המתודולוגית של ניהול סיכונים של שחף ייעוץ פותחה בשנים האחרונות על בסיס ידע וניסיון בהטמעה וסקירה של מערכות ERP . מתודולוגיה זו מספקת מענה מקיף לצורכי ניהול הסיכונים.
זיהוי מערכות המידע הפועלות בארגון:
- זיהוי של כל מערכות המידע הפועלות בארגון.
- מיפוי העובדים האחראים על כל אחת ממערכות המידע שזוהו.
- פגישות עם עובדים, על מנת לקבל הסברים ונתונים בנוגע לתהליכים העסקיים המבוצעים על-ידי כל אחת ממערכות המידע שזוהו.
- זיהוי האיומים והשפעתם על נכסי המידע.
- זיהוי הבקרות שנועדו להפחית את הסיכון והשפעתו, ובנוסף – תעדוף הבקרות לפי מידת האפקטיביות, היעילות ושקולי עלות-תועלת.
המלצה על הטמעת בקרות על-פי שיקולי עלות-תועלת ובהתחשב בשיקולים, כמפורט להלן:
-
-
- עלות הבקרה ביחס לתועלת הנובעת מהפחתת הסיכון.
- מידת הסיכון אליה ההנהלה מוכנה להיחשף.
- שיטה מועדפת להפחתת הסיכון:
-
- ביטול הסיכון.
- הפחתת הסבירות להתרחשות הסיכון.
- הפחתת השפעת הסיכון.
- ביטוח מפני הסיכון.
איסוף מידע ותכנון הביקורת
- הבנת הסביבה העסקית של הגוף המבוקר.
- תוצאות ביקורות משנים קודמות.
- דוחות כספיים עדכניים.
- חקיקה.
- סקירת סיכונים שבמהות.
הבנת מערך הבקרה הפנימית
- סביבת הבקרה.
- נוהלי הבקרה.
- הערכת סיכון הבקרה.
- הערכת סיכון החשיפה.
- הערכת הסיכון הכולל.
ביצוע בדיקות ארגוניות
- בחינת מדיניות ונהלים.
- בחינת בקרות מנהלתיות, כגון: הפרדת תפקידים.
סיכום הביקורת
- ניסוח המלצות.
- עריכת דוח ביקורת.