ביקורת ממ”מ - הצורך והמהות
Download
Report
Transcript ביקורת ממ”מ - הצורך והמהות
ביקורת מערכות מידע ממוחשבות
יואב פיאטקובסקי ,רו"ח
1
ביקורת מערכות מידע ממוחשבות
דצמבר2007 ,
תוכן עניינים
עמוד
•
•
•
•
•
•
•
•
•
•
2
מושגי יסוד במערכות מידע
ביקורת ממ”מ -הצורך והמהות
תהליך ביצוע ביקורת ממ”מ
בקרות ונתיבי ביקורת בממ”מ
ביקורת ממ”מ ביישומים
עקרונות אבטחת מידע בממ”מ
הוראות וחקיקה רלוונטית
הסביבה הטכנולוגית של ממ”מ
פיתוח רכישה ותחזוקה של מערכות מידע
סוגיות מיוחדות בביקורת ממ”מ
ביקורת מערכות מידע ממוחשבות
3
14
35
54
74
90
109
114
135
137
פברואר2005 ,
מושגי יסוד במערכות מידע
מרכיבי מערכת מידע
•
•
•
•
•
•
•
חומרה ()Hardware
תוכנה ()Software
נתונים ומידע ))Data
מסמכי מקור -קלט ))Input
תוצאות עיבוד -פלט ))Output
נהלים -הפעלה ))Procedures
בני אדם -משתמשים ))Users
• מפעילים
• צרכני מידע
3
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
מושגי יסוד במערכות מידע
היררכיה של מערכת מידע
מערכת ()System
תת-מערכת/מודול ()Sub System/Module
יישום/אפליקציה ()Application
תוכנית מחשב ()Program
• מהי מערכת ? -תלוי בנקודת המבט והמיקום בהיררכיה.
• יש להגדיר את גבולות המערכת ( ,)Scopeעל מנת שכולם ידעו במה מדובר.
4
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
מושגי יסוד במערכות מידע
התפתחות היסטורית של ממ”מ בארגונים
•
•
•
•
•
•
•
5
לפני שנות ה :50 -אמצעים ידניים בלבד.
בשנות ה :50 -מחשבים מדור ( Iמכונות קונבנציונליות לסוג פעולה מסוים
בחלק מהארגונים שהתבססו על נורות/שפורפרות).
בשנות ה :60 -מחשבים מדור ( IIמהפיכה של המצאת הטרנזיסטור
שהקטינה את השטח הנדרש למחשב ואת עלות המחשוב ,והעלתה בצורה
ניכרת את האמינות) ,עיבוד נתונים באצווה (Batch).
בשנות ה :70 -גישה למידע מאתר מרוחק (מהפיכת המסופים).
בשנות ה :80 -עיבוד נתונים במקוון ( ,)Onlineחדירת מחשבים אישיים ()PC
מחליפה תהליכי ניהול ידניים ויוצרת פיזור בסיסי מידע.
בשנות ה :90 -פריצת דרך בתחום התקשורת ויצירת יחס חליפין בין ריכוז
לביזור מבחינת הארכיטקטורה של ממ”מ.
תחילת המאה ה :21 -מהפיכת תקשורת בכיוונים טכנולוגיים שונים.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
מושגי יסוד במערכות מידע
גישות לעיבוד נתונים
• עיבוד אצווה ( - )Batchיצירת הקלט מתבצעת בנפרד מהזנתו
(ביחידת המחשב).
•
•
•
•
תשתית נוהלית.
טפסים מיוחדים לניקוב.
עבודה במנות.
הרחקת מוקד השליטה מהמידע (בעיה של עדכניות וזמינות נתונים).
• הזנת נתונים ישירה (“ - )Data Entryהתקרבות” למשתמש,
למרות שחלק גדול מבדיקות הקלט מבוצעות רק בשלב העיבוד.
• עיבוד במקוון ( - )Onlineעבודה ישירה עם קבצי הנתונים
“האמיתיים” וביצוע בקרות בעת הזנת/עדכון/שליפת מידע.
• מידע זמין ומותאם יותר לארגון.
• המחשב משמש ככלי בתהליכי העבודה בארגון ולא רק לרישום אירועים
הסטוריים.
6
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
מושגי יסוד במערכות מידע
ארכיטקטורה של ממ”מ
• מבנה ריכוזי -מחשב מרכזי ( )Mainframeמחובר למסופים
“טיפשים” )Terminals).
• יתרונות -הנתונים נמצאים במאגר מידע אחד ,אמיתי ,עדכני וזמין.
פתרון טוב אם הנתונים מגיעים ברובם ממקור חיצוני אחד ,אם קיים צורך
במידע אינטגרטיבי ,ואם לפיקוח על המידע חשיבות עליונה להנהלת הארגון.
• חסרונות -נתק אפשרי בין המשתמש למחשב.
דרושה השקעה גדולה בתקשורת (התקני תקשורת) על מנת לאפשר אמינות
וזמינות גבוהה.
אבטחת מידע גדולה יותר (הרבה משתמשים מול מאגר מידע אחד).
ריכוזיות ניהול שירות ותחזוקה של המערכת.
7
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
מושגי יסוד במערכות מידע
ארכיטקטורה של ממ”מ (המשך…)
• מבנה מבוזר “ -תחנות עבודה” עצמאיות המחוברות ברשת
תקשורת מקומית ( )Local Area Network - LANו/או רשת
תקשורת ארצית/רחבה (.)Wide Area Network - WAN
בנוסף ל”תחנות העבודה” של המשתמשים (בד”כ )PCקיימים ברשת מחשב
אחד או מספר מחשבים המנהלים את המרכיבים השונים שלה:
• שרת תקשורת/קבצים ()Network/Communication/File Server
• שרת יישומים ()Application Server
• שרת בסיסי נתונים ()Database Server
• יתרונות -אי תלות בין מרכז הארגון לסניפים בגלל פריסה גיאוגרפית .משתמש
יכול לעבוד מול “תחנת העבודה” המקומית ומול מאגר מרכזי במקביל .חלוקה
מסודרת בין חלקי המידע בארגון.
• חסרונות -מורכבות הארכיטקטורה של המבנה דורשת בקרות רבות ותאימות
בין כל המרכיבים .מישקים רבים בין ממ”מ לצורך יצירת מידע אינטגרטיבי,
עדכני וזמין.
8
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
מושגי יסוד במערכות מידע
ארכיטקטורה של ממ”מ (המשך…)
• טופולוגיה -אופן הקישור בין אלמנטים שונים במערכת
“כוכב” ()Star
9
“טבעת” ()Ring
“יהלום” ))Diamond
ביקורת מערכות מידע ממוחשבות
“עורק” ))Bus
פברואר2005 ,
מושגי יסוד במערכות מידע
ארכיטקטורה של ממ”מ (המשך…)
• דוגמא למבנה מבוזר -מבנה של “אשכולות”
מרכז
מטה/הנהלה
מחוז/מרחב
צפון
10
מחוז/מרחב
מרכז
LAN
WAN
LAN
מחוז/מרחב
דרום
LAN
LAN
סניף
3
סניף
2
סניף
1
סניף
3
סניף
2
סניף
1
סניף
3
סניף
2
סניף
1
LAN
LAN
LAN
LAN
LAN
LAN
LAN
LAN
LAN
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
מושגי יסוד במערכות מידע
“השכבות” השונות של התוכנה
פיתוח/יישומים ()Applications
נתוני תשתית/בסיס נתונים ()Database
תקשורת ()Communication
מערכת ההפעלה ()Operating System
חומרה ()Hardware
11
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
מושגי יסוד במערכות מידע
שכבת הפיתוח/היישום -התפתחות היסטורית
•
•
•
•
שפת “מכונה” ASSEMBLER /
שפות דור - IIשפות עיליות ))COBOL, BASIC
שפות דור - IIIשפות מבניות ()PASCAL, C
שפות דור - IVמחוללי יישומים ()Access, Magic
תהליך “התרחקות” של סביבת הפיתוח/היישום
מהחומרה (מבחינת תלות -יבילות).
12
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
מושגי יסוד במערכות מידע
שכבת מערכת ההפעלה -מבנה פנימי
תוכניות עזר ()Utilities
מערכת קבצים ()File System
גרעין ()Core
13
ביקורת מערכות מידע ממוחשבות
חומרה
פברואר2005 ,
ביקורת ממ”מ -הצורך והמהות
התפתחות ביקורת ממ”מ
ביקורת ענ”א (עיבוד נתונים אלקטרוני) EDP Auditing -
שנות ה 80 -המאוחרות
ביקורת ובקרה במערכות מידע IS Auditing & Control -
שנות ה 90 -המאוחרות
ביקורת של טכנולוגיות מידע IT Auditing -
מתודולוגית לימוד
מערכות מידע
ביקורת מערכות מידע
תירגול
• ביקורת ממ”מ -בדיקה לאחר מעשה
• בקרה בממ”מ -אמצעי בקרה המשולבים בממ”מ בעזרתם מונעים דברים לא
רצויים.
14
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ -הצורך והמהות
צרכנים
• מחוץ לארגון -מבקר חיצוני (רו”ח) ,מבקר המדינה
• בתוך הארגון -מבקר פנימי ,מנהל כספים ,מנהל מערכות מידע
מהות
• כללי -אמצעי לבדיקת דרך קבלת החלטות ,תהליכי עבודה
ותוצרים בהם מהווה המחשב מרכיב עליו מסתמך הארגון.
• מבקר החשבונות -ביצוע פעולות בלתי תלויות של איסוף,
מדידה והערכה כדי לקבוע אם הבקרות הפנימיות מתפקדות על
פי מדיניות חשבונאית המבטיחה דיוק ,אמינות ושלמות
הנתונים ,שמירה על נכסי הארגון ורישום יעיל של פעילויות
במערכות המידע הממוחשבות ובמערכות ידניות הקשורות להן.
15
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ -הצורך והמהות
בעיות שעומדות בפני רואה החשבון
•
•
•
•
•
•
16
לא ניתן לעבור על נתיב הביקורת מבלי להסתמך על ממ”מ.
חוסר דיוק אמינות ושלמות הנתונים בממ”מ.
הסתמכות רבה על דוחות סופיים של ממ”מ המשמשים לצורך
רישום חשבונאי.
כמויות נתונים גדולות וקשרים מורכבים בין נתונים מחייבים
שליפת נתונים חריגים.
חלק מהפעילות החשבונאית הנה תוצר של ממ”מ ולא נתמכת
על ידי מסמך מקור המהווה אסמכתא.
קבלת מידע מגורמי חוץ באמצעים ממוכנים ישירות לממ”מ
אינה מאפשרת השוואה עם אסמכתאות.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ -הצורך והמהות
הצורך בביקורת ממ”מ
•
•
•
•
•
•
17
נתונים ומידע הנם משאב קריטי לארגון.
מחשבים מבצעים פעולות קריטיות בארגון.
עלות גבוהה של שגיאות מחשב.
כללי החלטה שגויים במערכת מחשב משפיעים על החלטות
ניהוליות שגויות.
שווי כספי גבוה של משאבים המושקעים במחשוב.
מעילות מחשב הנם מתוחכמות ובסכומים גבוהים.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ -הצורך והמהות
תכולה
•
•
•
•
•
בדיקה פיזית של יחידת המחשב והחומרה.
בדיקת תוכניות עבודה ,דרך קבלת החלטות ,תכנונים לטווח
ארוך ,תהליכי גיבוי והתאוששות ותוכנית לשעת חירום בנושא
מחשוב.
בדיקת אבטחת המידע.
בדיקת היעילות והאפקטיביות הכוללת של ממ”מ.
בדיקה ספציפית של היישומים הפועלים בממ”מ.
דגשים שונים עבור כל נושא ועבור כל צרכן.
18
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ -הצורך והמהות
מטרות
• בקרה ארגונית -
•
•
•
•
•
•
•
קיום דרישות חיצוניות (חוקים ,תקנות ,גילויי דעת וכו’).
השגת יעדים על בסיס עלות-תועלת.
התאמה בין תחומי אחריות לצרכים ויעדים.
יישום ועדכון מדיניות ,תקנים ונהלים בהתאם לצרכים.
התאמת אמצעי המחשוב לצרכים וליעדים.
קיום תהליכי בקרת איכות על הפעילויות בממ”מ.
תכנון תקצוב ובקרה בנושא הקצאת משאבים.
• רכש -
• רכש ציוד ושירותים מבוסס על בחינת צרכים.
• תקינות תהליך הרכש.
19
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ -הצורך והמהות
מטרות (המשך)...
• תפעול -
•
•
•
•
•
שימוש יעיל במשאבי מחשוב וביצוע פעילויות בהתאם להנחיות.
קביעת לוחות זמנים ,סדרי עדיפויות ,אמצעי בקרה ותיעוד לעיבוד מידע.
קיום אמצעים לבדיקת יעילות ומדידת ביצועים של אמצעי חומרה ותוכנה.
יישום בקרות על תחזוקת ספריות ,קבצי נתונים ותוכניות מחשב.
קיום תחזוקה מונעת.
• פיתוח תוכנה -
• בקרה על תוכניות היישום כולל קיום נתיבי ביקורת.
• קיום הפרדת סמכויות בהפעלת אמצעי תוכנה.
• שמירה על עקרונות ותקנים מקובלים תוך התבססות על מתודולוגיה אמינה של
תהליך הפיתוח לאורך כל מחזור חיי המערכת.
20
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ -הצורך והמהות
בעיות במערכות מידע ממוחשבות
• שימוש בלתי נאות בטכנולוגיה.
• חוסר התאמה לצרכים ולדרישות.
• תהליכי עיבוד וגיבוי אורכים זמן רב מדי.
• אי קיום מידע זמין בחתכים רצויים.
נכון גם לגבי “פיגור טכנולוגי” וגם לגבי “קידום טכנולוגי”.
•
•
•
•
•
21
שגיאות חוזרות על עצמן.
השפעת “דומינו” של שגיאות -שגיאה בתהליך אחד משפיעה
על תהליכים אחרים.
ביצוע לא נכון של מהלכים אוטומטיים (עיבוד “בלתי לוגי”).
חוסר יכולת של תרגום צרכי משתמשים לדרישות טכנולוגיות.
חוסר יכולת לתגובה מהירה (בשינוי תהליכים ותיקון שגיאות).
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ -הצורך והמהות
קשיים באיסוף ממצאי ביקורת בסביבת ממ”מ
•
•
•
•
•
22
תלות באמינות תוכניות ונתוני מחשב לצורך השוואת רישומים
חשבונאיים לנכסים/התחייבויות שהן מייצגים.
אפשרויות מעקב מוגבלות אחר תהליכי העיבוד (חוסר ב”נתיבי
ביקורת” מלאים).
תנועות נוצרות באופן אוטומטי ואינם נתמכות ע”י מסמך מקור
או תהליך חיצוני (הבקרות מובנות כחלק מהתהליך).
הקלט לעיבוד אינו תמיד מסמך ידני (יכול להתקבל על גבי
מדיה מגנטית או בתקשורת מממ”מ אחרת) ,ולכן הוא ניתן
לקריאה רק באמצעים מיוחדים.
הרשאה וחתימה ידנית לא תמיד קיימת (שימוש בכלי אבטחת
מידע ,כגון :סיסמאות והרשאות ,כרטיסים מגנטיים וחתימות
דיגיטליות).
פברואר2005 ,
ביקורת מערכות מידע ממוחשבות
ביקורת ממ”מ -הצורך והמהות
קשיים באיסוף ממצאי ביקורת בסביבת ממ”מ (המשך…)
• העברת מידע מ/אל הארגון ללא מסמכים ידניים תומכים -
שימוש בהעברת קבצים/נתונים בין מחשבים ,כגון:
)• File Transfer (FT
)• Electronic Data Interchange (EDI
)• Electronic Funds Transfer (EFT
• שילוב של טבלאות פרמטרים ונוסחאות בתוך התוכניות
(שע”ח ,מדדים ,שערי ריבית וכו’).
• יכולת קריאת מידע המאוחסן על מדיה מגנטית תלויה
בתוכניות.
23
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ -הצורך והמהות
אסטרטגיות ביקורת
• ביקורת “מסביב למחשב” (- )Around the Computer
התייחסות למחשב כאל “קופסה שחורה”.
מסמכי מקור (קלט)
•
•
•
•
•
24
ממ”מ
דוחות סופיים (פלט)
מערכת פשוטה -רישום אירועים על סמך מסמכי מקור (ולא עדכון אירועים).
ניתן להגיע מהפלט הממוחשב ישירות למסמך המקור ששימש כקלט ללא בדיקת
המערכת.
שימוש בחבילת תוכנה סטנדרטית ואמינה (כמות משתמשים גדולה ,בקרות
ותהליכים שתומכים במגוון גדול פעילויות בארגונים שונים ,תיקון מיידי של
שגיאות על ידי הספק).
הלוגיקה של המערכת זהה למערכת ידנית (ולכן ניתן לבדוק את מסמכי המקור
ישירות מהפלטים).
נתיבי ביקורת ברורים -רלוונטי למספר יישומים מצומצם.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ -הצורך והמהות
אסטרטגיות ביקורת (המשך)...
עם זאת יש לבדוק:
התקנת התוכנה עפ”י הוראות הספק.
-
-
התאמת התוכנה לנהלים ולכללים החשבונאיים בארגון.
קיום אמצעי אבטחת מידע ובקרה לגבי כל הפונקציות בתוכנה.
ניתוח הנתונים במערכת במטרה לוודא שאין ניצול לרעה של הרשאות
לצורך רישום/שינוי מידע במערכת.
( )+פשטות
( _) רלוונטי למספר מצומצם של יישומים
25
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ -הצורך והמהות
אסטרטגיות ביקורת (המשך)...
• ביקורת ”דרך” המחשב ( - )Through the Computerבדיקה
של המערכת הממוחשבת עצמה (לוגיקה ,בקרות ,רשומות
מעובדות).
•
•
•
•
נפחי קלט/פלט גדולים (ניתן לצמצם את היקף המדגם אם הלוגיקה נכונה).
בקרות פנימיות משולבות ביישום הממוחשב.
נתיבי הביקורת במערכת אינם ברורים באופן מיידי.
ניתן לביצוע באמצעים ידניים או בעזרת מחשב (By the Computer).
( )+תמונה אמינה ואיכותית
( _) כרוך בהשקעת משאבים
26
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ -הצורך והמהות
עקרונות ג”ד - 66הנחיות ליישום תקני ביקורת בסביבה של
ממ”מ (תקני ביקורת ודיווח מס’ 5,8,9,10של לשכת רו”ח)
• מטרות הביקורת והיקפה אינם משתנים בסביבה של ממ”מ.
• סביבה של ממ”מ עשויה להשפיע על נהלי הביקורת ,הערכת
הסיכונים ועל תכנון וביצוע הבדיקות.
• מיומנות מקצועית -על מבקר החשבונות להיות בעל הבנה
מספקת בממ”מ באופן שיוכל לתכנן ,להנחות ,לפקח ולסקור
את העבודה המתבצעת .על המבקר לשקול האם יש צורך
בכישורים מיוחדים בממ”מ ,העשויים להיות נחוצים לצורך:
27
הבנה מספקת של המערכת החשבונאית ומערכת הבקרה הפנימית
המושפעות על ידי סביבת ממ”מ.
השפעת סביבת ממ”מ על הערכת הסיכונים.
תכנון וביצוע בדיקות נאותות של הבקרה הפנימית ובדיקות מבססות.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ -הצורך והמהות
עקרונות ג”ד ( 66המשך…)
• אם יש צורך בכישורים מיוחדים בממ”מ ,על המבקר להיעזר
במומחים מטעמו או חיצוניים.
• תכנון -על המבקר להיות בעל הבנה מספקת במערכת
החשבונאית ובמערכת הבקרה הפנימית ,אשר תאפשר לו לתכנן
את הביקורת כיאות .במסגרת זו יש לאסוף מידע אודות סביבת
ממ”מ ,הנוגע לתוכנית הביקורת (נספח א’).
• הבנת חשיבות פעילויות ממ”מ ,מורכבותן וזמינות הנתונים
שעשויים להידרש לשימוש הביקורת.
• משמעות עיבוד הנתונים במחשב ומורכבותו בכל יישום חשבונאי משמעותי.
(מורכבות -נפח עסקאות שאינו מאפשר זיהוי שגיאות ותיקון טעויות בעיבוד,
יצירת תנועות אוטומטיות ביישום אחד עבור יישום אחר ,העברת נתונים
אלקטרונית בין ארגונים .משמעותיות -מהותיות הנתונים המוצגים בדוחות
הכספיים ומושפעים ע”י עיבוד נתונים במחשב).
28
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ -הצורך והמהות
עקרונות ג”ד ( 66המשך…)
• מבנה ארגוני של פעילויות ממ”מ ומידת ריכוז/ביזור העיבודים בכל הקשור
להשפעתן על הפרדת תפקידים.
• סקר בקרה פנימית -סקירת המערכת החשבונאית בסביבת
ממ”מ בהיקף הדרוש להבנת זרימת הנתונים ומכלול אמצעי
הבקרה הקיימים במערכת והשפעתם על המצגים בדוחות
הכספיים.
• זיהוי ,בדיקה והערכה של:
אמצעי בקרה ידניים ()Manual Controls אמצעי בקרה כלליים/בקרות כלליות ()General Controls -בקרות יישום ()Application Controls
• הערכת סיכונים -בחינת ההשפעה של סביבת ממ”מ על הערכת
הסיכונים שבמהות והערכת סיכוני הבקרה.
29
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ -הצורך והמהות
עקרונות ג”ד ( 66המשך…)
+
+
העדר אסמכתאות בכתב.
חוסר בנתיבי ביקורת.
עיבוד אחיד של תנועות.
העדר מערך מבדק פנימי נאות.
השלכות של שגיאות ואי סדרים.
הפחתה במעורבות הגורם האנושי.
יישום או ביצוע של תנועות.
תלות בבקרות של עיבודי מחשב.
פוטנציאל להגברת הפיקוח של ההנהלה.
פוטנציאל לשימוש בטכניקות ביקורת בעזרת מחשב.
• לסיכונים כאמור עלולה להיות השפעה כללית והשפעה
נקודתית על ההסתברות לקיומם של פריטים מטעים מהותיים
בדוחות הכספיים.
30
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ -הצורך והמהות
עקרונות ג”ד ( 66המשך…)
• ראיות ביקורת -נהלים לאיסוף ראיות ביקורת בסביבת ממ”מ
עשויים להיות מושפעים משיטות עיבוד הנתונים.
• נוהלי ביקורת ידניים.
• נוהלי ביקורת באמצעות מחשב (כאשר יש קשיים באיסוף ממצאי ביקורת).
• שילוב בין השניים.
חובה לנהל ולשמור ראיות ביקורת על מדיה כלשהי (“רישומים שיטתיים”
הכוללים פרטים על תכנון ,ביצוע וממצאים).
31
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ -הצורך והמהות
מבנה ארגוני מייצג של יחידת מערכות מידע
מנהל מערכות מידע
MIS
אבטחת איכות תוכנה
SQA
אחראי בסיס נתונים
DBA
אחראי אבטחת מידע
Security admin.
הפעלה
Operation
יישומים
Applications
מפעילים
Operators
מנתחי מערכות
Systems Analysts
רישות
Cabeling
ינתינכות System
Programmers
תוכניתנים
Programmers
תקשורת
Communication
מנהל רשת
LAN admin.
תמיכה במשתמשים
Help Desk
32
תשתיות חומרה
Infrastructure
מלאי
הנח”ש
שכר
•
•
•
ביקורת מערכות מידע ממוחשבות
תחזוקה
Maintenance
פברואר2005 ,
ביקורת ממ”מ -הצורך והמהות
עיבוד מידע -השלכות על ביקורת ובקרה
• הפרדת תפקידים/סמכויות בפונקציות ארגוניות (הרשאות)
•
•
•
•
יצירת תנועות
אישור פעולות
רישום פעולות
אחזקת רשומות
• האצלת סמכויות
•
•
•
•
•
33
ישות ארגונית אחת אחראית על כל נושא המחשוב (פונקציה של מתן שירותים)
מנהל יחידה עסקית בארגון אינו יכול לשלוט ולבקר את כל האספקטים של
עיבוד המידע.
קביעת היררכיה
מתן סמכויות ייחודיות ובלעדיות
ניהול משאבים המשותפים למספר רב של משתמשים (למשלDBA) ,
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ -הצורך והמהות
עיבוד מידע -השלכות על ביקורת ובקרה (המשך…)
• ריכוז אחריות
• בגלל מורכבות טכנולוגית ומיומנות מקצועית (למשל ,תקשורת)
• הפרדת סביבות עבודה
• “סביבה” -מכלול משאבי המערכת הנדרשים לצורך ביצוע פעילות מסוימת.
מפתח/תוכניתן
סביבת פיתוח
בודק ()SQA
לבדיקה
Development
סביבת בדיקות
Test
לעבודה
סביבת ייצור
Production
הסביבה “החיה””/האמיתית”
לתיקוני
ם
34
משתמש
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תהליך ביצוע ביקורת ממ”מ
מטרות המבקר
• לבדוק את איכות המידע -שלמות ודיוק הנתונים בממ”מ
• לבדוק את איכות הבקרות הפנימיות בממ”מ -מניעת דברים
בלתי רצויים
• לשפר את תהליכי הביקורת
שלבי הביקורת
• סקירה כללית של ממ”מ
• איסוף מידע.
• איסוף מידע בסיסי על סביבת ממ”מ בארגון (נספח א’ לג”ד .)66
• שימוש בטכניקות איסוף מידע שונות :עריכת ראיונות עם אנשי מפתח ומשתמשים,
צפייה בפעילויות ,בחינת תיעוד רלוונטי ,הכנת תרשימי זרימה/טבלאות החלטה
וכו’.
35
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תהליך ביצוע ביקורת ממ”מ
• סקירה כללית של ממ”מ (המשך…)
• זיהוי איומים וניתוח סיכונים.
• עריכת סקר סיכונים לצורך קביעת סדרי עדיפויות בביקורת עצמה.
• קביעת יעדי הביקורת.
• הגדרת תחולת הבדיקות שיבוצעו.
• קביעת לוחות זמנים וסדרי עדיפויות כלליים (לא ניתן לבדוק הכל בשנה).
• איסוף מידע מפורט על הבקרות שבשימוש.
• שימוש בטכניקות של שאלוני ביקורת ומטריצות בקרה.
• הכנת תוכנית עבודה לביקורת.
• הכנת תוכנית רב-שנתית.
• מעקב אחר שינויים בסביבת ממ”מ (כניסת מערכות/טכנולוגיות חדשות).
• עדכון סדרי עדיפויות.
36
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תהליך ביצוע ביקורת ממ”מ
• בדיקת תקפות הבקרות ()Compliance Tests
•
•
•
•
•
•
וידוא כי הבקרות הקיימות פועלות כנדרש.
וידוא כי הבקרות שולבו בזמן ובמקום הנכון.
וידוא כי הבקרות תואמות מדיניות ,נהלים ודרישות חוקיות.
וידוא כי הבקרות יעילות ואפקטיביות ,ואין דרך לעקוף אותן.
הטכניקות משתנות בעקבות שיקולי היקף שעות העבודה והתקציב העומד
לרשות המבקר ובעקבות הערכת איכות הבקרות בשלב הקודם ובמהלך שלב זה.
בעקרון -יש לבצע מבחן ( )Test Dataשתפקידו לבדוק את התהליכים
המתבצעים במערכת ואת התוצאות המתקבלות.
•
•
•
•
37
תכנון והגדרת סדרה של אירועים שיוזנו למערכת (דורש מיומנות רבה).
התחשבות בתלות בין אירועים.
בחירת משתנים חשובים ,תוך הימנעות מבדיקת שגיאות טכניות.
התייחסות להיבטים אנושיים -פיקוח על מפעילים ומשתמשים.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תהליך ביצוע ביקורת ממ”מ
• עריכת בדיקות מבססות ()Substantive Tests
•
•
•
•
•
בדיקת איכות המידע והנתונים במערכת.
השוואת הנתונים במחשב מול נתונים פיזיים.
אימות נתונים מול גורמי חוץ.
זיהוי נתונים בלתי עקביים.
זיהוי עיבודים שגויים וטעויות חישוב.
• הערכה כוללת של הביקורת
• ריכוז הממצאים שנתגלו והשלכותיהם.
• הערכת מצב הבקרה הפנימית.
• דיווח לגבי ממצאים והמלצות
• הכנת דוח ביקורת מסכם הכולל ממצאים והמלצות לפתרון.
ממצא ללא המלצה לפתרון אינו יכול להיות מדווח כבעיה.
38
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תהליך ביצוע ביקורת ממ”מ
סקר סיכונים (דוגמא למודל)
• סיכונים -נובעים מתהליכים/פעילויות
• איומים -נובעים ממשתמשים/מערכת מידע
39
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תהליך ביצוע ביקורת ממ”מ
שיטות וכלים לביצוע הביקורת
• שימוש בשאלון ביקורת.
•
•
•
•
•
שימוש בניסוח אחיד (תשובה שלילית = ליקוי ,או להפך).
שימוש בשאלון סטנדרטי מוכן הכולל מקום לשאלות ספציפיות לכל ארגון.
מתאים יותר לבדיקה במהלך הביקורת השוטפת (חלק מסקר בקרה פנימית)
ופחות לצורך הדיווח השנתי.
בד”כ לא נועד לבדיקת ערכים מסוימים המוצגים בדוחות הכספיים.
ניתן להגדיר בשאלון תחומים לבדיקה באמצעות טכניקות מתוחכמות יותר.
( )+פשטות -זמן קצר להכנה ולבדיקה.
( _) קשה ליישום במערכות מורכבות.
( _) שאלון סטנדרטי עשוי לכלול שאלות לא רלוונטיות ולהשמיט שאלות חשובות.
( _) עשוי לכלול שאלות מנחות הגורמות לתשובות מוטעות.
40
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תהליך ביצוע ביקורת ממ”מ
שיטות וכלים לביצוע הביקורת (המשך…)
• הגדרת מטריצת בקרה.
• חלוקת המידע לרכיבים בסיסיים:
שורות -הגורמים הפועלים במערכת (אנשים ,חומרה ,תוכנה)
טורים -האיומים האפשריים על אותם גורמים (שינוי מידע ,חבלה וכו’)
מפגש של טור ושורה (יסומן בקודקס אחיד) -אמצעי הבקרה הרלוונטי המשמש
להסרת האיום על הגורם (למשל ,מערכת הרשאות לפקיד קלט מונעת איום של
גישה בלתי מורשה ,שינוי מידע ,מחיקת מידע ופגיעה בפרטיות).
• גישה דומה לשאלון ביקורת -קבוצה של שאלונים שכל אחד מהם מתייחס
לתחום מסוים של פעילות ממוחשבת (אבטחת מידע ,יישום מסוים ועוד).
• תקיפות ותקינות הבקרות שאותרו יבדקו באמצעות טכניקות אחרות.
( )+אופן ארגון המידע מאפשר יכולת ניתוח מהירה לקבלת תמונה ברורה על מצב
הבקרה הפנימית בארגון (חוסר/עודף בקרות בכל נושא).
( )+אילוץ המבקר לבצע את העבודה באופן שיטתי יותר.
41
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תהליך ביצוע ביקורת ממ”מ
שיטות וכלים לביצוע הביקורת (המשך…)
• נתוני מבחן/ניסוי (Test Data).
•
•
•
•
•
כלי לבדיקה בלתי תלויה של תהליכים ובקרות (בניגוד לשאלון ביקורת
שמסתמך על תשובות לשאלות ולא על בדיקה בפועל).
מטרה -לגרום למערכת המידע להתמודד עם אפשרויות ומצבים שונים שהיא
צריכה להתמודד מולם במהלך הפעילות הרגילה.
בחינת היעילות והאפקטיביות של הבקרות הפנימיות באופן ישיר תוך שימוש
בנתוני דמה.
תוצאות ההרצה של נתוני המבחן מושוות לתוצאות שהוגדרו מראש.
יש לוודא שהתוכניות הפועלות בזמן המבחן זהות לתוכניות שיפעלו באופן
שוטף.
( )+אפשר לבדוק מצבים נדירים שכמעט לא קורים במציאות ולתקן שגיאות שעלולות
להיווצר בעתיד.
(_ ) תקפות הניסוי תלויה ביכולת המבקר להגדיר מדגם מייצג של נתונים המשקפים
את ההיבטים החשבונאיים ותסריטים המייצגים את כלל התהליכים הפועלים
במערכת.
42
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תהליך ביצוע ביקורת ממ”מ
שיטות וכלים לביצוע הביקורת (המשך…)
• הפקת דוחות ושאילתות (מקורות מידע פאסיביים).
• דגש על בדיקת התוצאות לעומת בדיקת הסיבות לתוצאות והבקרות.
• דוחות תפעוליים -דוחות המהווים חלק מתוך כלל פלטי המערכת המופקים
באופן שוטף.
( )+תקין כי פועל ביומיום ולכן סביר להניח שאם היה משובש היו מתקנים.
( _) מוגבל לצרכי ביקורת.
• דוחות בקרה ופיקוח -דוחות תקופתיים המופקים בד”כ בעקבות אירועים
מסוימים ומאפשרים לקבל פרטים על נתונים חריגים .דוחות אלו משקפים את
תפיסת הבקרה הפנימית בארגון ולכן חשיבותן רבה.
( )+שימוש בדוחות הקיימים באופן מובנה במערכת.
( )+הדפסה מרוכזת וסלקטיבית של פריטי מידע המופיעים בדוחות שוטפים.
( _) נדרשת זמינות של אנשי מערכות מידע להפקת הדוח וקיים קושי בבדיקת נכונותו.
• דוחות מיוחדים הנדרשים לצורכי הביקורת מעת לעת (מהמשתמש או מיחידת
מערכות מידע .למעשה מדובר בכתיבה של תוכניות מחשב מיוחדות לצרכי
ביקורת.
43
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תהליך ביצוע ביקורת ממ”מ
שיטות וכלים לביצוע הביקורת (המשך…)
• שימוש בכלי שליפה וניתוח סטטיסטי
• גישה אקטיבית יותר.
• שימוש בכלים סטנדרטיים שלא פותחו רק לצורכי ביקורת (גיליון אלקטרוני,
תוכנה סטטיסטית ,מחולל יישומים או מחולל דוחות וכו’).
( )+ניתן לביצוע ע”י המבקר ללא צורך בהתערבות גורמים מתוך הארגון למעט
“גזירת” הנתונים מתוך המערכת הממוחשבת.
( )+מאפשר מסגרת בדיקה טובה יותר להגדרת נתונים חריגים וסטיות
( _) הקובץ חלקי (אינו שלם) ונכון ליום מסוים.
44
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תהליך ביצוע ביקורת ממ”מ
שיטות וכלים לביצוע הביקורת (המשך…)
• שימוש בתוכנה ייעודית לביקורת
• שתי קבוצות (התחיל בארה”ב ובקנדה):
חבילת תוכנה כללית לביקורת שפותחה עבור מחשבים גדולים -
.1
)General Audit Software Package (GASP
.2
חבילות תוכנה לביקורת שפותחו עבור מחשבים אישיים -
)Audit Command Language (ACL
)Interactive Data Extraction & Analysis (IDEA
• כעקרון לא משנה האם תוכנת הביקורת מותקנת על מחשב המשתמש או על
מחשב המבקר ,אם כי יש יתרון לעובדה שהמבקר לא “גוזר” נתונים למחשב
אחר.
• יש לשים דגש על תוכן הבדיקה -מה רוצים לבדוק (גיל הנתונים ,מיון נתונים,
כפילות נתונים ,ביצוע חישובים ,נתונים חריגים ,השוואת נתונים בין מאגרים
וכו’).
45
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תהליך ביצוע ביקורת ממ”מ
שיטות וכלים לביצוע הביקורת (המשך…)
• יש לשים דגש על אופן הדגימה (דגימה שיטתית -במרווחים קבועים/אקראית
של רשומות ,דגימה סטטיסטית -הגדרת גודל המדגם; מובהקות המדגם; שיעור
שגיאה צפוי; טעות הדגימה המותרת ,דגימה מוניטרית -לפי ערכים כספיים
מהותיים; אירועים בחובה/בזכות ,ביטולים ,אירועים בחשבונות מסוימים).
( )+איסוף ממצאי ביקורת באופן בלתי תלוי (התוכנה היא של המבקר).
( )+קלות שימוש.
( )+ניתן לבצע חישובים וסימולציות על קובצי נתונים (כתיבת תוכניות מחשב
לביקורת).
( _) אמצעי לניתוח תוצאות בדיעבד (זהו תמיד חסרון של דוחות).
( _) בוחן נתונים ולא בקרות פנימיות (תהליכים).
( _) קיימת עלות של שימוש במשאבים.
( _) לא תמיד קיים פתרון מיידי לכל סוג של מחשב /סביבה טכנולוגית.
( _) קיימות בעיות גישה בלתי תלויה למבני נתונים מורכבים (מצטמצם).
46
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תהליך ביצוע ביקורת ממ”מ
שיטות וכלים לביצוע הביקורת (המשך…)
• ביצוע “סימולציה במקביל”.
• עיבוד חוזר של נתוני קלט באמצעות תוכנה של המבקר ,והשוואת תוצאות
העיבוד לתוצאות שנתקבלו ע”י התוכנה של המבוקר.
• בניית מודל לגבי ממ”מ שהוא הנורמה או התקן (Normative Auditing).
( )+הערכה בלתי תלויה של הפונקציות הנבדקות ובדיקת ביצוע שינויים בלתי מורשים
בתוכניות או בנתונים.
( )+מענה נאות לבעיות של קביעת גודל המדגם ואימות דיוק הנתונים בממ”מ בעלות
נפח גדול של תנועות( .בדיקת חישובי ריבית ,חישובי ערך מלאי וכו’).
( _) כרוך בהשקעת משאבים רבים בשלבי העיבוד ובהתאמה לשינויים המבוצעים
בממ”מ באופן שוטף( .הולכים וקטנים בגלל השימוש בCAAT). -
47
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תהליך ביצוע ביקורת ממ”מ
שיטות וכלים לביצוע הביקורת (המשך…)
• יצירת ישות דמה (Integrated Test Facility).
• יצירת ישות ארגונית נפרדת לצורכי ניסוי (חברת דמה ,סניף בנק דמה ,או ישות
דמה אחרת) אשר משולבת בתהליך עיבוד הנתונים הרגיל.
• בד”כ לא כדאי למבקר ליצור ישות דמה לצורכי הביקורת אלא להשתמש
בתשתית הקיימת בארגון לצורכי ניסוי ובקרה.
( )+הנתונים נבדקים לאורך זמן (בניגוד ל )Test Data -ולאורך כל מהלך העיבוד ,משלב
הקלט ועד לשלב הפלט.
( )+התייחסות לקיומן /אי קיומן של בקרות “מפצות” במערכת.
( )+זיהוי כל המהלכים המופעלים על תנועה בודדת.
( )+בדיקה באופן שוטף של ממ”מ.
48
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תהליך ביצוע ביקורת ממ”מ
שיטות וכלים לביצוע הביקורת (המשך…)
• סיכום
• בדיקת בקרות פנימיות
• שאלון ביקורת
• מטריצות בקרה
• נתוני מבחן/ניסוי ()Test Data
• בדיקת מידע
•
•
•
•
•
הפקת דוחות ושאילתות
שימוש בכלי שליפה וניתוח סטטיסטי
שימוש בתוכנה ייעודית לביקורת
ביצוע סימולציה במקביל
יצירת ישות דמה ()ITF
בדרך כלל מאיכות המידע ניתן להסיק על איכות הבקרות
הפנימיות ,ולהיפך !!!
49
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תהליך ביצוע ביקורת ממ”מ
נספח ה’ לג”ד - 66טכניקות ביקורת באמצעות מחשב ()CAAT`S
• שיקולים לשימוש.
•
•
•
•
•
זמינות ,CAAT`Sנתונים ,משאבי מחשב ועובדים בארגון.
הזמן העומד למבקר לצורך תכנון ,ביצוע והערכת הממצאים.
חוסר התאמת הנסיבות לבדיקות ידניות.
אפקטיביות ויעילות להשגה והערכה של ראיות ביקורת.
השקעה ראשונית נדרשת.
• שימושים.
•
•
•
•
50
קביעת מטרות.
הבנת המבנה והנגישות לקובצי הנתונים בארגון.
הגדרת סוגי התנועות שיבדקו.
הגדרת הפעולות שיבוצעו על הנתונים.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תהליך ביצוע ביקורת ממ”מ
נספח ה’ לג”ד - 66טכניקות ביקורת באמצעות מחשב (CAAT`S)...
•
•
•
•
•
•
•
הגדרת הפלטים הדרושים.
זיהוי צוות הביקורת והמחשוב אשר ישתתפו בתכנון ויישום.
הערכה מחודשת ומדויקת של העלויות והתועלות.
בקרה ותיעוד נאותים של היישום.
ארגון פעילויות מנהליות אצל המבקר ואצל המבוקר(משאבי מחשב,
משאבי אנוש בעלי כישורים מתאימים).
ביצוע היישום.
הערכת התוצאות.
• ניהול היישום ע”י המבקר.
• אישור המפרט הטכני וביצוע סקירה של העבודה.
• סקירת הבקרות הכלליות בארגון כדי להבטיח את נאותות השימוש.
• שילוב נכון של פלטים בתהליך הביקורת.
51
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תהליך ביצוע ביקורת ממ”מ
נספח ה’ לג”ד - 66טכניקות ביקורת באמצעות מחשב (…)CAAT`S
• נהלי פיקוח על שימוש בתוכנה לביקורת.
•
•
•
•
•
•
•
השתתפות בתכנון ובבדיקה של תוכניות המחשב.
בדיקת תוכניות המחשב מול המפרט כפי שתוכנן.
סקירת השימוש במערכת ההפעלה אם התוכנה פועלת על מחשב הארגון.
הרצה על קבצי נתונים קטנים לצורך בדיקה ראשונית.
בדיקת נכונות הקבצים מול ראיות חיצוניות במידת האפשר.
השגת ראיות ביקורת על תפקוד התוכנה (סקירת פלטים ונתוני בקרה).
יצירת אמצעי אבטחה נאותים מפני ביצוע מניפולציות על קבצי הנתונים.
נוכחות המבקר באתר הבדיקה עדיפה אם הבדיקה מבוצעת בארגון המבוקר.
• נהלי פיקוח על שימוש בנתוני מבחן (Test Data).
• בקרת רציפות נתוני המבחן על פני מחזורי העיבוד השונים.
• הרצה על מספר קטן של נתוני מבחן לצורך בדיקה ראשונית.
• חיזוי תוצאות העיבוד והשוואתם לתוצאות בפועל (ברמה פרטנית ומרכזת).
52
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תהליך ביצוע ביקורת ממ”מ
נספח ה’ לג”ד - 66טכניקות ביקורת באמצעות מחשב (…)CAAT`S
• וידוא שימוש בגרסה עדכנית של התוכנה לצורך עיבוד נתוני המבחן.
• השגת בטחון סביר שהתוכניות בהן השתמשו לא שונו במשך כל התקופה
המבוקרת.
• השגת בטחון סביר שאנשי הארגון ששותפו בבדיקה לא השפיעו בצורה בלתי
נאותה על התוצאות.
• נהלי תיעוד.
•
•
•
•
•
53
עריכה עקבית עם ני”ע ונוהלי התיעוד של הביקורת בכללותה.
תכנון -מטרות ,סוג ה CAAT -שבשימוש ,בקרות שיופעלו ,הצוות שיבצע את
הביקורת ,תזמון הביקורת ,היקף הביקורת ועלותה.
ביצוע -הכנת נהלי בדיקה ובקרות על ה ,CAAT -פרטי הבדיקות (כולל פרטים
טכניים) ,פרטים לגבי הקלט ,העיבוד והפלט ,מידע טכני רלוונטי לגבי המערכת
החשבונאית בארגון ,כגון :שמות הקבצים ,מבנה הקבצים וכו’
ראיות ביקורת -פלטים ,תאור עבודת הביקורת שבוצעה על כל פלט ומסקנות.
אחרים -המלצות להנהלת הארגון ,הצעות לשימוש ב CAAT -בעתיד.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
בקרות ונתיבי ביקורת בממ”מ
שלבי עיבוד המידע בממ”מ
• מישק אדם-מכונה ( - )HMIשלב יצירת הקשר בין המשתמש
לממ”מ.
• התהליכים שעל המשתמש לבצע מרגע פתיחת המסוף ועד הכניסה למסך קלט
מסוים.
• היבט אבטחת מידע -שם משתמש ,סיסמא וכו’.
• היבט הנדסת אנוש -תפריטים ,מסכים ,מקשים” ,כפתורים” מיוחדים וכו’.
• נתוני והוראות הקלט -משלב איסוף הנתונים עד הקלדתם
לממ”מ.
• אימות הקלט וטיפול בשגויים -ממועד בדיקת הקלט עד לשלב
בו הם מוכנים לעיבוד.
• קיים הבדל בין מסכים המיועדים ל Batch -למסכים המיועדים לOnline. -
54
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
בקרות ונתיבי ביקורת בממ”מ
שלבי עיבוד המידע בממ”מ (המשך…)
• תקשורת -ממועד השידור ע”י השולח עד למועד הקליטה ע”י
המקבל.
• יכול להיות ממסוף למסוף ,מציוד היקפי למחשב וכו’.
• עיבוד -ממועד קבלת הנתונים מהקלט עד מועד העברתם
לפלט ,מאגר מידע ,או לשידור.
• מאגר מידע/בסיס נתונים -שלבי כתיבה/קריאה/עדכון של
נתונים בקבצים/טבלאות.
• פלט -ממועד קביעת הפלט עד למועד הצגתו למשתמש.
• למעשה ,הפקת הפלט נעשית באמצעות תוכנת מחשב.
55
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
בקרות ונתיבי ביקורת בממ”מ
סיווג בקרות
בקרות
Controls
Application
יישום
קלט
Input /
Validation
כלליות
General
עיבוד
פלט
Processing /
Balancing
Output
לוגיות
פיזיות
Logical &
Physical
תוכנית
לחירום
Continuity
Planning
Manual
ידניות
ארגוניות
סביבתיות
Environmental &
Organizational
Updative)( מתקנת,)Detective( מגלה,)Preventive( • מונעת
Compensative)( • מפצה
2005 ,פברואר
ביקורת מערכות מידע ממוחשבות
56
בקרות ונתיבי ביקורת בממ”מ
בקרות קלט
• סיפרת ביקורת -צרוף סיפרה אחת/מספר ספרות לנתון מספרי
המהוות תוצאה חישובית של המספר.
•
•
•
•
•
•
•
57
שימוש בתהליכים בהם האירוע נוצר בעיתוי שונה מהרישום בממ”מ.
בעיקר במערכת העובדות ב( Batch -ב Online -ניתן להציג מיידית את השם
עם קבלת מספר ת.ז.).
וידוא כי הנתון הרשום הוא הנתון אותו התכוון המשתמש/יוצר האירוע לרשום.
בעיקר עבור שדות מפתח במערכת (מספר ת.ז .של אדם ,מק”ט של פריט
במלאי ,מס’ ח-ן בהנח”ש וכו’).
אפקטיביות -מונע טעויות של החלפת ספרות ,השמטה/רישום נוסף של ספרות
בצורה שגויה ביותר מ %90 -מהמקרים.
מחיר -הזנה של סיפרה נוספת בכל פעם שמזינים את המספר ,על מנת
שהמחשב יחשב מחדש את סיפרת הביקורת וישווה אותה לסיפרה שהוזנה.
ניתן “להחמיר” את הבדיקה (באמצעות חישוב שונה) על מנת לאתר יותר
טעויות -דורש יותר מסיפרת ביקורת אחת.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
בקרות ונתיבי ביקורת בממ”מ
בקרות קלט (המשך…)
• אימות -הזנה כפולה של המידע לצורך בדיקת זהות בין שתי
ההזנות.
•
•
•
•
בד”כ מבוצע ע”י קלדנית ולא ע”י המשתמש.
בעיקר במערכות העובדות בOnline. -
שימוש בנתונים כספיים רגישים ,או קשורים לאבטחת מידע (החלפת סיסמא).
מחיר -זמן ומשאבים כפולים.
• סיכומי סרק ( - )Hash Totalsסיכום נומרי של קבוצת פריטי
מידע אשר אינם מייצגים בהכרח ערך בעל משמעות.
• אפקטיביות -רק במידה שהחישוב מבוצע שנית (בצורה ידנית או ממוחשבת)
לצורך השוואה( .נדע האם כל הנתונים נכונים ,אך לא נדע מי מהם שגוי).
• שימושיות -בעיקר לבקרת שלמות מידע המועבר בין ממ”מ שונות באמצעות
מדיה מגנטית ,תקשורת או מישקים מיוחדים( .מקובל גם להציג בדוחות).
• בקרה מפצה בנושא אימות בגלל המחיר הקטן יחסית.
58
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
בקרות ונתיבי ביקורת בממ”מ
בקרות קלט (המשך…)
• תיחום ספציפי של ערכי שדות (בדיקת ערך פריט מידע וקיומו
בתחום מסוים).
•
•
•
•
59
חריגה מאורך מקסימלי של שדה שהוקצה במערכת -גם מהיבט הקלט (שגיאה
של יוצר הנתון) וגם מהיבט העיבוד והפלט (אורך זהה בכל השלבים).
מינימום לקליטה -גם לגבי סכום אבסולוטי וגם לגבי רמת דיוק (רזולוציה).
מניעת גלישות וטיפול בחיתוכים (למשל ,ביצוע עיגולים) -חשוב במניעת
שיבושים ברישומים חשבונאיים.
בעיקר עבור שדות נומריים.
• קשרי גומלין בין שדות (בדיקה ברמה של רשומה).
• סבירות -בדיקת תחום ערכים בהתייחס לערכים אחרים באותו
אירוע קלט ו/או בהשוואה לנתונים אחרים הנמצאים במחשב.
• רציפות -בדיקת הספרור העוקב של רשומות שהוזנו ועודכנו
ממוחשבותרשומות)
שוטף של
במערכת (באם נקבע ספרור
פברואר2005 ,
ביקורת מערכות מידע
בקרות ונתיבי ביקורת בממ”מ
בקרות קלט (המשך…)
• אפקטיביות -זיהוי אי סדרים בתהליכי העבודה ושינויים שבוצעו במידע לאחר
קליטתו.
• נדרש גם לפי הוראות מס הכנסה -רציפות תיעוד פנים.
• תקינות שדות -אפיון מדויק של השדה (נומרי ,אלפאנומרי,
סימן ,תאריכי וכו’) ובהתאם לכך תחום הערכים המותר.
• ברירת מחדל ( - )Defaultהמערכת מזינה נתון מסוים שנקבע
מראש לשדה מסוים (אבל המשתמש יכול לשנותו).
• יתרון -הפחתת עומס העבודה לגבי הזנת נתונים שהם קבועים לרוב.
• חסרון -סיכון שהמשתמש לא יזין נתון נכון במקרה הצורך.
• שדה חובה -שדה שלא הוזנו אליו נתונים יוגדר כלא תקין.
• שימושי במיוחד בשדות קריטיים (אין למשתמש אפשרות לדלג על השדה).
•
60
סיכומי ביקורת של נתונים כספיים (בניגוד לסיכומי סרק).
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
בקרות ונתיבי ביקורת בממ”מ
בקרת שגויים
• בדיקת הקלט מול הנתונים הקיימים במערכת עצמה (למשל,
קיום מס’ חשבון בפקודת יומן וכו’).
• אפשרויות טיפול בנתון שגוי:
• דחיית הנתון.
• העברת הנתון לקובץ שגויים.
• קבלת הנתון תוך ציון ואפיון השגיאה( .למשל ,קליטת פקודת יומן עם מס’
חשבון שגוי לחשבון מעבר).
• דחיית הנתון -פתרון לא רצוי בגלל שאנו רוצים שליטה ופיקוח
על הנתונים המוזרמים לממ”מ.
• קבלת הנתון -פתרון טוב רק אם הוגדרו גורמים שאחראים
לניתוח הנתונים השגויים ותיקונם.
61
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
בקרות ונתיבי ביקורת בממ”מ
בקרת תקשורת
• טיפול בדיוק שלמות ואמינות השדר המועבר.
• אבטחת מידע בפני גורמים לא מוסמכים.
בקרת עיבוד
• תכנון סדר כניסת האירועים לממ”מ.
• מניעת כניסה של אירוע יותר מפעם אחת והזנה של אירועים בסדר לא נכון.
• וידוא שלמות ודיוק של תהליכי העיבוד (מס’ רשומות וערכים).
• ( Run to Run Controls - InterRun & IntraRunבעיקר במערכות )Batch
• יצירת עיבודים אוטומטיים.
• בד”כ עיבודים תקופתיים (למשל ,הפעלת מהלך שיערוך בהנח”ש).
• הימנעות משיבושים מכוונים של המידע.
• אמצעי אבטחת מידע הפועלים בשלב העיבוד (למשל ,תוכנת אנטי-וירוס).
62
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
בקרות ונתיבי ביקורת בממ”מ
בקרת מאגרי מידע/בסיסי נתונים
• קיימות בקרות רבות לאבטחת שלמות ,אמינות ודיוק הנתונים
במאגר המידע.
• התמקדות בהיבט החשבונאי -וידוא כי כל נתון נרשם רק פעם אחת (אין
כפילות או חוסר של נתונים).
בקרת פלט -מה נמצא בתוך מאגרי המידע במחשב.
• נומרטור -בדיקת רציפות.
• חלוקה למספר סוגים.
• פלט המכיל מידע מדויק של הנתונים במאגר המידע.
• פלט הכולל גם חישובים שונים המבוצעים על נתונים שלא ע”י שדות
חישוביים המצויים במאגר המידע (On the Fly).
• פלט ייעודי לצורכי ביקורת.
63
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
בקרות ונתיבי ביקורת בממ”מ
בקרות פלט (המשך…)
• בד”כ אין ביכולת המבקר או המשתמש לבדוק את שלמות,
אמינות ודיוק הפלט ,למעט פלטים חשבונאיים ספציפיים (כמו
מאזן בוחן וכו’).
• נדרש בד”כ להפיק פלטים ייעודיים לצורכי ביקורת (כגון :דוח
לגבי רציפות תיעוד פנים או נתונים מסוימים ,הדפסת טבלאות
מדדים ושע”ח או טבלאות אחרות במערכת).
64
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
בקרות ונתיבי ביקורת בממ”מ
נתיב ביקורת ()Audit Trail
• הגדרה -הדרך באמצעותה ניתן לבדוק רישום כרונולוגי של
אירועים שקרו לישות מסוימת לאורך כל תהליך עיבוד
הנתונים.
• ההיבט החשבונאי -המסלול בו עוברים מהפלט הסופי המרוכז שמופק מממ”מ
עד למסמכי המקור בעקבותיהם נוצרו תהליכים שיצרו את אותו הפלט (מסלול
הפוך).
דוח כספי => פרוט סעיפים => כרטיסי ח-ן => תנועות => מסמכי מקור
• ההיבט התפעולי -מעקב אחר כל הפעילויות המבוצעות במערכת ,תוך ציון
מדויק של מצב הפעילות והשלבים השונים בהם היא נמצאת (מסלול ישר).
Log bookידני או Log fileממוחשב
שני ההיבטים חשובים מבחינת המבקר.
65
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
בקרות ונתיבי ביקורת בממ”מ
נתיב ביקורת -שימושים
•
•
•
•
•
66
איתור שגיאות -איתור השלב בו קרתה השגיאה וזיהוי התהליך
שיצר אותה.
שיקום ושיחזור -המשך פעילות של תהליכים שנקטעו באמצע
או חזרה על תהליכים שנשתבשו.
פיקוח על היישום -פיקוח על תקינותם של תהליכי עיבוד
הנתונים.
הרתעה מפני מעילות -זיהוי מאפיינים של ביצוע מעילה וניתוח
בדיעבד של הפעילויות השונות במערכת במועד ביצוע המעילה.
תשובה לשאילתות -חיווי על מצב כל אירוע במערכת והשלב
בו האירוע נמצא.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
בקרות ונתיבי ביקורת בממ”מ
מישק אדם מכונה -נתיבי ביקורת נדרשים
• נתונים חשבונאיים -מקור האירוע ומהות הנתון או התהליך.
•
•
•
•
•
•
•
•
זיהוי משתמש
זיהוי המסוף ממנו נוצר הקשר
זמן התחלה וסיום הפעולה
משאבים שנדרשו (שאילתות שבוצעו)
מידע על אוטנטיות (חלק מאבטחת מידע)
דרישות להרשאות מיוחדות -קודים שונים שהוזנו
מספר ניסיונות התקשרות (לעיתים מוגבל)
פעולות שהורשו/נדחו ומשאבים שסופקו/לא סופקו
• נתונים תפעוליים
• קשיים בהתקשרות למערכת
• דחיית ניסיונות גישה עקב אי זמינות משאבים
• פרוצדורות גישה למערכת הגוזלות זמן רב
67
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
בקרות ונתיבי ביקורת בממ”מ
נתוני והוראות הקלט -נתיבי ביקורת נדרשים
• נתונים חשבונאיים
•
•
•
•
•
•
•
•
מכין מסמך הקלט ומועד ההכנה
מאשר מסמך הקלט ומועד האישור
מספר חבילה/מנה
מספר אסמכתא
מספר ייחודי לתנועה (מלווה את התנועה לכל אורך החיים שלה במערכת)
מצב התנועה (תקינה/שגויה וכו’)
יוזם הוראת הקלט
מועד מדויק של ההקלדה
• נתונים תפעוליים -בחינת יעילות ואפקטיביות ההקלדה.
• משך זמן ההקלדה
• מספר שגיאות קריאה
68
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
בקרות ונתיבי ביקורת בממ”מ
אימות הקלט וטיפול בשגויים -נתיבי ביקורת נדרשים
• נתונים חשבונאיים -המצב המדויק ומה גרם לו.
•
•
•
•
מועד ביצוע האימות
מועד ביצוע התיקון
מספר ייחודי לשגיאה שנתגלתה
סווג השגיאה
• נתונים תפעוליים
• מספר שגיאות
• משך הזמן מזיהוי השגיאה ועד תיקונה
• משאבי מחשוב לאיתור שגיאה ספציפית
69
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
בקרות ונתיבי ביקורת בממ”מ
תקשורת -נתיבי ביקורת נדרשים
• נתונים חשבונאיים
•
•
•
•
•
•
זיהוי תחנה ,אדם ,משדר
זיהוי התוכנה/המערכת המעבירה את השדר
מועד השידור
מספר סידורי של השדר
צמתים ותחנות בהם עבר השדר ומתי
תחנה מקבלת
• נתונים תפעוליים -זמינות ואמינות רשת התקשורת.
•
•
•
•
•
70
מספר שדרים לקו/צומת
אורך תור בצומת
מספר שגיאות לקו/צומת
מספר שידורים מחדש לקו
יומן שגויים
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
בקרות ונתיבי ביקורת בממ”מ
עיבוד -נתיבי ביקורת נדרשים
• נתונים חשבונאיים -שיחזור ומעקב אחר מהלכי העיבוד.
• התוכנה והגרסה באמצעותה בוצע מהלך העיבוד.
• מצב התנועה בתוך מהלך העיבוד ,כולל תוצאות ביניים לאחר כל חישוב
והנתונים שנלקחו מתוך טבלאות ושימשו לחישוב.
• נתונים ,טבלאות ותוכנות אשר יצרו תנועות חדשות.
• נתונים תפעוליים
•
•
•
•
•
71
מידע בדבר צריכת משאבי המחשב במהלך העיבוד.
הערכת ביצועים.
איתור צווארי בקבוק.
רישום תוכניות שלא הסתיימו בהצלחה ,כולל רישום הבעיה.
ניסיונות חדירה למערכת.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
בקרות ונתיבי ביקורת בממ”מ
מאגר מידע/בסיס נתונים -נתיבי ביקורת נדרשים
• הגדרות.
• מבני נתונים:
בסיס נתונים => קבצים /טבלאות => רשומות => שדות => תווים
• בסיס נתונים ( - )Databaseאוסף נתונים שיש בינהם מכנה משותף.
• קבצים יכולים להיות מוגדרים במבנה טבלאי או במבנים אחרים (אינדקסים
ועוד).
• נתונים חשבונאיים
• מועד שילוב התנועה במסד הנתונים.
• תמונת מצב לפני ואחרי עדכון התנועה במסד הנתונים.
• רישום כרונולוגי של כל התנועות והאירועים לגבי פריט מידע במסד.
• נתונים תפעוליים
• צריכת המשאבים לצורך ניהול מסד הנתונים.
72
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
בקרות ונתיבי ביקורת בממ”מ
פלט -נתיבי ביקורת נדרשים
• נתונים חשבונאיים -הסתמכות על מידע שגוי והגעה לגורמים
בלתי מורשים.
• מי קיבל את הפלט ,מתי ,ואיזה.
• נתונים תפעוליים
• זמן הדפסת הפלט.
• זמן תגובה מרגע בקשת הפלט ועד לקבלתו.
• שימוש במשאבי חומרה ותוכנה לפלטים.
73
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ ביישומים -מערכת פיננסית
היבטים בבניית/בחירת יישום למערכת פיננסית
• דרישות וצרכי משתמשים
•
•
•
•
•
•
•
74
תמיכה בתהליכי עבודה בארגון -ספר ראשי וספרי עזר/מערכות עזר.
רשימת פלטים מפורטת ,עיתויים ,תדירותם וזמינותם -כלים לביצוע שליפות
נתונים.
מערכת רב חברתית -עבודה במספר חברות בנפרד ,תוך כדי אפשרות הזנת
פקודות יומן בין חברתיות בחשבונות קשר מתאימים.
אפשרות הפקת דוחות כספיים מאוחדים -ביטולים בין חברתיים אוטומטיים +
פקודות ידניות נוספות.
מערכת רב שנתית -עבודה בשנים נפרדות במקביל .אפשרות להעברת יתרות
סגירה משנה לשנה (מהלך של “סגירת שנה”).
מערכת רב מטבעית -ניהול ואיזון ספרי החשבונות במספר מטבעות במקביל,
ע”י חשבונות שיערוך (קיימות מספר רמות של ניהול רב מטבעי).
התאמה לאינפלציה -באמצעות ניהול מטבע ממודד.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ ביישומים -מערכת פיננסית
היבטים בבניית/בחירת יישום למערכת פיננסית (המשך…)
• מגבלות המחשב -השפעה על עיצוב מבנה הנתונים.
• רישום נפרד של תנועות ויתרות -הפקה קלה של מאזן בוחן.
• דרישות חוקיות -הוראות ניהול ספרים של מס הכנסה /מע”מ.
75
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ ביישומים -מערכת פיננסית
מישקים עם מערכות אחרות בארגון או מחוצה לו
•
•
•
•
•
76
המערכת הפיננסית פועלת בד”כ ברקע למערכות התפעוליות
בארגון.
כל מערכת תפעולית מעבירה נתונים מפורטים או מרוכזים
בתדירות כלשהי ,לפי העניין ,למערכת הפיננסית( .יתכנו גם
מישקים הפוכים).
הסתמכות על הדוחות הסופיים המופקים ממערכות העזר -
בעיה של נכונות הנתונים (יש לבדוק כל מערכת בנפרד מול
הספר הראשי).
בדיקת שלמות ודיוק נתונים המועברים למערכת הפיננסית.
בעיות “חתך” בין המערכות הנובעות מעיתוי בסגירת התקופות
החשבונאיות.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ ביישומים -מערכת פיננסית
התאמה בין נתוני מקור ,תנועות ויתרות
נתוני מקור
(פקודות יומן)
תנועות חשבונאיות מפורטות
(כרטסת הנח”ש/ספר ראשי)
יתרות
(קובץ אב)
• בדיקת שמירת נתוני המקור זמן מספיק לצורך שיחזור.
• בדיקת שלמות ודיוק של רישום נתוני פקודות היומן בכרטסת
הנח”ש.
• בדיקת זהות בין רישומי התנועות בכרטסת הנח”ש לרישומי
היתרות בקובץ האב.
77
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ ביישומים -מערכת פיננסית
מבנה הספר הראשי ( )GLוספרי העזר (התפיסה הרווחת
כיום -התמחות)
בדיקת שלמות ודיוק הנתונים המועברים בין ספרי העזר
לספר הראשי
• ספרי העזר יכולים להיות מנוהלים במסגרת המערכת הפיננסית ,מערכות
תפעוליות ,או כחלק ממערכת מידע כוללת (ERP).
• קיום נאות של ח-ן קשר/מעבר וחשבונות לאיזון אוטומטי.
• קיום נתיבי ביקורת מהספר הראשי לספרי העזר(Drill Down).
78
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ ביישומים -מערכת פיננסית
בקרות בתהליכי הקליטה והעדכון.
• הקמת מערכת המכילה את כל הנתונים הנדרשים.
• לפחות שני שדות אסמכתא לכל תנועה (לצורך שמירת נתיבי ביקורת מלאים
מפקודת היומן ועד למסמכי המקור).
• ניהול תאריכים שונים במערכת:
•
•
•
•
•
79
תאריך רישום -תאריך רישום הפקודה בספרים.
תאריך ערך -תאריך העסקה/התנועה המדויק הקובע לצורך המרות מטבע ,מידוד
וביצוע חישובי ריבית וכו’.
תאריך פירעון -תאריך ערך לפקודה עתידית אוטומטית בגין פירעון.
תאריך מערכת -תאריך קלנדרי שוטף (אם שונה מתאריך הרישום במערכת Batch).
תאריך מאזני /תקופה חשבונאית -התאריך הקובע לצורך הפקת דוחות כספיים
ודוחות ניהוליים אחרים( .שיוך פקודות יומן לתאריך הדיווח המתאים ,למשל
פקודות נוספות שניתנו לאחר תאריך המאזן ושייכות לתקופה שלפניו ,או תנועות
לחודש “סגור” המנותבות לחודש הבא אחריו באמצעות תאריך “ניהולי “ זה).
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ ביישומים -מערכת פיננסית
בקרות בתהליכי הקליטה והעדכון (המשך…)
• הטמעה של הבקרות בתהליכים השונים.
•
•
•
•
•
•
בקרות ברמת קלט פקודת יומן מרכזת.
בקרות ברמת קלט תנועה בודדת.
בקרות ברמת פתיחת כרטיס חשבון.
בקרות בנושא סגירת חודש.
בקרות בנושא סגירת שנה (לרבות ניהול שנים חשבונאיות שאינן קלנדריות
וניהול רב שנתי של תקציב).
בקרות בנושא ניהול רב מטבעי ושערוכים.
• הקמת מערכת הרשאות לעדכון ושליפת הנתונים -מערכת
רגישה בה רצוי שיהיה רישום בכל תנועה של הגורם שהזין
אותה והגורם שאישר אותה( .באמצעות מערכת אבטחת מידע
חיצונית או באמצעות המערכת הפיננסית עצמה).
80
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ ביישומים -מערכת פיננסית
בקרות בתהליכי הקליטה והעדכון (המשך…)
• בניית מסכי קלט למשתמש בהתאם לאופי עבודתו ,תוך כדי
שמירה על מערכת הרשאות מתאימה -גישה של התמחויות
בטיפול בנושאי כספים (ספקים ,לקוחות ,בנקים וכו’)
• מתן אפשרות לבדיקות צולבות ומסורגות -במקרים בהם
פקודת היומן החשבונאית היא שילוב של מספר נתוני מקור
וטבלאות שונות הקובעות את צורת הרישום ,למשל:
• ביצוע פקודות של העמסת עלויות.
• רישום פקודות יומן מרכזות לפי קריטריונים שונים.
81
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ ביישומים -מערכת מלאי
תיחום המערכת
•
•
•
•
•
•
82
מערכת תפעולית הכוללת בתוכה היבטים חשבונאיים.
ניהול רכש :כניסות למלאי -ארץ וחו”ל (תיקי יבוא).
ניהול ריצפת ייצור :מוצרי ביניים (מלאי בתהליך) ומוצרים
סופיים (מלאי תוצרת גמורה) ,כולל תכנון ופיקוח יצור (תפ”י).
ניהול מכירות -ניפוקים מהמלאי.
מערכת פיננסית -ניהול חשבון מלאי תמידי או תקופתי.
ניהול פריטי המצאי (המהווים מלאי חשבונאי או רכוש אחר) -
•
•
•
•
•
ניהול תנועות מלאי ומחסנים.
עיתוד מלאי -תכנון וחידוש רמות המלאי.
ניהול קטלוג פריטים
ניהול עצי מוצר (יתכן ונכלל בניהול ריצפת הייצור).
ניהול ערך המלאי (“מלאי פיננסי” “ /ספר עזר" מלאי).
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ ביישומים -מערכת מלאי
ניהול תנועות מלאי ומחסנים
•
•
•
•
•
•
•
•
83
התאמה בין רישום הפריטים במערכת הרכש לרישומם במערכת
המלאי או כפריטי רכוש קבוע.
איתור פריט במחסנים שונים.
העברת פריטים בין מחסנים.
ניהול מלאי במשגור (קונסיגנציה).
ניהול ספירות מלאי (מעקב אחר תנועות ספירה +דוחות).
דוחות עיתוד מלאי אוטומטי.
ניפוק פריטים לייצור/אחזקה וניפוק דלפק ללקוחות.
החזרות פריטים מהייצור או מלקוחות.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ ביישומים -מערכת מלאי
ניהול קטלוג פריטים
•
•
•
•
•
•
84
מבנה המספר הקטלוגי של כל פריט (מק”ט) -מק”ט ראשי(שדה
מפתח) ומק”ט משני (תואם למק”ט הספק).
החלפת מק”טים.
פריט המסופק על ידי מספר ספקים.
קטלוג אוטומטי של פריטים.
קיום כל השדות הדרושים ברשומת הפריט.
הרשאות ל“פתיחת” פריט (מק”ט) חדש.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ ביישומים -מערכת מלאי
ניהול “עצי” מוצר
•
•
•
•
•
85
“עץ” מוצר -כל המרכיבים שהשתתפו ביצירת הפריט/המוצר
(חומרי גלם ,עלויות ישירות ועלויות עקיפות).
כל שלב בתהליך יוצר עץ מוצר מורכב ומסובך יותר.
בדרך כלל מערכת המלאי כוללת לפחות עץ מוצר לחומרי גלם.
עלות תקנית למוצר מול עלות בפועל.
עיתוד מלאי בהתאם לעצי המוצר.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ ביישומים -מערכת מלאי
ניהול ערך המלאי
•
•
•
•
•
•
86
ניהול ערך מלאי משותף לכל המחסנים.
שיטת ניהול ערך המלאי ,FIFO, LIFO -ממוצע נע (ממ”ן).
עיתוי הכניסה למלאי לעומת עיתוי קבלת החשבונית (ניהול
חשבון “ספקים במעבר”).
עדכון מחירי המלאי.
ירידה למלאי שלילי.
החזרת פריטים למלאי.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ ביישומים -מערכת שכר
תכונות ייחודיות של מערכת שכר
• מערכת רטרואקטיבית (מבחינת הסכמי שכר).
• עבודה באצווה בתדירות חודשית (אין סיבה לעבוד במקוון).
• התאמה לחוקים והסכמים שונים (דרושה גמישות מירבית).
• דיני עבודה
• חוקי מס
• חוזים אישיים
• חישובי שכר מורכבים ומסובכים (אקסולוגיה).
• שמירת נתונים לאורך זמן רב (נטייה ליותר מ 7 -שנים).
87
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ ביישומים -מערכת שכר
ניהול עובדים
•
•
•
•
88
הוספת רשומת עובד חדש במערכת כוללת מספר רב של נתונים
שחלק גדול מהם שדות חובה.
קיום בקרות על כל הנתונים ברשומות העובד.
ביצוע התאמה מול נוכחות עובדים (ידנית או ממוחשבת מול
הרישומים במערכת הנוכחות).
בדיקת שלמות ממשק אוטומטי בין מערכת נוכחות למערכת
שכר ברמת הריכוז הנדרשת (אם קיים).
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
ביקורת ממ”מ ביישומים -מערכת שכר
הפקת משכורות
• שימוש בנתונים רלוונטיים של העובד לצורך הפקת משכורות
•
•
•
•
קיום ערכי מינימום/מקסימום של נתונים שלא הוזנו (למשל ,ימי חופשה).
שדות חובה לצורך ביצוע ריצת השכר (למשל ,נתוני ילדים לצורך זיכוי מס).
שימוש בכל הנתונים הרלוונטיים ברשומת העובד.
חישוב נכון של כל הוצאות השכר והנילוות.
• צמצום קליטת נתונים כללים שגויים
• קיום בקרות קלט (למשל ,הגבלות על תאריכי לידה ,בדיקת מספרי ת.ז .מול
מאגרים חיצוניים ,הגבלות על מספר ימי מחלה וחופשה ועוד).
• הכנת “ריצת שכר” -סימולציה לבדיקה סופית של תלושי
המשכורת מבלי לפגוע במהלך התקין של המערכת.
• טיפול בהפרשים מסיבות שונות (הסכמים רטרואקטיביים,
נתונים מעודכנים שלא היו במערכת קודם וכו’).
89
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
עקרונות אבטחת מידע בממ”מ
הגדרות
.1מכלול האמצעים הננקטים לצורך הגנה על מאגרי מידע,
ומשאבי מחשוב כנגד שינוי ,חבלה ,חשיפה וגילוי במזיד או עקב
רשלנות.
.2מכלול האמצעים המבטיחים שמירה על אמינות (שלמות ודיוק),
סודיות ,וזמינות של נתונים ומידע.
תפקיד המבקר
•
•
•
•
90
סקירת אמצעי אבטחת המידע המיושמים בארגון המבוקר.
הערכת “סבירות” אמצעי אבטחת המידע המיושמים -שיקולים רציונליים
המתבססים על מדיניות אבטחת מידע וניתוח סיכונים.
וידוא יישומם של נוהלי אבטחת מידע.
וידוא קיום גורם מקצועי אחראי לנושא.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
עקרונות אבטחת מידע בממ”מ
מדיניות אבטחת מידע
•
•
•
•
•
91
ניתוח סיכונים -בחינת תשתיות ופעילויות הארגון ,תוך זיהוי
איומים ,הערכת חשיפות וקביעת מוקדי סיכון.
בחינת עיסוקים -זיהוי תחומי העיסוק של בעלי התפקידים
בארגון הקובעים סמכויות גישה ושימוש בממ”מ.
עקרון “הצורך לדעת” ( - )Need to Knowהגבלת תפוצת
המידע לבעלי התפקידים הזקוקים לו.
מידור המידע -פעילויות המחלקות את ממ”מ לתחומים לוגיים
ופיזיים.
זיהוי “בעלי המידע” ( - )Owners of Dataהגורמים המאשרים
שימוש במידע מסוים ע”י אנשים בארגון או מחוצה לו.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
עקרונות אבטחת מידע בממ”מ
מדיניות אבטחת מידע (המשך…)
• הגדרת הגורמים האחראים על יישום מדיניות אבטחת המידע
ומערכת הרשאות.
• סיווג המידע מבחינת רגישותו וחשיבותו לארגון ,באופן בלתי
תלוי במשתמשים( .התועלת לגורם זר /נזק לארגון כתוצאה
מחשיפת המידע) .ניתן להגדיר גם רמת סיווג למשתמשים.
(מיושם במערכות ביטחוניות).
• עיצוב מערכת הרשאות -עקרון “הצורך לדעת” קובע את
הרשאות הגישה והשימוש במידע .רמת רגישות המידע קובעת
את כללי הגישה ואמצעי ההגנה והבקרה הנדרשים עבור כל
הרשאת גישה.
92
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
עקרונות אבטחת מידע בממ”מ
מערכת הרשאות -מאפיינים
•
•
•
•
הרשאות גישה למיקום הנתונים (ספריה/קובץ/רשומה/שדה)
הרשאות למשתמשים (בודד או קבוצה)
הרשאות לפעילויות ו/או תהליכים (תפריטים)
הרשאות גישה למידע או נתונים ()R, W, D, U, I, X
מערכת הרשאות -רמות
•
•
•
•
93
רמת רשת התקשורת
רמת מערכת ההפעלה
רמת בסיס הנתונים
רמת היישום
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
עקרונות אבטחת מידע בממ”מ
אמצעי אבטחה לוגיים
• אמצעי זיהוי -וידוא כי הגורם מבצע הפעילות הוא אכן זה
שניתנה לו הרשאה לכך.
• נתון מוכר למשתמש -קוד מזהה ( )User IDוקוד סודי (סיסמא).
• פריט המוחזק ע”י המשתמש -כרטיס מגנטי/ברקוד ,מפתח ,או אמצעים פיזיים
אחרים.
• תכונות ביולוגיות של המשתמש -טביעת אצבע/רשתית ,זיהוי קולי ,זיהוי כתב
יד( .דרושות טכנולוגיות מתקדמות).
• סיסמאות -מדדי איכות להבטחת אקראיות.
•
•
•
•
•
94
תדירות שינוי הסיסמא (לפי מכון התקנים אחת ל 30 -עד 60יום).
אורך תווים מינימלי (לפי מכון התקנים 4עד 8תווים).
הגבלת מספר ניסיונות הזנה לפני ניתוק (לפי מכון התקנים 3עד 5ניסיונות).
הגנה על גישה לקובצי הסיסמאות.
בדיקת סיסמאות חוזרות מול רשימה היסטורית של סיסמאות.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
עקרונות אבטחת מידע בממ”מ
אמצעי אבטחה לוגיים (המשך…)
• זיהוי דינמי/אוטנטיות -תהליך הזיהוי אינו מתבצע בנקודת זמן
אחת.
•
•
•
•
זיהוי במרווחי זמן קבועים או אקראיים במהלך הפעלת המערכת.
זיהוי עפ”י אופי הפעילות (למשל ,סיסמא נוספת בעת גישה למידע רגיש).
מתן תשובות לשאלות אקראיות (כמו פרטים אישיים ו/או מידע ייחודי אחר)
במהלך הפעלת המערכת.
זיהוי משתמש עפ”י דפוסי ההתנהגות שלו במערכת (למשל ,סבירות פעולות
מסוימות בהתאם להרשאות שניתנו) -דורש מעקב בזמן אמת.
האוטנטיות צריכה להיות דו צדדית -גם המשתמש צריך
לוודא שהוא מקבל מידע ממחשב /מערכת /יישום נכון.
95
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
עקרונות אבטחת מידע בממ”מ
אמצעי אבטחה לוגיים (המשך…)
• הצפנה -תהליך הפיכת מידע גלוי לחסוי (הגנה כנגד חשיפת
המידע).
•
•
•
•
אלגוריתם -קבוצת כללים ידועים לביצוע התהליך.
מפתח -החלק הסודי של התהליך שנבחר מתוך קבוצה גדולה של צרופים.
אמצעי חומרה.
אמצעי תוכנה.
• שיטות הצפנה:
• השיטה הסימטרית -מפתח משותף לשני הצדדים (כל צד יכול להצפין ולפענח
מידע באותו מפתח) .הנחה -שני הצדדים סומכים אחד על השני ונמנעים
מלהעביר את המפתח לצד שלישי( .האלגוריתם המפורסם ביותר הוא
DES - Data Encryption Standard).
• השיטה האסימטרית -מפתחות שונים להצפנה ולפענוח .בד”כ מפתח ההצפנה
ציבורי ומפתח הפענוח פרטי( .האלגוריתם המפורסם ביותר הוא RSA).
96
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
עקרונות אבטחת מידע בממ”מ
אמצעי אבטחה לוגיים (המשך…)
• חתימה דיגיטלית -יכולת הוכחה להעברת הוראות בין גורמים
שונים באמצעות ממ”מ ,ללא הזדקקות לניירת.
•
•
•
•
•
97
יצירת החתימה נעשית באמצעות מפתח פרטי.
מפתח הפענוח מועבר למקבל המסמך כחלק מהתהליך המאובטח (מבוסס על
הרעיון של ה“מפתח ציבורי”).
ברשות המקבל חתימה מוצפנת ששולחה זוהה בוודאות ומפתח לפענוחה.
באם בתהליך הפענוח מתקבלת החתימה הגלויה של השולח ניתן לראות בה
חתימה מחייבת ,מאחר שרק לשולח יש יכולת לייצר זוג מפתחות אסימטרי
(והוא צריך לשמור אצלו הוכחות ששמשו לכך).
- 1991תקן חתימה דיגיטלית של מכון התקנים האמריקאי
(DSS - Digital Sign Standard).
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
עקרונות אבטחת מידע בממ”מ
הצפנה -המחשה
צד א’
מצפין/מפענח -פרטי
שיטה
DES
צד ב’
מצפין/מפענח -פרטי
מצפין -ציבורי ב’
מפענח -פרטי
RSA
מפענח -פרטי
מצפין -ציבורי א’
מצפין/מפענח -
ציבורי ב’+פרטי
DSS
( RSAכפול)
מצפין/מפענח -
ציבורי א’+פרטי
דוגמאות:
98
ב E-mail -ניתן ליישם מנגנון של חתימות אלקטרוניות (DSS),
קניות באמצעות כרטיסי אשראי באינטרנט
( RSAשל הספק או DSSבאמצעות התקנת .)Client
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
עקרונות אבטחת מידע בממ”מ
אמצעי אבטחה פיזיים
• איומים
•
•
•
•
•
נזקים פיזיים -אש ,עשן ,התפוצצות וכו’.
נזקי טבע -רעידת אדמה ,ברק ,סופה ,הצפה וכו’.
נזקים סביבתיים -חומרים רעילים וכו’.
פגיעה במערכות המחשוב -נפילת מתח ,ניתוק תקשורת וכו’.
פשיעה -גניבה ,חבלה וכו’.
• אמצעים
• הגנה על מבנים ואתרים -מיקום מתאים ,הסוואת מתקני מחשוב ,חומרים
חסינים ,תשתית מוגנת ,הפרדה פונקציונלית.
• בקרת גישה למתקני מחשוב -שומרים ומלווים ,רישומי כניסה ויציאה ,תגים,
אמצעי גישה חכמים (כרטיסים מגנטיים ,קודים סודיים וכו’) ,דלתות כפולות,
מערכת בקרה במעגל סגור ,מערכות התראה ואזעקה לזיהוי פריצה (גלאים).
99
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
עקרונות אבטחת מידע בממ”מ
אמצעי אבטחה פיזיים (המשך…)
•
•
•
•
•
•
100
הגנה מפני אש -גלאי עשן וחום ,אמצעי אזעקה אוטומטיים וידניים במקומות
רגישים ,מערכות כיבוי אוטומטיות ,סימון בולט של מיקום אמצעי הכיבוי
ויציאות החירום ,אמצעי כיבוי יעילים ,בלתי רעילים ,ובלתי מזיקים לציוד (גז).
סיכוני חשמל -תחזוקה מונעת של מתקני חשמל ,שנאי בידוד ,מייצבי מתח,
מערכות אל-פסק ( ,)UPSוגנרטורים להפקה עצמית של חשמל.
סיכוני טמפרטורה -אמצעי הגנה על מערכות מיזוג האוויר ,אחזקתם במקום
מאובטח ,כיבוי אוטומטי במקרה של שריפה ,מערכת גיבוי במקרה תקלה.
סיכוני מים/לחות -גלאי הצפה ומודדי לחות ,קירות אטומים למים ,כיסוי נגד
מים לציוד שאינו מופעל ,מערכת ייבוש נאותה.
סיכוני אבק (בעיקר בציוד קצה) -אחסון כמות נייר מינימלית במתקן המחשב,
קיום צנרת לתחלופה של אויר ,הימנעות מהתקנת פריטים הקולטים אבק
(שטיחים וכו’).
בקרה על אבטחת המידע -דוחות בקרה ויומני פעילות עבור כל מערכת ,שילוב
תוכנות מיוחדות לאבטחת מידע ,כוח אדם שאחראי לביצוע פעילויות ההגנה
ולתחזוקת אמצעי ההגנה.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תוכנית למצב חירום
Business Continuity Planning
• הגדרה -תאור של צעדים שיש לנקוט ,המשאבים בהם יש
להשתמש והנהלים אותם יש למלא לפני ,במשך ואחרי קרות
אירוע בלתי רצוי הגורם לכך שאמצעי המחשוב של הארגון לא
יתפקדו.
• מחובתו של המבקר לוודא קיומה של תוכנית התארגנות למצב
של השבתת שירותי מחשוב ולחוות דעה לגבי תקינותה,
שלמותה ועדכניותה.
101
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תוכנית למצב חירום
שלבי תכנון בסיסיים
•
•
•
•
•
•
•
102
ייזום והתארגנות -גיבוש צוות ,קביעת מסגרת ארגונית ,לו”ז,
תקציב ,עקרונות והנחות יסוד.
ניתוח מצב קיים -איסוף מידע לגבי כלל משאבי המחשוב
הקיימים .קביעת סדרי עדיפויות והתדירויות של צרכי
המחשוב בארגון.
ניתוח סיכונים -אמצעי בסיסי להגדרת צרכי וממדי התוכנית.
חקר ישימות -בחינת חלופות לטיפול במצבי חירום וביצוע
גיבוי/שיקום .גיבוש אסטרטגיות אופטימליות לצרכיי הארגון.
עיצוב -הכנת תיק תכנון הכולל מפרטים נהלים ותדריכים.
ניסוי -יצירה מבוקרת של אירועים שונים למטרות בדיקה.
תחזוקה -כתוצאה משינויים ארגוניים או טכנולוגיים.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תוכנית למצב חירום
אסטרטגיות ארגוניות
•
•
•
•
מחוץ לארגון ובתוך הארגון.
ביטוח -באיזו מידה ניתן להיות מכוסה ?
מעבר לעבודה ידנית -בד”כ לא מעשי (רק בארגונים קטנים בהם העיבודים לא
מתוחכמים ואינם נעזרים בתקשורת).
אמצעי מחשוב נוסף (“תאום”) -הגישה הטובה ביותר אך גם היקרה ביותר.
דורש שמירה על רמת תאימות רבה ,בקרה ופיקוח.
• סינכרוניזציה מלאה עם מחשב מקביל (ניתן לנצל גם ליישומים/עיבודים אחרים)
• מעבר למתקן/אתר פנימי אחר -דורש זמן רב לקליטה של כל מערכות המחשוב
(מספר ימים) .עלויות תפעול נמוכות מול עלות חד-פעמית גבוהה של התקנת
תשתית בסיסית מתאימה.
• אתר “חם”
• אתר “פושר”
• אתר “קר”
• רכישת משאבי מחשב מגורם חיצוני -בעיה של זמינות ,התאמה לצורכי הארגון
ותאימות מלאה של מרכיבי המחשוב.
103
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תוכנית למצב חירום
אסטרטגיות גיבוי
• גיבוי “קר” -גיבוי המידע על אמצעי אחסון חיצוניים ומוגנים
ומעבר למחשב חלופי רק במצבי חירום .האסטרטגיה
הפופולרית ביותר בגלל סטנדרטיזציה וזמינות גבוהה.
• גיבוי “חם” -רישום אוטומטי של המידע בשני מחשבים בו
זמנית .אסטרטגיה זו מאפשרת התאוששות בזמן הקצר ביותר
אולם דורשת משאבי מחשוב ועלות גבוהים.
• גיבוי “הדדי” -בכל מחשב מבוצעים רק חלק מהעיבודים
הקריטיים והתוצאות מועברות למחשב השני .אסטרטגיית
ביניים שמקטינה את זמן ההתאוששות ומשאבי המחשוב
הנדרשים.
104
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תוכנית למצב חירום
גיבוי נתונים ותוכניות
•
•
•
•
105
שמירת עותקים של קובצי נתונים לסוגיהם על אמצעי אחסון
שונים (תדפיס ,מדיה מגנטית ,מיקרופיש וכו’).
שמירת עותקים של תוכנות יישומיות ,מערכת ההפעלה
ותוכניות אחרות על גבי מדיה מגנטית.
תיעוד מפורט של כל ממ”מ (מבנה ,תוכניות ,הוראות הפעלה
וכו’).
עריכת רשימות של כוח אדם ,אנשי מפתח ,תדריכים ,נהלים
וכו’.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תוכנית למצב חירום
תכנון הגיבוי
•
•
•
•
•
ניידות מסביבת עיבוד אחת לשנייה (ניתנים להפעלה באמצעי
מחשוב שונים).
שמירה באתר מרוחק ממתקן המחשב בעל רמת בטיחות נאותה
(כספת חסינת אש).
תדירות עדכון הגיבויים ואופן שילוב תהליכי הגיבוי במהלך
העבודה השוטפת.
ניסוי תקופתי לבדיקת תקינות הגיבויים.
בחירת שיטת הגיבוי האופטימלית למערכת מידע ספציפית.
(שימוש בחבילות תוכנה המבצעות גיבויים באופן אוטומטי
בשיטות שונות וברמות שונות ,תוך בדיקת מהימנות הנתונים).
106
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
תוכנית למצב חירום
שיטות גיבוי
• סב-אב-בן (שלושה דורות) -שיטה קלאסית במערכות Batch.
מצטבר
סב
גיבוי
מצטבר
אב
תנועות
עיבוד
שיחזור
מתוך הגיבוי
מצטבר אב
תנועות
עיבוד
שיחזור ע”י קובץ
קליטה/מסמכי
מקור
מצטבר בן
• רישום כפול של מידע בשני מסדי נתונים המותקנים על שני
מחשבים שונים .מלבד זאת ,התוכניות לניהול מסדי הנתונים
( )DBMSכוללות בתוכן תהליכים פנימיים השומרים מידע
לצורכי שיקום ושיחזור.
107
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הוראות וחוקים רלוונטיים -הוראות מס הכנסה
הוראות מס-הכנסה (ניהול פנקסי חשבונות) ,התשל”ג1973-
•
•
•
•
•
•
108
ספרי החשבונות שעל כל נישום לנהל.
כללים בנוגע לעריכה והפקה של תיעוד פנים.
תוכן הספרים -הגדרה מפורשת של נוהלי הרישום ומהות
הפרטים שירשמו.
הגדרת “מערכת חשבונות ממוחשבת” וכללים מיוחדים
לניהולה (נספח ה’).
שמירת הספרים -צורת האחסון והשמירה של הנתונים
במערכת ,וטווח הזמן הדרוש.
הוראות מפורשות בנושא מכירת תוכנה לארגונים ע”י ספקי
תוכנה.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הוראות וחוקים רלוונטיים -חוק הגנת הפרטיות
כללי
•
•
•
•
•
•
•
109
נחקק בשנת .1981
תיקון לחוק משנת - 1985התייחסות לגופים ציבוריים.
פרקים ב’ ,ד’ -הגנה על הפרטיות במאגרי מידע ממוחשבים.
תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי
העברת מידע בין גופים ציבוריים) .1986 -
תיקון לחוק משנת ( 1996תיקון מס’ )4בדבר מאגרי מידע -
התאמה למציאות הטכנולוגית.
אחת החקיקות המתקדמות בעולם מהיבט שמירת זכויות
הפרט.
אכיפה מוגבלת ע”י רשם מאגרי המידע.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הוראות וחוקים רלוונטיים -חוק הגנת הפרטיות
סביבת החוק והתקנות
הפרט
מידע מוגבל
בעל מידע
מאגר המידע
מידע פרטי
מנהל מאגר המידע
מידע עסקי סודי
מידע אחר
מידע תאגידים
נותן שירותים חיצוני
רשם מאגרי מידע
110
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הוראות וחוקים רלוונטיים -חוק הגנת הפרטיות
הגנה על מאגר מידע
• אבטחת מידע -הוראות כלליות לניהול מאגר מידע (פרק ב’).
•
•
•
•
•
•
•
•
•
111
אבטחה לוגית -כללי הרשאת גישה והגנה מפני חדירה.
הגנה פיסית -מחשב ,תשתית ,מבנה ,תקשורת ,תשתית חשמל.
נהלי אבטחת מידע -כללי איסוף ,אימות ,עיבוד ,והפצה של מידע.
שלמות מידע -זהות הנתונים במאגר למקור ממנו נשאבו בלא ששונו ,או
נמסרו ,או הושמדו ללא הרשאה.
בקרה -סדרי בקרה לגילוי פגיעות בשלמות המידע וסדרי בקרה לתיקון ליקויים.
שמירה על סודיות המידע -התחייבות כללית.
שימוש במאגר רק למטרות עבורו הוא נוצר.
כללי אבטחת מידע מפורטים.
ניתוח סיכונים ואיומים (אמצעים סבירים).
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הוראות וחוקים רלוונטיים -חוק הגנת הפרטיות
כללי העברת מידע
•
•
•
•
העברת מידע רק בין גופים ציבוריים (פרק ד’) -נהלי ביצוע
מחמירים.
אחריות על הגוף הציבורי המקבל לזהות מידע נוסף (“עודף”)
ולמחוק אותו לאלתר.
גופים שאינם ציבוריים -רק בכפוף להסכמת הפרט.
מידור מידע שאין לגביו הסכם.
חשיבות למבקר
• השוואת המצב בפועל בארגון לעומת התקן.
• הנחיה לגבי אופן ניהול מאגרי מידע ממוחשבים במשרד רו”ח
(לצורך הביקורת ולצורך מתן שירותים אחרים).
112
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הוראות וחוקים רלוונטיים -חוק המחשבים
כללי
• נחקק בשנת .1995
• מסדיר את הטיפול בעבירות מחשב (פרק ב’).
•
•
•
•
•
שיבוש או הפרעה למחשב או לחומר מחשב.
העברת/הפקת מידע כוזב או פלט כוזב.
חדירה לחומר מחשב שלא כדין.
חדירה לחומר מחשב כדי לעבור עבירה אחרת.
העברת/החדרת נגיף מחשב.
• מכיל תיקוני חקיקה בדבר דיני ראיות ודיני חיפוש ותפיסה
הקשורים למחשב (פרק ד’).
113
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הסביבה הטכנולוגית של ממ”מ -מחשבים אישיים
מחשב אישי כיחידה נפרדת -נספח ב’ לג”ד 66
• מאפיינים של סביבת מחשבים אישיים
•
•
•
•
•
•
•
114
סביבת עיבוד הנתונים בד”כ מאורגנת פחות.
יישומים ניתנים לפיתוח מהיר ע”י משתמשים בעלי ידע בסיסי בלבד.
בקרות על תהליך פיתוח המערכת עלולים להיות לא מספקים (למשל ,חוסר
בתיעוד מתאים).
בקרות על הפעלת המערכת עלולים להיות לא מספקים (למשל ,בקרות גישה).
משתמשים עלולים לתת אמון בלתי מסויג במידע החשבונאי הנאגר מבלי
שיהיה לכך כל בסיס.
מחשב אישי מיועד למשתמש קצה .אם יש כמה משתמשים במחשב אחד ,ללא
בקרה מתאימה הנתונים והתוכניות חשופים לגישה ,שימוש ,שינוי או גניבה
ע”י המשתמשים האחרים.
קשה להבדיל בין בקרות כלליות לבקרות יישום.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הסביבה הטכנולוגית של ממ”מ -מחשבים אישיים
מחשב אישי כיחידה נפרדת -נספח ב’ לג”ד ( 66המשך…)
• בקרה פנימית בסביבת מחשבים אישיים
• הכתבה ואכיפה של מדיניות שליטה ואופן שימוש ע”י ההנהלה.
• הגדרת תקנים נהלים וגורמי אחריות.
• יישום אמצעי אבטחה פיסיים על הציוד.
• שימוש במנגנוני נעילה.
• שימוש במערכת אזעקה.
• חיבור קבוע לשולחן.
• יישום אמצעי אבטחה פיזיים על אמצעי אחסון קבועים ונתיקים.
• האצלת סמכויות לעובדים מסוימים לפיקוח על ניפוק והחזרה (“ספרנים”).
• שימוש במנגנוני נעילה.
• שמירת גיבויים במיכל חסין אש וחום באתר ומחוצה לו
115
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הסביבה הטכנולוגית של ממ”מ -מחשבים אישיים
מחשב אישי כיחידה נפרדת -נספח ב’ לג”ד ( 66המשך…)
• בקרה פנימית בסביבת מחשבים אישיים (המשך…)
• אבטחת תוכנה ונתונים במערכת ההפעלה וביישומים.
•
•
•
•
הפרדת הנתונים לקבצים המאורגנים בספריות נפרדות (Directories).
שימוש בקבצים חבויים ( )Hidden Filesובשמות קבצים סודיים.
שימוש בסיסמאות.
שימוש בהצפנה.
• העברת המידע לאמצעי שמירה נתיק ומחיקת הקבצים המקוריים.
• שלמות ודיוק תוכנה ונתונים.
•
•
•
•
•
116
יישום בדיקות תחום ( ,)Range Checksבדיקות תבנית ( )Format Checksובדיקות
לוגיות (Cross Checks).
יישום אמצעים לבדיקת טעויות ואיתורן בתוכנות שנרכשו.
יישום נהלים לפיתוח ולבדיקת יישומים.
תיעוד כתוב ונאות של יישומים.
גיבוי של חומרה תוכנה ונתונים.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הסביבה הטכנולוגית של ממ”מ -מחשבים אישיים
מחשב אישי כיחידה נפרדת -נספח ב’ לג”ד ( 66המשך…)
• השפעה על המערכת החשבונאית
• בקרות כלליות -הפרדת תפקידים לאיתור שגיאות וטעויות ולמניעת ביצוע
והסתרה של פעולות לא נאותות.
• בקרות יישום -קיום בקרות גישה ,קלט ,פלט ועיבוד.
• השפעה על נוהלי הביקורת
• התרכזות בבדיקות מבססות לפי שיקולי עלות/תועלת.
• ביצוע סקר בקרה פנימית המתייחס לכל הנקודות לעיל.
117
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הסביבה הטכנולוגית של ממ”מ -סביבה מקוונת
סביבת מחשבים - Onlineנספח ג’ לג”ד 66
• סוגי מערכות מחשב מקוונות
•
•
•
•
•
118
עיבוד בזמן אמיתי במקוון ( - )Real Timeעדכון מיידי בקובץ ה“אב”.
עיבוד אצווה מקוון -עדכון מיידי של קובץ תנועות ועדכון מאוחר של קובץ
ה”אב” (שילוב של BatchוOnline). -
עיבוד זיכרון ועיבוד מאוחר מקוונים
( - )Memo / Shadow Update & Subsequent Processingשילוב של עיבוד
בזמן אמיתי במקוון בקובץ “צל” ועיבוד אצווה במקוון( .דוגמאATM). :
שאילתות מקוונות -שאילתות מידע מקובצי ה”אב” (מעודכנים ע”י מערכות
אחרות)
עיבוד בפריקה /בהעמסה ( - )Down / Up Loadingהעברת מידע בין “מסוף
חכם” לקובץ “אב” במחשב אחר לצורך ביצוע עיבוד נוסף( .דוגמא :העברת
נתונים בין סניף למשרד הראשי).
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הסביבה הטכנולוגית של ממ”מ -סביבה מקוונת
סביבת מחשבים - Onlineנספח ג’ לג”ד ( 66המשך…)
• מאפייני מערכת עיבוד מקוונת
• ביצוע בדיקות תקפות ( )Validation Testsבעת קליטת הנתונים.
• יכולת גישה מקוונת למשתמשים ומתכנתים.
• המערכת לא תמיד מספקת מסמכים מבססים על כל תנועה הנקלטת.
• בקרה פנימית במערכת מקוונת
•
•
•
•
•
119
שימוש בנוהלי בקרות גישה למערכת (סיסמאות ,תוכנת הרשאות מיוחדת,
בקרות פיסיות וכו’).
בקרה על סיסמאות -נוהלי בחירה ושמירה.
בקרה על פיתוח מערכות ותחזוקתן -סיסמאות ,בקרות גישה ,בדיקות תקפות,
תהליכי התאוששות.
בקרות תכנות ובקרות על תוכניות -נהלים למניעת או גילוי ביצוע שינויים לא
נאותים בתוכניות מחשב (למשל ,שימוש בספריות ועוד).
יומן אירועים ( - )logדוחות שמתוכננים לתעד נתיב ביקורת לכל האירועים
במערכת (מקור האירוע ,מסוף ,מועד ,משתמש ,פרטי האירוע).
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הסביבה הטכנולוגית של ממ”מ -סביבה מקוונת
סביבת מחשבים - Onlineנספח ג’ לג”ד ( 66המשך…)
• בקרה פנימית במערכת מקוונת (המשך…)
• בקרות יישום חשובות לעיבוד מקוון:
•
•
•
•
•
•
120
הרשאת טרום עיבוד (למשל ,שימוש בכרטיס אשראי יחד עם קוד אישי לפני ביצוע
משיכה בATM). -
שגרות בדיקות סבירות ובדיקות תקיפות (באמצעות מסוף “חכם” או באמצעות
המחשב המרכזי).
נוהלי חתך -מבטיחים שהתנועות מעובדות בתקופה חשבונאית נאותה( .חשוב
בעיקר במערכות בהם יש זרימה רציפה של תנועות).
בקרת קבצים -נהלים המבטיחים שימוש בקובצי נתונים נכונים בעת ביצוע עיבוד
מקוון.
נהלים לבקרת שינויים בקובצי ה“אב” (להם השפעה נרחבת על תוצאות
העיבודים).
בקרת מנות ( - )Run-To-Run Controls, Balancing Batch Totalsהשוואת נתוני
הקלט ,העיבוד והפלט במנות על מנת להבטיח את שלמות ודיוק הנתונים בכל שלב
משלבי העיבוד (רק בעיבוד אצווה במקוון או בקלט באמצעות מסופים מקוונים).
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הסביבה הטכנולוגית של ממ”מ -סביבה מקוונת
סביבת מחשבים - Onlineנספח ג’ לג”ד ( 66המשך…)
• השפעה על המערכת החשבונאית
• ההשפעה על המערכת החשבונאית והסיכונים הקשורים אליה תלויה ב:
• היקף השימוש במערכת לצורך יישומים חשבונאיים.
• סוג ומהותיות התנועות המעובדות.
• אופי הקבצים והתוכנות המעורבות ביישומים.
• ניתן להקטין סיכון של הונאה או טעות בנסיבות הבאות:
•
•
•
•
הקלדת נתונים למערכת ב/או ליד הנקודה בה מתהוות התנועות -קליטה שלמה.
תיקון מיידי של תנועות שגויות -תיקון והקלדה חוזרת במועד נכון ובזמן סביר.
הקלדת נתונים ע”י אנשים שמבינים את מהות התנועה -הקטנת טעויות.
עיבוד תנועות מיידי -ביצוע העיבוד בתקופה חשבונאית נכונה.
• הסיכון למרמה או טעות גדל בין היתר במקרים הבאים:
• מסופים מקוונים מפוזרים בארגון -הזדמנויות לשימוש לא מורשה.
• הפסקה של תהליך מקוון מסיבה כלשהי (למשל ,תקשורת לקויה) -חשש לאיבוד
תנועות או קבצים.
121
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הסביבה הטכנולוגית של ממ”מ -סביבה מקוונת
סביבת מחשבים - Onlineנספח ג’ לג”ד ( 66המשך…)
• גישה מקוונת לנתונים ותוכניות באמצעות תקשורת -הזדמנות לחדירת אנשים
בלתי מורשים.
• השפעה על בקרות פנימיות.
• לחלק מהתנועות הנקלטות אין מסמכי מקור.
• תוצאות מתומצתות של עיבודים (לדוגמא :רק ריכוז של נתונים עובר לשלב הבא).
• לא תמיד מופקים דוחות מודפסים אלא מוצגים הערות אזהרה.
• השפעה על נוהלי הביקורת
•
•
•
•
122
יישום CAAT’S.
שילוב אנשים בעלי ידע במערכות מקוונות ובבקרותיהן בצוות הביקורת.
קביעה מוקדמת של ההשפעה על נוהלי הביקורת -סבירות גדולה להסתמכות
על בקרות פנימיות בקביעת האופי ,ההיקף והעיתוי.
הקלדת נתוני מבחן לצורך הבנת המערכת וסקירת הבקרות.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הסביבה הטכנולוגית של ממ”מ -בסיסי נתונים
מערכות בסיסי נתונים -נספח ד’ לג”ד 66
• מאפייני מערכות בסיסי נתונים
•
•
•
•
•
שיתוף נתונים -בין משתמשים ,תוכניות ונתונים.
אי תלות של הנתונים ביחס לתוכניות היישום -כפילות המידע מצומצמת
למינימום (לפי יכולת הDBMS). -
מילון נתונים -אמצעי תוכנה העוקב אחר המבנה של הנתונים( .מהווה גם
מכשיר לשמירת תקני תיעוד ותקנים של הגדרות סביבת בסיס הנתונים
והיישומים).
ניהול בסיס הנתונים ע”י פונקציה נפרדת DBA. -
מטלות ניהול בסיס הנתונים:
•
•
•
•
123
הגדרת מבנה בסיס הנתונים.
שמירה על מהימנות הנתונים ,אבטחתם ושלמותם באמצעות יישום נהלים.
תאום פעולות המחשב הקשורות לבסיס הנתונים -אחריות ופיקוח על מרכיבים
פיסיים.
פיקוח על ביצועי המערכת -תיאום ותיווך מול ספק ה ,DBMS -הערכה והתקנה
של מהדורות חדשות והבטחת מתן הדרכה בארגון.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הסביבה הטכנולוגית של ממ”מ -בסיסי נתונים
מערכות בסיסי נתונים -נספח ד’ לג”ד ( 66המשך…)
• מאפייני מערכות בסיסי נתונים (המשך…)
• שימוש במספר בסיסי נתונים (מבנה מבוזר) ע”י יישומים.
• קיום קשר תקין בין בסיסי הנתונים (רפליקציות).
• תיאום בין התפקידים.
• שמירת עקביות בין נתונים הקיימים בכמה בסיסי נתונים.
• בקרה פנימית בסביבת בסיסי נתונים
• תלויה במידה רבה באופי המטלות של ניהול בסיס הנתונים ובביצוען.
• חשיבות של בקרות כלליות יותר מאשר בקרות היישום.
•
•
•
•
124
הטמעת גישה תקנית לפיתוח ותחזוקה של תוכניות יישום.
קביעת “בעלות” על הנתונים (אחריות לקביעת כללי גישה והגנה).
גישה לבסיס הנתונים.
הפרדת תפקידים.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הסביבה הטכנולוגית של ממ”מ -בסיסי נתונים
מערכות בסיסי נתונים -נספח ד’ לג”ד ( 66המשך…)
• השפעה על המערכת החשבונאית
• ההשפעה על המערכת החשבונאית והסיכונים הקשורים אליה תלויה ב:
•
•
•
•
מידת השימוש בבסיסי נתונים ביישומים חשבונאיים.
סוג ומשמעות התנועות החשבונאיות המעובדות.
אופי בסיס הנתונים ,ה( DBMS -כולל מילון הנתונים) ואופי היישומים (עיבוד
באצווה או במקוון).
בקרות כלליות (שהם חשובות במיוחד).
• גורמים התורמים לשיפור אמינות הנתונים:
• מושג שיפור בעקביות הנתונים -נרשמים ומתעדכנים רק פעם אחת.
• שימוש יעיל באמצעים הכלולים ב - DBMS -שגרות התאוששות (,)Recovery
שגרות אתחול ( ,)Restartשגרות בדיקת תבניות ( ,)Editבדיקות תקפות ואופציות
אבטחה ובקרה אחרות (מנגנון Roll Back & Commit).
• שימוש במחוללי דוחות ושפת שאילתות ( )SQLשל ה DBMS -לזיהוי חוסר
עקביות בנתונים.
125
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הסביבה הטכנולוגית של ממ”מ -בסיסי נתונים
מערכות בסיסי נתונים -נספח ד’ לג”ד ( 66המשך…)
• השפעה על המערכת החשבונאית (המשך…)
• הסיכון להונאה או טעות גדל ללא בקרות מתאימות בגלל חוסר היכולת לקיים
בקרות מפצות על משתמשים (בין היתר בגלל אי התלות של הנתונים
בתוכניות).
• השפעה על נוהלי הביקורת
• הפעלת חלק מהנהלים הבאים לפי שיקולי עלות/תועלת:
•
•
•
•
126
הבנת סביבת הבקרה של בסיס הנתונים וזרימת התנועות במערכת.
ביצוע בדיקות ציות/התאמה ( )Compliance Testsאו בדיקות מבססות
)Substantive Testבהתאם לצורך.
שימוש בCAAT’S. -
יצירת נתוני מבחן.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הסביבה הטכנולוגית של ממ”מ -מסחר אלקטרוני
הגדרה
מסחר אלקטרוני (“ :)E-Commerceדרך לשפר החלפת
סחורות ,שירותים ,מידע וידע באמצעות טכנולוגיות מבוססות
רשתות תקשורת”.
קיימים שני סוגים
• בין עסקים ()B2B
• בין עסק לצרכן ()B2C
- B2Bדוגמאות
• מעגל הרכש
• תכנון/ייצור מוצרים
• העברת כספים
127
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הסביבה הטכנולוגית של ממ”מ -מסחר אלקטרוני
- B2Cדוגמאות
•
•
•
•
•
ניהול בנקאי אישי
קניות ובילוי
לימוד והדרכה
קביעת פגישות/תורים
שירות לקוחות
טכנולוגיות
• העברת נתונים בין ארגונים המגובה בתקן בינלאומי
(EDI/EFT).
• מסחר מקוון ברשת האינטרנט.
• שימוש ברשת חיצונית ייעודית -אקסטרנט.
128
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הסביבה הטכנולוגית של ממ”מ -מסחר אלקטרוני
התפתחות היסטורית
Internet
ftp
WWW
email
telnet
E-Commerce
EDI
1999
129
1990
ביקורת מערכות מידע ממוחשבות
1980
1970
פברואר2005 ,
הסביבה הטכנולוגית של ממ”מ -מסחר אלקטרוני
סיכונים
• סיכוני אינטגרציה
• תלות בשותף העסקי.
• חשש לפגיעה בסודיות ובפרטיות.
• סיכוני תקשורת
• חשש לפגיעה בסודיות ובפרטיות (באמצעות “cookies”).
• חשש לביצוע עסקאות לא מורשות.
• תלות בשרידות רשת התקשורת (זמן השבתה מקסימלי).
• סיכוני יכולת הביקורת ()Auditability
• אי שמירת מסמכי נייר.
• אי קיום הרשאות בכתב.
130
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הסביבה הטכנולוגית של ממ”מ -מסחר אלקטרוני
סיכונים (המשך…)
• סיכוני איתנות ()Integrity
•
•
•
•
•
שינוי או השחתת תוכן המסרים המועברים.
שינוי סדר המסרים (כפולים או אבודים).
פגיעה באוטנטיות.
אפשרות להתכחשות בדבר שליחה/קבלה של מסר.
חשש לביצוע עסקאות לא מורשות.
בקרות
• בקרות בסביבת הארגון
• בקרות גישה ליישומים.
• שימוש במנגנוני אבטחת מידע (“firewalls”).
• ביצוע מעקב מסרים באמצעות log file.
131
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הסביבה הטכנולוגית של ממ”מ -מסחר אלקטרוני
בקרות (המשך…)
• בקרות תקשורת
• בקרות מובנות במסרים (סיכומים Hash Totals ,וכו’).
• הצפנה וחתימה דיגיטלית.
• בקרות הצד הסוחר
• חוזה מוגדר בין הצדדים.
• ביקורת ע”י צד ג’.
• קבלת “חותם אמון” -מארגון חיצוני שתפקידו לבנות אמון ובטחון בין הצדדים
(דוגמא :אתר WebTrustsmבאינטרנט).
• מאותת שהסוחר עונה לדרישות ותקנים מוגדרים של בקרה.
הגנת המידע. איתנות של עסקאות. -גילוי נאות של צורת העבודה.
132
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הסביבה הטכנולוגית של ממ”מ -השלמות
• דואר אלקטרוני ( - )E-Mailאסטרטגיה לפיה הדואר מועבר
ל/בארגון באמצעים אלקטרוניים (קווי תקשורת).
• אפסון מסמכי מקור (“ - )Imagingצילום” דפי הנייר של
המסמכים לתוך המחשב ,תוך קטלוג וקישור המידע ע”י
“מפתחות”( .שימוש בטכנולוגיות של קידוד ופענוח נתונים
המתמזגים במאגרי מידע קיימים).
• העברת נתונים אלקטרונית בין ארגונים המגובה בתקנים
בינלאומיים (Electronic Data Interchange - EDI).
• יתרונות -נגישות גבוהה למידע ולמסמכים עסקיים .קיצור פרק הזמן הדרוש
לחיפוש .חסכון במקום אחסון ובעלויות נייר ,צילום ותיוק .צמצום שגיאות
הקלדה והעדר נתונים.
• בעיות -בתחום המשפטי (ראיות ,הגנה על הפרטיות) ובתחום אבטחת מידע.
133
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
הסביבה הטכנולוגית של ממ”מ -השלמות
• העברת כספים בין מוסדות פיננסיים בדומה לEDI -
(Electronic Funds Transfer - EFT).
• אינטרנט ( - )Internetהעברת מידע באמצעות רשתות
ציבוריות.
• אינטראנט ( -)Intranetיישום טכנולוגיות האינטרנט בתוך
הארגון.
• יצירת סביבה בעלת שקיפות למשתמש מבחינת השימוש באינטרנט.
• יישום מהיר של טכנולוגיות מתקדמות המפותחות עבור האינטרנט בתוך
הארגון.
• אקסטראנט ( -)Extranetיישום טכנולוגיות האינטרנט על
רשתות פרטיות בין ארגונים (VPN).
134
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
פיתוח ,רכישה ותחזוקה של ממ”מ
שלבי מחזור החיים של מערכת מידע
הפעלה
בד”כ 5-7
שנים ( MF
10שנים)
החלטה
חקר
ישימות
ניתוח מצב
קיים
קביעת סוג הפתרון
והערכת עלויות ולו”ז
פיתוח עצמי ,רכש
חבילת תוכנה ,שינויים
והתאמות (קסטומיזציה),
מיקור חוץ
135
2
ייזום -
האם צריך
תחזוקה
מ ”מ
(פעילות
חדשה?
שוטפת של
(בעיות)
המערכת)
1
9
הדרכה
8
והטמעה
הגדרת דרישות ()SR
3
צריכה
מה המערכת7
לעשות?
ניתוח 4
6
5
(אפיון
עיצוב -איך תכנות
מפורט)
המערכת
תראה?
פיתוח
( ,HMIשפה,
נתונים)
בדיקות
קבלה
()ATP
ביקורת מערכות מידע ממוחשבות
הסבת
נתונים
יישום
(המערכת
מתחילה
“לחיות”)
פברואר2005 ,
פיתוח ,רכישה ותחזוקה של ממ”מ
עיתוי הביקורת
•
•
•
•
•
•
•
136
ייזום -אין מעורבות של המבקר למעט דיווח על כוונה לפתח מערכת חדשה.
ניתוח מצב קיים -על מנתח המערכת להביא בחשבון את כל הממצאים
והבעיות עליהם הצביע המבקר.
הגדרת דרישות משתמשים -מסמך הגדרת הדרישות אמור לכלול דוחות בקרה
ובקרות עיקריים הנדרשים במערכת (בהתאם להתייחסות המבקר).
אפיון מפורט ועיצוב -שילוב המבקר תלוי בשיקולי עלות/תועלת ובידע ספציפי
הנדרש ממנו.
פיתוח (תכנות) -אין מעורבות של המבקר /בחירת חבילת תוכנה -חוות דעת
של המבקר בהתאם למידת התאמתה של המערכת לארגון עפ”י האפיון.
הטמעה -עריכת מבחני קבלה מחייבת מיומנות מיוחדת הדורשת בין היתר גם
מעורבות של המבקר כדי להבטיח כי תכנון וביצוע נאות .הסבת נתונים/ריצה
במקביל היא החלטה ניהולית הדורשת התייחסות של המבקר.
תחזוקה/שינויים ושיפורים -בד”כ בשלב זה מבצע המבקר את עיקר הבדיקות.
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
סוגיות מיוחדות בביקורת ממ”מ -באג שנת 2000
הבעיה
• תאריכים נשמרים בפורמט קצר mm/dd/yy.
• ממ”מ נבנו בהנחה של פעילות במאה הנוכחית.
• תאריכים גבוהים מ 31.12.99 -לא יטופלו נכון.
לדוגמא20]01[ - 19]32[ = -31 ; 19]98[ - 19]32[ = 68 :
חומרה (דוגמאות)
•
•
•
•
•
137
מערכת פיננסית -גיול חובות ,חישובי ריבית.
מערכת מלאי -מוצרים פגי תוקף.
מערכת שיווק -תאריך תוקף כרטיס אשראי.
מערכת כוח אדם ,שכר ורשויות מדינה -גיל וותק.
רכיבי חומרה משובצים מחשב ,PC -מרכזיות ,מתגים ,מטוסים
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
סוגיות מיוחדות בביקורת ממ”מ -באג שנת 2000
פתרונות
• החלפת ממ”מ.
• הרחבת שדות תאריכים dd/mm/yy => dd/mm/yyyy
(פתרון מלא אך יקר וצורך זמן).
• יישום “חלון זמן” -אלגוריתם החישוב:
XX >20 => 19XX
XX =<20 => 20XX
(פתרון מהיר וזול יחסית -מועדף בפרקטיקה).
138
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
סוגיות מיוחדות בביקורת ממ”מ -באג שנת 2000
תהליך היישום
•
•
•
•
•
מיפוי רכיבי התוכנה והחומרה בארגון.
הערכת הבעיה והסיכונים בכל רכיב.
קביעת דרך הפתרון -החלפה או תיקון.
ביצוע הסבה.
ביצוע בדיקות.
• “רגרסיה” -בדיקה של טיפול נכון בנתונים עתידיים כבר בהווה
• “מכונת זמן” -בדיקה של טיפול נכון בנתונים לאורך ציר הזמן
• ניסוי הזזת השעון ( - )Agingסימולציה של שנת 2000ואילך.
• ביצוע בדיקות חוזרות.
• בניית תוכנית חירום.
139
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
סוגיות מיוחדות בביקורת ממ”מ -באג שנת 2000
תפקיד המבקר
• בדיקת משמעות לגבי הנחת העסק החי.
• בקרות כלליות -סקירת התהליך במלואו.
•
•
•
•
קיום משאבים מספיקים.
עמידה בלוחות זמנים.
יישום כל השלבים.
שימוש במתודולוגיות.
• בדיקת מוכנות המערכת.
• נתוני מבחן (Test Data).
• שימוש בCAAT. -
• מתן ביאור בדוחות הכספיים.
• הערכת סיכונים.
• עלויות היישום.
140
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
סוגיות מיוחדות בביקורת ממ”מ -מיקור חוץ
תפקידי המבקר
•
•
•
•
שמירה על זכויות ביקורת מתאימות
קיום אפשרויות עקיפה בסביבת הביקורת.
מתן מענה ליעדי הארגון בהסכם מיקור החוץ (Outsourcing).
שמירה על משאבים והגנה לאי יכולת תפקוד הספק.
• שיקולים פיננסיים
•
•
•
•
ניפוח הון
עלות קבועה
עלות משתנה
אימות חשבונות
• שיקולי ביצוע
• אמות מידה
• המשכיות תפעולית
141
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,
סוגיות מיוחדות בביקורת ממ”מ -מיקור חוץ
• שיקולי ביצוע (המשך)..
• טכנולוגיה
• ניהול והדרכה
• סביבת השליטה/בקרה
•
•
•
•
חשאיות ,שלמות וזמינות
בקרת רשתות תקשורת נתונים
בקרות פיסיות
ניהול האבטחה
• זכויות הביקורת
• מבקרים
• היקף
• תזמון ומיקום
• יחסי לקוח-ספק
142
•
•
•
•
יציבות
נושאי כוח אדם
תכנון אסטרטגי
כללי
ביקורת מערכות מידע ממוחשבות
פברואר2005 ,