הנחיות ליישום תקני ביקורת בסביבה של מערכת מידע ממוחשבת

1 הנחיות ליישום תקני ביקורת בסביבה של מערכת מידע ממוחשבת מרצה: דורון רוזנבלום, סגן נשיא IIA הנהלה ISACA ישראל ישראל, חבר השפלה מרכז הדרכה ופיתוח בשלטון המקומי

2 הכרות בן 44. נשוי לבטי ואב לשני, רון, ומיה גר בשוהם MBA קריית אונו BA חשבונאות המכללה למינהל הסמכות מקצועיות: QAR,CRMA,CIA,CRISC,CISA שותף במשרד עזרא יהודה-רוזנבלום-יעוץ, בקרה וניהול סיכונים תחומי הפעילות: מתן שירותי ביקורת פנימית למבקרים פנימיים ראשיים מבקר פנימי של חברות ציבוריות, מלכ"רים ועוד.

3 מטרת ההרצאה הכרות הכרות תקני מסגרת עולם עם עם תקנים ביקורת-לשכת עבודה COBIT תקני תקני השלכות ביקורת מערכות המידע בעולם מערכות המידע: רואי חשבון ביקורת מערכות מידע ISACA ביקורת הנוגעים לנושא למערכות מידע- IIA ביקורת מערכות מידע מחוקי מדינת ישראל

4 ביקורת טכנולוגיות המידע - הקדמה ביקורת מערכות מידע הגדרה: "תהליך איסוף והערכה של ראיות במטרה לקבוע האם המערכת שומרת על נכסיה, שומרת על שלמות המידע, היא אפקטיבית ויעילה וכן מצייתת לתקנות והוראות חוק" ביקורת טכנולוגיות מידע אינה דיסציפלינה של רו"ח בלבד אלא גם מתפקידה של הנהלת החברה. רו"ח נדרש לבצע ביקורת מערכות מידע מכוח תקני ביקורת שונים של לשכת רואי החשבון. רו"ח ישים דגש על הנתונים במערכות המידע שמשפיעים על הדוחות הכספיים. בזווית של רו"ח, ניישם את טכניקות הביקורת שקשורות אך ורק לנתונים בדוחות הכספיים ולאו דווקא בדיקה האם מערכות המידע הן אפקטיביות ויעילות.

5 בביקורת מערכות מידע מתייחסים לשתי שיטות מרכזיות של ביקורת: ביקורת טכנולוגיית המידע בודקים כי הטכנולוגיה תקינה, שהאפליקציה )תכנה, יישום( תקינה, שהתשתית תקינה )מערכת ההפעלה( וכד'..1

6 שימוש בכלים ממוכנים לביצוע ביקורת )ממוכן = ממוחשב( כאשר הביקורת הרגילה עושה ביקורת לנושא המלאי, על מנת לתת חוות דעת כי המלאי מוצג באופן נאות, אחת הדרכים הטובות לעשות את הביקורת זה להוריד את הקבצים שקשורים למערכת המכירות; למשל קובץ חשבוניות, לתכנת ביקורת ממוחשבת )כלי ממוכן( ולבדוק תקינות; שאין פערי רציפות )נעלמו חשבוניות במערכת(..2 אנו משתמשים בכלים ממוחשבים על מנת לעשות בדיקה מלאה, ואפקטיבית יותר. יעילה

7 את הביקורת עושים בשני אזורים עיקריים: ניהול המערכת - בודקים כי ניהול המערכת תקין. ניהול המערכת פעולות שעושים בשביל לנהל את מערכת המידע; פיתוח אפליקציות, תפעול המערכת, אבטחת מידע מעגלים אזור שקרוב יותר לתהליכים העסקיים; על מנת לאמת כי המכירות, המלאי וכו' מוצגים באופן נכון, יש לעבור על המעגלים העסקיים הממוחשבים )מעגל הרכש והתשלומים, מעגל ההכנסות והתקבולים( ולבדוק, כי הם פועלים באופן תקין. הביטוי המיחשובי של המעגלים האלה הוא - אפליקציות..1.2 כדי להבטיח שהמעגל העסקי פועל באופן תקין יש להיכנס לאפליקציה ולבדוק כי היא פועלת באופן תקין.

8 רגולציות נוספות גופים מוסדיים, בנקים

תקני ביקורת לשכת רואי חשבון ג"ד 66 הג"ד הראשון המנחה בתחום הינו ג"ד 66 משנת 1997 9 )בוטל ב 1.1999 ( סעיף 1 מיומנות מקצועית : על מבקר החשבונות להיות בעל הבנה מספקת בממ"מ באופן שיוכל לתכנן, להנחות, לפקח ולסקור את העבודה המתבצעת.

10 המשך על המבקר להיות בעל כישורים על מנת: להבין בצורה מספקת את המערכת החשבונאית ומערכת הבקרה הפנימית המושפעות ע"י סביבת ממ"מ. להעריך את השפעת סביבת הממ"מ על הערכת הסיכונים. לתכנן ולבצע בדיקות נאותות של מערכת הבקרה ובדיקות מבססות..1.2.3

11 תכנון עבודת הביקורת בתכנון עבודת הביקורת, על המבקר להבין את חשיבות פעילויות הממ"מ למבוקר, מורכבותן וזמינות הנתונים לשימוש הביקורת.

12 הערכת סיכונים לסיכונים ולאמצעי הבקרה בממ"מ יש יכולת השפעה על הערכת הסיכונים שהמבקר מבצע ועל האופי, העיתוי וההיקף של נהלי הביקורת.

13 ראיות ביקורת על המבקר לנהל ולשמור ראיות נאותות על גבי כל מצע )מדיה( שיכללו פרטים על התכנון, הבצוע והעבודה שנעשתה

14 ג"ד 93 הבנה של הגוף המבוקר וסביבתו, והערכת הסיכונים המתייחסים להצגה מוטעית מהותית ג"ד 93 שנחקק בשנת 2006 ברקע השינויים הטכנולוגיים וגם מאי התאמת ג"ד 66 למהפך בתחום הטכנולוגי בתחום חברות ההייטק והסחר האלקטרוני. ג"ד זה מבוסס על תקן ISA מספר 315 של (IFAC הפדרציה הבינלאומית של רואי החשבון )

15 - המשך ג"ד 93.מטרת ג"ד זה לקבוע כללים והנחיות למבקר שיאפשרו לו להשיג הבנה של הגוף המבוקר וסביבתו לרבות בקרה פנימית ולהעריך את הסיכונים להצגה מוטעית מהותית בדוחות המבוקרים שלו כגון:

16 ג"ד 95 הנחיות ליישום תקני ביקורת בסביבה של סחר אלקטרוני E-commerce ג"ד זה מבוסס על ג"ד מס 1013 של איפ"ק -פדרצית רואי חשבון. ג"ד זה מנחה את הרו"ח המבקר בישום תקני ביקורת כאשר המבוקר עוסק בפעילות מסחרית המתבצעת באמצעות מחשבים כגון בסחר אלקטרוני. ג"ד זה בא להנחות ולתת דגש על צורך במיומנות המבקר בכל נושא הסחר האלקטרוני והתוכנות השונות. זיהוי סיכונים, סיכוני אבטחה, כשלים או נפילות מערכת. וירוסים, אי עמידה בדרישות מיסוי,

17 ג"ד 92 אחריות המבקר לשקול אפשרות קיומה של תרמית במסגרת ביקורת דוחות כספיים מטרת גילוי דעת זה היא לקבוע כללים והנחיות לגבי אחריותו של המבקר לשקול אפשרות קיומה של תרמית במסגרת ביקורת של דוחות כספיים ולדון בהרחבה בשאלה כיצד ליישם את ההוראות וההנחיות בגילויי דעת אחרים בביקורת בהקשר לסיכונים המתייחסים להצגה מוטעית מהותית שמקורה בתרמית. הכוונה היא לשלב את ההוראות וההנחיות בגילוי דעת זה לתהליך ביקורת כולל. ג"ד זה מבחין בין תרמית לבין טעות. וסוגי התרמיות הרלבנטיים לגבי המבקר.

18 תקנים של ארגון ISACA http://www.isaca.org/knowledge-center/itaf-is-assurance-audit-/is- Audit-and-Assurance/Pages/Standards-for-IS-Audit-and-Assurance- Hebrew.aspx האופי הייחודי של הביקורת וההבטחה של מערכות מידע )IS( והכישורים הנדרשים לביצוע פעילות שכזו דורשים יצירת תקנים החלים באופן ספציפי על הביקורת וההבטחה של מערכות המידע. הפיתוח וההפצה של התקנים לביקורת והבטחה של מערכות מידע מהווים אבן פינה של התרומה המקצועית של ISACA לקהילת הביקורת. תקנים לביקורת והבטחה של מערכות מידע מגדירים דרישות חובה לביצוע ביקורות ולהכנת דוחות בתחום מערכות המידע והם מיידעים: אנשי מקצוע בתחום הביקורת וההבטחה של מערכות מידע לגבי הרמה המינימלית של הביצועים המקובלים הדרושים למילוי תחומי האחריות המקצועיים המוגדרים בקוד האתיקה המקצועית של.ISACA מנהלים ובעלי עניין אחרים לגבי הציפיות המקובלות בתחום, ביחס לעבודתם של אנשי המקצוע. בעלי תעודת ( (CISA Certified Information Systems Auditor על הדרישות מהם.

19 מבנה התקנים התקנים, מחולקים לשלוש קטגוריות: תקנים כלליים )סדרה 1000( - אלה הם עקרונות מנחים שלפיהם מתנהל מקצוע הביקורת וההבטחה של מערכות מידע. הם חלים על הביצוע של כל המשימות, ומתייחסים לאתיקה מקצועית, לאי-תלות, לאובייקטיביות ולהקפדה ההולמת את אנשי המקצוע בתחום הביקורת וההבטחה של מערכות מידע, וכן לידע, למיומנות ולכישורים שלהם. ההצהרות על הציות לתקנים מודגשות והן בגדר חובה. תקני ביצוע )סדרה 1200( - מתייחסים לביצוע המשימות, כגון: תכנון ופיקוח, תיחום, סיכון ומהותיות, גיוס משאבים, פיקוח וניהול משימות, ראיות הביקורת וההבטחה והפעלת שיקול דעת מקצועי והקפדה הולמת. תקני דיווח )סדרה 1400( - מתייחסים לסוגי הדוחות, אמצעי העברת המידע והמידע המועבר. קווים מנחים, התומכים בתקנים ומחולקים גם הם לשלוש קטגוריות: קווים מנחים כלליים )סדרה 2000( קווים מנחים לביצוע )סדרה 2200( קווים מנחים לדיווח )סדרה 2400(.

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38 מסגרת עסקית לממשל וניהול של טכנולוגיית מידע ארגונית מסגרת העבודה COBITמאגדת 5 את התפיסות והכלים העדכניים ביותר בעולם בניהול וממשל טכנולוגית מידע ומספקת עקרונות, נוהגים, כלים אנליטיים ומודלים מקובלים בעולם שנועדו לסייע לארגונים למקסם את הערך המתקבל מטכנולוגית המידע בארגונים. 5 מסייע COBIT לארגונים בכל סדר גודל להשיג את היתרונות הבאים: שמירה על איכות גבוהה של מידע התומך בקבלת החלטות עסקיות. השגת היעדים העסקיים ע י שימוש אפקטיבי וחדשני בטכנולוגית המידע. השגת מצוינות תפעולית דרך מימוש יעיל ואמין של טכנולוגיה. ניהול אפקטיבי של סיכוני טכנולוגית מידע. אופטימיזציה של עלויות טכנולוגית המידע. שמירה על ציות להוראות החוק, רגולציה, הסכמים ונהלים.

39

40 חוק חתימה אלקטרונית

41 חוק הגנת הפרטיות מהו האיסור ס' 1 איסור הפגיעה בפרטיות לא יפגע אדם בפרטיות של זולתו ללא הסכמתו.

42 מבנה החוק פרק א' פרטיות קלאסית פרק ב' הגנה על מידע אישי במאגרים )+שרותי דיוור ישיר( פרק ג' הגנות פרק ד' העברת מידע בין גופים ציבוריים פרק ה' - שונות

43 פגיעה בפרטיות מהי ס' 2 פגיעה בפרטיות היא אחת מאלה )תמצית לשון החוק(: התחקות אחרי אדם )בילוש(; (1) האזנה שלא כדין; (2) צילום אדם ברשות היחיד; (3) פרסום תצלום אדם ברשות הרבים אם הפרסום עלול להשפיל או לבזות; (4) פרסום תצלום נפגע שניתן לזהותו )ס"ק 4 א(; (5) חרם דרבנו גרשום )ס"ק 5(; (6) שימוש בשם אדם, כינויו, תמונתו או קולו על מנת להשיג רווח )ס"ק 6(; (7) הפרה של חובת סודיות שנקבעה בדין )ס"ק 7( או בהסכם )ס"ק 8(; (8) "שימוש בידיעה על ענייניו הפרטיים של אדם או מסירתה לאחר שלא למטרה לשמה נמסר" (9) (10) "פרסומו של עניין הנוגע לצנעת חייו האישיים של אדם..." )ס"ק 11(

44 הגדרתחוק המחשבים ל"מחשב חוק המחשבים מגדיר מחשב: מכשיר הפועל באמצעות תוכנה לעיבוד נתונים. לרבות ציוד היקפי. למעט מחשב כיס המסוגל לבצע פעולות מתמטיות. חומר מחשב - מידע או תוכנה האגורים במחשב.

45 "חוק המחשבים" חוק המחשבים מגדיר את סוגי עבירות המחשב: שיבוש פעולות מחשב. מידע כוזב. חדירה למחשב. וירוס מחשב. עוולה נזיקית )שיבוש, מחיקה או גניבת חומר ממחשב(.

46 סוגי עבירות מחשב עבירות מחשב: וירוסים, שימוש לרעה במאגרי מידע, תקיפות אתרים, הפצת דואר זבל ועוד. עבירות קלאסיות בסביבת מחשב: פדופיליה, זיוף מסמכים, שוחד, סחר בסמים, הטרדות, הלבנת הון, שימוש לרעה בכרטיסי אשראי, הוצאת לשון הרע,פגיעה בפרטיות, עבירות קניין רוחני, הימורים ועוד.

הענישה הקבועה בחוק חוק המחשבים - 47 ענישה פריצה למחשב של אחר שלא כדין )ללא ידיעה והסכמה של בעל המחשב) - עד 3 שנות מאסר. כדי להדגיש את חומרת העבירה, קבע בית המשפט )באחד מפסקי הדין בתחום זה(, כי "פריצה למחשב היא כמו פריצה לבית, ואף גרוע מכך".!

הענישה הקבועה בחוק חוק המחשבים - 48 ענישה פריצה למחשב לצורך ביצוע עבירה אחרת )שאינה! מוזכרת בחוק המחשבים(, כגון: הוצאת תמונות וסחיטת בעליהן, גניבת כרטיסי אשראי, גניבת שמות לקוחות מסחריים וכד' - עד 5 שנות מאסר. הפצת וירוס היא עבירה חמורה ביותר - עד 5 שנות מאסר. הימורים ברשת האינטרנט הם עבירה פלילית שדינה מאסר!

49 תפקיד המבקר הפנימי הראשי לזהות: סביבת בקרת ה- IT של הארגון. מודעות לדרישות רגולטוריות ומשפטיות. היכרות עם התפקידים בארגון לשם שיוך נכון של בקרות IT פיתוח והטמעת תהליך הערכת סיכוני.IT זיהוי כל תהליכי הניטור הפנימיים והחיצוניים. קביעת מדדים מתאימים לזיהוי בקרות אפקטיביות קביעת נהלי תקשורת עם ההנהלה. תקשור סיכונים ובקרות IT להנהלה ולדירקטוריון באופן מובן

תקני IIA - תקנים רלוונטיים A3.1210 מבקרים פנימיים חייבים להיות בעלי ידע מספק אודות עיקרי הסיכונים בתחום טכנולוגית המידע, הבקרות וטכניקות ביקורת מבוססות- טכנולוגיה, הזמינות לביצוע עבודתם. עם זאת, אין לצפות מכל המבקרים הפנימיים, שתהיה להם המומחיות של מבקר פנימי שאחריותו העיקרית היא ביקורת טכנולוגית מידע. 1220.A2 כדי לפעול בזהירות מקצועית ראויה, מבקרים פנימיים חייבים לשקול שימוש בביקורת מבוססת-טכנלוגיה ובטכניקות אחרות לניתוח נתונים. 2110.A2 הביקורת הפנימית חייבת להעריך האם פיקוח וממשל טכנולוגית המידע של הארגון תומך באסטרטגיות וביעדי הארגון. 2120.A1 הביקורת הפנימית חייבת להעריך חשיפות לסיכונים הקשורים לממשל תאגידי, פעילויות ומערכות מידע של הארגון, בנוגע ל: אמינות ושלימות המידע הכספי והתפעולי; אפקטיביות ויעילות הפעולות והתוכניות ; שמירה על נכסים; עמידה בדרישות חוקים, תקנות, מדיניות, נהלים והסכמים.

51 ניהול טכנולוגיות מידע בגופים מוסדיים בחודש אוגוסט 2010 פרסם הממונה על שוק ההון, הביטוח והחיסכון במשרד האוצר חוזר על ניהול טכנולוגיות מידע בגופים מוסדיים. החוזר מפרט את עקרונות העבודה על פיהם יש לנהל את מערך טכנולוגיות המידע במטרה להבטיח את ניהולו התקין ואת תמיכתו בפעילות העסקית. החוזר מסדיר את עקרונות הממשל התאגידי בתחום, תוך הגדרת מסגרת סמכות ואחריות של הנהלת הגוף המוסדי והדירקטוריון בקביעת מדיניות, בביצוע בקרה ופיקוח שוטפים ובניהולו התקין של תחום טכנולוגיות המידע. כמו כן, קובע החוזר עקרונות פעולה בתחום הציות, הבקרה הפיקוח וניהול סיכונים ומגדיר עקרונות עבודה מקובלים בתחום טכנולוגיות המידע בגופים מוסדיים, בחוזר קיימת המלצה לאמץ את מסגרת COBIT כמתודולוגיה לניהול תקין של טכנולוגיות המידע בארגון.

52 ניהול טכנולוגיות מידע בגופים מוסדיים הנושאים העיקריים בהם עוסק החוזר הינם: 1. תפקיד ההנהלה והדירקטוריון - תחום טכנולוגיות המידע הינו מרכיב בלתי נפרד אשר חיוני לקידום האסטרטגיה והמטרות הארגוניות. מעורבות הדרגים הבכירים בארגון תבטיח הלימה בין היעדים העסקיים לפעילות טכנולוגיות המידע. החוזר מגדיר את אחריותם של ההנהלה והדירקטוריון לנושא טכנולוגיות המידע ודורש מעורבות גבוהה יותר של נושאי המשרה הנ"ל בתחום טכנולוגיות המידע. 2. פיקוח ובקרה - קיומם של מנגנוני פיקוח ובקרה נאותים בתחום טכנולוגיות המידע. החוזר מגדיר כי על הגוף המוסדי לוודא כי המידע המנוהל על ידו עומד בקריטריונים של אמינות, שלמות, זמינות, יעילות, סודיות ואפקטיביות. על מנת להבטיח קיומם של אלה על הנהלת הגוף המוסדי לקיים מערכת בקרה פנימית והולמת על המידע ועל הנתונים אשר מהווים את הבסיס למידע הארגוני והעסקי. 3. רכש וניהול פרוייקטים החוזר מגדיר כי מדיניות מערכות המידע אשר תאושר על ידי הדירקטוריון צריכה לכלול התייחסות לנושא רכש וניהול פרוייקטים בתחום מערכות המידע. בנוסף, על פי החוזר על הארגון להגדיר נהלים בנושא רכש, ביצוע הערכת סיכונים בעת ביצוע רכש מהותי או כניסה לפרוייקט מהותי ולהגדיר מסגרת עבודה לניהול פרוייקטים בתחום טכנולוגיות המידע.

53 ניהול טכנולוגיות מידע בגופים מוסדיים הנושאים העיקריים בהם עוסק החוזר )המשך(: 4. ניהול שינויים החוזר מייחס חשיבות רבה לנושא ניהול השינויים וביצועו באופן תקין. החוזר מגדיר כי על הגוף המוסדי להבטיח את ניהולם התקין של שינויים במערכות ליבה על ידי גיבוש תהליך פורמאלי לניהול שינויים שיכלול הגדרת סוגי השינויים, הגורמים אשר יאשרו כל שלב והבקרות בתהליך. בנוסף מתייחס לנושא ניהול שינויי חירום ולביצועו באופן תקין. 5. מיקור חוץ מיקור חוץ בתחום טכנולוגיות מידע חושף את הגוף המוסדי לסיכונים נוספים מעבר לסיכונים אשר גלומים בפעילות העסקית הרגילה. החוזר מגדיר כי על הגוף המוסדי לזהות את הסיכונים הללו, לקבוע מדיניות בנושא מיקור החוץ ולפקח על הפעילות אשר מבוצעת באמצעות מיקור חוץ.

54 שאלות? IIA Israel - The Institute of Internal Auditors Doron Rozenblum, CIA, CISA, CRISC, MBA Vice President doron@eyr.co.il דורון רוזנבלום, שותף CIA, CISA, CRISC, MBA doron@eyr.co.il