הבא הדור שירות

‫בקרה פנימית בלשכת שירות ‪ -‬הדור הבא‬
‫מירב הכרי ואביבית וינוגורה‬
‫פעילותן העסקית של ארגונים רבים נסמכת על לשכות שירות – החל מלשכות שירות קלאסיות בתחום השכר‬
‫ועד ללשכות שירות חדשניות כמו מחשוב ענן‪ .‬חוות דעת על פי תקן ‪ SAS70‬ידועה ומוכרת במגזרים השונים‬
‫כדוח אשר מתקבל מלשכות השירות השונות‪ ,‬ובעיקר כפורמט שיצר מסגרת עבודה לרואי חשבון של החברות‬
‫לגבי תכנון‪ ,‬יישום ואפקטיביות הבקרות‪ .‬בנוסף שימשו הדוחות הללו ככלי עזר להנהלה הבכירה בהבנת‬
‫הסיכונים הקשורים ללשכות השירות‪.‬‬
‫בשנת ‪ ,2011‬חוות הדעת על פי תקן ‪ SAS70‬מקבלת משמעות חדשה הודות לתקנים חדשים והרחבה לתחומים‬
‫ולצרכים חדשים‬
‫הבקרה הפנימית בלשכת השירות‬
‫מזה שנים רבות חברות גדולות וקטנות נסמכות על לשכות שירות בתהליכים מהותיים – החל מלשכות שירות שכר הקלאסיות‪ ,‬דרך‬
‫לשכות שירות לתפעול קופות גמל שנוצרו בעקבות שינויים רגולטורים ועד למחשוב ענן‪ ,‬לשכות שירות המספקות פלטפורמות מחשוב‬
‫ברמות שונות לארגונים )ראה מסגרת(‪ .‬לשכת שירות היא כל ספק חיצוני אשר שירותיו משפעים על הביצועים הפיננסיים והתפעולים של‬
‫החברה‪ ,‬החל משלב יזום עסקאות ואירועים‪ ,‬רישומם‪ ,‬עיבודם ודיווחם בדוחות הכספיים של מקבל השירות‪.‬‬
‫מגוון לשכות השירות גדל ללא הרף ובמקביל‪ ,‬הולכות ומתפתחות דרישות רגולטוריות בתחומי ניהול סיכונים ובקרה פנימית‪ .‬נוסף על‬
‫אלו‪ ,‬ההתפתחות הטכנולוגיות לא חדלה ובתורה חושפת ארגונים לסיכונים חדשים‪ .‬מסיבות אלו גוברת הדרישה להבנת סביבת הבקרה‬
‫הפנימית של לשכות השירות‪ ,‬בין אם במסגרת תפעולית‪ ,‬ביקורת או עמידה ברגולציות כגון ‪ SOX‬לגווניו‪.‬‬
‫על הנהלת החברות להכיר ולהבין את השפעותיהן של לשכות השירות על הפעילות העסקית‪ ,‬במטרה לזהות את הסיכונים ולפקח על‬
‫ביצוע הפעולות המבוצעות על ידן‪ ,‬באמצעות בחינת האפקטיביות של הבקרות המבוצעות ע"י לשכת השירות עצמן‪.‬‬
‫עד ליוני ‪ ,2011‬חברות ורואי החשבון שלהן נעזרו בדוח "‪ "SAS70‬אשר סיפק מידע על סביבת הבקרה בחברה וכלל חוות דעת של רואה‬
‫חשבון מבקר על תכנון‪ ,‬יישום ואפקטיביות הבקרות בארגון‪ .‬חוות דעת זו הכילה תמונה שלמה של סביבת הבקרה ברמת הארגון‪ ,‬ברמת‬
‫הפעילות וברמת טכנולוגיות המידע של לשכת השירות‪.‬‬
‫שנת ‪ – 2011‬תקנים חדשים ל ‪SAS70‬‬
‫בדצמבר ‪ ,2009‬פורסם על ידי ה‪ (International Auditing and Assurance Standards Board) IAASB-‬תקן בינלאומי )‪ISAE‬‬
‫)‪ International Standard on Assurance Engagements 3402‬על הבקרות בלשכות השירות‪ .‬זמן קצת לאחר מכן פורסמו על ידי ה‪-‬‬
‫)‪ American Institute of Certified Public Accountants (AICPA‬הנחיות לחוות דעת על בקרות בלשכות שירות ‪Statement on -‬‬
‫‪ .Standards for Attestation Engagements (SSAE) 16‬תקנים חדשים אלו נכנסו לתוקף החל מתקופה המסתיימת ב‪ 15-‬ליוני ‪2011‬‬
‫ואילך‪ .‬במילים אחרות‪ ,‬החל מתאריך זה לא יוכלו חברות להסתמך על חוות הדעת על פי תקן ‪.SAS70‬‬
‫המטרה המרכזית של התקנים החדשים‪ ,‬בדומה לתקנים הקודמים‪ ,‬היא לספק הבנה של סביבת הבקרה הפנימית בלשכות השירות‪,‬‬
‫אולם השינוי המהותי הוא שהתקנים החדשים הם מסוג ‪ Attestation‬בניגוד לתקן ‪ SAS70‬שהיה תקן ביקורת‪ .‬המשמעות העיקרית של‬
‫השינוי היא שהחל מיוני ‪ ,2011‬חוות הדעת של רואה החשבון המבקר תתבסס על הצהרת ההנהלה )‪ (Assertion‬בנוגע לתכנון‪ ,‬יישום‬
‫ואפקטיביות הבקרות‪ .‬ההצהרה תינתן על סמך פעולות ניטור ובקרה המבוצעות על ידי ההנהלה‪ ,‬בנוסף לביקורת המבוצעות על ידי רואי‬
‫החשבון‪ .‬למעשה התקנים החדשים מקרבים את תהליך מתן חוות הדעת לתהליך ביקורת ה‪ SOX-‬בחברות‪.‬‬
‫מהם ההבדלים העיקרים בין תקן ‪ SAS70‬לתקנים החדשים?‬
‫הצהרת הנהלה‬
‫‪SAS70‬‬
‫תקנים חדשים )‪(ISAE3402 ,SSAE16‬‬
‫על ההנהלה לספק מכתב הכולל הצגה‬
‫ההנהלה תידרש לספק הצהרה כתובה )‪(Assertion‬‬
‫)‪ (representation‬בכתב לכך שהבקרות עוצבו‬
‫בנוסף למכתב ההנהלה )ראה מסגרת(‬
‫באופן מתאים ופעלו באופן אפקטיבי‬
‫הגבלת השימוש בדוח‬
‫דוח המבקר כולל הצהרה המסייגת את השימוש‬
‫הדוח חייב לכלול הצהרה כי הוא מיועד לארגונים‬
‫בדוח להנהלת הארגון‪ ,‬ארגונים מקבלי השירות‬
‫מקבלי השירות ולמבקריהם‪ ,‬אך הוא יכול גם להכיל‬
‫ומבקריהם‬
‫הגבלת שימוש‬
‫דיווח על חריגים‬
‫כל החריגים שהתגלו נדרשים להיות מדווחים בדוח‬
‫לרו"ח המבקר האפשרות להסיק כי סטיות שהתגלו‬
‫אירועים עוקבים‬
‫על מבקר הארגון לקחת בחשבון גילוי אירועים‬
‫הגילוי של מבקר הארגון יוגבל רק לאירועים שיכלו‬
‫עוקבים לחוות הדעת )אם אלו לא נכללו בתיאור‬
‫להשפיע על חוות דעתו‬
‫בעת ביצוע טסטים על ידי דגימות הינן סטיות בודדות‬
‫ולא לדווח עליהן‬
‫המערכות(‪ ,‬שיוכלו להשפיע על דעתם של משתמשי‬
‫הדוח‪ ,‬על מנת שלא להטעותם‬
‫שימוש הביקורת הפנימית‬
‫השימוש בביקורת פנימית מותר‪ ,‬אולם לא ניתן גילוי‬
‫‪ – SSAE16‬ממשיך בקו המאשר את השימוש בביקורת‬
‫של בדיקות אשר בוצעו על ידי הביקורת הפנימית‬
‫הפנימית‪ ,‬אולם יהיה לתת שעת שימוש בבדיקות אשר‬
‫בוצעו על ידי הביקורת הפנימית‪ ,‬כמו גם בבדיקות‬
‫שבוצעו בהסתמך על עבודת הביקורת הפנימית‪.‬‬
‫‪ – ISAE3402‬גם כן יחייב מתן גילוי על בדיקות אשר‬
‫בוצעו בהסתמך על עבודת הביקורת הפנימית‪ ,‬אך‬
‫אינו מאפשר היעזרות ישירה בביקורת הפנימית‬
‫ראיות שהושגו בהסכמים קודמים‬
‫מבקר הארגון רשאי להשתמש בראיות אשר הושגו‬
‫ראיות שהושגו בביקורות קודמות לגבי יעילות פעילות‬
‫בביקורות קודמות או על ידי מבקרי ארגון אחרים על‬
‫הבקרות בתקופות קודמות לא יוכלו להוות בסיס‬
‫מנת להפחית את הפעילות‪ ,‬משך וגודל בדיקות‬
‫להפחתה בבדיקות‪ ,‬גם אם נתמכות בראיות שהושגו‬
‫האפקטיביות‬
‫במהלך התקופה הנוכחית‪ .‬יחד עם זאת‪ ,‬ייתכן כי‬
‫במקרים בהם יתגלו סטיות‪ ,‬הביקורת תאלץ להגדיל‬
‫את היקף הבדיקות המבוצעות בתקופה הנוכחית‬
‫אחת הבעיות העולות מהשימוש בתקנים החדשים היא כי הם מגבילים את השימוש בהם למטרות בקרה פנימית המשפיעה על הדיווח‬
‫הכספי של לשכות השירות בלבד‪ ,‬במיוחד עם התפתחות שירותים טכנולוגיים חדשים כגון מחשוב הענן )ראה מסגרת(‪ ,‬עולה הצורך‬
‫בחוות דעת על מטרות בקרה אשר אינן קשורות לדיווח הכספי בלבד אלא לנושאים תפעוליים אחרים‪ ,‬היבטים של זמינות הנתונים – ולכן‬
‫פיתח ה‪ AICPA-‬את דוחות ה‪) SOC-‬ראה מסגרת(‪.‬‬
‫ – הצהרת ההנהלה‬1 ‫מסגרת‬
‫ המשפיע על לשכות השירות הינו הדרישה‬,‫ לבין התקנים החדשים‬SAS70 ‫ השינוי המרכזי בין חוות דעת על פי תקן‬,‫כפי שהוזכר‬
,‫( המבוססת על קריטריונים מקובלים וכוללת התייחסות להצגה נאותה של תיאור המערכות‬Assertion) ‫מההנהלה לספק הצהרה כתובה‬
‫ יישום ואפקטיביות הבקרות בתקופת הביקורת במטרה להשיג את יעדי‬,‫זיהוי הסיכונים המאיימים על השגת יעדי הבקרה ולתכנון‬
.‫הבקרה‬
‫ ההנהלה צריכה להשיג בסיס סביר לנושאים עליהם היא מצהירה – אין הכוונה לביצוע בדיקות מקיפות כפי‬,‫כחלק מכתיבת ההצהרה‬
‫ אין באפשרות ההנהלה להתבסס על הבדיקות המבוצעות על‬,‫ יחד עם זאת‬.Sarbanes-Oxley ‫ של תקן‬404 ‫שנדרש לדוגמא על פי סעיף‬
‫ התקן מספק להנהלה גמישות לביסוס ההצהרה – מסגרת הבקרה של ההנהלה יכולה לכלול‬.‫ידי המבקר של לשכת השירות לבדם‬
.‫ כגון בקרות ניטור ושימוש בביקורת פנימית רלוונטית‬,‫נהלים‬
Level of Assertion
‫התרשים הבא מציג את טווח האפשרויות של ההנהלה לבסיס מספק למתן ההצהרה‬
Example
Procedures
Supporting
Documentation
Reasonable basis for management assertion *
SOX Testing
Separate
Evaluations
Ongoing
Monitoring
No Basis
Service auditor
performs testing
and issues report
None
•
Management reporting
and other oversight
activities
•
Management risk
assessment
•
•
•
Internal Audit
testing/monitoring
•
Independent
regulatory exam
•
Independent risk
assessment
Management
monitoring
documentation
•
Regulatory reporting
•
Internal Audit
reporting
Management risk
assessment
documentation
•
Independent risk
assessment results
Management or
independent
assessment of
operating
effectiveness of SAS
70 controls
Testing evidence for
the operating
effectiveness of SAS
70 controls
* A combination of ongoing monitoring and separate evaluations will usually help ensure that internal control maintains its
effectiveness over time.
‫ בקרה פנימית במחשוב ענן‬- 2 ‫מסגרת‬
.(cloud computing) "‫אחד מהטרנדים הלוהטים של ניהול טכנולוגיות המידע בחברות הינו המעבר ההולך וגובר לשימוש ב"מחשוב ענן‬
‫מחשוב ענן בהגדרתו הרשמית על ידי ה‪ (NIST) U.S. National Institute of Standards and Technology -‬הינו מודל להפעלה נוחה‪,‬‬
‫המאפשרת גישה לפי דרישה למאגר רחב ומשותף של משאבים ממוחשבים‪ .‬מחשוב ענן מאפשר להשתמש בכוח עיבוד ומחשוב דרך‬
‫רשת האינטרנט בה נמצא ה"ענן" המכיל את הנתונים והלוגיקה העסקית של מערכות המחשוב‪.‬‬
‫כתוצאה משימוש בשירותים אלו‪ ,‬הצורך של ארגונים לרכוש ולנהל משאבי מחשוב הולך וקטן‪ .‬יתרונות השימוש במחשוב ענן הינם‪ ,‬בין‬
‫היתר‪ ,‬עלויות נמוכות‪ ,‬יעילות משאבים גבוהה ויכולת טובה במקרה של התאוששות מאסון‪.‬‬
‫עם זאת‪ ,‬מחשוב ענן מעלה סימני שאלה וחששות רבים בנושאי אבטחת מידע‪ ,‬תפעול וזמינות הנתונים והיבטי בקרה פנימית נוספים‪,‬‬
‫ולכן חברות המספקות שירותי מחשוב ענן ידרשו לספק ביטחון אודות אפקטיביות הבקרה הפנימית על מנת להבטיח את שלמות‪ ,‬דיוק‪,‬‬
‫סודיות וזמינות הנתונים של לקוחותיהן‪ .‬על מנת לספק את ביטחון זה‪ ,‬ספקי מחשוב ענן יידרשו לתת תיאור של פעולות הבקרה‬
‫המקיפות את פעולות עיבוד המידע‪ ,‬כולל קלטים‪ ,‬עיבודים‪ ,‬פלטים ואבטחות נדרשות‪.‬‬
‫תקני ביקורת על הבקרה הפנימית בלשכות שירות )‪ ISAE3402, SSAE16‬ו‪ (SOC-‬מספקים חוות דעת בלתי תלויה על סביבת הבקרה‬
‫בלשכות שירות המספקות מחשוב ענן ולכן אלו יכולים להוות פתרון למסגרת המבטיחה את הבקרה הפנימית בתחום מחשוב הענן‪.‬‬
‫מסגרת ‪ - 3‬תקני ‪SOC‬‬
‫כאמור‪ ,‬אחת המגבלות של תקני חוות הדעת על הבקרה הפנימית בלשכות השירות היא ההגבלה למטרות בקרה המשפיעות על הדיווח‬
‫הכספי של לשכות השירות בלבד‪ .‬בשל הצורך הגובר לגיוון במטרות הבקרה‪ ,‬בדגש על היבטים תפעוליים והיבטי אבטחת מידע ופרטיות‪,‬‬
‫פיתח ה‪ AICPA-‬שלוש דוחות ‪ ,(SOC) Service Organization Controls‬המזוהים כ ‪.SOC-3 ,SOC-2 ,SOC-1‬‬
‫דוח ‪ – SOC-1‬מתייחס לתקן ‪ SSAE16‬ומאפשר חוות דעת רק לבקרות פנימיות הקשורות לדיווח הכספי )‪.(ICFR‬‬
‫דוח ‪ - SOC-2‬מתייחס לבקרות באבטחת מידע ופרטיות ומיועד‪ ,‬לדוגמא‪ ,‬לחברות הנותנות שירותי מחשוב ענן )ראה מסגרת(‪ .‬את הדוח‬
‫ניתן להפיץ לגורמים בעלי ידע בלבד‪.‬‬
‫דוח ‪ - SOC-3‬עונה על אותם צרכים כמו דוח ‪ SOC-2‬אך ניתן להפיצו לכל גורם ללא הגבלה‪.‬‬