תחקור נתונים בעולם הביקורת – תהליך מרובה סיכונים מבוא במהלך העשור האחרון התפתחה וממשיכה להתפתח המודעות לחשיבות שבשימוש טכניקות ביקורת באמצעות מחשב בתהליך הביקורת ,עליהם דובר בהרחבה במאמר "לחפור בהר המידע של הנתונים הממוחשבים" כמו גם במאמר "שפה חדשה" – השימוש בשפת ,PL\SQLשפורסמו בביטאון רואה חשבון וזאת במטרה להקטין את הסיכונים הקיימים בכל תהליך ביקורת העשויים להשפיע על סיכון הביקורת .AR סיכון הביקורת ARהינו הסיכון שרואה החשבון המבקר ייתן חוות דעת שגויה על הדוחות הכספיים למרות ביצוע מלא של תוכנית העבודה שלו. סיכון הביקורת ) )ARהינו תוצאת המכפלה של כימות הסיכונים הבאים: א .סיכון שבמהות ) :)IRהסיכון שהדוחות הכספיים ,יהיו חשופים להצגה מוטעית מהותית. ב .סיכון הבקרה ) :)CRהסיכון שהצגה מוטעית מהותית בדוחות הכספיים לא תמנע או לא תיחשף באמצעות המערכת החשבונאית והבקרה הפנימית ג .סיכון החשיפה ) :(DRהסיכון שהבדיקות המבססות שעורך רואה החשבון המבקר לא יחשפו הצגה מוטעית מהותית. מספר תקנים ישראליים ובינלאומיים הרלוונטיים לתהליך ביקורת מערכות מידע פורסמו במהלך השנים האחרונות. על תקני הביקורת 39ו ,39-המבהירים כי על הרואה חשבון המבקר לבחון את ההשפעה של סביבת טכנולוגיות המידע בה פועל הגוף המבוקר על תהליך הביקורת בכללותו ועל השוני בינם לבין גילוי דעת ,66דובר בהרחבה במאמר "לחשוב על המחשב" ובמאמר "סוף מעשה – במחשב תחילה" שפורסמו אף הם בביטאון רואה חשבון. תקנים אלה מתייחסים בין היתר לניהול הסיכונים של תהליך הביקורת על מערכות מידע בכללותו (כגון :חשיבות הצורך בבחינת העסקת מומחה טכנולוגי בצוות הביקורת ,חשיבות הצורך בהשגת הבנה של מערכות המידע כמו גם הבנה באשר לתגובות המבוקר לסיכונים הנובעים מטכנולוגיות המידע) ללא התמקדות בסיכונים האינהרנטיים הקיימים בתהליכי ביקורת תחקור נתונים אד הוק. במאמר זה נתמקד בסיכונים הקיימים בתוך תהליכי ביקורת תחקור הנתונים עצמם -תהליכים שמטרתם להקטין את סיכון הביקורת ומרכיביו ונספק צוהר לתמהיל הידע הניסיון והיכולות הנדרשים ממבקר תחקור נתונים כמו גם חשיבות הבקרה האיכותית על עבודתו. אנו נעשה זאת לאחר שנספק הגדרה מסודרת לתהליך ונציין בין היתר את החידושים שפורסמו ב GTAG16-של לשכת ה IIA-העולמית ,המספק צוהר מעודכן הן לטכנולוגיות בעולם תחקור הנתונים והן לחשיבות השימוש בתהליכי תחקור נתונים בעולם הביקורת של היום. תחקור נתונים -הגדרה: חקר וניתוח נתונים מסביבות שונות המטפל בסיכונים ובחשיפות שזוהו בתהליך המבוקר, באמצעים אוטומטיים ככל שניתן תוך הפיכת מידע לידע רלוונטי מהימן ובר הצגה המאפשר לארגון לחסוך במשאבים ולוודא עמידה בהוראות הארגון ובהוראות חוק. הצורך בתחקור נתונים בעולם המודרני: בעולם המודרני מאחורי כל תהליך עסקי עומד מאגר נתונים אחד או יותר כאשר בכל תהליך עסקי שכזה צריך להתמודד עם הגידול בחשיפה לכשל בתהליך הביקורת הנובע מ: ( )1מורכבות התהליכים העסקיים ( )2הגידול המתמיד בנפחי המידע ( )9מורכבות מערכות המידע המשתתפות בתהליך ( )5גידול בכמות המוצרים ,רגולציה והיבטי אבטחת מידע ( )6הצורך בזמן תגובה מהיר למהלכי מתחרים עסקיים בנוסף ,מערכות המידע הינן קריטיות היום להשגת יתרון תחרותי ולהשגת יעדים עסקיים כמו גם כמות הנהלים והרגולציה הנדרשת כבקרות קלט ופלט על מנת לוודא ציות. בעולם ה – ITכל בקרה מיחשובית דורשת תהליך מסודר של אפיון ועולה משאבים רבים ולכן אנו מוצאים כי קיים פער גדול בין כמות הבקרות הנדרשות באפיון לכמות המאופיינת ומוטמעת בפועל. ככל שעובר הזמן הופכים התהליכים העסקיים והמחשוביים למורכבים יותר ומכאן הצורך במבקר בעל יכולות וניסיון גבוהים יותר בהיבטים טכנולוגיים לצורך ביצוע עבודתו בהצלחה. בדיוק כפי שהתקדמה הטכנולוגיה כך התקדמה היכולת לבצע הונאות ומעילות . לגורמים בארגון המבצעים הונאה ו/או מעילה נקרא הגורם האנושי והוא מטופל במסגרת ביקורת חקירתית. לא רק הגורם האנושי גורם לחברות להפסדים כספיים .כמות ההפסדים הכספיים הנגרמת לחברות בשל תהליכים תפעוליים ומיחשוביים לא "סגורים" הינה גדולה מאוד מניסיון העבר– לתהליכים העסקיים והמחשוביים ה"לא סגורים" נקרא הגורם התפעולי והוא מטופל במסגרת ביקורת תחקור נתונים. לאור החשיבות ההולכת וגדלה של נושא תחקור הנתונים בעולם הביקורת ,פורסם באוגוסט 2111ע"י לשכת המבקרים העולמית הGlobal Technology Audit Guide - GTAG16 IIA- המספק צוהר לטכנולוגיות בעולם תחקור הנתונים ולחשיבות השימוש בעולם הביקורת של היום. GTAG16מתייחס למספר נקודות והיבטים ובהם: השימוש בטכניקות ביקורת באמצעות מחשב בעולם הביקורת נעשה באופנים שונים במהלך ה 25-שנה האחרונות אולם רק לאחרונה החל להפוך לסטנדרט מקובל. תחקור נתונים הינו אחד הכלים המשמשים את המבקר לצרכי השגת מטרות הביקורת באופן אפקטיבי. ניתן להשתמש בתוצרי תחקור הנתונים ( )Ad Hocלצורכי בקרה מתמשכת ( )Always onולצורכי בקרה שוטפת ()Periodic Analysis תחקור נתונים יכול לשמש ככלי להוזלת עלויות הביקורת במידה והדבר נעשה באופן יעיל ומקצועי ידע וניסיון בתחקור נתונים מאפשר למבקרים לפנות לבסיסי נתונים ,לקבל נתונים ולתכנת בדיקות מבלי להשתמש במשאבי הזמן של אנשי ITעסוקים. השימוש בתחקור נתונים ,כשנעשה כהלכה ,יכול להוריד באופן משמעותי את סיכון הביקורת כולו ע"י תיקוף הסיכונים שנמצאו מול בדיקת כל האוכלוסייה המבוקרת. פעילות הביקורת צריכה לתת עדיפות לשימוש בתחקור נתונים בשלב תכנון הביקורת כמובן בהתבסס על היתכנות ביצוע הבדיקות ובהתבסס על משאבי ITזמינים. תחקור נתונים כאשר נעשה על ידי מתחקר נתונים מנוסה צפוי להגביר משמעותית את אמינות הנתונים המופקים ממערכות המידע. תמצית תהליך תחקור נתונים הבנת תהליכים עסקיים ומחשוביים גזירת נתונים (טבלאות ,קבצים ועוד) ממערכות המידע בדיקת הנתונים הפקת חריגים באמצעות תוכנות ייעודיות לתחקור נתונים כתיבת On Going Scriptsלביקורת בדיקת החריגים שנמצאו ואימותם כתיבה והצגת דוח ביקורת חשוב לציין כי תוצר מוצלח של תהליך תחקור נתונים כאמור הינו זיהוי וכימות כל הסיכונים המשמעותיים בתהליך המבוקר תוך השגת חיסכון מוכח במשאבים ווידוא עמידה בהוראות חוק. ביקורת תחקור נתונים – תהליך מרובה סיכונים משלו עד כה סופר מדוע כל כך חשוב לשלב תהליכי תחקור נתונים בתהליכי הביקורת השונים. עם זאת ,טרם נגענו בסיכונים הרבים הכרוכים בביצוע תהליך ביקורת תחקור נתונים כחלק או בנפרד מעבודת הביקורת. להלן סקירה של מספר סיכונים אינהרנטיים בתהליך תחקור הנתונים עצמו היכולים להשפיע באופן ישיר ומהיר על איכות תוצרי העבודה ומידת יכולתם להשפיע על החיסכון במשאבים בארגון: תהליך תחקור נתונים הנעשה על ידי גורם לא מנוסה :הינו תהליך מובנה המשלב צורך בידע וניסיון בביקורת ,ידע במערכות מידע בכלל ובבסיסי ומבני נתונים בפרט וכן יכולת תכנות כתיבת תוכניות ממוחשבות .תהליך תחקור נתונים שנעשה על ידי גורם לא מנוסה עשוי באופן משמעותי לגרום להצגה שגויה /לא שלמה של תוצרי עבודת התחקור. העדר ידע וזהירות בתהליכי העבודה :כל שלב בתהליך תחקור הנתונים מתבסס על ההבנות והבדיקות שהושגו/בוצעו בשלבים שקדמו לו ולכן הצורך המיוחד בניסיון ידע וזהירות רבים ,כיוון שכשל באחד השלבים עשוי להשפיע באופן ישיר על רלוונטיות התוצרים ואיכותם. אוכלוסייה לא נאותה :מתייחס לסיכון שאוכלוסיית הביקורת עליה נבצע את הבדיקות תהיה חלקית/שגויה. מקור נתונים לא אמין :מתייחס לסיכון שמקור הנתונים שיקבל המתחקר אינו אמין או שמניפולציות שנעשו על הנתונים פגעו באמינותם. הגדרת החריג אינה נאותה :מתייחס לסיכון בשלב הסקר ותיחום הביקורת הממוחשבת, בהם מוגדרות הבדיקות הממוחשבות ,לפיו אם לא נבין את התהליך העסקי והמיחשובי התומך בו על בוריו נהיה חשופים להגדרת בדיקות לא נכונות/חלקיות שתיפולנה בשלב האימותים. שימוש בדוחות קיימים :מתייחס לסיכון שנחליט להשתמש בעבודתנו בדוחות קיימים שאינם תקינים מבלי שנדע על כך. שימוש בבסיסי נתונים שאינם של המערכות התפעוליות :מתייחס לסיכון שנשתמש בנתונים שעברו תהליך המרה לא תקין /לא מתאים מהמערכות התפעוליות (אינם קבצי המקור) קבצים לא תקינים מהמערכות התפעוליות :מתייחס לסיכון שעבודתנו תתבסס על קבצים לא תקינים מהמערכות בעקבות שליפת קבצים לא נכונה ו/או על קבצים שאינם ברי השוואה (לנקודות זמן שונות) בדיקות קבלה לקבצים :מתייחס לסיכון שלא נבצע בדיקות מתאימות ובכך נשתמש בנתונים לא מתאימים מבלי שנגלה זאת או שהדבר יתגלה מאוחר מידי הבנת משמעות הערכים בשדות :מתייחס לסיכון שהמתחקר לא יבין באופן הולם את משמעות הערכים בשדות וכתוצאה מכך יסיק מסקנות שגויות ניסיון רב בזיהוי סיכונים וחריגים :מתייחס לסיכון שמבקר תחקור הנתונים אינו מנוסה מספיק בזיהוי סיכונים ובזיהוי חריגים וביניהם כאלה שאף לא הוגדרו במקור הבנת התהליך העסקי והמיחשובי על בוריים :מתייחס לאחד הסיכונים הגדולים בתהליך התחקור התבססות על מידע לא רלוונטי :מתייחס לסיכון כי תוצאת תהליך תחקור הנתונים יהיה מידע שלא יוכל לשמש בתהליך האימות ו/או שלא יוכל להיות מוצג בדוח בשל חוסר הרלוונטיות שלו עמידה בהצלחה בשלב האימותים :מתייחס לסיכון שלא נהיה מסוגלים לקבל אישור על הממצא מסיבות שאינן קשורות לאיכותו ותקינותו אם בשל חוסר שת"פ של המבוקר מכל סיבה שהיא .זה הוא אחד בשלבים בהם ניסיונו מקצועיותו ויכולותיו הבינאישיות של המתחקר באים באופן חזק לידי ביטוי. חשוב לציין כי גם אם הנתונים שהופקו בתהליך התחקור נכונים ורלוונטיים ,היכולת הבינאישית והניסיון המקצועי הנדרשים על מנת "לסגור" את הממצא הינן יכולות קריטיות להצלחת התהליך כולו. חשיבות שמירה על תהליך בקרת איכות אפקטיבי על התהליך "ביקורת תחקור נתונים" עד כה סופר מדוע כל כך חשוב לשלב תהליכי תחקור נתונים בתהליכי הביקורת השונים ועד כמה עשוי תהליך זה להסתיים שלא בהצלחה בשל סיכונים אינהרנטיים רבים החבויים בתהליך. ברצוני להתייחס עכשיו לחשיבות קריטית לביצוע בקרה איכותית על מבקרי תחקור נתונים. כל אחד מהמבקרים בעלי ניסיון רב שנים בעבודת הביקורת מכיר בעובדה ,כי תוצרי עבודת ביקורת של מבקר מנוסה יכולים להיות שונים באופן מהותי מתוצרי עבודת ביקורת של מבקר מנוסה פחות .זו הסיבה מדוע אחד הנושאים החשובים ביותר ,להם צריכה להיות מוקדשת תשומת לב רבה בכל תהליך ביקורת ,הינו הבקרה על איכות עבודתם של העובדים ע"י מבקר מנוסה. על אחת כמה וכמה הצורך ההכרחי הזה בבקרה איכותית של גורם מנוסה על עבודת מתחקרי נתונים! בתהליך תחקור נתונים ,הפער בין מבקר תחקור נתונים מנוסה וזהיר לעומת מבקר תחקור נתונים צעיר או בעל ניסיון חלקי עשוי להכריע ,מניסיוננו ,אפילו בשלבים המאוד ראשוניים של העבודה ,את מידת הערך המוסף שתספק העבודה ללקוח מחד ואת רמת מהימנות תוצריה מנגד. במהלך השנים נתקלנו ,נזהרנו ,צפינו בעשרות רבות של מוקשים בתהליך התחקור עצמו כשכל אחד מהם בנפרד עשוי היה לגרום לכך שתוצרי תהליך התחקור יהיו לא אמינים /לא רלוונטיים ושכתוצאה מכך לא יהיה ניתן להציגם בדוח .בנוסף מצאנו כי שלב אימות הנתונים ,שלב שאמור להיות פשטני למדי כשיש לנו כבר הוכחות ,הנעשה לאחר סיומם של מס' שלבים בתהליך התחקור ומול אנשי מקצוע מנוסים ,יכול "להפיל" ממצאים "בטוחים" מסיבות שאינן קשורות לאמינות /רלוונטיות הממצאים אלא מסיבות הקשורות ליכולתו של המתחקר להתמודד עם הלחצים הגדולים המופנים כלפיו מצד גורמים עסקיים ומחשוביים בכירים העוסקים במישור כזה או אחר בתהליך המבוקר יום ביומו. כפי שציינו ,תהליך תחקור נתונים הינו תהליך "רחב" יותר משמעותית מתהליך ביקורת סטנדרטי. הסיבה לכך הינה ,שבנוסף לביצוע הביקורת בהתאם למתודולוגית עבודה שגורה ,על המבקר להכיר את הרחבות המתודולוגיה הרבות הנדרשות לעבודת מתחקר נתונים מחד וכן להיות מנוסה בנושאים נוספים ומגוונים מנגד כגון: היכרות טובה מספיק עם התהליך העסקי המבוקר היכרות עם בסיסי נתונים שונים היכרות עם תהליכי ביקורת ענ"א ידע וניסיון בביצוע תהליך מתודולוגי של תחקור נתונים חוש ריח ויכולת ירידה לפרטים במהירות כולל הבחנה טובה בין עיקר לטפל ידע וניסיון בתכנות ובתיעוד הקוד בתוכנה כזו או אחרת היכרות עם עבודת מתכנתים ומנתחי מערכות ניסיון בביצוע תהליכי אימות נתונים מול גורמים עסקיים ומחשוביים בכירים יכולות בינאישיות גבוהות פרופיל כזה של מתחקר נתונים מצביע לרוב על מבקר מנוסה ו"יקר" שצריך להשתמש בתשתית מיחשובית לא סטנדרטית לצורך ביצוע עבודתו תוך קבלת עזרה מאנשי מחשוב שעלותם יקרה לא פחות מהעלות שלו. להלן ריכוז סיבות לגיטימיות מדוע ארגונים רבים נמנעים לעיתים מביצוע עבודות תחקור נתונים: עלות משאבי מבקר תחקור נתונים חוסר היכולת לבצע בקרה על איכות עבודתו של מבקר תחקור הנתונים עלות משאבי מתכנתים ומנתחי מערכות עלות משאבי תשתית מיחשובית לביצוע מניפולציות על הנתונים עלות רכישת תוכנת ביקורת ייעודית תקופת עבודת תחקור הנתונים עשויה לקחת מס' חודשים (תלוי במס' פרמטרים שונים) עלות הכשרת עובדים חוסר מודעות מספקת לסיכום :בבואנו להחליט על תיחום הביקורת ומטרותיה עלינו לוודא כי אנו משתמשים בכלים טכנולוגיים ואנשי מקצוע מתאימים שיאפשרו לנו להשיג את מטרות הביקורת באופן זהיר ,מקצועי ואפקטיבי. עבודות תחקור נתונים עשויות לתרום באופן ממשי ומהותי לארגון בהשגת מטרות חיסכון במשאבים ווידוא עמידה בהוראות חוק בנוסף לכך שהן מאפשרות ביצוע ביקורות מיוחדות שבעבר היו נחלתם של מתכנתים מומחים בלבד. מניסיוננו ה ROI-המושג באמצעות ביצוע עבודות תחקור נתונים בעלות איכות גבוהה עשוי להגיע בקלות אף לאלפי אחוזים ולחסוך לארגון משאבים רבים. ביבליוגרפיה: רו"ח יהודה אורבך ,רו"ח אלון כהן – מאמר בנושא "לחפור בהר המידע של הנתונים הממוחשבים" ,אוגוסט 2112 רו"ח יהודה אורבך ,רו"ח זאב דרגי – מאמר בנושא "סוף מעשה – במחשב תחילה", אוקטובר 2113 רו"ח אלון כהן ,רו"ח זאב דרגי – מאמר בנושא "לחשוב על המחשב" ,פברואר 2111 דר' ברנס עמוס ,רו"ח זאב דרגי – מאמר בנושא "שפה חדשה" ,מרץ 2112 תקן ביקורת 92של לשכת רואי חשבון בדבר ראיות ביקורת תקן ביקורת 39של לשכת רואי חשבון בדבר הבנת מערכות המידע של הגוף המבוקר וסביבתו תקן ביקורת 66של לשכת רואי חשבון בדבר טכניקות ביקורת באמצעות מחשב הכותבות: רו"ח איה שטיינר ,CISA ,CIA ,שותפה במשרד שטיינר רוזנפלד ושות' רואי חשבון המתמחה בביצוע ביקורות תחקור נתונים משולבות ,ביקורת פנימית ,ביקורת ענ"א ,סיוע בהטמעה והסבה של מערכות[email protected] . רו"ח שושי ביתן ,שותפה במשרד ביתן שירותי ייעוץ המתמחה בביצוע ביקורת פנימית ,ביקורת מערכות מידע ,ניהול סיכונים ,אפיון מערכות ,ייעוץ בתחום שוק ההון[email protected] .
© Copyright 2024