RISK MANAGEMENT

TO CREATE OPPORTUNITIES ONE MUST MANAGE RISKS

ENTERPRISE RISK MANAGEMENT (ERM)

In order to enable enterprises to minimize and manage the entirety of the risks to which they are exposed, we provide a diverse range of services that are based on years of cumulative experience, seasoned and reputable experts in the various fields of risk (operational risks, credit and market risks, financial risks and other risks), and customized international methodologies such as COSO (Committee of Sponsoring Organizations of the Treadway Commission) and COBIT (Control Objectives for Information and Related Technologies).

We at Entropy, view the entire world of enterprise risk management (ERM) as an aiding tool to the management and boards of directors of enterprises, to cause processes to become more efficient, to meet regulatory requirements and in that way improve the business performance of the enterprise and it meeting its strategic goals.

The new world of risk management is in fact a world of processes management, in the framework of which the management and board of directors of an enterprise can, on the one hand, avoid events causing significant damage to the enterprise, and on the other hand, improve and maximize its business performance through managing processes and risks.

An enterprise must use any available tools to assist it in meeting and achieving its goals and targets. Quality and proper risk management, whilst receiving the appropriate inputs, will lead to avoiding stumbling-blocks and a decrease in mistakes.

WE PROVIDE ADVANCED SOLUTIONS IN THE REALM OF RISK MANAGEMENT, INCLUDING:

סיכון הינו האפשרות להתרחשות של אירוע, העלול לפגוע בהשגת יעדיו ומטרותיו של הארגון וכתוצאה מכך לגרום נזק ישיר ו/או עקיף.

סיכונים ניתנים להפחתה על ידי תרבות ארגונית תומכת ומקדמת אווירת אמון ופתיחות והמשלבת בקרות בתהליכים העסקיים והתפעוליים.

שילוב ניהול הסיכונים הינו חלק בלתי נפרד וכלי לעמידת הארגון ביעדים האסטרטגיים ובפיתוחם. על ניהול הסיכונים בארגון להיות משולב באסטרטגיה והיעדים תוך הסתכלות על עתיד הארגון בהתאם להתפתחות במשק המקומי והעולמי.

בתוך כך ניתן למצוא את:

  • הקשר בין ניהול הסיכונים למימוש האסטרטגיה
  • הקשר בין ניהול סיכונים לתוצאות העסקיות
  • התייחסות לעולם הגלובאלי והשינויים המתחייבים מכך
  • חשיבות ניהול סיכונים בארגונים מורכבים ובתהליכים מורכבים וחדשים
  • הצורך הגובר בשקיפות ודיווח לציבור

סיכונים מקיפים מספר תחומים, כגון: סיכון ביטוחי, סיכון תפעולי, סיכון משפטי, סיכון מוניטין ועוד. לחברת אנטרופי ניסיון רב בתהליכי הטמעה של מערכי ניהול סיכונים ותרבות ניהול סיכונים בארגונים לרבות הטמעת תהליכים,פיתוח מדדי סיכון (KRI’s), התאמת מבנה ארגוני תומך, פיתוח תהליכי דיווח ובקרה וכיו”ב

למערכי ניהול הסיכונים מספר מרכיבים המקיימים את ניהולם ואת ממשל ניהול הסיכונים בארגון ולרבות: הטמעת מדיניות ונהלים, קיומן של מערכות תומכות לניהול סיכונים, וכמובן ביצוע סקרי סיכונים ארגוניים במסגרתם יוגדרו הסיכונים, תכניות הפחתה ואינדיקאטורים להתממשות סיכונים.

הטמעת מדיניות ונהלים

הטמעת מדיניות ונהלים לניהול סיכונים הינם נדבך עיקרי בהטמעת תרבות ארגונית וממשל ניהול סיכונים ומטרתם לקבוע עקרונות יסוד לניהול ובקרת הסיכונים, העלאת המודעות לניהול סיכונים, קביעת אורגנים ואבני דרך לניהול הסיכונים לצורך מזעור הסיכונים העלולים להתממש.

 

 הטמעת מערכות לניהול סיכונים

לאנטרופי ניסיון באפיון, הקמה והטמעה של מערכות לניהול סיכונים. תהליך זה מבוצע תוך התאמת המערכת לצרכיו ואופיו של הארגון, שימוש במשאבים ומידע קיים בארגון ויצירת ממשקי עבודה מול מערכות מידע תומכות.

ביצוע סקרי סיכונים מבוססי אסטרטגיה ארגונית

סקר סיכונים הינו תהליך לזיהוי ואיתור הסיכונים והפרצות הכרוכים בכל אחד מתחומי הפעילות העיקריים בארגון, וזאת בהתייחס לסיכונים מובנים בפעילות הארגון, וכן בהתייחס לסיכונים שאינם מושפעים בהכרח מפעילותו השוטפת של הארגון, אלא מגורמים סביבתיים חיצוניים.

סקר הסיכונים הינו כלי ניהול חשוב מאוד בארגון המספק להנהלת הארגון את ההבנה ההכרחית לסיכונים הטמונים בפעילותו ומהווה כלי נוסף לתיעדוף משימות ואתגרי הארגון. לאנטרופי ניסיון נרחב בביצוע סקרי סיכונים בארגונים רבים במשק הישראלי ובהם בתחום הפיננסים, בתחום הממשלתי, הביטוח, התעשייה, הבריאות, הביטחון ועוד

מיפוי של אינדיקטורים להתממשות סיכון ו/או אירוע כשל משמעותי

אינדיקטורים לסיכון מהווים חלק בלתי נפרד ממערך הוליסטי של ניהול סיכונים ובכך הופכים את תחום ניהול הסיכונים לתחום אקטיבי המשיא ערך מוסף הן ליחידות ניהול הסיכונים והן ליחידות העסקיות \ תפעוליות של הארגון.

בעידן הטכנולוגי בו מידע מסוגים שונים נצבר במערכות הארגון, מספק ה BIG DATA אפשרות טכנולוגית לנטר את המידע הנצבר באופן ממוחשב לצורכי בקרה ואתור אינדיקאטורים להתממשות סיכון. במסגרת זו, ניתן להצליב בין סוגי המידע הנצבר במערכות השונות ולהפיק מהן תובנות בזמן אמת, בכדי למנוע את התממשותו של הסיכון ו/או להפחית את רמת הנזק הנגרם בכך שאירוע כשל יאותר ויטופל באופן מהיר.

סיכוני מעילה והונאה מבטאים את האפשרות להתרחשותם של פעילויות בזדון מצד גורמים פנימיים ו/או חיצוניים לצורך ביצוע מעילה, הונאה, זיוף או התנהגות בלתי-נאותה. סיכונים אלה הינם חלק ממכלול הסיכונים התפעוליים, להם נחשף הארגון בעת ביצוע פעילותה העסקית השוטפת. סיכונים מסוג זה טומנים בחובם, בנוסף לנזק כספי ישיר, גם נזק של אובדן מידע, נזק תדמיתי ונזקים עקיפים, הנובעים מההשפעה של אירועים מסוג זה על ציבור הלקוחות ועל תדמית הארגון.

לאנטרופי ניסיון נרחב בביצוע סקר סיכוני מעילה והונאה, במגוון ארגונים במשק הישראלי, סיכונים אלה מבטאים את האפשרות להתרחשותם של פעילויות בזדון מצד גורמים פנימיים וחיצוניים לצורך ביצוע מעילה, הונאה, זיוף או התנהגות בלתי-נאותה. במסגרת הסקר מבוצע תהליך לזיהוי מוקדי סיכון מעילה והונאה, בקרות קיימות ומתן המלצות למזעור החשיפה.

 

סיכון ההמשכיות העסקית משפיע על מכלול הפעילויות והתהליכים הקיימים בארגון, ומייצר חשיפות מגוונות בעת התממשותו.

ארגונים רבים בעולם ובארץ נערכים כיום, במסגרת פעילותם השוטפת לניהול סיכונים והן במסגרת הנחיות רגולטוריות, לבניית תכניות הערכות להתמודדות עם משברים ולהמשכיות העסקית – בהתאם לסיכונים להם הם חשופים.

בהתאם לכללי Best Practices מקובלים, כוללים תכניות הערכות אלו שלושה מרכיבי היערכות עיקריים:

BIA (Business Impact Analysis) – הערכת ההשפעה העסקית

מרכיב ראשון ומהותי בהיערכות ארגון להתמודדות עם משברים הינו מיפוי והערכת הסיכונים להם חשוף הארגון (במסגרת כלל פעילויותיו), הגדרת מוקדי ותרחישי החירום בהתאם לסיכונים, ניתוח השפעתם של התרחישים והסיכונים השונים על הארגון ופעילויותיו ובניית מודל להערכת פוטנציאל הנזק על הארגון.

מרכיב זה הינו מרכיב הכרחי ומהותי לצורך ההבנה של מפת החשיפות תוך כדי הערכת השפעתו של כל סיכון / תרחיש על פעילות הארגון במימד התפעולי, במימד העסקי ובמימד הפיננסי.

בדרך של הבנת מפת החשיפות, יכולה הנהלת הארגון לקבל החלטה בשיקולי עלות (עלות ההיערכות להתמודדות עם הסיכון) אל מול תועלת (תועלת הקטנת פוטנציאל הנזק – מיגור הסיכון), להתמודדות עם סוגי הסיכונים.

בנוסף, מרכיב זה מאפשר מיקוד הארגון בהמשך ביצוע שלבי ההערכות ובחסכון עלויות ההיערכות התשתיתית.

לצורך ניתוח השפעתם של הסיכונים והתרחישים השונים הגורמים לסיכונים אלו על פעילותו של הארגון פיתחנו באנטרופי מתודולוגית ניתוח רב ממדית של מספר מרכיבים לרבות: מימד הסיכונים והתרחישים, מימד משאבים ארגוניים, מימד פעילויות עסקיות.

ß השילוב של בחינת כל המימדים יחדיו מאפשרים ניתוח של השפעתו של כל סיכון ותרחיש על פעילות החברה ועל תוצאותיה העסקיות.

 

BCP (Business Continuity Plan) – תכניות הערכות להמשכיות עסקית:

בהתאם לתוצאות הערכת הסיכונים והתרחישים במרכיב ה BIA, יפעל הארגון לביצוע המרכיב השני אשר הינו ההיערכות העסקית והתפעולית להתמודדות עם התרחישים השונים – BCP. הערכות זו הינה ברמה העסקית, הניהולית והתפעולית ומטרתה אפיון התהליכים ופעולות הנדרשות לביצוע בעת התממשותו של סיכון כלשהוא ולצורך מתן מענה להתמודדות עם המשבר.

שלב זה כולל ירידה לפרטי התהליכים, הבנה של הפעולות המידיות הנדרשות לביצוע לצורך המשכיותו העסקית של הארגון ויצירת תכניות פעולה לכל יחידה ויחידה (לרבות אפיון התשתיות התומכות הנדרשות -תשתיות טכנולוגיות ולוגיסטיות).

הערכות טכנולוגית ולוגיסטית למימוש תכנית הפעולה

לאחר השלמת גיבוש תכנית הערכות להמשכיות עסקית (BCP) בהתאם למיפוי התהליכים (BIA) נדרש הארגון להקצות משאבים ולהיערך ברמה התפעולית והטכנולוגית להתמודדות עם תרחישי קיצון כגון רעידת אדמה, מלחה אזורית, התקפת סייבר ואירוע כשל לוגי וכיו”ב.

נדבך מרכזי בהערכות זו הינו הערכות טכנולוגית מתאימה להגדרת ההמשכיות העסקית של תהליכים עסקיים ותפעוליים המהותיים לארגון בעת אירוע חרום.

לצורך כך, נדרש הארגון לבצע תהליך BIA טכנולוגי (הגדרת התהליכים הטכנולוגיים המהותיים בעת אירוע חירום) ולמפות את נכסי המידע לתהליכים שהוגדרו במרכיב הראשון (מרכיב ה- BIA) ולוודא את רמת שרידותם ביחס לכל תרחיש אשר מופה כמאיים על ההמשכיות העסקית של הארגון.

משבר הינו אירוע אשר עשוי להפתיע את הארגון וזמן הטיפול בו אינו ניתן לחיזוי, הערכת תרחישים לצורך היערכות למשבר הינה תהליך הכרחי לצליחת משבר במינימום הפסדים ונזקים ישירים ועקיפים ומינימום פגיעה תדמיתית.

אירוע משבר מאיים באופן ישיר ועקיף על החוסן הארגוני ויכולת האגון להמשיך בעסקיו הן תוך כדי המשבר והן לאחריו. התמודדות עם משבר באופן מקצועי, יעיל וחד הינו כלי ניהולי מהותי על מנת לאפשר לארגון להמשיך את עסקיו בזמן ואחרי המשבר.

העלאת החוסן הארגוני להתמודדות עם משבר יבוצע בעיקר ע”י אימון הנהלה וצוותי חירום בניהול משבר ובתוך כך:

  • הטמעת קשרי הגומלין בין ההנהלה, יחידות הארגון ובמידה וקיים חברות בת
  • תפקוד חמ”לים: טכנולוגיה, תפעול, יחידות עסקיות, חמ”ל המשכיות עסקית מרכזי ועוד
  • הימצאותם של גורמים מקצועיים ומקצוענים עתירי ידע וניסיון בניהול משברים וניהול מו”מ
  • שימוש והפעלת תוכנית השכיות עסקית בהתאם לאופי וסוג המשבר
  • הבנה כי קיים חוסר וודאות רב והבנה כי משתנים רבים בעת התממשותו של משבר לא ניתן לחזות ולא ניתן להיערך אליהם באמצעות תיק חרום ו/או הנחיות כאלה ואחרות

 

את כלל מרכיבים אלו ומרכיבים נוספים שעשויים לעלות במפתיע בעת אירוע משבר, יש לתרגל במסגרת תרגילי הנהלה ארגוניים וקבוצתיים.

לאנטרופי ניסיון וידע נרחב בליווי ארגונים בעת משבר ובתוך כך בניית תכנית לניהול משברים, ביצוע תרגולים להנהלת הארגון, קביעת סמכויות ואחריות בעתות משבר ועוד.

SOX (SARBANES-OXLEY)

Implementing the required processes to meet the reporting requirements of Sections 302 and 404 of the Israeli Securities Law, 5728-1968 that were added in 2002, as well as the directives of the Goshen Committee, requiring various organs of the enterprise to carry out lateral actions throughout the enterprise in the interest of documenting work procedures, examining the internal audit systems and assessment of risks that may impact the credibility of the financial reports.

In the scope of implementing the SOX (Sarbanes-Oxley) directives and the directives of the Goshen Committee, also known as the Israeli SOX, reporting corporations and their senior executives, are required to assume full responsibility for the entire process of preparing and revealing the financial statements, as well as report what actions they took, and what flaws came to light in the internal auditing system of the financial reporting.

We at Entropy Processes, Risk & Regulation Ltd., have the know-how, experience and skilled human resources, that is there to assist the enterprise in the numerous and various tasks involved in the implementation of financial reporting control processes, including, documentation of processes, verification/validation of processes, carrying out and documenting testing, which includes super-controls ITGC (IT Governance and Controls), and ELC (Entity Level Controls) when used as an integrative factor between the enterprise and the auditing accountants, all, in full coordination with the enterprise’s management. Within the scope of maintenance activities (year two and up) improvement processes can be embedded in the control and internal auditing systems, as well as performing ongoing checks of the effectiveness of the control system.

Within the scope of our SOX services, we provide a professional solution, comprehensive or specific, according to the client’s needs. The services are given from experienced consultants from the fields of accountancy, internal auditing, industrial engineering management, business and law. The field within Entropy is being managed by Moran Aviad Bassany.

CYBER AND INFORMATION SYSTEMS SECURITY RISKS MANAGEMENT

A significant part of the business advancement of enterprises lies in their use of integrative information systems that support business initiatives. On the one hand, such technological advancement is mainly used as a tool to minimize risks, and on the other hand it exposes the enterprise to new risks. We offer services and tools to identify, evaluate and minimize these risks.

The advancement in technological systems designed to support business activities of private and governmental bodies, institutional investors, as well as private and public corporations, creates new business opportunities, yet holds inherent risks to the information and data stored therein.

Therefore, great important is attributed to the need to protect the completeness, availability and confidentiality of the information and data, against potential attacks from both external and internal sources.

It is also worth noting, that information security and cyber protection were dramatically elevated in recent years as the spectrum of threats has broadened as well as their significance and likeliness of realizing into actual events.

We at Entropy, offer advisory services in the field of information technology (IT) risks management as well as information systems and cyber security.

INTERNAL AUDITING

We assist the internal audit units in various financial bodies in building their risk-assessment based work plans, as well as support the performance of audits in a diverse range of complex topics. Internal auditing must be efficient, risk oriented, and suited to the business strategy of the enterprise, but mostly to provide the management and board of directors of an enterprise with an added value. We have in-depth acquaintance and knowledge of the largest internal audit systems that exist in the country, as well as the needs of auditing, work methods and professional standards in the field.