Sum MM MU nKnown by J7G2UPN

VIEWS: 22 PAGES: 84

									                                                                         ‫שיעור מס' 1‬

    ‫מערכות מידע מורכבות מחומרה (‪ ,)hardware‬תוכנה (‪ ,)software‬נתונים ומידע (‪ ,)data‬מסמכי‬
                                     ‫מקור (‪ ,)input‬נהלים (‪ )procedures‬ומשתמשים (‪.)users‬‬
                                ‫[ההבדל בין נתון למידע הוא שהמידע הוא לאחר שהנתון עובד]‬


                                                            ‫ההיררכיה של מערכת המידע‬
                                                                              ‫מערכת‬


    ‫חלק במערכת שמטפל בנושא מסוים. בד"כ מורכב ממספר יישומים.‬                    ‫מודול -‬


                         ‫תוכנית קצרה המבצעת תפקיד אחד מוגדר.‬          ‫יישום/אפליקציה -‬


    ‫מספר תוכניות מחשב מהוות יישום – כתיבת קוד ע"י תוכניתן לשם‬          ‫תוכניות מחשב -‬
                                            ‫ביצוע פעולה מוגדרת.‬


                                                 ‫התפתחות היסטורית של ממ"מ בארגונים‬
                                               ‫לפני שנות ה- 50 היו אמצעים ידניים בלבד.‬
    ‫שנות ה- 50 מחשבים מדור ראשון – נורות ושפורפרות, כאשר המחשב היה לביצוע פעולה אחת‬
                                                                                ‫בלבד.‬
     ‫שנות ה- 50 – מחשבים מדור שני – מהפיכת הטרנזיסטורים, כאשר העיבוד הוא עיבוד אצווה‬
                                                              ‫(‪( )batch‬ההיפך מ- ‪.)online‬‬
                                                                   ‫שנות ה- 50 – מסופים.‬
                          ‫שנות ה- 50 – עיבוד מקוון – ‪ online‬וחדירה של המחשבים האישיים.‬
                                               ‫שנות ה-50 – פריצת דרך בתחום התקשורת.‬
                                 ‫המאה ה- 21 – התפתחות האינטרנט ותקשורת בין מחשבים.‬


                                                                    ‫גישות לעיבוד נתונים‬
                          ‫2. עיבוד אצווה ‪ – batch‬יצירת הקלט מתבצעת בנפרד מהזנתו.‬
‫דוגמא – משיכת כסף מהכספומט – כאשר מושכים דף מידע מייד אחרי המשיכה לא ניתן‬
                             ‫לראות את היתרה המעודכנת (כולל המשיכה הנוכחית).‬
                 ‫בוצעה תנועה – התנועה תשפיע על היתרה של יום העסקים שלמחרת.‬
  ‫יש הבדל בין זמן התנועה לזמן העדכון. התנועות נרשמות במקום אחד. הבדיקה נעשית‬
        ‫‪ online‬מול התנועות השונות וזאת למרות שהיתרה שנראה עדיין אינה מעודכנת.‬



                        ‫1. עיבוד מקוון ‪ – online‬יצירת הקלט מתבצעת במקביל להזנתו.‬



‫1‬
    ‫דוגמא – מקסימום משיכות ליום בכספומט. עבודה ישירה עם קבצי הנתונים האמיתיים‬
                                    ‫וביצוע בקרות בעת הזנת עדכון או שליפת המידע.‬
      ‫יתרונות ה- ‪ – online‬מידע זמין ומותאם יותר לארגון, המחשב משמש ככלי בתהליכי‬
                                 ‫העבודה בארגון ולא רק לרישום אירועים היסטוריים.‬


                                                      ‫ארכיטקטורה של מערכות המידע‬
        ‫2. מבנה ריכוזי – מחשב מרכזי ‪ – mainframe‬מחשב המחובר למסופים (טרמינל). כל‬
              ‫העיבודים מתבצעים במחשב המרכזי בלבד. כל ההזנות הן במחשב המרכזי.‬




‫דוגמא – להוציא מס' ת.ז. במשרד הפנים – המחשב קורא את הנתונים שבמחשב המרכזי.‬
                                                                   ‫חסרונות‬
‫א. נתק אפשרי בין המשתמש למחשב אשר עלול להשבית לחלוטין את פעולת המשתמש.‬
             ‫ב. דרושה השקעה גדולה בתקשורת על מנת לאפשר אמינות וזמינות גבוהה.‬
       ‫ג. דרושה אבטחת מידע ברמה גבוהה יותר, מכיוון שיש יותר משתמשים מול מאגר‬
                                                                   ‫מידע אחד.‬
                               ‫ד. ריכוזיות של ניהול השירות והתחזוקה של המערכת.‬
                                                                             ‫יתרונות‬
                           ‫א. הנתונים נמצאים במאגר מידע אחד אמיתי עדכני וזמין.‬
‫ב. מבנה זה מהווה פתרון עבור מקרים בהם הנתונים מוזנים במספר רב של משתמשים.‬
                                         ‫ג. ניתן לפקח על המידע בצורה נוחה וקלה.‬


‫1. מבנה מבוזר – תחנות עבודה עצמאיות המחוברות ברשת תקשורת מקומית ‪local ( LAN‬‬
          ‫‪ )area network‬ו/או רשת תקשורת ארצית רחבה ‪.)wide area network( WAN‬‬
    ‫מבנה ‪ – LAN‬בנוסף לתחנות העבודה קיימים ברשת המחשב מספר מחשבים המנהלים‬
                                                  ‫את המרכיבים השונים של הרשת:‬
                    ‫א. שרת התקשורת (‪)network / communication / file server‬‬
    ‫ב. שרת היישומים (‪ – )application server‬מאפשר לכל המסופים/תחנות העבודה‬
                                ‫להפעיל יישומים שונים כמו ‪ word, excel‬וכו'.‬
‫ג. שרת בסיסי הנתונים (‪ – )database server‬מאפשר לכל המסופים לקרוא נתונים‬
     ‫פשוטים (מדדים, שע"ח). הכוונה היא לא למאגר מידע שניתן להזין אליו מידע‬
                     ‫חדש אלא שרת שמאפשר לכל המסופים לעיין במידע בלבד.‬


                                                                             ‫יתרונות‬



‫2‬
                                        ‫א. אי תלות בין מרכז הארגון לבין הסניפים.‬
         ‫ב. משתמש יכול לעבוד מול תחנת המידע המקומית ומול מאגר הנתונים המרכזי‬
                                                                    ‫במקביל.‬
                                  ‫ג. קיימת חלוקה מסודרת בין חלקי המידע בארגון.‬
                                                                       ‫חסרונות‬
    ‫א. מורכבות הארכיטקטורה של המבנה דורשת בקרות רבות בתאום בין כל המרכיבים.‬
                 ‫ב. ממשקים רבים בין מערכות המידע לצורך יצירת מידע עדכני וזמין.‬


                               ‫3. טופולוגיה – אופן הקישור בין אלמנטים שונים במערכת.‬
                                            ‫קן – ‪ – BUS‬הנפוץ ביותר (משרדי רו"ח).‬



     ‫יהלום – כל משתמש מחובר מראש למשתמש אחר (מרכזיות מרחביות בבזק). לא נפוץ‬
                                                     ‫משום שהוא יקר ולא משתלם.‬




                                                                  ‫טבעת – ‪RING‬‬




      ‫כוכב – כל המידע מתרכז במרכז או שלמשתמש המרכזי יש אפשרות לפנות לכל אחת‬
                                                                 ‫מהתחנות.‬




                                                                                   ‫‪WAN‬‬
                                                     ‫מרכז מטה‬
                                                        ‫‪LAN‬‬



                   ‫מחוז דרום‬                   ‫מחוז מרכז‬                    ‫מחוז צפון‬




‫3‬                                                   ‫סניף‬             ‫סניף‬               ‫סניף3‬
                                                       ‫1‬                ‫2‬
       ‫בסניף יש ‪ LAN‬וכל הנתונים מועברים למחוז בו יש מדורי שכר והנהלה שנותנים שירותים‬
‫לסניפים. כל מחוז צריך לדווח להנהלה. ההנהלה מעדכנת נתונים והם מועברים למחוזות השונים‬
                                                                ‫ומהמחוזות לסניפים.‬


                                                            ‫השכבות השונות של התוכנה‬
                        ‫השכבה התחתונה היא מערכת ההפעלה – ‪.operating system‬‬        ‫‪‬‬
     ‫תפקיד מערכת ההפעלה – להפעיל הדפסות, העברות קבצים, לתרגם את הפקודות של‬
                                                       ‫המשתמש לשפת מחשב.‬
                                                  ‫תקשורת – התחברות לאינטרנט.‬      ‫‪‬‬
                                         ‫בסיסי הנתונים – נתוני תשתית ‪.data base‬‬   ‫‪‬‬
      ‫אפליקציה – פיתוח יישומים – נעזרת במסדי הנתונים, שנעזרים בתקשורת, שנעזרת‬     ‫‪‬‬
                                                             ‫במערכת ההפעלה.‬
                                         ‫יש לציין שלפני מערכת ההפעלה יש חומרה.‬


                                                    ‫המבנה הפנימי של מערכת ההפעלה –‬
                                                                    ‫הבסיס – חומרה.‬
‫שכבה שניה – מערכת הקבצים – הקוד, התוכניות של מערכת ההפעלה, הגדרות וקבצי ‪– bat, exe‬‬
                                                                           ‫תוכניות עזר.‬
                                                                     ‫סביבות טכנולוגיות‬
    ‫א. דואר אלקטרוני – אסטרטגיה לפיה הדואר מועבר לארגון/בארגון באמצעים אלקטרוניים.‬
    ‫ב. אפסון מסמכי מקור – ‪ – imaging‬צילום דפי הנייר אל תוך המחשב אל תוך קטלוג וקישור‬
                                                                ‫המידע ע"י מפתחות.‬
       ‫נעשה שימוש בטכנולוגיות של קידוד ופענוח נתונים המתמזגים במאגרי מידע קיימים.‬
    ‫ג. ‪ – EDI‬העברת נתונים אלקטרונית בין ארגונים ה בתקנים בינ"ל. יתרון – קיצור פרק הזמן‬
                                ‫הדרוש לחיפוש וכן חסכון במקומות אחסון ובעלויות נייר.‬
‫חסרונות – נושא אבטחת המידע – צריך שהמידע יהיה מוצפן ומקודד על מנת למנוע אפשרות‬
                                                             ‫שהמידע יינזק בדרך.‬
                                         ‫ד. ‪ – EFT‬העברות כספיות בין מוסדות פיננסיים.‬




‫4‬
                                                                          ‫שיעור מס' 2‬

               ‫רשת תקשורת מקומית (‪ –)LAN‬קבוצה של משתמשים שעובדת במקום פיסי אחד.‬
         ‫רשת תקשורת רחבה (‪ – )WAN‬רישות של ארגון מסוים בעל פריסה גיאוגרפית. בד"כ בכל‬
                          ‫מחוז/אשכול של רשת תקשורת רחבה קיימת רשת תקשורת מקומית.‬
                                      ‫הרשת הרחבה מתאימה עצמה למבנה של אותו ארגון.‬


                        ‫מחשב בנוי מחומרה (שכבת בסיס) ומתוכנה. התוכנה מחולקת לשכבות –‬
      ‫מערכת הפעלה – השכבה הקרובה ביותר לחומרה. מדובר בתוכנה הבסיסית שמטרתה‬         ‫‪‬‬
    ‫לדאוג שכל מרכיבי המחשב יפעלו, לתמוך בניהול הקבצים (לתת שמות, למחוק ולהוסיף‬
                                                                   ‫קבצים וכו').‬
    ‫השכבות הגבוהות יותר של התוכנה נקראות "יישומים". אותן שכבות מתרחקות בעצם‬        ‫‪‬‬
                      ‫מהחומרה על מנת שיוכלו לפעול גם בסוגים אחרים של חומרה.‬
            ‫בסיס נתונים – מטרתו לשאוב נתונים מסוימים ולהציב אותם בשכבה אחרת.‬       ‫‪‬‬


                   ‫היתרון של עבודה בשכבות – ניתן להשתמש ביישומים שונים בחומרות שונות.‬
                                 ‫מה שמחבר את התוכנה לחומרה היא בעיקר מערכת ההפעלה.‬


                                               ‫התפתחות ביקורת מערכות מידע ממחושבות‬
                        ‫‪ - EDP‬ענ"א – עיבוד נתונים אלקטרוני. הדגש היה על עיבוד מידע בלבד.‬
                                                                       ‫‪ – IS‬מערכת מידע.‬
                                                                    ‫ביקורת ממ"מ כוללת:‬
                                       ‫2. ביקורת (‪ – )audit‬בדיקת דברים לאחר מעשה.‬
    ‫1. בקרה (‪ – )control‬אמצעי בקרות שמובנים בתוך המערכות. מטרתם למנוע דברים בלתי‬
                                                                         ‫רצויים.‬
                                                                   ‫‪ – IT‬טכנולוגיות מידע.‬


‫ביקורת מערכות מידע ממוחשבות – אמצעי לבדיקת דרך קבלת החלטות, תהליכי עבודה ותוצרים‬
                                          ‫בהם מהווה המחשב מרכיב עליו מסמך הארגון.‬
         ‫במרבית הארגונים המחשב משמש כבסיס לקבלת החלטות (לדוגמא: תזרים מזומנים).‬


                                                          ‫קיימות שתי קבוצות של צרכנים:‬
    ‫2. מחוץ לארגון – מבקר החשבונות (רו"ח). תפקידו לתת חוות דעת על הדוחות הכספיים.‬
                           ‫לצורך כך עליו לאסוף מידע, לבצע מדידה ובדיקות מבססות.‬
                             ‫הבעיות שרו"ח נתקל בהן כאשר הוא מגיע לבצע ביקורת –‬
               ‫א. לא יכול לעבור על נתיב הביקורת בלי להסתמך על מערכת המידע.‬



‫5‬
           ‫נתוני מקור‬               ‫מערכת מידע‬             ‫פלט סופי (דוחות)‬


           ‫ב. בעיה כאשר הנתונים במערכת לא מדויקים, לא אמינים או לא שלמים.‬
               ‫ג. לעיתים כמויות הנתונים גדולות והקשרים בין הנתונים מורכבים.‬
     ‫ד. חלק מהפעילות החשבונאית היא תוצר של מערכת מידע ולא נתמכת על ידי‬
                                        ‫מסמך המקור המהווה אסמכתא.‬
‫לעיתים המערכת מייצרת באופן עצמאי תנועות. לדוגמא: ברכישת סחורה מספק‬
‫מתקבלת בד"כ חשבונית המהווה מסמך מקור אך לעומת זאת תנועות של ריבית,‬
   ‫שערוך או תנועות שהגיעו אוטומטית ממערכת אחרת – לא תמיד קיים מסמך‬
                                                                 ‫מקור.‬


       ‫לגבי ארגונים רבים המשאב העיקרי הוא מערכת המידע. רוב הפעולות מבוצעות ע"י‬
                                                                      ‫המחשב.‬
       ‫כאשר נופלת תקלה במחשב נגרם נזק כספי. מעילה בד"כ קשורה בסכומים גבוהים.‬
           ‫כמו כן החלטות שגויות בעקבות תקלה במחשב עלולה למוטט את הארגון.‬
‫כיום משקיעים משאבים עצומים במחשוב – %0 - %52 מעלויות הכוללות של החברה הן‬
                                                          ‫עלויות המחשוב.‬
                         ‫מתוך כל הסיבות הנ"ל נדרשת בקרה חזקה על נושא המחשוב.‬


‫1. בתוך הארגון – המבקר הפנימי - חוק הביקורת הפנימית – 1002 קובע כי המבקר הפנימי‬
     ‫צריך לבדוק כמעט את כל התחומים בחברה וכמובן שבין השאר את נושא המחשוב.‬
  ‫מנהל הכספים – צרכן של מערכת המידע ומכאן שמהווה גם צרכן של ביקורת מערכות‬
                                                                      ‫המידע.‬
   ‫מנהל מערכות מידע – לכאורה מהווה את הגוף המבוקר אמנם ירצה לבצע ביקורת על‬
       ‫המערכת בכדי לבדוק שאכן המערכת מספקת את השירותים שהיא נדרשת לספק.‬


                                   ‫לכל צרכן יהיו דגשים שונים לגבי ביקורת מערכת המידע:‬
                                                                         ‫חומרה‬   ‫‪‬‬
                                                    ‫בדיקה ספציפית של היישומים‬    ‫‪‬‬
                                                  ‫יעילות ואפקטיביות של המערכת‬    ‫‪‬‬
                                                                  ‫אבטחת מידע‬     ‫‪‬‬
                                                                   ‫מבנה ארגוני‬   ‫‪‬‬


    ‫מבקר החשבונות שם קודם כל דגש על המערך החשבונאי ולאחר מכן יתן דגש על נושאים אחרים‬
                                                                              ‫בהתאם.‬




‫6‬
                         ‫ישנן מס' בעיות המאפיינות את סביבת מערכות המידע הממוחשבות:‬
      ‫2. שימוש בלתי נאות בטכנולוגיה – מערכות המידע לא מתאימות לצרכים ולדרישות של‬
        ‫הארגון במישור הפונקציונאלי או מבחינת זמינות המערכת – עיכוב בקבלת המידע.‬
        ‫1. בכל ארגון הצרכים משתנים ולכן מערכות מתיישנות כבר אינן עונות על הדרישות.‬
                                                       ‫3. שגיאות שחוזרות על עצמן.‬
    ‫4. "השפעת הדומינו" של שגיאות – כאשר יש שגיאה במקום אחד עלולה להשפיע נקודתית‬
      ‫אך גם על מהלכים עתידיים. לא ניתן לומר היכן השגיאה תשפיע וכן גם לאחר איתור‬
                                                  ‫שגיאה לא ניתן לומר מה מקורה.‬
    ‫0. עיבוד "בלתי לוגי" – תכנון מערכת מחשב בוסס על מערכת כללים (אלגוריתם). לעיתים‬
    ‫במהלך התכנון נעשית שגיאה לוגית, כלומר אחד הכללים לא היה נכון. המערכת תעבוד‬
                ‫באופן תקין אך לפי כלל שגוי והשגיאה תגרור ביצוע לא נכון של מהלכים.‬
                                ‫0. בעיה בתרגום של צורכי המשתמשים לצורכי התוכנה.‬
                                                ‫0. חוסר היכולת להגיב בצורה מהירה.‬


                                         ‫לסיכום הקשיים שעומדים בפני מבקר החשבונות:‬
                                                     ‫2. תלוי באמינות נתוני המערכת.‬
     ‫1. אפשרויות המעקב מוגבלות (מבחינת נתיב ביקורת, תנועות שנוצרות באופן אוטומטי).‬
                                                              ‫3. חתימות והרשאות.‬
‫4. נתונים היסטוריים של מערכת מידע מגובים על מדיה אלקטרונית – שוב מחייב את רו"ח‬
                                                    ‫להשתמש במערכת המידע.‬
                        ‫0. העברת מידע בין מערכות מחשב, באותו ארגון או בין ארגונים.‬


                                  ‫עד שנת 0002 ניסו רו"ח לחשוב כיצד להתמודד עם הבעיה –‬
‫2. אסטרטגיית ביקורת מסביב למחשב – ניתן להשתמש באסטרטגיה זו בהתקיים התנאים‬
                                                      ‫המצטברים הבאים:‬
‫א. כאשר המערכת היא פשוטה, כלומר רושמת אירועים על סמך מסמכי מקור ואין‬
                                           ‫תנועות שנוצרות באופן אוטומטי.‬
                         ‫הלוגיקה של הרישום זהה ללוגיקה של הרישום הידני.‬
     ‫ב. מדובר בחבילת תוכנה אמינה וסטנדרטית, כלומר לא סביר שיהיו בה תקלות.‬
        ‫ג. נתיבי הביקורת ברורים – ניתן לבדוק באופן ברור שהפלט תואם את נתוני‬
                                           ‫המקור ללא בדיקה של המערכת.‬
      ‫[גם כאשר עובדים ע"פ אסטרטגיה זו – עדיין מחויבים לבדוק שהמערכת תקינה]‬
          ‫1. ביקורת דרך המחשב – בדיקה של המערכת עצמה, הלוגיקה, אמצעי הבקרה של‬
                                                  ‫המערכת, הנתונים המעובדים.‬
‫ביקורת כזו תיעשה כאשר מדובר בנבכי קלט-פלט רבים ומורכבים וכן כאשר הבקרות של‬
                                      ‫המערכת הן מנגנונים פנימיים של המערכת.‬
                                        ‫יש לבדוק שאכן המנגנונים פועלים כראוי.‬


‫7‬
        ‫הביקורת יכולה להיות הפעלה פיסית של המערכת עצמה או בדיקה באמצעות כלים‬
                                                           ‫ממוחשבים חיצוניים.‬
           ‫ביקורת דרך המחשב כרוכה במשאבים כספיים ולכן חשוב לתכנן את הביקורת.‬


                                                                              ‫גילוי דעת 66‬
          ‫יצא בסוף שנת 00 לאחר סדרה של גילויי דעת בינלאומיים שניסו למצוא פתרון את בעיית‬
                                                     ‫הביקורת של מערכות מידע ממוחשבות.‬
           ‫גילוי הדעת כולל גם סדרה של נספחים הדנים בנושאים אשר נמצא לנכון לתת להם דגש.‬
     ‫סעיף 2 בגילוי הדעת מתאר את מטרת גילוי הדעת - להנחות את רו"ח כיצד ליישם את תקנים 0‬
    ‫(מיומנות), 0 (תכנון ופיקוח), 0 (סקר בקרה פנימית) ו- 52 (ניירות עבודה) בביקורת מערכות מידע‬
                      ‫ממוחשבות – אותם התקנים המושפעים מסביבת מערכות מידע ממוחשבות.‬
                                       ‫סעיף 1 – מתאר מהי סביבה של מערכת מידע ממוחשבת.‬
     ‫סעיף 3 – מטרות הביקורת והיקפה אינן משתנות... במילה "היקף הביקורת" אין הכוונה לנהלי‬
                                            ‫הביקורת אלא לכך שמטרת הביקורת אינה משתנה.‬
     ‫הנהלים עשויים להשתנות, על סיכוני הביקורת (‪ AR = )IR * CR * DR‬וכן על תכנון הביקורת.‬
                                                   ‫סעיף 4 – אסטרטגית ביקורת מסביב למחשב.‬
                                              ‫סעיף 0 – מזכיר את תקן 0ביקורת ותקן ביקורת 0.‬
       ‫סעיפים 0,0 – הסיבה לכך שגילוי הדעת התעכב כשנה וחצי. הוראות הסעיפים מהווים בעיה‬
‫מבחינה מעשית. ללא קישורים מתאימים קשה לבצע את הביקורת וגם כאשר מעסיקים מומחה –‬
                                             ‫קשה מאוד לפקח על עבודתו כפי שדורש הסעיף.‬
                                               ‫סעיף 0 – מזכירים את הוראות תקן ביקורת 0.‬
  ‫סעיף 0 – כמו בכל פעם שמבקרים חברה בפעם הראשונה יש לאסוף מידע אודות סביבת החברה.‬
 ‫נספח א' מנחה את רו"ח איזה סוג של מידע יש לאסוף – כולל בין היתר מידע על המבנה הארגוני,‬
    ‫החומרה והתוכנה הבסיסית, האם מדובר בתוכנות מדף או בפיתוחו של הארגון, נהלי תחזוקה‬
         ‫והפעלה, מידת ריכוזיות / ביזור של רשת התקשורת, זרימת הנתונים במערכת וממשקים‬
                                            ‫המייצרים נתונים חשבונאים, אבטחת מידע וכו'.‬
                                        ‫[יש לציין שמדובר רק באיסוף מידע על סביבת החברה]‬
        ‫סעיף 52 – לאחר איסוף המידע יש לתכנן את הביקורת. התכנון עלול להיות מושפע מהמידע‬
                                                     ‫שנאסף לגבי מערכת המידע של החברה.‬
      ‫סעיף קטן 2 קובע כי יש להבין כל יישום חשבונאי משמעותי. היישום עשוי להיחשב מורכב אם‬
                               ‫נפח העסקאות הוא כזה שהמשתמשים יתקשו לזהות שגיאות ...‬
                         ‫סעיף קטן 1 קובע כי יש להבין את המבנה הארגוני של פעילות הממ"מ.‬
                                                             ‫סעיף קטן 3 – זמינות נתונים.‬
       ‫סעיף 22 – מזכיר את תקן ביקורת 0. בנוסף על רו"ח לקחת בחשבון בעריכת הסקר את נושא‬
                                                                  ‫המערכות הממוחשבות.‬




‫8‬
                                                  ‫סעיף 32 – חלוקה של מסורתית לבקרות -‬


                                                           ‫בקרות‬


                                               ‫ממוחשבים‬            ‫ידניים‬


                                     ‫יישום‬                ‫כלליות‬


     ‫בקרות ידניות – עושים במסגרת סקר הבקרה הפנימית ללא קשר למערכת המידע הממוחשבת.‬
     ‫בקרות ממוחשבות כלליות – כל מה שקשור ישירות ליישום (למשל בקרה שמונעת לבצע כניסה‬
                                                ‫של מוצר למערכת המלאי שאין בגינו הזמנה).‬
                                               ‫כל מה שאיננו בקרת יישום הינו בקרה כללית.‬
      ‫סעיף 42 – הערכת הסיכונים. רשימת כל הגורמים שיכולים להשפיע על הסיכונים כלומר אותן‬
                                       ‫בעיות וקשיים המקשים על מעקב אחר נתיב הביקורת.‬
    ‫סעיף 02 – ראיות ביקורת – תקן 52. גם בבדיקת מערכת ממוחשבת יש לבצע תיעוד (יכול להיות‬
                                          ‫על מדיה ממוחשבת שבהחלט מהווה ראיית עבודה).‬
    ‫‪ Computer Assisted Audit Techniques –CAAT‬טכניקות ביקורת באמצעות מחשב. נבצע‬
     ‫בדיקות אלו כאשר אין אסמכתאות בכתב, תנועות שמבוצעות אוטומטית, אין פלט חזותי וכו'.‬
      ‫נספח ב' – סביבת מחשבים אישיים – סביבה נגישה ונפוצה אך פחות מסודרת ממחשב מרכזי.‬
                                                        ‫נספח ג' – סביבת מחשבים ‪.on line‬‬
                                                               ‫נספח ד' – בסיסי נתונים.‬
                                              ‫נספח ה' – טכניקות ביקורת באמצעות מחשב.‬
                                                                ‫נספח ו' – לקט מונחים.‬
                            ‫נספח ז' – מתוכנן לצאת בשנה הבאה – אינטרנט ומסחר אלקטרוני.‬




‫9‬
                                                                         ‫שיעור מס' 3‬

                                                                   ‫מתרגל: ערן אוסטפלד‬
                                                        ‫טל': 300000 – 405, 0010220 – 35‬


                                                                   ‫מערכות פיננסיות‬
                                          ‫מערכות מידע המנהלות את הרישומים הכספיים‬
                   ‫ספר ראשי – מערכת הנה"ח בחברה – דיווחים כספיים/חשבונאיים כלליים.‬


                                         ‫ספר עזר ספקים‬
                                           ‫ספר עזר מלאי‬                      ‫ספר ראשי‬
                                         ‫ספר עזר מכירות‬


    ‫ספר עזר מנהל את הפעולות באופן פרטני כמערכת מידע נפרדת. בספר העזר דיווחים מלאים‬
                                  ‫ובספר הראשי מופיעים ריכוזים של הפעולות בספרי העזר.‬
 ‫לא כל אירוע בספר עזר משפיע על הספר הראשי – לדוגמא: אירוע של כניסה למחסן מופיע בספר‬
    ‫עזר המלאי אך לא תבוא לידי ביטוי בספר הראשי. תנועות בעלות אופי דומי לא ייכנסו לספר‬
                                                    ‫הראשי בנפרד אלא בסכום כולל אחד.‬


                                                      ‫בספר הראשי שני קבצים עיקריים:‬
                 ‫2. קובץ תנועות – בו מפורטות כל התנועות (פקודות יומן) בין החשבונות.‬
                                                ‫קובץ התנועות חייב להסתכם לאפס.‬
             ‫1. קובץ יתרות – בו מפורטות היתרות הסופיות של הסעיפים השונים במאזן.‬
                                                 ‫לכל סעיף בדוח הכספי קיים מספר מייצג.‬


 ‫בעבר נהגו מבקרי מערכות המידע הממוחשבות להתעסק רק בספר הראשי. כיום בודקים גם את‬
  ‫ספרי העזר, משום שהפעולות מבוטאות קודם כל בספרי העזר ולאחר מכן עוברות לספר הראשי‬
                                                                 ‫באמצעות ממשקים.‬
                                                            ‫[ממשק – העברת נתונים]‬
                                                ‫רו"ח חותם על הנתונים שבספר הראשי.‬


                                       ‫מאפיינים של מערכות מידע פיננסיות – ספר ראשי:‬
       ‫2. רב חברתית – כאשר קיימות חברות בנות, אחיות – כל חברה אמורה להפיק דוחות‬
     ‫כספיים משל עצמה (ספרי עזר וספר ראשי). מערכת המידע הפיננסית מסוגלת לתמוך‬
                                                    ‫בחברות רבות הקשורות בינן.‬
    ‫יש לפתוח חברה ראשונה עם מערך החשבונות האישי שלה. בנוסף ניתן לפתוח מערך‬
  ‫חשבונות לחברה נוספת – חברת בת. מערכת המידע תומכת, כאמור, בניהול של מערכת‬




‫01‬
 ‫חשבונות של כמה חברות, כל אחת בנפרד (ניתן לקבל מידע על חברה מסוימת באמצעות‬
                                                                  ‫שאילתא).‬
       ‫1. רב מטבעית – חברות שונות מדווחות במט"ח (בכפוף לתנאים לדיווח במט"ח). ניתן‬
                                             ‫לדרוש מאזן בוחן עפ"י מטבעות שונים.‬
 ‫3. רב שנתית – ניתן להפיק מאזנים לתקופות שונות. לא ניתן לשנות נתונים לאחר שנסגרה‬
                                                           ‫מערכת לשנה מסוימת.‬
                ‫במידה ונתגלתה טעות לאחר שנסגרו הספרים יש לעשות תיקונים ידניים.‬


                                                                            ‫מעגל מכירות‬
      ‫הצעה ללקוח – מנהלי המכירות מציעים הצעות ללקוחות במטרה לקדם מכירות. ההצעות‬
                                         ‫שנשלחו ללקוחות ממתינות לאישור (ע"י הלקוח).‬
‫כאשר ההצעה מאושרת על ידי הלקוח נדרוש ממנו להפיק תעודת הזמנה, ולשלוח אותה למחלקת‬
                                                                  ‫המכירות של החברה.‬
                                 ‫תעודת ההזמנה מוזנת לספר עזר מכירות ומחכה לאישור.‬
        ‫[לא כל לקוח ששלח תעודת הזמנה מקבל אישור – לעיתים בעל חוב כלפי החברה למשל]‬
   ‫כאשר ההזמנה מתקבלת – יש להכין את המשלוח ללקוח ולצורך כך יש לבצע בדיקה במלאי.‬
                                     ‫במידה והמלאי הנדרש קיים ניתן להכין את המשלוח.‬
   ‫אם המלאי לא קיים – צריך לפנות לספקים ואילו מדובר בחברה יצרנית – צריך להזמין חומרי‬
                    ‫גלם ולהריץ פקודות עבודה הנדרשות על מנת לייצר את המוצרים הנדרשים.‬
                  ‫לאחר שהמוצרים מוכנים – משלוח המלאי שמשמעותו הפקת תעודת משלוח.‬
             ‫תעודת המשלוח נוצרת בספר המלאי ובספר המכירות מופיע עדכון סטטוס הזמנה.‬
 ‫בסופו של התהליך – מסירת המלאי (תעודת המשלוח חוזרת אל החברה חתומה על ידי הלקוח).‬
           ‫במסירת המלאי נרשמת "גריעה" בספר המלאי ובספר הראשי נרשמת פקודת היומן –‬
                                                                          ‫ח' עלות מכר‬
                                                                       ‫ז' מלאי‬
       ‫הפקת חשבונית – הרגע בו מכירים בהכנסה (בד"כ שולחים את החשבונית יחד עם משלוח‬
                 ‫הסחורה). הפקת החשבונית נעשית בספר המכירות ומתווסף למאגר החשבוניות.‬
                                     ‫השפעה על הספר הראשי – רישום פקודת היומן - ח' לקוח‬
                          ‫ז' מכירות‬
                    ‫ז' מע"מ עסקאות‬
     ‫כאשר מתקבל התקבול מהלקוח – צ'ק, אשראי וכו'. נרשום את התקבול בספר המכירות ונפיק‬
                          ‫קבלה (לאחר שבדקנו כי התקבול תואם את הסכום שבחשבונית וכו').‬
                                                         ‫בספר הראשי נרשום – ח' מזומן/בנק‬
                                                            ‫ז' לקוח‬
                                             ‫מערכות נוספות שמושפעות – ספר קופה, גזברות.‬




‫11‬
                                                                          ‫מאגרי מידע‬
     ‫2. מאגר מידע לקוחות – מס' לקוח (שדה מפתח - מס' הזיהוי), פרטי לקוח, קו אשראי,‬
                                                                   ‫תנאי תשלום.‬
                               ‫1. מלאי – מס' פריט, תיאור, משקל/יחידות מוצר, ערך‬
 ‫3. הזמנות – מס' הזמנה, תאריך, מס' לקוח, אישר מכירות, תנאי תשלום, כתובת למשלוח.‬
                            ‫4. תעודות משלוח – מס' תעודה, תאריך, מס' הזמנה, כמות.‬
                  ‫0. חשבוניות – מס' חשבונית, תאריך, מס' לקוח, סכום, תעודת משלוח.‬


       ‫ראיות הביקורת הם בקבצים – ניתן לבדוק שכל הגריעות במחסן התבצעו בצורה מושלמת‬
                    ‫ובהתאם לתעודות המשלוח, שהתקבולים נרשמו בהתאם לחשבוניות וכו'.‬


                                                                           ‫מעגל הרכש‬
                                                                ‫[רכוש קבוע, מלאי וכו']‬
      ‫התחלת התהליך – דרישת רכש (‪ – )PR‬מערכת לוגיסטית המנהלת את מערך הרכש, הייצור,‬
                                                                     ‫השינוע והאספקה.‬
       ‫פועל הייצור, המחסנאי מבחינים בחוסר בייצור. יש צורך להזמין חומרי גלם (בהתאם לעץ‬
                                                                             ‫המוצר).‬
                             ‫דרישת הרכש הן בגדר המלצות, כלומר לא מדובר באירוע מחייב.‬
     ‫אישור הרכש – ההמלצות מגיעות לבעלי התפקידים הרלוונטיים. היררכיית אישורים ובקרות‬
                                                            ‫(בהתאם לסכומים הנדרשים).‬
       ‫לאחר אישור דרישת הרכש מופקת הזמנת רכש (‪ – )PO‬מועברת לקניינים של החברה אשר‬
  ‫תפקידם לזהות את הספק האידיאלי מבחינת החברה (איכות מוצר, מחירים וכו') ולהזמין מהם‬
                                                                       ‫את המוצרים.‬
 ‫הזמנת הרכש קשורה גם כן במערכת לוגיסטית ובמערכת התקציב. ברגע שמופקת הזמנת רכש –‬
                                 ‫מחייבים את הסעיף התקציבי של המחלקה שביצעה הזמנה.‬
‫קבלת הסחורה – המחסנאי מקבל לידיו תעודת משלוח ועליו לבדוק שאכן הגיע אליו מה שהוזמן.‬
   ‫בספר המלאי נרשמת תנועת כניסה למחסן. במערכת הלוגיסטית נסגרת ההזמנה. בספר הראשי‬
                                                     ‫נראה השפעה – ח' מלאי/רכוש קבוע‬
                                                       ‫ז' ספקים‬
       ‫קליטת חשבונית – לאחר בדיקת הסכומים והכמויות מתקבל אישור במערכת. לאחר מכן‬
                                                        ‫מתבצעת הזנה לספר עזר ספקים.‬
                                         ‫בספר הראשי נרשמת הפקודה – ח' ספקים במעבר‬
                                         ‫ח' מע"מ תשומות‬
                                        ‫ז' ספקים‬


                             ‫תשלום – ספר ספקים – אירוע תשלום (בסיום תקופת האשראי).‬


                                              ‫בספר הראשי נרשמת הפקודה – ח' ספקים‬


‫21‬
                                      ‫ז' בנק/ מזומן‬
                                     ‫ז' ניכוי במקור‬
                                            ‫מערכות נוספות שמושפעות – ספק קופה, תקציב.‬


                                                                          ‫מאגרי מידע‬
                            ‫2. מאגר מידע ספקים – מס' ספק, פרטים, ניכוי במקור וכו'.‬
                      ‫1. דרישות רכש – מס' דרישה, תאריך, מזמין, מאשר, כמות, מק"ט.‬
                                         ‫3. הזמנות – מס' הזמנה, תאריך, ספק, סכום.‬
                   ‫4. כניסות מלאי – מס' תעודת כניסה, תאריך כניסה, ספק, מס' הזמנה.‬
        ‫0. תשלומים – מס' צ'ק/העברה בנקאית, בנק, סכום, תאריך, ספק, חשבונית וכו'.‬


              ‫האירועים מתנהלים בספרי העזר. האירועים מרוכזים אחת לחודש לספר הראשי.‬
 ‫שינויים בהון למשל – אין בגינם ספרי עזר ולכן נעשות פעולות ישירות בספר הראשי (ע"י אנשים‬
                                              ‫בעלי הרשאה לבצע פעולות מסוימות בהון).‬
                      ‫יש לציין שצריך לבדוק שהיתרות של ספרי העזר מופיעות בספר הראשי.‬


                   ‫שאלה ממבחן (שאלה 4 במבחן מועצה – חורף 95) – חברת "השיווק הישיר"‬
                                        ‫החברה מוכרת מוצרים שונים באמצעות סוכנים –‬
                ‫לכל סוכן מאגר לקוחות משלו. הקשר בין הסוכנים ללקוחות הוא קשר טלפוני.‬
                                            ‫הלקוחות משלמים באמצעים כרטיסי אשראי.‬
          ‫הסוכנים מעבירים לחברה את ההזמנות השונות ואת החיובים (אל המחשב המרכזי).‬




                                      ‫לקוח‬              ‫לקוח‬

                                                      ‫רשת‬
           ‫לקוח‬
                       ‫קשר טלפוני‬              ‫סוכן‬   ‫מקומית‬                   ‫לקוח‬
                                                 ‫ב'‬
            ‫לקוח‬          ‫סוכן‬                                    ‫סוכן‬
                            ‫א'‬                                       ‫ג'‬              ‫לקוח‬
                            ‫הזמנות‬
                            ‫חיובים‬
                                              ‫חברת השיווק‬
                                                    ‫הישיר‬
                                                                ‫סליקה‬

                                      ‫ספקים‬                      ‫חברת אשראי‬


                               ‫הפריטים מועברים לבתי הלקוחות באמצעות ספקי משנה.‬
 ‫ניתן לראות שהחברה לא מנהלת מלאי/מחסנים. הספקים הם אלו שמנהלים את מחסני המלאי.‬


‫31‬
                                                  ‫קיימים ממשקים בין החברה לספקים.‬
                                                    ‫הוחלט להחליף את מערכת המחשב.‬
      ‫החל משנת 00 פועלת בחברה מערכת מחשב חדשה – התבצעו מבחני הרצה ו"הסבה במקביל"‬
                                                             ‫לעבודה במערכת הישנה.‬
                  ‫למרות שמערכת המחשב החדשה עברה בדיקות רבות התגלו בה מס' באגים:‬
‫2. לקוחות מסוימים לא חויבו בגין חובם ובמקום זאת חויבו לקוחות אחרים – כנראה נובע‬
          ‫מבעיות בממשקים של המערכת החדשה. הקליטה לא מבוצעת בצורה שלמה.‬
     ‫1. לקוחות מסוימים התבררו שחשבונותיהם בבנק חויבו בסכומים גדולים יותר או שונים‬
 ‫מההסדרים בעסקאות – כנראה נובע מבעיות בממשקים בהעברת הנתונים. כמו כן יתכן‬
                         ‫שקיימת בעיה במידע שאצל חברת האשראי או אצל הספקים.‬
                 ‫סביר להניח שהבעיה נובעת בהעברת הנתונים בין המרכזים המרוחקים.‬
 ‫3. בחודש 00/1 התברר שקיימות יתרות חובה רבות לא ממוינות – במערכת הישנה הייתה‬
 ‫יתרת חוב וניתן היה לייחס אותה ללקוחות מסוימים. במערכת החדשה הועברה היתרה‬
     ‫בסכום אחד ולא ניתן היה לדעת למי שייכים הסכומים המרכיבים את אותו החוב.‬


                                                                          ‫נדרש א' –‬
                                  ‫פרט את הבקרות הפנימיות שהחברה הייתה אמורה ליישם.‬


   ‫באתר הסוכנים היינו מצפים לראות בקרות קלט של הזמנות הלקוח - בקרות של אישור עסקה‬
  ‫מול לקוח, בדיקת כרטיס אשראי, תעודות זיהוי, הקלדת סכום מוטעה, אישורי מנהל לעסקאות‬
              ‫גדולות, תיעוד אירועים, אבטחה באתרי הסוכנים לגבי נתונים של כרטיסי אשראי.‬
  ‫היינו מצפים לראות בקרות ממשקים בין הסוכנים לחברה – סיכומי ביניים, סיכומי ביניים של‬
      ‫מספרי הזמנות/קטלוגים (חסרי משמעות אך בעלות אפקט בקרת שלמות), סיכומי רשומות‬
‫בקרות באתר החברה – בקרות קליטת נתונים, התרעה נגד עסקאות מסוימות, לדוגמא: אי אישור‬
                             ‫הזמנות מסוימות עם לקוחות שנקבע כי לא לעשות עימם עסקאות.‬
 ‫בקרות עיבוד, בקרות ממשק מול חברת האשראי ומול הספקים, בקרות חתך, בקרות פלט (הפקת‬
                                                                                ‫דוחות).‬

                                                                           ‫נדרש ב' –‬
       ‫לא ניתן היה להעביר את יתרות הלקוחות ממערכת למערכת ולכן היה צורך להפעיל את שתי‬
                                                                    ‫המערכות במקביל.‬
                      ‫נשאלת השאלה – אילו בקרות נדרשות על מנת לשלוט על תהליך ההסבה.‬




‫41‬
                                                                ‫בקרות במערכת הישנה –‬
                                                                           ‫בקרות חתך‬
                                    ‫2. איסור רישום תנועות מכירה לאחר ה- 40/12/23.‬
      ‫1. רישום תנועת החזרה ב- 00 תתבצע במערכת הישנה רק אם נרשמה עבור אותו מוצר‬
                                                              ‫מכירה ב- 40.‬
 ‫המשמעות היא שרק אם נפתח חשבון ללקוח בשנת 40 ובסופו של דבר התבצעה המכירה‬
                                                                  ‫בשנת 00.‬
           ‫3. רישום תנועות כספיות במערכת הישנה רק אם הן עבור מכירות שבוצעו ב- 40.‬
                              ‫4. חסימת האפשרות להפיק חשבונית מס במערכת הישנה.‬
‫0. לקוח שחובו מתאפס במערכת הישנה – חשבונו ייחסם (יותר לא ניתן יהיה להזין פקודות‬
                                                                    ‫בחשבונו).‬
                                                                  ‫בקרות שלמות וחתך‬
                                   ‫2. יש ליצור בקרה שנתונים לא יוזנו לשתי המערכות.‬
                                ‫1. יש לבדוק שכל תנועה תירשם באחת משתי המערכות.‬
                ‫3. יש להפיק "דוח חריגים" עבור תנועות כפולות ותנועות שלא נרשמו כלל.‬


                                                                             ‫נדרש ג' –‬
                 ‫לאור הבאגים שהתגלו (בעיקר בסעיף ב'), האם יש צורך בשינוי היקף הביקורת.‬


               ‫רוח הדברים – יש צורך לשנות את תוכנית הביקורת ולבדוק את הבעיות שהועלו.‬
                                                                ‫סעיפים 51-02 בגל"ד 00 –‬
                             ‫סעיף 02 מצטט את תקן מס' 52 (ראיות הביקורת וניירות עבודה)‬
          ‫סעיף 02 – הנהלים לאיסוף ראיות העבודה עשויים להשפיע על נהלי הביקורת (ידניים,‬
‫אלקטרוניים). בחברת השיווק הישיר קיימים קשיים – נדרשים כישורים של מנהל מערכות מידע.‬
    ‫סעיף 51 – בהעדר נתיבי ביקורת הנראים לעין ... בדומה למאפיינים של חברת השיווק הישיר‬
 ‫קובע גילוי הדעת כי צריך להרחיב את הבדיקות ולהיעזר במבקר ענ"א (עיבוד נתונים אלקטרוני).‬


                                                                            ‫נדרש ד' –‬
      ‫בבדיקה נמצא כי אין מערכת אבטחת מידע כלל. האם הבדיקות ישתנו, האם יש להעיר על כך‬
                                                                         ‫לחברה וכיצד.‬
     ‫[כיום לא קיימת "מערכת" אבטחת מידע אלא מיושמת כבר בבסיס הנתונים, בשלב יישום וכו'‬
                                     ‫ולכן כוונת השאלה היא שאין התייחסות לאבטחת המידע]‬


                                         ‫יש להתייחס לנתונים רגישים כגון: כרטיסי אשראי.‬
                                                     ‫נספח א' בגל"ד 00 – בקרות כלליות:‬
         ‫.... אבטחת מידע לוגית ופיסית הן במערכות היישומיות והן במערכות הבסיסיות (מערכת‬
                                                              ‫ההפעלה, בסיסי הנתונים).‬



‫51‬
‫ההשפעה על פעולתו של רו"ח – עליו לבדוק את הבקרות הקיימות ולהמליץ לחברה לאמץ בקרות‬
                                                                           ‫פנימיות.‬
‫בקרות לוגיות – אימות של המשתמשים השונים, בדיקת הסיסמאות – האם הן עונות על התקנים‬
                  ‫לגבי הרכב הסיסמה, הגבלת מס' ניסיונות כניסה, תדירות החלפת סיסמאות.‬
     ‫‪ – FW‬שערי הכניסה בארגון מול הסוכנים. מומלץ לכתוב חוק שרק מאתרי הסוכנים יכולים‬
                                                                   ‫להתקבל פקודות.‬
 ‫בקרות פיסיות – בקרות גישה לאתרים (לסוכנים, לחברה), בקרות כניסה לחדרי המחשב, בקרות‬
     ‫כלליות (אש, עשן, הצפה, חשמל), גיבויים לנתונים, תוכנית התאוששות לשעת חירום (‪.)DRP‬‬




‫61‬
                                                                          ‫שיעור מס' 4‬

                                          ‫מטרות ביקורת בסביבת מערכות מידע ממוחשבות‬
        ‫2. לבדוק את איכות המידע או הנתונים – שלמות ודיוק של הנתונים – כל הרשומות‬
                                          ‫נמצאות ושכל השדות ברשומות מדויקים.‬
 ‫‪ – Integrity‬מהימנות המידע. בנוסף לשלמות ולדיוק המשמעות היא שניתן להסתמך על‬
      ‫המידע לצורך קבלת החלטות ניהוליות. הכוונה היא שהמידע מאורגן ומסודר בצורה‬
                               ‫שניתן יהיה לשלוף את המידע לצורך קבלת ההחלטות.‬
‫1. איכות הבקרות או אמצעי הבקרה הפנימיים – אותם מנגנונים אשר אחראיים על הבקרה‬
                                                                 ‫הפנימית.‬
     ‫3. שיפור תהליכי הביקורת – כאשר אנו נמצאים בסביבת מערכות מידע ממוחשבות ניתן‬
                 ‫להפעיל מנגנונים ממוחשבים לצורך עבודת הביקורת עצמה (‪)CAAT‘s‬‬


                                                                          ‫שלבי הביקורת‬
                                                                      ‫1. סקר ממ"מ‬
‫א. סקירה כללית של מערכות המידע – נספח א' בגל"ד 00 מנחה אותנו לאסוף מידע‬
                     ‫על מנת שנוכל להכיר את מערכות המידע של המבוקר...‬
 ‫המידע שיש לאסוף – איזה מערכות קיימות, אופן זרימת הנתונים בין המערכות‬
                                                                  ‫וכו'.‬
    ‫נהוג להעביר למבוקר שאלון לפני שליחת הסקר. בסקר שעורכים לאחר מכן‬
                              ‫שואלים את השאלות שלא קיבלנו עליהן מידע.‬
‫ב. קביעת תוכנית ביקורת – בהתבסס על ניתוח סיכונים שהועלו ב"סקר הסיכונים"‬
                    ‫(נק' התורפה, כמה כדאי להשקיע, סדרי עדיפויות, לו"ז).‬
                       ‫תוכנית הביקורת כוללת: לו"ז, סדרי עדיפויות, יעדים‬
       ‫1. בדיקת הבקרות – בדיקות ציות שעושים בביקורת רגילה. יש לוודא שאותן בקרות‬
                       ‫האמורות למנוע את הסיכונים שנתגלו אכן פועלות כמו שצריך.‬
                                    ‫סיכון שיורי – סיכון קיים שאין כנגדו שום בקרה.‬
 ‫עורכים רשימה של סיכונים ולאחר מכן שואלים שאלות, שהתשובות עליהן יעזרו לענות‬
                           ‫על השאלה - האם קיימת בקרה למניעת אותו סיכון או לא.‬
           ‫לאחר שבדקנו כי הבקרות הנדרשות קיימות יש לבדוק את תקפות הבקרות:‬
                              ‫א. הבקרה פועלת (אחרת עולה סיכון שיורי נוסף).‬
               ‫ב. זמן ומקום נדרש – יש צורך שהבקרה תפעל בזמן ובמקום הנכון.‬
      ‫ג. מדיניות ונהלים – הבקרה צריכה להיות תואמת את המדיניות והנהלים של‬
                                                               ‫החברה.‬
‫לדוגמא: הארגון קבע כי מול ספקים מסוימים הוא מקבל חשבונית מרכזת בסוף‬
   ‫החודש בגין כל הכניסות שנעשו במהלך החודש (ולא חשבונית בגין כל כניסה‬
                                                                ‫בנפרד).‬


‫71‬
‫במצב כזה המערכת אמורה לאפשר לקשור את החשבונית לכמה כניסות, אחרת‬
‫כל חשבונית ניתן יהיה לקשור לכניסה בודדת. במידה והארגון החליט לעבוד עם‬
‫חשבונית מרכזת והמערכת מאפשרת לקשור רק לכניסה בודדת אזי המערכת לא‬
                                       ‫תואמת את המדיניות של הארגון.‬
 ‫ד. יעילות ואפקטיביות. יעילות משמעותה שהבקרה פועלת ואכן מזהה אי סדרים.‬
   ‫אולם אם עדיין קיימת דרך לעקוף את הבקרה המשמעות היא שהבקרה אינה‬
   ‫אפקטיבית. הבדיקה צריכה להיות כזו שתבחין בעובדה האם ניתן לעקוף את‬
                                                         ‫אותה בקרה.‬
      ‫הטכניקה שבה המשתמשים על מנת לבדוק בקרות נקראת ‪ – Test Data‬יש‬
       ‫להזין למערכת נתונים ולתת למערכת להתמודד עם מצבים שונים בדומה‬
                      ‫למציאות. לאחר מכן יש לבדוק האם היא פועלת כנדרש.‬
      ‫טכניקה זו דורשת מיומנות משום שנדרש לתכנן אירועים מלווים בנתונים‬
‫המתאימים, נדרש לעמוד על התלות בין האירועים ולבחור נתונים קריטיים. כמו‬
          ‫כן יש להפעיל את המערכת אשר בד"כ דורשת עבודה של מס' עובדים.‬
   ‫3. בדיקות מבססות – בדיקות שמתייחסות למידע האמיתי שקיים במערכת. הכוונה היא‬
 ‫לבדיקת המידע והנתונים עצמם (במקביל לשלב הבדיקות המבססות בביקורת הרגילה).‬
                                                  ‫בדיקת איכות מידע ונתונים:‬
                                                              ‫א. השוואה -‬
              ‫למסמכי מקור (מתעוררת בעיה כאשר אין מסמכי מקור).‬      ‫‪‬‬
                                                  ‫נתונים פיסיים.‬   ‫‪‬‬
                                                      ‫גורמי חוץ.‬   ‫‪‬‬
                        ‫השוואה בין מאגרי מידע שונים באותו ארגון.‬   ‫‪‬‬
                                 ‫ב. בדיקות מדגמיות לאיתור שגויים וחריגים.‬
     ‫4. הערכה כוללת – הכנת דוח הכולל את כל הממצאים (סיכונים שיוריים, סיכון מכוסה‬
                          ‫בבקרה שלא עובדת, נתונים לא מדויקים או לא אמינים וכו').‬
      ‫בד"כ נהוג לתת גם את ההשלכה של אותו ממצא וכן המלצה לגבי תהליכים נדרשים‬
                                                                   ‫ויישומם.‬




‫81‬
                                                                          ‫ניתוח סיכונים‬
                         ‫דוגמא למודל ניתוח סיכונים – מיפוי תהליכים ומערכות מידע בארגון.‬


      ‫חומרה‬     ‫לא מושפע‬           ‫איום‬         ‫תהליך/פעילות תמיכה‬              ‫יח'‬
     ‫[איום ‪X‬‬     ‫ממערכת‬          ‫[מושפע‬       ‫מיכונית‬   ‫ארגונית/מחלקה [אמור לייצג‬
 ‫סיכון. את‬          ‫מידע‬        ‫מנהלים,‬        ‫[אמור לייצג את את התהליכים [מערכת‬
   ‫החומרה‬       ‫ממוחשבת‬          ‫חומרה,‬         ‫המידע‬    ‫והפעילויות]‬  ‫מבנה הארגון]‬
    ‫מדרגים‬     ‫אלא מושפע‬     ‫משתמשים]‬       ‫הממוחשבת‬
 ‫בד"כ בין 2‬       ‫ישירות‬                      ‫התומכת‬
       ‫ל-52]‬    ‫מהתהליך‬                          ‫באותו‬
                      ‫או‬                        ‫תהליך]‬
                ‫הפעילות]‬
           ‫0‬            ‫0‬                       ‫מערכת‬    ‫פתיחת מק"ט,‬              ‫מחסן‬
                        ‫3‬                       ‫המלאי‬      ‫עדכון מק"ט,‬
                        ‫2‬                                 ‫החזרת פריט,‬
                       ‫52‬                                    ‫ניפוק פריט,‬
           ‫0‬            ‫1‬              ‫0‬                  ‫ספירת מלאי,‬
                                                            ‫כניסת מלאי‬
                                                                    ‫וכו'‬
                                              ‫המערכת‬                 ‫...‬         ‫כספים‬
                                              ‫הפיננסית‬


                        ‫נתחיל לבדוק ראשית את התהליכים שדרגת החומרה שלהם גבוהה יותר.‬
     ‫בדוגמא של יחידת המחסן – נראה כי התהליך של ניפוק הפריט הוא הכי מהותי ולכן נעניק לו‬
                                                        ‫דירוג גבוהה ביותר מבחינת הסיכון.‬
          ‫נניח שכאשר נכנס מלאי – אין בקרה בין כניסת המלאי להזמנה. מבחינת מערכת המידע‬
‫הממוחשבת מדובר באיום מאוד משמעותי ולכן נעניק לכניסת המלאי דירוג גבוה מבחינת האיום.‬


                                                                        ‫בעיות במודל‬
‫מודל שכזה הוא מודל שברוב המקרים לא נשתמש בו משום שברוב המקרים נהיה ממוקדים לגבי‬
                                                           ‫מערכת אחת לעומת אחרת.‬
  ‫מודל כזה שימושי בד"כ בארגון שעורכים בו ביקורת בפעם הראשונה, כלומר כאשר לא מכירים‬
                                             ‫את המערכות ולא ניתן לדעת היכן להתחיל.‬
  ‫בד"כ עובדים עם צוות הביקורת ואז יודעים מראש באיזו מערכת מתרכזות רוב הבעיות. במצב‬
                                  ‫כזה עורכים את הבדיקה הנ"ל למערכות מסוימות בלבד.‬
 ‫בעיה נוספת במודל – מדובר במושגים שהוגדרו על ידי המבקר, כמו כן המשתנים תלויים האחד‬
                                                                               ‫בשני.‬
              ‫אמור להיות קשר ישיר בין תהליך מסוכן לבין בקרות האמורות למנוע סיכונים.‬



‫91‬
                       ‫נתונים‬                       ‫בקרות‬          ‫בדיקות‬       ‫טכניקות‬


                                             ‫שאלון ביקורת‬                         ‫ידניות‬
                                             ‫מטריצת בקרה‬
          ‫דוחות/שאילתות‬                          ‫‪Test Data‬‬         ‫ממוחשבות (‪)CAAT‘s‬‬
 ‫כלי שליפה וניתוח סטטיסטי‬                            ‫‪I.T.F‬‬
        ‫תוכנות לביקורת ‪,ACL‬‬
                       ‫‪IDEA‬‬
             ‫סימולציה במקביל‬


              ‫מבקרות ניתן להסיק על נתונים ומנתונים ניתן להסיק על בקרות – קיים קשר ישיר.‬
     ‫"טכניקה" – האם הטכניקה מיועדת לבדיקה של בקרות, לבדיקה של נתונים או לבדיקה גם של‬
                                                                    ‫בקרות וגם של נתונים.‬


             ‫שאלון ביקורת – ניתן לנסח את השאלה שהתשובה עליה מצביעה על ליקוי או להיפך.‬
        ‫בד"כ נרצה להשתמש בשאלון סטנדרטי אחד וכן רצוי להשאיר מקום לתשובות פתוחות או‬
                                                                               ‫הערות.‬
                       ‫שאלון מתאים בד"כ למהלך הביקורת השוטפת ולא לביקורת תקופתית.‬
                                                              ‫בעיות בשאלון הביקורת:‬
                     ‫שאלון סטנדרטי כולל לעיתים שאלות שלא רלוונטיות לארגונים מסוימים.‬
     ‫שאלון מנחה את המשתמש לתשובה מסוימת. חשוב לשאול שאלות שלא ישפיעו על המשתמש.‬


                                                                        ‫מטריצת בקרה‬
                           ‫השורות מייצגות את הגורמים שפועלים במערכת המידע הממוחשבת‬
                                                          ‫הטורים מייצגים את האיומים.‬
                   ‫[מפגש של טור ושורה תייצג האם קיימת בקרה על איום מסוים בגורם מסוים]‬


                   ‫גם השאלונים וגם מטריצת הבקרה מחייבות את המבקר לבצע עבודה שיטתית.‬
             ‫יש לציין שגם שאלון הביקורת וגם מטריצת הבקרה הם טכניקות לאיסוף מידע בלבד.‬


                           ‫‪ - Test Data‬הכנת סדרה של איומים מכסים פעילות עסקית מסוימת.‬
                                                           ‫דוגמא: בדיקת מערכת מלאי.‬
      ‫לקוח מסוים הכניס מערכת מלאי חדשה שמחשבת ערך מלאי לפי שיטת ממוצע נע. מסתבר‬
 ‫שבשיטה זו יש המון תנועות בעייתיות, למשל: החזרות, מחיר בחשבונית שונה מהמחיר בהזמנה.‬
             ‫לצורך הבקרה נדרש לתכנן סדרה של אירועים. מגוון הסיטואציות רחב ולכן סדרת‬
      ‫חשוב שתוצאות הרצה של ‪ Test Data‬יהיו על מערכת שהיא זהה למערכת המותקנת בסביבת‬
                                                                                 ‫הייצור.‬




‫02‬
         ‫היתרון בשימוש ב- ‪ Test Data‬הוא היכולת של המבקר להגדיר מצבים שכמעט ולא קורים‬
                                   ‫במציאות. בדיקת השלכות של מצבים שאינם שכיחים.‬
 ‫החיסרון – התהליך תלוי ביכולת המבקר להגדיר את התסריטים והנתונים בצורה מדויקת. קשה‬
                                                   ‫לדגום מדגם שיעיד על כל המערכת.‬


                                                                   ‫בקרת הפרדת סביבות‬
                       ‫סביבת הייצור – סביבת האמת. המערכת עובדת עם הנתונים האמיתיים.‬
        ‫סביבת פיתוח – הארגון מפתח מערכות מידע ובסביבה זו עובדים תכנתים ומנתחי מערכות.‬
         ‫העבודה מתבצעת על סביבה נפרדת מסביבת הייצור בלי להפריע למשתמשים העובדים על‬
                                                                   ‫המערכת האמיתית.‬
       ‫[כאשר הארגון רוכש את מערכות המידע שלו מספק חיצוני לא נראה אצלו סביבת פיתוח]‬
 ‫מקובל בארגונים לאמץ סביבת בדיקות – סביבה בה בודקים האם מערכת המידע החדשה פעולת‬
                                                 ‫כנדרש (מערכת שהתקבלה מספק חיצוני).‬
            ‫הבדיקות נעשות בסביבת הבדיקות ונעשים עדכונים בסביבת הייצור באופן תקופתי.‬


‫על מנת שהבדיקות (בסביבת הבדיקות) יהיו קרובות לסביבת הייצור, כלומר כמה שיותר מהימנות‬
      ‫יש לבצע העתקה מסביבת הייצור – לבצע סימולציה עם נתונים דומים לנתונים האמיתיים.‬
                                                  ‫[לא פוגעים בשום אופן בסביבת הייצור]‬


                                                                ‫הפקת דוחות ושאילתות‬
                                                ‫הדגש הוא בבדיקת התוצאות ולא הסיבות.‬
                                                       ‫ניתן להגדיר 3 קבוצות של דוחות:‬
                             ‫2. דוחות תפעוליים – סט הדוחות הסטנדרטי של המערכת.‬
     ‫כל דוח הוא למעשה תוכנית מחשב וכמו בכל תוכנית מחשב תיקון במקום אחד מעדכן‬
                                                             ‫את שאר הנתונים.‬
                               ‫סביר להניח שהנתונים בדוחות הסטנדרטיים תקינים.‬
                                      ‫החיסרון בכך – לא מתאים לביקורת ספציפית.‬
‫1. דוחות בקרה – חלק מהדוחות המובנים של המערכת ובעזרתם ניתן להפיק אוכלוסייה של‬
 ‫חריגים או שגויים, ניתן להכניס פרמטרים מסוימים לבדיקה. הכוונה היא להפיק פריטי‬
                                                             ‫מידע סלקטיביים.‬
                                  ‫היתרון – מובנה במערכת ומיועד לצורכי ביקורת.‬
                              ‫החיסרון – לעיתים נדרשים לעזרה של גורמים נוספים.‬
     ‫3. דוחות מיוחדים – דוחות הנדרשים על מנת לזהות בעיה מסוימת. לדוגמא: התאמה בין‬
                                            ‫החשבוניות לכניסות סחורה מספקים.‬
      ‫גישה פאסיבית – הפעלת תוכניות, בין אם במערכת ובין אם בעקבות דרישה מיוחדת.‬




‫12‬
                                                    ‫שימוש בכלי שליפה וניתוח סטטיסטי‬
             ‫שיטה זו היא שיטה אקטיבית. מבקרי החשבונות שולטים במידע שהם רוצים לקבל.‬
                     ‫מדובר בכלים סטנדרטיים הנמצאים בשוק, כגון: אקסל, אקסס, ‪ SAS‬וכו'.‬
     ‫נכנסים למערכת המידע של המבוקר ומפיקים דו"ח. הנתונים מצויים בקבצים בתוך מאגרי‬
                                                                             ‫המידע.‬
 ‫התהליך - שליפת הקטעים הרלוונטים מתוך הקבצים אל תוך מערכת המידע של המבקר. לאחר‬
    ‫מכן ניתוח המידע באמצעות תוכנת אקסל למשל והפקת דו"ח תוצאות (במערכת המידע של‬
                                                                          ‫המבקר!).‬
    ‫יתרון – גמישות. אין צורך להתעסק עם התוכנות של המבוקר, ניתן לנתח את הנתונים בזמן‬
            ‫ובמקום שבוחר המבקר וכן ניתן להשתמש בתוכנות שהמבקר מעדיף לעבוד איתן.‬
     ‫חיסרון – בעיה בביצוע גזירת הנתונים. גזירת נתונים נכונה לתאריך ולאוכלוסייה מסוימת.‬
                           ‫חשוב לוודא שהגזירה תהיה לאותו תאריך חתך לגבי כל הנתונים.‬
 ‫בעיה נוספת הוא לקבוע מהו מדגם הנתונים הטוב ביותר – לעיתים כמות המידע הנדרשת גדולה‬
                                ‫מאוד ובלתי אפשרי להעביר את המידע למערכת של המבקר.‬
        ‫יש צורך להגדיר כמו שצריך את התקופות, השדות הרלוונטיים ועוד פרמטרים נוספים.‬


                                                            ‫תוכנות לביקורת (‪)IDEA ,ACL‬‬
               ‫תוכנות שמאפשרות לנתח קבצים ולהשוות בין נתונים בעזרת כמה פקודות פשוטות.‬
                      ‫התוכנות מאפשרות פעולות מיון, איתור כפילויות, אפשרויות דגימה שונות.‬
     ‫מקור התוכנות הנ"ל הוא לפני שהוצאו תוכנות בדומה לאקסל ואקסס, אך אותן תוכנות עדיין‬
                            ‫מאפשרות ביצוע פעולות שלא ניתן לבצע באמצעות אקסל או אקסס.‬
                                                            ‫יתרונות – אי תלות, קלות שימוש.‬
       ‫חסרונות – נדרש ללמוד לעבוד עם התוכנה, יש צורך להכיר את הקבצים אצל המבוקר. בסוג‬
                        ‫מסוים של מחשבים עדיין נתקלים בקושי לגזור נתונים או לפענח נתונים.‬


                                                                        ‫סימולציה במקביל‬
                                    ‫למערכת המידע של המבוקר יש נתוני קלט ונתוני פלט.‬
     ‫יש לקחת את נתוני הקלט המקוריים ולהכניס אותם לתוך מערכת מידע ממוחשבת של המבקר‬
                                                          ‫(אקסל, ויזואל בייסיק, ++‪ C‬וכו').‬
 ‫יש לנתח מהו החישוב שנעשה במערכת של המבוקר, לבצע את אותו חישוב אצל המבקר ולבסוף‬
            ‫להשוות את הפלט שנוצר אצל המבקר לפלט במערכת הממוחשבת שרוצים לבדוק.‬
                                          ‫במידה ונוצרת אי התאמה יש לבדוק ממה נבעה.‬
    ‫לכאורה המבקר כותב את תוכניות החישוב מחדש ובכל זאת טכניקה זו טובה מאוד למצבים‬
                                                                          ‫מסוימים.‬
   ‫לא כותבים בפועל את התוכניות מחדש אלא חישוב מסוים שניתן לזהות באופן וודאי (קיימת‬
                                     ‫נוסחא), למשל: נוסחאות חישוב ריבית, חישובי ערך מלאי.‬
                             ‫לעיתים החישוב הכללי נכון אך בסיטואציות מסוימות נוצר עיוות.‬
                                                  ‫היתרון – עובדים על קבצי הקלט המקוריים.‬


‫22‬
          ‫החיסרון – כרוך בהשקעת משאבים לצורך לימוד הלוגיקה ובנייתה סביב המערכת (לכן‬
                                             ‫משתמשים במערכת זו רק במקרים מסוימים).‬


                                                         ‫‪)Integrated Test Facility( I.T.F‬‬
                             ‫מערכת בדיקה משולבת – שימוש ביישות דמה לצורכי ניסוי בלבד.‬
     ‫פותחים במערכת המידע של המבוקר יישות פיקטיבית כגון: לקוח, חברה, חשבון בנק, כרטיס‬
                         ‫עובד ומזינים לגביהם נתוני דמה במטרה לבדוק כיצד המערכת פועלת.‬
                                                   ‫הנתונים מוזנים בסביבת הייצור האמיתית.‬
                                           ‫החיסרון – מכניס נתונים מיותרים לסביבת הייצור.‬
                       ‫היתרון – בדיקת המערכת בסביבה חיה והבדיקה נערכת לאורך זמן.‬
‫בנוסף ניתן להריץ בבת אחת את כל המהלכים המופעלים על תנועה בודדת. למשל: במערכת שכר‬
                                    ‫יש סדרה של מהלכים בד"כ להוצאת תלוש משכורת.‬
‫יתרון נוסף - בקרות מפצות – אם במקום אחד קיימת בקרה חלשה, במקום אחר במערכת קיימת‬
                                         ‫בקרה שתפקידה לפצות על בקרה חלשה אחרת.‬


                    ‫לקרוא - נספח ה' לגל"ד 00 דן בטכניקות ביקורת של מערכות ממוחשבות.‬
‫ניתן לראות התייחסות לתפעול, שיקולי עלות תועלת, איך לתעד את ניירות העבודה (מסמכי נתוח‬
                                                                           ‫הנתונים).‬




‫32‬
                                                                             ‫שיעור מס' 9‬

                                                                             ‫אמצעי בקרה‬

                               ‫גילוי דעת 66 מחלק את אמצעי הבקרה לשתי קבוצות עיקריות:‬
          ‫2. בקרות יישום – אמצעי בקרה המובנים בתוך היישומים עצמם. כל יישום תומך‬
       ‫בתהליכים עסקיים מסוימים. כל מה שניתן לייחס ליישום ספציפי – בקרת יישום.‬
     ‫1. בקרות כלליות – מסגרת כללית של אמצעי בקרה שנועדה להבטיח כי מערכות המידע‬
                                                              ‫פועלות בצורה תקינה ...‬


                                                      ‫בקרות‬



                       ‫יישום‬                                            ‫כלליות‬



                                             ‫תוכנית‬                  ‫בקרות‬                   ‫ארגונית‬
                                              ‫לשעת‬                    ‫גישה‬                  ‫סביבתית‬
                                              ‫חירום‬


         ‫קלט‬          ‫עיבוד‬            ‫פלט‬                     ‫פיסיות‬              ‫לוגיות‬




                                                            ‫בקרות ארגוניות סביבתיות –‬
 ‫איפה למקם את יחידת המחשב בארגון – האם בתוך כל יחידה, בתוך הארגון או בחוץ, היררכיה,‬
                       ‫חלוקה לתחומים, הפרדת סביבות, תהליכי העברה מפיתוח לייצור וכו'.‬
                                       ‫מדובר בכל הבקרות הקשורות לתפעול יחידת המחשב.‬


                                                          ‫בקרות גישה – לוגיות ופיסיות.‬
        ‫מדובר בבקרות שנועדו למנוע ממשתמשים להגיע, להפעיל או לדבר עם המחשב – לוגיות.‬
                                      ‫הבקרות הפיסיות נועדו למנוע פגיעות פיסיות במחשב.‬


 ‫תוכנית לשעת חירום – כל אמצעי הבקרה שמבטיחים כי כאשר קורה נזק למחשב או השבתה של‬
                             ‫שירותי מחשב – לשחזר ולהחזיר את המערכת לתפעול שוטף.‬
                                                                         ‫שלבי עיבוד המידע:‬
                                                                                 ‫2. קלט‬
                                                                                 ‫1. עיבוד‬


‫42‬
                                                                            ‫3. פלט‬


       ‫בקרות היישום כוללות בקרות קלט, בקרות עיבוד ובקרות פלט. אם משולבים בשלבי עיבוד‬
         ‫המידע אלמנטים נוספים כגון: בסיסי נתונים, תקשורת וכו' – יהיו להם בהתאמה בקרות‬
                                                                      ‫הקשורות אליהם.‬


                  ‫קשה לקבוע את חלוקת הבקרות אך נפעל לפי גל"ד הנצמד לחלוקה המסורתית.‬
                                             ‫קיימת גישה אלטרנטיבית לחלוקת הבקרות –‬


                                                                            ‫מעקב ופיקוח‬



                                                                                ‫מבוזרות‬



                                                                               ‫ספציפיות‬


‫בכל ארגון קיימים תהליכים ופעילויות עסקיות. בקרות ספציפיות מהוות את הרובד הרחב ביותר‬
                 ‫והכוונה היא לבקרות שניתן לשייכן, באופן ספציפי לתהליך או לפעילות מסוימת.‬
     ‫בקרות מבוזרות מקבילות באופן כללי לבקרות הכלליות – לא מתייחסות לתהליך כזה או אחר‬
                ‫אלא לקבוצה/מכלול של תהליכים, או לפעילות של מערכות המידע בנושא מסוים.‬
      ‫בקרות מעקב ופיקוח – מעין בקרות מפצות, כלומר בקרה שדואגת כי נקודת חולשה במערכת‬
                                                       ‫תפוצה על ידי בקרה מובנית במערכת.‬
                  ‫קיימת במערכת בקרה שדואגת לזהות את נקודות החולשה ועוזרות בטיפול בהן.‬
       ‫מדובר בבקרה המתקרבת למה שמתרחש במציאות (כבר לא מדובר בחלוקת הבקרות בצורה‬
                                                                         ‫מופשטת וכללית).‬
 ‫נשאלת השאלה – האם להתחיל לחפש את הסיכונים בבקרות המעקב והפיקוח ומהם להסיק על‬
 ‫הרובדים הרחבים יותר או להתחיל לחפש סיכונים בבקרות הספציפיות ומהם להסיק על בקרות‬
                                                                    ‫המעקב והפיקוח.‬
                      ‫התשובה תלויה באילוצי עלות תועלת וכן בנסיבות השונות לכל מקרה.‬
   ‫לעיתים נאתר סיכונים ברובד הרחב ביותר אשר יאלצו אותנו לבדוק בכל זאת את הרובד הצר‬
                                                                              ‫יותר.‬



                 ‫נהוג לחלק את עולם הבקרות לשלושה סוגים בהתאם לרמת ה"חוזקה" שלהן:‬
‫2. בקרה "מגלה"/"מתריעה" – הבקרה מגלה נתון שגוי אך לא מונעת את המשך התהליך או‬
                                            ‫את המשך הקליטה והעיבוד את העסקה.‬




‫52‬
     ‫1. בקרה "מונעת" – בקרה חזקה יותר אשר מגלה את הנתון השגוי וגם מונעת את המשך‬
                                                             ‫העיבוד והקליטה.‬
      ‫3. בקרה "מתקנת" – הבקרה החזקה ביותר. מדובר בבקרה שמגלה נתון שגוי, מתריעה‬
 ‫עליו, מונעת במקרה הצורך את התהליך והקליטה של אותו נתון ומתקנת את אותו נתון.‬


                                ‫נשאלת השאלה - האם מבחינה לוגית ניתן לתקן נתון שגוי.‬
            ‫ברור שנדרשת אינפורמציה נוספת - מנתונים זהים במערכת או מברירות מחדל או‬
     ‫מאינפורמציה נוספת הגלומה באותו נתון – המשמעות היא שבמקרה ותתגלה בעיה באותו‬
                       ‫נתון, ניתן יהיה להשתמש באותה אינפורמציה נוספת לצורך התיקון.‬


                                                           ‫בקרות קלט, פלט ועיבוד‬
‫ההגיון אומר כי סביר למצוא את מרבית הבקרות בשלב הקלט. בכל מקרה לא ניתן לקבוע את‬
    ‫%552 הבקרות בשלב הקלט (מאילוצי זמן ומשאבים וכן תמיד קיימת סבירות שהנתונים‬
                                                             ‫השגויים יעברו הלאה).‬
 ‫לא תמיד ניתן לגלות נתונים שגויים בשלב הקלט – לעיתים נדרש עיבוד נוסף על הנתונים על‬
                                                          ‫מנת לברר אם הם שגויים.‬
                         ‫בקרות העיבוד צריכות להתאים כמובן לסביבות העיבוד השונות.‬


                                                                        ‫בקרות קלט‬


              ‫הערות‬                ‫נתונים‬            ‫"חוזקה"‬             ‫בקרת קלט‬
              ‫מספרי‬                  ‫שדה‬              ‫מגלה ‪D‬‬         ‫סיפרת ביקורת‬
              ‫מספרי‬           ‫שדה/רשומה‬               ‫מגלה ‪D‬‬            ‫סיכום סרק‬
              ‫מספרי‬                  ‫שדה‬              ‫מונעת ‪P‬‬          ‫בקרת תיחום‬
                                  ‫רשומה‬               ‫מונעת ‪P‬‬           ‫קשרי גומלין‬
                             ‫רשומה/קובץ‬               ‫מגלה ‪D‬‬                ‫סבירות‬
            ‫חשבונאי‬                  ‫שדה‬              ‫מגלה ‪D‬‬                ‫רציפות‬
                                     ‫שדה‬              ‫מונעת ‪P‬‬          ‫תקינות שדות‬
                                     ‫שדה‬              ‫מונעת ‪P‬‬     ‫ברירת מחדל/שדות‬
                                                                             ‫חובה‬


 ‫בקרת סיפרת ביקורת – הוספת אינפורמציה לנתון מספרי (בד"כ שדה), ביצוע חישוב מסוים‬
                                           ‫והשוואת תוצאת החישוב לספרת הביקורת.‬
‫קשה לזהות טעויות בשיטה זו – לעיתים תוצאת החישוב שווה באופן מקרי לספרת הביקורת‬
                                                   ‫או שספרת הביקורת השתבשה.‬
            ‫כמו כן כאשר מתגלית טעות – לא ניתן לומר היכן הטעות וכיצד לתקן אותה.‬




‫62‬
     ‫בקרה זו רלוונטית בעיקר למערכות ‪ – batch‬רישום הנתון נוצר במנותק מההזנה ולכן ניתן‬
                                                                 ‫לבדוק נתונים בדיעבד.‬


               ‫סיכומי סרק – מדובר על סיכום פריטי מידע נומריים, ללא משמעות מספרית.‬
                                                                          ‫דוגמא -‬
                                                              ‫להלן קובץ חשבוניות:‬
                             ‫סכום בש"ח‬            ‫מטבע‬            ‫סכום‬        ‫מס'‬
                                   ‫555,0‬              ‫$‬           ‫551,2‬        ‫52‬
                                       ‫542‬             ‫‪DM‬‬                ‫50‬          ‫442‬
                                     ‫3.042‬               ‫₪‬            ‫3.042‬             ‫1‬
                                                              ‫---- ------- ------ -------‬
                                    ‫3.001,0‬      ‫לא רלוונטי‬         ‫3.003,2‬          ‫002‬


      ‫המחשב קולט את כל רשומות המערכת. המערכת מחשבת לבד את סיכום הביניים עבור‬
                                                              ‫השדות הרלוונטיים.‬
     ‫סיכום מס' החשבוניות או של סכומי החשבוניות הוא חסר משמעות (סיכום שורת הסכום‬
                                             ‫בש"ח לעומת זאת הוא סיכום ביקורת).‬
                 ‫המחשב בודק את סיכום הביניים עם רשומת הבקרה ומשווה את התוצאות.‬
                            ‫בקרה זו רק מגלה טעויות ולא ניתן לומר מהיכן נבעה הטעות.‬


                                       ‫בקרת תיחום – לקבוע תחום אפשרי לערכי השדה.‬


         ‫קשרי גומלין – למשל אם ברשומה המייצגת מס' ילדים רשום אפס – נצפה שלא יוצגו‬
                                             ‫הרשומות הנוספות המבקשות פרטי ילדים.‬


‫בקרת סבירות - בדיקה הנעשית ברמה של רשומה/קובץ. קולטים מס' רשומות שעברו את כל‬
   ‫בדיקות התקינות. למשל: במכשיר כספומט נקלטו 552 משיכות של 51 ₪ - סה"כ הסכום‬
‫שנמשך הוא 555,1 ₪ אך לא סביר כי אדם שרוצה למשוך 555,1 ₪ יעשה זאת ב- 51 משיכות.‬
                        ‫יש צורך לבדוק נתונים שנכונים מבחינה חוקית אך בלתי סבירים.‬
   ‫בבקרת סבירות לא מוגבלים בנוגע לנתונים שיחסית אליהם עורכים את הבדיקות, כלומר‬
                ‫ניתן לקחת נתונים ממאגרים שונים לגבי נתון מסוים, לערוך הצלבות וכו'.‬


‫בקרת רציפות – בקרה חשבונאית קלאסית - כל רישום חשבונאי צריך לכלול רישום עוקב של‬
                                      ‫רשומה וכל תיעוד פנים צריך לשאת מספר עוקב.‬
                                    ‫רציפות עוזרת לאתר איזה רשומה הושמטה למשל.‬
                                              ‫בקרת הרציפות נעשית בד"כ על ידי נומרטור.‬




‫72‬
     ‫תקינות שדות – בתחילת הזנת הנתונים מתקיימת בדיקת תקינות השדות, כלומר האם‬
                                   ‫הנתונים תואמים את תחום ההגדרה של נתון מסוים.‬
 ‫לדוגמא: לשדה המייצג תאריך – תחום הערכים לגבי יום הוא בין 5 – 23, תחום הערכים של‬
                                                                           ‫חודש‬


 ‫ברירת מחדל – אם שדה מסוים לא קיבל ערך, המערכת נותנת לו ערך כלשהו כברירת מחדל‬
                                                                       ‫קבועה.‬
    ‫אם יש סבירות גדולה מאוד שנתון יהיה זהה ב- %50 מהמקרים ניתן לחסוך מהמשתמש‬
   ‫להזין בכל פעם מחדש את הנתון. מצד שני זה מסוכן לתת ברירות מחדל לנתונים שחשוב‬
                                                               ‫לקבל מהמשתמש.‬
 ‫שדות חובה – לא נקבע להם ברירת מחדל. חשוב להגדיר שדות קריטיים כאלו כשדות חובה‬
                                 ‫אשר לא ניתן לעבור על פניהם ללא הזנת ערך כלשהו.‬


                                                                      ‫בקרת שגויים‬
           ‫מדובר בתוכנית מחשב שלוקחת את נתונים המעובדים ומציגה אותם כנדרש על ידי‬
                                                                         ‫המשתמש.‬
     ‫לעיתים חלק מנתוני הקלט זוהו כתקינים וחלקם זוהו כשגויים (כתוצאה של אחת הבקרות‬
                                                                            ‫הנ"ל).‬
                                        ‫קיימות שלוש אפשרויות לטיפול בנתונים שגויים:‬
                                     ‫2. לדחות את הנתון השגוי ולמנוע את המשך עיבודו.‬
     ‫1. לשים את הנתון בקובץ שגויים חיצוני. לאחר שיתוקן ניתן יהיה להעביר את אותו נתון‬
                                                               ‫בשלב הקלט מחדש.‬
     ‫3. סימון הנתון כנתון שגוי ולשים אותו במאגרי המידע של המערכת עצמה. לאחר שיעבור‬
                          ‫תיקון הוא ישולב חזרה במערכת יחד עם הנתונים התקינים.‬


            ‫בד"כ לא נרצה להשתמש באפשרות הראשונה משום שאותו נתון שגוי אינו עובר טיפול.‬
‫האפשרות השנייה היא בד"כ פתרון במערכות ‪ batch‬משום ששם לא ניתן להפעיל את המערכת על‬
     ‫נתונים שגויים – על כן נדרש להפרידם לקובץ חיצוני, לטפל בנתונים השגויים ולהעבירם מחדש‬
                                                                       ‫את תהליך הקלט.‬
 ‫האפשרות השלישית – בעיקר במערכות ‪ – on line‬במערכות כאלו לא נדרש להוציא את הנתונים‬
                                         ‫לקובץ נפרד או להעבירם מחדש במערכת הקלט.‬
 ‫היתרון באפשרות השלישית הוא חיסכון בזמן, הנתונים יושבים כבר במערכת ואז ניתן להשתמש‬
                                 ‫בכל הכלים של המערכת על מנת לטפל בנתונים השגויים.‬


                                                                             ‫דוגמא –‬
                                                   ‫קליטת פקודת יומן במערכת הפיננסית.‬
     ‫נניח שסדרת התאריכים והסכומים נכונים אלא שחשבון הלקוח לחיוב לא היה מוגדר במערכת.‬




‫82‬
      ‫אפשרות ראשונה – המערכת בודקת את מס' החשבון לחיוב, מזהה שלא קיים חשבון ולכן‬
                                                                         ‫הפקודה נדחית‬
‫אפשרות שניה – המערכת מזהה שלא קיים חשבון, מנתבת אותו לקובץ חריגים ודוחה את רישום‬
                                                                          ‫פקודת היומן.‬
     ‫אפשרות שלישית – לא נמצא החשבון, המערכת מתריאה על כך ומסמנת את החשבון במס'‬
                          ‫מיוחד, למשל 000 ואז ניתן לזהות מהו סוג השגיאה וניתן לטפל בו.‬
 ‫לעיתים נדרשת בקרה על המשתמש במערכת ולכן קשה לבדוק כאשר נוהגים בהתאם לאפשרות‬
                                                                             ‫השלישית.‬


                                                                         ‫בקרות עיבוד‬
                            ‫קשה ליישם במערכת אמצעים על מנת שהמערכת תבדוק את עצמה.‬
                                                           ‫בקרות עיבוד הכוונה היא ל:‬
     ‫2. תזמון של המהלכים והעיבודים שמבוצעים במערכת – סדר נכון של פעולות (במקביל,‬
                                                                ‫בטור, שילובים).‬
 ‫1. עיבודים אוטומטיים. במידה והתבצע עיבוד אוטומטי – יש לבדוק שהביצוע היה כנדרש.‬
         ‫3. שלמות ודיוק של תהליכי העיבוד – ביצוע עיבוד על כל הרשומות שהוכנסו בקלט.‬
                                                                    ‫4. אבטחת מידע.‬


                                                                            ‫שלמות ודיוק‬
     ‫ישנה טכניקה שאופיינית למערכות ‪ batch‬שנקראת ‪ – run 2 run‬אם יש סדרה של מהלכים, יש‬
                                            ‫לבודד כל מהלך על מנת לבדוק כל מהלך בנפרד.‬
        ‫יש להניח בקרות שיפשרו להניח את הדעת כי כל ריצה של תהליך מסוים פועלת כהלכה וכן‬
                                                             ‫שהקשר בין התהליכים נכון.‬


     ‫בקרת הקלט – יש לבדוק שמתקיימת המשוואה ‪( input = output‬לכן בקרת העיבוד נקראת גם‬
                                                                          ‫בקרת "איזון").‬
      ‫על מנת לבדוק האם מתקיימת המשוואה ניתן להפיק דוחות, סיכום של המספרים והשוואתם‬
                                                                            ‫לנתוני הקלט.‬
       ‫לעיתים מתקיימות כמה פעולות במקביל ולכן יש לבנות מערכת של איזונים ותזמונים (יומי,‬
                           ‫תקופתי וכו'). מומלץ שתהיה אפשרות לעשות זאת באמצעות המערכת.‬


 ‫יומן אירועים – קובץ טקסט (‪ .)log file‬בכל פעם שמתבצע מהלך מסוים אזי הכל מתועד בקובץ‬
     ‫הטקסט. בעזרת קובץ הטקסט ניתן לעקוב אחרי זמני התחלת התהליכים, זמני השגיאות וכו'.‬




‫92‬
       ‫ויזה‬                                             ‫מחסן‬


                                       ‫דחויים‬
     ‫ש.ב.א‬
     ‫(יומי)‬                                          ‫תקינים‬
                                        ‫קלט‬                       ‫עיבוד יומי‬

     ‫שוברים‬
       ‫ידניים‬
     ‫שנסרקו‬                                 ‫שגויים‬
       ‫(יומי)‬
                                                                    ‫קובץ טקסט‬
                                                                    ‫)‪(log file‬‬


                                   ‫שגויים‬




                                                      ‫משוואת האיזון היומית:‬
                ‫דחויים + שגויים + תקינים = שגויים ‪ + IN‬שוברים + ויזה + ש.ב.א‬




‫03‬
                                                                            ‫בקרות פלט‬
      ‫תוכנית מחשב שואבת נתונים ממאגרי המידע ומציגה אותם בצורה של דו"ח או שאילתא (כפי‬
                                                                    ‫שמבקש המשתמש).‬
                                                       ‫קיימים כמה סוגים של דוחות פלט:‬
        ‫2. הצגה המשקפת בדיוק את מה שקיים במאגרי המידע ללא כל מניפולציה או עיבוד.‬
‫1. הצגת מידע הכולל חישובים מסוימים על הנתונים שנלקחו ממאגרי המידע (‪– )on the fly‬‬
             ‫לעיתים נדרשים ניתוחים אנלטיים שלא נרצה לערוך במסגרת מאגרי המידע.‬
           ‫3. דוחות מיוחדים – דוחות בקרה ופיקוח – אותם הדוחות השולפים מידע בצורה‬
     ‫סלקטיבית, שולפים חריגים ושגויים. אותם נתונים יושבים במאגרי המידע או בקבצים‬
                                                          ‫נפרדים (קובץ שגויים).‬
    ‫על לוודא שכל שלושת קבוצות הדוחות יופקו באופן תקין ניתן לנצל חלק מהבקרות הקשורות‬
                                                                                ‫לקלט –‬
   ‫לדוגמא: רציפות – באותה מידה שבודקים רציפות של נתוני קלט ניתן להציב נומרטור שיבדוק‬
                                                              ‫את רציפות רשומות הפלט.‬
‫סיכומי סרק – מאפשר השוואה בין סיכומי הסרק של נתוני הקלט וסיכומי הסרק של נתוני הפלט.‬
                                                      ‫[קשה מאוד לבדוק תקינות של פלט]‬


                                                                        ‫נתיב ביקורת‬
 ‫הדרך, או מכלול האמצעים, שמאפשרים לעקוב אחרי תנועה ממסמך המקור ועד הרישום הסופי.‬
                                                                        ‫דוגמא: מכירה.‬
                      ‫הזמנת לקוח, מכירה - חשבונית, שליחה - תעודת משלוח, גבייה – קבלה.‬
   ‫בשלב רישום החשבונית נפתח כרטיס לקוח שמקבל ביטוי כסעיף במאזן (לקוח בארץ) או בפריט‬
                                                                         ‫ברכוש השוטף.‬
                                                       ‫נתיב הביקורת של מערכת מידע –‬
   ‫היבט "חשבונאי" – בדיקה מהכלל אל הפרט. יישום של נתיב ביקורת חשבונאי נעשה באמצעות‬
        ‫קישורים. בד"כ על מנת שיתאפשרו קישורים נדרשים פריטי מידע נוספים – אסמכתאות.‬
                                     ‫למשל אסמכתא להפקת חשבונית היא הזמנה וכך הלאה.‬
        ‫ברישום כרטיס הלקוח יש להזין את מס' החשבונית. כמו כן אותו לקוח מסומן שהוא שייך‬
                                         ‫ללקוחות בארץ וכנ"ל בקשר לרישום ברכוש השוטף.‬
                                            ‫רשימת האסמכתאות מאפשרות את אותו פירוק.‬
       ‫היבט "תפעולי" – בדיקה באותו סדר של התרחשות האירועים. כל שלב בתהליך הוא יישות.‬
 ‫יישום נתיב ביקורת תפעולי נעשה בעזרת קבצי הטקסט (‪ .)log files‬מעקב אחר מצבה של יישות‬
       ‫מסוימת, למשל האם בגין הזמנה מסוימת כבר הופקה חשבונית, האם נשלחה ההזמנה והאם‬
                                                                  ‫נגבה התשלום בגינה.‬
 ‫שדות סטטוס היא אינפורמציה מסוימת המוצמדת לכל תהליך המאפשרת מעקב אחר מצבה של‬
                                                                     ‫יישות מסוימת.‬
 ‫לדוגמא: סטטוס 5 – הזמנה פתוחה, סטטוס 2 – הופקה חשבונית, סטטוס 1 – נשלחה, סטטוס 3‬
                                            ‫– גביית התשלום, סטטוס 4 – הזמנה סגורה.‬


‫13‬
       ‫אם משתמש מסוים מנסה להעביר יישום מסוימת מסטטוס 5 לסטטוס 3 – המערכת אמורה‬
                                                ‫להתריע על מעבר לא חוקי בין הסטטוסים.‬
     ‫כמו כן נדרש שהמערכת תאפשר שאילתות על אותם שדות סטטוס על מנת לברר את המצב של‬
                                                                       ‫יישות מסוימת.‬
                                 ‫יש לציין שנדרשים שני ההיבטים (החשבונאי והתפעולי).‬


                     ‫ישנם ספרים שבהם טוענים כי קיום נתיב ביקורת מהווה כשלעצמו בקרה.‬
                                                             ‫נתיב ביקורת משמש לצורך‬
                             ‫2. איתור שגיאות ובאיזה שלב של התהליך קרתה השגיאה.‬
                                                               ‫1. שיקום ושחזור.‬
                                                      ‫3. אפשרות לפקח על היישום.‬
                                                           ‫4. הרתעה בפני מעילות.‬


                                       ‫[לקרוא את השאלה והפתרון ממבחן מועצה חורף 00]‬




‫23‬
                                                                          ‫שיעור מס' 6‬

                                                             ‫מערכת ‪ – ERP‬פריוריטי‬
‫בתהליכים שונים קיימים ממשקים בין המערכות השונות (ממשק בין מערכת הכספים והמכירות,‬
         ‫ממשק בין מערכת הכספים והרכש, ממשק בין מערכת המכירות למערכת המלאי וכו').‬
 ‫במקום לשמור נתונים בכמה מערכות – כפילות ותחזוקה מסובכת, ניתן לעבוד עם מערכת ‪ERP‬‬
     ‫עם בסיס נתונים אחד. במערכת קיימים מודולים שונים (כספים, מכירות, רכש) ובינם קיימים‬
                                                                              ‫קישורים.‬


                                                ‫בשולחן העבודה קיים האייכון של ‪.priority‬‬
                                                            ‫נפתח מסך לוגי – לסגור אותו.‬
                                                               ‫מקבלים מסך של המערכת.‬
      ‫[סימן של גלגלי שיניים – מריץ תוכנית, סימן של טבלה כחולה – הזנת נתונים וסימן של ספר‬
                                                                          ‫פתוח – דוחות]‬


                                                               ‫הקמת חברה חדשה –‬
          ‫בתפריט הראשי – מנהל המערכת – תחזוקת מערכת – טיפול בחברות – הוספת חברה –‬
                                                    ‫נפתח מסך המבקש פרמטרים לקליטה:‬
                                                             ‫2. חברה – להשאיר ריק‬
                                   ‫1. שם חברה מלא – לרשום שם מלא + תעודת זהות.‬
                                               ‫לאחר האישור המערכת מקימה את החברה.‬


 ‫קובץ – בחירת חברה – במסך ניתן לבחור את החברה שהקמנו (ניתן גם דרך האייכון של פתיחת‬
                                                                            ‫קובץ).‬


                                                                       ‫הגדרת תקופה -‬
                                ‫כספים – הנהלת חשבונות – תקופות כספיות – שנות כספים –‬
                                                 ‫יש להגדיר שנת כספים כשנת 2551‬     ‫‪‬‬
                                                          ‫תאריך התחלה – 25/2/2‬     ‫‪‬‬
                                                          ‫תאריך סיום – 25/12/23‬    ‫‪‬‬
             ‫[על ידי לחיצה על 1‪ ,F‬כאשר עומדים על שדה מסוים, נפתח הסבר על אותו השדה]‬
      ‫לאחר כל פעולה ניתן לסגור את החלון ולצאת מהמסך – הנתונים נשמרים בבסיס הנתונים.‬




                               ‫כספים – הנהלת חשבונות – תקופות כספיות – פתיחת תקופה –‬


‫33‬
                                    ‫על ידי כך נפתח חודש ינואר – להקיש על המשך ביצוע.‬
     ‫אנו צריכים לעשות את אותה פעולה 12 פעמים עבור 12 החודשים של השנה (בפועל הפעולה‬
                                                               ‫מתרחשת פעם בחודש).‬
                    ‫אם נכנסים שוב פעם לשנות כספים ניתן לראות את כל התקופות שפתחנו.‬


                                ‫עתה יש להגדיר את מערכת החשבונות – מכירות, מלאי וכו'.‬
                                                                     ‫אתחול חשבונות –‬
                      ‫כספים – תחזוקת כספים – הגדרות כספים – איתחול חשבונות-ישראל –‬
‫בכדי לוודא שאכן קיימים חשבונות יש להיכנס ל- כספים – הנהלת חשבונות – כרטיסי חשבונות –‬
                                                                   ‫חשבונות ראשיים.‬
          ‫ב"תיאור החשבון" ניתן לבחור חשבון מסוים מתוך רשימה (כל החשבונות הראשיים).‬


                                                                    ‫פתיחת לקוחות –‬
      ‫קיימות רמות שונות של לקוחות. ניתן לפתוח מס' חשבונות תחת "החשבון הראשי" – 255.‬
                         ‫כספים – הנהלת חשבונות – כרטיסי חשבונות – חשבונות לקוחות –‬
                                                                         ‫חשבון – 522‬
                                                               ‫תאור החשבון – לקוח 2‬
                                                     ‫כך הלאה על מנת לפתוח 4 לקוחות.‬
                                                     ‫* צריך לבדוק שהמטבע אכן בש"ח.‬


                                                                     ‫פתיחת ספקים –‬
                          ‫כספים – הנהלת חשבונות – כרטיסי חשבונות – חשבונות ספקים –‬
                         ‫באותו אופן יש להגדיר חשבון ספק – מומלץ לפתוח חשבון מס' 551.‬


                                                               ‫אתחול חשבונות מלאי –‬
                                            ‫יש לפתוח תעודות הזמנה, תעודות משלוח וכו'‬
                             ‫ניהול מלאי – תחזוקת מלאי – הכנת תבניות מספר לתעודות –‬
                                    ‫במסך קליטת הנתונים יש לבחור בשנת הכספים 2551.‬
      ‫על ידי כניסה לניהול מלאי – תחזוקת מלאי – מספרי תעודות ניתן לראות את כל התעודות‬
                                                                 ‫המוגדרות במערכת.‬


                                                                    ‫הוספת פריטים –‬
                                                  ‫ניהול מלאי – מוצרים – כרטיס פריט –‬
                                                         ‫נפתח מסך של פתיחת פריטים:‬
                                                                 ‫מק"ט – 553.‬   ‫‪‬‬
                                                   ‫תיאור מוצר – שולחן משרדי.‬   ‫‪‬‬
‫מחיר מחירון בסיס – 552 ₪. יש לשים לב שאין מדובר במחיר המכירה אלא במחיר עלות‬    ‫‪‬‬
                                                      ‫קניית אותו פריט מלאי.‬


‫43‬
          ‫כדי לפתוח עוד פריט צריך לרדת עם פס הגלילה למטה, או לסגור ולפתוח שוב את החלון.‬


     ‫מומלץ לעשות את עסקאות הרכישה לפני עסקאות המכירה משום שהמוצרים שנמכרים הם‬
                                                       ‫אותם המוצרים שרכשנו קודם.‬
                      ‫כמו כן, מומלץ לבצע רכישה של פריט מסוים ומייד את עסקת מכירתו.‬
 ‫בתרגיל עובדים עם ספק אחד ולקוח אחד במסגרת עסקה 2 ובמסגרת עסקה 1 עובדים עם ספק 1‬
                                                                          ‫ולקוח 1.‬


                                                                      ‫עסקאות רכישה‬
                                                            ‫קליטת הצעת מחיר מספק -‬
                                                ‫רכש – הצעות מחיר – הצעת מחיר מספק –‬
     ‫נפתח מסך שבו יש להקליד את הנתונים – מדובר בנתונים הבסיסיים של הצעת המחיר (כותרת‬
                                          ‫שנכונה לכל הפרטים הנוספים שמופיעים בהצעה).‬
‫ספק – פותחים את תיבת הבחירה ובוחרים את הספק הרלוונטי מתוך הספקים שהכנסנו‬           ‫‪‬‬
                                                                   ‫קודם.‬
                                         ‫תאריך – מומלץ להכניס תאריכים הגיוניים.‬    ‫‪‬‬
                                                                ‫בתוקף עד – כנ"ל‬    ‫‪‬‬
                 ‫הצעת מחיר – יש לרשום לעצמנו את מס' ההצעה שניתנה ע"י המערכת.‬       ‫‪‬‬


     ‫לאחר מכן יש ללחוץ על החוצץ של "הצעת מחיר מספק – פירוט" – במסך זה יש להקליט מהם‬
                                                                    ‫ההצעות שניתנו –‬
     ‫מק"ט – יש לבחור מתוך תיבת הבחירה את הפריט הרלוונטי מתוך הפריטים שהכנסנו‬       ‫‪‬‬
                                                                        ‫קודם.‬
                                                  ‫תאור המוצר – נפתח אוטומטית.‬      ‫‪‬‬
                                                   ‫כמות מינימום – 551 (שולחנות).‬   ‫‪‬‬
                                                           ‫מחיר ליחידה – 552 ₪.‬    ‫‪‬‬
 ‫יש לזכור לרשום שהצעה כוללת נספחים (‪ )Y‬וכן להפוך את שדה ה"סטטוס" מטיוטא למאושרת.‬
                                            ‫לבסוף יש לצאת מהמסך והנתונים נשמרים.‬
 ‫כדי לבדוק את הצעות המחיר ניתן להיכנס לרכש – הצעות מחיר – הצעת מחיר לפי ספק – לאשר‬
                                                                       ‫והדוח נפתח.‬




                                                                  ‫הפקת הזמנה לספק –‬
                                                      ‫רכש – הזמנות רכש – הזמנות רכש –‬
                                                                   ‫ספק – ספק 2.‬    ‫‪‬‬


‫53‬
                                                      ‫תאריך – מופיע אוטומטית.‬     ‫‪‬‬
‫הצעת מחיר – המערכת נותנת את ההצעות המאושרות בלבד מספק 2 (אם הן לא מופיעות‬         ‫‪‬‬
                                         ‫סימן ששכחנו לסמן בסטטוס "מאושרת".‬
‫הזמנה – המערכת נותנת מס'. לעיתים מס' ההזמנה זהה להצעת הרכש אך זה לא משנה –‬        ‫‪‬‬
                                      ‫מומלץ גם כאן לרשום את המספר לעצמנו.‬
  ‫על ידי לחיצה על האייכון ‪ ALL‬בשורת התפריטים – נפתח פירוט הזמנת רכש – ניתן לבדוק את‬
                                                                    ‫נכונות הנתונים.‬
               ‫גם כאן אסור לשכוח לשנות את הסטטוס לאושרה לפני שיוצאים מחלון ההזמנה.‬
                 ‫בכדי לבדוק את ההזמנה נכנסים לרכש – הזמנות רכש – דוחות הזמנות רכש -‬


                                                              ‫קליטת חשבונית מספק –‬
                  ‫כספים – רכש (כספים) – חשבוניות רכש – חשבוניות ספק – חשבוניות ספק –‬
                                      ‫תאריך – מומלץ לעבוד עם התאריך של היום.‬      ‫‪‬‬
‫חשבונית ספק – אם עובדים עם ספק 2 יש להתחיל עם 552‪ A‬ובעסקאות הבאות להקליד‬          ‫‪‬‬
                                                              ‫252‪ A251 ,A‬וכו'.‬
                                               ‫מס' ספק – לבחור מתיבת הבחירה.‬      ‫‪‬‬
                     ‫הזמנה – בתיבת הבחירה מופיעות כל ההזמנות מספק 2 שאושרו.‬       ‫‪‬‬
     ‫יש ללחוץ שוב על ‪ ALL‬בכדי לפתוח את פירוט ההזמנה. יש לבדוק שנשלחה חשבונית בהתאם‬
‫להצעה ולהזמנה (במערכות מסוימות יש בקרות שבודקות את התאמת הנתונים, בסטיות קבועות‬
                                                                         ‫מראש).‬
                                            ‫את הכמות (שהתקבלה) יש להזין בעצמנו.‬


             ‫בכל מסך כזה מופיעים הנתונים הכספיים אוטומטית, ברגע שעולים חזרה לכותרת.‬


     ‫לחיצה על הלשונית "סגירת החשבונית" - מהלך סגירת חשבונית – אישור שבעקבותיו מופקת‬
                                ‫פקודת יומן בספרים (ניתן לראות שנפתח מס' פקודת יומן).‬
 ‫ליד מס' פקודת היומן מופיע אייכון של סייר – לחיצה עליו פותחת חלון המפרט את נתוני פקודת‬
                                                                                ‫היומן.‬




                                                                     ‫עסקאות מכירה‬
                                                           ‫הפקת הצעת מחיר ללקוח -‬
                                     ‫שיווק ומכירות – הצעות מחיר – הצעת מחיר ללקוח –‬
                                                           ‫לקוח – לקוח 2 (522).‬   ‫‪‬‬


‫63‬
                                                          ‫תאריך – נפתח אוטומטית.‬      ‫‪‬‬
                                                           ‫הצעת מחיר – 2555552‪.A‬‬      ‫‪‬‬
                                ‫לשונית הצעת מחיר ללקוח – פירוט – ניתן לפתוח כמה רשומות.‬
                                                        ‫מק"ט – 553 (שולחן משרדי).‬     ‫‪‬‬
                                              ‫כמות מינימום – 552 – נפתח אוטומטית.‬     ‫‪‬‬
                                          ‫מחיר ליחידה – יש לשנות את המחיר ל- 512.‬     ‫‪‬‬
                                                   ‫‪ ‬עלות הקנייה – מופיע אוטומטית.‬
                                      ‫יש לזכור לשנות בסוף התהליך את הסטטוס ל- "נשלחה".‬
‫בכדי להפיק דוח שיראה את הצעות המחיר ללקוחות – יש להיכנס לשווק ומכירות – הצעות מחיר‬
                                            ‫– דוחות הצעות מחיר – הדפסת הצעות מחיר.‬


                                                                    ‫קליטת הזמנה מלקוח –‬
                                                   ‫שיווק ומכירות – הזמנות – הזמנות לקוח –‬
                                                              ‫נפתח מסך של קליטת הזמנה –‬
                                           ‫לקוח – בחירה מתוך התיבה - לקוח 2 (522)‬     ‫‪‬‬
                                                          ‫תאריך – נפתח אוטומטית.‬      ‫‪‬‬
                                                                      ‫הזמנה – כנ"ל.‬   ‫‪‬‬
                               ‫הצעת מחיר – יש לבחור במס' הצעת המחיר שהזנו קודם.‬       ‫‪‬‬
        ‫כרטסת פירוט הזמנה (או ע"י לחיצה על ‪ – )ALL‬יש לוודא האם הפרטים מקובלים בהתאם‬
                                                                                 ‫להזמנה.‬
                                                 ‫לבסוף יש לשנות את הסטטוס ל- "בוצעה".‬
                                        ‫[מומלץ לצאת משדה הסטטוס לפני שיוצאים מהחלון]‬
      ‫הפקת דוח – שיווק ומכירות – הזמנות – דוחות הזמנות – דוחות מפורטים – דוחות הזמנות –‬
                                                                        ‫הזמנות לפי לקוח.‬


                                                                  ‫הפקת חשבונית ללקוח –‬
                 ‫כספים – מכירות (כספים) – חשבוניות מכירות – חשבוניות מס – חשבוניות מס –‬
                                                                    ‫לקוח – לקוח 2.‬    ‫‪‬‬
                                           ‫תאריך – נפתח אוטומטית תאריך של היום.‬       ‫‪‬‬
                                               ‫חשבונית – מספור אוטומטית ע"פ חוק.‬      ‫‪‬‬
                            ‫‪ ‬הזמנה – יש לבחור בהזמנה שביצענו מתוך תיבת הבחירה.‬
         ‫פירוט החשבונית – יש לבדוק את הנתונים, את מחיר היחידה וכו'. יש להקליד את הכמות!‬
                                   ‫אם לא מקלידים כמות אזי הנתונים הכספיים לא מתעדכנים.‬
          ‫כדי לסגור את החשבונית כולה יש לעלות לכותרת וללחוץ על החוצץ "סגירת החשבונית".‬
     ‫גם עתה נפתחת תנועת יומן. באותו אופן ניתן ללחוץ על האייכון שליד מס' הפקודה בכדי לצפות‬
                                                                        ‫בנתוני פקודת היומן.‬


‫73‬
‫אם טועים בחשבונית לא ניתן לחזור אחורה. בכדי לבטל טעות יש להוציא חשבונית זיכוי (בהתאם‬
                                                                       ‫להוראות החוק).‬


                                                     ‫שמירה על דיסקט והגדרות הדפסה‬


          ‫כספים – הנהלת חשבונות – כרטיסי חשבונות – דוחות כספיים – כרטסת – כרטסת –‬
                                                            ‫לסמן כדף ‪.HTML‬‬      ‫‪‬‬
                                                          ‫לסמן – כל הכרטסות.‬    ‫‪‬‬
                                               ‫בכל שאר החלונות שנפתחו יש לרשום ‪.OK‬‬
                   ‫בסופו של דבר נפתח חלון של ה-‪ EXPLORER‬ובו מפורטים כל החשבונות.‬
                                                                  ‫חס – חשבונות ספק‬
                                                                  ‫חל – חשבונות לקוח‬
                                                           ‫מע"מ עסקאות – מול הלקוח‬
                                                            ‫מע"מ תשומות – מול הספק‬


                                                            ‫בכדי להפיק את הדוח –‬
      ‫קובץ – שמור בשם – לבחור בשמירה על דיסקט – לשמור את הקובץ בשם של החברה (מס'‬
                                   ‫תעודת הזהות של אותו אדם שרשם את החברה על שמו).‬
                               ‫הקובץ הוא מסוג ‪ HTML‬ולכן אין בעיה להדפיס מכל מחשב.‬




‫83‬
                                                                         ‫שיעור מס' 7‬

                                                          ‫ביקורת מ.מ.מ. ביישומים‬

                                                                     ‫מערכת פיננסית‬
       ‫מערכת הנהלת חשבונות כללית – הזנה שוטפת של אירועים על מנת לייצר את הרישומים‬
                              ‫החשבונאים המתאימים וכן את הדוחות הנדרשים על פי חוק.‬
     ‫מערכת פיננסית היא מערכת מידע אשר מספקת מידע נוסף מלבד הנהלת חשבונות – מספקת‬
                                                      ‫מידע נוסף לצורך קבלת החלטות.‬
       ‫המערכת קרויה מערכת פיננסית משום שהיא בנויה לטפל בכל ההיבטים הקשורים במערך‬
                                         ‫הפיננסי של הארגון (תמחור, מכירות, רכש וכו').‬
                                                                           ‫מעגל רכש –‬
                                          ‫דרישה – הזמנה – כניסה – חשבונית – תשלום.‬
                                                                       ‫מעגל המכירות –‬
                                                     ‫הזמנה – משלוח – חשבונית – גבייה.‬


              ‫קיימים שלבים תפעוליים ושלבים כספיים כגון: קליטת/הפקת חשבונית ותשלום.‬
 ‫המערכת הפיננסית תומכת גם במשתמשים שאינם משתמשי הקצה המטפלים בהיבטים כספיים‬
                                                                      ‫בארגון.‬


                                                           ‫היררכית המערכת הפיננסית:‬
‫2. הספר הראשי (‪ – )GL‬תת המערכת המרכזת את כל הרישומים החשבונאים לצורך הפקת‬
                            ‫דוחות כספיים וכל אינפורמציה נוספת למנהלים כנדרש.‬
         ‫1. ספרי עזר (‪ - )SL‬מודולים שונים האמורים לתמוך כל אחד בתחומו בקבוצה של‬
                                                                  ‫משתמשים.‬
                 ‫ספרי העזר צריכים להזרים בסופו של דבר אינפורמציה לספר הראשי.‬
                                                 ‫ספקים ותשלומים (‪)AP‬‬     ‫‪‬‬
                                                    ‫לקוחות וגבייה (‪)AR‬‬   ‫‪‬‬
       ‫ישנם ספרי עזר נוספים שאינם קשורים ישירות למעגל עסקי מסוים. מטרתם היא‬
                                                ‫לעיתים רק לצורך בקרה, כגון:‬
                                                       ‫רכוש קבוע (‪)FA‬‬    ‫‪‬‬
                                                                ‫תקציב‬    ‫‪‬‬
                                                                ‫תמחיר‬    ‫‪‬‬
 ‫המשתמשים מחולקים לקבוצות. האינפורמציה מספרי העזר מועברת לספר הראשי או בינם‬
                                                                   ‫לבין עצמם.‬




‫93‬
                                                                 ‫זרימת הנתונים בארגון‬
                                   ‫מלאי‬

                ‫רכש‬


                                                                       ‫מערכת פיננסית:‬
                                       ‫ייצור‬
          ‫מכירות‬                                                          ‫ספר ראשי‬


                            ‫שכר‬
                                                               ‫ספרי עזר‬           ‫ספרי עזר‬

                         ‫מערכות פיננסיות – מערכות שמטפלות בהיבטים פיננסים חשבונאים.‬
 ‫מערכות לוגיסטיות – מערכות שמטפלות בהיבטים לוגיסטיים, לדוגמא: במעגל הרכש/מכירות –‬
   ‫השלבים הראשונים במעגל העסקי קשורים בלוגיסטיקה ואין עדיין התחשבנות כספית (הזמנה,‬
                                                                          ‫משלוח וכו').‬
‫כאשר אין מדובר בהליכים לוגיסטיים – המערכת המטפלת בהליכים אלו תקרא מערכת תפעולית.‬
         ‫כמעט בכל ארגון קיים קשר ישיר בין המערכות התפעוליות והלוגיסטיות לבין המערכות‬
                                                                            ‫הפיננסיות.‬


                                                                            ‫דוגמא:‬
  ‫במעגל הרכש – שלב ההזמנה והכניסה למשל מתבצעים במערכת הרכש ובמערכת המלאי. בשלב‬
                                    ‫קליטת החשבונית נדרש תיאום עם המערכת הפיננסית.‬
  ‫אפשרות 2 – קליטת פרטי החשבונית במערכת הרכש ורישום פקודת יומן ישירות בספר הראשי.‬
  ‫אפשרות 1 – קליטת החשבונית במערכת הרכש, מעבר למודול ספקים ותשלומים (אחרי שעברה‬
     ‫את כל הבדיקות במערכת הרכש) – הטיפול עובר לאנשי הכספים ומשם מעבר לספר הראשי.‬
        ‫אפשרות 3 – החשבונית אינה נקלטת במערכת הרכש אלא עוברת ישירות לאנשי הכספים‬
                                                 ‫שבמערכת הפיננסית ומשם לספר הראשי.‬
     ‫כל האפשרויות לגיטימיות בתנאי שמתקיימות כל הבקרות הדרושות. האפשרות העדיפה היא‬
                ‫האפשרות השניה – הכי טוב שאנשי הרכש בודקים את נכונות פרטי החשבוניות.‬
     ‫לגבי האפשרות הראשונה – לעיתים קיימות מערכות רכש הכוללות גם פעולות של תשלומים,‬
                              ‫כלומר ניתן להתייחס במקרה כזה אל מערכת הרכש כספר עזר.‬


     ‫לא ניתן לאגד את כל הפעולות תחת מערכת אחת בארגון – כל תחום צריך לקבל טיפול נפרד.‬
                                        ‫קיימים ארגונים שמחברים בין כמה מערכות נפרדות.‬
     ‫חשוב לאתר כמה מערכות יש בארגון, מה הממשקים הפנימיים בין המערכות ומה הממשקים‬
                                                                            ‫החיצוניים.‬
                                          ‫יש להגדיר את המבנה של המערכת ואת ההיררכיה.‬
                                                             ‫תכונות של מערכת פיננסית‬



‫04‬
        ‫2. תמיכה בהליכים העסקיים שבארגון – הליכים עסקיים כללים (רכש מכירות וכו')‬
                                                     ‫והליכים שבתוך אגף הכספים.‬
 ‫1. רב חברתית – מערכת המאפשרת ניהול הליכים עסקיים של יותר מחברה אחת. במערכת‬
       ‫רב חברתית ניתן לחלק את מסד הנתונים לכמה חברות ולטפל בכל אחת בנפרד .‬
‫לעיתים ניתן לבצע פעולות בין חברתיות תוך ביצוע פעולה אחת בלבד, ניתן להפיק דוחות‬
                                                                 ‫מאוחדים וכו'.‬
 ‫3. רב שנתיות – המערכת חיה בזמן רציף. ניתן לצפות בנתוני שנה קודמת ואין צורך לטעון‬
                                                   ‫מחדש את נתוני השנה הקודמת.‬
                           ‫לעיתים מדובר בשנים קלנדריות או בשנים לא-קלנדריות.‬
 ‫4. רב מטבעית – מערכת שמסוגלת לנהל את ספרי החשבונות במספר מטבעות. ניתן לדרוש‬
 ‫שכל המכלול יהיה מנוהל במטבע מסוים. בד"כ המערכות הן רב מטבעיות ברמת החברה‬
                                  ‫– ניתן להפיק דוחות כספיים ע"פ מטבע מסוים.‬
  ‫0. הפקת דוחות כספיים – ניתן להפיק דוחות כספיים הן מספרי העזר והן מהספר הראשי.‬
‫כאשר מדובר בדוחות כספיים – ספר ראשי. דוחות ניהוליים (מרכזי רווח, מוצרים) – ספר‬
                                                           ‫עזר או מהספר הראשי.‬


     ‫פקודות יומן קיימות אך ורק בספר הראשי ובספרי העזר קיימת רק האינפורמציה המשמשת‬
                                                     ‫לצורך פקודות היומן שבספר הראשי.‬
                                                                               ‫דוגמא:‬
‫בחברה 555,2 ספקים. נשאלת השאלה האם ניתן לנהל בספר הראשי חשבון אחד לספקים או לנהל‬
                                                                       ‫חשבון לכל ספק.‬
          ‫על בסיס שיקולי עלות-תועלת, אין טעם להחזיק מידע בכמה מקומות (בזבוז של מקום‬
      ‫ומשאבים). ניתן להחזיק אינפורמציה פרטנית יותר בספרי העזר ואינפורמציה מרכזת בספר‬
                                             ‫הראשי – הכל בתנאי שקיימים נתיבי ביקורת.‬
   ‫מאזן בוחן מופק מתוך הספר הראשי – ריכוז של החשבונות הראשיים. את הפירוט ניתן להפיק‬
                                                                          ‫מספרי העזר.‬


                                                  ‫המערכת הפיננסית כפופה להוראות חוק –‬
                                           ‫הפקת דוחות כספיים – גילויי דעת של לשכת רו"ח‬
                                         ‫ניהול ספרים – הוראות ניהול ספרים של מס הכנסה.‬
                                                 ‫כללים חשבונאיים – הוראות הרשות לני"ע.‬
                                 ‫לעניין ארגונים ספציפיים – הוראות המפקח על הבנקים וכו'.‬


                                    ‫במערכת הפיננסית קיימים קבצי תנועות וקבצי יתרות -‬
                                                                ‫קבצי תנועות = קבצי אב‬
                ‫קבצי יתרות – פרטניות. קבצי יתרות מאפשרים צפייה ביתרות באופן זמין יחסית.‬
     ‫נשאלת השאלה האם להחזיק יתרה עדכנית בלבד או יתרות לכל חודש, שבוע – תלוי בשימוש,‬
         ‫למשל לצורך שימושים בנקאיים נהוג להחזיק יתרה לכל חודש לצורך חישובי ריבית וכו'.‬


‫14‬
            ‫במערכת פיננסית קיימת חוקה – אוסף כללים לגבי רישום פעילויות וכן טבלאות עזר –‬
                          ‫אינפורמציה נוספת לצורך הרישום (שערי חליפין, מדדים, ריביות וכו').‬

                                                    ‫חוקה‬

                                ‫קובץ‬                                    ‫קובץ‬
                               ‫יתרות‬                                   ‫תנועות‬


                                                ‫טבלאות עזר‬


                                                               ‫אמצעי בקרה ונתיבי ביקורת‬
      ‫2. שלמות ודיוק – במעבר הנתונים בין ספרי העזר ובין הספר הראשי – יתרת חשבון ספקים‬
                       ‫חייבת להיות זהה לחשבוניות בניכוי תשלומים שבוצעו בספר העזר.‬
‫[כמובן שבמערכת מובנית אחת הסיכון שיפלו אי התאמות הוא נמוך משום שמתכנני המערכת‬
                                       ‫דאגו שהקשרים יהיו מובנים במערכת עצמה]‬
                                                       ‫1. נתיבי ביקורת – לגבי כל ספר עזר.‬
        ‫3. בעיות חתך בין מערכות – מאחר ומדובר בנתונים העוברים בין מערכות שונות, עלולה‬
      ‫להיווצר בעיית חתך חשבונאית כגון: הפקת דוח בשתי מערכות – מערכת מלאי ומערכת‬
‫לקוחות וגבייה. המכירה נרשמה במערכת הלקוחות אך הניפוק התרחש בתקופה החשבונאית‬
                                                                           ‫העוקבת.‬
‫קיים מונח שנקרא "סגירת תקופה" – עוצרים את הניפוקים שבוצעו עד סוף החודש וכל ניפוק‬
  ‫שהתבצע מאוחר יותר נכנס לחודש העוקב. נניח שהמכירה בוצעה ב- 2/23 והסחורה נשלחה‬
             ‫ב- 1/0. הגריעה מהמלאי הייתה אכן ב- 1/0 אך המכירה נרשמה בחודש הקודם.‬
    ‫אם נסגר החודש במערכת המלאי אך במערכת הפיננסית נסגר החודש שבוע אחרי – קיים‬
                                                                      ‫חוסר עקביות.‬
     ‫על מנת לפתור את הבעיה – אם משתמשים בתאריכים שונים לצורך סגירת חודש במערכת‬
     ‫אחת ולצורך סגירת חודש במערכת אחרת – נדרוש המערכת תדע מה המשמעות של השדות‬
                              ‫הרלוונטיים ולבדוק איך האינפורמציה עוברת בין המערכות.‬
      ‫כמו כן, מבחינה ניהולית, מומלץ להחליט על סדר מסוים לסגירת המערכות (בד"כ מתחיל‬
      ‫בסגירה של המערכות שמעבירות את האינפורמציה ולאחר מכן סגירה של הספר הראשי).‬
 ‫4. בדיקה של קבצי התנועות וקבצי היתרות – וידוי התאמה בין הקבצים. אם מדובר במערכת‬
  ‫מקוונת, כלומר שכל תנועה אמורה להתאים אוטומטית את היתרה, אין משמעות לבדיקה.‬
     ‫אם לעומת זאת מדובר במערכת מיוחדת כגון: מערכת בנקאית, שנוהגת להחזיק יתרות‬
 ‫לתקופות שונות, יש לבדוק שאכן היתרה תואמת את סיכום כל התנועות לתקופה מסוימת.‬
         ‫0. ביקורת פקודות יומן בספר הראשי - קיימים נתונים של תאריכים, סכומים, חשבונות‬
                                                                       ‫ואסמכתאות.‬
                             ‫סכומים – לעיתים קיימים סכומים הנקובים במטבעות שונים.‬


‫24‬
  ‫קיימים כמה סוגי תאריכים – תאריכי רישום, תאריכי ערך, תאריך פירעון, תאריך תקופה‬
                                                                      ‫חשבונאית.‬
  ‫תאריך הרישום = תאריך רישום הפקודה בספרים – אין בעיה להציב בקרות קלט על שדה‬
                                                                  ‫תאריך הרישום.‬
  ‫תאריך ערך - חשוב כאשר מנוהלים ימי ערך, כלומר רק כאשר נדרש חישוב להמרת מט"ח,‬
                                                           ‫ריבית או תיאום למדד.‬
 ‫תאריך פירעון – תאריך שנקבע לתשלום ובהתאם לתנאי התשלום שנקבע. תאריך זה משמש‬
                                                            ‫לצורך גיול החשבונות.‬
    ‫ישנן מערכות שכאשר מדובר בתנועה עתידית – תאריך הפירעון מקבל את תאריך הערך.‬
     ‫תאריך תקופה חשבונאית – לעיתים נדרשים לייחס חשבונות לתקופה חשבונאית אחרת‬
                                             ‫(אירועים מסוג א', אירועים מסוג ב' וכו').‬
                                                                               ‫דוגמא:‬
   ‫חשבונית בגין ביצוע עבודה נושאת תאריך של 1/1, הגיעה אל הארגון בתאריך 1/0 ונקלטה‬
                          ‫במערכת בתאריך 1/0. סוף חודש ביצוע העבודה הוא אוקטובר.‬
                                                                 ‫תאריך הרישום = 1/0‬
 ‫תאריך הערך = 1/1 – תלוי מה נקבע מול הספק (בד"כ נקבע ששער החליפין הוא לפי תאריך‬
                                                                           ‫החשבונית).‬
   ‫תאריך הפירעון – בהנחה שמדובר בשוטף + 50 – יש לקחת את תאריך החשבונית ועוד 50‬
                                                                 ‫ימים ולכן - 4/53.‬
                     ‫תאריך תקופה חשבונאית – שנת 5551 – בהתאם לחודש סיום העבודה.‬


                                                                          ‫דוגמא:‬
                                                        ‫סכומים בהקשר לרב מטבעיות‬
‫חשבונית התקבלה ב- 25/2/2 מספק בגרמניה על סך 552 ‪ .DM‬הספק מנוהל בחשבון הנקוב ב-‬
                                                                                ‫‪.DM‬‬
 ‫סכום‬       ‫שע"ח $‬   ‫סכום‬     ‫שע"ח‬      ‫סכום‬     ‫מטבע‬       ‫סכום‬    ‫פרטים‬      ‫תאריך‬
     ‫ב- $‬            ‫בש"ח‬              ‫ח-ן ב-‬
                                         ‫‪DM‬‬
      ‫50‬       ‫2:4‬     ‫551‬      ‫2:1‬       ‫552‬     ‫‪DM‬‬         ‫552‬       ‫ח-ן‬     ‫25/2/2‬
      ‫50‬       ‫2:0‬     ‫553‬      ‫2:3‬       ‫552‬                                ‫25/12/23‬


                                                     ‫מומלץ לעשות שערוך לפי כל תנועה.‬
                     ‫יש לבצע ראשית שערוך לש"ח ולאחר מכן שערוך ל- $ ("אנטי שערוך").‬


                     ‫$ - התשובה האמיתית!‬          ‫תרגום $‬            ‫ש"ח‬
                                     ‫50‬                ‫50‬             ‫553‬        ‫ספק‬
                                     ‫52‬                ‫51‬             ‫552‬      ‫שערוך‬



‫34‬
     ‫התרגום ל- $ הוא תרגום נוחות משום שהוא פשוט לוקח את הסכומים במאזן בוחן ומחלק‬
                                                                     ‫בשער החליפין.‬
                   ‫המערכת נדרשת לשקף נכונה את מה שקרה ואכן השערוך אמור להיות 52.‬


                                                     ‫הוראות ניהול ספרים לפי מס הכנסה‬
                                    ‫הוראות אלו קבעו איך לנהל את ספרי החשבונות השונים.‬
                                                          ‫ספר ראשי – חובה לכל הארגונים‬
                                                            ‫ספר מלאי – למי שמנהל מלאי.‬
                                                       ‫ספר קופה – למי שמנהל מפרט וכו'.‬
‫תיעוד פנים – כל מסמך שמופק מטעם הנישום (הפקת קבלה בקבלת תקבול, הפקת תעודת משלוח‬
                                                                                 ‫וכו').‬
                      ‫בשנת 3002 התעורר הצורך להתאים את ההוראות למערכות ממוחשבות.‬
               ‫ההחלטה הייתה להמשיך באותה שיטה שנדרשת אילולא מדובר במערכת רגילה.‬
            ‫ספר כרוך – ספר כרוך שדפיו ממוספרים בסדר עולה וכאשר נתלש דף נותר העתק…‬
  ‫קובץ קבוע – קובץ שמקיים את אותם תנאים שהיו נדרשים לגבי ספר כרוך, כלומר אין אפשרות‬
                ‫למחוק רשומה מקובץ קבוע. תיקון בקובץ הקבוע מתבצע על ידי רשומה נוספת.‬
                  ‫הרשומות בקובץ הקבוע ממוספרים אוטומטית ונשמר הרצף לאורך התקופה.‬
 ‫פקודות יומן לפני עדכון, לדוגמא, יושבות בקובץ זמני שאינו חלק ממערכת החשבונות ורק לאחר‬
                                           ‫שמשהו עבר ובדק אותן הן מעודכנות בספר הראשי.‬
      ‫בכל מקום שבהן ההוראות התייחסו להפקת דוחות ולתיעוד פנים (איזה פרטים חייבים לכלול‬
         ‫במסמכים, איך מבטלים חשבונית וכו') נעשה תיקון המתאים את ההוראות למערכת מידע‬
                                                                              ‫ממוחשבת.‬


                                         ‫נספח ה' – הוסף במיוחד למערכות מידע ממוחשבות.‬
                                 ‫התוכנה לניהול מערכת חשבונות ממוחשבת תבצע בין היתר –‬
                                      ‫2. הפקה זמינה של פלט חזותי לפי סדר רישומן...‬
     ‫1. על גבי כל פלט חזותי יש לציין את שם הנישום, התקופה, המהות, תאריך הפקת הפלט,‬
                                                                  ‫מס' סידורי ...‬
 ‫3. ציון בצורה בולטת של המילה "טיוטא" על גבי פלט חזותי המונפק באופן זמני – על מנת‬
                                       ‫להבדיל בין קובץ קבוע לבין קובץ בלתי קבוע.‬
       ‫4. הפקת פלט מודפס של תיעוד פנים מקובץ קבוע בלבד – כל מה שנדרש לגבי ספרי‬
                                              ‫חשבונות נכון גם לגבי תיעוד פנים.‬
  ‫המילה "מקור" מופיעה רק על גבי עותק אחד והמילה "העתק" על גבי שאר ההעתקים.‬
      ‫0. המערכת צריכה להכין מנגנון לבדיקת רצף המספרים העוקבים – נדרשת בקרה על אי‬
                                                              ‫רציפות המסמכים.‬
      ‫לעיתים קיימות בעסק שתי מערכות למשל – מערכת לייצוא ומערכת מקומית. לכל‬
 ‫מערכת קיימת סדרה משלה. דרישת מס הכנסה היא שתהיה רציפות לגבי כל סדרה בפני‬
                                                 ‫עצמה ושתהיה שליטה ובקרה.‬


‫44‬
 ‫מערכת אל פסק – מונעת הפסקת פעילות במקרה של הפסקת חשמל. מערכת זו מאפשרת המשך‬
       ‫פעילות למשך כמה דקות על מנת שתהיה יציאה מסודרת מהמערכת וללא איבוד מידע.‬
                                                             ‫לקרוא את ההוראות!‬



                                                                       ‫מערכת מלאי‬
‫מדובר במערכת תפעולית, לוגיסטית המכילה בתוכה גם היבטים חשבונאיים (כל החישוב של ערך‬
                                                             ‫המלאי מנוהל במערכת).‬
                                ‫מערכת המלאי נקראת גם "ספר עזר המלאי" או "מלאי פיננסי".‬



                                                 ‫מכירות‬


                                  ‫ניפוק חו"ג‬              ‫ניפוק תוצ"ג‬


                         ‫מלאי תמידי‬                               ‫כניסת חו"ג‬

               ‫פיננסית‬                           ‫מלאי‬                                 ‫רכש‬


                                ‫כניסת תוצ"ג‬                ‫ניפוק חו"ג‬
                                                 ‫ייצור‬



‫תנועות/מחסנים – ברשומת התנועה של הפריט מוסיפים שדה שנקרא "מחסן" ואז ניתן לשייך את‬
                                                 ‫הפריט לאתר פיסי או אתר לוגי מסוים.‬
                                                         ‫השיוך נדרש למטרות שונות, למשל:‬
     ‫מלאי שהוא רכוש קבוע (חלקי חילוף וכו'). קיימת מערכת לניהול מלאי מיוחד באותו אופן שבו‬
                                                                          ‫מנוהל מלאי רגיל.‬
        ‫באמצעות השיוך למחסן מסוים ניתן להבדיל מלאי שניצור בגינו רישום חשבונאי או תנועה‬
                                                                                    ‫אחרת.‬
                          ‫ניתן לנהל ערך מלאי ברמת מחסן ולא רק ברמת החברה (מסובך יותר).‬


       ‫עיתוד מלאי – מתייחס לנושא שמירה על רמות מלאי - מלאי מינ', מלאי מקס' וכו'. לא נדבר‬
                                                                          ‫במסגרת הקורס.‬


                                                             ‫נושאים שנדון בהם בשיעור הבא:‬
                                                                            ‫קטלוג פריטים‬
                                                                                 ‫ערך מלאי‬


‫54‬
                                                                            ‫שיעור מס' 8‬

                                                                   ‫מערכת המלאי – המשך‬
                                                                ‫תנועה: כמות * מחיר = ערך‬
  ‫העברה בין מחסנים – כניסות וניפוקים. מחסן הינו שדה מסוים ברשומת התנועה, אשר‬         ‫‪‬‬
                              ‫עוזר לאתר את המיקום הפיסי או הלוגי של הפריט.‬
                                                             ‫גריעה (פסילה השמדה).‬    ‫‪‬‬
                ‫ספירת מלאי – משפיעה רק על מרכיב הכמות במשוואה ולא על המחיר.‬          ‫‪‬‬
                                     ‫שינוי מחיר – משפיע על מרכיב המחיר במשוואה.‬      ‫‪‬‬


       ‫הקבצים המרכזיים במערכת המלאי דומים לקבצים המרכזיים של המערכת הפיננסית –‬
‫קובץ התנועות – קובץ האב המכיל את פקודות היומן (סוג התנועה, כמות, מחיר, כניסות, ניפוקים‬
                                                                                     ‫וכו').‬
            ‫קובץ יתרות – באמצעותו ניתן לצפות באופן מהיר על יתרת הפריט לתקופה מסוימת.‬
  ‫קטלוג הפריטים – מכיל את המק"ט של כל פריט, מס' היצרן , מס' סידורי, מק"ט חלופי, מחיר‬
                                                      ‫תקן, מס' מחירון שבו הוא מופיע וכו'.‬
 ‫מק"ט הוא שדה המזהה באופן חד-חד ערכי באיזה פריט מדובר. למק"ט קיימת משמעות, כלומר‬
                            ‫אין מדובר במס' שרירותי אלא לכל סגמנט במק"ט יש משמעות.‬
                                   ‫מס' היצרן מזהה את הסימון של אותו פריט אצל היצרן.‬
  ‫מק"ט חלופי – לעיתים יכולים להיות שני פריטים עם מק"ט שונה אך מבחינת הצרכנים – קיים‬
                                       ‫ביקוש לכל אחד משני הפריטים – לא עורכים הבדל.‬
                              ‫בקרות על קטלוג הפריטים – כיצד ניתן מס' קטלוגי, הרשאות,‬


                                                            ‫ניהול ערך המלאי (מלאי פיננסי)‬
                        ‫מלאי ניתן לנהל בכמה שיטות – ‪ ,FIFO ,LIFO‬ממוצע נע, ספציפי, תקן.‬
                                                                     ‫‪ LIFO‬אינו נהוג בד"כ.‬
‫השיטות הנהוגות הן ‪ FIFO‬וממוצע נע ערך – בשיטות אלו ערך המלאי גבוה יותר וכן מתאים יותר‬
                               ‫לניהול פריטי מלאי (‪ LIFO‬מתאים לניהול פריטי מלאי נוזליים).‬
                                     ‫בממוצע נע נשתמש כאשר אין הבדל מהותי בין הפריטים.‬
     ‫ב- ‪ FIFO‬נשתמש כאשר ניתן למדוד את אורך חיי המוצר (תאריך תפוגה) – נותן תמונה טובה‬
                                                                                   ‫יותר.‬
‫מלאי ספציפי – זיהוי של כל פריט ופריט באופן ספציפי, באמצעות מס' סידורי. מלאי ספציפי נהוג‬
                                 ‫כאשר מגוון הפריטים הוא קטן ולכל פריט ערך גבוה יחסית.‬
‫מלאי תקן – נהוג לניהול מלאי תוצ"ג (כאשר יש עצי מוצר). מלאי תקן משמעותו שמחיר כל פריט‬
                                                        ‫במלאי נקבע ע"פ מחירון (תקן).‬
‫יש לציין שהארגון צריך לעקוב כל הזמן אחרי תקן המחירים למרות שמחיר תקן מפשט בעיקרון‬
                                                                          ‫את העבודה.‬


‫64‬
               ‫ניהול מלאי תקן מאפשר לעקוב אחר הכניסות והיציאות של הפריטים מהמחסנים.‬


                                                          ‫מלאי תמידי – מלאי תקופתי.‬
       ‫במלאי תקופתי אין קשר בין מערכת המלאי לבין מערכת הנה"ח, כלומר במשך התקופה לא‬
       ‫נרשמות כל הכניסות והיציאות בנפרד אלא פעם בתקופה מרכזים את כל התנועות ורושמים‬
                                                                    ‫פקודת יומן אחת.‬
                                               ‫מעתה ההנחה היא שמנהלים מלאי תמידי.‬
                                                                   ‫הרישום בהנה"ח –‬
                                                                             ‫דוגמא:‬
                                         ‫כניסת חו"ג – מס' פריט 5252, כמות – 52, מחיר – 0‬
        ‫בחשבון מלאי נחייב 50 ונזכה חשבון ספקים במעבר (במידה ולא הגיעה חשבונית) בסך 50.‬
                                      ‫[כאשר תגיע חשבונית נחייב ספקים במעבר ונזכה ספק]‬
            ‫עד שלא תגיע החשבונית נזכה את חשבון הספקים במעבר ע"פ המחיר שנקבע בהזמנה.‬
                  ‫נניח שכאשר הגיעה החשבונית הסכום היה 50 (בעקבות שינוי בשע"ח למשל) –‬
    ‫במצב כזה נוצר בעצם הפרש של 52 ₪ בחשבון ספקים במעבר. נדרש לייחס את ההפרש למלאי‬
                                                                           ‫ולעלות המכר.‬
‫אם כל הפריטים מצויים במלאי – נזכה את חשבון ספקים במלאי ונחייב את חשבון המלאי ב- 52.‬
    ‫אם חלק מהפריטים כבר הונפקו – הייחוס יהיה לפי היחס שבין הפריטים שנותרו במלאי לבין‬
                                                                         ‫הפריטים שהונפקו.‬
 ‫על מנת לטפל במצבים כאלו קיימים במערכת המלאי מהלכי עדכון רטרואקטיביים (‪- )roll back‬‬
                                ‫תיקון של מערכת המלאי וכן רישום תנועה במערכת הפיננסית.‬


                                                                                 ‫דוגמא –‬
         ‫ממוצע נע‬             ‫ערך‬             ‫מחיר‬               ‫כמות‬              ‫פרטים‬
          ‫52 0.52‬         ‫552 052‬           ‫52 0.52‬                ‫52‬             ‫כניסה 2‬
     ‫22 = 51 / 511‬             ‫512‬               ‫12‬                ‫52‬             ‫כניסה 1‬
         ‫22 01.22‬         ‫511 011‬                                  ‫51‬        ‫סיכום ביניים‬
         ‫22 01.22‬      ‫(00) (01.00)‬        ‫22 01.22‬                ‫(0)‬              ‫ניפוק‬
         ‫22 01.22‬       ‫002 00.002‬             ‫00.3‬                ‫02‬        ‫סיכום ביניים‬
                               ‫052‬             ‫0.52‬                ‫52‬        ‫חשבונית בגין‬
                                                                                  ‫כניסה 2‬


 ‫בחשבונית קיים פער של 0 ₪. יש לייחס את הפער בחלקו למלאי ובחלקו לעלות המכר. יש לגשת‬
    ‫לכניסה הראשונה שבגינה הגיעה החשבונית (כניסה 2) וכן לבצע מהלך תיקון רטרואקטיבי.‬
                     ‫הייחוס יהיה ביחס של 2:3 (נופקו 0 פריטים ונותרו 02 פריטים) כלומר –‬
                                                          ‫01.2 לעלות המכר ו- 00.3 למלאי.‬
                                                      ‫00.3‬                       ‫ח' מלאי‬
                                                                 ‫ז' ספקים במעבר‬


‫74‬
                                                         ‫01.2‬                 ‫ח' עלות המכר‬
                                                                     ‫ז' ספקים במעבר‬


     ‫לעיתים המלאי אינו מהותי לארגון ולכן המערכת אינה עורכת מהלכי ‪ roll back‬או ש"זורקת"‬
                                                                ‫את כל ההפרשים לרווח והפסד.‬


           ‫כאשר יש החזרות – האם לעשות ‪ roll back‬או לא, לפי איזה מחיר לבצע את המהלכים?‬
     ‫כל ארגון וכל מערכת מטפלת באופן שונה בהחזרות. לעיתים ההחזרה נעשית לפי מחיר הממוצע‬
 ‫הנע (בכדי שלא להשפיע על המחיר). לעיתים החזרות מיוחסות לכניסה ספציפית ואז המחיר הוא‬
           ‫לפי המחיר באותה כניסה – יוצר רקורסיות משום שבגין אותה הכניסה נוצר ‪.roll back‬‬


    ‫ירידה למלאי שלילי – ישנם ארגונים שלא מאפשרים ירידה למלאי שלילי – מאפשרים לנפק‬
                                            ‫בהתאם למס' הפריטים הרשומים במערכת.‬
‫אילו הפריטים שעל המדף אינם תואמים את מס' הפריטים שבמערכת (יש יותר פריטים על המדף‬
‫מאשר רשומים במערכת) – ניתן לתקן את מס' הפריטים שבמערכת ולהנפיק את המלאי אולם זה‬
                                                                ‫לא תמיד מתאפשר.‬
                                      ‫בהנחה שמנפיקים את המלאי בכל זאת – נוצר מלאי שלילי.‬


         ‫ממוצע נע‬              ‫ערך‬               ‫מחיר‬               ‫כמות‬            ‫פרטים‬
               ‫52‬              ‫552‬                  ‫52‬                 ‫52‬          ‫כניסה 2‬
     ‫22 = 51 / 511‬             ‫512‬                  ‫12‬                 ‫52‬          ‫כניסה 1‬
               ‫22‬              ‫511‬                                     ‫51‬      ‫סיכום ביניים‬
               ‫22‬             ‫(002)‬                 ‫22‬                ‫(02)‬          ‫ניפוק 2‬
               ‫22‬               ‫00‬                                      ‫0‬      ‫סיכום ביניים‬
                              ‫(522)‬                 ‫22‬                ‫(52)‬          ‫ניפוק 1‬
               ‫22‬              ‫(00)‬                                    ‫(0)‬     ‫סיכום ביניים‬
                ‫??‬             ‫532‬                  ‫32‬                 ‫52‬          ‫כניסה 3‬
               ‫02‬               ‫00‬                                      ‫0‬      ‫סיכום ביניים‬


           ‫?? - המחיר הממוצע חייב להיות בין 52 – 32 ולכן לא מסתדר לרשום מחיר בסך 02.‬
‫ניתן להחליט שהכניסה הראשונה שהעלתה את המלאי מכמות שלילית לחיובית תקבע את המחיר‬
                                              ‫– כלומר נתחיל מלמטה למעלה לפי מחיר 32.‬
                  ‫יש לתת פקודה בגין תיקון מלאי שלילי בסך 52 יחידות (בד"כ כנגד רווה"פ).‬
                                                                       ‫חשבון ספקים במעבר -‬
                                                                        ‫כניסות ללא חשבוניות‬
                                                                      ‫(חשבוניות ללא כניסות)‬


‫84‬
                                                                              ‫הפרשי מחיר‬


 ‫כל עוד מנתחים את היתרה של החשבון ויש הסברים ליתרות הנ"ל זה בסדר. חשוב לדעת מאיפה‬
                                                                 ‫נוצרים המס' הנ"ל.‬



                                 ‫שיעור מעבדה – יום שלישי, 25/12/01, בשעה 04:02 – 55:02.‬


                                                     ‫שאלה ממבחן – חברת "פטישי הנגב"‬



          ‫תל אביב –‬                      ‫רמת גן –‬                          ‫עפולה –‬
           ‫משרדים‬                         ‫מחסנים‬                            ‫ייצור‬

          ‫מע' מכירות‬                     ‫מע' מלאי‬                      ‫מע' ייצור‬
            ‫מע' שכר‬
          ‫מע' הנה"ח‬                                               ‫עבודה‬       ‫חו"ג‬


                                                                                ‫נדרש א' –‬
      ‫הבעיות במערכת המכירות – החשבוניות במחירים מופרזים, ללקוחות מסוימים ניתנו הנחות‬
                     ‫מופרזות וחלק מהמוצרים שרשומים בחשבוניות לא רשומים כמלאי בחברה.‬
                                               ‫בקרות בתהליכי העבודה במערכת המכירות:‬
     ‫2. ברירות המחדל של המחירים בחשבונית ייגזרו מתוך קובץ הפריטים במערכת המלאי‬
                                                         ‫(מחיר בסיסי שייקבע).‬
‫1. המערכת לא תאפשר חריגה מהמחיר המוצע בחשבונית עד לתחום שיוגדר למשתמש (ע"פ‬
                                                     ‫מערך הרשאות מסוים).‬
     ‫3. ביצירת חשבונית לא ניתן יהיה להזין מוצרים שלא יהיו קיימים בקובץ טבלאות מלאי‬
                                                        ‫(קובץ הפריטים שבמלאי).‬
 ‫4. ההנחות ללקוחות ייקבעו בקובץ נפרד ולא ניתן יהיה לשנות בחשבונית את סוג ההנחות‬
                               ‫(ההנחות ימוספרו ויינתנו רק בסוגי עסקאות שייקבעו).‬
                                                               ‫0. רציפות חשבוניות.‬
                                                           ‫0. בקרות גישה והרשאות.‬
       ‫א. המערכת תאפשר שינוי מחירים למוצרים רק למנהלים ולעובדים מורשים.‬
     ‫ב. היררכיה של הרשאות גישה לקובצי הלקוחות, המלאי והמחירים, החשבוניות‬
 ‫וההנחות (האפליקציה פונה את קבצי הנתונים ושולפת אותם ולא המשתמשים‬
               ‫עצמם. ההזדהות ומערך ההרשאות מתבצעת ברמת האפליקציה).‬
‫ג. כל השינויים בטבלאות המערכת, כולל תיקונים של ערכים, יירשמו בקובץ תיעוד‬
                                                                    ‫‪.log‬‬



‫94‬
               ‫ד. בכל שלב יהיה ניתן לחזור לנתונים היסטוריים בכל הטבלאות.‬


                                                       ‫תכנית ביקורת למערכת המכירות‬
            ‫2. בדיקת סיכום של סכומי המכירות והעברות אוטומטיות להנהלת חשבונות.‬
                                 ‫1. בדיקת רציפות של מס' סידורי של חשבוניות המס.‬
                                                     ‫3. רציפות של תעודות משלוח.‬
                            ‫4. בדיקת כפילות של חשבוניות מס או של תעודות משלוח .‬
                                ‫0. התפלגות מכירות ע"פ תקופות, פילוח גיאוגרפי וכו'.‬
                                      ‫0. בדיקת סך התקבולים לסך העברות להנה"ח.‬
       ‫0. בדיקה האם ישנם תקבולים חריגים (גבוהים או נמוכים באופן משמעותי ממחיר‬
                                                                 ‫החשבונית).‬


                                                                          ‫נדרש ב' –‬
‫הבעיות במערכת השכר – החברה שילמה שכר במשך מספר חודשים לעובדים פיקטיביים, עמלות‬
                                 ‫המכירות אינן נרשמות בתלושי השכר של סוכני המכירות.‬
                                               ‫בקרות בתהליכי העבודה במערכת השכר:‬
                                                         ‫שלב קליטת עובדים חדשים –‬
        ‫2. לא לאפשר רישום של שני עובדים עם אותה תעודת זהות – מפתח ראשי בקובץ.‬
                                                        ‫1. בדיקת ספרת הביקורת.‬
                                       ‫3. לא לאפשר הזנה של מס' ת.ז ללא משמעות.‬
 ‫4. שדות תעודת זהות כגון: שם העובד, כתובת ופרטי בנק – שדות חובה (לפי הוראות ניהול‬
                                                                        ‫ספרים).‬
                                     ‫0. שמירה על תמונת העובד כחלק מפרטי העובד.‬
               ‫0. התאמה ורישום של עובד חדש בשתי מחלקות בארגון – כוח אדם ושכר.‬
                              ‫0. בדיקת חריגים כגון: כתובות או חשבונות בנק כפולים.‬
‫0. הקמת מערך אבטחה ובקרת גישה שיבטיח שעובדים לא מורשים לא יוכלו לשנות נתונים‬
                                                          ‫(בעיקר בקבצי האב).‬
                                                              ‫שלב הפקת תלושי שכר –‬
‫2. בדיקת התאמה בין מס' התלושים המופקים למס' העובדים בארגון וכן בדיקה שמס' ת.ז‬
                                                                     ‫תואם.‬
      ‫1. רישום עמלות מכירה בתלושי השכר ובדיקת סבירות העמלות מול נתוני המכירות.‬
‫3. התאמת פרטי השכר לקבצי כוח אדם בנושאים: דרגות, ותק, אחוזי משרה, נקודות זכות‬
                                                                       ‫וכו'.‬


                                                                       ‫נדרש ג' –‬
                               ‫בעיה אפשרית - אי התאמה בין מערכת הייצור למחסנים.‬



‫05‬
                 ‫תהליכי עבודה נדרשים לצורך התאמה בין מערכת המלאי למערכת הייצור:‬
                   ‫2. הפרדת תפקידים בין מפעילי מערכת הייצור למפעילי מערכת המלאי.‬
       ‫1. בדיקת התאמה בין הכמויות שנרשמות בפקודות העבודה בייצור לתעודות המשלוח‬
                                               ‫ולכמויות שנרשמות במערכת המלאי.‬
                ‫3. המוצרים שרשומים בפקודות העבודה יילקחו מטבלאות הפריטים בלבד.‬
                   ‫4. פקודות עבודה על כמויות חריגות יאושרו על ידי מנהלי הייצור בלבד.‬
       ‫0. בדיקת הממשק בין מערכת הייצור למערכת המלאי (להפיק דוח אי התאמה, לבדוק‬
                                        ‫מאפיינים של פקודות שלא מתאימות וכו').‬
                                   ‫0. נהלי אבטחת מידע מתאימים למערכות מרוחקות.‬
                                                                    ‫0. בקרות גישה.‬
                                                       ‫0. דוחות שגויים וקבצי תיעוד.‬


                                                        ‫תוכנית ביקורת של מערכת המלאי‬
                                       ‫2. בדיקת סיכומים והכפלות (יח' * כמות = ערך).‬
 ‫1. השוואת מחירי העלות מול מחיר המכירה ואיתור רשומות/פריטים בהם העלות עולה על‬
                                                                         ‫המחיר.‬
                                         ‫3. עריכת גיול של המלאי על פי תאריכי כניסה.‬
        ‫4. זהה ואתר את פריטי המלאי שכמותם עולה על רמות המלאי המקסימליות (במידה‬
                                           ‫והמערכת תומכת בהגדרת רמות מקס').‬
      ‫0. זהה ואתר מלאי איטי ומלאי פגום (בד"כ עורכים בדיקת תנועות שנעשו לכל רבעון על‬
                ‫מנת לאתר מק"ט שקיימים ביתרות ולא נעשו בהם תנועות – אין תחלופה).‬
  ‫0. זהה ואתר פריטים חריגים כגון: מחירי מכירה או עלות גבוהים או נמוכים משמעותית.‬
                                          ‫0. בדיקת רציפות של תעודות כניסה ויציאה.‬
                                                                    ‫0. בדיקות חתך.‬
     ‫0. השוואת הכמויות במערכת לספירות המלאי (בד"כ במערכות המנהלות מלאי תקופתי).‬
                                               ‫52. זיהוי פריטים ותנועות מלאי כפולים.‬
     ‫22. השווה קבצי מלאי משני תאריכים שונים בכדי לזהות תנועות מלאי חדשות ומבוטלות.‬
                                       ‫12. זהה ואתר מלאי שנרכש מחברות בעלות עניין.‬



                                                                             ‫נדרש ד' –‬
                                               ‫דוחות לעיון במערכת על מנת לבדוק חריגות:‬
                                                                        ‫במערכת שכר -‬
                                                         ‫2. תנועות במצבת כוח אדם.‬
           ‫1. מצבת כוח אדם – כל העובדים הזמניים והקבועים הקיימים ברישומי כוח אדם‬
                              ‫3. עובדים שחלה במשכורתם עלייה דרסטית במהלך השנה.‬


‫15‬
                                                                         ‫במערכת המלאי –‬
                                       ‫2. רשימת הכמויות ופקודות העבודה לפי חודשים.‬
                                      ‫1. פקודות עבודה שלא הופקו בגינן תעודות משלוח.‬
                                                   ‫3. פקודות עבודה עם כמויות חריגות.‬
                 ‫4. פקודות עבודה לייצור מוצרים שנוצרו פעמים אחדות בלבד במשך השנה.‬
     ‫0. דוח התאמה בין המוצרים ופקודות העבודה לקובץ הפריטים – שלא יווצר מצב שנוצרו‬
                                         ‫פקודות עבודה בגין פריטים שאינם נמצאים.‬
                                                                       ‫מערכת מכירות –‬
                                  ‫2. רשימת אנשי המכירות והתאמתם לרשימת העובדים.‬
                            ‫1. התפלגות מכירות על פי חתך מסוים (לקוחות, חודשים וכו').‬
                                 ‫3. קובץ הנחות, קובץ מחירים, מק"טים, קובץ חשבוניות.‬



                                                                    ‫שאלה ממבחן 85/1/9‬
                                                                               ‫נדרש 1 -‬
                                                     ‫מאגרי המידע הקשורים למערכת הרכש:‬
      ‫2. מאגר ספקים – מס' ספק (מפתח), כתובת הספק, פרטים, ניכוי במקור, צורת תשלום,‬
                                                                      ‫תנאי תשלום.‬
      ‫1. מאגר פריטים – מס' פריט (מפתח), תיאור, יחידות מידה, ספק מועדף, מחיר מחירון.‬
                                    ‫3. מאגר קניינים – ת.ז (מפתח), מס' עובד, שם הקניין.‬
       ‫4. מאגר דרישות רכש – מס' דרישה (מפתח), תאריך, הגורם היוזם את הדרישה, הגורם‬
                                         ‫המאשר, תאריך נדרש, פריט, כמות, סטטוס.‬
 ‫0. מאגר הזמנות – מס' הזמנה (מפתח), מס' דרישה – כל הזמנה היא בגין דרישה מסוימת,‬
                                            ‫תאריך, ספק, סכום, תקציב, סטטוס.‬
        ‫0. מאגר חשבוניות רכש – מס' חשבונית (מפתח), סה"כ מבחינת ערך, מע"מ תשומות.‬


                                                                             ‫נדרש 2 –‬
                                            ‫בקרות הקלט שנצפה למצוא במסך הזנת ההזמנה:‬
                              ‫מס' הזמנה – מספור אוטומטי – מונע כפילויות ופערים.‬      ‫‪‬‬
                ‫על מנת להפיק מס' הזמנה יש לקשור את ההזמנה לדרישת רכש מסוימת.‬
                                                        ‫תיעוד שם העובד או הקניין.‬
                         ‫תאריך – פורמט תאריכי, ברירת מחדל תהיה התאריך של היום.‬       ‫‪‬‬
        ‫מס' ספק – יירשם רק ספק מתוך רשימת הספקים (שדה מפתח ברשימת הספקים).‬           ‫‪‬‬
     ‫מס' קניין – בדיקת קיום בטבלת הקניינים. פרטים אלו יוצגו אוטומטית או יישלפו לפי‬   ‫‪‬‬
                                                                    ‫שם המשתמש.‬




‫25‬
      ‫סכום הזמנה – הסכום יועלה אוטומטית מתוך פריטי הדרישה, אם ניתן, אחרת יהיה‬     ‫‪‬‬
     ‫תוצאה של חישוב (כמות * מחיר למק"ט המסוים). כמו כן בדיקת הרשאה מקסימלית‬
                                                                   ‫לאותו קניין.‬
                  ‫מועד אספקה – בדיקה האם תאריך האספקה עומד בתאריך הדרישה.‬         ‫‪‬‬
                                         ‫תנאי תשלום – ברירת מחדל מנתוני הספק.‬     ‫‪‬‬
 ‫סעיף תקציבי – בדיקת החריגה של עלות ההזמנה מסך כל התקציב או בדיקה של חריגה‬        ‫‪‬‬
                                                                       ‫עד %52.‬
                                   ‫מס' פריט בהזמנה – בדיקת קיום בטבלת פריטים.‬     ‫‪‬‬
                                         ‫הפרטים בגין אותו מק"ט יוצגו אוטומטית.‬
                                          ‫יש לציין שלא כל המק"ט יאושרו להזמנה.‬
              ‫כמות מוזמנת – בדיקה מול הנמצא במחסנים או מול דרישות רכש אחרות.‬      ‫‪‬‬
 ‫מחיר ליחידה - המערכת לא תאפשר הזנת מחיר בדרישת הרכש ובהזמנה תופיע ברירת‬          ‫‪‬‬
                                            ‫המחדל בהתאם לטבלת המק"טים.‬
     ‫דרישות רכש – יידרש להזין מס' דרישה מסוימת שהופקה בעבר. נתוני הדרישה יועלו‬    ‫‪‬‬
                                                                     ‫אוטומטית.‬
  ‫שדות חובה – כמות הזמנה, מק"ט, תאריך הזמנה, מס' ספק, מס' קניין, סעיף תקציבי,‬     ‫‪‬‬
                                                                  ‫מועד אספקה.‬



                                                                         ‫שיעור מס' 5‬

                                                               ‫עקרונות אבטחת מידע‬

 ‫אבטחת מידע – מכלול האמצעים הניהוליים, התפעוליים והטכנולוגיים הננקטים לצורך הגנה על‬
           ‫מאגרי מידע ומשאבי מחשוב כנגד שינוי, חבלה, חשיפה וגילוי במזיד או עקב רשלנות.‬
‫‪ – Privacy‬סודיות המידע. המידע חשוף רק כלפי בעלי התפקידים או הגורמים אשר המידע נחוץ‬
                                                                     ‫להם לצורך עבודתם.‬
                                           ‫בקרות גישה, אמצעי זיהוי ואימות, סקר עיסוקים‬
               ‫‪ – Availability‬זמינות המידע. המידע אמור להיות זמין לצורך קבלת ההחלטות.‬
                                                   ‫גיבוי, תוכנית התאוששות למקרי חירום.‬
                                ‫‪ – Integrity‬מהימנות המידע. הכוונה לשלמות ודיוק המידע.‬
                             ‫בקרות ממשק, עיבוד שלם ומלא של מידע, בקרות בקליטת מידע.‬


                                                                       ‫תפקידי המבקר‬
            ‫נספח א' לגילוי דעת 00 מדבר על בקרות כלליות (במסגרת סקר על הבקרה הפנימית) –‬
                               ‫סקירת אמצעי אבטחת המידע המיושמים בארגון המבוקר.‬        ‫‪‬‬


‫35‬
              ‫הערכת סבירות אמצעי אבטחת המידע המיושמים אל מול הסיכונים הקיימים.‬            ‫‪‬‬
      ‫ווידוי יישומם של בקרות האבטחה המוצבות, לדוגמא: יישום נהלים, בדיקת יישומם של‬         ‫‪‬‬
                                                                              ‫עקרונות.‬
                                                 ‫ווידוי קיום גורם מקצועי אחראי לנושא.‬     ‫‪‬‬


     ‫ההתייחסות לנושא בקרת אבטחת המידע צריכה להיות באותו אופן בדומה להתייחסות לשאר‬
                                                                             ‫הבקרות.‬
      ‫ברגע שמזהים חולשה בבקרה יש להתריע בפני ההנהלה, לדרוש בדיקה נוספת וכן להרחיב את‬
                                                                    ‫הבקרות המבססות.‬


                                                                 ‫מדיניות אבטחת מידע‬
‫מטרת מדיניות אבטחת המידע היא לעצב תבנית וכיווני פעולה בתחום אבטחת המידע. בין היתר,‬
    ‫מטרתה של מדיניות אבטחת המידע היא קביעת בעלי התפקידים הרלוונטיים לנושא, הגדרת‬
                                                     ‫התכולה של המידע אליו מתייחסים.‬
                               ‫בד"כ מקובל שההנהלה מחליטה על מדיניות אבטחת המידע.‬
                                                                          ‫מס' כללים:‬
     ‫מחויבות ההנהלה – ההנהלה מצהירה בכתב שהיא מחויבת לנושא ותפעל ליישום ואכיפת‬            ‫‪‬‬
                                                                   ‫המדיניות שהוחלטה.‬
                                                   ‫הגדרת המדיה שעל גביה שמור המידע.‬       ‫‪‬‬
 ‫פונקציות ארגוניות שפעילות בתחום אבטחת המידע. לדוגמא: ועדת היגוי – מורכבת מבעלי‬           ‫‪‬‬
         ‫תפקידים בכירים בארגון, מתכנסת אחת לתקופה (רבעון או חצי שנה) ותפקידה לקבל‬
                               ‫החלטות אסטרטגיות הרלוונטיות לפעילות אבטחת המידע.‬
                                      ‫בעלי המידע – אחראים לאבטחת המידע שברשותם.‬
        ‫ממונה על אבטחת מידע – על פי חוק הגנת הפרטיות חלה החובה על ארגונים מסוימים‬
     ‫(ממשלתיים, בנקים וחברות ביטוח) למנות ממונה על אבטחת המידע. תפקיד הממונה הוא‬
‫ליישם הלכה למעשה את המטלות שהוגדרו על ידי ועדת ההיגוי, לבקר את קיומם ולאכוף את‬
                                                                       ‫ביצועם.‬
            ‫דרך של קביעת נהלים – מי קובע את הנהלים, מי אחראי על ביצועם, סדר המידע.‬        ‫‪‬‬
                  ‫סיווג המידע – מידע רגיש, סודי וכו'. יש לקבוע קריטריונים לסיווג המידע.‬   ‫‪‬‬
      ‫מידור מידע – כיצד ימדרו את הגישה למידע ועל פי אילו קריטריונים. לדוגמא: קריטריון‬     ‫‪‬‬
     ‫"הצורך לדעת" – כל בעל עיסוק זקוק למידע מסוים לצורך ביצוע תפקידו וכל מידע שאינו‬
                                                   ‫נחוץ במסגרת תפקידו אינו חשוף בפניו.‬
           ‫אמצעי בקרה ובחינה שוטפת – הארגון צריך להחליט על אמצעי אכיפת המדיניות.‬          ‫‪‬‬
                                                                  ‫הערכות לשעת חירום.‬      ‫‪‬‬
                                                                         ‫גיבוי הנתונים.‬   ‫‪‬‬
                                                                        ‫אבטחה פיסית.‬      ‫‪‬‬



‫45‬
                                                               ‫בקרות לוגיות ובקרות פיסיות‬
 ‫בקרות פיסית – גישה למקומות רגישים צריכה להיות מבוקרת, לדוגמא: חדר המחשב. הבקרות‬
         ‫שמיישמים הם בד"כ כרטיסים מגנטיים, שומרים, גלאי עשן, מיגון כנגד נזקי טבע וכו'.‬
   ‫בקרות לוגיות – מיושמות מבחינה טכנולוגית במערכות המחשב הקיימות, לדוגמא: הרשאות‬
                                                              ‫למשתמשים במערכות השונות.‬


                           ‫מערכת הפעלה – מקשרת בין החומרות השונות המותקנות במחשב.‬
                                               ‫בסיס הנתונים מכיל את טבלאות הנתונים.‬
                ‫יישומים – אפליקציה – פונה את טבלאות הנתונים ושולפת את המידע הרלוונטי.‬


                                       ‫תהליכים‬        ‫יישומים‬

                    ‫טבלאות, נתונים, שדות‬
                                                   ‫בסיס הנתונים‬


        ‫קבצים, ספריות, התקני חומרה‬                ‫מערכת ההפעלה‬



                                       ‫מצלמה‬         ‫סורק‬           ‫דיסק‬
    ‫אילו רוצים לצמצם את הגישה לבסיס הנתונים ניתן להנהיג מדפסתגישה ברמת הטבלאות –‬
                         ‫בקרות‬
                                                               ‫ליצור בקרה על השדות.‬
‫ברמת היישומים הבקרות הן לגבי התהליכים – יש לקבוע מי יכול לגשת לטבלאות השונות ולבצע‬
                                                                        ‫בהם פעולות.‬
              ‫ברמת מערכת ההפעלה – מגבילים את הגישה לקבצים, ספריות והתקני החומרה.‬


     ‫יש לקבוע מהי רמת הגישה המותרת לגבי כל גורם בארגון – הרשאת קריאה, הרשאת מחיקה,‬
                                                           ‫הרשאת כתיבה, הרשאת הרצה.‬


     ‫ניהול ההרשאות הלוגיות מתבצע באמצעות הרשאות שמעניקים למשתמש מסוים או לקבוצת‬
                                                                     ‫משתמשים (‪.)groups‬‬
              ‫לדוגמא: קבוצת הנהלת החשבונות תקבל הרשאות ספציפיות בכל רמה של המערכת.‬
                ‫את ההרשאות ברמת מערכת ההפעלה קובעים מנהלי המערכת, אדמיניסטרטורים.‬
                        ‫את ההרשאות ברמת בסיסי הנתונים קובעים מנהלי בסיסי הנתונים וכו'.‬
     ‫כל אחד מהעובדים מזדהים עם הרשת, פונים ליישום מסוים אשר פונה אל בסיס הנתונים. רוב‬
                        ‫העובדים עובדים מול היישומים ואינם מסוגלים בד"כ לגשת לכל המידע.‬


                                                           ‫אבטחה לוגית – שיטות זיהוי‬
                       ‫ווידוא כי הגורם מבצע הפעילות הוא אכן האדם שניתנה לו הרשאה לכך.‬



‫55‬
                               ‫א. נתון מוכר למשתמש – שם משתמש בצירוף של סיסמה.‬
          ‫ב. פריט המוחזק על ידי המשתמש, לדוגמא: כרטיס מגנטי, מפתח, בר-קוד, חומרה‬
                                                                        ‫מסוימת.‬
‫ג. תכונות ביולוגיות של המשתמש, לדוגמא: תביעת אצבע, רשתית, זיהוי קולי, זיהוי כף יד.‬
                                                                     ‫ד. סיסמאות.‬
                                                     ‫בקרות הקשורות לסיסמאות –‬
              ‫‪ o‬תדירות שינוי סיסמה לפי מכון התקנים צריכה להיות בין 50 ל-50 יום.‬
                ‫‪ o‬אורך תווים מינימלי צריך להיות לפי מכון התקנים בין 4 ל-0 תווים.‬
              ‫‪ o‬הגבלת מס' ניסיונות הזנה לפני ניתוק לפי מכון התקנים הוא בין 3 ל-0.‬
       ‫‪ o‬הגנה על גישה לקובצי סיסמאות – קבצים אלו צריכים להיות מוצפנים והגישה‬
                             ‫אליהם צריכה להיות מוגבלת למנהלי המערכת בלבד.‬
     ‫‪ o‬בדיקת סיסמאות חוזרות מול רשימה היסטורית של הסיסמאות – המשמעות היא‬
          ‫כמה פעמים נדרש להחליף סיסמה עד אשר ניתן לחזור לסיסמא היסטורית.‬
 ‫‪ o‬שימוש בתווים מסוימים לבניית הסיסמא (מומלץ לכפות שימוש בכמה שיותר סוגי‬
                                        ‫תווים – מספרים, אותיות, סימנים וכו').‬




                                                                 ‫אבטחה לוגית – הצפנה‬
                                                 ‫הגדרה: תהליך הפיכת מידע גלוי לחסוי.‬
                                 ‫אלגוריתם – קבוצת כללים ידועים לביצוע תהליך ההצפנה.‬
            ‫מפתח – הפרמטר הסודי בתהליך ההצפנה שנבחר מתוך קבוצה גדולה של צירופים.‬
                            ‫פתרון הצפנה יכול להיות באמצעות תוכנה או באמצעות חומרה.‬
 ‫האלגוריתם עצמו אינו חסוי אלא המפתח הוא הגורם החסוי (סיסמה למשל). על מנת לפענח את‬
                                                   ‫המפתח החסוי קיים גם מפתח מפענח.‬
                                                                        ‫שיטות הצפנה:‬
     ‫א. השיטה הסימטרית – מפתח משותף לשני הצדדים (חברה מול לקוחות, חברה מול ספקים‬
                                   ‫וכו'). כל צד יכול להצפין ולפענח מידע באותו מפתח.‬
      ‫האלגוריתם המפורסם ביותר בשיטת הצפנה זו הוא ‪.)data encryption standard( DES‬‬
     ‫כאשר מידע עובר בין הצדדים ברשת, כגון רשת האינטרנט ציבורית, קיים סיכון של ציתות‬
         ‫למידע ושימוש בו ע"י גורמים חיצוניים. חשוב לברר תחילה את אמינות הגורם שאליו‬
                                                                      ‫מעבירים מידע.‬
       ‫ההחלטה על המפתח היא משמעותית – יש צורך להחליף מידע בין הצדדים לגבי המפתח‬
                                        ‫בדרך בטוחה, למשל באמצעות פגישה בין הצדדים.‬
‫חיסרון של השיטה – ברגע שמנהלים קשרים עם מס' רב של גורמים יש צורך לנהל מס' רב של‬
                                            ‫מפתחות משום שבכל קשר יש מפתח נפרד.‬




‫65‬
 ‫ב. השיטה הא-סיטמרית – משמשת לצורך הצפנת מידע ועשויה לשמש גם לצורך אימות וזיהוי.‬
                   ‫לכל צד יש מפתחות שונים להצפנה ולפענוח (מפתח פרטי ומפתח ציבורי).‬
                                               ‫האלגוריתם המפורסם ביותר הוא ‪.RSA‬‬
‫המפתח הפרטי הוא היחידי שיכול לפענח מסר שהוצפן באמצעות המפתח הציבורי התואם לו.‬
   ‫באותו אופן - מסר שהוצפן באמצעות המפתח הפרטי יפוענח רק באמצעות המפתח הציבורי‬
                                                                         ‫התואם.‬
       ‫המפתח הפרטי הוא סודי למשתמש. בשיטה הקודמת המפתח משותף למס' משתמשים.‬
                                                        ‫המפתח הציבורי זמין לכל.‬
 ‫שימוש במפתח לצורך הצפנה: לוקחים את קובץ שמכיל את המסר ומצפינים אותו באמצעות‬
‫המפתח הציבורי של הצד השני (גלוי). לאחר מכן שולחים את הקובץ לצד השני שצריך לפענח‬
                                      ‫את המסר באמצעות המפתח הפרטי שברשותו.‬
 ‫החיסרון – כל הבקרות תלויות במפתח הפרטי ולכן אם גורם חיצוני מגלה את המפתח הוא‬
                                                ‫יהיה מסוגל לחשוף את כל הבקרות.‬


     ‫מטרה ראשונית של טכנולוגיות ההצפנה – להצפין מסרים. מטרה נוספת היא אימות וזיהוי.‬
                                          ‫קיימת אפשרות לחתום באופן דיגיטלי על מסמך.‬
‫השיטה הסימטרית נועדה להצפנה בלבד ולעומת זאת, השיטה הא-סימטרית מאפשרת בקרות של‬
    ‫אימות וזיהוי. דוגמא: אם נרצה להוכיח שמסמך מסוים חתום רק על ידינו, ניתן להצפין את‬
 ‫המסמך באמצעות המפתח הפרטי. לאחר שהמסמך נשלח לצד השני הוא מפענח אותו באמצעות‬
 ‫המפתח הציבורי התואם שלנו. במידה והפענוח אכן הצליח אזי המשמעות היא שהמסמך חתום‬
          ‫על ידינו בלבד משום שהמפתח הציבורי שלנו יכול לפענח רק את המפתח הפרטי שלנו.‬


      ‫כיום קיים חוק החתימה הדיגיטלית ואותם אלגוריתמים נכנסו למסגרת החוק. מסמך חתום‬
                                                       ‫באופן דיגיטלי מחייב על פי חוק.‬
                     ‫בחוק קיים פרק שמטפל במצב שבו המפתח נחשף לגורמים בלתי רצויים.‬
       ‫הנושא פותח תחילה על ידי מכון התקנים האמריקאי, שקבע תקן חתימה דיגיטלית – ‪DSS‬‬
                                                             ‫(‪)digital signature standard‬‬
                        ‫חוק החתימה הדיגיטלית בישראל נכנס לתוקף רק מאוחר יותר (השנה).‬
                          ‫מבחינת הביקורת – יש לבדוק את ההיבטים של החתימה הדיגיטלית.‬


                                                                  ‫אמצעי אבטחה פיסית –‬
     ‫הגנה בפני אש, עשן, פיצוצים – גלאי עשן וחום, אמצעי אזעקה אוטומטיים, מערכות כיבוי‬   ‫‪‬‬
                                                                         ‫אש, מטפים.‬
                  ‫נזקי טבע (רעידת אדמה, ברק, סופה, הצפה) – גלאי הצפה, רצפה צפה וכו'.‬   ‫‪‬‬
                                                    ‫נזקים סביבתיים – חומרים רעילים.‬    ‫‪‬‬
                                  ‫פגיעה במערכות המחשב – נפילת מתח, ניתוק תקשורת.‬       ‫‪‬‬
                                                             ‫פשיעה – גניבה או חבלה.‬    ‫‪‬‬


‫75‬
       ‫יש לציין שהבקרות הלוגיות הן חסרות משמעות ברגע שלא מתקיימות הבקרות הפיסיות.‬
   ‫ראשית יש לבחור מיקום מתאים לאתרים בעלי חשיבות גבוהה כמו לדוגמא: חדר מחשב, חדר‬
                                                                         ‫מדור שכר וכו'.‬
‫בקרת גישה לחדר – על ידי שומרים, מלווים, אמצעי אימות וזיהוי (סיסמאות, הגנות ביומטריות,‬
      ‫תגים, כרטיסים חכמים וכו'), דלתות כפולות, דלתות חסינות אש ומערכות התראה ואזעקה‬
                                                                          ‫לזיהוי פריצה.‬
‫הפרדת תפקידים – כאשר קיימים שרתים שבהם המידע חסוי מאוד יש להציבם בחדר פרטי. כמו‬
                                          ‫כן ניתן להשתמש בכספות לשמירה על מידע חסוי,‬
           ‫הגנות בפני פגיעות בחשמל – ‪ UPS‬מערכת אל פסק, מצברים, גנרטורים, מייצבי מתח.‬
                        ‫סיכוני טמפרטורה – חדר המחשב צריך להישמר בטמפרטורה מסוימת.‬
                                                    ‫תמיד מומלץ להנהיג מערכות גיבוי.‬


                                                               ‫תוכנית למצבי אסון ‪DRP‬‬
‫הגדרה: תיאור של הצעדים שיש לנקוט, המשאבים שבהם יש להשתמש והנהלים אותם יש למלא‬
  ‫לפני, במשך ואחרי קרות אירוע בלתי רצוי הגורם לכך שאמצעי המחשוב של ארגון לא יתפקדו.‬
  ‫מחובתו של המבקר לוודא קיומה של תכנית התארגנות למצב של השבתה של שירותי המחשוב‬
                                           ‫ולחוות דעה לגבי תקינותה, שלמותה ועדכניותה.‬
                                     ‫אירוע יוגדר כמצב חירום רק על ידי גורם המוסמך לכך.‬
                                      ‫התוכנית צריכה להתייחס לחמישה מרכיבים עיקריים:‬
              ‫א. הגדרת אירועים – מהם אירועי חירום ומי מוסמך להכריז על מצב חירום.‬
     ‫ב. תכנית התארגנות לקראת מצב חירום – מה מגבים ואיך, התייחסות לנהלים, ניסויים‬
                                                      ‫שגרתיים לקראת מצב חירום.‬
      ‫ג. תוכנית גיבוי – גיבוי של מידע חיוני להמשך קיום העסק. המשמעות היא שיש לדאוג‬
                                    ‫למקומות ישיבה חלופיים, חדרי מחשבים וכו'.‬
                      ‫ד. תגובה למצב חירום – הצעדים שיש לנקוט כתגובה למצב חירום.‬
        ‫ה. פעילות שיקום והתאוששות – החזרה לשיגרה אחרי סיום הטיפול במצב החירום.‬


                                                ‫אסטרטגיות ארגוניות לתכנית התאוששות‬
                     ‫ביטוח – יש לוודא שנכסי העסק הרלוונטיים מבוטח בעלויות סבירות.‬    ‫‪‬‬
     ‫מעבר לעבודה ידנית – ארגונים מסוימים יכולים להמשיך בעסקים ללא מערכת המחשב.‬       ‫‪‬‬
‫יצירת מערכת דמה – כל המידע נשמר פעמיים (על שתי מערכות) כך שברגע שהמערכת קורסת‬        ‫‪‬‬
               ‫– העבודה עוברת אוטומטית למערכת הדמה והעבודה נמשכת ללא מפריע.‬
       ‫מעבר למתקן פנימי אחר – העלאת הגיבויים על גבי מתקן אחר תוך ניסיון להמשיך את‬    ‫‪‬‬
                                                                 ‫העבודה באמצעותו.‬




‫85‬
  ‫רכישת משאבי מחשב מגורם חיצוני – מיקור חוץ – כל פעילות הגיבויים נעשית אצל גורם‬        ‫‪‬‬
‫חיצוני שמספק את הנתונים במצב חירום. כאשר חברה משתמשת באסטרטגיה זו על המבקר‬
                   ‫לבדוק את מהימנות הגורם החיצוני ואת זמינות המידע במצב חירום.‬


                                                                      ‫שיטות לגיבוי המידע‬
        ‫קיימת שיטה נפוצה לגיבוי שנקראת "גיבוי קר" – גיבוי המידע על אמצעי אחסון חיצוניים‬
                                             ‫ומוגנים ומעבר למחשב חלופי רק במצבי חירום.‬
        ‫"גיבוי חם" – רישום אוטומטי של מידע בשני מחשבים בו-זמנית. אסטרטגיה זו מאפשרת‬
                     ‫התאוששות בזמן הקצר ביותר אולם דורשת משאבי מחשוב ועלות גבוהים.‬
     ‫"גיבוי הדדי" – בכל מחשב מבוצעים חלק מהעיבודים הקריטיים והתוצאות מועברות למחשב‬
                                                                             ‫נוסף.‬


                                                                    ‫הרכיבים שיש לגבות:‬
                                                  ‫קבצי הנתונים (לקוחות, ספקים וכו').‬   ‫‪‬‬
‫שמירת עותקים של תוכנות יישומיות, תוכניות ההתקנה, מערכות ההפעלה, המערכות לניהול‬         ‫‪‬‬
                                                                  ‫בסיסי הנתונים.‬
                    ‫אמצעי האחסון השונים, לדוגמא: מיקרופיש, תדפיסים, מדיה מגנטית.‬       ‫‪‬‬
                                                ‫חומרה – שרתים, מחשבים, נתבים וכו'.‬     ‫‪‬‬
                     ‫מסמכים – תעודות אחריות, מדריך הפעלה, נהלים, שרטוטי רשת וכו'.‬      ‫‪‬‬
                                                      ‫רשימות כוח אדם – אנשי מפתח.‬      ‫‪‬‬
                                                                        ‫קלטות גיבוי.‬   ‫‪‬‬


                                                         ‫היבטים לצורך תכנון מערך גיבוי:‬
                                                     ‫א. ניידות מסביבת גיבוי אחת לשניה.‬
      ‫ב. כספות בהן יאוחסנו קלטות הגיבוי – ישמרו באתר מרוחק ממתקן המחשב ויוגנו בצורה‬
                                                                           ‫מתאימה.‬
                                                                ‫ג. תדירות עדכון הגיבוי.‬
                                                  ‫ד. ניסוי תקופתי לבדיקת תקינות הגיבוי.‬
                               ‫ה. בחירת שיטת גיבוי אופטימלית למערכות המידע הקיימות.‬


                                                                         ‫שיעור מס' 11‬

                                                                        ‫מעבדת ‪IDEA‬‬
                                                           ‫תוכנה לניתוח נתונים – ‪.CUST‬‬
                      ‫2. שלב תחקור – שיחות וראיונות שמטרתם להגיע לקבצים שיש לקלוט.‬
                         ‫[הקבצים הזמינים לביקורת יהיו רלוונטיים לכל עבודת הביקורת]‬


‫95‬
                                                                    ‫1. קליטת הקבצים.‬


                                                                  ‫תהליך קליטת הקבצים‬
     ‫2. יש להוריד לצורך העבודה קובץ בשם ‪ Cpayment‬מהפורום (בפורום יש קובץ תרגילים‬
                               ‫ובו יש להוריד את קובץ ה- ‪ WORD‬שנקרא "תרגיל 1").‬
     ‫כאשר נקבל את ההודעה "לחץ כאן להורדה ..." יש ללחוץ על לחצן ימני על מנת לשמור‬
                                ‫את הקובץ בשם ‪ cpayment‬על הדיסקט (קובץ טקסט).‬
        ‫1. הכנת תשתית עבודה (לצורך ביצוע התרגיל) – יש ליצור ספריה חדשה בכונן ‪ C‬אשר‬
       ‫נקראת ‪ .winidea‬בתוך ספריה זו ליצור תת ספריה בשם ‪ .user‬מתחת לספריה זו יש‬
                                                ‫ליצור ספריה נוספת בשם ‪.sapakim‬‬
                          ‫את הקובץ ‪ cpayment‬יש להעתיק אל תוך ספריית ‪.sapakim‬‬


     ‫אנו נלמד את העקרונות על קובץ המלאי וקובץ הנה"ח ונצטרך ליישם את העקרונות על הקובץ‬
                                                                               ‫‪.cpayment‬‬


                                     ‫כניסה לתוכנה - בשולחן העבודה קיים אייקון של ‪.IDEA‬‬
                                                                    ‫שלב קליטת הקובץ –‬
         ‫2. הגדרת ספריית עבודה – ‪ file –set working folder‬יש לעיין ולבחור במסלול המוביל‬
                     ‫לספריית ‪( sapakim‬כלומר בוחרים ברמה אחת מעל הקובץ ‪.cpayment‬‬
                                ‫א. הגדרת שם לקוח – מס' ת.ז + שם מלא (באנגלית).‬
                                                                 ‫ב. שנה – 2551.‬
‫1. אשף קליטה – ‪ file –import assistant‬נפתחת מסך ובו ספריית העבודה שהוגדרה קודם. על‬
     ‫ידי לחיצה על הכפתור עם שלושת הנקודות מגדירים איזה קבצים רוצים לקלוט, כלומר יש‬
                                                             ‫לבחור בקובץ ‪.cpayment‬‬
                   ‫בשלב השני נפתח מסך שבו יש להגדיר איזה סוג קובץ – לא לגעת.‬    ‫‪‬‬
                             ‫בשלב הבא יש להגדיר את אורך הרשומה – לא לשנות.‬      ‫‪‬‬
 ‫לאחר מכן נפתח מסך ובו טבלה עם מס' רשומות. מטרת המסך הזה היא להציב את‬           ‫‪‬‬
  ‫הקווים המפרידים בין הטורים. דבל קליק על הקו מעלימה אותו, ודבל קליק נוסף‬
                                                            ‫מחזיר את הקו.‬
           ‫במסך הבא יש להגדיר את סוג השדה ושם השדה. לגבי התיאור – לא חובה.‬      ‫‪‬‬
            ‫שדה נומרי – ‪ NUMERIC‬שדה מספרי (סכום, כמות, יחידות משקל וכו').‬
                 ‫שדה תאריכי – ‪ – DATE‬הפורמט של התאריך הוא ‪.YYYMMDD‬‬
              ‫שדה אלפא נומרי – ‪( CHARACTER‬אסמכתאות, מס' חשבוניות וכו').‬
            ‫ניתן להגדיר לגבי שדה מספרי כמה ספרות יהיו אחרי הנקודה העשרונית.‬



‫06‬
      ‫במסך האחרון נדרש לתת שם לבסיס הנתונים – מומלץ לשמור לפי אותו שם של‬          ‫‪‬‬
                                              ‫הקובץ שקלטנו, כלומר ‪.cpayment‬‬


                                                                           ‫ניתוח הנתונים‬
 ‫2. בדיקת כפילויות ‪ data – duplicate key –detection‬יש להגדיר על איזה שדה לרוץ על מנת‬
‫לבדוק כפילויות. לצורך כך יש ללחוץ על הכפתור ‪ .KEY‬כאשר מדובר בחשבוניות ניתן לבדוק‬
                                                               ‫את שדה האסמכתא.‬
                                      ‫לאחר שמאשרים נפתח מסך שמפרט את הכפילויות.‬
     ‫יש לשים לב שקובץ הכפילויות נפתח ברמה נמוכה יותר מקובץ המקור. לאחר הפעלה של‬
                                       ‫פונקציה יש לזכור לחזור חזרה לרמה הראשונה.‬
‫1. בדיקת רציפות ‪ data –gap detection‬ואז ללחוץ על ‪ .character‬לאחר מכן יש לסמן ב- ‪field‬‬
  ‫‪ in use‬את השדה "אסמכתא". לאחר האישור נפתחת טבלה המראה איזה מס' אסמכתאות‬
                                                                                 ‫חסרים.‬
 ‫3. מיון – ‪ data–sort‬ולאחר מכן לסמן את השדה "אסמכתא". כך ניתן למצוא ביתר קלות את‬
                                           ‫השדות החסרים ולדווח עליהם בדוח הביקורת.‬
 ‫4. שליפות – קיימות כמה אפשרויות שליפה: למסך (‪ )view‬ולקובץ. השליפה היא לפי שאילתה.‬
     ‫נניח שנרצה לבצע שליפה למסך אזי ניתן ללחוץ על האייקון "מחשבון" ולבחור את‬      ‫‪‬‬
         ‫הפונקציה ‪ .year‬הפקודה הזו שולפת את השנה מתוך השדות שהוגדרו כשדות‬
                              ‫תאריכיים. ניתן לבחור את השדה מתוך החלון השמאלי.‬
                    ‫לאחר מכן יש ללחוץ על התנאי שהפונקציה בודקת (<, >, = וכו').‬
            ‫על מנת לחזור ממסך השאילתה לקובץ המקור ניתן ללחוץ על האייקון ‪.X‬‬
 ‫שליפה לקובץ – ‪ data –extraction‬נפתח מסך שבו יש לתת שם לקובץ – בתרגיל יש‬          ‫‪‬‬
                              ‫לקרוא לקובץ ע"פ מס' הנדרש (נדרש 3, נדרש 4 וכו').‬
          ‫לחיצה על הציור של המחשב פותחת את המסך עם הפונקציות לצורך כתיבת‬
                                            ‫השאילתה. לסיום יש ללחוץ על ה- ‪.V‬‬
            ‫ניתן להגדיר אילו שדות בדיוק נרצה לקבל בקובץ של תוצאת השאילתה.‬
     ‫דוגמא לשאילתה – מהו אחוז ההנחה? לצורך כך יש לרשום פונקציה שמחלקת את‬
                       ‫"סכום ההנחה" ב"מחיר" וכך מתקבל בעצם אחוז ההנחה.‬
      ‫לעיתים קיימים מס' רשומות עם שדה בעל ערך זהה. ניתן לקבץ את כל הרשומות‬        ‫‪‬‬
       ‫הללו ולסכם את הערכים של שדה ספציפי. למשל לסכום את סכומי החשבוניות‬
                                               ‫הרשומות על שם לקוח מסוים.‬
      ‫קיבוץ – ‪ analysis –field summarize‬ואז ללחוץ על ‪ .key field‬יש לבחור איזה‬
     ‫שדה לסכום ולאחר מכן יש לבחור על פי איזה שדה לקבץ את הרשומות.לבסוף יש‬
                                         ‫לתת שם לקובץ (בהתאם למס' נדרש).‬
      ‫קובץ התוצאות מראה כמה רשומות כללו את אותו שדה שלפיו התרחש הקיבוץ.‬
                                        ‫ניתן לרבד ולקבץ לפי טווחים של סכומים.‬     ‫‪‬‬


‫16‬
     ‫‪ analysis – file stratification –Character‬ברירת המחדל של התוכנה היא טווח‬
                        ‫של 555,52. כמו כן, ניתן להיכנס ולהקליד את הטווח הרצוי.‬
                                                     ‫‪ .i‬להגדיר קטגוריות.‬
                          ‫‪ .ii‬לזהות את השדה הנומרי שעל פיו יתבצע הריבוד.‬
                                                        ‫‪ .iii‬לסמן שם קובץ.‬
     ‫תוצאת הפונקציה נותנת גם את מס' הרשומות בכל טווח ואת האחוז שלהם מתוך‬
                                                             ‫סך הרשומות.‬
‫גיול – ‪ analysis –aging‬יש לרשום את התאריך שממנו מתחילים לספור אחורה. יש‬          ‫‪‬‬
       ‫לזכור לרשום את התאריך בפורמט ‪ .YYYYMMDD‬יש להגדיר על איזה שדה‬
                     ‫מפעילים את הפונקציה. לאחר מכן רושמים איזה שדה סוכמים.‬
                      ‫יש לרשום את מס' הימים לצורך בדיקת הגיל (חודש = 53 יום).‬
                    ‫לבסוף יש לתת שם לקובץ ולאשר. ניתן לראות את הקובץ שנוצר.‬
‫0. הקמת שדה מדומה – ‪ data –field manipulation‬ניתן לראות במסך זה את כל התכונות של‬
‫השדות שהוגדרו. ניתן לפתוח שדה נוסף, מדומה, שבו יופיעו תוצאות של חישוב שדה מסוים.‬
                                               ‫על ידי לחיצה על ‪ append‬נפתח שדה נוסף.‬
‫קיים פס גלילה שבו ניתן לבחור את התכונה ‪ virtual numeric‬לצורך הגדרת השדה המדומה.‬
‫לחיצה כפולה מאפשרת לכתוב את המשוואה שנרצה לחשב על שדה מסוים ושהתוצאה תופיע‬
                                                               ‫בשדה המדומה.‬
                                               ‫השדה המדומה מסומן בצבע ורוד.‬


                                  ‫עתה קיים חלק אחר בתרגיל שבו משתמשים בקבצים אחרים.‬
                                            ‫קובץ ‪( mlay‬מלאי) שבו קיימים השדות ‪asm, sum‬‬
                                    ‫קובץ ‪( hes‬חשבונות) שבו קיימים שדות ‪asm_hes, amount‬‬
      ‫על ידי לחיצה על החץ האדום המצביע למטה ניתן לבחור שדה שנרצה לסכם (בדומה לאייקון‬
                                 ‫"סיגמה"). תוצאת הסיכום מופיעה בחלון שליד החץ האדום.‬
 ‫ניתן לראות שקיימים פערים בין סיכום עמודת הסכום בקובץ המלאי לבין סיכום עמודת הסכום‬
                                                                  ‫בקובץ החשבונות.‬
                                                 ‫יש לבדוק ממה נובעות אי ההתאמות.‬


        ‫מהלך של איחוד – ‪ join‬ניתן לאחד שתי טבלאות. תחילה יש לבחור בקובץ הראשי ולכן נניח‬
        ‫שניגש תחילה לקובץ "חשבונות" הממוין (ברירת המחדל של התוכנה היא שהקובץ הראשון‬
                                                                  ‫שנבחר הוא ה- ‪.)primary‬‬
‫‪ join –Join databases‬ניתן לבחור איזה שדות מתוך קובץ חשבונות יופיעו בטבלה המאוחדת על‬
                                                              ‫ידי לחיצה על כפתור "‪."field‬‬
 ‫בחלון האמצעי יש להגדיר מהו הקובץ המשני. יש ללחוץ על הכפתור ‪ select‬ולבחור בקובץ מלאי.‬
                         ‫באותו אופן ניתן לבחור איזה שדות מקובץ זה יופיעו בטבלה המאוחדת.‬


‫26‬
      ‫בחלון התחתון יש לסמן מהו שדה המפתח המקשר בין הטבלאות על ידי לחיצה על ‪ .match‬יש‬
        ‫לבחור לגבי הקובץ הראשי ולגבי הקובץ המשני מהו שדה המפתח (מתוך רשימה של השדות‬
                                                                  ‫המופיעים בטבלה).‬
                               ‫כמו כן ניתן לבחור את האפשרות להצגה של הקובץ המאוחד:‬
                                               ‫מציג רק את הרשומות התואמות.‬      ‫‪‬‬
                                       ‫רשומות שנמצאו בראשי ולא נמצאו במשני‬      ‫‪‬‬
                                             ‫רשומות נמצאות במשני ולא בראשי.‬     ‫‪‬‬
                                                       ‫כל הרשומות של הראשי.‬     ‫‪‬‬
                                                ‫‪ ‬כל הרשומות של שני הקבצים.‬
                                                              ‫לבסוף יש לתת שם לקובץ.‬
     ‫עתה ניתן ליצור בטבלה המאוחדת שדה מדומה שבו יחושב ההפרש בין סכום החשבונית לסכום‬
                                          ‫הפריט במלאי וכך ניתן להתחקות אחר ההפרשים.‬


      ‫החלק הראשון של התרגיל – ביצוע מס' שאילתות על קובץ בודד. לא לעשות סעיפים 0, 0 ו-32.‬
                            ‫החלק השני של התרגיל – פעולות על קבצים שונים. לא לעשות סעיף 0.‬
                                        ‫הנתיב אל הקבצים – ‪C\program files\idea\samples‬‬
                       ‫יש לפתוח באותה רמה של ספריית הספקים ספריה חדשה בשם ‪.samples‬‬
                         ‫לבסוף יש להגיש דיסקט שבו מועתקים ספריות ‪.samples, cpayments‬‬
     ‫החלק האחרון של התרגיל הוא דו"ח באורך 3-1 עמודים לגבי אי ההתאמות שנמצאו, המלצות‬
                                                                            ‫ומסקנות.‬
                                                                ‫תאריך ההגשה 15/2/32.‬



                                                                          ‫שיעור מס' 11‬

                                                                       ‫גל"ד 66 ונספחיו‬
    ‫גל"ד 00 בא להנחות את מבקר החשבונות כיצד לבצע ביקורת של מערכות מידע ממוחשבות.‬
                                         ‫"הנחיות ליישום תקני ביקורת בסביבת מ.מ.מ."‬
                                                         ‫תקני הביקורת הם 0, 0, 0, 52.‬
‫מטרת הביקורת לא משתנה בסביבת מערכות מידע ממוחשבות – הכוונה למטרת הביקורת שהיא‬
                          ‫לוודא שהדוחות הכספיים מייצגים באופן נאות את פעילות העסק.‬
      ‫לפי גל"ד 00 – מערכת מידע ממוחשבת כאמור לא משפיע על מטרת הביקורת אלא על נהלי‬
                                                                             ‫הביקורת.‬
                      ‫דוגמא לנוהל ביקורת – ספירת מלאי – בא לאמת ספירה פיסית של המלאי.‬
‫אצל חברות מבוססות על מערכות מידע (כגון: ‪ ,YES‬מת"ב וכו') יש בעיה עם נוכחות המבקר בעת‬
                               ‫אימות יתרות. לא ניתן ליישם את אותם נהלי הביקורת הרגילים.‬
                                     ‫הצורך בביקורת מערכות מידע היה קיים עוד לפני גל"ד 00.‬


‫36‬
                                    ‫ביקורת מ.מ.מ.‬

                                           ‫ארגון‬




          ‫שיפור‬                  ‫שיפור‬                     ‫שיפור‬                ‫שמירה על‬
         ‫ביעילות‬              ‫באפקטיביות‬               ‫בשלמות ודיוק‬               ‫נכסים‬
                                                          ‫הנתונים‬


                                                   ‫‪R‬‬   ‫‪V‬‬       ‫‪A‬‬       ‫‪C‬‬
                                     ‫תקפות הגבלת גישה‬       ‫דיוק‬      ‫שלמות‬


‫* שיפור ביעילות ובאפקטיביות אינה קשורה ישירות לרו"ח אלא אלו מטרות פנימיות של החברה.‬
  ‫שיפור בשמירה על הנכסים – נכס הוא ציוד המחשב עצמו, הלקוחות בחברה, התוכנות, פטנטים‬
                              ‫מסחריים וכו'. מטרת הביקורת היא לסייע בשמירת הנכסים.‬
      ‫שלמות ודיוק הנתונים – בחינת בקרות של מערכות מידע היא בדיקה האם בקרה מסוימת‬
          ‫מפקחת על אחת ממטרות ‪ .RVAC‬לדוגמא: ארגון קונה סחורות ממס' ספקים הפועלים‬
    ‫במקומות שונים. החברה קבעה נוהל שהקניות יתבצעו רק מאחד הספקים שברשימה. קיימת‬
 ‫בקרה פנימית שהקניה והתשלום יתבצעו רק מאחד הספקים המורשים ולכן בביקורת יש לבדוק‬
                                                      ‫האם הבקרה ממלאת את תפקידה.‬
 ‫בקרות דיוק – חישוב מחדש של ריבית והפרשי הצמדה למשל, סיכומי אצווה, סיכומי סרק וכו'.‬
    ‫שלמות – יש לבדוק האם הייתה שלמות בין קליטת הנתונים לבין הפעילות שהתבצעה בפועל.‬
                        ‫למשל שהגריעה מהמלאי שווה לכמות שנקלטה ברישום המכירות וכו'.‬
       ‫ביקורת מ.מ.מ היא בדיקה נוספת של הבקרה הפנימית משום שמדובר במערכת פנימית של‬
                                                                                ‫החברה.‬


                                                               ‫גל"ד נותן כמה הנחיות –‬
         ‫בקשר למיומנות מקצועית (תקן 0) – לרו"ח צריכה להיות הבנה מספקת של המערכות‬
 ‫החשבונאיות ומערכת הבקרה הפנימית על מנת שיוכל להבין את השפעת סביבת מערכות המידע‬
               ‫הממוחשבות על הערכת הסיכונים, וכדי שיוכל לתכנן ביצוע בדיקות מבססות.‬
                                                        ‫לפי גל"ד על רו"ח להבחין בין:‬
     ‫בקרות כלליות – קשורות בתשתית של מערכת המידע - אבטחת מידע, גיבויים, פיתוח‬    ‫‪‬‬
                          ‫תוכנה, מבנה מחלקת מ.מ.מ, חומרה ורשת, מערכות הפעלה.‬
 ‫בקרות יישומיות – בקרות בקשר לפעילות של העסק אשר בודקת את המערכות שהעסק‬          ‫‪‬‬
   ‫משתמש בהן, כלומר בדיקת האפליקציות והמערכות הספציפיות (חשבשבת, מערכת‬
                                                       ‫מלאי, ספקים וכו').‬


‫46‬
                                ‫‪ ‬בקרות ידניות – הבקרות שנעשות מחוץ למערכת.‬
 ‫בקרה ידנית זולה יותר מבקרות פנימיות במערכת. לעיתים האפליקציה עצמה לא כוללת בקרות‬
     ‫ופיתוח בקרות כאלו דורש זמן וידע בתכנות. לפיכך בד"כ נדרשת בנוסף גם הבקרה הידנית.‬


         ‫גל"ד מונה סיכונים שהמבקר צריך לקחת אותם בחשבון בביקורת סביבת מערכות מידע:‬
         ‫העדר אסמכתאות בכתב – לעיתים כתוצאה מהעברת נתונים בממשק לא מופקות‬           ‫‪‬‬
     ‫אסמכתאות בכתב. פעולות היומן עוברות בין המערכות, כלומר הנתונים והעיבודים‬
                                       ‫מבוצעים אוטומטית ולכן אין רישום בכתב.‬
‫היתרון – הנתונים עוברים אוטומטית. החיסרון – אין אסמכתא בכתב ולכן אין בקרה על‬
      ‫נכונות הסכומים. כמו כן רמת הביטחון יורדת ואין הוכחות פיסיות במידה והמערכת‬
                                                                       ‫קורסת.‬
       ‫חוסר בנתיבי ביקורת – נתיב הביקורת מאפשר לעקוב אחר נתון מסוים מיום קיומו‬      ‫‪‬‬
                                                    ‫במערכת ועד יציאתו מהמערכת.‬
                                          ‫דוגמא: מכירת שעון ללקוח דוד ב- 552 ₪.‬
                                                         ‫רשומת מכירות מס' 4551.‬
                       ‫ביום המכירה‬      ‫חשבונית מס' 0553 על סך 552 ₪ כולל מע"מ.‬
                                            ‫ת. משלוח מס' 0553 על סך 2 כמות שעון.‬
                    ‫עיבוד‬  ‫חישוב ריבית, אשראי והצמדה על סך 502 ₪ ללקוח דוד.‬
                                 ‫ביום התקבול‬      ‫קבלה מס' 0550 על סך 501 ₪.‬
‫בכל רגע נתון ניתן לגשת לתעודות (אסמכתאות) שהוצאו ולבדוק את העסקה. ברגע שאין‬
    ‫את הקשר בין התעודות (או שלא הוצאו תעודות כלל) אזי חסר בעצם נתיב הביקורת‬
                                                        ‫והבקרה מסובכת יותר.‬
        ‫עיבוד אחיד של תנועות – שגיאה שהתבצעה בתהליך העיבוד גוררת שגיאה בחישוב‬       ‫‪‬‬
     ‫התנועות הבאות. המערכת בד"כ לא יודעת להבחין בשגיאה וכאמור השגיאה רצה לגבי‬
                                                            ‫כל התנועות הבאות.‬
        ‫העדר מערך מבדק פנימי נאות – בד"כ מערך מבדק פנימי מוודא שכל סוגי הבקרות‬      ‫‪‬‬
                             ‫פועלות (בקרות כלליות, בקרות יישומיות, בקרות ידניות).‬
       ‫השלכות של שגיאות ואי סדרים – הכוונה היא להשלכות רחביות של שגיאה (תנועה‬       ‫‪‬‬
                                  ‫במערכת השכר שמשפיעה על מערכת אחרת בעסק).‬
 ‫הפחתה במעורבות הגורם האנושי – עבודה יעילה עם פחות כוח אדם. העובדים הפועלים‬         ‫‪‬‬
             ‫מול המערכת עוסקים יותר בבדיקת פעולת המערכת ולא בהזנת הנתונים.‬
        ‫כאשר יש פחות אנשים שעובדים מול המערכת אזי הבקרה על המערכת פוחתת.‬
‫יישום או ביצוע של תנועות – לדוגמא בחישוב ריבית הנוספת לחיוב הלקוח נעשית באופן‬       ‫‪‬‬
       ‫אוטומטי. היתרון – אוטומטי, פחות השפעה של גורם אנושי, מדויק. החיסרון – אין‬
                                      ‫אסמכתאות אין בקרה נוספת מצד בן אנוש וכו'.‬




‫56‬
    ‫תלות בביקורת של עיבודי מחשב – מדובר בבקרות היישומיות. אם במערכת לא היו‬     ‫‪‬‬
 ‫בקרות יישומיות פנימיות (שלמות, דיוק, תקפות והגבלת גישה) היה קשה לבדוק באופן‬
   ‫ידני עיבודים מסוימים. חשוב להטמיע במערכת בקרות הבודקות עיבודים בעייתיים.‬


                                                                   ‫נספחים לגל"ד 66‬
                                       ‫א. הבהרות בדבר מידע אודות מערכת המידע.‬
                                                                 ‫ב. מחשב אישי.‬
                                                              ‫ג. סביבת און ליין.‬
                                                               ‫ד. בסיסי נתונים.‬
                                                                   ‫ה. ‪.CAAT'S‬‬
                                                                ‫ו. לקט מונחים.‬



                       ‫נספח א' – נושאים עליהם יש לאסוף מידע (לקראת תכנון הביקורת)‬
                              ‫מדובר בשלב איסוף המידע בלבד – עדיין לא הביקורת עצמה.‬
               ‫בשלב איסוף המידע עורכים ניירות עבודה שיסייעו לאחר מכן בשלב הביקורת.‬
 ‫חשוב לציין ששלב איסוף המידע נעשה מול מנהל מערכת המידע. לעיתים מנהל מ.מ.מ לא בקיא‬
                               ‫במערך הכספים ולכן אין זה מספיק לקבל מידע ממנו בלבד.‬



                                                  ‫2. מבנה ארגוני בסביבת מ.מ.מ.‬



                ‫מנהל אבטחת‬                                 ‫מנהל מ.מ.מ‬
                   ‫מידע‬




     ‫מנהל רשת‬                   ‫מנהל יישומים‬                ‫מנהל תשתיות‬




                                ‫פיתוח ותחזוקה‬              ‫רכש ציוד, רכש‬
                                                              ‫תוכנות‬




‫66‬
       ‫עצם הבנת המבנה של מערכת המידע מצביעה על מורכבות המערכת ורמת תכנון‬
 ‫הביקורת. כמו כן, ניתן ללמוד ממבנה המערכת מיהם אנשי המפתח ואל מי צריך לפנות‬
                                ‫לצורך קבלת מידע מסוים במהלך ביצוע הביקורת.‬


                                                               ‫1. חומרה ותוכנות –‬
             ‫המבקר צריך לערוך נייר עבודה לגבי החומרה והתוכנות שמצויות במערכת.‬
     ‫חומרה – רשימה של המחשבים, החיבורים, סוג השרת, סוג מערכת ההפעלה.‬        ‫‪‬‬
     ‫תוכנת מערכת – גרסת מערכת ההפעלה, אנטי ווירוסים, תאריך התקנה וכו'.‬      ‫‪‬‬
                             ‫תוכנות יישומיות – אופיס, מנהל, חשבשבת וכו'.‬    ‫‪‬‬


           ‫3. נהלי פיתוח מערכות – בד"כ החברה מפתח בעצמה את המערכות. יש לבדוק -‬
                             ‫המתודולוגיה שבפיתוח המערכות, יוזם הפיתוח.‬      ‫‪‬‬
                           ‫אפיון – זיהוי הצורך העסקי שהמערכת באה למלא.‬      ‫‪‬‬
          ‫פיתוח – בית התוכנה או המתכנתים. בשלב זה מתבצעת בדיקת יחידה‬        ‫‪‬‬
                                       ‫(שהמערכת מתפקדת באופן כללי).‬
                                   ‫בדיקת משתמש – בדיקה בסביבת ‪.TEST‬‬         ‫‪‬‬
       ‫בדיקת מערכות – בדיקת ההשתלבות של המערכת בשיתוף עם הממשקים‬            ‫‪‬‬
                                                                 ‫השונים.‬
                                ‫עליה ל"חי" – עבודת המערכת בסביבת אמת.‬       ‫‪‬‬


                                         ‫4. גיבויים ושמירת מידע – יש לאסוף מידע על:‬
                                     ‫אמצעי הגיבוי – קלטות, ‪ ,CD‬רובוטים.‬     ‫‪‬‬
                                                          ‫המידע המגובה.‬     ‫‪‬‬
                                                       ‫אחראים על הגיבוי.‬    ‫‪‬‬
        ‫צורות גיבוי – כל כמה זמן מתבצע גיבוי, איזה תקופת זמן מגובה אחורה.‬   ‫‪‬‬


       ‫0. שינויים צפויים ביישומים קיימים – יש לבדוק האם צפויים שינויים ממועד איסוף‬
                                                  ‫המידע ועד ביצוע הביקורת בפועל.‬


                                                      ‫0. אבטחת מידע לוגית ופיסית –‬
                                                          ‫נוהלים קיימים.‬    ‫‪‬‬
     ‫תוכנית אבטחת מידע – האם קיימת איזושהי תוכנית לאבטחת מידע בחברה.‬        ‫‪‬‬
       ‫אם לא קיימת תוכנית אבטחת מידע אזי זה צריך "להדליק נורה אדומה".‬
                                                          ‫אמצעי אבטחה.‬      ‫‪‬‬




‫76‬
         ‫מנהל אבטחת מידע – מומלץ לדבר עם מנהל אבטחת המידע בשלב איסוף‬        ‫‪‬‬
                                                              ‫המידע.‬


                                                       ‫0. תוכנית התאוששות מאסון –‬
                ‫‪( DRP‬תוכנית התאוששות מאסון) – ‪Disaster Rrecovery Plan‬‬       ‫‪‬‬
                     ‫‪( BCP‬המשכיות העסק החי) – ‪Business Continuity Plan‬‬      ‫‪‬‬


                                                               ‫נספח ב' – מחשבים אישיים‬
                                  ‫בנספח קיימת הבחנה בין שלושה סוגים של מחשבים אישיים:‬
                                 ‫2. תחנת עבודה בודדת בשימוש משתמש יחיד באותו זמן.‬
                                                 ‫1. תחנת עבודה כחלק מרשת מקומית.‬
                                               ‫3. תחנת עבודה המחוברת למחשב מרכזי.‬


     ‫הנחת היסוד היא שמחשב אישי מסוכן מבחינת הבקרה (אנשים אחרים יכולים לצפות בנתונים,‬
                               ‫לעיתים אין ססמאות כניסה, לא תמיד מקפידים על גיבויים וכו').‬
                                                       ‫המבקר יכול לדרוש הוספה של בקרות –‬
     ‫2. מדיניות שימוש במחשבים אישיים מההנהלה – ההנהלה צריכה לקבוע נהלים קבועים‬
                                         ‫לשימוש וסנקציות לגבי החורגים מהמדיניות.‬
      ‫1. אבטחה פיסית של ציוד המחשב ואמצעי האחסון – שמירת סביבת המחשב באמצעות‬
          ‫חדר נעול, מתקן מיוחד השומר על תנאי טמפרטורה נאותים, גלאי אש ועשן וכו'.‬
                   ‫3. אבטחת תוכנה ונתונים – ארגון הקבצים בספריות, סיסמאות והצפנה.‬
 ‫4. גיבויים – כאשר מדובר תחנת עבודה בודדת אזי אין גיבוי על המערכת המרכזית ולכן יש‬
                                                                  ‫לדאוג לגיבוי.‬


                                                 ‫בהערכת סיכוני הביקורת לגבי מחשב אישי –‬
                                                                     ‫‪AR = IR * DR * CR‬‬
                                                        ‫הסיכון שבמהות הוא נתון קבוע.‬
‫לגבי סיכון הבקרה יש לצאת מנקודת ההנחה שכאשר מדובר במחשבים אישיים הסיכון הוא גבוה.‬
                ‫יש צורך להקטין את הסיכון שבחשיפה על ידי הגדלת היקף הבדיקות המבססות.‬


                                                       ‫נספח ג' – מערכת מקוונת (און ליין)‬
       ‫מדובר במערכת המאפשרת למשתמשים גישה לתוכניות ונתונים הנמצאים במחשב מרכזי או‬
                                                           ‫במיקרו מחשב (ברשת מחשבים).‬
                                           ‫המסופים יכולים להיות "חכמים" או "טיפשים".‬
                     ‫מחשב "טיפש" – מחשב שלא מבצע שום עיבוד בעצמו (המעבד מצוי בשרת).‬
          ‫במחשב טיפש מצוי מסך ומקלדת וכן חיבור למחשב המרכזי (לדוגמא: מסוף הכספומט).‬




‫86‬
                                                                 ‫סיווג מערכות מקוונות –‬
          ‫2. עיבוד בזמן אמיתי (‪ – )real time‬באותו רגע שבו מוזן הנתון מתעדכנת הרשומה‬
                                                      ‫הרלוונטית במחשב המרכזי.‬
 ‫חיסרון – עיבוד בזמן אמת גורם למחשב המרכזי לפעול כל הזמן – צורך ממנו משאבים.‬
                                    ‫יתרון – מאפשר לקבל נתונים עדכניים כל הזמן.‬
      ‫1. עיבוד אצווה (‪ – ) batch‬עדכון הרשומה במחשב המרכזי מתבצעת מאוחר יותר מרגע‬
                          ‫הזנת הנתון. בסוג עיבוד שכזה ניתן לנהל את סדר העיבודים.‬
                                     ‫חיסרון – לא ניתן לקבל משוב מיידי על שגיאות.‬
                                  ‫3. עיבוד זיכרון (‪ – )memo update‬לא נהוג יותר היום.‬
                                          ‫4. שאילתות – שליפת הנתונים מתוך המאגר.‬
                                ‫0. עיבוד בפריקה (‪ – ) downloading‬לא נהוג יותר היום.‬


 ‫בגלל שהמערכת המקוונת מאפשרת גישה לתוכניות ולנתונים שבמחשב המרכזי – קיים סיכון של‬
‫חשיפת המידע לגורמים בלתי רצויים או מורשים. לפיכך גילוי הדעת מצביע על בקרות שיש לחזק:‬
                 ‫אבטחת המידע הלוגית והפיסית בקרות על תחזוקת המערכות‬        ‫‪‬‬
                                                ‫בדיקות על סבירות ותקפות‬    ‫‪‬‬
                                                         ‫בקרה על קבצים‬     ‫‪‬‬


 ‫סיכום אצווה – סיכום מס' הרשומות, סיכום סכומי החשבוניות. אותו סיכום ילווה את האצווה‬
                               ‫ובמעבר למחשב המרכזי מתבצעת בדיקה על אותם סיכומים.‬
  ‫סיכום סרק – סיכומים שאינם קשורים לנתונים שבאצווה. לסיכומי סרק אין משמעות, למשל:‬
                                    ‫סיכום מספרי החשבוניות על מנת לבדוק רציפות למשל.‬

                                                    ‫נספח ד' – מערכות בסיסי נתונים‬
     ‫מערכת בסיס נתונים - אוסף נתונים בו משתמשים מס' משתמשים לשימושים שונים במשותף.‬
                                                   ‫בד"כ מערכת בסיס הנתונים מורכבת מ –‬
                                                 ‫2. בסיס הנתונים – טבלאות הנתונים‬
 ‫1. ‪ - Data Base Management System - DBMS‬מערכת האחראית על תחזוקה והפעלה‬
        ‫של בסיס הנתונים. המערכת כוללת הרשאות לטבלאות מסוימות, גישה ליישומים‬
                                                                   ‫מסוימים.‬


                                     ‫הנספח מגדיר שני מאפיינים חשובים של בסיס הנתונים:‬
                                ‫2. שיתוף נתונים – מתבצע בין משתמשים לבין תוכניות.‬
       ‫1. עצמאות נתונים – ברגע שנתון נכנס לבסיס הנתונים הוא מאבד את הקשר למערכת‬
               ‫שהזינה אותו או לאדם שהזין אותו. מרגע ההזנה הנתון עומד בפני עצמו.‬
                               ‫בבסיס נתונים המתוכנן כיאות לא צריכה להיות כפילות נתונים.‬



‫96‬
                                                      ‫בקרה פנימית בסביבת בסיס נתונים‬
‫המבקר צריך לחפש בעלות על נתונים – מנהל מחסן המלאי יהיה אחראי לנתוני המלאי למשל. מי‬
                       ‫שרוצה לקבל גישה לנתונים מסוימים צריך לקבל רשות מבעל הנתונים.‬
                            ‫יש להבטיח את גישה אל בסיס הנתונים (סיסמאות, הרשאות וכו')‬




                                                                            ‫שיעור מס' 21‬

                                            ‫מחזור חיים של מערכת מידע ממוחשבת‬



                                                                  ‫חקר‬
                                ‫החלטה‬
                                                                 ‫ישימות‬


               ‫הפעלה‬                                    ‫ניתוח‬
                                           ‫ייזום‬
                                                      ‫מצב קיים‬
                                                                                     ‫קביעת סוג‬
                                                                   ‫הגדרת‬               ‫הפתרון‬
                               ‫תחזוקה‬
                                                                   ‫דרישות‬

                              ‫הדרכה‬                                   ‫ניתוח‬
                             ‫והטמעה‬
 ‫עיצוב‬                    ‫הסבה‬
                                                    ‫בדיקות‬
                                                     ‫קבלה‬
                                                     ‫תכנות‬                       ‫פיתוח‬



                              ‫יישום‬



  ‫מחזור חיים של מערכת מידע – במערכות קטנות מחזור החיים הוא כ- 0 עד 0 שנים ובמערכות‬
     ‫הגדולות יותר מגיע עד 52 שנים. הזמן הולך ומתקצר בגלל אלמנטים טכנולוגיים והתפתחות‬
                                                                             ‫טכנולוגית.‬
                    ‫הסיבה העיקרית לקיצור מחזור חיים של מ.מ. – לא עונה יותר על הדרישות.‬
 ‫לכל ארגון יש מחזור חיים, וכן הארגון עצמו משתנה – נכנס לפעילות חדשה, שינויים טכנולוגיים‬
               ‫במשק ויוצא שהמערכת אינה תומכת יותר במהלכים העסקיים ונדרש להחליפה.‬
‫נושא מערכות המידע החל בשנת 00 בעקבות העובדה שרו"ח היו מגיעים לארגון ונאלצו להתמודד‬
                                       ‫עם בעיות לא סטריליות לגבי מערכת המידע בארגון.‬
           ‫הכל מתחיל מההחלטה שהארגון לקח על עצמו האם להכניס מערכת מידע חדשה –‬


‫07‬
                                                                          ‫שלב הייזום -‬
                                                                 ‫המניעים לשלב הייזום:‬
     ‫שינויים טכנולוגיים (למשל מעבר מ- ‪ DOS‬ל- ‪ .)WINDOWS‬כלים ישנים לא נתמכים‬       ‫‪‬‬
                                        ‫ע"י ספקים חיצוניים ונוצרת בעיה של עלות.‬
      ‫שינויים פונקציונליים – הארגון משנה את עצמו, המערכת כבר לא עונה על הדרישות‬   ‫‪‬‬
                                            ‫ונדרש לבצע תכנון מחדש של המערכת.‬
     ‫סיבות אחרות – ספק התוכנה פשט את הרגל, אין מי שיתמוך בארגון וחייבים להחליף‬    ‫‪‬‬
                                                ‫את המערכת, מעבר לשנת 5551 וכו'‬
                    ‫בשלב הייזום, המנהלים צריכים לרכז את כל הבעיות ב"מסמך ייזום" שמובא‬
      ‫להנהלה/דירקטוריון לצורך אישור. במסמך זה יש לפרט את הסיבות להחלפת המערכת ולפיו‬
        ‫מחליטים בסופו של דבר האם להחליף את המערכת או לא (בד"כ שלב שלוקח חודש וחצי).‬
                           ‫ברגע שההנהלה הסכימה להחליף את המערכת עוברים לשלב הבא –‬


                                                                       ‫חקר הישימות –‬
  ‫מדובר בתהליך שבו הארגון שואל מהן בעצם הסיבות להחלפת המערכת, כיצד ארגונים אחרים‬
             ‫מתמודדים עם אותן בעיות והאם אולי עדיף לשדרג את המערכת במקום להחליפה.‬
        ‫ניתוח מצב קיים – מטרת הניתוח היא לזהות בעיות באופן ספציפי במצב הקיים, במישור‬
  ‫הפונקציונלי. הכוונה היא למצוא איזה דברים המערכת אינה מכסה ובמקביל מה מצפים ממנה‬
                                                                         ‫לבצע בעתיד.‬
         ‫כאשר נוצרים פערים בין המצב הקיים לעתיד יש לערוך מסמך שנקרא "ניתוח פערים".‬
    ‫במסמך זה מפורטים אותם הדברים אשר לא נמצאים במערכת הקיימת ואשר רוצים למצוא‬
                                                                   ‫במערכת העתידית.‬
 ‫בשלב הניתוח קיימת נקודת הנחה שאין להסתמך על המצב הקיים (ואפילו להתעלם ממנו) אולם‬
                                                      ‫יש לנתחו על מנת להבין את הפערים.‬



                                ‫הגדרת דרישות – יש לקבוע מהן הדרישות מהמערכת החדשה.‬
        ‫מסמך הגדרת דרישות מוגדר על ידי המשתמשים והוא כולל רשימה של דרישות מהמערכת‬
      ‫החדשה. מדובר בדרישות ברמת על – לא מדובר באפיון של המערכת משום שעדיין לא יודעים‬
                  ‫כיצד זה ימומש אלא מדובר בדרישות כלליות מהמערכת, לדוגמא: רב-מטבעית.‬
       ‫תחילה עורכים רשימה גדולה של דרישות המחולקות לדרישות סף (‪ ,)MUST‬כלומר דרישות‬
     ‫שאילו לא יתקיימו אזי המערכת לא תהיה מסוגלת לענות על מה שרוצים, ולדרישות שהן פחות‬
                                                                             ‫קריטיות.‬
      ‫[לעיתים מבצעים חלק מהשלבים במקביל והחלוקה שמצוינת לעיל היא החלוקה המסורתית]‬




‫17‬
       ‫במקביל להגדרת הדרישות יש לקבוע מהו סוג הפתרון שאילו שואפים, באיזו אסטרטגיה יש‬
                                                    ‫לנקוט על מנת להגיע למערכת החדשה.‬
     ‫2. פיתוח עצמי – פיתוח עצמאי של המערכת בארגון בעזרת אנשי המקצוע של הפירמה או‬
          ‫על ידי התקשרות עם קבלן משנה (בכל אופן הפירמה מפתחת בעצמה ומנהלת את‬
                                                             ‫הפרויקט בעצמה).‬
‫1. רכישת חבילת תוכנה (תוכנת מדף) – בהנחה שנמצאה תוכנה שעונה על הדרישות ב- %50‬
 ‫אזי ניתן לעשות שינויים ותוספות על מנת להתאימה ב- %552 לארגון – קסטומיזציה –‬
                                                     ‫התאמת התוכנה לארגון.‬
        ‫3. מיקור חוץ (‪ – )OUT SOURCING‬מוסרים את האחריות להפעלת המערכת לצד‬
                       ‫שלישי. מבחינת המשתמש אין זה משנה היכן יושבת המערכת.‬
 ‫פונים לספק ומשכירים ממנו שירותים, כלומר הספק הוא בעל המערכת והמפעילים. יש‬
 ‫להגדיר לספק מהן הדרישות מהמערכת: תוכנה, חומרה, אנשים ולא משנה היכן יושבים‬
                                          ‫המחשבים (בארגון עצמו או אצל הספק).‬


                                                                     ‫יתרונות וחסרונות -‬
‫אם קיימת חבילת תוכנה שעונה על רוב הדרישות אז הרי שמיקור חוץ יהיה עדיף על פיתוח עצמי,‬
                               ‫שבו יש סיכונים רבים (יצליח או לא) ונדרשות הוצאות גבוהות.‬
‫אם מחפשים משהו ייחודי במערכת ניתן לבקש התאמות סטנדרטיות לחבילה ובכך תהפוך להיות‬
                                                                                ‫שונה.‬
  ‫ישנם נושאים שאין להם חבילות תוכנה מתאימות, כגון: מערכות צבאיות, המערכת הבנקאית,‬
     ‫מערכות טכנולוגיות. הבנקים למשל נאלצו לפתח בעצמם תוכנות משום שלא הייתה קיימת‬
                                                      ‫מערכת שענתה על הדרישות שלהם.‬
     ‫בקסטומיזציה נדרשת זהירות על מנת למנוע פיתוח עצמי שנובע מהרצון להתאים לכוח את‬
                                                        ‫חבילת התוכנה למערכת הרצויה.‬
 ‫קיימים ארגונים מיוחדים כמו קופ"ג, חברות שצברו יתרון בענף מבחינת ניסיון בתחום. היתרון‬
    ‫כאן הוא בד"כ יתרון כספי משום שאין עלויות מחשוב. קובעים תשלום מראש לנותן השירות‬
                        ‫כשהמטרה הכללית היא לעבור מעלות קובעה לעלות משתנה לחלוטין.‬
  ‫מצד שני למיקור חוץ יש גם חסרונות – המידע נמצא מחוץ לארגון ויש סכנות של אבטחת מידע‬
 ‫(על אף הסכמי אמינות, סודיות וכו'). בחברות שבהן קיים מידע אסטרטגי סודי, לא כדאי לעבור‬
              ‫למיקור חוץ ובכל זאת ניתן למצוא היום הרבה חברות שעושות זאת למרות הכל.‬
 ‫מעבר לכך, יש תלות בגורם חיצוני, שיכול להחליט להפסיק לעבוד בכל זמן ומשאיר את החברה‬
                                                                            ‫"תקועה".‬
  ‫קיימים חוזים אשר על פיהם, לאחר מס' שנים, נותן השירות מעביר את התוכנה לארגון, אמנם‬
                                                                  ‫בכל זאת נותרת תלות.‬
      ‫‪ – ASP‬מודל בתחום האינטרנט שלא הוכיח עצמו במיוחד. שירותי התוכנה ניתנים באמצעות‬
                                   ‫האינטרנט – טוב לארגונים קטנים, שאין להם הרבה כסף.‬
                              ‫נשאלת השאלה – איך סוג פתרון זה משפיע על השלבים הבאים?‬




‫27‬
     ‫נניח שחברה בחרה בפיתוח עצמי – יש לה את הגדרת הדרישות. אם יש מספיק אנשים לפיתוח‬
                ‫התוכנה אזי אין בעייה, אולם אם אין אז מתקשרים עם קבלן משנה ועוברים ל –‬


                                                                         ‫שלב הפיתוח -‬
                                                             ‫שלב זה מתחלק ל- 3 חלקים:‬
         ‫2. שלב הניתוח – השלב שבו נקבע מה תפקידם של מנתחי המערכות – לתרגם את צורכי‬
                                                    ‫המשתמשים לדרישות מהתוכנה.‬
        ‫צורכי המשתמשים מגדירים בעצם את הדרישות מהמערכת. מנתחי המערכות לוקחים‬
       ‫בחשבון את הדרישות ורק לאחר קביעת סוג הפתרון הם מאפיינים את המערכת, כלומר‬
     ‫מתארים כיצד יתממש הפתרון, איך תתבצע כל פעולה, איזה ישויות יש במערכת והקשרים‬
                                                                           ‫ביניהם.‬
                ‫האפיון המפורט אמור להוות בסיס לתיקי תכנות שעל פיהם יתבצע התכנות.‬
‫1. עיצוב – שלב ביניים שקובע איך יראה הממשק למשתמש, כלומר איך יראו ויזואלית הדברים.‬
      ‫תחילה יש לבחור את כלי הפיתוח (‪ .)access, visual basic‬רק לאחר מכן מחליטים כיצד‬
‫ייראה הממשק למשתמש – זהו התהליך הכי ארוך, שאורך שנה או שנתיים ויש בו הכי הרבה‬
                                                                      ‫סיכונים.‬
                                                                  ‫3. שלב התכנות עצמו.‬


                                                                        ‫שלב היישום‬
        ‫שלב זה מתחיל לאחר שנוצר מוצר חי והכל תחת ההנחה שנבחרה הדרך של פיתוח עצמי.‬
 ‫אם בוחרים חבילת תוכנה אז יש צורך בבחירת ספק. אם יודעים כבר מי הספק המועדף אזי אין‬
      ‫בעיה ואילו קשה לבחור ספק – יש לבחון כבר בשלב הישימות למי יש יכולת לעזור לחברה.‬
     ‫מוציאים מסמך שנקרא ‪( RFI‬בקשה לקבלת הצעות) המזמין את אנשי המקצוע אשר מאמינים‬
‫שיוכלו לתת מענה. אותם ספקים מוזמנים לכתוב במסמך מהן היכולות שלהם וכיצד יוכלו לענות‬
                                                                 ‫על הדרישות מהמערכת.‬
                               ‫בנוסף דורשים מהספקים לתת הצעת מחיר, לוחות זמנים וכו'.‬
  ‫נניח שמקבלים מענה ממספר ספקים – יש לנתח את הנתונים תחת שיקולי עלות תועלת ולבסוף‬
                                                                          ‫מגיעים להסכם.‬
‫במידה והחברה החליטה על חבילת תוכנה, שאין צורך לערוך בה שינויים, אזי לא נדרש אפיון, אין‬
                                                     ‫תכנות וכל שלב הפיתוח לא קיים בעצם.‬
         ‫במידה והוחלט לערוך מס' שינויים – את האפיון עושים לגבי השינויים בלבד ואת העיצוב‬
                                                               ‫והתכנות עושה בית התוכנה.‬
                        ‫כאשר הוחלט על מיקור חוץ – שלב הפיתוח איננו באחריות החברה כלל.‬


                                                                        ‫בדיקות קבלה -‬
                                 ‫הרעיון הוא לבדוק לגבי כל דרישה – האם היא פועלת כראוי.‬
     ‫בשלב הפיתוח עובדים על סביבת פיתוח ובשלב הבדיקות עובדים על סביבת ה- ‪ .TEST‬על מנת‬
             ‫לבדוק האם המערכת עובדת כמו שצריך, הבדיקה נעשית על ידי המשתמשים (‪.)ATP‬‬


‫37‬
         ‫אם מתגלות תקלות – מחזירים את התוכנה חזרה לספק התוכנה או חזרה לשלב הפיתוח.‬
     ‫[בד"כ מתעוררות תקלות אולם אם הגענו למינימום תקלות ניתן לקבל את התוכנה. מספיק ש-‬
                          ‫%50 עבר את הבדיקות וכל השאר יטופלו תוך כדי העבודה השוטפת]‬
                                         ‫‪ – Test data‬בדיקת מצבים שגרתיים ולא שגרתיים.‬


                                                                     ‫הדרכה והטמעה –‬
     ‫הדרכה הוא תהליך פשוט יחסית. בתהליך זה מדריכים את המשתמשים במערכת כיצד להפעיל‬
                                                                               ‫אותה.‬
     ‫תהליך ההטמעה הוא כבר תהליך מורכב יותר. בשלב זה הכל מוגדר נכון במערכת וכל משתמש‬
                                                    ‫יודע לבצע את השלבים בסדר מסוים.‬
             ‫נתוני תשתית – הנתונים הבסיסיים שיש להכניס למערכת על מנת שתתחיל לעבוד.‬
 ‫בנוסף, מתחיל תהליך של הסבה, כלומר המערכת החדשה פועלת בסביבת הייצור ונדרש להעביר‬
    ‫את הנתונים מהמערכת הישנה למערכת החדשה – דורש תשתיות מיוחדות. לדוגמא: בחברה‬
 ‫הוחלפה המערכת הפיננסית – נתוני רו"ח. אילו מדובר בסוף שנה אין מה להעביר חוץ מהיתרות‬
  ‫המאזניות, אולם התשתית שונה ולכן יש להתאים את הנתונים לתשתית של המערכת החדשה.‬
‫יש מקרים שבהם לא צריך להעביר תנועות מצד שני ישנם מקרים כגון חשבוניות פתוחות, תנועות‬
                                             ‫של ספקים או לקוחות, התאמות בנק וכדומה.‬


                                                                           ‫הפעלה –‬
‫בעקרון המצב האידיאלי הוא ניתוק המערכת הישנה והרכבת המערכת החדשה במקומה תוך כדי‬
    ‫הסבה. בפועל קיימים סיכונים שהמערכת תקרוס ולכן שומרים על האפשרות לחזור למערכת‬
                                                              ‫הישנה ולהמשיך לעבוד.‬
    ‫ארגונים שלא לוקחים סיכון יפעילו את שתי המערכות במקביל. לאחר ההסבה יקלידו את כל‬
   ‫הנתונים עדיין בשתי המערכות ויעבדו על שתיהן למרות שהתשתיות שונות. כמובן שיש עם זה‬
            ‫בעיה ולכן – אם אפשר לעשות הסבה מיידית למערכת החדשה זהו המצב האידיאלי.‬
                                              ‫שלב ההסבה וההפעלה דורש תכנון מראש.‬


                                                                             ‫תחזוקה –‬
     ‫זהו השלב שבו המערכת עובדת באופן שוטף. כאשר מתגלות תקלות פותרים אותן באופן שוטף.‬
            ‫מדובר בשלב שאורך בין 0 – 0 שנים כאשר לאחר מכן בד"כ מחליפים שוב את המערכת.‬


                                    ‫תפקיד המבקר החיצוני (מבקר מ.מ.מ) בכל שלב‬
  ‫2. בשלב הייזום – אין מתפקידו של המבקר לקבוע האם מומלץ להנהיג מערכת חדשה או‬
   ‫לא, אך הוא צריך להיות מודע להחלטות שהחברה לוקחת הקשורות למערכת המידע.‬
‫המבקר צריך לשמור את מסמך הייזום אולם אין לזה כל השלכה על החוו"ד או הדוחות.‬
 ‫1. ניתוח מצב קיים – על המבקר להביא בחשבון את הממצאים שלו לגבי המצב הקיים וכן‬
                                                               ‫את הפערים.‬




‫47‬
  ‫3. הגדרת דרישות – המבקר הוא נציג המשתמשים ועליו לוודא שהדרישות מכילות בתוכן‬
   ‫את נתיבי הביקורת ואת מנגנוני הבקרה הנדרשים (לכל דרישה שמגישים המשתמשים‬
                                                    ‫מתחייבת בקרה מתאימה).‬
‫4. פיתוח – אם למבקר יש ידע בניתוח מערכות והתהליכים מוכרים לו אזי הוא יכול לסייע.‬
‫כמו כן, המבקר רשאי להתערב בשלב אפיון המערכת המפורט וה- ‪ RFP‬לפי שיקולי עלות‬
                                                                         ‫תועלת.‬
      ‫מהמבקר נדרשת ביקורת על תהליך ההשקעות, המסמכים והפרוטוקולים. יש בקרה‬
                     ‫כללית שהתהליך מתבצע כמו שצריך ובעיקר ע"י המבקר החיצוני.‬
                           ‫[מבקר החשבונות בודק בעיקר לו"ז ועלויות – פחות מעמיק]‬
     ‫0. בדיקות קבלה – המשתמשים בעיקרון עורכים את בדיקות הקבלה אולם המבקר עורך‬
          ‫את הבקרה. המבקר מנהל את הבדיקות ועוזר בבדיקות, דהיינו מעורב בתהליך.‬
      ‫0. הדרכה והטמעה – במידת הצורך מדריכים גם את המבקר לגבי המערכת, כמו כל‬
  ‫משתמש. מבחינת הטמעה – קיימים נתוני תשתית ויש מעורבות בכך. בהסבה ובהפעלה‬
       ‫קיימים אלמנטים של תכנון וגם כאן קיימת מעורבות בקבלת החלטות ניהוליות.‬
                               ‫0. תחזוקה – בשלב זה המבקר מבצע את כל הבדיקות שלו.‬
             ‫[כאמור שלב זה אורך בין 0 – 0 שנים וכל שאר השלבים אורכים 1 – 2 שנים]‬


         ‫בשלבי הגדרת המערכת (ניתוח מצב קיים והגדרת הדרישות) המבקר צריך לקבל את כל‬
                                       ‫המסמכים לידיו וכן את הסקירה הכללית של הארגון.‬
‫בסה"כ על המבקר לדאוג ל: דוחות הבקרה ונתיבי הביקורת, מנגנוני בקרה, בקרה על כל התהליך,‬
     ‫סביבת הפיתוח וסביבת ה- ‪ ,TEST‬שהקימו את כל התשתיות, תוכנית התאוששות מאסון, מה‬
‫עושים אם יש כשל באחד השלבים, בבדיקות הקבלה עליו לוודא שכל המרכיבים מהותיים, תיעוד‬
                          ‫של כל השלבים, מסלולים הקשורים לזמן, ליווי ההסבה וההפעלה.‬




‫57‬
                                                                  ‫שאלת קיף 55 – ‪ERP‬‬
       ‫חברה גדולה, יצרנית הנפיקה מניות בבורסה. בשנת 00 החליטה ההנהלה להחליף את מערכת‬
     ‫המידע הממוחשבת ולצורך כך בחרה במערכת ‪ – ERP‬טיפול ברכש וייצור, לוגיסטיקה, משאבי‬
                                                       ‫אנוש, שכר, כספים, בקרה, מכירות.‬
                                  ‫לפני ה- ‪ ERP‬היו מערכות שנתנו מענה רק לחלק מהדרישות.‬
         ‫מערכת ה- ‪ ERP‬היא מערכת לניהול כולל, התומכת גם בשנת 5551 בניגוד לשאר המערכות‬
                                                                            ‫הקיימות.‬
     ‫תהליך החלפת המערכת החל ב- 00/52 – שלב היישום אשר אמור היה להסתיים ב- 00/0 – שלב‬
                                                                              ‫ההפעלה.‬
                                                                                ‫נדרש:‬
             ‫2. בעבר לא נבדקו מ.מ.מ. (ביקורת ניהול ייצור) במעבר ל- ‪ ERP‬האם צריך לבדוק?‬
      ‫הייצור משפיע על סעיפי המלאי ועלות המכר. יש מקום לחשבונאות ניהולית – מעקב אחר‬
 ‫סטיות. מדובר בחברה יצרנית וזה מהותי לגביה, על כן מדברים על מערכת ‪ ,ERP‬עובדים על‬
                                                      ‫‪ data base‬אחד והכל קשור לכל.‬
‫1. בגלל מהותיות תהליך הסבת המערכות, הן בזמן התהליך והן לאחריו, יש לבדוק את ההסבה.‬
                ‫לצורך כך לוקחים מומחה שיבדוק את המערכת ויגיש דו"ח לבדיקת המבקר.‬
              ‫נשאלת השאלה – האם להתייחס לכך בדוחות ובחוו"ד, בהסבה ובממצאים?‬
 ‫המומחה לא תרם כלום ולכן צריך לתחקר אותו לגבי הפעולות שביצע. תהליך ההסבה בפרט‬
      ‫זה חשוב מאוד כי נאמר שההסבה מהותית. אם מתמודדים עם תחקור של המומחה אז‬
‫הבעיה היא בביקורת בעצם. כאשר מחליפים מערכת זה עולה הרבה כסף וצריך להיות לעלות‬
‫שהושקעה ביאור בדוחות הכספיים. במידה ולא הופיע ביאור ויש חשיפות ללא בקרות אזי יש‬
                                                               ‫להוסיף פסקה בחוו"ד.‬
 ‫אם יש חשש לעקרון העסק החי – מחמירים עוד יותר. בפועל נותנים ביאור בדוחות לעלויות‬
‫נוספות של ההסבה. בד"כ בחוו"ד לא רושמים דבר בהנחה שיש ביאור לעלויות האלה ושהכל‬
                                                          ‫עבר ביקורת ובדיקה ראויה.‬
                                                 ‫3. האם הביקורת משתנה במיקור חוץ?‬
 ‫לא קיימת חבילת תוכנה, אין שוני מהותי בעיקרון ועושים את כל הבדיקות כרגיל. התוספות‬
                                                             ‫שצריך להתייחס אליהן:‬
                                    ‫ההסכם עם הספק – האם הוא עונה על הדרישות.‬     ‫‪‬‬
                                                                  ‫אבטחת מידע.‬    ‫‪‬‬
                                                             ‫‪ ‬מידת התלות בספק.‬
           ‫רק לאחר קבלת כל האינפורמציה הנ"ל יש להרחיב על ידי ביצוע בדיקות מבססות.‬
        ‫4. הלו"ז הוקדם ל- 00 ונמצא קרוב לשלבי הפעלה. נמצאו הרבה בעיות במערכת ותוצאות‬
 ‫הפעילות של החברה הורעו עקב הכנסת המערכת החדשה. ההנהלה אמרה שהכל יסתדר תוך‬
                                                                      ‫חודש (טווח).‬
 ‫יש לתת ביאור בדוחות לגבי העלויות החריגות שנוצרו, סימני "העסק החי" וצפי לעתיד. אם‬



‫67‬
      ‫נתנו הערה וגילוי בדוחות אזי אין בעיה. אם לא – מסתייגים או נותנים ביאור והפניית‬
                                                                        ‫תשומת הלב.‬
 ‫המצב יכול לגרום לבעיה בהערכת סעיפים וממש לא ניתן להעריך או שמעריכים אבל נותנים‬
                                                              ‫ביאור לבעיות בהערכה.‬


                                                                             ‫למבחן‬
                ‫המבחן יכלול שלוש שאלות ויערך שלוש שעות (לפי מתכונת שנים קודמות).‬
                                 ‫שאלה ראשונה – שאלת אירוע – ניתוח של מצב בחברה.‬
                             ‫שאלה שניה – שאלה על גילוי הדעת (גל"ד 00 כולל נספחים).‬
                                  ‫שאלה שלישית – אבטחת מידע והחלפת מערכת מ.מ.מ‬




                                                                        ‫שיעור מס' 31‬

                                                                     ‫מסחר אלקטרוני‬
       ‫מדובר בסביבה מיוחדת הנבדלת מעט מסביבה ממוחשבת רגילה (מבחינת היבטי אבטחה,‬
                                                                    ‫אוטנטיות וכו').‬
                              ‫קיימת הצעה לנספח חדש לגל"ד 00 – עסקאות סחר אלקטרוני‬
                                                      ‫רשת אינטרנט מושגים כלליים –‬
       ‫רשת אינטרנט היא רשת פתוחה, כלומר כל אדם שרוצה להצטרף לרשת יכול לעשות זאת.‬
     ‫‪ – ISP‬רשתות שמספקות שירותי אינטרנט (דפי מידע, דוא"ל). כל אדם יכול להתחבר לרשת‬
             ‫באמצעות הצטרפות לאחת הרשתות הללו – לצורך כך מספיקה שיחת טלפון אחת.‬
      ‫ניתן ביתר קלות להצטרף לרשת בשם בדוי או לחבל בתחנות מסוימות ברשת – בעיית זיהוי‬
                                                                       ‫המשתמשים.‬
     ‫הרשת מתבססת על ‪ – IP‬פרוטוקול אינטרנט. על מנת להתחבר לרשת האינטרנט נדרש לקבל‬
 ‫חיבור מאחד מספקי האינטרנט. לאחר החיבור לספק מקבלים כתובת ייחודית (‪ )IP‬ודף בית ע"פ‬
                                                                     ‫דרישת המשתמש.‬
                                           ‫הכתובת משמשת לעיתים לשימושים לא רצויים.‬
      ‫פרוטוקול האינטרנט ‪ IP‬פועל בד"כ באמצעות תשתיות הטלפון, תקשורת סלולרית, כבלים,‬
                                                        ‫תקשורת לווינית, סיבים אופטיים.‬
                                                           ‫האינטרנט מציע מס' שירותים:‬
                                      ‫2. שירותי סחר אלקטרוני – ‪ M1M ,B1C ,B1B‬וכו'.‬
                                                                    ‫1. דואר אלקטרוני.‬



‫77‬
                                               ‫3. קבוצות דיון – פורומים, חדשות, צ'טים.‬
                                                    ‫4. אחזור מידע – גישה למאגרי מידע.‬


                                                                               ‫יתרונות:‬
                                                             ‫גישה נוחה למידע, זמינה‬    ‫‪‬‬
                                                                 ‫גישה לפלח שוק רחב‬     ‫‪‬‬
                                                                   ‫איסוף מידע עסקי‬     ‫‪‬‬
                                                                     ‫חיסכון בעלויות‬    ‫‪‬‬
                                                      ‫שיפור תחזוקה וקשר עם לקוחות‬      ‫‪‬‬


                                                                               ‫סיכונים:‬
                                     ‫נספח ג' לגל"ד 00 מדבר על סביבה מקוונת וסיכוניה.‬   ‫‪‬‬
                                                                 ‫חדירה למאגרי מידע‬     ‫‪‬‬
                                                                            ‫התחזות‬     ‫‪‬‬
                                                                              ‫ציטוט‬    ‫‪‬‬
                                                                            ‫וירוסים‬    ‫‪‬‬
                                                         ‫שלמות המידע בתווך הציבורי‬     ‫‪‬‬
 ‫חוסר בנתיבי ביקורת למשל: פקודות יומן אוטומטיות להנה"ח ללא עקבות למקור הפעולה.‬         ‫‪‬‬
                                                                 ‫היעדר מסמכי מקור‬      ‫‪‬‬
                            ‫הפחתת מעורבות הגורם האנושי – יותר סיכון לטעויות מכניות‬     ‫‪‬‬
                                                    ‫שינוי מסמכי מקור על ידי המבוקר‬     ‫‪‬‬
                                                                   ‫התכחשות לעסקה‬       ‫‪‬‬
               ‫פגיעה תדמיתית – אנשים שמחבלים או פורצים את המערכת פוגעים בתדמית‬         ‫‪‬‬
 ‫כאשר אתר מסתמך על סחר אלקטרוני – השבתת הספק (‪ )ISP‬עלולה להשבית את הפעילות‬             ‫‪‬‬
                                    ‫ולכן בד"כ עושים גיבוי (פועלים באמצעות ספק נוסף)‬


                                                  ‫בקרות פנימיות בסביבת סחר אלקטרוני:‬
     ‫גישה לא מורשית – יש לחזק את בקרת הגישה ברמות השונות (אפליקציה, בסיסי נתונים,‬      ‫‪‬‬
                                                              ‫יישום, מערכות הפעלה).‬
                                             ‫סיסמאות – הגנה על קבצי הסיסמאות וכו'.‬
 ‫תוכנות אנטי וירוס – מקורם של מרבית הוירוסים הוא מרשת האינטרנט או מדיסקטים. על‬         ‫‪‬‬
           ‫מנת למנוע הידבקות בוירוסים חברות מוציאות מהמחשבים את כונני הדיסקטים.‬
‫‪ – Fire wall‬בהתחברות לאינטרנט קיים רכיב שעושה בקרה ברמת התקשורת. מטרתו למנוע‬           ‫‪‬‬
                   ‫כניסה של גורמים בלתי מורשים וניתוב הכניסות ליעדים המותרים בלבד.‬
                                                      ‫הצפנות – למניעת ציטוטים וכו'.‬    ‫‪‬‬


‫87‬
                                        ‫חתימות אלקטרוניות ושיטות זיהוי מתקדמות‬      ‫‪‬‬
                                                               ‫צמצום נקודות גישה‬    ‫‪‬‬


                                                  ‫סוגי מערכות מידע בסביבת האינטרנט‬
     ‫2. מערכות מידע ייעודיות לסחר אלקטרוני – נניח שחברה רוצה לאפשר לקהל הרחב לבצע‬
     ‫הזמנות למוצרי החברה דרך האינטרנט. לא ניתן לאפשר לאנשים חיצוניים לחדור לרשת‬
     ‫הפנימית של החברה ולכן על החברה להעמיד שרת אחד (‪ – DMZ‬אזור חיץ) שאילו כולם‬
                                                                     ‫יכולים לגשת.‬
‫אותו שרת משמש רק להפעלת הסחר האלקטרוני (לא יכיל מידע על סיסמאות, על משתמשים‬
                                 ‫וכו'). כל המידע הסודי והרגיש נמצא ברשת הפנימית.‬
‫1. מערכות מידע קיימות (‪ )legacy‬המקושרות לאינטרנט – מערכות אלו מאפשרות למשתמשים‬
                                          ‫לבצע פעולות שונות באמצעות האינטרנט.‬
 ‫דוגמא: בהזמנת מוצר ע"י לקוח חיצוני באמצעות האינטרנט – מערכת המכירות מקבלת את‬
   ‫המידע על ההזמנה, מאשרת אותה ורושמת את פרטיה. מערכת המכירות מחזירה תשובה‬
         ‫לשרת שהחברה הקצתה למסחר האלקטרוני, כלומר מספקת שירותים ללקוחות.‬
     ‫3. מערכות מידע קיימות הפועלות ברשת תקשורת המקושרת לאינטרנט אך לא משמשות‬
 ‫לביצוע פעולות באינטרנט. למשל: מערכת הנהלת החשבונות היא חלק מהתשתית של הרשת‬
 ‫הפנימית אך איננה משמשת את האינטרנט. מערכת הנה"ח מקבלת מידע ממערכת המכירות‬
                                          ‫למשל אולם איננה מתקשרת עם השרת.‬


                                          ‫נהלי הביקורת בחברה המנהלת סחר אלקטרוני:‬
                                                                   ‫2. אבטחת מידע –‬
                                                          ‫קיום מדיניות‬    ‫(א)‬
                                                                 ‫נהלים‬     ‫(ב )‬
                                                          ‫הרשאות גישה‬      ‫(ג)‬
                                                              ‫סיסמאות‬      ‫(ד )‬
                                                           ‫גישה מרחוק‬     ‫(ה)‬
                                                     ‫תיעוד יומן אירועים‬    ‫(ו)‬
                                                            ‫התאוששות‬       ‫(ז )‬
                                                          ‫אבטחה פיסית‬     ‫(ח)‬
                                                       ‫אבטחת תקשורת‬       ‫(ט)‬
                                                                 ‫הצפנה‬     ‫(י)‬
                                  ‫קיומם של אמצעי בקרה וזיהוי מתאימים‬      ‫(יא)‬
                                                ‫כלי הגנה מתאימים (‪)FW‬‬     ‫(יב)‬
                   ‫התרעה על ניסיונות פריצה וחדירה (‪)Intrusion Detection‬‬   ‫(יג)‬
     ‫1. קשרים וממשקים עם המערכות השונות (סוג הקשר, רמת הסיווג מבחינת סיכונים וכו').‬


‫97‬
 ‫3. ספק אינטרנט – סיכונים ברמת הספק מבחינת איכות השירותים, מהימנות, בקרת גישה של‬
                                                                   ‫הספק עצמו.‬
     ‫4. התאמה להוראות החוק בעיקר הוראות מס הכנסה, מע"מ, תזמון האירועים (הממשקים)‬
                                                 ‫ועיתוי ההכרה בהכנסות/הוצאות.‬




‫08‬
                                                        ‫שאלת בחינה – שאלה 11 חורף 85‬
                                              ‫בנק מסחרי בעל 552 סניפים. בשנת 00 הוחלט:‬
                ‫2. החלפת כל מערכת המחשב המרכזית (חומרה, תשתית, תוכנה, יישומים וכו').‬
                                         ‫1. במקביל – שינויים במערכות המחשב שבסניפים.‬


                                                                            ‫נדרש 2 –‬
                                         ‫החלטתו של המבקר הפנימי בהחלט איננה נכונה –‬
  ‫יש לשים לב שמדובר במבקר הפנימי – אחראי גם על אספקטים ניהוליים והחלטות שגויות (ולא‬
                                                              ‫רק על אספקטים כספיים).‬
‫תפקיד מבקר הפנים בפקודת הבנקאות הוא "בדיקת תקינות הפעולות מבחינת השמירה על החוק,‬
  ‫טוהר המידות, החיסכון, היעילות, השמירה על נוהל בנקאי תקין וכן בדיקת הוראות הפיקוח על‬
‫הבנקים". כללי הבנקאות, תשנ"ג-1002 קובעים כי תוכנית עבודת המבקר הפנימי צריכה להתבסס‬
 ‫על מיפוי מוקדי הסיכון והפעילויות השונות בבנק, וכן על מיפוי מוקדי הסיכון להונאות ומעילות.‬
    ‫ההחלטה על החלפת מערכות המחשב המרכזית כוללת, כאמור, החלפה מסיבית של אלמנטים‬
                                                                          ‫בעלי סיכון גבוה.‬
      ‫מצד שני, מדובר רק בשלב ההחלטה – שלב ראשוני במחזור חיי המערכת החדשה. לפיכך על‬
     ‫מבקר הפנים להמשיך לערוך ביקורת מ.מ.מ בתחומים בעלי סיכון במערכת הקיימת וכמו כן,‬
           ‫ללוות את תהליך ההחלפה של המערכת החדשה ולאורך שאר שלבי מחזור החיים שלה.‬
                               ‫בין היתר, המבקר הפנימי יידרש להתייחסות לנקודות הבאות:‬
  ‫2. עריכת הביקורת השוטפת במערכת הקיימת תוך התחשבות בהחלטה להחליף את המערכות‬
       ‫הקיימות. רכיבים שעתידים להתחלף בזמן הקרוב – אין טעם לבדוק אותם אולם ככל‬
  ‫שמתקדמים בשלב מחזור החיים של המערכת החדשה (הטמעה, בדיקות קבלה) כך המבקר‬
                                ‫יקדיש יותר משאבי ביקורת למערכת החדשה ולהיפך...‬
                                                       ‫1. בחינת הצורך בהחלפת המערכות.‬
                     ‫3. ככל שזמן ההחלפה קרב, יש להסב יותר משאבי ביקורת לרכיב החדש.‬
       ‫4. תיקון ליקויים קודמים – אם במערכת הקיימת נתגלו תקלות אזי יש להקצות משאבים‬
                                                                             ‫לביקורת.‬
                                 ‫0. השתתפות בוועדות ההיגוי של הפרויקט והעברת ביקורת.‬

                                                                              ‫נדרש 1 –‬
     ‫שלב הפיתוח הוא השלב שבו יש להחליט האם יש צורך בבקרות חדשות. הסעיף שצוטט מגל"ד‬
       ‫הוא סעיף בעייתי משום שהוא קושר את המבקר לתהליך הפיתוח – יש להעלות את נושא אי‬
                                                 ‫התלות (יש צורך כמובן בנתונים נוספים).‬
                                             ‫עומדים לבצע שינויים בסניפים (‪ )LAN‬ולפיכך -‬
     ‫ההחלטה היא שגויה משום שביקורת מבוססת בתהליכים – התהליך מתחיל כבר בשלב ההזנה‬
     ‫שמתבצע בסניפים. אם למשל לא תתבצע ביקורת על השינויים שבמערכת המחשב בסניפים יש‬
                                  ‫לרשום את הבעיות שעלולות להתעורר בעקבות החלטה זו.‬
                                                                           ‫נדרש 3 –‬


‫18‬
         ‫חיסרון קלאסי – אי תלות – החשש שרו"ח יהפוך לחבר בצוות הפיתוח והטמעת המערכת.‬
                ‫השאיפה היא ליצור הפרדה בין פונקציות הניהול לבין פונקציות ביצוע הביקורת.‬
                               ‫חיסרון נוסף – יתכן שישולבו עובדים שאינם מקצועיים מספיק.‬
                                                                                ‫יתרונות:‬
          ‫2. הכנת ביקורת מ.מ.מ. תוך התייחסות להיבטי חשבונאות עפ"י צרכי המבקר החיצוני‬
                                    ‫(התרכזות במערכות החשבונאיות, דיוק, שלמות וכו').‬
        ‫1. רמת הידע החשבונאית תתרום להכרה בליקויים אפשריים במערכת וסיכונים קיימים.‬
                     ‫3. שילוב בקרות ביקורת מ.מ.מ. נוספות כבר בשלב המוקדם במחזור החיים.‬
                                                          ‫4. הוספת אלמנט ביקורת נוסף.‬


                                                                              ‫נדרש 4 –‬
       ‫עתה ההחלטה התבצעה בשנת 00. המערכת כשלה והתוצרים שפותחו ישמשו בעתיד פרויקט‬
                                                                          ‫פיתוח חליפי.‬
      ‫נשאלה השאלה האם יש לערוך ביקורת על המערכת הישנה הפועלת, המערכת שפיתוחה נכשל‬
                                         ‫והופסק או להמתין ליישומה של המערכת החליפית.‬
                                ‫בתשובה עלינו לקבוע האם מדובר במבקר הפנימי או החיצוני.‬
                  ‫לגבי מבקר פנימי – עליו להסית חזרה את המשאבים למערכת הישנה הקיימת.‬
         ‫מבחינת המערכת שכשלה, המבקר הפנימי צריך להבין את הסיבות לכישלון ולהסיק את‬
   ‫המסקנות הנדרשות. לגבי המערכת שעתידה להיכנס – עליו ללוות את התהליך (למרות שכמות‬
                                               ‫המשאבים שמופנים אליה מעטים יחסית).‬
 ‫אם מדובר במבקר חיצוני – אין טעם בהתייחסות למערכת שכשלה חוץ מבדיקה שאכן נמחקו כל‬
                                     ‫הכרטיסים שקשורים לעלויות פיתוח המערכת שכשלה.‬
       ‫לגבי המערכת הקיימת והמערכת שעתידה להתפתח – נדרשת התייחסות מצדו של המבקר‬
                               ‫החיצוני אך כמובן שרוב ההתייחסות תהיה למערכת הקיימת.‬

                                                           ‫שאלת בחינה – שאלה 6 קיץ 75‬


              ‫מלאי‬                            ‫הנה"ח‬                          ‫שכר‬
                              ‫ממשק‬                               ‫ממשק‬
                               ‫ידני‬                            ‫אוטומטי‬


                      ‫כל המערכות "מדברות" עם מחשב מרכזי אחד (שבו מתנהל בסיס הנתונים).‬
      ‫בין מערכת השכר למערכת הנה"ח קיים ממשק אוטומטי, ובין מערכת המלאי למערכת הנה"ח‬
     ‫קיים ממשק ידני – אם כך לא מדובר בבסיס נתונים אחד (אירוע אחד משפיע על כל המודולים)‬
                                                              ‫אלא בבסיסי נתונים נפרדים.‬


                                                                              ‫נדרש א' –‬




‫28‬
‫גל"ד מדבר על בסיס נתונים מרכזי אחד ויתרונותיו. יש לשים שבמקרה זה אין כך המצב ויש לדבר‬
                            ‫על היתרונות של מערכות מבוססות על בסיס נתונים באופן כללי.‬
       ‫2. ניתן להעלות את רמת המהימנות באמצעות שימוש יעיל באמצעים הכלולים ב- ‪DBMS‬‬
            ‫(מערכת ניהול בסיסי הנתונים) – פונקציות התאוששות, בדיקת תבניות הטבלאות.‬
                  ‫1. הפקת דוחות באמצעות מחוללי דוחות מוכנים ב- ‪( DBMS‬בדומה לאקסס).‬
     ‫3. עדכון פעם אחת בעקבות כל אירוע בבסיס הנתונים אל מול מצב של אחסון בקבצים שונים‬
                                                                      ‫ועדכון פנימי.‬


                                                                                 ‫נדרש ב' –‬
                                    ‫יש לפרט כל הבקרות (קלט, עיבוד, פלט וממשקים) שלמדנו.‬


                                                                              ‫נדרש ג' –‬
                                                      ‫השאלה היא לגבי טכניקות ביקורת.‬
     ‫גל"ד נספח ה' – טכניקות ביקורת ונדרש לפרט מהן טכניקות הביקורת הרלוונטיות למקרה זה:‬
                                                                  ‫‪ TEST DATA ,ITF‬וכו'.‬


                                                                                 ‫נדרש ד' –‬
         ‫‪ – ITF‬הינה שיטה שבאמצעותה מקצים לרו"ח עמדה שבה הוא יכול להזין ולהריץ תנועות‬
       ‫במערכת. אותן פעולות יסומנו כפעולות דמה. אותן פעולות כמובן לא יכנסו למאזן ולרווה"פ.‬
                                       ‫באופן שכזה ניתן לוודא שהפעולות עברו את כל הפעולות.‬
                                                                                  ‫יתרונות:‬
       ‫בדיקה לאורך כל שלבי הקלט, העיבוד והפלט על התשתיות הקיימות ולא באמצעות כלי‬        ‫‪‬‬
                                                                               ‫שלישי.‬
           ‫ביצוע הביקורת באופן רציף ולאורך זמן. ניתן לערוך ביקורת שוטפת במהלך השנה.‬     ‫‪‬‬
     ‫אוטנטיות התהליך – הביקורת נעשית על הסביבה החיה וניתן להעריך את איכות הבקרות‬        ‫‪‬‬
                                         ‫הפנימיות בקיום נתיבי ביקורת בתשתית הקיימת.‬
                                                                              ‫חסרונות:‬
                                         ‫הסיכון בהכללת נתוני מבחן בדוחות החשבונאים.‬     ‫‪‬‬
              ‫מצריך עבודה מקדימה של המבקר – יש צורך לבדוק את מהימנות תחנת הדמה.‬         ‫‪‬‬
                                                           ‫בדיקת תקינות יחידת הדמה.‬     ‫‪‬‬
                                   ‫לא תמיד הנתונים במוזנים כוללים אפשרויות קיצוניות.‬    ‫‪‬‬
                   ‫יש צורך לבחור באדם המתאים שיזין נתונים מתוך החשש שיגרמו נזקים.‬       ‫‪‬‬



    ‫הערה: סעיף 4 לגל"ד 00 – קובע את התחולה של ביקורת ענ"א. מדובר בסעיף בעייתי משום‬
 ‫שהסעיף מאפשר למבקר לבצע נהלים חלופיים ולא לבצע ביקורת ענ"א (הסיבה לכך היא לאפשר‬



‫38‬
     ‫למשרדים הקטנים לקבל על עצמם תיקים גדולים למרות שאין להם את התשתית לביקורת‬
                                                                             ‫ענ"א).‬
       ‫בשאלות שבהן נדרשים לקבוע האם יש לבצע ביקורת ענ"א אזי יש לדבר על הסעיף הנ"ל.‬


                                                                             ‫למבחן –‬
     ‫שאלה ראשונה – אירוע המתאר מצב מסוים המתאר את התשתית והממשקים הקיימים. יש‬
 ‫לקבוע מהן הבקרות, טכניקות ביקורת, כלים. יתכן שנדרש למפות את התשתית באופן גרפי וכו'.‬
               ‫מומלץ לחלק את הזמן בצורה חכמה ולא להקדיש לשאלה הראשונה יותר מדי זמן.‬
‫שאלה שנייה – היבט ספציפי שהועלה בשיעורים – לדוגמא: סחר אלקטרוני, תוכנית התאוששות,‬
                     ‫מדינות אבטחה, בקרות ממשק/פלט/קלט. נדרש להיכנס לעומק בניתוח.‬
                                             ‫שאלה שלישית – 53 נקודות על גילוי הדעת.‬




‫48‬

								
To top