בשנים האחרונות ארגונים רבים, מקטנים ועד גדולים, עושים שימוש רב במערכות המידע הממוחשבות הארגוניות. החל מהתוכנות הפנימיות המשמשות לניהול השכר, המלאי והשיווק ועד לתוכנות חיצוניות בהן משתמשים לקוחותיהם. על מנת לבחון את יעילותן של מערכות אלה ולוודא כי הן אכן מושכות ושומרות את המידע בצורה תקינה. בנוסף, לתחום זה יש גם נגיעה לתשתיות הארגוניות המשתמשות במערכות אלה דוגמת החיבור לרשת, המחשבים והשרתים הפועלים בה. נרחיב מעט על התחום המרתק והפחות מוכר בתחום המחשוב כיום.

מי מבצע את הביקורת על מערכות המידע?

הביקורות על מערכות המידע הארגוניות מתבצעות על ידי אדם שיש ברשותו הן את הידע המקיף בתחום הכלכלי לרבות ראיית חשבון והן את הידע הטכנולוגי המתאים. על מנת לבצע את הביקורת בצורה תקינה, על אותו אדם לעבור תואר במערכות מידע או קורס ייעודי המשלב את כל הידע הדרוש בכדי לבצע את הבדיקה.

הבדיקות מתבצעות הן בצורה ידנית והן בצורה ממוחשבת על מנת לנסות ולאתר תקלות מקריות או מכוונות במערכות המידע מתוך רצון לשמור על מערכת אמינה בה יכולים להשתמש אנשי הפיננסים בארגון לצורך הפקת דו"חות.

האם המספרים שהוזנו מופיעים ללא טעות?

דמיינו שבכל פעם שאתם מזינים סכום מסוים במערכת או מבצעים פעולה חשבונאית, יש טעות בקוד הגורמת למספר להופיע בצורה שגויה. טעות קלה, כמו תוספת או החסרה של הספרה 0 בסוף המספר יכולה לעלות הון. אם בדו"ח השנתי נראה רווח של 10,000 ₪ במקום של 100,000 ₪ החברה תשלם מיסים בסכום לא נכון ועשויה לעמוד בפני קנסות. לכן הבדיקה הראשונה שתעשה היא של בדיקת הזנת הקלט והקליטה שלו במסד הנתונים. אם הסכום נקלט כראוי ומוצג כראוי ניתן להמשיך הלאה.

בדיקת הרשאות הגישה

כעת, שוו בנפשכם מה יכול לקרות אם אחד העובדים יכול להכנס למערכות חישוב השכר ולהגדיל את משכורתו באפס אחד נוסף בסוף המספר. במקום משכורת של 10,000 ₪ יהיו לו 100,000 ₪. בארגונים קטנים הדבר אינו יכול לקרות אך בארגונים גדולים בהן המשכורות מגיעות למיליוני שקלים יתכן והטעות לא תתגלה במהירות. במצב זה נדרשת בדיקה של ההרשאות למסד הנתונים וכן בדיקה של הגישה אליו ואבטחת המידע הנמצא בו.

נתיבי ביקורת והפרדת תפקידים

הדרך הבאה לוודא כי אין מעילות או טעויות קשורה דווקא לתכנון התפקידים בחברה ולמערך ביקורת לפני שמופק דו"ח או יוצא צ'ק. כאשר מספר אנשים בוחנים את המשכורות או התשלומים לספקים ובוחנים אותם מול החשבונית שהוצגה ניתן יהיה לגלות טעויות. אם יש מספר אנשי מפתח בתפקידי בקרה במקומות הרגישים לטעויות לא תהיה תקלה. מתפקידו של איש ביקורת מערכות המידע לבצע בדיקה זו.

תיעוד הפעולות

במקרה שכן התרחשה טעות מקרית או מכוונת, על העסק להיות מסוגל לדעת מי בצע את הפעולה. חייב להיות תיעוד מלא בקבצים המכונים "לוגים" של כל פעולה המתבצעת במערכות המידע הרגישות בעסק. בנוסף, מידע זה חייב להיות מגובה וללא כל אפשרות גישה למבצעי הפעולות. בקר מערכות המידע בוחן את תיעוד הפעולות, האם המידע מגובה? ולמי יש גישה לשינוי תיעוד זה?

שמירה על ארכיב הנתונים של החברה

אם טעות התגלתה לאחר שלוש שנים והחברה מעוניינת לגלות מה היה הנתיב שהוביל לטעות על מנת לתקנו – כיצד ניתן לעשות זאת? בקר מערכות המידע בודק כי כל התהליכים נשמרים בצורה מסודרת בארכיון מיוחד. נתונים אלה יכולים להיות מופרדים מהנתונים הנשמרים כיום על מנת לחסוך במקום.

לסיכום, תחום ביקורת מערכות המידע חיוני לארגון על מנת להמנע מטעויות. בארגונים פיננסים גדולים כמו: בנקים וחברות ביטוח, הרגולטור מחייב ביצוע בדיקה כזו על מנת להגדיל את יכולת הבקרה ולמנוע הונאות ומעילות.