ביקורת מערכות מידע לא רק למבקרי מערכות מידע
מאת: בר וויס סלהוב – CISA,CRISC, ראש ענף ביקורת תשתיות, תהליכי IT ודיגיטל, חטיבת הביקורת הפנימית, בנק לאומי
אילנה שחורי, רו"ח, CIA, CISA, CRMA, מנכ"ל משותף בחברת IA-IS, חברה לביקורת וייעוץ
ההתפתחות הטכנולוגית המואצת מובילה לשינויים רבים בתהליכי העבודה של ארגונים המשלבים יכולות טכנולוגיות שונות בתהליכי העבודה. למעשה, כיום אין כמעט תהליך עסקי או תפעולי שאינו נתמך במערכת מידע או בתשתית טכנולוגית. כתוצאה מכך מתגברים בארגונים סיכונים שונים כגון סיכוני אבטחת מידע וסייבר, סיכוני זמינות והמשכיות עסקית.
בספרו "מי הזיז את הגבינה שלי" כתב ספנסר ג'ונסון כך: "אם תבחין בשינויים הקטנים בשלב מוקדם, יהיה לך קל יותר להסתגל לשינויים הגדולים יותר שעומדים לקרות". התגברותם של סיכונים טכנולוגיים שונים במסגרת פעילות הארגון מחייבת ביצוע התאמות בתהליכי הביקורת שנדרשת לבחון היבטים טכנולוגיים גם במסגרת ביקורות עסקיות ולא רק בביקורות מערכות מידע ייעודיות.
לשינויים אלו חשיבות רבה בשמירה על רלוונטיות הביקורת הפנימית וביכולת של פונקציית הביקורת לבצע את תפקידה בזיהוי הסיכונים המשמעותיים לארגון.
שינוי יחסי הגומלין בין ביקורת פנימית עסקית וביקורת מערכות מידע
אם עד לאחרונה הייתה קיימת הבחנה ברורה בין תחומי הבדיקה של מבקרים פנימיים קלאסיים לבין תחומי הבדיקה של מחלקות ביקורת מערכות המידע בארגון, הרי שאנו מציעים הגדרה מחודשת של תחומי האחריות ושיתופי הפעולה.
על מנת לשמר את אפקטיביות הביקורת ולהגביר את התועלת ממנה, רצוי שמבקר פנימי ישלב במסגרת ביקורת תהליך עסקי כמה נושאי ליבה שבמקור היו נחלתם של מבקרי מערכות המידע.
חשוב להדגיש כי אין הכוונה ששילוב נושאים אלה במסגרת ביקורת הבוחנת תהליך עסקי יחליף ביקורת סדורה של בדיקת מערכת, דבר המחייב היכרות עם עולם ה-IT ומומחיות של מבקר מערכות מידע. ביקורת ייעודית של מערכות ליבה ותהליכי ניהול התשתיות יבוצע על ידי מבקרי מערכות מידע מקצועיים. המודל המוצע הוא שדרוג של הביקורת הקלאסית, שיאפשר שילוב של היבטים טכניים במסגרת הביקורות העסקיות במטרה לתת התייחסות גם לסיכונים הטכנולוגיים ולשקף תמונה רחבה יותר בנוגע לסיכונים הקיימים בנושא הנבדק.
ההיבטים טכניים מרכזיים שמומלץ לשלב במסגרת ביקורת תהליך עסקי :
- בחינת מידת התאמת המערכת לצורכי הארגון
אחד הפרמטרים המשמעותיים בהצלחת יישום מערכת הוא מידת המענה שלה לצרכים העסקיים ומידת השימוש של המשתמשים במערכת. ארגונים משקיעים סכומים אדירים ביישום מערכות מתקדמות שנכשלות כאשר הן אינן תואמות לצרכים ולדרישות המשתמשים. בהקשר הזה נבדוק: האם המערכת ידידותית וקלה לשימוש? האם היא מספקת למשתמש את כל המידע הנדרש לביצוע הפעילות העסקית? האם המשתמשים שותפים בהגדרת הדרישות והמבדקים? כמו כן נבקש לוודא כי הוגדרה ויושמה תוכנית הדרכה והטמעה מקיפה ואפקטיבית.
חשוב לזכור כי מערכת שאינה נותנת מענה לצורך של המשתמש העסקי עלולה להוביל לרמת שימוש נמוכה במערכת וליצירת תהליכי עבודה מקביליים באופן שייצור סיכון תפעולי לפעילות הארגון.
איך זה בא לביטוי בשטח?
במסגרת ביקורת בנושא שכר, נמצא כי חשבי השכר מבצעים חישובים ידניים בנושא שעות הנוכחות והזנת נתונים ידניים למערכות הנוכחות והשכר, מקום שמקובל שהערכים יהיו תוצאה של תהליכי עיבוד במערכות כגון יישום סוגי הסכמים וזכויות עובדים. מלבד חוסר יעילות ובזבוז משאבים, משמעות ההזנה הידנית היא חשיפה לטעויות ולהטעיות. ההתערבות הידנית נבעה מיישום לא מיטבי של מערכת הנוכחות בארגון. זיהוי הפערים הביא להמלצה על מיכון היבטים אלו במערכת.
- בחינת נקודות בסיסיות בתחום אבטחת מידע
סיכוני אבטחת מידע הם נושאים משמעותיים בבדיקת תהליך עסקי/תפעולי בשל ההשלכה שעשויה להיות להם על הארגון. בדיקת הנושא מצריכה לרוב מומחיות ומקצועיות, אך קיימים נושאים שגם המבקר הפנימי הקלאסי יכול לכסות בשלב ראשון של הבדיקה:
ניהול ההרשאות במערכת – חשוב לראות שתהליך מתן ההרשאות מבוסס על עקרון "הצורך לדעת" (עיקרון אבטחתי הדורש מתן הרשאות מינימליות למשתמש לצורך מילוי תפקידו) ומאפשר הפרדת תפקידים. בנוסף יש לבדוק האם מתקיים תהליך מובנה ותקופתי של סקירת ההרשאות, במטרה לוודא שאין הרשאות עודפות כתוצאה משינויים ארגוניים (ניוד ועזיבה של עובדים). תהליך זה יכלול התייחסות גם לספקים חיצוניים.
הרשאות גישה עודפות חושפות את הארגון לפעילות שאינה מורשית, ואף קיים חשש כי הרשאות עודפות ישמשו למעילות והונאות.
איך זה בא לידי ביטוי בשטח?
במסגרת סקירת ההרשאות במערכת תשלומים, התגלה כי עובדים מסוימים הוגדרו במערכת בהרשאה המאפשרת הזנת תשלום ובהרשאה נוספת כמאשרי תשלום. התוצאה – אופן יישום ההרשאות במערכת המידע אינו עומד בעקרונות מקובלים של הפרדת תפקידים ובנוהלי הארגון המחייבים אישור התשלום על ידי גורם אחר ממזין התשלום.
סיכוני אבטחה פיזית – נסתכל על יישום מדיניות "שולחן נקי" במטרה לוודא כי מידע רגיש מאוחסן בצורה מאובטחת וכי קיימת מודעות עובדים לנושא. כמו כן נבחן את הגישה למתחמים רגישים ונראה כי זו מותרת רק למורשים וכי מיושמים אמצעי הגנה פיזיים כגון בקרת כניסה ומצלמות. גישה מתירנית לאזורים רגישים כגון חדרי שרתים, יכולה להוביל לסיכוני דלף מידע ולחשיפת מידע רגיש של הארגון.
- בחינת קיום בקרות מיכוניות הולמות
קיימים שלושה סוגי בקרות מיכוניות מרכזיות:
בקרות קלט – בקרות מונעת שתפקידן להבטיח את התאמתם של הנתונים המוקלדים או המוזנים למערכת ללוגיקה העסקית המוגדרת לאותו שדה במערכת. לדוגמה: מגבלת קליטת ספרות בלבד בשדות המייצגים סכום, בדיקת תקינות חוקיות תאריך בשדה תאריך.
בקרות עיבוד – בקרות אוטומטיות שתפקידן לוודא שלמות ודיוק עיבוד הנתונים. לדוגמה: חישוב שגוי של מערכת החיוב (מערכת Billing) יוביל להפקת חשבונות חיוב בעודף או בחוסר, חישוב שגוי של שיעורי הצמדה יגרור טעויות בתשלומים או ברישומים החשבונאיים ועוד.
בקרות פלט – בקרות שתפקידן להבטיח שנתוני המערכת יועברו ליעדן בצורה המיטבית תוך שמירה על אמינות הנתונים. לדוגמה: בקרות ביחס לתהליכי הפקת דוחות למשתמשי הקצה.
בקרות מיכוניות חסרות עלולות לפגוע באיכות הנתונים הקיימים במערכת ובמערכות אחרות שניזונות ממנה ובכך ליצור סיכון תפעולי משמעותי לארגון.
- בחינת היבטי זמינות ותפעול המערכת
זמינות מערכות המידע מהווה יעד מרכזי בפעילותם של ארגונים על מנת להבטיח רציפות עסקית ומניעת פגיעה בהשגת היעדים העסקיים ובלקוחות הארגון. לפיכך, רצוי לשלב בביקורת בחינה של היקף התקלות במערכת, משך הזמן לטיפול בתקלות, והאם קיימת התחייבות ל- SLA(הסכם רמת שירות). כמו כן האם מתקיים תהליך הפקת לקחים לאיתור גורמי השורש וכן תהליך לאיתור תקלות חוזרות.
בעיות בזמינות המערכת פוגעות בפעילות העסקית שמבוצעת במערכת וביכולת של הארגון לעמוד ביעדיו העסקיים ובמתן שירות ללקוחותיו.
- בחינת היבטי המשכיות עסקית
היבט נוסף שמומלץ להתייחס אליו הוא מידת קריטיות המערכת לפעילות העסקית של הארגון. חשוב לבדוק האם המערכת שתומכת בתהליך העסקי שאנו בודקים הוגדרה כמערכת קריטית לארגון, ולפיכך משולבת בתוכנית ההתאוששות מאסון של הארגון (כולל ביצוע תרגולי התאוששות מאסון למערכת). בנוסף יש לבדוק האם עובדי היחידות השונות מודעים לתוכנית ההמשכיות העסקית ולפעילות הנדרשת מהם בשעת חירום.
היעדר תכנון והכנה להתמודדות עם מצבי חירום תוך שמירה על המשכיות עסקית, עלולים להוביל ארגונים לנזקים גדולים ולאבדון.
בחינת היבטים טכנולוגיים אלה בפעילות המערכת שתומכת בפעילות העסקית הנבדקת, מאפשרת מתן התייחסות לסיכון הטכנולוגי הקיים בנוסף על הסיכונים העסקיים הרלוונטיים לנושא הנבדק, ובכך לשקף תמונה רוחבית לגבי מכלול הסיכונים בנושא הנבדק.
כיצד ניישם את השינוי?
קיימת חשיבות רבה להגדרת תהליך עבודה ותהליך ניהול השינוי במטרה כדי ליישם באופן מיטבי מתודולוגיה זו. התהליך יכלול ביצוע מיפוי והבחנה בין מערכות הליבה/התשתית שיבוקרו על ידי מבקרי מערכות מידע לבין מערכות התומכות בפעילות עסקית נישתית/ממוקדת ("מערכות קצה") שהן ברמת מורכבות טכנולוגית נמוכה יותר, וכן שיוך "מערכות הקצה" לישויות הביקורת בתוכנית העבודה הרב-שנתית.
על מנת שהשינוי יצליח, הנהלת הארגון והביקורת צריכות להיות מחויבות לתהליך, לאור הצורך בהשקעת משאבים בהטמעתו. מומלץ להגדיר גורם ייעודי ביחידה שיהיה אחראי להטמעת התהליך וביצוע מעקב, בקרה ומתן סיוע מקצועי, וכן עוגנים מקצועיים בצוותי הביקורת שיסייעו בהטמעת המתודולוגיה. בנוסף, נדרש תהליך הדרכה שוטף לאור השינויים המתפתחים בעולם ה- IT ולאור השינוי במיומנויות המבקר ומקצועיותו.
לסיכום ,
עולם הביקורת משתנה לנגד עינינו לאור השינויים המהירים בעולם הטכנולוגי. שינויים אלו ושילובו של עולם הטכנולוגיה כמעט בכל הפעילויות העסקיות/התפעוליות של הארגונים, מחייבים ביצוע שינויים גם ביחידת הביקורת הפנימית ובחלוקת האחריות בין הביקורת הפנימית הקלאסית וביקורת מערכות המידע.
דגשים מרכזיים בבדיקת מערכות מידע התומכות בתהליך עסקי
| נושא הבדיקה | הנחיות | הערות |
| אבטחת מידע | – בדקו את סוג ההרשאה הקיימת לכל עובד/ספק (קריאה/עדכון). האם ההרשאות ניתנו בהתאם לעקרון "הצורך לדעת" ועקרון הפרדת תפקידים?
– האם אין הרשאות עודפות לגורמים שאינם עובדים עם המערכת כגון עובדים שנוידו/עזבו? – האם מיושם תהליך בקרה מובנה ותקופתי אחר ההרשאות במערכת? |
|
| בקרות
קלט |
– האם קיימות במערכת כל הבקרות הנדרשות בהתאם להגדרות העסקיות/תפעוליות/ רגולטוריות?
– האם בקרות הקלט מתבצעות מוקדם ככל האפשר, סמוך למועד יצירת הנתונים? – האם הוגדרו התראות מספקות למשתמשים על קלט לא חוקי? – בדקו את הנתונים שניתן להקיש בשדות השונים: האם בחירה מתוך רשימה סגורה או מלל חופשי? – בדקו את פורמט השדה, האם נקבעו גבולות ערכים שניתן להקיש לשדה? – בדקו אם קיימת תלות לוגית בין שדות שונים.
|
בדיקות אלו ניתן לעשות על ידי צפייה בפעילות המשתמש ובקשה כי יקליד נתונים שגויים במטרה לבחון את בקרות הקלט במערכת ואת הודעות השגיאה או ביצוע מבדקים אם קיימת סביבת ניסוי למערכת. |
| בקרות עיבוד | – סקירת דוחות פלט ובחינת שגויים ביחס לתהליך העיבוד.
– סקירת תקלות המערכת: האם קיימות תקלות הנוגעות לחישובי המערכת? האם תקלות שתועדו לגבי המערכת יכולים להצביע על שיבוש בחישובי המערכת? – בחינת תחשיבי העיבוד באמצעות חישוב בלתי תלוי של המבקר.
|
כאשר המערכת מבצעת חישובים ניתן לבחון את בקרות העיבוד באמצעות סימולציה של אופן ביצוע החישוב על ידי המערכת |
| בקרות
פלט |
– בחנו את שלמות ואפקטיביות הפלט הקיים מהמערכת.
– האם קיים במערכת מידע תפעולי וניהולי התומך בקבלת החלטות לרמות ההנהלה השונות? האם נעשה בו שימוש תקין ואפקטיבי לצורכי בקרה? – האם קיימים אמצעי זיהוי מספקים לדוחות/שאילתות? דוגמאות: שם דוח/שאילתה, מס', תאריך הפקה, מס' עמודים, סיכומי ביניים, תאריך נכונות. – בהתייחס לדוחות נייר המופקים אוטומטית מהמערכת – האם יש צורך בהפקתם אוטומטית באופן פיזי או שכדאי להפיקם בהתאם לדרישה/שאילתה? |
|
| התאמה לצורכי המשתמשים | – האם ממשק המערכת הוא ידידותי ונוח לשימוש? האם המידע הנדרש לשם ביצוע הפעילות העסקית נמצא במערכת וכולל דוחות בקרה ודוחות מעקב?
– האם המשתמשים השונים היו שותפים בתהליך הגדרת הדרישות? – האם המערכת עונה על צורכי המשתמשים? האם חסרים נתונים במערכת? האם הנתונים הקיימים במערכת נכונים? – האם מיושמים תהליכי עבודה ידניים מחוץ למערכת? אם כן, מדוע? – האם תדירות העדכון של הנתונים במערכת מתאימה לצורכי המשתמשים? – האם המשתמשים שבעי רצון מהמערכת? בחנו את היקף ואופי התלונות של משתמשים על המערכת, ראיינו מדגם של משתמשים או ערכו סקר שביעות רצון. |
– תשאול של משתמשי המערכת השונים.
– התרשמות ממסכי המערכת וקלות העבודה במערכת: ידידותיות מסכים ותהליכי עבודה. |
| זמינות ותפעול | – בדקו כי זמן הטיפול בתקלות נמדד למול חומרת התקלה.
– האם מבוצע תהליך של הפקת לקחים לאיתור גורם השורש? – האם מבוצע תהליך לאיתור תקלות חוזרות?
|
– סקירת דוחות של תקלות.
– תשאול משתמשים לגבי שביעות רצונם מזמינות המערכת והשלכת התקלות על הפעילות העסקית. |
| המשכיות עסקית | – האם הוגדרה רמת הקריטיות של המערכת? אם היא מוגדרת כקריטית, האם היא שולבה בתוכנית ההתאוששות מאסון (BCP/DRP ) של הארגון ובתוכנית התרגולים?
– האם הצוותים העסקיים מודעים לפעילות הנדרשת מהם בשעת חירום? |
