בין לקוחותינו:

אירועים ומאמרים

דף הבית >> אירועים ומאמרים
 
ביקורת Analytics  - מאקסל ועד Data Science
אסף קורן, CISA, CRISC, שותף 
 
Big Data:
סביבת מערכות המידע בארגונים הולכת והופכת מורכבת ותלויה במערכות  מידע. בנוסף על שכבות מערכות המידע הסטנדרטיות המנהלות את התהליכים העסקיים המסורתיים (רכש, הכנסות, שכר, מלאי) מתווספים עוד ועוד כלים ותהליכים ממוכנים מעולמות שונים כגון דיגיטל (אתרים, אפליקציות, סמארטפונים), אנרגיה, תמונה ווידאו ועוד.
היקפי המידע המנוהלים בארגון כיום הינן עצומים ובדאטה חבוי מידע עצום.
כמה נתונים מרתקים שמסבירים את גודל התופעה (על פי IDC - International Data Corporation):
  • עד סוף  2020, כמות האינפורמציה החדשה שתיוצר בשנייה אחת תעמוד על 1.7 מגה בייט פר אדם.
  • ההיקף המצטבר של כמות המידע שאנחנו מייצרים ומשכפלים בשנה יגדל מ-4.4 זטה-בייט (נכון ל-2013) ל-44 זטה-בייט ב-2020 (המקבילים ל-44 טריליון גיגה-בייט). ב-2025 כמות המידע תסתכם ב-180 זטה-בייט.
 


 
הנתונים הללו כוללים מידע על הזדמנויות עסקיות, מידע על תקלות, מידע על מעילות, מידע על יעילות תהליכים ועובדים ועוד. באמצעות מודלים סטטיסטיים ומתמטיים מתקדמים המקובלים בעולם ה-Data Science המידע יכול לשמש גם לחיזוי. האם הביקורת כבר הגיעה לעולמות אלו בביקורת הAnalytics ?
 
 
 
 
מודל הבשלות  בביקורת Analytics :
 

 
מודל הבשלות בביקורת Analytics מגדיר שלבי התפתחות של שימוש ב- Analytics ותחקור נתונים כחלק מתהליך הביקורת השוטף.
שלב 1  (Manual internal audit function)  -  מבקרים/יחידות ביקורת אשר מבצעים ביקורת תהליכית קלאסית ללא שימוש כזה או אחר בכלי Analytics המיועדים לביקורת (כגון ACL, Arbutus, IDEA) או אחרים כגון SQL. הביקורת מסתמכת על פגישות, שאלונים, מעבר על נהלים ומסמכים. לעיתים משתמשים בניתוחי אקסל אך לא מעבר. נציין כי מרבית הארגונים בהם קיימת יחידות ביקורת המונות יותר ממבקר אחד נמצאים בשלבים מתקדמים יותר.
 
שלב 2  (Ad Hoc Analysis Audit) - מבקרים/יחידות ביקורת אשר באופן נקודתי משתמשים בכלי Analytics בביקורות ספציפיות. במקרים רבים, מדובר ביחידות ביקורת ללא יכולות Analytics  המפעילות אחת לתקופה קבלן משנה לביצוע בדיקות אלו. יחידות ביקורת רבות נמצאות בשלב זה.
 
שלב 3  Sustainable and periodic data analysis) ) - שלב בו מתקיים שילוב קבוע של ביקורת Analytics. בדרך כלל ביחידות ביקורת בהם קיים צוות ביקורת מערכות מידע או גורם המתמחה בכלי Analytics המיועדים לביקורת (כגון ACL, Arbutus,  IDEA) או כלים אחרים כגון  SQL. ביקורות Analytics בשלב זה הן חלק בלתי נפרד בביקורות בהם ניתן לשלב תחקור של הנתונים. שלב זה נפוץ בעיקר ביחידות ביקורות גדולות כגון בנקים, חברות ביטוח או גופים אחרים בעלי יחידות ביקורות גדולות. קיימת חשיבות רבה לאופן הצגת נתוני ביקורות ה- .Analytics באמצעות ויזואליזציה של הנתונים ניתן לראות את התמונה הכללית ולאתר מגמות בנקל.
 


בדוגמה הנ"ל ניתן לראות תוצרי ביקורת שביצענו בתחום השכרת נכסים. באמצעות בדיקות Analytics ובאמצעות הצגה ויזואלית של הנתונים של הנתונים, ניתן היה לאתר  פערים בין חיובי שכ"ד לבין האמור להיות מחויב בהתאם לחוזים / מנהל אזור חריג אצלו קיימים אי סדרים בחיובים וכיוצ"ב.
 
שלב 4 ( (Continues Auditing  - במרץ 2015 פרסם המוסד לביקורת פנימית (IIA) את תקן GTAG3 בנושא ביקורת מתמשכת. בתקציר המנהלים של התקן נרשם בין היתר:
"A continuous audit approach allows internal auditors to fully understand critical control points, rules, and exceptions. With automated, frequent analyses of data, they are able to perform control and risk assessments in real time or near real time. They can analyze key business systems for both anomalies at the transaction level and for data-driven indicators of control deficiencies and emerging risk. Finally, with continuous auditing, the analysis results are integrated into all aspects of the audit process, from the development and maintenance of the enterprise audit plan to the conduct and follow-up of specific audits."
מרבית ארגוני הביקורת בארץ אינם משלבים בקרות אנליטיות מתמשכות הדוגמות את בסיסי הנתונים ומציפות חריגים/אנומליה לצורך ביצוע של הערכה שוטפת של הסיכונים והבקרה.
דווקא בתקופת הקורונה מודל זה בא לידי ביטוי. בעוד יחידות הנמצאות בשלב 1-3 לא עסקו בביקורת ובקרה לתקופת מה, הרי שביחידות אחרות בהן הוגדרו בקרה מתמשכת (שלב 4 ומעלה), התקבלו לאורך התקופה חיוויים על חריגים / הפרות / חשדות למעילות כך שבמקרים אלו הביקורת הייתה יעילה ואפקטיבית יותר לארגון וחלשה על מערך הסיכונים דווקא בתקופה בה הסיכונים עלו בצורה משמעותית.
כלי ה- Analytics  המיועדים לביקורת (ACL, Arbutus ו-IDEA) כוללים יכולות תזמון ודיווח של הבדיקות מה שהופך אותם לכלי CCM (Continues Control Monitoring ) מתקדמים. בכלים אלו קיימים connectors לסוגים שונים של בסיסי נתונים, עליהם ניתן להגדיר פרוצדורות מתוזמנות של בדיקות הניתנות להצגה בדוחות, גרפים וכלי ויזואליזציה ואף ניתן להוציא לגביהם התראות במייל או הודעות טקסט.
פתרונות אלה כבר החלו לצוץ לפני כ-10 שנים. מודלים מתקדמים כיום כוללים Dashboards ניהוליים המספקים תמונה כללית של רמת הבקרה והחריגים עם אפשרות לבצע Drill down  על מנת לאתר את  החריגים כך שבכל נקודת זמן גוף הביקורת (או הבקרה) מעודכנים.


 
 
שלב 5 – שילוב כלי Data Science
בעולם העסקי חברות וארגונים מטמיעים כלים וניתוחי Data Science על מנת לאתר לקוחות העומדים לנטוש, לאתר מעילות לחזות מגמות וכיוצ"ב. מנגד, בעולם הביקורת שימוש בכלים אלה אינו נפוץ בארץ ובחו"ל.
מדע נתונים  Science Data )) הוא תחום הכולל שיטות מדעיות, תהליכים, אלגוריתמים ומערכות. מדע הנתונים הוא "הרעיון לאחד נתונים סטטיסטיים, ניתוח נתונים, למידה של מכונה ושיטות קשורות כדי "להבין ולנתח תופעות בפועל" עם נתונים. מדע זה משתמש בטכניקות ובתאוריות הנמשכות מתחומים רבים בתחומי המתמטיקה ,הסטטיסטיקה ,מדעי המידע ומדעי המחשב, במיוחד מתתי-התחומים של כריית נתונים, למידת מכונה, מאגרי מידע, וויזואליזציה.
למידת מכונה היא ענף של בינה מלאכותית שבה הבינה נוצרת באמצעות למידה מתוך מאגרי נתונים גדולים. למידת מכונה מחולקת בגדול לשתי קבוצות: למידה ללא השגחה (  Unsupervised Learning)  ולמידה בהשגחה ( Learning  ( Supervised. ההבדל המרכזי בין השיטות הוא שבלמידה ללא השגחה האנליסט אינו מתייג את הנתונים ואינו מלמד את מודל הנתונים מראש. המודל מוצא את הקשרים בין הנתונים על פי מודלים סטטיסטיים ומתמטיים בעצמו. בלמידה בהשגחה מתבצע תהליך של תיוג הנתונים ולימוד של מודל הנתונים כך שבהתאם לתיוג זה המודל ינתח הנתונים ויציג את התוצאות (למשל, מודל על בסיס נתונים גדול של מידע מטויב על נתוני פעולות כרטיסי אשראי הכולל תיוג של הרשומות בהם התבצעה מעילה. בהתאם לדפוס שתויג, המודל יאתר פעולות חדשות שבהן קיימת סבירות גבוהה למעילה).
כאמור, כלים אלה עדיין אינם בשימוש בצוותי הביקורת בארץ ואף בעולם השימוש הינו נדיר. אנו צופים כי בעתיד המבקרים ישדרגו את ניתוחי הנתונים באמצעות שילוב טכניקות Data Science.

מצ"ב לינק לפרסום המאמר בבטאון של לשכת המבקרים הפנימיים (IIA) ישראל
https://lnkd.in/ecdv-rq
 
 
הביקורת בתקופת הקורונה – שינויים והתאמות
 
התמורות שעברו ארגונים בתקופה זו, שכללו הוצאת חלק מהעובדים לחופשה או חל"ת, העברת חלק אחר של העובדים לעבודה מהבית והסטת עובדי בקרה ומנהלה לביצוע פעולות עסקיות, יוצרות חשיפות גדולות לארגונים שבמרכזן: חשיפות סייבר ודלף מידע, חשיפות מעילות והונאות וחשיפות תפעוליות בשל ההגבלות במשק.

 
האבסורד הוא שדווקא בתקופה זו עבודת הביקורת בארגונים רבים הושעתה, אם על ידי העברת העובדים לתמיכה בפעילויות עסקיות של הארגון או על ידי הוצאת עובדי הביקורת לחל"ת.
בימים אלו אנו מזהים תחילתה של מגמה להחזרת פעילות הביקורת במתכונתה המקורית.
 
החזרה לשגרה מחייבת התאמה לסיכונים ולנסיבות הקיימות:
 
  1. סיכוני סייבר ודלף – בימים אלה בהם עבודה מרחוק הפכה נפוצה ביותר. שיטת עבודה זו מדגישה את הצורך בשמירה על נכסי המידע ולוודא כי הפעולה מבוצעת באופן מאובטח המגן מפני תקיפות סייבר, מעבר לחשיפות הרגילות הנוצרות מעבודה מרחוק. לפי מחקר של חברת צ'ק פויינט, בשבועיים האחרונים חלה עלייה משמעותית במיוחד, בהיקף של כ- 1,100% בהיקף מתקפות הסייבר הקשורות לקורונה - ממספר מאות לממוצע של יותר מ- 2,600 מתקפות ביום, כאשר ב- 28 במרץ נרשמו מעל ל- 5,000 מתקפות כאלה. בייחוד היום, קיימת חשיבות מכרעת לבחון בהקדם את חשיפות הסייבר הקיימות בגישה מרחוק לארגון ולבצע ביקורת טכנולוגית ותהליכית בנושא. קרא עוד.
  2. סיכוני מעילות והונאות – ארגונים עברו תהליכים מהירים בזמן קצר תוך התרופפות במנגנוני ההגנה וירידה בביטחון התעסוקתי של העובדים. תהליכים כגון הוצאת עובדים לחל"ת, הקטנת היקפי משרה, שינויי תפקוד, מתן הרשאות נרחבות ועבודה מהבית תוך חיבור לתשתיות ומערכות חדשות, וכל זאת בנוהל זריז וללא תפקוד מלא של פונקציות הבקרה בארגונים (יחידות ביקורת, בקרה וציות) מעלים את החשיפה לסיכוני מעילות והונאות. יחידות הביקורת צריכות להתאים עצמן לסיכונים אלו ולהתמקד דווקא בתקופה זו בביקורות בהן קיימים סיכוני מעילות והונאות הן מצד העובדים והן מצד גורמים חיצוניים היכולים לנצל את חולשות הבקרה. על הביקורת לזהות את מוקדי פערי הבקרה כיום אל מול השוטף ולנסות למקד מאמצים בגזרה זו. קרא עוד.
  3. שיפור יעילות הביקורת כצורך מתמיד וכמענה לקשיים בביצוע תהליך ביקורת סטנדרטי   – דווקא תקופה זו מהווה הזדמנות לחידוד ושיפור יכולות הביקורת. אמנם מדובר בצורך מתמיד אך בשל האילוצים הנוצרים כגון חוסר יכולת לקיים פגישות פרונטליות, נסיעות מרוחקות וכד' גובר הצורך לחדד את שיטות הביקורת ותוצריה. :
    • שימוש בביקורת אנליטיקס הגוזרות ממצאים ותובנות מתוך נתוני המערכות ללא צורך בפגישות פרונטליות עם מבוקרים. קרא עוד.
    • שימוש בכלי ניהול ביקורת לרבות כלי מעקב ממצאים והמלצות ממוכנים תהליך המאפשר חסכון במשאבי ביקורת יקרים. קרא עוד.
    • מיכון תהליכי בקרה תקופתיים באמצעות כלי אוטומציה וסקריפטים. קרא עוד.

Business Impact Analysis
ניתוח תהליכים עסקיים לטובת - DRP

BIA  הינו תהליך ניתוח ומיפוי של תהליכים עסקיים בארגון, תוך קביעת חשיבותו ורגישותו של כל תהליך והבנת משמעויותיו העסקיות. תוצר תהליך BIA הינו מיפוי מלא של מערכות ותהליכים בארגון בסדר יורד. הערכות  - DRP תיקח את תוצר ה - BIA ותממש/לא תממש אותה בהתאם לשיקולי עלות תועלת

ה - BIA הינו שלב הכרחי בהערכות ל DRP, שכן ללא שלב זה לא ניתן לקבוע באופן אמין, אובייקטיבי ומוכח מהו הנזק שעשוי להיגרם לארגון. ללא קביעת מידת הנזק הצפוי תתקשה הנהלת החברה לקבל החלטה בשיקולי עלות תועלת בהשקעה ב DRP.

ארגונים רבים ממהרים לתוך תהליכי DRP מבלי לקחת בחשבון את המשמעויות העסקיות ומתוך הנחה כי הם "מכירים את השטח". הלכה למעשה, בארגונים רבים מעולם לא בוצע ניתוח BIA והשיקולים בבחירת פתרונות DRP וקביעת המערכות לשעת חירום מבוססות על הערכות ולא על נתונים מהשטח. קרא עוד >>


 

התאמת ביקורת לקצב התפתחות הטכנולוגיה

 

ביקורת אשר אינה בודקת את הצדדים הטכנולוגיים ואינה חודרת לנבכי מערכות המחשב – אינה מספקת כיום. קיים צורך הולך וגובר לשימוש בטכניקות תחקור נתונים ואבטחת מידע כחלק מהביקורת, כמו גם בחינתן של טכנולוגיות מחשוב חדשות הנכנסות לשמימשו בארגון",  כך קובעים אורן שני ואסף קורן, מנכ"לים משותפים בחברת SecAudit, המתמחה בביקורת מערכות אבטחת מידע ותחקור נתונים. קרא עוד>>

 

פעילות ממוקדת חודש נובמבר, ביקורת מעילות פקודות יומן
פעילות ממוקדת לאיתור פקודות יומן חריגות העלולות  
להצביע על מעילה בארגונך! <<קרא עוד 

 

שימוש בכלים ממוחשבים לאיתור מעילות והונאות
עם חלוף הזמן והתפתחות טכנולוגיות המידע, הולכת וגוברת חשיבות השימוש בכלים ממוכנים 
בביצוע ביקורות חיצוניות, פנימיות וביקורת חקירתית, בשל העובדה שיותר ויותר נתונים זורמים 
ב"קופסא השחורה" הנקראת מערכות מידע.  הכלים העיקריים שישמשו אותנו לאיתור חריגים אלו יהיו כלי ביקורת ייעודיים כגון ACL, כלים ייעודיים לבדיקת מערך ההרשאות, כלי - BI ו-Data mining. במאמר זה נסקור מספר דוגמאות של מעילות ואת הדרך בה ניתן באמצעות כלי ביקורת 
ממוחשבים לאתר "ממצאים מחשידים" אשר יובילו לאיתור מעילות אלו. קרא עוד >>

 

איכות נתונים. האם אתה בצד המנצח?
יישום תקנות כגון Basel II. Sarbanes Oxley, ו- Solvency II מוביל את הארגונים ליישום מודלים שונים להגברת הבקרה הפנימית אשר תכליתם בין השאר: הגברת יכולת ההסתמכות על הנתונים והמידע. תקנות ורגולציות אלו מובילות לצורך הולך וגובר בהגברת איכות ואמינות הנתונים בארגון. אם את/ה רוצה להיות בצד שמנצח, עליך לדאוג כי בידך יהיו כל הכלים שיאפשרו זאת. ויש לזכור כי הראשון שישיג את המידע האיכותי יהיה הראשון להשתמש בו. קרא עוד>>

 

חשיבות הפרדת תפקידים ועקרונותיה
הפרדת תפקידים  - Segregation Of Duties, הינה אחת הבקרות החשובות למניעת טעויות ואיתור מעילות. הפרדת תפקידים מבוססת על התפיסה לפיה יש להפריד פעולה למספר מטלות, כך שמספר אנשים יבצעו את הפעולה ולא אדם אחד יבצע פעולה אחת מתחילתה ועד סופה. בתהליך יישום ההרשאות במערכת - Oracle Application ובמערכות אחרות, יש לוודא שההרשאות המתוכננות עבור כל משתמש במערכת לא יכללו קונפליקטים. קרא עוד >>

 

אבטחת מחשבים ניידים
אחד הסיוטים הגדולים של הארגון הוא בתחום איבוד מחשבים ניידים. הבעיה היא כמובן חוסר הידע של מה נשמר על הנייד בזמן שנגנב ומה יכול הגנב לעשות עם חומר זה. נחלק את ההתמודדות לשני חלקים - האחד התמודדות לוגית והשני התמודדות פיזית. בתחום הלוגי הפתרון כולל התקנת תוכנת הגנה/איתור על המחשב הנייד. בתחום הפיסי - נעילה וגלאי קרבה. קרא עוד >>

 

התרחש אצלי אירוע אבטחת מידע ? מה לעשות?
בשנים האחרונות אנו רואים אחת לתקופה כי ארגון זה או אחר נפגע באירוע אבטחת מידע. בין אם גניבת מידע, תקיפת אתר הארגון, הרשת או דליפת מידע. ברוב המקרים נשמע רק על אירועים רוחביים העשויים להשפיע גם עלינו (כגון אירועי Phising בבנקים), כאשר למעשה כמות האירועים המתרחשת הינה גדולה בהרבה ובמקרים רבים האירוע מושתק. מספר המלצות שיעזרו לכם (ונקווה שלא תדרשו להן(. קרא עוד >>

 

גניבת שמות דומיין

אם קיבלתם פנייה לקניית הדומיין שלכם חזרה - אתם לא לבד. אם חשבנו שמכת גניבת שמות הדומיינים (שמות מתחם) מאחורינו- טעינו. בימים אלה מקבלת מתקבלות פניות חוזרות ונישנות של לקוחות, אשר שמות דומיין הדומים לשלהם נרכשו. לא די ששמות דומיין אלה נרכשו ע"י גורמים שאינם קשורים לארגון, הקונים מנסים למכור בחזרה  ללקוח את הדומיין. קרא עוד >>


 

תקן PCI DSS

חברות רבות, גם כאלה הפועלות בשגרה להגברת רמת אבטחת המידע, מוצאות עצמן מבולבלות אל מול דרישות ה -  <<קרא עוד .(Payment Card Industry) PCI


 

 
 

לייבסיטי - בניית אתרים