ITG - Isaca

‫ניהול סיכונים כחלק ממערך‬
‫‪ ITG‬במגזר הממשלתי‬
‫יהודה אופיר‬
‫מנהל חטיבת משילות בקרה ושקיפות‬
‫רשות התקשוב הממשלתי‬
‫נובמבר ‪2014‬‬
‫ממשלה – מבנה ארגוני‬
‫ראש ממשלה‬
‫דרג‬
‫פוליטי‬
‫שר א‬
‫דרג‬
‫ביצועי‬
‫מנכ"ל משרד‬
‫מנכ"ל רשות‬
‫שר ב‬
‫מנכ"ל יחידת‬
‫סמך‬
‫מנכ"ל משרד‬
‫מנכ"ל רשות א‬
‫מנכ"ל רשות ב‬
‫גוף מבוזר ניהולית ‪ -‬אין היררכיה ביצועית כלל ממשלתית‬
‫ריבוי יחידות מחשב ומנמ"רים עם מכנה משותף מצומצם מאוד‬
‫משרדים רוחביים‪ :‬משרד ראש הממשלה‪ ,‬משרד האוצר (תקציב‪ ,‬חשכ"ל)‪ ,‬משפטים (יועמ"ש)‬
‫שלושה מודלים של יחידות רוחביות (כפיפות מינהלית ‪ /‬מקצועית)‪:‬‬
‫• חשבות‬
‫• לשכה משפטית‬
‫• תקשוב‬
‫החלטת ממשלה בנושאי ‪ITG‬‬
‫וניהול סיכונים (‪ 2097‬מ‪)10.10.2014 -‬‬
‫החלטת ממשלה ‪ 2097‬מ‪10.10.2014-‬‬
‫החלטת ממשלה בנושאי ‪ITG‬‬
‫וניהול סיכונים (‪ 2097‬מ‪)10.10.2014 -‬‬
‫החלטת ממשלה ‪ 2097‬מ‪10.10.2014-‬‬
‫החלטת ממשלה בנושאי ‪ITG‬‬
‫וניהול סיכונים (‪ 2097‬מ‪)10.10.2014 -‬‬
‫החלטת ממשלה ‪ 2097‬מ‪10.10.2014-‬‬
‫תקשוב ממשלתי – מבנה ארגוני‬
‫רשויות‬
‫מקומיות‬
‫מנכ"ל‬
‫משרד רה"מ‬
‫ראש מטה‬
‫ישראל‬
‫דיגיטלית‬
‫ועדת היגוי‬
‫עליונה‬
‫אזרחים‬
‫עסקים‬
‫מנכ"ל‬
‫משרד רה"מ‬
‫ועדת שרים לנושאי‬
‫תקשוב ושיפור שירות‬
‫‪Internet‬‬
‫(נייח או נייד)‬
‫צוות מטה‬
‫ישראל דיגיטלית‬
‫ממשל זמין – ‪e-Gov‬‬
‫מנהל יחידת‬
‫ממשל זמין‬
‫‪E-gov‬‬
‫ועדת היגוי‬
‫בריאות‬
‫היחידה לשיפור‬
‫השירות‬
‫‪ Best Practice‬ותקן לשימוש היחידות‬
‫ועדת היגוי‬
‫חינוך‬
‫סינרגיה‪ ,‬הפקת לקחים והעברת ידע‬
‫ועדת היגוי‬
‫רווחה‬
‫טיפול מרכזי בנושאים משותפים‬
‫ועדת היגוי‬
‫עסקים קטנים‬
‫‪ITG‬‬
‫‪CTO‬‬
‫מטה‬
‫מקצועי‬
‫‪CISO‬‬
‫מערכות מידע רוחביות ‪ /‬בין משרדיות‬
‫‪HR‬‬
‫מנהל מערכות‬
‫רוחביות‬
‫ממונה על‬
‫התקשוב‬
‫הממשלתי‬
‫תפישת משילות מערכות מידע‬
‫תכנון‬
‫אסטרטגית‬
‫אסטרטגית‬
‫מערכות מידע‬
‫העסק‬
‫ניהול‬
‫סיכונים‬
‫תפעול‬
‫פרויקטים‬
‫ביצוע‬
‫נכסים‬
‫(תשתיות‪ ,‬הון אנושי)‬
‫ניהול סיכונים כתרבות ארגונית‬
‫•‬
‫סיכון‪ :‬האפשרות כי אירוע‪ ,‬פעילות או פעולה פנימיים או‬
‫חיצוניים יפגעו ביכולת הארגון לעמוד ביעדיו‬
‫•‬
‫סיכונים מתממשים! השאלה היא האם להתעלם‪ ,‬לטפל‬
‫אינטואיטיבית‪ ,‬לבצע ניתוח "לאחר המוות" או לטפל מראש‬
‫באופן שיטתי‬
‫•‬
‫ניהול סיכונים כחלק אינטגרלי מהתרבות של ארגונים‬
‫בינוניים וגדולים‬
‫•‬
‫•‬
‫•‬
‫•‬
‫רגולציה חיצונית‪ :‬פיננסיים‪ ,‬ממשלתיים‪ ,‬ציבוריים‬
‫דירקטוריון‬
‫תרבות ארגונית פנימית המתיחסת לסיכויים ולסיכונים‬
‫יחד עם מכוונות להצלחה נדרשת מכוונות להתמודדות עם‬
‫סיכונים‬
‫סיכון טכנולוגיות מידע )‪(IT‬‬
‫סיכון לעסק הכרוך בשימוש‪ ,‬בעלות‪ ,‬בתפעול‪ ,‬בהשפעות‬
‫ובאימוץ של טכנולוגיות מידע בארגון‬
‫לא רק סיכוני אבטחת מידע ו‪/‬או ‪ ,DRP/BCP‬אלא גם סיכון ל‪:‬‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫יצירת ערך באמצעות ‪IT‬‬
‫• הלימה ליעדים העסקיים‪ ,‬מבחינת תכנית עבודה‪ ,‬ארכיטקטורה‪ ,‬הון אנושי‬
‫• עמידת פרויקטים ביעדי הבאת ערך לפעילות העסקית‬
‫פגיעה בשירות‬
‫חשיפה להפסד כספי‬
‫חשיפה משפטית‬
‫פגיעה במידע‬
‫פגיעה במוניטין‬
‫אספקת שירותי ‪ - IT‬ניהול השרות‪ ,‬התפעול והאיכות‬
‫אספקת פתרונות ‪ - IT‬עמידת פרויקטים באילוצי זמן ותקציב‬
‫התיישנות חומרה‪ ,‬תוכנה ותשתיות‬
‫כשלי תקשורת‬
‫יציבות ספקים‬
‫ועוד‪.............‬‬
‫מתודולוגיה ממשלתית‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫‪ ,COSO‬ת"י ‪ 5300‬חלק ‪Basel II ,1‬‬
‫‪SAP-GRC‬‬
‫סיכוני ‪ IT‬כחלק מניהול סיכונים כלל‪-‬ארגוני )‪(ERM‬‬
‫‪ 3‬איזורים‪ :‬אסטרטגיה‪ ,‬ציות‪ ,‬תפעול‪ ,‬דווח‬
‫בנקים של יעדים‪ ,‬פעולות‪ ,‬סיכונים‬
‫• שש חברות יעוץ שזכו במכרז‪:‬‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫•‬
‫אנטרופי יועצים‬
‫דלויט ברייטמן אלמגור זהר‬
‫סומך חייקין ‪KPMG‬‬
‫דב הלפרין יועצים ‪HMS‬‬
‫קומסק‬
‫רוזנבלום הולצמן‬
‫יישום מערך ניהול סיכונים במשרד‬
‫שלבי עבודה סקר סיכונים‬
‫הגדרת‬
‫עולם‬
‫• הגדרת עולם הסקר‪ :‬היחידות הארגוניות שיבדקו במסגרת הסקר‪.‬‬
‫הסקר‬
‫מיפוי‬
‫תהליכי‬
‫ם‬
‫שיוך‬
‫סיכונים‬
‫הערכת‬
‫• מיפוי התהליכים הקיימים בכל אחת מישויות הסקר אשר נבחרו במסגרת עולם הסקר‪.‬‬
‫• שיוך סיכונים מובנים (שורשיים) לכל התהליכים אשר מופו‪.‬‬
‫• שיוך סיכונים שהתממשו (אירועי כשל) לתהליכים אשר מופו‪.‬‬
‫הסיכון • הערכת רמת הסיכון השורשי לסיכונים שמופו בהתאם למתודולוגית הערכה וכימות שנקבעה‪.‬‬
‫השורש‬
‫י‬
‫שיוך‬
‫• שיוך הבקרות ‪ /‬פעולות הקיימות לכל אחד מהסיכונים שמופו‪.‬‬
‫בקרות‬
‫הערכת • הערכת רמת הבקרות ‪ /‬פעולות הקיימות לסיכון ‪ -‬רמת הבקרות תוערך על ידי הסוקר בהתאם לסרגלי הערכה ומטריצות‬
‫הבקרו‬
‫ת‬
‫הערכת‬
‫הסיכון‬
‫השיורי‬
‫תיקוף‬
‫הנתוני‬
‫חישוב‪.‬‬
‫• הערכת רמת הסיכון השיורי בהתאם לסיכון השורשי ולרמת הבקרות ‪ /‬פעולות ‪ -‬בהתאם סרגלי הערכה ומטריצות חישוב‪.‬‬
‫• תיקוף ואימות הנתונים מול מנהלי היחידות השונים‪.‬‬
‫ם‬
‫אישור‬
‫סקר‬
‫הסיכוני‬
‫ם‬
‫• אישור סקר הסיכונים בהנהלת המשרד‪.‬‬
‫מפת סיכונים‬
‫מתודולוגיית הערכה וכימות‬
‫סבירות התממשות‬
‫הסיכון‬
‫השלכה (נזק)‬
‫סיכון שורשי‬
‫(חישוב על בסיס‬
‫מטריצה)‬
‫אפקטיביות הבקרה‬
‫(הערכה סובייקטיבית)‬
‫סיכון שיורי‬
‫(חישוב על בסיס‬
‫מטריצה)‬
‫סרגלי הערכה ומטריצות חישוב‬
‫הערכת השלכה שורשית‬
‫הערכת סבירות התממשות‬
‫חישוב סיכון שורשי‬
‫חישוב סיכון שיורי‬
‫‪Heat Map‬‬
‫חלשה‬
‫אין בקרה‬
‫בינונית‬
‫הסיכונים המהותיים‬
‫א‬
‫י‬
‫כ‬
‫ו‬
‫ת‬
‫ה‬
‫ב‬
‫ק‬
‫ר‬
‫ה‬
‫טובה‬
‫טובה‬
‫מאוד‬
‫קריטי‬
‫גבוה מאוד‬
‫גבוה‬
‫השלכה \ סיכון שורשי‬
‫בינוני‬
‫נמוך‬
‫שלבי עבודה תוכנית הפחתה‬
‫ביצוע‬
‫סקר‬
‫סיכונים‬
‫הוספת‬
‫בקרות‬
‫• מיפוי הסיכונים במשרד ודירוג רמת הסיכון השורשי והשיורי שלהם‬
‫• גיבוש בקרות ופעולות מומלצות לכל הסיכונים ברמת סיכון שיורי קריטית‪ ,‬גבוהה מאוד וגבוהה‪.‬‬
‫מומלצות‬
‫גיבוש • גיבוש כלל הבקרות והפעולות המומלצות לכדי תכנית הפחתה הכוללת עדיפות‪ ,‬לוחות זמנים‪ ,‬גורם אחראי‪ ,‬עלות ומורכבות‬
‫ביצוע ורמת הסיכון השיורי החזויה לאחר יישומן‪.‬‬
‫תכנית‬
‫הפחתה‬
‫אישור • דיון בתכנית ההפחתה על ידי ועדת ההיגוי המשרדית ואישורה‪.‬‬
‫תכנית • דיווח תכנית ההפחתה הסופית למנהל הסיכונים התפעוליים הראשי במסגרת דוח החשיפות המשרדי‪.‬‬
‫ההפחתה‬
‫מעקב‬
‫יישום‬
‫• מעקב אחר יישום תכנית ההפחתה על ידי מנהל הסיכונים התפעוליים המשרדי‪.‬‬
‫תכנית‬
‫הפחתה‬
‫דיווח‬
‫• דיווח רבעוני למנהל הסיכונים התפעוליים הראשי במסגרת דוח החשיפות המשרדי‪.‬‬
‫רבעוני‬
‫עדכון‬
‫מפת‬
‫הסיכוני‬
‫ם‬
‫• עדכון מפת הסיכונים בהתאם לבקרות שהוטמעו‪.‬‬
‫תוכנית הפחתה – דרכי התמודדות‬
‫• קבלת הסיכון‬
‫• צמצום הסיכון ע"י בקרות ופעולות‬
‫• העברת הסיכון או חלקו לאחרים‬
‫• הימנעות מסיכון ע"י ביטול תהליכים‬
‫יישום מערך ניהול סיכונים במשרד‬
‫מבנה ארגוני ותחומי אחריות‬
‫מנהל סיכונים תפעוליים ראשי‬
‫העברת דיווחים שוטפים‬
‫ועדת‬
‫היגוי‬
‫משרד ב'‬
‫מנהל‬
‫סיכונים‬
‫משרד ב'‬
‫בקר‬
‫סיכונים‬
‫משרד ב'‬
‫ועדת‬
‫היגוי‬
‫משרד ג'‬
‫מנהל‬
‫סיכונים‬
‫משרד‬
‫בקר‬
‫סיכונים‬
‫משרד‬
‫ועדת‬
‫היגוי‬
‫משרד ד'‬
‫מנהל‬
‫סיכונים‬
‫משרד ד'‬
‫בקר‬
‫סיכונים‬
‫משרד ד'‬
‫עקרונות למשילות אפקטיבית‬
‫• קשר תמידי למטרות הארגון‬
‫• ניהול סיכוני ‪ IT‬כחלק ממסגרת ניהול הסיכון הכוללת‬
‫בארגון‬
‫• איזון בין העלות והתועלת שבניהול הסיכון‬
‫• תקשורת פתוחה והוגנת בארגון ("ביקורת בונה")‬
‫• הנהלה בכירה מחויבת לתהליך‪ ,‬קובעת טון‪ ,‬ואוכפת‬
‫אחריות ומחויבות של מנהלים ועובדים‬
‫• תהליך מתמשך וחלק משגרת הארגון‪.‬‬