ניהול סיכונים בארגון - הלכה לעומת המעשה...
בסביבת העולם העסקית והמודרנית ארגונים חשופים בכל עת למכלול סיכונים המאיימים על פעילותם. יותר ארגונים מדווחים כי חלה עלייה מתמדת ברמות הסיכון להם חשופים ומכירים בצורך לשיפור הפעולות להתמודדות עם אותם סיכונים.
פרשת אנרון, הבנק למסחר, פרשת רמדיה , אגרסקו ופרשות נוספות אחרות מהוות דוגמאות לסיכונים שהתממשו והביאו לקריסת ארגונים.
מקרים אחרים של כשל במערך ניהול הסיכונים הביאו לנזקים כלכליים ניכרים - לדוגמה תפוגת מוצרי זוגלובק, הזיהום במי עדן, המעילה בהראל ועוד.
סיכון מוגדר כאפשרות כי אירוע, פעילות או פעולה (פנימיים או חיצוניים) יפגעו ביכולת  הארגון לעמוד ביעדים ומטרות שהוגדרו. 
מכאן, ארגון שהציב לעצמו מטרות ויעדים צריך לנהל את סיכוניו.

תהליכי בקרה וניהול סיכונים הפכו לכלי ניהולי משמעותי הנדרש בכל רמות הארגון במטרה לשמור על יציבות הארגון והשגת יעדיו. בהתייחס למצב הארגונים בפועל (אלו שטרם הטמיעו תהליך סדור לניהול סיכונים) עולות השאלות – האם ארגונים אינם מודעים לסיכונים החלים עליהם ? האם לא ננקטים צעדי טיפול? והאם "ניהול הסיכונים" מושתת בפעילות השוטפת של הארגון הלכה למעשה?

נמצא כי ארגונים אכן מנהלים סיכונים אולם אופן ניהול הסיכונים בפועל בארגון לוקה בלא מעט חסרים, לדוגמה :

  המודעות לסיכונים – לרוב, כל אחד מהמנהלים בארגון ממפה את סיכוני הארגון מנקודת מבטו ותוך מיקוד לתחומי הפעילות שבאחריותו. בפועל, לא קיים מאגר סיכונים כלל ארגוני.
  מדידת הסיכון – בהיעדר מתודולוגיה וכלי מדידה סדורים המשמשים את כלל הארגון, מדידת הסיכונים נתונה לשיקול דעתו הסובייקטיבית של כל אחד מהמנהלים. 

  האחריות לסיכון – סיכון של חוסר תיאום וחוסר זרימת מידע בארגון  יכול להוות דוגמה לסיכון  שבו כולם אחראים לסיכון אולם בפועל אף אחד לא אחראי.
  הקצאת משאבי הטיפול – מקום בו לא קיימת תכנית סדורה ורוחבית בארגון, נפגמת יעילות המשאבים המוקצים לטיפול בסיכונים. מנהלים נוטים לטפל בסיכונים הידועים להם ועל בסיס נוחות ולא בהכרח בהתאמה לדירוג הסיכון ופוטנציאל השיפור הטמון בו. דרכי טיפול מקובלות אחרות כוללות התעלמות מהסיכון או גלגול הסיכון לפתחו של גורם אחר. החוסר בתיאום והגדרת אחריות עשויים להביא למצב של טיפול יתר בסיכונים ברמת חשיפה נמוכה למול חוסר טיפול בסיכונים ברמת חשיפה גבוהה.
תהליך מובנה וסדור של ניהול סיכונים אפקטיבי המותאם לצרכי הארגון אמור לספק מענה לליקויים
 הקיימים באופן ניהול הסיכונים הקיים בארגונים למעשה.
הטמעה של תהליך ניהול סיכונים בארגון דורשת בין היתר שינוי תפיסה, הירתמות כלל ארגונית והקצאת משאבים. היחס של עלות ההשקעה בתהליך לעומת עלויות שיגרמו לארגון כתוצאה מהתממשות סיכון מצדיקות את כדאיות ההשקעה כאשר תמיד יש לזכור כי בצד זיהוי הסיכונים צצות גם הזדמנויות לארגון...
 ניהול סיכונים הנו תהליך מובנה וכולל בארגון המשולב הן ברמה האסטרטגית והן ברמת הפעילות השוטפת המתבצעת על ידי גורמים שונים בארגון. מטרת התהליך זיהוי, ניתוח והערכה של סיכונים לצורך גיבוש ויישום דרכים להתמודד אתם.

תהליך ניהול סיכונים כולל בעיקרו 4 שלבים עיקריים :

זיהוי הסיכונים – קבלת תמונת מצב של מוקדי הסיכון המאיימים על פעילות הארגון. מהווה את השלב הראשון בתהליך ולרוב מבוצע באמצעות סקר סיכונים.  זיהוי יעיל של הסיכונים הנו כזה המספק תמונת מצב רחבה ככל הניתן של מסגרת הסיכונים החלה על הארגון. 

הערכת הסיכונים – בשלב זה מבוצע דירוג של הסיכונים שזוהו באמצעות סולם מדידה אחיד. " "סרגל המדידה" נקבע כנגזרת של "תיאבון הסיכון של  הארגון" (risk appetite  - עוצמת הנזק שהארגון מוכן לספוג). מקובל לדרג את הסיכון באמצעות שקלול של שתי פרמטרים : עוצמת הנזק שעשוי לגרום והסבירות להתרחשות הסיכון.

טיפול בסיכונים – יצירת מפת הסיכונים הכוללת של הארגון מאפשרת גיבוש תכנית סדורה לטיפול בסיכונים הכוללת תיעדוף הטיפול והקצאת המשאבים למוקדי הסיכון העיקריים ולסיכונים בעלי פוטנציאל שיפור גבוה יותר. 
ניטור ודיווח – המענה לסיכונים בארגון אינו מסתיים בפעילות חד פעמית של זיהוי, הערכת הסיכונים, גיבוש ויישום תכנית
טיפול. מסגרת הסיכונים החלה על הארגון הנה דינמית וכפופה לשינויים תמידיים. סיכונים שחלו על הארגון בעבר עשויים להפוך לבלתי רלוונטיים בהווה  (בעקבות תהליכי שיפור לדוגמה),
סיכונים חדשים עלולים לחול על הארגון, שינויים בארגון עשויים להשפיע על "תיאבון הסיכון של הארגון" ומאידך על "סרגל המדידה" של הסיכונים. כל אלו הופכים את תהליך ניהול הסיכונים לתהליך דינמי ושוטף ומחייבים תהליכי ניטור ודיווח. 

מיסוד תהליך ניהול סיכונים סדור ומובנה המשולב בפעילויות ובתהליכים העסקיים של הארגון וכן בתרבות הניהולית והארגונית, מביא להתמודדות אפקטיבית עם הסיכונים המאיימים על הארגון במטרה לשמור על יציבות הארגון והשגת מטרותיו. בנוסף, מיסוד תהליך כנ"ל מביא לשיפור מערך הבקרה הפנימית בארגון, ייעול תהליכי העבודה ומקסום תוצאות הארגון.

כותב המאמר הוא רו"ח קובי אברהם מנהל מחלקת בקרה וניהול סיכונים בחברת MBT מבט יועצים.

לפרטים נוספים ויצירת קשר לחצו כאן.





mbt@mbtcpa.co.il פקס:03-6382815 טל' 03-6382811 חומה ומגדל 2 ת.ד. 57008, ת"א 61570