סיכון שיוצר סיכוי

מושג "ניהול הסיכונים" מכיל בתוכו נושאים רבים. במשך שנים הוא היה נחלתן של פירמות רואי חשבון ונדון בהיבט הפיננסי, או האקטוארי בעולם הביטוח. שני מיתונים ומשברים כלכליים עולמיים בעשור האחרון הביאו את הנהלות הארגונים להפנים כי נזק למערכות מידע ולתשתיות המיחשוב יכול להיות הרסני לא פחות מנזק פיננסי או נזק אחר, שלא נעשו עליו תהליכי ניהול סיכונים כהלכה.

כך מצא את עצמו תחום ניהול הסיכונים הסולידי, שהיה שייך לעולמם של כלכלנים, זולג באיטיות אבל בבטחה אל עולם המיחשוב הארגוני ולפתחם של המנמ"רים. התחנה הראשונה היתה ליד משרדו של מנהל אבטחת המידע, ה-CISO. התגברות הרגולציה בתחום מערכות המידע אילצה את הארגונים להסתכל על תחום ניהול הסיכונים דרך היבט אבטחת המידע. אז החלו להיווצר תהליכי בקרות ונוצרה תעשיה שלמה של כלים ומתודולוגיות של סקרי סיכונים. לתוך זה נכנס תחום ממשל ה-IT, שהפך לתחום בפני עצמו בארגונים רבים.

אלא שזה לא מספיק. ככל שחלפו השנים, התברר כי גם בעולמו של המנמ"ר יש לא מעט סיכונים, שעליו להתמודד עימם בשתי רמות – בעבודה השוטפת שלו וכלפי הנהלת הארגון. בנושא זה עסק המפגש של פורום הבכירים של אנשים ומחשבים, C3, שנערך ביום ד' השבוע. מהדיון עלה, כי בתוך ניהול הסיכונים הכולל, למנמ"ר יש מערך סיכונים משלו. אלא שבתוך הסיכונים הללו טמונה גם הזדמנות.

על המנמ"ר להציף את הערך המירבי של ה-IT כלפי ההנהלה ומול המשתמשים. מנמ"רים נדרשים היום, יותר מתמיד, להציג בפני הנהלות חלופות ותסריטים לגבי תוכניות השקעה והטמעת טכנולוגיות הנשקלות בטרם אישור לביצוען. הקשר ההולך ומתהדק בין ה-IT לבין פעילות הליבה של הארגונים, מחייב את המנמ"רים ליטול סיכונים מחושבים, להציף אותם בפני הממונים עליהם, ובמקביל – לדאוג לכך ולעשות הכל כדי שהתסריטים הגרועים ביותר לא יתממשו.

הבעיה המרכזית היא המודעות לחשיבות של ביצוע תהליכים אלו, של ניהול סיכונים, תעדוף הטיפול בהם, והיערכות לקראתם. מרבית המנהלים, כולל המנמ"רים, רואים בכל הנושא מעין מיטרד, והם עושים זאת רק אם יש מי שמאלץ אותצם לעשות זאת – מנהל בכיר מהם או הרגולטור.

אחת ממטרות המפגש של הפורום הייתה להאיר את עיני המנמ"רים ולתת להם כיווני חשיבה לתחום. המסר של הדוברים במפגש היה, כי תהליכי ניהול סיכונים, כולל ביצוע סקרי סיכונים, לרבות שיטות ניהול ותיעוד שונות, יכולים להיות מנוף אדיר להעצמת מעמדו של המנמ"ר. ד"ר יוסי רענן, ראש תכנית MBA לניהול חברות טכנולוגיות, המסלול האקדמי המכללה למנהל, היה אחד הדוברים במפגש. ד"ר רענן דיבר ארוכות על חוסר המודעות של מנהלים בכירים בארגון בצורך לקחת אחריות על ניהול סיכונים. חוסר המודעות הזה מחלחל למטה וחל גם על מנמ"רים רבים בארגונים.

המציאות סביבנו מספקת בכל יום סיבות נוספות מדוע יש להתייחס לנושא ניהול סיכונים ברצינות רבה יותר. החל באסון טבע זה או אחר, דוגמת שריפות או רעידות אדמה, עבור  באירוע פנים-ארגוני שהביא לנפילת המערכות, וכלה באירועי טרור קיברנטי שעלולים להעמיד ארגונים שלמים בפני שוקת שבורה. זה עלול לקרות, בין השאר כי המנהלים של אותו ארגון לא נתנו מספיק את דעתם על הסיכונים.

אחת הדוגמאות המוחשיות שעלתה בדיון וגרמה לויכוח סוער, היא המעבר למיחשוב ענן. אנחנו מוצפים בים של מידע על הענן, הטכנולוגיה שלו, והיתרונות הטמונים באופן מיחשוב זה. מנמ"רים מוצאים עצמם עומדים כמעט לבד בחזית מול מגמת מיחשוב הענן ששוטפת את השיח התקשורתי והמקצועי בעולם המיחשוב. מנהלים שונים רואים בעיני רוחם כיצד הם מכפילים את משאבי ה-IT שלהם בחצי עלות. במפגש הפורום הועלו נקודות שונות הקשורות במיחשוב ענן, שהוכיחו כי רמת הסיכון במעבר לענן עדיין גבוהה ולא מאובטחת מספיק.

השורה התחתונה: ניהול סיכונים הפך להיות חלק בלתי נפרד מסדר יומו של המנמ"ר, בהיותו מנהל בכיר בארגון. ריבוי הסיכונים הנולדים מדי יום, אינסוף אירועים ותרחישים שלא תמיד ניתן לצפותם, מחייבים את המנמ"ר לשנות את הדיסקט, להתייחס בצורה חיובית לתחום שהיה זר לו ולנסות לראות אילו תועלות יצמחו לו מזה.