בתי השקעות נתונים לאחרונה לפיקוח ולצורך לעמוד בסטנדרטים שונים ממה שהורגלו אליהם מכורח מספר רגולציות. באוגוסט 2005 עיגנה הכנסת את המלצות ועדת בכר, אשר בחנה והגדירה את הצעדים הנדרשים לביסוס המבנה התחרותי בשוק ההון והכספים בישראל. אחד התיקונים העיקריים בחקיקה המבוססים על המלצות הועדה הינו הפרדת הבנקים מהבעלות על קופות הגמל וקרנות הנאמנות. עקב כך בשנים האחרונות התרחשו שינויים רבים בשוק ההון בישראל אשר אילצו את בתי ההשקעות להתאים עצמם לשינויים ובכלל זה לבצע התאמות במערכות המידע.
מאז אושרה רפורמת בכר, נפרדו הבנקים מהבעלות המלאה על קופות הגמל וקרנות הנאמנות, ושירותים אלה ניתנים כיום על ידי שורה ארוכה של חברות קטנות בהרבה ובעלות מערך מחשוב מצומצם. מציאות חדשה זו הביאה לפוטנציאל עסקי רב לבתי ההשקעות אולם בצד הפוטנציאל נדרשת מבתי ההשקעות גם היערכות מתאימה הכוללת בראש ובראשונה הקמת מערך מחשוב התומך בכל התהליכים העסקיים של החברה, עמידה בדרישות הרגולטור ומענה מתאים לתחרות בשוק ההון.
לאור זאת בתי ההשקעות מוצאים עצמם בשנים האחרונות במציאות מורכבת ומאתגרת מבחינת ניהול מערכות המידע. לרשותם של בתי ההשקעות לא עומדות בד"כ מערכות המידע שהבנקים הקימו לאורך השנים, ומכירת קופות הגמל לבתי ההשקעות השונים מאלצת אותם להתאים את מערכות המידע שלהם לשינויים בשוק ובהיקף הפעילות. בתי ההשקעות מתמודדים כיום עם אותן מורכבויות ואותן דרישות שהיו לבנקים, אולם בהיקפי תקציב נמוכים יותר. חלק ניכר מהנכסים של בתי ההשקעות מתופעלים ע"י גופים חיצוניים. אופן ניהול זה חייב את בתי ההשקעות להקים מערכת "צל" אשר תאפשר גישה ישירה לנתוני כלל נכסיהם ותאפשר לבקר ולנטר פעולות שבוצעו בנכסים ואת מהימנות הנתונים והדיווחים.
השלכה נוספת למציאות החדשה הינה הידוק הפיקוח של הרגולטור על בתי ההשקעות, ודרישה לעמידה בהוראות הרגולטור אשר מתייחסות לסביבת מערכות המידע. ההוראות העיקריות אשר רלוונטיות לסביבת מערכות המידע בבתי ההשקעות הינן:
א. דרישה עמידה בהוראות SOX - בחוזר מיום 2 באוגוסט 2006 קבע הרגולטור את מתכונת הגילוי בדבר יעילות הבקרות והנהלים לגבי הגילוי בדוחות, ובדבר השינוי הנדרש בבקרה הפנימית על דיווח כספי של גוף מוסדי. על פי חוזר זה על בתי ההשקעות ליישם את דרישות סעיף 404 של הוראות ה ,SOX –והחל מהשנה שמסתיימת ביום 31 בדצמבר 2010, לכלול הצהרת הנהלה לאחריותה על הבקרה הפנימית על הדיווח הכספי. חוזר זה כולל דרישה ליישום בקרה פנימית נאותה ומחייבת על פי מסגרת מוגדרת ומוכרת, בחוזר צוין כי מודל ה-COSO המגדיר בקרה פנימית יכול לשמש לצורך הערכת הבקרה הפנימית. יישום דרישות הוראות חוזר זה מחייב פיתוח והקמה של בקרות פנימיות, לרבות בקרות פנימיות בסביבת מערכות המידע.
ב. דרישה לניהול סיכוני אבטחת מידע וסייבר - בהוראה לניהול סיכוני אבטחת מידע של הגופים המוסדיים מיום 6 בספטמבר 2006, הדגיש הרגולטור כי התפתחות המערך הטכנולוגי התומך בפעילות העסקית בתחום הביטוח והגמל, יוצר מצד אחד הזדמנויות עסקיות חדשות ומצד שני טומן בחובו סיכונים למידע האגור בו ולכן על הנהלת החברה להגן על המידע אודות לקוחותיה. לצורך כך, על בתי ההשקעות להקצות משאבים ליישם בקרות ומנגנוני אבטחת מידע. על פי הוראות הרגולטור על בתי ההשקעות להגדיר עקרונות שימוש מאובטח במערכות המידע של הארגון. עקרונות אלה צריכים להגדיר את אופן השימוש בשרתים, מחשבים נייחים, מחשבים נישאים, ציוד תקשורת וכל ציוד מחשובי אחר המשמש את הארגון לצורכי עיבוד או שמירת מידע. בקרות ומנגנוני אבטחת מידע צריכים לטפל בגילוי ומניעה של אירועי אבטחת מידע על מנת להבטיח זמינות, שרידות, אמינות, שלמות דיוק וסודיות של המידע. בקרות אלו צריכות להתייחס למגוון נושאים כגון שימוש ברשת האינטרנט ובדואר אלקטרוני, הרשאות גישה לוגיות ופיזיות וכו'. יישום הוראה זאת הינו תהליך מורכב הדורש תכנון קפדני בהתאם לאופי בית ההשקעות.
ג. דרישה לניהול תחום טכנולוגיות המידע - בטיוטת הוראת הרגולטור בדבר טכנולוגיות מידע בגופים מוסדיים מיום 12 ביוני 2009 הצפויה להיכנס לתוקף החל מיום 31 בדצמבר 2009, הדגיש הרגולטור את חשיבות מערכות המידע והבהיר כי הליבה העסקית והתפעולית של הגופים המוסדיים נתמכת בצורה מהותית על ידי מערכות מידע שונות. לפיכך החל מכניסת ההוראה לתוקף על בתי ההשקעות לנהל את תחום טכנולוגית המידע על פי תקנים מקצועיים מקובלים ועל בסיס עקרונות ממשל תאגידי נאותים הכוללים התייחסות לתהליכים ולבקרות הנדרשות בניהול תחום טכנולוגית המידע, וזאת במטרה להבטיח את ניהולן התקין ואת תמיכתן בפעילות העסקית. בנוסף, טיוטה זו מדגישה את אחריות הדירקטוריון והנהלת החברה על ניהול תהליכי טכנולוגית המידע לרבות אחריות הדירקטוריון לאישור מסגרת בקרה כוללת, קביעת יעדי בקרה והבטחת קיומם של מנגנוני פיקוח ובקרה נאותים בתחום טכנולוגיות המידע. על מנת לעמוד ביעדי הבקרה המליץ הרגולטור על מתודולוגיית COBIT כמסגרת בקרה מקובלת לקיום מנגנוני בקרה ופיקוח יעילים בתחום טכנולוגית המידע.
קיימות רגולציות נוספות להן כפופים בתי ההשקעות כגון תקנון חברי הבורסה אשר לפיו חש"ב (חבר שאינו תאגיד בנקאי) יפעיל מנגנונים אשר יאפשרו לו בכל עת לנהל את הסיכונים הגלומים בפעילותו באופן יעיל ויאפשרו לו לפקח ולבקר את הסיכונים הללו. בתקנון נקבע כי דירקטוריון החש"ב יאשר את מנגנוני ההתראה והחסימה הקיימים במערכות המידע המרכזיות של הגוף המוסדי, על פי התקנון מערכות המידע צריכות לכלול בין היתר מנגנונים אוטומטיים אשר יחסמו ויתריאו בעת ביצוע הוראות אשר יחשפו את בית ההשקעות לסיכונים כגון הוראות שביצוען יגרום למכירה בחסר שלא בהתאם לתקנון. כמו כן בתקנון קיימת דרישה לביצוע הפרדת תפקידים בחש"ב וחלוקת אחריות ברורה בין היחידות המבצעות את הפעילות והיחידות התומכות בפעילות.
בנוסף, קיימות רגולציות נוספות של הממונה על שוק ההון אשר אינן מתייחסות באופן ישיר לתחום מערכות המידע, כגון דיווח רבעוני לעמיתים ועוד וקיום בקרות על הנתונים המנוהלים במערכות המידע יסייע לעמוד גם ברגולציות אלו והדבר גם מחייב שינויים מהותיים במערכות המידע.
כיום אנו עדים לכך כי אכן בתי ההשקעות צמחו בשנים האחרונות אולם לא תמיד התפתחות זו באה לידי ביטוי בשינוי מבני מתחייב. יש לשים לב כי היקף הנכסים המנוהל בידי גופים מוסדיים והסיכונים להם הם חשופים מחייבים קיומם של מנגנוני בקרה ופיקוח יעילים וקפדניים ולכן קיימת חשיבות רבה ליצירת מבנה ארגוני ופיקוחי שמתאים את עצמו לסדר הגודל בו פועל בית ההשקעות מבחינת תחומי הפעילות והיקפם תוך מתן דגש למבנה מתאים בכל נקודת זמן. מערך הביקורת הפנימית צריך לכלול בקרות על מערכות המידע הממוחשבות ובכלל זה בקרות על סיכוני אבטחת מידע על מנת להבטיח את מהימנות הנתונים ובסיסי הנתונים שעליהם מתבססים הרישומים החשבונאיים והדיווחים הכספיים.
להלן האתגרים העיקריים איתם נדרשים בתי ההשקעות להתמודד והמלצות לשיפור מערך הבקרה הפנימית בסביבת מערכות המידע:
1. אבטחת מידע - היעדר פונקציה של אבטחת מידע בבית ההשקעות עלול להביא לליקוי משמעותי במערך בקרות ה - ITולאי עמידה בדרישות הרגולטור. עד לאחרונה בתי השקעות רבים שנוהלו כחברות קטנות נטו לוותר על פונקציה זאת עקב מצוקת כוח אדם. מומלץ לדאוג למנות אחראי רשמי לתחום אבטחת המידע שיישא באחריות לאבטחת המידע בחברה מטעם ההנהלה, ייעץ להנהלה בנושא, יטפל באירועי אבטחת מידע, ינהל תהליכי בקרה על יישום תוכנית אבטחת המידע, יעקוב אחר מתן הרשאות גישה למשתמש, ידריך את העובדים בנושא אבטחת מידע ועוד.
2. ועדת היגוי למחשוב - תפקיד ועדה כזו הוא לקבוע את מדיניות מערכות המידע בארגון, לערוך מעקב אחר התקדמות תוכנית העבודה השנתית והרב שנתית, לדון בממצאי מבדקים וביקורות וכו'.
גם אם יחידת מערכות המידע בבית ההשקעות קטנה ומעסיקה איש IT אחד, עדיין קיימת חשיבות לקיום הועדה והתכנסות תקופתית שלה בהשתתפות המנהל הממונה עליו ומנהלים בכירים נוספים, כגון מנכ"ל, סמנכ"ל תפעול ונציג בכיר של המשתמשים העיקריים.
3. אבטחה פיזית - קיימת חשיבות רבה להגנה פיזית של מתקני החברה והציוד הקיים בחדרי המחשב וזאת בכדי למנוע נזק בלתי הפיך למערכות הקשורות לתהליכים הכספיים בארגון.
לפיכך, יש להקפיד על אבטחת חדר המחשב וחדר התקשורת, לכן יש להקפיד כי הגישה לחדר השרתים תתבצע על ידי גורמים מורשים, כמו כן יש לדאוג כי חדר השרתים יכלול הגנות פיזיות שונות כגון אמצעי כיבוי אש ועשן, שמירה על רמת טמפ' נאותה, שימוש באל פסק וכו'.
4. הרשאות גישה וניהול סיסמאות - בבתי השקעות רבים לא קיימים נהלים למתן הרשאות גישה ולסקירה תקופתית של הרשאות המשתמשים לווידוא עדכניותן ונחיצותן. בנוסף לא תמיד קיימת הפרדה בין הגורם אשר אחראי על קביעת מדיניות הרשאות למערכת מסוימת, לגורם אשר אחראי על מתן ההרשאות בפועל. נושאים אלו הינם מהותיים במערך הבקרה הפנימית ונועדו להבטיח כי הגישה לנתונים של החברה תתבצע רק על ידי גורם מורשה. מומלץ לבצע סקירה תקופתית בתדירות קבועה על מנת לבחון את עדכניות ההרשאות. סקירה זו צריכה לגרור ביטול חשבונות שאינם בשימוש או הרשאות שניתנו ואין בהן צורך יותר. בכדי להימנע מתהליך מתן הרשאות לא מסודר, מומלץ להשתמש בטופס הרשאות שיכלול בין השאר את חתימת הממונה הישיר לאישור ההרשאה. כמו כן קיימת חשיבות להגדרת הפרדת תפקידים בתהליך מתן ההרשאות על ידי כך שעובד אחד יקבע את מדיניות מתן ההרשאות ויאשר אותן ועובד שני יגדיר אותן בפועל במערכת. בנוסף יש להקפיד להחזיק חשבון משתמש נפרד לכל משתמש ולהבטיח כי הסיסמא למערכות השונות תהיה מורכבת ובעלת מאפיינים מתאימים נוספים.
5. מתודולוגיות פיתוח וניהול שינויים - בבתי השקעות רבים תהליכי הפיתוח והרכש לרוב אינם מעוגנים בנהלים או במדיניות, נושא זה הינו בעל חשיבות הן עבור מערכות מידע בפיתוח עצמי והן עבור רכש מערכות מידע/תוכנות מדף ולהתנהלות עם ספקים. מומלץ להגדיר נהלים לפיתוח מערכות ולהוסיף לכללי ההתקשרות הסטנדרטיים עם ספקים, כגון הסכמי סודיות ו SLA, גם דרישות של תיעוד לגבי שינויי תוכנה והתאמות שבוצעו, ניהול גרסאות מסודר וכו'. עבור מערכות בפיתוח עצמי יש להקפיד לעבוד בסביבת פיתוח המופרדת מסביבת הייצור, יש להקפיד לתעד מסמכי דרישה לשינוי במערכות ואפיון של המערכות והשינויים, לוודא כי שינויים יועברו לסביבת הייצור רק לאחר שנערכו בדיקות מספקות.
6. הפרדת תפקידים - בבתי השקעות רבים נמצא כי במקרים רבים פיתוח המערכת, הבדיקות והעברה ליצור מתבצעים על ידי אותו גורם וכי למפתחים קיימת הרשאת גישה לסביבת היצור. העדר ההפרדה מהווה ליקוי מהותי בבקרה הפנימית של החברה. מומלץ לפצל תהליך זה בין גורמים שונים על מנת להבטיח כי הגרסאות אשר קיימות בסביבת היצור מאושרות ולמנוע אפשרות למעילות והונאות. יש להקפיד כי בסיום הפיתוח יתבצעו בדיקות על ידי המשתמש העסקי על מנת לאשר את השינויים ולהקפיד כי הגורם אשר מבצע העברה ליצור יהיה שונה מהגורם המפתח או לחילופין להגדיר בקרות מפצות לכניסת מפתחים לסביבת היצור.
7. הקפדה על תיעוד - בבתי השקעות רבים כמו בהרבה חברות קטנות תהליכים רבים נעשים באופן לא פורמאלי ובשיחות מסדרון. תיעוד יעיל עוזר להתנהלות החברה בכך שהוא מאפשר מעקב על אופן התנהלות התהליכים בחברה, עוזר בהכוונת עובדים חדשים ומספק עדויות התומכות בדיווח על יעילות מנגנוני הבקרה. בנוסף, הבדיקות במסגרת SOX דורשות ראיות לכל הבקרות הנבדקות. רמת התיעוד קשורה לגודל החברה וצרכיה ובתי השקעות מעצם היותם חברות קטנות יותר לעיתים קרובות מתאפיינים בתיעוד מועט. קיימת חשיבות לתיעוד התהליכים המהותיים בחברה ולתיעוד הבקרות הרלוונטיות ל- SOX כגון כתיבת נהלים פורמאליים, תיעוד דרישות להרשאות גישה ושינויים במערכות המידע, תיעוד בדיקות, תיעוד תקלות וכו'.
לסיכום בניית מערך בקרה פנימית נאות בסביבת מערכות מידע של בתי השקעות חשובה הן עבור התמודדות עם השינויים בתהליכים העסקיים בחברה והן לצורך עמידה בדרישות הרגולציה. בנוסף לכך מערכות מידע כיום מהוות עבור כלל הגופים במשק ובכלל זה גם בבתי ההשקעות מרכיב מרכזי בהצלחה העסקית ובהשגת יתרון תחרותי ומהוות כלי בסיסי בעבודתו של כל בית השקעות. קיום בקרות פנימיות בסביבת מערכות המידע יסייע לבית ההשקעות להשיג את היעדים הללו. אימוץ מתודולוגיית COBIT אשר עליה גם המליץ הרגולטור בטיוטות ניהול טכנולוגיות המידע תסייע לבתי ההשקעות לנהל את מערכות המידע בחברה ביעילות ותסייע להתמודד עם האתגרים השונים בפניהם ניצבים בתי ההשקעות בתחום מערכות המידע.
הירשם לניוזלטר
Please fill out the following form to access the download.