לקרת אירוע | הפרדת תפקידים, מערכי בקרה ועוד באמצעות מערכות
מאת מרינה סגל, CISA, CRISC, דלויט בריטמן אלמגור זהר
כלי GRC (ר"ת Governance Risk and Compliance) הינם הפתרונות המובילים כיום לניהול ממשל תאגידי, ניהול סיכונים, ניהול מערכי הרשאות, ניתור הרשאות רגישות, ניהול בקרות והפרדת תפקידים. כלים אלו מאפשרים לארגונים לרכז את ניהול מערכי הבקרה ועל ידי כך להפחית את הסיכון למעילות, לייעל תהליכי ביקורת ובקרה ולסייע בתיעוד וסקירה של ההרשאות והבקרות. מבחר הכלים מסוג זה ויכולותיהם, הולכים וגדלים מיום ליום אך עדיין בכלים אלו ישנן מגבלות שיש להכיר ולהבין על מנת להוביל לפתרון אופטימאלי לארגון ולמטרותיו.
המגבלות העיקריות של כלי ה-GRC הקיימים בשוק:
• האופן והאופי בו מיושמים כלי GRC שונה בין הארגונים השונים ובין הספקים השונים, דבר המקשה על הגדרת מטרות ותכולה נכונה של פרויקט GRC.
• מרבית הספקים טרם מסוגלים לגשר בין כל היבטי ה-GRC (תהליכי עבודה, רגולציות וטכנולוגיה).
• כיום לא קיים בשוק מארז יחיד אשר מספק פתרון הוליסטי מלא לכל דרישות ה- GRC.
• חלק ממערכות ה- GRC עדיין לא מספקות דוחות בקרה ניהוליים (Dashboards) נוחים למשתמש.
• קיים פער בכל הנוגע לטיפול בסיכונים תפעוליים אשר אינם קשורים לתהליכים כספיים בארגון.
• כלים בודדים מאפשרים גמישות תצורה אשר נדרשת על מנת לעצב את המערכת ואת תהליכי העבודה בהתאם לדרישות הארגון ומטרותיו.
הניסיון מלמד כי ארגונים אשר החליטו ליישם מערכות GRC נתקלים בקשיים לא מעטים. גיבוש תהליכי עבודה נכונים עם מערכות ה-GRC לעיתים אורך מספר שנים ומסתבר כי מרבית הארגונים אינם מנצלים כלל או באופן מיטבי את היכולות הקיימות בכלי אשר נבחר.
הלקחים המרכזיים מפרויקטים שהגיעו לסיומם מעידים כי הצעדים הבאים חשובים להצלחת היישום:
• הגדירו את תכולת הפרויקט ומטרתו במקביל לתכנון מוקדם ומפורט של הפרויקט בטרם התחלת תהליך העבודה.
• הגדירו, כבר בשלבים הראשונים של הפרויקט, את תהליכי העבודה עם המערכת.
• התאימו את סט החוקים למבנה הארגוני, למערכת ה- GRC שנבחרה ולתהליכים בארגון.
• הכירו והבינו את דרישות הרגולציה החלות על הארגון.
• רכשו הבנה מעמיקה לגבי הפונקציות והמגבלות של מערכת ה-GRC שנבחרה.
• השתמשו במתודולוגיית יישום מותאמת לטכנולוגיה שנבחרה.
• ערבו את גורמי ההנהלה הרלוונטיים בפרויקט וקבלו את תמיכתם.
• צרו שיתוף פעולה בין צוות ה-IT לצוותים העסקיים וקבעו אחריות הדדית להצלחת הפרויקט.
לבסוף, חשוב להדגיש כי בנוסף לכל האתגרים והלקחים שיש לקחת בחשבון בפרויקט GRC, יש לזכור כי מערכות מסוג זה ממשיכות להתפתח. התפתחותן של מערכות GRC משפיעה על מסלול החיים של המערכת ותכנון השימוש בה על ידי הארגון לטווח הארוך. אין ספק, כי בשנים הקרובות נהיה עדים להתפתחות מתמשכת ושימוש נרחב בטכנולוגיה חדשה עבור מערכות GRC וטכנולוגיות "כבדות משקל" תמשכנה לחדור לשוק ה-GRC (EMC, SAP, Oracle). בנוסף, תמשך המגמה של אינטגרציה של GRC עם פורטלים, דבר אשר יאפשר ניהול מרכזי של מדיניות ומערכי בקרה בארגונים ויאיץ את השימוש בכלים של ביקורת חשבונאית מתמשכת, ניטור ובחינת בקרות (continuous auditing and monitoring).
* הכותבת מרכזת בפירמת ראיית החשבון והייעוץ Deloitte בריטמן אלמגור זהר את תחום ה-Application Integrity במערכות ERP ומתמחה בכל הקשור ליישום ופיתוח פתרונות GRC בארגונים. למרינה ניסיון רב בפרויקטי יעוץ וביקורת בארץ ובעולם בתחומי ה-ERP וה-GRC. בשנתיים האחרונות הובילה מרינה בפרויקטים בינלאומיים של Deloitte קנדה ליישום מערכות GRC בגופים גלובאליים.
למידע ופרטים נוספים: מרינה סגל, מנהלת תחום Application Integrity במערכות ERP, נייד: 054-6161601.