נטילת סיכונים היא חלק בלתי נפרד מעולם העסקים. עם זאת, מנהלים נבונים יודעים לנהל את הסיכונים ולמנוע טעויות הגורמות להפסדים, ובכלל אלה סיכונים תפעוליים, פיננסיים ואסטרטגיים, לרבות הונאה ומירמה.
כדי להתמודד עם סיכונים אלו, תוך שימוש באמצעים טכנולוגיים, עלינו תחילה להבין ולדרג את הסיכונים שעימם מתמודד כל ארגון עסקי, ולהבין כיצד מערך המיחשוב יכול לסייע לאותו ארגון. לשם כך ניתן להשתמש במערכות המיחשוב שכבר קיימות בארגון.
שימוש נבון במערכת ERP יכול להבטיח עמידה בדרישות חוקיות ובתקנים חשבונאיים, אך גם למנוע הונאה ומירמה. שימוש בהרשאות משתמש ביישום ERP עשוי למנוע גניבה, ושימוש מאסיבי ונבון בהגנות הקיימות במערכת ה-ERP יכול לחסוך זמן במהלך הביקורת שעורך רו"ח המבקר וגורמים נוספים.
הגדרה מתאימה של יישום ה-ERP מסייעת לחברה במספר דרכים להתגונן מפני הונאה וטעויות העלולות לעלות לארגון ביוקר. להלן שלוש גישות מעשיות שארגונים עסקיים יכולים לנקוט כדי להגן על נכסיהם באמצעות מערכת ERP.
1. זיהוי סיכונים מלמעלה-למטה
ניהול סיכונים עסקיים מחייב זיהוי הסיכונים מלמעלה-למטה. ההנהלה הבכירה מתמקדת בדרך-כלל ביצירת יתרון תחרותי, ומקדישה תשומת לב פחות להוצאות שישפרו את הציות לתקנות. אבל אפילו בחברות שאינן מחויבות לציית ישירות לחוקים ולתקנות, כגון חוק סרביינס-אוקסלי (SOX) יכולים ליישם כמה מהעקרונות שדורשים חוקים אלו כדי להועיל לחברה. ציות להנחיות בסיסיות בתחום אבטחת נתונים ומניעת סיכונים יכולים להקטין עוד יותר את הסיכון להפסד פיננסי הנגרם מטעויות מנהלתיות או מהונאה.
הצעדים הספציפיים הנדרשים כדי להבטיח ציות להנחיות אלו משתנים מחברה אחת לרעותה או ממודל עסקי אחד למשנהו, וכל חברה צריכה לשים לב לגורמים בסיסיים, כגון דוחות כספיים טובים, אבטחת נתונים, שמירת פרטיות ואחסון מידע חיוני - וכיצד מידע זה משפיע על היבטים כגון דיווח כספי מדויק.
גישת מלמעלה-למטה מזהה את המידע החיוני לעסק. בחברה יצרנית, למשל, המידע החיוני כולל בדרך כלל לקוחות, נכסים, מלאי ושכר. לעומת זאת, המידע החיוני בחברה המספקת שירותים מקצועיים הינו הרבה יותר פשוט וכולל בדרך כלל נתוני לקוחות, שכר וכו', בעוד שהנכסים הפיזיים היחידים הם טלפונים ואולי גם שטח משרדים מושכר.
כמובן שהמידע החיוני מגיע מלב הפעילות העסקית: התהליך העסקי העיקרי, או המנגנונים באמצעותם משאבים זורמים אל החברה וממנה. כמובן שהסיכונים משתנים מארגון לארגון בהתאם לאופי תהליכי הליבה. פרופיל הסיכון של חברה המוכרת מספר קטן של מוצרים יקרים (ציוד תעשייתי, לדוגמה) למספר מועט של לקוחות שונה מאוד מזה של חברה המוכרת מאות אלפי פריטים למספר רב של לקוחות.
חברה המשרתת מספר קטן של לקוחות עם מוצרים יקרים מאוד צריכה להבטיח שרק אנשים מורשים יוכלו "לפתוח" לקוחות חדשים במערכות החשבונאיות. מכאן, שחברה כזו צריכה להקפיד שתנאי התשלום, מגבלות האשראי ובקרות נוספות, קיימות ופועלות כראוי.
עם זאת, תהליך היצירה של לקוח חדש במערכת אינו תהליך קריטי עבור חברה עם מספר רב של לקוחות וערך נמוך יותר בכל מכירה. חשוב להבין את זרימת התהליכים העסקיים ונפחי העסקות וההשלכות על קשרים עם השותפים העסקיים. מערכת ERP היא כלי מצוין להנהגת תהליכים פורמאליים ליצירת לקוח חדש במערכת ואולי חשוב מכך, למיסוד היחסים עם הספקים במערכת.
2. ניצול בקרות המשתמש המובנות ביישום
אפילו חברות השומרות 80 אחוזים מהמידע שלהן במערכת ERP, תוך הקטנת הסיכון שבשימוש בכלים מאולתרים, אינן מכירות בהכרח את כל היכולות של מערכת ERP וכיצד ניתן להגדיר אותן לצורך ניהול סיכונים. לעיתים קרובות, חברות מתעלמות מיכולות אלו במהלך תכנון והטמעת המערכת, כיוון שניהול הסיכונים אינו הגורם העיקרי לרכישת המערכת, וכמובן שהחברה לא מתכוננת מראש לאפשרות של ביקורת או ניסיון הונאה. עקב הנטייה לדחוק הצידה את נושא ניהול הסיכונים בהשוואה לתכונות אחרות של מערכת ה-ERP, חשוב שמנהלי הפרויקט והיועצים יסבירו לאנשי החברה ויעודדו אותם לבחון שלושה תחומים של ניהול הסיכונים כחלק מהתכנון והיישום של מערכת ERP:
א) מניעת טעויות והונאה באמצעות אבטחה מבוססת תפקידים: זוהי תכונה של ERP שלא כולם מבינים. ומשמעותה להבטיח שרק האנשים הנכונים מוקצים לכל פעילות וכי אין להם אפשרות לעסוק בפעילויות מחוץ לתחום שהוגדר להם. בדרך-כלל, הדבר דורש הפרדת סמכויות, בדיוק כפי שלא נרצה שכל אחד יוכל לבצע פעולות במחזור העסקי של החברה, גם אם מדובר בפעולות פשוטות של הזמנות כנגד מזומנים או רכישה ותשלום.
גם חברות המפרידות את כל התפקידים החיוניים כדי להשיג אבטחה מבוססת תפקידים ממשיכות להעסיק מנהל חשבונות. בדרך כלל, מנהל החשבונות מבצע מספר מטלות הקשורות ליתרות הזכות והחובה, ספר החשבונות הראשי והתאמות מלאי. זוהי הפרה של כללים בסיסיים של הפרדת סמכויות פיננסיות, אך היא מתרחשת למרות שהחברה משתמשת במערכת ERP מובילה שנועדה לספק הפרדת סמכויות פיננסיות ואבטחה מבוססת תפקידים, ובמקרים מסוימים מפרידה סמכויות אלו בתחומים אחרים.
אבטחה מבוססת תפקידים חייבת להיות בנויה בתוך היישום כאשר הגדרת התפקידים מתבצעת במהלך היישום תוך תחזוקה שוטפת במהלך השימוש.
ב) יישום בקרות גילוי ומניעה: לעיתים, הצוות המינהלי של החברה קטן מדי מכדי לאפשר הפרדת סמכויות ברמה כזו שתאפשר ליהנות באמת מיתרונות האבטחה מבוססת התפקידים, או ששיטת העבודה מסובכת מדי כך שהאבטחה מבוססת התפקידים אינה מעשית.
עם זאת, פעילויות מסוימות דורשות מעקב ואימות תכופים יותר ממה שמתאפשר מבדיקת קבצי יומן רישום. למרבה המזל, יש מערכות ERP השולחות הודעות יזומות כאשר מתרחשים אירועים מסוימים. לדוגמה, סמנכ"ל הכספים רוצה לקבל הודעה אוטומטית בכל פעם שעובד בחברה רושם שיק בסכום העולה על 10,000 דולר.
עצם הידיעה שמערכת ה-ERP מחוללת התרעות כבר עשויה להספיק כדי למנוע מעשי מרמה גדולים. אבל מה עושים כאשר העובדים מודעים להגדרות ההתרעה של המערכת, ומנסים לבצע עסקות הונאה מתחת לסף זה? כדי להתמודד עם מצב זה, ניתן להגדיר בנוסף לסף הבודק שיקים מעל 10,000 דולר גם בקרה המודיעה אם מבוצעות שתיים או יותר עסקות בסכומים שמעל 9,000 או 8,000 דולר בתוך פרק זמן מוגדר (למשל, בתוך 14 שעות). כדאי מאוד לעקוב אחרי מספר רב של אירועים מכיוון שאירועים קטנים יכולים להצטבר ולהפוך לאירוע גדול. כדאי מאוד גם לא להפיץ את עובדת קיומן של הבקרות הללו ברבים כי כך הם יאבדו מיעילותן.
ג) ניהול סיכונים מונעי-מחשוב. מעבר לטיפול במשתמשים רגילים, מערכת ERP צריכה להציע בקרות איתור ומניעה כדי למנוע ממינהלן של מערכת, מסדי נתונים ומתכנתים, לבצע טעויות או לנהוג באופן שיסכן את כספי החברה.
בקרות איתור ומניעה בתחום המיחשוב צריכות להיות משולבות זו בזו בצורה הדוקה. לדוגמה, קבצי יומן יכולים לעקוב אחר שינויים בטבלאות שנעשים על-ידי מנהלן של מסדי הנתונים. למשל, אפשר להעניק למנהלן של מסדי הנתונים הרשאת גישה בלבד שתאפשר כניסה למסד הנתונים אך לא שינוי נתונים בטבלאות יישומים.
כמה ממערכות ה-ERP מציעות כלי ניוד נתונים, מסביבת פיתוח המאפשרת לצוות הטכני לכתוב קטעי קוד חדשים ואז לשלוח אותם לסביבת בקרת איכות לצורך ביצוע בדיקות. לאחר הבדיקות, הקוד עובר לאזור הרצה או אפילו ישירות לאזור הייצור. כדי לאפשר התאוששות מהירה למקרה שבו ביצועי הקוד החדש בתוך היישום אינם עונים על הציפיות, המערכת כוללת אפשרות להחזרת הנתונים במהירות למצבם הקודם.
חשוב לבחון את יכולות היישום למעקב אחרי פעילות עובדים המעורבים בניהול שינויים ובהעברת קטעי קוד מאזור הפיתוח לאזור הייצור. מינהלן יכול לשנות בזדון את קוד המקור של היישום או אפילו ליצור תוכנה שתשנה את קוד המקור תוך שימוש בכלי ניוד (המובנה ביישומים ארגוניים רבים) במטרה להסתיר פיסת קוד המבצעת פעולות פעם אחת. התוצאה יכולה להיות למשל, העברה חד-פעמית של 100,000 דולר לחשבון בנק מסוים. ניתן לבנות את הקוד כך שקובץ הרישום יימחק מיד לאחר ביצוע הפעולה וכך לא ניתן יהיה לאתר את הסיבה המדויקת לפעולה החריגה מבלי לבדוק בזו אחר זו מיליוני שורות קוד.
3. ליהנות מהיעילות שבניהול סיכונים אוטומטי
מקובל לומר שבני אדם יעדיפו להתאמץ כדי למנוע ממישהו אחר לגנוב מהם 10 שקלים, מאשר לעבוד כדי להרוויח 10 שקלים מלכתחילה. למרות שהמהות של ניהול סיכונים היא בעיקר למנוע הפסד, יש יתרון אמיתי במיכון תהליכים המונעים טעויות יקרות והונאה. יישום שיטות ממוכנות לניהול סיכונים בתוך סביבת ה-ERP הארגונית יכול לסייע בתיעוד של פעילויות ניהול הסיכונים והציות לתקנות. הארגון יעריך את ההשפעה החיובית של שיטות ממוכנות אלו בביקורות הבאות או בכל פעם שיידרש לתעד את ההגנות ששילב במערכות העסקיות שלו.
כאשר מנוע אירועים של מערכת ERP מוגדר לבדוק חריגים ולשלוח הודעות כאשר חריגים אלה מתרחשים, הארגון יכול לתעד את החריגים ולהשתמש במערכת הדיווח לטובתו במהלך ביקורת. כלומר, לבדוק את הבקרות ולשמור את נתוני הבדיקה כך שניתן יהיה להציג אותן למבקר על-מנת להוכיח שמגבלות האשראי לא השתנו, ובמקרה שהשתנו, להוכיח שגורמים מוסמכים בארגון קיבלו על כך הודעה.
בנוסף, יישום ה-ERP צריך לאפשר שמירת קבצי רישום על כל פעולה במערכת, ובכך לספק תיעוד נוסף ובקרות מאתרות.
סיכום
ניהול סיכונים בסביבת ERP מתחיל בניתוח מעמיק לאיתור נקודות הממשק בין הסיכונים אתם מתמודד הארגון העסקי לבין הטכנולוגיה. למרבה המזל, יישום ארגוני מתקדם יכול להקל על ביצוע פעילויות ניהול סיכונים, באמצעות בקרות מונעות ובקרות מאתרות.
עם זאת, שום טכנולוגיה לא תעזור אם ניהול הסיכונים לא יזכה לעדיפות בעת תהליך התכנון וההטמעה. ניתוח סיכונים עסקיים במהלך זמן קריטי זה והגדרת המערכת לטיפול בסיכונים אלו עשויים למנוע הפסדים הנובעים מטעויות או מפעולות זדוניות. לאחר שהוגדרו והופעלו, הם יסייעו בתיעוד תהליכים, ניהול סיכונים וציות לתקנות.
