400 likes | 680 Views
Bab 9. Piawaian, Kawalan Kualiti, Pengauditan Teknologi Maklumat. Siti Norul Huda Sheikh Abdullah Amna Abdul Rahman Abdul Razak Hamdan. Audit Teknologi Maklumat. Lebih bertumpu kepada aspek-aspek sistem maklumat organisasi berdasarkan komputer.
E N D
Bab 9 Piawaian, Kawalan Kualiti, Pengauditan Teknologi Maklumat Siti Norul Huda Sheikh Abdullah Amna Abdul Rahman Abdul Razak Hamdan
Audit Teknologi Maklumat • Lebih bertumpu kepada aspek-aspek sistem maklumat organisasi berdasarkan komputer. • Ia termasuk perlaksanaan, operasi, dan kawalan sumber-sumber koomputer • Mengandungi komponen audit dalaman dan luaran.
Definisi audit • Information system auditing is the process of collecting and evaluating evodence to determine whether a computer system safeguards assets, maintains data intergrity, allow organizational goals effectively and uses resources to be achieved efficiently.
Elemen-elemen audit • Satu proses yang sistematik • Kerangka logikal • Kemasukan pengurusan dan objektif audit • Existence, completeness, rights & obligations, valuation & allocation, presentation and disclosure. • Mendapatkan bukti • Selepas melaksanakan kawalan ujian dll. • Memperolehi darjah koresponden berpandukan kritieria • Hasil komunikasi
Risiko audit • Adalah risiko kegagalan seorang juru audit untuk mengenalpasti kehilangan sumber hakiki atau sasaran atau silap penyata akaun. • DAR = IR X CR X DR • Dimana DAR adalah desired audit risk cth kenalpasti konflik antara audit dalaman dan luaran • Ir adalah inherent risk cth sistem kewangan, sistem strategik, sistem operasi kritikal, sistem lanjutan teknologi • CR adalah control risk cth kawalan pengurusan dan aplikasi • DR adalah detection risk cth bukti rekabentuk utk kenalpasti ralat
Prosedur audit • Prosedur untuk memahami kawalan • Kawalan ujian • Ujian terperinci mengenai transaksi • Ujian terperinci mengenai keseimbangan kewangan/ keputusan keseluruhannya • Menilai semula prosedur secara analitikal
Piawaian professional perlua menghasilkan salah satu pandangan, • Disclaimer of opinion – • Juru audit tidak mampu memberi pandangan berdasarkan pengauditan yang telah dibuat • Adverse opinion • Juru audit menyatakan kehilangan sumber/silap penyataan kewangan • Qualified opinion • Juru audit menyatakan kehilangan wujud atau kesilapan penyata kewangan berlaku tetapi jumlahnya bukan sumber. • Unqualified opinion • Juru audit percaya bahawa tiada kehilangan sumber atau kesliapan penyata yang berlaku.
Jenis juru audit • Dalaman • luaran
Juru audit • Tugas • Melindungi sumber-sumber korporat dengan memastikan kawalan dilakukan. • Memastikan pemprosesan mengikut tatacara dan peraturan/piawai. • Memantau ke atas, • Peraturan • Piawaian • Data • Doumentasi • Prosedur • Keselamatan • Kerahsiaan
Perbandingan dahulu & kini • Dahulu –dijalankan secara manual • Kini – jualan/akaun.gaji.inventori di proses komputer • Oleh itu, juru audit perlu ada pengetahuan tentang perakaunan dan kemahiran IT supaya dapat, • Mereka bentuk sistem kewangan, pembangunan sistem dan aturcara komputer.
Pendekatan audit • Audit around the computer “Jika input betul, dan output betul, maka pemprosesan adalah betul” • Oleh itu, tidak menyemak pemprosesan komputer secara terus. • Audit menembusi komputer (audit through komputer) iaitu • Dengan menyemak input, proses dan output
Cara/ alat audit • Ujian Data • Reka dan proses contoh transaksi dengan menggunakan data ujian untuk melihat bagaimana sistem mengendalikan transaksi yang berlainan. • Semak program pengiraan • Semak prosedur operasi adalah konsisten dengan polisi korporat • Semak data diluar julat, data tidak tersusun, data berkelompok, tiada nilai, nilai yang tiada dalam syarikat.
….Cara/ alat audit • Program yang ditulis oleh juru audit • Semak situasi-situasi yang perlu dianalis • Semak manipulasi-manipulasi yang tidak dibenarkan oleh juru aturcara/operator. • Mahal.
Perisian Audit Am • Membolehkan juruaudit menjalankan tugas audit biasa dengan cepat dan mudah • Aplikasi… • Kelebihan • laju, tepat, mudah diguna & pelajari, ‘thoroughness’ • Kelemahan • fleksibiliti, ...
Kategori Kawalan Sistem • Dikategorikan mengikut objektif: • 1. Kawalan preventif • Cth: Arahan yang diletakkan pada dokumen akan engelakkan kerani silap mengisi borang. • 2. Kawalan detektif • Cth:Satu program input yang mengenalpasti data yang tersilap masuk ke dalam sistem. • 3. Kawalan korektif • Cth:Satu program yang menggunakan kod khas untuk memperbetulkan data yang salah/rosak/bising • Dikategorikan mengikut skop: • 1. Kawalan am- pengaruhi kesemua sistem aplikasi • 2. Kawalan aplikasi- pengaruhi hanya aplikasi tertentu
Subsistem pengurusan • Pengurusan atasan • Pengurusan sistem maklumat • Pengurusan pembangunan sistem • Pengurusan pengaturcaraan • Pentadbiran pangkalan data • Pengurusan Penentuan kualiti • Pentadbiran keselamatan • Pengurusan operasi
Subsistem aplikasi • Komunikasi • Pemprosesan • Pangkalan data • Output
Kawalan Am • Empat jenis: • 1. Kawalan operasi pusat data • 2. Kawalan pengambilan & selenggara perisian sistem • 3. Keselamatan akses • 4. Kawalan pembangunan & selenggaraan sistem aplikasi
1) Kawalan operasi pusat data • Prosedur sokongan fail • teknik datuk-bapa-anak (sistem pemprosesan kelompok) … • pembuangan fail bertempoh (sistem masa nyata atas-talian) … • prosedur untuk PC …
1) Kawalan operasi pusat data • Pelan kontigensi • liputan insurans menyeluruh • lokasi pemprosesan alternatif • aplikasi penting • lokasi storan luar-kawasan • pekerja bertanggungjawab
1) Kawalan operasi pusat data • Pembahagian tugas • juruanalisis sistem dan juru program • operasi mesin • penyelenggaraan data
2) Kawalan pengambilan & selenggara perisian sistem • Illustration 14-6
3) Keselamatan akses • Akses ke data • terhad mengikut prosedur pengenalan dan pengesahan • Akses ke peranti fizikal • terhad mengikut keselamatan fizikal
4) Kawalan pembangunan & selenggaraan sistem aplikasi • Termasuk: • pemeriksaan dan pengesahan rasmi • dokumentasi mencukupi • ujian-ujian mencukupi • Prosedur-prosedur ini disediakan oleh: • penggunaan kaedah pembangunan rasmi • rekod perubahan program untuk program sedia ada
Kawalan Aplikasi • Tiga jenis: • 1. Kawalan Input • 2. Kawalan Pemprosesan • 3. Kawalan Output
1. Kawalan Input • Digit periksa • Pengesahan data … • Jumlah kawalan … • Kemasukan data terus
2. Kawalan Pemprosesan • Pemeriksaan berjujukan • Jumlah kawalan digunakan sebagai kawalan ‘run to run’ … • Pengenalan fail fizikal • Kawalan terprogram
3. Kawalan Output • Laporan kawalan data...
Keselamatan & Integriti Data • Juruaudit sistem berkomputer perlu melihat keselamatan dan integriti data • Keselamatan data: keselamatan data daripada akses tidak dibenarkan • Integriti data: ketepatan dan kebolehpercayaan data
Keselamatan Komputer • Sumber risiko keselamatan komputer: • sumber dalaman • sumber luaran • sumber kedua-duanya
Keselamatan Komputer • Jenis risiko: • kemusnahan data • espionage • gangguan keperibadian • ‘Fraud’ pekerja …Illustration 15-5
Keselamatan Komputer • The Fraud Triangle … • Keselamatan Komputer • Komponen-komponen ‘fraud’: • (setiapnya menyediakan peluang untuk mengesan fraud) • kecurian • pertukaran • ‘concealment’
Keselamatan dan Integriti dengan DBMS • Risiko dengan DBMS... • Kawalan penting dengan DBMS
Keselamatan dan Integriti dalam Rangkaian Komputer • Risiko dalam sistem telepemprosesan • Risiko dalam sistem teragih • Kawalan penting dalam rangkaian komputer
Tanggungjawab juruaudit juruaudit dalaman juruaudit bebas Penyemakan sistem temubual ‘walkthroughs’ soal selidik Teknik Pengauditan Berbantukan Komputer (TPBK) data ujian simulasi selari kemudahan ujian bersepadu modul audit ‘embedded’ Menilai Keselamatan dan Integriti Data