שלבים של ניהול סיכונים. זיהוי וניתוח סיכונים. סיכון מסחרי

2024 מְחַבֵּר: Howard Calhoun | [email protected]. שונה לאחרונה: 2023-12-17 10:27

"כן, סיכון נוטה מטבעו לכישלון. אחרת, זה ייקרא "ביטחון עצמי". - ג'ים מקמהון

סיכון - היא ההזדמנות לאבד משהו יקר. ערכים (כגון בריאות גופנית, מצב חברתי, רווחה רגשית או בריאות כלכלית) ניתן להשיג או לאבד על ידי לקיחת סיכונים כתוצאה מפעולה מסוימת או חוסר מעש, צפוי או בלתי צפוי (מתוכנן או לא מתוכנן). על מנת לפעול בצורה מוכשרת בתוך הארגון, מנהלי סיכונים יוצרים מערכות שונות לניהול סיכונים, כמו גם כלים שבאמצעותם ניתן ליישם אותם.

הגדרת המושג

ניתן להגדיר סיכון גם כאינטראקציה מכוונת עם אי ודאות. הרעיון האחרון הוא תוצאה פוטנציאלית, בלתי צפויה ובלתי נשלטת. סיכון הוא תוצאה של פעולות שננקטו למרות חוסר הוודאות.

תפיסת סיכון היאשיפוט סובייקטיבי שיכול להשתנות מאדם לאדם. כל התחייבות טומנת בחובה סכנה מסוימת, אבל יש אנשים שהם הרבה יותר מסוכנים מאחרים.

סיכונים כלכליים עשויים להתבטא בהכנסה נמוכה יותר או בהוצאות גבוהות מהצפוי. יכולות להיות סיבות רבות, למשל, עליית מחירי חומרי גלם, פקיעת הקמת מפעל תפעולי חדש, כשלים בתהליך הייצור, הופעת מתחרה רציני בשוק, אובדן אנשי מפתח. שינוי משטר פוליטי או אסונות טבע.

הכנה לתוכנית לניהול סיכונים

למד את השלבים הבסיסיים לניהול סיכונים ונקוט בקרות מתאימות או אמצעי נגד כדי להפחית את הסבירות להתרחשותם. הפחתת סיכונים חייבת להיות מאושרת על ידי רמת ההנהלה המתאימה. לדוגמה, הסיכון הקשור לתדמית הארגון צריך להתקבל על ידי ההנהלה הבכירה, בעוד להנהלת ה-IT תהיה הסמכות לקבל החלטות לגבי איום של וירוס מחשב.

תוכנית ניהול הסיכונים צריכה להציע אמצעי הגנה ישימים ויעילים לניהול סיכונים. לדוגמה, ניתן להפחית את הסיכון הגבוה של וירוסי מחשב על ידי רכישה והטמעה של תוכנת אנטי-וירוס. תוכנית טובה לניהול סיכונים צריכה להכיל לוח זמנים ליישום בקרות ואנשים אחראים לפעולות אלו.

לפי ISO / IEC 27001, הפעולה הננקטת מיד לאחר השלמת הערכת סיכונים היא הכנת תוכנית שאמורה לתעד החלטות כיצד להפחית אותהלמינימום. הפחתת סיכונים פירושה לעתים קרובות בחירה של בקרות אבטחה, אשר יש לתעד בהצהרת תחולה, תוך ציון השיטות והאמצעים הספציפיים שנבחרו לעשות זאת ומדוע. כדי לנהל ביעילות סיכונים בארגון, עליך לבצע את כל השלבים ברצף המוצע להלן.

זיהוי וניתוח של סיכון (שלב ראשון)

זהו השלב הראשוני של ניהול סיכונים. הוא מורכב מהבנת הספציפיות של האיום ומקום הביטוי האפשרי שלו. זיהוי וניתוח סיכונים מובנים כמחקר של הספציפיות והתכונות שלו, הנובעות מאופיים ותכונות אחרות האופייניות למקרה מסוים זה. חשוב ללמוד הפסדים עתידיים, כמו גם את השינוי בסיכונים לאורך זמן, את מידת האיום ביחס לתקופה מסוימת. ללא הצעדים הללו, לא ניתן לבצע מחקר סיכונים ביעילות מירבית.

כחלק מזיהוי וניתוח סיכונים, המנהל מחויב לענות על כמה שאלות הקשורות אליהם, למשל:

• מה מקור הסיכון?
• עם מה תצטרך לעבוד כשלוקחים סיכון?
• איך וכמה מידע יתקבל?
• איך סיכונים מינוריים יכולים להשפיע על סיכונים גדולים ולהיפך?
• אילו אסטרטגיות לניהול סיכונים ניתן ליישם?

השלב הזה חשוב מאוד, וזה לא רק בגלל המוזרויות של ניהול מערכת הסיכונים, שעליהן דובר קודם, אלא בגלל בסיס המידע. שלב זה מספק למנהל נתוני סיכונים אמינים,תופעות הלוואי האפשריות שלו ויישומו, וכן מאפשר להעריך את האיום עצמו, הפרמטרים שלו, כמות ההפסדים הכלכליים האפשריים ואינדיקטורים נוספים הדרושים על מנת לקבל החלטה על ניהולו. בפועל, שלב זה מספק בסיס מידע אמין למנהל לחישוב הסיכון כולו.

יש לקחת בחשבון גם שלאחר השלמת השלבים הבאים, בסיס זה עשוי להיות גדול יותר, מה שיגרום לצמיחת מידע מתמדת. לכן, יש צורך לעקוב אחר רצף שלבי ניהול הסיכונים.

חפש שיטות ודרכים אחרות (שלב שני)

המטרה העיקרית של שלב זה היא ללמוד את הכלים שימנעו את ביטוי הסיכון, וכן ללמוד את השפעתו השלילית על תפקוד המדינה, האדם המשפטי או הטבעי או המפעל. יכולים להיות הרבה מהכלים האלה, והם יכולים להיות שונים, אבל המנהל עוצר בראשים:

• איך אתה יכול להפחית את הסיכון לאירועי ביטוח מתמשכים?
• איך להשיג את הנזק הכספי המינימלי כשהסיכון מתממש?
• אילו מקורות פיננסיים יוכלו לפצות על נזק כספי אם יתרחש?

יש צורך בגישה ותוכנית ניהול ספציפיים לכל סוג של סיכון.

חיפוש כלי ניהול (שלב שלישי)

בשלב זה, המנהל יוצר ובוחר גישה אינדיבידואלית לסיכון בתוך ארגון, מדינה אואדם פרטי. הצורך בהליך בחירה זה קשור לאפקטיביות השונה של שיטות ניהול סיכונים ולכמויות השונות של המשאבים הנדרשים לביצוען. השאלות העיקריות שהמנהל מחליט בשלב זה:

• איזו שיטת ניהול תהיה בטוחה ומועילה יותר לארגון?
• האם האיום הכולל הכולל של סיכונים ישתנה כאשר נעשה שימוש במספר שיטות כדי למזער אותם?
• האם אסטרטגיות מסוימות לניהול סיכונים יעבדו?

כאשר הוא בוחר שיטת ניהול איומים, על המנהל לשקול:

• יעילות וצורך בסיכון, כמו גם שיטת ניהול תחת אילוצים פיננסיים;
• האם איום בודד ואופן הניהול שלו ישפיע על המספר הכולל.

כאשר בוחרים סיכון וכיצד לנהל אותו, יש תמיד לקחת בחשבון אילוצים פיננסיים ולנסות לייעל את ההפסדים. הקריטריונים עשויים להיות שונים, למשל, על מנת להגביר את היעילות הפיננסית של המיזם.

אחת המשימות העיקריות של מנהל בשלב זה היא הגישה הנכונה והשימוש בכלים מסוימים לטיפול לא בכל הסיכונים, אלא באלו שגורמים לנזק הגדול ביותר למדינה, לארגון או לפרט.

בנסיבות מסוימות, כמו תקציב מצומצם מאוד, מנהל עשוי להתעלם מסיכונים קלים, בתנאי שהם נכונים ושלא יגרמו נזק רב. במצב זה, נהוג לומר כי הוכנס מאבק אקטיבי על סיכונים חמורים, ומאבק פסיבי לסיכונים חסרי משמעות.

התחל ביישום השיטהניהול סיכונים (שלב רביעי)

בשלב זה על המנהל להתחיל ליישם את השיטות שאומץ על ידו מוקדם יותר. לכן, כחלק מתהליך זה, סוגים שונים של שינויים מיושמים, למשל, במונחים פיננסיים או טכניים. הייחודיות של הפעולות שמנהל סיכונים נוקט היא לא איך הן ישפיעו על החברה, אלא איך הן יבוצעו.

זה נובע מיישום שיטות ניהול סיכונים, מה שמאלץ את המנהל לענות על שורה של שאלות על יישום האסטרטגיה שלו:

• אילו פעולות סיכון יש לנקוט?
• מתי וכמה זמן הם יתקיימו?
• איזה סוג של משאבים וכמה יהיו מעורבים באמצעים אלה?
• מי יפקח על איכות האירועים ומי יישא באחריות אם הם ייכשלו?

ניתוח תוצאות ושיפור שיטות בקרת סיכונים (שלב 5)

שלב זה הוא השלב האחרון של מנהל הסיכונים, שכן כל הפעולות הקשורות לאיום מסתיימות בו, והמשימה העיקרית היא לנתח את התוצאה ולשפר את מערכת ניהול הסיכונים. שלב זה חשוב מאוד לארגון, שכן לאחריו הוא יכול לקבל ולנהל סיכונים בעצמו, ללא שיתוף מנהלים.

בשלב זה, על המומחה לענות על סדרת השאלות הבאה:

• האם מערכת זו יעילה וכיצד היא מתמודדת עם המשימה שלה?
• בעבודההאם היו חולשות, איפה?
• אילו גורמים הכי השפיעו על מימוש הסיכון, האם יש לשנות את כל המערכת בגלל זה?
• האם כל האמצעים ננקטו כהלכה והאם הם השפיעו על הגנת החברה מפני נזקים כספיים, האם יש להחליף אותם באפקטיביים יותר?
• האם מערכת הבקרה הפנימית וניהול הסיכונים הייתה גמישה מספיק כשהיא מילאה את התפקיד להגן על החברה מפניהם?

בשלב זה, תהיה עלייה מקסימלית במידע הקשור לסיכונים ושיטות לניהולו ושמירה על אופטימיזציה בתוך הארגון.

לאחר ניתוח כל התוצאות ומעקב אחריהם, ניתן פסק דין אם ההתערבויות היו יעילות. פעולה זו מסובכת בשל העובדה שבזמן ניתוח הסיכון הוא אינו מביא לתשואות כספיות, כלומר אינו מיושם, אך עדיין נגרמים לארגון הפסדים הקשורים לתוכנית הניהול. לכן, לעתים קרובות יש צורך להשוות עלויות אמיתיות עם הפסדים היפותטיים.

להערכת שלב ניהול הסיכונים הזו יש מטרה חשובה מאוד: להבין כיצד להכין את הארגון לאיומים סביבתיים חמורים יותר ולמזער את השפעתם על החברה.

איך לנהל סיכונים

ניהול סיכונים עוסק בזיהוי, הערכה ותעדוף, ולאחר מכן שימוש מתואם וחסכוני במשאבים כדי למזער את האיום.

ניתן לבצע את השלבים העיקריים בתהליך ניהול הסיכונים העסקיים ברצף הבא:

• זהה ואפיון איומים.
• הערכת הפגיעות של נכסים קריטיים לסיכונים ספציפיים.
• הגדר סכנה (כלומר, הסבירות וההשלכות הצפויות של סוגים ספציפיים של התקפות על נכסים ספציפיים).
• מצא דרכים לצמצם את הסיכונים האלה.
• תעדוף אמצעים להפחתה.

איך לנהל סיכונים נכון

בפועל, תהליך הערכת הסיכונים הכולל יכול להיות מורכב ואיזון המשאבים המשמשים להפחתת איומים צריך לכוון לצמצום הפסדים.

ניהול סיכונים בלתי מוחשי הוא סוג חדש של איום שיש לו סיכוי של 100% להתרחש אך הארגון מתעלם ממנו בגלל חוסר יכולת לזהות. לדוגמה, כאשר לא מוחלת מודעות מספקת למצב, קיים סיכון ידע.

איום ביחסים מתרחש כאשר מתרחש שיתוף פעולה לא יעיל. הסיכון למעורבות בתהליך יכול להוות בעיה כאשר מיושמים נהלים תפעוליים לא יעילים. סיכונים אלו מפחיתים באופן ישיר את הפרודוקטיביות של עובדי הידע, הרווחיות, הרווחיות, איכות השירות, המוניטין, ערך המותג ואיכות ההכנסות. ניהול סיכונים לא מהותיים מאפשר לך ליצור תועלת מיידית מזיהוים וממזעור ההשלכות.

קשיים דומים מתרחשים בחלוקת משאבים. זה הרעיון של עלות הזדמנות. משאבים שהושקעו בניהול סיכונים יכולים להיות מושקעים בפעילויות רווחיות יותר. שוב, ניהול סיכונים מושלם מפחית למזעור עלויות (או עבודה, משאבים אינטלקטואלים), כמו גם צמצום ההשלכות השליליות שלהם.

לפי הגדרת הסיכון, זוהי ההסתברות שאירוע יתרחש וישפיע לרעה על השגת המטרה. לכן, יש לה כשלעצמה אי ודאות. ניהול סיכונים יכול לעזור למנהלים לקבל שליטה טובה על המצב. לכל חברה עשויים להיות מרכיבים שונים של בקרה פנימית, מה שמוביל לתוצאות שונות. לדוגמה, המבנה של רכיבי ERM כולל סביבה פנימית, הגדרת יעדים, זיהוי אירועים, הערכת סיכונים, תגובת סיכונים, פעולות בקרה, מידע ותקשורת וניטור.

סיכון ייצור

סיכון מסחרי, כמו גם סיכון ייצור, לדברי מומחים רבים העובדים בארגונים להגנת עובדים, חשובים לא רק להערכתו, אלא גם לאירועים אמיתיים שהתרחשו במקום העבודה. ניתן גם לסווג אותו כסיכונים קצרי טווח או תפעוליים המשפיעים על התשואה על הנכסים וכוללים מחיר, עלויות וביצועים. קל יחסית לנהל סיכונים עסקיים מכיוון שיש גישות ברורות לניהולם ויש להם השפעה מועטה או ללא השפעה.

סקרנו את הרעיון של סיכון פיננסי ואת השלבים לניהולו.