ביקורת פנימית על תהליך ניהול משברים

מבוא

מגוון האיומים שבפניהם עומדים כיום ארגונים הולך ומתרחב. יחד עימם גדלה ההסתברות להיווצרותם של שיבושים/משברים שעלולים לשבש את מהלך העסקים הרגיל עד לכדי איום ממשי על המשך קיומם.

בסקר שפורסם כמה חודשים לפני COVID-19 – Global Risk Management Survey שבוצע ע"י דלויט, 23% מהמשיבים הציבו את הסיכון לאירוע משברי כסיכון השישי בדירוג הסיכונים שבפניהם עומד הארגון.

בסקר נוסף של דלויט, Staying Relevant – 2020 Hot Topics for Internal Audit in Financial Services, סווג הנושא "חוסן תפעולי" (Operational Resilience) כנושא השני בחשיבותו לבדיקה על ידי הביקורת הפנימית.

מהו משבר?

משבר הוא אירוע או סדרה של אירועים בלתי צפויים היוצאים משליטה ומשבשים באופן מהותי את מהלך העסקים של הארגון. זהו אירוע שלרוב יקבל הד תקשורתי רחב מאוד, השפעותיו השליליות תורגשנה בטווח המיידי, ולפיכך יהיו במוקד תשומת הלב של בעלי המניות. מסיבה זו התוכניות וההכנות של הארגון להתמודדות עם משברים הן בעלי חשיבות עליונה להנהלה הבכירה, לבעלי המניות ולמחזיקי עניין אחרים (כמו לקוחות וספקים, מוסדות פיננסיים וכדומה).

משברים מאופיינים לרוב בעיתוי ובאופן שהם מופיעים: משברים בדרך כלל מתרחשים במפתיע, אינם בשליטת הארגון, דורשים תגובה מיידית, וכל טעות בקבלת החלטות עלולה להיות בלתי הפיכה, כלומר לארגון ולתדמיתו עלול להיגרם נזק לזמן ארוך ובמקרים קיצוניים גם יש איום לשרידותו.

כאן טמון ההבדל המהותי בין "משבר" לעוד אירוע של "המשכיות עסקית" – מונח המוכר לנו זה מכבר. נדגיש כי אירוע מקומי ומוגבל בהיקפו שנהגנו לשייך לאירוע DR או BCP איננו משבר. עם זאת, ככל הנראה גם אירוע נקודתי של המשכיות עסקית ועימו כשל בניהול, עלול להפוך למשבר אם הוא לא מטופל כיאות.

ישנן מספר מתודולוגיות לניהול משברים. המובילות שבהן הן תקן ניהול משברים של מכון התקנים הבריטי (BS 11200 : 2014 Crisis Management – Guidance and Good Practice) וכן סיפרו של Otto Lerbinger, “The Crisis Manager”, שנחשב לגורו בתחום.

סוגי משברים

על פי הספרות והפרקטיקה המקובלת בניהול משברים, נהוג לחלק את עולם המשברים ל-7 קבוצות עיקריות:

  1. אסון טבע – למשל: רעידות אדמה, הוריקנים, סערות, התפרצות הר געש, שיטפונות, צונאמי, בצורת, התפרצות מחלות.
  2. משבר טכנולוגי – למשל: דליפת חומרים מסוכנים (כמו דליפת נפט לים), תאונות תעשייתיות, כשלי תוכנה.
  3. עימות – למשל: חרם, אולטימטומים, חסימות, כיבוש מבנים, התנגדות או אי ציות למשטרה.
  4. זדון או חבלה – למשל: חבלה של מוצרים, חטיפות, שמועות זדוניות, טרור, פשעי רשת וריגול.
  5. פשעים ארגוניים – למשל: הונאה, סילוף, הטעיה, רמייה, התנהלות הנהלה פסולה.
  6. אלימות – למשל: אלימות של עובד או עובד לשעבר כלפי עובדים אחרים.
  7. שמועות – למשל: מידע כוזב המופץ על ארגון ו/או על מוצריו וגורם נזק נרחב למוניטין של החברה.

ניהול הסיכון

היכולת לנהל משברים קובעת בסופו של דבר את מידת עמידותו של הארגון. ארגון בעל יכולת עמידות גבוהה יהיה חסין יותר במהלך המשבר.

חוסן ארגוני מחייב ניהול אפקטיבי של משברים שיש להתכונן לקראתו מראש. הפרקטיקה של ניהול משבר "על הדרך", לאחר שהוא פורץ, הוכחה כדרך שגויה. אומנם קשה לתכנן מראש מענה ותוכניות לכל סוגי "תסריטי אסון", אולם ניתן לבנות תבניות כלליות עם עקרונות פעולה המתאימים לרוב המשברים. ברור שהמאמץ הנדרש להתאמת משבר ספציפי למסגרת הבנויה מראש הוא קטן לאין ערוך מאשר לבנות מהיסוד, עם פרוץ המשבר, את כל מסגרת המענה.

בנייה מראש של מענים סבירים דורשת גישה צופה פני עתיד וראייה שיטתית היוצרת מסגרות, תבניות, תוכניות הכשרה, תרגול ותחזוקה שוטפת.

פיתוח יכולת ניהול משברים צריכה להיות פעילות ממוסדת/קבועה ופרופורציונאלית לגודלו ויכולתו של הארגון. הדבר רלוונטי לכל ארגון ללא קשר למיקום, גודל, סוג, ענף או מגזר.

פרקטיקה לפיתוח יכולת ניהול משברים כוללת בדרך כלל ארבעה שלבים: זיהוי, הכנה, תפעול וחזרה לשגרה. שלבים אלה כוללים את האלמנטים הבאים:

  • מיפוי סיכונים וסוגי המשברים הפוטנציאליים.
  • ניתוח הפגיעה הפוטנציאלית בפעילות.
  • פיתוח ותחזוקה של תוכניות לתרחישים מזוהים.
  • מעקב אחר בעיות מתהוות.
  • עריכת תרגילים ועדכון התוכניות.
  • קביעת צוות לניהול משברים.
  • תקשור.
  • נקיטת פעולות חזרה לשגרה.
  • הערכת ההשפעה לטווח הארוך.
  • עריכת סקירה שלאחר המשבר ושינוי תוכניות בהתאם.

מניסיוננו, לרוב הארגונים ישנה תוכנית המשכיות עסקית לטיפול במשבר שמקורו באסון טבע (פגיעה בתשתיות פיזיות-לאומיות או ארגוניות או שתיהן), ולחלק מהארגונים אף קיימת תוכנית לטיפול במשבר שמקורו באירוע סייבר (פגיעה בתשתיות המידע), אך המציאות של המאה ה-21 הוכיחה שישנם משברים אחרים שלא כרוכים דווקא בפגיעת תשתיות פיזיות או דאטה. הנה כי כן התוכניות להמשכיות עסקית דורשות מחשבה ורענון.

לדוגמה, בעידן של רשתות חברתיות השולטות על חלק נכבד מחיינו, ראוי להדגיש במיוחד את נושא הפגיעה במוניטין ואת הצורך בהיערכות לתגובה ארגונית – תגובה תקשורתית פנים ארגונית וחוץ ארגונית. בהקשר הזה ראוי להזכיר את המשבר התדמיתי-תקשורתי שאליו נקלעה חברת התעופה יונייטד איירליינס בשנת 2017, כאשר רופא שקנה כרטיס טיסה במיטב כספו הורד מהטיסה לאחר שבטיסה היה אובר-בוקינג. הרופא נבחר בהגרלה וסירב להתפנות מהמטוס. הוא נגרר בכוח החוצה ובתוך מספר שניות התפרסמו ברשתות החברתיות סרטונים שבהם נראה הרופא נגרר מהמטוס בכוח כשפניו מדממות. האירוע היה דרמטי – ניהול המשבר בכלל וניהול ההד התקשרותי בפרט לא יכול היה להיות קלוקל יותר: ההצהרות הראשוניות של המנכ"ל לתקשורת היו הרסניות, דבר שהפך משבר נקודתי לחמור יותר והביא אותו לראש מבזקי החדשות בכל העולם. מניית החברה כמובן צנחה בעקבות האירוע.

מנגד, האירוע הטראגי של אייר-אסיה, שבו מצאו את מותם 162 אנשים בהתרסקות, מוזכר במאמרים רבים כדוגמה להתנהלות תקשורתית טובה בזמן משבר. מנכ"ל החברה בעצמו השתמש במדיה החברתית כדי לתקשר עם הציבור ולמזער סיכון של הפצת מידע שגוי. ה"ציוצים" שלו גילו מלכתחילה חמלה ודאגה ומינפו יחסי אמון. ראוי לציין כי לחברה הייתה אסטרטגיה למדיה חברתית שפותחה מבעוד מועד, ולמנכ"ל היו חשבונות/פרופילים פעילים מאומתים במדיה החברתית.

ואם במגזר התעופה עסקינן, ניתן גם לציין משבר מסוג אחר שאליו נקלעה חברת בואינג. ניתן לסווג משבר זה כמשבר טכנולוגי, שבו מהנדסים וטייסים התלוננו שהם מתקשים "להשתלט" על מטוס ה-737-מקס, והזהירו מקטסטרופה ובעייתיות של מערכת הבטיחות. כל זה לא מנע מבואינג להשיק בחופזה את המטוס. מותם של 346 אנשים בשתי התרסקויות גרמו למשבר החמור ביותר בחברה מאז הקמתה ב-1916. המנכ"ל הודח, המניה קרסה, ואמון הציבור בחברה שנחשבה לגאוותה של ארה"ב נפגע בצורה אנושה.

ראוי לציין כי היום יש חברות בין-לאומיות גדולות הנותנות שירותי ניהול משבר. ניתן להתקשר עם חברות אלה עם קרות המשבר (עלויות גבוהות) או בתשלום חודשי/שנתי למקרה שנכפה משבר (בעלות נמוכה יותר).

ביקורת פנימית על תהליך ניהול משברים

הדוגמאות שתיארנו לעיל, ועוד עשרות מקרים שהתרחשו לאחרונה, בעיצומו של עידן הקורונה, מאפשרים לנו להבין את גודל הסיכון שטמון באי היערכות של הארגון להתמודדות עם משברים.

לפיכך זוהי הזדמנות בלתי רגילה למבקרים הפנימיים בארגונים השונים להביא ערך להנהלה הבכירה ולדירקטוריון בנושא כה מהותי וקיומי לארגון.

כנושאים אופציונליים לתוכניות עבודה שנתיות, אנו מציעים לציבור המבקרים לכלול נושאים אלו:

  1. הערכת הממשל התאגידי של ניהול משברים, כולל היערכות ובניית מסגרת ומבנה ארגוני לניהול משברים, פיקוח ותרגול.
  2. בדיקת ניהול משברים מבוסס סיכונים, כולל סקר סיכונים תקופתי וזיהוי תרחישי משבר אפשריים.
  3. בחינת תוכנית לניהול סיכוני משברים – בנייה מראש של הנהגת משבר, הערכת אירוע ראשונית, ניהול כוח אדם, בניית ערוצי דיווח פנים ארגוניים, תקשורת ודיווח.
  4. בדיקת תרגול התוכנית לניהול משברים.
  5. בחינת הערכה ותחזוקה של תוכניות ניהול משברים.

סיכום

כפי שנוכחנו לדעת במשבר הקורונה, סיכון של התפרצות משברים הוא סיכון מהותי וקיומי, וצריך להיות חלק מניהול הסיכונים התאגידי. סיכונים אלה נתמכים גם בסקרים שונים שבוצעו בעולם עוד לפני משבר הקורונה.

חשוב שהארגון ייערך מראש על מנת לתת מענה לסוגי משברים מגוונים.

תרגול מעת לעת של התוכנית הוא קריטי להצלחה גבוהה יותר ומהירה יותר בעת משבר.

מודעות לסיכון היא צעד ראשון וחשוב. הַראו שהנושא הוא באג'נדה של הביקורת הפנימית. שוחחו עם ההנהלה ועם עדת הביקורת אודות סיכון זה, ושתפו ועדכנו את ההנהלה לאורך הדרך. זוהי הזדמנות לביקורת הפנימית להוספת ערך משמעותי.