חשיבות של ביקורת לשכות שירות בעידן של תוכנה כשירות

 

בחירת תוכנה כשירות (SaaS)

אחד השיקולים שיש להתייחס אליהם בעת קבלת החלטות הקשורות לבחירה של תוכנה כשירות (Software as a Service – SaaS), הוא הכלים שמעמיד ספק התוכנה לרשות הארגון לעניין בחינת אפקטיביות הבקרות הפנימיות. עד היום, נושא קבלת הסמכה מגורם חיצוני עבור לשכות שירות היה נפוץ בעיקר בלשכות שירות גדולות, כגון בנקים, חברות לחישובי שכר ועוד. בעידן בו הארגונים בוחרים לנהל את הנתונים הכספיים שלהם באמצעות SaaS, עולה החשיבות של קבלת הסמכה מגורם חיצוני המעידה על יעילות ואפקטיביות של הבקרה הפנימית אצל ספק השירות.

עסקים רבים כיום בוחרים להשתמש בשירותי ענן שונים לצרכי מחשוב שונים, ביניהם שימוש בתוכנה כשירות. שימוש בתוכנה כשירות מאפשר לארגון קבלת שירותי תוכנה דרך רשת תקשורת באמצעות חיבור לאתר הספק מבלי לרכוש תוכנה ולהתקינה על מחשבי הארגון. הארגון נדרש להסתמך על גורמים חיצוניים לצורך תפעול ותחזוקה של הנתונים הפיננסיים והתפעוליים המנוהלים באמצעות תוכנה כשירות, ודבר זה מגדיל את הסיכונים הכרוכים בכך.

 

הסיכונים בשימוש בתוכנה כשירות

ארגונים המשתמשים בתוכנה כשירות מפקידים את הנתונים הפיננסיים הכי רגישים של הארגון בידי ספק שירות. בהתאם לכך, יותר קשה להם להבטיח כי בקרות הנאותות - הבאות להגן על נכסי המידע של הארגון בפני תקלות, טעויות, ניצול לרעה או זדון - עוצבו ומתקיימות כראוי, ושרמות השירות ואספקטים תפעוליים נוספים יתקיימו כראוי אף הם.

לרוב, הסיכונים להם נחשפים המשתמשים בתוכנה כשירות כוללים סיכונים הקשורים לתהליך הדיווח הכספי וסיכונים תפעוליים וטכנולוגיים של הסיכונים העסקיים. בכדי לתת מענה לסיכונים אלו, פורסמו תקנים בינלאומיים שבמטרתם לבדוק את אפקטיביות הבקרות הכלליות והאפליקטיביות בלשכות שירות.  

 

סיכונים הקשורים לתהליך הדיווח הכספי

כמענה לנושא זה, לשכת רואי החשבון האמריקאית פרסמה בעבר את 70 SAS שמטרתו לספק דיווח בדבר מערך הבקרה הפנימית של לשכת השירות, ככל שזה רלוונטי לבקרה הפנימית בתהליך הדיווח הכספי.

הסתמכות על דיווחי SAS70 של לשכות שירות בבדיקת אפקטיביות הבקרות הכלליות והאפליקטיביות תפס תאוצה. זאת במיוחד לאור הדרישות של חוקי סרבנס אוקסלי בארה"ב ובישראל, ולאור הדרישות של תקנות הרשות לניירות ערך שאומצו כתגובה למסקנות ועדת גושן.

החל מיוני 2011, נכנס לתוקף תקן אמריקאי חדש SSAE16 אשר מחליף את SAS70. הדוחות המוגשים בהתאם לתקן החדש נקראים SOC1 והם מקבילים לדוחות שהיו מוגשים בהתאם ל-SAS70, בכפוף לשינויים מסוימים שחלו בדרישות התקן ופורמט הדיווח. 

במקביל, ביוני 2011 נכנס לתוקף גם תקן בינלאומי בנושא דוחות הסמכה על בקרות בלשכת שירות, תקן שמקביל לתקן האמריקאי ואינו שונה ממנו.

דוחות בהתאם ל-SAS70 או במתכונת של SOC1 משמשים לרוב את רואי החשבון המבקרים של לקוחות התוכנה כשירות. הם נותנים מענה לצרכים העולים בהתאם לחוקי הסוקס בעת בחינת נאותות הבקרות הכלליות בסביבת מערכות המידע (ITGC), והבקרות האפליקטיביות בתהליכים השונים.

 

היבטים תפעוליים וטכנולוגיים של הסיכונים העסקיים

פרט לסיכונים הקשורים לדיווח הכספי, כמובן. כמענה לסיכונים האלה, לשכת השירות יכולה להוציא דוחות בפורמט של SOC2 או SOC3 שמטרתם העיקרית היא להבטיח למשתמשי המערכת כי לשכת השירות הטמיעה מערכת בקרות אפקטיבית, על מנת לתת מענה לסיכונים תפעוליים וסיכונים הקשורים בעמידה ברמות שירות שנקבעו. 

בחירה בין SOC2 לבין SOC3 תלויה בצרכי הדיווח של לשכת השירות ובאם היא מעוניינת לפרסם את הדוח באתר האינטרנט שלה.

שני הדוחות עוסקים ב- Trust Services Principles, בהם:

1.     אבטחת מידע (Security) – המערכת מוגנת מגישה בלתי מורשית, פיזית ולוגית.

2.     זמינות (Availability) – המערכת זמינה לשימוש בהתאם לעקרונות אמנת השירות.

3.     נאותות העיבוד (Processing-Integrity) – עיבוד הנתונים במערכת מקיים את העקרונות של שלמות, דיוק ועיתוי נכון, והינו מאושר.

4.     חיסיון ושמירה על סודיות (Confidentiality) – הנתונים החסויים מוגנים באופן נאות ובהתאם למוסכם.

5.     שמירה על פרטיות (Privacy) – נתונים אישיים נאספים, משמשים, נשמרים, מושמדים ומוצגים באופן נאות בהתאם למקובל והמוסכם.

 

לסיכום

ספקית תוכנה כשירות בעלת הסמכה בהתאם לSAS70- או תקן ביקורת דומה, מחזיקה ביתרון יחסי בולט על פני המתחרים שלה בתחום, תוכל להציע את שירותיה לפלח שוק של חברות ציבוריות וכמובן תשפר את מערך הבקרה הפנימית בארגון - דבר שעשוי לסייע בעמידה ברמות שירות שנקבעו, למנוע תקלות, איבוד מידע של לקוח וכשלים אחרים.

 

---

 

צור קשר עם המומחים שלנו

הירשם לניוזלטר ולעדכונים אחרונים מ BDO זיו האפט

Please fill out the following form to access the download.