מעניין לראות את ההתעוררות בתחום ה-GRC בארגוני IT בתקופה האחרונה. אין ספק, כי הדרישה החדשה יחסית באה בעיקר מצידם של ארגונים המחויבים על ידי רגולציות שונות בתהליך ה- GRC. אבל גם אם הרצון לבנות תהליכי ניהול סיכונים ובקרה טובים יותר מגיע " לא מאהבת מרדכי אלא משנאת המן", זאת אומרת לא מהבנת הצורך החיוני לניהול סיכונים טוב יותר, אלא מהכרח רגולטורי – אני שמחה לראות שהנושא מקודם בחברות רבות ע"י הנהלה והנהלת IT בכירה.
כאשר מחפשים פתרונות בתחום, חשוב לשים לב כי התחום מחולק, גם ע"י חברות מחקר בינ"ל, ל- Enterprise GRC ול- IT GRC. מכיוון שהיום תחום זה לא בשל במיוחד, קשה לומר עדיין לאן יפנו רוב הארגונים. אנחנו בהחלט רואים שארגונים מקדמים את נושא ה GRC בשני ערוצים – או מחפשים לנהל את הבקרה וניהול הסיכונים של IT על פתרון BPM – Business Process Management הארגוני מותאם לניהול סיכונים של IT או מחפשים פתרון IT GRC יעודי ל-IT.
Enterprise GRC - מבין הספקים השונים, כגון: Oracle, Achiever, MetricStream ועוד, ניתן לראות שמופיעים 2 ספקי BPM גם אם אינם נחשבים מובילים בתחום. האחד – MEGA (אינה מיוצגת בארץ), והשנייה – Idscheer (מוצר – Aris, שמיוצג בארץ על ידי חברת סקר. לאחרונה Software AG הודיעה כי היא רוכשת את IDscheer). בהקשר לספקי BPM חשוב לשים לב לעובדה שספק בתחום ה-GRC המספק יכולות BPM מאפשר למפות תהליכים כנגד סיכונים ובקרות.
IT GRC בישראל מקודם ע"י ספקים שונים כגון: IBM, SAP, CA ועוד. רובם עם בסיס לקוחות לא גדול ומתחרים על כניסה לתודעת הלקוחות הישראליים כשחקן מוביל בתחום. מעניין לראות, כי רוב הארגונים הישראליים בחרו בפתרון מקומי Dynasec המתמקד בעיקר בתיעוד מלא של תהליכים ופחות בניהולם, בעיקר בזכות גמישות המוצר, ספק מקומי, ומחיר סביר.
כך או אחרת, חשוב לציין, כי אנו תמיד ממליצים להיכנס לתחום זה עם בניית תהליכים סדורים לניהול ובקרה של סיכונים ארגוניים וסיכוני IT, מוצר GRC יכול לעזור באכיפת תהליכים אלה, אבל לא בשינוי תרבות ארגונית הנדרשת ברוב המקרים.
כך או אחרת, חשוב לציין, כי אנו תמיד ממליצים להיכנס לתחום זה עם בניית תהליכים סדורים לניהול ובקרה של סיכונים ארגוניים וסיכוני IT, מוצר GRC יכול לעזור באכיפת תהליכים אלה, אבל לא בשינוי תרבות ארגונית הנדרשת ברוב המקרים.
אין תגובות:
הוסף רשומת תגובה