סיכון – לא מילה גסה

סיכון: “הַעמָדַת דָבָר בּסַכָּנה: דבר שיש בו חֶסרון כיס וסיכּוּן נפשות (ירושלמי פאה ג, ב)”1.

מאז ומעולם נתפס הסיכון כדבר שלילי. האסוציאציה הטבעית שעולה לאנשים ששומעים את המילה היא אסוציאציה שלילית, אפילו מפחידה, של דבר אשר יש להשמר ממנו. כאשר הצוות שלי ואני מגיעים ללקוח חדש לביצוע סקר סיכונים, אפשר ממש לראות את הנוכחים בחדר זזים בחוסר נוחות בכסא למשמע המילה “סיכון”.

אך האם זוהי הגישה הנכונה למילה?

או האם למעשה הדבר הנכון הוא לבוא לסיכון מעמדה של כוח? של שליטה.

זוהי המגמה אשר אנו, מומחי הסיכונים מבקשים להנחיל, את ההבנה כי סיכון אינו דבר רע. על אחת כמה וכמה, סיכון הוא מחולל דיאלוג שיכול להביא לצמיחה בפעילות העסקית.

אך הסוד הוא זה: הסיכון לא יכול לשלוט בארגון אלא הארגון צריך לשלוט בסיכון.

הכוונה הינה שהארגון יבצע את הפעולות היומיומיות, הרגילות, המתוכננות שלו, עם אופק לעתיד ועם תכניות שיכולות להיות נועזות לכאורה, אך בכל פעולה, יבחן ויציין לעצמו את רמת הסיכון של הפעולה.

האם זה לא יגרום לארגון לפעול בצורה יותר זהירה, או זהירה מדי?

לאו דווקא, הרבה פעמים ניתן לקבוע בקרות מונעות סיכון שהינן ממוכנות ואם אלה לא זמינות, בקרות מפצות. בנוסף לבקרות, מומלץ לקבוע ספי סיכון – KRI’s ו(Key Risk Indicators) אשר יקבעו מתי האורות האדומים יתחילו להבהב ולהזהיר אותנו כי אנו  מתקרבים לסכנה. כך נוכל לפעול בחופשיות בתוך האיזור הבטוח שלנו ולקבל התראות כאשר נתקרב לאיזור האדום. חישבו על כך כמו על חיישני רוורס, האם התקנת חיישני הרוורס גרמה לנו להיות זהירים יותר או פחות?

האם זה לא יגרום לארגון לפעול בצורה פחות זהירה?

ובכן, הנושא הזה תלוי בתיאבון הסיכון של הארגון. את תאבון הסיכון הארגון קובע לעצמו (מול הנהלה ו/או הדירקטוריון). תיאבון הסיכון או מידת שנאת הסיכון של הארגון הינו הצהרה של הארגון כלפי עצמו, באיזו מידה הוא פתוח לנטילת סיכונים וביצוע צעדים מקטיני סיכון. חשוב להסביר כי אין דבר כזה תיאבון סיכון “טוב” או “לא טוב”, מטרת ההצהרה על רמת תאבון מסוימת לסיכון היא קביעת רף ומדיניות אשר יכולה גם להשתנות עם הזמן.

איך מבינים בכלל מהו תאבון הסיכון של הארגון?

“מסתכלים לסיכון בעיניים”.

דרך טובה להבין מהו תאבון הסיכון של הארגון היא לבצע סקר סיכונים אשר מציף את סיכוני הארגון. תהליך ביצוע הסקר על ידי גורם אובייקטיבי טומן בתוכו את מיפוי תהליכי העבודה, מיפוי הסיכונים ובחינת הבקרות וההצעות למזעור הסיכון. תהליך זה מציב בפני הארגון מראה ומציף שאלות כמו: האם הסיכונים מדורגים כהלכה? האם אנחנו באמת מאמינים שההשלכה היא גבוהה? האם אנו מוכנים לשלם מחיר X על מנת להפחית רמת סיכון? האם אנו יכולים למצוא בקרות אחרות אלטרנטיביות למזעור הסיכון?

אז מי מחליט?

רק הארגון עצמו יכול להחליט מה תאבון הסיכון שלו, אילו סיכונים הוא מעוניין לקחת על עצמו ואילו סיכונים גבוהים מדי עבורו והוא ירצה להמנע מהם או לגדר את עצמו מפניהם. גם הגידורים שיפעיל הארגון יעמדו למבחן עלות מול תועלת.

קחו לדוגמא את פעילות הגידור והבקרה הכי פופולרית בימינו – אוטומציה באמצעות RPA. הרובוטיקה הינה פעילות גידור אופטימלית שכן היא חוסכת מהאדם את הפעולות הידניות הסזיפיות ומורידה באופן דרמטי את רמת הסיכון התפעולי.

אז יש לנו מצד אחד סיכון – למשל הקלדה שגויה של פרטי לקוח ומצד שני בקרה – רובוט אשר קורא את נתוני צילום תעודת הזהות ומזין אותם למערכת. רק הארגון יכול להחליט האם יישום הבקרה הזו “שווה” את הסיכוי שהסיכון יתממש. וכשאנחנו עושים את המבחן הזה, מבחן העלות מול התועלת, אנחנו ניגשים לסיכון ממקום של שליטה.

 

שליטה בסיכון, זה שם המשחק.

כותבת המאמר: יעל סיני-ריטר, CISM, מנהלת תחום GRC ב- HMS

[1] https://www.milononline.net/do_search.php?Q=%F1%E9%EB%E5%EF

שינוי גודל פונט
ניגודיות