בפוסט הקודם שלנו, הסברתי למה הקטנת עלויות כבר לא מספיק, וכי ארגונים צריכים לעבור לתוכניות ממשל. עוד ציינו, כי תוכניות ממשל מיישרות קו בין המצוי לרצוי, בכך שהן מגדירות את קווי היסוד לניהול אפקטיבי של המשאבים הארגוניים להשגת מטרות הארגון תוך מדידה ושיפור מתמיד.
בימים אלו, פירסם נורמן מרקס, אחד מגדולי המשפיעים בעולם ממשל טכנולוגיית המידע וביקורת פנים, סדרת פוסטים בנושא “שאלות לשאול בנושא ממשל, סיכונים ותאימות”. פוסטים אלו מיועדים למועצות מנהלים ולהנהלה הבכירה. ברשותו האדיבה, חיברתי בין סדרה הפוסטים שלו לנקודת מבט מותאמת לניסיוני מישראל ולהלן התוצאה:
.
האם ארגונך מיישם תוכנית ממשל?
כיוון שממשל מוסבר בצורות ואופנים רבים, וכי לכל ארגון מתאים משהו קצת שונה, אני מוצא לנכון להתחיל ביישור קו – מהו ממשל?
מנהלים רבים חושבים כי ניהול יעיל ונכון של ציות לחוקים ולדרישות רגולציה יחד עם ניהול סיכונים הוא המפתח לתוכנית ממשל. עבור ארגונים אחרים, הציות הוא מרכז החשיבה לתוכנית ממשל. יחד עם זאת, בארגונים רבים המענה לדרישות הציות מנוהל בצורה מבוזרת ולא מרכזית וכנ”ל לגבי ניהול הסיכונים. למרות ההפרדה בין הציות לסיכונים, יש קשר הדוק ביניהם ואחד הסיכונים המשמעותיים ביותר לארגון הוא אי עמידה בהוראות ציות אלה ואחרות.
מכוני המחקר השונים כגון: גרטנר (Gartner), פורסטר (Forrester) ואחרים, מציעים גישה קצת שונה המתבססת על הכלים הקיימים בשוק. וכך, ממשל כולל: ניהול סיכונים, ניהול הציות, ניהול מדיניות וביקורת פנים, מאוחדים לכלי אחד המתעד ומסייע בניהול תהליכים אלו.
גם גישה זו קצת בעייתית כיוון שראשית לא כל הכלים מכילים את אותם תהליכים בדיוק ואז האם תהליך המוכל במערכת א’ ולא במערכת ב’ הוא חלק מתהליכי ממשל או לא?
הארגון לשיתוף פעולה ופיתוח כלכלי – OECD, מגדיר ממשל כ- “כל הפעולות הכלכליות והניהוליות הנדרשות לניהול צורכי מדינה” (או ארגון בהקבלה שלנו).
ושוב, תהליכי ממשל תפקידם, בין השאר, להבטיח ניהול הסיכונים והעמידה בדרישות רגולציה מבוצעות באופן נאות תוך כדי שילוב עם הצרכים העסקיים של הארגון.
המטרה איננה לעמוד בדרישות רק על מנת לקבל אישור לכך, אלא לשלב את הדרישות ביעדים הארגוניים תוך יצירת יתרון יחסי עסקי.
לכן, אני מצדד בגישה שהגדרת ממשל חייבת להיות בעלת ערך והיגיון עסקי, אחרת זה לצאת ידי חובה בלבד. לשמחתי, רבים ומנוסים ממני, כמו נורמן מרקס, חושבים כך.
ולפיכך, ההגדרה הקולעת ביותר (בעיני) היא של הארגון לשיתוף ציות ואתיקה – OCEG, בתרגום חופשי: “ממשל היא יכולת המאפשרת לארגון להשיג את יעדיו בצורה אמינה תוך התייחסות לאי ודאות ולפעול מתוך יושרה”
נכון שמדובר בהגדרה מאוד כללית וקשה לפרוט אותה למעשים, כיוון שכל אחד יכול לפרש אותה כראות עיניו. ועדיין, המשך ההסבר של המושג ממשל מפרט הגדרה זו ומציג את הפרשנות של ה- OECD הגורסת כי הגדרה זו כוללת (ושוב בתרגום חופשי) “פעולות אפקטיביות, ניהול ביצועים, והיבטים אחרים של ממשל ארגוני יחד עם ניהול סיכונים, ציות ובקרה פנים ארגונית במטרה משותפת של מתן ערך ואופטימיזציה באופן ממושך ולכל בעלי העניין”.
מכאן, ממשל מתייחס, לפעולה משולבת ומתוזמנת של הפונקציות השונות בארגון.
מבלי לגרוע מחשיבות כל פונקציה לעבוד גם באופן פרטני, חשוב כי הם יודעים ויכולים לעבוד יחד.
לדוגמה, אם מטרות הארגון מוגדרות ללא הבנה של הסיכונים הקשורים במטרות אלו, הם עדיין יכולים להיות מושגים. השאלה הנשאלת היא באיזה מחיר?
מנהלי סיכונים שלא מבינים או לא עונים על סיכונים הקשורים למטרות הארגון, לא סביר שהם שוקלים ו/או עונים לסיכונים משמעותיים יותר ביצירת ערך לארגון.
אם מנהלים ברובד הביניים לא מכירים ומבינים את מטרות הארגון, כיצד הארגון יכול לצפות ממנהלים אלו, לקבל החלטות המקדמות מטרות ארגוניות?
ודוגמה אחרונה, אם כל פונקציה בארגון תרצה לייעל את תהליכיה במערכת הטובה ביותר עבורה, תיווצר ערבוביה של טכנולוגיות שונות, שבלתי אפשרי לנהל, יקרה לתפעול בעיקר כאב ראש עצום בכל הנוגע לאבטחתה. הכל יהיה “מושלם” אבל יעיל וזריז (Agile) זה לא יהיה.
לכן, ממשל יעיל אומר כי הארגון פועל בהרמוניה כדי להשיג מטרות משותפות, בנוסף ליעילות ואפקטיביות של כל פונקציה בארגון (ובנפרד).
.
על מנת לבדוק האם ישנם תהליכי ממשל בארגונכם, בואו נשאל יחד את השאלות הבאות:
1. אסטרטגיה ויעדים (Goals & Strategies) – .האם האסטרטגיה והיעדים הארגוניים זמינים באופן ברור לידיעת כלל המנהלים והעובדים ברחבי הארגון? האם יש מטרות ויעדים משותפים?
פירוט: האם קיים תהליך “שקוף” שבו היעדים והמטרות שהנהלת הארגון יחד עם אישור מועצת המנהלים אישרה, מתוקשרים למנהלים בדרגי הביניים? לעובדים? לספקי השירות העיקריים של הארגון?
האם התהליכים כוללים הגדרת תפקידים ותחומי אחריות המוודאים כי המטרות הנקודתיות של פונקציות בארגון משתלבות ומאוגדות להשגת יעדי הארגון?
האם קורה / קרה שמנהלים מפרשים את מטרות הארגון בדרכם ועלולים לייצור סיכון מיותר לארגון?
2. שת”פ והרמוניה (Harmony) – האם הארגון פועל בשיתוף פעולה והרמוניה? האם שיטת העבודה היא מטרות משותפות לפונקציות שונות בארגון?
פירוט: האם הנהלת הארגון עובדת יחד או כל מנהל יחידה עסקית עובד עצמאית ואף מתחרה עם יחידות אחרות על עמדות כוח? האם למנהלים בארגון יש מטרות משותפות? האם הם יכולים לעזור אחד לשני בהשגת מטרותיהם ויעדיהם?
האם הסיכונים המרכזיים של הארגון משותפים למספר פונקציות וכל אחד ממנהלי אותן פונקציות יודע ומבין את השפעת הסיכון על פונקציות אחרות בארגון?
האם הקצאת המשאבים (תקציבים ואנשים) נעשית בצורה משותפת? האם מחלקות משתפות את משאביהן עם מחלקות אחרות בעת הצורך?
3. השתלבות (Integration) – האם האסטרטגיה הארגונית משולבת יחד עם ניהול הסיכונים, תקציב, ציות והביקורת הפנימית?
פירוט: האם תהליכי קבלת החלטות בארגון כוללים מידע על סיכונים, תקצוב, ציות וביקורת משולבים בבחירת אסטרטגיה זו או אחרת?
במילים אחרות, האם בעת בחירת אסטרטגיה מסוימת מוערכים הסיכונים הגלומים בבחירה זו, התקציב הנדרש למימוש, יכולת הבקרה הפנימית אל מול הסיכוי שלא לעמוד במימוש אותה אסטרטגיה?
כמו כן, האם קיים תהליך בדיקת תוצאות הכולל את רמת הסיכון שבו הארגון נמצא במהלך מימוש והשגת מטרותיו? או שהארגון נמדד עפ”י תוצאות בלבד?
במידה וקיימים קציני ציות ומנהלי סיכונים, האם הם חלק מההנהלה הבכירה? האם הם מייעצים בתהליכי קבלת ההחלטות בארגון?
4. מקטעים (Fragmentation) – האם הארגון יכול לזהות תהליכים מקוטעים, המעכבים ביצועים ותוצרים? האם יש כפל תהליכים בארגון?
פירוט: כאשר ארגונים מנהלים סיכונים ו/או תאימות לדרישות חיצוניות ע”י פונקציות שונות, אי אפשר לנהל ולפקח על התהליכים השונים ומכאן שכמעט בלתי אפשרי להבין מהי מפת הסיכונים של הארגון. לכל פונקציה שכזו יש מילון מונחים שונה, סטנדרטים שונים, תהליכים ומערכות שונים ובסופו של דבר הגרוע מכל – הערכת סיכון שונה לאותם סיכונים.
בישראל לא אחת, ארגונים מעדיפים להקים צוות עבודה לדרישות חיצוניות במקום לנהל זאת בצורה מרוכזת. לכל דרישה מוקם כוח משימה והתהליכים הופכים למקטעים נפרדים וכמובן נוצר כפילויות בתהליכים.
האם ארגונך מנהל סיכונים ודרישות חיצוניות בצורה מרוכזת?
האם מישהו רואה את כל חלקי הפאזל מלמעלה?
ניתן לקבל מידע נוסף ודוגמאות במצגת שהצגתי בכנס האיגוד הישראלי לביקורת ואבטחת מערכות מידע, ב- 2011 “ציות בסביבה מרובת רגולציות“.
5. מדדים וביצועים (Performance Measurement) – האם מדידת הביצועים בארגון נעשית לפי מתן ערך, השגת מטרות וערכים ארגוניים?
פירוט: השאלה הזו מתייחסת לשני פרמטרים. הראשון, האם מתקיים תהליך מדידה וניטור של תהליכים ויחידות עסקיות? במידה וכן, כיצד מתוגמלים אלא שהשיגו את התוצאות הרצויות והערכים הנדרשים.
ארגונים רבים מתגמלים עובדים עפ”י הישגים. יחד עם זאת, האם ההישגים הם רק כמותיים? האם ישנם מדדים נוספים כגון ערך לחברה? רווחיות (ולא רק הכנסות)? ערכים ארגוניים (לקוחות מועדפים, ירוקים, כניסה לשווקים חדשים וכדומה)?
בתחום המכירות אני מאמין שהשינוי לכיוון שילוב מדדים כבר כאן. האם זה נכון ליחידות ארגוניות אחרות? האם טכנולוגיית המידע נמדדת לפי יכולת סיום פרויקטים מועדפים?
האם פרויקטים נמדדים גם לפי יתרונות ומדדים עקיפים שזוהו בתחילת התהליך?
האם ישנם עובדים המתוגמלים לפי תרומתם לתרבות הארגונית?
6. מידע זמין (Management Information) – האם להנהלת הארגון יש מידע איכותי, אמין, זמין, עדכני ושמיש בעת קבלת החלטות?
פירוט: קבלת החלטות נעשית בכל עת. איכות קבלת ההחלטות תלויה לא מעט במידע הקיים למקבלי ההחלטות. ברור לחלוטין, כי אם המידע לא איכותי, מהימן, זמין, עדכני ו/או שמיש הרי ההחלטה שתתקבל היא הימור. לפיכך, האם קיימים תהליכים המוודאים כי המידע הזמין למקבלי ההחלטות הוא אכן, איכותי, אמין… ושאר התארים שהזכרנו.
כמה פעמים בישיבות הנהלה, מישהו מציג תהליך ומספרים ואנשי הנהלה קופצים ואומרים שהמספרים לא נכונים? האם הם מוצגים כתוצאה של חישובי אקסל? מערכת בינה עסקית? המערכות התפעוליות?
האם אנשי מערכות המידע הארגוניים מעורבים בהחלטות שיבואו לידי ביטוי במערכות הארגון? האם אבטחת המידע נשקלת בעת קבלת החלטות המערבות לקוחות חיצוניים למערכות הארגון? האם הבקרה הפנימית ומערך ניהול הסיכונים מיודעים ואפילו מוודאים תקינות תהליכים חדשים בארגון?
בעולם עסקי דינמי וגלובלי בו אנו חיים ופועלים, יש חשיבות עליונה להבדל בין נתונים למידע. על בסיס מה מקבלים החלטות בארגונכם?
7. ניהול סיכונים (Risk Management) – האם ניהול סיכונים נלקח בחשבון בתהליכי הארגון?
פירוט: השאלה הזו מתייחסת לאופן ניהול הסיכונים בארגון. האם הם מנוהלים בצורה מרוכזת או בצורה מקוטעת (כל יחידה עסקית בפני עצמה – אם בכלל)?
הרחבת השאלה תהיה האם הסיכונים מנוהלים לפי צרכי הארגון? האם הוגדרה “סיבולת הסיכון המקובלת” (Risk Tolerance)? האם סיכוני טכנולוגיית המידע מנוהלים כסיכונים טכנולוגיים או סיכונים עסקיים (נושא שהעלאתי בלא מעט פוסטים, לדוגמא: ניהול סיכונים עבור טכנולוגיית המידע ולא פחות חשוב, האם אלו האחראים לניהול הסיכונים מקבלים את הסמכויות ותחומי האחריות המתאימים לתפקידם? האם קולם נשמע בארגון?
8. ציות / תאימות (Compliance) – האם הארגון יוצא ידי חובה במענה לדרישות ציות או שזה חלק מהתכנון האסטרטגי, הדרישות משולבות בתהליכים והארגון מנצל דרישות אלו ליצירת ערך ו/או יתרון עסקי?
פירוט: מי שלחץ על הלינק של מצגת “ציות בסביבה מרובת רגולציות“, כבר ראה כי להערכתי, ארגונים רבים (מדי) לוקחים את דרישות הציות לניהול בקרות נדרשות, מבלי להתאמץ או לחשוב.
ניהול בקרות אינו שקול לניהול סיכונים !!
ניהול בקרות אמנם נותן מענה לדרישות רגולציה, אך הארגון “מבזבז” משאבים אדירים ובמקום להפיק מכך יתרון, דרישות אלה נתפסות כהכרח בלבד ואינו מהווה גורם המאפשר שיפור תהליכים ויצירת ערך עסקי.
כמו כן, במענה לשאלות הציות לעיל, יש לקחת בחשבון את המענה לשאלות שנשאלו בסעיף 4 “מקטעים”.
9. ניטור ודיווח (Monitoring & Reporting) – האם קיימים תהליכי דיווח פורמליים להנהלה הבכירה ולמועצת המנהלים בנושאי בקרה, ביקורת ומדדי ביצוע, לרבות כשלים ואירועים חריגים?
פירוט: מעבר לישיבות תקופתיות, האם קיימים תהליכי עדכון מידע למקבלי ההחלטות בנוגע לכשלים, אירועים חריגים, אירועים הדורשים התייחסות מיידית של הארגון?
האם מועצת המנהלים מדווחת, עוקבת, מפעילה ועדות ביקורת במידה וקיים צורך, ואף מעדכנת בעלי עניין בפעילות חריגה בארגון?
10. ביטחון (Assurance) – האם מועצת המנהלים וההנהלה הבכירה מקבלים ביטחון לאיכות תהליכי עסקיים בארגון (כגון: תהליכי ממשל, במידה ויש)?
פירוט: רואי החשבון החיצוניים מספקים לארגון ביטחון לאיכות הדוחות הכספיים. האם ישנו ביטחון לאיכות התהליכים העסקיים האחרים?
זהו תפקידם של יחידות הבקרה הפנימית, ניהול הסיכונים, אבטחת מידע, ציות ואחרים.
האם גופים אלו קיימים בארגונכם? האם הם יכולים לבצע את תפקידם מבחינת סמכויות? תחומי אחריות? כוח אדם מקצועי ומערכות טכנולוגיות מתאימות? תקציב הולם?
האם הם מדווחים למועצת המנהלים ולהנהלה הבכירה? האם קולם נשמע?
האם גופים אלו מתמקדים בתהליכים ובסיכונים המשמעותיים ביותר לארגון בכללותו?
.
חושבים אחרת? פספסנו משהו? הערות והארות?
נשמח אם תגיבו, “כאן ועכשיו”.
בהמשך נשתדל לפרוט חלק מהשאלות לפוסטים שלמים על שאלות נקודתיות.
