עד לפני זמן לא רב, אם הייתם שואלים מנהלים כיצד הם משלבים התפתחויות גיאופוליטיות בתוך הערכת המצב העסקית שלהם, סביר להניח שרבים מהם היו מזכים אתכם במבטי תמיהה. מלבד חברות בין-לאומיות גדולות שיש להן פעילות במדינות שונות, התפתחויות גיאופוליטיות כמו עימותים צבאים, משברים חברתיים או שינויים פוליטיים במדינות אחרות, נתפסו כאירועים שחורגים מגבולות הניתוח של הסביבה העסקית המיידית והחשובה.

העולם השתנה, וכיום סיכונים גיאופוליטיים הפכו מ-Non-issue ל-Issue גדול. סין, שמחזיקה רבות משרשראות האספקה העולמיות, מתעקשת לאכוף מדיניות של "אפס קורונה", מה שמוביל לפגיעה קשה בתהליכי הייצור במדינה ולפגיעה באספקת חומרים לשאר העולם. אוקראינה ורוסיה, מדינות מוצא חשובות של מספר חומרי גלם קריטיים לתעשיות רבות, מצויות כרגע במלחמה שסופה אינו נראה לעין, וגם היא משליכה על זמינות של חומרים ומחירם. השימוש הרוסי במנוף האנרגיה כדי להגיב על התמיכה המערבית באוקראינה, מעורר טלטלה בשוּקי הנפט והגז ומוביל לעליות מחירים חדות ברחבי העולם ולהשפעות על הכלכלות המקומיות, לרבות סגירה של מפעלים. במקביל, המלחמה פוגעת באספקה של חיטה מאוקראינה למדינות מתפתחות, כולל שכנותיה של ישראל, מה שיכול להוביל להתערערות המצב הפנימי במדינות הללו, ולהקרין גם על מצבה הביטחוני של ישראל ולפגוע ביציבות הדרושה לעסקים.

זהו רק תיאור חלקי של הטלטלות החריפות בסדר העולמי שמתרחשות בימים אלו. אף חברה עסקית, קטנה כגדולה, אינה יכולה לחמוק מהשפעות ישירות או עקיפות של ההתפתחויות העולמיות הדרמטיות, והמנהלים החלו להפנים זאת. דוח סקר הסיכונים הגלובלי של BDO לשנת 2022 שנערך בקרב 500 מנהלים מרחבי העולם והתפרסם בחודש יולי האחרון, מצביע באופן מובהק על השינוי החד בחשיבות שמנהלים החלו לתת לסיכונים גיאופוליטיים. הסקר עסק בסיכוני שרשרת אספקה, והמנהלים דירגו את הסיכונים הגיאופוליטיים במקום הראשון מבין הסיכונים החמורים ביותר שמשפיעים לרעה על ארגוניהם.

הסקר גם חושף פער ניכר בין ההבנה של רבים מהמנהלים באשר לסיכונים הגיאופוליטיים שהם חווים, לבין המענה הבלתי מספק של יכולת ההתמודדות עם סיכונים אלו. לפי כל האינדיקציות, הסיכונים הללו צפויים להמשיך ולהשפיע בחריפות על הסביבה העסקית גם בשנים הבאות – החרפה במלחמות הסחר בין ארצות הברית לסין, לצד המתיחות הנמשכת בין המערב לרוסיה; משבר האנרגיה העולמי והאתגרים הכרוכים בתהליכי מעבר לאנרגיות נקיות יותר; משבר האקלים והעלייה בהיקפים ובעוצמות של פגעי מזג אוויר קיצוני שנגרמים כתוצאה ממנו.

בנסיבות הללו אין לארגונים עסקיים את הפריבילגיה להמשיך להתמודד עם ההתפתחויות הגיאופוליטיות הדרמטיות של השנים האחרונות באמצעות צעדים נקודתיים ותגובתיים. צורת המענה הזו אינה מותאמת למציאות החדשה שתלווה אותנו גם בעתיד הנראה לעין, וארגונים תאבי חיים צריכים להתחיל לנהל את הסיכונים הגיאופוליטיים כחלק בלתי נפרד מהאסטרטגיה העסקית שלהם. ניהול הסיכונים הגיאופוליטיים צריך להתחיל בעיסוק אסטרטגי של ההנהלה הבכירה באיתור הסיכונים הללו, ולהמשיך בעיסוק שיטתי ורציף בניהול שלהם – זיהויים, ניתוחם, וגיבוש ויישום צעדי התמודדות.

עם זאת, ניהול הסיכונים הגיאופוליטיים שונה ומורכב יותר מניהול סיכונים תפעוליים ואחרים שנכללים במסגרת ניהול הסיכונים התאגידי (ERM – Enterprise Risk Management). סיכוני ERM נכללים ברשימה סגורה ומוכרת למדי, והאתגר המרכזי של המבקר הפנימי ומנהל הסיכונים הוא להצליח להעמיק חקור אל תוך הארגון המבוקר, כדי לזהות אלו מבין הסיכונים המוכרים מתקיים בארגון. לעומת זאת, הסיכונים הגיאופוליטיים הם סיכונים חיצוניים לארגון, שמשליכים עליו מבלי שיש לו יכולת להשפיע על עצם התרחשותם. חמור מכך, סיכונים אלו אינם ידועים מראש וקשה לצפות אותם מכיוון שפעמים רבות הם באים לידי ביטוי בשל התלכדות גורמים שמשפיעים זה על זה[1].

בהתאם למורכבות ולייחודיות של הסיכונים הגיאופוליטיים, אנו מציעים לנהל אותם באמצעות תפיסה אסטרטגית כוללת, כזו שתעזור להעריך את הסיכונים לארגון בתהליך שיטתי ומתמשך, ולסייע לארגון להיערך להתמודדות מושכלת עימם. אסטרטגיה זו כוללת שלוש "שכבות" המשלימות זו את זו: "סריקת אופק" שתסייע לזהות סיכונים מתפתחים, מנגנוני מוכנות אל מול הסיכונים הללו, ופיתוח תרבות חוסן שתסייע להתמודד גם עם סיכונים שהארגון לא צפה ולא נערך אליהם.

סריקת אופק (Horizon scanning) – בדומה לפעולתו של מכ"מ, מנסה לאתר סיכונים בשלבי התפתחותם המוקדמים, במטרה לספק מרחב זמן להיערך אליהם. זו אינה שיטת חקירה ספציפית, אלא מסגרת-על שניתן ליישם בדרכים שונות, והיא רלוונטית במיוחד לאיתור וניתוח של סיכונים גיאופוליטיים. אנו מציעים ליישם את סריקת האופק באמצעות שילוב בין שני סוגי פעילויות:

• ניטור סיכונים – מעקב שוטף בגישת Bottom-Up אחר אירועים והתפתחויות בסביבה העסקית הישירה של הארגון ובסביבה הגלובלית. מטרת הניטור והמעקב השוטפים היא להגביר מודעות מצבית של ההנהלה הבכירה לשינויים בסביבה החיצונית, להתריע על התפתחות סיכונים (והזדמנויות) חדשים, ולאתר סימנים למגמות חדשות המחייבות התייחסות ומענה. תוצרי המעקב השוטף יכולים לבוא לידי ביטוי באמצעות דוחות עיתיים המוגשים להנהלת הארגון.
• ניתוח תרחישי עתיד – מחקר בגישת Top-Down של סיכונים מתהווים או סיכונים אפשריים שיכולים להתפתח בעתיד. ניתוח תרחישי העתיד יכול להיעשות באמצעות מגוון מתודולוגיות כגון סקירות ספרות, תשאול מומחים, או מתודולוגיות דינמיות דוגמת Scenario planning, סימולציות ומשחקי מלחמה עסקיים, ובסיוע כלים טכנולוגיים מתקדמים. התפתחויות בתחום למידת המכונה, ובמיוחד בעולמות ה-NLP (Natural Language Processing), מוסיפות היום לארסנל הכלים גם את האפשרות להשתמש בפלטפורמות אנליטיות מתקדמות, שמזהות דפוסים ומגמות אפשריות מתוך נתוני העתק (Big Data) שברשת האינטרנט ובמאגרי המידע השונים.

מנגנוני מוכנות – מיועדים לסייע לארגון להיערך מבעוד מועד לקדם את פני הרעה ולשפר את יכולת ההתמודדות עם איומים מהותיים פוטנציאליים. כאמור, סיכונים גיאופוליטיים הם סיכונים מורכבים להבנה ולזיהוי מבעוד מועד. תהליכי סריקת האופק, ובמיוחד ניתוח תרחישי העתיד במתודולוגיות שונות, הם הכלים הטובים ביותר לשפר את הסיכויים של הארגון לאתר את "העתידים האפשריים" (Possible futures) הרלוונטיים אליו ומסכנים אותו. על בסיס מפת סיכונים זו, הארגון יכול לגבש את אסטרטגיית ההתמודדות שלו בשני שלבים:

• הגדרת תרחישי ייחוס – בשלב זה מגדירים רשימה מצומצמת של סיכונים מהותיים שהארגון אינו ערוך להתמודד עימם כיום (אירועי קיצון או תהליכים מתפתחים), ומגבשים את התרחיש החמור-סביר שיכול להתפתח כתוצאה מכל אחד מהם.
• פיתוח ויישום של תוכניות היערכות – על בסיס תרחישי הייחוס, מפתחים תוכניות פעולה כוללות ופרטניות של מענה, כולל הגדרה של תהליכי בקרה ופיקוח על היישום שלהן.

תרבות חוסן – המושג מתייחס לתפיסה המשלבת ערכים ומנגנונים שונים, שכולם יחדיו נועדו לפתח את היכולת הבסיסית של הארגון להתמודד עם הפתעות ומצבי משבר שלא זוהו מראש, ולהתאושש מהם. מנגנוני סריקת האופק ותוכניות המוכנות יכולים לשפר באופן אמיתי ומשמעותי את היכולת של ארגון להתמודד עם סיכונים גיאופוליטיים ולצמצם את השפעתם המזיקה. עם זאת, אין בנמצא ולא יכול להימצא, מנגנון שיחזה באופן הרמטי את הסיכונים הגיאופוליטיים שיכולים להתפתח, ולכן על הארגון לסגל לעצמו DNA של חוסן. ניתן להשיג זאת באמצעות שילוב של פרקטיקות שונות, הקשורות כולן בליבת התרבות הארגונית והאסטרטגיה של הארגון:

• מנגנוני אג'יליות – טיפוח תרבות ארגונית המאפשרת תפקוד מיטבי במצבי משבר והשתנות מהירה תחת לחץ. הדבר נעשה באמצעות ערכים ומנגנונים דוגמת ביזוריות של תהליכי קבלת ההחלטות, מבנה ארגוני רשתי, פתיחות ושקיפות בתקשורת הפנימית, ועוד.
• רשתות ביטחון – בחינה וארגון מחדש של נכסי הארגון ומשאביו, כדי ליצור עתודות וגיבויים שיבטיחו שרידות של הארגון במצבי חירום ותקופות משבר. כך למשל, בסקר הסיכונים הגלובלי העדכני של BDO העידו מנהלים שונים כי שינו את האסטרטגיה התפעולית שלהם באופן שמתעדף שיקולים של חוסן על פני שיקולי יעילות (למשל, גיוון מקורות האספקה למרות מורכבות תפעולית ועלויות תפעוליות גבוהים יותר).

לסיכום, הסביבה הגיאופוליטית צפויה להמשיך ולהתאפיין בשנים הקרובות באי ודאות קיצונית וחריפה, ואין חברה עסקית או ארגון שיוכלו להתחמק מהשפעותיה השליליות. מציאות "משובשת" זו מציבה סיכונים חריפים למי שהופתע ונתפס לא מוכן, אך גם הזדמנויות חדשות למי שישכיל לעסוק בתרחישי העתיד ולהיערך אליהם. לכן ארגונים חייבים להתחיל לנהל אסטרטגיה שיטתית של ניהול הסיכונים הגיאופוליטיים שלהם באמצעות פרקטיקות של ארגון הלומד את הסיכונים המתפתחים בסביבה החיצונית הרחבה שלו, מתכונן להיערך למרכזיים שבהם, ובונה את חוסנו להתמודד גם עם אלו שלא צפה מבעוד מועד.

[1] להרחבה על סיכונים חיצוניים וניהולם, ראו במאמרנו "ברבורים שחורים וחיות אחרות: על סיכונים מתפתחים, איומים חיצוניים ואסטרטגיות לניהולן", גיליון 15 של לשכת המבקרים הפנימיים, אפריל 2022, עמ' 42-38.

The post לנווט בסערה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

סדרת ספרי הפנטזיה "שיר של אש ושל קרח", שעובדה לסדרה הטלוויזיונית המפורסמת משחקי הכס, היא אלגוריה לסכנה שמציב משבר האקלים לעתיד האנושות. "החורף מגיע" עם צבא המתים שמאיים להחריב את עולם בני האדם, בעוד אלו עסוקים ביריבויות פנימיות בין מנהיגים ומשפחות על יוקרה, ממון, שליטה וטריטוריה. יותר מהצגת הסכנה של משבר האקלים, הסדרה מבליטה את הקושי של בני האדם לעשות את הדרוש כדי להתמודד עם הסכנה הקיומית הזו, גם כשהיא מידפקת על דלתם.

מטאפורה זו מתאימה גם לתיאור המצב הכללי של אופן ההתמודדות של ארגונים עם איומים חיצוניים המאיימים עליהם. עבור ניהול סיכונים פנימיים (כגון סיכונים תפעוליים, מעילות והונאות, או אי ציות לרגולציה), עומדים כיום לרשותם של ארגונים כלים טובים תחת המסגרת של ניהול סיכונים ארגונִי (ERM). לעומת זאת, אין כיום הנחיות רגולטוריות מחייבות ואין מנגנונים מסודרים לניהול איומים חיצוניים. במידה רבה, הפער הזה קשור באופי המתעתע והמורכב של איומים חיצוניים, שמקשה להבינם ולטפל בהם.

הפער הופך למשמעותי יותר בשנים האחרונות, מכיוון שתכיפות הופעתם של איומים חיצוניים הולכת ועולה. תהליכי הגלובליזציה בעשורים האחרונים הובילו לכך ש"הכול קשור בהכול" – חסמים ובידולים בין מדינות ושווקים פחתו ואף נעלמו, מה שמוביל לאפקט "משק כנפי הפרפר", שבו אירוע באזור גאוגרפי ובשוק מסוים מקרין ומשליך על אזורים ושווקים אחרים. בנוסף, הגידול האקספוננציאלי בכמויות המידע ובקצב החדשנות הטכנולוגית יוצר 'שיבושים' (Disruptions) המערערים את הסדר הקיים בכל תחומי החיים ובקצבים גבוהים מבעבר.

במאמר הנוכחי נבקש לשפוך אור על האיומים החיצוניים – אילו סוגי סיכונים הם כוללים, מהן הטעויות הנפוצות באופן ההתמודדות עימם, ואילו אסטרטגיות יכולות לשפר את החוסן הארגוני מולם.

איומים חיצוניים – חיה מסוג אחר

איומים חיצוניים הם סיכונים הנמצאים מחוץ לשליטתו של הארגון והוא אינו יכול להשפיע על עצם התרחשותם. זהו הבדל מהותי מסיכונים פנימיים, ולכן בשונה מהם, לא ניתן לטפל באיומים חיצוניים במסגרת הקלאסית של מנגנון ה-ERM. כך למשל, ארגון יכול לנקוט צעדים לצמצום הסבירות להתרחשותה של מעילה בשורותיו (סיכון פנימי), אך הוא אינו יכול למנוע את הסבירות להתממשותה של רעידת אדמה (איום חיצוני).

איומים חיצוניים יכולים להופיע בדמות אירועי קיצון או כתהליכים מתפתחים. למשל, משבר האקלים מייצר איומים מתפתחים כמו תהליכי מִדבּוּר (התפשטות של מדבריות) או עליית פני הים, לצד אירועי קיצון דוגמת הצפות ושריפות.

אחת הדרכים הנוחות והיעילות לסווג ולזהות איומים חיצוניים (איומי קיצון ואיומים מתפתחים), היא באמצעות החלוקה המקובלת לשש משפחות של תופעות ומגמות גאו-אסטרטגיות, הידועות בראשי התיבות PESTEL:

• Political: איומים פוליטיים יכולים לנבוע משינויי מדיניות כלכלית (דוגמת מיסוי או חוקי עבודה), משינויים במצב היציבות הפוליטית (ברמה הלאומית, האזורית והבינלאומית), משינויים במדיניות סחר החוץ (דוגמת מכסים, ניתוק יחסים בין מדינות), או כתוצאה ממשברים ביטחוניים וצבאיים.
• Economic: איומים כלכליים יכולים לנבוע מתמורות מקרו-כלכליות דוגמת שינויים בשיעורי צמיחה, אינפלציה, אבטלה, ריבית, וכדומה (לדוגמה, משבר הסאב-פריים של 2008).
• Social: איומים חברתיים יכולים לנבוע ממגמות בחברה, דוגמת העדפות תרבותיות חדשות, הִשתנות של שוק העבודה, או שינויים בהרגלי הצריכה. מחאת הקוטג' ב-2011 היא דוגמה בולטת למגמה כלכלית-חברתית שהתפתחה לכדי איום על חברות בתעשיית המזון.
• Technological: באיומים טכנולוגיים הכוונה אינה רק לאיומי סייבר ופגיעה בתשתיות דיגיטליות, אלא גם לחדשנות משבשת (Disruptive innovation), כלומר חידושים טכנולוגיים שיכולים להוליד מוצרים, שירותים ומודלים עסקיים חדשים שמשנים את השוק (השפעות המדיה החברתית על עולם הפרסום, השפעת Ebay ואמאזון על דפוסי הקנייה, השפעת המודל העסקי של Uber על שוק המוניות, ועוד).
• Environmental: אסונות טבע, אסונות בריאותיים (דוגמת מגפות) ונזקי משבר האקלים יכולים להסב פגיעה חמורה לארגונים, כפי שנוכחנו לדעת בשנתיים האחרונות בעקבות התפשטותה של מגפת הקורונה ושורה של אסונות טבע שתדירותם גוברת בעקבות ההתחממות העולמית.
• Legal: שינויים ומגמות ברגולציה ובחקיקה יכולים לחשוף ארגונים לאיומים משפטיים של אי ציות וחשיפה לתביעות, אם לא ייערכו אליהן בזמן. אין הכוונה להנחיות מחייבות קיימות (שכן אלו מטופלות במסגרת תהליכי בקרה וציות שהארגון אמור להכיר וליישם), אלא לטרנדים, רעיונות והתפתחויות שניתן להעריך כי יתורגמו בהמשך להנחיות מחייבות. למשל, סביר להניח כי האיום הגובר של תקיפות סייבר יעמיק רגולציות והנחיות המחייבות בתחומי ההגנה בסייבר, אבטחת המידע והגנת הפרטיות.

תרנגול ההודו ובת היענה – אסטרטגיות כושלות לטיפול בברבורים שחורים

מאז פרסום ספרו רב המכר ורב ההשפעה של נסים טאלב, "הברבור השחור", הפך המושג לשם נרדף לאיומים חיצוניים מפתיעים ודרמטיים בהשפעתם. טאלב מסביר כי עוצמת ההפתעה והנזק של הברבורים השחורים נובעת מהאשליה כי אנו יכולים לחזות את הופעתם. אנו בונים נרטיב של סיבתיות שהובילה כביכול להתרחשותם, אך אין זו אלא רציונליזציה בדיעבד, והיא גורמת לנו לדבוק באשליה שנוכל לחזות את הסתברות הופעתם של הברבורים השחורים בעתיד אם רק נלמד מהעבר ונשפר את יכולות החיזוי שלנו.

טאלב המחיש את אשליית החיזוי באמצעות משל תרנגול ההודו. התרנגול נהנה מחיים נוחים בחווה ומקבל מדי יום אוכל מידיו של החוואי. ככל שעוברים הימים עולה מידת ביטחונו בכוונותיו הטובות של החוואי, שכן הוא מקבל עוד ועוד עדויות ליחסו החיובי כלפיו. אולם כעבור מספר חודשים מגיע חג ההודיה, והתרנגול נשחט ומוגש בארוחת החג. הטעות של תרנגול ההודו נבעה מכך שניתח את מצבו באמצעות חשיבה לינארית וסטטיסטית המסתמכת על עדויות מן העבר, אך אלו אינם רלוונטיים לחיזוי האירוע שהוביל למותו. איומי העתיד מתרחשים כתוצאה מאקראיות וצירופי נסיבות שבאופן מעשי איננו יכולים לחזות מראש או להעניק סבירויות להתרחשותן.

מקור אחר לכשלי התמודדות עם איומים חיצוניים נובע ממה שניתן לכנות גישת בת היענה, המתאפיינת בהתעלמות מהאיומים ומהצורך לטפל בהם. ארגונים רבים אינם מקפידים לקיים מנגנונים מסודרים ושיטתיים למעקב וניתוח של אירועים, התפתחויות ומגמות בסביבתם החיצונית, אף שביכולתם לסרוק ולאתר איומים מתקרבים (כמו גם הזדמנויות חדשות). לעיתים, איומים משמעותיים אינם מטופלים בשל קושי מנטלי להכיל אותם או חוסר אמונה ביכולת להתמודד עימם, מה שמפעיל מנגנוני הדחקה דוגמת האמונה כי "לי זה לא יקרה". במקרים אחרים, איומים אינם מטופלים בשל גישה של אחריות מצמצמת ("זה לא באחריותי"), במיוחד בתרבות ארגונית שמודדת רק הצלחות בטווח הזמן הקצר.

לעומת הגישות הבעייתיות הללו להתמודדות עם איומים חיצוניים, ניתן להציע מסגרת התמודדות אחרת ויעילה, המשלבת בין שתי אסטרטגיות משלימות:

• בניית תוכניות חוסן מול איומים חיצוניים ראשיים שהארגון מזהה ומגדיר.
• במקביל, פיתוח תרבות אג'ילית וחסינה, שתסייע לארגון להתכונן מבעוד מועד להתאושש מברבורים שחורים שיפתיעו אותו.

טיפול בקרנפים האפורים של הארגון – תוכניות חוסן כמענה לאיומי ייחוס

אומנם, כפי שהסביר טאלב, איננו יכולים לחזות באופן מלא ומדויק את כל האיומים העתידיים ואת אופי ומועד התרחשותם, אך אנו בהחלט יכולים לסמן ולהגדיר חלק חשוב מתוכם. אלו הם "הקרנפים האפורים" (מושג שטבעה מישל ווקר) – איומים מהותיים שאם לא נסיט את מבטנו מהם כיום, נוכל לזהות על נקלה כי הם שועטים לעברנו כמו קרנפים.

את "הקרנפים האפורים" ניתן לנהל באמצעות תוכניות חוסן, הכוללות חמישה שלבים של גיבוש והוצאה לפועל:

• מיפוי: יצירה של רשימת איומים רחבה. הרשימה צריכה לכלול ולפרוס את כל האיומים שיש סבירות ממשית להתרחשותם, אך ללא צורך לדרג את האיומים לפי מידת ההסתברות של התרחשותם.
• סינון: ננפה מהרשימה איומים מרכזיים שהארגון כבר ערוך ומוכן להתמודד עימם כיום. בנוסף, ננפה את האיומים השוליים יותר (בין אם הארגון ערוך אליהם או אינו ערוך כיום להתמודד עימם). רשימת האיומים המצומצמת שעימה נותרנו מהווה את "איומי הייחוס" של הארגון – האיומים המהותיים שאליהם צריך הארגון להיערך ולהתכונן.
• אפיון: בניית תמונה מפורטת על כל אחד מאיומי הייחוס – תיאור של המצב הנוכחי, של מגמות מסתמנות, של כיווני התפתחות אפשריים, ושל דרכים שבהן האיומים יכולים לבוא לידי מימוש. למשל, תרחיש של רעידת אדמה יכלול בין היתר מִנעד של הערכות בנוגע לממדי הנזק בגוף ובנפש.
• תכנון: לאחר שיש בידינו אפיון מפורט של כל איום ייחוס, נגזור ממנו תרחיש ייחוס – זוהי מעין קביעה ארגונית "שרירותית" של מתאר חמור-סביר של התממשות האיום, במטרה לספק מצפן להיערכות. למשל, בדוגמת רעידת האדמה, תרחיש הייחוס יגדיר כמות ספציפית של נפגעים בגוף והיקף ספציפי של נזק לתשתיות. על בסיס תרחיש הייחוס, הארגון יגבש תוכנית חוסן שתטפל באופן מערכתי בכל ההיבטים הדרושים לבניית המוכנות (הגדרת נהלים, תרגולים, הגדרת רף מינימלי של גיבויים לחירום, רזרבות כספיות, ועוד).
• ביצוע: הוצאת תוכניות החוסן לפועל – אין הכוונה למימוש תוכניות בזמן חירום, אלא ליישום של צעדי מוכנות שנדרש לבצע בזמן שגרה ובמסגרת תוכנית עבודה מסודרת כחלק מבניית המוכנות לתרחישי המשבר. זהו החלק החשוב ביותר אך גם הקשה בתהליך, והוא נוטה להיתקל בקשיים רבים דוגמת אילוצים כספיים, העדפת הדחוף על פני החשוב, או קושי לגייס משמעת ארגונית לתהליכים חוצי-יחידות וארוכי טווח.

טבלה להמחשה ופישוט של ההסבר על שלבי בניית תוכניות החוסן. צריך להפוך אותה לאמצעי אינפוגרפי מושך יותר

פיתוח תרבות ארגונית אג'ילית שיודעת להתאושש מברבורים שחורים מפתיעים

טיפול בקרנפים האפורים של הארגון עדיין משאיר את הארגון חשוף לפגיעתם של איומים אחרים שהוא לא זיהה ואליהם לא נערך. ארגונים צריכים לפעול תחת הנחת עבודה בסיסית שלפיה הם יופתעו מברבורים שחורים. אולם כיצד עליהם להיערך למה שהם לא יודעים שהם לא יודעים?

כיוון המענה אינו יכול להגיע מתוכנית חוסן ספציפית, אלא מפיתוח אג'יליות ארגונית בסיסית. מדובר במסע ארוך ומורכב שחוצה את הארגון לאורכו ולרוחבו, ונוגע בתרבות, בקודים ובתהליכי העבודה. זהו מסע לא פשוט, אך בכוחו להכין את הארגון להתמודד באופן טוב יותר עם אסונות מפתיעים שפוקדים אותו, ולהקנות לו את הכלים להתאושש במהירות ואף למנף את המשבר כהזדמנות לצמיחה.

פיתוח יכולות בסיסיות להתאוששות מהפתעות ברבור שחור, מחייב להטמיע מספר ערכים, מנגנונים ואסטרטגיות פעולה בארגון:

• למידה חיצונית ("סריקת האופק"): כדי לזהות איומים (וגם הזדמנויות) בהקדם האפשרי, על ארגונים לדאוג להפנות את מבטם גם כלפי חוץ, ולעסוק באופן שיטתי בסריקה של הענף והשוק שבו הם פועלים, של הסביבה העסקית הרחבה יותר, ואף של מגמות גאו-אסטרטגיות רחבות.
• התנסויות בחדשנות: עיסוק בחדשנות, שמנביט כיווני פעולה חדשים של הארגון, מבטיח לא רק יצירה של מנועי צמיחה עבור הארגון, אלא גם פותח עבורו אופציות חדשות במקרה שתהליכי העבודה והמודלים העסקיים הנוכחיים שלו נפגעים באירוע קיצון או מאבדים רלוונטיות כתוצאה מאיום מתפתח. התנסות בחדשנות מחייבת הקצאת משאבים של זמן, כסף וכוח אדם, אך לא פחות חשוב מכך – ההנהלה נדרשת להעביר מסר ברור שמעודד רוח של יזמות תוך נכונות לשלם על כך מחירים, ולהתייחס לטעויות ולכישלונות כמקורות ללמידה ולא כסיבות לענישה.
• העצמת עובדים: רגעי משבר מתאפיינים בצורך לקבל החלטות מהירות ורבות בתנאי אי ודאות חריפה. במצבים כאלו שליטה ריכוזית בכל תהליכי קבלת ההחלטות אינה מספיקה ולעיתים אף תהיה בעוכריו של הארגון. מי שיכול לא פעם "להציל את המצב" הם דרגי ניהול נמוכים ודרג העובדים בארגון, שיפעלו מעבר לתחומי אחריותם הישירה, יגלו תושייה ויפגינו יוזמה גם תוך חריגה מהנהלים ומתהליכי העבודה המקובלים. כדי לצפות להתנהגות שכזו מעובדי הארגון במצבי משבר, צריך להנהיג גם בשגרה תרבות ארגונית פתוחה ומעצימה, שמעניקה לעובדים סמכויות, משתפת אותם במידע, מאפשרת להם להשמיע ביקורת כלפי מעלה, ומעודדת אותם ליטול אחריות ולגלות עצמאות ויוזמה, תוך סובלנות לטעויות שנעשו בתום לב ומתוך חתירה לקידום טובתו של הארגון.
• הטמעת מנגנוני יתירות ופיזור סיכונים: ארגונים מקדשים תהליכי ייעול ואופטימיזציה, כעקרונות חשובים לשיפור ביצועים, אך ברגעי משבר הם עלולים לחשוף את הארגון לפערים במשאבים הדרושים לצלוח את המשבר. שמירה על עתודות (פיננסיות ואחרות), הקפדה על גיבויים (לא רק של מאגרי מידע) ואף יצירת כפילויות בתשתיות מסוימות, הן דוגמאות לרשתות ביטחון ליום סגריר, ועל הארגון למצוא את שביל הזהב בינן לבין שיקולי היעילות.

לסיכום, בפרפרזה על אמרתו של רבי עקיבא: הכול לא צפוי, והרשות נתונה. העתיד צפוי לזמן לנו אירועי קיצון ואיומים מתפתחים שונים ומשונים, אך בידינו הבחירה לפעול מבעוד מועד כדי לצמצם את נזקיהם, ולעיתים אף למנף אותם כהזדמנויות לצמיחה. ארגון שחרד לשרידותו ולשגשוגו חייב להתחיל לנהל את האיומים החיצוניים שלו באופן שיטתי, כחלק מאסטרטגיה ארגונית כוללת.

The post איומים חיצוניים ואסטרטגיות לניהולם appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מחקרי בנצ'מרק כאמצעי להעצמת המבקר הפנימי

דנה גוטסמן-ארליך, רו"ח, MA, CIA, CRMA  שותפה בחטיבת ממשל תאגידי ורגולציה, BDO.

ד"ר עופר גוטרמן PhD ראש קבוצת מודיעין עסקי חטיבת ממשל תאגידי ורגולציה, BDO.

המבקר הפנימי נדרש לא פעם להיות "נושא הבשורות הרעות" מול הנהלת הארגון, זה שאמון על חשיפת כשלים בעשייה הארגונית, עמידה על פערי עמידה ברגולציה ובנהלים מחייבים, והצבעה על בקרות שנקבעו אך אינן מיושמות. במילים אחרות, המבקר הפנימי ניצב, ונתפס בראי ההנהלה, בעמדה של מי שתפקידו לחשוף בעיות.

במאמר הנוכחי אנו מבקשים להעלות למודעות את היכולת לעשות שימוש חדש בכלי ותיק – מחקרי בנצ'מרק – כדי לספק ערך מוסף לארגון, ולחזק את תפקידם של המבקרים הפנימיים לא רק כ"חושפי בעיות", אלא גם כ"ספקי פתרונות".

מהו בנצ'מרק? "בנצ'מרק (Benchmark) הוא מדד, תקן או סדרה של תקנים המשמשים נקודת התייחסות להערכת ביצועים ורמות איכות. המונח משמש במשמעות זו במגוון תחומים, הגם שכל תחום משתמש בו בהקשר שלו.

השימוש במונח נפוץ במיוחד בעולם העסקים כתיאור מדדי ביצועים שונים הכרוכים בפעילות העסקית (שיווק, מכירה, ייצור, תפעול, ניהול ועוד). בכלל זה, הבנצ'מרק משמש כמדד להערכת פעילות קיימת, לבחינת פתרונות חדשים ואף להגדרת יעדים… קביעת או מדידת בנצ'מרק יכולה להיעשות באמצעות מחקר וניתוח של מגמות שוק וניסיונם של אחרים…; על בסיס ניסיון קודם של החברה עצמה (למשל, מדידת כמות המכירות בשנים קודמות כדי להעריך את ביצועי המכירות בשנה הנוכחית); או על בסיס דרישות משפטיות".

בהקשר לשימוש בבנצ'מרק בביקורת הפנימית, אנו ממליצים להתייחס לבנצ'מרק ככלי ללמידת הפרקטיקות המיטביות (Best Practices) הנהוגות בתחום מסוים, כדי לאפשר לארגון המבוקר לאמץ ולהטמיע פרקטיקות אלו (כמובן עם ההתאמות הנדרשות במקרה הפרטי שלו).

מחקרי בנצ'מארק יכולים להיעשות במנעד רחב, החל מניתוחים נקודתיים ומקומיים, באמצעות התייעצות עם קולגות או מומחי תוכן, ועד מחקרי בנצ'מרק ייעודיים ומעמיקים שניתן לבצע בסיוע חוקרים ואנליסטים המתמחים באיסוף מידע וניתוחו.

אנו מבקשים לטעון כי מחקרי בנצ'מרק רלוונטיים מאוד לעבודת הביקורת הפנימית, ויכולים לספק כר בלתי נדלה של המלצות ופתרונות לארגון המבוקר, ובכך להעשיר את הארגון ומנהליו. יתרה מזו, להערכתנו מבקרים פנימיים שישכילו לראות בבנצ'מרק כלי חשוב בקידום עבודת הארגון ותהליכיו ייתפסו כגורם התורם לניהול הארגון ולתפעולו השוטף. להלן כמה דוגמאות להמחשה:

1. מבקר פנימי במוסד אקדמי המאבחן פער באופן רישום ההכנסות הנגרם מתהליך שאינו סגור עקב הגבלה במערכות המידע, יכול להביא בנצ'מרק ממוסדות אקדמיים מובילים בארץ ובעולם ולהצביע על אופן התנהלותם בתהליך זה.
2. מבקר פנימי במשרד ממשלתי המצביע על חוסר יעילות בפעילות מוקד שירות לקוחות המתופעל על ידי גורם חיצוני, יכול לברר עם גופי ממשלה אחרים כיצד הם מתנהלים מול מוקדי שירות לקוחות חיצוניים, ואולי אף להביא מידע מגופים ממשלתיים במדינות אחרות.
3. מבקר פנימי בחברה ציבורית המאתר פערים במסגרת ביקורת אבטחת מידע וסייבר ישכיל לתת פתרונות ישימים מחברות אחרות על אופן יישום פתרונות אבטחה באמצעות שימוש במומחה תוכן חיצוני שיסייע בהבנת תהליכי העבודה בנושא, אמצעי ההגנה שבהם משתמשת החברה, אמצעי הגנה קיימים בשוק, ואף יסביר על מגמות רווחות בעולם מהן ניתן לגזור החלטות על הטיפול בנושא לשנים הקרובות.
4. מבקר פנימי בחברת טכנולוגיה הבוחן את "מפת הדרכים" של החברה לשנים הקרובות, ומזהה חשש להתיישנות של הטכנולוגיות שנמצאות בפיתוח על ידי החברה והפיכתן ללא רלוונטיות, יכול להזמין מחקר שיסרוק את הטכנולוגיות העדכניות שבהן נעשה שימוש בחברות דומות, ואף להצביע על כיווני פיתוח חדשים לעתיד.
5. מבקר פנימי שבוחן תהליכים אסטרטגיים ארוכי טווח בארגון יכול להזמין מחקר בנצ'מרק שיבחן את היתכנות התוכניות הללו לאור המגמות הידועות והרווחות בארגונים אחרים בעלי קווי דמיון לארגון המבוקר.

אם כן, מחקרי הבנ'צמרק רלוונטיים לכל ארגון מבוקר, וכמעט לכל היבט שעומד לבחינה במסגרת הביקורת הפנימית – נהלים, תהליכים, תשתיות, מערכות, טכנולוגיות, הון אנושי, אסטרטגיות.

מחקרי הבנצ'מרק גם כדאיים מאוד לארגון בהיבטי עלות-תועלת – תחת ההנחה כי בוצעו כהלכה, מחקרים אלו מנגישים לארגון את הידע והפרקטיקות הטובות ביותר בתחום המעניין אותו, וכל זאת תוך השקעה נמוכה של משאבי זמן, כוח אדם וקשב ארגוני, ודאי בהשוואה לעלויות שכרוכות בניסיון של הארגון לפתח לבד את הפתרון לכל בעיה.

הלכה למעשה – כיצד נבצע מחקרי בנצ'מרק?

היופי שבשיטה הוא הקלות והפשטות היחסיים של ביצועה:

• ראשית, עלינו לאתר ארגונים דומים לארגון המבוקר ומובילים בשוק ("דומים-מובילים")
• שנית, נבחן את הפרקטיקות הנהוגות בכל אחד מהם, בתחום שאנו מעוניינים לבדוק
• לאחר מכן, נבצע ניתוח השוואתי של השונה והדומה ביניהם;
• באמצעות הניתוח ההשוואתי נגבש הכללה של הפארטו המשותף לכל הארגונים שנבחנו, לצד ניואנסים ראויים לציון של כל אחד מהם
• ולבסוף, נציג את המסקנות, ובמידת האפשר נעשה זאת בליווי המלצות ליישום בארגון המבוקר, המתחשבות בהתאמות הנדרשות ליישום במקרה הייחודי שלו.

ככל שהסוגיה העומדת לבחינה פשוטה ומצומצמת, המבקר הפנימי יכול לבצע את הבנצ'מרק לבדו, באמצעות מחקר זריז שיכול להתבסס על מידע נגיש באינטרנט, ועל התקשרות עם קולגות או מומחי תוכן בעלי גישה לנעשה בארגונים אחרים הדומים באופיים ובמבנה שלהם לפעילות הארגון הנבחן.

אולם, לפעמים נכון ללמוד את הבנצ'מרק באמצעות מחקר מקיף ומעמיק, אשר יעמוד בסטנדרטים גבוהים, הן מבחינת שלמות המידע ומהימנותו, והן מבחינת איכות הניתוח וההצגה שלו. הפנייה למחקר שכזה רלוונטית יותר ככל שהסוגיה המבוקרת אסטרטגית יותר ונושאת משמעויות כבדות משקל עבור הארגון, בהיבטי רגישות ארגונית, עלויות כספיות, מגע עם הלקוחות, מוניטין וכדומה, שהרי מחיר הטעות בניתוח הבנצ'מרק יהיה גדול יותר.

כך או כך, קיימים כמה "כללי ברזל" שעליהם ראוי להקפיד אם ברצוננו לשמור על רמתו המקצועית של מחקר הבנצ'מרק, ולהימנע מכשלים שיפגעו באיכותו או בסיכוי שהמלצותיו יתקבלו וייושמו:

• להקפיד על ניתוח "דומים-מובילים" – על מנת שהמחקר יהיה תקף, רלוונטי וישים עבור הארגון המבוקר, עליו להתבסס על ניתוח ארגונים דומים לו ומובילים בשוק המקומי, ולעיתים גם בשווקים דומים בחו"ל (אם אין בנמצא ארגונים רלוונטיים בשוק המקומי או אם הוא סובל מפערים משמעותיים לעומת שווקים מובילים בחו"ל.שיקול נוסף הוא מידת היכולת להשקיע משאבים במחקר מקיף שיתבונן גם בנעשה בחו"ל).
• לא למהר להסתפק בחיפוש באינטרנט – אומנם רשת האינטרנט כוללת היקפי מידע עצומים, אך לא הכול נמצא בה. לכל מחקר יש לגשת בגישת Data-agnostic, כלומר לא לצמצם מראש את מאגר מקורות המידע העומדים לרשותנו, אלא לחשוב באופן יצירתי באילו מקומות עשוי להימצא מידע רלוונטי, למשל ראיונות עומק עם מומחים, או מידע שכבר קיים בנושא בתוך הארגון המבוקר.
• כשמחפשים באינטרנט, לא להסתפק ב"דוקטור גוגל" – מנועי חיפוש שונים יניבו תוצאות שונות, חיפושים ממוקדים במאגרי מידע רלוונטיים יכולים לספק מידע ייחודי ובעל ערך רב, חיפושים מתקדמים יכולים לאתר תשובות שלא נמצא באמצעות חיפוש פשוט של מילת מפתח. אם בוחרים להיעזר באנשי מקצוע בתחום מידענות הרשת (WEBINT – Web Intelligence) אפשר להגיע ביתר קלות אל המידע החשוב שנמצא ברשת ולמצות אותו.
• ניתוח הממצאים והסקת המסקנות בלי לאבד "קשר עין" עם צורכי ומאפייני הארגון המבוקר – הוספת ממצאים ומסקנות, מעניינים ובעלי ערך כשלעצמם אך לא בהלימה לשאלת המחקר או למאפייני הארגון המבוקר, רק תסרבל את העבודה ותקהה את חדות המסרים שלה. עומס המידע יגרום לפגיעה ביכולת של המחקר לזכות בקשב מצד מנהלי ה הארגון המבוקר, ולפגיעה בסיכוי להוביל להטמעת ההמלצות שיעלו מהמחקר.
• הצגת הממצאים והמסקנות באופן תמציתי ומושך – אומרים שלעיתים תמונה אחת שווה אלף מילים. אכן, שימוש בגרפים, תמונות, ויזואליזציות ואינפוגרפיקה יכולים להמחיש את המסרים בצורה קלה להבנה, בנוסף למלל, ולעיתים אף במקומו. עם זאת, יש להקפיד שההמחשות הוויזואליות לא יהפכו מנכס לנטל, ומאמצעי עזר להמחשת המסרים יהפכו לעניין עצמו, על חשבון חדות הממצאים ומסקנות העבודה.

האתגר המרכזי ליישום של המלצות מחקרי הבנצ'מרק הוא בנטייה שמגלים לעיתים ארגונים לדחות את גישת ה־Best Practices שהבנצ'מרק מגלם, בשל הנטייה לדבוק בדפוסי החשיבה וההתנהלות הקיימים, ולהקל ראש ביכולת ללמוד מאחרים (גישה שמגולמת בביטוי "Not invented here"). גישה זו סותרת את עקרונות הארגון הלומד ובולמת תהליכי שינוי והתחדשות חיוניים עבור כל ארגון באשר הוא. ייתכן שדווקא למבקר הפנימי, עם הפוזיציה הייחודית שלו ביחס לארגון, יש יכולת לסייע להתגבר על מכשול ה ־NIE ולהביא להטמעה של ההמלצות העולות ממחקרי הבנצ'מרק שקיים.

לסיכום, הבנצ'מרק מעניק לארגון המבוקר את האפשרות להיעזר בביקורת הפנימית לא רק כדי לסגור פרצות ולתקן ליקויים, אלא למנף את הביקורת לתהליכי התייעלות, לשפר ביצועים, להעלות את רמת המשילות התאגידית שלו ואף לקדם תהליכי חדשנות. כל זאת, באמצעות "התגלחות על זקנם של אחרים", לעיתים אף מתחרים.

עבור המבקר הפנימי, שימוש במחקרי בנצ'מרק מרחיב את "סל השירותים" לארגון. אולם יתרה מכך, שימוש תכוף במחקרים אלו יכול לסייע במיצובו של המבקר הפנימי מול הנהלת הארגון המבוקר, כמי שאינו חי רק ב"עולם הבעיה", אלא גם ב"עולם הפתרונות" (או בפרפרזה מעולם הכדורגל, "בועט מהקרן ורץ לנגוח לשער"). מבקר פנימי שיקפיד להציג להנהלה המלצות מקצועיות, מעמיקות ומנומקות באופן שיסייע לה ליישר קו עם המובילים בשוק, יגדיל באופן מהותי את הצעת הערך שלו לארגון.

The post מחקרי בנצ'מרק כאמצעי להעצמת המבקר הפנימי appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.