ירון פלד, רו"ח, *CISA רקע 1. חידושים ומגמות בביקורת מערכות מידע במאמר זה אנסה לסקור את החידושים והמגמות בתחום ביקורת ממ"מ בשנה-שנתיים האחרונות. והמגמות בתחום,.2 חשוב לציין שאין הכוונה להקיף במסגרת מאמר זה את כל החידושים אלא רק להתייחס למספר נושאים בולטים וכן לציין שהשינויים מתייחסים לביקורת מערכות מידע ב"מובן הקלאסי", כלומר לא אסקור במאמר זה שינויים ומגמות בנושאים קשורים כגון: אבטחת מידע, מעילות והונאות וניהול סיכונים. כדי לסקור מגוון רחב של נושאים ההתייחסות לכל נושא ונושא הינה תמציתית. השינויים בסביבה הטכנולוגית הם גדולים ביותר בעוד שקצב החידושים בביקורת מערכות מידע הוא איטי. אני אנסה במסגרת המאמר לענות על השאלה האם שינוי סביבת מערכות המידע משפיע על שיטות הביקורת ועל כלי הביקורת. המשך הדיון במאמר יעשה משלוש נקודות ראות שונות: סקירת תקנים חדשים בתחום. סקירת השינויים הטכנולוגיים והשפעתם על מבקר ממ"מ. גישות חדשות לביקורת מציאות או אשליה. סקירת תקנות והנחיות חדשות א..1 IFAC הפדרציה הבינ"ל לחשבונאות IAPS 1013 מסחר אלקטרוני והשפעתו על הביקורת (נכתב על ידי IAPC כסיוע ליישום תקני (ISA מרס 2002..2 ההנחיה משמשת בסיס לטיוטה לג"ד הנכתבת בימים אלה בלשכת רואי חשבון בישראל. הרחבה מובאת אם כן בהמשך בתיאור הטיוטה בארץ. בנושא 6 הנחיה IT Monitoring של ה Committee IT (ועדה הכותבת הנחיות המיועדות להנהלה ומבקרים והן משמשות כ Best (Practice מידע: אפריל.2002 ההנחיה קובעת כללים לפיקוח על מערכות פיקוח כי מערכות המידע נותנות מענה לתהליכים התפעוליים, לסיכון ולבקרה. פיקוח כי מערכות המידע תואמות למדיניות העסק. פיקוח כי מערכות המידע מביאות לשיפור התהליכים ומסייעות לצמיחת הארגון. הפיקוח הוא באחריות ההנהלה. יש לקבוע מדדי ביצוע ולנהלם באופן שוטף. כלים לפיקוח,Balanced Scorecard וחיצונית, דיווחי הנהלה ועוד. * שותף ומנהל מחלקת יעוץ וביקורת מערכות מידע ב - BDO זיו האפט רואי חשבון. ביקורת פנימית
ב. AICPA הלשכה האמריקאית ה AICPA פרסם ביוני 2001 את SAS 94 והוא אומץ על ידי המפקח על הבנקים ליישום החל משנת 2003. התקן דן בהשפעה של טכנולוגית המידע על הבאת הבקרה הפנימית בחשבון ע"י המבקר בביקורת דוחות כספיים. התקן מגדיר מהי בקרה פנימית, מתאר את יעדיה ומרכיביה של הבקרה הפנימית ומסביר כיצד על המבקר להביא אותה בחשבון בתכנון ובביצוע הביקורת. החשיבות בתקן היא בהכנסת מערכת המידע כחלק מרכזי בבקרה הפנימית בארגון וההשלכה שיש למערכת המידע על כל פעולות הבקרה הפנימית. הבקרה הפנימית מכילה 5 רכיבים, כאשר לטכנולוגית המידע קיימת השפעה על כל אחד מהם: סביבת הבקרה, הערכת הסיכונים, פעילויות בקרה-מדיניות ונהלים, מערכות מידע ותקשורת ופיקוח. התקן מתאר את סיכוני מערכת המידע הסתמכות על עיבוד שגוי, גישה לא שינויים לא מורשים בקבצי אב, שינויים לא מורשים במערכות או מורשית, תוכנות, אובדן פוטנציאלי של נתונים והוא קובע שההיקף והאופי של הסיכונים משתנים בתלות, באופי ובמאפיינים של מערכת המידע של הישות. זמינות דייקנות, עוד קובע התקן את יתרונות הבקרה של מערכת המידע ונכונות של מידע, סיוע בניתוח, סיוע בבקרה, הקטנת היכולת לעקוף בקרות ואכיפת הפרדת תפקידים. על המבקר לשקול האם נדרשות מיומנויות מומחה על מנת שיוכל לקבוע את לדוגמא כאשר יש מערכות IT על הביקורת, השפעת טכנולוגית המידע סחר אלקטרוני, יישום של מערכות חדשות, מורכבות/שינויים בקיימות, טכנולוגיות חדשות, ראיות ביקורת אלקטרוניות בלבד. ניתן להטיל על המומחה לתחקר את צוות ה,IT לבדוק את תיעוד המערכות, לסקור את תפעול הבקרות ולתכנן ולבצע בדיקות לבקרות. כיצד כל זה משפיע על הביקורת? ניתן לאחר ביקורת ראשונה להקטין את היקף בדיקות הבקרה. שימוש ב CAAT (טכניקות ביקורת באמצעות מחשב) לבחינת בקרות ונתונים. שימוש בדוחות המופקים ע"י ה.IT תיעוד הבנת הבקרה הפנימית. תיעוד אומדן סיכון הבקרה. איסוף ראיות ע"י התבוננות, תשאול ושימוש ב.CAAT התקן חל גם על חברות קטנות ובינוניות. 2
ג. ISACA איגוד לביקורת ואבטחת מערכות מידע האיגוד פרסם עוד בשנת 10 1997 תקנים אשר מנחים את מבקר מערכות המידע בעבודתו. מאז מפרסם האיגוד הנחיות באופן שוטף למימוש אותם תקנים. להלן סקירת ההנחיות האחרונות שפורסמו: הנחיה 020.010.010 בנושא השפעת פעולת המבקר כיועץ על שמירת עקרון אי התלות יולי 2002. ההנחיה נותנת דוגמאות למקרים בהם עלולה להיפגם אי התלות הגדרת אסטרטגיה של מ"מ, בחירה ויישום של מ"מ, הטמעת נהלים ומדיניות, עיצוב ויישום של אבטחת מידע וכן ניתנים קריטריונים מסייעים בכדי לקבוע מתי אי התלות נפגמת. כמו כן ההנחיה קובעת שבמקרים אלה יש להעלות זאת בועדת הביקורת, לתת לכך גילוי והיא מציעה נקיטה בצעדים נוספים, אשר עשויים להפחית את התלות. הנחיה 030.010.010 בנושא התייחסות המבקר לאי סדרים והונאות בארגון יולי 2002. למבקר מ"מ אין מחויבות לבדוק נושאים אלה באופן מיוחד. האחריות היא של ההנהלה. אם הדבר נחשף במהלך עבודתו, עליו לדווח להנהלה ולועדת הביקורת. על המבקר לשלב במסגרת הערכת הסיכונים פרוצדורות מתאימות. הנחיה 050.010.040 בנושא השפעת לשכות שירות על בקרות ה IT מרץ 2003. ההנחיה מגדירה (Application Service Provider) ASP כצד ג' אשר מספק שירותי יישום ומיחשוב, כולל שירותי אבטחת מידע למשתמשים רבים דרך האינטרנט או רשת פרטית, Provider Internet Service) ISP ( כצד ג' המספק לארגונים שירותי אינטרנט ושירותים קשורים אחרים ו- BSP (Business Service Provider) כ,ASP אשר מספק גם מיקור חוץ של תהליכים עסקיים, כמו עיבוד תשלומים, עיבוד הזמנות מכר ופיתוח יישומים. על המבקר לבחון את השפעת צד ג' על הסיכונים והבקרות, עליו לבחון את ההסכם עם צד ג', את נהלי העבודה. ניתן לבצע בלשכת השירות ביקורת ולהיעזר במבקרים פנימיים של לשכת השירות. הנחיה 060.020.050 בנושא דרכים וגישות בביקורת מדיניות ה- IT בארגון יולי 2002. ההנחיה מתייחסת לביקורת של אסטרטגית הארגון במ"מ, מתודולוגיה של ניהול פרויקטים, בקרות ההנהלה, מתודולוגית פיתוח ותחזוקת מערכות. 3
לשכת רואי חשבון בישראל בימים אלה מסתיימת כתיבתה של הצעה לגילוי דעת בנושא סחר אלקטרוני והשפעתו על הביקורת. ההצעה מתבססת על תקן בינ"ל 1013. מטרת התקן היא להנחות את המבקר ביישום תקני ביקורת כאשר הישות המבוקרת עוסקת בפעילות מסחרית המתבצעת באמצעות מחשבים המקושרים ביניהם ברשת ציבורית. התקן מפרט נושאים ספציפיים שיסייעו למבקר בהערכת חשיבות הסחר האלקטרוני לפעולותיה העסקיות של הישות המבוקרת והשפעת הסחר האלקטרוני על אומדן המבקר את הסיכונים, כדי לגבש חוות דעת על הדוחות הכספיים. מהם הנושאים בהם דן התקן? רמת המיומנות המקצועית הדרושה להבנת השפעת הסחר האלקטרוני על הביקורת. הכרת העסק והכרת הפעילויות העסקיות של העסק בענף. בחינת אסטרטגית הסחר האלקטרוני של הישות המבוקרת. היקף פעילויות הסחר האלקטרוני וההשפעה על אופי הסיכונים שיטופלו על ידי הישות. הקשר בין הסדרי השירות הניתנים על ידי ספקי שירות חיצוניים לביקורת הדוחות הכספיים של הישות. סיכונים בסביבת הסחר האלקטרוני. סוגיות חוק ופיקוח להם כפופה החברה המבצעת סחר אלקטרוני הגנת פרטיות, קניין רוחני, הלבנת הון ועוד. אמצעי הבקרה הפנימית בסביבת מערכות המידע אבטחת מידע בסביבת הסחר האלקטרוני. ראיות ביקורת. ד. סקירת השינויים הטכנולוגיים והשפעתם על המבקר א. אינטגרציה בין מערכות בעידן בו הלקוחות דורשים מצד אחד מענה מידי לדרישותיהם ומצד שני דורשים להפחית את עלויות השירות, נדרש לייעל את שרשרת האספקה בכדי ליצור יתרון תחרותי. לצורך כך, אינטגרציה של תהליכים עסקיים היא מחויבת המציאות. זוהי אחת המשימות החשובות והמורכבות איתן מתמודדים ארגונים בארץ ובעולם. המורכבות נובעת במידה רבה מהצורך לבצע אינטגרציה של היישומים המשמשים לניהול הפעילויות. מבלי להיכנס לתיאור מפורט של גישות ושיטות אינטגרציה מקובלת אינטגרציה באחד או יותר מהרבדים הבאים: ממשק משתמש, לוגיקה עסקית, אחסון נתונים..3 4
כיצד השינוי משפיע על תהליך הביקורת? על המבקר להיות ער לכך שהעיבוד וניהול הנתונים אינם תמיד מבוצעים במערכת המבוקרת ולכן עליו למפות את מיקום העיבוד וניהול הנתונים. יש לבחון את תהליך האינטגרציה ואת השפעתו על יציבות המערכות, אמינות הנתונים, שלמות הנתונים וכיו"ב. במסגרת זו יש לבחון את תיק האפיון ואת מילון הנתונים שהוגדר. ניתן כחלק מהביקורת להשתמש בנתיבי הביקורת המוגדרים בשרת האינטגרציה. באינטגרציה של ממשק משתמש יש לתת דגש לבקרות קלט ובקרות פלט, בעוד באינטגרציה של תהליכים ונתונים יש לתת דגש לבקרות עיבוד. להלן מובא מסך לדוגמא מתוך שרת האינטגרציה,BizTalk המציג מיפוי של קישוריות בין מערכת מקור למערכת יעד. 5
מערכות אינטגרטיביות ERP אינטגרציה מלאה מתקבלת למעשה באמצעות עבודה עם מערכות אינטגרטיביות ב. לניהול משאבי הארגון מערכות.ERP מערכות ERP מאופינות במורכבות רבה, אינטגרטיביות, העדר כפילות של נתונים, בסיס נתונים מרכזי אליו יש נגישות למשתמשים רבים, עדכון בזמן אמת, הארגון מותאם למערכת!, צריכת משאבים רבים וסיכון הטמון בפרויקט ההטמעה. מערכת ERP היא אמנם תוכנת מדף, אך היא מחייבת קסטומיזציה רחבה ולעיתים סיכוני הבקרה ואבטחת המידע אינם זוכים לטיפול המתאים בשלבי היישום. המאפינים/סיכונים המתוארים לעיל בעלי משמעות רבה לאופן ביצוע הביקורת. להלן מובא גרף המתאר את תהליך הצמיחה של ביקורת מערכות ERP ולאחריו דברי הסבר. נשק גידול שותף אויב עבד לא קיים זמן בעבר, עם הכנסתן של מערכות ERP לראשונה לארגונים, לא בוצעה למערכות אלה ביקורת בגלל שההנהלה חשבה שאין צורך לבקר מערכות "טובות" מסוג זה ולמבקרים לא היתה את המיומנות הדרושה. בהמשך הזמן, עם נפילתם של פרויקטים, הואשמו בכך המבקרים והם מצידם טענו שהמערכת חסרת בקרות. לאחר מכן, המבקרים הפכו לעבדי היישום כמענה לטענתם שחסרות בקרות. כיום המבקרים שותפים לתהליך היישום ואף שילובם של המבקרים בביקורת מתמשכת של המערכות משמש כנשק תחרותי ולשיפור רב של המערכות. ¹ כדי לבקר מערכות ERP ביעילות נדרשת מהמבקר מיומנות גבוהה במודולים השונים, הבנת הבקרות, מתודולוגית היישום וסביבת הפיתוח. 1. ISACF. Security, Audit and Control Features SAP R/3: A Technical and Risk Management Reference Guide, 2002. 6
קיימות מספר גישות לביקורת פרויקטי ¹:ERP גישה אינטגרטיבית שיתוף המבקר בכל השלבים איפיון, בחירה, הטמעה והסבות. המבקר יהיה שותף לשילוב בקרות הן בשלב העיצוב והן בשלב היישום. ביצוע סקירות לפני ואחרי היישום. בקרת איכות כוללת של הפרויקט מעורבות גבוהה ביותר של המבקר בבקרה של התהליך והתוצרים. להלן מספר מרכיבים שיש לקחת בחשבון בביקורת מערכות ERP : חשוב לבחון את אופן היישום של התהליכים העסקיים של הלקוח במערכת כל יישום שונה במידה רבה ממשנהו. יש לבחון את הגדרת בקרות היישום על ידי הפקת טבלאות מתאימות, דוחות בקרה וניסוי בקרות. יש לבחון את אבטחת האפליקציה ובפרט את אופן היישום של מנגנון ההרשאות. חשוב בפרט בפרויקט מסוג זה לבקר את אופן ניהול הפרויקט, ניהול סיכוני הפרויקט, תכניות הסבה ותכניות להכשרת עובדים. בתוכנת SAP לדוגמא, קיים מודול יעודי לביקורת.AIS בו ניתן להשתמש הן לבדיקת תהליכים עסקיים והן לבדיקות מערכת. בהמשך מובאים מסכים לדוגמא ממודול זה. ניתן להשתמש בכלי ביקורת ייעודיים למערכות.ERP להלן דוגמאות לכלי ביקורת מובנים במערכת :SAP Balance Sheet Keyfigures בדוגמא זו ניתן לראות ניתוח אנליטי של נתונים כספיים ויחסים פיננסיים כחלק ממודול הביקורת של המערכת. 7
Security Guidelines בדוגמא זו הלקוחה אף היא ממודול הביקורת, ניתן לראות פלט שאלות בנושא אבטחה לוגית, אשר על ידי הקלדה על כל שאלה ושאלה מתקבלת תשובה מהמערכת המשקפת את ההגדרות הקיימות בה. 8
ג. מחסני נתונים Warehouse Data מחסני נתונים הם בסיסי נתונים, המכילים נתונים משולבים ממספר מאגרים, יתכן בשילוב מאגרים חיצוניים, נתונים מפורטים, נתונים מסוכמים ונתונים היסטוריים. בסיס הנתונים אם כן מבוסס על נתוני עבר (באופן יחסי למערכות התפעוליות) והוא משמש להפקת מידע ניהולי ולניתוח פעילות הארגון בכלים אנליטיים שונים. מחסני נתונים נמצאים בשימושם של ארגונים רבים ובפרט בחברות בסדר גודל גדול ובינוני והשימוש בהם הולך וגובר. כיצד השינוי משפיע על תהליך הביקורת? קבצים, דוחות ניהוליים, דוחות כספיים, דוחות בקרה וביקורת "נשלפים" במקרים רבים עבור ההנהלה ועבור המבקר ממחסן הנתונים ולא מהמערכות התפעוליות. אי לכך, על המבקר להשיג הבנה מרבית באשר לאופן העברת הנתונים מהמערכות התפעוליות אל מחסן הנתונים, לבחון את שלמות ודיוק הנתונים וכן את הבקרות הקיימות בתהליך ההעברה ובניהול הנתונים במחסן. המבקר יכול לעשות שימוש בכלי "שליפה" הקיימים במחסן הנתונים לצורכי ביקורת ולבצע שאילתות, הורדת קבצים והפקת דוחות בקרה. על המבקר לקחת בחשבון את היותם של הנתונים נתונים היסטוריים. גישות חדשות לביקורת מציאות או אשליה? א. ביקורת מתמשכת Auditing Continuous ביקורת מתמשכת היא ביקורת רציפה לאורך כל השנה, המאפשרת לבעלי המניות, להנהלה ולגורמים חיצוניים לקבל החלטות טובות יותר, המסתמכות על דוחות המבקר המובאים בזמן אמת. כיום מבקר החשבונות מבצע ביקורת אחת לתקופה וקיימים מרווחי זמן גדולים בין השלמת עבודת "השטח" לבין דוח הביקורת, כך שתוצאות הביקורת הופכות להיות פחות ופחות רלוונטיות במציאות הדינמית בה אנו פועלים. ניכרת כיום מגמה בעולם לבצע ביקורת מתמשכת..4 אם כן, כיצד מבוצעת הביקורת הלכה למעשה? כדי לבצע ביקורת כזו נדרשת בקרה פנימית טובה בגוף המבוקר. ארגונים לא בשלים בתהליכים ובקרות, לא יוכלו ליישם זאת ובפרט אם הנתונים אינם ברמת זמינות גבוהה. 9
ניתן להשתמש בגישה של Facility) (Integrated Test בגישה זו ITF פותחים ישות דמי בסביבה החיה ומבצעים טסטים, תוך קבלת משוב בזמן אמת על הסביבה "האמיתית" בה פועל הלקוח. ניתן להשתמש בשגרות ביקורת מובנות, כלומר לשלב פונקציות במערכות המבוקר, אשר תפקידן לתעד אירועים חריגים לצרכי ביקורת. ניתן לבצע ביקורת מרחוק מתואר בגישה נוספת המובאת בהמשך. למעשה ניתנים כבר כיום שירותי,Trust Services המהווים דוגמא לביקורת מתמשכת. כחלק משירותים אלה לדוגמא המבקר עשוי לבקר מערכות קזינו אינטרנטיות ולהפיק דוח חודשי מיוחד באשר לשיעור הממוצע של הזכיות בקזינו. ב. ביקורת מרחוק ביקורת מרחוק היא ביקורת המבוצעת בדרך כלל ממשרדו של המבקר, כאשר Virtual) VPN הגישה למערכת המבוקרת תתבצע בטכנולוגיה מאובטחת.(Private Network ביקורת בגישה זו מאפשרת ביצוע ביקורת מתמשכת, היא מצמצמת את התלות במבוקר, ניתן לבצע ביקורת לאורך "חיי המערכת", מתאפשרת גמישות וניידות של המבקר וניתן לצמצם את משאבי הביקורת. מנגד, יש חשש לפגיעה במערכת ה"חיה", המבוקר רוצה "לראות" את המבקר בעבודתו והדבר כרוך בסיכוני אבטחת מידע. כריית נתונים Mining Data הטכניקות העיקריות הקיימות כיום לביקורת כוללות: 1. תוכנות ביקורת תוכנות מדף, תוכניות שירות ותוכנות תפורות..Test Data.2 3. סקירת קוד תוכנה. ג. השוואת קודי תוכנה. 4..Concurrent Auditing Techniqes.5 ראיונות, שאלונים ותרשימי בקרות. 6. בכל הטכניקות הללו נדרש המבקר להגדיר מראש אילו חריגים הוא מחפש. כריית נתונים היא חיפוש במאגרי נתונים לזיהוי תבניות וקשרים בין נתונים. הטכניקות כוללות שימוש בעצי החלטה, רגרסיה, נוסחאות, רשתות עצבים ועוד. את הנתונים ומאפשרת שליפת "לומדת" באמצעות טכניקות אלה המערכת חריגים וחיזוי על בסיס התבניות שנמצאו. המבקר אינו צריך, כפי שהוא מבצע בביקורת הסטנדרטית, להגדיר מהם החריגים. 10
בדרך זו, היה אולי ניתן לאתר התנהגות חריגה בבנק למסחר. המערכת עשויה היתה לגלות קשר חריג בין הלוואות שניתנו, פקדונות ואתי אלון. גישה זו לביקורת עשויה לעזור למבקר באיתור מעילות והונאות, זיהוי נתונים חריגים הנחות חריגות, שערים ומדדים חריגים, תשלומים חריגים, שגיאות בהזנת נתונים ועוד. גישה זו לביקורת עד כה לא זכתה לתפוצה רחבה בשל מורכבות הטכניקות, הבקיאות הנדרשת בסטטיסטיקה ובשל התשומות הגבוהות הנדרשות כיום להפקת מידע רלוונטי ולסינון החריגים המתקבלים. יש להדגיש גם שכאשר החריג הוא הנפוץ הוא לא יכלל ברשימת החריגים. להלן מוצג פלט של תוכנת כריית נתונים : WizRule בפלט ניתן לראות דוגמא לרשומה שהתוכנה איתרה, בה תאריך ההזמנה אינו תואם לתאריכי ההזמנות בטווח המספרים, בו היא מצויה. 11
סיכום ברשימה זו סקרתי בקצרה את התקנים החדשים בתחום ביקורת מערכות מידע, את השינויים טכנולוגיים והשפעתם על מבקר ממ"מ אינטגרציה, מערכות אינטגרטיביות, מחסני נתונים, אינטרנט ומסחר אלקטרוני ואת הגישות החדשות לביקורת ביקורת מתמשכת, ביקורת מרחוק וכרית נתונים. נראה כי קצב השינויים והחידושים אינו מהיר ואנו ממשיכים להשתמש בכלים ובשיטות המסורתיים לביצוע הביקורת, אם כי קיימים ניצנים לשימוש בגישות חדשות יותר. התחרות הקיימת בענף הביקורת, השינויים הטכנולוגיים המהירים והעליה במורכבות המערכות - יחייבו פיתוח ויישום של כלים וגישות חדישים יותר להעלאת רמת השירות ללקוחות הביקורת ולמתן שירותי ביקורת אפקטיביים ודינמיים..5 12