"סיפורים מהקליניקה של מנהלת סיכונים", הינה סדרת מאמרים מאת ליאה צור, מנכ"לית חברת ייעוץ הבוטיק Life Titanium, המספקת שירותי ייעוץ והכשרה בעולם ניהול הסיכונים, בנישות הסיכונים תפעוליים, מעילות והונאות, תוכנית להמשכיות עסקית (BCP), וסיכוני סייבר בתהליכים העסקיים.
Lia Tsur WWW.LT-RISKMGMT.COM
מה תפקידו של סקר הסיכונים בחיי הארגון?
יש שיגידו שהוא הכרח רגולטורי ו"בזבוז" משאבי החברה, ויש המשתמשים בו כדרך חיים (ארגוניים) של ממש. הוא כלי עבודה עבורם, והם לא מבינים איך אפשר לעבוד בלעדיו.
ראשית נסביר: סקר סיכונים הוא תהליך ארגוני, בו מנהלת הסיכונים של הארגון, או יועץ חיצוני, נפגשים עם כל מנהלי היחידות בארגון: החל מיחידות עסקיות כגון מח' מכירות, מח' התפעול, מח' R&D ועד יחידות מטה כמו מש"א, ייעוץ משפטי וכו'. בסיום התהליך, אנו מקבלים תוצר שנקרא "מפת סיכונים". מדובר בטבלה המפרטת את כל הסיכונים של החברה לפי רמת החומרה, בקרות קיימות ובקרות מומלצות. מפת הסיכונים הינה למעשה מפת החולשות של הארגון בתהליכי העבודה שלו.
מה תפקידו של מנהל הסיכונים בתהליך?
מנהל הסיכונים הוא איש המקצוע שחושב "תרחישי קיצון" Worst Case Scenario , קרימינלי, וקטורי חדירה ותקיפה של מתקפות סייבר, ואילו מנהל היחידה העסקית חושב יעדים, הישגים והינו מומחה התוכן בתחומו. השילובים שלהם ביחד, יוצרים מפת סיכונים ליחידה הארגונית, בה משולבים שלל הסיכונים בארגון: טעויות אנוש, סיכוני מערכות, חוסר מוכנות לאירועי חירום (המשכיות עסקית-Business Continuity plan), מעילות, הונאות, סייבר, אסטרטגי, מוניטיני, פיננסי, רגולטורי. תחשבו על זה כמו על ראיון, שמנהל הסיכונים מראיין את מומחה התוכן, מנחה ומוביל אותו מחשבתית לכיוון הסיכונים ביחידתו.
מאז שפרשתי מהבנק, אני מסתובבת אצל לקוחות שונים ומגוונים ורואה סקרי סיכונים שפספסו את יעדם. או במילים אחרות: פול גז בניוטרל.
סיפור #1 – סקר סיכונים זה לא מחקר אקדמי
נפגשתי עם לקוחה חדשה שהתגאתה בסקר סיכוני אבטחת ידע שבוצע בחברה. ישבתי מולה ולא ידעתי באילו מילים אני בוחרת. מצד אחד חלילה לא לפגוע במבצע הסקר, ומצד שני לשמור על האינטגריטי המקצועי שלי.
מה ראיתי?
חושך. זה היה נראה כאילו הלקוח הזמין סוג של עבודה אקדמית תאורטית להחריד המכילה (רק) סיכונים גנריים ותאורטיים שיש בפעילות העסקית.
בהיתי בטבלה ארוכות ואז בחרתי במילים הללו: "הסיכונים הללו נכונים לכל חברה באשר היא בכל סקטור באשר הוא, בארץ ובעולם." והוספתי שזו אחלה עבודה למחקר אקדמאי, אבל איזה ערך הסקר נותן לך כמנהלת סיכונים בארגון?
תבינו, אותה פעילות עסקית יכולה להיות אצל חברה א' סיכון גבוה, אצל חברה ב' סיכון נמוך ואצל חברה ג' בכלל הסיכון איננו רלוונטי. הכל תלוי בתהליכי העבודה, סוגי המערכות ממשק המיכון לשאר מערכות הארגון, רמת האבטחה ברשת, אופן ניהול ההרשאות של המשתמשים וכו'.
סקר סיכונים נועד לספר למקבל ההחלטות את ה"תכלס". לא בערך, לא סיכון תאורטי, אלא סיכון שקיים בחברה, שהוא שילוב של הפעילות העסקית, תהליכי העבודה ומערכות המידע המשולבות בתהליכי העבודה הייחודיים שקיימים בחברה.
סיפור #2 – סיכון מתחת לרדאר
הגעתי לבצע סקר סיכונים של פעילות אשראי צרכני באחד הבנקים. מתודולוגית העבודה שלי היא שאני קודם אוהבת לכתוב על "דף חלק" את כל הסיכונים שאני מזהה בפעילות, ורק אחר כך מעיינת בסקרים קודמים אם קיימים, על מנת לוודא שאף סיכון לא התפספס. כך ראיתי שבסקר הקודם נכתב במפת הסיכונים של יחידת השיווק בחלק של הבקרות: "אבטחת מידע מבצעת סקרים לספקים של הבנק".
באמת???
הפער הזה, שבין "בפועל" לבין "בנוהל" לפעמים משאיר אותי פעורת פה.
מה קורה בפועל? בפועל אבטחת מידע מבצעת סקרים לספקים שהוגדרו כספקים קריטיים של הבנק, לפי מדיניות ומתודולוגיה סדורים. האם משרד שיווק/פרסום נחשב לספק קריטי? ברוב המקומות התשובה היא לא. האם משרד שיווק/פרסום יכול להחזיק מידע סודי של החברה? התשובה היא כן. הסוקר פשוט הציג משפט גנרי, שלקוח מתוך נהלי הבנק או משפט שאמר להם איש א. מידע בראיון, וככה המשפט נכנס כבקרה. בקרה זו אינה רלוונטית לסיכון!
בשולי הדברים אציין שבפרויקט אחר שביצעתי במוסד פיננסי גדול, גילינו שמשרד הפרסום מחזיק במידע סופר קריטי ורגיש, שיכול אף להוביל לאישום פלילי של בעלי תפקידים בחברה במקרה שהמידע ידלוף. אף אחד במח' הביטחון או אבטחת המידע, לא היה מודע או חשב על הספק הזה כספק מהותי/קריטי.
לסיכום, מה הסוד להפוך את מפת הסיכונים לרכב שנוסע, נותן ערך ארגוני ולא עומד במקום פול גז בניוטרל?
סוד #1
לגלות את רזי ה"איך". איך לגרום למנהלי היחידות העסקיות לשתף איתי פעולה, ולהבין שאנחנו באותו הצד של המתרס. שזה אינטרס שלהם לזהות את הסיכונים אפילו עוד יותר מהאינטרס שלי.
סוד #2
"להתחפש" למנכ"לית או דירקטורית בחברה. השאלה "מה מעניין אותי?" כמנכ"לית החברה כל הזמן מרחפת לצידי, כמו חברה טובה וחכמה שיושבת לי על הכתף.
מעניין אותי מאוד אם יש לי עובד שיכול להשלים לבדו מעילה ולגנוב כסף מהחברה. מעניין אותי איך אני משנה את תהליך העבודה כך שלא יוכל לבצע את זה לבדו בכזו קלות.
מעניין אותי אם יש רק אדם אחד שעושה בקרות ואם הוא בחופש או חולה שבוע, אף אחד לא יגלה טעות אנוש שיכולה לעלות לי עד 5% מההכנסות הרבעוניות בחברה.
מעניין אותי אם יש המלצה להפחתת סיכון שיישומה מפחיתה 5 סיכונים גבוהים. זה מעניין!
לא מעניין אותי סיכון גנרי שאולי אצלי בחברה הוא נמוך או לא קיים.