Know the unknown

"מה הסיכון הכי גדול שיש בחטיבה שלך?" בזמן שהייתי מנהלת הסיכונים של החטיבה הפיננסית באחד הבנקים הגדולים, נשאלתי רבות: "מה הסיכון הכי גדול שיש בחטיבה שלך?" לימים, עם הניסיון, התממשות של סיכונים מסיכונים שונים, השתפשפות מול "מנהלי מוקדי הסיכון" שזה שם אחר לומר המנהלים של הפעילות העסקית/ תפעולית, מה שאנו מכנים "קו הגנה ראשון", הבנתי מה התשובה. התשובה היא סיכון שאותו אני עדיין לא מכירה. כולנו קראנו בימים האחרונים אודות מעילת הענק של חברת wirecard הגרמנית, במסגרתה נעלמו להם 2 מיליארד יורו... כולם מופתעים, לא מאמינים, איך יכול להיות שנעלמו 2 מיליארד יורו ואף אחד לא ראה...(האומנם?) לא ידע...(מאמינים לזה?) ובכן...אני מאלו שלא מופתעים. העבודה שלי, כבר 17 שנים, היא בין היתר לקרוא ולנתח אירועי מעילות והונאות. אז מה למדתי לאורך השנים מקריאה וניתוח שלהם? שהסיפור משחזר את עצמו שוב ושוב (ושוב) ומה שמשתנה הוא רק התאריכים, הסכומים והדמויות. מפתיע? אם אתם לא עוסקים במקצוע אז אני יכולה להבין מדוע אבל אם אתה במקצוע אז אתם לא צריכים להיות מופתעים. יצר האדם הוא לסמוך, להאמין אני לגמרי מבינה שהאדם מטבעו רוצה לסמוך ולהאמין באחר (מי אני שאתווכח עם מי שברא אותנו ?) ותודה לאל שאכן סטטיסטית רוב בני האדם הם אכן כאלה, אבל (!) מנהל סיכונים וגורמי בקרה צריכים להיות חשדנים מטבעם שזה צעד ראשון נגד "האוטומט" האנושי וגם לדעת לתקשר ולהסביר למקבלי ההחלטות מה הסיכונים, מה ההסתברויות ומהם צריך לעשות. בנוסף, יצר העסק הוא להרוויח כמה שיותר (שיעור ראשון בחוג לכלכלה...) ולכן תמיד בקרות, ומשאבים לתחום הזה נתפסים כ"פחות סקסיים", בזבוז מיותר וגם מפריעים לעסקים, לעשות עוד כסף... אז מה קיבלנו? כר פורה לנוכלים, לקרימינלים לעשות כאוות נפשם... המציאות היא איפשהו באמצע, ישנם ארגונים (כמו בנקים למשל) שיש להם רגולטור קשוח וחזק שמכריח אותם לנהל את הסיכונים בכלל וסיכוני מעילות והונאות בפרט (גילוי נאות ניהלתי יחידה כזו באחד הבנקים הגדולים במשך 5 שנים) וגם שם מטבע הדברים אין ערבות של 100% למרות שהבנקים בהחלט משחררים משאבים ופועלים כדי למזער את הסיכון. בארגונים שאינם כפופים לבנק ישראל "התיאבון לסיכון" נקבע לפי "הרוח" בצמרת, עד כמה היא מבינה את הסיכון וגם אם כן, עד כמה היא מוכנה לקבל את הסיכון. לעניין המקרה הנ"ל נשאלתי "איפה האחריות של EY"? אז אני אסכם בקצרה את חוות דעתי על המקרה (כמובן המידע על בסיס הפרסומים בלבד ואנו עדיין לא יודעים מה באמת קרה שם ונראה שהחברה עצמה עדיין לא יודעת). הכל מתחיל ונגמר בתרבות ארגונים ו- Tone at the top!. חברה שמגלגלת סכומים כאלה גדולים, חברה פיננסיית, לא יכולה להעסיק גורמי בקרה חיצונים! זה לא רציני ולא מקצועי. בארגון כזה צריך שתהיה יחידת בקרה פנימית, עצמאית, בלתי תלויה שאינה כפופה לחבר ההנהלה שגם אחראי על הביזנס. אי אפשר לעשות אוטסורסינג לבקרה מה שרואים בפנים לא רואים מבחוץ! ואגב זו הסיבה שקיים פער מקצועי בין יועצים שהיו כל חייהם יועצים ובין אנשי בקרה שעבדו בארגונים. זה טוב וחשוב להסתייע ביועצים, לשמוע בנצ'מרק ו Best Practice -אבל לא להסתמך באופן בלעדיי על גורמי חוץ, יהיה המותג נוצץ ומרשים ככל שיהיה.. אז מה עושים? 1. מאתרים את המקומות הכי פגיעים של הארגון (מה הכי יכאב ועלול להפיל את הארגון?). 2. עושים בדיקת עומק (Deep dive analysis) ולמעשה מפרקים את תהליך העבודה ובוחנים היכן יש פרצות, חשיפות.

3. מגדירים בקרות מפצות להפחתת הסיכון. זהו הוא עולם שלם בפני עצמו, כי הפחתה יכולה להיות "פשוט" להעביר יחידת בקרה לכפיפות ארגונית אחרת עם 0 עלויות, אפיון דו"ח חריגים, שינוי תהליך עבודה (שוב 0 עלויות), הפרדה של מחלקה ל- 2 יחידות (תפעול ובקרה) ולעיתים ההמלצות אף מייעלות את תהליך העבודה ואפילו חוסכות משאבים! לא הכל זו רכישה של מערכת חדשה שעולה הרבה כסף (לפעמים כדי לעשות קפיצת מדרגה אז כן צריך להטמיע מערכת ייעודית הכל תלוי הקשר, ארגון ופוטנציאל הנזק).