docITG - Isaca
download 
Report Transcription
ITG - Isaca
ניהול סיכונים כחלק ממערך
ITGבמגזר הממשלתי
יהודה אופיר
מנהל חטיבת משילות בקרה ושקיפות
רשות התקשוב הממשלתי
נובמבר 2014
ממשלה – מבנה ארגוני
ראש ממשלה
דרג
פוליטי
שר א
דרג
ביצועי
מנכ"ל משרד
מנכ"ל רשות
שר ב
מנכ"ל יחידת
סמך
מנכ"ל משרד
מנכ"ל רשות א
מנכ"ל רשות ב
גוף מבוזר ניהולית -אין היררכיה ביצועית כלל ממשלתית
ריבוי יחידות מחשב ומנמ"רים עם מכנה משותף מצומצם מאוד
משרדים רוחביים :משרד ראש הממשלה ,משרד האוצר (תקציב ,חשכ"ל) ,משפטים (יועמ"ש)
שלושה מודלים של יחידות רוחביות (כפיפות מינהלית /מקצועית):
• חשבות
• לשכה משפטית
• תקשוב
החלטת ממשלה בנושאי ITG
וניהול סיכונים ( 2097מ)10.10.2014 -
החלטת ממשלה 2097מ10.10.2014-
החלטת ממשלה בנושאי ITG
וניהול סיכונים ( 2097מ)10.10.2014 -
החלטת ממשלה 2097מ10.10.2014-
החלטת ממשלה בנושאי ITG
וניהול סיכונים ( 2097מ)10.10.2014 -
החלטת ממשלה 2097מ10.10.2014-
תקשוב ממשלתי – מבנה ארגוני
רשויות
מקומיות
מנכ"ל
משרד רה"מ
ראש מטה
ישראל
דיגיטלית
ועדת היגוי
עליונה
אזרחים
עסקים
מנכ"ל
משרד רה"מ
ועדת שרים לנושאי
תקשוב ושיפור שירות
Internet
(נייח או נייד)
צוות מטה
ישראל דיגיטלית
ממשל זמין – e-Gov
מנהל יחידת
ממשל זמין
E-gov
ועדת היגוי
בריאות
היחידה לשיפור
השירות
Best Practiceותקן לשימוש היחידות
ועדת היגוי
חינוך
סינרגיה ,הפקת לקחים והעברת ידע
ועדת היגוי
רווחה
טיפול מרכזי בנושאים משותפים
ועדת היגוי
עסקים קטנים
ITG
CTO
מטה
מקצועי
CISO
מערכות מידע רוחביות /בין משרדיות
HR
מנהל מערכות
רוחביות
ממונה על
התקשוב
הממשלתי
תפישת משילות מערכות מידע
תכנון
אסטרטגית
אסטרטגית
מערכות מידע
העסק
ניהול
סיכונים
תפעול
פרויקטים
ביצוע
נכסים
(תשתיות ,הון אנושי)
ניהול סיכונים כתרבות ארגונית
•
סיכון :האפשרות כי אירוע ,פעילות או פעולה פנימיים או
חיצוניים יפגעו ביכולת הארגון לעמוד ביעדיו
•
סיכונים מתממשים! השאלה היא האם להתעלם ,לטפל
אינטואיטיבית ,לבצע ניתוח "לאחר המוות" או לטפל מראש
באופן שיטתי
•
ניהול סיכונים כחלק אינטגרלי מהתרבות של ארגונים
בינוניים וגדולים
•
•
•
•
רגולציה חיצונית :פיננסיים ,ממשלתיים ,ציבוריים
דירקטוריון
תרבות ארגונית פנימית המתיחסת לסיכויים ולסיכונים
יחד עם מכוונות להצלחה נדרשת מכוונות להתמודדות עם
סיכונים
סיכון טכנולוגיות מידע )(IT
סיכון לעסק הכרוך בשימוש ,בעלות ,בתפעול ,בהשפעות
ובאימוץ של טכנולוגיות מידע בארגון
לא רק סיכוני אבטחת מידע ו/או ,DRP/BCPאלא גם סיכון ל:
•
•
•
•
•
•
•
•
•
•
•
•
יצירת ערך באמצעות IT
• הלימה ליעדים העסקיים ,מבחינת תכנית עבודה ,ארכיטקטורה ,הון אנושי
• עמידת פרויקטים ביעדי הבאת ערך לפעילות העסקית
פגיעה בשירות
חשיפה להפסד כספי
חשיפה משפטית
פגיעה במידע
פגיעה במוניטין
אספקת שירותי - ITניהול השרות ,התפעול והאיכות
אספקת פתרונות - ITעמידת פרויקטים באילוצי זמן ותקציב
התיישנות חומרה ,תוכנה ותשתיות
כשלי תקשורת
יציבות ספקים
ועוד.............
מתודולוגיה ממשלתית
•
•
•
•
•
,COSOת"י 5300חלק Basel II ,1
SAP-GRC
סיכוני ITכחלק מניהול סיכונים כלל-ארגוני )(ERM
3איזורים :אסטרטגיה ,ציות ,תפעול ,דווח
בנקים של יעדים ,פעולות ,סיכונים
• שש חברות יעוץ שזכו במכרז:
•
•
•
•
•
•
אנטרופי יועצים
דלויט ברייטמן אלמגור זהר
סומך חייקין KPMG
דב הלפרין יועצים HMS
קומסק
רוזנבלום הולצמן
יישום מערך ניהול סיכונים במשרד
שלבי עבודה סקר סיכונים
הגדרת
עולם
• הגדרת עולם הסקר :היחידות הארגוניות שיבדקו במסגרת הסקר.
הסקר
מיפוי
תהליכי
ם
שיוך
סיכונים
הערכת
• מיפוי התהליכים הקיימים בכל אחת מישויות הסקר אשר נבחרו במסגרת עולם הסקר.
• שיוך סיכונים מובנים (שורשיים) לכל התהליכים אשר מופו.
• שיוך סיכונים שהתממשו (אירועי כשל) לתהליכים אשר מופו.
הסיכון • הערכת רמת הסיכון השורשי לסיכונים שמופו בהתאם למתודולוגית הערכה וכימות שנקבעה.
השורש
י
שיוך
• שיוך הבקרות /פעולות הקיימות לכל אחד מהסיכונים שמופו.
בקרות
הערכת • הערכת רמת הבקרות /פעולות הקיימות לסיכון -רמת הבקרות תוערך על ידי הסוקר בהתאם לסרגלי הערכה ומטריצות
הבקרו
ת
הערכת
הסיכון
השיורי
תיקוף
הנתוני
חישוב.
• הערכת רמת הסיכון השיורי בהתאם לסיכון השורשי ולרמת הבקרות /פעולות -בהתאם סרגלי הערכה ומטריצות חישוב.
• תיקוף ואימות הנתונים מול מנהלי היחידות השונים.
ם
אישור
סקר
הסיכוני
ם
• אישור סקר הסיכונים בהנהלת המשרד.
מפת סיכונים
מתודולוגיית הערכה וכימות
סבירות התממשות
הסיכון
השלכה (נזק)
סיכון שורשי
(חישוב על בסיס
מטריצה)
אפקטיביות הבקרה
(הערכה סובייקטיבית)
סיכון שיורי
(חישוב על בסיס
מטריצה)
סרגלי הערכה ומטריצות חישוב
הערכת השלכה שורשית
הערכת סבירות התממשות
חישוב סיכון שורשי
חישוב סיכון שיורי
Heat Map
חלשה
אין בקרה
בינונית
הסיכונים המהותיים
א
י
כ
ו
ת
ה
ב
ק
ר
ה
טובה
טובה
מאוד
קריטי
גבוה מאוד
גבוה
השלכה \ סיכון שורשי
בינוני
נמוך
שלבי עבודה תוכנית הפחתה
ביצוע
סקר
סיכונים
הוספת
בקרות
• מיפוי הסיכונים במשרד ודירוג רמת הסיכון השורשי והשיורי שלהם
• גיבוש בקרות ופעולות מומלצות לכל הסיכונים ברמת סיכון שיורי קריטית ,גבוהה מאוד וגבוהה.
מומלצות
גיבוש • גיבוש כלל הבקרות והפעולות המומלצות לכדי תכנית הפחתה הכוללת עדיפות ,לוחות זמנים ,גורם אחראי ,עלות ומורכבות
ביצוע ורמת הסיכון השיורי החזויה לאחר יישומן.
תכנית
הפחתה
אישור • דיון בתכנית ההפחתה על ידי ועדת ההיגוי המשרדית ואישורה.
תכנית • דיווח תכנית ההפחתה הסופית למנהל הסיכונים התפעוליים הראשי במסגרת דוח החשיפות המשרדי.
ההפחתה
מעקב
יישום
• מעקב אחר יישום תכנית ההפחתה על ידי מנהל הסיכונים התפעוליים המשרדי.
תכנית
הפחתה
דיווח
• דיווח רבעוני למנהל הסיכונים התפעוליים הראשי במסגרת דוח החשיפות המשרדי.
רבעוני
עדכון
מפת
הסיכוני
ם
• עדכון מפת הסיכונים בהתאם לבקרות שהוטמעו.
תוכנית הפחתה – דרכי התמודדות
• קבלת הסיכון
• צמצום הסיכון ע"י בקרות ופעולות
• העברת הסיכון או חלקו לאחרים
• הימנעות מסיכון ע"י ביטול תהליכים
יישום מערך ניהול סיכונים במשרד
מבנה ארגוני ותחומי אחריות
מנהל סיכונים תפעוליים ראשי
העברת דיווחים שוטפים
ועדת
היגוי
משרד ב'
מנהל
סיכונים
משרד ב'
בקר
סיכונים
משרד ב'
ועדת
היגוי
משרד ג'
מנהל
סיכונים
משרד
בקר
סיכונים
משרד
ועדת
היגוי
משרד ד'
מנהל
סיכונים
משרד ד'
בקר
סיכונים
משרד ד'
עקרונות למשילות אפקטיבית
• קשר תמידי למטרות הארגון
• ניהול סיכוני ITכחלק ממסגרת ניהול הסיכון הכוללת
בארגון
• איזון בין העלות והתועלת שבניהול הסיכון
• תקשורת פתוחה והוגנת בארגון ("ביקורת בונה")
• הנהלה בכירה מחויבת לתהליך ,קובעת טון ,ואוכפת
אחריות ומחויבות של מנהלים ועובדים
• תהליך מתמשך וחלק משגרת הארגון.
