בקרות פנימיות וביקורות
1) מטרה ואזור
המטרה: להבטיח את ההישג של מטרות עסקיות באופן בטיחותי וחוקי, לצמצם תפעולי, פיננסי, ציות וסיכונים מוניטין.
כיסוי: תהליך ושליטה ב-IT בכל התחומים: תשלומים/קסאטים, KYC/AML/סנקציות, אנטי הונאה, RG, שיווק/יצוא נתונים, DevOps/SRE, DWH/BI, פרטיות/GDPR, TPRM.
2) עקרונות הגנה ומודל
שלושה קווי הגנה: 1) בעלי תהליכים (מבצעים/מוצר), 2) סיכון/ציות/אבטחה (מתודולוגיה, ניטור), 3) ביקורת פנימית עצמאית.
מבוססי סיכון: פקדים בנויים לפי העדיפות של סיכון שיורי.
לכל בקרה יש קריטריונים ניתנים למדידה, מקורות מידע, וחפצי אמנות.
אוטומטית-ראשונה: אם אפשר - אוטומטית ורציפה (CCM) במקום ידנית.
3) מפת סיכונים * מטרות = בקרה
1. רישום סיכונים: זיהוי סיבות/אירועים/השלכות (כספים, שחקנים, רישיונות).
2. מטרות בקרה: מה צריך למנוע/לזהות/לתקן (למשל, "משיכה בלתי חוקית של כספים", "גישה בלתי מורשית למח" ש ").
3. פעולות בקרה: בחירת מדיניות/הליכים/אוטומטיים ספציפיים להשגת המטרה.
- מניעה: RBAC/ABAC, SOD (4-Eyes), גבולות וניקוד, אימות נתונים, WebAuthn, mTLS.
- בלש: SIEM/התראות, פיוס, לוחות מחוונים SLA/SLO, יומני ביקורת (תולעת), בקרת אנומליה.
- תיקון: מנעולים אוטומטיים, שחרור גלגולים, סיבוב מפתח, פירוק ידני והחזרה.
- פיצוי: אם השליטה העיקרית היא אמצעי חיזוק בלתי אפשרי (ניטור נוסף, אימות כפול).
4) ספריית בקרה
לכל מבחן רשום:- זהות/שם, מטרה, סיכון, סוג, תדר, בעל שליטה, מבצע, שיטת ביצוע (ידני/אוטומטי/מדריך), מקורות ראיות, KPI/KRI, תקשורת עם מדיניות/נהלים, מערכות תלויות.
- Casts: Traft # Active Pontored # Freserve. ורסינינג ושינוי יומן.
- 'CTRL-שלם-004' -4-עיניים לאשר לתשלומים> X (מונע, יומי, בעלים: ראש התשלומים, ראיות: יישומים/יומנים, KPI: 100% כיסוי).
- 'CTRL-DWH-012' - PII מסווה בחנויות (מנע, קבוע, בעלים: ראש נתונים, ראיות: בקשות בדיקה, KPI: 95% קריאות רעול פנים).
- CTRL-SEC-021 - MFA לקונסולות מנהלים (מניעה; ראיות: IDP מדווח; KPI: 100% אימוץ).
5) ראסי ובעלים
6) תוכניות ביקורת ומבחנים
התוכנית השנתית מוגדרת כמונחית סיכונים (סיכון שיורי גבוה, דרישות רגולטוריות, תקריות, מערכות חדשות).
סוגי המחאות:- Design Appectivity (DE): האם בקרות תוכננו נכון כדי להפחית את הסיכון.
- יעילות תפעול (OE) - בין אם זה עובד באופן סטטי ובתדר נתון.
- ביקורת תאומטית/תהליך: אימות תחום מקצה לקצה (לדוגמה: KYC/AML או Cassouts).
- המשך/אימות - אישור סגירת CAPA.
גישה: Walkthrough (איתור), ראיון, פריט/רישום סקירה, אנליטיקה, ביצועים (חזרה).
7) ראיות ודגימות
סוגים של ראיות: רישום העלאות (חתימה/חשיש), דוחות IDP/SSO, כרטיסים ויומני אישור, תצלומים עם סטמפס זמן, xls/csv מחנויות, רשומות של הפעלות PAM.
שלמות: העתקי תולעת, שרשראות חשיש/חתימות, הגדרת 'ts _ utc'.
דגימה: סטטיסטית/שיפוטית; גודל תלוי בתדירות של שליטה ורמת ביטחון.
קריטריונים: לעבור/להיכשל; דה מינימום הסף לפעולות ידניות מותר.
8) הערכה וסיווג של אי ־ התאמות
ציונים: קריטי/גבוה/בינוני/נמוך.
קריטריונים: השפעה (כסף/PII/רישיונות), הסתברות, משך, חזרה, פיצוי על בקרות.
דיווח: מצא כרטיס (סיכון, תיאור, דוגמאות, סיבה שורשית, השפעה, פעולות נדרשות, תזמון, בעלים), מצב מעקב.
9) קאפא ושינוי ניהול
פעולות מתקנות ומונעות: ביטול הגורם השורשי, לא רק תסמינים.
אמצעי S.M.A.R.T.- ספציפי, מדיד, מתוארך; אחריות ואבני דרך.
שינוי מועצה: שינויים בסיכון גבוה עוברים CAB; עדכון מדיניות/הליכים/תפקידים.
אימות ביצוע: ביקורת מחדש לאחר N שבועות/חודשים.
10) ניטור רציף (CCM) ואנליטיקה
מועמדי CCM: תדירות גבוהה ובקרה פורמלית - סכסוכי SoD, בעיות JIT, יצוא חריג, כיסוי MFA, הגבלת תשלום, פגיעות סנקציות.
כלים: חוקי SIEM/UEBA, לוחות מחוונים Data/BI, אימות מעגל/מיסוך, בדיקות גישה (מדיניות-כקוד).
אותות/התראות: סף/התנהגות; כרטיסי SOAR; בלוקים אוטומטיים לסטיות קריטיות.
יתרונות: מהירות הגילוי, הפחתת עומס ידני, היתרונות טובים יותר.
11) מטריצות (KPI/KRI)
KPI (הוצאה להורג):- כיסוי על ידי בקרה של תהליכים קריטיים 95%
- ביצוע בזמן של בקרה ידנית 98%
- CAPA סגור בזמן (גבוה/קריטי) -95%
- נתח בקרת MoM אוטומטית
- הפרעות SoD = 0
- גישות PII ללא ”מטרה” = 0
- דליפות/תקריות הודיעו על 72 h -100%
- מנגנון אל-כשל של בקרות תפעוליות <2% (מגמה פוחתת)
12) תדירות ולוח שנה
יום/רציף: CCM, אותות נגד הונאה, מגבלות תשלום, מיסוך.
פיוס תשלומים/קופות, בקרת יצוא, ניתוח התראה.
דו "חות MFA/SSO, רישום גישה, ניטור ספק, מגמות KRI.
רבעון: אישור מחדש של הזכויות, ביקורות ענייניות, מבחני לחץ.
תוכנית ביקורת מלאה ועדכון מפות סיכון.
13) אינטגרציה עם המדיניות הקיימת
RBAC/ABAC/Lest Privilue, Access Policy ו-Segmentation - מקור לבקרה מונעת.
מדיניות הססמה ו-MFA הן דרישות חובה לניהול/פעולות קריטיות.
ביקורת יומנים/יומן מדיניות - בלש ובקרה ראייתית.
חוזי TPRM וחוזי צד שלישי - בקרות חיצוניות: SLA, DPA/SCCs, זכויות ביקורת.
14) רשימות בדיקה
14. 1 עיצוב בקרה חדש
[ ] המטרה והסיכון הנלווה לתיאור[ ] מוגדר סוג (מניעה/בלש/תיקון)[ ] בעלים/אמן ותדירות שהוקצו[ ] מקורות נתונים ופורמט ראיות שצוינו[ ] מדדים מובנים (KPI/KRI) והתראות[ ] קישורים למדיניות/נהלים[ ] תוכנית הבדיקה של דה או אי14. 2 ביקורת חשבונות
[ ] היקף וקריטריונים של DE/OE הסכימו[ רשימת החפצים והגישה ][ ] דגימה הסכימה ותיקנה[ ] תוצאות וממצאים מסווגים[ ] CAPAs, המועדים והבעלים אושרו[ דו "ח ] מונפק ומתקשר לבעלי עניין14. 3 ניטור ודיווח (חודשי)
[ ] KPI/KRI לכל בקרה קריטית[ ] כישלון/מגמות חיוביות כוזבות[ ] CAPA וסטטוס עבריינות[ ] הצעות אוטומציה/JMA15) טעויות טיפוסיות וכיצד להימנע מהן
בקרה ללא מטרה/מטרית: הגדר אובייקטיבית פורמלית ו ־ KPI/KRI.
בקרה ידנית ללא ראיות: תקן צורות/תסריטים ואחסון חפצים בתולעת.
צמיחת החריגים: רישום חריגים עם תאריך תפוגה ואמצעים לפיצוי.
”על הנייר” עובד - במציאות לא: מבחני OE רגילים ו-CCM.
CAPA פתוח: הסלמה אוטומטית ומעמד בוועדת הסיכון החודשית.
16) מימוש מפת דרכים
שבועות 1-2: לעדכן את מפת הסיכון, להרכיב קטלוג של פקדים, למנות בעלים, לאשר תבניות ראיות.
שבועות 3-4: הפעלת ניטור KPI/KRI, בחירת 5-10 פקדים לאוטומציה (CCM), אישור תוכנית הביקורת השנתית.
חודש 2: ערוך 1-2 ביקורות ענייניות (סיכון גבוה), יישם התראות SOAR, קבע דיווח לוח.
חודש 3 +: להרחיב את CCM, לבצע ביקורות רבעוניות, להפחית בקרות ידניות, להגדיל את הכיסוי של DE/OE וקצב סגירת CAPA.
TL; DR
בקרות פנימיות אפקטיביות = כרטיס סיכון = מטרות = פעילויות ברורות עם בעלים וראיות, בנוסף לבדיקות DE/OE רגילות, CAPA ואוטומציית CCM. זה הופך את ניהול הסיכונים למדיד, ביקורת חשבונות צפויה וניתן לתאימות.