בראשית
בשנת 1985, בהתארגנות לאו דווקא רגולטורית אלא וולונטארית של גופי מקצוע החשבונאות, הבקרה והביקורת הפנימית בארה"ב (הלשכה האמריקאית של רואי החשבון, AICPA; האגודה האמריקאית לחשבונאות, AAA; לשכת מנהלי הכספים, PFI; איגוד מבקרי הפנים, IIA; והאגודה הלאומית של החשבונאים, NAA), הוקמה וועדתTREADWAY.
הוועדה חקרה על פני כשנתיים את סוגיית "דיווח כספי שקרי". הכוונה לדוח כספי שהוגדר כמטעה באופן מהותי, על נזקיו המרובים ועל דרכי ההתמודדות המערכתית עמו.
הוועדה ניתחה 119 ארועים של דיווח כספי שקרי בארה"ב, שהתרחשו בין השנים 1981-1986, בהם נקטה רשות ניירות הערך האמריקאית צעדי אכיפה כנגד חברות ציבוריות או מנהלים וכן 42 מקרי אכיפה נוספים כנגד רואי חשבון ומשרדיהם.
תוצאות המחקר התפרסמו כדוח בשנת 1987, כשדוח זה היווה את הבסיס הרעיוני והמקצועי המקיף הראשון להתמודדות מערכתית עם נושא זה.
דוח הוועדה היכה גלים וחייב המשכיות מקצועית ורעיונית. המשכיות זו באה לידי ביטוי בועדת ה-COSO¹, שתכליתה הינה המשך פיתוח רעיוני וגיבוש מסגרות עבודה (frameworks) ומדריך (Guidance) בנושאי: ניהול סיכונים כולל (ERM–Enterprise Risk Management), בקרות פנימיות (Internal Controls) והרתעה מפני מעילות (Fraud Deterrence). בדוח בדבר תוצאות המחקר משנת 1987 נזרעו מרכיבי היסוד והתובנות שפורסמו על ידי ה-COSO בשנת 2004, בדבר מסגרת העבודה לניהול סיכונים כולל, ולימים גם להנחות שעומדות בבסיס תפיסת הממשל התאגידי, Corporate Governance.
בין לבין, בעוד דנים ומפתחים את מודל COSO, חלו "רעידות אדמה" עסקיות בארה"ב. קריסתם של שני תאגידי הענק, WORLDCOM ו-ENRON, וכן התמוטטות ענק משרדי רואי החשבון בארה"ב, ARTHUR ANDERSEN. שני התאגידים קרסו על רקע דיווח כספי-חשבונאי מטעה שהסווה וטייח את פני הנתונים החשבונאים-כספיים-כלכליים הריאליים של החברות.
מצב העניינים החמור חייב את המחוקק האמריקאי לפעולה. וועדה מיוחדת של שני סנטורים, פול סרבינס ומיכאל אוקסלי, פרסמה את המלצותיה שחוקקו ב- 2002 לחוק ה-SOX האמריקאי (Sarbanes Oxley Act).
החוק ערך למעשה אינטגרציה של הגישות שעלו במודל COSO, תוך התאמתן לנדרש בהקשר של נושא הליבה בו עוסק החוק – קיום בקרות נאותות בארגון שיבטיחו דיווח כספי מדויק, וזאת בנוסף להרחבה חקיקתית של תפקידי וועדת הביקורת, של מועצת המנהלים ושל המבקר הפנימי, הגדלה ניכרת של אחריות המנכ"ל, מנהל הכספים וכן רואה החשבון המבקר לכל סדרי הבקרה בארגון, ובמיוחד לבקרות הכספיות, תוך הכללתו של מודל ניהול הסיכונים.
החוק, יחד עם התפתחות גישות ניהול שחלו בעקבותיו, במיוחד גישת המימשל התאגידי, שאפו לתת פתרונות גם לקשיים וגם לחובה של מועצת המנהלים לפקח על הנהלת התאגיד, לרגישות של מועצת המנהלים באשר לעסקאות עם בעלי עניין (ככל שיש בעלי שליטה ובעלי זכויות מיעוט), וכן לדגש חדשני שעלה/התחדש, אגב גישת הסיכונים: התאגיד אינו אמור לפעול אך ורק להשאת רווחיו, אלא שבמסגרת הסיכונים האופפים אותו ולמען שרידותו עליו להביא בחשבון ולשקלל לא רק את זווית הראיה של בעלי המניות, אלא גם של בעלי עניין, STAKEHOLDERS, ובהם בנקים, נושים, ספקים, לקוחות, עובדים, צרכי החברה האזרחית וצרכי הסביבה².
גישת ה-SOX לבשה גם לבוש ישראלי, ISOX, כאשר הרגולטור בישראל ערך בסוף שנת 2009 התאמות בין דרישות החוק האמריקאי למציאות השורה בישראל.
גישות אלה יחדיו: ניהול סיכונים- ERM, מודל COSO, ISOX ועקרונות הממשל התאגידי, מהוות כיום, תחילת המאה ה-21, את מיטב האיזונים והבקרות ואת מיטב תפיסות הניהול, השקיפות ומאזן האינטרסים בתאגיד על מוסדותיו ומנהליו.
השלב הראשון של תאגידים בבואם ליישם כללים ודרישות חדשות של המאסדר (הרגולטור) הינו, באופן טבעי, שלב של ציות, COMPLIANCE. בשלב זה, יש עשייה והטמעה של דרישות המאסדר, אך ההיסטוריה מלמדת כי הטמעה זו היא ברובה טכנית, ללא העמקה בדבר התובנות והתועלות שעשויות לצמוח לתאגיד בעקבות יישום הוראות המאסדר.
ניתן לומר, על דרך ההכללה, כי רובם ככולם של התאגידים בישראל נמצאים כיום בשלב ההטמעה הטכנית בתהליך ליישום גישת ניהול הסיכונים³ או בשלב יישומו בפועל. אך החשוב יותר הינו השלב הבא אליו מופנית תשומת הלב. זהו שלב ההפנמה, שלב התובנה הגוברת של ההנהלות ומועצות התאגידים שגישת ניהול הסיכונים אינה רק פעולה הנובעת מחמת חובת הציות, אלא יש בה תועלות מרובות לתאגיד על מועצתו, מנהליו ועובדיו.
תכלית
התובנה החשובה הראשונה הינה התובנה כי תאגידים חייבים לדבר ולהתנהל על פי שפת סיכונים (RISK) ולא רק בשפת הבקרות (CONTROL), שהינה מוגבלת במהותה.
שפת הבקרות היא אכן חשובה. הבקרות הינן מיטב הכלים בתהליכים ובשיטות העבודה של הארגון, שנועדו לתת ביטחון סביר שהארגון מתקדם בהשגת מטרותיו, תוך שמירה על נכסיו והתחייבויותיו ותוך ציות לחוק ולהוראות פנים ארגוניות. אולם, שפת הבקרות הייתה מקוטעת, בחלקה הגדול טכנית, מיושמת במגזרי פעולה שונים באופן נקודתי ולא מערכתי-שיטתי. בנוסף, שפת הבקרות אף סבלה מחוסר תשומת לב ראויה של ההנהלה ומועצת המנהלים. לכן, אף כי הייתה חשובה, היא לא מילאה את המצופה ממנה באשר למניעת סיכונים מהותיים לתאגיד ולשרידותו.
זאת ועוד, לארגון אף היו שפות בקרה שונות. הייתה שפת הבקרות הכספיות–חשבונאיות, בה התמחו מנהל הכספים, החשב, מנהל החשבונות הראשי ורואה החשבון המבקר ולעיתים גם ועדת הכספים של מועצת המנהלים. שפה זו הייתה טכנית ברובה, תוך שימת דגש על יצירת בקרות ונהלי בקרה המוכוונים לטובת הדיוק והמהימנות של הדיווח הכספי, ללא ניתוח וטיפול הולמים ויעודיים בסיכונים מהותיים לשרידות הארגון, אם במישור הניהול הכספי-חשבונאי ואם במישורים אחרים. האירועים ומאות הונאות חשבונאיות-כספיות שחלו בתוך תאגידים כבדי משקל, בעולם ובישראל, שקרסו על רקע כשל הבקרות החשבונאיות-כספיות, הן ההוכחה לכך. הבולטים בהם הינם פרשות WORLDCOM ו-ENRON, ובישראל - בנק צפון אמריקה והבנק למסחר (פרשת אתי אלון).
כאמור, לארגון היו עוד שפות בקרה, לרבות שפת בקרת מערכות המידע, שהיא שפה טכנית- מקצועית, ששימשה בעיקר את אנשי ה–IT, ושפת בקרת הייצור, שבה התמחו מנהלי הייצור, אבטחת האיכות, הרכש וכדומה. שפות אלו הינן דוגמאות לשפות מצומצמות השגורות בפי המומחים בדבר, מבלי שבהכרח קיימת אגריגציה הולמת של השפות לכדי מילון אחיד בארגון.
לשם המחשה, אם היו פגמים בייצור, הייתה זאת דאגה של גורמי הייצור גרידא; ורק אם סדרות רבות נפגמו, עלה העניין להנהלה. במידה ונגרם נזק כספי ניכר, נמסר דיווח, בדיעבד, למועצת המנהלים.
אולם, במאה ה-21 התקשורתית, הסתבר כי פגמי ייצור אינם מחדל קטן משקל, אלא בעלי השפעה על הלקוח/הצרכן הסופי, ולכן יכולים לעיתים לכלול בחובם סיכונים ניכרים העשויים למוטט או לפגוע קשות בתאגידים. כך, פגמים בייצור כדוגמת פרשת "הסיליקון בחלב" בשנת 1995, לא היו רק בעיות של הליך הייצור או של בקרת הייצור, אלא הפכו לפרשה תקשורתית ישראלית רחבת היקף, תוך גרימת נזק תדמיתי וכספי ניכר לחברת "תנובה", לרבות תוך פגיעה באמון הצרכנים ופגיעה במותג. פרשה נוספת וחמורה אף יותר הייתה "פרשת רמדיה" משנת 2003, שאם מנתחה בשפה המצומצמת שנהגה אז, ניתן להגדירה כפרשה של בקרת איכות הייצור של מזון לתינוקות, אולם בהסתכלות כלל-ארגונית, הפכה לפרשיה פלילית ותדמיתית חמורה מהמעלה הראשונה, ועמה נזק ניכר ביותר לחיי אדם, לחברת "רמדיה" ולגורמים אחרים. וכך גם לאחרונה, פרשת משחטות הבקר של "תנובה" שחשפה את סדרי העבודה הלקויים בקו הייצור של המשחטה, תוך פגיעה בחוק למניעת התעללות בבעלי חיים.
הנה כי כן, שפת בקרת הייצור המצומצמת, או כל שפת בקרה אחרת, המתקיימת ללא ראייה מערכתית של סיכונים, ללא ניתוח השפעות הלוואי וסיכוני תדמית, סיכוני חשיפה תקשורתית וסיכוני תביעה פלילית ואזרחית (המהווים סיכון ברמה אחרת, סיכון מהותי-אסטרטגי לתאגיד), כבר אינם בגדר שפה תאגידית מספקת.
לעומת שפת הבקרות המצומצמת, הרי ששפת ניהול הסיכונים, אליה חותרת גישת ניהול הסיכונים, הינה שפה מערכתית, משותפת, אחידה ומקיפה את כל התאגיד על מוסדותיו. שפה זו מתרוממת מעל ומעבר לשפת הבקרה, תוך שהיא בוחנת את התהליכים על פי הסתכלות כוללת ולא רק כמקטעים.
בתוך כך, מונחים כמו: סיכון אסטרטגי, סיכון תדמיתי, סיכון פיננסי, סיכוני שוק, סיכון תפעולי, כמו גם מונחים של מניעת הסיכון, הקטנת הסיכון, הכלת הסיכון, סיכון שיורי, פיזור סיכונים, תיאבון לסיכונים, מנהל סיכונים, הערכת סיכונים, מדידת סיכונים וכהנה וכהנה, כל אלה הופכים לשפה הרשמית של התאגיד, להנחיות מחייבות, לנהלים, לסדרי עבודה ופעולה פנים ארגוניים מקיפים, שבה תשומת לב כל התאגיד נתונה לכך. הכל תוך שימוש בשפה אחודה, מדודה וברורה (4).
אחריות
האחריות לניהול הסיכונים בתאגיד חלה על כל אורגני וזרועות הארגון - המנהל הכללי, מנהלים בכירים וזוטרים, יחידות התאגיד, גורמי בקרה פנימיים וחיצוניים (המבקר הפנימי, וועדת הביקורת ורואה החשבון המבקר), כאשר בראש ובראשונה האחריות חלה על מועצת המנהלים של הארגון. על פי גישת ניהול סיכונים כולל, אורגן העל בארגון, קרי מועצת המנהלים, אחראי על גיבוש מדיניות הולמת לניהול סיכונים, אשר הנהלת הארגון תידרש לדאוג להטמעתה. האחריות אינה כוללת את ניהול הסיכונים ברמת התאגיד בלבד, קרי 'סיכונים בבית', אלא מחייבת את ההנהלה להתחשב גם בסיכונים אסטרטגיים ובסיכוני קבלת החלטות, המתעצמים בתנאי אי וודאות. החלטות אלה על סיכוניהם ועמם סיכוייהם הינם במגרשה של מועצת המנהלים, בשיתוף ודו שיח עם הנהלת התאגיד.
לשם המחשת שפת ניהול הסיכונים, על הצורך בהערכה מערכתית של הסיכון ועל הכלים למדידה והערכת סיכונים השלובים בשפה זו, נציין את שאלת הביטוח החיצוני, שהינו כלי מקובל להפחתת עוצמת הסיכון (הקטנת הנזק הפוטנציאלי). באמצעות כלי זה, תמורת תשלום פרמיות, מחלק התאגיד את סיכוניו עם מבטח והאחרון מחלק את סיכוניו עם מבטחי משנה בארץ ובעולם. אולם, בנסיבות מסוימות, לאחר מדידה ובדיקה, עשוי התאגיד להכיל על עצמו חלק מסיכונים אלה. כך לדוגמא, חברות תחבורה בעלות צי של מאות ואלפי כלי רכב ייתכן ויעדיפו הכלת הסיכון לתאונות רכב ולפגיעה ברכוש דווקא באמצעות ביטוח עצמי, ללא תשלום פרמיות לחברות ביטוח. גישה זו מחייבת חישוב והערכה של העלות - מול התועלת, והחישוב סביר שיהיה לא רק שנתי, אלא יחייב בדיקה רב שנתית כדי לאמת ולוודא שאכן הסיכון שנטל התאגיד על עצמו הינו מוצדק ועמוד במבחן, גם לנוכח אירועים של תאונות מרובות וקשות, אם אירעו בתקופה מסוימת.
הדוגמא הנ"ל מהווה ביטוי לדילמה של עיצוב מדיניות סיכונים בארגון, לרבות של הערכה וניהול הסיכונים, והיא עושה שימוש בכלים כמותיים, תוך הצפת הסוגיה וקבלת החלטות מדודות ותוך שילוב הליכי בקרה, ביקורת וניטור שוטף (בחינה מתמדת - האם בחלוף הזמן הגישה שגובשה לניהול הסיכון אכן נכונה ועומדת במבחן עלות-תועלת או שמא מחייבת שינוי). מדיניות זו, ראוי שתעלה לדיון כבר בשלב איתור והערכת הסיכונים לדרג של המנהל הכלליו לאחר מכן, תובא לדיון בפני מועצת המנהלים. עם קבלת החלטה בדבר המדיניות לניהול הסיכונים על ידי מועצת המנהלים, המדיניות תועבר ליישום ולבקרה השוטפת של ההנהלה, שתבחן בחלוף הזמן את ההתנהלות והכדאיות בפועל, כמו גם לפתחו של המבקר הפנימי ושל וועדת הביקורת של מועצת המנהלים, שאכן יבקשו לבדוק באופן בלתי תלוי, בחלוף זמן, את תקפותה וכדאיותה של מדיניות ניהול הסיכונים בתחום זה.
סיכון-סיכוי
יתרון נוסף של גישת הסיכונים מול גישת הבקרות הינו, שגישת הסיכונים, על יכולת המדידה והערכה של עוצמת הסיכון, יוצרת הבחנה בין סיכון שאינו מהותי לבין הסיכון המהותי, שעלול לפגוע מהותית בתאגיד ובשרידותו ובו חייבים להתמקד כל הדרגים, לרבות ההנהלה ומועצת המנהלים. זאת הבחנה חשובה ששיטת הבקרות לא נתנה לה מענה סדור.
דגש נוסף של גישת ניהול הסיכונים הינו, שלמילה סיכון אין רק משמעות של דבר שיש להימנע ממנו. הגישה מדגישה גם את הסיכוי מול הסיכון ואת התרבות הארגונית של התאגיד במדד "אוהב/שונא סיכון", בתנאי שיש הערכה ומדידה והתלבטות ראויים.
כך נוצרת מחויבות של מועצת המנהלים לבחון ולאשר את מדיניות ניהול הסיכונים של התאגיד, תוך שהיא מתמקדת בסיכונים העיקריים, קובעת את האסטרטגיה של הארגון ואת "אבני דרך" לניטורם, והכל כדי להגביר סיכויים למיקסום יכולות התאגיד.
שפת התאגידים ותורת ההישרדות של המאה ה-21
תנאי אי ודאות ועולם עסקי רווי סיכונים הינם חלק אינטגרלי מהמציאות ההולכת ומתעצמת במאה ה-21 והמחייבת מענה כלל ארגוני. ההפנמה של כל מוסדות התאגיד, כי סיכונים אינם רק אלה שבתוך יחידות התאגיד, בהם התמקדה גישת הבקרה (כל יחידה בנפרד), אלא כי ישנם סיכונים גוברים מהסביבה העוטפת את התאגיד והדרושים הסתכלות מערכתית הינה אבן היסוד שבגישת ניהול סיכונים כולל. סיכונים אלה, המכונים סיכונים אסטרטגיים, נובעים ממציאות טכנולוגית - כלכלית - פוליטית - תקשורתית - רגולטורית - חוקית, המשנה באופן מהותי ובמהירות רבה את סביבת הארגון, תוך שהיא חושפת אותו לסיכונים כבדי משקל שההתמודדות עמם הינה מורכבת ביותר. סיכונים אלה כרוכים באי וודאות מרובה ומחייבים תהליכי קבלת החלטות מורכבות ומעמיקות. הוסף לכך את עולם סיכוני מערכות המידע, שבהם סיכונים רבים הם לא רק פנים ארגוניים, אלא לא פחות חיצוניים (סיכוני רוגלה (5), נוזקה (6), סיכוני וירוסים והפלת מערכות מידע), הוסף לכך סיכונים פיננסיים-כספיים בגין שינויים חיצוניים, כגון שינויי מטבע ,שינויים מאקרו כלכליים של "הכפר הגלובלי" ועוד, והנה תורת הכאוס מתעצמת ואנו חוזים כיצד "משק כנפי הפרפר בסין" משפיע על שרידות תאגידים בישראל. לשון אחר, המציאות של התאגידים רווית סיכונים, חלקם חיצוניים, ועמם גם סיכויים. העוצמה והקצב של הצטברות הסיכונים מחייבים ראיה והיערכות כלל תאגידית, במיוחד של ההנהלות ושל מועצות המנהלים ולא רק של דרגי הביצוע והבקרה, כי זאת שפת התאגידים ושפת תורת ההישרדות של המאה ה-21.
לשם המחשה של אותם סיכונים אסטרטגיים, נציין את השגיאות או אי ההבנות האסטרטגיות של מועצות מנהלים, שלא הפנימו במועד את השתנות הסביבה הטכנולוגית ואת השינוי בטעמו של הלקוח, הצרכן. כך לדוגמא,' ענקית הצילום "KODAK" קרסה על רקע התעצמות הצילום הדיגיטאלי, שהנהלת החברה לא נתנה לכך מענה במועד, כמו גם חברת "NOKIA" וחברת "BlackBerry" קיבלו מהלומה ניכרת עקב התעצמות הסמרטפון, כל זאת ללא מענה טכנולוגי הולם של אותן חברות מול המתחרות, חברות "Apple" ו - "Samsung". כך, חברת "גוגל" קיבלה תהילת עולם משהבינה את חשיבות מנוע החיפוש, "פייסבוק" שהקדימה את כולם בהבנת חשיבות המערכות החברתיות ועוד.
הנה כי כן, העולם נמצא בהליכים מהירים של שינוי במגוון תחומים המתנהלים על פלטפורמת סיכון וסיכוי, ואלה מונחים לפתחם של מקבלי ההחלטות בתאגידים.
סיכום
מכלול השינויים שצוינו לעיל: מודל COSO, נושאי האחריות, שפת הסיכונים - סיכויים, גישה מערכתית לניהול והערכה של סיכונים וכו', הופכים גם להליך שמשנה את התרבות הארגונית בתאגיד ואת המציאות העסקית בכלל, תוך הפנמה של ערכי היסוד והאסטרטגיה התאגידית ותוך יצירת נורמות התנהגות משותפות. בכלל זה ניתן לציין גם את הקוד האתי של התאגיד, שאינו מסמך הצהרות גרידא, אלא מבטא אותם ערכים משותפים שעולים אגב שיטת הממשל התאגידי ואגב תרבות ניהול הסיכונים האופפת את התאגיד.
הנהלות ומועצות מנהלים של מיטב התאגידים במאה ה-21 נמצאות בליבם של תהליכי קבלת החלטות אסטרטגיות רוויות סיכונים ועמם גם סיכויים. התאגיד שייערך נכונה ויבחן ביסודיות, בקפדנות ובזהירות הראויה, תוך שימוש במיטב כלי המידע, תוך שיפור תהליכי קבלת ההחלטות והתמודדות נכונה עם הסיכונים והערכה נכונה של הסיכויים, הוא התאגיד שעשוי לשרוד.
מודל ניהול הסיכונים הוא מיטב התורה והידע באשר לניהולם והגברת שרידותם של תאגידים.
כך, היכולת המערכתית המוגברת, לנהל, להעריך, לאתר, לנטר, להכיל, להקטין ואף לקחת סיכון מחושב ועמו סיכוי מהותי לפריצת דרך - כל אלה הם התכלית של ניהול התאגיד במאה ה-21 רווית הסיכונים. התאגיד שידע לנהל נכונה את סיכוניו הוא שיוכל להמשיך ולתכנן קדימה למיקסום יכולותיו.
(1) The Committee of Sponsoring Organizations of the Treadway Commission
(2) דוגמא בולטת לכך בישראל היא סוגיית מחיר הקוט"ג שהסעיר את הציבור הישראלי וחידד את חובת הרגישות של ההנהלה ומועצות המנהלים לא רק להשאת רווח, אלא גם לקהל הצרכנים.
(3) יוצאים מכלל זה הינם הבנקים והגופים המוסדיים, בהם הרגולציה הינה כבר בת מספר שנים לא מועט. מה גם, התרבות הארגונית של גופים אלה, יחד עם כללים בינלאומיים כבדי משקל, כמו כללי באזל החלים על הבנקים, הוליכו להפנמה העמוקה יותר של תרבות ניהול הסיכונים.
(4) לשם המחשה ובהשאלה: על חשיבות השפה התאגידית המשותפת ניתן ללמוד מלקחי מלחמת לבנון השנייה ובדוח מבקר המדינה בנדון, בו צוין שאחד מהכשלים שהובילו למלחמה היה העובדה שהמפקדות והיחידות לא דיברו בשפה משותפת ולא הייתה הבנה מערכית משותפת.
(5) SPYWARE
(6) MALWARE