![Page 1: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/1.jpg)
CCM (Continuous Controlבקרה פנימית מתמשכת
Monitoring )–וכיצד יכולה לסייע לארגונים? מה זההכנס השנתי של האיגוד הישראלי לביקורת ואבטחת מערכות מידע
ISACA
2010אוקטובר
©כל הזכויות שמורות
![Page 2: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/2.jpg)
?הצורך בניתוח נתונים ובקרה פנימית מתמשכת
,לדעתי התשובה ברורה
...אז להלן תימוכין, אבל אם לא
2
![Page 3: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/3.jpg)
3
![Page 4: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/4.jpg)
4
![Page 5: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/5.jpg)
5
![Page 6: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/6.jpg)
6
![Page 7: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/7.jpg)
7
![Page 8: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/8.jpg)
8
![Page 9: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/9.jpg)
Richard Chambers, IIA
President
…the one thing, for example, that jumps off the charts is
that the profession has got to become and continue to
become more proficient in leveraging technology and
the way it conducts its work; data mining and analysis.
Data Analysis – Critical for Your Audit Function
![Page 10: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/10.jpg)
Global Internal Audit Survey 2008.
Leading internal audit functions use data analytics
for numerous activities, including risk assessment,
planning, execution and reporting.
Data Analysis – Critical for Your Audit Function
![Page 11: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/11.jpg)
State of the Internal Audit
Profession Study 2009
.
Internal audit’s data analytic capabilities,
instrumental to effectively examining the large
volumes of data readily accessible through ERP
systems for anomalies and other fraud indicators,
are now even more critical.
Data Analysis – Critical for Your Audit Function
![Page 12: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/12.jpg)
ציות/ בקרה –האתגר
שיפור אופן בדיקת הבקרות והדיווח על כשלים•
(IIסולבנסי , IIבזל , SOX: כגון)ציות לחוקים ולתקנות •
זיהוי וכימות באופן פרו אקטיבי של כשלים בבקרות•
צמצום העלות לציות לתקנות וחוקים וכן בבדיקות •
ח החיצוני "של רו
הקצאת משאבים בצורה אופטימאלית•
![Page 13: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/13.jpg)
אתגרים בפני המבקר
היקף הנתונים ודיוקם
מורכבות וגודל המערכות
שינויים מתמשכים בתהליכים העסקיים
נתונים ממערכות שונות
0
10
20
30
40
50
60
DIVERSITY COMPLEX IT DATA INTEGRITY DATA VOLUMES
%
ACL/IIA Webinar: Driving
Internal Audit Value and
Performance, June 2005
![Page 14: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/14.jpg)
הטכנולוגיה בשירות הארגונים
Approaches to perform regulatory & best practices controls
Controls/Compliance Environment
Security & access
User rights
Change
management
Segregation of
Duties
Security & Infrastructure
Controls
Records &
documentation
Process automation
Case management /
workflow
Process & Documentation
Controls
Continuous
monitoring
Business assurance
analytics
TransactionControl
Monitors
Data access &
navigation
Audit trail
Analytics
Audit Tools
Business Assurance Analytics
![Page 15: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/15.jpg)
רמת הבקרה למול העלות
Level of Controls Assurance0 100%
$
Under
Controlled
Over
Controlled
Optimal
Balance
of
Controls
Co
st
of
Co
ntr
ols
Assu
ran
ce
SOX
With
Technology
![Page 16: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/16.jpg)
בקרה מתמשכתה
לעו
פט
קולנ
ת לכו
הי
Periodic
Review (Audit),
or System
Reports
ביקורת תקופתית
או דוחות מערכת
Repeated
Review
סקירה חוזרת
Continuous
Auditing
בקרה מתמשכת
Less More
Strong
Weak
תדירות הניתוח
![Page 17: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/17.jpg)
...מחקרים בנושא בקרה מתמשכת
אין זה כדאי לחברות להמציא את הגלגל מחדש לשם עמידה "
מספיק להשקיע בטכנולוגיות חדשות לצורך ... SOXבדרישות
תועלת -מיכון החלקים העיקריים בתהליכים ולהשגת יחס עלות
טכנולוגיות חדשות ...יכולת שחזור ובקרה מתמשכת, טוב
25-בכ SOXיכולות להוזיל את עלויות העמידה בדרישות
מאחר והתהליך כפי שמבוצע כיום הינו ידני בעיקרו , אחוזים
."ועתיר במשאבי אנוש
AMR Research – Decisions 2005
![Page 18: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/18.jpg)
18
![Page 19: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/19.jpg)
ביצוע וניטור בקרות
?
![Page 20: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/20.jpg)
...הפתרון
CCM –
Continuous Control
Monitoring
![Page 21: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/21.jpg)
? CCMמהי גישת ה
(מהנתונים 100%)ניטור כל טרנזקציה •
יכולת עבודה למול מספר פלטפורמות מידע•
ביצוע בדיקות באופן אוטומטי ושגרתי•
איתור חריגים אשר עלולים להצביע על הונאה •
ואו טעות תפעולית
מעקב וביצוע אסקלציה של חריגים , ניהול•
לטיפול מהיר
21
![Page 22: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/22.jpg)
(מקור גרטנר)? CCMסוגי
CCM for segregation of duties (CCM-SOD) is used to manage a
number of access conflicts present in ERP and financial
applications.
CCM for transactions (CCM-T) is used to continuously monitor
ERP and financial application transaction information to improve
governance and automate audit processes.
CCM for master data (CCM-MD) automates controls related to
ERP and financial application data. It is an element of many data
quality products.
CCM for application configuration (CCM-AC) is used to monitor
the presence, appropriate configuration and modification of built-
in application controls.
22
![Page 23: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/23.jpg)
CCMתהליך ה
100%סקירה של
מהתנועות מכל מערכת
יישום בדיקות לבקרות מפתח בארגון
הצגה באופן כמותי של בקרות אשר אינן עומדות
במבחן
אפשרות צפייה בזמן אמת בתוצאות הבדיקה
![Page 24: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/24.jpg)
COSOומסגרת העבודה CCMפתרון ה
COSO ENTERPRISE
RISK MANAGEMENT
(ERM) FRAMEWORK
מאפשר תמיכה בתהליכים העסקיים התפעוליים המשפיעים על CCMפתרון ה
:כגון, הדוחות הכספיים
General Ledger–ספר ראשי ,Payroll–שכר
– Order-to-Cashלקוחות , Purchase-to-Pay–ספקים
– Travel Expensesהוצאות נסיעות
תומך במספר יעדי CCMמודל
בקרה כנדרש על פי מודל
COSO ,כמפורט להלן: הרשאות- Authorization
תקפות–Validity
שלמות–Completeness
דיוק–Accuracy
אפקטיביות ויעילות–Efficiency &
Effectiveness
הפרדת תפקידים–Segregation
of Duties
ציות לחוקים ותקנות–Regulatory
Compliance
![Page 25: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/25.jpg)
היתרונות בביצוע בקרה מתמשכת
100%בדרך כלל על , בדיקת הבקרה מתבצעת באופן בלתי תלוי•
מהאוכלוסייה
ידיעה בזמן אמת במידה ומתגלית פרצה בתהליך הבקרה ואפשרות תיקון •
מיידי של הכשל בבקרה
הפעלת הכלי מביאה לשיפור תהליך איתור ההונאות וצמצום הסיכונים •
התפעוליים
מקצה לקצה, הכלי מאפשר ביצוע בקרה לכל אורך התהליך•
תהליך הבקרה המיושם מתמשך לאורך זמן ומסייע בציות לחוקים ולתקנות•
ח והמבקר הפנימי לכל נקודת זמן"תיעוד מוכח על מצב הבקרות לרו•
הבקרות שעובדות למול אלה שלא ' מס)יכולת כימות של הבקרה הפנימית •
(עובדות
ביטחון כי הבקרות הכן עובדות כפי שנדרש•
![Page 26: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/26.jpg)
בקרה פנימית מתמשכתהמאפיינים הטכנולוגים של
לכלל מערכות המידע והפלטפורמות הקיימות " קלה"אפשרות גישה •
'וכו SAP ,Mainframe: כגון, היום בארגונים
אפשרות קיבוץ מידע ממספר פלטפורמות•
ניתוח מהיר של כמות נתונים בלתי מוגבלת תוך שמירה על הנתונים •
המקוריים
קבלת התראות על כשל בבקרות הקיימות באופן יעיל וידידותי •
למשתמש
לצורך תחקור הבעיות שעולות על ( (Drilldown" מעבר מהיר"ביצוע •
.מנת לבצע פעולות תיקון ומניעת החרפה של המצב
![Page 27: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/27.jpg)
ניהול החריגים
מנוהלים ומתבצע מעקב בגינם,החריגים מופצים באופן אוטומטי•
עוזר בצמצום ההשפעה השלילית של אותם חריגים על הפעילות העסקית•
עוזר לצוותי הביקורת והבקרה לתת ערך מוסף גבוה יותר לארגון•
![Page 28: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/28.jpg)
ACL
D/B Interface Connectionsfrom AX Core
Enterprise
Data
Exceptions distributed via web-based viewer
Apply proven analytics
Auditors & Audit LeadershipACL Specialist
SQL
ERP
Business Stakeholders
Centralized Audit Management• Engagement & Content Management
• Automation
• Analytic Processing
Manage All Types of Audit Content
ProjectsAnalytics
Data
ExcelWord
Crystal
Reports
Audio
PowerPoint
Results
![Page 29: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/29.jpg)
A C L C C M S O L U T I O N S
General
LedgerAccounts
Payable
Inventory
ManagementPayroll Other
Enterprise Business Processes
Accounts
Receivable
דוגמא לתהליך עסקי
PaymentsSub Processes
Requisitions Purchasing Receiving Payables Payments
Enterprise Business Processes
General
Ledger
Accounts
Payable
Inventory
ManagementPayroll OtherAccounts
Receivable
Accounts
Receivable
Accounts
Payable
Control Objectives
Completeness ValidityAccuracyAuthorizationSegregation of
DutiesRegulatory
Efficiency &
Effectiveness
PaymentsSub Processes Payments
Requisitions Purchasing Payables PaymentsPayments
Control Objectives
AccuracyAuthorizationSegregation
of DutiesRegulatoryAuthorization Validity
Analytics
Analytics Examples
Phantom
Vendors
Duplicate
Payments
Approval
Limits
Split
Payments
![Page 30: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/30.jpg)
דוגמא של בקרות מובנות תהליך רכש ספקים (רשימה חלקית)
Test 1.2 Split Requisitions
• D: Identify cases where a larger requisition is segmented into two or more
requisitions to circumvent a purchasing limit.
• O: To ensure that requisitions authorized and valid by identifying split
requisitions intended to circumvent corporate authorization limits.
Test 1.4 Unauthorized Requisitioner
• D: Identify requisitions created by unauthorized persons.
• O: To ensure only authorized employees/ personnel are approving/generating
requisitions.
Test 2.2 Split Purchase Orders
• D: Identify cases where a larger PO is segmented into two or more POs to
circumvent a purchasing limit.
• O: To ensure purchase order authorization by identifying split POs designed
to circumvent purchase authorization guidelines.
![Page 31: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/31.jpg)
Test 2.4 Duplicate Purchase Orders
• D: Identify multiple POs over “X” days to the same Vendor with a similar amount.
• O: To ensure purchase order validity by identifying duplicate purchase orders to vendors.
Test 2.6 Segregation Of Duties – Creator Vs Approver
• D: Identify POs where the creator and approver are the same person.
• O: To ensure purchase order authorization and validity by identifying purchase orders created and approved by the same employee.
Test 4.1 Retroactive PO
• D: Identify cases where the invoice creation date precedes the PO creation.
• O: To ensure purchase order authorization, validity, and efficiency and effectiveness by identifying purchase orders are created after invoice entered.
רשימה )דוגמא של בקרות מובנות תהליך רכש ספקים
(חלקית
![Page 32: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/32.jpg)
Test 4.3 Suspect Invoices – Invoice Sequences
• D: Identify where invoice numbers from the same vendor are sequential or nearly sequential.
• O: To ensure invoice and vendor validity by identifying invoices where number sequencing is disproportionate to delivery time.
Test 4.6 – Payments to Prohibited Vendors
• D: Identify payments to vendors found in the OFAC listing.
• O: To ensure invoices authorized for payments are for authorized vendors.
Test 4.7 – Employee / Vendor Match
• D: Identify invoices where an employee name or address matches vendor information.
• O: To ensure employees are not also listed as vendors.
רשימה )דוגמא של בקרות מובנות תהליך רכש ספקים
(חלקית
![Page 33: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/33.jpg)
חיסכון בעלויות
אופטימיזציה של
הביצועים העסקיים
ניהול הסיכון על בסיס
עלות תועלת
יעילות תפעולית
הפחתת הסיכון למעילה
לסיכום
מערך בקרה פנימי אפקטיבי מתמשך חוצה ארגון התומך בציות להוראות חוק
תוך הגברת ביצועיו העסקיים
פנימית )ביקורת שוטפת
(וחיצונית
תהליך מתמשך של ציות
לרגולציות
לציות דרישות
בקרה
פנימית
מתמשכת
CCM
צמצום הזמן שנדרש
לדיווח וחתימה על
הדוחות הכספיים
![Page 34: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/34.jpg)
...מידע נוסף www.almo.co.il–' וושתאתר אלקלעי מונרוב •
:של גרטנר בנושא בקרה פנימית מתמשכתמחקר •
•-http://www.gartner.com/technology/media
.html125/article125products/reprints/oracle/article
:סקר לשכת המבקרים הפנימיים בנושא שימוש בתחקור נתונים כחלק מביקורת ובקרה פנימית•
•spotting-trend-/august/software2009feature/-http://www.theiia.org/intAuditor/free/
:כלי בקרה ותחקור נתונים הדור הבא–מאמר •
•audit-internal-38art/-http://www.almo.co.il/pro
:הבינלאומי ISACAאתר •
•https://www.isaca.org/search/Pages/ResultsAjax.aspx#CCM
:ACLאתר חברת •
•http://www.acl.com/
•CCM - Continuous Control Monitoring - William P. McNeill, Research Analyst for
AMR Research:
•pMsM4http://www.youtube.com/watch?v=EyFJhu
- CCM"בקרה פנימית מתמשכת"מה זה • Continuous Control Monitoring - (סרטון לצפייה:)
•http://bit.ly/cMnKLL
34
![Page 35: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/35.jpg)
35
"In theory, there is no difference
between theory and practice. But,
in practice, there is."
Jan L.A. van de Snepscheut
![Page 36: Continuous Control CCM תכשמתמ תימינפ הרקב םינוגראל עייסל](https://reader034.vdocuments.site/reader034/viewer/2022052013/62864d311e2c171f17227283/html5/thumbnails/36.jpg)
CISA ,CIA, ח"רו, גיא מונרוב
054-5615671: נייד, 03-6125612: משרד
[email protected] ,www.almo.co.il
תודה על ההקשבה
?שאלות