הצעה לתיקון תקנות ניירות ערך (מאי 2009) והשפעתה על היערכות בנושא אבטחת מידע
 מאמר העוסק בתיקון תקנות ניירות ערך בנושא מערך הבקרה הפנימית - בקרות כלליות
על מערכות המידע

מאת: זאב אילברט רו"ח
CISO,CISA,CIA
 

תיקון תקנות ניירות ערך בנושא מערך הבקרה הפנימית –

בקרות כלליות על מערכות המידע (ITGC)

מאת: זאב אילברט, רואה חשבון

מבקר פנימי ומבקר מערכות מידע

CIA, CISA, CISO

רקע

חוק סרביינס אוקסלי

בשנת 2002 נחקק חוק סרביינס אוקסלי "SOX" (SOA-Sarbanes Oxley Act) בארה"ב. החוק נחקק לאחר מספר פרשיות שגרמו לקריסת תאגידים כדוגמת: אנרון, וורלדקום. סעיף 302 לחוק מחייב את המנכ"ל וסמנכ"ל הכספים של התאגיד להצהיר במסגרת דוח שנתי ורבעוני שבחנו את הדוחות הכספיים וכי לא נכלל בהם פרט מטעה וכי הדוחות משקפים את המצב הכספי של החברה. סעיף 404 לחוק מחייב הערכת אפקטיביות הבקרות והנהלים לגבי תפעול החברה ולגבי הגילוי הנדרש בדוחות.

דוח ועדת גושן

בחודש דצמבר 2006 הוגש דוח הועדה לבחינת ממשל תאגידיCorporate Governance" " בישראל (להלן – דוח ועדת גושן) ליו"ר רשות ניירות ערך. הדוח עסק במספר נושאים כגון: הרכב ועבודת הדירקטוריון, הרכב ועבודת ועדת הביקורת, אישור עסקאות עם בעלי שליטה, יצירת מנגנוני בקרה נוספים ועוד. במסגרת סעיף 4.1 לדוח, הדן בנושא "הצהרת מנהלים" (כחלק מהפרק העוסק ביצירת מנגנוני בקרה נוספים), המליצה הועדה בין היתר לאמץ באופן חלקי ותוך ביצוע התאמות את הוראות סעיפים 302 ו- 404 לחוק סרביינס אוקסלי. ההתאמות שצויינו בדוח ועדת גושן כללו התמקדות בבקרות על הדיווח של התאגיד (ולא בבקרות התפעול). בהתאם להמלצות ועדת גושן על תאגידים מדווחים לכלול הצהרת מנהלים שתחתם על ידי המנכ"ל ונושא המשרה הבכיר בתחום הכספים. הצהרה זו עוסקת במספר נושאים כגון: נאותות הדוחות הכספיים, גילוי לרואה החשבון המבקר של החברה, הדירקטוריון וועדת הביקורת בדבר קיומם של ליקויים מהותיים בבקרה הפנימית על הדיווח הכספי שעלולים להשפיע לרעה על יכולת החברה לרשום, לעבד, לסכם או לדווח על מידע כספי. כמו כן, כוללת ההצהרה התייחסות לקביעת נהלים ובקרות לצורך הגילוי בדוחות ובחינת נאותות האפקטיביות שלהם.

תמצית טיוטת הרשות לניירות ערך

לשם יישום המלצות ועדת גושן, פרסמה הרשות לניירות ערך בחודש מאי 2009, טיוטת תיקון תקנות ניירות ערך להערות הציבור. להלן תמצית הטיוטה והתייחסותה לנושא מערכות מידע:

התיקון המוצע עוסק במערך הבקרה הפנימית (התהליכים הפנימיים) על הדיווח הכספי ועל הגילוי בתאגיד, כך שיספק  מידה סבירה של ביטחון בדבר נאותות הדוחות ועמידתם בהוראות הדין.

לדעת הרשות, על מודל בחינת הבקרות ונהלי הבקרה לצורך הערכת האפקטיביות של הבקרה הפנימית על הדיווח הכספי ועל הגילוי, להיות תהליך מבוסס סיכונים ולכלול לפחות את 4 האלמנטים הבאים:

1. בקרות ברמת הארגון (ELC-Entity Level Controls)

בקרות כגון: בקרות הקשורות לסביבת הבקרה (נאותות חובת הפיקוח של הדירקטוריון או ועדת הביקורת על הדיווח הכספי והבקרה, אופי פעילות ההנהלה ותרומתה לקידום בקרה פנימית אפקטיבית, קיום ערכי יסוד של יושר והגינות בהנהלה הבכירה והעברתה לכלל הארגון), בקרות בקשר עם מוטת השליטה של ההנהלה, תהליכי הערכת סיכונים, הערכת ובקרת תוצאות הפעילות של התאגיד.

2. תהליך סגירת הדוחות הכספיים

המקטע האחרון של תהליך הדיווח הכספים שמתחיל בתהליך איסוף הנתונים למאזני הבוחן וביצוע בדיקות מבססות ומסתיים בדיון ואישור הדוחות הכספיים.

3. בקרות כלליות על מערכות המידע (ITGC)

"מערכות המידע מהוות חלק מהותי ובלתי נפרד בתהליך הדיווח של התאגיד. לאור זאת, לצורך ביצוע הערכה באיזו מידה" מידע שהתאגיד נדרש לגלות בדוחות שהוא מפרסם על פי הוראות הדין, נאסף, מעובד, מסוכם ומדווח במועד ובמתכונת הקבועים בדין" יש לבחון, ברמה הרוחבית את יכולת התאגיד לשמור, לאחסן ולאחזר מידע, לחסום גישה בהתאם לתפקיד בארגון וכד'. יובהר כי מערכות המידע שיבדקו במסגרת זו הן רק מערכות מידע שיש להן נגיעה לדיווח הכספי".

4. בחינת מספר מצומצם של תהליכים קריטיים לדיווח הכספי והגילוי

על התאגיד לאתר מספר מצומצם של תהליכים עסקיים קריטיים לדיווח הכספי והגילוי. לגבי תהליכים אלו יש לבדוק הנהלים והבקרות הרלוונטיים לדיווח הכספי.

יישום התקנה יתבצע ב- 3 שלבים בתאריכים הבאים: 31 בדצמבר 2009, 30 ביוני 2010, 31 בדצמבר 2010 (יישום מלא של התקנות). 

הדגשים לנושא אבטחת מידע

בהתייחס לנושא מערכות מידע בכלל ואבטחת מידע בפרט יש להדגיש כדלקמן:

א. במסגרת סעיף ITGC מצויין כי מערכות המידע שתיבדקנה תכלולנה רק את מערכות המידע להן נגיעה לדוחות הכספיים. מהאמור עולה כי מערכת הנהלת החשבונות תיבחן (לעיתים זו מערכת ייעודית ולעיתים זהו מודול המהווה חלק ממערכת ה- ERP של התאגיד), עם זאת תיתכנה מערכות נוספות בעלות נגיעה לדוח הכספי, לדוגמה: מערכת לניהול מלאי שעל בסיסה מוצג המלאי בדוחות הכספיים וכו'.

במסגרת סעיף ITGC מצויין כי יש לבצע הערכה באיזו מידה, המידע שהתאגיד נדרש לגלות "נאסף, מעובד, מסוכם ומדווח". במקרים רבים קובצי אקסל/וורד משמשים לסיכום/דיווח הצגת הדוחות הכספיים ולכן יש לבחון גם נושאי אבטחת מידע הקשורים לקבצים אלו.

ב. במסגרת סעיף ITGC מצויין כי " יש לבחון, ברמה הרוחבית את יכולת התאגיד לשמור, לאחסן ולאחזר מידע, לחסום גישה בהתאם לתפקיד בארגון וכד' ". כלומר, יש לוודא קיומם של גיבויים, יכולת להתאושש מגיבויים, אחסון גיבויים, קיום מערך הרשאות ומידורים מבוסס תפקידים (RBAC). רשימת הנושאים שיש לבחון אינה רשימה סגורה (סעיף ה-ITGC  מציין "וכד' ").

מנהלי אבטחת מידע ומנמ"רים, הקדימו הערכות ליישום התקנות.