תמיד, אבל תמיד – לשקול. ליישם? החישוב מורכב, לא מסובך, אבל בכל מקרה הכרחי
פורסם לראשונה ב-PC-Magazine וב-SoftNews בגליונות פברואר 2008
נקודת המוצא די דומה עבור רוב החברות: הטכנולוגיה מפותחת, המידע נגיש ומיידי ובד"כ אמין – מה שמגביר את לחץ התחרותיות ומגדיל את סיכויי הכשל הנקודתי או הגלובלי.
אז אנחנו מקבלים עוד ועוד הצעות מפחידות ו/או מפתות (עניין של סגנון, אני מניח) מאנשים שקשה מאד לפספס את הנקודה העיקרית בטענתם: אין מקום לכשלון, אסור לך ולחברה להכשל
אך אם לא תפעל נכון אז... טוב, לא נולדנו אתמול, ומאחר וכבר שמענו בעבר על תכניות לניהול סיכונים אנו יודעים שאין תהליך ניהול סיכונים אחד נכון לכולם אך ברור שישנה תפיסה כוללת
הממסגרת את הראוי התייחסות.
זה פשוט, לא? מן הראוי להזהר מ-א' אז נזהרים מ-א'. לא, זה לא פשוט, זה פשטני.
- האם רק מ-א' צריך להזהר?
- האם א' באמת שווה את עלות ההיזהרות ממנו?
- האם עדיף לעשות כך ש-א' לא יקרה בכלל או אם זה יקרה רק פעם בשנה-שנתיים זה בסדר?
- האם לדאוג ש-א' לא יקרה בכלל או אם יתרחש במתכונת מצומצמת נוכל לספוג זאת?
>>> ממה נזהרים. הארגון הוקם למען השגת כמה שיותר רווח. יעד כלכלי כללי זה מגולם בכמה וכמה מטרות משנה המייצגות את הדרכים המרכזיות באמצעותן מממש הארגון את חזונו. כל דבר המאיים על כל אחת ממטרות אלה הוא סיכון, וכל סיכון חייב להלקח בחשבון.
>>> אזורי הסכנה השונים ניתנים לקיבוץ לארבע קבוצות עיקריות:
- סיכונים אסטרטגיים, ארגוניים: מ?נהל וארגון, תהליכי עבודה, משאבים (תכנון, הקצאה, תלות), מוניטין, יחסים פנים ארגוניים, מיזוגים ורכישות, ...
- סיכונים עיסקיים ותפעוליים: הסביבה העיסקית (של הארגון, הלקוחות והספקים), נכסים פיזיים, טכנולוגיה ומערכות המידע, גנבה/מעילה/טעויות אנוש/אבטחה, שרשרת הערך, נתיבים קריטיים, תחרות, ...
- סיכונים פיננסיים: שוק ,נזילות, אשראי, ביטוח, אילוצים תקציביים, שינויים כלכליים גלובליים, ...
- סיכוני חוק ותקינה: סטנדרטים/תקנים, רגולציה, חוקה ומשפט, ...
>>> מיפוי. קודם כל ולפני הכל – מיפוי: ביצוע סקר סיכונים. הגדרת ערך עיסקי וקריטיות של כל רכיב מהרכיבים הכלולים באזורי הסכנה. הגדרת גורמי הסיכון וסוגיהם למיפוי הסיכונים המאיימים על כל אחת ממטרות ויעדי הארגון, על מטרות המשנה, תתי-תהליכי העבודה (עד הצדדיים והקטנים ביותר).
תהליך זה דורש הכרה מעמיקה, מדוייקת ונכונה של הארגון, השוק בו הוא פועל וההשפעות הכלכליות, התחוקתיות, הפיננסיות והחברתיות הגלובליות הנוגעות לו.
לשם כך רצוי להגדיר את היעדים האסטרטגיים הארגוניים (כולל יעדי משנה) והגורמים הארגוניים להשגת כל יעד. מיפוי ראשוני ובסיסי זה קובע את גזרות אזורי הסכנה ואת נושאי האחריות בארגון בכל גזרה.
הגדרות אלה יעזרו להגדרת סיכונים פוטנציאלים ובו בזמן יתמכו בהגדרת נהלים וסמכויות נדרשות לפעילויות ניהול סיכונים.
עבור כל אחד מהסיכונים שאובחנו יש להגדיר במסגרת תהליך המיפוי את:
- הסתברות התרחשות הסיכון; ערך מיספרי של ההסתברות יחד עם פרוט ההנחות לפיהן נקבע ערך זה;
- שיעור הנזק העלול להגרם עם התממשות הסיכון (במונחים כספיים, ביצועיים, במונחי זמן ובמונחי השפעה על מוניטין);
- עוצמת הנזק. כימות של שיעור הנזק בשילוב ההסתברות להתרחשותו;
- רמת שליטה. הערכה של רמת השליטה האפשרית על גורם הסיכון ואפשרות התרחשותו וציון רמת השליטה המוערכת והמקויימת כיום בארגון עבור גורם זה;
- אפקט הדומינו. איתור ופרוט של כל אחד מגורמי הסיכון שהוגדרו אשר עלולים להיות מושפעים ומשפיעים על גורמי סיכון אחרים. יש להגדיר ערכים נוספים עבור ההסתברות, עוצמת הנזק ורמת השליטה על כל אחד מגורמי הסיכון בשילוב עם גורם מושפע/משפיע;
- אמצעי הבקרה לאיתור, מניעה או גידור כל סיכון, אופי הפעלתם, היקף ההשפעה ועלות השימוש בהם. יש לציין את האמצעים הננקטים בארגון כיום (בעת עריכת הסקר), עלותם והאפקטיביות שהוכחה או הופרכה במשך חיי הארגון.
>>> תיעדוף. כעת כשיש בידנו רשימה סופית של גורמי סיכון (או לפחות כך אנו סבורים) ומשמעותם בפועל, מגיע השלב הבא המתבקש מאליו: דרוג כלל גורמי הסיכון שהוגדרו בתהליך המיפוי וסידורם בסדר חשיבות יורד.
בהמשך לכך יוגדרו הן הפעילויות הנדרשות לצימצום ההסתברות והן הפעילויות לצימצום שיעור הנזק. עבור כל גורם סיכון תחושב עלות יישום הגידור עבורו כאשר נקודת הייחוס היא כמובן ההערכה של עוצמת הנזק של אותו גורם.
>>> Gap Analysis. הצבת ההערכו?ת של הנזקים מהם אנו חוששים מול העלויות הנדרשות של התגובות לסיכונים והגדרת הפערים ומשמעותם יתוו לנו את כיוון ההתנהלות של הארגון בתוכנית ניהול הסיכונים שלו ודרך הפעולה בכל גורם סיכון תוך שימוש באחד או יותר מהדרכים להלן:
- גידור, מניעה: צימצום אפשרות התרחשות הסיכון מתוך כוונה למנעו כליל;
- הקלה, ניטור: בקרה, עמידה על המשמר ומוכנות מיטבית לפעולה בעת התרחשות הסכנה לשם צימצום שיעור הנזק;
- העברה: שימוש בגורם שלישי (ביטוח, לדוגמא);
- קבלה: הערכה כי קיימת כדאיות נמוכה מאד להשקעה בגידור/ניטור והחלטה עקרונית להעדפה של ספיגת הנזק.
>>> ביצוע ניהול הסיכונים בפועל
ניהול סיכונים הוא תהליך מתמשך ורציף. לפיכך, הפעילויות הנדרשות ליישום הגידור והניטור יוגדרו במסגרת תוכניות יעודיות שמטרתן הפחתת ההסתברות והנזק, לפי המקרה. תוכניות אלה חייבות להיות משולבות במסגרות תכנון העבודה הארגוניות, לוחות-הזמנים והתקציב כך שיקבלו את המקום הראוי והמסודר לאותן פעילויות.
הרצף הקיים בין היעד הארגוני, התהליכים היומיומיים והגורם האחראי ממחישים יותר מכל את הקשר ההדוק בין תוכנית ניהול הסיכונים לנושאי התפקידים בארגון – קשר המחזק תהליך ניהול סיכונים יעיל הנושא תוצאות. הערכות תקופתיות קבועות הנובעות ממודל הקשור בטבורו לפעילות השוטפת של הארגון הן הן אלה הנדרשות לקיום הגנה מיטבית על הארגון מפני חוסר הוודאות וגורמי הסיכון.
>>> לסיכום
חברות נדרשות היום לנהל סיכונים במסגרת פעילותן העיסקית השוטפת בתוקף היותן כפופות לתקינה לאומית ובין-לאומית כ-SOX, Basel II וכד' ותקינות מקצועיות כ-357. ניהול סיכונים אינו ארוע בודד. יש לבצע ניהול סיכונים לכל אורך חיי הארגון (או התהליך, או הפרוייקט) היות ובמשך הזמן נוצרים סיכונים חדשים וסיכונים מוכרים משתנים או אפילו מתבטלים. אנו רואים כיום הפנמה של ההבחנה כי ניהול סיכונים יחידני או מקומי אינו מספק. הבנה זו מביאה לנטיה גוברת והולכת ליישום מדיניות מובנית לניהול סיכונים כולל תוך כדי הגדרת פונקציה של CRO (קיצור ל-Chief Risks Officer) שמשימתו המוגדרת היא ניהול ארגוני משולב של כלל הסיכונים ERM – Enterprise Risk Management. אכן, ראינו לא פעם כי ה'סמן' להפנמה של מושג או הכרה בצורך או תפקיד מגולמת בהגדרה של תפקיד המיועד לנושא.
>>> להלן מספר חברות המתמחות בתחום ניהול הסיכונים:
• מתודה מחשבים. מתודולוגיית ניהול סיכונים - MethodRISK - מבית היוצר של מתודה מאפשרת זיהוי של הסיכונים המרכזיים בצורה אפקטיבית, תוך פרק זמן קצר, ביחס עלות-תועלת מינימאלי.
למידע נוסף הכנסו ל: MTOD.rfigo.co.il
• אנטרופי יועצים. מתן פתרונות ייעוץ ובקרה מתקדמים בתחום ניהול הסיכונים התפעוליים, תאימות רגולטורית לרבות Sarbanes Oxley, Basel II, Solvency II, ניהול סיכוני IT וביקורת פנימית.
למידע נוסף הכנסו ל: ANTP.rfigo.co.il
• קבוצת הלפרין למידע נוסף הכנסו ל: HMS.rfigo.co.il
• סילבר.נט למידע נוסף הכנסו ל: SLVR.rfigo.co.il
• קומיוג'ן למידע נוסף הכנסו ל: CMGN.rfigo.co.il
• סקיורוויז'ן למידע נוסף הכנסו ל: SECV.rfigo.co.il
• ארנסט אנד יאנג למידע נוסף הכנסו ל: ERNS.rfigo.co.il
לקבלת מידע על חברות נוספות הפעילות בתחום ניהול הסיכונים, הכנסו ל- www.RFIgo.co.il
פורסם לראשונה ב-PC-Magazine וב-SoftNews בגליונות פברואר 2008
נקודת המוצא די דומה עבור רוב החברות: הטכנולוגיה מפותחת, המידע נגיש ומיידי ובד"כ אמין – מה שמגביר את לחץ התחרותיות ומגדיל את סיכויי הכשל הנקודתי או הגלובלי.
אז אנחנו מקבלים עוד ועוד הצעות מפחידות ו/או מפתות (עניין של סגנון, אני מניח) מאנשים שקשה מאד לפספס את הנקודה העיקרית בטענתם: אין מקום לכשלון, אסור לך ולחברה להכשל
אך אם לא תפעל נכון אז... טוב, לא נולדנו אתמול, ומאחר וכבר שמענו בעבר על תכניות לניהול סיכונים אנו יודעים שאין תהליך ניהול סיכונים אחד נכון לכולם אך ברור שישנה תפיסה כוללת
הממסגרת את הראוי התייחסות.
זה פשוט, לא? מן הראוי להזהר מ-א' אז נזהרים מ-א'. לא, זה לא פשוט, זה פשטני.
- האם רק מ-א' צריך להזהר?
- האם א' באמת שווה את עלות ההיזהרות ממנו?
- האם עדיף לעשות כך ש-א' לא יקרה בכלל או אם זה יקרה רק פעם בשנה-שנתיים זה בסדר?
- האם לדאוג ש-א' לא יקרה בכלל או אם יתרחש במתכונת מצומצמת נוכל לספוג זאת?
>>> ממה נזהרים. הארגון הוקם למען השגת כמה שיותר רווח. יעד כלכלי כללי זה מגולם בכמה וכמה מטרות משנה המייצגות את הדרכים המרכזיות באמצעותן מממש הארגון את חזונו. כל דבר המאיים על כל אחת ממטרות אלה הוא סיכון, וכל סיכון חייב להלקח בחשבון.
>>> אזורי הסכנה השונים ניתנים לקיבוץ לארבע קבוצות עיקריות:
- סיכונים אסטרטגיים, ארגוניים: מ?נהל וארגון, תהליכי עבודה, משאבים (תכנון, הקצאה, תלות), מוניטין, יחסים פנים ארגוניים, מיזוגים ורכישות, ...
- סיכונים עיסקיים ותפעוליים: הסביבה העיסקית (של הארגון, הלקוחות והספקים), נכסים פיזיים, טכנולוגיה ומערכות המידע, גנבה/מעילה/טעויות אנוש/אבטחה, שרשרת הערך, נתיבים קריטיים, תחרות, ...
- סיכונים פיננסיים: שוק ,נזילות, אשראי, ביטוח, אילוצים תקציביים, שינויים כלכליים גלובליים, ...
- סיכוני חוק ותקינה: סטנדרטים/תקנים, רגולציה, חוקה ומשפט, ...
>>> מיפוי. קודם כל ולפני הכל – מיפוי: ביצוע סקר סיכונים. הגדרת ערך עיסקי וקריטיות של כל רכיב מהרכיבים הכלולים באזורי הסכנה. הגדרת גורמי הסיכון וסוגיהם למיפוי הסיכונים המאיימים על כל אחת ממטרות ויעדי הארגון, על מטרות המשנה, תתי-תהליכי העבודה (עד הצדדיים והקטנים ביותר).
תהליך זה דורש הכרה מעמיקה, מדוייקת ונכונה של הארגון, השוק בו הוא פועל וההשפעות הכלכליות, התחוקתיות, הפיננסיות והחברתיות הגלובליות הנוגעות לו.
לשם כך רצוי להגדיר את היעדים האסטרטגיים הארגוניים (כולל יעדי משנה) והגורמים הארגוניים להשגת כל יעד. מיפוי ראשוני ובסיסי זה קובע את גזרות אזורי הסכנה ואת נושאי האחריות בארגון בכל גזרה.
הגדרות אלה יעזרו להגדרת סיכונים פוטנציאלים ובו בזמן יתמכו בהגדרת נהלים וסמכויות נדרשות לפעילויות ניהול סיכונים.
עבור כל אחד מהסיכונים שאובחנו יש להגדיר במסגרת תהליך המיפוי את:
- הסתברות התרחשות הסיכון; ערך מיספרי של ההסתברות יחד עם פרוט ההנחות לפיהן נקבע ערך זה;
- שיעור הנזק העלול להגרם עם התממשות הסיכון (במונחים כספיים, ביצועיים, במונחי זמן ובמונחי השפעה על מוניטין);
- עוצמת הנזק. כימות של שיעור הנזק בשילוב ההסתברות להתרחשותו;
- רמת שליטה. הערכה של רמת השליטה האפשרית על גורם הסיכון ואפשרות התרחשותו וציון רמת השליטה המוערכת והמקויימת כיום בארגון עבור גורם זה;
- אפקט הדומינו. איתור ופרוט של כל אחד מגורמי הסיכון שהוגדרו אשר עלולים להיות מושפעים ומשפיעים על גורמי סיכון אחרים. יש להגדיר ערכים נוספים עבור ההסתברות, עוצמת הנזק ורמת השליטה על כל אחד מגורמי הסיכון בשילוב עם גורם מושפע/משפיע;
- אמצעי הבקרה לאיתור, מניעה או גידור כל סיכון, אופי הפעלתם, היקף ההשפעה ועלות השימוש בהם. יש לציין את האמצעים הננקטים בארגון כיום (בעת עריכת הסקר), עלותם והאפקטיביות שהוכחה או הופרכה במשך חיי הארגון.
>>> תיעדוף. כעת כשיש בידנו רשימה סופית של גורמי סיכון (או לפחות כך אנו סבורים) ומשמעותם בפועל, מגיע השלב הבא המתבקש מאליו: דרוג כלל גורמי הסיכון שהוגדרו בתהליך המיפוי וסידורם בסדר חשיבות יורד.
בהמשך לכך יוגדרו הן הפעילויות הנדרשות לצימצום ההסתברות והן הפעילויות לצימצום שיעור הנזק. עבור כל גורם סיכון תחושב עלות יישום הגידור עבורו כאשר נקודת הייחוס היא כמובן ההערכה של עוצמת הנזק של אותו גורם.
>>> Gap Analysis. הצבת ההערכו?ת של הנזקים מהם אנו חוששים מול העלויות הנדרשות של התגובות לסיכונים והגדרת הפערים ומשמעותם יתוו לנו את כיוון ההתנהלות של הארגון בתוכנית ניהול הסיכונים שלו ודרך הפעולה בכל גורם סיכון תוך שימוש באחד או יותר מהדרכים להלן:
- גידור, מניעה: צימצום אפשרות התרחשות הסיכון מתוך כוונה למנעו כליל;
- הקלה, ניטור: בקרה, עמידה על המשמר ומוכנות מיטבית לפעולה בעת התרחשות הסכנה לשם צימצום שיעור הנזק;
- העברה: שימוש בגורם שלישי (ביטוח, לדוגמא);
- קבלה: הערכה כי קיימת כדאיות נמוכה מאד להשקעה בגידור/ניטור והחלטה עקרונית להעדפה של ספיגת הנזק.
>>> ביצוע ניהול הסיכונים בפועל
ניהול סיכונים הוא תהליך מתמשך ורציף. לפיכך, הפעילויות הנדרשות ליישום הגידור והניטור יוגדרו במסגרת תוכניות יעודיות שמטרתן הפחתת ההסתברות והנזק, לפי המקרה. תוכניות אלה חייבות להיות משולבות במסגרות תכנון העבודה הארגוניות, לוחות-הזמנים והתקציב כך שיקבלו את המקום הראוי והמסודר לאותן פעילויות.
הרצף הקיים בין היעד הארגוני, התהליכים היומיומיים והגורם האחראי ממחישים יותר מכל את הקשר ההדוק בין תוכנית ניהול הסיכונים לנושאי התפקידים בארגון – קשר המחזק תהליך ניהול סיכונים יעיל הנושא תוצאות. הערכות תקופתיות קבועות הנובעות ממודל הקשור בטבורו לפעילות השוטפת של הארגון הן הן אלה הנדרשות לקיום הגנה מיטבית על הארגון מפני חוסר הוודאות וגורמי הסיכון.
>>> לסיכום
חברות נדרשות היום לנהל סיכונים במסגרת פעילותן העיסקית השוטפת בתוקף היותן כפופות לתקינה לאומית ובין-לאומית כ-SOX, Basel II וכד' ותקינות מקצועיות כ-357. ניהול סיכונים אינו ארוע בודד. יש לבצע ניהול סיכונים לכל אורך חיי הארגון (או התהליך, או הפרוייקט) היות ובמשך הזמן נוצרים סיכונים חדשים וסיכונים מוכרים משתנים או אפילו מתבטלים. אנו רואים כיום הפנמה של ההבחנה כי ניהול סיכונים יחידני או מקומי אינו מספק. הבנה זו מביאה לנטיה גוברת והולכת ליישום מדיניות מובנית לניהול סיכונים כולל תוך כדי הגדרת פונקציה של CRO (קיצור ל-Chief Risks Officer) שמשימתו המוגדרת היא ניהול ארגוני משולב של כלל הסיכונים ERM – Enterprise Risk Management. אכן, ראינו לא פעם כי ה'סמן' להפנמה של מושג או הכרה בצורך או תפקיד מגולמת בהגדרה של תפקיד המיועד לנושא.
>>> להלן מספר חברות המתמחות בתחום ניהול הסיכונים:
• מתודה מחשבים. מתודולוגיית ניהול סיכונים - MethodRISK - מבית היוצר של מתודה מאפשרת זיהוי של הסיכונים המרכזיים בצורה אפקטיבית, תוך פרק זמן קצר, ביחס עלות-תועלת מינימאלי.
למידע נוסף הכנסו ל: MTOD.rfigo.co.il
• אנטרופי יועצים. מתן פתרונות ייעוץ ובקרה מתקדמים בתחום ניהול הסיכונים התפעוליים, תאימות רגולטורית לרבות Sarbanes Oxley, Basel II, Solvency II, ניהול סיכוני IT וביקורת פנימית.
למידע נוסף הכנסו ל: ANTP.rfigo.co.il
• קבוצת הלפרין למידע נוסף הכנסו ל: HMS.rfigo.co.il
• סילבר.נט למידע נוסף הכנסו ל: SLVR.rfigo.co.il
• קומיוג'ן למידע נוסף הכנסו ל: CMGN.rfigo.co.il
• סקיורוויז'ן למידע נוסף הכנסו ל: SECV.rfigo.co.il
• ארנסט אנד יאנג למידע נוסף הכנסו ל: ERNS.rfigo.co.il
לקבלת מידע על חברות נוספות הפעילות בתחום ניהול הסיכונים, הכנסו ל- www.RFIgo.co.il
קלי ו-צלי כ"א עם למעלה מ-20 שנות נסיון בתחומי המיחשוב הארגוני - תוכנה, ייעוץ וניהול. הקימו את RFIgo - מרכז המידע לענף המיחשוב. מספקים מידע מקצועי מקיף, מפורט, מעמיק ועדכני אודות כלל החברות בתחומי המיחשוב, המוצרים והשרותים.
אתר: www.RFIgo.co.il
אתר: www.RFIgo.co.il