מושג ה-"סיכון" הפך בעשור האחרון לבסיס המקובל להערכת הבקרה בארגון וכן לנקודת המוצא לביקורת הפנימית. זיהוי הסיכונים הראשוני, שנעשה על ידי סקר סיכונים, מצביע על הסיכונים הקיימים אשר מוערכים על פי הנזק שהם עלולים להסב לארגון ועל פי הסבירות להתרחשותם. עבור המבקר הפנימי, סקר הסיכונים מלמד על האופן שיש לערוך תכנית ביקורת רב שנתית עבור הארגון, ובעת הביקורת עצמה, מכוון את המבקרים אל הליקויים הקיימים.

 

מהו אותו "סיכון" וכיצד ניתן לזהותו? ראשיתה של כל החלטה עסקית מקורה בראש ובראשונה  בהערכת הרווח הפוטנציאלי לארגון, אך עם זאת, כל החלטה עסקית נתונה תמיד לסיכון כי הפעולה לא תצלח וכי במקום רווח יגרמו הפסדים שמקורם בהשקעה אשר ירדה לטמיון.

ארגון פיננסי איננו לוקח סיכון זה כמובן מאליו וכגזירת גורל אלא מתמודד איתו: טרם הפעולה העסקית, ניתנת הערכה להפסד הפוטנציאלי, או במילים אחרות, מהן ההשלכות הפוטנציאליות של הפסד. לאחר שנעשים החישובים, ניתן להחליט האם הסיכון תואם את רמת הסיכון אותה הארגון מוכן לקחת.  

 

החלטה לגבי נטילת הסיכון נעשית על ידי הנהלת הארגון אשר צריכה להגדיר מהו תיאבון הסיכון של הארגון : ארגון אוהב סיכון/ שונא סיכון.

במינהל עסקים מקובל לומר כי הנהלה של ארגון צריכה לפזר את הסיכונים ולמנוע מצב של לקיחת סיכונים רבים מידי באופן מקביל. הנהלה יכולה למשל לקבוע כי מתוך כל הפעולות העסקיות של הארגון, מספר מועט מהן יהיה בסיכון גבוה יותר.

מוסד פיננסי בנקאי, לדוגמא, מבצע הערכה זו בתהליך מתן הלוואות – על פי בחינת תלושי השכר ומבנה ההוצאות של מבקש ההלוואה, מחשב את הסיכון/סיכוי של לוקח ההלוואה להחזירה, ובכך מחליט אם לדחות או לאשר את הבקשה. יצוין כי אי החזרת חלק או מלוא הלוואה גם הוא סיכון אשר בא בחשבון הרווחיות, ובהתאם לתדירות ההתרחשות בפועל, הבנק מתאים את לקיחת הסיכונים גם לכך – למשל, על ידי הגדלת הריבית ללווים אחרים כפיצוי על אובדן החזר הלוואה אחרת.

 

ואולם, מעבר להימורים עסקיים ולסיכונים כספיים, קיימים סוגים נוספים של סיכונים. אלו הם סיכונים שלרוב באים לידי ביטוי בתהליכי עבודה בארגונים גדולים במשק, ולאו דווקא בהצלחתה או אי הצלחתה של פעולה עסקית. סיכונים אלו מכונים בשפה המקצועית סיכונים תפעוליים. סיכונים אלו אינם תלויים בתנודות במשק או בעולם הפיננסי שבחוץ, אלא תלויים בראש ובראשונה בהתנהלות הארגון עצמו מבפנים.

 

לדוגמא, סיכונים של רווח או הפסד בעסקה, אינם מלמדים על הסיכון כי עובד יבצע הונאה, או שמא מזכיר/ת החברה יטעו בהפקת החשבוניות ובכך יגרמו להוצאות מיותרות, או שהיעדר גיבויים של מערכות המידע יובילו לאיבוד מידע יקר ערך שנצבר במשך שנים. עם זאת, כל אלו הם סיכונים שהתרחשותם בעלת השפעה ישירה על רווחיות הארגון.

במבט מבחוץ אלו נראים סיכונים לא משמעותיים, אך בארגונים פיננסיים טעויות קטנות וכשלים מתרחשים באופן יומיומי ומסתכמים בהפסדים של מיליוני שקלים. מסיבות אלה, וכן לאור תקנות כגון "באזל 2", מוסדות פיננסיים בישראל משקיעים משאבים רבים בניהול סיכונים בכלל, וסיכונים תפעוליים בפרט. בנק ישראל כיום מחייב את הבנקים ליצור תשתית לניהול סיכונים תפעוליים, וכן להתאים את הלימות ההון לנזק פוטנציאלי של סיכונים תפעוליים, ולא רק לסיכוני אשראי או סיכוני שוק.

עולם הסיכונים התפעוליים כדיסציפלינה העומדת בפני עצמה הוא חדש ובשנים האחרונות הגורמים השונים בשוק הפיננסי בישראל, משקיעים מאמצים בלמידת השפה והכלים, במטרה לעמוד בסטנדרטים בינלאומיים כחלק מתהליך הגלובליזציה של השוק.

 

ניהול סיכונים תפעוליים אינו דומה לחישובי סיכון/סיכוי של רווחיות, אלא דומה יותר לבקרת איכות שמבוצעת בתעשייה, הואיל והארגון צריך להתמודד עם עובדים, תהליכי עבודה, סביבת עבודה  ומערכות מידע. במקום מודלים כלכליים, היבטים אחרים כגון קיומם של נהלים, איכות עובדים, דיווח, הפרדת תפקידים, הכשרות, אבטחת מידע וכד', משמשים ככלי להערכת סיכונים בארגון. לסיכונים אלו עלות כלכלית לא מבוטלת, ובמקרים לא מעטים עלותם הכלכלית לארגון גבוהה אף יותר מעלותם של סיכונים פיננסיים "קלאסיים".

סביר להניח כי קיומים של סיכונים גבוהים רבים לא יביאו לביטול של פעולה עסקית כלשהי, אלא רק ילמדו על הצורך של הארגון לפעול לשיפור תהליכי העבודה.

 

מושג הסיכון מוטמע בעולם הביקורת בישראל אם כי לא רק במוסדות פיננסיים אלא גם בביקורת הממלכתית, כפי שבא לידי ביטוי לדוגמא בהנחיה של משרד הפנים למבקרים פנימיים של רשויות מקומיות לבצע סקר סיכונים. רשויות מקומיות אינן גוף פיננסי ורווחיותן ויציבותן אינן רלוונטיות ליציבות המשק, ולפיכך הן כביכול נטולות אינטרס ציבורי שדורש רגולציה נוקשה כמו זו שמפעיל בנק ישראל על הבנקים.  

 

חוזר משרד הפנים הקובע את ההנחיה הנ"ל מוכיח כי היעדר הרגולציה והפיקוח הוביל את הרשויות המקומיות אל פי תהום: גירעונות עצומים והפרה בוטה של מנהל תקין שמתרחשת באופן קבוע ובאה לידי ביטוי במינויים פוליטיים, טובות הנאה, ניהול כושל ובזבוז משאבים. המינויים במועצות מקומיות, הידועים לשמצה בקרב הציבור, בסיסם בתהליך ובקרה לקויים.

 

בחלק משמעותי מהרשויות ניתן להניח כי סקר סיכונים אובייקטיבי, ימצא כי אופן ניהול קידום העובדים וקבלה לעבודה הוא בעל פרצות רבות ובעל קרקע פורייה לסיכונים רבים, אשר מאפשרים את הקבלה לעבודה ואת קידומם של מקורבים שלא על בסיס מקצועי – החל ממינוי הועדה הבוחנת את המועמדים וכלה במתן ההטבות והשכר שניתנות בניגוד לכללי משרד הפנים. למשל, במועצה מקומית מסויימת נמצא, כי ועדת הבחינה מורכבת באופן הומוגני על ידי מקורבים של מקורבים, שבהתאם מקדמים וממנים את מקורביהם. כאשר מקורב אחר ממונה למחלקת משאבי אנוש, מכרזים חדשים עלולים גם הם להיות מוטים ומותאמים למקורבים אחרים. באופן זה נפל כוחה גם של הבקרה הבודדת של קיומה של ועדת בחינה המורכבת ממספר גורמים "שונים".

 

לסיכום, מושג הסיכון מבטא כשל פוטנציאלי בפעילות של הארגון. בעולם הפיננסי עולם הסיכונים עוסק בראש ובראשונה בסיכוני אשראי ושוק, אך לצידם קיימים סיכונים אחרים, הבאים לידי ביטוי בעולם הסיכונים התפעוליים וברור כיום כי חשיבותם אינם פחותה, שכן הנזק הפוטנציאלי הגלום בתוכם הוא גבוה גם כן. לצד זאת, סיכונים שקיימים בעולם הפיננסי משיקים לעולם הסיכונים של ארגונים אחרים, כגון ארגונים ממלכתיים, אשר בהם עקרונות אחרים כגון מנהל תקין ועמידה בהוראות החוק הם הנפגעים העיקריים מהסיכונים.

 

סקר הסיכונים הוא הכלי עבור מנהל הסיכונים, מנהל הכספים, המבקר הפנימי וההנהלה הבכירה בכלל, באמצעותו ניתן יהיה לזהות את הסיכונים הקיימים בארגון ובכך לתקן את הליקויים הקיימים.

רו"ח סיגל שפיץ טולדנו הנה שותפה בחברת הייעוץ דיס, ודניאל אגמון הנו עובד במחלקת ביקורת פנימית וניהול סיכונים בחברה.

פורסם במקור: "NEWS1 מחלקה ראשונה" 3/12/10
=============================================================

*חברת דיס ביקורת ואבטחת מידע, מתמחה במתן שירותים מקצועיים ע"י מומחים בתחומי ביקורת פנימית, ניהול סיכונים ואבטחת מידע. החברה אשר הוקמה בשנת 2006 משלבת ידע וניסיון עשיר – הן בפן התהליכי והן בפן הטכנולוגי, ומסייעת לארגונים לשפר ולייעל תהליכים, לחסוך בהוצאות ולמקסם את רמת האבטחה בארגון. על לקוחות החברה בארץ ובעולם נמנים גופים פיננסיים, רשויות מקומיות, חברות ממשלתיות, חברות טלקום ועוד.