71% מגופי הממשלה לא משתמשים ב-IT לניהול סיכונים

36 מהחברות הממשלתיות שנבדקו ומשרד ממשלתי אחד – משרד החוץ, שביחד מהווים 71% מכלל גופי הממשלה, לא משתמשים במערכת IT תומכת למערך ניהול הסיכונים שלהם – כך קובע מבקר המדינה, מתניהו אנגלמן, בדו"ח המבקר 72-ג', שמתפרסם היום (ג').

בדו"ח מציין המבקר כי "מעילה המתרחשת בארגון עלולה להסב לו נזקים כבדים, עד כדי סיכון המשך קיומו. מעילות במגזר הממשלתי גורמות לנזקים חמורים נוספים, כגון פגיעה באמון הציבור בישראל במערכת הממשלתית, תפיסתה כמושחתת גם בעיניים בין לאומיות ופגיעה בתוכניות כלכליות שאמורות לשרת את הציבור. ארגונים ממשלתיים חשופים למעילות, אולם ניתן לצמצם את הסיכון להתרחשות מעילה באמצעות מגוון פעולות".

אנגלמן כותב כי בכל משרדי הממשלה וב-12 מהחברות הממשלתיות (24% מהן) שנבדקו לא גובשה מדיניות ניהול סיכונים. בחברות שכן גיבשו מדיניות, היא אושרה לפני יותר משנתיים ולא עודכנה. בכל משרדי הממשלה ובשש (12%) מהחברות הממשלתיות שהוא בדק לא היה מנהל סיכונים כלל ארגוני, ובכל משרדי הממשלה וב-21 מהחברות הממשלתיות שנבדקו (41%) לא הייתה ועדת היגוי לניהול סיכונים.

לפי הדו"ח, כל משרדי הממשלה לא ביצעו סקר סיכונים כלל-ארגוני; חברה ממשלתית אחת לא ביצעה סקר סיכונים כלל-ארגוני וחמש (10%) מהחברות הממשלתיות ביצעו את הסקר האחרון לפני יותר מארבע שנים, ומאז הוא לא עודכן.

מבקר המדינה, מתניהו אנגלמן. צילום: דוברות מבקר המדינה

עוד כותב המבקר כי "סקרי הסיכונים של החברות הממשלתיות לא נקלטים במערכת אנפ"ה (ר"ת איסוף נתונים ופיקוח על החברות) של רשות החברות הממשלתיות, או שלא מוזנים בה באופן מלא. כמו כן, אין למערכת כלי לניתוח המידע המתקבל, שביכולתו להצביע בין השאר על פערים וחריגות".

מערכות ה-IT

בשבעה (32%) ממשרדי הממשלה וב-12 מהחברות הממשלתיות שנבדקו (25% מהן) אין בקרות ממוחשבות לאיתור חריגות ומגמות שעשויות להצביע על התנהלות לא תקינה, ורוב המשרדים והחברות (91% ו-78%, בהתאמה) לא משתמשים בטכנולוגיות חדשניות להתמודדות עם מעילות. בהיבט האבטחה, מציין אנגלמן כי שניים (9%) ממשרדי הממשלה ו-18 (שהם 35%) מהחברות הממשלתיות שנבדקו לא מגבילים חיבור של התקן נייד לסביבת המחשוב. ב-10 מהמשרדים (43% מהם) וב-32 מהחברות (63%) אין התרעה על ניסיונות חיבור כאלה.

עוד ממצאים: לשמונה (16%) מהחברות הממשלתיות אין בקרות לאיתור חריגים במערכות משאבי אנוש, נוכחות ושכר, קובע המבקר, וב-11 מהן (22%) אין ממשקים בין מערכת הנוכחות למערכת השכר.

המלצות והנחיות המבקר בהקשרים אלה הן: "על משרדי הממשלה והחברות הממשלתיות לגבש מדיניות ניהול סיכונים, לעדכן אותה בכל שנה ולאשרה בידי הגורמים הרלוונטיים בארגון. מומלץ למשרדי הממשלה להקים מערך של ניהול סיכונים מקיף בתיאום עם החשב הכללי. מומלץ לחברות הממשלתיות שטרם מינו מנהל סיכונים ראשי להשלים את המינוי. על החברות הממשלתיות שלא הוקמה בהן ועדה לניהול סיכונים לפעול להקמת ועדה כזאת. על משרדי הממשלה ועל החברות הממשלתיות לבצע פעם בארבע שנים לפחות סקר סיכונים לגבי כלל הסיכונים שהארגון חשוף אליהם, ולעדכנו באופן שוטף. מומלץ למשרד החוץ ולחברות הממשלתיות להטמיע מערכת מידע תומכת ניהול סיכונים. על המשרדים והחברות להטמיע בקרות ממוחשבות העשויות לסייע במניעת מעילות ובאיתורן, וכן לבחון את הצורך בהטמעת טכנולוגיות מתקדמות העשויות לשרת מטרה זו. משרדי ממשלה וחברות ממשלתיות שאינם מגבילים את החיבור של התקנים ניידים לעמדות קצה צריכים לעשות כן. על רשות החברות הממשלתיות לבחון את שדרוג מערכת אנפ"ה או החלפתה, כדי שיהיה אפשר לקלוט במועד את מלוא הדיווחים שהחברות הממשלתיות נדרשות למסור לרשות, ובהם סקרי הסיכונים, וכן לנתח את הפערים והחריגות העולים מדיווחים אלה".