ניהול סקר סיכונים בעסק
חברות וארגונים עושים כיום סקר סיכונים בעסק באופן תקופתי. בדרך כלל המניע לסקר הינו אסדרה (רגולציה) כזו או אחרת אשר מנחה את החברה להכין סקר סיכונים תקופתי – כל מספר שנים.
עד כאן – הכל טוב ויפה. אך כיצד ממשיכים? איך גורמים לכך שהסקר לא יעלה אבק וייגנז כעבור כמה שנים כשיוכן הסקר הבא? מה ניתן לעשות עם הסקר וכיצד גורמים לקיומו של תהליך ניהול סיכונים לרקום עור וגידים? על שאלות אלו במאמר זה.
המאמר בא להוסיף נדבך ידע נוסף לחמשת המאמרים בנושא זה אשר הופיעו בביטאון רואה החשבון הכולל את הנושאים הבאים:

מתודולוגיה לסקר סיכונים
בניית מתודולוגיה אחידה לכל סוגי הסיכונים בארגון תוך הצגת סרגלים ברורים לכל סוג של הערכה ,זאת בכדי לשפר את מהימנות המדידה של סקר הסיכונים.
- הכללת נושא "ברבורים שחורים" בסקר הסיכונים.
- הצגת מודל יישום והטמעת סקר הסיכונים כמסמך מייסד וכבסיס לתכנית עבודה של הארגון.
הכנת התשתית
על מנת לבסס תהליך ניהול סיכונים אפקטיבי בארגון, על בסיס סקר סיכונים תקופתי, יש לדאוג כי הסקר יוכן מראש באופן המתאים. על תשתית הנתונים לכלול הכנה לתהליך שיבוא ועל הסקר להיות מהימן ומתאים לחברה ולמנהליה אשר יצטרכו בהמשך לטפל בסיכונים, בהתאם לסדר העדיפויות אשר הסקר מכתיב.
מיפוי יעיל של הסיכונים: קביעת בעלי הסיכון ומניעת כפילויות
הכנה נבונה של סקר סיכונים בעסק ראשון בארגון תכלול לפחות 2 סבבי ראיונות עם "בעלי הסיכון" (Risk Owners). במידה והסקר איננו הסקר הראשון המתבצע בארגון, ייתכן שיהיה ניתן להסתפק בסבב אחד ולהסתמך על נתוני הסקר הקודם. בסבב הראשון יש לערוך מיפוי של התהליכים והסיכונים בארגון: יש לברר מהם התהליכים אותם הם מנהלים ו/או גורמי מאקרו המהווים גורמי סיכון ראשוניים בתחומי אחריותם, ולאחר מכן לפרט לכל תהליך וגורם ומהם תרחישי הסיכון העלולים להתממש.
לאחר השלמת סבב הראיונות הראשון, יש לערוך עבודת מטה מרוכזת- יש לוודא שמרואיינים שונים לא תיארו סיכונים זהים.
דוגמה: מנהל תפעולי האחראי על מתן שירותים או על תהליכי ייצור, עלול להציג תרחיש של תקלות הנובעות מתשתית רעועה או מקריסה של מערכת ממוחשבת או מנפילות תקשורת. במקביל, מנהל יחידת המחשב יתאר סיכון קריסה משלו. האחראי על התקשורת יחשוש מנפילות תקשורת בתחום זה ובתחומים נוספים, והאחראי על תחזוקת המבנים יפרט סיכון הנובע ממבנה מעורער. כל אחד מ-3 הסיכונים שתוארו אמור להיות באחריות של גורם אחד בלבד. יש להחליט מיהו האחראי לסיכון והוא יהיה אותו אדם אשר גם יעריך את חומרתו. מה שחשוב ביותר בשלב זה, הוא לקבוע את האחראי המתאים, באופן שאותו אחראי ידע, יוכל ויהיה מתפקידו לבצע בהמשך הדרך תכנית טיפול בהפחתת הסיכון.
הכללת כל סיכון מהותי אפשרי
ניתן להכין סקר סיכונים במספר שיטות. רבות כבר נכתב על סקרים אשר הוכנו Bottom-Up או Top-down. מה שחשוב הוא שבסופו של התהליך, ייכלל בסקר כל סיכון מהותי אפשרי שניתן להעלות על הדעת.
לבד מהברור מאליו שהוא הכללת סיכונים תפעוליים, סיכוני ציות וסיכונים פיננסים, יש לזכור להכיל גם סיכונים אסטרטגיים. בארגונים המיישמים את תקנות SOX (וגם כאלו שאינם עושים זאת), יש לדלות, מתהליכי סביבת הבקרה (Entity Level Controls), ללא משוא פנים, את הסיכונים המשתמעים, לרבות סיכונים העלולים לנבוע מפעולות לא אחראיות של בעלי עניין ובכירים. יש לכלול כל גורם מאקרו אפשרי, העלול להשפיע על תהליכי הארגון, כדוגמת: פגעי טבע, חקיקה ואסדרה, תחרות, חשיפות לנתונים מאקרו כלכליים, פגיעות בתשתית בסביבת הארגון וכד'.
מדידה אחידה לרוחב הארגון
מטבע הדברים, מתודולוגיות למדידת הסיכונים אינן מדע מדויק. יש ליישם מתודולוגיה סדורה אשר תמדוד את סיכוני הארגון באופן אחיד ככל הניתן. מתפקידו של עורך הסקר למנוע או למזער את ההטיה. מדידה אחידה תשיג לסקר הסיכונים מידה רבה של אמינות והסכמה. דבר זה נחוץ ביותר להמשך תהליך ניהול הסיכונים בארגון, שכן דירוג הסיכונים לפי מידת חומרתם מהווה מדד אובייקטיבי שעשוי לשמש כלי לקביעת הקצאה של משאבים עתידיים.
מתודולוגיות מקובלות וראויות, מפנות למנהלים סדרת שאלות ועליהם לדרג את התהליכים והסיכונים ברמות שבין 1-5. במשך ביצוע הסקר, סוקרים שונים פונים למרואיינים שונים עם סדרת שאלות זהה, אך מרואיינים שונים בארגון ידרגו רמות סיכון לקריטריונים השונים באופן שונה. כל אחד מהם עלול להבין אחרת את השאלה ולקבוע ציונים בהתאם להבנה סובייקטיבית הנכונה לאותו יום ולמצב רוח משתנה.
דוגמה 1– כאשר מנהל יתבקש לדרג את מידת הנזק התדמיתי בעת התממשות סיכון, מנהלים שונים עלולים לקבוע רמת סיכון שונה לאותו התרחיש לפי מידת קרבתם הארגונית לסיכון המתואר ולפי אופיים הסובייקטיבי.
הפתרון – בפני כל מרואיין, יש להציג סולם ערכי או "סרגל", המדרג תוצאות אפשריות של נזק תדמיתי כדוגמת הסרגל המוצג להלן.
מידת הסטייה בדירוג עשויה להצטמצם באופן ניכר:
5- נטישת לקוחות משמעותיים
4- עזיבה של מספר לקוחות או לקוח משמעותי בודד
3- לקוחות מביעים רצון לנטוש / אי נעימות תקשורתית
2- נזק תדמיתי מועט
1- אין נזק תדמיתי
באופן דומה, מומלץ להכין סרגל ערכים, המותאם לאופי הארגון וגודלו, לכל אחת מהשאלות המופנות למרואיינים בסקר.
דוגמה 2 – מרואיינים שונים, בעלי רמת מעורבות רגשית שונה, יעריכו באופן שונה את מידת הנזק הכספי לחברה כתוצאה מתאונת עבודה: פציעות קלות של עובדים, פציעות קשות לרבות היעדרות ממושכת או, חלילה, עובד הרוג.
הפתרון -יש לקבוע בהתייעצות מוקדמת את גובה עלות תאונת עבודה לארגון. הנושא מקבל משנה תוקף בארגונים בהם הנזק הכספי של תאונת עבודה יוערך ע"י מספר מרואיינים שונים. בעת עריכת הסקר, פרמטר כזה יהיה קבוע ואחיד.
הכנת ראשי פרקים לתכנית עבודה להפחתת הסיכונים
בעת ביצוע ראיונות עם עובדי הארגון "בעלי הסיכון" (Risk Owners), נהוג להפנות אליהם רשימת שאלות לצורך דירוג כל סיכון וסיכון.
כבר בשלב זה, יש להוסיף לסדרת השאלות שאלה פתוחה נוספת: "מה ניתן לעשות על מנת להפחית את הסיכון?" שאלה זו תישאל בין אם הפעולות המתוארות מתבצעות ובין שאינן מתבצעות. במידה והשאלה כבר עלתה בסבב פגישות או בסקר קודם, אזי יש להפנות את המרואיין לכתוב ולבקש התייחסות: עדכון או הסכמה לכתוב.
הכנה ראויה של הסקר, תמפה מראש רשימה של תכניות אפשריות להפחתת תרחישי הסיכון. המרואיין יתבקש לספק התייחסות מתאימה.
מיפוי זה, הוא התשתית הראשונית לתכנית הטיפול בסיכונים שתבוא בהמשך. בשלב זה, מושגת ההסכמה הראשונה עם בעלי הסיכון, על הפעולות אשר הם יידרשו להוביל.
אופן הצגת הסקר
מרבית המתודולוגיות המקובלות, מכפילות את דרגת עוצמת הסיכון, ואת דרגת או ההסתברות להתממשות הסיכון. כך, באופן טבעי, מתמיינים למעלה הסיכונים בעלי העוצמה הגבוהה וההסתברות הגבוהה להתרחשותם.
מתודולוגיה כזו, הגם שמשיגה את מטרתה, לוקה בהתעלמות מקבוצת ה”ברבורים השחורים“.[2] המדובר בסיכונים מאד קריטיים לארגון אשר ההסתברות להתרחשותם מוערכת בסקר כנמוכה.
הצגה מושכלת של סקר סיכונים תכלול הליכה ב”שני ראשים“. הראש הראשון והראשי יכלול את הסיכונים הגבוהים ביותר לארגון, בהתאם למתודולוגיה המחושבת הרגילה. הראש השני יכלול את הברבורים השחורים: הסיכונים בעלי העוצמה הגבוהה ובעלי ההסתברות הנמוכה.
אופן הצגה כמתואר לעיל, עשוי להפוך סקר סיכונים ממסמך לא רלוונטי, אשר מתעלם או "מחביא" סיכונים אי שם באמצע הרשימה, למסמך המקבל הסכמה רחבה. במילים אחרות: ממעמד של עוד מסמך בארגון למסמך מייסד.
הצגה ראשונה של תכנית עבודה
על מנת ליישם תהליך ניהול סיכונים, אשר יפעל להקטנה ולמזעור של רמות הסיכון, רצוי שכבר בעת הצגת סקר הסיכונים תוצב התוויה של שיטה ויוצבו אבני דרך.
באופן זה, כבר בעת הצגת הסקר לראשונה בפני הנהלת הארגון והדירקטוריון, אישור הסקר יגלם בתוכו גם אישור ראשוני ורתימת הארגון לתכנית שתבוא ותנוהל לאחר שהאבק שהסקר הרים, ישוב וישקע.
שלב היישום
הצגת תוצאות סקר הסיכונים לדירקטוריון והפצתו בארגון מהווה סיום שלב חשוב והכרחי בתהליך ניהול הסיכונים, שלב שבו הגדיר הארגון מה הם הסיכונים איתם הוא אמור להתמודד וסדר הטיפול בסיכונים אלו.
השלב הבא בתהליך ניהול הסיכונים בו מתורגמים תוצאות הסקר לפעילות ניהול ומזעור הסיכון היינו שלב היישום.
שלב זה היינו חוצה ארגון ומחייב התארגנות, שיתוף פעולה ומחויבות הנהלה.
לצורך תכנון וניהול שלב היישום מומלץ לעשות שימוש במודל ניהול שינוי המוצג להלן:
מודל ניהול השינוי – ניהול סיכונים

מודל ניהול השינוי
יצירת הדחיפות הנה חשובה מעצם העובדה שהסיכונים כולל אותם המוגדרים כברבורים שחורים טבעם להתממש, מכאן שמוצע להשתמש בנושא הדחיפות לצורך גיוסם של הדירקטוריון, המנכ"ל, סמנכ"לים, עובדים וועדים במידה וקיימים כאלה בארגון לטובת הנושא.
את הסיכונים ניתן לחלק לסיכונים טקטיים וסיכונים אסטרטגיים. עבור חלק מהסיכונים הטקטיים, במידה ולא יוקטנו, קיימת הסתברות שיתפתחו לסיכונים אסטרטגיים. סל הסיכונים הן הטקטיים והן האסטרטגיים מהווה איום על מימוש האסטרטגיה של הארגון ומימוש החזון האירגוני ומכאן הצורך לגייס ולהציב את המנכ"ל והסמנכ"לים כמובילים את תהליך היישום.
העובדה שסל הסיכונים מאיים על הישגי החברה חייב להיות מועבר ומוסבר לכל העובדים והמנהלים בארגון במסגרת ישיבות הנהלה ופגישות עבודה עם עובדים הן על ידי המנכ"ל והן על ידי המנהלים תחתיו. האחריות לתכנון ויישום התוכנית לניהול הסיכונים הנה של הסמנכ"לים כאשר מנהל הסיכונים אחראי על ביצוע בקרת איכות לתוכניות, וכן על התיאומים והבקרות על פעילות זו. תוכנית היישום, אשר תשולב בתוכנית העבודה השנתית של כל סמנכ"ל , תציג את הנושאים הבאים:
- הסיכונים אשר יטופלו על ידי כל סמנכ"ל בארגון בהתאם לסדרי עדיפויות שנקבע בסקר הסיכונים;
- הסיכונים המוגדרים ברשימת "הברבורים השחורים" ואשר הוחלט על טיפול בהם במשותף עם המנכ"ל, מנהל הסיכונים והסמנכ"לים;
- הפתרון להקטנת הסיכון ושלבי הביצוע;
- המשאבים הנדרשים למימושו של כל פתרון;
- האחריות האישית לביצוע;
- תאריך התחלת הפעילות ותאריך הסיום המתוכנן;
- מדדי בקרה.
לצורך ניהול היישום ימנו הסמנכ"לים כל אחד בתחומו בתאום עם מנהל הסיכונים, נאמני ניהול סיכונים אשר ירכזו את הפעילות ברמת הפונקציה האירגונית. אחריות נאמני הסיכונים תכלול את הסיוע לסמנכ"ל בפעילות התכנון והמעקב כל זאת מבלי לשחרר את הסמנכ"ל מאחריותו לביצוע התכנון והמעקב אחר ביצוע התוכנית בתחום אחריותו.
נאמני ניהול הסיכונים ייצגו את הסמנכ"ל בישיבות מעקב אותם ייזום מנהל הסיכונים אחת לתקופה אך לא פחות מאשר אחת לרבעון.
התוכנית לניהול הסיכונים תגובש בשיתוף מנהל הסיכונים. התוכנית תאושר תחילה על ידי הסמנכ"לים ולאחר מכן תועבר לאישור המנכ"ל כחלק מתוכנית העבודה השנתית. מנהל הסיכונים יבדוק כי התוכנית המוצגת למנכ"ל כוללת תכניות הפחתת סיכונים לסיכונים העיקריים והמהותיים בהם לדעתו יש הכרח לטפל, בכלל זה תיבדק גם הכללת טיפול בהקטנת סיכוני הברבורים השחורים. תוכנית העבודה השנתית תוצג לדירקטוריון ע"י המנכ"ל.
מנהל הסיכונים ידווח לדירקטוריון על אופן שילוב הטיפול בסיכוני החברה במסגרת תוכנית זו. דיווח על התקדמות תוכנית היישום תוצא לפחות אחת לרבעון למנכ"ל ולסמנכ"לים, על ידי מנהל הסיכונים, על בסיס דיווח התקדמות שיעשה על ידי נאמני הסיכונים. הדיווח יכלול בין השאר פיגורים בביצוע תוכנית העבודה כולל פעילויות שאמורות היו להתחיל ולא התחילו. אחת לתקופה אך לא פחות מרבעון יינתן דיווח על ידי מנהל הסיכונים לדירקטוריון.
על הדירקטוריון לעקוב אחר ביצוע תוכנית העבודה ולקבל הסבר מהמנכ"ל על הסיבות לאי העמידה בתוכנית. ובנוסף על הדירקטוריון לדרוש הצגת פעולה מתקנת לגבי הפעילויות המתעכבות. תפקיד הדירקטוריון במקרה זה הינו להראות ענין ודאגה כנה לנושא מזעור הסיכונים וזאת במטרה לחלחול הנושא לתוך הארגון.
הדיווח לדירקטוריון על עמידה או אי עמידה ישמש בין השאר ככוח מניע, היוצר מוטיבציה למנהלי החברה ועובדיה ליישומה של התוכנית.
הסמנכ"לים, נאמני הסיכונים ושאר עובדי החברה הקשורים לתוכנית היישום יבחנו מול מדדי הביצוע ברמה רבעונית כחלק מהעמידה בתוכנית העבודה הכללית.
פעילויות בתוכנית היישום אשר יסתיימו ומנהל הסיכונים אישר את אפקטיביות הפתרון שלהם יעודכן מקדם הסיכון כך שישקף את מזעורו. בנוסף מנהל הסיכונים יהיה אחראי לבחינת מימוש פוטנציאל ההתייעלות אשר הוגדר בתוכנית העבודה.
המנכ"ל, סמנכ"לים ונאמני הסיכונים ידאגו ליידע את עובדי החברה בהישגי שלב היישום. בנוסף לכך יעשה שימוש באתר החברה או בכל אמצעי אחר הנגיש לעובדי החברה ובו ניתן להציג הישגים אלו.
מנהל הסיכונים, בשיתוף הסמנכ"ל ונאמן ניהול הסיכונים הישים, יבחנו את השיטה לצורך שימור מזעור הסיכון אשר הושג במסגרת תוכנית היישום.
במידת הצורך יוצא נוהל או הוראת עבודה על מנת לוודא את שימור השיטה להקטנת הסיכון שהושג.
שינוי בתוכנית היישום יעשה רק באישור המנכ"ל. תוכנית היישום תסתיים עם סיום סקר הסיכונים החדש ותרגומו לתוכנית יישום חדשה. ניהול סיכונים חייב להיות דינמי, עדכני ומתמשך לאורך חיי הארגון ולהיגזר מהתנודות והשינויים הפועלים על העולם העסקי תוך מתן מענה לסיכונים אותם מציגים כוחות הטבע .
ארגון השואף להצלחה חייב לנהל את הסיכונים המאיימים על הצלחתו ושרידותו העסקית
נכתב על ידי גדעון שילה – מנהל סיכונים נמל אשדוד, מוטי פסטרנק- מנכ"ל משותף טקטרנדס יעוץ וניהול בע"מ
[1] "נושאים באחריות" – יונתן מנוחין, ניר קורן ;
"ניהול סיכונים או סיכון הניהול?" – ניסים מלכי ;
"במחשבה תחילה" – אייל בן-אבי ;
"סיכון לא מחושב" – אילן האמל ;
"סיכונים עקרוניים ועקרונות לסיכונים" – יצחק ליפל.
[2] במשך מאות שנים, היו משוכנעים באירופה שכל הברבורים לבנים. רק לאחר גילוי אוסטרליה, התברר שברבור יכול להיות גם שחור. נסים ניקולאס טאלב הפך (בספרו ”הברבור השחור“ משנת 2007) את הברבור השחור למטאפורה: אירוע נדיר ובלתי צפוי, בעל השפעה דרמטית, אשר לאחר התרחשותו אנו רוקחים הסבר להתרחשותו הגורם לו להיראות אקראי פחות וחזוי יותר.