- שנה: 1984
- מחבר: משה פינקלשטיין
- מו"ל: איגוד מבקרי מערכות ענ"א בישראל
- פורמט: ספר
- נמסר ע"י: משה מלמד
- תגיות: ביקורת מערכות מידע
OCR (הסבר)
דהה החדהה הקלחהה ה-א וקל יאוויק הדדיהוהח קל ףג הדליה ורהנ זוההרהללההממנימלרמ דה היהו קיש ההקיקוולהיהקקירי ריר
שש 0 ל 1% שרי ה ו ל
/ עשי 0 שי ו קב ףלר וי : ₪ 5 -
= משה פינקלשטיין
כלים וטכניקות לביקורת
הערכות הידע המוהשכות
1
| 4 0
10
כלים וטכניקות לביקורת
מערכות מידע ממוחשבות
משה פינקלש ט'"ין, רואה חשבון, 0154
בהוצאת איגוד מבקרי מערכות ענ"א בישראל, תל-אביב, 1984
עריכה גרפית: מוטי זיו
סדר: מסדרת הארץ
9 1984 כל הזכויות שמורות למחבר
אין לצלם, להעתיק או לעשות כל שימוש אחר בספר זה
או בחלקים ממנו ללא קבלת רשות מהמחבר.
לציפי, רעייתי, ולהורי - באהבה
תודתי נתונה לכל אלה שסייעו בידי להוצאתו לאור של ספר זה.
: תודה מיוחדת נתונה:
לבנק דיסקונט לישראל בע''מ ולמשנה למנהל הכללי, מר ליאון רקנאטי.
למר רוג'ר ברקי, נשיא איגוד מבקרי מערכות ענ'"'א בישראל.
₪
וו ו יוו וו ורוו ייה %5. 9 תתתתתתתרברה הבכרה תומאה ההההם 0
על המחבר
משה פינקלשטיין משמש עוזר המבקר הפנימי הראשי של בנק דיסקונט
לישראל בע"מ, בנושאי ביקורת ובקרה במערכות מידע ממוחשבות וביקורת
באמצעות המחשב.
בשנים 1975-1981 שימש כמנהל היחידה לביקורת ענ"א באגף הביקורת
הפנימית של הבנק, ועסק בפיתוח ובניהול היחידה, העוסקת במיגוון תחומי
הבקרה והביקורת של המערכות הממוחשבות בבנק.
הוא בוגר אוניברסיטת תל-אביב במגמות חשבונאות וכלכלה, ובעל רישיון
רואה חשבון ותעודת מנתח מערכות למחשבים אלקטרוניים.
בשנת 1979 קיבל תעודת הסמכה של "מבקר מערכות מידע ממוחשבות
מוסמך"(6.1.5.4) מטעם האיגוד הבינלאומי לביקורת ענ"א פ5סידוסט ג .=.ס.2)
(אס411פא 0ס? בארה"ב.
משה פינקלשטיין הינו' סגן נשיא איגוד מבקרי מערכות ענ"א בישראל,
ובתוקף תפקידו תורם רבות להגברת המודעות לנושא הביקורת והבקרה
במערכות מידע ממוחשבות. הוא מרבה להרצות בנושאים אלה בקורסים,
בכנסים ובהשתלמויות מקצועיות. בשנת 1982 החל ללמד נושא זה בחוג
לחשבונאות באוניברסיטת תל-אביב.
פירסם מאמרים מקצועיים בנושאי ביקורת ובקרה במערכות ענ"א, ולאחרונה
ערך מחקר בנושא: טכניקות לביקורת ענ"א, מידת השימוש בהן, התאמתן
למטלות הביקורת ויעילותן.
.2
תוכן העניינים
1741
42
3
14
21
222
233
1.1
|22
|13
2]
202
ומת
22
13
24
[1
[|22
[23
31
[|12
[3
2.1
2.122
מבוא
הקדמה
מחקרים בנושא טכניקות לביקורת ענ"א
מטרת הספר
כלי ביקורת וטכניקות ביקורת
למי מיועד הספר
תהליך ביקורת של מערכת יישום ממוחשבת
שלבים בתהליך הביקורת
ביקורת מסביב למחשב וביקורת דרך המחשב
ביקורת מסביב למחשב
ביקורת דרך המחשב
קריטריונים לבחירת טכניקות ביקורת
טכניקות לתיכנון הביקורת וניהולה
דרוג מערכות לביקורת (2ח1ז560)
סקירה כללית
שלבי יישום
יתרונות השימוש בטכניקה
מגבלות בשימוש בטכניקה
בחירת תחום/ שטח הביקורת
(ח56166010 4:63 /4001)
סקירה כללית
שלבי יישום
ניתוח ארוע
זס)ת6) 060606
סקירה כללית
יתרונות ביישום הטכניקה
מגבלות ביישום הטכניקה
6ז )50 ]401 15106)[ט1/
סקירה כללית
שלבי יישום
עמוד
14
155
155
16
8
8
פך
פך
2
2
23
24
26
26
26
26
ו3
31
2
|12
|12
33
34
34
55
55
355
55
6
4
441
22
43
44
5
6
41
2
3
.6
1
2
3
[|21
212
23
24
5
6
27
1
2
3
4
5
6
ו.6.1
22(
3
4
5
[21
2.2
23
31
2
3
|54
5
|26
שאלוני ביקורת
מבוא
יתרונות השימוש בשאלוני ביקורת
ניסוח השאלון
תשובות לשאלון
השאלון כאמצעי להערכה
בניית פרופיל הערכה כללית
גישת המטריצות לזיהוי, לתיעוד
ולהערכה של בקרות
מבוא
שלבי יישום
הכנת מטריצה בסיסית של רכיבים ואיומים
זיהוי הבקרות הספציפיות המתאימות למערכת
תעוד הבקרות במטריצה
הערכת הבקרות
הכנת דו"ח ביניים על הערכת הבקרות
אימות ובחינה של המערכת
כתיבת דו"ח מסכם
מודלים של דרוג בקרות (בליווי המחשה)
הקצאת ניקוד לבקרות
סימון הבקרות והניקוד במטריצה
קביעת ציונים כלליים לבקרות
חסרונות מודל ניקוד הבקרות
ניקוד עלויות
דרוג בקרות על בסיס עלות תועלת
טכניקות לבדיקה של תוכניות
יישום ממוחשבות
נתוני בדיקה (23)8 )1765)
סקירה כללית
הידע הנדרש מהמבקר
שלבים ופעילויות ביישום הטכניקה
חסרונות הטכניקה
ניתוח ארוע
מחולל נתוני בדיקה
)765+ 128) )100018)07(
סקירה כללית
תאור זרימת מהלכים של תוכנה ספציפית
דוגמא לשימוש בטכניקה
(-117) 1461110105 1654 3160 ז00)ח]
סקירה כללית
שלבי יישום
שיטות יישום
שיטות לעיקור השפעת נתוני
הבדיקה על נתוני הייצור
יתרונות הטכניקה
מגבלות הטכניקה
17
17
17
|08
8
39
|39
55
155
15
466
217
17
18>
19
51
ו5
51
2
2
3
14
55
55
7
7
7
8
8ַג'
0(
1
33
3
4
55
.8
.>.8
.08
9
70
70
70
4
5
1
2
3
(|41
42
3
|44
5
6
6.4.1
.->%42
1
2
3
1
2
3
4
5
6
11
12
2.11
2
3
121
|12
3
141
2
3
0.1
2
חסו) הט וח6)ץ5 0256 356
(8.6.5.5)
סקירה כללית
שלבי יישום
סימולציה
(ח10)ג!טחוו5 )
סקירה כללית
שלבי יישום
ניתוח ארועים
טכניקות לאימות ושליפה של נתונים
חבילות תוכנה לביקורת
הצורך בחבילות תוכנה
סוגים של חבילות תוכנה
מאפיינים כלליים של חבילות תוכנה
הדגמת שימוש בחבילת תוכנה
השוואת חבילות תוכנה
שיקולים בבחירת חבילת תוכנה
תוכניות שרות (פוחבזפסזע 1111 ז)
שרותי שיתוף זמנים
(507%1605 שתוזב 5 סהזיד)
טכניקות לניתוח תוכניות
יישום ממוחשבות
סקירת לוגיקת תוכנית
(ו15616 1,016 ותה זקסזק)
סקירת תרשים זרימה לוגי של תוכנית
(או16ץ6ל] )זבת-) או1110 ותהזשסז)
סקירה כללית
המחשת השימוש בטכניקה
מארב ()80510ח5)
סקירה כללית
שלבי יישום
המחשת שימוש בטכניקה
מעקב (8ח!86ז1)
סקירה כללית
שלבי יישום
המחשת שימוש בטכניקה
מיפוי (קַחוקכג1א)
שסקירה כללית
שלבי יישום
המחשת שימוש בטכניקה
תוכנה להשוואת תוכנית
(816/ו)/50 ת150ז3קות0-) הזבּזקסז)
סקירה כללית
המחשת שימוש בטכניקה
ו7
ול
ו7
2
2
3
4
9
9
79
00
20
55
1
94
5
06
17
17
18
08
108
14
14
155
16
108
|18
109
109
120
120
2
12
3
3
3
סו
וד
7
91
12
3
4
5
1041
12
13
14
תרשימי זרימה במערכת מידע ממוחשבת
ו.877 מבוא
2 תרשים זרימת יישום (6-2311 +ו110 ח168110!קק )
3 תרשים זרימת בקרות (6.2314 10% 01ז1ח6-0)
טכניקות לבחירה ולהשגחה על תנועות
המעובדות במערכת יישום ממוחשבת
מודולי ביקורת (165ט100/ )₪01 4)
בחירת תנועות (ת56160010 5860/108ח4ז1)
1 סקירה כללית
2 המחשת שימוש בטכניקה
3 שלבי יישום
4 מגבלות הטכניקה
ח0ו)01166-) 12313 ]4101 060066 וח
1 סקירה כללית
2 אלמנטים ביישום הטכניקה
3 יישום הטכניקה
רשומות מורחבות (1]%660:05 6066ח6ו0%)
41 סקירה כללית
2 שלבי יישום
5 56160166 שתוקקה ד
טכניקות לביקורת התיפעול והתחזוקה
של המערכת
מבוא
שחו ]
3 =פחו 660
1 סקירה כללית
2 שלבי יישום
בעיות הכרוכות ביישום הטכניקות
טכניקות ביקורת בשלבי פיתוח של מערכות
מידע ממוחשבות
קווי בקרה מנחים לשימוש במהלך פיתוח
מערכות מידע ממוחשבות
1 מבוא
2 קטגוריות בקרה
3 רשימות תיוג של בקרות
4 ניתוח ארוע
מחזור חיים של פיתוח מערכת מידע
ממוחשבת (521.6)
1.2.1 מבוא
2 הדגשי בקרה וביקורת
43 שלבים בתהליך הפיתוח של מערכת
מידע ממוחשבת
4 גישות למעורבות המבקר בתהליך הפיתוח
7
17
8
33
139
39
139
139
140
ו14
ו14
ו14
ו14
112
12
13
13
15
15
117
17
117
117
10108
149
10
10
10
10
ו5ו
15
107
17
107
108
19
143 ביקורת לאחר היישום
(40010 ח5)3113)10ה205+1)
1 סקירה כללית
2 מי יבצע את הביקורת לאחר היישום?
3 שלבי יישום
2. כלים וטכניקות לביקורת במערכות
מסדי נתונים
11 קשיים ביישום כלים וטכניקות מקובלים
2 התיחסויות בתיכנון ניסויי ביקורת
13 גישות לפיתוח וליישום של טכניקות ביקורת
14 דוגמאות של כלים וטכניקות לביקורת
33. כלים וטכניקות לביקורת במערכות
מיני מחשבים
131 סקירה כללית
1 תוכניות שרות של מערכת ההפעלה
2 שפות תיכנות
3 אמצעי יישום
4 תוכניות שרות במערכות המבוססות על
מסדי נתונים
4. נספחים
4 שאלון לביקורת מערכות מידע ממוחשבות
12 מחקרים בנושא טכניקות לביקורת ענ"א
13 ביבליוגרפיה
14 מילון ומפתח מונחים
176
6
7
8
19
179
100
100
100
112
12
112
13
13
133
144
15
202
24
27
12
טבלאות, תרשימים, תדניסי תוכניות ודו"חות
נושא סוג
טכניקות לביקורת ענ"א - הכרה ושימוש תרשים
תהליך ביקורת של מערכת יישום ממוחשבת תרשים
איפיון מערכת מידע ממוחשבת טבלא
נייר עבודה להשוואה ולדרוג מערכות מידע
ממוחשבות טבלא
איפיון קריטריונים לביקורת ניהול מזומנים בבנק טבלא
דרוג סניפים לביקורת ניהול המזומנים דו"ח
בניית פרופיל הערכה כללית של מערכת טבלאות
מטריצת רכיבים ואיומים טבלא
סימון בקרות במטריצה טבלא
מטריצה סופית טבלא
הערכת משבצות ספציפיות במטריצה טבלא
הערכת בקרות המגינות מפני איום טבלא
הערכת בקרות המגינות על רכיב טבלא
מטריצה סופית עם המלצות טבלא
ניקוד בקרות במטריצה טבלא
קביעת ציונים כלליים לבקרות טבלא
מחזור עיבוד של נתוני ייצור ומחזור עיבוד
של נתוני בדיקה תרשים
נייר עבודה לתיעוד נתוני בדיקה טבלא
הדגמה ליישום טכניקת ה-234 )7658 טבלא
תאור לוגי של טכניקת
)6 )23 650 תרשים
זרימת מהלכים של תוכנה ספציפית ליצירת
נתוני בדיקה תרשים
ספציפיקציות (דרישות) ליצירת נתוני בדיקה תדפיס
תוכנית
הודעות המחשב לאחר ביצוע הדרה תדפיס
(קומפילציה) תוכנית
נתוני בדיקה שהופקו באמצעות .6..ד דו"ח
דף חשבון שהופק על ידי תוכנית יישום - מקרה 1 דו"ח
פלט תוכנית סימולציה - מקרה 1 דו"ח
דף חשבון שהופק על ידי תוכנית יישום - מקרה 2 דו"ח
פלט תוכנית סימולציה - מקרה 2 דו"ח
שינוי סדר מיון נתונים טבלא
יצירת קובץ תרשים
מהלך ה-0681/י (מילון נתונים) תרשים
פקודות ליצירת מילון נתונים תדפיס
מילון נתונים דו"ח
מהלך ה-ז6)ז0ק6 )4001 תרשים
פקודות להפקת דו"ח לצרכי ביקורת תדפיס
פלט מהלך ה-ז6)ז0ק6ת )4001 דו"ח
השוואת חבילות תוכנה לביקורת טבלא
תוכנית יישום לביצוע חישובי ריבית תדפיס
תוכנית
עמוד
7
20
8
10
3
14
3+
46
17
38
39
50
ו5
2
3
9
1
2
>4
4
55
6
[7
4
5
76
7
2
4
6
7
|08
|08
ּ:.9
20
2
9
5
6
877
18|
9ך-8-20,8
ו-וו
12
13
14
וד14
12
3
14
15
תרשים זרימה ממוחשב של תוכנית היישום
נקודת החלטה בתוכנית יישום
שילוב רוטינת מארב ()25₪10ְ503)בתוכנית
מחשב
דו"ח מארב (/5₪40510)
טכניקת מעקב (שחוסגזיך)
שילוב רוטינת מעקב בתוכנית יישום
שילוב רוטינת מעקב בתוכנית יישום
פלט המופק על ידי רוטינת המעקב
טכניקת מיפוי (שַחוקְקְּ1א)
קטע תוכנית יישום המנותחת ע"י תוכנת
מיפוי (קַחוקְקגּ1א)
דו"ח מיפוי (קַחושקגז[א)
תוכנית יישום 1 א3122/11154110ג/3/5/א1א
תוכנית יישום 2 א11154110/סט /3/5/ אזם
השוואת 2 תוכניות היישום - דוגמא 1
השוואת 2 תוכניות היישום - דוגמא 2
סמלים לתרשים זרימה
תרשים זרימת יישום
תרשים זרימת בקרות
התאמה על ידי המחשב של סיכומי פריטים
(020017015) הט 770 חטל])
מחזור חיים של מערכת מידע ממוחשבת
שלבים ופעילויות בפיתוח מערכת מידע ממוחשבת
מעורבות המבקר בפיתוח מערכת מידע ממוחשבת
שאלון מחקר - טכניקות לביקורת ענ"א
ריכוז כללי של התשובות לשאלון המחקר
ייעוד הטכניקות
אפקטיביות ויעילות הטכניקות
שימוש בטכניקות לביקורת ענ"א יותר מ-3 פעמים
ב-3 השנים האחרונות
דו"ח
תרשים
תדפיס
תוכנית
דו"ח
תרשים
תדפיס
תוכנית
תרשים
דו"תח
תרשים
תדפיס
תוכנית
דו"ח
תדפיס
תוכנית
תדפיס
תוכנית
דו"ח
דו"ח
טבלא
תרשים
תרשים
תרשים
תרשים
תרשים
תרשים
טבלא
טבלא
טבלא
טבלא
טבלא
12
14
1%6
107
108
סורו
13
14
120
ו2ו
12
4
5
16
7
19
312
117
13
19
סלור
15
202
206
208
20
22
13
14
מבוא
תפקיד המבקר עבר שינוי רדיקלי, והוא תופס מקום חשוב יותר, ככל שיותר פונקציות
באירגון הינן ממוחשבות, וככל שההנהלות מסתמכות יותר על מערכות אלה.
במסגרת אבולוציה זו המטרה הָכוללת של הביקורת היא לסייע להנהלה באחריותה
לוידוי הנושאים הבאים:
- שמירת נכסי החברה
- דיוק ואמינות של הנתונים החשבונאיים
- קידום היעילות התיפעולית
- התאמה של הפעילויות למדיניות החברה, לשיטות ולנהלים שנקבעו על ידה, לחוקים,
לתקנות וכד'
הדגש של הביקורת הועבר מהערכה ואימות ישירים של תוצאות העיבוד (כגון: קבצי
נתונים, רשומות ודו"חות) להערכה ואימות של הבקרות, אשר מבטיחות את המשכיות
הדיוק, היעילות והאמינות של תוצאות העיבוד. המעבר הוא מ"ביקורת מסביב למחשב"
ל"ביקורת דרך המחשב". המעבר היה נחוץ, מכיוון שרבות מהפעילויות, אשר יצרו
סיכומים, חישובים ומניפולציות של נתונים, הפכו להיות אוטומטיות ולא ניתן יותר
לבחנן ולאמתן באמצעות התבוננות ישירה.
על מנת להשיג את מטרות הביקורת, על המבקר להציג בפני ההנהלה מימצאים, ניתוחים,
הערכות והמלצות, שמטרתם להגביל את חולשות הבקרות, ולשפר את יעילות המערכות.
בעיות מרכזיות, אשר מקשות על ביצוע מטלות הביקורת הינן:
=הפיגור של הביקורת לעומת ההתפתחות הדינמית של הכלים והטכניקות לעיבוד
נתונים אלקטרוני.
שהעובדה כי הרחבת השימוש בכלים הממוחשבים וחיפוש אחר יישומים חדשים היו
והינם חשובים יותר להנהלות מאשר פיתוח ויישום של בקרות נאותות במערכות היישום.
על מנת לגשר על הפערים, על המבקר לבצע מספר פעולות:
א. לשפר את שיתוף הפעולה והתאום בין ההנהלה לבין פונקצית עיבוד הנתונים ולבין
המשתמשים, כך שתינתן תשומת לב לחשיבות הבקרות במערכות הממוחשבות.
ב. לדאוג להכשרה נאותה ולהתעדכן באופן קבוע בהתפתחויות בטכנולוגית עיבוד
הנתונים ובכלים ובטכניקות, אשר מעמידה טכנולוגיה זו לרשותו.
כל זאת על מנת להתמודד בהצלחה עם האתגרים ועם המטלות של ביקורת מערכות
המידע הממוחשבות.
1. הקדמה
1 מחקרים בנושא טכניקות לביקורת ענ''א
הרעיון לכתיבת הספר רקם עור וגידים לאחר מחקר, שנערך בשנת 1981 בארה"ב ומחקר
השוואתי, שערכתי בארץ לאחר פרסום המחקר בארה"ב. מטרת המחקרים היתה לרכז
ולפרסם נתונים לגבי המודעות לטכניקות ביקורת ענ"א, מידת השימוש בהן, התאמתן
למטלות הביקורת ויעילותן.
המחקרים לא התימרו לספק ניתוחים סטטיסטיים ומסקנות מושלמים כיצד להשתמש
בטכניקות ומתי. המטרה הייתה להכין ממידגם של מבקרים ריכוז נתונים על הטכניקות
ועל השימוש בהן, וזאת לאור נסיונם התאורטי והמעשי.
המחקרים התבססו על שאלון שכלל פירוט של 17 טכניקות לביקורת מערכות מידע
ממוחשבות, אשר פורסמו ב- ?₪2 4חג קַתווו244
מאת: 563110 [0זג?) 6חג ,40305 .1 4!גח0כ] ,%וצגכ] .8 ת00זסי)
וב" 6חג קחו0)ו6ט4 ,1979 .%)חג)תט4660/ 6ו[פט] 626701860 01 5011006ת1 תה16ז6חז, 6ת+
166011065 )401, 45515066 ז6)גוקו 0-0" 620106 קתו)תט600
השאלון בארה"ב נשלח לאוכלוסיה של 98 מבקרי ענ"א, ומתוכם השיבו לשאלון 60
מבקרים (61%). 15 מהמשיבים היו רואי חשבון חיצוניים ו*45 "מבקרים פנימיים*. המחקר
בישראל התבסס על השאלון, שהוכן בארה"ב. לצורך המחקר נבחר מדגם של 114 רואי
חשבון ומבקרים פנימיים, אשר עוסקים בביקורת ענ"א, או עורכים ביקורת במערכות
מידע ממוחשבות. נתקבלו תשובות מ-51 נשאלים (44%) מהם 19 רואי חשבון חיצוניים
ו"32 מבקרים פנימיים.
כל מבקר, שנכלל במדגם, נתבקש לענות על 5 שאלות לגבי כל אחת מ-17 הטכניקות:
(1) האם הטכניקה מוכרת לך?
(2) לאיזו קבוצה של מבקרים רצוי, לדעתך, ליעד את הטכניקה (פנימיים או חיצוניים)?
(3) כמה פעמים השתמשת בטכניקה ב-3 השנים האחרונות?
(4) האם הטכניקה הייתה אפקטיבית (האם הפיקה את התוצאות הרצויות)?
(5) האם השימוש בטכניקה היה יעיל במונחים של זמן ועלות?
א 01 11 6760160 תג 1256 6031" ,.₪ ה00ז0) 8ויבכ] ,1 זב2) ה150ל0ד*
00 5ז0ז401 ?12 6ם] ]0 [התזטס1 ,ז0ו:46 12 16 -*65ח 6 דחו
2 ,1981 קחוזק5
155
16
ניתוח התשובות מצביע על מספר מימצאים בולטים:
(1) המבקרים מכירים באופן תיאורטי את מרבית הטכניקות.
(2) קיים פער גדול בין מידת הכרת הטכניקות לבין מידת השימוש בהן.
(3) הטכניקות מיועדות למבקרים פנימיים יותר מאשר למבקרים חיצוניים, אם כי לגבי
טכניקות מסויימות קיימים חילוקי דעות בין 2 קבוצות המבקרים.
(4) חלק מהטכניקות,שהן יותר בשימוש, דורגו כפחות אפקטיביות או פחות יעילות
מאלה, שלא נעשה בהן שימוש רב ולהיפך.
(5) טוכניקות לבחינת נתונים הינן בשימוש בתדירות הגבוהה ביותר, לאחריהן הטכניקות
הסטטיות לבחינת תוכניות לאחר העיבוד, ולבסוף הטכניקות הדינמיות לבחינת
תוכניות במהלך העיבוד.
(6) המודעות לטכניקות הביקורת והשימוש בהן גדולים יותר בארה"ב מאשר בישראל.
(7) טכניקות פופולריות בארה"ב ובישראל הן חבילות התוכנה לביקורת.
(8) שיעור השימוש בטכניקות ה-8ו23 )165 וה-11719 לניסוי ובחינה של תוכניות מחשב
גדול יותר בישראל, ואילו בארה"ב נעשה שימוש נרחב יותר בתוכניות שרות
ממוחשבות ובטכניקות, המשתמשות בטכנולוגיה מתקדמת יותר.
בתרשים מספר 1.1 מובאים נתונים גרפיים, המשקפים את תוצאות המחקר.
שאלון המחקר ונתונים מפורטים של התשובות, שנתקבלו, ברמות מיון שונות מובאים
בנספח מספר (14-2).
מהתשובות, שנתקבלו לשאלה: " האם הטכניקה מוכרת לך?", נראה לכאורה, כי המבקרים
בארץ מכירים את מרבית הטכניקות. אולם מניתוח של הערות, שצורפו לתשובות
לשאלון, בהתבסס על שיחות, שקוימו עם חלק מהמשיבים ומשיעור השימוש, הנמוך
יחסית, בטכניקות נראה, כי הכרת הטכניקות הינה די שיטחית ומבוססת בעיקר על
איזכורן בספרות, בסמינרים ובימי עיון.
2 מטרת הספר
בהתבסס על ממצאי המחקר כתבתי את ספרי, וזאת מתוך רצון לתרום את חלקי הצנוע
בהגברת המודעות לנושא הביקורת במערכות מידע ממוחשבות.
מתוך כך, ברצוני להציג בפניכם אפשרויות שימוש בכלים ובטכניקות לביקורת.
בספר רוכז מגוון של כלים וטכניקות, אשר ביכולתו לסייע למבקר בשלבים השונים של
עריכת הביקורת במערכות הממוחשבות.
הטכניקות מתיחסות לנושאים הבאים:
- תיכנון הביקורת וניהולה
- זיהוי, תיעוד והערכה של בקרות
- ניסויי בקרות
- אימות נתונים ושליפתם
- ניתוח תוכניות יישום ממוחשבות
-- בחירת תנועות המעובדות במערכת והשגחה עליהן
- ביקורת התיפעול והתחזוקה של מערכות ממוחשבות
- הביקורת בשלבי הפיתוח של מערכות יישום ממוחשבות
- הביקורת במערכות מסדי נתונים
- הביקורת במערכות מיני מחשבים
בצד תאור נרחב של הטכניקות ויעודן מובאים הדגמות וניתוחים רבים של השימוש
בטכניקות אלה הלכה למעשה. כמו כן מובאים גם שאלונים ורשימות תיוג, המיועדים
לשימוש המבקרים בעבודתם.
2 **=קק-ששש רכ -. 0-00 בוו הוה וו יור
%
- א,: 65:04 06006 :1-1 םוה
001
פצ
(=]
ו
מו
ד---ז
ן
₪ אס
ו
ו
1
ו
|
ור ב-
| סק צדו וודט [
7
1 יס ת - 3 כ =-
פס כ כ כ כ ספ (=)
4 זג דפפד
.5 סשקוואסדפטס |[ - /
5 ספקו ו הפאפם!
108 | 1 |
תדו |
ו
דג סאודאט 00 :
5 שססווא דוסטא !
אסודה וטואו | |
1 וד
| .6 .אוה 6שווד ו
| צהפטס .8.ס ן
---ת
ן
)----==
[ .5 א0ס8ו₪ ו 60
ב
ן 6אוסהחד
ד
.₪ סמסא=דא=
/
6 6066ם 010 ]| ו6 סט
א ₪606 0+
. א
40686 00000
8
3 כלי ביקורת וטכניקות ביקורת
כלי ביקורת הינם המכשירים והאמצעים, אשר נועדו לשימוש המבקר, והם מסייעים לו
ביישום מטלותיו.
ההגדרה של טכניקות ביקורת הינה יותר כללית, ומתיחסת לכלל המכשירים, הכלים,
השיטות והאמצעים, שבהם המבקר משתמש להשגת מטרות ביקורת.
במקרים מסוימים ההבחנה בין כלי ביקורת לבין טכניקת ביקורת היא די ברורה. לדוגמא:
"חבילת תוכנה" הינה כלי לביקורת, ואילו שליפת נתונים סלקטיביים וביצוע דגימות
באמצעות "חבילת תוכנה" הינם טכניקות ביקורת.
מאידך, לעיתים קרובות ההבחנה בין כלי לבין טכניקה היא קשה או בלתי משמעותית.
למשל: שאלון ביקורת מהווה כלי ביקורת, ואילו שימוש בשאלון הביקורת מהווה
טכניקת ביקורת.
מכיוון שההגדרה של טכניקות ביקורת כוללת גם את המכשירים והכלים, שבהם המבקר
משתמש, ההתיחסות בספר תהיה בעיקר למושג "טכניקות ביקורת".
4 למי מיועד הספרז
הספר מיועד למבקרי מערכות מידע ממוחשבות, לרואי חשבון ולמבקרים פנימיים. לכל
אלה יקנה הספר כלים וטכניקות לצורך ביצוע תפקידם בשלבים השונים של הביקורת.
הספר ינחם כיצד לתכנן את הביקורת, כיצד להשתלב במחזור הפיתוח של מערכות יישום
ממוחשבות, היכן להשיג את ראיות הביקורת הנחוצות לביסוס חוות הדעת ודו"ח
הביקורת וכיצד.
הספר מהווה מדריך מעשי ללומדים את מקצוע הביקורת בכלל ואת מקצוע הביקורת
במערכות המידע הממוחשבות בפרט.
למנהלים, אשר משתמשים בפונקצית הביקורת על מנת לפקח על התיכנון והביצוע של
העיבודים הממוחשבים, יקנה הספר ראייה והבנה מקיפות של האמצעים, בהם משתמש
המבקר לביצוע הביקורת. כפועל יוצא יסייע הספר להגברת המודעות של ההנהלה
לחיוניות הביקורת של מערכות אלה.
לאנשי עיבוד הנתונים, אשר מתכננים, מעצבים, בונים, ומתחזקים את המערכות, יספק
הספר מידע על הכלים והטכניקות להם זקוק המבקר. כמו כן יספק הספר הבנה של
המטרות, שלשמן מיועדות הטכניקות. הספר יטייע להגברת מודעותם לחשיבות של
מעורבות המבקר בפיתוח מערכות מידע ממוחשבות והצורך בשילוב כלי הביקורת בשלבי
הפיתוח של המערכות. כפועל יוצא יתרום הספר לשיפור יחסי הגומלין בין אנשי עיבוד
הנתונים והמבקרים, לשיפור אמצעי הבקרה, המשולבים במערכות ולהגברת היעילות
התיפעולית ואיתנות המערכות.
2 תהליך ביקורת של מערכת יישום
ממוחשבת
תהליך ביקורת של מערכת יישום ממוחשבת מתחיל בשלב בחינה מיקדמי, שמטרתו
להכיר ולהבין את מערכת היישום. התהליך מסתיים בדו"ח על ממצאי הביקורת, הכולל
הערכה של הבקרות וחוות דעת על נאותות התיפעול, חוקיות, תקפות וסבירות התנועות
המעובדות ואיזונים במערכת.
ביצוע מוצלח של הביקורת תלוי במידה רבה בטכניקות אשר זמינות למבקר. אין סט
קבוע של טכניקות ביקורת, שבהם יש להשתמש בכל מקרה. כמו כן, הטכניקות
והשיטות, שבהן משתמש המבקר בכל אחד מהשלבים בתהליך הביקורת שונות זו מזו.
המבקר חייב להשתמש בכושר השיפוט המקצועי שלו ובניסיונו, לבחירה של הטכניקות,
שבהן ישתמש על מנת לבקר את המערכת.
1 שלבים בתהליך הביקורת
תהליך הביקורת מורכב מ-9 שלבים עיקריים:
(1) שלב בחינה מיקדמי
התפקיד הראשון של המבקר הוא להכיר ולהבין את מערכת היישום. הדבר כולל
אלמנטים של עיבוד נתונים אוטומטי ואלמנטים לא ממוחשבים. במסגרת זו על המבקר:
- ללמוד את זרימת התנועות במערכת וביטויים בדו"חות שהיא מפיקה.
- לזהות את ההיקף שבו נעשה שימוש בעיבוד נתונים אוטומטי עבור תנועות
חשבונאיות ועבור קבלת מידע ניהולי.
""- ₪ האם קיימות במערכת בקרות ידניות וממוחשבות וללמוד את המבנה הבסיסי
שלהן.
ביצוע שלב זה נעשה בדרך כלל באמצעות ראיונות ושיחות עם אנשי ענ"א ונציגי
המשתמשים, באמצעות תצפיות, באמצעות בחינת התיעוד, באמצעות התחקות אחר
תנועות ובאמצעות שאלוני ביקורת.
20
הערכת הבחינה
המיקדמית וקביעת
היקף הביקורת
שלב בחינה
מיקדמי
תרשים 2-1: תהליך ביקורת של מערכת
+ | יישום ממוחשבת
בתינת
הבקרות
במערכת היישום
עדיכת בדיקות התאמה
5 006:!ק תוס >
עריכת בדיקות אימות
קיום, תקטות דו"ח על
וסבירות של תנועות מימצאי הביקורת
ואיזונים
5 6,+:1ה500518
(2) הערכת הבחינה המיקדמית וקביעת היקף הביקורת
לאחר שהמבקר למד והבין את המערכת ואת המבנה הבסיסי של הבקרות, עליו לנתח
ולהעריך את המשמעות של בקרות אלה ולקבוע האם ניתן באופן עקרוני להיסתמך על
הבקרות.
אם המבקר מגיע למסקנה, כי אין בקרות במערכת, או שלא ניתן להיסתמך על הבקרות
שזיהה בשלב הבחינה המיקדמי, עליו לתכנן וליישם בדיקות וניסויים, שיסייעו לביסוס
חוות דעתו על חוקיות, על תקפות ועל סבירות התנועות המעובדות, נאותות הטיפול
החשבונאי ואיזונים במערכת (16505 01%6ח9518ט5).
בשלב זה המבקר קובע את היקף הבחינה של המערכת ואת התחומים, שבהם יתמקד על
מנת לבצע ביקורת בעלת משמעות של אמצעי הבקרה ושל מערכת היישום.
(3) בחינת הבקרות הכלליות
המונח בקרות כלליות מתיחס לבקרות מרכזיות, אשר מתיחסות לכל היישומים או לחלק
מהם.
בקרות אלה כוללות:
- בקרות אירגוניות ותיפעוליות
- בקרות גישה
- בקרות נתונים
- בטיחות פיסית
- בקרות חומרה ותוכנת מערכת
- הקרות תיעוד ופיתות
באמצעות בחינה מפורטת של התיעוד, באמצעות ראיונות עם אנשי ענ"א ומשתמשים
ובאמצעות סקירת פעולות ודוח"ות, שהמערכת מייצרת, המבקר צריך לקבוע האם
הבקרות הכלליות, אשר זוהו בשלב הראשון פועלות, האם חוזק או חולשה בבקרות
הכלליות משפיע על הבקרות במערכת היישום הממוחשבת וכיצד, ולתכנן ניסויים
ובדיקות לבחינת ההתאמה של בקרות אלה (165068 3006/!קוח0<)).
(4) בחינה של בקרות במערכת היישום
שלב זה מתיחס לבקרות אשר מיושמות במערכת יישום ספציפית (כגון: בדיקות עריכה
מתוכנתות (666%5 )561).
המבקר צריך לקבוע האם הבקרות, שזוהו בשלב הראשון, פועלות או לא פועלות, לשקול
עריכה של ניסויי התאמה של הבקרות (76515 113006קוחט<)) ולתכננם. גם שלב זה מתבצע
באמצעות בחינה מפורטת של התיעוד, ראיונות עם אנשי ענ"א והמשתמשים וסקירת
פעולות ודוח"ות שהמערכת מייצרת.
(5) אומדן הבקרות
בשלב זה המבקר צריך לשים לב לסוגי השגיאות אשר יכולות להתרחש, להתחשב בנהלי
הבקרה הקיימים כדי למנוע או לגלות שגיאות וחריגים ולאמוד את היעילות של הבקרות
(הידניות והממוחשבות).
אם בשלב זה המבקר מגיע למסקנה, שלא ניתן להיסתמך על הבקרות, עליו לתכנן וליישם
בדיקות וניסויים שיסייעו לו לביסוס חוות דעתו על חוקיות, על תקפות ועל סבירות
התנועות, על נאותות הטיפול החשבונאי ועל איזונים במערכת (16505 595)811%6).
אומדן הבקרות מתבסס על כושר השפיטה המקצועי של המבקר.
21
22
(6) עריכת ניסויי התאמה (16545 66חגו1קוח0-))
מטרתם של ניסויים אלה היא:
א) לוודא, שהתהליכים הידנייים והממוחשבים של תנועות או מאורעות, תואמים
באופן כללי לשיטות, לנהלים ולעקרונות חשבונאים מקובלים.
ב) לקבוע האם נהלי הבקרה הנחוצים, שנקבעו מראש וזוהו על ידי המבקר, מבוצעים
באופן נאות.
ג) | לבחון מתי, כיצד ועל ידי מי מסופקות הבקרות ולתעדן.
שלב זה מבוצע באמצעות שאילתות, בחינה של רשומות וניסויים של הבקרות,תוך
שימוש בטכניקות הרלוונטיות להשגת מטרות הביקורת.
(7) הערכת הבקרות
זהו השלב האחרון בתהליך הבחינה של הבקרות במערכת. לאחר שהמבקר בדק האם
בקרות קיימות, ולאחר שווידא, כי הן פועלות, עליו להעריך האם הן פועלות, כפי שתוכנן,
מה מידת יעילותן, והאם מערכת היישום יכולה להשען על מערכת הבקרות.
(8) ניסויי אימות, קיום וסבירות של תנועות ואיזונים
על בסיס בחינת הבקרות ועל בסיס ניסויי ההתאמה (16515' 11:8066ק001)) , המבקר צריך
לתכנן וליישם נהלי בחינה וניסוי נוספים. במסגרת ניסויים אלה על המבקר לאסוף ראיות
מספיקות לביסוס חוות דעתו על חוקיות, על תקפות ועל סבירות התנועות המעובדות,
נאותות הטיפול החשבונאי ואיזונים במערכת (176515 518₪41%6פט5).
סוגי הבחינות והניסויים יכללו:
- ניסויים לזיהוי עיבודים משובשים
- ניסויים להערכת איכות הנתונים
- ניסויים לזיהוי נתונים לא מותאמים
- ניסויים להשוואת נתונים עם אמצעים פיסיים (ספירות מלאי...)
- אישור נתונים עם צד שלישי
חלק גדול מניסויים אלה דורש שימוש במחשב (לדוגמא: שליפת נתונים סלקטיביים
לאימות הנתונים ולבדיקת סבירותם, הפקה של אישורי יתרות באמצעות שימוש
בחבילת תוכנה וכד').
(9) כתיבת דו"ח מסכם על ממצאי הביקורת.
2 ביקורת מסביב למחשב וביקורת דרך המחשב
כאשר המבקר מתכנן ביקורת של מערכת יישום ממוחשבת עליו לקבוע האם לערוך את
הביקורת ללא שימוש במחשב, או האם להשתמש במחשב לצורך הביקורת.
לשתי גישות אלה נהוג לקרוא: "ביקורת מסביב למחשב" ו"ביקורת דרך המחשב".
1 ביקורת מסביב למחשב
בביקורת מסביב למחשב המבקר בוחן את מערכת הבקרות הפנימיות הכלליות ויחסי
קלט-פלט של נתוני היישום בלבד. ההתיחסות למחשב עצמו היא כאל קופסה שחורה.
תוצאות העיבוד של המחשב נבחנות באופן ידני מול מקורות של נתונים, שהוזרמו
למחשב. תהליך הבדיקה והאימות מתבצע ללא מעורבות ישירה של המבקר בתהליך
העיבוד בתוך המחשב.
המבקר יכול לבצע ביקורת באמצעות המחשב באחד מהמקרים הבאים:
(1) כאשר מערכת היישום פשוטה ומבוססת על עיבוד באצוות (ח338)6).
(2) כאשר המערכת משתמשת במחוללי יישומים, שנבחנו היטב, והם בשימוש על ידי
משתמשים רבים.
במערכות כאלה לוגיקת המערכת בדרך כלל גלויה, ואין בהן רוטינות מיוחדות ומורכבות.
תנועות קלט מרוכזות באצוות ובקרות מתוחזקות באמצעות שיטות מסורתיות (הפרדת
סמכויות, בחינה של מפקחים וכד').
העיבוד מורכב בדרך כלל ממיון הקלט ועיבוד סידרתי של קובץ האב. קיים נתיב ביקורת
ברור ודו"חות מפורטים מודפסים על ידי המערכת.
במערכות כאלה המבקר יכול לבצע ביקורת מסביב למחשב, לאחר שווידא כי לא נעשו
בהן שינויים מהותיים וכי קיימים אמצעי בקרה, שמטרתם למנוע שינויים לא מורשים.
יתרונות של ביקורת מסביב למחשב
(1) עלויות נמוכות - אין צורך באמצעי תוכנה ספציפיים שעלותם לעיתים יקרה מאוד.
כמו כן יש חסכון בהכשרת עובדים לביצוע הביקורת.
(2) ידע מוגבל בענ"א - ניתן להכשיר בקלות מבקרים בעלי ידע ונסיון מועטים במערכות
מידע ממוחשבות לביצוע הביקורת.
חסרונות של ביקורת מסביב למחשב
(1) סוגי המערכות הממוחשבות, שבהם ניתן ליישם ביקורת מסביב למחשב, הם מוגבלים.
(2) ביקורת מסביב למחשב אינה מספקת נתיבי ביקורת מפורטים.
(3) במערכות גדולות או מורכבות המבקר עלול, שלא לגלות מצבים חריגים ללא דגימה
מיוחדת והשקעת משאבים.
(4) במערכות, אשר מפיקות פלט רב, דרוש זמן לבחינת תוצאות העיבוד.
(5) אימות באמצעות בדיקת יחסי גומלין בין קלט לפלט אינו מאפשר לוודא תהליכים,
המבוצעים בתוך המחשב (בקופסה השחורה).
2 ביקורת דרך המחשב
במקרים מסוימים המבקר חייב להשתמש במחשב לצורך הביקורת.
השימוש במחשב יכול להיות פשוט יחסית, ולעיתים עלולים להידרש ידע רב וכישורים
מיוחדים. הדבר תלוי בסוג המערכת, גודלה, היקפה ומורכבותה.
המבקר עשוי להשתמש במחשב לתיכנון הביקורת וניהולה, לניסוי בקרות של תוכניות,
להשגחה על תנועות המעובדות על ידי המערכת, לשליפת נתונים, לאימות לוגיקת
העיבוד, לניתוח תוכניות יישום, לביקורת התיפעול והתחזוקה של המחשב וכד'.
המבקר ישתמש בדרך כלל בביקורת דרך המחשב בנסיבות הבאות:
(1) כשמערכת היישום מעבדת קלט בהיקף גדול ומיצרת פלט בהיקף רב, כך שבחינה
ואימות ידניים של יחסי קלט-פלט כמעט בלתי אפשריים.
(2) כשחלק ניכר וחשוב של מערכת הבקרות הפנימיות משולב בתוך המערכת
הממוחשבת.
(3) כשלוגיקת העיבוד מורכבת.
(4) כשלא קיים רצף של נתיבי ביקורת, הנראים לעין.
24
יתרונות של ביקורת דרך המחשב
(1) מתאפשרת בחינה אפקטיבית ומעמיקה של מערכת היישום.
(2) מושגת רמת בטחון יותר גבוהה שעיבוד הנתונים נכון.
(3) מרחב ואפשרויות הבחינה יותר גדולים.
חסרונות של ביקורת דרך המחשב
(1) עלויות היישום של הביקורת לעיתים גבוהות. זה כולל עלויות של רכישת תוכנה,
התקנתה, תחזוקתה והפעלתה השוטפת, הכשרת עובדים ועוד.
(2) המבקר צריך להיות בעל הכשרה ונסיון בהיבטים שונים של מערכות מידע
ממוחשבות.
קיימות טכניקות ביקורת רבות, אשר רותמות את המחשב ככלי עזר להשגת מטרות
הביקורת. לא לכל טכניקה יש כל היתרונות או החסרונות, שצוינו לעיל. יישום של
טכניקות אחדות מהווה תוספת מסוימת לביקורת מסביב למחשב, ומקובל לעיתים
לכנותן: "ביקורת מסביב למחשב באמצעות המחשב".
3 קריטריונים לבחירת טכניקות ביקורת
הפעולות הבסיסיות המבוצעות על ידי המבקר במהלך הביקורת כוללות:
התבוננות (ח0ו91+ז2056)), פיקוח (ח5066000ה1), ניסוי (8חו1650), דגימה (אַח:1ק530).
אימות (חס1)גוחזו/חט<)), השוואה (ח50וז9קוח60), שאילתות (פסוזוטח1) ועוד. ביצוע
מוצלח של פעילויות אלה תלוי הרבה בכלים ובטכניקות אשר זמינים למבקר.
בפועל לא קיים סט קבוע של טכניקות ביקורת בהן יש להשתמש על מנת לבצע ביקורת
של מערכת מידע ממוחשבת. המבקר חייב להשתמש בכישוריו, בכושר השיפוט שלו
ובניסיונו בבחירת הטכניקה/ות אשר תהינה בשימוש לשם ביקורת מערכת ספציפית. עם
זאת מן הראוי להדגיש, כי על מנת לבחור בטכניקה המתאימה, על המבקר להתחשב
במספר קריטריונים:
(1) התאמה למטרות הביקורת
הטכניקה חייבת להיות מתאימה להשגת מטרות הביקורת.
(2) כישורי המבקר
המבקר חייב להיות בעל הכשרה נאותה ליישום הטכניקה.
בעוד שטכניקות מסוימות דורשות כישורים פשוטים, יחסית, הרי טכניקות אחרות
דורשות ידע ונסיון בעיבוד נתונים אלקטרוני ובביקורת ענ"א.
(3) משאבים
למבקר חייבים להיות המשאבים ליישום הטכניקה.
טכניקות מסוימות מצריכות שימוש בתוכנה ממוחשבת, שחייבת להיות ברשות המבקר.
לעותים זקוקים לחומרה ספציפית על מנת להשתמש בתוכנה. הטכניקה, שיבחר המבקר,
צריכה, איפוא, להיות תואמת את הציוד והתוכנה, אשר קיימים באירגון.
(4) מסגרת תקציבית
עלות היישום כרוכה לעיתים ברכישת תוכנה, חומרה, פיתוח והתאמה לצרכים, הכשרת
עובדים ותפעול שוטף. יש לשאוף, שהעלות הכוללת לא תחרוג מהמסגרת התקציבית
שנקבעה.
(5) זמינות
הטכניקה צריכה להיות זמינה לביקורת וניתנת ליישום, בכל עת שהמבקר יזדקק לה. כמו
כן יש לקחת בחשבון, שטכניקות מסוימות דורשות זמן פיתוח רב, עד אשר תהיינה
תיפעוליות. רצוי להמנע מלבחור בטכניקה, שזמן פיתוחה יחרוג מלוח הזמנים של
הביקורת.
25
(6) עלות/תועלת
יישום הטכניקה צריך להיות מוצדק במונחים של עלות/תועלת.
כאשר המבקר בוחר בטכניקה ממוחשבת, הוא חייב להגיע תחילה למסקנה, שהשימושי
בטכניקה זו הוא יותר יעיל מאשר שימוש בטכניקה אחרת או בטכניקה ידנית. אם למשל
המבקר יכול להגיע לאותן תוצאות באמצעות שימוש בטכניקה ידנית, וזו תעלה פחות
(במונחים של עלות וזמן), הרי שיש להמנע משימוש בטכניקה הממוחשבת.
26
3. טוכניקות לתיכנון הביקורת וניהולה
1 דרוג מערכות לביקורת(פתוז560)
1 סקירה כללית
המקורות והמשאבים, העומדים לרשות המבקר, אינם מאפשרים לו בדרך כלל לבצע
ביקורת שוטפת ומקיפה של כל מערכות היישום הממוחשבות, הקיימות, ו/או המפותחות
באירגון.
המבקר זקוק לטכניקה, שתאפשר לו לדרג את המערכות בהתאם לחיוניותן ולרגישותן
במטרה לבחור מתוכן את המערכת/ות, שבהן תיושם הביקורת.
טכניקת ה שַח1ז560 מהווה מסגרת בסיסית לדרוג מערכות בהתאם לחיוניותן ולרגישותן.
היא מזהה מאפייני מפתח אוביקטיביים של מערכת יישום ממוחשבת, אשר חשובים
מנקודת מבט של ניתוח סיכונים.
המאפיינים משוקללים ומצורפים על פי נוסחה מסויימת על מנת לקבל ציון כללי של
המערכת. השוואת הציונים הכלליים של המערכות מאפשרת למבקר לבחור מתוכן את
המערכות, שבהן תיושם הביקורת.
2 שלבי יישום
(1) זיהוי מערכות היישום הממוחשבות
המבקר טוקר את המערכות הממוחשבות, הפועלות באירגון, ואת המערכות הממוחשבות
שבפיתוח, ומכין רשימה של המערכות, שבהן יש לבצע ביקורת.
(2) הכנת גליון איפיון כללי
שלב זה מורכב מ-2 חלקים:
א) קביעת מאפיינים/ קריטריונים השוואתיים
בהסתמך על סקירה של המערכות המבקר מזהה מאפיינים השוואתיים המתיחסים לכל
אחת מהמערכות, וקובע אותם.
7
מאפיינים, שיכולים להילקח בחשבון הם:
- עלות פיתות משוערת
- זמן פיתוח משוער
- סוג המערכת
- קשר למערכות אחרות
- מעמד המערכת: אם היא מרכזית או אם היא מבוזרת
- סוג הקבצים
- שעות מחשב (6211) שנתיות משוערות
- מורכבות התוכניות (מספר המודולים)
- האם נעשה שימוש במערכת פורמלית של "מחזור חיים"
- הרכב קבוצת הפיתות
- שפות התיכנות
- האם המערכת פיננסית
- גישה לנכסים
- דרישות סטטוטוריות
- מעורבות המבקר בשלבי פיתוח המערכת
- פגיעות המערכת למעילה
- כמות הדוח"ות הניהוליים, שהמערכת מספקת
ב) קביעת דרגות הערכה
המבקר קובע דרגות ההערכה לכל אחד מהמאפיינים בצרוף ציון קבוע לכל דרגת ההערכה.
בטבלא מספר 3-1 מובאת דוגמא של גליון איפיון, הכולל 14 מאפיינים לגבי מערכות
חדשות שבפיתוח.
להלן הסבר על מספר מאפיינים:
המאפיין הראשון הוא: '"עלות פיתוח משוערת". למאפיין נקבעו 6 דרגות ההערכה. ככל
שעלות הפיתוח גבוהה יותר, הציון של דרגת ההערכה גבוה יותר. למערכת, שעלותה
פחות מ 10.000 %, נקבע ציון 1.0. אם עלות הפיתוח המשוערת היא בין 10.000 5 לבין
9 85 הציון הוא 1.2 וכו'.
המאפיין השני הוא: "זמן פיתוח משוער". למאפיין נקבעו 6 דרגות הערכה. ככל שזמן
הפיתוח המשוער ארוך יותר, הציון של דרגת ההערכה גבוה יותר.
המאפיין השלישי הוא: "סוג המערכת". המבקר זיהה 3 סוגים של מערכות:
- מערכת המבוססת על עיבודים במיכלול
- מערכת מקוונת, המבוססת על עיבודים במיכלול
- מערכת מקוונת, המבצעת עיבודים בזמן אמיתי
למערכת, המבוססת על עיבודים במיכלול, נקבע ציון 1.0. מערכת רגישה יותר הינה
מערכת מקוונת, המבוססת על עיבודים במיכלול. ציון של מערכת כזו הוא גבוה יותר
(1.2). מערכת מקוונת, המבצעת עיבודים בזמן אמיתי, רגישה יותר מהקודמות. לפיכך
נקבע למערכת כזו ציון 2.0.
המאפיין הרביעי הוא: "קשר למערכות אחרות". למאפיין זה נקבעו 2 דרגות ההערכה:
- למערכת אין קשר עם מערכות אחרות
- למערכת יש קשר עם מערכות אחרות
אם למערכת אין קשר עם מערכות אחרות, הציון, שנקבע, הוא 1.0.
אם למערכת יש קשר עם מערכות אחרות, הציון, שנקבע, הוא 1.3.
8
איפיון מערכת מידע ממוחשבת
טבלא 3-1
שם המערכת:
עלות פיתוח משוערת
פחות מ-10,000 %
9 - 510,000
9 - 550,000
9 - %100,000
9 - 250,000
0 אוו יותר
זמן פיתוח משוער (שעות)
פחות מ- 250
250 -9
9 - 1,000
279
9 - 10,000
0 אוו יותר
רק 7 רק קר
7 7 חר
סוג המערכת
( ) עיבוד במיכלול
( ) מקוונת ועיבוד במיכלול
( ) מקוונת ועיבוד בזמן אמיתי
קשר למערכות אחרות
( ) למערכת אין קשר למערכות
אחרות
( ) למערכת יש קשר למערכות
אחרות
מערכת מרכזית
מערכת מבוזרת
המערכת לא תפיק דוח"ות
ניהוליים רבים
( ) המערכת תפיק דוח"ות ניהוליים
רבים
סוג הקבצים
( ) קבצים רגילים
מסדי נתונים
מערכת פיננסית
מערכת לא פיננסית
מספר |המאפיין ודרגות ההערכה | |*ש7 0 00|
שימוש במערכת פורמלית של
מחזור חיים
( ) נעשה שימוש במערכת פורמלית
של מחזור חיים
( ) לא נעשה שימוש במערכת
פורמלית של מחזור חיים
שעות מחשב שנתיות צפויות
) פחות מ 10 שעות
10-99 )
) 499 - 100
) 500-999
) 9999 - 1000
) 10,000או יותר
שעות תחזוקה שנתיות צפויות
) עד ו חודשי אדם
5 - 1 חודשי אדם
0 - 6 חודשי אדם
0 - 11 חודשי אדם
0 - 21 חודשי אדם
יותר מ 100 חודשי אדם
7 7
כמות התוכניות במערכת
) 1-10
) 20-ו1
) 21-40
) 41-60
) 61-100
) יותר מ 100
7% 7 7 ל
הרכב קבוצת הפיתוח
( ) כוללת אנשי ענ'א, ביקורת
ומשתמשים
( ) כוללת אנשי ענ'א ומשתמשים
( ) כוללת אנשי ענ'א בלבד
גישה לנכסים (במונחים כספיים)
) עד %99,999
%100,000 - 8199,999 )
5%200,000 - 5499,999 )
5500,000 - 5999,999 )
(
(
[
)
)
)
)
]) 9 - 51,000,000
) 9 - %10,000,000
) 0 מליון 5 ומעלה
ציון כללי של המערכת
(המכפלה של הציונים שנקבעו לכל אחד מהמאפיינים) =
29
טבלא 3-1
ניור
עבודה להשוואה ולדרוג מערכות מידע ממוחשבות
ס2>
31
עיון בגליון האיפיון הכללי מראה, כי הציונים, שנקבעו לדרגות ההערכה, נעים בין 1.0
לז3.0. מן הראוי להדגיש, כי אין מקום לדאגה לגבי הדיוק המוחלט של הציונים, מכיוון
שאותן דרגות ציונים נמצאות בשימוש עבור כל המערכות.
(3) מילוי גליון איפיון לכל אחת מהמערכות
המבקר בוחן כל אחת מהמערכות בנפרד. הוא קובע את הציון הספציפי לכל אחד
מהמאפיינים של כל מערכת, ומסמנו בגליון האיפיון.
המבקר מכפיל זה בזה את הציונים, שנקבעו לכל אחד מהמאפיינים לצורך קביעת הציון
הכללי של המערכת.
(4) מיון גליונות האיפיון
לאחר קביעת ציון כללי לכל אחת מהמערכות המבקר ממיין את גליונות האיפיון לפי סדר
יורד של הציונים הסופיים (מהציון הגבוה לנמוך).
(5) הכנת גליון השוואה
בטבלא מספר 3-2 מובא גליון, המשמש כלי עזר לקבלת תמונה השוואתית בין המערכות.
המבקר רושם את הציונים עבור כל אחת מהמערכות בגליון ההשוואה.
הרישום נעשה לפי סדר יורד של הציונים הכלליים.
בגליון ההשוואה יש מקום גם לרישום הציונים הספציפיים של כל אחד מהמאפיינים של
כל מערכת. דבר זה מאפשר לסקור במבט אחד הבדלים בציונים הספציפיים בין המערכות
המדורגות השונות.
(6) בחירת המערכות לביקורת
לאחר רישום כל המערכות והציונים בגליון ההשוואה מתקבלת תמונה השוואתית של
דרוג המערכות לפי חיוניותן ורגישותן. על סמך התמונה ההשוואתית המבקר בוחר את
המערכות, שבהן תיושם הביקורת.
יישום הטכניקה יכול להעשות באופן ידני או בעזרת מיקרו מחשב, אשר יבצע את
ההכפלה של הציונים, ידרג את המערכות, וידפיס דו"ח השוואתי בהתאם.
43 יתרונות השימוש בטכניקה
- הטכניקה מאפשרת איסוף מהיר וקל של הנתונים.
- הנתונים הנאספים הם אוביקטיביים.
- אותו סט של מאפיינים/קריטריונים וציונים מיוחס לכל אחת מהמערכות המדורגות.
- ניתן לתכנתה במהירות ובקלות.
4 מיגבלות השימוש בטכניקה
המיגבלות העיקריות ביישום הטכניקה הן זיהוי המאפיינים הנכונים, המשמשים בסיס
להערכה, והקצאת המשקל הנכון של דרגות ההערכה לכל אחד מהמאפיינים.
לעיתים קשה ליישם את הטכניקה במערכות יישום חדשות, מכיוון שמאפיינים מסוימים
דורשים מידע, המבוסס על נסיון, שניצבר לאורך זמן ממושך.
+2
2 בחירת תחום/ שטח הביקורת (ת0ג)56166 463 )4001/)
1 קקירה כללית
זו טכניקה ידנית או ממוחשבת שמטרתה לסייע למבקר לקבוע באיזה סניף או באיזו
יחידה יש למקד את הביקורת.
משאבי הביקורת הם מוגבלים. הטכניקה מסייעת להביא לאופטימום את השימוש
במשאבי הביקורת, ולהפנותם לתחומים או ליחידות שבהם מזוהות בעיות פוטנציאליות.
הטכניקה מיושמת על ידי פיתוח של מטריצה, המספקת מידע על מאפיינים של הפניף או
היחידה, אשר נקבעים על ידי המבקר.
מאפיינים יכולים להיות סוגי נתונים על רמת הביצועים של הסניפים, אשר מצביעים על
דרגות הצלחה בהשגת מטרות האירגון וכן מידע על ליקויים וחשיפות כתוצאה מהעדר
אמצעי בקרה נאותים.
הצגת המידע במטריצה מאפשרת השוואה קלה בין נתונים בפועל לבין נתונים מצופים
לגבי כל אחד מהסניפים או היחידות. כמו כן ניתן להשוות את הנתונים על ביצועי
הסניפים לנתונים היסטוריים.
מאפייני מפתח יכולים להיות (דוגמאות):
- חשיפה לסיכוני מעילה
- חשיפה לאובדן נתונים
- סטיות תקציביות
- סטיות בלוח זמנים
- שעור שגיאות בסוגי תנועות ספציפיים
- "חשבונות לקבל", שזמן פרעונם חלף וטרם ניגבו
- זמני עיבוד ומשאבי עיבוד לאפליקציות ספציפיות
השימוש בטכניקה מיועד בעיקר לאירגונים גדולים, המבוססים על סניפים או יחידות,
המפוזרים במקומות שונים ואשר העיבוד בהם מושתת על בסיס מערכות יישום
אינטגרטיביות.
2 שלבי היישום
(1) בחירת המאפיינים
בחירת המאפיינים היא קריטית להצלחת השימוש בטכניקה. בחירה של מאפיינים נכונים
תסייע למקד שיטחי בעיות פוטנציליים, ותאפשר שימוש יעיל במשאבים המוגבלים של
הביקורת. בעת בחירת המאפיינים יש לוודא, כי המידע הדרוש יהיה בר השגה בעיתוי
ובזמן המתאימים.
(2) הקצאת ערכים למאפיינים
לאחר בחירת המאפיינים המתאימים יש להקצות לכל אחד מהם ערכים בהתאם
לחשיבותם היחסית.
(3) פיתוח התוכנית לשליפה ולהצגה נאותה של הנתונים
ניתן ליישם את הטכניקה באופן ידני. אולם כאשר המאפיינים רבים ובניית המטריצה
מותנית בקבלת מידע מהסניפים או מהיחידות השונות, הדבר עלול לגרום לסירבול וחוסר
יעילות. לפיכך, רצוי לפתח את התוכנית, באופן שהנתונים הדרושים ישלפו ישירות
ממערכת היישום המרכזית, וישולבו במטריצה באמצעות תוכנה, שתפותח על ידי
המבקר.
(4) הפעלת הטכניקה
נתוני המפתח, שנקבעו, אשר מתיחסים לכל סניף או יחידה, נשלפים מהמערכת, ומוצגים
במטריצה לצורך ניתוח והערכה על ידי המבקר. המבקר בוחן את הדו"חות המופקים,
ובוחר באיזה סניף/יחידה או באיזה תחום לבצע את הביקורת, בהתבסס על הקריטריונים
שזוהו.
3 ניתוח ארוע
מחלקת ביקורת פנימית של בנק מעונינת לבצע בדיקה של ניהול המזומנים בסניפי הבנק.
משאבי הביקורת (זמן וכח אדם) מאפשרים לה לבצע בדיקה בסניפים בודדים בלבד,
ולפיכך מעונינת הנהלת המחלקה למקד את הביקורת באותם סניפים בהם מזוהות בעיות
פוטנציליות.
בשלב א' זוהו והוגדרו מאפיינים, שישמשו בסיס להשוואה, לצורך בחירת הסניפים,
שבהם תתבצע הביקורת.
המאפיינים שנקבעו הם:
- רמת מזומנים ממוצעת
- מספר הקופאים
- כמות ההפרשים החודשית לעובד
- סכום ההפרשים החודשי לעובד
- כמות ההפרשים שאותרו
- סכום ההפרשים שאותרו
בשלב ב' הוקצו לכל אחד מהמאפיינים ערכים, כמפורט בטבלא 37-3.
טבלא 3-3
איפיון קריטריונים לביקורת ניהול מזומנים בבנק
2
3
רמת מזומנים ממוצעת (שקלים)
9 "-"- 100,000 2
9 - 500,000 14
0 7-1 18
יותר מ- 1,000,000 271
מספר הקופאים
13 13
5י4 15
0 18
יותר מ- 10 2.2
כמות ההפרשים החודשית לעובד
1-3 13
4-9 14
15 20
יותר מ257 25
4
5
6
סכום הפרשים חודשי לעובד בשקלים
עד 100 10
0 *101 2
9 ז201 14
9 "500 1%6
בנ יי 18
0 או יותר 2.2
כמות הפרשים שאותרו (לעובד)
יותר מ257 05
15 07
4-9 08
1-3 09
סכום הפרשים שאותרו (לעובד)
בשקלים
0 או יותר 05
9 06|
9 500 07
9 ז201 08.
פחות מ-499 10
33
244
>
בשלב ג' הוכנה תכנית מחשב מיוחדת, אשר מבצעת את הפעולות הבאות:
(1) שליפת נתונים מהקבצים של כל אחד מהסניפים על המאפיינים שזוהו בשלב א'
(2) ביצוע פעולות מיון וחישוב של הנתונים
(3) קביעת הערך המתאים לכל אחד מהמאפיינים
(4) קביעת ערך כולל לכל אחד מהסניפים על ידי הכפלת הערכים, שנקבעו לכל אחד .
מהמאפיינים, זה בזה
(5) דרוג הסניפים לפי הערך הכולל שנתקבל ב-(4)
(6) הצגת הנתונים בדו"ח מודפס לשימוש המבקר
בשלב ד' הופעלה התוכנית, והפלט שנתקבל מוצג בדו"ח מס' 3"4.
דו"ח 3*4:
דרוג סניפים לביקורת ניהול המזומנים
מאפיינים מספר
כלל| 6 |[ 5 | 4 | 3 | 2 | סני
0 | 09 | 4ו 14 13 12
בהתאם לנתוני הטבלה נשלחו צוותים לביצוע ביקורת בסניפים מספר 500 ומספר 300.
13| א צסטסא ;]אס
1 שקירה כללית
טכניקה זו ישימה לאירגונים גדולים עם סניפים או יחידות, הממוקמים באזורים שונים.
היא מבוססת על הקמת "מרכז מחשב לביקורת" (להלן המרכז). המרכז מקבל קבצי נתונים
ממרכזי עיבוד אזוריים או מהסניפים והיחידות, מפעיל את תוכניות הביקורת
הממוחשבות, ומפיץ את דו"חות הפלט למבקרים בסניפים וביחידות.
פיתוח התוכניות והפעלתן נעשים במרוכז, ועובדה זו מונעת הרבה בעיות, שעלולות
להיווצר על ידי הפעלת תוכנות ביקורת במקומות רבים.
המבקרים בסניפים או ביחידות מכינים את דרישות העיבוד שלהם בהתאם לקווים מנחים
ונהלי תיפעול, אשר מסופקים להם מהמרכז והם אחראים לבחינה והערכה של תוצאות
העיבוד.
המבקרים במרכז, שהינם בעלי הכשרה ומיומנות בעיבודים ממוחשבים אחראים ל:
₪ פיתוח תוכניות הביקורת
= הכנת נהלי הפעלה ותיעודן
= קבלת קבצי הנתונים מהסניפים
% הרצת תוכניות הביקורת
> הפצת הפלט
6 סיוע והדרכה למבקרים בסניפים
במרכז המחשב לביקורת הם אחראים לתחזק ספריה של תוכניות, קבצי נתונים, קבצי
גיבוי ופיתוח ויישום של אמצעים להשגת בטיחות מידע וכד'.
2 יתרונות ביישום הטכניקה
יישום הטכניקה תורם להשגת מספר יתרונות:
(1) חסכון בהכשרת הרבה מבקרים בשימוש בתוכניות ביקורת ממוחשבות
(2) אחת הבעיות בה נתקלים מבקרים היא חוסר בזמן מחשב ועדיפויות נמוכות להרצת
תוכניות הביקורת. יישום הטכניקה פותר בעיה זו, ומאפשר עמידה בלוח זמנים וזמינות
של המידע.
(3) רמת תחזוקה גבוהה של תוכניות הביקורת
(4) העדר הצורך להסתיע באנשי עיבוד הנתונים של האירגון גורם להגברת עצמאות
הביקורת.
(5) מכיוון שהמבקרים במרכז הינם בעלי הכשרה וכישורים נאותים בעיבוד נתונים
אוטומטי, הם יכולים לסייע למבקרים בסניפים וביחידות בכתיבת תוכניות מיוחדות
לפתרון בעיות ספציפיות, אשר לא ניתן ליישמן באמצעות חבילות תוכנה רגילות.
3 מגבלות ביישום הטכניקה
בצד היתרונות קיימות גם מספר מגבלות ביישום הטכניקה:
(1) אם לא קיימים אמצעי תקשורת נאותים עלול להתארך זמן הסבב ממשלוח הנתונים
מהיחידות ועד לקבלת דו"חות הפלט.
(2) השימוש בטכניקה נעשה מורכב ומסובך, כאשר האירגון משתמש במערכות
מתקדמות המבוססות על מסדי נתונים. עקב המבנה וההיקף של מערכות כאלה קשה
להעתיק קבצים ולשלוח אותם לעיבוד במרכז. לכן נדרש תחילה לשלוף את הנתונים
הרלוונטיים במרכזי העיבוד האזוריים, ורק את הנתונים הרלוונטיים לשלוח לעיבוד
במרכז.
(3) במקרים, שבהם מוקצה מחשב נפרד למחלקת הביקורת, מתווספות עלויות רכישה
ותחזוקה של המחשב.
4 א ד דזכנזא =1ז5ז !זוא
1 סקירה כללית
טוכניקה זו ישימה באירגונים גדולים בהם קיימת מערכת עיבוד מבוזרת, אשר מורכבת
ממרכזי עיבוד אזוריים ומערכת מרכזית.
המבנה האירגוני או התיפקודי של מחלקת הביקורת באירגונים כאלה מבוסס לעיתים על
צוותי ביקורת נפרדים, המבצעים את הביקורת בכל אחד מהמרכזים האזוריים. הבעיה
בפניה ניצבת הנהלת מחלקת הביקורת היא האם לפתח סטים נפרדים של כלים וטכניקות
ממוחשבות לביקורת בכל אחד מהמרכזים האזוריים, או האם לפתח סט מרכזי של
תוכניות, שיהיה בשימוש לבחינת מערכות היישום הממוחשבות בכל אחד מהמרכזים
האזוריים.
טכניקת ה- 50/0916 )4001 101015166א משמעותה - פיתוח סט אחד של תוכניות ביקורת
ביחידת המחשב המרכזי ויישומו במרכזים האזוריים בפיקוח של צוותי הביקורת באותם
אזורים.
באופן עקרוני אין הבדל בין תוכניות אלה לבין תוכניות ביקורת אחרות. היתרון העיקרי
שביישום הטכניקה הוא בכך, שפיתוח של סט אחד של תוכניות הינו יותר חסכוני מאשר
פיתוח תוכניות נפרדות בכל אחד מהאזורים. החסכון מתבטא בעלויות פיתוח התוכניות,
בהכשרת המבקרים ובתחזוקת התוכניות, ומאפשר ניצול יותר יעיל של משאבי הביקורת
ועיקביות בביצוע הביקורת.
יישום הטכניקה יעיל יותר, ככל שקיים דמיון גדול יותר בין המערכות הממוחשבות
באזורים השונים. המצב האופטימלי הוא, כאשר קיימת זהות בכל אחד מהאזורים
באמצעי החומרה, במערכות ההפעלה, במבנה קבצי הנתונים ובתוכניות היישום
הממוחשבות.
55
46
שימוש בתוכנה על ידי מבקרים שונים במקומות שונים עשוי לגלות שגיאות או אי
התאמות בתוכנה. כמו כן, מבקרים שונים יוכלו להתיחס ליעילות התוכנה ולהציע
שיפורים, שנראים להם כנחוצים. כתוצאה מכך, בטווח הארוך תהיה תוכנת הביקורת יותר
טובה ויותר אמינה.
2 שלבי יישום
יישום הטכניקה נעשה במספר שלבים:
(1) קביעת מטרות הביקורת
(2) לימוד והבנה של מערכות היישום הממוחשבות: הבדלים ספציפיים בכל אחד
מהאזורים יזוהו, יתועדו וילקחו בחשבון בהגדרת הדרישות לפיתוח תוכנת הביקורת.
(3) קביעת השיטות והטכניקות, שיהיו בשימוש לשם השגת מטרות הביקורת ותיעודן
(4) פיתוח תוכניות הביקורת, ניסויין ותיעודן: פיתוח סט התוכניות יעשה בהתאם
לסטנדרטים המקובלים לכתיבת תוכניות יישום ממוחשבות.
(5) הכנת הוראות הפעלה: הוראות אלה כוללות הנחיות הפעלה עבור מפעילי המחשבים
במרכזים האזוריים והנחיות למבקרים שישתמשו בתוכנה.
(6) הפצת התוכנה והתיעוד למרכזים האזוריים
(7) הפעלת התוכנה במרכזים האזוריים
(8) איסוף וניתוח הדו"ח ותגובות מהמבקרים במרכזים האזוריים במטרה לבצע שינויים,
תיקוניים, ושיפורים בתוכנה
(9) עידכון התוכנה בשיפורים ותיקון ליקויים שאותרו
(10) בקרה, כי נעשה שימוש במהדורות המעודכנות של תוכניות הביקורת
4. שאלוניביקורת
1 מבוא
אירגונים רבים ופירמות של רואי חשבון פיתחו סטים של שאלוני ביקורת השונים זה מזה
במורכבותם ובהיקפם.
שאלוני הביקורת משמשים כלי עזר חשוב בתהליך הביקורת ובכלל זה גם בביקורת של
מערכות מידע ממוחשבות. סביר ואף מקובל, כי לעולם לא יהוו את החלק המרכזי
והעיקרי של תהליך הביקורת הכולל.
למשל: בעת יישום שלבי ההערכה של בקרות במערכות מידע ממוחשבות ישתמש
המבקר בין היתר גם בשאלוני ביקורת בשלב הראשון של סקירת המערכת
והבקרות. המבקר יעשה זאת על מנת לוודא כי הבקרות קיימות (ו5וא₪ )1 065)
אולם בשלבים הבאים, הכוללים אימות של הבקרות (אז0/ )1 2065) והערכת הבקרות
(15 ]1 02000 א110), יסתייע המבקר בכלים ובטכניקות שונים.
2 יתרונות השימוש בשאלוני ביקורת
כאשר שאלוני הביקורת מתוכננים באופן נאות, וכאשר משתמשים בהם כראוי, הם יכולים
לספק את היתרונות הבאים:
(1) סיוע בתיכנון ובקביעת גבולות הביקורת
(2) "מעוררי זכרון", על מנת שנקודות ביקורת חשובות לא תשכחנה או לא תוזנחנה
(3) סיפוק אמות מידה וקריטריונים מסוימים להערכה
(4) שאלוני הביקורת הם כלי תיעוד טוב לרישום המימצאים
(5) סיפוק קובץ עקיף של סטנדרטים לביקורת לגבי השאלה: "כיצד צריכה להראות
ולהתנהג מערכת ענ"א טובה"
(6) סיוע לצוותי ביקורת לא מנוסים בביקורת של נושאים שונים
(7) שימוש בשאלוני הביקורת כ"איזכור" לביקורת בעתיד
הבעיות, הקשורות בשאלוני הביקורת, מקורן בניסוח השאלות, בניסוח התשובות
לשאלות, בניתוח ממצאי התשובות ובשאלה האם ניתן להשתמש במימצאי התשובות
כאמצעי להערכה כוללת של הנושאים, שנבחנו, וכיצד ניתן לעשות זאת.
17
ה
8
3 ניסוח השאלון
ניסוח אחיד של שאלון משמעו, שכל השאלות מנוסחות, באופן שתשובה שלילית,
("לא") מצביעה על ליקוי ותשובה חיובית ("כן") מצביעה על העדר ליקוי. (לדוגמא: האם
הגישה לחדר המחשב מוגבלת לאנשים מורשים בלבד?). לחילופין, ניסוח אחיד של שאלון
משמעו, שכל השאלות מנוסחות, באופן שתשובה חיובית ("כן") מצביעה על ליקוי
ותשובה שלילית ("לא") מצביעה על העדר ליקוי. (לדוגמא: האם יש גישה לאנשים לא
מורשים לחדר המחשב?).
כאשר השאלון מתוכנן בצורה נאותה, ומנוסח באופן אחיד, סביר , כי הוא יספק את
היתרונות, שהוזכרו לעיל.
אולם לא תמיד שאלונים מנוסחים באופן אחיד. נמצא שאלונים, שבהם השאלות
מנוסחות, כך שתשובה חיובית, יתכן שתצביע על ליקוי, ויתכן שתצביע על העדר ליקוי
(והוא הדין לגבי תשובה שלילית).
לדוגמא:
תשובה ליקוי
- האם מפעיל רשאי לבצע לא
שינויים בתוכניות?
- האם הגישה לחדר המחשב
מוגבלת למורשים בלבד? לא *
- האם קיימת הפרדת
סמכויות בין מתכנתים
ומפעילים? כן
- האם פרוצדורות ניסוי
של תוכניות נעשות עם
נתונים חיים? כן *
שאלונים, שאינם מנוסחים באופן אחיד, מחייבים משנה זהירות הן במתן התשובות והן
בניתוח מימצאי התשובות.
4 תשובות לשאלון
האם תשובה חיובית ("כן") או שלילית ("לא") לשאלה מסוימת מצביעה על ליקוי או על
העדר בקרה?
התשובה אינה בהכרתח חיובית, מכיוון שיתכן, שקיימת בקרה אחרת, המפצה על העדר
הבקרה הספציפית.
יתר על כן, תשובה שלילית ("לא"), המצביעה על ליקוי או על העדר בקרה, אינה נותנת
הערכה על מידת הקריטיות של המימצא. מאידך, תשובה חיובית, המצביעה לכאורה על
העדר ליקוי או על קיום בקרה, אינה נותנת הערכה לגבי מידת האיתנות של הבקרה.
לפיכך אין בדרך כלל להסתפק בתשובות מסוג "כן" או "לא", ויש להרחיבן על ידי
תוספת פרטים והערות בצד התשובות או בניירות העבודה תוך איזכור הדדי לשאלות.
5 השאלון כאמצעי להערכה
ניתן להשתמש בתשובות לשאלונים כאמצעי להערכה כוללת של הנושאים, שנבחנו, על
מנת לקבל תמונת מצב. כמו כן משמש השאלון להדגשת התחומים בהם קיימים ליקויים,
המצריכים תשומת לב נוספת.
גישה מסוג זה ניתן למצוא בעבודה שהוכנה ע"י ה:
1 קט0ז2) 6) ]0 5)ת6חועה?] [הה10)ההז6)ה1 זס) 551605 סות0זו12160 תס קטס-?) צהטופ
ה 165ז00ט620 מ106 ]0 קט0זנ) 6ת] ]0 %5ת22 |גז)ה0-6) 6ת) ]0 6)ז6קא תס6)טקת 60
וו
ופורסמה בספר בשם:
5%)ח6והץג ז0] 15ח57506 16ת0ז)12166 תו צ)ו[ולבו[6ל תב ץ)!ז566*
להלן עיקריה:
העבודה כוללת מערך שאלות לבחינת הבטיחות והאמינות במערכות אלקטרוניות עבור
תשלומים. התשובות לשאלות מסומנות בשאלון, ומשולבות גם בטבלאות, שעוצבו
לסייע בהערכה כללית של הבטיחות והאמינות (להלן "פרופיל"), ע"י אספקת אמצעים
לסכימת התשובות לשאלונים.
חשוב לציין, שתשובה שלילית ("לא") לשאלה אינה מעידה בהכרח על קיום בעיה,
ותשובה חיובית ("כן") אינה מעידה בהכרח על העדר בעיה. הוא הדין גם לגבי תמונת
המצב הכללית, המסופקת על ידי ההערכה הכללית, אשר מהווה כלי עזר ולא הערכה חד
ערכית.
6 בניית פרופיל הערכה כללית (בצרוף הדגמה)
אינטרסים של מערכת תשלומים אלקטרונית וצרכניה מיוצגים על ידי משאבים קיימים,
נרכשים, מושכרים או נשלטים בצורה זו או אחרת על ידי המערכת. מקורות אלה כוללים:
מיתקנים, שירותים ואספקה, תוכנה, תוכניות ונהלים, נתונים, כח אדם, חוזים והסכמים.
אחת הדרכים לקבוע אם מערכת משיגה את מטרות הבטיחות והאמינות, היא לבחון
אותה במונחים של המשאבים הנ"ל. בחינה כזו צריכה לקבוע האם התיכנון, הפיתוח,
היישום וההפעלה של המערכת מספקים את האמצעים לשמירה ולבקרה מפני איומים
פוטנציאליים.
הסקירה מתבצעת על ידי בחינה של כל משאב במונחים, המתייחסים למטרות של
בטיחות ואמינות.
לדוגמא:
- האם המשאב מוגן מגישה בלתי מורשה?
- האם הובטחה רמה נדרשת של אמינות?
- האם תוכניות לשעת חרום מספקות אמצעים אלטרנטיביים לביצוע הפונקציות,
הנעשות באופן נורמלי על ידי המשאב?
- האם הוגדרה אחריות לגבי המשאב?
פרופיל ההערכה הכללית מורכב מרשימה של המשאבים (בטור האנכי) ומדרגות
הערכה(בטור האופקי), כמתואר בטבלא מספר 4-1.
על מנת לבנות את פרופיל ההערכה הכללית, נעזרים בטבלאות עזר, המוקצות לכל אחד
מהמשאבים, כאשר לכל משאב מיוחסות 3 מטרות של בטיחות ואמינות (גישה, מהימנות
ותוכניות לשעת חרום, אחריות). דוגמא מובאת בטבלא מספר 4-2.
יתכן, שמשאב מסוים (למשל: "מיתקנים") יתפצל לתת משאבים (כגון: מבנים, מחשבים
וכדי). במקרה זה מקצים טבלא נפרדת עבור כל אחד מתת המשאבים. כמו כן מקצים
טבלא מסכמת עבור המשאב, כמודגם בטבלאות מספר 4-3, 4-4, 4-5,
39
10
טבלא מספר 4-1
פרופיל הערכה כללית
טוב מאד
4
נתונים 5
כח אדם 6
חוזים, הסכמים 7
טבלא מספר 4-1
משאב: שירותים ואספקה, מספר המשאב: 2
ו ותוכניות
לשעת חרום
טבלא מספר 4-3
המשאב: מתקנים [1] תת משאב: מבנים 4
=
מהימנות :שש
לשעת חרום
אחריות
2
טבלא מספר 4-4
המשאב: מתקנים [1] | תת משאב: מחשבים 8
גישה (1)
מהימנות ותוכניות
לשעת חרום (2)
טבלא מספר 4-5
סיכום המשאב מתקנים [1]
באופן דומה מקצים טבלאות עבור כל אחד מהמשאבים, כשלכל משאב מיחסים, כאמור,
3 מטרות של בטיחות ואמינות.
את התשובות לגליון השאלות מסמנים במקום המתאים בטבלאות העזר בהתאם
לאיזכור, המופיע בצד כל שאלה.
לדוגמא: להלן קטע של שאלון, המתיחס לנושא הבטיחות הפיסית:
שאלון עזר לבניית פרופיל ההערכה
2. בטיחות פיסית איזכור
1 בחירת האתר ותיכנונו לפרופיל
ז.ו.2 קביעת מקום
האם בעת בחירת האתר נלקחו בחשבון
האלמנטים הבאים:
(1) טופוגרפיה (אפשרות הצפה, אפשרויות גישה
בתנאי מזג אויר גרוע, שדות חשמליים או
אלקטרומגנטיים גדולים וכד')
(2) גישה לאמצעי תקשורת וכת
(3) קירבה לבנינים אחרים או לגורמים טבעיים,
שמהם ניתן לצפות בנעשה במקום
(4) אפשרויות גישה לאנשים בלתי מורשים
(5) אפשרויות גישה לכלי רכב בלתי מורשים
412
השאלה הראשונה בגליון השאלות מתיחסת לטופוגרפיה, שהינה בין היתר בעלת
השלכה לגבי תת משאב: "מבנים" (14) ותת משאב: "מחשבים" (18). מכיוון שהשאלה,
הקשורה בטופוגרפיה, מתיחסת למטרה: "אמינות ותוכניות לשעת חרום" (2) הן עבור
"מבנים" והן עבור "מחשבים", הרי שהתשובה לשאלה תסומן בטבלא 14 (טבלא מסי
3 לעיל) בשורה מספר 2 (היינו: (14)2) ובטבלא 18 (טבלא מס' 4-4 לעיל) בשורה
מספר 2 (היינו: (18)2). כל אחת מהתשובות תסומן בשורה המתאימה תחת טור ההערכה,
הנראה למבקר.
(הערה: מקובל לרשום בכל אחת מהטבלאות, בצד כל "מטרה" את מספרי השאלות
אליהן הן מתיחסות כאיזכור הדדי לגליון השאלות).
התהליך יבוצע לגבי כל שאלה בגליון השאלות.
כאשר כל התשובות סומנו בטבלאות העזר, תערך סכימה של כל טבלא בשורה התחתונה
של הטבלא. במקרים בהם משאב מפוצל לתת משאבים, הסכימה של טבלאות העזר,
המתיחסות לתת המשאב, תיצור סכימה כוללת למשאב.
סכימה כוללת של כל משאב תיצור נקודת הערכה בטבלת ההערכה הכללית (הפרופיל).
לדוגמא: ראה טבלאות מספר 4-6 עד 4-10 להלן.
טבלא מספר 4-6
המשאב: מתקנים 1 תת משאב: מבנים 4
זימנות ותוכניות
עת חרום (2)
טבלא מספר 4-7
המשאב: מתקנים 1 תת משאב מחשבים 8
ימנות ותוכניות
מה
לשעת חרום (2)
אחריות (5)
ס"ה
>3
טבלא מספר 4-8
סיכום המשאב: מתקנים 1[
הסכימה הכוללת למשאב "אספקה ושירותים"תראה כך:
טבלא מספר 4-9
המשאב: אספקה ושירותים 2
ה (1
מהימנות ותוכניות
לשעת חרום (2)
אחריות (3)
באמצעות כלים סטטיסטיים רלוונטיים, מתרגמים את הסכימה הכוללת של כל משאב
לנקודת הערכה בטבלת פרופיל ההערכה הכללית.
בהנחה, שההערכה הכללית מתיחסת למשאבים: "מיתקנים" ו"אספקה ושירותים"
בלבד, עשוי פרופיל ההערכה הבללית להראות כך:
טבלא מספר 4-10
פרופיל הערכה כללית
מעורר בר
יטל
5 ישן
אוו המ ו
4
חשוב לחזור ולהדגיש כי, התשובות וההערכה אינן חד ערכיות, מה עוד שחלק גדול
מהבסיס לתשובות וליצירת הפרופיל הינו סוביקטיבי. כמו כן אין להתעלם ממימצאים
ספציפיים יוצאי דופן (כגון: תשובות ששומנו כקריטיות, אשר יש להתיחס אליהן גם
בנפרד).
עם זאת הפרופיל עשוי לשמש כמדריך טוב ומועיל על ידי הפניית תשומת הלב
לתחומים, הדורשים בחינה מעמיקה יותר של הנושאים, שנבחנו.
5. גישת המטריצות לזיהוי, לתיעוד
ולהערכה של בקרות
וַ.5 מבוא
גישת המטריצות פורסמה על-ידי 816ז6שלוו ,1. .זכו מארה"ב ככלי עזר לזיהוי, לתיעוד
ולהערכה של בקרות במערכות מידע ממוחשבות.
גישת המטריצות מחלקת מערכת עיבוד נתונים אוטומטית מורכבת למרכיביה
הספציפיים (כגון תקשורת נתונים, מסדי נתונים, תוכנת מערכת, תוכניות יישום וכד').
לגבי כל אחד מהמרכיבים היא מזהה, מתעדת, ומעריכה את אמצעי הבקרה המיושמים
ו/או המתוכננים ליישום.
ניתן להשתמש בגישת המטריצות במערכות שבפיתוח ובמערכות קיימות. היא מהווה
כלי עזר בהכנת סקר ובחינה של בקרות פנימיות, בניתוח והערכה של סיכונים, בהכנת
תוכנית ביקורת ענ"א ובפיתוח סטנדרטים של בקרה בארגון.
2 שלבי יישום
יישום הטכניקה נעשה במספר שלבים:
= הכנת מטריצה בסיסית, המראה את הרכיבים של המערכת עליהם יש צורך להגן ואת
האיומים השונים על רכיבי המערכת.
= זיהוי הבקרות הספציפיות המתאימות למערכת, וקביעה האם הן מיושמות
(במערכות שבפיתוח"האם הן ייושמו).
תעוד הבקרות במטריצה.
₪ הערכה של הבקרות המיושמות (ו/או הבקרות שתיושמנה במערכות שבפיתוח).
= במערכות שבפיתוח - הכנת דו"ח על הערכת הבקרות המפרט את מידת נאותות
הבקרות שבכוונה לישם והמלצות לבקרות נוספות, במידת הצורך.
> אימות ובחינה של המערכת במטרה לוודא כי הבקרות שזוהו ותועדו, אכן פועלות.
כמו כן יש לבדוק את מידת יעילותן.
9 כתיבת דו"ח מסכם.
להלן נפרט ונדגים בקצרה את יישום גישת המטריצות, תוך התיחסות למערכת ממוחשבת
העובדת בתקשורת.
455
5.21 הכנת מטריצה בסיסית של רכיבים ואיומים
איזם הינו ארוע או צרוף של ארועים אשר במודע או שלא במודע גורם/ים לאובדן או
לפגיעה בנכסים.
רכיב הינו נכס במערכת עליו יש להגן מפני איומים.
רשימת איומים: שגיאות, מעילות, אובדן נתונים, אובדן תשדורות, גישה לא מורשה,
פרשטיות, אסון, בעיות תחוקתיות, טיפול בשגויים, תנועות המיוצרות על ידי המחשב,
התאוששות (צַז ו660ת) וְמְחַזֶר (8%65)911).
רשימת רכיבים: מסופי תקשורת, מפעילי מסופים (אנשים), תוכנת מערכת, תוכניות
יישום, קבצי נתונים, טפסים, נהלים וסטנדרטים תיפעולים, קווי תקשורת, דוח"ות
ממתעוב, מירנקנים ועוד.
לשם המחשה נשתמש במטרציה הכוללת רק חלק מהרכיבים והאיומים כדלקמן:
טבלא 5-1
מטריצת רכיבים ואיומים
התאוששות | תנועות - איומים
המיוצרות רכיבים
ע" המחשב ו
תוכנת
מערכת
תוכניות
יישום
קבצי
נתונים
נהלים
תיפעוליים
קווי
תקשורת
2 זיהוי הבקדות הספציפיות המתאימות למערכת
מתוך רשימות של בקרות יזהה המבקר את אותן בקרות המיושמות במערכת. זיהוי
הבקרות יעשה באמצעות ראיונות, ובאמצעות סקירת נהלים, דוח"ות מחשב ותרשימי
זרימה.
3 תעוד הבקרות במטריצה
שלב זה יתבצע על ידי סימון מספרים מזהים של הבקרות במשבצות המתאימות
במטריצה. עבור כל בקרה יש להעזר בתשובה ל-2 השאלות הבאות:
(1) איזה איום/איומים יופחת/ו או לא יתקיים/ו, אם הבקרה תיושם?
(2) על איזה רכיב/ים מגינה הבקרה?
לדוגמא: נניח שבשלב 5.2.2 זוהתה בקרה מסוימת המסומנת בסיפרה ו כדלקמן:
"במערכת משולבים אמצעים לבדיקות עריכה (66%5ת0 ):86) עבור נתוני הקלט כגון:
בדיקות תקפות, גבולות, עקביות בין שדות, סבירות, שלמות, רציפות, ספרות ביקורת".
בקרה זו מסיעת להפחית 3 איומים שונים, שהם: שגיאות, מעילות וטיפול בשגויים.
הבקרה מגינה על 3 רכיבים שונים, שהם: מפעילי מסופים, תוכניות יישום וקבצי נתונים.
פועל יוצא מהמתואר לעיל הוא שהסיפרה 1 המיצגת את אמצעי הבקרה "בדיקות עריכה"
(26685) :861) תסומן בתשע משבצות שונות כמודגם בטבלא 5-2.
טבלא 5-2
סימון בקרות במטריצה
התאוששות תנועות טיפול | מעילות | שגיאות
ומחזר המיוצרות | בשגויים
ע" המחשב
-- איומים
רכיבים
|
מסופי
תקשורת
מפעילי
מסופים
קבצי
נתונים
נהלים
תיפעוליים
קווי
תקשורת
17
8
באותה דרך יפעל המבקר לגבי כל אחת מהבקרות שזוהו בשלב 5.2.2 והתוצאה הסופית
של שלב זה תהיה מטריצה בה מתועדות כל הבקרות, דוגמת זו המובאת בטבלא מס 573.
התאוששות | תנועות טיפול | מעילות
ומחזר המיוצרות | בשגויים
ע" המחשב
79| 87,89| ,17,24| 7,42ק 37 |,8,24
2 5 סו 2
2
טבלא 573
מטריצה סופית
-- איומים
רכיבים
ן
מסופי
תקשורת
מפעילי
מסופים
| 0 4 4, ו ,10, 1
8 22,28| 22,28 0 8, 22
4 | 72112 72
12 2 ,1,6| 1,18| ,1,10
1.9 גל 44 08 17
7 18,57| 37, 18
9 110
]56,93 ]37 ,44| 8 87,898 7 ,92
55 1:0 110
7, 85 0 |82194] - 156
4 הערכת הבקרות
תוכנת
מערכת
תוכניות
יישום
קבצי
נתונים
נהלים
תיפעוליים
קווי
תקשורת
בר
4
במערכות קיימות מבוצעת בשלב זה הערכה ראשונית של הבקרות, אשר אמורות לפעול
במערכת.
במערכות שבפיתוח מבוצעת הערכה של הבקרות, אשר הוחלט לכללן במערכת
המפותחת.
ההערכה יכולה להעשות במספר רמות:
(1) הערכה של בקרות, אשר נותנות הגנה על רכיב ספציפי מפני איום ספציפי
(הערכה של כל משבצת בנפרד)
במטריצה שבטבלא 5-4 בקרות מס' 8, 24, 32 מגינות על מסופי תקשורת מפני שגיאות.
מספר רב של בקרות במשבצת ספציפית לא מעיד בהכרח, כי הרכיב מוגן היטב מפני
האיום, מכיוון שיתכן שהבקרות הינן מפצות. מאידך, העדר בקרות במשבצת ספציפית
לא מעיד על חשיפת הרכיב לאיום. זאת מכיוון שיתכן שאין כלל מימשק/קשר בין הרכיב
והאיום. לדוגמא: העדר בקרות במשבצת המתיחסת לאיום "אסון" ולרכיב "טפסים".
טבלא 5-4
הערכת משבצות ספציפיות במטריצה
התאוששות | תנועות
ומחזר המיוצרות
יבי
ע" המחשב רפיבים
9 87,85| ,24, - 2, 7 מסופי
2 תקשורת
7,0 7 כ 1 -- 1| מפעילי
73 מסופים
22,568 8| 22,28 | 22,28 8, 22| תוכנת
מערכת
י, 9" . .0 ,10,]| 1,10| תוכניות
1 72 יישום
2 7 .4 8, 1 קבצי
2 08 1 גתונים
-- איומים
(2) בחינה והערכה של הבקרות, אשר מגינות על כל הרכיבים הכלולים במטריצה מפני איום
ספציפי
למשל: בטבלא 5-5 בקרות מס' 37, 1, 114, 22, 10, 72, 18, 68, 110, 56, 93, 177, 182,
4, מגינות על כל הרכיבים מפני מעילות.
(3) בחינה והערכה של הבקרות, אשר מגינות על רכיב ספציפי מפני כל האיומים
למשל; בטבלא 5-6, בקרות מס' 1, 10, 73, 114, 4, 7, מגינות על מפעילי המסופים מפני
כל האיומים הכלולים במטריצה.
5 הכנת דו"ח ביניים על הערכת הבקרות (במערכות שבפיתוח)
הכנת דו"ח על הערכת הבקרות במערכות שבפיתוח צריכה להעשות בשלב עיצוב
המערכת ולפני שלב כתיבת התוכניות (התיכנות).
השלב הראשון בדו"ח מצריך זיהוי של בקרות מומלצות, אשר לא מתוכנן ליישם
במערכת, ואשר לדעת המבקר, הן חיוניות.
המבקר יתעד בקרות אלה במשבצות המתאימות במטריצה באמצעות אותיות (6,8,3
וכד'), אשר יסומנו בכל מקום בו, לדעת המבקר, הן מפחיתות איום או מגינות על רכיב.
(ראה טבלא 577).
המטריצה תלווה בדו"ח מילולי, שיכלול הסבר ותאור המטריצה, הערכה של מידת
נאותות הבקרות, שבכוונה ליישם והמלצות של המבקר ליישום אמצעי בקרה נוספים,
אשר נראים לו חיוניים.
149
טבלא 5-5
הערכת בקרות המגינות מפני איום
התאוששות תנועות טיפול
אסון ומחזר המיוצרות | בשגויים
ע" המחשב
9 ,24 / 0 ,7
ה
| 8 | 22,28|22,28
.4 |,10, 1
4 112 2
112 2, ]| ,1,6|
1-99 22 44
7, 8
6 1
77| 87,89 8 | 44, 37|
5 0 |
2 87,889 7 | ,199
7, ₪5 0 [ן
טבלא 5-6
.42, 7 42, 57 7
55
הערכת בקרות המגינות על רכיב
28 ,22 8 |26, 22 2 |28, 22
מעילות | שגיאות | -- איומים
רכיבים
ן
84 מסופי
2 | תקשורת
0, 1 | מפעילי
3 | מסופים
22,208 תוכנת
מערכת
10 תוכניות
?0 יישום
1,030 קבצי
17 נתונים
6 נהלים
תיפעוליים
1212 קווי
6 תקשורת
, 24, 8| מסופי
2 | תקשורת
מפעילי
מסופים
87,889 9
2
2 22 תוכנת
מערכת
2 |. 0 | 1,10 | תוכניות
44 יישום
12 2, 18, 4 -- 5 0 | קבצי
19 72 4 08 17 נתונים
7, 18 57, 18| 37, 18| טפסים
5 110
7, 17] 87,89 8, 357 56,93] ,92] מלים
5 0( 6 | תיפעוליים
2, 64 9, 87 117 ,177| ,152 קווי
7, 85 0 |82,194 | 6 תקשורת
טבלא 5"7
מטריצה סופית עם המלצות
התאוששות | תנועות טיפול | מעילות | שגיאות
ומחזר המיוצרות | בשגויים
ע" המחשב
, 87 39 | ,17,24 73 7 |, 24, 8 מסופי
12| 5 12 2 | תקשורת
0 | 1,114 10 מפעילי
: 5 מסופים
מערכת
1 84, 54, 4| ,1,10| ,1,10| 1,10| תכניות
72,12 2 יישום
.4 ,1,6]| ,1,18| ,1,10| קבצי
2 44 8 | 177 נתונים
7 57, 18| 37 18| טפסים
46 >
7 || 7,889 4, 37| ,56 92,110| נלים
85 0 95 תיפעוליים
2, 64 9, 87 7 9 ,152 קווי
7, 85 סן 194 6 תקשוות
6 אימות ובחינה של המערכת
- איומים
רכיבים
במערכות שבפיתוח יבוצעו אימות ובחינה של המערכת בשלב הניסוי במטרה לוודא, כי
הבקרות, שהוחלט על יישומן, אכן יושמו, וכי הן פועלות כראוי.
הן במערכות, אשר כבר פועלות, והן במערכות שבפיתוח יבוצעו האימותים והבחינות
באמצעות כלים וטכניקות לביקורת ענ"א המפורטים בפרקים הבאים (כגון: 2803 /165,
שדז,סימולציה וכד').
7 כתיבת דו"ח מסכם
בדו"ח יפורטו ממצאי האימותים והבחינות, שערך המבקר, והוא יתן תשובות לשאלות
האם הבקרות קיימות, האם הן פועלות ומה מידת יעילותן.
3 מודלים של דרוג בקרות
באמצעות קביעת ניקוד לבקרות והקצאת עלויות, הדרושות לבנייה ו/או להפעלה של
הבקרות ניתן לבנות מודלים של דרוג בקרות בהתיחס לניקוד, לאפקטיביות של בקרות
(התחשבות בניקוד ובעלות) ולשיקולי עלות תועלת (תוך התחשבות בניקוד, בעלות
ובמספר המופעים של הבקרה במטריצה).
ו5
2
להלן מספר דוגמאות
1 הקצאת ניקוד לבקרות
ניקוד
5
משמעותו
הבקרה חייבת להיות מיושמת על מנת למנוע חשיפה
של הרכיב לאיום.
בקרה זו חייבת לתת הגנה של יותר מ"90% כנגד
איום או עבור הרכיב.
הבקרה צריכה להיות מיושמת על מנת להגן על הרכיב
מפני חשיפה פוטנצילית רצינית.
בקרה זו חייבת לתת הגנה של 90%775% כנגד האיום
או עבור הרכיב.
בקרה זו רצוי ליישם כדי לספק הגנה של 75%750%
כנגד האיום או עבור הרכיב.
ניתן ליישם בקרה זו במידת האפשר, כדי לספק הגנה
של 33%-50% כנגד האיום או עבור הרכיב.
אם יש מספיק מקורות, ניתן ליישם בקרה זו, אשר
תיתן הגנה הפחותה מ*33% כנגד האיום או עבור
הרכיב.
2 סימון הבקרות והניקוד במטריצה
לכל בקרה הכלולה במטריצה קובעים את הניקוד בהתאם לרמת ההגנה החזויה עבור
הרכיב מפני האיום. הניקוד שנקבע מסומן במטריצה בצד מספר הבקרה.
טבלא 5-8
ניקוד בקרות במטריצה
1)5( ,11)4(
4)2(
3
המטריצה שבטבלא 5-8 כוללת 3 איומים (המסומנים ב- ו7 ,12 ,13) ו37 רכיבים
(המסומנים ב-ו₪ ,82 ,83). במשבצות השונות במטריצה מתועדות הבקרות, שזוהו, ובצד
כל אחת מהן מסומן (בתוך סוגריים) הניקוד, שנקבע לבקרה.
שים לב כי לבקרות זהות ניתן לתת ניקוד שונה במשבצות שונות. בקרה 1, למשל,
קיבלה:
ניקוד 5, כאשר היא מיושמת כהגנה על רכיב 81 מפני איום וץ,
ניקוד 2, כאשר היא מיושמת כהגנה על רכיב 82 מפני איום 72,
ניקוד 3, כאשר היא מיושמת כהגנה על רכיב 82 מפני איום 173.
3 קביעת ציונים כלליים לבקרות
בטבלא 5-9 ניקוד הבקרות המגינות על כלל הרכיבים מפני איום 11 הוא 2.9. ניקוד זה
מתקבל על ידי סיכום הניקוד של כל הבקוות הספציפיות בטור האנכי
ויד (29=5+4+2+5+1+1+3+5+1+2) וחלוקתו במספר הבקרות בטור זה (10). באותו אופן
נמצא, כי ניקוד הבקרות המפחיתות את איום 12 הוא 4.0 ואת איום 2.1-13.
ניקוד הבקרות המגינות על רכיב 81 מפני כל האיומים הוא 3.2.
ניקוד זה מתקבל על ידי סיכום הניקוד של הבקרות הספציפיות בטור האפקי וא (32)
וחלוקתו במספר הבקרות בטור זה (10). באותו אופן נמצא כי ניקוד הבקרות המגינות על
רכיב 82 הוא 2.6 ועל רכיב 83 הוא 3.6.
מכאן ניתן להגיע למסקנה, כי:
- הבקרות, המיושמות להגן מפני איום 12 , נותנות הגנה ברמה יותר גבוהה מאלה,
המיושמות להגן מפני איום 71
- הבקרות, המיושמות להגן על רכיב 3א8, נותנות הגנה ברמה יותר גבוהה מאלה
המיושמות להגן על רכיב וא.
טבלא 5*9
קביעת ציונים כלליים לבקרות
(11)4, (1)5
(4)2
5)פ
14
4 חסרונות מודל ניקוד הבקרות
מודל דרוג הבקרות באמצעות ניקודן נראה לכאורה כאמצעי יעיל להערכת בקרות. אולם
בפועל הוא לוקה במספר חסרונות, אשר עלולים לגרום לעיוותים או להסקת מסקנות
מוטעות באשר לרמת ההגנה, שמספקות הבקרות:
(1) עלול להיות מצב, שבו הציון הכללי של הבקרות, המגינות על רכיב מסוים, הוא גבוה
יותר מהציון של הבקרות, המגינות על רכיב אחר, אולם הבקרות מגינות על הרכיב
המסוים רק מפני חלק מהאיומים. למשל: הציון הכללי של הבקרות, המגינות על רכיב
3 הוא 3.6 (שהוא גבוה מהציון הכללי של הבקרות, המגינות על רכיב 2 8), אולם
בקרות אלה אינן מבטיחות הגנה על הרכיב מפני איום 3 17.
(2) תוספת בקרות, שניקודן יחסית נמוך, עלולה לגרום לשינוי הציון הכללי של הבקרות.
כתוצאה מכך עלולה להשתנות המסקנה באשר לרמת ההגנה שמספקות הבקרות
המגינות על רכיב מסוים מפני כלל האיומים (או באשר לרמת הבקרות המגינות על כלל
הרכיבים מפני איום מסוים).
לדוגמא:
מצב אי מצב ב'
1)5(,11)4(
4)2(
9)5(
במצב א' הציון הכללי של הבקרות, המגינות על כלל הרכיבים מפני איום 11, הוא 4.3.
במצב ב' הוספנו מספר בקרות, וכפועל יוצא קטן הציון הכללי של הבקרות ל 2.9.
יתכן שניתן למנוע עיוות זה, אם לצורך קביעת הציון הכללי של הבקרות נתחשב רק
בבקרה בעלת הציון הגבוה ביותר בכל משבצת. בגישה זו היינו מתחשבים במצב ב'
המתואר לעיל רק בבקרות מספר 1 (או 9) במשבצת 71 81, בבקרה מספר 34 במשבצת
ו1:א, ובבקרה מספר 1 במשבצת 11 83. הציון הכללי שיתקבל הואך 4 5+3+5, הזהה
לציון הכללי שנתקבל במצב א'. 3
5
5 ניקוד עלויות
מודל דרוג והערכת הבקרות, כפי שהוצג עד עתה אינו מביא בחשבון את העלויות,
הכלולות ברכישה, בבניה ובהפעלה של הבקרות.
בשלב זה נוסיף למודל ניקוד של עלויות.
למשל:
ניקוד משמעותו
השקעה של יותר מ-12 חודשי אדם או שווים במונחי כסף
השקעה של 12-6 חודשי אדם או שווים במונחי כסף
השקעה של 6-3 חודשי אדם או שווים במונחי כסף
השקעה של 3-1/2 חודשי אדם או שווים במונחי כסף
השקעה של 15-1 ימי אדם או שווים במונחי כסף
פחות מיום עבודה אחד או שוויו במונחי כסף
0 32 ₪
6 דרוג בקרות על בסיס עלות תועלת
הדוגמא הבאה ממחישה אפשרויות בחינה של אפקטיביות השוואתית בין בקרות תוך
התיחסות לניקוד (חיוניות) הבקרות ועלותן.
ורוו חורו ורוו ויר
ניקוד עלות הסיכום הכולל של מספר
הבקרה ניקוד הבקרה הבקרה
בכל המטריצה
3 155 1
סנ 9
1 133 12
הנתונים בטבלא מורים, כי בקרה מס' 1 אפקטיבית יותר מבקרה מס' 12, מכיוון שגם
הסיכום הכולל של הניקוד שלה גדול יותר (15<13) וגם עלותה נמוכה יותר (3 לעומת
1). אולם בהשוואת בקרה מס' 1 לבקרה מספר 9 לא ניתן להגיע למסקנה חד ערכית. זאת
מכיוון שהסיכום הכולל של הניקוד שלה אמנם גדול יותר מזה של בקרה מספר 9
(15<10 ), אולם עלותה של בקרה מס' 1 גדולה יותר (3 לעומת 5).
נוסיף, איפוא, גורם נוסף לצורך קביעת דרוג הבקרות והוא: מספר המופעים של הבקרה
במטריצה.
הניתוח הבא יתבסס על הגורמים הבאים:
- סיכום הניקוד של הבקרות במטריצה
- עלות הבקרות
- מספר המופעים של הבקרות במטריצה
מספר
הבקרה
עלות הבקרה מס' הסיכום של ניקוד
(בשקלים) המופעים הבקרה בכל המטריצה
1 155 4 1,000
9 10 3 00
12 133 4 1000
6
לשם קביעת דרוג הבקרות נשתמש בנוסחה הבאה, הלוקחת בחשבון את 3 הגורמים
(ניקוד, מספר המופעים ועלות).
מספר המופעים < עלות = שיקלול בקרה ע
סיכום הניקוד הכולל
0 = 4 - = שיקלול בקרה 1
0 = 3א 0 = שיקלול בקרה 9
7 = 4<א = = שיקלול בקרה 12
ומכאן שדרוג הבקרות יהיה כדלקמן:
במקום הראשון, בקרה מס' 9 (לה הציון המשוקלל הנמוך ביותר) אחריה, בקרה מספר 1
ולבסוף בקרה מס' 12.
המודלים של דרוג הבקרות, כפי שתוארו לעיל, אינם מתיימרים להיות מודלים
סטטיסטיים מושלמים.
ניתן לטעון למשל, כי:
- יש למדוד אפקטיביות של בקרה מסוימת כלפי איום ספציפי בלבד, ולא כלפי כלל
האיומים.
- אין להסתפק רק בניקוד הבקרות, בעלותן ובמספר המופעים שלהן, אלא יש לשקלל גם
את הרכיבים לפי חשיבותם ואת האיומים לפי הסתברות מופעיהם.
המטרה של הצגת המודלים לדרוג הבקרות הינה להמחיש בצורה פשוטה, כי המטריצה
מהווה בסיס להערכה של בקרות, המיושמות (או המתוכננות ליישום) במערכת מידע
ממוחשבת.
6. טכניקות לבדיקה של תוכניות
יישום ממוחשבות
1 נתוני בדיקה (ג)3כ /7765)
1 סקירה כללית
טכניקה זו בשימוש על מנת לאמת ולבחון את עיבודי המחשב. תוצאות הבחינה יעזרו
למבקר לקבוע האם תוכנית היישום מעבדת את הנתונים באופן לוגי, והאם מיושמות בה
בקרות נאותות.
מקור המושג 2318 )165 הינו מתחום עיבוד הנתונים. בכל כתיבת תוכנית מחשב קיימים
מספר שלבים החל מהגדרת המטרות וכלה ביישום התיכנותי. אולם גם אם פיתוח וכתיבת
התוכנית יעשו בהתאם לתיכנון, עדיין עלולים להימצא בתוכנית שיבושים. השיבושים
יכולים להיגרם כתוצאה מליקויים בתקשורת בין המשתמש והמתכנת, עקב טעויות
לוגיות, מאי כיסוי כל האפשרויות וכדומה. לפיכך, לפני הפעלת התוכנית עם נתוני הייצור
היא נבדקת על ידי פונקצית ענ"א באמצעות ריצת הדמיה של פעילות היצור. מטרתה
העיקרית היא לבדוק האם התוכנית פועלת באופן לוגי ואמין ועונה לדרישות המשתמש.
טכניקה זו אומצה על ידי מבקרי ענ"א לצורך בדיקת תוכניות יישום ממוחשבות.
באמצעותה המבקר בודק את אמינות התוכנית (ללא צורך בידע טכני, הדרוש לקריאה
והבנה של תוכנית המחשב). כמו כן בודק המבקר עמידה במקרים לא צפויים, לא סבירים
או לא חוקיים. המבקר יכול לוודא, כי הגירסה של התוכנית היא זו שתיכנותה אושר, כי
לא הוכנסו בה שינויים לא מורשים, והאם מיושמים בתוכנית אמצעי בקרה נאותים.
המבקר יוצר את נתוני הבדיקה בעצמו. הנתונים מעובדים על ידי תוכנית היישום,
ותוצאות העיבוד מושוות לתוצאות אשר המבקר מצפה לקבל. המבקר יכול לבצע את
הבדיקה לגבי חלקים מסויימים של תוכנית המחשב, או יכול לבחון כל סוג של תנועה
אפשרית.
טכניקה זו, בפשטותה, מהווה נקודת התחלה טובה למבקרים, הרוצים לבצע ביקורת של
תוכניות מחשב לבחינות התאמה של מערכת יישום ממוחשבת. זאת מכיוון שהפעלתה
יכולה להתבסס רק על נהלי המשתמש וטפסי קלט, והיא אינה מצריכה כישורים מיוחדים
של המבקר.
7
רת תייייייר--------- ו
8נג'
השימוש בטכניקה מאפשר למבקר להכיר היטב את מערכת היישום והזדמנות מעשית
להכיר את פונקציות עיבוד הנתונים שבשימוש האירגון. באמצעות הטכניקה המבקר יכול
להשיג ראיות אוביקטיביות למידת ההתאמה של תוכניות מחשב לשיטות ולנהלים.
בדיקות חוזרות יכולות להתבצע על ידי שימוש בסטים מוכנים של נתוני בדיקה לאימות
תוצאות, שחושבו מראש. יישום הטכניקה אינו מצריך תיכנות מיוחד או סיוע של אנשי
ענ"א בהכנת נתוני הבדיקה ובניתוח התוצאות.
2 הידע הנדרש מהמבקר
על מנת ליישם את הטכניקה באופן יעיל נדרשת מהמבקר:
- הבנה כללית של תהליך זרימת הנתונים (קלט, עיבוד ופלט)
- הכרת הנושא הנבדק ונהלי העבודה, שנקבעו על ידי הנהלת האירגון
- ידיעת הנהלים התיפעוליים להזרמת נתוני הבדיקה לקליטה במחשב
- הבנת הפלט של תוצאות העיבוד, המתקבל בדרך כלל בדוח"ות מחשב
3 שלבים ובעילויות ביישום הטכניקה
על פי המתואר ב"*וזסק6א -546*, יישום הטכניקה נעשה ב-3 שלבים, כאשר כל אחד
מהשלבים מורכב ממספר פעילויות:
(1) סקר מערכת היישום
מטרתו להשיג הבנה של היישום על מנת לקבוע אלו הבטים של המערכת יהיה צורך
לבחון.
הפעילויות המבוצעות בשלב זה הן:
פתיאום גישת הביקורת
המבקר נפגש עם אנשי עיבוד הנתונים ועם נציגי המשתמשים, מסביר להם את מטרות
הביקורת הכלליות, ומשיג שיתוף פעולה מצד גורמים אלה. תיאום ושיתוף הפעולה
חשובים במיוחד, כאשר מבוצעת ביקורת לראשונה.
6 סקר התיעוד
המבקר סוקר את התיעוד של המשתמשים ושל יחידת המחשב. בחינת תיעוד המשתמש
תיכלול בין היתר טפסים, יומני פעילות, נהלים, תדריכים ולוחות זמנים. בחינת התיעוד
ביחידת המחשב תיכלול מבני רשומות, נהלי בקרה ואיזונים, תרשימי זרימה, לוחות זמני
עיבוד וכד'.
הסקר נעשה ברמת מערכת, ורק במקרים ספציפיים (לדוגמא: כאשר אין תיעוד) יש צורך
לסקור תוכניות ספציפיות.
מטרת הסקר היא להשיג הבנה טובה של הפונקציות הכלולות במערכת היישום וסוגי
התנועות שבשימוש.
התבוננות בהכנת הקלט
המבקר מבקר במקומות בהם מכינים את הקלט למחשב. במסגרת הביקור הוא בוחן את
נהלי הכנת הקלט ואת נהלי הבקרה, הקשורים בהכנת הקלט. תשומת לב ניתנת לאיזוני
קלט ולתיקוני שגויים והזרמתם למערכת הממוחשבת.
6 התבוננות בזרימת התנועות
זרימת התנועות בין המשתמש למחשב חשובה מנקודת ראות של אמצעי בקרה. המבקר
קובע אם קיימים אמצעי בקרה נאותים בתהליך זרימת הנתונים, על מנת לוודא, כי
הנתונים מתקבלים לעיבוד באופן שלם, ומבלי שנעשו בהם שינויים.
9 התבוננות בתהליך הפלט
תהליך הפלט נבחן על מנת לוודא את נאותותו והתאמתו לנהלים, שנקבעו.
(2) תיכנון הבדיקות
בשלב זה קובע המבקר את מטרות הבדיקה, את הלוגיקה של הבדיקה, את סוגי התנועות
שיבדקו ואת היקפן.
הפעילויות המבוצעות בשלב זה הן:
₪ הכנה ותיעוד של תוכנית הבדיקה
המבקר מפתח רשימה של סוגי תנועות ומצבים, שיבחנו. הוא מזהה את הרוטינות
בתוכנית היישום שיבחנו, וקובע, איזה אמצעי קלט יהיה בשימוש (טפסים, כרטיסים,
מסופים).
המבקר צריך להחליט אם יעשה שימוש בנתוני ייצור או בנתוני סרק, אלו קבצי אב יהיו
בשימוש, ומה יהיו ההיקף והכמות של נתוני הבדיקה.
9 תיאום הבדיקות
המבקר נפגש עם אנשי המחשב ונציגי המשתמשים על מנת להסביר להם את הבדיקות
המתוכננות. התאום עם יחידת המחשב חשוב במיוחד, מכיוון שיחידת המחשב צריכה
לספק לצורך הפעלת הבדיקות את תוכנית היישום שבייצור והעתקים של קבצי אב. כמו
כן עליה להקצות זמן מחשב לצורך ביצוע הבדיקות. חשוב לוודא, כי נתוני בדיקה וקבצי
בדיקה לא ישולבו בטעות עם נתוני ייצור.
(3) ביצוע והערכת הבדיקות
תרשים 6-1 מדגים מחזור עיבוד של נתוני ייצור לעומת מחזור עיבוד של נתוני בדיקה.
מן הראוי להדגיש, כי ניסוי תוכנית הייצור באמצעות טכניקת ה-2418 1651 אינו מבוצע
במהלך העיבוד של נתוני הייצור, אלא בנפרד.
תרשים 671
מחזור עיבוד של נתוני ייצור ומחזור עיבוד של נתוני בדיקה
59
הפעילויות המבוצעות בשלב זה הן:
6 יצירת נתוני הבדיקה
קיימות מספר גישות ליצירה של נתוני בדיקה:
- שימוש בכל הסוגים של טפסי הקלט הקיימים, במטרה לבצע בדיקה של כל המצבים
והתנאים המוגדרים בתוכנית הניסוי. הטענה, המושמעת נגד גישה זו, היא, שביצועה כרוך
בביזבוז משאבים רבים (זמן הכנה רב, זמן עיבוד גדול וכדי) ובעובדה שבאופן מעשי קשה
ליישמה.
- הכנת סטים של נתוני בדיקה לאימות רוטינות ספציפיות בתוכנית היישום. גישה זו
מבטיחה, כי פונקציות קריטיות יבחנו עם משתנים ידועים, וכי בשל ההיקף הקטן של
הנתונים יהיה קל יחסית לבחון את תוצאות הבדיקה מול תוצאות, שיקבעו מראש.
- שימוש בסטים של נתוני ייצור: על פי גישה זו המבקר בוחר סטים מתוך נתוני ייצור,
שעובדו בעבר על ידי תוכנית היישום, על מנת להזרימם למחשב כנתוני בדיקה.
הסכנה בגישה זו היא, שהמבקר עלול להשתמש בסטים של נתונים בהיקף רחב, אשר לא
יבחנו את הרוטינות הספציפיות והקריטיות, שאותן רוצה המבקר לבדוק. חסרון נוסף של
גישה זו הוא בכך, שהיא כרוכה בביזבוז זמן רב במעקב אחר תוצאות הבדיקות, שאינן
ידועות מראש. לכן יישום גישה זו מצריך בחינה מדוקדקת של הנתונים, שיבחרו על מנת
לוודא, שהם יוכלו לבחון את הפונקציות הדרושות בתוכנית היישום.
9 בחינה והערכה
המבקר עורך את נתוני הבדיקה, הנתונים מוזרמים למחשב ומעובדים באמצעות תוכנית
היישום.
נתונים, המוזרמים למחשב במסגרת הבדיקה, מיועדים בדרך כלל לבחון ולאמת:
- תקפות רוטינות, המטפלות בתנועות קלט, על מנת לוודא, כי יושמו בהן אמצעי
בקרה לבחינת תקפות, שלמות ודיוק הנתונים ולאיתור שגיאות
- לוגיקות עיבוד ובקרות, הקשורות ביצירה של רשומות אב ממוחשבות
- רוטינות חישוב כגון: חישובי ריבית, שכר, פחת וכדי
- ביצוע שינויים בתוכניות
- התאמה לשיטות ולנהלים, שנקבעו באירגון
בעת עריכת הבדיקות יש להקפיד, כי ייעשה שימוש במהדורת התוכנית שבייצור, וכי
תעשה הפרדה של התוכנית ושל קבצי האב, המשתתפים בבדיקה, מסביבת הייצור. זאת
על מנת למנוע מצב בו נתוני הייצור או תוצאות הבדיקה ישולבו בטעות בקבצי הייצור.
תוצאות העיבוד של נתוני הבדיקה מושוות לתוצאות, שחושבו מראש או לתוצאות, אשר
המבקר מצפה לקבל מהבדיקות. המבקר מנתח הבדלים בתוצאות, ומגיע למסקנה ולחוות
הדעת הדרושה.
בטבלא מס' 6-2 מובאת דוגמא של נייר עבודה, שמטרתו לתעד את הבדיקות, שתוכננו,
ובוצעו ואת התוצאות בפועל לעומת התוצאות הצפויות.
4 החסרונות הטכניקה
- יצירת נתוני בדיקה יעילים צורכת משאבי אנוש גדולים ומצריכה זמן רב. הדבר נכון
במיוחד, כאשר המבקר שואף לבדוק כל סוג של תנועה אפשרית, וככל שתוכנית היישום
מורכבת יותר.
- השימוש בטכניקה מוגבל לבדיקה של פונקציות מעטות במערכת היישום. לביצוע
בדיקות מקיפות מקובל להשתמש בטכניקות ביקורת אחרות כגון:
.ח10)הט[3 וח57506 6-56 ₪356 ,יד
הטכניקה אינה יעילה לבחינה וניסוי של מערכות מתקדמות, הפועלות בתקשורת עם
מסדי נתונים.
טבלא 671
נייר עבודה לתיעוד נתוני בדיקה
תאריך
שם הפכהי-----------------
תוצאות בפועל
אצוות בדיקה בנוטא.
הטדה מטרר הבדזקה הבויקה איזכור
- הטכניקה מאפשרת לבדוק תוכניות מחשב באמצעות סקירת דוח"ות הפלט של
תוצאות העיבוד. קשה לבחון באמצעות הטכניקה עיבודי ביניים, ועיבודים אשר הפלט
שלהם אינו מודפס בדוח"ות.
5 ניתוח ארוע
תוכנית יישום מטפלת בקליטה ובעיבוד של הלוואות ללקוחות, הנפרעות בתשלומים
חודשיים, כדלקמן:
(1) למחשב מוזרמים נתונים על סוג ההלוואה, על מספר חשבון ההלוואה, על מספר
החשבון הכספי, שיזוכה תמורת ההלוואה, ואשר יחויב בהחזרים החדשיים לפרעון
ההלוואה (להלן - חשבון התמורה), על ערך לביצוע (תאריך תחילת ההלוואה לצורך חישוב
הריבית), על שיעור הריבית, על סכום התשלום (ההחזר) החודשי, על מועד הפרעון של
התשלום הראשון (החל מ...), על מספר התשלומים ועל ס"ה התשלומים.
% ריבית ערך לביצוע מס' חשבון התמורה מס' חשבון ההלוואה סוג ההלוואה
ס"ה תשלומים מספו תשלומים החלמ... סכום תשלום
(2) המחשב קולט את הנתונים, עורך חישוב של סכום הריבית, ויוזם פעולות כדלקמן:
-חיוב חשבון ההלוואה בסכום ברוטו, זיכוי חשבון "הכנסות ריבית" בסכום הריבית,
שחושבה, וזיכוי חשבון התמורה בסכום ההלוואה בניכוי סכום הריבית.
-יצירת הוראת קבע לחיוב חודשי (בהתאם למספר התשלומים ) של חשבון התמורה
וזיכוי חשבון ההלוואה בסכום התשלום החודשי.
להלן מספר דוגמאות, הממחישות רמות שונות לבחינה של עיבודי תוכניות היישום
באמצעות טכניקת ה-ג231 )65
1
2
תווריך -43/40/0%.----- טבלא 6"3
הדגמה ליישום טכניקת 308 )0
הותווה לביקורת ענ"א טם המנהר > )אאא 0-20
ראפ 4 : בבִיכת. ספות אצוות בדיקה נכוטא: | ב )ושוות.
הבדוקה
[אומ| חית תות/מו? גו >
|3'ווח. /6. מףפון. תאורר ב 2 וי
4 וח חס תאולף = |30-8 | כ60ת. 9699 ווח ות = |ל6וש9 (9608, 80% +
יונב 0906ת. "ורתי הפא /) טפ <השפו|. | |פות ספות תרש 26%
אע כ 9905 9% 86 | = = את ₪ י? תיקול6'. 99 = |תגו91 קטפון תאוסב, שצן.
9/0 2 הספונות. 3תאו90... .2 . 2 קל 43 | = |
צר '
9 > פורת 8%6ות..
| 3 וימות ₪ כ 3 |בגחס
2 6 95
כ==----- בש 01003 14007 אוה 5 ההויוחי.------=-> ב |6ן. 4איפקד, 167 שענלי
33
רמה 2 - בדיקת קשר בין שדות
דוגמאות:
השדות הבדיקה
6 "ערך לביצוע" בקובץ הלוואות בחינה על מנת לוודא זהות בין ערך הביצוע,
₪ "ערך" בקובץ חשבונות שנקבע להלוואה לבין הערך, שנקבע לפעולת
התמורה. הזיכוי (תמורת ההלואה) בחשבון התמורה.
> סכום תשלום בחינה כיצד פועלת תוכנית המחשב, כאשר
> מספר תשלומים סה"כ תשלומים + מספר התשלומים א סכום
6 ס"ה תשלומים תשלום.
9 סוג ההלוואה הזרמת הלוואה בסכום העולה על המותר לגבי
סכום ההלוואה סוג זה של הלוואות.
רמה 3 - בחינות רשומה/רשומות
דוגמאות:
(1) הזרמת נתוני הלוואה במטרה לבחון, אם סכום הריבית,המחושב על ידי תוכנית
היישום, שווה לסכום הריבית, שחושבה מראש באופן ידני.
(2) הזרמת מספר הלוואות בסכום ובשיעור ריבית זהים, כאשר הגורם המשתנה הוא
תקופת ההלוואה, במטרה לבחון את סבירות החישובים.
הלוואות בסכום א
שיעור ריבית ץ
סביר
(3) בדיקה להשוואת נתוני ההלוואה, שנקלטה, לנתוני הוראות הקבע, שיצר המחשב
לצורך פרעון ההלוואה.
סכום הריבית
שחושבה
תקופת ההלוואה
2 מחולל נתוני בדיקה (1126 - ז10ז6ת26) 2318 +7765)
1 סקירה כללית
המבקר יכול להקטין את משך הזמן הדרוש להכנת נתוני הבדיקה על ידי שימוש בתוכנה
ליצירת נתוני בדיקה.
בשימוש פשוט בתוכנה זו המבקר מספק תאור של פריטי נתונים, שיטת יצירת הנתונים
ומספר הרשומות, שברצונו ליצור.
התוכנה יוצרת את הנתונים על ידי הקצאה אקראית או סדרתית של ערכים, התואמים
את תאור הנתונים. המבקר יכול לפקח או לשלוט על יצירת נתוני הבדיקה על ידי הגדרת
תחומים עבור הנתונים או באמצעות הקצאת נתונים לשדות מסוימים. הפלט, הכולל את
נתוני הבדיקה, יכול להתקבל בדוח"ות מודפסים וניתן גם לאחסנו באמצעי אחסנה
מגנטי, שישמש כקלט לתוכנית היישום. תוכנית היישום מעבדת את תנועות/נתוני
הבדיקה, ותוצאות העיבוד מופקות כפלט לניתוח ולהסקת מסקנות על ידי המבקר.
א
>4
תרשים 6-4
תאור לוגי של טכניקת 6
1 תאור זרימת מהלכים של תוכנה ספציפית
תרשים 6-5 מדגים זרימה של מהלכים המבוצעים ע"י תוכנת
זג זת26) 12313 )165 של חברת בורוז.
תרשים 675
זרימת מהלכים של תוכנה ספצינית
ליצירת נתוני בדיקה
5
(ז) 126 - מאחד קלט ממקורות שונים בהתאם לדרישות המשתמש ויוצר קובץ
פרמטרים (הת כד).
(2) א=סכד - מקבל כקלט את קובץ הפרמטרים (חח10067) ושלד של תוכנית
המסופקת על ידי היצרן (1206025%) ויוצר תוכנית מקור בקובול (חת7265).
(3) 8ם, זוןק]א 60 1א515צ5 - מבצע הדרה (קומפילציה) של תוכנית המקור ויוצר
תוכנית 0815017.
(4) תה1120:.1 - ביצוע תוכנית ה-028.186-1) ויצירת קובץ נתונים לבדיקה.
3 דוגמא לשימוש בטכניקה (באמצעות תוכנת ז0300ח26) 2303 +7765)
המבקר מעוניין ליצור 10 רשומות, הכוללות נתונים של שם פרטי ושם משפחה.
הפקודות אותן כותב המבקר, מובאות בתדפיס מספר 6-6.
תדפיס 676
ספציפיקציות (דרישות) ליצירת נתוני בדיקה
1 65פז
זז -1
,1 = 05176 אחא 5אה ₪5 זאד 6וז]
;"0603" = ₪ זז
א 0 2
3 01
. (10)א 16085 ]אאא-51ז 02 4
וו 1אא | 02 5
. (10)א 107085 =א- | 05 6
5 7
+ 7 15 1-אא) |9 8
:זפ המא 15 = הא- זז פַ
;זפ |)=וא 15 =ההא-זפ| | 10
10 זפ ן סאה =ז50א05 - 11
105 אא 0 ; דד 065 סא
-
3
6
מספר
פקודה
31 המבקר מגדיר קובץ נתונים (בדוגמא, שם הקובץ הוא ]אנ זא).
6 בקובץ מתוארת רשומה בשם 111866 1א, המכילה 3 שדות נתונים:
שוא ג א-1851 בגודל של 10 תווים, ו- אא 81.4 בגודל של תו אחד ו--1.451
₪זא גא בגודל של 10 תווים,
7-0 קביעת ערכים לשדות הנתונים שהוגדרו.
השדה 15א4 א-1851/ מקבל ערכים על ידי הפעלת הפונקציה 18א4 א
עם פרמטר 1851 (לקביעת שם פרטי באנגלית).
השדה 1₪א 4 א- 1.451 מקבל ערכים עלידי הפעלת הפונקציה 1₪א 4 א עם פרמטר
517 (לקביעת שם משפחה באנגלית).
חבילת התוכנה מסוגלת לתת כ-18000 שמות שונים.
השדה ו--אא 81.4 מקבל ערך אא .81 לאורך כל הקובץ.
וו. פקודה ליצירה ודיווח של 10 רשומות 66א1זאנ זא
הפקודות הנ"ל מוזרמות למערכת. בשלב הראשון בודק המחשב את המבנה התחבירי של
הפקודות. בדוגמא מצא המחשב, שהפקודות הוזרמו בצורה תחבירית נאותה, ולכן
מדווח (בשורה מספר 2ו), כי לא נתגלו שגיאות תחביריות.
מכאן ואילך מבוצעת פעילות אוטומטית עד להפקת הנתונים, שנדרשו על ידי המבקר.
המחשב יוצר קובץ פרמטרים, המשולב לשלד של תוכנית קובול, ויוצר תוכנית מקור
בקובול. תוכנית המקור עוברת הדרה (קומפילציה) ונוצרת תוכנית 081861. תוכנית
ה-081₪01) מבוצעת, ומפיקה את הנתונים, שביקש המבקר.
תדפיס 6-77 כולל את הודעות המחשב לאחר ביצוע ההדרה (קומפילציה) של תוכנית
המקור, ובד"וח 6-8 מודפסות 10 הרשומות, שביקש המבקר.
תדפיס 677
הודעות המחשב לאחר ביצוע הדרה (קומפילציה)
800008 1
.01 348/78 05188 13:19 זה 5 60
.סאאה 0א
5 500 0א
.א 55 800805 194 01 0 600/11 560605 16 5801 419
.6 1006 07550 1ם )1010 5500805 12%
15 08] ₪618 5זא5506 156 54
.0 =08 [אז0ז זז 9500
. 6.2 058 :008 155 םה
00801 תד 45000
5 אן דסא 1 4008655 ₪168 0008595 108
8
2
8
6
1%
8
8
08
4
000
08
8
8
03
ו
א510 11 זם
זאו 0 זא 50 פשאן]
5 +50 שא ]
5 זטץזטט זטקא1
ו
ו = וז 15% אאא
דו"ח 678
נתוני בדיקה שהופקו באמצעות .6.כש.ד
?7 עתאוא א
0-8
10900
"ל" ,)+ ..
?7 סאוןוא? 0%
+8
153300000007 0
.......,... " "7777 5 7"
?7 א000 000 ב
... ,. ...).).+,),),+.,)+)+)+)++,. +"
?7 וזאזופו או
8
1-1
"7 ...)),...
?7 וחואון! אוא
8
"(0
"...כ .
?7 50040% יי
0-8
,/ְְָ( 0
........... "7 "77727
?7 זז 06%
0 ++,+,8
12725979" 50
777 7 7" .,,...
?2 5 אזוא
+8
'.'(]"''"(.|(|"((''0
'. כ ..
0-68
0 ְ2ְ7ך
<ה.... כ" ...
7 16 או
17
|08
3 ת1₪5-11ד 0 ד5מד סמדא 6מ דא
1 קשקירה כללית
דרך פשוטה להגדרת הטכניקה היא לאמר, שעיבודי המחשב מאומתים, ונבחנים על ידי
העברת נתוני בדיקה כבאותו מחזור עיבוד של נתונים חיים.
במסגרת יישום הטכניקה נכללים נתוני הבדיקה עם נתונים חיים המעובדים על ידי
תוכנית היישום. הדבר מאפשר למבקר לבחון את לוגיקת העיבוד במהלך עיבוד נורמלי.
מקובל להשתמש בטכניקה במקרים הבאים:
(1) כאשר אין זה מעשי לעבד את נתוני הבדיקה באופן נפרד ( כגון: במערכת מקוונת
(6חו.1 - חכ)) העובדת ב"זמן אמיתי" (186ז8631-17).
(2) במערכות המבוססות על קודים של יחידות (מחלקות, סניפים).
מוסיפים למערכת קוד יחידה פיקטיבית (המייצג מחלקה או סניף). המבקר יכול אזי
להזרים תנועות בדיקה במהלך העיבוד הרגיל בהשתמשו ביחידה הפיקטיבית. הנתונים
מעובדים על ידי תוכנית היישום, ותוצאות העיבוד מושוות לתוצאות הצפויות ו/או
לתוצאות, שחושבו מראש על ידי המבקר.
השימוש בטכניקת ה-119 מספק למבקר בטחון, כי מהדורת הייצור של תוכנית היישום
היא זו, שנבחנת. הטכניקה גם מאפשרת למבקר בקרה טובה על ניסויי הביקורת, מבלי
להפריע לתיפעול השוטף.
באמצעות הטכניקה ניתן לבחון מערכות בהיקף נרחב או קטעים לפי רצון המבקר.
מתאפשרת בחינה של יחסי גומלין בין מערכות יישום שונות וניסוי של מצבים שגויים
ולא סבירים בשלבי הקלט, העיבוד והפלט.
העיתוי הטוב ביותר לבנייה והתקנה של הטכניקה הוא בשלב הפיתוח של מערכת היישום
הממוחשבת מהטיבות הבאות:
- המבקר רוכש הבנה מלאה של מטרות המערכת, של הפעילויות המבוצעות באמצעותה
ושל אמצעי הבקרה המתוכננים. לפיכך הוא יכול לתכנן ולבנות בקלות מערכת בדיקה
מקיפה, אשר תיבחן היבטים ופונקציות, הנראים לו (למבקר) קריטיים. אין הדבר כך,
כאשר הטכניקה ניבנית, כאשר המערכת כבר פועלת. בשלב זה אין המבקר מודע בדרך
כלל לפונקציות הקריטיות במערכת ולאמצעי הבקרה, שתוכננו ויושמו. לפיכך עליו
להשקיע משאבים רבים בתיכנון ובבחינה של המערכת.
- חסכון בעלויות של שינויים בתוכניות, כתוצאה מכך שהתיכנון והבניה של שיטת
היישום ושל שיטת העיקור של נתוני הבדיקה משולבים בפיתוח המערכת.
2 שלבי יישום
בהתייחס לסיפרם של 18צג] 6ח3 000\ זוה - "4001 תב [070ח₪0 זס)טקוה 0",
טכניקת ה-ע1] מיושמת ב-7 שלבים:
(1) הגדרת המטרות: הבנת מערכת היישום הנבחרת, וקביעה אלו חלקים של המערכת
יבחנו
(2) הגדרת רשומות בדיקה בקובץ האב
לדוגמא: במערכת שכר, רשומת עובד או רשומות עובדים יתווספו לקובץ האב של כח
אדם. תנועות הניסוי יעובדו בשלב יותר מאוחר מול רשומת/ות העובד/ים הנוסף/ים.
(3) קביעת השיטה ויישום נהלי בקרה לעיקור ההשפעה של נתוני הבדיקה על נתוני
הייצור (שיטות לעיקור השפעת נתוני הניסוי מפורטות בסעיף נפרד.)
(4) יצירת נתוני קלט וחישוב של התוצאות הצפויות - הכנת הנתונים יכולה להעשות
באופן ידני או על ידי בחירת מדגם של נתוני ייצור, שעובדו בעבר. לכל שיטה יתרונותיה
וחסרונותיה. הכנה ידנית של נתוני בדיקה כרוכה בהשקעת משאבים רבים, אך קל לתכנן
באמצעותה מצבים ספציפיים, ולחשב מראש תוצאות צפויות. מאידך, שימוש בנתוני
ייצור חוסך בזמן ההכנה של הנתונים, אך מחייב ניתוח ובחינה מדוקדקים של הנתונים על
מנת לוודא, כי הנתונים תואמים את דרישות הביקורת.
(5) הכללת נתוני הבדיקה עם נתוני היצור והעברתם לעיבוד
(6) השוואת תוצאות העיבוד לתוצאות הצפויות או לתוצאות, שחושבו מראש
(7) עיקור נתוני הבדיקה ממערכת הייצור
3 שיטות יישום
(1) הזרמה ישירה של נתוני בדיקה עם נתוני הייצור
בשיטה זו לא נעשים כל שינויים בתוכניות היישום. נתוני הבדיקה משולבים בתהליך
העיבוד השוטף יחד עם נתוני הייצור, והם נכללים בקבצי האב ובתוצאות העיבוד.
דו"חות הפלט כוללים גם את נתוני הבדיקה, ועיקור השפעתם של נתוני הבדיקה נעשה
לאחר גמר התהליך.
(2) יישום 17% עם שינויים בתוכניות הייצור
השינויים בתוכניות הייצור הם בדרך כלל ברוטינות האגירה של הנתונים לצורך הדפסת
דו"חות הפלט. פירושו של דבר, שתנועות הבדיקה זורמות לאורך רוב תהליך העיבוד
באותו אופן בו זורמות תנועות הייצור, ורק סמוך למקום צבירת תוצאות העיבוד לצרכי
דיווח מופרדים נתוני הבדיקה מנתוני הייצור.
(3) יישום 11% עם קבצים כפולים
נתוני הבדיקה מוזרמים עם נתוני הייצור לצרכי עיבוד, אולם נעשה שימוש בקבצים או
במסדי נתונים נפרדים לשם עיבוד נתוני הבדיקה. דבר זה מבטיח, כי נתוני הבדיקה לא
ישפיעו על נתוני הייצור, ולא יתמזגו עמהם.
לדוגמא: אם תוכנית היישום מעבדת נתוני ייצור של 3 מחלקות, אזי מחלקה נוספת
תתיחס לנתוני הבדיקה. כל נתון בדיקה, המוזרם למערכת, מקודד למחלקה הנוספת,
ומכוון לאמצעי קלט נפרד. אמצעי הקלט יכול להיות קובץ נפרד או אמצעי חומרה נפרד.
באופן כזה המידע מהמחלקה הרביעית לא ישולב עם נתוני ייצור של המחלקות האחרות.
שיטה זו אינה מצריכה שינויים ישירים בתוכנית העיבוד, אולם יש צורך בכלי תוכנה על
מנת לכוון את נתוני הבדיקה לאמצעי הקלט המתאים.
הכוונת הנתונים יכולה להעשות במספר צורות, כגון:
- פוינטרים בתוכנת 15א8: לרוב מערכות ה-15א8 יש היכולת לכוון נתונים לאמצעי
קלט מתאים.
- קידוד מיוחד למערכת ההפעלה: באמצעות שינויים קטנים ב"6קַגּטקַח3ג.1 [0זוח60) פס
יכוונו נתוני בדיקה לאמצעי הקלט המתאים.
(4) יצירת יישות פיקטיבית
באירגונים, המבוססים על סניפים או על יחידות, יוצרים יישות נפרדת (סניף/יחידה)
למטרות בדיקה וניסוי. לדוגמא: סניף פיקטיבי בבנק, הכולל קבצי אב עם רשומות
בדיקה. מערכת היישום מזהה את תנועות הבדיקה ואת קבצי האב על פי קוד הסניף,
ותוצאות העיבוד מעודכנות בקבצי הבדיקה בלבד.
9
70
(5) שימוש ב-1117 תוך קביעת סדר ורציפות העיבודים
באמצעות שינוי נהלים במערכת ההפעלה
נתוני הייצור ונתוני הבדיקה מוזרמים למערכת. תוכנית יישום מס' 1 קולטת ומעבדת את
נתוני הייצור, ויוצרת קובץ (4) . אזי קולטת תוכנית יישום מס' 1 את נתוני הבדיקה,
מעבדת אותם, ויוצרת קובץ (8). נתוני הייצור בקובץ ((4 ) מעובדים על ידי תוכנית יישום
מסי 2, ולאחריהם באופן דומה מעובדים נתוני הבדיקה מקובץ (8) על ידי תוכנית יישום
מסי 2.
כך נמשך התהליך, תוכנית אחר תוכנית, עד אשר העיבודים מושלמים.
בכל התהליך המודגם לעיל אין מצב, שבו נתוני הבדיקה מתמזגים עם נתוני הייצור.
בגמר העיבודים מיוצרים 2 סטים נפרדים של דו"חות פלט (תוצאות עיבוד נתוני הייצור,
בנפרד מתוצאות עיבוד נתוני הבדיקה).
4 שיטות לעיקור השפעת נתוני הבדיקה על נתוני הייצור
- הכנת פעולות הפוכות, אשר מעקרות את ההשפעה של נתוני הבדיקה על נתוני הייצור
וביצוען בגמר העיבוד או בגמר תקופת הבדיקה
- ביצוע שינויים בתוכניות היישום במטרה למנוע הכללת נתוני הבדיקה בתוצאות
פעולות הייצור בקבצים ובדו"חות הפלט
- שינוי נהלים במערכת ההפעלה
- הפרדה אוטומטית של נתוני הבדיקה מנתוני הייצור על ידי יצירת יישות נפרדת עבור
נתוני הבדיקה (סניף פיקטיבי, יחידה פיקטיבית וכדי)
למרות שנתוני הייצור מעדכנים את קבצי הבדיקה בלבד, יש לוודא, כי יושמו אמצעים
למניעת הכללת תוצאות העיבוד ברשומות החשבונאיות של האירגון.
5 יתרונות הטכניקה
(1) מספקת רמת ביטחון גבוהה, כי מהדורת הייצור של תוכנית המחשב היא זו, שנבחנת.
(2) יעילה לבחינה וניסוי של מערכות מתקדמות, הפועלות בתקשורת עם מסדי נתונים.
(3) מאפשרת בדיקות בהיקף גדול ללא צורך בדרישות עיבוד מיוחדות וללא קשיים
תיפעוליים מיוחדים (למעט עיקור ההשפעה של נתוני הבדיקה על הרשומות
החשבונאיות).
(4) טווח השימוש יכול להיות קצר (לשימוש מבקרים חיצוניים) או ארוך (לשימוש
מבקרים פנימיים).
(5) מאפשרת ביצוע בדיקות על בסיס לוח זמנים לא קבוע, ולפיכך מהווה אמצעי אתרעה
לביצוע שינויים לא מורשים בתוכניות.
(6) עלויות התיפעול הן מינימליות, מכיוון שהעיבוד של נתוני הבדיקה מתרחש במהלך
העיבוד של נתוני הייצור. העלות הנוספת היא שולית ובלתי משמעותית.
(7) מספקת ראיות אוביקטיביות לבחינת ההתאמה של המערכת לשיטות ולנהלים,
שנקבעו על ידי האירגון.
(8) מאפשרת בחינה של שינויים, שנעשים בתוכניות, ובוחנת האם הם מורשים ומתועדים
כנדרש.
6 המיגבלות העיקריות של הטכניקה
(1) צורכת משאבי אנוש גדולים וזמן רב בהכנת נתוני הבדיקה ובבדיקה ובניתוח של
תוצאות העיבוד.
(2) יש צורך לבצע שינויים במערכת על מנת למנוע את הכללת נתוני הבדיקה עם נתוני
הייצור ואת הכללת תוצאות העיבוד ברשומות הפיננסיות ובדו"חות החשבונאיים של
האירגון.
4 (8058) א10ד14ז 41 א ]5515 60455 מפג
1 סקירה כללית
בשלב של בחינות הקבלה (16565 66ת46060)3) של מערכת מידע ממוחשבת נעשים 3
סוגי ניסויים:
(1) ניסוי תוכניות -- מתכנתים, אשר פיתחו תוכניות ספציפיות, חייבים לנסות את דיוק
העיבוד של התוכניות, את נכונותן ואת יעילותן.
(2) ניסוי מערכת - ניסוי ובחינה של כלל מערכת המידע הממוחשבת כולל מימשקים בין
פונקציות ותוכניות שונות.
(3) ניסוי המשתמש - ניסוי כללי של המערכת על ידי המשתמש. ניסוי זה, הכולל בחינה
של נהלים, של טפסים, של תוכניות וכדי מספק את הבסיס למשתמשים ולהנהלה לצורך
אישור ההפעלה השוטפת של המערכת.
בשלב הניסוי של המשתמש מקובל להשתמש בטכניקת 80:55₪. טכניקה זו מפעילה
מערכת של תוכניות יישום ממוחשבות באמצעות סטים סטנדרטיים של נתוני בדיקה,
המפותחים כחלק מתוכנית ניסוי מקיפה. מטרתה לאמת את דיוק העיבוד ונכונותו על ידי
השוואת תוצאות העיבוד עם תוצאות, שנקבעו מראש.
בדרך כלל נתוני הבדיקה מיוצרים ומתוחזקים על ידי המשתמש. אם המבקר מעונין
להשתמש בנתוני הבדיקה לצורך בדיקות וניסויים שהוא עורך, או שבכוונתו לערוך
בעתיד, עליו להיות מעורב בתהליך הבניה של נתוני הבדיקה, ולוודא, כי התיעוד של
נתוני הבדיקה מספק תשובה לשאלות הבאות:
- כיצד תוכננה תוכנית הניסוי?
- כיצד תוכננו ופותחו נתוני הבדיקה?
- אלו נתוני בדיקה היו בשימוש?
- האם היקף נתוני הבדיקה כולל בערך את ההיקף של התנועות, המבוצעות במחזור
עיבוד נורמלי?
- האם היקף הנתונים מאפשר ניסוי של כל הפונקציות במערכת היישום?
- מה היו תוצאות הניסוי?
- אלו פעולות ננקטו כתוצאה מאיתור שגיאות?
- האם נעשו שינויים בנתוני הבדיקה?
כתוצר לואי של הניסוי, שנערך כראוי, יתקבלו סטים סטנדרטים של נתוני בדיקה,
באמצעותם יהיה ניתן לבדוק תוכניות אינדוידואליות ואת המערכת כולה בשלבים יותר
מאוחרים של חיי המערכת. באמצעות הסטים של הנתונים המבקר יוכל לבדוק את המשך
הדיוק והאמינות של התוכניות במהלך חייהן, וכן לבחון שינויים, שנעשו במערכת
הממוחשבת במרוצת הזמן.
2 שלבי יישום
כמצוין לעיל, המבקר יכול להשתמש בסטים של נתוני הבדיקה, שהוכנו על ידי
המשתמש, ומתוחזקים על ידו. אולם, בנסיבות מסוימות המבקר יכול ליישם את
הטכניקה באופן עצמאי. (למשל: כאשר שלב בחינות הקבלה לא נעשה כראוי, או כאשר
לא קיים תיעוד נאות של נתוני הבדיקה והמבקר מעונין לבחון את המערכת או חלק ממנה
בהיקף גרחב). במקרה כזה, יישום הטכניקה נעשה ב-3 שלבים:
ו7
22
(1) בחזירת תוכנית/מערכת היישום
מכיוון שיישום טכניקת ה- 80:55 דורש משאבים רבים מהמבקר, הוא חייב להצדיק את
השימוש בטכניקה על ידי בחירה של יישומים מורכבים או קריטיים.
(2) תיכנון היישום
המבקר חייב ללמוד, להכיר ולהבין את מערכת היישום שנבחרה. הוא חייב לסקור את
תיעוד המערכת תוך תשומת לב מיוחדת לתרשימי זרימה, למבני קלט, לדו"חות פלט,
לסיכומי בקרה, המיוצרים על ידי המערכת, למצבי שגיאות אותן המערכת אמורה למנוע
או לגלות וכד'י.
לאחר השגת הבנה של המערכת על המבקר להכין את נתוני הבדיקה.
היקף הנתונים צריך לכלול את כל סוגי התנועות בכמות מספקת לבחינת נאותות לוגיקת
העיבוד.
המבקר צריך לחשב מראש את התוצאות הצפויות מהניסוי, ובשלב זה עליו לתכנן ולקבוע
כיצד יבדקו ויאומתו תוצאות העיבוד. האימות יכול להעשות באופן ידני או באמצעות
כלי תוכנה ממוחשבים (חבילות תוכנה...).
(3) יישום
ניתן ליישם את הטכניקה במספר אופנים:
- בחינה וניסוי של תוכניות במהלך הפיתוח שלהן במטרה לוודא את נאותות תיפעולן
לפני הפעלתן השוטפת
- בחינת התחזוקה של התוכניות במהלך חייהן
- בחינת שינויים, שנעשו בתוכניות, והאם הם מאושרים ומתועדים כראוי
כל הפעלה של נתוני הבדיקה חייבת להיות בפיקוח המבקר, ועליו לוודא באמצעות
סקירת יומני הפעלה, או באמצעים אחרים, כי נעשה שימוש על ידי תוכניות היישום
בקבצי האב, המשמשים לניסוי ובנתוני הבדיקה המתאימים.
כל אי ההתאמות בין התוצאות בפועל לבין התוצאות, שחושבו מראש חייבות להבדק על
ידי המבקר. בעיות במערכת וחולשה של בקרות חייבות להיות מתועדות ומדווחות.
5 סימולציה ( חהסו)ה!|טחחו5 )
1 סקירה כללית
טכניקת הסימולציה מהווה שיטה לאמת באופן עצמאי את לוגיקת העיבוד של תוכנית
ייצור מורכבת או קריטית.
מעבדים תנועות קלט של נתוני ייצור ונתונים מקבצי אב באמצעות תוכנית ניסוי, אשר
מחקה (מדמיינת) את הלוגיקה של תוכנית הייצור, במטרה להשיג תוצאות עיבוד, הזהות
לאלו, המושגות על ידי תוכנית היישום שבייצור.
תוכנית הסימולציה כוללת בדרך כלל את הלוגיקה של תוכנית היישום שבייצור, את
החישובים ואת אמצעי הבקרה אשר רלוונטיים למטרות ביקורת ספציפיות. לפיכך
תוכניות אלה הינן בדרך כלל פחות מורכבות מאשר תוכניות הייצור, אשר אותן הן באות
לבחון. סגמנטים נרחבים של יישומים גדולים, אשר מורכבים ממספר תוכניות מחשב,
ניתן לעיתים לחקות עבור עיבודי ביקורת באמצעות תוכנית סימולציה אחת.
באמצעות סקירת נהלים ובחינות ידניות המבקר יכול לסקור רק מדגם של התנועות
המעובדות. זאת בהתחשב בפרק הזמן, העומד לרשותו ובהיקף העבודה, שעליו לבצע. על
ידי שימוש בטכניקת הסימולציה ניתן לבצע בחינה יותר חודרת, ולבחון בין היתר
חישובים, תקפות נהלים, פרוצדורות בקרה, עידכון קבצים ונקודות החלטה מתוכנתות.
הטכניקה יעילה לבחינת מצבים, הגורמים לתוכנית היישום ליצור תנועות אוטומטיות
(כגון: הזמנה אוטומטית של פריטי מלאי, כאשר רמת המלאי יורדת מרמת מלאי
מינימלית, שנקבעה). תנועות אלה קשה לאמת כראיית ביקורת על ידי שימוש בטכניקה
ידנית, אשר מסתמכת על תיעוד של נתיבי תנועה.
תוכניות סימולציה יכולות להיכתב בכל שפת תיכנות, שלאירגון יש עבורה מהדר
(קומפיילר). התוכנית יכולה להיכתב גם על ידי שימוש בחבילת תוכנה. השימוש
בטכניקה מחייב, איפוא, שלמבקר יהיה די נסיון בכתיבת תוכניות או לחילופין - אמצעי
תוכנה נאותים וזמן לבנות מודל של מערכת.
במסגרת המחקר, שנערך בארה"ב לגבי מידת השימוש בטכניקות לביקורת ענ"א, היתה
הסכמה בין המשתמשים בטכניקה כי הכנת תוכנית סימולציה גוזלת זמן רב, אך גם
התועלת, המושגת בסופו של דבר, היא גדולה. ההערכה היא, כי השימוש המוגבל
בטכניקה נובע מהעדר משאבי תוכנה נאותים, מהעדר מומחיות בכתיבת תוכניות ומחוסר
זמן. כמו כן מסתבר, כי אחת הבעיות, שיש למבקרים ביישום הטכניקה, היא, שמנסים
לבצע באמצעותה יישומים ופונקציות מעבר למה שדרוש.
מומלץ לכן להגביל את השימוש בטכניקה לבחינת רוטינות מורכבות ומסובכות בתוכנית
היישום, ורק במקרה הצורך להרחיב את השימוש לבחינת רוטינות נוספות.
2 שלבי יישום
יישום הטכניקה נעשה ב-5 שלבים*:
(1) איסוף אינפורמציה, המתיחסת למערכת היישום, שאותה יש לבחון, ולימוד המערכת.
(2) בחינת תיעוד המערכת במטרה לקבוע לאלו קטעים תתיחס הסימולציה. תרשימי
זרימה של המערכת נבחנים על מנת לקבוע את קבצי הקלט והפלט, אלו דוח"ות מיוצרים
ואת מיקום התוכנית במערכת. מבני קבצים ותאורי דוח"ות נסקרים על מנת לקבוע את
שדות הנתונים ואת תוצאות העיבוד כפלט לדוח"ות וכו'.
(3) המבקר מקבל מדגם של קבצי אב ותנועות, שיהיו בשימוש על מנת לבצע את תוכנית
הניסוי.
(4) פיתוח תוכנית הסימולציה
התוכניות יכולות להיכתב בכל שפת תיכנות שלאירגון יש עבורה מהדיר (קומפיילר) או
באמצעות חבילת תוכנה. התוכנית יכולה להיכתב על ידי המבקר או בעזרת מתכנתים של
האירגון. במקרה האחרון הדבר עלול לפגום בעיקרון אי תלותו של המבקר.
תהליך הכתיבה הוא כמקובל לגבי כתיבת תוכניות יישום רגילות. הכנת תרשימי זרימה,
שיגדירו את לוגיקת העיבוד, קידוד התוכנית וניסוייה.
(5) הפעלת תוכנית הסימולציה
המבקר חייב לפקח על ההפעלה של התוכנית. הפיקוח יכול להתבצע, אם המבקר מפעיל
את המחשב במהלך ריצת הסימולציה. אם למבקר אין כישורים להפעלת המחשב, הוא
חייב להשגיח על המפעיל, ולסקור את יומן ההפעלה על מנת לוודא, שקבצי קלט/פלט
נכונים הם בשימוש, וכי תוכניות סימולציה נכונות נקראו מהסיפריה.
בגמר העיבוד משווים את תוצאות העיבוד של תוכנית הסימולציה לתוצאות העיבודשל
תוכנית הייצור. החריגים חייבים להיבדק.
תוצאות הסימולציה ותוצאות הייצור יכולות להיות מושוות באופן ידני, אם הן מודפסות
בדו"חות. אם הפלטים הם באמצעי אחסנה מגנטי, המבקר יכול להכין תוכנית באמצעות
חבילת תוכנה, אשר תשווה את התוצאות של הניסוי והייצור.
מקובל להגביל את הפלט של התוכניות המושוות לדיווח על חריגים בין 2 הקבצים,
במטרה להביא למינימום את הבחינה הידנית על ידי המבקר.
חשוב לציין, כי שינויים, הנעשים בשלב כל שהוא בתוכנית הייצור, מחייבים את המבקר
לעדכן את תוכנית הסימולציה, וזאת על מנת למנוע הבדלים בלוגיקת העיבוד או
בפרמטרים, שבשימוש.
ו[06ז ק ג וח9)6ץ5 [ה101 :40611 6 [0זוח0 6 זטשוטק וט )
מאת 8חו0זה5 6 הסזטם.
3
4
3 ניתותח אירועים
בטבלאות מספר 6-9 עד 6-12 מובאים תדפיסי פלט של חישובי ריבית ועמלה, כפי שנעשו
באמצעות תוכנית יישום שבייצור ובאמצעות תוכנית סימולציה.
מקרה מספר 1
חשבון מספר 54308 בבנק שירה בע"מ חויב בתאריך 23.4.81 בריבית ועמלות בסך כולל
של 535.67 שקל, עבור הפעילות בחשבון בתקופה מיום 1.3.81 עד 21.4.81 (לא כולל).
הפעולות בחשבון מודפסות בדף חשבון מסי 1.
באמצעות תוכנית סימולציה הוזנו למחשב הפעולות, ששימשו בסיס לחישוב הריבית
והעמלות על ידי תוכנית היישום. תוכנית הסימולציה בנתה עבור הפעולות "סולם ערכים"
(סידור הפעולות לפי "ימי הערך", המשמשים בסיס לחישוב הריבית, במקום לפי תאריכים
כרונולוגיים הרשומים בדף הבנק), חישבה מספרי ריבית חובה (עבור יתרות חובה), מספרי
זכות (עבור יתרות זכות) ומספרי גלישה (עבור יתרות חובה, שגלשו מקו האשראי
המאושר, בסך 3,000 שקל). בהסתמך על מספרי הריבית, על שיעורי הריבית ועל
התעריפים, המקובלים בבנק, ערכה תוכנית הסימולציה חישוב כולל של סכום הריבית
והעמלות, בו היה צריך לחייב את החשבון. במקרה הנדון נמצאה זהות בין הסכום, שחושב
על ידי תוכנית היישום לבין הסכום, שחושב על ידי תוכנית הסימולציה (535.67 שקלים).
דו"ח 679
דף חשבון שהופק ע"י תוכנית יישום - מקרה 1
ניף מש בנק טירה בעיימ מיספר חשרון
| | סנבי דר הנשי
558 ף טדרות הנטיא 5-08
ו
דכגוו
בילי תאויר
יי ו2..8
להלן חמצית חשנון כנודו אט כמשך 15 יום לא תתקנלוה העוות לחשוון זה יחשוב הדבר כו:ודאה בנכונותו
ן ערך | -ט ות . .7 הובה - , | סומתט' |--הה. תאו המשולה, תאריך |
| העבוו. מדך ;ורם
-ו0
0-00
-3,500.00 0.3 | 2,0 0ו 3ו משיכה
0 33 | 10 100 8 העברה 66
50 3 | 1,000.00 00 הפקדה
0 2.03 | 0, וו 0 חיוב
-5,500.00 3 0 0ו 8 | משיכה
0 וו | 1809 0 00 הפקדה
17 222% 27 6 ריבית ועמל
ו
. - מהלקת בקורת יהית **%
דו"ח 10 - 6 0 2
פלט תוכנית סימולציה * מקוה 1
סניף בקוות
הצבון 8 ס-0-00 על שטם נילי
האריך 1
כו אוראי 1006
מספרי גליצה מספוי זכות מספרי חוגה יחוה צרך
5 5 7 -3500.00 1
50 2 -2500.00 0(
155 9 5 1
5 15 7 -4500.00 1+
5 5 3 -5504.00 1
15 3 116 1
5 1400 15 31 סה כ מספוי ריגית מיוב 21/03/81 עז 21/04/81
שכלים
רינית הובה לפי +51.000 -421.817
ויבית גלישה לפי 50.000% -99.30
ויבית זכוה לפי צט)3.0 | יומי 4%
סה כ ויביה -51%.27
רתי ניהול הטבון מינימום -20.60
עמלת ניהול הוגון -1.00
סה כ ריביה ועמלה מיום 33/81/וש עד 21/06/81 -535.67
5
26
מקרה מספר 2
חשבון מספר 87543 בבנק שירה בע"מ חויב בתאריך 3.2.81 בסך 713.95 שקל עבור ריבית
ועמלות לתקופה מיום 31.12.80 ועד יום 1.2.81 (לא כולל). הפעולות בגינן חושבו הריבית
והעמלות מודפסות בדף חשבון מסי 2.
באמצעות תוכנית סימולציה הוזנו למחשב הפעולות, ששימשו בסיס לחישוב הריבית
והעמלות על ידי תוכנית היישום.
במקרה זה אותר הפרש בסך 37.08 שקל בין הסכום הכולל של הריבית והעמלות, שחושב
על ידי תוכנית היישום לבין הסכום, שחושב על ידי תוכנית הסימולציה.
ס"ה לפי תוכנית היישום 5 שקלים
ס"ה לפי תוכנית הסימולציה 3 שקלים
הפרששי 8 שקלים
בדיקה העלתה, כי מקור ההפרש הוא בסכום ריבית הגלישה (עבור יתרות חובה שגלשו
מקו האשראי המאושר בסך 10,000 שקלים), אשר חושבה על ידי תוכנית הסימולציה,
ולא חושבה על ידי תוכנית היישום.
דו"ח 6-11
דף חשבון שהופק ע"י תוכנית יישום * מקרה 2
"אס" בנק טירה בע"מ 0 חשבון
| השברר מדך קוים
10 הפקדה 12.
10 משיכה 12.
0 משיכה 1.
50 העברה 1.
0 הפקדה 1.
0 משיכה 1.
0, 1 | העברה 1.
0 זיכוי 1.
30 חיוב 1.
0 1 הפקדה 1.
0, 1 משיכה 1.
5 ריבית ועס 02.
מהור תות
המוצע חווצי
הווכרי ורוה וסני י החונה הסמרי גלישה ננו
10000 207 28
דו"ח 6-11
פלט תוכנית סימולציה * מקוה 2
סניף בקוות
הטבון 3- 0-00
מאוין 2+
קו אזראי 16000
מספוי זכות
מספרי גלישה
100
5
12
2
ריביתח הונה לפי %ט81.00
ריבית גלישה לפי 50.000%
סה כ וינית
ופי ניהול האבון מינימוס
צמלה ניהול הטגון
על טם
מספרי הובגה
1-00
22
5
29
12
72
58
0188
סה כ רינית ועמלה םיום 31/12/80 עד 01/02/81
+*.
ו ו
נילי
- ההלקה גבקוות
יחורה
-13800.00
-5300.00
-11300.00
-7300.00
-10366.06
-8800.006
-9800.00
פנימםית ***
צוך
ו0((
51|(
101
1+
1
01
141
3 סה כ מספוי ריבית מיוט 31/12/80 עד [ן01/02/8
שקלים
-681.55
-37.04
-7090,43
-20.%6
-10.06
751.63-
77
8
להפרש יכולות להיות מספר סיבות, אשר צריכות להבדק על ידי המבקר.
להלן מספר סיבות אפשריות:
(1) עקב שיבוש בתוכנית היישום לא נצברו מספרי גלישה עבור יתרות החובה, שגלשו
מקו האשראי בסך 10,000 שקל.
(2) תוכנית היישום צברה מספרי ריבית גלישה, אולם לא ביצעה חישוב ריבית עבור
מספרי הגלישה.
(3) תוכנית היישום צברה מספרי ריבית גלישה, וביצעה חישוב ריבית עבור מספרי
הגלישה לפי שיעור 0%.
(4) קו האשראי ברשומת הלקוח, ששימש בסיס לצבירת מספרי הגלישה היה משובש
(לדוגמא: ברשומת הלקוח נרשם קו אשראי בסך 100,000 שקל במקום 10,000 שקל).
אם נתבונן בדף החשבון, שהודפס באמצעות תוכנית היישום נבחין, כי מודפסים בו קו
אשראי בסך 10,000 שקל, שיעור ריבית גלישה של 50% ו-267 מספרי גלישה.
לאור נתונים אלה נראה, לכאורה, כי הסיבה הסבירה להפרש היא זו, שרשומה בסעיף
מספר (2 ) לעיל. ("תוכנית האפליקציה צברה מספרי ריבית גלישה, אולם לא ביצעה
חישוב ריבית עבור מספרי הגלישה'"). סיבה זו נראית אמנם סבירה, אולם אינה בהכרח
נכונה. יתכן שהנתונים של סכום קו האשראי ושל שיעור ריבית הגלישה הודפסו נכון בדף
הבנק, אולם מסיבה כל שהיא לא שימשו כבסיס לעריכת החישובים.
על מנת שהמבקר יוכל לבחון את מקור השיבוש באופן נאות, עליו להשתמש במקרה זה
בטכניקת ביקורת נוספת, שבאמצעותה יוכל "לראות" אלו נתונים היו בזיכרון המחשב
בנקודה בה נתקבלה על ידי תוכנית היישום ההחלטה בדבר חישוב או אי חישוב ריבית
הגלישה.
תאור והסבר מפורטים לגבי טכניקה זו ראה בסניף הדן בטכניקת ה-)42580ח5.
אחת השאלות, המתעוררות ביישום טכניקת הסימולציה מתיחסת למקרה בו קיימת אי
התאמה בין תוצאות העיבוד של תוכנית היישום לבין תוצאות העיבוד של תוכנית
הסימולציה. מי ערב לכך, שהשגיאה היא בתוכנית היישום. אולי תוכנית הסימולציה,
שהוכנה על ידי המבקר שגויה ואינה מדמה במדויק את לוגיקת העיבוד של תוכנית
היישום?
התשובה לשאלה זו טמונה בשיטת הפיתוח של תוכנית הסימולציה.
ציינתי כי תהליך הכתיבה של התוכנית הוא כמקובל לגבי תוכניות ייצור רגילות היינו:
הגדרות, תרשימי זרימה, שיגדירו את לוגיקת העיבוד, קידוד התוכנית וניסויה. בשלב
הניסוי מריצים נתוני ייצור נורמליים באמצעות תוכנית היישום שבייצור ובאמצעות
תוכנית הסימולציה והתוצאות מושוות. המבקר עורך בדיקה ובחינה של הבדלים בין 2
העיבודים והשגיאות מתוקנות, באופן ש-2 התוכניות תפקנה תוצאות זהות. בשלב זה יש
למבקר בסיס להיסתמך על תוכנית הסימולציה כטכניקה לאימות לוגיקת העיבוד של
תוכנית היישום.
בדוגמאות שתוארו לעיל, נעשה העיבוד של נתוני הייצור על ידי תוכנית היישום במועד
שונה מזה של עיבוד אותם הנתונים על ידי תוכנית הסימולציה. הזנת נתוני הייצור
לתוכנית הסימולציה והפעלת התוכנית נעשו בתאריך יותר מאוחר.
על מנת לאפשר לתוכנית הסימולציה לעבד את נתוני הייצור בסביבת הייצור הנורמלית,
מקובל לעיתים לקלוט את הנתונים ולעבדם באמצעות תוכנית הסימולציה, במקביל
לקליטתם ולעיבודם על ידי תוכנית הייצור. יש המכנים שיטה זו בשם "סימולציה
במקביל" (חסגז)ג!טחז:5 [6!!הזבק).
7. טכניקות לאימות ושליפה של
נתונים
1 חבילות תוכנה לביקורת
1 הצורך בחבילות תוכנה לביקורת
תהליך הביקורת הינו מורכב, והדרך מאיסוף הנתונים ועד הסקת המסקנות ומתן הדו"ח
המסכם/חוות הדעת הינה ארוכה, וכרוכה באיסוף נתונים, מיונם בצורה מתאימה
לביקורת, ביצוע השוואות, עריכת דגימות וכד'. ככל שהפעילויות העיסקיות התרחבו,
וכמויות הנתונים ומורכבותם גדלה, התהליך של ביצוע הביקורת נעשה ארוך יותר ומורכב
יותר.
סעיף מס' 10 בתקני הביקורת והדיווח של לישכת רואי-חשבון בישראל קובע: "רואה
החשבון חייב לבצע את הביקורת בצורה, אשר תהווה בסיס מהימן לחוות דעתו. לשם כך
עליו לקבל ראיות מספיקות באמצעות נהלי ביקורת מקובלים, לנהל ולשמור רישומים
שיטתיים, שישמשו עדות לעבודה, שבוצעה, וביסוס לחוות דעתו".
בעבר, מרבית הנתונים של פעילויות האירגונים היו זמינים, ומופיעים במסמכים או
מודפסים בדו"חות כתובים. בסביבה העיסקית כיום נתונים אלה (ובהם חלק גדול מראיות
הביקורת) נמצאים באמצעי אחסנה מגנטיים. פירושו של דבר, שעל מנת שלמבקר או
לרואה החשבון תהיה גישה לנתונים אלה, הוא חייב להשתמש בשיטות של עיבוד נתונים
ובתוכניות מחשב. הבעיה מחריפה לאור העובדה, שהיקף הנתונים והפעילויות, שיכולים
להיות מאוחסנים ומנוהלים על ידי אמצעי ענ"א, גדול עשרה מונים מאשר במערכות
ידניות.
אחד הכלים, שבהם החלו המבקרים להשתמש, ידוע בשם "חבילת תוכנה", שהינו לא
אחרת מאשר צורה של "מחולל יישומים", שמטרתו לספק את הדרישות הספציפיות של
המבקר.
המבקר משתמש בדרך כלל בכרטיסי בקרה להגדיר את מבנה הקובץ והרשומות ואת
דרישותיו הספציפיות. התוכנה מתרגמת את הדרישות לשפת המחשב, ויוצרת את הפלט
המבוקש.
9
20
2 סוגי חבילות התוכנה
במרוצת השנים האחרונות יצאו לשוק "מחוללי ישומים" רבים. חלקם על ידי חברות
תוכנה מקצועיות, שעיסוקן העיקרי הוא פיתוח תוכנה, וחלקם על ידי פירמות של רואי
חשבון, בנקים ואירגונים אחרים אשר הפעילות של ייצור ופיתוח התוכנה מהווה רק חלק
קטן מעסקיהן.
כאן המקום להבחין, בין 2 סוגים של חבילות תוכנה:
(1) 6ז8/ו)/50 )41101 26067811260)
מחוללי יישומים, המאפשרים גישה לקבצי נתונים (במבנים שונים) וביצוע פעולות די
מגוונות בנתונים, כגון: שליפה סלקטיבית של נתונים, השוואות, מיונים וסיכומים (כפי
שיפורט בהמשך). באמצעות כלי זה יכול המבקר לבצע את הפונקציות הדרושות לו ללא
מומחיות רבה בכתיבת תוכניות מחשב.
ניתן לחלק את חבילות תוכנה אלה ל-2 קטגוריות בסיסיות:
6 תוכנה, שנבנתה על בסיס של תוכנית "קובול":
זהו סוג של מחוללי יישומים, היוצרים כתוצר סופי תוכנית"קובול". התוכנית עוברת
הדרה (קומפילציה), ומעבדת את הנתונים כמו תוכנית, הכתובה ישירות בשפת "קובול".
היתרון בשיטה זו נעוץ בקלות השימוש. מאידך, התוכנה אינה יכולה לעיתים לגשת לכל
סוג של מבנה נתונים. כמו כן אם לאירגון יש תוכניות הכתובות בשפות תיכנות אחרות,
יש לפעמים צורך בעיבודי ביניים עד לעיבוד הסופי.
8 תוכנה, שנבנתה על בסיס של שפות מאקרו:
מערכות מאקרו מייצרות הוראות בשפת מכונה לעיבוד ישיר במחשב.
היתרונות בשיטה זו הן, שהגבלות הגישה לנתונים עשויות להימנע ושאין צורך, בדרך
כלל, בשלבים של עיבודי ביניים. החסרון העיקרי בשיטה זו נובע מכך, שהן ישימות רק
במשפחות ספציפיות של מחשבים, אשר עבורן הן מתוכננות.
)-5+0₪11260 4001] 5010 316 )2(
אלה הן תוכניות מחשב הנכתבות בנסיבות מסוימות למטרות ביקורת כלליות או
ספציפיות.
המבקר יכול לכתוב את התוכנית או התוכניות בעצמו, להשתמש בשירותים של בעלי
כישורים בתיכנות, או לשנות תוכניות קיימות במטרה, שתייצרנה את הפונקציות
הדרושות.
טכניקה זו דורשת שלמבקר יהיה די זמן וידע נאות בתיכנות, או שיהיו בידיו האמצעים
לפקח על תוכניות, הנכתבות על ידי גורמים חיצוניים.
3 מאפיינים כלליים של חבילות תוכנה לביקורת
לרוב חבילות התוכנה לביקורת יש אפשרויות ביצוע כמפורט להלן:
(1) ניתוח נתונים
-בדיקה האם נתון בשדה ספציפי הוא חיובי, שלילי, או שווה ל-0
-בדיקה האם נתון בשדה שווה לערך מסוים, גדול או קטן ממנו
-בדיקה האם הנתון בשדה הוא נומרי או אלפא ביתי
(2) עריכת חישובים
-חיבור
-חיסור
-כפל
-חילוק
-אחוזים
ו.
(3) השוואת קבצים
בחינת 2 קבצים בעת ובעונה אחת על מנת לקבוע, האם כמות הרשומות ב-2 הקבצים
שווה, או שקובץ אחד גדול מהשני וכד'
(4) השוואה בין תוכן של 2 שדות או יותר
לדוגמא: קובץ לקוחות מכיל את הנתונים הבאים:
מסגרת אשראי יתרה שם מספר חשבון מס' רשומה
1000 2000 אבג 1106 1
10 16 בגד 22007 2
2000 6 בדה 2218 3
1000 1,000 גדה 9 4
חבילת התוכנה יכולה לבצע השוואה לגבי כל אחת מהרשומות בקובץ בין הנתון בשדה
"יתרה" ובין הנתון בשדה "מסגרת אשראי" במטרה לשלוף את כל הרשומות בהן היתרה
גדולה ממסגרת האשראי (בדוגמא הנ"ל - רשומות מס' 1 ו-3).
(5) חלוקת קבצים לשכבות
קביעה של כמה רשומות בקובץ ו/או הערך הכספי, שיכלל/ו בקטגוריה נתונה
לדוגמא:
מספר הרשומות
קביעת שכבות לבדיקת חובות לקוחות שיכללו בשכבה
שכבה 1: חייבים מ-1 שקל עד 10,000 שקל 20
שכבה 2: חייבים מ-10,001 שקל עד 100,000 שקל 20
שכבה 3: חייבים מ-100,001 שקל עד 1,000,000 שקל 25
שכבה 4: חייבים מ-1,000,001 שקל ומעלה 10
(6) ביצוע דגימות
-דגימה אקראית של 2%
-כל פריט צ
-כל פריט צ עם מספר בסיסי (2.)5660
--דגימה המתבססת על שווי כספי
-מדגם שכבות
-20) 6ם8 ק910
(7) שינוי סדר מיון הנתונים
לעיתים הנתונים בקובץ המחשב אינם באותו רצף לו זקוק המבקר. לחבילת התוכנה יש
היכולת למיין את הנתונים בצורה לה זקוק המבקר.
דוגמא:
הנתונים בקובץ שכר עבודה ממוינים בסדר עולה של מספרי העובדים. המבקר זקוק
לנתונים לפי מיון מחלקתי.
באמצעות פקודת מיון נתונים תמיין חבילת התוכנה את הנתונים כמודגם בטבלא מסי
וך7.
2
טבלא ו-7
שינוי סדר מיון נתונים
מיון הנתונים בקובץ שכ"ע
משכורת דרגה מחלקה שם מספר
(שקלים) עובד
2000 4 3 א ו
000 3 1 ב 2
0 3 2 ג 3
00 4 ו ד 4
22000 2 2 ה 5
מיון הנתונים ע"י חבילת התוכנה
משכורת דרגה שם מספר מחלקה
(שקלים) עובד
12000 3 ב 2 ו
200 ד 4
00
0 3 ג 3 2
200 2 ה 5
1200
2000 4 א ו 5
111000
(8) סיכום נתונים
--רמות שונות של סיכומים (בטבלא מס' 7.1 סוכמו המשכורות בכל אחת מהמחלקות
ובסוף הדו"ח ניתן סיכום כללי.)
--צורות שונות של סיכומים (לרגלי השדה בו מסוכמים הנתונים, בשורה נפרדת וכד')
-סיכום אוטומטי של ערכים בשדות (כ"ברירת מחדל")
--פונקציות סיכום סטטיסטיות:
6מספר הפריטים
>סיכום ערכי הפריטים
שממוצע
>מקסימום
>מינימום
(9) הכנת נתונים להדפסה
-עריכת שדות: לעיתים הנתונים בקובץ מיוצגים במבנה שלא ניתן לקריאה על ידי אדם
בלתי מיומן כגון:010383833000300000123. על ידי עריכת השדות ומתן כותרת,
הנתונים ניתנים לקריאה באופן ברור.
אסמכתא סכום סוג פעולה תאריך
3 2,000 33 3"
-הכנת מספר דוח"ות תוך קריאה אחת של הנתונים
-הדפסת כותרות לדו"ח/ות
-הדפסת כותרות של שדות
-מיספור אוטומטי של דפים
-קביעה אוטומטית של רווחים בין שדות
-טיפול במצבים של גלישות - כאשר אורך של רשומה גדול מרוחב של דף, כמובא
בדוגמא להלן, עורכת חבילת התוכנה את נתונים באחת מ-2 הצורות הבאות:
דוגמא:
חבילת התוכנה שלפה את הנתונים המתיחסים לרחובות: א,ב,ג,ד,ה,ו,ז,ח,ט, בעיר תל
אביב, והדפיסה אותם.
צורה א'. עריכה אנכית
דף 1.1
1
עיר: תל אביב
אבגדה
צורה ב': עריכה אופקית
דף 1.1 דף 1.2
עיר: תל אביב עיר: תל אביב
אבגדה וזת ט
)10( יצירת קבצים
לחבילת תוכנה היכולת ליצור קובץ פלט על אמצעי אחסנה מגנטי (סרט או דיסק),
שיהיה בשימוש בזמן יותר מאוחר עם תוכנית אחרת.
3
4
בדוגמא שבתרשים מספר 7-2 בוצעה בשלב א' שליפה של מדגם רשומות מקובץ
הלוואות, הנפרעות בתשלומים. כמו כן הופק פלט (על סרט מגנטי), אשר כולל את
אוכלוסית המדגם. בשלב יותר מאוחר משמש הסרט המגנטי, הכולל את אוכלוסית
המדגם, כקלט (יחד עם קובץ הוראות התשלומים) להשוואה בין היתרות של כל אחת
מההלוואות באוכלוסית המדגם לבין ה"יתרה לתשלום" של אותן ההלוואות בקובץ
הוראות התשלום.
הפלט של המהלך השני הוא דו"ח מודפס על אי התאמות.
תרשים 7-1
יצירת קובץ
55
(11) עיצוב מיבני אינפורמציה
עיצוב מיבני אינפורמציה היא היכולת לבחון קודים ולהסב אותם תוך שימוש בטבלאות
לשמות בני הבנה.
הנתונים בקובץ
ספק יחידה מפעל
9 2 3
הנתונים לאחר העיצוב
ספק יחידה מפעל
שם מס
רכש ואספקה בע"מ 9 רכש אלקטרוניקה
(12) עידכון קובצי עבודה
עידכון חיצוני של פרמטרים תוך כדי ביצוע שלבי התוכנית
(13) ניתוחים סטטיסטיים
ריגרסיות, גרפים, היסטוגרמות, מינימום, מקסימום, גיולים וכד'
(14) סימולציות
הכנת רוטינות המשתמשות בפקודות התוכנית לביצוע חישובים והשוואתם לתוצאות
העיבוד של נתוני הייצור
4 הדגמת שימוש בחבילת תוכנה
מערכת יישום חשבונאית זקוקה לנתונים הבאים לצורך ביצוע פעולותיה:
מספר חשבון- פא 460
מספר סניף- ת6תגזם
כתובת הלקוח- .ז4060. זסוח5)0ט)
רחוב- )5066
עיר, מיקוד- 610,215
יתרה- 1206 66חג1ג3
מסגרת אשראי- )1.11 )627601
המבקר מעוניין לקבל דו"ח על כל החשבונות (הרשומות), שבהם יתרת החובה גדולה
ממסגרת האשראי. לשם כך עושה המבקר שימוש בחבילת תוכנה. בדוגמא נתיחס
לשימוש בחבילת התוכנה *ז10ז8620-/4106* של חברת "בורוז".
חבילת התוכנה ז0ז0ק36-):408, מורכבת מ-2 מהלכים: עָז9!טפ063/ (או בקיצור 0681/)
ךז 0ק6ת-וו 0
6
מהלך ה"]063/י
מהלך ה-0631/י (המילון) הינו שלב מוקדם של ה-067ז0ק56-40%. במסגרת זו מתאר
המשתמש את הקובץ/קבצי הנתונים אליהם תהיה גישה, והמהלך משתמש
באינפורמציה זו ליצור מילון של מונחים, שישמש בסיס עבור דיווחים במהלך
ה-ז16ז0ק6ת-)01.
מהלך זה מתוכנן להיות מופעל פעם אחת בלבד, ולאחר שהמילון נוצר, ניתן להשתמש בו
באופן חוזר כדי ליצור מיכלול של דו"חות.
תרשים מס' 7-3 מתאר את מהלך יצירת המילון.
תרשים 7-3
מהלך ה-[063 (מילון הנתונים)
דה
-5010ס
5אסזדך
1,
5
ו
]אצ
7
הקלט למהלך
-פקודות המשתמש (50665 %0681) לבניית המילון: פקודות אלה מוזרמות למערכת
באמצעות כרטיסים מנוקבים או מאמצעי אחסנה מגנטיים (סרט, דיסק...).
-תאור הנתונים, הנמצא בתוכנית המקור (מזגזקס0ז? 66זט50).
פלט המהלך
-מילון נתונים
--דו"ח מודפס על פקודות המשתמש ועל נתוני המילון
בדוגמא שלפנינו זקוק המבקר למילון, שיכלול את תאור ומבנה הנתונים אותם ירצה
לשלוף מקובץ הנתונים.
בתדפיס 7-4 מובאות הפקודות אותן כותב המבקר:
תדפיס 7-4
פקודות ליצירת מילון נתונים
ץצ 0 אם?
סאסססצ גדגס?
26% דצ אא +ד60אי םתא 5ם. ]1 צא ג זז הס
יצאג ]וצ דוו
.אכ א 15 17א0001י 115 50005
.558 א-דא 600 םות
ןת סאם
סאם?
פקודה 1: כרטיס הפעלה שפירושו: "הפעל את מהלך ה-!סס/י".
פקודה 2: כרטיס הפעלה, שמצביע על המקור, שממנו מוזרם הקלט. (במקרה זה כרטיסים
מנוקבים).
בקודה 3: הגדרת קבצים עבור מילון הנתונים, שיבנה
פקודה 4: פקודה אופציונלית, באמצעותה מבקש המבקר לקבל דו"ח מודפס, הכולל את
נתוני המילון
פקודה 5:
= הגדרת שם תוכנית המקור ")466008", אשר ב"חסופוצוכ גּו3ע,שלה מוגדרים קובץ
הנתונים, מבנה הרשומות והשדות להם זקוק המבקר ותאורם
שהגדרת אמצעי האחסנה בו נמצאת תוכנית המקור (18%)
פקודות 7,6: הגדרת שם הקובץ ב"חסופוצוע ₪318 של תוכנית היישום, שבו מפורטים
שמות ומבני הנתונים להם זקוק המבקר. מהלך ה-0691/ ישלוף את כל שמות ומבני
הנתונים בקובץ.
פקודה 8: כרטיס הפעלה, המצביע על סיום הגדרת דרישות המשתמשי
08
בדו"ח 7-5 מובא תדפיס של המילון, שנוצר על ידי מהלך ה-[069/ .המילון כולל
את שם הקובץ, שמות שדות הנתונים, סוג הנתונים (נומרי, אלפא נומרי...), אורך השדות
ותמונות העריכה שלהם לצרכי הדפסה.
דו"ח 775
מילון נתונים
ו צח ]טפ 6ס 5 דהסקפה - דוסטה אא.א פטג
דט
.6 |א דצ
.דג )א-דא 060 פוות
.9 סד ספדוטגת5 15 אסודג וטיסץ- וג דסד
סאזדוס5 אהדסא15 םקצד 5דקומ 50856 מדוש פואגא ,15
ו פוטס
0007 6050פא-דאט 660 |
(266 6 6ומפואטא ואפדו סא-ז460 2
(204 4 6ןפ!ואעא ואפדו האג 2
(20)א 20 6אואד8 ואפדו פוא ג א- א 2
טס תססג-מפואסד5ט6 2
(30)א 10 סאואד5 ואפדו דד 3
(30)< 0 סאואד5 ואפדו ןפ ד ד5- דוס 3
29 9 6ומפאעא ואפדו ס.א 2
(2)5 5 6ומפואטא ואפדו דוואו]-דוספ685 2
מהלך ה-ז6)זסק6א ]4001
תרשים מספר 7-6 מתאר את מהלך ה-ז6)זסק6 )4001.
תרשים 7-6
מהלך ה-ז6)ז8600 ]4001
-דוסטג
אפךתסקטתם
5
דוסטג
דיק
556
| ספאוטס
דוסטה
5
.09
הקלט למהלך:
(1) דרישות המבקר, הנכתבות באמצעות פקודות השפה ומוזרמות למערכת באמצעות
כרטיסים מנוקבים או מאמצעי אחסנה מגנטיים (סרט, דיסקט...)
(2) מילון הנתונים, אשר נבנה במהלך ה/0641
(3) קובץ הנתונים
מהלך ה-ז6)ז860 )061 מבצע באופן אוטומטי את הפעולות הבאות:
(1) בודק את הפקודות, שכתב המבקר על מנת לוודא, כי אין בהן שגיאות דיקדוק.
(במקרה של זיהוי שגיאה/ות המהלך נעצר ומודפס ד"וח המצביע על השגיאה/ות).
(2) בונה קובץ פרמטרים, ומייצר תוכנית "קובול".
(3) תוכנית ה"קובול" עוברת קומפילציה ונוצרת תוכנית 0164.
(4) תוכנית ה-201660) ניגשת לקובץ הנתונים, שולפת ממנו את המידע בהתאם לדרישות
המבקר, עורכת אותו, ומדפיסה את הד"וח המבוקש.
כאמור, שלבים 4-1 הינם אוטומטיים, ולא דורשים התערבות של המבקר.
בדוגמא שלפנינו זקוק המבקר לדו"ח, שבו יודפסו כל הרשומות, אשר בהן הערך בשדה
"יתרה" גדול מהערך בשדה "מסגרת אשראי". עבור כל רשומה, העונה על קריטריוני
השליפה, מעוניין המבקר, שיודפסו הנתונים הבאים: מספר חשבון,מספר סניף, מסגרת
אשראי ויתרה. המבקר זקוק לסכום הכולל של היתרות ברשומות, שנשלפו, והודפסו,
וכמו כן מעוניין בהדפסת כותרת לדו"ת.
בתדפיס מספר 7-7 מובאות הפקודות אותן כותב המבקר.
תדפיס 7-7
פקודות להפקת דו"'ח לצרכי ביקורת
קשתכטה ם007םאם?
כמתססטא בגדהגס?
7%ד400צ* 18 צ3ג תס
אד ]וא- דא 4660 דנזפאז
ידזואז ז- ד1כ635 אאצד אמ ד4 תס פנזכ--א 541 51.7
*אג תכ תפס 5דאנז460* 5 דד
-תסא 4 דזואז ]- דן 605 ,חא 28 ,סא-4001 דתסקפת
שנס
.שנזס-5א 4 טאזד00ת 3125 אפ
סאפם?
פקודה 1: כרטיס הפעלה, שפרושו "הפעל את מהלך ה""ז6)ז0ק6 )4₪41*
פקודה 2: כרטיס הפעלה, שמצביע על המקור, שממנו מוזרמות דרישות המבקר (במקרה
זה כרטיסים מנוקבים)
פקודה 3: הגדרה של קובץ המילון בו נמצאים מבני ושמות הנתונים הנדרשים
פקודה 4: הגדרת קובץ הנתונים, שיהווה אחד ממקורות הקלט למהלך, וממנו ישלפו
הרשומות העונות על הקריטריון שבפקודה מס' 5
פקודה 5: דרישה לשליפה סלקטיבית של כל הרשומות, אשר בהן הערך בשדה ".841
ששפ שא" (יתרה) גדול מהערך בשדה "ד11א1.1 655011" (מסגרת אשראי)
פקודה 6: קביעת כותרת לדו"ח בשם "או 5 א5צ0ס 15א0 660"
בקודה 7: פקודת הדפסה-- המבקר מגדיר את השדות, שיודפסו, בדו"ח ואת סדר הדפסתן
(משמאל לימין)
פקודה 8: פקודה לסיכום היתרות ברשומות, שנשלפו, והדפסתן מתחת (200/188) לשדה
פקודה 9: כרטיס הפעלה, המצביע על סיום הגדרת הדרישות
דו"ח 7-8 כולל את הנתונים, שנשלפו מקובצי המחשב בהתאם לדרישות המבקר.
דו"ח 7-8
בלט מהלך ה"ז16ז0ק6 )4001
1 א/ג תכ תפצס 05
5 זה ו הטסאאאת 4007
שנס דזאזז סא
0 10 133 12
10 1200 20 27
0 7 500 13 1231
2000 2000 8 1200
201 2000 34 100000
1.07 500 10 7
0 000 10 2000
0 00 8 0
838
מן הראוי לשים לב, כי המהלך מטפל באופן אוטומטי וללא התערבות המבקר בגורמים
הבאים:
= מיספור הדפים
= קביעת מיקום הכותרת (באמצע רוחב הדף)
₪ קביעה בכמה שורות יודפסו הכותרות
> קביעת הרווחים בין השדות
5 השוואת חבילות תוכנה
בחודש יוני 1980 פורסם בכתב העת *01,0/ותדזע]א0>* מאמר מאת מ' סובול
בנושא "השוואת תוכנות לביקורת".
ההשוואה התיחסה ל-8 מוצרי תוכנה, אשר שווקו בפועל על ידי חברות תוכנה מקצועיות,
שעיסוקן העיקרי הוא פיתוח תוכנה.
הקריטריונים לבחינה והשוואת התוכנות התבססו על מאמר בשם:
>מ5ת ו דזסזא 2ע25זז4 אא ספ עשאג4 מתז460 סד שסניי
שפורסם בשנת 1979 על ידי אגוד המבקרים הפנימיים בארה"ב.
מאפיינים משותפים לכל מוצרי התוכנה, שנבחנו, לא נכללו בהשוואה במטרה להבליט
את ההבדלים בין חבילות התוכנה.
נתוני ההשוואה מובאים בטבלא מס' 7"9.
הקריטריונים, שנבחרו להשוואה תחת הכותרת 2328811:0166) התיחסו למאפיינים חדשים,
אשר בדרך כלל לא נכללו בהשוואות אחרות בין תוכנות.
להלן הסברים קצרים על מאפינים אלה:
(1) ₪ *תאדא1 8458 ד : התוכנה מסוגלת לשלוף אינפורמציה ממסדי נתונים.
(2) 17185. 0-11 אמא אא 15אמ ד5צ5 1א18 -("1א5) : למוצר יש שגרות,
המיועדות לשלוף רשומות ולהדפיס דוחו"ת מרשומות א1א5, הנצברות במערכות 1א18.
(3) ₪ <601 605 50010865 :השוואה בין שתי תוכניות מקור שורה שורה במטרה
לבחון שינויים בתוכניות.
(4) 584108את6 474 157: קבצי ניסוי יבנו על ידי שימוש במספר פקודות
בקרה. ניתן גם ליצור קבצים של נתוני ניסוי מצרוף של קבצי קלט קיימים ומספר פקודות
בקרה.
(5) 5081 5א111--אז: המוצר קורא לשגרת המיון במהלך הריצה השוטפת של התוכנית,
ולא יוצר שלבי ריצה נוספים כדי למיין. טכניקה זו מאפשרת מיון יעיל של קבצים.
(6) 01185 צא 01,055 ם,זז ידע א1: טרם שליפת/ שיחזור מידע יוגדר "מילון
נתונים". לאחר שהוגדר פעם אחת, המילון הינו שמושי עבור כל שליפת נתונים מקבצים
ספציפיים.
(7) 11,5ץ 07 55ת פאס סאג 52015 זאנו]אזאג ]א: מספר הדוחו"ת, אשר ניתן
ליצור במעבר אחד על קבצי הקלט.
(8) 54185 צדזת 5660 אז--1 זז(ז8: למוצר סיסמא או שיטות הגנה אחרות,
המיועדות לסנן את הגישה למהדר של תכנת הביקורת ו/או לתכניות בקרה הנוצרות על
ידי שימוש בחבילת התוכנה.
(פ) אהסזדץ צ65א: אפשרות להצפין ולפענח קבצי נתונים, המיועדים לשמירה כנגד
חשיפה של מידע רגיש במשך ביקורת או העברת קבצי נתונים למקומות עיבודם.
(10) 115 4 6 847 4755 5% ): המוצר כולל קוד ליצירת גרפים מאלמנטים
מסוימים של הנתונים.
(11) 15 8 11151026 4765 58 + ₪: המוצר כולל קוד ליצירת היסטוגרמות
מאלמנשים מסוימים של נתונים.
(12) 18515 שאזואוד אסת אסזד164זפקא א4 ש6אזדג,זז]א51: ניתן להשתמש
במוצר התוכנה להדמיית הביצוע של תכניות היישום.
(13) סא ]פוא 54 51411511641: למוצר יש שגרות לדגימות סטטיסטיות.
בזמן שחלף מאז לוקטו הנתונים למאמר הנ"ל ועד היום, פותחו ברחבי העולם חבילות
תוכנה רבות. כמו כן נעשו שיפורים בחבילות תוכנה קיימות. סביר, איפוא, להניח כי חלו
שינויים בנתוני ההשוואה של חבילות התוכנה שפורטו במאמר. המטרה העיקרית
שלשמה הובא המאמר, היא להמחיש לקורא כי קיימים הבדלים באפשרויות הביצוע של
חבילות תוכנה שונות, וכי קיימת מערכת שיקולים בבחירת חבילת תוכנה לביקורת.
ופ
2
>>
טבלא 7-9 השוואת חבילות תוכנה לביקורת
5₪3ק2צ )| אג דוסטה
דוסטא אג?
5 סז .סח] ,5516705 6וחק50ח3ק
6ס30גא 15
1 וז חס 03566
5-00
8740/00
51,480
110
4
8
370/00
0% 1
0/5
פצ
26
פצ
פצ
סא
פצ
5צ
פצ
פצ
5 30
6סח
818,400- = 0
51,840 - 0
1%
ששח
צסחה
10
וט זסה
370/30
0%
0-5
ץצ
6
פצ
פצ
פסצ
פסצ
פצ
סא
206
סא
פ5צ
5צ
פצ
סא
5צ
הסדוסטג צו אחבהא
5חזס) חן
30 5
519,000 5
523,000 5
6 ווה 5ו
זץ/53,500
1000
4
וו
0 303/סְרִבַּ
2008
0-5
5צ
צו אזג
דוסטא-+)צס
506 זסאגוצס
5 10
6הסח
2200
12006
2
00
1
10
יי
+80
0-5
5צ
6
3 מסדוסטג 505
.קז0ס) פחפחוווטס)
5 30
6הסח
5.000
6סהּ!והּטהּ 5ו
ז3סץ ! זשז)3
1.00
1
וו
2
+8 3/ח6ז5ש5 ואו
1%
00
סא
וא35 55/3
5צ
5צ
הסדוסטג 5075
. כקזס שְחּח;!וט
5 30
6הסח
000
6ס 3 ווהּה 5ו
זהסץ ו ]סוה
20000
00|
6
וו
| -4
120300
1
0-5
פצ
6|ג
5צ
5צ
05
. מס 6חפחוווט
5 30
הסח
68 פו
זהסץ | זסווה
0 7
9
וו
זז טסו סס עחהּ
צצ
25-06
וווַּ
5צ
00
פ5צ
סא
סא
פצ
5צ
סא
וו
סא
סא
סא
סא
5צ
ץצ
66 דוסנוה
.60 ה0ז6ו87)
5 90
1 ש6חהסח
5 13,500+
56,750+
52,025+
זסט0סזכ שפח
סח
1
03681
בסוז6 |הוזד
01 ופוזד
.סוק
זה 16850 - 66וזק
66 זחו3!) - ששוזק
5 ) !0 זפסוחהטא
86 חו 5ז68צ
זפו|כקקט5 !01 396
8חו000 01 זסטיחטאא
5ד אש םה וט0ס5ה +ו50560
זז כו 60 ץחה 6 זגו
:ו
6% וס הוחו
וובַ ר67ז5ץ5 פַחוז8ז6ק 0
5צ בָהוז8ה6-5והוד הו 5הט3]
00% 86 חו הפזזוזצ
5
פ5צ 6 261808565
*פ6צ פַהוזזסס39 -וא5
5צ 08 020066 66זט50
5צ ז0ו9ז0ה06) 0318 ]פד
ץצ 1זס5 6חו!- ח!
6 זפטוח 6!ו= וטסח!
צ ץז0553!ף 8 חו 00ח:6-066זק
5 06ה15/00ז3600 .אבו
100 6ו= וס
5צ 6 ץזוזע566 חו ן!וט8
סא חטיזקץז6ה=
פפצ 35 ז88 678185ה36)
5צ 5 0360078165
חסוזה6ו!סק ח3 316!טוחו5 80
5צ 5 החוד זס!
פסצ פָו 5807 !5181051108
6 זו06005 50% 1
ץ!חס 856ה6זטכ חס 66ה8ח8זחובו 2
6 ס6וטשסח ו4הסוזו00ת %
33
94
6 שיקולים בבחירת חבילת תוכנה
למרות שמרבית חבילות התוכנה מאפשרות יישום של רוטינות בסיסיות לשליפת נתונים,
מיונים, סיכומים וכד', קיימים לעיתים הבדלים ניכרים באפשרויות ביצוע אחרות. לפני
רכישה של חבילת תוכנה המבקר חייב לבחון ולבדוק איזו חבילת תוכנה מספקת את
האמצעים ואפשרויות הביצוע המתאימים לביקורת במערכת המחשב באירגון.
אפשרויות הביצוע של חבילות התוכנה מהוות נתון הכרחי וחשוב, אך לא מספיק במערכת
השיקולים לבחירת חבילת תוכנה.
נושאים חשובים נוספים אותם יש לבדוק הם:
עלות התוכנה, יציבות הספק, יציבות חבילת התוכנה, קלות השימוש בתוכנה, מאפיינים
טכניים, סוגי הטכנולוגיה בהם ניתן ליישם את התוכנה ועוד.
להלן רשימה של מערכת שיקולים בבחירת חבילת תוכנה:
(1) האם חבילת התוכנה מבצעת את הנונקציות הדרושות
"*שליפת נתונים
"ניתוח נתונים
-עריכת חישובים
*השוואת קבצים
*השוואת תוכן של שדות
"ביצוע דגימות
"מיונים
*סיכומים
"הדפסות
*בניית קבצים
"עיצוב מבני אינפורמציה
"סטטיסטיקות
"גיולים
"סימולציות
"אישורי יתרות
(1) מהי העלות האמיתית של חבילת התוכנה
עלות זו כוללת את:
"מחיר התוכנה
-עלות ההתקנה
-עלויות של שינויים ותוספות
-עלות הכשרת צוות המשתמשים
-עלות אמצעי העזר (ספרות, טפסים וכד')
-עלות הסיוע הטכני של הספק
-עלות שילוב התוכנה במחשב
-עלות התיפעול השוטף של התוכנה
(3) יציבות הספק
-מצב פיננסי
-ותק בענף
-רמת התמיכה בפיתוח ובביצוע שינויים
-רמת שרותי ההדרכה
55
(4) יציבות חבילת התוכנה
-מספר האירגונים, המשתמשים בחבילת התוכנה
-קיום קבוצת משתמשים
-מידת שביעות הרצון של המשתמשים
-גמישות לביצוע שינויים
(5) קלות השימוש ויעילות
זרמת הידע הנדרש בתיכנות
"רמת הידע הנדרש של פקודות מערכת ההפעלה
-רמת התיעוד האוטומטי (עצמי) של התוכנה (דו"חות על מהלכים)
-איתור שגיאות ודיווח עליהן
-צורת הכתיבה (מבנים מוכנים מראש או כתיבה במבנה חופשי)
-קיום רוטינות אוטומטיות לעריכה והדפסה
-מידת הסיוע, הנדרש מאנשי התיכנות וההפעלה במחשב
-האם התוכנה יעילה מבחינת זמן הכתיבה של הדרישות על ידי המבקר וזמן הריצה מול
קבצים גדולים
-מספר מקסימלי של דו"חות פלט במהלך אחד
(6) מאפיינים טכניים
-סוגי המחשבים בהם ניתן להפעיל את התוכנה
-גודל זיכרון, שנדרש לניצול מקסימלי
-איזו מערכת הפעלה דרושה
-האם ניתן להריץ אותה במחשב במקביל לתוכניות אחרות
-השפה בה כתובה התוכנית
-אפשרויות שילוב רוטינות על ידי המשתמש לחבילת התוכנה
-האם התוכנה יכולה לפעול ישירות עם קבצי הגנתונים במחשב, או האם יש צורך להסב
את הקבצים
-האם מערכת ההפעלה הקיימת מאפשרת יישום של חבילת התוכנה
-אמצעי קלט/פלט אפשריים
(7) סוג הטכנולוגיה
-אפשרויות עבודה בתקשורת
-יכולת טיפול במסדי נתונים
2 תוכניות שרות (פוהגזקסזק עזג[ ז)
למרבית יחידות המחשב יש כחלק מהספריה שלהן סט של תוכניות שרות, אשר
מסופקות על ידי יצרן המחשבים, ואשר כוללות רוטינות סטנדרטיות של עיבוד נתונים.
הפונקציות הבסיסיות אותן מבצעות תוכניות השרות הן:
-הדפסת קבצים
-מיון קבצים
-השוואות
-מיזוג קבצים
-עיצוב מחדש של מיבני רשומות
-העתקת רשומות וקבצים
תוכניות השרות נועדו מלכתחילה לסייע לאנשי עיבוד הנתונים באירגון. אולם בשל
פשטותן, ומכיוון שהן קלות לתיפעול, יכולות תוכניות אלה להוות את אחד האמצעים
היעילים ביותר עבור המבקר (במונחים של עלות/תועלת) לביצוע מטלות חד פעמיות,
מבלי שיהיה צורך בפיתוח של תוכניות מיוחדות, על כל העלויות הכרוכות בכך.
6
כפי שצוין, הפונקציות אותן מבצעות תוכניות השרות מוגבלות בדרך כלל למטלות
בסיסיות של עיבוד נתונים. אולם גם כך, המבקר יכול להשתמש בתוכניות אלה כסיוע
לביצוע ניסויי ביקורת. לדוגמא:
"הדפסה של כל הרשומות הגדולות מערך מסוים
*הדפסה של כל הרשומות בקובץ מלאי לצורך עריכת ספירת מלאי
*העתקת קובץ דיסק לסרט מגנטי לשם עיבודו במקום אחר
"מיון הנתונים בקובץ לפי סדר מסוים לפני שמשתמשים בהם כבנתוני קלט
השימוש בתוכניות שרות יעיל יותר למבקר הפנימי מאשר למבקר החיצוני. זאת כיוון
שהמבקר החיצוני מבצע בדרך כלל ביקורות באירגונים רבים בהם קיימים סוגים שונים
של מערכות מחשבים וסטים שונים של תוכניות שרות. הדבר מצריך להכיר יותר סוגים
של תוכניות והשקעת משאבי זמן וכח אדם להכרתן ולימודן. לעיתים קרובות נוטים
מבקרים להשתמש בתוכניות שרות מבלי להבין מה בדיוק הן עושות ומה הפרמטרים
הנכונים, אשר מפעילים אותן. מצב כזה עלול להיות מסוכן, מכיוון שיכול לגרום לנזק או
לאובדן של מידע חיוני.
3 שרותי שיתוף זמנים (1665ז56 2ח1ז6-53ויר)
אלו הם שרותי מיחשוב, אשר מאפשרים למשתמשים שונים להשתמש במקורות
ובמשאבי מחשב על בסיס שיתוף זמנים. כלומר, באותו הזמן, שמשתמש מסוים עובד,
נעשה שימוש במשאבי המיחשוב גם על ידי משתמשים (5ז1(56) אחרים. כל משתמש
יכול להתחבר למחשב באמצעות מסופו, ולהשתמש בשרותי המיחשוב המוקצים עבורו.
למרות שהמחשב משרת את כל אחד מהמשתמשים באופן סידרתי, המהירות הגבוהה בה
פועל המחשב גורמת לתחושה כאילו המשתמשים מקבלים שרות בעת ובעונה אחת.
בדרך כלל הפעולה הראשונה שכל משתמש מבצע, כאשר הוא רוצה להתחבר למערכת,
היא לזהות את עצמו באמצעות אמצעי זיהוי (סיסמא, קוד וכד'). כאשר המערכת
הממוחשבת מזהה את המשתמש ואת המסוף שממנו הוא התחבר למערכת, המשתמש
נחשב מורשה, כפוף לטבלת ההרשאות הממוחשבת. טבלא זו קובעת:
"אלו פעולות רשאי המשתמש לבצע.
"באלו תוכניות הוא יכול להשתמש.
-לאלו קבצים הוא רשאי לגשת.
"האם הוא רשאי לקרוא נתונים ו/לעדכנם.
שרותים על בסיס שיתוף זמנים מספקים מיגוון רחב של תוכניות, אשר רבות מהן יכולות
להיות בשימוש על ידי מבקרים. התוכניות כוללות רוטינות פשוטות כגון: הדפסה, מיון
והשוואה. לעיתים הן כוללות רוטינות מורכבות יותר כגון: דגימות סטטיסטיות,
ריגרסיות וניתוחים אנליטיים.
החסרון העיקרי בשימוש בשרותים אלה על ידי המבקר הוא הצורך להסתמך על תוכניות,
שהועמדו לרשותו, מבלי יכולת לבדקן ולבחון את נכונותן ודיוקן.
8 טכניקות לניתוח תוכניות יישום
ממוחשבות
1 סקירת לוגיקת תוכנית (עו616 1.0816 הזגזקסז)
אחת האפשרויות לבחינה של לוגיקת העיבוד של תוכנית יישום ושל הבקרות,
המיושמות בה, היא לסקור את הפקודות של תוכנית המקור שכתב המתכנת.
יעילותה של טכניקה זו מוטלת בספק, מכיוון שנדרש מהמבקר להיות בעל ידע רב
בתיכנות, ושיהיה לו הזמן הדרוש לבצע סקירה מקיפה ובעלת משמעות של פקודות
התוכנית.
הקונצנזיוס של מרבית המבקרים הוא, שבחינה לוגית מקיפה עשויה להיות יעילה, אך
המשאבים, המושקעים בה, עולים בדרך כלל על התועלת, המופקת ממנה ובמיוחד
בתוכניות מורכבות. לפיכך מקובל להגביל את השימוש בה לסקירה של מודולים
ספציפיים וקריטיים של תוכנית.
כאשר המבקר המשתמש בטכניקה זו לבחינת הבקרות, המיושמות בתוכנית, הוא חייב
תחילה ללמוד ולהשיג-הבנה כוללת של מערכת היישום, במטרה להיות מודע למערכת
הכוללת של הבקרות. המבקר חייב לעיין בתיעוד השוטף והמעודכן ביותר של התוכנית,
כולל תרשימי זרימה.
המבקר חייב להסתמך על סקירה לוגית של פקודות התוכנית, כאשר אינו מסוגל להשיג
הבנה נאותה של הבקרות, על ידי סקירת תיעוד המערכת וראיונות עם המשתמשים
ואנשי ענ"א.
יעילותה של סקירה לוגית כזו תלויה ב-4 גורמים:
- ידיעת שפות תיכנות
- מורכבות התוכנית
- איכות התיעוד
- משך הזמן העומד לרשות המבקר
בסקירה של לוגיקת התוכנית, המבקר חייב לשים דגש על:
- פקודות, שיכולות לשנות זרימה לוגית
- בחינת כל קבצי הקלט/פלט שבשימושי
- השוואה ואימות של 12א!זע קבצים, לתאור הקבצים
- מעקב לוגי, אם התוכנית פועלת, כפי שהיא אמורה לפעול
- סקירת הלוגיקה של "סברוטינות"
17
8
סקירת המבקר יכולה להתרכז בלוגיקת התוכנית כולה, בסגמנטים ספציפיים או בשדות
נתונים ספציפיים. רשימות "איזכור הדדי"(66ת6ז%6/6 058ז02)) יכולות לשמש כלי עזר
בזיהוי של שם נתונים מסוים, (אם כי גם לכלי זה עלולות להיות מיגבלות, כאשר שם נתון
מופיע בשם חדש בסברוטינות מסוימות).
אפשרות נוספת לסקירת לוגיקת התוכנית היא באמצעות שימוש בתרשימי זרימה.
הבעיה היא, שתרשימי זרימה בדרך כלל אינם מעודכנים. ניתן, איפוא, להשתמש
בחבילות תוכנה, אשר יוצרות תרשימי זרימה. חבילת תוכנה כזו קוראת את תוכנית
המקור, ובונה ממנה תרשים זרימה. אולם כאשר התוכנית היא מורכבת וארוכה , עלול
להתקבל תרשים זרימה מורכב וגדול שיהיה צורך להשקיע משאבים רבים בקריאתו,
בהבנתו ובבחינתו.
2 סקירת תרשים זרימה לוגי של תוכנית
(או16/10 6-37 שו1110 וחג זקסז)
1 סקירה כללית
אחת האפשרויות לבחינה של לוגיקת העיבוד של תוכנית היישום היא לסקור את
הפקודות של תוכנית המקור, שכתב מתכנת היישום.
בסעיף, הדן בטכניקת ה-6%צ6ק 1.086 ותגזקסזקת דנתי בגישה זו, ביתרונותיה
ובמגבלותיה וציינתי, כי קיימת אפשרות נוספת לסקירת לוגיקת התוכנית--באמצעות
בחינה של תרשימי זרימה של התוכנית.
תרשים זרימה של תוכנית הינו תרשים לוגי, בו מוצג תהליך מסוים לפי פעולות
והחלטות אשר מרכיבות אותו. בדרך כלל אין התרשים כולל את הפונקציות האירגוניות
המשתתפות בתהליכי העיבוד, ואין בו פירוטים של קבצים, של פלטים וכד'.
הבעיה היא, שבפועל תרשימי זרימה ידניים בדרך כלל אינם מעודכנים ולפיכך על המבקר
לוודא, שהתוכנית, שאת תרשימה הוא בוחן, היא זו, שמופעלת בייצור. מקובל, איפוא,
להשתמש בתוכנית מחשב על מנת לזהות ולהציג נתיב לוגי ונקודות בקרה בתוך מערכת
יישום ממוחשבת.
פקודות התוכנית (0:046 66זט50)משמשות כקלט לתוכנית מחשב מיוחדת, אשר מפיקה,
תוך העזרות בסמלים מוסכמים, תרשים גרפי, המייצג פרופיל ויזואלי של לוגיקת העיבוד
אותה מבצעת תוכנית היישום.
2 המחשת השימוש בטכניקה
להלן מובאת המחשה של שימוש בטכניקה ממוחשבת להפקת תרשים זרימה של תוכנית
מחשב. בתדפיס מס' 8-1 מובאת תוכנית יישום בשם 1817א8, המבצעת פעולות של חישוב
ריבית. פקודות המקור של תוכנית היישום משמשות כקלט לתוכנה ממוחשבת "-אסוץ
זז" של חברת בורוז, אשר מפיקה תרשים זרימה של התוכנית. תרשים הזרימה מופיע
בדו"ח 8-2.
תרשים הזרימה משקף באמצעות סמלים מוסכמים פעולות, הכלולות ב- 9זט0094זע
חסופוזנכ] היינו; פונקציות קלט או פלט, פעולות החלטה, שבעקבותיהן מסתעפת
התוכנית למסלול זה או אחר בהמשך (בהתאם לתשובה הניתנת לשאלה המוצגת
בסימול), פונקציות עיבוד וכדומה.
בראש כל דף מודפסים (משמאל לימין) מספר העמוד, שם התוכנית, מספרי הפעילויות,
הכלולות בדף, והתאריך.
בכל דף מופיעות עמודות. תרשים הזרימה מתחיל מהחלק העליון של העמודה
השמאלית כלפי מטה. בסוף העמודה קיימת הפניה לעמודה הבאה, ובסוף כל דף קיימת
הפניה לדף הבא, עד לסיום התרשים.
תדפיס 871
תוכנית יישום לביצוע חישובי ריבית
2 = כגזאז 18]: 1812א5 > 5000 165:
.510זצןס אטזזג16;זז%םסז
.ז .-60.8-10ב0קק
=זום 15:43 ]זז 1605ַ%:53.28/ו7/1ו ]זאםס 11:27 =אזז .050:ץאם6-זאם
123 1
320 1 קצ8:0623
1520 1 קצ03נ
320 1 3 7
0 1
520 1 כ וי
0 1 קץ86623
3% 1 הצ06?3ה
20 1 8+
20 1 ץצ
53 1 די
50 1 מצל
0 1 קץך062נה
3% ו[ טץ07
0 59 צה 28 פא]גזןו60 1:5) שאז55 זא
00 1 קץ0
0 1 קץק0
8 1 5ץ062
00 1 69
6 1 קץ3060
62 1 ב ו 1
06 1 פץק0ה
88| 1 קץק
8 1 0צ3ק7סו
6:22 1 1
4% 1 תצו0
2% 1 בר 0
6 1 מץ2
8 1 די
6 1 קץ620וה
550%57ג הפ צת "2 8א]גזַ60 5וז, שאז35זא
8 1 50
4 1 פץק06
הנ 1 פץ:30ה
חשחסםך;0 11:28 שא:ז
.א510:ל1ע זא846א0ק]צאם
.א0:ז566 זעא1גזא60 א6|05 זוסאאן פז
5 6א]אא4
.הג0אאן |9
.(9)14 מ5[ק ]|אא-אם59פא 02
5-ה 055ז]2202 א55%00ה-זט0ה06 02
מ א5-5]א 3"
16 01
1 = 4 25
.(9)6 8]6 א -605
.(20)א 6]ק הג0א|-50:8 02
6 אהז] - 602
16 וזזץ-הן]האאן 02
.(9)10 מזק אצא-150ה-ה5 - 02
.5 זט ז]תטאפ5גף-א.א54 - 02
.0 6זט 1 -)א-אגא5 92
6 1אאוו45-צאא-אטה5 02
42 פא:אזא60 א8:025 הזז8]א -פ:
(03000
כ
יי
0000
0000
0000
(03060
נבז7פנכ
00
נ90090
כו
100
20200
זפאן:
8
000
(5(60
המוז ועו
00
ל
222000
2000
נ323ס
(225
וי
(210וה
(03260
20000
05|2900%%6%]1%6 5
01 זאצ|-א181ז-אפצ).
027 ,+,+0 5]6=
92 +, 26 %)1(.
הס27סת
2000
2909
10
6
8ן
8
16
₪=₪ 9770-7977 5 הח 7 9% 9 99 97 7 5 -- -
-
ץצ - 915 864116000-18-5%]א 82
קצךק86 - 9716 64)2500א-58א-10ק 02
07250 .(504 916 %20%]-8-5]ץ 22
2 58 | 5א1גזא60 א8106 צט158א 0ז
לוי - ז5 100 41%5זא00 11]:
ד ד בזטם-הגסאג: ןח
וי .(5)14 6ז]פ שא -1א 0500 92
3 .(20)א 6ז[9 אג0א4)- 58681 62
קצ02% |גף8 -5 96 אצטא-ן|ז 80101 02
8307260 5-2 ספ |ואז] 92
ב ב 96 אה]זק-|אן];גאז ?0
"דצ 85 .5007108 66אאכז6-5א1]אא0א
0 6זם אצכה-2שָא3- ןש
58 5-2 סשסן2 אצמא-ז 6181 ן|0
6 ]1 .א510ז01% 00%0086קק
02 .4 -זה]5
אזזפזפ זההאגאן זטפמך א6קט
ץז -צ₪1500 זטתזטט0
0 6 | 930 :1
טצון8307 .ןק 0א6א
.וו300/ז80 8 | 130466
0 2?77/אט 0 1 52 זן
1% 8 ]65 זן
0 זז 586 | 765 13
ב 0-2 :א
טצון307 אז]8ןת א006] הדזא זה0א | 61055 כא6 זג זהםסאגא פסאשא
.ו|300/ 6 8 | | 72 :ן
8 ו 68 | 78 זן
0 78| | !1 086 11
6 || 92 3ן
טצ 731 0 .אעק <02ז5 מ6אטא0 אז]א צט158ה א406 הזזא
ץצ .1 אז-זא א801
ץצ 8 (95 = זסא כא ( = זטא ]]15-561א) זז
6 99ֶ4641/א62 8 | :17 3ן
0 5" 6 | הא8ן 11
6 ץע א 8 1 96| :ן
6 אא 22 !1 16 |
טצן3ל0 0 68גחד 9 = אצ0א-50 58-81
7 ,0 0 | 722 10
8 א תמקפן 1 3 16%
טדו83073 7 6ץ 4-0
4+ זז-ְ 4הן 1 הור ,ו
יסַחגכַח
%00
(53120
כ שו
400:הה
(נ0(350
(00360
00
0000
5%
הו
2000
(נ09420
2225
200
(נ03400
(03%50
ה60אתה
70
00
00000
0(
ה
0000
נכ53ו0
(1515ם
100
2
83
סופן
6
2%
2050
2276
202
2246
246
270
2276
2 /אט 2 1 58( אן
0 א | 162 16
1 03 .ן 465אז
0 7 א 2 1] 8068 אן
1 בו בי 9 > ז096א5%א-אא,א5 4%0 | = 41א58ג-צ4א-א5%4%4%
א חן | ?7 16
2-0 18 1 98 אן
6% ואט א 1 86ו 16
ו 2 | 7986 6ן
6 א 6 168 1 196 18
8 %66/250 2 ופן 6|| )|
1 קצ830620 .אצסה-כטָה834 קז 1470%4-ה58.-8]ק 6צסא
778 "1 | 22ן 16
8 אא 8 1 40| א1
2 אצ 156 | 88| 16
אסזזגא6אטלז 1|0] שא]צ56651
586
גו
360
9501
00
0 6א1אאגאה 90250
זז
גו
56
.גצסא-ז181ה-צ0א5]ה
אצסה-ז8191 5זַ0ק608
1 0ז 60
1 טצןז7 )3 1 > ז:00א4%5-אג"ג5 0א% 67000| < 1.ק58-צגא-אעה58
8 0 6 1 66| >ן
8 "5 12 1 86| 16
1 עצן3ז0ה .)צ0ה-2טתא4 0] 16000)|ג:א-ה5-10ק ש,טא
)!+ 41 86/ אק 6 7 1 2פן אן
46/2508 9% | כ 5ן
8 ,ו 2006 ]1 0|8 5ן
. ץצ 0 > ז6ת0אבא-א%ץ5% 0אא 9 > ]450-+א-א.5.4
6,,), )008/46 2006 1 36ו 5ן
8 "א 2000 1 5% 15
1 ץצ 0 < ]5078-צ.א-א5₪08 כאג
72 )| 46/א 6 20 1 ?6ו 15
8 "א 2=08 ]1 .58 5ן
1 5 אצ₪07-80 טז 18-50-20 0+6א
18 "6/0 2006 1 68 15
8"- 200% 1 106 15
1 7250 .ואצ0ה-2טו3 סז (%0250-%570-018 0+6א
4 ןאצ 2002 | 6ן| 15
6 א 2120 | 3:2) פן
%, "1/1052 /א 08 | 5|
1 הצ30623ה
1 ו / צכה-2שה4 * צ0ה-]54-15 =
6 :7 ]1020146420 56 צקא 2166 | 58| 5|
1 8ץ862
0 | 610ן:ןן1/אצא ח7ן2 1 ?אן 15
7 "330060 9וג|1/אצא 2|08 1 700 16
5-0" 2006 1 18 16
60 3650000 פן1א06/צ01 220% 1 736 16
2 1115 /אצא 228 1 8960 6ן
0 00 27/אטם 2206 | 78( 6|
1
8 227% 1 786 16
580 - 0] - 1.
0000
200000
03590(
ר000
96100
090620(
0630(
000
01690(
וסו
588
12
דו"ח 8-1
תרשים זרימה ממוחשב של תוכנית היישום
110 0005 1 3
צַּ 8 ו
, אזאאז-ז זט /
( 0 = זט ז[]-5]א) ]] 005200 ,
( 17-00א-541 06 (5ל = זסא ₪60 -%
) 0: ,
, ,
'
-6דהההההה הדחה
.
5
.
+! 0 ₪
" 0 וז 005300 -
)
, 00 )
/ 1* 1 פא-0/-5 ]] 005400 %
, 9: ]4066א-אא5 ₪0 - +
(4א זצאא)
5 085108
זווןו :0000, 1 606
ו
/ | ז00)) זלאן 075% 004500 /
/ . 19 זע?זטט אזןפןה -- /
/ 018118 960 004700 /
.
.
70 1 +
0% 70 ₪ -22 )
.
.
ָָ 64|
/ זז 00 006900 /
.
. 5 |
צִּ
,
, 'י
, ,
---700---% ₪0 4 '
1 , '
' '
1 :
ן .
5
ן .
ן צִּ ג י
ן / 0] ]זע ז00| 0% 004900 /
| / זע 1 00 אזזעט אזופםו -/
ן / יי /
,
ו ּ
1 02
20 ָ
5 זא
, סו - 110-191
. = 1811-0004 00 004400 %
. / 507-000 ה157-000א-501 9
. . 345 .
.
.
צַ 2 !
) 1 ְז 60 004900 ,
(00003] ,
וו0ס₪ אחוו
זןוזה :ו₪:06ו) 2
.
. טִּ 1% י
ההדהדדררההדדרדה--הההההההההרהההחרדה-
> 0ז תת]5-1- 0% 005500 -%
.. . 307-004 .
. ו
. .
. .
פדדההההההההההההדדקר--)
.
.
טּ
| 15 ₪
. י
, ( 98-00-9801 זן 005400 +
ו 1 54-01 6 18000 +
דהה הההההההה 7 ההההחד דהה
י י
.
|! 4% 0
₪ 16000 א %-118-458 00% 005700 9
. . 887-000 10 .
[504-10-098 ז[ 005900 %
0 ל - 504-61001 שא - )
0 ( 601-ו ,
₪ 62500 /א-א118-45 0% 006100 9
. . 004ו-₪801/ 10 .
ההדההההדההההחהההההההחה-ה"ה-ההההה-ה--
הדההחהההדהדההדהההה-----=-----
. 10 8401-8006 - .
)6 דגא)
ו
13
14
3 מארב (+0ת5₪405)
1 סקירה כללית
בדוגמא מס' 2 בעמוד 76 אותר הפרש בסך 37.08 שקלים בין סכום הריבית, שחושב על
ידי תוכנית היישום לבין סכום הריבית, שחושב על ידי תוכנית סימולציה עבור רשומות
תנועה זהות. בדיקה העלתה, כי מקור ההפרש הוא בסכום ריבית הגלישה, אשר חושב על
ידי תוכנית הסימולציה ולא חושב על ידי תוכנית היישום. להפרש יכולות להיות מספר
סיבות, אשר פורטו בניתוח הדוגמא.
על מנת שהמבקר יוכל לבחון את הסיבה לאי חישוב ריבית הגלישה על ידי תוכנית
היישום, הוא זקוק לאינפורמציה לגבי הנתונים, שהיו בזיכרון המחשב בנקודה, בה
נתקבלה על ידי תוכנית היישום ההחלטה בדבר חישוב או אי חישוב ריבית הגלישה.
לו צפה המבקר אפשרות של שיבוש בחישוב ריבית הגלישה, והיה יכול לקבל מידע על
שדות הנתונים, שהיו מעורבים בתהליך חישוב ריבית הגלישה בעת ביצוע התהליך, היה
יכול לוודא מה מקור השיבוש בתוכנית היישום.
לשם המחשת המצוין לעיל נניח, כי הלוגיקה של תוכנית היישום היא זו, המתוארת
בתרשים 87"3.
תרשים 8-3
נקודת החלטה בתוכנית יישום
האם
קו אשראי > 0
ומספרי גלישה > 150
וז% גלישה > 0
בנקודה .4 מופיעים בזיכרון המחשב נתונים על סכום קו האשראי, מספרי הגלישה
שחושבו ושיעור ריבית הגלישה.
לו המבקר היה יכול לקבל תמונה על הנתונים הנ"ל בנקודה זו, היה בידו המידע לצורך
קביעת מקור השיבוש בחישוב ריבית הגלישה.
טכניקת ה" 502500 היא זו, אשר מצלמת עבור המבקר חלקים מזיכרון המחשב,
המכילים את שדות הנתונים, המעורבים בתהליך קבלת החלטה ממוחשב על ידי תוכנית
היישום בעת שההחלטה מתקבלת. תוצאות הצילום מודפסות בדו"ח לשימוש המבקר.
המבקר יכול לנתח את הנתונים, ולקבוע האם נעשתה החלטה נכונה בהתאם לטבלת
ההחלטות הקיימת בתיעוד התוכנית. טכניקת ה" )532500 מאפשרת רישום של כל
הנתונים, שהיו קיימים בנקודת החלטה ספציפית או במספר נקודות החלטה.
יישום הטכניקה דורש את שילובה לתוך תוכנית היישום, והפעלתה נעשית באמצעות
מכניז'ם, המסופק על ידי המבקר, כגון: קוד ספציפי בתנועה/רשומה או קביעת תחום
ספציפי של רשומות נתונים, שעבורן תופעל הטכניקה.
הטכניקה מסיעת למבקר לענות על שאלות כגון: מדוע תוכנית היישום, הממוחשבת,
הפיקה תוצאות מעוררי ספקותז היא מספקת אינפורמציה, שיכולה להסביר מדוע החלטה
מסוימת נעשתה על ידי המחשב. ניתן לעיתים לשלב את הטכניקה עם טכניקות ביקורת
אחרות (כגון 11), והיא יכולה לעזור בקביעה של תוצאות, שיתקבלו, אם סוג מסוים של
קלט יוזרם למערכת הממוחשבת.
השימוש בטכניקה יהיה מוצדק רק, כאשר היא כלולה בתיכנון המערכת. המבקר חייב
לקבוע בזמן התיכנון כיצד המערכת תבוקר בעתיד. אם המבקר מאמין, שיש לבחון מעת
לעת את לוגיקת ההחלטה של תוכנית היישום, טכניקה זו תהיה אפקטיבית, והיא תספק
נתיב ביקורת של לוגיקת התוכנית.
2 שלבי יישום
יישום הטכניקה נעשה ב-8 שלבים:
(1) השלב הראשון והחשוב ביותר הוא בחירת הנקודות בתוכנית היישום, שבהן לוגיקת
ה")532510 תופעל. נקודות אלה ממוקמות בדרך כלל בנקודות בהן ממוקמות לוגיקות
של החלטה.
(2) בשלב זה המבקר חייב לפתחז שיטה של זיהוי הרשומות, אשר יפעילו את הטכניקה.
זה יכול להעשות על ידי שימוש בתנועות מיוחדות מקודדות או על ידי קביעת תחומים
ספציפיים (למשל: מספרי פריטים 1135-1050).
(3) הגדרת קובץ )50325280
שלב זה נחוץ, אם נתוני ה" 5425200 אינם מודפסים מיד בדו"ח, אלא מועברים,
ומאוחסנים באמצעי אחסנה מגנטי.
(4) בשלב זה המבקר מפתח שייטה של זיהוי נתוני )320ח5 בקובץ /5032500:
זיהוי התנועה, זיהוי תוכנית היישום, שמיצרת אותה, ומיקום ה- ]5045530 בתוך תוכנית
היישום חשובים, אם התנועה עוברת דרך יותר מאשר נקודת ]532510 אחת.
(5) המבקר מתכנן את דו"ח ה-50קגח5 . הדו"חות חייבים לכלול את זיהוי האינפורמציה,
המתוארת בשלב 4, ואת כל השדות, הממוקמים בזיכרון המחשב, שהיוו פקטורים על ידי
תוכנית היישום לצורך קביעה איזו דרך החלטה לבחור.
(6) בשלב זה לוגיקת ה- /42510ח5 משולבת לתוך תוכנית היישום על ידי המתכנתים.
לוגיקה זו חייבת להיות כפופה לאותם סטנדרטים של ניסויים כמו של תוכניות אחרות.
(7) המבקר חייב לפתח אפשרות הדפסת דו"ח על ידי שימוש בתוכנה או בתוכנית שרות
על מנת להדפיס את הנתונים מקובץ ה-325106ח5 בהתאם לתיכנון בשלב 5.
(8) השלב האחרון הוא לתעד את השימוש בטכניקה.
שלב זה כולל:
₪ מטרה של כל נקודת )5085580
₪ שיטת הזיהוי של הרשומות לבחינה
> הסברים עבור כל שדה המודפס בנקודת )825(0ח5
155
166
3 המחשת שימוש בטכניקה
בדוגמא שבתדפיס 8-4 מובאים קטעים חלקיים של חסופוצו 318 ושל * 6ז600ססזק
חסופוצוכ! מתוך תוכנית יישום, הכתובה בשפת !6090, ובהם התיחסות לטכניקת ה-
+
תדפיט 8-4
שילוב רוטינות מארב (325100ח5) בתוכנית מחזשב
09
א 16ק
9 510
9 210
9 10
9 1060
.(8)א 10ק2
.(80)א 510
010001 01
כ :ולי
אפתאטא-60א1ת51
תפפאטא-ת0057085
תפפאטא-אגאפם/.5
תפפאטא-דתג?
פפקל1ה5-צ17דאגטס
05
5
55
5
55
5
.פ608פת-258071.א5
זאסע-54071גא5
א10ךסגפאגתד-5₪01קגא5
05
05
01
.5א7-0א01ק-58₪071תגא5
.1א0תק-507;א5 70 'ו000' פצסא
פצסא '2385ו' 710 עגט0ם 15 תמפאטא-דתגת תעד
.א50710את2501-1א5 10 פת0ס60פת-0א81221
.0 5.2507
1א0ת-7 550 70 '0002' מצסא
'500000' אגחך 58ד7געת0 15 כטפקפ1ח5-צצ1דצאגטם אך1
.א50710את58₪071-1קא5 10 5ת008מ60-5א81221 פצסא
בז חסופוווש 2313 קיימת הגדרה של:
8 רשומה בשם 506080 6-8א1.1 ]81 הכוללת מספר שדות נתונים
0002
00
20004
0005
0006
20007
וס
20002
20003
000
20002
0003
00
0002
3
= רשומת 4511007 5 הכוללת שדה נתונים בשם 1א51101-201 4 5 בגודל 4
תווים אלפא נומריים ושדה נתונים בשם 46110 5א א ד- 251107 ג 5 בגודל של 80
תווים אלפא נומרים.
ב חסופוווכ1 6זט666סזע מובאות פקודות התוכנית לטיפול ברשומות, העוברות דרך
נקודות, שבהן מופעלת טכניקת ה- 500ח5 ,כדלקמן:
נקודת 42511001 5 מספר 1:
כאשר רשומת תנועה (כ8 88600 1,716 ז81) עוברת דרך נקודה זו בתוכנית, העבר '0001'
לשדה | 7א5101-01קא5 ברשומת | 4258107א5 ובדוק, אם הערך
בשדה 1868א[זא-2481 ברשומת התנועה שווה ל'12345'. אם כן, העבר את רשומת
התנועה לשדה 5406110 8- 2511071 א5 ברשומת ה- 517107 א5.
נקודת 4511007 5 מספר 2:
כאשר רשומת תנועה עוברת דרך נקודה זו בתוכנית, העבר '0002' לשדה -51101 5.4
דאז0סש ברשומת ה- 4251107 5%, ובדוק אם הערך בשדה ששקק5111-צד דא טס
ברשומת התנועה גדול מ 500000. אם כן, העבר את רשומת התנועה לשדה
אאא ד-511071 5 ברשומת ה 4251101 א5.
דו"ח מספר 8-5 הינו דו"ח ה- /509250, אשר הודפס, לאחר שתוכנית היישום עיבדה את
רשומת התנועה.
הדו"ח כולל דיווח על התנועות, שעברו דרך נקודות בתוכנית, שבהן הופעלה הטכניקה.
ניתוח הדו"ח מורה כי:
6 רשומת תנועה מסוימת זוהתה והפעילה את רוטינות ה" )5892580 פעמיים: פעם אחת
בנקודת 503550 מספר 1 (רשומה 4 בדו"ח) ופעם נוספת בנקודת )5092580 מספר 2
(רשומה 8 בדו"ח).
6 בנקודת )5030510 מספר 1 זוהו 3 רשומות (4 .6 .5).
= בנקודת 53500 מספר 2 זוהו 3 רשומות (₪ ₪ ).
דו"ח 8-5
דו"ח מארב (0ִה55ְ9ה5)
צתסעסת ד58₪0עגא5
א10ך6ג5אגתך 5₪01ע2גא5 נצאדסע
0 2345697 1|1 330147|305 3212365 1212829 0001
02
ו000
יי
0002
0002
< ש ₪ ש ₪ ₪
צד1 דא טף
5150
ויוי
אפפמטא
06
אפפמטא
5
פדאם
107
108
4 מעקב (פמוסגז1)
1 קשסקירה כללית
גישה מסורתית לביקורת בסביבה של עיבודים ידניים הייתה לעקוב אחר הנתיב, שבו
עוברת תנועה במהלך עיבוד על ידי סקירה ובחינה של טפסים ורישומים ידניים במערכת
הספרים.
בסביבה של עיבודים ממוחשבים קשה למבקר לעקוב באופן ידני אחר הנתיב, שבו עוברת
תנועה במהלך עיבוד ממוחשב. רבות מהפעילויות, אשר יוצרות סיכומים, חישובים
ומניפולציות של נתונים, הפכו להיות אוטומטיות, ולא ניתן יותר לבחנן ולאמתן
באמצעות התבוננות ישירה.
המבקר זקוק לעיתים לטכניקה, שתאפשר לו להשיג ראיות מתועדות לגבי הנתיב, דרכו
זורמת תנועה, המעובדת על ידי תוכנית יישום ממוחשבת.
אחת הדרכים לבחון את הנתיב היא באמצעות מעקב ידני אחר פקודות התוכנית בתדפיס
התוכנית. דרך ביצוע זו הינה מאד מסובכת. הקושי גדול במיוחד כאשר התוכנית ארוכה
ומורכבת, וכאשר המטרה של המבקר היא לזהות ולהעריך את לוגיקת התוכנית ואת
פונקציות הבקרה הפועלות בה.
טכניקת המעקב (8ח11961) מספקת ראיות מתועדות של פקודות התוכנית, אשר הופעלו
בעיבוד של תנועה או של תנועות. כמו כן מאפשרת למבקר לעקוב אחר הנתיב, שבו
עוברת תנועה, או תנועות במסגרת עיבוד נתונים ממוחשב על ידי תוכנית היישום.
הטכניקה מראה אלו פקודות בתוכנית הופעלו ובאיזה סדר (רציפות). מכיוון שהפקודות
של תוכנית היישום מייצגות את לוגיקת העיבוד, הרי שהמבקר יכול באמצעות הפלט,
שמפיקה תוכנת המעקב לקבוע, אם תהליך העיבוד הינו לוגי ותואם את הנהלים, שנקבעו
באירגון. הטכניקה מאפשרת לגלות שגיאות לוגיות, השמטות וכד'.
תרשים 8*6
טכניקת מעקב (שתוסגּזיך)
תוכנית תנועה
המבקר יכול להשתמש בטכניקה למעקב אחר סוגי תנועות נבחרות, או לעקוב אחר
תנועות ספציפיות, המשתמשות בנתונים חיים או בנתוני ניסוי בתהליך העיבוד. ניתן
להפעיל את הטכניקה למעקב אחר נתיב התנועה בכל שלבי התוכנית, או להסתפק
במעקב אחר נתיב התנועה רק בקטעים ספציפיים של התוכנית.
התנועות, עבורן נעשה המעקב, מזוהות בדרך כלל על ידי סימונן בקוד ספציפי, אשר
מתוכנן להפעיל את רוטינת המעקב.
יישום טכניקת המעקב מצריך משאבי מחשב העולים לאין שיעור על המקורות הדרושים
לעיבוד רגיל. לכן מומלץ להשתמש בטכניקה רק במקרים מיוחדים ועם מידגם קטן של
תנועות. שימוש במספר רב של תנועות עלול לגרום להפקת רשימת פלט גדולה, שלצורך
בחינתה וניתוחה יהיה על המבקר להקדיש זמן רב.
2 שלבי יישום
יישום טכניקת המעקב נעשה במספר שלבים:
(1) קביעת מטרות הביקורת ובחינה, האם השימוש בטכניקה יסייע להשגת מטרות
הביקורת
(2) זיהוי וקביעת הקטעים בתוכנית היישום, שבהם תהיה הטכניקה בשימוש
(3) קביעה, כיצד תזהה התוכנית את התנועות, שיפעילו את רוטינות המעקב
(4) שילוב אופצית המעקב בתוכנית היישום
חייבים לבצע הדרה (קומפליציה) של אופציות המעקב עם תוכנית המקור במטרה לשלבן
ל 02066 )020[60).
כאשר משלבים את אופצית המעקב בתוכנית המקור, וכאשר מבוצעת ההדרה, המבקר
חייב לוודא, כי השילוב נעשה במהדורת תוכנית היישום שבייצור.
(5) הזרמת תנועות ועיבודן על ידי תוכנית היישום שבייצור תוך הפעלת רוטינות המעקב
(6) ניתוח רשימת הפלט, המספקת ראיות מתועדות של פקודות התוכנית, שהופעלו,
וסדר הפעלתן
בניתוח הפלט יעזר המבקר ב:
-קלט נתוני הניסוי
-תדפיס תוכנית המקור
-נתוני קובץ האב
-נתוני טבלאות, שהיו בשימוש התוכנית
3 המחשת שימוש בטכניקה
להלן המחשה של השימוש ברוטינת המעקב (פחוסגז1):
בתדפיס 8-7 מובא קטע של תוכנית מחשב בשם "דִוַ188ַא" שבה משולבת רוטינת המעקב.
התוכנית:
- קוראת רשומות של לקוחות חייבים.
- בודקת תנאים של שדות בכל אחת מהרשומות.
- קובעת את שיעור הריבית לפיו תחושב הריבית.
- מבצעת חישוב סכום הריבית בו יחויב הלקוח.
תרשים זרימה של קטע התוכנית מובא בתרשים מספר 8-8. דו"ח 8-9 כולל את נתוני
המעקב, שהודפסו על ידי המחשב.
109
תדפיס 8-7
שילוב רוטינת מעקב בתוכנית יישום
13 1 2 -* כגזאז שן]: 1812א5 > 50/0 םםךז 0000
20 1 פצךק0 באטוצוס אטזזא1):6זא6סז ככוברר
520 1 קצך?505 .ז]) .8-10א016קק וי
3270 1 31 סאפ 5:43 מר]ז 3|/581.250%1005/קו תזאם 27:ןן 6אגז .160ץא0ס-תזגס 20
הלד 1 5 חסחזגם 11:28 =א:ז
20 1 בי .א1510צ01 זא)א9%ק]צאת 3
ג ו שצזק6 )ה .אט1ז566 זטפזטט-זנקאז 00
1% 1 הץ81063 0-60 ז 060
0+ 1 ץק ידה .באז 0ז 55]6% | זהטאאן ז56106 נכזכנכ
120 1 ץג .א סז א8ם4551 - אז181:ק ז50:6 00
3 1 מצ56 .5% טז 55108 | צעת15א ז0ת551 (00090
לד 1 0 .0 גזאס 00
10 1 סצן02וה .אט]ז66ב 6]] 0 הט
"2 [ טץ723 81 ]| 5א]גז0₪ם א6105 זאטאאן פז 00
0 חן ץצ 28 1%5גז60 6ןז] במ ז55 זא 5 6א]א46 ז5קן]
00 1 0 .הג0אא| וה וו
8 1 8 .1 16 א-א00פ5ה 02 020
8 1 5צ6 ב" 6:00:16 א55080ה-זטה)ק 02 0
00 1 ץג מק - - + המ7ט
6 [ שץ60 63 ב 16 :+01 00|
12 1 "ו 6 +25 2
16 1 פץזק נה 6] א5%60/ה-5]א -01 הכר
6:08 1 ץצ .(20)א% 6]ק הגנאג|-5008 02 200
8 1 0ץ830723 )9% 65]ק אקזן ₪62 3
22( 1 ו .(966 8זק אווזזק-ק].גאן 02 (5
7 1 ץצ .(9)10 מק .צ6ה-15א-58 02 ה
2% 1 פ5ץק וזה .]קט ז]:א5)א-אגאה 5 2ע (230ו0
6 1 5ץג06ו .5 6]ט ]8 -צגא -א544 2 (91290
8 1 טץ8:0725 5:6 1 -צגא-א560 02 0
6% 1 קץ62 .גה | פאץ:אזא60 א8102 הז 8181 פ; 200
0ק%ש55א הה5ן| צת "2 %5:ז60% ןז שאז55זא 5 20%%6%]%46?|ת0
8 | 60 .וצפ-ז]]ג-4|צגן -[0 הסה
ו 1 פץ621 )א 6 6-458-0|5090]א 02 00
ו - | ץג 4 6ך 5922 2909ום
%86 | 40 .+ 9:6 64)16600א-54ג-9]ץ -2א יסַתגכת
%2ן 1 קצז62. .(6)3 9]6 0 ח"א-ה95א-210 02 500
8 1 0ץ530725 .(564 6]פ *(04/00]-%58-8]ק -92 (53320
566 1 [וזפ2זזו8 5 660 ן פ5צ]גז60% א8/006 צטה5]א -0; נככניגוח
6 / קץ%ל306 1 +59 100 1%3גזא0ם 16]] 400 חה
10
6
6
8
ו
8
2
הפא
אפון
הקגון
%6ן
%6ן
108
6
8
10
6
8
הפו
הופן
56
12
3
| 557 7-7 8-8 לדה 8 % "ה
פצזק; אה ו.זעם-הגסאא. |"
פץל0 .(4|)% 6ז[פ 1 )וי -1א 00510 02
ץנה .(20)א 9[6 הג0אא)]-58081 - 02
קץ ל 83 9 966 . אצעשה-ן|זזט0]ה 02
7200 3 סך9 |ואזן 920
מ .(9)5 6[ אאןזק-|הןקאאז - 92
<]צק 85% .0% 66א0(זַ5-שא]אא0א
]דוה .(1)% 6]פ אצכַה-2שה% [0
= 9-2 ןכ גצהה-ז181א ן|ח
6ץק]נם .אנ]5]צ+]0 ]קטס:06טק
536 .1 -ז3 ]5
הזזקזל והמאגן זטתמ] א6ק0
כ .צט50]א זטטזטט
0 65 66 1 030 :ן
טדון8307 .הזז8]קץ גשה
8 18 1 15086
0-0 0 | ?35
ץז 8 1 65 :ן
67 8 | 065 13
28 1 א -כ 46
טצון7 ו אזזט]א א06| הז]א זהסאאן 61058 סא זא זהסאג| פאשא
| 300/ז0 60| | ?7 :|
8 ו 8 ןו 78:ון
0 אס 1 086 :1
8" 6 92ו :|
טדן 7 )ה .באעק ק0ז5 ת6אע608 אז]ת טטה5[ה 406% הזזא
וי .]אז-זאא801
3 אס (95 > ז0א טא% ( > זטא 15-551א) גו
6 תֶ1א66/א6 8 1 גו :ן
80 )0 76 1 המן ו!ן
6 (862039500002006/א60 אפן 1 96| 5ן
56 א 0 | %ן|9 |
טצן73)זה 0 66גאז 9" = %צ0ה-ק4]52-ה5
70% 1+ 60/46 0 | 25 אן
8 "א 8אן יא אן
טד 3 307 600-717 )ץך 6
0% 16 1 16048
2 27/א0ה 2 1 58( א|
0-0 קפ | 762 16
טדן073 .ן 465אז 58
0 2 1 16% א]
6 9 > ז056א5%א-א%א+א5 %0א ן = ]%א58-צא-א5%44 זז
7
((056
יו
00000
(390 (0
ה)האוה
200
(09420
22253
00ג
(נ034%90
נמ%5נס
הח46 הח
0070(
יו
0000
2000
ההן5כה
0000
ננ5ו0
00535(
ה056
03569(
ווו
הןפן
6%
228%
ח205
226
202
2556
216
270
2278
68 וש
ויוי
6 ואט
1
26,],+ 44 6/א 60
4 .66/2
1 קך%ק062א
8 א
8 ל 0/250)א
8 2 אצ
אטזזג6אט?ז כ|18] 6א]צ601+;
1 טצדןז זַזח 1 ב
8 61 6/0
2
1 טדןגנז0ה
8 )+ 1 60/46
60/28
6% 20 /)א
]צנ 0 >
6 72-ו |תן|46/א)
8 "א
1 8725
1,],],]728,ָ 6/6
8 6א
1 "ץצ
8
8""".-
1 טצ50725
]3320 הון/גצה
6
6% 332 106 צא
1 קצ6623
1 הצ302 -165 /
6 7 ]46420|ה02ן ספת/צקת
1 סץ62
0 ו 11/אצא
7 055ע3הואווןו/אצה
0 ו
0 6500010 פן1א1%/06
2 1||!5|)200155120/אצת
0 ]+
8 א
זז ]50
3550(
0 6א[אאגאר 90250
"ספן | 72 ון
₪8 1 088 אן
8 1 6 אן
2פן | 9% אן
8 1 796 16
2 ופן | א4|| ן|
.גצם-;טָה2 0ז 58-14/04.-18ק מצסָא
1906 1 ??ן 186
פקפן 1 40| א1
5% 1 גב| אן
ייג5 0אג 67000| < 45361-צ.א-אעה5 זז
0% 1 66| 8ן
12 1 86| 16
.גצעה-47007 טז 16006)ג:א-הב-ע1ק שצשא
יאַפ| 1 2 אן
1% | כןג 5ן
2000 1 8וה 5ן
זפ 0אבא-א.;5% כ0א4 9 > 45|241-צגא-א.ה.5 )|
20024 1 36ו פן
2002 1 58 5ן
0 < ]5308-צגא-5308 כא.
1 1 ?6 5ן
8נ0= 1 .98 5ן
אצ13₪07-80 מז 2 18-50-56 %6ס0א
2076 1 68 5ן
20008 1 06| 5!) :
.ף צ0ו₪-7טוו9 טז ו%570-40250-8₪]8 6צסא 56
21002 ןו 6|| 15
2120 | ?: | פן
8 1 (ון 5!)
.גצס0ה-ז181ַה-צט154ה
וצכה-07ה * אצ0ה-]15א-הא5 = אצסה-ז:ז13ה שזשקא60
216 1 58| פן
1 -%א הז 60
ח7ן2 1 ?פן 5ן
2|08 1 700 16
2006 1 8ן| 16
2228 1 %36 16
2208 1 7060 16
2206 | 78! 6ן
.1 - )6 -9א6
226% 1 086 16
0000
00000
53590(
יי
9(610(
503620(
93610(
0000
00
8
112
הפסק את
רוטינת המעקב
קרא רשומת לקוה
13
תרשים 8-8
שילוב רוטינת מעקב
בתוכנית יישום
דו'ח 8-9
בלט המופק על ידי רוטינות המעקב
כו +אוז 6.4 701 וא וא וג
9( )% ה 074 א 1 101 אל 01884
100% 08 +
0 -) 00728 6 16000 0508 א?0 01954
, 04 197%
9 + 4 00724 א 11 ₪ 019980
1708 204 . +
5-9 076 א ל 0101 2% 02024
02042 208 ₪
9 : 724 א 1019 אל 02050
02068 6 27008 5
0 ) 00728 | ₪ 2500 0408 א?) 02076
6 208 6% 0209
מ( 01664 6 01042 0303 04 02102
02120 9) 6 ,
140200 5 01516 8 00704 % 0310 דש 02146
.
5 01516 1316 א 02170
7 ₪ 0 0103 אא 02188
.
0-7 00| חי כ" חל
5 150 0 0114 ו 02206
02224 010 0319 345 86 01530 5 0150 5 142497
4"] 3 0102 41 1512 אש 02248
000 א 0226
==000320001684===5===2 9 01000
, 8 א 0164
00| | * 00004 א 0 0103 28 01758
01776 000 ₪
01810 028 0110 0 ₪ | 0704 > 0
01828 008 5
מש יצ שמ מש == ג-א==)] זז 183%
להמחשת השימוש ברוטינת המעקב נניח, כי תוכנית היישום מטפלת ב-2 רשומות של
לקוחות, שהמבנה והתוכן שלהן הוא כדלקמן:
מטפר מטבע מטפר
קו קו מש" חובה נתיחה חש" סניף
בון
002
01
("."."."|07(5
(".".".79(000
מבנה ותוכן רשומת (טבלת) שועורי הריבית:
| אשואי יזום | מעל 2500 | מעל 16000 | עד 2500 | עד 14000
תוכנית המחשב קראה את רשומת לקוח ;, ובדקה, האם מתקיים התנאי: (מספר סעיף +
סו + 95) או מספרי חובה = 0.
התנאי לא התקיים, מכיוון שמספרי החובה ברשומת לקוח א = 420 (> 0). לכן מופעלת
רוטינת המעקב, והתוכנית ממשיכה לבדוק קבוצות נוספות של תנאים ברשומה. קבוצת
התנאים הראשונה אליה מתיחס דו"ח ה- 11865 מסומנת בתרשים הזרימה באות 4,
ומתחילה בכתובת מספר 1884 בתוכנית המחשב (פקודה מספר 5400). דו"ח ה- 866ז
מספק מכאן ואילך ראיות מתועדות על פקודות התוכנית, אשר הופעלו בעיבוד 2 רשומות
הלקוחות, ומאפשר למבקר לעקוב אחר הנתיב, שבו עוברות התנועות במסגרת עיבוד
הנתונים על ידי תוכנית המחשב.
כתובת
בדו"ח
9 -- 4 006 עא וז 1 6% 01884
6 (5) (64-- (2(03) (1)
התוכנית ערכה השוואה (1) בין שדה, שתוכנו 1 (4) וגודלו תו אחד (2), לבין תוכן
שדה, שכתובתו 00726 (5) וגודלו תו אחד.
הסבר:
התוכנית בדקה, האם תוכן השדה "סמן קו אשראי" ברשומת לקוח < (שכתובתו
6 שווה ל 1.
התוכנית מצאה, כי התנאי לא התקיים, מכיוון שסמן קו האשראי ברשומת הלקות
הוא 9 (6).
לכן: 4 ספא 2
(2) (וו
מכיוון שתוצאת הבדיקה הייתה שלילית (₪6061 01א) (1), התוכנית פנתה לכתובת
מספר 01954.
0 = 00728 11 050816000 - 08 | 01954
₪ 65 0006 ₪0
כתובת 01954 מתיחסת לפקודה מספר 5600 בתוכנית המחשב. התוכנית ערכה
השוואה (1) בין שדה, שתוכנו 16000 (4) וגודלו 5 תוים (2), לבין תוכן של שדה,
שכתובתו 00728 (5) וגודלו 8 תווים (3).
הסבר:
התוכנית המשיכה לבדוק תנאים ברשומת לקוח < .קבוצת תנאים זו מסומנת בתרשים
הזרימה באות 8 . תחילתה היא בכתובת 01954 בתוכנית המחשב.
התוכנית ערכה השואה בין 16000 לבין תוכן השדה "סכום קו אשראי" ברשומת לקוח א
(שכתובתו היא 00728). התוכנית מצאה, כי סכום קו האשראי ברשומת הלקוח הוא
0 (6), שהוא גדול מ" 16000.
5
16
2004 1 ב[
(2) (
אילו התנאי 16000 = "סכום קו אשראי" (1) לא היה מתקיים, כלומר, אילו סכום קו
האשראי ברשומת לקוח < היה קטן מ160007, התוכנית הייתה פונה לכתובת מספר 02024
(2) בתוכנית (פקודה מספר 5900), המתיחסת לקבוצת התנאים, המסומנת באות 6
בתרשים הזרימה. אולם מכיוון שהתנאי הנ"ל התקיים, וסכום קו האשראי גדול מ- 16000,
התוכנית המשיכה לבדוק תנאי נוסף בקבוצת התנאים, המסומנת באות 8 בתרשים
הזרימה.
9 > 4 0204 ,זא 1 וסוס אס 000
66 (5) (64 (3) (2) (1
כתובת 01980 מתיחסת לפקודה מספר 5700 בתוכנית המחשב. התוכנית ערכה השוואה
(1) בין שדה, שתוכנו 1 (4) וגודלו תו אחד (2) לבין תוכן שדה, שכתובתו 00724 (5) וגודלו
תו אחד (3).
הסבר:
לאחר שהתוכנית מצאה, כי סכום קו האשראי ברשומת לקוח א גדול מד 16000, היא ערכה
בדיקה, האם סמן המשכורת ברשומת הלקוח (שכתובתו 00724) שווה ל- 1. התוכנית
מצאה, כי סמן המשכורת ברשומת הלקוח הוא 9 (6), כלומר, התנאי לא התקיים.
לכן:
4 מא 1998
(2) (וו
מכיוון שהתנאי 1 = "סמן משכורת" לא התקיים (₪4061 - 1()%0), התוכנית פנתה לכתובת
מספר 02024 (2) (פקודה מספר 5900 בתוכנית), המתיחסת לקבוצת התנאים, המסומנת
באות 6 בתרשים הזרימה.
9 = 4 006 זא 9 ו00 אקס 22004
60 (5) (4 (3) (2) (1)
התוכנית ערכה השוואה (1) בין שדה, שתוכנו 9 (4) וגודלו תו אחד (2), לבין תוכן שדה,
שכתובתו 00726 (5) וגודלו תו אחד (3).
הסבר:
התוכנית בדקה, האם תוכן השדה "סמן קו אשראי" ברשומת לקוח א (כתובת 00726)
שווה ל- 9. התוכנית מצאה, כי התנאי אכן מתקיים, והסמן הוא 9 (6).
218 ספא 2001
(2) (ו)
אילו התנאי 9 = "סמן קו אשראי" לא היה מתקיים (1), התוכנית היתה פונה לכתובת מספר
8 (2) (פקודה מספר 6200 בתוכנית), והיתה מעבירה את שיעור הריבית המתאים
ל"אשראי עד 2500" לשדה "אחוז חובה" ברוטינת חישוב הריבית. אולם מכיוון שהתנאי
התקיים, התוכנית ממשיכה לבדוק תנאים נוספים בקבוצת התנאים 6.
התנאי הבא אותו בדקה התוכנית הוא:
9> 4 4 א פַ וסוס אתל 2000
660 5 (4 (63 0)- ()
כתובת 02050 מתיחסת לפקודה מספר 5900 בתוכנית המחשב. התוכנית ערכה השוואה
(1) בין שדה, שתוכנו 9 (4) וגודלו תו אחד (2), לבין תוכן שדה, שכתובתו 00724 (5) וגודלו
תו אחד (3).
הסבר:
לאחר שהתוכנית מצאה, כי סמן קו האשראי ברשומת לקוח < שווה 9, היא בדקה, האם
סמן המשכורת ברשומת הלקוח (כתובת 00724) שווה 9. התוכנית מצאה, כי התנאי אכן
מתקיים, וסמן המשכורת ברשומת הלקוח הוא 9 (6).
8 )א 02068
(2) (ו
אילו התנאי 9 = "סמן משכורת" לא היה מתקיים (1), התוכנית הייתה פונה לכתובת מספר
8 (,פקודה מספר 6200 בתוכנית), והיתה מעבירה את שיעור הריבית המתאים
ל"אשראי עד 2500" לשדה "אחוז חובה" ברוטינת החישוב. אולם מכיוון שהתנאי
התקיים, התוכנית ממשיכה לבדוק תנאי נוסף בקבוצת התנאים 6.
התנאי הנוסף אותו בדקה התוכנית הוא:
0 > 2 00728 | א 100 ה0.=0 אקס 2006
(6) (5) (4) (2) 0 ()
כתובת 02076 מתיחסת לפקודה מספר 6000 בתוכנית.
התוכנית ערכה השוואה (1) בין שדה, שתוכנו 2500 (4) וגודלו 4 תוים (2), לבין תוכן של
שדה, שכתובתו 00728 (5) וגודלו 8 תוים (3).
הסבר:
לאחר שהתוכנית מצאה, כי סמן קו האשראי ברשומת לקוח א שווה 9, וסמן המשכורת
ברשומה שווה 9, היא ערכה השוואה בין 2500 לבין תוכן השדה "סכום קו אשראי"
ברשומת הלקוח (כתובת 00728). התוכנית מצאה, כי סכום קו האשראי ברשומת הלקוח
הוא 27000 (6), שהוא גדול מ 2500.
218 0 2094
(2) (ו
אילו התנאי 2500 < "סכום קו אשראי" לא היה מתקיים, כלומר, אילו סכום קו האשראי
ברשומת לקוח < היה קטן מ- 2500, התוכנית הייתה פונה לכתובת מספר 02128 (2)
(פקודה מספר 6200 בתוכנית), והייתה מעבירה את שיעור הריבית המתאים ל"אשראי עד
0 לשדה "אחוז חובה" ברוטינת החישוב. אולם מכיוון שהתנאי התקיים, וסכום קו
האשראי גדול מז 2500, התקיימו למעשה 3 התנאים בקבוצת התנאים, המסומנת באות
6 בתרשים הזרימה והם:
סמן קו אשראי = 9
סמן משכורת - 9
סכום קו אשראי > 2500
לכן התוכנית פנתה לכתובת 02102, המתיחסת לפקודה מספר 6200 בתוכנית.
38
0 < 4 24 4 11 3 03 ]א 01102
(6) (5) (64 (3) (2) (נ
התוכנית העבירה (1) את תוכן השדה, שכתובתו היא 01042 (4) וגודלו 3 תוים (2) לשדה,
שכתובתו 01464 (5) וגודלו 3 תוים (3).
הסבר.
מכיוון ש 3 התנאים בקבוצת התנאים ?6 נתקיימו, התוכנית העבירה את שיעור הריבית
המתאים ל"אשראי מעל 2500" (כתובת מספר 01042) לשדה "אחוז חובה" ברוטינת
החישוב (כתובת 01464). שיעור הריבית, שהועבר הוא 70 (6).
6 אסשת 22
(2) (1
לאחר העברת שיעור הריבית המתאים לשדה "אחוז חובה" התוכנית פנתה (1) לכתובת
מספר 02146 (2) (המתיחסת לפקודה מספר 6400 בתוכנית), שבה נעשית פעולת חישוב
הריבית, כדלקמן.
0., << 5 301516 00704 4 01464 | 0310 צק]א 02146
(7 6 (5) (64 (3) (2) (1)
התוכנית ביצעה הכפלה (1) של תוכן שדה בגודל 3 תוים, שכתובתו היא 01464 (4), בתוכן
שדה בגודל 10 תוים (3), שכתובתו היא 00704 (5). את תוצאת המכפלה (7) התוכנית
העבירה לשדה, שכתובתו היא 01516 (6).
הסבר:
התוכנית ביצעה את ההכפלה הבאה:
תוכן שדה "אחוז חובה" (כתובת 01464) 10
בתוכן שדה "סך מספרי חובה" ברשומת לקוח א (כתובת 00704) 220
המכפלה שנתקבלה 000
הועברה על ידי התוכנית לשדה ביניים פנימי, שכתובתו היא 01516.
הדיווח בשורות אלה מתיחס לפעולות פנימיות, 200
שביצעה התוכנית, והמתיחסות להעברת תוכן 206
שדות והקצאת שטחים פנימיים. 26
7 5 01550 5 01530,תצ1 5 %ו03 טןז 01114
(7 660 (5) (64- (003) (1)
התוכנית ביצעה חלוקה (1) של תוכן שדה, שכתובתו היא 1530 (5) וגודלו 19 תווים (3),
במספר 365 (4), שהוא בן 3 תווים. את המנה (7) העבירה התוכנית לשדה, שכתובתו היא
0 (6).
הסבר:
השדה בכתובת 01530 מכיל את המכפלה 20000
מספר זה חולק ב- 5
המכפלה שנתקבלה 107
הועברה על ידי התוכנית לשדה פנימי, שכתובתו היא 01550.
000 אשפ 022206
(2) (1
לאחר חישוב הריבית בגין מספרי החובה של לקוח < התוכנית ניגשה לכתובת 02266,
המתיחסת לפקודה מספר 6900 בתוכנית ומשם הופנתה (1) לכתובת מספר 01660 -
קריאת הרשומה הבאה בקובץ לקוחות.
הרשומה הבאה בקובץ לקוחות היא של לקוח צ.
סגמא 00
1
התוכנית קראה (1) את רשומת לקוח צ.
08 אשת 066
(2) ()
לאחר קריאת הרשומה התוכנית פנתה (1) לכתובת 01758 בתוכנית (2) (פקודות 5100 ו
0) לשם בדיקת תנאי השדות ברשומה.
התוכנית מתחילה לבדוק את קבוצת התנאים, המסומנת בתרשים הזרימה באות :
0 = 4 6 תא 0 03 אס 58
(6) (5) (64 (3) (2) (ו)
התוכנית ערכה השוואה (1) בין שדה, שתוכנו 0 (4), לבין תוכן של שדה, שכתובתו 00606
(5), וגודלו 3 תוויים (3).
הסבר:
התוכנית בדקה, האם מספר הסעיף ברשומת לקוח צ (כתובת 00606) שונה מ 0. התוכנית
מצאה, כי מספר הסעיף ברשומת הלקוח צ = 0 (6).
0 ₪00 = 01776
(2 (ו
מכיוון שמספר הסעיף ברשומת לקוח צ שווה (0)1, (כלומר, התנאי לא התקיים), התוכנית
פונה לכתובת מספר 01810 (2), המתיחסת לפקודה מספר 5300 בתוכנית, וממשיכה לבצע
בדיקה של תנאי נוסף בקבוצת התנאים, המסומנת בתרשים הזרימה באות כז:
0 2 00704 שא 0 0 אק 10
(6 5 (64 (6) 00
התוכנית ערכה השוואה (1) בין תוכן שדה, שכתובתו 00704 (5), וגודלו 10 תוים (3), לבין
שדה שתוכנו 0 (4), וגודלו תו אחד (2).
הסבר:
לאחר שהתוכנית מצאה, כי מספר הסעיף ברשומת לקוח צ הוא 0, היא המשיכה לבדוק,
האם מספרי החובה ברשומת הלקוח (כתובת 00704) שווים 0. התוכנית מצאה, כי מספרי
החובה ברשומת הלקוח אכן שווים 0 (6).
18 0צא 01828
(2) (ו
אילו מספרי החובה ברשומת לקוח צ לא היו שווים (1) 0, התוכנית היתה פונה לכתובת
מספר 01868 המתיחסת לפקודה מספר 5400 בתוכנית, והייתה בודקת את קבוצת
התנאים המסומנת בתרשים הזרימה באות 4. אולם כיוון שמספרי החובה ברשומת הלקות
צ שווים 0, התוכנית הפסיקה את רוטינת המעקב.
0 6גחדך 6
פוו
120
5 מיפוי (שַתוסקג1א)
1 שקירה כללית
המטרה המקורית של טכניקה זו היתה לסייע למתכנתים בניפוי תוכניות מחשב ובבחינת
יעילות של תוכניות. הטכניקה משתמשת בתוכנת מדידה ממוחשבת, אשר מנתחת
תוכניות מחשב במהלך הפעלתן, ומפיקה מידע על פקודות בתוכנית שהופעלו, על
תדירות השימוש בפקודות או בקטעים ספציפיים של תוכנית, על זיהוי קטעים בתוכנית,
שלא הופעלו ועל פעולות; הצורכות משאבים רבים של 211 6.
המבקר יכול להשתמש בכלי תוכנה זה על מנת להשיג ראיות לגבי מידת היעילות של
תוכניות מחשב שבבדיקה, ולאתר קטעים בתוכנית, שאינם מופעלים. קטעים כאלה
יכולים להיות חוקיים (למשל; קטעים המופעלים רק במצבי שגיאה), או שיכולים להיות
"סוס טרויני" (היינו; פקודות לא מורשות הכלולות בתוכנית מחשב, אשר אינן מופעלות
באופן שוטף, אלא רק כאשר ניתן אות להפעלתן באמצעות קוד ספציפי, הידוע רק
למתכנת שהכלילן בתוכנית).
תרשים 8710
טכניקת ה-6צ1ק כ ג ]א תוכנית
לא בשימוש
הטכניקה מאפשרת למבקר לזהות תחזוקה לקויה של תוכניות מחשב. תוכניות, אשר
פועלות זמן ממושך, כוללות לעיתים קרובות פקודות רבות, שאינן בשימוש, או פקודות
לא יעילות, אשר משום מה כלולות בתוכנית. שימוש בטכניקה עשוי לאפשר לאתר
משפטים או רוטינות כאלה.
תדניס וו-8
קטע תוכנית יישום המנותחת על ידי תוכנת קַחוקקג1א
100012(
6 0006 15 0002 52606001
[ יי
(01,003) ז זו( 6 זואוזפ
(02,008) 5 04?
(02,000) = 04?
(02,000) = 018001081 דאמ
(02,006) = 68?
(01,004) = (0240003:000:1/
(02,00) = ץג 0שטד
0001 )08 01004 15 זנאן
(01,004) = +אסוודטו לא
(02,010) = וא וספםז
[יי יי
(01,005) = +אסגושו שו
10|
(01,004) = 6 לא
יי
(01,007) = 01 לא
(01,008) = +אהנדםו שא
11|
0002 601 0�0% 15 1007
3 10|(
5(|
(02,011) = שד
(02,012) = 0 שד
093
הבסה 1 8100 15 וש ז-1008א
(57:10
(01,009) = ]ו לא
0:03
(01,000) = +20 לו
(01,008) = )200 600511
3
(02,013) = 4 08שםד
(01,000) = ו לא
115(
(02,014) = ו שד
1+,(|(
1
1
0(
יי
0/5(
3 00030008
510-804 15 800% 0
ו יי
0:0
0+(
0(
תי יי
3
(01,000) : +אסדדו לא
:0
ש- ןודז * =1ד00ז 7 0א-1א[ז * =1ופאנז* זא ופוסל
3400 0006 11510.
.ות 3500
1 סחךץ (5)ז1ז) 1 פונז זפ
צופנז השן ופ
100
2200
וז דע 0 2000
15900
00
סש זו +ופונז שו
אס 00
.0 10 80 00
.א-1ופוזז 0ז 1 0 00
7 118-866 06 400
זא 00
.וז 0 1 0 00
0 80 0+
ופ ז-1₪) 4900
.הז והז |ופןזז 0%
0+
.א 5 שז ונז וא זן" 1% 1000
זא 10
.א-5100 א
.0א-01ו]ז-65 10 1 00
.| |₪]ז-5 0ז (5חזז)1ושונז ז%
.ונז זטשון וס
.אוו- 510
5 3885858 8
ט- זז = א-!ושונז זן
פופ זא
אם
'וווווווווווווה 10" זה 1ס
-
5
5
.או 510
5 8
010% 0
ולו
112
2 שלבי יישום
יישום הטכניקה על ידי המבקר נעשה במספר שלבים:
(1) בזירת התוכנה המתאימה (לעיתים קרובות ניתן למצוא תוכנה מתאימה ביחידת ענ"א
של האירגון)
(2) בחירת התוכנית/התוכניות, שלגביהן תתבצענה המדידה והבדיקה
(3) שימוש בטכניקה במהלך עיבוד של נתוני ניסוי על-ידי תוכנית היישום
(4) ניתוח התוצאות והשלכותיהן
במערכות ממוחשבות גדולות קשה ליישם את תוכנת המדידה בהיקף רחב, מכיוון
שהפעלתה דורשת משאבים רבים של פיתוח נתוני הניסוי והפעלת התוכנה. לכן מומלץ
לבחור תוכניות קריטיות בתוך מערכת היישום לצורך הבחינה.
הפלט, המתקבל, הוא דוח אנליטי, הכולל את המידע הבא או חלק ממנו:
- רשימה של משפטים או קטעים בתוכנית, שלא הופעלו
- רשימה של משפטים או קטעים בתוכנית, שצרכו משאבי 6211 רבים
- נתונים על התדירות (מספר הפעמים), שבה כל משפט או קטע בתוכנית הופעל
דו"ח הפלט מסייע למבקר להעריך גם את רמת הניסויים של תוכניות היישום, ולאתר
קטעים בתוכניות, שלא נוסו. תדירות השימוש במשפטים ספציפיים במהלך העיבוד
יכולה להיות מושווית למספר רשומות קלט על מנת לאמת, שהתוכנית פועלת באופן נכון.
טכניקת ה-פַחוק132א תאמת רק, האם פקודות בתוכנית הופעלו וכמה פעמים הן הופעלו.
הטכניקה אינה יכולה לקבוע את אמינות הלוגיקה של העיבוד, ואינה יכולה לקבוע האם
הפקודות בתוכנית הופעלו בסדר וברצף הנכון.
3 המחשת שימוש בטכניקה
בתדפיס מספר 8-11 מובא *ח12171510 6זט0660ז?** של תוכנית יישום ממוחשבת. תדפיס
זה מחולק ל-4 קטעים (310685), עבורם מבוצעת מדידה. מטרת המדידה היא לבחון
כמה פעמים נעשה שימוש בכל אחד מהקטעים בעת הפעלת התוכנית, כמה משאבי [621
(במונחי זמן) צרכה התוכנית בעת הפעלת כל אחד מהקטעים, ומה הייתה הצריכה
הממוצעת של משאבי ה- (621 עבור כל אחד מהקטעים (תדירות השימוש / ס"ה זמן
[1)). תוצאות המדידה מוצגות בד"וח מספר 8-12.
דו"ח 8-12
דו"ח קַתוקקג]א
5 א שאזד 0
5 = 5 :₪0 ז0א 45 זק0אם
₪06 זז 8 ו
08 108 1 אא
5 0.152866 5 0.152866 1 1
2 116% 9.017755 5 16%
3 3 2.110574 5 225
4 1 8 8
6 תוכנה להשוואת תוכניות (6זג/ו50/0 ה80וז3קות 6-0 הזג זקסז)
1 ססקירה כללית
טכניקה זו מאפשרת למבקר להשוות 2 מהדורות נפרדות של תוכנית מחשב במטרה
לבחון, אם קיימים הבדלים בין המהדורות, ואם השינויים מאושרים ומתועדים בהתאם
לנהלים.
על מנת להשתמש בטכניקה זו ביעילות, המבקר צריך תחילה להשלים סקירה לוגית של
המהדורה הראשונה (הישנה), ולשמור עותק של התוכנית תחת פיקוחו. עותק מבוקר זה
מושווה בתאריך יותר מאוחר עם מהדורת התוכנית שבייצור.
ההשוואה יכולה להעשות באופן ידני, על ידי קריאה והשוואה של כל אחת מהפקודות.
השוואה כזו אינה יעילה, מכיוון שהיא כרוכה בביזבוז זמן רב, ודורשת סבלנות מירבית
של המבקר. יישום יעיל של הטכניקה הוא על ידי שימוש בתוכנה מיוחדת לביצוע
ההשוואה.
תוצאות ההשוואה מודפסות בדו"ח לעיונו של המבקר. אם תוכנית ההשוואה לא איתרה
הבדלים בין המהדורות, והמבקר בחן בעבר את המהדורה הישנה של התוכנית, הרי
שהוא יכול להסתמך על תוצאות ההשוואה ולהגביל את המשך הבחינה של התוכנית
שבייצור. אם אותרו הבדלים בין המהדורות, המבקר חייב לבחון את התיעוד, ששימש
בסיס לשינויים ולעידכונים, שנעשו בתוכנית, לנתח אותם, ולוודא, אם השינויים מורשים
ומתועדים כראוי.
לפני הפעלת תוכנית ההשוואה, המבקר חייב לוודא, שהמהדורה, שאותה הוא מקבל
לצורך ההשוואה, היא זו שבשימוש עבור נתוני הייצור השוטף.
ההשוואה יכולה להיות ברמה של *0006 66ז500*או ברמה של "0066 )2160*.
ההשוואה ברמה של *0066 )29[66)* מחייבת תחילה לבצע הדרה (קומפילציה) של
תוכנית המקור שבידי המבקר, ואזי להשוותה ל-"0066 1660פ0יישל התוכנית שבייצור.
השוואה זו היא אמנם יותר אמינה, אולם כאשר מתגלים בהשוואה הבדלים בין
המהדורות, יהיה למבקר קשה מאד להעריך את משמעות השינויים. מיגבלה זו עושה את
ההשוואה ברמת ה *0066 50₪166* נוחה יותר למבקר.
ההשוואה אינה נותנת לגיטימציה לפקודות התוכנית. היא מספקת כלים לקביעת איתנות
הנהלים לביצוע שינויים בתוכניות, ומסייעת למבקר בזיהוי ובאיתור של שינויים לא
מורשים בתוכניות.
2 המחשת שימוש בטכניקה
תדפיס 8-13 מייצג תוכנית מקור בשם *1 ח11:530/ 3/5/40 81%* (להלן: מהדורה מספר
1). תוכנית זו הייתה בשימוש בשנת 1982.
באותה שנה ערך המבקר סקיוה לוגית של התוכנית, ושמר תחת פיקוחו עותק של
התוכנית. בחודש מאי 1983 המבקר היה מעוניין לבדוק, אם נעשו שינויים בתוכנית. לשם
כך הוא השתמש בתוכנה לעריכת השוואה בין התוכנית שסקר בזמנו, לבין התוכנית
שבייצור. התוכנית שבייצור מובאת בתדפיס | 8714. שם התוכנית הוא א:8*
"2 ח111580/ 3/5/00 (להלן: מהדורה מספר 2).
דוגמא מספר 1
המבקר הפעיל את תוכנת ההשוואה באמצעות הפקודה:
/אז ע :2 11154110 פט ג/3/5 אזפ סד ג אס 154צ/פטג/3/5 אזם דא
.3 א0זז 3/4/1154
שמשמעותה: הפגש את 2 המהדורות של התוכנית, ואת תוצאות ההשוואה העבר לקובץ
בשם *3 א131541100/ פט 3/5/4/א81".
3
244
תדפיס 8713
תוכנית יישום *1 ת0ת400/158 /3/5/ או
(115011081)05/15/82/ 000 /3/5א31
00 "0/7000 "8" 15 0000
00 .10| א071108א6, 00801 6011 10 6 55 קט
0000 .1500 !1" 06 |0080, 1087 זא" 5 5 500
0000 .א0וו150 זטקא1
0 . (008א5101 ]קז ז0057
0 . ז[אפ-ו] 8 68007
00 )זא ווזזא אה0] זאזא?
00 ,או" % 7
0 "אא" ל 9
00 ,"102 5126" 92 11
0 7" 93 13
200 ,000 227% 20587 111800 2:12057 05066" 48 45
00 השרה הההההחההההההההההההההההה-------" 48 168.
0 | הז 7 6 ]0108 81 0650 705076" 35 18
50 ,"אל 4 אזזאס זו"
0 "207 29אאם 6507 018 51800 55 ₪5 18צ1." 40 20
0 ,"20070 2א6א0, 8"
00-00 א6ךא 1320/82 80:70 /52א2:12 05066/ 28118 1066" 23/34
20 ,0 א אזדן"
0 702% 7א0%5/ .|א] 0016 05066 605ק1ד1א ץקהום וסאז1ש" 34 25
0 ,10 | 0016 -
000 ,8 א 1 פו." 6 27
0 "/ו1057 7א5א0/ 210071 06066 אז6או! ]א ₪ 11." 30/32
0000 ,-0158 055102 א| 00076 "
0 5 *78 1180א2, 201 אד | 2-6 /אק27 1א6אם/" 33/32
0 , "?אא א17802א 601"
2000 ")108 0 / )קו:? <אסאם/ דפ:ו11א. האאא1א הס" 33 35
0 ,"20000 ₪8/5 7| 12אשקו *
80 ,"100 זאווזא זא /ץא.2. ז/ ץק 0 אה 5204א." 52 37
0 "* ]108 פו1ז | 0500 052 1107 5 |1]0א 600, 55008" 32 40
0 ,0 118028 וזא -
0-. |" 108 פוזד] ץד 1881 א| 008 א60 זה 27, ]א 28" 36 42
0 ,120 אא סאדשאוום?"
00 ,2001007 מז1א21." 85 44
0 ו א"
511
10
"200
00
40
100
700
₪
200
1000
100
1200
100
100
תדפיס 8714
תוכנית יישום *2 ה0תג3/5/3₪0/1115/אום
8163/5/000 /111501082)05/15/83(
0 70000 "לא" 15 וסט
000 ,60007110, 60801 5 11 108,607 658651 50078555
0 .א0ו1500!] זטקא1
0 . (6)8א5181 0001 ז27 600
0 זז 0
090 . ]1-ו 8 06007
00 )זוז וזא א 0] זא1א?
000 ,"8 א" %6 7
0 ,"אא" 99 9
000 ,"27| 51/6" 95 11
00 93 13
20000 ,0000 250620 2אא0 111864 217057 05066" 48 15
0 % הההההההההההההההההההה-------------* 16/48
0 "2 11860 217052 060066 01081 8 0656 05016" 18/35
00 ,יאש 8 אזזאפ ד"
0 "אק לא 06550 0718 51860 א צ 56 1+18.* 40 20
00 ,"207% 2אא0, 1"
0 "06 ]א אד 1320/82 817 /2517052 05060/ 28118 7066" 23/34
00 א אד ןד
אא | 06 00066 00 קדו םאדס" 34 25
0 ,"210 8] 0070 -
20 א ו" 86 7
00 "/20070 001 217071 05006 אזשאו] זא 6 והזו" 30/32
0 ,"0158 021102 8] 02076 -
0 | 785 ₪אץזאם, 601 |א6זה 8ן סדה ץק /אל7 לאאם/" 33/32
0 ,"אא א1702 601"
00 "100 776 אל קאפאם/ ד8ש11א. האאא1א הא" 33 35
0 ,"20000 8/5 ק] לאםקא -
0 ,"1060 זאוודון שה 1 /זון.7. ז/ 87 0-01 אס הפקוא." סש 37
0 "* 108 פווזד | 0608 ₪2 118 = 601 זא 6509, 50004" 32 40
0 ,"ס?א א₪02ז1א ופד וזא -
0--"- "108 פוזדו ץץם 1081 א| 008 אפסה 2:7, |א6 א7" 36 42
0 ,"120 אא כאזשאו?"
0 ,"0100 0זק1א21." 85 44
00 א 41 51
10
200
200
6
דו"ח 8-15
השוואת 2 תוכניות היישום - דוגמא 1
1
0 - 10
זז ד 00 [י 200
.0" 96 7 0 | 150
. "א7] 51/6" 05 11 0 40
בדו"ח מספר 8-15 מובא הפלט של תוצאות ההשוואה. ניתוח התדפיס מצביע על מספר
הבדלים בין 2 המהדורות של התוכנית כדלקמן:
-300 1
פקודה מספר 300 במהדורה מספר 1
(.>8ז150 זזא* 45 ,60801 ,>ה ג ;1 זז]א* 45 55 ד:]א תות מץ6)
אינה מופיעה במהדורה מספר 2.
2 צג סד צא תמסתס 550 ז
במהדורה מספר 2 נוספה פקודה בשורה מספר 550, אשר איננה קיימת במהדורה מספר 1.
3 =6548[1,8" 96 7 800 את
אותר הבדל בפקודה מספר 800 ב-2 המהדורות. בתדפיס מופיעה הפקודה במהדורה
החדשה, מספר 2.
עיון בשורה מספר 800 ב-2 המהדורות מצביע, כי אכן קיים הבדל בין 2 הפקודות.
הפקודה במהדורה מספר 1 היא: 041" 96 7
הפקודה במהדורה מספר 2 היא: >0541,8*' 96 7,
במהדורה מספר 2 נוספה האות 8 למילה 4015 5
4 >אשפ .1 5120" 95 11 1000 א
אותר הבדל בפקודה מספר 1000 ב-2 המהדורות.
בתדפיס מופיעה הפקודה המקורית במהדורה החדשה, מספר 2.
עיון בשורה מספר 1000 ב-2 המהדורות מצביע, כי אכן קיים הבדל בין 2 הפקודות.
הפקודה במהדורה מספר 1 היא: *אקכ,1 5120" 91 וו
הפקודה במהדורה מספר 2 היא: >אכ.1 5120" 95 וו
במהדורה מספר 1 מופיע המספר 2פ9, ואילו במהדורה מספר 2 מופיע במקום 92 המספר 95.
דוגמא מספר 2
בדוגמא מספר 1 קיבל המבקר דו"ח פלט מתומצת על ההבדלים בין 2 המהדורות. מנתוני
הדו"ח הוא יודע, כיפקודה מספר 300, שנכללה במהדורה מספר 1, אינה מופיעה במהדורה
מספר 2. אולם מתוך הדו"ח אין הוא יודע מהי הפקודה החסרה.
הדו"ח מצביע, כי במהדורה מספר 2 נוספה פקודה מספר 550, אולם מתוך הדו"ח אין הוא
יודע בין אלו פקודות נוספה פקודה זו. כמו כן מורה הדו"ח, כי קיימים הבדלים בין 2
המהדורות בפקודה מספר 800 ובפקודה מספר 1000, אולם הדו"ח אינו מפרט מה היו
הפקודות בכל אחת מהמהדורות.
על מנת לקבל את הנתונים הנוספים כמפורט לעיל, עורך המבקר שינוי קטן בפקודה
המפעילה את תוכנית ההשוואה:
/אזם ץ :2 אס גפווכנ3/5/4 אזת סד 1 אסז אוו פש 3/5/44 אזפ זזלד זא
6 א 5 3/5/84
משמעות פקודה זו היא: הפגש את 2 המהדורות של התוכנית, ואת תוצאות ההשוואה
העבר לקובץ בשם: *4 4110 3/5/42/1115/ 81%* .כמו כן ערוך השוואה (6)מפורטת.
בדו"ח מספר 8-16 מובא הפלט של תוצאות ההשוואה.
ניתוח התדפיס מורה, כי הפעם תוצאות ההשוואה יותר מפורטות. הדו"ח מפרט את
פקודה מספר 300, שאינה נכללת במהדורה מספר 2. כלולות בו פקודות מספר 500 ו6007,
אשר ביניהן נוספה במהדורה מספר 2 פקודה מספר 550. כמו כן מודפסות בדו"ח פקודות
מספר 800 ומספר 1000 בכל אחת מהמהדורות של התוכנית, אשר בהן אותרו הבדלים.
דו"ח 8-16
השוואת 2 תוכניות היישום - דוגמא 2
וו
.111508" 5 60806 "1 ו[א" 5 25 50% 0 100
(8) 5116 סז 07 00 200
זז זז 0 9 30
.= [אפ-ו! 8 6802 400 400
,"|" % 7 0 50
,"|" % 7 0 600
,"א/0] 51/6" 92 11 0 700
,"א/2] 51/6" 05 11 0 800
7 תרשימי זרימה במערכת מידע ממוחשבת
1 מבוא
בסעיפים 8.6-8.1 לעיל התמקדתי בסקירה של טכניקות לניתוח תוכניות יישום
ממוחשבות. תוכנית יישום מהווה מרכיב חשוב ועיקרי במערכת המידע הממוחשבת,
אולם אסור לשכוח כי מערכת המידע כוללת אלמנטים נוספים כגון:
- תהליכים ידניים
- מסמכים
- קבצים / מסדי נתונים ממוחשבים
- אמצעי איחסון נתונים (ממוחשבים או ידניים)
- קלטים ופלטים
- החלטות עיבוד
על מנת שהמבקר יוכל לבצע ביקורת יעילה של מערכת המידע, עליו להבין בראש
וראשונה את המערכת בצורה מעמיקה, על כל מרכיביה הידניים והממוחשבים ויחסי
הגומלין ביניהם. כמו כן עליו להבין את תהליכי זרימת המידע במערכת ואת המערכת
הכוללת של הבקרות (הידניות והממוחשבות), המשולבות במערכת.
המבקר יכול לסקור צורות שונות של תיעוד, הכולל:
- פקודות מקור של תוכניות מחשב
- תדריכי משתמשים
- תדריכי הפעלה
- מבני קבצים
- דוח"ות פלט
אולם בדרך זו המבקר יכול להיתקל בקשיים עקב שימוש בטרמינולוגיה, שאינה ברורה
לו די הצורך, עקב שימוש בעקרונות ומושגים בתחום עיבוד הנתונים, שאינם נהירים, עקב
העדר כישורים נאותים בשפות תיכנות ועוד.
אחת הדרכים היעילות ביותר להשגת הבנה של המערכת, זרימת המידע בה ואמצעי
הבקרה, המשולבים בה, היא באמצעות תרשימי זרימה.
888
להלן אתייחס ל-2 סוגים של תרשימי זרימה:
- תרשים זרימת יישום (6:1374 -א710 ח63110ו1קק 4 )
- תרשים זרימת בקרות (1ז9ת?)- 10% 2001101))
1 תרשים זרימת יישום (זגת-6- 110% ת1168110כק 4/)
טכניקה זו מקבצת ומציגה באמצעות שילוב של סימנים מוסכמים ותאורים קצרים את
זרימת הנתונים במערכת המידע, על מרכיביה הידניים והממוחשבים. התרשים מתחיל
ביצירת התנועות, ממשיך בתהליכי העיבוד ומסתיים בתוצאות העיבוד.
היתרונות המרכזיים ביישום הטכניקה הם:
* אפשרות דחיסה של כמויות גדולות של תהליכים מורכבים לתוך דף אחד או מספר דפים
- אפשרות קלה לעקוב אחר תצוגה תרשימית, המראה את זרימת המידע, כולל הפונקציות
העיקריות, אשר נוטלות בה חלק
המבקר יכול להשיג תרשימי זרימה, כאשר התרשים מהווה חלק מתיעוד המערכת, או
יכול להכין את תרשים הזרימה בעצמו.
מעשית נוח למבקר, כאשר תרשים הזרימה כלול בתיעוד המערכת. אולם בתרשים זרימה
כזה קיימים מספר חסרונות:
- לעיתים קרובות תרשים הזרימה אינו מעודכן, ואינו משקף הלכה למעשה את זרימת
המידע והבקרות, המיושמות בפועל.
- תרשימי זרימה, המוכנים על ידי פונקצית ענ"א, לא מראים לעתים קרובות תהליכי
עיבוד ידניים.
- בתרשימי זרימה כאלה לא מושם בדרך כלל דגש על אמצעי הבקרה, המשולבים
במערכת.
- בהיסתמכו על תרשים מוכן המבקר מחמיץ הזדמנות ללמוד היטב את המערכת, את
תהליכי העיבוד ואת אמצעי הבקרה.
מנקודת ראות הביקורת מומלץ, איפוא, כי המבקר יכין בעצמו את התרשים. מצב כזה
מספק סיבה טובה למבקר לדון עם אנשי עיבוד הנתונים ועם המשתמש על מערכת
המידע, על בעיותיה, על התהליכים ועל הבקרות, המשולבים בה, וכפועל יוצא מגביר את
ההבנה של המבקר לגבי המערכת אותה הוא עתיד לבקר.
החסרון העיקרי, כאשר המבקר מכין בעצמו את התרשים, הוא בזמן הרב הכרוך בהכנתו.
אולם הנסיון מראה, כי בסופו של דבר "ייצא הפסדו של המבקר בשכרו". המבקר יכיר
היטב את המערכת, יזהה נקודות חולשה, יחשוף מצבים של העדר בקרות, ויוכל לבצע
ביקורת יעילה של המערכת.
קווים מנחים כלליים לבניית התרשים
(1) תרשים הזרימה יתבסס על סמלים גרפיים, אשר מיועדים ליצג את סדר הפעולות ואת
זרימת הנתונים והמסמכים במערכת לעיבוד נתונים.
מכון התקנים הישראלי פירסם בחודש יולי 1976 תקן ישראלי בנושא "עיבוד מידע -
סמלים לתרשים זרימה". תקן זה זהה לתקן של האירגון הבינלאומי לתקינה 1501028
משנת 1973, והוא מגדיר סמלים גרפיים, המיועדים לשימוש בתרשימי זרימה במערכות
לעיבוד נתונים, לרבות במערכות לעיבוד נתונים אוטומטי.
(2) התרשים צריך לשקף נושאים ופעילויות עיקריים במערכת, ולא לכלול פרטים רבים,
אשר יגרמו לסירבול התרשים.
(3) מגמת הזרימה בתרשים תהיה:
משמאל לימין
מלמעלה למטה
הזרימה תיוצג על ידי קווים בין הסימנים בצרוף חץ, שיראה את הכיוון של הזרימה.
19
(4) מומלץ להציג את התרשים בצורה פונקציונלית לפי הגורמים השונים, הנוטלים חלק
במערכת.
(5) בתוך סמלים או בצידם מקובל להוסיף במקרה הצורך מידע מילולי קצר לשם זיהוי,
תאור והסבר.
(6) התרשים חייב להראות:
- כל מסמך במערכת (כל עותק של מסמך נייר חייב להיות מסומן על ידי מספר העותק.)
- כל קובץ, המכיל ראיה אלקטרונית
- מיקום איחסון של מסמכים וראיות
- אמצעי בקרה, המשולבים במערכת
(7) התרשים צריך לשאת תאריך, ולכלול את שם המחבר.
טבלא 8-17
סמלים לתרשים זרימה
עיבוד מידע: (ת"י 951), מכון התקנים הישראלי, יולי 1976.
- תהליך (270060585) -
הסמל מייצג את כל הסוגים של פעולות
עיבוד, למשל: תהליך של ביצוע פעולה
מוגדרת או תהליך של ביצוע קבוצת
פעולות. התהליך הוא תוצאה של שינוי
בערך המידע, בצורתו או במקומו.
- החלטה (ח266/510) -
(ברירה) הסמל מייצג החלטה או שינוי לגבי
סוג הפעולה, המגדירה באיזו דרך חליפה
לבחור.
- הכנה (ח290878/10) -
הסמל מייצג שידוד של הוראה אחת או של
קבוצת הוראות, המשנה את התוכנית
עצמה, למשל: הסטת מתג, שינוי של
מדריך האצר וייזום שגרה.
- תהליך מוגדר מראש -₪70 6060060ז)
(0088 -
הסמל מייצג תהליך ידוע, המורכב
מפעולה, מפעולות או משלבי תכנית,
המפורטים במקום אחר, כגון בשגרה.
- פעולה ידנית (ח89110ז0206) [בטתג1א) -
הסמל מייצג תהליך פרוד כלשהו, המבוצע
על ידי אדם, ושמהירותו מוגבלת למהירות
התגובה האנושית, למשל: סימול או תיקון
שגיאות.
- פעולת עזר (מ0ו91ז0206) צזגו]1אט ) -
הסמל מייצג פעולה פרודה המבוצעת
באמצעות ציוד, ושאין היא כפופה לבקרה
ישירה של יחידת העיבוד המרכזית.
טר
2-0
130
-מיזוג (ז86ז16א) -
הסמל מייצג צירוף של שתי קבוצות
פריטים או יותר לקבוצה אחת.
- שליפה ()46זואםש) -
הסמל מייצג הוצאת קבוצה או קבוצות
מסוימות של פריטים מקבוצת פריטים
אחת.
- איסוף (001!916) -
הסמל מייצג את המיזוג עם השליפה,
כלומר, יצירה של שתי קבוצות פריטים
לפחות, משתי קבוצות אחרות של פריטשים,
או יותר.
- מיון (5011) -
הסמל מייצג ארגון של קבוצת פריטים
בסדר מסוים.
- קלט ידני (1טוקח1 [בטחג1א) -
הסמל מייצג פעולת קלט, כשהמידע
מוכנס ידנית בשעת העיבוד, למשל:
באמצעות מקלדות מקושרות, מפסקים
ולחיצים.
-קלטזפלט (ק"פ) ()טזטכ)/)טקח1) -
הסמל מייצג פעולה של קלט-פלט (ק"פ)
כלומר, אפשרות הזנת מידע בתהליך
העיבוד (קלט) או רישום המידע המעובד
(פלט).
- החסנה קשורה (886ז510 6חו,1 חכ0)) -
הסמל מייצג פעולה של ק"פ, תוך שימוש
באמצעי אחסון כלשהו, כגון: סרט מגנטי,
תוף מגנטי, דיסקה מגנטית.
- החסנה פרודה (986ז5)0 6תו.] 11ס) -
הסמל מייצג פעולת החסנה פרודה של
מידע, בלא להתחשב באמצעי שהמידע
נרשם עליו.
- מסמך (ח6וחט06) -
הסמל מייצג פעולת ק"פ שהאמצעי בה
הוא מסמך.
- כרטיס מנוקב (0ז6:9) 666חטק) -
הסמל מייצג פעולת ק"פ, שהאמצעי בה
הוא כרטיס מנוקב ובכלל זה כרטיס
מסומן, כרטיס חלקי וכדומה.
>< <> ם םר
- חבילת כרטיסים (6365 021 260%) -
הסמל מייצג אוסף של כרטיסים מנוקבים.
- קובץ כרטיסים (6805 ]0 16/) -
הסמל מייצג אוסף של רישומים בעלי
קשר, על כרטיסים מנוקבים מטיפוסים
דומים.
- סרט מנוקב (1326 660חטץ) -
הסמל מייצג פעולת ק"פ, שהאמצעי בה
הוא סרט נייר מנוקב.
- סרט מגנטי (06ג'7 6110ח8ַ13א) -
הסמל מייצג פעולת ק"פ שהאמצעי בה
הוא סרט מגנטי.
- תוף מגנטי (וחטז 606חאַ13א) -
הסמל מייצג פעולת ק"פ, שהאמצעי בה
הוא תוף מגנטי.
- דסקה מגנטית (218% 6186ח8ַ13א) -
הסמל מייצג פעולת ק"פ, שהאמצעי בה
הוא דסקה מגנטית. -
- ליבה (6016) -
הסמל מייצג פעולת ק"פ, שהאמצעי בה
הוא ליבה מגנטית.
- תצוגה (צַ813כ) -
הסמל מייצג פעולת ק"פ, שהמידע מוצג
בה לשימוש בנייאדם בעת העיבוד,
באמצעות צגים, מחוונים, מדפסות,
תויינים וכדומה.
- קו זרימה (6חו.1 אסו/) -
הסמל מייצג את פעולת הקישור בין
הסמלים, כגון: הצטלבות של קווי זרימה,
חיבור של קווי הזרימה.
-אורח מקביל (1066א |9181!6) -
הסמל מייצג את ההתחלה או את הסוף של
שתי פעולות סימולטניות או יותר.
- חולית תקשורת ת63)00והטוחו 0))
(%חו1 -
הסמל מייצג פעולה, שהמידע בה מועבר
בטלקומוניקציה.
ובו
3
כ
0 |
=
כב
62
](
-
|
2
- מחבר (ז006000ת00) -
הסמל מייצג את המעבר (יציאה אל ... או
כניסה מ...) מחלק אחד של תרשים זרימה 6
לחלק אחר של התרשים.
- פסק, קצה ()קטזז6ות1 ,|בחווחז6ך) -
הסמל מייצג נקודת קצה בתרשים
הרשימה, כגון: התחלה, סיום, שהייה או
פסק.
- הערה, פירוש (ת0ו)013חת, ,)ח6וחוח 0 ))
הסמל מייצג פעולת פירוש, כלומר, תוספת
של הערות מתארות, הערות מבארות או וב
הערות מבהירות.
תרשים 8-18 7 ,
חדשום זרימת אשום עמיהוד י', קורפל י'. יסודות בניתוח ותכנון מערכות מידע. הוצאת הוד עמ
בשיתוף המכון לפריון העבודה והייצור, 1980.
הנילה רשנונית
ביכ
3
|
3
3 תרשים זרימת בקרות (וזג3ּ 6 +ו110 [0ז1ת60)
בסביבה העיסקית המורכבת שבה פועלים כיום אירגונים רבים, קשה למבקר להבין היטב
את תהליכי זרימת המידע ואת המערכת הכוללת של הבקרות. המבקר זקוק לכלי עזר,
שבאמצעותו יוכל:
- לזהות בקלות את הבקרות המיושמות במערכת.
- לאתר נקודות תורפה, שלגביהן לא מיושמות בקרות.
- להעריך את נכונות התהליכים הידניים והממוחשבים ואת איכותם.
- לגלות מקרים של אי התאמה לנהלי הבקרה שנקבעו באירגון.
אחת הסכנות בביקורת מערכות מידע ממוחשבות היא, שהמבקר יתמקד בבחינה ובניתוח
של התהליכים ואמצעי הבקרה הממוחשבים ויזניח היבטים אחרים, חלקם ידניים,
המהווים חלק בלתי נפרד של המערכת.
תרשים זרימת הבקרות מספק את התיעוד הנחוץ למבקר להבנת ההיבטים הקשורים
לסוגי תנועות המבוצעות במערכת. בטכניקה זו משתמשים בסמלים אנליטיים
סטנדרטיים, לפתח פרופיל חזותי של מערכת יישום ממוחשבת. הפרופיל מזהה ומציג
מהלכים לוגיים ונקודות בקרה בתוך מערכת היישום. הוא מאפשר למבקר לנתח בקלות
את אמצעי הבקרה המיושמים במערכת, ומהווה בסיס לדיונים עם משתמשים (59ז1250)
ועם אנשי עיבוד הנתונים, לגבי בקרות פנימיות במערכת היישום.
תרשים זרימת הבקרות מתייחס ל-4 ההיבטים הקשורים לשוג של תנועה המבוצעת
במערכת המידע:
(1) היחידות האירגוניות המעורבות בביצוע הפעילות במערכת
(2) הפעילות המבוצעת על ידי כל יחידה אירגונית
(3) הסמכות הקובעת איזו פעולה תתבצע
(4) זרימת המידע בין היחידות האירגוניות
קווים מנחים לבניית תרשים זרימת הבקרות
(ו) התרשים מחולק לטורים. בראש כל טור רשומה יחידה אירגונית המעורבת בביצוע
פעילות במערכת.
(2) העבודה המבוצעת על ידי כל יחידה מבוטאת בדרך כלל בכתב, ומידע רלוונטי משולב
במסמך.
(3) בתרשים הבקרה, מסמך מיוצג על ידי מלבן. שם המסמך נרשם בראשי תיבות בתוך
המלבן.
ה=הזמנה ה
(4) יצירת מסמך מיוצגת בתרשים על ידי השחרת הפינה הימנית הנמוכה של המלבן.
:
(5) כאשר המסמך ממוספר מראש, יש לציין עובדה זו מתחת למלבן.
וש
ממוספר מראש
133
4
(6) כאשר מסמך מכיל מספר העתקים, כל העתק מוצג בתרשים בנפרד.
(7) יש לזהות בתרשים את הסמכות היוזמת מסמך. המופע הראשון של הסמכות מלווה על
ידי חץ מוצל.
(8) עותק של מסמך, שקיומו תלוי בתנאי מסוים, מסומן בתרשים כמלבן מקווקו. בצד
המלבן יירשם התנאי.
7-3 ]| אם ההזמנה מיוחדת
ו
9
(9) מסמך שהוכן על ידי יחידה אירגונית אחת, משמש בדרך כלל כאסמכתא לביצוע
פעולה על ידי יחידה אירגונית אחרת. לשם כך, המסמך חייב לזרום מהיחידה האירגונית
היוזמת את המסמך, ליחידה האירגונית המקבלת את המסמך.
בתרשים הזרימה יסומנו מלבנים (המייצגים מסמך) בטורים של 2 היחידות האירגוניות,
והמלבנים יחוברו באמצעות קו.
יחידה ב יחידה א
(0ו) כאשר זרימה פיסית של מסמך מלווה על ידי זרימה של פריטים מוחשיים
(כגון-סחורה), סוג הפריטים יסומן מעל לקו המחבר. חץ בקצה הקו יראה את כיוון
הזרימה.
יחידה ב יחידה א
15
(11) מקבל המסמך משתמש בו בדרך כלל באחת מ-2 דרכים:
- המקבל מוסיף נתונים למסמך
הוספת נתונים למסמך מיוצגת בתרשים על ידי ריבוע קטן, המתווסף לצידו הימני
התחתון של המלבן. בתוך הריבוע מסומנת אות אשר מזהה איזו פעולה נעשתה במסמך.
=המקבל חתם על המסמך כסימן לאישור
שהמקבל מוסיף אינפורמציה למסמך
(יש לציין איזו אינפורמציה הוספה)
וו
>המקבל אימת את המידע הכלול במסמך.
-- המקבל מסתמך על האינפורמציה הכלולה במסמך להכנת מסמך חדש או ליצירה של פעולה
חשבונאית
מקרה זה מיוצג בתרשים על ידי קו מקווקו מהמסמך שעליו מסתמכים, למסמך או
לפעולה החשבונאית שמכינים.
מחלקת חשבונות
פעולת יומן
-- תיוק המסמך
פעולת תיוק מיוצגת בתרשים על ידי משולש קטן בסוף קו זרימת המסמך. שיטת
התיוק מיוצגת על ידי אות בתוך המשולש.
/ אלפא ביתי
נומרי
�/ לפי תאריכים
ח=חשבונית
(12) קיימות 3 דרכים שונות לטיפול במסמך:
- העברת המסמך לגורם חיצוני או ליחידה אירגונית, שאינה כלולה בתרשים
פעולה כזו מיוצגת על ידי קו קצר המאונך לקו זרימת המסמך.
קו זרימת 6-8
יי
16
- השמדת המסמך
פעולה כזו מיוצגת על ידי מרובע שחור בסוף קו זרימת המסמך.
(13) לעיתים מתויק מסמך באופן זמני, עד אשר מתרחש ארוע מסויים. מצב כזה מיוצג
בתרשים על ידי מעוין קטן. בתוך המעוין נרשמת אות המבהירה את צורת התיוק.
לפי התאריכים > אלפא % נומרי %
(14) לעיתים נעשית השוואה בין 2 מסמכים לפני שמחליטים על המשך הטיפול.
פעולה של השוואת מסמכים מיוצגת על ידי קו אלכסוני בתוך
ריבוע קטן ₪
צירוף 2 מסמכים (או יותר) מיוצג על ידי הסימן
צירוף 2 מסמכים (או יותר), לאחר שנערכה ביניהם השוואה ונמצא כי הנתונים בהם
תואמים, מיוצג על ידי הסימן ₪
(15) קובץ או ספר חשבונות אליו מועברת אינפורמציה, או שממנו נשלפת אינפורמציה,
מיוצג בתרשים על ידי מרובע גדול, אשר חלקו השמאלי מושחר.
1
(16) פעולת יומן לרישום חשבונאי של פעולות מיוצגת בתרשים על ידי עיגול גדול. שם
היומן נרשם בתוך העיגול. שמות החשבונות (החובתי והזכותי) הנחוצים להכנת פעולת
היומן נרשמים בצד העיגול.
לחובת "חשבונות לקבל"
לזכות "מכירות"
דוגמא להמחשת התרשים
תרשים 8-19 מייצג קטע של תרשים זרימת בקרות המתייחס להזמנת סחורה על ידי
לקוח. הסמכות ליצירת הפעילות הינה בקשת הלקוח להספקת סחורה. על סמך בקשת
הלקוח, ממלאת המחלקה לרישום הזמנות טופס הזמנה. טופס ההזמנה ממוספר מראש
והוא מורכב מ-6 העתקים. העתק מס' 6 נשלח ללקוח כאישור לקבלת ההזמנה. העתק
מספר 5 מועבר למחלקת האשראי לאישור. שאר ההעתקים נשארים במחלקת רישום
ההזמנות, לפי מיון נומרי. לאחר שמחלקת האשראי אישרה את טופס ההזמנה, העתק
מספר 5 מוחזר למחלקה לרישום ההזמנות, ואזי נעשה טיפול בשאר ההעתקים. העתק
מספר 1 והעתק מספר 2 נשלחים למחלקת החשבונות, העתק מספר 3 נשלח למחסן
והעתק מספר 4 נשלח למחלקת המשלוח. העתק מספר 5 מתוייק לפי סדר נומרי. במחסן
מוסיפים להעתק מספר 3 של הטופס נתונים כמותיים וההעתק בצירוף הסחורה
מועברים למחלקת המישלוח. במחלקת המישלוח נעשית השוואה בין העתק מספר 3
לבין העתק מספר 4. בהעתק מספר 3 מוסיפים דמי הובלה ומעבירים אותו למחלקת
החשבונות. העתק מספר 4 מתוייק. מחלקת החשבונות עורכת השוואה בין העתקים
מספר 1 ו"3, מייצרת פקודת יומן ומעבירה אותה למחלקת הנהלת החשבונות. במחלקת
הנהלת החשבונות מבוצע רישום ביומן המכירות לחובת "חשבונות לקבל" ולזכות
"חשבון מכירות".
17
תרשים 8-19
תרשים זרימת בקרות
הנהלת חשבונות| חשבונות משלוח מחסן | אשראי רישום הזמגות
ב"ה
מקרא:
ב"ה - בקשת הזמנה מלקות
ט"ה - טופס הזמנה
ב"י - בפקודת יומן
לחובת "חשבונות לקבל"
לזכות "מכירות"
= האם התהליכים, המתוארים בתרשים, הם לוגיים ושלמים 1
האם מיושמים בתהליכים אמצעי בקרה נאותים ?
סביר להניח, כי בבחינת התרשים גילית, שחלק מהתהליכים אינו לוגי או אינו שלם, וכי
חסרים אמצעי בקרה נאותים להבטחת דיוק, שלמות ואישור הנתונים.
138
נסה לבחון עתה את התהליכים המפורטים בתרשים 8-20:
תרשים 8-20
תרשים זרימת בקרות מעודכן*
ספר חשבונות רשום
ראשי לקבל חשבונות משלוח
מחסן אשראי הזמנות
דמי הובלה
ללקוח
עם :
הסחורה רשומות
מלאי
ח - חשבונית
טהל - טופס הזמנה מלקוח
סב - סכום בקרה
פיי - פקודת יומן
פמ - פקודת מכירה
לחובת "חשבונות לקבל"
לזכות "מכירות"
= האם התהליכים, המתוארים בתרשים, משופרים ?
> האם שופרו אמצעי הבקרה, המיושמים בתהליכים ?
> האם, לדעתך, יש עדיין צורך לשפר תהליכים או אמצעי בקרה ?
1031 ,461101 [8מז16ת1 16 .*01זזמס) [8ז16ם1 זס) קתנדגתסאוס1 מס" פוצגק .ד .1
3 :5 ,1983 481 .10 ,40011015 [48תת6זת1 01 5111016ת1 186 ]ס
9. טכניקות לבחירה והשגחה על
תנועות המעובדות במערכת יישום
ממוחשבת
1 מודולי ביקורת (106₪165 )41101 )
אלו הן רוטינות מיוחדות, אשר ממוקמות בתוכניות יישום ממוחשבות במטרה לאסוף
נתוני ביקורת בעת הצורך. ניתן להפעיל את הרוטינות על ידי פקודות בקרה או באמצעות
קוד מיוחד בתנועות נבחרות. כאשר הרוטינה מופעלת,היא שולפת את המידע הנדרש
לצרכי ביקורת, מבלי להפריע לתהליך העיבוד הנורמלי של נתוני הייצור.
השימוש המוגבל יחסית בגישה זו נובע מ-2 סיבות עיקריות:
(1) הרוטינות המיוחדות חייבות להיות מתוחזקות בתוך תוכניות היישום.
פירושו של דבר, שלמבקר אין בקרה ופיקוח מלאים על הרוטינות, והוא עלול לחשוש, כי
יבוצעו בהן שינויים בלתי מורשים.
(2) מערכות יישום ממוחשבות רבות מפותחות ללא מעורבות של פונקצית הביקורת.
מצב זה מצריך במקרים רבים לבצע שינויים מהותיים במערכת על מנת שיהיה ניתן לשלב
את הרוטינות לצרכי ביקורת במערכות פועלות.
2 בחירת תנועות (ם56166010 מ50)10ת3ז1)
1 סקירה כללית
מבקר זקוק לעיתים למידע סלקטיבי או סטטיסטי לגבי היקף של תנועות קלט, לגבי
שיעורי שגיאות בנתוני קלט וכדומה. מידע כזה יכול לסייע למבקר להשגיח על תנועות
קלט יוצאות דופן, או לסייע לכוון את הביקורת לאותם שטחים, שבהם קיימת בעייה
פוטנצילית.
לדוגמא: מבקר של מוסד בנקאי מעונין לבדוק האם יושמו אמצעי בקרה נאותים לגבי
תנועות קלט. כמו כן מעונין לקבל מידע סטטיסטי על רמת הפעילות (כמותית וכספית)
בסניפים בנושאים השונים, שיסיע לו לתכנן את הקצאת משאבי הביקורת.
הקלט מוזרם למחשב מכל סניפי הבנק, והוא כולל סוגים שונים של פעילויות: מטבע
ישראלי, תוכניות חסכון, הלוואות, פקדונות, ערבויות, פעולות במטבע חוץ וכד'.
139
1410
שימוש בטכניקת ה" ח56166000 ח1'780536010 עשוי לסייע למבקר בהשגת המטרות הנ"ל.
הטכניקה משתמשת בתוכנת מחשב עצמאית, הנכתבת במיוחד למטרות שליפה, עריכה
ודיווח על תנועות, ששימשו כקלט למערכת היישום שבייצור. התוכנה מופעלת בדרך
כלל על בסיס פרמטרים, המסופקים על ידי המבקר. התוכנה מאפשרת לו לבחון, לנתח,
ולבחור תנועות סלקטיביות מתוך תנועות הקלט, לקבל מידע סטטיסטי על רמות
פעילות בנושאים או ביחידות ספציפיים, על שיעורי שגיאות וכדומה. אינפורמציה זו
חשובה, והיא בעלת תועלת לזיהוי יישומים ממוחשבים, אשר דורשים תשומת לב של
הביקורת. כמו כן היא עשויה לסייע בתיכנון העבודה ובהקצאת המשאבים של הביקורת.
יישום הטכניקה אינו מצריך לבצע שינויים בתוכנית היישום הממוחשבת שבייצור, והיא
מתאימה במיוחד לביצוע מטלות חד פעמיות ולמטרות דגימה של תנועות קלט במערכת
יישום ממוחשבת.
הקריטריונים לשליפת הנתונים שונים מאירגון לאירגון ותלויים במטרות הביקורת.
קריטריונים כאלה כוללים בדרך כלל:
- ניתוח של שגיאות קלט (בהתאם לקריטריונים שנקבעו מראש)
- ספירה של תנועות ומיונן לפי סוגי תנועות, לפי המקורות של הקלט, לפי ערכים כספיים
וכדי
- דגימה
- שליפה סלקטיבית של תנועות קלט לפי פרמטרים (תוכן של שדות, סוגי תנועות וכדי)
2 המחשת שימוש בטכניקה
המבקר מגדיר מראש מהו הקריטריון לשגיאת קלט או לנתון קלט יוצא דופן.
הקריטריון, שנקבע על ידי המבקר, אינו חייב בהכרח להיות זהה לקריטריון,
המיושם בתוכנית הקלט שבמערכת היישום שבייצור.
למשל: במוסד בנקאי, העוסק בניירות ערך, נקבע בנהלים, כי שיעור העמלה
המינימלי לביצוע פעולת קניה או מכירה של ניירות ערך הוא 0.6% מהערך הכספי
של הפעולה.
שיעור העמלה הינו נתון קלט, ומשמש בסיס לחיוב הלקוח בדמי עמלה.
2 הנוצרות במהלך העיבוד, אינן כוללות מידע על שיעור העמלה, שנקבע
פעולה.
תוכנית הקלט של מערכת היישום הממוחשבת שבייצור קולטת גם פעולות עם
שיעורי עמלה הנמוכים מ-0.6%, ואינה מדווחת עליהן כשגויים.
המבקר מעונין לקבל נתונים על היקף הפעולות (כמותי ו/או כספי), שלגביהן נקבע
שיעור עמלה הנמוך מ"0.6% ביחס לכלל הפעולות בניירות ערך. המידע, שיתקבל,
יכול לסייע למבקר לקבוע, האם קיימת חריגה יוצאת דופן בשעורי העמלות, או
שהתופעה היא שולית. הקריטריון, שייקבע על ידי המבקר, יהיה, איפוא, שיעורי
עמלה הנמוכים מ-0.6%, ולגביהן יגדיר המבקר לאלו נתונים סטטיסטיים או
מפורטים הוא זקוק.
המבקר יכול להגדיר לתוכנה לבצע התפלגות של שיעורי עמלה יוצאי דופן
והיקפם הכספי, וכן לשלוף ולהציג את כל תנועות הקלט, שבהן שיעור העמלה
נמוך מ"0.6% וכדומה.
ו4ר
3 שלבי יישום
יישום הטכניקה נעשה במספר שלבים:
(1) פיתוח התוכנה
- קביעת מיבני רשומות התנועות
- זיהוי הערכים של הקריטריונים (פרמטרים) לשליפה וקביעתם
- תיכנון, קידוד, ניסוי ותיעוד התוכנית
(2) עיבוד תנועות קלט
קבצי תנועות קלט מהייצור נקראים על ידי התוכנית, והמידע הדרוש נצבר בהתאם
לקריטריונים, שנקבעו מראש על ידי המבקר.
(3) הפקת דו"ח פלט או צבירת תוצאות העיבוד לקובץ היסטורי של המבקר לשם ניתוח
מגמות לאורך זמן
השימוש בטכניקה מחייב, שכל תנועת קלט תעובד פעמיים: פעם אחת עבור מטרות
ייצור רגילות, ופעם נוספת למטרות הביקורת. הטכניקה אינה מספקת אינפורמציה לגבי
לוגיקת העיבוד ולגבי דיוק, שלמות או האיתנות של קבצי נתונים. היא שימושית
למטרות בחירה וניתוח של תנועות קלט בלבד.
4 מיגבלות הטכניקה
- הטכניקה יעילה להשגחה על תנועות, על בסיס חד פעמי.
כאשר יש צורך בהשגחה על תנועות קלט על בסיס מתמשך, עדיף להשתמש בטכניקת
ה7ח0ו)201160) 18הכ] ]4.001 060060 חמ
- הטכניקה מחייבת פיתוח תוכנה מיווזדת. (לעיתים אין צורך בפיתוח תוכנה מיוחדת,
וניתן להשתמש בחבילות תוכנה סטנדרטיות להשגת אותן מטרות.)
- הטכניקה אינה יעילה למערכות מקוונות.
3 60% 60 דכ דנסט4 סמספאפואע
1 סקירה כללית
אחת המטלות של המבקר בשלבי הפיתוח של מערכת יישום ממוחשבת היא לבחון
ולוודא, כי תוכננו ויושמו אמצעי בקרה נאותים למניעה, לדיווח או לתיקון של אלמנטים
יוצאי דופן כגון:
- שגיאות קלט
- תנועות לא מורשות
- חוסר איזונים
- תנועות קלט לא שיגרתיות
- תנועות המיוצרות על ידי המחשב
אם המבקר מגיע למסקנה, כי לא יושמו אמצעי בקרה נאותים חרף המלצותיו, או כאשר
דרוש לו מידע סלקטיבי על תנועות, המעובדות על ידי מערכת היישום, הוא יכול
להשתמש ברוטינות ממוחשבות מיוחדות. רוטינות אלה תשולבנה במערכת היישום
הממוחשבת במטרה לשלוף ולדווח על נתונים, בשלבי התיפעול השוטף, בהתאם
לקריטריונים המסופקים על ידי המבקר.
הרוטינות משולבות במערכת היישום שבייצור בנקודות, הנבחרות על ידי המבקר,
412
ומספקות לו את היכולת להשגיח על נקודות נבחרות אלה על בסיס מתמשך.
להבדיל מטכניקות אחרות מיוצרים נתוני הביקורת (בשימוש ברוטינות ה-58600664
ח0ו011660-) 12318 /406%/) באותו הזמן, שבו מעבדת תוכנית היישום את הנתונים למטרות
ייצור ספציפיות. עובדה זו מבטיחה כי נתוני הביקורת יהיו זמינים למבקר מיד עם גמר
העיבוד.
2 אלמנטים ביישום הטכניקה
הטכניקה מצריכה יישום של 3 אלמנטים:
(1) הרוטינות הממוחשבות
בניית הרוטינות כפופה לסטנדרטים ולנהלים כשל כתיבת תוכנית מחשב רגילה החל
משלב הגדרת הדרישות ותיכנון וכלה בניסוי של הרוטינות, שקודדו.
קיימים 2 סוגים של רוטינות:
- רוטינות סטטיות - קריטריוני השליפה מקודדים מראש בתוך הרוטינות, ולכן הרוטינות
אינן גמישות לשינויים, ולא ניתן לשנות קריטריונים של ביקורת בעת הייצור.
- רוטינות גמישות * הרוטינות נבנות כך, שקריטריוני השליפה הינם חיצוניים, ויכולים
להיות מסופקים על ידי המבקר בעת הפעלת הרוטינות. רוטינות כאלה מאפשרות, איפוא,
למבקר לשנות פרמטרים בעת שינויים בדרישות הביקורת.
(2) קריטריוני השליפה
קריטריונים אלה מסופקים על ידי המבקר בהתאם לדרישות הביקורת. הקריטריונים
יכולים להקבע על פי סוגי תנועות, על פי תוכן של שדות, על פי ערכים כספיים, על פי
יחסים בין שדות ועל פי תנועות המיוצרות על ידי המחשב. כמו כן ניתן לקבוע
קריטריונים, שיספקו מדגמים על תנועות נבחרות וסטטיסטיקות, בהתאם לנדרש.
(3) עיבוד הנתונים שנאספו
זהו תהליך, המבוצע, לאחר שהנתונים, שנשלפו במהלך העיבוד (על פי הקריטריונים,
שנקבעו על ידי המבקר), נאספו במטרה למיין את הנתונים, ולנתחם לצורך הערכתם על
ידי המבקר.
כאשר הנתונים, שנאספו, הינם במבנה ובסדר המתאים לבחינה מיידית הם יכולים להיות
מודפסים בגמר העיבוד בדו"ח פלט לשימוש המבקר. במקרים אחרים, כאשר יש צורך
לבצע שינויים במבנה ו/או בסדר, שבו נאספו הנתונים, רצוי לתכנן וליישם את הטכניקה,
באופן שנתוני הביקורת יצטברו לקובץ באמצעי אחסנה מגנטי. קובץ זה יהווה קלט
לתוכנית שרות או לחבילת תוכנה, שבה ישתמש המבקר לשם מיון, לשם עיצוב ולשם
הצגה של הנתונים בצורה הנוחה לשימושו. כאשר נתוני הביקורת נצברים לקובץ, רצוי,
שקובץ נתונים זה יהיה מוגן, ותתאפשר אליו גישה רק למבקר.
3 יישום הטכניקה
על מנת שהטכניקה תיושם באופן יעיל, מומלץ, שפיתוחה יעשה כחלק אינטגרלי של
תהליך הפיתוח של מערכת היישום הממוחשבת.
בשלב הראשון המבקר קובע את הדרישות הנחוצות להשגת מטרות הביקורת, מזהה את
הנתונים הדרושים, קובע את התדירות שבה הם נחוצים, וקובע את הגמישות של הגדרתם
(האם ניתן לקבעם מראש, או שהם עשויים להשתנות מעת לעת).
בשלב השני מבוצע תיכנון פונקציונלי, הכולל בחירה של הנקודות במערכת היישום,
שבהן תשולבנה רוטינות הביקורת וזיהוי הקריטריונים להפעלתם.
כמו כן, המבקר צריך לסקור את דרישות התיכנון של מערכת היישום הממוחשבת
במטרה, לוודא שמבני קלט ופלט ולוגיקת העיבוד תואמים את דרישות הביקורת.
בשלבים הבאים מבוצעים תיכנון מפורט, קידוד הרוטינות וניסויין. יש צורך לנסות את
הרוטינות עצמן ואת אופן שילובן במערכת היישום בעת ניסוי מערכת היישום
הממוחשבת.
כאשר למבקר יש את הכישורים המתאימים, עדיף, שתיכנון הרוטינות וקידודן יעשו על
ידו. כאשר למבקר אין הכישורים לכתיבת הרוטינות, הן תיכתבנה על ידי המתכנת.
אחריות המבקר במקרה זה היא לפקח על עבודת המתכנת, ולוודא, כי הרוטינות, שנכתבו,
תואמות את דרישות הביקורת.
בשלב ההפעלה השוטפת של מערכת היישום הממוחשבת (בה משולבות רוטינות
הביקורת) המבקר צריך לבחון באופן שוטף שינויים, שנעשים במערכת על מנת לבחון את
השלכותיהם על רוטינות הביקורת. לעיתים שינויים במערכת היישום מצריכים לבצע
שינויים ברוטינות הביקורת.
בעוד שטכניקת ה-ח561601:0 ח586)10ח3זד (ראה עמוד 139)מיועדת להשגחה על תנועות
על בסיס חד פעמי, טכניקת ה-ח02011660:0 2818 611ט: ₪260006 מיועדת להשגיח על
תנועות, המעובדות על ידי תוכנית יישום ממוחשבת על בסיס מתמשך.
טכניקה זו נקראת לעתים בספרות הביקורת בשמות שונים כגון:
(7ק .50) 1105 %ו10ו6 ]401 [0ז1ח6-0 הז6ו5צ5
או: (819 5.4) 1165 66161 40011 6|קוחהס
4 רשומות מורחבות (1660705 060ת15%%6)
1 סקירה כללית
(1) חברה יצרנית נוהגת לבצע תשלומים תקופתיים לספקים. כל תשלום לספק יכול
להתיחס:
- לחשבונית אחת או למספר חשבוניות
- לתקופה חשבונאית אחת או למספר תקופות חשבונאיות
סכום התשלום הוא בניכוי מס במקור ובניכוי הנחות או בתוספת סכומים, הנובעים
מעיתוי התשלום.
מבקר, אשר מעונין לאמת את נכונות התשלומים לספקים, צריך לעיתים לסקור מספר
קבצים מתקופות חשבונאיות שונות על מנת לאסוף נתונים על החשבוניות, על סכומיהן,
על ההזמנות, שאליהן מתיחסות החשבוניות ועל תנאי התשלום לספקים.
(2) תוכנית יישום בנקאית מבצעת חישוב תקופתי של ריבית בחשבונות של לקוחות.
תוכנית המחשב מחולקת ל-2 קטעים: בקטע הראשון מבצעת התוכנית חישוב של סכום
ריבית החובה (עבור יתרות חובה בתקופת חישוב הריבית), חישוב של ריבית הזכות (עבור
יתרות זכות בתקופת חישוב הריבית) וחישוב ההפרש בין סכום ריבית החובה לבין סכום
ריבית הזכות.
תוצאת העיבוד של קטע זה מועברת לקטע מספר 2 בתוכנית.
בקטע מספר 2 בודק המחשב, אם ההפרש בין סכומי הריבית הוא חובתי או זכותי. אם
הסכום הוא זכותי, התוכנית מבצעת חישוב של המס, שיש לנכות במקור מסכום הריבית,
ויוזמת פעולות לחיוב חשבון "הוצאות ריבית", לזכות חשבון הלקוח ולזכות חשבון
"האוצר - מ"ה".
בתהליך, המתואר לעיל, מועברת לקטע מספר 2 של תוכנית המחשב רק תוצאת העיבוד
של קטע מספר 1 (ואילו הקריטריונים והנתונים, שהיוו בסיס לחישוב תוצאת העיבוד
בקטע מספר 1, אינם מועברים הלאה). תוצאה זו אינה מספיקה ליישום נתיב ביקורת,
שיאפשר בחינה ואימות של לוגיקת ונכונות החישובים.
3
ן 14
החשש הוא, שאם לא תתאפשר גישה לכל הקריטריונים והנתונים במהלך מחזור העיבוד,
או אם נתונים אלה לא יודפסו בדו"ח, יהיה קשה מאד לבדקם ולאמתם בשלב מאוחר
יותר.
הדוגמאות הנ"ל ממחישות, כי לעיתים המבקר זקוק לכלי עזר, אשר יספק לו נתיב ביקורת
מושלם לגבי תנועה ספציפית או מספר סוגים של תנועות.
טכניקת "הרשומות המורחבות" (65ז8660 1600666א5%) היא זו, אשר מספקת למבקר את
נתיב הביקורת ואת הנתונים הרלוונטיים, באמצעותם יוכל לעקוב אחר תנועות משלב
היווצרותן ועד להכללתן בקבצים, או להיפך, משלב של סיכומים עד לתנועה הבודדת.
טכניקה זו אוספת באמצעות תוכנית מחשב מיוחדת את כל הנתונים המשמעותיים,
שהשפיעו על עיבוד של תנועה ספציפית או של סוגי תנועות מסוימים. נתונים אלה
נאגרים ומצורפים לרשומת תנועה. הרשומה המורחבת כוללת נתונים מכל מערכות
היישום הממוחשבות, אשר תרמו לעיבוד של התנועה, ויכולה לכלול גם נתונים מתקופות
חשבונאיות קודמות. הטכניקה מספקת למבקר נתיב ביקורת מלא, הכלול פיסית
ברשומת מחשב אחת.
השימוש בטכניקה משפר את אפשרויות הביקורת והבקרה בתוך מערכת היישום, ומחייב
את המבקר להיות מעורב בהגדרת נתיבי הביקורת. הוא עשוי להקטין עלויות בחיפוש
אחר סיבות לשגיאות במערכת, בביצוע ניתוחים מיוחדים ומספק נתיב ביקורת מושלם
במקום פיסי אחד בר גישה.
החיטרון העיקרי בשימוש בטכניקה טמון בעלויות המיוחדות של פיתוח, של עיבוד ושל
איחסון רשומות תנועה גדולות. העלויות מתיחסות ל:
= הכללת שדות נתונים נוספים ברשומות
8 ביצוע שינויים בתוכניות, שיאפשרו לספק את הנתונים
₪ הפעלת המערכת עם הרשומות המורחבות
= אמצעי איחסון עבור הרשומות המורחבות
₪ שימוש בתוכניות מיוחדות, שיאפשרו גישה לרשומות
> הפקת הדוח"ות להם זקוק המבקר
הטכניקה ישימה לכל מערכות היישום, הפועלות בעיבודי אצוות (83662) ובמיוחד
למערכות פיננסיות בעלות סיכון גבוה.
בפועל מרבית יישומים אלה משתמשים בטכניקה זו עד דרגה מסוימת, ומספקים נתיבי
ביקורת מסוימים. השאלה היא מה היקף נתיב הביקורת, שהם מספקים, והאם המבקר
יכול להסתמך עליו.
העיתוי היעיל ביותר לפיתוח הטכניקה הוא בשלבי הפיתוח של מערכת היישום
הממוחשבת. בשלבי הפיתוח ניתן לחסוך בעלויות ומשאבים רבים, שאין מנוס מהם,
כאשר היישום הוא, בעת שהמערכת כבר פועלת באופן שוטף.
המבקר מגדיר את הדרישות, ומזהה את הנתונים, שצריכים להיכלל ברשומות המורחבות.
בניית התוכנית (השינויים במערכת היישום, התוספות למבנה הרשומות והשינויים
בקידוד ובתיעוד) ושילובה במערכת היישום נעשים על ידי אנשי עיבוד הנתונים.
2 שלבי יישום
יישום הטכניקה נעשה במספר שלבים:
(1) ניתוח המערכת
המבקר לומד את מערכת היישום מנקודת מבט של נתיבי ביקורת ומנתחה. הוא בודק אלו
תנועות מעובדות במערכת, ואיזו אינפורמציה שוטפת בלתי זמינה תספק עזרה בביקורת
המערכת. דרך יעילה להשלים שלב זה היא לנתח ניירות עבודה מביקורות קודמות
ומימצאי ביקורת, המצביעים על ליקויים ועל העדר נתיבי ביקורת.
(2) ניתוח תהליכי החלטות
המבקר מזהה נקודות החלטה חשובות במערכת היישום, וקובע אלו נתונים דרושים על
מנת לבצע את ההחלטה. אם המבקר מגיע למסקנה, כי הנתונים הדרושים נכללים בדיווחי
המחשב וברשומות היסטוריות, הם אינם צריכים להיכלל ברשומה המורחבת.
שדות נתונים, אשר אינם כלולים, או שאינם מתוכננים להיכלל ברשומה היסטורית של
מערכת היישום, הם אלמנטים פוטנציאליים, הראויים להיכלל ברשומה המורחבת.
(3) הכנת רשימה של נתוני מפתת
כפועל יוצא של שלבים מספר 1 ו-2 יש להכין רשימה של נתוני מפתח, שיכללו ברשומה
המורחבת, ולקבוע את פרק הזמן, שבו הנתונים יצטברו ויתווספו לרשומה זו. קביעת פרק
הזמן יכולה להתיחס ליותר מאשר תקופה חשבונאית אחת.
בדוגמאות שבתחילת הסעיף נתוני מפתח פוטנציאליים יכולים להיות:
תשלומים לספקים - מספרי הזמנות, נתוני הזמנות, מספרי חשבוניות, תנאי תשלום
לספקים, שיעור ניכוי מס במקור, הנחות ותנאי הצמדה.
חישוב ריבית בנקאית - מספרי ריבית חובה, מספרי ריבית זכות, שיעור ריבית חובה,
שיעור ריבית זכות, סכום ריבית חובה, סכום ריבית זכות, שיעור ניכוי מס במקור.
(4) ניתוח עלות תועלת
המבקר צריך לנתח את העלויות, הכרוכות ביישום הטכניקה, מול התועלת, שיפיק ממנה
ולהעריכן. אם המבקר מגיע למסקנה, שהתועלת ביישום עולה על העלויות, יפעל להמשך
שלבי היישום.
(5) יישום
תחילה יש לקבוע את הדרכים היעילות ביותר לאיסוף הנתונים והפקתם עבור הרשומה
המורחבת. אפשרות אחת היא לבצע שינויים במבנה רשומות התנועות הבסיסיות של
מערכת היישום, אשר בהן יצטברו ויאוחסנו הנתונים. אפשרות שניה היא להכין תוכנית
איסוף נפרדת, אשר תשלוף את נתוני המפתח, הדרושים, ממערכת היישום בעיתוי
המתאים ובמקומות המתאימים.
התוכנית, שנבחרה, נבנית, משולבת במערכת היישום ומהווה חלק בלתי נפרד ממהדורת
הייצור של מערכת זו.
5 ₪05 60את 5010750 אד
זוהי טכניקה, אשר מאפשרת למבקר לזהות תנועות ספציפיות אשר מעובדות באמצעות
תוכנית יישום ממוחשבת. כמו כן טכניקה זו מאפשרת למבקר לרשום נתוני ביקורת
לגביהן בעת שהן מעובדות.
5
146
המבקר יכול לזהות את התנועות הסלקטיביות, שבהן הוא מעונין באופנים שונים: על ידי
סימונן בתו ספציפי או על ידי שילוב רוטינה בתוך תוכנית היישום הממוחשבת, אשר
כוללת את דרישות הביקורת. הנתונים, הנאגרים לצרכי המבקר יכולים, לכלול את
התנועה עצמה, את נתוני המעקב, המראים אלו רוטינות בתוכנית היישום הופעלו וכל
מידע אחר, שהוא בר השגה ובעל חשיבות למבקר.
על מנת להפחית את עלויות היישום של הטכניקה, מבקר, המעונין להשתמש בה, חייב
להיות מעורב בעיצוב מערכת היישום הממוחשבת ובפיתוחה.
0.וכניקות לביקורת התיפעול
והתחזוקה של המערכת
1 מבוא
מרבית יצרני המחשבים מספקים אמצעים שונים לתוכנת מערכת ההפעלה של
המחשבים. אמצעים אלה יועדו בראש ובראשונה לשרת את הצרכים התיפעוליים של
מחלקות עיבוד הנתונים. שרות זה מתבטא באיסוף מידע לצורך חיוב צרכנים של המחשב
או לשם הערכת השימוש של מערכת המחשב (זמני התחלה וסיום של מהלכים, שימוש
באמצעי חומרה וכדומה). אינפורמציה, המסופקת על ידי מערכת ההפעלה, יכולה להיות
בעלת משמעות ועניין למבקר.
00 2
המבקר יכול לבחון את תיפעול המחשב על ידי שימוש באינפורמציה, הנאספת כתוצר
לוואי של העיבודים הרגילים במערכת. אינפורמציה זו ניתן לחלק ל 2 קבוצות עיקריות:
1. | 10006 וה57506 - יומני מערכת
2. 3 תת 660
טכניקת ה "קַחו1.088 * משמעותה סקירה של יומני המערכת, המהווים למעשה רישום של
פעילויות המערכת. את המידע על הפעילויות ניתן לאסוף באופן ידני (כאשר מערכת
ההפעלה אינה מספקת אותו, וקיים רישום ידני של הפעילויות) או יזום על ידי תוכנת
מערכת ההפעלה. מערכת ההפעלה מנהלת רישום מלא של כל פעילויות הג'ובים במערכת.
האינפורמציה נרשמת בדרך כלל על קובץ, אשר כולל נתונים כלליים על זמני התחלה של
תוכניות וסיומן, זמני 62% ו 1/0, פתיחה וסגירה של קבצים, הודעות על שגיאות, וכל
הודעה אחרת המועברת בין התוכנית ומערכת ההפעלה.
3 60
1 קססקירה כללית
במערכות ממוחשבות רבות קיימים אמצעי תוכנה מיוחדים נוספים שהם בעלי עניין
למבקר. המבקר יכול להשתמש באמצעים אלה לקבלת מידע מתוך המערכת על מנת
לבחון את ניצול משאבי המחשב, על מנת לאמת, שאנשים, המבצעים עיבודים, הינם
מורשים לביצוע מהלכים אלה, ועל מנת להשגיח על גישה לקבצי נתונים חיוניים ו/או
לתוכניות מחשב.
117
1808
קיימים שני סוגים של אמצעים כאלה, שהם בעלי עניין למבקר:
6 600765 )06008
9 66005 ץ)וצן)6 ]56 גוג
(1) 660105 )ת0600
זהו, מידע, המופק על ידי תוכנת מערכת ההפעלה. המידע מורכב מרשומות, אשר
מראות אלו משתמשים ניגשו לאלו תוכניות, באיזו תדירות ולמשך כמה זמן. הרשומות
כוללות זיהוי של המשתמש, אמצעי החומרה, שנדרשו על ידי המהלך, משך הזמן,
שנדרש להשלים את המהלך, וכיצד הסתיים המהלך.
(2) 8660705 ץ]וצ40)1 ]56 גוג
זהו מידע, המופק על ידי תוכנת מערכת ההפעלה. המידע מספק נתונים על קבצים,
שהיו בשימוש במהלך העיבוד, ומי דרש את השימוש בסטים של הנתונים. המידע
כולל את שם הקובץ, אורך הרשומה, שם המשתמש ועוד.
אירגונים שונים נוהגים להרחיב את השימוש באמצעים, המסופקים על ידי יצרני
המחשבים, ומפיקים מתוך מערכת ההפעלה נתונים נוספים על תפעול המחשב. מבקרים
יכולים להעזר בנתונים אלה, או אם הם בעלי כישורים מתאימים, יכולים הם לכתוב
תוכניות באמצעותן יתקבל מידע חיוני ובעל משמעות להשגת מטרות ביקורת.
לדוגמא: נהלי האירגון מחייבים הפרדה מוחלטת בין מתכנתי יישומים לבין מפעילי
המחשב, ואוסרים על המפעילים לכתוב תוכניות, לבצע שינויים בתוכניות, ולהוסיף
לתוכניות בעת הפעלתן נתונים או פרמטרים, שיש להם השלכה על תוצאות העיבוד.
על מנת לבצע בדיקה לאימות הנוהל הלכה למעשה המבקר יכול להיסתייע במידע
המתקבל ממערכת ההפעלה או לכתוב תוכנית אשר תספק מידע על התערבות של
מפעילים בתוכניות בעת ביצוען במחשב.
2 שלבי יישום
יישום הטכניקה נעשה במספר שלבים:
(1) הגדרת מטרות הביקורת
השימוש בטכניקה מיועד בעיקר לביקורות שמטרתן לבחון את ניצול משאבי המחשב
ולביקורת של בטיחות נתונים.
(2) בחינת האמצעים, העומדים לרשות המבקר
בדרך כלל המבקר ישתמש באמצעי התוכנה, הקיימים באירגון.
הגישה של מבקרים רבים היא להפעיל את התוכנה מבלי לבדוק תחילה האם המידע,
שיתקבל, תואם את השגת מטרות הביקורת. לכן מומלץ, כי המבקר ילמד תחילה
(באמצעות בחינת תדריכים, שיחות, סקירת דוח"ות וכד') את אפשרויות הביצוע של
התוכנה, והאם היא יכולה לספל את הנתונים, הדרושים להשגת מטרות הביקורת.
כאשר המבקר מגיע למסקנה, ש:ותוכנה הקיימת באירגון אינה מספקת, הוא יכול לשקול
יישום אמצעים נוספים או אלטרנטיבות, כגון: כתיבת תוכניות ספציפיות (תוך קבלת
סיוע מגורמים בעלי כישורים וידע נאותים), או שימוש בחבילות תוכנה, שניתן להפעילן
במחשב של האירגון, ואשר כוללות פונקציות, שיסייעו להשגת מטרות הביקורת.
ה ...= ו ₪[/=₪*₪*///--ק קק קש שזשי-
149
(3) הגדרת הדרישות על ידי המבקר
בשלב זה המבקר מגדיר את האלמנטים הדרושים לאסוף את הנתונים להם הוא זקוק. זה
כולל:
*קביעת סוגי רשומות
*קביעת השדות ברשומות שישלפו ולפי אילו מפתחות מיון
*תיכנון מבני דוח"ות פלט
"כתיבת תוכניות לשליפת הנתונים מקבצי ה-ג291 קַתו1חט660 והדפסתם (המבקר יכול
להסתיע בחבילת תוכנה).
(4) הפעלת תוכנית השליפה וקבלת דו"ח/ות פלט
(5) ניתוח הנתונים והסקת מסקנות
4 בעיות הכרוכות ביישום הטכניקות
(1) הבעיה העיקרית, הכרוכה בשימוש בטכניקות, היא, שבמקרים רבים למבקרים אין
הכשרה נאותה בקריאה ובהבנה של יומני המערכת, והם אינם יודעים איזו אינפורמציה
לחפש וכיצד לחפשה.
(2) המידע, הנשלף על ידי תוכנת מערכת ההפעלה, הוא רב, ויכול לכלול אלפי רשומות
בפרק זמן קצר. חלק גדול מהאינפורמציה אינו רלוונטי למבקר, וכולל נתונים טכניים רבים
במבנים שונים. יש, איפוא, צורך לבצע סלקציה של הנתונים, ולבחור באותם נתונים,
הדרושים להשגת מטרות הביקורת.
(3) הנתונים, הנשלפים על ידי תוכנת המערכת יכולים להיות מודפסים בדוח"ות מבלי
להצטבר באמצעי אחסנה מגנטי.במקרה כזה איסוף הנתונים הרלוונטיים למבקר ומיונם
כמעט בלתי אפשרי, וברור שאינו כלכלי.
כאשר המידע הנשלף נאגר בקובץ על אמצעי אחסנה מגנטי, ניתן להשתמש בחבילות
תוכנה או בתוכניות מיוחדות, הנכתבות על ידי המבקר, לשליפה, למיון, לניתוח ולעריכה
של הנתונים להם הוא זקוק מתוך הקבצים.
(4) מכיוון שהתוכנה לשליפת הנתונים ממערכת ההפעלה מסופקת בדרך כלל על ידי יצרני
המחשב, אין למבקר בדרך כלל אמיצעי פיקוח על איסוף הנתונים על ידי התוכנה. במרבית
המקרים הוא צריך להסתמך על אמצעי איסוף הנתונים, שסופק על ידי יצרן המחשב.
(5) כאשר הנתונים נצברים לקובץ באמצעי אחסנה מגנטי, קיימת האפשרות של גישה
לקובץ וביצוע שינויים, תוספות או גריעות בנתונים. לכן יש צורך באמצעי בקרה, שיגבילו
את הגישה לקובץ הנתונים לגורמים המורשים בלבד.
(6) על מנת שהמבקר יוכל להסתמך על שלמות ודיוק הנתונים הנצברים, על המבקר
לוודא, כי נשמרים כללי בקרה בסיסיים, אשר כוללים בין היתר:
-הפרדת תפקידים בין מפעילים ומתכנתים
-הגבלת הגישה לשטח המחשב למתכנתי יישום ולמתכנתי מערכות
-הפרדה תיפקודית בין מתכנתי יישום לבין מתכנתי מערכות
-תחזוקה נאותה ובקרה על קבצי ה-129418 עַחו1חט4600, לאחר שהועתקו לאמצעי אחסנה
מגנטיים
10
1. טכניקותביקורת בשלבי פיתוח של
מערכות מידע ממוחשבות
1 קווי בקרה מנחים לשימוש במהלך פיתוח מערכות מידע ממוחשבות
1 מבוא
ההזדמנות הטובה ביותר של המבקר להשפיע על מערכת הבקרות הפנימיות במערכת
יישום ממוחשבת הינה במהלך שלבי הפיתוח של המערכת. בשלבים אלה ניתן ליישם
שינויים ותוספות למערכת הבקרות במשאבים קטנים ועלויות נמוכות. קשה מאד ליישם
בקרות ולבצע שינויים, לאחר שהמערכת כבר נבנתה והופעלה, מה עוד, שעלותם של
שינויים כאלה בשלב יותר מאוחר הינה גבוהה מאד.
ניסיון העבר מוכיח, כי בניית מערכות ממוחשבות ללא בקרות גורמת בסופו של דבר
לעלויות יקרות עוד יותר ולחשיפת יתר של המערכת. בל נשכח, כי כל ליקוי במערכת
עלול לגרום לביצוע של מאות או אלפי פעולות שגויות, וכי יהיה דרוש זמן רב לתיקון כל
טעות.
המטרה העיקרית של המבקר בפיתוח מערכת מידע ממוחשבת היא לספק להנהלה חוות
דעת על נאותות הבקרות במערכת. לשם כך עליו לוודא, כי הבקרות, שהוגדרו על ידי
מתכנני המערכת מספקים בטחון ואמינות לגבי איתנות המערכת.
במסגרת יישום הטכניקה מסופקים למבקר קווים מנחים, המהווים מסגרת כללית לסיפוק
מטרות הבקרות של האירגון.
הקווים המנחים כוללים 2 חלקים: קטגוריות בקרה ורשימות תיוג של בקרות.
2 קטגוריות בקרה
זוהי מסגרת כללית של קטגוריות בקרה, שינחו את מעצבי ומתכנני המערכות ביישום
פרוצדורות העיבוד.
קטגוריות הבקרה המקובלות הן:
בקרות מרתיעות (015ז0000 )ח6זז6ו6ש)
אלו הן, פונקציות אשר מרתיעות או מעכבות ארועים בלתי רצויים לפני שלב הקלט.
בקרות מונעות (020007015 1+6)ח0ץ6זק)
אלו הן, פונקציות המתוכננות למנוע התרחשות של איום.
(איום הינו ארוע או צירוף של אירועים, אשר באופן מודע, או שלא במודע, גורם/ים
לאובדן או לפגיעה בנכסים כגון: שגיאות, השמטות, חריגות וכד'י.) בקרות מונעות ניתן
ליישם בשלב הקלט או בשלב עיבוד הנתונים לאחר הקלט. בקרות אלה ידחו את קליטת
הנתון השגוי או יוצא הדופן, או ימנעו את עיבודו.
בקרות מגלות (020011015 12616601%6)
אלו הן פונקציות, המתוכננות לגלות איומים, שעלולים לפגוע במערכת, ולהתריע עליהן.
בקרות מגלות מיושמות בדרך כלל בשלב העיבוד שלאחר הקלט.
בקרות מדווחות (6-00/:015 פַחו)זסק6ת1)
אלו הן פונקציות, המתוכננות לדווח על איומים, המתגלים במערכת.
בקרות מתקנות (6:00/:015 0011%6זז020))
אלו הן פונקציות, המתוכננות לתקן חריגות, שגיאות או השמטות, המתגלות במערכת,
בהתאם לקריטריונים, שנקבעו. בקרות מתקנות ניתן ליישם בשלב הקלט או בשלב
העיבוד.
בקרות התאוששות (60011015 /ז8660%6)
אלו הן פונקציות, המתוכננות לגרום להפעלת פרוצדורות התאוששות, כאשר המאורע
החריג, שמתגלה, הינו סוג של "אסון".
בקרות אלה מיושמות בדרך כלל בשלב העיבוד.
אמצעי הבקרה יתיחסו לבקרות קלט,עיבוד ופלט, לבקרות בטיחות, לנתיבי ביקורת,
לטיפול בשגויים וכד'י.
43 רשימות תיוג של בקרות
רשימות אלה כוללות טכניקות (אמצעי בקרה ידניים וממוחשבים),שניתן לשלבן בשלבי
הפיתוח, ואשר תסייענה להשגת דיוק, שלמות ואיתנות של מערכת המידע הממוחשבת.
להלן מספר דוגמאות המפרטות סוגים של בקרות יישום, טכניקות ואמצעי בקרה, שניתן
לשלב במערכות יישום שבפיתוח.
- בקרות יישום
בקרות יישום מתיחסות לכל הרצף של העיבוד (הידני והממוחשב). רצף זה כולל:
6 זיהוי ורישום מאורעות הרלוונטיים לפעילות הארגון (6זטזפג-6) 313)
= הסבת הנתונים שנאספו לצורה קריאה על ידי המכונה (חטווגזוגק6זץ גוגכ1)
= הזנת הנתונים למחשב (צְזות: בוה)
= עיבוד הנתונים במחשב
= דוח"ות הפלט והשימוש בהם
ופו
12
בשלבי הפיתוח של תוכניות היישום הממוחשבות יש לזהות בקרות, להעריכן, לבחרן
וליישמן. בקרות אלה צריכות להבטיח את:
- נאותות יצירת נתוני הקלט
- שלמות הקלט
- דיוק הקלט
- שלמות העיבוד והעידכון
- דיוק העיבוד והעדכון
- נאותות החישובים המבוצעים על ידי המחשב
- נאותות הנתונים המיוצרים על ידי המחשב
- אישור של הנתונים המעובדים
- תחזוקת הנתונים בקבצים
- יצירה והסבה של קבצים
להלן מובא פירוט של אמצעי בקרה, שיבטיחו את האלמנטים הנזכרים לעיל:
(1) שלמות הקלט
קיימות בקרות, שמטרתן לוודא כי:
- כל התנועות נרשמו.
- כל התנועות הוקלדו למחשב.
- כל תנועה נקלטה ונתקבלה פעם אחת בלבד.
- נתונים חריגים תוקנו והוזרמו מחדש למערכת.
6אמצעים וטכניקות בקרה
> בדיקה ממוחשבת של רציפות המספרים הסידוריים של מסמכי הקלט.
6 6 השוואת נתוני הקלט לאינפורמציה, המוחזקת בקבצים ודיווח על אי התאמות.
(לדוגמא: השוואה בין נתוני כרטיסי שעון של עובדים לבין קובץ משכורת ודיווח על
כרטיסי עובד חסרים או כפולים.)
* = בקרת מנות, המשלבת קיבוץ ידני של פעולות בשלב הקלט והכנת סיכום בקרה עבור
הקבוצה:
6 9+ כמות מסמכים: ספירה של מספר מסמכי הקלט בקבוצה.
6 6 = כמות הפריטים/הרשומות: ספירה של מספר הפריטים או השורות של נתוני הקלט.
6 סיכומים כספיים: סיכום הערך הכספי של פריטים בקבוצה.
9% סיכומי סרק (1701815 ו[1135): סיכום של שדה נתונים נומרי כלשהוא הקיים בכל
אחד מהמסמכים בקבוצה.
₪ תיכנון והכנה של תדפיס מפורט המכיל את כל הנתונים שנקלטו על ידי המחשב,
לצורך בדיקתם מול מסמכי הקלט.
(2) שלמות העיבוד העדכון
קיימות בקרות, שמטרתן לוודא, כי כל הנתונים, אשר נקלטו על ידי המחשב, יעובדו
באופן נאות, ויעדכנו את קובץ האב הנכון.
6 אמצעים וטכניקות בקרה
66 בדיקת רציפות המספרים הסידוריים וזיהוי התנועות החסרות/הכפולות בשלב
עידכון קובץ האב.
= ₪ השוואה ממוחשבת של הנתונים עם אינפורמציה המתוחזקת בקבצים, כאשר תהליך
ההשוואה מבוצע בשלב העידכון.
6 ₪ התאמה על ידי המחשב של סיכומי הפרטים בשלב הקלט לעומת סיכומיהם בשלב
העידכון (01015ת60 חטא 70 חטא).
>= תיכנון דוח"ות פלט, שייוצרו לאחר שלב העידכון, ואשר ישמשו בסיס לבדיקה
מפורטת של התנועות על ידי המשתמש.
(3) דיוק הקלט
קיימות בקרות המתיחסות לרכיבים (שדות הנתונים), המרכיבים כל רשומת (תנועת)
קלט, ומטרתן לוודא את דיוק קליטת הנתונים.
6 אמצעים וטכניקות בקרה
₪ השוואה ממוחשבת עבור אותם שדות, שניתן להשוותם על ידי התוכנית.
> 6 סיכומי מנות עבור שדות נתונים לגביהם מבוצעים סיכומים.
6 בדיקות עריכה מתוכנתות (5א6608 ז501):
6 > בדיקות סבירות: בדיקות, שנעשות על מנת לוודא, שתוכן של שדה נתונים נמצא
בתוך גבולות שנקבעו מראש.
> 9 מיבדקי תלות: מיבדקים, שמטרתם לבדוק האם קיים יחס נאות בין תוכן של 2
שדות נתונים (או יותר) בתנועת הקלט.
6 בדיקות קיום: בדיקות, אשר מוודאות, שנתוני הקלט תואמים לנתונים תקפים
המוחזקים בקובץ הנתונים או בתוכנית המחשב.
6 בדיקות עיצוב: מטרת הבדיקות לוודא, כי כל שדות הנתונים הדרושים קיימים
ברשומת הקלט, ולבדוק אם המבנה של הנתונים בשדות תקף (נומרי או אלפא נומרי).
68 סיפרת ביקורת
6 סיכומי סרק: הסיכומים נעשים עבור נתונים נומריים, בשדות נתונים שונים
ברשומה אחת.
6 רישום מראש של נתוני קלט במסמכים, אשר ניתנים לקריאה על ידי מכונה,
במטרה למנוע טעויות ושגיאות בשלב המוקדם של רישום הפעולה (1טקח1 0666ז660ז6ז),
לדוגמא: שיקים ממוגנטים.
(4) דיוק העיבוד/העידכון
קיימות בקרות, שמטרתן לוודא כי הנתונים מועברים במדויק בשלבים השונים של
העיבוד ומעודכנים במדויק לקובץ האב הנכון.
6 התאמה ידנית או ממוחשבת של סיכומים בשלבים שונים במחזור העיבוד.
₪6 בדיקות עריכה ממוחשבות (כגון בדיקות סבירות ומיבדקי תלות) שנעשות בקובץ
האב במהלך העידכון או אחריו.
(5) נאותות החישובים המבוצעים על ידי המחשב
תהליך החישוב מורכב בדרך כלל מהפגשה של נתון קבוע המוחזק בקובץ אב (כגון: מחיר)
עם נתון של תנועה, שהוא נתון קלט חד פעמי (כגון: כמות).
על מנת שהחישובים ייעשו באופן מדויק ואפקטיבי, יש לתכנן בשלב הפיתוח אמצעי
בקרה וליישמם. אמצעים אלו צריכים להבטיח:
6 6 את אמינות הנתונים הקבועים (תחזוקה נאותה של הקובץ ובקרה על תיקונים).
> כי נתוני התנועה נקלטו באופן שלם ומדויק.
6 = כי שיטות החישוב הן לוגיות ומאושרות על ידי ההנהלה.
66 מניעת שיבושים, שעלולים להיגרם כתוצאה מגלישות בשדות ביניים או בשדה
תוצאה.
13
14
(6) נאותות הנתונים המיוצרים על ידי המחשב
נתונים מיוצרים על ידי המחשב באחת מהאפשרויות הבאות:
- יצירת נתונים כתוצאה מעיבוד של תנועה. לדוגמא: תנועת ניפוק ממחסן, הגורמת
לירידה מרמת מלאי מינימלית, גורמת ליצירת תנועת הזמנת מלאי.
- הזרמת נתון קלט, שיגרום למחשב ליצור נתונים. דוגמא: הזרמת תאריך לקובץ
"שיקים", שיגרום ליצירה אוטומטית של שיקים לספקים בתאריך, שנקבע.
במהלך תיכנון ופיתוח מערכת ממוחשבת יש לזהות, לבחור וליישם בקרות, אשר יכסו את
התהליך של יצירת הנתונים ואת העידכון של הנתונים שיווצרו.
(7) אישור הנתונים המעובדים
יש לתכנן וליישם אמצעי בקרה, שיבטיחו, שרק נתונים, אשר מאושרים על ידי ההנהלה,
ירשמו בקובצי האב או יודפסו בדוח"ות החשבונאיים.
אמצעי הבקרה יכולים לכלול:
₪6 נהלים, שיוודאו את אישור הנתונים בשלב יצירת המסמכים ו/או בעת קיבוצם
ל"מנות" ו/או בשלב הקלט.
= 6 אמצעים מתוכנתים לזיהוי ודיווח על הפריטים, שלגביהם יש צורך באישור נוסף.
6 ₪ אמצעים, שיבדקו, אם הנתונים מאושרים, ללא צורך באישור ידני מראש.
(8) תחזוקת הנתונים בקבצים
מטרת אמצעי הבקרה לוודא, כי הנתונים, המאוחסנים בקבצי המחשב, מעודכנים באופן
נאות, עד אשר נעשים בהם שינויים במסגרת תהליך עיבוד מאושר.
6 אמצעים וטכניקות בקרה
6% התאמה של רשומות, הניצברות בקובץ, עם סיכום בקרה המתוחזק, באופן בלתי
תלוי, באופן ידני.
> 6 התאמה של רשומות, הניצברות בקובץ, עם סיכום בקרה, המתוחזק באופן בלתי
תלוי באותו הקובץ.
6 התאמה של רשומות, הניצברות בקובץ, עם סיכום בקרה, המתוחזק באופן בלתי
תלוי בקובץ אחר.
> 6 שימוש בתוכנה לבחינה של הנתונים בקובץ, ודיווח על פרטים, שנראים לא נכונים,
או לא תקפים.
> יישום נהלים, שיוודאו גישה מאושרת לקבצי נתונים, ושימוש מאושר בנתונים.
יישום יעיל של הטכניקה מותנה במספר גורמים:
(1) סיוע ושיתוף פעולה של ההנהלה הבכירה, שתאפשר מעורבות של המבקר בתהליך
הפיתוח.
(2) הקצאת מבקר בעל כישורים נאותים ונסיון בתיכנון מערכות מידע ממוחשבות.
(3) שימוש בסטנדרטים מקובלים של אמצעי בקרה על מנת לוודא, כי לא נשכחו, או לא
הוזנחו אמצעי בקרה בסיסיים.
(4) למבקר, שנבחר לביצוע המטלה, חייבת להיות גישה לכל הנתונים, אשר זמינים לצוות
הפרויקט.
הקוים המנחים שבשימוש המבקר מהווים כלי עזר חשוב לתיכנון אמצעי בקרה ויישומם
בשלבי הפיתוח של המערכת. מקובל, כי במסגרת מעורבותו, עובד המבקר עם צוות
מפתחי הפרויקט, סוקר את אמצעי הבקרה המתוכננים, וממליץ על שיפורים. על מנת
להבטיח, כי המבקר ישמור על עצמאותו, ולא יפגע בעיקרון "אי התלות", אין הוא נמנה
פורמלית עם צוות הפרויקט, ואינו תחת הפיקוח האירגוני או המקצועי של מנהל
הפרויקטי.
4 ניתוח ארוע
= לפניך הקורא מובא ארוע בשם: "הבנק לאמיסיות ולזכויות".
₪ הארוע וניתוחו יקנו לך יכולת יישומית של הקווים המנחים ושל אמצעי הבקרה
שפורטו לעיל.
₪ ניתוח כזה יסייע לך לבחון את ידיעותיך ולהעריכן.
6 הנך יכול להסתייע בפתרונות אפשריים לחלק מדרישות הארוע, המפורטים
בעמודים 157 - 167 ,
"הבנק לאמיסיות ולזכויות"
(1) "הבנק לאמיסיות ולזכויות" * לו 50 סניפים ברחבי הארץ, מבצע עבור לקוחותיו
פעולות קנייה ומכירה של מניות בבורסה לניירות-ערך.
(2) הוראת קנייה/מכירה, הניתנת על ידי לקוח, נרשמת על ידי פקיד הבנק בטופס, הכולל
את הנתונים הבאים:
- מספר הסניף בו מתנהל חשבון ניירות-הערך של הלקוח
- מספר החשבון של הלקוח בסעיף ניירותזערך [זהה למספר החשבון של הלקוח בסעיף
עו"ש, אשר יחוייב (עבור קניית מניות), או יזוכה (עבור מכירת מניות)]
- סוג הפעולה: קנייה או מכירה
- מספר המניה בגינה ניתנת ההוראה (כל מספר מניה מייצג מניה מסוימת הנסחרת
בבורסה.)
- סכום הערך הנקוב של המניה
- הגבלת שער, שבו תבוצע הקנייה/המכירה של המניה. (לדוגמא: פעולת קנייה הניתנת
בהגבלת שער של 324 נקודות תתבצע, בתנאי ששער המניה, שיקבע בבורסה לא יעלה
של 324 נקודות.)
- תוקף: יום המסחר האחרון, שבו תהיה ההוראה בתוקף, אם לא בוצעה קודם לכן עקב
הגבלת שער או עקב תנאי השוק
- עמלה: שיעור העמלה שתיגבה עבור ביצוע הפעולה
(3) הנחיות ההנהלה לקבלת הוראות קנייה ומכירה של מניות הן כדלקמן:
א) בעת קבלת הוראה לקניית מניה מסוימת יש לוודא כי בחשבון הכספי של הלקוח,
המחוייב תמורת קניית המניה, יש כיסוי לסכום הקנייה.
ב) בעת קבלת הוראה למכירת מניה מסוימת יש לוודא, כי בחשבון ניירות הערך של
הלקוח קיימת המניה בערך וקוב מספיק.
ג) יש לוודא, כי החשבון מתנהל על שם הלקוח.
ד) הגבלת שער מותרת בגבולות של 15% + משער הבסיס של המניה (שער הבסיס הוא
השער, הנקבע כשער התחלתי לצורך ניהול המסחר במניה. שער הבסיס הוא שער
הסגירה של אותה מניה ביום המסחר הקודם).
ה) התוקף המקסימלי, שניתן לתת עבור הוראת קנייה/מכירה, הוא היום האחרון בחודש
בו ניתנה ההוראה.
ו) שיעורי העמלה נעים בין 0.6% ל-1.3% מהערך הכספי של העסקה.
ז) הוראות קנייה ומכירה, המתקבלות בסניפים עד השעה 12:00, מבוצעות בבורסה באותו
היום.
הוראות, הנמסרות לאחר השעה 12:00, מבוצעות ביום המסחר הבא.
(4) תהליך הטיפול בהוראות הקנייה והמכירה הינו ידני ומבוצע כדלקמן:
א) כל הוראות הקנייה והמכירה מועברות (פיזית או באמצעות הטלפון) לסניף המרכזי של
הבנק.
15
16
ב) בסניף המרכזי נערך מיון וריכוז ידני של הוראות הקנייה והמכירה, שאמורות להסחר
באותו היום בבורסה. המיון והריכוז הינם לפי מספרי המניות, לפי סוגי הפעולה ולפי
הגבלות השער. לאחר הכנת הריכוז נערך דו"ח "לידר" המוגש לבורסה לפני תחילת
המסחר במניות, ובו ריכוז הביקוש או ההיצע לכל אחת מהמניות בהתאם לקריטריונים,
שנקבעו על ידי הבורסה.
ג) בגמר המסחר בבורסה נערכת הקצאה ידנית של המניות, שנקנו/שנמכרו ללקוחות,
ומבוצעות פעולות של זיכוי/חיוב חשבונות ניירות-הערך של הלקוחות (בערכים
נומינליים) כנגד חיוב/זיכוי של החשבונות הכספיים של הלקוחות.
ס"ה הקניות במניה מסוימת צריך להיות שווה לס"ה המכירות באותה מניה. ההנחה היא
כי במקרה של עודף ביקוש נרכש עודף הביקוש בבורסה ובמקרה של עודף היצע, נמכר
עודף ההיצע בבורסה.
ד) הוראות קנייה ומכירה, שלא בוצעו (עקב הגבלות שער ו/או תנאי השוק), ואשר תוקפן
פג, מבוטלות.
ה) הוראות קנייה ומכירה, שלא בוצעו כאמור, ואשר תוקפם טרם פג, מועברות ליום
המסחר הבא.
(5) עקב הגידול, שחל לאחרונה בכמות ההוראות, המתקבלות בסניפי הבנק, החליטה
הנהלת הבנק להסב את המערכת הידנית למערכת ממוחשבת.
הוקמה ועדת היגוי, אשר כללה נציגים של מחלקת ניירות ערך, מחלקת אירגון ושיטות
ויחידת המחשב. הועדה בחנה שתי אפשרויות למיחשוב התהליך.
(5.1) אפשרות א'
התהליך עד גמר שלב ההקצאה יעשה גם בעתיד באופן ידני, ואילו פעולות החיוב והזיכוי
של חשבונות ניירות הערך (ע"נ) כנגד זיכוי/חיוב החשבונות הכספיים תעשנה על ידי
מחשב. בהתאם לאפשרות זו לאחר ההקצאה הידנית ירוכזו הוראות הקנייה והמכירה
בגינן יש לבצע פעולות בחשבונות הלקוחות בחבילות (מנות), שיועברו לקליטה ולעיבוד
במחשב של הבנק. כל חבילה תכלול את טפסי הוראות הקנייה והמכירה של מניה
מסוימת. לחבילה יתוסף כנתון קלט השער שנקבע בבורסה למניה.
(5.2) אפשרות ב'
בסניפי הבנק יותקנו מסופים, שיהיו מחוברים למחשב של הבנק. כל אחד מהסניפים יזרים
באמצעות המסופים שברשותו באופן שוטף את הוראות הקנייה והמכירה לפי סדר
מסירתן על ידי הלקוחות בסניף. כל ההוראות תמויינה ותרוכזנה על ידי המחשב לפי
מספרי המניות, לפי סוגי הפעולה ולפי הגבלות השערים. המחשב יכין ריכוז ו"לידר",
שיוגש לבורסה לניירות ערך.
בגמר המסחר בבורסה יוזרמו למחשב תוצאות המסחר ושערי ניירות הערך שנקבעו
בבורסה לכל אחת מהמניות, ותעשה הקצאה אוטומטית (על ידי המחשב) של
המניות.המחשב יבנה מספר קבצים:
> קובץ "ביצוע" לחיוב או לזיכוי חשבונות הלקוחות
> קובץ "ביטולים" לגבי פעולות, שלא בוצעו, ואשר תקפם פג
₪ קובץ "הוראות נדחות" בגין הוראות, שטרם בוצעו אך תקפם טרם פג. הוראות אלה
יוזרמו למערכת הממוחשבת ביום המסחר הבא.
דרישות:
פרט והדגם את מערכת הבקרות הממוחשבות, שיש לדעתך לשלב בכל אחת משתי
האפשרויות של מיחשוב המערכת (המפורטות בסעיפים 5.1 ו-5.2) על מנת להבטיח את:
- שלמות הקלט
- שלמות העיבוד/העדכון
- דיוק הקלט
7
- דיוק העיבוד/העדכון
- נכונות החישובים, המיוצרים על ידי המחשב
- תקפות/אישור (1:6/84) של הנתונים, המעובדים במחשב
- תחזוקת הנתונים בקבצי המחשב
אם לדעתך יש הבדלים במבנה הבקרות בכל אחת מ-2 האפשרויות, פרטם.
בפתרונות אנפשריים לחלק מדרישות הארוע
אפשרות א'
אפשרות זו מתארת שילוב של תהליכי עיבוד ידניים ותהליך ממוחשב של עיבוד במיכלול
(₪תו06055ז 2316).
התהליכים הידניים כוללים:
- רישום של הוראות הקנייה והמכירה של המניות
- בדיקות על מנת לוודא התאמה של הוראות הקנייה והמכירה להנחיות ההנהלה
- העברת ההוראות לסניף המרכזי של הבנק
- מיון הוראות הקנייה והמכירה, ריכוזן והכנת "לידר"
- הקצאת המניות, שנקנו ונמכרו בבורסה
- איסוף ההוראות, שבוצעו, ומשלוחן לעיבוד במחשב
- רישום הוראות הקנייה והמכירה, שלא בוצעו, ואשר תוקפן טרם פג, ליום המסחר הבא
- ביטול הוראות הקנייה והמכירה, שלא בוצעו, ואשר תוקפן פג
על מנת להבטיח שלמות, דיוק ואמינות של התהליכים הידניים הנ"ל, יש לתכנן בקרות
מינהליות וחשבונאיות הבאות לידי ביטוי בנהלים ובשיטות עבודה, וליישמן כגון:
הפרדת סמכויות, אישורים, סיכומים, איזונים וכדי.
התהליך הממוחשב מתחיל בעת קבלת הנתונים ביחידת המחשב.
בשלב הראשון יש:
- להסב את הנתונים לצורת קריאה על ידי המחשב.
- לבדוק, שההסבה נעשתה כנדרש.
- לבדוק את שלמות נתוני הקלט ואת דיוקם.
בקרות להבטחת שלמות הקלט
על מנת להבטיח את שלמות הקלט, ניתן ליישם אמצעי בקרה אחדים:
(1) בדיקה ממוחשבת של רציפות המספרים הסידוריים של המסמכים
(2) השוואה ממוחשבת לנתונים, הנמצאים בקבצי המחשב
(3) בדיקת הקליטה של כל אחת מהפעולות בדו"חות
(4) בקרת מנות
(1) רציפות המספרים הסידוריים
ההנחה היא, כי מסמכי הפעולות אינם ממוספרים מראש. גם לו היו המסמכים ממוספרים
מראש, לא היה ניתן לבדוק את רציפות המספרים הסידוריים מהסיבות הבאות:
- המסמכים נערכו בסניפים שונים.
- המסמכים מויינו לפי מספרי המניות.
- מסמכים, המתיחסים להוראות, שלא בוצעו, לא נשלחים לקליטה ולעיבוד במחשב.
18
(2) השוואה ממוחשבת
טכניקה זו יעילה בסיטואציות מסויימות במערכות מקוונות (6חז.1-ח00). זאת בגלל
האפשרות להשוואה לנתונים, הנמצאים בקבצי המחשב. במקרה הנדון אנו עוסקים
בעיבוד במיכלול, שבו תהליך הקליטה של הנתונים והסבתם לא נעשה מול קבצי נתונים.
לכן אין אפשרות מעשית ליישום אמצעי בקרה זה.
(3) בדיקת קליטה של כל אחת מהפעולות
תהליך הבדיקה מבוצע כדלקמן:
בגמר תהליך הקלט מופק דו"ח בו מודפסות כל הפעולות, שנקלטו על ידי המחשב.
פקיד אחראי בודק את הרישומים בדו"חות הקלט מול מסמכי המקור על מנת לוודא, כי
כל הפעולות נקלטו כנדרש.
על מנת שאמצעי בקרה זה יהיה יעיל, יש לוודא ש:
- כל המסמכים נשלחו לקליטה במחשב.
- יהיו נהלים נאותים לטיפול בפעולות, שלא נקלטו, או שנקלטו יותר מפעם אחת.
מגבלות הטכניקה:
- באופן מעשי ניתן לבצע את הבדיקה רק למחרת, היינו, לאחר שהפעולות עברו תהליך
של עיבוד ונרשמו בחשבונות הלקוחות.
- על מנת לבצע את הבדיקה יש להקצות משאבים נאותים (כח-אדם וזמן).
- הטכניקה יעילה רק אם מספר הפעולות הוא קטן יחסית.
- איתור שגיאות מחייב לערוך פעולות תיקון ולהזרימן למחשב לעיבוד נוסף.
(4) בקרת מנות
טכניקה זו משלבת קיבוץ ידני של פעולות בשלב הקלט והכנת סיכום בקרה עבור
הקבוצה.
יישום הבקרה אפשרי בצורות אחדות:
- ספירה של מספר מסמכי הקלט בקבוצה
- סיכום הערך הנומינלי (או הכספי) של פריטים בקבוצה
- סיכום גבוב (|71013 ם1135): סיכום של שדה נתונים נומרי כלשהו, הקיים בכל אחד
מהמסמכים בקבוצה
בדוגמא שלפנינו נראה כי, טכניקה יעילה תהיה להשתמש בבקרת מנות.
יישום אמצעי הבקרה ייעשה כדלקמן:
- מסמכי הפעולות יקובצו לפני משלוחם למחשב בחבילות.
- כל חבילה תכלול את פעולות הקנייה והמכירה, המתיחסות למניה מסויימת.
- ס"ה הערך הנקוב של הוראות הקנייה בחבילה צריך להיות שווה לס"ה הערך הנקוב של
הוראות המכירה.
- לכל חבילה יצורף סכום בקרה, השווה לסיכום הערך הנקוב של הוראות הקנייה/
המכירה בחבילה. (כמוזכן ירשם בכל חבילה שער הסגירה, שנקבע בבורסה למניה.
שער הסגירה דרוש להמשך העיבוד, לצורך חישוב התמורה הכספית, שתזקף לזכות או
לחובת החשבונות הכספיים של הלקוחות).
- סכומי הבקרה של כל אחת מהחבילות יסוכמו, והסכום, שיתקבל, ירשם בתעודת
משלוח, שתצורף לחבילות המסמכים. מטרתו של סכום בקרה זה להבטיח כי, כל
קבוצות המסמכים נקלטו במחשב.
תהליך הקליטה במחשב יתבצע כדלקמן:
- הקלדת סכום הבקרה הרשום בתעודת המשלוח
- הקלדת כל אחת מהחבילות:
= הקלדת סכום הבקרה של החבילה
= הקלדת פרטי הפעולות, הרשומות במסמכים המצורפים לחבילה
19
בתהליך הקליטה המחשב יוודא כי:
- סכום הבקרה הכללי (הרשום בתעודת המשלוח) שווה לסיכום סכומי הבקרה של כל
חבילות המסמכים.
- בכל חבילה סיכום הערך הנקוב במסמכים שווה לסכום הבקרה של החבילה.
- בכל חבילה סיכום הערך הנקוב של הוראות הקנייה שווה לסיכום הערך הנקוב של
הוראות המכירה.
על מנת שטכניקת בקרת המנות תהיה יעילה יש לוודא ש:
- קיימת בקרה שעבור כל פעולה מיוצר מסמך
- כל המסמכים מאוגדים בחבילות (בקבוצות)
- כל החבילות הועברו למחשב ונקלטו
- קיימות ראיות מודפסות של התאמת המנות
- קיימים נהלים לבדיקה ותיקון של חריגים (אי התאמות)
כאשר הדבר אפשרי, רצוי לבדוק חריגים לפני העברת הפעולות, שנקלטו, להמשך
העיבוד. כאשר אין הדבר מעשי, מקובל לאזן את אי ההתאמה על ידי יצירת פעולה
בחשבון חריג ולהדפיס דו"ח על כל אי ההתאמות, שאותרו. יש ליישם נהלים נאותים
לבדיקה ותיקון של חריגים.
מגבלה ביישום בקרת מנות
בקרת מנות לא תאתר מקרים של טעויות/ שגיאות מפצות. לדוגמא:
חבילת מסמכים הכילה 3 טפסי פעולה:
סכום חשבון
ערך נקוב
ססו 4
25 200
6 200
500 סכום בקרה
הפעולות נקלטו במחשב באופן הבא:
סכום חשבון
ערך נקוב
4 100
25 200
5 200
%00 סכום בקרה
סיכום סכומי הפעולות, שנקלטו, שווה לסכום הבקרה, ולכן בקרת המנות לא תגלה כי
הפעולה בחשבון מספר 2345 נקלטה פעמיים וכי בחשבון מספר 3456 לא נקלטה
הפעולה.
ב =
1%0
בקרות להבטחת דיוק הקלט
בקרות אלה מתיחסות לשדות הנתונים, שבכל אחת מהתנועות, ומטרתן לוודא, כי
הנתונים בכל אחד מהשדות נקלטים באופן מדויק.
בשלב ראשון יש להחליט על קטגוריות הבקרה, שתיושמנה (בקרות מונעות, בקרות
מגלות, בקרות מתקנות וכדי).
בשלב שני יש ליישם אמצעי בקרה ספציפיים עבור שדות נתונים ספציפיים או עבור
מספר שדות, המכילים נתונים, שיש ביניהם קשר.
להלן רשימה מדגמית של קטגוריות בקרה ואמצעי בקרה אפשריים:
שדה הנתונים | קטגורית אמצעו
הבקרה הבקרה
מספר סניף בקרה מונעת סיפרת ביקורת *
בקרה מונעת | בדיקת קיום: | מספר סניף, שאינו נכלל בקובץ
הסניפים, לא יקלט.
יישום הבדיקה בשלב הקלט מותנה
באפשרות של השוואת הנתון,
שנקלט, לטבלת מספרי הסניפים
של הבנק.
בקרה מונעת | בדיקת גבולות: יקלטו רק מספרי סניפים, שנכללים
בתחום מספרי הסניפים של הבנק
(מספרים בין 1 ל 50).
* סיפרת ביקורת
זוהי סיפרה מיוחדת, המתוספת למספר נתון, ומחושבת על ידי עיבוד מתמטי.
מטרת סיפרת הביקורת היא למנוע קליטה של מספר שגוי.
קיימות מספר שיטות לחישוב סיפרת הביקורת, כגון: מודולוס 11.
המספר ו 0 3 7 4
ספרה הביקורת 6
כל סיפרה במספר (מימין לשמאל)
תוכפל בסיפרה הגדולה ב-1
מקודמתה החל בסיפרה 1 ו 2 3 4 5 6
המכפלה י 2 0 3512 24
סכום המכפלות 3 24+35+12+0+2
סיפרת הביקורת היא הסיפרה שתיתוסף לסיכום המכפלות, באופן שיתקבל
מספר, המתחלק ב-11 ללא שארית ₪77 6 + 73
04
המספר הכולל סיפרת
הביקורת, הוא 2004
ו16
שדה הנתונים קטגורית אמצעי
הבקרה הבקרה
מספר בקרה מגלה בדיקת גבולות: מספרים, החורגים מתחום מספרי
סניף הסניפים של הבנק, יקלטו, אולם
בדו"ח חריגים, המנותב לגורם
מפקח, ידווח על קליטת הנתון
יוצא הדופן.
בקרה מונעת | בדיקת עיצוב: נתונים, שאינם נומריים, לא יקלטו.
בקבלת החלטה על יישום אמצעי בקרה זה או אחר, יש להתחשב במספר גורמים
כגון:
- רגישות הנתון וחיוניותו
- קיום אמצעי בקרה תחליפיים/מפצים
- שיקולים של עלות תועלת
לגבי הנתון, "מספר סניף" יכולה להתקבל, למשל, אחת מבין ההחלטות הבאות:
אפשרות השיקול ההחלטה
= הנתון אינו רגיש. יישום בדיקת עיצוב בלבד
2. רצוי למנוע יישום בדיקת עיצוב וסיפרת ביקורת
שגיאות בקליטת
מספר הסניף.
3 הנתון רגיש וחיוני, | יישום בדיקת עיצוב, סיפרת ביקורת
ולכן יש להקפיד ובדיקת קיום (בקרה מונעת)
על קליטתו
המדויקת.
4 הנתון רגיש וחיוני, | יישום בדיקת עיצוב, סיפרת ביקורת
ולכן יש להקפיד ובדיקת קיום (בקרה מגלה)
על קליטתו
המדויקת.
5. הנתון רגיש וחיוני, | יישום בדיקת עיצוב, סיפרת ביקורת,
ולכן יש להקפיד בדיקת קיום ובדיקת גבולות
על קליטתו
המדויקת
המבקר צריך לבחון את מידת רגישות הנתון וחיוניותו, ולהעריך, אם אמצעי
הבקרה, שהוחלט ליישם, מתאימים.
באפשרות מס' 1 לעיל המבקר יכול להגיע למסקנה, כי הנתון הוא די חיוני, ולפיכך
להמליץ על יישום אמצעי בקרה נוספים.
באפשרות מס' 5 המבקר יצביע על ביזבוז במשאבים, מכיוון שכאשר מיושמת
בדיקת קיום, אין צורך לבצע בדיקת גבולות.
2
שדה הנתונים | קטגורית בקרה
מספר חשבון בקרה מונעת
בקרה מונעת
סוג פעולה בקרה מונעת
בקרה מונעת
מספר מניה בקרה מונעת
בקרה מונעת
בקרה מונעת
בקרה מגלה
הגבלת שער | בקרה מונעת
או מגלה
עמלה בקרה מגלה
שלמות העיבוד
בתהליך עיבוד הנתונים ועידכונם בקבצי המחשב יש ליישם אמצעי בקרה, שיבטיחו, כי
כל הנתונים, אשר נקלטו על ידי המחשב, יעובדו בשלמותם, ויעודכנו בקבצי האב
המתאימים.
אחד מאמצעי הבקרה המקובלים לאימות שלמות העיבוד ידוע בשם
5.. האימות מתבצע על ידי השוואות סיכומי פריטים (כגון: ערכים של שדות
אמצעי הבקרה
סיפרת ביקורת
בדיקת עיצוב
בדיקת קיום
בדיקת עיצוב
סיפרת ביקורת
בדיקת עיצוב
בדיקת קיום:
בדיקת קיום:
בדיקת גבולות:
בדיקת תחומים:
נתונים) בשלבים שונים של מחזור העיבוד.
(יקלט רק סוג פעולה של
קנייה או סוג פעולה של
מכירה)
מספר מניה, אשר עומד
בסיפרת ביקורת, אך אינו
קיים בקובץ המניות, לא
יקלט.
מספר מניה, אשר אינו קיים
בקובץ המניות, יקלט, אולם
בדו"ח חריגים, המנותב לגורם
מפקח, ידווח על קליטת
המספר יוצא הדופן. (יישום
הבקרה בשלב הקלט מותנה
באפשרות של השוואת הנתון
לנתונים בקובץ מספרי
המניות).
הנתון של הגבלת השער
מושווה לשער המניה, שנקבע
בבורסה. (כאשר בפעולות
קנייה השער, שהוקש, גבוה
מהשער שנקבע בבורסה,
הפעולה לא תקלט או שתקלט
ותדווח בדו"ח חריגים).
שיעורי עמלה, החורגים
מהתחום שבין 0.6% ל- 1.3%
מהערך הכספי של העסקה,
יקלטו, אולם ידווח על כך
בדו"ח חריגים לדרג מפקח.
חטת 70 הט
יישום אמצעי הבקרה להבטחת שלמות העיבוד של פעולות הקנייה והמכירה של המניות
יתבצע כדלקמן:
בשלב הקלט צבר המחשב סכום בקרה, השווה לסך כל הערך הנקוב של הפעולות. סכום
הבקרה ירשם בקובץ או ברשומת בקרה. בשלב עידכון הפעולות בקובץ האב של ניירות
הערך המחשב יסכם את סכומי הערך הנקוב של הפעולות, המעדכנות את קובץ האב,
וישווה את הסיכום, שיתקבל, לסכום, הרשום בקובץ (או ברשומת) הבקרה. אי התאמה
בין הסכומים בקובץ הבקרה עשויה להצביע על אובדן פעולות במהלך העיבוד, או
לחילופין -- על תנועות, שעובדו יותר מפעם אחת.
התהליך המתואר לעיל מודגם בתרשים מספר 11-1.
תרשים מספר ו-זו
התאמה ע"י המחשב של סיכומי פריטים (01015ח00 הט 10 חטת)
13
14
אפשרות ב'
כל התהליכים, שנעשו באפשרות א' באופן ידני (למעט רישום הוראות הקנייה והמכירה),
מבוצעים באפשרות ב' באמצעות המחשב. מצב זה מאפשר ליישם אמצעי בקרה
ממוחשבים בעיתוי מוקדם, לפני המסחר בבורסה, וכפועל יוצא - להבטיח כי הפעולות,
שלגביהן יתבצע המסחר בבורסה תהיינה שלמות, מדויקות ובהתאם להנחיות ההנהלה.
שלמות הקלט
(1) בקרת מנות
כל אחד מהסניפים מזרים באופן שוטף באמצעות המסופים שברשותו את הוראות הקנייה
והמכירה של המניות. ההוראות מוזרמות למחשב לפי סדר מסירתן על ידי הלקוחות.
בשיטה זו מסמכי הפעולות אינם מאוגדים בחבילות לפני הזרמת הפעולות למחשב, ולכן
אין זה מעשי ליישם בקרת מנות (0000:015 83168) להבטחת שלמות הקלט.
(2) השוואה ממוחשבת
טכניקת ההשוואה הממוחשבת יעילה בסיטואציות מסוימות במערכות מקוונות בגלל
האפשרות להשוואה לנתונים, הנמצאים בקבצי המחשב. אולם על פי נתוני הארוע אין
הטכניקה ישימה במקרה הנדון.
נשאלת אם כן השאלה מתי טכניקת ההשוואה הממוחשבת יעילה?
טוכניקת ההשוואה הממוחשבת יעילה, כאשר באמצעות ההשוואה ניתן לוודא, כי נקלטו
רק פעולות, שהיו צריכות להיקלט.
לדוגמא: על מנת להבטיח את שלמות הקליטה של פעולות זיכוי משכורת ניתן לבצע
באמצעות המחשב השוואה בין מספר העובד בתנועת המשכורת לבין מספר העובד
בקובץ כח-אדם. בשיטה זו יוכל המחשב לאתר בתהליך הקליטה מספרי עובדים, אשר
עבורם הוזרמה יותר מתנועת משכורת אחת, ומספרי עובדים, אשר עבורם לא נקלטה כלל
תנועת משכורת.
במקרה הנדון בארוע לא ניתן לוודא באמצעות השוואה ממוחשבת את שלמות הקליטה
של הפעולות. השוואת הפעולות לנתונים בקובץ ניירות ערך, למשל, אינה רלוונטית
מהשיבות הבאות:
- לא כל הלקוחות, הכלולים בקובץ, מבצעים פעולות קנייה ומכירה של מניות.
- חלק מהלקוחות, הכלולים בקובץ, מבצעים יותר מאשר פעולה אחת.
- גם לקוחות, שאינם כלולים בקובץ, יכולים לבצע פעולות קנייה ומכירה של מניות
(פעולות מכירה בחסר (5₪014) מותרות בתנאים מסוימים).
(3) רציפות מספרים סידוריים
באופן כללי התהליך יתבצע בצורה הבאה:
- מסמכי הפעולות, אשר פרטיהם מוזרמים באמצעות כל אחד מהמסופים, חייבים להיות
ממוספרים מראש.
-למחשב ידווח על תחומי המספרים של הפעולות, שהוזרמו באמצעות כל אחד
מהמסופים.
- לכל פעולה, שתוקש במסוף יתוסף המספר הסידורי של המסמך.
- בתהליך הקליטה תערך על ידי המחשב בדיקה של המספרים הסידוריים. המחשב יאתר
במהלך התהליך מקרים של מספרים סידוריים כפולים, ובגמר התהליך יאותרו המספרים
הסידוריים, שלא נקלטו.
אפשרות אחרת ליישום הטכניקה הינה באמצעות הקצאת מספרים סידוריים (רציפים) על
ידי המסוף, לכל אחד מהפעולות, שנקלטו באמצעותו.
שיטה זו יכולה להבטיח, כי התנועות, שהוזרמו והועברו דרך קוי התקשורת, נקלטו
במחשב. אין בשיטה להבטיח, שכל הפעולות, שהיו צריכות להיות מועברות דרך המסוף
אכן הועברו.
(4) בדיקת קליטה של כל אחת מהפעולות
בגמר תהליך הקלט מופק דו"ח קליטה, שבו מודפסות כל הפעולות, שנקלטו על ידי
המחשב. פקיד אחראי בודק את הרישומים בדו"חות הקלט, ומשווה אותם למסמכי
המקור. הבדיקה יכולה להעשות מיד עם סיום תהליך הקליטה (היינו, לפני הכנת הריכוז
וה"לידר" לבורסה) או בשלב יותר מאוחר.
יישום הטכניקה מיד עם סיום תהליך הקליטה מותנה בגורמים הבאים:
- קיום מדפסות בכל אחד מהסניפים
- שידור נתוני הקליטה מהמחשב לסניפים והדפסתם במדפסות שבסניפים
- מרווח זמן נאות בין סיום תהליך הקלט למועד הפקת הריכוז וה"לידר", שיאפשר לבדוק
את נתוני הקלט ולבצע תיקונים והתאמות במקרי הצורך.
דיוק הקלע
בדיקות רבות, שהיו חייבות להעשות באפשרות א' באופן ידני, יכולות להעשות
באפשרות ב' באמצעות המערכת הממוחשבת.
השדה הבדיקה
מספר סניף -סיפרת ביקורת
-בדיקת קיום
-בדיקת גבולות
-בדיקת עיצוב
מספר חשבון -סיפרת ביקורת
-בדיקת עיצוב
-בדיקת קיום חשבון ניירות הערך בקובץ האב וקיום
חשבון תמורה כספי
(הקרנת פרטי הלקוח על מנת לאמת את נכונותם)
סוג פעולה -בדיקת קיום - יקלט רק סוג פעולה של קנייה או
סוג פעולה של מכירה.
-בדיקת עקביות: המחשב יבדוק שהאינפורמציה
בפעולה הינה עיקבית, ואם לא הפעולה תידחה.
למשל: נניח, כי לפעולת קנייה נקבע סוג פעולה
מספר 85, ולפעולת מכירה - 23. סוגי הפעולה
מודפסים מראש בטפסים. הטפסים מועברים
להקלדת נתוניהם במסוף לפי סדר הגעתם, ואינם
ממוינים לחבילות נפרדות של קנייה ושל מכירה.
עלול, איפוא, להיווצר מצב, שהוראת קנייה,
המגיעה לאחר סדרה רצופה של הוראת מכירה,
תוקש למערכת בטעות בסוג פעולה שגוי - 23
המיועד להוראת מכירה. על מנת למנוע, שפעולה
שגויה כנ"ל תקלט, ניתן לתכנן קוד בן ספרה אחת
(8 לקנייה ו-2 למכירה), שיודפס בטופס לאחר אחד
השדות (למשל; לאחר "תוקף הפעולה"). ספרה זו
מוקשת אף היא, והמחשב בודק התאמה בין הספרה
הראשונה של סוג הפעולה לבין הקוד. במקרה של
הקשת סוג פעולה שגוי, 23, כמצוין לעיל, לא
תהיה התאמה בין סוג הפעולה (23) לבין הקוד (8)
והפעולה תידחה.
15
6
השדה
הבדיקה
מספר המניה -סיפרת ביקורת
סכום ערך
נקוב
הגבלת שער
תוקף
עמלה
-בדיקת עיצוב
-בדיקת קיום:
-בדיקת עיצוב
א) קיום מספר המניה בקובץ המניות של הבנק
ב) בפעולת מכירה-בדיקת קיום מספר המניה
בחשבון הלקוח
-הקשה כפולה של סכום הערך הנקוב, ובדיקת זהות הסכום ב- 2 הקשות
-סיפרת ביקורת:
-בדיקת קיום
(בהוראת מכירה)
-בדיקת עיצוב
-בדיקת עיצוב
-בדיקת גבולות:
-בדיקת קיום
(בהוראת קנייה)
-בדיקת גבולות:
-בדיקת עיצוב
-בדיקת תחומים
-בדיקת עיצוב
שלמות העיבוד
באפשרות ב' קיימים מספר תהליכי עיבוד ועידכון ממוחשבים. ניתן ליישם ואריאציות
שונות של אמצעי בקרה על מנת להבטיח את שלמותם. לשם המחשה אתיחס ל-2 טוגי
בדיקות אפשריים:
(1) התאמה על ידי המחשב של סיכום פריטים בשלבים שונים של
מחזור העיבוד (11015ח0) חטא 770 חטת)
צורת יישום אמצעי בקרה זה הודגמה בדיון באפשרות א'. ניתן ליישם אמצעי בקרה מסוג
זה בשלבים נוספים של תהליכי העיבוד.
למשל: אם סכום הערך הנקוב הוא 10,000
הסכום שיוקש יהיה 1000051
הספרה מספר
השמאלית הספרות
ביותר.
בדיקת קיום סכום ערך נקוב מספיק של נייר הערך
בחשבון הלקוח
הגבלת שער, החורגת מהתחום של 15% + משער
הבסיס של המניה, תגרום לאי קליטת הפעולה.
הכפלה של כמות הערך הנקוב בשער המניה
על מנת לוודא, כי בחשבון הכספי של הלקוח יש
כיסוי לסכום הקנייה
-לא יקלט תאריך, שחלף.
-לא יקלט תאריך, החורג מהחודש החולף.
-לא יקלט תאריך שגוי כגון: 12.13.83.
(2) בדיקות איזון שתי וערב (6-266%5 8313066 שַחו)6:35 055ז6 זכ) שַת70011 27055))
זהו אמצעי בדיקה, המקובל בתחום החשבונאות, אשר ניתן ליישמו במערכת
הממוחשבת, המתוארת בארוע.
לדוגמא:
בגמר העיבוד יבצע המחשב בדיקה על מנת לוודא כי:
סיכום הערך הנקוב של פעולות
שהוזרמו למערכת ביום מסוים (כזכ) +
סיכום הערך הנקוב של הפעולות
בקובץ הדחויים מיום אתמול (ו-עכ) =
סיכום הערך הנקוב של הפעולות
בקובץ הביצוע (מכ) +
סיכום הערך הנקוב של הפעולות
בקובץ ביטולים (כמכ) +
סיכום הערך הנקוב של הפעולות
בקובץ הדחויים (ככ)
גו מחזור חיים של פיתוח מערכת מידע ממוחשבת (81.6)
21 מבוא
מחזור חיים של פיתוח מערכת מידע ממוחשבת הינו גישה, המחלקת את המסגרת
הכוללת של פיתוח המערכת למספר שלבים שיטתיים ועוקבים. הפעילויות, הכלולות
בכל שלב, מאופינות על ידי קריטריונים ברורים, שנקבעים מראש, והם מאפשרים מדידה
של ביצוען והשלמתן בצורה יעילה.
אחת הגישות המקובלות למעורבות המבקר במחזור החיים של פיתוח מערכת דוגלת
בהכללת נקודות מיבדק (1201015 02₪66%)) סמוך לסיום של מטלות קריטיות בשלבי
הפיתוח. בנקודות אלה המבקר בוחן ומעריך מספר נושאים:
א) האם הפעילויות בוצעו על פי הסטנדרטים המקובלים.
ב) האם הפעילויות השיגו את מטרותיהן.
ג) האם תוכננו או יושמו במערכת אמצעי בקרה נאותים ונתיבי ביקורת, שיאפשרו לבקרה
בצורה נאותה, לכשתופעל באופן שוטף.
2 הדגשי בקרה וביקורת
הדגשי בקרה וביקורת בשלבי מחזור חיים של פיתוח מערכת מידע ממוחשבת כוללים
בין היתר את הנושאים הבאים:
1. נתונים
דיוק ושלמות - שילוב אמצעים כדי לוודא, כי כל נתוני הקלט, העיבוד והפלט הינם
שלמים ומדויקים.
6 אישור - קיום אמצעים כדי לוודא, שהנתונים שיוזרמו למערכת, מאושרים באופן
נאות.
6 איתנות קבצים - איתנות הקבצים מבטיחה, כי נתונים, שיוזרמו למערכת, יעובדו
ויאוחסנו בקבצי המחשב באופן נאות, עד אשר יעשו בהם שינויים במסגרת תהליך
עיבוד מאושר.
= בניה מחדש - שילוב אמצעים, שיבטיחו, כי כל הנתונים יוכלו להיבנות מחדש בעת
הצורך.
107
=88
2. תיפעול
= המשכיות העיבוד - קיום נהלים ובקרות, שמטרתם להבטיח כי ניתן יהיה להמשיך
בעיבוד במקרים של היווצרות בעיות במערכת.
> רמת השירות - הבטחון, כי העיבוד יתאפשר בכל מקרה ובכל עת, שיש בו צורך
ובמסגרת לוח הזמנים, הנדרש.
6 בטיחות - הגנה על המקורות נגד שינויים מיקריים או מכוונים, כולל שימוש לא נאות
במקורות, חבלות וכד'.
= עלות תועלת - הכלכליות של הפיתוח, התיפעול והתחזוקה של המערכת ובדיקה האם
התועלת עולה על העלות.
3. השגת מטרות המערכת
= שביעות רצון -- האם המערכת עונה על דרישות המשתמש.
= התאמה - האם עיבודי המערכת הם בהתאם לנהלי חשבונאות מקובלים, לנהלי
האירגון ולדרישות תחוקתיות.
יישום הטכניקה על ידי המבקר מותנה במספר דרישות:
> קיום סטנדרטים ונהלים לעיבוד נתונים במחלקת עיבוד הנתונים של האירגון, אשר
יספקו למבקר קווים מנחים וכלי השוואה של הביצוע בפועל לסטנדרטים.
> קיום גישה פורמלית באירגון של "מחזור חיים לפיתוח מערכת מידע ממוחשבת", אשר
תגדיר את שלבי הפיתוח והפעילויות בכל אחד מהשלבים.
= זיהוי "נקודות המיבדק" על ידי המבקר, קביעתן מראש ושילובן במחזור החיים של
פיתוח המערכת.
3 שלבים בתהליך הפיתוח של מערכת מידע ממוחשבת
תהליך הפיתוח של מערכות מידע ממוחשבות עבר בשנים האחרונות מהפיכה בעיקבות
הכנסת גישות ניתוח ותיכנון מוגדרות יותר ושיטתיות יותר. עם זאת התהליך אינו
מתמטי, וניתן להבחין בגישות שונות, אשר כל אחת מהן מתאימה לאירגון הספציפי
ולמערכת הממוחשבת שבפיתוח.
מקובל להבחין ב-5 שלבים בסיסיים בתהליך הפיתוח, אשר כל אחד מהם מאופיין על ידי
מספר פעילויות. להלן תאור קצר של שלבים אלה.
(1) הגדרות וניתוח
ניתוח ראשוני - קביעה של הדרישות למידע, קביעה של מקורות הקלט, היקף המערכת
ומקומה באירגון
חקר ישימות - חקר ישימות המערכת המתוכננת מבחינה כלכלית, טכנית ותפעולית
וקביעת כדאיות המערכת החדשה
ניתוח המידע -- בניית הדרישות התיפעוליות והטכניות המפורטות של המערכת החדשה
(2) תיכנון המערכת
- הסבת אלטרנטיבת המיחשוב שנבחרה לתוכנית פעולה
-- תכנון ותאור מפרטים לתיכנות, להסבה ולנהלים
(3) בנייה
תיכנות תוכניות המערכת, תיעוד התוכניות, הכנת נהלי הפעלה והוראות להזרמת
(הקלדת) החומר למחשב
19
(4) ניסוי
- ניסויים בדידים של תוכניות
- ניסוי תת מערכות
- ניסוי מלא של המערכת
ניסוי על ידי המשתמש
(5) הסבה
- בניית הקבצים החדשים/הסבת קבצים
- הדרכה של הנוגעים בדבר
- ריצה במקביל (במקרים בהם הדבר נדרש)
- עריכת שינויי התאמה במקרה הצורך
4 גישות למעורבות המבקר בתהליך הפיתות
תרשים 11-2 מתאר מחזור חיים של פיתוח מערכת מידע ממוחשבת והמשאבים,
המושקעים, בדרך כלל על ידי אנשי עיבוד הנתונים בכל אחד המשלבים.
תרשים 11-2
מחזור חיים של מערכת
מידע ממוחשבת
הגישה, הדוגלת במעורבות המבקר בנקודות מיבדק, מחייבת קביעה מראש היכן ימוקמו
נקודות מיבדק אלה, וכמה מקורות יושקעו על ידי המבקר בכל אחת מנקודות המיבדק.
מקובל, כי נקודות המיבדק ימוקמו סמוך להשלמת כל אחד מהשלבים העיקריים של
תהליך הפיתוח, היינו; סמוך לסיום שלב ההגדרות, התיכנון, הבנייה הניסוי, ההסבה
והיישום. לעיתים מתוכננות נקודות מיבדק גם בסיום פעילויות קריטיות במהלך כל אחד
מהשלבים במטרה לבדוק אם בוצעו בהתאם לסטנדרטים, שנקבעו.
170
ב" + 0ק 6 546""שהוכן על ידי "105410006 6569168 06ז10ה5+3* עבור לישכת המבקרים
הפנימיים בארה"ב, מובאת דוגמא של שלבים ופעילויות בפיתוח מערכת ממוחשבת
במוסד מסוים בו ביקרו עורכי המחקר. הדוגמא כוללת גם את נקודות המיבדק ששולבו
במסגרת פעילויות הפיתוח.
שלבי הפיתוח ונקודות המיבדק מתוך הדוגמא ב ")₪601 54" מובאים להלן בצורת
תרשים זרימה. ** (נקודות המיבדק רשומות באותיות לועזיות; 6.8.8 וכד').
תרשים 11-3 (1) הגדרות וניתוח
שלבים ופעילויות בפיתות
מערכת מידע ממוחשבת
אירגון שלב
ההגדרות
סיכום עלויות של
המערכת הקיימת
קביעת דרישות
מידע חדשות
הכנת תיכנון
מערכת קונספצואלי
ניתוח עלות/תועלת
של המשתמשי
ניתוח עלות
תועלת של ענ"א
ץג )1 0ט, 575061 .5111016ה1 ת0ז116568 6זס)ת518*
[8ה6זת1 )0 5111016ת1 6תד ,:.1-] ,שתוזק5 16 תסרת 4118 .3011065 ז01גו4 :צ500 [0ז0ח0) חהּ
71 ,011078
התרשימים ערוכים על פי חומר לימודי של ח16 112861416 .זכן**
ולר
2. תיכנון המערכת
אירגון השלב
תיכנון דו"חות פלט
תיכנון
דרישות קבצים
תיכנון
דרישות קלטי
תיכנון
עיבודי המחשב
קביעת דרישות
התקנה
קביעת דרישות
לציוד
ניתוח עלות/תועלת
של המשתמשי
ניתוח עלות/תועלת
של ענ"א
112
3. תיכנון מפורט ותיכנות
אירגון השלב
תיכנון מפורט של
מסמכי מקור
תיעוד קבצי נתונים
הכנת מיפרטים
לתיכנות
הכנת תרשימי זרימה:
קידוד ניסוי, ניפוי פיתוח נהלי בקרה
ותיעוד של תוכניות
תיכנון ניסוי מערכת
תיכנון הסבה
פיתוח נהלים
אדמניסטרטיביים
4. ניסוי מערכת
אירגון השלב
בחינת התאמת הדרכת המשתמשים
יצירת נתוני וי
המערכת לסטנדרטים 7 וצוות ענ"א
בניית קבצים
הערכת
תוצאות הניסוי
אישור
תוצאות הניסוי
3
4
5. הסבה ויישום
אירגון השלב
השגחה ופיקוח על
ביצועי המערכת
קבלה סופית
של המערכת
ניתוח התרשימים מורה, כי 15 נקודות מיבדק תוכננו ושולבו במהלך שלבי הפיתוח
ובסיום כל שלב.
אחת הטענות המושמעות נגד מעורבות בנקודות מיבדק היא, שמעורבות בסיום
כל שלב עלולה שלא להספיק. בין נקודות המיבדק עשויות להתקבל החלטות
חשובות, אשר משפיעות על תהליך הפיתוח, ומגיעות לידיעת המבקר בדיעבד.
מאידך, יישום נקודות מיבדק רבות הן בסיום כל שלב והן במסגרת הפעילויות,
המבוצעות בשלבים השונים, כרוכה בביזבוז משאבי ביקורת רבים (זמן, כח
אדם...). כמו כן קיימת סכנה, שהמבקר יסטה מהמטלות הפורמליות, שלשמן הוא
מעורב בתהליך, יגרר לפעילויות, שאינן בתחום אחריותו, ועל ידי כך יפגע בעיקרון
אי התלות של המבקר.
גישה מקובלת אחרת דוגלת במעורבות גמישה של המבקר בשלבי פיתוח המערכת.
על פי גישה זו המבקר מקבל באופן שוטף העתקים מהתכתבויות, מפרטיכלים
ומתוכניות רלוונטיות, כאשר אלה מתהווים. במקביל המבקר נוכח לפי ראות עיניו
בישיבות של קבוצת הפיתוח, ומבצע את הבדיקות והניסויים בעיתוי, הנראה לו,
וזאת על פי כושר שיפוטו המקצועי. באמצעות מעורבות גמישה המבקר מסוגל
להשפיע על החלטות, לדאוג ליישום בקרות בעיתוי הנכון ובמקומות הנכונים,
ולמנוע שינויים יקרים בשלבים יותר מאוחרים.
הבחירה בין הגישות אינה חד משמעית ותלויה במספר גורמים. ביניהם: מקומם של
המחשב ושל המערכת הממוחשבת באירגון (האם הם ממלאים תפקיד מרכזי או שולי
באירגון), הידע המקצועי וההכשרה של המבקר ומידת יכולת ההשתלבות שלו בפיתוח
המערכת הממוחשבת.
החשש של מבקרים רבים הוא, שעל ידי השתלבותם בפיתוח המערכת, הם עלולים לאבד
את אי תלותם, ויתקבל הרושם, כאילו הם שותפים לביצוע ואחראים לו. התשובה לכך
היא, כי אי התלות נפגעת, כאשר המבקר שותף באופן פעיל בתהליך הפיתוח, אולם היא
נשמרת, כאשר המבקר מעורב בתהליך כיועץ או כמציב דרישות לגבי סוג הבקרות, שיש
לשלב במערכת והיכן אלה תהיינה יעילות. המבקר יוכל גם לתרום מניסיונו מתוך שגיאות
וליקויים, שגילה בעבר, או מנסיונו במערכות אחרות.
מידת המעורבות של המבקר בכל אחת מנקודות המיבדק היא שונה. קיימות נקודות בהן
מעורבות המבקר גבוהה ומאידך, נקודות בהן מעורבותו מינימלית.
מיקום נקודות המיבדק המקובלות והמשאבים, המושקעים על ידי המבקר, מובאים
בתרשים מס 11-4.
על פי התרשים נראה, כי במרבית השלבים, שבהם המשאבים, המושקעים על ידי אנשי
ענ"א אינם גבוהים, או שנמצאים בירידה, המשאבים המושקעים על ידי המבקר גבוהים
או נמצאים בעליה, ולהיפך.
תרשים 11-4
מעורבות המבקר בפיתוח
מערכת מידע ממוחשבת
-------- משאבים (מקורות)המושקעים על ידי אנשי ענ"א
--------- משאבים (מקורות) המושקעים על ידי המבקר
נקודת
מבדק
75
76
בשלבים הראשונים של תהליך הפיתוח מידת המעורבות של המבקר צריכה להיות גבוהה.
המבקר צריך לוודא, כי מטרות המערכת ודרישותיה הוגדרו באופן נאות, וכי נעשתה
הערכה ריאלית של המשאבים הדרושים.
בשלבי התיכנון המבקר צריך לשים לב, כי זוהו והוגדרו קטגוריות של אמצעי בקרה, וכי
מתוכנן ליישם בקרות ונתיבי ביקורת במקומות הדרושים. לדוגמא: מנתח המערכות יכול
להעריך, כי קיימת בקרה על אישור נתונים בחלק הידני של המערכת, ולפיכך אינו מוצא
לנכון לתכנן בקרה אוטומטית במערכת הממוחשבת. אם יתברר, כי בקרה ידנית על אישור
נתונים אינה קיימת, עלול להיווצר מצב בו לא תהיינה כלל בקרות לגבי אישור נתונים.
בהקשר לכך מן הראוי לציין, כי קשה מאוד ליישם בקרות ולבצע שינויים, לאחר
שהמערכת נבנתה והופעלה, מה גם שעלותם של שינויים כאלה בשלבים מאוחרים גבוהה
מאד. מאידך, נסיון לבנות מערכות ממוחשבות ללא בקרות גורם בסופו של דבר לחשיפה
של המערכות ולעלויות גבוהות עוד יותר (כל ליקוי במערכת עלול לגרום לביצוע של
אלפי פעולות שגויות, ויהיו דרושים זמן רב ומשאבים לתיקונם).
בשלבי התיכנון המפורט יורדת המעורבות של המבקר, ומגיעה למינימום (לא ל-0-) בשלב
התיכנות. שלב זה הינו טכני במהותו, והביקורת בו מתמקדת בנושאים חיצוניים. דהיינו,
הקפדה על תקנים מקצועיים, על יצירת התיעוד ועל עמידה בלוח זמנים.
מעורבות הביקורת גוברת בשלב הניסוי, ובמיוחד בניסוי הכולל של המערכת. בשלב זה
מעונינים בדרך כלל אנשי הפרויקט להעביר מהר ככל האפשר את המערכת להפעלה
שוטפת, אם עקב לחץ ההנהלה והמשתמשים לקבל את המערכת, ואם בשל הרצון
הטיבעי לסיים את הפרויקט. הסכנה שבמצב היא, שלא בודקים בצורה רצינית ומלאה :
- האם המערכת הפועלת היא, זו שתוכננה.
- האם היא מספקת את דרישות המשתמש.
- האם יושמו במערכת אמצעי הבקרה ונתיבי הביקורת, שתוכננו.
- האם אמצעי הבקרה פועלים כהלכה.
המבקר צריך לוודא, כי המערכת נוסתה בהיקף מלא, כולל מימשקים בין תוכניות ותת
מערכות, וכי תוצאות הניסוי מורות, כי המערכת, המועברת לתיפעול שוטף אמינה
ותואמת את הדרישות והתיכנון.
המבקר לא חייב לבצע את הניסויים בעצמו. הוא יכול לסקור את הניסויים שנערכו על ידי
צוות הפרויקט והמשתמש ולבחנם. אם המבקר אינו יכול להגיע לחוות דעת על נאותות
הניסויים מחוסר תיעוד נאות, או שהוא מגיע למסקנה, שלא נערכו ניסויים בהיקף מלא,
עליו להמליץ על עריכת ניסויים נוספים, ובמקרה הצורך גם לבצע ניסויים בעצמו.
3 ביקורת לאחר היישום (]01ט4. ח10)ג51311ח0511)
21 קסקירה כללית
העובדה, שבקרות ניבנות במערכת היישום במהלך הפיתוח של המערכת, אינה מבטיחה,
שהן תתפקדנה כהלכה, כאשר המערכת פועלת באופן שוטף. לכן מקובל לסקור, לבחון
ולהעריך מערכות יישום חדשות זמן קצר לאחר שהועברו לתיפעול שוטף וזאת במטרה
לקבוע:
- האם המערכות מתפקדות כהלכה בסביבת הייצור.
- האם הן פועלות בהתאם לתיכנון.
- האם הבקרות, שיושמו, הינן נאותות ופועלות כראוי.
טכניקת הביקורת לאחר היישום ()4₪61 ח5)81!800ה205)1) מייצגת את הנהלים
הפורמליים הסטנדרטיים, שנקבעו על ידי הנהלת הביקורת, לביצוע בחינה של מערכות
יישום ממוחשבות זמן קצר, לאחר שהופעלו באופן שוטף. גישה פורמלית זו מספקת
שיטה ונהלים סיסטמתיים לבחינת המערכת ויעילות הבקרות בסביבה התיפעולית.
הביקורת אינה נעשית מיד עם העברת המערכת לייצור שוטף, כי אם מספר חודשים לאחר
מכן. בנקודה זו נפתרו בדרך כלל "בעיות הילדות" ואנשי התיפעול והמשתמשים כבר
מתורגלים בשימוש במערכת. לכן זה העיתוי המתאים לבדוק האם המערכת משיגה את
התוצאות, שלשמה היא פותחה. כמו כן יש לוודא התאמה לשיטות ולנהלים, שנקבעו על
ידי הנהלת האירגון, ולבחון את יעילות התיפקוד של הבקרות הפועלות במערכת.
בתהליך הביקורת שלאחר היישום המבקר חייב להעזר בנהלים פורמליים ובתוכנית
ביקורת שפותחה על ידי מחלקת הביקורת (או על ידי רואה החשבון החיצוני). נהלים
אלה:
- מסייעים למבקר בתכנון ובקביעה של גבולות הביקורת.
- מספקים אמות מידה וקריטריונים להערכה.
- מספקים קובץ עקיף של סטנדרטים כיצד צריכה להתנהג מערכת היישום.
- מאפשרים עריכת ביקורת שיטתית ועיקבית.
תוכנית הביקורת מייצגת את מטרות הביקורת ואת הנושאים, שיבדקו, ומנחה את המבקר
בביצוע הביקורת. מקובל בדרך כלל להשתמש בשאלוני ביקורת או ברשימות תיוג.
ההיקף של הביקורת יכול להיות רחב או מוגבל. היקף זה תלוי בסוג המערכת ובמטרות
הביקורת. במסגרתה ניתן לבדוק היבטים ממוחשבים וגם את המימשקים הידניים,
החובקים את המערכת הממוחשבת. היא יכולה להתחיל בפעילויות של הכנת מקורות
הקלט, ולהסתיים בבחינת השימוש בדו"חות הפלט או בחלק מהתהליכים בלבד.
ביקורת כוללת ורחבה תכלול בדרך כלל בחינה של:
- בקרות קלט
- בקרות עיבוד
- בקרות פלט
- טיפול בשגויים
- בקרות לגבי שינויים במערכת
- קיום נתיבי ביקורת
- נהלי גיבוי והתאוששות
- נהלי תיעוד
2 מי יבצע את הביקורת לאחר היישוםז
מבקר, אשר מעורב בתהליך הפיתוח, עומד לעיתים בפני דילמא, כאשר הוא מגלה,
שהבקרות המתוכננות אינן נאותות, וצוות הפרויקט אינו יודע כיצד לשפר את הבקרות.
אם המבקר יתכנן את הבקרות, הוא יאבד את עצמאותו, ובפועל לא יוכל להעריך את
הבקרות, שהוא הציע. מאידך, אם המבקר לא ימליץ, או לא יציע אמצעי בקרה מתאימים,
קיימת סכנה, כי המערכת תופעל ללא בקרות.
באופן תאורטי (וכך נמצא גם בספרות) אסור למבקר להיות שותף פעיל בתהליך הפיתוח
ולתכנן בקרות. אולם במציאות היומיומית עלול המבקר להיקלע למצב של חוסר ברירה
ולסייע לצוות הפרויקט בתיכנון הבקרות וביישומן. במצב כזה נפגם עיקרון אי התלות של
המבקר, והוא לא יוכל להעריך את הבקרות ולבצע את הביקורת שלאחר היישום.
נקודה נוספת הראויה לציון מתיחסת לחשש, כי מבקר, שהיה מעורב בתהליך הפיתוח,
עלול להתמקד בנושאים ספציפיים, שהטרידו אותו בתהליך הפיתוח ולסטות מהקווים
המנחים ומתוכנית הביקורת הפורמלית שלאחר היישום.
177
8
לפיכך מקובל, כי הביקורת שלאחר היישום תתבצע על ידי צוות מבקרים, אשר לא היה
מעורב בשלבי מחזור החיים של פיתוח המערכת הממוחשבת שבבדיקה.
3 שלבי יישום
השלבים בביצוע הביקורת שלאחר היישום:
(1) קביעת מטרות הביקורת והיקפה
(2) לימוד המערכת הממוחשבת: בשלב זה המבקר יסתייע בסקירת תדריכי המשתמש,
בתדריכי יחידת המחשב ובלימוד הסטנדרטים והנהלים, שנקבעו על ידי האירגון, ואשר
שייכים למערכת היישום שבבדיקה
(3) פיתוח נהלי ביקורת ותוכנית ביקורת פורמלית ומפורטת
(4) איסוף המידע הדרוש על ביצועי המערכת ואמצעי הבקרה, המיושמים בה- בשלב זה,
יסתייע המבקר בראיונות עם גורמים רלוונטים ובטכניקות שונות כגון: שליפת נתונים
מקבצי המחשב, ניסוי בקרות, ניתוח תוכניות יישום, אימות נתונים וכדי.
(5) ניתוח המידע שנאסף- ניתוח המידע יאפשר למבקר לבסס את חוות דעתו או ייצור
צורך לאיסוף נתונים נוספים, שיסייעו לחוות הדעת.
(6) הכנת דו"ח ביקורת והמלצות
2. כלים וטכניקות לביקורת
במערכות מסדי נתונים
1 קשיים ביישום כלים וטכניקות מקובלים
ככל שמבני הקבצים נעשים יותר מורכבים, קשה יותר למבקר לגשת לקבצי הנתונים עם
אמצעי תוכנה קונבנציונליים. המבקר עלול להיתקל בבעיות מסוג זה, כאשר בכוונתו
לערוך ביקורת במערכות, המבוססות על מסדי נתונים.
עקרונית המבקר משתמש באותם השלבים, אם הביקורת היא של מערכת ידנית, של
מערכת ממוחשבת, המבוססת על קבצים רגילים או של מערכת, המבוססת על מסדי
נתונים. ההבדל הוא, שבמערכות של מסדי נתונים משתנות השיטות והטכניקות, שבהן
משתמש המבקר בשלבי הביקורת השונים.
תנאים מוקדמים לעריכת ביקורת בסביבה של מסדי נתונים מחייבים את המבקר להבין
נושאים רבים:
- סביבת מסדי הנתונים ומרכיביה
- הפונקציות, הפועלות בה
- משמעות עצמאות הנתונים במסד הנתונים
- בעיות בקרה וביקורת
- פעילויות בסביבת מסד הנתונים
- בעיות הקשורות לגישה למסד הנתונים
- יחסי גומלין בין בעיות בקרה ופעילויות מסד הנתונים
ועוד.
אלמנטים אלה כוללים בין היתר:
- בעיות חשיפה, הכרוכות בהכללת נתוני יישום, יחד עם נתונים אחרים במסד הנתונים
- אפשרויות של שיחזור הנתונים
- אלו סוגי ראיות ביקורת זמינות למבקר ומהו מקורן
- אמצעי הגישור (מימשקים) בין מסד הנתונים והפונקציות היישומיות
- סוגים של בקרות אפשריות נוספות ויעילותן היחסית
מכיוון שהנושא בו עוסק הספר הוא טכניקות ביקורת, אין זה המקום להרחיב בתאורים
והסברים על גישת מסד הנתונים והשלכותיה על בעיות בקרה וביקורת. מאידך קשה
להרחיב את הכתיבה על כלים וטכניקות ביקורת, מבלי להבין היטב את המערכת, את
מרכיביה ואת בעיותיה. לפיכך אצטמצם בציון האלמנטים בהם צריך המבקר להתחשב
בעת תיכנון ניסויי ביקורת בסביבת מסדי נהתונים ועריכתם, ואיזכור מספר כלים
וטכניקות, אשר זמינים למבקר לצורך עריכת ניסויי הביקורת.
179
120
2 התיחסויות בתיכנון ניסויי ביקורת
(1) המבקר חייב להיות בעל כישורים נאותים על מנת לזהות את בעיות הבקרה בסביבת
מסדי הנתונים. כמו כן עליו לזהות את סוגי הראיות הנחוצות לצורך הערכת הבקרות, ואת
מקורותיהן.
(2) המבקר חייב להיות מודע לכלים ולטכניקות הביקורת, אשר ניתן להשתמש בהם
בסביבת מסד הנתונים.
(3) המבקר חייב להיות בעל יכולת טכנית על מנת לאסוף את ראיות הביקורת, הנחוצות,
ממסד הנתונים.
(4) למבקר חייבים להיות הכישורים הטכניים המתאימים על מנת להעריך את תוצאות
הניסויים.
3 גישות לפיתוח וליישום של כלים וטכניקות לביקורת
עקרונית ניתן להשתמש בכלים ובטכניקות, המסופקים על ידי המערכת, אשר מנהלת את
מסד הנתונים. דוגמא של אמצעי מסוג זה נכללה בשאלון המחקר בשם 8856 2303
65 עז00() וח5516 ]ת6וח6קההג]א. אלו הם אמצעי תוכנה, המאפשרים גישה למסד
הנתונים, ואשר באמצעותם ניתן לבצע פעולות של שליפת נתונים ממסד הנתונים.
במקרים מסוימים המבקר יכול להשתמש באמצעים כאלה לביצוע פעולות, אשר נעשות
באמצעות חבילות תוכנה לביקורת במערכת ממוחשבת, המבוססת על קבצים
קונבנציונליים.
אפשרות אחרת היא לבצע שינויים ספציפיים למטרות ביקורת, אשר יכולים להיות
מושגים על ידי שימוש ב-3 גישות שונות:
(1) שינויים בתוכנה לביקורת
ספקי תוכנה החלו לאחרונה לייצר חבילות תוכנה לביקורת, או לערוך שינויים בחבילות
תוכנה רגילות קיימות, באופן שתתאפשר באמצעותן גישה למערכות של מסדי נתונים.
היתרונות בגישה זו: מודעות המבקר לשימוש בחבילות תוכנה לביקורת והקלות היחסית
של הפעלתן. מאידך, ביצוע השינויים כרוך בעלויות נוספות, ומחייב לעיתים קרובות
לבצע שינויים תכופים על מנת להתאים את התוכנה למערכת מסדי הנתונים הספציפית.
(2) פיתוח של תוכניות מימשק (866/ז16ח1) מיוחדות
תוכניות אלה תאפשרנה למבקר גישה למסד הנתונים, בעוד שמנקודת מבטו של המבקר
יראה הדבר, כאילו הוא ניגש למערכת קבצים רגילה.
(3) הכללה של פונקציות ביקורת ספציפיות
יש לבצע את ההכללה באופן שהפונקציות תהיינה חלק בלתי נפרד ממערכת מסד
הנתונים.
4 דוגמאות של כלים וטכניקות לביקורת
להלן מספר דוגמאות של כלים וטכניקות לביקורת:
(1) 901110165 זסט() וח5/516 ]תסו 6קההה]) 856 ג)ה
(2) חבילות תוכנה לביקורת
(3) 6ז50]08 עזו[ו)ז 5זאמכ
אלו הן תוכניות שרות, המסופקות בדרך כלל על ידי היצרן. תוכניות אלה מספקות
רוטוינות סטנדרטיות של עיבוד נתונים כגון: מיון נתונים, הדפסת נתונים וכד'.
(4) (122/5) וח5+516 צז6600זוכ1/ צְזהח0ו)ו6וכ] הוגש
מילון הנתונים (%ז12:61003) עוסק בתאור ההיבטים הלוגיים של מסד הנתונים. הוא מתאר
"מה" יש במסד הנתונים (שמות הנתונים,תאור הנתונים, שמות נרדפים).
מדריך הכתובות (צֶַז6000זו2) מתאר "היכן וכיצד לגשת" לנתונים. הוא עוסק בעיקר
בהיבטים הפיסיים של הנתונים (מקום, כתובת וכד')
מערכת ה- 05/ככ יכולה לסייע למבקר בנושאים שונים כגון:
- למידת המידע, אשר ניתן להשיג ממערכת מסד הנתונים
- למידה אלו תוכניות משתמשות באלו נתונים
* סיפוק נתיב ביקורת לגבי שינויים, שנעשו בסביבת מסד הנתונים (בקבצים
ובתוכניות)
- סיפוק כלי עזר בסקירת העיצוב של מסד הנתונים
* סיפוק כלי עזר ביצירת נתוני בדיקה (8356 2313 ]165) לאימות יעילות התיפעול של
הבקרות במערכת
(5) יומנים * 1.05
רוב המערכות, אשר מנהלות את מסדי הנתונים, מיצרות יומנים לגבי פעילותן. באמצעות
בחינה של חלקים רלוונטיים ביומנים כאלה המבקר יכול להשיג מידע על פעילויות
יוצאות דופן ועל פעילויות אותן הוא מעוניין לבחון.
דוגמאות של סוגי יומנים:
%)) ח3)0ז200) [הווחז16 ז135)0א
יומנים אלה כוללים אינפורמציה לגבי פעילויות של שיחזור נתונים, אירגון מחדש, טעינה
וכדי, אשר מבוצעות במערכת מסד הנתונים.
58 ז41)60/ 8 23261070 1.00 צז11660%6
זוהי פונקציה אינטגרלית של המערכת, המנהלת את מסד הנתונים, אשר מופעלת באופן
עצמאי. היא מייצגת היסטוריה אקטואלית של השפעת תנועות על מסד הנתונים, על ידי
רישום תוכן רשומות לפני עידכונן ולאחריהן.
(6) (12810206) ז101!6/ח6?0 )וק1טכ) וטקת] 23856 גוג
זהו אמצעי תוכנה, המשולב בין המערכת המנהלת את מסד הנתונים (15א8ק) לבין
תוכנית היישום. באמצעותו ניתן להעביר נתונים סלקטיביים (בהתאם לדרישות המבקר)
לקובץ, המיועד לביקורת.
הכלים והטכניקות, שאוזכרו לעיל, מהווים דוגמאות בלבד. קיימים כלים וטכניקות
נוספים, שחלקם פורט בפרקים השונים של הספר, ואשר ניתן ליישמם במערכות,
המבוססות על מסדי נתונים כגון:2ַח1קק13א 6זט)6טז51 8 .2 המאפשרת קבלת תרשים
תמונתי/גרפי של אירגון מסד הנתונים ומבנהו, 6תו]8 179366 15א3 ועוד.
ופַר
ליוישי,
112
3. כלים וטכניקות לביקורת במערכות
מינימחשבים
1 סקירה כללית
מרבית הכלים והטכניקות הממוחשבים, שפורטו בפרקים הקודמים, אשר יכולים להיות
מיושמים במערכות ממוחשבות בינוניות וגדולות, לא ניתנים להפעלה במערכות מיני
מחשבים. אי לכך כאשר המבקר עורך ביקורת במערכות מידע, המבוססות על מיני
מחשבים, עליו לחפש כלים וטכניקות, שיסיעו בידו לבצע מטלות של ביקורת, ולזהותם.
כללית ניתן לאמר, כי הכלים והטכניקות במערכות מיני מחשבים הינם בדרך כלל פשוטים
יותר מאשר אלו, הקיימים במערכות הבינוניות והגדולות. מצב זה מאפשר למבקר
להכשיר עצמו ביתר קלות על מנת להשתמש בצורה יעילה בכלים ובטכניקות שמעמידה
המערכת לרשותו.
וויליאם פרי, בספרו *זס)טקוחס-) 80510055 50811 76 2ח:וו40** , מציין 4 סוגים של
כלים לביקורת. כלים אלה יכול המבקר למצוא במערכות מיני מחשבים:
₪ תוכניות שרות של מערכת ההפעלה
9 שפות תיכנות
₪ אמצעי יישום ממוחשבים
9 תוכניות שרות במערכות המבוססות על מסדי נתונים
1 תוכניות שרות של מערכת ההפעלה
מערכת ההפעלה בסביבה של מיני מחשב כוללת בתוכה בדרך כלל קבוצה של תוכניות
שרות. ספקי המחשבים מספקים את תוכניות השרות ככלי עזר לתפעול ייעיל של
המערכת. בתור שכאלה, הם ניתנים לשימוש על ידי המבקר לביצוע מטלות ביקורת.
*, ץזז6 .₪ והגז]!ג/\
אמדנזתןא 60 555 א61!זם .141.1א5 פד דאזדוסטוה
4 ,56166 6201606 ]01/ ,ח63)10תט0 5ז0וו404 קספ
הפונקציות הבסיסיות, שאותן מבצעות התוכניות הן:
- שליפת נתונים מקבצי דיסק, הדפסת נתונים מרשומות בקובץ במבנה הנדרש על ידי
המבקר, ביצוע סיכומים וכדי
זמיון מחדש של רשומות נתונים בקובץ
*"השוואת תוכן של 2 קבצים, ודיווח על רשומות לא זהות ו/או מיזוג 2 קבצים לקובץ אחד
"שפיכה (פוזטסע) של זיכרון המחשב ונתונים בקובץ במבנה הקיים בזיכרון המחשב
ובקובץ
המבקר צריך לקבל רשימה של תוכניות השרות כולל התיעוד, אשר מפרט ומסביר את
אפשרויות הביצוע שלהן. בהסתמך על התיעוד המבקר בוחר באותן פונקציות, אשר להן
הוא זקוק, לומד כיצד לתפעלן ומיישמן לביצוע ניסויי ביקורת ולקבלת המידע הנדרש.
תוכניות השרות מבוססות בדרך כלל על פרמטרים, המכוונים את המבקר ביישום התוכנה.
2 שפות תיכנות
קיימות מספר שפות תיכנות:
ז0)הז0ח6) וחהזק0ז] ]זסק66 - ₪702 הינה שפה מקובלת במערכת מיני מחשבים, והיא
כוללת אפשרויות ביצוע של חבילות תוכנה לביקורת, למעט פונקציות של דגימות
סטטיסטיות. השימוש ב- 876 מקובל, כאשר המבקר שואף ליישם פונקציות שליפה
מורכבות. אם המבקר צריך לבצע פעולות בסיסיות יותר, אין לו צורך להשתמש ב- 26,
והוא יכול להסתפק בשימוש בתוכניות שרות.
שפות תוכנות נוספות, אשר נעשות פופלריות במערכות מיני מחשבים, (ובפרט במערכות
מיקרו מחשבים) הן 88546 ו-235631. אלו הן שפות קלות לשימוש, ובאמצעותן המבקר
יכול לנתח קבצי נתונים ממוחשבים.
3 אמצעי יישום
סוגי הניתוחים, אשר להם זקוק לעיתים המבקר יכולים להתקבל על ידי שימוש במערכות
היישום של המחשב. מערכות יישום רבות מספקות את האמצעים הדרושים לקבלת
דוח"ות מיוחדים על ידי הפעלת פרמטרים, הנקבעים מראש. אמצעים אלה יכולים להיות
תחליף לפיתוח ולכתיבה של תוכניות מיוחדות למטרות ביקורת. פונקציות בסיסיות,
אשר מספקים אמצעי תוכנה של מערכת יישום הן:
"פונקציות, הקיימות במחוללי יישומים (שליפה סלקטיבית של נתונים, הדפסה, מיון,
סיכום וכדי)
*דיווח על חריגים ושגיאות
"סיכומי בקרה בקבצים
*דוח"ות על בקרות יישום
"ניתוח קבצי יישום
4 תוכניות שרות במערכות המבוססות על מסדי נתונים
במערכות של מיני מחשבים נעשה לעיתים שימוש במסדי נתונים במקום בקבצים
רגילים. במקרים כאלה לא ניתן בדרך כלל להשתמש בכלים ובטכניקות שאוזכרו לעיל.
יש צורך ליישם תוכניות שרות מיוחדות, אשר באפשרותן לגשת למסדי נתונים לשלוף
מהן מידע ולנתחו. תוכניות כאלה נקראות בשם פ6ִאְג₪קח1.3 עֶזט?) והן מהוות בדרך כלל
חלק מהמערכת המנהלת את מסד הנתונים (15א28).יש להן את אותן אפשרויות הביצוע
הבסיסיות כמו לחבילות תוכנה לביקורת, למעט פונקציות של דגימות סטטיסטיות.
13
נספחים
4. נספתים
1 שאלון לביקורת מערכות מידע ממוחשבות
3 ניהול כן
1 האם קיים תרשים אירגוני ?
12 האס התרשים האירגוני משקף באופן נאות את
מבנה הדיווח השוטף ?
13 האם מנהל יחידת המחשב מדווח ישירות
לממונה בכיר בהנהלה 1
14 האם התרשים האירגוני משקף באופן נאות
חלוקת תפקידים 1
5 האם נקבעו כישורים אישיים של אנשים,
המחזיקים בעמדות מפתח 1
146 האם הכישורים של האנשים, המחזיקים
בעמדות מפתח, אכן תואמים את הכישורים,
שנקבעו !
7 האם קיימת תוכנית השתלמות לאנשי ענ"א,
אשר כוללת נושאים טכניים ונושאים
ניהוליים 1
18 האם קיימים אנשים בתוך האירגון, שלהם
הנסיון וההכשרה, הנחוצים להצלחת הניהול 1
19 האם ענייני ענ"א חשובים נלקחים בחשבון,
כאשר ההנהלה הבכירה קובעת את המדיניות
הכוללת 1
*מבוסס על:
.06-300%ח113 חסו)גהווהגאש קכם
ה0גוט10511 |6(4תבתות [600678/
0 ,62000061 ח10)גחווהבא
15
16
12
13
4
15
האם ההנהלה הבכירה או ועדת היגוי בוחנת כן לא
ומאשרת:
-שיטות ענ"א
--נהלי בטיחות ואמצעי בקרה
-מחקרי פיתוח
-תקציב ענ"א
-הקצאת מקורות לפרויקטים
-סדרי עדיפויות
-שינויים אירוגניים משמעותיים
--שינויים משמעותיים בציוד
--תוכניות לטווח ארוך
-מצב של פרויקטים והשגת המטרות שנקבעו
האם ההוצאות על ענ"א הן במסגרת
התקציב, או שיש חריגות 1
האם מחלקת הביקורת מיעצת בעניני
בקרות פנימיות ובעניני ביקורת ?
האם המשתמשים (59ז156)) נוטלים
חלק בהחלטות על השימוש במקורות
ענ"א ?
האם החלטות המדיניות של ההנהלה
או של ועדות ההיגוי מתועדות
בפרטיכלים ?
האס ההנהלה פיתחה מדיניות כתובה
לגבי כח אדם ?
האם המדיניות כוללת תאור תפקידים
ותחומי אחריות ביחידת ענ"א ?
האם התפקידים, המבוצעים על ידי
אנשי ענ"א תואמים את אלה, שנקבעו
ב"תאור התפקיד" ?
האם מועסקים חדשים נבדקו היטב,
לפני שניתנה להם גישה לאזורי
בטיחות, לנתונים שמורים או לנתונים
פיננסיים ?
האם כל המשרות המורשות תפוסות 1
האם הכמות והאיכות של הצוות
נאותות ?
האם אנשי ענ"א מנועים מתפקידים,
מסמכויות, מאחריות או מזכויות
חתימה במחלקות אחרות ז
האם המנהלים מכירים את הכפופים
להם בצורה נאותה, כדי לדעת על
עובדים לא מרוצים, שעשויים לאיים
על המערכת 1
האם קיימת מדיניות של רוטציה
לגבי עבודות קריטיות 1
אם אכן קיימת מדיניות של רוטציה,
האם היא מיושמת 1
האם מיושמת מדיניות של יציאת
עובדים לחופשה מינימלית רצופה
במשך השנה ז
16
[277
8
129
[20
1731
2
13
4
15
6
7
האם מיושמת מדיניות לגבי העסקת כן לא
קרובי משפחה של עובדים בעמדות
רגישות 1
האם ההנהלה פיתחה תוכניות לטוות
קצר ולטווח ארוך 1
האם תוכניות אלה תועדו בפרטיכלים
כתובים 1
האם תוכניות לטווח ארוך מעודכנות
באופן תקופתי, על מנת לשקף באופן
שוטף את פילוסופית ההנהלה 1
האם ההנהלה נוקטת צעדים חיוביים
לתיקון חריגים, שדווח עליהם בדו"חות
קודמים 1
האם ההנהלה מתיחסת באופן נאות
לתיקון ליקויים בדו"חות ביקורת ?
האם ההנהלה משתמשת בטכניקה
ניהולית (כגון: ניתוח סיכונים) על מנת
לקבוע את סוגי הביטוח וסכומיהם 1
האם ההנהלה של יחידת המחשב
בוחנת את כיסוי הביטוח של ענ"א
לפחות פעם בשנה ?
האם פותחה תוכנית בטיחות 1
אם אכן פותחה תוכנית בטיחות, האם
היא נבחנת ומאושרת לפחות פעם
בשנה על ידי הנהלת יחידת המחשב
ועל ידי מועצת המנהלים ?
האם קיימת פונקציה של "קצין
בטיחות" בעלת אחריות כוללת לגבי
נושא הבטיחות 1
האם ההנהלה הבכירה משתמשת
במערכת דיווח ניהולית יעילה, כדי
להשגיח על פונקצית ענ"א 1
סטנדרטים ונהלים
האם פותחו סטנדרטים כתובים ל:
תיכנון/פיתוח מערכות
בחירת תוכנה
תיכנות
ניסוי
יישום
'אישור תוכניות וקיטלוג
שינויים בתוכניות
פעילויות, המבוצעות על ידי
מתכנתי מערכות הפעלה
האם הנהלים מתוחזקים באופן
שוטף 1
האם הסטנדרטים של תיכנון
מערכת יישום דורשים:
שלב של חקר ישימות
ניתוח עלות תועלת
107
|08
ביצוע של מטלות פיתוח ספציפיות כן לא
בסדר ספציפי
סקירה תקופתית של המערכת
במשך מחזור הפיתוח ואישורה
אישור בכתב של המשתמש לגבי
התיכנון לפני הקידוד
ניסויי קבלה של מערכות על ידי
המשתמשים ומפעילי המחשב
אישור קבלה כתוב של המשתמש
בחינה לאחר היישום
(ח12110ה6וח10ק וה ו051) של המערכת
האם הסטנדרטים לבחירת חבילות
תוכנה דורשים:
ניתוח של אפשרויות הביצוע של
מספר חבילות תוכנה
ניתוח תועלת/עלות של מוצרי תוכנה
של ספקים אחדים
האם הסטנדרטים של התיכנות דורשים:
שימוש בסיכומי בקרה, סיכומי מנות,
ספירת פריטים (תנועות), כאשר הדבר
ניתן
בדיקות עריכה ובדיקות תקפות של
הקלט, לפני העיבוד
שימוש בתויות לאימות קבצי קלט
תיכנות נקודות מבדק (15ח201/ 660%)
במקום האפשרי
איסוף של תנועות לצורך נתיב ביקורת
(911ז'ך )01 )
שימוש ברוטיגנות סטנדרטיות, בכל
מקום שניתן
שימוש בדו"חות חריגים לגבי תנועות
חריגות.
האם הסטנדרטים של הניסוי דורשים:
ניסוי במקביל של מערכות חדשות,
כאשר הדבר ניתן
אימות בלתי תלוי של ממצאי הניסוי
אי ביצוע ניסויים עם נתונים חיים
ניסוי של כל מצבי השגיאות
האפשריים
סקירה של תוצאות הניסויים הסופיים
על ידי כל הנוגעים בדבר ואישורן
ניסוי של כל השינויים בתוכניות לפני
יישומם השוטף
האם נהלי היישום דורשים:
אישורי קבלה פורמליים על ידי
המשתמשים ועל ידי פונקצית ההפעלה
במחשב
הפצה של תדריך למשתמש ותדריך הפעלה
השלמת התירגול והכשרת המשתמשים
השלמת התיעוד
28
29
19
האם מתיחסים לסטנדרטים באופן נאות 1 כו לא
האם התיעוד של פיתוח מערכות היישום
תואם את הסטנדרטים שנדרשו בתדריך ?
אם פרויקטים הוכנו לפיתוח
במסגרת התקציב השוטף:
האם נעשה שימוש בניתוחי תועלת/עלות,
על מנת לבחור בפרויקט בעל היתרונות
הפוטנציליים הגדולים ביותר
האם הוגדרו תאריכי יעד ספציפיים לכל
הפרויקטים
האם משתמשים במערכת בקרת פרויקטים
פורמלית ?
אם אכן חל שימוש במערכת בקרת
פרוייקטים פורמלית האם מערכת הבקרה
דורשת:
קביעת תאריכים להשלמת היעדים
קביעת תאריכי ויעדי ביניים למטלות
הפרויקט
דיווחים תקופתיים על מצב הפרויקט,
המגדירים מטלות, שבוצעו, ומטלות
שטרם בוצעו
זיהוי ברור של תאריך השלמת המהדורה
האם הונהגו סקרים/בחינות לאחר
היישום ?
האם סקרים אלה כוללים:
ניתוח של עלויות פיתוח מתוכננות
לעומת העלויות בפועל
השוואה של מסגרת זמן מתוכננת לעומת
משך הזמן בפועל
השוואה בין חיסכון תיפעולי, לבין זה
שבפועל
זיהוי של בעיות בתיפעול המערכת
השוואה בין יתרונות המערכת, שתוכננו,
לבין מה שהושג בפועל
בקרות תוכנה
25
26
27
29
2020
האם אופציות מערכת ההפעלה של
הספק מתועדות כראוי ?
האם שינויי המשתמשים מתועדים כנדרש ?
האם מערכת ההפעלה כוללת את האמצעים
הבאים או אמצעים אקווילנטיים:
הגנות אחסון או הגנות הקפיות
הגנות חדירה
האם קיימת חלוקת תפקידים פונקציונלית
בין תיכנות מערכות לבין תיכנות יישומים 1
האם תחזוקה מיומנת זמינה לכל אחד
מהיישומים העיקריים ?
האם קיימים אנשים בעלי הכשרה ובעלי
נסיון כדי לספק גיבוי לפונקציות המערכות
והתוכנות העיקריות ?
190
2
2.22
207
אם מערכת יישום כלשהיא כתובה ב"שפה כן
תחתית", האם נמנע ממתכנתים לבצע
הוראות, אשר באופן נורמלי שייכות
למערכת ההפעלה ?
האם גישה ל"קותטכ] 886ז510"מתאפשרת
רק לאותם אנשים, אשר חייבים להשתמשי
בהם למטרות בחינה ודיאגנוזה ?
האם נמנע ממתכנתי מערכות לגשת
לספריית תוכניות היישום ?
האם נמנע ממתכנתי יישום לגשת לקבצי
נתונים חיים ?
האם נמנע ממתכנתי יישום לגשת ל:
תיעוד ו"רשימות מקור" של מערכת ההפעלה
ספרית תוכניות הייצור
האם המתכנתים משתמשים ברשימות
התוכניות (85ת:1.151 והגזקסזק)באופן בטוח,
ומשמידים אותם, כאשר אין בהם צורך ?
האם רשימות מקור (85חו:1.15 06זט50) של
תוכניות, שנרכשו, נמצאות בהישג יד ?
בקרות על שינויים בתוכניות
208
209
211
האם קיים נוהל הרשאות בכתב לביצוע
שינויים בתוכניות ?
האם הנוהל לביצוע שינויים בתוכניות כולל:
טפסים רצופים מסופררים מראש, הנמצאים
תחת פיקוח
תאור קצר של הבעיה או הסיבה לשינוי
אישור הבקשה לשינוי על ידי הנוגעים בדבר
שם המתכנת המבצע את השינוי
חתימה של מתכנת כפיל או של ממונה,
אשר בחן ואישר את השינוי, שבוצע בפועל
משלוח העתק של האישור למחלקת
הביקורת
האם טפסי הבקשות לשינויים נבחנים על
מנת לקבוע סדרי עדיפויות לפני קבלתן
במחלקת התיכנות ?
האם בקשות לביצוע שינויים בתוכניות
נבחנים על מנת לקבוע:
שיטות אלטרנטיביות לביצוע השינוי
עלות ביצוע השינוי
דרישות הזמן הנחוץ לביצוע השינוי
האם שינויים בתכניות נבחנים ומאושרים
לפני היישום ?
האם שינויים למערכת ההפעלה כפופים
לאותם נהלי בקרה כמו תוכניות יישום 1
האם מתוחזקות רשימות של פ5ס6ח0זגק
או שינויים זמניים בתוכניות. האם הן
כוללות אישורים מתאימים, רשימות
של ההוראות, ששונו, שם של האדם,
המבצע את השינויים וכן את הסיבות
לשינויים ?
לא
כ ו ה מ הקשבר שרע" ד קבד והשש א
ופו
5 האם שינויים כנ"ל מבוצעים על ידי דרגים כן לא
מורשים 1
6 האם תיעוד תיקי תוכניות מעודכן על
מנת לשקף שינויים בתוכניות סמוך ככל
האפשר למועד ביצוע השינויים 1
7 האם שינויים בתוכניות נרשמים, באופן
שיספקו מידע כרונולוגי מהימן לגבי
המערכת 1
בקרות תיעוד
8 ה האם הסטנדרטים לגבי בקרות תיעוד
דורשים:
א. תאור המערכת
ב. תרשימי זרימה של המערכת
ג. תאור התכנית
ד תאור סכמטי של רשומות ותאור מבני
קלט/פלט
ה. תאור של בקרות עריכה (5א60%ת02 -2611)
ותאור של בקרות מתוכנתות
הר רשימה עדכנית של פקודות המקור
ז. הוראות הפעלה
ח. תדריך למשתמששי
ט. היסטוריה של שינויים בתוכנית
9 האם התיעוד תואם את הסטנדרטים
המפורטים בתדריך והאם הוא נאות 1
0 האם התיעוד מאורגן ומתוחזק כיאות 1
1 האם נעשה ביוזמת הנהלת יחידת
המחשב או ביוזמת נציגיה סקר תקופתי
של התיעוד 1
2 האהם לא, האם יש שיטות אלטרנטיביות
על מנת לקבוע התאמה לסטנדרטים
של התיעוד ז
3 האם תדפיס של תוכנית המקור כולל:
ן א. תאריך קומפילציה אחרונה
ב. מספר המהדורה של התוכנית
ג. שינויים שנעשו בתכנית
4 האם התדריך למשתמש הופץ לכל
מחלקות המשתמשים המתאימות 1
5 האם ברשות האירגון ספרן תיעוד 1
ן 6 האם הפונקציות הבאות ממולאות על
ן ידי הספרן:
| א. בחינה של התיעוד בעת פיתוח המערכת
| על מנת לוודא התאמה לסטנדרטים
יְ ב. בקרה והגנה על התיעוד
ג. ניהול מהדורות התיעוד
ד. הפצה של תיעוד לגורמים רלוונטיים
מורשים
3 איתנות הנתונים
בקרות קלט/פלט
11 האם כל החומר, המתקבל ביחידת הקלט/פלט
12
|12
|33
מלווה בתעודת משלוח וסיכומי בקרה 1 כן לא
האם מתנהל רישום של החומר,המתקבל מכל
סניף/מחלקה 1
האם סרטי הסיכום, שמתקבלים עם נתוני הקלט
נשמרים בסדר לוגי לשם ביצוע איזון של העיבוד היומי 1
האם פעולות "לא כספיות"כפופות לאותן בקרות כמו
פעולות כספיות 1
האם קיימת דרישה, ששינוי בקובץ אב מחייב:
מסמך בכתב
זיהוי עורך המסמך
אישור דרג מפקח
כאשר יחידת המחשב מרוחקת מן המשתמשים האם
מכינים העתקים של מסמכי המקור לפני המשלוח
למחשב 1
האם קיימים תדריכים בידי אנשי הקלט, הכוללים תאור
של כל צורות הקלט האפשריות 1
האם קלט, שהוקלד, מאומת ע"י קלדן/ית נוסף על מנת
להבטיח נכונות שדות בקרה חיוניים 1
האם מבצעים סיכומי בקרה כספיים/כמותיים, כאשר
נעשית הקלדה מסוג *א218 10 46" או "1306 70 צ66>?
האם מעתיקים או שומרים את נתוני הקלט למשך זמן
סביר (לשחזור הקלט במידת הצורך) 1
האם נתונים בדיו מגנטית (1168א) נשמרים בצורה
סידרתית לפרק זמן, שמספיק לאיתור המיקום של
"פריטים שנידחו" ?
האם נאסר על אנשי הקלט ליזום קלטים לעיבוד !
האם סיכומי ביקורת בדו"חות נבדקים בצורה מצולבת
(60ז קוח 60 - 058ז02)) 1
האם נבדקת איכות הפלט בכל דו"ח, לפני שהוא מופץ
לצרכנים (סוג הנייר הנכון, העדר נתונים חסרי מובן וכו') 1
האם קיימים נהלים, אשר באים להבטיח, שכל הדו"חות
מופקים ונשלחים על פי לו"ז שנקבע 1
האם קיימת תכנית שיטתית ומסודרת לאיסוף הנתונים,
לעיבודם ולמשלוחם 1
האם נהלי הפצת הפלט מבטיחים העברת הדו"חות לצרכן
הנכון ?
האם הנהלים כוללים בקרות לגבי השמדת כל פלט מיותר,
המכיל מידע של הלקוח 1
האם פריטים בעלי ערך כספי, המעובדים במחשב (שיקים,
כתבי מניות, חותמות של חתימות):
מנופקים רק על פי דרישה
נשמרים נעולים במקום מוגן
מפקחים עליהם בעזרת יומן רשום
נערכת לגביהם ספירת מלאי תקופתית
האם קיימות לגבי פלט במיקרופילם או במיקרופיש
(במידה ומופק) אותן בקרות כמו לגבי פלטים מודפסים 1
האם מיקרופילם ומיקרופיש (קלט ופלט) מאוחסנים
במקום מוגן עם:
גישה מוגבלת
יומן לרישום השימוש
5
13
רישום של המלאי כן לא
ספירות מלאי תקופתיות
האם משתמשים ברשימות של "כניסות", שלא נקלטו,
כדי לפקח על שיגור חוזר 1
האם פריטים שנידחו, בצרוף רשימות מתאימות מועברים
לפקידי התאמה לביצוע איזון ?
האם סיכומי בקורת, אשר מחושבים על ידי המשתמשי
ועל ידי מרכז המחשב, נבדקים זה מול זה 1
האם פריטים, שלא נקלטו ע"י המחשב (בצרוף רשימות),
נשלחים חזרה למשתמש המתאים 1
בקרות של מערכות לנהול מסדי נתונים (15א8)
(אם קיימות).
האם מונה מנהל מסד נתונים (284) כאחראי לתאום
ולפקוח על השימוש במסד הנתונים 1
האם מנהל מסד הנתונים קבע נהלים למבנה רשומות
ולקבצי נתונים עבור התוכניתנים 1
האם הגישה של מנהל מסד הנתונים לנתונים חיים,
לרשימות של תכניות ולתיעוד אחד של תוכניות
מוגבלת בצורה נאותה 1 :
האם הגדרות מפורטות של פריטי נתונים נשמרות
במילון נתונים או בקטלוג מרכזי 1
האם שינויים במילון חייבים לעבור אישור של מנהל
מסד הנתונים 1
האם יש נהלים כדי להבטיח עדכניות ודיוק מילון
הנתונים 1
האם יש אמצעים להתאוששות (צ86606) של
מסד הנתונים במקרה של תקלה בחומרה או בתוכנה 1
האם קיים יומן תנועה (1/02 ח586)10ת118), אשר מספק
מעקב בקורת של הקלט 1
האם היומן מצביע על נסיונות לפגוע בבטיחות
ה-פואפכ?
תפעול המחשב
האם קיימת חלוקת תפקידים נאותה עבור:
הכנת קלט
הפעלת ציוד ה צָזות₪ ג)ג3
הפעלת ציוד המחשב
הכנת חריגים ואלמנטים בלתי קריאים לביצוע מחדשי
ביצוע התאמות
הפצת פלט
האם התדריך להפעלת המחשב כולל נהלים פורמליים
לביצוע הפעילויות 1
האם הנהלים דורשים שימוש בלוח זמנים/תוכנית
עבודה כתוב/ה או אוטומטי/ת 1
האם תדירות ה"ריצות מתאימה יחסית, לחשיבות
היישומים 1
האם לוח הזמנים ותוכנית העבודה של ההפעלה
מספיקים להיקף העבודה השוטפת ומתאימים לו ?
האם לכל ה"ג'ובים" נקבעו סדרי עדיפויות לעיבוד 1
14
(08
האם כל ה"ריצות", שלא בהתאם ללוח הזמנים/תוכנית
העבודה, מלוות על ידי בקשת עבודה או על ידי
אישור אחר בכתב 1
האם נמנע ממפעילים לסטות מלוח הזמנים/מתוכנית
העבודה שנקבע/ה, ללא אישור ממונה 1
האם סטיה משמעותית מלוח הזמנים/ מתוכנית
העבודה נבדקת 1
האם קיים גנוהל המתיחס למקרה של הגעה מאוחרת
של כל או חלק מהקלט 1
האם רישומי היומן (1,020) כוללים:
זיהוי תוכניות
זמני תחילת "ג'ובים" וסיומם
"נפילות"
זיהוי המפעיל
האם היומנים נשמרים כעזר לבדיקת פעילות יוצאת דופן 1
האם קיימים דו"חות ניהוליים לגבי פעילות המערכת 1
האם דו"חות אלה מופקים באינטרולים מספיקים על
מנת לאפשר בקרה נאותה ובחינה ניהולית 1
האם דפי מדפסת הקונסול מסופררים מראש, לחילופין,
האם קיימת בקרה אחרת לוודא רציפותם ?
האם רישומי הקונסול נבחנים כדי לוודא, שלא נעשתה
פעילות יוצאת דופן ?
האם הפעלת המחשב מותרת לאנשים מורשים בלבד 1
האם שני מפעילים או יותר נדרשים להיות בחדר המחשב,
בכל זמן שהמערכת פועלת ?
האם קיימת תוכנית הכשרה נאותה למפעילים, שתאפשר
גיבוי בין מפעילים, ותפחית את התלות באנשי מפתח 1
האם קיימת תחלופה של מפעילים בין אתרי מחשב או
בין תפקידים בתוך אתר המחשב 1
אם אין תחלופה של מפעילים, האם קיימות בקרות
מפצות אפקטיביות אחרות ?
האם יש חוזה תחזוקה כתוב לכל הציוד ?
האם הסכם השרות והתחזוקה:
מספק שרותי תיקון
מגדיר את ההיקף והסוגים של האחזקה המונעת
מגדיר לוחות זמנים לביצוע התחזוקה
האם מתוחזקים יומנים ורישומים לכל הבעיות בציוד 1
האם מפעיל נשאר בחדר המחשב עם כל קבצי הנתונים,
כאשר מבוצעת אחזקה במחשב 1
האם נמנע מאנשי מרכז הנתונים ביצוע תיקונים לציוד 1
האם מבוצעת אחזקה מונעת (פנימית וע"י הספק)
בהתאם ללוח זמנים ולתכנית עבודה, שנקבעה מראש,
ולא באופן אקראי 1
האם האחזקה המונעת כוללת גיקוי של כל הציוד
ההיקפי כגון:
- מדפסות
- קוראת כרטיסים
* כונני סרטים
- השטח מתחת לרצפה
כן
229
+0
האם לוח הזמנים/תכנית העבודה של האחזקה
המונעת נעשים בהתחשב בגודל המתקן, בהיקף
העבודה המעובדת, ובהתאם לדרישות היצרן 1
האם קיים תעוד לגבי ביצוע אחזקה מונעת האם
נבדק כי היא נעשתה כנדרש ובהתאם לתכנית העבודה 1
הגנות תוכנה ונתונים
₪2
+2
+3
+4
האם נמנע ממפעילים לגשת לתוכניות מקור, לתדפיסי
תוכניות ותיעוד אחר, שאינו נחוץ עבור עיבוד היישומים 1
האם נמנע ממפעילים להעתיק תוכניות
מקור (מזגזש0:? 66זט50) או תוכניות אובג'קט
(5חחזגזק0ז1 20[66%)) ללא אישור מוקדם 1
האם קבצי נתונים ותוכניות ספריה מוגנים ע"י
סיסמאות או ע"י אמצעי אחרים 1
אם נעשה שימוש בסיסמאות, האם הן משתנות
באופן תקופתי 1
האם תויות פנימיות נמצאות בשימוש לכל קבצי
נתונים והתכניות 1
האם נמנע ממפעילים לעקוף תויות פנימיות
או בקרות מערכת אחרות ללא אישור מתאים 1
האם השימוש בתוכניות שרות עם קבצי נתונים
מבוקר באופן נאות 1
האם גמנע ממפעילים:
לחולל/ליצור רשימות לעיבוד
לתקן נתונים חריגים
ליצור פונקצית איזון כלשהיא מלבד בקרות מסוג
"חט 0) חטו3*
להריץ תוכניות ניסוי כנגד קבצים חיים או כנגד
קבצי גיבוי
לבצע תוכניות מספרית הניסוי במהלך
ביצוע ריצות ייצור
האם קיימים נהלים כתובים לגבי קבלה וקיטלוג
של תוכניות ייצור 1
האם נמנע ממפעילים להריץ מחדש תוכניות ללא
אישור בכתב מדרג ממונה או לקטלגן 1
האם מפעילים מנועים מהרצת תוכניות
אובג'קט (פוז9זקסז? 29[606)) בלתי מקוטלגות
ללא אישור מוקדם 1
האם כל שינוי התוכניות לספרית הייצור, כולל
מחיקות, מאושרים 1
האם הנהלת מרכז הנתונים סוקרת באופן
תקופתי את הבקרות ואת הבטיחות בקשר
עם קבצי נתונים וספרית תוכניות ומעדכנת אותן 1
האם מתוחזק תדריך עבור ספרית קבצי נתונים 7
האם התדריך כולל בין היתר תאור של:
בקרות ונהלי ספריה
מערכת ספרית הטייפים האוטומטית או המערכת
הידנית שבשימוש
לוח זמנים/תכנית עבודה להחזקת קבצי נתונים
נהלים עבור טייפים ודיסקים חדשים, ונהלים
עבור טייפים ודיסקים המוצאים מכלל שימוש
כן
לא
15
1%66
1
נהלים לספירות מלאי תקופתיות כן | לא
האם סרטים מגנטים ודיסקים מאוחסנים בספריה
סגורה, נקיה מאבק, שמורה מאש ומוגבלת בגישה אליה 1
האם בספריה קיימים:
אמצעי לגילוי אש ואמצעים נגד אשי
מערכתת מיזוג אויר נאותה
האם פונקצית הספרן מוקצית לאדם, שאין לו
תפקידים נוספים בני קונפליקט 1
האם הוקצתה אחריות ספציפית לתיחזוק ספרית הייצור ?
האם לפחות העתק שוטף אחד מספרית תוכניות
הפיקוח ותוכניות היישום מוחזק בספרית קבצי
הנתונים לצורך גיבוי מידי ?
האם כל המהדורות של שפות האובג'קט 091660)
השוטפות של תוכניות הייצור מיוצרות ממהדורת
המקור השוטפת ?
האם תוכניות, שאינן בשימוש, או תוכניות,
שאבד עליהן הכלח, מוצאות מספריית הייצור ?
האם תויות חיצוניות נמצאות בשימוש על מנת לזהות
את הקובץ ואת תוכנו ?
האם קיימות רשימות מלאי של טייפים ושל דיסקים ?
אם כן, האם הן כוללות:
מקום איחסון
מספר סידורי
תאריך יצירה ופקיעה
האם סרטים מגנטיים בעלי נתונים חיים וסרטים
מגנטיים מחוקים מופרדים פיסית, ומזוהים באופן
ברור בספריה ?
האם הגישה לקבצי נתונים מוגבלת רק לגורמים מורשים ?
האם קבצי נתונים מוצאים רק על בסיס של
תוכנית העבודה או על פי אישור נאות בלבד ?
האם הוראות ההפעלה כתובות ברור ונאות ?
כאשר חייבים להשתמש בהעתקי הגיבוי של
תוכניות הפיקוח, תוכניות היישומים, קבצי תנועות
או בקבצי אב, האם נעשה מהם עותק נוסף לפני
הכנסתם לייצור ?
האם מנסים באופן תקופתי את העתקי הגיבוי של
תוכניות הפיקוח ותוכניות היישום ?
האם תוכניות הגיבוי (תוכניות היישום ותוכניות
הפיקוח) מעודכנות באופן שוטף 1
כאשר בשימוש מערכת 2815 - האם רשומות
קריטיות מועתקות באופן תקופתי, ומאוחסנות
למטרות גיבוי 1
האם שומרים מחוץ לבניין המחשב עותקים של:
ה"מקור" וה"אובג'קט" של תוכניות הייצור
קבצי נתונים
תיעוד המערכת והתוכניות
תוכניות מערכת ההפעלה ותוכניות שרות
האם תוכניות וקבצים, המוחזקים מחוץ לבניין,
מתוחזקים במבנה, הניתן לקריאה על ידי מכונה 1
6
107
+8
7
האם הגישה לפריטים, המאוחשנים מחוץ לבניין כן לא
מבוקרת היטב 1
האם מנוהלת רשימת נכנסים למקום האיחסון מחוץ
לבניין 7
אם מנוהלת רשימה כזו, האם היא נסקרת ומבוקרת 1
הגנות חומרה
9
האם צבירת הפסולת במתקן המחשב או לידו
ואיסופה מנוהלים באופן שיגרום לחשיפה מיגימלית
לאש ולבקרה מקסימלית על נתונים חיוניים ?
האם עישון, אכילה ושתיה אסורים בחדר המחשב 1
האם אספקת הנייר, אמצעים מגנטיים וחומרים
מתלקחים אחרים בחדר המחשב מוגבלים לכמות,
הנחוצה להשלמת העבודה היומית 1
האם כל הניירת שבלתי חיונית מאוחסנת באזור,
שאינו סמוך לחדר המחשב 1
האם היא מוגנת על ידי ציוד כיבוי אש ?
האם אמצעים מתלקחים. כגון; חומרי ניקוי
וציוד, מאוחסנים רחוק מחדר המחשב ומאזור איחסון
הנייר 7
האם חדר המחשב מתוחזק באופן נקי ומסודר 1
האם הכניסה למרכז הנתונים מבוקרת על ידי שמירה
נאותה ?
האם קיימים נהלים לזיהוי כל המבקרים במרכז הנתונים 1
האם אנשי תחזוקה מזוהים באופן נאות, לפני
שניתנת להם הרשות להיכנס לחדר המחשב 1
האם כניסות שרות, דלתות חיצוניות,
חלונות ויציאות חרום מאובטחים באופן נאות כדי
למנוע כניסה לא מורשה למרכז הנתונים מאזור
הקרוב למקום בלתי שמור 1
האם מתקן המחשב מוגן באופן נאות על ידי:
גלאי אש או עשן
מערכת בקרת אש מתאימה
ציוד לבקרת טמפרטורה/לחות
אמצעים לאיתור פריצות
מערכת אספקת כוח אלטרנטיבית
האם יחידות הבקרה/האתראה פועלות 24 שעות
ביממה האם הן מחוברות לאזעקה בתחנות כיבוי
אש/משטרה 1
האם ננקטו אמצעי זהירות כדי להגן על ציוד
המחשב מסכנות הצפה ומים 1
האם ידיות המשיכה של הריצפה הצפה נראים
לעין המפעילים 1
האם הוכנו אמצעי גיבוי ל"חומרה", האם
החלטות ההנהלה בגינן תועדו ?
אם הגיבוי הוא בתוך הבנין, האם כל מערכת
הגיבוי נמצאת במקום פיסי אחד 1
אם הגיבוי הוא בתוך הבנין, ואם כל מערכת
הגיבוי נמצאת במקום פיסי אחד האם:
מערכת הגיבוי מחוברת לרשת כח/מים אחת
108
לציוד היכולת העצמאית לעבד יישומים קריטיים כן לא
מערכות הגיבוי מתאימות באופן מלא למערכות
המקוריות
אם לאירגון יותר מאמצעי עיבוד אחד במקום אחד, האם:
זמינה מערכת כח ומים אלטרנטיבית
ניתן למתג יחידות פריפרליות בין המערכות
היחידה האחרת יכולה לעבד היישומים הקריטיים,
כאשר אחת נופלת
האם האירגון מסתמך על גיבוי במתקנים של אירגון אחר 1
אם ההסתמכות היא על ציוד באירגון אחר,
האם קיים הסכם בכתב בנדון 1
האם נעשו סידורים אקטואליים לגיבוי אם אכן כך
הדבר, האם אמצעי הגיבוי נוסו בשנה החולפת 1
האם שינויים בתוכנת המערכת ושינויים חיוניים
בחומרה נעשו גם במתקן הגיבוי 1
האם קיימות תוכניות מקיפות ושלמות, אשר באופן
נאות:
מספקות בטיחות פיסית למתקן המחשב
מגדירות ומזהות פעולות אותן יש לנקוט במקרי
חרום ספציפיים
מתארות נהלים לשעת חרום, כאשר יש צורך
בהחלצות מאסון.
האם ההיבטים השונים של תוכנית זו מנוסים
באופן תקופתי 1
האם ההיבטים של הבטיחות הפיסית בתכנית:
מספקים הגנה נאותה לכח אדם, לציוד ולנתונים
מונעים גישה לא מורשה למתקני הנתונים,
לחדר המחשב, לקבצים ולתיעוד
מביאים בחשבון הסדרי ביטוח
מספקים למועסקים הוראות לשימוש בציוד לשעת חרום
מפרטים מערכות או אמצעי הגנה, שיהיו בשימוש
האם תכנית החרום מספקת:
פתרון לאיומים, על מנת שהנזק יוגבל וניתן יהיה
להמשיך להפעיל את המערכת
הנחיות לפינוי כח אדם
הוראות למועסקים במקרים של שריפה, הצפה,
פיצוצים, חדירות בלתי מורשות או איומים אחרים
איחסון בטוח של קבצי נתונים ותיעוד
האם התוכנית לשעת חרום (התאוששות מאסון) כוללת:
הקצאת תפקידים לבניה מחודשת ולסדרי עיבוד
מחוץ לאתר
הנחיות באלו תנאים יופעל אתר הגיבוי
אחריות החלטה להשתמש באתר הגיבוי
הסדר בו ימסר לעובדים על ההחלטה
את קבצים, את הנתונים, את התוכניות, ואת
התיעוד, שילקחו לאתר הגיבוי, והדרך שבה יועברו לשם
קביעת סדרי עדיפויות לעיבוד
גיבוי של אמצעי עיבוד ונתונים חשובים
האם חלקים רלוונטיים של התוכנית לשעת
חרום מוצגים בפני המועסקים ונמסרים להם 1
-
8
האם כיסוי הביטוח מספק הגנה נאותה עבור:
נאמנות מועסקים
מתקנים וציוד ענ"א
בניה מחודשת של "מדיה"
הפסדים כתוצאה מהפרעות עסקיות
תקלות ושגיאות
הוצאות מיוחדות, כולל הוצאת אתר הגיבוי
פריטים בהעברה
סיכונים בני היסתברות אחרים
אם קיים ציוד מוחכר, האם הביטוח מכסה
התחיבויות בגין הציוד ?
בטיחות תקשורת
האם גישה למסופי המערכת מוגבלת
בצורה נכונה על ידי האמצעים הבאים:
נעילת מסופים
בדיקות לזיהוי מסופים
מיקום פיסי בטוח
זיהוי המשתמשי
האם כל המסופים מבוקרים באשר ל:
אלו קבצים הם יכולים לגשת
אלו פעולות הם מסוגלים לבצע
האם המערכת מבטיחה, שכל השידורים מתקבלים
ממסופים וממשתמשים מורשים בלבד 1
האם קיימות שמירות מספיקות ויעילות לוודא גישה של
אנשים מורשים בלבד לחדרי הציוד הטלפוני ולאיזורים
אחרים של ציוד נתוני התקשורת 1
האם קווי העיבוד בתקשורת שבחדרי הציוד חופשיים
מתוויות זיהוי ?
האם שדרים מוצפנים או מוגנים באופן דומה במשך
השידור 1
אם משתמשים בהצפנה, האם קיימת בקרה מספקת על
מפתחות ההצפנה 1
האם נוסחו באופן רשמי נהלים של טיפול בבעיות
פתאומיות ובלתי צפויות ברשת, האם הוסדה אחריות
תחזוקתית כזו 1
זיהוי המשתמש
9
1
2
האם השימוש של כל קוד זיהוי מוגבל למשתמש
אחד בלבד 1
כשניתנים קודים, המזהים את המשתמש, או כשמשתנים
קודים אלה, האם הם נרשמים ומופצים, בצורה כזו
שתאפשר שמירה על יעילותם כטכניקת בקרה 1
האם מספרי זיהוי וסיסמאות מוצאים מכל ההדפסות
והתצוגות ומן ההקלטות 1
האם קודי זיהוי של המשתמשים, קודי בטיחות, ומספרים
של קוי חיוג משתנים באופן תקופתי 1
כן
לא
200
13
14
האם סיסמאות, מפתחות בטיחות, וטבלאות הרשאות כן
ממוקמים בזיכרון ו/או באיחסון פריפרלי באופן מוצפן או
לחילופין, אם לא כך הדבר, הם מוגנים בצורה אחרת 1
האם קוי חיוג מבוקרים על ידי נהלי קריאות חוזרות
על ידי אנשי ההפעלה במרכז הנתונים או על ידי
קשר פיסי אחר 1
האם כל המשתמשים מוגבלים באשר:
לאלו קבצים הם יכולים לגשת
אלו תנועות הם יכולים ליצור
האם רמות הגישה וההרשאות הללו של המשתמשים
מאושרים ונבחנים באופן תקופתי על ידי ההנהלה 1
האם המועסקים במחלקה ספציפית מוגבלים לשימוש
במסופים, הממוקמים רק באותה מחלקה 1
האם נדרש אישור דרג פיקוחי לגישה למסוף הנעשית
בזמנים בלתי שגרתיים 1
האם חומרי תרגול, כולל תדריכי משתמשים או הוראות
מתוכנתות למשתמש, זמינות לכל מפעילי המסופים 1
האם הכשרת מפעילי מסופים מתנהלת, באופן שלא תסכן
את שלמות הנתונים החיים או את שלמות "קבצי ביניים"
(11165 16810א) ?
האם הקלט למסוף כפוף למבדקי עריכה אוטומטים על מנת
להפזית שגיאות קלט ?
האם קיימים מונים של מספר הפריטים וסכומי הכסף הן
במסוף והן במחשב המרכזי 1
האם נעשה איזון יומי לכל מסוף או משתמש במערכת ?7
האם פעולות תיקון מזוהות במערכת ומדווחות 1
האם פעולות תיקון ופעולות יוצאות דופן אחרות דורשות
אישור דרג מפקח/ממונה 1
האם מופקים דוח"ות חריגים אשר כוללים:
פעילות יוצאת דופן, הקשורה במערכות היישום
נסיונות בלתי מוצלחים להשיג גישה למערכת התקשורת
או למערכות היישום
בעיות/סטטיסטיקות לגבי רשת התקשורת
האם דו"חות החריגים נראים כתואמים את הצרכים של
ההנהלה, של המשתמשים ושל מחלקת הביקורת 1
האם דו"חות החריגים נסקרים באופן שוטף על ידי מנהל,
האחראי לביצוע פעילויות פיקוח ומעקב 1
האם קיימים נהלים לשמירה נאותה של מסמכי מקור,
שפרטיהם הועברו למחשב באמצעות המטופים 1
איתנות הנתונים
350
האם מתוחזק קובץ תנועות עבור כל ההודעות, שנתקבלו
מכל המסופים 1
האם קובץ תנועות זה רושם את:
זיהוי המשתמשי
זיהוי המסוף
קוד התנועה
פרטים לזיהוי התנועה
תאריך וזמן התנועה
לא
2
ו20
האם נעשות בדיקות תקופתיות ברשת התקשורת במהלך כן לא
ההפעלה הרגילה כדי לוודא תיפקוד נאות וכדי לתקוף
שגיאות בקווים 1
תיכנות מקוון (6ת1,1 *- תכ))
33
4
5
6
%>0
|21
12
האם לתיכנות מקוון ואינטרקטיבי ב"שפות תחתיות"
דרוש אישור הנהלה 1
האם מסופים לתיכנות מקוון מבוקרים באופן נאות
על מנת למנוע ממתכנתים עריכת נסיונות מול קבצים
חיים 1
אם שינויים לספריית התוכניות מותרים ממסופים
מקוונים, האם השינויים מבוקרים באופן נאות ?
האם המערכת מייצרת באופן אוטומטי רשימה
מפורטת לתיעוד כל הגישות הישירות והשינויים
לספריית התוכניות 1
האם האמצעים הבאים זמינים לגיבוי של אמצעי
התקשורת:
קווי גיבוי
מיתוג אוטומטי של קווי גיבוי
מסופי גיבוי במקומות קריטיים
יחידות בקרת תקשורת לגיבוי
מערכת מחשב לגיבוי
קבצי נתונים/תנועות כפולים
האם קיים גיבוי נאות לציוד התקשורת, האם ניתן
להחליפו על ידי מערכת עיבוד באצוות (תִסוג8) או
על ידי מערכת אחרת לצורך ההפעלה היומית 1
אם המערכת בת החלפה למערכת עיבוד באצוות (ח6ו28) ,
האם מערכת גיבוי זו:
נתמכת על ידי נהלים מתאימים בכתב, על ידי טפסי
קלט וכד'
אפשרית לאור היקף העיבודים
האם למסופים היכולת לפעול במצב לא מקוון
(6ת:,00/1-1)), במקרה של תקלה 1
האם הוכנו נהלים למניעת אובדן או משלוח כפול
של נתונים/של תנועות, כאשר המערכת חוזרת
לפעולה לאחר תקלה 1
האם עורכים ניסויים תקופתיים של ציוד הגיבוי ?
202
2 מחקרים בנושא: טכניקות לביקורת ענ''א
טבלא 14-1: שאלון מחקר * טכניקות לביקורת ענ"'א
לכבוד
א.ג.נ.,
הנדון: שאלון מחקר - טכניקות לביקורת ענ"'א
ההתפתחות הטכנולוגית הדינמית של הכלים לעיבוד נתונים אוטומטי מעמידה בפני צבור המבקרים
אתגרים רבים. כדי לעמוד באתגרים אלה וכדי שהמבקר יוכל לצעוד בד בכד עם ההתפתחויות
הטכנולוגיות, שומה עליו לעדכן עצמו בהתפתחויות, באמצעים ובטכניקות לביקורת המערכות
הממוחשבות.
אחת המטרות העיקריות של איגוד מבקר מערכות ענ''א בישראל היא לעסוק ולהשתתף במחקרים, אשר
יסייעו לפתרונן של בעיות מקצועיות בתחום ביקורת ענ"א.
זהו המחקר הראשון הנערך בארץ בחסות האיגוד ומטרתו לרכז ולפרסם נתונים לגבי המודעות הקיימת
בארץ לטכניקות ביקורת ענ''א, מידת השימוש בהן ומידת התאמתן ויעילותן.
לצורך המחקר נבחר מדגם מבין רואי חשבון, מבקרים פנימיים ומבקרי מערכות ענ"א שאליהם נשלח
השאלון הרצ'ייב. במסגרת מדגם זה אנו פונים אליך בבקשה להשיב על השאלות המופיעות בשאלון
ולהחזירו אלינו עד תאריך ||
השאלון ערוך בצורת טבלה. הטור האנכי כולל פירוט של 17 טכניקות לביקורת מערכות ממוחשבות,
אשר פורסמו בשנים האחרונות בספרות המקצועית בתחום הביקורת, והטור האופקי כולל 5 שאלות
לגבי כי'א מהטכניקות. נא הקפ/י בעיגול את התשובה הרלוונטית לכי'א מהשאלות.
נודה לך אם תוסיף/ י הערות כלליות וספציפיות הנראות לך רלבנטיות, ואשר מסבירות את היעילות ו/או
האפקטיביות של הטכניקות, בעיות בשימוש בטכניקות, או סיבות מדוע לא להשתמש בהן. הערות
כאלה תהיינה לעזר רב בהכנת המחקר.
הנתונים האישיים המפורטים בשאלון המצורף אינם כוללים פרטי זיהוי של המשתתף/ת.
אם אין לך התנגדות למסור גם את פרטי הזיהוי שלך, נודה לך אם תוסיף/י בשאלוןפרטים נוספים אלה
אשר יהיו לעזר רב בניתוח ובהערכת תוצאות המחקר.
הננו להדגיש כי כל הנתונים הנ'"ל ישמרו בסודיות גמורה וישמשו רק לצורך המחקר האמור.
תודה על שיתוף הפעולה.
בכבוד רב.
משה פינקלשטיין
סגן נשיא
איגוד מבקרי מערכות ענ"א בישראל
אל
איגוד מבקרי מערכות עני'א בישראל
לידי משה פינקלשטיין
ת"ד 29063 תל אביב מיקוד 61290
הנדון: שאלון מחקר - טכניקות לביקורת ענ"א
1. נתונים לגבי המשתתף במחקד:
עיסוק המשתתף (סמן במשבצת המתאימה)
ביקורת פנימית
ביקורת חיצונית
ביקורת ענ"א
הערות*
* אם הנך עוסק /ת ביותר מתחום ביקורת אחד, סמן/י עיסוקך במשבצות
המתאימות וציין/י בסעיף הערות מהו תחום עיסוקך העיקרי.
2. פרטי המשתתף: (ימולאו עי"י המשתתף - אם רצונו בכך)
שם:
כתובת:
מקום עבודה:
תפקיד:
חאור הטכניקה האם טכניקה זו
מוכוח לך
1006 כו לא
יומני פעילוח המעוכת ננחנים
לאיחור ארועים יוצאי וופן.
:אפ 16 6000 כן לא
נחונים המיוצוים ע"י המערכת
נבוקים לאיחור הפעלת הוכניות
בתוירות יוצאת וופן או לפוקי
זמן לא מקובלים וכז'.
: צפןצפה 10016 אאא06ה? כן לא
סקירה לוגית של פקוזות
המקור של תוכניוח אפליקציה
באופן יזני או באמצעוח הוכנה,
עיים לווא עיבוד נאות.
:5 אתפטף 28845 כן לא
שימוש באמצעי הבחינה חל
ה- 65גאאא 55ג5אזאפ
אפד5צ5 זאפון - במערכת ע"'ים
לקבל פהרונוה לבעיוה ביקווה.
(זדן) ו 5שוד46111ץ ד%פך ספדגא6פדאן כן לא
וחומות פיקטיביות נערכות ביוזמת
המבקר ומוזרמות למחשב במהלך העיבוד
הרגיל, במטרה לבחון חוכניוה מחשב
והחאמה לנוהלים ותיעוו.
שאלון מחקר
טכניקוה לביקורת ענ"א
לאיזו קבוצה טל מבקרים לדעחך
ורצוי ליעד טכניקה זו הטנים האחרונות
פנימיים חיצוניים 0 נ-ו
פנימייס חיצונייס 0 |
פנימיים חיצוניים 0 נ-ו
פנימייס חיצוניים 0 נ-ו
פנימייס היצוניים 0 נ-ו
9
9
3
93
כמה פעמים השחמשת בטכניקה זו ב-3
האם הטכניקה היחה
אפקטיבית (האם הפיקה
אח החוצאות הרצויות)
כן
כן
כן
גו
כן
לא
לא
לא
לא
לא
האם הטימוש בטכניקה
היה יעיל במונחים
של זמן ועלות
כן לא
כן לא
כן לא
כן לא
כו לא
203
חאור הטכניקה האם טכניקה זו
מוכרח לך
0 אאא הס אסודווטא51 כן
מוזל על מערכת נבנה ע"י החבקר.
הנועוה מעובדות באמצעות 2 המערכות
(מוזל המעוכח ומעוכח האפליקציה
המקורית) ונעשית השוואה של התוצאוה.
: 0800805 55/6018 60186אד כן
זיהוי של ומעקב אחר רשומות ספציפיות
גמהלך העיגוד.
+ 858א9ד507 ז!סטא 0051081260 כן
הוכניוה מהטב נכהבות גמיוהד
למטרוח ביקווה בנסיבות ספציפיות.
: 00085 ד ופט כן
ווטינוה ספציפיות מטולבות
בחוכניות אפליקציה ע"מ לאסוף
נחוני ביקורח, כטיש צווך בכך.
: 00%45אק צדוטזדט כן
ווב יצרני המחחשנים מספקים הוכניות
שרוה אשר מפעילות רוטינוה לביצוע
פונקציוה טל עיבוד נחונים. תוכניות
אלה יכולוח לעזור בעריכה ניסויים
ובויקוה ע"י המבקר.
5858/1085 6א1אגוופפאוד כן
לספקים רבים של שרוהי מחשב על בסיס טל
שיהוף זמנים ( 0א1אאא5פא!ד) יל
ספריוה של הוכניוה אפר יכולוה להיות
לעזר בביצוע ניסוייגיקורה.
לא
לא
לא
לא
לא
לא
לאיזו קבוצה של מבקוים לדעחך
וצוי ליעד עכניקה זו
פניחיים
פניחיים
פנימיים
פנימיים
פנימיים
פנימיים
חיצוניים
חיצוניים
חיצוניים
חיצוניים
חיצוניים
חיצוניים
שאלון מחקר
ניקוח לביקורת ענ"א
כחה פעמים השחמשות בטכניקה זו ב-3
השניט האחרונות
0 נ-ן
0 נ-ו
0 נ-ו
0 ,-ו
0 3-ו
0 נ-ו
3
93
9
9
האם הטכניקה היחה
אפקטיבית (האם הפיקה
אה החוצאות הרצויות
+% כו לא
.3 כן לא
+ 9 כן לא
.9 כן לא
+59 כן לא
+99 כו לא
האס השימוש בטכניקה
היה יעיל גמונחים
של זמן ועלות
כו לא
כן לא
כו לא
כן לא
כן לא
כן לא
204
חאור הטכניקה האם טכניקה זו
מוכוח לך
ו 085זגא5א68 אזגם דפפך כן
טיחופ בתוכניות ספציפיות על מנת
להקל ביצירח נחוני הבחינה ( אדגם ד5פך)
. 5גשך?50 6אן6גאפד כן
תוכנה מעקנב מפיקה רשימה של מהלכי
הוכניות אשר מופעלים עבור
הנועה המעובות ע"י ההוכניה.
: 5אגשז?50 זןסטא 58./12:0א0 כן
חבילוה תוכנה לביקוות לשליפת נחהונים
סלקטיביים מקובצי המחשב, מיונם,
עויכחם, הופסהס וכו'
+ 560805 0פסאפזאם כן
נתוני ביקורת נכללים בתוך רשומות
מורחבות ( 050אם7א5)של הנועות
( 8660805 108ז6א5אאאד) לטיחוט
בשלג מאוחר יוהר.
: 85 ד?50 א8150קו60 אא6סגק כן
הוכנה אטו מאפשרה למנקו להשווח 2 ורסיות
נפרוות של הוכניה, ע"מ לבהון אם נעטו
שינויים בהוכניות.
: אזגם זפפך כן
נתוני בחינה הנעוכיס ביוזמת המבקר מעובוים
ע"י עש'ימוש בהוכנית האפליקציה. הוצאות
העיבוו מושוות להוצאוה צפויוה או להוצאות
+הוטבו/ נקבעו מראח.
לאיזו קבוצה של מבקרים לדעחך
וצוי ליעד טכניקה זו
חיצוניים
חיצוניים
חיצונייס
חיצוניים
חיצוניים
חיצוניים
שאלון מחקר
טכניקות לביקוות ענ"א
כמה פעמים השחתמטת בטכניקה זו ב
השניט האחרונות
0 נ-ו 9 +99
0 3-ו 4 +33
0 נ-ו 3 .+
0 נ-ו +%
0 נ-ו +%
0 נ-ו 9 +%
האם הטכניקה היחה
אפקטיניח (האם הפיקה
אח התוצאות הרצויות )
כן
כו
כן
כן
כו
לא
לא
לא
לא
לא
לא
האם השימוש בטכניקה
היה יעיל במונחים
של זמן ועלות
כן
כן
כן
כו
כן
כן
לא
לא
לא
לא
לא
2055
ריכוז בללי של התשובות לשאלות
ישראל. טבלא 14"1
| אפקטיני = | שימוש בפועל למי מיועדת הטכניקה
פנימיים
לא כן חיצוניים וחיצוניים פנימיים
- 22
מוכות הטכניקה
/ 7 / 6ו| 2 3 זא 857ד
16 65-- 6 21 20 "
2 24 8 5 7 46 85ך507 .א 411280תפא0
3 20 5 17 7 4 פד 50 .8 0051001280
1 2 / 24 7 4 2
2 9 0 7 4 51
5 וו 39 ור | 15
12 2 25 סו | 0פ1/פת 0016 אהתסספק
1 13 35 וו 40 5 לט
1 6 33 3 38 50 א00048150
" 7 3 6 37 1 4000081186
2 5 ₪ 5 36 5 7 1857
2 2 35 5 36 5 59105 100186
ו 6 42 8 33 5 זותפטף 0.8
. ד 4 ו2 30 5 15106
5 " 0 8% 2 0 0א01פד
46 5 פפפסא8פזאם
ממוין לפי שיעור הכרת הטכניקה.
206
ארה"ב.
זזאזווזז צוד)וזז: פד או פפע 5 וצ הגוווואא] :ואוד
:דנז זזפסוא והוז זו זוזוא
תה
סא 6 סא 6 9 19 13 0 אאחזזום | |גאא:זאו סא פס
3 3 0 35 37 3 5 15 9 8 1 9 50 זוסטא 0ז2וואאזא0
5 וו 1 5 21 8 17 14 7 1 2 8 אודזס5 זוסטא ס26וואסז5ט6
3 10 1 14 3 5 8 4+ 0 4 4 5% 5 שססוא זוסטא
1 29 0 0 19 7 7 27 6 4 5 55 05 צזווודט
0 16 0 16 7 4 6 3 2 4 3 2 5 או ]ואוד
4 7 3 8 1 0 10 9 9 20 פ ופ *אגשוזזס5 אספוא?ואס6 ואאאססאץ
12 2 2 2 5 8 2 5 7 0 2 8 אזוס זפד
4 2 3 3 0 1 4 55 6 3 8 2 5 אזאס זפד
16 19 7 8 10 5 20 5 7 8 2 8 06
9 16 3 2 8 4 15 3 5 4 9 1 אזאם סאוזאטס66א
3 14 7 30 8 6 24 2 6 2 4 % 5זו/ז 0016 ואא005א?
0 14 1 33 7 2 5 46 10 33 7 3 וזו וז צאזטך) 855 זאם
0 19 0 19 3 4 33 9 4 9 4 6 וו וש זוז סיד 68+זאו
5 15 1 19 8 1 12 5 וו 12 5 5 אסוז וטואו5
0 5 0 5 2 0 4 34 3 34 22 8 5 ססא זא
2 12 2 33 5 2 9 4 12 59 7 3 5 50 סאוס6אד
4 5 2 7 1 3 6 0 1 35 12 8 א 50 6או6אאד
207
0ו2
אפקטיביות ויעילות הטכניקות טלא 144
ישראל.
יעִילה אפקטיבית ס'יה משתמשים הטכניקה (ממוין לפי האפקטיביות)
% מס'יה מס* % מס'יה מס* (פעם אחת או יותר)
0 7 0 7 7 5 אא81ה653אזד
8 ו8 9 0 וו וו אס
- - 0וו 1 ו ₪5 6א401תדך
5 2 3 26 77 86 715% 50ך4ת6פאך
2.3 2% 2 25 26 5 4001 554101280א00
3 83 20 98 23 28 05 ד דט 005701285
98 7ו 8 7ו 18 5 5 400007186
0 12 3.8 5ו 6 5 0 50006 6א74661
9-7 וו 9.7 וו 12 1-5
ו.77 7 9.8 2 55 ד5ך
8.ו7 5 85.7 6 7 5 הת 657
2 12 6 2 26 5 00160 004
3 13 3 ו8 13 6 5 + דט
10.0 4 10.0 4 5 5 קכקסטפאטדאע
7 6 8 77 7 9 865 עצשתמטף שפהפההס
0 6 0 6 8 505 א608228150 אהמססמק
0 12 0.0 ו2 0 106
ארה"ב.
וו יוו ריוור ורוו ור ו
זאפו6ו5
אזסז זס % א:פואטא
0---------------------------]-]---------------------00000-----00----0-000- ררה הס
7
רופ
0(
94
1000
58
19
4
5
3
2
20
2
8
6
00
100
₪4
5צודז]ז
|גזסז]0 % אזפואטא
100
08
[0
94
108
4
1.09
|04
5
3
5
2
100
9
227
200
5
5
19
16
33
12
5 ואזסד
(555 הסוא חס 5אס)
15
66
20
7
14
55
3
21
צ8 הזסאס או/זטסואהוד
6אואאא 55אושוד)ו]זז?
]פא אודזס5 זוסטא 260וואאז]א:60
זא שודזס5 זוסטא 260וואסז5>
5 וז ז5פז ס?+ז68זאו
65 וא ואוד
ודו וא צחזטך) 855 דאס
אזאס זפוד
5א סק צזוווזט
אסוזג ושואו5
6 עססוא זוסטא
5 פספסאזא
5 אאא אזאס סאוז6600₪א
5 650 56 6או6)אד
006
זו 6ו00ן ואא68סאץ
אצודזס5 אספואגקואס6 ואאמססאץ
]50 סאו6 אד
05 אז אס זפפד
ישראל.
% מ-51
מבקרים
שימוש בטכניקות לביקורת ענ"א יותר מ-3 פעמים ב-3 השנים האחרונות פב ו
% מ-19
מבקרים
% מ-32 מבקרים
מבקרים פנימיים הטכניקה
מספר
כולל
מבקרים
חיצוניים
21 9 2.5 12 14 857ך
9 5 8 8 08 40017 0057041282
8 6 1.5 12 88 "001 0558401280
8 5 ו.28 9 5 1200160 אגת00פת
3 8 21 9 5 7855 5684780דאך
0 3 20.9 7 16
0 ₪ 8 6 5 (ְ(7 6א71א40000
8 3 6 5 85 צץתדזדע
8 2 8 6 85 צעצצדפטג
6 ו 6 5 אס
6 2 5 4 5 551007865 6א14061
5 2 2.8 3 5 אשא54891פאזד
2 1 ו.3 ו 85 י*"*תאפט) 8748455
2 1 ו.3 1 5 פספספסאפדאם
1 ו.3 1 5 א4150תא60 אהגאס6סאק
5 6א61אך
₪ 5 ₪;222 7857
22
ארה"ב.
יוו 0
5וזוסטא | וגזסד 5וסזוסטא | וגאאזהם 5זוסטא | גאא;זאו ואוד
גזסזז0 % 8:*פואטא 5 וטא 5 ₪פפואטא
60
רתרתרחרדר----..-----.--------------
7 20 3 וו 4 29 ודוס זוסטא 260ו1א5?אז0
3 29 0+ 6 רופ 3 ודוס זוסטא 0ז2וואסזפט6
3 6 0+ 6 5 2 5065 צזווודט
20 15 207 4 25 וו 0006
23 14 207 4 22 0 וא 0016 ואא28068
26 3 7 1 207 12 אזאס זד
200 12 200 3 200 9 5 אאא דאס סאוזאטס66א
4 וו 277 4 5 7 5 או ואוד
10 9 3 2 5 7 אסוזווטואו5
0 9 7 1 לו 8 דוו וז 8 855 דאס
3 8 3 2 3 6 5 א זוסטא
לוו 7 7 1 3 6 וו ז5וד 60ד668דאו
לוו 7 200 3 9 4 5 560 006 אד
7 4 090 0 49 4 זא שודוס5 שאו אחז
33 2 00 0 4+ 1 5 אדא
17 ו 00 0 22 1 זוז ס5 או קואס6 ואא8סאץ
17 ו 7 ו 00 0 5 דאס זפד
23
24
3 ביבליוגרפיה
ות 16 חסווזאט|8/ 6םת8 15ק06ת00 |סזותס)",.כ] ,166 שתג .צ[ ,טטזות ה
עז|וסג-] ,2762/82 .ק./ ,"5ות516ץ5 122 666ת40%8 01 פהוזו6 תו 1256 זס]
-ץזופזסעות(1 טנצ2-[16 ,%ת6ותסקַהת3]א ]0
.תת 600 סו[סטק 02671866 )0 51110:6ת1 ת608וח
4515466 ז6)שקו 00" 620166 שתוותט3060 6ת8 61ט/ 66פסקסזק
, אצ סצ;/41022 .76616068
1), שאַהתסתשקַת13/ .15ת18תט4060/ סו[סטק 02011866 )0 5111016ת1 ת08 הוח
7 תסל 46[ ,10 .8ומ5)6ץ5 112 060ה4074 ]0 ₪01 הב
4 602%ת60 :קַת:1)ו60ע ₪02 .ת0ס:45500180 זחסותִסְקַהת3]% תג6ה6וח
34 0-0 ש6צ1 ,418 .6065ותת66ד
חסוזגוחז0)ה] .% זט ותו82ז58 ,1( 6זגת16 תהותפט0ס1] ,] !165 ,||33
.2 :1 ,6]168167)\ .סת1 655ז 1.65[16 .[בטת13 שוסןצ6ל] )4001 575/65
4 [070ת620) ז6)טקות60 1 ,פתו5876 .1 תק1056 6ח8 ,:][ .62 תתס1 ,הסזטם
.ת0ה0זקק ות750)6ץ5 [ג)10 4 0016
;ת0ס118111/ץ116/ :62 ,8זהסזה 54018
.5 )4061 ז6)טקוח 00 .15ה18ת6008// 66ז16זת02) 01 5111016ת1 ת8ו980806)
,10ת0ז0ך ,610
.0 *6601%66[פ2) [0)ת620 .ת0ג681תטס >זסוובטא קסם
ק56 של 5060 ,08ה75)60ץ5 תסנ)הוהזס/ת1 קהו0ו00 .תסוז64תטס פזסזו6טא קסם
,וה5)8 [02270 ,56765 620166 40618 ,לה6 .ם ותגו!!ן/ .תסגסזקק4 01
וו
.ז6)טקוה0-) 0518658 [[גות5 06) קתו)ו0ט .ת0וו68תטס] >זסוושט8 קכם
:1 התהתו5 [02870) ,5665 620166 018 ,צהח6 .םה חגו]ןו/שצ
מסו)התוותהא] ₪12 1סתט0י6) תסווהתנותגא] תסנזטווזפת1 |הנסתהת1] [8ז606
.0 ,80080 6חהג11ן
צחס[ .5/608ץ5 0266!ז0)טקות620 ז0] 070[15ה620 |התז6זה1 .עו16 ,8|4ז6קלוו]
8 .08 ,6211 000ש64 ,4550014165 6ת8 8|6ז280ו]
צֶה6[ . 75]0605ץ5 260!ז0)טקות60 0)תו 0:0[5ת620 שתותקופ6כ] .עו6[ 8[6ז206וו]
.ו :6028 ,62117 006ש2060 /4550018165, 6ת3 8|]6ז6קלונ]
8 )168 ,02000):0[5 תג קתו)ו0ט/ ,07וזט566 זס)טקות 60 .] חשו18[ ,קתסט
:13 ,111115 ע6|!6516\ ,5תס!ז8סו[סטק עז0150 זתסות6קַבת3]) .6קתו0ב6
[8תז16ה1 76 .*תסוזסט6סזות] תא :קהוהתסוס11 [0זוח0ס2)" וצה .11 .ג
43 6ת10 .סם1 ,5ז406110/ [התזסות1 01 6וטז1ז5ת1 6ם1 ]0 [ההזטס [1 סוובטה
9 :
[תזסות] 76 .*[0ז1ת0י) [ההז6ות1 ז0ס) שתודוהתסשטס[] [0זות0)* פוטג .1 ,11
[גהז6זת1 ]0 16ט501ת1] 6ת1 01 |התזטס1 סוובטה
3 :7 ,1983 1קט/ .שת1 ,5%ז0ס:01ט)
זס)טקוה0) .12815 6816 6ת8 ,6ס0/ .₪ 6[הת0כ .60 המתגו!ן|[!/ וגא
,שחרק5 16ת00ותג411/ ,4611015 |המזסות1 01 6זט5111ת1 76 .]4001 תג |0זות0?)
8 1
זז )0)טקוה0) 8[!266ז0ה )26 -[ 167צ18 ,קתטסא .2 הת \1||!!3 ,להסק
,5תסג081ו!טט 01501 ות6וחסקְבת13 .ח0ו)63ו!קק 0ת3 ת56[6010 6זגו)]50
.0 :1 ,111115 ש6|!65[6/
חג קתו)ה6וה6!קוה1] 6הג3 שתוק6!0צ6כ] .] זסנצג1 קתטס< .ם החה!|ג ,ַח6ק
38661 .5775/6085 260:ז0)טקוה60 קתו]165 ז0] ק1861[/)0 )165 66)גזק6וה1
9 ,145 ,111115 ע6116816/ ,5תסגז8סו!סטק 151
.)הסותק6[0צ126 575/68 112 תו תסו)בקוסו)זה )38060 .ם התגו!|!ג/ ,ְח6ק
.ו .1 ,60ת2:[2) .0ם1 | 565הכ6ות עה6ק . גתגון!ו/שצ
,(3008 )א16) .)ת6והת0זוות:] 3856 ג)גכ[ ג תו קתג)ו6ט4 .ם החג!!!ג/ ,עה6ק
.10
1 6ת:!)טכ) כ ת/ :קתו)ו0ט [0064צ1הת .[.] ת0פז06ת/ 6תג .א.ג ,6תתוא5
.6 ,10:00 ,תאזו .400165 10 ה086זקק3 )זבת-0) וסו]
:+77 [0)ה20) תג ץ)]4₪01)891/ 8ות575/6 .5111016ת1 ת0ז46568 . 6זס/ת518
₪שתתק5 6זתסותג1] ,5ז6110ט/ [התז16ת1 01 5111016ת1 16 .0065ס4ז2 |ג₪6
(081ק2אה 546) .1977 .1
,תותג [8ת0ו81תז6זת1 זס] 5ות516ץ5 סותסזו60!ם תס קטסזכ) עְ4ט51 6מך
קטסזכ) 16 ]0 ,%5ת28 |1:8ת26) 6ת1 ]0 5ה6קאם זסוטקות 00 ]0 קטסזכ) 6תן ]0
6 תו ע01[:0גו[6] 0תג ץ)וז5600 .6ת2678וופ 6ת8 65הותט60) ת6ך !0
6 ,5611600615 [8ת8110תז16ה1 )0 אתג .)תשחולה ז0] 55060
215
206
ץזו[וו] 60ש001ז 26 6ת8 156 |0108" .2 תס6זסכ) פוצ8] ,1 עְז28) תספוטסך
6 ]0 |4מתטס1 מסווסט 22 6ת1 ."פסטףותת166 שתטובטג קכם /ס
2 ,1981 אתוזק5 ,תסגז64תטסת 5זס)ו6טא
1 6חג |]4008)הסותתסזוות:] 2356 1230 106 .קטסזכ) תגותקג|2 6הך
1 ,300% %א16)
ז6)טקוה0?) ת! 0:015ת20) [התז6)ת1 קהו)הט[הץ .2106) קתוות 060 [8ז6ת26) 5.נז
1 ,12.0 ,תסוקתוה85/ .620166 |001 ,5750605 83500
5 2022 .700655 )4001 57506805 חסו)הוז0)ת1 ,כ5.820 ,נה6תהתטה!!ה/י
3 :11 ,שזטסותט80ת56 ,6ה1 ת0800תטסת
0 .278601065 6ת8 5ה0ו0ג6ת00/] [603ק66ת00 ,קחוווהט םת .תס 606
.2 ,ץההקות60) 200% 111 וסז2)
יובל, א. "תפקידו של המבקר הפנימי לענ"א מנקודת ראות איש ענ"א". במענ"א,
בטאון איגוד מבקרי מערכות ענ"א בישראל, ינואר 1982, עמ' 105.
לישכת רואי חשבון בישראל, "תקני ביקורת ודיווח", סעיף 10. עידכון מספר
2, יוני 1971.
מכון התקנים הישראלי "עיבוד מידע: סמלים לתרשים זרימה", ת' 51פ9, יולי
6.
סובול, מ.י. "השואת תוכנות לביקורת". במענ"א, בטאון איגוד מבקרי מערכות
ענ"א בישראל, מרס ו198, עמ' 29726. (פורסם לראשונה ב:6!סאת6)טקוחס 6
9-צז"6.30,1980תט1)
פינקלשטיין, מי. "שילוב המבקר בפיתוח מערכות מידע ממוחשבות". במענ"א,
בטאון איגוד מבקרי מערכות ענ"א בישראל, אוגוסט [198, עמ' 17-9.
פינקלשטיין, מי. "שימוש בשאלונים לביקורת מערכות מידע ממוחשבות".
במענ"א, בטאון איגוד מבקרי מערכות ענ"א בישראל, מאי 1982, עמ' 12"55.
פינקלשטיין, מי. "מחקרים בנושא: טכניקות לביקורת ענ"א". במענ"א, בטאון
איגוד מבקרי מערכות ענ"א בישראל, ינואר-מאי 1983, עמ' 17ו327.
4 מילון ומפתח מונחים
בספר כלולים מונחים רבים בשפה האנגלית. לא לכל המונחים קיימים מונחים מקבילים
בשפה העברית. לפיכך במילון המונחים המצורף השתדלתי להגיש לך הקורא תרגומים
והסברים תמציתיים של המונחים. אלה יסייעו לך לעיין בספרות המקצועית העניפה,
שרובה נכתבה בשפה האנגלית.
מבחני קבלה 71, - 710515 4006008000
- 1600705 )4/6600
(123)8 קח11ת4000/)
זהו מידע המופק על ידי תוכנת מערכת ההפעלה של המחשב.
המידע מורכב מרשומות אשר מראות אלו משתמשים נגשו לאלו תוכניות, באיזו תדירות,
למשך כמה זמן, אמצעי חומרה שנדרשו על ידי המהלך וכד'. ניתן להשתמש במידע לצורך
חיוב משתמשים (115885) עבור ניצול משאבי המחשב. 148, 149
תרשים זרימת אפליקציה (יישום) 128, - ]6:31 או110 ח10ו168[קק 3
תוכנית יישום, תוכנית אפליקציה, תוכנית ייצור - וה3זק0ז ת168)10!קק 23
מערכת יישום, מערכת אפליקציה - וח5510 ת1163110קכ 2
בחירת שטח/ תחום לביקורת - ח56166010 4168 )4101
זוהי טכניקה ידנית או ממוחשבת, שמטרתה לסייע למבקר בהחלטתו היכן ליישם את
הביקורת. 32,
מודוּל ביקורת 17, 139, - 100016 )4001
נתיב ביקורת - |91זך 1011
נתיב זה מייצג את האמצעים, דרכם ניתן לעקוב ו כרונולוגי (ברציפות) אחר
הפעילויות, המבוצעות במערכת החל ממסמך המקור ועד לדיווח הסופי ולהיפך. 188,
פעולת עזר 129, - ח220:3110) ץז3ו11אנו ה
- (2302580) ח4103)10/: וח575)6 0.2506 3856
זוהי טכניקה לבדיקה של מערכת יישום ממוחשבת באמצעות סטים סטנדרטיים של
נתוני בדיקה, המפותחים בשלב ניסוי המערכת. 60, 71,
27
208
שפת תיכנות - 38510
שפה זו פופולרית במערכות מיני/מיקרו מחשבים. 183,
אצווה, מנה, חבילה, מיכלול 23, 144, 201, - ת38)0
בקרת מנות 164, - 02000101 33/0
עיבוד במכלול, 157, - 1706655108 ת3316
נקודת מבדק 167, 188, - )2010 266%)
מבקר מערכות - (4061007/ הז57506 ה10)בותז0)ת1 11860ז020)) 0215
מידע מוסמך
שפת תיכנות עילית - (30קחג,1 021160160 3051655 תסתות0?)) 20001)
6, 80, 89,
איסוף 130, - 2011966
חולית תיקשורת 131, - 1.10% ה164110חו ות 0)
הערה, פירוש 132, - )ה6וחו20)
השוואה 17, 24, - ח201081150)
- 0260101 0001060606
זוהי גישה/טכניקה לפיתוח ולהפקה של תוכניות ביקורת ממוחשבות במרכז והפצת
דו"חות הפלט בין המבקרים באתרי הביקורת השונים. 34,
- 16515 1/3006 0)
אלו הן בדיקות הנעשות על ידי המבקר במטרה לוודא, שהתהליכים הידניים
והממוחשבים של תנועות או מאורעות תואמים את השיטות ואת הנהלים של האירגון,
את העקרונות החשבונאיים המקובלים וכד'.
תוצאות הבדיקות קובעות את ההיקף של ה- 16565 116חג)5טטס
,22 ,21 ,0
אימות 24, - ה10 ות ח0)
מחבר 132, - ז006)0ח20)
תרשים זרימת בקרות 128, 133, - )0-81 שו10 60/01
ליבה 131, - 2016)
בקרה מתקנת 151, - 6700701 207760601%6)
יחידת עיבוד מרכזית (יע"מ) - ()(ת1 8ה060551+ [078ת06) (ז0,
7, 120, 122 147,
השוואה צולבת 192, - 620109176 77055)
איזכור הדדי 98, - 06ח146/076 21055)
קתן)35-) 0-1055/ 700112 02055
בדיקות איזון שתי וערב 167, - 6.6685 3313066
- 6זהאו)501 )4001 6500101260
סוג של חבילת תוכנה לביקורת 7ו, 80,
מסד נתונים, בסיס נתונים - 3356 318
זהו אוסף של נתונים, המתוכננים להיות בשימוש על ידי יותר מאפליקציה אחת. 179,
מנהל מסד הנתונים - (15079)01ח1ו0₪// 3356 03)3) 84
מנהל זה מהווה פונקציה אנושית, שתפקידה לקבוע את נהלי העידכון והשימוש במסד
הנתונים, לדאוג לתפעולו התקין של מסד הנתונים ולתאם את הפעילויות הקשורות בו.
3,
- (1281000) ז170[!6ה0:0 )טק)טכ)-וטוקח1 2356 גוג
זהו אמצעי תוכנה המשולב בין המערכת, המנהלת את מסד הנתונים (15א3כ), לבין
תוכנית היישום, באמצעותה ניתן להעביר נתונים סלקטיביים לקובץ המיועד לביקורת.
1,
מערכת ניהול מסד הנתונים - (12315) 575061 )ח6מז6קההג1 3356 גוג
9, 81, 183, 193, 6פו,
תוכנת שרות של מערכת ניהול - 50/0/3816 12111107 5]אמ
מסד הנתונים. 180,
אמצעי שאילתות של מערכת - 1861110165 עז6ט2) 15א
ניהול מסד הנתונים 180,
זיהוי ורישום מאורעות הרלוונטיים - 6זט1ק3:) 318
לפעילויות האירגון 151,
מילון נתונים - צְזה8ח216)10] ג)ה
המילון עוסק בתאור ההיבטים הלוגיים של מסד הנתונים. הוא מתאר "מה" יש במסד
הנתונים (שמות נתונים, תאור נתונים, שמות נרדפים). 181,
מדריך כתובות, מדריך מענים - ץז66)0זוכ] גוג
זוהי רשימה או טבלה של "מצביעים" (5ז6)ח201) המאורגנים על מנת להראות יחסים.
המדריך עוסק בתאור ההיבטים הפיסיים של מסד הנתונים. 181,
- ח0ופוצןכ] 318
זהו קטע (פרק) בתוכנית מחשב, המתאר את מבנה הנתונים. 87, 106,
תהליך הזנת הנתונים למחשב 151, 193, - [ז)ה 3)8]
הסבת הנתונים, שנאספו, לצורה קריאה על ידי המכונה 151, | - ח8)10ז8ק6זץ )3
- 8660105 46/1717 )56 318
זהו מידע, המופק על ידי תוכנת מערכת ההפעלה. (נתונים על קבצים, שהיו בשימוש
במהלך העיבוד, מי דרש את השימוש בסטים של הנתונים וכד'.) 148,
החלטה 129, - ח1661510
חבילת כרטיסים 131, - 6.8105 01 1266%
בקרה מגלה, בקרה תוקפת 151, - [6-00010 126166)1%6
בקרה מרתיעה 150, - [00110?) )ת6זז6)6]
תצוגה 131, - זָג3!ק5וכ
29
220
דיסק 87, - א*פושם
מסמך 130, - ה6והט06
הדפסת התוכן של זיכרון המחשב - וחטש
הדפסה זו נעשית באופן חופף לצורת הנתונים בזיכרון (בינרי, אוקטלי או הקסדצימלי).
7 183, 190,
בדיקות עריכה, מבדקי עריכה 21, 47, 153, 191, - 020615 ]1201
- ח0201160010) 12808 )4001 260060
זוהי טכניקה שמטרתה לבחור תנועות, המעובדות במערכת יישום ממוחשבת, ולהשגית
עליהן. 141,
רשומות מורחבות - 1660105 060ה10%16
זוהי טכניקה לבחירת תנועות, המעובדות במערכת יישום ממוחשבת, ולהשגחה עליהן.
7 43
שליפה 130, - )4086
קובץ כרטיסים 131, - 028105 01 7116
קו זרימה 131, - 6ה1,1 10
סוג של חבילת תוכנה לביקורת 17, 80, - 50109816 )41101 01811200ח26)
סכום גבוב, סיכום סרק 152, 158, - 170091 1185
קלט-פלט (ק"פ) 130, 147, - (1/0) )0וקזטכ)/)טקה1
שאילתא 24, - ץָזונוףח]
פיקוח 24, - 5060010₪ח1
אמצעי בדיקה משולבים - (1176) 1461110105 105% 8106ז60)ה1
זוהי טכניקה לבדיקה ולניסוי של תוכניות יישום ממוחשבות באמצעות הזרמת נתוני
בדיקה באותו מחזור עיבוד של נתוני הייצור. 16, 17, 51, 60, 68, 105,
מימשק 180, - 1/61/8060
פסק, קצה 132, - )קטזז6)ח1
- 8ַת1)ת46600 105
זוהי תוכנה במערכת הפעלה של מחשב. התוכנה מספקת נתונים על התחלה של ג'ובים
וסיומם, על זיהוי המשתמש, על שימוש בקבצי נתונים וכד'. ניתן להשתמש בתוכנה
לחיוב משתמשים (115185) עבור ניצול משאבי המחשב. הנתונים המתקבלים נקראים
בשם 12803 2ת1)חט4/060/. 17, 147,
- ס₪ַגנוקַת1,3 [010ה00 109
זהו אוסף פקודות והנחיות, שניתנות למערכת ההפעלה של המחשב על מנת להריץ את
הג'ובים השונים. 69,
הקלדת נתונים לסרט מגנטי 192, - 1876 40 1467
הקלדת נתונים לדסקה מגנטית 192, - 1918% 10 166
יומן ארועים 181, 194, - 1/0
- פחוטטס 1
כתיבת יומן על ארועים, המתרחשים במערכת מחשב. 17, 147,
דיסקה מגנטית 131, - א1215% 1306116
תוף מגנטי 1ו13, - והזטזכ1 13276116
סרט מגנטי 131, - 1376 13506110
קלט ידני 130, - )טקת1 [הטתג1א
פעולה ידנית 129, - ח8)10ז226) [גטחג]א
מיפוי - פַתוקקג1א
זוהי טכניקה המשתמשת בתוכנת מדידה ממוחשבת, אשר מנתחת תוכניות מחשב
במהלך הפעלתן. 120, 181,
מסוף הפעלה ראשי 181, - (כ()11) ח3010ז0206) [בחנותחז6 1 ז13510א
קובץ ממורילי/זמני - 1116 1610
זהו קובץ המשמש לעבודה שוטפת עד להרצת מהלך עידכון סופי/קובע. 200,
מיזוג 130, - 167001
- 0ז8או)/50 ]4001 1)15106ט1/
זוהי גישה/ טכניקה לפיתוח תוכניות ביקורת ממוחשבות במרכז, ויישומן/הפעלתן באופן
עצמאי באתרי הביקורת השונים, על ידי חוליות הביקורת. 35,
ראה וחז3זש0ז )0[66כ) -006-) )20[60)
9, 123, 196,
- הז8זק0ז? ]2[606)
זוהי תוכנית מחשב, המתורגמת לשפת המכונה (המחשב) על ידי המהדיר (ז116שח 60).
5, 66, 89, 195,
התבוננות 24, - ח8)10+ז2050)
לא מקוון, מופרד 201, - 6חג, 011-1)
החסנה פרודה 130, - 51019806 6ה1,1-]/0)
מקוון, קשור 68, 158, 201, - 1,106-ח0
החסנה קשורה 130, - 5101980 6ה1,1-ח)
אורח מקביל 131, - 1006( [378116]
סימולציה במקביל, החקיה, הדמיה - ח13)10טוחו5 [3116ז]
זוהי טכניקה לאימות עצמאי של לוגיקת העיבוד של תוכנית יישום ממוחשבת. עיבוד
הנתונים באמצעות תוכנית הסימולציה נעשה במקביל לעיבודם על ידי תוכנית הייצור
8,
שפת תיכנות - 7235641
שפת תיכנות זו פופולרית במערכות מיני/מיקרו מחשבים 183,
221
222
שינוי, המוכנס לתוכנית מחשב, לאחר שיושמה - 78061
להפעלה באופן שוטף. 190,
ביקורת לאחר היישום 176, 188, - )4.01 מ5+8113110ח720501
תהליך מוגדר מראש 129, - 706055 166661006
הכנה 129, - ת60378)10ז
קלט שנרשם מראש (כגון: שיק ממוגנט) 153, - ]נוקה1 6601600ז6זק
בקרה מונעת 151, - 6200101 01%6ה6ע6זק
- ח12191510 27066016
זהו קטע (פרק) בתוכנית מחשב, המתאר את תהליך העיבוד. 98, 106, 122,
תהליך 129, - 12:00655
תוכנה להשואת תוכניות מחשב 123, - 50109816 ה150ז3קות0-) מזהזקסז
סקירת תרשים זרימה של תוכנית מחשב 98, - או16ש6ל1 )זג 6-1 17108 וחגזקסזק
רשימת הפקודות (המשפטים) של תוכנית מחשב 190, - 8חז1.150 הזה זקסז
סקירת הלוגיקה של תוכניות מחשב 17, 97, 98, - 5610 1.0016 ותהזפסזק
כרטיס מנוקב 130, - 602916 666חט
סרט מנוקב 131, - 176 66ת6חט
שפת שאילתות 183, - 6הְהּפַח1.3 עזסוכ)
זמן אמיתי 68, - 8631-7116
התאוששות 46, 193, - ץ13660701
בקרת התאוששות 151, - 60-0001001 :866076
- 181886 ז4)0 6חג 1361016 1.08 11660017
זהו יומן הרושם את תוכן הרשומה לפני עידכונה ולאחריה. 181,
בקרה מדווחת 151, - 02000701 שַת1)ז0ק16
מַחָזֶר 46, - )זה)65
שפת תיכנות - (00019107) התג זק0ז'] )ז0ק136) )ו
שפה זו מקובלת במערכות מיני מחשבים. 183,
- 620001015 חטוא 0) חטת
אלו הם אמצעי בקרה לאימות שלמות העיבוד.
האימות מתבצע על ידי השוואת סיכומי פריטים בשלבים שונים של מחזור העיבוד.
3, 162, 166, 195,
- (5480) 11165 26716 )401 58116
זוהי טכניקה לבחירת תנועות, המעובדות במערכת יישום ממוחשבת, ולהשגחה עליהן.
3,
דגימה 24, - שָחו!קו53
- 0ת50011
זוהי טכניקה המסייעת לדרוג מערכות לביקורת. 26,
מחזור חיים של פיתוח - 62616 1,116 161 ק1266[0 1ה5506) 51.0
מערכת מידע ממוחשבת 167,
מארב - 5805101
זוהי תוכנה ה"מצלמת" חלקים מזיכרון המחשב, המכילים שדות נתונים, המעורבים
בתהליך קבלת החלטה ממוחשב על ידי תוכנית היישום, בעת שההחלטה מתקבלת.
,104 ,8
מיון 130, - +01
ראה וח8זקסז? 66זטוס - 62006 500106
1 98, 123,
רשימת הפקודות (המשפטים) של תוכנית המקור 190, - 8ה1,1501 0106
תוכנית מקור - ותגז0ז?] 1106ו50
רשימת הפקודות של תוכנית מחשב לפי כללי שפת התיכנות. 87, 195,
סוג של דגימה סטטיסטית 81, - 20) 6חג 5107
- 16565 1/6)ח5₪05)3
אלה הם בדיקות וניסויים הנעשים על ידי המבקר על מנת לאמת תנועות ספציפיות,
סיכומים, איזונים וכד'. הבדיקות והניסויים יסייעו לביסוס חוות דעתו של המבקר על
חוקיות, על תקפות ועל סבירות של התנועות המעובדות, על נאותות הטיפול החשבונאי
ועל איזונים במערכת. 20, 21, 22,
- (50-481) 11165 16ץ16] ]401 [70ח020 וח5506
זוהי טכניקה לבחירת תנועות, המעובדות במערכת יישום ממוחשבת, ולהשגחה עליהן.
3,
יומני מערכת - 1.005 551681
אלו יומנים המופקים על ידי מערכת ההפעלה של מחשב ובהם נרשמות הפעילויות
שבוצעו במחשב 147,
סימון רשומות נבחרות - 15600105 56160060 קהוקקהך
זוהי טכניקה לבחירת תנועות, המעובדות במערכת יישום ממוחשבת, ולהשגחה עליהן.
7 145
נתוני בדיקה, נתוני ניסוי - 24]3 )7705
זוהי טכניקה לבדיקה של תוכניות יישום ממוחשבות ולניסויין. 16, 17, 51, 57, 181,
מחולל נתוגי בדיקה - (11)3') 6260019107 2412 )765
זוהי תוכנה ליצירת נתוני בדיקה. 17, 63, 91,
בדיקה, ניסוי 24, - 8ח765)1
שרותי שיתוף זמנים 17, 96, - 56/1605 קחוזב 5 6ותניך
23
204
מעקב - 8ַת119801
זוהי תוכנה, אשר מספקת ראיות מתועדות לגבי הנתיב, דרכו זורמת תנועה, המעובדת על
ידי תוכנית מחשב 17, 108, 181,
יומן תנועה 193, - 1.08 מ8580010ז
בחירת תנועות - ת56160010 ת5846010ה3ז
זוהי טכניקה לבחירת תנועות, המעובדות על ידי מערכת יישום ממוחשבת ולהשגחה
עליהן 139, 143,
תוכנית שרות 17, 95, - והגזקסז קוו
משתמש, צרכן 96, 133, 186, - 1567