laporan keseluruhan audit dalaman bersepadu

AUDIT DALAMAN

2019Universiti Malaysia Terengganu

Laporan Keseluruhan

BERSEPADU

AUDIT DALAMAN BERSEPADU 2019

Pengauditan: 25 Jun hingga 17

Julai 2019

Penyediaan Laporan: 18 – 24 Julai

2019

TEMPOH AUDIT

PROSES PENGAUDITAN

38 PTj/entiti 87 prosedur kerja 31 Arahan Kerja 5 Statement of Applicability (SoA) 28 program prasiswazah 4 program Sarjana Kerja Kursus 34 bidang Sarjana dan Doktor Falsafah

(Penyelidikan)

32 Auditor QMS

26 Auditor ISMS

23 Auditor AQ

PASUKAN AUDITOR DALAMAN

KETUA AUDITOR DALAMAN

Ketua Auditor Keseluruhan : Prof. Madya Dr.

Zalailah binti SallehKetua Auditor QMS: En. Mohd Nor Shokri Bin Hj.

Abd. RahmanKetua Auditor ISMS: Prof. Ts. Dr. Noor Maizura binti

Mohamad NoorKetua Auditor Kualiti Akademik: Prof. Madya Dr.

Rosliza binti Mat Zin


Laporan Audit DalamanSistem Pengurusan Kualiti QMS


Pasukan Auditor QMS

KUMPULAN NAMA

QMS 1

En. Mohd Nor Shokri Bin Hj. Abd. RahmanPn. Zahirah Bt. A. Razak En. Ahmad Azhar Bin Che AliEn. Masri Muda

QMS 2

Mohd Ruhaifi bin Alias

En. Mahamad Nasir Bin AbdullahEn. Mohd Hamizi bin AliasSharifah Akmal Binti Syed Abd Rahman

QMS 3

Pn. Shaharul Suhaila Bt. IsmailProf. Madya Dr. Ong Meng ChuanDr. Siti Nor Khadijah Bt. AddisPn. Desy Fitrya Bt. Syamsumir

QMS 4

Prof. Madya Dr. Kesaven A/L Bhubalan Pn. Rabiatul Addawiyah Hanim Bt Mohd RosliPn. Solihah Bt. AhmadDr. Razak bin Zakariya

QMS 5

Prof. Madya Dr. Mohd Hassan Che HaatEn. Amir Abdul Bin Khalik Dr. Shalela Bt. Mohd MahaliTn. Sayed Mohd Tamimuddin Sayed Ibrahim

KUMPULAN NAMA

QMS 6Prof. Madya Dr. Che Hasniza Bt. Che NohTn. Syed Mohammad Helmy Bin Md. AkhirDr. Ramisah Bt. Mohd Shah

QMS 7PM Dr. Roshaiza Bt. TahaDr. Nor Raihan Bt. MohamadEn. Mohamad Jamil Rasyidi Bin Mohd Ramlan

QMS 8Pn Salwati Bt. Mohamad @ Asmara Pn. Zuraifah Bt. MamatPn. Norasiah binti Mohamad

QMS 9En. Mohd Riduan bin Mohamed RakhazaliDr. Mohd Saiful Izwaan bin SaadonPn. Fatimah Salim

Ketua Auditor: En. Mohd Nor Shokri Bin Hj. Abd. Rahman


Pelaksanaan Keseluruhan SPK ISO 9001:2015 UMT

Konteks Organisasi

Kepimpinan

Sistem Dokumentasi

Dashboard Risiko

Persekitaran Kerja

Sistem Pengurusan Kualiti QMS

Laporan Penemuan Audit


Sistem Pengurusan Kualiti QMSKategori PenemuanAudit

30• 1 Major

• 29 Minor

LaporanKetidakpatuhan(Non-Conformity

Report)

NCR88

PeluangPenambahbaikan

(Opportunity for Improvements)

OFI


Bil. Prosedur Keperluan Standard Penemuan

1 PengendalianAmali

(UMT/SPK/PK/PP-02)

7.13 Organisasi hendaklah menetukan , menyediakan dan memyelenggarakan prasarana

yang diperlukan untuk operasi prosesnya dan untukmencapai keakuran produk dan perkhidmatan7.1.4 Organisasi hendaklah menentukan, menyediakan dan menyelenggarakan persekitaranyang diperlukan untuk operasi prosesnya dan untukmencapai keakuran produk dan perkhidmatan.

Persekitaran makmal berbau bahankimia, panas, tidak selamat dan tidak

kemas.


Laporan Audit Dalaman


Sistem Pengurusan

Keselamatan Maklumat ISMS

Pasukan Auditor ISMSKetua Auditor: Prof. Ts. Dr. Noor Maizura binti Mohamad Noor

KUMPULAN SENARAI AUDITOR

ISMS 1

Prof. Ts. Dr. Noor Maizura binti Mohamad Noor

Ts. Dr. Rosmayati binti Mohemad

Ts. Dr. Wan Nural Jawahir binti Wan Yussof

Dr. Farizah binti Yunus

En. Rahim bin Ngatman

ISMS 2

Tn. Hj. Al Muzmi bin Abd. Hamid

Prof. Madya Dr. Nor Azman bin Kasan

Pn. Suriani binti Ibrahim

Pn. Nur Asniza binti Aziz

Pn. Juraini binti Jolan

ISMS 3

Cik Noni Noraikhah binti Md Yusoff

Dr. Chee Chew Seng

En. Julius Yong Fu Siong

Pn. Shaharul Suhaila binti Ismail

Dr. Masha Nur Salsabiela binti Menhat


ISMS 4

Mohd Nor Azlan B. Ruyob @ Ayub

Dr. Nur Haiza binti Muhammad Zawawi

Dr. Ng Lee Chuen

Dr. Nurmahani binti Datuk Mohd Maidin

Pn. Wan Najiah binti Wan Muhammad

Pn. Norhayati binti Ab. Manaf

ISMS 5

Pn. Rosnaidi binti Jusoh

Prof. Madya Dr. Zalailah binti Salleh

Pn. Tengku Nuriah binti Tengku Abdul Rahman

Dr. Samsuri bin Abdullah

Dr. Fatimah Noor binti Harun


• Warga UMT

• Pemilik Sistem

• Pembangun Sistem

Laporan Kaji Selidik Terhadap Keselamatan Maklumat

Konteks Organisasi

Kepimpinan

Perancangan Termasuk Profil Risiko dan Peluang

Laporan Penemuan Audit

Sistem Pengurusan Keselamatan Maklumat ISMS


Kategori PenemuanAudit

33• 8 Major

• 25 Minor


Report)

NCR 25

Peluang Penambahbaikan


OFI

Sistem Pengurusan Keselamatan Maklumat ISMS


Bil. NCR Standard NCR1 K 4.3 Minor2 K 6.1.2 Minor3 K 6.1.3 Major4 A 6.1.5 Minor5 A 7.1.1 Minor6 A 7.2.2 Minor7 A 7.3.1 Minor8 A 8.1.2 Minor9 A 8.2.1 Major

10 A 8.2.2 Major11 A 8.2.3 Major12 A 8.3.3 Major13 A 9.1.1 Minor14 A 9.2.6 Minor15 A 9.3.1 Minor16 A 9.4.2 Major17 A 9.4.3 Minor18 A 11.1.1 Minor19 A 11.1.2 Major20 A 11.1.3 Minor21 A 11.1.4 Minor22 A 11.2.1 Minor23 A 11.2.3 Minor24 A 11.2.7 Minor25 A 11.2.9 Minor26 A12.3.1 Minor27 A12.4.4 Minor28 A12.5.1 Minor29 A 14.1.2 Minor30 A 15.1.2 Minor31 A 16.1.1 Major32 A 16.1.2 Minor33 A 18.1.4 Minor

Bil. Keperluan Standard Penemuan

1 6.1.3 Penguraian risikokeselamatan maklumatd) mengemukakan penyatapemakaian Statement of Applicability (SoA)

Hampir semua Dokumen SOA tidak lengkap dan tidak menepati isi kandungan yang sepatutnya. Terdapat dasar-dasar yang perlu diikuti oleh staf diletakkan sebagaidikecualikan dari perlaksanaan.

Temu bual bersama dengan Puan Rosnaidi Jusoh, pengawal dokumen PPTM mendapatitiada polisi untuk telekerja.

Kawalan Annex A.6.2.2 Teleworking tidak boleh dikecualikan dari pelaksanaan kerana penggunaan e-mel dari luar kampus, telekonferensi, bekerja dari luar kampus denganakses kepada MyNemo melambangkan kawalan tersebut diperlukan. Kawalan Annex A.5.1.1 Polisi Keselamatan Maklumat tidak boleh dikecualikan dari PTJ kerana PTJ termaktub dalam pelaksanaan ISMS mengikuti dasar yang dipersetujui.

2 Keperluan Standard: 8.1 – Perancangan dan KawalanOperasiA 8.2.1 Pengkelasan Maklumat

Maklumat hendaklah dikelaskanberdasarkan keperluan undang-

undang, nilai, tahap kritikal dan sensitiviti terhadap pendedahanatau pengubahsuaian yang tidakdibenarkan.

Didapati tiada sebarang Prosedur klasifikasi pengelaskan maklumat yang dibangunkanoleh pengurusan UMT yang menyebabkan semua dokumen di UMT tidak dikawal dan dilindungi secara sistematik. Hampir semua staf yang ditemubual tidak pasti bagaimanauntuk melabel dan klasifikasi rekod-rekod UMT.

3 8.1 – Perancangan dan KawalanOperasi8.2.2 Pelabelan Maklumat

Set prosedur yang sesuai untukpelabelan maklumat hendaklahdibangunkan dan dilaksanakanmenurut skim pengelasanmaklumat yang diterima pakaioleh organisasi.

Hampir semua fail dan maklumat di PTJ tidak dilabelkan dengan tepat berdasarkantahap keselamatan ke atas maklumat tersebut. Didapati tiada sebarang ProsedurPelabelan Maklumat yang dibangunkan oleh pengurusan UMT yang menyebabkansemua dokumen di UMT tidak dikawal dan dilindungi secara sistematik. Hampir semua stafyang ditemubual tidak pasti bagaimana untuk melabel maklumat dan rekod-rekod UMT.

Major NCR

Bil. NCR Standard NCR

1 K 4.3 Minor2 K 6.1.2 Minor3 K 6.1.3 Major4 A 6.1.5 Minor5 A 7.1.1 Minor

6 A 7.2.2 Minor7 A 7.3.1 Minor8 A 8.1.2 Minor9 A 8.2.1 Major

10 A 8.2.2 Major11 A 8.2.3 Major12 A 8.3.3 Major13 A 9.1.1 Minor

14 A 9.2.6 Minor15 A 9.3.1 Minor16 A 9.4.2 Major17 A 9.4.3 Minor18 A 11.1.1 Minor19 A 11.1.2 Major20 A 11.1.3 Minor21 A 11.1.4 Minor

22 A 11.2.1 Minor23 A 11.2.3 Minor24 A 11.2.7 Minor25 A 11.2.9 Minor26 A12.3.1 Minor27 A12.4.4 Minor28 A12.5.1 Minor29 A 14.1.2 Minor

30 A 15.1.2 Minor31 A 16.1.1 Major32 A 16.1.2 Minor33 A 18.1.4 Minor

Bil. Keperluan Standard Penemuan

4 8.1 – Perancangan dan Kawalan OperasiA 8.2.3 Pengendalian Aset

Prosedur pengendalian aset hendaklahdibangunkan dan dilaksanakan menurutskim pengelasan maklumat yang diterimapakai oleh organisasi.

Pergerakan Fail dan rekod-rekod UMT yang mengandungi maklumat-maklumatUMT didapati tidak dikendalikan mengikut kaedah yang sistematik. Ini kerana tiadasebarang Prosedur pengendalian aset yang mempunyai maklumat oleh pengurusan UMT dan menyebabkan semua dokumen di UMT tidak dikawal, dilindungi dan dilupuskan dengan baik. Hampir semua staf yang ditemubual tidakpasti bagaimana untuk mengendalikan rekod-rekod UMT semasa maklumatdigunakan atau dipindahkan.

5 8.0 Perancangan dan kawalan operasi

8.3.3 Pemindahan Media FizikalMedia yang mengandungi maklumathendaklah dilindungi daripada aksestanpa izin, penyalahgunaan ataukerosakan semasa pengangkutan.

Semasa perpindahan bahan-bahan bermaklumat yang perlu dilindungi, tiada

kaedah yang sistematik untuk memastikan semua maklumat dilindungi dan dikawal dari kerosakan, diakses tanpa izin serta dibocorkan.

6 8.1 – Perancangan dan Kawalan Operasi

9.4.2 Prosedur log masuk yang selamatJika dikehendaki oleh dasar kawalanakses, akses kepada sistem dan aplikasihendaklah dikawal oleh prosedur log masuk yang selamat.

1. Sistem e-meeting menggunakan kata laluan yang sama untuk log masuk kesistem MyNemo. Sistem tersebut perlu ada kata laluan tambahan kerana mengandungi dokumen sulit seperti minit mesyuarat, data-data staf dan lain-lain.

2. Tiada kata laluan dimasukkan ke dalam PC staf. Tiada pengawasan dan penguatkuasaan yang dijalankan oleh pihak berkuasa mengenai prosedur log masuk bagi mematuhi Dasar dan Peraturan ICT UMT.

7 8.1 Perancangan dan kawalan operasi11.1.2 Kawalan kemasukan fizikal

Kawasan selamat hendaklah dilindungioleh kawalan kemasukan yang sesuaibagi memastikan kakitangan yang diberikebenaran sahaja dibenarkan masuk.

Tiada kawalan yang jelas tentang kawalan kemasukan fizikal ke atas kawasanyang ditakrifkan sebagai kawasan larangan atau kawasan yang dilindungi kerana mempunyai maklumat dan kemudahan pemprosesan maklumat yang sensitiveatau kritikal.

8 9.3 Kajian semula pengurusan16.1.1 Tanggungjawab dan prosedurTanggungjawab pengurusan dan

prosedur hendaklah diwujudkan bagimemastikan tindak balas yang cepat, berkesan dan teratur terhadap insidenkeselamatan maklumat.

Pengurusan risiko dan pelan kesinambungan tidak diperjelaskan kepada staf yang terlibat. Keperluan kepada semua staf bagi memastikan semua tindak balasterhadap insiden keselamatan maklumat dapat dilaksana dengan sistematik dan

berkesan.

Major NCR


Laporan Audit DalamanKualiti Akademik AQ


Pasukan Auditor AQKetua Auditor: Prof. Madya Dr. Rosliza binti Mat Zin


AQ 1

Dr. Nur Asma binti Ariffin

Dr. Nurul Ulfah binti Karim

Dr. Rumeaida binti Mat Piah

AQ 2

Prof. Madya Dr. Rosliza binti Mat Zin

Prof. Madya Dr. Akmalia binti Mohamad Ariff

Prof. Madya Dr.Nurul Hayati binti Idris

AQ 3

Dr. Nurul Adyani binti Ghazali

En. Masduki bin Mohamad Morni

Dr. Wan Zaliha binti Wan Sembok

AQ 4Dr. Azza Jauhar binti Ahmad Tajuddin

Dr. Siti Falindah binti Padlee


AQ 5

Dr. Azwani binti Alias

Dr. Ilyani binti Abdullah

Dr. Wan Mohd Rauhan bin Wan Hussin

Dr. Siti Nazilah binti Mat Ali

AQ 6

Ts. Dr. Rosmayati binti Mohemad

Dr. Faridah binti Yahya

Ts. Dr. Wan Nural Jawahir Binti Wan Yussof

AQ 7

Prof. Madya Dr. Mazidah Bt Mamat

Dr. Yusnita binti Hamzah

Dr. Suriani binti Mat Jusoh

AQ 8Dr. Siti Nurtahirah binti Jaafar

Dr. Siti Kamilah binti Che Soh


Programme Delivery

Assessment of Student Learning

Student Selection and Support Services

Academic Staff

Educational Resources

Programme Management

Programme Monitoring, Review and Continual Improvement


Laporan PenemuanAudit Kualiti Akademik AQ

Kategori PenemuanAudit

2 Major


Report)

NCR 9

PeluangPenambahbaikan


OFI

Sub. Klausa/

DokumenKetidakpatuhan Catatan

Area 1: Program

Delivery

Dokumen berkaitan program (pernyataan PEO, PLO,

mapping) tidak diselaras dan dikemaskini.

Pengerusi Program, TDA

bagi sesetengah program

pascasiswazah.

Area 2: Assessment of

Student Learning

Dokumen berkaitan PdP tidak dikemaskini dan

sesetengah dokumen penilaian tidak jelas, malahan

ada yang tiada dalam fail.

Pensyarah Kursus

Kualiti Akademik AQ


Sub. Klausa/

DokumenCadangan Penambahbaikan (OFI) Catatan

Area 1: Program

Delivery

a) Pengerusi Program dan pensyarah perlu menghadiri kursus OBE dari semasa ke

semasa bagi meningkatkan kefahaman berkaitan Constructive Alignment dan

juga lain-lain latihan bagi menambahbaik proses PdP dan penilaian kursus.

b) Penyelarasan dokumen berkaitan perlu dibuat di peringkat pusat pengajian

bagi memastikan konsistensi di antara program.

c) JK Kualiti di peringkat PP perlu diberi mandat untuk lebih proaktif dalam

menyelaras aktiviti berkaitan kualiti akademik PP, bukan bergantung

sepenuhnya kepada PPPKA.

PPBI untuk mewajibkan kehadiran ke kursus

berkaitan OBE, IR4.0 atau lain-lain yang

berkaitan dengan PdP kepada semua

pensyarah, terutama kepada Pengerusi

Program.

Area 2: Assessment of

Student Learning

Penyelarasan kaedah penilaian, PdP dan LO mesti dipantau dan laporan CQi

perlulah disemak dan dipantau oleh PP pada setiap awal dan akhir semester.

PP perlu Program Monitoring perlu

mengambilkira CQi dan penambahbaikan

yang dicadangkan.

Area 3: Student

Selection and Support

Services

Dicadangkan database alumni program dibentuk dan hubungan (practitioner)

perlu dibuat dengan lebih baik supaya program mendapat maklumbalas dan

sokongan bagi tujuan penambahbaikan program, terutama dari aspek kos

penganjuran aktiviti pelajar.

Database alumni program berkaitan perlu

dikemaskini dan hubungan baik dapat dijaga

(untuk penambahbaikan Area 6).

Area 4: Academic Staff Dokumen berkaitan kelayakan, kepakaran dan prestasi kecemerlangan pensyarah

perlu dikemaskini dan diselaraskan dengan baik melalui system online dan dapat

diakses secara ‘real time’.

PPTM - Database pencapaian prestasi (KPI)

perlu real time dan dapat dihubungkan

dengan system lain yang berkaitan – tidak

perlu kemaskini setiap satu.

Area 5: Educational

Resource

Sumber dana terutama disalurkan dengan konsisten kepada institut penyelidikan

bagi memastikan sentiasa ada kajian penyelidikan yang dibuat bagi mengekalkan

kelestarian program dan institute berkaitan.

RMIC perlu menyelaraskan peruntukan dana

bagi menggalakkan pengambilan pelajar

pascasiswazah di institut berkaitan.

Area 6: Programme

Management

Menyelaraskan aktiviti berkaitan pengurusan akademik dan penambahbaikan bagi

manfaat UMT secara keseluruhan. Contoh di PPKK sistem log/reflection untuk

program mentor-mentee.

PPPKA perlu menyelaraskan semua

inisiatif/amalan baik yang boleh digunapakai

di peringkat program atau pusat pengajian

bagi kecemerlangan akademik di UMT secara

keseluruhan.

Area 7: Programme

Monitoring, Review and

Continual Improvement

Persediaan menyeluruh bagi semakan semula program dan memastikan fungsi JK

Kualiti/OBE di peringkat PP dapat diberi mandat dan mengawalselia dengan baik

setiap program yang ditawarkan.

Pusat Pengajian - Sijil akreditasi program perlu

dipamerkan.


Hal-Hal Lain:

• Penamaan semula JK Penjaminan Kualiti PTj (selaras dengan penjajaran struktur

baharu UMT bermula 1 Ogos 2019).

Makluman Tarikh-Tarikh Penting

• Tempoh tindakan pembetulan & penambahbaikan oleh PTj : 25 Julai – 13 Ogos 2019 (10 hari bekerja)

• Audit Susulan: 15 – 20 Ogos 2019 (4 hari bekerja)

• Mesyuarat JK Kualiti UMT (Khas) : Kajian Semula Pengurusan - 18 Ogos 2019

• Audit Pematuhan & Peluasan Skop : 26 – 29 Ogos 2019

laporan keseluruhan audit dalaman bersepadu

Documents