עברית English
 

שירותי ביקורת IT

כללי

 

טכנולוגית המידע (IT) הינה אחד המשאבים הקריטיים בכל ארגון. עתידו של הארגון ויעילות פעילותו תלויים למעשה באופן ניהול משאב זה. למרות חשיבותה של פעילות ה-IT לארגון, עומדת לעיתים הנהלת הארגון ללא יכולת אמיתית לכוון, לבדוק ולבקר משאב זה. תפישתנו היא כי ביקורת מערכות מידע הינה כלי חשוב בידי מבקרים פנימיים ומנהלים אחרים לצורך קבלת תמונת מצב אובייקטיבית ומקצועית לגבי נאותות ניהול טכנולוגית המידע של הארגון, וזאת תוך התמקדות בביצוע בדיקות בתחומים בהם גלום סיכון רב יותר לארגון.

 

במשרדנו נצבר ניסיון רב בתחום ביקורת מערכות מידע. ניסיוננו משלב עבודה מעשית בתחום כאנשי IT לשעבר, עם עבודה בביקורת פנימית בכלל ובביקורת מערכות מידע בפרט. שילוב זה מאפשר לנו להכיר את הצרכים בתחום מערכות מידע הן מצד אנשי המחשוב והן מצד ההנהלה והביקורת. בביצוע הביקורות אנו עושים שימוש בטכניקות מתקדמות, ובכלי ביקורת ממוחשבים.

לדעתנו, שילוב הניסיון בביקורת פנימית ובביקורת מערכות מידע כמו גם בניתוח מערכות מידע, נותן לביקורת שאנו מבצעים ערך מוסף, שהינו לתועלת הארגון.

 

תהליך ביקורת IT

תפישתנו את ביקורת ה-IT היא כתהליך שאמור לבדוק ולשפר את תהליכי העבודה ומנגנוני הבקרה במערכת הנבדקת. במסגרת הביקורת אנו בודקים, בין היתר, האם תהליך ממוחשב מסוים כולל בקרות (קלט, עיבוד ופלט) נאותות? האם קיימת סגירה של מעגלי בקרה? האם הבקרות הממוחשבות פועלות באופן אפקטיבי? האם מיושמות הוראות החוק והנחיות ההנהלה? ואת טיב הממשקים עם מערכות אחרות וטיב אבטחת המידע. תהליך הביקורת כולל את השלבים העיקריים המפורטים להלן:

o          שיחות פתיחה עם מנהלים – השיחות נערכות Top-Down ומטרתן הינה היכרות הנושא המבוקר והגורמים המעורבים בו, הצגת תהליך הביקורת למבוקרים, ומיקוד מטרות הביקורת.

o          תכנון הביקורת – עריכת סקר סיכונים לביקורת הרלבנטית וזיהוי נקודות הסיכון העיקריות בהן תתמקד הביקורת. על בסיס סקר זה נערכת תוכנית ביקורת מפורטת, הכוללת סדרי עדיפויות.  

o          עבודת שטח – ביצוע הביקורת בהתאם לתכנית הביקורת. עבודת השטח כוללת, בחלק מהמקרים, שימוש בכלי ביקורת ממוחשבים, המאפשרים בדיקה יעילה של כמויות גדולות של נתונים.  

o          שיחת סגירה – לקראת סיום הביקורת נערכת פגישה עם הגורם המבוקר ובמהלכה מציגים המבקרים את ממצאי הביקורת, כפי שגובשו עד כה. מטרות הפגישה הינן לקבל את תגובת הגורם המבוקר לממצאים וגיבוש משותף של המלצות לתיקון ליקויים שנמצאו. שיחה זו מביאה לדעתנו להזדהות טובה יותר של המבוקר עם הביקורת.

o          הכנת טיוטת דוח ביקורת – דוח הביקורת נערך באופן מובנה, בהתאם לתהליך הנבדק. הדוח כולל תמצית מנהלים, וריכוז ממצאים והמלצות לנוחות הקורא. הדוח מועבר לעיון הגורם המבוקר לקבלת הערותיו.

o          הצגה להנהלה והכנת דוח סופי - טיוטת הדוח מועברת להנהלה. המבקר מציג את הביקורת שנערכה, ונערך דיון בממצאים ובהמלצות. הערות ההנהלה משולבות בדוח, ומופק דוח סופי.

o          הצגת הדוח לועדת הביקורת

 

סוגי ביקורת IT

·        ביצוע ביקורות בתחום מערכות מידע

למשרדנו ניסיון רב בביקורת במגוון מערכות מידע, בכללן מערכות מורכבות כ-ERP ובילינג, ומערכות אחרות לניהול פיננסי, הנה"ח, ספקים, מערכות לוגיסטיות כגון: רכש, מלאי מכירות, מערכות לניהול שכר וכ"א, מערכות לניהול רכוש, מערכות בתחום הבנקאות וניהול תיקים ועוד. בכל מערכת ניתן לבדוק, בין השאר, את הנושאים המפורטים להלן:

o          תמיכת המערכת בתהליכי העבודה והתאמתה לצרכי המשתמש

o          טיב הבקרות המשולבות במערכת

o          טיב הנתונים ואיתור נתונים חריגים ושגויים

o          אבטחת המידע במערכת

o          טיב הממשקים והקשרים למערכות מידע אחרות

o          תשתיות המערכת (פיתוחים והתאמות, גרסאות, תקלות ותמיכה, תיעוד)

·        ביקורת בתחום תפעול המחשוב

בדיקת  תחומי פעילות ייעודיים, המנוהלים על ידי יחידת המחשב, או גורמים אחרים בארגון:

o          פיתוח ותחזוקת מערכות מידע

o          פעילות Help-Desk

o          רכש מערכות וציוד

o          ניהול הגיבויים

o          ניהול יחידת המחשב

·        סקר סיכונים בתחום המחשוב

עריכת סקר להערכת הסיכונים התפעוליים בתחום המחשוב. הסקר משמש את הנהלת הארגון ואת הביקורת פנימית וכולל מיפוי של כל נושאי המחשוב בארגון. כל נושא מהווה פרק בדוח, אשר כולל רקע כללי, ממצאים שעלו במהלך הסקר, הערכת הסיכון הפוטנציאלי ונושאים לבדיקה בתחום.


·        אבטחת מידע

את אבטחת המידע ניתן לחלק לשלושה תחומי פעילות עיקריים: אבטחת מידע פיזית, אבטחת מידע בתחום התשתיות (מע' הפעלה, רשתות וכו') ואבטחת מידע בתחום מערכות מידע. נושאי הבדיקה העיקריים מפורטים להלן:

o          מדיניות הארגון ואופן אכיפתה

o          טיב ניהול חשבונות משתמשים

o          טיב מידור משתמשי הארגון וגורמי חוץ

o          התאמת מאפייני הסיסמאות לתקן הישראלי

o          הגנה בתחום התקשורת

o          מעקב אחרי אירועי אבטחת מידע

o          היבטי חוק הגנת הפרטיות

o          אבטחת מתקני המחשוב

o          טיב ניהול גיבויים

·       הערכות לשעת חירום BCP & DRP

o          תוכנית הערכות לשעת חירום, עדכניותה והתאמתה לצרכים

o          היבטים סטטוטוריים והציות להם

o          טיב הגיבויים הנערכים והבקרה על ביצועם

o          עריכת בדיקות ותרגילים לבחינת ישימות תוכנית החירום ונאותות הגיבויים

·        שונות

o          השתתפות בועדות היגוי בתחום מיחשוב

o          ביקורת בתחום הטמעת בדיקות קבלה למערכות מידע

o          בדיקות אפיון צרכים ממערכות מידע

o          הדרכות בתחום ביקורת מערכות מידע 

 
 

ביקורת, ביקורת-פנימית, ציות-ארגוני-אכיפה, SOX, ISOX, ביקורת-IT, ביקורת-תמלוגים, ממשל-תאגידי, ביקורת-מערכות-מידע, ייעוץ, ניהול-סיכונים, סוקס, גושן,404, איל-ויצמן, רואי-חשבון