כיצד לעסוק ב SOX ולהשאר בחיים

 

 IT Governance, Risk & Compliance (IT GRC)

גזרת ה-SOX גורמת ללא מעט דאגה וזיעה קרה בקרב אנשי ה-IT בארצנו.

מה זה SOX, מה זה אומר לגבינו, אנשי טכנולוגיות המידע, וכיצד עומדים בגזירה ואפילו מרוויחים ממנה, על כל אלה נדבר היום.

נפתח בסיפור המסגרת. בשנת 2002 נחשפו, בזו אחר זו, שערוריות כספים בחברות ענק בארה"ב.

המקרה המפורסם ביותר הינו זה של חברת Enron אשר צמחה בתוך 15 שנים מחברה קטנה ובלתי מוכרת לחברה השביעית בגודלה בארה"ב אשר העסיקה מעל עשרים אלף עובדים בארבעים מדינות ברחבי העולם.

החברה פשטה רגל לאחר שהתברר כי היא הגישה דוחות כספיים כוזבים לאורך זמן ובאורח שיטתי, כולל הסתרה של חובות בסכומים של מיליארדי דולרים.

מנהלי החברה הורשעו במעילה ונגזרו עליהם 28 שנות מאסר. חברת ראיית החשבון אשר לא עשתה די כדי לזהות מעילות אלה – אנדרסון את אנדרסון – פורקה בעקבות המקרה.

חומרתן של שערוריות פיננסיות אלה גרמה לאובדן האמון של המשקיעים המוסדיים והפרטיים והעלתה ספק לגבי יכולתם של ארגונים פרטיים להגן על בעלי המניות שלהם.

בעקבות שערוריות אלה הציעו פול סרבנס ומיכאל אוקסלי חוק אשר נקרא על שמם Sarbanes Oxley ובקצור - SOX.

חוק זה מבהיר את אחריותם האישית של מנהלי החברה על שלמות ונכונות הדוחות הכספיים.

החוק מגדיר מנגנון ביקורת תקופתי הבוחן את קיומן ויעילותן של בקרות המבטיחות דרישות אלה.

הדרך מכאן אל עולמינו – עולם טכנולוגיות המידע – הינה קצרה: המידע הפיננסי של החברות נאגר, מעובד ומשודר באמצעות מערכות אלה ועל כן בכדי לשמור על מידע זה, יש לשמור על הטכנולוגיות האוצרות אותו.

חברות ישראליות הנסחרות בארה"ב, חברות אמריקאיות המיוצגות בארץ וכאלה העומדות בפני הנפקה בבורסה האמריקאית, כל אלה נדרשות לעמוד ב-SOX. במקרים רבים דורש

כדי לעמוד ב-SOX יש צורך לעמוד בביקורת קפדנית אשר מתבצעת בדרך כלל על ידי חברות ראיית החשבון הגדולות. ביקורות אלה עוסקות בהיבטים השונים של הניהול הפיננסי של החברה ובפרט בחלקת עולמינו – מערכות המידע המשרתות את התהליכים הפיננסיים.

עמידה ב-SOX מצריכה להוכיח כי תהליכי ניהול ה-IT הינם אחידים, עקביים, מתועדים ומבוקרים.

הבקרות בהן עוסק ה-SOX נגזרות בדרך כלל מהמסגרת המקובלת בעולם בנושא בקרות IT COBIT. כמו-כן ניתן ומומלץ להשתמש במסגרות סטנדרטיות לניהול תהליכי IT ובפרט ITIL.

מסגרת סטנדרטית אחרת הממוקדת באבטחת מידע הינה 27001 ISO.

ביקורת SOX עוסקת בהיבטים שונים של ניהול מערכות ה-IT אשר עוסקות בניהול המידע הפיננסי של חברה. תהליכים אלה כוללים, בין היתר נושאים כגון:

·         תפעול ותמיכה

·         גיבוי והתאושש

·         קבלנים חיצוניים וOutsourcing

·         ניהול הרשאות וזהויות

·         ניהול שינויים

 

 מה אנו לומדים מכל זה?

  • ארגון המנהל את תהליכי ה-IT שלו בצורה עקבית ומתעד אותם בצורה מסודרת אינו צריך להתרגש מביקורת SOX או תקנות דומות אשר יצוצו חדשות לבקרים.
  • ארגון המתכונן ל-SOX יכול לשפר את האפקטיביות והיעילות שלו תוך כדי תהליך ההכנה.
  • קימות מסגרות סטנדרטיות ומקובלות לניהול ובקרה של מערכי ה-IT – לא צריך להמציא את הגלגל.
  • כל הדרכים מובילות לארגון IT יעל יותר, העונה לדרישות העסקיות של הארגון.

 

 

מאת גלעד ירון, , SECOZ