أخبار

تزايد النقد حول أطر إدارة المخاطر التي عفا عليها الزمن


إن إدارة المخاطر في العديد من المؤسسات غارقة في إطار عمل لا يمكنه مواكبة التحديات التي تواجهها معظم فرق إدارة المخاطر في المؤسسة. يجب تحديثه.

هذا هو الحكم الذي أصدره كبار المحللين كودي سكوت وألا فالينتي في مدونة حديثة لشركة Forrester Research، والتي تنتقد نهج خطوط الدفاع الثلاثة (3LOD)، والذي يستخدم على نطاق واسع لتقييم المخاطر التنظيمية.

وكتب المحللون: “إن الوسائل التقليدية لإدارة المخاطر لم تواكب الطلب أو السرعة أو الضغط الذي تواجهه معظم فرق إدارة المخاطر في المؤسسات”.

وتابعوا قائلين: “الأسوأ من ذلك هو أن العديد من برامج الحوكمة والمخاطر والامتثال تركز بشدة على الامتثال، وتتجاهل المخاطر تمامًا، وتتدافع لدعم الحوكمة في مواجهة كل خطر أو تكنولوجيا أو تهديد جديد ناشئ. لم يتم تصميم نموذج 3LOD لحل هذه المشكلة. “

وأوضحوا أنه تم تطوير 3LOD كإطار عمل لحوكمة الشركات لتنفيذ متطلبات الفصل بين الواجبات بموجب قانون ساربينز أوكسلي (SOX) لعام 2002. ثم في عام 2013، روج لها معهد المدققين الداخليين (IIA) كحل لتعزيز إدارة المخاطر. كتب المحللون: “ولكن كما سيخبرك أي شخص حاول تنفيذه كأساس لإدارة مخاطر المؤسسة، فإن 3LOD ليس نموذجًا لإدارة المخاطر”.

إطار جامد

تم تصميم إطار العمل لتلبية متطلبات الامتثال التي حددتها SOX، وليس التعامل مع مخاطر الأعمال، كما أشار إيان أميت، المؤسس والرئيس التنفيذي لشركة Gomboc، وهي مزود حلول أمان البنية التحتية السحابية الآلية في مدينة نيويورك.

وقال لـ TechNewsWorld: “إنها ليست قابلة للتكيف بما يكفي للعمل مع معظم المنظمات الحديثة، حيث لم تعد خطوط التقارير والتسلسل الهرمي صارمة كما كانت عليه في عام 2000”.

وأضاف بريان بيترتون، مدير الممارسات للمخاطر والخدمات الإستراتيجية في شركة GuidePoint Security، وهي شركة تقدم خدمات الأمن السيبراني في هيرندون بولاية فيرجينيا: “إن إطار عمل 3LOD هو نهج قديم إلى حد ما يستخدمه القطاع المالي ومن المحتمل أنه لا يزال يستخدمه”.

وقال لـ TechNewsWorld: “إن نظام 3LOD ليس ما يمكن أن أسميه النهج الحديث، ولكن البعض يفضله لأنه يخلق الفصل وبالتالي يقسم إدارة المخاطر عبر ثلاث وظائف”. “بالنسبة لي، يعد 3LOD بمثابة نهج تدقيق أكثر من كونه أسلوب مخاطرة.”

وأشار أيضًا إلى أنه نظرًا لطبيعة التدقيق في ضوابطها، فإنها تركز على نقطة زمنية معينة وليس النهج المستمر الموجود في الحلول التي تركز على مخاطر الأعمال.

الامتثال يتفوق على المخاطر

تركز العديد من برامج إدارة المخاطر بشكل كبير على الامتثال بدلاً من المخاطر الفعلية لعدد من الأسباب.

قال أميت: “تميل الأساليب التقليدية لإدارة المخاطر إلى التركيز على الامتثال – اجتياز عملية التدقيق وتحديد المربعات – بدلاً من التركيز على المخاطر التجارية الفعلية”. “غالبًا ما يتم اتباع هذه الأساليب من قبل المنظمات التي تهتم قيادتها بالحفاظ على الوضع الراهن أكثر من زيادة الإيرادات أو الابتكار.”

وأضافت نيكول سوندين، مديرة المشتريات في Axio، وهي شركة لإدارة المخاطر السيبرانية في مدينة نيويورك: “غالبًا ما تركز برامج إدارة المخاطر بشكل أكبر على الامتثال لأنه ملموس ومرتبط بأهداف واضحة”.

وقالت لـ TechNewsWorld: “عادةً ما يرتبط عمل الامتثال بهدف تجاري أو متطلبات خارجية”. “وفي هذا السياق، يصبح الامتثال جهدًا فوريًا يهدف إلى تلبية احتياجات عمل محددة، بدلاً من عملية مستمرة لتحديد وتخفيف المخاطر الناشئة.”

بالإضافة إلى ذلك، فإن معظم برامج إدارة المخاطر تعتمد على أهداف الامتثال، حسبما أضاف شاندراسيخار بيلوجو، المدير التنفيذي للتكنولوجيا في شركة SureShield، وهي شركة برمجيات لإدارة الأمن والامتثال والنزاهة، في أتلانتا. وقال لـ TechNewsWorld: “نادرًا ما تتعامل المنظمات مع إدارة المخاطر كعملية مستقلة منفصلة عن تفويضات الامتثال، لأنها ستفتقر إلى الرعاية التنفيذية اللازمة”.

أكد هيث رينفرو، كبير مسؤولي أمن المعلومات والمؤسس المشارك لشركة Fenix24، وهي شركة للتعافي من الكوارث والترميم في تشاتانوغا بولاية تينيسي، أن برامج إدارة المخاطر القائمة على الامتثال ليست أكثر من مجرد تدريبات ورقية مع عدم وجود طريقة سليمة لتحديد المخاطر التي يتعين على كبار المسؤولين التنفيذيين اتخاذها. القرارات المبنية على المخاطر. وقال لـ TechNewsWorld: “لا يمكنك إدارة المخاطر التي لا تفهمها”.

وأشار بيترتون إلى أنه في المنظمات الأقل نضجاً، تميل برامج إدارة المخاطر إلى التركيز على الامتثال بدلاً من المخاطر. وقال: “تنظر المنظمات الأقل نضجاً إلى الامتثال باعتباره المخاطر الرئيسية التي تواجهها، وبالتالي تتجاهل جميع المخاطر التي قد تواجهها”.

يعد تلبية متطلبات الامتثال أيضًا أسهل بالنسبة للعديد من المؤسسات من تقييم الاحتياجات الأمنية. “الامتثال يعني أنك تمتثل لقاعدة أو لائحة يجب اتباعها. أوضح إيرا وينكلر، رئيس أمن المعلومات في CYE، وهي شركة لتحسين الأمن السيبراني في تل أبيب، إسرائيل: “هناك تعريفات واضحة لما يجب اتباعه”.

وقال لـ TechNewsWorld: “ومع ذلك، فإن ما يعنيه أن تكون آمنًا يختلف اختلافًا كبيرًا”. “إذا لم تكن لديك أي فكرة عما يعنيه الأمان لمؤسستك، في حين أن لديك تعريفًا واضحًا لما يعنيه الامتثال، فمن الواضح أنك ستحقق الامتثال أولاً لأنه من الصعب أن تكون آمنًا عندما لا تفهم بالضبط ماذا يعني ذلك.”

أسس إدارة المخاطر الحديثة

واستشهد سكوت وفالينتي بثلاثة ركائز لنهج حديث لإدارة المخاطر.

يجب أن يكون النهج ديناميكيًا وقادرًا على التعامل مع المخاطر في ثلاثة أبعاد: المخاطر النظامية الخارجية للمنظمة وخارجة عن سيطرتها؛ مخاطر النظام البيئي خارج المنظمة ولكن ضمن درجات متفاوتة من السيطرة، مثل مخاطر الطرف الثالث ومخاطر سلسلة التوريد؛ والمخاطر المؤسسية الداخلية للمنظمة والتي يمكن التحكم فيها بشكل مباشر، مثل الأمن السيبراني والمخاطر المالية.

علاوة على ذلك، يجب أن يكون النهج مستمرًا لأن المخاطر والفرص تتطور بمرور الوقت. وأوضح المحللون أن تقييمات المخاطر الثابتة في الوقت المناسب لا تعكس الواقع. وبدلاً من ذلك، تحتاج الفرق إلى عملية مستمرة لتحديد سياق المخاطر وتقييمها مع تطور الخطط والأهداف واتخاذ القرارات ومراقبة النتائج.

ويجب أن يدرك النهج أيضًا أن المخاطر السيبرانية هي مخاطر تجارية. وأشار المحللون إلى أنه عادةً ما يقوم كبير مسؤولي المخاطر باختيار نموذج إدارة المخاطر، بينما يحتاج رئيس أمن المعلومات إلى التأكد من أن النموذج فعال لاحتياجات الأمن السيبراني للمؤسسة. بدون العمل بشكل متناغم، يظل محترفو الأمن والمخاطر عالقين في خوف من التدقيق إلى التدقيق بينما تتكرر أحداث المخاطر المتوقعة والتي يمكن الوقاية منها.

ولاحظ سونلين أن “كبير مسؤولي المخاطر وكبير مسؤولي أمن المعلومات يجب أن يكونا على نفس الصفحة عند تنفيذ إطار عمل المخاطر لأن كلاهما مسؤول عن تحديد ومعالجة الجوانب المختلفة للمخاطر داخل المنظمة”.

“يركز CRO عادةً على المخاطر التجارية والتشغيلية الشاملة، بينما يركز CISO على مخاطر الأمن السيبراني. ومع ذلك، فإن كلا الدورين لهما مسؤوليات متداخلة عندما يتعلق الأمر بإدارة المخاطر، ويمتلك فريقهم رؤى مهمة يجب مشاركتها لمعالجة المخاطر وتخفيفها بشكل فعال.

وقالت: “إن التعاون بين CRO وCISO يضمن اتباع نهج شامل لإدارة المخاطر، مما يمكّن المنظمة من تحديد التهديدات المحتملة وتقييمها وحلها بشكل استباقي في جميع المجالات”. “عندما تتم مواءمة جهودهم، فإن ذلك يعزز استراتيجية موحدة وشاملة للمخاطر تقلل من نقاط الضعف وتعزز المرونة الشاملة للأعمال.”

نموذج فورستر

كما أشاد سكوت وفالينتي بنموذج إدارة المخاطر المستمر لشركة Forrester، والذي أشادوا به باعتباره “مخططًا لإدارة المخاطر الشاملة”.

وأشار أميت إلى أن النهج الذي تتبعه شركة فوريستر ليس جديدًا تمامًا. وقال: “إنه يحاكي الطريقة التي تدير بها المنظمات الحديثة المخاطر”.

وأوضح: “إن إدخال الأدوات التي تسمح للمؤسسة بالحصول على نقاط بيانات أكثر تكرارًا حول ضوابطها وعملياتها الداخلية، فضلاً عن التهديدات الخارجية، يسمح بإدارة مخاطر أكثر تفصيلاً وأكثر استمرارية من الدورية”.

وأشار أيضًا إلى أن متطلبات التدقيق والامتثال تجبر المنظمات على تنفيذ المزيد من عمليات جمع الأدلة والضوابط بشكل مستمر، مما يسمح لها بدورها بممارسة إدارة مخاطر أكثر وضوحًا على أساس مستمر.

في الأساس، يحتاج الناس إلى فهم ماهية إدارة المخاطر والأمن، كما ينصح وينكلر. “إن تعريف الأمن هو التحرر من المخاطر، ولا يمكنك أبدًا أن تكون خاليًا من جميع المخاطر.”

وتابع: “يحتاج المتخصصون في مجال الأمن إلى فهم أن وظيفتهم هي في الأساس إدارة المخاطر، والتي تتضمن اتخاذ أفضل القرارات لتحسين إنفاقهم مقارنة بحجم الخسارة المحتملة”. “وهذا يتطلب اتخاذ قرارات علمية جيدة وأدوات رياضية للمساعدة. وهذا سيقود عملهم من كونه فنًا إلى علم “.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى