לקראת אירוע | ניהול סיכוני IT – תיאוריה או פרקטיקה?
מאת ירון פלד – רו"ח, CGEIT, CISA, CRISC, שותף-מנהל BDO IT Consulting Group
ניהול סיכונים אינטגרלי בפעילות העסקית הופך להיות בשנים האחרונות נחלתם של ארגונים מסדר גודל בינוני ומעלה. חלקם מחויבים לנהל סיכונים מכח רגולציה – בנקים, חברות ביטוח, בתי השקעות, חברות ממשלתיות, חברות ציבוריות (גושן), חלקם נדרשים לעשות זאת ע"י הדירקטוריון וחלקם השכילו באופן עצמאי לאמץ תרבות מבוססת סיכונים. מנהלים כיום סיכוני שוק וסיכוני אשראי, יותר ויותר ארגונים מנהלים סיכונים תפעוליים, סיכוני ציות וסיכונים משפטיים. מעטים מנהלים סיכונים אסטרטגיים וסיכונים תדמיתיים ומעטים מנהלים כראוי סיכונים הכרוכים בטכנולוגית המידע בארגון.
סיכון טכנולוגית מידע (IT) הוא סיכון עסקי הכרוך בשימוש, בבעלות, בתפעול, בהשפעות ובאימוץ של טכנולוגית מידע בארגון. עד לא מזמן היה ואקום בשוק בכל הקשור למסגרת עבודה ומתודולוגיה לניהול סיכוני IT. היו בשימוש מספר מתודולוגיות/מסגרות עבודה במישור ניהול הסיכונים הכולל כמו COSO ERM, באזל 2, AS/NZS 4360:, ISO 31000 ומנגד קיימות מספר מתודולוגיות/מסגרות עבודה בנושא אבטחת מידע כמו ISO27000. ניהול סיכוני IT לא מתמצה בניהול סיכוני אבטחת מידע כפי שהיה מקובל עד כה. ניהול אמיתי של סיכוני IT כולל התייחסות לסוגיות כמו חריגות בפרויקטי מיחשוב וההשלכות על הפעילות העסקית מעבר לנזק הכרוך בחריגה מהמשאבים שהוקצו לפרויקט ובחריגה בלוחות הזמנים.
ניהול סיכוני IT כולל גם התמודדות עם חוסר הלימה של יעדי ה-IT ליעדים העסקיים ובשאלה הקשה האם אנחנו משקיעים ב-IT בארגון ומשיגים מספיק ערך לארגון מהשקעה זו. האם הארכיטקטורה המיחשובית שלנו גמישה מספיק לשינויים הצפויים בפעילות העסקית, בעיות בניהול השירות, בעיות בתפעול, סיכונים הכרוכים באיכות ובתלות בכח האדם האמון על שירותי ה – IT, סיכונים הכרוכים בהתיישנות חומרה, תוכנה ותשתיות מיחשוב, כשלי תקשורת, פשיטת רגל של ספק תוכנה וכו'
בפברואר 2009 הושקה מסגרת העבודה Risk IT של ה-IT Governance Institute מבית ISACA.
מסגרת העבודה מחלקת את תחום סיכונים זה לשלוש קטגוריות:
סיכון באספקת שירותי IT – היבטי ביצועים, זמינות, אבטחה, ציות.
סיכון באספקת פתרונות IT – היבטי פרויקטים וניתוח מערכות.
סיכון ליצירת ערך באמצעות IT – שימוש בטכנולוגיה לשיפור היעילות והאפקטיביות של תהליכים עסקיים ותמיכה טכנולוגית ביוזמות עסקיות.
המסגרת היא מודל תהליכי המחולק לשלושה תחומים המכילים כל אחד שלושה תהליכים כמתואר בתרשים הבא:
לקוח מ-©2009 ISACA/ITGI Risk IT Framework.
ממשל הסיכון Risk Governance מתייחס לתהליכי מיסוד ותחזוקה של מפת סיכונים מקובלת, שילוב במערך הסיכונים הארגוני, שילוב המודעות לסיכון בקבלת ההחלטות. הערכת הסיכון Risk Evaluation מתייחס לתהליכי איסוף נתונים, ניתוח הסיכון ותחזוקה של פרופיל הסיכון. תגובה לסיכון Risk Response מתייחס לניהול הסיכון, דיווח בהיר של הסיכון ותגובה לאירועים.
היתרון המרכזי בשימוש במסגרת העבודה Risk IT כמו גם השימוש ב-COBIT לנושא של ניהול בקרה וביקורת של IT הוא בהיות המודל מודל כוללני המאפשר ביצוע התהליך תוך ראיה כוללת של הנושא, יצירת טרמינולוגיה אחידה והוא גם מספק מספר כלים ומדדים לשימוש בתהליך – מודל הבשלות, מדדים שונים לעמידה ביעדים, טבלאות להקצאת סמכויות וכיו"ב. עם זאת, בסופו של דבר חשוב ליישם תהליך של ניהול סיכוני IT, כך שיהיה פרקטי, חשוב להגדיר סיכונים ברורים, שאנחנו מתמודדים איתם בארגון והם מוחשיים לנו ושהטיפול בהם אכן יצמצם נזקים ויביא ערך לארגון ולא לנהל סיכונים תיאורטיים כי כך קבע המודל. רצוי גם לדרג את הסיכונים כדי שנתמקד בסיכונים החשובים יותר לארגון וכן לדאוג לתקף אותם לאורך זמן באמצעות איסוף אירועי הפסד – סיכונים שהתממשו.
חשוב שהתהליך יהיה שלוב בתרבות הארגונית ולא יהיה מלאכותי. כלומר, חשוב עד כמה שניתן שהוא יהיה מובנה בתהליכים הקיימים ובאופן ממוחשב אם ניתן – בתהליכי קבלת ההחלטות, בתהליכי ניהול הפרויקטים בתהליכי התפעול וכיו"ב. חשוב שהוא יהיה אינטגרלי לפעילויות אחרות בארגון שמשיקות אליו כמו תהליכי ציות לרגולציות שונות – סוקס, באזל, סולבנסי, הוראות פיקוח שונות. רצוי לנהל את הסיכון והבקרות בגינו פעם אחת ולא לנהל תהליכים כפולים ולא מסונכרנים – זה יחסוך הרבה משאבים לארגון.
דווקא בניהול סיכוני IT חשוב לשלב מדידה. רצוי לשלב מספר קטן של מדדי ביצוע בתהליכים השונים ולבחון האם אנחנו משתפרים לאורך זמן והאם אנחנו אכן מוסיפים ערך. אם לא נמדוד לא נבטיח שהתהליך שלנו מכויל וקשה יהיה לכמת ולהראות תוצאות למקבלי ההחלטות.
יש חשיבות רבה בשילוב הדוק של מקבלי ההחלטות וההנהלה הבכירה בתהליך. ככל שאנחנו דנים בסיכוני IT יותר אסטרטגיים – קטגורית יצירת הערך, ואנחנו רוצים לטפל בהם באמת לא נוכל לעשות זאת ללא ההנהלה הבכירה. שינויים מסוג זה משולבים בתהליכים העסקיים ובאסטרטגיה העסקית הכוללת ובד"כ גם כרוכים במשאבים גדולים.
כדי להבטיח הצלחה בתהליך יש להגדיר מבנה ארגוני תומך מהדירקטוריון, דרך ההנהלה, חבר הנהלה ממונה על סיכונים, מנהל סיכונים, רפרנטים לסיכונים ביחידות העסקיות, בעלים על תהליכים וסיכונים ועד תפקידי המבקר הפנימי, מנהל מערכות המידע ואחרים בנושא זה. חשוב שכל אחד ידע על מה אחראי כדי שהדברים יתבצעו.