Asti
Nurdiani Rahayu
C1C012004
Chapter 12 (
Andrew Hawker )
COMPUTER AUDIT: CONTROL OF EXISTING SYSTEMS
12.1
PENDAHULUAN
Pada tahun 1973, sebuah penipuan besar-besaran
terkena Ekuitas Pendanaan Korporasi of America. Kejadian Itu sangat bergantung
pada penggunaan komputer yang digunakan. Kasus ini memberikan contoh bukti
penggunaan komputer, untuk menghasilkan banyak bukti otentik untuk mencari data
dengan sangat cepat dan lengkap, dari setiap efektifitas pengendalian internal
dalam suatu organisasi. Salah satu auditor menyatakan bahwa banyak faktor yang
menyebabkan kegagalan kontrol pada Ekuitas Pendanaan (yang pada gilirannya
diperparah oleh ketidakseriusan kemampuan dari auditor eksternal tersebut Secara
teknis, sangat mudah untuk menemukan program komputer yang terdapat catatan
palsu, sehingga ada banyak cara lain dimana terdapat program yang tidak sesuai
dan tidak akurat, ini merupakan tantangan bagi auditor komputer untuk mengatasi
situasi tersebut, dan harus mendeteksi dengan cepat ketika hal itu terjadi.
sehingga sikap audit komputer dipertanyakan, terutama pada saat kesulitan
keuangan, sehingga wajib memecahkan bagaimana cara menyelesaikannya. Tiga faktor
yang akan membantu keberhasilan sistem audit secara berkelanjutan yaitu :
- harus untuk membangun apa yang telah dipasang di setiap bagian dari sistem , dan untuk mengidentifikasi semua perubahan dan modifikasi yang telah dibuat.
- Mekanisme pengendalian internal dibangun ke dalam sistem harus tunduk untuk pemeriksaan rutin , untuk melihat bahwa mereka bekerja dengan benar.
- Mereka melaksanakan fungsi audit komputer harus memiliki tepat campuran keterampilan teknis dan audit.
12.2.MANAJEMEN PERUBAHAN DAN
PENGENDALIAN
Keberhasilan
dan kesuksesan suatu bisnis tergantung dari perubahan perkembangan teknologi
informasi yang terjadi, dan ini tercermin dari program yang di buat dalam
sistem komputer tersebut. Jika perubahan tidak dikelola dengan baik, sistem
akan menunjukkan pengaruh yang tidak diinginkan, biasanya akan terjadi
kesalahan serta menimbulkan suatu permasalahan. Dengan demikian cara terbaik
untuk mengatasi masalah tersebut yaitu dengan menggunakan kekuatan program
komputer itu sendiri, melalui produk seperti Sistem Program Modifikasi IBM. Program-program
tersebut akan menyimpan catatan dari segala sesuatu yang berjalan pada mesin, dan
mengumpulkan pengetahuan tentang semua perubahan yang telah ditambahkan. Sementara
itu, dalam pengembangan aplikasi departemen, teknik serupa sedang dikembangkan
untuk membantu programmer melacak modul kode yang ditulis dalam jumlah besar
suatu proyek pengembangan perangkat lunak. Teknik-teknik tersebut umumnya
disebut sebagai manajemen perubahan. Oleh karena itu tidak terlalu sulit untuk
memastikan siapa yang telah memberikan data, atau untuk mencari dan mengidentifikasi
perangkat lunak tertentu dan peralatan itu sendiri. Upaya dilakukan untuk menerapkan ide-ide dari manajemen perubahan.
Hasilnya adalah teknik terbaru yang sering dimasukkan ke dalam software khusus,
yang dikenal sebagai manajemen konfigurasi.
Contoh
kemungkinan terjadinya perubahan dalam suatu organisasi sebagai berikut :
- Manajemen mungkin ingin memperkenalkan fasilitas baru untuk membantu dalam menjalankan bisnis mereka, seperti buletin on- line atau papan pengumuman elektronik, atau mereka mungkin berada di bawah tekanan yang dipaksakan dari luar oleh undang-undang, misalnya, untuk membuat layar tampilan visual yang sesuai dengan persyaratan kesehatan dan keselamatan.
- Pengguna mungkin tidak puas dengan layanan yang mereka terima, mungkin karena waktu respon yang lambat, atau mereka merasa bahwa layar menu yang didesain buruk.
- Pemasok akan melakukan perbaikan dan upgrade, terutama dengan maksud untuk menghilangkan kesalahan dalam perangkat lunak.
d. Departemen
TI akan terus meninjau keandalan dan kapasitas infrastruktur,dan ingin melakukan
tindakan seperti menginstal kabel LAN baru atau meng-upgrade perangkat lunak
manajemen jaringan. Auditor komputer juga kadang-kadang ingin melakukan suatu
perubahan ,tetapi untuk sebagian besar tujuan mereka adalah untuk memastikan
bahwa semua perubahan yang diminta oleh orang lain sedang dikelola dengan baik.
Dari
sudut pandang auditor, perubahan suatu register komputer dan manajemen
konfigurasi sangat membantu, yaitu dengan :
- Jika perubahan diperkenalkan dan hal itu menimbulkan masalah, sehingga masih mungkin untuk mencari tahu situasi seperti apa yang terjadi sebelumnya. Jika situasi sebelumnya lebih sesuai, maka sistem dapat kembali ke keadaan sebelumnya yang dikenal sangat stabil. Jika diperlukan, seluruh rangkaian perubahan dapat dibalik dengan cara ini. Hal ini untuk menghindari jenis ketidakpastian dan perselisihan yang dapat menyebabkan orang untuk mencoba menyelesaikan masalah atas dasar dugaan, yang pada gilirannya menyebabkan eksposur keamanan.
- Karena semua perubahan harus disetujui, dan tidak dapat dibuat secara spontan,ada kesempatan untuk memeriksa mereka terlebih dahulu. Ini memberikan kontribusi untuk stabilitas dan kontrol dalam sistem,karena diketahui konflik dapat dihindari, misalnya, dengan menghindari instalasi dua program yang keduanya menggunakan sumber daya yang sama di komputer, atau upgrade ke software paket A yang tidak bisa bekerja kecuali yang sesuai, Upgrade ini juga dibuat untuk paket perangkat lunak B.
- Register dapat digunakan untuk membantu dalam memeriksa kebijakan yang sedang diikuti di berbagai bidang seperti kepatuhan terhadap perjanjian lisensi,agar instalasi perangkat lunak terlindung dari virus,dan instalasi hardware untuk akses kontrol berdasarkan token atau scanner biometrik.
· Terdapat daftar definitif yang harus
tersedia , yang kadang-kadang dapat berguna dalam mendeteksi apakah peralatan tambahan telah ditambahkan tanpa
persetujuan, dan untuk tujuan yang tidak sah. Manajemen konfigurasi membantu banyak
organisasi dalam program mereka untuk melacak dan peralatan pengujian untuk
tahun 2000 kepatuhan. Sebuah pencarian dengan tipe prosesor, misalnya, bisa
mengungkapkan semua orang yang cenderung memiliki masalah, dan menghilangkan
banyak yang tidak. Pencarian tersebut dapat digunakan untuk menjawab pertanyaan
strategis lainnya, karena Misalnya, jika diusulkan untuk memberikan setiap
pengguna PC versi baru dari beberapa software, adalah mungkin untuk mengetahui
berapa banyak mesin yang cukup memiliki memori untuk mengatasinya. Oleh karena
itu register A memiliki banyak kegunaan mungkin. Seperti banyak sumber daya
yang berguna, itu sangat memakan waktu untuk membuat, terutama jika tidak ada
elektronik yang ada catatan yang dapat digunakan sebagai titik awal. Ia harus
memiliki nomor fitur kunci. Register akan terdiri dari sejumlah besar
konfigurasi
item, yang harus ditentukan secara konsisten di seluruh organisasi. untuk berguna, item konfigurasi perlu didefinisikan pada tingkat yang cukup rendah. Ini harus
mungkin untuk memilih semua kemungkinan variasi yang ada di sekitar organisasi. Jadi jika setiap PC dalam organisasi identik dan berjalan persis perangkat lunak yang sama, PC itu sendiri bisa menjadi item konfigurasi. Namun, karena sedikit, jika ada, organisasi yang pernah mencapai tingkat keseragaman, maka akan diperlukan untuk mencatat rincian seperti jenis dan versi wordprocessing perangkat lunak yang digunakan, ukuran memori, jenis kartu jaringan, dan sebagainya.
item, yang harus ditentukan secara konsisten di seluruh organisasi. untuk berguna, item konfigurasi perlu didefinisikan pada tingkat yang cukup rendah. Ini harus
mungkin untuk memilih semua kemungkinan variasi yang ada di sekitar organisasi. Jadi jika setiap PC dalam organisasi identik dan berjalan persis perangkat lunak yang sama, PC itu sendiri bisa menjadi item konfigurasi. Namun, karena sedikit, jika ada, organisasi yang pernah mencapai tingkat keseragaman, maka akan diperlukan untuk mencatat rincian seperti jenis dan versi wordprocessing perangkat lunak yang digunakan, ukuran memori, jenis kartu jaringan, dan sebagainya.
Harus
ada metode dalam pengambilan dan menganalisa data dalam register, kadang-kadang
dikenal sebagai status akuntansi. Akhirnya, perlu diadakan verifikasi entri
melalui reguler dan ad hoc cek, proses di mana komputer dan auditor lain
biasanya ini akan terlibat (Jacobs 1999).
Tidak ada kekurangan dari suatu cara di
mana auditor komputer dapat mengatur dan memeriksa apa yang terjadi pada sistem
dalam suatu organisasi. Tujuan Komputer auditor secara umum sama dengan audit internal pada umumnya. Penekanan ada pada masalah teknis, namun sangat jarang
untuk ini berdiri sendiri. Oleh karena itu semua kegiatan pengujian harus diatur
dengan bekerja sama dengan orang lain dalam fungsi audit internal, sehingga
menghindari potensi tumpang tindih dan memungkinkan semua pihak untuk mendapatkan keuntungan dari investigasi masing-masing. Penargetan pemeriksaan
audit telah dikembangkan untuk seni oleh eksternal auditor, yang ingin mencari
tahu sebanyak mungkin dalam waktu yang relatif singkat. Banyak dari gagasan ini
bisa diadaptasi oleh auditor komputer. Tujuannya tidak harus untuk mengatur '
praktek run' untuk audit eksternal, yang menyiratkan sikap yang agak defensif.
Ini berarti tes berjalan bahkan di mana insting pertama seseorang akan berpikir
bahwa tidak ada yang tak diinginkan yang mungkin bisa muncul dari mereka. Sebelum
memulai tes , auditor komputer harus juga mungkin menanggung dalam pikiran
pesan serius yang disediakan dalam dua survei yang terpisah dari Komisi Audit
Inggris, yang menunjukkan bahwa lebih dari setengah insiden dilaporkan dalam
survei itu terungkap bukan melalui operasi cek dan kontrol, tetapi dengan
kecelakaan ( Komisi Audit 1998). Auditor menganggap tes seperti jatuh ke dalam
dua kategori utama :
- Pengujian substantif. Ini digunakan untuk mengetahui apakah sistem tersebut menghasilkan Hasil yang salah, atau tidak memberikan hasil yang diharapkan. penyebabnya bisa terjadi kebohongan yang terjadi hampir di mana saja, termasuk kesalahan dalam peralatan, salah tafsir dan kesalahan oleh staf, atau bahkan penipuan. Pengujian substantif melibatkan pembuatan perhitungan independen bagaimana nilai output yang seharusnya, mungkin dengan bekerja di luar, atau pemeriksaan silang entri terkait dari file yang berbeda. Hal ini tidak terlalu dilakukan oleh auditor komputer, meskipun ia mungkin perlu terlibat jika kesalahan yang ditemukan dan beberapa jenis kerusakan sistem diduga menjadi penyebabnya.
- Tes kontrol. auditor akan ditanyakan apakah kontrol dalam sistem tersebut benar-benar bekerja terutama dalam kontrol otomatis. Kontrol dapat diperiksa oleh beberapa prinsip. prinsip pertama (yaitu, dengan memeriksa kode program yang digunakan untuk menerapkannya ) atau dengan tes praktis, seperti melihat apakah out-of –nilai range memang ditolak oleh kontrol input, atau jika log audit benar-benar telah mencatat semua data yang sesuai yang berkaitan dengan transaksi. Pengujian praktis ini berguna untuk menentukan apakah akses tabel kontrol telah diatur dengan benar. Berbagai jenis tes yang diarahkan untuk mengurangi berbagai bentuk risiko. Pengujian kontrol bertujuan untuk mengurangi risiko pengendalian. risiko pengendalian mencakup hanya risiko-risiko yang mengontrol harus dihilangkan ; di sisi lain, jika semua kontrol bekerja dengan sempurna, risiko pengendalian akan dikurangi menjadi nol. Tes Substantif ditujukan untuk risiko yang melekat. risiko yang melekat muncul dari adanya kesalahan dan keadaan yang semua orang menyadari mungkin terjadi, dan yang tidak dapat dengan mudah dikontrol, mungkin karena mereka berasal dari luar organisasi. Auditor mencoba mengidentifikasi semua risiko tersebut, dengan maksud untuk berkonsentrasi pada daerah-daerah di mana mereka diduga melakukan. Kategori ketiga yaitu, risiko kadang-kadang ditambahkan, yaitu risiko deteksi. Ini adalah sedikit lebih muskil, karena memang ditujukan untuk menutupi semua risiko yang auditor telah gagal untuk mengenali. Ini mengikuti bahwa deteksi Risiko tidak pernah benar-benar dapat diukur, tetapi memberikan target yang berguna untuk auditor, yang selalu berusaha untuk mengurangi itu. Tujuan auditor dalam menganalisis risiko yang sama. Mereka bertujuan untuk menggunakan obyektif dan pengukuran, dan mereka berharap bahwa risiko asing terus-menerus akan terjadi, yang harus mereka coba dan mengantisipasi. Namun, kategori risiko yang disebutkan di atas didefinisikan oleh auditor untuk auditor, dan tidak selalu sesuai dengan yang digunakan oleh profesional lain. Dua contoh teknik konkuren adalah :
- Test Facility Terpadu ( ITF ). Hal ini dikatakan seperti transaksi yang dimasukkan ke dalam suatu sistem, Ini akan dipilih untuk mengetahui kemampuan dari proses yang terkait. Setelah itu hasilnya akan diperiksa oleh komisi perhitungan. Masalah dengan menggunakan ITF adalah bahwa transaksi tidak harus diizinkan untuk muncul dalam salah satu rekening nyata, persediaan, dll. Hal ini dapat diselesaikan dengandua cara. Kemungkinan pertama adalah untuk merancang cara pelabelan dummy transaksi sehingga dapat diproses secara normal, tetapi semua hasilnya dialihkan ke file tes khusus. Ini menghindari untuk update dalam catatan asli, tetapi memperkenalkan kompleksitas tambahan ( dan mungkin kesalahan baru) ke dalam kode aplikasi. Pilihan kedua adalah mengikuti aslinya transaksi yang dirancang untuk mengembalikan file ke posisi awal dan akan di olah dari apa yang terjadi. Hal ini juga membawa sedikit bahaya , misalnya, jika pembalikan yang dilakukan secara tidak benar, atau seseorang mendasarkan keputusan pada informasi dalam sebuah file, sebelum pembalikan terjadi.
- Teknik Snapshot. Ini membutuhkan penambahan perangkat lunak, kali ini untuk melacak apa yang terjadi pada setiap terjadi transaksi. ' Snapshots ' dengan memiliki program pelacakan yang menyimpan beberapa hal seperti catatan yang bisa dibaca dari disk drive, dan tahap-tahap pengalihan serta perhitungan. Kemudian Auditor dapat menempatkan semua informasi dengan foto secara bersamaan, dan membandingkan apa yang telah terjadi dengan apa yang seharusnya terjadi, yaitu diletakkan di bawah program dokumentasi serta di tempat lain . Teknik konkuren lainnya didasarkan pada embedding modul Audit yang mendeteksi dan mencatat jenis rincian serta situasi tertentu ( misalnya, semua transaksi yang melibatkan pembayaran tunai lebih dari jumlah tertentu ), atau spesifik Audit ' kait ' yang memberikan peringatan jika kegiatan yang tak terduga terjadi, sebagai upaya untuk menarik uang dari rekening yang telah ditunjuk menurut dormant ( Spiram dan Sumners 1992).
12.4. KOMPETENSI
DIBUTUHKAN KOMPUTER AUDITOR
Jika auditor komputer menggunakan teknik
seperti pengujian bersamaan,
dengan semua yang telah dinyatakan dalam hal campur tangan dengan kode internal sistem, tampaknya bisa untuk memastikan bahwa mereka diharuskan memiliki kompetensi teknis. Hal ini juga penting bagi auditor untuk memiliki kualias kemampuan komputerisasi pribadi yang baik. Tidak mengherankan, ada banyak perdebatan tentang cara di mana auditor komputer harus dilatih dan diperiksa. Salah satu yang longeststanding skema dijalankan oleh Audit Sistem Informasi berbasis dan Control Association ( ISACA 2000). Untuk menjadi Informasi Bersertifikat Sistem Auditor ( CISA ) kandidat harus memiliki praktis pengalaman dalam sistem audit, dan lulus 4 jam pilihan ganda test ( tersedia dalam sembilan bahasa yang berbeda ). Hanya lebih dari sepertiga dari tes ini adalah berkaitan dengan keamanan informasi, dan sisanya mencakup isu-isu yang lebih luas pengembangan sistem dan manajemen. Mereka yang memenuhi syarat diharapkan untuk mematuhi kode etik, dan melakukan pendidikan berkelanjutan. Bahan utama dari skema seperti CISA yang lain dalam bidang profesi yang terkenal seperti hukum dan akuntansi. Namun, audit komputer telah menunjukkan kemajuan yang terbatas dalam membangun dirinya sebagai profesi dalam dirinya sendiri. Ada dua alasan utama untuk mencurigai bahwa kemajuan di daerah ini akan terus menjadi lambat. Pertama, sulit untuk mendefinisikan satu set inti keterampilan teknis., kedua, menimbulkan pertanyaan tentang bagaimana dipindahtangankan keterampilan Audit komputer yang pernah dijadikan Kualifikasi seperti CISA dapat menjamin bahwa seseorang memahami elemen dasar dari sebuah komputer biasa sistem, dan prinsip-prinsip dimana mereka harus dikelola. Mereka mungkin juga bersikeras pada pengalaman audit substansial. Namun demikian, pengusaha dapat menempatkan prioritas lebih tinggi pada pengetahuan yang mendalam tentang peralatan, sistem operasi, dan aplikasi yang benar-benar digunakan dalam bisnis mereka. Oleh karena itu, auditor komputer memiliki beberapa kesulitan dalam memenuhi Kriteria biasanya ditetapkan untuk ' profesi '. Pada saat yang sama, mereka harus mengandalkan status dan kemandirian mereka pada hubungan mereka dengan fungsi yang lebih mapan dalam audit internal dan akuntansi. Menjaga hubungan kerja yang sesuai di zona ini tidak akan selalu mudah, dan ada berbagai wilayah potensial konflik :
dengan semua yang telah dinyatakan dalam hal campur tangan dengan kode internal sistem, tampaknya bisa untuk memastikan bahwa mereka diharuskan memiliki kompetensi teknis. Hal ini juga penting bagi auditor untuk memiliki kualias kemampuan komputerisasi pribadi yang baik. Tidak mengherankan, ada banyak perdebatan tentang cara di mana auditor komputer harus dilatih dan diperiksa. Salah satu yang longeststanding skema dijalankan oleh Audit Sistem Informasi berbasis dan Control Association ( ISACA 2000). Untuk menjadi Informasi Bersertifikat Sistem Auditor ( CISA ) kandidat harus memiliki praktis pengalaman dalam sistem audit, dan lulus 4 jam pilihan ganda test ( tersedia dalam sembilan bahasa yang berbeda ). Hanya lebih dari sepertiga dari tes ini adalah berkaitan dengan keamanan informasi, dan sisanya mencakup isu-isu yang lebih luas pengembangan sistem dan manajemen. Mereka yang memenuhi syarat diharapkan untuk mematuhi kode etik, dan melakukan pendidikan berkelanjutan. Bahan utama dari skema seperti CISA yang lain dalam bidang profesi yang terkenal seperti hukum dan akuntansi. Namun, audit komputer telah menunjukkan kemajuan yang terbatas dalam membangun dirinya sebagai profesi dalam dirinya sendiri. Ada dua alasan utama untuk mencurigai bahwa kemajuan di daerah ini akan terus menjadi lambat. Pertama, sulit untuk mendefinisikan satu set inti keterampilan teknis., kedua, menimbulkan pertanyaan tentang bagaimana dipindahtangankan keterampilan Audit komputer yang pernah dijadikan Kualifikasi seperti CISA dapat menjamin bahwa seseorang memahami elemen dasar dari sebuah komputer biasa sistem, dan prinsip-prinsip dimana mereka harus dikelola. Mereka mungkin juga bersikeras pada pengalaman audit substansial. Namun demikian, pengusaha dapat menempatkan prioritas lebih tinggi pada pengetahuan yang mendalam tentang peralatan, sistem operasi, dan aplikasi yang benar-benar digunakan dalam bisnis mereka. Oleh karena itu, auditor komputer memiliki beberapa kesulitan dalam memenuhi Kriteria biasanya ditetapkan untuk ' profesi '. Pada saat yang sama, mereka harus mengandalkan status dan kemandirian mereka pada hubungan mereka dengan fungsi yang lebih mapan dalam audit internal dan akuntansi. Menjaga hubungan kerja yang sesuai di zona ini tidak akan selalu mudah, dan ada berbagai wilayah potensial konflik :
o
Keamanan situs. Langkah-langkah untuk
melindungi staf dan fisik organisasi :
aset semakin bergantung pada penggunaan teknologi. Pada kesempatan, dengan pengunaan kolaborasi , misalnya jika auditor komputer membutuhkan untuk mengetahui apakah seorang karyawan telah berada di situs pada waktu tertentu, atau jika ada kesempatan untuk mengintegrasikan kontrol sistem informasi dengan mereka menegakkan akses fisik. fungsi keamanan ini akan cukup kuat, dengan hubungan yang kuat dengan orang-orang yang menjalankan informasi sistem. .
aset semakin bergantung pada penggunaan teknologi. Pada kesempatan, dengan pengunaan kolaborasi , misalnya jika auditor komputer membutuhkan untuk mengetahui apakah seorang karyawan telah berada di situs pada waktu tertentu, atau jika ada kesempatan untuk mengintegrasikan kontrol sistem informasi dengan mereka menegakkan akses fisik. fungsi keamanan ini akan cukup kuat, dengan hubungan yang kuat dengan orang-orang yang menjalankan informasi sistem. .
o
IS petugas keamanan ( ISSO ). Banyak
organisasi, terutama yang kecil,
tidak memiliki ISSO resmi. Umumnya, bagaimanapun, seseorang adalah center Services akan memiliki pengawasan keamanan. Tanggung jawab dapat dikombinasikan dengan pemberian password dan akses mengontrol tabel, membuat peran yang sangat teknis. Salah satu keuntungan dari sebuah ISSO adalah bahwa seseorang dapat ditunjuk yang memiliki wawasan yang lebih luas dalam operasi bisnis ( Kovacich 1997).
tidak memiliki ISSO resmi. Umumnya, bagaimanapun, seseorang adalah center Services akan memiliki pengawasan keamanan. Tanggung jawab dapat dikombinasikan dengan pemberian password dan akses mengontrol tabel, membuat peran yang sangat teknis. Salah satu keuntungan dari sebuah ISSO adalah bahwa seseorang dapat ditunjuk yang memiliki wawasan yang lebih luas dalam operasi bisnis ( Kovacich 1997).
o
IS layanan pusat. Anggota departemen ini
akan memiliki tugas administrasi kontrol akses, dan akan bertanggung jawab
untuk menegakkan dan menerapkan beberapa langkah-langkah yang dijelaskan di
tempat lain dalam buku ini. Idealnya, mereka akan bekerja sama dengan auditor
komputer, tetapi peran penegakan dan audit harus disimpan terpisah. Administrasi
keamanan yang bersangkutan dengan memberikan langkah-langkah dan menegakkan
kepatuhan. Auditor berhak bertindak sebagai pengawas, dan memberikan ulasan
objektif dan rekomendasi. Apakah akan membuat hubungan yang produktif akan
tergantung pada beberapa pendapat dalam organisasi.
o
IS layanan lokal. Apakah pemberian jasa
tersebut telah diserahkan kepada tingkat lokal, sehingga akan sangat tergantung
pada struktur organisasi. Salah satu pendekatan yang dapat diambil adalah
auditor komputer untuk memastikan bahwa staf teknis sudah diberitahu secara
penuh pada langkah-langkah keamanan, dengan harapan bahwa mereka akan
menjelaskan dan membenarkan kepada staf lain yang bekerja di sekitar mereka.
