ביקורת סייבר – השכבה החסרה בביקורת מודרנית
ביקורת בעולם דיגיטלי
הביקורת המודרנית כבר אינה נשענת רק על מסמכים, אסמכתאות ותהליכים פיננסיים. כמעט כל נתון עסקי, חשבונאי או רגולטורי נוצר כיום בתוך מערכות מידע, שירותי ענן, מאגרי נתונים ופלטפורמות דיגיטליות.
לכן, השאלה המרכזית אינה רק האם הדוחות הכספיים ערוכים כראוי, אלא גם האם הנתונים שעליהם הם מבוססים הם נתונים אמינים, שלמים, מוגנים וזמינים.
כאשר המידע אינו מוגן, כאשר הרשאות אינן מנוהלות כראוי, או כאשר קיימת אפשרות לשינוי בלתי מורשה בנתונים – גם תהליך הביקורת עלול להיפגע.
זו הסיבה שאבטחת מידע וסייבר הפכו לחלק בלתי נפרד מעולם הביקורת, הציות וניהול הסיכונים.
כל מספר מתחיל במערכת
הכנסות, מלאי, שכר, ספקים, לקוחות, דיווחים לרשויות ותחזיות ניהוליות – כולם מבוססים על מערכות מידע.
מערכות ERP – Enterprise Resource Planning (מערכות לניהול משאבי הארגון) ומערכות CRM – Customer Relationship Management (מערכות לניהול קשרי לקוחות) אינן רק כלים תפעוליים. הן המקור לנתונים שעליהם נשענים הדוחות, הבקרה הפנימית וההחלטות העסקיות.
אם מערכת פיננסית אינה מאובטחת, אם משתמשים מחזיקים בהרשאות עודפות, או אם אין בקרה מספקת על שינויים בנתונים, קיים סיכון ממשי לאמינות המידע הכספי.
במילים פשוטות: ביקורת פיננסית אינה יכולה להתעלם מהסביבה הטכנולוגית שמייצרת את הנתונים.
סייבר הוא סיכון עסקי
בעבר סיכוני סייבר נתפסו בעיקר כנושא טכנולוגי. כיום הם סיכון עסקי, משפטי, פיננסי ומוניטיני.
אירוע סייבר עלול לגרום להשבתת פעילות, אובדן הכנסות, פגיעה במידע אישי, עיכוב בדיווחים, חשיפה לתביעות, פגיעה באמון הלקוחות ושאלות קשות מצד דירקטוריון, משקיעים ורגולטורים.
לכן, סייבר אינו שייך רק למחלקת IT – Information Technology (טכנולוגיית מידע). הוא שייך גם לעולם ה-Audit (ביקורת), ה-Compliance (ציות לדרישות חוק, רגולציה ומדיניות ארגונית), ה-Governance (ממשל תאגידי ומנגנוני ניהול ופיקוח) וניהול הסיכונים.
הרגולציה כבר שם
הרגולציה בעולם מחברת יותר ויותר בין אבטחת מידע, פרטיות, ניהול סיכונים ואחריות הנהלה.
GDPR – General Data Protection Regulation (תקנת הגנת המידע של האיחוד האירופי) קובעת חובות משמעותיות ביחס להגנה על מידע אישי, תיעוד אירועי אבטחה ודיווח על אירועי מידע אישי במקרים המתאימים.
NIS2 – Network and Information Security Directive 2 (הדירקטיבה האירופית לאבטחת רשתות ומידע) מרחיבה את דרישות ניהול סיכוני הסייבר, חובות הדיווח, הפיקוח והאכיפה ביחס לגופים וענפים רבים יותר באירופה.
גם תקני הביקורת עצמם מתקדמים לכיוון זה. ISA 315 (Revised 2019) – Identifying and Assessing the Risks of Material Misstatement (תקן ביקורת בינלאומי לזיהוי והערכת סיכונים להצגה מוטעית מהותית) מחזק את תהליך זיהוי והערכת הסיכונים של המבקר, לרבות התאמת הביקורת לסביבה עסקית וטכנולוגית משתנה.
ISQM 1 – International Standard on Quality Management 1 (תקן בינלאומי לניהול איכות בפירמות ביקורת וייעוץ) מחזק גישה פרואקטיבית ומבוססת סיכונים לניהול איכות בפירמות המבצעות ביקורת, סקירה ושירותי Assurance נוספים.
המסר ברור: ביקורת, ציות וסייבר כבר אינם עולמות נפרדים.
למה לחבר Audit ו-Cyber
כאשר ביקורת וסייבר נבדקים בנפרד, הארגון מקבל לעיתים תמונה חלקית.
יועץ סייבר עשוי לזהות חולשת אבטחה, אך לא תמיד להעריך את השפעתה על הדוחות הכספיים, על ציות רגולטורי או על אחריות דירקטוריון.
מבקר פיננסי עשוי לזהות סיכון בדיווח, אך לא תמיד לראות את מקורו הטכנולוגי.
שילוב נכון בין Cyber Audit (ביקורת סייבר), ביקורת פיננסית ו-Compliance מאפשר לזהות לא רק את הליקוי, אלא גם את משמעותו העסקית: האם הוא משפיע על אמינות הנתונים, על עמידה בדרישות החוק, על ניהול סיכונים, על אחריות מקצועית או על מוניטין החברה.
דוגמה: הרשאות עודפות
בארגון בינלאומי התגלה כי עובדים שהחליפו תפקידים עדיין החזיקו בהרשאות רחבות במערכת הפיננסית.
לכאורה, מדובר בליקוי טכני של ניהול משתמשים. בפועל, הבדיקה העלתה שההרשאות אפשרו לאותם עובדים להזין עסקאות, לאשר פעולות ולשנות פרטי ספקים.
המשמעות כבר אינה רק סייבר. מדובר בכשל בהפרדת תפקידים, בחולשה בבקרה פנימית, בסיכון להונאות ובפגיעה אפשרית באמינות המידע הכספי.
זהו בדיוק המקום שבו ביקורת וסייבר חייבים להתחבר.
דוגמה: ספק ענן
חברה השתמשה בספק ענן חיצוני לאחסון מסמכים ונתוני לקוחות. הספק היה יעיל וזול, אך בבדיקה משולבת התברר כי לא קיימת בחברה תמונה ברורה לגבי מיקום שמירת המידע, הרשאות הגישה, גיבויים, מחיקת מידע והתחייבויות הספק במקרה של אירוע אבטחה.
הבעיה לא הייתה רק טכנולוגית. היא יצרה חשיפה אפשרית בתחומי פרטיות, GDPR, ניהול ספקים, המשכיות עסקית ודיווח להנהלה.
הדוגמה ממחישה כיצד Third-Party Risk Management (ניהול סיכונים הנובעים מספקים וגורמי צד שלישי) הפך לחלק מרכזי מביקורת מודרנית.
מה כוללת ביקורת משולבת
ביקורת משולבת יכולה לכלול, בין היתר:
ביקורת ITGC – Information Technology General Controls (בקרות כלליות על מערכות מידע), בדיקת הרשאות וגישה, הפרדת תפקידים, אבטחת מידע, הגנת פרטיות, בקרות על מערכות פיננסיות, ניהול ספקי ענן, Cyber Risk Assessment (הערכת סיכוני סייבר), Cyber Due Diligence (בדיקת נאותות בתחום הסייבר), המשכיות עסקית, התאוששות מאסון ובחינת עמידה בדרישות חוק ורגולציה.
המטרה אינה להוסיף שכבת בדיקה טכנית בלבד, אלא ליצור תמונת סיכון אחת שמחברת בין טכנולוגיה, כספים, משפט, רגולציה וניהול.
Cyber Assurance הוא העתיד
Cyber Assurance (הבטחת אמינות ובקרה בתחום הסייבר) הופך בהדרגה לחלק בלתי נפרד מציפיות השוק.
דירקטוריונים, משקיעים, לקוחות ורגולטורים אינם מסתפקים עוד בשאלה האם הדוחות הכספיים הוכנו כראוי. הם רוצים לדעת האם המידע שעליו הדוחות מבוססים מוגן, האם מערכות הליבה יציבות, האם קיימות בקרות גישה, והאם הארגון ערוך לאירועי סייבר משמעותיים.
בעתיד הקרוב, פירמות ביקורת וייעוץ שיידעו לשלב Audit, Cyber, Compliance ו-Data Governance (ממשל וניהול נתונים) יוכלו להעניק ללקוחות ערך גבוה בהרבה.
Auren Israel כמרכז ידע
ב-Auren Israel אנו רואים בשילוב בין ביקורת, סייבר ו-Compliance תחום אסטרטגי ומתפתח.
אנו משלבים ידע מקצועי בעולמות הביקורת, החשבונאות, המיסוי, ניהול הסיכונים, אבטחת המידע והרגולציה, כדי לספק ללקוחות ולשותפים תמיכה רחבה ומעשית.
עבור סניפי Auren, שותפי Antea, פירמות מקצועיות ועמיתים בעולם, שיתוף פעולה עם Auren Israel מאפשר להרחיב את סל השירותים בתחום הסייבר והביקורת – ללא צורך בהקמת צוותי סייבר מקומיים מאפס.
במקום לבנות תשתית מלאה של מומחי סייבר בכל מדינה, ניתן להיעזר במרכז ידע מקצועי, מעודכן ומתפתח, שתומך בפרויקטים של Cyber Audit, Information Security Review (סקירת אבטחת מידע), ITGC, Cyber Due Diligence, NIS2 Readiness (היערכות לעמידה בדרישות NIS2), GDPR Readiness (היערכות לעמידה בדרישות GDPR) וביקורות משולבות של Audit ו-Compliance.
המטרה היא לאפשר לשותפים להציע ללקוחותיהם שירות מתקדם, רחב ורלוונטי יותר – תוך שילוב בין המומחיות הוותיקה של עולם הביקורת לבין צורכי הסייבר של העידן הדיגיטלי.
שאלות נפוצות
האם ביקורת סייבר מחליפה ביקורת פיננסית?
לא. ביקורת סייבר משלימה את הביקורת הפיננסית ומחזקת את הבסיס שעליו היא נשענת – אמינות הנתונים והמערכות.
האם רק חברות טכנולוגיה צריכות ביקורת סייבר?
לא. כל חברה שמנהלת כספים, לקוחות, ספקים, עובדים או מידע אישי במערכות דיגיטליות חשופה לסיכוני סייבר.
מה הקשר בין סייבר ל-Compliance?
דרישות חוק ורגולציה רבות כוללות כיום חובות הקשורות להגנת מידע, ניהול הרשאות, דיווח על אירועים, ניהול ספקים והמשכיות עסקית.
האם שותף ביקורת חייב להקים צוות סייבר פנימי?
לא בהכרח. שיתוף פעולה עם מרכז מומחיות כמו Auren Israel יכול לאפשר הרחבת שירותים מקצועיים ללא הקמת תשתית סייבר מלאה בתוך הפירמה.
למה זה חשוב דווקא עכשיו?
כי הנתונים הפכו לנכס מרכזי, הרגולציה מחמירה, מתקפות סייבר מתפתחות, והלקוחות מצפים מהמבקרים ומהיועצים שלהם להבין את התמונה המלאה – פיננסית, טכנולוגית ורגולטורית.

אופיר אנגל | יו"ר AUREN ישראל
מומחה בינלאומי לליווי דירקטוריונים והנהלות
ביקורת, סיכוני סייבר, ניהול סיכונים וממשל תאגידי