מה תפקידו של סקר הסיכונים בחיי הארגון ואיפה זה פוגש אותנו בשולחן הדירקטוריון?
ראשית נסביר: סקר סיכונים הוא תהליך ארגוני, בו מנהלת הסיכונים של הארגון, או יועץ חיצוני, נפגשים עם כל מנהלי היחידות בארגון החל מיחידות עסקיות כגון מח’ מכירות, מח’ התפעול, מח’ R&D ועד יחידות מטה כמו מש”א, ייעוץ משפטי, מזהים וממפים את הסיכונים בכל אחת מהמחלקות. בסיום התהליך, אנו מקבלים תוצר שנקרא “מפת סיכונים”: טבלה המפרטת את כלל הסיכונים של החברה לפי רמת החומרה, בקרות קיימות ובקרות מומלצות. מפת הסיכונים למעשה מהווה מפת החולשות וההזדמנויות של הארגון בתהליכי העבודה שלו.
הגישה כלפי סקר סיכונים מתחלקת לשניים: יש שיגידו שסקר סיכונים הוא הכרח רגולטורי ו”בזבוז” משאבי החברה, ויש המשתמשים בו כדרך חיים של ממש, מתייחסים אליו ככלי עבודה עבורם ולא מבינים כיצד אפשר לעבוד בלעדיו (ארגוניים).
מה תפקידו של מנהל הסיכונים בתהליך, ומה מערך היחסים בינו לבין מנהל היחידה העסקית?
מנהל הסיכונים הוא איש המקצוע שחושב “תרחישי קיצון” Worst Case Scenario , קרימינלי, וקטורי חדירה ותקיפה של מתקפות סייבר, ואילו מנהל היחידה העסקית חושב יעדים, הישגים והינו מומחה התוכן בתחומו. השילוב שלהם ביחד, יוצר מפת סיכונים והזדמנויות ליחידה הארגונית, בה משולבים שלל הסיכונים בארגון: טעויות אנוש, סיכוני מערכות, חוסר מוכנות לאירועי חירום (תוכנית להמשכיות עסקית-Business Continuity Plan), מעילות, הונאות, סייבר, אסטרטגי, מוניטיני, פיננסי, רגולטורי. תחשבו על זה כמו על ראיון, שמנהל הסיכונים מראיין את מומחה התוכן, מנחה ומוביל אותו מחשבתית לכיוון הסיכונים ביחידתו.
סקרי סיכונים שפספסו את יעדם – או במילים אחרות: פול גז בניוטרל
סקר סיכונים זה לא מחקר אקדמי
באחד המקרים לקוחה חדשה התגאתה בסקר סיכוני אבטחת מידע שבוצע בחברה, והציגה עבודה אקדמית תיאורטית המכילה סיכונים גנריים ותאורטיים שיש בפעילות העסקית. בזהירות הראויה, דייקנו את הסקר תוך השמת דגש על כך שסקר סיכונים צריך להיות מותאם לפעילות החברה ולתהליכי העבודה הייחודיים לה, ולא הצגת שורת סיכונים הנכונה לכל חברה באשר היא בכל סקטור באשר הוא, בארץ ובעולם. מפה סיכונים זו יכולה להוות בסיס נהדר למחקר אקדמאי, ללא ערך מהותי לארגון ולדירקטוריון החברה שצריך לקבל תמונת מצב קונקרטית על הסיכונים בחברה.
פעילות עסקית יכולה להיות אצל חברה א’ סיכון גבוה, אצל חברה ב’ סיכון נמוך ואצל חברה ג’, בכלל הסיכון איננו רלוונטי. מדובר על שלל מרכיבים המשקפים את רמת הסיכון ובדרך כלל מתכללים תהליכי העבודה, סוגי המערכות, ממשק המיכון לשאר מערכות הארגון, רמת האבטחה ברשת, אופן ניהול ההרשאות של המשתמשים וכו’.
סקר סיכונים נועד לספר למקבל ההחלטות את ההלכה למעשה. לא בערך, לא סיכון תאורטי, אלא סיכון שקיים בחברה נקודתית, המשולב מפעילות העסקית, תהליכי העבודה ומערכות המידע המותאמים לחברה.
סיכון מתחת לרדאר
ישנם מקרים מסוימים בהם מתגלים סיכונים מתחת לרדאר. על מנת למזער את הסיכונים, אני ממליצה לכתוב על “דף חלק” את כל הסיכונים אותם מאתרים בפעילות, ורק אחר כך לעיין בסקרים קודמים אם קיימים. טקטיקת עבודה זו, מאפשרת לוודא שאף סיכון לא התפספס.
בסקר שביצעתי על פעילות חוצה יחידות במוסד פיננסי, נכתב בחלק של מח’ השיווק בחלק של הבקרות: “אבטחת מידע מבצעת סקרים לספקים של הבנק”. אבל מה קורה בפועל? בפועל אבטחת מידע מבצעת סקרים לספקים שהוגדרו כספקים קריטיים של הארגון, לפי מדיניות ומתודולוגיה סדורים. האם משרד שיווק/פרסום נחשב לספק קריטי?
ברוב המקומות התשובה היא לא. האם משרד שיווק/פרסום יכול להחזיק מידע סודי של החברה? התשובה היא כן. הסוקר פשוט הציג משפט גנרי, שלקוח מתוך נהלי הבנק או משפט שאמר להם איש א. מידע בראיון, וכך המשפט נכנס כבקרה למפת הסיכונים. בקרה זו אינה רלוונטית לסיכון!
בשולי הדברים אציין שבאחד המקרים התברר כי משרד הפרסום מחזיק במידע קריטי ורגיש שיכול אף להוביל לאישום פלילי של בעלי תפקידים בחברה, שבמקרה דלף. מפת הסיכונים העלתה כי אף אחד במח’ הביטחון או אבטחת המידע, לא היה מודע או חשב על הספק הזה כספק מהותי/קריטי והחשיפה צומצמה בהתאם.
באמצעות מתודת עבודה זו, ניתן להאיר על פערים שבין “בפועל” לבין “בנוהל” ולהתאים את מפת הסיכונים לסיכון הייחודי והאמיתי של הארגון.
שתי הדוגמאות האמורות לעיל ממחישות כי גישה חיובית כלפי ניהול הסיכונים, מפת הסיכונים וההליך, לרבות רוח גבית של הדירקטוריון, עוזרת להבין שמדובר בהליך בונה ומעצים הממזער סיכונים ולא בהליך מייגע וטרחני עליו צריך רק לסמן “וי”. גישה נכונה תמצב את התהליך כמצמיח ומעצים.
אם כן, מה הסוד להפוך את מפת הסיכונים לרכב שנוסע, נותן ערך ארגוני ולא עומד במקום – פול גז בניוטרל?
1. לגלות את רזי ה”איך”. איך לגרום למנהלי היחידות העסקיות לשתף פעולה עם מנהלי הסיכונים וסוקרי הסיכונים, ולהבין שכולם באותו הצד של המתרס. האינטרס שלהם לזהות את הסיכונים אפילו עוד יותר מהאינטרס של מנהל הסיכונים.
2. בעת ביצוע סקר הסיכונים, לרתום את העובדים לתהליך, “להתחפש” למנכ”לית או דירקטורית בחברה, ולחשוב מנקודת מבט עליונה הרואה בטובת החברה. בין הנקודות עליהם נשים דגש נבחן: האם יש עובד שיכול להשלים לבדו מעילה ולגנוב כסף מהחברה וכיצד נשנה את תהליך העבודה כך שלא יוכל לבצע את זה לבדו.
נבחן למשל האם יש רק עובד אחד שעושה בקרות ומה קורה כאשר עובד זה בחופש או חולה שבוע. בתהליך נכון אנחנו יכולים למנוע מצבים בהם טעות אנוש אחת עלולה לפגוע ב 5% מההכנסות הרבעוניות בחברה רק בגלל שלא היו בקרות.
כל אחד מהמקרים האמורים לעיל מקורו בטעויות אנושיות היכולות להשתנות באמצעות גישה נכונה כלפי ניהול הסיכונים וראייה מרחבית על טובתה של כלל החברה.
מאמר מאת ליאה צור, מומחית בניהול סיכונים