ב 20 ביוני 2012 פרסמה בארצות הברית הוועדה של הארגונים נותני החסות ל-Treadway Commission (COSO) נייר עמדה בנושא ניהול סיכונים במערכות מחשב ענן . COSO הוא ראשי תיבות של (the Committee of Sponsoring Organizations of the Tradway Commission), דהיינו הועדה נותנת החסות לארגונים החברים בנציבות הלאומית. גוף זה הוקם בשנת 1985, על-ידי חמישה גופים מקצועיים בניהם לשכת המבקרים הפנימיים IIA בארה"ב, כדי לעסוק "בדיווח כספי שקרי" . ועדה זו, המכונה ע"ש היו"ר הראשון שלה James C. Treadway, Jr, המשיכה לפעול ועם השנים פרסמה עוד 2 דוחות מרכזים, בשנת 1992 – "הבקרה הפנימית – מסגרת אינטגרטיבית" (Internal Control — Integrated Framework), ובשנת 2001 את "המסגרת האינטגרטיבית – ניהול סיכונים בארגון (Enterprise Risk Management — Integrated Framework) .
באבולוציה של טכנולוגיית מחשוב, עיבוד מידע עבר ממיינפריים (mainframe computer) למחשבים אישים (PC), למחשוב מרכזי באמצעות שרת (client-server), לאינטרנט. כיום, ארגונים רבים שוקלים לאמץ מחשוב ענן (cloud computing) שמסתמנת כאבן הדרך הגדולה הבאה בטכנולוגית המחשוב ושיתוף פעולה עסקי.
מתן שירותים אירוח (hosted services) דרך האינטרנט – המכונה מחשוב ענן, מאפשר למעשה לארגונים להגדיל את העסק שלהם על-ידי כך שמערכת מחשוב זו תומכת ומאפשרת להם לעמוד בכל צורכי המחשוב זאת תוך הימנעות מהשקעות משמעותיות בתשתיות, הכשרת כוח אדם, ותוכנה.
מיתודה זו על יתרונותיה הרבים גורמת לכך שהעברת המחשוב הארגוני לענן הופך יותר ויותר שכיח, למן העברת מערכת הדואל, ועד לכלל מערכות המחשוב הארגוניות.
מציאות חדשה זו חושפת אף בלי משים לב את הארגונים שעברו לענן לסיכונים מסוג חדש. בפועל, היתרונות הטמונים בענן ובהם העלויות הנמוכות, חושפים את הארגון לסיכונים שיכולים אף לאיים על ההמשכיות העסקית (business continuation).
כדי להתמודד עם מציאות חדשה ומורכבת זו פרסם כאמור קוזו המספק, על פי עקרונות מודל ERM (ניהול סיכונים ארגוני) של COSO – הנחיות להערכת ולהקטנת (mitigate) סיכונים הנובעים ממחשוב ענן. כמו כן מציג נייר עמדה רשימה של סיכונים טיפוסיים הקיימים על-פי רוב בתחום זה ובהם :
• כוח הרסני (Disruptive force)- היתרונות של מחשוב ענן, היינו מתן תמיכה בכל דרישה לשירותי מחשוב בעלויות מינימאליות, מאשר כניסה של יותר מתחרים ואף עלול כלל לאיים על המודל העסקי של החברה. כך לדוגמא העברת קבצי שמע וחוזי ב Stream באינטרנט פגע קשות בחנויות למכירת תקליטורים.
• סביבת המחשוב – העובדה שהידע הארגוני אצור במחשבים שבהם מצוי ידע של גופים אחרים, חושף באופן טבעי את הארגון לסיכונים. כאשר ארגון מאמץ פתרון ענן (ניהול על-ידי צד שלישי), נוצרת תלות חדשה ביחסים עם ספק השירותים הללו, מה שמקים סיכונים ובהם סיכונים משפטיים. יתרה מזאת מצב זה חושף את דיירי הענן לסיכונים מצד פעולות או מחדלים של ספק המחשוב עצמו.
• העדר שקיפות – אין לספק שירות מחשוב ענן אינטרס לספק מידע על התהליכים, בקרות, ומתודולוגיות בהם הוא עושה שימוש. לדוגמא לקוחות של מחשוב ענן, לא בהכרח יודעים היכן גיאוגרפית נשמר המידע הארגוני שלהם, באיזה אמצעים טכנולוגים נשמר ומנוהל המידע וכו'.
• מהימנות וביצוע - כשל במערכת הוא אירוע סיכון שיכול להתרחש בכל סביבת מחשוב אך הוא מציב אתגרים ייחודיים עם מחשוב ענן. למרות הסכמי רמת שירות המטילים על ספק השירות דרישות מסוימות, פתרון של ענן מציב את הלקוח במצב של חוסר אונים כאשר הספק לא עומד במדדי ביצוע שנקבעו או בקרות אירוע בלתי צפוי שפוגע ביכולת המערכת להיות זמינה לאחזור מידע.
החלת המסגרת ERM של COSO על תהליכים העסקיים הנתמכים על ידי מחשוב ענן, מאפשר למנהלים לשלב ניהול סיכונים לתוך אסטרטגית מחשוב הענן שלהם, וככזה הוא מסייע לחברי הדירקטוריון לפקח על תחום חדש זה.
הנחיה זו של קוזו מתארת את המרכיבים החיוניים, את העקרונות ואת הרעיונות של ניהול סיכונים. המסגרת מספקת כלים לזיהוי סיכונים, בעיקר על ידי ניתוח הבקרה הפנימית על רכיביה ושימוש במידע זה כדי לסייע בניהול הסיכונים
ניהול סיכונים ארגוניים למחשוב ענן הוא האחרון בסדרה של מסמכי COSO הקמנה לארגונים כלים לניהול סיכונים אפקטיביים.
מאמר זה פורסם באתר של איגוד הישראלי למנהלי סיכונים http://www.iarm.co.il/
מאמרים נוספים של המחבר בנושא ניהול סיכונים ניתן להוריד מאתר האינטרנט של חברת ג'י.אר.סי בכתובת www.grc-c.co.il
עו“ד אלון קוחלני (. LL.B ) עוסק זה כשני עשורים בביקורת פנימית ובקרה, ולמעלה מעשור בתחומי ניהול סיכונים וציות. הוא שותף בחברת ג'י.אר.סי יועצים בע"מ ומשמש שנים רבות מבקר פנימי ראשי ברשויות מקומיות וביצע פרויקטים של ביקורת וסקרי סיכונים בגופים שונים. המחבר הינו בעל הסמכה CRMA בתחום ניהול הסיכונים ובעל תואר MA בביקורת פנימית (אוניברסיטת חיפה). הוא פרסם מאמרים בתחומים אלה. כמו כן, שימש המחבר במשך שנים חבר המועצה המקצועית של לשכת המבקרים הפנימיים ועמד בראש כתיבת תדריכי ביקורת בתחום הונאות ומעילות וסקר סיכונים.
