איומים חיצוניים ואסטרטגיות לניהולם
על ברבורים שחורים וחיות אחרות: איומים חיצוניים ואסטרטגיות לניהולם
סדרת ספרי הפנטזיה "שיר של אש ושל קרח", שעובדה לסדרה הטלוויזיונית המפורסמת משחקי הכס, היא אלגוריה לסכנה שמציב משבר האקלים לעתיד האנושות. "החורף מגיע" עם צבא המתים שמאיים להחריב את עולם בני האדם, בעוד אלו עסוקים ביריבויות פנימיות בין מנהיגים ומשפחות על יוקרה, ממון, שליטה וטריטוריה. יותר מהצגת הסכנה של משבר האקלים, הסדרה מבליטה את הקושי של בני האדם לעשות את הדרוש כדי להתמודד עם הסכנה הקיומית הזו, גם כשהיא מידפקת על דלתם.
מטאפורה זו מתאימה גם לתיאור המצב הכללי של אופן ההתמודדות של ארגונים עם איומים חיצוניים המאיימים עליהם. עבור ניהול סיכונים פנימיים (כגון סיכונים תפעוליים, מעילות והונאות, או אי ציות לרגולציה), עומדים כיום לרשותם של ארגונים כלים טובים תחת המסגרת של ניהול סיכונים ארגונִי (ERM). לעומת זאת, אין כיום הנחיות רגולטוריות מחייבות ואין מנגנונים מסודרים לניהול איומים חיצוניים. במידה רבה, הפער הזה קשור באופי המתעתע והמורכב של איומים חיצוניים, שמקשה להבינם ולטפל בהם.
הפער הופך למשמעותי יותר בשנים האחרונות, מכיוון שתכיפות הופעתם של איומים חיצוניים הולכת ועולה. תהליכי הגלובליזציה בעשורים האחרונים הובילו לכך ש"הכול קשור בהכול" – חסמים ובידולים בין מדינות ושווקים פחתו ואף נעלמו, מה שמוביל לאפקט "משק כנפי הפרפר", שבו אירוע באזור גאוגרפי ובשוק מסוים מקרין ומשליך על אזורים ושווקים אחרים. בנוסף, הגידול האקספוננציאלי בכמויות המידע ובקצב החדשנות הטכנולוגית יוצר 'שיבושים' (Disruptions) המערערים את הסדר הקיים בכל תחומי החיים ובקצבים גבוהים מבעבר.
במאמר הנוכחי נבקש לשפוך אור על האיומים החיצוניים – אילו סוגי סיכונים הם כוללים, מהן הטעויות הנפוצות באופן ההתמודדות עימם, ואילו אסטרטגיות יכולות לשפר את החוסן הארגוני מולם.
איומים חיצוניים – חיה מסוג אחר
איומים חיצוניים הם סיכונים הנמצאים מחוץ לשליטתו של הארגון והוא אינו יכול להשפיע על עצם התרחשותם. זהו הבדל מהותי מסיכונים פנימיים, ולכן בשונה מהם, לא ניתן לטפל באיומים חיצוניים במסגרת הקלאסית של מנגנון ה-ERM. כך למשל, ארגון יכול לנקוט צעדים לצמצום הסבירות להתרחשותה של מעילה בשורותיו (סיכון פנימי), אך הוא אינו יכול למנוע את הסבירות להתממשותה של רעידת אדמה (איום חיצוני).
איומים חיצוניים יכולים להופיע בדמות אירועי קיצון או כתהליכים מתפתחים. למשל, משבר האקלים מייצר איומים מתפתחים כמו תהליכי מִדבּוּר (התפשטות של מדבריות) או עליית פני הים, לצד אירועי קיצון דוגמת הצפות ושריפות.
אחת הדרכים הנוחות והיעילות לסווג ולזהות איומים חיצוניים (איומי קיצון ואיומים מתפתחים), היא באמצעות החלוקה המקובלת לשש משפחות של תופעות ומגמות גאו-אסטרטגיות, הידועות בראשי התיבות PESTEL:
- Political: איומים פוליטיים יכולים לנבוע משינויי מדיניות כלכלית (דוגמת מיסוי או חוקי עבודה), משינויים במצב היציבות הפוליטית (ברמה הלאומית, האזורית והבינלאומית), משינויים במדיניות סחר החוץ (דוגמת מכסים, ניתוק יחסים בין מדינות), או כתוצאה ממשברים ביטחוניים וצבאיים.
- Economic: איומים כלכליים יכולים לנבוע מתמורות מקרו-כלכליות דוגמת שינויים בשיעורי צמיחה, אינפלציה, אבטלה, ריבית, וכדומה (לדוגמה, משבר הסאב-פריים של 2008).
- Social: איומים חברתיים יכולים לנבוע ממגמות בחברה, דוגמת העדפות תרבותיות חדשות, הִשתנות של שוק העבודה, או שינויים בהרגלי הצריכה. מחאת הקוטג' ב-2011 היא דוגמה בולטת למגמה כלכלית-חברתית שהתפתחה לכדי איום על חברות בתעשיית המזון.
- Technological: באיומים טכנולוגיים הכוונה אינה רק לאיומי סייבר ופגיעה בתשתיות דיגיטליות, אלא גם לחדשנות משבשת (Disruptive innovation), כלומר חידושים טכנולוגיים שיכולים להוליד מוצרים, שירותים ומודלים עסקיים חדשים שמשנים את השוק (השפעות המדיה החברתית על עולם הפרסום, השפעת Ebay ואמאזון על דפוסי הקנייה, השפעת המודל העסקי של Uber על שוק המוניות, ועוד).
- Environmental: אסונות טבע, אסונות בריאותיים (דוגמת מגפות) ונזקי משבר האקלים יכולים להסב פגיעה חמורה לארגונים, כפי שנוכחנו לדעת בשנתיים האחרונות בעקבות התפשטותה של מגפת הקורונה ושורה של אסונות טבע שתדירותם גוברת בעקבות ההתחממות העולמית.
- Legal: שינויים ומגמות ברגולציה ובחקיקה יכולים לחשוף ארגונים לאיומים משפטיים של אי ציות וחשיפה לתביעות, אם לא ייערכו אליהן בזמן. אין הכוונה להנחיות מחייבות קיימות (שכן אלו מטופלות במסגרת תהליכי בקרה וציות שהארגון אמור להכיר וליישם), אלא לטרנדים, רעיונות והתפתחויות שניתן להעריך כי יתורגמו בהמשך להנחיות מחייבות. למשל, סביר להניח כי האיום הגובר של תקיפות סייבר יעמיק רגולציות והנחיות המחייבות בתחומי ההגנה בסייבר, אבטחת המידע והגנת הפרטיות.
תרנגול ההודו ובת היענה – אסטרטגיות כושלות לטיפול בברבורים שחורים
מאז פרסום ספרו רב המכר ורב ההשפעה של נסים טאלב, "הברבור השחור", הפך המושג לשם נרדף לאיומים חיצוניים מפתיעים ודרמטיים בהשפעתם. טאלב מסביר כי עוצמת ההפתעה והנזק של הברבורים השחורים נובעת מהאשליה כי אנו יכולים לחזות את הופעתם. אנו בונים נרטיב של סיבתיות שהובילה כביכול להתרחשותם, אך אין זו אלא רציונליזציה בדיעבד, והיא גורמת לנו לדבוק באשליה שנוכל לחזות את הסתברות הופעתם של הברבורים השחורים בעתיד אם רק נלמד מהעבר ונשפר את יכולות החיזוי שלנו.
טאלב המחיש את אשליית החיזוי באמצעות משל תרנגול ההודו. התרנגול נהנה מחיים נוחים בחווה ומקבל מדי יום אוכל מידיו של החוואי. ככל שעוברים הימים עולה מידת ביטחונו בכוונותיו הטובות של החוואי, שכן הוא מקבל עוד ועוד עדויות ליחסו החיובי כלפיו. אולם כעבור מספר חודשים מגיע חג ההודיה, והתרנגול נשחט ומוגש בארוחת החג. הטעות של תרנגול ההודו נבעה מכך שניתח את מצבו באמצעות חשיבה לינארית וסטטיסטית המסתמכת על עדויות מן העבר, אך אלו אינם רלוונטיים לחיזוי האירוע שהוביל למותו. איומי העתיד מתרחשים כתוצאה מאקראיות וצירופי נסיבות שבאופן מעשי איננו יכולים לחזות מראש או להעניק סבירויות להתרחשותן.
מקור אחר לכשלי התמודדות עם איומים חיצוניים נובע ממה שניתן לכנות גישת בת היענה, המתאפיינת בהתעלמות מהאיומים ומהצורך לטפל בהם. ארגונים רבים אינם מקפידים לקיים מנגנונים מסודרים ושיטתיים למעקב וניתוח של אירועים, התפתחויות ומגמות בסביבתם החיצונית, אף שביכולתם לסרוק ולאתר איומים מתקרבים (כמו גם הזדמנויות חדשות). לעיתים, איומים משמעותיים אינם מטופלים בשל קושי מנטלי להכיל אותם או חוסר אמונה ביכולת להתמודד עימם, מה שמפעיל מנגנוני הדחקה דוגמת האמונה כי "לי זה לא יקרה". במקרים אחרים, איומים אינם מטופלים בשל גישה של אחריות מצמצמת ("זה לא באחריותי"), במיוחד בתרבות ארגונית שמודדת רק הצלחות בטווח הזמן הקצר.
לעומת הגישות הבעייתיות הללו להתמודדות עם איומים חיצוניים, ניתן להציע מסגרת התמודדות אחרת ויעילה, המשלבת בין שתי אסטרטגיות משלימות:
- בניית תוכניות חוסן מול איומים חיצוניים ראשיים שהארגון מזהה ומגדיר.
- במקביל, פיתוח תרבות אג'ילית וחסינה, שתסייע לארגון להתכונן מבעוד מועד להתאושש מברבורים שחורים שיפתיעו אותו.
טיפול בקרנפים האפורים של הארגון – תוכניות חוסן כמענה לאיומי ייחוס
אומנם, כפי שהסביר טאלב, איננו יכולים לחזות באופן מלא ומדויק את כל האיומים העתידיים ואת אופי ומועד התרחשותם, אך אנו בהחלט יכולים לסמן ולהגדיר חלק חשוב מתוכם. אלו הם "הקרנפים האפורים" (מושג שטבעה מישל ווקר) – איומים מהותיים שאם לא נסיט את מבטנו מהם כיום, נוכל לזהות על נקלה כי הם שועטים לעברנו כמו קרנפים.
את "הקרנפים האפורים" ניתן לנהל באמצעות תוכניות חוסן, הכוללות חמישה שלבים של גיבוש והוצאה לפועל:
- מיפוי: יצירה של רשימת איומים רחבה. הרשימה צריכה לכלול ולפרוס את כל האיומים שיש סבירות ממשית להתרחשותם, אך ללא צורך לדרג את האיומים לפי מידת ההסתברות של התרחשותם.
- סינון: ננפה מהרשימה איומים מרכזיים שהארגון כבר ערוך ומוכן להתמודד עימם כיום. בנוסף, ננפה את האיומים השוליים יותר (בין אם הארגון ערוך אליהם או אינו ערוך כיום להתמודד עימם). רשימת האיומים המצומצמת שעימה נותרנו מהווה את "איומי הייחוס" של הארגון – האיומים המהותיים שאליהם צריך הארגון להיערך ולהתכונן.
- אפיון: בניית תמונה מפורטת על כל אחד מאיומי הייחוס – תיאור של המצב הנוכחי, של מגמות מסתמנות, של כיווני התפתחות אפשריים, ושל דרכים שבהן האיומים יכולים לבוא לידי מימוש. למשל, תרחיש של רעידת אדמה יכלול בין היתר מִנעד של הערכות בנוגע לממדי הנזק בגוף ובנפש.
- תכנון: לאחר שיש בידינו אפיון מפורט של כל איום ייחוס, נגזור ממנו תרחיש ייחוס – זוהי מעין קביעה ארגונית "שרירותית" של מתאר חמור-סביר של התממשות האיום, במטרה לספק מצפן להיערכות. למשל, בדוגמת רעידת האדמה, תרחיש הייחוס יגדיר כמות ספציפית של נפגעים בגוף והיקף ספציפי של נזק לתשתיות. על בסיס תרחיש הייחוס, הארגון יגבש תוכנית חוסן שתטפל באופן מערכתי בכל ההיבטים הדרושים לבניית המוכנות (הגדרת נהלים, תרגולים, הגדרת רף מינימלי של גיבויים לחירום, רזרבות כספיות, ועוד).
- ביצוע: הוצאת תוכניות החוסן לפועל – אין הכוונה למימוש תוכניות בזמן חירום, אלא ליישום של צעדי מוכנות שנדרש לבצע בזמן שגרה ובמסגרת תוכנית עבודה מסודרת כחלק מבניית המוכנות לתרחישי המשבר. זהו החלק החשוב ביותר אך גם הקשה בתהליך, והוא נוטה להיתקל בקשיים רבים דוגמת אילוצים כספיים, העדפת הדחוף על פני החשוב, או קושי לגייס משמעת ארגונית לתהליכים חוצי-יחידות וארוכי טווח.
| שלב | הגדרה | דוגמה |
| מיפוי | יצירה של רשימה רחבה ו'שטוחה' (ללא דירוג סבירויות) של קשת האיומים החיצוניים | שינויים בשוק העבודה המובילים לאתגר בתחום ההון האנושי; אסונות טבע ובריאות; מלחמה; כניסת טכנולוגיות חדשות; נזקי התחממות גלובלית, משבר כלכלי, ירידות/עליות מחירים, מגמה רגולטורית מגבילה… |
| סינון | ניפוי איומים מהותיים שהארגון ערוך אליהם וניפוי איומים שוליים | |
| אפיון | בניית תמונה מפורטת על כל אחד מאיומי הייחוס (האיומים שנותרו לאחר שלב הסינון) | הון אנושי: ביקוש יורד למקצועות בענף, ירידת איכות במאתר כוח האדם, תחרות גוברת על כוח אדם מול המתחרים, וכדומה. |
| תכנון | גיבוש תרחישי ייחוס ובניית תוכניות חוסן | תרחיש ייחוס: ירידה של 25% במאתר לגיוס בחמש השנים הקרובות, ירידה של 15% בכשירויות היסוד של כוח האדם המגויס, וכדומה.
תוכנית החוסן: גיבוש תוכנית אסטרטגית שתיתן מענה מערכתי לכל שרשרת הערך של ניהול ההון האנושי (מיון וגיוס, קליטה, שימור וכו'). |
טבלה להמחשה ופישוט של ההסבר על שלבי בניית תוכניות החוסן. צריך להפוך אותה לאמצעי אינפוגרפי מושך יותר
פיתוח תרבות ארגונית אג'ילית שיודעת להתאושש מברבורים שחורים מפתיעים
טיפול בקרנפים האפורים של הארגון עדיין משאיר את הארגון חשוף לפגיעתם של איומים אחרים שהוא לא זיהה ואליהם לא נערך. ארגונים צריכים לפעול תחת הנחת עבודה בסיסית שלפיה הם יופתעו מברבורים שחורים. אולם כיצד עליהם להיערך למה שהם לא יודעים שהם לא יודעים?
כיוון המענה אינו יכול להגיע מתוכנית חוסן ספציפית, אלא מפיתוח אג'יליות ארגונית בסיסית. מדובר במסע ארוך ומורכב שחוצה את הארגון לאורכו ולרוחבו, ונוגע בתרבות, בקודים ובתהליכי העבודה. זהו מסע לא פשוט, אך בכוחו להכין את הארגון להתמודד באופן טוב יותר עם אסונות מפתיעים שפוקדים אותו, ולהקנות לו את הכלים להתאושש במהירות ואף למנף את המשבר כהזדמנות לצמיחה.
פיתוח יכולות בסיסיות להתאוששות מהפתעות ברבור שחור, מחייב להטמיע מספר ערכים, מנגנונים ואסטרטגיות פעולה בארגון:
- למידה חיצונית ("סריקת האופק"): כדי לזהות איומים (וגם הזדמנויות) בהקדם האפשרי, על ארגונים לדאוג להפנות את מבטם גם כלפי חוץ, ולעסוק באופן שיטתי בסריקה של הענף והשוק שבו הם פועלים, של הסביבה העסקית הרחבה יותר, ואף של מגמות גאו-אסטרטגיות רחבות.
- התנסויות בחדשנות: עיסוק בחדשנות, שמנביט כיווני פעולה חדשים של הארגון, מבטיח לא רק יצירה של מנועי צמיחה עבור הארגון, אלא גם פותח עבורו אופציות חדשות במקרה שתהליכי העבודה והמודלים העסקיים הנוכחיים שלו נפגעים באירוע קיצון או מאבדים רלוונטיות כתוצאה מאיום מתפתח. התנסות בחדשנות מחייבת הקצאת משאבים של זמן, כסף וכוח אדם, אך לא פחות חשוב מכך – ההנהלה נדרשת להעביר מסר ברור שמעודד רוח של יזמות תוך נכונות לשלם על כך מחירים, ולהתייחס לטעויות ולכישלונות כמקורות ללמידה ולא כסיבות לענישה.
- העצמת עובדים: רגעי משבר מתאפיינים בצורך לקבל החלטות מהירות ורבות בתנאי אי ודאות חריפה. במצבים כאלו שליטה ריכוזית בכל תהליכי קבלת ההחלטות אינה מספיקה ולעיתים אף תהיה בעוכריו של הארגון. מי שיכול לא פעם "להציל את המצב" הם דרגי ניהול נמוכים ודרג העובדים בארגון, שיפעלו מעבר לתחומי אחריותם הישירה, יגלו תושייה ויפגינו יוזמה גם תוך חריגה מהנהלים ומתהליכי העבודה המקובלים. כדי לצפות להתנהגות שכזו מעובדי הארגון במצבי משבר, צריך להנהיג גם בשגרה תרבות ארגונית פתוחה ומעצימה, שמעניקה לעובדים סמכויות, משתפת אותם במידע, מאפשרת להם להשמיע ביקורת כלפי מעלה, ומעודדת אותם ליטול אחריות ולגלות עצמאות ויוזמה, תוך סובלנות לטעויות שנעשו בתום לב ומתוך חתירה לקידום טובתו של הארגון.
- הטמעת מנגנוני יתירות ופיזור סיכונים: ארגונים מקדשים תהליכי ייעול ואופטימיזציה, כעקרונות חשובים לשיפור ביצועים, אך ברגעי משבר הם עלולים לחשוף את הארגון לפערים במשאבים הדרושים לצלוח את המשבר. שמירה על עתודות (פיננסיות ואחרות), הקפדה על גיבויים (לא רק של מאגרי מידע) ואף יצירת כפילויות בתשתיות מסוימות, הן דוגמאות לרשתות ביטחון ליום סגריר, ועל הארגון למצוא את שביל הזהב בינן לבין שיקולי היעילות.
לסיכום, בפרפרזה על אמרתו של רבי עקיבא: הכול לא צפוי, והרשות נתונה. העתיד צפוי לזמן לנו אירועי קיצון ואיומים מתפתחים שונים ומשונים, אך בידינו הבחירה לפעול מבעוד מועד כדי לצמצם את נזקיהם, ולעיתים אף למנף אותם כהזדמנויות לצמיחה. ארגון שחרד לשרידותו ולשגשוגו חייב להתחיל לנהל את האיומים החיצוניים שלו באופן שיטתי, כחלק מאסטרטגיה ארגונית כוללת.
אודות הכותב/ת
עופר גוטרמן
אודות הכותב/ת
שרון ויטקובסקי טביברו"ח, CIA ,CRMA
עורכת כתב העת סגנית נשיא ויור ועדת מידע ופרסומים
שותפה BDO זיו האפט
