51
BAB 3 ORGANIZATION & MANAGMENT
BAB 3
ORGANIZATION
&
MANAGMENT
Session
Objectives
1. To consider the importance of IT
organisational and high level management
controls to an IT environment.
2. To review the types of management control
likely to be encountered by an IT auditor
3. To enable the IT auditor to identify
weaknesses in a client's organisation and
put forward constructive recommendations
Components Of IT
Organisation and management
Flow of Controls
POOR ORGANISATIONALAND MANAGEME~~CONTROLS
rn ADEQUATE CONTROL OVER THE IT DEPARTMENT
=POOR GENERAL IT CONTROLS
rn ADEQUATEAPPLICATlON CONTROLS =rn CREASED TRANSACTION RISK
What are the risks?
r:G" Why does the client need IT
organisation and management controls?
sr: What risks could arise from a poor
controls in this area?
c:r What impact could a lack of adequate
controls have on the external auditor?
STRUKTUR ORGANISASI UNIT AUDIT
DALAMAN UNIVERSITI TUN HUSSEIN
ONN MALAYSIA
KETUA UNIT AUDIT DALAMAN (W48)
JURUAUDIT(W41) PEGAWAI
TEKNOLOGI MALUMAT (F41)
Bahagian Audit
Kewangan
Bahagian Audit Pengurusan
P.JURUAUDIT (W27)
P.JURUAUDIT (W27)
P.Akauntan
(W17)
P.Akauntan Kanan (W22)
Bahagian Audit Khas & ICT
P.Juruaudit Kanan (W32)
P.Akauntan (W17)
Bahagian Pentadbiran
Pembantu Tadbir (N17)
1. IT Organization Chart
PEKELlLlNG AM BILANGAN 2 TAHUN 2006
13 November 2006
STRUKTUR TADBIR URUS JAWATANKUASA IT DAN INTERNET KERJAAN (JmK)
JAWATANKUASA
(JMK)
Jawatankuasa
(JKJ)
Jawatankuasa Pengauditan
Jawatankuasa
Latihan ICT
(JKLICT)
Jawatankuas
a Teknologi
ICT
(JKICT)
(a)Jawatankuasa IT dan Internet Kerajaan (JITIK)
Menentukan arah tuju, dasar dan strategi
pembangunan ICT di sektor awam.
(b) Jawatankuasa Kerja JITIK (JKJ) Think-tank
JITIK menggantikan JTPIT.
-Memberi fokus kepada pembangunan strategi dan
perancangan ICT sektor awam.
(c) Jawatankuasa Penyelarasan Kerajaan Elektronik
(EGCOM)
Menggantikan EGSC dan peranan adalah lebih luas.
Projek-projek Kerajaan Elektronik yang di selaras dan
dipantau oleh EGCOM merangkumi projek-projek
Kerajaan Elektronik di bawah aplikasi perdana Koridor
Raya Multimedia (MSC) dan juga projek-projek ICT
kerajaan yang merentasi pelbagai agensi seperti
aplikasi komuniti1, enterprise-wide2 dan pelaksanaan
perkongsian pintar3. EGCOM juga akan memberi
perhatian kepada isu-isu pengoperasian pelaksanaa
projek- projek
(d) Jawatankuasa Teknikal JCT (JTJCT)
Diberi nama baru iaitu Jawatankuasa Teknikal ICT
(JTICT). Masih mengekalkan peranan menyelaras dan
memantau urusan pengoperasian pelaksanaan projek
ICT agensi-agensi sektor awam. Fungsi utama JTICT
adalah menimbang dan memberi kelulusan teknikal
permohonan perolehan ICT agensi-agensi sektor awam
berdasarkan Pelan Strategik ICT (ISP) agensi masing-
masing.
e) Jawatankuasa Latihan ICT (JLlCT)
Menggantikan JLPIT. JLlCT berperanan membangunkan
dasar dan latihan bagi program pembangunan
kompetensi, pembudayaan dan pelaksanaan ICT sektor
awam
IT Organization Chart - 22 MAC 2000 PENAMA :Ali KE'I'UA PEGAWAl MAKLUMAT SEKTOR AWAlJIJ.
1. Sukacita saya menarik perhatian Y. Bhg. Tan
S=ijDaruk/Dato'/Tuan!Puan kepada perkara cii atas.
2. Sebagaimana Y. Bhg. Tan Sri/Daruk/Dato'/Tuan/Puan
sedia maklum, penggunaan teknologi maklumat sektor
awam terus berkernbang dan program meningkatkan
penggunaan teknologi maklumat diberi keutamaan
Kerajaan. Usaha terkni Kerajaan melaksanakan beberapa
aplikasi perdana seperti Kerajaan Elektronik,Sekolah
Bestari, Kad Pintar Pc pelbagai guna dan kerajaan untuk
meningkatkan mutu perkhdmatan awam melalui
teknologi maklumat
.
3. Pengunaan teknologi maklumat telah membawa perubahan
besar dalam pengurusan dan pentadbiran Kerajaan. Dengan itu,
perancangan dan pelaksaan yang rapi selaras adalah amat
penting. Sehubungan dengan ini, Jawatankuasa IT selain Internet
Kerajaan (JITIK) telah memutuskan bahawa adalah perlu bagi
setiap agensi melantik Ketua Pegawai Maklumat (Chit.>J
lnformation Officer - CiO). Tanggungjawab pertama ClO ialah
menentukan strategi melaksanakan isentiff IT bagi mencapai visi
dan objektif pembangunan dan penggunaan IT di agensi masing-
masing. Peranan CIO termasuk, antara lain. memberi pimpinan,
penyelarasan dan haluan dalam penggunaan IT serta sebagai
penasihat IT kepada pinak pengurusan dalam agensi, 0leh yang
demikian, CIO perlulan terdiri dari kalangan pengurusan atasan
agensi berkernaan
1. IT Organization Chart
a)Menyediakan plan Strategi Teknologi maklumat agensi
yang mengandingi perancangan penggunaan IT dalam ID
menyokong pencapaian agensi
b)J M=pelaksanaan.Meletakkn proses-proses yang cross
functuma amara jawatan bagi menghasilkan perkhidmatan
yang lebih cekap dan berkesan;
[c] Membangunkan infrastruktur kepada 0" porou,iliry
mengendali kan serta menguruskan sistem dan IT yang
disuruh client serta berdasarkan maklumat, connecrilfime:r-
operability
(d)Menentukan hala tuju sistem aplikasi agensi bagi
mengurangkan masa dan kos pembangunan,
penyelenggaraan dan pengoperasi secara Memelihara
intergriti data elektronik, menggalakkn perkongsian
maklumat dan melaksanakan kaedah bagi penyebaran
maklumat secara elektronik kepada pengguna yang
asli sama ada dalam atau luar agensi Jawatankuasa
Perancangan dan Pembangunan atau jawatankuasa
utama yang mengutamakan dasar dan
bertanggungjawab terus kepada Ketua Setiausaha
atau ketua jabatan agensi
e)Memelihara intergriti data elektronik, menggalak
perkongsian maklumat dan melaksanakan kaedah bagi
penyebaran maklumat secara eiektronik kepada
pengguna-pengguna yang sama ada dalam atau luar
agensi
f)Mengandungi jawatankuasa Perancangan dan
Pembangunan atau jawatankuasa utama yang
menggunakan kasar dan bertanggungjawab terus kepada
Ketua Setiausaha atau ketua jabatan agensi
g)Mempromosikan kegunaan IT yang berkesan dan
seiringan untuk rnericapai matlamat strategik agensi
dan bertindak sebagai agen dan perintis perubanan
(champion of changer) dan
(h) Melibatkan agensi dalam usana-usaha kerajaan
untuk membangun dan melaksanakan projek IT
disektor awam yang membawa kepada perubahan
2. Senior Management Control
and Involvement
R:r Overall responsibility for IT
R:r The existence of an organisational
structure
R:r Senior management’s involvement in
controlling the direction and management of
IT services
3. IT Strategy
Follow business needs/ future
strategy :-
ClF Forward looking
ClF Review and update
ClF Awareness
ClF Systems covered
ClF Approval
Plan strategik IT
sektor awam
2011-2015
Causes of errors, loss, problems
•Accidental/ unintentional people
mistakes/
errors and omissions I . .
('0?t )
•Natural disasters
•Fraud
•Hardware / software failure
4. Personnel Policies
sr: Organisational structure / charts
w Job descriptions
w Staff planning
4. Personnel Policies continued
(it" Staff assessments
(jt" Special contracts
Qt" Job rotation
Qt" Vacation policies
4. Personnel Policies continued
<? Recruitment policies
'li Background checks
'li Confidentiality agreements
'l' Codes of conduct
4. Personnel Policies continued
Termination policies
'l? Voluntary
'l? Involuntary
'l? Immediate termination
'l? Security measures
'l? Notification
'l? Final pay
'l? Leaving interviews
'l? Return of property
5. Training Policies
w Staff resource planning
w Skill staff required - present & future
r:Jr Staff given training to meet
planned requirements
w Costly therefore controlled by
training plans and budgets
6. System documentation policies
Risks associated with inadequate
R?Unauthorised working practices
Sy: Increased errors,problems with
the system
Sr:System main
7. Third Party Supplier/ Outsourcinz Policies
qr Increasing trend
Clr Policy may influence future
external audit
involvement
Clr Ensure needs of external auditor
are
identified and known to client
~@3.~~
8. Internal Audit Involvement
w Management sets policies
w Internal audit checks compliance with
management's policies
w Questions to ask include:
~ Reporting freedom
'II Management I IA relationship
~ Scope of reviews I limitations
'II Resourcing
'II Quality
9. IT Security Policy
SURAT PEKELILING AM MAMPU
Bil. 3 tahun 2009 - Garis Panduan Penilaian Tahap Keselamatan
Rangkaian Dan Sistem ICT Sektor Awam
Bil. 4 Tahun 2006 - Pengurusan Pengendalian Insiden
Keselamatan Teknologi Maklumat (lCT) Sektor Awam
Bil. 6 Tahun 2005 - Garis Panduan Penilaian Risiko Keselamatan
Maklumat Sektor Awam PEKELILING AM MAMPU
Bil. 1 Tahun 2001 - Mekanisme Pelaporan Insiden Keselamatan
Teknologi Maklumat dan Komunikasi (ICT)
Bil. 3 Tahun 2000 - Rangka Dasar Keseiamatan Teknologi
Maklumat dan Komunikasi Kerajaan
GARIS PANDUAN DAN STANDARD rcr MAMPU Garis Panduan
Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT
SektorAwam Garis Panduan Pengurusan Keselamatan ICT
Sektor Awam Malaysia (MyMIS) - 2002
Garis Panduan IT Outsourcing - 2006
Arahan Teknologi Maklurnat dan Akta Aktiviti Kerajaan
Elektronik - 2007 Dasar Keselamatan ICT MAMPU Versi 5.3 pada
M ei 20 I 0
~ Normally a
concise narrative
<7' Senior
management
approved
0,- Availability
Contents of an IT Security policy
c:r Definition of information security
r;r Statement of management intention,
r:tr Specific security policies, principles,
standards and compliance requirements
c:r General and specific responsibilities
r:tr Security incident reporting
10. Legal and Regulatory Com liance
qr Varies from country to country
cs: May include rules/ laws regulations for:
'lr Data protection and privacy
'lr Computer use/ misuse
'lr Banking and finance regulations
'lr Co . aht laws / theft of software
UNDANG·UNDANG SIBER DAN
PERUNDANGAN
Akta Aktiviti Kerajaan Eleklronik 2007 (Akta
680) Computer Crime Act 1997 (01/06/2000)
Communication and MultImedia Act 1998
(01/04/1 999) Malaysian Cotnmumcstons and
MultImedia Comtmssiot : Act 1998
(01/04/1999) Digftal Signature Act 1997
(01/10/1998) e/emedictneAct 1997 Copyright
(Amendment) 1997
11. Segregation of duties
ow Prob: Fundamental control
concept
w Programmers and operators
w In a ideal environment all functions
would be segregated lems, limited
scope in small clients
w Segregation between IT and users
M
11. Segregation of duties
sr: Fundamental control concept
cr Programmers and operators
cr In a ideal environment all functions
would be segregated
w Problems, limited scope in small clients
cr Segregation between IT and users
t~
THANK YOU
EXERCISE
Prepare an Audit Programme based on Organization
and Management
Control
1. IT organisational structure
2. Senior management involvement
3. IT strategy
4. personnel
5. Training policies
6. ocumentation
7. Third party supplier / outsourcing policies
8. Internal audit involvement
9. IT security policies
10.Legal and regulatory compliance
11.Segregation of duties
