|
מאת: זאב אילברט, רואה חשבון
מבקר פנימי ומבקר מערכות מידע
CIA, CISA, CISO
מאמר זה הינו חלק מסדרת מאמרים והינו המשכו של מאמר בנושא ה-SOX הישראלי ("הועדה לבחינת קוד ממשל תאגידי בישראל, להלן: "ועדת גושן"), שפורסם לאחרונה במסגרת הפרסומים המקצועיים באתר.
רקע
תהליך ביצוע פרויקט ה- SOX הישראלי כולל מספר שלבים לפי הסדר הבא:
1. תכנון, מינוי מנהל לפרויקט, מינוי ועדת היגוי לפרויקט, תקצוב הפרויקט.
2. "SCOPING" – הערכת סיכונים ומיפוי תהליכים.
3. "DOCUMENTATION" - תיעוד התהליכים והבקרות הקיימים.
4. "TESTING" - בחינת קיום פער (רצוי לעומת מצוי).
5. תיקון התהליכים והבקרות על מנת להגיע למצב הרצוי.
6. הערכת אפקטיביות הבקרות.
7. תיקון הליקויים.
8. "RETESTING" - הערכה נוספת.
בסיום התהליך מתבצעת הערכה ודיווח של רואה החשבון המבקר של החברה.
לו"ז
להלן פירוט המועדים בהם יש לסיים השלבים השונים:
31.12.2009 – "SCOPING".
30.6.2010 – "TESTING".
31.12.2010 – סיום התהליך.
אופן הביצוע
1. הגורמים המבצעים - נהוג שהתהליך מתבצע על ידי: החברה, גוף חיצוני (בדרך כלל משרד רואה חשבון), המבקר הפנימי (או שילוב של הגורמים הנ"ל).
2. תיעוד התהליכים, הבקרות, הבדיקות והתוצאות - יתבצע לרוב באמצעות תרשימי זרימה וגיליונות אקסל/וורד מובנים המפרטים – הסיכון (W.C.G.W – WHAT CAN GO WRONG), הבקרה בפועל, הבקרה המומלצת, פער קיים, חשיבות וכו'.
ITGC (מערכות מידע - בקרות כלליות)
הבדיקה תתמקד במערכות המידע שיש להן נגיעה לדיווח הכספי, כדוגמת: מערכת הנהלת החשבונות (מערכת ייעודית או כחלק ממערכת ERP), הרשת הפנימית (שרת הקבצים) באמצעותה מאוחסנים מסמכים אקסל/וורד המשמשים לעריכת הדוחות הכספיים וכו'.
הבדיקה תכלול מספר אלמנטים כגון:
- ניהול הרשאות גישה ומידור משתמשים
1.1 תהליך הגדרת הרשאות (קיום גורם מאשר, תיעוד התהליך).
1.2 תהליך חסימת הרשאות עובד שעוזב/ עבר תפקיד (זרימת המידע בנושא, תיעוד התהליך, קיום בקרה לאיתור עובדים שעזבו/החליפו תפקיד ועדיין בעלי הרשאות ללא צורך).
1.3 קיום מידור נאות בין משתמשים על בסיס הצורך לדעת ולהשתמש ("NEED TO KNOW & ACT"). יבדקו לדוגמה:
א. קיום הרשאות ללא צורך לביצוע פקודות יומן במערכת הנהלת החשבונות.
ב. קיום הרשאות ללא צורך לעדכון קובצי האקסל המשמשים לעריכת הדוחות הכספיים.
- סיסמאות
2.1 שימוש בסיסמאות במערכת הנהלת החשבונות.
2.2 שימוש בסיסמאות לאימות משתמשים הניגשים למידע שעל גבי השרת בו מאוחסנים קובצי האקסל/וורד המשמשים לעריכת הדוחות הכספיים.
2.3 שימוש בסיסמאות להגנה על גיליונות (פתיחה/עדכון, "נעילת" תאים מחושבים).
2.4 מאפייני סיסמאות – הגדרת סיסמא למערכת, תוקף מקסימלי, מינימום תווים, מספר ימים/מחזורים לחזרה לסיסמא קודמת, נעילת משתמש השוגה מספר פעמים בהזנת סיסמא, סיבוכיות הסיסמא (ספרות, אותיות, סימנים) וכו'.
- ניטור (MONITOR)
3.1 קיום LOG לאיתור פעולות שבוצעו.
3.2 הגדרת ה- LOG - אילו פעולות ינטר, משך/נפח שמירת ה- LOG וכו'.
3.3 קיום גורם הסוקר את ה- LOG – תהליך הסקירה, תדירותה, תיעוד וכו'.
|
