"ללא ה-IT – ניהול סיכונים לא יכול להתקיים"

"ללא מערכות ה-IT, תחום ניהול הסיכונים לא יכול היה להתקיים. כיום כל דבר קשור למחשבים, ולפיכך התלות של תחום חשוב זה, שהוא בעל השלכות עסקיות וכלכליות גלובליות, היא תלות יותר מקריטית"; כך אומר ל-DailyMaily פרופסור צבי וינר, ראש תחום התמחות במימון בבית הספר למינהל עסקים באוניברסיטה העברית בירושלים. לדברי פרופ' וינר, "ניהול סיכונים הוא תחום רחב המצוי בעולם המימון. רובם של הסיכונים בעולם זה, מכונים סיכונים פיננסיים. בשנים האחרונות, ההתייחסות ושימת הדגש לסיכונים מסוג זה גדלה מאוד".

"המשפחה הכי גדולה של סיכונים היא סיכונים פיננסיים", אומר פרופ' וינר. "בתחום זה, מערכות ה-IT הן משמעותיות עד מאוד, שהרי יש כלים מיוחדים למדידת סיכונים פיננסיים. הסיכונים הללו דורשים חישובים מורכבים, ולכך נדרשות מערכות מיחשוב בעלות עוצמת מיחשוב רבה. זאת, על מנת ליצור תמונת מצב מדויקת של הסיכונים, תוך מדידתם באופן מדויק ושקלולם אל מול פני סיכונים אחרים, כמו לדוגמה חישובים מיוחדים של משכנתאות, ועוד".

בתוך הסיכונים הפיננסיים, מסביר פרופ' וינר, יש תת-משפחה שהפכה לחשובה ביותר בשנתיים האחרונות, והיא זו של סיכוני אשראי. "לכל מוסד או ארגון, עסקי או ציבורי, יש סיכוני שוק: נכסים או התחייבויות, אשר חושפים אותו לגורמי סיכון פיננסיים. משמע הוא מחזיק במניות והוא צופה קבלת תקבול עתידי על מניות אלו. הסיכון הפיננסי הוא כאשר משהו משתבש בשווקים, המניה שנרכשה – מחירה ירד, אגרת החוב נפלה, או חל פיחות משמעותי במטבח הזר שברשותו. זה סיכון פיננסי טהור".

לדבריו, "המשבר הפיננסי הנוכחי, רובו קשור לסיכון אשראי: סיכון של מישהו שקיבל הבטחה להחזר כסף, לפיצוי, והצד המבטיח אינו מסוגל לעשות זאת, לממש את ההבטחה העסקית. משבר הסאב-פריים בארה"ב הוא מקרה קיצוני בולט. בארץ, חברת החשמל לקחה הלוואה, ובחלוף הזמן ההלוואה תפחה לפי שתיים מערכה המקורי. זה משהו שאני ואתה נשלם בסופו של דבר בחשבונות החשמל שלנו".

אילו סיכונים אחרים יש?
"סוג נוסף של סיכונים הוא סיכונים משפטיים. כאשר ארגון חותם חוזה ובו מובטחת לו קבלת סכום כסף כלשהו, וכאשר מגיע מועד מימוש החוזה – הוא מופר. כך, לדוגמה, במקרה שבעלי אקסלנס מכרו להפניקס מניות, כאשר חלקן מהן נמכר מיד וחלקן במסגרת חוזה עתידי. עם הגיע מועד חציה השני של העסקה, התברר שהמחיר אותו הצדדים סיכמו הוא כל כך גבוה, עד כי לא ניתן לשלמו.

הסוג הנוסף של סיכונים הוא סיכונים תפעוליים. זהו סיכון הבא לתאר שמשהו בתהליך לא עבד כמו שצריך: נפילת מתח בקו החשמל שהסבה נזק לחברה, האקר שפרץ למערכות ה-IT הארגוניות, מעשי חבלה, ארגון שלא ערך גיבויים למערכותיו ועוד. המדובר על שורת סיכונים הקשורה לתהליכים ארגוניים. המקרה שקרה בבנק הפועלים לפני שבועות אחדים, במסגרתו הושבתו מערכות הבנק ליותר מ-48 שעות, עומד בקריטריון של סיכונים תפעוליים".

מה ייחודם של סיכונים אלו?
"שלמרות שגם הם סיכונים תלויי מיחשוב, משמע כאלה אשר מתבססים על מערכות IT – הרי שבעיקרם הם נובעים לאו דווקא ממיחשוב אלא מהתנהגויות של אנשים. כך לדוגמה, פרשת אתי אלון בבנק למסחר ולתעשיה, כך פרשיית ההונאה הנוכחית של ברנרד מיידוף. כזכור, הוא נעצר בחודש שעבר, באשמה שהונה משקיעים שהפקידו כספם בקרן ההשקעות שלו. הוא עצמו אמד את היקף ההפסדים שגרם למשקיעים כתוצאה מהונאת הענק שביצע, ושנמשכה כמה עשורים – ב-50 מיליארד דולרים. נפח ההפסדים הופך את הרמאות הפיננסית שלו לגדולה ביותר הזכורה בקורות העולם הפיננסים. זו דוגמה קיצונית במיוחד לסיכון תפעולי שנבע מהתנהגות אנושית, שהמחשבים נמצאו רק ב-'תפאורה' של האירוע ולא בחזית. המדובר באנשים שמצאו פרצות בתהליכי הזרימה הארגוניים, וניצלו אותם לטובתם.

למימוש הרגולציות השונות הבאות להכביד על הסיכונים התפעוליים והמנסות לצמצמן, יש משמעויות כבירות בהיבט ה-IT. כך, מערך ה-IT בבנקים נדרש לפתח ולספק מערכות מידע שתתמוכנה ברגולציות, ובנוסף, עליהן להתחבר למערכות הבקרה השונות הקיימות בבנק.

משימתו השניה של גוף ה-IT בבנק, לדברי וינר, היא "להתבונן בתוך הבית פנימה". משמע, הסביר, למדוד את הסיכונים שהארגון חשוף אליהם, לדווח ולנהל אותם – אלו סיכונים שה-IT אחראי לניהולם. דוגמאות לסיכוני IT שכאלו, לדבריו, יש רבות: המשכיות עסקית, התאוששות מאסון, טיפול בכוח אדם מקצועי בעולם המיחשוב, הצורך להתבסס על יותר מספק כוח אדם מקצועי אחד, הטיפול בנושאי לימוד והדרכה בתחום ה-IT. דוגמאות נוספות, לדברי וינר, הן בהיבט רכש: ניהול העלויות של משאבי ה-IT, תוך בחינה של הלימה שלהן לצרכים העסקיים של הבנק. "על ה-IT לוודא לגבי עצמו כי הוא פועל באופן יעיל ואפקטיבי", הסביר, "משמע האם הוא עושה את הדברים שאותם הוא צריך לעשות והאם הוא עושה אותם כנדרש".

ומה חלקן של מערכות ה-IT בסיכונים השונים?
"כיום כל דבר קשור למחשבים, הם חלק בלתי נפרד מכל ארגון וכל תהליך זרימת ותפעול ארגוני. בנוסף, המחשבים עצמם הם גם מהווים גורם סיכון, כי מערך ה-IT בארגון תלוי בתוכנה שמישהו כתב לפני 20 שנה, וכך הארגון יוצר לעצמו סיכון תפעולי נוסף, אם חלילה התוכנה לא תעבוד. תפקידן של מערכות ה-IT במסגרת ניהול הסיכונים, הוא לסייע למיזעור הסיכונים הללו. מערכות ה-IT מסייעות לחישוב הסיכונים, לכימות שלהם, למדידתם, ולניטור וביצוע מעקב אחריהם.

הדבר חשוב במיוחד בבקרה על הסיכונים התפעוליים. משימתו של כל גוף ה-IT בארגון, היא למדוד את הסיכונים שהארגון חשוף אליהם, לדווח ולנהל אותם – כי אלו סיכונים שה-IT אחראי לניהולם. דוגמאות לסיכוני IT שכאלו, לדבריו, יש רבות: המשכיות עסקית, התאוששות מאסון, טיפול בכוח אדם מקצועי בעולם המיחשוב, הצורך להתבסס על יותר מספק כוח אדם מקצועי אחד, הטיפול בנושאי לימוד והדרכה בתחום ה-IT. דוגמאות נוספות, הן בהיבט רכש: ניהול העלויות של משאבי ה-IT, תוך בחינה של הלימה שלהן לצרכים העסקיים של הארגון. על ה-IT לוודא לגבי עצמו כי הוא פועל באופן יעיל ואפקטיבי, משמע האם הוא עושה את הדברים שאותם הוא צריך לעשות והאם הוא עושה אותם כנדרש".

"ניהול הסיכונים משול למכונית. כיום כל דבר במכונית הוא מבוסס IT, ועדיין נדרש נהג בן אנוש, ולא רובוט", מסכם פרופ' וינר, "לאור מה שקורה בעולם ולאור המשבר הענק הפוקד את השווקים כולם – חוץ מצפון קוריאה – תחום ניהול הסיכונים מקבל משנה חשיבות, ובתוכו – מערכות ה-IT עליהן מבוסס ניהול הסיכונים. היום כל החלטה מושכלת בתחום, וקביעה מהו סיכון רצוי ומהו סיכון מצוי – היא החלטה מגובה ב-IT".

קבוצת ThePeople תקיים ביום ד' השבוע, ה-28 בינואר, כנס הנושא את הכותרת "IT GRC", שיעסוק בממשל IT, סיכונים והלימה לרגולציות ולתקנים.