הסיכון המרכזי של חברות הוא הסיכון אסטרטגי !!!
רואי סטאל, מנכ"ל ושותף אנטרופי ניהול סיכונים, רגולציה ותהליכים
אנו חיים בתקופה שבה אי הוודאות הפיננסית, המדינית והדמוגרפית בשווקים העולמיים והמקומיים הולכת ומתגברת ובהתאם המגמות בעולם הולכות ומשתנות. מחד יש את הגלובליזציה, וההתפתחות הטכנולוגית המואצת ומאידך הלאומניות המקומית הנובעת משיקולים דמוגרפיים ופוליטיים. בנוסף לכך האוכלוסייה העולמית הצעירה משתנה מדור לדור כאשר הדור הנוכחי, דור המילניום, במהותו אינו רואה את היעדים הכספיים כקודמיו ואינו שם אותם במרכז.
על רקע שינויים אלו, ארגונים נדרשים לאתר פתרונות יצירתיים ואסטרטגיים במטרה להתמודד עם השינויים ועם חוסר הוודאות. בתוך כך חברות "ממציאות את עצמן מחדש" בשינוי פעילויות הליבה (למשל ארגונים קמעונאיים הנכנסים לתחומי האשראי) תוך פיתוח מוצרים חדשים והתייעלות. בין היתר, ארגונים מוצאים את עצמם מטפלים בבעיות חברתיות וכלכליות הנובעות מהשינויים הגלובליים ואשר מתאפיינים בשינוי תפיסה ניהולית הנובעת בין היתר מיחסי ציבור ותקשורת, מדיה חברתית, שוויון מגדרי ועוד.
בתוך כך, נושא האחריות התאגידית (ESG – Environmental, Social and Governance) מתעצם בשנים האחרונות ומחייב ארגונים במסגרת הניהול השוטף והאסטרטגיה שלהם לשים דגש על נושאי אחריות תאגידית כגון: הגנה על הסביבה, המרכיב האנושי והממשל התאגידי.
בנוסף ללחצים אלה, על החברות לנווט את המורכבות של סביבה פיננסית ורגולטורית, מורכבות משתנה ותנודתית.
לאור זאת, הסיכון המרכזי בחייו של ארגון הפך להיות לא אחר מאשר הסיכון אסטרטגי (הגדרת האסטרטגיה הנכונה) והיכולת לעמידה ביעדים אסטרטגיים (הדרך להגיע לשם). לפיכך ארגון חייב להיעזר בכל כלי אשר יאפשר לו לסייע לעמוד במטרות וביעדים אשר הציב לעצמו.
ניהול סיכונים בבסיסו הינו תהליך אשר מיועד לאפשר לארגון לעמוד ביעדיו העסקיים תוך התייחסות לשינויים הגלובליים ואי הוודאות ולקיחת סיכונים בהתאם לתיאבון הסיכון שהוגדר והימנעות מסיכונים ("בורות") שאינם מתוכננים ועלולים להפריע לארגון להגשים את יעדיו. ניהול סיכונים סדור הינו תכנית העבודה הממוקדת של הארגון ללקיחת הסיכונים (הנכונים) ולהימנעות מאלו שאינם נכונים .
ניהול סיכונים ככלי ניהולי
ניהול סיכונים אסטרטגי, ממוקד יעדים עסקיים (כמותיים ואיכותיים כאחד), יקנה כלים ניהוליים ותפעוליים למנהלי הארגון, למיקוד פעילותם בהשגת היעדים כפי שהוגדרו ע"י המנכ"ל/הדירקטוריון/בעלי-המניות.
ככל שכלל מנהלי הארגון יפעלו בהתאם לתכנית ניהול סיכונים סדורה ובהתאם לשפה ארגונית אחידה, כך תגדל הסבירות לעמידת הארגון ביעדיו העסקיים וכן להימנעות מכשלים וצמצום טעויות.
בניתוח סיכונים בראיה אסטרטגית יש לקחת בחשבון את הגדרות ויישום היעדים מכוחות המשפיעים על הארגון מבחוץ, מבפנים ומה שבניהם:
- מבחוץ – רגולטור / ציבור
- מה שבניהם – בעלי השליטה, בעלי מניות, מעלי מניות המיעוט, אסיפה כללית
- מבפנים – הנהלה בכירה ויחידות הארגון
הבנת הסיכון ולא הפחד מהסיכון
הדרך להבנת הגורמים והסיכונים העלולים לגרום לארגון לא לעמוד ביעדיו עוברים דרך כלל עולמות הסיכון החלים על הארגון והיכולת לתרגם אותם למוקדי סיכון וקבלת תמונת מצב אמתית של עולמות ומצבי הסיכון בארגון והשפעתם על ביצועיו והאסטרטגיה שלו.
כיום, בהתאם לשינויים העולמיים, עולמות הסיכון משתנים ומקבלים צורה אחרת בהסתכלות הארגון על הסיכונים בפעילותו. ארגון נדרש להתמודד כיום עם ארבעה מוקדי סיכון אליהם מתרכזים, בראיה אגרגטיבית, כלל סיכוני הארגון.
סיכון אסטרטגי – כאמור, השינויים הגלובליים והדמוגרפים כפי שמוצגים במאמר זה, מחייבים את הארגון "לחשב מסלול מחדש" ולבחון את הראיה העסקית והאסטרטגית שלו לטווח הרחוק. כך למשל, שוק האשראי מתפתח ומשתנה בקצב מהיר מאוד בשנים האחרונות. לצד ביקוש הולך וגובר לאשראי נאגר כסף רב בגופים שונים (שאינם בנקים) אשר יכול ואף משמש למתן אשראי לציבור. כתוצאה, בשל התחרות הגוברת, תיק האשראי של בנקים וחברות האשראי המסורתיות עשוי להשתנות באופן משמעותי בשנים הבאות ומהווה מצד אחד סיכון לחברות האשראי והבנקים אך גם הזדמנות. כך למשל, בשנת 2018 באנגליה המלווה הגדול ביותר לעסקים קטנים ובינוניים (Small Medium Enterprise – SME) ומעל כל הבנקים, היא חברת Funding Circle שהנה פלטפורמה אשראי Pear To Pear למתן אשראי צרכני ועסקי.
סיכון האחריות התאגידית (ESG) – אחריות תאגידית מקבלת בשנים האחרונות פוקוס רב בעולם המודרני המערבי ובפרט במדינות החברות ב- OECD. כאמור, אחריות תאגידית היא התנהגות של ארגון המבקש להיחשב כארגון המתנהל באופן הגון ונותן מרכזיות באופן הניהול שלו לסביבה ולסובבים אותו ושם דגש על הגנה על הסביבה, התייחסות למרכיב האנושי והממשל התאגידי. נושא זה עבור ארגון אינו דבר פשוט בכלל, מאחר ולעיתים קרובות זה נוגד את התנהלותו הטבעית שלו כמי שרוצה להגשים את מטרותיו ודורש ממנו הוצאות והשקעת משאבים בנושא זה אשר עשויים לבוא על חשבון הרווחיות.
אחריות תאגידית הכוללת אחריות חברתית, אחריות סביבתית וממשל תאגידי נאות קשורה קשר הדוק לתרבות הארגונית של הארגון.
סיכון רגולציה – סיכון רגולציה הנו אחד מגורמי הסיכון המרכזיים אשר יכולים להתממש באופן מהיר ולהשפיע משמעותית על ארגון, עסקיו ואף על קיומו. על ארגון לנהל את סיכוני רגולציה שלו אל מול מאפייני פעילותו בראיה מקומית ובראיה חוצה גבולות, בראיה היסטורית ונוכחית ובראיה צופה פני עתיד ובמטרה להימנע מחריגות משמעותיות בתחום זה. ההיסטוריה של השנים האחרונות רצופה בדוגמאות ומקרים של ארגונים אשר ניתחו את סיכון רגולציה שלהם באופן שגוי ואשר הוביל אותם לנזקים משמעותיים ועד לסגירת פעילויות. דוגמא אחת לכך היא מקרה ויזה כ.א.ל בפרשה של שנים 2006-2009 הידועה בשם "פרשת הסליקה של אתרי הפורנו" אשר בפועל נבעה מאי עמידה בהנחיות הרגולציה של ויזה ומסטרקארד העולמיות. דוגמא נוספת היא פרשיית שלוחות הבנקים בשוויץ, שהתפרסמה לראשונה בפרשיית לאומי שווייץ, אשר גם היא נבעה מניתוח שגוי והבנת החשיפה הרגולטורית של הרשויות האמריקאיות. כידוע, פרשייה זו הובילה את הבנקים הישראלים לסגור חלק גדול משלוחותיהם בעולם.
טכנולוגיה – אחד השינויים המרכזיים בעולם המודרני נובעים מהתפתחות הטכנולוגיה והתבססות הארגונים עליה. כיום, מכלול פעילויותיו העסקיות והתפעוליות של ארגון מושתתות על שימוש בטכנולוגיה וככל שיעבור הזמן כך תגדל התלות בטכנולוגיה, במתן שירותים דיגיטליים ללקוחות, רשתות חברתיות ועוד. ההתפתחות הטכנולוגית הנה מנוף בפני ארגונים להתפתחות עסקית ומתן שירותים מתקדמים נוחים, יעילים ומהירים בין אם מדובר בדיגיטציה של שירותים, שירותי ענן ועוד. כתוצאה, סיכוני טכנולוגיית המידע נדרשים לקחת בחשבון התפתחות זו ולמקד את ראיית הסיכונים תוך הבנת מוקדי הסיכון החדשים שנוצרים מחד אך לא פחות חשוב, הבנת התועלת העסקית והאסטרטגית והבנת עולמות הסיכון הטכנולוגי כתומכי פעילות עסקית. שכן, מטרתה של הטכנולוגיה הנה לקדם את העסקים ואת היעדים האסטרטגיים ולפתוח את הארגון לעולמות עסקיים חדשים ומתקדמים.
כתוצאה מהתפתחות הטכנולוגיה והתלות בה, אנחנו עדים בשנים האחרונות לגידול משמעותי בסיכוני הסייבר אליהם חשופים ארגונים. איומים אלו מתאפיינים, בין היתר, בתחכום ובמורכבות הגוברים של ההתקפות, בעוצמת הנזק הפוטנציאלי, בקושי לזהות התקפות אלו וביכולות של הגורמים המבצעים תקיפות אלו. ניהול סיכוני הסייבר הנו תהליך שמטרתו הגנת שלמות, מהימנות וחסיון המידע, הגנת נכסי המידע וכן מניעת נזק לפעילות ותפקוד הארגון כתוצאה מתקיפת מערכות מחשוב. ניהול נאות של סיכוני הסייבר מחייב הרחבה והתאמה של המסגרת הקיימת של ניהול הסיכונים בהיבטים של תפיסת מרחב האיום ויכולות ההגנה הנדרשות ודורשות מהארגון השקעה של משאבים בתחום זה.
אגרגציה
משפחות הסיכון שהכרנו עד היום הכוללים בתוכם את הסיכון התפעולי, סיכוני שוק, סיכוני אשראי, סיכוני נזילות וכיו"ב מתכנסים בראיה אגרגטיבית לארבע מוקדי סיכון אלה אשר נדרשים להיות מנוהלים, מפוקחים ומבוקרים על ידי ההנהלה הבכירה והדירקטוריון. על ההנהלה והדירקטוריון לדרוש לראות את כלל משפחות הסיכון בצורה אגרגטיבית לאחד מארבע מוקדי הסיכון המתוארים ולבחון את השפעתם על יעדי הארגון קצרי המועד והאסטרטגיה ארוכת הטווח שלו.
הדירקטוריון הינו הגוף המקשר בין כלל הגורמים ונדרש במסגרת תפקידו לקבוע את אסטרטגיית הארגון לפקח על יישומה תוך הגדרת תיאבון הסיכון שלו. במסגרת זו, על הדירקטוריון להתאים את האסטרטגיה של הארגון וחזונו לשינויים הגלובליים והדמוגרפים, לקבל החלטות משמעותיות כגון מיזוגים ורכישות והקצאות הון ולהגדיל את יכולת התגובה לשינויים שלעיתים קורים באופן מהיר ובלתי צפוי.
ניהול הזדמנויות ולא רק ניהול סיכונים
ארגונים כיום משקיעים מאמצים ומשאבים רבים על ניהול סיכונים, על בקרות, על ממשל תאגידי ועל הנחיות רגולציה שונות. לרוב השקעת משאבים זו נעשית לא על בסיס ניתוח "חכם" של הסיכונים אלא על בסיס עוצמת האיומים. ככל שהאיומים "צועקים" יותר כך הארגון נשאב לטפל בהם. מניסיוננו, לרוב שיטת הניהול הנובעת מאיומים מביאה את הארגון לפעול בהתאם לצעקת השטח ולא בהתאם ליעדים.
לצורך כך מוכרחים להבין שהזדמנות מכילה בתוכה נטילת סיכונים, אך לא כאלה שאינם בגדר תיאבון הסיכון של הארגון. על מנת שהארגון ייטול את הסיכונים הנכונים, התהליך חייב להיות מלווה במתודולוגיה סדורה המציגה סרגל מדידה אחד (שנקבע ברמת הדירקטוריון וההנהלה) ולא על ידי השטח בלבד ותוך התייחסות ישירה ליעדי הארגון והאסטרטגיה שלו.
העיקר אל מול התפל
במסגרת ניהול הסיכונים המודרני נדרש לתרגם את מוקדי הסיכון לסיכונים אסטרטגיים וקבלת תמונת מצב אמתית של השפעתם על ביצועי הארגון. יש להציג לדירקטור מיקוד אגרגטיבי של מפת סיכונים בראיה אסטרטגית כך שתאפשר לו להתייחס ולטפל "בדברים האמתיים" ולא "לטבוע במידע" ו"בצעקות".
הבדלת העיקר מהתפל מתחילה בשכבת הדירקטוריון וההנהלה הבכירה אך עליה לחלחל גם למנהלים הפחות בכירים ואף לרמת העובדים כמפתח עיקרי להתייעלות, יעילות ועמידה ביעדי הארגון והאסטרטגיה שלו.