ייעוץ עסקי בקרה וניהול סיכונים

האם אנו מנהלים את הסיכונים או שמא הסיכונים מנהלים אותנו?

עשרה עקרונות לניהול סיכונים מושכל בעידן שלאחר משבר 2008

מדי כמה שנים, ובמחזוריות שלא ניתן לצפותה מראש, פורץ משבר עולמי הקורא תגר על תפישות מקובלות ומתודולוגיות קיימות בניהול סיכונים בארגונים וחברות עסקיות.

העשור הראשון של המאה ה -21 הביא עימו את משבר התפוצצות בועת ההי-טק בשנת 2000, את משבר אנרון ודומותיה בשנת 2002 ואת המשבר הפיננסי בשנת 2008.

בתחומים שאינם עסקיים פיננסיים טהורים, ניתן לציין משברים הנובעים מאסונות טבע בהיקפים גדולים, כדוגמת הצונאמי ביפן על השלכותיו בהקשר של נפילת כורים גרעיניים ואובדן מקורות אנרגיה.

כל משבר שכזה מביא עימו זעזוע וצורך בניתוח מהיר של הכשלים והפקת לקחים, על מנת שניתן יהיה בעזרתם להיערך נכונה למשבר הבא לכשיגיע.

ואולם, המאפיין המרכזי של כל אחד מהמשברים הוא שיישום הלקחים והפקתם מהמשבר שקדם לו, לא מנע ולו במעט את עצם הופעתו של המשבר הבא ואת הנזקים החדשים הלא מוכרים שגרם עם הגעתו.

דומה הדבר להערכות טובה למלחמה הקודמת או ל"נעילת אורווה" לאחר שהסוסים כבר ברחו ממנה.

לכן נשאלת השאלה, על מה הדירקטוריונים  וההנהלות של ארגונים וחברות עסקיות אמורים לשים דגש, בבואם להיערך כיאות לניהול מושכל של סיכונים תוך חתירה להשגת היעדים העסקיים של הארגון או החברה.

כיון שהניסיון האנושי מלמד אותנו שחיזוי אופיו, עיתויו ועוצמתו של המשבר העתידי הבא הינם רנדומאליים ולא מעשיים, הרי שהדגש צריך להינתן על בניית "ארגז כלים", ששימוש בו בידי אורגני- העל של הארגונים והחברות יוכל לקדם את תרבות ניהול הסיכונים המיטבי שלהם במגוון תרחישי משבר אפשריים.

לצורך כך, בחרנו עשרה עקרונות לניהול סיכונים מושכל, המורכבים משימוש ב"ארגז כלים" מעולמות תוכן שונים, אשר יישומם עשוי לקדם את היערכותם של חברות וארגונים להתמודדות עם משברים בלתי צפויים, וכן עשוי לשפר את היערכותם של הדירקטור והמנכ"ל לקיום חובת הזהירות בהיבט של ניהול סיכונים.

1.  ודאו ביצוע של סקר סיכונים תקופתי כולל לחברה/ארגון

מטרתו של סקר הסיכונים התקופתי היא מיפוי כלל הסיכונים המהותיים בפניהם עומד הארגון, לפי קטגוריות סיכון מקובלות (עסקי, שוק, תפעולי, חשיפה למעילות והונאות, משפטי, שיורי, ציות, מוניטין, אסטרטגי, מודלים, מיקור חוץ, וסביבתי). לאחר מיפוי הסיכונים בכל קטגוריה יש למפות לכל סיכון את הבקרות הקיימות להפחתתו, להעריך את חוזקתן של בקרות אלו, ולאחר מכן להעריך את הסיכון השארי הנגזר מכל סיכון בכל קטגוריה.

שימוש ברמות סיכון שארי של נמוך, בינוני, גבוה, וגבוה מאוד, מאפשר את הפניית משאבי ההנהלה לטיפול בסיכונים שאריים ברמה בינונית ומעלה בלבד. רצוי לשאוף שסקר הסיכונים התקופתי יבוצע בידי חברות מקצועיות חיצוניות המתמחות בכך ולא בידי מנהלי הארגון, וזאת כדי להשיג אובייקטיביות ואי תלות, כמו גם להשיג יכולת השוואה לארגונים אחרים בענף בו פועל הארגון. רצוי גם לחדש את סקר הסיכונים התקופתי אחת לשנתיים, עקב שינויים בסביבה העסקית הדינאמית של הארגון ובתהליכי העבודה שלו.

2.  הקימו פורום חשיבה של "תרחישי קיצון" ברמת מנכ"ל

שאלת מפתח בניהול סיכונים ברמה האסטרטגית הוא : מה עשוי להשתבש ?  מסמך ועדת באזל ממאי 2009 1 קובע, כי אחד מלקחי המשבר הפיננסי הוא שתאגידים בנקאיים שנחשפו במידה משמעותית למשבר והצליחו לעמוד בו בצורה טובה יחסית, אופיינו בכך שההנהלה הבכירה גילתה בדרך כלל עניין פעיל בפיתוח מבחני קיצון ויישומם, דבר שהביא לשימוש בתוצאות מבחני הקיצון כתשומה בקבלת ההחלטות האסטרטגית של הארגון. מעורבות הדירקטוריון וההנהלה הבכירה נדרשת בקביעת מטרות מבחני הקיצון, בהגדרת התרחישים, בדיון בתוצאות מבחני הקיצון, בהערכת פעולות אפשריות ובקבלת החלטות.

בהקשר זה יש לזכור כי רוב המודלים לניהול סיכונים, לרבות מבחני קיצון, משתמשים בקשרים סטטיסטיים היסטוריים כדי להעריך סיכון. הם מניחים שסיכון מונע על ידי תהליך סטטיסטי ידוע וקבוע, כלומר: הם מניחים שקשרים היסטוריים מהווים יסוד טוב לחיזוי התפתחותם של סיכונים בעתיד.

משבר 2008 חשף פגמים חמורים בהסתמכות בלעדית על גישה מסוג זה. סיבה ראשונה לכך היא שלפני משבר ישנה תקופה ארוכה של יציבות, המידע היסטורי משקף תנאים שפירים, וכך המודלים הקלאסיים לא "לוכדים" את האפשרות שיחולו זעזועים חמורים וגם לא את הצטברות נקודות התורפה במערכת. קשרים היסטוריים סטטיסטיים כמו מתאמים, הוכחו כבלתי מהימנים מרגע שהאירועים הממשיים החלו להתפתח.

סיבה שנייה היא, כי במיוחד בתנאי קיצון, מאפייני הסיכונים יכולים להשתנות במהירות, שכן תגובותיהם של משתתפים בשוק יכולות לעורר השפעות היזון חוזר ולהוביל לאינטראקציות במערכת כולה. השפעות אלו עלולות להגביר משמעותית את הזעזועים הראשוניים ואת האפקט השלילי שלהם.

אחד הלקחים ממשבר 2008 הוא שרוב מבחני הקיצון בתאגידים שנקלעו למשבר חמור, לא תוכננו באופן שלכד את אירועי השוק הקיצוניים שהתרחשו.  חלק ניכר מההיבטים של מבחני הקיצון שגובשו לא תאמו את ההתפתחויות בפועל. התרחישים נטו לשקף זעזועים מתונים , להניח שמשברים ימשכו זמן קצר יותר ובוצעה אמידה בחסר של המתאמים בין פוזיציות שונות, סוגי סיכון ושווקים, הנובעים מאינטראקציות כלל מערכתיות ואפקטים של היזון חוזר.

לפני המשבר , תרחישי קיצון "חמורים" הובילו בדרך כלל לאומדני הפסדים שאינם עולים על שווי רווחים רבעוני.  בתאגידים רבים, מנהלי הסיכונים התקשו להשיג שיתוף פעולה מההנהלה הבכירה לצורך בחירת תרחישים חמורים יותר. תרחישים שנתפשו כקיצוניים או חדשניים, נחשבו על ידי הדירקטוריון וההנהלה הבכירה כבלתי סבירים.

3.  אחדו תשתיות ניהול סיכונים בארגון

בקוביית מיפוי הסיכונים הידועה של מודל COSO קיימים 3 פלחים מרכזיים של משפחות סיכונים : הסיכונים התפעוליים, סיכוני הציות, סיכוני הדיווח הפיננסי. תקינת סרבנס-אוקסלי (SOX), לדוגמא, עוסקת במשפחת סיכוני הדיווח הפיננסי. הלקוחות הטבעיים לתקינה זו הם הגורם האחראי בארגון על הדיווח הכספי כגון CFO או חשב, מובילי התהליכים השונים בארגון האחראים לתחזוק ועדכון הבקרות באופן שוטף וכן רואה החשבון המבקר, שאמור לתת חוות דעת בתום תהליך בדיקתו לגבי אפקטיביות הבקרות הקשורות לדיווח הכספי של הארגון.

תקינה של הרגולטורים הרלוונטיים בארץ (המפקח על הבנקים, הממונה על שוק ההון והביטוח, רשות החברות הממשלתיות, רשות ניירות ערך, רשות ההגבלים העסקיים ועוד) מחייבת ציות במרחב רגולציה רחב ומפורט, והלקוחות הטבעיים לתקינה זו הם קצין הציות, סמנכ"ל הרגולציה, ומנהל היחידה המשפטית בארגון.

תקינת ניהול הסיכונים הכולל ברמת הארגון פונה ללקוח הטבעי שלה שהוא מנהל הסיכונים בארגון, המהווה בקר הסיכונים הראשי של הארגון,  וכן אל מגוון המנהלים בארגון שאחריות ניהול הסיכונים ב"רצפת הייצור" מוטלת בראש ובראשונה עליהם (כגון: המנהל העסקי – מנהל את הסיכונים העסקיים, CFO – מנהל את סיכוני השוק, מנהל יחידה משפטית – מנהל את הסיכונים המשפטיים ועוד).

מעל כל אלו נמצאת הביקורת הפנימית שבתכנית העבודה שלה אמורה לבקר את כל אורגני הארגון ואת איכות ניהול הסיכונים על ידם.

מכיוון שלכל תקינה שפה משלה וטרמינולוגיה ייעודית, יש ליצור בארגון תהליך סינרגיה יעיל הנתמך במערכת מידע מתאימה כדי לא להשקיע משאבי בקרה כפולים מצד אורגנים שונים.2 המשמעות היא, שכל גורם בקרה בארגון יהיה מיודע בתוצרי הגורמים האחרים טרם כניסה לתהליך בדיקה, בקרה או ביקורת וימקד את מאמציו בחשיפות לסיכונים שטרם אותרו או טופלו.

4.  דרשו מהביקורת הפנימית בארגון מעקב אפקטיבי תקופתי אחר המלצות פתוחות מכלל מקורות הביקורת וסקרי הסיכונים 3

לדוחות ביקורת וסקרי סיכונים למיניהם, יש ערך רק במידה והמלצותיהם משויכות למנהלים האחראים ליישומן, בלוח זמנים מוגדר ותוך דיווח לועדת הביקורת בדירקטוריון על המלצות שיישומן חורג מתאריך היעד שנקבעו. קיום מערך לביצוע מעקב אפקטיבי אחר המלצות ביקורת בארגון, מחדד את יכולת הבקרה של כלל האורגנים לסגירת פערים שהתגלו במשימות ביקורת וסקרי סיכונים. בכך הוא תורם באופן ישיר לאפקטיביות של הניהול הבכיר ושל אורגני-העל של הארגון ובראשם ועדת הביקורת של הדירקטוריון, וכן לאפקטיביות הפיקוח של הרגולטורים.

הביקורת הפנימית היא הגורם הטבעי המתכלל (אינטגרטור) שאמור לרכז את התוצרים ברמת חשיפות (המלצות) פתוחות שטרם טופלו ולהוביל את הדיווח לועדת הביקורת של הדירקטוריון.

5.  דרשו מהביקורת הפנימית לאפשר ביצוע סקר הבטחת איכות חיצוני תקופתי של מערך הביקורת הפנימית 4

לסקר הבטחת איכות חיצוני (QAR) הגדירה לשכת המבקרים הפנימיים העולמית (IIA) מספר מטרות:

-הערכת היעילות והאפקטיביות של פעילות הביקורת הפנימית בארגון, תוך התבססות על כתב המינוי של הביקורת הפנימית (CHARTER), על ציפיות הדירקטוריון וההנהלה ועל תפישת הביקורת של המבקר הפנימי.

-זיהוי הזדמנויות לשיפור יעילות ואפקטיביות. גורם מקצועי חיצוני מוסמך עשוי לזהות הזדמנויות ולתת המלצות למנהל יחידת הביקורת וצוותו לשיפור ביצועי היחידה, והעלאת ערכה המוסף של פעילות הביקורת הפנימית בארגון בהתאם ל Best Practice.

– עמידה בתקנים מקצועיים מקובלים. גורם מקצועי חיצוני מוסמך עשוי לחוות דעה באשר להתאמת פעילות הביקורת הפנימית בארגון לתקנים הבינלאומיים המחייבים.

סקר הבטחת איכות חיצוני יוכל לתת תשובות איכותיות לשאלות הבאות :

  • איזו תרומה אנו מקבלים מהביקורת הפנימית ? האם התפקיד מוגדר היטב ? האם התפקיד מותאם לסיכונים של החברה ופונקציות הבטחה אחרות בארגון (מנהל סיכונים, קצין ציות, אחראי SOX וכדומה) ?
  • האם ביחידת הביקורת הפנימית יש צוות מיומן העונה על הדרישות המקצועיות ממנה ?
  • האם הביקורת הפנימית מוכוונת לסיכונים הנכונים והאם תוכנית הביקורת מספקת כסוי הולם לסיכונים ?
  • האם הביקורת הפנימית בלתי תלויה ואובייקטיבית ? האם דוחותיה מוערכים על ידי הלקוחות השונים בארגון ומחוצה לו (רגולטורים, רואה החשבון החיצוני) ?
  • האם לביקורת הפנימית תהליך בקרת איכות לתוצריה ולתהליך גיבושם ?

מובן שיש לשאוף כי סקר הבטחת איכות חיצוני יוכל להתבצע על ידי סוקרים מנוסים ומקצועיים שעברם המקצועי כולל ניהול פעיל של יחידת ביקורת פנימית בארגון.

6.  אפשרו לכל אחד מ"שומרי הסף" בארגון גישה ישירה, אחת לשנה, לוועדת הביקורת ללא נוכחות ההנהלה הבכירה 5

קצין הציות, היועץ המשפטי, החשבונאי הראשי והמבקר הפנימי, מהווים את "שומרי הסף" בארגון מבחינת ציפיית החוק, הרגולטורים, הלקוחות, המשקיעים והציבור הרחב. תפקידים אלו מאופיינים בעצמאות המחשבה, אובייקטיביות מקצועית ושימוש בתקנים מקצועיים החיצוניים לארגון.

לגבי האי תלות – כאן מדובר בסוגיה מורכבת יותר, עקב המבנה הארגוני והכפיפות הישירה של רובם של האורגנים הללו. למעשה, המבקר הפנימי הוא היחיד מבין בעלי תפקידים אלו, שכפוף ישירות לרמת הדירקטוריון. שאר בעלי התפקידים כפופים בדרך כלל למנהל הכללי.

יחד עם זאת, ממשל תאגידי נאות, המאופיין בשקיפות ובמסר תקף של "Tone of the top", ראוי שיאמץ עיקרון שהוחל עד לאחרונה במערכת הבנקאית על המבקר הפנימי בלבד, אולם הורחב לאחרונה במסגרת עדכון הוראת נ.ב.ת 301 של בנק ישראל העוסקת בדירקטוריון, גם לבעלי תפקידים נוספים שהציפיות כלפיהם היא להפעלת שיקול דעת מקצועי בלתי תלוי במסגרת ה"בלמים והאיזונים" הנכונים בממשל תאגידי תקין.

עיקרון זה מאפשר לבעלי תפקידים להיפגש כדבר שגרתי על בסיס שנתי, ללא נוכחות ההנהלה הבכירה, לשיחה חופשית עם חברי ועדת הביקורת של הדירקטוריון, במסגרתה מנסים לעמוד האחרונים על אקלים העבודה ודילמות המונחות על שולחנם של בעלי התפקידים. מובן שהפרוטוקולים של ישיבות אלו אמורים להיות מופצים רק למשתתפים בהן.

7.  דאגו לשרידותו הפיסית של הארגון ולתפקודו המלא גם במצב חירום מקומי או לאומי 6

אסון מגדלי התאומים במנהטן בשנת 2001 הדגים את יכולת ההתאוששות המהירה יחסית של ארגונים שהיו להם מתקני גיבוי באזורים גיאוגרפיים מרוחקים, בהשוואה לאלו שלא דאגו לכך מבעוד מועד. שרידות של הארגון אמורה להיות מובטחת גם במצבי חירום שלא תמיד הינם צפויים מראש.  תכניות הפעלת גבוי מאתר חילופי (BCP) והתאוששות מאסון (DRP) חייבות להיות מתוכננות לפרטים ומתורגלות באופן מעשי, תוך מנוי בקר תרגיל אשר יזרים אירועי דמה אותנטיים בזמן התרגיל, להנהלת הארגון. לאחר מכן יש לנתח תכניות אלו לצורך הפקת לקחים וביצוע מעקב אפקטיבי אחר יישומם ושיפור ההיערכות לתרחישי חירום שונים.

בעת הכנת תכניות הגיבוי וההתאוששות מאסון, יש לשים דגש על הגדרת מצבי תקלות ואסונות גם אצל הספקים העיקריים של הארגון, קביעת התהליכים העסקיים החיוניים (תהליכים קריטיים) שיש להבטיח את המשכיותם גם בחירום, משאבי האנוש לתמיכה בתהליכים אלו, מערכות המידע הרלוונטיות לתפעול התהליכים הקריטיים ואופן תפעולם של רכיבי התוכנה, החומרה, התקשורת השונים הקשורים אליהם. כמו כן יש לכלול התייחסות גם להיבטי גיבוי והתאוששות, לרבות התייחסות לגיבוי שוטף, משך הגיבוי ותדירותו, מדיית הגיבוי, זמני השבתה מרביים ותהליך החזרה לשגרת העבודה.

8.  דרשו מכל מנהל אחריות לניהול סיכונים פעיל בתחומו כחלק בלתי נפרד מהגדרת תפקידו

ניהול סיכונים הוא כיום  משימה מהותית הנמצאת על שולחנו של כל מנהל בכל תחום והיקף אחריות. לאמירה זו ישנה השלכה לקביעת סדר יומו של מנהל בארגון, ועל קביעת תוצרי הבקרה אותם הוא אמור לתחזק, לייצר ולדווח לרמות שמעליו.

גם הערכתו התקופתית של מנהל בארגון אמורה לכלול התייחסות לאופן ניהול הסיכונים שבאחריותו. נוסחת הבונוס חייבת לכלול אלמנטים המשקללים את איכות ניהול הסיכונים ותרומתה לניהול הסיכונים הכולל ברמת הארגון.

יתרונה של גישה זו הוא ביזור ניהול הסיכונים לכל דרגי הארגון. ניתן לראות זאת בפרקטיקה הנוהגת בסעיף  404 לתקינת סרבנס-אוקסלי (SOX), בה נקבעים "מובילי תהליך" לכל תהליך רלוונטי לתקינה. הללו חיים באופן יומיומי את תהליכי העבודה, מיפוי הסיכונים, זיהוי הבקרות להתמודדות עם סיכונים אלו, ועדכון הנהלים העוסקים בכך. בכך הם מסוגלים לתחזק את ניהול הסיכונים הנמצאים בתחום אחריותם באופן שוטף, ולהקנות ביטחון לניהול הבכיר של הארגון ולאורגני בקרת-העל, כי ישנה מודעות והתייחסות נאותה לניהול סיכונים פעיל גם ברמת השטח ויישום תהליכי העבודה בפועל.

9.  וודאו שתיגמול המנהלים בארגון מעודד חשיבה לטווח הארוך 7

הטענה המקובלת לאחר המשבר הפיננסי בשנת 2008 היא, כי בונוסים על רווחיות גבוהה בטווח הקצר, ללא התחשבות מספקת בסיכונים הכרוכים בכך והעשויים להתממש בטווח הארוך יותר, הובילו לנטילת סיכונים מופרזת. מנגנוני תיגמול במגזר הפיננסי בעולם שלפני המשבר, היו מוטים לכיוון תגמול בגין ביצועים בטווח הקצר, ולא כללו מנגנוני איזון של "ענישה" בגין ביצועים מאכזבים.

חשיבה מחודשת בעקבות המשבר דורשת לבחון בעת קביעת מנגנוני הבונוס למנהלים, עד כמה יכול הארגון להשיג רווחים יציבים בעתיד. השקעות במחקר ופיתוח, השקעות בהון אנושי והשקעות סביבתיות הינן דוגמא מצוינת לכך.

מוצע כיום לבסס אחוז ניכר מהבונוס השנתי על יכולת הארגון לספק ביצועים עתידיים יציבים, להחיל קריטריונים לקישור הבונוס לביצועים האסטרטגיים של הארגון באמצעות שילוב של מדדי איכות לא פיננסיים, מדידת ביצועי המנהלים מול ביצוע התכנית האסטרטגית, שקיפות ופרסום הקריטריונים לבונוסים, תשלום מבוסס הוכחת ביצוע (פריסה של הבונוסים לטווח ארוך והתניה בהשגת יעדים אלו).

10.  וודאו השתתפות פעילה של מנהלים בארגון בפורומים מקצועיים ועדכניים בתחומיהם

ניהול יעיל ואפקטיבי של סיכונים מבוסס על האצלת סמכויות וביזור, פתיחות מקצועית ואישית, העשרה מתמדת תוך אתגור בלתי פוסק של דפוסי חשיבה, שיטות עבודה, מתודולוגיות וניסיון שיפור תמידי. על מנת שארגון יהיה עשיר בידע עדכני ובהפריה הדדית, יש לאפשר חשיפה תמידית של מנהליו לפורומים מקצועיים ועדכניים, אשר בהם יאתגרו את דפוסי חשיבתם המקצועית.

ארגון המאופיין בפתיחות מחשבתית, בגמישות וביצירתיות של מנהליו, הוא זה המסוגל להתמודד נכונה עם מיפוי וניהול סיכונים בעולם של תנועה והתפתחות דינאמיים. הנהלת ארגון יכולה לאתגר את מנהליה בפרסום מאמרים מקצועיים בפורומים ראויים ו/או נטילת חלק בועדות מקצועיות בתחומם, כחלק מתהליך המצוינות הארגונית והערכות לניהול סיכונים מתקדם.

סיכום

במאמר זה פירטנו עשרה עקרונות לניהול סיכונים מושכל, המורכבים משימוש ב"ארגז כלים" מעולמות תוכן שונים, אשר יישומם עשוי לקדם את היערכותם של חברות וארגונים להתמודדות עם משברים בלתי צפויים, וכן עשוי לשפר את היערכותם של הדירקטור והמנכ"ל לקיום חובת הזהירות בהיבט של ניהול סיכונים.

שימוש ב"ארגז כלים" זה אמור להגביר את ביטחונם של ההנהלה הבכירה והדירקטוריונים של החברות והארגונים, כי נקטו בפעולות יזומות ומקצועיות ראויות, המצביעות על שיקול דעת והשקעת מחשבה ואשר מאפשרות להם לגדר ולנהל היטב סיכונים, בד בבד עם המשך נטילת סיכונים מחושבים 8 הנדרשת לצמיחתן העסקית של החברות במשק.

הערות
1.    עקרונות לניהול נאות ולפיקוח על מבחני קיצון – ועדת באזל לפיקוח על בנקים, מאי 2009.
2.    דורון גבע, "לקחת סיכון בעיניים פקוחות", רואה החשבון, אוקטובר 2009.
3.    איציק ליפל, "מעקב לעקב אכילס", רואה החשבון, אפריל 2010.
4.    דורון רוזנבלום, "הבטחת איכות של מערך הביקורת הפנימית",  אתר לשכת רואי חשבון, אפריל 2011.
5.    הוראת ניהול בנקאי תקין מס. 301, דצמבר 2010, סעיף 35 (ה).
6.    הוראת ניהול בנקאי תקין מס. 357, ינואר 2011, סעיפים 15-16.
7.    גיל מור והילי קריזלר,"שכרם בצידם", רואה החשבון, פברואר 2010.
8.    יוסי גינוסר וישראל גבירץ, "אפשר להיות דירקטור", רואה החשבון, ספטמבר 2010.

יצירת קשר