The Professional Committee Forum

ברוכים הבאים לפורום הוועדה המקצועית

קחו רגע להכיר את פעילות פורום הוועדה המקצועית של איגוד ISACA ישראל

מטרת הפורום היא לקדם מצוינות מקצועית ולמידה מתמשכת בקרב חברי הקהילה שלנו, ולחזק את מעמדם כמובילים בתחומם. הפורום משמש כפלטפורמה לשיתופי פעולה, הפריה הדדית, ולשיתוף ידע וניסיון של החברים בה.

במסגרת הוועדה אנו פועלים לחזק את הסטנדרטים המקצועיים בתחומי ממשל IT, ניהול סיכונים, ביקורת ואבטחת מידע, תוך התאמה לאתגרי השטח וקידום מתודולוגיות חדשניות. בנוסף, הפורום מפרסם התייחסות לטיוטות רגולציה שונות ומקדם שיח רעיוני בנושאים משמעותיים.

אירועים קרובים

מפגש הועדה המקצועית בנושא סיכוני קוד פתוח בעידן הבינה המלאכותית (דצמבר, 2025)

ב- 11 בדצמבר יתקיים מפגש נוסף של פורום הוועדה המקצועית, אשר ידון ב סיכוני קוד פתוח בעידן הבינה המלאכותית.

לרישום:

https://forms.gle/A9VCLsEMX9rKNTQb9

* מספר המקומות מוגבל

אירועים קודמים

נייר עמדה - תפקיד הביקורת הפנימית באירוע סייבר  (נובמבר, 2025):

סיכון סייבר הפך בעשור האחרון לאחד הסיכונים המשמעותיים ביותר והמרכזיים ביותר בארגונים, ואף מדורג דרך קבע בראש סקרי הסיכונים הגלובליים. ניהול סיכון זה נחשב למאתגר ומורכב, במיוחד לאור תחכום מתקפות הסייבר והשילוב של טכנולוגיה יחד עם הנדסת תודעה (Social Engineering). בתוך סביבת סיכון דינמית זו, תפקיד הביקורת הפנימית השתנה והתרחב.

בחודש ספטמבר קיימה הוועדה המקצועית מפגש שולחנות עגולים בנושא: תפקיד הביקורת בעת אירוע סייבר, במהלכו הוחלט על כתיבת 'נייר עמדה' בנושא.

המסמך נכתב על ידי חברי פורום הועדה המקצועית, ISACA ישראל - בר וויס סלהוב, יו"ר הוועדה,  דר' אלון כהן, ברק ג'אן וסמדר דוברת.

קבצים מקושרים:

נייר עמדה-תפקיד הביקורת הפנימית באירוע סייבר

שולחן עגול בנושא תפקיד הביקורת בעת אירוע סייבר, על פי נב"ת 364 (ספטמבר, 2025)

נב"ת 364 בנושא סיכוני טכנולוגית המידע, אבטחת מידע והגנת הסייבר, העתיד להיכנס לתוקף במאי 2026 מגדיר מספר דרישות חדשות מיחידת הביקורת הפנימית, ביניהם הגדרת אופן מעורבותה של יחידת הביקורת בזמן אמת בתהליך לניהול אירועים, ביניהם גם אירועי סייבר.

רגע לפני תחילת השנה החדשה וחופשת החגים נפגשנו לדון בפורום הועדה המקצועית על תפקיד הביקורת באירוע סייבר. במפגש אירחנו את נדב עלה, בעל ניסיון רב בעבודה מול גופי ביקורת בחברות רבות ומגוונות וכיום יועץ עצמאי בתחום הסייבר המתמחה בתרגול הנהלות ודירקטוריונים כהכנה להתמודדות עם אירועי סייבר. נדב שיתף מנקודת מבטו לגבי מהות אירוע סייבר ותפקיד הביקורת באירועי סייבר, בדגש על האתגר בין שמירה על 'מעורבות בזמן אמת' לבין הצורך בשמירה על עצמאות ביקורתית. כמו כן, הומלץ לבחון אימוץ גישת "איפכא מסתברא" שמוכרת מתחום הביטחון עבור אירועי סייבר. בנוסף, הוצגו פרקטיקות מומלצות לביקורת פנימית בנושא סייבר, כגון השתתפות בתרגילים, תיעוד אירועים, וקביעת מדדי ביצוע מרכזיים (KRI).

במסגרת המפגש דנו בשאלות הבאות:

📍 איך יכולה הביקורת לחזק את חוסן הארגון ולמנוע משברים עוד לפני שהם מתרחשים?
📍 מהם האתגרים והסיכונים בנטילת אחריות פעילה באירועי סייבר? האם זה עלול לפגוע באובייקטיביות של הביקורת?
📍 אילו תפקידים יכולים המבקרים למלא, כגון הובלת צוות "איפכא מסתברא",  ומהם היתרונות, החסרונות והסיכונים בכל גישה?

בעקבות הדיון הוחלט כי הוועדה המקצועית תגבש נייר עמדה בנושא.

תודה לנדב עלה על השתתפותו בוועדה, תודה לדרור בר משה על האירוח, לאירה חפץ מזכירת האיגוד על הסיוע בארגון המפגש ולכל מי שהגיע , השתתף ותרם לדיון במפגש.

קבצים מקושרים:

תפקיד הביקורת בעת אירוע סייבר - נדב עלה



מדידת ערך בביקורת טכנולוגית (יוני, 2025):

דנו בשאלות מהותיות על מיקוד תהליכי ביקורת להשאת ערך אמיתי לארגון, בחינת מדדי ביצוע, ושילוב מתודולוגיית OKR בעבודת הביקורת.
במסגרת המפגש שוחחנו על שאלות מהותיות כגון: כיצד ממקדים את תהליך הביקורת כדי להשיא ערך אמיתי לארגון? אילו מדדים יכולים לסייע לנו למדוד את הערך הזה? האם נכון לשלב את נושא הטיפול בממצאי הביקורת כחלק ממדדי היחידה (סוגיה שקיבלה התייחסות בתקנים המקצועיים החדשים)?
במסגרת המפגש הציג אלדד ארבל, בנק הפועלים, את התהליך שהם מובילים להפיכת הביקורת לגוף יוצר ערך. בנוסף, ד"ר נועם קוריאט, בנק דיסקונט, הציג את אופן היישום של מתודולוגיית ה-OKR בעבודת הביקורת וכיצד זו מסייעת להם בהשגת היעדים שהגדירו לעצמם.  דנו בתקנים החדשים, המתייחסים לנושא הגדרת המדדים ליחידת ביקורת ואף נותנים מספר דוגמאות למדדים אפשריים (דוגמאות אלו ניתן לראות במצגת המצורפת) שיחידות ביקורת יכולות לשקול לשלב במדדים שהם מגדירים.

קבצים מקושרים:

מדדים להערכת ביצוע יחידת הביקורת הפנימית

מוכנים לעתיד: מפרטי ביקורת מבוססי OKR



AI וחדשנות בביקורת (פברואר, 2025):

במסגרת המפגש שוחחנו בנוגע להיערכות הביקורת למהפכת ה- AI (שכבר כאן) וכיצד ניתן לשלב את הטכנולוגיה בתהליכי העבודה של הביקורת וליהנות מהיתרונות שלה. דיברנו על סיכונים וגם ראינו דוגמאות לשימושים בטכנולוגיה בתהליכי הביקורת: בתהליכי סקירת חומרים, תיעוד ויצירת תובנות, כתיבת ממצאים וכד'. אחת התובנות המרכזיות שעלו זה ש- AI אינו תחליף למומחיות האנושית אלא כלי משלים ולכן צריך להסתכל בעין ביקורתית  על התוצאות המתקבלות, ולמצוא את האיזון בין השימוש הנכון בטכנולוגיה לבין שיקול דעת אנושי.



סיכוני שרשרת האספקה (נובמבר, 2024):

התכנסנו לשיח על אחד הסיכונים המשמעותיים ביותר לארגונים כיום, ושיתפנו ידע ותובנות בנושא, כולל סיור ב-SOC מנוהל המנטר פעילות של ספקים. במסגרת המפגש ד”ר נועם קוריאט, בנק דיסקונט, הציג תובנות וסוגיות בנושא סיכוני מיקור חוץ ביחידות  טכנולוגיות. שרית קרני, משרד מבקר המדינה, הציגה תובנות מביקורת רוחב בנושא סיכון שרשרת האספקה. 
לסיום, ערכנו סיור במוקד  ה-SOC המנוהל של  חברת הייעוץ BDO בליווי של אופיר זילביגר, מנהל מרכז הגנת הסייבר  של חברת הייעוץ BDO.

קבצים מקושרים:

דוח מבקר המדינה - ניהול סיכוני סייבר מצד שרשרת האספקה בתחום התקשוב

ד''ר נועם קוריאט - סוגיות מיקור חוץ בהיבטי טכנולוגיה בראיית הביקורת



אנחנו מזמינים  אתכם להצטרף אלינו, להיות חלק מקהילה מובילה ולהשפיע על הצלחת הארגון שלכם. 

לפרטים נוספים ניתן לפנות במייל לכתובת: isaca@isaca.org.il

יו"ר הפורום:

בר וייס סלהוב, CISA, CRISC,  מבקרת ראשית בבנק אש ישראל, סגנית הנשיא וחברת הנהלה באיגוד ISACA ישראל. 


בעלת למעלה מ-20 שנות ניסיון בביקורת, טכנולוגיה ובנקאות, וכן תואר שני במנהל עסקים בהתמחות במערכות מידע ושיווק מאוניברסיטת תל אביב. בתפקידה הקודם בבנק לאומי, ניהלה את הביקורות הטכנולוגיות והסייבר ואת תחום האנליזה בחטיבת הביקורת הפנימית.