• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
אתגרי ניהול ויישום סוקס
 

אתגרי ניהול ויישום סוקס

on

  • 2,357 views

 

Statistics

Views

Total Views
2,357
Views on SlideShare
2,357
Embed Views
0

Actions

Likes
0
Downloads
12
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • העברת הסיכונים והתשואות - התקן קובע כי בדרך כלל העברת הבעלות ( הזכות הקניינית ), אולם זה לא תמיד כך ( בנספח מפרטים לגביי מכירות נדל " ן , יכול להיות טרם העברת הבעלות המשפטית , אם מדובר במשהו טכני ) קיומו של הסכם – אמריקני !!!! 104 SAB
  • העברת הסיכונים והתשואות - התקן קובע כי בדרך כלל העברת הבעלות ( הזכות הקניינית ), אולם זה לא תמיד כך ( בנספח מפרטים לגביי מכירות נדל " ן , יכול להיות טרם העברת הבעלות המשפטית , אם מדובר במשהו טכני ) קיומו של הסכם – אמריקני !!!! 104 SAB

אתגרי ניהול ויישום סוקס אתגרי ניהול ויישום סוקס Presentation Transcript

  • אתגרי ניהול ויישום SOX בחברה גדולה כנס היובל של לשכת המבקרים הפנימיים 22 בדצמבר 2010 יעל רונן , רו " ח מנהלת מחלקת SOX
  • תקנות ניירות ערך והוראות המפקח בנושא בקרה לדיווח כספי וגילוי רקע ותחולה
    • תקנות ניירות ערך ( להלן " ISOX "):
      • תקנות ניירות ערך בקשר לבקרה הפנימית לדיווח כספי ולגילוי בתאגידים מדווחים מאמצות את עיקרי המלצות ועדת גושן (" הועדה לבחינת קוד ממשל תאגידי בישראל ") ו " מגיירות " את SOX404 ו - SOX302 . תחולתן מדצמבר 2010.
    • הוראות הממונה על שוק ההון ביטוח וחסכון לעניין הבקרה הפנימית על הדיווח הכספי ועל הגילוי ( להלן " הוראות המפקח ):
      • אימצו את הוראות SOX302 , תחולתן מדצמבר 2006/2007
      • אימצו את הוראות SOX404 , תחולתן מדצמבר 2010.
      • מכלול האמצעים שמיישם הארגון על מנת להבטיח שכל העסקאות , התקבולים והתשלומים נרשמים , מעובדים , מסוכמים ומדווחים :
      • בשלמותם
      • באופן מדויק ונאות ( חישובים ואומדנים )
      • במועד ( בתקופת הדיווח המתאימה )
      • בהתאם להנחיות ההנהלה והדירקטוריון
      • על פי הכללים החשבונאים המקובלים והוראות הפיקוח
    מהי בקרה פנימית לדיווח כספי ?
  • כלל החזקות עסקי ביטוח בע " מ כלל חברה לביטוח בע " מ כלל גמל מיטבית עתודות עתודות כלל ביטוח אשראי כלל בריאות כלל פיננסים חיתום טהורי קרנות נאמנות בטוחה נגזרים ברוקראז ענפים אחרים ביטוח בריאות חסכון ארוך טווח ביטוח כללי שירותים פיננסיים כלל אשראי ומימון הוראות המפקח ISOX קבוצת כלל החזקות עסקי ביטוח : רקע על התאגיד כלל החזקות סוכנויות כלל ביט מימון תעודות סל Guard Broadgate TITANIUM
    • מטרה : ליקויים בבקרות העיקריות לדיווח כספי יאותרו ויתוקנו , החברה ורואי החשבון יפרסמו החל משנת 2010 חוות דעת " חלקה ". אתגרים :
      • מיקוד העבודה מבחינת זיהוי התהליכים , הבקרות והליקויים העיקריים לדיווח הכספי .
      • רתימת הארגון למשימה מתמשכת של שדרוג הבקרה ותרבות הבקרה .
      • תיאום עם רואי החשבון .
      • ניהול הפעילות והממשקים : 170 תהליכים , 12 ישויות משפטיות נפרדות בארץ ובחו " ל ( דירקטוריונים וועדות ביקורת , ועדת היגוי וגילוי ), יועצים ורואי חשבון ממשרדי רואי החשבון הגדולים בארץ .
      • ניהול המידע ושמירה על עדכניותו לנוכח קיום שינויים תמידיים בתהליכי העבודה ובמערכות המידע .
    אתגרים עיקריים ביישום SOX בקבוצה
  • לוחות זמנים להיערכות : בקרות לדיווח כספי 12/10 12/09 תיעוד , אימות התיעוד וניתוח פערי בקרה בגופים המוסדיים 12/08 ביקורת רו " ח תיקונים ושיפורים בקשר לליקויים שאותרו בדיקת אפקטיביות הבקרות - טסטים 6/09 12/07 3/09 9/09 6/10 3/10 9/10 3/11 תכנון מוסדיים תכנון ISOX ועדכון תכנון מוסדיים ביקורת רו " ח דוח ההנהלה בתהליכי ISOX הוראות המפקח ISOX
  • 12/11 12/10 תיעוד , אימות התיעוד וניתוח פערי בקרה תיקונים ושיפורים בקשר לליקויים שאותרו מבדק פנימי של אפקטיביות הבקרות 6/10 3/10 9/10 6/11 3/11 9/11 3/12 תכנון דוח ההנהלה לוחות זמנים להיערכות : דיווחים לרגולטור , לציבור ודוח לעמית ולמבוטח 6/12 9/12 3/13 12/12 מבדק פנימי של אפקטיביות הבקרות דוח ההנהלה מבדק פנימי של אפקטיביות הבקרות דוח ההנהלה
  • ועדת היגוי עליונה ועדות היגוי מקצועיות בחטיבות ובחברות הבנות מנהלת מחלקת SOX המערך הארגוני מבקר פנימי צוות מחלקת SOX ויועצים חיצוניים המערך הארגוני רואי חשבון חיצוניים משאבים מערכות מידע קרנות פנסיה קופות גמל השקעות ביטוח בריאות ביטוח כללי ביטוח חיים רפרנטים חטיבתיים ואחראי תהליכים
    • יושמה מערכת דיינסק ( מודול SOX ) המשמשת כמאגר מידע מרכזי של הקבוצה הכולל את :
    • תיעוד תהליכי העבודה שהוכנו במסגרת SOX ( תרשימי זרימה ותיאור מילולי )
    • תיעוד סיכונים ובקרות שזוהו בתהליכי העבודה .
    • תיעוד תוצאות בדיקת אפקטיביות הבקרות .
    • מעקב תיקון ליקויים .
    • הגורמים שעושים כיום שימוש במערכת :
    • מחלקת SOX , היועצים ורואי החשבון .
    • רפרנטים בחטיבות / חברות בנות
    • גורמים נוספים : ארגון ושיטות , ביקורת פנימית , ניהול סיכונים .
    • התשתית שהוקמה במסגרת ה SOX , יכולה לשמש כבסיס ליישום מודולים של המערכת
    • התומכים ברגולציות נוספות .
    ניהול המידע : מערכת דיינסק
  • אתגרים ביישום : תהליכים רוחביים
    • הגדרת תהליכים רוחביים : תהליכים המבוצעים על ידי גורם מרכזי בארגון , המגיש שירותים בתחום התמחותו למספר חברות בקבוצה .
    • תהליכים רוחביים אופייניים :
      • משאבי אנוש
      • רכש
      • השקעות
      • פיתוח ותפעול מערכות מידע
      • אבטחת מידע
      • ייעוץ משפטי
    • בחינת הבקרות :
      • בתהליך המבוצע על ידי נותן השירות מרכזי
      • בממשקים ובתהליכי המשך המבוצעים אצל מקבלי השירות .
  • אתגרים ביישום : מיקור חוץ
    • שירותים אופייניים :
      • עיבודי שכר
      • תפעול קופות גמל
      • תפעול קרנות השקעה / פלטפורמות השקעה , חישוב שערים ומטריצות ריבית .
    • קבלת החלטה לגבי דרך הפעולה :
      • ביצוע בדיקה על ידינו
      • קבלת דוח SAS70
    • ניהול המגעים עם ספקי שירות בארץ ובחו " ל לקבלת דוחות SAS70 :
      • תיאום יעדי הבקרה וה UCC
      • עלויות
      • בקרת לו " ז
  • אתגרים ביישום : דגשים בבחינת הבקרות
    • הבנת ובחינת הבקרות " מקצה לקצה ":
      • מהרובד התפעולי ועד לרובד הרישומי / חשבונאי
      • חוצה יחידות ארגוניות וממשקים בין יחידות
      • חוצה מערכות מידע וממשקים בין מערכות מידע
    • מיקוד : עקרון המהותיות , הגדרת בקרות המפתח
    • בחינה אינטגרטיבית של בקרות ידניות / נוהליות ובקרות אפליקטיביות : הבקרות האפליקטיביות שנבחנו כחלק מההערכה הכוללת של הבקרות בתהליכים העסקיים :
      • בקרות קלט / פלט ממוכנות
      • בקרות לגבי שלמות ונכונות עיבודים וממשקים עיקריים
      • נתיבי ביקורת ממוכנים
  • אתגרים ביישום : הפרדת תפקידים ובדיקת הרשאות
    • רובד ראשון : האם מתקיימת הפרדת תפקידים פונקציונאלית בין היחידות והגורמים המשתתפים בתהליך ? דרך הבדיקה : : מיפוי וניתוח הפעילויות והפונקציות המשתתפות בתהליך .
    • רובד שני : האם מבנה מנגנון ההרשאות תומך ביישום הפרדת התפקידים הנדרשת ? דרך הבדיקה : תשאול ותיעוד מבנה מנגנוני ההרשאות באפליקציות עיקריות . במערכת ERP : הרצת כלי בדיקה על ידי גורם חיצוני .
    • רובד שלישי : האם ההרשאות שניתנו בפועל למשתמשים מקיימות את הפרדת התפקידים הנדרשת ? דרך בדיקה : ניתוח נתוני ההרשאות והצלבות עם קובץ כוח אדם ועם סמכויות חתימה .
    • דוגמאות :
    • הפרדה בין מערך קדמי ומערך אחורי בתחום ההשקעות .
    • הפרדה בין הפונקציות העוסקות בהפקת פוליסות , גביה ( תקבולים ), תביעות ( תשלומים ).
    • הפרדה בין המערכים העסקיים למערכי החשבות .
    • סמכויות לחתימה על הוראות תשלום .
    אתגרים ביישום : הפרדת תפקידים ובדיקת הרשאות ( המשך )
  • אתגרים ביישום : מערך המחשוב
    • חברה בת למחשוב הנותנת שירותים לכל חברות הקבוצה בארץ
    • תחום תשתיות והפעלה : מערכות הפעלה , בסיסי נתונים , תקשורת , גיבויים , ניטור .
    • תחומים אפליקטיביים ( כ 100 אפליקציות ):
      • מערכות לניהול הפעילויות העסקיות
      • מערכת ERP : ספר ראשי ורכש
      • מערכות DWH , BI
      • מערכות CRM
    • מיקור חוץ במספר תחומים .
    • END USER COMPUTING
  • סביבת הבקרה ובקרות כלליות בסביבת המחשוב תהליכים עסקיים דיווח כספי אתגרים ביישום : מקומו של מערך המחשוב בתפיסת הבקרה בקרות באפליקציות
  • בקרות כלליות בסביבת המחשוב – תחומי הכיסוי בקרות כלליות בסביבת המחשוב : תחומי הכיסוי אבטחת מידע פיתוח וניהול שינויים באפליקציות תפעול סביבת הבקרה פיתוח וניהול שינויים בתשתיות
    • ברובד האפליקציות :
    • קיום ויישום מתודולוגיה ונהלים לפיתוח וניהול שינויים .
    • תהליך פיתוח וניהול שינויים כולל :
      • תעדוף ואישור משימות
      • ביצוע בדיקות
      • הפרדה בין סביבות
      • ניהול גרסאות ותהליכי העברה לייצור
      • הסבה
      • הטמעה ( כולל הדרכות )
    • ברובד בסיסי הנתונים , רשתות ומערכות הפעלה :
    • קיום ויישום נהלי הקמה / שדרוג / תחזוקה
    • ניהול גרסאות ויכולת שחזור
    פיתוח וניהול שינויים באפליקציות פיתוח וניהול שינויים בתשתיות בקרות כלליות בסביבת המחשוב : תחומי הכיסוי ( המשך )
    • אבטחת מידע
    • קיום מדיניות ונהלים בתחום אבטחת המידע בארגון .
    • תהליך מתן הרשאות לאפליקציות ותשתיות .
    • הקשחה של תשתיות וסיסמאות בהתאם למדיניות .
    • ניטור שוטף ותקופתי .
    אבטחת מידע בקרות כלליות בסביבת המחשוב : תחומי הכיסוי ( המשך )
    • תפעול מערכות מידע
    • ניהול ובקרת פעולות מתוזמנות ( Batch programs ) במערכות המידע .
    • גיבויי מידע ושחזורים .
    • תמיכה במשתמשי מערכות המידע
    תפעול בקרות כלליות בסביבת המחשוב : תחומי הכיסוי ( המשך )
    • סביבת הבקרה
    • אסטרטגיה , תוכניות עבודה , ועדות היגוי .
    • נהלים .
    • הפרדת תפקידים .
    סביבת הבקרה בקרות כלליות בסביבת המחשוב : תחומי הכיסוי ( המשך )
  • אתגרים ביישום : END USER COMPUTING
    • מערכות שהפיתוח והתחזוקה שלהם מבוצעים במלואם או בחלקם על ידי משתמשי קצה .
    • סוגי מערכות שנכללו בקטגוריה זו :
      • גיליונות אקסל
      • מערכות BI
      • מערכות סטטיסטיות / אקטואריות ייעודיות
    • מתודולוגית הבקרה :
      • בקרות גישה : על פי מדיניות אבטחת המידע של הקבוצה .
      • בקרות ניהול שינויים : הבחנה בין שינויים המבוצעים על ידי יחידת מערכות המידע , לבין שינויים המבוצעים על ידי המשתמשים .
      • בקרות קלט / עיבוד / פלט : שילוב של בקרות מיכוניות , בהתאם למגבלות הכלי , עם בקרות תקינות וסבירות ידניות על ידי משתמשי הקצה .
    • סביבת הבקרה
    • הערכת סיכונים
    • פעילויות הבקרה
    • מידע ותקשורת
    • פיקוח ומעקב
    אתגרים ביישום : הערכת הבקרות הכללית ברמת הארגון
    • סביבת הבקרה : סביבת הבקרה קובעת את אופי הארגון וכוללת את סגנון הניהול , המבנה הארגוני , חלוקת הסמכויות והאחריות , ערכי יושר ומוסר בארגון , מדיניות ניהול כוח האדם וכו '.
    • הערכת סיכונים : התהליך שמבצעת ההנהלה על מנת לזהות את הסיכונים השונים אליהם חשוף הארגון ולנקוט בפעולות הבקרה הנדרשות .
    • פעילויות הבקרה : הבקרות המשולבות בתהליכי העבודה של הארגון
    • מידע ותקשורת : קיום ערוצי תקשורת לזרימת המידע בין ההנהלה לעובדים , כולל אמצעים לדיווח על חריגים וליקויים .
    • פיקוח ומעקב : ביצוע פעולות שמטרתן לבחון יישום עקבי ואפקטיבי של הבקרות לאורך זמן , כגון : פיקוח על ידי ההנהלה ועל ידי גורמים בלתי תלויים דוגמת המבקר הפנימי .
    אתגרים ביישום : הערכת הבקרות הכללית ברמת הארגון ( המשך )