על סיכונים ואיומים

GRC הוא שילוב של שלושה תחומים: ממשל, ניהול סיכונים והלימה לרגולציות. כל אחד מהתחומים הללו הוא עולם בפני עצמו. המשבר הכלכלי העולמי העצים את המגמה שהחלה כבר לפניו, במסגרתה מתייחסים לשלושת העולמות הללו בראייה כוללת ומתאימים להם פתרונות מתואמים ומשותפים.

כנס it-GRC10 של אנשים ומחשבים, שהתקיים בסוף השבוע, היה השני במספר. בשנה שעברה עוד היה צריך להסביר את המשמעות של המושגים האלו ולהדגים איך ה-IT קשור לזה, אבל המשבר הכלכלי האחרון הביא את התחום לתודעה של כולנו.

למרות שהתחושה הרווחת היא שאנו מצויים כעת בתקופה שלאחר המבול, ברור לכולם שהסיכונים והאיומים לא נעלמו, על אחת כמה וכמה כאשר מדובר באזורנו: איומי טרור, אסונות טבע ועוד אין סוף איומים מרחפים מעל הפעילות העסקית של כל ארגון וארגון.

אחד המסרים שנשמעו אתמול בכנס, היה שכדי להיערך היטב לסיכונים, על ארגון לשרטט לעצמו קווים ברורים לגבי איזה סיכונים הוא רוצה לקחת ואיזה לא. על מנת לעשות זאת, אותו ארגון חייב להשקיע הרבה מאוד בתשתית המידע, בתרבות הארגונית ולהיצמד היטב לרגולציה, שתפסה מקום נכבד מאוד בכל הדיונים אתמול.

פרופסור דן גלאי, כלכלן בעל שם בינלאומי ומומחה בתחום, מחזיק בדעה שסיכון הוא סיכון באשר הוא וכאשר מדברים על ניהול סיכונים, מדברים באותה נשימה על הסיכון הפיננסי, הסיכון בניהול השוטף של פרויקטים וסיכונים ברמה האישית של כל אחד ואחד. פרופ' גלאי אמר שכדי שתוכל לדעת מפני להתגונן, אתה חייב קודם כל לדעת מה יש לך בארגון – ועל איכות הנתונים וטיבם כבר נכתבו הררי מאמרים. זהו אחד התחומים האפורים יותר בארגונים, ולצערנו ההנהלות עדיין לא מספיק מודעות לו.

ואם נחזור לרגולציה, היה מפתיע לשמוע מנמ"רים – שהשתתפו בפאנל שנערך בהנחיית אופיר זילביגר, מנכ"ל SECOZ – אומרים שרגולציה אינה דבר שלילי. שי ורדי מבנק דיסקונט אמר שלולא הרגולציה, ספק אם המערכת הבנקאית בישראל היתה יכולה לעבור את המשבר בשלום.

שלמה שמאי, שעד לפני פחות משנה עבד בבנק הפועלים, אמר, כי זו טעות להציג את הרגולציה כאויב. "במובן מסוים אני מקנא בשי ורדי", אמר שמאי. יכול להיות שבצדק. עולם הביטוח נמצא מרחק שנות אור מהבנקאות בכל הקשור לרגולציה. בעולם הביטוח רק עכשיו מתחילים להיערך לקראת תקנות המפקח, מה שאומר שתחומים רבים במגזר ענק זה, שבעקבות דו"ח בכר הפך להיות מעין צל של עולם הבנקאות, תחומים רבים לא ערוכים לקראת אסונות וסיכונים לא מחושבים.

ואיפה ה-IT בכל הסיפור הזה? המנמ"רים שלקחו חלק בפאנל לימדו אותנו שגם כאן למנמ"ר יש תפקיד מרכזי. על ראשו של ה-CIO להציג בפני ההנהלה את כל הכלים שיאפשרו לה לעמוד ברגולציה, לנהל טוב יותר את הארגון ולנהל סיכונים טוב יותר. זה בפני עצמו "תיק" כבד ביותר שלא מובן מאליו. במקביל, גוף ה-IT חייב להכין את עצמו לקראת הסכנות למיניהן.

באחד המסלולים שנערכו אחרי המליאה המרכזית הופיעה ניקי קונס, יועצת ומומחית בכירה מטעם חברת מתן, שסיפרה על תיאוריה שהיא עובדת עליה בימים אלו ביחד עם פרופסור צבי וינר מהאוניברסיטה העברית בירושלים, שמטרתה לייצר גישה הוליסטית לתחום הסיכונים והרגולציה. הרי בשתי המילים האחרונות טמון אלמנט רגשי ואישי גדול. ארגונים ואנשים שונאים לשמוע על סיכונים ועל רגולציה, אבל מבינים שבלי זה אי אפשר. אחד השלבים בגישה החדשה היא אפיון מרכיב של ניהול הזדמנויות: לא עוד סיכון ואיום – אלא יזום וצפייה נכונה אל העתיד, כדי למנוע את הסיכונים. אין ספק שמדובר בדרך מקורית להסתכל על כל האיומים והסכנות האורבות לנו מדי יום. המשקפיים אולי ורודות, אבל בהחלט מפוכחות.