Posts in category: TS

Γράφει ο Συμεών Καλαματιανός, Διευθυντής – Επικεφαλής Υπηρεσιών Τεχνολογίας και Ψηφιακής Διασφάλισης, ΣΟΛ Crowe Συμβουλευτική

Σε μια εποχή που χαρακτηρίζεται από τον επιταχυνόμενο ψηφιακό μετασχηματισμό των οικονομιών, αλλά και τη δυναμική είσοδο της Τεχνητής Νοημοσύνης στο προσκήνιο, η «ψηφιακή επιχειρησιακή ανθεκτικότητα» αποτελεί μια από τις κορυφαίες προκλήσεις που αντιμετωπίζουν οι διοικήσεις των επιχειρήσεων παγκοσμίως, μαζί, φυσικά, με αυτή της βιώσιμης ανάπτυξης.

Η Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (Digital Operational Resilience) δεν εξαντλείται στην Κυβερνοασφάλεια αλλά αποτυπώνει τη συνολική ικανότητα ενός οργανισμού να διατηρεί απρόσκοπτα τις βασικές του λειτουργίες παρά τις απειλές που υφίσταται σε σχέση με τη διακοπή ή τη διαταραχή της ομαλής λειτουργίας των ψηφιακών του συστημάτων, των διαδικασιών/ διεργασιών ή υποδομών του οι οποίες βασίζονται σε ΤΠΕ (Digital Risk).

Εστιάζει λοιπόν στην προστασία των Ψηφιακών Τεχνολογιών της επιχείρησης, μέσω της οποίας εξασφαλίζεται η ανθεκτικότητα των υποδομών ΤΠΕ, των δικτύων, των εφαρμογών ΤΠΕ και των δεδομένων στις διάφορες ψηφιακές απειλές όπως κυβερνοεπιθέσεις, αστοχίες συστημάτων, φυσικές καταστροφές και ανθρώπινα λάθη, λαμβάνοντας τα κατάλληλα προληπτικά και διορθωτικά/ κατασταλτικά μέτρα.

Η αντίστροφη μέτρηση για τη συμμόρφωση των επιχειρήσεων με το νέο Ρυθμιστικό Πλαίσιο της Ευρωπαϊκής Ένωσης για την ψηφιακή επιχειρησιακή ανθεκτικότητα έχει ήδη ξεκινήσει. Η θέσπιση των παρακάτω δύο νομοθετικών πράξεων επιφέρει αρκετές νέες και σημαντικές υποχρεώσεις για τις επιχειρήσεις:

• Ο κανονισμός (ΕΕ) 2022/2554 για την ψηφιακή ανθεκτικότητα του χρηματοπιστωτικού τομέα, γνωστός και ως DORA (Digital Operational Resilience Act) και
• Η οδηγία (ΕΕ) 2022/2555 NIS2 (Network Information Security 2) για την προστασία της ασφάλειας και τη θωράκιση της λειτουργίας των εταιρειών που παρέχουν υπηρεσίες κρίσιμων υποδομών.

Κανονισμός Digital Operational Resilience Act (DORA)

Ο νέος Κανονισμός DORA αποσκοπεί στη θωράκιση του τομέα των χρηματοοικονομικών υπηρεσιών (Financial Services) και ως εκ τούτου το πεδίο εφαρμογής του εκτείνεται από τα Πιστωτικά Ιδρύματα, τα ιδρύματα Πληρωμών και τα ιδρύματα ηλεκτρονικού Χρήματος, μέχρι τις οντότητες που συνδέονται με τη λειτουργία Χρηματιστηρίων/ Αγορών Κεφαλαίων, όπως τόπους διαπραγμάτευσης, Κεντρικά Αποθετήρια Τίτλων, Κεντρικοί Αντισυμβαλλόμενοι, επιχειρήσεις επενδύσεων, παρόχους υπηρεσιών κρυπτοστοιχείων και εταιρείες διαχείρισης, όπως επίσης τις ασφαλιστικές εταιρείες, τα ασφαλιστικά ταμεία κλπ.

Ο Κανονισμός περιλαμβάνει επίσης και τους παρόχους υπηρεσιών Τεχνολογιών Πληροφορικής & Επικοινωνιών («ΤΠΕ»), λόγω του υψηλού βαθμού διασυνδεσιμότητας των παραγόντων του χρηματοπιστωτικού συστήματος και της συνεχούς ψηφιοποίησης των υποδομών και των υπηρεσιών τους.

Ο Κανονισμός αποτελεί μία ενιαία νομοθετική πράξη η οποία βελτιώνει το ρυθμιστικό πλαίσιο της Ευρωπαϊκής Ένωσης (ΕΕ) για τη διαχείριση των κινδύνων στο νέο ψηφιακό περιβάλλον για τον χρηματοοικονομικό τομέα. Στο πλαίσιο αυτό, καλύπτει όλες τις συνιστώσες για την ψηφιακή επιχειρησιακή ανθεκτικότητα, συνδυάζοντας, για πρώτη φορά με συνεκτικό τρόπο, όλες τις ισχύουσες διατάξεις που αφορούν στον ψηφιακό κίνδυνο.

Οι κανονιστικές απαιτήσεις βάσει του DORA κατηγοριοποιούνται σε θεματικές ενότητες οι οποίες και αποτελούν τους βασικούς Πυλώνες της Ψηφιακής Επιχειρησιακής Ανθεκτικότητας:

• Διαχείριση κινδύνων ΤΠΕ
• Διαχείριση, ταξινόμηση και αναφορά συμβάντων που σχετίζονται με ΤΠΕ
• Διεξαγωγή δοκιμών ψηφιακής επιχειρησιακής ανθεκτικότητας
• Διαχείριση κινδύνων τρίτων παρόχων ΤΠΕ
• Ρυθμίσεις ανταλλαγής πληροφοριών σχετικά με κυβερνοαπειλές

Οι βασικές παράμετροι για τη λήψη αποφάσεων από τις Οντότητες του τομέα των Χρηματοοικονομικών Υπηρεσιών, αναφορικά με τη συμμόρφωση τους με τον Κανονισμό DORA, είναι οι ακόλουθοι:

1. Η σημασία της έγκαιρης συμμόρφωσης – Ο Κανονισμός τίθεται σε εφαρμογή 17 Ιανουαρίου 2025.  
2. Η Αναλογικότητα στη συμμόρφωση.
3. Οι εξελίξεις σε σχέση με την έκδοση Ρυθμιστικών Τεχνικών Προτύπων (RTS)
4. Η εξοικείωση με τις υφιστάμενες αρχές και πρότυπα διαχείρισης κινδύνων ΤΠΕ και Ασφάλειας
5. Το πλαίσιο εποπτείας κρίσιμων τρίτων παρόχων υπηρεσιών ΤΠΕ

Οδηγία NIS2

Παράλληλα με τον Κανονισμό DORA, η οδηγία NIS2 έχει ως στόχο να βελτιώσει το πλαίσιο που θεσμοθετήθηκε για τα κράτη μέλη της Ευρωπαϊκής Ένωσης με βάση την αρχική NIS του 2016 την οποία και αντικαθιστά. Το πεδίο εφαρμογής της νέας οδηγίας είναι σημαντικά διευρυμένο καθώς αφορά πολλαπλάσιους κλάδους δραστηριότητας εταιρειών σε σχέση με την προκάτοχό της. Επιπλέον, επεκτείνει το εύρος της αρχικής οδηγίας και απαιτεί πρόσθετες ενέργειες και μέτρα για την εποπτεία της.

Πιο συγκεκριμένα, οι επιχειρήσεις βάσει της οδηγίας χωρίζονται σε δύο κατηγορίες: essential entities και important entities. Στις οντότητες της πρώτης κατηγορίας, για τις οποίες εφαρμόζεται και αυστηρότερο πλαίσιο εποπτείας, συμπεριλαμβάνονται οι τράπεζες, εταιρείες τηλεπικοινωνιών, ψηφιακών υποδομών και εφαρμογών (Cloud Computing, Data Centers κλπ.) εταιρείες εμπορευματικών μεταφορών, επιχειρήσεις κοινής ωφέλειας και ενέργειας με την προϋπόθεση ότι διαθέτουν περισσότερους από 250 εργαζομένους και έχουν ετήσιο κύκλο εργασιών μεγαλύτερο των 50 εκατομμυρίων ευρώ (εκτός των trust service providers, top-level domain name registries και DNS service providers οι οποίοι συμπεριλαμβάνονται ανεξαρτήτως μεγέθους).

Στη δεύτερη κατηγορία εντάσσονται κυρίως οι μικρομεσαίες επιχειρήσεις (λιγότεροι από 250 εργαζομένους ή ετήσιο κύκλο εργασιών μικρότερο των 50 εκατομμυρίων ευρώ) των προαναφερόμενων τομέων δραστηριότητας, οι οποίες δεν πληρούν τα κριτήρια της πρώτης κατηγορίας καθώς και εταιρείες τροφίμων, ταχυδρομικών υπηρεσιών, βιομηχανίες κ.ά.

Βάσει της οδηγίας NIS2, η συμμόρφωση αποτελεί ευθύνη της διοίκησης και οι εταιρείες που δεν συμμορφώνονται ενδέχεται να αντιμετωπίσουν πρόστιμα έως και 10 εκατομμύρια ευρώ ή 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών τους.

Η οδηγία NIS2 εκδόθηκε και επισημοποιήθηκε στην ΕΕ στα τέλη Δεκεμβρίου 2022. Τα κράτη μέλη έχουν στη διάθεσή τους 21 μήνες για να μεταφέρουν την οδηγία στο εθνικό τους δίκαιο, άρα αναμένεται να τεθεί σε εφαρμογή τον Οκτώβριο του 2024. 

Ψηφιακή Ανθεκτικότητα και ESG

Σε ένα περιβάλλον όπου η βιωσιμότητα αποτελεί πλέον προτεραιότητα, οι επιχειρήσεις έχουν ήδη θέσει τα θέματα ESG (Environmental, Social, Governance) στο επίκεντρο της στρατηγικής τους. Και ενώ η περιβαλλοντολογική διάσταση κυριαρχεί στην ατζέντα των πρωτοβουλιών για το ESG, υποτιμούνται συχνά οι επιπτώσεις των κυβερνοαπειλών στο περιβάλλον, όπως για παράδειγμα, αυτές που στοχεύουν κρίσιμες υποδομές όπως η παραγωγή ενέργειας και η επεξεργασία υδάτινων πόρων (essential entities βάσει NIS2). Επιπρόσθετα, οι επιχειρήσεις καλούνται να ισορροπήσουν μεταξύ ψηφιακής ανθεκτικότητας και επίτευξης περιβαλλοντικών στόχων, όταν σχεδιάζουν τη στρατηγική τους για την επιχειρησιακή τους συνέχεια (π.χ. ένα δεύτερο data center).

Η ψηφιακή ανθεκτικότητα έχει όμως και κοινωνικές προεκτάσεις. Η προστασία δεδομένων προσωπικού χαρακτήρα και η εμπιστευτικότητα, η ελευθερία της έκφρασης, η υποστήριξη της διαφορετικότητας και της συμπερίληψης καθώς και η αρνητική φήμη που σχετίζεται με κυβερνοεπιθέσεις είναι μερικές από αυτές.

Παράλληλα, η ραγδαία εξάπλωση σύγχρονων τεχνολογικών εργαλείων AI (Artificial Intelligence) θέτει στο επίκεντρο τη δεοντολογική χρήση των δεδομένων που αφορούν την κοινωνία, ενώ θέματα που άπτονται της Εταιρικής Διακυβέρνησης και οι προεκτάσεις της στην ψηφιακή ανθεκτικότητα, την κυβερνοασφάλεια και την ιδιωτικότητα, βρίσκονται στον πυρήνα της βιώσιμης ανάπτυξης.

Η συμμόρφωση με κανονιστικά πλαίσια, όπως τα πρόσφατα για την ψηφιακή επιχειρησιακή ανθεκτικότητα και κυβερνοασφάλεια (DORA και NIS2), εκτός από υποχρέωση, αποτελεί και σημαντικό τεκμήριο της αποτελεσματικότητας της Εταιρικής Διακυβέρνησης.

Στο πλαίσιο αυτό, ο χρόνος μετρά ήδη αντίστροφα για τις μεγάλες και μεσαίες επιχειρήσεις της Ευρωπαϊκής Ένωσης, καθώς, βάσει της οδηγίας ΕΕ 2022/2464 (CSDR – Corporate Sustainability Reporting Directive), απαιτείται να δημοσιοποιούν σε ετήσια βάση δεδομένα και πολιτικές για τη βιώσιμη ανάπτυξη και τα κριτήρια ESG, με την Κυβερνοασφάλεια να αποτελεί κρίσιμο παράγοντα στη διασφάλιση της αξιοπιστίας των εκθέσεων βιωσιμότητας.

Το νέο ρυθμιστικό πλαίσιο για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα και η προφανής συσχέτιση της και με τις τρεις διαστάσεις της βιώσιμης ανάπτυξης, καθιστούν μονόδρομο την επιλογή μίας ολιστικής προσέγγισης για την προσαρμογή των επιχειρήσεων στα σύγχρονα δεδομένα.

Αφενός, μειώνει σημαντικά το κόστος συμμόρφωσής σε σχέση με την επιλογή των παράλληλων δράσεων που στοχεύουν σε επιμέρους κατακερματισμένα και συχνά επικαλυπτόμενα νομοθετήματα. Αφετέρου, η ολιστική προσέγγιση στη Ψηφιακή Επιχειρησιακή Ανθεκτικότητα προσφέρει σημαντικά πλεονεκτήματα που προσδίδουν αξία στη λειτουργία των επιχειρήσεων, όπως είναι η ενίσχυση της ακεραιότητας και της αξιοπιστίας, της εμπιστευτικότητας και της διαθεσιμότητας των πληροφοριών, της διαφάνειας και της λογοδοσίας. Πλεονεκτήματα που ενισχύουν περαιτέρω την εμπιστοσύνη των μετόχων, των πελατών, των προμηθευτών, των υπαλλήλων, των κανονιστικών αρχών και των άλλων ενδιαφερομένων μερών, θωρακίζοντας την ψηφιακή εμπιστοσύνη (Digital Trust), με όρους βιωσιμότητας.

Άρθρο του Συμεών Καλαματιανού, Διευθυντή Υπηρεσιών Τεχνολογίας, ΣΟΛ Crowe Συμβουλευτική, στο Capital.

Σε μία ταχύτατα μεταβαλλόμενη επιχειρηματική πραγματικότητα, η «επιβίωση» των σύγχρονων επιχειρήσεων απαιτεί τον συνεχή μετασχηματισμό τους αναφορικά τόσο με τις διαδικασίες τους, όσο και με τον ίδιο τον τρόπο λειτουργίας τους. Στην επίκαιρη, παγκόσμια συζήτηση για την εξέλιξη των επιχειρήσεων, γίνεται συχνά πλέον αναφορά σε διάφορους τύπους μετασχηματισμών όπως ο Ψηφιακός, ο Λογιστικός, o μετασχηματισμός Χρηματοοικονομικών Αναφορών και Πληροφόρησης, Κανονιστικής Συμμόρφωσης και Κινδύνων, ενώ όταν η έμφαση δίνεται στη μεταβολή των διαδικασιών, οι μετασχηματισμοί αυτοί αποκαλούνται συνήθως Επιχειρησιακοί.

Αδιαμφησβήτητα σήμερα, ο σημαντικότερος επιχειρησιακός μετασχηματισμός συνδέεται άμεσα με την υιοθέτηση σύγχρονων, καινοτόμων ψηφιακών τεχνολογιών (Digital Disruption) που αφορούν στην αυτοματοποίηση των διαδικασιών, με απώτερο στόχο την ψηφιοποίηση (digitalization) της λειτουργίας των επιχειρήσεων και την αντίστοιχη ψηφιακή μετάβαση τους (Ψηφιακός Μετασχηματισμός).

Κρίσιμο βήμα στο ταξίδι του κάθε επιχειρησιακού μετασχηματισμού (transformation journey), αλλά και παράγοντας της επιτυχίας του, αποτελεί η διαμόρφωση και η διατήρηση ενός επιχειρησιακού περιβάλλοντος που προσδιορίζεται και οροθετείται από τη λειτουργία σχεδιαστικά κατάλληλων εσωτερικών δικλείδων (Internal Controls). Κάτι τέτοιο, αποτελεί άλλωστε και βασική προϋπόθεση της αποτελεσματικής εφαρμογής του Πλαισίου (Συστήματος) Εταιρικής Διακυβέρνησης το οποίο έχει σχεδιάσει ή προσαρμόσει στις δικές της ανάγκες και υιοθετήσει η εκάστοτε επιχείρηση, στοχεύοντας στην επίτευξη των στόχων της επιχειρησιακής της στρατηγικής.

Σήμερα, η ενίσχυση του συστήματος εταιρικής διακυβέρνησης των ανωνύμων εταιρειών, συντελείται μέσω του εκσυγχρονισμού του σχετικού κανονιστικού πλαισίου και την εφαρμογή των διατάξεων του πλέον πρόσφατου νόμου περί εταιρικής διακυβέρνησης (Ν. 4706/2020), καθώς επίσης και της σχετικής απόφασης του Διοικητικού Συμβουλίου της Επιτροπής Κεφαλαιαγοράς (1/891/30.09.2020). Με το νέο Κανονιστικό Πλαίσιο, δίνεται έμφαση στην επάρκεια και αποτελεσματικότητα του Συστήματος Εσωτερικού Ελέγχου (ΣΕΕ), συμπεριλαμβανομένων των συστημάτων διαχείρισης κινδύνων και κανονιστικής συμμόρφωσης, και θέτει την υποχρέωση της περιοδικής (ανά τριετία βάσει της σχετικής απόφασης της ΕΚ) αξιολόγησης του ΣΕΕ και εφαρμογής των διατάξεων περί Εταιρικής Διακυβέρνησης (ΕΔ) του σχετικού νόμου, από ανεξάρτητο αξιολογητή.

Η αθέατη όμως πλευρά η οποία επιχειρείται να τονιστεί από το νέο Κανονιστικό Πλαίσιο για την ενίσχυση της Εταιρικής Διακυβέρνησης στις ανώνυμες εταιρείες, είναι αυτή που το διασυνδέει με την Ψηφιακή Τεχνολογία, δηλαδή με την ψηφιακή μετάβαση (digitalization). Η αμφίδρομη και ευθέως ανάλογη σχέση που διαμορφώνεται μεταξύ αφενός της ενίσχυσης της επάρκειας και αποτελεσματικότητας του ΣΕΕ και αφετέρου της περαιτέρω προώθησης της υλοποίησης ψηφιακών τεχνολογιών (ψηφιακός μετασχηματισμός) σε ευθυγράμμιση με τις βέλτιστες πρακτικές, αποτυπώνεται εμφατικά και με απόλυτη επιτυχία και στο πρόσφατο ελεγκτικό πρόγραμμα της ΕΛΤΕ σχετικά με τη διενέργεια της περιοδικής αξιολόγησης του ΣΕΕ των ανωνύμων εταιρειών από ανεξάρτητο αξιολογητή, βάσει του σχετικού νόμου και των αποφάσεων της Επιτροπής Κεφαλαιαγοράς. Επισημαίνεται πως η πρώτη αξιολόγηση θα πρέπει να έχει ολοκληρωθεί μέχρι τις 31/03/2023 με ημερομηνία αναφοράς την 31/12/2022 και περίοδο αναφοράς από την έναρξη υποχρεωτικής εφαρμογής του προαναφερθέντος νόμου (17/07/2021).

Στις μέρες μας λοιπόν δεν θα ήταν υπερβολικός ο ισχυρισμός πως ικανή και αναγκαία συνθήκη της αποτελεσματικής εφαρμογής του συστήματος εταιρικής διακυβέρνησης είναι η επιτυχής υλοποίηση της ψηφιακής μετάβασης.

Επιγραμματικά θα μπορούσαμε να συνοψίσουμε τις βασικές παραμέτρους που προσδιορίζουν τη συσχέτιση μεταξύ του επαρκούς και αποτελεσματικού ΣΕΕ (και άρα του ενισχυμένου πλαισίου εταιρικής διακυβέρνησης) με το ψηφιακό μετασχηματισμό στα εξής:

Α.   Διακυβέρνηση και Στρατηγική Τεχνολογίας Πληροφορικής και Επικοινωνιών (ΤΠΕ)

Β.   Πλαίσιο Διαχείρισης Κινδύνων ΤΠΕ και Ασφάλειας

Γ.    Πλαίσιο Δικλείδων στις γενικές διαδικασίες λειτουργίας των συστημάτων ΤΠΕ (Γενικές Δικλείδες ΤΠΕ)

Δ.   Πλαίσιο αυτοματοποιημένων εσωτερικών δικλείδων (Automated internal controls) αναφορικά με τις νέες αυτοματοποιημένες/ ψηφιακές διαδικασίες ενταγμένες στους επιμέρους κύκλους των επιχειρησιακών διαδικασιών

Ε.    Ανάπτυξη ψηφιακών καναλιών διάχυσης της πληροφόρησης και επικοινωνίας για την υποστήριξη της λειτουργίας των εσωτερικών δικλείδων

ΣΤ. Παρακολούθηση του ΣΕΕ σε σχέση με κινδύνους ΤΠΕ

Τα παραπάνω αναφέρονται στα εξής αντικείμενα αξιολόγησης όπως έχουν καθοριστεί από την 1/891/30.9.2020 της Επιτροπής Κεφαλαιαγοράς βάσει και των αντίστοιχων πυλώνων του Πλαισίου ΣΕΕ της επιτροπής COSO (COSO: Internal Control Integrated Framework) :

• Το Α. αναφέρεται κυρίως στο αντικείμενο/ πυλώνα «Ελεγκτικοί Μηχανισμοί και Δικλείδες Ασφάλειας» (Control Activities) αλλά και  στο «Περιβάλλον Ελέγχου» (Control Environment),
• To B. στη «Διαχείριση Κινδύνων» (Risk Management),
• To Γ. και το Δ. στο αντικείμενο/ πυλώνα «Ελεγκτικοί Μηχανισμοί και Δικλείδες Ασφάλειας» (Control Activities),
• Το Ε. στο «Σύστημα Πληροφόρησης και Επικοινωνίας» (Information and Communication), και
• Το ΣΤ. στο αντικείμενο Παρακολούθηση του ΣΕΕ (Monitoring)

Οι επιχειρήσεις δέχονται σήμερα πολλαπλές προκλήσεις με σημαντικότερη όλων τον μετασχηματισμό των διαδικασιών και της λειτουργίας τους ως αποτέλεσμα της υιοθέτησης καινοτόμων, ψηφιακών λύσεων. Ταυτόχρονα, απαιτείται η συμμόρφωσή τους με τα κανονιστικά πλαίσια, η επαρκής διαχείριση των κινδύνων και η περαιτέρω ενίσχυση της ακεραιότητας, της διαφάνειας και της λογοδοσίας. Κοινός παρονομαστής στην επιτυχημένη αντιμετώπιση όλων αυτών των προκλήσεων είναι η ενίσχυση της εμπιστοσύνης των μετόχων, των πελατών, των προμηθευτών, των υπαλλήλων, των κανονιστικών αρχών και των άλλων ενδιαφερομένων μερών μέσω του πλαισίου Εταιρικής Διακυβέρνησης και της υλοποίησης επαρκούς και αποτελεσματικού ΣΕΕ. Στη σύγχρονη εποχή της ψηφιακής οικονομίας, κάτι τέτοιο μπορεί να προέλθει μόνο από την εμπέδωση της ψηφιακής εμπιστοσύνης (Digital Trust).

Γράφει ο Σίμος Καλαματιανός, Director, Head of Technology Advisory and Assurance, ΣΟΛ Crowe

Κατά την περίοδο της πανδημίας COVID-19, η προσαρμογή των επιχειρήσεων στα νέα κοινωνικά και οικονομικά δεδομένα προκάλεσε ριζικές αλλά και ουσιώδεις αλλαγές στον τρόπο λειτουργίας τους και στη δομή τους.  Η πιο σημαντική από αυτές, αν όχι υποχρεωτική αλλαγή στην οποία θα υποβληθούν όλες οι επιχειρήσεις μέσα στην επόμενη τριετία ώστε να παραμείνουν βιώσιμες, είναι η ψηφιακή τους μετάβαση. Εξάλλου, οι τάσεις που διαφαίνονται τον τελευταίο 1.5 χρόνο έχουν καταστήσει σαφές πως ο μετασχηματισμός των επιχειρήσεων με οδηγό την τεχνολογία παραμένει ο πλέον καθοριστικός παράγοντας για τη διατήρηση της ανταγωνιστικότητας τους.

Η ψηφιακή μετάβαση των επιχειρήσεων ανεξαρτήτως μεγέθους και δυναμικής, βασίζεται σε τρεις βασικούς πυλώνες: την Ευελιξία (Agility), την Εμπιστοσύνη (Trust) και τα Δεδομένα (Data). Με άλλα λόγια, η επίτευξη των στρατηγικών στόχων μέσω της αξιοποίησης των ψηφιακών τεχνολογιών, συνδέεται σε μεγάλο βαθμό με την περαιτέρω ενίσχυση και ισχυροποίηση της ευελιξίας τους, τη δημιουργία εμπιστοσύνης και την αξιοποίηση των δεδομένων.

Οι επιχειρήσεις σήμερα επενδύουν στην υλοποίηση τεχνολογικών λύσεων, με κυρίαρχες την ενίσχυση της δυνατότητας συνεργασίας (Collaboration), την υλοποίηση εφαρμογών και υπηρεσιών υπολογιστικού νέφους (Cloud Computing) καθώς και την αξιοποίηση λύσεων Τεχνητής Νοημοσύνης (AI). Η υιοθέτηση τεχνολογικών λύσεων δεν συνεπάγεται εντούτοις τον ψηφιακό τους μετασχηματισμό. Η επιτυχία της ψηφιακής μετάβασης συνδέεται άμεσα με τους βασικούς παράγοντες της ευελιξίας, της εμπιστοσύνης και των δεδομένων.

Ευελιξία και cloud services.

Ο πρώτος πυλώνας αφορά στην ευελιξία (agility). Οι επιχειρήσεις, την περίοδο της πανδημίας έπρεπε να κινηθούν χωρίς καθυστερήσεις, να πάρουν άμεσα αποφάσεις σε σύντομο χρονικό διάστημα και να ανταποκριθούν ταχύτατα έτσι ώστε να επιβιώσουν λειτουργικά. Αυτός ο ρυθμός “λειτουργικής επιβίωσης” φαίνεται πως θα συνεχιστεί. Και το τεχνολογικό υπόβαθρο στο οποίο βασίζεται η δυνατότητα της άμεσης ανταπόκρισης και προσαρμογής δεν είναι άλλο από το Υπολογιστικό Νέφος (Cloud Computing).

Είναι γεγονός ότι η υιοθέτηση ψηφιακών λύσεων υπολογιστικού νέφους είχε ήδη επιταχυνθεί ακόμα και πριν από την πανδημία, κυρίως γιατί επιτρέπει στις επιχειρήσεις να επεκτείνονται ή να περιορίζονται σε συγκεκριμένους τομείς βάσει του στρατηγικού σχεδιασμού τους.

Οι πρωτοβουλίες που αφορούν στην υλοποίηση λύσεων υπολογιστικού νέφους αυξήθηκαν με γεωμετρική πρόοδο μέσα στην τελευταία διετία και κυρίως από τις αρχές 2020 όταν ξέσπασε η πανδημία. Λόγω του COVID-19 έγινε επιτακτική η ανάγκη αφενός η απομακρυσμένη εργασία, και αφετέρου η μεταφορά συστημάτων, διαδικασιών και δεδομένων στο cloud.  Διεθνώς, υπήρξε μαζική μετάβαση σε online εργαλεία συμπεριλαμβανομένων αυτών που αφορούν στη συνεργασία (Collaboration tools), εξ’ αποστάσεως επιχειρηματικών εκδηλώσεων (virtual business events), σεμιναρίων κλπ.

Ενδεικτικά και μόνο αναφέρεται πως σύμφωνα με στοιχεία της έγκυρης εταιρείας αναλύσεων International Data Corp. (IDC) το δεύτερο τρίμηνο του 2020, οι επενδύσεις σε public cloud υποδομές είχαν αυξηθεί 47.8% σε σχέση με την αντίστοιχη περίοδο του προηγούμενου έτους, φτάνοντας σε απόλυτους αριθμούς τα 14.1 δισεκατομμύρια δολάρια και ξεπερνώντας για πρώτη φορά το επίπεδο των επενδύσεων σε non-cloud υποδομές. Αυτός ο ρυθμός της αύξησης των επενδύσεων σε τεχνολογικές λύσεις cloud συνεχίστηκε και το 2021 και προβλέπεται να συνεχιστεί και τα επόμενα χρόνια. Η IDC προβλέπει πως αθροιστικά το σύνολο των επενδύσεων σε public και private cloud θα ανέλθει στα $109.3 δις μέχρι το 2024 και θα ανέρχεται στο 63.6% των συνολικών επενδύσεων σε υποδομές.

Σε γενικές γραμμές, όλες οι προβλέψεις συγκλίνουν στο γεγονός πως θα υπάρξει εκτεταμένη υιοθέτηση των τεχνολογιών cloud τα επόμενα χρόνια, όπου περισσότερο από το 50% των επιχειρήσεων θα έχουν τουλάχιστον τις μισές εφαρμογές τους σε public cloud.

H αξία των δεδομένων (data) και η εξασφάλιση της εμπιστοσύνης (trust).

Σχετική με το cloud είναι και η αξία των δεδομένων (data). Ως αποτέλεσμα της πανδημίας, οι επιχειρήσεις χρειάζεται να λαμβάνουν ταχύτατα αποφάσεις που βασίζονται σε έγκυρη και έγκαιρη ενημέρωση, και άρα ο ρόλος των δεδομένων και η δυνατότητα ανάλυσής τους καταδεικνύονται ως καθοριστικοί παράγοντες. Συνεπώς τεχνολογίες στην τομέα της Τεχνητής Νοημοσύνης (Artificial Intelligence) και της Ανάλυσης Δεδομένων (Data Analytics) προβλέπεται πως θα τύχουν ευρύτερης αποδοχής στην αγορά και θα υπάρξει αύξηση των σχετικών υλοποιήσεων.

Και αν η μετάβαση σε cloud services και η αξιοποίηση των δεδομένων είναι μια προφανής εξέλιξη των επιχειρήσεων προς την ψηφιακή μετάβαση, ο κρισιμότερος παράγοντας επιτυχίας του εγχειρήματος του ψηφιακού Μετασχηματισμού των επιχειρήσεων σχετίζεται με την εξασφάλιση της εμπιστοσύνης (trust).

Καθώς η ψηφιακή τεχνολογία αναπτύσσεται και οι επιχειρήσεις γίνονται όλο και περισσότερο εξαρτώμενες από αυτήν, ο έλεγχος και η διασφάλιση βρίσκεται όλο και περισσότερο στο επίκεντρο του ενδιαφέροντος. Συνεπώς, προβλέπεται πως θέματα που αφορούν στο πλαίσιο διασφάλισης της εμπιστοσύνης σε σχέση την υιοθέτηση λύσεων ψηφιακής τεχνολογίας και του ψηφιακού μετασχηματισμού θα βρίσκονται ψηλά στη λίστα των προτεραιοτήτων των Διοικήσεων, αλλά και γενικότερα θα συγκαταλέγονται στα σημαντικότερα “πεδία μάχης” στην αγορά των υπηρεσιών τεχνολογίας. Υπάρχουν πολλές διαφορετικές προκλήσεις που συνδέονται με την “εμπιστοσύνη” είτε αυτή αφορά σε κανονιστικές απαιτήσεις είτε σε κυβερνοαπειλές (cyberthreats) και άλλους επιχειρηματικούς κινδύνους.

Είναι συνεπώς απαραίτητο στο σχεδιασμό της ψηφιακής στρατηγικής των επιχειρήσεων στο νέο τοπίο που διαμορφώνεται (με το τέλος της πανδημίας), να προβλεφθεί και να δοθεί ιδιαίτερη έμφαση στη διαχείριση επιχειρηματικών κινδύνων και ειδικότερα όσων απορρέουν από την χρήση τεχνολογίας (Technology Risk) με την περαιτέρω ενίσχυση του συστήματος εσωτερικού ελέγχου. Εδώ η προσέγγιση επιβάλλεται να είναι διττή :

Αρχικά να σχεδιαστεί και να υλοποιηθεί ένα επαρκές πλαίσιο αυτοματοποιημένων εσωτερικών δικλείδων (Automated internal controls) τα οποία αναφέρονται στις νέες αυτοματοποιημένες, ψηφιακές διαδικασίες ενταγμένες στους επιμέρους κύκλους των επιχειρησιακών διαδικασιών (process cycles). Αυτό επιτυγχάνεται με την αντικατάσταση των υφιστάμενων ανιχνευτικών και διορθωτικών μέτρων (detective / corrective measures) με άλλα προληπτικά μέτρα (preventive measures), δηλαδή με την υλοποίηση αυτοματοποιημένων δικλείδων (automated controls), κάτι που αποτελεί και ένα από τους βασικούς στόχους του ψηφιακού μετασχηματισμού.

Στην συνέχεια να προστατεύει την επιχείρηση από αμιγώς κινδύνους κυβερνοασφάλειας (cyber-security risks), καθώς όπως αποδεικνύεται από την εμπειρία της πανδημία COVID-19, η αυξημένη χρήση και υιοθέτηση της ψηφιακής τεχνολογίας αυξάνει τον κίνδυνο των κυβερνοαπειλών και κυβερνοεπιθέσεων.

Εκτός από τους τρεις καθοριστικούς παράγοντες της ψηφιακής μετάβασης, οι επιχειρήσεις πρέπει να προβλέψουν και επιμέρους δράσεις, όπως αυτή της διαχείρισης του αυξημένου κινδύνου που απορρέει από τις υπηρεσίες τρίτων (Third-Party Risk), εξ’αιτίας και της αύξησης της εξάρτησης από τέτοιες υπηρεσίες (Cloud) καθώς και της υιοθέτησης μοντέλων και τεχνολογικών λύσεων για την ενιαία διαχείριση όλων των επιχειρηματικών κινδύνων (GRC – Governance Risk Compliance model). Οι επιχειρήσεις καλούνται σήμερα να σχεδιάσουν και να υλοποιήσουν την ψηφιακή τους μετάβαση. Η επιτυχία του ψηφιακού τους μετασχηματισμού περνάει μέσα από την αξιοποίηση των  σύγχρονων εργαλείων, όπως και από την ερμηνεία και προσαρμογή στις επικρατούσες τάσεις που τελικά ορίζουν την ίδια τη νέα ψηφιακή εποχή στην αγορά.