20.   (1)   Pengendalian sesuatu pihak berkuasa pemerakuan berlesen hendaklah diaudit sekurang-kurangnya sekali dalam setahun untuk menilai pematuhannya dengan Akta ini.    

        (2)   Audit itu hendaklah dijalankan oleh seorang akauntan awam diperakui yang mempunyai kepakaran dalam keselamatan komputer atau oleh seorang ahli profesional keselamatan komputer bertauliah.

        (3)   Kelayakan juruaudit dan prosedur bagi audit hendaklah sebagaimana yang ditetapkan oleh peraturan-peraturan yang dibuat di bawah Akta ini.    

        (4)   Pengawal hendaklah menyiarkan dalam rekod penzahiran pihak berkuasa pemerakuan yang disenggarakan olehnya bagi pihak berkuasa pemerakuan berlesen yang berkenaan tarikh dan keputusan audit. 

21.   (1)   Pengawal boleh mengecualikan sesuatu pihak berkuasa pemerakuan berlesen daripada kehendak seksyen 20 jika -----

                (a)   pihak berkuasa pemerakuan berlesen itu meminta secara  bertulis 
                        untuk pengecualian.

                (b)   audit prestasi terbaru, jika ada , ke atas pihak berkuasa 
                        pemerakuan berlesen itu menghasilkan dapatan bahawa terdapat 
                        pematuhan penuh atau substansial dengan Akta ini; dan

                (c)   pihak berkuasa pemerakuan berlesen itu mengisytiharkan dengan 
                       terikat dengan sumpah atau ikrar bahawa satu atau lebih daripada 
                       yang berikut adalah benar berkenaan dengan pihak berkuasa 
                       pemerakuan berlesen itu:

                        (i)   pihak berkuasa pemerakuan berlesen itu telah mengeluarkan 
                              kurang daripada enam perakuan sepanjang tahun yang lalu itu 
                              dan jumlah had pergantungan yang disyorkan bagi semua 
                              perakuan itu tidak melebihi dua puluh lima ribu ringgit;