הכן את המע' שלך לעמידה בדרישות SOX

לקראת סוף שנה וביקורת SOX מתקרבת- האם הארגון ערוך לכך?

אירגונים אשר נסחרים בבורסה בארץ או בארה"ב נדרשים לעמוד בתקנות ה SOX

ארגון אשר נסחר בבורסה בארה"ב נדרש לעמוד בסטנדרטים מחמירים יותר.

לדעתי האישית עמידה בסטנדרטים האלו נחוצים לכל ארגון לשמירה על

אבטחת מידע ויצירת נהלים תקינים.

במאמר מוסגר המילה SOX  נשמעת דומה למילה SEX  אך הקשר ביניהם הינו שתי אותיות דומות

דמיון נוסף במידה ויש בארגון ביקורת SOX  זה בהחלט יכול להוציא את החשק מכל מנעמי החיים

בעיקר אם הארגון נתפס לא מוכן.

ביקורת SOX  נערכת לקראת סוף השנהומתייחסת לפעילויות שונות של הארגון בכספים, תשתיות IT, מערכות מידע ועוד.

נתמקד במאמר זה במערכות מידע וכפי שכתבתי מומלץ לכל ארגון גם אינו חייב בכך.

להלן מספר דוגמאות לדרישות:

  1. ניהול סיסמאות משתמשים- ניתן ליישם גם באמצעות Active directory
  2. הפרדה של הרשאות משתמשים לפי תפקידים- למשל פותח הזמנת הרכש אינו יכול לאשר את הזמנת הרכש, מנהלת חשבונות המבצעת תשלום לספקים אינה יכולה להקים ספקים. אלו מונעים מצב של הטייה בפעולות העובדים.
  3. בדיקת הרשאות משתמשים- האם לכל עובד מוגדרות הרשאות הרלונטיות אליו או לקבוצה אליה הוא משתייך, הרשאות מיותרות יכולות לגרום לנזק. הכוונה גם איזה סוג הרשאה, כתיבה או צפייה בלבד. למשל למקים הזמנות לקוח אין צורך בהרשאה למודול כספים.
  4. תיעוד פיתוחים והתאמות במערכות מידע- אילו פיתוחים והתאמות בוצעו, מתי ומי אישר לבצע שינויים במערכת, רצוי גם תיעוד הבדיקות והפרדה בין סביבת פיתוח לסביבת אמת.
  5. הוספת והורדת משתמשים- האם מתקיים נוהל מסודר בקליטת עובד והגדרת הרשות למערכות מידע, האם נוהל דומה מתקיים בעזיבת עובד. יש ארגונים שבהם עובדים אשר עזבו עדיין קיימים כפעילים במערכת, הנזק שעלול להיגרם ברור.
  6. שינויים בהזמנות רכש- בדיקת מדרג המאשרים של הזמנות הרכש לפי מדיניות החברה, האם אכן מתקיים סבב אישורים כנדרש? האם החתימות מתועדות במערכת ומה קורה במקרה של שינוי בהזמנת רכש מאושרת.

לכאורה אלו דרישות מחמירות ומתישות, אך אם נערכים לעמוד בסטנדרטים הללו בפעילות השוטפת, ההכנה לביקורת הרבה יותר קלה.

 

שיהיה בהצלחה

© כל הזכויות שמורות לרויטל טוינה- erp4you