top of page

ניהול סיכונים ארגוניים (ERM) מה זה ואיך זה עובד 


מהו ניהול סיכונים ארגוניים (ERM) ?

ניהול סיכונים ארגוניים (ERM) הוא מתודולוגיה שמתבוננת בניהול סיכונים באופן אסטרטגי מנקודת מבט של כל הארגון או החברה. מדובר באסטרטגיה מלמעלה למטה שמטרתה לזהות, להעריך ולהתכונן להפסדים פוטנציאליים, סכנות, איומים, וסיכונים אחרים שעשויים להפריע לפעילות ולמטרות של הארגון או להוביל להפסדים.

הבנת ניהול סיכונים ארגוניים (ERM)

ניהול סיכונים ארגוניים נוקט בגישה הוליסטית ודורש קבלת החלטות ברמת ההנהלה, שלעתים לא בהכרח יהיו הגיוניות עבור יחידה עסקית או סגמנט ספציפי. כך, במקום שכל יחידה עסקית תהיה אחראית על ניהול הסיכונים שלה, נעשה תיעדוף לפיקוח ארגוני רחב.

ניהול סיכונים ארגוניים כולל לעיתים גם את פרסום תוכנית הפעולה לניהול סיכונים לכלל בעלי העניין כחלק מהדו"חות השנתיים. לכן, ERM יכול לפעול כדי למזער סיכונים ברמת החברה כולה, כמו גם לזהות הזדמנויות ייחודיות ברמת החברה. תקשורת ושיתוף פעולה בין יחידות עסקיות שונות הם גורמי מפתח להצלחת ה-ERM שכן ההחלטות בנוגע לסיכון המתקבל מההנהלה העליונה עשויות להיות לא תואמות להערכות המקומיות בשטח. חברות שמשתמשות ב ERM לרוב יקדישו צוות ניהול סיכונים ארגוני המפקח על פעילות החברה.

בעוד ששיטות העבודה והסטנדרטים של ERM עדיין בתהליכי התפתחות, הם פורמלו באמצעות COSO (Committee of Sponsoring Organizations of the Treadway Commission – גוף אמריקאי שנוסד במטרה לספק הנחיות בתחום של ניהול סיכונים, בקרת פנים, ניהול תהליכים פיננסיים והביטחון הכללי של הארגון. בין היתר פותח מודל לניהול סיכונים ארגוניים שמספק לארגונים את הכלים לזהות, להעריך ולנהל סיכונים בכל רחבי הארגון, לא רק ברמות המקומיות).


גישה הוליסטית לניהול סיכונים

עסקים מודרניים מתמודדים עם מגוון רחב של סיכונים וסכנות פוטנציאליות. בעבר, חברות ניהלו באופן מסורתי את החשיפות שלהן לסיכון באמצעות כל מחלקה שמנהלת את הסיכונים שלה באופן עצמאי. ניהול סיכונים ארגוניים (ERM) דורש מחברות לזהות את כל הסיכונים העומדים בפניהן. כמו כן, הוא מחייב את ההנהלה להחליט אילו סיכונים יש לנהל באופן פעיל. בניגוד לכך, כאשר הסיכונים מפוזרים בין מחלקות שונות, חברה רואה את התמונה הגדולה יותר כאשר היא משתמשת ב ERM.

מסגרת ERM רואה כל יחידה עסקית כ"פורטפוליו" בתוך הארגון ומנסה להבין כיצד הסיכונים של יחידות עסקיות שונות מתכתבים ומתערבבים זה בזה. היא גם מסוגלת לזהות גורמי סיכון פוטנציאליים שאינם נראים על ידי כל יחידה בנפרד.

למשל, מנהל סיכונים ראשי (CRO) הוא משרה ניהולית שדרושה מנקודת מבט של .ERM הCRO אחראי על זיהוי, ניתוח והפחתת סיכונים פנימיים וחיצוניים שמשפיעים על כל הארגון.

ה- CRO גם עובד כדי לוודא שהחברה עומדת בתקנות ממשלתיות, כגון Sarbanes-Oxley (SOX), ועורך סקירה של גורמים שעשויים לפגוע בהשקעות או ביחידות עסקיות של החברה. המנדט של הCRO יוגדר בשיתוף עם שאר ההנהלה העליונה, דירקטוריון החברה ובעלי עניין נוספים.

מרכיבי ניהול סיכונים ארגוניים  (ERM)

המסגרת לניהול סיכונים ארגוניים של COSO מזהה שמונה מרכיבים עיקריים המגדירים כיצד חברה צריכה לגשת ליצירת פרקטיקות ERM שלה.

  1. הסביבה הפנימית

    האווירה ותרבות הארגון בתוך החברה. הסביבה הפנימית קובעת את התיאבון לסיכון של החברה. הסביבה הפנימית עשויה להתקבע על ידי הנהלת החברה או הדירקטוריון ולהיות מתווכת בכל הארגון, אם כי היא משתקפת לעיתים קרובות בדרך פעולתם של העובדים.

  2. הגדרת מטרות

    כאשר חברה קובעת את מטרתה, עליה להגדיר מטרות התומכות במשימה ובמטרות החברה. מטרות אלו חייבות להיות תואמות לתיאבון הסיכון של החברה. לדוגמה, חברה שאפתנית שהגדירה תוכניות אסטרטגיות רחבות צריכה להיות מודעת לכך שיכולים להיות סיכונים פנימיים או חיצוניים הקשורים למטרות השאפתניות הללו. בתגובה, החברה יכולה להתאים את הצעדים שיינקטו עם מה שהיא רוצה להשיג, כגון גיוס צוות רגולציה נוסף לאזורים שהיא אינה מכירה כיום.

  3. זיהוי אירועים

    אירועים חיוביים עשויים להיות בעלי השפעה רבה על החברה. מצד שני, אירועים שליליים עשויים לגרום לתוצאות מזיקות ליכולת של החברה להמשיך לפעול. מדריך ה ERM ממליץ לחברות לזהות את התחומים החשובים ביותר בעסק והאירועים הקשורים להם שעשויים להוביל לתוצאות חמורות. אירועים בסיכון גבוה אלה יכולים להוות סיכון לפעולות (למשל, אסונות טבע שמחייבים סגירת משרדים באופן זמני) או אסטרטגיים (למשל, רגולציה ממשלתית שאוסרת את קו המוצרים העיקרי של החברה).

  4. הערכת סיכון

    בנוסף למודעות למה שעלול לקרות, מסגרת ה ERM מפרטת את שלב הערכת הסיכון על ידי הבנת הסבירות וההשפעה הפיננסית של סיכונים. זה כולל לא רק את הסיכון הישיר (למשל, אסון טבע הופך את המשרד לבלתי שמיש) אלא גם את הסיכונים הנותרים (למשל, עובדים עשויים לא להרגיש בטוחים לחזור למשרד). על אף שזה קשה, מסגרת ה ERM מעודדת חברות לשקול לכמת את הסיכונים על ידי הערכת אחוז השינוי של ההתרחשות וכן את ההשפעה הכספית שלו, כלומר: להעריך את הסיכון על פי סבירות ההתממשות ובנוסף את ההשלכות הכלכליות במידה והסיכון יתממש.

  5. תגובה לסיכון

    חברה יכולה להגיב לסיכון בדרכים הבאות:

  6. הימנעות מסיכון: החברה יכולה להימנע מסיכון, כלומר היא תפסיק את הפעילות שגורמת לסיכון, מאחר שהחברה מעדיפה לוותר על יתרונות הפעילות מאשר לקחת את הסיכון. דוגמה להימנעות מסיכון היא סגירת קו מוצרים והפסקת מכירת מוצר מסוים.

  7. הפחתת סיכון: החברה יכולה להישאר מעורבת בפעילות אך להפעיל אמצעים כדי למזער את הסבירות או את עוצמת הסיכון. דוגמה להפחתת סיכון היא חברה שתשאיר את קו המוצרים פתוח, אך תשקיע יותר בבקרת איכות או בהכשרת צרכנים כיצד להשתמש במוצר בצורה נכונה.

  8. שיתוף סיכון: החברה יכולה להמשיך כרגיל עם פרופיל הסיכון הנוכחי של הפעילות, אך לנצל צד שלישי עצמאי לשיתוף סיכון בתמורה לדמי תשלום. דוגמה לשיתוף סיכון היא רכישת פוליסת ביטוח.

  9. קבלת סיכון: החברה יכולה לנתח את התוצאות הפוטנציאליות ולבדוק אם זה שווה מבחינה כלכלית לנקוט בפעולות להפחתת הסיכון. דוגמה לקבלת סיכון היא החברה שתשאיר את קו המוצרים פתוח ללא שינויים בפעילות וללא שיתוף סיכון.


פעילויות בקרה פעילויות בקרה הן הפעולות שננקטות על ידי החברה לצורך יצירת מדיניות ונהלים, על מנת להבטיח שההנהלה מבצעת את הפעולות הנדרשות תוך צמצום סיכונים. פעילויות בקרה, שלעתים קרובות מכונות בקרים פנימיים, מחולקות לשני סוגים שונים של תהליכים:

  • פעילויות בקרה מניעתיות נועדו למנוע את התרחשותה של פעולה מסוימת. בקרים אלה שואפים להקל על סיכון על ידי מניעת התרחשות של אירועים מסוימים. דוגמה לפעילות בקרה מניעתית היא שימוש במנעול פיזי או במקלדת שמונעים מעובדים להיכנס לאזור רגיש.

  • פעילויות בקרה זיהוי נועדו לזהות כאשר פעולה מסוכנת התרחשה. למרות שהתקרית התרחשה (או לא הייתה אמורה להתרחש, אך התרחשה), בקרי זיהוי יכולים להתריע להנהלה על מנת לוודא שננקטים צעדים מתאימים בהמשך. דוגמה לפעילות בקרה זיהוי היא אזעקה בחדר.

  • מידע ותקשורת מערכות מידע צריכות להיות מסוגלות לתפוס נתונים שיכולים להיות מועילים להנהלה כדי להבין טוב יותר את פרופיל הסיכון של החברה ואת ניהול הסיכונים שלה. משמעות הדבר היא שלא להעניק חריגות למחלקות שמבצעות טוב יותר מאחרות; כל היבט של החברה צריך להיות מנוטר תמיד. בהרחבה, חלק מהנתונים הללו צריכים להיבחן ולהיות מועברים לעובדים אם הם רלוונטיים להקלת סיכון. על ידי תקשורת עם העובדים, סביר יותר שיהיה שיתוף פעולה גדול יותר בתהליכים ובשמירה על נכסי החברה.

  • ניטור החברה יכולה לפנות לוועדה פנימית או לרואה חשבון חיצוני על מנת לבדוק את המדיניות והפרקטיקות שלה. זה עשוי לכלול סקירה של מה שנעשה בפועל בהשוואה למסמכי מדיניות שמומלץ עליהם. זה גם יכול לכלול קבלת משוב, ניתוח נתוני החברה והודעה להנהלה על סיכונים לא מוגנים. בסביבה שמשתנה כל הזמן, חברות צריכות גם להיות מוכנות להעריך את סביבת ניהול הסיכונים שלהן ולהתאים את עצמן לפי הצורך.

 

 

איך ליישם את פרקטיקות ניהול סיכונים ארגוניים (ERM) פרקטיקות ERM יישתנו בהתאם לגודל החברה, העדפות הסיכון שלה, ומטרות העסקיות שלה. להלן פרקטיקות מומלצות שניתן ליישם ברוב החברות:

  • הגדרת אסטרטגיית ניהול הסיכון

    לפני יישום פרקטיקות כלשהן, החברה צריכה לזהות כיצד היא מתמודדת עם סיכון ומה תהיה האסטרטגיה שלה בנוגע אליו. תהליך זה צריך לכלול דיונים אסטרטגיים בין ההנהלה וניתוח של פרופיל הסיכון הכולל של החברה.

  • יצירת תוכניות פעולה

    לאחר שהחברה הגיעה לאסטרטגיית סיכון ברורה, הגיע הזמן ליצור תוכנית פעולה. תוכנית זו מגדירה את הצעדים שהחברה צריכה לנקוט כדי להגן על נכסיה ולקבוע כיצד תגן על עתיד הארגון לאחר ביצוע הערכת סיכונים.

  • יצירתיות כאשר בוחנים סיכונים ERM כולל חשיבה רחבה על הבעיות שהחברה עלולה להתמודד עמן, למרות שיכולות להיות בעיות לא צפויות, כדאי לחברה לחשוב על כמה שיותר אתגרים פוטנציאליים ולהכין תוכנית כיצד תגיב להם (או תבחר לא להגיב) אם יתרחשו.

  • סדר עדיפויות

    החברה עשויה לקבוע כי קיימים מספר סיכונים גבוהים שקריטי להקטין אותם בשביל המשכיות החברה. תיעדוף זה צריך להיות מתוקשר באופן כזה, שכולם יידעו שאין להשית את הסיכון בשום נסיבות או לחילופין החברה עשויה לרצות לתקשר את התכניות במקרה ומקרה כזה קורה.

  • הקצאת אחריות

    כאשר תוכנית פעולה הוכנה, יש להקצות עובדים ספציפיים לביצוע חלקים מסוימים בתוכנית. זה עשוי לכלול האצלת משימות לתפקידים ספציפיים במקרה שעובדים עוזבים את החברה. זה לא רק מאפשר את המשך העבודה על כל סעיפי הפעולה, אלא גם מחייב את חברי הצוות להיות אחראיים לתחום הסיכון שלהם.

  • שמירה על גמישות

    כאשר החברות והסיכונים משתנים, על החברה לעצב את פרקטיקות ה ERM כך שיהיו גמישות. הסיכונים שהחברה נתקלת בהם ביום אחד, יכולים להיות שונים ביום למחרת; החברה צריכה להיות מסוגלת להמשיך עם התוכנית הנוכחית שלה תוך כדי תכנון לסיכונים חדשים, עתידיים.

  • שימוש בטכנולוגיה

    פלטפורמות דיגיטליות לניהול סיכונים ארגוניים עשויות להכיל, לסכם ולעקוב אחרי רבים מהסיכונים של החברה. טכנולוגיה יכולה לשמש גם ליישום בקרים פנימיים או לאיסוף נתונים על ביצועים ועמידה ביעדים של פרקטיקות ה.ERM 

  • ניטור מתמיד

    לאחר שפרקטיקות ERM יושמו, החברה צריכה לוודא שהן מקוימות. המשמעות היא מעקב אחרי ההתקדמות לעבר היעדים, לוודא שסיכונים מסוימים מקבלים טיפול, ושהעובדים מבצעים את המשימות כפי שציפו מהם.

  • שימוש במדדים

    כחלק ממעקב אחר פרקטיקות ERM החברה צריכה לפתח סדרת מדדים על מנת להעריך בצורה כמותית אם היא עומדת ביעדים. מדדים אלו נקראים לעיתים "יעדים חכמים"  והם שומרים על אחריות החברה והאם היא עומדת במטרות שלה או לא.


כחלק מיישום פרקטיקות ERM מומלץ לאסוף פידבק מתמיד מכל העובדים. לכל אחד ישנה פרספקטיבה שונה על מה עשוי לא לעבוד או מה ניתן לעשות בצורה טובה יותר.


יתרונות וחסרונות של ניהול סיכון ארגוני

יתרונות

  • פרקטיקת ERM מגדירה את הציפיות של החברה בכל הנוגע לתרבות ארגונית. זה כולל תקשורת פתוחה יותר על הסיכונים שהחברה נתונה להם ואיך להתמודד איתם. כתוצאה מכך יש פחות סיכונים בלתי צפויים וכיוון ברור יותר איך להגיב לאירועים מסוימים.

  • בנוסף, הדבר עשוי להוביל לשביעות רצון גבוהה יותר בקרב העובדים, בידיעה שיש תוכניות להגנה על משאבי החברה, ולשירות לקוחות טוב יותר.

  • פרקטיקות ERM פעמים רבות מיועדות לדו"ח סיכון סטנדרטי שנמסר להנהלה. הדו"ח מסכם בקצרה את הסיכונים שהחברה נתונה להם, את הפעולות שננקטות ואת המידע הנדרש לקבלת החלטות. כתוצאה מכך, החברה עשויה להיות יעילה יותר בזמן שלה, במיוחד בנוגע למה שמועבר להנהלה הבכירה.

  • פרקטיקת ERM עשויה גם להשפיע לטובה על המשאבים של החברה; עשויה להעלים תהליכים מיותרים; להבטיח שימוש יעיל בכוח אדם; להפחית גניבה ולהגביר את הרווחיות על ידי הבנה טובה יותר של השווקים שנכון להיכנס אליהם.


חסרונות

  • כאשר חברה בונה את פרקטיקות ה-ERM שלה, היא תתחשב ככל הנראה בסיכונים מוכרים שהייתה חשופה להם בעבר. לכן ERM מוגבל בזיהוי סיכונים עתידיים שהחברה לא מודעת להם ושעשויים להיות להם השפעות הרסניות יותר. יש המחשיבים את ERM כתגובה בלבד, מכיוון שחברות יכולות לחזות סיכונים על פי הניסיון שלהן.

  • פרקטיקת ERM תלויה מאוד בהערכות הנהלה. קשה מאוד לחזות סיכונים בדיוק. לדוגמה, אם חברה לא ציפתה למגפת COVID-19 האם היא יכלה לחשב את ההשפעה הכלכלית של סגירת עסקים או שינוי בהוצאות הצרכנים? העלויות של מניעת סיכון באמצעות ERM עשויות גם להיות קשות להערכה.

  • פרקטיקות ERM הן עתירות זמן ודורשות משאבים של החברה כדי להצליח. בעוד שהחברה תרוויח מהגנה על נכסיה, היא גם תצטרך להשקיע זמן בעובדיה ולהשקיע כספים ביישום אסטרטגיות ERM. בנוסף, לחברה עשוי להיות קשה להעריך את הצלחת ה ERM מכיוון שלמשל סיכונים פיננסיים שלא קרו צריכים להיות פשוט מנוטרים.


באיזה סוגי סיכון מערכת ניהול סיכון ארגוני מטפלת?

המערכת של ERM יכולה לעזור בגיבוש תוכניות עבור כמעט כל סוג של סיכון עסקי. סיכון עסקי מאיים על יכולת ההישרדות של החברה, וסיכונים אלו יכולים להיות מסווגים למספר סוגי סיכונים שונים, המובאים להלן. באופן כללי ERM בדרך כלל עוסקת בסוגי הסיכון הבאים:

  • סיכון עמידה בדרישות רגולציה: סיכון העומד בפני חברה עקב הפרת חוק חיצוני או דרישה רגולטורית. דוגמה לסיכון עמידה בדרישות רגולציה היא חוסר יכולת של חברה להוציא דוחות כספיים בזמן ובתאום עם כללי החשבונאות החלים, כמו כללי החשבונאות המוכרים .

  • סיכון משפטי: סיכון העומד בפני חברה במקרה שהיא נתבעת או מקבלת קנס בעקבות עניינים של חוזים, סכסוכים או סוגיות רגולטוריות.

  • סיכון אסטרטגי: סיכון המעמיד בסיכון את התוכנית ארוכת הטווח של החברה.

  • סיכון תפעולי: סיכון המאיים על הפעולות היומיומיות הדרושות לתפעול החברה.

  • סיכון אבטחה: סיכון העומד בפני נכסי החברה במקרה של שימוש לא נכון בנכסים פיזיים או דיגיטליים.

  • סיכון פיננסי: סיכון המעמיד בסיכון את חובות החברה או מצבה הפיננסי.


גופים אידיאליים עבור מערכות ERM

מערכת ERM מתאימה במיוחד לחברות גדולות הפועלות בסביבות מורכבות ומגוונות. חברות אלו בדרך כלל נתקלות במגוון סיכונים בין יחידות עסקיות שונות, אזורים ותפקודים.  עוזרת לחברות גדולות לזהות, להעריך ולנהל את הסיכונים בצורה שיטתית ברמות תפעוליות ואסטרטגיות.

מערכת ERM גם יכולה להיות מועילה במיוחד בתעשיות מסוימות. לדוגמה, ERM מצוינת עבור מוסדות פיננסיים כמו בנקים, חברות ביטוח וחברות השקעות. חברות אלו פועלות בשווקים המפוקחים מאוד והפגיעים. המוסדות הללו חשופים לרבים מהסיכונים שצוינו לעיל. על ידי שילוב ERM בתפעוליהם, מוסדות פיננסיים יכולים לחזק את נהלי ניהול הסיכון שלהם, לייעל את הקצאת ההון ולשפר את עמידותם למיתון כלכלי.

השורה התחתונה

חברה מייצרת, מוכרת ומספקת מוצרים ללקוחות, היא נתקלת במגוון סיכונים ממקורות שונים. כדי לתכנן בצורה טובה יותר את הסיכונים הללו, חברות פונות לניהול סיכון ארגוני (ERM) גישה ארגונית כוללת מלמעלה למטה להערכת סיכונים וגיבוש תוכניות. המטרה הסופית של ERM היא להגן על נכסי החברה ופעולתה, תוך קיום אסטרטגיות במקרה שיתרחשו אירועים לא רצויים.



תרגמה: ליאת מזרחי, יועצת ניהול סיכונים, חברת LT RISKMGMT

נכתב ע"י Adam Hayes

עבר סקירה ע"י Natalya Yashina

לינק למאמר

תגובות


bottom of page