ייעוץ עסקי בקרה וניהול סיכונים

"חיזוי עתידות" – ניהול סיכונים כולל

בתקופה האחרונה אנו עדים לשימוש ההולך וגובר במונח ניהול סיכונים כאילו היה עוד Buzzword. שימוש נפוץ זה מקשה על יכולתנו להבחין בין ניהול סיכונים כולל לבין סקר סיכונים (הערכת סיכונים). העדר היכולת להבחין בין שני מושגים שונים אלו פוגם ביכולתנו לדעת כיצד ליישם מערך ניהול סיכונים בארגון ולהבין מהי התועלת שניתן להפיק מיישום תהליך שכזה.

כיום נדרשות חברות במסגרת פעילותן העסקית השוטפת לנהל סיכונים במגוון רחב של תחומים. ניהול הסיכונים נדרש מטעמים שונים, ביניהם התחרות הקיימת בשוק מול חברות אחרות, דרישות הדין מתוקף חוק, תקנות (כגון: Solvency II , Basel II, Sarbanes Oxley Act 2002),  הוראות ספציפיות (כגון: הוראה לניהול סיכוני אבטחת מידע בענף הביטוח והפנסיה, הוראת המפקח על הבנקים – ניהול בנקאי תקין – ניהול טכנולוגיית מידע 357) וכמו כן תקנים מקצועיים (כדוגמת תקן מקצועי מספר 18 של לשכת המבקרים הפנימיים בישראל).

בהחלטה להטמיע מערך ניהול סיכונים בארגון טמונות מספר שאלות מהותיות, כגון מהי הדרך האפקטיבית ביותר ליישום מערך ניהול הסיכונים? מיהו הגורם המתאים ביותר בארגון להוביל תחום זה? באיזה מתודולוגיה ליישום רצוי לבחור ואילו כלים ממוחשבים יכולים להיות לעזר ביישום מערך שכזה?
במאמר זה אבהיר מספר מושגי יסוד הקיימים בתחום ניהול הסיכונים ואנסה לענות על מקצת השאלות שהוצגו לעיל.

מהו סיכון ?
סיכון הוא התרחשות אירוע פנימי או חיצוני לארגון אשר יכול להשפיע על יישום האסטרטגיה החברתית ו/או השגת היעדים שנקבעו. בהתאם להגדרה זו, סיכון יחשב כסטייה מהתוצאה הצפויה (סטייה חיובית או שלילית). נהוג לקטלג את הסיכונים על פי קבוצות, כגון: סיכונים תפעוליים, סיכונים טכנולוגיים, סיכונים פיננסים (סיכוני אשראי, סיכוני שוק, סיכוני נזילות), וסיכונים אסטרטגיים.

אם כן,  מהו ניהול סיכונים?
ניהול סיכונים הינו תהליך המכיל שמונה מרכיבים (אשר יפורטו בהמשך) אותם יש ליישם בארגון. ניהול סיכונים הוא אינו סקר הסיכונים (אשר מהווה את אחד השלבים הראשוניים ליישום מערך ניהול סיכונים כולל בארגון בלבד).

מחד, אנו עדים כיום להכרתם של ארגונים בחשיבות הטמונה בביצוע ניהול סיכונים כולל בסיוע בהבנת מכלול הסיכונים בפניהם עומד הארגון. מאידך, לאחר שלב זיהוי הסיכונים  הקיימים הארגונים נתקלים בקשיים בניהול אותם הסיכונים הנובעים בדרך כלל מאי הקצאת משאבים והכרת המתודולוגיה ליישום.

מהי התועלת הצומחת לארגון מניהול הסיכונים ?

• הגידול העסקי, הסיכונים והחזר ההשקעה – ניהול סיכונים נותן בידי ההנהלה אמצעי לזיהוי אירועים העלולים לגרום נזק לארגון ומגדיר את רמת הסיכון בהתאם ליעדי הגידול העסקי ורווחיות הארגון.
• אופטימיזציה של משאבים – ניהול הסיכונים מאפשר להנהלת הארגון לבחון את יעילות השקעת המשאבים בהתאם ליעדי ולסיכוני הארגון ובכך לבצע השקעה אפקטיבית וחסכונית.
• ניצול הזדמנויות – היכולת לזהות הזדמנויות עסקיות ולנצל אותם בהתאם ליעדים העסקיים.
• מיזעור סיכונים תפעוליים והפסדים כספיים – מינוף יכולת הזיהוי של אירועים העלולים לגרום לנזקים, הסיכונים בגינם והבקרה לניהול סיכונים אלה. כתוצאה מכך גדלה יכולת ההנהלה לנהל אי-וודאויות ולהקטין את הנזק הפוטנציאלי מאירועים אלה.
• דיווח אמין ובטוח יותר – העלאת רמת הביטחון במהימנות, בשלמות ובאמינות המידע (הן במידע פנימי והן במידע חיצוני) ועל ידי זאת להעלות את איכות הדיווח הפנימי הניהולי והדיווח הכספי לרשויות.
• תאימות גבוהה לדרישות חוק ורגולציה – היכולת לבצע מעקב על דרישות החוק ולזהות אי התאמה לדרישות חוקיות, ובכך להקטין את החשיפה המשפטית והחוקתית.

אחד המודלים לניהול סיכונים הנפוצים כיום בעולם הינו II COSO (Enterprise Risk Management – Integrated Framework). המודל מגדיר את תהליך ניהול הסיכונים בשמונה מרכיבים אשר יפורטו להלן, (ניהול סיכונים אפקטיבי דורש יישום של כלל המרכיבים בארגון):

1. הסביבה הפנים ארגונית – Internal Environment
השלב הראשון בתהליך ניהול סיכונים הינו הגדרת הסביבה הפנים אירגונית. מחובתו של כל ארגון להיות ער לאפשרות כי עלולים להתרחש אירועים הן צפויים והן בלתי צפויים העשויים למנוע ממנו מלהשיג את יעדיו. מסיבה זו, רצוי כי כל הנהלת ארגון תטמיע תרבות ארגונית לניהול סיכונים ויישום בקרות. דוגמא לפעולות הניתנות ליישום בשלב זה: הגדרת מבנה ארגוני, שיוך אחריות והגדרת סמכויות, יישום נהלי עבודה בתחום משאבי האנוש (המודל רואה במשאב האנושי כגורם מכריע בהצלחתו/כישלונו) ועוד.

2. הגדרת יעדים – Objective Setting
השלב השני הינו שלב הגדרת היעדים האסטרטגיים ולאחריהם הגדרת יעדי משנה אותם הארגון רוצה להשיג. יעדים אלה יהוו בסיס לזיהוי של אירועים פוטנציאלים אשר יכולים למנוע את השגתם.

3. זיהוי אירועים – Event Identification
זיהוי אירועים חיצונים ופנימיים בעלי השפעה (חיובית/שלילית) על השגת יעדיו העסקיים של הארגון כפי שהוגדרו בשלב הקודם. נדרשת הבחנה בין אירוע שלילי לחיובי – אירוע אשר לו השפעה שלילית מייצג סיכון, ולחלופין אירוע אשר לו השפעה חיובית מייצג הזדמנות אשר ההנהלה מתעלת אותו לצורך השגת היעדים שנקבעו.

4. הערכת סיכונים – Risk Assessment
מאפשר לארגון להבין מהי ההשפעה של קיום אירוע על השגת היעדים העסקיים על ידי הערכת הסיכון משני היבטים הסתברות והשלכה. יחידת המדידה אשר משמשת להערכת הסיכון משמשת בדרך לצורך הערכת היעד. בשלב זה אנו מעריכים גם את הסיכון מהיבט הסיכון השיורי והסיכון השורשי, מושגים אשר יוסברו להלן:

• הסיכון השורשי (Inherent Risk): מוגדר כסיכון המובנה מעצם קיום הפעילות ללא תגובה כלל. הערכת הסיכון מאפשרת קביעה של רמת הסיכון הגלום בפעילות היחידה ובכך לקבוע  את תדירות ניהול הסיכון.
• הסיכון השיורי (Residual Risk): הסיכון כפי שהוא מצוי כיום, שארית הסיכון השורשי לאחר מדידת פעילות התגובה של הארגון.
• התיאבון לסיכון (Risk Appetite): רמת הסיכון כפי שההנהלה רוצה שיהיה, ז"א רמת הסיכון השיורי שההנהלה שואפת להגיע אליה (סיכון מטרה). יש המגדירים מושג זה גם כ"סף הכאב".
• מדד ההסתברות – מייצג את ההסתברות והתדירות להתרחשותו של אירוע העלול להוביל לנזק לארגון. מדד זה נבחן ע"י שילוב של קטגוריות שונות אשר אי שלמות בקיומן, עלולה לגרום להתרחשותו של סיכון.
• מדד ההשלכה – מייצג את פוטנציאל הנזק העלול להיגרם לארגון במידה ויתממש אירוע כלשהו. נמדד בפרמטרים של זמן וכסף.

5. תגובה לסיכון – Risk Response
תגובה לסיכון הינה פעולה המצמצמת את ההסתברות לסטייה מהערך המצופה שהוגדר ליעד, והפעולה בה נוקטת החברה על מנת למנוע או לתקן את ההשלכה של האירועים על השגת היעדים.
יש כמה תגובות אפשריות לטיפול בסיכון
• מניעה – נקיטת צעדים על מנת למנוע את התרחשות, דוגמא לפעילויות אלה ניתן לראות הפסקת פעילות, פישוט התהליך, איסור על ביצוע פעילויות וכו'
• הקלה – נקיטת צעדים לצמצום ההשלכה ו/או הסתברות, כגון: פיקוח תקציבי / תחזיות, הגדרת חובת דיווח, הבטחה כי הכישורים המתאימים קיימים, יישום מגבלות, פיתוח תוכנית להמשכיות עסקית וכו'
• העברה – נקיטת צעדים להעברת ההפסד ו/או ההתחייבות המלווה את אותו אירוע שלילי לגורם שלישי, כגון: ביטוח, מיקור חוץ, גידור וכו'
• קבלה – קבלת החלטה על נשיאת ההשלכה כתוצאה מהאירוע שעלול להתקיים, כגון: אי נקיטת צעדים לטיפול בהסתברות לקרות האירוע וההשלכה הצפויה.

יש הרואים תגובה נוספת במכלול התגובות שפורטו לעיל והיא "ניצול", נקיטת צעדים לניצול ההזדמנות, כגון: מיזוג ורכישות, הרחבת הפעילות העסקית וכו'.

ההתאמה של התגובה לסיכון תתבסס על סיבולת הסיכון של החברה. סיבולת הסיכון מייצגת את סף הסיכון בו החברה לוקחת בחשבון כמקובל בהתבסס על הציפיות של בעלי המניות, היעדים והמטרות, והיכולת לנהל את הסיכון. סיבולת הסיכון הינו מדד שניתן לכימות במונחים של מטרות החברה, כגון: רווח נקי, פלח שוק וכו'. האיזון האם התגובה הינה מונעת או מתקנת תלוי במידה רבה האם הסיכון הינו חיצוני או פנימי לחברה.

דוגמא: השלכה למול הסתברות

6. פעילויות בקרה – Control Activities
מדיניות ונהלים אשר עוזרים להבטיח כי התגובה לסיכון אשר נקבעה על ידי הארגון מבוצעת באופן נאות. כדוגמא לבקרות אפשר לראות, אישורים, התאמות, יישום הרשאות והפרדת תפקידים, בקרות ממוחשבות באפליקציה, בקרות מחשוב כלליות וכו'.

7. מידע ותקשורת – Information and Communication
מרכיב זה מדגיש את חשיבות המידע ודורש כי מידע רלוונטי יהיה ניתן לזיהוי, ואיסוף בכל עת על מנת לאפשר לגורמים השונים בארגון לבצע את עבודתם. המידע נדרש בכל רמות הארגון וכיוון זרימת המידע נדרש שתתקיים למעלה, למטה ולרוחב הארגון.

8. מעקב ובקרה – Monitoring
מרכיב חשוב במודל הינו הערכת ביצוע ניהול סיכונים על פני זמן. ביצוע הערכות מתמשכות וחד פעמיות לגבי טיב ניהול הסיכונים יבטיח תהליך ניהול סיכונים אפקטיבי לאורך זמן אשר יביא לתוצאות הרצויות.
פועל יוצא ממודל ניהול הסיכונים COSO הינו, שתהליך ניהול הסיכונים אינו מוגדר כאירוע בודד או תנאי כלשהו, אלה  סדרה של פעולות אשר מוטמעות במסגרת הפעילות הארגונית וטבועות באופן בו ההנהלה מנהלת את העסק.
של מי הסיכון הזה ?
ניהול הסיכונים הינו באחריותו של כל גורם וגורם בארגון החל מהפקיד הזוטר וכלה בדירקטוריון החברה וכל אחד מאותם גורמים תורם לניהול סיכונים אפקטיבי. יחד עם זאת ניתן לזהות ארבעה תחומי אחריות עיקריים:
• דירקטוריון – תפקידם הינו בחירת ההנהלה והגדרת הציפיות מהם. הדירקטוריון הינו שותף בהגדרת האסטרטגיה הארגונית ולוקח חלק חשוב במרכיב הראשון של ניהול הסיכונים הסביבה הפנים ארגונית – Internal Environment.
• ההנהלה – אחראית באופן ישיר על כלל פעילות החברה ובכלל זה גם על נושא ניהול הסיכונים. יותר מכולם המנהל הכללי נדרש לקבוע את הטון בנושא והאווירה בארגון לנושא ניהול הסיכונים.
• מנהל הסיכונים – מרכז את הנושא בארגון, אחראי להוציא לפועל את ניהול הסיכונים, קביעת מדיניות ונהלים, לקיים בקרה ופיקוח על מנהלים אחרים.
• המבקר הפנימי – עוזר להנהלה, לדירקטוריון ולועדת הביקורת, בפיקוח, בהערכה, בדיקה, דיווח ובהמלצות לשיפור מערך ניהול הסיכונים.

לסיכום
כל ארגון בימינו נדרש להתמודד עם אירועים אשר מגבירים את אי הוודאות. אי הוודאות יוצרת סיכונים והזדמנויות אשר יכולים לעזור או לפגוע בהשגת יעדיו של הארגון. ארגון אשר ישכיל לנהל את סיכוניו באופן יעיל ואפקטיבי יגביר את היכולת של הארגון להתמודד באופן אפקטיבי עם אי הוודאות ולעזור בהשגת יעדיו העסקיים. ניהול הסיכונים מאפשר לארגון לקבוע איזו רמה של סיכון הוא מעוניין לקחת או יכול לקבל בתהליך בניית הערך לבעלי המניות. הצלחה בניהול הסיכונים תאפשר לארגון להשיג ביצועים ויעדי רווח טובים יותר, להימנע מהפסדים ולהבטיח דיווח אפקטיבי וציות להוראות החוק. יחד עם זאת חשוב לזכור את מגבלות ניהול הסיכונים 1) אף גורם לא יכול לחזות את העתיד באופן וודאי, וחבל שכך 2) קיימים אירועים מסוימים אשר הם אינם נמצאים בשליטת הארגון (כן, זה נכון אנחנו לא יכולים לשלוט בכל) 3) לא ניתן להבטיח שתהליכים יבוצעו באופן מדויק תמיד כפי שאנו מצפים.

בהצלחה.

מאמר זה מבוסס מודל ניהול הסיכוניםCOSO II  (Enterprise Risk Management – Integrated Framework).

יצירת קשר