GH GambleHub

ביקורת על בסיס סיכון

1) תמצית הביקורת המבוססת על סיכון (RBA)

ביקורת על בסיס סיכון היא גישה שבה תכנון וביצוע של ביקורת חשבונות מתמקדים בתחומים בעלי הסיכון הגבוה ביותר למטרות עסקיות וציות. רעיונות מרכזיים:
  • עדיפות שבה השילוב של הסתברות והשפעה הוא מקסימלי.
  • הערכה של סיכון טבוע (ללא בקרה) וסיכון שיורי (כולל פקדים).
  • שינויים מתמשכים בהערכה כפי שנוף הסיכון משתנה (מוצר, שוק, רגולציה, תקריות).

2) מונחים ומסגרת

ביקורת עולם - קטלוג של תהליכים, מערכות, מיקומים, ספקים ואחריות רגולטורית

מפת סיכונים - ”הסתברות × השפעה” הדמיה עם דירוג לפי סדר עדיפויות.
סיכון תיאבון/סובלנות - נכונותה המוצהרת של החברה לקבל סיכון בגבולות המוגדרים.
רמות בקרה - מניעה/בלש/תיקון; עיצוב ויעילות מבצעית.
קווי הגנה - 1 (עסקים ופעולות), 2 (סיכון/ציות), 3 (ביקורת פנימית).

3) בניית יקום ביקורת חשבונות

צור רשימה של יחידות ביקורת עם תכונות מפתח:
  • תהליכים: תשלומים, KYC/KYB, ניטור AML, ניהול אירועים, DSAR, שימור.
  • מערכות: ליבת עסקה, DWH/datalake, IAM, CI/CD, עננים, DLP/EDRM.
  • סמכויות שיפוט ורישיונות, ספקי מפתח ומוצרי חוץ.
  • KPI/KRI, היסטוריית תקרית/הפרה, ממצאים חיצוניים/סנקציות.
  • השפעה כספית ומוניטין, ביקורתיות לרגולטורים (GDPR/PCI/AML/SOC 2).

4) מתודולוגיית הערכת סיכונים

1. סיכון תורשתי (IR): מורכבות תהליך, נפח נתונים, זרימות מזומנים, תלות חיצונית.
2. עיצוב בקרה (CD): זמינות, כיסוי, בגרות מדיניות-כקוד, אוטומציה.
3. יעילות תפעולית (OE): יציבות ביצוע, מדדי MTTD/MTTR, רמת סחיפה.
4. סיכון שיורי (RR): ”RR = f (IR, CD, OE)” - לנרמל בסולם (למשל. 1-5).
5. גורמים שונים: שינויים רגולטוריים, תקריות אחרונות, תוצאות ביקורות העבר, סבב הסגל.

דוגמה לסולם השפעה: נזק פיננסי, קנסות רגולטוריים, השבתה של SLA, אובדן נתונים, השלכות מוניטין.
דוגמה לסולם הסתברות: תדירות אירועים, חשיפה, מורכבות של התקפות/התעללויות, מגמות היסטוריות.

5) עדיפות ותוכנית ביקורת שנתית

למיין את יחידות הביקורת על ידי סיכון שיורי וחשיבות אסטרטגית.
תדירות הקצאה: מדי שנה (גבוה), אחת 2 שנים (בינוני), על ידי ניטור/נושאים (נמוכים).
כלול בדיקות ענייניות (למשל: מחיקת נתונים ואנונימיות, הפרדה בין חובות (SoD), סגמנט PCI).
תוכנית משאבים: כישורים, עצמאות, להימנע מניגודי אינטרסים.

6) ראסי ותפקידים

תפקידאחריות
ועדת ביקורת/לוח (A)אישור תוכנית, בקרת עצמאות
ראש הביקורת הפנימית (A/R)מתודולוגיה, עדיפות, דיווח
ביקורות פנימיות (R)עבודת שטח, בדיקות, דגימות, אנליטיקה
סיכון/היענות (C)הערכת סיכונים אחידה, ממשק רגולטורי
Process/System Wolders (C)גישה לנתונים, תוכנית תיקון
חוקי/DPO (C)פרשנות נורמית, פרטיות ושמירת מידע
פלטפורמת Secops/Data Platform/IAM (R/C)פורק יומנים, תצורות, לוחות מחוונים של ראיות

(ר - אחראי; א - דין וחשבון; C - ייעוץ)

7) גישות לבקרות בדיקה

Walkthrough: לאתר את הזרימה של ”עסקה מקצה לקצה ”/data.
אפקטיביות עיצוב: בדיקת נוכחות והולם של מדיניות/בקרה.
אפקטיביות תפעולית - בדיקה סלקטיבית של הוצאה להורג לתקופה מסוימת.
ביצועים מחדש: רפרודוקציה של חישובים/אותות לפי כללי CaC.
CAATs/DA (טכניקות ביקורת/ניתוח נתונים בסיוע מחשב): תסריטי SQL/Python, בקשות בקרה להצגות, השוואה של IAC ↔ תצורות בפועל.
מבחני בקרה שוטפים באוטובוס (זרם/אצווה).

8) דגימה

סטטיסטי: אקראי/מסווג, לקבוע את הגודל לפי רמת הביטחון והשגיאה המותרת.
יעד (שיפוטי): סיכון גבוה/ערך גבוה, שינויים אחרונים, חריגים (ויתורים).
לא נורמלי: מסקנה מאנליטיקה (חריגים), תקריות כמעט-לפספס, ”מפירים עליונים”.
מקצה לקצה (100%): היכן שאפשר, השתמש באימות אוטומטי של כל המערך (למשל. SOD, TTL, סינון סנקציה).

9) מקורות אנליטיים וראיות (ראיות) ‏

רישומי גישה (IAM), שינוי עקבות (Git/CI/CD), תצורות תשתית (Terraform/K8s), דו "חות DLP/EDRM.
תצוגות "ציות", כתבי עת משפטיים Hold, רישום DSAR, דו "חות AML (SAR/STR).
תצלומי לוח מחוונים, ייצוא CSV/PDF, קיבעון חשיש וחוסר תזוזה.
פרוטוקולי ריאיון, רשימות צ 'ק, דו "חות/חפצי הסלמה.

10) ביקורת: SOP

1. הערכה ראשונית: להבהיר מטרות, קריטריונים, גבולות, בעלים.
2. בקשת נתונים: רשימת העלאות, גישה, הגדרות, תקופת דגימה.
3. עבודת שטח: ווק-טרו, מבחני שליטה, אנליטיקה, ראיונות.
4. כיול של מסקנות: להשוות עם Risk Appetite, עם תקנות ומדיניות.
5. היווצרותם של ממצאים: עובדה = קריטריון = השפעה = Action Action Action Action Action Action Action Action Action Action Action Action Brother.
6. פגישת סיכום - פיוס של עובדות, סטטוס ותוכניות תיקון.
7. דו "ח ומעקב: שחרור, דירוג, תאריכי סגירה, אימות מחדש.

11) סיווג ממצאים ודירוג סיכונים

חומרה: קריטי/גבוה/בינוני/נמוך (קישור להשפעה על ביטחון, ציות, פיננסים, פעולות, מוניטין).
סבירות: תכוף/אפשרי/נדיר.
ציון סיכון: מטריצה או פונקציה מספרית (לדוגמה, 1-25).
תגי נושא: IAM, פרטיות נתונים, AML, PCI, DevSecOps, DR/BCP.

12) מטריצות ו ־ KRI/KPI לביקורת סיכונים

סיקור: שיתוף ביקום ביקורת חשבונות מכוסה בשנה.
חידוש בזמן:% מהתיקונים בזמן (בחומרה).

ממצאים חוזרים: פרופורציה של חזרות תוך 12 חודשים

ממצאי MTTR: זמן חציוני לסגירה.
מגמת יעילות בקרה: אחוז המבחנים שעברו/נכשלו בתקופה.
הגיע הזמן לאסוף ראיות.
מדד הפחתת סיכונים: מספר סיכונים כולל לאחר תיקון.

13) לוחות מחוונים (סט מינימלי)

סיכון מפת חום: תהליכים x הסתברות/השפעה x סיכון שיורי.
Explications Pipeline: status (Open/In progress/Overdue/Closed) × בעלים.
נושאים עליונים: קטגוריות הפרה תכופות (IAM/Privacy/PCI/AML/DevSecOps).
הזדקנות & SLA: עבריינות ומתקרבת ללוחות זמנים.
חזרה על סוגיות: יכולת חזרה על ידי פקודה/מערכת.
תוצאות מבחן בקרה: קצב מעבר, מגמות, FPR/TPR עבור כללי בלש.

14) תבניות חפץ

היקף ביקורת החשבונות

מטרה וקריטריונים (סטנדרטים/מדיניות).

היקף: מערכות/תקופתיות/מיקומים/ספקים

שיטות: דגימה, אנליטיקה, ראיונות, הליכה.
יוצאים מן הכלל ומגבלות (אם בכלל).

מציאת קלף

זיהוי/נושא/החמרה/סבירות/ציון.
תיאור של העובדה והקריטריון של אי-קונפורמיות.
סיכון והשפעה (עסקים/פיקוח/בטיחות).
המלצה ותוכנית פעולה.
בעלים ותאריך הלידה.
ראיות (קישורים/חשיש/ארכיון).

דו "ח ביקורת (מבנה)

1. תקציר מנהלי.
2. הקשר והיקף.
3. מתודולוגיה ומקורות מידע.
4. מסקנות והערכה של בקרות.
5. ממצאים וסדרי עדיפויות.
6. תוכנית תיקון ומעקב.

15) תקשורת עם ניטור רציף (CCM) ותאימות-כקוד

השתמש בתוצאות CCM כקלט להערכת סיכונים ותכנון ביקורת.
מדיניות-כקוד מאפשרת לבצע מחדש את המבחנים על ידי רואי חשבון, הגדלת הרבייה.
יישום ביקורת רציפה עבור אזורים בסיכון גבוה עם טלמטריה זמינה.

16) תרופות אנטי ־ פטריות

”אחיד” ללא סיכון ביקורת = אובדן מיקוד ומשאבים.
דיווחים ללא המלצות מדידות ובעלים.
מתודולוגיית דירוג סיכונים אטומה.
התעלמות מספקים ושרשרת שירות.
אין מעקב - בעיות לחזור.

17) מודל בגרות RBA (M0-M4)

M0 דוקומנטרי: בדיקות חד פעמיות, דגימה ידנית.
קטלוג M1: ביקורת ביקום ומפת חום בסיסית.
מדיניות ומבחנים: רשימות בדיקה סטנדרטיות ובקשות מעקב.
M3 Integrated: תקשורת עם CCM, SIEM/IGA/DLP, אוסף ראיות חצי אוטומטי.
M4 רציף: ביקורת רציפה, עדיפות בזמן אמת, חזרה אוטומטית.

18) עצות מעשיות

כיול מאזני סיכון הכרוכים בעסקים וציות - ”מטבע” יחיד של סיכון.
לשמור על שקיפות: שיטת מסמך ומשקולות, לשמור על ההיסטוריה שינוי.
ליישר תכנית ביקורת עם אסטרטגיה ותיאבון סיכון.
אימוני בעלים של תהליך מוטבע - ביקורת כהצלת תקריות עתידיות.
הפחת את ה ”רעש” בעזרת אנליטיקה: סטריטיזציה, כללי הסרה, עדיפות לנזק.

19) מאמרים הקשורים לוויקי

ניטור ציות רציף (CCM)

ציות ודיווח אוטומציה

אחיזה חוקית והקפאת נתונים

שמירת נתונים ולוחות זמנים למחיקה

DSAR: בקשות למשתמש לנתונים

PCI DSS/SOC 2 בקרה ואישור

תוכנית המשכיות עסקית (BCP) ו ־ DRP

תוצאות

ביקורות מבוססות סיכון מתמקדות באיומים המשמעותיים ביותר, מודדות את יעילותם של פקדים, ומאיצות פעולה מתקנת. כוחו טמון במידע ומתודולוגיה שקופה: כאשר עדיפות מובנת, מבחנים ניתנים לשחזור, והמלצות ניתנות למדידה וסגורות בזמן.

Contact

צרו קשר

פנו אלינו בכל שאלה או צורך בתמיכה.אנחנו תמיד כאן כדי לעזור.

התחלת אינטגרציה

Email הוא חובה. Telegram או WhatsApp — אופציונליים.

השם שלכם לא חובה
Email לא חובה
נושא לא חובה
הודעה לא חובה
Telegram לא חובה
@
אם תציינו Telegram — נענה גם שם, בנוסף ל-Email.
WhatsApp לא חובה
פורמט: קידומת מדינה ומספר (לדוגמה, +972XXXXXXXXX).

בלחיצה על הכפתור אתם מסכימים לעיבוד הנתונים שלכם.