מרצה וחוקר בבית הספר למדעי המדינה – אוניברסיטת חיפה

מנהל אקדמי של תכנית מבקרים פנימיים – היחידה ללימודי המשך אוניברסיטת חיפה

מבוא ותמצית

להתפתחות בתחום טכנולוגיות הבינה המלאכותית ופלטפורמת הבלוקצ'יין יש השפעה משמעותית על הביקורת ועל התחום הפיננסי.

ברמה הגלובלית, מקצוע הביקורת, מוסדות הביקורת והרגולציה, כולם שמים דגש על השפעת טכנולוגיות אלה. ישנם יתרונות ברורים בשימוש בטכנולוגיות להגברת היעילות התפעולית והתובנות. הטכנולוגיה משנה את הדרך שבה העסק מנוהל והנתונים נבדקים. המיקוד הוא על ניהול הנתונים ופחות על הכר את הלקוח שלך. הטכנולוגיות הנ"ל הפכו לגורמים שמשנים את כללי המשחק  בתחומי הסקטור הפיננסי והחשבונאי וכמובן במקצוע הביקורת הפנימית. הן משנות את תפקידיהם של המבקרים הפנימיים ושל אלה העוסקים בתחומי ראיית חשבון ופיננסים. הן מאפשרות למבקרים לזהות טוב יותר את המידע הנדרש להם, ולהגדיל את יכולתם לאתר את הסיכונים התפעוליים והפיננסיים המאיימים על הארגון. במקביל הן משפיעות על המיומנויות הנדרשות מהמבקרים בתחומים השונים ובהמשך גם על מדיניות הגיוס של כוח אדם וההכשרה הניתנת להם.

מתוך סקירה של המחקר האקדמי עולה שטכנולוגיית המידע וטכנולוגיות נוספות שמקורן במהפכה הדיגיטלית, משפיעות באופן מובהק על דרכי עבודתם של המבקרים הפנימיים ועל אפקטיביות עבודת הביקורת.

1. השפעת טכנולוגית המידע על הביקורת הפנימית
2. Krishma Moorthy M., & Al 2011. The Impact of Information Technology on Internal Auditing. .African Journal of Business Management Economic Sciences Series, 5( 9): 3523-3539

המחקר דן בהערכת תפקידה של טכנולוגיית המידע (IT)  ובדרכים שבהן היא משפיעה על תהליך עבודת הביקורת בארגון. המחקר מדגיש, בין היתר, את המגמה הכללית ההולכת וגוברת של השימוש בטכנולוגיית המידע (תוכנה וחומרה) על מנת לקיים סביבת בקרה מתאימה בעת יישום תהליך הביקורת. המחקר בודק איך טכנולוגיית המידע משפיעה על מערכת הבקרה הפנימית (בקרת הסביבה הארגונית, הערכת  הסיכונים, פעילויות הבקרה, מידע ותקשורת וניטור הפעילויות) ומספק קווים מנחים להערכת הטכניקות הזמינות לביצוע באופן יעיל של מטלות הביקורת. המחקר מצביע על השפעת טכנולוגיית המידע על מנגנון הבקרה הפנימית בארגון. אחת המסקנות החשובות של המחקר היא אחריות המבקר באבטחת ממשל תאגידי יעיל.

המסגרת התיאורטית עליה מתבסס המחקר:

2. 2. השפעת טכנולוגיות המידע על אפקטיביות עבודת הביקורת הפנימית

2. Akinlete Gideon T., & Olanipekum Comfort., T.2019. Effects of Information Technology (IT) y on Internal Audit in Southwest Nigeria Universities Journal of Economics and Behavioral Studies ,11(1): 22-26

איסוף נתוני המחקר בוצע באמצעות 180 שאלונים שנתקבלו ממדגם מייצג של תשע אוניברסיטאות מתוך אוכלוסייה של 46 אוניברסיטאות הקיימות בדרום מערב מדינת ניגריה. שאלונים אלה שימשו לגזירת ערכי המשתנים המופיעים במשוואה האקונומטרית של מודל המחקר.

המסקנות וההמלצות של עבודת המחקר:

• באוניברסיטאות שנבדקו קיים קשר חיובי ומובהק בין טכנולוגיית המידע ועבודת ביקורת אפקטיבית.
• הביקורת הפנימית אינה משתמשת במידה הנדרשת בטכנולוגיית המידע לגילוי מעילות והונאות ולהיערכות לשמירה על הרכוש.
• השימוש של הביקורת החיצונית בטכנולוגיית המידע לא השפיע כנדרש.
• מחברי המחקר המליצו לאוניברסיטאות לקדם ולעודד שימוש מוגבר בטכנולוגיית המידע במחלקות הביקורת הפנימית ולהשתמש בטכנולוגיה זו בפעילות שמטרתה גילוי מעילות והונאות והיערכות לשמירה על הרכוש של הארגון.

3. באיזה מידה טכנולוגיית המידע משפיעה על פונקציית הביקורת הפנימית
4. Fengchun, T. et al. 2017. Exploring perceptions of Data Analytics in the Internal Audit Function. Behaviour & Information Technology 365( 11): 1125-1136

ניתוח ותחקור נתונים מתאר את הגזירה של נתונים מתאימים מתוך ים הנתונים הקיים בארגון,   על מנת לענות על שאלות ספציפיות וחשובות. כריית נתונים והטכניקות השייכות ליישומה הן  תהליך המשתמש בסטטיסטיקה, מתמטיקה ובינה מלאכותית, שבסופו הארגון יוצר ידע מאוד חשוב למטרותיו העסקיות והאסטרטגיות. המחקרמנסה להבין, בין היתר, איך פונקציית הביקורת משלבת את הניתוח והתחקור של הנתונים בארגז הכלים שלה כדי לשפר את עבודת הביקורת הפנימית המתבצעת בארגון.

שאלות המחקר מובאות להלן:

1. לדעת המבקרים הפנימיים הראשיים, איזה סוג של הסמכה ו/או תארים הם חשובים עבור עובדי הביקורת?
2. האם המבקר הפנימי הראשי סבור שניתוח ותחקור נתונים (Data Analytics) נמצא בעדיפות בארגון פונקציית הביקורת הפנימית?
3. האם הביקורת הפנימית (א) מבצעת הערכת סיכונים ובהמשך משתמשת בניתוח ותחקור נתונים לביצוע מטלות הביקורת, או (ב) עוסקת תחילה בניתוח ותחקור נתונים ובהמשך קובעת את רמת הסיכון במטלות ביקורת?
4. על סמך הפעילות המתבצעת לגבי ניתוח ותחקור נתונים בארגון, איך עובדי הביקורת מקבלים את ההכשרה הנדרשת בתחום זה?
5. על סמך הפעילות המתבצעת לגבי ניתוח ותחקור נתונים בארגון, באילו תוכנות וכלי תוכנה משתמשים הכי הרבה במחלקת הביקורת הפנימית כיום?

המחקר השתמש בשיטה של ניתוח מקרה ובטכניקה של ראיונות עם משתתפי המחקר. המחקר כלל שש חברות עסקיות ושש חברות לא עסקיות והדגש היה על ראיונות שנוהלו עם המבקרים הפנימיים הראשיים של אותן חברות.

ממצאי המחקר ממצביעים על כך שהביקוש למיומנויות בטיפול בניתוח ותחקור נתונים על ידי פונקציית הביקורת הפנימית ילך ויגבר בעתיד הקרוב. הצורך בעובדי ביקורת בעלי מיומנויות ויכולות בתחום הניתוח והתחקור של נתונים הוא תוצאה של הציפיות לשימוש מוגבר ב-Data ,Analytics כדי לתמוך במטלות הביקורת ולסייע בהערכת הסיכונים ובמשימות נוספות של המבקר הפנימי. ממצאים אלה עולים בקנה אחד עם ממצאיו שלBond's  (2014) שטען: אחד השימושים החשובים של Data Analytics עבור הביקורת הפנימית הוא לשפר את יכולתה להעריך ולנהל את הסיכונים וכתוצאה מכך להפוך לגורם המספק תובנות נוספות לארגון.  

4. הקשר בין גילוי מעילות והונאות לתחקור וניתוח נתונים
5. Jiali, T. & Khondar, E.K. 2019. Financial fraud detection and Big Data Analytics – Implications on auditor's use of fraud brainstorming session. Managerial Auditing Journal 34 ( 3): 324-337

מסקנת המחקר: שילוב של ניתוח ותחקור נתוני ענק (Big Data Analytics) יחד עם מפגשי סיעור מוחות בעקבות ניתוח הנתונים מהווה פתרון לשיפור הביצועים:.

המודל המוצע של המחקר כולל שישה שלבים שיישומם מאפשר לשפר את היכולת של המבקרים לעקוב ולגלות מעילות והונאות בארגון.

להלן תמצים השלבים:

• תהליך סיעור מוחות מתחיל באיסוף ראשוני של נתונים המסייע לגזור מדדים פוטנציאליים למעילות והונאות שישמשו את המשתתפים במפגשים.
• המידע שנאסף בשלב הראשון מעובד במטרה לשלב ולאחד את כל המידע בעת הצגתו.
• על סמך מידע מאורגן זה ניתן לבצע עבודת ניתוח במטרה לזהות גורמי סיכון פוטנציאליים.
• עכשיו צוות הביקורת יכול לתאם מפגשי סיעור מוחות שבהם ניתן לדון בגורמי הסיכון שזוהו וליצור חשיבה ואתגרים בקרב חברי הצוות.
• רעיונות המועלים והמוצעים במהלך מפגשי סיעור מוחות מוערכים ומסוכמים.
• סיום התהליך: תיעוד של התכנים והתוצאות של מפגשי סיעור מוחות. תוצאות אלה מהוות את התוצר החשוב ביותר בתהליך.

השלבים השונים של המודל ויישומם מוצגים בתרשים להלן.

The post החקר האקדמי של השפעת המהפכה הדיגיטלית וטכנולוגיית המידע על הביקורת הפנימית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

הטכנולוגיה היא מפתח המאפשר ערך עסקי. מבקרים פנימיים צריכים להיות מסוגלים לאמת שתהליך מסוים מספק החזר על השקעה מצופה וכי הופק המיטב מהחלטות על סיכוני טכנולוגיה ומשאבים.  ללא הכישורים הנדרשים, מבקרים פנימיים עלולים שלא לספק את הערך שהארגון מצפה מהם.

מרבית מבקרי מערכות המידע בנורדסטרום הם בעלי השכלה המשלבת מומחיות טכנולוגית ותארים במינהל עסקים לצד שנים של ניסיון עסקי. הם עובדים יחד עבור שלושה יעדים בלתי רשמיים של הביקורת: תפעול, מודיעין עסקי וציות.

נורדסטרום משתמשת בשני מדדים על מנת לקבוע האם מבקרי מערכות המידע הם יועצים מהימנים. הראשון: האם לקוחות חוזרים ומבקשים שירותי ביקורת פנימית?

השני: האם המלצות הביקורת מביאות לערך עסקי?

כדי לספק ייעוץ בעל ערך, מבקרי מערכות מידע צריכים להבין את הטכנולוגיות החדשות שעימן עובדים השותפים העסקיים, לרבות חידושים כגון DevOps, IOT וארכיטקטורה של מערכות ללא שרת.

מומחי ביקורת מערכות מידע בנורסטרום מצביעים על חמישה תחומים לחיזוק ערכם כיועצים:

1. אבטחת סייבר ופרטיות

רוב התעשיות מתייחסות לסיכוני סייבר ופרטיות כסיכונים מובנים וגבוהים. כחברה הנשענת על טכנולוגיה, נורדסטרום שכרה מומחים בעלי הסמכה בתחום אבטחת סייבר כדי לייעץ ולבקר כיצד לייצב באופן אופטימלי את הסיכון. כתוצאה מכך מבקרי מערכות מידע בנורדסטרום פירשו ויישמו בקרות אבטחה בשיטות עבודה על הסביבה החדשה, המבוססת על סביבת ענן.

שתי מסגרות המשמשות ארגונים בינלאומיים הן הארגון הבינלאומי לתקני 27002  ISO– טכנולוגיות מידע – טכניקות אבטחה הקוד ליישום בקרות על אבטחת מידע, והמסגרת של המוסד הבינלאומי לסטנדרטים בטכנולוגיית אבטחת סייבר.

מבקרים פנימיים מתרגמים את דרישות האבטחה של המסגרות הללו לשפה של לקוחות הביקורת. כך למשל, צוות של יישום אימץ לעצמו תהליכי עבודה שבהם כל חבר בצוות יכול לבצע שינויים בקוד היישום בסביבת הייצור. מבקרים פנימיים הסבירו לצוות את הפוטנציאל לשינוי לא מורשה של הקוד ואת הדרישות הנדרשות לפי תקני האבטחה. בכך הם סייעו לחברי הצוות להבין שעליהם ליישם בקרה מפצה באמצעות ניטור כניסות ליישום ורישום שינויים על מנת להבטיח ששינויים שאינם מורשים יאותרו באופן מיידי. ככל שצוותים לומדים יותר על סיכוני אבטחה ועל בקרות, כך הם מקבלים את ההחלטות הטובות ביותר בנוגע לסיכון.

2. טכנולוגיות ממשל תאגידי

מבקרי מערכות מידע בנורדסטרום מסתמכים על תקני ISACAS COBIT 5 כדי להעריך בשלות של טכנולוגיות משילות על בסיס חוזר ונשנה. מבקרים ממזגים בין תקני COBIT ותקניISO  ליצירת תקן ספציפי לנורדסטרום כבסיס לביקורת. תקן זה מאפשר למבקרים פנימיים וללקוחות הביקורת לראות היכן פעילותם משתלבת בתמונה הגדולה.

תקן זה גם מאפשר למחלקות לשתף פעולה עם המבקרים הפנימיים כדי לערוך ביקורת המשלבת היבטים שאינם טכנולוגיים של ממשל תאגידי. באחד הדוחות המבקרים סיפקו הבטחה כי הפרויקטים הטכנולוגיים מספקים את הערך המובטח בהיבט העסקי. מבקרים פנימיים בביקורת משולבת מרחיבים את הידע שלהם בכיסוי אסטרטגיית הטכנולוגיה, ארכיטקטורה משולבת, ומדידת ביצועי הארגון.

3. תחקור נתונים

מבקרים פנימיים של נורדסטרום ערכו יותר דוחות ביקורת משכנעים שבמסגרתן נבדקו 100% מהאוכלוסייה באמצעות טכנולוגיית תחקור נתונים. כדי לכתוב דוחות שכאלה, מצופה שלכל המבקרים הפנימיים יהיה ידע בסיסי באקסל, סטטיסטיקה ותיקוף נתונים. בצורה כזאת המבקרים הפנימיים ממנפים כלים לתחקור נתונים כדי להשיג מידע שישמש אותם בהכנת דוחות בנושאים משמעותיים.

כלים לתחקור נתונים הם שימושיים ביותר כאשר משלבים שתי מערכות נתונים או יותר. בפרויקט מסוים, מבקרים פנימיים חילצו אירוע במערכת המעקב והטיפול באירועים ותקלות, וקישרו אותו למידע על הבעיה בתיק באמצעות ניתוח סיבות שורש וזיהוי יישומים מתיעוד הנשמר במערכות משולבות.

כדי לחלץ מידע ממערכות מידע ייחודיות, מבקרים פנימיים משתמשים בכלי הדמיה של נתונים כדי לתת את המידע על מידת השליטה של החברה בבקרות ניהול השינוי והאם התהליך לווה בלמידה הנדרשת  הלקוח מנצל את הניתוח הנ"ל כדי לעקוב אחר ההתקדמות מאז הדוח.

4. תהליכי רובוטיקה ואוטומציה

ההתקדמות האחרונה של מבקרים פנימיים בנורדסטרום עוסקת בשימוש של תהליכי אוטומציה רובוטית. ייעוץ פרויקטים תואם למטרות הביקורת הפנימית בזיהוי דרכים לצמצום הוצאות או מאמץ בתהליכי העבודה. בשותפות עם חטיבות החברה ומחלקות המס, המבקרים יצרו רובוטים כדי להפוך את ההליך הידני של רישוי מזון ומשקאות והקלדת חשבוניות להליך אוטומטי. באמצעות האוטומציה של התהליך המבקרים הפחיתו את הוצאות השכר של הלקוח.

דוגמה נוספת היא בבחינה של הרשאות המשתמשים של החברה ותהליכי האימות. המבקרים שילבו את תיעוד הבקרה של האחראי עליה במערך הבדיקות שביצעו, תוך שימוש בכלי אוטומציה לביצוע בדיקה זו. אחת הבדיקות שבוצעו אימתה שגישה שניתנה בוטלה במועד. אם כן, שימוש ברובוטיקה ואוטומציה מאפשר למבקרים לבצע יותר מבחנים באותה מסגרת זמן.

5. תקשורת

מבקרי מערכות מידע בנורדסטרום התמקדו בשיפור המיומנויות בתחום התקשורת המילולית הכתובה. כדי לתקשר ביעילות עם גופי הטכנולוגיה בארגון, מנהל מחלקת ביקורת מערכות מידע מבלה שישה חודשים בעבודה ישירה מול מנהלים ביחידות הטכנולוגיה טרם כניסתו לתפקיד בביקורת הפנימית. במהלך תקופה זאת הוא לומד את המנהלים וסגנון התקשורת שלהם, וישלב זאת בדוחות הביקורת כדי להגביר את השפעתם.

מבקרים פנימיים הפכו לבעלי תקשורת משכנעת, מנהלי משא ומתן יעילים ומאזינים גדולים. הם הביאו לגידול באמון בעלי העניין על ידי שימוש בנתונים לתמיכה בממצאי הביקורת ותוכניות פעולה של הארגון. כיום יש ציפייה שממצאי הביקורת ייתמכו על ידי נתונים אפילו בנושאים קשים לכימות ומדידה, אך צריך לזכור שהצגת נתונים חזותית אינה נדרשת בכל דוחות הביקורת. לעיתים הצגה חזותית עלולה לגרום ללקוח לקפוץ למסקנות בלי לקרוא את כל הפרטים, ולכן חלק מהלקוחות מעדיפים לקרוא את הטקסט. בעוד שדוחות הביקורת צריכים להתמקד תמיד בסיכונים החשובים ביותר, מבקרים מתאימים את סגנון דוחות הביקורת לפורמט המועדף על בעלי העניין.

לסיכום, יצירת אמון באמצעות הטכנולוגיה

הביקורת הפנימית צריכה באופן תמידי לפתח את אנשי הצוות, להפוך אותם ליועצים אמינים ולשמר אותם.
מאמציה של נורדסטרום בעניין כוללים: הגברת היקף שיחות ממוקדות סיכונים שעורכת ההנהלה כדי להביא להגדלת אפקטיביות הבקרות. והובלת שינוי תרבותי והקדשת זמן לבניית אסטרטגיות להפחתת סיכוני טכנולוגיה.

בתהליכים אלה מבקרי מערכות מידע הגדילו את שיעור שביעות הרצון של הלקוחות וקיבלו יותר דרישות לביצוע עבודות מצד ההנהלה. יותר מזה, ההנהלה יותר פרואקטיבית בקידום שינויים בנושאים שזוהו בביקורת פנימית, זאת עוד לפני קבלת דוח הביקורת.

כשהלקוחות מבינים שדוח הביקורת יכול להניע אותם מהר יותר להשגת יעדיהם, הם נוטים להפוך ללקוחות חוזרים ולשתף את עמיתיהם בארגון.

מאמר זה תורגם מגיליוןINTERNAL AUDITOR , פברואר 2019.

תרגום: שלומית איתן

The post השגת אמון בזכות הטכנולוגיה- מתורגם appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

היום היה יום שגרתי.

כדרכי מדי בוקר, פקחתי את עיניי ומיד הושטתי יד לעבר השידה שלצד המיטה, שם מונחות משקפי הג'ימייל שלי להטענה הלילית שלהן. הרכבתי את המשקפיים כדי לבדוק האם הגיע דואר אלקטרוני בלילה.

לאחר סידורי הבוקר הרגילים ובליעת כמוסת ארוחת הבוקר, התחברתי לאלקטרודות השידור על מנת להעביר למשרד את סיכום הממצאים שלי מיום האתמול. עצמתי את עיניי וניסחתי במוחי את הממצאים (בעלי טוען שתוך כדי אני גם ממלמלת ומזיזה את השפתיים). עם סיום השידור פתחתי את אפליקציית 'איזי דרייב' והזמנתי את הרכב האוטונומי לפתח הבית.

הנסיעה עברה באיטיות (לא ייאמן שגם בשנת 2030 טרם נפתרה בעיית הפקקים) והמכונית עצרה בפתח המפעל שבו אני מבצעת ביקורת בימים אלה.

את כל התשדורות לגבי מכונות הייצור כבר קיבלתי אתמול – החיישנים הרבים המפוזרים במפעל ובין קווי הייצור שידרו נתונים לגבי חומרי הגלם שהוכנסו לכל מכונה, קצב פעולת המכונות, נתוני עצירות בייצור או תקלות ביחס לכל מכונה (כולל משך זמן העצירה עד הפעלתה מחדש), כמות הפסולת שנותרה בכל מכונה ותוצרים תקולים. התעמקתי בנתונים באמצעות משקפי הג'ימייל במהלך הנסיעה בבוקר.

מיד זיהיתי שיש בעיה במכונה מס' 3. את הבוקר ביליתי בשיחות עם מנהל המפעל, עם מנהל קו מס' 3, ועם הרובוט שמנהל את המחסן.

בעקבות ממצאיי הוחלט להפעיל במכונה מס' 3 תוכנה לבדיקה עצמית.

עד שזו תיתן תוצאות הרכבתי שוב את משקפי הג'ימייל, ובפניי הוקרנו ההערות לממצאי יום האתמול (אותם שידרתי כזכור בבוקר).

העברתי את המשקפיים למצב 'הפעלה קולית', הוריתי לקבל את כל התיקונים ולהעביר את הממצאים למבוקרים לקבלת תגובה. בסוד אספר שעל אף כל הטכנולוגיה המתקדמת, לדבר אחד לא הצלחתי להתרגל – לקרוא מסמכי ביקורת בלי להחזיק עט ביד…

מסרון מבעלי הזכיר לי שהיום תורי לאסוף את הילדה מבית הספר. בעזרת 'איזי דרייב' שלחתי את המכונית לאסוף את הילדה, ושיגרתי פקודה לטוסטר החכם להתחיל לחמם את ארוחת הצהריים בטמפרטורה נמוכה.

לפתע נזכרתי שמתוכננת ישיבה של ועדת הביקורת בעוד שבוע, ואני אמורה להציג בה דוח ביקורת שהגשתי לאחרונה. מיד שידרתי הוראה קולית למערכת הממוחשבת שבמשרד כדי שתייצר מצגת מן הממצאים הרלוונטיים.

כמו כן, לאחרונה הוחלט לשלוח את דוח הביקורת כקובץ קולי לא רק לחברי ועדת הביקורת, אלא גם למבוקרים. אני צריכה רק לזכור לצרף בכל משלוח את קובץ ההנחיות לגבי פקודות קוליות – פקודות המאפשרות מיון הממצאים בקובץ הקולי לפי ציוני הסיכון, לפי הגורם המטפל, לפי סטטוס הטיפול וכדומה.

אגב כך, סוגיית מתן ציוני סיכון לממצאים גוזלת ממני זמן רב מדי לאחרונה. לפני מספר שבועות רכשנו במשרד מערכת חדשה לדירוג אוטומטי של סיכון הממצאים. המערכת מדרגת באופן עצמאי רמות סיכון בטווח של 10-1, ובתקופת ההטמעה אני נאלצת לבצע בקרה על קבלת ההחלטות של המערכת.

נחזור לענייננו, תוכנת הבדיקה סיימה לנתח את פעולות מכונה מס' 3, מקור התקלה אותר וכעת יפעלו לתיקונו. עוד (חצי) יום עבודה של הביקורת הביא ערך לארגון. הפעלתי את 'איזי דרייב' והזמנתי את המכונית לאסוף אותי.

השאלה המתבקשת כעת היא מדוע בכלל נסעתי למפעל? הרי כל הנתונים היו בידי עוד לפני שהגעתי למקום. התשובה היא שאינספור רובוטים, מערכות וטכנולוגיה מתקדמת לא יחליפו "מידע רך" שניתן לאסוף רק בשיחה שמתקיימת פנים מול פנים, תוך קריאת שפת הגוף של בן השיח.

בדרך הביתה התחברתי לאלקטרודות השידור, והעברתי למשרד את עיקרי הממצאים שלי מהיום. בהמשך הדרך הרשיתי לעצמי לנוח קלות ולהאזין למוזיקה. נתתי הוראה קולית להשכיב את המושב לאחור, והרכבתי לעצמי רשימה מוזיקלית להאזנה.

מי היה מאמין שרק לפני עשור נהגתי לחזור הביתה מדי יום עם ערימות של ניירות וקלסרים, שנהגתי לקרוא עשרות עמודים של דוחות ביקורת, לשכתב ללא הרף ניסוחים וטיוטות, ולהשקיע שעות ארוכות בעיצוב מצגות בתוכנת ה-Power Point ה"מתקדמת".

לחזור לתקופה ההיא נראה לפתע כמו חלום בלהות.

The post שנת 2030 – יום בחיי מבקרת פנימית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

 ליד חיצוני – חברי פאנל טוענים כי פונקציית הביקורת צריכה להיערך כעת לטכנולוגיות שיעצבו את עתידן

 מאת: אנה מילאג' – מרץ  2019

במפגש המליאה של חברי הנהלת ה-IIA שהתקיימה בדאלאס, טענו חברי הפאנל בדברי הפתיחה כי טכנולוגיות חדשות יכולות להרחיב את יכולות הביקורת הפנימית.

הפאנל התקיים בהנחיית מר הרולד סילברמן, מנכ"ל IIA, ובהשתתפות חברי פאנל נבחרים כגון מר בריאן פוסטר, מנהל אגף ביקורת הפנימית בחברת מיקרוסופט; מר סטיבן מיילס, מנכ"ל בקבוצת פרומונטורי פיננסי; וכן גב' כריסטה סטייל, הבעלים של ChristaSteele.com.

מר פוסטר פירט את הכלים והטכנולוגיות שהביקורת הפנימית חייבת להיעזר בהם היום כדי להיערך לעתיד:

• כלים שיתופיים
• כלים לניתוח נתונים  לרבות ניתוחי עומק
• אוטומציה
• כלים לחיזוי
• כלים לעיבוד שפה
• מסגרת ביקורת מוגדרת לבינה מלאכותית (AI)

הוא טען כי על הביקורת הפנימית לפתח יכולות כגון:

• הבנה העסקית
• יועץ מהימן
• שיתוף פעולה
• חשיבה מכוונות צמיחה
• תובנות טכניות – שימוש בטכנולוגיות לבצע ניתוח לחיזוי עתידי
• יכולת "לספר סיפור" באמצעות ניתוח נתונים; נקודת מבט – "אובססיביות" לצורכי הלקוח

לדעת פוסטר, "אם נוכל להתרחק ממשימתיות ולכוון לכיוון מתן תובנות, אנחנו נשתפר". הוא מציין כי אם הביקורת הפנימית תתפתח היא לא רק תישאר רלוונטית אלא גם תהפוך לשותף אסטרטגי. 

מר מיילס הפנה את דבריו לקהל ואמר "היכולות הטכנולוגיות הפוטנציאליות מתפתחות במהירות גם ברגעים אלה, הן השימוש בהן והן היישומים". הוא התייחס לתהליך אוטומציה רובוטית, אוטומציה קוגניטיבית ובינה מלאכותית.

לדברי מיילס, "זהו אתגר אמיתי לניהול הביקורת". זוהי קריאה למנהלים בכירים להחליט במהירות על האופן שבו הם מתכוונים להשתמש בכלים אלה בארגונים שלהם. הוא הוסיף שאין מספיק מבקרים פנימיים בעלי מיומנות היודעים להפיק ערך נוסף מכלים אלה. מבקרים פנימיים ראשיים נדרשים לגייס את העובדים המתאימים.

מיילס אמר כי תעודת המבקר הפנימי המוסמך של ה-IIA היא ההסמכה המוכרת להכשרה של מקצוע הביקורת הפנימית. ככל שאנו מתקדמים קדימה, ההסמכה היא זאת המזהה אותך כמומחה בתחומים אלה.

גברת סטייל אמרה לקהל שהגיע העת להתקדם ולא רק להיות בעל ידע ביישומים של טכנולוגיות חדשות. היא הוסיפה כי הקו המפריד בין פונקציות הביקורת לבין פונקציית הסיכון הולך ומיטשטש. הביקורת הפנימית צריכה לבלוט מפני ש"אם אינך יוזם דיון בישיבת הדירקטוריון על מה מחוץ לנורמה, אתה מכשיל את הארגון".

סטייל עודדה את הקהל להיות חשוף וכן בשיח על מה שהם מבקרים בפועל לעומת מה שרצוי שיבקרו. ואף דחקה: "לכו מעבר לדיווח הטיפוסי", כלומר "תנסו לפענח, לחזות ולמנוע". בדברי הסיכום אמרה לקהל: "אל לכם רק לאמץ את הכיוון, עליכם להתוות אותו."

המאמר תורגם מאתר IIA העולמי – מדור טכנולוגיה

תרגום: ננסי זכאכ אבו אלנסר

The post השפעת טכנולוגיות משבשות על הביקורת הפנימית- מתורגם appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

גיליון זה של כתב העת עוסק בפן הטכנולוגי של עבודת המבקר הפנימי, וכעורך מדור טכנולוגיות מידע וסייבר אני מבקש לחזור על חלק מהדגשים שבהם עסקנו בגיליונות שפורסמו עד כה.

בחירת הנושאים לכתיבה במדור נשענה כמובן על הערכת הסיכון. זו מבוססת בין היתר על פרקטיקות ופרסומים מובילים בעולם, ונושאים אלו יכולים לשמש כחלק מתוכנית ביקורת מקיפה בנושא אבטחת מידע וסייבר.

1. מודעוּת עובדים

"הנדסה חברתית" (Social Engineering) היא פעילות מרכזית לחדירה עוינת שבאמצעותה מושגת "דריסת רגל" במערכות וברשתות הארגוניות. מאמצים אלה נעשים למשל באמצעות פישינג (Phishing) – ניסיון להשיג מידע רגיש באמצעות התחזות, בדרך כלל בדואר אלקטרוני; באמצעות Spear Phishing – ניסיון להשיג מידע רגיש מאדם מסוים תוך שימוש במידע פרטי כדי להגביר את הסיכוי להצלחת המתקפה; או באמצעות מתקפות מתוחכמות יותר המכוונות לדרג ההנהלה בארגון ועושות שימוש בהודעות הכוללות נוזקה (Malware). בשנים האחרונות פעילות ההנדסה החברתית של התוקפים עברה לאינטרנט באמצעות אתרים, רשתות חברתיות ואפליקציות להתקנים ניידים (טלפונים חכמים, טאבלטים).

מומחים מסכימים כי הגורם האנושי הוא נקודת תורפה מהותית בניסיונות תקיפה של מערכות ורשתות בהנדסה חברתית. הבנה זו חיונית כדי לספק מידה רצויה של אבטחת מידע. פעולה, התעלמות, חוסר ידיעה או אי ציות של עובדים יכולים להוביל לאירוע אבטחת מידע – למשל על ידי גילוי מידע רגיש (סיסמאות וכדומה) לגורם שאינו מורשה, התעלמות מפעילות חריגה, או שימוש במידע רגיש על ידי עובד שלא לצורך ביצוע תפקידו תוך אי ציות לנהלים.

לתוכנית מודעות והדרכת עובדים יש חשיבות רבה כחלק מאסטרטגיית אבטחת המידע הארגונית, והיא המפתח לטיפול באיומי הנדסה חברתית. על העובדים להיות מודעים לאיומים הנפוצים, לאחריותם במניעת איומים אלה, לזיהויים ולדיווח עליהם.

דגשים בביקורת פנימית בנושא מודעות עובדים:

• הירתמות של ההנהלה היא חיונית להצלחתה. מומלץ לבחון את מידת המעורבות והאחריות של ההנהלה.
• יש לבדוק את מידת מעורבותם של גורמים מקצועיים בתהליך הבנייה והיישום של תוכנית המודעות וההדרכה.
• יש לבחון כיצד נבנתה התוכנית והאם קיים קשר מובהק למטרות הארגון, לתהליך ניהול הסיכונים, לתהליך ניהול אירועי אבטחת המידע (Incident Management) ולמגמות עולמיות.
• יש לבדוק את אופן תקשור התוכנית לעובדים – האם המסר הרלוונטי הועבר לגורם הרלוונטי? מהם ערוצי התקשורת שנבחרו לשם כך?
• מומלץ לבדוק את אפקטיביות התוכנית להשגת מטרותיה. ניתן לבדוק אפקטיביות באמצעות בדיקות פתע (שיחות טלפון המדמות תקיפה להשגת מידע רגיש, תרגילי התחזות ברשתות חברתיות, שליחת דוא"ל ממקור לא ידוע למייל הפנימי של העובדים כדי לבחון את ערנותם למיילים זדוניים ובדיקה האם יפתחו את הקישורים הללו, וכו'), קביעת יעדים מדידים ובחינת עמידה בהם (למשל הורדת כמות המשתמשים שהקליקו על דואר אלקטרוני זדוני שנשלח אליהם, בחינת כמות הדיווחים על אירוע חריג, וכו'), שימוש בסקרים, סריקת הרשת החיצונית לארגון והפנימית של הארגון כדי לבדוק האם דלף מידע רגיש מהארגון ומאיזה מקור בארגון, ועוד.
• יש לבחון האם פעילות המודעות וההדרכה תוקצבה בצורה מספקת. תקציב זה יכול להיקבע כאחוז מתקציב ההדרכה הכללי, אחוז מתוך תקציב ה-IT הכללי, הקצאה תקציבית לעובד, ועוד.
• יש לבדוק האם מופו קהלי יעד בקרב העובדים ולדרגם על פי סיכון. בהתאם לסיכון יש לתעדף ולהדגיש נושאים ספציפיים (דוגמאות לאוכלוסיות רגישות: אנשי מערכות מידע ורשתות, הנהלה, אנשי כספים, עוזרות אישיות, עובדי קבלן, עובדים חדשים או עובדים ששינו תפקיד בארגון, וכו').
• יש לבדוק האם ניתן דגש להגברת המודעות לדרכי הדיווח של העובדים בנוגע לחשד להתקפה. דיווח מיידי הוא קריטי לעצירת ההתקפה ולהפחתת הנזק.

נושאי בדיקה נוספים מופיעים בתדריך שפרסם ה-NIST (המכון הלאומי לתקנים וטכנולוגיה בארה"ב). מומלץ לעיין בו בהרחבה.

2. איום הכופרה (Ransomware)

תוכנת כופר או "כופרה" היא נוזקה שמגבילה גישה למערכות המחשב הנגוע, ומשמשת לסחיטת תשלום דמי כופר מהמותקף עבור הסרת מגבלת הגישה. לרוב, תוכנות הכופר מבצעות הצפנה או נעילה של הקבצים תוך שימוש בשיטות הצפנה מורכבות, כך שקשה מאוד להסיר את ההצפנה בלי לשלם כופר עבור מפתח ההצפנה. ישנו סוג נוסף של כופרה, החוסם שימוש במחשב או בהתקן נייד כלשהו.

קיימת נטייה לתקוף את אלה שיש ברשותם חומר רגיש או בעל ערך, מפני שהסיכוי לקבל כסף גבוה יותר. בדרך כלל התוקפים דורשים תשלום שיבוצע באמצעות מערכת תשלומים שלא ניתנת למעקב )מטבעות דיגיטליים כדוגמת ביטקוין).

דגשים בביקורת פנימית בנושא מתקפות כופרה:

• האם מקפידים על התקנת עדכוני תוכנה (הכוללים עדכוני אבטחת מידע)?
• האם מופרדים רכיבים שאינם יכולים לעבור עדכוני תוכנה לאזורים נפרדים של הרשת הארגונית?
• האם הוכנה תוכנית פעולה למקרה של התקפה? בכלל זה, האם מיפו את המידע הקריטי של הארגון ואת הגישה למידע?
• האם הגנו על נקודות הממשק בין הרשת הארגונית ל"עולם החיצון"? ודאו כי הגדרות ברירת המחדל ברכיבים אלה שונו.
• האם בוצעו תרגילים כדי לוודא שהתוכנית אפקטיבית?
• האם הופעלו כלי "אנטי-ספאם" היעילים בדרך כלל במתקפות כופרה?
• יש לוודא כי הגיבויים תקינים ומתבצעים בצורה שוטפת.
• יש לבדוק סגמנטציה של הרשת הארגונית.

3. ניהול עדכוני תוכנה (Patch Management)

את רוב התקפות הכופרה אפשר למנוע! חשוב לחזור לרגע אל היסודות. ניהול עדכוני תוכנה הוא תהליך של וידוא שכל פיסת תוכנה וקושחה (Firmware) שנמצאות בשימוש בחברה מעודכנות בגרסאות הרצויות (בדרך כלל העדכניות ביותר שפורסמו על ידי היצרן) ושכל טלאי האבטחה הרלוונטיים הותקנו. עדכון (ובמונחים המקצועיים "טלאי תוכנה") הוא למעשה תיקון פגיעויות מערכת (תיקוני קוד) המתגלות לאחר שתוכנה או רכיב שוחררו לשוק ודורשות תיקון מיידי. טלאי תוכנה חלים על חלקים שונים של מערכת מידע, בהם מערכות הפעלה, שרתים, נתבים, מחשבים אישיים, אפליקציות שונות (דואר אלקטרוני למשל), מכשירים ניידים, firewalls ורכיבים רבים אחרים הקיימים בתשתית הרשת.

ידוע כי אחד מווקטורי התקיפה הפשוטים ביותר עבור פצחנים המחפשים גישה לרשת הארגונית הוא מערכות שלא עברו עדכון תוכנה. פצחנים וחוקרי אבטחה מגלים כל הזמן פגיעויות חדשות, וחברות תוכנה מפרסמות בתדירות גבוהה עדכונים כדי לטפל בהן. אם עדכונים אלה אינם מוחלים, לפושעי הסייבר יש נקודת כניסה קלה לתוך הרשת הארגונית. אם רכיב אחד ברשת לא עבר עדכון, הוא עלול לאיים על היציבות של הרשת כולה ואף למנוע את הפונקציונליות הנדרשת.

דגשים בביקורת הפנימית  בנושא עדכוני תוכנה:

• שיקול המפתח העיקרי הוא סדר עדיפויות של עדכוני התוכנה. יש ליישם טלאי אבטחה קריטיים בהקדם האפשרי, אך מעבר לכך יש לקחת בחשבון גורמים נוספים. מנהלי IT צריכים לשקול באיזו תכיפות נעשה שימוש בתוכנה וכמה היא קריטית לארגון לפני ההחלטה להחיל עדכון.
• חשוב לוודא כי לפני ההתקנה בסביבת הייצור העדכונים נבדקים כיאות בסביבת המעבדה וכי נעשה גיבוי לתצורתה הנוכחית של המערכת. כמו כן חשוב להכין תוכנית נסיגה מפורטת למקרה של כשל.
• סימן ההיכר של ניהול עדכוני תוכנה יעיל הוא בחירת הזמן הטוב ביותר לתזמן אותם. יש לוודא כי עדכונים מותקנים מחוץ לשעות העבודה כדי למזער את ההפרעה לעובדים ולתהליכים האוטומטיים.
• ניהול עדכוני תוכנה הוא קריטי לפעולות העסקיות, אולם נוטים לחשוב כי תהליך זה הוא באחריות מחלקת ה-IT. קשה ליישם בהצלחה תהליך זה ללא הבנה ותמיכה של ההנהלה הבכירה.
• לבסוף, מנהלי עדכוני תוכנה יכולים לייעץ בנוגע להחלטות רכישה נבונות להשקעה עתידית. במקרה שספק מסוים מנפיק עדכוני תוכנה תכופים, ייתכן שמוצריו מהווים סיכון אבטחה וכי נרצה לבחון אפשרויות חלופיות.

בבואנו לבחון את התהליך, מומלץ לוודא כי הפעולות הבאות מבוצעות:

• האם הארגון יודע מהן הגרסאות המותקנות ומהן הגרסאות הזמינות להתקנה (הגרסאות החדשות ביותר)?
• האם הארגון יודע אילו עדכוני תוכנה מתאימים למערכות שונות?
• האם כל העדכונים מותקנים כראוי?
• האם קיימות בקרות לבדיקת התקנת העדכון לאחר התקנתו?
• האם קיימים נהלים לתיעוד פעולות ההתקנה, כולל קונפיגורציה שיושמה?
• האם מיושמת מערכת אוטומטית לניהול העדכונים? בהיעדר מערכת כזו נוודא האם קיימות בקרות מפצות.
• האם נעשים גיבויים ובדיקת עדכונים טרם ההתקנה על מערכות קריטיות?

4. מניעת דלף מידע

בעידן שבו המידע נדרש לנוע באופן דינמי בתוך הארגון ומחוצה לו בערוצים רבים ומגוונים, הסיכון שמידע רגיש יזלוג מתוך מערכות הארגון השונות למקורות שאינם מורשים גדל ומתעצם.

מידע רגיש עשוי לכלול מידע רפואי, מידע אישי ומידע עסקי ארגוני, נתוני כרטיסי אשראי, תשלומי לקוחות ועוד.

ישנן אינספור דוגמאות של זליגת מידע רגיש, הן מחברות ענק עוצמתיות והן מארגונים בסדר גודל בינוני, המדגישות את הצורך של כל ארגון לשמור על שלמות, סודיות וזמינות המידע שברשותו בכל זמן נתון. מידע הוא אחד הנכסים החשובים ביותר של כל ארגון, ולכן על הארגון לפעול במיטב האמצעים העומדים לרשותו על מנת למנוע אירועי דלף מידע, בין היתר כדי למזער את הסיכונים לפגיעה במוניטין ואי עמידה בהוראות החוק והרגולציה.

הסיכונים להתרחשות אירוע דלף מידע מושפעים ממספר רב של גורמים שניתן לחלקם לקטגוריות הבאות: גניבת מידע מהארגון על ידי גורם חיצוני, זליגת מידע מהארגון בשוגג, וזליגת מידע מהארגון בזדון – על  ידי גורם פנימי. אירוע אבטחת מידע שבו מבוצעת פעולה כגון העתקה, העברה או צפייה במידע רגיש או מסווג ללא הרשאה או בשגגה, מכונה גם הוא אירוע דלף מידע.

על הארגון לענות על שורה של שאלות מהותיות ובהן:

• האם וכיצד הארגון מגדיר מידע רגיש ומהן רמות הרגישות השונות? על הארגון למפות ולהגדיר מהו הסיכון של מידע אישי לסוגיו; מהו הסיכון של מידע עסקי לסוגיו; מהו הסיכון של מידע פיננסי ומסחרי לסוגיו; מהו הסיכון של מידע טכנולוגי, כולל קניין רוחני, וכדומה.
• היכן המידע מאוחסן?
• מהם הערוצים שדרכם המידע עלול לדלוף?
• ולבסוף – כיצד למזער את הנזקים אם וכאשר יתרחש אירוע של דלף מידע?

דגשים ביקורת פנימית בנושא מניעת דלף מידע:

• מדיניות ונהלים – האם הוגדרו ומיושמים בארגון מדיניות ונוהלי אבטחת מידע בנושאי סיווג מידע, הפרדת סמכויות, זיהוי עובדים שחשופים למידע רגיש, גילוי וניהול אירועי דלף מידע, הדרכות, החלפת סיסמאות, בקרה שוטפת על הרשאות גישה תוך עדכונים עקב מעבר תפקיד או פרישה, נוהל בנוגע לעובדים העומדים בפני פיטורין, וכן נוהל בדבר אובדן/גניבת סלולרי או מחשב נייד המאפשר גישה.
• סקר דלף מידע – מומלץ לבצע סקר דלף מידע מקיף על ידי גורם מומחה חיצוני ובלתי תלוי, במטרה לסקור את כלי אבטחת המידע שבהם הארגון עושה שימוש ולבחון את התאמתם לצורכי האבטחה העסקיים בארגון ושיטת העבודה הנהוגה בו. הסקר יאפשר לזהות את רמת התאימות בין כלי אבטחת המידע השונים ואופן הפעלתם אל מול הסיכונים לדלף מידע.
• מערך הרשאות – יש לבחון כיצד מיושם מערך הרשאות וסמכויות במערכות המידע בארגון והאם הוא עומד בעקרון "הצורך לדעת" (Need to Know), תוך הגבלת הגישה למידע לבעלי התפקידים הזקוקים לו בלבד. כמו כן יש לבחון עמידה בעקרון הפרדת התפקידים. בנוסף, יש לבחון אילו בקרות מפצות יושמו על מערך ההרשאות, כגון הפצת דוחות חריגים על פעילות המשתמשים במערכות ובדיקתם.
• טכנולוגיה – יש לבחון את הכלים הטכנולוגיים שהוטמעו בארגון לשליטה ומניעת דלף מידע בכל פעילות הארגון. פתרונותDLP – Data Leakage Prevention מאפשרים לשלוט ולהגביל את הוצאת הנתונים בנקודות הקצה בארגון.
• מודעות עובדים – יש לבחון האם התוכנית להגברת המודעות של העובדים כוללת הסברה מספקת בנושאי אבטחת המידע הארגוני וחשיבות מניעת דלף המידע.
• שילוב אבטחת מידע בתהליכי משאבי אנוש – יש לבחון האם בקרות אבטחת מידע שולבו גם בתהליכי משאבי אנוש, למשל: החתמת עובד חדש על נספח שמירת סודיות והנחיות אבטחת מידע.

תרגול אירוע התקפת סייבר – תכנון, מימוש והסקת מסקנות

סימולציה המדמה תקיפת סייבר יעילה הן לארגון והן לביקורת הפנימית. סימולציית תקיפה מאפשרת למפות את הפערים בין המצוי לרצוי, בין התכנון לביצוע.

בשלב התכנון של התרגיל יש לקבוע מי ישתתף בו, מה התרחיש שייבדק, אילו הזרמות מידע (תת-תרחישים) יימסרו תוך כדי תרגיל ואת סדר האירועים בתרגיל.

מטרות ברורות לתרגיל הן אבן יסוד בביצוע תרגיל משמעותי ואפקטיבי. מטרות מוגדרות היטב מסייעות לתכנון מדויק וריאלי יותר של התרחיש במרחב האיומים.

דוגמאות לתרחישים:

• התקפת פישינג (Phishing/Spear Phishing) על עובד הארגון שבאמצעותה מוחדר וירוס לרשת הארגונית.
• הורדת תוכנה "מודבקת" מהאינטרנט על ידי עובד בארגון.
• התקפת DoS (Denial of Service) – הזרמת תנועה רבה לרשת הארגונית הגורמת לקריסתה.
• גניבה פיזית של מחשב ארגוני והשגת גישה למידע או למערכות.
• חדירה לרשת הארגונית על ידי חיבור פיזי של התקן לא מורשה.

דוגמאות לאירועים ופעולות שיש לתת עליהם את הדעת במהלך סימולציה המדמה התקפת סייבר:

• כוננות לאירוע סייבר (מאפייני מצב שגרה, קיום נהלים עדכניים ורלוונטיים).
• שלבים בזיהוי וחקירת האירוע.
• מתי וכיצד מכריזים על אירוע סייבר/מצב חירום סייבר.
• מתי מאיישים חדרי מצב.
• שלבים לבלימת האירוע.
• תדירות ביצוע הערכות מצב ודיווחים.
• תקשורת לגורמי פנים וחוץ (עובדים, הנהלה, לקוחות, תקשורת, מדיה חברתית וכו').
• מעורבות גופים שונים בארגון, כגון מחלקה משפטית, יחסי ציבור ודוברות, הנהלה וגורמים עסקיים, ושיתוף הפעולה ביניהם.
• שלבים בתהליך הערכת הנזק.
• הפעלת תוכנית המשכיות עסקית והתאוששות מאסון.

חשוב מאוד לתעד בפירוט את מהלך התרגיל מפני שהתיעוד יעזור בהסקת מסקנות. מומלץ כי המתורגלים יתעדו את האירועים וההחלטות ביומן אירועים, כולל תזמון של כל אירוע, פעולה או החלטה. מרכיב הזמן בתרגיל חשוב מאוד ויכול בהחלט לשחק תפקיד מכריע בהתאוששות מאירוע סייבר.

בנוסף, מומלץ לקיים בסוף התרגיל דיון פתוח בהשתתפות המתורגלים והמתרגלים במטרה לשמוע את דעתם על התרגיל ומסקנות שעלו ממנו. דיון כזה מסייע לזהות הצלחות ונקודות לשיפור.

לסיכום, ביצוע תרגיל סייבר הוא הזדמנות לארגון לשפר את המענה לאיום סייבר או לאשרר את אפקטיביות הבקרות הקיימות. על המשתתפים בתרגיל (המתרגלים, המתורגלים והצופים בו) לעבוד בשיתוף פעולה על מנת להשיג את המרב – שיפור מוכנות הארגון להתקפת סייבר.

The post מוכנות הארגון לאירועי סייבר מדור טכנולוגיות מידע וסייבר appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מאת:

חן-דיאנה כץ,  מבקרת פנימית ראשית בשירותי בנק אוטמטיים (שב"א) ובמסלקה הבנקאית (במס"ב)

לילך זילבר-טל, מנהלת מחלקת ביקורת פנימית ב-Cal חברת כרטיסי אשראי

בשנים האחרונות אנו עדים למהפכה כלל עולמית בתחום התשלומים. המהפכה מונעת על ידי שינויים רבים בשרשרת ביצוע תשלום, המשפיעים ומושפעים זה מזה בתאוצה הולכת וגוברת. בין היתר, שינויים טכנולוגיים, שינויים בצרכים ובציפיות של הצרכנים ושינויים רגולטוריים. מבקרים פנימיים בארגונים כאלה נדרשים להתאים עצמם למציאות החדשה, לרבות קיום מעקב מתמיד אחר השינויים ובחינת השפעתם על הארגון, עדכון יעדי הביקורת ושדרוג האמצעים לביצועה.

מאמר זה מנתח ממעוף הציפור את התפקיד של פונקציית הביקורת הפנימית בארגונים המעורבים בשרשרת ביצוע תשלומים ואת האתגרים העומדים בפניה בעת הזו.

כיום,  עדיין קיימים מספר אמצעי תשלום מסורתיים מקובלים: מזומן, צ'קים, תשלומים ישירים אלקטרוניים וכרטיסי חיוב (כרטיסי אשראי, כרטיס דביט וכרטיסים נטענים). בנוסף, קיימת מגמה של התפתחות באמצעי תשלום אלקטרוניים מתקדמים.

בתרשים להלן, מתוך דוח "שרשרת ביצוע עסקה בכרטיסי חיוב" של בנק ישראל (יולי 2016), מוצגים שחקני מפתח בשרשרת ביצוע תשלומים בישראל.

התקדמות טכנולוגית ושינויים בצרכים ובציפיות של הצרכנים – איפה הביצה ואיפה התרנגולת?

ההתקדמות הטכנולוגית מרגילה אותנו לגישה מיידית לדברים שאנחנו רוצים, והציפיות בנוגע לתהליכי תשלומים אינם יוצאי דופן. בעולם שבו הכול מתרחש בלחיצת כפתור – אנשים לא מסתפקים עוד רק בעצם העברת התשלום משולח לנמען באופן בטוח, אלא מהירות זה שם המשחק החדש. ואכן, בשנים האחרונות אנו עדים למהפכה בתחום התשלומים, מהפכה שמשפיעה על כל אחד מהשחקנים בשרשרת ביצוע העסקה (צרכנים, סוחרים ומגוון ארגונים התומכים בשלבים שונים של תהליכי התשלום (מנפיקים של כרטיסי חיוב, סולקים, מאגדים, מעבדים, חברות ניכיון, ספקי נזילות, מפעילי מערכות תשלומים וכו').

לשם הדיון על צורכי השוק, חשוב להבחין בין פעולת התשלום המתבצעת במעמד ביצוע העסקה לבין התהליך של הסליקה הכספית בפועל בין הגופים הפיננסיים התומכים בתהליכי התשלום. צרכנים וסוחרים רוצים מהירות תשלום (כלומר היכולת לראות עסקאות המשתקפות בחשבונותיהם תוך מספר שניות וגישה מיידית לכסף). עם זאת, הגישה המיידית של הצרכנים לכסף לא בהכרח מחייבת כי גם הסדרת הפירעון בפועל בין השחקנים בשרשרת ביצוע העסקה היא מיידית. הארגונים התומכים בתהליכי ביצוע העסקה רוצים נתוני תשלום עשירים יותר ומערכות מתקדמות כדי להבטיח גם את הסדרת הפירעון ביעילות ובמהירות האפשרית. כולם רוצים אבטחה ופרטיות. בהתאם, כל השחקנים בתעשייה חייבים לפעול להתקדמות טכנולוגית כדי להישאר רלוונטיים.

יד ביד עם הרגולטורים וגורמי הפיקוח

לגורמי הרגולציה והפיקוח יש תפקיד משמעותי במהפכת התשלומים העולמית. בתגובה לשינויים של השוק, יותר מ-30 מדינות ברחבי העולם השיקו יוזמות גדולות למודרניזציה של תשתיות התשלומים הלאומיות שלהן. בו-בזמן הרגולטורים רצו להבטיח כי שירותי התשלום המתפתחים מציעים לא רק מהירות ביצוע אלא גם שקיפות וסיכון מופחת לצרכנים ולעסקים. כתוצאה מכך הם החילו על השחקנים בשרשרת ביצוע התשלום תקני ניהול סיכונים מחמירים יותר.

המעורבות הרגולטורית בתחום התשלומים ניכרת גם בישראל. להלן מספר דוגמאות מרכזיות מהשנים האחרונות כפי שעולה מאתרי האינטרנט של גורמי הרגולציה השונים (משרד האוצר, רשות החדשנות, בנק ישראל וכו'):

• חוק אמצעי תשלום
• דוח של הוועדה לקידום השימוש באמצעי תשלומים מתקדמים בישראל
• צעדים להרחבת התשתית של אמצעי התשלום האלקטרוניים
• חוק סליקה אלקטרונית
• חוק שירותי התשלום
• חוק הפיקוח על שירותים פיננסיים
• החוק להגברת התחרות ולצמצום הריכוזיות בשוק הבנקאות

תפקיד הביקורת הפנימית

ארגון המהווה חוליה בתהליך זרימת תשלומים, חשוף במהות לסיכונים רבים. כמו כן, בעת התממשות סיכון משמעותי קיימת חשיפה מוגברת לאפקט דומינו אל השחקנים האחרים המעורבים בתהליך זה, עד כדי גרימת נזק רוחבי למערכת הפיננסית (המקומית ואף הבינלאומית).

לפיכך, בארגונים כאלה יש חשיבות רבה לאתגור מתמשך של מנגנוני ניהול הסיכונים וקווי העסקים על ידי הביקורת הפנימית. עם זאת, קיימת שונות בהגדרת תפקידי הביקורת הפנימית והאתגרים העומדים בפניה, בהתאם למגוון פרמטרים המאפיינים את הארגון המסוים ואת  אופי פעילותו.

כך לדוגמה:

• שוני במיקום של הארגון על פני שרשרת ביצוע העסקה, שבא לידי ביטוי בין היתר בשוני בסל השירותים שהארגון נותן, שוני בתיחום גאוגרפי של הפעילות, ושוני בהגדרת לקוחות הארגון (צרכנים פרטיים, בתי עסק, גופים פיננסיים אחרים וכו').
• שוני בסוגי הסיכונים הגלומים בפעילות של הארגון: ארגונים שפעילות הליבה שלהם יוצרת סיכונים פיננסיים מגוונים לעומת ארגונים המהווים תשתית טכנולוגית וחשופים בעיקר לסיכונים תפעוליים.
• שוני במערכות המידע עליהן מתבססת הפעילות: ארגונים ותיקים עם מארג מערכות מידע מדורות שונים אל מול ארגונים צעירים עם מערכות מידע חדשות ומסונכרנות היטב אחת עם השנייה.
• גורמי פיקוח ורגולציה: ארגונים הכפופים לרגולציה פיקוחית שונה בהיקפה ו/או במהותה.

בישראל, שחקני המפתח בתחום התשלומים (התאגידים הבנקאיים, חברות כרטיסי האשראי וחברות שירותים משותפים) פועלים על פי הוראות המפקח על הבנקים, לרבות בנושא הביקורת הפנימית. ואכן, תפקידי הביקורת בארגונים אלו הוגדרו בהרחבה במסגרת הוראות ניהול בנקאי תקין של בנק ישראל. זאת החל מהוראה ייעודית בנושא "פונקציית ביקורת פנימית" ודרך הדגשת תפקידי הביקורת בהתייחס למגוון נושאים המטופלים בהוראות נוספות (ניהול טכנולוגיות המידע, ניהול המשכיות עסקית, ניהול הגנת הסייבר, ניהול סיכונים מחשוב ענן).

בנוסף, ארגונים המוגדרים כמערכת תשלומים על פי חוק מערכות תשלומים, נדרשים לפעול על פי הוראות יחידת הפיקוח על מערכות תשלומים של בנק ישראל, ומסמך עקרונות למערכות תשלומים המהוות תשתיות של השוק פיננסי. במסמך העקרונות מוצגת הגדרה מורחבת של תפקיד הביקורת הפנימית, תוך מתן דגש רב לביקורת על מנגנוני ניהול הסיכונים.

השפעת ההנחיות על תוכנית הביקורת
(ולמעשה – איך הביקורת צריכה/יכולה לסייע ולתת ערך מוסף לארגון)

על פי הוראת בנק ישראל באשר לתפקידי הביקורת הפנימית: "ההנהלה הבכירה תבטיח כי פונקציית הביקורת הפנימית תעודכן באופן מלא בהתפתחויות חדשות, יוזמות, מוצרים ושינויים תפעוליים כדי להבטיח שכל הסיכונים הנלווים יזוהו בשלב מוקדם".

על פי מסמך העקרונות למערכות תשלומים המהוות תשתית שוק פיננסי: בעת ביצוע שינויים בארגון רצוי שתהיה מעורבות פרואקטיבית של הביקורת. סקירה של הביקורת טרם הטמעת השינויים בדרך כלל תפחית את הצורך בבזבוז משאבים עודף לשיפור רטרואקטיבי של תהליכים ומערכות, ותאפשר שילוב בקרות קריטיות כחלק מתהליך התכנון הראשוני.

בדומה לנדרש מקברניטי הארגון, גם הביקורת הפנימית צריכה לשלוט בשפה החדשה בתחום התשלומים, לעקוב בזמן אמת אחר השינויים המהירים, ולהבין את ההשלכות המיידיות ו/או העתידיות שלהם. תוכנית העבודה של הביקורת הפנימית צריכה להתייחס לשינויים החלים בארגון ולבדיקת נושאים שבליבת התוכנית האסטרטגית של החברה.

כך לדוגמה:

1. הביקורת צריכה להעריך האם היעדים והתוכניות העסקיות של הארגון נותנים מענה הולם לתהליכים המואצים של טרנספורמציה דיגיטלית (כלומר, שימוש בכלים טכנולוגיים במקום בכלים פיזיים מסורתיים) הן אצל הלקוחות והן אצל המתחרים, לסייע לארגון בעיצוב ובהטמעה של מסגרת שליטה ובקרה על תהליכים ומערכות דיגיטליים (כגון ליווי פרויקטים אסטרטגיים, עריכת ביקורת בזמן אמת) ולזהות הזדמנויות של הארגון במיכון תהליכי עבודה.

2. ההסתכלות הביקורת צריכה להיות גם בראייה צופה פני עתיד. כך לדוגמה: קול קורא מטעם בנק ישראל ציין במפורש את האפשרות להקמת תשתית תשלומים מיידית מבוזרת (DLT). אמנם כרגע נראה שהשוק עדיין לא בשל אליה, אך לא מן הנמנע כי עם הזמן טכנולוגיות אלו יתפתחו וישתלבו גם במערכות התשתית הפיננסיות בישראל.

3. הביקורת צריכה להיות ערה ולתת תשומת לב ומשאבים לנושאים המתאפיינים בזיקה מוגברת להתפתחות הטכנולוגית בעולם התשלומים, ובכלל זה: סייבר ואבטחת מידע, שימוש בפלטפורמות ענן, בנקאות בתקשורת, חדשנות בתהליכי שירות לקוחות (תוך מיקוד בחוויית לקוח) והתמודדות עם מערכות  "LEGACY".

לסיכום,

באופן כללי, ובעולם התשלומים בפרט, הביקורת צריכה לנצל את זמינות המידע בעידן הטכנולוגי כדי לשדרג את תהליכי הביקורת והערך המוסף הנגזר מהם. חשוב להבין כי ניתוח נתונים צריך להיות בסיס לכל מטלת ביקורת ולא רק למטלות שהוגדרו כביקורת מערכות מידע. זאת לרבות התייחסות לכל הנתונים הקיימים בתהליכים המבוקרים, איכותם ואופן ניהולם.

דוגמאות למונחים מקצועיים מתחום התשלומים שצריכים כבר להיות חלק מהשפה היומיומית של הביקורת ולקבל ביטוי בתוכנית העבודה שלה – ממש על קצה המזלג:

• ארנקים דיגיטליים (Apple pay, PayPal, Google wallet, Samsung pay)
• אפליקציות תשלום (BIT, Paybox, פייפר)
• אבטחה ואימות צרכנים (הזדהות ביומטרית, זיהוי באמצעות קול ופנים, סורק של טביעת אצבע וכו')
• מאפשרי תשלום (NFC, Tokenization, מודלים מבוססי ענן וכו')
• סטנדרט הבנקאות הפתוחה – API
• P2P
• EMV

The post בלחיצת כפתור- – לבקר את תחום התשלומים בעידן של שינויים טכנולוגיים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מאת: ד"ר יוסי נטוביץ' רו"ח, מנכ"ל טיוב יועצי מערכות

האומנם "יועץ נאמן"?

זה למעלה מעשור, במטרה להעלות את ערך הביקורת הפנימית, ראשי המקצוע מעודדים את המבקרים לאמץ את מודל "היועץ הנאמן" ("trusted advisor") – מבקר פנימי "אידיאלי" שבעיקר בזכות יחסי אמון קרובים שהוא משכיל לרקום עם ההנהלה יש לו הרבה השפעה והוא בעל ערך לארגון. לשם כך נדרש המבקר לפתח כישורים "רכים" במישור האישי והבינאישי.

אלא שבמציאות פני הדברים שונים. בסקר שערכה לאחרונה PWC נמצא כי רק  9%מבעלי העניין רואים במבקרים הפנימיים יועץ נאמן. חלק מהסיבה לכך נעוץ בקונפליקט המובנה הקיים בין "מבקר" לבין "יועץ", שכן הצורך לשמור על עצמאות ואובייקטיביות אינו עולה תמיד בקנה אחד עם יחסי הנאמנות הנדרשים מיועץ נאמן. בנוסף, מחקר עכשווי גילה שמרבית המבקרים הפנימיים נדרשים להתמודד באופן יומיומי עם לחצים פוליטיים כבדים. בהתחשב בכך, קצת קשה לצפות מהם לרקום יחסי אמון עם ההנהלה.

יצוין כי תפיסת "היועץ הנאמן" פותחה עוד בשנת 2000 על ידי Galford, Green& Maister בתחום הייעוץ הארגוני כאסטרטגיה שמעניקה ליועץ יתרון כלכלי-תחרותי, ומאז הוצעה גם לבעלי מקצועות נוספים כגון אנשי שיווק וסוכני ביטוח. ספק אם ראוי שגם הביקורת הפנימית תאמץ אסטרטגיה מסחרית כזו.

ההתקדמות הטכנולוגית מאפשרת כיום להציע מודל חלופי מלהיב למבקר הפנימי – מודל "החוקר הנאמן", שלדעתי תואם יותר למעמדו ולכישוריו ומעניק לו הזדמנות להתקדם לעידן חדש ומבטיח.

מחקר נתונים

הפריצה של טכנולוגיית המידע בעשור האחרון אפשרה להגדיל את היקף הנתונים הנאגר במערכות הארגוניות, ולפתח שיטות מתקדמות לניתוח נתונים. כתוצאה מכך הביקוש למומחים בתחום ניתוח ומחקר של נתונים מרקיע שחקים. Harvard Business Review וגם Forbes זיהו את תחום מחקר הנתונים – – Data Science כ"מקצוע הסקסי והחם" ביותר כיום. אתר השמת כוח אדם glassdoor דירג אותו כמקצוע המבוקש ביותר בארה"ב לשנת 2019. אלא שכיום התחום עדיין בהתגבשות – אפילו שם מקצועי מקובל לעוסקים בתחום טרם נקבע, ובמודעות הדרושים פונים אליהם כסטטיסטיקאים, מנתחי נתונים, מדעני נתונים, כורי נתונים וכדומה. כעיסוק רב-תחומי אין עדיין מסלולי הכשרה מסודרים, ותוכניות לימוד שונות מוקמות אד-הוק עבור אוכלוסיות שונות. הביקוש לחוקרי נתונים בארגונים קיים כיום בעיקר בחברות טכנולוגיות מובילות כמו גוגל ופייסבוק, אך צפוי להתחזק גם במגזרים מסורתיים יותר כגון בתעשייה ובקמעונאות, ולחדור גם למגזר הציבורי. לסיכום, התחום אמנם צעיר יחסית, אך יש עדויות שככל שישוכללו כלי הניתוח הממוחשבים ויורחב מעגל העוסקים בו, ילך ויגדל פוטנציאל הערך שלו לארגונים.

המבקר הפנימי כ"חוקר נאמן"

מחקר נתונים מהווה הזדמנות מצוינת לביקורת הפנימית לבסס באמצעותו את הערך שלה לארגון. בשלב זה עוד לא נקבעו מסמרות בנוגע לאיזו יחידה ארגונית אחראית לעריכת מחקר נתונים – האם יחידת ה-IT שהיא בעלת הידע הטכנולוגי, חטיבת הכספים שאמונה על הדיווח הכספי, או גוף עצמאי חדש שבראשו סמנכ"ל? יש גם שטוענים כי המחקר צריך להשתלב כחלק בלתי נפרד מהפעילות בכל יחידות הארגון. לדעתי הביקורת הפנימית עשויה להתאים מאד כגוף הביצועי המרכזי של מחקר הנתונים בארגון, וזאת כפועל יוצא מהייחוד של כישורי העובדים בשילוב מעמד היחידה, בשל הסיבות הבאות:

סיבה ראשונה: מתודולוגיית המחקר אינה זרה למבקר, תהליך הביקורת דומה באופן מפתיע לתהליך מחקרי – גם הוא מבוסס על תהליך שיטתי של איסוף נתונים במטרה לבסס ממצאים שיתנו תשובה לשאלה. כמו במחקר גם ביקורת אוספת נתונים אמפיריים מתוך מאגרי המידע של הארגון ו/או על בסיס תצפיות, בחינת מסמכים, סימולציה של חישובים וכדומה. אמנם הביקורת הפנימית עוסקת בדרך כלל בשאלות מתחום ההבטחה (Assurance), אך עדיין אותה מתודולוגיה תתאים גם לגבי בחינת שאלות בכלל תחומי ניהול.

סיבה שנייה: לרוב המבקרים הפנימיים יש הכשרה כלכלית וניהולית, והעיסוק בביקורת הפנימית מעניק גם הזדמנות ייחודית להיכרות מעמיקה עם ההיבטים העסקיים השונים של הארגון. היכרות זו מקנה למבקרים יכולת לספק תובנות, מסקנות והמלצות קונקרטיות ומעשיות על סמך ממצאי הניתוח.

סיבה שלישית: בשנים האחרונות מתרחבת המודעות של הביקורת הפנימית לצורך בכלים אנליטיים ממוחשבים  מתקדמים, סטטיסטיים ולוגיים, להגברת אפקטיביות הביקורת. יותר מבקרים פנימיים רוכשים ידע בכלים אלה והשימוש בהם הולך וגובר. ניתוח נתונים בביקורת אינו חדש אבל כעת המבקרים נחשפים גם לכלים מתקדמים יותר של אנליטיקה – המאפשרים ויזואליזציה, לימוד מכונה, וכריית מידע. על פי סקר מ-2018, בשני שלישים מהארגונים הביקורת הפנימית כבר החלה לשלב analytics בעבודת השטח, אם כי רובם המכריע בשלב ראשוני.

סיבה רביעית: הגישה לנתונים ארגוניים ממקורות רחבים ככל האפשר מכל זרועות הארגון מקנה יתרון חשוב בעריכת המחקרים. גם כאן המבקר הפנימי במעמד מוביל – אין עוד גורם אחר בארגון הנהנה מגישה כה רחבה לנתונים.

סיבה חמישית ואחרונה: מעמדו של המבקר הפנימי כבלתי תלוי ואובייקטיבי, רלוונטי גם למחקר נתונים. על פי כללי האתיקה המחקרית, חוקר צריך לפעול באובייקטיביות מרבית ואסור לו להימצא בפוזיציה ביחס לנשוא המחקר – דעות קדומות, תלות פיננסית או אג'נדה רעיונית, שכן אלה עלולות באופן טבעי להטות את התוצאות. לדוגמה, החשדנות הקיימת בעולם הרפואה ביחס לאמינות מחקרים הבוחנים אפקטיביות של תרופות, שנערכים במימון חברות הפארמה שמייצרות את התרופות. אי תלות המבקר הפנימי מקנה יתר אמינות ואובייקטיביות לדוחות המחקר שלו, לעומת יחידות אופרטיביות שחוקרות את נתוניהן הן. המבקר הפנימי יכול בהחלט להיחשב ל"חוקר נאמן".

כ"חוקר נאמן" המבקר הפנימי ימשיך לספק שירותי הבטחה (Assurance), אבל באמצעות אותם כלים וכישורים יוכל להעלות את ערך עבודתו בשירותי מחקר (Research). לשם כך לא יהיה עליו להתפשר בנושא אי התלות והאובייקטיביות, להיפך – הן מהוות ערך בסיסי גם בביצוע עבודות מחקר.

בטור צדדי (Side Bar) מוצגות להמחשה דוגמאות ידועות מעולם העסקים של שימוש במחקר נתונים לגילוי הונאות וחריגות. – צריך להתאים המלל בהתאם להצגת הדוגמאות

גישור על פערי ידע

למרות כל האמור לעיל, איני סבור שהכשרת המבקר הפנימי המקובלת ונהוגה כיום מספקת גם לביצוע עבודת המחקר. לשם כך הביקורת הפנימית תידרש להשלים את פערי הידע ולחזק את המיומנות בתחום טכנולוגיות המידע. עליה להגביר את שיתוף הפעולה עם אנשי ה-IT בארגון, ולהתמחות בשימוש מושכל בכלי אנליטיקה מתקדמים, כריית נתונים, ויזואליזציה ולימוד מכונה. כאמור, כבר כיום הביקורת הפנימית צועדת בכיוון זה גם בשירותי ההבטחה, אבל כניסה לשירות המחקר תדרוש מאמץ מרוכז ומהיר יותר.

בנוסף, רמת המיומנות הסטטיסטית בקרב מבקרים פנימיים תידרש להשתדרג. על המבקרים יהיה להעמיק את הידע בשיטות לבניית מודלים סטטיסטיים ולניתוח נתונים, ובכלל זה הרצת רגרסיות, קורלציות וניתוחי מובהקות.

לבסוף, המבקרים יידרשו להרחיב את הפריזמה שדרכה הם מביטים בארגון, ובין היתר:

• להתייחס בעבודה למכלול היבטים עסקיים, להיות ממוקדי ערך ולא רק ממוקדי סיכונים.
• לבצע הערכות, תחזיות ומגמות לעתיד ולא רק לדווח על העבר.
• לספק תובנות והמלצות ברמה העסקית-האסטרטגית ולא רק ברמה התפעולית-בקרתית.

סיכום

הביקורת הפנימית, שמנסה זה שנים לחזק את מעמדה ולהשיא ערך לארגון, ניצבת לפני הזדמנות להשתלב במחקר נתונים ארגוני – תחום חדש ומוערך המתפתח במהירות. המבקרים הפנימיים מצוידים לשם כך במרב הכישורים, ככל הנראה יותר מכל גורם אחר בארגון, אבל אם לא ייערכו במועד הם יגלו עד מהרה כי גורמים אחרים בארגון שיבצעו מחקר נתונים יספקו ערך להנהלה במקומם ויותירו את עבודתם המסורתית נטולת ערך ממשי. לכן על ראשי המקצוע להיערך בתוכניות מתאימות להגברת המודעות ולהכשרת המבקרים הפנימיים במחקר נתונים, ובכך לשפר באופן דרמטי את מעמדה וערכה של יחידת הביקורת הפנימית העתידית.

דוגמאות ליישומי מחקר נתונים בביקורת

מובאות כאן דוגמאות בולטות מתוך עבודות חוקרים באקדמיה שפורסמו בציבור בנושא גילוי הונאות בתחום העסקי. דוגמאות אלה ממחישות את הפוטנציאל העצום של מחקר נתונים להגדלת ערך הביקורת הפנימית לארגונים.

דוגמה 1: Backdating בהכרזת אופציות לעובדים

בשנת 2005 פרסם ד"ר דיוויד לי (Lie) מאוניברסיטת איווה מאמר שחשף שערוריית ענק. הוא גילה כי חברות בורסאיות נוהגות לקבוע רטרואקטיבית ובאופן לא חוקי את מועד הכרזת האופציות לעובדים ליום שישיא להם את הרווחים הגבוהים ביותר (Backdating). החברות ניצלו פרצה שהייתה קיימת בחוקי רשות ני"ע האמריקאית (SEC) עד שנת 2002, פרצה שאפשרה להם להודיע לבורסה על חלוקת האופציות בתוך 45 יום, כך שהם יכלו לבחור לעצמם בדיעבד את היום המתאים ביותר מבחינתם בתוך חלון הזמן הנ"ל, כלומר היום שבו ערך המניות הוא הנמוך ביותר.

במחקרו ניתח ד"ר לי שערי המניות של אלפי חברות 30 יום לפני ואחרי מועד ה-0 (יום ההכרזה), וגילה כי מבחינה סטטיסטית יום ההכרזה הוא אכן היום שבו השער היה הנמוך ביותר. התופעה מחריפה עם הזמן ובולטת ביותר בשנים 2002-1999 (תרשים 1).

בעקבות המחקר פיתחה הSEC- בחקירה שהובילה לתשלום קנסות ענק של חברות שנתפסו בביצוע Backdating, ובין היתר גם לבריחתו הממושכת של הישראלי מייסד קומברס, קובי אלכסנדר, לנמיביה. לאחר שחזר לארה"ב הורשע אלכסנדר והוטל עליו עונש של שנתיים וחצי מאסר וקנס של עשרות מיליוני דולרים.

תרשים  1 – תשואות מניות לפני ואחרי יום הכרזת האופציות

דוגמה 2 – רמאויות במבחני המיצ"ב האמריקאיים

מערכת מבחני המיצ"ב הנהוגה בארה"ב מודדת את הישגי תלמידי בתי הספר היסודי, ובהתאם לכך מעריכה את תפקוד בית הספר ומתגמלת או מענישה אותו בתקציבי השנים הבאות. בשנת 2003 פרסמו  חוקרי הכלכלה Jacob  and Levitt מחקר שהראה כי בכ-5% מן הכיתות המורים מרמים ומתקנים באופן שיטתי את תשובות התלמידים כדי שהערכת בית הספר שלהם לא תיפגע.

החוקרים הניחו כי מורים שמרמים יתקנו באופן חוזר ונשנה את התשובות כך שתהיינה תשובות זהות לתלמידים בכיתה לכל השאלות או לחלקן. לכן הם הפעילו אלגוריתם ממוחשב לזיהוי תבניות קבועות בגיליונות התשובות של  התלמידים בכל כיתה.

בתרשים 2 מוצגים גיליונות תשובות של כיתה לדוגמה שבה יש חשד לתרמית. כל שורה מציגה גיליון תשובות של תלמיד אחד. המבחן נערך בשיטת רב ברירה – ספרות מייצגות תשובות נכונות לשאלה, ואותיות מייצגות תשובות שגויות. בתרשים ניתן להיווכח כי קיימות בגיליונות תבניות חוזרות ונשנות של תשובות שאינן מתקבלות כאקראיות (מוקפות בקו), ומכאן עולה חשד של זיוף התשובות על ידי המורה האחראי.

כדי לאושש את המסקנה נערכו במקרים החשודים בדיקות נוספות, בין היתר השוואה לציונים בשנה העוקבת ובשנה הקודמת. בדוגמה בתרשים 2 ניתן לראות כי הציונים היו נמוכים יותר ביחס למבחן. בנוסף נערכו מבחנים חוזרים, הפעם בנוכחות מורה שלא מבית הספר הנבדק, ואז נמצא פער משמעותי מול המבחן החשוד. תוצאות המחקר הובילו, מלבד ענישה של המורים שסרחו, גם לשינוי מהותי בתהליך הערכת בתי הספר בארה"ב.

תרשים 2 – גיליון תשובות עם תרמית

The post Assurance VS Research   – יועץ נאמן? אולי עדיף חוקר נאמן appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

אילנה שחורי, רו"ח, CIA, CISA, CRMA, מנכ"ל משותף בחברת IA-IS, חברה לביקורת וייעוץ

ההתפתחות הטכנולוגית המואצת מובילה לשינויים רבים בתהליכי העבודה של ארגונים המשלבים יכולות טכנולוגיות שונות בתהליכי העבודה. למעשה, כיום אין כמעט תהליך עסקי או תפעולי שאינו נתמך במערכת מידע או בתשתית טכנולוגית. כתוצאה מכך מתגברים בארגונים סיכונים שונים כגון סיכוני אבטחת מידע וסייבר, סיכוני זמינות והמשכיות עסקית.

בספרו "מי הזיז את הגבינה שלי" כתב ספנסר ג'ונסון כך: "אם תבחין בשינויים הקטנים בשלב מוקדם, יהיה  לך קל יותר להסתגל לשינויים הגדולים יותר שעומדים לקרות". התגברותם של סיכונים טכנולוגיים שונים במסגרת פעילות הארגון מחייבת ביצוע התאמות בתהליכי הביקורת שנדרשת לבחון היבטים טכנולוגיים גם במסגרת ביקורות עסקיות ולא רק בביקורות מערכות מידע ייעודיות.

לשינויים אלו חשיבות רבה בשמירה על רלוונטיות הביקורת הפנימית וביכולת של פונקציית הביקורת לבצע את תפקידה בזיהוי הסיכונים המשמעותיים לארגון.

שינוי יחסי הגומלין בין ביקורת פנימית עסקית וביקורת מערכות מידע

אם עד לאחרונה הייתה קיימת הבחנה ברורה בין תחומי הבדיקה של מבקרים פנימיים קלאסיים לבין תחומי הבדיקה של מחלקות ביקורת מערכות המידע בארגון, הרי שאנו מציעים הגדרה מחודשת של תחומי האחריות ושיתופי הפעולה.

על מנת לשמר את אפקטיביות הביקורת ולהגביר את התועלת ממנה, רצוי שמבקר פנימי ישלב במסגרת ביקורת תהליך עסקי כמה נושאי ליבה שבמקור היו נחלתם של מבקרי מערכות המידע.

חשוב להדגיש כי אין הכוונה ששילוב נושאים אלה במסגרת ביקורת הבוחנת תהליך עסקי יחליף ביקורת סדורה של בדיקת מערכת, דבר המחייב היכרות עם עולם ה-IT ומומחיות של מבקר מערכות מידע. ביקורת ייעודית של מערכות ליבה ותהליכי ניהול התשתיות יבוצע על ידי מבקרי מערכות מידע מקצועיים. המודל המוצע הוא שדרוג של הביקורת הקלאסית, שיאפשר שילוב של היבטים טכניים במסגרת הביקורות העסקיות במטרה לתת התייחסות גם לסיכונים הטכנולוגיים ולשקף תמונה רחבה יותר בנוגע לסיכונים הקיימים בנושא הנבדק.

ההיבטים  טכניים מרכזיים שמומלץ לשלב במסגרת ביקורת תהליך עסקי :

1. בחינת מידת התאמת המערכת לצורכי הארגון

אחד הפרמטרים המשמעותיים בהצלחת יישום מערכת הוא מידת המענה שלה לצרכים העסקיים ומידת השימוש של המשתמשים במערכת. ארגונים משקיעים סכומים אדירים ביישום מערכות מתקדמות שנכשלות כאשר הן אינן תואמות לצרכים ולדרישות המשתמשים. בהקשר הזה נבדוק: האם המערכת ידידותית וקלה לשימוש? האם היא מספקת למשתמש את כל המידע הנדרש לביצוע הפעילות העסקית? האם המשתמשים שותפים בהגדרת הדרישות והמבדקים? כמו כן נבקש לוודא כי הוגדרה ויושמה תוכנית הדרכה והטמעה מקיפה ואפקטיבית.

חשוב לזכור כי מערכת שאינה נותנת מענה לצורך של המשתמש העסקי עלולה להוביל לרמת שימוש נמוכה במערכת וליצירת תהליכי עבודה מקביליים באופן שייצור סיכון תפעולי לפעילות הארגון. 

איך זה בא לביטוי בשטח?

במסגרת ביקורת בנושא שכר, נמצא כי חשבי השכר מבצעים חישובים ידניים בנושא שעות הנוכחות והזנת נתונים ידניים למערכות הנוכחות והשכר, מקום שמקובל שהערכים יהיו תוצאה של תהליכי עיבוד במערכות כגון יישום סוגי הסכמים וזכויות עובדים. מלבד חוסר יעילות ובזבוז משאבים, משמעות ההזנה הידנית היא חשיפה לטעויות ולהטעיות. ההתערבות הידנית נבעה מיישום לא מיטבי של מערכת הנוכחות בארגון. זיהוי הפערים הביא להמלצה על מיכון היבטים אלו במערכת.

2. בחינת נקודות בסיסיות בתחום אבטחת מידע

סיכוני אבטחת מידע הם נושאים משמעותיים בבדיקת תהליך עסקי/תפעולי בשל ההשלכה שעשויה להיות להם על הארגון. בדיקת הנושא מצריכה לרוב מומחיות ומקצועיות, אך קיימים נושאים שגם המבקר הפנימי הקלאסי יכול לכסות בשלב ראשון של הבדיקה:

ניהול ההרשאות במערכת – חשוב לראות שתהליך מתן ההרשאות מבוסס על עקרון "הצורך לדעת" (עיקרון אבטחתי הדורש מתן הרשאות מינימליות למשתמש לצורך מילוי תפקידו) ומאפשר הפרדת תפקידים. בנוסף יש לבדוק האם מתקיים תהליך מובנה ותקופתי של סקירת ההרשאות, במטרה לוודא שאין הרשאות עודפות כתוצאה משינויים ארגוניים (ניוד ועזיבה של עובדים). תהליך זה יכלול התייחסות גם לספקים חיצוניים.

הרשאות גישה עודפות חושפות את הארגון לפעילות שאינה מורשית, ואף קיים חשש כי הרשאות עודפות ישמשו למעילות והונאות.

איך זה בא לידי ביטוי בשטח?

במסגרת סקירת ההרשאות במערכת תשלומים, התגלה כי עובדים מסוימים הוגדרו במערכת בהרשאה המאפשרת הזנת תשלום ובהרשאה נוספת כמאשרי תשלום. התוצאה – אופן יישום ההרשאות במערכת המידע אינו עומד בעקרונות מקובלים של הפרדת תפקידים ובנוהלי הארגון המחייבים אישור התשלום על ידי גורם אחר ממזין התשלום.

סיכוני אבטחה פיזית – נסתכל על יישום מדיניות "שולחן נקי" במטרה לוודא כי מידע רגיש מאוחסן בצורה מאובטחת וכי קיימת מודעות עובדים לנושא. כמו כן נבחן את הגישה למתחמים רגישים ונראה כי זו מותרת רק למורשים וכי מיושמים אמצעי הגנה פיזיים כגון בקרת כניסה ומצלמות. גישה מתירנית לאזורים רגישים כגון חדרי שרתים, יכולה להוביל לסיכוני דלף מידע ולחשיפת מידע רגיש של הארגון.

3. בחינת קיום בקרות מיכוניות הולמות

קיימים שלושה סוגי בקרות מיכוניות מרכזיות:

בקרות קלט – בקרות מונעת שתפקידן להבטיח את התאמתם של הנתונים המוקלדים או המוזנים למערכת ללוגיקה העסקית המוגדרת לאותו שדה במערכת. לדוגמה: מגבלת קליטת ספרות בלבד בשדות המייצגים סכום, בדיקת תקינות חוקיות תאריך בשדה תאריך.

בקרות עיבוד – בקרות אוטומטיות שתפקידן לוודא שלמות ודיוק עיבוד הנתונים. לדוגמה: חישוב שגוי של מערכת החיוב (מערכת Billing) יוביל להפקת חשבונות חיוב בעודף או בחוסר, חישוב שגוי של שיעורי הצמדה יגרור טעויות בתשלומים או ברישומים החשבונאיים ועוד.

בקרות פלט – בקרות שתפקידן להבטיח שנתוני המערכת יועברו ליעדן בצורה המיטבית תוך שמירה על אמינות הנתונים. לדוגמה: בקרות ביחס לתהליכי הפקת דוחות למשתמשי הקצה.

בקרות מיכוניות חסרות עלולות לפגוע באיכות הנתונים הקיימים במערכת ובמערכות אחרות שניזונות ממנה ובכך ליצור סיכון תפעולי משמעותי לארגון.

4. בחינת היבטי זמינות ותפעול המערכת

זמינות מערכות המידע מהווה יעד מרכזי בפעילותם של ארגונים על מנת להבטיח רציפות עסקית ומניעת פגיעה בהשגת היעדים העסקיים ובלקוחות הארגון. לפיכך, רצוי לשלב בביקורת בחינה של היקף התקלות במערכת, משך הזמן לטיפול בתקלות, והאם קיימת התחייבות ל- SLA(הסכם רמת שירות). כמו כן האם מתקיים תהליך הפקת לקחים לאיתור גורמי השורש וכן תהליך לאיתור תקלות חוזרות.

בעיות בזמינות המערכת פוגעות בפעילות העסקית שמבוצעת במערכת וביכולת של הארגון לעמוד ביעדיו העסקיים ובמתן שירות ללקוחותיו.

5. בחינת היבטי המשכיות עסקית

היבט נוסף שמומלץ להתייחס אליו הוא מידת קריטיות המערכת לפעילות העסקית של הארגון. חשוב לבדוק האם המערכת שתומכת בתהליך העסקי שאנו בודקים הוגדרה כמערכת קריטית לארגון, ולפיכך משולבת בתוכנית ההתאוששות מאסון של הארגון (כולל ביצוע תרגולי התאוששות מאסון למערכת). בנוסף יש לבדוק האם עובדי היחידות השונות מודעים לתוכנית ההמשכיות העסקית ולפעילות הנדרשת מהם בשעת חירום.

היעדר תכנון והכנה להתמודדות עם מצבי חירום תוך שמירה על המשכיות עסקית, עלולים להוביל ארגונים לנזקים גדולים ולאבדון.

בחינת היבטים טכנולוגיים אלה בפעילות המערכת שתומכת בפעילות העסקית הנבדקת, מאפשרת מתן התייחסות לסיכון הטכנולוגי הקיים בנוסף על הסיכונים העסקיים הרלוונטיים לנושא הנבדק, ובכך לשקף תמונה רוחבית לגבי מכלול הסיכונים בנושא הנבדק.

כיצד ניישם את השינוי?

קיימת חשיבות רבה להגדרת תהליך עבודה ותהליך ניהול השינוי במטרה כדי ליישם באופן מיטבי מתודולוגיה זו. התהליך יכלול ביצוע מיפוי והבחנה בין מערכות הליבה/התשתית שיבוקרו על ידי מבקרי מערכות מידע לבין מערכות התומכות בפעילות עסקית נישתית/ממוקדת ("מערכות קצה") שהן ברמת מורכבות טכנולוגית נמוכה יותר, וכן שיוך "מערכות הקצה" לישויות הביקורת בתוכנית העבודה הרב-שנתית.

על מנת שהשינוי יצליח, הנהלת הארגון והביקורת צריכות להיות מחויבות לתהליך, לאור הצורך בהשקעת משאבים בהטמעתו. מומלץ להגדיר גורם ייעודי ביחידה שיהיה אחראי להטמעת התהליך וביצוע מעקב, בקרה ומתן סיוע מקצועי, וכן עוגנים מקצועיים בצוותי הביקורת שיסייעו בהטמעת המתודולוגיה. בנוסף, נדרש תהליך הדרכה שוטף לאור השינויים המתפתחים בעולם ה- IT ולאור השינוי במיומנויות המבקר ומקצועיותו.

לסיכום ,

עולם הביקורת משתנה לנגד עינינו לאור השינויים המהירים בעולם הטכנולוגי. שינויים אלו ושילובו של עולם הטכנולוגיה כמעט בכל הפעילויות העסקיות/התפעוליות של הארגונים, מחייבים ביצוע שינויים גם ביחידת הביקורת הפנימית ובחלוקת האחריות בין הביקורת הפנימית הקלאסית וביקורת מערכות המידע.

דגשים מרכזיים בבדיקת מערכות מידע התומכות בתהליך עסקי

The post ביקורת מערכות מידע לא רק למבקרי מערכות מידע appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

• מיכון תהליכים;
• דיגיטציה;
• קבלת החלטות על סמך ניתוח נתונים בכלים סטטיסטיים מתקדמים.

לצד השינויים האמורים והסביבה הדינמית שבה פועלות החברות, תפקיד הביקורת הפנימית נותר קבוע: לבדוק את כל התהליכים בחברה לפי תוכנית רב-שנתית מבוססת סיכונים, תוך שימוש בכלי ביקורת מתאימים שיאפשרו מתן חוות דעת על כל תהליך, ובמידת הצורך מתן המלצות אפקטיביות לשיפור התהליך. לפיכך, כדי שהביקורת הפנימית תוכל לבצע את תפקידה באופן אפקטיבי בתוך סביבה עסקית ורגולטורית משתנה, היא נדרשת להפעיל כלי ביקורת מתקדמים מגוונים, לרבות הפעלת כלים טכנולוגיים וסטטיסטיים חדשניים.

במאמר זה יוצגו שתי דוגמאות הממחישות את הצורך של יחידות ביקורת פנימית להפעיל כלי ביקורת מתקדמים וחדשניים לצורך בדיקת תהליכים בחברה, וכן יובאו דגשים מסוימים בדבר אופן השימוש באותם כלי ביקורת.

בדיקה טכנולוגית של נאותות מנגנון חישוב במערכת מידע תפעולית:

הדוגמה הראשונה,  תתייחס לבדיקה של תהליך תפעולי המבוסס על מנגנון חישוב במערכת: תהליך גביית ריבית על הלוואה המבוסס על מנגנון לחישוב הסכום לגבייה במערכת. לצורך הדוגמה, נניח כי במסגרת הסקר המקדים שביצעה הביקורת עלו הפרטים הבאים: חישוב הסכום לגבייה מבוצע באמצעות מנגנון מיכוני שפותח בשנה האחרונה; החישוב מבוצע עבור כ-800,000 הלוואות; אופן חישוב הריבית משתנה בין סוגי הלוואות שונים; החברה מבצעת בקרת סבירות חודשית של סך ההכנסה מריבית ביחס לחודש קודם.

להלן טבלה הממחישה את ההבדלים בביצוע הבדיקה בין יחידת ביקורת פנימית שעושה שימוש בכלי ביקורת מוגבלים לבין יחידת ביקורת פנימית שמבצעת את הבדיקה תוך הפעלת כלי ביקורת טכנולוגיים מתקדמים.

מהדוגמה לעיל ניתן לראות כי בדיקה שבה נעשה שימוש בכלי ביקורת מוגבלים אינה מאפשרת מתן חוות דעת על התהליך, שכן מממצא שלפיו קיימים חמישה מקרים שגויים מתוך 100 לא ניתן לגבש מסקנה לגבי התקינות של המנגנון לחישוב הריבית שעליו מבוסס התהליך – האם מדובר במנגנון "נאות" עם תקלות נקודתיות או שמדובר במנגנון שאינו תקין? יצוין כי מדגם ידני של כ-0.01% מהאוכלוסייה לא יכול ללמד באופן מיטבי על האוכלוסייה ולכן הבדיקה הידנית הראתה תוצאה של 5% שגויים, בעוד שהבדיקה הממוכנת שמלמדת על כל האוכלוסייה הראתה תוצאה של 20% שגויים בדיוק. כמו כן, המלצה לתקן את התקלות שאותרו משפרת את התהליך רק באופן חלקי, מאחר שיישום ההמלצה יביא רק לתיקון התקלות הנקודתיות שאותרו. לעומת זאת, בבדיקה ממוכנת תוך שימוש בכלים טכנולוגיים, ניתן לתת חוות דעת שלפיה התהליך אינו נאות מאחר שהוא מבוסס על מנגנון מיכוני שאינו תקין, כאשר גם הבקרה המבוצעת בתהליך כלל אינה אפקטיבית. כמו כן, יישום ההמלצות לתיקון המנגנון ולהטמעת בדיקות ממוכנות בתהליך הנבדק ובתהליכים רלוונטיים אחרים נוספים, יוביל לשיפור התהליך הנבדק ולבחינת הצורך בביצוע שיפור בתהליכים רלוונטיים נוספים בחברה.

בדיקה ממוכנת של מנגנון חישובי במערכת כפי שמובאת בדוגמה לעיל, מורכבת משני חלקים: בדיקת שלמות הנתונים ובדיקת דיוק הנתונים. בדיקת שלמות משמעה בדיקה כי החישוב מבוצע על כל האוכלוסייה הרלוונטית ועל האוכלוסייה הרלוונטית בלבד. בדיקת השלמות מבוצעת על ידי הביקורת באמצעות גיבוש עצמאי ובלתי תלוי של האוכלוסייה שעליה יש לבצע את החישוב במנגנון לפי ההגדרה העסקית/הרגולטורית והשוואת האוכלוסייה שגובשה על ידי הביקורת לאוכלוסייה שעליה מבוצע החישוב בפועל במערכת.

בדיקת דיוק משמעה בדיקה כי ביחס לכל מופע הכלול באוכלוסייה הרלוונטית, החישוב עצמו מבוצע במערכת באופן מדויק בהתאם להגדרה העסקית/הרגולטורית שנקבעה לצורך ביצוע החישוב. בדיקת הדיוק מבוצעת על ידי הביקורת בדרך של ביצוע חישוב עצמאי ובלתי תלוי (מחוץ למנגנון שבמערכת) של הנתון שמחשב המנגנון, והשוואת תוצאת החישוב העצמאי של הביקורת לתוצאה של החישוב כפי שבוצעה במנגנון של המערכת, זאת לגבי כל האוכלוסייה הרלוונטית שעליה מבוצע החישוב במנגנון.

להלן תרשים המתאר את האופן שבו מבוצעת בדיקה טכנולוגית מתקדמת של נאותות מנגנון חישוב מערכת:

לצורך ביצוע בדיקה טכנולוגית מתקדמת של מנגנון חישוב במערכת יש לבצע שליפה עצמאית ובלתי תלויה של נתונים מהמערכת, אולם בהתאם לנסיבות ובמקרים המתאימים, הביקורת יכולה להסתפק בשיטות אחרות לשליפת הנתונים כדי לבצע את הבדיקה באופן ממוכן.
להלן תיאור שלוש שיטות מרכזיות שבהן ניתן לבצע שליפה של נתונים, ופירוט בדבר היתרונות והחסרונות של כל שיטה:

1. שליפה עצמאית ובלתי תלויה מבסיס הנתונים של המערכת באמצעות כלים טכנולוגיים. היתרונות בשיטה זו הם אי התלות של המבקר בביצוע הבדיקה, מאחר שהוא אינו נסמך על הגורם המבוקר לצורך קבלת המידע, וכן האפשרות של המבקר לקבל את כל הנתונים הנדרשים לו לצורך ביצוע הבדיקה, זאת מכיוון שהשליפה מבוצעת ישירות מהמערכת שבה מבוצע החישוב. החיסרון בשיטה זו הוא הצורך במשאבים ייחודיים – מבקר בעל יכולות טכנולוגיות, ופרק זמן ניכר שנדרש ללימוד הטבלאות הקיימות בבסיס הנתונים של המערכת, לרבות המיקום של כל נתון שנדרש לבדיקה בכל טבלה.
2. שליפה ממערכת BI (בינה עסקית) ארגונית – היתרון בשיטה זו הוא שלהבדיל משליפה מבסיס הנתונים של המערכת, שליפה מ-BI היא פעולה פשוטה יחסית שיכולה להתבצע על ידי כל מבקר ומשך זמן הלימוד הנדרש לביצוע השליפה קצר יחסית. החיסרון בשיטה זו הוא שכלי ה-BI בחברה מיועדים לשליפה של דוחות ניהוליים ואינם מותאמים לשליפות המיועדות לביצוע בדיקות, ועל כן גם המידע שניתן לשליפה באמצעות כלי ה-BI הוא בדרך כלל מידע מוגבל. חיסרון נוסף: המידע הקיים ב-BI מהימן פחות מאשר המידע הקיים בבסיס הנתונים במערכת, מאחר שהשליפות מה-BI אינן מבוצעות מבסיס הנתונים של המערכת אלא מבסיס נתונים אחר וייעודי ל-BI. לבסיס הזה מועברים הנתונים הרלוונטיים באמצעות ממשק מבסיס הנתונים של המערכת, ויש סיכון שהנתונים לא יעברו במלואם בממשק או שלא יעברו בצורה מדויקת.
3. קבלת שליפה מהגורם המבוקר. החיסרון המרכזי בשיטה זו הוא ההסתמכות על הגורם המבוקר, שמקשה על האפשרות לאתגר את שלמות המנגנון המיכוני, זאת מכיוון שקיים חשש שהשליפה שהועברה אל הביקורת אינה כוללת את כל הנתונים. לדוגמה, ייתכן מצב שבו הביקורת לא תוכל לאתר תקלה במנגנון החישוב, שכן אותו גורם ששלף את הנתונים עבור הביקורת התבסס על אותה שליפה שמשמשת להעברת הנתונים אל המנגנון – שליפה שיש בה תקלה לעניין שלמות הנתונים. במקרה כזה, במטרה לאתגר בכל זאת את שלמות הנתונים המועברים למנגנון, ניתן במקרים מסוימים לבצע הצלבה בין הנתונים ששימשו לצורך החישוב במנגנון שנבדק לבין נתונים שנשלפו ממערכת אחרת שגם היא ניזונה מאותם נתונים (לדוגמא: מערכת דיווח כספי, מערכת תשלומים וכו'). ההנחה העומדת בבסיס בדיקה זו היא שלא סביר שתהיה תקלה דומה הן בשליפת הנתונים המבוצעת כחלק ממנגנון החישובי הנבדק והן בשליפה המבוצעת כחלק ממנגנון נפרד המשמש להעברת נתונים למערכת אחרת.

בדיקה של תהליך קבלת החלטה תוך שימוש בכלי ניתוח נתונים מבוססי מודלים סטטיסטיים מתקדמים:

דוגמה שנייה, תתייחס לבדיקה של נאותות תהליך קבלת ההחלטה של חברת ביטוח להגדיל מכירת פוליסות ביטוח חיים למבוטחים שגילם עולה על 40 שנה.

לצורך הדוגמה, נניח כי במסגרת הסקר המקדים שביצעה הביקורת עלו הפרטים הבאים: ההחלטה של החברה התקבלה על סמך מודל חיזוי סטטיסטי מבוסס  ,Machine  Learning שהראה כי גידול במכירת פוליסות ביטוח חיים למבוטחים שגילם עולה על 40 יביא לגידול של 20% ברווח. המודל של החברה התייחס לשני פרמטרים: גיל המבוטח וגובה הכיסוי הביטוחי.

להלן טבלה הממחישה את ההבדלים בביצוע הבדיקה בין יחידת ביקורת פנימית שעושה שימוש בכלי ביקורת מוגבלים לבין יחידת ביקורת פנימית שמבצעת את הבדיקה תוך הפעלת כלי ביקורת מתקדמים.

מהדוגמה לעיל ניתן לראות כי בדיקה עצמאית של המודל ואף פיתוח מודל עצמאי, מאפשרים לביקורת לתת חוות דעת שלפיה יש לבצע שיפורים בתהליך – פיתוח מודל מקיף ומדויק יותר ובחינה מחדש של ההחלטה שהתקבלה. לעומת זאת, סקירה בלבד של המודל אינה מאפשרת לתת חוות דעת של ממש בדבר נאותות המודל, ולפיכך גם אינה מאפשרת לאתגר בצורה משמעותית את תהליך קבלת ההחלטה של החברה.

להלן תרשים המתאר תהליך של ניתוח מידע באמצעות מודלים סטטיסטיים מתקדמים שניתן לשלב גם בעבודת הביקורת:

הדוגמה שהובאה לעיל מראה ששימוש של הביקורת הפנימית בכלים של ניתוח מידע באמצעות מודלים סטטיסטיים מתקדמים, עשוי לשמש את הביקורת הפנימית לצורך אתגור תהליך קבלת החלטות של החברה המבוססות על מודלים מסוג זה שמופעלים על ידי החברה עצמה. עם זאת, הביקורת הפנימית יכולה אף לשלב כלי ניתוח מתקדמים כאלה (כגון Machine Learning) גם ככלי ביקורת תומכים בביצוע בדיקות על תהליכים עסקיים ולצורך תמיכה בחוות דעת של הביקורת הפנימית לביצוע שיפורים באותם תהליכים עסקיים. למשל, בדרך של איתור מגמות שליליות או אנומליות בנתונים שעשויות להצביע על בעיה בתהליך או איתור מגמות חיוביות שדווקא עשויות להצביע על כך שהתהליך מבוצע באופן נאות.

לסיכום:

תפקידה של הביקורת הפנימית הוא לבצע בדיקות לצורך מתן חוות דעת בדבר נאותות כל אחד מהתהליכים המבוצעים על ידי החברה, ובמידת הצורך מתן המלצות אפקטיביות לשיפור התהליכים. אף שתפקידה של הביקורת הפנימית לא השתנה עם השנים, בשל שינויים משמעותיים שחלו בסביבה העסקית והרגולטורית שבה פועלות החברות העסקיות, ובמיוחד מיכון תהליכים, דיגיטציה וקבלת החלטות על בסיס ניתוחים סטטיסטיים מתקדמים, הביקורת הפנימית חייבת להתאים עצמה ולהפעיל כלי ביקורת חדשניים כדי להישאר רלוונטית וכדי להיות אפקטיבית. במקרים מסוימים הביקורת הפנימית אף צריכה לשקול אם להשתמש בניתוחי נתונים מבוססי מודלים סטטיסטיים מתקדמים.

The post שימוש בכלים טכנולוגיים וחדשניים בביקורת הפנימית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מבוא

תארו לכם שהמושג "עובדים כמו רובוטים" היה מקבל משמעות אמיתית. עבודה הייתה מבוצעת במהירות, ללא הפסקות, ללא חופשות או מחלות. 24/7. ללא טעויות.

מסתבר שאנו כבר לא רחוקים מעולם כזה.

במצב שבו רובוטים משתלבים בעולמנו כמעט בכל תחום, אין סיבה שלא יגיעו גם לעולם התעסוקתי.

אז אמנם לא נראה רובוטים בדמות אדם מתהלכים ברחובות תל אביב (או אולי כן, אבל זה כבר נושא לדיון אחר) אך תוכנות ייעודיות המתוכנתות לביצוע פעולות ספציפיות ומוגדרות, בהחלט משתלבות בעולם העסקי.

תהליכים אלו נקראים Robotic Process Automation (RPA).

במאמר זה ננסה לשפוך מעט אור על תהליכי האוטומציה ההולכים ומתרחבים במגוון תחומים ומגזרים שונים. ננסה להבין כיצד אלה יכולים לסייע לארגון, וכיצד מושפעת עבודת הביקורת הפנימית כתוצאה מתהליכי אוטומציה המוטמעים בארגון.

מהם תהליכי רובוטיקה ואוטומציה?

בשנים האחרונות קיימת מגמה של מעבר לתהליכי רובוטיקה ואוטומציה (RPA) בעולם העסקי. מגמה זו צוברת תאוצה וניצנים ראשונים ניתן לראות גם בישראל. הצפי הוא כי המגמה תימשך ותבוא לידי ביטוי במגזרים שונים במשק.

חברת המחקר האמריקנית Forrester Research סבורה כי שוק ה-RPA יגיע לסך 2.9 מיליארד דולר עד לשנת 2021, ואילו עד לשנת 2029 כ-47% משוק העבודה האמריקאי יושפע בדרך כזו או אחרת מתהליכי RPA. השפעה זו יכולה לבוא לידי ביטוי, בין היתר, ביצירת משרות חדשות או בתפיסת מקומם של עובדים על ידי RPA.

RPA הוא תהליך עסקי (במרבית המקרים) המבוצע על ידי "רובוט". יש המתייחסים לנושא כ"יצירת כוח אדם וירטואלי".

במסגרת RPA ניתן לבצע פעולות מתוכנות ופלטפורמות טכנולוגיות שונות.

דוגמאות לפעולות "קלאסיות" הניתנות לביצוע במסגרת תהליך RPA: שינוע קבצים ותיקיות, שליחת מיילים, קבלת טפסים ממוחשבים מלקוחות וקליטתם במערכות החברה.

נציג בפניכם דוגמה להמחשת תהליך עסקי בסיסי:

תאגיד קמעונאי מעוניין להטמיע RPA לתהליך קליטת הזמנות מלקוחות.

להלן תרשים המתאר מקטע מהליך הקליטה כפי שמבוצע טרום הטמעת RPA:

אם נבקש להפוך את התהליך לאוטומטי (RPA), סביר שהשלב הראשון של תהליך פתיחת ההזמנות ייראה כך:

הדוגמה לעיל ממחישה את הצורך לפרוט את התהליך למשימות פשוטות וקצרות, כמו גם הגדרת המסמכים הנדרשים בכל שלב על מנת שניתן לבצען באופן דיגיטלי, לדוגמה: מסמך שהתקבל בכתב יד נצטרך לקבלו מוקלד. שלב העברה לאוטומציה מחייב הגדרת נקודות החלטה וברירת מחדל של "מה קורה אם לא" – שבמסגרתן התהליך האוטומטי ייעצר ותועבר הודעה לגורם האחראי (כמו בדוגמה בסעיף 3 ו-4).

יתרונות וחסרונות בתהליך

ארגון המעוניין לבחון העברת תהליך ידני ל-RPA צריך לבחון את היתרונות והחסרונות. להלן נקודות מרכזיות:

יתרונות:

• חיסכון בעלויות לטווח הרחוק.
• מניעת טעויות ידניות
• מהירות תגובה.
• זמינות – 24/7/365.
• שביעת רצון עובדים – הפחתת "עבודה שחורה" ומעבר לעבודה תורמת.
• שיפור הגנת הפרטיות – תהליכים המבוצעים אוטומטית פחות חשופים ליד אדם.

חיסרונות:

• עלות ראשונית גבוהה.
• בהיעדר בקרות הולמות והטמעה נכונה, קיימת חשיפה לתקלה רוחבית.
• חשיפה לפגיעה בתהליכי העבודה אם לא בוצעה בחינה מחודשת לתהליך העבודה.
• התנגדויות לצמצום כוח אדם.
• אבטחת מידע – תהליכים המבוצעים באופן אוטומטי, חשופים יותר לאירועי סייבר ואירועי אבטחת מידע.

ביקורת פנימית לתהליכי RPA

עבודת הביקורת הפנימית לתהליכי RPA תבוצע בשני שלבים:

ביקורת פרויקט – כביקורת מלווה במהלך ההטמעה.

ביקורת פנימית על תהליך – ביקורת פנימית שוטפת לתהליך העבודה העסקי לאחר הטמעת PRA.

ביקורת בנושא הטמעת פרויקט

בדומה לביקורת פנימית בנושא ניהול וביצוע פרויקטים, ניתן לבצע ביקורת על תהליך הטמעת RPA בתאגיד הן ב"ראיית-על" (מדיניות, השלכות בנושא יחסי עבודה, שירות לקוחות/ספקים וכו') והן בראייה ממוקדת עבור תהליך נקודתי. ניתן לבצע אף כביקורת מלווה.

כאמור, ביקורת ניהול פרויקט כוללת נושאים גנריים שסביר שנמצא בכל פרויקט בכל תחום (תכנון מול ביצוע והשגת היעד, עמידה בלוח זמנים, תקציב מול עלויות בפועל). במאמר זה נשים דגש על נושאים ייחודיים בתהליך RPA.

להלן דגשים לביקורת פנימית בנושא ניהול פרויקטRPA :

1. POC (Proof of Concept) – בחינת תהליך בדיקת היתכנות טרם יציאה לפרויקט. האם אוטומציה היא אכן פתרון ראוי או שניתן לייעל את התהליך בחלופה אחרת. בבדיקת ההיתכנות רצוי לבחון גם האם קיימים היבטי רגולציה בתחום הנבדק. לדוגמה: בתהליך שבו נדרש הליך זיהוי פיזי, ייתכן שהפעלת ה-RPA תחל לאחר הליך הזיהוי הידני.
2. ROI(Return of Investment) – יש לוודא כי הארגון ביצע תהליך בחינת כדאיות כלכלית וקבלת אישור מוסדות התאגיד הנדרשים.
3. מסמך אפיון – יש לוודא כבר בשלב זה כי במסמך האפיון הוגדרו: דוחות שגויים ותהליכי Fallback – (חזרה למצב מקור טרום שינוי) בגין שגויים בתהליך, תהליך העבודה בסביבת RPA, בקרות לאיתור תקלות בזמן סביר.
4. בחינת תהליכי ניהול שינויים, ובכללם:
   • קיום סביבות נפרדות לפיתוח ולייצור.
   • תסריטי בדיקות.
   • בדיקות קבלה.
   • אישור העברה לייצור.
5. תוכנית לביצוע הדרכות לעובדים.
6. היערכות לחירום – בחינת החברה לצורך בעדכון תוכנית היערכות לשעת חירום בעקבות מעבר ל-RPA.

ככל שמדובר בביקורת מלווה, מומלץ כי המבקר הפנימי יעמוד מקרוב על הסיכונים הרלוונטיים לפרויקט.

להלן מספר דוגמאות לסיכונים הכרוכים בהטמעת RPA והצעות למענה:

1. בחינת שינוי תהליך העבודה השוטף – על הארגון לבחון האם כתוצאה מהטמעת RPA נדרש לבצע שינוי בתהליך העבודה השוטף. לדוגמה: אם במצב הנתון מתקבלות הזמנות הן באמצעות טלפון, הן באמצעות פקס והן באמצעות מייל, הרי שהחברה תצטרך להגדיר הליך אחיד וסדור לקבלת הזמנות מלקוח. למשל, הזמנות יתקבלו באמצעות מייל ובצירוף PO (הזמנת רכישה) בפורמט אחיד מהלקוח. אם יישאר מענה טלפוני הוא צריך להיות במערכת IP חכמה שתוכל לייצא נתונים על ההזמנה, ואם יועברו פקסים יש להגדיר מנגנון Fax to mail.
2. אבטחת מידע – הנושא יכול לבוא לידי ביטוי בניהול הרשאות גישה עבור ה-USER המשמש את הרובוט (לדוגמה: מי מנהל את סיסמאות הרובוט?), בחינת מוצר התוכנה והספק בהיבטי אבטחת המידע. לצורך כך ישנה חשיבות  שישולבו בתהליך האפיון אנשי אבטחת המידע בארגון.
3. שגויים בתהליך העבודה – שגויים בתהליך ייתכנו ממספר סיבות:
   • שרתים ו/או מערכות הנדרשים לתהליך מושבתים. כמענה לנושא זה יש לוודא כי החברה הגדירה מנגנוני ניטור קבועים לשרתים למערכות הקריטיות לתהליך. כך שאם שרת אחד או יותר אינם פעילים, תהליך RPA לא יבוצע ותתקבל התראה לגורמים הרלוונטיים.
   • RPA מבצע הליך סדור וקבוע המוגדר מראש, ובהיעדר תהליכי בינה מלאכותית (IA) מדובר בהליך ללא שיקול דעת. לכן בעת אפיון RPA יש להגדיר מראש פתרונות למקרים אלו. לדוגמה: בתהליך יצירת SO (הזמנת מכירה), מסמך חובה יהיה ה-PO של הלקוח. אם לא יצורף PO, לא ניתן יהיה להמשיך בתהליך האוטומטי והאירוע יועבר לטיפול ידני.
4. היערכות החברה להשבתתRPA – כתיבת נוהלי עבודה סדורים המפרטים את תהליך העבודה במקרה של השבתת הרובוט והדרכת העובדים הרלוונטיים.
5. שילוב כלי בקרה כחלק מהפיתוח – מומלץ כי בחודשי העבודה הראשונים תבוצע בדיקה מדגמית ידנית במקביל לעבודת הרובוט השוטפת, במטרה לוודא את תקינות התהליך.

ביקורת פנימית על תהליך (כנושא ביקורת שוטף)

עבודת הביקורת הפנימית תשתנה ככל שתהליכים ידניים יהפכו ל-RPA. במקום לדגום מסמכים, הביקורת נדרשת לבקר תהליכי בקרה ממוחשבים. המבקרים הפנימיים יידרשו להשתמש בכלים טכנולוגיים כגון: כלי ניתוח ממוחשבים, אפליקציות לביצוע סימולציה וכו'. ביצוע הביקורת ידרוש שילוב של ידע במערכות מידע ותהליכים עסקיים.

ייתכן שאף מבנה דוח הביקורת יעבור שינויי מסוים. הדיווחים יהיו קצרים יותר, תוצרי הביקורת יהיו לא פעם ניתוחי אוכלוסיות שגויים בתהליך, ולא מן הנמנע כי ממצא ביקורת שיימצא יהיה בעל השפעה רוחבית.

דוחות הביקורת יכללו פחות ממצאים אך לכל ממצא יהיה משקל מהותי.

לאחר הטמעת התהליך, במסגרת הביקורות השוטפות ייבחנו הנושאים שלהלן:

1. הרשאות גישה בתהליך – מורשים לביצוע פעולות ידניות, מורשים לשינוי הגדרות הרובוט.
2. בקרת שלמות התהליך – בדיקה אפשרית לתהליך זה היא באמצעות סימולציה (לרבות בחינת צומתי ההחלטות ובדיקה כי במקרים שבהם הוגדר מעבר לתהליך ידני אכן בוצעה העברה לתהליך ידני ולא חזרה ל"תחילת" הפעולה).
3. ביצוע בדיקות על אוכלוסיות שגויים ודרך הטיפול בהן.
4. ניתוח אירועי כשל וצמתים של קבלת החלטות.
5. מוכנות הארגון להשבתת RPA.
6. בדיקות ועדכון שוטף של RPA (תחזוקה, ניהול גרסאות).
7. בדיקות סבירות שוטפות. לדוגמה: סבירות כמות המיילים שהתקבלו ביחס לכמות ההזמנות שנפתחו.
8. בדיקות איכות התהליך וכדאיות שוטפת – בחינה האם המעבר לעבודה באמצעות רובוט אכן יעיל, או שכמות ההעברה לתהליך ידני היא משמעותית ומעמידה בספק את כדאיות התהליך.
9. שינויים בהגדרות פעילות הרובוט לאחר הפעלה ראשונית – תקינות התהליך, אישורים נדרשים.
10. השפעתם של שינויים בפעילות העסקית על עבודת הרובוט. לדוגמה, אם החברה פתחה או סגרה מחסן מלאי, האם ישנה השפעה על ניהול הזמנות הלקוח?

לסיכום, מגמת המעבר ל-RPA בעולם ובישראל, יחייבו את המבקר הפנימי להכיר את העולם החדש הזה ולהיות קשוב ופתוח לאפשרויות חדשות העומדות בפניו בניצול יכולות RPA לשם קידום, ייעול ושיפור עבודת המבקר הפנימי, וכפועל יוצא להגברת תרומתו לארגון.

The post תהליכי אוטומציה וביקורת פנימית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.