מאת: סמארט דאטה
בינה עסקית (BI) גרטנר, חברת המחקר והייעוץ הבינלאומית לתחומי טכנולוגיית המידע והתקשורת, פרסמה בתחילת שנת 2012 סקר המעיד על רווחי שיא בחברות המספקות את הפלטפורמות ואת כלי הבינה העסקית (BI – Business Intelligence ) בשנת 2011 . הנתונים מראים עלייה בהכנסות של כ – 16% לעומת שנת 2010 וצפי לעלייה חדה נוספת גם ב 2012. הנתונים מוכיחים כי מערכות הבינה העסקית אשר מייצרות מידע ניהולי, עומדות בראש סדרי העדיפויות של מנהלי מערכות המידע. ע"פ הסקר החברות מקצות נתח משמעותי מתקציב מערכות המידע לפיתוח טכנולוגיות הבינה העסקית בחברה, גם כאשר התקציב מוגבל וחוסר וודאות רבה שוררת בשווקים.
כמויות המידע העצומות הזמינות לחברות (Big Data) בעידן הרשתות החברתיות וטכנולוגית הענן מצריכות התמודדות, אותה מספקים כלי הבינה העסקית בשילוב עם כלים לביצוע אנליזה (BA – Business Analytics). שילוב זה מאפשר לחברות לקבל החלטות על בסיס מידע בעל ערך משמעותי ,מתוך כמויות הנתונים האדירות הקיימות בתוך החברה וברשת. השקעה במערכות הבינה העסקית יכולה להביא להחזר מהיר יחסית על ההשקעה (ROI) בזכות האפשרות לצמצם עלויות ולמקסם רווחים.
מטרתם של כלי הבינה העסקית היא להביא את המידע הנכון, בזמן הנכון ובפורמט המתאים למקבלי ההחלטות בחברה. בדומה למערכות אחרות, קיימים מקרים בהם המטרה אינה מושגת במלואה. במאמר זה נדון בסיכונים אשר עלולים להשפיע על יעילות מערכת הבינה העסקית בחברה.
הפקת המידע באמצעות מערכות הבינה העסקית, מורכב ממספר תהליכים: הכרת הנתונים הרלוונטיים אשר יעובדו להפקת המידע, טיוב, ניהול ואיסוף נתונים מכלל המערכות השונות למחסן נתונים. הנתונים יישלפו ממחסן הנתונים לצורך ניתוח ועיבוד, בהתאם לניתוחים השונים להם זקוקים מקבלי ההחלטות בארגון.
שאלו חקלאי מהו הגורם המשפיע ביותר על איכות היבול והתשובה תהיה כמעט תמיד האדמה. באופן דומה, תוצרי מערכות הבינה העסקית מתבססים על הנתונים הפנימיים של החברה ועל הנתונים הנאספים מחוצה לה. איכות הנתונים, מהימנותם והאופן בו הם מנוהלים, הינם התשתית להפקת מידע מבוסס ואמין.
ללא בסיס נתונים איכותי המנוהל היטב ע"י תהליכי ממשל ניהול נתונים (Data Governance), המידע שיקבלו מנהלי החברה עלול לשקף באופן לא מדויק את המציאות העסקית.
ממשל ניהול נתונים הוא סדרה מובנית של תהליכים, המתמקדת בתהליכים עסקיים הנתמכים ע"י טכנולוגיה ומגוון בקרות, השומרים על איכות גבוהה וקבועה של נתונים מהם יכולים מקבלי ההחלטות להפיק מידע. ממשל ניהול נתונים הופך את נתוני החברה לנכס משמעותי.
הרגולציה בישראל החלה להתייחס לנושא ממשל ניהול הנתונים באופן משמעותי יותר כבר בשנת 2011. בסופו של דבר, צפוי נושא זה להתוות את הקו המנחה בשמירה על איכות הנתונים אשר מייצרים לנו את המידע המספק ערך מוסף עסקי בעל משמעות.
בהשוואה בין טיוב נתונים לממשל ניהול נתונים, נתייחס לטיוב נתונים כאל מהלך אד הוק המבוצע אחת לתקופה, על פי רוב כאשר החברה מבצעת הסבה מבסיס נתונים אחד לאחר. המשמעות הישירה של טיוב נתונים היא כי המידע אותו הפקנו מהמערכות השונות (כולל את מערכות הבינה העסקית) הפך להיות לא מדויק בפרק הזמן שבין הטיוב הקודם לטיוב הנוכחי.
עד כאן הכל נפלא. למדנו כיצד מערכת ה-BI מאפשרת להפיק נתונים בעלי משמעות עסקית מרכזית לטובת תהליכי קבלת ההחלטות. אולם, למטבע זה שני צדדים. מהם, אם כן, הסיכונים הטמונים בכלי זה?
תפקידה של ביקורת המבוצעת על מערכות מידע משולבות בתהליך עסקי, הוא לבדוק את פעילות המערכת על מרכיביה השונים והתאמתה לפעילות העסקית ולצרכים הרגולטוריים החלים על החברה. . כך, יש לקיים ביקורת גם על מערכות הבינה העסקית.
התפיסה, כי מערכות אלו אינן מהוות חלק מהתהליך העסקי ומשמשות לשליפת וניתוח נתונים בלבד, אינה נכונה. בהתאם למטרתן, מערכות הבינה העסקית בארגון משפיעות על קבלת ההחלטות בחברה, החל בפעילות השוטפת וקבלת ההחלטות היום יומית, על ידי דרגי הביניים בהנהלת החברה ועד לקבלת החלטות אסטרטגיות בהנהלה הבכירה, אשר משתמשת בשורה האחרונה של דו"חות המופקים ממערכות אלו.
הביקורת הפנימית נחשבת אף היא למשתמשת משמעותית במערכות הבינה העסקית. הדו"חות המופקים מהמערכת משמשים לביצוע ביקורת באמצעות ניתוח ותחקור נתונים. שימוש בנתונים אשר עובדו לצורך ביצוע ביקורת, או הסתמכות על נתונים אשר עלולים להיות לא מדויקים ו/או לא שלמים עלולה ליצור עיוות בתוצרי הביקורת.
איכות הנתונים
כמצוין לעיל, איכות הנתונים היא המרכיב המשמעותי ביותר המשפיע על המידע אותו אנו מפיקים ממערכות הבינה העסקית. נתונים לא איכותיים מספקים מידע לא איכותי. על מנת למדוד סיכון זה יש לבדוק מהן הבקרות הקיימות בתהליכים העסקיים, כדי לוודא כי הנתונים בבסיסי הנתונים השונים של המערכות השונות בחברה הינם נתונים שלמים, מהימנים, איכותיים ומדויקים.
הכרת הנתונים ובסיסי הנתונים
מיפוי הנתונים שיהוו בסיס למערכת ( אם באמצעות גישה ישירה של המערכת לבסיסי הנתונים ואם על ידי שימוש במחסן נתונים) הוא הבסיס להטמעת מערכות בינה ובניית דו"חות חדשים.
הסיכון בשלב זה, הוא בזיהוי חסר או לא נכון של הנתונים הרלוונטיים. תהליך העתקת הנתונים מבסיסי הנתונים השונים נקרא ( ETL (Extract Transfer Load. התהליך כולל מפרקים רבים, אשר הסיכון לטעות בהם גבוה.
הגדרת דו"חות
דו"ח של מערכת בינה עסקית אמור לשקף את המציאות העסקית בהיבט ספציפי. לדוגמא, חישוב רווח לכל קבוצת מוצרים בחברה קמעונאית, לפי פילוח של סניפים וסוכנים. דוגמא זו נראית לנו פשוטה מאד אך היא כוללת אלמנטים רבים- החל בהוצאות הקבועות המועמסות על המוצרים ועד להסכמים מדורגים לעמלות לסוכנים. הסיכון טמון ברמת ההבנה של הגורם המיישם את הדו"ח ואת הלוגיקה העסקית. אם הדו"ח מיושם באופן לא תקין, גם המידע המופק ממנו יהיה לא מדויק, ובהתאם לכך גם ההחלטות אשר יתקבלו על סמך מידע זה.
תפקידם של כלי הבינה העסקית הוא לספק מידע באופן פשוט, בהתאם לצורכי המשתמש. לעיתים קרובות אנו נתקלים במצבים בהם השימוש השוטף במערכת אינו נוח למשתמש. מצב זה יכול לנבוע ממספר סיבות, ביניהן: אי הבנת המערכת, ממשק משתמש לא ידידותי, מהירות עיבוד נמוכה, חוסר גמישות של המערכת וסיבות נוספות. התוצאה הישירה של מצבים אלו, יכולה לנוע בין הפסקת השימוש במערכת במקרה הטוב ועד שימוש לא נכון במערכת, במקרה הפחות טוב. הפסקת השימוש במערכת מביאה לעליית זמן ההחזר על ההשקעה ומעמידה בספק את כדאיות ההשקעה במערכת, רק שבשלב זה כבר מאוחר מדי… שימוש לא נכון יגרור הפקת מידע לא נכון, אשר מעבר לביטול ההחזר על ההשקעה, יכול גם לגרור הפסדים כספיים.
שימוש שוטף
ניהול הגישה ואבטחת מידע – בדומה למערכות מידע אחרות, גם מערכת הבינה העסקית ניגשת למידע, אשר חלקו רגיש. סביבת הבקרה הכללית של מערכת זו חשובה ומצריכה תשומת לב רבה של המבקרים, כולל: אופן מתן ההרשאות בהיררכיות השונות ובחירת פרופילי ההרשאות, דרך אופן תחזוקת ותפעול המערכת, גיבוי המערכת ובסיס הנתונים, ניהול שינויים במערכת, המשכיות עסקית, הפרדת תפקידים, ורמות האבטחה החלות על המערכת- לדוגמא: אופן ההזדהות ומדיניות הסיסמאות החלה עליה.
בדומה לתהליכים עסקיים אחרים, הנדרשים לניהול סיכונים, גם במערכות הבינה העסקית הדרך להבין את הסיכונים ורמת החשיבות שלהם היא להכיר את הנתונים המשמשים את מערכות אלו ורמת רגישותם. בנוסף, יש להכיר את התהליכים העסקיים הנתמכים במערכות אלו, תוך הבנת המשקל שיש למערכת הבינה העסקית על התהליך העסקי.
חשוב מאוד להבין את תהליך בניית המידע במערכות אלו ולזהות את נקודות החולשה, אשר מצביעות על סיכון אפשרי. יש לחפש את הבקרה המספקת מענה לסיכון הנדון (במידה וקיימת כזו). ההחלטה האם יש צורך בבדיקת בקרה או בדיקה עמוקה יותר, תקבע בהתאם לרמת הסיכון הכמותית ו/או האיכותית.
הבנת צרכי המשתמש מהווה בסיס להבנת הסיכון. הלקוח העיקרי של המערכת יוכל לשפוט בצורה הטובה ביותר את המערכת. הוא יוכל להצביע על חשיבות הדו"חות המופקים ולהתחקות אחר התהליך בו מופקים דו"חות אלו. זוהי שיטת הביקורת המקובלת, כאשר ברצוננו לבדוק את אמינות המידע עבור דו"ח או מספר דו"חות ספציפיים ואת הבקרות המשמשות להפחתת הסיכונים בתהליך. לעומת זאת, כאשר ברצוננו לבדוק את איכות הנתונים ואת ממשל ניהול הנתונים, נתמקד בתהליך הבנייה של מחסן הנתונים, תחזוקת הנתונים המשמשת אותו ואת תהליך שליפת והעתקת נתונים אלו מבסיסי הנתונים השונים אל תוך מחסן הנתונים.
הידע הנדרש מהמבקר בבואו לבצע ביקורת על מערכות ותהליכי הבינה העסקית משלב הכרה והבנה של תהליכים עסקיים לעומקם, ידע במערכות מידע ויכולת ניתוח ותחקור נתונים ברמה גבוהה. אלו יאפשרו לו לבצע את הביקורת בצורה המדויקת ביותר ע"י שימוש בטכניקת סימולציה אשר תאפשר את הפקתה של תמונה מדויקת יותר של הנושא.
בעולם בו הטכנולוגיה מאפשרת לנתונים להפוך לנכס, היתרון היחסי של החברה בא לידי ביטוי במקסום האפשרויות הגלומות בנכס זה, אשר יביא להגדלת הכנסות, הקטנת הוצאות ומזעור סיכונים.. בשורה התחתונה- הגדלת הרווח של החברה. על מנת להנות מתוצאות אלו, על המבקר לנהל את סיכוני מערכות הבינה העסקית, ולבצע ביקורות על מנת להביא את ביצועיהן למקסימום האפשרי.
(Business Continuity Management) BCM הינו תהליך עסקי אשר מנהל את אופן תגובת הארגון למשבר או אסון. תוכנית ההמשכיות העסקית BCP (Business Continuity Plan) הינה התוצר הישיר והמתעדכן של תהליך זה. תוכנית ההתאוששות מאסון DRP (Disaster Recovery Plan) הינה חלק בלתי נפרד מהתהליך, במיוחד כאשר מדובר בארגון הנתמך באופן משמעותי בטכנולוגיית מידע. עד כה, התקן המוביל אשר התווה את המתודולוגיה המקצועית לטיפול בהמשכיות עסקית, החל בניהול התהליך וכלה בכתיבת התוכנית, היה התקן הבריטי BS25999. בשנת 2012 פורסם תקן חדש ISO22301 אשר מטרתו להחליף את התקן הקיים ולתת דגש רב יותר לתהליך ניהול ההמשכיות העסקית. תקן זה הוא המחייב החל משנת 2013.
המשכיות עסקית נתפסת בדרך כלל כתוכנית בלבד ובמקרים פחות טובים כנושא טכנולוגי בלבד, אך תפיסה זו הינה תפיסה שגויה. תוכנית המשכיות עסקית הינה תהליך עסקי מהותי לקיום הארגון, אשר מבוסס על ההבנה כי תקלות, משברים ואסונות מסדרי גודל שונים בהחלט עלולים לקרות. לכן, בדיוק כמו רכישת ביטוח ותשלום פרמיה כחלק מניהול הסיכונים, גם ניהול תהליך המשכיות עסקית הינו ניהול הסיכון והיערכות מקדימה אליו ואל ההתאוששות ממנו.
אסונות טבע, תאונות סביבתיות, תקלות ומשברי טכנולוגיה רוחביים או נקודתיים הוכיחו כי תקריות חמורות קרו ויקרו במגזר הפרטי והציבורי כאחד. האתגר הוא לספק תוכנית חירום תוך שימוש באסטרטגיות ששימשו בהצלחה למצבים כאלו בעבר.
כיום עוסקים ארגונים בתהליך שיטתי של מניעה והגנה בתגובה להמשכיות עסקית והתאוששות מאסון. שכן, אין ספק כי גיבוש תוכנית תגובה שצופה וממזערת את ההשלכות אינה מספיקה. ארגונים חייבים לנקוט בצעדי הסתגלות יזומים, על מנת להקטין את הסיכוי לשיבוש. האיומים של היום דורשים יצירה של תהליך מתמשך שיבטיח הישרדות של פעילות הליבה של הארגון לפני, במהלך ולאחר אירוע משבש.
יכולתו של ארגון להתאושש מאסון קשורה באופן ישיר לרמת ועומק התכנון של ההמשכיות העסקית טרם התרחשות האירוע. מחקרים מראים כי בממוצע שניים מתוך חמישה עסקים שחוו אסון יקרסו תוך חמש שנים מהאירוע.
למרות קיומו של מסר ברור זה, במחקר אשר בוצע ע"י גרטנר נמצא כי פחות מ- 30% מחברות Fortune 2000 השקיעו בתוכנית המשכיות עסקית מלאה. הסיבה לכך, יכולה לנבוע מהתפיסה שהאתגרים הטכניים נראים מרתיעים מדי או שעלות יישום הפעולות נתפסת כיקרה מדי. הדרך להתמודד עם אתגרים אלו הינה באמצעות פתרונות של הטמעת תהליך ניהול המשכיות עסקית.
כמבקרים, עלינו לבדוק כי הארגון המבוקר, אכן מיישם תהליך ניהול המשכיות עסקית, או לכל הפחות מתייחס לנושא זה במסגרת ניהול הסיכונים, תוך מתן מענה הולם. כמו כן, חשוב להבין כיצד הספקים המהותיים של הארגון ערוכים למצבי משבר.
מטרת סקירת התקן המקוצרת המובאת להלן הינה להעניק למבקר כלים בסיסיים להבנת עמידת הארגון אותו הוא מבקר אל מול סטנדרטים מקובלים בתחום.
ISO 22301 מפרט דרישות לתכנון, הקמה, יישום, פיקוח, בדיקה, תחזוקה ושיפור של מערכת ניהול אשר מטרתה להגיב ולהתאושש מאירועים הרסניים כאשר הם קורים. הדרישות המפורטות ב ISO 22301 הינן גנריות וניתנות להתאמה לכל הארגונים, ללא קשר לסוג, גודל ואופי הארגון. היקף היישום של דרישות אלו תלוי בסביבה של הארגון התפעולי ומורכבותו. הסטנדרטים של ניהול ההמשכיות העסקית התפתחו עם התקן ע"י:
התקן חל על ארגונים מכל הסוגים והגדלים אשר שואפים:
מיפוי וקבלת החלטות בסוגיות פנימיות וחיצוניות רלוונטיות אשר משפיעות על יכולת הארגון להשיג תוצאות צפויות של תהליך ניהול המשכיות עסקית כגון:
כחלק מהותי מסעיף זה, ניתן לכלול את זיהוי הטווח של תהליך ניהול ההמשכיות העסקית, תוך התחשבות ביעדים האסטרטגיים של הארגון, מוצרים עיקריים ושירותים, רמת הסובלנות כלפי נטילת סיכונים, ודרישות בעלי עניין.
ההנהלה הבכירה צריכה להפגין מחויבות לאורך זמן לתהליך ניהול ההמשכיות העסקית. באמצעות מנהיגות תומכת ואקטיבית, יכולה להיווצר סביבה בה בעלי תפקידים שונים, לכל רוחב הארגון, יהיו מעורבים באופן מלא בתהליך ניהול ההמשכיות העסקית. מנהיגות ומחויבות דרגי הניהול בארגון יבטיחו כי:
זהו שלב קריטי בכל הקשור להקמת מטרות אסטרטגיות ועקרונות מנחים לתהליך ניהול ההמשכיות העסקית בכללותו. המטרות של התהליך הן הביטוי לכוונתו של הארגון לטפל בסיכונים שזוהו ו/או לקיים דרישות וצרכים ארגוניים. מטרות ההמשכיות העסקית חייבות להיות עקביות עם מדיניות ההמשכיות העסקית, ולקחת בחשבון את הרמה המינימלית המקובלת של השירותים אותם מספק הארגון. התכנון יכלול יעדים מדידים אשר יעודכנו בהתאם לשינויים בפעילות העסקית.
ניהול יומיומי יעיל של תהליך ניהול ההמשכיות העסקית מסתמך על שימוש מתאים במשאבים לכל משימה, כולל צוות מוסמך עם הכשרה רלוונטית, שירותים תומכים, מודעות ותקשורת. בנוסף, יש לתעד את המידע ולנהלו כראוי.
לאחר תכנון תהליך ניהול ההמשכיות העסקית, הארגון יתייחס לנושא התפעולי. סעיף זה כולל:
ניתוח השפעות עסקיות (BIA) פעילות זו מאפשרת לארגון לזהות את התהליכים הקריטיים התומכים והמחזקים של מוצרים ושירותים, כולל זיהוי התלות ההדדית בין התהליכים והמשאבים הדרושים להפעלת התהליכים ברמה מינימלית מקובלת.
הערכת סיכונים ISO 22301 מציע להתייחס לתקן 31000 ISO לצורך יישום התהליך. מטרתה של דרישה זו היא לקבוע, ליישם ולשמור על סיכון פורמלי- רשמי, על תהליך הערכה שמזהה באופן שיטתי, מנתח ומעריך את הסיכון של שיבוש אירועים לארגון.
אסטרטגיית ההמשכיות העסקית לאחר הקמת הדרישות באמצעות BIA ,תתבצע הערכה של הסיכונים והאסטרטגיות שפותחו כדי לזהות הסדרים שיאפשרו לארגון הגנה ויכולת שחזור פעילויות קריטיות. אלה מבוססות על רמת הסובלנות לסיכון ארגוני, בהתאם לטווח יעדי זמן להתאוששות שהוגדר בארגון. נראה בבירור כי ניסיון ופרקטיקה טובים, הינם תנאי מוקדם של אסטרטגיה ארגונית שתבטיח פעילות תומכת. אסטרטגיית ההמשכיות העסקית צריכה להיות חלק בלתי נפרד מהאסטרטגיה הארגונית של החברה.
נהלי המשכיות עסקית / תוכנית המשכיות עסקית הארגון יתעד נהלים (כולל פעולות נדרשות) על מנת להבטיח את רציפות הפעילות והניהול של אירוע הרסני. הנהלים יכללו:
על מנת להבטיח שנהלי ההמשכיות העסקית עולים בקנה אחד עם המטרות של ההמשכיות העסקית, הארגון יצטרך לבדוק אותם באופן קבוע. תרגול ובדיקה של נהלי או תוכנית ההמשכיות העסקית נעשים על מנת להבטיח שהאסטרטגיות הנבחרות מאפשרות מענה ותוצאות שחזור במסגרת לוחות הזמנים המוסכמים על ההנהלה.
לאחר יישום תהליך ניהול ההמשכיות העסקית, ISO 22301 מחייב ניטור קבוע של התהליך. כמו כן, יש לבצע ביקורות תקופתיות כדי לשפר ביצועים:
שיפור מתמיד יכול להיות מוגדר כחלק מכלל הפעולות שננקטו על מנת להגדיל את האפקטיביות (להגיע ליעדים) והיעילות (יחס אופטימלי של עלות- תועלת) של תהליכי אבטחה ובקרה, אשר מטרתם להביא תועלת משמעותית לארגון ולבעלי העניין שלו. ארגון יכול לשפר את האפקטיביות של תהליכי הניהול שלו באופן מתמיד באמצעות שימוש במדיניות ההמשכיות העסקית, התייחסות ומיקוד במטרות, בחינת תוצאות הביקורת, ניתוח אירועי פיקוח, מדדים, פעולות מניעה וסקירת ההנהלה.