המילה האחרונה: שילוב התמחויות

ביקורת מערכות ממוחשבות – היום ובעתיד
תמונה של מאיר
מאיר פלג

במאמר זה אבקש לדון בתחום של ביקורת מערכות מידע, אסביר מה הוא כולל ואציג את מצב התחום בארץ. מאז לימודיי לתואר MA וקבלת אישור נציבות שירות המדינה לעסוק בביקורת פנים, חלף לא מעט זמן, אבל לצערי בתחום הביקורת לא חל כל שינוי. ראשית יש להדגיש שבתחום זה יש מחלוקת בין אנשי הטכנולוגיה ובקרת האיכות, לבין אנשי החשבונאות אשר מרוממים, מבחינתם במידה מסוימת של צדק, את הביקורת החשבונאית.

תחום הביקורת של מערכות ממוחשבות איננו רק ביקורת ברמה החשבונאית. הוא גם חייב לכלול את הבקרה על הפרטיות (יש אפילו חוק בנושא), את בקרת האיכות ברמת הקוד והביצועים (QA), את רמת ההנגשה לקהלים שונים (גם לגבי זה יש חוק), ובאופן ברור חייב לכלול גם את רמת אבטחת המידע הנדרשת בהתאם לסוג החומר.

ככל שאני מתעמק בהגדרות, החל מאלו שבוויקיפדיה וכלה בהגדרות של משרדי רואי חשבון גדולים או חברות אבטחה, אני נוכח לדעת שאין אף ארגון שמרכז את תחום ביקורת מערכות המידע בכללותה. כל ארגון גורר לכיוונו, מטעמים ברורים, כדי לוודא שהתמחותו תיבחר למתן שירות. אם תחפשו במנועי חיפוש את המונח "ביקורת מערכות ממוחשבות" או "ביקורת מערכות מידע" תוכלו להתרשם בעצמכם לגבי ההבדלים.

ביקורת מערכות מידע היא חלק מעבודת הביקורת של רואה חשבון או מבקר פנים, ומטרתה לבדוק עד כמה הוא יכול להסתמך על מערכות המידע בארגון לצורך הביקורת. ביקורת מערכות מידע משלבת התמחויות בתחום הפיננסים וראיית החשבון עם התמחויות בתחום מערכות המידע והמחשבים. נשאלת כמובן השאלה: איזו הכשרה נדרשת למבקר פנים? מי הוא המבקר המעולה? זה שמגיע מתחום החשבונאות ולמד מחשבים או להיפך?

האיגוד הישראלי לביקורת ואבטחת מערכות מידע שילב בין תחומי הידע בניסיון למצוא את המשותף. אינני מתכוון להעביר ביקורת, אך כאשר בוחנים את הגדרות ותוכני הוויקיפדיה של האיגוד, מבינים את חוסר העדכניות שלהם. אינני ולא הייתי חבר באיגוד, אך אני משוכנע שאחטוף אש וגופרית ממי מחברי האיגוד, אולי אף חברים שלי בעבר.

ראו למשל סתירה פנימית בתוכן ובהסבר באתר של רואי חשבון "האם צריך עכשיו גם רואה חשבון וגם איש מחשבים שיעבדו בנפרד? ממש לא. ביקורת מערכות מידע ממוחשבות הינה תת-ביקורת מתחום עיסוקו של רואה החשבון המאפשרת לו להעריך עד כמה מערכות המידע אמינות ומדויקות. ביקורת מערכות מידע הינה שילוב התמחויות בתחום ראיית החשבון ובתחום המחשבים".

שימו לב למילים "ממש לא" המרשימות אך שגויות. לכל רואה חשבון יש ידע במחשבים? כל רואה חשבון יכול לבדוק קוד? האם הוא מבין באבטחת פרטיות? באבטחת מידע? המצב בארץ ממשיך להיות כפי שהיה, ואת זאת אני אומר בקול רם לאחר שסקרתי שש תוכניות לימוד אקדמיות בתחום. לדעתי, חייבת לקום תוכנית לימוד אקדמית במחשבים המשלבת את כל תחומי הידע שהזכרתי, את הידע בחוק ובתקינה הקיימת. אין עדיין תוכנית כזו. אי לכך, ללא נכונות לבחון את התחום בצורה הוליסטית, נמשיך לראות בעתיד הקרוב עוד ועוד אירועים שמקורם בכישלון ובהיעדר ביקורת מערכות מידע ממוחשבות.

אולי זה הזמן לפתוח תוכנית-על אקדמית או חוץ-אקדמית שתיתן לפחות את עקרונות ההתמחות והשילוב של מומחי ידע. הרשות לפרטיות חוקרת ומאתרת מחזיקי מאגרי מידע לא-חוקיים. האם היא מגיעה לכולם? ברור שלא. מערכות תוכנה נופלות בגלל מקרי קצה שלא נחזו מראש, האם זה ייפסק? לא בהכרח, בגלל חוסר מקצועית. מטוס נופל משמיים גם מפני שלא נבדקו מערכות האוויוניקה. התוכנה, החומרה והשילוב ביניהן. פה קבור הכלב – אין שילוב התמחויות, אין שילוב אנשי מקצוע בצוותי הבדיקה של מערכות ממוחשבות. השילוב יהיה עתיד המקצוע. לא ההתמחות הבודדת.

שיתוף ב facebook
Facebook
שיתוף ב twitter
Twitter
שיתוף ב linkedin
LinkedIn
שיתוף ב whatsapp
WhatsApp
שיתוף ב email
Email

2 תגובות

  1. רואי החשבון של הדור הנוכחי מבינים טוב במערכות ממוחשבות. ואם צריך מומחה למשהו מסוים תמיד אפשר לשכור.

  2. "הדור הנוכחי" – "מבינים טוב" …..הכל יחסי לא מספיק להכיר דואר אלקטרוני , אקסל ורשתות חברתיות אלא להבין "מהיכן צומחות הרגליים", להבין איך לדבר עם אנשי המחשב האמיתיים, לקלוט היכן עלולות להיות פרצות ועוד ועוד. תכניות הלימודים של רואי ההחשבון אינן מכילות מספיק תכנים בהבנת ביקורת ממוחשבת, ואפילו רשימות התיוג המתפרסמות מעת לעת מנציחות את הפער שבין ידע צחשבי לידע בביקורת. ביקורת חשבונאית איננה ביקורת מערכת חשבונאית ממוחשבת, ולא כל מערכת היא חשבונאית. תראו לי 75 אחוז מרואי החשבון שיודעים לבדוק מערכת ERP או יודעים לבחון אם במערכת הממוחשבת של המלאי יש "דלת אחורית " שדרכה אפשר לעדכן מלאי בספירה ללא השפעה על תנועה חשבונאית בהתאם. לי בהחלט מספיק לראות שלל תעודות על קירות משרדי רו"ח ותיקים ביניהן "השתלמות של יום אחד של מייצגים במס הכנסה" (כמו אצל רופאים ועורכי דין), תעודות לרושם בלבד ולא להיקף ידע בחקר מערכות ממוחשבות, באיתור פגמי תהליכים וכו'. לא ביקשת שיאתרו פגמי תוכנה. ראו את הדוגמה הבולטת של משרד רו"ח של הבנק למסחר, וחכו להתפתחויות חדשות. רו"ח שעוסק בביקורת לא צריך שיבדוק נהלי עבודה בחירום? גם התקנים לביקורת הם מינימליסטיים, וברור שתמיד אפשר לשכור מומחי חוץ. תמיד אפשר גם להחליף לרואה חשבון טוב יותר…גם רופא מחליפים(?), לצערנו רק אחרי פשלה(?)…(וזו לא הערה פוליטית)

כתיבת תגובה

האימייל לא יוצג באתר.

פרסום תגובה מהווה הסכמה לתנאי השימוש באתר.
התגובות יפורסמו לפי שיקול דעת העורך.

עשוי לעניין אותך

תמונה של יורם

40, 32 ו-26

אחרי שנת הקורונה – תובנות לגבי המגזר הערבי באקדמיה