‫נושאים במצגת‬ ‫ממשל תאגידי בבנק בנושא סיכונים תפעוליים‬ ‫מדוע יושם מודל ‪ CobIT‬בבנק ומה השגנו?‬ ‫כיצד התמודדנו עם התאמת המודל לארגון?‬ ‫האופן בו בוצע הסקר ביחידת המחשב‬ ‫מוקדי סיכון‬ ‫מה חסר במודל?‬ ‫אתגרים איתם התמודדנו‬ ‫‪2‬‬ ‫קו הגנה ראשון‪:‬‬ ‫היחידות העסקיות‬ ‫תפקיד‪ :‬ניהול הסיכונים המובנים במוצרים‪ ,‬בפעילויות‪ ,‬בתהליכים ובמערכות שבאחריותן‬ ‫קו הגנה שני‪ :‬החטיבה לניהול סיכונים ‪ -‬אגף סיכונים תפעוליים‬ ‫תפקידים‪ :‬גיבוש מסגרת ניהול הסיכון התפעולי אתגור וליווי שוטף של יחידות קו ההגנה הראשון (כולל מתן‬ ‫מידע תומך החלטה)‪ ,‬דיווח להנהלה ולדירקטוריון על חשיפות בתחום הסיכון התפעולי‬ ‫קו הגנה שלישי‪:‬‬ ‫ביקורת פנימית‬ ‫תפקידים‪ :‬ביצוע סקירה בלתי תלויה לגבי אופן ניהול הנושא בקו הגנה ראשון ושני‬ ‫‪3‬‬ ‫ממונה "על" סיכוני ‪IT‬‬ ‫הממונה לאבטחת מידע‬ ‫הממונה להמשכיות עסקית‬ ‫מנהל סיכוני טכנולוגית המידע בתפעול‬ ‫מנהל סיכוני טכנולוגית המידע בפיתוח‬ ‫חטיבה לניהול סיכונים‬ ‫‪4‬‬ ‫הערכה‬ ‫בקרה‬ ‫בקרת‬ ‫ההתאמה‬ ‫לרגולציה‬ ‫הערכת ובקרת‬ ‫ניהול הסיכונים‬ ‫ניהול משאבים‬ ‫שקיפות עבור‬ ‫בעלי עניין‬ ‫ניהול והגדרת‬ ‫מסגרת עבודה‬ ‫הערכת התרומה‬ ‫וייעול ה‪IT-‬‬ ‫הגדרת‬ ‫מדיניות ה‪IT-‬‬ ‫ניהול‬ ‫האסטרטגיה‬ ‫ניהול‬ ‫הארכיטקטורה‬ ‫ניהול חדשנות‬ ‫ניהול‬ ‫פרוטפוליו (‪)IT‬‬ ‫ניהול תקציב‬ ‫ותשלומים‬ ‫ניהול משאבי‬ ‫אנוש‬ ‫ניהול הקשר מול‬ ‫המשתמשים‬ ‫ניהול הסכמי‬ ‫השירות‬ ‫ניהול ספקים‬ ‫ניהול האיכות‬ ‫ניהול סיכונים‬ ‫ניהול אבטחת‬ ‫המידע‬ ‫תכנון‬ ‫פתוח ויישום‬ ‫תחזוקה ותמיכה‬ ‫ניהול‬ ‫פרויקטים‬ ‫ניהול דרישות‬ ‫ואפיונים‬ ‫ניהול והגדרת‬ ‫הפתרונות‬ ‫ניהול קיבולת‬ ‫וזמינות‬ ‫ניהול שינויים‬ ‫ניהול ידע‬ ‫ניהול נכסים‬ ‫ניהול תצורה‬ ‫והגדרות‬ ‫ניהול תקלות‬ ‫(הפקת לקחים)‬ ‫ניהול המשכיות‬ ‫עסקית‬ ‫ניהול שירותי‬ ‫אבטחת מידע‬ ‫ניהול אירועים‬ ‫ובקשות שירות‬ ‫ניהול בקרות‬ ‫בתהליכים עסקיים‬ ‫‪6‬‬ ‫ניהול התפעול‬ ‫(מפוצל ל‪)10-‬‬ ‫ניהול סיכוני‬ ‫סייבר‬ ‫סודיות‬ ‫שלמות‬ ‫זמינות‬ ‫ציות‬ ‫מהימנות‬ ‫יעילות‬ ‫נצילות‬ Confidentiality Integrity Availability Compliance Reliability Effectiveness Efficiency 7 ‫רשימת בקרות‬ ‫סדורה‬ ‫כלים שונים‬ ‫למדידת ביצועי‬ ‫היחידות‬ ‫שנסקרו‬ ‫נטילת אחריות‬ ‫על ידי ה‪Risk -‬‬ ‫‪Owner‬בשטח‬ ‫‪8‬‬ ‫המלצות‬ ‫לאופטימיזציה‬ ‫לניהול נכסי‬ ‫ה‪IT-‬‬ ‫בנית קטלוג‬ ‫אחיד לסיכונים‬ ‫ובקרות‬ ‫בסיס לנטילת‬ ‫אחריות על‬ ‫ביצוע פעילויות‬ ‫על ידי אחראי‬ ‫התהליכים‬ ‫אחידות‬ ‫ברזולוציית‬ ‫תהליכי ה‪IT-‬‬ ‫יישום תהליכי‬ ‫‪COBIT‬‬ ‫שימוש ב‪Best -‬‬ ‫‪Practice‬במיפוי פעילויות‬ ‫המתקיימות בתהליכי ה‪ IT-‬על‬ ‫מנת לנהלם‪ ,‬לבקרם ולנטר אותם‬ ‫באופן יעיל‬ ‫מתווה להערכת‬ ‫סיכונים‬ ‫התפלגות הערכת הנזק הפוטנציאלי על פי‬ ‫נושאי ‪CobIT‬‬ ‫התפלגות כמות הסיכונים על פי נושאי ‪CobIT‬‬ ‫פיתוח ‪IT-‬‬ ‫ויישום‬ ‫‪4%‬‬ ‫פיתוח ‪IT-‬‬ ‫ויישום‬ ‫‪13%‬‬ ‫הערכה ‪IT-‬‬ ‫‪5%‬‬ ‫תכנון ‪IT-‬‬ ‫‪13%‬‬ ‫תחזוקה ‪IT-‬‬ ‫ותמיכה‬ ‫‪93%‬‬ ‫תחזוקה ‪IT-‬‬ ‫ותמיכה‬ ‫‪69%‬‬ ‫‪ CobIT‬הצביע על חשיבות נושאי התכנון‬ ‫אסטרטגיה‪ ,‬חדשנות‪ ,‬מדיניות ‪ ,IT‬ניהול הפורטפוליו‬ ‫בחרנו להתמקד גם בתהליכים אלו (לפני השימוש במודל התמקדנו בסקר‬ ‫בעיקר בתהליכי הליבה – ייצור ופיתוח)‬ ‫‪9‬‬ ‫תרגום ישויות ‪:CobIT‬‬ ‫בניית מפת‬ ‫הסיכונים והבקרות‬ ‫לכל תהליך ‪ ,‬תיקוף על ידי‬ ‫‪ Risk Owner‬והעברת המפה לבעלותו‬ ‫והניהול השוטף‬ ‫(העברת אחריות ל‪)Risk Owner-‬‬ ‫מפה שנבנתה‬ ‫ב ‪2008-2011‬‬ ‫איחוד פעילות דומה ( מניעת כפילויות) או‬ ‫פיצול פעילות בהתאם למבנה ארגוני‬ ‫( ‪ Risk Owner‬אחד לכל תהליך)‬ ‫הוספת התהליכים הקיימים במודל שהיו חסרים‬ ‫במפה (שלמות מפת הסיכונים)‬ ‫בניית מפת התהליכים תוך התאמת שמות התהליכים בין ‪CobIT‬‬ ‫לבין שמות התהליכים הקיימים במפה הקודמת לצורך יצירת‬ ‫אחידות ושפה משותפת (שימור ושימוש במידע קיים)‬ ‫שיוך התהליכים המוצעים במודל ליחידות ביחידת המיחשוב‬ ‫יישום ‪ Best Practice‬ומציאת ‪Risk Owner‬‬ ‫‪10‬‬ ‫נושא‬ ‫‪AREA‬‬ ‫תהליך‬ ‫‪Management‬‬ ‫‪Practice‬‬ ‫פעילויות‬ ‫וסיכונים‬ ‫‪Activities‬‬ ‫בקרות‬ ‫ומדדים‬ ‫& ‪Goals‬‬ ‫‪Related‬‬ ‫‪Metrics‬‬ ‫ביצוע הסקר במהלך שלוש שנים‬ ‫בניית קטלוג נושאים‪ ,‬תהליכים‪ ,‬סיכונים ובקרות מבוסס על המפה הקיימת תוך‬ ‫התאמה למודל ה‪CobIT-‬‬ ‫ביצוע סדנאות‪/‬פגישות לכל תהליך‪ ,‬בשיתוף נציגי היחידות הרלוונטיות‬ ‫ביצוע הערכות איכותיות‪ ,‬כמותיות ותוכנית הפחתה‪ ,‬ע"י מומחי התוכן והרכזים‬ ‫בליווי הברק‪ ,‬והזנת הנתונים למערכת לניהול סיכונים‬ ‫אתגור ואישור הסקר‬ ‫‪11‬‬ ‫‪2015‬‬ ‫‪2013‬‬ ‫‪2014‬‬ ‫‪2012‬‬ ‫‪ 9‬תהליכים‬ ‫‪ 18‬תהליכים‬ ‫‪ 7‬תהליכים‬ ‫תכנון ‪3 -‬‬ ‫תחזוקה ותמיכה – ‪6‬‬ ‫הערכה ‪1 -‬‬ ‫תכנון – ‪1‬‬ ‫פתוח ויישום – ‪4‬‬ ‫תחזוקה ותמיכה – ‪11‬‬ ‫בקרה – ‪1‬‬ ‫הערכה ‪1 -‬‬ ‫תכנון ‪1 -‬‬ ‫פתוח ויישום – ‪1‬‬ ‫תחזוקה ותמיכה – ‪4‬‬ ‫מסקנה‪ :‬ניתן ליישם מתודולוגיית ‪ CobIT‬במהלך ‪ 3‬שנים‬ ‫‪12‬‬ ‫תהליך קיים‪ PMO :‬ואיכות פרויקטים (‪)279‬‬ ‫תהליך חדש‬ ‫תהליך‪ :‬ניהול האיכות (‪)AP011‬‬ ‫נושא‪ - IT :‬תכנון‬ ‫ציות‬ ‫שלמות‬ ‫יעילות‬ ‫סיכונים‪ :‬פגיעה באיכות התוצרים‬ ‫בקרות‬ ‫כתיבה‪ /‬רענון נהלים‬ ‫‪13‬‬ ‫הפקת דוחות ניהוליים‬ ‫פעילות הדרכה והטמעה‬ ‫בדיקות מדגמיות‬ ‫מדדי התהליך‬ ‫‪‬‬ ‫‪‬‬ ‫‪‬‬ ‫‪‬‬ ‫‪‬‬ ‫‪‬‬ ‫‪‬‬ ‫‪‬‬ ‫‪‬‬ ‫‪‬‬ ‫‪14‬‬ ‫בחינת שביעות רצון של בעלי העניין לכל דרישה‬ ‫בחינת שלמות הפתרונות שהוצעו לכל דרישה‬ ‫בחינת הדרישות לגידור סיכון שנדחו (סיכונים להם לא בוצע גידור ברמה נאותה)‬ ‫בחינת הפתרונות שלא אושרו על ידי בעלי העניין בגלל אי התאמה למטרות העסקיות‬ ‫בחינת השינויים העסקיים אשר נדחו או אופיינו מחדש בשל גורמים טכנולוגיים‬ ‫בחינת הדרישות העסקיות שנכנסו לתעדוף ולא בוצעו‬ ‫בחינת הדרישות שלא בוצעו כתוצאה משינוי תעדוף‬ ‫בחינת הסטייה שבין ההערכה התקציבית של הדרישות לבין ההשקעה התקציבית בפועל‬ ‫בחינת היוזמות המאושרות אשר הוצעו על ידי ה‪( IT-‬מתוך כלל היוזמות)‬ ‫בחינת החלטות עסקיות‪ ,‬דרישות פרויקטים שהתקבלו או שלא התקבלו כלל כתוצאה‬ ‫ממידע שגוי שהתקבל‬ ‫באזל‬ ‫‪15‬‬ 16 ‫ ‪ IT‬תכנון ‪IT - IT -‬‬‫פיתוח‬ ‫הערכה‬ ‫ויישום‬ ‫ ‪IT‬‬‫תמיכה‬ ‫ותחזוקה‬ ‫‪ ‬תרשים זה אינו מציג מידע אמת‬ ‫‪17‬‬ ‫אשראי‬ ‫ביקורת‬ ‫דוחות‬ ‫כספיים‬ ‫הערכות ייעוץ‬ ‫לחירום השקעות‬ ‫ייעוץ‬ ‫פנסיוני‬ ‫כרטיסים מידע מכשירים משאבי‬ ‫מגנטיים ניהולי פיננסיים אנוש‬ ‫ותפעולי ונגזרים‬ ‫תומך‬ ‫החלטה‬ ‫ניהול‬ ‫התפעול‬ ‫• התהליך פוצל ל‪ 10-‬תתי תהליכים‬ ‫לפי סביבות המחשוב‪:‬‬ ‫לדוגמא‪ :‬סביבה פתוחה; מערכות אינטרנט;‬ ‫ניהול‬ ‫נכסי ‪IT‬‬ ‫• צמצום התהליך לניהול תיק‬ ‫הנכסים בלבד‬ ‫ניהול‬ ‫פתרונות‬ ‫• פירוק תהליך הפיתוח ל‪3-‬‬ ‫תהליכים מרכזיים‪ :‬אפיון‪,‬‬ ‫פיתוח ובדיקות‬ ‫ניהול‬ ‫החדשנות‬ ‫• איחוד עם תהליך ניהול‬ ‫פרויקטים‬ ‫‪18‬‬ ‫חלק מהתהליכים במודל הם תהליכים מורכבים ומבוזרים על פני מספר יחידות‬ ‫בארגון‪.‬‬ ‫המודל אינו מציע פתרונות לניהול נושאים רוחביים (נושא הסייבר לדוגמה)‬ ‫המודל אינו מביא מתודולוגיה להערכת סיכונים ובקרות‬ ‫התמודדות עם תהליכים אך ניתוק מהביצוע בשטח (למשל בתהליך ניהול‬ ‫פרויקטים לא קיים מיפוי סיכונים של הפרויקט הספציפי)‬ ‫התמודדות עם דינמיקה טכנולוגית (ניתוק מזמן אמת)‬ ‫‪19‬‬ ‫חוסר התאמה בין תהליכי ‪ CobIT‬למבנה ארגוני של הארגון‬ ‫הסתייגויות של בעלי הסיכון לגבי שינוי התפיסה‬ ‫קושי בביצוע הערכות כמותיות (כמותי למחצה)‬ ‫תמיכת ההנהלה הבכירה‬ ‫מציאת ‪Risk Owner‬‬ ‫פערי שפה‬ ‫‪20‬‬ 21 ‫‪#‬‬ ‫קטגוריה‪ -‬רמה ‪1‬‬ ‫רמה ‪2‬‬ ‫‪1‬‬ ‫מעילה‬ ‫‪ ‬פעילות בלתי מורשית‬ ‫‪ ‬גניבה והונאה‬ ‫‪2‬‬ ‫הונאה‬ ‫‪ ‬גניבה והונאה‬ ‫‪ ‬אבטחת מערכות‬ ‫‪3‬‬ ‫פרקטיקות עבודה‬ ‫ובטיחות סביבת‬ ‫עבודה‬ ‫‪ ‬יחסי עבודה‬ ‫‪ ‬סביבה בטוחה‬ ‫‪ ‬אפליה‬ ‫‪4‬‬ ‫פרקטיקות הקשורות ‪ ‬התאמה גילוי ונאמנות‬ ‫‪ ‬אופן התנהלות לא נאות של עסקים או שוק‬ ‫ללקוחות מוצרים‬ ‫‪ ‬מוצרים פגומים‬ ‫ועסקים‬ ‫‪ ‬בחירה‪ ,‬מתן חסות וחשיפה‬ ‫‪ ‬פעולות ייעוץ‬ ‫‪5‬‬ ‫‪22‬‬ ‫נזק לנכסים פיסיים‬ ‫‪ ‬אסונות ואירועים אחרים‬ ‫‪23‬‬ ‫‪#‬‬ ‫קטגוריה‪ -‬רמה ‪1‬‬ ‫רמה ‪2‬‬ ‫‪6‬‬ ‫שיבושים עסקיים‬ ‫וכשלי מערכות‬ ‫‪ ‬מערכות‬ ‫‪7‬‬ ‫ביצוע‪ ,‬הפצה וניהול ‪ ‬תפיסת עסקה ביצועה ותחזוקתה‬ ‫‪ ‬ניטור ודיווח‬ ‫תהליכים‬ ‫‪ ‬קבלת דיווח מלקוחות ותיעוד‬ ‫‪ ‬ניהול לקוחות וחשבונות‬ ‫‪ ‬צדדים נגדיים למסחר‬ ‫‪ ‬ספקים‬