DrorAviv homepage

אחריות רואה החשבון בענין ביצוע ביקורת מערכות מידע ממוחשבות

להלן רשימות מתוך הרצאה בנושא אחריות רואה החשבון בענין ביצוע ביקורת ענ"א. ההרצאה התקיימה בכנס ירושלים לחשבונאות 3991/21. יודגש שמדובר ברשימות, ולא במאמר סדור.

תוכן

  1. מטרת עבודת רואה החשבון
  2. השפעת המיחשוב על עבודת הביקורת החיצונית
  3. הדגשים בעבודת הביקורת של רואה החשבון
    1. טכניקות ביקורת ועיתויין
    2. ניירות עבודה וראיות
    3. סקר בקרה פנימית והסתמכות על מבקר פנים
    4. נוהל דיווח - ספרים תקינים
  4. סיום

1. מטרה

תפקידו של רואה החשבון הוא לחוות דעה האם הדו"חות הכספיים של הגוף המבוקר משקפים באופן נאות בהתאם לכללי החשבונאות המקובלים את מצב עסקי הגוף המבוקר.
המיחשוב מורכב ככל שיהיה, אינו משנה את מטרת תפקידו של רואה החשבון. המיחשוב, כאמצעי בארגון המבוקר, משפיע על שיטות העבודה ועל הסיכונים שבארגון.
פועל יוצא מכך, שיטות העבודה של רואה החשבון, טכניקות הביקורת שלו ועיתוי הביקורת, אף הם משתנים. יודגש - השיטות, הטכניקות, העיתוי, ולא המטרות.

2. השפעת המיחשוב על הטכניקות

רואה החשבון הוא שיחליט כיצד בכוונתו לשנות את הטכניקות!
51-ASI תומך ומאשש גישה זו. לשם כך, על רואה החשבון להבין באופן מספק את המערכת, זרימת הנתונים בה, הבקרות המובנות בה, והסיכונים שיכולים להיות בה. מובן, שלשם כך עליו לבצע בדיקות במערכת לראיין אנשי מחשב, לראיין משתמשים, לעיין בספרי הניתוח ובספרי ההדרכה של המערכת. כללים אלו תקפים, גם כאשר מדובר בתוכנת מדף או בתוכנה קנויה.
כדי שרואה החשבון יעשה זאת עליו להיות בעל רקע מקצועי מתאים, כך שיוכל להנחות ולפקח על עבודת הביקורת בסביבה הממוחשבת. רואה החשבון יכול להסתייע באיש מקצוע העוסק בתחום ביקורת מערכות המידע הממוחשבות. המומחה יכול להיות עובד של רואה החשבון ויכול להיות נותן שירותים (קבלן). למרות זאת רואה החשבון חייב שיהיו לו כלים להבנת עבודתו של המומחה, לבחינת סבירות ההנחות, לדעת לשאול את השאלות הנדרשות, להפנות אותו לנושאים ולדגשים שלדעת רואה החשבון נחוצים כדי שיוכל לחוות דעתו.

מומחים
11-SAS העוסק בהסתמכות על מומחים קובע כי על רואה החשבון לבחור את המומחה או לפחות להשתתף בבחירת המומחה, ועליו לבדוק את הנושאים הבאים:

  • הכשרתו וסמכותו של המומחה (הכשרה והרשאה)
  • שמו ומעמדו של המומחה
  • הקשר שלו ללקוח (אי תלותו)
  • היכרות המומחה את הלקוח (עובד לשעבר)

מה על רואה החשבון לבצע:

  1. לוודא שהמומחה קיבל הנחיות ופרטים לגבי נושא עבודתו והיקפה
  2. מהן השיטות וההנחות שבעבודת המומחה, והיותן סבירות ומתאימות
  3. קביעת הקשר בין המומחה לבין הלקוח
  4. השוואת השיטות שנקט המומחה לעומת שנים קודמות
  5. לוודא שהמומחה יודע, שרואה החשבון יסתמך על עבודת המומחה, במתן חוות הדעת על הדו"חות הכספיים
  6. בחינת סבירות תוצאות עבודת המומחה, היכולת להשוותן, וניתן להסתמך עליהן.

אם יסתבר כי נפלה טעות בעבודת הביקורת, ורואה החשבון לא פעל בצורה המתוארת לעיל, ולא בחן את סבירות עבודת המומחה, תחול על רואה החשבון אחריות בנוסף לאחריות המומחה.

3. הדגשים בעבודת הביקורת של רואה החשבון

I. טכניקות ועיתוי הביקורת

אבן, נייר ומחשב: כשנעשתה הנהלת החשבונות על גבי אבן נעשתה בדיקתם בטכניקה ההולמת, כאשר נעשתה הנהלת החשבונות על גבי נייר נעשתה בדיקתם בטכניקה המתאימה לנייר, כעת כשעושים הנהלת חשבונות במחשב יש לבצע ביקורת במחשב.
אחד ההבדלים המהותיים בין המערכות הידניות למערכות הממוחשבות, הוא נתיב הביקורת (LIART TIDUA). במערכות הידניות כל פעולה לוותה בנייר ועליו חתימות. ניתן היה לראות כל פעולה מי ביצע אותה, מי אישר אותה, ניתן היה לזהות כתבי-יד ואפילו סוגי דיו.
במערכות הממוחשבות, ככל שהן מתוחכמות, אין לנו נתיב ביקורת. במערכות IDE תהליך עבודה שלם וגדול יכול להתחיל בלחיצת כפתור מחוץ לגוף המבוקר (למשל: אצל לקוח) ולהסתיים מחוץ לגוף המבוקר (למשל: אצל ספק), ללא נייר וללא שמישהו מהגוף המבוקר יראה את התהליך.
למעשה, במקום זרימת טפסים אנו עוברים לזרימת אלקטרונים.
ככל שהמערכות מתוחכמות כך על המבקר לנקוט טכניקות ביקורת מתוחכמות יותר. במערכות מהסוג שתואר לעיל, שימוש בתוכנת ביקורת כפי שמוצג בכנס זה, אינו מספק ויש לנקוט טכניקות כגון: GNICART (מעקב) TOHSPANS (מארב).
רואה החשבון לא יצא ידי חובתו אם ישתמש אך ורק בתוכנת ביקורת, עליו לישם טכניקות נוספות.
51-ASI מדבר על כך שעל רואה החשבון להפעיל שיפוט בעיצוב פרוצדורות המקטינות את סיכוני הביקורת לרמה נמוכה באופן מתקבל על הדעת.

II. ראיות וניירות עבודה

על רואה החשבון לבסס את חוות דעתו בראיות ביקורת ובניירות עבודה.
אנו מדברים על מערכות מתקדמות ללא נייר, ואילו רואה החשבון צריך לבצע את עבודתו בשיטות ארכאיות, להתבסס על ניירות אם כי נטולי עץ.
המצב כיום בדיני הראיות הוא, שפלט מחשב יכול להיחשב כראיה משפטית (לא ביקורתית) אם הוא ספר בנקאי כלומר דף חשבון שבשעת רישומו המקורי הוא שימש באופן רגיל בבנק, ופקיד בנק אישר שהיא תואמת לרישום המקורי.
בת.פ. 28/1832 מדינת ישראל נ' אבוגניס (נדון בבית המשפט השלום בירושלים), שבו הואשם הנאשם באי דיווח עסקאות למע"מ, נכתב על ידי כבוד השופט רביד:

השימוש המתרבה והולך במחשבים מצריך שינוי, אם לא מהפיכה, בדיני הראיות. שכן אופן הרישום, עיבוד הנתונים וקבלת התוצאה על ידי פלט המחשב - שונים בתכלית השינוי מהדרך שבה נעשה שימוש במסמכים המקובלים עד היום.

זוהי אמרת אגב שנאמרה לפני כ-11 שנים וכוחה יפה לה גם עתה.
תזכיר הצעת חוק המחשבים התשנ"א-1991 מרחיב את ה"רשומה הבנקאית" ל"רשומה מוסדית" , שהיא מסמך, לרבות פלט, אשר נערך על ידי עסק או על ידי "רשות ציבורית". כדי ש"רשומה מוסדית" תוכר כראיה (משפטית) יש להוכיח גם את אמינות הבאים:

  • תהליכי ההזנה, הקליטה, האחסון,העיבוד והפקת הפלט של המחשב;
  • התוכנות והחומרות, אשר פועלן נוגע להפקת הפלט;
  • אמצעי ההגנה של המידע מפני חדירה או שיבוש.

הרחבה זו עודנה מתייחסת לנייר, ולא למדיה מגנטית או אופטית, כאל ראיה. הרחבה זו מתייחסת לפלט הנייר בצורה ספקנית ודורשת בדיקה של המערכת הממוחשבת.
הגדרות אלו מעוררות שאלות לגבי הראיה הביקורתית, וההסתמכות על פלט (נייר) המחשב בלבד.
אדגיש שוב את השאלות:

  • האם אך ורק פלט הנייר מהמחשב יכול להיות ראית ביקורת ? מצוי - כן ; רצוי לדעתי - לא
  • האם פלט הנייר מהמחשב כשלעצמו יכול להוות ראית ביקורת, ללא כל בדיקות ואימותים נוספים ? מצוי - כן ; רצוי לדעתי - לא


אמחיש:
בעת הרצת דו"ח על המערכת האמור לשלוף חריגים, וקבלת פלט נייר ובו כתוב אין אוכלוסיה בדו"ח, קרי: לא נמצאו חריגים. האם פלט נייר זה מהווה ראית ביקורת? אולי הגדרת הדו"ח שגויה? אולי הדו"ח סרק קבצים שגויים או קבצי ניסוי? אגב, כדי להקשות, מה קורה אם רואה החשבון מתקשר טלפונית אל הלקוח ומבקש ממנו להריץ דו"ח, ולהעביר אליו בפקס את פלט הדו"ח. האם נייר הפקסימיליה שנתקבל מהווה ראית ביקורת? מה קורה אם יש לנו כרטיס מודם-פקס ובכך אנו מקבלים קובץ במחשב. האם קובץ זה הוא ראית ביקורת?
ניתן לתקוף ולומר, שאנו רואי חשבון, כלומר עלינו לראות בעין. אנו יכולים לראות פלט נייר, ולא סימני צריבה של קרן לייזר. על זה אשיב: לצערי רבים מאיתנו לא יכולים לראות פלט נייר ונזקקים למתקני עזר, כגון: משקפיים ועדשות מגע. גם קריאת מיקרופישים ומיקרופילם אנו מבצעים באמצעות מקראות מיוחדות. אין סיבה של נשתמש בעזרים נוספים כדי לקרוא סוגי מדיה אחרים.
תרצו אולי "סקס שקרים ווידיאוטייפ", עד כמה משקף הוידיאו את המציאות המוצגת באמצעותו, ומצולמת על ידי הצלם, אשר ראייתו הינה מבעד לעינית המצלמה בלבד.
בסרט "חוזה השרטט" של פיטר גרינוואי, מוצגת בצורה נאה התיזה הבאה: האומן אינו מעלה על הבד כל מה שעיניו קולטות, אלא רק אותם דברים, שהם משמעותיים לתפישתו, בבחינת עיוורון כלפי התבן כדי לבור ממנו את הבר.
השאלות בדבר הראיה הן הביקורתית והן המשפטית, הינן מורכבות, ואני מקווה שלשכת רואי חשבון בישראל תפעל להגדרת הנושא הן ברמת החקיקה הראשית, והן ברמת תקני הביקורת, ונוהלי הביקורת.

III. סקר בקרה פנימית והסתמכות על המבקר הפנימי

אציין כי בהנחיה 01 של לשכת המבקרים הפנימיים בישראל ישנם הקווים המנחים את פעולות מבקר הפנים.
(אציין שחלק מהנאמר בנושא זה מסתמך על 9-SAS ועל מאמרו של מנחה המושב רו"ח טלמון, שפורסם בבטאון "רואה החשבון" פברואר-מרס 9791)
ככלל, ישנו הבדל בין ביקורת חיצונית, שהיא בעיקרה חשבונאית-פיננסית ומשרתת גורמים שהמבקר אינו מכירם, לבין ביקורת פנימית, שהיא בעיקרה ניהולית ומשרתת את מי שמינה את המבקר ומוכר לו.
למרות שהמטרות והגישות של הביקורות שונות זו מזו, הרי שלשני המבקרים אותה דרך, והיא בחינת האפקטיביות של מערכת הבקרה הפנימית בגוף המבוקר ואמינותה. דרך זו היא הבסיס לשיתוף הפעולה בין המבקר החיצוני לבין המבקר הפנימי.
תקני הביקורת המקובלים דורשים מרואה החשבון לערוך סקר על מידת הבקרה הפנימית בגוף המבוקר. מנקודת ראותו של המבקר החיצוני, ההסתמכות על הביקורת הפנימית הינה מוצדקת מכיון שהביקורת הפנימית הינה חלק ממערך הבקרה הפנימית.
9-SAS קובע כי משמעות ההסתמכות של המבקר החיצוני על המבקר הפנימי היא בקביעת היקף בדיקותיו, בשינוי אופיין של בדיקותיו ובעיתויין.
עבודת המבקר הפנימי אינה יכולה לשמש תחליף לעבודת המבקר החיצוני.
משמעות הדבר היא שרואה החשבון אינו יכול להחליט כי אינו צריך לערוך ביקורת מערכת מידע ממוחשבת משום שהתרשם כי שהמבקר הפנימי הוא בעל הכשרה, כישורים וניסיון רבים, בנושא ענ"א וביקורת ענ"א.
רואה החשבון יכול לשנות היקף ביקורת, יכול לשנות אופי ביקורת, ויכול לשנות את עיתוי הביקורת. כל זאת לאחר שערך סקר בקרה פנימית.

VI. נוהל דיווח: ספרים תקינים

בחוות דעת המבקר על רואה החשבון לציין אם נוהלו ספרים תקינים. הוראות ניהול ספרים, ניסו להגדיר ולהתייחס לספרים תקינים במערכות מידע ממוחשבות תוך שימוש בהגדרות של "קובץ זמני" ו-"קובץ קבוע". נוהלי הביקורת אינם מתייחסים למערכות ממוחשבות.
למרות זאת, אין להסיק כי ספרים פירושם אך ורק פלטי נייר של המערכת החשבונאית בגוף המבוקר, אלא גם הקבצים המרכיבים אותם.

על לשכת רואי חשבון לעדכן נוהל זה, אך על רואה החשבון מוטלת החובה לבדוק את הקבצים לסוגיהם.
בנקודה זו אציע הגדרה זמנית כדלקמן:

"ספרים הם לרבות כל הקבצים המכילים תנועות ו/או יתרות המופיעות בדו"חות הכספיים המבוקרים, וכן את הקבצים המכילים נתוני אסמכתא לתנועות ו/או ליתרות, וכן את הקבצים המקושרים באופן ישיר לקבצים אלו, וכל קובץ שלדעת רואה החשבון הוא ספר."

להמחשה: קבצים של ספר ראשי, פקודות יומן וכן קבצים של קבלות, המחאות, נתוני ספקים, נתוני לקוחות וכדו'. כמו כן, קבצים נוספים שקבצים אלו מקושרים אליהם, אם על ידי מפתחות ואם על ידי מצביעים (SRETNIOP). אציין כי הגדרה זו מכילה גם טבלאות.

בכל מקרה על רואה החשבון להחליט האם יש להתייחס לקבצים נוספים. על הקבצים להיות שלמים, רציפים אמינים, ושניתן להפיק מהם פלטי נייר המקיימים את הנדרש בנוהל דיווח ספרים תקינים.

4. סיום

אצטט ממאמרו של רו"ח יצחק רוטמן, נשיא לשעבר של לשכת רואי חשבון בישראל, שפורסם בבטאון "רואה החשבון" יוני 7791.
א. המחשבים וענ"א הופכים להיות חלק ומרכיב חשוב יותר ויותר בעיבוד נתוני העסק; עדיין אקטואלי
ב. מערכות ענ"א נעשות יותר ויותר מתוחכמות; עדיין אקטואלי
ג. מהמבקר יידרש ליותר וליותר ידע לצורך ביקורת מערכות ענ"א; עדיין אקטואלי
ד. על המקצוע להיערך לכך על ידי הכשרת מבקרי ענ"א (החל להתבצע) והרחבת ההכשרה האוניברסיטאית הראשונית (עדיין אקטואלי) . יש לכלול בתוכנית בחינות המועצה, בחינה מיוחדת בנושא ביקורת ענ"א; מתבצע
ה. המבקרים בעלי ידע כללי בנושא יכולים עדיין לבצע מספר ניכר של נוהלי ביקורת באמצעות טכניקות שאינן דורשות ידע רב.
(אני מקווה שהעובדה שדברים שנכתבו לפני כ-61 שנים ועודם אקטואליים, אינם מלמדים על קפיאה על השמרים).