Bab 9

Piawaian, Kawalan Kualiti, Pengauditan Teknologi Maklumat

Siti Norul Huda Sheikh AbdullahAmna Abdul RahmanAbdul Razak Hamdan

Audit Teknologi Maklumat

Lebih bertumpu kepada aspek-aspek sistem maklumat organisasi berdasarkan komputer.

Ia termasuk perlaksanaan, operasi, dan kawalan sumber-sumber koomputer

Mengandungi komponen audit dalaman dan luaran.

Definisi audit

Information system auditing is the process of collecting and evaluating evodence to determine whether a computer system safeguards assets, maintains data intergrity, allow organizational goals effectively and uses resources to be achieved efficiently.

Elemen-elemen audit

Satu proses yang sistematik Kerangka logikal

Kemasukan pengurusan dan objektif audit Existence, completeness, rights & obligations,

valuation & allocation, presentation and disclosure.Mendapatkan bukti

Selepas melaksanakan kawalan ujian dll.Memperolehi darjah koresponden

berpandukan kritieria Hasil komunikasi

Risiko auditAdalah risiko kegagalan seorang juru audit untuk

mengenalpasti kehilangan sumber hakiki atau sasaran atau silap penyata akaun.

DAR = IR X CR X DRDimana DAR adalah desired audit risk cth kenalpasti

konflik antara audit dalaman dan luaran Ir adalah inherent risk cth sistem kewangan, sistem

strategik, sistem operasi kritikal, sistem lanjutan teknologiCR adalah control risk cth kawalan pengurusan dan

aplikasiDR adalah detection risk cth bukti rekabentuk utk

kenalpasti ralat

Prosedur audit

Prosedur untuk memahami kawalanKawalan ujianUjian terperinci mengenai transaksiUjian terperinci mengenai

keseimbangan kewangan/ keputusan keseluruhannya

Menilai semula prosedur secara analitikal

Struktur Audit TM

Piawaian professional perlua menghasilkan salah satu pandangan,

Disclaimer of opinion – Juru audit tidak mampu memberi pandangan berdasarkan

pengauditan yang telah dibuatAdverse opinion

Juru audit menyatakan kehilangan sumber/silap penyataan kewangan

Qualified opinion Juru audit menyatakan kehilangan wujud atau kesilapan

penyata kewangan berlaku tetapi jumlahnya bukan sumber.

Unqualified opinion Juru audit percaya bahawa tiada kehilangan sumber atau

kesliapan penyata yang berlaku.

Jenis juru audit

Dalamanluaran

Juru auditTugas Melindungi sumber-sumber korporat dengan

memastikan kawalan dilakukan. Memastikan pemprosesan mengikut tatacara dan

peraturan/piawai. Memantau ke atas,

PeraturanPiawaianDataDoumentasiProsedurKeselamatanKerahsiaan

Perbandingan dahulu & kini

Dahulu –dijalankan secara manualKini – jualan/akaun.gaji.inventori di

proses komputer Oleh itu, juru audit perlu ada

pengetahuan tentang perakaunan dan kemahiran IT supaya dapat,Mereka bentuk sistem kewangan,

pembangunan sistem dan aturcara komputer.

Pendekatan audit

Audit around the computer“Jika input betul, dan output betul,

maka pemprosesan adalah betul”Oleh itu, tidak menyemak

pemprosesan komputer secara terus.Audit menembusi komputer (audit

through komputer) iaitu Dengan menyemak input, proses dan

output

Cara/ alat audit

Ujian Data Reka dan proses contoh transaksi dengan

menggunakan data ujian untuk melihat bagaimana sistem mengendalikan transaksi yang berlainan.

Semak program pengiraan Semak prosedur operasi adalah konsisten

dengan polisi korporat Semak data diluar julat, data tidak tersusun,

data berkelompok, tiada nilai, nilai yang tiada dalam syarikat.

….Cara/ alat audit

Program yang ditulis oleh juru audit Semak situasi-situasi yang perlu dianalis Semak manipulasi-manipulasi yang

tidak dibenarkan oleh juru aturcara/operator.

Mahal.

Perisian Audit Am

Membolehkan juruaudit menjalankan tugas audit biasa dengan cepat dan mudah

Aplikasi…Kelebihan

laju, tepat, mudah diguna & pelajari, ‘thoroughness’

Kelemahan fleksibiliti, ...

Kategori Kawalan SistemDikategorikan mengikut objektif:

1. Kawalan preventif Cth: Arahan yang diletakkan pada dokumen akan engelakkan

kerani silap mengisi borang. 2. Kawalan detektif

Cth:Satu program input yang mengenalpasti data yang tersilap masuk ke dalam sistem.

3. Kawalan korektifCth:Satu program yang menggunakan kod khas untuk

memperbetulkan data yang salah/rosak/bising

Dikategorikan mengikut skop: 1. Kawalan am- pengaruhi kesemua sistem

aplikasi 2. Kawalan aplikasi- pengaruhi hanya aplikasi

tertentu

Fungsian sistem maklumat

Subsistem pengurusan

Pengurusan atasanPengurusan sistem maklumatPengurusan pembangunan sistemPengurusan pengaturcaraanPentadbiran pangkalan dataPengurusan Penentuan kualitiPentadbiran keselamatanPengurusan operasi

Subsistem aplikasi

KomunikasiPemprosesanPangkalan dataOutput

Contoh kawalan transaksi tempahan-pelanggan

Kawalan Am

Empat jenis:1. Kawalan operasi pusat data2. Kawalan pengambilan &

selenggara perisian sistem3. Keselamatan akses4. Kawalan pembangunan &

selenggaraan sistem aplikasi

1) Kawalan operasi pusat data

Prosedur sokongan fail teknik datuk-bapa-anak (sistem

pemprosesan kelompok) … pembuangan fail bertempoh (sistem

masa nyata atas-talian) … prosedur untuk PC …

1) Kawalan operasi pusat data

Pelan kontigensi liputan insurans menyeluruh lokasi pemprosesan alternatif aplikasi penting lokasi storan luar-kawasan pekerja bertanggungjawab

1) Kawalan operasi pusat data

Pembahagian tugas juruanalisis sistem dan juru program operasi mesin penyelenggaraan data

2) Kawalan pengambilan & selenggara perisian sistem

Illustration 14-6

3) Keselamatan akses

Akses ke data terhad mengikut prosedur pengenalan

dan pengesahanAkses ke peranti fizikal

terhad mengikut keselamatan fizikal

4) Kawalan pembangunan & selenggaraan sistem aplikasi

Termasuk: pemeriksaan dan pengesahan rasmi dokumentasi mencukupi ujian-ujian mencukupi

Prosedur-prosedur ini disediakan oleh: penggunaan kaedah pembangunan rasmi rekod perubahan program untuk program

sedia ada

Kawalan Aplikasi

Tiga jenis:1. Kawalan Input2. Kawalan Pemprosesan3. Kawalan Output

1. Kawalan Input

Digit periksaPengesahan data …Jumlah kawalan …Kemasukan data terus

2. Kawalan Pemprosesan

Pemeriksaan berjujukanJumlah kawalan digunakan sebagai

kawalan ‘run to run’ …Pengenalan fail fizikalKawalan terprogram

3. Kawalan Output

Laporan kawalan data...

Keselamatan & Integriti Data

Juruaudit sistem berkomputer perlu melihat keselamatan dan integriti data

Keselamatan data: keselamatan data daripada akses tidak dibenarkan

Integriti data: ketepatan dan kebolehpercayaan data

Keselamatan Komputer

Sumber risiko keselamatan komputer: sumber dalaman sumber luaran sumber kedua-duanya

Keselamatan Komputer

Jenis risiko: kemusnahan data espionage gangguan keperibadian ‘Fraud’ pekerja …Illustration 15-5

Keselamatan Komputer

The Fraud Triangle … Keselamatan KomputerKomponen-komponen ‘fraud’:

(setiapnya menyediakan peluang untuk mengesan fraud)

kecurian pertukaran ‘concealment’

Keselamatan dan Integriti dengan DBMS

Risiko dengan DBMS...Kawalan penting dengan DBMS

Keselamatan dan Integriti dalam Rangkaian Komputer

Risiko dalam sistem telepemprosesan

Risiko dalam sistem teragihKawalan penting dalam rangkaian

komputer

Menilai Keselamatan dan Integriti Data

Tanggungjawab juruaudit juruaudit dalaman juruaudit bebas

Penyemakan sistem temubual ‘walkthroughs’ soal selidik

Teknik Pengauditan Berbantukan Komputer (TPBK) data ujian simulasi selari kemudahan ujian

bersepadu modul audit

‘embedded’