Laporan Keseluruhan AUDIT DALAMAN...
Transcript of Laporan Keseluruhan AUDIT DALAMAN...
-
AUDIT DALAMAN
2019Universiti Malaysia Terengganu
Laporan Keseluruhan
BERSEPADU
-
AUDIT DALAMAN BERSEPADU 2019
Pengauditan: 25 Jun hingga 17
Julai 2019
Penyediaan Laporan: 18 – 24 Julai
2019
TEMPOH AUDIT
PROSES PENGAUDITAN
38 PTj/entiti 87 prosedur kerja 31 Arahan Kerja 5 Statement of Applicability (SoA) 28 program prasiswazah 4 program Sarjana Kerja Kursus 34 bidang Sarjana dan Doktor Falsafah
(Penyelidikan)
32 Auditor QMS
26 Auditor ISMS
23 Auditor AQ
PASUKAN AUDITOR DALAMAN
KETUA AUDITOR DALAMAN
Ketua Auditor Keseluruhan : Prof. Madya Dr.
Zalailah binti SallehKetua Auditor QMS: En. Mohd Nor Shokri Bin Hj.
Abd. RahmanKetua Auditor ISMS: Prof. Ts. Dr. Noor Maizura binti
Mohamad NoorKetua Auditor Kualiti Akademik: Prof. Madya Dr.
Rosliza binti Mat Zin
-
AUDIT DALAMAN BERSEPADU 2019
Laporan Audit DalamanSistem Pengurusan Kualiti QMS
2019Universiti Malaysia Terengganu
-
Pasukan Auditor QMS
KUMPULAN NAMA
QMS 1
En. Mohd Nor Shokri Bin Hj. Abd. RahmanPn. Zahirah Bt. A. Razak En. Ahmad Azhar Bin Che AliEn. Masri Muda
QMS 2
Mohd Ruhaifi bin Alias
En. Mahamad Nasir Bin AbdullahEn. Mohd Hamizi bin AliasSharifah Akmal Binti Syed Abd Rahman
QMS 3
Pn. Shaharul Suhaila Bt. IsmailProf. Madya Dr. Ong Meng ChuanDr. Siti Nor Khadijah Bt. AddisPn. Desy Fitrya Bt. Syamsumir
QMS 4
Prof. Madya Dr. Kesaven A/L Bhubalan Pn. Rabiatul Addawiyah Hanim Bt Mohd RosliPn. Solihah Bt. AhmadDr. Razak bin Zakariya
QMS 5
Prof. Madya Dr. Mohd Hassan Che HaatEn. Amir Abdul Bin Khalik Dr. Shalela Bt. Mohd MahaliTn. Sayed Mohd Tamimuddin Sayed Ibrahim
KUMPULAN NAMA
QMS 6Prof. Madya Dr. Che Hasniza Bt. Che NohTn. Syed Mohammad Helmy Bin Md. AkhirDr. Ramisah Bt. Mohd Shah
QMS 7PM Dr. Roshaiza Bt. TahaDr. Nor Raihan Bt. MohamadEn. Mohamad Jamil Rasyidi Bin Mohd Ramlan
QMS 8Pn Salwati Bt. Mohamad @ Asmara Pn. Zuraifah Bt. MamatPn. Norasiah binti Mohamad
QMS 9En. Mohd Riduan bin Mohamed RakhazaliDr. Mohd Saiful Izwaan bin SaadonPn. Fatimah Salim
Ketua Auditor: En. Mohd Nor Shokri Bin Hj. Abd. Rahman
AUDIT DALAMAN BERSEPADU 2019
-
Pelaksanaan Keseluruhan SPK ISO 9001:2015 UMT
Konteks Organisasi
Kepimpinan
Sistem Dokumentasi
Dashboard Risiko
Persekitaran Kerja
Sistem Pengurusan Kualiti QMS
Laporan Penemuan Audit
AUDIT DALAMAN BERSEPADU 2019
-
Sistem Pengurusan Kualiti QMSKategori PenemuanAudit
30• 1 Major
• 29 Minor
LaporanKetidakpatuhan(Non-Conformity
Report)
NCR88
PeluangPenambahbaikan
(Opportunity for Improvements)
OFI
AUDIT DALAMAN BERSEPADU 2019
Bil. Prosedur Keperluan Standard Penemuan
1 PengendalianAmali
(UMT/SPK/PK/PP-02)
7.13 Organisasi hendaklah menetukan , menyediakan dan memyelenggarakan prasarana
yang diperlukan untuk operasi prosesnya dan untukmencapai keakuran produk dan perkhidmatan7.1.4 Organisasi hendaklah menentukan, menyediakan dan menyelenggarakan persekitaranyang diperlukan untuk operasi prosesnya dan untukmencapai keakuran produk dan perkhidmatan.
Persekitaran makmal berbau bahankimia, panas, tidak selamat dan tidak
kemas.
-
AUDIT DALAMAN BERSEPADU 2019
Laporan Audit Dalaman
2019Universiti Malaysia Terengganu
Sistem Pengurusan
Keselamatan Maklumat ISMS
-
Pasukan Auditor ISMSKetua Auditor: Prof. Ts. Dr. Noor Maizura binti Mohamad Noor
KUMPULAN SENARAI AUDITOR
ISMS 1
Prof. Ts. Dr. Noor Maizura binti Mohamad Noor
Ts. Dr. Rosmayati binti Mohemad
Ts. Dr. Wan Nural Jawahir binti Wan Yussof
Dr. Farizah binti Yunus
En. Rahim bin Ngatman
ISMS 2
Tn. Hj. Al Muzmi bin Abd. Hamid
Prof. Madya Dr. Nor Azman bin Kasan
Pn. Suriani binti Ibrahim
Pn. Nur Asniza binti Aziz
Pn. Juraini binti Jolan
ISMS 3
Cik Noni Noraikhah binti Md Yusoff
Dr. Chee Chew Seng
En. Julius Yong Fu Siong
Pn. Shaharul Suhaila binti Ismail
Dr. Masha Nur Salsabiela binti Menhat
KUMPULAN SENARAI AUDITOR
ISMS 4
Mohd Nor Azlan B. Ruyob @ Ayub
Dr. Nur Haiza binti Muhammad Zawawi
Dr. Ng Lee Chuen
Dr. Nurmahani binti Datuk Mohd Maidin
Pn. Wan Najiah binti Wan Muhammad
Pn. Norhayati binti Ab. Manaf
ISMS 5
Pn. Rosnaidi binti Jusoh
Prof. Madya Dr. Zalailah binti Salleh
Pn. Tengku Nuriah binti Tengku Abdul Rahman
Dr. Samsuri bin Abdullah
Dr. Fatimah Noor binti Harun
AUDIT DALAMAN BERSEPADU 2019
-
• Warga UMT
• Pemilik Sistem
• Pembangun Sistem
Laporan Kaji Selidik Terhadap Keselamatan Maklumat
Konteks Organisasi
Kepimpinan
Perancangan Termasuk Profil Risiko dan Peluang
Laporan Penemuan Audit
Sistem Pengurusan Keselamatan Maklumat ISMS
AUDIT DALAMAN BERSEPADU 2019
-
Kategori PenemuanAudit
33• 8 Major
• 25 Minor
LaporanKetidakpatuhan(Non-Conformity
Report)
NCR 25
Peluang Penambahbaikan
(Opportunity for Improvements)
OFI
Sistem Pengurusan Keselamatan Maklumat ISMS
AUDIT DALAMAN BERSEPADU 2019
-
Bil. NCR Standard NCR1 K 4.3 Minor2 K 6.1.2 Minor3 K 6.1.3 Major4 A 6.1.5 Minor5 A 7.1.1 Minor6 A 7.2.2 Minor7 A 7.3.1 Minor8 A 8.1.2 Minor9 A 8.2.1 Major
10 A 8.2.2 Major11 A 8.2.3 Major12 A 8.3.3 Major13 A 9.1.1 Minor14 A 9.2.6 Minor15 A 9.3.1 Minor16 A 9.4.2 Major17 A 9.4.3 Minor18 A 11.1.1 Minor19 A 11.1.2 Major20 A 11.1.3 Minor21 A 11.1.4 Minor22 A 11.2.1 Minor23 A 11.2.3 Minor24 A 11.2.7 Minor25 A 11.2.9 Minor26 A12.3.1 Minor27 A12.4.4 Minor28 A12.5.1 Minor29 A 14.1.2 Minor30 A 15.1.2 Minor31 A 16.1.1 Major32 A 16.1.2 Minor33 A 18.1.4 Minor
Bil. Keperluan Standard Penemuan
1 6.1.3 Penguraian risikokeselamatan maklumatd) mengemukakan penyatapemakaian Statement of Applicability (SoA)
Hampir semua Dokumen SOA tidak lengkap dan tidak menepati isi kandungan yang sepatutnya. Terdapat dasar-dasar yang perlu diikuti oleh staf diletakkan sebagaidikecualikan dari perlaksanaan.
Temu bual bersama dengan Puan Rosnaidi Jusoh, pengawal dokumen PPTM mendapatitiada polisi untuk telekerja.
Kawalan Annex A.6.2.2 Teleworking tidak boleh dikecualikan dari pelaksanaan kerana penggunaan e-mel dari luar kampus, telekonferensi, bekerja dari luar kampus denganakses kepada MyNemo melambangkan kawalan tersebut diperlukan. Kawalan Annex A.5.1.1 Polisi Keselamatan Maklumat tidak boleh dikecualikan dari PTJ kerana PTJ termaktub dalam pelaksanaan ISMS mengikuti dasar yang dipersetujui.
2 Keperluan Standard: 8.1 – Perancangan dan KawalanOperasiA 8.2.1 Pengkelasan Maklumat
Maklumat hendaklah dikelaskanberdasarkan keperluan undang-
undang, nilai, tahap kritikal dan sensitiviti terhadap pendedahanatau pengubahsuaian yang tidakdibenarkan.
Didapati tiada sebarang Prosedur klasifikasi pengelaskan maklumat yang dibangunkanoleh pengurusan UMT yang menyebabkan semua dokumen di UMT tidak dikawal dan dilindungi secara sistematik. Hampir semua staf yang ditemubual tidak pasti bagaimanauntuk melabel dan klasifikasi rekod-rekod UMT.
3 8.1 – Perancangan dan KawalanOperasi8.2.2 Pelabelan Maklumat
Set prosedur yang sesuai untukpelabelan maklumat hendaklahdibangunkan dan dilaksanakanmenurut skim pengelasanmaklumat yang diterima pakaioleh organisasi.
Hampir semua fail dan maklumat di PTJ tidak dilabelkan dengan tepat berdasarkantahap keselamatan ke atas maklumat tersebut. Didapati tiada sebarang ProsedurPelabelan Maklumat yang dibangunkan oleh pengurusan UMT yang menyebabkansemua dokumen di UMT tidak dikawal dan dilindungi secara sistematik. Hampir semua stafyang ditemubual tidak pasti bagaimana untuk melabel maklumat dan rekod-rekod UMT.
Major NCR
-
Bil. NCR Standard NCR
1 K 4.3 Minor2 K 6.1.2 Minor3 K 6.1.3 Major4 A 6.1.5 Minor5 A 7.1.1 Minor
6 A 7.2.2 Minor7 A 7.3.1 Minor8 A 8.1.2 Minor9 A 8.2.1 Major
10 A 8.2.2 Major11 A 8.2.3 Major12 A 8.3.3 Major13 A 9.1.1 Minor
14 A 9.2.6 Minor15 A 9.3.1 Minor16 A 9.4.2 Major17 A 9.4.3 Minor18 A 11.1.1 Minor19 A 11.1.2 Major20 A 11.1.3 Minor21 A 11.1.4 Minor
22 A 11.2.1 Minor23 A 11.2.3 Minor24 A 11.2.7 Minor25 A 11.2.9 Minor26 A12.3.1 Minor27 A12.4.4 Minor28 A12.5.1 Minor29 A 14.1.2 Minor
30 A 15.1.2 Minor31 A 16.1.1 Major32 A 16.1.2 Minor33 A 18.1.4 Minor
Bil. Keperluan Standard Penemuan
4 8.1 – Perancangan dan Kawalan OperasiA 8.2.3 Pengendalian Aset
Prosedur pengendalian aset hendaklahdibangunkan dan dilaksanakan menurutskim pengelasan maklumat yang diterimapakai oleh organisasi.
Pergerakan Fail dan rekod-rekod UMT yang mengandungi maklumat-maklumatUMT didapati tidak dikendalikan mengikut kaedah yang sistematik. Ini kerana tiadasebarang Prosedur pengendalian aset yang mempunyai maklumat oleh pengurusan UMT dan menyebabkan semua dokumen di UMT tidak dikawal, dilindungi dan dilupuskan dengan baik. Hampir semua staf yang ditemubual tidakpasti bagaimana untuk mengendalikan rekod-rekod UMT semasa maklumatdigunakan atau dipindahkan.
5 8.0 Perancangan dan kawalan operasi
8.3.3 Pemindahan Media FizikalMedia yang mengandungi maklumathendaklah dilindungi daripada aksestanpa izin, penyalahgunaan ataukerosakan semasa pengangkutan.
Semasa perpindahan bahan-bahan bermaklumat yang perlu dilindungi, tiada
kaedah yang sistematik untuk memastikan semua maklumat dilindungi dan dikawal dari kerosakan, diakses tanpa izin serta dibocorkan.
6 8.1 – Perancangan dan Kawalan Operasi
9.4.2 Prosedur log masuk yang selamatJika dikehendaki oleh dasar kawalanakses, akses kepada sistem dan aplikasihendaklah dikawal oleh prosedur log masuk yang selamat.
1. Sistem e-meeting menggunakan kata laluan yang sama untuk log masuk kesistem MyNemo. Sistem tersebut perlu ada kata laluan tambahan kerana mengandungi dokumen sulit seperti minit mesyuarat, data-data staf dan lain-lain.
2. Tiada kata laluan dimasukkan ke dalam PC staf. Tiada pengawasan dan penguatkuasaan yang dijalankan oleh pihak berkuasa mengenai prosedur log masuk bagi mematuhi Dasar dan Peraturan ICT UMT.
7 8.1 Perancangan dan kawalan operasi11.1.2 Kawalan kemasukan fizikal
Kawasan selamat hendaklah dilindungioleh kawalan kemasukan yang sesuaibagi memastikan kakitangan yang diberikebenaran sahaja dibenarkan masuk.
Tiada kawalan yang jelas tentang kawalan kemasukan fizikal ke atas kawasanyang ditakrifkan sebagai kawasan larangan atau kawasan yang dilindungi kerana mempunyai maklumat dan kemudahan pemprosesan maklumat yang sensitiveatau kritikal.
8 9.3 Kajian semula pengurusan16.1.1 Tanggungjawab dan prosedurTanggungjawab pengurusan dan
prosedur hendaklah diwujudkan bagimemastikan tindak balas yang cepat, berkesan dan teratur terhadap insidenkeselamatan maklumat.
Pengurusan risiko dan pelan kesinambungan tidak diperjelaskan kepada staf yang terlibat. Keperluan kepada semua staf bagi memastikan semua tindak balasterhadap insiden keselamatan maklumat dapat dilaksana dengan sistematik dan
berkesan.
Major NCR
-
AUDIT DALAMAN BERSEPADU 2019
Laporan Audit DalamanKualiti Akademik AQ
2019Universiti Malaysia Terengganu
-
Pasukan Auditor AQKetua Auditor: Prof. Madya Dr. Rosliza binti Mat Zin
KUMPULAN SENARAI AUDITOR
AQ 1
Dr. Nur Asma binti Ariffin
Dr. Nurul Ulfah binti Karim
Dr. Rumeaida binti Mat Piah
AQ 2
Prof. Madya Dr. Rosliza binti Mat Zin
Prof. Madya Dr. Akmalia binti Mohamad Ariff
Prof. Madya Dr.Nurul Hayati binti Idris
AQ 3
Dr. Nurul Adyani binti Ghazali
En. Masduki bin Mohamad Morni
Dr. Wan Zaliha binti Wan Sembok
AQ 4Dr. Azza Jauhar binti Ahmad Tajuddin
Dr. Siti Falindah binti Padlee
KUMPULAN SENARAI AUDITOR
AQ 5
Dr. Azwani binti Alias
Dr. Ilyani binti Abdullah
Dr. Wan Mohd Rauhan bin Wan Hussin
Dr. Siti Nazilah binti Mat Ali
AQ 6
Ts. Dr. Rosmayati binti Mohemad
Dr. Faridah binti Yahya
Ts. Dr. Wan Nural Jawahir Binti Wan Yussof
AQ 7
Prof. Madya Dr. Mazidah Bt Mamat
Dr. Yusnita binti Hamzah
Dr. Suriani binti Mat Jusoh
AQ 8Dr. Siti Nurtahirah binti Jaafar
Dr. Siti Kamilah binti Che Soh
AUDIT DALAMAN BERSEPADU 2019
-
Programme Delivery
Assessment of Student Learning
Student Selection and Support Services
Academic Staff
Educational Resources
Programme Management
Programme Monitoring, Review and Continual Improvement
AUDIT DALAMAN BERSEPADU 2019
Laporan PenemuanAudit Kualiti Akademik AQ
-
Kategori PenemuanAudit
2 Major
LaporanKetidakpatuhan(Non-Conformity
Report)
NCR 9
PeluangPenambahbaikan
(Opportunity for Improvements)
OFI
Sub. Klausa/
DokumenKetidakpatuhan Catatan
Area 1: Program
Delivery
Dokumen berkaitan program (pernyataan PEO, PLO,
mapping) tidak diselaras dan dikemaskini.
Pengerusi Program, TDA
bagi sesetengah program
pascasiswazah.
Area 2: Assessment of
Student Learning
Dokumen berkaitan PdP tidak dikemaskini dan
sesetengah dokumen penilaian tidak jelas, malahan
ada yang tiada dalam fail.
Pensyarah Kursus
Kualiti Akademik AQ
AUDIT DALAMAN BERSEPADU 2019
-
Sub. Klausa/
DokumenCadangan Penambahbaikan (OFI) Catatan
Area 1: Program
Delivery
a) Pengerusi Program dan pensyarah perlu menghadiri kursus OBE dari semasa ke
semasa bagi meningkatkan kefahaman berkaitan Constructive Alignment dan
juga lain-lain latihan bagi menambahbaik proses PdP dan penilaian kursus.
b) Penyelarasan dokumen berkaitan perlu dibuat di peringkat pusat pengajian
bagi memastikan konsistensi di antara program.
c) JK Kualiti di peringkat PP perlu diberi mandat untuk lebih proaktif dalam
menyelaras aktiviti berkaitan kualiti akademik PP, bukan bergantung
sepenuhnya kepada PPPKA.
PPBI untuk mewajibkan kehadiran ke kursus
berkaitan OBE, IR4.0 atau lain-lain yang
berkaitan dengan PdP kepada semua
pensyarah, terutama kepada Pengerusi
Program.
Area 2: Assessment of
Student Learning
Penyelarasan kaedah penilaian, PdP dan LO mesti dipantau dan laporan CQi
perlulah disemak dan dipantau oleh PP pada setiap awal dan akhir semester.
PP perlu Program Monitoring perlu
mengambilkira CQi dan penambahbaikan
yang dicadangkan.
Area 3: Student
Selection and Support
Services
Dicadangkan database alumni program dibentuk dan hubungan (practitioner)
perlu dibuat dengan lebih baik supaya program mendapat maklumbalas dan
sokongan bagi tujuan penambahbaikan program, terutama dari aspek kos
penganjuran aktiviti pelajar.
Database alumni program berkaitan perlu
dikemaskini dan hubungan baik dapat dijaga
(untuk penambahbaikan Area 6).
Area 4: Academic Staff Dokumen berkaitan kelayakan, kepakaran dan prestasi kecemerlangan pensyarah
perlu dikemaskini dan diselaraskan dengan baik melalui system online dan dapat
diakses secara ‘real time’.
PPTM - Database pencapaian prestasi (KPI)
perlu real time dan dapat dihubungkan
dengan system lain yang berkaitan – tidak
perlu kemaskini setiap satu.
Area 5: Educational
Resource
Sumber dana terutama disalurkan dengan konsisten kepada institut penyelidikan
bagi memastikan sentiasa ada kajian penyelidikan yang dibuat bagi mengekalkan
kelestarian program dan institute berkaitan.
RMIC perlu menyelaraskan peruntukan dana
bagi menggalakkan pengambilan pelajar
pascasiswazah di institut berkaitan.
Area 6: Programme
Management
Menyelaraskan aktiviti berkaitan pengurusan akademik dan penambahbaikan bagi
manfaat UMT secara keseluruhan. Contoh di PPKK sistem log/reflection untuk
program mentor-mentee.
PPPKA perlu menyelaraskan semua
inisiatif/amalan baik yang boleh digunapakai
di peringkat program atau pusat pengajian
bagi kecemerlangan akademik di UMT secara
keseluruhan.
Area 7: Programme
Monitoring, Review and
Continual Improvement
Persediaan menyeluruh bagi semakan semula program dan memastikan fungsi JK
Kualiti/OBE di peringkat PP dapat diberi mandat dan mengawalselia dengan baik
setiap program yang ditawarkan.
Pusat Pengajian - Sijil akreditasi program perlu
dipamerkan.
-
AUDIT DALAMAN BERSEPADU 2019
Hal-Hal Lain:
• Penamaan semula JK Penjaminan Kualiti PTj (selaras dengan penjajaran struktur
baharu UMT bermula 1 Ogos 2019).
Makluman Tarikh-Tarikh Penting
• Tempoh tindakan pembetulan & penambahbaikan oleh PTj : 25 Julai – 13 Ogos 2019 (10 hari bekerja)
• Audit Susulan: 15 – 20 Ogos 2019 (4 hari bekerja)
• Mesyuarat JK Kualiti UMT (Khas) : Kajian Semula Pengurusan - 18 Ogos 2019
• Audit Pematuhan & Peluasan Skop : 26 – 29 Ogos 2019