הבא הדור שירות
Transcription
הבא הדור שירות
בקרה פנימית בלשכת שירות -הדור הבא מירב הכרי ואביבית וינוגורה פעילותן העסקית של ארגונים רבים נסמכת על לשכות שירות – החל מלשכות שירות קלאסיות בתחום השכר ועד ללשכות שירות חדשניות כמו מחשוב ענן .חוות דעת על פי תקן SAS70ידועה ומוכרת במגזרים השונים כדוח אשר מתקבל מלשכות השירות השונות ,ובעיקר כפורמט שיצר מסגרת עבודה לרואי חשבון של החברות לגבי תכנון ,יישום ואפקטיביות הבקרות .בנוסף שימשו הדוחות הללו ככלי עזר להנהלה הבכירה בהבנת הסיכונים הקשורים ללשכות השירות. בשנת ,2011חוות הדעת על פי תקן SAS70מקבלת משמעות חדשה הודות לתקנים חדשים והרחבה לתחומים ולצרכים חדשים הבקרה הפנימית בלשכת השירות מזה שנים רבות חברות גדולות וקטנות נסמכות על לשכות שירות בתהליכים מהותיים – החל מלשכות שירות שכר הקלאסיות ,דרך לשכות שירות לתפעול קופות גמל שנוצרו בעקבות שינויים רגולטורים ועד למחשוב ענן ,לשכות שירות המספקות פלטפורמות מחשוב ברמות שונות לארגונים )ראה מסגרת( .לשכת שירות היא כל ספק חיצוני אשר שירותיו משפעים על הביצועים הפיננסיים והתפעולים של החברה ,החל משלב יזום עסקאות ואירועים ,רישומם ,עיבודם ודיווחם בדוחות הכספיים של מקבל השירות. מגוון לשכות השירות גדל ללא הרף ובמקביל ,הולכות ומתפתחות דרישות רגולטוריות בתחומי ניהול סיכונים ובקרה פנימית .נוסף על אלו ,ההתפתחות הטכנולוגיות לא חדלה ובתורה חושפת ארגונים לסיכונים חדשים .מסיבות אלו גוברת הדרישה להבנת סביבת הבקרה הפנימית של לשכות השירות ,בין אם במסגרת תפעולית ,ביקורת או עמידה ברגולציות כגון SOXלגווניו. על הנהלת החברות להכיר ולהבין את השפעותיהן של לשכות השירות על הפעילות העסקית ,במטרה לזהות את הסיכונים ולפקח על ביצוע הפעולות המבוצעות על ידן ,באמצעות בחינת האפקטיביות של הבקרות המבוצעות ע"י לשכת השירות עצמן. עד ליוני ,2011חברות ורואי החשבון שלהן נעזרו בדוח " "SAS70אשר סיפק מידע על סביבת הבקרה בחברה וכלל חוות דעת של רואה חשבון מבקר על תכנון ,יישום ואפקטיביות הבקרות בארגון .חוות דעת זו הכילה תמונה שלמה של סביבת הבקרה ברמת הארגון ,ברמת הפעילות וברמת טכנולוגיות המידע של לשכת השירות. שנת – 2011תקנים חדשים ל SAS70 בדצמבר ,2009פורסם על ידי ה (International Auditing and Assurance Standards Board) IAASB-תקן בינלאומי )ISAE ) International Standard on Assurance Engagements 3402על הבקרות בלשכות השירות .זמן קצת לאחר מכן פורסמו על ידי ה- ) American Institute of Certified Public Accountants (AICPAהנחיות לחוות דעת על בקרות בלשכות שירות Statement on - .Standards for Attestation Engagements (SSAE) 16תקנים חדשים אלו נכנסו לתוקף החל מתקופה המסתיימת ב 15-ליוני 2011 ואילך .במילים אחרות ,החל מתאריך זה לא יוכלו חברות להסתמך על חוות הדעת על פי תקן .SAS70 המטרה המרכזית של התקנים החדשים ,בדומה לתקנים הקודמים ,היא לספק הבנה של סביבת הבקרה הפנימית בלשכות השירות, אולם השינוי המהותי הוא שהתקנים החדשים הם מסוג Attestationבניגוד לתקן SAS70שהיה תקן ביקורת .המשמעות העיקרית של השינוי היא שהחל מיוני ,2011חוות הדעת של רואה החשבון המבקר תתבסס על הצהרת ההנהלה ) (Assertionבנוגע לתכנון ,יישום ואפקטיביות הבקרות .ההצהרה תינתן על סמך פעולות ניטור ובקרה המבוצעות על ידי ההנהלה ,בנוסף לביקורת המבוצעות על ידי רואי החשבון .למעשה התקנים החדשים מקרבים את תהליך מתן חוות הדעת לתהליך ביקורת ה SOX-בחברות. מהם ההבדלים העיקרים בין תקן SAS70לתקנים החדשים? הצהרת הנהלה SAS70 תקנים חדשים )(ISAE3402 ,SSAE16 על ההנהלה לספק מכתב הכולל הצגה ההנהלה תידרש לספק הצהרה כתובה )(Assertion ) (representationבכתב לכך שהבקרות עוצבו בנוסף למכתב ההנהלה )ראה מסגרת( באופן מתאים ופעלו באופן אפקטיבי הגבלת השימוש בדוח דוח המבקר כולל הצהרה המסייגת את השימוש הדוח חייב לכלול הצהרה כי הוא מיועד לארגונים בדוח להנהלת הארגון ,ארגונים מקבלי השירות מקבלי השירות ולמבקריהם ,אך הוא יכול גם להכיל ומבקריהם הגבלת שימוש דיווח על חריגים כל החריגים שהתגלו נדרשים להיות מדווחים בדוח לרו"ח המבקר האפשרות להסיק כי סטיות שהתגלו אירועים עוקבים על מבקר הארגון לקחת בחשבון גילוי אירועים הגילוי של מבקר הארגון יוגבל רק לאירועים שיכלו עוקבים לחוות הדעת )אם אלו לא נכללו בתיאור להשפיע על חוות דעתו בעת ביצוע טסטים על ידי דגימות הינן סטיות בודדות ולא לדווח עליהן המערכות( ,שיוכלו להשפיע על דעתם של משתמשי הדוח ,על מנת שלא להטעותם שימוש הביקורת הפנימית השימוש בביקורת פנימית מותר ,אולם לא ניתן גילוי – SSAE16ממשיך בקו המאשר את השימוש בביקורת של בדיקות אשר בוצעו על ידי הביקורת הפנימית הפנימית ,אולם יהיה לתת שעת שימוש בבדיקות אשר בוצעו על ידי הביקורת הפנימית ,כמו גם בבדיקות שבוצעו בהסתמך על עבודת הביקורת הפנימית. – ISAE3402גם כן יחייב מתן גילוי על בדיקות אשר בוצעו בהסתמך על עבודת הביקורת הפנימית ,אך אינו מאפשר היעזרות ישירה בביקורת הפנימית ראיות שהושגו בהסכמים קודמים מבקר הארגון רשאי להשתמש בראיות אשר הושגו ראיות שהושגו בביקורות קודמות לגבי יעילות פעילות בביקורות קודמות או על ידי מבקרי ארגון אחרים על הבקרות בתקופות קודמות לא יוכלו להוות בסיס מנת להפחית את הפעילות ,משך וגודל בדיקות להפחתה בבדיקות ,גם אם נתמכות בראיות שהושגו האפקטיביות במהלך התקופה הנוכחית .יחד עם זאת ,ייתכן כי במקרים בהם יתגלו סטיות ,הביקורת תאלץ להגדיל את היקף הבדיקות המבוצעות בתקופה הנוכחית אחת הבעיות העולות מהשימוש בתקנים החדשים היא כי הם מגבילים את השימוש בהם למטרות בקרה פנימית המשפיעה על הדיווח הכספי של לשכות השירות בלבד ,במיוחד עם התפתחות שירותים טכנולוגיים חדשים כגון מחשוב הענן )ראה מסגרת( ,עולה הצורך בחוות דעת על מטרות בקרה אשר אינן קשורות לדיווח הכספי בלבד אלא לנושאים תפעוליים אחרים ,היבטים של זמינות הנתונים – ולכן פיתח ה AICPA-את דוחות ה) SOC-ראה מסגרת(. – הצהרת ההנהלה1 מסגרת המשפיע על לשכות השירות הינו הדרישה, לבין התקנים החדשיםSAS70 השינוי המרכזי בין חוות דעת על פי תקן,כפי שהוזכר ,( המבוססת על קריטריונים מקובלים וכוללת התייחסות להצגה נאותה של תיאור המערכותAssertion) מההנהלה לספק הצהרה כתובה יישום ואפקטיביות הבקרות בתקופת הביקורת במטרה להשיג את יעדי,זיהוי הסיכונים המאיימים על השגת יעדי הבקרה ולתכנון .הבקרה ההנהלה צריכה להשיג בסיס סביר לנושאים עליהם היא מצהירה – אין הכוונה לביצוע בדיקות מקיפות כפי,כחלק מכתיבת ההצהרה אין באפשרות ההנהלה להתבסס על הבדיקות המבוצעות על, יחד עם זאת.Sarbanes-Oxley של תקן404 שנדרש לדוגמא על פי סעיף התקן מספק להנהלה גמישות לביסוס ההצהרה – מסגרת הבקרה של ההנהלה יכולה לכלול.ידי המבקר של לשכת השירות לבדם . כגון בקרות ניטור ושימוש בביקורת פנימית רלוונטית,נהלים Level of Assertion התרשים הבא מציג את טווח האפשרויות של ההנהלה לבסיס מספק למתן ההצהרה Example Procedures Supporting Documentation Reasonable basis for management assertion * SOX Testing Separate Evaluations Ongoing Monitoring No Basis Service auditor performs testing and issues report None • Management reporting and other oversight activities • Management risk assessment • • • Internal Audit testing/monitoring • Independent regulatory exam • Independent risk assessment Management monitoring documentation • Regulatory reporting • Internal Audit reporting Management risk assessment documentation • Independent risk assessment results Management or independent assessment of operating effectiveness of SAS 70 controls Testing evidence for the operating effectiveness of SAS 70 controls * A combination of ongoing monitoring and separate evaluations will usually help ensure that internal control maintains its effectiveness over time. בקרה פנימית במחשוב ענן- 2 מסגרת .(cloud computing) "אחד מהטרנדים הלוהטים של ניהול טכנולוגיות המידע בחברות הינו המעבר ההולך וגובר לשימוש ב"מחשוב ענן מחשוב ענן בהגדרתו הרשמית על ידי ה (NIST) U.S. National Institute of Standards and Technology -הינו מודל להפעלה נוחה, המאפשרת גישה לפי דרישה למאגר רחב ומשותף של משאבים ממוחשבים .מחשוב ענן מאפשר להשתמש בכוח עיבוד ומחשוב דרך רשת האינטרנט בה נמצא ה"ענן" המכיל את הנתונים והלוגיקה העסקית של מערכות המחשוב. כתוצאה משימוש בשירותים אלו ,הצורך של ארגונים לרכוש ולנהל משאבי מחשוב הולך וקטן .יתרונות השימוש במחשוב ענן הינם ,בין היתר ,עלויות נמוכות ,יעילות משאבים גבוהה ויכולת טובה במקרה של התאוששות מאסון. עם זאת ,מחשוב ענן מעלה סימני שאלה וחששות רבים בנושאי אבטחת מידע ,תפעול וזמינות הנתונים והיבטי בקרה פנימית נוספים, ולכן חברות המספקות שירותי מחשוב ענן ידרשו לספק ביטחון אודות אפקטיביות הבקרה הפנימית על מנת להבטיח את שלמות ,דיוק, סודיות וזמינות הנתונים של לקוחותיהן .על מנת לספק את ביטחון זה ,ספקי מחשוב ענן יידרשו לתת תיאור של פעולות הבקרה המקיפות את פעולות עיבוד המידע ,כולל קלטים ,עיבודים ,פלטים ואבטחות נדרשות. תקני ביקורת על הבקרה הפנימית בלשכות שירות ) ISAE3402, SSAE16ו (SOC-מספקים חוות דעת בלתי תלויה על סביבת הבקרה בלשכות שירות המספקות מחשוב ענן ולכן אלו יכולים להוות פתרון למסגרת המבטיחה את הבקרה הפנימית בתחום מחשוב הענן. מסגרת - 3תקני SOC כאמור ,אחת המגבלות של תקני חוות הדעת על הבקרה הפנימית בלשכות השירות היא ההגבלה למטרות בקרה המשפיעות על הדיווח הכספי של לשכות השירות בלבד .בשל הצורך הגובר לגיוון במטרות הבקרה ,בדגש על היבטים תפעוליים והיבטי אבטחת מידע ופרטיות, פיתח ה AICPA-שלוש דוחות ,(SOC) Service Organization Controlsהמזוהים כ .SOC-3 ,SOC-2 ,SOC-1 דוח – SOC-1מתייחס לתקן SSAE16ומאפשר חוות דעת רק לבקרות פנימיות הקשורות לדיווח הכספי ).(ICFR דוח - SOC-2מתייחס לבקרות באבטחת מידע ופרטיות ומיועד ,לדוגמא ,לחברות הנותנות שירותי מחשוב ענן )ראה מסגרת( .את הדוח ניתן להפיץ לגורמים בעלי ידע בלבד. דוח - SOC-3עונה על אותם צרכים כמו דוח SOC-2אך ניתן להפיצו לכל גורם ללא הגבלה.