• ליאה צור

ניהול סיכונים היה בעבר מדע, אחר כך הפך לאומנות וכעת הוא רק בולשיט

מאת: אלכסיי סידורנקו תרגום לעברית: ליאה צור

אלכס מתאר במאמרו כיצד "חדשנות", העדר של חריפות עסקית וייעוץ, הורגים את ניהול הסיכונים המודרני בארגונים שאינם פיננסיים. בהתחלה ניהול סיכונים היה מדע...

ישנם מקורות המספרים כי ניהול סיכונים הגיע מהימורים וביטוח ימי. בשני התחומים, היה שימוש במדע על מנת לקבל החלטות טובות יותר ולעשות יותר כסף. ניהול הסיכונים כלל שימוש בכלים מתמטיים, אשר היו זמינים באותה תקופה, על מנת לכמת סיכונים והיישום היה קל ומעשי למדי. בנקים וקרנות השקעה התחילו להשתמש במודלים לניהול הסיכון וכמו קודמיהם, גם הם השתמשו במודלים על מנת לשפר את התמחור, לקבל החלטות בנוגע להשקעות ולעשות יותר כסף. ניהול סיכונים באותה תקופה היה מדעי למדי, ה. מרקוביץ, מ. מילר ו-ו. שארפ זכו בשנת 1990 בפרס נובל על CAPM- כלי לשימוש במסגרת ניהול הסיכון. זה לא אומר שניהול סיכונים היה מדויק תמיד, ניתן לראות זאת במקרה של LTCM, דבר אחד ברור, מנהלי סיכונים יישמו את המודלים הכי מתקדמים של הסתברות והשתמשו בכלים מתוחכמים לסייע לעסקים לעשות כסף (ע"י יצירה של תזרים מזומנים חדש או הגנה על תזרים המזומנים הקיים). ואז ניהול סיכונים הפך לאומנות.... אז הגיע תורם של ארגונים שאינם פיננסיים וארגונים ממשלתיים. זהו השלב שניהול סיכונים התחיל להיות יותר אומנות מאשר מדע. להלן מספר סיבות אפשריות למעבר הזה: העדר מידע אמין לכימות הסיכונים (דוגלס ו. הרבאס מוכיח בספרו שזה לא נכון). כיום, אין תירוץ עבור אי כימות של סיכונים בכל סוגי הארגונים והשווקים. * העדר ביקוש מצד העסקים. ישנם הרבה ארגונים שאינם פיננסיים, בהם תהליכי התכנון, תקצוב וקבלת החלטות הינה פחות מתוחכמת, לכן מנהלים רבים אינם מבקשים ממנהלי הסיכונים לספק ניתוח כמותי של הסיכון. *העדר של מנהלי סיכונים בעלי הכשרה מתאימה. כתוצאה מכך, הרבה מנהלי סיכונים הופכים להיות "רכיכות" ואינם בעלי כישורים וניסיון לכמת את הסיכונים ולמדוד את השפעתם על גורמים עסקיים ועל החלטות. זה היה טוב לאותו הזמן, סה"כ מדובר על תהליך של עקומת למידה, וכך, עם הזמן, רבים מהארגונים הלא- פיננסיים למדו אילו סיכונים יש לכמת וכיצד. ארגונים אחרים שנכשלו בתהליך ההתבגרות של ניהול הסיכון, בדר"כ איבדו עניין בניהול סיכונים מאחר וכשלו לראות את הערך האמיתי. כיום ניהול סיכונים הוא רק בולשיט... עם זאת, מה שאני רואה היום אינו דבר שראוי לשבח... במקום להיות פרגמטי, פשוט וממוקד באיך לייצר כסף, ניהול סיכונים עבר אל "מדינת מילות הבאזז". אם את.ה קורא.ת מילים אלא וחושב.ת "רק רגע אלכס, מהירות הסיכון חשובה, ארגונים צריכים לפתח עמידות נגד הסיכון, ניהול סיכונים הוא גם עבור הזדמנויות וסיכונים, תיאבון הסיכון, צריך לכמת את הקיבולת והסבלנות לסיכון ולאשר אותו במליאת הדירקטוריון והסיכון השורשי הוא שימושי" מזל טוב! ייתכן ואיבדתם מגע עם המציאות העסקית ואתם תורמים לבעיה. מיקדתי את מחשבותיי לארבע איזורים של בעיות:

1. ניהול סיכונים איבד קשר עם המדע המודרני כיום, אפילו הארגונים הלא פיננסיים המתקדמים ביותר, משתמשים באותם הכלים של ניהול סיכונים (עץ החלטות, מונטה קרלו, VAR, stress testing, ניתוח תרחישי קיצון) אשר נבנו בשנות ה-40 וה-60. רוב מנהלי הסיכונים בארגונים הלא פיננסיים מתעלמים מהמחקרים האחרונים בנושא: חיזוי, מודלי אי וודאות, כימות סיכונים ורשתות נוירונים. באופן אירוני, הרבה ארגונים משתמשים בכלים כמו סימולציית "מונטה קרלו" אשר פותחה אגב בשנת 1946 לצורך חיזוי ומחקר, אבל מנהל הסיכונים לא מבצע את החישוב בפועל. אותו הדבר ניתן לומר על הפיתוח האחרון של טכנולוגיית הבלוקצ'יין שניתן לטעון לגביה שהיא הכלי הטוב ביותר להתגונן מול סיכון צד נגדי (counterparty) בהיבט של שקיפות, אמינות ודיוק ועם זאת משום מה, מנהלי הסיכונים מתעלמים ממנה. כמו כן, עברו שנים מאז ראיתי מדען/חוקר שמשתתף בכנסים ואירועים של מנהלי סיכונים ומשתף דרכים וכלים למדוד ולכמת סיכונים של גורמים עסקיים. אותו הדבר ניתן לומר על האיכות הירודה של מחקרים אקדמאים שפורסמו בתחום ניהול הסיכונים. 2. ניהול סיכונים מודרני מנותק מקבלת החלטות ותפעול העסקי היומיומי אלא אם כן אנחנו מדברים על מלכ"ר או ארגון ממשלתי, המטרה של ארגון היא פשוטה: לעשות כסף. ובזמן שארגון עסוק בלעשות כסף, הוא מתמודד עם חוסר וודאות. למרבה המזל, לארגון יש כלים רבים להתמודד עם חוסר הוודאות, כלים כמו תכנון עסקי, תחזיות מכירה, תקציב, ניתוח השקעות, ניהול ביצועים וכו'. עם זאת, במקום לשלב ניהול סיכונים לנושאים שציינתי, מנהלי סיכונים רבים בוחרים ללכת בדרך אחרת משלהם, להקים ייקום מקביל שכל כולו מוקדש לסיכונים (אני חושב מאוד תמימים). להלן מספר דוגמאות:

  • בניית מסמך מסגרת טיפול בניהול הסיכונים במקום לעדכן מסמכי מדיניות ונהלים בתאם לעקרונות ISO31000:2009.

  • עריכת סדנאות ניהול סיכונים במקום לדבר על סיכונים בפגישות קביעת אסטרטגיה או תוכניות עבודה.

  • הערכת סיכונים עצמאית ונפרדת במקום חישוב סיכוני פרויקטים/תקציב/פיננסי במודלים הקיימים.

  • בניית תוכניות הפחתה נפרדות במקום לשלב את תוכנית ההפחתה לתוכניות העסקיות ול KPIs.

  • דיווח של גובה הסיכון במקום דיווח סיכוני KPI, סיכון תקציב, סיכון לוחות זמנים וכו' יצירת דיווחי ניהול סיכונים בנפרד במקום שילוב דיווח מנהל הסיכונים בדו"ח הנהלה וכו'.

  • ניהול סיכונים הפך להיות יישות בפני עצמה. מנהלים בארגונים אינם פיננסיים לא רואים בניהול סיכונים כלי עזר לעשות כסף. מנהלי סיכונים אינם מדברים ולעיתים אינן מבינים את השפה העסקית ואיך מתקבלות החלטות בארגון. ניתוח הסיכון לעיתים אינו עדכני ועד שהמנהלים מקבלים את העדכון בגינו, החלטות כבר התקבלו.

3. מנהלי סיכונים ממשיכים להתעלם מהטבע האנושי למרות המגוון הרחב של מחקרים שנעשו ע"י זוכי פרס נובל ד.קנהמאן, א.טברסקי ואחרים, מנהלי סיכונים ממשיכים להשתמש בחוות דעת של מומחים, מפות/מטריצות סיכונים, הסתברות X במקום להשפיע על מכירות, סקרים וסדנאות למפות ולהעריך סיכונים. כלים אלו אינם מבטיחים תוצאות מדויקות (בלשון המעטה) לא בעבר ולא בעתיד. פשוט תפסיקו להשתמש בהם. קיימים כלים טובים יותר לשלב ניתוח סיכון בתהליך קבלת ההחלטות. בניית תרבות של מודעות לסיכון היא קריטית עבור הצלחה של כל ארגון, ועם זאת כל כך מעט מנהלי סיכונים מודרנים משקיעים בזה. במקום לערוך סדנאות ניהול סיכונים, מנהלי סיכונים צריכים ללמד את העובדים מהי תפיסת סיכונים, הטיות קוגניטיביות, יסודות ISO31000:2009 וכיצד לשלב ניתוח וניהול סיכונים לפעילות היומיומית וקבלת ההחלטות.

4. מנהלי סיכונים יותר מדי עסוקים בלרדוף אחרי חד קרן במקום לדבוק בבסיס ולגרום לזה לעבוד, רבים ממנהלי הסיכונים רודפים אחרי מילות הבאזז הכי עדכניות ואחרי "חדשנות". זכרו איך "שרידות" (Resilience) היה דבר גדול לפני מספר שנים, לפני כן היה את "הסיכונים המתפתחים" (Emerging risks) כמו כן "מודיעין סיכונים" (Risk intelligence) גמישות וזריזות( (Agility, סיכון סייבר (Cyber risk), והרשימה ארוכה...נראה כי אנו עסוקים מדי שנה למצוא את האויב החדש ושכחנו לבצע את הניהול הבסיסי של ניהול הסיכונים . נראה כי ליועצים יש קביעה גדולה מדי בנוגע לכיצד מתפתח ניהול הסיכונים המודרני. התקנה האחרונה הייתה טיוטת COSO:ERM שנכתבה ע"י PWC ופורסמה ע"י COSO ביוני השנה. טיוטה זו הייתה מלאה בבולשיט. הכותבים הציגו "חדשנות" ובין השאר "רעיונות שימושיים", הם מצאו דרך חדשה למפות פרופיל סיכון. נחמד...אם פרופיל סיכון היה המטרה של ניהול סיכונים. למרבה הצער, הוא לא. פרופיל סיכון בכל וריאציה, אינו עוזר למנהלים להמנע מקבלת החלטות מסוכנות ברמה יומיומית.

על מנת להיות פייר, הצוות הגלובלי שעובד על עדכון ISO31000:2009 העסיק יועצים שיש להם ידע מוגבל בנוגע לניהול סיכונים הנוגעות לקבלת החלטות יומיומיות ולעזור לארגונים לעשות כסף. אני חושב שהגיע הזמן לחזור לבסיס ולהפוך את ניהול סיכונים בחזרה לכלי אשר עוזר לארגון בקבלת החלטות ויצירת כס.