garis panduan pengauditan ict - wk.kats.gov.my panduan/garis... · kaedah penggunaan teknik dan...
Post on 03-Mar-2019
446 Views
Preview:
TRANSCRIPT
DRAF
GARIS PANDUAN
PENGAUDITAN ICT
Terbitan Pertama 2007 © Jabatan Audit Negara 2007
www.audit.gov.my
Naskhah asal dalam bahasa Inggeris diterbitkan dengan tajuk ICT Audit Guidelines, published by The National Audit Department of Malaysia in 2002. Hak Cipta Terpelihara. Tidak dibenarkan mengeluarkan ulang mana-mana bahagian artikel, ilustrasi dan isi kandungan buku ini dalam apa jua bentuk dan dengan cara apa jua sama ada secara elektronik, fotokopi, mekanik, rakaman, atau cara lain sebelum mendapat izin bertulis daripada Ketua Audit Negara Malaysia.
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara APRIL 2007
i
MUKA SURAT
PRAKATA iii 1. PENDAHULUAN 1 - 8 1.1 Latar Belakang 1 1.2 Pengenalan 2 1.3 Tujuan Garis Panduan 4 - 5 1.4 Metodologi Audit 6 - 8 2. PANDUAN PENGAUDITAN UMUM ICT 8 - 14
2.1 Objektif Audit 9 2.2 Rancangan Audit 9 - 10 2.3 Pertimbangan Juruaudit 10 - 11 2.4 Penilaian Kawalan Am 11 - 14 2.5 Penilaian Kawalan Aplikasi 14 - 16 2.6 Penilaian Kawalan Rangkaian 16 2.7 Pelaporan 16
3. PANDUAN PENGAUDITAN PEMBANGUNAN ICT 17 - 19
3.1 Pengenalan 17 3.2 Objektif Audit 17 - 18 3.3 Rancangan Audit 18 - 19 3.4 Pelaporan 19
4. PANDUAN PENGAUDITAN PRESTASI ICT 20 - 27
4.1 Pengenalan 20 4.2 Objektif Audit 20 - 21 4.3 Pertimbangan Juruaudit 21 4.4 Rancangan Audit 22 - 26 4.5 Internet 27 4.6 Pelaporan 27
5. PANDUAN PENGGUNAAN CAATTS 27 - 35
5.1 Pengenalan 28 - 29 5.2 Penggunaan CAATTs 29 - 31 5.3 Kategori CAATTs 31 - 33 5.4 Fasa Penggunaan CAATTs 33 - 36
KANDUNGAN
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara APRIL 2007
ii
LAMPIRAN A Memorandum Rancangan Audit ICT LAMPIRAN B Program Penilaian Kawalan Am LAMPIRAN C Jenis Kawalan Aplikasi LAMPIRAN D Program Penilaian Kawalan Aplikasi LAMPIRAN E Program Penilaian Kawalan Rangkaian LAMPIRAN F Peranan Jabatan Audit Negara Semasa Proses Pembangunan Sistem LAMPIRAN G Program Penilaian Kawalan Pembangunan Sistem LAMPIRAN H Panduan Melaksanakan Pengauditan ke atas Proses Pembangunan Sistem
RUJUKAN PERATURAN ICT GLOSARI
LAMPIRAN
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara APRIL 2007
iii
Kerajaan telah melancarkan Aplikasi Kerajaan Elektronik dalam usahanya untuk meningkatkan produktiviti Perkhidmatan Awam dan keberkesanan sistem penyampaian perkhidmatan Kerajaan. Beberapa sistem pengkomputeran yang dibangunkan untuk meningkatkan prestasi pengurusan kewangan Kerajaan seperti Sistem Perancangan dan Kawalan Belanjawan Elektronik (eSPKB) di Kerajaan Persekutuan dan pakej Standard Accounting System For Government Agencies (SAGA) di Badan–badan Berkanun Persekutuan di mana semua dokumen kewangan disediakan secara elektronik. Pengenalan aplikasi Government Financial Management and Accounting System (GFMAS) yang diintegrasikan dengan eSPKB dan ePerolehan telah meningkatkan keberkesanan operasi sistem perakaunan Kerajaan. Manakala Sistem Perakaunan Standard Kerajaan (SPEKS) yang diperkenalkan terkini sebagai satu sistem perakaunan yang digunapakai oleh Kerajaan Negeri (kecuali Sabah dan Sarawak) bagi menyediakan penyata kewangan yang berkualiti dan tepat pada masanya. Dalam usaha inovatif bagi mempertingkatkan kualiti kerja pengauditan, Penyata Akaun Awam Versi Audit (Penyata VersAd) untuk SPEKS telah dihasilkan daripada kaedah Penggunaan Teknik dan Peralatan Auditan Bantuan Komputer (CAATTs). Dari aspek pembangunan sistem maklumat Kerajaan, penekanan kepada penghasilan kod sumber (source code) yang ditulis oleh pengaturcara sistem adalah aset Kerajaan yang sangat berharga di mana terma hakmilik Kerajaan perlu dinyatakan secara jelas dalam perjanjian kontrak antara auditi dan vendor.
Perkembangan ini telah mempengaruhi teknik dan metodologi Juruaudit dalam melaksanakan pengauditan dan penilaian sistem auditi. Prasarana ICT yang disediakan sebagai landasan mempraktikkan pengetahuan teknologi maklumat sebagai sumbangan ke arah pengauditan yang berkualiti. Pendekatan audit perlu berubah kepada transaksi secara dalam talian dan masa sebenar. Perubahan ini memberi cabaran kepada Juruaudit kerana ia akan melibatkan perubahan peraturan dan polisi agensi yang diaudit. Persekitaran yang berubah kesan daripada globalisasi, perkembangan dalam bidang ICT dan persekitaran tugas auditi yang bertambah rumit serta aduan orang awam yang kian meningkat terhadap kelemahan aspek akauntabiliti dan urus tadbir auditi menghendaki Juruaudit mengamalkan konsep memperkasa yang berterusan terhadap tugas pengauditan agar sentiasa mencapai tahap yang terbaik dengan mematuhi standard pengauditan yang diterima umum.
Justeru itu, dengan semakan semula Garis Panduan Pengauditan ICT Jabatan Audit Negara ini akan membantu Juruaudit menjalankan pengauditan ICT yang berkualiti dan menjamin keutuhan sesuatu laporan audit. Garis panduan ini adalah mematuhi Manual Audit ICT INTOSAI dan ASOSAI sebagai standard pengauditan ICT yang diiktiraf di seluruh dunia bagi membolehkan garis panduan ini mudah difahami dan mesra pengguna.
(TAN SRI DATO’ SETIA AMBRIN BIN BUANG) KETUA AUDIT NEGARA MALAYSIA April 2007
PRAKATA
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 1 APRIL 2007
1.1 LATAR BELAKANG
Garis Panduan ini disediakan bertujuan untuk pemantapan pengauditan
teknologi maklumat dan komunikasi (ICT) dan memberi panduan yang jelas
yang mudah difahami kepada Juruaudit Jabatan Audit Negara (JAN).
Penerangan kepada 3 jenis pengauditan ICT iaitu Panduan Pengauditan
Umum ICT, Panduan Pengauditan Pembangunan ICT dan Panduan
Pengauditan Prestasi ICT, menyentuh perkara seperti berikut:
[1] Metodologi pelaksanaan pengauditan ICT. Standard kepada
metodologi ini adalah berasaskan kepada Standard Pengauditan
INTOSAI yang menggariskan amalan profesional semasa yang
diterima pakai.
[2] Penilaian-penilaian Umum ICT meliputi tahap Kawalan Am, Kawalan
Aplikasi dan Kawalan Rangkaian; serta penerangan pematuhan
undang-undang dan peraturan ICT yang sedang berkuatkuasa.
[3] Peranan Jabatan Audit Negara pada seluruh proses pembangunan
ICT auditi dan penilaian kawalan pembangunan ICT auditi
merangkumi Kawalan Am, Kawalan Perancangan, Kawalan
Rekabentuk, Kawalan Pelaksanaan, Kawalan Penyenggaraan dan
Kawalan Semakan Semula Selepas Pelaksanaan.
[4] Pengauditan Prestasi dalam Persekitaran ICT, Pengauditan Prestasi
ke atas Pembangunan Sistem ICT dan Pengauditan Prestasi
melibatkan Pengoperasian Sistem ICT.
[5] Penggunaan Teknik dan Peralatan Auditan Bantuan Komputer
(CAATTs) untuk memudahkan pengauditan.
PENDAHULUAN1.
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 2 APRIL 2007
1.2 PENGENALAN
[1] Ledakan globalisasi teknologi maklumat dan komunikasi (ICT) masa
kini telah digunakan secara meluas dalam perancangan,
pelaksanaan dan pemantauan program dan aktiviti untuk
mempertingkatkan kecekapan penyampaian perkhidmatan di
Jabatan/Kementerian/Badan Berkanun/Agensi Kerajaan (auditi).
Perkongsian maklumat antara auditi boleh menimbulkan risiko
kebocoran rahsia dan penyalahgunaan maklumat yang tidak
dibenarkan. Sejajar itu, Juruaudit perlu bersedia meningkatkan
pengetahuan ICT dan mewujudkan strategi dan teknik untuk memberi
jaminan sama ada penggunaan ICT telah menambah nilai,
keselamatan sistem, proses kawalan yang teratur dan sempurna
serta ketepatan hasil output auditi. Sistem ICT yang baik boleh
mewujudkan mekanisme program penyampaian perkhidmatan
Kerajaan yang cekap dan berkesan. Keupayaan ICT membolehkan
perkhidmatan yang sedia ada dibelanjakan dengan lebih jimat dan
dapat memberi perkhidmatan tambahan termasuk menyediakan
maklumat prestasi yang lebih cekap, selamat dan terkawal.
Bagaimanapun sistem ICT juga boleh memberi kesan yang lebih
serius terhadap prestasi auditi akibat dari kegagalan sistem berfungsi
berbanding dengan sistem secara manual.
[2] ICT telah meningkatkan keupayaan untuk kuasai (capture), storan,
analisa dan proses bagi data dan maklumat yang amat besar; di
mana telah meningkatkan keupayaan bagi pembuat keputusan suatu
urusan. Terdapat kesan besar di mana peningkatan kepada
penggunaan teknologi telah menghasilkan belanjawan yang
meningkat dan kesedaran bagi keperluan kepada kawalan. ICT juga
telah memberi impak dalam profesion Juruaudit berdasarkan terma
pengauditan yang dilaksanakan dan pengetahuan yang memerlukan
memberi pendapat berkaitan pengoperasian atau keberkesanan,
kecekapan dan integriti bagi sistem dan pelaporan keutuhan ICT.
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 3 APRIL 2007
Pada awalannya, impak difokuskan ke atas perubahan persekitaran
pemprosesan ICT yang berubah.
[3] Persekitaran ICT adalah merumitkan dalam corak yang berbentuk
sistem berasaskan komputer berbanding sistem berasaskan kertas di
mana memerlukan suatu kawalan sistem dalaman yang berkesan
untuk melindungi keutuhan proses dan data perakaunan.
[4] Pengauditan ICT adalah penilaian ke atas operasi sistem maklumat
untuk memastikan keutuhan suatu maklumat. Penilaian tertentu
termasuk menilai kecekapan, keberkesanan dan ekonomi yang
berasaskan berkomputer. Ini melibatkan kegunaan komputer sebagai
alat pengauditan. Penilaian juga tertumpu kepada aspek berasaskan
komputer dalam sistem maklumat sebuah organisasi. Ini termasuklah
penilaian pelaksanaan yang sesuai terhadap operasi dan kawalan
sumber berkomputer. Ia juga sebagai sebahagian melengkapkan
fungsi pengauditan kerana dapat menyokong pendapat Juruaudit ke
atas kualiti maklumat yang diproses oleh sistem berkomputer.
Pengauditan ICT juga memerlukan Juruaudit yang menggunakan
kemahiran teknikal dan pengetahuan untuk mengaudit menerusi
sistem komputer atau menyediakan perkhidmatan pengauditan di
mana pemprosesan atau data atau keduanya dibenamkan dalam
satu teknologi. Ianya juga pengauditan berasaskan risiko yang
bercirikan penggunaan CAATTs yang membenarkan auditan melalui
pangkalan data berkomputer. Sebagai contoh, membolehkan
Juruaudit melihat sebarang jejak audit yang wujud dalam bentuk
elektronik yang biasanya tidak dapat dilihat kepada pengguna biasa;
dan menganalisis transaksi, peristiwa dan baki akaun melalui sistem.
Pengauditan ICT adalah penting kerana memerlukan pengauditan
protokol teknologi komunikasi yang komplek melibatkan internet,
intranet, extranet, silih ganti data elektronik (EDI), client server,
rangkaian kawasan setempat, rangkaian kawasan luas, komunikasi
data, telekomunikasi, teknologi wireless; dan sistem video/data/suara
bersepadu (VOIP).
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 4 APRIL 2007
[5] Juruaudit hendaklah menjalankan analisa risiko dan membuat
penilaian ke atas keseluruhan sistem ICT auditi. Analisa risiko dan
penilaian ini termasuk semua sistem dan sub-sistem sama ada
secara langsung atau secara tidak langsung yang terlibat dalam
pengeluaran maklumat kewangan dan maklumat kritikal.
Berdasarkan keputusan ini, Juruaudit bertindak mengelaskan tahap
kedudukan sistem mengikut risiko yang bersangkutan. Ini akan
membentuk suatu asas untuk memilih keutamaan pengauditan.
Dalam mempertimbangkan keseluruhan Rancangan Audit, Juruaudit
perlu mengambilkira perkara seperti berikut:
[a] Menentukan tahap saling bergantungan bagi sistem yang
dijangka untuk diletakkan ke atas kawalan ICT dalam
keseluruhan penilaiannya terhadap kawalan dalaman auditi;
[b] Merancang bagaimana, di mana dan bila bagi suatu fungsi
sistem ICT akan dikaji semula; dan
[c] Merancang prosedur menggunakan CAATTs.
1.3 TUJUAN GARIS PANDUAN
[1] Garis panduan ini menerangkan pendekatan asas untuk
melaksanakan pengauditan ICT untuk kegunaan Juruaudit Jabatan
Audit Negara.
[2] Secara umumnya, objektif dan skop pengauditan adalah tidak
berubah di dalam persekitaran sistem berkomputer, walaupun
penggunaan ICT telah mempengaruhi kepantasan pemprosesan data
dan menyediakan media penstoran yang besar bagi data kewangan
dan rekod. Senario perkembangan ICT juga telah memberi kesan
kepada pengurusan pentadbiran, prosedur perakaunan, sistem
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 5 APRIL 2007
kawalan dalaman dan mengubah pemprosesan data dan rekod
auditi. Persekitaran ICT khususnya juga telah memberi impak kepada
pengauditan dari segi perubahan prosedur pengauditan untuk
mendapatkan bukti audit dan mengambilkira risiko untuk membuat
penilaian terhadap kawalan am dan kawalan aplikasi. Oleh itu, teknik
dan metodologi semasa menjalankan pengauditan dan penilaian
terhadap sistem dan kawalan dalaman auditi perlu berubah.
Perbezaan melaksanakan pengauditan dalam persekitaran sistem
berkomputer dan persekitaran secara manual adalah seperti berikut:
[a] Bukti audit yang asal;
[b] Prosedur untuk mendapatkan bukti; dan
[c] Tempoh masa dan setakat mana prosedur digunakan
[3] Terdapat 3 jenis pengauditan ICT yang dilaksanakan di Jabatan Audit
Negara seperti berikut:
[a] Pengauditan Umum ICT
• Kawalan Am
• Kawalan Aplikasi
• Kawalan Rangkaian (Network)
[b] Pengauditan Pembangunan ICT
• Pengauditan Serentak (Concurrent)
• Pengauditan Selepas Pelaksanaan
[c] Pengauditan Prestasi ICT
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 6 APRIL 2007
1.4 METODOLOGI AUDIT
[1] Metodologi pengauditan ICT adalah kaedah, teknik dan pendekatan
yang digunakan untuk melaksanakan prosedur pengauditan,
pengumpulan data dan dokumentasi bukti audit sebagai asas untuk
memberi pendapat dan kesimpulan. Sebagai contoh, metodologi
yang digunakan dalam pengesahan kewujudan inventori adalah
seperti pemeriksaan, pemerhatian, pengiraan, pertanyaan,
menemuduga, pengesahan, pengiraan berkomputer, penyesuaian,
analisa, pengujian dan pensampelan.
[2] Kaedah pengauditan ICT yang digunapakai oleh Jabatan Audit
Negara memerlukan Juruaudit membuat penilaian ke atas sistem
maklumat berkomputer auditi untuk menentukan sama ada maklumat
yang dikeluarkan adalah pada masanya, tepat, lengkap dan boleh
dipercayai untuk mencapai matlamat dan objektif pengurusan auditi.
[3] Standard pengauditan ICT kepada metodologi ini adalah berasaskan
kepada Standard Pengauditan INTOSAI yang menggariskan amalan
profesional semasa yang diterima pakai seperti di PAGE 3 IT AUDIT
STANDARDS [IT AUDIT GUIDELINES FOR ASOSAI].
[4] Pendekatan pengauditan sering berbeza di kalangan Juruaudit di
mana bergantung kepada keadaan tugasan, pengetahuan Juruaudit
dan spesifikasi dalam piagam pelanggan atau surat pelantikan.
Terdapat tiga pendekatan pelaksanaan pengauditan berasaskan
komputer yang dipraktikkan:
[a] Pengauditan sekitar komputer (Auditing around the computer)
Juruaudit menganggap komputer sebagai sebuah kotak hitam
dan hanya bergantung kepada output komputer. Penumpuan
adalah ke atas pemeriksaan kebetulan output, data dan
dokumen dengan merujuk kepada input sesuatu proses tanpa
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 7 APRIL 2007
perlu mendalami prosesnya. Dalam keadaan tertentu,
Juruaudit memeriksa kawalan prosedur melebihi dari komputer
atau kawalan berautomatik. Pendekatan ini adalah sesuai
untuk tahap berisiko rendah, aplikasi yang diuji baik dengan
logik mudah dan Juruaudit tidak perlu berpengetahuan
komputer untuk melaksanakan tugasnya.
[b] Pengauditan melalui komputer (Auditing through the computer]
Juruaudit perlu berpengetahuan sederhana tentang
perkakasan, perisian sistem dan bahasa pengaturcaraan bagi
aplikasi yang ditulis (write). Dalam keadaan tertentu, program
dan data menjadi penting kepada Juruaudit yang akan
mengesahkan logik program dan juga write kod spesifik untuk
menguji kebetulan data. Walaupun pendekatan ini adalah
berkesan tetapi tidak selalu dipraktikkan kerana
berkemungkinan dalam dua keadaan iaitu pertamanya,
terdapat risiko secara langsung kepada data dan aplikasi.
Keduanya, Juruaudit masih kekurangan maklumat tentang
pelbagai jenis teknologi dan perisian aplikasi yang terkini.
[c] Pengauditan bersama komputer (Auditing with the computer)
Juruaudit menggunakan peralatan yang pelbagai untuk
mengekstrak data daripada sistem komputer auditi ke
persekitaran yang bebas. Juruaudit menggunakan pelbagai
teknik data-mining untuk menganalisa data bagi kesimpulan
audit. Dalam keadaan tertentu, Juruaudit tidak perlu menjadi
pengaturcara di mana mereka hanya memerlukan kemahiran
yang sederhana semasa menggunakan peralatan dan
menganalisa data. Kemahiran pengaturcaraan bagi Juruaudit
adalah satu kelebihan. Walaupun dengan penggunaan
peralatan yang berautomasi yang dikenali sebagai CAATTs,
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 8 APRIL 2007
Juruaudit yang berkemahiran pengaturcaraan boleh write
program yang customized menggunakan utiliti script dalam
peralatan itu.
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 9 APRIL 2007
2.1 OBJEKTIF AUDIT
Objektif Pengauditan Umum ICT adalah untuk menentukan kewibawaan
auditi dalam mengeluarkan sesuatu maklumat kewangan dan maklumat
kritikal.
2.2 RANCANGAN AUDIT
Format Memorandum Rancangan Audit ICT mengandungi perkara seperti di
LAMPIRAN A dan seperti di APPENDIX 2.2 IT AUDIT GUIDELINES FOR
ASOSAI untuk semakan secara menyeluruh. Juruaudit perlu mengumpul
maklumat berkaitan sistem berkomputer yang akan diaudit seperti berikut:
[a] Fungsi dan jawatankuasa organisasi, pemprosesan komputer dan
rangkaian ICT yang sedang digunakan oleh auditi;
[b] Perkakasan dan perisian komputer yang digunakan oleh auditi;
[c] Perincian semua sistem dan aplikasi yang digunakan oleh auditi;
[d] Mengenalpasti aplikasi penting yang digunakan, sifat pemprosesan
(contohnya kelompok dan dalam talian); dan polisi simpanan
sandaran (back-up retention);
[e] Pembangunan sistem yang akan datang termasuk kajian semula
aplikasi yang wujud;
2. PANDUAN PENGAUDITAN UMUM ICT
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 10 APRIL 2007
[f] Dokumentasi ICT sebagai contoh polisi dan standard pembangunan
sistem, dokumentasi sistem, pelaksanaan sistem, manual pengguna
dan lain-lain; dan
[g] Polisi perundangan dan peraturan Kerajaan yang berkuatkuasa. Sila
lihat RUJUKAN PERATURAN KERAJAAN BERKAITAN ICT untuk
maklumat lanjut. 2.3 PERTIMBANGAN JURUAUDIT
Juruaudit ICT berperanan memberikan suatu kenyataan jaminan sama ada
kawalan dalaman auditi adalah mencukupi dan boleh dipercayai berada
dalam kedudukan asalnya dan beroperasi dengan cekap dan berkesan.
Juruadit perlu terlibat mengkaji semula sistem maklumat dengan memberi
tumpuan kepada kebimbangannya ke atas aspek kawalan sistem. Juruaudit
hendaklah memastikan peruntukan dibuat seperti berikut:
[a] Jejak audit yang mencukupi supaya transaski yang boleh dijejaki
secara ke hadapan dan ke belakang menerusi sistem.
[b] Dokumentasi, kewujudan kawalan ke atas perakaunan bagi semua
data contohnya transaksi yang dimasukkan ke dalam sistem dan
kawalan untuk memastikan ketelusan transaksi berkenaan
sepanjang segmen sistem yang berkomputer.
[c] Kawalan meliputi perubahan sistem komputer untuk menentukan
sama ada kelulusan yang sesuai telah diberikan dan didokumen.
[d] Prosedur kelulusan untuk mengatasi sistem dan proses
dokumentasi.
[e] Menentukan sama ada organisasi dan polisi dan prosedur kerajaan
adalah dipatuhi dalam pelaksanaan sistem.
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 11 APRIL 2007
[f] Melatih kakitangan auditi dalam pengendalian sistem.
[g] Membangunkan kriteria penilaian yang terperinci supaya ianya boleh
menentukan sama ada sistem yang dilaksanakan telah mencapai
spesifikasi yang dipasti terlebih dahulu.
[h] Keselamatan yang mencukupi di antara sistem komputer yang saling
bergantungan.
[i] Prosedur kawalan yang mencukupi untuk melindungi data pengguna.
[j] Memastikan teknologi yang disediakan oleh pelbagai vendor
contohnya landasan pengoperasian adalah serasi dan terkawal.
[k] Prosedur sandaran dan pemulihan untuk sistem pengoperasian dan
jaminan kesinambungan urusan.
[l] Memastikan pangkalan data yang direkabentuk dan dikawal adalah
mencukupi di mana definisi data digunakan sepanjang organisasi,
jika berlaku kes berulang dihapuskan atau terkawal dan data yang
wujud dalam pelbagai pangkalan data dikemaskini setiap masa.
2.4 PENILAIAN KAWALAN AM
Kawalan-kawalan ke atas pemprosesan komputer adalah termasuk
prosedur manual dan prosedur yang diprogramkan. Kedua-dua prosedur
kawalan ini adalah keseluruhan mekanisma di dalam kawalan dalaman
persekitaran ICT untuk menyediakan satu tahap yang munasabah untuk
mencapai objektif kawalan dalaman. Program Penilaian Kawalan Am seperti
di LAMPIRAN B. Dalam menilai Kawalan Am, Juruaudit perlu mengkaji
perkara-perkara seperti berikut:
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 12 APRIL 2007
[a] Kawalan Organisasi dan Pengurusan untuk mewujudkan satu rangka
kerja organisasi ke atas aktiviti ICT termasuk:
[i] Risiko berkaitan dengan kawalan yang tidak memadai;
[ii] Struktur organisasi ICT;
[iii] Strategi ICT dan penglibatan pengurusan atasan;
[iv] Polisi kakitangan dan polisi latihan;
[v] Polisi dokumentasi dan polisi sandaran [retention] dokumen;
[vi] Polisi perkhidmatan luar [outsourcing];
[vii] Penglibatan Pasukan Audit Dalam;
[viii] Dasar Keselamatan ICT;
[ix] Pematuhan perundangan dan peraturan; dan
[x] Pengasingan bidang tugasan.
[b] Kawalan Pengurusan Perubahan adalah bagi memastikan semua
perubahan kepada tatarajah sistem adalah dibenarkan, diuji,
didokumenkan, terkawal, pengendalian sistem seperti dijangkakan
dan terdapat jejak audit yang mencukupi ke atas penambahan yang
meliputi:
[i] Perubahan prosedur kawalan;
[ii] Perubahan pertimbangan;
[iii] Perubahan proses;
[iv] Perubahan kajian semula;
[v] Perubahan kecemasan;
[vi] Kawalan versi untuk memastikan versi perisian yang betul
sedang digunakan; dan
[vii] Pindaan kepada alatan dan kemudahan.
[c] Kawalan Operasi adalah untuk mengawal operasi sistem dan jaminan
yang munasabah bahawa:
[i] Sistem yang digunakan adalah untuk tujuan yang dibenarkan
sahaja;
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 13 APRIL 2007
[ii] Capaian operasi komputer adalah terhad kepada kakitangan
yang dibenarkan;
[iii] Program yang dibenarkan sahaja digunakan; dan
[iv] Kesilapan (error) pemprosesan dikesan dan diperbetulkan.
[d] Kawalan Akses Logik adalah bagi jaminan yang munasabah bahawa:
[i] Struktur rasmi ditempatkan kepada input yang dibenarkan
pada sistem; dan
[ii] Capaian kepada data, program dan terminal adalah terhad
kepada kakitangan yang dibenarkan.
[e] Kawalan Fizikal dan Persekitaran menyediakan perlindungan kepada
data dan program termasuk perlindungan dari kemungkinan
pengubahsuaian yang tidak dibenarkan atau kemusnahan yang
disebabkan oleh ancaman dan bahaya persekitaran.
[f] Kawalan Perancangan Kesinambungan Urusan yang menyumbang
kepada kesinambungan pemprosesan ICT. Ini termasuk:
[i] Data dan program komputer sandaran di luar lelaman (offsite
back-up); dan
[ii] Prosedur pemulihan bencana semasa keadaan berlakunya
kecurian, kehilangan, kemusnahan yang disengajakan atau
secara kebetulan sebagai contoh peruntukan untuk
pemprosesan data dan program komputer sandaran (back-up)
di luar lelaman (offsite) semasa berlakunya kejadian bencana.
[g] Kawalan Pembekal Perkhidmatan (service provider) untuk menilai
perkhidmatan ICT yang dilaksanakan oleh pembekal, termasuklah
kajian semula perjanjian peruntukan perkhidmatan ICT.
[h] Kawalan Pengguna Komputer adalah untuk menilai kawalan dalaman
persekitaran pengguna komputer termasuk:
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 14 APRIL 2007
[i] Kawalan sistem pembangunan ke atas aplikasi pengguna
yang dibangunkan;
[ii] Kawalan capaian ke atas komputer peribadi dan komputer
riba; dan
[iii] Kawalan anti virus.
2.5 PENILAIAN KAWALAN APLIKASI
[1] Penilaian Kawalan Aplikasi adalah untuk mewujudkan prosedur
kawalan yang khusus ke atas aplikasi dengan tujuan memberi
jaminan yang munasabah bahawa semua transaksi auditi adalah
mendapat kebenaran dan diproses dengan lengkap, tepat dan pada
masanya. Ini memastikan bahawa keutuhan kedua-dua sistem dan
maklumat yang disimpan dan diproses adalah berkualiti. Satu
tinjauan mengenai aplikasi ICT mesti dilakukan seperti ditunjukkan di
APPENDIX 2.3 IT AUDIT GUIDELINES FOR ASOSAI. Tinjauan
akan memberi gambaran keseluruhan mengenai sistem ICT auditi
untuk membantu Juruaudit merancang pengauditan terhadapnya. Juruaudit boleh mengenal pasti dan mengkaji dengan mendalam
pelbagai jenis kawalan aplikasi dan melaksanakan ujian berkaitan
untuk menilai keutuhannya. LAMPIRAN C menunjukkan jenis
kawalan yang perlu ditinjau dalam menilai kawalan aplikasi. Program
Penilaian Kawalan Aplikasi seperti di LAMPIRAN D.
[2] Kawalan Aplikasi boleh dikategorikan seperti berikut:
[a] Kawalan Aplikasi Keselamatan
[i] Kawalan log masuk;
[ii] Perlindungan sumber;
[iii] Logging and akauntabiliti; dan
[iv] Perlindungan ke atas log audit.
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 15 APRIL 2007
[b] Kawalan Input
[i] Transaksi adalah sahih (valid) dan diberi kelulusan
sebelum diproses oleh komputer;
[ii] Transaksi ditukarkan (convert) kepada format yang
boleh dibaca mesin dan direkod di dalam fail data
berkomputer;
[iii] Transaksi adalah tidak dirosak, ditokoktambah, disalin
atau diubahsuai; dan
[iv] Transaksi yang tidak betul adalah ditolak, diperbetulkan
dan dikemukakan semula pada asas masanya.
[c] Kawalan Pemprosesan
[i] Transaksi yang dijana oleh sistem adalah sah dan
diproses oleh komputer;
[ii] Transaksi adalah tidak dirosak, ditokoktambah, disalin
atau diubahsuai; dan
[iii] Pemprosesan ralat adalah dikenal pasti dan
diperbetulkan pada asas masanya.
[d] Kawalan Output
[i] Keputusan pemprosesan adalah tepat dan lengkap;
[ii] Capaian kepada output adalah terhad kepada
kakitangan yang dibenarkan;
[iii] Output dikemukakan kepada kakitangan yang
dibenarkan pada asas masanya; dan
[iv] Output adalah munasabah dari segi kualiti dan format.
[e] Kawalan Fail Induk dan Kedudukan Data Kekal (Standing
Data)
[i] Pindaan kepada data kekal adalah tidak dibenarkan;
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 16 APRIL 2007
[ii] Akauntabiliti kepada pengguna bagi sebarang
perubahan yang dibuat;
[iii] Ketepatan data kekal adalah kemaskini dan tepat;
[iv] Keutuhan data fail induk adalah dikekalkan.
2.6 PENILAIAN KAWALAN RANGKAIAN (NETWORK)
Penilaian Kawalan Rangkaian adalah untuk memberi jaminan sama ada
auditi telah menyediakan perlindungan untuk transmisi data ke rangkaian
dan internet. Program Penilaian Kawalan Rangkaian seperti di LAMPIRAN E. Penilaian ini bertujuan untuk:
[a] Mengurangkan risiko kehilangan, mudah rosak atau manipulasi tanpa
kebenaran bagi data; dan
[b] Kebimbangan keselamatan internet.
3.7 PELAPORAN
Juruaudit hendaklah mematuhi polisi Jabatan Audit Negara untuk
menyediakan pemerhatian dan laporan audit.
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 17 APRIL 2007
3.1 PENGENALAN
[1] Juruaudit perlu memperolehi kefahaman yang jelas tentang Kitar
Hayat Pembangunan Sistem atau System Development Life Cycle
(SDLC] auditi. Ini termasuk perancangan, analisa, rekabentuk konsep,
pemilihan, maklumat rekabentuk bagi pelaksanaan dan
penyenggaraan sistem.
[2] Juruaudit akan terlibat di seluruh proses pembangunan sistem ICT
auditi. Maklumat input daripada Juruaudit tentang aspek kawalan-
kawalan dalaman, keselamatan, pengurusan projek, kitar hayat
pembangunan sistem serta kecukupan dan kualiti penyampaian di
seluruh proses pembangunan ICT adalah di bawa ke perhatian
pasukan projek untuk pertimbangan. Adalah penting Juruaudit perlu
mengkaji seluruh proses pembangunan ICT, jika tidak Juruaudit akan
menilai kembali semasa pengauditan selepas pelaksanaan. Carta
Aliran LAMPIRAN F menunjukkan peranan Jabatan Audit Negara
semasa proses pembangunan ICT Auditi.
[3] Pendekatan yang digunapakai oleh Jabatan Audit Negara dalam
pengauditan pembangunan ICT adalah Pengauditan Serentak dan
Pengauditan Selepas Pelaksanaan. Program Pengauditan
Pembangunan ICT seperti yang ditunjukkan di dalam LAMPIRAN G.
3.2 OBJEKTIF AUDIT
[1] Pengauditan Serentak (Concurrent Audit)
Objektif pengauditan serentak adalah untuk memastikan proses
pembangunan ICT adalah mematuhi polisi dan peraturan; kawalan
3.
PANDUAN PENGAUDITAN PEMBANGUNAN ICT
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 18 APRIL 2007
dalaman yang berkaitan dan mencukupi dan jejak audit berada pada
kedudukannya, kualiti pembangunan sistem adalah dikekalkan dan
sistem yang menambah nilai (value-for-money] adalah sedang
dibangunkan.
[2] Pengauditan Selepas Pelaksanaan
Semasa pengauditan selepas pelaksanaan ICT, Juruaudit akan
menilai sistem ICT yang spesifik selepas pelaksanaannya. Penilaian
akan meliputi aspek yang sama seperti di atas. Bagaimanapun,
penemuan audit akan menyediakan input berguna untuk pertimbangan
kepada proses pembangunan sistem pada masa akan datang. Objektif
pengauditan ini adalah untuk menambah baik pengurusan proses
pembangunan sistem secara am dan secara khusus.
3.3 RANCANGAN AUDIT
Perancangan semasa menjalankan pengauditan pembangunan ICT auditi
adalah seperti berikut:
[a] Polisi, peraturan dan standard kerajaan berkaitan projek ICT
[b] Peringkat jawatankuasa terlibat dalam kelulusan, perancangan,
perlaksanaan dan pemantauan projek ICT seperti berikut:
• Minit mesyuarat;
• Keputusan yang dibuat sebelum dan di seluruh pelaksanaan
projek
[c] Dokumentasi Perancangan seperti berikut:
• Rancangan Strategi Teknologi Maklumat dan Cadangan
Permintaan Konsep (Concept Request For Proposal)
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 19 APRIL 2007
[d] Keserasian pendekatan pembangunan sistem ICT yang diterima
pakai seperti berikut:
• Penyampaian fasa yang berbeza dalam pembangunan sistem
mengikut had masa yang dipersetujui
[e] Tugas yang diambilalih dan kawalan yang mungkin penting dalam
fasa pembangunan sistem ICT seperti berikut:
• Definisi Masalah dan Peluang
• Analisa Kewujudan Sistem
• Formula Keperluan Strategik
• Rekabentuk Sistem
• Perolehan dan Pembangunan
• Penukaran (Conversion) dan Perpindahan (Migration)
• Operasi dan Penyenggaraan
3.4 PELAPORAN
Bagi Pengauditan Selepas Pelaksanaan ICT, Juruaudit hendaklah
mematuhi polisi Jabatan Audit Negara berkaitan penyediaan untuk
pemerhatian dan laporan audit. Manakala pengauditan serentak (con-
current), pendapat dan pemerhatian audit akan dikeluarkan dengan segera
selepas perbincangan dengan jawatankuasa yang terlibat dalam
pembangunan ICT auditi. Ini memastikan bahawa pendapat atau
pemerhatian berkaitan aspek spesifik pembangunan sistem akan
dipertimbangkan tepat. Juruaudit hendaklah menyemak semula minit
mesyuarat bagi memastikan segala perkara yang dibangkitkan adalah
direkodkan dengan tepat.
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 20 APRIL 2007
4.1 PENGENALAN
[1] Prestasi sistem ICT auditi yang mantap akan mewujudkan
mekanisme penyampaian program/aktiviti yang cekap dan berkesan.
Ianya berpotensi untuk penyampaian perkhidmatan sedia ada yang
lebih murah dan juga menyediakan pelbagai perkhidmatan
tambahan, termasuk maklumat prestasi program dengan kecekapan
kawalan keselamatan dokumen yang lebih hebat berbanding sistem
secara manual.
[2] Sejajar dengan itu, Juruaudit perlu meningkatkan kemahiran ICT
untuk membangunkan strategi dan teknik untuk menyediakan
jaminan munasabah sama ada kesan penggunaan ICT kepada
keselamatan sistem, kewujudan kawalan proses yang sesuai dan
kesempurnaan dan ketepatan maklumat output auditi adalah telah
menambah nilai (value-for-money) dan mencapai matlamat.
Pengauditan prestasi dalam aspek tertentu membolehkan Juruaudit
dapat memastikan sama ada sistem ICT telah membantu dengan
berekonomi, cekap dan berkesan dari segi pengurusan
program/aktiviti auditi meliputi perancangan, pelaksanaan,
pemantauan dan maklum balas. Program Pengauditan Prestasi ICT
seperti yang ditunjukkan di dalam LAMPIRAN H.
4.2 OBJEKTIF AUDIT
Objektif pengauditan ini perlulah selaras dengan matlamat auditi dalam
penerimaan dan penggunaan sistem ICT. Ini dapat menentukan sama ada:
• Matlamat dan objektif sistem ICT adalah tercapai; dan
• Sistem ICT yang dibangunkan dengan cara yang
ekonomi, cekap dan berkesan
PANDUAN PENGAUDITAN PRESTASI ICT
4.
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 21 APRIL 2007
4.3 PERTIMBANGAN JURUAUDIT
[1] Juruaudit perlu memeriksa sama ada sistem ICT telah membantu
meningkatkan keberkesanan auditi dalam mengurus program/aktiviti
dan pertukaran kepada ICT telah memberi manfaat kepada pihak
yang berkepentingan dengan auditi.
[2] Juruaudit juga dikehendaki menilai sama ada sistem ICT dapat
meningkatkan pengurusan program. Beberapa perkara yang perlu
diberi perhatian adalah termasuk:
• ICT hendaklah menyokong objektif auditi dan oleh yang
demikian ia merupakan bahagian yang bergabung dengan
operasinya;
• Operasi ICT memerlukan kakitangan yang berkelayakan;
• Sumbangan ICT kepada operasi auditi adalah dinilai
berdasarkan kecekapan operasinya;
• Manfaat daripada ICT mungkin tidak disedari tanpa perubahan
yang sewajarnya dalam organisasi; dan
• pengukuran yang memberi tambah nilai mungkin sukar
dilaksanakan
[3] Sebagai tambahan bagi menilai sama ada sistem ICT auditi
menghasilkan manfaat, Juruaudit hendaklah menilai sekiranya ICT
telah menyumbang kepada ketelusan, akauntabiliti dan tadbir urus
yang baik.
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 22 APRIL 2007
4.4 RANCANGAN AUDIT
4.4.1 Penilaian Prestasi Persekitaran ICT
[a] Menilai persekitaran ICT auditi dan menentukan signifikannya
kepada objektif pengauditan prestasi seperti berikut:
[i] Membina sebuah model operasi organisasi
• Menganalisis objektif organisasi
• Mengenalpasti perhubungan struktur dan aktiviti
organisasi kepada objektif korporat
• Mewujudkan strategi ICT dan sistem maklumat
inventori masa lepas dan semasa
[ii] Mengenalpasti sistem ICT yang signifikan
• Menyediakan satu senarai projek sistem
maklumat berdasarkan kepada kos
• Mengenalpasti proses teras dan
kebergantungannya ke atas sistem maklumat
• Mengenalpasti keselamatan sistem dan kawalan
• Mengenalpasti risiko berpotensi besar dan
pendedahan sistem
[iii] Mengenalpasti dan menilai bukti bagi prestasi sistem
ICT
• Masa, contohnya, adakah sistem ICT yang
digunakan mengikut jadual?
• Kos, contohnya, adakah belanjawan projek
terlebih?
• Kualiti, contohnya, adakah bukti bahawa
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 23 APRIL 2007
pelaksanaan sistem ICT adalah baik atau
sebaliknya yang tidak boleh dipercayai,
ketidakpuasan pengguna,dan pertikaian dengan
pembekal.
[iv] Mengcamkan penerangan akibat kegagalan sistem ICT
• Adakah pihak pengurusan atasan mempunyai
kawalan ke atas polisi maklumat?
• Adakah standard pengurusan projek berada
pada kedudukannya dan, jika tidak, adakah
dikuatkuasakan?
• Adakah organisasi memiliki kemahiran yang
penting bagi menghasilkan dan membangunkan
sistem maklumat yang berkesan?
• Mengenalpasti sebarang kekurangan
(deficiencies) dalam kawalan ICT dan memberi
kesan keputusan ke atas kecekapan, ekonomi
dan keberkesanan terhadap prestasi pihak auditi
• Membandingkan perancangan strategik ICT,
amalan pengurusan risiko auditi kepada amalan
industri yang lebih baik dan hubungan kepada
tadbir urus korporat auditi
[b] Mengenal pasti takat (extent) pengauditan sistem ICT yang
diperlukan untuk mencapai objektif pengauditan prestasi
contohnya pendekatan Pengauditan Pembangunan Sistem
ICT dan Pengauditan Umum Sistem ICT;
[c] Mengenal pasti sebarang kelemahan dalam kawalan ICT yang
boleh memberi kesan terhadap kecekapan, ekonomi dan
keberkesanan prestasi auditi;
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 24 APRIL 2007
[d] Memeriksa pembangunan dan penyenggaraan sistem ICT
yang diamalkan oleh auditi berbanding dengan amalan terbaik;
[e] Membandingkan rancangan strategi ICT, risiko pengurusan
dan amalan pengurusan projek auditi dengan amalan industri
terbaik berkaitan dengan tadbir urus korporat auditi;
[f] Menentukan sama ada sistem output mencapai kualiti auditi
dan tahap perkhidmatan yang ditetapkan;
[g] Menilai sama ada sistem ICT meningkatkan ekonomi,
kecekapan dan keberkesanan program pengurusan auditi
terutamanya yang berkaitan dengan program perancangan,
pelaksanaan, pemantauan dan maklum balas;
[h] Adakah terdapat penggunaan Teknik dan Alatan Auditan
Bantuan Komputer (CAATTs)
[i] Perancangan dan mendapatkan khidmat Juruperunding
• Sebagaimana pengauditan lain, pengauditan prestasi
terhadap ICT perlu dirancang. Proses perancangan
hendaklah menetapkan objektif audit supaya selaras
dengan objektif auditi dalam menerima
pakai/memperkenalkan sistem ICT dan hendaklah
mengambil kira aspek keselamatan, kawalan dan
menambah nilai. Fasa perancangan juga hendaklah
mengenal pasti sistem ICT, sistem komputer dan perisian
yang digunakan oleh auditi. Perancangan juga perlu
mengenal pasti kemungkinan risiko yang serius dan tahap
pendedahan sistem ICT auditi berkenaan.
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 25 APRIL 2007
• Tanggungjawab pengauditan prestasi terhadap ICT
memerlukan anggota yang berkemahiran khusus dan
terlatih dalam bidang ICT, pengauditan dan perakaunan.
Perkhidmatan Juruperunding boleh dipertimbangkan bagi
tugas yang lebih teknikal. JAN hendaklah juga memberi
perhatian dalam perolehan perkakasan dan perisian
komputer. Kakitangan yang terlibat perlu sentiasa
mendapat latihan dari semasa ke semasa mengenai
perkembangan teknologi dan teknik pengauditan ICT.
4.4.2 Penilaian Prestasi Pembangunan Sistem ICT
Pengauditan prestasi yang melibatkan pembangunan sistem ICT
auditi untuk mengenal pasti sama ada:
[a] mendapat kelulusan eksekutif yang sewajarnya bagi
pembangunan sistem ICT, iaitu pengurusan ICT bersesuaian
dengan keadaan dan mematuhi kehendak urus tadbir korporat
auditi;
[b] mengamalkan proses pengurusan projek yang sewajarnya
bagi mengendalikan sesuatu projek;
[c] telah mencapai sasaran masa, kos, fungsi sistem dan
menambah nilai (value for money);
[d] menggunakan metodologi pembangunan sistem ICT yang
bersesuaian;
[e] telah memilih (adopt) pembangunan sistem dan amalan
penyenggaraan ICT yang disokong oleh amalan ICT yang
lebih baik; dan
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 26 APRIL 2007
[f] mewujudkan proses, termasuk penglibatan audit dalaman,
bagi menentukan sistem baru mengandungi semua kawalan
yang perlu dan jejak audit menjurus untuk menepati keperluan
Auditi dan semua pihak yang berkepentingan.
4.4.3 Penilaian Prestasi Operasi Sistem ICT
[a] Penilaian Prestasi Operasi Sistem ICT auditi yang perlu diberi
perhatian seperti berikut:
• pengurusan strategik dan operasi ICT auditi, termasuk
jaminan bahawa ICT diambil kira dalam keseluruhan
tadbir urus korporat auditi
• pengurusan projek ICT auditi, termasuk rekod yang
mematuhi perundangan dan menepati syarat lain yang
ditetapkan
• amalan pengurusan risiko yang digunakan berkaitan
dengan ICT
• sistem reka bentuk ICT, kawalan pembangunan dan
penyenggaraan
• pematuhan standard termasuk standard luaran
• kawalan aplikasi
• kawalan pemprosesan termasuk jejak audit
• ketetapan kesinambungan urusan
• keutuhan data, termasuk persampelan data dengan
penggunaan CAATTs
• kawalan capaian dan keselamatan fizikal dan logik bagi
rangkaian dan komputer termasuk firewalls internet
• kawalan keselamatan bagi menghalang perisian yang
menyalahi undang-undang
• pengurusan dan pengukuran prestasi untuk menentukan
sama ada output sistem mencapai kualiti dan had
penyampaian perkhidmatan auditi
• Isu-isu lain yang berbangkit semasa pengauditan
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 27 APRIL 2007
4.5 INTERNET
Penggunaan internet adalah perlu untuk tugas-tugas penyelidikan,
perancangan, komunikasi melalui mel eletronik dan pangkalan data
berdasarkan portal web yang boleh dicapai di luar lokasi auditi. Juruaudit
hendaklah menggunakan teknologi internet untuk pencarian dan
mengumpul maklumat korporat auditi yang terkini untuk memudahkan kerja
pengauditan prestasi ICT. Capaian menerusi internet kepada maklumat
tersebut boleh dimuat turun melalui portal web auditi.
4.6 PELAPORAN
Laporan Pengauditan Prestasi ICT perlu mengelakkan penggunaan istilah
teknikal ICT supaya laporan tersebut mudah difahami oleh auditi, pihak
pengurusan Jabatan, badan perundangan dan orang awam. Jika keperluan
istilah teknikal dikekalkan, penjelasan hendaklah diberikan. Penyediaan dan
pengurusan pemerhatian dan laporan audit hendaklah mematuhi polisi
Jabatan Audit Negara.
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 28 APRIL 2007
5.1 PENGENALAN
[1] Juruaudit perlu menyemak semula sistem aplikasi untuk
mendapatkan pemahaman kawalan dalaman yang berada pada
tempatnya untuk memastikan ketepatan dan kesempurnaan bagi
data. Sekiranya kawalan dalaman tidak mencukupi, Juruaudit mesti
melaksanakan pengujian yang meluas untuk mengesahkan
kesahihan data. Penggunaan Teknik dan Peralatan Auditan Bantuan
Komputer [CAATTs] dalam proses pengauditan adalah semasa
mencapai keberkesanan dan keutuhan rekabentuk atau operasi bagi
kawalan sistem ICT. Ia boleh digunakan untuk pensampelan
transaksi data dan menguji sistem secara keseluruhan. Ia juga
digunakan dengan pelbagai cara untuk menilai integriti aplikasi,
menentukan pematuhan prosedur dan berterusan memantau
keputusan pemprosesan. CAATTs boleh melaksanakan ujian kepada
kawalan aplikasi dan penyarian data. Kawalan aplikasi dikategorikan
kepada kawalan input, kawalan pemprosesan dan kawalan ouput.
Juruaudit perlu menguji dan menilai kawalan tersebut. Keputusan
untuk menguji dan menilai adalah tidak hanya berkaitan kepada saiz
auditi tetapi juga kerumitan dari persekitaran ICT Auditi.
[2] CAATTs akan meningkatkan signifikan kawalan pengurusan dan
mengurangkan kos jika Juruaudit menggunakan dengan baik. Teknik
automatik ini telah membuktikan lebih baik daripada teknik manual
bila berhadapan maklumat yang berjumlah besar dan kepantasan
melaksanakan analisis data untuk menghimpunkan paparan besar
bagi suatu proses. Pakej Perisian yang dibangunkan khusus untuk
membantu kerja pengauditan adalah ACL, DYL SAS dan IDEA untuk
memilih suatu sampel, menganalisis ciri-ciri fail, mengenalpasti aliran
5.
PANDUAN PENGGUNAAN CAATTs
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 29 APRIL 2007
dalam data dan menilai keutuhan data. Sebagai tambahan kepada
perisian auditan, lain-lain produk perisian boleh digunakan untuk
penganalisaan data sebagai contohnya ACCESS digunakan untuk
menganalisis data, mencipta laporan, dan pertanyaan data. Manakala
EXCEL digunakan untuk menganalisis data, menjana sampel,
mencipta graf dan melaksanakan rosotan atau analisa aliran. Oleh
itu, CAATTs memainkan peranan yang sangat penting dalam prestasi
kerja audit.
5.2 PENGGUNAAN CAATTs
[1] Penggunaan CAATTs oleh Juruaudit semakin meningkat dari semasa
ke semasa untuk tujuan pengauditan terperinci seperti berikut:
[a] capaian dan pemilihan maklumat daripada pangkalan data
auditi;
[b] jumlah, ringkasan, susunan, perbandingan dan pemilihan
daripada jumlah populasi data berdasarkan kepada kriteria
yang ditentukan;
[c] penjadualan, penyemakan dan pengiraan ke atas data;
[d] persampelan, prosesan statistik dan analisis;
[e] menghasilkan laporan untuk memenuhi keperluan
pengauditan; dan
[f] kemudahan kepada kawalan dan perancangan audit
contohnya kertas kerja audit berbentuk elektronik bagi
menyokong keberkesanan rujuk silang, semakan semula dan
pelaporan
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 30 APRIL 2007
[2] Kebaikan pengunaan CAATTs adalah seperti berikut:
• Penjimatan masa dan kos pengauditan;
• Membolehkan pemeriksaan/pengesahbetulan (verifications)
yang lebih menyeluruh bagi data;
• Menggantikan banyak prosedur yang dibuat secara manual;
• Mengurangkan ujian pengauditan asas;
• Mengukuhkan (Proof) keutuhan fail pengauditan
[3] Contoh rutin CAATTs yang digunakan untuk analisis pengauditan
seperti berkut:
• Pengesahbetulan (Verifying) digunakan untuk memeriksa
keutuhan data, contohnya data tidak mudah rosak [corrupted];
• Perjumlahan (Totalling) digunakan untuk membuktikan
kesempurnaan dan penyesuaian kepada akaun yang
dinyatakan;
• Penstrataan (Stratification) memberikan gambaran yang
lengkap kepada Juruaudit berkenaan nilai julat (range) di dalam
fail;
• Persampelan (Sampling) membolehkan Juruaudit membuat
sarian (extract) bagi memilih perwakilan transaksi dari fail untuk
ujian pengauditan;
• Penduaan (Duplicate) digunakan untuk mengesan sama ada
medan kekunci di dalam fail semasa yang mengandungi
penduaan berturutan di mana mendorong berlakunya aktiviti
penipuan (fraudulent);
• Pengumuran (Ageing) menunjukkan suatu corak pembayaran
di seluruh tempoh masa;
• Selaan (Gap) memaparkan nombor yang hilang dalam turutan;
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 31 APRIL 2007
• Pengiraan Semula (Re-performing Calculation) untuk
membuktikan ketepatan formula yang digunakan semasa
penyediaan data;
• Penyesuaian Kabur (Fuzzy Matching) membenarkan
pemeriksaan ke atas maklumat yang hampir sama dan
mengesan percubaan penyelewengan bagi tuntutan/bayaran
5.3 KATEGORI CAATTs
[1] Utiliti perisian Peralatan Muat Turun Fail (File Downloading Tools)
biasanya digunakan oleh pakar CAATTs untuk memindahkan data
pelanggan ke komputer Juruaudit. Contohnya seperti berikut:
• Utiliti Bacaan Pita/Pengimbasan – digunakan untuk
mengesahbetul data di pita dan memastikan pita adalah tidak
rosak dan mengira sejumlah rekod untuk mengesahkan
kesempurnaannya;
• Fdump – utiliti yang disediakan dengan pengurusan pita
Overland Data;
• Tapeutl – utiliti yang disediakan oleh Flagstaff Engineering;
• Depot – utiliti muat turun yang disediakan oleh Overland Data
• Tarsus – utiliti muat turun dan menyari oleh Memory
Technology
[2] Peralatan Soal Selidik Fail (File interrogation Tools) di mana terdapat
2 jenis iaitu:
• Alat yang khusus untuk menganalisa data bagi tujuan
pengauditan: Persampelan, Perjumlahan, Analisis
• Utiliti pangkalan data dan hamparan helaian yang boleh
menyari maklumat dari fail
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 32 APRIL 2007
[3] Peralatan Penjana Laporan (Report Generators Tools] – Utiliti
pertanyaan yang boleh menyari data mengikut format yang
dikehendaki dari sebuah fail.
[4] Peralatan Keselamatan (Security System)/Kajian Semula (Review
Tools)– Perisian yang boleh membantu Juruaudit untuk merancang
semakan semula suatu sistem dan menyediakan pensyoran yang
dijana oleh komputer.
[5] Peralatan Perancangan (Planning Tools) – Perisian yang boleh
membantu Juruaudit dalam perancangan pengauditan.
[6] Perisian Tempahan (Bespoke Software) – Utiliti alat yang biasanya
ditulis oleh pakar CAATTs untuk melaksanakan fungsi yang khusus.
[7] Modul Auditan Dibenam (Embedded Audit Modules) adalah perlu jika
data yang dipilih adalah meruap (volatile) atau tidak boleh disediakan
dalam format yang diminta.
[8] Peralatan Pemasangan Data (Data Mining Tool) adalah alat
pengauditan forensik yang memaparkan secara grafiknya
perhubungan yang rumit di antara rekod yang komplek dari fail-fail
yang berbeza.
[9] Bahasa Pertanyaan Berstruktur atau Structured Query Language
(SQL)
• SQL direka untuk menyari (extract) data dari sistem
perhubungan pangkalan data;
• Antaramuka (interface) SQL boleh ditemui dalam sistem
pengurusan/pangkalan data seperti Microsoft Query, Microsoft
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 33 APRIL 2007
ACCESS, ORACLE, INFORMICS, DB2, INGRES, dBase IV,
dan lain-lain;
• SQL kerap digunakan sebagai modul terbenam (embedded)
pengauditan untuk menyari (extract] data dari auditi kepada
spesifikasi Juraudit;
• SQL boleh digunakan dalam mod bersendirian (stand alone)
untuk capaian fail dBase;
• Elemen dari lebih daripada satu jadual boleh disari kepada fail
yang baru. Ia juga boleh mengindeks dan menyusun fail
dengan menggunakan SQL;
• SQL boleh melaksanakan banyak fungsi matematik: Pengiraan;
Penjumlahan; Purata; Pendaraban;
• SQL boleh menjana laporan pengecualian yang kompleks
dengan menggunakan julat (range) syarat-syarat: Di Mana; Di
Antara; Mempunyai; Seumpama
5.4 FASA PENGGUNAAN CAATTs
Gambarajah A menunjukkan fasa yang terlibat dalam penggunaan
CAATTs.
Perancangan
Rekabentuk
Pembangunan
Pengujian
Pelaksanaan
Pelaporan
Gambarajah A
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 34 APRIL 2007
[a] Perancangan
Peruntukan masa dalam rancangan menggunakan CAATTs boleh
menjimatkan tempoh masa pengauditan. Rancangan Audit termasuk:
• Menentukan objektif pengauditan CAATTs;
• Mengkaji semula sistem ICT dengan tujuan mendapatkan
maklumat yang mencukupi mengenai sistem yang digunakan
oleh Auditi;
• Pemasangan/Sistem Operasi/Kajian Semula Aplikasi;
- Apakah fail yang dicipta oleh sistem (Gambarajah Aliran
Data)
- Kenalpasti struktur pangkalan data contohnya hieraki,
perhubungan (relational), rangkaian, dan lain-lain
• Pilih fail yang paling sesuai bagi soal selidik CAATTs dan
memeriksa fail data. Lain-lain pertimbangan adalah:
- Tentukan medan/jadual yang diperlukan
- Tentukan tempoh masa bagi data yang diperlukan
- Saiz fail dan keupayaan penstoran komputer
• Juruaudit akan menyediakan spesifikasi satu set soal sellidik
yang bertulis termasuk:
- Jenis rekod yang akan disoal selidik
- Ciri-ciri soal selidikan (interrogation)
• Jika kumpulan pakar CAATTs diperlukan, permohonan
bertulis untuk bantuan perlu dimasukkan
[b] Rekabentuk
Juruaudit CAATTs perlu merekabentuk prosedur untuk
melaksanakan analisis CAATTs:
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 35 APRIL 2007
• Kaedah memuat turun data ke komputer Juruaudit melalui
media muat turun, capaian secara langsung dan lain-lain.
Utiliti pemindahan data boleh digunakan;
• Sebarang penukaran (conversion) adalah penting untuk
mencipta format fail yang diperlukan;
• Sebarang manipulasi data seperti gabungan maklumat dari
lebih satu fail sebelum soal selidik [interrogation] data;
• Saiz fail data yang diperlukan menurut tempoh masa
pengauditan;
• Data pelanggan telah dilog dan sandaran (backup) telah
dibuat
[c] Pembangunan
Pada fasa ini, Juruaudit perlu mendapatkan data dan fail daripada
auditi:
• Permintaan untuk pengujian data dan format yang diperlukan;
• Paparan rekod yang dibekalkan oleh auditi;
• Rekod yang dicetak menunjukkan sepadan kepada paparan
rekod;
• Maklumat terperinci saiz blok dan pengiraan rekod pada pita;
• Salinan sebarang penukaran/manipulasi fail program;
• Salinan paparan data yang ditukar (convert);
• Salinan definisi rekod yang digunakan dalam perisian soal
selidikan (interrogation);
• Salinan sebarang sarian (extraction) persamaan yang ditulis;
• Kriteria pertanyaan audit yang disediakan
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 36 APRIL 2007
[d] Pengujian
Fail yang dimuat turun perlu diuji sebelum Juruaudit meneruskan
dengan soal selidikan. Pengujian termasuk:
• Bukti bahawa data yang dimuat turun adalah sepadan dengan
data di fail;
• Bukti bahawa ke semua rekod pada fail telah ditukar (convert);
• Bukti bahawa fail adalah lengkap dan betul;
• Uji semua persamaan sarian (extraction);
• Periksa kebetulan bagi sebarang medan yang dikira;
• Periksa format bagi sebarang laporan output
[e] Pelaksanaan
Pada fasa ini, kriteria pertanyaan audit akan dilaksanakan
menggunakan fail yang dimuat turun. Jika pengecualian diperhatikan
contohnya penduaan (duplicate), selaan (gaps) dan lain-lain; sahkan
dengan sumbernya dan Juruaudit patut memeriksa dengan terperinci.
[f] Pelaporan
Pelaksanaan semua laporan output didokumentasi untuk menyokong
pemerhatian audit bagi kertas kerja dan dilaporkan sewajarnya.
Garis Panduan Pengauditan ICT
Lampiran A (Muka Surat 9)
MEMORANDUM RANCANGAN AUDIT ICT
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 37 APRIL 2007
[a] LATAR BELAKANG AUDITI
• Maklumat Korporat
• Dokumen Perancangan Korporat
• Rancangan Strategik Teknologi Maklumat
• Pengurusan Konfigurasi Sistem ICT
• Saiz Operasi Komputer
• Kawalan Dalaman Berkomputer
[b] OBJEKTIF, SKOP DAN METODOLOGI
• Objektif Pengauditan
• Skop Pengauditan
• Metodologi Pengauditan
[c] TUMPUAN PERKARA KRITIKAL
• Kenalpasti perkara kritikal yang akan diaudit berdasarkan
penilaian risiko
[d] KEPERLUAN SUMBER PENGAUDITAN
• Kakitangan/Belanjawan/Jadual Audit
• Keperluan Teknikal
• Keperluan Peralatan ICT
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 38 APRIL 2007
A. KAWALAN ORGANISASI DAN PENGURUSAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
Untuk memastikan bahawa: 1. Polisi, standard dan
tatacara perlu wujud dan dijadikan asas untuk perancangan, kawalan dan penilaian pengurusan.
2. Terdapatnya kawalan
pengurusan dan organisasi yang cekap dan berkesan pada fungsi berkaitan ICT.
3. Terdapatnya kawalan
yang berkesan ke atas penggunaan sumber-sumber ICT.
4. Menghadkan tumpuan
fungsi di dalam Jabatan ICT.
1. Polisi dan Prosedur 1.1 Strategi ICT
• Strategi ICT telah diperakui oleh pengurusan atasan dan dikemaskini
• Kakitangan telah dimaklumkan isu berkaitan
• Tatacara dirangka untuk memantau pelaksanaannya
1.2 Penglibatan Pengurusan
Atasan
• Pengurusan atasan mengekalkan kepentingan fungsi pembangunan ICT contohnya Jawatankuasa Pemandu ICT
1.3 Rekod/Dokumen/Simpanan
• Terdapat polisi yang sesuai
untuk pengekalan dokumen elektronik dan cetakan berkomputer
1.4 Polisi Kakitangan
• Organisasi yang diaudit telah ada polisi yang bersesuaian ke atas keperluan sumber manusia untuk ICT
1.5 Polisi Keselamatan Komputer
• Edaran kepada kakitangan • Polisi keselamatan adalah
mencukupi - adakah laporan
kemalangan dan kelemahan keselamatan dibuat
• Terdapat latihan keselamatan ICT yang mencukupi
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 39 APRIL 2007
A. KAWALAN ORGANISASI DAN PENGURUSAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
• Pemeriksaan pematuhan
telah dibuat dan didokumenkan dengan sempurna
1.6 Isu perundangan dan
peraturan
• Terdapat polisi dan prosedur yang sesuai untuk memastikan kemudahan ICT adalah mematuhi syarat perundangan dan peraturan
1.7 Pengujian
pasaran/perkhidmatan luaran/ pengurusan kemudahan
• Auditi telah menerima
perkhidmatan ICT daripada sumber luaran
• Prosedur yang sesuai telah dibangunkan untuk mengenalpasti risiko
• Terdapat perancangan menggunakan perkhidmatan pembekal
2. Pengasingan Tugas 2.1 Terdapat pengasingan tugas
yang mencukupi di antara pasukan ICT dan kumpulan berkaitan yang lain di dalam organisasi. • Mendapatkan keseluruhan
carta organisasi auditi • Pasukan ICT tidak terlibat
dalam pemulaan dan pengesahan transaksi, dan tidak mengawal ke atas pembetulan dan penghantaran semula yang ditolak atau tugas yang tidak sesuai dalam jabatan pengguna
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 40 APRIL 2007
A. KAWALAN ORGANISASI DAN PENGURUSAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
• Pasukan ICT tidak
mengawal aset yang bukan ICT contohnya cek, waran, plat tandatangan, dan lain-lain
2.2 Terdapat fungsi yang jelas di
dalam Jabatan ICT (contohnya pembangunan aplikasi, pengaturcaraan aplikasi, pengaturcaraan sistem, kawalan data, pengendalian dan pentadbiran pangkalan data) dan tanggungjawab kakitangan ICT yang sepatutnya diasingkan.
2.3 Kesemua fungsi dan
tanggungjawab pasukan ICT perlu dijelaskan secara bertulis contohnya penghuraian bidang tugas. Dapatkan carta organisasi bagi Jabatan ICT, huraian terperinci tugasan dan senarai tugas.
3. Penglibatan Audit Dalaman 3.1 Terdapat penglibatan pasukan
audit dalaman yang berkesan dalam semua aspek pembangunan ICT, pengendalian, perancangan dan semakan semua sistem:
• Rancangan dan program
audit dalaman • Pengalaman dan
pengetahuan kakitangan • Jadual latihan yang
berkesan kepada kakitangan
4. Latihan 4.1 Terdapat program latihan yang
formal untuk melatih/melatih semula
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 41 APRIL 2007
B. KAWALAN ORGANISASI DAN PENGURUSAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
semua kakitangan ICT dan kakitangan berkaitan selaras dengan rancangan organisasi ICT.
4.2 Pemindahan teknologi perlu
berlaku daripada vendor yang terlibat dalam pembangunan sistem.
5. Dokumentasi 5.1 Terdapat dokumentasi yang
mencukupi berdasarkan standard yang diterima pakai ke atas semua aspek ICT. Terdapat juga kewujudan manual arahan atau prosedur yang meliputi semua aspek pengoperasian ICT.
a) Dokumentasi:
• Dokumentasi sistem • Dokumentasi
pengaturcaraan • Dokumentasi
pengendalian • Dokumentasi kawalan
perpustakaan/fail • Dokumentasi
penukaran bagi kekunci masuk dan/atau data lain
• Pengujian program dokumentasi kawalan input dan output
• Standard kawalan pindaan program
• Dokumentasi aset ICT (contoh: pengurusan tatarajah, pengenalan aset dan penomboran inventori)
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 42 APRIL 2007
A. KAWALAN ORGANISASI DAN PENGURUSAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJ KK
b) Manual Arahan atau
Tatacara:
• Arahan Pengendalian untuk setiap program
• Manual tatacara pengendalian untuk setiap program
• Manual tatacara pengendalian untuk setiap pemasangan
• Arahan pengawalan fail • Tatacara penjagaan fail • Tatacara penukaran
data • Arahan pengawalan
data • Arahan pengguna
jabatan
c) Semua kakitangan yang terlibat dalam fungsi pemprosesan data hendaklah mempunyai dan mematuhi manual ini.
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 43 APRIL 2007
B. KAWALAN PENGURUSAN PEROLEHAN DAN PERUBAHAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
Untuk memastikan bahawa: 1. Sistem yang
diperolehi atau diubahsuai adalah berdasarkan kepada rancangan dan prosedur yang diluluskan.
2. Sistem atau
ubahsuaian yang diuji dan diluluskan sahaja diterima.
3. Terdapat rangka
kerja yang mencukupi untuk pembangunan, perolehan dan pelaksanaan bagi aplikasi.
1.1 Tatacara untuk pembangunan,
penggunaan, pengubahsuaian atau perolehan perlu diwujudkan.
• Penglibatan Jawatankuasa
Pemandu ICT, semua pengguna, kakitangan ICT, dan Juruaudit
• Proses pengurusan perubahan yang formal adalah wujud dan didokumenkan secara formal
• Permintaan perubahan dimulakan dengan sempurna, diluluskan oleh Jawatankuasa Pemandu ICT dan mematuhi kepada metodologi perubahan kawalan yang wujud
• Semua aktiviti yang melibatkan capaian dan pengubahsuaian kepada fail yang sensitif atau kritikal adalah dilog
1.2 Untuk pakej aplikasi yang telah
diperolehi, pastikan proses penilaiannya adalah secara terperinci
• Keserasian dengan
perkakasan • Memenuhi keperluan
pengguna • Mempertimbangkan lebih
dari satu vendor • Teknik/bahasa digunakan
adalah terkini • Sokongan penyenggaraan/
teknikal adalah baik • Pandangan daripada
penguna lain • Pengujian yang sempurna
sebelum penerimaan contohnya antaramuka, keserasian dengan perisian sistem, keperluan Input/Output yang memuaskan
• Kos pengubahsuaian, jika ada
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 44 APRIL 2007
B. KAWALAN PENGURUSAN PEROLEHAN DAN PERUBAHAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
• Kawalan keselamatan dan
jejak pengurusan yang baik contohnya kata laluan dan fungsian terhad
• Ujian penerimaan perlu dijalankan secukupnya dan perlu meliputi semua aspek pemprosesan. Kepuasan pengguna perlu didokumenkan
1.3 Memastikan bahawa
pengaturcaraan dilengkapkan menurut cadangan pengubahsuaian rekabentuk dan telah diuji dengan memuaskan supaya mematuhi spesifikasi.
• Spesifikasi maklumat
sistem dan subsistem yang terperinci perlu dibangunkan. Ini termasuklah:
- Keseluruhan huraian
naratif sistem yang diubahsuai
- Tatarajah peralatan yang diperlukan untuk memproses sistem
- Pengubahsuaian dan pembangunan kod dilaksanakan dalam persekitaran terkawal secara berasingan
- Perisian sistem yang diperlukan untuk menyokong sistem
- Antaramuka dengan lain-lain sistem
- Ciri rekabentuk sistem yang diubahsuai termasuk sebuah carta aliran sistem
• Spesifikasi program terperinci perlu dibangunkan ke atas semua sistem yang
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 45 APRIL 2007
B. KAWALAN PENGURUSAN PEROLEHAN DAN PERUBAHAN OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT
Y
T
ULASAN/ RUJUKAN KERTAS KERJA
diubahsuai. Spesifikasi ini perlu merangkumi:
- Huraian naratif am bagi program dan fungsinya
- Peralatan yang diperlukan untuk mengendalikan program
- Perisian sistem yang diperlukan untuk menyokong program
- Keperluan storan bagi program, termasuk sejumlah storan dalaman
- Jenis storan bagi talian tidak berfungsi (offline)
- Keperluan keselamatan dan kebersendirian (privacy) program
- kawalan ke atas dan di dalam senarai pemalar, kod dan jadual bagi program yang digunakan
- Prosedur pengendalian bagi program
- Format dan huraian bagi rekod input
- Deskripsi bagi logik program termasuk carta aliran dan keputusan jadual (decision tables), yang ditambah oleh penerangan naratif
- Format dan huraian bagi rekod output
- Ciri-ciri logikal dan fizikal bagi semua pangkalan data diigunakan oleh program, termasuk susunatur fizikal dan definisi elemen data
senarai sumber program
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 46 APRIL 2007
B. KAWALAN PENGURUSAN PEROLEHAN DAN PERUBAHAN OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT
Y
T
ULASAN/ RUJUKAN KERTAS KERJA
- Senarai objek
program • Perubahan yang dibuat
kepada sistem dan program perlu diuji secukupnya dan diluluskan sebelum digunakan di persekitaran pengeluaran
- Standard rancangan
ujian perlu dibangunkan dan perlu merangkumi perkara berikut:
Ujian Unit Ujian
Kewibawaan Data ujian Keputusan ujian Ujian tekanan Ujian sistem
- Keputusan ujian perlu
dikaji dan didokumenkan sewajarnya
1.4 Memastikan keberkesanan sistem
yang diubahsuai adalah dipantau secara berkala melalui semakan semula selepas pelaksanaan dengan menemubual pengguna, semakan semula laporan output dan pemeriksaan laporan penggunaan komputer.
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 47 APRIL 2007
C. KAWALAN PENGOPERASIAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
Untuk memastikan langkah-langkah yang bersesuaian telah diambil untuk: 1. Mencegah atau
mengesan ralat yang tidak disengajakan semasa pemprosesan.
2. Mencegah atau
mengesan penipuan yang memanipulasikan data.
3. Mengurangkan
kegagalan pemprosesan dan menyediakan pemulihan yang lengkap dan pada masanya dalam kejadian kegagalan tertentu.
4. Mencegah sistem
digunakan untuk tujuan yang tidak diluluskan.
1. Penjadualan Kerja 1.1 Jadual pemprosesan yang
formal perlu disediakan dan diluluskan untuk semua kerja pengeluaran yang berkala. Pengubahsuaian kepada jadual yang formal perlu dibuat menurut prosedur yang sedia ada.
• Senarai semakan semua
kerja berjadual dan kerja tidak berjadual
• Memeriksa kebolehgunaan perkakasan
2. Kelulusan Kerja 2.1 Tugas perlu diluluskan dengan
sempurna dan hanya tugas yang diluluskan sahaja perlu diproses.
• Prosedur kelulusan rasmi • Penjadualan Kerja yang
diluluskan • Perubahan kepada turutan
tugas pengeluaran hanya dibuat melalui saluran yang diluluskan
3. Kebolehcapaian 3.1 Terdapat kawalan ke atas
capaian kepada bilik komputer dan operasi/fungsi komputer:
• Capaian hanya kepada
kakitangan yang diluluskan di mana capaian terhad tertentu seperti kepada juruanalisa sistem, pengaturcara, pengguna, kakitangan penyenggara dan lain-lain.
• Mengasingkan fungsi operasi peralatan komputer, kawalan fail dan merangka tugas yang mana perlu.
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 48 APRIL 2007
C. KAWALAN PENGOPERASIAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
• Kakitangan pengendalian
tidak perlu dilibatkan dalam penulisan atau membuat pindaan kepada program atau capaian kepada dokumentasi untuk program/pindaan tertentu
• Kawalan ke atas capaian terminal kepada komputer:
- Penguncian terminal
atau bilik - Kata laluan pengguna/
pengenalan yang bukan paparan
- Kegunaan terminal dihadkan kepada jangkamasa khusus, fungsi, orang, lokasi, dan lain-lain.
- Kaedah pengesanan pencabulan keselamatan, contohnya berlebihan melog, perekodan melog sistem, dan lain-lain
• Tugas pengendali komputer perlu disilihganti secara berkala
3.2 Terdapat kawalan mencukupi
ke atas capaian dan penggunaan fail data dan perisian/program komputer:
• Capaian terhad kepada fail
yang berada dalam kawasan komputer, pustaka fail dan storan fail sokongan di luar lelaman
• Kawalan pustakawan ke atas fail storan dan fail keluaran; penggunaan manual katalog dan perisian pustakawan
• Fail-fail akan dilabel secara luaran dan dalaman ;
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 49 APRIL 2007
C. KAWALAN PENGOPERASIAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
penggunaan pemeriksaan label secara automatik
• Tatacara rasmi diwujudkan ke atas pemberian kata laluan dan keselamatan contohnya kata laluan ke atas fail program dan capaian dalam talian dinafikan kepada program fail kawasan storan
• Pengunaan terhad dan rekod/og yang lengkap ke atas penggunaan utiliti menerusi kawalan sistem pengendalian untuk menghalang pindaan data/fail
4. Dokumen Pengendalian 4.1 Manual tatacara dan
dokumentasi lain perlu disediakan untuk semua aspek pengendalian komputer, contoh:
• Manual pengendalian • Fungsi dan penyenggaraan
perkakasan • Arahan pengendalian
program • Penyenggaraan/pemulihan
fail • Penjadualan kerja/log
pengendalian • Arahan khusus lain
contohnya kegunaan program utiliti, capaian fail sensitif, penamatan program luarbiasa, jalanan semula, dan lain-lain
4.2 Prestasi peralatan dan
keperluan pengoperasian • Menganalisis log sistem • Aduan pengguna
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 50 APRIL 2007
C. KAWALAN PENGOPERASIAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
• Pemantauan prestasi
seperti perisian kerja perakaunan
• Perjanjian penyenggaraan dan kajian semula secara berkala
• Tatacara aktiviti pengemasan contohnya fail disusun semula, penyingkiran fail-fail yang tidak diperlukan, menggores fail pita, membersihkan media storan komputer, dan lain-lain, perlu diwujudkan.
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 51 APRIL 2007
D. KAWALAN FIZIKAL DAN PERSEKITARAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
Untuk memastikan langkah-langkah yang bersesuaian telah diambil untuk mengurangkan kemungkinan: 1. Akses fizikal yang
tidak diluluskan ke atas aset ICT contohnya peralatan, data perkakasan, perisian, dokumentasi, dan lain-lain.
2. Ancaman dan bahaya
persekitaran contohnya kebakaran, banjir, kawalan serangga dan lain-lain.
1. Kawalan Fizikal 1.1 Lokasi fizikal pusat ICT:
• Lantai ditinggikan • Pencahayaan mencukupi • Lelaman jauh yang tidak
mudah dilihat • Jumlah yang terhad bagi
laluan keluar/masuk • Pengawal
keselamatan/petugas di tempat kawalan
• Pendawaian adalah sempurna terbumi
• Anti geselan statik • Pendedahan kepada
cahaya matahari secara langsung
1.2 Pertimbangan kawalan
keselamatan:
• Daftar kemasukan • Kad sentuhan • Berkunci • Kamera rakaman • Pas masuk yang diluluskan
atau lencana/fail log yang diperiksa/dikaji semula secara berkala
• Bahan buangan seperti bahan cetak dan disket CD perlu dibuang secara bersesuaian
• Ketulenan Biometrik 2. Kawalan Persekitaran 2.1 Risiko kerosakan disebabkan
kebakaran: • Lokasi dan struktur pusat
ICT adalah selamat daripada ancaman kebakaran
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 52 APRIL 2007
D. KAWALAN FIZIKAL DAN PERSEKITARAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
• Adanya bekalan
air/perkhidmatan kebakaran• Peralatan pengesanan
kebakaran contohnya bahang/asap
• Peralatan pencegahan kebakaran, manual atau automatik, gas berkimia
● Sejauh mana, pusat ICT dibekalkan perabot dan kelengkapan yang kalis kebakaran
• Pembinaan pusat ICT dan pemasangan peralatan pengesanan/pencegahan kebakaran perlu mematuhi standard yang bersesuaian contohnya JKR/TNB/BOMBA yang dirangka oleh pihak berkuasa berkaitan dan diuji secara berkala
2.2 Kegagalan kuasa atau penghawa dingin:
• Peralatan pengawalaturan
voltan • Bekalan kuasa (contohnya
bateri/ penjana kuasa sokongan) yang berterusan
• Kawalan suhu dan kelembapan
• Had tapisan debu • Penghawa dingin sokongan • Penyerap petir
2.3 Risiko kemusnahan diakibatkan oleh air:
• Lokasi pusat ICT dan keselamatannya daripada ancaman persekitaran seperti banjir, ribut atau limpahan bekalan air
• Ancaman air dalaman seperti kebocoran paip atau semburan air dari atas siling yang digunakan
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 53 APRIL 2007
D. KAWALAN FIZIKAL DAN PERSEKITARAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
sebagai peralatan pencegahan kebakaran
2.4 Kawalan Serangga Perosak
• Rawatan kawalan serangga perosak perlu dibuat secara berkala
3. Kesan ke atas Pemprosesan
ICT 3.1 Peruntukan Sandaran (Backup)
Harian
• Terdapat peruntukan yang mencukupi untuk memastikan kesinambungan operasi jika berlaku kemusnahan atau kegagalan peralatan dan fail komputer. Sandaran perlulah termasuk:
- fail data - perisian - perkakasan - dokumentasi - alat tulis - lelaman (site)
pemprosesan alternatif
4. Rancangan Kecemasan
Tatacara perlu diwujudkan untuk mengatasi situasi kecemasan seperti kebakaran, banjir, letupan, pencerobohan dan lain-lain. Kakitangan ICT perlu dilatih untuk melaksanakan tatacara kecemasan dan tatacara ini perlu diuji secara berkala contohnya latihan kebakaran (fire drill).
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 54 APRIL 2007
E. KAWALAN LALUAN LOGIKAL
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
Untuk memastikan bahawa: 1. Pengguna adalah
dihadkan kepada aplikasi dan data yang sensitif.
2. Kegunaan utiliti sistem
yang berkuasa penuh seperti penyunting fail adalah dihadkan.
3. Risiko fail
program/data dipinda tanpa diluluskan adalah dikurangkan.
1. Adakah auditi mempunyai polisi
kawalan capaian? Adakah ianya didokumenkan dan terkini?
2. Apakah langkah capaian logik
yang menghadkan capaian kepada sistem pengendalian, fail data dan penggunaan? Adakah langkah tersebut bersesuaian?
• Menu yang terhad kepada
pengguna • Pengenalan dan kata
laluan pengguna • Semakan semula terhadap
pengguna dan hak capaian • Profil pengguna dan
pasukan ICT Nota: Juruaudit perlu mencari apakah kawalan capaian yang ada di dalam sistem pengendalian auditi contohnya UNIX, NOVELL.
• Adakah setiap pengguna ditetapkan suatu kod pengenalan yang unik?
• Bagaimana bersesuaiannya polisi kata laluan auditi? Contohnya :
- panjangnya kata laluan (minima/maksima)
- tempoh masa/tarikh luput
- pertukaran - pembentukan kata
laluan - penanggalan
pengenalan pengguna yang berpindah
- penyulitan kata laluan - pendaftaran dan
peruntukan kata laluan pengguna yang baru
- penguatkuasaan polisi kata laluan
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 55 APRIL 2007
E. KAWALAN LALUAN LOGIK
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
3. Apakah langkah capaian logik yang diadakan untuk menghadkan capaian ke data dan persekitaran pengeluaran oleh kakitangan pembangunan sistem?
4. Bagaimanakah organisasi
memperuntuk, melulus, mengawal dan memantau pengguna yang khusus seperti Pentadbir Sistem/Pentadbir Pangkalan Data/Pengaturcara?
5. Organisasi luar yang manakah
mempunyai capaian kepada sistem contohnya melalui internet atau sokongan sistem talian melalui modem?. Adakah auditi mempertimbangkan implikasi keselamatan? Bagaimanakah sistem dilindungi? • Penggunaan tembok api • Pengasingan dalam
rangkaian • Kawalan penghalaan
rangkaian 6. Apakah kawalan capaian logik
lain yang sedang digunakan? Sebagai contoh: • Percubaan merakam
masuk yang dihadkan • Tatacara merakam masuk
dan melog • Capaian spesifik terminal • Percubaan melog yang
tidak dibenarkan • Terhad ke atas pelbagai
merakam masuk • Masa luput automatik
terminal capaian dihadkan dan menggunakan melog utiliti sistem dan peralatan audit
• Kawalan terminal yang tidak berjaga
7. Semua aktiviti melibatkan laluan
dan pengubahsuaian fail sensitif atau kritikal adalah dilog
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 56 APRIL 2007
F. KAWALAN RANCANGAN KESINAMBUNGAN URUSAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
Untuk memastikan bahawa: 1. Penggunaan yang
cekap terhadap sumber komputer.
2. Wujud data sandaran. 3. Rancangan pemulihan
bencana sedia ada boleh didapati untuk sistem kritikal.
1.1 Terdapat tatacara yang di
wujudkan untuk mengurangkan kemungkinan kegagalan pemprosesan. Jika berlaku kegagalan tersebut, pemulihan yang sempurna dan bertetapan masa perlu untuk memastikan kesinambungan operasi. Langkah-langkah keselamatan fizikal perlu mencukupi.
1.2 Rekod daftar log bagi
penamatan program yang luar biasa yang lengkap pelaksanaan semula program atau peralatan yang tidak berfungsi.
1.3 Melakukan semakan semula
pengurusan yang tetap dan tindakan diambil terhadap perkara luar kebiasaan yang ditemui.
1.4 Arahan yang lengkap ke atas
tatacara di dalam keadaan kegagalan pemprosesan contohnya kakitangan untuk dihubungi, arahan memulakan semula/menjalankan semula, kontrak penyenggaraan yang dliluluskan dan lain-lain.
2.1 Tatacara rasmi diwujudkan
untuk membenarkan pemulihan fail perisian dan fail data. Contohnya prosedur sokongan yang baik untuk fail data, perisian sistem aplikasi program, pangkalan data dan dokumentasi sistem.
2.2 Adakah data/fail sokongan
telah diuji?. 2.3 Prosedur pemulihan terbenam
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 57 APRIL 2007
F. KAWALAN RANCANGAN KESINAMBUNGAN URUSAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
di dalam sistem contohnya keupayaan untuk mendapatkan semula suatu data jika kes penamatan program yang luar biasa.
3.1 Rancangan luar jangkaan yang rasmi termasuk:
• Sumber sandaran yang akan
diperlukan; • Peranan dan tanggungjawab
bagi sesiapa yang terlibat dalam aktiviti pemulihan;
• Perancangan lokasi pemulihan bencana di luar lelaman (offsite) dan perjalanan dan penempatan untuk kakitangan yang penting, jika diperlukan;
• Lokasi storan di luar lelaman untuk fail sandaran; dan
• Tatacara untuk membaikpulih aplikasi kritikal dan turutannya dalam proses pembaikpulihan.
3.2 Terdapat latihan yang cekap
diberikan kepada kakitangan dengan merujuk kepada Manual Prosedur Sokongan.
3.3 Penyusunan rasmi ke atas
sokongan perkakasan alternatif dan keperluan pemprosesan.
3.4 Tatacara untuk semakan semula
yang berterusan dari segi prestasi peralatan dan keperluan operasi, perlu disediakan seperti:
• Analisa log sistem • Aduan pengguna • Pemantauan prestasi seperti
perisian kerja perakaunan • Mengekalkan perjanjian
penyenggaraan dan semakan semula berkala bagi aktiviti penyenggaraan
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 58 APRIL 2007
F. KAWALAN RANCANGAN KESINAMBUNGAN URUSAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
• Tatacara yang
didokumenkan ke atas aktiviti pengemasan contohnya fail disusunatur semula, penyingkiran fail yang tidak penting, goresan fail pita, pembersihan media storan komputer dan lain-lain
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 59 APRIL 2007
G. KAWALAN PENYEDIA PEMBEKAL PERKHIDMATAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
Untuk memastikan bahawa: 1. Perkhidmatan yang
dibekalkan oleh penyedia perkhidmatan adalah yang diperlukan oleh auditi.
2. Keutuhan, ketepatan
dan kebolehpercayaan angka yang disediakan oleh pembekal.
3. Kepentingan kerajaan
adalah dilindungi.
1.1 Perlu ada perjanjian dan/atau
Perjanjian Tahap Perkhidmatan atau Service Level Agreement (SLA) dan, sekiranya ada, ianya meliputi ke semua isu penting. Contohnya:
• Prestasi SLA • Keselamatan • Pemilikan data • Capaian data pelanggan • Capaian Audit SAI • Adanya perkhidmatan
seperti fail pustaka dan storan fail sandaran di luar lelaman (offsite)
• Rancangan luar jangkaan (contigency)
1.2 Apakah langkah yang telah
diambil untuk memastikan bahawa pemprosesan penyedia perkhidmatan adalah tepat dan lengkap, contohnya sijil jaminan (certificate of assurance)?.
1.3 Semakan semula klausa perjanjian untuk menentukan:
a) tempoh perjanjian b) hak penamatan c) capaian audit d) pembatasan liabiliti e) pampasan f) hak harta intelek g) pemilikan data h) susunan serahan pada akhir/penamatan perjanjian i) standard keselamatan j) tahap perkhidmatan k) caj, kos dan invois l) kawalan perubahan
Garis Panduan Pengauditan ICT
Lampiran B (Muka Surat 11)
PROGRAM PENILAIAN KAWALAN AM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 60 APRIL 2007
H. KAWALAN PERKOMPUTERAN PENGGUNA
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
Untuk memastikan bahawa sebarang data kewangan yang diterima selepas ringkasan, atau manipulasi oleh pakej tertentu, boleh disesuaikan kepada output asal.
1. Adakah auditi mempunyai
polisi perkomputeran pengguna yang berkelayakan?. Adakah ianya meliputi:
• Penggunaan perkakasan
yang diluluskan • Penggunaan perisian yang
diluluskan • Keperluan keselamatan • Dokumentasi • Sandaran data, program • Pengujian • Perlindungan virus • Kecurian dan penyalinan
perisian • Utiliti dan alatan komputer
peribadi 2. Adakah semua laporan,
program dan model paparan helaian mencukupi diuji dan didokumenkan sebelum digunakan dalam persekitaran secara langsung?
Garis Panduan Pengauditan ICT
Lampiran C (Muka Surat 14)
JENIS KAWALAN APLIKASI
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 61 APRIL 2007
[1] PEMBERIAN KUASA PRA PEMPROSESAN
Suatu prosedur yang memerlukan kebenaran transaksi perakaunan
sebelum diterima untuk pemprosesan.
[2] KAJIAN SEMULA PRA PEMPROSESAN
Suatu kajian semula dokumentasi transaksi sebelum penukaran data
atau kemasukan data secara dalam talian.
[3] KAWALAN INPUT
Pelbagai teknik kawalan yang digunakan dari permulaan kelulusan
transaksi sehingga dimasukkan di terminal secara dalam talian atau
diterima oleh jabatan pemprosesan data.
[4] PENGELOMPOKAN
Suatu prosedur di mana kelompok dokumen transaksi untuk
pemprosesan input. Pengelompokan boleh menjadi suatu kawalan
berkesan yang akan mencegah dan mengenalpasti seperti berikut:
[a] Kehilangan dokumen transaksi;
[b] Tanpa kelulusan kepada dokumen transaksi;
[c] Tanpa kelulusan pindaan kepada transaksi;
[d] Ketidaktepatan penukaran data atau ketidaktepatan kemasukan
data secara dalam talian;
[e] Penduaan penukaran data atau penduaan kemasukan data
secara dalam talian ;
[f] Dokumen diproses dalam tempoh masa perakaunan yang salah
Garis Panduan Pengauditan ICT
Lampiran C (Muka Surat 14)
JENIS KAWALAN APLIKASI
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 62 APRIL 2007
[5] PENGESAHBETULAN PENUKARAN
Pelbagai teknik kawalan digunakan untuk mencegah atau mengesan
kesilapan yang boleh berlaku bila maklumat ditukar ke dalam mesin
pembaca atau media elektronik.
[6] SUNTINGAN
Suntingan adalah rutin di dalam komputer program yang menguji
ketepatan, kesempurnaan, atau kemunasabahan bagi input sesuatu
data.
[7] PEMBETULAN RALAT DAN PENGHANTARAN SEMULA
Pembetulan Ralat dan Penghantaran Semula adalah prosedur yang
digunakan untuk membetul dan menghantar semula bagi kelompok
atau transaksi di mana ujian kawalan fail kelompok, ujian pengeditan,
ujian program yang munasabah atau pemadanan sistem.
[8] PROSEDUR BERPENGGAL
Prosedur Berpenggal adalah digunakan pada berakhirnya tempoh
masa perakaunan untuk memastikan bahawa semua transaksi
diproses dan memastikan bahawa transaksi untuk tempoh masa yang
berikutnya adalah tidak diproses dalam tempoh semasa perakaunan.
[9] KAWALAN PEMBETULAN FAIL
Pelbagai teknik kawalan mungkin boleh digunakan untuk menghalang
atau mengesan kesilapan yang boleh berlaku jika fail komputer yang
salah digunakan.
Garis Panduan Pengauditan ICT
Lampiran C (Muka Surat 14)
JENIS KAWALAN APLIKASI
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 63 APRIL 2007
[10] PENGUJIAN BERPATUTAN TERANCANG
Pengujian Berpatutan Terancang adalah rutin di dalam program
komputer di mana menguji ketepatan, kesempurnaan dan
kemunasabahan data.
[11] SISTEM PEMADANAN
Sistem Pemadanan adalah rutin di dalam sebuah program komputer di
mana transaksi yang dipadankan kepada maklumat yang sepadan ke
atas fail kedua. Jika sepadanan berlaku, transaksi akan bersambung
ke pemprosesan berikutnya.
[12] KAWALAN FAIL INDUK
Kawlan Fail Induk digunakan untuk mencegah atau mengesan
kesilapan yang mungkin berlaku jika fail induk yang salah digunakan;
atau jika fail induk yang mengandungi data yang tidak tepat, tidak
lengkap dan tidak dibenarkan.
[13] KAWALAN PEMPROSESAN
Kawalan Pemprosesan adalah termasuk pelbagai teknik yang
digunakan untuk mengawal transaksi di dalam jabatan pemprosesan
data. Tujuan kawalan ini adalah untuk mencegah atau mengesan:
[a] Transaksi yang tidak dibenarkan;
[b] Transaksi pengubahsuaian yang tidak dibenarkan;
[c] Pemprosesan yang tidak dibenarkan;
[d] Penyediaan dokumen dapat dirundingkan yang tidak dibenarkan
Garis Panduan Pengauditan ICT
Lampiran C (Muka Surat 14)
JENIS KAWALAN APLIKASI
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 64 APRIL 2007
14] KESEIMBANGAN
Kesimbangan adalah perbandingan jumlah yang dibangunkan dalam
satu fasa pemprosesan kepada jumlah yang dibangunkan dalam fasa
pemprosesan berikutnya.
[15] SEMAKAN SEMULA SELEPAS PEMPROSESAN
Semakan Semula Selepas Pemprosesan adalah suatu semakan
laporan untuk menentukan bahawa ianya adalah munasabah, tepat
dan sempurna.
[16] JADUAL
Jadual mungkin diwujudkan untuk penghantaran dan penerimaan
dokumen input bagi operasi yang signifikan atau pemprosesan yang
sensitif dan untuk penghantaran signifikan atau laporan sensitif.
[17] AUDIT DALAMAN BERKALA
Audit Dalaman Berkala adalah semakan semula secara berkala bagi
kawalan kritikal oleh penyemak-penyemak semula yang bebas dan
berpengalaman. Suatu semakan semula auditan dalaman mungkin
digunakan untuk mengawal keseluruhan jenis kesilapan atau bagi
memastikan lain-lain kawalan adalah berkesan dan selaras digunakan.
[18] PROSEDUR PEMULIHAN
Prosedur Pemulihan digunakan untuk pemprosesan terperinci selepas
gangguan atau kehilangan fail atau program komputer.
Garis Panduan Pengauditan ICT
Lampiran C (Muka Surat 14)
JENIS KAWALAN APLIKASI
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 65 APRIL 2007
[19] PROSEDUR PEMBANGUNAN
Pembangunan sistem adalah proses yang digunakan di mana sistem
direka bentuk, dibangunkan dan dilaksanakan. Proses ini mungkin
melibatkan pembangunan secara dalaman bagi program komputer
atau pakej perolehan dari vendor perisian luaran.
[20] PROSEDUR PINDAAN
Dari masa ke semasa, sistem akan diubahsuai untuk memenuhi
kehendak syarat pemprosesan yang baru atau pemprosesan
diulangkaji. Pengubahsuaian tertentu mungkin melibatkan
pembangunan program baru, tambahan rutin baru kepada program
yang sedia ada, atau perubahan kepada rutin dalam pogram yang
sedia ada.
Garis Panduan Pengauditan ICT
Lampiran D (Muka Surat 14)
PROGRAM PENILAIAN KAWALAN APLIKASI
Draf Garis Panduan Pengauditan ICT Jabatan AudIt Negara 66 APRIL 2007
A. KAWALAN APLIKASI AM
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
Untuk memastikan wujud tatacara keselamatan dalam input, pemprosesan dan output.
Kawalan Keselamatan Aplikasi
1. Mendapatkan tatacara pengurusan untuk memastikan:
• Jejak audit adalah mencukupi
untuk mengenalpasti transaksi individu dan tindakan yang dilaksanakan semasa pemprosesan
• Pemulihan data pada
masanya, lengkap dan tepat sekiranya berlaku kegagalan mesin, perisian sistem, perisian aplikasi atau yang lain. Kawalan sistem termasuk:
a) mesej untuk maklumbalas b) transaksi jujukan c) pemprosesan titik semak d) kod transaksi melog e) kod transaksi
mengenalpasti
• Pihak bertanggungjawab untuk persediaan dokumen input, atau mempunyai capaian kepada dokumen sumber yang tidak digunakan adalah yang tiada mempunyai capaian kepada perisian aplikasi dan fail data.
• Untuk sistem dalam talian,
dapatkan Senarai Kawalan Capaian untuk memastikan bahawa capaian sistem adalah terhad. Mengesahkan bahawa transaksi diluluskan sahaja diproses meliputi: a) lokasi peralatan b) penguncian fizikal bagi
peranti input
Garis Panduan Pengauditan ICT
Lampiran D (Muka Surat 14)
PROGRAM PENILAIAN KAWALAN APLIKASI
Draf Garis Panduan Pengauditan ICT Jabatan AudIt Negara 67 APRIL 2007
A. KAWALAN APLIKASI AM
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
c) perlindungan kata
laluan logik d) penyulitan data e) kawalan sumber sistem
oleh vendor yang membekalkan pakej perisian
f) capaian terhad kepada masa tertentu/melog semua penggunaan komputer
2. Mendapatkan huraian
tugas/senarai tugas di dalam pasukan ICT untuk mengasingkan tugas perekodan, kelulusan, persediaan input, pembetulan ralat dan kawalan output.
3. Memastikan fail induk dan
prosedur kawalan pengukuhan adalah wujud.
Garis Panduan Pengauditan ICT
Lampiran D (Muka Surat 14)
PROGRAM PENILAIAN KAWALAN APLIKASI
Draf Garis Panduan Pengauditan ICT Jabatan AudIt Negara 68 APRIL 2007
B. KAWALAN INPUT
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
Untuk memastikan bahawa input data untuk pemprosesan adalah yang diluluskan, lengkap dan tepat.
Kawalan Input
1. Data input adalah sempurna
diluluskan
• Tatacara kelulusan data input yang sesuai perlu diwujudkan dan dinilaikan.
2. Transaksi direkodkan untuk
pemprosesan berikutnya seperti:
• Bentuk atau format skrin
yang direka khusus • Kegunaan dokumen yang
bertukar haluan • Penomboran dokumen
sumber • Mengenalpasti transaksi • Jujukan log
3. Semua transaksi adalah diinput
ke dalam komputer melalui:
• Pemeriksaan jujukan [sequence] berkomputer
• Pengelompokan • Pemeriksaan terperinci
bagi input kepada output (penyesuaian) atau
• Kawalan Penjumlahan seperti kelompok/ Penjumlahan Pengolahan
4. Data dihantar dengan
lengkapnya dari peranti input dalam talian ke komputer melalui:
• peranti dalam talian ke
jujukan komputer • peranti dalam talian ke
penyesuaian berkomputer • dokumentasi kawalan • prosedur pengguna
Garis Panduan Pengauditan ICT
Lampiran D (Muka Surat 14)
PROGRAM PENILAIAN KAWALAN APLIKASI
Draf Garis Panduan Pengauditan ICT Jabatan AudIt Negara 69 APRIL 2007
B. KAWALAN INPUT
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
5. Semua dokumen sumber
adalah ditandakan untuk melindungi dari diduplikasi atau pemasukan semula.
6. Data perekodan pemulaan ke
atas dokumen sumber atau media komputer contohnya kemasukan langsung ke terminal adalah tepat.
• Pemeriksaan penyuntingan
yang diprogramkan • Data pra kod • Pengesahan digit
pemeriksaan • Penyesuaian dokumen
7. Di mana bersesuaian, data
adalah dialih susun dengan tepatnya dari sumber ke dokumen input.
• Mengesahkan visual • Data pra kod • Pengelompokan • Dokumen bertukar haluan
Garis Panduan Pengauditan ICT
Lampiran D (Muka Surat 14)
PROGRAM PENILAIAN KAWALAN APLIKASI
Draf Garis Panduan Pengauditan ICT Jabatan AudIt Negara 70 APRIL 2007
C. KAWALAN PEMPROSESAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
Untuk memastikan bahawa data adalah lengkap, tepat dan diluluskan semasa pemprosesan.
Kawalan Pemprosesan Data 1. Semua transaksi yang diterima
oleh komputer adalah diproses, dikemaskini ke fail induk dan/atau muncul dalam output secara:
• Pengelompokan • Pemeriksaan terperinci
input ke output • Melaksanakan penyesuaian • Melog transaksi • Kawalan penjumlahan
seperti kelompok, penjumlahan pengolahan, algoritma contohnya pemeriksaan digit
2. Jika boleh mengesahkan
bahawa data tepat ditukar kepada boleh dibaca mesin, (contohnya mendapatkan kod sumber atau algoritma program) dengan cara :
• Mengesah kekunci • Boleh dibaca mesin • Dokumen bertukar haluan;
atau • Sistem berdasarkan menu
3. Semua transaksi yang ditolak
semasa pemprosesan direkodkan, dibetulkan dan dihantar semula dengan segera seperti:
• Memantau pembetulan
ralat • Semakan semula visual
dari dokumen sumber • Pengendalian ralat rasmi
dan prosedur pembetulan, definisi tanggungjawab
• Menggantung fail/kelompok yang ralat atau melog ralat
Garis Panduan Pengauditan ICT
Lampiran D (Muka Surat 14)
PROGRAM PENILAIAN KAWALAN APLIKASI
Draf Garis Panduan Pengauditan ICT Jabatan AudIt Negara 71 APRIL 2007
D. KAWALAN OUTPUT
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
Untuk memastikan bahawa output adalah lengkap, tepat dan dilindungi secukupnya dan diagihkan kepada penerima yang dibenarkan pada tepat masanya.
Kawalan Output 1. Semakan semula
Output perlu disemak semula untuk memastikan ia tepat dan lengkap seperti mendapatkan prosedur dan sampel bukti semakan semula contohnya semua pengecualian dikenalpasti dan dilaporkan untuk tindakan lanjut.
2. Keseimbangan dan
Penyesuaian
• Output perlu diimbangkan untuk kawalan penjumlahan
• Penyesuaian di antara input dan output di mana yang perlu
3. Pengagihan
Polisi yang wujud berhubung pengelasan dan pengagihan laporan.
• Di mana salinan cetak
dikeluarkan untuk memastikan bahawa sejumlah salinan, kaedah pengagihan dan penerima yang diluluskan adalah direkodkan
• Prosedur rasmi untuk
pelupusan dokumen sensitif yang rosak sama ada dalam magnetik atau lain-lain media
Garis Panduan Pengauditan ICT
Lampiran D (Muka Surat 14)
PROGRAM PENILAIAN KAWALAN APLIKASI
Draf Garis Panduan Pengauditan ICT Jabatan AudIt Negara 72 APRIL 2007
D. KAWALAN OUTPUT
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS KERJA
4. Pengendalian ralat (error]
Prosedur ke atas pengendalian ralat adalah diwujudkan dan disemak semula. • Melapor dan mengenalpasti
sumber ralat 5. Pengendalian dan pengekalan
• Prosedur pengendalian dan pengekalan output sedia ada.
Garis Panduan Pengauditan ICT
Lampiran E (Muka Surat 16)
PROGRAM PENILAIAN KAWALAN RANGKAIAN
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 73 APRIL 2007
A. AM OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT
Y
T
ULASAN/ RUJUKAN KERTAS KERJA
Untuk memastikan bahawa: 1. Polisi rangkaian
diwujudkan dengan jelas, berkeadaan semasa dan beroperasi baik.
2. Perlindungan adalah
mencukupi bagi penghantaran data melalui jaringan rangkaian dan internet.
3. Terma dan syarat
bagi kontrak rangkaian adalah dipatuhi.
4. Struktur dan susun
atur rangkaian adalah didokumenkan dengan sempurna.
1. Dapatkan standard and polisi
untuk kawalan rangkaian am. 2. Kaji semula polisi bertulis yang
meliputi keseluruhan rangkaian dan fungsi
• Pentadbir Rangkaian • Jejak audit • Keselamatan rangkaian • Penyulitan Data • Capaian logik • Polisi penggunaan internet
3. Adakah penggunaan rangkaian
terhad kepada waktu urusan? 4. Adakah terminal secara fizikalnya
atau logiknya didefinisikan kepada rangkaian atas asas pemberian kuasa secara bertulis?
5. Adakah kelulusan penyelia
diperlukan untuk menggunakan terminal/talian ke luar dari waktu beroperasi yang dijadualkan?
6. Adakah inventori peralatan
komunikasi data, termasuk talian, terminal, modem, alat pengawal dan lain-lain?
7. Adakah tanggungjawab dan
liabliliti organisasi dan vendor rangkaian telah diperjelaskan contohnya kontrak?. Adakah kepentingan kerajaan dilindungi?
8. Adakah gambarajah rangkaian di
mana hubungan fizikal dan logik di antara peralatan komunikasi telah disediakan contohnya: Rangkaian Kawasan Setempat (LAN), Rangkaian Kawasan Luas (WAN) dan Rangkaian Kawasan Metropolitan (MAN)?
Garis Panduan Pengauditan ICT
Lampiran E (Muka Surat 16)
PROGRAM PENILAIAN KAWALAN RANGKAIAN
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 74 APRIL 2007
A. AM OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT
Y
T
ULASAN/ RUJUKAN KERTAS KERJA
9. Adakah dokumen rangkaian
meliputi deskripsi: a) peralatan komunikasi data
yang digunakan untuk menyokong setiap aplikasi rangkaian?
b) Penggunaan protokol? c) Pintu masuk ke rangkaian
lain?
10. Adakah peralatan komunikasi telah ditanda untuk memudahkan rujukan silang kepada dokumen?
Garis Panduan Pengauditan ICT
Lampiran E (Muka Surat 16)
PROGRAM PENILAIAN KAWALAN RANGKAIAN
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 75 APRIL 2007
B. PRESTASI/KEUTUHAN OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT
Y
T
ULASAN/ RUJUKAN KERTAS KERJA
Untuk memastikan bahawa: 1. Wujudnya rangkaian
yang berkesan. 2. Terdapat kawalan
yang mencukupi untuk pengagihan data dengan mengambil kira keserasian, keutuhan, keberkesanan penggunaan data.
1. Adakah standard prestasi telah
dwujudkan?. Apakah alat pemantauan dan perisian yang sedang digunakan (Sistem Pengurusan Rangkaian)? Dapatkan laporan yang perlu.
2. Adakah terdapat terminal yang
khusus untuk memantau aktiviti di dalam sistem dalam talian/masa sebenar contohnya terminal konsol (console)?
3. Apakah keutamaan terminal atau
syarat aplikasi untuk setiap talian rangkaian adalah munasabah?
4. Adakah kakitangan sokongan
rangkaian menyemak semula aplikasi baru untuk menentukan impaknya ke atas sistem yang sedia ada?
5. Adakah rancangan kapasiti
merangkumi analisis bagi panjang mesej, protokol, jumlah transaksi dan kepadatan lalulintas mesej?
6. Adakah masa sambutan
(response time) diukur dan dinilai untuk peningkatan kemungkinan daya pemprosesan komunikasi? Adakah sebarang mekanisma untuk memantau sistem rangkaian masa sambutan dan tempoh masa sistem yang tidak berfungsi?
7. Adakah prestasi perkakasan
dibandingkan kepada spesifikasi vendor?
8. Adakah pengurusan menyemak semula perkhidmatan yang dilaksanakan oleh vendor?
Garis Panduan Pengauditan ICT
Lampiran E (Muka Surat 16)
PROGRAM PENILAIAN KAWALAN RANGKAIAN
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 76 APRIL 2007
B. PRESTASI/IKEUTUHAN OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT
Y
T
ULASAN/ RUJUKAN KERTAS KERJA
9. Adakah pemeriksaan berkala bagi rangkaian dibuat untuk mengesahkan operasi yang sesuai dan mengesan ralat bagi terminal/talian/modem?
10. Adakah kegagalan perkakasan
komunikasi didokumentasi, termasuk tindakan pembetulan yang diambil?
11. Adakah peralatan rangkaian
dikonfigurasi secara berkala contohnya modem.
12. Apakah langkah-langkah yang
diambil untuk mengurangkan ralat penghantaran? Dapatkan laporan yang berkaitan.
13. Adakah penghantaran digital
dipertimbangkan untuk mengurangkan ralat penghantaran?
14. Adakah prosedur diwujudkan
untuk memastikan bahawa semua transaksi yang dihantar telah diterima contohnya kiraan rekod dihantar dan diterima.
15. Adakah kawalan yang sesuai
dalam sistem mesej dan komunikasi untuk memastikan komunikasi yang dihantar ke destinasi yang sebenar?
16. Adakah suatu semakan semula
bagi semua laporan ke atas transaksi yang yang tidak diakaunkan, diherot, dipendua, atau dilengah?
17. Adakah perisian dalam talian
melog semua ralat dan penghantaran semula?
Garis Panduan Pengauditan ICT
Lampiran E (Muka Surat 16)
PROGRAM PENILAIAN KAWALAN RANGKAIAN
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 77 APRIL 2007
B. PRESTASI/KEUTUHAN OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT
Y
T
ULASAN/ RUJUKAN KERTAS KERJA
18. Adakah individu yang ditugaskan
untuk menyemak semua log ralat dan memaklumkan kepada pegawai keselamatan bagi sebarang perkara luar biasa yang berlaku?
19. Adakah kaedah mencipta jurnal
seperti jejak bagi mesej dihantar?
20. Adakah suatu kaedah untuk
mengenalpasti mesej yang menyalahi undang-undang?
21. Adakah terdapat kemudahan
sandaran untuk sistem dalam talian ketika berlakunya kejadian kecemasan seperti talian sewa atau talian dail?
22. Adakah sandaran talian dail/talian sewa digunakan dalam kes kegagalan talian? Adakah ianya mencukupi?
23. Jika perkhidmatan terganggu,
adakah terdapat prosedur bertulis yang diikuti untuk pemulaan semula rangkaian dalam talian?
24. Adakah sistem menyediakan
prosedur pemulaan semula dan pemulihan yang boleh mendapatkan semula komunikasi berikutan kegagalan perkakasan/perisian?
25. Jika penyedia perkhidmatan,
contohnya GITN digunakan, adakah ianya menyediakan sandaran yang sesuai dan kawalan pemulihan?
Garis Panduan Pengauditan ICT
Lampiran E (Muka Surat 16)
PROGRAM PENILAIAN KAWALAN RANGKAIAN
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 78 APRIL 2007
C. KAWALAN CAPAIAN JAUH [REMOTE ACCESS] OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT
Y
T
ULASAN/ RUJUKAN KERTAS KERJA
Untuk memastikan bahawa capaian jauh ke sistem adalah terhad kepada pengguna yang diluluskan.
1. Adakah polisi dan prosedur
berkaitan dengan kemudahan talian dail disediakan?
2. Adakah suatu senarai pengguna
yang diluluskan bagi kemudahan talian dail?
3. Adakah peruntukan telah
diwujudkan untuk memastikan nombor telefon dirahsiakan, contohnya tidak disenaraikan?
4. Adakah nombor telefon talian dail
ditukar secara berkala? 5. Adakah nombor telefon
dikeluarkan dari modem untuk menghalang capaian kepada nombor telefon talian dail?
6. Adakah sebarang kaedah untuk
mengecam capaian yang tidak diluluskan contohnya penceroboh?
7. Bolehkan CPU menyoal selidik
terminal talian dail, mendapat nombor pengenalannya secara auotomatik, dan mengesahkan terminal yang memanggil adalah terminal yang sama?
8. Adakah sistem memutuskan
penggunaan jika pengguna menamatkan talian tanpa melog keluar dengan sempurna?
Garis Panduan Pengauditan ICT
Lampiran E (Muka Surat 16)
PROGRAM PENILAIAN KAWALAN RANGKAIAN
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 79 APRIL 2007
D. KAWALAN KESELAMATAN FIZIKAL OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT
Y
T
ULASAN/ RUJUKAN KERTAS KERJA
Untuk memastikan kawalan berterusan ke atas aset fizikal dan sumber di semua lokasi rangkaian.
1. Menentukan bahawa aset
inventori rangkaian yang dikekalkan pada lelaman tertentu yang disemak semula secara berkala berbanding lokasi rangkaian sebenar.
2. Menentukan fungsi kawalan
pusat telah ditubuhkan untuk menyelaras semakan semula kawalan bagi aset dan sumber rangkaian pada semua lokasi rangkaian.
3. Adakah kebimbangan fizikal dan
persekitaran ditangani untuk melindungi peralatan komunikasi dari persekitaran operasi yang menyukarkan?
4. Adakah bilik peralatan telefon
selamat? 5. Adakah kabel dan skrin paparan
video dilindungi secara elektrik untuk menghalang pancaran atau pengubahan fizikal?
6. Adakah kabel/talian di stor kecil
dikunci dan tidak dilabel? 7. Adakah kabel/talian diperiksa
secara berkala untuk mengesan dawai pengintipan (wiretap) yang aktif atau pasif?
8. Adakah terdapat sebarang
peralatan ujian yang sedang digunakan?
9. Adakah peralatan ujian yang
digunakan untuk memantau rangkaian komunikasi dikawal dan terhad kepada kakitangan yang sesuai?
Garis Panduan Pengauditan ICT
Lampiran E (Muka Surat 16)
PROGRAM PENILAIAN KAWALAN RANGKAIAN
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 80 APRIL 2007
D. KAWALAN KESELAMATAN FIZIKAL OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT
Y
T
ULASAN/ RUJUKAN KERTAS KERJA
10. Adakah skop data yang sedang
digunakan untuk memantau litar dalam talian dan peralatan? Jika ada:
a) Adakah ia dalam kawasan
yang selamat? b) Adakah ia melog
kemasukan? c) Adakah ia berkebolehan
memasukkan data ke talian?
d) Adakah capaian terhad kepada kakitangan yang diluluskan sahaja?
11. Adakah manual dokumentasi
log masuk, arahan sistem dan transaksi dalam talian ditandakan sebagai sulit dan ditempatkan di kawasan yang selamat jika tidak digunakan?
12. Adakah keputusan kawalan
semakan semula dikemukakan ke fungsi kawalan pusat dan digunakan untuk mencapai keutuhan berterusan dan mengawal rangkaian fizikal secara keseluruhan?
Garis Panduan Pengauditan ICT
Lampiran E (Muka Surat 16)
PROGRAM PENILAIAN KAWALAN RANGKAIAN
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 81 APRIL 2007
E. KESELAMATAN LOGIKAL OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT
Y
T
ULASAN/ RUJUKAN KERTAS KERJA
Untuk memastikan mekanisma keselamatan adalah mencukupi untuk menghadkan capaian ke kemudahan pemprosesan rangkaian, terminal dan sistem.
1. Adakah kata laluan dan kod pengguna unik perlu untuk melog masuk ke perisian komunikasi?
2. Adakah prinsip bagi sedikit
keistimewaan contohnya jaminan kelulusan capaian minima perlu untuk menjalankan tugas yang diperlukan telah dilaksanakan?
3. Adakah kakitangan yang
diluluskan sahaja yang dibenarkan untuk capaian perisian komunikasi?
4. Adakah kakitangan yang
diluluskan sahaja yang dibenarkan untuk memeriksa storan penimbal contohnya penggunaan perisian NCCF atau skop data, pengguna boleh memeriksa mesej termasuk pengenalan dan kata laluan?
5. Jika rangkaian telah
dikonfigurasi untuk membenarkan fungsi terminal jauh contohnya penyenggaraan vendor atau perkhidmatan oleh kakitangan vendor, adakah had lalai perkhidmatan lapangan disemak semula untuk keperluan yang didemonstrasikan?
6. Jika penyedia perkhidmatan
sedang digunakan untuk penghantaran data, adakah ianya menyediakan langkah-langkah keselamatan yang mencukupi untuk kawalan pengenalan dan katalaluan?
7. Adakah sistem menghalang
paparan bagi sebarang maklumat HELP sebelum pengguna telah berjaya untuk melog masuk?
Garis Panduan Pengauditan ICT
Lampiran E (Muka Surat 16)
PROGRAM PENILAIAN KAWALAN RANGKAIAN
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 82 APRIL 2007
E. KESELAMATAN LOGIK OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT
Y
T
ULASAN/ RUJUKAN KERTAS KERJA
8. Semasa melog masuk, adakah
sistem memaklumkan kepada pengguna bilakah pada kali terakhir dia melog keluar?
9. Adakah terminal penimbal
dipadamkan selepas berjaya untuk melog masuk?
10. Adakah pengguna dihalang
daripada membuat percubaan melog masuk tanpa had, jika tidak berjaya?
11. Jika sesuatu terminal tidak
ditakrifkan dalam jadual sistem, adakah ia dihalang mencerobohi dengan melampirkan kepada sistem sebagai satu daripada entiti yang ditakrifkan?. (Contoh cara terbaik untuk mengendalikannya adalah dengan memastikan bahawa terminal ini diputuskan dengan beberapa cara contohnya dengan kawalan kata laluan melalui kemudahan LOG KELUAR dalam VTAM, atau, dengan cara menetapkannya dalam senarai peninjauan).
12. Jika maklumat sensitif sedang
diproses, adakah terdapat kawalan yang mencukupi untuk memastikan bahawa output boleh diarahkan kepada pencetak yang ‘diluluskan’ atau kemudahan cetakan yang ‘diluluskan’?
13. Adakah penyulitan
(encryption) mesej telah dipertimbangkan untuk memastikan data dan kata laluan yang sensitif selamat dihantar?
Garis Panduan Pengauditan ICT
Lampiran E (Muka Surat 16)
PROGRAM PENILAIAN KAWALAN RANGKAIAN
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 83 APRIL 2007
E. KESELAMATAN LOGIK OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT
Y
T
ULASAN/ RUJUKAN KERTAS KERJA
14. Jika penyulitan digunakan,
adakah kawalan ke atas kunci penyulitan telah dibangunkan?
15. Adakah sistem
menggunakan kaedah keselamatan bagi aliran trafik untuk menyembunyikan kehadiran mesej yang bermakna dalam talian dengan menyebabkan litar muncul sibuk sepanjang masa atau dengan menyulitkan sumber dan alamat destinasi bagi mesej yang bermakna?
16. Dengan keupayaan sistem
mel elektronik di mana mesej pop timbul dalam mod interaktif, adakah penguna diarahkan untuk mengabaikan permintaan penceroboh untuk pengenalan/kata laluan dengan memaklumkan bahawa tidak ada suatu permintaan sistem yang perlu disahkan?
Garis Panduan Pengauditan ICT Lampiran F
(Muka Surat 17)
PERANAN JABATAN AUDIT NEGARA SEMASA PROSES PEMBANGUNAN SISTEM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 84 APRIL 2007
KEMENTERIAN/ JABATAN/AGENSI
KERAJAAN (AUDITI)
JABATAN AUDIT NEGARA
* Mengenalpasti
kakitangan pembangunan modal insan ICT
*Permasalahan dokumen * Menyediakan
rancangan Perancangan Sistem Maklumat bagi pembangunan sistem
* Faedah kos pengendalian yang diramal
* Menyediakan CRFP * Memperolehi keperluan
pengguna * Menghalusi skop dan
objektif sistem * Menyemak masa dan
keperluan kakitangan * Menyemak analisis
ramalan kos dan faedah
*Tentukan sama ada permintaan dan keperluan
dinyatakan adalah menggambarkan keperluan sebenar
*Menilai permintaan berdasarkan projek akan dating
*Mengkaji semula kos dan
analisis faedah yang berpatutan *Menentukan sama ada kajian
boleh membantu kesimpulan dan syor cadangan sistem
*Mengkaji semula dan menilai
CRFP *Mengkaji semula rancangan
Perancangan Sistem Maklumat bagi pembangunan sistem
Permintaan
Kajian Kemungkinan
Cadangan
Penerimaan Pengguna?
Projek Ditamatkan Atau Pertimbangan
Semula
Analsis
2
Tidak
Ya
A
Garis Panduan Pengauditan ICT Lampiran F
(Muka Surat 17)
PERANAN JABATAN AUDIT NEGARA SEMASA PROSES PEMBANGUNAN SISTEM
Draf Garis Panduan Pengauditan ICT Jabatan Audt Negara 85 APRIL 2007
KEMENTERIAN/ JABATAN/AGENSI
KERAJAAN (AUDITI)
JABATAN AUDIT NEGARA
* Menyediakan spesifikasi fungsian * Menyediakan Rekabentuk Konsep dan Logik * Menyemak keperluan masa dan kakitangan * Menyemak analisis faedah kos pengendalian dan kos pembangunan * Menyediakan rekabentuk spesifikasi * Menulis dan menguji program * Dokumentasi sistem yang terakhir * Rekabentuk terakhir bagi manual pengguna * Menempatkan pengeluaran sistem baru
* Mengkaji semula spesifikasi fungsian dan keperluan pengguna
* Menilai analisis risiko * Mengkaji semula analisis feadah
kos belajawan yang dikemaskini dan sebarang kajian impak
* Menasihat kriteria ujian penerimaan kawalan dalaman dan rancangan pengujian sistem
* Mengkaji semula spesifikasi
rekabentuk *Menilai cadangan peralatan dan
tatarajah perisian sistem untuk kawalan dalaman dan keselamatan
* Mengkaji semula dokumen * Mengkaji semuala rekabentuk
manual pengguna * Menasihat berhubung kawalan
dalaman * Memantau aktiviti kawalan
perubahan bagi keselamatan data dan fungsi pentadbiran data
* Mengkaji semula keputusan pengujian
* Mengkaji semula prosedur
rancangan dan pengujian untuk pelaksanaan pertukaran, sandaran dan pemulihan
* Memantau sebarang penukaran fail, pengujian selari dan pelaksanaan
* Memantau aktiviti kawalan pertukaran
Penerimaan Pengguna?
2
Rekabentuk
Spesifikasi Rekabentuk
Program dan Pengujian
Pelaksanaan
3
B
Tidak
Ya
Projek Ditamatkan Atau
Pertimbangan Semula
Spesifikasi Fungsian
A
Garis Panduan Pengauditan ICT Lampiran F
(Muka Surat 17)
PERANAN JABATAN AUDIT NEGARA SEMASA PROSES PEMBANGUNAN SISTEM
Draf Garis Panduan Pengauditan ICT Jabatan Audt Negara 86 APRIL 2007
KEMENTERIAN/ JABATAN/AGENSI
KERAJAAN (AUDITI)
JABATAN AUDIT NEGARA
* Melantik pasukan bebas untuk kajian semula * Menyediakan ringkasan projek * Menyediakan penilaian projek
* Mengkaji semula dokumen
sistem dan program
* Mengkaji semula prosedur dan latihan untuk bahagian pengendalian dan pengguna
* Mengkaji semula pengujian penerimaan pengguna
* Mengkaji semula aktiviti
semakan semula selepas pelaksanaan
* Memantau sebarang aktiviti kawalan perubahan
* Menjadualkan sistem ke dalam rancangan audit
* Mengkaji semula dan
membandingkan laporan Kajian Semula Selepas Pelaksanaan dengan Perancangan Sistem Maklumat sama ada mencapai faedah kos
Penerimaan Pengguna?
Latihan Pengguna dan
Perubahan
3
B
Pembetulan Kepada
Spesifikasi
Selepas Pelaksanaan
Tidak
Ya
Ringkasan Projek
Garis PanduanPengauditan ICT Lampiran G
(Muka Surat 17)
PROGRAM PENILAIAN KAWALAN PEMBANGUNAN SISTEM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 87 APRIL 2007
A. KAWALAN AM
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS
KERJA Untuk memastikan bahawa: 1. Sistem yang
dibangunkan mematuhi peraturan dan undang-undang kerajaan.
2. Kepentingan kerajaan
telah diambil kira dalam perumusan kontrak. (* Kontrak ini perlu dirujuk sepanjang pengauditan bagi pengauditan serentak)
1.1 Wujudnya Rancangan
Strategik Maklumat. 1.2 Pembentukan Jawatankuasa
Pemandu ICT, Jawatankuasa Teknikal ICT & Pasukan Projek.
1.3 Memastikan semua pekeliling
berhubung pembangunan sistem dipatuhi.
2.1 Penyampaian bagi
dokumentasi pembangunan sistem pada setiap fasa dinyatakan di dalam kontrak.
2.2 Berkaitan Pemindahan
Teknologi, kakitangan ICT boleh mengekalkan dan membuat ukuran operasi asas bagi sistem.
2.3 Latihan. 2.4 Pemilikan seperti:
• Sistem dan kod sumber menjadi hak milik kerajaan
2.5 Keperluan audit seperti:
• Capaian tidak terhad kepada sistem
• Jejak-jejak audit • Modul audit yang
terbenam • Keselamatan
2.6 Bayaran kemajuan mengikut
kontrak. 2.7 Rancangan Pemulihan Bencana
Garis PanduanPengauditan ICT Lampiran G
(Muka Surat 17)
PROGRAM PENILAIAN KAWALAN PEMBANGUNAN SISTEM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 88 APRIL 2007
B. KAWALAN PERANCANGAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN
KERTAS KERJA Untuk memastikan bahawa: 1. Sistem yang
dibangunkan telah diluluskan dan dilaksanakan jika dapat diberikan atas alasan ekonomi dan lain-lain.
2. Sistem dibangunkan
menurut rancangan dan prosedur yang telah diluluskan.
1.1 Analisa kos projek dan faedah-faedah yang disediakan untuk menilai kemungkinan ekonomi bagi setiap alternatif.
• Analisa kos & faedah • Anggaran masa & kos • Kajian impak • Kemajuan teknologi • Keperluan pengguna • Risiko untuk menyiapkan
projek 1.2 Laporan kajian kemungkinan telah
disemak oleh Jawatankuasa Pemandu ICT dan keputusannya telah pun dibuat.
1.3 Sumber yang diperlukan untuk
menyokong sistem selepas ianya dibangunkan.
1.4 Pasukan projek perlu mempunyai
kemahiran dan masa untuk melaksanakan tugasan yang dipertanggungjawabkan.
1.5 Sistem yang sedia ada perlu
disemak semula dengan mencukupi:
• Kewujudan masalah dengan
keperluan pengguna • Sistem yang baru adalah
berdasarkan semakan semula dan kajian kemungkinan
1.6 Kenyataan terperinci bagi Spesifikasi Keperluan Pengguna (SKP) seperti:
• Deskripsi masalah semasa • Huraian naratif bagi keperluan
sistem yang dicadangkan • Kriteria penerimaan sistem • Penglibatan semua pengguna • SKP perlu didokumen dan
diluluskan oleh Jawatankuasa Pemandu ICT
Garis PanduanPengauditan ICT Lampiran G
(Muka Surat 17)
PROGRAM PENILAIAN KAWALAN PEMBANGUNAN SISTEM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 89 APRIL 2007
B. KAWALAN PERANCANGAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS
KERJA
1.7 SKP diterjemahkan ke dalam Spesifikasi Keperluan Fungsian (SKF).
1.8 Proses Kitar Hayat
Pembangunan Sistem termasuk:
• Kajian semula sistem sedia
ada • Definisi keperluan
pengguna • Rekabentuk sistem
konseptual atau penilaian pakej
• Analisa kos faedah (termasuk keperluan perkakasan)
• Analisa dan rekabentuk sistem terperinci
• Pengaturcaraan • Pengujian • Manual dan dokumentasi
prosedur • Penukaran dan
penerimaan sistem • Semakan semula Selepas
Pelaksanaan
Garis PanduanPengauditan ICT Lampiran G
(Muka Surat 17)
PROGRAM PENILAIAN KAWALAN PEMBANGUNAN SISTEM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 90 APRIL 2007
C. KAWALAN REKABENTUK DAN PEMBANGUNAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS
KERJA Untuk memastikan bahawa rekabentuk dan pembangunan sistem mengambilkira keperluan pengguna.
1.1 SKP diterjemahkan ke dalam
rekabentuk sistem logik dan fizikal.
1.2 Rekabentuk telah
didokumenkan dengan sempurna.
1.3 Rekabentuk sistem konsep perlu merangkap perkara berikut:
• Gambarajah Kontek • Gambarajah Hubungan
Entiti • Gambarajah Aliran Data • Masa pemprosesan dan
kaedah am bagi operasi • Antaramuka secara
manual dan dengan lain-lain sistem
• Tanggungjawab untuk kelengkapan dan ketepatan data
• Penglibatan pengguna dalam proses rekabentuk
1.4 Rekabentuk fizikal perlu
termasuk:
• Aliran fizikal • Tatacara perkakasan • Aliran sistem • Spesifikasi fail dan
pangkalan data • Spesifikasi program
komputer • Input dan susunatur
laporan
Garis PanduanPengauditan ICT Lampiran G
(Muka Surat 17)
PROGRAM PENILAIAN KAWALAN PEMBANGUNAN SISTEM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 91 APRIL 2007
C. KAWALAN REKABENTUK DAN PEMBANGUNAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS
KERJA
1.5 Menentukan bahawa
rekabentuk yang terperinci meliputi semua perkara penting berhubung dengan sistem dan operasi organisasi:
• Rekabentuk fail perlu
selaras dan semua cakera dan fail pita perlu lengkap huraian dan didokumennya
• Jejak audit perlu mencukupi dan kawalan capaian perlu sempurna dan dijelaskan
• Format input & dokumen sumber dijelaskan dengan terperinci
• Peruntukan pengesahan dan kawalan pengendalian ke atas dokumen sumber dan input contohnya: pengelompokan, perimbangan dan pemeriksaan suntingan
• Input, pemprosesan, output and kawalan operasi perlu mencukupi dan sempurna didokumenkan
• Output dijelaskan dengan terperinci dan perlu mencapai keperluan pengguna (mengikut terma kegunaan kandungan) dan juga mencapai peruntukan keselamatan
• Penglibatan pengguna dalam pembangunan seperti Pemindahan Teknologi
Garis PanduanPengauditan ICT Lampiran G
(Muka Surat 17)
PROGRAM PENILAIAN KAWALAN PEMBANGUNAN SISTEM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 92 APRIL 2007
C. KAWALAN REKABENTUK DAN PEMBANGUNAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS
KERJA
1.6 Pengaturcaraan adalah lengkap menurut rekabentuk yang terperinci dan telah diuji dengan sempurna untuk memastikan pematuhan kepada spesifikasi.
• Spesifikasi sistem dan sub-
sistem yang terperinci perlu dibangunkan untuk sistem. Ini termasuk:
- Keseluruhan deskripsi
naratif bagi sistem - Tatarajah peralatan
yang diperlukan untuk memproses sistem
- Perisian sistem yang diperlukan untuk menyokong sistem
- Antaramuka dengan lain-lain sistem
- Keperluan keselamatan dan privasi bagi sistem
- Kawalan operasi ke atas sistem
- Ciri-ciri rekabentuk bagi sistem, termasuk carta aliran sistem
Garis PanduanPengauditan ICT Lampiran G
(Muka Surat 17)
PROGRAM PENILAIAN KAWALAN PEMBANGUNAN SISTEM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 93 APRIL 2007
C. KAWALAN REKABENTUK DAN PEMBANGUNAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS
KERJA
• Spesifikasi program yang
terperinci perlu dibangunkan untuk semua aturcara bagi sistem. Spesifikasi ini perlu termasuk :
- deskripsi naratif yang
umum bagi program dan fungsinya
- peralatan yang diperlukan untuk mengendalikan program
- perisian sistem yang diperlukan untuk menyokong aturcara
- keperluan storan bagi program termasuk sejumlah simpanan dalaman dan jumlah dan jenis storan luar talian untuk keperluan keselamatan dan kebersendirian bagi program
- kawalan ke atas dan di dalam senarai program yang digunakan bagi pemalar, kod dan jadual
- prosedur operasi bagi aturcara
- format rekod input dan deskripsi
- deskripsi bagi logik aturcara, termasuk carta aliran dan jadual keputusan, termasuk penerangan naratif
- format rekod output dan deskripsi
- ciri-ciri logik dan fizikal bagi semua pangkalan data yang digunakan oleh program, termasuk susunatur fail dan definisi unsur data
Garis PanduanPengauditan ICT Lampiran G
(Muka Surat 17)
PROGRAM PENILAIAN KAWALAN PEMBANGUNAN SISTEM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 94 APRIL 2007
C. KAWALAN REKABENTUK DAN PEMBANGUNAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS
KERJA
- senarai aturcara sumber - senarai aturcara objek
• Spesifikasi terperinci perlu
dibangunkan untuk pangkalan data digunakan oleh sistem berasaskan komputer. Spesifikasi ini termasuk : - Mengenalpasti jenis
pangkalan data - Sistem yang
menggunakan pangkalan data
- Standard melabel dan menanda digunakan bila pangkalan data dicapai
- Sebarang arahan khas untuk menggunakannya
- Perisian sistem yang diperlukan untuk menyokongnya
- Ciri-ciri logik - Ciri-ciri fizikal
• Sistem dan aturcara perlu diuji dengan mencukupi oleh kakitangan ICT dan sepatutnya boleh diterima oleh pengguna:
- Pengujian pembangunan
yang terperinci ujian unit ujian bersepadu ujian sistem
- Data ujian yang sedia untuk menguji had jarak yang luas bagi transaksi sah dan tiddak sah
- Keputusan ujian yang mengandungi rekod lengkap bagi mengesan masalah pengujian semula perlu disemak
Garis PanduanPengauditan ICT Lampiran G
(Muka Surat 17)
PROGRAM PENILAIAN KAWALAN PEMBANGUNAN SISTEM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 95 APRIL 2007
C. KAWALAN REKABENTUK DAN PEMBANGUNAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS
KERJA
semula dan diluluskan oleh pengguna dan Jawatan kuasa Teknikal ICT pengguna dan Jawatan kuasa Teknikal ICT, di mana keputusan boleh dibandingkan dengan keputusan sistem yang terancang atau selari
- Sumber-sumber mencukupi untuk diagihkan semasa ujian
- Prosedur penerimaan sistem yang rasmi
Garis PanduanPengauditan ICT Lampiran G
(Muka Surat 17)
PROGRAM PENILAIAN KAWALAN PEMBANGUNAN SISTEM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 96 APRIL 2007
D. KAWALAN PELAKSANAAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT
Y
T
ULASAN/ RUJUKAN KERTAS
KERJA Untuk memastikan bahawa: 1. Penerimaan
pengurusan ke atas sistem adalah selamat. (Hanya sistem yang telah diuji dan diluluskan sahaja diterima dan diwujudkan).
2. Semua dokumentasi program, manual jalanan dan manual pengguna adalah lengkap dan sedia untuk digunakan.
1.1 Rancangan pelaksanaan yang terperinci disediakan untuk memastikan kawalan mencukupi dikekalkan semasa penukaran dari sistem lama ke sistem baru. • Rancangan pelaksanaan
yang terperinci termasuk fasa-fasa tertentu seperti spesifikasi fungsian, pengaturcaraan, pengujian perjalanan selari, penukaran, latihan dan dokumentasi, impak perkakasan perisian, persediaan lelaman dan rekabentuk borang
• Prosedur rasmi untuk kelulusan dan penerimaan oleh semua pihak seperti pengurusan, jabatan ICT dan pengguna
• Rancangan perubahan yang terperinci perlu meliputi pengujian sistem, penciptaan fail pemulaan, penyesuaian, latihan ICT dan kakitangan pengguna, masa dan keperluan sumber manusia, dan arahan lengkap atau manual pengguna
• Sandaran (backup) mencukupi boleh didapati untuk mencipta semula semua fail jika terdapat masalah semasa penukaran seperti penjumlahan yang tidak sepadan, data hilang dan lain-lain
• Pengujian rintis ke atas prototaip sistem
• Ujian penerimaan akhir - Ujian tekanan - Ujian jilid (Volume
tests) - Ujian keselamatan
• Latihan diberikan kepada pengguna
Garis PanduanPengauditan ICT Lampiran G
(Muka Surat 17)
PROGRAM PENILAIAN KAWALAN PEMBANGUNAN SISTEM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 97 APRIL 2007
E. KAWALAN PENYENGGARAAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS
KERJA Untuk memastikan adanya prosedur berada supaya pemprosesan boleh dibuat dengan lancar dan tepat. Pengubahsuaian sistem hanya dengan kelulusan yang sempurna.
1.1 Kos operasi perlu direkod,
dianalisis dan dipantau. 1.2 Prosedur untuk memantau dan
mengawal caj sistem diwujudkan dan rekod adalah disimpan dengan sempurna
1.3 Rancangan pemulihan bencana
perlu dikaji semula dengan kerap dan diuji.
Garis PanduanPengauditan ICT Lampiran G
(Muka Surat 17)
PROGRAM PENILAIAN KAWALAN PEMBANGUNAN SISTEM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 98 APRIL 2007
F. KAWALAN SEMAKAN SEMULA SELEPAS PELAKSANAAN
OBJEKTIF KAWALAN
PERTIMBANGAN AUDIT Y
T
ULASAN/ RUJUKAN KERTAS
KERJA Untuk memastikan bahawa sistem telah mencapai keperluan pengguna dan objektifnya.
Laporan bebas Kajian Semakan Semula Selepas Pelaksanaan perlu meliputi keberkesanan sistem dipantau secara berkala. • Menemuduga pengguna • Menyemak semula laporan
output • Pemeriksaan laporan • Penggunaan komputer • Masa sambutan bagi sistem • Memeriksa kadar ralat di
dalam penyuntingan dan laporan penyenggaraan fail
Garis Panduan Pengauditan ICT Lampiran H
(Muka Surat 20)
PANDUAN MELAKSANAKAN PENGAUDITAN KE ATAS PROSES PEMBANGUNAN SISTEM
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 99 APRIL 2007
[1] PERANCANGAN
Objektif:
• Untuk memastikan bahawa sistem ICT adalah dirancang dengan sempurna.
Pertimbangan:
• Sistem adalah dibangunkan menurut peraturan-peraturan dan undang-undang yang ditetapkan:
- Wujudnya Rancangan Strategik Maklumat - Pembentukan Jawatankuasa Pemandu ICT,
Jawatankuasa Teknikal ICT dan Pasukan Projek - Semua pekeliling berhubung pembangunan sistem
adalah dipatuhi - Penghantaran pada setiap fasa adalah termasuk di
dalam kontrak - Pemindahan Teknologi (TOT) - Latihan
• Kepentingan kerajaan adalah diambilkira di dalam perumusan
kontrak:
- Pemilikan - Keperluan audit
Capaian yang tidak terhad ke sistem Jejak audit Modul audit yang dibenam
- Keselamatan - Bayaran kemajuan - Rancangan Pemulihan Bencana
• Sistem tersebut adalah diluluskan dan dilaksanakan atas alasan
ekonomi dan lain-lain alasan yang kukuh:
- Menyediakan kos projek untuk menilai kemungkinan ekonomi pada setiap alternatif
- Laporan kajian kemungkinan adalah disemak semula oleh Jawatankuasa Pemandu ICT
- Sumber yang diperlukan untuk sandaran sistem selepas dibangunkan
- Pasukan projek perlu memiliki kemahiran dan masa untuk melaksanakan semua tugas yang dipertanggungjawabkan
Garis PanduanPengauditan ICT Lampiran H
(Muka Surat 20) PANDUAN MELAKSANAKAN PENGAUDITAN KE ATAS PROSES
PEMBANGUNAN SISTEM
Draf Garis Panduan Pengauditan ICT Jabatan Audt Negara 100 APRIL 2007
- Sistem yang sedia ada perlu disemak semula dengan sempurna contohnya masalah yang wujud dengan kehendak pengguna
- Sistem yang baru berdasarkan semakan semula dan kajian kemungkinan
• Sistem perlu dibangunkan menurut kepada rancangan yang diluluskan seperti:
- Spesifikasi Keperluan Pengguna (SKP) disediakan
• Rekabentuk dan pembangunan sistem berdasarkan kepada
keperluan pengguna seperti:
- Spesifikasi SKP diterjemahkan ke dalam rekabentuk logik dan fizikal bagi sistem
- Rekabentuk sistem konseptual telah dilakar - SKP diterjemahkan ke dalam Spesifikasi Keperluan
Fungsian (SKF) - Rekabentuk didokumenkan dengan sempurna - Rekabentuk terperinci termasuk semua item-item penting
berhubung sistem dan organisasi - Pengaturcaraan adalah lengkap menurut rekabentuk
terperinci dan telah diuji dengan sempurnanya untuk pengesahan dengan spesifikasi
• Penerimaan pengurusan ke atas sistem adalah selamat. Sistem
yang diuji dan diluluskan sahaja diterima dan diwujudkan.
- Rancangan pelaksanaan terperinci disediakan untuk memastikan kawalan mencukupi dikekalkan semasa perubahan dari sistem lama ke sistem baru
• Semua dokumentasi program, manual jalanan dan manual
pengguna adalah lengkap dan bersedia untuk digunakan.
• Adanya prosedur untuk membolehkan pemprosesan dibuat dengan lancar dan tepat. Pengubahsuaian sistem dilakukan hanya dengan kelulusan yang sempurna seperti:
- Kos operasi adalah direkod, dianalisis dan dipantau - Terdapat prosedur untuk memantau dan mengawal caj
sistem - Kewujudan rancangan pemulihan bencana
Garis PanduanPengauditan ICT Lampiran H
(Muka Surat 20) PANDUAN MELAKSANAKAN PENGAUDITAN KE ATAS PROSES
PEMBANGUNAN SISTEM
Draf Garis Panduan Pengauditan ICT Jabatan Audt Negara 101 APRIL 2007
• Sistem memenuhi keperluan pengguna dan mencapai objektifnya.
- Laporan Semakan Semula Selepas Pelaksanaan
[2] PELAKSANAAN
Objektif:
• Untuk memastikan bahawa sistem dilaksanakan menurut kepada rancangan.
Pertimbangan:
• Memastikan sistem dilaksanakan menurut peraturan-peraturan
dan undang-undang Kerajaan yang ditetapkan:
- Memastikan kebolehsediaan ISP • Mendapatkan dan menyemak semula Rancangan Strategik
Maklumat seperti:
- Memastikan Pembentukan Jawatankuasa Pemandu ICT, Jawatankuasa Teknikal ICT dan Pasukan Projek
- Semua pekeliling berhubung kepada pembangunan sistem adalah dipatuhi: o Memastikan kontrak ditandatangani o Prosedur perolehan tender adalah dipatuhi
- Memastikan penyampaian pada setiap fasa dimasukkan dalam kontrak: o Semua laporan dikeluarkan pada masanya
contohnya laporan rekabentuk konseptual dan laporan rekabentuk teknikal
• Memastikan kontrak seperti Perjanjian Tahap Perkhidmatan
(SLA) adalah ditandatangani dan semua syarat berhubung kontrak diperhatikan:
- Pemilikan - Keperluan audit
o Capaian tiada had ke sistem o Jejak-jejak audit o Modul audit yang dibenam
- Keselamatan - Bayaran kemajuan
Garis PanduanPengauditan ICT Lampiran H
(Muka Surat 20) PANDUAN MELAKSANAKAN PENGAUDITAN KE ATAS PROSES
PEMBANGUNAN SISTEM
Draf Garis Panduan Pengauditan ICT Jabatan Audt Negara 102 APRIL 2007
- Pemindahan Teknologi (TOT) - Latihan - Rancangan Pemulihan Bencana
• Memastikan bahawa sistem diluluskan atas sebab-sebab yang
kukuh:
- Sistem dilaksanakan atas alasan ekonomi - Mendapatkan kajian kemungkinan dan laporan kajian dan
memastikan ianya disemak semula oleh Jawatankuasa ICT
- Terdapat sumber-sumber mencukupi untuk menyokong sistem selepas dibangunkan dan dibiayai
- Pasukan projek memiliki kemahiran dan masa untuk melaksanakan tugas yang dipertanggungjawabkan
• Kerja-kerja dijalankan menurut jadual. Sebarang penyimpangan dan penjadualan masa tambahan adalah diperakui dan beralasan.
• Mendapatkan Spesifikasi Keperluan Pengguna.
• Memastikan bahawa rekabentuk dan pembangunan bagi sistem
adalah menurut keperluan pengguna seperti:
- Spesifikasi Keperluan Pengguna diterjemahkan ke dalam rekabentuk logik dan fizikal bagi sistem
- Rekabentuk konseptual telah dilakar - Memastikan Spesifikasi Keperluan Pengguna
diterjemahkan ke dalam Spesifikasi Keperluan Fungsian - Rekebentuk didokumenkan dengan sempurna
- Maklumat rekabentuk terperinci termasuk semua perkara-perkara penting berhubung sistem dan organisasi
- Pengaturcaraan adalah lengkap berdasarkan rekabentuk terperinci dan telah diuji dengan secukupnya untuk pengesahan dengan spesifikasi
• Penerimaan pengurusan melalui sistem adalah selamat:
- Sistem yang diuji dan diluluskan sahaja diterima dan
diwujudkan - Rancangan pelaksanaan terperinci disediakan untuk
memastikan wujud kawalan yang mencukupi semasa berpindahan dari sistem lama ke sistem baru
Garis PanduanPengauditan ICT Lampiran H
(Muka Surat 20) PANDUAN MELAKSANAKAN PENGAUDITAN KE ATAS PROSES
PEMBANGUNAN SISTEM
Draf Garis Panduan Pengauditan ICT Jabatan Audt Negara 103 APRIL 2007
• Semua dokumentasi aturcara, manual jalanan dan manual
pengguna adalah lengkap dan sedia untuk digunakan. • Adanya prosedur untuk membolehkan pemprosesan dibuat
dengan lancar dan tepat. Pengubahsuaian sistem hanya dengan kelulusan yang sempurna.
• Sistem mencapai keperluan pengguna dan tercapai objektifnya
seperti Laporan Semakan Semula Selepas Pelaksanaan.
[3] PEMANTAUAN
Objektif:
• Untuk memastikan adanya mekanisma pemantauan dan ianya berfungsi.
Pertimbangan:
• Kos operasi perlu direkod, dianalisis dan dipantau. • Prosedur untuk memantau dan perubahan sistem kawalan
adalah diwujudkan; dan rekod-rekod bagi perubahan adalah disimpan dengan sempurna.
• Rancangan pemulihan bencana perlu disemak semula dengan
sekerapnya dan diuji. [4] PENILAIAN
Objektif:
• Untuk memastikan wujud mekanisma yang berfungsi. Pertimbangan:
• Kewujudan pasukan bebas. • Semakan semula laporan selepas pelaksanaan (PIR).
[5] SYOR AUDIT DAN KESIMPULAN
Juruaudit menilai sama ada objektif sistem adalah tercapai dan mengemukakan cadangan yang sesuai, jika perlu.
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Nega ra 104 APRIL 2007
1. AKTA AUDIT 1957
i. Seksyen 6 Subseksyen 6(a) hingga 6(e) Corak Pengauditan Mengaudit hasil, perbelanjaan, stor, memeriksa rekod-rekod, aktiviti
organisasi jabatan dan agensi kerajaan. Pengauditan merangkumi
pengauditan ICT terhadap perkara di bawah Seksyen 6.
2. ARAHAN KETUA AUDIT NEGARA
i. Bil. 1 Tahun 2007 Perkhidmatan Capaian Internet bagi Jabatan Audit Negara (JAN)
ii. Bil. 6 Tahun 2001
Perkhidmatan Capaian Internet bagi Jabatan Audit Negara
iii. Bil. 6 Tahun 2000
Peranan Jabatan Audit Negara dalam Projek Pengkomputeran
iv. Bil. 3 Tahun 1999
Penyenggaraan Sistem Pengurusan Personel Jabatan (SISPEN)
3. IT AUDIT GUIDELINES FOR ASOSAI (ASIAN ORGANISATION OF
SUPREME AUDIT INSTITUTIONS) published in September 2003 4. IT AUDIT TRAINING FOR INTOSAI (INTERNATIONAL
ORGANISATION OF SUPREME AUDIT INSTITUTIONS) published in
September 2004
RUJUKAN PERATURAN KERAJAAN BERKAITAN ICT
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Nega ra 105 APRIL 2007
5. PEKELILING KEMAJUAN PENTADBIRAN AWAM MAMPU
i. Bil. 1 Tahun 2003 Garis Panduan Mengenai Tatacara Penggunaan Internet dan Mel
Elektronik di Agensi-agensi Kerajaan pada 28 November 2003
ii. Bil. 10 Tahun 1996 Pelaksanaan Sistem Perakaunan Berkomputer yang standard di
Badan-badan Berkanun Persekutuan
6. PEKELILING AM MAMPU
i. Bil. 1 Tahun 2006 Pengurusan Laman Web/Portal Sektor Awam ii. Bil. 2 Tahun 2006 Pengukuhan Tadbir Urus Jawatankuasa IT dan Internet Kerajaan
iii. Bil. 2 Tahun 2002 Penggunaan Dan Pemakaian Data Dictionary Sektor Awam (DDSA)
Sebagai Standard di Agensi-agensi Kerajaan
iv. Bil. 1 Tahun 2001 Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dan
Komunikasi (ICT)
v. Bil. 3 Tahun 2000 Rangka Dasar Keselamatan Teknologi Maklumat dan Komunikasi
Kerajaan
vi. Bil. 1 Tahun 2000 Garis Panduan Malaysian Civil Service Link (MCSL) dan Laman Web
Agensi Kerajaan
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Nega ra 106 APRIL 2007
vii. Bil. 6 Tahun 1999 Pelaksanaan Perkongsian Pintar Antara Agensi-agensi Kerajaan
dalam Bidang Teknologi Maklumat
viii.Bil. 2 Tahun 1999 Jawatankuasa IT dan Internet Kerajaan (JITIK)
7. SURAT PEKELILING AM MAMPU
i. Bil. 4 Tahun 2006 Pengurusan Pengendalian Insiden Keselamatan Teknologi Maklumat
(ICT) Sektor Awam
ii. Bil. 6 Tahun 2005 Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor
Awam
iii. Bil. 4 Tahun 2004 Garis Panduan Mengenai Tatacara Memohon Kelulusan Teknikal
Projek ICT Agensi Kerajaan
(Tambahan Pertama Kepada Surat Pekeliling Am Bil. 2 Tahun 2000)
iv. Bil. 2 Tahun 2000 Peranan Jawatankuasa-jawatankuasa di bawah Jawatankuasa IT
dan Internet Kerajaan (JITIT)
8. SURAT PEKELILING PERBENDAHARAAN MALAYSIA
i. Bil. 8 Tahun 2005 Pelaksanaan Kontrak Kementerian melalui Sistem ePerolehan
ii. Bil. 5 Tahun 2003 Pelaksanaan Perolehan Kerja melalui Sistem ePerolehan
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Nega ra 107 APRIL 2007
iii. Bil. 15 Tahun 2002 Pelaksanaan Perolehanan Kerajaan melalui Sistem ePerolehan
iv. Bil. 16 Tahun 2001 Perolehan Perkakasan dan Perisian ICT yang diimport
v. Bil. 7 Tahun 2000 Peraturan dan Tatacara Perolehan Kontrak Pusat Secara Elektronik
Melalui Sistem E-Perolehan
vi. Bil. 5 Tahun 2000 Pelaksanaan dan Perolehan di bawah Program Kerajaan Elektronik
viii. Bil. 4 Tahuan 2000 Pengecualian Istimewa daripada Peraturan Biasa Perolehan Kerja
9. SURAT ARAHAN KETUA SETIAUSAHA NEGARA
i. Langkah-langkah Untuk memperkukuhkan Keselamatan Rangkaian
Setempat Tanpa Wayar (Wireless Local Area Network) di Agensi
Kerajaan pada 20 Oktober 2006
ii. Arahan Pematuhan Akta Keselamatan dan Kesihatan Pekerjaan
1994 dan Pelaksanaan Arahan, Peraturan, Prosedur dan Peruntukan
Undang-undang berkaitan Keselamatan Perlindungan di Jabatan-
jabatan Kerajaan pada 20 Ogos 2004
iii. Usaha-usaha Meningkatkan Keberkesanan Sistem Penyampaian
Perkhidmatan Kerajaan pada 21 April 2004
iv. Penamaan Ketua Pegawai Maklumat Sektor Awam pada 22 Mac
2000
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Nega ra 108 APRIL 2007
10. GARIS PANDUAN DAN STANDARD ICT MAMPU
i. Garis Panduan Perkhidmatan Luaran bagi IT di Agensi-agensi Sektor
Awam JPM pada September 2006
ii. Dasar Keselamatan ICT MAMPU Versi 4.0 pada 30 Mac 2006
iii. Garis Panduan Pelaksanaan Open Source Software (OSS) pada
April 2006
iv. The Malaysian Public Sector Information Security Risk Assessment
Methodology (MyRAM)
(Lampiran kepada Surat Pekeliling Am Bil. 6 Tahun 2005)
v. The Malaysian Public Sector Information Security High Level Risk
[HiLRA]
(Lampiran kepada Surat Pekeliling Am Bil. 6 Tahun 2005)
vi. ICT Strategic Plan For The Public Malaysian Public Sector: Standard,
Policies and Guidelines – Establishing A Call Centre Version 1.0 in
March 2004
vii. Standard, Policies and Guidelines – Channel Framework Version 1.0
in August 2003
viii. Open Sources Software for Malaysian Government Interoperability
Framework (MyGIFOSS) in February 2006
(Disediakan Sebagai Tambahan Kepada MyGIF Versi 1 Ogos 2003)
ix. Standard Polisi and Guidelines – Malaysian Public Sector ICT
Strategic Plan Guide Version 1.0 in August 2003
x. Standards, Policies and Guidelines – Channels Framework Version
1.0 in August 2003
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Nega ra 109 APRIL 2007
xi. Standards, Policies and Guidelines – Malaysian Government
Interoperability Framework (MyGIF) versi 1.0 in August 2003
xii. Standard, Policies and Guidelines – Guidelines Portal version 1.0 in
August 2003
xiii. Putrajaya Campus Network (PCN) Policy version 2001
xiv.Rangkakerja Rancangan Strategik Maklumat Untuk Agensi Kerajaan
Pada 2000
xv. Malaysian Public Sector Management of Information and
Communication Technology Security (MyMIS) Handbook on 15
January 2002
(Lampiran Kepada Surat Pekeliling Am Bil. 3 Tahun 2000)
xvi.Polisi Dan Standards Teknologi Maklumat Kerajaan Elektronik pada
1997
11. GARIS PANDUAN DAN STANDARD JABATAN AKAUNTAN NEGARA MALAYSIA (JANM)
i. Panduan Pengguna Pusat Tanggung jawab (PTJ) eSPKB Versi 4
1 Ogos 2006
12. STANDARD PENGAUDITAN DIPERAKUI DI MALAYSA (MASA) PADA 1 JULAI 1998
i. MASA AI 401 – Standard Pengauditan dalam persekitaran
berkomputer
ii. MASA AI 1003 – Sistem Persekitaran Pangkalan Data bagi Sistem
Maklumat Komputer
DRAF
Draf Garis Panduan Pengauditan ICT Jabatan Audit Nega ra 110 APRIL 2007
iii. MASA AI 1009 – Teknik Pengauditan Bantuan Komputer (CAATTs)
13. UNDANG-UNDANG SIBER DAN PERUNDANGAN
i. Computer Crime Act 1997 (01/06/2000)
ii. Communication and Multimedia Act 1998 (01/04/1999)
iii. Malaysian Communications and Multimedia Commission Act 1998
(01/04/1999)
iv. Digital Signature Act 1997 (01/10/1998)
v. Telemedicine Act 1997
vi. Copyright (Amendment)1997
vii. Personal Data Protection Bill
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 111 APRIL 2007
Auditi Agensi atau perkara yang tertakluk kepada
pengauditan Institusi Audit Tertinggi (IAT).
Biometrik Suatu kaedah untuk pengesahan identiti individu
dengan menganalisis sifat fizikal yang unik daripada
individu spesifik termasuk cap jari, geometri tangan,
pengimbas retina, pengesahan suara atau tanda
tangan dinamik.
Bukti Audit Maklumat yang menjadi asas untuk menyokong
pendapat, rumusan dan laporan Juruaudit.
Freeware Perisian yang boleh dimuat turun atau diperolehi
secara percuma dari internet. Walaupun perisian ini
percuma, penciptanya masih memegang hak cipta dan
ini bermakna ia tidak boleh dipinda atau dijual kepada
mana-mana pihak. Penggunaan freeware adalah tidak
terhad berbanding dengan shareware.
Institusi Audit Tertinggi (IAT) [Supreme Audit
institution (SAI)]
Badan sektor awam yang tertinggi dalam sesebuah
negara yang ditubuhkan mengikut kehendak undang-
undang dan melaksanakan fungsi pengauditan di
sektor awam.
International
Congress of
Supreme Audit
Institutions (INCOSAI)
Kongres yang diadakan setiap 3 tahun yang memberi
peluang kepada SAI untuk berkongsi pengalaman dan
pendapat serta memberi cadangan dalam menambah
baik tahap akauntabiliti sektor awam.
GLOSARI
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 112 APRIL 2007
Institusi Audit Tertinggi Organisasi Antarabangsa [International
Organisational of
Supreme Audit
Institutions (INTOSAI)]
Badan antarabangsa yang bebas yang bermatlamat
menggalakakan pertukaran idea dan pengalaman
antara Institusi Audit Tertinggi di bidang pengauditan
sektor awam.
Jejak Audit Suatu proses mengenalpasti tindakan dalam
pemprosesan data yang diinput atau dalam
penyediaan suatu output seperti data suatu dokumen
sumber yangg boleh dijejaki secara ke hadapan dan
secara kembali kepada item sumber diperolehi.
Ketulenan (Authenticate)
Mengesahkan identiti seorang pengguna atau entiti
dalam sebuah sistem komputer yang kerapnya sebagai
prasyarat untuk membenarkan akses ke sumber-
sumber dalam sistem.
Pelan Pemulihan Bencana (Disaster Recovery
Plan)
Suatu pelan rancangan tindakan kecemasan yang
bersandarkan operasi dan pemulihan selepas bencana
yang diselenggarakan oleh aktiviti program
keselamatan untuk memastikan kebolehdapatan
sumber kritikal dan memudahkan operasi yang
berterusan dalam situasi kecemasan.
Pengauditan Pemeriksaan yang sistematik dan bebas untuk
menentukan sama ada aktiviti dan keputusan yang
berkaitan adalah mematuhi dengan prosedur yang
dirancang atau standard; dan sama ada prosedur yang
dilaksanakan adalah berkesan dan sesuai untuk
mencapai objektif yang dinyatakan.
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 113 APRIL 2007
Perisian Open
Source Perisan percuma sama seperti freeware tetapi
mempunyai sedikit perbezaan. Perisian Open Source
membolehkan penggunanya melihat, mengubah
source code dan pengguna juga boleh
mengedarkannya kepada sesiapa sahaja. Ini bermakna
sesiapa sahaja boleh mendapatkan menggunakan
source code perisian sumber terbuka ini untuk
menghasilkan satu produk dengan hakciptanya sendiri.
Sandaran (Back-Up) Merujuk kepada peralatan, prosedur dan salinan
tambahan kepada data yang boleh didapati untuk
digunakan dalam keadaan sesuatu peristiwa
kegagalan yang biasa semasa menggunakan peralatan
atau prosedur.
Saling Ubah Data Elektrionik [Elektronic Data
Interchange (EDI)]
Suatu set protokol untuk melaksanakan pertukaran
antara organisasi yang berstruktur tinggi seperti
membuat pembelian atau memulakan permintaan
pinjaman.
Server Komputer yang berkeupayaan tinggi yang berfungsi
sebagai pelayan perkhidmatan dalam sesuatu
rangkaian.
Shareware Perisian percubaan yang boleh dimuat turun secara
percuma, tetapi hanya boleh digunakan dalam satu
tempoh yang telah ditetapkan oleh pengeluarnya.
Selepas tamat tempoh percubaan, pengguna boleh
mempertimbangkan samada untuk membeli atau tidak
perisian tersebut. Perisian percubaan ini adalah satu
cara di mana pengguna dapat menilai sesuatu perisian
itu sebelum membuat pembelian.
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 114 APRIL 2007
Spam satu kaedah di mana seseorang menghantar mel
elektronik (email) dengan kuantiti yang terlalu banyak
bertujuan untuk promosi dan pengiklanan kepada
sesiapa sahaja yang menjadi mangsanya.
Kebiasaannya, spammer memperolehi alamat email
daripada blog, chat rooms, IRC, dan laman web.
Spyware Perisian yang mengumpul maklumat pengguna melalui
internet tanpa pengetahuan pengguna tersebut,
kebiasaannya untuk tujuan pengiklanan oleh pihak
ketiga. Spyware selalunya terlindung dan ia hadir
bersama-sama freeware atau shareware yang dimuat
turun dari internet. Apabila ia dimuat turun, spyware
akan mengawal aktiviti pengguna dan menghantar
maklumat pengguna kepada pihak ketiga. Setelah itu ia
akan menghantar seberapa banyak iklan pop up tanpa
pengguna mengetahui dari mana Ia datang. Spyware
juga boleh mengumpul maklumat seperti kata laluan,
alamat mel elektronik dan juga nombor kad kredit.
Spyware juga dipanggil adware.
Teknologi Maklumat dan Komunikasi [Information and
Communication
Technology (ICT)]
Aktiviti-aktiviti yang berkaitan dengan pengumpulan,
pemprosesan, penyimpanan dan penyebaran data
dengan penggunaan sistem maklumat berkomputer
yang merangkumi aspek perkakasan, perisian,
rangkaian komunikasi dan pembangunan sistem.
Draf Garis Panduan Pengauditan ICT Jabatan Audit Negara 115 APRIL 2007
Virus Aturcara yang berbahaya dan ia berupaya membuat
seberapa banyak salinan dan juga berupaya menyebar
atau merebak. Kebanyakan virus komputer ini bersifat
pemusnah. Virus bertindak dengan menumpangkan
dirinya pada aturcara yang lain. Apabila aturcara
tersebut dilaksanakan, virus yang menumpang
padanya akan turut diaktifkan dan ia boleh menjangkiti
dan lebih teruk lagi ia boleh merosakkan file dalam
komputer. Virus tidak mengganggu rangkaian
komputer dan lebar jalur [bandwidth].
Worm Aturcara yang boleh membuat banyak salinan dirinya
sendiri sama seperti virus. Berbeza dengan virus,
worm bertindak bersendirian tanpa memerlukan
pergantungan kepada sebarang aturcara dalam
komputer. Worm menyebarkan dirinya melalui
rangkaian komputer dan memenuhi lebar jalur
[bandwidth] sehingga menyebabkan sistem rangkaian
menjadi terlalu perlahan dan tidak cekap.
top related