Vorderingsvraag / Progress question

A-9 50 marks

Your client, Cowboys and Crooks, has just computerised its debtors and creditors
systems. For this purpose the management of the company recently established a
department known as the IS department (Information Systems).

The organisational structure of the IS is at present as follows:

IS manager

Programmer Control clerk Librarian

Entry clerks

There are three computer terminals in the IS department that are linked online to the
mainframe computer in the office of the IS manager, Clint Westwood. Mr Westwood
is responsible for appointing new staff members after interviews have been
conducted with them, as well as for solving problems that arise within the IS
department.

Bud Spender is the programmer for Cowboys and Crooks. The following job
description appears in the employment contract of programmers:

 preparation of systems specifications for new systems (when required);

 changes/adjustments to the existing system on the basis of telephonic
requests from the users of the system;
 designing and testing new systems and program changes; and
 writing and updating manuals and program documentation.

John Dwayne acts as control clerk. He receives all data for input and processing
from the user departments. He also hands the day's printouts and other output
documents to the messenger at the end of each day, who then takes this to the
appropriate departments.

Terence Kill is the librarian. Terence stores all data files of Cowboys and Crooks by
locking them in the safe at the end of each day, after he has walked through the
whole department and collected all disks. When Bud Spender's work load is too
great, Terence also acts as assistant programmer. Billy and Shane are the two
capturing clerks. They prepare data for computer processing and enter the data.

Mr Westwood wants to appoint a number of new staff members in his department in

the near future. He has approached you to help him with the preparation of standard
procedures to ensure that good personnel practices are present in the IS department
at all times.
Vorderingsvraag / Progress question

REQUIRED

1 Identify, with reference to the available information, the weaknesses in the

general IS controls of Cowboys and Crooks. (13)

2 Comply with Mr Westwood's request. (16)

3 Discuss the controls to could be introduced to prevent and detect

unauthorised access to the computers, software and data. (21)
Vorderingsvraag / Progress question

A-9 50 punte

U kliënt, Cowboys en Crooks, het pas hulle voorraad-, debiteure en krediteure stelsels
gerekenariseer. Vir hierdie doel het die bestuur van die maatskappy onlangs 'n afdeling
tot stand gebring wat bekend staan as die RIS-afdeling (Rekenaar
Inligtingstelselsafdeling).
Die organisasiestruktuur van die RIS-afdeling sien tans soos volg daaruit:

RIS-bestuurder

Programmeerder Kontroleklerk Bibliotekaris

Invoerklerke

Daar is 3 rekenaar terminale binne die RIS-afdeling, wat intyds gekoppel is aan die
hoofraamrekenaar in die RIS-bestuurder, Clint Westwood, se kantoor. Meneer
Westwood is verantwoordelik om nuwe personeellede aan te stel, nadat onderhoude
met die aansoekers gevoer is, asook om alle probleme wat binne die RIS-afdeling
ontstaan, op te los.

Bud Spender is Cowboys en Crooks se programmeerder. Die volgende

posbeskrywing kom voor in die aanstellingskontrak van programmeerders:
 die opstel van stelselspesifikasies vir nuwe stelsels (wanneer nodig);
 veranderinge/aanpassings aan die bestaande stelsel op grond van telefoniese
versoeke vanaf die gebruikers van die stelsel;
 die ontwerp en toets van nuwe stelsels en programveranderinge; en
 die skryf en opdateer van handleidings en programdokumentasie.

John Dwayne tree op as kontroleklerk. John ontvang alle data vir invoer en
verwerking vanaf die gebruikersafdelings. Hy oorhandig ook aan die einde van elke
dag die betrokke dag se drukstukke en ander uitvoerdokumente aan die bode, wie
dit dan na die toepaslike afdelings neem.

Terence Kill is die bibliotekaris. Terence bewaar alle datalêers van Cowboys en
Crooks deur dit aan die einde van elke dag in die kluis toe te sluit, nadat hy deur die
hele afdeling gestap het en alle stiffies gekollekteer het. Wanneer Bud Spender se
werkslading te veel is, tree Terence ook as hulp-programmeerder op. Billy en Shane
is die twee invoerklerke. Hulle berei data voor vir rekenaarverwerking en sleutel die
data in.

Meneer Westwood wil binnekort 'n hele aantal nuwe personeel binne sy afdeling
aanstel. Hy het u genader om hom behulpsaam te wees met die opstel van
standaardprosedures om te verseker dat goeie personeelpraktyke deurentyd binne
die RIS-afdeling toegepas word.
Vorderingsvraag / Progress question

VERLANG

1. Identifiseer, met verwysing na die beskikbare inligting, die swakhede in die

algemene RIS-kontroles van Cowboys en Crooks. (13)

2. Voldoen aan meneer Westwood se versoek. (16)

3. Bespreek die kontroles wat ingestel kan word om ongemagtigde toegang tot die
rekenaars, sagteware en data te voorkom en op te spoor. (21)
Vorderingsvraag / Progress question

A-9 50 punte

1 SWAKHEDE IN ALGEMENE EDV-KONTROLES

 Behalwe vir die voer van onderhoude deur die EDV-bestuurder, wil dit
voorkom asof daar 'n gebrek is aan formele en behoorlike
aanstellingsprosedures.

 Die programmeerder ontwerp en toets nuwe stelsels en

programveranderinge. Daar is duidelik 'n gebrek aan 'n formele
stelselontwikkelingsmetodologie waarin pligte geskei en verantwoordelikhede
vasgepen word. (2)

 Versoeke vir programveranderinge vind telefonies plaas - daar is geen

skriftelik magtiging of onafhanklike ondersoek na die nodigheid, die koste,
ensovoorts, van sodanige veranderinge nie. (2)

 Die kontroleklerk voer geen prosedure/toetse/kontroles uit oor die data wat vir
invoer ontvang word, die verwerkingsproses self en die resultate van
verwerking (uitvoerdokumentasie) nie. (2)

 Die volgende probleme rakende skeiding van funksies bestaan:

o Programmering en stelselontleding: Bud Spender, die programmeerder,

is ook verantwoordelik vir stelselontledingsfunksies, naamlik die opstel
van stelselspesifikasies en die skryf en opdatering van handleidings en
programdokumentasie. (2)

o Daar blyk geen duidelike onderskeid te wees tussen stelsel- en

toepassingsprogrammering nie.

o Beheer oor data en dokumentasie en programmering: Die bibliotekaris

tree ook op as hulp-programmeerder.

 Dit blyk dat die bibliotekaris slegs data lêers bewaar en nie ook die ander
sagteware (toepassings- en stelselprogramme) en stelseldokumentasie van
Cowboys en Crooks nie.

 Dit wil voorkom asof die biblioteekfunksie informeel plaasvind - die

bibliotekaris stap deur die hele afdeling en kollekteer alle stiffies. Daar is dus
'n gebrek aan die formele magtiging en kontroles oor die uitreik en
terugontvang van datalêers. (2)
puntetoekenning : 1 punt per swakheid, tensy waar anders aangedui maksimum 13

2 PROSEDURES VIR GOEIE PERSONEELPRAKTYKE

 Die personeelpraktyke moet skriftelik wees en vervat wees in 'n formele

handleiding. Handleidings moet vryelik beskikbaar wees en praktyke moet
gereeld hersien word. (2)
Vorderingsvraag / Progress question

 Cowboys en Crooks moet 'n formele aanstellingsbeleid hê wat moet verseker

dat slegs eerlike en bevoegde personeel aangestel word. Dit behels die
volgende:

o die voer van onderhoude met aansoekers;

o aanlegtoetse wat afgelê word;
o agtergrondstudies wat gedoen word;
o bewyse van bevoegdheid wat ondersoek word, en
o verwysings wat gekontak word. (3)

 Skedulering van personeel moet plaasvind. Persone moet aan spesifieke

take/projekte toegewys word. (1)

 Verlof: Spesiale reëlings moet getref word wanneer persone met vakansie- of
siekverlof is en persone moet aangemoedig word om gereeld verlof te neem.
(2)

 Pligte moet gereeld geroteer word om kruisopleiding te bewerkstelling en

verveeldheid te voorkom. (1)

 Skeiding van pligte en kennis moet egter deurentyd in gedagte gehou word
wanneer rotasie van pligte plaasvind. (1)

 Loopbaanbeplanning moet vir personeel gedoen word. Erkenning moet gegee

word vir goeie werk. Personeel moet deurentyd gemotiveerd en suksesvol
voel. Persone moet op grond van hul prestasie bevorder word. (2)

 Deurlopende evaluasie van werk deur personeel gedoen, moet plaasvind,

byvoorbeeld die volume werk verrig, die kwaliteit werk verrig, ensovoorts. (1)

 Voortgesette opleiding moet aan personeel verskaf word. Hulle moet op

toepaslike kursusse, seminare, ensovoorts gestuur word. (1)

 Bestuur moet by personeel 'n positiewe ingesteldheid teenoor interne beheer

en kontroles kweek, deur beheermaatreëls in te stel en personeel behoorlik
op te lei in die gebruik daarvan. Bestuursbeleid moet konsekwent toegepas
word en die werking van beheermaatreëls moet gemonitor word. Bestuur
moet 'n voorbeeld stel vir personeel. (3)

puntetoekenning: soos aangedui maksimum 16

3 KONTROLES WAT ONGEMAGTIGDE TOEGANG SAL VOORKOM EN

OPSPOOR

 'n Formele, skriftelike beleid dat slags gemagtigde persone terminale mag
gebruik en dat streng opgetree sal word teen ongemagtigde gebruikers van
terminale. Hierdie beleid moet aan alle personeel deurgegee word. (1)
Vorderingsvraag / Progress question

 Daar moet spesiale sekuriteitsmaatreëls in werking wees by die EDV-

afdeling, en ook spesifiek meneer Westwood se kantoor:

o die deure moet deurentyd gesluit wees as die rekenaarterminale nie

gebruik word nie, en wanneer meneer Westwood sy kantoor verlaat; (1)
o slegs gemagtigde gebruikers moet toegang tot sleutels vir die kantore
hê; (1)
o die rekenaar terminale self moet gesluit wees wanneer dit nie gebruik
word nie (fisiese terminaalslotte); (1)
o die terminale moet geplaas word op sigbare, opvallende plekke waar dit
nie weggesteek is nie, sodat 'n ongemagtigde persoon wat op 'n
rekenaar werk maklik raakgesien kan word. (1)

 Daar mag slegs binne besigheidsure toegang tot die stelsel verkry word - na-
ure moet toegang beperk word deur die gebruik van alarms en/of
sekuriteitswagte. (2)

 Magtigingstabelle moet gebruik word wat verseker dat : (1)

o data slegs ingevoer kan word vanaf sekere terminale; (1)

o sekere lêers slegs gelees kan word, terwyl na ander geskryf kan word;
(1)
o geen toegang tot sekere programme en lêers vanaf sekere terminale
verkry kan word nie. (1)

 Wagwoordbeheer moet toegepas word wanneer toegang tot 'n terminaal en

die stelsel verkry word:

o die terminale moet slegs gebruik kan word as die korrekte wagwoord
gebruik word;
o daar moet behoorlike kontrole oor wagwoorde te wees: personeel moet
ingelig word oor die belangrikheid van geheimhouding van wagwoorde;
o wagwoorde moet met sorg gekies word en nie vir die gemak waarmee
dit onthou kan word nie: geboortedatums en identiteitsnommers mag
byvoorbeeld nie gebruik word nie;
o wagwoorde mag nie gedruk, geskryf of geplak word waar ongemagtigde
gebruikers dit kan sien nie;
o wagwoorde moet gereeld verander word, veral na byvoorbeeld 'n
verandering in personeel. (5)

 Die rekenaars moet rekord hou van onsuksesvolle pogings om toegang tot die
terminale te verkry. Sulke Iyste moet daagliks gedruk word en baie noukeurig
deur meneer Westwoord ondersoek en opgevolg word. (2)

 Die stelsel moet 'n gebruiker outomaties uitlog as 'n terminaal vir 'n ruk lank
nie gebruik word nie. (1)

 Wanneer die stelsel vir 'n sekere tyd nie gebruik is nie, moet toegang tot die
stelsel verkry word deur die herinvoer van die wagwoord. (1)
Vorderingsvraag / Progress question

 Aan die einde van elke dag moet elke rekenaar 'n Iys/log/register druk van
daaglikse aktiwiteite. Dit moet deur ‘n onafhanklike persoon nagegaan word
vir enige ongemagtigde gebruik of veranderinge. Enige aanduidings van
ongemagtigde aktiwiteite moet onmiddellik ondersoek en opgevolg word. (2)
puntetoekenning: soos aangedui maksimum 21
Vorderingsvraag / Progress question

A-9 50 punte

1 WEAKNESSES IN GENERAL CONTROLS

 In addition to conducting interviews by the EDP manager, it would appear that

there is a lack of formal and proper appointment procedures.

 The programmer design and test new systems and programming changes.
There is clearly a lack of a formal system development methodology which
pinned separated duties and responsibilities. (2)

 Requests for program changes occur telephonically - there is no written

authorization or an independent investigation into the need, cost, etc. of such
changes. (2)

 The control clerk is not running procedures / tests / controls on the data
received for import, processing process itself and the results of processing
(export documentation). (2)

 The following problems regarding separation of functions:

o Programming and systems analysis: Bud Spender, the programmer is

responsible for systems analysis functions, namely the preparation of
system specifications, writing and updating manuals and program
documentation. (2)

o There seems to be no clear distinction between system and application

programming.

o Control of data and documentation and programming: The librarian also

acts as assistant programmer.

 It seems that keep the librarian only keeps data files and not the other
software (application and system software) and system documentation of
Cowboys and Crooks.

 It appears that the library function occurs informally the librarian walked
through the entire section and collect all discs. There is a lack of formal
authority and control over the issuing and receiving back of data files. (2)
Mark allocation: As indicated Maximum 13

2 PROCEDURES FOR GOOD STAFF PRACTICES

 The personnel practices must be in writing and be contained in a formal

manual. Manuals should be freely available and practices should be reviewed
regularly. (2)

 Cowboys and Crooks must have a formal appointment policy to ensure that
only honest and competent staff appointed. It involves the following:
Vorderingsvraag / Progress question

o conducting interviews with applicants;

o aptitude tests conducted;
o background studies done;
o evidence of competence under investigation and
o references contacted. (3)

 Scheduling of staff should take place. People to be assigned specific tasks /

projects. (1)

 Leave: Special arrangements must be made when people are on vacation or

sick leave and people should be encouraged to take regular leave. (2)

 Duties should be rotated regularly to bring about cross training and prevent
boredom. (1)

 Segregation of duties and knowledge should be constantly kept in mind,

however, when rotation of duties occurs. (1)

 Career planning should be done for staff. Recognition should be given for
good work. Staff must always feel motivated and successful. People should
be promoted based on their performance. (2)

 Continuous evaluation of work done by staff, should take place for example
the volume of work, quality work and so on. (1)

 Ongoing training should be provided to staff. They must be sent on

appropriate courses, seminars, etc. (1)

 Management staff have a positive attitude toward internal control and control
cultivation, control measures should be put in place and staff properly trained
in its use. Management policy must be applied consistently and operation of
controls should be monitored. Management must set an example for staff. (3)

Mark allocation: As indicated Maximum 16

3 CONTROLS TO PREVENT AND DETECT UNAUTHORISED ACCESS

 A formal, written policy that only authorized persons may use terminals and
that strict action will be taken against unauthorized users of terminals. This
policy should be given to all staff. (1)

 There must be special security measures in place at the EDP department ,

and specifically Mr Westwood 's office:

o the doors should always be closed when the computer is not in use and
when Mr. Westwood leaves his office; (1)
o only authorized users have access to keys to the offices; (1)
Vorderingsvraag / Progress question

o computer terminal itself must be closed when not in use (physical terminal
locks); (1)
o the terminal should be placed in a visible, conspicuous places where it is not
hidden, so that an unauthorized person working on a computer can be
easily spotted. (1)

 There may only access to the system within business hours. After-hours
access must be limited by the use of alarms and/or security guards. (2)

 Authorisation tables should be used to ensure that: (1)

o data can only be imported from certain terminal; (1)

o certain files can only be read, while others may be edited; (1)
o no access to certain programs and files may be obtained from certain
terminal. (1)

 Password Control should be applied when access to a terminal and the

system is obtained :

o the terminal should only be used if the correct password is used;

o there should be proper control over passwords: staff must be informed of
the importance of secrecy of passwords;
o passwords should be chosen with care and not for the ease with which it
can be remembered: for example, dates of birth and identity numbers may
not be used;
o passwords may not be printed, written or pasted where unauthorized users
can see;
o passwords should be changed regularly, especially after a change in
personnel. (5)

 The computers must keep a record of unsuccessful attempts to gain access to

the terminal. Such lists should be printed daily and very carefully investigated
by Mr. West Word and followed up. (2)

 The system must automatically sign out if a user has not been at a terminal for
a while. (1)

 When the system used for a certain time, have gained access to the system
by the reinsertion of the password. (1)

 At the end of every day, every computer should have a list / log / register
pressure of daily activities. This should be checked by an independent person
for any unauthorized use or changes. Any evidence of unauthorized activities
must be investigated and followed up immediately. (2)

Mark allocation: As indicated Maximum 21