יישום ממשל טכנולוגיית המידע – סיפור לקוח

נכתב בתאריך November 13, 2011 על ידי orenh אין תגובות

אחרי שעברנו על הרקע התיאורטי, הבנו מהו ממשל, וראינו מהן  מסגרות עבודה לממשל טכנולוגיית המידע, אני רוצה להתחיל עם המציאות (הקשה) ולספר דווקא על פרויקט יישום ממשל טכנולוגיית המידע בארגון מקומי שכשל!!

למה דווקא פרויקט שכשל? כי לומדים מטעויות.

קצת רקע על הלקוח:

מדובר בחברה במהלך הכנה לרגולציית סוקס. מחלקת מערכות מידע מונה מספר חד ספרתי של עובדים, מערכות המידע מבוזרות (לשם הבנה, החברה ציינה כארבעים (!!) מערכות מידע שונות הנוטלות חלק בתהליכים הפיננסיים), רוב העבודה האפליקטיבית מבוצעת במיקור חוץ והרשת מונה מאות משתמשים.
בפועל, כל מערכת נוהלה באופן שונה, בצורה עצמאית של כל עובד במחלקה לפי ראות עיניו והבנתו, ומספר לא מבוטל של מערכות ללא איש קשר טכנולוגי.
והנתון הכי חשוב – מנמ”ר מתוסכל ומיתוג מחלקתי נמוך מאוד בארגון.

הפרויקט החל עם מיפוי מחודש של המערכות (מבחינה מהותיות בתהליכים הפיננסיים) וקביעת היקף תכולה רלוונטי לפרויקט. בניית תהליך מבוקר וגנרי לתהליכים המהותיים (ניהול הרשאות וניהול שינויים), כאשר אנו מאחדים עשרות ורסיות שונות לתהליך אחיד לכלל המערכות.

כיוון שהבלגאן גדול, הוצע לחברה לבצע בנייה מחודשת לתהליכים מבוססי מסגרת עבודה קוביט (COBIT).

החברה ביקשה המלצות על סדר פעולה נכון, וקיבלה תיעדוף לנושאים שלהערכתנו יהיה את הערך הגדול ביותר מבחינתה (בדגש על הדומיין הראשון – “תכנון וארגון”).
וכך יצאנו לדרך בפרויקט מורחב, יישום 15 תהליכים (מתוך 34) מבוססי מסגרת קוביט.

אחת הפעולות הראשונות, הייתה להמליץ על מבנה ארגוני, המתאים ליישום ניהול מבוקר יותר לתהליכי טכנולוגיית המידע – הגדרת ועדת היגוי אסטרטגית (בכירה יותר היררכית, המגדירה ממשל) וועדת היגוי טקטית ליישום בפועל. וכאן מתחיל סיפור הלקוח.

נתחיל מהסוף, עד למועד כתיבת שורות הפוסט (למיטב ידיעתי המעודכנת), טרם התקיימה ולא שיחה אחת הכוללת את כל המנהלים שהומלצו לשבת בועדות אלו.

למרות שהושקע כסף רב בתהליך, לפרויקט לא היה לו ספונסר (גיבוי) ניהולי.

המנהלים שהיו אמורים להוביל את התהליך לא לקחו את האחריות ליישום, ואנשי מערכות המידע קרסו תחת נטל השוטף ולא האמינו בתהליך ו/או תוצאותיו המצופות.

למעט הנייר שספג את הייעוץ, לרבות נהלים שהוגשו לאישור החברה, לא היה אף גורם בארגון שיכול היה לקחת וליישם את התהליכים החדשים במחלקות שאינן תחת ניהולו הישיר. כל שכן, למנף את הפעילות לטובת שיפור, בניית תשתית וקביעת סטנדרטים (ממשל) ראויים לתהליכים השונים.
היישום היחידי היה בתוך מחלקת מערכות המידע, ע”י אנשי המחלקה, וגם זאת באופן חלקי (קשה ליישם משהו שאתהלא מאמין בו).

הדבר היחיד שקיבל רלוונטיות היה תאימות לדרישות סוקס.
כל השאר היה מעין: “נחמד מאוד ותודה רבה, תבואו בפעם אחרת”

לדוגמא: תהליך ניהול שירותי צד שלישי.
כיוון שמרבית מערכות המידע הארגוניות, לרבות מערכות הליבה, נוהלו ותוחזקו ע”י גורמי צד שלישי שונים, נכתב נוהל עבודה מבוקר הכולל מספר שלבים ובקרות בתהליך העבודה מול גופי צד שלישי (למשל: סקירה תקופתית לחוזים, הסמכת איש קשר פנימי,  ניטור איכות השירות, משוב תקופתי, קביעת מדדי שירות, קישור רמת השירות לתשלום, דיווח קבוע להנהלה), מה יושם בפועל? אפס. כלום. נאדה. כולם הבינו את החשיבות, את הסיכונים באי יישום הבקרות והחשיפה הגבוהה כתוצאה מהמצב הקיים ויחד עם זאת, דבר לא השתנה.

וכך היה עם תחום הרכש למערכות מידע, ניהול תקלות ואירועים ושאר התהליכים. הנהלים נכתבו אך דבר לא יושם ו/או נאכף.

במהלך הפרויקט, המנמ”ר המתוסכל הוחלף (לאחר מספר שבועות), עקב חוסר יכולתו להוביל תהליך שכזה והמנהל המחליף, שימש כמנמ”ר בתור כובע שלישי ורביעי (כלומר, היו לו תפקידים נוספים שדרשו את זמנו והיו חשובים יותר לארגון מתפקידו כמנמ”ר). ולמרות הרצון הטוב של אותו מנהל, הפרויקט התמוסס, השעות ננגסו ותוצאות אין.

מוסר השכל:
1. יישום ממשל טכנולוגיית המידע אינו יישום של מחלקת מערכות המידע.
הוא בהחלט מיושם במחלקת מערכות המידע אך אינו יכול היות באחריותו, צריך ספונסר ניהולי בכיר, שיבין  ובסופו של דבר, ייהנה מהתוצרים של שיפור תהליכי טכנולוגיית  המידע.
2. אי אפשר לבנות אסטרטגיה לטכנולוגיית המידע בלי לקשר אותה לאסטרטגיה ארגונית.
3. שינוי ארגוני אינו קורה בין רגע. יש לבנות תשתית מתאימה לרבות אנשים ותרבות ארגונית.
4. תאימות לרגולציה אינה מניע מספיק טוב ליישום ממשל טכנולוגיית המידע.

חושבים אחרת? יש לכם תובנות נוספות? דרישות? מסקנות?
חסר לכם מידע לגבי הלקוח, הגיבו כאן ואנסה להשלים מידע ככל שאוכל.

פורסם בקטגוריה ממשל

ממשל וניהול טכנולוגיית המידע – מצא את ההבדלים

נכתב בתאריך November 1, 2011 על ידי orenh אין תגובות

פרסום הגרסה החדשה למסגרת העבודה קוביט –  COBIT 5 לטובת קבלת הערות מהשטח (עדיין לא הגרסה הרשמית, אבל, אלו רוח הדברים), חידד והעלה מחדש את הויכוח הקיים לגבי ההבדלים בין ממשל טכנולוגיית המידע לניהול טכנולוגיית המידע.

למרות שמסגרת העבודה המקובלת לממשל טכנולוגיית המידע הינה קוביט, רבים טוענים כי מסגרת זו היא לניהול טכנולוגיית המידע ולא לממשל.

אז מה הבדל בין ממשל לניהול? ומי אחראי למה?

בואו ננסה לעשות סדר. כמו דברים רבים אחרים, ההבדלים הם בעיקר השקפה, ולא כולם יסכימו להבחנה הדקה בין האפשרויות. יתרה מזאת, אני בטוח שישנם כאלה החושבים שפעילות מסוימת היא ממשל, אחרים יטענו שמדובר בניהול, וזה בסדר. כל מי שלמד מדעים שאינם מדויקים (מדעי הדשא למיניהם), יודע שאין תשובה אחת נכונה, אלא נימוקים וסיבות, למה כן ולמה לא. מדובר בפרספקטיבה סובייקטיבית לחלוטין.

לדעתי האישית: ההבדל הגדול ביותר בין ממשל לניהול הוא איך ומה.

בכל שנותיי כמבקר ויועץ, תמיד הגדשתי את ההבדל בין כתיבת מדיניות (Policy / Guidelines) לבין נהלי עבודה (Procedure / working document / standard / approach). הראשון מתאר מה הארגון רוצה בנושאים הספציפיים ומהם הקווים המנחים שלו ליישום רצון זה, ואילו השני מגדיר איך הוא מתכוון לבצע וליישם זאת.

גם בממשל אל מול ניהול, זהו מהות ההבדל. ממשל מתאר מה צריך לעשות ומהם הקווים המנחים לביצוע ואילו הניהול מגדיר איך מבצעים בפועל.

עבודה לפי עקרונות ממשל, מחייבת את הארגון לחשוב מהם הקווים המנחים ולא אופן הביצוע. הביצוע הוא ניהולי. מכאן אפשר להסיק מי אחראי למה.

הגוף המושל (Governing Body) הנו הגוף האחראי על קביעת המקום שאליו הארגון שואף להגיע הקווים הכללים לדרך הגעתו לשם. בארגונים גדולים (ומתוקנים) זהו הדירקטוריון. מצד שני, כיוון שאני חי את השטח ולא בלה לה לנד, אני יודע שברוב הארגונים בישראל, הדירקטוריון אינו גוף חזק מספיק אל מול הנהלת הארגון ו/או בעליו. ולכן בהרבה מקרים בישראל, אין הפרדה ברורה בין הגוף המושל אל מול הגוף המנהל (מבלי להיכנס להתפלספות, יש הטוענים כי זהו תוצר של ריכוזיות יתר כאשר לא מעט חברי דירקטוריונים הם אנשי שלומם של הטייקונים במשק).

לעומת הדירקטוריון עומדת הנהלת הארגון. על ההנהלה לתכנן ולפתח את הדרך למעשים, וזאת על מנת להשיג את התוצאות המצופות ממנה. בסופו של יום, על זה נמדדת הצלחת ארגון לא? האם ההנהלה הצליחה להשיג את התוצאות הטובות ביותר עבור בעלי העניין (בעלים ובעלי מניות המיוצגים ע”י מועצת המנהלים).

לסיכום, ההבדל בין ממשל לניהול גם בא לידי ביטוי במעגל החיים של כל אחת מהן:

ממשל = הערכה, כיוון, ניטור (Evaluate – Direct – Monitor).

ניהול = תכנון, בניה, שימוש, ניטור (Plan – Develop – Run – Monitor).

זהו ההבדל בעיני בין ממשל וניהול. חושבים אחרת? רוצים לחדד? אתם מוזמנים להגיב…

פורסם בקטגוריה כללי, ממשל, מתודולוגיות וסטנדרטים

מסגרות עבודה מקובלות בממשל טכנולוגיית המידע

נכתב בתאריך October 28, 2011 על ידי orenh אין תגובות

בפוסט הקודם שלי, מסגרות עבודה בממשל תאגידי, ראינו כי הסטנדרטים לממשל תאגידי בנויים על חוקים ותקנות שמדינות רבות מאמצות עבור המשקיעים בבורסות המקומיות והניהול התקין של חברות בארצן.

ממשל טכנולוגיית המידע, למרות היותו חלק מממשל תאגידי, אינו רשמי ומוסדר בצורה שכזו.

ממשל טכנולוגיית המידע מושתת על מתודולוגיות / מסגרות עבודה ובעיקר ניסיון לניצול נכון וניהול אפקטיבי של טכנולוגיית המידע. הדגש העיקרי במרבית מסגרות העבודה הוא לוודא כי קיימת התאמה בין הצרכים העסקיים לניהול טכנולוגיית המידע.

ישנן מספר לא מבוטל של מסגרות עבודה ואני אנסה לפרט בקצרה על העיקריות והידועות שביניהן:

ISO 38500 – Corporate governance of information technology standard
ארגון International Organization for Standardization (ISO), פרסם תקן המפרט עקרונות מנחים עבור ארגונים בדבר השימוש האפקטיבי, היעיל והמקובל של טכנולוגיית המידע. בנוסף, התקן מפרט מהם המרכיבים הנדרשים ביישום מודל ממשל טכנולוגיית המידע.

COBIT – Control Objectives for Information and related Technologies
מסגרת שפורסמה ע”י המכון לחקר ממשל טכנולוגיית המידע האמריקאי (ITGI), עבור ארגון מבקרי מערכות המידע האמריקאי (ISACA) . כשמה, המסגרת מבוססת על סביבת הבקרה בתהליכי טכנולוגיית המידע, מה שעושה אותה מסגרת המתאימה לביקורת (פנימית וחיצונית) ולפיכך, היא המסגרת החביבה והמקובלת ביותר בחקיקה, תקינה והרגולציות השונות. לאחרונה (יולי 2011), פרסם ITGI את הגרסה האחרונה של המסגרת – COBIT 5.
גרסה זו מאחדת את הגרסא הקודמת יחד עם פרסומים נוספים של המכון, ניהול סיכוני טכנולוגיית המידע (RiskIT), מודל עסקי ליישום אבטחת מידע (BMIS  – Business Model for Information Security) ורווח עסקי מהשקעות בטכנולוגיית המידע (ValIT).

ITIL – Information Technology Infrastructure Library
מסגרת עבודה שנכתבה ע”י לשכת הסחר הבריטית (OGC) ומופצת ע”י פורום itSMF.
המסגרת מבוססת על הנחיות לניהול מחלקת טכנולוגיית המידע וכיצד על המחלקה לפעול על מנת לתת שירותי טכנולוגיית המידע לארגון באופן אופטימאלי. עקרון העבודה הוא יצירת יחסי ספק לקוח בין מחלקת טכנולוגיית המידע והמשתמשים (חיצוניים ופנימיים).

מסגרות עבודה נוספות, שלמרות שרשמית הן ייעודיות למטרות אחרות, הן יכולות להוות תשתית טובה ליישום ממשל טכנולוגיית המידע:

מודל COSO – מודל לניהול סיכונים. כתוצאה מכך, מהווה מסגרת עבודה לבקרה הפנים ארגונית. בנוסף, זהו המודל המתאים בעיקר לעקרונות ממשל תאגידי.

מודל CMMI – מודל הבשלות.
זהו מודל בו הארגון נבדק ברמת הבשלות שלו בתהליכים השונים. ישנם חמש רמות בשלות ועל הארגון להחליט באיזה רמה הוא רוצה להיות ולפעול להשגת הרמה הנדרשת.

משפחת ISO 2700x – אוסף תקנים בנושא אבטחת מידע.
קבוצת התקנים מפרטת את תהליכי אבטחת המידע בארגון ובהחלט מספקת נגיעה בחלק לא מבוטל מתחומי ממשל טכנולוגיית המידע. באחד הפוסטים הקרובים, אספר על יישום ממשל אבטחת מידע מבוסס על תקנים אלה יחד עם מסגרת העבודה קוביט.

IT Balanced Scorecard – סרגל ביצועים מאוזן (בתרגום חופשי ולא מדויק)
סרגל ביצועים הינה שיטת ניהול לפי תוצאות וביצועים. מציבים מטרות לרמת ביצוע טכנולוגיית המידע ומודדים ביצוע בפועל, ע”י שימוש בלוח מחוונים ויזואלי.

מסגרות לניהול פרויקטיםPMBOK, CCPM, PRINCE 2 ודומיהם

מכירים מסגרות עבודה נוספות? חושבים שיש לכם מה להוסיף, הרגישו חופשי להעיר ולהאיר.

פורסם בקטגוריה כללי, ממשל, מתודולוגיות וסטנדרטים

מסגרות עבודה מקובלות בממשל

נכתב בתאריך October 28, 2011 על ידי orenh אין תגובות

כאשר אנו רוצים ליישם ממשל (תאגידי או אחר) אנו משתדלים להשתמש במתודולוגיה / מסגרת עבודה כלשהיא.
המטרה היא “לא להמציא שום גלגל”, אלא לקחת הנחיות עבודה מקובלות וליישם אותם בצורה הטובה ביותר בארגון שלנו.

מהי מסגרת עבודה? מסגרת עבודה היא אוסף תובנות שהושגו במטרה לבנות וליישם ממשל בארגונים שונים. במרבית המקרים, מדובר בתקנות ובחוקים שמדינות אימצו עבור חברות ציבוריות בתחום שיפוטם ו/או הנסחרות בבורסות המקומיות. אלו הם קווים מנחים, גנריים וכלליים ליישום תוכנית פעולה בצורה מסוימת ושתוביל לתוצרים מוגדרים מראש.

רוצים לדעת עד כמה אתם בקיאים במסגרות עבודה לממשל? המשיכו לקרוא ונראה מי מכיר יותר…

 בואו ננסה להתחיל מההתחלה, עקרונות ממשל מתחילים בעקרונות ממשל תאגידי.
ממשל תאגידי אפקטיבי מכסה את כלל התהליכים העסקיים בארגון, ועקרונותיו באים לידי ביטוי בניהול מרבית אם לא כלל האספקטים הניהוליים. יש דגש רב בניהול הפנים ארגוני. למשל: הגדרת תפקידים ותחומי אחריות, התנהלות בעלים, יחס לבעלי עניין, דירקטוריון, בקרת פנים ומעגלי בקרה, התנהלות למניעת מעילות והונאות, הטרדה מינית וכדומה.
ממשל תאגידי מתייחס גם לניהול חוץ ארגוני. למשל: ללקוחות, לרשויות, בעזרה לקהילה, במוניטין חברתי, בסביבה העסקית של הארגון וכדומה.

בישראל אין מסגרת עבודה / קוד ממשל תאגידי רשמי, למעט חוק החברות.
בשנת 2005, הרשות לניירות ערך מינתה ועדה בראשות זוהר גושן, שקיבלה את שמה (מי ינחש?) כועדת גושן. מטרתה העיקרית של הועדה, הייתה להמליץ על קוד ממשל תאגידי לחברות ציבוריות בישראל. הועדה פרסמה, בתחילת 2006, את מסקנותיה שכללו המלצות בששת הנושאים הבאים:

  1. פירוט על מהו הרכב ומהי עבודת הדירקטוריון, לרבות שיפור עצמאותו.
  2. מהו הרכב ומהי עבודת ועדת הביקורת.
  3. כיצד יש לאשר עסקאות עם בעלי שליטה.
  4. איך לייצר מנגנוני בקרה נוספים.
  5. מהם הדרישות מגופים מוסדיים.
  6. המלצה לכינון בית משפט מתמחה לדיני חברות ודיני ניירות ערך.

יחד עם זאת, כמדינת יהודים (נאורה כמובן) אימוץ המסקנות לווה בביקורת מצד הגורמים העסקיים על כך שההמלצות אינן תואמות את הסביבה העסקית השלטת בישראל.

כפי שניתן להבין ישנן מספר מסגרות עבודה / תקנות לקוד ממשל תאגידי.
מסגרת העבודה העיקרית שהנחתה את הועדה, הייתה קוד הממשל התאגידי בבריטניה, ולהלן מסגרות נוספות:

ניתן למצוא דוגמאות נוספות, ומדינות נוספות באתר המכון לממשל תאגידי האירופאי.

כתבו והגיבו לגבי מסגרות נוספות, שימו לב, הפוסט הבא יוקדש למסגרות עבודה לממשל טכנולוגיית המידע.

פורסם בקטגוריה דרישות חוק ורגולציה, כללי, ממשל, מתודולוגיות וסטנדרטים

ממשל על צורותיו השונות

נכתב בתאריך October 23, 2011 על ידי orenh אין תגובות

בפוסט הקודם, ממשל תאגידי וממשל טכנולוגיית המידע. מצא את ההבדלים, הסברנו על ממשל תאגידי וממשל טכנולוגיית המידע, והסברנו למה הם שלובים זה בזה.

כשחושבים על זה, ישנם מושגים נוספים (מילות באז, זוכרים?) המתארים סוגי ממשל שונים. למשל:

– ממשל אבטחת מידע – Security Governance
– ממשל הנתונים – Data Governance
– ממשל ארכיטקטורת שירותים – SOA Governance
– ממשל המידע – Information Governance

סביר להניח שישנם מושגים נוספים, אלו מושגים, שלי באופן אישי, כבר יצא לשמוע ולהיפגש עימם.
רוצים לדעת מה אומר כל אחד?

בדיוק כמו שממשל טכנולוגיית המידע מייצג את העקרונות לניהול המבנה הארגוני, המטרות הארגוניות, העקרונות והבקרות על מכלול מרכיבי מערכות המידע וציוד המחשוב בארגון, כך ממשל אבטחת מידע או נתונים, ובעצם כל צירוף אחר לממשל, “הממשלים” מייצגים את המטרות, העקרונות והבקרות הרלוונטיים לאותו נושא.
לדוגמא, ממשל אבטחת המידע מגדיר:

מבנה תחום אבטחת המידע ושילובו בתהליכים העסקיים.
על המבנה לשרת את התהליכים העסקיים ולתת מענה לסיכוני אבטחת המידע שהארגון זיהה כרלוונטיים עבורו.

מטרות תחום אבטחת המידע.
מטרת העל של אבטחת הידע, המידע והנתונים הארגוניים, אינה מספקת. לעומת זאת, יש לעבור על המטרות העסקיות ולוודא כי סיכונים עסקיים הנובעים מכשל אבטחת מידע ביישום המטרות העסקיות מכוסים, לרבות, סיכונים של יישום תהליכים חדשים או שינויים בתהליכים קיימים.

עקרונות תחום אבטחת המידע.
יש לקבוע מהם העקרונות שהארגון רוצה להנחיל. עקרונות אלו יהוו את הבסיס להגדרת תהליכי עבודה ויכללו את רמת הסיכון שהארגון מוכן לקחת על עצמו במקרה של מימוש חשיפת סיכון אבטחת המידע.

הבקרות של תחום אבטחת המידע.
על מנת להתמודד מול סיכוני אבטחת המידע, יש ליישם בקרות המצמצמות את הסיכונים שזוהו ככל הניתן בהתחשב באלמנט העלות אל מול התועלת.

באחד הבלוגים שקראתי (אינני זוכר באיזה ספציפי) הייתה הגדרה מעניינת לממשל טכנולוגיית המידע ובעצם היא מתאימה לכלל צורת הממשל. ההגדרה, בתרגום חופשי לעברית: “כלל הפעולות הנעשות לשיפור אפקטיביות טכנולוגיית המידע, תוך ניהול סיכוני טכנולוגיית המידע ומבלי להפר תאימות רגולטורים”.

עכשיו תחליפו את צמד המילים טכנולוגיית המידע באבטחת מידע ו/או נתונים ו/או ארכיטקטורת שירותים או כל מילה ו/או צירוף מילים ותקבלו את המשמעות דה פקטו של ממשל.

בקיצור – העלאת אפקטיביות תוך ניהול סיכונים ומבלי לפגוע בתאימות. סוף הסיפור.

מסכימים להגדרה הזו? הערות, הארות ותגובות יתקבלו בברכה.

פורסם בקטגוריה אבטחת מידע, כללי, ממשל

ממשל תאגידי וממשל טכנולוגיית המידע – מצא את ההבדלים

נכתב בתאריך October 16, 2011 על ידי orenh אין תגובות

בפוסט הקודם שלי מהו ממשל תאגידי (Governance)? ולמה זה מעניין אותנו?, הצגנו את המושג ממשל תאגידי והסברנו מהו ההיגיון העסקי העומד מאחורי צורת הניהול מבוססת עקרונות ממשל תאגידי. הדגשנו יחד, כי החלק העיקרי (גם אם הוא מעצבן ומייאש), בהטמעת עקרונות ממשל תאגידי הוא התיעוד הנרחב, המהווה בסיס לניהול העובדים, ולמנהלים כיצד להתנהל ומה לעשות במרבית המקרים בהם עובד מוצא עצמו במקום העבודה שלו. במקביל, ראינו כי עבודת התיעוד מחייבת חשיבה ארגונית לטובת שיפור, ייעול, תעדוף (Prioritizing) ובעיקר קבלת החלטות לגבי תהליכים, מטרות, יעדים, בקרות, וכדומה. אם כך, מהו ממשל טכנולוגיות המידע? והאם יש הבדל במושגים?

בעולם הטכנולוגי בו אנו חיים, תהליכים עסקיים אינם מבוצעים ידנית.
למעט מספר מצומצם של עובדים (בד”כ הם יהיו בגילאי 60 ומעלה), יהיה קשה למצוא תהליכים ו/או תפקידים המבוססים על נייר ועט (ישנם סיפורים על תפקידים בהם כלי העבודה הם לוח מחיק וטוש, אבל, זה יותר נראה לי באגדות מאשר סיפורים מהמציאות). מה שכן נמצא בכל מקום עבודה, מהקטן לגדול, הם מחשבים, מערכות מחשב, מערכות מידע, בסיסי נתונים וכדומה, או במילים אחרות – טכנולוגיית המידע.
בעצם, התיעוד אינו תיעוד של עט ונייר, אלא, תיעוד אלקטרוני ובלא מעט מקרים ישירות במערכות מידע ייעודיות לנושא. ישנו מגוון גדול ורחב של כלים לתיעוד החל מחבילות האופיס של מיקרוסופט דרך תוכנות קוד פתוח ועד למערכות תיעוד וניהול, אפילו לממשל תאגידי / טכנולוגיית המידע.
למען הסדר הטוב (והמצפון שלי), אקדים ואומר (אכתוב) כי אני אינני חסיד גדול של יישום כלים ייעודיים להטמעת תהליך ממשל או כל תהליך אחר. האני מאמין שלי אומר, קודם עושים באופן ידני כביכול (בתוכנות אופיס, כי מה לעשות זה מה שמוצאים במרבית הארגונים), ורק אחרי שהטמענו כברת דרך, אפשר לחשוב על הכנסת כלי העומד בצרכים שנקבעו (במהלך התיעוד הנכון של התהליכים).
כפי שכבר ראינו, התיעוד המאסיבי יוצר נהלי עבודה ומטריצות ניהול המאפשרות לארגון ולעובדיו לקבל את האחריות הרלוונטית (Accountability), הבאה לידי ביטוי, שוב, במערכות המידע הארגוניות. האחריות מתחילה בראש הארגון ומורדת כלפי מטה עד לאחרון העובדים.
במילים אחרות, איך שלא תסובבו את התהליכים, בסופו של יום, תגיעו למערכות מידע האוצרות את המידע, שסיבבתם לפני רגע, ושומרות עליו מכל משמר (לפחות תיאורטית).
יתרה מזאת, שלא כמו מרבית התהליכים העסקיים בארגון, תהליכי מערכות המידע הינם תהליכים רוחביים. הם משרתים את התהליכים העסקיים השונים (רכש, כ”א, כספים, רצפת ייצור וכדומה). ניהול ממשל בטכנולוגיית המידע מאפשר ניהול התהליכים העסקיים בממשל תאגידי.

ממשל טכנולוגיית המידע הוא עקרונות בסיסיים המכוונים את צורת הניהול לרבות המבנה, המטרות, העקרונות והבקרות על מכלול מרכיבי מערכות המידע וציוד המחשוב בארגון. ניהול זה מתווה, להנהלת הארגון דרך מחלקת מערכות מידע, את ניהול התהליכים, הן פנימית בתוך המחלקה (מחלקת טכנולוגיית המידע, שכאמור, משרתת את כלל הארגון) והן חיצונית מול יחידות אחרות בארגון ומול ארגונים ו/או לקוחות וספקים חיצוניים.
כיום, עם מהפכות ה- IP, הענן, וירטואליזציה, ושאר ירקות, טכנולוגיית המידע כוללת אספקטים בכל תהליכי הארגון מקטן ועד גדול (הן תהליכים והן ארגונים).

ממשל תאגידי וממשל טכנולוגיית המידע הולכים יד ביד.
לאף אחת מההגדרות אין זכות קיום ללא האחרת. לא ניתן לממש ממשל תאגידי (בצורה מלאה ואפקטיבית) ללא טכנולוגיית המידע, וממשל טכנולוגיית המידע חייב לבוא כחלק (מהותי) מניהול ממשל תאגידי, אחרת היישום שלו יהיה בואקום (ולצערי, בעל סיכויים גדולים להיכשל).

חושבים אחרת? קוראים תיגר? מאמינים שאפשר אחרת?
אשמח לשמוע את דעתכם ואולי תצליחו לשכנע אותי ואת שאר הקוראים שבעזרת שימוש במושגים אחרים ובניסוחים אלטרנטיביים ניתן להבין אחרת.

פורסם בקטגוריה כללי, ממשל

מהו ממשל תאגידי ולמה זה מעניין אותנו?

נכתב בתאריך October 9, 2011 על ידי orenh אין תגובות

כאשר אנו מחפשים מושגים חדשים אנחנו בד”כ פונים לגוגל ומשם מופנים לא פעם לאתרי ויקיפדיה.
לכן, אם נחפש את המושג ממשל תאגידי בויקיפדיה בעברית נגיע להגדרה הבאה:
(באנגלית משתמשים בד”כ במושגים: Corporate Governance, או במושג Enterprise Governance): “מכלול התהליכים, המנהגים, המדיניות, החוקים, המוסדות ומבני הבקרה שלפיהם מתנהל ומבוקר תאגיד ו/או ארגון”.
או במילים אחרות, הכול !!
האם ישנן פעולות ארגוניות שאינן נופלות תחת ההגדרה הנ”ל?
כבר מהמילה הראשונה מכלול… ניתן להבין כי המטרה היא לכלול (כמה מפתיע) את כל הפעולות האפשריות. אם כך, למה לקרוא לזה ממשל? ושוב, למה זה מעניין אותנו?

אני אישית מזדהה יותר ולכן גם עובד עם ההגדרה של הארגון לשיתוף פעולה כלכלי ופיתוח (OECD), המגדיר ממשל תאגידי באופן הבא – “המערכת באמצעותה חברות עסקיות מנוהלות ומבוקרות. הממשל מגדיר את חלוקת הזכויות והאחריות בין המשתתפים השונים בחברה כגון חברי דירקטוריון, מנהלים ובעלי המניות וקובע את החוקים והנהלים לביצוע החלטות בחברה”.

אז בואו ננסה לעשות סדר בבלגאן ולהסביר קצת יותר מהו ממשל.

כגוף מדיני, מה עושה ממשלה?
בישראל, רבים יגידו – כלום. המחמירים אף יאמרו שהיא אפילו מזיקה. יכול להיות שהם צודקים. אני כאן לא לטיעונים פוליטיים ולכן אני מנוע מלהמשיך בכיוון הזה.
בואו ננסה בשאר העולם, ממשלות תפקידן להוציא אל הפועל את החלטות המדינה. ישנן ממשלות המצליחות יותר וישנן פחות, אך בסופו של דבר, הן מנהלות את המדינה. אפילו במשטרים טוטליטריים (קרי, מנהיג אחד יחיד שולט), קל וחומר בדמוקרטיות, לכל מדינה יש ממשל.
גם כאשר אוסף אנשים מקרי שהונחת “כבובות על חוט”, כחברי הממשל, על פיהם יישק דבר.

אם כך, אז מה בכל זאת הגליק הגדול בממשל תאגידי?
פשוט מאוד, כמו שגוף מדיני זקוק לממשל על מנת להנהיג ולקבוע תיחום לענייני ניהול המדינה, כך גוף מסחרי / עסקי זקוק לממשל בצורה של מבנה ארגוני, תהליכים עסקיים, שדרת ניהול, מדיניות ניהולית וכדומה.
בעזרת עקרונות הממשל, הארגון מנוהל להשגת מטרותיו העסקיות. למכלול הצורות הנ”ל (זוכרים את ההגדרה: מכלול התהליכים, המנהגים…) נתנו שם שיווקי וקראו לו ממשל תאגידי.
במאמר מוסגר אומר כי, ממשל תאגידי היא מילת באז. מהר מאוד היא הופכת למילה השגורה בפיהם של המבקרים והיועצים (ואני אינני שונה), וכך מגיע גם לפתחם של מנהלים. בום, כולם יודעים לומר את מילות הבאז. הבעיה היא שאני לא בטוח כמה מבינים אותן.

אני, באופן אישי, לא מכיר עסקים ללא קשר לגודל ו/או לתחום שאין להם מבנה ארגוני (גם אם זה אדם אחד הוא הישות העסקית, הפיננסית, המשפטית וכדומה), תהליכים עסקיים ומטרות.
ואז, נשאלת בפעם האחרונה השאלה – מהו ממשל תאגידי? ולמה זה מעניין אותנו?

הסיבה שממשל תאגידי בכל זאת מעניינת אותנו, היא ההיגיון שעומד מאחורי המושג.
ההיגיון שעומד מאחורי ממשל תאגידי בעיני הוא הטיפול באלמנט האנושי.
האדם, לטוב ולרע, הוא יצור לומד ומסתגל. העובד לעומתו, הוא לרוב שוכח ומתעצל.
כאשר אנו מטמיעים עקרונות של ממשל תאגידי ומנהלים את הארגון עפי עקרונות אלו, אנו קובעים ומתעדים את המבנה הארגוני, אנו קובעים ומתעדים את המטרות העסקיות שלנו, אנו מחליטים על העקרונות על פיהם נקבעים התהליכים העסקיים שלנו ואנו מתעדים, ומתעדים, ומתעדים.
התיעוד לכשעצמו מהווה תקן עבודה ולא פחות חשוב תזמון הפעילויות עבור העובדים ועבור לא מעט מנהלים.
תירוצים כגון: “שכחתי”, “נגמר לי”, או אפילו התירוץ הצבאי – “יש לי ערפל בקידבק”, אינם רלוונטיים יותר. הכל כתוב בנהלים – שחור על גבי לבן (בהנחה שהדפסה בשחור לבן חסכונית יותר, או שפשוט מופיע בפורטל הארגוני), זמין לכולם (במיוחד עם משתמשים בפורטל) ומנוהל ומתוזמן באופן שקוף.
יתרה מזאת, תהליך התיעוד במקרים רבים מכריח את הארגון לחשוב.
החשיבה מניבה עדכונים, שיפורים, התייעלויות, ובכך יוצרת את צירופי המילים האהובות כל כך על המנהל הבכיר יותר, חברי דירקטוריון ובעלי מניות: “יתרון עסקי”, “יתרון תחרותי”, “צמצום עלויות”, “שיפור רווחיות” ועוד.

הטמעת ממשל תאגידי, מאפשרת יכולת שליטה של בעלי העניין במרכיבים השונים של הארגון. הממשל, מפתח ובונה את המבנה הארגוני, את הבקרות הניהוליות, את תחומי האחריות של כל יחידה ויחידה ארגונית (אגב, כשמגיעים למנהלים של אותם יחידות מתחילות הצרות), ולא פחות חשוב את המטרות של היחידות השונות על מנת שבסופו של יום, מטרות היחידות ירכיבו את מטרות הארגון ובלי כוונה אף יגיעו למצב בו סכום החלקים יהיה גדול מהשלם.
פעולות אלו מחייבות את מרבית שדרת הניהול (בעצם את כולם אבל על מנת להשאיר מקום לחריגים..) לבדוק האם התהליכים שבאחריותם יעילים? רווחיים? תקינים? מבוקרים?

כשאנו מתעדים את מרכיבי התהליך הזה אנחנו בעצם יוצרים מטריצות ניהול:

1. מטריצות ניהול סיכונים ארגוני.
2. מטריצות פיננסיות כגון: מטריצות ניהול נכסים, ניהול פיננסי, ניהול רווחיות.
3. מטריצות תאימות כגון: מטריצות ניהול הבקרה, תאימות לחוקים, רגולציות, השוואות לגורמים חיצוניים אחרים (סקטור עסקי, גודל וכדומה).
4. מטריצות מדידה כגון: כמות ואיכות יחידות עסקיות, ייצור לפי יחידות זמן, מדידת יעילות.
5. כל מטריצה אחרת שמנהל יכול לחשוב עליה.

שימוש במטריצות הללו בהתנהלות הארגונית מאפשר את האחריות (Accountability) הנדרשת מכל אחד ואחד בארגון, ממנהל הבכיר ועד אחרון העובדים, דרך ספקים, לקוחות, ועד כל גורם אחר אשר פעולותיהם משפיעות בצורה זו או אחרת על הארגון.
אגב, טיפ: כאשר יש על העובד אחריות הוא פחות שכחן ועוד פחות עצלן.
החוכמה האמיתי היא לבנות את שיווי המשקל בין הגורם האנושי יחד עם התרבות הארגונית (הבנויה לא פעם על הגורם האנושי) אל מול המטרות העסקיות של הארגון.

לסיכום: ממשל תאגידי מאפשר גישה ניהולית נכונה יותר של כלל היחידות הארגוניות ומחייב אחריות (Accountability) על כל פעולה אינדיבידואלית בתהליכי הארגון.
היתרונות העיקריים ביישום הגישה היא השליטה של ההנהלה הבכירה ע”י האצלת סמכויות ואחראיות על דרגי ביניים ומטה תוך בקרה מלאה על פעולות יום יומיות, יכולת מדידת ביצועים , יכולת ניהול סיכונים והיכולת לשנות במהירות ובמדויק כיוונים עסקיים.

אז מה אתם אומרים, ממשל תאגידי מעניין אתכם?
מה תרצו לדעת בנושא? מה עניין אתכם בפוסט?

אשמח לשמוע מכם, לפרט בנושאים המעניינים אתכם, ולשתף עמכם מניסיוני.

פורסם בקטגוריה כללי, ממשל

מי אני ולמה אני כאן?

נכתב בתאריך October 2, 2011 על ידי orenh אין תגובות

שלום לכולכם,

קודם כל, שמי אורן הדר.

אחרי יותר מעשר שנות ייעוץ וביקורת בתחומי מערכות מידע בארגונים גדולים החלטתי לצאת לעצמאות ולנסות להצליח בעצמי.

במסגרת תפקידי השונים, ובמיוחד בשנים האחרונות, עסקתי בעיקר בנושאי:

– תאימות רגולטורית בתחום מערכות המידע (בפוסטים הבאים ארחיב בנושא)
– ניהול סיכוני מערכות מידע
– השתמשתי בלא מעט סטנדרטים, תקנים ומתודולוגיות שונות לניהול מערכות מידע

הידע והניסיון, שרכשתי במהלך השנים, הביאו למצב הטוען כי יש לי יתרון בכך שאני “מבין קצת בהרבה מאוד נושאים” ומנגד לטעון שאני “מבין (רק) קצת בהרבה מאוד נושאים”.

בנוסף, עם הניסיון, פיתחתי מבט מלמעלה (מי שמכיר אותי יודע שאני בחור גבוה מאוד, יותר משני מטרים גובה, כך שתמיד אני רואה מלמעלה…), המאפשר לראות את התמונה הרחבה, ולהבין דברים גם מבלי להיכנס לפרטי פרטים (לפחות כך נוח לי לחשוב)..

האמינו לי, מהר מאוד מבינים שמרבית הארגונים (לפחות אלו שהחברה בה עבדתי באה איתם במגע), בהיותם תואמי רגולציה זו או אחרת, מנהלים בקרות ולא סיכונים.
יתרה מזאת, לא תמיד הבקרות מתאימות לארגון, אלא, הארגון לוקח רשימת בקרות גנריות (כלליות), מיישם אותם בצורה עיוורת, וזאת על מנת בסופו של דבר, לקבל חוות דעת חיובית מהמבקר.

אז מה הפלא, שמרבית החברות חושבות ומאמינות כי רגולציה היא “קוץ בת..”.

חוץ מעלויות גבוהות מה זה נותן? האמת: כלום!!
ארגון שלא הפעיל קצת את הקלבסא (אין סיכוי שאייתתי את זה נכון) לא מרוויח כלום.

מניסיוני למדתי שאין מה לעשות, מרבית הארגונים (או יותר נכון למקבלי ההחלטות), אין את הרצון לתת את הזמן הנדרש / המשאבים האנושיים / התקציבים, ובעיקר אין את הידע המתאים לבנות תוכנית עבודה אמיתית המותאמת לצרכי הארגון!!!!

טוב, אז למרות הרצון הטוב (נאמר שיש לי, ושוב, ככה נוח לי לחשוב), מי יכול לעזור בכל הפרמטרים הנ”ל? זה מה שמוביל לתשובה לשאלה השנייה: “למה אני כאן?”

המטרה העיקרית שלשמה אני כאן, היא לנסות להסביר ולהציג את השקפת עולמי בתחומי ניהול הסיכונים (ולא הבקרות), התאימות הרגולטורית (בתחום מערכות המידע), אבטחת מידע רלוונטית, וממשל טכנולוגיית המידע (איזה תרגום נוראי למושג: IT Governance, שאגב, גם לגביו יש לי השגות), בשפה פשוטה ככל הניתן עם דוגמאות מחיי היום יום של התחום, ובאנלוגיות שמטרתן לפרט ולהסביר מה זה נותן לי כארגון (וליועצים כתשלום).

אני רוצה לשתף אתכם בידע שצברתי, בניסיון שרכשתי, בדוגמאות אמיתיות שנתקלתי בהן, ולא פחות בהשקפת עולמי, הטוענת כי עדיף לארגונים להיות ארגון יוזם ולא ארגון נגרר.

היוזמה בארגון יוזם היא קודם כל יוזמה ניהולית.
מטרתה העיקרית היא לשפר ולייעל את תפקוד מערכות המידע ולהשיג יתרון עסקי באמצעותן על מתחרים בשוק.

איזה משפט מפוצץ, נכון? לצערי, על השאלה איך עושים את זה? אין תשובה אחת.
לכל ארגון יש בראש ובראשונה את המטרות העסקיות שלו.
לכל ארגון גם יש את היכולות ו/או המגבלות האנושיות שלו
ולכל ארגון יש את התרבות הארגונית שלו.
שלושת הפרמטרים הללו, מהווים נדבכים חשובים מאוד בהצלחת הארגון לייזום תוכנת פעולה, וביכולת שלו להשיג יתרון יחסי בשוק בו הוא פועל. מה לעשות שדווקא אלה לא פרמטרים גנריים.

בקיצור, אין ארוחות חינם. כל ארגון לגופו של עניין.

מאידך, הצד החיובי והחשוב יותר, לא חייבים להמציא את הגלגל (מישהו כבר עשה את זה, לא?), אפשר וצריך לראות מה אחרים עשו ועושים, ללמוד איך הם עשו זאת, ולהעריך האם ניתן ליישם בארגון שלנו? במידה וכן, בוננזה, אנחנו על הסוס.
במידה ולא, מה צריך לשנות על מנת שזה כן יתאים ויהיה בוננזה.

בפוסטים הבאים אספר לכם, טוב נו, אכתוב לכם, בעצם, אפרט בפניכם על:

– מה עושים ארגונים אחרים
– מה אומרות המתודולוגיות ומה מפורט בסטנדרטים
– אתן רקע לנושאים השונים
– אשחק “מצא את ההבדלים”
– אקנח בדעותיי האישיות בנושאים השונים.

מקווה שהבלוג יעניין אתכם ובשאיפה שאפילו תמצאו בו עזר.
אשמח לקבל תגובות, שאלות, בקשות, ובקיצור: סעד, מין וכלכלה…

פורסם בקטגוריה כללי