לקראת אירוע | ניהול סיכונים כהישרדות: תוכנית ריאליטי או צורך אמיתי
מאת רו"ח דורון רונן, MA, LLM, CIA, CRISC, CFE – נשיא האיגוד הישראלי לביקורת ואבטחת מערכות מידע (ISACA Israel)
התפתחות מואצת בגישה ובטיפול בכל הקשור לניהול הסיכונים (Risk Management) בארגונים שונים בארץ ובעולם, נובעת מדרישות רגולציה מקומיות ובינלאומיות וכתוצאה מדרישה שוטפת של הדירקטוריון והנהלת הארגון לפעילות בהתאם לכללים מקובלים ולהתאמת המשאבים בהשגת היעדים העסקיים. בארגונים שונים, ניהול סיכונים מטופל על-ידי גורמים רבים בארגון (דירקטוריון, מנכ"ל, CFO, מנהל התפעול, מנהל הסיכונים (CRO) ומנהלי היחידות השונות). ההנהלה נדרשת לבנות מערך ניהול סיכונים כולל ומתודולוגי ולפעול לבניית תשתיות ניהול סיכונים, לרבות תהליך הערכה דינאמית לרמת הסיכון ודרך ניהולו.
כתוצאה מכך, ארגונים רבים, מהיותם גדולים ו/או מורכבים ו/או מהיותם נתונים תחת דרישות רגולטוריות שונות, מחליטים לערוך מיפוי סיכונים לצורך עיצוב התשתיות השונות לאיתור הסיכונים, איתור הבקרות לניהול הסיכונים, תשתיות לקבלת החלטות וכלים להשגת היעדים העסקיים.
עולם הסיכונים של הארגון הינו רחב ומגוון. נוהגים לחלקו ל-4 קבוצות סיכון: סיכונים אסטרטגיים, סיכונים תפעוליים, סיכונים פיננסים, וסיכוני ידע ומידע (יש הנוהגים להחליף את הקבוצה האחרונה בסיכוני ציות-Compliance). כל קבוצת סיכון מחולקת ל-תתי-קבוצות, וכל קבוצת סיכון קשורה (משפיעה/מושפעת) לקבוצת סיכון אחרת.
ניתן להמחיש זאת באמצעות הדיאגרמה הבאה:
מערך ניהול סיכונים מספק לארגון ערך מוסף בהשגת היעדים הבאים:
* עמידה ביעדים תפעוליים ומקצועיים.
* מזעור הפסדים.
* קישור בין הגידול העסקי, הסיכונים והחזר ההשקעה.
* אופטימיזציה של משאבים.
* ניצול הזדמנויות.
* העלאת רמת הביטחון בתהליכי הדיווח.
* עמידה בדרישות חוק ורגולציה.
* יצירת סביבת עבודה ותרבות ארגונית המעודדת ניהול סיכונים תפעוליים.
ההגדרה המילונאית של סיכון הינה "… החשש או האפשרות לאירוע אשר עלול לגרום לנזק או הפסד". בהגדרה זו באים לידי ביטוי הפרמטרים של האפשרות להתרחשות אירוע מסויים והנזק הפוטנציאלי הגלום באירוע זה. בהגדרה העסקית של סיכון, מתוספת גם הראיה של אי השגת היעדים העסקיים, ולכן ההגדרה העסקית לניהול סיכונים הינה "… האפשרות להתרחשות אירוע כלשהו העלול לגרום לאי השגתם של היעדים העסקיים". על פי הגדרה זו, יש להגדיר בתחילת התהליך את היעדים העסקיים, ובהתאם לכך לאתר את המקומות, בהם יש חשיפה לנזק גם באי העמידה ביעדים העסקיים, אשר הוצבו ע"י הנהלת הארגון.
בעת ניתוח הסיכונים התפעוליים של ארגון, יש להתייחס לשלושה מימדי סיכון:
* הסיכון השורשי (Inherent Risk): הסיכון המובנה מעצם קיום הפעילות מבלי להתייחס לבקרות הקיימות.
* הסיכון השיורי (Residual Risk): הסיכון כפי שהוא מצוי כיום, שארית הסיכון השורשי לאחר מדידת הבקרות המיושמות כיום.
* סיכון מטרה (Target Risk): רמת הסיכון השיורי שההנהלה שואפת להגיע אליה.
מתפקידה של ההנהלה לקבוע את גבול הסיבולת (Tolerance Limit) לכל אחד מהסיכונים. הגדרה זו נחוצה לקביעת סדר העדיפויות בניהול הסיכונים, שמאפשרת להנהלה לקבוע מסגרת להקצאת משאבים זמינים, הן במושגי כספים וכוח אדם, והן מבחינת הניהול והגמישות.
שרטוט של מימדי הסיכון
גרף להגדרת גובה הסיכון
ניהול סיכונים מתחיל בסקר הערכת סיכונים (Risk Assessment), שמטרתו – 'להציף' את הסיכונים המהותיים העיקריים הקיימים בארגון.
* תוצרי הסקר: דוח, ובו:
• הסיכונים שמופו ונותחו, ומתן הערכה לסיכונים אלה.
• איכות הסיכון וכמות (ציון) הסיכון.
• מסקנות ראשוניות באשר לממשל התאגידי (Corporate Governance) הנדרש.
• המלצות ראשוניות להפחתת הסיכונים הקיימים.
• המלצה לקביעת מדיניות לצורך הרחבת סקרי סיכונים בנושאים ספציפיים, אם יידרש, גם לרמות נוספות.
* שימושי הדוח: כלי עזר ובסיס ב: ניהול סיכוני הארגון, החלטה על גבול הסיבולת לגבי כל אחד מהסיכונים, הקצאת משאבים, החלטה על ביצוע סקרי עומק בנושאים מסויימים, ועיצוב ובניית מדיניות הארגון (ונוהליו) לניהול הסיכונים.
* משתמשי הדוח: כל אחד מהמנהלים בתחומו הוא.
* מתודולוגיה (דוגמאות):
• שיחות עם דרגי הניהול השונים בארגון.
• עיון במסמכים.
• שליחת שאלונים.
• עריכת סבב ראיונות נוסף בהתאם לתוצאות שלושת השלבים הקודמים.
• מיפוי הסיכונים השורשיים והערכת הבקרות ביחידות ארגוניות ונושאי רוחב.
• מיפוי התהליכים השונים, זיהוי מוקדי סיכון, ניתוח והערכה של הסיכונים השורשיים וסיכוני הבקרה.
• ביצוע Benchmarking.
למען הצלחת העבודה, מחוייב שיתוף פעולה מלא מצד המנהלים השונים בארגון וגמישות בקביעת הפגישות עימם, ובהעברת מסמכים שונים, ככל שיתבקש במהלך ביצוע הסקר.