שינויים בעקבות רגולציות

נוכח אירועי מעילות והונאות, התמוטטות חברות וכשלים תפעוליים ופיננסיים שאירעו בשנים האחרונות אנו עדים לרגולציה הולכת וגוברת בעולם ובארץ. עם הדרישות הרבות שעלו מצד הרגולטורים ניתן למנות את הנחיות ה-SOX בנושא בקרה פנימית על דיווח כספי, הוראות ועדת גושן, הנחיות ה-IFRS, אימוץ המלצות ועדת באזל 2 על ידי בנק ישראל, הנחיות אגף שוק ההון, ביטוח וחסכון בנושא ניהול סיכוני אבטחת מידע, דרישות דיווח שונות לציבור, לעמיתים ולמבוטחים, הוראות בנושא מניעת הלבנת הון, נהלים ודיווח בנושא עמלות, רפורמת בכר ועוד ועוד.

הוראות אלה מחייבות ביצוע שינויים מרחיקי לכת בסביבת טכנולוגית המידע בגופים המפוקחים. ניתן לחלק את השינויים הדרושים לשתי קטגוריות עיקריות: שינויים ניהוליים-ארגוניים, שינויים טכנולוגיים. מהן ההשפעות של הידוק הפיקוח וההסדרה על ידי הרגולטורים בתקופה האחרונה על הכיוון בו יתמקדו מערכות המידע הארגוניות?

שינויים ניהוליים-ארגוניים
במסגרת קטגוריה זו, נדרשים הארגונים לאמץ סטנדרטים חדשים בכל הקשור לממשל טכנולוגית מידע או IT Governance, לרבות:

• מיסוד מבנה ארגוני מתאים בסביבת טכנולוגית המידע שמצד אחד ממקם את מנהל מערכות המידע בצוות הניהולי הבכיר של הארגון, ומצד שני מעגן כללים מקובלים של הפרדת תפקידים בפעילויות של ניהול, פיתוח, תפעול, אבטחת מידע, הבטחת איכות ובקרה.
• התאמה בין יעדי טכנולוגית המידע ליעדים העסקיים – תכנון ארוך טווח של טכנולוגית המידע היה בעבר מנותק או בעל קשר רופף לתכנון העסקי האסטרטגי. ככל שההתאמה ביניהם תהיה גדולה יותר, כך, בראש ובראשונה היכולת של הארגונים להתמודד בשוק התחרותי של היום ולמקסם את ערך הארגונים תגדל, אבל גם היכולת לעמוד בדרישות הפיקוח תהיה טובה יותר.
• אימוץ מסגרות עבודה מקובלות לממשל טכנולוגית מידע – בכדי להבטיח ניהול יעיל ואפקטיבי של משאבי מערכות המידע ומתן מענה הולם לדרישות העסקיות המורכבות ודרישות הפיקוח נדרש לעבוד בהתאם למודלים מקובלים בעולם כמו COBIT, ITIL, ISO וכו'. בין היתר ידרשו לאמץ מתודולוגיות לפיתוח וניהול פרויקטים, הגדרת מדדי איכות, שימוש בכלים מתקדמים לניהול תצורה ועוד.
• מעורבות ניהולית גבוהה יותר – נדרשת מעורבות ומיומנות גדולות יותר של הדירקטוריון, המנכ"ל, ועדת הביקורת והמבקר הפנימי בתוכניות המיחשוב ובמימושן.

שינויים טכנולוגיים
דרישות ההסדרה והפיקוח מחייבות שינויים משמעותיים ועתירי משאבים בתשתיות הטכנולוגיות. דרישות הבקרה והדיווח יהיו חלק משמעותי בתקציב המיחשוב הארגוני. להלן מספר דוגמאות:

• רפורמת בכר העוסקת בהגברת התחרות, צמצום הריכוזיות וניגודי הענינים בשוק ההון מחייבת שינויים כבדים ביותר בטכנולוגית המידע בשל הרחבת סל השירותים ופלח השוק, כך שתיתן תמיכה בדרישות העסקיות החדשות, לרבות ניהול קופות גמל, קרנות פנסיה וקרנות נאמנות.
• נדרשת עבודה רבה להגברת האינטגרטיביות בין המערכות והנתונים, הצגת נתונים כוללים ברמת לקוח וכו'.
• הגברת השקיפות לבעלי הענין, דרישות דיווח רחבות יותר ותכופות יותר.
• חיזוק היבטי אבטחת מידע.
• הפרקטיקה המקובלת ליישום בקרות פנימיות בעקבות הוראות ה-SOX מחייבת שילוב בקרות אפליקטיביות לאורך כל התהליכים העסקיים המשפיעים על הדיווח הכספי.

• יישום כלים מתקדמים לניהול סיכונים תפעוליים ומניעת מעילות והונאות.

לסיכום, מערכות המידע והממונים עליהן יתמקדו בשנים הקרובות בהידוק ההתאמה לדרישות העסקיות, שילוב בקרות מובנה בתהליכים העסקיים, ניהול תהליכי עבודה פנימיים על פי מסגרות עבודה מקובלות והם יהיו נתונים לבקרה ופיקוח באופן הדוק הרבה יותר מאשר בעבר.

הכותב, רו"ח ירון פלד, הוא שותף ב-BDO זיו האפט