בעשור האחרון עומדים דירקטורים בחברות ציבוריות בפני פיקוח ציבורי ומשפטי חסר תקדים. חוק החברות החדש, דוח ועדת גושן ורגולציות סקטוריאליות העמידו דרישות ואחריות על הדירקטורים מתוך כוונה להופכם לכוח אקטיבי אשר ביכולתו לכונן ממשל תאגידי בחברה ולפקח באופן אפקטיבי על אופן התנהלות החברה ועל תקינות הדיווחים אשר היא מפיקה.
בתי המשפט קבעו אחריות פלילית על דירקטורים בגין אי ביצוע חובות הפיקוח שלהם. יו"ר הרשות לניירות ערך לשעבר מר משה טרי אמר: "כללי המשחק השתנו. החשיבה הישנה, שהדירקטור יושב, שומע בנחת את דברי ההנהלה, שואל שאלה או שתיים לפרוטוקול, ומצביע – חלפה עברה מן העולם."
אולם אחריות גוברת דורשת גם סטנדרטיזציה בעבודת הדירקטוריון, קביעת מסגרת על פיה ניתן להעריך את עבודת הדירקטוריון על ידי הרגולטור, הציבור והחשוב מכל על ידי הדירקטורים עצמם. בישראל דוח ועדת גושן עשה צעד גדול בכוון זה, גם אגף שוק ההון באוצר פרסם לאחרונה חוזר בנושא טכנולוגיות מידע בגופים מוסדיים אשר מתייחס לתפקיד הדירקטוריון בהקשר זה. אולם כדרכה של רגולציה הדרך לאישורה וליישומה ארוכה ומסובכת וקיים קושי להתאימה מעת לעת לשינויים בכלכלה ובחברה.
לא מעט ארגונים בעולם חלקם רגולטורים וחלקם התאגדויות עצמאיות החלו בבניית מסגרות עבודה לדירקטוריון בנושאים שונים כגון: דווח כספי, ניהול סיכונים, אחריות חברתית וסביבתית וכיוב'. ארגון הדירקטורים הדרום אפריקאי הוא החלוץ בניסיון לבנות מסגרת עבודה הוליסטית אשר תכסה את תחומי אחריותו של הדירקטוריון וזאת על ידי כינון ועדת קינג (King Committee).
ועדת קינג פרסמה מסמך עקרונות (השנה פורסמה הגרסה השלישית של המסמך) הכולל התייחסות לכלל פעילויות הדירקטוריון ובכלל זה: מנהיגות ואתיקה ארגוניים, אופן פעולת הדירקטוריון והנושאים בהם הוא צריך לדון, ועדת הביקורת וביקורת פנימית, ניהול הסיכונים, טכנולוגיות מידע, ציות, הקשר עם בעלי עניין ודיווח.
עקרונות הפעילויות של הדירקטוריון בנושא טכנולוגיות מידע מאגדות את העקרונות שניתן למצוא במסגרות העבודה והרגולציות המוכרות לכדי מנגנון אחד שיטתי אשר לא נועד לציות בלבד אלא כבסיס לממשל תאגידי תקין. העקרונות המובאים בהמשך כוללים פיקוח על ההשקעה בטכנולוגיות מידע, פיקוח על הפעילויות ואבטחת המידע וכן על הבקרות המיושמות בנושא והבקרות שניתן ליישם בארגון באמצעות טכנולוגיות המידע.
להלן ריכוז העקרונות אשר מתאר מסמך קינג 3 בנושא פעילות הדירקטוריון
עקרון 1: הדירקטוריון צריך להיות אחראי על ממשל טכנולוגיות המידע בארגון
ממשל טכנולוגיות מהווה נגזרת של הממשל התאגידי. ממשל טכנולוגית מידע תומך בניהול יעיל ואפקטיבי של שירותים והשקעות הקשורים לטכנולוגית מידע, בהתאם ליעדי הארגון ולמדיניות הסיכון שלו. הוא כולל בין השאר ניהול סיכוני טכנולוגית מידע, אסטרטגיה ונהלים, מודעות לטכנולוגיות מידע ותאום בין חלקי הארגון השונים, מסגרת לבקרה פנימית, תוכניות עבודה, תקציב ועוד. על מנת להשיג את אלו ולאפשר פיקוח אפקטיבי על הדירקטוריון לייסד מנגנון דיווח שיטתי ויעיל.
לשם יישום עקרון זה ועקרונות נוספים בנושא זה מפנה המסמך את הדירקטורים למסגרות עבודה מקובלת בתחום כגון COBIT.
עקרון 2: טכנולוגית המידע צריכה להתאים ליעדים העסקיים של הארגון
טכנולוגית מידע, מעצם היותה חלק ממנגנון התפעול של הארגון, נדרשת להתאים לארגון וזאת על ידי הצבת יעדים לנושא שהם נגזרת של יעדי הארגון ואשר עוצבו באופן כזה שיסייע להשגת אותם יעדים. הדירקטוריון צריך להבטיח שקיים מנגנון לזיהוי וניצול הזדמנויות לשיפור ביצוע בארגון והקיימות שלו באמצעות טכנולוגיות מידע.
עקרון 3: הדירקטוריון צריך להטיל על ההנהלה את האחריות ליישם מסגרת עבודה לממשל טכנולוגית מידע בארגון.
האחריות ליישם מסגרת עבודה לממשל טכנולוגיות מידע היא על ההנהלה באמצעות מנהל טכנולוגית מידע (CIO) אשר מונה על ידי המנכ"ל. על מנהל טכנולוגית המידע להיות בעל הקישורים והניסיון המתאימים ולהיות בקשר ישיר עם הדירקטוריון או ועדה מטעמו בנושאי אסטרטגיה של טכנולוגיות המידע.
עקרון 4: הדירקטוריון צריך לנטר ולהעריך השקעות בטכנולוגית מידע
הדירקטוריון צריך להשגיח על כך שהשקעות בטכנולוגית מידע יניבו ערך מרבי ויחזירו את ההשקעה בהם. הדירקטוריון אף צריך להבטיח שהמידע במערכות השונות מוגן ומאובטח. הדירקטוריון צריך לקבל ביטחון לגבי תקינות יישום ממשל טכנולוגית מידע על שירותים אשר מתקבלים במיקור חוץ באמצעות גורם בלתי תלוי.
עקרון 5: טכנולוגית המידע צריכה להיות חלק מניהול הסיכונים הארגוני
הדירקטוריון צריך להבטיח שניהול סיכוני טכנולוגית מידע הכולל: הערכות למצב אסון, ציות ועמידה בסטנדרטים מקובלים, הינו חלק מתהליך ניהול הסיכונים הארגוני.
עקרון 6: הדירקטוריון צריך להבטיח שנכסי המידע של הארגון מנוהלים באופן אפקטיבי
הדירקטוריון צריך להבטיח שקיימות מערכות מתאימות לניהול טכנולוגית המידע, תפעולן ואבטחתן. הדירקטוריון צריך להבטיח שמדיניות אבטחת מידע נקבעת ומיושמת על ידי ההנהלה. כמו כן, הדירקטוריון צריך להבטיח שהמידע במערכות החברה מוגן, לוודא כי אבטחת המידע תנוהל במסגרת מערכת ניהול מרכזית.
עקרון 7: ועדות ניהול הסיכונים והביקורת צריכות לסייע לדירקטוריון ביישום אחריותו לנושא
ועדת ניהול הסיכונים צריכה לוודא שסיכוני טכנולוגית המידע מזוהים ומטופלים כראוי ולהשיג ביטחון שהבקרות אשר יושמו בנושא פועלות באופן אפקטיבי להתמודדות עם סיכונים אלו. מנגד ועדת הביקורת צריכה להעריך את השפעת טכנולוגית המידע על תהליך הדיווח הכספי ולהעריך את השימוש בטכנולוגית מידע לשיפור היקף ויעילות הביקורת.
לסיכום, מסמך העקרונות אשר פרסמה ועדת קינג מגדיר את תחומי האחריות והפיקוח של הדירקטוריון וועדותיו, את הקשר שלהם עם ההנהלה ומנהל טכנולוגית המידע בהקשר זה. מסמך זה פורץ דרך בהכרה כי טכנולוגית המידע בארגון כבר אינה רק כלי תפעולי אלא השקעה אסטרטגית ליצירת ערך לארגון ולמיסוד תהליכי ניהול ובקרה תקינים. המסמך איננו מייסד פרקטיקה לניהול אלא מעודד אימוץ של מסגרות עבודה מקובלות ליישום ממשל טכנולוגיות מידע, ניהול טכנולוגיות מידע, בקרה, ניהול פרויקטים וניהול אבטחת מידע.
מסמך העקרונות קינג 3 מביא למודעות הדירקטוריון את הצורך בממשל טכנולוגית מידע ומפרט את אחריותו בנושא. הדירקטוריון נדרש בין השאר לפקח על נושאי אבטחת מידע ולהבטיח כי ההשקעה בטכנולוגית המידע תביא ערך מוסף לארגון, תייעל תהליכי דיווח, ניהול וקבלת החלטות, תגן על נכסי המידע של הארגון ותאפשר דיווח כספי וביקורת יעילים ותקינים.
הירשם לניוזלטר
Please fill out the following form to access the download.