‫תחקור נתונים בעולם הביקורת – תהליך מרובה סיכונים‬
‫מבוא‬
‫במהלך העשור האחרון התפתחה וממשיכה להתפתח המודעות לחשיבות שבשימוש טכניקות‬
‫ביקורת באמצעות מחשב בתהליך הביקורת‪ ,‬עליהם דובר בהרחבה במאמר "לחפור בהר המידע‬
‫של הנתונים הממוחשבים" כמו גם במאמר "שפה חדשה" – השימוש בשפת ‪ ,PL\SQL‬שפורסמו‬
‫בביטאון רואה חשבון וזאת במטרה להקטין את הסיכונים הקיימים בכל תהליך ביקורת העשויים‬
‫להשפיע על סיכון הביקורת ‪.AR‬‬
‫סיכון הביקורת ‪ AR‬הינו הסיכון שרואה החשבון המבקר ייתן חוות דעת שגויה על הדוחות‬
‫הכספיים למרות ביצוע מלא של תוכנית העבודה שלו‪.‬‬
‫סיכון הביקורת )‪ )AR‬הינו תוצאת המכפלה של כימות הסיכונים הבאים‪:‬‬
‫א‪ .‬סיכון שבמהות )‪ :)IR‬הסיכון שהדוחות הכספיים‪ ,‬יהיו חשופים להצגה מוטעית מהותית‪.‬‬
‫ב‪ .‬סיכון הבקרה )‪ :)CR‬הסיכון שהצגה מוטעית מהותית בדוחות הכספיים לא תמנע או לא‬
‫תיחשף באמצעות המערכת החשבונאית והבקרה הפנימית‬
‫ג‪ .‬סיכון החשיפה )‪ :(DR‬הסיכון שהבדיקות המבססות שעורך רואה החשבון המבקר לא יחשפו‬
‫הצגה מוטעית מהותית‪.‬‬
‫מספר תקנים ישראליים ובינלאומיים הרלוונטיים לתהליך ביקורת מערכות מידע פורסמו במהלך‬
‫השנים האחרונות‪.‬‬
‫על תקני הביקורת ‪ 39‬ו‪ ,39-‬המבהירים כי על הרואה חשבון המבקר לבחון את ההשפעה של‬
‫סביבת טכנולוגיות המידע בה פועל הגוף המבוקר על תהליך הביקורת בכללותו ועל השוני בינם‬
‫לבין גילוי דעת ‪ ,66‬דובר בהרחבה במאמר "לחשוב על המחשב" ובמאמר "סוף מעשה –‬
‫במחשב תחילה" שפורסמו אף הם בביטאון רואה חשבון‪.‬‬
‫תקנים אלה מתייחסים בין היתר לניהול הסיכונים של תהליך הביקורת על מערכות מידע בכללותו‬
‫(כגון‪ :‬חשיבות הצורך בבחינת העסקת מומחה טכנולוגי בצוות הביקורת‪ ,‬חשיבות הצורך בהשגת‬
‫הבנה של מערכות המידע כמו גם הבנה באשר לתגובות המבוקר לסיכונים הנובעים מטכנולוגיות‬
‫המידע) ללא התמקדות בסיכונים האינהרנטיים הקיימים בתהליכי ביקורת תחקור נתונים אד הוק‪.‬‬
‫במאמר זה נתמקד בסיכונים הקיימים בתוך תהליכי ביקורת תחקור הנתונים עצמם ‪ -‬תהליכים‬
‫שמטרתם להקטין את סיכון הביקורת ומרכיביו ונספק צוהר לתמהיל הידע הניסיון והיכולות‬
‫הנדרשים ממבקר תחקור נתונים כמו גם חשיבות הבקרה האיכותית על עבודתו‪.‬‬
‫אנו נעשה זאת לאחר שנספק הגדרה מסודרת לתהליך ונציין בין היתר את החידושים שפורסמו‬
‫ב‪ GTAG16-‬של לשכת ה‪ IIA-‬העולמית‪ ,‬המספק צוהר מעודכן הן לטכנולוגיות בעולם תחקור‬
‫הנתונים והן לחשיבות השימוש בתהליכי תחקור נתונים בעולם הביקורת של היום‪.‬‬
‫תחקור נתונים ‪ -‬הגדרה‪:‬‬
‫חקר וניתוח נתונים מסביבות שונות המטפל בסיכונים ובחשיפות שזוהו בתהליך המבוקר‪,‬‬
‫באמצעים אוטומטיים ככל שניתן תוך הפיכת מידע לידע רלוונטי מהימן ובר הצגה המאפשר‬
‫לארגון לחסוך במשאבים ולוודא עמידה בהוראות הארגון ובהוראות חוק‪.‬‬
‫הצורך בתחקור נתונים בעולם המודרני‪:‬‬
‫בעולם המודרני מאחורי כל תהליך עסקי עומד מאגר נתונים אחד או יותר כאשר בכל תהליך‬
‫עסקי שכזה צריך להתמודד עם הגידול בחשיפה לכשל בתהליך הביקורת הנובע מ‪:‬‬
‫(‪ )1‬מורכבות התהליכים העסקיים‬
‫(‪ )2‬הגידול המתמיד בנפחי המידע‬
‫(‪ )9‬מורכבות מערכות המידע המשתתפות בתהליך‬
‫(‪ )5‬גידול בכמות המוצרים‪ ,‬רגולציה והיבטי אבטחת מידע‬
‫(‪ )6‬הצורך בזמן תגובה מהיר למהלכי מתחרים עסקיים‬
‫בנוסף‪ ,‬מערכות המידע הינן קריטיות היום להשגת יתרון תחרותי ולהשגת יעדים עסקיים כמו גם‬
‫כמות הנהלים והרגולציה הנדרשת כבקרות קלט ופלט על מנת לוודא ציות‪.‬‬
‫בעולם ה – ‪ IT‬כל בקרה מיחשובית דורשת תהליך מסודר של אפיון ועולה משאבים רבים ולכן אנו‬
‫מוצאים כי קיים פער גדול בין כמות הבקרות הנדרשות באפיון לכמות המאופיינת ומוטמעת‬
‫בפועל‪.‬‬
‫ככל שעובר הזמן הופכים התהליכים העסקיים והמחשוביים למורכבים יותר ומכאן הצורך במבקר‬
‫בעל יכולות וניסיון גבוהים יותר בהיבטים טכנולוגיים לצורך ביצוע עבודתו בהצלחה‪.‬‬
‫בדיוק כפי שהתקדמה הטכנולוגיה כך התקדמה היכולת לבצע הונאות ומעילות ‪.‬‬
‫לגורמים בארגון המבצעים הונאה ו‪/‬או מעילה נקרא הגורם האנושי והוא מטופל במסגרת ביקורת‬
‫חקירתית‪.‬‬
‫לא רק הגורם האנושי גורם לחברות להפסדים כספיים‪ .‬כמות ההפסדים הכספיים הנגרמת‬
‫לחברות בשל תהליכים תפעוליים ומיחשוביים לא "סגורים" הינה גדולה מאוד מניסיון העבר–‬
‫לתהליכים העסקיים והמחשוביים ה"לא סגורים" נקרא הגורם התפעולי והוא מטופל במסגרת‬
‫ביקורת תחקור נתונים‪.‬‬
‫לאור החשיבות ההולכת וגדלה של נושא תחקור הנתונים בעולם הביקורת‪ ,‬פורסם באוגוסט‬
‫‪ 2111‬ע"י לשכת המבקרים העולמית ה‪Global Technology Audit Guide - GTAG16 IIA-‬‬
‫המספק צוהר לטכנולוגיות בעולם תחקור הנתונים ולחשיבות השימוש בעולם הביקורת של היום‪.‬‬
‫‪ GTAG16‬מתייחס למספר נקודות והיבטים ובהם‪:‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫השימוש בטכניקות ביקורת באמצעות מחשב בעולם הביקורת נעשה באופנים שונים‬
‫במהלך ה‪ 25-‬שנה האחרונות אולם רק לאחרונה החל להפוך לסטנדרט מקובל‪.‬‬
‫תחקור נתונים הינו אחד הכלים המשמשים את המבקר לצרכי השגת מטרות הביקורת‬
‫באופן אפקטיבי‪.‬‬
‫ניתן להשתמש בתוצרי תחקור הנתונים (‪ )Ad Hoc‬לצורכי בקרה מתמשכת‬
‫(‪ )Always on‬ולצורכי בקרה שוטפת (‪)Periodic Analysis‬‬
‫תחקור נתונים יכול לשמש ככלי להוזלת עלויות הביקורת במידה והדבר נעשה באופן‬
‫יעיל ומקצועי‬
‫ידע וניסיון בתחקור נתונים מאפשר למבקרים לפנות לבסיסי נתונים‪ ,‬לקבל נתונים‬
‫ולתכנת בדיקות מבלי להשתמש במשאבי הזמן של אנשי ‪ IT‬עסוקים‪.‬‬
‫השימוש בתחקור נתונים‪ ,‬כשנעשה כהלכה‪ ,‬יכול להוריד באופן משמעותי את סיכון‬
‫הביקורת כולו ע"י תיקוף הסיכונים שנמצאו מול בדיקת כל האוכלוסייה המבוקרת‪.‬‬
‫פעילות הביקורת צריכה לתת עדיפות לשימוש בתחקור נתונים בשלב תכנון הביקורת‬
‫כמובן בהתבסס על היתכנות ביצוע הבדיקות ובהתבסס על משאבי ‪ IT‬זמינים‪.‬‬
‫תחקור נתונים כאשר נעשה על ידי מתחקר נתונים מנוסה צפוי להגביר משמעותית את‬
‫אמינות הנתונים המופקים ממערכות המידע‪.‬‬
‫תמצית תהליך תחקור נתונים‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫הבנת תהליכים עסקיים ומחשוביים‬
‫גזירת נתונים (טבלאות‪ ,‬קבצים ועוד) ממערכות המידע‬
‫בדיקת הנתונים‬
‫הפקת חריגים באמצעות תוכנות ייעודיות לתחקור נתונים‬
‫כתיבת ‪ On Going Scripts‬לביקורת‬
‫בדיקת החריגים שנמצאו ואימותם‬
‫כתיבה והצגת דוח ביקורת‬
‫חשוב לציין כי תוצר מוצלח של תהליך תחקור נתונים כאמור הינו זיהוי וכימות כל הסיכונים‬
‫המשמעותיים בתהליך המבוקר תוך השגת חיסכון מוכח במשאבים ווידוא עמידה בהוראות‬
‫חוק‪.‬‬
‫ביקורת תחקור נתונים – תהליך מרובה סיכונים משלו‬
‫עד כה סופר מדוע כל כך חשוב לשלב תהליכי תחקור נתונים בתהליכי הביקורת השונים‪.‬‬
‫עם זאת‪ ,‬טרם נגענו בסיכונים הרבים הכרוכים בביצוע תהליך ביקורת תחקור נתונים כחלק או‬
‫בנפרד מעבודת הביקורת‪.‬‬
‫להלן סקירה של מספר סיכונים אינהרנטיים בתהליך תחקור הנתונים עצמו היכולים להשפיע‬
‫באופן ישיר ומהיר על איכות תוצרי העבודה ומידת יכולתם להשפיע על החיסכון במשאבים‬
‫בארגון‪:‬‬
‫‪‬‬
‫תהליך תחקור נתונים הנעשה על ידי גורם לא מנוסה‪ :‬הינו תהליך מובנה המשלב צורך‬
‫בידע וניסיון בביקורת‪ ,‬ידע במערכות מידע בכלל ובבסיסי ומבני נתונים בפרט וכן יכולת‬
‫תכנות כתיבת תוכניות ממוחשבות‪ .‬תהליך תחקור נתונים שנעשה על ידי גורם לא מנוסה‬
‫עשוי באופן משמעותי לגרום להצגה שגויה ‪ /‬לא שלמה של תוצרי עבודת התחקור‪.‬‬
‫‪‬‬
‫העדר ידע וזהירות בתהליכי העבודה‪ :‬כל שלב בתהליך תחקור הנתונים מתבסס על‬
‫ההבנות והבדיקות שהושגו‪/‬בוצעו בשלבים שקדמו לו ולכן הצורך המיוחד בניסיון ידע וזהירות‬
‫רבים‪ ,‬כיוון שכשל באחד השלבים עשוי להשפיע באופן ישיר על רלוונטיות התוצרים ואיכותם‪.‬‬
‫‪‬‬
‫אוכלוסייה לא נאותה‪ :‬מתייחס לסיכון שאוכלוסיית הביקורת עליה נבצע את הבדיקות תהיה‬
‫חלקית‪/‬שגויה‪.‬‬
‫‪‬‬
‫מקור נתונים לא אמין‪ :‬מתייחס לסיכון שמקור הנתונים שיקבל המתחקר אינו אמין או‬
‫שמניפולציות שנעשו על הנתונים פגעו באמינותם‪.‬‬
‫‪‬‬
‫הגדרת החריג אינה נאותה‪ :‬מתייחס לסיכון בשלב הסקר ותיחום הביקורת הממוחשבת‪,‬‬
‫בהם מוגדרות הבדיקות הממוחשבות‪ ,‬לפיו אם לא נבין את התהליך העסקי והמיחשובי‬
‫התומך בו על בוריו נהיה חשופים להגדרת בדיקות לא נכונות‪/‬חלקיות שתיפולנה בשלב‬
‫האימותים‪.‬‬
‫‪‬‬
‫שימוש בדוחות קיימים‪ :‬מתייחס לסיכון שנחליט להשתמש בעבודתנו בדוחות קיימים‬
‫שאינם תקינים מבלי שנדע על כך‪.‬‬
‫‪‬‬
‫שימוש בבסיסי נתונים שאינם של המערכות התפעוליות‪ :‬מתייחס לסיכון שנשתמש‬
‫בנתונים שעברו תהליך המרה לא תקין ‪ /‬לא מתאים מהמערכות התפעוליות (אינם קבצי‬
‫המקור)‬
‫‪‬‬
‫קבצים לא תקינים מהמערכות התפעוליות‪ :‬מתייחס לסיכון שעבודתנו תתבסס על קבצים‬
‫לא תקינים מהמערכות בעקבות שליפת קבצים לא נכונה ו‪/‬או על קבצים שאינם ברי השוואה‬
‫(לנקודות זמן שונות)‬
‫‪‬‬
‫בדיקות קבלה לקבצים‪ :‬מתייחס לסיכון שלא נבצע בדיקות מתאימות ובכך נשתמש בנתונים‬
‫לא מתאימים מבלי שנגלה זאת או שהדבר יתגלה מאוחר מידי‬
‫‪‬‬
‫הבנת משמעות הערכים בשדות‪ :‬מתייחס לסיכון שהמתחקר לא יבין באופן הולם את‬
‫משמעות הערכים בשדות וכתוצאה מכך יסיק מסקנות שגויות‬
‫‪‬‬
‫ניסיון רב בזיהוי סיכונים וחריגים‪ :‬מתייחס לסיכון שמבקר תחקור הנתונים אינו מנוסה‬
‫מספיק בזיהוי סיכונים ובזיהוי חריגים וביניהם כאלה שאף לא הוגדרו במקור‬
‫‪‬‬
‫הבנת התהליך העסקי והמיחשובי על בוריים‪ :‬מתייחס לאחד הסיכונים הגדולים בתהליך‬
‫התחקור‬
‫‪‬‬
‫התבססות על מידע לא רלוונטי‪ :‬מתייחס לסיכון כי תוצאת תהליך תחקור הנתונים יהיה‬
‫מידע שלא יוכל לשמש בתהליך האימות ו‪/‬או שלא יוכל להיות מוצג בדוח בשל חוסר‬
‫הרלוונטיות שלו‬
‫‪‬‬
‫עמידה בהצלחה בשלב האימותים‪ :‬מתייחס לסיכון שלא נהיה מסוגלים לקבל אישור על‬
‫הממצא מסיבות שאינן קשורות לאיכותו ותקינותו אם בשל חוסר שת"פ של המבוקר מכל‬
‫סיבה שהיא‪ .‬זה הוא אחד בשלבים בהם ניסיונו מקצועיותו ויכולותיו הבינאישיות של‬
‫המתחקר באים באופן חזק לידי ביטוי‪.‬‬
‫חשוב לציין כי גם אם הנתונים שהופקו בתהליך התחקור נכונים ורלוונטיים‪ ,‬היכולת הבינאישית‬
‫והניסיון המקצועי הנדרשים על מנת "לסגור" את הממצא הינן יכולות קריטיות להצלחת התהליך‬
‫כולו‪.‬‬
‫חשיבות שמירה על תהליך בקרת איכות אפקטיבי על התהליך "ביקורת תחקור נתונים"‬
‫עד כה סופר מדוע כל כך חשוב לשלב תהליכי תחקור נתונים בתהליכי הביקורת השונים ועד כמה‬
‫עשוי תהליך זה להסתיים שלא בהצלחה בשל סיכונים אינהרנטיים רבים החבויים בתהליך‪.‬‬
‫ברצוני להתייחס עכשיו לחשיבות קריטית לביצוע בקרה איכותית על מבקרי תחקור נתונים‪.‬‬
‫כל אחד מהמבקרים בעלי ניסיון רב שנים בעבודת הביקורת מכיר בעובדה‪ ,‬כי תוצרי עבודת‬
‫ביקורת של מבקר מנוסה יכולים להיות שונים באופן מהותי מתוצרי עבודת ביקורת של מבקר‬
‫מנוסה פחות‪ .‬זו הסיבה מדוע אחד הנושאים החשובים ביותר‪ ,‬להם צריכה להיות מוקדשת‬
‫תשומת לב רבה בכל תהליך ביקורת‪ ,‬הינו הבקרה על איכות עבודתם של העובדים ע"י מבקר‬
‫מנוסה‪.‬‬
‫על אחת כמה וכמה הצורך ההכרחי הזה בבקרה איכותית של גורם מנוסה על עבודת מתחקרי‬
‫נתונים!‬
‫בתהליך תחקור נתונים‪ ,‬הפער בין מבקר תחקור נתונים מנוסה וזהיר לעומת מבקר תחקור‬
‫נתונים צעיר או בעל ניסיון חלקי עשוי להכריע‪ ,‬מניסיוננו‪ ,‬אפילו בשלבים המאוד ראשוניים של‬
‫העבודה‪ ,‬את מידת הערך המוסף שתספק העבודה ללקוח מחד ואת רמת מהימנות תוצריה‬
‫מנגד‪.‬‬
‫במהלך השנים נתקלנו‪ ,‬נזהרנו‪ ,‬צפינו בעשרות רבות של מוקשים בתהליך התחקור עצמו כשכל‬
‫אחד מהם בנפרד עשוי היה לגרום לכך שתוצרי תהליך התחקור יהיו לא אמינים ‪ /‬לא רלוונטיים‬
‫ושכתוצאה מכך לא יהיה ניתן להציגם בדוח‪ .‬בנוסף מצאנו כי שלב אימות הנתונים‪ ,‬שלב שאמור‬
‫להיות פשטני למדי כשיש לנו כבר הוכחות‪ ,‬הנעשה לאחר סיומם של מס' שלבים בתהליך‬
‫התחקור ומול אנשי מקצוע מנוסים‪ ,‬יכול "להפיל" ממצאים "בטוחים" מסיבות שאינן קשורות‬
‫לאמינות ‪ /‬רלוונטיות הממצאים אלא מסיבות הקשורות ליכולתו של המתחקר להתמודד עם‬
‫הלחצים הגדולים המופנים כלפיו מצד גורמים עסקיים ומחשוביים בכירים העוסקים במישור כזה‬
‫או אחר בתהליך המבוקר יום ביומו‪.‬‬
‫כפי שציינו‪ ,‬תהליך תחקור נתונים הינו תהליך "רחב" יותר משמעותית מתהליך ביקורת‬
‫סטנדרטי‪.‬‬
‫הסיבה לכך הינה‪ ,‬שבנוסף לביצוע הביקורת בהתאם למתודולוגית עבודה שגורה‪ ,‬על המבקר‬
‫להכיר את הרחבות המתודולוגיה הרבות הנדרשות לעבודת מתחקר נתונים מחד וכן להיות‬
‫מנוסה בנושאים נוספים ומגוונים מנגד כגון‪:‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫היכרות טובה מספיק עם התהליך העסקי המבוקר‬
‫היכרות עם בסיסי נתונים שונים‬
‫היכרות עם תהליכי ביקורת ענ"א‬
‫ידע וניסיון בביצוע תהליך מתודולוגי של תחקור נתונים‬
‫חוש ריח ויכולת ירידה לפרטים במהירות כולל הבחנה טובה בין עיקר לטפל‬
‫ידע וניסיון בתכנות ובתיעוד הקוד בתוכנה כזו או אחרת‬
‫היכרות עם עבודת מתכנתים ומנתחי מערכות‬
‫ניסיון בביצוע תהליכי אימות נתונים מול גורמים עסקיים ומחשוביים בכירים‬
‫יכולות בינאישיות גבוהות‬
‫פרופיל כזה של מתחקר נתונים מצביע לרוב על מבקר מנוסה ו"יקר" שצריך להשתמש בתשתית‬
‫מיחשובית לא סטנדרטית לצורך ביצוע עבודתו תוך קבלת עזרה מאנשי מחשוב שעלותם יקרה‬
‫לא פחות מהעלות שלו‪.‬‬
‫להלן ריכוז סיבות לגיטימיות מדוע ארגונים רבים נמנעים לעיתים מביצוע עבודות תחקור נתונים‪:‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫עלות משאבי מבקר תחקור נתונים‬
‫חוסר היכולת לבצע בקרה על איכות עבודתו של מבקר תחקור הנתונים‬
‫עלות משאבי מתכנתים ומנתחי מערכות‬
‫עלות משאבי תשתית מיחשובית לביצוע מניפולציות על הנתונים‬
‫עלות רכישת תוכנת ביקורת ייעודית‬
‫תקופת עבודת תחקור הנתונים עשויה לקחת מס' חודשים (תלוי במס' פרמטרים שונים)‬
‫עלות הכשרת עובדים‬
‫חוסר מודעות מספקת‬
‫לסיכום‪ :‬בבואנו להחליט על תיחום הביקורת ומטרותיה עלינו לוודא כי אנו משתמשים בכלים‬
‫טכנולוגיים ואנשי מקצוע מתאימים שיאפשרו לנו להשיג את מטרות הביקורת באופן זהיר‪ ,‬מקצועי‬
‫ואפקטיבי‪.‬‬
‫עבודות תחקור נתונים עשויות לתרום באופן ממשי ומהותי לארגון בהשגת מטרות חיסכון‬
‫במשאבים ווידוא עמידה בהוראות חוק בנוסף לכך שהן מאפשרות ביצוע ביקורות מיוחדות‬
‫שבעבר היו נחלתם של מתכנתים מומחים בלבד‪.‬‬
‫מניסיוננו ה‪ ROI-‬המושג באמצעות ביצוע עבודות תחקור נתונים בעלות איכות גבוהה עשוי להגיע‬
‫בקלות אף לאלפי אחוזים ולחסוך לארגון משאבים רבים‪.‬‬
‫ביבליוגרפיה‪:‬‬
‫‪‬‬
‫רו"ח יהודה אורבך‪ ,‬רו"ח אלון כהן – מאמר בנושא "לחפור בהר המידע של הנתונים‬
‫הממוחשבים"‪ ,‬אוגוסט ‪2112‬‬
‫‪‬‬
‫רו"ח יהודה אורבך‪ ,‬רו"ח זאב דרגי – מאמר בנושא "סוף מעשה – במחשב תחילה"‪,‬‬
‫אוקטובר ‪2113‬‬
‫‪‬‬
‫רו"ח אלון כהן‪ ,‬רו"ח זאב דרגי – מאמר בנושא "לחשוב על המחשב"‪ ,‬פברואר ‪2111‬‬
‫‪‬‬
‫דר' ברנס עמוס‪ ,‬רו"ח זאב דרגי – מאמר בנושא "שפה חדשה"‪ ,‬מרץ ‪2112‬‬
‫‪‬‬
‫תקן ביקורת ‪ 92‬של לשכת רואי חשבון בדבר ראיות ביקורת‬
‫‪‬‬
‫תקן ביקורת ‪ 39‬של לשכת רואי חשבון בדבר הבנת מערכות המידע של הגוף המבוקר‬
‫וסביבתו‬
‫‪‬‬
‫תקן ביקורת ‪ 66‬של לשכת רואי חשבון בדבר טכניקות ביקורת באמצעות מחשב‬
‫הכותבות‪:‬‬
‫רו"ח איה שטיינר‪ ,CISA ,CIA ,‬שותפה במשרד שטיינר רוזנפלד ושות' רואי חשבון המתמחה‬
‫בביצוע ביקורות תחקור נתונים משולבות‪ ,‬ביקורת פנימית‪ ,‬ביקורת ענ"א‪ ,‬סיוע בהטמעה והסבה‬
‫של מערכות‪[email protected] .‬‬
‫רו"ח שושי ביתן‪ ,‬שותפה במשרד ביתן שירותי ייעוץ המתמחה בביצוע ביקורת פנימית‪ ,‬ביקורת‬
‫מערכות מידע‪ ,‬ניהול סיכונים‪ ,‬אפיון מערכות‪ ,‬ייעוץ בתחום שוק ההון‪[email protected] .‬‬