetulan bagi sebarang medan yang dikira;

• Periksa format bagi sebarang laporan output

[e] Pelaksanaan

Pada fasa ini, kriteria pertanyaan audit akan dilaksanakan

menggunakan fail yang dimuat turun. Jika pengecualian diperhatikan

contohnya penduaan (duplicate), selaan (gaps) dan lain-lain; sahkan

dengan sumbernya dan Juruaudit patut memeriksa dengan terperinci.

[f] Pelaporan

Pelaksanaan semua laporan output didokumentasi untuk menyokong

pemerhatian audit bagi kertas kerja dan dilaporkan sewajarnya.

DRAF

LAMPIRAN

A

Garis Panduan Pengauditan ICT

Lampiran A (Muka Surat 9)

MEMORANDUM RANCANGAN AUDIT ICT


[a] LATAR BELAKANG AUDITI

• Maklumat Korporat

• Dokumen Perancangan Korporat

• Rancangan Strategik Teknologi Maklumat

• Pengurusan Konfigurasi Sistem ICT

• Saiz Operasi Komputer

• Kawalan Dalaman Berkomputer

[b] OBJEKTIF, SKOP DAN METODOLOGI

• Objektif Pengauditan

• Skop Pengauditan

• Metodologi Pengauditan

[c] TUMPUAN PERKARA KRITIKAL

• Kenalpasti perkara kritikal yang akan diaudit berdasarkan

penilaian risiko

[d] KEPERLUAN SUMBER PENGAUDITAN

• Kakitangan/Belanjawan/Jadual Audit

• Keperluan Teknikal

• Keperluan Peralatan ICT

DRAF

LAMPIRAN

B


Lampiran B (Muka Surat 11)

PROGRAM PENILAIAN KAWALAN AM


A. KAWALAN ORGANISASI DAN PENGURUSAN

OBJEKTIF KAWALAN

PERTIMBANGAN AUDIT Y

T

ULASAN/ RUJUKAN KERTAS KERJA

Untuk memastikan bahawa: 1. Polisi, standard dan

tatacara perlu wujud dan dijadikan asas untuk perancangan, kawalan dan penilaian pengurusan.

2. Terdapatnya kawalan

pengurusan dan organisasi yang cekap dan berkesan pada fungsi berkaitan ICT.

3. Terdapatnya kawalan

yang berkesan ke atas penggunaan sumber-sumber ICT.

4. Menghadkan tumpuan

fungsi di dalam Jabatan ICT.

1. Polisi dan Prosedur 1.1 Strategi ICT

• Strategi ICT telah diperakui oleh pengurusan atasan dan dikemaskini

• Kakitangan telah dimaklumkan isu berkaitan

• Tatacara dirangka untuk memantau pelaksanaannya

1.2 Penglibatan Pengurusan

Atasan

• Pengurusan atasan mengekalkan kepentingan fungsi pembangunan ICT contohnya Jawatankuasa Pemandu ICT

1.3 Rekod/Dokumen/Simpanan

• Terdapat polisi yang sesuai

untuk pengekalan dokumen elektronik dan cetakan berkomputer

1.4 Polisi Kakitangan

• Organisasi yang diaudit telah ada polisi yang bersesuaian ke atas keperluan sumber manusia untuk ICT

1.5 Polisi Keselamatan Komputer

• Edaran kepada kakitangan • Polisi keselamatan adalah

mencukupi - adakah laporan

kemalangan dan kelemahan keselamatan dibuat

• Terdapat latihan keselamatan ICT yang mencukupi






OBJEKTIF KAWALAN


T


• Pemeriksaan pematuhan

telah dibuat dan didokumenkan dengan sempurna

1.6 Isu perundangan dan

peraturan

• Terdapat polisi dan prosedur yang sesuai untuk memastikan kemudahan ICT adalah mematuhi syarat perundangan dan peraturan

1.7 Pengujian

pasaran/perkhidmatan luaran/ pengurusan kemudahan

• Auditi telah menerima

perkhidmatan ICT daripada sumber luaran

• Prosedur yang sesuai telah dibangunkan untuk mengenalpasti risiko

• Terdapat perancangan menggunakan perkhidmatan pembekal

2. Pengasingan Tugas 2.1 Terdapat pengasingan tugas

yang mencukupi di antara pasukan ICT dan kumpulan berkaitan yang lain di dalam organisasi. • Mendapatkan keseluruhan

carta organisasi auditi • Pasukan ICT tidak terlibat

dalam pemulaan dan pengesahan transaksi, dan tidak mengawal ke atas pembetulan dan penghantaran semula yang ditolak atau tugas yang tidak sesuai dalam jabatan pengguna






OBJEKTIF KAWALAN


T


• Pasukan ICT tidak

mengawal aset yang bukan ICT contohnya cek, waran, plat tandatangan, dan lain-lain

2.2 Terdapat fungsi yang jelas di

dalam Jabatan ICT (contohnya pembangunan aplikasi, pengaturcaraan aplikasi, pengaturcaraan sistem, kawalan data, pengendalian dan pentadbiran pangkalan data) dan tanggungjawab kakitangan ICT yang sepatutnya diasingkan.

2.3 Kesemua fungsi dan

tanggungjawab pasukan ICT perlu dijelaskan secara bertulis contohnya penghuraian bidang tugas. Dapatkan carta organisasi bagi Jabatan ICT, huraian terperinci tugasan dan senarai tugas.

3. Penglibatan Audit Dalaman 3.1 Terdapat penglibatan pasukan

audit dalaman yang berkesan dalam semua aspek pembangunan ICT, pengendalian, perancangan dan semakan semua sistem:

• Rancangan dan program

audit dalaman • Pengalaman dan

pengetahuan kakitangan • Jadual latihan yang

berkesan kepada kakitangan

4. Latihan 4.1 Terdapat program latihan yang

formal untuk melatih/melatih semula





B. KAWALAN ORGANISASI DAN PENGURUSAN

OBJEKTIF KAWALAN


T


semua kakitangan ICT dan kakitangan berkaitan selaras dengan rancangan organisasi ICT.

4.2 Pemindahan teknologi perlu

berlaku daripada vendor yang terlibat dalam pembangunan sistem.

5. Dokumentasi 5.1 Terdapat dokumentasi yang

mencukupi berdasarkan standard yang diterima pakai ke atas semua aspek ICT. Terdapat juga kewujudan manual arahan atau prosedur yang meliputi semua aspek pengoperasian ICT.

a) Dokumentasi:

• Dokumentasi sistem • Dokumentasi

pengaturcaraan • Dokumentasi

pengendalian • Dokumentasi kawalan

perpustakaan/fail • Dokumentasi

penukaran bagi kekunci masuk dan/atau data lain

• Pengujian program dokumentasi kawalan input dan output

• Standard kawalan pindaan program

• Dokumentasi aset ICT (contoh: pengurusan tatarajah, pengenalan aset dan penomboran inventori)






OBJEKTIF KAWALAN


T

ULASAN/ RUJ KK

b) Manual Arahan atau

Tatacara:

• Arahan Pengendalian untuk setiap program

• Manual tatacara pengendalian untuk setiap program

• Manual tatacara pengendalian untuk setiap pemasangan

• Arahan pengawalan fail • Tatacara penjagaan fail • Tatacara penukaran

data • Arahan pengawalan

data • Arahan pengguna

jabatan

c) Semua kakitangan yang terlibat dalam fungsi pemprosesan data hendaklah mempunyai dan mematuhi manual ini.





B. KAWALAN PENGURUSAN PEROLEHAN DAN PERUBAHAN

OBJEKTIF KAWALAN


T


Untuk memastikan bahawa: 1. Sistem yang

diperolehi atau diubahsuai adalah berdasarkan kepada rancangan dan prosedur yang diluluskan.

2. Sistem atau

ubahsuaian yang diuji dan diluluskan sahaja diterima.

3. Terdapat rangka

kerja yang mencukupi untuk pembangunan, perolehan dan pelaksanaan bagi aplikasi.

1.1 Tatacara untuk pembangunan,

penggunaan, pengubahsuaian atau perolehan perlu diwujudkan.

• Penglibatan Jawatankuasa

Pemandu ICT, semua pengguna, kakitangan ICT, dan Juruaudit

• Proses pengurusan perubahan yang formal adalah wujud dan didokumenkan secara formal

• Permintaan perubahan dimulakan dengan sempurna, diluluskan oleh Jawatankuasa Pemandu ICT dan mematuhi kepada metodologi perubahan kawalan yang wujud

• Semua aktiviti yang melibatkan capaian dan pengubahsuaian kepada fail yang sensitif atau kritikal adalah dilog

1.2 Untuk pakej aplikasi yang telah

diperolehi, pastikan proses penilaiannya adalah secara terperinci

• Keserasian dengan

perkakasan • Memenuhi keperluan

pengguna • Mempertimbangkan lebih

dari satu vendor • Teknik/bahasa digunakan

adalah terkini • Sokongan penyenggaraan/

teknikal adalah baik • Pandangan daripada

penguna lain • Pengujian yang sempurna

sebelum penerimaan contohnya antaramuka, keserasian dengan perisian sistem, keperluan Input/Output yang memuaskan

• Kos pengubahsuaian, jika ada





B. KAWALAN PENGURUSAN PEROLEHAN DAN PERUBAHAN

OBJEKTIF KAWALAN


T


• Kawalan keselamatan dan

jejak pengurusan yang baik contohnya kata laluan dan fungsian terhad

• Ujian penerimaan perlu dijalankan secukupnya dan perlu meliputi semua aspek pemprosesan. Kepuasan pengguna perlu didokumenkan

1.3 Memastikan bahawa

pengaturcaraan dilengkapkan menurut cadangan pengubahsuaian rekabentuk dan telah diuji dengan memuaskan supaya mematuhi spesifikasi.

• Spesifikasi maklumat

sistem dan subsistem yang terperinci perlu dibangunkan. Ini termasuklah:

- Keseluruhan huraian

naratif sistem yang diubahsuai

- Tatarajah peralatan yang diperlukan untuk memproses sistem

- Pengubahsuaian dan pembangunan kod dilaksanakan dalam persekitaran terkawal secara berasingan

- Perisian sistem yang diperlukan untuk menyokong sistem

- Antaramuka dengan lain-lain sistem

- Ciri rekabentuk sistem yang diubahsuai termasuk sebuah carta aliran sistem

• Spesifikasi program terperinci perlu dibangunkan ke atas semua sistem yang





B. KAWALAN PENGURUSAN PEROLEHAN DAN PERUBAHAN OBJEKTIF KAWALAN

PERTIMBANGAN AUDIT

Y

T


diubahsuai. Spesifikasi ini perlu merangkumi:

- Huraian naratif am bagi program dan fungsinya

- Peralatan yang diperlukan untuk mengendalikan program

- Perisian sistem yang diperlukan untuk menyokong program

- Keperluan storan bagi program, termasuk sejumlah storan dalaman

- Jenis storan bagi talian tidak berfungsi (offline)

- Keperluan keselamatan dan kebersendirian (privacy) program

- kawalan ke atas dan di dalam senarai pemalar, kod dan jadual bagi program yang digunakan

- Prosedur pengendalian bagi program

- Format dan huraian bagi rekod input

- Deskripsi bagi logik program termasuk carta aliran dan keputusan jadual (decision tables), yang ditambah oleh penerangan naratif

- Format dan huraian bagi rekod output

- Ciri-ciri logikal dan fizikal bagi semua pangkalan data diigunakan oleh program, termasuk susunatur fizikal dan definisi elemen data

senarai sumber program





B. KAWALAN PENGURUSAN PEROLEHAN DAN PERUBAHAN OBJEKTIF KAWALAN

PERTIMBANGAN AUDIT

Y

T


- Senarai objek

program • Perubahan yang dibuat

kepada sistem dan program perlu diuji secukupnya dan diluluskan sebelum digunakan di persekitaran pengeluaran

- Standard rancangan

ujian perlu dibangunkan dan perlu merangkumi perkara berikut:

Ujian Unit Ujian

Kewibawaan Data ujian Keputusan ujian Ujian tekanan Ujian sistem

- Keputusan ujian perlu

dikaji dan didokumenkan sewajarnya

1.4 Memastikan keberkesanan sistem

yang diubahsuai adalah dipantau secara berkala melalui semakan semula selepas pelaksanaan dengan menemubual pengguna, semakan semula laporan output dan pemeriksaan laporan penggunaan komputer.





C. KAWALAN PENGOPERASIAN

OBJEKTIF KAWALAN


T


Untuk memastikan langkah-langkah yang bersesuaian telah diambil untuk: 1. Mencegah atau

mengesan ralat yang tidak disengajakan semasa pemprosesan.

2. Mencegah atau

mengesan penipuan yang memanipulasikan data.

3. Mengurangkan

kegagalan pemprosesan dan menyediakan pemulihan yang lengkap dan pada masanya dalam kejadian kegagalan tertentu.

4. Mencegah sistem

digunakan untuk tujuan yang tidak diluluskan.

1. Penjadualan Kerja 1.1 Jadual pemprosesan yang

formal perlu disediakan dan diluluskan untuk semua kerja pengeluaran yang berkala. Pengubahsuaian kepada jadual yang formal perlu dibuat menurut prosedur yang sedia ada.

• Senarai semakan semua

kerja berjadual dan kerja tidak berjadual

• Memeriksa kebolehgunaan perkakasan

2. Kelulusan Kerja 2.1 Tugas perlu diluluskan dengan

sempurna dan hanya tugas yang diluluskan sahaja perlu diproses.

• Prosedur kelulusan rasmi • Penjadualan Kerja yang

diluluskan • Perubahan kepada turutan

tugas pengeluaran hanya dibuat melalui saluran yang diluluskan

3. Kebolehcapaian 3.1 Terdapat kawalan ke atas

capaian kepada bilik komputer dan operasi/fungsi komputer:

• Capaian hanya kepada

kakitangan yang diluluskan di mana capaian terhad tertentu seperti kepada juruanalisa sistem, pengaturcara, pengguna, kakitangan penyenggara dan lain-lain.

• Mengasingkan fungsi operasi peralatan komputer, kawalan fail dan merangka tugas yang mana perlu.






OBJEKTIF KAWALAN


T


• Kakitangan pengendalian

tidak perlu dilibatkan dalam penulisan atau membuat pindaan kepada program atau capaian kepada dokumentasi untuk program/pindaan tertentu

• Kawalan ke atas capaian terminal kepada komputer:

- Penguncian terminal

atau bilik - Kata laluan pengguna/

pengenalan yang bukan paparan

- Kegunaan terminal dihadkan kepada jangkamasa khusus, fungsi, orang, lokasi, dan lain-lain.

- Kaedah pengesanan pencabulan keselamatan, contohnya berlebihan melog, perekodan melog sistem, dan lain-lain

• Tugas pengendali komputer perlu disilihganti secara berkala

3.2 Terdapat kawalan mencukupi

ke atas capaian dan penggunaan fail data dan perisian/program komputer:

• Capaian terhad kepada fail

yang berada dalam kawasan komputer, pustaka fail dan storan fail sokongan di luar lelaman

• Kawalan pustakawan ke atas fail storan dan fail keluaran; penggunaan manual katalog dan perisian pustakawan

• Fail-fail akan dilabel secara luaran dan dalaman ;






OBJEKTIF KAWALAN


T


penggunaan pemeriksaan label secara automatik

• Tatacara rasmi diwujudkan ke atas pemberian kata laluan dan keselamatan contohnya kata laluan ke atas fail program dan capaian dalam talian dinafikan kepada program fail kawasan storan

• Pengunaan terhad dan rekod/og yang lengkap ke atas penggunaan utiliti menerusi kawalan sistem pengendalian untuk menghalang pindaan data/fail

4. Dokumen Pengendalian 4.1 Manual tatacara dan

dokumentasi lain perlu disediakan untuk semua aspek pengendalian komputer, contoh:

• Manual pengendalian • Fungsi dan penyenggaraan

perkakasan • Arahan pengendalian

program • Penyenggaraan/pemulihan

fail • Penjadualan kerja/log

pengendalian • Arahan khusus lain

contohnya kegunaan program utiliti, capaian fail sensitif, penamatan program luarbiasa, jalanan semula, dan lain-lain

4.2 Prestasi peralatan dan

keperluan pengoperasian • Menganalisis log sistem • Aduan pengguna






OBJEKTIF KAWALAN


T


• Pemantauan prestasi

seperti perisian kerja perakaunan

• Perjanjian penyenggaraan dan kajian semula secara berkala

• Tatacara aktiviti pengemasan contohnya fail disusun semula, penyingkiran fail-fail yang tidak diperlukan, menggores fail pita, membersihkan media storan komputer, dan lain-lain, perlu diwujudkan.





D. KAWALAN FIZIKAL DAN PERSEKITARAN

OBJEKTIF KAWALAN


T


Untuk memastikan langkah-langkah yang bersesuaian telah diambil untuk mengurangkan kemungkinan: 1. Akses fizikal yang

tidak diluluskan ke atas aset ICT contohnya peralatan, data perkakasan, perisian, dokumentasi, dan lain-lain.

2. Ancaman dan bahaya

persekitaran contohnya kebakaran, banjir, kawalan serangga dan lain-lain.

1. Kawalan Fizikal 1.1 Lokasi fizikal pusat ICT:

• Lantai ditinggikan • Pencahayaan mencukupi • Lelaman jauh yang tidak

mudah dilihat • Jumlah yang terhad bagi

laluan keluar/masuk • Pengawal

keselamatan/petugas di tempat kawalan

• Pendawaian adalah sempurna terbumi

• Anti geselan statik • Pendedahan kepada

cahaya matahari secara langsung

1.2 Pertimbangan kawalan

keselamatan:

• Daftar kemasukan • Kad sentuhan • Berkunci • Kamera rakaman • Pas masuk yang diluluskan

atau lencana/fail log yang diperiksa/dikaji semula secara berkala

• Bahan buangan seperti bahan cetak dan disket CD perlu dibuang secara bersesuaian

• Ketulenan Biometrik 2. Kawalan Persekitaran 2.1 Risiko kerosakan disebabkan

kebakaran: • Lokasi dan struktur pusat

ICT adalah selamat daripada ancaman kebakaran






OBJEKTIF KAWALAN


T


• Adanya bekalan

air/perkhidmatan kebakaran• Peralatan pengesanan

kebakaran contohnya bahang/asap

• Peralatan pencegahan kebakaran, manual atau automatik, gas berkimia

● Sejauh mana, pusat ICT dibekalkan perabot dan kelengkapan yang kalis kebakaran

• Pembinaan pusat ICT dan pemasangan peralatan pengesanan/pencegahan kebakaran perlu mematuhi standard yang bersesuaian contohnya JKR/TNB/BOMBA yang dirangka oleh pihak berkuasa berkaitan dan diuji secara berkala

2.2 Kegagalan kuasa atau penghawa dingin:

• Peralatan pengawalaturan

voltan • Bekalan kuasa (contohnya

bateri/ penjana kuasa sokongan) yang berterusan

• Kawalan suhu dan kelembapan

• Had tapisan debu • Penghawa dingin sokongan • Penyerap petir

2.3 Risiko kemusnahan diakibatkan oleh air:

• Lokasi pusat ICT dan keselamatannya daripada ancaman persekitaran seperti banjir, ribut atau limpahan bekalan air

• Ancaman air dalaman seperti kebocoran paip atau semburan air dari atas siling yang digunakan






OBJEKTIF KAWALAN


T


sebagai peralatan pencegahan kebakaran

2.4 Kawalan Serangga Perosak

• Rawatan kawalan serangga perosak perlu dibuat secara berkala

3. Kesan ke atas Pemprosesan

ICT 3.1 Peruntukan Sandaran (Backup)

Harian

• Terdapat peruntukan yang mencukupi untuk memastikan kesinambungan operasi jika berlaku kemusnahan atau kegagalan peralatan dan fail komputer. Sandaran perlulah termasuk:

- fail data - perisian - perkakasan - dokumentasi - alat tulis - lelaman (site)

pemprosesan alternatif

4. Rancangan Kecemasan

Tatacara perlu diwujudkan untuk mengatasi situasi kecemasan seperti kebakaran, banjir, letupan, pencerobohan dan lain-lain. Kakitangan ICT perlu dilatih untuk melaksanakan tatacara kecemasan dan tatacara ini perlu diuji secara berkala contohnya latihan kebakaran (fire drill).





E. KAWALAN LALUAN LOGIKAL

OBJEKTIF KAWALAN


T


Untuk memastikan bahawa: 1. Pengguna adalah

dihadkan kepada aplikasi dan data yang sensitif.

2. Kegunaan utiliti sistem

yang berkuasa penuh seperti penyunting fail adalah dihadkan.

3. Risiko fail

program/data dipinda tanpa diluluskan adalah dikurangkan.

1. Adakah auditi mempunyai polisi

kawalan capaian? Adakah ianya didokumenkan dan terkini?

2. Apakah langkah capaian logik

yang menghadkan capaian kepada sistem pengendalian, fail data dan penggunaan? Adakah langkah tersebut bersesuaian?

• Menu yang terhad kepada

pengguna • Pengenalan dan kata

laluan pengguna • Semakan semula terhadap

pengguna dan hak capaian • Profil pengguna dan

pasukan ICT Nota: Juruaudit perlu mencari apakah kawalan capaian yang ada di dalam sistem pengendalian auditi contohnya UNIX, NOVELL.

• Adakah setiap pengguna ditetapkan suatu kod pengenalan yang unik?

• Bagaimana bersesuaiannya polisi kata laluan auditi? Contohnya :

- panjangnya kata laluan (minima/maksima)

- tempoh masa/tarikh luput

- pertukaran - pembentukan kata

laluan - penanggalan

pengenalan pengguna yang berpindah

- penyulitan kata laluan - pendaftaran dan

peruntukan kata laluan pengguna yang baru

- penguatkuasaan polisi kata laluan





E. KAWALAN LALUAN LOGIK

OBJEKTIF KAWALAN


T


3. Apakah langkah capaian logik yang diadakan untuk menghadkan capaian ke data dan persekitaran pengeluaran oleh kakitangan pembangunan sistem?

4. Bagaimanakah organisasi

memperuntuk, melulus, mengawal dan memantau pengguna yang khusus seperti Pentadbir Sistem/Pentadbir Pangkalan Data/Pengaturcara?

5. Organisasi luar yang manakah

mempunyai capaian kepada sistem contohnya melalui internet atau sokongan sistem talian melalui modem?. Adakah auditi mempertimbangkan implikasi keselamatan? Bagaimanakah sistem dilindungi? • Penggunaan tembok api • Pengasingan dalam

rangkaian • Kawalan penghalaan

rangkaian 6. Apakah kawalan capaian logik

lain yang sedang digunakan? Sebagai contoh: • Percubaan merakam

masuk yang dihadkan • Tatacara merakam masuk

dan melog • Capaian spesifik terminal • Percubaan melog yang

tidak dibenarkan • Terhad ke atas pelbagai

merakam masuk • Masa luput automatik

terminal capaian dihadkan dan menggunakan melog utiliti sistem dan peralatan audit

• Kawalan terminal yang tidak berjaga

7. Semua aktiviti melibatkan laluan

dan pengubahsuaian fail sensitif atau kritikal adalah dilog





F. KAWALAN RANCANGAN KESINAMBUNGAN URUSAN

OBJEKTIF KAWALAN


T


Untuk memastikan bahawa: 1. Penggunaan yang

cekap terhadap sumber komputer.

2. Wujud data sandaran. 3. Rancangan pemulihan

bencana sedia ada boleh didapati untuk sistem kritikal.

1.1 Terdapat tatacara yang di

wujudkan untuk mengurangkan kemungkinan kegagalan pemprosesan. Jika berlaku kegagalan tersebut, pemulihan yang sempurna dan bertetapan masa perlu untuk memastikan kesinambungan operasi. Langkah-langkah keselamatan fizikal perlu mencukupi.

1.2 Rekod daftar log bagi

penamatan program yang luar biasa yang lengkap pelaksanaan semula program atau peralatan yang tidak berfungsi.

1.3 Melakukan semakan semula

pengurusan yang tetap dan tindakan diambil terhadap perkara luar kebiasaan yang ditemui.

1.4 Arahan yang lengkap ke atas

tatacara di dalam keadaan kegagalan pemprosesan contohnya kakitangan untuk dihubungi, arahan memulakan semula/menjalankan semula, kontrak penyenggaraan yang dliluluskan dan lain-lain.

2.1 Tatacara rasmi diwujudkan

untuk membenarkan pemulihan fail perisian dan fail data. Contohnya prosedur sokongan yang baik untuk fail data, perisian sistem aplikasi program, pangkalan data dan dokumentasi sistem.

2.2 Adakah data/fail sokongan

telah diuji?. 2.3 Prosedur pemulihan terbenam






OBJEKTIF KAWALAN


T


di dalam sistem contohnya keupayaan untuk mendapatkan semula suatu data jika kes penamatan program yang luar biasa.

3.1 Rancangan luar jangkaan yang rasmi termasuk:

• Sumber sandaran yang akan

diperlukan; • Peranan dan tanggungjawab

bagi sesiapa yang terlibat dalam aktiviti pemulihan;

• Perancangan lokasi pemulihan bencana di luar lelaman (offsite) dan perjalanan dan penempatan untuk kakitangan yang penting, jika diperlukan;

• Lokasi storan di luar lelaman untuk fail sandaran; dan

• Tatacara untuk membaikpulih aplikasi kritikal dan turutannya dalam proses pembaikpulihan.

3.2 Terdapat latihan yang cekap

diberikan kepada kakitangan dengan merujuk kepada Manual Prosedur Sokongan.

3.3 Penyusunan rasmi ke atas

sokongan perkakasan alternatif dan keperluan pemprosesan.

3.4 Tatacara untuk semakan semula

yang berterusan dari segi prestasi peralatan dan keperluan operasi, perlu disediakan seperti:

• Analisa log sistem • Aduan pengguna • Pemantauan prestasi seperti

perisian kerja perakaunan • Mengekalkan perjanjian

penyenggaraan dan semakan semula berkala bagi aktiviti penyenggaraan






OBJEKTIF KAWALAN


T


• Tatacara yang

didokumenkan ke atas aktiviti pengemasan contohnya fail disusunatur semula, penyingkiran fail yang tidak penting, goresan fail pita, pembersihan media storan komputer dan lain-lain





G. KAWALAN PENYEDIA PEMBEKAL PERKHIDMATAN

OBJEKTIF KAWALAN


T


Untuk memastikan bahawa: 1. Perkhidmatan yang

dibekalkan oleh penyedia perkhidmatan adalah yang diperlukan oleh auditi.

2. Keutuhan, ketepatan

dan kebolehpercayaan angka yang disediakan oleh pembekal.

3. Kepentingan kerajaan

adalah dilindungi.

1.1 Perlu ada perjanjian dan/atau

Perjanjian Tahap Perkhidmatan atau Service Level Agreement (SLA) dan, sekiranya ada, ianya meliputi ke semua isu penting. Contohnya:

• Prestasi SLA • Keselamatan • Pemilikan data • Capaian data pelanggan • Capaian Audit SAI • Adanya perkhidmatan

seperti fail pustaka dan storan fail sandaran di luar lelaman (offsite)

• Rancangan luar jangkaan (contigency)

1.2 Apakah langkah yang telah

diambil untuk memastikan bahawa pemprosesan penyedia perkhidmatan adalah tepat dan lengkap, contohnya sijil jaminan (certificate of assurance)?.

1.3 Semakan semula klausa perjanjian untuk menentukan:

a) tempoh perjanjian b) hak penamatan c) capaian audit d) pembatasan liabiliti e) pampasan f) hak harta intelek g) pemilikan data h) susunan serahan pada akhir/penamatan perjanjian i) standard keselamatan j) tahap perkhidmatan k) caj, kos dan invois l) kawalan perubahan





H. KAWALAN PERKOMPUTERAN PENGGUNA

OBJEKTIF KAWALAN


T


Untuk memastikan bahawa sebarang data kewangan yang diterima selepas ringkasan, atau manipulasi oleh pakej tertentu, boleh disesuaikan kepada output asal.

1. Adakah auditi mempunyai

polisi perkomputeran pengguna yang berkelayakan?. Adakah ianya meliputi:

• Penggunaan perkakasan

yang diluluskan • Penggunaan perisian yang

diluluskan • Keperluan keselamatan • Dokumentasi • Sandaran data, program • Pengujian • Perlindungan virus • Kecurian dan penyalinan

perisian • Utiliti dan alatan komputer

peribadi 2. Adakah semua laporan,

program dan model paparan helaian mencukupi diuji dan didokumenkan sebelum digunakan dalam persekitaran secara langsung?

DRAF

LAMPIRAN

C


Lampiran C (Muka Surat 14)

JENIS KAWALAN APLIKASI


[1] PEMBERIAN KUASA PRA PEMPROSESAN

Suatu prosedur yang memerlukan kebenaran transaksi perakaunan

sebelum diterima untuk pemprosesan.

[2] KAJIAN SEMULA PRA PEMPROSESAN

Suatu kajian semula dokumentasi transaksi sebelum penukaran data

atau kemasukan data secara dalam talian.

[3] KAWALAN INPUT

Pelbagai teknik kawalan yang digunakan dari permulaan kelulusan

transaksi sehingga dimasukkan di terminal secara dalam talian atau

diterima oleh jabatan pemprosesan data.

[4] PENGELOMPOKAN

Suatu prosedur di mana kelompok dokumen transaksi untuk

pemprosesan input. Pengelompokan boleh menjadi suatu kawalan

berkesan yang akan mencegah dan mengenalpasti seperti berikut:

[a] Kehilangan dokumen transaksi;

[b] Tanpa kelulusan kepada dokumen transaksi;

[c] Tanpa kelulusan pindaan kepada transaksi;

[d] Ketidaktepatan penukaran data atau ketidaktepatan kemasukan

data secara dalam talian;

[e] Penduaan penukaran data atau penduaan kemasukan data

secara dalam talian ;

[f] Dokumen diproses dalam tempoh masa perakaunan yang salah





[5] PENGESAHBETULAN PENUKARAN

Pelbagai teknik kawalan digunakan untuk mencegah atau mengesan

kesilapan yang boleh berlaku bila maklumat ditukar ke dalam mesin

pembaca atau media elektronik.

[6] SUNTINGAN

Suntingan adalah rutin di dalam komputer program yang menguji

ketepatan, kesempurnaan, atau kemunasabahan bagi input sesuatu

data.

[7] PEMBETULAN RALAT DAN PENGHANTARAN SEMULA

Pembetulan Ralat dan Penghantaran Semula adalah prosedur yang

digunakan untuk membetul dan menghantar semula bagi kelompok

atau transaksi di mana ujian kawalan fail kelompok, ujian pengeditan,

ujian program yang munasabah atau pemadanan sistem.

[8] PROSEDUR BERPENGGAL

Prosedur Berpenggal adalah digunakan pada berakhirnya tempoh

masa perakaunan untuk memastikan bahawa semua transaksi

diproses dan memastikan bahawa transaksi untuk tempoh masa yang

berikutnya adalah tidak diproses dalam tempoh semasa perakaunan.

[9] KAWALAN PEMBETULAN FAIL

Pelbagai teknik kawalan mungkin boleh digunakan untuk menghalang

atau mengesan kesilapan yang boleh berlaku jika fail komputer yang

salah digunakan.





[10] PENGUJIAN BERPATUTAN TERANCANG

Pengujian Berpatutan Terancang adalah rutin di dalam program

komputer di mana menguji ketepatan, kesempurnaan dan

kemunasabahan data.

[11] SISTEM PEMADANAN

Sistem Pemadanan adalah rutin di dalam sebuah program komputer di

mana transaksi yang dipadankan kepada maklumat yang sepadan ke

atas fail kedua. Jika sepadanan berlaku, transaksi akan bersambung

ke pemprosesan berikutnya.

[12] KAWALAN FAIL INDUK

Kawlan Fail Induk digunakan untuk mencegah atau mengesan

kesilapan yang mungkin berlaku jika fail induk yang salah digunakan;

atau jika fail induk yang mengandungi data yang tidak tepat, tidak

lengkap dan tidak dibenarkan.

[13] KAWALAN PEMPROSESAN

Kawalan Pemprosesan adalah termasuk pelbagai teknik yang

digunakan untuk mengawal transaksi di dalam jabatan pemprosesan

data. Tujuan kawalan ini adalah untuk mencegah atau mengesan:

[a] Transaksi yang tidak dibenarkan;

[b] Transaksi pengubahsuaian yang tidak dibenarkan;

[c] Pemprosesan yang tidak dibenarkan;

[d] Penyediaan dokumen dapat dirundingkan yang tidak dibenarkan





14] KESEIMBANGAN

Kesimbangan adalah perbandingan jumlah yang dibangunkan dalam

satu fasa pemprosesan kepada jumlah yang dibangunkan dalam fasa

pemprosesan berikutnya.

[15] SEMAKAN SEMULA SELEPAS PEMPROSESAN

Semakan Semula Selepas Pemprosesan adalah suatu semakan

laporan untuk menentukan bahawa ianya adalah munasabah, tepat

dan sempurna.

[16] JADUAL

Jadual mungkin diwujudkan untuk penghantaran dan penerimaan

dokumen input bagi operasi yang signifikan atau pemprosesan yang

sensitif dan untuk penghantaran signifikan atau laporan sensitif.

[17] AUDIT DALAMAN BERKALA

Audit Dalaman Berkala adalah semakan semula secara berkala bagi

kawalan kritikal oleh penyemak-penyemak semula yang bebas dan

berpengalaman. Suatu semakan semula auditan dalaman mungkin

digunakan untuk mengawal keseluruhan jenis kesilapan atau bagi

memastikan lain-lain kawalan adalah berkesan dan selaras digunakan.

[18] PROSEDUR PEMULIHAN

Prosedur Pemulihan digunakan untuk pemprosesan terperinci selepas

gangguan atau kehilangan fail atau program komputer.





[19] PROSEDUR PEMBANGUNAN

Pembangunan sistem adalah proses yang digunakan di mana sistem

direka bentuk, dibangunkan dan dilaksanakan. Proses ini mungkin

melibatkan pembangunan secara dalaman bagi program komputer

atau pakej perolehan dari vendor perisian luaran.

[20] PROSEDUR PINDAAN

Dari masa ke semasa, sistem akan diubahsuai untuk memenuhi

kehendak syarat pemprosesan yang baru atau pemprosesan

diulangkaji. Pengubahsuaian tertentu mungkin melibatkan

pembangunan program baru, tambahan rutin baru kepada program

yang sedia ada, atau perubahan kepada rutin dalam pogram yang

sedia ada.

DRAF

LAMPIRAN

D


Lampiran D (Muka Surat 14)

PROGRAM PENILAIAN KAWALAN APLIKASI

Draf Garis Panduan Pengauditan ICT Jabatan AudIt Negara 66 APRIL 2007

A. KAWALAN APLIKASI AM

OBJEKTIF KAWALAN


T


Untuk memastikan wujud tatacara keselamatan dalam input, pemprosesan dan output.

Kawalan Keselamatan Aplikasi

1. Mendapatkan tatacara pengurusan untuk memastikan:

• Jejak audit adalah mencukupi

untuk mengenalpasti transaksi individu dan tindakan yang dilaksanakan semasa pemprosesan

• Pemulihan data pada

masanya, lengkap dan tepat sekiranya berlaku kegagalan mesin, perisian sistem, perisian aplikasi atau yang lain. Kawalan sistem termasuk:

a) mesej untuk maklumbalas b) transaksi jujukan c) pemprosesan titik semak d) kod transaksi melog e) kod transaksi

mengenalpasti

• Pihak bertanggungjawab untuk persediaan dokumen input, atau mempunyai capaian kepada dokumen sumber yang tidak digunakan adalah yang tiada mempunyai capaian kepada perisian aplikasi dan fail data.

• Untuk sistem dalam talian,

dapatkan Senarai Kawalan Capaian untuk memastikan bahawa capaian sistem adalah terhad. Mengesahkan bahawa transaksi diluluskan sahaja diproses meliputi: a) lokasi peralatan b) penguncian fizikal bagi

peranti input





A. KAWALAN APLIKASI AM

OBJEKTIF KAWALAN


T


c) perlindungan kata

laluan logik d) penyulitan data e) kawalan sumber sistem

oleh vendor yang membekalkan pakej perisian

f) capaian terhad kepada masa tertentu/melog semua penggunaan komputer

2. Mendapatkan huraian

tugas/senarai tugas di dalam pasukan ICT untuk mengasingkan tugas perekodan, kelulusan, persediaan input, pembetulan ralat dan kawalan output.

3. Memastikan fail induk dan

prosedur kawalan pengukuhan adalah wujud.





B. KAWALAN INPUT

OBJEKTIF KAWALAN


T


Untuk memastikan bahawa input data untuk pemprosesan adalah yang diluluskan, lengkap dan tepat.

Kawalan Input

1. Data input adalah sempurna

diluluskan

• Tatacara kelulusan data input yang sesuai perlu diwujudkan dan dinilaikan.

2. Transaksi direkodkan untuk

pemprosesan berikutnya seperti:

• Bentuk atau format skrin

yang direka khusus • Kegunaan dokumen yang

bertukar haluan • Penomboran dokumen

sumber • Mengenalpasti transaksi • Jujukan log

3. Semua transaksi adalah diinput

ke dalam komputer melalui:

• Pemeriksaan jujukan [sequence] berkomputer

• Pengelompokan • Pemeriksaan terperinci

bagi input kepada output (penyesuaian) atau

• Kawalan Penjumlahan seperti kelompok/ Penjumlahan Pengolahan

4. Data dihantar dengan

lengkapnya dari peranti input dalam talian ke komputer melalui:

• peranti dalam talian ke

jujukan komputer • peranti dalam talian ke

penyesuaian berkomputer • dokumentasi kawalan • prosedur pengguna





B. KAWALAN INPUT

OBJEKTIF KAWALAN


T


5. Semua dokumen sumber

adalah ditandakan untuk melindungi dari diduplikasi atau pemasukan semula.

6. Data perekodan pemulaan ke

atas dokumen sumber atau media komputer contohnya kemasukan langsung ke terminal adalah tepat.

• Pemeriksaan penyuntingan

yang diprogramkan • Data pra kod • Pengesahan digit

pemeriksaan • Penyesuaian dokumen

7. Di mana bersesuaian, data

adalah dialih susun dengan tepatnya dari sumber ke dokumen input.

• Mengesahkan visual • Data pra kod • Pengelompokan • Dokumen bertukar haluan





C. KAWALAN PEMPROSESAN

OBJEKTIF KAWALAN


T


Untuk memastikan bahawa data adalah lengkap, tepat dan diluluskan semasa pemprosesan.

Kawalan Pemprosesan Data 1. Semua transaksi yang diterima

oleh komputer adalah diproses, dikemaskini ke fail induk dan/atau muncul dalam output secara:

• Pengelompokan • Pemeriksaan terperinci

input ke output • Melaksanakan penyesuaian • Melog transaksi • Kawalan penjumlahan

seperti kelompok, penjumlahan pengolahan, algoritma contohnya pemeriksaan digit

2. Jika boleh mengesahkan

bahawa data tepat ditukar kepada boleh dibaca mesin, (contohnya mendapatkan kod sumber atau algoritma program) dengan cara :

• Mengesah kekunci • Boleh dibaca mesin • Dokumen bertukar haluan;

atau • Sistem berdasarkan menu

3. Semua transaksi yang ditolak

semasa pemprosesan direkodkan, dibetulkan dan dihantar semula dengan segera seperti:

• Memantau pembetulan

ralat • Semakan semula visual

dari dokumen sumber • Pengendalian ralat rasmi

dan prosedur pembetulan, definisi tanggungjawab

• Menggantung fail/kelompok yang ralat atau melog ralat





D. KAWALAN OUTPUT

OBJEKTIF KAWALAN


T


Untuk memastikan bahawa output adalah lengkap, tepat dan dilindungi secukupnya dan diagihkan kepada penerima yang dibenarkan pada tepat masanya.

Kawalan Output 1. Semakan semula

Output perlu disemak semula untuk memastikan ia tepat dan lengkap seperti mendapatkan prosedur dan sampel bukti semakan semula contohnya semua pengecualian dikenalpasti dan dilaporkan untuk tindakan lanjut.

2. Keseimbangan dan

Penyesuaian

• Output perlu diimbangkan untuk kawalan penjumlahan

• Penyesuaian di antara input dan output di mana yang perlu

3. Pengagihan

Polisi yang wujud berhubung pengelasan dan pengagihan laporan.

• Di mana salinan cetak

dikeluarkan untuk memastikan bahawa sejumlah salinan, kaedah pengagihan dan penerima yang diluluskan adalah direkodkan

• Prosedur rasmi untuk

pelupusan dokumen sensitif yang rosak sama ada dalam magnetik atau lain-lain media





D. KAWALAN OUTPUT

OBJEKTIF KAWALAN


T


4. Pengendalian ralat (error]

Prosedur ke atas pengendalian ralat adalah diwujudkan dan disemak semula. • Melapor dan mengenalpasti

sumber ralat 5. Pengendalian dan pengekalan

• Prosedur pengendalian dan pengekalan output sedia ada.

DRAF

LAMPIRAN

E


Lampiran E (Muka Surat 16)

PROGRAM PENILAIAN KAWALAN RANGKAIAN


A. AM OBJEKTIF KAWALAN

PERTIMBANGAN AUDIT

Y

T


Untuk memastikan bahawa: 1. Polisi rangkaian

diwujudkan dengan jelas, berkeadaan semasa dan beroperasi baik.

2. Perlindungan adalah

mencukupi bagi penghantaran data melalui jaringan rangkaian dan internet.

3. Terma dan syarat

bagi kontrak rangkaian adalah dipatuhi.

4. Struktur dan susun

atur rangkaian adalah didokumenkan dengan sempurna.

1. Dapatkan standard and polisi

untuk kawalan rangkaian am. 2. Kaji semula polisi bertulis yang

meliputi keseluruhan rangkaian dan fungsi

• Pentadbir Rangkaian • Jejak audit • Keselamatan rangkaian • Penyulitan Data • Capaian logik • Polisi penggunaan internet

3. Adakah penggunaan rangkaian

terhad kepada waktu urusan? 4. Adakah terminal secara fizikalnya

atau logiknya didefinisikan kepada rangkaian atas asas pemberian kuasa secara bertulis?

5. Adakah kelulusan penyelia

diperlukan untuk menggunakan terminal/talian ke luar dari waktu beroperasi yang dijadualkan?

6. Adakah inventori peralatan

komunikasi data, termasuk talian, terminal, modem, alat pengawal dan lain-lain?

7. Adakah tanggungjawab dan

liabliliti organisasi dan vendor rangkaian telah diperjelaskan contohnya kontrak?. Adakah kepentingan kerajaan dilindungi?

8. Adakah gambarajah rangkaian di

mana hubungan fizikal dan logik di antara peralatan komunikasi telah disediakan contohnya: Rangkaian Kawasan Setempat (LAN), Rangkaian Kawasan Luas (WAN) dan Rangkaian Kawasan Metropolitan (MAN)?





A. AM OBJEKTIF KAWALAN

PERTIMBANGAN AUDIT

Y

T


9. Adakah dokumen rangkaian

meliputi deskripsi: a) peralatan komunikasi data

yang digunakan untuk menyokong setiap aplikasi rangkaian?

b) Penggunaan protokol? c) Pintu masuk ke rangkaian

lain?

10. Adakah peralatan komunikasi telah ditanda untuk memudahkan rujukan silang kepada dokumen?





B. PRESTASI/KEUTUHAN OBJEKTIF KAWALAN

PERTIMBANGAN AUDIT

Y

T


Untuk memastikan bahawa: 1. Wujudnya rangkaian

yang berkesan. 2. Terdapat kawalan

yang mencukupi untuk pengagihan data dengan mengambil kira keserasian, keutuhan, keberkesanan penggunaan data.

1. Adakah standard prestasi telah

dwujudkan?. Apakah alat pemantauan dan perisian yang sedang digunakan (Sistem Pengurusan Rangkaian)? Dapatkan laporan yang perlu.

2. Adakah terdapat terminal yang

khusus untuk memantau aktiviti di dalam sistem dalam talian/masa sebenar contohnya terminal konsol (console)?

3. Apakah keutamaan terminal atau

syarat aplikasi untuk setiap talian rangkaian adalah munasabah?

4. Adakah kakitangan sokongan

rangkaian menyemak semula aplikasi baru untuk menentukan impaknya ke atas sistem yang sedia ada?

5. Adakah rancangan kapasiti

merangkumi analisis bagi panjang mesej, protokol, jumlah transaksi dan kepadatan lalulintas mesej?

6. Adakah masa sambutan

(response time) diukur dan dinilai untuk peningkatan kemungkinan daya pemprosesan komunikasi? Adakah sebarang mekanisma untuk memantau sistem rangkaian masa sambutan dan tempoh masa sistem yang tidak berfungsi?

7. Adakah prestasi perkakasan

dibandingkan kepada spesifikasi vendor?

8. Adakah pengurusan menyemak semula perkhidmatan yang dilaksanakan oleh vendor?





B. PRESTASI/IKEUTUHAN OBJEKTIF KAWALAN

PERTIMBANGAN AUDIT

Y

T


9. Adakah pemeriksaan berkala bagi rangkaian dibuat untuk mengesahkan operasi yang sesuai dan mengesan ralat bagi terminal/talian/modem?

10. Adakah kegagalan perkakasan

komunikasi didokumentasi, termasuk tindakan pembetulan yang diambil?

11. Adakah peralatan rangkaian

dikonfigurasi secara berkala contohnya modem.

12. Apakah langkah-langkah yang

diambil untuk mengurangkan ralat penghantaran? Dapatkan laporan yang berkaitan.

13. Adakah penghantaran digital

dipertimbangkan untuk mengurangkan ralat penghantaran?

14. Adakah prosedur diwujudkan

untuk memastikan bahawa semua transaksi yang dihantar telah diterima contohnya kiraan rekod dihantar dan diterima.

15. Adakah kawalan yang sesuai

dalam sistem mesej dan komunikasi untuk memastikan komunikasi yang dihantar ke destinasi yang sebenar?

16. Adakah suatu semakan semula

bagi semua laporan ke atas transaksi yang yang tidak diakaunkan, diherot, dipendua, atau dilengah?

17. Adakah perisian dalam talian

melog semua ralat dan penghantaran semula?





B. PRESTASI/KEUTUHAN OBJEKTIF KAWALAN

PERTIMBANGAN AUDIT

Y

T


18. Adakah individu yang ditugaskan

untuk menyemak semua log ralat dan memaklumkan kepada pegawai keselamatan bagi sebarang perkara luar biasa yang berlaku?

19. Adakah kaedah mencipta jurnal

seperti jejak bagi mesej dihantar?

20. Adakah suatu kaedah untuk

mengenalpasti mesej yang menyalahi undang-undang?

21. Adakah terdapat kemudahan

sandaran untuk sistem dalam talian ketika berlakunya kejadian kecemasan seperti talian sewa atau talian dail?

22. Adakah sandaran talian dail/talian sewa digunakan dalam kes kegagalan talian? Adakah ianya mencukupi?

23. Jika perkhidmatan terganggu,

adakah terdapat prosedur bertulis yang diikuti untuk pemulaan semula rangkaian dalam talian?

24. Adakah sistem menyediakan

prosedur pemulaan semula dan pemulihan yang boleh mendapatkan semula komunikasi berikutan kegagalan perkakasan/perisian?

25. Jika penyedia perkhidmatan,

contohnya GITN digunakan, adakah ianya menyediakan sandaran yang sesuai dan kawalan pemulihan?





C. KAWALAN CAPAIAN JAUH [REMOTE ACCESS] OBJEKTIF KAWALAN

PERTIMBANGAN AUDIT

Y

T


Untuk memastikan bahawa capaian jauh ke sistem adalah terhad kepada pengguna yang diluluskan.

1. Adakah polisi dan prosedur

berkaitan dengan kemudahan talian dail disediakan?

2. Adakah suatu senarai pengguna

yang diluluskan bagi kemudahan talian dail?

3. Adakah peruntukan telah

diwujudkan untuk memastikan nombor telefon dirahsiakan, contohnya tidak disenaraikan?

4. Adakah nombor telefon talian dail

ditukar secara berkala? 5. Adakah nombor telefon

dikeluarkan dari modem untuk menghalang capaian kepada nombor telefon talian dail?

6. Adakah sebarang kaedah untuk

mengecam capaian yang tidak diluluskan contohnya penceroboh?

7. Bolehkan CPU menyoal selidik

terminal talian dail, mendapat nombor pengenalannya secara auotomatik, dan mengesahkan terminal yang memanggil adalah terminal yang sama?

8. Adakah sistem memutuskan

penggunaan jika pengguna menamatkan talian tanpa melog keluar dengan sempurna?





D. KAWALAN KESELAMATAN FIZIKAL OBJEKTIF KAWALAN

PERTIMBANGAN AUDIT

Y

T


Untuk memastikan kawalan berterusan ke atas aset fizikal dan sumber di semua lokasi rangkaian.

1. Menentukan bahawa aset

inventori rangkaian yang dikekalkan pada lelaman tertentu yang disemak semula secara berkala berbanding lokasi rangkaian sebenar.

2. Menentukan fungsi kawalan

pusat telah ditubuhkan untuk menyelaras semakan semula kawalan bagi aset dan sumber rangkaian pada semua lokasi rangkaian.

3. Adakah kebimbangan fizikal dan

persekitaran ditangani untuk melindungi peralatan komunikasi dari persekitaran operasi yang menyukarkan?

4. Adakah bilik peralatan telefon

selamat? 5. Adakah kabel dan skrin paparan

video dilindungi secara elektrik untuk menghalang pancaran atau pengubahan fizikal?

6. Adakah kabel/talian di stor kecil

dikunci dan tidak dilabel? 7. Adakah kabel/talian diperiksa

secara berkala untuk mengesan dawai pengintipan (wiretap) yang aktif atau pasif?

8. Adakah terdapat sebarang

peralatan ujian yang sedang digunakan?

9. Adakah peralatan ujian yang

digunakan untuk memantau rangkaian komunikasi dikawal dan terhad kepada kakitangan yang sesuai?





D. KAWALAN KESELAMATAN FIZIKAL OBJEKTIF KAWALAN

PERTIMBANGAN AUDIT

Y

T


10. Adakah skop data yang sedang

digunakan untuk memantau litar dalam talian dan peralatan? Jika ada:

a) Adakah ia dalam kawasan

yang selamat? b) Adakah ia melog

kemasukan? c) Adakah ia berkebolehan

memasukkan data ke talian?

d) Adakah capaian terhad kepada kakitangan yang diluluskan sahaja?

11. Adakah manual dokumentasi

log masuk, arahan sistem dan transaksi dalam talian ditandakan sebagai sulit dan ditempatkan di kawasan yang selamat jika tidak digunakan?

12. Adakah keputusan kawalan

semakan semula dikemukakan ke fungsi kawalan pusat dan digunakan untuk mencapai keutuhan berterusan dan mengawal rangkaian fizikal secara keseluruhan?





E. KESELAMATAN LOGIKAL OBJEKTIF KAWALAN

PERTIMBANGAN AUDIT

Y

T


Untuk memastikan mekanisma keselamatan adalah mencukupi untuk menghadkan capaian ke kemudahan pemprosesan rangkaian, terminal dan sistem.

1. Adakah kata laluan dan kod pengguna unik perlu untuk melog masuk ke perisian komunikasi?

2. Adakah prinsip bagi sedikit

keistimewaan contohnya jaminan kelulusan capaian minima perlu untuk menjalankan tugas yang diperlukan telah dilaksanakan?

3. Adakah kakitangan yang

diluluskan sahaja yang dibenarkan untuk capaian perisian komunikasi?

4. Adakah kakitangan yang

diluluskan sahaja yang dibenarkan untuk memeriksa storan penimbal contohnya penggunaan perisian NCCF atau skop data, pengguna boleh memeriksa mesej termasuk pengenalan dan kata laluan?

5. Jika rangkaian telah

dikonfigurasi untuk membenarkan fungsi terminal jauh contohnya penyenggaraan vendor atau perkhidmatan oleh kakitangan vendor, adakah had lalai perkhidmatan lapangan disemak semula untuk keperluan yang didemonstrasikan?

6. Jika penyedia perkhidmatan

sedang digunakan untuk penghantaran data, adakah ianya menyediakan langkah-langkah keselamatan yang mencukupi untuk kawalan pengenalan dan katalaluan?

7. Adakah sistem menghalang

paparan bagi sebarang maklumat HELP sebelum pengguna telah berjaya untuk melog masuk?





E. KESELAMATAN LOGIK OBJEKTIF KAWALAN

PERTIMBANGAN AUDIT

Y

T


8. Semasa melog masuk, adakah

sistem memaklumkan kepada pengguna bilakah pada kali terakhir dia melog keluar?

9. Adakah terminal penimbal

dipadamkan selepas berjaya untuk melog masuk?

10. Adakah pengguna dihalang

daripada membuat percubaan melog masuk tanpa had, jika tidak berjaya?

11. Jika sesuatu terminal tidak

ditakrifkan dalam jadual sistem, adakah ia dihalang mencerobohi dengan melampirkan kepada sistem sebagai satu daripada entiti yang ditakrifkan?. (Contoh cara terbaik untuk mengendalikannya adalah dengan memastikan bahawa terminal ini diputuskan dengan beberapa cara contohnya dengan kawalan kata laluan melalui kemudahan LOG KELUAR dalam VTAM, atau, dengan cara menetapkannya dalam senarai peninjauan).

12. Jika maklumat sensitif sedang

diproses, adakah terdapat kawalan yang mencukupi untuk memastikan bahawa output boleh diarahkan kepada pencetak yang ‘diluluskan’ atau kemudahan cetakan yang ‘diluluskan’?

13. Adakah penyulitan

(encryption) mesej telah dipertimbangkan untuk memastikan data dan kata laluan yang sensitif selamat dihantar?





E. KESELAMATAN LOGIK OBJEKTIF KAWALAN

PERTIMBANGAN AUDIT

Y

T


14. Jika penyulitan digunakan,

adakah kawalan ke atas kunci penyulitan telah dibangunkan?

15. Adakah sistem

menggunakan kaedah keselamatan bagi aliran trafik untuk menyembunyikan kehadiran mesej yang bermakna dalam talian dengan menyebabkan litar muncul sibuk sepanjang masa atau dengan menyulitkan sumber dan alamat destinasi bagi mesej yang bermakna?

16. Dengan keupayaan sistem

mel elektronik di mana mesej pop timbul dalam mod interaktif, adakah penguna diarahkan untuk mengabaikan permintaan penceroboh untuk pengenalan/kata laluan dengan memaklumkan bahawa tidak ada suatu permintaan sistem yang perlu disahkan?

DRAF

LAMPIRAN

F

Garis Panduan Pengauditan ICT Lampiran F

(Muka Surat 17)

PERANAN JABATAN AUDIT NEGARA SEMASA PROSES PEMBANGUNAN SISTEM


KEMENTERIAN/ JABATAN/AGENSI

KERAJAAN (AUDITI)

JABATAN AUDIT NEGARA

* Mengenalpasti

kakitangan pembangunan modal insan ICT

*Permasalahan dokumen * Menyediakan

rancangan Perancangan Sistem Maklumat bagi pembangunan sistem

* Faedah kos pengendalian yang diramal

* Menyediakan CRFP * Memperolehi keperluan

pengguna * Menghalusi skop dan

objektif sistem * Menyemak masa dan

keperluan kakitangan * Menyemak analisis

ramalan kos dan faedah

*Tentukan sama ada permintaan dan keperluan

dinyatakan adalah menggambarkan keperluan sebenar

*Menilai permintaan berdasarkan projek akan dating

*Mengkaji semula kos dan

analisis faedah yang berpatutan *Menentukan sama ada kajian

boleh membantu kesimpulan dan syor cadangan sistem

*Mengkaji semula dan menilai

CRFP *Mengkaji semula rancangan

Perancangan Sistem Maklumat bagi pembangunan sistem

Permintaan

Kajian Kemungkinan

Cadangan

Penerimaan Pengguna?

Projek Ditamatkan Atau Pertimbangan

Semula

Analsis

2

Tidak

Ya

A


(Muka Surat 17)


Draf Garis Panduan Pengauditan ICT Jabatan Audt Negara 85 APRIL 2007


KERAJAAN (AUDITI)


* Menyediakan spesifikasi fungsian * Menyediakan Rekabentuk Konsep dan Logik * Menyemak keperluan masa dan kakitangan * Menyemak analisis faedah kos pengendalian dan kos pembangunan * Menyediakan rekabentuk spesifikasi * Menulis dan menguji program * Dokumentasi sistem yang terakhir * Rekabentuk terakhir bagi manual pengguna * Menempatkan pengeluaran sistem baru

* Mengkaji semula spesifikasi fungsian dan keperluan pengguna

* Menilai analisis risiko * Mengkaji semula analisis feadah

kos belajawan yang dikemaskini dan sebarang kajian impak

* Menasihat kriteria ujian penerimaan kawalan dalaman dan rancangan pengujian sistem

* Mengkaji semula spesifikasi

rekabentuk *Menilai cadangan peralatan dan

tatarajah perisian sistem untuk kawalan dalaman dan keselamatan

* Mengkaji semula dokumen * Mengkaji semuala rekabentuk

manual pengguna * Menasihat berhubung kawalan

dalaman * Memantau aktiviti kawalan

perubahan bagi keselamatan data dan fungsi pentadbiran data

* Mengkaji semula keputusan pengujian

* Mengkaji semula prosedur

rancangan dan pengujian untuk pelaksanaan pertukaran, sandaran dan pemulihan

* Memantau sebarang penukaran fail, pengujian selari dan pelaksanaan

* Memantau aktiviti kawalan pertukaran


2

Rekabentuk

Spesifikasi Rekabentuk

Program dan Pengujian

Pelaksanaan

3

B

Tidak

Ya

Projek Ditamatkan Atau

Pertimbangan Semula

Spesifikasi Fungsian

A


(Muka Surat 17)




KERAJAAN (AUDITI)


* Melantik pasukan bebas untuk kajian semula * Menyediakan ringkasan projek * Menyediakan penilaian projek

* Mengkaji semula dokumen

sistem dan program

* Mengkaji semula prosedur dan latihan untuk bahagian pengendalian dan pengguna

* Mengkaji semula pengujian penerimaan pengguna

* Mengkaji semula aktiviti

semakan semula selepas pelaksanaan

* Memantau sebarang aktiviti kawalan perubahan

* Menjadualkan sistem ke dalam rancangan audit

* Mengkaji semula dan

membandingkan laporan Kajian Semula Selepas Pelaksanaan dengan Perancangan Sistem Maklumat sama ada mencapai faedah kos


Latihan Pengguna dan

Perubahan

3

B

Pembetulan Kepada

Spesifikasi

Selepas Pelaksanaan

Tidak

Ya

Ringkasan Projek

DRAF

LAMPIRAN

G

Garis PanduanPengauditan ICT Lampiran G

(Muka Surat 17)

PROGRAM PENILAIAN KAWALAN PEMBANGUNAN SISTEM


A. KAWALAN AM

OBJEKTIF KAWALAN


T

ULASAN/ RUJUKAN KERTAS

KERJA Untuk memastikan bahawa: 1. Sistem yang

dibangunkan mematuhi peraturan dan undang-undang kerajaan.

2. Kepentingan kerajaan

telah diambil kira dalam perumusan kontrak. (* Kontrak ini perlu dirujuk sepanjang pengauditan bagi pengauditan serentak)

1.1 Wujudnya Rancangan

Strategik Maklumat. 1.2 Pembentukan Jawatankuasa

Pemandu ICT, Jawatankuasa Teknikal ICT & Pasukan Projek.

1.3 Memastikan semua pekeliling

berhubung pembangunan sistem dipatuhi.

2.1 Penyampaian bagi

dokumentasi pembangunan sistem pada setiap fasa dinyatakan di dalam kontrak.

2.2 Berkaitan Pemindahan

Teknologi, kakitangan ICT boleh mengekalkan dan membuat ukuran operasi asas bagi sistem.

2.3 Latihan. 2.4 Pemilikan seperti:

• Sistem dan kod sumber menjadi hak milik kerajaan

2.5 Keperluan audit seperti:

• Capaian tidak terhad kepada sistem

• Jejak-jejak audit • Modul audit yang

terbenam • Keselamatan

2.6 Bayaran kemajuan mengikut

kontrak. 2.7 Rancangan Pemulihan Bencana


(Muka Surat 17)



B. KAWALAN PERANCANGAN

OBJEKTIF KAWALAN


T

ULASAN/ RUJUKAN

KERTAS KERJA Untuk memastikan bahawa: 1. Sistem yang

dibangunkan telah diluluskan dan dilaksanakan jika dapat diberikan atas alasan ekonomi dan lain-lain.

2. Sistem dibangunkan

menurut rancangan dan prosedur yang telah diluluskan.

1.1 Analisa kos projek dan faedah-faedah yang disediakan untuk menilai kemungkinan ekonomi bagi setiap alternatif.

• Analisa kos & faedah • Anggaran masa & kos • Kajian impak • Kemajuan teknologi • Keperluan pengguna • Risiko untuk menyiapkan

projek 1.2 Laporan kajian kemungkinan telah

disemak oleh Jawatankuasa Pemandu ICT dan keputusannya telah pun dibuat.

1.3 Sumber yang diperlukan untuk

menyokong sistem selepas ianya dibangunkan.

1.4 Pasukan projek perlu mempunyai

kemahiran dan masa untuk melaksanakan tugasan yang dipertanggungjawabkan.

1.5 Sistem yang sedia ada perlu

disemak semula dengan mencukupi:

• Kewujudan masalah dengan

keperluan pengguna • Sistem yang baru adalah

berdasarkan semakan semula dan kajian kemungkinan

1.6 Kenyataan terperinci bagi Spesifikasi Keperluan Pengguna (SKP) seperti:

• Deskripsi masalah semasa • Huraian naratif bagi keperluan

sistem yang dicadangkan • Kriteria penerimaan sistem • Penglibatan semua pengguna • SKP perlu didokumen dan

diluluskan oleh Jawatankuasa Pemandu ICT


(Muka Surat 17)



B. KAWALAN PERANCANGAN

OBJEKTIF KAWALAN


T


KERJA

1.7 SKP diterjemahkan ke dalam Spesifikasi Keperluan Fungsian (SKF).

1.8 Proses Kitar Hayat

Pembangunan Sistem termasuk:

• Kajian semula sistem sedia

ada • Definisi keperluan

pengguna • Rekabentuk sistem

konseptual atau penilaian pakej

• Analisa kos faedah (termasuk keperluan perkakasan)

• Analisa dan rekabentuk sistem terperinci

• Pengaturcaraan • Pengujian • Manual dan dokumentasi

prosedur • Penukaran dan

penerimaan sistem • Semakan semula Selepas

Pelaksanaan


(Muka Surat 17)



C. KAWALAN REKABENTUK DAN PEMBANGUNAN

OBJEKTIF KAWALAN


T


KERJA Untuk memastikan bahawa rekabentuk dan pembangunan sistem mengambilkira keperluan pengguna.

1.1 SKP diterjemahkan ke dalam

rekabentuk sistem logik dan fizikal.

1.2 Rekabentuk telah

didokumenkan dengan sempurna.

1.3 Rekabentuk sistem konsep perlu merangkap perkara berikut:

• Gambarajah Kontek • Gambarajah Hubungan

Entiti • Gambarajah Aliran Data • Masa pemprosesan dan

kaedah am bagi operasi • Antaramuka secara

manual dan dengan lain-lain sistem

• Tanggungjawab untuk kelengkapan dan ketepatan data

• Penglibatan pengguna dalam proses rekabentuk

1.4 Rekabentuk fizikal perlu

termasuk:

• Aliran fizikal • Tatacara perkakasan • Aliran sistem • Spesifikasi fail dan

pangkalan data • Spesifikasi program

komputer • Input dan susunatur

laporan


(Muka Surat 17)




OBJEKTIF KAWALAN


T


KERJA

1.5 Menentukan bahawa

rekabentuk yang terperinci meliputi semua perkara penting berhubung dengan sistem dan operasi organisasi:

• Rekabentuk fail perlu

selaras dan semua cakera dan fail pita perlu lengkap huraian dan didokumennya

• Jejak audit perlu mencukupi dan kawalan capaian perlu sempurna dan dijelaskan

• Format input & dokumen sumber dijelaskan dengan terperinci

• Peruntukan pengesahan dan kawalan pengendalian ke atas dokumen sumber dan input contohnya: pengelompokan, perimbangan dan pemeriksaan suntingan

• Input, pemprosesan, output and kawalan operasi perlu mencukupi dan sempurna didokumenkan

• Output dijelaskan dengan terperinci dan perlu mencapai keperluan pengguna (mengikut terma kegunaan kandungan) dan juga mencapai peruntukan keselamatan

• Penglibatan pengguna dalam pembangunan seperti Pemindahan Teknologi


(Muka Surat 17)




OBJEKTIF KAWALAN


T


KERJA

1.6 Pengaturcaraan adalah lengkap menurut rekabentuk yang terperinci dan telah diuji dengan sempurna untuk memastikan pematuhan kepada spesifikasi.

• Spesifikasi sistem dan sub-

sistem yang terperinci perlu dibangunkan untuk sistem. Ini termasuk:

- Keseluruhan deskripsi

naratif bagi sistem - Tatarajah peralatan

yang diperlukan untuk memproses sistem

- Perisian sistem yang diperlukan untuk menyokong sistem

- Antaramuka dengan lain-lain sistem

- Keperluan keselamatan dan privasi bagi sistem

- Kawalan operasi ke atas sistem

- Ciri-ciri rekabentuk bagi sistem, termasuk carta aliran sistem


(Muka Surat 17)




OBJEKTIF KAWALAN


T


KERJA

• Spesifikasi program yang

terperinci perlu dibangunkan untuk semua aturcara bagi sistem. Spesifikasi ini perlu termasuk :

- deskripsi naratif yang

umum bagi program dan fungsinya

- peralatan yang diperlukan untuk mengendalikan program

- perisian sistem yang diperlukan untuk menyokong aturcara

- keperluan storan bagi program termasuk sejumlah simpanan dalaman dan jumlah dan jenis storan luar talian untuk keperluan keselamatan dan kebersendirian bagi program

- kawalan ke atas dan di dalam senarai program yang digunakan bagi pemalar, kod dan jadual

- prosedur operasi bagi aturcara

- format rekod input dan deskripsi

- deskripsi bagi logik aturcara, termasuk carta aliran dan jadual keputusan, termasuk penerangan naratif

- format rekod output dan deskripsi

- ciri-ciri logik dan fizikal bagi semua pangkalan data yang digunakan oleh program, termasuk susunatur fail dan definisi unsur data


(Muka Surat 17)




OBJEKTIF KAWALAN


T


KERJA

- senarai aturcara sumber - senarai aturcara objek

• Spesifikasi terperinci perlu

dibangunkan untuk pangkalan data digunakan oleh sistem berasaskan komputer. Spesifikasi ini termasuk : - Mengenalpasti jenis

pangkalan data - Sistem yang

menggunakan pangkalan data

- Standard melabel dan menanda digunakan bila pangkalan data dicapai

- Sebarang arahan khas untuk menggunakannya

- Perisian sistem yang diperlukan untuk menyokongnya

- Ciri-ciri logik - Ciri-ciri fizikal

• Sistem dan aturcara perlu diuji dengan mencukupi oleh kakitangan ICT dan sepatutnya boleh diterima oleh pengguna:

- Pengujian pembangunan

yang terperinci ujian unit ujian bersepadu ujian sistem

- Data ujian yang sedia untuk menguji had jarak yang luas bagi transaksi sah dan tiddak sah

- Keputusan ujian yang mengandungi rekod lengkap bagi mengesan masalah pengujian semula perlu disemak


(Muka Surat 17)




OBJEKTIF KAWALAN


T


KERJA

semula dan diluluskan oleh pengguna dan Jawatan kuasa Teknikal ICT pengguna dan Jawatan kuasa Teknikal ICT, di mana keputusan boleh dibandingkan dengan keputusan sistem yang terancang atau selari

- Sumber-sumber mencukupi untuk diagihkan semasa ujian

- Prosedur penerimaan sistem yang rasmi


(Muka Surat 17)



D. KAWALAN PELAKSANAAN

OBJEKTIF KAWALAN

PERTIMBANGAN AUDIT

Y

T


KERJA Untuk memastikan bahawa: 1. Penerimaan

pengurusan ke atas sistem adalah selamat. (Hanya sistem yang telah diuji dan diluluskan sahaja diterima dan diwujudkan).

2. Semua dokumentasi program, manual jalanan dan manual pengguna adalah lengkap dan sedia untuk digunakan.

1.1 Rancangan pelaksanaan yang terperinci disediakan untuk memastikan kawalan mencukupi dikekalkan semasa penukaran dari sistem lama ke sistem baru. • Rancangan pelaksanaan

yang terperinci termasuk fasa-fasa tertentu seperti spesifikasi fungsian, pengaturcaraan, pengujian perjalanan selari, penukaran, latihan dan dokumentasi, impak perkakasan perisian, persediaan lelaman dan rekabentuk borang

• Prosedur rasmi untuk kelulusan dan penerimaan oleh semua pihak seperti pengurusan, jabatan ICT dan pengguna

• Rancangan perubahan yang terperinci perlu meliputi pengujian sistem, penciptaan fail pemulaan, penyesuaian, latihan ICT dan kakitangan pengguna, masa dan keperluan sumber manusia, dan arahan lengkap atau manual pengguna

• Sandaran (backup) mencukupi boleh didapati untuk mencipta semula semua fail jika terdapat masalah semasa penukaran seperti penjumlahan yang tidak sepadan, data hilang dan lain-lain

• Pengujian rintis ke atas prototaip sistem

• Ujian penerimaan akhir - Ujian tekanan - Ujian jilid (Volume

tests) - Ujian keselamatan

• Latihan diberikan kepada pengguna


(Muka Surat 17)



E. KAWALAN PENYENGGARAAN

OBJEKTIF KAWALAN


T


KERJA Untuk memastikan adanya prosedur berada supaya pemprosesan boleh dibuat dengan lancar dan tepat. Pengubahsuaian sistem hanya dengan kelulusan yang sempurna.

1.1 Kos operasi perlu direkod,

dianalisis dan dipantau. 1.2 Prosedur untuk memantau dan

mengawal caj sistem diwujudkan dan rekod adalah disimpan dengan sempurna

1.3 Rancangan pemulihan bencana

perlu dikaji semula dengan kerap dan diuji.


(Muka Surat 17)



F. KAWALAN SEMAKAN SEMULA SELEPAS PELAKSANAAN

OBJEKTIF KAWALAN


T


KERJA Untuk memastikan bahawa sistem telah mencapai keperluan pengguna dan objektifnya.

Laporan bebas Kajian Semakan Semula Selepas Pelaksanaan perlu meliputi keberkesanan sistem dipantau secara berkala. • Menemuduga pengguna • Menyemak semula laporan

output • Pemeriksaan laporan • Penggunaan komputer • Masa sambutan bagi sistem • Memeriksa kadar ralat di

dalam penyuntingan dan laporan penyenggaraan fail

DRAF

LAMPIRAN

H

Garis Panduan Pengauditan ICT Lampiran H

(Muka Surat 20)

PANDUAN MELAKSANAKAN PENGAUDITAN KE ATAS PROSES PEMBANGUNAN SISTEM


[1] PERANCANGAN

Objektif:

• Untuk memastikan bahawa sistem ICT adalah dirancang dengan sempurna.

Pertimbangan:

• Sistem adalah dibangunkan menurut peraturan-peraturan dan undang-undang yang ditetapkan:

- Wujudnya Rancangan Strategik Maklumat - Pembentukan Jawatankuasa Pemandu ICT,

Jawatankuasa Teknikal ICT dan Pasukan Projek - Semua pekeliling berhubung pembangunan sistem

adalah dipatuhi - Penghantaran pada setiap fasa adalah termasuk di

dalam kontrak - Pemindahan Teknologi (TOT) - Latihan

• Kepentingan kerajaan adalah diambilkira di dalam perumusan

kontrak:

- Pemilikan - Keperluan audit

Capaian yang tidak terhad ke sistem Jejak audit Modul audit yang dibenam

- Keselamatan - Bayaran kemajuan - Rancangan Pemulihan Bencana

• Sistem tersebut adalah diluluskan dan dilaksanakan atas alasan

ekonomi dan lain-lain alasan yang kukuh:

- Menyediakan kos projek untuk menilai kemungkinan ekonomi pada setiap alternatif

- Laporan kajian kemungkinan adalah disemak semula oleh Jawatankuasa Pemandu ICT

- Sumber yang diperlukan untuk sandaran sistem selepas dibangunkan

- Pasukan projek perlu memiliki kemahiran dan masa untuk melaksanakan semua tugas yang dipertanggungjawabkan

Garis PanduanPengauditan ICT Lampiran H

(Muka Surat 20) PANDUAN MELAKSANAKAN PENGAUDITAN KE ATAS PROSES

PEMBANGUNAN SISTEM


- Sistem yang sedia ada perlu disemak semula dengan sempurna contohnya masalah yang wujud dengan kehendak pengguna

- Sistem yang baru berdasarkan semakan semula dan kajian kemungkinan

• Sistem perlu dibangunkan menurut kepada rancangan yang diluluskan seperti:

- Spesifikasi Keperluan Pengguna (SKP) disediakan

• Rekabentuk dan pembangunan sistem berdasarkan kepada

keperluan pengguna seperti:

- Spesifikasi SKP diterjemahkan ke dalam rekabentuk logik dan fizikal bagi sistem

- Rekabentuk sistem konseptual telah dilakar - SKP diterjemahkan ke dalam Spesifikasi Keperluan

Fungsian (SKF) - Rekabentuk didokumenkan dengan sempurna - Rekabentuk terperinci termasuk semua item-item penting

berhubung sistem dan organisasi - Pengaturcaraan adalah lengkap menurut rekabentuk

terperinci dan telah diuji dengan sempurnanya untuk pengesahan dengan spesifikasi

• Penerimaan pengurusan ke atas sistem adalah selamat. Sistem

yang diuji dan diluluskan sahaja diterima dan diwujudkan.

- Rancangan pelaksanaan terperinci disediakan untuk memastikan kawalan mencukupi dikekalkan semasa perubahan dari sistem lama ke sistem baru

• Semua dokumentasi program, manual jalanan dan manual

pengguna adalah lengkap dan bersedia untuk digunakan.

• Adanya prosedur untuk membolehkan pemprosesan dibuat dengan lancar dan tepat. Pengubahsuaian sistem dilakukan hanya dengan kelulusan yang sempurna seperti:

- Kos operasi adalah direkod, dianalisis dan dipantau - Terdapat prosedur untuk memantau dan mengawal caj

sistem - Kewujudan rancangan pemulihan bencana



PEMBANGUNAN SISTEM


• Sistem memenuhi keperluan pengguna dan mencapai objektifnya.

- Laporan Semakan Semula Selepas Pelaksanaan

[2] PELAKSANAAN

Objektif:

• Untuk memastikan bahawa sistem dilaksanakan menurut kepada rancangan.

Pertimbangan:

• Memastikan sistem dilaksanakan menurut peraturan-peraturan

dan undang-undang Kerajaan yang ditetapkan:

- Memastikan kebolehsediaan ISP • Mendapatkan dan menyemak semula Rancangan Strategik

Maklumat seperti:

- Memastikan Pembentukan Jawatankuasa Pemandu ICT, Jawatankuasa Teknikal ICT dan Pasukan Projek

- Semua pekeliling berhubung kepada pembangunan sistem adalah dipatuhi: o Memastikan kontrak ditandatangani o Prosedur perolehan tender adalah dipatuhi

- Memastikan penyampaian pada setiap fasa dimasukkan dalam kontrak: o Semua laporan dikeluarkan pada masanya

contohnya laporan rekabentuk konseptual dan laporan rekabentuk teknikal

• Memastikan kontrak seperti Perjanjian Tahap Perkhidmatan

(SLA) adalah ditandatangani dan semua syarat berhubung kontrak diperhatikan:

- Pemilikan - Keperluan audit

o Capaian tiada had ke sistem o Jejak-jejak audit o Modul audit yang dibenam

- Keselamatan - Bayaran kemajuan



PEMBANGUNAN SISTEM


- Pemindahan Teknologi (TOT) - Latihan - Rancangan Pemulihan Bencana

• Memastikan bahawa sistem diluluskan atas sebab-sebab yang

kukuh:

- Sistem dilaksanakan atas alasan ekonomi - Mendapatkan kajian kemungkinan dan laporan kajian dan

memastikan ianya disemak semula oleh Jawatankuasa ICT

- Terdapat sumber-sumber mencukupi untuk menyokong sistem selepas dibangunkan dan dibiayai

- Pasukan projek memiliki kemahiran dan masa untuk melaksanakan tugas yang dipertanggungjawabkan

• Kerja-kerja dijalankan menurut jadual. Sebarang penyimpangan dan penjadualan masa tambahan adalah diperakui dan beralasan.

• Mendapatkan Spesifikasi Keperluan Pengguna.

• Memastikan bahawa rekabentuk dan pembangunan bagi sistem

adalah menurut keperluan pengguna seperti:

- Spesifikasi Keperluan Pengguna diterjemahkan ke dalam rekabentuk logik dan fizikal bagi sistem

- Rekabentuk konseptual telah dilakar - Memastikan Spesifikasi Keperluan Pengguna

diterjemahkan ke dalam Spesifikasi Keperluan Fungsian - Rekebentuk didokumenkan dengan sempurna

- Maklumat rekabentuk terperinci termasuk semua perkara-perkara penting berhubung sistem dan organisasi

- Pengaturcaraan adalah lengkap berdasarkan rekabentuk terperinci dan telah diuji dengan secukupnya untuk pengesahan dengan spesifikasi

• Penerimaan pengurusan melalui sistem adalah selamat:

- Sistem yang diuji dan diluluskan sahaja diterima dan

diwujudkan - Rancangan pelaksanaan terperinci disediakan untuk

memastikan wujud kawalan yang mencukupi semasa berpindahan dari sistem lama ke sistem baru



PEMBANGUNAN SISTEM


• Semua dokumentasi aturcara, manual jalanan dan manual

pengguna adalah lengkap dan sedia untuk digunakan. • Adanya prosedur untuk membolehkan pemprosesan dibuat

dengan lancar dan tepat. Pengubahsuaian sistem hanya dengan kelulusan yang sempurna.

• Sistem mencapai keperluan pengguna dan tercapai objektifnya

seperti Laporan Semakan Semula Selepas Pelaksanaan.

[3] PEMANTAUAN

Objektif:

• Untuk memastikan adanya mekanisma pemantauan dan ianya berfungsi.

Pertimbangan:

• Kos operasi perlu direkod, dianalisis dan dipantau. • Prosedur untuk memantau dan perubahan sistem kawalan

adalah diwujudkan; dan rekod-rekod bagi perubahan adalah disimpan dengan sempurna.

• Rancangan pemulihan bencana perlu disemak semula dengan

sekerapnya dan diuji. [4] PENILAIAN

Objektif:

• Untuk memastikan wujud mekanisma yang berfungsi. Pertimbangan:

• Kewujudan pasukan bebas. • Semakan semula laporan selepas pelaksanaan (PIR).

[5] SYOR AUDIT DAN KESIMPULAN

Juruaudit menilai sama ada objektif sistem adalah tercapai dan mengemukakan cadangan yang sesuai, jika perlu.

103

DRAF

RUJUKAN

PERATURAN

KERAJAAN

DRAF

Draf Garis Panduan Pengauditan ICT Jabatan Audit Nega ra 104 APRIL 2007

1. AKTA AUDIT 1957

i. Seksyen 6 Subseksyen 6(a) hingga 6(e) Corak Pengauditan Mengaudit hasil, perbelanjaan, stor, memeriksa rekod-rekod, aktiviti

organisasi jabatan dan agensi kerajaan. Pengauditan merangkumi

pengauditan ICT terhadap perkara di bawah Seksyen 6.

2. ARAHAN KETUA AUDIT NEGARA

i. Bil. 1 Tahun 2007 Perkhidmatan Capaian Internet bagi Jabatan Audit Negara (JAN)

ii. Bil. 6 Tahun 2001

Perkhidmatan Capaian Internet bagi Jabatan Audit Negara

iii. Bil. 6 Tahun 2000

Peranan Jabatan Audit Negara dalam Projek Pengkomputeran

iv. Bil. 3 Tahun 1999

Penyenggaraan Sistem Pengurusan Personel Jabatan (SISPEN)

3. IT AUDIT GUIDELINES FOR ASOSAI (ASIAN ORGANISATION OF

SUPREME AUDIT INSTITUTIONS) published in September 2003 4. IT AUDIT TRAINING FOR INTOSAI (INTERNATIONAL

ORGANISATION OF SUPREME AUDIT INSTITUTIONS) published in

September 2004

RUJUKAN PERATURAN KERAJAAN BERKAITAN ICT

DRAF


5. PEKELILING KEMAJUAN PENTADBIRAN AWAM MAMPU

i. Bil. 1 Tahun 2003 Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel

Elektronik di Agensi-agensi Kerajaan pada 28 November 2003

ii. Bil. 10 Tahun 1996 Pelaksanaan Sistem Perakaunan Berkomputer yang standard di

Badan-badan Berkanun Persekutuan

6. PEKELILING AM MAMPU

i. Bil. 1 Tahun 2006 Pengurusan Laman Web/Portal Sektor Awam ii. Bil. 2 Tahun 2006 Pengukuhan Tadbir Urus Jawatankuasa IT dan Internet Kerajaan

iii. Bil. 2 Tahun 2002 Penggunaan Dan Pemakaian Data Dictionary Sektor Awam (DDSA)

Sebagai Standard di Agensi-agensi Kerajaan

iv. Bil. 1 Tahun 2001 Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dan

Komunikasi (ICT)

v. Bil. 3 Tahun 2000 Rangka Dasar Keselamatan Teknologi Maklumat dan Komunikasi

Kerajaan

vi. Bil. 1 Tahun 2000 Garis Panduan Malaysian Civil Service Link (MCSL) dan Laman Web

Agensi Kerajaan

DRAF


vii. Bil. 6 Tahun 1999 Pelaksanaan Perkongsian Pintar Antara Agensi-agensi Kerajaan

dalam Bidang Teknologi Maklumat

viii.Bil. 2 Tahun 1999 Jawatankuasa IT dan Internet Kerajaan (JITIK)

7. SURAT PEKELILING AM MAMPU

i. Bil. 4 Tahun 2006 Pengurusan Pengendalian Insiden Keselamatan Teknologi Maklumat

(ICT) Sektor Awam

ii. Bil. 6 Tahun 2005 Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor

Awam

iii. Bil. 4 Tahun 2004 Garis Panduan Mengenai Tatacara Memohon Kelulusan Teknikal

Projek ICT Agensi Kerajaan

(Tambahan Pertama Kepada Surat Pekeliling Am Bil. 2 Tahun 2000)

iv. Bil. 2 Tahun 2000 Peranan Jawatankuasa-jawatankuasa di bawah Jawatankuasa IT

dan Internet Kerajaan (JITIT)

8. SURAT PEKELILING PERBENDAHARAAN MALAYSIA

i. Bil. 8 Tahun 2005 Pelaksanaan Kontrak Kementerian melalui Sistem ePerolehan

ii. Bil. 5 Tahun 2003 Pelaksanaan Perolehan Kerja melalui Sistem ePerolehan

DRAF


iii. Bil. 15 Tahun 2002 Pelaksanaan Perolehanan Kerajaan melalui Sistem ePerolehan

iv. Bil. 16 Tahun 2001 Perolehan Perkakasan dan Perisian ICT yang diimport

v. Bil. 7 Tahun 2000 Peraturan dan Tatacara Perolehan Kontrak Pusat Secara Elektronik

Melalui Sistem E-Perolehan

vi. Bil. 5 Tahun 2000 Pelaksanaan dan Perolehan di bawah Program Kerajaan Elektronik

viii. Bil. 4 Tahuan 2000 Pengecualian Istimewa daripada Peraturan Biasa Perolehan Kerja

9. SURAT ARAHAN KETUA SETIAUSAHA NEGARA

i. Langkah-langkah Untuk memperkukuhkan Keselamatan Rangkaian

Setempat Tanpa Wayar (Wireless Local Area Network) di Agensi

Kerajaan pada 20 Oktober 2006

ii. Arahan Pematuhan Akta Keselamatan dan Kesihatan Pekerjaan

1994 dan Pelaksanaan Arahan, Peraturan, Prosedur dan Peruntukan

Undang-undang berkaitan Keselamatan Perlindungan di Jabatan-

jabatan Kerajaan pada 20 Ogos 2004

iii. Usaha-usaha Meningkatkan Keberkesanan Sistem Penyampaian

Perkhidmatan Kerajaan pada 21 April 2004

iv. Penamaan Ketua Pegawai Maklumat Sektor Awam pada 22 Mac

2000

DRAF


10. GARIS PANDUAN DAN STANDARD ICT MAMPU

i. Garis Panduan Perkhidmatan Luaran bagi IT di Agensi-agensi Sektor

Awam JPM pada September 2006

ii. Dasar Keselamatan ICT MAMPU Versi 4.0 pada 30 Mac 2006

iii. Garis Panduan Pelaksanaan Open Source Software (OSS) pada

April 2006

iv. The Malaysian Public Sector Information Security Risk Assessment

Methodology (MyRAM)

(Lampiran kepada Surat Pekeliling Am Bil. 6 Tahun 2005)

v. The Malaysian Public Sector Information Security High Level Risk

[HiLRA]

(Lampiran kepada Surat Pekeliling Am Bil. 6 Tahun 2005)

vi. ICT Strategic Plan For The Public Malaysian Public Sector: Standard,

Policies and Guidelines – Establishing A Call Centre Version 1.0 in

March 2004

vii. Standard, Policies and Guidelines – Channel Framework Version 1.0

in August 2003

viii. Open Sources Software for Malaysian Government Interoperability

Framework (MyGIFOSS) in February 2006

(Disediakan Sebagai Tambahan Kepada MyGIF Versi 1 Ogos 2003)

ix. Standard Polisi and Guidelines – Malaysian Public Sector ICT

Strategic Plan Guide Version 1.0 in August 2003

x. Standards, Policies and Guidelines – Channels Framework Version

1.0 in August 2003

DRAF


xi. Standards, Policies and Guidelines – Malaysian Government

Interoperability Framework (MyGIF) versi 1.0 in August 2003

xii. Standard, Policies and Guidelines – Guidelines Portal version 1.0 in

August 2003

xiii. Putrajaya Campus Network (PCN) Policy version 2001

xiv.Rangkakerja Rancangan Strategik Maklumat Untuk Agensi Kerajaan

Pada 2000

xv. Malaysian Public Sector Management of Information and

Communication Technology Security (MyMIS) Handbook on 15

January 2002

(Lampiran Kepada Surat Pekeliling Am Bil. 3 Tahun 2000)

xvi.Polisi Dan Standards Teknologi Maklumat Kerajaan Elektronik pada

1997

11. GARIS PANDUAN DAN STANDARD JABATAN AKAUNTAN NEGARA MALAYSIA (JANM)

i. Panduan Pengguna Pusat Tanggung jawab (PTJ) eSPKB Versi 4

1 Ogos 2006

12. STANDARD PENGAUDITAN DIPERAKUI DI MALAYSA (MASA) PADA 1 JULAI 1998

i. MASA AI 401 – Standard Pengauditan dalam persekitaran

berkomputer

ii. MASA AI 1003 – Sistem Persekitaran Pangkalan Data bagi Sistem

Maklumat Komputer

DRAF


iii. MASA AI 1009 – Teknik Pengauditan Bantuan Komputer (CAATTs)

13. UNDANG-UNDANG SIBER DAN PERUNDANGAN

i. Computer Crime Act 1997 (01/06/2000)

ii. Communication and Multimedia Act 1998 (01/04/1999)

iii. Malaysian Communications and Multimedia Commission Act 1998

(01/04/1999)

iv. Digital Signature Act 1997 (01/10/1998)

v. Telemedicine Act 1997

vi. Copyright (Amendment)1997

vii. Personal Data Protection Bill

110

DRAF

GLOSARI


Auditi Agensi atau perkara yang tertakluk kepada

pengauditan Institusi Audit Tertinggi (IAT).

Biometrik Suatu kaedah untuk pengesahan identiti individu

dengan menganalisis sifat fizikal yang unik daripada

individu spesifik termasuk cap jari, geometri tangan,

pengimbas retina, pengesahan suara atau tanda

tangan dinamik.

Bukti Audit Maklumat yang menjadi asas untuk menyokong

pendapat, rumusan dan laporan Juruaudit.

Freeware Perisian yang boleh dimuat turun atau diperolehi

secara percuma dari internet. Walaupun perisian ini

percuma, penciptanya masih memegang hak cipta dan

ini bermakna ia tidak boleh dipinda atau dijual kepada

mana-mana pihak. Penggunaan freeware adalah tidak

terhad berbanding dengan shareware.

Institusi Audit Tertinggi (IAT) [Supreme Audit

institution (SAI)]

Badan sektor awam yang tertinggi dalam sesebuah

negara yang ditubuhkan mengikut kehendak undang-

undang dan melaksanakan fungsi pengauditan di

sektor awam.

International

Congress of

Supreme Audit

Institutions (INCOSAI)

Kongres yang diadakan setiap 3 tahun yang memberi

peluang kepada SAI untuk berkongsi pengalaman dan

pendapat serta memberi cadangan dalam menambah

baik tahap akauntabiliti sektor awam.

GLOSARI


Institusi Audit Tertinggi Organisasi Antarabangsa [International

Organisational of

Supreme Audit

Institutions (INTOSAI)]

Badan antarabangsa yang bebas yang bermatlamat

menggalakakan pertukaran idea dan pengalaman

antara Institusi Audit Tertinggi di bidang pengauditan

sektor awam.

Jejak Audit Suatu proses mengenalpasti tindakan dalam

pemprosesan data yang diinput atau dalam

penyediaan suatu output seperti data suatu dokumen

sumber yangg boleh dijejaki secara ke hadapan dan

secara kembali kepada item sumber diperolehi.

Ketulenan (Authenticate)

Mengesahkan identiti seorang pengguna atau entiti

dalam sebuah sistem komputer yang kerapnya sebagai

prasyarat untuk membenarkan akses ke sumber-

sumber dalam sistem.

Pelan Pemulihan Bencana (Disaster Recovery

Plan)

Suatu pelan rancangan tindakan kecemasan yang

bersandarkan operasi dan pemulihan selepas bencana

yang diselenggarakan oleh aktiviti program

keselamatan untuk memastikan kebolehdapatan

sumber kritikal dan memudahkan operasi yang

berterusan dalam situasi kecemasan.

Pengauditan Pemeriksaan yang sistematik dan bebas untuk

menentukan sama ada aktiviti dan keputusan yang

berkaitan adalah mematuhi dengan prosedur yang

dirancang atau standard; dan sama ada prosedur yang

dilaksanakan adalah berkesan dan sesuai untuk

mencapai objektif yang dinyatakan.


Perisian Open

Source Perisan percuma sama seperti freeware tetapi

mempunyai sedikit perbezaan. Perisian Open Source

membolehkan penggunanya melihat, mengubah

source code dan pengguna juga boleh

mengedarkannya kepada sesiapa sahaja. Ini bermakna

sesiapa sahaja boleh mendapatkan menggunakan

source code perisian sumber terbuka ini untuk

menghasilkan satu produk dengan hakciptanya sendiri.

Sandaran (Back-Up) Merujuk kepada peralatan, prosedur dan salinan

tambahan kepada data yang boleh didapati untuk

digunakan dalam keadaan sesuatu peristiwa

kegagalan yang biasa semasa menggunakan peralatan

atau prosedur.

Saling Ubah Data Elektrionik [Elektronic Data

Interchange (EDI)]

Suatu set protokol untuk melaksanakan pertukaran

antara organisasi yang berstruktur tinggi seperti

membuat pembelian atau memulakan permintaan

pinjaman.

Server Komputer yang berkeupayaan tinggi yang berfungsi

sebagai pelayan perkhidmatan dalam sesuatu

rangkaian.

Shareware Perisian percubaan yang boleh dimuat turun secara

percuma, tetapi hanya boleh digunakan dalam satu

tempoh yang telah ditetapkan oleh pengeluarnya.

Selepas tamat tempoh percubaan, pengguna boleh

mempertimbangkan samada untuk membeli atau tidak

perisian tersebut. Perisian percubaan ini adalah satu

cara di mana pengguna dapat menilai sesuatu perisian

itu sebelum membuat pembelian.


Spam satu kaedah di mana seseorang menghantar mel

elektronik (email) dengan kuantiti yang terlalu banyak

bertujuan untuk promosi dan pengiklanan kepada

sesiapa sahaja yang menjadi mangsanya.

Kebiasaannya, spammer memperolehi alamat email

daripada blog, chat rooms, IRC, dan laman web.

Spyware Perisian yang mengumpul maklumat pengguna melalui

internet tanpa pengetahuan pengguna tersebut,

kebiasaannya untuk tujuan pengiklanan oleh pihak

ketiga. Spyware selalunya terlindung dan ia hadir

bersama-sama freeware atau shareware yang dimuat

turun dari internet. Apabila ia dimuat turun, spyware

akan mengawal aktiviti pengguna dan menghantar

maklumat pengguna kepada pihak ketiga. Setelah itu ia

akan menghantar seberapa banyak iklan pop up tanpa

pengguna mengetahui dari mana Ia datang. Spyware

juga boleh mengumpul maklumat seperti kata laluan,

alamat mel elektronik dan juga nombor kad kredit.

Spyware juga dipanggil adware.

Teknologi Maklumat dan Komunikasi [Information and

Communication

Technology (ICT)]

Aktiviti-aktiviti yang berkaitan dengan pengumpulan,

pemprosesan, penyimpanan dan penyebaran data

dengan penggunaan sistem maklumat berkomputer

yang merangkumi aspek perkakasan, perisian,

rangkaian komunikasi dan pembangunan sistem.


Virus Aturcara yang berbahaya dan ia berupaya membuat

seberapa banyak salinan dan juga berupaya menyebar

atau merebak. Kebanyakan virus komputer ini bersifat

pemusnah. Virus bertindak dengan menumpangkan

dirinya pada aturcara yang lain. Apabila aturcara

tersebut dilaksanakan, virus yang menumpang

padanya akan turut diaktifkan dan ia boleh menjangkiti

dan lebih teruk lagi ia boleh merosakkan file dalam

komputer. Virus tidak mengganggu rangkaian

komputer dan lebar jalur [bandwidth].

Worm Aturcara yang boleh membuat banyak salinan dirinya

sendiri sama seperti virus. Berbeza dengan virus,

worm bertindak bersendirian tanpa memerlukan

pergantungan kepada sebarang aturcara dalam

komputer. Worm menyebarkan dirinya melalui

rangkaian komputer dan memenuhi lebar jalur

[bandwidth] sehingga menyebabkan sistem rangkaian

menjadi terlalu perlahan dan tidak cekap.

garis panduan pengauditan ict - wk.kats.gov.my panduan/garis... · kaedah penggunaan teknik dan...

Documents