ירון פלד, רו"ח, *CISA הקדמה ביקורת בסביבת מערכות מידע עבר, הווה, עתיד בימים אלה אנו עדים לשינויים מרחיקי לכת ביסוד ההתמחות של ביקורת בסביבת מערכות מידע. ג"ד 66 הנחיות ליישום תקני ביקורת בסביבה של מערכת מידע ממוחשבת שמשמש אותנו החל משנת 1997 הולך ומפנה את מקומו לשלושה גילויי דעת מרכזיים: גילוי דעת 93 בדבר הבנה של הגוף המבוקר וסביבתו, והערכת הסיכונים המתייחסים להצגה מוטעית מהותית פורסם ביוני 2006 ויחול על ביקורות של דוחות כספיים לתקופות המתחילות ביום 1 בינואר 2007. (מבוסס על ISA מס' 315 של ה.(IFAC גילוי דעת שטרם פורסם בדבר נהלי המבקר במענה לסיכונים שהוערכו. ג"ד 66 למעשה יבוטל עם כניסתו לתוקף של גילוי דעת זה. (מבוסס על ISA מס' 330 של ה.(IFAC גילוי דעת 95 בדבר הנחיות ליישום תקני ביקורת בסביבה של סחר אלקטרוני פורסם ביולי 2006 ויחול על ביקורת של דוחות כספיים לתקופות המתחילות ביום 1.1.2007. (מחליף את ג"ד 89 משנת 2005). מספר גילויי דעת נוספים משלימים תשתית חדשה זו: גילוי דעת 64 בדבר הסתמכות על מומחים, אשר מתוקן החל מ 1.1.2007 ויחול גם הוא על מבקרי מערכות מידע עם ביטול הסיפא של סעיף 1 בגילוי הדעת שהחריג מנתחי מערכות (כשהכוונה המקורית הייתה למבקרי מערכות מידע). גילוי דעת 82 בדבר ראיות ביקורת. גילוי דעת 92 בדבר אחריות המבקר לשקול אפשרות קיומה של תרמית במסגרת ביקורת של דוחות כספיים החל מ- 1.1.2007. גילוי דעת 94 בדבר שיקולי ביקורת הקשורים לגופים מבוקרים המשתמשים בלשכות שירות- פורסם ביוני 2006 ויחול אף הוא החל מ 1.1.2007. (מבוסס על ISA מס' 402 של ה.(IFAC התשתית החדשה עולה בקנה אחד עם המגמה בעולם למזג את הביקורת "הרגילה" עם ביקורת מערכות המידע ולתכנן ולבצע נהלי ביקורת נוספים בכפוף להערכת סיכונים להצגה מוטעית בדוחות הכספיים. סיכונים הכרוכים בעבודה בסביבת מערכות מידע הינם חלק אינטגרל מסיכוני הבקרה וסיכוני הביקורת. אחת המגרעות של ג"ד 66 היא שילוב של חומר "לימודי" בנספחי גילוי הדעת לגבי מחשבים אישיים, סביבה מקוונת ובסיסי נתונים, חומר לימודי שחלק ניכר בו לא עדכני ובעיקר לא רלוונטי להצגה כחלק מהנחיות התקינה של רואי החשבון. בתשתית החדשה על מבקר מערכות המידע יהיה לפנות לספרי לימוד...
* שותף ומנהל מחלקת יעוץ וביקורת מערכות מידע ב - BDO זיו האפט רואי חשבון במאמר זה אסקור את הנושאים הייחודים בגילוי דעת 93 שחיוניים לעבודת מבקר מערכות המידע ואנסה לנתח את ההשלכות שיש לכך על פעולתו של המבקר בהשוואה למצב כיום. גילוי דעת 93 אם כן, ג"ד 93 מטרתו לקבוע כללים והנחיות למבקר שיאפשרו לו להשיג הבנה של הגוף המבוקר וסביבתו, לרבות הבקרה הפנימית שלו, ולהעריך את הסיכונים להצגה מוטעית מהותית בדוחות הכספיים המבוקרים. להלן הנושאים המרכזיים והייחודיים לביקורת מערכות מידע: טכנולוגית המידע מוגדרת כמקיפה אמצעים ממוכנים של ייזום, עיבוד, אחסון ותקשור של מידע, וכוללת מכשירי הקלטה, מערכות תקשורת, מערכות מחשבים (כולל מרכיבים ונתונים של חומרה ותוכנה) וכן מכשירים אלקטרוניים אחרים..1 דיונים בין חברי הצוות למשימת הביקורת במטרה לאפשר לחברי צוות הביקורת להשיג הבנה טובה יותר של האפשרויות להצגה מוטעית מהותית כתוצאה מתרמית או מטעות, בקביעת הרכב הצוות יש לבחון האם לכלול מומחה בתחום טכנולוגית המידע..2 בקרה פנימית: א. ב. גילוי הדעת בכל הקשור להשגת הבנה אודות הבקרה הפנימית בגוף המבוקר מאמץ את מודל ה COSO שהשימוש בו נפוץ ביותר כיום בעולם. ע"פ גילוי הדעת השגת הבנה של הבקרות בגוף המבוקר אינה מעידה בהכרח על האפקטיביות התפעולית של בקרות, אלא אם קיים מיכון מסוים המבטיח יישום עקיב של הפעלת הבקרה. בקרות במערכות של טכנולוגיית מידע כוללות שילוב של בקרות ממוכנות ובקרות ידניות. ומורכבות השימוש של הגוף המבוקר בטכנולוגיית המידע. התמהיל שלהן ישתנה בהתאם לאופי יתכן שבקרות ידניות תהיינה פחות מהימנות מאשר בקרות ממוכנות מאחר שניתן בקלות יותר לעקוף אותן, מועדות יותר לטעויות ושגיאות פשוטות. להתעלם מהן, וזאת או לא לבצען והן גם טכנולוגית המידע עשויה לספק לגוף המבוקר תועלת לגבי האפקטיביות ויעילות הבקרה הפנימית שלו היות שהיא מאפשרת לו: ליישם באופן עקיב כללים להתנהגות עסקית שהוגדרו חישובים מורכבים. להגביר את הדיוק, הזמינות והנכונות של מידע. לסייע בניתוח המידע. להגביר את יכולת המעקב אחר ביצוע פעולות הגוף המבוקר, והנהלים שלו. מחדש ולבצע מדיניותו.3
ג. להקטין את הסיכון של עקיפת בקרות. הפרדת אפקטיבית של תפקידים. טכנולוגית המידע מעמידה את הבקרה הפנימית בפני סיכונים מיוחדים: הסתמכות על מערכות המעבדות נתונים בלתי נכונים או בצורה בלתי מדויקת. גישה לא מורשית לנתונים שעשויה לגרום לשיבוש נתונים, שינויים בלתי נאותים, לרבות רישום של עסקאות בלתי מורשות או עסקאות פיקטיביות או רישום לא מדויק של עסקאות. למשתמשים רבים יש גישה למאגר נתונים משותף. כוח סיכונים מיוחדים עשויים לחול כאשר אדם העוסק בטכנולוגיית המידע בעל זכויות גישה מעבר לאלה הדרושות לביצוע תפקידו. שינויים בלתי מורשים בקבצי מפתח. שינויים בלתי מורשים במערכות או תוכנות. אי ביצוע שינויים הכרחיים במערכות או תוכנות. התערבות ידנית שהיא בלתי נאותה. אובדן אפשרי של נתונים או אי יכולת של גישה לנתונים כפי שנדרש. מערכת המידע ותקשורת (אחת השכבות במודל ה :(COSO הכוללת את המערכת מערכת המידע הרלבנטית ליעדי הדיווח הכספי, ד. החשבונאית, מורכבת מנהלים ורשומות שנוצרו לצורך ייזום, רישום ועיבוד של עסקאות הגוף המבוקר (כמו גם אירועים ומצבים) ודיווח עליהם ועל מנת לקיים להתחייבויות ולהון בנוגע לנכסים, (Accountability) חובת אחריות ודיווח העצמי המתייחסים. לרבות התהליכים העסקיים הבנה של מערכת המידע, על המבקר להשיג ה. הקשורים, הרלבנטית לדיווח כספי. ישקול המבקר את הנהלים שנעשה בהם שימוש בהשגת ההבנה האמורה, ו. להעברת מידע מהמערכות לעיבוד עסקאות לכרטסת הראשית ledger) (general או למערכות הדיווח הכספי. כאשר נעשה שימוש בנהלים ממוכנים כדי לנהל את הכרטסת הראשית ולערוך ז. יתכן שרישומים כאלה יהיו קיימים רק במתכונת את הדוחות הכספיים, אלקטרונית וניתן יהיה לזהות אותם יותר בקלות באמצעות השימוש בטכניקות של ביקורת בסיוע מחשב. פעולות בקרה (אחת השכבות במודל ה :(COSO ח. על המבקר להשיג הבנה באשר לתגובת הגוף המבוקר לסיכונים הנובעים מטכנולוגית המידע. המבקר ישקול האם הגוף המבוקר הגיב במידה מספקת,
ט..4 י..5 לסיכונים הנובעים מטכנולוגית המידע, על ידי קביעת בקרות כלליות ואפקטיביות של טכנולוגית המידע וכן על ידי בקרות יישום. מנקודת מבט המבקר, בקרות על מערכות של טכנולוגית המידע הן אפקטיביות כאשר נשמרת על ידן מהימנות( integrity ) המידע ואבטחת הנתונים המעובדים באמצעותן. בקרות כלליות של טכנולוגית המידע הינן מדיניות ונהלים הקשורים למספר יישומים סביב מערכות המידע. בקרות כלליות של טכנולוגיית המידע תומכות ביעילות התפקוד של בקרות היישומים על ידי סיוע בהבטחת המשך הפעילות הנאותה של מערכות מידע. בקרות כלליות של טכנולוגיית המידע משמרות את מהימנות המידע ואבטחתו וכוללות, בדרך כלל, את הבקרות על: מרכז המידע ברשת. רכישת תוכנות, שינויים ותחזוקה של תוכנות. אבטחת גישה. רכישה, פיתוח ותחזוקה של מערכת יישום. בקרות יישום הינן תהליכים ידניים או ממוכנים המופעלים בדרך כלל ברמה של תהליך עסקי. בקרות יישום עשויות להיות בקרות מונעות או בקרות חושפות המיועדות לוודא את מהימנות הרישומים החשבונאיים. בהתאם לכך, בקרות יישום קשורות לתהליכי הייזום, הרישום, העיבוד והדיווח של עסקאות או מידע כספי אחר. בקרות אלו מסייעות להבטיח שהעסקאות שבוצעו הינן מאושרות ונרשמו ועובדו באופן מלא ובמדויק. דוגמאות לכך כוללות בדיקות של נתוני קלט ובדיקות של רצף אסמכתאות יחד עם מעקב ידני על דוחות חריגים או תיקון במועד הזנת הנתונים. מאפייני עסקאות שגרתיות בתחום העסקי המתבצעות מדי יום מאפשרים לעיתים קרובות להשתמש במידה רבה בעיבוד ממוכן תוך מעורבות ידנית מועטה, בנסיבות כאלה, לסיכון. לדוגמא: אם בכלל. יתכן שיהיה זה בלתי אפשרי לנקוט רק בבדיקות מבססות ביחס בנסיבות של ייזום, רישום, עיבוד או דיווח באופן אלקטרוני, כמו במערכת משולבת, של כמות משמעותית של מידע של גוף מבוקר. גוף מבוקר שמנהל עסקיו תוך שימוש בטכנולוגיית מידע במטרה ליזום הזמנות לרכישה ומשלוח טובין ולאשר תשלום לזכאים, בהתבסס על כללים שנקבעו מראש. מסמכים אחרים בגין הזמנות שנמסרו או טובין שנתקבלו אינם מופקים או שאינם קיימים, למעט אלה באמצעות המערכת של טכנולוגיית המידע. גוף מבוקר המספק שירותים ללקוחות דרך אמצעי תקשורת אלקטרוניים. תיעוד הצורה וההיקף של התיעוד מושפעים בין היתר מהמתודולוגיה הספציפית של הביקורת והטכנולוגיה שנעשה בהן שימוש במהלך הביקורת. לדוגמא תיעוד ההבנה של מערכת מידע מורכבת הכוללת את הייזום, הרישום, העיבוד, או הדיווח של נפח גדול של עסקאות עשוי לכלול תרשימי זרימה, שאלונים או טבלאות של החלטות.
.6 תנאים ואירועים העשויים להצביע על סיכונים המתייחסים להצגה מוטעית מהותית דוגמאות רלוונטיות: חוסר עקביות בין אסטרטגיית טכנולוגיית המידע של הגוף המבוקר לבין אסטרטגיות עסקיות שלו. שינויים בסביבת טכנולוגיית המידע. התקנה של מערכות טכנולוגיית מידע משמעותיות חדשות הקשורות לדיווח כספי. שינויים במצב הקיים השוני המרכזי עם פרסומו של ג"ד 93 לעומת המצב הקיים טמון לטעמי בנושאים הבאים: הבנת סביבת מערכות המידע והערכת הסיכונים הכרוכים בעבודה בסביבה זו הינם חלק 1. התהליכים העסקיים בו והבקרה הפנימית שלו. אינטגרל מהבנת הגוף המבוקר, התהליכים העסקיים משולבים באופן הדוק עם מערכות המידע והבקרות חלקן ממוכנות וחלקן ידניות. גילוי דעת 93 מציע קשר הדוק יותר בין צוות הביקורת למבקר מערכות המידע. 2. הערכת הבקרה הפנימית תיעשה סדורה ע"י מודל מקובל מודל ה.COSO 3. שוני בהגדרות ג"ד 93 מגדיר מעט אחרת בקרות כלליות ובקרות יישום, הוא מגדיר 4. אחרת מערכת מידע חשבונאית וטכנולוגיית מידע. ג"ד 66 סיפק מעין Text book לסביבת מערכות מידע ודן בפירוט בסביבות מחשוב שונות 5. על המאפיינים סביבה מקוונת וסביבת בסיסי נתונים, סביבת מחשבים אישיים, הייחודיים של סביבות אלה, הסיכונים הטמונים בעבודה בהן, הבקרות האופייניות ונהלי הביקורת המתאימים. ג"ד 93 מספק הנחיות כלליות בלבד, המלוות במעט דוגמאות. באופן פורמאלי אין אפשרות להתעלם יותר מסביבת מערכות המידע, כפי שהתאפשר 6. כביכול ע"פ ג"ד 66, אשר איפשר התחמקות במקרים בהם יכול המבקר לזהות נתיבי ביקורת באמצעים שאינם ממוחשבים ולחוות דעה על הדוחות הכספיים של המבוקר בהסתמך על בדיקות מבססות בלבד. ההבחנה בעיני היא בעיקרה פורמאלית, כיוון שגם בעבר שני התנאים לא עמדו בד"כ במבחן המציאות וגם במצב הקיים בדיקות מבססות עשויות להספיק. אין דיון בג"ד 93 בטכניקות ממוחשבות לביקורת,(CAAT"S) כפי שקיים בהרחבה בג"ד 7. 66, למעט אזכור שלעיתים יש צורך להשתמש בהן. בג"ד 66 יש התייחסות מפורטת לשתי הטכניקות הנפוצות Data Test ותוכנות ביקורת. המקום הטבעי לדיון זה הוא בתקן,ISA330 אשר כאמור עתיד להתפרסם וגם בו עיקר הדיון הוא בבדיקת אפקטיביות הבקרות.
סיכום לסיכום, עם פרסום גילויי הדעת החדשים, הערכת הסיכונים ובחינת הבקרה הפנימית בגופים המבוקרים תכלול התייחסות מובנית ואינטגראלית לסביבת מערכות המידע, צוות הביקורת יקיים קשר הדוק עם מבקר מערכות מידע ומבקרי מערכות המידע יבצעו את עבודתם בהתאם להנחיות ומודלים מקובלים בעולם (כדוגמת (COBIT בהעדר הנחיות פרטניות בתקנים באשר לסיכונים, בקרות אופייניות ושיטות ביקורת לסביבה ממוחשבת.