יום שישי, 1 בנובמבר 2019

עקרונות ניהול סיכונים על פי ISO 31000:2018


בפוסט: תקנים לניהול סיכונים: עקרונות התייחסתי באופן כולל לתפקידם של עקרונות בתקנים  לניהול סיכונים. התקנים צריכים לבוא לידי ביטוי בכל ההיבטים של ניהול סיכונים: בניית Framework בארגונים, תהליך הערכת סיכונים  (Assessment), אופן הטיפול בסיכונים ובמעקב ובדיווח הישימים גם בהקשרים אישיים ומשפחתיים כמו ניהול סיכונים בכלכלת המשפחה. 

בפוסט זה אתייחס בקצרה לשמונת העקרונות של התקן ISO 31000 מהדורת 2018.


עיקרון 1: Integrated


ניהול סיכונים אינו נפרד מהאסטרטגיה הארגונית ומתהליכים ארגוניים. הסיכונים מתייחסים לתחומי העיסוק של הארגון. 
העיקרון אומר שה-Framework של ניהול הסיכונים יהיה משולב בתהליכי ניהול כלל ארגוניים ובאסטרטגיה הארגונית. 

תהליכי ניהול סיכונים צריכים להיות משולבים בפעילויות ובתהליכים שבהם עלולים להיווצר סיכונים או עשויים להשתנות סיכונים. סיכון שהוגדר כסיכון חמור עשוי להפוך לסיכון חמור הרבה פחות בגלל נסיבות שהשתנו. סיכון שהוגדר כשולי עלול להפוך לסיכון מהותי וחמור. 

כשמשלבים את ניהול הסיכונים בעשייה הכוללת של הארגון קל יותר לזהות שינויים בסיכונים שצריך להגיב אליהם או לפחות לבחון האם צריך להגיב אליהם.

העיקרון הזה תקף גם בניהול סיכונים בכלכלת המשפחה. קרוב לוודאי שמשפחה או יחיד לא יבנו Framework אבל תהליכים ושינויים כלכליים עשויים להתרחש: הגדלת  המשפחה, רכישת דירה או שיפור דיור, החלפת מקום עבודה וכיו"ב. לכל תרחיש כזה צריכה להתלוות בחינה של הסיכונים.


עיקרון 2: Structured and Comprehensive


על פי עיקרון זה ניהול הסיכונים צריך להיות מובנה וכולל. הוא מובנה בקבלת החלטות, כלומר: ההתייחסות לסיכונים היא בזמן הנכון ולא למשל אחרי קבלת ההחלטות. 
הקריטריונים לבחינת הטיפול בסיכונים צריכים להתייחס למטרות הארגון ולהיות עקביים. 

דוגמה לגישה שאינה עונה על העיקרון הזה היא לגלות את הסיכונים הקשורים במוצר חדש של חברה כאשר כבר הושקעו משאבים רבים בהתחלת פיתוחו. 


דוגמה 1: פיתוח מוצר תוכנה

כך למשל, חברה המפתחת מוצר תוכנה בלי לדעת שיש מוצרים דומים בשוק עומדת בפני סיכון שוק חמור. 
לעומת זאת חברה היודעת ומכירה את מוצרי המתחרים ואת יכולות המתחרים ומביאה בחשבון את הסיכונים, ולמרות זאת מפתחת מוצר ייחודי, ממוצבת טוב יותר משום שהיא פועלת על פי העיקרון והחליטה לקחת סיכון מחושב. 


דוגמה 2: כשל העתיד

בכלכלת המשפחה נתקלים במקרים רבים של החלטות שאינן מביאות בחשבון סיכונים בזמן קבלת ההחלטה. הדבר בולט במיוחד במצבים של כשל העתיד, כלומר: החלטות שההשלכות שלהן עלולות לבוא לידי ביטוי בזמן רחוק. דוגמה: משיכת פיצויים מחיסכון פנסיוני היוצרת סיכון  שבעתיד הרחוק קצבת הפנסיה לא תספיק.



עיקרון 3: Customized


התקן הוא כללי. הוא אינו מיועד למגזר מסוים או לארגון מסוים. נדרשת התאמה של ה-Framework והתהליכים להקשר הספציפי של כל ארגון. 
המונח הקשר מתייחס לארגון עצמו ולסביבה החיצונית לו, כגון: שותפים עסקיים ומתחרים.
המונח הקשר מתייחס גם ליעדים ולמטרות של ארגון ספציפי. 

ארגון שהמטרה שלו היא להיות הגורם המוביל בשוק המקומי של המדינה בה הוא נמצא צריך לראות באפשרות של כניסה של מתחרה גלובלי חזק וגדול ממנו לשוק המקומי סיכון משמעותי.

ארגון אחר שהמטרה שלו היא לשלוט בנישת שוק ספציפית וקטנה עשוי לראות בכניסת מתחרה גלובלי סיכון פחות משמעותי. המתחרה הגלובלי יכוון את עצמו כנראה ל-Mainstream. הנישה הרבה פחות מעניינת אותו. 

ראו למשל:
 Vendors Survival Guide: Supermarket, Grocery and Kiosk

עיקרון 4: Inclusive


על פי עיקרון זה יש לשתף בניהול הסיכונים את כל מי שיכול לתרום לו. מדובר באנשים בתוך הארגון וגם באנשים מחוץ לארגון הנמצאים איתו בקשר עסקי או אחר.
מצד אחד מדובר במידע ובדעות של אנשים המכירים מקרוב ולעומק חלקים מפעילויות הארגון או מכירים את ההקשר בו פועל הארגון בפעילויות משמעותיות להשגת המטרות האסטרטגיות שלו. 
מצד שני מדובר בהעברת מידע אליהם על מנת שיבינו את ניהול הסיכונים של הארגון ויפעלו בהתאם.

אנשים שאינם מודעים לניהול הסיכונים של הארגון עלולים להתעלם מסיכונים או לייצר שלא מדעת ולא מכוונה אירועי סיכון. 
קראו בהקשר הספציפי של אבטחת מידע את הדוגמה הבאה: 
The Chain is as strong as the weakest link in the chain.

העיקרון הזה עובד גם בכלכלת המשפחה. חשוב לשתף את כל בני המשפחה, כולל ילדים, בתהליך ניהול הסיכונים. ללא שיתופם התהליך עלול  להיות הרבה פחות אפקטיבי. 

חשוב לשים לב שלא ליצור סיכון באמצעות איסוף המידע ובהפצת המידע. עשוי להיאסף מידע מסווג שצריך להגן עליו גם מפני חלק מהאנשים בארגון המשתתפים בניהול סיכונים וקל וחומר מפני שותפים עסקיים.

עיקרון 5: Dynamic

העולם משתנה כל הזמן. השינויים הרלוונטיים חייבים לבוא לידי ביטוי בקבלת ההחלטות שלנו ובפעולות ובתהליכים הנגזרים מהן. זה נכון לגבי מגוון רחב של תחומים ובכלל זה ניהול סיכונים. 


דוגמה 1: אבטחת נתונים במערכות מחשב

איומי אבטחת מידע על מערכות משתנים. כל הזמן נוצרים איומים חדשים. ניהול סיכונים מחייב עדכון מקביל של כלי אבטחת מידע, למשל: עדכון ההגדרות של תוכנת אנטי-וירוס.


דוגמה 2: ביטוח סיעודי

בעקבות הטלטלה בשוק הביטוח הסיעודי, שהחלה לא מזמן ומי יודע מתי תיגמר, משפחות ויחידים המנהלים את הסיכונים שלהם עשויים להידרש להתייחס באופן חדש לסיכון הזה.


עוד על היבט הדינאמי של ניהול סיכונים



ההיבט הדינאמי בניהול סיכונים: ISO 31000:2018 Risk Manement Guidlines




עיקרון 6: Best Available Information



ככל שיש יותר מידע ומידע מדויק יותר ניהול הסיכונים עשוי להיות טוב יותר משום שהוא עושה שימוש ביותר מידע רלוונטי. 

המונח מידע מתייחס למידע עכשווי, למידע היסטורי וגם לתחזיות עתידיות. 

העיקרון ממליץ על שימוש במידע עדכני, מידע אמין ומידע רלוונטי. חשוב להיות ערים לכך שמידע לא אמין לפעמים גרוע יותר מחוסר מידע. הוא עלול להביא להטיה בתפיסת הסיכונים וכתוצאה מכך לניהול לא נכון שלהם.

כך למשל, מלחמת המפרץ השנייה של ארצות הברית ובעלות בריתה נגד עיראק התבססה על מידע כאילו לעיראק של סאדם חוסיין יש נשק השמדה המוני. המידע לא היה מידע שתמך בטענה הזו באופן מספק. וניתן היה להגיע על בסיס המידע למסקנה שלעיראק לא היה נשק כזה.


עיקרון 7: Human and Cultural Factors


  
גורמים אנושיים וגורמים של תרבות ארגונית עשויים להשפיע על כל האספקטים של ניהול סיכונים. כפי שכבר ראיתם בעיקרון 4 אנשים עשויים להיות החוליה החלשה בניהול אבטחת מידע

תרבות ארגונית ותרבות בכלל יכולים להביא לניהול סיכונים שונה מאשר ניהול סיכונים בארגון אחר. 

סטטיסטיקת התרסקות מטוסים הראתה בעבר שמטוסים שבהם טייסים קוריאנים מתרסקים בשכיחות גבוהה יותר. הסיכון נבע מגורם תרבותי. הגורם התרבותי מנע מטייס משנה לחלוק על דעתו של הקברניט גם כשהוא מזהה סכנה שהקברניט אינו מזהה. לאחר שהתפיסה התרבותית אותרה כגורם לכך שונתה התפיסה באמצעות הכשרת הטייסים לתפיסה תרבותית שונה. מי שמעוניין יכול לקרוא על כך בספרו של מלקולם גולדוול "מצוינים" בפרק 7: התאוריה האתנית.




עיקרון 8: Continual Improvement



כשמודעים לכך שניתן תמיד לשפר את ניהול הסיכונים יודעים לנצל הזדמנויות לשיפור מתמשך של ניהול הסיכונים. 
ניתן לשפר את ניהול הסיכונים על בסיס הסקת מסקנות מניסיון. למשל: הערכת ההסתברות להתרחשות אירוע סיכון עלולה להיות לא נכונה או לא מדויקת. ניסיון מצטבר עשוי לשנות את ההערכה הזו. 

בהקשר של כלכלת המשפחה, מודעות לסיכון כמו קושי עתידי לשלם משכנתה עשויה להביא לניצול הזדמנויות למיחזור שלה או להקטנתה באופן יזום.


אין תגובות:

הוסף רשומת תגובה

תחזית כלכלית לשנת 2025: מה שהיה בשנת 2024 במדינת ישראל הוא שיהיה רק יותר גרוע

  הכותרת של התחזית הכלכלית שלי לשנת 2024 הייתה:  ת חזית כלכלית לשנת 2024: שנה קשה עם תקווה לעתיד .  לצערי, החלק הראשון של התחזית (שנה קשה) ה...