דורון רונן, ISACA ישראל: "מנכ"לי הארגונים הפנימו סוף-סוף את החשיבות שבבקרת ה-IT"
"שימוש נכון בכל ההיבטים השונים של GRC בצורה מושכלת, יביא להצלחה במימוש ממשל תאגידי", אמר רו"ח רונן בכנס האיגוד הישראלי לביקורת ואבטחת מערכות מידע, ISACA ● לדבריו, "מימוש מדיניות GRC בארגון הוא הכרח, אולם הוא טומן בחובו גם הזדמנות, כי הוא מייצר בפעילות ה-GRC ערך ארגוני, תועלת כספית וכלי לייעול תהליכים"
"עקרנו הרים, חצבנו סלעים וכעת – סוף-סוף – מנכ"לי הארגונים מבינים ומפנימים את החשיבות של בקרת ה-IT", אמר רו"ח דורון רונן, נשיא ISACA ישראל. לדבריו, "מצב ביקורת אבטחת המידע הגיע לשלב המודעות בשטח. כיום התחום מחולק למקצועות התמחות ספציפיים: ממשל IT, אבטחת מידע, ביקורת מערכות מידע ותחום חדש של ניהול סיכוני IT. התחום ממשיך ומחלחל בקרב הציבור הארגוני, ובתוכו גם בקרב דרג המנהלים".
רו"ח רונן פתח את כנס האיגוד הישראלי לביקורת ואבטחת מערכות מידע, ISACA. הכנס, בהפקת אנשים ומחשבים, נערך היום (ג') במרכז הכנסים אבניו בקריית שדה התעופה, בהשתתפות מאות אנשי מקצוע מהתחום, מנהלי אבטחת מידע, רואי חשבון, ומבקרים פנימיים וחיצוניים בארגונים.
רו"ח רונן ציין, כי "מימוש מדיניות GRC (ראשי תיבות של ממשל, הלימה לרגולציה וניהול סיכונים) בארגון הוא הכרח, אולם הוא טומן בחובו גם הזדמנות, כי הוא מייצר בפעילות ה-GRC ערך ארגוני, תועלת כספית וכלי לייעול תהליכים. זאת, מלבד הצורך המקורי בשליטה ובניהול סיכונים. לכן, נדרש לחשוף בפני הנהלות ארגונים את התועלות הללו".
הוא אמר, כי "כל תהליך, לרבות תהליך בעולם ה-IT, נדרש לעבור ביקורת ובקרה, איך ניתן לייעל אותם ואיפה ניתן לשחרר צווארי בקבוק. לשם כך נדרש מיפוי. מיפוי שכזה יביא ליצירת ערכים נוספים – הן בהיבט ה-IT והן בהיבט הבקרה עליו, כי כך נוכל לא רק להגיב, אלא להגיב בתבונה, על בסיס ידע מוקדם".
הוא מנה את הגורמים הדוחפים ליישום פעילות GRC: הצורך הבסיסי בניהול הסיכונים, הרצון ההולך וגובר בארגונים להגברת השקיפות בגופי היישום השונים ודרישות רגולטוריות שונות, דוגמת SOX, באזל II ו-ISOX.
"שימוש נכון בכל ההיבטים השונים של GRC בצורה מושכלת, יביא להצלחה במימוש ממשל תאגידי", אמר רו"ח רונן. "הכלי למימוש הוא CobiT. התקן הזה מהווה בקרה ל-IT, ומסייע להנחות ולהוביל את ה-IT לעבר ממשל IT, לצד סיוע במימוש הרגולציות".
ממשל IT, אמר רו"ח רונן, "מביא לכך שאנחנו מנהלים את ה-IT כעסק לכל עניין ודבר. הדבר נעשה בין השאר באמצעות מערך שיטות וכלים ממוכנים, ובתאימות לסטנדרטים מובילים, דוגמת CobiT. כך מתאפשר קשר טוב יותר בין רכיבי המיחשוב השונים, נעשה מיפוי של תהליכי המיחשוב, נבדקת מידת הבשלות שלהם, ונקבע היכן ניתן לשפר ולייעל את אותם תהליכי מיחשוב". כל זאת, ציין, תוך ביצוע מדידות של ביצועי ה-IT בהתאם למערך מדדים עסקיים ברורים.
"ביקורת מערכות ה-IT ואבטחה שלהן הם נושאים חשובים, ומהווים פרק משמעותי בעבודת הביקורת הכוללת", אמר, "הממשל התאגידי ממסד מסגרות עבודה מבוקרות, ובתוכן הוא משלב את ה-IT, את ניהולו ואת הבקרה עליו. יש להבטיח את צמצום הסיכונים הכרוך בעבודה עם מערכות ה-IT, בשל היותן רגישות ובשל ריבוי הסיכונים ופוטנציאל הנזק שלהן, שעלול לסכן את הארגון כולו".
רו"ח רונן סיכם את דבריו בציינו, כי "ארגון ISACA הבינלאומי הכיר במאמצים שלנו: בכנס נשיאי ISACA בו השתתפתי באחרונה, זכה הסניף הישראלי בתואר הצטיינות על פעילותו בשנת 2010. המקצוע שלנו על המפה הבינלאומית".
רוברט סטראוד, לשעבר סגן נשיא ISACA הבינלאומי וכיום סגן נשיא לחדשנות ואסטרטגיה ב-CA, הציג את החידושים בתקן 5CobiT, לעומת זה הקיים כיום, בגרסה 4.1. לאחר מכן נערך פאנל בכירים בנושא "ממשל IT – מעשי או מעשיה?". בסיום המליאה המרכזית התפצלו המשתתפים לארבעה מסלולים מקצועיים.
המשך הדיווח מהכנס יפורסם מחר (ד').
אין ספק שבקרה בכל תחום מאוד חשובה. עצם קיום הבקרה מגדיל את התפוקה ומיעל פעילות. היום רוב הארגונים מבוססים מערכות מידע, לבצע בקרה על הבסיס הזה זה פשוט הכרחי. כמו כן , חשוב לפתח מערכות מידע בצורה כזאת שניתן יהיה לשלב פתרונות מוספים בהמשך הדרך