07/07/2016

שלל הסיכונים בסביבה העסקית הם לא סיפור חדש. למעשה, תפקיד אחראי/מנהל סיכונים ראשי (CRO) קיים בעולם העסקים כבר 16 שנה. אולם בשנים האחרונות כוחו של ה-CRO גדל דרמטית, בשל מספר חסר תקדים של סיכונים חדשים שנוצרים ללא הרף ועשויים לגרום להם נזק אדיר.

שנת 2016 מחייבת את מנהלי הסיכונים להיות עם היד על הדופק בנוגע לשורה של סיכונים אסטרטגיים, סיכונים תפעוליים וסיכונים חיצוניים. מנהלי סיכונים חייבים היום לגבש תוכנית ניהול סיכונים ברורה ולהטמיע אותה בכל חלקי הארגון. מעבר ליכולת לזהות סיכונים קיימים, למזער את הסיכוי שיתרחשו ולהתמודד עם הסיכונים הקיימים באופן מיטבי, מטרת התוכנית היא להפוך את אותם סיכונים לסיכויים  - שיביאו חדשנות, הפחתת עלויות, הגברת הציות לרגולציות ויתרון תחרותי.

KPMG זיהתה שבעה תחומי סיכון מרכזיים שחייבים להופיע בראש סדר היום של מנהלי הסיכונים השנה:

ניהול סיכונים טכנולוגיים

ההתפתחות המואצת של הטכנולוגיה הביאה ארגונים רבים למנות אחראים על סיכוני טכנולוגיות מידע (ITRM). מנהלי ה-ITRM מפקחים על הסיכונים הטכנולוגיים באופן שמאפשר לחברות לצפות בעיות ולהימנע מהן ולא רק להגיב לבעיות אחרי שכבר התעוררו.

ניהול סיכוני צד שלישי

ארגונים עובדים היום עם אלפי גורמי צד שלישי, דוגמת גופים או אנשים שאחראים על התקשורת עם גורמי ממשל. מאחר שהגורמים המתווכים האלה רק הולכים ומתרבים, חשוב במיוחד לפקח עליהם. חברות וארגונים חייבים לזהות מי מבין אותם גורמי צד שלישי מעמידים אותם בסיכון. ה-CRO חייב לבדוק בציציות את אותם גורמי צד שלישי ולאשר אותם, וכן לקבוע על מי מביניהם חשוב להחיל פיקוח צמוד באופן קבוע ולא רק בתחילת הדרך. מנהלי הסיכונים צריכים גם לנווט את השימוש הנכון בטכנולוגיות ודאטה אנליטיקס כדי לשכלל את תהליך הפיקוח הזה.

הונאה ותרמית

חברות חייבות לפקח כל העת על פעילות העובדים, הספקים וגורמי צד שלישי כדי לאתר - ובמידת האפשר גם למנוע - הונאות פיננסיות או מעשי תרמית מצד עובדים, שיכולים לגרום לארגון הפסדים ונזקים תדמיתיים. מנהלי הסיכונים צריכים להיזהר במיוחד מהונאות שנובעות מקנוניות או מזימות. 

ניהול משברים

מנהלי הסיכונים חייבים לדאוג שהחברה תכין תרחישים, תקיים סדנאות ותנסח תוכניות כתובות שיכינו את הארגון להגיב נכון למשברים פוטנציאליים כמו מתקפות סייבר, חקירת הרשויות, מבחני ציות או אלימות במקום העבודה. מאחר שמשברים, מטבעם, מתפרצים ללא אזהרה ודורשים תגובה מהירה, מנהלי הסיכונים חייבים לדאוג שלארגון יהיו נהלי פעולה לשעת חירום. עורכי דין, מומחי IT, רואי חשבון ושאר יועצים למיניהם חייבים לעבור בדיקה ואישור, לחתום על חוזה ולהכיר את העסק היטב על מנת להיות מוכנים לפעול במהירות בשעת הצורך.

אבטחת מידע

כולם כבר מודים היום שקשה לאמוד את ההיקפים המדויקים אבטחת המידע בארגונים. הסיבה לכך היא שהמידע הארגוני והתהליכים שהארגון מנהל כבר מזמן יוצאים מחוץ לגבולותיו – למשל, אפשרויות שירות עצמי ללקוחות, מיקור אסטרטגי, שותפויות עסקיות ופיתוחים טכנולוגיים.

בתקופה הנוכחית חשוב במיוחד להבין את מהות הסיכונים, לא רק ברמת התשתית והטכנולוגיה אלא גם ברמת התהליכים העסקיים השוטפים. מאחר שהחברות מחוברות היום ליותר ארגונים מאי פעם, מנהלי הסיכונים חייבים לפקח על הקשרים האלה כדי להבין כיצד גורמי צד שלישי שעברו אישור משתמשים במידע הארגוני ומגינים עליו.

ציות יעיל לרגולציה

החמרת הרגולציה משפיעה על כל היבט בפעילות הארגון. בסביבה העסקית של היום, חברות חייבות לצפות מראש את הרגולציות החדשות עוד לפני שהן מיושמות בפועל ולהתכונן אליהן בהובלת ה-CRO וה-CCO (האחראי על נושא הציות לרגולציה ולכללי הממשל התאגידי). לכל חברה חייב להיות מנגנון שאליו מוזנות בזמן אמת כל התקנות הרגולטוריות הגלובליות. חברות חייבות לבחון את יעילותם של הציות לרגולציה והדיווח לרשויות ולדאוג לשיתוף פעולה בין הגורמים השונים כדי להציג דו"חות מקיפים למועצת המנהלים.

שיפור ריכוז ודיווח נתוני סיכון              

מאחר שדרישות הרגולטורים רק הולכות ומחמירות, כמו גם הדרישה לרכז באופן ברור את המידע על הסיכונים הארגוניים, מנהלי הסיכונים חייבים להתמקד בשיפור הדיווח, בייחוד כשמדובר בחברות פיננסיות. תהליך שיפור כזה חייב, בין היתר, לשכלל את הדיווח והאיסוף אוטומטי של מידע בזמן אמת.