ניהול סיכונים תאגידי – שילוב אסטרטגיה וביצועים – COSO13

מאמר זה מבוסס על מודלEnterprise Risk Management Integrating with Strategy and Performance , שפורסם ביוני 2017 על ידי COSO[1].

מבוא

בשנת 2004 פרסם ארגוןCOSO  מסגרת כוללת לניהול סיכונים. מטרת המסגרת היא לאפשר לארגון להגן על עצמו ולהוסיף לו ערך באמצעות ניהול סיכונים אפקטיבי ויעיל. אחת מהנחות היסוד בניהול הסיכונים היא שמקסום הערך של הארגון מושג כאשר ההנהלה: (1) מגדירה אסטרטגיה ויעדים ברורים. (2) פועלת לאיזון אופטימלי בין צמיחה ויעדי החזר ההשקעה. (3) מתפעלת ביעילות את משאביה. (4) מנהלת את סיכוניה.

המודל לניהול סיכונים של COSO חדר בהצלחה גדולה לארגונים רבים, גדולים כקטנים, הן במגזר הציבורי והן במגזר העסקי, ושימש כמודל אחיד ומקובל ברמה גלובלית.

ההבנה והניהול של הסיכונים הארגוניים התפתחו מאוד במהלך העשורים האחרונים. בעקבות השינויים הרבים שחלו בספקטרום ובאופיים של הסיכונים הארגוניים, ביוני 2017 פורסמה מסגרת COSO מעודכנת שזכתה לכינוי "ניהול סיכונים תאגידי – שילוב עם אסטרטגיה וביצועים". המסגרת החדשה משלבת את ניהול הסיכונים הקיימים במהלך העסקים הרגיל יחד עם אלה שבהתהוות. בנוסף, היא מדגימה כיצד שילוב ניהול הסיכונים התאגידי מסייע להאיץ את הצמיחה, לשפר את ביצועי הארגון, ומספקת מסגרת אחידה לקבלת החלטות למועצת המנהלים ולהנהלה. המסגרת מכילה עקרונות שניתן ליישם, החל מקבלת ההחלטות האסטרטגיות ועד ליישום אסטרטגיה זו באמצעות הפעולות התפעוליות השונות של הארגון.

השינויים העיקריים במסגרת החדשה לעומת הקודמת הם אלה:

• מספקת תובנה מקיפה יותר על הערך שיש בניהול הסיכונים התאגידי בעת הגדרת האסטרטגיה.
• משפרת את ההתאמה בין ביצועי הארגון וניהול הסיכונים, ובכך מאפשרת קביעה מושכלת יותר של היעדים ושל הבנת השפעות הסיכונים על ביצועי הארגון.
• מכירה בגלובליזציה של השווקים ובצורך ליישום גישה המתחשבת בתרבויות ובאזורים גאוגרפיים שונים.
• מציגה דרכים חדשות להצגת סיכונים, הגדרת יעדים והשגתם.
• מרחיבה את היקפי הדיווח על מנת לענות על הציפיות של בעלי העניין, תוך יצירת שקיפות גדולה יותר כלפיהם.
• מתאימה את עצמה להתפתחויות הטכנולוגיות, לגידול בכמות המידע הזמין, ולתמיכה בקבלת החלטות.
• קובעת הגדרות ליבה, רכיבים ועקרונות לכל רמות הניהול המעורבות בתכנון, ביישום ובניהול סיכונים תאגידי.

במאמר זה נפרט את מרכיבי המסגרת החדשה לניהול הסיכונים של COSO, ונדון באופן שבו ניהול סיכונים תאגידי משפיע על האסטרטגיה של הארגון ועל ביצועיו.

תפקידי ההנהלה בניהול סיכונים תאגידי

ככלל, ההנהלה נושאת באחריות הכוללת לניהול הסיכונים בארגון. ההנהלה גם אחראית להביא לדיון בדירקטוריון את הסוגיות הקשורות לסיכונים התאגידי ולכרוך אותם בדיונים לבחינת נושאים אסטרטגיים ותחרותיים.

ניהול סיכונים תאגידי אפקטיבי מעשיר את הדיאלוג בהנהלה באמצעות הוספת נקודות מבט לדיון בחוזקות ובחולשות של הארגון. הסתכלות זו הכרחית לדיון באסטרטגיות בתנאים משתנים ולבחינת התאמתה לארגון, בעיקר בזמנים שבהם ההנהלה בוחנת שינויים אסטרטגיים מהותיים.

תפקידי הדירקטוריון בניהול סיכונים תאגידי

תפקידו של הדירקטוריון הוא בראש ובראשונה לפקח על פעילות ההנהלה, על החלטותיה ועל נאותות ניהול הסיכונים בארגון. הדירקטוריון, בהיותו מורכב מאנשים בעלי ניסיון עשיר ומיומנויות מגוונות, גם מסייע להנהלה בעיצוב האסטרטגיה הארגונית ובתוכניות לקידום יעדי הארגון.

מסגרת ניהול הסיכונים התאגידי מספקת חומר גלם רב לדיון ולטיפול בנושאים שבאחריות הדירקטוריון, לדוגמה:

• הממשל התאגידי והתרבות הארגונית.
• אסטרטגיה ובחינת ביצועים.
• מידע, תקשורת ודיווח.
• תהליכים לשיפור ביצועי הארגון.

תפקיד הפיקוח של הדירקטוריון בנושא נאותות ניהול הסיכונים בארגון כולל בין השאר סקירה ובחינה של כל אלה:

• האסטרטגיה ותוכניות העבודה המוצעות על ידי ההנהלה.
• התיאבון לסיכון (RISK APETITE).
• התאמתם של היעדים האסטרטגיים והעסקיים ליעדים ולערכים המוצהרים של הארגון.
• בחינת החלטות עסקיות מהותיות, כולל רכישות ומיזוגים, הקצאות הון, מימון והחלטות הקשורות לדיבידנד.
• תגובה לתנודות בולטות בביצועי הארגון הנובעות משינויים במפת הסיכונים הארגונית.
• תגובה למקרים של חריגה מערכי הליבה של הארגון.

היתרונות של ניהול סיכונים תאגידי יעיל 

ארגונים המשלבים ניהול סיכונים תאגידי בפעילותם השוטפת נהנים מהיתרונות הבאים:

• הגדלת טווח ההזדמנויות: על ידי מיפוי נכון של הסיכונים, ההנהלה יכולה לזהות הזדמנויות חדשות ואתגרים ייחודיים.
• זיהוי וניהול הסיכונים: ההנהלה מזהה ומנהלת את הסיכונים הנרחבים ומשפרת את הביצועים.
• הגדלת התוצאות החיוביות והיתרונות תוך צמצום ההשלכות השליליות: ניהול סיכונים תאגידי מאפשר לגופים לשפר את יכולתם לזהות סיכונים ולספק להם מענה הולם.
• צמצום התנודות בביצועים: ניהול סיכונים תאגידי מאפשר לצפות את הסיכונים ולצמצם תנודתיות לא רצויה בביצועים.
• שיפור השימוש במשאבים: מידע על הסיכון מאפשר ניהול יעיל יותר של המשאבים ותעדוף פעילויות.
• שיפור עמידות הארגון: יכולת הקיום בטווח הארוך והבינוני של הארגון תלויה ביכולתו לצפות ולהגיב לשינויים, להתפתח ולשגשג. ניהול סיכונים יעיל מסייע להשיג מטרות אלו, וככל שקצב השינויים מואץ יותר והמורכבות העסקית עולה, כך ניהול הסיכונים הופך לקריטי יותר.

התחשבות בסיכונים בבחירת האסטרטגיה

בחירת אסטרטגיה נכונה היא אחד התהליכים המהותיים ביותר בארגון. יישום תהליכים של ניהול סיכונים תאגידי בקבלת החלטות אסטרטגיות עשוי לשפר באופן משמעותי את יכולת הבחירה של החלופות הטובות ביותר להשגת יעדי הארגון.

קיימים שני היבטים נוספים לניהול סיכונים תאגידי, העשויים להשפיע על הארגון:

• זיהוי מקרים שבהם האסטרטגיה אינה מתיישבת עם החזון, היעדים והערכים המרכזיים של הארגון.
• זיהוי טוב יותר של מגוון ההשלכות של האסטרטגיה שנבחרה.

על הדירקטוריון וההנהלה לוודא שהאסטרטגיה שנבחרה תואמת את הערכת הסיכונים והתיאבון לסיכון של הארגון, וכי ניהול הסיכונים התאגידי מתיישר לא רק עם האסטרטגיה אלא גם עם ביצועי הארגון.

האיור שלהלן ממחיש את השיקולים לעיל בהקשר של משימה, חזון, ערכי יסוד וביצועי הארגון.

[1] Committee of Sponsoring Organizations of the Treadway Commission.

מסגרת ממוקדת לניהול סיכונים תאגידי
מסגרת ניהול הסיכונים התאגידי כוללת חמישה מרכיבים הקשורים זה בזה:

1. ממשל ותרבות: ההנהלה קובעת את הצביון/האווירה (Tone) בארגון, מחזקת את חשיבות ניהול הסיכונים התאגידי וקובעת אחריות ופיקוח על תהליך זה. תרבות קשורה לערכים אתיים, להתנהגויות רצויות ולהבנת הסיכונים בארגון.
2. אסטרטגיה והגדרת יעדים: ניהול סיכונים תאגידי, אסטרטגיה והגדרת יעדים, משולבים במסגרת תהליך התכנון האסטרטגי. התיאבון לסיכון מבוסס ותואם לאסטרטגיה, והיעדים העסקיים מממשים את האסטרטגיה ומשמשים בסיס לזיהוי, להערכה ולתגובה לסיכון.
3. ביצועים: סיכונים שעלולים להשפיע על השגת האסטרטגיה והיעדים העסקיים צריכים להיות מזוהים ומוערכים. הסיכונים מדורגים לפי חומרתם, על פי התיאבון לסיכון. בהמשך הארגון בוחר את התגובה לסיכון, ועושה הערכה כוללת של כמות הסיכונים שנלקחו. התוצאות של התהליך הזה מדווחות לבעלי העניין בארגון.
4. סקירה ושינוי: על ידי סקירת ביצועי הארגון, הארגון יכול לשקול עד כמה רכיבי ניהול הסיכונים התאגידי פועלים לאורך זמן ולאור שינויים משמעותיים, ואילו שינויים נדרש לעשות.
5. מידע, תקשורת ודיווח: ניהול סיכונים תאגידי מחייב תהליך מתמשך של השגה ושיתוף מידע נחוץ, הן ממקורות פנימיים והן חיצוניים, הזורם כלפי מעלה וכלפי מטה וחוצה את הארגון.

חמשת המרכיבים הנ"ל, שהם חלק מהמסגרת החדשה של COSO, נתמכים על ידי מספר עקרונות (שיפורטו להלן). רמת הציות לעקרונות האלה מהווה אינדיקטור למדידת רמת הקיום או האי קיום של חמשת המרכיבים הראשיים של המסגרת החדשה לניהול הסיכונים הארגוניים.

רכיבים ועקרונות

המודל מפרט לכל אחד מחמשת הרכיבים הראשיים מספר עקרונות (20 עקרונות בסך הכול), שעל הארגון לקיים:

ממשל ותרבות

1. פיקוח של הדירקטוריון – הדירקטוריון מפקח על קביעת האסטרטגיה ועל אופן יישומה, הוא נושא באחריות על ממשל תאגידי, ותומך בהנהלה בהשגת האסטרטגיה והיעדים העסקיים.
2. מקים יחידות תפעוליות – הארגון מקים יחידות תפעוליות להשגת האסטרטגיה והיעדים העסקיים.
3. מגדיר את התרבות הרצויה – הארגון מגדיר את ההתנהגויות הרצויות המאפיינות את התרבות הרצויה בו.
4. מדגים מחויבות לערכי ליבה – הארגון ממחיש מחויבות לערכי הליבה שלו.
5. מושך, מפתח ומשמר עובדים בעלי יכולת – הארגון מחויב לפיתוח ההון אנושי בהתאם לאסטרטגיה וליעדים העסקיים.

אסטרטגיה והגדרת יעדים

6. מנתח הֶקשר עסקי – הארגון שוקל את ההשפעות האפשריות של הקשר עסקי על פרופיל הסיכון.
7. מגדיר תיאבון לסיכון – הארגון שוקל את התיאבון לסיכון בהקשר של יצירה, שימור ומימוש ערך.
8. מעריך אסטרטגיות חלופיות – הארגון מעריך אסטרטגיות חלופיות ואת השפעתן האפשרית על פרופיל הסיכון.
9. מפתח יעדים עסקיים – הארגון מעריך את הסיכון תוך קביעת היעדים העסקיים ברמות שונות, המיושרים עם האסטרטגיה ותומכים בה.

ביצועים

10. מזהה סיכון – הארגון מזהה סיכון המשפיע על ביצוע האסטרטגיה והיעדים העסקיים.
11. מעריך את חומרת הסיכון – הארגון מעריך את חומרת הסיכון.
12. מתעדף סיכונים – הארגון מתעדף סיכונים כבסיס לבחירת תגובות לסיכונים.
13. מיישם תגובות לסיכון – הארגון מזהה ובוחר תגובות לסיכון.
14. מפתח תיק סיכונים – הארגון מפתח ומבצע הערכה של תיק הסיכונים.

סקירה ושינוי

15. מעריך שינוי מהותי – הארגון מזהה ומעריך שינויים העשויים להשפיע באופן מהותי על האסטרטגיה ועל היעדים העסקיים.
16. סוקר סיכון וביצועים – הארגון סוקר את ביצועי היחידה הארגונית ומתייחס לסיכון.
17. שואף לשיפור ניהול הסיכונים התאגידי – הארגון שואף לשיפור ניהול הסיכונים התאגידי.

מידע, תקשורת ודיווח

18. ממנף מערכות מידע – הארגון ממנף את המידע והמערכות הטכנולוגיות של היחידה הארגונית על מנת לתמוך בניהול הסיכונים התאגידי.
19. מתקשר מידע על סיכון – הארגון משתמש בערוצי תקשורת לתמיכה בניהול הסיכונים התאגידי.
20. מדווח על סיכון, תרבות וביצועים – הארגון מדווח על סיכון, תרבות וביצועים ברמות השונות שלו ולרוחבו.

הקשר בין מסגרת ניהול הסיכונים התאגידי לבין מודל הבקרה הפנימית

בנוסף על מסגרת ניהול הסיכונים התאגידי, בשנת 2013 פרסם ארגון ה-COSO מסגרת אחידה לבקרה הפנימית (Internal Control – Integrated Framework)[1]. מודל זה שואף לאפשר לארגונים לפתח ולתחזק ביעילות מערכת בקרה פנימית כדי לתמוך בהשגת יעדי הארגון ובהתאמת פעולותיו לשינויים בסביבה העסקית והתפעולית.

המודל זוכה לאימוץ ולשימוש נרחב ברחבי העולם, והוא מוכר כמודל המוביל לתכנון של הבקרה הפנימית, לעיצובה, ליישומה ולהערכת האפקטיביות שלה בארגון.

חשוב להדגיש ששתי המסגרות, המסגרת לניהול סיכונים תאגידי והמסגרת לבקרה הפנימית, שונות זו מזו במיקוד. הן אינן תחליפיות, אלא דווקא משלימות.

ההזדמנות לביקורת הפנימית

מסקרים על תפקידי המבקר הפנימי בארגונים שונים, עולה כי רק חלק מיחידות הביקורת הפנימית מעורבות בתהליך ניהול הסיכונים. האופנים שבהם מעורבת הביקורת הפנימית בתהליך שונים מארגון לארגון, החל מסיוע לאיסוף נתונים וכלה במעורבות פעילה יותר בתכנון המערך ויישומו.

נייר עמדה של ה-IIA בנוגע לתחומי הסמכות והאחריות בניהול סיכונים תאגידי, מספק מדריך שימושי לאפשרויות ולמגבלות של המבקר הפנימי בנוגע למעורבותו בניהול הסיכונים התאגידי.

מבקר פנימי השואף ליצור ערך לארגון ולביקורת הפנימית, צריך להבין את עקרונות ניהול הסיכונים התאגידי ולשלבם בתהליכי הביקורת הפנימית השוטפים.

המסגרת החדשה לניהול סיכונים תאגידי מספקת הזדמנות למבקר הפנימי להתמחות בתחום ולהפוך לאיש מפתח, כיועץ להנהלה בכל הנוגע לארגון, לתכנון וליישום של המסגרת החדשה לניהול הסיכונים התאגידי.

מבט לעתיד
אין ספק כי גם בעתיד ארגונים ימשיכו להתמודד עם תנודתיות, מורכבות ועמימות. ניהול סיכונים תאגידי יהיה חלק חשוב ובלתי נפרד מניהול הארגון והצלחתו. הארגון צריך להציג יכולת תגובה יעילה לשינוי, כולל קבלת החלטות ויכולת הסתגלות מהירות, תוך שמירה על רמות גבוהות של אמון בקרב בעלי העניין. כאשר אנו בוחנים את העתיד, המגמות הבאות ישפיעו על ניהול הסיכונים התאגידי:

·         התמודדות עם ריבוי נתונים ומידע: בעידן שבו כמות המידע הזמין גדל לממדים עצומים, ובו-בזמן המהירות שבה ניתן לנתח נתונים חדשים עולה, ניהול הסיכונים בארגון חייב לעבור התאמה. הנתונים יגיעו הן מהארגון והן מחוצה לו, ויהיו מובנים בדרכים חדשות. כלי ניתוח מתקדמים וכלים להדמיית תסריטים שונים יתפתחו ויעזרו מאוד בהבנת הסיכון והשפעותיו – הן החיוביות והן השליליות.·         מינוף אינטליגנציה מלאכותית ואוטומציה: העולם המודרני מרגיש היטב את השפעת תהליכי הדיגיטציה והאינטליגנציה המלאכותית. חשוב לשקול את ההשפעה של הטכנולוגיות הקיימות והעתידיות, ולמנף את יכולות ניהול הסיכונים בהתאם.·         ניהול עלות ניהול הסיכונים: מנהלים רבים מביעים דאגה לגבי העלות הכרוכה בניהול סיכונים, במיצוי תהליכי ציות ובפעולות בקרה. לפיכך עולה השאלה של ROI או עלות-תועלת. ככל שיתפתחו תהליכי ניהול הסיכונים התאגידי, כך תגבר התועלת לארגון והתשואה להשקעה בו תלך ותגדל. התפתחות זו עשויה ליצור הזדמנויות עבור ניהול סיכונים תאגידי ולהגדיר מחדש את חשיבותו לארגון.·         בניית ארגונים חזקים יותר: ככל שהארגונים משתפרים בהטמעת תהליכי ניהול סיכונים תאגידי, כך הארגון מתחזק. היכרות והבנה של הסיכונים בארגון (ובמיוחד סיכונים שההשפעה שלהם מהותית), וכן שימוש בתהליכי ניהול סיכונים תאגידי, מסייעים ליכולת הארגון לשרוד, לתת מענה אפקטיבי ומהיר לסיכון, ואף ליצור הזדמנויות חדשות. 

סיכום

ניהול הסיכונים התאגידי יצטרך לעבור שינוי מהותי ולהתאים את עצמו לעתיד כדי לתמוך באופן עקבי ושיטתי בקבלת החלטות ניהוליות, הן בתחום האסטרטגי והן בתחום התפעולי השוטף. עם המיקוד הנכון, היתרונות הנגזרים מניהול סיכונים תאגידי יעלו בהרבה על ההשקעות ויספקו לארגונים אמון ביכולתם להתמודד עם אתגרי העתיד.

[1] חידוש למודל משנת 1992.

אודות הכותב/ת

דוד ניסים

אודות הכותב/ת

דני פרידמן

אודות הכותב/ת

דרור בר משה

רו"ח, CRISC ,CISA ,CRMA ,LLM ,CIA
סגן מבקר ראשי, אמדוקס

[email protected]