שפעת – הצרה של החורף! בכל חורף היא מגיעה מחדש, תוקפת נשים, ילדים וטף ללא כל הבחנה וללא כל סדר עדיפות. ועדיין, כל שנה אני חולה בשפעת ומבטיחה לעצמי (תוך כדי קינוח האף ושחרור צרור תלונות לאוויר) "איך שאני יוצאת מזה אני מיד רצה לקופת החולים בכדי להתחסן". אבל איך שאני יוצאת מזה (וכיאה לישראלי היפה), אני לא עומדת בהבטחות שלי.
מה בין שפעת לבין ניהול סיכונים ובקרות?
מדי חורף ניצב לו בראש מורם הסיכון האינהרנטי של לחלות במחלת השפעת. אנחנו מודעים היטב לסיכון הזה ולא אחת גם מקבלים דוגמאות חיות לתוצאות ההרסניות של התממשות הסיכון. כמו בהתממשות כל סיכון אחר, גם כאן מי שחולה בשפעת משלם במונחי נזק לגוף, נזק כספי (שהרי נעדרים מהעבודה מספר ימים), וזאת מבלי לדבר בכלל על הנזק המוראלי.
ומה אנחנו (יותר נכון, אני) בוחרים לעשות עם הסיכון הזה? איך אנחנו בוחרים לנהל אותו? המציאות ברורה – ישנו הסיכון הממשי הזה שצריך לנהל וזאת באמצעות גיבוש פתרונות מתאימים, קרי בקרה הולמת. הבקרה האפקטיבית מכל, כפי שמסבירים לנו בכל אמצעי תקשורת קיים, היא להתחסן.
האם הבקרה הזו עומדת במבחן הראשי לבחינת בקרות וניהול סיכונים? התשובה חיובית. ראשית, מדובר בפעולה הננקטת מבעוד מועד במטרה להפחית את הסיכוי להתממשות הסיכון (יש שיטענו שיש בבקרה זו בכדי למנוע לחלוטין את התממשות הסיכון). שנית, מדובר בבקרה חכמה שהאפקטיביות שלה הוכחה בעבר. שלישית, מדובר בבקרה העומדת במבחן עלות-תועלת: העלות של החיסון (לעיתים זה גם ללא עלות כלל) עולה על התועלת שתצמח ממנו, קרי עולה על התוחלת של הנזק הפוטנציאלי.
הדוגמא שהבאתי לעיל לא שונה בכלל מהמהות של ניהול סיכונים ובקרות בארגונים. הארגון חייב להיות ער לכל הסיכונים המהותיים להם הוא חשוף, לנתח אותם לעומק, לרבות מבחינת גורמי הסיכון, הסבירות להתממשותו והזנק הפוטנציאלי. לאחר שכלול של כלל הסיכונים להם חשוף הארגון ובניית מפת הסיכונים, על הארגון להחליט בהתייחס לכל סיכון שזוהה מהי רמת הסבלנות שלו כלפי הסיכון – התיאבון לסיכון וכן לגבש מסכת של בקרות ומנגנוני פיקוח ייעודיים ואפקטיביים שמטרתם להפחית את רמת הסיכון, קרי את הנזק הפוטנציאלי ו/או את הסיכוי להתרחשותו.
מה הופך בקרה למוצלחת?
בכדי שהבקרה תחשב כמוצלחת, כלומר ככזו שיש בה בכדי להפחית או למנוע באופן אפקטיבי את הסיכון, עליה לקיים מספר מאפיינים:
- תרבות ארגונית מתאימה – חשוב שבארגון תתקיים תרבות ארגונית המושתתת על מערכת של מדיניות וכללים ברורים המעוגנים בנהלי עבודה מסודרים, לרבות כאלו הכוללים מוטיבים של שכר ועונש.
- שמירה על הפרדת תפקידים – חשוב שהגורם המבצע את הפעולה יהיה שונה מהגורם שיצטרך ליישם את הבקרה. אין הכוונה להוספת כוח אדם בתהליך, אלא לבניית שיטות העבודה באופן שיהיו שזורים בהם ערוצי בקרה שהמפתח להם הינו האחד מבצע והשני בודק.
- התאמה ליכולת המקצועית – חשוב שהגורם שיידרש ליישם את הבקרה יהיה בעל הכישורים המקצועיים המתאימים. לא הגיוני שנבקש מאחד העובדים המבוגרים בארגון להפעיל מחולל דוחות מסובך, בעוד שהוא בקושי מצליח להסתדר עם תוכנת האאוטלוק המשרדית.
- התאמת הבקרה לסיכון – חשוב שיהיה מתאם ברור בין הסיכון שרוצים לטפל בו לבין הבקרה שמפתחים במענה לסיכון. אם, לדוגמא, המטרה הינה למנוע תשלומים לא מורשים, אז לא די בקביעת שני מורשי חתימה, אלא יש לתת את הדעת גם לנושא הקרבה המשפחתית או יחסי הכפיפות ביניהם.
- הגנה על אינטרסים לגיטימיים – חשוב לוודא שאנחנו לא מציפים את התהליך בבקרות מיותרות. במרבית המקרים המבחן האמיתי יהיה לבדוק כמה זמן לוקח לבצע בארגון רכש של זוג עפרונות וכמה עצים נכרתו וכמה דפים הושלכו לפח במסגרת המשימה הזו.
- תיקוף עדכניות הבקרות – חשוב לערוך מדי תקופה בדיקה של אפקטיביות הבקרה ומידת התאמתה לרציונל ולסיכון אותו רוצים לגדר. אגב, בקרות המופעלות מזה זמן מה ולא מעלות כל טעות או סטייה אחרת בתהליך יכולות ללמד על שני דברים: האחד, שכל הלוקחים חלק במטלה לא טועים אף פעם ועושים עבודתם נאמנה, והשני הוא שהבקרה פשוט לא אפקטיבית ולא מצליחה לאתר טעויות או סטיות בתהליך. מה מהשניים נשמע לכם הגיוני יותר?
"אם לא תאכל, יבוא שוטר..."
לא די בקביעת מסכת בקרות ומנגנוני פיקוח, אלא חשוב ליצור בארגון "שיניים" שיהיו אמונים על הנושא. חשוב למנות מנהל סיכונים שתפקידו יהיה לעקוב ולדווח בנושאי המדיניות שנקבעה על ידי הנהלת הארגון באשר לניהול הסיכונים והבקרות ואופן יישומה בפועל. בנוסף, חשוב למנות בקר סיכונים לכל תחום סיכון מרכזי, שתפקידו יהיה לעקוב באופן שוטף אחר הנסיבות הנוגעות לסיכונים שזוהו בתחום אחריותו ולנטר שינויים שחלו בהם. בכל מקרה של חשש להתממשות הסיכון, עליו לדווח באופן מיידי למנהל הסיכונים.
לסיכום
תהליך מושכל של ניהול סיכונים וגיבוש בקרות מתאימות במענה לסיכון הינו כורח המציאות לא רק אצל בני האדם הפרטיים, אלא בכל הארגונים, ובוודאי בארגוני המגזר השלישי, אשר חדשות לבקרים אנחנו שומעים על הסיכונים והסכנות הייחודיים להם. לעיתים נדמה כי עיקר הסיכונים להם חשופים המלכ"רים הינן סיכונים פיננסיים בשל הקיטון המתמיד במקורות ההכנסה החיצוניים, אך חשוב לזכור כי כל חשש מפני אובדן או מיעוט במקורות הכנסה צריך להוביל את הארגון להתייעלות תפעולית ולביצוע שינויים במדיניות ובשיטות העבודה. שינויים אלו בתהליכי העבודה סביר שייצרו סיכונים שונים בתהליכים וידרשו גיבוש מענה הולם בתצורה של בקרות מחודשות ומתאימות.
על הארגון לנתח מבעוד מועד את עולם הסיכונים הייחודי לו ואת הבקרות המופעלות בארגון ולשאול את עצמו שאלה פשוטה: האם עשיתי כל שניתן ופיתחתי את הבקרות האפקטיביות ביותר על מנת להבטיח שהסיכוי להתממשות הסיכון הינו ברמה המינימאלית? אם התשובה אינה כן באופן חד משמעי, כנראה שהארגון נדרש לבצע עבודה נוספת.