האם ביטוח הוא ניהול סיכונים?

פוסט זה בסדרת הפוסטים על ביטוח הוא אולי הפוסט החשוב ביותר בסדרה. יש לו השלכות מעשיות משמעותיות. 

ניהול סיכונים מכסה מגוון רחב וגדול של מצבי אי וודאות. זה מתחיל בניהול סיכונים פשוטים של חציית כביש. 
בשביל לנהל סיכון של חציית כביש לא זקוקים לתקנים לניהול סיכונים, לא זקוקים לעקרונות לניהול סיכונים ולא זקוקים לתהליך מסודר של ניהול סיכונים. 

בקצה השני של הסקלה נמצא ניהול סיכונים בחברות גדולות, ארגונים גדולים או מדינות. מדובר בנושא מורכב ביותר.

להלן כמה הבהקים בהקשר לניהול סיכונים מורכב:

1. יש להתייחס למספר רב של סיכונים מסוגים שונים.  

2. יש לבצע תהליך מסודר ושיטתי של ניהול סיכונים.

3. ניהול סיכונים הוא דינאמי, מתמשך ואיטרטיבי.
נדרשת הערכה תקופתית חוזרת של סיכונים וטיפול בהם. נדרשת הערכה חוזרת במקרה של התרחשות אירועים משמעותיים.

4. ניהול סיכונים אינו מנותק מניהול היבטים אחרים בארגון. הוא צריך להשתלב עם המטרות והיעדים של הארגון.

5. נדרש שיתוף של בעלי תפקידים בארגון ושל אנשים רלוונטיים מחוץ לארגון, כגון: שותפים עסקיים ולקוחות.

6. נדרשת היערכות ארגונית וקביעת בעלי תפקידים בתחום ניהול סיכונים כגון: CRO) Chief Risk Officer).

7. עשוי להידרש שימוש בטכניקות לניהול סיכונים.

8. כמעט תמיד תתקבל החלטה מודעת להשאיר סיכונים ללא טיפול.
בחלק מהמקרים זו החלטה לא לטפל כלל בסיכון ובמקרים אחרים זו החלטה לא לטפל בסיכון השיורי (Residual Risk) אחרי שטיפול לא טיפל באופן מלא בסיכון.

ניהול סיכונים מורכב עשוי לחייב שימוש בתקנים לניהול סיכונים כמו ISO 31000. הוא עשוי לחייב שימוש במתודולוגיות ובנהלים, הדרכת עובדים, הקצאת תקציב ייעודי, קביעת עדיפויות ועוד.

היכן על הרצף של ניהול סיכונים פשוט - מורכב נמצא ביטוח?

בפסקה זו, ובפסקאות הבאות, איני מתייחס לביטוח של עסקים גדולים או קטנים. אתייחס לביטוח בהקשר של משפחות או יחידים.
נדמה לי שניהול סיכונים של עסקים נמצא על הרצף במקום מורכב יותר מאשר ניהול סיכונים של כלכלת המשפחה.
טענות המראות כי ביטוח של יחיד או משפחה הוא ניהול סיכונים מורכב תקפות גם לגבי ביטוח של עסקים.

מי צריך לנהל את הסיכונים הכלכליים של משפחה?

לפני שדנים בנושא זה צריך לשאול: מי אחראי על ניהול סיכונים בכלכלת המשפחה? 
שני דברים ברורים לגמרי:
1. סוכן הביטוח אינו מנהל את הסיכונים של המשפחה או היחיד. 
2. חברת הביטוח אינו מנהלת את הסיכונים של המשפחה או היחיד.

כפי שלמדנו בפוסטים קודמים, חברת הביטוח וסוכן הביטוח הם גורמים שמנסים להרוויח כסף מחלוקת הסיכונים בין המבוטחים. תפקידים אינו בחינה האם למישהו יש סיכון כלשהו?
תפקידם אינו טיפול בסיכון.
אין להם שום צורך ושום עניין בהשקעת משאבים בניהול הסיכונים של יחיד או משפחה.

יתרה מזאת, סוכני ביטוח עשויים להיות מומחים במוצרים ביטוחיים אלה ואחרים לרוב אין להם מומחיות בניהול סיכונים.

מי שכן אחראי על ניהול הסיכונים של היחיד או המשפחה הוא היחיד או המשפחה.
גם ליחיד ולמשפחה ברוב המקרים אין מומחיות בניהול סיכונים. הם צריכים להיעזר בגורם שיש לו מומחיות בתחום ניהול הסיכונים. 

המישהו הזה עשוי להיות יועץ לכלכלת המשפחה. יועצים אלה לומדים משהו על ניהול סיכונים כזה במסגרת קורס יועצים ומאמנים לכלכלת המשפחה. 

המישהו הזה יכול להיות גם מישהו שהוא מומחה לניהול סיכונים ואינו מומחה לכלכלת המשפחה. במקרה זה תפקיד המשפחה להביא בפניו את הנתונים, ההנחות והניתוחים הכלכליים הרלוונטיים. 
גם את זה לא תמיד משפחה מסוגלת לבצע באופן סביר.

אנשים כמוני נותנים מענה טוב יותר לסוגיות כאלה: אני גם יועץ לכלכלת המשפחה וגם מומחה לניהול סיכונים. 

במסגרת ניהול סיכונים עשויים להגיע למסקנה שבסיכון מסוים אפשר לטפל באמצעות ביטוח. הצעד הבא הוא פנייה לסוכן ביטוח שיציג מוצרים ביטוחיים המנסים לטפל בסיכון הזה וימליץ באיזה מהם לבחור.

האם בביטוח נעשה ניהול סיכונים המתאים לרמת המורכבות?

כפי שניתן לראות בתרשים בתחילת פוסט זה, רמת המורכבות של סיכונים בכלכלת המשפחה אינה נמוכה.
לשם דוגמה, חישבו על הסיכון שקצבת הפנסיה לא תהיה בגובה מספיק בזמן פרישה לגמלאות בעוד כמה עשורים. ניתוח הסיכון והתמודדות איתו, אינם פשוטים כלל ועיקר.

בדיאלוג עם סוכן הביטוח, שכאמור אין זה מתפקידו לנהל סיכונים ובמקרים רבים אין לו מומחיות בתחום זה, מציג הסוכן לפני הלקוח מוצר המבטיח לו תמורה כספית מסוימת במקרה של התרחשות אירוע סיכון. הוא מציג בפניו גם את גובה הפרמיה שעליו לשלם. 

ברוב המקרים הניתוח, אם בכלל ניתן לקרוא לו ניתוח, של הסיכונים הוא פשטני וברמה נמוכה מהנדרש.

מכלול סיכונים או סיכון בודד?

בניהול סיכונים, שאינו בקצה הפשוט של הסקלה בתרשים, מנסים לזהות או למפות את הסיכונים, לנתח אותם ולהעריך אותם. עשויים להיבחן גם קשרים ותלויות בין סיכונים. מההערכה נגזרת תכנית פעולה. תכנית הפעולה מתעדפת טיפול בסיכונים מסוימים על פני סיכונים אחרים ומחליטה להימנע מלטפל בסיכונים מסוימים. אפשר להשתמש בטכניקות כגון FMEACA או טכניקות פושטות יותר הפועלות על עיקרון דומה, למשל: FMEA.

סיכונים בכלכלת המשפחה הם מורכבים מספיק על מנת לתעדף טיפול בסיכון מסוים על פני סיכון אחר.

סוכני הביטוח אינם עושים זאת. סוכן מציע ללקוח לבטח את עצמו כך שיקבל כסף, אם יתממש אירוע סיכון. הוא לא מתעדף את הביטוח להתמודדות עם סיכון אחד ביחס לביטוח להתמודדות עם סיכון שני. 

דוגמה טובה היא לקוחות שלי בכלכלת המשפחה, שסוכן הביטוח ביטח אותם בביטוח תאונות אישיות אבל לא ביטח אותם למצב בו יזדקקו לתרופות מחוץ לסל או ניתוחים בחו"ל. 
איני בא לקבוע באופן קטגורי שצריך להימנע מביטוח תאונות אישיות. כל מקרה הוא לגופו, כפי שתראו בפסקה הבאה. 

אני כן אומר באופן חד וברור שצריך לתעדף ביטוח תרופות מחוץ לסל וניתוחים בחו"ל בעדיפות גבוהה יותר מאשר ביטוח תאונות אישיות. 
מי שיזדקק, חס וחלילה, לכספי ביטוח תרופות מחוץ לסל או לניתוח בחו"ל, עלול להידרש לשלם סכומים שהוא ומשפחתו לא יעמדו בהם. ברוב המקרים לא זה המצב בהתרחש תאונה אישית.

מדוע ביטח הסוכן דווקא בביטוח תאונות אישיות? 
על פי העיתונות הכלכלית המקוונת, הסוכנים מרוויחים יותר על ביטוח תאונות אישיות מאשר על ביטוחים אחרים. 

אל תבינו אותי לא נכון: אין לי טענות כלפי סוכן הביטוח רק צריך לזכור שתפקידנו לנהל את הסיכונים שלנו וזה אינו תפקידו של הסוכן. 

גובה סכום הביטוח

לפעמים יש שאלה ביחס לגובה סכום הביטוח, למשל בביטוח חיים. אפשר לשלם פרמיה קטנה ולקבל, חס וחלילה במקרה מוות, סכום קטן יחסית. 
אפשר לשלם פרמיה גדולה ולקבל, חס וחלילה במקרה מוות, סכום גדול יחסית.

סוכן הביטוח עשוי להשתמש בטבלאות המבוססות על כללי אצבע, כגון: גיל המבוטח, מספר וגילאי ילדיו והכנסתו החודשית. חברת הביטוח מספקת לו טבלאות האומרות מה גבוה הסכום המבוטח ומה גובה הפרמיה לתשלום.

זהו כמובן אינו ניתוח סיכונים. הוא אינו מביא בחשבון את כל המידע הרלוונטי. ברוב המקרים אין לסוכן הביטוח את כל או מרבית המידע הרלוונטי. 

הוא אינו יודע האם הוריו של המבוטח הם עשירים ויתמכו במשפחתו בכל סכום נדרש, אם, חס וחלילה, ילך לעולמו בטרם עת.
אם זה המצב, אין סיכון שצריך לבטח. עדיף לחסוך את הכסף שיועד לביטוח חיים במקום לבטח.

הוא אינו יודע מה הם נכסיו הפיננסיים של המבוטח? 
אם יש לו סכומי כסף גדולים במיוחד או מספר גדול של דירות, שהוא משכיר, ייתכן שאין סיכון וכדאי לחסוך כסף במקום לבטח. 

בלא מעט מקרים הוא גם אינו בודק ואינו יודע, האם יש כפל ביטוחים? כלומר: המבוטח כבר ביטח את עצמו במקום אחר כנגד אותו אירוע. יש ביטוחים, שאם, חס וחלילה, יתרחש אירוע סיכון המבוטח בכפל ביטוחים יקבל את אותו סכום שהיה מקבל לו היה לו רק ביטוח אחד ללא כפל.

מי שכן יודע פרטים כאלה ופרטים אחרים הוא יועץ לכלכלת המשפחה. זה אחד הדברים שאני עושה בשלב איסוף המידע. אני לא חריג. גם יועצים אחרים לכלכלת המשפחה עושים את מה שאני עושה.

נקודתי או דינאמי

בלא מעט מקרים אין טיפול דינאמי בביטוחים. אביא מספר דוגמאות.

ביטוח אובדן כושר עבודה לאדם שאינו עובד

מדוע לקוח שלי בכלכלת המשפחה, שלא עבד, שילם כל חודש כמה מאות שקלים לביטוח אובדן כושר עבודה?
לו היה מאבד את כושר העבודה שלו ממילא לא היה מקבל אפילו אגורה שחוקה מחברת הביטוח. 
איני חושד בסוכן שביטח אותו בביטוח הזה כשלא עבד. אני מניח שהוא ביטח אותו כשהלקוח עבד כעצמאי.
כשהפסיק לעבוד, אף לא אחד משניהם זכר שיש ביטוח כזה. הוראת הקבע מהחשבון המשיכה להזרים כסף לכיסם של הסוכן ושל חברת הביטוח.

ביטוח חיים

אדם צעיר ואב לילדים קטנים ביטח את עצמו בביטוח חיים. הביטוח נועד לענות על המקרה העצוב שהאיש ילך לעולמו בטרם עת ולא יהיה מי שיפרנס את ילדיו הקטנים. 

חלפו 20 שנים או 25 שנים. מצבו הכלכלי אולי השתפר ויש לו נכסים כלכליים.  הילדים כבר אינם ילדים. הם אולי עובדים או אולי בשלבים מתקדמים של לימודים אקדמיים ויתחילו בקרוב לעבוד. 

הסיכון כבר אינו קיים או מוזער באופן משמעותי. 
האם במהלך 20 או 25 השנים מישהו התאים את סכום הביטוח לשינויים?
האם מישהו שקל לבטל לגמרי את הביטוח אחרי ש"הגוזלים כבר עפו מהקן"?
בהרבה מקרים התשובה לשאלות הללו היא שלילית. 

ביטוח חיים לרווקים בקרן פנסיה

רווק ללא ילדים אינו זקוק לביטוח חיים. אף אחד לא יקבל כסף מהביטוח אם ילך לעולמו מוקדם מהצפוי.
הוא מחויב בביטוח כזה אוטומטית, אם המעביד שלו מפריש לו לקרן פנסיה. הדרך להימנע מהתשלום המיותר היא באמצעות מילוי טופס שבו הוא מבקש לא לשלם ביטוח חיים ומצהיר כי הוא רווק. 

הבעיה היא שאחרי שנתיים הוא מחויב באופן אוטומטי בביטוח חיים, אלא אם כן מילא שוב את אותו הטופס. 
לא בכל המקרים מישהו טורח לעדכן אותו שעליו למלא שוב טופס.
בכל שלוש הדוגמאות ראינו שאין ניהול דינאמי של הסיכונים ואין התאמה של הטיפול הניתן לסיכון ברמה החדש שלו.

סיכום

ביטוח אינו ניהול סיכונים. סוכן הביטוח אינו מומחה לניהול סיכונים ותפקידו אינו לנהל את הסיכונים הכלכליים של יחיד או משפחה.

מורכבות ניהול סיכונים תלויה במורכבות הסיכונים. כשיש סיכון בודד פשוט אין צורך בתקנים, טכניקות, מתודולוגיות ותהליכים.

ככל שמכלול הסיכונים יותר מורכב ניהול הסיכונים מורכב יותר.

ניהול סיכונים בכלכלת המשפחה אינו פשוט. הוא ברמת מורכבות לא נמוכה.

העובדה שמשפחות או יחידים, שאינם מבינים בניהול סיכונים, מייחסים לסוכני ביטוח את התפקיד של מנהל הסיכונים (במקום לייחס אותו לעצמם) גורמת לכך שניהול הסיכונים הכלכלים של משפחות מנוהל באופן פשטני המתאים למצבים בהם יש סיכון אחד פשוט ולא באופן התואם את מידת המורכבות שלהם והצורך לנהל אותם כמכלול סיכונים.

פוסטים נוספים בסדרת הפוסטים על ביטוח

ביטוח: ממה מרוויחות חברות הביטוח

ממה עלולות חברות הביטוח להפסיד

ביטוח: הסוכנים

ביטוח: הקשר בין סוכנויות הביטוח לחברות הביטוח בישראל

מדוע אני מרבה לאחרונה לכתוב על ניהול סיכונים?

אני כותב בכמה מקומות. אני כותב שלושה בלוגים בשלושה נושאים שונים: 

SOA Filling the Gaps בלוג באנגלית על מחשבים וטכנולוגיית המידע. 

לכלכל בתבונה הבלוג שעכשיו אתם קוראים בו פוסט.

ברידג' שלא היכרתם בלוג על משחק הברידג'.

אני עורך של מדור הברידג' באתר JOKOPOST ולפעמים כותב בו גם על נושאים אחרים. למשל: דילמת האסיר ודילמת הבנק, להסתדר בסלובקיה עם עשר מילים בפולנית ובא לי לטוס לבאלי

בנוסף לכך אני כותב ערכים בויקפדיה העברית בעיקר בנושאי ברידג' ומחשבים אבל גם בנושאים אחרים. את רשימת הערכים שכתבתי תמצאו בדף המשתמש שלי.  

במקרים רבים, מה שאני כותב קשור למה שאני עושה. כשאני נותן ייעוץ במחשבים או קורא חומר מקצועי ולומד לעומק נושא, ייתכן שאכתוב עליו. ייתכן שאכתוב פוסט בבלוג על מחשבים וייתכן שאכתוב ערכים בויקיפדיה או אולי גם וגם.

כשאני משחק יד מעניינת בתחרות ברידג' או צופה באינטרנט ביד מרתקת באליפות עולם, ייתכן שאכתוב עליה פוסט בבלוג. כשאני קורא משהו בספרי ברידג' או אתרי ברידג 'מובילים ייתכן ש"יוולד" פוסט בבלוג.

אני נחשף למשהו סביב הברידג' או חושב על קישור בין ברידג' לעולמות אחרים בהחלט ייתכן שאכתוב מאמר או פוסט במדור הברידג' ב-JOKOPOST. 

אחרי נסיעה לארץ אקזוטית כמו בהוטן, מדגסקר או אינדנוזיה או לארצות אקזוטיות פחות כמו סין, סינגפור או ניו זילנד אני כותב פוסטים.

ייעוצים בכלכלת המשפחה או חשיפה לספרים ומאמרים בתחום עשויים להוביל לכתיבת פוסט בבלוג זה. 

התנסות צרכנית טובה או רעה שלי או של מישהו אחר עשויה להסתיים גם בפוסט שיתרום לאחרים.

כל אלה הן רק דוגמאות לקשר בין הכתיבה שלי והפעילות שלי. אפשר למצוא גם דוגמאות אחרות לקשר הזה.

ההתנסות שלי בניהול סיכונים

הפעם הראשונה שניהול סיכונים היה רלוונטי באופן בולט לעבודתי בתחום המחשבים הייתה באוקטובר 1999.

התקשר אלי בכיר במשרד האוצר וביקש שאבדוק האם המסקנות של גורמי ביקורת בכנסת ובמבקר המדינה נכונות? המסקנות שלהם היו, לא פחות ולא יותר, שב-1 בינואר 2000 מתמוטטות המערכות הממוחשבת של המיסים במדינת ישראל בגלל באג 2000. 

כפי שאתם מבינים, לא היה לי מספיק זמן על מנת לבדוק את כל המערכות של הארגון באופן יסודי. בלית ברירה בחרתי בגישה של ניהול סיכונים, על אף שבאותה תקופה לא היה לי ידע תיאורטי בסיסי בנושא.
הגישה שלי הייתה שצריך לטפל קודם במערכות שבעיה בהן היא סיכון חמור, למשל: מערכת המחשוב של מס הכנסה ומערכת המחשוב של מע"מ. המשמעות של תקלה קשה במערכות כאלה עלולה להיות אובדן הכנסות בסכומים גבוהים.
לעומת זאת השארתי לסוף מערכות המטפלות במיסים אזוטריים שההכנסות מהן זניחות. התעלמתי מחומרת הבעיות בקוד של המערכות.

אחרי הייעוץ הזה ביצעתי מספר ייעוצים בהקשר של סיכונים במערכות ממוחשבות של חברות גדולות וארגונים גדולים במגזר הציבורי.
כמעט בכל ייעוץ טכנולוגי שהיה כרוך בבחירת מוצר תוכנה ייעדתי סעיף במסמך ההמלצה שלי לנושא של ניהול סיכונים טכנולוגיים. 
בחלק מהייעוצים האלה כבר הכרתי את הצד התיאורטי של ניהול סיכונים והשתמשתי במודלים וטכניקות לזיהוי סיכונים, ניתוח סיכונים, הערכת סיכונים וטיפול בסיכונים.

כשלמדתי בקורס יועצים ומאמנים לכלכלת המשפחה למדתי גם על ניהול סיכונים בהקשר הכלכלי.
בייעוצים הכלכליים למשפחות שביצעתי כללתי ניהול סיכונים. כידוע לא חסרים סיכונים כאלה, למשל: סיכון שגמלת הפנסיה לא תספיק, סיכון שבטווח ארוך לא יוכלו להחזיר משכנתה ויאלצו למכור דירה, פיטורים, פטירה, צורך בתרופות מחוץ לסל וכיו"ב.  
אפילו הרצתי על ניהול סיכונים בהקשר של כלכלת המשפחה.

אז מדוע דווקא בתקופה האחרונה יותר פוסטים על ניהול סיכונים?
בחודשים האחרונים עברתי בהצלחה תהליך הסמכה בתחום של ניהול סיכונים. התהליך הוא מטעם החברה הקנדית PECB, חברה מובילה בעולם בתחום של הדרכת סטנדרטים של ארגון התקנים הבינלאומי (ISO).
התהליך כלל מבחן פשוט על תוכן מצגות שנשלחו אלי, הרצאה באינטרנט באנגלית לקבוצה של אנשים בארצות שונות ומבחן לא קל ולא פשוט (באנגלית) בנושא ניהול סיכונים וסטנדרט ISO 31000. בנוסף לכך הייתי צריך לפרט את הניסיון שלי בתחום ולהביא ממליצים.

למרות שכבר היכרתי מתודולוגיות וטכניקות לניהול סיכונים, נאלצתי לקרוא לא מעט על הנושא על מנת לעמוד בדרישות. למדתי הרבה דברים חדשים שלא ידעתי.

כפי שציינתי בפיסקה הקודמת, כשאני עוסק בנושא קורה לא מעט שאני גם כותב עליו. זהו גם מה שקרה בהקשר זה.

מה הלאה?
תהליך ההסמכה שלי הסתיים בהצלחה. יש לי תעודה על סיום קורס בתחום ניהול סיכונים והסמכה ללמד קורסים של החברה על ISO 3100.

אם תארגן הנציגה המקומית של PECB קורס בנושא תקן ISO 31000, אני אלמד בו.

ההרצאות שאני ממילא מעביר במסגרות שונות על ניהול סיכונים יהיו עשירות יותר. 
ניהול סיכונים אינו הנושא היחיד עליו אני מרצה בכל מסגרת שתרצה להזמין אותי. לרשימה חלקית של הנושאים עליהם אני מרצה קראו את הפוסט: על מה אני מרצה?

הטעות הכי גדולה שיכול ה-CRO לעשות

 


CRO הן ראשי תיבות של Chief Risk Officer. 
במשך שנים ארוכות אנחנו מכירים תפקידים כמו: CFO ,CEO, CTO ו-CSO. הן מתארות מנהל ראשי בארגון או בתחום מסוים בארגון.
הבכיר שבהם הוא כמובן ה-CEO. ה-E בראשי התיבות מייצג את המילה Executive.
באופן דומה ה-T בראשי התיבות CTO, מייצג את המילה Technology. ה-F את המילה Financial וה-S את המילה Security. 

התרשים בתחילת הפוסט מתאר את הטווח הרחב של ניהול סיכונים מסיכונים אישיים ועד סיכונים גלובליים. 
תפקיד של CRO רלוונטי רק לחברות גדולות, למדינות ולארגונים גדולים. 

מנהל הסיכונים הראשי הוא האחראי על ניהול הסיכונים בארגון. 

הטעות הכי גדולה שהוא יכול לעשות זה לקחת על עצמו (ואם זה ארגון גדול במיוחד גם על הצוות שכפוף לו) את כל הנושא של ניהול הסיכונים. למשל, לטפל בתהליך ניהול הסיכונים לבדו. 
לזהות לבדו את הסיכונים, לנתח לבדו את הסיכונים ולהעריך את הסיכונים הכוחות עצמו והצוות שלו.

מדוע זוהי טעות גדולה?

1. אין לו מומחיות בתחומים בהם עלולים להיות סיכונים
למשל תפעול מערכות, אבטחת נתונים, נושאים כספיים, שיווק ועוד. 
הוא חייב לעבוד בשיתוף עם בעלי התפקידים בתחומים האלה משום שהם מכירים אותם טוב ממנו.
ניהול סיכונים נכון מזהה את האנשים הרלוונטיים בארגון או מחוץ לארגון (לקוחות, שותפים עסקיים) ומשתף אותם בניהול הסיכונים.

האנשים האלה מתוארים בספרות של ניהול סיכונים באמצעות מונחים כמו: Stakeholders או SMEs, ראשי תיבות של: Subject Matter Experts. 

2. ניהול סיכונים הוא מאמץ כלל ארגוני ולכן חשוב לשתף את כל מי שרלוונטי
כשלא משתפים אנשים רלוונטיים לא מזהים סיכונים, לא מנתחים נכון סיכונים, שלמרות זאת זוהו ולא מעריכים נכון סיכונים.
את הטיפול בסיכונים ממילא מנהל הסיכונים לא יוכל לעשות בעצמו, אלא אותם אנשים יצטרכו לטפל בסיכונים. 
כמובן שצריך לשתף אותם גם ביחס לחלופות לטיפול בסיכונים וגם בהערכת תוצאות הטיפול בסיכונים. 

3. מי שלא מרגיש שמשתפים אותו לא משתף פעולה.
שיתוף פעולה נדרש כל אורך תהליך ניהול סיכונים. מי שלא משתפים אותו יטה פחות להתריע על סיכונים, לדווח על אירועי סיכון ולהציע רעיונות רלוונטיים.

4. המודעות של מי שלא משותף קטנה יותר
חוסר מודעות עלול לגרום להיווצרות או להתעצמות סיכונים בתום לב, ללא כוונת זדון.

5. ניהול סיכונים הוא דינאמי ואיטרטיבי
ניהול סיכונים הוא מתמשך ואיטרטיבי. על מנת להתמודד עם השינויים בסיכונים צריכים את אנשי השטח והבכירים בארגון ומחוץ לו שחווים ביומיום את המציאות המשתנה.


העקרונות על פיהם צריך ה-CRO להתנהג מפורטים בפוסט: עקרונות ניהול סיכונים על פי ISO 31000:2018. 

אם תקראו את הפוסט, תוכלו לראות את הקשר בין העקרונות לבין הנקודות המעשיות שציינתי בסעיף זה.

הפוסטים שלי על ניהול סיכונים בזמן קורונה

כשאתם מתייחסים לפוסטים שלי בנושא זה, תביאו בחשבון שאיני מומחה לאפידמיולוגיה.
לא עשיתי את הטעות הכי קשה יכול לעשות CRO, על אף שאני רק מומחה לניהול סיכונים ולא CRO של מדינת ישראל או של ארגון כלשהו. 

כל התסריטים שאני מציג מבוססים על מידע שאני קורא או שומע ממומחים או קורא במקורות מידע ראויים. את כולם אני מסייג במגבלות הידע שלי.

לא בניתי תסריטים ספציפיים מדויקים, אלא רק תסריטים כלליים שטחיים, שנותנים איזושהי תמונה. תמונה חלקית ומוגבלת. מדי פעם 
אני מנסה לעדכן אותה על פי מידע נוסף שאני מקבל.
זה בדיוק מה שאנסה לעשות בפוסט הבא: 
אנסה לייחס את התסריטים שלי לניתוח הסיכונים בימי קורונה בעזרת הפוסט של ביל גייטס: הפנדמיה המודרנית הראשונה.  

מפגשי זום על ניהול סיכונים

אם אתם מעוניינים להשתתף במפגש כזה בהנחייתי אתם מוזמנים לשלוח לי הודעת דוא"ל לכתובת: avi.rosenthl@gmail.com. 
המפגש הראשון יהיה ללא תשלום.

ההיבט הדינאמי בניהול סיכונים: ISO 31000:2018 Risk Management Guidelines

לא הכל קבוע. דברים משתנים. אולי לא "הכל סיכונים" (הרוב כן) אבל "הכל דינאמי". העולם משתנה בכל אספקט שתחשבו עליו: לפני קצת יותר מ-20 שנה לא היה עדיין אינטרנט, בקושי היו טלפונים סלולאריים אבל לא היו טלפונים חכמים.

ירושלים וערי המרכז לא היו מוצפות במגדלי מגורים. אף לא אחד חשב על שנים ארוכות עם ריבת אפסית והרחבה כמותית. 
הדינאמיות וקצב השינויים הולכים וגדלים.

בהקשר של התקן החדש לניהול סיכונים ISO 31000:2018 Risk Management Guidelines, להיבט הדינאמי יש שתי משמעויות:

1. עצם קיומו של התקן החדש נובע מהדינאמיות. 

תקנים מתעדכנים על מנת להתאים לנסיבות המשתנות. גם בסטנדרט הקיים ISO 31000:2009 נדרשו שינויים, הרחבות והתאמות על מנת שיענה על שינויים בארגונים המחייבים ניהול סיכונים שונה. 

2. התקן החדש מדגיש את ההיבטים הדינאמיים של הטיפול בסיכונים
מי שקרא את הפוסט שלי המתייחס להיבט הדינאמי בתקן הקודם ISO 31000-2009, יודע שגם בגרסה הקודמת של התקן יש התייחסות להיבטים הדינאמיים של ניהול תיקונים. 
התקן של שנת 2018 מדגיש אותם יותר.  

האם יש שינויים מהותיים ב-ISO 31000-2018?

הדעות על כך חלוקות. יש החושבים שיש שינויים משמעותיים ויש החושבים שלא. 
כך למשל, כותב המאמר אליו מצורף קישור חושב שאין שיפור מהותי בהשוואה לתקן הקודם מלפני כמעט עשור. 
הקישור: Revised ISO 31000 Risk Management Standard: Still a Good Reference but not Substanially Improved 

לעומת זאת, בארגון התקנים הבינלאומי (ISO) מדברים על כוונה לעשות שינויים קלים, שהסתימה בשינויים משמעותיים, שחייבו תקן חדש.

השינויים העיקריים ב-ISO 31000-2018

1. צמצום ופישוט
התוכן המתאר את התקן צומצם בהיקפו, נכתב באופן ברור ופשוט יותר.
זהו כמובן לא שינוי מהותי אלא שינוי טכני בלבד. 
כך למשל, משתמשים בתקן רק בתפיסות הליבה (Core Concepts) של ניהול סיכונים. 
הגדרות מושגים פחות יסודיים הוצאו מהתקן והועברו לתקן משנת 2009 בשם:
 ISO Guide 73:2009 Risk Management Vocabulary 

צמצום אחר הוא צמצום מספר עקרונות היסוד של התקן. חלק מהעקרונות שנשארו, נוסחו באופן פשוט יותר ו/או תואם להדגשים החדשים.

2. דגש על מנהיגות (Leadership) של ההנהלה הבכירה
במהדורה של שנת 2009 כמעט ולא הייתה הבחנה בין הנהלה בכירה למנהלים אחרים. בתקן של שנת 2018 יש הבחנה בין מנהלים בכירים למנהלים אחרים ומודגשת חשיבות המחויבות והמנהיגות שלהם. 

3. דגש על שילוב ניהול סיכונים במנגנוני הניהול האסטרטגיים והאחרים של הארגון
שוב נושא שהוזכר בתקנים של שנת 2009, רק שעכשיו יש דגש עליו. מנגנוני הניהול בארגונים  מבוססים על תוכנה. הכוונה לשלב את ניהול הסיכונים במנגנונים הממוחשבים האלה. 
שילוב כזה מאפשר דיווחים קלים ונוחים יותר וגם ניתוחי מידע המשלבים בין מידע בתחום של ניהול סיכונים לבין מידע בתחומים אחרים. 
דוגמה: בהקשר של ביצוע בפועל של הטיפולים בניהול סיכונים אפשר לדווח באמצעות כלי APM (Application Performance Management).
תהליך רישום (Recording) ודיווח (Reprting) הוא נושא חדש שהתווסף לתקן של 2018.


4. דגש על הצורך בביצוע שינויים בניהול סיכונים
זוהי ההתייחסות להיבטים הדינאמיים, שהזכרתי בתחילת הפוסט.
המונח החוזר בהקשר זה אינו דינאמי אלא איטרטיבי. 
משמעות ביצוע איטרציות תקופתיות או בעקבות מעקב, בכל תחום של ניהול סיכונים, היא דגש על שינויים. כשהעולם מסביב הוא דינאמי, כלומר: משתנה כל הזמן, גם ניהול הסיכונים צריך להשתנות.
שינוי מחייב "יד על הדופק", כלומר: מעקב מתמיד ומתמשך אחרי ניהול הסיכונים בהקשר הרחב של השינויים העסקיים והאסטרטגיים וביצוע ההתאמות הנדרשות בניהול הסיכונים של הארגון.  

5. דגש על פתיחות המאפשרת התאמה למגוון רחב של הקשרים וצרכים
מודל ניהול הסיכונים הופך לפתוח יותר ולגנרי יותר.

משמעות השינויים לגבי ניהול סיכונים בכלכלת המשפחה 
בפוסטים על ISO 31000:2009 טענתי כי התקן רלוונטי לא רק לארגונים ולמדינות, אלא גם לניהול סיכונים של פרט או קבוצה. 
באופן מיוחד העמקתי במשמעות התקן ביחס לסיכונים בכלכלת המשפחה, התחום העיקרי בו עוסק בלוג זה.

כפי שציינתי, התקן הוא כללי וגנרי. ההקשר הארגוני מורכב יותר מההקשר של ניהול כלכלת המשפחה ולכן לא לכל מה שמופיע בתקן יש משמעות בהקשר של כלכלת המשפחה.

בפסקה זו אתייחס למשמעות השינויים בתקן של שנת 2018 על ניהול סיכונים בכלכלת המשפחה.

1. צמצום ופישוט
זהו שינוי טכני בתקן. מודל פשוט יותר קל יותר להבנה וליישום במקרה הפרטי הפשוט של כלכלת המשפחה.

2. דגש על ההנהלה הבכירה
יש משפחות שבה אחד מבני המשפחה הוא הקובע. בדרך כלל האם או האב. לראות אותו כהנהלה בכירה זה יהיה קצת מוגזם. 
השינוי הזה אינו רלוונטי לניהול סיכונים בכלכלת המשפחה.

3. דגש על שילוב ניהול סיכונים במנגנוני הניהול האסטרטגיים והאחרים של הארגון
לא ממש רלוונטי לניהול סיכונים בכלכלת המשפחה.
הדבר היחיד שרלוונטי הוא האינטגרציה או השילוב בין ניהול הסיכונים לבין היעדים הכלכליים האסטרטגיים של המשפחה.
נכון לעכשיו, מנגנוני ניהול ממוחשבים לא ממש מיושמים בניהול האסטרטגי של כלכלת המשפחה.

4. דגש על הצורך בביצוע שינויים בניהול סיכונים
לא בכדי השארתי את הכותרת הזו בצבע אדום. זהו השינוי הרלוונטי ביותר בהקשר של ניהול סיכונים בכלכלת המשפחה.
הדינאמיות הגדלה או הקצב הגדל של שינויים רלוונטית מאד גם לכלכלת המשפחה.

הצורך באיטרציות ובבחינה של שינויים המשפיעים על ניהול הסיכונים הכלכליים של משפחות הולך וגדל. 
ההמלצה שלי: גם אם השלמתם ייעוץ בכלכלת המשפחה בצעו פגישות בקרה תקופתיות.

 5. דגש על פתיחות המאפשרת התאמה למגוון רחב של הקשרים וצרכים
ההשפעה של השינוי הזה בהקשר של כלכלת המשפחה היא זניחה. 
יתכן שזה יאפשר ניסוח פשוט וברור יותר והבנה טובה יותר של משפחות.
הבסיס להתאמה לכלכלת המשפחה כבר היה בתקני שנת 2009. את ההתאמה הזאת אני כבר עשיתי כיועץ. 

השורה התחתונה: קל יותר להיעזר בתקן החדש בניהול סיכונים בכלכלת המשפחה בהשוואה לתקנים של שנת 2009. השינוי המשמעותי ביותר הוא הדגש על ההיבט הדינאמי.

עקרונות ניהול סיכונים על פי ISO 31000:2018

בפוסט: תקנים לניהול סיכונים: עקרונות התייחסתי באופן כולל לתפקידם של עקרונות בתקנים  לניהול סיכונים. התקנים צריכים לבוא לידי ביטוי בכל ההיבטים של ניהול סיכונים: בניית Framework בארגונים, תהליך הערכת סיכונים  (Assessment), אופן הטיפול בסיכונים ובמעקב ובדיווח הישימים גם בהקשרים אישיים ומשפחתיים כמו ניהול סיכונים בכלכלת המשפחה. 

בפוסט זה אתייחס בקצרה לשמונת העקרונות של התקן ISO 31000 מהדורת 2018.

עיקרון 1: Integrated

ניהול סיכונים אינו נפרד מהאסטרטגיה הארגונית ומתהליכים ארגוניים. הסיכונים מתייחסים לתחומי העיסוק של הארגון. 
העיקרון אומר שה-Framework של ניהול הסיכונים יהיה משולב בתהליכי ניהול כלל ארגוניים ובאסטרטגיה הארגונית. 

תהליכי ניהול סיכונים צריכים להיות משולבים בפעילויות ובתהליכים שבהם עלולים להיווצר סיכונים או עשויים להשתנות סיכונים. סיכון שהוגדר כסיכון חמור עשוי להפוך לסיכון חמור הרבה פחות בגלל נסיבות שהשתנו. סיכון שהוגדר כשולי עלול להפוך לסיכון מהותי וחמור. 

כשמשלבים את ניהול הסיכונים בעשייה הכוללת של הארגון קל יותר לזהות שינויים בסיכונים שצריך להגיב אליהם או לפחות לבחון האם צריך להגיב אליהם.

העיקרון הזה תקף גם בניהול סיכונים בכלכלת המשפחה. קרוב לוודאי שמשפחה או יחיד לא יבנו Framework אבל תהליכים ושינויים כלכליים עשויים להתרחש: הגדלת  המשפחה, רכישת דירה או שיפור דיור, החלפת מקום עבודה וכיו"ב. לכל תרחיש כזה צריכה להתלוות בחינה של הסיכונים.

עיקרון 2: Structured and Comprehensive

על פי עיקרון זה ניהול הסיכונים צריך להיות מובנה וכולל. הוא מובנה בקבלת החלטות, כלומר: ההתייחסות לסיכונים היא בזמן הנכון ולא למשל אחרי קבלת ההחלטות. 
הקריטריונים לבחינת הטיפול בסיכונים צריכים להתייחס למטרות הארגון ולהיות עקביים. 

דוגמה לגישה שאינה עונה על העיקרון הזה היא לגלות את הסיכונים הקשורים במוצר חדש של חברה כאשר כבר הושקעו משאבים רבים בהתחלת פיתוחו. 

דוגמה 1: פיתוח מוצר תוכנה

כך למשל, חברה המפתחת מוצר תוכנה בלי לדעת שיש מוצרים דומים בשוק עומדת בפני סיכון שוק חמור. 
לעומת זאת חברה היודעת ומכירה את מוצרי המתחרים ואת יכולות המתחרים ומביאה בחשבון את הסיכונים, ולמרות זאת מפתחת מוצר ייחודי, ממוצבת טוב יותר משום שהיא פועלת על פי העיקרון והחליטה לקחת סיכון מחושב. 

דוגמה 2: כשל העתיד

בכלכלת המשפחה נתקלים במקרים רבים של החלטות שאינן מביאות בחשבון סיכונים בזמן קבלת ההחלטה. הדבר בולט במיוחד במצבים של כשל העתיד, כלומר: החלטות שההשלכות שלהן עלולות לבוא לידי ביטוי בזמן רחוק. דוגמה: משיכת פיצויים מחיסכון פנסיוני היוצרת סיכון  שבעתיד הרחוק קצבת הפנסיה לא תספיק.

עיקרון 3: Customized

התקן הוא כללי. הוא אינו מיועד למגזר מסוים או לארגון מסוים. נדרשת התאמה של ה-Framework והתהליכים להקשר הספציפי של כל ארגון. 
המונח הקשר מתייחס לארגון עצמו ולסביבה החיצונית לו, כגון: שותפים עסקיים ומתחרים.
המונח הקשר מתייחס גם ליעדים ולמטרות של ארגון ספציפי. 

ארגון שהמטרה שלו היא להיות הגורם המוביל בשוק המקומי של המדינה בה הוא נמצא צריך לראות באפשרות של כניסה של מתחרה גלובלי חזק וגדול ממנו לשוק המקומי סיכון משמעותי.

ארגון אחר שהמטרה שלו היא לשלוט בנישת שוק ספציפית וקטנה עשוי לראות בכניסת מתחרה גלובלי סיכון פחות משמעותי. המתחרה הגלובלי יכוון את עצמו כנראה ל-Mainstream. הנישה הרבה פחות מעניינת אותו. 

ראו למשל:
 Vendors Survival Guide: Supermarket, Grocery and Kiosk

עיקרון 4: Inclusive

על פי עיקרון זה יש לשתף בניהול הסיכונים את כל מי שיכול לתרום לו. מדובר באנשים בתוך הארגון וגם באנשים מחוץ לארגון הנמצאים איתו בקשר עסקי או אחר.
מצד אחד מדובר במידע ובדעות של אנשים המכירים מקרוב ולעומק חלקים מפעילויות הארגון או מכירים את ההקשר בו פועל הארגון בפעילויות משמעותיות להשגת המטרות האסטרטגיות שלו. 
מצד שני מדובר בהעברת מידע אליהם על מנת שיבינו את ניהול הסיכונים של הארגון ויפעלו בהתאם.

אנשים שאינם מודעים לניהול הסיכונים של הארגון עלולים להתעלם מסיכונים או לייצר שלא מדעת ולא מכוונה אירועי סיכון. 
קראו בהקשר הספציפי של אבטחת מידע את הדוגמה הבאה: 
The Chain is as strong as the weakest link in the chain.

העיקרון הזה עובד גם בכלכלת המשפחה. חשוב לשתף את כל בני המשפחה, כולל ילדים, בתהליך ניהול הסיכונים. ללא שיתופם התהליך עלול  להיות הרבה פחות אפקטיבי. 

חשוב לשים לב שלא ליצור סיכון באמצעות איסוף המידע ובהפצת המידע. עשוי להיאסף מידע מסווג שצריך להגן עליו גם מפני חלק מהאנשים בארגון המשתתפים בניהול סיכונים וקל וחומר מפני שותפים עסקיים.

עיקרון 5: Dynamic

העולם משתנה כל הזמן. השינויים הרלוונטיים חייבים לבוא לידי ביטוי בקבלת ההחלטות שלנו ובפעולות ובתהליכים הנגזרים מהן. זה נכון לגבי מגוון רחב של תחומים ובכלל זה ניהול סיכונים. 

דוגמה 1: אבטחת נתונים במערכות מחשב

איומי אבטחת מידע על מערכות משתנים. כל הזמן נוצרים איומים חדשים. ניהול סיכונים מחייב עדכון מקביל של כלי אבטחת מידע, למשל: עדכון ההגדרות של תוכנת אנטי-וירוס.

דוגמה 2: ביטוח סיעודי

בעקבות הטלטלה בשוק הביטוח הסיעודי, שהחלה לא מזמן ומי יודע מתי תיגמר, משפחות ויחידים המנהלים את הסיכונים שלהם עשויים להידרש להתייחס באופן חדש לסיכון הזה.

עוד על היבט הדינאמי של ניהול סיכונים

ההיבט הדינאמי בניהול סיכונים: ISO 31000:2018 Risk Manement Guidlines

עיקרון 6: Best Available Information

ככל שיש יותר מידע ומידע מדויק יותר ניהול הסיכונים עשוי להיות טוב יותר משום שהוא עושה שימוש ביותר מידע רלוונטי. 

המונח מידע מתייחס למידע עכשווי, למידע היסטורי וגם לתחזיות עתידיות. 

העיקרון ממליץ על שימוש במידע עדכני, מידע אמין ומידע רלוונטי. חשוב להיות ערים לכך שמידע לא אמין לפעמים גרוע יותר מחוסר מידע. הוא עלול להביא להטיה בתפיסת הסיכונים וכתוצאה מכך לניהול לא נכון שלהם.

כך למשל, מלחמת המפרץ השנייה של ארצות הברית ובעלות בריתה נגד עיראק התבססה על מידע כאילו לעיראק של סאדם חוסיין יש נשק השמדה המוני. המידע לא היה מידע שתמך בטענה הזו באופן מספק. וניתן היה להגיע על בסיס המידע למסקנה שלעיראק לא היה נשק כזה.

עיקרון 7: Human and Cultural Factors

  
גורמים אנושיים וגורמים של תרבות ארגונית עשויים להשפיע על כל האספקטים של ניהול סיכונים. כפי שכבר ראיתם בעיקרון 4 אנשים עשויים להיות החוליה החלשה בניהול אבטחת מידע. 

תרבות ארגונית ותרבות בכלל יכולים להביא לניהול סיכונים שונה מאשר ניהול סיכונים בארגון אחר. 

סטטיסטיקת התרסקות מטוסים הראתה בעבר שמטוסים שבהם טייסים קוריאנים מתרסקים בשכיחות גבוהה יותר. הסיכון נבע מגורם תרבותי. הגורם התרבותי מנע מטייס משנה לחלוק על דעתו של הקברניט גם כשהוא מזהה סכנה שהקברניט אינו מזהה. לאחר שהתפיסה התרבותית אותרה כגורם לכך שונתה התפיסה באמצעות הכשרת הטייסים לתפיסה תרבותית שונה. מי שמעוניין יכול לקרוא על כך בספרו של מלקולם גולדוול "מצוינים" בפרק 7: התאוריה האתנית.

עיקרון 8: Continual Improvement

כשמודעים לכך שניתן תמיד לשפר את ניהול הסיכונים יודעים לנצל הזדמנויות לשיפור מתמשך של ניהול הסיכונים. 
ניתן לשפר את ניהול הסיכונים על בסיס הסקת מסקנות מניסיון. למשל: הערכת ההסתברות להתרחשות אירוע סיכון עלולה להיות לא נכונה או לא מדויקת. ניסיון מצטבר עשוי לשנות את ההערכה הזו. 

בהקשר של כלכלת המשפחה, מודעות לסיכון כמו קושי עתידי לשלם משכנתה עשויה להביא לניצול הזדמנויות למיחזור שלה או להקטנתה באופן יזום.

תקנים לניהול סיכונים: עקרונות

תקני ניהול סיכונים בינלאומיים התפתחו באופן אבולוציוני. הם התפתחו מתקנים לאומיים בתחום שנוצרו במדינות שונות ומהצרכים הדינאמיים של ניהול סיכונים, הנובעים משינויים בעולם בכלל ובעולם העסקי בפרט.

במשך הזמן הם ממשיכים להתפתח באמצעות מהדורות חדשות ומשופרות שלהם. 

בשנת 2017  יצאה מהדורה חדשה של COSO ERM Framework. 

בפברואר 2018 שוחרר תקן חדש של ארגון התקנים הבינלאומי ISO 31000:2018. השוואה בינו לבין התקן הקודם של אותו ארגון עשיתי בפוסט קודם.

עקרונות: המשותף לכל התקנים

עקרונות (Principles) הם דבר המשותף לכל התקנים. איני מתכוון להגיד שהעקרונות זהים בכל התקנים. מה שאני טוען הוא שכל תקן כזה מציב עקרונות לניהול סיכונים.

בפוסט שהשווה בין ISO 31000:2018 ל-ISO 31000:2009 ציינתי כי אחד ההבדלים הוא צמצום ופישוט התקן. אחד הדברים שצומצמו הוא מספר העקרונות: ב-ISO 31000:2018 יש רק 8 עקרונות. 

חשיבותם של עקרונות

העקרונות הם הבסיס לבניית ניהול סיכונים בארגון הם מנחים את הארגון בבניית ניהול סיכונים אפקטיבי ויעיל ובהסבר המטרות והכוונות של ניהול הסיכונים בארגון. הסברים נדרשים על מנת ליידע את עובדי הארגון באופן כללי על ניהול הסיכונים שנעשה בו.

לא רק את עובדי הארגון ניתן ליידע. אפשר ליידע גם שותפים עסקיים. אפשר ליידע גם את הלקוחות ואפשר ליידע גם את הציבור הרחב.

יידוע שתי הקבוצות הראשונות חשוב משום שנדרש שיתוף פעולה שלהם ביצירת המסגרת ובבניית הקריטריונים והתהליכים של ניהול הסיכונים ובמימושם בפועל.

במקרים רבים גם לקוחות עשויים לתרום לשיפור ניהול הסיכונים של ארגון.

האם לעקרונות יש תועלת גם ברמה האישית וברמה המשפחתית?

בלוג זה ממוקד בכלכלת משפחות ויחידים ולכן השאלה בכותרת פסקה זו נשאלת באופן טבעי.

התשובה לשאלה הזו היא חיובית. משפחה המעוניינת לנהל את מכלול הסיכונים הכלכליים שלה בראייה כוללת יכולה להציב מספר עקרונות לפני בניית תוכנית ניהול הסיכונים שלה.

כך למשל, העיקרון הראשון של ניהול סיכונים ב-ISO 31000:2018 הוא Integrated. המשמעות היא שניהול הסיכונים הוא חלק אינטגרלי מפעילויות אחרות. בהקשר של ניהול סיכונים בכלכלת המשפחה, המשמעות היא שילוב מלא של ניהול הסיכונים עם היבטים אחרים של ניהול כלכלת המשפחה. 

קורס ניהול סיכונים

בתחילת חודש יוני אעביר קורס ISO 31000 ניהול סיכונים מטעם חברת PECB הקנדית.

לפרטים: קורס ISO 31000 ניהול סיכונים

Crisis Management וניהול סיכונים

אחרי שני פוסטים מקדימים על Crisis Management הגיעה העת להתחיל לגעת בנושא עצמו.
כשאני קורא על Crisis Management זה נראה לי מוכר מאיזשהו מקום. מהר מאוד אני מגלה שהמקום הזה נקרא ניהול סיכונים.

הדימיון

התהליך

על התהליך הבסיסי בניהול סיכונים כבר כתבתי.
התהליך ב-Crisis Management זהה. מנסים לזהות סיכונים, לנתח אותם ולהעריך את משמעותם. על בסיס ההערכה מחליטים באילו סיכונים לטפל ובאיזה אופן.

תהליך דינמי

התהליך אינו חד-פעמי. מדובר בתהליך החוזר על עצמו בגלל שהעולם משתנה. כשהעולם משתנה הסיכונים משתנים ו-Crisis פוטנציאליים משתנים.

התרחשות אירוע סיכון

ברוב המקרים הסיכון מתממש באמצעות התרחשות אירוע סיכון או בחלק מהמקרים צירוף של אירועים. התרחשות כזו מחייבת התמודדות. ההתמודדות היא באמצעות תכניות להיערכות לאירוע כזה ובאמצעות Controls שיושמו מראש. 

מתמודדים עם אירועים לא צפויים

גם בניהול סיכונים וגם ב-Crisis Management עוסקים בדברים לא צפויים מראש. 

היערכות ארגונית ועסקית

גם בניהול סיכונים וגם ב-Crisis Management צריך להיערך ארגונית באמצעות בחירת בעלי תפקידים, הגדרת הסמכויות שלהם, הקצאת תקציב, מחויבות של דרג ניהולי גבוה, קביעה מראש של נוהלי עבודה.

מודעות אנשים

ללא מודעות של עובדים או חברים בקבוצה (משפחה וכיו"ב) קשה להצליח. חייבים ליצור מודעות ולרענן אותה. 

שיתוף האנשים בארגון ומחוץ לו

חשוב לשתף את כל האנשים הרלוונטיים, בארגון ומחוץ לארגון, בתהליך. שיתוף הכרחי לקבלת מידע, ניסיון ורעיונות שעשויים לייצר ניהול טוב יותר. שיתוף גם מעודד שיתוף פעולה של עובדים, בני משפחה ואחרים (לקוחות, שותפים עסקיים, מתנדבים וכיו"ב).

השוני

כשעוסקים בניהול סיכונים קל לראות את המייחד את הנושא של Crisis Management. כשעובדים מול ארגון, אנשים בתוך הארגון מדרגים ביחד עם מומחי ניהול סיכונים את חומרת הסיכונים. כמעט תמיד יגידו לכם שישנם סיכונים חמורים במיוחד שאליהם צריך להתייחס אחרת מאשר ליתר הסיכונים.

האמת היא שגם מומחה לניהול סיכונים מבין את זה בדרך כלל גם בלי שיגידו לו את זה.

מה זה אומר להתייחס אחרת?

בדרך כלל רמת הסיכון נקבעת על ידי מכפלה של מספר גורמים:

1. חומרת הסיכון

2. ההסתברות להתרחשות אירוע סיכון

3.ההסתברות לגילוי התרחשות אירוע סיכון.

לאירועים ברמת חומרה קיצונית לא מתייחסים לגורמים אחרים מלבד רמת החומרה. 
כך למשל, איננו רוצים להכפיל את החומרה בהסתברות הנמוכה של התרחשות אירוע סיכון כזה כי הנזק של התרחשות אירוע, שלא נערכו אליו כיאות גדול מדי. לפעמים הנזק עלול להיות סיום דרכה העסקית של חברה או מותו של אדם. 

המשמעות המעשית היא תכנית מסודרת להתמודדות עם מצב כזה. בדרך כלל התכנית צריכה להיות רב ממדית. 
משבר הקורונה או Crisis הקורונה הוא דוגמה טובה לרב ממדיות: כולנו מבחינים בשני ממדים בולטים: תחלואה והדבקה וההשלכות הכלכליות אבל יש הרבה גורמים נוספים שפחות מודעים להם אבל הם בהחלט חלק מה-Crisis.

Crisis Management לא חופף ב-100% לחלק האדום של התרשים בתחילת פסקה זו, אבל יש חפיפה גדולה ביניהם. למעשה הייתי מכליל בו גם החלקים הצבועים בצבעים אחרים בעמודת הקטסטרופה.  

Incident Management

אחד האלמנטים החסרים לפעמים בניהול סיכונים הוא Incident Management. 
המונח מתייחס לאופן הטיפול באירוע העלול לגרום נזק משמעותי לארגון. המונח בו השתמשתי "נזק משמעותי לארגון" הוא בעצם התממשות סיכון חמור או צירוף של סיכונים חמורים. 
כאשר מתבצע Incident Management מנסים באופן שיטתי, על ידי צוות המתמחה בכך, להסיק את המסקנות מאירוע כזה. המטרה להימנע מנזקים חמורים לארגון, אם וכאשר אירוע כזה יתרחש שוב בעתיד. 

אם כבר יש צוות כזה, ההמלצה שלי וקרוב לוודאי לא רק שלי היא להיערך מראש לאירועים כזה עוד לפני שהם התרחשו בארגון. קרוב לוודאי שאירועים כאלה או אירועים דומים כבר התרחשו במקומות אחרים. אפשר להסיק מסקנות ממה שקרה במקומות אחרים ולהיערך בהתאם. 

השילוב בין שניהם

שילוב בין ניהול סיכונים לבין Crisis Management מתבקש. 

התהליך

אין טעם בשני תהליכים נפרדים מקבילים. מתחילים בתהליך של ניהול סיכונים. לאחר סיום שלב הערכת הסיכונים אפשר להפריד בין סיכונים חמורים במיוחד לבין יתר הסיכונים ולטפל בחמורים במיוחד באמצעות Crisis Management. 

Framework

אם לא מדובר בארגון ענק ומורכב אפשר לאחד גם את הנושא של Framework. ה-Framework לניהול סיכונים ישמש גם צורך Crisis Management. 

צוות עבודה

ראיתי המלצה להקמת צוות הפועל כל הזמן בנושא של Crisis Management. נדמה לי שזהו משהו שרק ארגונים גדולים ועשירים יכולים להרשות לעצמם. לארגונים אחרים ובוודאי לארגוני SMB זה לא מעשי: זה יקר מדי ועשוי להיות מיותר. 
חשוב במסגרת צוות או אדם האחראי על ניהול סיכונים להתייחס גם את ההיבטים של Crisis Management.זה יכול להיות מישהו ספציפי במשרה חלקית או פגישות תקופתיות ועבודות הכנה של כל הצוות של ניהול סיכונים.

אם וכאשר מתרחש אירוע של Crisis, נדרשת היערכות מידית רחבה יותר על בסיס התוכנית שהוכנו מראש ועל בסיס הניסיון שנצבר.