ייעוץ עסקי בקרה וניהול סיכונים

מדריך ביקורת GTAG16 – טכנולוגית ניתוח נתונים

הקדמה

מבקרי הפנים נעזרים בניתוח הנתונים בתהליך הזיהוי, , אימות, ניתוח ופענוח מגוון נרחב של מידע מלב הארגון לשם מילוי תפקידם.

ניתוח הנתונים משמש בדרך כלל לאורך ביצוע פעולות הערכה וכן מתן ערך מוסף אחר פעילות ייעוץ.

טכנולוגית ניתוח הנתונים מתבססת בעיקרה על תוכנת מחשב אשר נמצאת בשימוש המבקר כחלק מתהליך הביקורת לשם שיפור אפקטיביות ויעילות הביקורת. חשוב לציין כי מטרה וסקופ הביקורת אינם משתנים בעת שימוש בטכניקת ניתוח נתונים.

ישנם כלי ניתוח נתונים המכילים חבילות ביקורת מוכנות (לדו' ביקורת פק' יומן, ביקורת שכר, ביקורת מלאי וכו') ומערכות לניהול הניתוחים והממצאים.

 

ניצול ההזדמנות

המצב הכלכלי בתקופתנו יוצר סיטואציות בהן חברות רבות נדרשות לצמצם הוצאות ולעמוד בתקני הביקורת החדשים. מצב זה מאפשר למבקרי הפנים לנצל הזדמנות ולהשתמש בניתוח נתונים וכך לעשות יותר – בפחות.

ניתוח הנתונים מאפשר למבקרים אף למלא אחר דרישות הרגולציה בכל הקשור לממשל תאגידי, ניהול סיכונים ובקרה (GRC). בנוסף, ניתוח הנתונים מקנה למבקר יכולת לנהל את אפקטיביות הביקרות ולחפש אינדיקטורים לסיכונים המתעוררים.

 

בימים בהם מחשבים מרכזיים שלטו בעולם העסקים, רק מחלקות ביקורת פנים "עשירות" יכלו לשקול לשלב פעילות של ניתוח נתונים במחלקה.

בעשורים האחרונים הטכנולוגיה התקדמה במהירות רבה וגרמה לירידת מחירים כך שלחברות קל יותר להטמיע מערכות ניתוח נתונים. כך התפתחה טכנולוגיית ניתוח הנתונים, מטכנולוגיה אשר הייתה בשימוש רק אצל מבקרי טכנולוגיות מידע, לטכנולוגיה חיונית המשחקת תפקיד חשוב בתהליכי בקרה. פרוצדורות בקרה רבות משלבות את ניתוח הנתונים כחלק מתהליך הבקרה הכולל ומצפות מכל המבקרים למיומנות טכנולוגית סבירה.

 

קיימים יתרונות רבים לשימוש בניתוח נתונים, לדוגמה:

  • פרודוקטיביות וחיסכון בעלויות – ניתוח הנתונים מאפשר לארגון שיפור בפרודוקטיביות בכל הנוגע לתכנון הביקורת, הערכת סיכונים והגדלת ההיקף ועומק הביקורת. בסופו של דבר, הניתוח מאפשר להרחיב את היקף הפעילויות מבלי להגדיל את צוות הביקורת. בנסיבות מסוימות, מיכון הביקורת אף הוביל לחיסכון בעלויות באמצעות צמצום הצוות הדרוש לשם השלמת תוכנית הביקורת.
  • גישה למידע – ניתוח הנתונים מאפשר למבקרים גישה וביצוע שאיתות לבסיס המידע בארגון ללא התערבות של צד שלישי. בכך המבקרים מצמצמים את תלותם ומפנים זמן פנוי לאנשי ה-IT בארגון. הגישה הישירה למידע מקנה למבקר את הביטחון בדיוק ושלמות המידע המבוקר בארגון.
  • סיכון הביקורת – השימוש בניתוח נתונים מצמצם באופן ניכר את סיכון הביקורת על ידי חידוד הערכת הסיכונים וחלוקה של אוכלוסיית המדגם.

מגמות

כיום, ניתן לשים לב כי קיים לחץ הולך וגובר על מחלקת הביקורת – לעשות יותר עם פחות משאבים. עם זאת תפקיד המבקר הפנימי עומד בחזית הארגון ועליו לספק ביטחון ושקיפות מול ועדות הביקורת וההנהלה הבכירה. לשם עמידה ביעדים אלו – צוותי הביקורת מתמקדים בשיפור אפקטיביות ואיכות העבודה באמצעות הטכנולוגיה.

כיצד ניתוח נתונים עוזר למבקר הפנימי?

ניתוח הנתונים עוזר למבקר הפנים לעמוד ביעדי הביקורת. בחינת תהליכי מפתח בארגון מאפשרת לאתר שינויים, פגיעות בתהליכי הארגון ואיתור חולשות פוטנציאליות העלולות לחשוף את הארגון לסיכונים לא מתוכננים. תהליך זה עוזר בזיהוי הסיכון ותורם להקצאה מתאימה של משאבי הארגון לשם הגנה יעילה מפניו. בנוסף, תהליך זה מאפשר למבקר הפנים לאתר שינויים בתהליכי הארגון  ולוודא כי סיכוני הביקורת רלוונטיים להיום ולא לאתמול.

כאשר אנו מנתחים 100% מהתנועות הרלוונטיות ומצליבים מידע בין מקורות שונים המבקר הפנימי יכול לאתר מקרי הונאה, שגיאות, אי שלמות ואף מקרי אי-יעילות.

קיימות טכניקות ניתוח אשר הוכחו כאפקטיביות למטרת הביקורת, לדוגמה:

  • סקירה אחר נתונים סטטיסטיים ברשומות נומריות (ממוצעים, סטיית תקן, ערכים מקסימליים ומינימליים) לשם איתור ערכים חריגים.
  • קלסיפיקציה וכיווץ שדות טקסט עוזרים לנו לאתר דפוסי נתונים חריגים.
  • ריבוד שדות נומריים עוזר לנו באיתור ערכים לא שגרתיים.
  • הפעלת חוק בנפורד לשם איתור ערכים חריגים בערכים מספריים.
  • איחוד מספר מקורות מידע – איתור ערכים לא זהים כדוגמת שמות, כתובות ומספרי חשבון.
  • איתור כפילויות.
  • איתור פערים.
  • סכימת ערכים מספריים.
  • בדיקות התכנות בין שדות תאריך.

ניתן להשתמש בניתוח נתונים במחזור בקרה רגיל, כאשר תהליכי בקרה שונים יכולים להשתנות מפעם לפעם. הפירוט הבא מספק מספר דרכים לשלב ניתוח נתונים כחלק מתהליכי הבקרה:

שלב התכנון

ניתוח הנתונים מאפשר לנו תכנון ביקורת אפקטיבי על ידי זיהוי אינדיקטורי סיכון בעלי משקל גדול בארגון. דוגמאות לתהליכים בהם ניתן למצוא אינדיקטורי סיכון באמצעות ניתוח נתונים:

  • הכנסות ברמת מיקום, מחלקה או קו מוצרים.
  • גיול חובות (Revenue backlogs by value and age.).
  • שינויים במצבת כח אדם בתפקידי מפתח.
  • תנועות יומן ידניות ותנועות זיכוי.
  • גיול חשבונות חייבים ומלאי.
  • ניהול הספקים (מספר ספקים, נפח עסקאות).
  • חשבונית לעומת הזמנת הרכש(Procurement card vs. purchase order procurement.).
  • ממוצע ימי תשלום של הלקוח.
  • קוד תעשייתי של הספק ברכישות באמצעות כרטיס אשראי

שלב ההכנה

השימוש בטכנולוגיות ניתוח הנתונים מאפשר לנו לקצר את זמן ההמתנה לקבלת נתונים ממחלקת ה-IT (לעיתים זמן ההמתנה מגיע למספר שבועות עקב נתונים לא שלמים או לא נכונים). מבקרים מנוסים יכולים לקבל את המידע הדרוש ישירות מן המערכות השונות, לבצע בדיקות שלמות ולתכנן מבדקי ביקורת. ידע זה יוכל לתת למערכת הביקורת גישה ישירה למידע מהימן כמו גם גישה אוטומטית למספר מקורות מידע לבדיקה מהירה ויעילה.

המידע צריך להיות מאוחסן במאגר מרוכז על מנת לאפשר גישה לכל צוות הביקורת, כל אחד על פי הרשאתו.

שלב הבדיקות

מכיוון שהביקורת מתבצעת על כמות נתונים גדולה – מספר מבקרים מסתמכים על בדיקות נקודתיות ודגימה. בדיקות אלו יעילות כאשר נמצאות נקודות כשל או כשלים בביקורות הפנימיות. לשם שיפור אפקטיביות הבקרה רצוי לבצעה על כלל אוכלוסיות הנתונים. בעת איתור כשל, המשאבים יוקצו לטובת הסביבה בה אותר החריג לשם שימוש יעיל יותר במשאבי הביקורת. בנוסף, היכולת במיכון הבדיקה ושימוש בסקריפטים מגבירה את היעילות המחלקתית ומאפשרת להבין טוב יותר את אזורי הסיכון. תוצאות וסקריפטים צריכים להיות מאוחסנים במאגר מרכזי המאפשר לחברי צוות הביקורת לסקור את הממצאים ולעשות בהם שימוש חוזר.

סקירה

הסקירה הינה חלק חשוב בתהליך ניתוח הנתונים. הסקירה מוודאת כי ניתן להסתמך על פלט ומסקנות הניתוח וכי מדובר בפלטים מהימנים.

 

שימוש בטכנולוגיית ניתוח נתונים

תוכנת ניתוח הנתונים

אנשי הביקורת מחפשים תוכנה נוחה ללימוד ולשימוש. התוכנה חייבת לשפר את עבודת הביקורת הקיימת, להיות בעלת יכולת ריצה על בסיס חוזר בעת ביצוע ביקורת זהה או דומה ואף בעלת יכולת להיטמע במערכת ביקורות מתמשכות.

אומנם, תוכנות כלי ניתוח נתונים קיימות למעלה מ-20 שנה אך על פי מחקר של חברת PwC משנת 2010 נמצא כי חלק ניכר מן המבקרים אינו משתמש בניתוח נתונים באופן אפקטיבי.

תרשים א' – שימוש בטכנולוגית ניתוח נתונים מתוך מחקר של חברת PwC משנת 2010

מקור:

.A future rich in opportunity: Internal audit must seize opportunities to enhance its relevancy PricewaterhouseCoopers 2010 State of the Internal Audit Profession Study, March 2010, p.22

 

הגדרת מיומנות המבקר

עם החלטת יישום ניתוח הנתונים במחלקת הביקורת, יש להחליט אם ישנו צורך בגיוס עובד חדש בעל מיומנות מתאימה בניתוח נתונים. אופציה נוספת היא להשקיע בהכשרת עובדים ולהוסיף את הנושא לתקציב המחלקה ולתוכנית העבודה השנתית, זאת לשם הבטחת יישום טכניקת ניתוח נתונים באופן מוצלח.

חסמים אפשריים

יתרונות ניתוח הנתונים ברורים לכל, אך עם זאת יש להיות מודעים לחסמים שיש להתגבר עליהם:

  • הגדרת היקף בצורה טובה לפני תחילת הפרויקט.
  • ווידוא כי המידע נגיש ואופן תדירות קבלתו.
  • הכרת המידע שהתקבל.
  • הכנת המידע לניתוח.
  • מידע שהוזן ידנית יפגע במהימנות המידע.

חשוב כי חסמים אלו יעלו עוד בשלב היישום וההטמעה של מערכת ניתוח הנתונים. חלק גדול של האתגרים והסיכונים ייפתרו על ידי פיתוח צוות עובדים מיומן, שינויים בתהליכי הביקורת והטכנולוגיה בה המשתמש יבקש לעשות שימוש.

 

נקודות מפתח לשימוש הטכנולוגיה

המבקר הפנימי יכול לבחור בין ניתוח נתונים בעזרת גיליונות נתונים כדוגמת אקסל, לבין ניתוח נתונים באמצעות כלי ניתוח נתונים ייעודי כדוגמת ACL. יתרונו הבולט של כלי הניתוח הייעודי הינו התאמתו הספציפית לדרישות המבקר בעת ניתוח הנתונים. התאמה זו נעשית לשם הערכה של היעילות התפעולית של הבקרות הפנימיות, להערכת סיכון ואיתור האינדיקטורים לפעילות הונאה.

בעת שימוש בטכנולוגיית ניתוח נתונים עלינו לדון ולהתייחס לשלושה תחומים שונים:

  • גישה למקור המידע.
  • יכולת ניתוח עבודת הביקורת.
  • תיעוד ויכולת ריצה אוטומטית.

 

גישה למקור המידע

גישה ישירה לבסיס הנתונים מהווה יתרון לצוות הביקורת: ייעול תהליכי הביקורת על ידי גישה ישירה לנתונים באמצעות "משיכת" נתונים על פי דרישה או באמצעות תזמון שהוגדר על בסיס חד פעמי או חוזר. בנוסף, חסכון זמן יקר ומשאבים ממחלקות ה-IT מכיוון שאין עוד צורך לבקש גזירת נתונים ממערכות הארגון.

ישנם שלושה אתגרים בנושא הגישה למקור המידע אשר עוזרים למבקר בעת שימוש בכלי ניתוח:

  • נפח הנתונים דרוש כדי לספק ביטחון יעיל של תהליכים בארגון – ניתוח נתונים יעיל עבור הביקורת הפנימית חייב להיות מסוגל לנתח את כלל אוכלוסיות הנתונים כדי לחשוף את התמונה כולה.

עסקאות חשודות ניתן לזהות מוקדם יותר ואף לנקוט בפעולה מתקנת לפני שהיא הופכת לחולשה מהותית או לפני שהופכת לחייבת בדיווח חיצוני.

בשנים האחרונות, כמויות הנתונים גדלו עד כדי כך שייתכן שיש יותר מדי נתונים. עלינו לשקול אלו נתונים יש להוריד או לייבא למחשב לשם ניתוח נתונים יעיל.

לפי הדרישות הטכנולוגיות היום, צריך לשלב פתרונות מבוססי שרת ולספק פתרון בעל ארכיטקטורה איתנה ואמינה השומרת הן על שלמות הנתונים ועל גישה מבוקרת.

לשם קבלת פתרון זה, עלינו לבצע ניתוח נתונים בסביבת IT מאובטחת ובכך להפחית את תעבורת הרשת, למזער את הסיכונים הכרוכים בהמרות, שכפולים והפצת נתונים ארגוניים רגישים.

  • מגוון רחב של סוגי נתונים, פורמטים ומקורות – במרבית הארגונים ניתן למצוא כיום מספר מערכות ונתונים ממגוון פורמטים שונים. העבודה עם תוכנת ניתוח נתונים מקנה לארגון יכולת להתממשק ולקבל נתונים ממגוון רחב של מערכות קיימות ובפורמטים שונים וכך לצמצם את הסיכון לשינוי הנתונים בעת תהליך קבלה ויצוא המידע.

פיתרון ניתוח נתונים יעיל צריך להיות מסוגל לקרוא ולהשוות נתונים מגוון רחב של פורמטים כולל נתונים מקושרים, נתונים ישנים שאוחסנו, גיליונות אלקטרוניים, פלטי דוחות, קבצים שטוחים וכו'. טכנולוגית ניתוח נתונים יעילה צריכה להיות מסוגלת לגשת אל הנתונים במהירות וביעילות כדי לענות על צורכי הביקורת הפנימית.

  • מהימנות ודיוק של המידע – מהימנות דיוק הנתונים הינה בעלת חשיבות עליונה בתהליך הביקורת. ניתוח נתונים יעיל בטכנולוגיה לצורכי הביקורת חייב להגן על שלמות ואיכות הנתונים. בעת יצוא הנתונים והמרת השדות יתכנו מקרים בהם תפגע שלמות הנתונים ובשוגג יוצגו ממצאי ביקורת שגויים. טכנולוגית ניתוח נתונים יעילה חייבת להיות בעלת יכולת לגשת ולנתח נתונים מבלי לשנות אותם. כלי ניתוח נתונים יעילים צריכים להגן על נתוני המקור מפני שינוי ערכים ברשומות על ידי עריכת הנתונים. בעוד שטכנולוגית ניתוח הנתונים צריכה להגן על שלמות ואיכות של נתוני המקור – לעתים קרובות נתוני המקור כוללים נתונים שגויים או ליקויים. שימוש בטכנולוגית ניתוח הנתונים מצריכה מרואי החשבון ומהבקרים הפנימיים לבדוק באופן תמידי את תקפות הנתונים. קבלת נתונים נכונים ומלאים הינו תנאי של ניתוח נתונים יעיל.

 

יכולת ניתוח עבודת הביקורת

טכנולוגיית ניתוח נתונים לשימוש הביקורת הפנימית צריכה לכלול את הכלים והפונקציונאליות שרואה החשבון המבקר / המבקר הפנימי צריך לשם בצוע עבודתו ביעילות. לא רק שהוא צריך להתמודד עם אתגר הגישה למאגר הנתונים, אלא אף לבחור את אופן הביקורת ואת סוג ניתוח הנתונים אשר יתאים למשימת הביקורת.

תוכנות ייעודיות לניתוח נתונים יאפשרו פקודות ופונקציות שיוכלו לאתר כפילויות, פערים במספרים רציפים, קיבוץ עסקאות לפי סוג, טווח מספרי וגיל. היכולת לסנן כמות כדולה של נתונים במהירות וביעילות היא דרישת מפתח.

כאשר מבצעים ניתוח השוואתי, התוכנה צריכה לדעת גם למזג קבצי מידע ממקורות שונים ולאתר התאמות או אי-התאמות בין הקבצים. כמו כן על התוכנה לתמוך בביצוע בקרות אוטומטיות ומתמשכות. אפשרות זו יכולה לזהות חולשות בבקרות על בסיס מתמשך.

תיעוד ויכולת ריצה אוטומטית

אחד מהיתרונות הגדולים של ניתוח נתונים הוא רישום ותיעוד של כל תהליך הניתוח. תוכנת ניתוח הנתונים מתעדת כל פקודה שניתנה ביומן אירועים (Log). יומן המערכת יכול לשמש לצורך בנייה של תהליך אשר יקלוט את הנתונים, יבחן אותם וייצר דוחות ביקורת בצורה אוטומטית וכן יכול להוות הוכחה בעתיד לאיכות עבודתה של הביקורת.

הקשר שבין ניתוח נתונים לבקרה מתמשכת

שימוש אפקטיבי בניתוח נתונים טכנולוגי הוא הקדמה לבקרה פנימית מתמשכת.

ישנם חמישה דרגות יכולת בתחום זה, כמפורט להלן:

רמה 1 – שימוש בסיסי בניתוח נתונים

רמה זו מאופיינת על ידי שימוש בשאילתות ספציפיות הכוללות ניתוח סטטיסטי וקיבוץ מידע.

שימוש ברמה זו מבוצע בדרך כלל אד-הוק על ידי מספר עובדים מצומצם מצוות הביקורת ולפעמים אף לא מתוכנן מראש. רמה זו משתמשת בדרך כלל לתחימת אזורי הביקורת, ניתן להטמיע תהליך כזה בתוך תהליך הביקורת השלם.

רמה 2- ניתוח יישומי

רמה זו מבוססת על הרמה הקודמת ובונה ניתוח מידע לצורך תהליך ביקורת שלם. השימוש בו הוא פרוגרסיבי ומתקדם ככל שמוסיפים יותר בדיקות לתהליך.

תוצאות ניתוח על פי הרמה הזו הן מדויקות יותר ושלמות יותר ולכן יכולות לאפשר מיקוד של תכנית הביקורת לכיוון סיכונים מתעוררים.

רמה 3 – ניתוח מנוהל

רמה זו מבוססת גם היא על הרמה הקודמת שלה ומצריכה תכנון, תחכום וסדר. ברמה זו כל נתוני המקור, הסקריפטים והתוצאות מרוכזים במקום נגיש לכל צוות הביקורת. בצורה זו תהליך הביקורת ידוע לכולם ולא רק ל"מקצוענים", כך גם ניתן לעקוב בקלות אחר עבודת הביקורת ולשחזרה במידת הצורך.


רמה 4- אוטומטיזציה

הרמה האוטומטית מאפשרת בקרות מתמשכות הבנויות על הרמה הקודמת. ברמה זו מפותחים מבחנים אשר נבדקו באזור מבוקר של נתונים ואומתו כמבחנים אמינים.

על מנת ליישם בקרה מתמשכת יש להתחשב לא רק בהיבטים הטכנולוגיים שלה אלא גם בשיטת עבודת הביקורת. ברמה זו נדרש שינוי של השיטה מהתמקדות מסורתית בסיכונים ספציפיים לבחינת סביבת אזור נרחב וחדש של סיכונים.

בבקרה מתמשכת זו יש סיכון נוסף והוא שלעיתים הממצאים לא מועברים ביעילות לטיפול ההנהלה. יש ליישם תהליכים אשר יוודאו מעבר זה.

 

רמה 5- בקרה מתמשכת

לאחר שבקרה אוטומטית מתמשכת הוקמה ומגלה פוטנציאל לחריגות, אי סדרים ומעילות. השלב הבא הוא אימוץ על ידי ההנהלה של כלי זה והרצה שוטפת של המבדקים.

בקרה מתמשכת יכולה להיות מרכיב חשוב בתהליך ניהול הסיכונים בחברה.

 

מהיכן מבקר הפנים צריך להתחיל

לפני רכישת תוכנה יש קודם למפות את צרכי החברה והביקורת הפנימית.

אסטרטגיה של בקרת העל

על וועדת הביקורת וההנהלה לעשות עבודה מקיפה בבירור הסקופ, התחומים, התהליכים, הטכנולוגיות והאנשים ולראות האם אסטרטגיית הבקרה שלהם נכונה.

חשוב להדגיש כי בחינת הטכנולוגיה לבדה אינה יכולה להכריע. יש לבחון 3 מרכיבי מפתח:

  • משאבי אנוש
  • טכנולוגיה
  • תהליכים

משאבי אנוש

כלל שמחלקת ביקורת הפנים גדולה יותר כך היקף המומחים יכול לגדול בהתאם.

תדרוך והשכלה – מחלקת ביקורת הפנים צריכה להיות מתודרכת בתחום מושגי מערכות המידע, ניתוח נתונים ופירוש תוצאות הניתוח. פיתוח יכולות אלו יעזור לצוות ביקורת הפנים להשיג הבנה עמוקה יותר בפעילות העסק, בצורת תיעוד עסקאותיו ובהתאם להעריך את נקודות החולשה שיש לבדוק.

תפקידים ואחריות – צוות הביקורת יכול לכלול מומחים בתחומים הבאים:

מומחה מידע- בתפקיד זה ישמשו אנשים אשר להם הידע לגשת לתוכנות החברה, לייצא ולהכין את הנתונים הנדרשים לצוות הביקורת.

מומחה ניתוח מידע – בתפקיד זה ישמש אדם לו תהיה המיומנות לנתח נתונים ולהשתמש בטכנולוגיות שונות על מנת ליישם רוטינות ביקורת ולחלוק את המידע עם שאר צוות הביקורת.

צוות מבקרים – להם יהיה ידע כללי בתחום המידע וניתוח הנתונים. הם יוכלו לסקור את תוצאות הבדיקות שנעשו על ידי מומחי ניתוח המידע וליישם בדיקות פשוטות משלהם. כמו כן, תהיה להם המיומנות לתעד את הבדיקות שנעשו ולבנות דוח על בסיס אותן בדיקות.

ראשי צוותי בקרה – ראשי מחלקת הביקורת יוכלו לראות את תהליכי הבקרה האוטומטית והידנית שבוצעה, ולראות כיצד תוצאות בקרת הנתונים משתלבות עם שאר נושאי הבקרה הפנימית הנבדקים.

תהליך

שילוב ניתוח הנתונים אל מערכת הביקורת הפנימית משנה את הצורה בה הבקרה מבוצעת. בצורה זו ניתוח הנתונים לא יהיה רק "שלב המבדקים" אלא יהווה שיקול מרכזי בכל חלק של הביקורת הפנימית. במקרים מסוימים הכנת הנתונים לצורך ניתוחם יכול לגרום להארכת זמן הביקורת במידה ומדובר בנתונים ממקורות רבים. כמו כן, בעת יישום בקרה מתמשכת יוכל הארגון להיערך בהתאם לממצאים ולתקן את בקרותיו כך שלא יהיו ממצאים בתחום שכבר התגלה כסיכון.

טכנולוגיה

מבקרי הפנים צריכים לשקול את מטרותיהם ברכישת טכנולוגית ניתוח נתונים. האם מדובר בתהליך ארוך טווח או בדיקה חד פעמית.

בין אם יחליטו כך או אחרת השלב הראשון של מבקרי הפנים יהיה לבצע הערכת סיכונים מקדמית ולתאם בין הסקופ לבין מטרות הביקורת.

חסמים

ניסיון להגדיל את המיקוד של ביקורת הפנים בניתוח הנתונים יכול להיתקל בחסמים ובאתגרים. החסם הכי נפוץ הוא הערכת חסר של הקושי בהטמעת המערכת, חוסר בהבנת המידע וצורך לפתח מומחיות באיתור חריגים.

להלן מספר נקודות להתייחסות

  • התאמה בין ביקורת הנתונים הכוללת לבין:
  1. תהליך ניהול הסיכונים
  2. תכניות ביקורת עכשוויות
  3. מטרות ויעדים ארוכי טווח של הביקורת
  • יוזמה בתהליך ניתוח הנתונים
  • פיתוח מספר טסטים לצורך הערכת היקף העבודה
  • האצלת סמכויות למנהל מידע, בודק איכות ותפקידי מפתח אחרים
  • תיעוד סקריפטים על מנת ליישם בעתיד בקרות אוטומטיות
  • סקירה של תוצאת מבדק ראשוני על מנת להבטיח כי התוצאה מותאמת לצרכי צוות הביקורת
  • בדיקה של עמית או מנהל לתוצאות המבדק על מנת להבטיח כי הלוגיקה והתהליך בבדיקה היו נכונים
  • אחסון מבחנים ופרוצדורות במאגר מרכזי מאובטח
  • גיבוי של נתוני המקור ושמירה עליהם מפני שינוי.
  • בדיקה של השפעה פוטנציאלית של ניתוח הנתונים על מערכות הייצור או שימוש בשכפול קבצי המקור על מנת לא להכביד על המערכת
  • לימוד צוות הביקורת כיצד להבין נכון את תוצאות ניתוח הנתונים
  • התייחסות להדרכות כאל תהליך מתמשך והגדלה מתמשכת של יכולות הצוות.

כוון לשיפור קבוע על ידי מינוף טכנולוגית ניתוח הנתונים ככל שהסקריפטים ישתפרו לאורך הזמן.

 

בביבליוגרפיה:

• GTAG16 (GTAG – Global Technology Audit Guide), IIA – The Institute of Internal Auditors

• Standard 2300: Performing the Engagement

• Standard 2310: Identifying Information

• Standard 2320: Analysis and Evaluation

• Practice Advisory 2320-1: Analytical Procedures

• ACL web Site: www.acl.com

יצירת קשר