ERM ניהול סיכונים כולל בארגון The Top Ten Risks of 2013

‫‪ ERM‬ניהול סיכונים כולל בארגון‬
‫‪The Top Ten Risks of 2013‬‬
‫הכנס המקצועי השנתי של ‪ IIA‬ישראל ו‪ ISACA -‬ישראל‬
‫דצמבר ‪2012‬‬
‫גיל ֶּבר‪,‬‬
‫רו"ח‪MA ,CRISC,CIA ,‬‬
‫הכרות‬
‫גיל ֶּבר‪ ,‬רו"ח‪MA ,CRISC,CIA ,‬‬
‫ מבקר אל על נתיבי אוויר לישראל‬
‫ ניסיון בניהול סיכונים‪ ,‬ביקורת פנימית וביקורת חקירתית‬
‫ בין הארגונים שסייע להם ניתן למצוא את טבע‪ ,‬כי"ל‪ ,‬אל על‪ ,‬משרד האוצר‪,‬‬
‫דואר ישראל‪ ,‬בנק ישראל‪ ,‬נמל חיפה‪ ,‬תנובה‪ ,‬רשת מלונות דן‪ ,‬הריבוע‬
‫הכחול‪ ,‬שופרסל‪ ,‬קבוצת שיכון ובינוי‪ ,‬קבוצת הראל‪ ,‬קבוצת כלל‪ ,‬קבוצת‬
‫הפניקס‪ ,‬גלעם‪ ,‬הזרע ג'נטיקס‪ ,‬בנק הפועלים‪ ,‬בנק דיסקונט‪ ,‬מכבי שירותי‬
‫בריאות ועוד‪.‬‬
‫ מרצה במסלול האקדמי של המכללה למינהל‪ ,‬יועץ ומרצה בפורומים שונים‬
‫בתחומי ניהול סיכונים‪ ,‬חבר וועדת ביקורת איל"ן‪.‬‬
‫ עד יוני ‪ 09‬שותף‪ ,‬מוביל צוות הייעוץ של ‪ EY‬בתחום ניהול סיכונים‪ ,‬ביקורת‬
‫פנים ו‪SOX -‬‬
‫ השכלה רלוונטית – תואר ‪ I‬בחשבונאות ומינהל עסקים‪ ,‬תואר ‪)II‬בהצטיינות(‬
‫בביקורת פנים ומינהל ציבורי‪ ,‬השתלמויות בחו"ל בתחום ‪,ECSA ,ERM‬‬
‫‪SOX ,PRCS‬‬
‫‪2‬‬
‫על מה נדבר ‪....‬‬
‫ ניהול סיכונים ‪......‬‬
‫ למה ניהול סיכונים עכשיו‪.....‬‬
‫ כיצד ארגונים מנהלים סיכונים ‪....‬‬
‫ גישות לזיהוי והערכת סיכונים ‪.......‬‬
‫ הסיכונים לשנת ‪........ 2013‬‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪3‬‬
‫מה המשותף לכולם ‪? .....‬‬
‫אסון הכרמל‬
‫פתיחת שוק הסלולר‬
‫וכניסת רמי לוי‪ ,‬גולן‬
‫טלקום‪YouPhone ,‬‬
‫והום סלולר‬
‫שביתת הרכבת‬
‫‪LOW COST‬‬
‫מוצרים חדשים‬
‫שינוי צרכני‬
‫התרסקות מטוס‬
‫‪Air France‬‬
‫מחירי הדלק וחו"ג‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫הוריקן סנדי‬
‫‪ JP‬מורגן נמצא בחקירה‬
‫בעקבות הפסד של ‪5.8‬‬
‫מילארד ד'‬
‫‪4‬‬
‫רגע לפני שמתחילים – עושים סדר במושגים ‪.....‬‬
‫ סיכון הנו האפשרות כי אירוע‪,‬‬
‫פעילות או פעולה )פנימיים או‬
‫חיצוניים( יפגעו ביכולת הארגון‬
‫לעמוד ביעדיו‬
‫ סיכון יכול להביא לנזק המקבל ביטוי‬
‫בצורות שונות ‪ -‬לדוגמה‪:‬‬
‫ הפסד כספי‬
‫ פגיעה בחיי אדם‬
‫ מדידת הסיכון מתבצעת באמצעות‬
‫שני פרמטרים‪:‬‬
‫ עוצמת הסיכון )‪(Impact‬‬
‫ הסבירות להתממשות הסיכון‬
‫)‪(Likelihood‬‬
‫ ניהול סיכונים ‪ -‬תהליך מובנה לזיהוי‬
‫וניתוח סיכונים לצורך גיבוש ויישום‬
‫דרכים להתמודד איתם‬
‫ פגיעה במוניטין‬
‫ סוגי‪/‬קבוצת‪/‬משפחות סיכון –‬
‫תפעוליים‪ ,‬כספים‪ ,‬אסטרטגיים‪ ,‬ציות‬
‫)‪(Compliance‬‬
‫ סקר סיכונים ‪ -‬פרויקט חד פעמי‬
‫שנועד לזהות למפות ולדרג את‬
‫הסיכונים המרכזיים המאיימים על‬
‫הארגון‬
‫ ‪Key Risk Indicators – KRI‬‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪5‬‬
‫כמה "עובדות" על ניהול סיכונים‬
‫ כולם מנהלים סיכונים‬
‫ ניהול סיכונים הוא חלק מהתהליך העסקי‪/‬ניהולי‬
‫ חוק ‪ 1:10:100‬תופס מאד חזק )מניעה‪ ,‬גילוי‪,‬‬
‫התממשות(‬
‫ גם שאתה מנהל סיכונים אין דבר כזה של הגנה‬
‫מלאה‬
‫ ניהול סיכונים יוצר ערך לארגון‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪6‬‬
‫הדרכים המקובלות לטיפול בסיכון‬
‫ התעלמות – " לא רואה‪ ,‬לא שומע"‬
‫ העברת‪/‬גלגול הסיכון לגורם אחר‬
‫ צמצום החשיפה לסיכון‬
‫בקרות‪ ,‬שינוי תהליכים‬
‫באמצעות‬
‫ קבלת הסיכון‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪7‬‬
‫מי חשוף לסיכונים ‪? ......‬‬
‫ כל ארגון‪ ,‬ישות שיש לה מטרות‬
‫ ההבדל בין הארגונים‬
‫ סוגי הסיכונים לו חשוף הארגון‬
‫ תנודתיות‬
‫ העוצמה של הסיכונים‬
‫ מקור הסיכונים ‪ -‬חיצונים‪/‬פנימיים‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪8‬‬
‫עולם הסיכונים של אל על – קבוצות הסיכונים‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪9‬‬
‫עולם הסיכונים של אל על – תנודתיות‬
‫ התפרצות הר הגעש‬
‫אל על‬
‫ משבר עולמי ‪ -‬מיתון‬
‫קריטי‬
‫ מחיר הדלק )גבוה‪/‬נמוך(‬
‫גבוה‬
‫ שפעת חזירים‪.....SARS ,‬‬
‫בינוני‬
‫ שמים פתוחים‬
‫ שינויים טכנולוגים‬
‫ הורדת הדירוג לקטגוריה ‪2‬‬
‫ טרור‬
‫‪2010‬‬
‫אווירי‬
‫נמוך‬
‫אחרים‬
‫‪1990‬‬
‫ בריתות‪A+++ ,‬‬
‫ הטמעת מערכת מידע שערי מטבעות‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫ רגולציה תעופתית‬
‫‪10‬‬
‫תמיד ניהלנו סיכונים – אז מה התחדש ?‬
‫ חשיפה לקבוצות סיכון רבות ומגוונות יותר‬
‫ הסיכונים הפכו להיות מורכבים יותר‬
‫ עוצמת הסיכונים עלתה‬
‫ התגברו הדרישות של מחזיקי עניין שונים )בעלים‪ ,‬רגולטורים‪ ,‬ציבור‬
‫ואחרים( לניהול סיכונים מוסדר‬
‫ קיימת הבנה כי ניהול סיכונים ברמה הספציפית לא מאפשר ראייה‬
‫כללית‪ ,‬כרוך בעלויות גבוהות ולא יעיל‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪11‬‬
‫‪......Benchmark‬‬
‫ בנקים ‪ -‬חובה‬
‫ גופים מוסדים )חב' ביטוח‪ ,‬קופות( – חובה‬
‫ חברות ממשלתיות – חובה‬
‫ חברות ציבוריות‬
‫ נקודתי לעניין אחראי על ניהול סיכונים פיננסים ולגילוי של הסיכונים‬
‫המהותיים בדוח ברנע‬
‫ החל משנת ‪ - 2012‬יישום של ניהול סיכונים כולל )דרך גושן(‬
‫ קופות חולים – חובה ‪........‬‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪12‬‬
‫מהו ניהול סיכונים ?‬
‫ ניהול סיכונים הוא תהליך מובנה לזיהוי‬
‫וניתוח סיכונים לצורך גיבוש ויישום‬
‫דרכים להתמודד איתם‬
‫ ניהול סיכונים מבוצע ברמות שונות‬
‫ כלל הארגון‬
‫ יח' עסקיות‬
‫ תהליכים‬
‫ באירוע משבר‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪13‬‬
‫"כאשר מישהו שואל אותי איך אני‬
‫יכול לתאר את החוויה של כמעט‬
‫ארבעים שנה בים‪ ....‬אני רק אומר‬
‫אין אירועים מיוחדים‪.‬‬
‫כמובן היו סערות‪ ,‬ערפל וכדומה‪,‬‬
‫אבל בכל שנות ניסיוני לא הייתי‬
‫באירוע ששווה לדבר עליו"‪.‬‬
‫אפריל ‪1912‬‬
‫ציטוט של הקברניט הראשון והאחרון של הטיטאניק‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫סיפור הטיטאניק ‪ -‬אסון טבע? או ניהול סיכונים כושל ?‬
‫ על מנת לקדם "יחסי ציבור" ניתנה הנחייה לבחור בנתיב צפוני שלא שטו בו‬
‫מעולם‪.‬‬
‫ רכישת פלדה ברמה נמוכה במטרה להפחית בעלויות ולעמוד בלו"ז‪.‬‬
‫ מחיצות שנועדו לעצור גלישה של מים ולמנוע טביעה ‪ ....‬הוסרו מהקצה‬
‫העליון של האוניה – כדי למנוע אי נוחות לנוסעים במחלקה הראשונה‪.‬‬
‫ חוסר בסירות הצלה – מס' סירות ההצלה צומצם על מנת לא לסתור את‬
‫הקונספט שהטיטאניק לא יכולה לטבוע‪.‬‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪15‬‬
‫אבולוציית ניהול הסיכונים ‪....‬‬
‫הטמעת תהליכי ניהול‬
‫סיכונים חוצי חברה‪ .‬שיתוף‬
‫פעולה ביו הגורמים‬
‫השונים‪ .‬בחינת הקשרים‬
‫בין הסיכונים השונים‪.‬‬
‫ניהול סיכונים מקומי‪ .‬ניהול‬
‫הסיכונים מבוצע ברמת‬
‫היח'‪ .‬זיהוי סיכונים‬
‫בתחומים‪/‬תהליכים‬
‫ספציפיים ללא ראיה כלל‬
‫חברתית וללא תהליך‬
‫ממוסד‪.‬‬
‫‪ERM‬‬
‫אינטגרציה של‬
‫ניהול הסיכונים‬
‫‪Risk Specialization‬‬
‫סקר סיכונים כולל‬
‫קביעת ‪KPI‬ו – ‪KRI‬‬
‫גזברות‬
‫אשראי‬
‫משפטי‬
‫הערך המוסף לארגון‬
‫אופטימיזציה של‬
‫ניהול הסיכונים‬
‫זיהוי הסיכונים מהיבט‬
‫"הארגון"‪.‬‬
‫קישור הסיכונים ליעדי‬
‫הארגון‬
‫התמקדות בנושאים שיכולים‬
‫להפיל את החברה‪.‬‬
‫ביטוח‬
‫ביקורת‬
‫פנים‬
‫התפתחות ניהול הסיכונים‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪16‬‬
‫אבולוציית ניהול הסיכונים ‪....‬‬
‫באיזה שלב‬
‫אתם נמצאים ?‬
‫‪Benchmark‬‬
‫אחוז‬
‫‪ 55%‬אחוז‬
‫ככ‪% --‬‬
‫מהארגונים‬
‫מהארגונים‬
‫אחוז‬
‫‪ 15%‬אחוז‬
‫ככ‪15% --‬‬
‫מהארגונים‬
‫מהארגונים‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫אחוז‬
‫‪ 30%‬אחוז‬
‫ככ‪30% --‬‬
‫מהארגונים‬
‫מהארגונים‬
‫אחוז‬
‫‪ 50%‬אחוז‬
‫ככ‪50% --‬‬
‫מהארגונים‬
‫מהארגונים‬
‫‪17‬‬
‫למה ליישם ניהול סיכונים כולל )‪(ERM‬‬
‫ ערך מוסף‪ .....‬כספי ותפעולי‬
‫ תיאום בין כל הפרויקטים והגורמים העוסקים‬
‫בכך בחברה‬
‫ עמידה בדרישות רגולציה שונות כדוגמת‪:‬‬
‫גושן‪ ,‬רשות ניירות ערך‪ ,IOSA ,‬פנימי‬
‫ ניצול דרישות הרגולציה ליצירת ערך מוסף‬
‫ השפעה על דירוג האשראי של הארגון‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪18‬‬
‫פרויקטים שונים בניהול סיכונים שמבוצעים במקביל‬
‫ד‬
‫ו‬
‫ג‬
‫מה‬
‫‪ERM‬‬
‫תוכנית‬
‫אכיפה‬
‫גושן‬
‫מערכות‬
‫מעילות מערכות‬
‫מידע‬
‫והונאות מידע‬
‫‪SMS‬‬
‫תחזוקה‪,‬‬
‫דלק‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪19‬‬
‫הבעיות במצב הקיים‬
‫ העדר ראיה כוללת‬
‫ד‬
‫ו‬
‫ג‬
‫מה‬
‫ שימוש במושגים שונים‬
‫ דירוג על בסיס פרמטרים שונים‬
‫ שימוש במתודולוגיות שונות‬
‫ ניצול משאבים לא יעיל‬
‫ שיחות וראיונות כפולים ומשולשים‬
‫עם אותם גורמים‬
‫ ריבוי בקרות )כפילות( לאותם‬
‫סיכונים‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪20‬‬
‫גישה כוללת לניהול סיכונים‬
‫מסייע לארגון להשיג את יעדיו‬
‫פעולות‬
‫לניהול הסיכון‬
‫פיננ‬
‫סים‬
‫רגול‬
‫ט‬
‫ו‬
‫ר‬
‫ים‬
‫גבייה‬
‫תחנת‬
‫ישראל‬
‫יחידות ‪ /‬תהליכים‬
‫תפ‬
‫עו‬
‫לים‬
‫תשלומים‬
‫תחזוקת‬
‫מטוסים‬
‫פרסום‬
‫מכירות‬
‫שרות‬
‫מטענים‬
‫שרות‬
‫בטיסה‬
‫משא"ב‬
‫שליטה‬
‫מינהל‬
‫אחזקת‬
‫מטוסים‬
‫הנדסה‬
‫מבצ"א‬
‫הדרכה‬
‫ביקורת‬
‫איכות‬
‫ביטחון‬
‫רכש‬
‫ניהול‬
‫הכנסה‬
‫קב"ט‬
‫שיווק‬
‫לו"ז‬
‫מחשוב‬
‫תכנון‬
‫מסחרי‬
‫משא"ב‬
‫דו"ח כספי‬
‫בטיחות‬
‫גיבויים‬
‫תוא"ר‬
‫לקוחות‬
‫תדלוק‬
‫רא"ג‬
‫אזורים‬
‫עסקי‬
‫אגפים‬
‫יציאה‬
‫מתחום‬
‫הפעילות‬
‫טרט‬
‫גים‬
‫מבצ"ק‬
‫תחזוקה‬
‫מסחר‬
‫ביטחון‪/‬בטיחות‬
‫חטיבות‬
‫קבלת‬
‫הסיכון‬
‫גיוס עובדים‬
‫שרות‬
‫מכירות‬
‫כספים‬
‫רגולציה‬
‫אסטרטגיה‬
‫השגת‬
‫מטרות‬
‫הארגון‬
‫גלגול‬
‫הסיכון‬
‫אס‬
‫סניף‬
‫ישראל‬
‫מערכות‬
‫יחב"ל‬
‫מידע‬
‫תשתיות‬
‫חשבונות‬
‫מחשוב‬
‫שיפוץ‬
‫תקציבים‬
‫מטוסים‬
‫גזבר לוגיסטיקה‬
‫מבצעים‬
‫ריוחיות‪/‬תזרים‬
‫הנהלה בכירה‬
‫נקיטת‬
‫פעולות‪/‬‬
‫בקרות‬
‫סיכונים‬
‫תהליכי עבודה‬
‫להשגת היעדים‬
‫יעדים‪/‬מטרות‬
‫חטיבות‪ /‬אגפים‬
‫יעדים‪/‬מטרות‬
‫הארגון‬
‫לאומיות‬
‫שומר עלינו מצרות‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪21‬‬
‫אז מה זה ‪ERM‬‬
‫גורמים מעורבים‬
‫‪CFO‬‬
‫סיכונים‬
‫‪CEO‬‬
‫רגולציה‪ ,‬מחזיקי עניין‬
‫‪AML‬‬
‫‪PCAOB‬‬
‫‪FDA‬‬
‫‪BOD‬‬
‫‪ISO‬‬
‫‪ERM‬‬
‫‪COSO‬‬
‫‪SOX‬‬
‫‪Solvency‬‬
‫‪HIPPA‬‬
‫‪Basel Solvency‬‬
‫‪COBIT‬‬
‫‪SEC‬‬
‫‪Unit‬‬
‫‪Mangers‬‬
‫‪ERM‬‬
‫ניהול סיכונים כולל ‪ -‬הינו ניהול של מכלול הסיכונים של הארגון תוך‬
‫קשירת יעדי הארגון הסיכונים והגורמים המעורבים בניהול הסיכונים‪.‬‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪22‬‬
‫ממבט המנכ"ל‪.....‬‬
‫עד היום כאשר מנכ"ל היה שומע את המושג סקר סיכונים הוא‬
‫ראה מול העיניים ‪........‬‬
‫השקעת משאבים גדולה ) אלפי שעות(‬
‫הפרעה לפעילות השוטפת‬
‫זיהוי של מאות ואולי אלפי סיכונים קטנים‬
‫ערך מוסף מוגבל‬
‫ספר עבה שנמצא על המדף ‪...........‬‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪23‬‬
‫שתי גישות מרכזיות לזיהוי והערכת סיכונים‪:‬‬
‫גישת " ‪"Bottom Up‬‬
‫הסיכונים מטופלים באמצעות‬
‫ניתוח מעמיק של תהליכי‬
‫העבודה בארגון וזיהוי סיכונים‬
‫ספציפיים ברמת התהליך‬
‫העבודה תתבצע מתוך‬
‫התהליכים ותעלה לעלה אל‬
‫הנהלת הארגון‬
‫בדר"כ מזהה סיכונים פרטנים‬
‫וספציפים‬
‫מיושמת בפרק זמן ארוך‬
‫ דורשת היקף משאבים גדול‬
‫)ביחס ל‪(TDA -‬‬
‫גישת " ‪"Top-Down‬‬
‫ממוקדת לזיהוי ודירוג של הסיכונים‬
‫הקריטיים לארגון‬
‫גישה מדורגת – זיהוי של אזורי סיכון‬
‫– גיבוש תוכנית פעולה לטיפול‬
‫מאפשר לראות את היער מכלל‬
‫העצים‬
‫מאפשרת קבלת תוצר תוך זמן קצר‬
‫דורשת היקף משאבים מצומצם‬
‫)ביחס ל‪(BUA -‬‬
‫מצריכה מעורבות ברמת מנהלים‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪24‬‬
‫אבני דרך לניהול סיכונים כולל )‪(ERM‬‬
‫התנעה‬
‫והגדרות‬
‫זיהוי פערים והגדרת‬
‫פעולות לביצוע‬
‫הגדרת ‪KRI‬‬
‫סקר סיכונים כולל‬
‫)‪(TTTR‬‬
‫הגדרת אחראי‬
‫סיכון‬
‫הקמת צוותי‬
‫סיכונים‬
‫זיהוי‬
‫הבקרות‬
‫ניתוח‬
‫תרחישים‬
‫ניתוח‬
‫הסיכונים‬
‫ניהול הסיכון‪/‬הזדמנות‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫דיווח וניטור‬
‫‪25‬‬
‫מיסוד תהליך ניהול סיכונים ‪ -‬מה ראיתי ושמעתי ‪......‬‬
‫ אנחנו מנהלים סיכונים – יחד עם זאת ברוב החברות זו הייתה הפעם‬
‫הראשונה שההנהלה ישבה ביחד ובחנה במשותף‬
‫ מה הסיכונים של החברה ) לא שלי‪/‬היחידה‪/‬החטיבה(‬
‫ האם אנו מטפלים בהם נכון‬
‫ כיצד ניתן לשפר‬
‫ "וואלה למדנו" – חלק גדול מהמנהלים היה סקפטי לגבי התהליך והערך‬
‫המוסף שיופק ממנו‪ .‬בפועל התהליך טרם גם ברמת ניהול הסיכונים אבל‬
‫גם בתחומים חשובים אחרים‬
‫ "לא היינו מודעים לזה" – מנהלים רבים הופתעו מהיקף ועוצמת הסיכונים‬
‫שהארגון חשוף להם והם לא היו מודעים לכך‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪26‬‬
‫מיסוד תהליך ניהול סיכונים ‪ -‬מה ראיתי ושמעתי ‪......‬‬
‫ "אף אחד לא אחראי לסיכון הזה" – כאשר שמים את כל הסיכונים על‬
‫השולחן ובוחנים אותם ביחד מגלים‪......‬‬
‫ שיש סיכונים שמטופלים על ידי הרבה גורמים )אולי יותר מידי( ויש סיכונים‬
‫שאף אחד לא מטפל בהם‬
‫ יש פערים בין רמת הסיכון לבין הטיפול שניתן להם‬
‫ שכולם אחראים‪...‬אף אחד בעצם לא אחראי‬
‫ אנו מטפלים בסיכונים כל הזמן – נכון !!!‪ ,‬אבל כאשר לא לוקחים את‬
‫מכלול הסיכונים ומדרגים‪ ,‬אז הטיפול נעשה ללא קשר לרמות הסיכון‬
‫ולהשפעתו הפוטנציאלית על הארגון וליעדי הארגון ‪...‬‬
‫ התהליך היה לא פחות חשוב מהתוצר הסופי‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪27‬‬
‫עשרת הסיכונים המשמעותיים לשנת ‪2013‬‬
‫ מטרה – בניית מפת הסיכונים לשנת ‪2013‬‬
‫ איך נעשה את זה –‬
‫•‬
‫•‬
‫בשקפים הבאים מפורטים ‪ 30‬סיכונים גנריים‬
‫עבור כל סיכון יש לדרג את פוטנציאל הנזק שלו – עוצמה )במידה והוא יתממש(‬
‫ואת הסבירות להתממשות הסיכון‬
‫•‬
‫הדירוג מבוצע על בסיס המפתח הבא‬
‫ לאחר הדירוג על ידכם‪ ,‬נאסוף את הנתונים וננתח אותם‪.‬‬
‫ עשרת הסיכונים המשמעותיים לשנת ‪ 2013‬כפי שבאו לידי ביטוי על ידכם‬
‫יוצגו מחר ‪....‬‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪28‬‬
‫דוגמה למפת הסיכונים של ‪Air Gil -‬‬
‫‪ .1‬עלויות ניהול‬
‫‪ .2‬יחסי עבודה – איגודים מקצועיים‪ ,‬פנסיה‪ ,‬פרודוקטיביות‬
‫‪ .4‬צי מטוסים – תמהיל ציי‪ ,‬זמינות מטוסים חדשים‪ ,‬מימון‬
‫‪ .5‬תרבות – ניהול‪ ,Tone at the top ,‬מבנה ארגוני‬
‫רגו‬
‫לצ‬
‫יה‬
‫‪ .3‬תחרות – רכבות‪ ,‬הובלה יבשתית‬
‫פינ‬
‫נ‬
‫סי‬
‫‪ .2‬יחסי עבודה‬
‫‪ .6‬בטיחות – עמידה ב‪SOP’s -‬‬
‫‪ .9‬דלק‬
‫‪ .10‬מקרו כלכלה‬
‫‪Low Cost .7‬‬
‫‪ .8‬מטבעות ושע"ח – תנודתיות מטבעות‪ ,‬שיעורי ריבית‬
‫‪ .8‬מטבעות ושע"ח‬
‫‪ .18‬שינוים רגולטורים‬
‫‪ .9‬דלק – עליית מחירים‪ ,‬הקושי לעקוב אחר תנודתיות המחיר‬
‫‪,‬מגבלות להגיב לתנודתיות‬
‫‪ .10‬מקרו‪-‬כלכלה – קיטון בביקוש לטיסות בעקבות המשבר‬
‫הכלכלי‬
‫‪ .11‬מיזוגים ובריתות‬
‫‪ .12‬טכנולוגיה ומערכות מידע – שיבושים‪ ,‬המשכיות עסקית‪,‬‬
‫הזדקנות מערכות‬
‫‪ .19‬תזרים מזומנים‬
‫‪ .17‬ספקים‬
‫‪ .12‬טכנולוגיה ומערכות‬
‫מידע‬
‫‪ .16‬מגיפות ‪ .6‬בטיחות‬
‫‪ .15‬טרור‬
‫‪ .16‬מגיפות‬
‫‪ .11‬מיזוגים ובריתות‬
‫‪ .5‬תרבות‬
‫‪ .14‬אירועי טבע‬
‫‪ .13‬ניהול ובקרת חוזים‬
‫‪ .14‬אירועי טבע )התפרצות געשית‪ ,‬רעידת אדמה(‬
‫‪ .3‬תחרות‬
‫‪ .13‬ניהול ובקרת ‪ .15‬טרור‬
‫חוזים‬
‫תפ‬
‫ע‬
‫ו‬
‫לי‬
‫‪ .1‬עלות ניהול‬
‫‪ .17‬ספקים – תלות בספקים‬
‫‪ 4‬ציי מטוסים‬
‫‪Low Cost .7‬‬
‫א‬
‫טגי‬
‫טר‬
‫ס‬
‫‪ .18‬שינויים – זיהום אויר‪ ,‬ביטחון תובלה‪ ,‬בטיחות מזון‬
‫‪ .19‬תזרים מזומנים ‪ -‬תזרים מזומנים שאינו מאפשר ניהול‬
‫ומילוי התחייבויות‬
‫עליה בדירוג ביחס לשנה קודמת‬
‫לעשות שימוש‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק‬
‫סיכון חדש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫ירידה בדירוג ביחס‬
‫לשנה קודמת‬
‫‪29‬‬
‫רשימת הסיכונים לדירוג‬
‫‪.1‬‬
‫תחרות‬
‫‪ .16‬אירועי ביטחון‬
‫‪.2‬‬
‫מודלים עסקיים חדשים‬
‫‪ .17‬מימון וגיוס‬
‫‪.3‬‬
‫שינוי צרכני‪/‬לקוחות‬
‫‪ .18‬אשראי‬
‫‪.4‬‬
‫פוליטים וגיאופוליטים‬
‫‪ .19‬נזילות‬
‫‪.5‬‬
‫ירידת שווי נכסים‬
‫‪ .20‬שוק )מט"ח‪ ,‬אינפלציה(‬
‫‪.6‬‬
‫התפתחות טכנולוגית‬
‫‪ .21‬ייצור‪/‬תפעול‪/‬פיתוח‬
‫‪.7‬‬
‫כשל במערכות מידע ותקשורת ‪ .22‬שרשרת אספקה‬
‫‪.8‬‬
‫סייבר ואבטחת מידע‬
‫‪ .23‬איכות המוצר‬
‫‪.9‬‬
‫מחיר חומ"ג ודלק‬
‫‪ .24‬מוניטין‪/‬תדמית‬
‫יחסי‬
‫ירידת שווי‬
‫נכסים‬
‫עבודה‬
‫אירועי‬
‫ביטחון‬
‫‪18‬‬
‫שינוי‬
‫צרכני‪/‬לקוחות‬
‫‪3‬‬
‫‪14‬‬
‫‪5‬‬
‫סייבר ואבטחת‬
‫מידע‬
‫‪8‬‬
‫תחרות‬
‫פוליטים‬
‫וגיאופוליטים‬
‫‪1‬‬
‫הון אנושי‬
‫מוניטין‪/‬תדמית‬
‫‪4‬‬
‫‪26‬‬
‫‪ .10‬רגולאציה וציות‬
‫‪ .25‬סביביתים )ירוק‪(..‬‬
‫‪ .11‬מקרו כלכלה‬
‫‪ .26‬מס‬
‫‪ .12‬יחסי עבודה‬
‫‪ .27‬אקטואריה‬
‫‪ .13‬הון אנושי‬
‫‪ .28‬ביטוח‬
‫‪ .14‬קיצוץ עלויות‬
‫‪ .29‬מעילות והונאות‬
‫‪ .15‬כח עליון‬
‫‪ .30‬בקרה פנימית‬
‫‪23‬‬
‫התפתחות‬
‫טכנולוגית‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪15‬‬
‫‪2‬‬
‫מודלים עסקיים‬
‫חדשים‬
‫פרוט הסיכונים‬
‫סיווג הסיכון‬
‫‪1‬‬
‫תחרות‬
‫‪2‬‬
‫מודלים עסקיים חדשים‬
‫‪3‬‬
‫שינוי צרכני‪/‬לקוחות‬
‫‪4‬‬
‫פוליטיים וגיאופוליטיים‬
‫‪5‬‬
‫ירידת שווי נכסים‬
‫‪6‬‬
‫התפתחות טכנולוגית‬
‫‪7‬‬
‫כשל במערכות מידע‬
‫ותקשורת‬
‫סייבר ואבטחת מידע‬
‫‪9‬‬
‫מחיר חומ"ג ודלק‬
‫‪10‬‬
‫רגולאציה וציות‬
‫הגדרת הסיכון‬
‫‪,‬‬
‫‪,‬‬
‫‪8‬‬
‫‪,‬‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫פרוט הסיכונים‬
‫‪11‬‬
‫סיווג הסיכון‬
‫מקרו כלכלה‬
‫‪12‬‬
‫יחסי עבודה‬
‫‪13‬‬
‫הון אנושי‬
‫‪14‬‬
‫‪15‬‬
‫קיצוץ עלויות‬
‫כח עליון‬
‫‪16‬‬
‫אירועי ביטחון‬
‫‪17‬‬
‫מימון וגיוס‬
‫‪18‬‬
‫אשראי‬
‫‪19‬‬
‫נזילות‬
‫‪20‬‬
‫שוק )מט"ח‪,‬‬
‫אינפלציה(‬
‫הגדרת הסיכון‬
‫או‬
‫‪,‬‬
‫‪,‬‬
‫בעלי‬
‫‪.‬‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫פרוט הסיכונים‬
‫‪21‬‬
‫סיווג הסיכון‬
‫ייצור‪/‬תפעול‪/‬פיתוח‬
‫הגדרת הסיכון‬
‫סיכונים הקשורים לכשלים תפעוליים‪ ,‬ולסכנות הכרוכות בפעולות ייצור ועבודה בסביבה מכאנית‪ .‬אלה‬
‫עלולים להוביל לפגיעה בעובדים‪ ,‬לתקלות‪ ,‬להשבתת מערכות ולהפסדים כספיים‪.‬‬
‫‪22‬‬
‫שרשרת אספקה‬
‫‪23‬‬
‫איכות המוצר‬
‫‪24‬‬
‫מוניטין‪/‬תדמית‬
‫סיכונים הקשורים בשרשרת האספקה של החברה‪ ,‬לרבות ליקויים באופן שבו היא מנהלת את ספקיה‬
‫בעקבותיהם יגרמו הפסדים או פגיעה בכושרה התפעולי‪.‬‬
‫סיכונים הקשורים להגדרות הבדיקה של הליך הייצור‪ ,‬מקבלת חומרי הגלם ועד לבדיקת המוצרים‬
‫המוגמרים מטרת הבדיקה היא להבטיח קיום המפרטים הנדרשים‪ ,‬ולשמור על הרמה הרצויה שנקבעה לגבי‬
‫איכות ותקן המוצרים או תפקודם‪.‬‬
‫סיכונים הקשורים בפגיעה בתדמית החברה בשל התנהלות לא הולמת‪ ,‬או לא ראויה‪ ,‬של גורמים רלבנטיים‬
‫בה פגיעה כזו תשפיע על יחסי הגומלין בין החברה לבין לקוחות‪ ,‬עובדים ומשקיעים‪ .‬היא גם עלולה‬
‫להוביל לאובדן לקוחות ירידה בהכנסות‪ ,‬תביעות משפטיות‪ ,‬והוצאות משפטיות ואחרות‪.‬‬
‫‪25‬‬
‫סביבתיים )ירוק‪(..‬‬
‫‪26‬‬
‫מס‬
‫‪27‬‬
‫אקטואריה‬
‫‪28‬‬
‫ביטוח‬
‫‪29‬‬
‫מעילות והונאות‬
‫‪30‬‬
‫בקרה פנימית‬
‫סיכונים של גרימת מפגעים סביבתיים עקב פעילות החברה‪ ,‬לרבות זיהום מי ים‪ ,‬פליטה של חומרים מזהמים‬
‫לאוויר‪ ,‬קרינה בלתי מייננת וכו ‪.‬‬
‫סיכונים הקשורים בהיבטי מיסוי חברות‪ ,‬לרבות התנהלות מול רשויות מס‪ ,‬מיסוי בין לאומי בחברות‬
‫הפועלות גם בחו ל‪ ,‬שינויים רגולטורים‪ ,‬שקיפות וגילוי‪.‬‬
‫סיכונים הקשורים בתנודתיות ובאיזון אקטוארי של קרנות הפנסיה של עובדי החברה‪ ,‬מימוש הסיכון יצריך‬
‫את החברה להזרים הון לקרן‪ ,‬על מנת להשיב האיזון האקטוארי‪.‬‬
‫סיכונים הקשורים לביטוח רכוש או אדם‪ ,‬לחבות ביטוח‪ ,‬או להיעדר ביטוח הולם‪ ,‬העלולים לגרום לנזק כספי‬
‫או אחר‪.‬‬
‫סיכונים הקשורים לאפשרות של מעילה‪ ,‬או הונאה‪ ,‬בהיקפים שונים‪ ,‬או במעורבות גורמים בכירים בחברה‬
‫במעשים העלולים לחשוף אותה לנזק כספי ותדמיתי‪.‬‬
‫סיכונים הקשורים לליקויים בבקרה הפנימית‪ ,‬לעמידה בתקנות הדיווח הכספי‪ ,‬אם בשל טעות אנוש או בשל‬
‫היעדר בקרות פנימיות הנדרשות ע י הרגולטור‪ .‬ליקויים הגורמים לפרסום מאוחר של הדוחות‪ ,‬שאינו עומד‬
‫בלוח הזמנים שנקבע ע י המחוקק‪ .‬ליקויים אלה יגרמו לפגיעה במוניטין‪ ,‬ובמהימנות הדוחות הכספיים‬
‫המבוקרים של החברה‪ ,‬בעיני משתמשי הדוחות הכספיים‪ ,‬לרבות השווקים הפיננסים‪.‬‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫שאלות ‪....‬‬
‫נתראה מחר ‪............‬‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫תודה רבה!‬
‫לפרטים נוספים – גיל ֶּבר‬
‫‪gilber.cpa.cia@gmail.com‬‬
‫‪054-2466718‬‬
‫כל הזכויות שמורות לגיל ֶּבר‪ ,‬רו"ח‪ .MA ,CRISC ,CIA ,‬אין לפרסם‪ ,‬להעתיק לעשות שימוש‬
‫ללא אישור מראש של גיל ֶּבר‪.‬‬
‫‪35‬‬