ניהול סיכונים

בכדי לייצר הזדמנויות צריך לנהל סיכונים

ERM (ניהול סיכונים כולל)

בכדי לאפשר לארגונים למזער ולנהל את מכלול הסיכונים להם הם חשופים, מספקת חברת אנטרופי מגוון שירותים המבוססים על ניסיון מצטבר של עשרות שנים, מומחים בעלי ניסיון ושם בתחומי הסיכונים השונים (סיכונים תפעוליים, סיכוני אשראי ושוק, סיכונים פיננסים וסיכונים אחרים) ומתודולוגיות בינלאומיות מותאמות כגון COSO ו COBIT.

אנו באנטרופי רואים את עולם ניהול הסיכונים הכולל (ERM) ככלי עזר להנהלה והדירקטוריון לייעל תהליכים, לעמוד בהנחיות הרגולציה ובכך לשפר את ביצועיו העסקיים של הארגון ועמידתו ביעדיו האסטרטגיים.

עולם ניהול הסיכונים החדש הינו בעצם עולם של ניהול תהליכים במסגרתו יכולים ההנהלה והדירקטוריון של ארגון מחד להימנע מאירועים שייסבו נזר משמעותי לארגון ואידך באמצעות ניהול התהליכים והסיכונים לשפר ולמקסם את ביצועיו העסקיים.

ארגון חייב להיעזר בכל כלי אשר יאפשר לו לסייע לעמוד במטרות וביעדים אשר הציב לעצמו. ניהול סיכונים איכותי ונאות, תוך קבלת התשומות הראויות לכך, יובילו הימנעות מכשלים וצמצום טעויות.

במסגרת זו אנו מספקים פתרונות מתקדמים בעולם ניהול הסיכונים לרבות:

סיכון הינו האפשרות להתרחשות של אירוע, העלול לפגוע בהשגת יעדיו ומטרותיו של הארגון וכתוצאה מכך לגרום נזק ישיר ו/או עקיף.

סיכונים ניתנים להפחתה על ידי תרבות ארגונית תומכת ומקדמת אווירת אמון ופתיחות והמשלבת בקרות בתהליכים העסקיים והתפעוליים.

שילוב ניהול הסיכונים הינו חלק בלתי נפרד וכלי לעמידת הארגון ביעדים האסטרטגיים ובפיתוחם. על ניהול הסיכונים בארגון להיות משולב באסטרטגיה והיעדים תוך הסתכלות על עתיד הארגון בהתאם להתפתחות במשק המקומי והעולמי.

בתוך כך ניתן למצוא את:

  • הקשר בין ניהול הסיכונים למימוש האסטרטגיה
  • הקשר בין ניהול סיכונים לתוצאות העסקיות
  • התייחסות לעולם הגלובאלי והשינויים המתחייבים מכך
  • חשיבות ניהול סיכונים בארגונים מורכבים ובתהליכים מורכבים וחדשים
  • הצורך הגובר בשקיפות ודיווח לציבור

סיכונים מקיפים מספר תחומים, כגון: סיכון ביטוחי, סיכון תפעולי, סיכון משפטי, סיכון מוניטין ועוד. לחברת אנטרופי ניסיון רב בתהליכי הטמעה של מערכי ניהול סיכונים ותרבות ניהול סיכונים בארגונים לרבות הטמעת תהליכים,פיתוח מדדי סיכון (KRI's), התאמת מבנה ארגוני תומך, פיתוח תהליכי דיווח ובקרה וכיו"ב

למערכי ניהול הסיכונים מספר מרכיבים המקיימים את ניהולם ואת ממשל ניהול הסיכונים בארגון ולרבות: הטמעת מדיניות ונהלים, קיומן של מערכות תומכות לניהול סיכונים, וכמובן ביצוע סקרי סיכונים ארגוניים במסגרתם יוגדרו הסיכונים, תכניות הפחתה ואינדיקאטורים להתממשות סיכונים.

הטמעת מדיניות ונהלים

הטמעת מדיניות ונהלים לניהול סיכונים הינם נדבך עיקרי בהטמעת תרבות ארגונית וממשל ניהול סיכונים ומטרתם לקבוע עקרונות יסוד לניהול ובקרת הסיכונים, העלאת המודעות לניהול סיכונים, קביעת אורגנים ואבני דרך לניהול הסיכונים לצורך מזעור הסיכונים העלולים להתממש.

 הטמעת מערכות לניהול סיכונים

לאנטרופי ניסיון באפיון, הקמה והטמעה של מערכות לניהול סיכונים. תהליך זה מבוצע תוך התאמת המערכת לצרכיו ואופיו של הארגון, שימוש במשאבים ומידע קיים בארגון ויצירת ממשקי עבודה מול מערכות מידע תומכות.

ביצוע סקרי סיכונים מבוססי אסטרטגיה ארגונית

סקר סיכונים הינו תהליך לזיהוי ואיתור הסיכונים והפרצות הכרוכים בכל אחד מתחומי הפעילות העיקריים בארגון, וזאת בהתייחס לסיכונים מובנים בפעילות הארגון, וכן בהתייחס לסיכונים שאינם מושפעים בהכרח מפעילותו השוטפת של הארגון, אלא מגורמים סביבתיים חיצוניים.

סקר הסיכונים הינו כלי ניהול חשוב מאוד בארגון המספק להנהלת הארגון את ההבנה ההכרחית לסיכונים הטמונים בפעילותו ומהווה כלי נוסף לתיעדוף משימות ואתגרי הארגון. לאנטרופי ניסיון נרחב בביצוע סקרי סיכונים בארגונים רבים במשק הישראלי ובהם בתחום הפיננסים, בתחום הממשלתי, הביטוח, התעשייה, הבריאות, הביטחון ועוד

מיפוי של אינדיקטורים להתממשות סיכון ו/או אירוע כשל משמעותי

אינדיקטורים לסיכון מהווים חלק בלתי נפרד ממערך הוליסטי של ניהול סיכונים ובכך הופכים את תחום ניהול הסיכונים לתחום אקטיבי המשיא ערך מוסף הן ליחידות ניהול הסיכונים והן ליחידות העסקיות \ תפעוליות של הארגון.

בעידן הטכנולוגי בו מידע מסוגים שונים נצבר במערכות הארגון, מספק ה BIG DATA אפשרות טכנולוגית לנטר את המידע הנצבר באופן ממוחשב לצורכי בקרה ואתור אינדיקאטורים להתממשות סיכון. במסגרת זו, ניתן להצליב בין סוגי המידע הנצבר במערכות השונות ולהפיק מהן תובנות בזמן אמת, בכדי למנוע את התממשותו של הסיכון ו/או להפחית את רמת הנזק הנגרם בכך שאירוע כשל יאותר ויטופל באופן מהיר.

סיכוני מעילה והונאה מבטאים את האפשרות להתרחשותם של פעילויות בזדון מצד גורמים פנימיים ו/או חיצוניים לצורך ביצוע מעילה, הונאה, זיוף או התנהגות בלתי-נאותה. סיכונים אלה הינם חלק ממכלול הסיכונים התפעוליים, להם נחשף הארגון בעת ביצוע פעילותה העסקית השוטפת. סיכונים מסוג זה טומנים בחובם, בנוסף לנזק כספי ישיר, גם נזק של אובדן מידע, נזק תדמיתי ונזקים עקיפים, הנובעים מההשפעה של אירועים מסוג זה על ציבור הלקוחות ועל תדמית הארגון.

לאנטרופי ניסיון נרחב בביצוע סקר סיכוני מעילה והונאה, במגוון ארגונים במשק הישראלי, סיכונים אלה מבטאים את האפשרות להתרחשותם של פעילויות בזדון מצד גורמים פנימיים וחיצוניים לצורך ביצוע מעילה, הונאה, זיוף או התנהגות בלתי-נאותה. במסגרת הסקר מבוצע תהליך לזיהוי מוקדי סיכון מעילה והונאה, בקרות קיימות ומתן המלצות למזעור החשיפה.

סיכון ההמשכיות העסקית משפיע על מכלול הפעילויות והתהליכים הקיימים בארגון, ומייצר חשיפות מגוונות בעת התממשותו.

ארגונים רבים בעולם ובארץ נערכים כיום, במסגרת פעילותם השוטפת לניהול סיכונים והן במסגרת הנחיות רגולטוריות, לבניית תכניות הערכות.

התמודדות עם משברים ולהמשכיות העסקית – בהתאם לסיכונים להם הם חשופים.

בהתאם לכללי Best Practices מקובלים, כוללים תכניות הערכות אלו שלושה מרכיבי היערכות עיקריים:

BIA) Business Impact Analysis) – הערכת ההשפעה העסקית

מרכיב ראשון ומהותי בהיערכות ארגון להתמודדות עם משברים הינו מיפוי והערכת הסיכונים להם חשוף הארגון (במסגרת כלל פעילויותיו), הגדרת מוקדי ותרחישי החירום בהתאם לסיכונים, ניתוח השפעתם של התרחישים והסיכונים השונים על הארגון ופעילויותיו ובניית מודל להערכת פוטנציאל הנזק על הארגון.

מרכיב זה הינו מרכיב הכרחי ומהותי לצורך ההבנה של מפת החשיפות תוך כדי הערכת השפעתו של כל סיכון / תרחיש על פעילות הארגון במימד התפעולי, במימד העסקי ובמימד הפיננסי.

בדרך של הבנת מפת החשיפות, יכולה הנהלת הארגון לקבל החלטה בשיקולי עלות (עלות ההיערכות להתמודדות עם הסיכון) אל מול תועלת (תועלת הקטנת פוטנציאל הנזק – מיגור הסיכון), להתמודדות עם סוגי הסיכונים.

בנוסף, מרכיב זה מאפשר מיקוד הארגון בהמשך ביצוע שלבי ההערכות ובחסכון עלויות ההיערכות התשתיתית.

לצורך ניתוח השפעתם של הסיכונים והתרחישים השונים הגורמים לסיכונים אלו על פעילותו של הארגון פיתחנו באנטרופי מתודולוגית ניתוח רב ממדית של מספר מרכיבים לרבות: מימד הסיכונים והתרחישים, מימד משאבים ארגוניים, מימד פעילויות עסקיות.

ß השילוב של בחינת כל המימדים יחדיו מאפשרים ניתוח של השפעתו של כל סיכון ותרחיש על פעילות החברה ועל תוצאותיה העסקיות.

BCP) Business Continuity Plan) – תכניות הערכות להמשכיות עסקית:

בהתאם לתוצאות הערכת הסיכונים והתרחישים במרכיב ה BIA, יפעל הארגון לביצוע המרכיב השני אשר הינו ההיערכות העסקית והתפעולית להתמודדות עם התרחישים השונים – BCP. הערכות זו הינה ברמה העסקית, הניהולית והתפעולית ומטרתה אפיון התהליכים ופעולות הנדרשות לביצוע בעת התממשותו של סיכון כלשהוא ולצורך מתן מענה להתמודדות עם המשבר.

שלב זה כולל ירידה לפרטי התהליכים, הבנה של הפעולות המידיות הנדרשות לביצוע לצורך המשכיותו העסקית של הארגון ויצירת תכניות פעולה לכל יחידה ויחידה (לרבות אפיון התשתיות התומכות הנדרשות -תשתיות טכנולוגיות ולוגיסטיות).

הערכות טכנולוגית ולוגיסטית למימוש תכנית הפעולה

לאחר השלמת גיבוש תכנית הערכות להמשכיות עסקית (BCP) בהתאם למיפוי התהליכים (BIA) נדרש הארגון להקצות משאבים ולהיערך ברמה התפעולית והטכנולוגית להתמודדות עם תרחישי קיצון כגון רעידת אדמה, מלחה אזורית, התקפת סייבר ואירוע כשל לוגי וכיו"ב.

נדבך מרכזי בהערכות זו הינו הערכות טכנולוגית מתאימה להגדרת ההמשכיות העסקית של תהליכים עסקיים ותפעוליים המהותיים לארגון בעת אירוע חרום.

לצורך כך, נדרש הארגון לבצע תהליך BIA טכנולוגי (הגדרת התהליכים הטכנולוגיים המהותיים בעת אירוע חירום) ולמפות את נכסי המידע לתהליכים שהוגדרו במרכיב הראשון (מרכיב ה- BIA) ולוודא את רמת שרידותם ביחס לכל תרחיש אשר מופה כמאיים על ההמשכיות העסקית של הארגון.

משבר הינו אירוע אשר עשוי להפתיע את הארגון וזמן הטיפול בו אינו ניתן לחיזוי, הערכת תרחישים לצורך היערכות למשבר הינה תהליך הכרחי לצליחת משבר במינימום הפסדים ונזקים ישירים ועקיפים ומינימום פגיעה תדמיתית.

אירוע משבר מאיים באופן ישיר ועקיף על החוסן הארגוני ויכולת האגון להמשיך בעסקיו הן תוך כדי המשבר והן לאחריו. התמודדות עם משבר באופן מקצועי, יעיל וחד הינו כלי ניהולי מהותי על מנת לאפשר לארגון להמשיך את עסקיו בזמן ואחרי המשבר.

העלאת החוסן הארגוני להתמודדות עם משבר יבוצע בעיקר ע"י אימון הנהלה וצוותי חירום בניהול משבר ובתוך כך:

  • הטמעת קשרי הגומלין בין ההנהלה, יחידות הארגון ובמידה וקיים חברות בת
  • תפקוד חמ"לים: טכנולוגיה, תפעול, יחידות עסקיות, חמ"ל המשכיות עסקית מרכזי ועוד
  • הימצאותם של גורמים מקצועיים ומקצוענים עתירי ידע וניסיון בניהול משברים וניהול מו"מ
  • שימוש והפעלת תוכנית השכיות עסקית בהתאם לאופי וסוג המשבר
  • הבנה כי קיים חוסר וודאות רב והבנה כי משתנים רבים בעת התממשותו של משבר לא ניתן לחזות ולא ניתן להיערך אליהם באמצעות תיק חרום ו/או הנחיות כאלה ואחרות

את כלל מרכיבים אלו ומרכיבים נוספים שעשויים לעלות במפתיע בעת אירוע משבר, יש לתרגל במסגרת תרגילי הנהלה ארגוניים וקבוצתיים.

לאנטרופי ניסיון וידע נרחב בליווי ארגונים בעת משבר ובתוך כך בניית תכנית לניהול משברים, ביצוע תרגולים להנהלת הארגון, קביעת סמכויות ואחריות בעתות משבר ועוד.

SOX

יישום התהליכים הנדרשים לעמידה בדרישות הדיווח של סעיפים 302 ו-404 לחוק משנת 2002 והנחיות וועדת גושן דורש היערכות של הגורמים השונים בארגון לבצע פעילויות רוחביות בארגון לטובת תיעוד תהליכי העבודה, בחינת מערכי הבקרה הפנימית והערכת הסיכונים העלולים להשפיע על מהימנות הדיווח הכספי.

במסגרת יישום הנחיות ה-SOX / סוקס (Sarbanes Oxley / סרבנס אוקסלי) ויישום הנחיות וועדת גושן (SOX ישראלי), נדרשים התאגידים המדווחים ומנהליהם הבכירים לקחת אחריות מלאה על כל תהליך העריכה והגילוי של הדוחות הכספיים ולדווח באשר לפעולות שביצעו ולליקויים שעלו במערך הבקרה הפנימית על הדיווח הכספי.

לחברת “אנטרופי יועצים” ידע, ניסיון וכוח אדם מיומן, אשר ביכולתו לסייע לארגון במטלות השונות הכרוכות ביישום תהליכי הבקרה על הדוחות הכספים ובכלל זה תיעוד תהליכים, אימות/תיקוף תהליכים, ביצוע ותיעוד מבחנים (Testing), כולל תהליכי ITGC, בקרות-על (ELC), כאשר היא משמשת כגורם אינטגרטיבי בין הארגון לבין רואה החשבון המבקר, בתיאום מלא עם הנהלת החברה. במסגרת פעילות התחזוקה (שנה שנייה ומעלה) ניתן להטמיע תהליכי שיפור במערך הבקרות והבקרה הפנימית, ולבצע בדיקה שוטפת של אפקטיביות מערך הבקרה.

במסגרת שירותי ה-SOX הניתנים על ידי החברה, “אנטרופי יועצים” מספקת פתרון מקצועי מלא וכולל או פתרון נקודתי, בהתאם לצרכי הלקוח. השירותים ניתנים על-ידי יועצים מנוסים מתחומי ראיית החשבון, הביקורת הפנימית, הנדסת תעשייה וניהול, מנהל עסקים ומשפטים. התחום מנוהל על ידי מורן אביעד בסני.

ניהול סיכוני מערכות ואבטחת מידע וסייבר

חלק נכבד מהקדמה העסקית של הארגונים טמון בשימוש במערכות מידע אינטגרטיביות אשר תומכות ביוזמות העסקיות. קידמה טכנולוגית זו משמשת ככלי עיקרי במזעור הסיכונים מחד ומאידך חושפת את הארגון לסיכונים חדשים. חברת אנטרופי מציעה שירותים וכלים לאיתור, הערכה ומזעור סיכונים אלו.

התפתחות המערך הטכנולוגי התומך בפעילות העסקית של גופים פרטיים וממשלתיים, גופים מוסדיים, חברות ציבוריות ופרטיות, יוצר הזדמנויות עסקיות חדשות מחד וטומן בחובו סיכונים למידע האגור בו מאידך.

לכן, קיימת חשיבות רבה בהגנה על המידע בהיבטי שלמות, זמינות וחיסיון מפני תקיפות פוטנציאליות הן ע"י גורמים חיצוניים והן ע"י גורמים פנימיים.

כמו-כן, נושאי אבטחת המידע והסייבר קיבלו תנופה משמעותית בשנים האחרונות מבחינת מרחב האיומים שהפכו למשמעותיים יותר והינם בעלי סבירות התממשות גבוהה יותר.

אנו באנטרופי מציעים שירותי יעוץ בתחום ניהול סיכוני מערכות מידע (IT) וניהול סיכוני אבטחת מידע וסייבר.

ביקורת פנימית

חברת אנטרופי מסייעת ליחידות הביקורת הפנימית בגופים פיננסיים שונים בבניית תכניות עבודה מבוססות הערכת סיכונים ומהווה תמך לביצוע הביקורות השונות בנושאים מגוונים ומורכבים. הביקורת הפנימית נדרשת להיות יעילה, ממוקדת סיכונים, מותאמת לאסטרטגיה העסקית של הארגון ובעיקר לספק ערך מוסף להנהלת החברה והדירקטוריון. לחברת אנטרופי היכרות מעמיקה ורבת שנים עם מערכי הביקורת הפנימית הגדולים בארץ ועם צרכי הביקורת, שיטות העבודה ותקנים מקצועיים בתחום.