20 שאלות שעל הדירקטורים לשאול בנושא טכנולוגיות מידע

מעורבות ההנהלה והדירקטוריון של חברה בנושאי טכנולוגיות מידע בארגון מהווה גורם קריטי להצלחה בניהול תקין של אסטרטגיית טכנולוגיות מידע של החברה, הן בטווח הקצר והן בטווח הארוך. ארגונים וחברות היום מנהלים מידע נרחב באמצעות טכנולוגיות מורכבות. מידע זה מהווה משאב ועוגן מרכזי בתהליך קבלת ההחלטות ואף בהצלחה עסקית של החברות. כתוצאה מכך הארגונים והמנהלים הבכירים, לרבות דירקטוריון החברה, שואפים:

  1. לתחזק מידע באיכות גבוהה על מנת לתמוך בצורה מיטבית בתהליכי קבלת החלטות.
  2. להשיג יעדים אסטרטגיים ולממש תועלות עסקיות באמצעות שימוש אפקטיבי וחדשני במערכות מידע.
  3. להשיג מצוינות תפעולית באמצעות יישום אמין ויעיל של טכנולוגיה.
  4. לנהל באופן נאות ולשמור על רמה מקובלת של הסיכונים הקשורים בטכנולוגיות מידע.
  5. להגיע לאופטימיזציה של משאבים הנדרשים לניהול ומתן שירות של טכנולוגיות מידע.
  6. לעמוד בדרישות רגולציה חיצונית ופנימית החלה על הארגון, לרבות חוזים, הסכמים ומדיניות.

רוב הארגונים כבר הפנימו כי התמקדות בהיבטים הטכניים של טכנולוגיות המידע ולא בראייה כללית של שילוב פעילות טכנולוגיות המידע בפעילות כלל ארגונית, לא מביאה להחזר מיטבי על ההשקעה השנתית בטכנולוגיות המידע. לאור זה, ממשל תאגידי של מערכות מידע הפך בשנים האחרונות לנושא מרכזי וחשוב ברוב החברות והארגונים הגדולים. במיוחד מעניין לראות מה היא אחריות הדירקטוריון של החברה כגוף האחראי על קביעת האסטרטגיה הארגונית, בשאלות של טכנולוגיות מידע בכלל ונושאים של ניהול סיכונים ובקרה פנימית בסביבת טכנולוגיות מידע בפרט.

על מנת להקל את חברי הדירקטוריון ולרכז עבורם את הנושאים שעליהם לתת את הדעת, מובאת להלן רשימה של 20 שאלות בסיסיות שעל חברי הדירקטוריון להתייחס אליהן בעת מילוי תפקידם כקובעי האסטרטגיה והמדיניות וכגוף המפקח על פעילות החברה.

אסטרטגיה ותכנון

  1. 1. האם להנהלה קיימת תוכנית אסטרטגית/ תוכנית אב בתחום טכנולוגיות מידע, אשר מנוטרת ומתוחזקת באופן תדיר? האם תוכנית זו, מהווה בסיס לקביעת תוכניות עבודה ותקציב שנתיים והחלטות לגבי תעדוף פרויקטים בטווח הקצר והארוך?
  2. מגמות טכנולוגיות
    2. האם קיימים תהליכים נאותים לבחינת חדשנות טכנולוגית של החברה, שנועדו לוודא כי החברה בוחנת באופן שוטף את המגמות והחידושים הטכנולוגיים והשפעתם האפשרית על הארגון ועל כיצד אלה יכולים לשפר את ביצועי החברה?

ביצועים ורמות שירות
3. האם בתחום ניהול טכנולוגיות מידע בחברה קיימים מדדי מפתח לביצוע הניתנים למדידה נאותה? והאם אלה מנוטרים ונבחנים בצורה מקצועית באופן תדיר על ידי דרג ניהולי מתאים?
4. כיצד החברה מנהלת את יחסיה עם ספקי שירות חיצוניים והאם סיכונים הכרוכים בעבודה עם ספקים אלה מנוהלים באופן נאות?

ניהול המשאב האנושי
5. האם ההנהלה יישמה נהלים נאותים לניהול המשאב האנושי בתחום טכנולוגיות מידע, לרבות נהלי גיוס, הדרכות, ושמירה על תחלופה סבירה של עובדים מקצועיים?
6. כיצד ההנהלה קובעת את הרמה המקצועית הנדרשת מעובדי טכנולוגיות מידע, ובאילו פעולות נוקטת ההנהלה על מנת לגייס ולשמר את המומחים בתחום?

ממשל טכנולוגיות מידע
7. האם בדיוני הדירקטוריון קיים דיון שנתי אחד לפחות יעודי לנושא טכנולוגיות מידע? 
8. האם נשקלה בדירקטוריון האפשרות להקים ועדת משנה בנושאי טכנולוגיות מידע? האם מונו חברי דירקטוריות כאחראים ספציפית לנושאים של טכנולוגיות מידע?
9. האם ההנהלה נותנת את הדעת לאופן ניהול ממשל טכנולוגיות מידע? והאם אומצה מסגרת לניהול ממשל טכנולוגיות מידע בארגון, המנוטרת ומתוחזקת באופן תדיר? 
10. מי מחברי ההנהלה אחראי לנושא ניהול ממשל טכנולוגיות מידע והאם הוא נמצא בדרג ניהולי מתאים?
11. כיצד פועלת ההנהלה על מנת לוודא הכרות ויישום של מדיניות ונהלים בתחום טכנולוגיות מידע על ידי עובדי החברה?

ניהול סיכונים
12. האם ההנהלה עורכת בצורה תדירה סקרי סיכונים בסביבת טכנולוגיות מידע? במידה וכן, כיצד תוצאות סקרים אלה מטופלות?
13. כיצד ההנהלה מוודא את תקינות המידע, לרבות רלוונטיות, שלמות, דיוק, עיתוי ושימוש נאותים במידע בארגון?
14. האם ההנהלה עורכת סקירות וביקורות תקופתיות למערכות והנתונים על מנת לוודא ניהול נאות של סיכונים, וכן קיום ואפקטיביות של בקרות שיושמו למיתון של סיכונים אלה בתהליכים המרכזיים בחברה?
15. האם ההנהלה נותנת את הדעת לנושאי אבטחת מידע וסייבר, דרך קביעת מדיניות אבטחת מידע, מינוי אנשים אחראים, ניהול סיכונים והבקרות המתייחסות ועוד, כל זה באופן שוטף ותדיר מספיק? 
16. האם החברה אימצה תוכניות ונהלים בתחום המשכיות עסקית וטיפול באירועי אסון? במידה וכן, האם תוכניות אלה נבדקות ומתוחזקים באופן שוטף?

שמירה על פרטיות וסודיות המידע
17. האם קיים בארגון גוף האחראי לנושא שמירה על פרטיות ועמידה בהוראות רגולציה רלוונטיות לנושא?
18. אילו נהלים וכלים מיישמת ההנהלה לשמירה על סודיות מידע רגיש בחברה?

רגולציה
19. כיצד פועלת ההנהלה לעמידה בדרישות דיווח רגולטיביות ואחרות בתחום מערכות מידע? האם סיכום דיווחים אלה מוצג בישיבות הדירקטוריון?
20. האם ההנהלה שקלה והתייחסה לנושאים משפטיים הקשורים לשימוש בתוכנות, הסכמי שירות וחוקים שנועדו לשמירה על זכויות יוצרים?

מאמר זה מבוסס בעיקרו על:
1. COBIT5 – מסגרת עסקית לממשל וניהול של טכנולוגיית מידע ארגונית
2. פרסום של לשכת רואי חשבון הקנדית בנושא – 20 שאלות שדירקטורים צריכים לשאול על IT.

הירשם לניוזלטר

Please fill out the following form to access the download.