ביקורת סייבר – השכבה החסרה בביקורת מודרנית

ביקורת בעולם דיגיטלי

הביקורת המודרנית כבר אינה נשענת רק על מסמכים, אסמכתאות ותהליכים פיננסיים. כמעט כל נתון עסקי, חשבונאי או רגולטורי נוצר כיום בתוך מערכות מידע, שירותי ענן, מאגרי נתונים ופלטפורמות דיגיטליות.

לכן, השאלה המרכזית אינה רק האם הדוחות הכספיים ערוכים כראוי, אלא גם האם הנתונים שעליהם הם מבוססים הם נתונים אמינים, שלמים, מוגנים וזמינים.

כאשר המידע אינו מוגן, כאשר הרשאות אינן מנוהלות כראוי, או כאשר קיימת אפשרות לשינוי בלתי מורשה בנתונים – גם תהליך הביקורת עלול להיפגע.

זו הסיבה שאבטחת מידע וסייבר הפכו לחלק בלתי נפרד מעולם הביקורת, הציות וניהול הסיכונים.

כל מספר מתחיל במערכת

הכנסות, מלאי, שכר, ספקים, לקוחות, דיווחים לרשויות ותחזיות ניהוליות – כולם מבוססים על מערכות מידע.

מערכות ERP – Enterprise Resource Planning (מערכות לניהול משאבי הארגון) ומערכות CRM – Customer Relationship Management (מערכות לניהול קשרי לקוחות) אינן רק כלים תפעוליים. הן המקור לנתונים שעליהם נשענים הדוחות, הבקרה הפנימית וההחלטות העסקיות.

אם מערכת פיננסית אינה מאובטחת, אם משתמשים מחזיקים בהרשאות עודפות, או אם אין בקרה מספקת על שינויים בנתונים, קיים סיכון ממשי לאמינות המידע הכספי.

במילים פשוטות: ביקורת פיננסית אינה יכולה להתעלם מהסביבה הטכנולוגית שמייצרת את הנתונים.

סייבר הוא סיכון עסקי

בעבר סיכוני סייבר נתפסו בעיקר כנושא טכנולוגי. כיום הם סיכון עסקי, משפטי, פיננסי ומוניטיני.

אירוע סייבר עלול לגרום להשבתת פעילות, אובדן הכנסות, פגיעה במידע אישי, עיכוב בדיווחים, חשיפה לתביעות, פגיעה באמון הלקוחות ושאלות קשות מצד דירקטוריון, משקיעים ורגולטורים.

לכן, סייבר אינו שייך רק למחלקת IT – Information Technology (טכנולוגיית מידע). הוא שייך גם לעולם ה-Audit (ביקורת), ה-Compliance (ציות לדרישות חוק, רגולציה ומדיניות ארגונית), ה-Governance (ממשל תאגידי ומנגנוני ניהול ופיקוח) וניהול הסיכונים.

הרגולציה כבר שם

הרגולציה בעולם מחברת יותר ויותר בין אבטחת מידע, פרטיות, ניהול סיכונים ואחריות הנהלה.

GDPR – General Data Protection Regulation (תקנת הגנת המידע של האיחוד האירופי) קובעת חובות משמעותיות ביחס להגנה על מידע אישי, תיעוד אירועי אבטחה ודיווח על אירועי מידע אישי במקרים המתאימים.

NIS2 – Network and Information Security Directive 2 (הדירקטיבה האירופית לאבטחת רשתות ומידע) מרחיבה את דרישות ניהול סיכוני הסייבר, חובות הדיווח, הפיקוח והאכיפה ביחס לגופים וענפים רבים יותר באירופה.

גם תקני הביקורת עצמם מתקדמים לכיוון זה. ISA 315 (Revised 2019) – Identifying and Assessing the Risks of Material Misstatement (תקן ביקורת בינלאומי לזיהוי והערכת סיכונים להצגה מוטעית מהותית) מחזק את תהליך זיהוי והערכת הסיכונים של המבקר, לרבות התאמת הביקורת לסביבה עסקית וטכנולוגית משתנה.

ISQM 1 – International Standard on Quality Management 1 (תקן בינלאומי לניהול איכות בפירמות ביקורת וייעוץ) מחזק גישה פרואקטיבית ומבוססת סיכונים לניהול איכות בפירמות המבצעות ביקורת, סקירה ושירותי Assurance נוספים.

המסר ברור: ביקורת, ציות וסייבר כבר אינם עולמות נפרדים.

למה לחבר Audit ו-Cyber

כאשר ביקורת וסייבר נבדקים בנפרד, הארגון מקבל לעיתים תמונה חלקית.

יועץ סייבר עשוי לזהות חולשת אבטחה, אך לא תמיד להעריך את השפעתה על הדוחות הכספיים, על ציות רגולטורי או על אחריות דירקטוריון.

מבקר פיננסי עשוי לזהות סיכון בדיווח, אך לא תמיד לראות את מקורו הטכנולוגי.

שילוב נכון בין Cyber Audit (ביקורת סייבר), ביקורת פיננסית ו-Compliance מאפשר לזהות לא רק את הליקוי, אלא גם את משמעותו העסקית: האם הוא משפיע על אמינות הנתונים, על עמידה בדרישות החוק, על ניהול סיכונים, על אחריות מקצועית או על מוניטין החברה.

דוגמה: הרשאות עודפות המטרה אינה להוסיף שכבת בדיקה טכנית בלבד, אלא ליצור תמונת סיכון אחת שמחברת בין טכנולוגיה, כספים, משפט, רגולציה וניהול.

Auren Israel כמרכז ידע

ב-Auren Israel אנו רואים בשילוב בין ביקורת, סייבר ו-Compliance תחום אסטרטגי ומתפתח.

אנו משלבים ידע מקצועי בעולמות הביקורת, החשבונאות, המיסוי, ניהול הסיכונים, אבטחת המידע והרגולציה, כדי לספק ללקוחות ולשותפים תמיכה רחבה ומעשית.

עבור סניפי Auren, שותפי Antea, פירמות מקצועיות ועמיתים בעולם, שיתוף פעולה עם Auren Israel מאפשר להרחיב את סל השירותים בתחום הסייבר והביקורת – ללא צורך בהקמת צוותי סייבר מקומיים מאפס.

במקום לבנות תשתית מלאה של מומחי סייבר בכל מדינה, ניתן להיעזר במרכז ידע מקצועי, מעודכן ומתפתח, שתומך בפרויקטים של Cyber Audit, Information Security Review (סקירת אבטחת מידע), ITGC, Cyber Due Diligence, NIS2 Readiness (היערכות לעמידה בדרישות NIS2), GDPR Readiness (היערכות לעמידה בדרישות GDPR) וביקורות משולבות של Audit ו-Compliance.

המטרה היא לאפשר לשותפים להציע ללקוחותיהם שירות מתקדם, רחב ורלוונטי יותר – תוך שילוב בין המומחיות הוותיקה של עולם הביקורת לבין צורכי הסייבר של העידן הדיגיטלי.

 

 

ראייה עסקית רחבה
הרשאות עודפות
ספק ענן
ביקורת משולבת
Cyber Assurance

 

 

 

 

 

 

 

אופיר אנגל | יו"ר AUREN ישראל

מומחה בינלאומי לליווי דירקטוריונים והנהלות

ביקורת, סיכוני סייבר, ניהול סיכונים וממשל תאגידי