לוגו מדינת ישראל
ספריית הפרסומים משרד מבקר המדינה ונציבות תלונות הציבור
facebook linkedin telegram instagram tiktok threads

בניית תכניות להמשכיות עסקית של המערכת הפיננסית באירועי חירום

הדוח המלא /sites/DigitalLibrary/Documents/64a/2013-64a-103-Hemsech.docx /sites/DigitalLibrary/Documents/64a/2013-64a-103-Hemsech.pdf
הגעת לתוכן כרטיסייה על מנת להמשיך בנייוט דלג עם החיצים למטה ולמעלה
מסגרת פרסום:
תאריך הפרסום:
סוג הפרסום:
רשות ייעודית פיננסית-בנקאית

תקציר

​תכנית להמשכיות עסקית נועדה להבטיח טיפול יעיל ואקטיבי של הנהלת הארגון בעת התרחשות של אירוע חירום, בהשבת הארגון לפעולה בדרך שגרה, הבטחת המשכיותו ושרידותו של הארגון, הגנה על נכסיו החשובים, שליטה של הנהלת הארגון על סיכונים וחשיפות וקידום צעדים המונעים את מימושם של חלק מאירועי החירום.

פעולות הביקורת

בחודשים ינואר-דצמבר 2012 בדק משרד מבקר המדינה, לסירוגין, את בניית התכניות להמשכיות עסקית בשעת אירועי חירום בבנק ישראל, במשרד האוצר וברשות ניירות ערך (להלן - רשות ני"ע). כן נבדק הפיקוח על בניית תכניות להמשכיות עסקית בגופים שבהנחיית הפיקוח על הבנקים בבנק ישראל, אגף שוק ההון, ביטוח וחיסכון (להלן - אגף שוק ההון) במשרד האוצר ורשות ני"ע. בדיקות השלמה נעשו במשרד להגנת העורף, במשרד לביטחון הפנים, במשרד הכלכלה, במשרד ראש הממשלה ובבורסה לניירות ערך.

עיקרי הממצאים

1. בין הממונה על שוק ההון ובין הרשות הייעודית לשעת חירום במשרד האוצר אין חלוקה סדורה וברורה של תחומי האחריות לטיפול בהמשכיות העסקית של הגופים המוסדיים. בדומה לכך, בין הרשות הייעודית במשרד האוצר ובין רשות ני"ע אין חלוקה סדורה וברורה של תחומי האחריות לטיפול בהמשכיות עסקית בבורסה לניירות ערך.

2. אגף שוק ההון ורשות ני"ע דרשו מהגופים שהם מנחים לבנות תכנית להמשכיות עסקית, אך לא העמידו לרשותם את אבני הבסיס והכלים הנדרשים לשם בנייתה והפעלתה, כגון מידע רלוונטי מתוך תרחיש הייחוס הלאומי, מידע בדבר תעדוף תשתיות חיוניות בשעת חירום ומנגנון יעיל להבטחת יכולתם של ספקים חיוניים לספק לאותם גופים שירות שנדרש במצבי חירום. הפיקוח על הבנקים בבנק ישראל פעל בעניין זה אך לא באופן שלם.

3. רשות החירום הלאומית (להלן - רח"ל) לא וידאה כי המידע הרלוונטי לצורך הכנת תכניות להמשכיות עסקית, הנכלל בתרחישי הייחוס הלאומיים, יובא גם לידיעת גופים שבאחריותן של הרשויות הייעודיות.

4. פעולות משרד האוצר בתחום ההמשכיות העסקית נעשו ללא שיטה סדורה ומתודולוגיה לבניית תכנית להמשכיות עסקית, והנהלת המשרד לא הייתה מעורבת די הצורך בקביעת המטרות, היעדים ואבני הדרך להשגתם. בניגוד לנדרש לפי המתודולוגיות והתקנים בתחום, תחילה נכתבו נהלים, לאחר מכן נקבעו יעדי השירות ורמתם, ורק לאחר מכן הוכנו תרחישי ייחוס.

5. כמה אגפים של משרד האוצר פעלו בחלק מהנושאים הנוגעים להכנת תכנית להמשכיות עסקית בנפרד ובמקביל להיערכות הרשות הייעודית לשעת חירום במשרד האוצר, ובנו תרחישי ייחוס עצמאיים, השונים לעתים מתרחישי הייחוס של אגף החירום והביטחון במשרד, ושלא על פי ההנחיה שהפיץ אגף זה.

6. בנק ישראל, משרד האוצר ורשות ני"ע לא דאגו (כל אחד כשלעצמו) לביצוע עבודת מטה העוסקת בעת ובעונה אחת בכל סוגי האיומים האפשריים על הארגון. זאת ועוד, אף שיש זיקה בין הנזקים שסיכונים ממקורות שונים עלולים לגרום, לא גובשה תמונת סיכונים מלאה כדי לאפשר הכנת תכניות מלאות להמשכיות עסקית ונקיטת אמצעים יעילים להפחתת הסיכונים.

7. בנק ישראל לא ביצע ניתוח של הנזק העלול להיגרם עקב השבתת פעילויות קריטיות, לפרקי זמן שונים; אגף החירום והביטחון במשרד האוצר הפיץ לאגפי המשרד הנחיה שאינה עוסקת בקביעת יעדי התאוששות; ורשות ני"ע לא קבעה אף היא יעדי התאוששות.

8. תרחיש הייחוס שהכין משרד האוצר עוסק אך ורק במתאר מלחמה ואינו עוסק בסיכונים אחרים כגון רעידות אדמה, מתקפות מקוונות, פיגועי טרור, הצפות, שיטפונות והפסקת שירות של ספקי תשתיות חיוניות. כמו כן לא הוכן תרחיש ייחוס ענפי, העוסק במכלול הגופים בשוק ההון שהרשות הייעודית במשרד האוצר אחראית להיערכותם לפי החלטת ועדת מל"ח (משק לשעת חירום) העליונה.

9. חלק מההנחיות של אגף שוק ההון ורשות ני"ע לגופים המונחים בתחום ההמשכיות העסקית מבטאות אסדרה המבוססת על עקרונות, המותירה שיקול דעת רחב בידי הגוף המונחה ואינה קובעת כללים מפורטים בדבר דרישות מזעריות. לדעת משרד מבקר המדינה קביעת דרישות מזעריות היא חיונית לשם הגנה על אזרחים הנזקקים לשירותי הגופים הפיננסיים בשעת חירום.

10. הכנת תכניות החירום, קביעת הנהלים והפעילות שביצעה רשות ני"ע בתחום ההמשכיות העסקית נעשו בלי להישען על תרחישי ייחוס.

11. במשרד האוצר, ברשות ני"ע ובבנק ישראל לא נקבעה שיטה שלפיה יוגדרו יעדי ההתאוששות ורמות השירות הנדרשות מהגופים האחראים להפעלת מערכות המידע בשעת חירום, על סמך ניתוח התשתיות הטכנולוגיות שיידרשו בשעת חירום.

12. הוראות תקנון כספים ומשק (תכ"ם) של החשב הכללי במשרד האוצר בעניין ניהול סיכונים תפעוליים במשרדי הממשלה מאפשרות, אך אינן מחייבות, לשלב בתהליך ניהול הסיכונים גם ניהול סיכונים אסטרטגיים למשרד. לא נמצא כי היה שיתוף פעולה כלשהו בין אגף החשב הכללי לרח"ל קודם פרסום הוראות אלו, ולא נמצא כי משרד האוצר בחן את האפשרות להטמיע במשרד תהליך של ניהול סיכונים כולל.

סיכום והמלצות

הממצאים שהועלו בדוח זה על התנהלות משרד האוצר, בנק ישראל והרשות לני"ע מעידים על ליקויים, בהיקף ובדרגות חומרה שונים בכל גוף, בתהליך הבנייה של תכניות להמשכיות עסקית ובחלוקת האחריות לפיקוח על מוכנותם של גופי המערכת הפיננסית למצבי חירום. ליקויים אלה עלולים לפגוע ביכולתם של הגופים להתמודד עם אירועי חירום משמעותיים. נוסף על כך, בכל הביקורות שעשה אגף שוק ההון בגופים המונחים על ידו נמצאו ליקויים בהיערכותם לשעת חירום. לצורך ההיערכות למצבי חירום במערכת הפיננסית יש להגדיר בבהירות את סמכותם ואחריותם של הגופים השונים. קביעת מתודולוגיה לבניית תכניות להמשכיות עסקית ותהליך עבודה סדור הם תנאים חיוניים להפחתת אי-הוודאות הניכרת הכרוכה בתחום ההיערכות לאירועי חירום, הן כדי להגן על המידע הרב שבמאגרי המידע הנשמר בידי הגופים הפיננסיים, והן כדי לאפשר לגופים אלו להמשיך ולספק שירותים חיוניים לאזרחים בשעת חירום.