• ליאה צור

RISK.NET מציגה: עשרת הסיכונים התפעוליים לשנת 2021


חברת Risk.net פנתה ל 100 מנהלי סיכונים תפעוליים במוסדות פיננסיים: בנקים, חברות ביטוח ועוד, ושאלה אותם לגבי עשרת הסיכונים התפעוליים הגדולים ביותר לשנת 2021. הסקר מדבר על קטגוריות סיכון ולא דווקא על אירועי כשל ספציפיים.

*חשוב להתייחס אל הסקר כסקר שמטרתו להרחיב את האופקים, לאפשר שיתוף ולמידה ולא כאל מדריך.



1.שיבושי IT


עם המעבר לעבודה מהבית בשליטה מרחוק, איום שיבושי ה- IT הפך מאיום מפני תקלות לא מכוונות ו"חורים שחורים" במערכת, לאיום מפני תקיפה מכוונת מצד גורמים חיצוניים. האיום התממש למיליוני בתים ברחבי העולם, כשהוא מותיר חברות פיננסיות רבות חשופות יותר מתמיד למתקפות סייבר על-ידי מתחרים, ספקי צד ג' והאקרים.


העבודה מהבית עם רשתות Wifi חמקניות, רשת וירטואלית שנופלת, או עומס המעכב חיבור מרחוק למערכות הארגון, הביאה למשל לכך שאיומי כופרה, אשר קל יותר לנהל בעבודה משותפת מהמשרד, קיבלו תוקף קריטי חדש, מחוץ למשרד. כשלים טכנולוגיים רבים אצל מספר בנקים, ספקי שירות טכנולוגיים ופלטפורמות מסחר, הובילו לכאוס במספר שווקי מפתח ביניהם הסחר במט"ח.


עבור הלקוחות ובעלי המניות אין זה משנה מה הגורם לנפילות הרשת: הונאה, תקיפת סייבר או עניין ניהולי ותפעולי. משמע: כל כשל תפעולי עלול לגרום לפגיעת מוניטין של הארגון, בעיקר בארגונים בהם הלקוח מקבל שירות באמצעות מערכות טכנולוגיות כגון, בנקים או אפליקציות תשלום.


2.התפשרות על שמירת בסיס הנתונים (אבטחת המידע)


בשנת 2021, עובדים רבים מתחברים מהבית אל מאגרי המידע של הארגון כולל מאגרים רגישים, באמצעות VPN ושימוש ברשתות ה- Wifi הביתיות. תהליך היוצר פרצות לאירועי סייבר ודיוג, כמו גם חוסר בפיקוח פיזי של המנהלים על פעולות לא תקינות.


שורשם של אירועי התפשרות אבטחת מידע הינו תהליכים ונהלים שגויים, במצב בו אנשי צוות רבים נמצאים תחת סיכון פיטורין או הורדת שעות עבודה, גם טעויות אנוש או עבירה, עשויות להוות סיבה.


שם משתמש וסיסמה כבר אינם מספיקים לצורך אבטחת המידע וארגונים פיננסיים רבים, פיתחו כלים נוספים כגון, אמצעי אימות מרובים והגבלת כניסה או הרשאות למאגרי מידע קריטיים בארגון.



3.סיכון הגמישות


לפני כשנתיים, אחד מהבנקים הגדולים בעולם, תיאר מצב היפותטי בו שליש מהעובדים נותרים מחוץ למשרדים בשל אפידמיה, ואינם יכולים לעבוד. תגובת מחלקת IT הייתה שמצב כזה לא יכול להתקיים, ועד כמה שנבדקו מודלים לניבוי במצבי אפידמיות, לא הוערך מצב גלובאלי של חוסר זמינות בעובדים.


בשנת הקורונה נמדדה יכולתן של חברות פיננסיות רבות ברחבי העולם, להתמודד עם אי יציבות בלתי מתואר של השוק, בלימת מסחר, צווארי בקבוק והסתגלות מהירה לתנאים החדשים בכדי להמשיך להעניק את השירות ללקוחות, תוך כדי כך שעובדים רבים פוטרו, יצאו לחל"ת או עבדו מהבית.


כך הפך סיכון הגמישות לסיכון התפעולי השלישי בגודלו לשנת 2021.


4.סיכון גניבה והונאה


בעידן פוסט קורונה, סיכון גניבה והונאה העמיק מכיוון שקיבל צורות חדשות ומסוכנות יותר.


התאמות הנהלים הארגוניים ושינוי הרגלי הצריכה בעקבות הקורונה הרחיבו והחריפו לפחות ארבעה תחומים פגיעים עבור הבנקים:


תכניות התמריץ הממשלתי ניידו חלק נכבד מהמזומנים אשר הפכו למטרה לנוכלים

המערכות לחשיפת הונאות, יצאו מכלל תקינות עם המעבר הפתאומי לבנקאות אונליין

פושעים מנצלים את העלייה בעבודה מהבית כדי להערים על צרכנים על-מנת שאלו יעבירו את הכספים אליהם

עם יותר עובדים מהבית, הפוטנציאל לעברות פנימיות עולה


5.סיכון צד ג'


במצב בו אתרי תמיכה נסגרו וביקורת בשטח לא הייתה רלוונטית כלל, יכולת הארגונים לעמוד בלחץ שהציבה בפניהם 2020, נשענה על שירותי מיקור חוץ כגון: ספקי שיחות וידיאו, מערכות לחיבור ושליטה מרחוק, שירותי ענן וכדומה. מידע רב נחשף לצד ג', דבר שהפך את הארגונים לפגיעים יותר.


בראש מעייניהם של מנהלי הסיכונים בשנת 2021 עומדת החשיבות לבחור בקפידה רבה את ספקי השירותים, לאמוד את רמת אבטחת המידע שלהם ולמזער את הסיכון הנובע מצד ג' שהפך לגבוה יותר מאי פעם.


6.סיכון התנהגויות לא הולמות


אחת הדרכים החיוניות ביותר עבור מנהלי סיכונים, לזהות סימנים להתנהגויות לא ראויות, הייתה המפגשים הבלתי פורמאליים בארגון כגון, מפגשי מסדרון, מפגשים ארעיים בפינת הקפה, סיור ברצפת המכירה או מפגשים פרונטליים בישיבות. במצב הנוכחי, בו רבים עובדים מהבית, פלטפורמת מידע זו אבדה והיכולת לשלוט בהתנהגויות בלתי הולמות כגון, סחר מושחת ומעילות, נשחקה.


7.הסיכון הרגולטורי


כאשר המפקחים התערבו בשווקים במהלך שנת הקורונה, הנטייה הייתה יותר להגן על המלווים ופחות להטיל קנסות על חברות, כך שהענישה הרגולטורית צנחה.


בעוד שבשנת 2020 ההפסדים מקנסות ועונשים ירדו, היו כמה מקרים חריגים. הבולט ביותר הוא המקרה של בנק ההשקעות Goldman Sachs אשר נקנס בסכום שיא בארה"ב, של 5 מיליארד דולרים, על תפקידו בפרשת שחיתות הקרן הממשלתית של מלזיה, 1MDB. בנק ההשקעות Citi נקנס גם הוא על כשלי שליטה שהובילו לכך שהבנק העביר בהיסח הדעת, יותר מ- 900 מיליון דולרים לקבוצת קרנות גידור שאיתה היה מעורב בסכסוך הלוואה.


גם שינויים פתאומיים בנוף הפוליטי יכולים להוביל לניוד עמדות הפיקוח אל תחומים של סיכונים מתהווים ולהזדמנויות רבות של צעדים מוטעים בתחום הציות. בארה"ב, זו הסיבה לכך שהרגולטורים התקדמו בקצב הרבה פחות מהיר, באקלים של שינוי. עם זאת, קיימים סממנים לכך שהמצב יכול להשתנות בקרוב, עם מדיניות התערבות גבוהה יותר באקלים סיכון פיננסי, בממשלת ביידן.


8.סיכון השינוי הארגוני


הצהרת הבנק השני בגודלו באירופה, HSBC, על כוונתו להוריד ב- 40% את השטח הפיזי של העובדים, תמצתה את מה שמשבר הקורונה הביא אל פיתחם של בנקים רבים: שינויים רבים בסביבת העבודה התפעולית, אשר עוצבו במהלך משבר הקורונה, יהפכו לקבועים.


בעידן בו לקוחות רבים התרגלו לחיות מבלי להגיע אל הסניפים, רבים בתעשייה שוקלים עתיד בו הבנקים יהיו רזים, זולים וגמישים יותר. מצב שיביא למהומה עצומה והזדמנויות רבות למעידות.


9.הסיכון הגיאופוליטי


תגובת הממשלות להתפרצות הקורונה הייתה חסרת תקדים: ניסיון לנטרל את הנגיף באמצעות סגירה של כל הכלכלות כמעט בין לילה וניסיון לחסום את עורקי התנועה של השווקים, מה שעלה במתן תמריצים כספיים עצומים מכספי האוצר. אבל הסיכונים הגדולים יותר אולי, טמונים בגמילה של השווקים מה"תרופה" (של התמריצים); בהתבוננות על מי מהסמכויות השיפוטיות יעשו את הצעד הראשון לפתיחת הכלכלות, בעקבות תכניות חיסון המונים מוצלחות; אשר יאפשרו חידוש של מעבר בינ"ל בלתי מוגבל; וכיצד הם יתכננו להרפות ממידת התמריצים ויתחילו לשלם עליהם בשנים הכואבות הבאות.


לתמריץ הייתה השפעה מעוותת עמוקה על הערכות שווי המחירים: למרות שמדד ה- S&P צנח ב- 33% במרץ 2020, בספטמבר הוא עלה אף גבוה יותר מרמותיו בתקופת טרום הקורונה. מה שמטריד במיוחד הוא העובדה שהכלים הממשלתיים לפתרון המשבר, נשחקו מהר מאוד: 'לא ניתן להוריד את הריביות מכיוון שהן כבר בתחתית ולא ניתן להזרים עוד כספים מכיוון שאלו ילכו ישירות לשוק המניות' – נאמר על-ידי מנהל סיכונים אזורי באחד הבנקים האסייתים.


10.סיכון המצב הגופני-נפשי-חברתי (שלומות) של העובדים


התעשייה הפיננסית אולי הפגינה גמישות, באמצעות יכולתה להמשיך לתפקד עם עשרות מיליוני עובדים מהבית, במשרדים מאולתרים, כשהם חולקים את המרחב עם הילדים ובני משפחה הדורשים את תשומת ליבם. אבל, עבור עובדים רבים, הימים והשבועות הראשונים של המגיפה, כאשר השווקים צנחו צניחה חופשית, סביבות הפיקוח והבקרה הוגדרו מחדש בין לילה ותהליכים התהפכו, ההרגשה הייתה יותר כמו הישג מרשים של סיבולת.


מנהל הסיכונים האזורי של אחד המלווים הגלובליים תיאר זאת כך: 'התוצאה מהחרדה שיצרה הקורונה, באה לידי ביטוי, לאורך הזמן, בירידה בפרודוקטיביות, במיקוד ובמורל ואלו עלולים להוביל לטעויות אנוש'. והוסיף: 'כחברה, אנו מוגבלים ביכולתנו למתן סיכון זה ולכן, אני חושב שזהו אף סיכון גדול יותר מהאחרים, איננו יכולים לפנות לממשלה ולומר: פיתחו בבקשה את הגבולות מכיוון שהעובדים שלנו זקוקים לטייל וזקוקים לפגוש את המשפחות שלהם.'