מה לניהול סיכונים ולשיפור תהליכים עסקיים?

הנה סיפור: היום התראיינתי , למשרת “יועץ סיכונים טכנולוגיים”.
הראיון התבצע ע”י מנהל משאבי אנוש כהכנה למנהל האחראי על ניהול הסיכונים.
השאלות שנשאלתי ובעיקר התשובות שעניתי חידדו את מה שכבר הבנתי מזמן, מונחי היסוד מפורשים ומתורגמים בצורה שונה ע”י מנהלים בהתאם לרמת הידע שלהם.
שלא כמו מושגי התוכנה והחומרה, בהם מושגים רבים אינם מוכרים או מובנים לאנשים “שמחוץ לתחום”, עולם הייעוץ (לפחות זה שאני מייעץ בו), הוא עסקי לכל דבר.
מנהלים רבים מבינים את המילים (כי זו השפה הניהולית), אך לא בהכרח את המשמעות שלהם בהקשר של ממשל, סיכונים ותאימות לדרישות רגולציה טכנולוגיים.
מה שכן, ככל שהארגונים חיים בעולם עמוס יותר ויותר רגולציות, המנהלים באותם ארגונים מבינים יותר ויותר את המושגים בהקשר הנ”ל.

כהמחשה, בואו נתחיל מהגדרת המשרה אליה התראיינתי – “יועץ סיכונים טכנולוגיים”.
מהם סיכונים טכנולוגיים? מצטער, אך אין כזו חיה!!
ישנם סיכונים עסקיים העלולים להיגרם כתוצאה מהפעלה / העדר / שימוש / של טכנולוגיית המידע (על מרכיביה הטכנולוגיים השונים).

הלאה, האם ניהול סיכונים קשור לדרישות רגולציה? ועוד איך!!
האם ניתן להפריד בין השניים? לדעתי לא !
ראשית, אי עמידה בדרישות רגולציה הוא סיכון בפני עצמו.
בנוסף, מטרת הרגולציה היא “להצהיר” על סיכונים גנריים ולהכתיב לארגונים השונים את אופן ניהולם בין אם באמצעות הצהרות שהארגון מחויב לפעול בשיטה זו או אחרת, ובין אם הרגולציה מכתיבה את הפתרונות הנדרשים למענה לסיכונים.
נמשיך? מהו ממשל טכנולוגיית המידע? כבר עברנו על זה בכמה וכמה פוסטים קודמים, ממשל הוא קביעת “עקרונות על” לדרך השגת המטרות העסקיות, תוך ניהול הסיכונים ועמידה בדרישות אליהם הארגון מחויב (למשל, רגולציה).
מכאן נובע, כי עולמות הבקרה הפנימית, התאימות לדרישות רגולציה, אבטחת המידע, ניהול הסיכונים וממשל טכנולוגיית המידע, כולם שזורים זה בזה וקשה מאוד להפריד ביניהם. דבר הגורם לבלבול לא פשוט.
לכן קיים מושג נוסף הנקרא  GRC.  אינני יודע איך לתרגם אותו כיוון שזהו קיצור של אותיות למושגים.
GRC = Governance, Risk & Compliance.
זהו מושג “מטריה”, הכולל בחובו את העולמות השונים ובעיקר את ההקשרים שביניהם.
ניתן לדבר על עולם ה- GRC כמכלול, כמו שמדברים על אבטחת מידע, וניתן לדבר על כל אחד ממרכיביו כישות עצמאית הן בהקשר של פעילות (בקרות ותהליכים) והן בהקשר של מערכות מידע תומכות. ושוב, באנלוגיה של אבטחת מידע, ניתן לדבר על המכלול וניתן לדבר על עולמות ספציפיים כגון: חומות אש (איזה שם עברי נוראי – Firewalls), כלים ופעולות למניעת וירוסים, ניתוח לוגים, ניהול הרשאות, ניהול שינויים וכדומה. כפי שציינתי, יש עולם מושגים ייחודי לתחום ועולם “מטרייתי” הכולל מספר עולמות השזורים זה בזה.
עולם ה- GRC  הוא עולם חדש יחסית (השבוע קראתי שהוא חוגג עשור ראשון), מתפתח, וכל ספקי התוכנה הגדולים נמצאים שם (סאפ, IBM, צ’ק פוינט, אורקל, EMC ועוד רבים אחרים), ולא בכדי.

זהו השלב הבא באבולוציית שיפור תהליכים ארגוניים.
ארגונים גדולים, במיוחד הגלובליים, נדרשים לתת מענה למגוון רחב של דרישות בקרה (פנימיות וחיצוניות) ולשם כך דרושה ראייה מערכתית איך מתפעלים את התחום ואיך מנצלים אותו לטובת יצירת יתרון יחסי / עסקי בשוק. זו הדרך היחידה להפוך את נטל פעילות הבקרה ליתרון עסקי, רק בראייה ניהולית מלמעלה, ניתן להפוך את הנטל ליתרון.

למשל, הממונה על שוק ההון הוציא חוזר לניהול טכנולוגיות מידע בגופים מוסדיים.
במסגרת ההוראה, על הגופים המוסדיים להגדיר גורם אחראי מקצועי ליישום הוראות הציות (סעיף 4ב) וגורם אחראי ליישום הוראות התוכנית לניהול סיכונים ועדכונה (סעיף 5).
והרי, לפני רגע הראנו כי העולמות של תאימות וניהול סיכונים שזורים זה בזה, האם יתכן שהמנהלים הללו יעבדו כל אחד על תחום אחריותו ללא קשר קציף וקבוע אחד עם השני?
ובכן, תתפלאו. לא רק שיתכן, כבר ביקרתי בלא מעט ארגונים שכך הם הדברים.
יותר נכון לומר כי יש תיאום, אך הוא למראית עין בלבד, ובד”כ משיקולים פנימיים / פוליטיקה ארגונית / סימון וי לדרישות מבלי להבינם.

שיפור תהליכים מתקיים כאשר אפשר וניתן לקיים בקרה טובה יותר, ניצול נכון יותר של משאבים, השקעות נכונות, מחשוב תהליכים וכדומה. הבסיס לכל שיפור תהליכי הוא היכולת להבין את המקרה העסקי של הארגון, ולהתאים לו את הפתרון הנכון.
עולם התוכן של מטריית ה- GRC מוודא כי כך הם פני הדברים.

חושבים שיש עולמות נוספים המשתתפים בתהליכים? מאמינים שיש דרכים אחרות לשיפור עסקי? אשמח לשמוע עליהן ולקרוא את תגובותיכם.

פורסם בקטגוריה דרישות חוק ורגולציה, כללי, ממשל, ניהול סיכונים

2 תגובות

Leave a Reply to מוטי פרל Cancel reply

Your email address will not be published. Required fields are marked *