עשרה צעדים בדרך ליישום ERM בארגון

עניינו של ERM הוא בבניית יכולות ניהול סיכונים חוצות ארגון. ERM אינו מטרה בפני עצמה, אלא אמצעי במטרה לתמוך ביעדי הארגון. לכן, בכדי שתהליך ERM יהיה יעיל, עליו להתמקד בלספק ערך לחברה.

אין דרך ברורה שבה ניתן ליישם ERM באופן שיספק בוודאות ערך לחברה, אך ישנם קווים מנחים שיכולים לסייע בתהליך זה.

להלן 10 צעדים שניתן לנקוט במטרה ליישם תהליך ERM בחברה.

1. הגדירו את הערך שהארגון שלך יקבל מתהליך ה-ERM

קיים קושי לאמוד את תרומת הליך ה-ERM במדדים מוכרים כמו תשואה על השקעה, תשואה על ההון, תשואה על הנכסים או תשואה מבוססת סיכון על ההון. יש חברות שמנסות לבחון את תרומת הליך ה-ERM דרך הגדרות כמו ערך לבעלי המניות, צמצום סיכונים, מיזוג תהליכים ועוד. פרמטרים אלה אינם פשוטים למדידה, וקשה להסביר את הערך בהם להנהלה ולדירקטוריון.

על מנת להגדיר את הערך של הליך ה-ERM לחברה, יש למצוא תחילה הערך שהחברה מנסה לייצר ועל אילו ערכים היא מנסה לשמור. ערכים לדוגמא יכולים להיות העלאת שווי המניה, הגדלת הרווחיות, הקטנת התנודתיות במחיר המניה, הגדלת נתח שוק וכו'.

לאחר הגדרת אותם ערכים, יש לבחון איך הליך ניהול הסיכונים תורם לקדם את אותם ערכים באופן מדיד.

2. בחנו ולימדו סטנדרטים ומסגרות עבודה שונים

 

לא קיימת דרך אחת בלבד להגדיר סיכון ולנהל אותו. על מנהל הסיכונים לעצב באופן פרטני את אופן ניהול הסיכונים בחברה הרלוונטית. יחד עם זאת, בחינה של המודלים המרכזיים בתחום יכולה בהחלט לסייע בגיבוש הבנה כיצד ליישם הליך ERM בחברה הספציפית[1]. בבחינת שיטות שונות לניהול סיכונים ניתן למצוא מספר עקרונות ליבה שחזרו כמעט בכולם כמו:

• תמיכת ההנהלה.
• הליך מובנה בעל שלבים מוגדרים.
• דיווח ופיקוח על הסיכונים שנמצאו.
• הגדרת תאבון לסיכון.

ועוד.

במחקר נמצא כי 44% ממנהלי הסיכונים בצפון אמריקה מעדיפים לאמץ עקרונות נבחרים ממספר מודלים, ולא מודל אחד באופן מלא.

3. מפו את הפעילויות שהארגון שלך כבר מבצע

לרוב קיימים כבר בארגונים מגוון של בקרות לסיכונים מוכרים וידועים. אמנם אין המדובר בניהול סיכונים כולל, אך זוהי התחלה. שילוב הליך ה-ERM בפעילויות הקיימות יסייע ביישום ההליך וצמצום ההתנגדות הטבעית הקיימת בארגון לתהליכים מעין אלה.

4. חפשו תמיכה ועזרה

יישום הליך ERM אינו מהלך שיש ליישם לבד. לגורמים רבים בארגון יש זכות לגיטימית להיות חלק מההליך. הם יכולים להיות גורם מסייע או מכשול משמעותי בדרך. חשוב לרתום עובדים שיכולים לסייע ביישום המודל בפעילות השוטפת. התומך המרכזי בקידום הליך ERM בארגון צריך שיהיה מנהל בכיר, ועדיף יותר מאחד. דרך אפקטיבית לרתום קבוצה של אנשים היא להרכיב צוות עבודה שמורכב מעובדים מרכזיים ביחידות השונות כמו מכירות, ייעוץ משפטי, חשבות ועוד.

גם תמיכה מגורמים חיצוניים יכולה לסייע. גורמים כמו המבקר החיצוני או יועצים מקצועיים יכולים לתמוך בתהליך. החיסרון בגורמים חיצוניים הוא הסיכון בחשיפת מידע פנימי או סודי של החברה. לכן יש להקפיד על הסכמי סודיות מקיפים.

5. שמרו על פשטות

לאחר שהגדרנו מדוע אנו מבצעים הליך ERM ואת תרומתו לארגון, יש לבנות הליך שאינו מורכב עבור המשתתפים בו. את המסרים יש להעביר בקצרה. לא יותר משתי דקות לנושא. יש להימנע משימוש במונחים מקצועיים מורכבים ועדיף להיעזר באמצעים חזותיים כמו גרפים ומצגות.

חשוב למקד את המסרים ביעדי הארגון ולא בהליך ניהול הסיכונים. את העובד בקצה התהליך פחות מעניין הליך ניהול הסיכונים. הוא ממוקד בהשאת ערך לארגון. גם בהליך ההכשרה לעובדים יש לשמור על פשטות, ועל מתן כלים פשוטים לשימוש ולתפעול.

6. התחל בקטן

הליכי ERM מוצלחים התחילו בהתמקדות בתחומים מסוימים בארגון או במטרה ממוקדת אחת. יישום הליך מוצלח, הכולל תהליך מובנה, יישום מוצלח ובקרה סדורה מסייע בהמשך להטמיע הליכים דומים ביחס ליעדים אחרים. יש בו גם כדי לסייע לפרטים בארגון להכיר טוב יותר את התהליך ומחזק את התמיכה הארגונית הפנימית בחברה.

7. ניצחונות קטנים

אל תנסו לכסות כל סיכון אפשרי. התמקדו בסיכונים המרכזיים ליעדים האסטרטגיים של החברה. הצלחה באיתור סיכונים אלה, וטיפול בהם באופן שמסייע לחברה להגשים את יעדיה המרכזיים, מגדילה  את הסיכוי לייצר ערך במהירות ובאופן שיוכר על ידי הארגון.

הליך מוצלח יאפשר גם לבחון את תפיסת ההנהלה ביחס לקיחת סיכון ויסייע בהבנת התרבות הארגונית בנוגע לניהול סיכונים.

8. קביעת אחראי לכל סיכון

מי שצריך להיות אחראי על הטיפול הסיכון בארגון הוא הפונקציה הניהולית בה נוטלים את הסיכון. יחד עם זאת, ישנם סיכונים שאין להם "כתובת" ברורה. למשל דליפת מידע אינה סיכון שניתן לשייך למנהל מסוים. על מנהל הסיכונים לוודא כי לכל סיכון יש גורם אחד, ואחד בלבד, בארגון, שאחראי על ניהולו ויישום החלק בתוכנית ניהול הסיכונים ביחס אליו. גם אם אותו גורם ידרש לסיוע מעובדים אחרים בארגון, תיוגו כאחראי על הסיכון הספציפי יסייע בקידום הנושא על ידו, וידחף אותו להיות אקטיבי יותר.

9. דווח על התקדמות

דיווח על התקדמות הוא חלק מהעברת המסר אודות הערך של הליך ERM לארגון ודרך נוספת להטמיע את התהליך בארגון. על היחידות השונות ונוטלי הסיכון השונים לדווח בשוטף למנהל הסיכונים. יש לדווח על אופן ההתקדמות בתוכנית ניהול הסיכונים באותו התחום, קשיים ואתגרים ביישום התוכנית, ממצאים מרכזיים ביחס לסיכון הספציפי וניתוח מגמות על פני זמן. בנוסף יש לדווח תקופתית להנהלה הבכירה ביחס לסטטוס ההתקדמות ביישום תוכנית ה-ERM תוך התייחסות לאבני הדרך שנקבעו.

10. לשכנע בנחיצות המהלך

יישום אפקטיבי של ERM אינו תלוי רק בפרמטרים מקצועיים. יש לשווק את התהליך לגורמים השונים בארגון. אנשים נוטים לתמוך בתהליך שהם רואים כבעל ערך עבורם ועבור היעדים החשובים להם בארגון. הצגת היתרונות בתהליך עבור אותם גורמים, עדיפה על שכנוע ההנהלה הבכירה שתנחית על העובדים את יישום הליך ה-ERM. יש חשיבות לפעילות שתשכנע את המשתתפים בתהליך שהמדובר במסגרת שיוצרת ערך עבור הארגון בכלל ועבורם בפרט.

[1] קיים דוח של RIMS משנת 2011 שבחן 6 שיטות שונות לניהול סיכונים.