תהליך ביקורת IT

תפישתנו את ביקורת ה-IT היא כתהליך שאמור לבדוק ולשפר את תהליכי העבודה ומנגנוני הבקרה במערכת הנבדקת. במסגרת הביקורת אנו בודקים, בין היתר, האם תהליך ממוחשב מסוים כולל בקרות (קלט, עיבוד ופלט) נאותות? האם קיימת סגירה של מעגלי בקרה? האם הבקרות הממוחשבות פועלות באופן אפקטיבי? האם מיושמות הוראות החוק והנחיות ההנהלה? ואת טיב הממשקים עם מערכות אחרות וטיב אבטחת המידע. תהליך הביקורת כולל את השלבים העיקריים המפורטים להלן:

שיחות פתיחה עם מנהלים – השיחות נערכות Top-Down ומטרתן הינה היכרות הנושא המבוקר והגורמים המעורבים בו, הצגת תהליך הביקורת למבוקרים, ומיקוד מטרות הביקורת.

תכנון הביקורת – עריכת סקר סיכונים לביקורת הרלבנטית וזיהוי נקודות הסיכון העיקריות בהן תתמקד הביקורת. על בסיס סקר זה נערכת תוכנית ביקורת מפורטת, הכוללת סדרי עדיפויות. 

עבודת שטח – ביצוע הביקורת בהתאם לתכנית הביקורת. עבודת השטח כוללת, בחלק מהמקרים,שימוש בכלי ביקורת ממוחשבים, המאפשרים בדיקה יעילה של כמויות גדולות של נתונים. 

שיחת סגירה – לקראת סיום הביקורת נערכת פגישה עם הגורם המבוקר ובמהלכה מציגים המבקרים את ממצאי הביקורת, כפי שגובשו עד כה. מטרות הפגישה הינן לקבל את תגובת הגורם המבוקר לממצאים וגיבוש משותף של המלצות לתיקון ליקויים שנמצאו. שיחה זו מביאה לדעתנו להזדהות טובה יותר של המבוקר עם הביקורת.

הכנת טיוטת דוח ביקורת – דוח הביקורת נערך באופן מובנה, בהתאם לתהליך הנבדק. הדוח כולל תמצית מנהלים, וריכוז ממצאים והמלצות לנוחות הקורא. הדוח מועבר לעיון הגורם המבוקר לקבלת הערותיו.

הצגה להנהלה והכנת דוח סופי - טיוטת הדוח מועברת להנהלה. המבקר מציג את הביקורת שנערכה, ונערך דיון בממצאים ובהמלצות. הערות ההנהלה משולבות בדוח, ומופק דוח סופי.

הצגת הדוח לועדת הביקורת

סוגי ביקורת IT

·         ביצוע ביקורות בתחום מערכות מידע

למשרדנו ניסיון רב בביקורת במגוון מערכות מידע, בכללן מערכות מורכבות כ-ERP ובילינג, ומערכות אחרות לניהול פיננסי, הנה"ח, ספקים, מערכות לוגיסטיות כגון: רכש, מלאי מכירות, מערכות לניהול שכר וכ"א, מערכות לניהול רכוש, מערכות בתחום הבנקאות וניהול תיקים ועוד. בכל מערכת ניתן לבדוק, בין השאר, את הנושאים המפורטים להלן:

o          תמיכת המערכת בתהליכי העבודה והתאמתה לצרכי המשתמש

o          טיב הבקרות המשולבות במערכת

o          טיב הנתונים ואיתור נתונים חריגים ושגויים

o          אבטחת המידע במערכת

o          טיב הממשקים והקשרים למערכות מידע אחרות

o          תשתיות המערכת (פיתוחים והתאמות, גרסאות, תקלות ותמיכה, תיעוד)

·         ביקורת בתחום תפעול המחשוב

בדיקת  תחומי פעילות ייעודיים, המנוהלים על ידי יחידת המחשב, או גורמים אחרים בארגון:

o          פיתוח ותחזוקת מערכות מידע

o          פעילות Help-Desk

o          רכש מערכות וציוד

o          ניהול הגיבויים

o          ניהול יחידת המחשב

·         סקר סיכונים בתחום המחשוב

עריכת סקר להערכת הסיכונים התפעוליים בתחום המחשוב. הסקר משמש את הנהלת הארגון ואת הביקורת פנימית וכולל מיפוי של כל נושאי המחשוב בארגון. כל נושא מהווה פרק בדוח, אשר כולל רקע כללי, ממצאים שעלו במהלך הסקר, הערכת הסיכון הפוטנציאלי ונושאים לבדיקה בתחום.

·         אבטחת מידע

את אבטחת המידע ניתן לחלק לשלושה תחומי פעילות עיקריים: אבטחת מידע פיזית, אבטחת מידע בתחום התשתיות (מע' הפעלה, רשתות וכו') ואבטחת מידע בתחום מערכות מידע. נושאי הבדיקה העיקריים מפורטים להלן:

o          מדיניות הארגון ואופן אכיפתה

o          טיב ניהול חשבונות משתמשים

o          טיב מידור משתמשי הארגון וגורמי חוץ

o          התאמת מאפייני הסיסמאות לתקן הישראלי

o          הגנה בתחום התקשורת

o          מעקב אחרי אירועי אבטחת מידע

o          היבטי חוק הגנת הפרטיות

o          אבטחת מתקני המחשוב

o          טיב ניהול גיבויים

·         הערכות לשעת חירום BCP & DRP

o          תוכנית הערכות לשעת חירום, עדכניותה והתאמתה לצרכים

o          היבטים סטטוטוריים והציות להם

o          טיב הגיבויים הנערכים והבקרה על ביצועם

o          עריכת בדיקות ותרגילים לבחינת ישימות תוכנית החירום ונאותות הגיבויים

·         שונות

o          השתתפות בועדות היגוי בתחום מיחשוב

o          ביקורת בתחום הטמעת בדיקות קבלה למערכות מידע

o          בדיקות אפיון צרכים ממערכות מידע

o          הדרכות בתחום ביקורת מערכות מידע