ציות ועמידה ברגולציית IT


במהלך השנים האחרונות פורסמו מספר רגולציות, על ידי גופי פיקוח שונים, שמטרתן להגביר את הבקרה הפנימית בארגונים המפוקחים. רגולציות אלו הכילו גם דרישות פרטניות לעניין הגברת הבקרה הפנימית על תהליכים בתחום טכנולוגיות המידע (בקרות מחשב כלליות ITGC, בקרות יישום/בקרות אפליקטיביות). לעניין זה, ניתן לציין את הרגולציות המרכזיות הבאות:

  • Sarbanes Oxley act of 2004 – חוק סרבנס אוקסלי האמריקאי החל על חברות הנסחרות בבורסות האמריקאיות;

  • ועדת גושן (ISOX) – הנחיות ועדת גושן להגברת הבקרה הפנימית, בחברות הנסחרות בבורסה לניירות ערך בתל אביב;

  • חוזר גופים מוסדיים "אחריות ההנהלה על הבקרה הפנימית על הדיווח הכספי" - חוזר אגף שוק ההון, ביטוח וחסכון במשרד האוצר, החל על גופים מוסדיים, כהגדרתם בחוק הפיקוח על שירותים פיננסיים (ביטוח), התשמ"א-1981, לרבות קופות גמל וקרנות פנסיה.

  • חוזר גופים מוסדיים "ניהול טכנולוגיות מידע בגופים מוסדיים" - חוזר אגף שוק ההון, ביטוח וחסכון במשרד האוצר, החל על גופים מוסדיים, כהגדרתם בחוק הפיקוח על שירותים פיננסיים (ביטוח), התשמ"א-1981, לרבות קופות גמל וקרנות פנסיה.

  • ניהול טכנולוגיות המידע בחברי בורסה שאינם בנקים - הנחיות דירקטוריון הבורסה לניירות ערך מיום 19/02/2012, בדבר דרישות ניהול טכנולוגיות המידע, בגופים שהינם חברי בורסה אך אינן בנקים.

  • ניהול בנקאי תקין, הוראה מספר 309 "בקרות ונהלים לגבי הגילוי ובקרה פנימית על הדיווח הכספי" – הוראת המפקח על הבנקים בבנק ישראל , בדבר יישום מנגנוני בקרה פנימית, בקשר עם הדיווח הכספי בבנקים המפוקחים על ידי בנק ישראל.

  • PCI-DSS) Payment Card Industry Data Security Standard) - תקן שנקבע על ידי חברות האשראי כדי להבטיח סליקת אשראי בטוחה ומאובטחת בעסקים המטפלים בפרטי כרטיסי אשראי דרך קופה רושמת ארנקים אלקטרוניים, אתרי אינטרנט, מכונות ממכר אוטומטיות וכספומטים.

לחברתנו רקע וניסיון נרחב ביישום, ביקורת ובקרה על תהליכי טכנולוגיות המידע שהינם מהותיים ליישום בכל אחת מהרגולציות/תקנים המפורטים לעיל. 

תיאור השירותים המסופקים על ידנו בתחום זה:
  • ביצוע סקר פערים לצורך בדיקת סטטוס יישום הרגולציה בארגון.

  • בחינה והגדרת תכולת המערכות הרלוונטיות לצורך עמידה בדרישות הרגולציה.

  • עיצוב תהליכי עבודה ארגוניים כך שייתנו מענה הולם לדרישות הרגולציה.

  • תיעוד והערכת מבנה הבקרות הקיימות בתהליכי העבודה הנבחנים.

  • בדיקת אפקטיביות הבקרות בתהליכים באמצעות ביצוע מבדקים לתהליכי העבודה ולבקרות יישום במערכת.