AUDITAN SISTEM SOKONGAN UNIVERSITI 2013uad.uthm.edu.my/v2/dokumenauditan/.../laporan_auditan_sistem_sokongan.pdf · Sokongan ICT Universiti adalah aplikasi komputer yang dibeli dari

AUDITAN SISTEM SOKONGAN ICT UNIVERSITI TUN HUSSEIN ONN MALAYSIA

D I P U S A T T E K N O L O G I M A K L U M A T

1/21

AUDITAN SISTEM SOKONGAN ICT UNIVERSITI

UNIVERSITI TUN HUSSEIN ONN MALAYSIA

DI

PUSAT TEKONOLOGI MAKLUMAT

( LAPORAN AKHIR )

1. PENDAHULUAN

Sejajar dengan arahan kerajaan dalam melaksanakan transformasi kerajaan

elektronik, Universiti Tun Hussein Onn Malaysia (UTHM) selaku salah sebuah

badan berkanun turut sama menyahut usaha murni ini. Sehingga 1 Januari

2013 sebanyak 14 Sistem Sokongan telah disenaraikan oleh Unit Sistem

Sokongan, Pusat Teknologi Maklumat (PTM) selaku Pusat Tanggungjawab

yang mengetuai proses pemantauan Sistem Sokongan ICT di UTHM. Sistem

Sokongan ICT Universiti adalah aplikasi komputer yang dibeli dari pembekal

luar ataupun yang dibangunkan sendiri oleh PTM yang mana telah

diserahkan kepada pemilik iaitu Pusat Tanggungjawab. Antara tujuan Sistem

Sokongan ICT ini diwujudkan adalah untuk menyokong kerja-kerja

Pengajaran dan Pembelajaran selain membantu tugas–tugas pentadbiran

Universiti agar lebih cekap dan berkesan. :-

Bagi melaksanakan auditan ini terdapat 5 sistem sokongan yang telah dipilih

melibatkan PTj (Pemilik Sistem) yang berlainan iaitu

i) Sistem Permohonan Alat Tulis (pemilik : Pejabat Bendahari)

ii) Sistem BalanceScorecard (pemilik : Pejabat Pengurusan

Strategik & Kualiti )

iii) Sistem SACAD (pemilik: Pejabat Pengurusan Strategik & Kualiti)



2/21

iv) Sistem e-clinic (pemilik: Pusat kesihatan Universiti )

v) Sistem AUTHOR (pemilik: Pejabat Pembangunan Akademik & Latihan

(CAD).

Di dalam masa yang sama pihak audit turut menilai keseluruhan sistem

sokongan yang ada di Universiti di dalam aspek analisis kepenggunaan.

Selain itu memastikan terdapatnya proses kerja, kawalan dan penetapan

tanggungjawab diantara PTM, pembekal dan PTj.

2. OBJEKTIF AUDITAN

Auditan Sistem Sokongan IT Universiti bertujuan untuk memastikan sistem

yang digunakan di UTHM mematuhi peraturan yang telah digariskan dan

mempunyai kawalan dalaman dengan memastikan :-

a) Samada wujud dokumen perancangan atau feasibility study sebelum

sistem dibeli atau dibangunkan secara inhouse.

b) Samada wujud pematuhan kepada kontrak, selain memastikan pihak

pembekal telah memenuhi SEMUA senarai keperluan pengguna di

dalam kontrak asal.

c) Samada wujud kawalan fizikal seperti penyediaan server yang sesuai

serta kawalan keselamatan yang mencukupi bagi melindungi sistem.

d) Samada wujud dokumen yang berkaitan dengan backup atau Pelan

Tindakan Bencana ( Disaster Recovery Plan ) yang penting bagi

melindungi keseluruhan operasi sistem tersebut.

e) Samada sistem dilindungi oleh ciri-ciri keselamatan contohnya firewall.



3/21

f) Samada sistem mempunyai antaramuka yang bersesuaian bagi

memudahkan pengguna menggunakannya.

3. SKOP DAN METHODOLOGI AUDIT

1. Skop dan bidang tugas juruaudit adalah tertakluk kepada Piagam Audit

Dalam UTHM, Surat Pekeliling Am Bil. 3 Tahun 1998 dan Piawaian

Perakaunan dan Pengauditan yang diterima pakai di Malaysia (IAS,

MASB & IAG).

2. Laporan dan pemerhatian kajian akan dikeluarkan terhadap perkara-

perkara yang memerlukan perhatian dan tindakan pembetulan dan

penambahbaikan oleh PTj serta pihak pengurusan.

PENEMUAN AUDIT

Semakan audit mendapati beberapa kelemahan dari aspek perancangan dan

kawalan dalaman terhadap sistem sokongan ICT yang diaudit. Berikut ialah

penemuan audit beserta syor / cadangan untuk tindakan penambahbaikan

selanjutnya.

4. KAWALAN PERANCANGAN

Bil Isu Syor / Cadangan

4.1 Salinan Dokumen Perancangan

Pembelian Tidak Disimpan Dengan

Sempurna

Auditan mendapati hanya dokumen

permohonan pembelian sistem eClinic,

Borang Spesifikasi Teknikal Sistem

a) Sebelum pembelian satu-satu sistem

IT, ianya perlu melalui beberapa

proses perancangan dan

permohonan. Ianya melibatkan

penyediaan dokumen-dokumen

seperti permohonan pembelian,



4/21

Author dan surat permohonan

pembangunan Sistem Alat Tulis yang

telah dijumpai.

a) Ketiadaan dokumen-dokumen

penting yang lain seperti kertas

kerja, borang pendaftaran aset

serta dokumen kelulusan akan

menyukarkan proses rujukan di

masa akan datang

b) Fail penyimpanan dokumen yang

lengkap bagi satu-satu sistem

belum dilaksanakan dengan

sempurna di PTM dan Ptj bagi

tujuan kawalan pengurusan.

kertas kerja perancangan, butiran

penyelenggaraan, petikan keputusan

minit mesyuarat (jika perlu) dan

Borang Spesifikasi Pembelian

Sistem ICT.

b) Dokumen – dokumen penting seperti

yang tersebut di atas hendaklah

disimpan dan difailkan secara teratur

oleh pembeli sistem. Ianya penting

bagi memudahkan sebarang urusan

serta semakan melibatkan sistem

tersebut pada masa hadapan.

c) Pembeli Sistem Sokongan ICT ( PTj

berkaitan) perlu mendapatkan

kembali semua dokumen

perancangan tersebut dan

menfailkannya secara teratur.

d) Pemilik Sistem juga perlu

menyimpan dokumen asas yang

penting seperti dokumen

permohonan, kertas kerja, kad aset,

manual pengguna dan sebagainya

untuk rujukan.

e) Dokumen pembelian sistem baru

pada masa akan datang hendaklah

disimpan dengan sempurna sebagai

rujukan oleh PTM dan pemilik sistem

(PTj).

TINDAKAN :

Pihak PTM akan mula menyediakan

satu prosedur kerja untuk menguruskan

perkara tersebut.

4.2 Sistem Sokongan ICT Tidak

Dinyatakan Secara Khusus Di Dalam

Polisi Universiti

a) Pengurusan Sistem Sokongan ICT

yang baik perlu mempunyai

garispanduan ICT yang berkaitan



5/21

Panduan dan polisi penyediaan Sistem

Sokongan ICT di Universiti tidak

ditunjukkan secara terperinci di dalam

Polisi ICT Universiti. Keadaan ini akan

menyukarkan pihak berkaitan seperti

PTM atau PTj terbabit membuat

rujukan sekiranya berlaku sebarang

masalah ke atas Sistem Sokongan ICT

yang diselia.

bagi memudahkan pengguna serta

pengurus sistem mengambil langkah

kawalan yang wajar. Secara

langsung sebarang pelan tindakan

dapat diambil dengan berkesan

terhadap sebarang masalah yang

dikenalpasti.

b) Pihak PTM adalah dicadangkan

untuk menambahbaik Polisi ICT

Universiti dengan memasukkan

beberapa perkara mengenai Sistem

Sokongan ICT seperti contoh berikut

:-

i) Polisi sebelum pembelian

Sistem

ii) Sokongan ICT oleh PTj

iii) Polisi penggunaan Sistem

Sokongan ICT

iv) Polisi pengurusan Sistem

Sokongan ICT dan Mana-mana

polisi lain yang difikirkan

sesuai.

TINDAKAN :

Pihak PTM memadai menggariskan

garis panduan baru yang berkaitan

dengan pengurusan dan pembangunan

Sistem Sokongan ICT di UTHM.

4.3 Skop Atau Bidang Kuasa Mengurus

Yang Jelas Tidak Diwujudkan Di

antara Pembeli Sistem, Pemilik

Sistem dan Pembekal

Hasil auditan yang dijalankan

menunjukkan bahawa penetapan skop

dan bidang kuasa belum diwujudkan

a) Bagi memastikan kelancaran

pengurusan Sistem Sokongan ICT,

seharusnya pihak pembeli , pemilik

dan pembekal berkaitan perlu

mempunyai senarai bidang kuasa

yang jelas dan didokumenkan.

b) Pusat Teknologi Maklumat dan



6/21

secara jelas dan didokumenkan,

Sehingga kini, sebarang persetujuan

dibuat secara verbal sahaja dan

perbincangan dilakukan.

Kesannya, Keadaan ini akan

menimbulkan kesukaran terutama

apabila berlaku masalah terhadap

sistem itu sendiri.

Pusat Tanggungjawab yang terbabit

harus bermesyuarat dan

menetapkan pembahagian skop

tugas secara jelas dan

mendokumentasi, mendapatkan

tandatangan persetujuan kedua

belah pihak serta mengamalkannya.

TINDAKAN :

Pihak Pusat Teknologi Maklumat akan

menjadi pusat penyelarasan

pengurusan semua perolehan yang

berkaitan ICT. Ini bagi mengelakkan

berlaku sebarang kesulitan peranan

yang akan dimainkan oleh ketiga-tiga

pihak sekiranya berlaku masalah.

4.4 Pembangunan Sistem Permohonan

Alat Tulis Memakan Masa Yang

Terlalu Lama

Auditan mendapati sistem permohonan

alat tulis berkomputer di Pejabat

Bendahari masih belum beroperasi

walaupun perancangan

pembangunannya bermula sejak tahun

2013. Sehingga kini, Sistem Alat Tulis

yang dibangunkan masih belum

digunakan secara rasmi.

Di antara punca kelewatan yang

dikenalpasti ialah :-

a) Pertukaran ketua unit yang

menguruskan Sistem Alat Tulis

iaitu sebanyak 5 kali di Pejabat

Bendahari.

b) Proses kerja / carta alir tidak

didokumenkan dengan lengkap

dan diserahkan kepada pihak

a) Pembangunan sistem oleh PTM

seharusnya mengikut sela masa

yang telah dipersetujui bagi

mengelakkan kelewatan dan

masalah implementasi. Tanpa

perancangan dan pemantauan yang

rapi masalah kelewatan yang serius

mungkin akan berlaku dan ini akan

merugikan masa ke dua belah pihak.

b) Bagi mengelakkan kelewatan ini dari

berlarutan, beberapa tindakan perlu

diambil iaitu :-

i) Pihak PTM dan Pejabat

Bendahari hendaklah

berbincang semula dan

meletakkan tanda aras atau

jangkaan siap agar sistem ini

dapat diuji dalam masa terdekat.

ii) Pihak PTM hendaklah

menyelesaikan ke semua



7/21

PTM untuk memudahkan

pembangunan sistem. Secara

amalannya proses ini dterangkan

secara verbal di dalam mesyuarat

atau perbincangan.

c) Terdapat kesilapan teknikal serta

ketidaksesuaian pengaturan di

dalam sistem yang masih

memerlukan pembetulan.

d) Milestone atau jangkaan siap

yang dipersetujui oleh kedua

pihak tidak diwujudkan bagi

mengelakkan tempoh

penambahbaikan mengambil

masa yang terlalu lama.

e) Kali terakhir pembangunan sistem

ini dibincangkan ialah pada bulan

September 2012 dan tiada

tindakan susulan diambil sehingga

ke tarikh auditan.

Kesannya, masa dan tenaga yang

banyak terpaksa diambil di dalam

membangunkan sistem ini. Situasi ini

turut menjadi liabiliti kepada pihak PTM

apabila pegawai bertanggungjawab

yang sama turut terlibat dengan

pembangunan sistem yang lain dari

semasa ke semasa.

masalah teknikal atau kesilapan

kecil yang masih timbul dengan

segera.

iii) Pihak Bendahari hendaklah

memurnikan dan

mendokumenkan carta alir dan

proses kerja operasi

permohonan Alat tulis untuk

memudahkan pihak PTM

membuat penambahbaikan di

masa akan datang.

iv) Ujilari terhadap Sistem Alat Tulis

secara paralell (manual dan

automatik serentak) perlu

dilaksana selepas

penambahbaiakan dibuat oleh

pihak PTM.

TINDAKAN :

Pusat Teknologi Maklumat tidak akan

lagi menerima sebarang permohonan

daripada Pusat Tanggungjawab yang

tidak menyerahkan dokumen yang

lengkap termasuklah carta alir proses

kerja.

Pihak PTM akan menyegerakan proses

pengujian dan penyerahan sistem Alat

Tulis.

4.5 Sistem eClinic (Web Based) Masih

Belum Siap sejak 2010.

Auditan di Pusat Kesihatan Universiti

mendapati Sistem eClinic Web Based

masih belum dapat diimplementasikan

sejak 2 tahun yang lepas.

Status :

a) Aplikasi web based adalah alternatif

kepada aplikasi komputer client

based. Aplikasi ini seharusnya dapat

menyelesaikan banyak masalah

yang timbul dalam versi client based

dan ianya lebih mudah.

b) Bagi mengelakkan masalah sistem



8/21

a) Pihak PKU dan pembekal

bersetuju untuk membangunkan

Sistem eclinic webbased bagi

menggantikan Sistem eClinic

sedia ada berdasarkan

perbincangan sebelum ini.

b) Penggunaan sistem baru ini

sangat menyukarkan kerja staf

PKU kerana paparan

antaramukannya yang tidak

ramah pengguna berbanding

sistem sebelumnya.

c) Pihak PKU telah meminta

pembekal untuk mengubah

kembali Sistem eClinic webbased

agar paparan antaramuka skrin

sama seperti sistem eClinic client

based.

d) Sehingga kini sistem eClinic

webbased masih di dalam proses

pembikinan.

Keadaan ini agak membimbangkan

kerana pihak PKU hanya bergantung

kepada Sistem eClinic clientbased

untuk operasi perkhidmatan. Sekiranya

sistem ini down atau bermasalah,

operasi PKU terpaksa berjalan secara

manual.

ini berlarutan, beberapa tindakan

segera harus diambil oleh pihak

PKU :-

i) Menggesa pihak pembekal agar

segera menyiapkan Sistem

Eclinic webbased (seperti yang

dikehendaki oleh pihak PKU )

ii) Mengadakan perbincangan

semula bagi melihat sebarang

masalah lain yang timbul yang

menyebabkan sistem ini ianya

lewat disiapkan.

iii) Menetapkan satu tarikh dead

line untuk melakukan ujilari

sistem dan perlu dipatuhi oleh

pembekal.

iv) Merangka atau memikirkan satu

alternatif yang lain sekiranya

pembekal masih gagal

memenuhi keperluan PKU.

TINDAKAN :

Pihak PTM diarahkan supaya

menyemak semula kehendak kontrak

samada denda boleh dikenakan kepada

syarikat pembekal yang menguruskan

pembangunan Eclinic Webbased kerana

kelewatan menyiapkan sistem ini.

4.6 Sistem Balance Score Card Belum

Digunakan Secara Optimum.

Hasil auditan di PPSK menunjukkan

Sistem Balance Score Card adalah

salah satu sistem yang sehingga kini

masih belum digunakan secara

optimum. Output yang dijana dari

a) Perancangan penggunaan Sistem

ICT adalah penting bagi memastikan

sistem akan sentiasa dapat

digunakan secara optimum

b) Bagi mengelakkan perkara ini

berlarutan beberapa tindakan segera

perlu diambil oleh pihak PPSK:-



9/21

sistem ini juga masih belum dapat

digunakan dengan sewarjarnya.

Sistem ini telah dihentikan sementara

penggunaannya sejak tahun 2011

kerana beberapa kekangan seperti

berikut :-

a) Kesukaran mewujudkan KPI untuk

dimasukkan ke dalam sistem.

b) Tiada pelan perancangan

penggunaan jangkamasa panjang

oleh pihak PPSK sendiri.

Mulai tahun 2006 sehingga 2011

sejumlah RM 96,000.00 telah dibayar

oleh PTM untuk membiayai kos

penyelenggaraan tahunan. Ia adalah

satu kerugian di dalam tempoh ianya

tidak dimanfaatkan sejak mula dibeli

sedangkan kos penyelenggaraan masih

terus dibayar.

i) Mewujudkan pelan tindakan

jangka pendek dan jangka

panjang bagi keperluan

penggunaan sistem Balance

Scorecard.

ii) Elemen KPI yang terkini perlu

diwujudkan untuk diluluskan

oleh pengurusan Universiti.

iii) Melebarkan penggunaan sistem

ini di seluruh Universiti (PTj-pTj

di UTHM)

TINDAKAN :

Pengarah PTM hendaklah membantu

dalam meyelesaikan isu ini bersama

Pejabat Pembangunan Strategik &

Kualiti dalam mengenalpasti

perancangan masa depan dan

mengatasi kekangan dalam

perlaksanaan Balance Score Card yang

berkesan di UTHM serta

memperluaskan penggunaannya di

Pusat Tanggungjawab yang lain.

4.7 Ketiadaan Staf Pakar Dalam

Mengendalikan Sistem Sekiranya

Staf Ditukarkan – Sistem SACAD &

Balance Scorecard

Semakan audit mendaati hanya

seorang staf IT yang bertanggungjawab

dan mahir dalam mengendalikan sistem

SACAD dan Balance Scorecard di

PPSK.

a) Wujud kesukaran menggunakan

sistem apabila staf ini dipindahkan

ke PTj lain.

b) Staf pengganti perlu belajar

Bagi memastikan sistem dapat terus

digunakan di PTj, staf yang

berkemahiran menguruskannya harus

diwujudkan. Berikut adalah antara

perkara yang perlu dilaksana bagi

mengatasi masalah tersebut :-

a) Pihak PPSK harus melengkapkan

semua dokumentasi sistem dan

menfailkannya secara teratur.

b) Ketua Unit berkaitan juga harus

mempunyai satu salinan

dokumentasi sistem dan tahu selok

belok pengurusan sistem.



10/21

semua keperluan sistem ini yang

memerlukan dokumen rujukan

yang lengkap termasuklah sesi

latihan insentif.

c) Keadaan juga akan menjadi rumit

sekiranya melibatkan pertukaran

Ketua Unit yang memerlukan

kemahiran tentang keperluan dan

selok belok pengurusan sistem.

Keadaan ini akan memungkinkan

perjalanan penggunaan sistem SACAD

dan BalanceScorecard akan terganggu

sekiranya tiada pelan tindakan

jangkamasa panjang dibuat.

c) Sekiranya berlaku pertukaran staf

yang berkaitan, staf baru perlu

mengikuti proses kerja staf lama

secara bersama dalam jangkamasa

sebulan.

Perkara ini amat penting dipertekankan

kerana sistem ini digunakan untuk

mengukur pencapaian Universiti di

dalam aspek KPI dan pengurusan

secara amnya.

TINDAKAN :

Pihak PTM perlu memastikan Pejabat

Pengurusan Strategik dan Kualiti dapat

melengkapkan semua dokumentasi

berkaitan Sistem SACAD dan

BalanceScore Card bagi tujuan rujukan

serta panduan dalam mengatasi

masalah perpindahan staf pakar ke PTj

lain. Keperluan dokumentasi yang

lengkap yang terdiri daripada manual

sistem perlu diwujudkan oleh lain-lain

PTj yang mempunyai Sistem Sokongan

ICT.

5. KAWALAN KONTRAK / PERJANJIAN PEMBEKAL


5.1 Manual Pengguna Tidak Disediakan –

Sistem eClinic Dan SACAD

Auditan mendapati Sistem eclinic tidak

mempunyai manual pengguna. Manakala

manual pengguna sistem SACAD sedang

dibangunkan oleh Unit Pembangunan

a) Pihak PKU hendaklah menyediakan

manual pengguna secara berperingkat

atau meminta daripada pihak

pembekal untuk menyediakan manual

tersebut samada dalam bahasa

melayu atau bahasa ingerís. Dokumen

spefisikasi semasa pembelian



11/21

Sistem PTM.

Keadaan ini memerlukan tindakan segera

dari pihak terlibat bagi mengelakkan

berlakunya kesukaran untuk jangkamasa

panjang apabila berlaku pertukaran staf.

Tanpa adanya dokumen rujukan ianya

akan melambatkan banyak proses dan

menjadi tidak efisyen bila berlaku

ketidakfahaman penggunaan sistem.

hendaklah dirujuk mengenai keperluan

ini.

b) Unit Pembangunan Sistem PTM

hendaklah merangka tempoh

penyediaan manual sistem SACAD

supaya ianya dapat diseimbangkan

dengan beban tugas yang lain.

TINDAKAN :

Pihak PTM akan menyediakan manual

sistem dan akan diberikan kepada

pengguna.

5.2 Perkhidmatan Sokongan Teknikal Lewat

Diberikan Oleh Pembekal - Sistem

Author

Semakan sistem Author di Pusat

Pembangunan Akademik & Latihan (CAD)

mendapati pihak pembekal (Zamatel Sdn

Bhd) sangat lambat memberikan

maklumbalas atau bantuan teknikal apabila

diperlukan.

Situasi ini telah menyebabkan perjalanan

pembangunaan dan pengunaan Author

menjadi terjejas apabila berlaku perubahan

konfigurasi yang memerlukan tindakan

daripada pembekal.

Pihak CAD hendaklah mengambil tindakan

yang lebih drastik di dalam menyelesaikan

masalah ini.

a) Menggesa pihak Zamatel sdn Bhd

untuk segera memenuhi kesemua

tuntutan maslah teknikal tadi.

b) Menghantar surat rasmi kepada pihak

Zamatel Sdn Bhd untuk memaklumkan

keperluan sokongan teknikal segera

supaya Author dapat berfungsi dengan

optimum.

Perkara ini amat penting kerana sokongan

teknikal daripada pembekal sangat

diperlukan bagi memastikan kelancaran

penggunaan satu - satu sistem selepas

pembelian.

TINDAKAN :

Pihak PTM diminta menyediakan surat

pemakluman kepada syarikat berkenaan

yang ditandatangani oleh Y.Bhg Dato Naib

Canselor supaya tindakan sewajarnya

dapat diambil dalam memberikan bantuan

teknikal yang diperlukan.



12/21

5.3 Masalah Pelaporan Sistem (Statistik)

Dan Autoriti Mengubah Rekabentuk –

Sistem Author

Terdapat 2 keperluan sistem yang belum

diselesaikan oleh pihak pembekal sistem

Author iaitu :-

a) Kemudahan untuk mengeluarkan

statistik penggunaan Sistem Author.

b) Kemudahan untuk mengubah

rupabentuk sistem tanpa melalui

back-end proggraming.

Keadaan ini telah menyukarkan pihak CAD

untuk mendapatkan peratus penggunaan

secara terus dari sistem.

a) Pihak CAD hendaklah berhubung

dengan pihak pembekal Zamatel Sdn

Bhd bagi mendapatkan keperluan yang

masih belum diselesaikan iaitu

penjanaan statistik dan perubahan

rupabentuk sistem tanpa melalui

backend proggraming.

b) Di dalam masa yang sama, pihak CAD

juga perlu mengenalpasti masalah-

masalah lain yang sering berlaku untuk

diselesaikan bersama pihak pembekal.

TINDAKAN :

Pihak PTM diminta berhubung dengan

pihak CAD agar keperluan berkenaan isu

yang dibangkitkan dapat diselesaikan

segera oleh pembekal sebagaimana

dinayatakan di para 5.3

6. KAWALAN PERSEKITARAN FIZIKAL


6.1 Proses Backup

Proses backup di PTM dilaksanakan

dengan mengikut ketetapan samada

secara harian, mingguan dan bulanan.

Beberapa perkara dikenalpasti iaitu :-

a) Tiada dokumen proses backup secara

terperinci diwujudkan.

b) Ujian kebolehpercayaan data tidak

pernah dilaksanakan terhadap data

backup yang disimpan.

Situasi ini akan menimbulkan persoalan

a) Proses Backup perlu diberi perhatian

utama kerana ianya satu proses

penting bagi memastikan sistem IT

dapat beroperasi dengan baik selama

24 jam sehari dan melindunginya

daripada kehilanagn data.

b) Pihak PTM disarankan untuk

mendokumentasikan proses backup

secara berperingkat bagi setiap sistem

sokongan Universiti yang diselia.

c) Aktiviti pengujian terhadap fail backup

perlu dirancang bagi menjamin



13/21

samada backup yang dijalankan benar-

benar boleh digunakan dan membantu

sekiranya berlaku kecemasan.

kebolehpercayaan data yang disimpan

sebagai sokongan.

TINDAKAN :

Pihak PTM perlu menyediakan dokumen-

dokumen yang berkaitan dengan backup

sistem – sistem yang terlibat secara

berperingkat.

7. KAWALAN OPERASI BERTERUSAN


7.1 Pelan Tindakan Bencana (Disaster

Recovery Plan) Tidak Diwujudkan

Auditan mendapati tiada dokumen tindakan

bencana untuk ke semua sistem yang

diaudit disediakan. Sekiranya berlaku

masalah berkaitan sistem, pegawai

bertanggungjawab akan cuba

menyelesaikan masalah dengan sendiri

atau menghubungi pihak pembekal.

Sebarang bentuk tindakan penyelesaian

yang dikenalpasti belum didokumenkan

secara formal.

a) PTj yang terbabit hendaklah

berbincang dengan pihak pembekal

supaya dokumen Pelan Tindakan

Bencana yang terperinci dapat

disediakan.

b) Pelan ini juga harus disimulasikan

untuk melihat kepada

keberkesanannya. DRP ini amat

penting bagi memastikan semua

sistem dapat beroperasi secara

berterusan sekiranya berlaku masalah

teknikal.

TINDAKAN :

PTM diminta supaya mula merancang

secara berperingkat pelaksanaan Pelan

Tindakan Bencana ICT di UTHM dengan

mengambilkira pewujudan beberapa buah

kampus di luar Parit Raja.



14/21

8. KAWALAN APLIKASI DAN KESELAMATAN


8.1 Katalaluan Server

Semakan terhadap kawalan server yang

menempatkan sistem sokongan IT yang

diaudit menemui perkara-perkara berikut :-

a) Ke semua server yang menempatkan

sistem sokongan IT yang diaudit tidak

ditukar katalaluannya dengan

kekerapan 6 bulan sekali.

b) Hanya server yang menempatkan

sistem Author sahaja mempunyai

katalaluan bericirikan gabungan

simbol, nombor dan huruf.

Keadaan ini akan memudahkan pihak

penceroboh untuk mengodam server serta

sistem kesan kurangnya perhatian

terhadap ciri-ciri katalaluan.

a) PTM selaku pihak yang memantau dan

bertanggungjawab ke atas server di

Universiti hendaklah meningkatkan

tahap kawalan keselamatan server

terutamanya dalam aspek katalaluan.

b) Katalaluan memasuki server

hendaklah ditukar secara berkala

sekurag-kurangnya 6 bulan sekali.

c) Ciri-ciri katalaluan yang digunapakai

hendaklah ditingkatkan kawalannya

dengan menggabungkan simbol,

nombor dan huruf bagi menyukarkan

aktiviti pencerobohan.

TINDAKAN :

PTM diminta menyemak kembali

pengurusan katalaluan untuk semua server

di bawah seliaan PTM.

8.2 Katalaluan Sistem ICT Tiada Had

Cubaan

Had cubaan terhadap katalaluan ke dalam

sistem Author, SACAD dan Balance

Score Card tidak ditetapkan sebagai

kawalan keselamatan log masuk. Situasi

ini boleh membuka ruang kepada

pencerobohan apabila kesilapan

memasukkan katalaluan tidak disekat oleh

sistem. Berbanding sistem-sistem lain, had

kataluan sepatutnya diberi sebanyak 3 kali

sebagai langkah keselamatan.

Pihak CAD dan PPSK disarankan untuk

mengubah had cubaan katalaluan

kepada maksima 3 kali percubaan.

Sekiranya tiada akses untuk perubahan

tersebut, bantuan pembekal adalah

diperlukan untuk mengubah

konfigurasinya terlebih dahulu.

TINDAKAN :






15/21

8.3 Tiada Penyataan Peringatan Mengubah

Katalaluan

Auditan mendapati ke semua sistem yang

diaudit tidak meletakkan pernyataan

kepada pengguna untuk mengubah

katalaluan secara berkala. Keadaan ini

akan memberikan risiko ancaman

keselamatan penggodam dari luar ke

dalam id pengguna sistem.

a) Amalan yang terbaik ialah mengubah

katalaluan 6 bulan sekali ini bagi

menyukarkan pengodam dari luar

untuk cuba memasuki ke dalam sistem

IT.

b) Pentadbir sistem untuk semua sistem

yang terbabit hendaklah mengambil

tindakan untuk meletakkan pernyataan

bagi mengubah katalaluan 6 bulan

sekali. Ianya adalah sebagai langkah

berjaga-jaga di dalam menghadapi

sebarang kemungkinan di dalam aspek

keselamatan.

TINDAKAN :




8.4 Data Sistem Tidak Kemaskini – Sistem

Author

Data yang kemaskini adalah sangat

penting bagi menjamin ketepatan

keputusan satu-satu sistem ICT berfungsi

berdasarkan peranannya.

Hasil auditan yang dijalankan di Pusat

Pembangunan Akademik (CAD), sistem

Author seringkali menghadapi masalah

menerima data yang tidak kemaskini

daripada pangkalan data Sistem Maklumat

Pelajar (SMP). Ini disebabkan oleh

kelewatan pihak fakulti mengemaskini

maklumat ke dalam sistem SMP.

Kesannya, sistem Author menyimpan data-

data lama dan sukar untuk digunakan oleh

pensyarah.

a) Pihak CAD hendaklah merujuk dan

berbincang dengan pihak PPA supaya

tindakan susulan dapat dibuat dengan

berkesan.

b) Pihak fakulti perlu dimaklumkan

tentang kepentingan data yang

kemaskini setiap kali kemasukan

semester baru kerana ianya turut

memberi kesan kepada sistem-sistem

Universiti yang lain.

TINDAKAN :

Pusat Teknologi Maklumat perlu

mengambil tindakan susulan dan membuat

penyelarasan tindakan bersama pihak

CAD dan PPA agar masalah data tidak

dikemaskini tidak lagi berlaku di masa

hadapan..



16/21

Sebagai contoh, Senarai pelajar dan

kursus yang didaftarkan di dalam sistem di

bawah satu pensyarah tidak sama dengan

senarai nama yang sebenar dalam

semester tersebut.

8.5 Peratusan Penggunaan Sistem Masih

Rendah – Sistem Author

Kejayaan dalam proses

pengimplementasian sesuatu Sistem ICT

boleh digambarkan dengan melihat

sejauhmana peratusan penggunaannya.

Pada semester 2011/2012, jumlah

peratusan pensyarah yang menggunakan

Sistem Author ialah 40.06%. Ianya masih

ditahap yang rendah berbanding fungsi

sistem tersebut yang boleh dimanfaatkan

oleh seluruh warga universiti terutamanya

di dalam bidang akademik.

Situasi ini sebenarnya boleh diperbaiki

kerana penggunaan yang kurang ini akan

merugikan pengguna dan CAD.

Sila rujuk Lampiran A bagi melihat tahap

peratusan penggunaan sistem yang

berlaku.

Pihak CAD harus mengambil inisiatif bagi

mempromosikan penggunaan sistem

Author terutama di kalangan pensyarah

agar ia digunakan secara lebih meluas.

TINDAKAN :

Pihak CAD perlu menambahbaik aktiviti

mempromosikan penggunaan Sistem

Author dikalangan pensyarah UTHM ini

adalah kerana peratusan terkini sehingga

Mac 2013 yang dilaporkan oleh CAD ialah

masih tidak melebihi 50%.

8.6 Tiada Dokumen Had Akses Sistem -

SACAD

Auditan mendapati sistem SACAD tidak

mempunyai dokumen had akses ke dalam

sistem. Keadaan ini akan menyukarkan

proses pengurusan ke atas sistem yang

ada terutama bila berlaku pertukaran

pegawai bertanggungjawab.

Pihak PPSK hendaklah menyediakan

dokumen had akses ke atas sistem

SACAD ini. Ianya penting bagi

melancarkan serta melicinkan pengurusan

sistem setiap apabila diwujudkan dokumen

terperinci mengenai had akses sistem.



17/21

TINDAKAN :

Pihak Pusat Teknologi Maklumat harus

memaklumkan kepada Pejabat

Pengurusan Strategik dan Kualiti untuk

menyediakan dokumen yang berkaitan

bagi memudahkan pengurusan Sistem

SACAD.

9. KAWALAN ANTARAMUKA SISTEM


9.1 Masalah Teknikal Sistem

Sistem IT yang berfungsi dengan baik

adalah apabila ianya bebas dari sebarang

error. Ia penting bagi memastikan

kelancaran penggunaannya dan mencapai

objektif kewujudannya.

Ujian sistem yang dijalankan semasa

auditan mendapati Sistem Alat Tulis dan

Sistem eClinic (client based) mengeluarkan

paparan ralat (error) semasa ujilari.

a) Keadaan ini menunjukkan masih wujud

ruang yang perlu dibaiki yang

menggangu proses penggunaan

aplikasi sistem tersebut.

b) Ianya menyebabkan Sistem Alat Tulis

masih belum dapat digunakan

sehingga sekarang dan sistem eClinic

client based sering terganggu

penggunaannya.

a) Pihak Pejabat Bendahari perlu segera

berbincang dengan pihak PTM bagi

menyelesaikan masalah error yang

berlaku. Satu anggaran masa sistem

ini akan mula digunakan perlu

ditetapkan dengan mengambilkira

proses penambahbaikan yang masih

perlu dilaksanakan.

b) Pihak PKU hendaklah berbincang

semula dengan pihak pembekal bagi

memutuskan tindakan yang terbaik.

Ianya bagi mengelakkan masalah terus

berlanjutan dan secara langsung ia

dapat dioptimakan penggunaannya.

TINDAKAN :

PTM hendaklah mengambil perhatian

tentang perkara ini dan menyelesaikan

dengan kadar segera.



18/21

Sila rujuk Lampiran B dan Lampiran C

bagi melihat contoh-contoh ralat yang

berlaku.

10. RUMUSAN

Secara keseluruhannya, kawalan Sistem Sokongan ICT Universiti di bawah

seliaan Pusat Teknologi Maklumat berada di tahap yang baik meliputi aspek

kawalan perancangan, kawalan kontrak / perjanjian pembekal, kawalan

persekitaran fizikal, kawalan operasi berterusan, kawalan aplikasi dan

keselamatan dan kawalan antaramuka sistem. Terdapat beberapa perkara

yang dibangkitkan di dalam laporan ini perlu diberi perhatian untuk tindakan

penambahbaikan.

1. Pembeli dan pemilik Sistem Sokongan ICT (PTj berkaitan ) hendaklah

mula mengumpulkan kembali dokumen perancangan sistem dan

menfailkan secara teratur

2. Pihak PTM adalah dicadangkan untuk menambahbaik Polisi ICT

Universiti dengan memasukkan beberapa perkara mengenai Sistem

Sokongan ICT seperti polisi sebelum pembelian Sistem Sokongan ICT

oleh PTj , polisi penggunaan Sistem Sokongan dan lain – lain.

3. Pemilik , pembeli dan pembekal Sistem Sokongan perlu mempunyai

senarai bidang kuasa yang jelas dan didokumenkan.

4. Pihak Pejabat Bendahari mengambil beberapa langkah segera untuk

mempercepat perlaksanaan Sistem Permohonan Alat Tulis yang telah

tertangguh sejak 2003. Antaranya memohon pihak PTM segera



19/21

menyelesaikan kelemahan minor pada Sistem tersebut, mula

mendokumenkan carta alir terkini untuk kemudahan kedua belah pihak

membuat kemaskini proses dan juga mengujilari sistem.

5. Pihak Pusat Kesihatan Universiti harus mengambil beberapa tindakan

segera keatas Sistem eclinic webbased yang masih belum siap sejak

2010. Antaranya menggesa pembekal agar segera menyiapkan modul

webbased seperti yang diminta PKU dan merangka tindakan lain

sekiranya sistem webbased masih gagal disiapkan mengikut masa

yang telah ditetapkan.

6. Pihak Pejabat Pengurusan Strategik & Kualiti harus mewujudkan pelan

tindakan jangka pendek dan jangka panjang untuk perlaksanaan

Sistem BalanceScorecard. Selain itu KPI yang terkini harus diperlehi

segera daripada pihak atasan Universiti dan juga PPSK perlu mula

memikirkan untuk melebarkan penggunaan BSc kepada PTj lain di

UTHM.

7. Dalam mengatasi masalah pegawai yang sentiasa bertukar – tukar di

PPSK pegawai yang menjaga sistem BSc dan SACAD haruslah mula

membuat dokumentasi ke atas kedua sistem tersebut.

8. Pihak PKU juga hendaklah mula menyediakan manual pengguna atau

mendapatkan manual pengguna sistem eclinic sedia ada bagi

memudahkan pengguna sedia ada.

9. Pihak CAD hendaklah mengambil tindakan drastik bagi menyelesaikan

masalah yang berkaitan Sistem Author iaitu menggesa pihak Zamatel

segera menyiapkan baki tuntutan penambahbaikan dalam Author.

10. Pihak PTM hendaklah mula mendokumentasikan proses backup yang

dijalankan keatas server yang di bawah seliaan PTM.



20/21

11. Semua PTj yang berkaitan menjaga Sistem harus mula berbincang

dengan pembekal untuk mewujudkan Pelan Tindakan Bencana yang

mana sehingga kini belum pernah diberikan.

12. PTM yang memantau server Sistem Sokongan harus mengamalkan

penukaran katalaluan akses server minimum 6 bulan sekali.

13. Pihak CAD dan PPSK disarankan untuk mengubah had cubaan

katalaluan maksima 3 kali percubaan. Ini untuk mengelakkan serangan

pengodam dari luar.

14. Pihak PTM harus menyarankan kepada semua pemilik Sistem agar

pada Sistem Sokongan berkaitan diletakkan pernyataan untuk

menukar katalaluan 6 bulan sekali.

15. Untuk mengatasi masalah data tidak kemaskini dalam Sitem Author

pihak CAD hendaklah merujuk dan berbincang dengan pihak PPA agar

pengemaskinian segera maklumat SMP dapat dibuat di peringkat

fakulti sebelum semester bermula.

16. Pihak PPSK perlu menyediakan dokumen senarai had akses sistem

oleh pegawai berkaitan di PPSK.

17. Masalah teknikal / eror yang masih wujud dalam Sistem Permohonan

Alat Tulis dan eclinic harus segera diselesaikan oleh pembangun

sistem / pembekal masing – masing.



21/21

AUDITAN SISTEM SOKONGAN UNIVERSITI 2013uad.uthm.edu.my/v2/dokumenauditan/.../laporan_auditan_sistem_sokongan.pdf · Sokongan ICT Universiti adalah aplikasi komputer yang dibeli dari

Documents

AUDITAN SISTEM SOKONGAN UNIVERSITI 2013uad.uthm.edu.my/v2/dokumenauditan/.../laporan_auditan_sistem_sokongan.pdf · Sokongan ICT Universiti adalah aplikasi komputer yang dibeli dari