בעבר, תקן 9001 ISO היה מתעדכן אחת ל 7-8 שנים. הגרסה האחרונה, 9001:2015 ISO יצאה לפני תשע שנים. בהתאם למסורת, גרסה עדכנית יותר הייתה אמורה לצאת לפחות בשנת 2023. ובכן, "מועצת גדולי ה- ISO"  מודים שאין שינויים גדולים שיצדיקו גרסה חדשה. במקום זאת מתבשל תיקון, שיתחיל להיות מיושם בקרוב.

מתי אמור התיקון להיות בתוקף? מהו התיקון הצפוי? כיצד יושפעו דרישות תקן 9001 ISO בעקבות כך? מדוע שינויים אלה נדרשים? מי יושפע משיניים אלה? על כל אלה, קראו במאמר שלהלן.

ממתי התיקון בתוקף?

התיקון האחרון לתקן ISO 9001:2015, אמור להיכנס לתוקף בשנת 2024. התיקון מציג עדכונים משמעותיים המדגישים את השילוב של שיקולי שינויי אקלים במערכות ניהול איכות. תיקון זה משקף הכרה עולמית גוברת בצורך שקיימות סביבתית תהיה שיקול מרכזי בפעולות ואסטרטגיות ארגוניות.

מהם השינויים בדרישות שיכנסו לתקן 9001 ISO?

השינויים הספציפיים שהוכנסו בתיקון כוללים:

  1. הבנת הארגון והקשרו (סעיף 4.1) – ארגונים נדרשים כעת לקבוע האם שינויי האקלים הם נושא רלוונטי המשפיע על יכולתם להשיג את התוצאות המיועדות. הדבר כרוך בזיהוי סוגיות חיצוניות ופנימיות הקשורות לשינויי אקלים שעשויים להשפיע על מטרת הארגון ויעדיו.
  2. הבנת הצרכים והציפיות של בעלי עניין (סעיף 4.2) – הערה חדשה נוספה לסעיף זה, המדגישה את הרלוונטיות של שינויי האקלים לציפיות בעלי העניין. ארגונים חייבים לשקול דרישות הקשורות לשינויי אקלים של בעלי עניין רלוונטיים, ולקבוע אילו דרישות הקשורות לשינויי אקלים יטופלו באמצעות מערכת הניהול של הארגון.

שינויים אלה מסמלים שינוי מהותי באופן שבו מערכות ניהול איכות חייבות לשלב שיקולים סביבתיים, ודוחקים בארגונים להעריך את השפעת שינויי האקלים על פעילותם וליצור קשר עם בעלי עניין לגבי דרישות הקשורות לאקלים. מהלך זה מיישר קו בין תקני ISO למאמצים עולמיים להילחם בשינויי אקלים ומקדם קיימות בתוך נהלי ממשל וניהול ארגוניים.

עבור ארגונים המוסמכים לפי תקן ISO 9001:2015, תיקון זה יחייב בדיקה חוזרת של מערכות הניהול שלהם כדי להבטיח ששיקולי שינויי אקלים משולבים בצורה נאותה, ובכך להגביר את חוסנם ואת יכולת ההסתגלות שלהם לאתגרים סביבתיים. הכללה אסטרטגית זו שואפת לטפח גישה פרואקטיבית לסיכונים והזדמנויות הקשורות לאקלים, ובסופו של דבר לתרום לנוף עסקי בר-קיימא ואחראי יותר לסביבה.

שילוב נאות של שיקולי שינויי אקלים במערכת האיכות ייחייב בדיקה של כל מערכת האיכות והתאמתה מכל הבחינות, כולל: ניהול סיכונים, המשכיות עסקית במקרה של אירוע סביבתי קיצון, טיפול במזהמים, יעדים בתחום איכות הסביבה ועוד – בהתאם לרלוונטיות לכל ארגון.

האם הדרישות הללו יהיו מחייבות?

הדרישות החדשות הקשורות לשינויי אקלים בתקן ISO 9001 יהיו מחייבות. השינויים תוכננו במיוחד כדי להבטיח שארגונים ישקלו את ההשלכות של שינויי האקלים בתוך מערכות ניהול האיכות שלהם. עדכונים אלו כלולים בסעיפים העיקריים המנחים את יישום התקן, מה שהופך אותם לאינטגרליים לעמידה בתקן ISO 9001:2015.

התיקון ל-ISO 9001 מחייב ארגונים להעריך האם נושא שינויי אקלים הוא נושא רלוונטי עבורם, ולהבין את הצרכים והציפיות של בעלי עניין, לרבות כל דרישות הקשורות לשינויי אקלים. סעיפים 4.1 ו-4.2 שהוזכרו לעיל הם סעיפי חובה בתקן. שיש לטפל בהם כדי לשמור על הסמכת ISO 9001​​.

התיקון משקף מהלך רחב יותר לשילוב קיימות סביבתית בסטנדרטים של תקני ISO תוך התאמה עם יעדי הפעולה עולמיים בתחום האקלים והבטחה שארגונים מוסמכים תורמים למאמצים אלו.

מי יושפע משינויים אלה?

הדרישות החדשות הקשורות לשינויי אקלים בתקן ISO 9001 ישפיעו על מגוון רחב של בעלי עניין במגזרים שונים. להלן הקבוצות העיקריות שיושפעו:

  1. ארגונים המוסמכים לפי ISO 9001: כל הארגונים המוסמכים כיום לפי ISO 9001 או המבקשים הסמכה יצטרכו לשלב את הדרישות החדשות הללו במערכות ניהול האיכות שלהם. ארגונים יצטרכו להעריך כיצד שינויי האקלים משפיעים על פעילותם ומחזיקי העניין שלהם, ולהתאים את מערכות הניהול שלהם בהתאם כדי לעמוד בתקן המעודכן.
  2. שותפי שרשרת אספקה: ספקים ושותפים בשרשרת האספקה ​​של ארגונים מוסמכים ISO 9001 עשויים להיות מושפעים אף הם. כאשר חברות מוסמכות מתאימות את התהליכים שלהן כדי לטפל בבעיות הקשורות לאקלים, הן עשויות לדרוש מהספקים שלהן לדבוק בסטנדרטים דומים, כדי להבטיח ששרשרת האספקה ​​כולה תורמת למאמצי הפחתה והסתגלות של שינויי אקלים.
  3. מקצועני ניהול איכות: יועצים, סוקרים ואנשי מקצוע בניהול איכות יצטרכו להבין את הדרישות החדשות כדי להנחות ולהעריך את הציות ביעילות. קבוצה זו כוללת מנהלי איכות פנימיים, יועצים חיצוניים וסוקרים המספקים שירותי הסמכה לתקן ISO 9001. כל אלה יצטרכו לעדכן את הנהלים וההכשרה שלהם כדי לכלול את שיקולי שינוי האקלים המפורטים בתיקון.
  4. ארגונים מתעידים: ארגונים מתעידים וגופים רגולטוריים המפקחים על תאימות סטנדרטית יצטרכו לשלב שינויים אלה בפרוטוקולי הפיקוח וההערכה שלהם. כולל גופי תקינה לאומיים וארגונים בינלאומיים המעורבים בפיתוח ואכיפה של תקני ISO.
  5. לקוחות וצרכנים: ככל שארגונים מסתגלים לשינויים אלה, הלקוחות שלהם וצרכני הקצה עשויים לראות הבדלים באופן שבו מוצרים ושירותים מפותחים, מסופקים ומשווקים. עסקים עשויים להשתמש בעמידתם בתקן ISO 9001 המעודכן כנקודת בידול, תוך שימת דגש על מחויבותם לקיימות ואחריות אקלימית.

מדוע שינויים אלה כה חשובים?

לאחר שהבנו מהם שינויי חובה אלה בתקן 9001 ISO, נבין את חשיבותם.

  1. ציות לרגולציה וציפיות השוק: ממשלות וגופים רגולטוריים ברחבי העולם מיישמים יותר ויותר תקנות סביבתיות קפדניות. על ידי שילוב שיקולי שינויי אקלים במערכות הניהול של הארגון, הארגון יבטיח יישום של תקנות סביבתיות. בנוסף, התאמה זו יכולה לסייע לחברות לעמוד בדרישות השוק ההולכות וגוברות לפרקטיקות אחראיות סביבתיות, שהופכות לגורמים מכריעים עבור לקוחות ובעלי עניין רבים בבחירה עם מי לעשות עסקים.
  2. חוסן תפעולי: שינויי אקלים מהווים סיכונים משמעותיים לפעילות הארגונית, לרבות שיבושים בשרשרת האספקה, סיכונים לתשתיות מאירועי מזג אוויר קיצוניים ושינויים בזמינות המשאבים. על ידי שילוב יזום של שינויי אקלים במערכות הניהול שלהם, ארגונים יכולים לשפר את החוסן שלהם, להסתגל בצורה יעילה יותר לשינויים אלו ולשמור על המשכיות תפעולית מול אתגרים סביבתיים.
  3. השפעות פיננסיות: טיפול בשינויי האקלים יכול להוביל ליתרונות כספיים על ידי אופטימיזציה של שימוש במשאבים וצריכת אנרגיה, ובכך להפחית עלויות. יתרה מכך, עסקים הנוקטים בפעולה מוקדמת בנושאים הקשורים לאקלים עשויים להימנע מעלויות עתידיות הקשורות לרגולציות מחמירות או נזקים מהשפעות האקלים. הם יכולים גם ללכוד הזדמנויות עסקיות חדשות בשווקים מתעוררים עבור מוצרים ושירותים ירוקים.
  4. יתרון מוניטין: חברות המפגינות מחויבות לקיימות סביבתית משיגות לעתים קרובות יתרון תחרותי באמצעות נאמנות ומוניטין משופרים למותג. צרכנים ומשקיעים נמשכים יותר ויותר לעסקים המפגינים אחריות כלפי כדור הארץ, מה שיכול להוביל להגברת אמון ונאמנות הלקוחות, כמו גם למשיכת השקעות אחראיות חברתית.
  5. קיימות ארוכת טווח: שילוב שיקולי שינויי אקלים מבטיח שארגונים לא רק מתייחסים להשפעותיהם הנוכחיות על הסביבה אלא גם תורמים ליעדי קיימות גלובליים ארוכי טווח. הדבר עוזר ליישר פעולות עסקיות עם ערכים ויעדים חברתיים רחבים יותר

בסך הכל, שינויים אלה מדגישים שינוי לעבר שילוב קיימות במסגרות הליבה התפעוליות והאסטרטגיות של ארגונים, תוך שימת דגש על ההכרה ההולכת וגוברת של הקישוריות ההדדית של גורמים סביבתיים, חברתיים וכלכליים בהשגת הצלחה ותאימות בת קיימא.

לסיכום, ממליצה לארגונים שיושפעו מהתיקון, להתחיל להתכונן לדרישות שיהפכו לחובה בקרוב.

 

מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת אחת לשבוע מאמר קצר או טיפ בנושא איכות ומצויינות בארגונים.
קישור להצטרפות – כאן

 

מי שיחפש מתכונים להצלחה בגוגל ימצא אלפי "מתכונים". אני לא מתימרת לכתוב על ה-מתכון להצלחה, אלא רק על תבלין סודי שהוספתו למתכון שבחרתם יביא להצלחה המיוחלת.

אחד התסכולים שלי בעבודה עם ארגונים הוא שאנו יוצרים עימם דרך, מציידים אותם בתשתיות תהליכיות, תבניות וכלים מותאמים להם, מסכימים במשותף על תהליכי העבודה שייטיבו עימם ולמרות זאת, הארגונים לא הולכים בדרך המוסכמת עד הסוף.

ההזנחה הזאת לא הייתה קורית אם לאותם ארגונים הייתה הרגשה שמדובר בסכנה. נניח לדוגמה שהיו  מחליטים על פרויקט הוספת ממ"ד לבניין רב קומות. האדריכל והקבלן שנשכרו למשימה היו אומרים שדבר ראשון נדרש להשקיע בתשתיות, לחפור לעומק עמודים וליצוק בטון לעומק, עוד בטרם רואים משהו מעל פני השטח. האם מישהו היה מעז להתחיל לבנות בלי היסודות? להגיד כן-כן ולא לעשות? להסתמך רק על הידע הנוכחי והאנרגיה הטובה? ברור שלא!

הסיבה לכך ברורה: מודעות לסכנה. המודעות לסכנה הקיימת בעבודה לא מדויקת לא קיימת! יש הרגשה שבצוק העיתים אפשר לעגל פינות. העניין הוא שאנו כל הזמן בצוק העיתים.

כדי להתמודד עם האתגר, ישנם תחומים שכופים חוקי רגולציה ותקינה על חברות. במקרים שכאלה, ישנה נטייה לאמץ תהליכי עבודה מיטיבים, אך כיוון שהמוטיבציה היא לציית לרגולציה עיגול פינות בשוטף ממשיך לקרות.

מגלה לכם את התבלין הסודי שלי להצלחה – דיוק פלוס התמדה. את התבלין הזה תוסיפו למתכון שבחרתם. המתכון שלנו הוא הגדרה והטמעה של תהליכים מותאמים לארגון ומוטמעים בו.

דיוק

תהליכים מדויקים דורשים להתחיל מהיסודות. תהליכי עבודה מוגדרים ומוטמעים הם דפוסי התנהגות חדשים. יש סדר לפעולות שנדרש לעשות. אדוארד דמינג, אבי תורת האיכות אמר: אם אתם לא יודעים להגדיר את מה שאתם עושים כתהליך אזי אתם לא יודעים מה אתם עושים.

פעמים רבות, כדי לגייס צוותים ומנהלים לדרך, מתחילים עם quick-wins. הניצחות המהירים הם מעולים למכור את הדרך, להוכחת היתכנות. החיסרון הוא שהם מרגילים לקיצורי דרך. השינוי האמיתי מגיע העבודה על התמונה הגדולה, מהיסודות ועד לצמרת.

התמדה

לאחר שנבנו תהליכים מדויקים, בעזרת מומחים פנימיים או חיצוניים – האם לא נקפיד ליישם? להטמיע?

דיוק בלי התמדה או התמדה בלי דיוק?

תצפיותיי בארגונים מראות לי שני סוגי התנהגות של ארגונים מתוסכלים:

ארגונים שבנו תהליכי עבודה מיטביים אך לא מטמיעים או לא מדייקים בהטמעה – ארגונים אלה חווים תסכול מתמשך מהתוצאות. מרגישים שהם עשו את ההשקעה הנדרשת אך התוצאות לא משביעות רצון.

ארגונים מתמידים בלי תהליכי עבודה מותאמים – כאן הסכנה הגדולה. אנשים חרוצים שעובדים בלי ידע מדוייק. העובדים כל היום מכבים שריפות ורצים אחר הזנב של עצמם. יתרה מכך, אנשים אלה זוכים להערכה ואף לקידום כיוון שהם עובדים מסביב לשעון.

התבלין הסודי – דיוק והתמדה

דיוק –  השקעה בדברים החשובים והמשמעותיים. השקעה בשיטות עבודה, בתבניות בכלים. אין זמן מתאים יותר מעכשיו. גם אם במציאות יש סימנים כביכול שעכשיו זה לא הזמן המתאים. דרך שעובדת להגדרה ודיוק של תהליכי העבודה היא עבודה עם מומחה תהליכים, פנימי או חיצוני שכל עיסוקו הוא הגדרת תהליכים מותאמים לארגון. 

הפתרון היצירתי שמנסה לחסוך בעלויות באמצעות הטלת משימות בתחום האיכות והתהליכים על אדם פנימי שיעשה אותם  "נוסף על תפקידו" ברוב המקרים לא מוכיחה את עצמה ובסופו של יום רק מגדילה עלויות.

התמדה – לאחר שנבנתה התשתית המותאמת, התמדה משמעותה שינוי דפוסי עבודה. להקפיד על יצירת דפוסי עבודה חדשים גם אם הדבר לא נוח לנו.

אנו יודעים מתחומים אחרים שקשה מאד להתמיד בהרגלים חדשים לבד. כדי שהדבר יקרה צריך ליצור מסגרת, לתת את התנאים להצלחה. מוטיבציה לא מספיקה. אחד הכלים המסייעים להתמדה הוא עבודה עם מנהל איכות, פנימי או חיצוני שמסייע בשמירה על עבודה בתוך המסגרת.

לסיכום,

שני הסנט שלי: קודם לדייק את תהליכי העבודה ואחר כך להתמיד בהטמעתם. כמובן שיש רצף בין 1 ל-10 בכל אחד מהפרמטרים. 

איזה ציון בין 1 ל10 אתם נותנים לעצמכם בכל אחד משני הפרמטרים: דיוק והתמדה? אשמח לשיתוף באחת הרשתות החברתיות שקישורן להלן.

הזמנה לפנייה אישית  אלי

מזמינה כל אחד ואחת מיכם לפנות אלי באופן אישי ולשמוע על חבילות הייעוץ שלנו שכוללות הגדרה מדוייקת של תהליכי העבודה בזמן קצר, ולפי הצורך מיקור חוץ לניהול איכות כדי להתמיד בהטמעה נכונה לאורך זמן.

אורנה קמין, orna@ok-consulting.co.il, 0537739018

מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת אחת לשבוע מאמר קצר או טיפ בנושא איכות ומצויינות בארגונים.
קישור להצטרפות – כאן

 

בבואנו לעשות שינוי בארגון נחפש תמיד את הניצחונות המהירים בהתחלה. ניצחון מהיר אוסף קרדיטים להמשך ומעודד מנהלים שמחשיבים תוצאות מעל הכל להמשיך בתהליך השינוי. אבל לניצחונות מהירים יש גם חסרונות. החסרונות הם חוסר סבלנות להשקיע בשינוי עמוק מהשורש, ומרדף תמידי אחר עוד ועוד ניצחונות מהירים כדי לתחזק את הילת המצליחנים.

המאמר שלהלן סוקר את היתרונות והחסרונות של ניצחונות מהירים ומציע אפשרויות להפוך ניצחונות מהירים לדרך פעולה קבועה.

יתרונות הניצחונות המהירים

יתרונות הניצחונות המהירים טמונים במילה – ניצחונות, ואלו הם:

  • בניית מומנטום: ניצחונות מהירים יוצרים מומנטום ותחושה של התקדמות, ומעודדים מאמצים נוספים לשיפור.
  • סיכון נמוך: לעתים קרובות ניצחונות מהירים כרוכים בסיכון והשקעה מינימליים, מה שהופך אותם לאופציה אטרקטיבית עבור מנהלים.
  • הוכחת היתכנות: ניצחונות מהירים יכולים לשמש כהוכחה לקונספט, להדגים את היתרונות הפוטנציאליים של יוזמות גדולות יותר.
  • תוצאות מיידיות: ניצחונות מהירים מספקים תוצאות מיידיות ומוחשיות, מגבירים את המורל והמוטיבציה בקרב מוביל השינוי, המנהל התומך ביוזמת השינוי ובונה אמון בקרב העובדים.

חסרונות של ניצחונות מהירים

חסרונות הניצחונות המהירים טמונים במילה – מהירים. ואלו הם:

  • מיקוד לטווח קצר: ניצחונות מהירים עשויים להוביל ארגונים לתיעדוף רווחים קצרי טווח על פני שיפורים ארוכי טווח.
  • פתרונות ברמת סימפטומים: לעתים קרובות ניצחונות מהירים מטפלים בסימפטומים ולא בסיבות השורש; מוביל לתיקונים זמניים ולא לשינויים בני קיימא.
  • תחושת ביטחון כוזבת: ניצחונות מהירים יכולים ליצור תחושת ביטחון מזויפת; מוביל ארגונים להאמין שהם פתרו בעיות עמוקות יותר.
  • הסטת משאבים: התמקדות בניצחונות מהירים יכולה להסיט משאבים מיוזמות ארוכות טווח משפיעות יותר.
  • אי רתימה של כל בעלי העניין הנוגעים בדבר: מוביל השינוי המהיר רץ קדימה ולא לוקח בחשבון את כל בעלי העניין שאי מעורבותם בתהליך תפגום בשיפור המתמיד בהמשך.
  • התנגדות לשינוי נוסף: הצלחה ראשונית עם ניצחונות מהירים עשויה להוביל להתנגדות לשינויים משמעותיים יותר הדורשים יותר מאמץ והשקעה.

מתקדמים לניצחונות בני קיימא

מה עלינו לעשות כדי להפוך את הניצחונות המהירים לניצחונות בני קיימא? מספר הצעות להלן:

  • בניית תהליך שיפור מתמיד: שימוש בניצחונות מהירים כאבן דרך לבניית אמון בתהליך ובערך השיפור מתמיד.
  • זיהוי סיבות שורש: זיהוי סיבות השורש לתקלות או ליעילות הנמוכה וביצוע פעולות מתקנות להסרת סיבות השורש, מעבר לטיפול בסימפטומים שמופיעים בצורות שונות כל פעם.
  • השקעה בפתרונות ארוכי טווח: עבדו כמו חקלאים שעודרים, נוטעים, ומשקים עד שיש תוצאה ולא כמו ציידים שמחפשים פיתרון מהיר.
  • רתימה של כל בעלי העניין הנוגעים בדבר: שיתוף כל בעלי העניין הנוגעים בתהליך השינוי תגרום להם להרגיש שההצלחה תסייע להם, גם בביצוע עבודתם וגם בקבלת קרדיט על ההצלחה.
  • הסתייעות במומחים: הסתייעו במומחים פנימיים או חיצוניים, שמומחיותם היא בהובלת השינוי וגיוס הצוותים למשימה המשותפת.
  • הצבת רף ציפיות מציאותי: לאחר הניצחון המהיר, נדרש להכין תכנית ריאלית לשיפור המתמשך. התוכנית תכלול יעדים, משאבים, לו"ז וכל הנדרש לשינוי עמוק. "רק סבלנות אינסופית תביא לתוצאות מהירות." (ציטוט מקורס בניסים).

השילוב המנצח

כדי לגייס צוותים לשיפור מתמיד חשוב מאד שהניצחונות המהירים יהיו מיוחסים לצוותים שמטמיעים את השינוי, ולא רק למוביל השינוי או למנהל שתמך בו. כדי להצליח שוב, נזכור שהצוותים המטמיעים את השינוי הם שותפי ההצלחה הראשיים.

גורם נוסף הוא שימוש במומחים, פנימיים או חיצוניים להובלת השינוי. אחריות הצוותים הם למשימות השוטפות. הציפייה שצוותים יטמיעו שינויים בנוסף על תפקידם היא ציפייה לא ריאלית שנדונה לכישלון. עדיף כבר לא להתחיל כדי לא ליצור התנגדות.

לסיכום, בעוד שניצחונות מהירים יכולים לספק יתרונות מיידיים, ארגונים חייבים להכיר במגבלות ולהבין ששיפור מתמשך דורש מחויבות עמוקה יותר לשינוי. ייעוץ והכוונה מומחים ממלאים תפקיד מכריע בהקלת המעבר הזה ובהבטחה שארגונים מגיעים להצלחה בת קיימא.

דברו איתנו ונעזור לכם לנצח גם בניצחונות המהירים וגם באלה ארוכי הטווח.

 

מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת אחת לשבוע מאמר קצר או טיפ בנושא איכות ומצויינות בארגונים.
קישור להצטרפות – כאן

 

 

 

 

אחת הסוגיות המעניינות בתקן 27001:2022 ISO היא הדרישה להפרדת תפקידים, Segregation of duties, SoD.
הגרסה הנוכחית של תקן ISO 27001:2022, מדגישה את הדרישה הזו, ואת תפקידה הקריטי של דרישת SoD בהפחתת סיכונים שעלולים לנבוע מעקיפת בקרות אבטחת מידע, שעלולות לגרום לשגיאות, חדירות לארגון ואף להונאות.

המאמר שלהלן מגדיר את חשיבות הדרישה חדשה בתקן ב-ISO 27001:2022 לנושא הפרדת תפקידים בתחום ניהול אבטחת מידע ומתמקד ספציפית בדרישה להפריד בין ניהול תהליך הסמכה לתקן 27001:2022 ותפקיד ניהול ה-IT בחברה.

מהי הפרדת תפקידים?

הפרדת תפקידים היא אמצעי בקרה הכולל חלוקת משימות ואחריות בין אנשים או צוותים שונים כדי למנוע מכל אדם בודד את היכולת לבצע מטלות סותרות. הפרדה זו נועדה להפחית את הסבירות לפעילויות לא מורשות, ולהבטיח שלאף אדם בודד אין את הכוח לסכן את אבטחת המידע הרגיש.

מדוע עיקרון הפרדת תפקידים, SoD, כה חשוב שניתן לו דגש מיוחד ב-ISO 27001:2022?

תקן ISO 27001:2022 המעודכן מדגיש את הצורך בהפרדת אחריות וסמכות בין בעלי תפקידים כאמצעי לשמירה על היושרה, הסודיות והזמינות של המידע. על ידי הטמעת SoD, ארגונים יכולים להפחית באופן משמעותי את הסיכון לאיומים פנימיים, כגון הונאה או פרצות מידע, שעלולים להוביל לפגיעה פיננסית ומוניטין חמורה.

אזורי מפתח להפרדה

התקן מספק דוגמאות לפעילויות הדורשות הפרדה, כולל:

  • ייזום, אישור וביצוע שינויים.
  • בקשה, אישור ויישום זכויות גישה.
  • עיצוב, הטמעה ובדיקת קוד.
  • פיתוח תוכנות וניהול מערכות ייצור.
  • שימוש וניהול יישומים.
  • שימוש ביישומים וניהול מסדי נתונים.
  • תכנון, ביקורת והבטחת בקרות אבטחת מידע.

כדאי להפריד בין התפקידים הבאים:
א. ניהול מערכת אבטחת מידע
מגדיר את הבקרות על מערכת אבטחת מידע, ואחת לתקופה בודק את יישום הבקרות כחלק מתהליך ההסמכה השנתי לתקן 27001:2022 ISO
ב. ביצוע בפועל של הבקרות

כל תפקיד – דורש כשירות מיוחדת. ביצוע מבדקים, למשל: חייב להיות על ידי גורם בלתי תלוי.

אתגרים ופתרונות

בעוד שהעיקרון של SoD הוא פשוט, היישום שלו יכול להיות מאתגר, במיוחד עבור ארגונים קטנים עם כוח אדם מוגבל. למרות זאת, הדרישה היא שהעיקרון יישמר.
כלים אוטומטיים יכולים לסייע בזיהוי ופתרון קונפליקטים, כגון: קונפליקטים בהרשאות גישה.
כאשר הפרדה קשה, כדאי לשקול הוצאה של אחד התפקידים למיקור חוץ: ניהול מערכת אבטחת מידע או ניהול CISO.

הפרדת תפקיד ניהול מערכת אבטחת מידע, לבין ביצוע בפועל של בקרות אבטחת מידע

הפרדת תפקיד ניהול ההסמכה לתקן ISO 27001 מניהול שוטף של ה- IT היא החלטה אסטרטגית המשפרת את האובייקטיביות, משפרת את המיקוד, מבטיחה אחריות ומייעלת הקצאת משאבים, כל אלו חיוניים לשמירה על מערכת ניהול אבטחת מידע איתנה.

להלן היתרונות בהפרדת התפקידים, גם לארגונים שאינם עוברים תהליך הסמכה לתקן 27001:2022 ISO או ארגונים ששוקלים לעקוף את הדרישה, בהנחה שהסוקר לא "יעניש" אותם על כך, ברישום ממצא לתיקון.

1. הימנעות מניגוד עניינים

ניהול IT אחראי בעיקר על ההיבטים התפעוליים של טכנולוגיית המידע בתוך הארגון, לרבות הטמעה ותחזוקה של מערכות ותהליכי IT. לעומת זאת, ניהול הסמכת ISO 27001 מתמקד בהבטחת מערכת ניהול אבטחת המידע (ISMS) עומדת בדרישות התקן. שילוב התפקידים הללו עלול להוביל לניגוד עניינים, כאשר ניהול ה-IT עשוי לתעדף יעילות תפעולית על פני תאימות לאבטחה.

2. אובייקטיביות מוגברת

הפרדת התפקידים הללו מבטיחה שהאדם או הצוות האחראים להסמכת ISO 27001 יכולים לשמור על נקודת מבט אובייקטיבית. אובייקטיביות זו חיונית לביצוע הערכות חסרות פניות של נוהלי אבטחת המידע בארגון ולזיהוי אזורים בהם נדרשים שיפורים כדי לעמוד בדרישות התקן.

3. מיקוד משופר

ניהול הסמכת ISO 27001 מצריך הבנה עמוקה של התקן והתמקדות בהיבטים הרחבים יותר של ניהול אבטחת מידע. הפרדת תפקיד זה מניהול ה-IT מאפשרת לצוות המיועד להתרכז אך ורק ביוזמות ציות ושיפור אבטחה, מבלי להכביד על האתגרים התפעוליים היומיומיים של ניהול ה-IT.

4. ניהול סיכונים

הפרדת תפקידים אלו מאפשרת ניהול סיכונים טוב יותר. ניהול IT יכול להתמקד בטיפול בסיכונים תפעוליים ובהבטחת תפקוד חלק של מערכות IT, בעוד שצוות הניהול של ISO 27001 יכול להתרכז בזיהוי, הערכה והפחתת סיכוני אבטחת מידע בהתאם לדרישות התקן.

5. אחריות ושקיפות

תפקידים ברורים עבור ניהול הסמכות ISO 27001 וניהול IT מקדם אחריות ושקיפות בתוך הארגון. כל צוות אחראי לתוצאות ספציפיות, מה שמקל על מעקב אחר ביצועים, זיהוי בעיות ויישום פעולות מתקנות.

6. אופטימיזציה של משאבים

הפרדת התפקידים הללו מאפשרת הקצאה יעילה יותר של משאבים. ניהול IT יכול להתמקד באופטימיזציה של השימוש בטכנולוגיה ובכוח אדם לצורך אפקטיביות תפעולית, בעוד שצוות הניהול של ISO 27001 יכול להקצות משאבים במיוחד לשיפורי אבטחה ופעילויות תאימות.

סיכום

הפרדת התפקידים היא מרכיב קריטי בתקן ISO 27001:2022, המשמש מרכיב יסוד בהקמת מערכת ניהול אבטחת מידע איתנה. על ידי הקפדה על עיקרון זה, ארגונים יכולים לשפר משמעותית את עמדת האבטחה שלהם, להגן על נכסיהם ולבנות אמון עם מחזיקי עניין.

איך אפשר לעזור?

מזמינה ארגונים ששוקלים להשתמש בייעוץ או מיקור חוץ לחלק מהתפקידים כדי לשמור על הפרדת תפקידים לפנות אלי ישירות, כדי להתייעץ איתי או עם אחד המומחים שלנו בנושא זה או בכל נושא אחר.
אורנה קמין, ok-consulting.co.il, 0537739018

 

 

ממינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת מידי פעם מאמר קצר או טיפ בנושאים הקשורים לאבטחת מידע, אבטחת הפרטיות, מבדקי חדירה, המשכיות עסקית, רגולציות בתחום ועוד. קישור להצטרפות – כאן

 

 

ארגונים רבים מחפשים דרך ללמוד על שביעות רצון לקוחותיהם אך נמנעים לעשות סקרים ממגוון סיבות טובות:

  • משאבים – ביצוע סקר כהלכתו דורש השקעת משאבים בפיתוח הסקר, בהפצתו ובניתוח התוצאות. לא תמיד לארגון יש את המשאבים והאנרגיה / חשק לעשות זאת.
  • עייפות סקרים: עם המספר ההולך וגדל של סקרים שנערכים על ידי חברות שונות, לקוחות חווים עייפות סקרים. התוצאה היא שיעור תגובה נמוך.
  • אי רצון להעיר את הדובים: חברות עשויות להסס לערוך סקרים בשל חשש לשמוע משוב שלילי או שהמשוב יפתח תיבת פנדורה של תלונות או בקשות לשינוי המוצר או השירות. הדבר נכון במיוחד עבור ארגונים שאינם בשלים להתמודד עם ביקורת או שאין להם תרבות של פתיחות למשוב ושיפור מתמיד.
  • אי ביצוע פעולות מתקנות בעקבות המשוב: נזכור שמטרת הסקר היא לשמוע משוב ולשפר את חווית הלקוח בהתאם. כאשר אין בחברה תרבות של הפקת לקחים מהמשוב, חבל על המאמץ. תשאלו את עצמכם? כמה פעמים חזרו אליכם בעקבות משוב שלילי שנתתם בסקר?
  • קושי בעיבוד נתונים: כדי לערוך סקר כהלכתו צריך לדגום מספר משמעותי של לקוחות ולעבד את הנתונים. לעיתים, כדי לצאת ידי חובה עורכים סקר על מספר קטן ולא משמעותי של לקוחות ובהתאם – המסקנות עלולות להיות שגויות.

מדדי נאמנות לקוחות

אחת הדרכים ללכת בלי ולהרגיש עם היא בדיקה עד כמה הלקוחות נאמנים לחברה/ מוצר / שירות / מותג. רכישות חוזרות מעידות על שביעות רצון גבוהה. נאמנות לקוחות הוא גם מדד רגשי מעבר לביצוע עסקה כזו או אחרת. ללקוח נאמן יש רגש חיובי כלפי החברה, מעבר לשביעות רצונו מהעסקה האחרונה.

יש מספר דרכים למדידת שביעות רצון לקוחות באמצעות מדידת הנאמנות, ובזאת מתמקד מאמרי זה.

מדד רכישה חוזרת / שיעור שימור לקוחות

מודד באיזו תדירות לקוחות חוזרים לקנות את המוצר או השירות של החברה. שיעור גבוה של רכישה חוזרת מעיד על שביעות רצון גבוהה ונאמנות לקוחות.

מדד זה ניתן להיעשות כתוצאה מניתוח רכישות של לקוחות. שינויים לרעה בהרגלי הצריכה יכולים להעיד על חוסר שביעות רצון ובהחלט כדאי לבדוק עם לקוחות כאלה לגבי הסיבה של הירידה או הפסקת הרכישות.

שיעור שימור לקוחות  הוא שם אחר לאותו מדד. שיעורי שימור גבוהים מעידים בדרך כלל על שביעות רצון ונאמנות גבוהה של לקוחות.

מדד Customer Lifetime Value –  CLV     

מדידת ערך הלקוח עבור החברה לאורך מחזור חיי העבודה עם אותו לקוח. אמנם מדד זה מודד את שביעות רצון הלקוחות באופן עקיף, אך הוא קושר בין שביעות רצון הלקוח לבין מידת הרצון של הלקוח להמשיך לעשות עסקים עם החברה. אין מה להתבייש – המדד קושר בין שביעות רצון הלקוח למידת השווי שלו לחברה. ככל שערך ה-CLV גבוה יותר כך שביעות רצון הלקוח גבוהה יותר ובהתאם נאמנותו לחברה.

מוזמנים לקרוא בהרחבה על המדד במאמר שקישורו להלן – שביעות רצון לקוח – ללכת בלי ולהרגיש עם..

 מדד Net Promoting Score – NPS

מדד קלאסי שבו לקוחות נשאלים מה הסיכוי שהם ימליצו על מוצר או שירות לאחרים. ציון זה מחלק את הלקוחות למקדמים (ציון 9-10), אדישים (ציון 7-8) ולא מרוצים (ציון 1-6), נותן תמונה ברורה של נאמנות.

ניסיוני מראה לי שהשאלה – עד כמה תהיו מוכנים להמליץ עלינו היא לא שאלה מיטבית כיוון שיש לקוחות מרוצים שאינם רוצים להמליץ.   ואריאציה על השאלה יכולה להיות – עד כמה אתם מרוצים מהמוצר שירות שלנו, בטווח 1-10.

לקוחות שנותנים ציון 8 ומטה שואלים שאלה שנייה: מה אנו יכולים לשפר כדי ששביעות הרצון שלך מהמוצר/שירות שלנו תהיה ברמה של 9 לפחות.

מדד זה שואל את הלקוחות שאלה אחת אם ענו ציון 9-10 ושאלה נוספת אם ענו ציון 8 ומטה.   מדד זה בעצם מושך משוב שכן ציון 8 הוא לא מספק! אנו לא רוצים רק להיות טובים. אנו רוצים להיות טובים מאד או מצוינים.

מדד זה מאפשר לאסוף מידע מלקוחות בלי הדרמה הגדולה של סקר לקוחות.

אפשר לשאול את השאלה בסיום אבן דרך או שחרור מוצר בלי הדרמה הגדולה של הסקר.

מוזמנים לקרוא בהרחבה על המדד במאמר שקישורו להלן – רוצים לדעת כיצד תבדקו את נאמנות הלקוחות שלכם בצורה קלה ולא מציקה?

שילוב מספר מדדים לראייה הוליסטית:

כדי למדוד ביעילות את שביעות רצון הלקוחות באמצעות נאמנות, עדיף לשלב נתונים ממספר מדדים, כמו המדדים שהוזכרו לעיל וגם לבצע סקרי שביעות רצון לקוחות.

איך אתם מתייחסים לנושא?

עושים סקרים? משתמשים במדד מסוים מתוך הנ"ל? משלבים נתונים? לא עושים כי לא מסתדר?
מצפה לשמוע מיכם

מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת אחת לשבוע מאמר קצר או טיפ בנושא איכות ומצויינות בארגונים.
קישור להצטרפות – כאן

 

חברות רבות שוקלות להיעזר במיקור חוץ כדי להעשיר את היכולות שלהם באמצעות מיקור חוץ שמאפשר גישה לידע ולזמן של מומחים חיצוניים. גישה לידע, כוונה בעיקר לנושאים שדורשים התמחות וניסיון מאד ספציפיים שלארגון אין את ההתמחות הזו, או שאין אנשים שפנויים לביצוע המשימה הספציפית.

עיתות משבר כגון מגפה עולמית או מלחמה העצימו את כמות העבודה מרחוק. היכולת הטכנולוגית הייתה קיימת הרבה לפני תקופת הקורונה, אך נושא עבודה מרחוק לא היה כה פופולארי כמו עכשיו. עבודה מרחוק מאפשרת גישה למומחים חיצוניים לתרום מהידע שלהם ללא קשר למיקומם הגיאוגרפי.

פגישותיי עם מנהלים בארגונים מראות לי שוב ושוב שארגונים מתרגלים לעבוד בצורה מסוימת וחושבים שככה זה בחיים. מתרגלים למציאות מסוימת במקום לתרגל מציאות אחרת. ההחלטות שאותם ארגונים מקבלים הן על סמך העבר שלהם ולא מתבססות על החזון העתידי המיטיב שלהם. לרוב הם לא מכירים מציאות אחרת ולכן מתקשים להיעזר במומחים שיביאו אותם לאותה מציאות אחרת.

משתפת שרוב חיי כשכירה עבדתי בארגון גדול, שכמעט תמיד הסתמך על מקורות פנימיים. כאשר היה נוצר צורך חדש, היו מסבים מישהו שהיה בו פחות צורך בתפקיד קיים לתפקיד החדש. אותו אדם היה משקיע שבועות כדי להתמחות בנושא החדש. למה לא? המשכורת נכנסת כל חודש.. כמו כן יחד עם  הסתמכות על תהליכי חברה טובים, היה חוסר רצון לעשות שינויים בשיטות העבודה הקיימות. הייתי מסתכנת אפילו בשימוש במילים טעונות כמו יוהרה וקונצפציה בקשר למצב הקיים.

כשפרשתי ועברתי לעולם הייעוץ נדהמתי מקצב העבודה, קצב ייצור התוצרים ואיכותם על ידי חברות קטנות בסדרי גודל מהחברה הגדולה והמבוססת שבה עבדתי. כיצד אותן חברות קטנות עשו זאת? על ידי מיקור חוץ לחברות אחרות ואינטגרציה של אותן יכולות ותוצרים לקו המוצרים הייחודי שלהם.

מיקור חוץ במודל BOT

אחת ההתנגדויות למיקור חוץ הוא הרצון לבנות יכולות פנימיים ולא להיות תלויים בגורמי חוץ. גישה זו מובנת ולגיטימית בהחלט.

מציעה לחשוב על מיקור חוץ בשיטה דומה לשיטת BOT – Build-Operate-Transfer. הדמיון ל-BOT הוא בכך שלאחר שהארגון רוכש במיקור חוץ ידע, תהליכי עבודה חדשים ושיטות חדשות, מטמיע אותם יחד עם אנשי הארגון, הארגון יכול להמשיך באופן עצמאי ולעבוד עם יכולות פנימיות אך משודרגות. השדרוג מגיע בעיקר משימוש ביועץ או מנהל במיקור חוץ שחשוף לידע שרוב האנשים בארגון אינם חשופים אליו כיוון שאותם אנשים  טובים מקדישים את כל זמנם ומרצם לביצוע המשימות השוטפות שלהם.

טרנספורמציה במקום אינפורמציה

אני מקבלת באופן תדיר בקשות להדרכות בנושאים הקשורים לתחומי העיסוק של חברת OK יועצים לניהול. אני מסרבת לבקשות האלה, כיוון  שאני לא מאמינה באיסוף ידע לשם ידע. אנו בהחלט מדריכים ארגונים בנושאים הקשורים לעבודה שלנו עימם, כחלק מתהליך ההטמעה. שהרי מה יועיל לארגון אם יקבל הדרכה בנושא ניהול איכות או אבטחת מידע אם אין בארגון תשתית ושת"פ לבצע את מה שלמד?

שלא תבינו אותי לא נכון, אני בהחלט בעד רכישת ידע וקבלת הדרכות. אני עצמי עושה זאת כל הזמן. הנקודה שרציתי להבהיר היא שאיסוף ידע ללא הטמעה שלו תורם מעט מאד וברגע האמת לא יהיה נגיש.

תנועה היא לא בהכרח התקדמות

ידע ושיטות עבודה לא מיטביים גורמים לעבודה חוזרת. יש אווירת עבודה, אך האם יש גם התקדמות למטרה בקצב הרצוי ובאיכות טובה? עובדים בהישרדות כדי לתת מענה לצרכים המיידיים; האם עוצרים רגע לנשום ולוודא שצורת העבודה הנוכחית מיטבה עימנו?

קצת ההתקדמות תלוי בגורמים רבים. אחד מהם הוא שיטות העבודה ואיכות התהליכים.

בלתי אפשרי בו זמנית גם לרוץ לעבר המטרה וגם לשנות תהליכי עבודה תוך כדי תנועה. מיקור חוץ מוסיף וקטור לכיוון המטרה באמצעות עבודה במקביל על תהליכי העבודה ו/או הוספת משאבים זמנית או קבועה.

סיכום והזמנה

שנת 2024 מעבר לפינה.

אנחנו בחברת OK  יועצים מכריזים בזאת על שנת 2024 כשנת מיקור חוץ.

מזמינה ארגונים לפנות אלינו ולבחון כיצד אנו יכולים לעזור. אנו חברת ייעוץ ומיקור חוץ מולטי-דיסציפלינארית ויש לנו יכולות לתרום במגוון תחומים גדול.

מזמינה גם יועצים לפנות אלינו כדי להשתלב בצוות היועצים המולטי-דיסציפלינארי שלנו.

שמה כאן את הטלפון והמייל האישיים. בואו!

אורנה קמין, 0537739018, orna@ok-consulting.co.il

 

מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת אחת לשבוע מאמר קצר או טיפ בנושא איכות ומצויינות בארגונים. קישור להצטרפות – כאן

 

הבנה ומדידה של שביעות רצון הלקוחות היא חיונית ליצירת קשר חם עם הלקוחות ולבניית יחסים ארוכי טווח עימם. במקרים רבים המדידה יכולה לזהות אי שביעות רצון נקודתית של חלק מהלקוחות ולאפשר לחברה לעשות פעילות מתקנת בטרם הלקוח יעזוב למתחרים.

כולנו מכירים היטב את שיטת המדידה הנפוצה ביותר לבדיקת שביעות רצון לקוחות והיא ביצוע סקר ששואל את הלקוחות לגבי מידת שביעות רצונם מהעבודה עם החברה. ביצוע סקרים נתפס במקרים רבים כמטלה הדורשת מאמץ רב שההחזר על ההשקעה במאמץ זה לא גדול במיוחד. הלקוחות חווים את הסקר כפולשני, מפריע להם לעשות את העבודה החביבה עליהם, ולכן שיעורי התגובה נמוכים והמשוב שניתן הוא שטחי ומהיר.

ישנם מספר שיטות ללמוד על מידת שביעות רצון הלקוחות ללא סקר, כגון:

  • מדד נכונות להמלצה – שואל 1-2 שאלות בלבד לגבי מידת הרצון של הלקוח להמליץ על החברה ובהתאם לקבל משוב במקרה שקשה ללקוח להמליץ.
  • מדד נטישת לקוחות – מודד את אחוז הלקוחות שעוזבים יחסית לאלה שנשארים.
  • Customer Score Card
  • ועוד

מאמר זה מציע מדידה נוספת: Customer Lifetime Value (CLV) – מדידת ערך הלקוח עבור החברה לאורך מחזור חיי העבודה עם אותו לקוח. אמנם מדד זה מודד את שביעות רצון הלקוחות באופן עקיף, אך הוא קושר בין שביעות רצון הלקוח לבין מידת הרצון של הלקוח להמשיך לעשות עסקים עם החברה. אין מה להתבייש – המדד קושר בין שביעות רצון הלקוח למידת השווי שלו לחברה.

מהו מדד ערך חיי הלקוח?

מדד ערך חיי לקוח מייצג את הערך הכולל של לקוח לחברה לאורך כל תקופת הקשר עימו. זהו מדד חשוב שעוזר לחברות להבין עד כמה יש ערך לפלחי לקוחות שונים לאורך זמן. בעיקרו של דבר, CLV גבוה יותר מצביע על כך שהלקוחות מרוצים ונאמנים יותר, כיוון שהם ממשיכים להיות בקשר עם החברה ולבצע עסקים עימה.

יתרונות השימוש ב- CLV למדידת שביעות רצון לקוחות:

  • מדידה עקיפה: בניגוד לסקרים, CLV היא דרך לא פולשנית לאמוד את שביעות רצון הלקוחות. המדידה נגזרת הרגלי הרכישה לקוחות והקשר שלהם עם החברה.
  • תרומה לתחזית עסקית: CLV מסייע בחיזוי ההתנהגות העתידית של הלקוחות. לקוחות מרוצים נוטים להיות בקשר מתמשך עם החברה ולרכוש ממנה.
  • הקצאת משאבים ממוקדת ללקוחות שתורמים תרומה משמעותית לחברה: הבנת CLV מאפשרת לחברות להקצות משאבים בצורה יעילה יותר, תוך מיקוד ללקוחות בעלי ערך גבוה שתרומתם לחברה גדולה יותר. כלומר: מדד זה גורם לחברות להבין "איפה החמאה מרוחה" ולדאוג קודם כל לשביעות רצון הלקוחות שהכי תורמים לחברה.

חסרונות של שימוש ב-CLV

  • חישוב מורכב: קביעת CLV עלולה להיות מורכבת, ודורשת נתונים מפורטים על ערך סך הרכישות של הלקוחות לאורך זמן. כיום קושי זה הינו לא רב לחברות שיש להן מידע דיגיטלי זמין במערכות ניהול המידע של הארגון.
  • משוב מושהה: CLV הוא מדד לטווח ארוך. שינויים פתאומיים ברמות שביעות רצון הלקוחות יכולים להתפספס בזמן אמת. בסוגריים: גם סקר שמבוצע פעם בשנה או יותר עלול לפספס שביעות רצון לקוח שמשתנה לרעה.

כיצד למדוד CLV ?

מדידת CLV כוללת את שלבי העבודה הבאים:

  1. איסוף נתונים: אסוף נתונים על היסטוריית רכישות של כל לקוח ולקוח
  2. חישוב נוסחת CLV : CLV = (ערך רכישה ממוצע) × (מספר עסקאות) × (אורך חיים ממוצע של לקוח).
  3. ניתוח : שימוש בנתוני CLV כדי לזהות מגמות, ולהתאים אסטרטגיות לשיפור שביעות הרצון והנאמנות של הלקוחות.

הרחבת מדד CLV

להלן רעיון שלי להרחבת ערך המדד. לא תמצאו את התוספת בספרות המקצועית. ההרחבה היא – להוסיף ל-CLV של לקוח מסויים את ה-CLV של הלקוחות שאותו לקוח הביא לחברה באמצעות המלצה או הפנייה.

סיכום, הזמנה 

CLV הוא מדד חשוב למדידת ערך הלקוחות ללא סקר ולמיקוד הקשב ללקוחות עם ה-CLV הגבוה.  

מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת אחת לשבוע מאמר קצר או טיפ בנושא איכות ומצויינות בארגונים. קישור להצטרפות – כאן

 

 

אתחיל במשל –
תהליך הוא כמו צינור שמורכב משלבים: מזרימים מים בצד אחד של הצינור, המים עוברים תהליך במקטעי הצינור ואמורים לצאת בצד השני של הצינור. מה קורה כאשר בצינור יש חורים או שהחיבורים בין המקטעים לא מחוברים טוב? חלק מהמים נשפכים החוצה.
מה עושים? עוצרים ומתקנים את הדליפות ומזרימים שוב מים נוספים. התוצאה היא שחלק מהמים לא מגיעים לסוף הדרך, ואלה שמגיעים – מגיעים "באיחור" כיוון שיש צורך לתקן ולאסוף את מה שזלג מהצינור.

הנמשל – תהליך סדרתי מורכב משלבים. בכל שלב יש תוצרי ביניים. כדי להגיע לסוף הדרך במועד ובתקציב שנקבעו, צריך להבטיח את איכות התהליך (הצינור) ואיכות התוצרים שבדרך  ולהקפיד על השלמתם בזמן. מטרת מאמר אינה להסביר את שלבי התהליך מקצה לקצה, אלא להמחיש חלק מהזליגות בתהליך ולהציע דרכי התמודדות עימם. מסתבר שהסיבות לתקלות חוזרות על עצמן וכן דרכי ההתמודדות עימן בארגונים שונים דומים, למרות שכל ארגון סבור שהוא משהו מיוחד. התהליך,התקלות בתהליך ודרכי ההתמודדות הם רק דוגמיות מהאתגרים שבדרך.

מטרתנו לבנות תהליך מיטבי שמבטיח מעבר תקין של תוצרי ביניים בין השלבים, מזהה את הזליגות ככל האפשר למועד היווצרותן, ומתקן את התקלות כך שהמוצר יגיע לסוף הדרך באיכות, בזמן ובתקציב שנקבעו. ישנם ארגונים שמפתחים ו/או מייצרים מוצרים דומים בתהליך ארגוני יציב ולמרות זאת הזליגות בתהליך חוזרות על עצמן שוב ושוב. במקרים אלה כנראה צריך לעשות תיקון שורש ולתקן את התהליכים שיוצרים את הקלקולים. כלומר: לבצע תחזוקה מונעת תמידית על ידי השקעה בתהליכים שמקטינים או מונעים את הזליגות בתהליך.

אמחיש את הנאמר בצורה פשטנית מאד של שלבי פיתוח של מוצרים ושירותים. לא כאן המקום לתאר בפרטים את השלבים, אלא להמחיש את דרך הבקרה על זרימה מיטבית של התהליך בין השלבים, וכן לציין בעיות שכיחות בכל שלב ואת דרכי ההתמודדות עימם. הבעיות הנזכרות כמו גם דרכי ההתמודדות הן רק קצה הקרחון מהבעיות המגוונות שקורות. מטרת המאמר להמחיש כיצד תהליך שמוגדר היטב יכול להועיל במהלך שלבי הפרויקט.

שלב ייזום ותכנון

תוצר: הגדרה של היקף ומטרות הפרויקט.
תקלות נפוצות: יעדים לא ברורים, הקצאת משאבים לא מספקת, חוסר סנכרון בין בעלי העניין.
דרכי התמודדות להצלחה: מתודולוגיה ארגונית שתומכת בהצלחה על ידי הגדרת צ'רטר לפרויקט כולל יעדים מפורטים, הכנת תוכנית מפורטת הכוללת לו"ז ומשאבים כנדרש, זיהוי בעלי העניין בפרויקט וסנכרונם באמצעות ישיבת התנעץ פרויקט.

שלב תכן ופיתוח

תוצר: תוכנית פרויקט מפורטת ומסמכי תכן.
תקלות נפוצות: היקף פרויקט שלא נסגר ומתפתח עם הזמן, תקשורת שגויה בין צוותים, ואילוצים טכנולוגיים.
דרכי התמודדות להצלחה: מתודולוגיה ארגונית שתומכת בהצלחה על ידי הגדרת תבניות לתוצרים, הגדרת תהליכים לניהול דרישות ושינויים, סקירות והקפדה על עבודה לפי תבניות התוצרים, הקפדה על אבני הדרך בפרויקט. שימוש בכלים כמו תוכנות שיתוף תוצרים וקיום פגישות צוות לסנכרון. אילוצים טכנולוגים נבחנים באמצעות בנייה של אבני טיפוס.

עבודה לפי תבניות אינה משהו בירוקרטי. נזכור שתבניות מכילות בתוכן את התהליך המיטבי שהארגון בנה לעצמו כדי לבצע את הנדרש בצורה איכותית ובזמן. הפקת לקחים טובה נמדדת בכך שהלקחים מוכנסים לתוך התבניות, כך שבפעם הבאה תיקון התהליך ייושם.

שלב היישום

תוצרים: מערכות תפעוליות, תהליכים או מוצרים.
תקלות נפוצות: בעיות אינטגרציה, התנגדות לשינויים ותקלות טכניות.
דרכי התמודדות להצלחה: תהליכי פיתוח, אינטגרציה ובדיקות בסבבים שמוודאים מוקדם שהמוצר, המערכת או התהליך עומדים במפרטים ודרישות המשתמש שהוגדרו מראש. יישום תהליך אבטחת איכות, סקירות וישיבות צוות לסקירה, ניהול שינויים וסנכרון. כל אלה מסייעים בזיהוי מוקדם של תקלות טכניות וניהוליות מוקדם ככל האפשר.

ניטור ובקרה

זהו תהליך שיפור מתמשך של איכות המערכות, המוצרים והשירותים שמבצע במהלך כל שלבי הפרויקט.
תקלות נפוצות: כלים ואמצעי בקרה לא מעודכנים, היעדר משוב בזמן לעוסקים במלאכה, דילוג על שלבי בדיקות כדי להספיק לעמוד באבני הדרך שנקבעו,
דרכי התמודדות להצלחה: מיסוד תהליכים ויישום כלי ניטור חזקים, בדיקות איכות קבועות ויכולת לשלב משוב לשיפור מתמיד באמצעות ישיבות סטטוס וישיבות צוות.

סגירה והפקת לקחים

תוצרים: דוח סיום הפרויקט והפקת לקחים.
תקלות נפוצות: חורים במעגל השיפור המתמיד. תהליך הפקת לקחים שלא מתבצע או שמתבצע בצורה חלקית, לקחים לא מיושמים בפרויקטים הבאים.
דרכי התמודדות להצלחה: עבודה לפי תהליך שמקפיד על סגירת הפרויקט על כל מסמכיו, פגישה להפקת לקחים בסוף הפרויקט עם כל בעלי העניין הרלוונטיים כדי שהלקחים בפרויקטים הבאים יישומו, מומלץ ביותר לתקן את התהליכים והממשקים שיצרו את התקלות.

סיכום

כדי להבטיח את זרימת התהליך מקצה לקצה, יש להבטיח את איכות הצינור, כלומר: עבודה בתהליך מיטבי ומותאם לארגון, יחד עם בקרה על דליפות בתהליך, כלומר: מדידת איכות התוצרים בדרך, והקפדה על עבודה לפי התהליך הארגוני. נזכור שגם אם רוב התהליך מוקפד ואיכותי, מספיק שיש נקודה אחת לא מתפקדת שגורמת לכל התהליך לאחר או להיות לא איכותי, או במשל הצינור: חור בצינור איכותי ומוברג היטב יכול לפגוע קשות בכל הפעילות.

הנטייה הטבעית של המפתחים היא לרוץ קדימה הכי מהר שאפשר כדי להגיע ראשונים לקו הסיום. לכן ארגונים ממסדים תהליכי בקרה ושיפור שמבוצעים כחלק מניהול הפרויקט תוך סיוע מאנשי ומנהלי איכות שתומכים בתהליך.

מטרת אנשי האיכות והתהליכים היא להגדיר מראש תהליך מיטבי ולקבוע נקודות בקרה ומדדים בדרך כדי לוודא התקדמות בקצב ובאיכות הנכונים.

איך אתם מתמודדים עם תהליכים לא מיטביים שגורמים לתוצרים לזלוג בדרך? מה האמצעים שאתם נוקטים בהם כדי להבטיח את הצלחה? ספרו לנו.

 CISO as a Service הינו שירות המסייע לגשר על הפער שחשים ארגונים קטנים ובינוניים, אשר מכירים בחשיבות של ניהול אבטחת מידע וסייבר בצורה שוטפת ומקצועית אך הם לא יכולים להצדיק את עלות העסקת מנהל אבטחת מידע ייעודי.  CISO כשירות מאפשר לכל ארגון גישה למומחיות אבטחה ברמה גבוהה ללא תקורה של העסקת מנהל אבטחת מידע וסייבר במשרה מלאה.

הגדרה מורחבת

  • CISO as a Service הוא מודל גמיש וניתן להרחבה שבו מומחה לאבטחת מידע וסייבר מספק הובלה מקצועית, יישום והדרכה שבארגונים גדולים ניתנים על ידי אדם או צוות במשרה מלאה שעוסקים בתחום.
  • זהו מודל שירות במיקור חוץ, עם כל היתרונות של שירות מקצועי במיקור חוץ: מאפשר לארגון להנות מרמה מקצועית של מומחה שמקצועו הוא אבטחת מידע וסייבר אך בצורה מותאמת וחסכונית.

עיקרי השירות

להלן עיקרי תכולת תפקיד מנהל CISO כשירות:

  • תכנון אסטרטגי: השירות כולל פיתוח ותחזוקה של אסטרטגיית אבטחת סייבר מקיפה המותאמת למטרות הארגון ופרופיל הסיכונים.
  • ניהול סיכונים: ביצוע הערכות סיכונים שוטפות, זיהוי נקודות תורפה והצעת צעדים למניעת הסיכונים או לפחות להפחתם כדי  להקטין נזקים מהתממשות תרחישים שליליים.
  • פיתוח ועדכון מדיניות ונהלים: יצירה ועדכון של מדיניות אבטחה, תוך ווידוא שהם עומדים בדרישות תקינה ורגולציה.
  • תגובה לאירועים: תכנון וניהול תגובות לאירועי אבטחת סייבר, מזעור נזקים וזמן התאוששות.
  • מודעות והדרכה: הדרכות תקופתיות בנושאים הקשורים לאבטחת מידע, טיפוח תרבות של מודעות לאבטחת סייבר.
  • ייעוץ טכנולוגי: ייעוץ בבחירה והטמעה של טכנולוגיות אבטחה ובקרה על הטמעתן בצורה יעילה.

יתרונות שימוש ב-CISO כשירות

להלן עיקרי היתרונות של שכירת CISO כשירות:

  • חיסכון בעלויות: חסכוני יותר מהעסקת מנהל אבטחת מידע במשרה מלאה. אידיאלי עבור ארגונים קטנים ובינוניים (SMEs).
  • גישת הכול או לא כלום: ארגונים רבים דוחים או מונעים מעצמם טיפול במערכת אבטחת מידע שלהם כיוון שאין לאנשי אבטחת המידע פניות או ידע לטפל בנושאים הקשורים לנושא.
  • מומחיות וניסיון: אי התפשרות על רמה מקצועית גבוהה, למרות השקעה נמוכה יחסית. מומחה CISO במיקור חוץ מביא עימו ניסיון רב מעבודה בארגונים מגוונים, ואף ניסיון מחשיפה לאירועי אבטחת מידע וידע נרכש מהתמודדות עימם.
  • גמישות: ניתן להגדיל או להקטין את השירותים בהתבסס על צרכי הארגון וצמיחתו, או מאירועים זמניים כגון דרישות של לקוחות להוכחת הטמעת מודלים או תקנים של אבטחת מידע.
  • אורח לרגע רואה כל פגע: לאדם שמגיע לארגון למספר מוקצב של ימים או שעות בחודש נקודת מבט חיצונית שיכולה לספק תובנות שונות מקונצפציות אבטחת המידע בארגון.
  • יישום מהיר: מומחה CISO משתלב מיידית בארגון; חוסך הכשרות של אנשים מתוך הארגון בנושאים החדשנים והחדשניים בתחום.

למי מתאים CISO כשירות?

CISO  כשירות מתאים לחברות הבאות:

  • חברות קטנות ובינוניות עם תקציב מוגבל לאבטחת מידע וסייבר.
  • ארגונים בתקופות מעבר, כגון אלו שחווים צמיחה מהירה או להבדיל אלה שחווים הצטמצמות ונדרשת להם התאמה בין הצרכים לצוות התמיכה.
  • חברות במגזרים עם דרישות רגולציה מחמירות (כגון תעשיות רכב) אך חסרות מומחיות פנימית להתמודד עם הדרישות המורכבות של התקנים.
  • כל ארגון שצריך לשפר את יכולות אבטחת הסייבר שלו אבל לא מוכן להתחייב ל-CISO במשרה מלאה.

למי לא מתאים מודל CISO כשירות?

מהפסקה הקודמת ניתן להבין שארגונים שיש להם אנשי אבטחת מידע שיודעים להתמודד עם אתגרי אבטחת מידע וסייבר של הארגון שלהם.

מה בקשר בין סקר סיכונים טכנולוגי תשתיתי לCISO כשירות?

מבדק חדירה / Penetration Test / PT / מבדק חוסן הוא מבדק שמדמה תקיפה על מערכות המידע והמיחשוב של הארגון במטרה לאתר פרצות וסיכונים. בסיום המבדק הארגון מקבל דו"ח המסכם את הממצאים והסיכונים שאותרו כדי שהארגון יכין תכנית פעולה על מנת לסגור את הפרצות ולהקטין את סיכוני הכשל הנגרמים מאבטחת מידע לקויה.

ארגונים רבים מבצעים סקר סיכונים ומבדקי חדירה לפני הטמעת שירות CISO במיקור חוץ מהטעמים הבאים:

  • זיהוי נקודות תורפה: מבחני חדירה חושפים נקודות תורפה במערכות, רשתות ויישומים. הדו"ח המסכם זה עוזר ל-CISO להכין תכנית עבודה ותקציבים כדי לסגור את הפרצות שזוהו.
  • אימות אמצעי אבטחה: מבחני חדירה מאפשרים לאמת את האפקטיביות של אמצעי האבטחה והבקרות הנוכחיים.
  • ניהול סיכונים: תהליך ניהול סיכונים שמתבסס על דו"ח מבדק חדירה מאפשר לתעדף נקודות חשיפה קריטיות.
  • הדרכה: מבחני חדירה לרוב חושפים כיצד פעולות אנושיות יכולות להוביל לפרצות אבטחה. חשיפה זו מסייעת ל-CISO לחדד נהלים, לחנך ולהכשיר את הצוות לגבי מודעות לאבטחת מידע וסייבר.
  • שיפור מתמיד: בדיקות חדירה קבועות, כחלק מ-CISO as a Service, מבטיחות שיפור מתמיד באבטחת המידע בארגון. מגביר את המוכנות לאיומים חדשים ולסביבות עסקיות משתנות.

שילוב בדיקות חדירה יחד עם CISO as a Service תורם באופן משמעותי לחוסן ולאבטחה של תשתית ה-IT של הארגון.

סיכום והזמנה

איומי הסייבר גדלים ככל שעובר הזמן. לחברות שאין להם ארגון IT חזק, CISO כשירות הוא בהחלט הכרח ולא מותרות. מוזמנים לפנות אלינו כדי לקבל הצעה ש-CISO כשירות ובכך תקנו שירותי אבטחת מידע וסייבר ברמה מקצועית גבוהה ובעלויות הוגנות.

מזמינה אותך להצטרף לקבוצת WhatsApp שקטה שבה אני משתפת תקופתית מאמר קצר או טיפ בנושאים הקשורים לאבטחת מידע, אבטחת הפרטיות, מבדקי חדירה, המשכיות עסקית, רגולציות בתחום ועוד. קישור להצטרפות – כאן

 

מתי מתאים לארגון לשקול להסתייע במיקור חוץ?
תשובה קצרה: כאשר גוברים האינדיקטורים שמעידים על תפקוד לא מיטבי, יחד עם חוסר באנשי מקצוע בתוך הארגון המתאימים או פנויים לטיפול נושא בתוך הארגון.

המאמר שלהן מפרט את אותם אינדיקטורים המעידים על תפקוד לא מיטבי של הארגון. גורמים אלה יכולים לעורר התחלה של תהליך לבחירת יועץ או להסתייע בשירות של מיקור חוץ לצורך מיקוד בשיפור אותם נושאים.
מספיק גורם אחד מהרשימה שלהלן כדי לשקול להכניס מומחה שיש לו את הכלים, הכישורים והזמינות לטפל בכך.
אציין שמומחה חיצוני הוא לא קוסם, אך הבאתו מאפשרת פוקוס ניהולי וביצועי על נושאים הדורשים שיפור, לעומת חוסר תשומת לב נדרשת על ידי גורמי פנים, עקב עיסוקם בנושאים השוטפים. 

אי עמידה בהתחייבויות

 מספר אינדיקטורים לאי עמידה בהתחייבויות:

  • איחורים בלו"ז של אספקת מוצר או שירות
  • שינויים בתכולת האספקה המובטחת ברגע האחרון
  • גלישה בתקציב

אי עמידה בהתחייבויות גורמת לפגיעה קשה במוניטין החברה ובאמון לקוחותיה. כדי להקטין את הפגיעה כדאי לשקול להוסיף מומחה או יועץ שיתמקד בשיפור תהליכי העבודה במקביל לצוותים שמתמקדים בעבודה עצמה.

שביעות רצון נמוכה של הלקוחות

מספר אינדיקטורים לשביעות רצון נמוכה של הלקוחות:

  • תלונות
  • נטישה
  • נתק או אי הבנות בתקשורת 

מגמת ירידה ברמת שביעות רצון הלקוחות היא קריאה דחופה לפעולה. הנטייה של העוסקים במלאכה היא לטפל בבעיות ולהמשיך במרוץ המטורף בתקווה שבהמשך יהיה יותר טוב. זה הזמן לשקול הוספת מנהל במיקור חוץ או יועץ שהמיקוד שלו הוא בחקר ותיקון סיבות השורש לאי שביעות הרצון היורדת ולא רק לשים פלסטר מהיר לעצירת הדימום.

ניהול לא אופטימאלי

מספר אינדיקטורים לניהול לא אופטימלי:

  • אין יכולת למנהלים לדעת מה קורה; כל הזמן הפתעות לרעה
  • חוסר תיאום בין מחלקות; ממשקים לא מוגדרים היטב
  • אי בהירות בהגדרת תפקידים ו/או מעורבות בעלי עניין

אינדיקטורים כאלה במקרים רבים גורמים למתח רב בין המנהלים והעובדים, ובין עמיתים לעבודה. לרוב, לעוסקים במלאכה אין את היכולת לעצור ולהסתכל במבט-על על המתרחש. אדם מבחוץ שמצטרף עם ראייה רעננה ואובייקטיבית יכול לתרום מניסיונו לתיקון משמעותי של תהליכי העבודה.

תהליכים לא מיטביים

מספר אינדיקטורים לתהליכים שמתנהלים בצורה לא מטיבה:

  • תהליכים לא מוגדרים היטב; ישיבות לא יעילות
  • תוצרי התהליכים נפסלים בבדיקות או במבדקים
  • זמני המתנה ארוכים במעבר בין שלבים;
  • פעילויות מיותרות במהלך השלבים

אינדיקטורים כמו אלה שצוינו, מעידים על חריקות בתהליכי העבודה הקיימים. "אורח לרגע שרואה כל פגע" ובנוסף, כזה שעתותיו בידו, יכול לטייב את התהליכים, ובעקבות כך – את התוצאות.

בעיות איכות

אינדיקטורים של בעיות איכות בהכרח משפיעות על התוצאות העסקיות. יש המתעלמים מביצועי איכות ירודים. מי שלא מרוצה מהתוצאות העסקיות, מוזמן להתכבד ולבדוק את האינדיקטורים של האיכות. למשל:

  • מחזורי עבודה נוספים לשם תיקונים
  • במוצרים או השירות חסר חלק מהתכולה המתוכננת
  • ריבוי תלונות לקוח לאחר האספקה

אם בעיות איכות חוזרות ונשנות נמשכות למרות המאמצים הפנימיים לטפל בהן, זהו איתות ברור שנדרשת מומחיות חיצונית. מומחה חיצוני יכול לעבוד על פיתרון סיבות השורש מהיסוד. זאת מומחיותו, ולשם כך מביאים אתו.

מצב רוח ירוד של העובדים

האינדיקטורים שלהלן מעידים על ירידה במצב רוח העובדים.

  • תסכול, שחיקה,
  • עבודה מסביב לשעון
  • אין תחושה שיש יד מכוונת/מנהלת

מה קשור מצב רוח של עובדים למאמר הזה? מסתבר שגם מצב הרוח קשור. כאשר העובדים נקראים לדגל כדי לכבות שריפות, נדרשים לעבוד מסביב לשעון כדי לכפר על תהליכי עבודה לא מיטביים, הם נשחקים ומתעייפים. שחיקה ועייפות גורמת לעבודה לא מיטבית והמעגל מסתובב ומתעצם.

ספקים לא מרוצים

יועצים או עובדים במיקור חוץ, נחשבים ספקים של הארגון. יכולה להיות להם השפעה מכרעת על תהליכי החברה וביצועיה.

מניסיוני הקט, כספק של ארגונים בתחום ייעוץ ומיקור חוץ, יכולה להעיד על קשר ישיר בין היחס של הארגון לספקים שלו לבין ביצועי הארגון. לא טוענת שזה מה שמשפיע על הביצועים, אך האינדיקטורים של שביעות רצון נמוכה של הספקים מעידים על התנהלות בעייתית בתחום הרכש וכן מעידים על התנהלות לא הוגנת, שחייבת להתבטא גם בנושאים אחרים.

מספר אינדיקטורים:

  • יחסים לא הוגנים בין הארגון לספקיו, או במילים קצת פחות תקינות פוליטית – לא משלמים בזמן או במקרים קיצוניים לא משלמים כלל
  • עבודה לא מיטבית עם ספקים – דרישות וציפיות לא מוגדרות היטב יכולות להביא לביצועים לא טובים של תוצרי הספקים.

מסםר מילים לסיכום

כאשר האינדיקטורים שמעידים על תפקוד לא מיטבי גוברים,  זה הזמן להיעזר בגורם חיצוני: ייעוץ או מיקור חוץ. מספיק גורם אחד מהרשימה שלעיל כדי לשקול להכניס מומחה שיש לו את הכלים, הכישורים והזמינות לטפל בכך. אציין שמומחה חיצוני הוא לא קוסם, אך הבאתו מאפשרת פוקוס ניהולי וביצועי על הנושאים שמעידים על תפקוד לא מיטבי עקב תשומת לב שונה של אנשי החברה.

מה קורה אתכם? 
האם אתם שוקלים להסתייע במיקור חוץ? 
אם כן – מתי? וכיצד אתם מחליטים?

מצפה לתשובותיכם.

מזמינה אותך לקחת ליצור איתי קשר ישיר, 0537739018, כדי לבדוק ביחד היכן וכיצד ללתת מענה לצרכים שלכם בנושא ייעוץ או מיקור חוץ. יש לנו סל פתרונות מגוון שמאפשר לנו לתפור לכם פתרון שמתאים כמו כפפה ליד.

 

להרשמה השאירו פרטים

    x