התאמת מערך ה-IT להנחיות הרגולציה לניהול טכנולוגיות המידע, ההזדמנות והאתגר לגופים בינוניים וקטנים:
חברות בתחום הביטוח ובתי ההשקעות, גדולים כקטנים, נדרשים לעמוד בסטנדרטים רגולטוריים מחמירים הקשורים למערכות המידע שלהם, על מנת להמשיך ולספק שירותי ביטוח ומכשירים פיננסיים, כגון: פוליסות ביטוח, קופות גמל, קרנות השתלמות, תכניות פנסיה, תעודות סל, ניהול תיקים וכדומה.
הממונה על אגף שוק ההון ביטוח וחסכון במשרד האוצר מפרסם מעת לעת הוראות והנחיות המציבות רף גבוה בתחומים מקצועיים שונים, ומחייבות החלת שינויים משמעותיים, בין היתר בתחום המחשוב ומערכות המידע. גופים רבים מתמודדים עם מבול של הנחיות: ההוראה לניהול טכנולוגיות בגופים מוסדיים, הוראות אבטחת מידע, הוראות ציות, Sarbanes Oxely, SolvencyII, ולאחרונה גם ניהול טכנולוגיות מידע בחש”ב (חבר בורסה שאינו בנק) ועוד הנחיות רלונטיות להתנהלות היומיומית של החברות בהקשר המקצועי והטכנולוגי.
ההיערכות להנחיות מהווה אתגר משמעותי לכל השחקנים בשוק הפיננסי..
עמידה ברגולציה – האתגר
הוראות האוצר מכתיבות דרכי התנהלות של החברה בתחום התפעולי והעסקי, דרכי התנהלות של יחידת ה-IT וסטנדרטים פרטניים כגון מבנה נתונים להעברת מידע ליועצים פנסיונים, אופן ההגנה על נכסי המידע בארגון, בקרות נדרשות בתהליכים משמעותיים, סגירת פערי מיכון ועוד.
עבור כלל הגופים במגזר הפיננסי מדובר בסדרת מטלות כבדות מאוד מבחינת משאבים כספיים ומשאבי ניהול, שמתחרים על משאבים שיש להקצות לצמיחה עסקית ולפעילות שוטפת. לגופים בינוניים וקטנים במיוחד קשה לבצע את ההשקעות הכבדות הנדרשות ולהוביל את השינוי המאסיבי.
מקסימום תועלת במינימום עלויות
חברת דיוידשילד, המתמחה בביטוחי בריאות בינלאומיים ובביטוחי נסיעות לחו”ל, ראתה בהנחיות הרגולציה הזדמנות לשדרג את עצמה בהיבטים רבים, תוך התייחסות להנחיות כאל “מדריך מקצועי” לניהול IT בארגון.
התכנית שיישמה BDA בחברת דיוידשילד, לעמידה בהוראות הרגולציה לניהול טכנולוגיות המידע, מושתתת על עקרונות המנחים אותה בניהול פרויקטים בתחום מערכות מידע בכלל, ועל עקרונות ספציפיים שפיתחה, המסייעים לגופים מוסדיים וחברות ציבוריות לעמוד בהנחיות המרכזיות, הקשורות בניהול טכנולוגיות המידע.
בשלב ראשון אנשי BDA לומדים את הארגון ומערכות המידע על מגוון היבטיהם, ממפים ומאבחנים את הפערים בין הקיים בארגון ובין הדרישות הרגולטוריות ומאתרים את סיכוני טכנולוגית המידע ביחס אליהן. בהמשך בונים תכנית פעולה לצמצום הפערים, המושתתת על עקרון הקדמת פעולות בעלות ערך עסקי גבוה ומציאת פתרונות יצירתיים ההולמים את גודל הארגון ויכולותיו. כך למשל, הסיכונים והבעיות המשמעותיים המוצפים בשלב הלמידה והמיפוי מטופלים מיידית, על מנת להקטין את הסיכון לארגון בכל הנוגע לתשתיות קריטיות.
תהליכי העבודה של BDA הינם מודולריים ומאופיינים בשילוב אופטימאלי בין המומחים של BDA Projects ובין אנשי המקצוע של הלקוח. על מנת למצוא פתרונות זולים ובעלי ערך, המענה מותאם לגודל הארגון ויכולתו, למשל באמצעות:
- שימוש בתוכנה מ”סדר שני”. הנסיון מלמד שלפתרונות תוכנה מ”סדר ראשון”, מקיף ויקר, יש תחליפים שעונים על מרבית הדרישות בצורה טובה, ובמחיר שלעיתים מופחת ב-70%-80% !
- שימוש ב-OpenSource : במקרים מסויימים תוכנה חינמית נותנת מענה הולם ואפקטיבי לארגון בגודל בינוני.
- בחירה מושכלת של פתרונות ושירותים ממשפחת הפתרונות של מחשוב ענן, מאפשרת תשלום שוטף לפי נפח פעילות כתחליף להשקעות מאסיביות.
- לעיתים ניתן להשיג פתרונות טובים, זולים יותר, בזכות היותם מפותחים ע”י חברות בתחילת דרכן.
- שימוש במתודולוגיות עבודה מתקדמות כמו Agile ו- Lean IT תוך ביצוע התאמות – מאפשרות עמידה בדרישות הרגולציה תוך שיפור באיכות התוצרים ומבלי לאבד תנופת פיתוח ויצירתיות.
- שימוש בשאלונים מוכנים מראש מאפשר עבודה בקצב מהיר ובאפקטיביות, והשגת תוצאות בטווח קצר, תוך הטרדה מינימלית של בעלי תפקידים עסוקים בארגון.
- סדר עבודה המבוסס על קבלת ערכים מוספים תפעוליים ועסקיים מתוך הרגולציה והקטנת סיכונים.
הערך המוסף של עמידה ברגולציה
חברת ”דיוידשילד” משדרגת את מערך ה- IT, הן כבסיס להתרחבות וצמיחה עסקית עתידית והן על מנת להתמודד עם אתגר העמידה בהנחיות הרגולטור. ככל שהחברה גדלה והמערכות הפכו מורכבות, העמידה ברגולציה השתלבה עם הדרישות ועם השאיפה למצוינות. החברה רואה ביישום הנחיות הרגולציה המתייחסות לניהול טכנולוגיות המידע, הזדמנות לשדרג את איכות מערכות המידע, שיטות העבודה והתרבות הארגונית ורואה חשיבות רבה לעמידה בתקנות אבטחת המידע, פיתוח תוכנה שיטתי ומקצועי, בדיקות איכות תוכנה, קשר אפקטיבי בין מערכות המידע למשתמשים, רמת שירות גבוהה מאוד ומבוקרת בקפדנות, סגירת פערי מיכון ואוטומציה של תהליכים, שמירת נתיב בקרה, היערכות למצבי חירום וכדומה.
בנוסף, יישומן של הנחיות הרגולציה מאפשר לשתף פעולה עם חברות בינ”ל המציבות את הרגולציה כתנאי לכך.
כחלק מביצוע התכנית החברה עוברת בהדרגה ממצב בו הענקת מענה מידי לצרכים עסקיים היתה הנושא החשוב והיחיד, למצב בו קיים גם משקל לבקרה, איכות ואבטחת מידע במערכות המיחשוב. במהלך התכנית אימצה “דיוידשילד” שיטות עבודה ופתרונות “קטנים” שהוצעו לבעיות “גדולות” אשר הובילו לשדרוג בהיבטים מקצועיים ולמצוינות.
הירתמותם של יו”ר החברה, המנכ”ל, סמנכ”ל התפעול ומנהל ה- IT , הכרתם בחשיבות התכנית ומחויבותם המלאה סייעו רבות בביצועה ומהוות מנוף להצלחתה.