Transcript 2008
בשאלה על מכירות –
מעגל המכירות -סיכונים
במעגל המכירות ניתן לזהות את הסיכונים הבאים:
1.מכירה ללקוח שלא משלם.
2.טעות במשלוח -פריט ,כתובת או כמות שגויים.
3.גניבת מלאי.
4.השמטת חיוב לקוח.
5.שגיאות בחיוב.
6.גניבת תקבולים.
7.שגיאות רישום בחשבון לקוח.
8.ביצועי מכירה או גבייה גרועים.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
1
מעגל המכירות -בקרות
הבקרות שניתן לצפות שיופעלו בשל הסיכונים הללו יכולים להיות:
1.מכירה ללקוח שלא משלם.
• אישור אשראי לקוחות ע”י מנהל האשראי ולא ע”י סוכנים.
– ניהול יתרות לקוחות עדכניות
2.טעות במשלוח -פריט ,כתובת או כמות שגויים.
– השוואת תעודת המשלוח להזמנה
– שימוש בברקוד להזנת המשלוח
3.גניבת מלאי.
– הגבלת גישה פיסית.
– ספירת מלאי תקופתית והתאמה.
4.השמטת חיוב לקוח.
– הפרדה בין מחלקת משלוחים לחשבונות לקוח.
– ספרור רציף של תעודות משלוח וחשבוניות.
– התאמה תקופתית בין תעודות משלוח וחשבוניות.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
2
מעגל המכירות – בקרות המשך
5.שגיאות בחיוב.
– מחירונים תקופתיים.
6.גניבת תקבולים.
–
–
–
–
הפחתת הטיפול במזומן בארגון.
תשלומים בהעברות ישירות.
הפרדת תפקידים.
רישום מיידי של התקבולים.
7.שגיאות רישום בחשבון לקוח.
– אישור יתרה מהלקוח.
– התאמת ספר עזר לספר ראשי.
8.ביצועי מכירה או גבייה גרועים.
– דוחות ניתוח מכירות.
– גיול חובות.
3
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
3
מערכת פיננסית
נקודות שיש להתחשב בהן בבחירת יישום למערכת פיננסית (המשך):
מערכת רב-חברתית.
•
מערכת רב-מטבעית :יכולת עבודה במספר מטבעות ,במספר רמות (מערכת ,חשבון ,תנועה) ,תוך ביצוע התאמות.
•
מערכת רב-שנתית :שמירת נתונים היסטוריים ,תוך ביצוע מהלכי חתך ו "סגירת תקופה".
•
התאמה לאינפלציה.
•
רישום נפרד של תנועות ויתרות -הפקה קלה של מאזן בוחן.
•
ב .עמידה בדרישות חוקיות -הוראות ניהול ספרים מ"ה ,מע"מ.
הקשר עם מערכות אחרות בארגון ומחוצה לו:
•
– מערכות תפעוליות מעבירות נתונים מפורטים או מרוכזים למערכת הפיננסית.
– בעיית הסתמכות על דוחות סופיים המופקים ממערכות העזר.
– בדיקת שלמות ודיוק הנתונים המועברים למערכת.
– בעיות "חתך" בין המערכות.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
4
מערכת פיננסית – אז מה עושים ?
•
•
התאמה בין נתוני מקור ,תנועות ויתרות על ידי :
– שמירת נתוני המקור לתקופה מספיק ארוכה ,לצורך שיחזור.
– בדיקת שלמות ודיוק של רישום נתוני פקודות היומן בכרטסת הנהלת החשבונות.
– בדיקת זהות בין רישומי התנועות בהנהלת החשבונות לבין רישומי היתרות בקובץ האב.
בדיקת שלמות ודיוק הנתונים המועברים בין ספרי העזר לבין ספר הראשי על ידי :
– קיום חשבונות קשר או חשבונות מעבר.
– קיום נתיב ביקורת מלא מהספר הראשי לרמות הנמוכות יותר (ספרי העזר).
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
5
מערכת פיננסית – אז מה עושים ?
בקרות קלט ועדכון:
על המערכת להכיל את כל הנתונים הנדרשים:
•
– קיום שדות אסמכתא לכל תנועה לשמירת נתיבי ביקורת.
– ניהול תאריכים שונים במערכת:
• תאריך רישום הפקודה בספרים.
• תאריך ערך -תאריך העסקה הקובע לצורך מידוד ,המרות מטבע.
• תאריך פירעון.
• תאריך מערכת -במידה ושונה מתאריך הרישום (.)BATCH
• תאריך מאזני -התאריך הקובע לצורך הפקת דוחות כספיים ,שיוך פקודות לתקופה המתאימה (פק'
נוספות).
בקרות קלט ועדכון:
אפשרות לבדיקות צולבות במקרים בהם פקודות היומן נובעים ממספר נתוני מקור.
•
בקרות סכומים -הגדרת השדה כשדה נומרי ,הגדרת תחום הערכים ומס' מקומות אחרי הנק' העשרונית ,ביצוע סיכומים
•
אוטומטיים ,שליפת נתוני מטבעות מטבלאות ולא על ידי הזנה ישירה.
הטמעת הבקרות בכל אחד מהתהליכים השונים:
•
– פק' יומן מרכזות.
– תנועה בודדת.
– פתיחת כרטיס חשבון.
– סגירת חודש /שנה.
– ניהול רב מטבעי ושיערוכים.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
6
מערכת פיננסית – אז מה עושים ?
בקרות קלט ועדכון:
מערכת הרשאות לעדכון ושליפת נתונים ,תוך זיהוי ורישום הגורם המבצע ,שעת הביצוע המחשב היוזם ,הגורם
•
המאשר.
התאמת מסכי הקלט בהתאם לאופי העבודה ולמערכת ההרשאות והגישה לנתונים.
•
הנהגת גישת "התמחות" בנושאי כספים ,תוך הפרדת בין מערכת ספקים ,לקוחות ,הלוואות ,התאמות בנקים וכו'.
•
התמודדות עם רב-מטבעיות:
קיומה של טבלת שערים יומית ,תוך שאיבת הנתונים מהטבלה ודגש על אבטחתה.
•
התמודדות עם מצבים בהם אין שער ליום מסוים.
•
קיומם של חשבונות הפרשי שער לצורך השערוכים.
•
התמודדות עם רב-שנתיות:
אפיון נפרד לחשבונות תוצאתיים ומאזניים.
•
העברת היתרות המאזניות באופן אוטומטי משנה לשנה.
•
הגבלת על כמות הפעמים של העברת יתרות פתיחה.
•
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
7
מערכת שכר
גורמים שיש לקחת בחשבון במערכת שכר :
• מערכת רטרואקטיבית – לעניין פיצויים.
• עבודה באצווה.
• שמירת נתונים לאורך זמן.
• התאמה לחוקים במשק ולהסכמים שונים.
• הצורך במניעת מעילות שכר.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
8
מערכת שכר
בקרות כלליות :
• כל שינוי בתוכנה ירשם באופן מפורט.
• אבטחת מידע למניעת שינויים ופגיעה בנתונים.
• חוסר יכולת למחיקת מידע לעובד ששולם לו שכר במהלך
השנה.
קיום בקרות בעת קליטת עובדים:
• הוספת עובד חדש כוללת מספר רב של נתונים הכרחיים
שיוגדרו כשדות חובה (ת"ז ,כתובת ,שם).
• בקרות קלט כדוגמת ס.ב בתעודת הזהות ,שמירת תמונת
עובד ,בחינה שלא קיים כבר עובד עם אותו מס' ת"ז.
• קליטה במערכת השכר רק לאחר קליטה במערך כ"א.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
9
בקרות ידניות:
מערכת שכר
• עובד חדש יציג ת"ז בעת הרישום ,צילום ת"ז ישמר בתיק האישי
של העובד.
בקרות בעת הפקת המשכורות:
•
•
•
•
•
שימוש בנתונים עדכניים – מצב משפחתי ,מס' ילדים ,קיום ערכי
מינימום ומקסימום בשדות שלא הוזנו.
ביצוע התאמה מול מערכת נוכחות העובדים.
התאמה בין מס' התלושים למספר העובדים.
אפשרות לביצוע סימולציה לבדיקת תלושי השכר ,תוך השוואתם
לנתוני חודש קודם ושליפת נתונים חריגים.
תמיכה בחישובי שכר מורכבים (עמלות מכירה) וטיפול בהפרשים.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
10
מערכת שכר
בקרות בעת הפקת המשכורות (המשך):
• בדיקת הנתונים שהוזנו והתרעה על מקרים בהם חשבון
הבנק לתשלום כבר קיים במערכת אצל עובד אחר.
• בקרות המבטיחות כי חישוב המס והתוספות השונות נעשו
נכון ,ע"י שליפת נתונים מספריים מטבלאות נתונים שלא
ניתן לשנותן.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
11
מערכת שכר
תוכנית הביקורת:
•
•
•
•
•
חישוב תשלום ברוטו /נטו לכל עובד.
בחינת סבירות גובה התשלום לדרגה ,שעות
העבודה והחופשה.
השוואה בין תאריך תחילת העבודה ותאריך הלידה.
בדיקת דיווחי שעות /נסיעות בימי שבת וחג.
ביצוע בחינות אנליטיות לבחינת מספר העובדים
בהשוואה לתקופות קודמות ,ועל פני השנה.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
12
מערכת שכר
תוכנית הביקורת:
•
•
•
•
•
•
שליפת נתונים אודות עובדים חדשים ועובדים שפרשו.
האם קיימים עובדים שלא רשומים במערכת כ"א.
בחינה האם קיימים עובדים זמניים עם תנאים של עובדים
קבועים.
שליפת משכורות חריגות לצורך בדיקה מעמיקה יותר.
בחינת נתוני המשכורת של עובדים שלא מדווחים בשעון
נוכחות ,בהשוואה לעובדים שכן מדווחים.
בחינת ניכויי המס בעזרת נתוני מבחן ע"י הקמת ישות
דמה ,הזנת נתוני העובדים והשוואת התוצאות לתוצאות
החברה.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
13
מערכת מלאי
אפיון המערכת ותיחומה:
•
•
•
•
•
•
מערכת תפעולית המשלבת אלמנטים חשבונאיים.
ניהול רכש בארץ ו /או בחו"ל.
ניהול ייצור לרבות מלאי בתהליך ,מלאי חו"ג ומלאי
תוצרת גמורה.
ניהול מכירות.
מערכת פיננסית לניהול מלאי.
ניהול פריטי המלאי (תנועות בין מחסנים ,צפי רכישות,
קטלוג פריטים ,עצי מוצר ,ניהול ערך המלאי).
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
14
סביבת מערכת המלאי
מע' מלאי
חו"ג
מע' יבוא ורכש
הנהלת חשבונות
לקוחות ,ספקים
מע' שיווק
ייצור
מע'
שכר
2008
מע' מלאי
בתהליך ומלאי
תוצרת גמורה
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
15
מערכת מלאי -בדיקות
•
•
•
•
•
•
שדות -נומריות ,תאריכים ,הצלבות ,בדיקות קלט.
חתך של נתונים כך שמלאי שנמכר לא ידווח כמלאי
בספרים ,ושמקדמות לא יגרמו לגריעת מלאי מהספרים.
קביעת מחירים "תקניים" למלאי ע"י טבלאות ,תוך הקפדה
על אבטחת המידע.
ניהול עץ מוצר למעקב אחר עלויות המוצרים.
רישום תנועות בין מחסנים ומחלקות כ "מעין מכירה".
ביטול תנועות פנים חברתיות לצורך קביעת ערך המלאי.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
16
ERP
?ERP
מה זו מערכת
• מערכת אינטגרטיבית המתבססת על מאגר
נתונים מרכזי המאפשרת ניהול כולל לכל
הפונקציות והתהליכים בארגון.
• שימוש בבסיס נתונים אחד תוך שיתוף הנתונים
השונים ,תורם רבות לאמינות המערכת ושלמות
הנתונים.
סוגי מערכות ERPהנפוצות בשוק :
SAP, Oracle, BAAN
פריורטי ,אביב ,אלמוג וכד'
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
17
סיכונים פוטנציאליים במערכות ERP
• בסיס נתונים משותף
– קיימת חשיפה פוטנציאלית של המידע בפני כולם.
– טעויות שקרו במודול מסוים השתרשרו לכלל המערכת (לדוגמא :יתרות מלאי
שגויות עקב תרגום של תנועות לוגיסטיות שגויות ישירות אל פקודת יומן אוטומטית
על ידי המערכת)
– ספרים לא מעודכנים :עקב קליטת ממשקים חסרה או עקב בדיקות תקפות שבוצעו
על ידי המערכת וחלק מהתנועות לא עברו בספרים.
• מורכבות המערכת וממשק משתמש/מערכת
– מערכות ERPמכילות אלפי טבלאות ,עתירות בפרמטרים ורב שנתיות (לדוגמא
קיימים מספר רב של סוגי תאריכים) שקיים בהן פוטנציאל גבוה לטעויות ושגיאות
משתמשים.
– ממשק המשתמש :היכולת הטכנית והמחשובית הנדרשת ממשתמש הקצה הנה
גבוהה יחסית למערכות "רגילות".
• לוקליזציה :חלק מהמערכות הינן "יבוא" שעבר תהליכי "גיור" .הגדר לא נכונה של
המערכת עשוי להביא לכך שדוחות הנדרשים על פי חוק יהיו שגויים.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
18
השלכות המערכת על...
הנושא
השלכה על מנהל כספים
שימוש במערכת מדף יחסית
פונקציונליות
של מערכת ה -קשיחה שלא בהכרח מתאימה
ERP
לארגון .בעייתי במיוחד בחברות
גדולות וותיקות
השלכה על מבקר
(פנימי/חיצוני)
סיכון הביקורת יורד היות
והמדובר על מערכת שנוסתה
בעולם .יש לבחון את כמות
"ההתאמות שביצעה החברה".
איכות היישום תלות גבוהה באיכות היישום -ככל שרמת הבקרות ביישום
היכולת לשנות קיימת בשלב גבוהה כך גדלה ההסתמכות
וההטמעה
האיפיון.
בארגון
על המערכת (לדוג' שימוש
בהתאמות בינחברתיות)
רמת
הלןקליזציה
שבוצעה
בישראל
2008
החשיפה של הארגון לליקויים מול נדרשת בדיקה של התהליכים
לצורך
המופקים
וחלק והדוחות
(היות
המס
שלטונות
מהתוכנות לא נבנו במקור לצרכים הסתמכות עליהם (ניכוי במקור,
רכוש קבוע לצרכי מס וכד')
ישראלים)
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
19
השלכות המערכת על...
הנושא
השלכה על מנהל כספים
רקע טכנולוגי דרוש ורצוי מאד .בעיקר לצרכי
והבנה במחשוב הבנת התהליכים ,שימוש במחוללי
דוחות להגדרת דוחות חסרים,דוחות
בקרה ,דוחות חריגים וכד'
2008
השלכה על מבקר
(פנימי/חיצוני)
חובה .על פי ג"ד 66של לשכת
רואי החשבון.
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
20
-ERPהשפעה על הביקורת
יתרונות:
=ERPבסיס נתונים ארגוני כולל.
פתרון בעיית הממשקים בין המערכות השונות.
כל נתון נשמר רק פעם אחת.
מהווה בבסיסה תוכנת מדף.
הנתונים עקביים.
קיימים בעלים מוגדרים לכל נתון.
שילוב בקרות מובנות ושימוש בכלים הכלולים ב-
.DBMS
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
21
-ERPהשפעה על הביקורת
חסרונות:
כל הנתונים מרוכזים במקום אחד.
סיכון מהות גבוה יותר.
חשיבות הבקרות הכלליות (אבטחת מידע ,נוהלי פיתוח,
הפרדת תפקידים).
בעיות התאמה לכללי החשבונאות והמס בישראל (לוקליזציה)–
בעיית הממשקים חוזרת.
המערכת דורשת שינוי הרגלי העבודה בארגון וקיימות בעיות
הסתגלות.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
22
ביקורת מערכות ממוחשבות למסחר אלקטרוני ג"ד 95
הכרת העסק
• הפעילויות העסקיות של הגוף המבוקר והענף
– פעילות משלימה לפעילות "רגילה" או פעילות בלעדית של ס"א.
– סוג השירותים ו/או המוצרים הנמכרים באינטרנט.
– כאשר הענף בו פועל המבוקר מושפע במידה רבה מס"א
באינטרנט ,הסיכונים העיסקיים עולים.
• אסטרטגיית הסחר האלקטרוני של הגוף המבוקר
– בחינת מעורבות גורמי ההנהלה והבקרה בחברה בהתאמת
פעילויות הס"א לפעילויות החברה .האם הס"א מייצג פעילויות
חדשות או תומך בפעילויות קיימות ? האם מעמדה של החברה
משתנה בשוק ? או מול לקוחותיה ?
– השפעת הס"א על שולי הרווח בחברה ועל מקורות ההכנסה
– האם ההנהלה הגדירה וטיפלה ברמות הסיכון החדשות שנוצרו.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
23
ביקורת מערכות ממוחשבות למסחר אלקטרוני
• היקף פעילויות הסחר האלקטרוני של החברה
– דרכי שימוש בס"א
•
•
•
•
מידע בלבד (אתרים אינפורמטיבים)
הזמנות מלקוחות קיימים דרך האינטרנט
פתיחת מידע והזמנות מול לקוחות ושווקים חדשים
גישה לספקי שירותי ישומים
– ככל שרמת השימוש גבוהה יותר כך יש לבנות מערכי אבטחת מידע
נרחבים יותר אשר יענו על רמת הסיכון הגבוהה.
• הסדרי המיקור חוץ של החברה
• הגוף המבוקר עשוי להשתמש בגופים חיצוניים לתמיכה במערך הס"א לאור
המומחיות הגבוהה הדרושה .ספקי גישה לאינטרנט ,ספקי שירותי יישומים,
ספקי שירותי מסחר וכד'
• על המבקר לבחון את התהליכים שהועברו למיקור חוץ,לבדוק את ההסכמים
איתם ,לבחון צורך בבדיקת תהליכים הקשורים באותם ספקים וכד'.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
24
ביקורת מערכות ממוחשבות למסחר אלקטרוני
זיהוי סיכונים
•
•
סיכון לשלמות ומהימנות העסקאות עקב חוסר בנתיבי ביקורת.
סיכוני אבטחת מידע לרבות דליפת מידע ,וירוסים ,תרמיות ופגיעה
בסודיות.
מדיניות חשבונאית בנושאים קשורים – לדוג' הטיפול בעלויות הקמת אתר
אינטרנט ,הכרה בהכנסה מעסקאות החלפת פרסומות ,חוזים מורכבים,
שילוב של מספר מטבעות ,סוגיות של הכרה בהכנסה וכד'.
אי עמידה בדרישות המס וחוקים אחרים בעיקר בעסקאות חוצות גבולות.
קשיים באכיפה של חוזים אלקטרוניים.
נפילות של המערכת.
•
סיכוני תקשורת באופן כללי -פגיעה בסודיות באמצעות ,COOKIESתלות בשרידות רשת התקשורת (השבתה),
חשש לביצוע עסקאות לא מורשות
•
•
•
•
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
25
ביקורת מערכות ממוחשבות למסחר אלקטרוני
בקרות אבטחת מידע לצמצום הסיכונים
• בקרות בסביבת הארגון:
–
–
–
–
בקרות גישה ליישומים.
שימוש במנגנוני אבטחת מידע ,בין היתר לאבטחת אמצעי התשלום.
שמירת נתיבי ביקורת באמצעות יומן אירועים.
נקיטת אמצעים להגנה על הפרטיות.
• בקרות תקשורת:
– יישום בקרות מובנות (בקרות קלט ,סיכומים אוטומטיים וכו').
– הצפנה וחתימה דיגיטלית.
• אימות זהות הלקוחות והספקים
• הבטחת מהימנות העסקאות
• חוזי סחר בינלאומיים המבטיחים תנאי משלוח ,אשראי ,יישוב סכסוכים,
נוהלי אי הכחשה וכד'
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
26
ביקורת מערכות ממוחשבות למסחר אלקטרוני
שיקולים נוספים בבקרה הפנימית בנושאים הבאים:
• אבטחה -כאשר קיימת גישה של גורמים חיצוניים למערכות
המידע של הארגון בקרות האבטחה תוספות חשיבות עליונה.
על החברה לבצע סקר סיכונים ולקיים מדיניות אבטחת מידע
כתובה ,בכל הקשור לרישום ולעיבוד של עסקאות שבוצעו
באינטרנט.
רו"ח יתייחס לגורמים הבאים:
אפקטיביות השימוש בתוכנות הגנה מפני חדירת גורמיםחיצוניים ( , firewallאנטי-וירוס).
אפקטיביות השימוש בהצפנה בקרה על פיתוח ויישום מערכות למסחר אלקטרוני. יעילות הבקרות הקיימות בחברה והתאמתן לסביבה.2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
27
ביקורת מערכות ממוחשבות למסחר אלקטרוני
שיקולים נוספים בבקרה הפנימית בנושאים הבאים:
• שלמות העסקאות – בדר"כ פעולת רכישת מוצר גורמת למספר
פעולות אוטומטיות ,לכן נדרשות בקרות לוידוא:
תקפות הקלט. מניעת כפילות או השמטה של עסקאות. סיכום תנאי העסקה לפני ביצוע ההזמנה. זיהוי הצדדים לעסקה באופן חד חד ערכי. אף צד לא יכול להתכחש בשלב מאוחר יותר לביצוע העסקה ולתנאיה. אירועים חריגים שעשויים לגרום לכשל בהשלמת העסקה (נפילת מתח,כשל תקשורת)נשמרים.
מניעת ביצוע עסקאות שלא הושלמו רישום האירועים בכל אחת מהמערכות הרלוונטיות. גיבוי הנתונים ואבטחתם.2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
28
ביקורת מערכות ממוחשבות למסחר אלקטרוני
שיקולים נוספים בבקרה הפנימית בנושאים הבאים:
• אינטגרטיביות המערכת – הדרך שבה מערכות מידע
משולבות זו בזו ,ועל ידי כך מתפקדות כמערכת אחת.
עסקאות שנוצרו באתר החברה צריכות לעבור בצורה תקינה
למערכות המידע של החברה ,אחרת עשויה להיות השפעה
על:
שלמות ודיוק הרישום והעיבוד של העסקאות. עיתוי ההכרה בהכנסה ,רישום הוצאות. -זיהוי ורישום עסקאות עליהן יש עוררין.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
29
ביקורת מערכות ממוחשבות למסחר אלקטרוני
התייחסות לחוקים ותקנות:
• חבויות המס במדינות השונות ,תוך בחינת מדינת
רישום החברה ,מקום פעילות פיזי ,מיקום השרת,
מדינות המוצא והיעד למשלוח המוצרים.
• שמירה על הגנת הפרטיות בכל הנוגע למאגרי
מידע וסודיות המידע.
• יכולת לאכוף חוזים.
• חוקיות פעולות מסוימות – הפעלת אתרי קזינו,
הפרה של זכויות יוצרים.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
30
מסחר אלקטרוני
• היכולת לבצע החלפה של סחורות ושירותים ,בין שני
גופים ,או יותר ,על-ידי שימוש באמצעים אלקטרונים.
יתרונות
חסרונות
פרסום זול בהתחשב באלטרנטיבות.
אבטחת מידע
אמצעי להגדלת המסחר של החברה.
שינוי בהרגלי הצריכה.
תגובה מיידית של קהל היעד.
החשש הטבעי של הלקוחות.
נגישות חוצה גבולות.
יכולת הפצת מידע במהירות לתפוצה
רחבה.
מקור לניתוחי שוק.
פרסום זול בהתחשב באלטרנטיבות.
אמצעי להגדלת המסחר של החברה.
31
ביקורת מערכות מידע ממוחשבות – אודי בן-שימול
2008
חוק
חתימה אלקטרונית
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
32
חתימה אלקטרונית
החתימה האלקטרונית מסייעת בפתרון מספר
בעיות המאפיינות את המסחר האלקטרוני:
•
.1בעיית חוסר הוודאות
-קושי בזיהוי הצדדים.
.2בעיית אבטחת המידע המועבר ברשת האינטרנט הבטחת
שלמותו ואי שינויו.
.3
2008
קושי בזיהוי גמירות
דעת לגבי תוכן המסמך.
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
33
חתימה על מסמך
.1זיהוי הצדדים
.2מעידה על גמירות דעת להתחייב בתוכן
המסמך
חתימה של מסמך
מונעת שינוי המסמך לאחר החתימה
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
34
שימוש ב"גורם מאשר" מאפשר ייחוס החתימה לבעלי האמיתי
• CA- Certification Authority
• תפקיד של ה "גורם המאשר":
• צד שלישי ,שאינו קשור לעסקה ,המייחס אמצעי
חתימה מסוים לאדם מסוים ,באמצעות תעודה
אלקטרונית.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
35
מהי "חתימה"?
חתימה אלקטרונית רגילה
"חתימה שהיא מידע אלקטרוני או סימן
אלקטרוני ,שהוצמדו או שנקשרו למסר
אלקטרוני"
אין מניעה לעשות שימוש בחתימה כזו אך היא לא מעוגנת
בחוק הישראלי ולא רלוונטית להוראות ניהול ספרים.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
36
חתימה אלקטרונית מאובטחת
חתימה אשר מתקיימים בה כל אלה:
.1
היא ייחודית לחותם.
.2
היא מאפשרת זיהוי לכאורה של החותם.
.3
היא הופקה באמצעי חתימה הניתן לשליטתו הבלעדית
של החותם.
.4
היא מאפשרת לזהות שינוי שבוצע במסר האלקטרוני
לאחר מועד החתימה.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
37
מיקור חוץ
• נושאים שיש לתת עליהם את הדעת (המשך):
– שיקולי ביצוע :עמידה בכללים ואמות מידה מקצועיות,
המשכיות תפעולית ,בחינת הטכנולוגיה ,ניהול והדרכה
של צוות העובדים.
– סביבת הבקרה :חשאיות ,שלמות וזמינות המידע ,בקרות
תקשורת ,בקרות אבטחת מידע לוגיות ופיסיות ,ניהול
האבטחה.
– זכויות הביקורת :הבטחת נגישות המבקר לנתונים,
בהיקף מספק ,תוך התייחסות לתזמון ולמיקום.
– יחסי לקוח–ספק :יציבות פיננסית של הספק ,תכנון
אסטרטגי.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
38
מיקור חוץ
יתרונות
המערכת מתופעלת ע"י
מומחים.
מחויבים בזמן תגובה
מהיר של המערכת ,תוך
טיפול יעיל בתקלות
והפעלה מאתרים שונים.
האחרית על רישום
מאגרי מידע אם קיימים
חלה על המפעיל.
2008
חסרונות
תלות בגורם חיצוני
לתפעול השוטף.
עלות יקרה.
תקשורת ארצית עקב
הפריסה הרחבה,
מצריכה רמת אבטחה
גדולה יותר.
קיים חשש שמסמכי
מקור יגיעו ללקוח אחר.
בעיית סודיות המידע.
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
39
הוראות חוקיות רלוונטיות נמצא פירוט בשקפים
247והלאה
•
•
•
•
הוראות מס הכנסה /מע"מ ניהול פנקסי
חשבונות.
חוק המחשבים.
חוק הגנת הפרטיות.
חוק החתימה האלקטרונית.
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
40
מפל מים -מחזור חיים של מ"מ
– מחזור החיים של מערכת מידע – 15%
• פיתוח מערכת מידע הינו תהליך הנדסי המתבצע
באמצעות אנשי מקצוע ,משתמשים ,מתודולוגיות
וכלי תוכנה .הפיתוח מורכב מארבעה שלבים
עיקרים :הגדרה ,בניה ,ישום ותפעול .פירוט
שלבים עיקריים של פיתוח מערכות מידע :הגדרה:
ניתוח ראשוני ,חקר ישימות ,ניתוח המידע ,עיצוב
מערכת ,בניה :תכנות (או רכישת תוכנה) ,פיתוח
נהלים יישום :הדרכה והטמעה ,הסבה והתקנה
תפעול :תפעול ואחזקה ,בקרה וסיום
כדאי להגדיל את הטבלה ב WORD
פעילות
תוכן
מבצעים
גוף מאשר
תיעוד
מעורבות רו"ח
.1ניתוח ראשוני
צורכי המידע ,גבולות המערכת ,מקום המערכת ,נפח הנתונים
מנתח מערכת,
משתמש והנהלה
דוח מושגי ראשוני (בשפת
מעורב
ומקורותיהם
משתמש
.2חקר ישימות
ישימות כלכלית ,טכנולוגית וארגונית
מנתח מערכת,
משתמש והנהלה
דוח חקר ישימות (בשפת
לא מעורב
.3ניתוח מידע
מפרטים לוגיים של המערכת ,ניתוח מערכת נוכחית מול צורכי המידע,
מנתח מערכת,
הנהלה
דוח ניתוח מערכת (בשפת
מעורב
תוכנית פרויקט ומשאבים נדרשים
משתמש
מפרטי תוכניות וקבצים ,מפרטי נהלים ,מפרטי ניסוי והסבה ,בדיקות
מעצב מערכת
משתמש ,הנהלה ,יחידת מפרטי תוכניות ,מפרטי נהלים,
משתמש)
משתמש
.4עיצוב
ישימות ,תהליך בחירת תוכנה וחומרה
משתמש)
משתמש)
לא מעורב
מע' מידע
מפרטי ניסוי (תיק בחינה)
מתכנת ראשי ,מעצב
תוכניות ,ספרי הדרכה למפעילים לא מעורב ואסור
.5תכנות
קידוד תוכניות ,ניסוי תוכניות ,תיעוד ,ניסוי מערכתי (סביבת ניסוי)
מתכנת
.6פיתוח נהלים
כתיבת נהלים וניסויים למשתמשים ולאנשי קלט
משתמש ,מעצב
משתמש ,מבקר מערכות נהלים
מערכת ומנתח
מידע
.7יישום
הדרכה ,הסבת נהלים ,הסבת קבצים ותוכניות מחשב ,בדיקות קבלה על משתמש ,מעצב
מערכת
ואנשי קלט
שתהיה לו כל
מעורבות
לא מעורב
מערכת
ידי משתמשים
מערכת ,מפעילים,
משתמש ,מבקר מערכות יומן הסבה
מעורב
מידע
מנתח מערכות
מפעילים ,מנתח
.8תפעול ואחזקה
תפעול המערכת ,טיפול בשינויים ,אחזקה
.9בקרת מערכת
סקירת מטרות המערכת ,יתרונותיה וחסרונותיה ,הערכת תפעול
משתמש ,מנתח
המערכת
מערכת ,מבקר
מנהל תפעול
יומן שינויים ויומן אחזקה
מידע ,מבקר מע'
מעורב
יישום ג"ד 66ו89 -
מידע
משתמש ,הנהלה
דוח בקרת מערכת
מעורב
מערכות מידע
.10סיום
בדיקה האם יש לנטוש את המערכת או להחליפה
משתמש ,מנתח
מערכת
הנהלה
ממצאי הבדיקה וההחלטה
מעורב
תרגול –
קיץ 97
6
מערכת מלאי ,מערכת שכר ,העברה בין ממשקיםon-line ,DB ,
קיץ 99
8
לשכת שירותERP ,
חורף 2001
9
הסבת נותנים והחלפת מערכת ,Billing ,שינויים בתוכנות ,אתר אינטרנט
קיץ 2002
9
שאלה כללית לגבי ביקורת ממ"מ ,החלפת מערכת
קיץ -2002מיוחד
9
מערכת מורכבת ממספר תוכנות ,סיכונים,בקרותDB ,
חורף 2002
9
דגשים בביקורת ממ"מ ,החלפת מערכת ,פיתוח תוכנה
קיץ 2003
9
סקר סיכונים ,תוכנית ביקורת לשימוש תוכנה סטטיסטית ,ביקורת מערכת
העברת כספים ,ביקורת באמצעות "סניף דמה".
חורף 2003
8
מעבר ל ,ERP -הסבת נתונים ומעבר תוכנה ,מושגים ,כריית נתונים
קיץ 2004
8
קשר עם מבקר פנים ,מערכת מכירות ומלאי ,טכניקות ביקורתCAAT ,
חורף 2005
8
סקר בקרות ,מעגל הכנסות ,החלפת מערכת ,חשיפות ושכר
קיץ 2006
9
אבטחת מידע ,החלפת תוכנה ,חשבונית מס אלקטרונית
חורף 2006
9
מסחר באינטרנט ,חשיפות בקרות וביקורת CAAT’s
קיץ 2007
9
לשכת שירות ,מבקר פנים
2008
ביקורת מערכות מידע ממוחשבות – אודי בן-
שימול
43