מהם סיכונים טכנולוגיים? האם קיים מושג שכזה? למה מתכוונים בניהול סיכונים ארגוני? האם קיימים תקנים? מתודולוגיות? במידה וכן, במה הם שונים מניהול סיכונים פיננסיים? תפעוליים? או כל סוג אחר? זה חלק מדרישות הרגולציה שלנו? כמה זה עולה? איך זה משפיע? …
אם אתם שואלים את עצמכם, מדוע לשאול כל כך הרבה שאלות? ומבלי לענות…
הרי זה גם מה שעולה לי בראש… ועדיין, את כל השאלות הללו, שמעתי השבוע בפגישה שקיימתי עם חברה שלא הבינה מה רואי החשבון החיצוניים שלה רוצים ממנה.
השבוע התקשר אלי מנהל כספים של חברה נסחרת בבורסה שקיבל את הטלפון שלי מהמבקר החיצוני שלהם. למי שכבר חקר, וגם למי שלא, הרקע שלי הוא ממשרד רואי חשבון גדול (הכי גדול), ולכן, בעל הכרות מעמיקה (וכואבת) בצורך של עמידה בדרישות רגולציה עבור טכנולוגיית המידע.
במהלך השיחה עניתי על השאלות הללו ואני רוצה לנצל את ההזדמנות ולהציג את הנושא בצורה רחבה ככל שאוכל. מטרת הרגולציה היא לנהל סיכונים.
בפועל, ארגונים רבים (ולצערי, גם מבקרים רבים), מנהלים בקרות ולא סיכונים.
ראשית, למרות שהמושג שגור בפי רבים, אין זכות קיום למושג – סיכונים טכנולוגיים!
אנו מחפשים לענות על סיכונים עסקיים הנובעים משימוש, ותפעול הטכנולוגיה ו/או העדרם.
תוכלו לעיין שוב בפוסט קודם שכתבתי בנושא “מה לניהול סיכונים ולשיפור תהליכים עסקיים?“.
איך מזהים סיכונים שכאלה?
רוב הארגונים, במיוחד אלא המונעים מביקורת, מזהים תהליכים עסקיים וגוזרים מהם את הנכסים הטכנולוגיים הנדרשים במימוש התהליך העסקי ומכאן מזהים סיכונים וקובעים בקרות מתאימות.
גישה זו מצוינת על מנת לעמוד בדרישות רגולציה וממנה והלאה אנו מנהלים בקרות (ולא סיכונים).
אני הייתי ממליץ על עבודה מלמטה למעלה – זיהוי הסיכונים הקשורים בטכנולוגיה וניהולם בהתאם לשייכות בתהליכים העסקיים והדרישות הארגוניות.
איך עושים זאת, בבקשה:
שלב 1: זיהוי ומיפוי כלל נכסי המידע והטכנולוגיה בארגון.
על מנת להקל, כדאי למפות את הנכסים לפי קטגוריות. כיוון שאנו מחפשים את הסיכונים, שיטה נוחה יכולה להיות קטלוג לפי נקודות תורפה עיקריות – אנשים, מידע, תוכנה, חומרה, תקשורת.
שלב 2: קביעת בעלות ואחריות מצד ההנהלה לנכסים שזוהו.
לכל נכס שזוהה יש לקבוע מיהו בעליו ומי בעל עניין מהותי בנכס. מעבר למשילות נכסי הטכנולוגיה המתאפשרת בקביעות אלו, רישום בעלות ובעלי עניין, יאפשר בשלבים הבאים לזהות את השפעת הסיכון על הארגון, זיהוי האחראיים ליישום בקרות, זיהוי האחראיים להפעלת הבקרות, חישובי עלות להקטנת הסיכון, חישובי השקעה בנכס, ולא פחות חשוב, מיהם הגורמים בארגון שצריכים להיות מודעים לבעיות, תקלות, אירועים מיוחדים או כל דבר אחר הקשור לנכס עצמו.
שלב 3: זיהוי איומים לנכסים שזוהו, והערכתם.
גם כאן, אני ממליץ על לקיחת רשימות גנריות של האיומים הקיימים ובדיקת הרלוונטיות שלהם בארגון. שימוש ברשימות אלה, מרענן את הזיכרון ומאפשר זיהוי איומים הרלוונטיים לנכסי הארגון.
כמו בכל מקרה של עודף מידע, הריצו גוגל ומצאו את הרשימות המתאימות לכם.
שלב 4: זיהוי החשיפות ונקודות התורפה הקיימות בארגון שלנו והקשרם אל מול האיומים הקיימים לנכסי הטכנולוגיה שלנו.
זיהוי ההקשרים בין החשיפות לאיומים יאפשר מיקוד והתייחסות לסיכונים בעלי ההשפעה הגדולה ביותר לארגון. אנו נרצה למזער ולהגיב לסיכונים בעלי המהות הגבוהה ביותר לארגון.
שלב 5: זיהוי הבקרות הקיימות והשוואת האפקטיביות שלהן אל מול הסיכונים שזוהו.
במידת הצורך, יש לבצע אימות בקרה ובדיקות מדגמיות על מנת להבין טוב יותר את יעילות ואפקטיביות הבקרה בתהליך.
סביר להניח כי שינוי והתאמת בקרות קיימות קל יותר לעיכול בארגון, ובמיוחד שכך נתאים מצב קיים לצורך העסקי ולא נוסיף עוד ועוד בקרות שתרומתם העיקרית היא עלות ולא תועלת.
שלב 6: הצגת הממצאים להנהלה הבכירה,
או כל גוף אחר בארגון בעל הסמכות להחליט איך רוצים לטפל בסיכונים הקיימים, בין אם בהעדר בקרות והין אם הבקרות רק מצמצמות את הסיכון.
מומלץ להציג מהם המשאבים הנדרשים לצמצום הסיכונים (כספית / כלים / אנשים).
במילים אחרות: הצגת מצב קיים לגוף המושל. עליו להחליט מהו הסיכון שהארגון מוכן לקחת ומהי התוכנית לצמצום הסיכון שזוהה, תוך מתן ההתחייבות הניהולית לפעולה, למשאבים, והגדרת המטרה.
שלב 7: ביצוע התוכנית להפחתת סיכון כפי שהוגדרה ע”י הנהלת הארגון (הגוף המושל).
במהלך ביצוע התוכנית, יש לוודא כי המדיניות והנהלים תואמים (מעודכנים) להתנהלות, השינויים ברורים וידועים לעובדים בכל הרמות הרלוונטיות והמשאבים הנדרשים למימוש התוכנית קיימים.
שלב 8: עדכון ושימור רשימת הנכסים על בסיס קבוע, לרבות בדיקת איומים, חשיפות ונקודות תורפה חדשות בהתאם לשינויים החיצוניים והטכנולוגיים בארגון.
כחלק מתהליך השיפור המתמיד, מומלץ מאוד לעבוד עם מדדים המציגים את אחוז מימוש ביצוע התוכנית, מדדים המאפשרים למדוד ביצוע בפועל אל מול מקומות נוספים לשיפור וכדומה.
מדדים אלו יכולים בהחלט להיות הבסיס לשלבים מתקדים יותר של תוכנית הפחתת הסיכון בארגון שלנו.
.
רוצים לשמוע עוד? חושבים שיש לכם מה להוסיף?
אשמח לשמוע את דעתכם בתגובות לפוסט זה או למייל info@know-it.co.il.
