ניהול סיכונים ארגוני (erm): מה זה ואיך זה עובד

מהו ניהול סיכונים ארגוני (ERM)?

מהו ניהול סיכונים ארגוני (ERM)? ניהול סיכונים ארגוני (ERM) היא מתודולוגיה הבוחנת את ניהול הסיכונים באופן אסטרטגי מנקודת המבט של החברה או הארגון כולו. זוהי אסטרטגיה מלמעלה למטה שמטרתה לזהות, להעריך ולהתכונן להפסדים פוטנציאליים, סכנות, סיכונים ופוטנציאלים אחרים של נזק שעלולים להפריע לפעילות וליעדי הארגון ו/או להוביל להפסדים.

מהו ניהול סיכונים ארגוני (ERM)? – נקודות מרכזיות

ניהול סיכונים ארגוני (ERM) הוא אסטרטגיה כלל-פירמה לזיהוי והיערכות לסיכונים עם הכספים, הפעילות והיעדים של החברה.

ERM מאפשר למנהלים לעצב את עמדת הסיכון הכוללת של הפירמה על ידי מתן מנדט למגזרים עסקיים מסוימים לעסוק או להתנתק מפעילויות מסוימות.

ניהול סיכונים מסורתי, המותיר את קבלת ההחלטות בידיים של ראשי אגפים, יכול להוביל להערכות סתום שאינן מתחשבות בחטיבות אחרות.

מסגרת COSO לניהול סיכונים ארגוניים מזהה שמונה מרכיבי ליבה של פיתוח שיטות ERM.

אסטרטגיות ERM מוצלחות יכולות להפחית סיכונים תפעוליים, פיננסיים, ביטחוניים, תאימות, משפטיים ועוד סוגים רבים אחרים.

הבנת ניהול סיכונים ארגוניים (ERM)

ניהול סיכונים ארגוני נוקט בגישה הוליסטית וקורא לקבלת החלטות ברמת הניהול שאולי לא בהכרח הגיוניות עבור יחידה עסקית או מגזר בודד. לפיכך, במקום שכל יחידה עסקית תהיה אחראית על ניהול הסיכונים שלה, ניתנת עדיפות לפיקוח כלל הפירמה.

זה גם כרוך לעתים קרובות בהפיכת תוכנית הפעולה לסיכון לזמינה לכל בעלי העניין כחלק מדוח שנתי. תעשיות מגוונות כמו תעופה, בנייה, בריאות הציבור, פיתוח בינלאומי, אנרגיה, פיננסים וביטוח, כולן עברו לשימוש ב-ERM.

לכן, ERM יכול לפעול כדי למזער את הסיכון המשרדי, כמו גם לזהות הזדמנויות ייחודיות. תקשורת ותיאום בין יחידות עסקיות שונות הם המפתח להצלחת ERM, שכן החלטת הסיכון שמגיעה מההנהלה הבכירה עשויה להיראות בסתירה להערכות המקומיות בשטח. לחברות המשתמשות ב-ERM יהיה בדרך כלל צוות ייעודי לניהול סיכונים ארגוני המפקח על פעולת החברה.

בעוד ששיטות העבודה והסטנדרטים המומלצים של ERM עדיין מתפתחים, הם עברו צורה רשמית באמצעות COSO, קבוצת תעשייה שמתחזקת ומעדכנת הנחיות כאלה עבור חברות ואנשי מקצוע בתחום ה-ERM.

גישה הוליסטית לניהול סיכונים

עסקים מודרניים מתמודדים עם מערך מגוון של סיכונים וסכנות פוטנציאליות. בעבר, חברות טיפלו באופן מסורתי בחשיפת הסיכון שלהן באמצעות כל חטיבה שניהלה את העסק שלה. ניהול סיכונים ארגוני קורא לתאגידים לזהות את כל הסיכונים העומדים בפניהם. זה גם גורם להנהלה להחליט אילו סיכונים לנהל באופן אקטיבי. בניגוד לסיכונים המושתקים על פני חברה, חברה רואה את התמונה הרחבה יותר בעת שימוש ב-ERM.

ERM מסתכל על כל יחידה עסקית כ"פורטפוליו" בתוך הפירמה ומנסה להבין כיצד הסיכונים ליחידות עסקיות בודדות מתקשרים וחופפים. זה גם מסוגל לזהות גורמי סיכון פוטנציאליים שאינם נראים על ידי כל יחידה בודדת.

חברות מנהלות סיכונים כבר שנים. ניהול סיכונים מסורתי מסתמך על כך שכל יחידה עסקית מעריכה ומטפלת בסיכון שלה ולאחר מכן תדווח למנכ"ל במועד מאוחר יותר. לאחרונה, חברות החלו להכיר בצורך בגישה הוליסטית יותר.

מנהל סיכונים ראשי (CRO), למשל, הוא תפקיד ניהולי תאגידי הנדרש מנקודת מבט של ERM. ה-CRO אחראי על זיהוי, ניתוח והפחתת סיכונים פנימיים וחיצוניים המשפיעים על התאגיד כולו. ה-CRO פועל גם כדי להבטיח שהחברה תעמוד בתקנות ממשלתיות, כגון Sarbanes-Oxley(SOX), וסוקר גורמים שעלולים לפגוע בהשקעות או ביחידות העסקיות של החברה. המנדט של ה-CRO יפורט בשיתוף עם הנהלה בכירה אחרת יחד עם הדירקטוריון ובעלי עניין אחרים.

מרכיבי ניהול סיכונים ארגוניים

מסגרת ניהול הסיכונים הארגונית של COSO מזהה שמונה מרכיבי ליבה המגדירים כיצד חברה צריכה לגשת ליצירת שיטות ה-ERM שלה.

סביבה פנימית

הסביבה הפנימית של החברה היא האווירה והתרבות התאגידית בחברה שנקבעו על ידי עובדיה. זה קובע את הבכורה של התיאבון לסיכון של החברה ומה הפילוסופיה של ההנהלה לגבי סיכון. הסביבה הפנימית עשויה להיות מוגדרת על ידי ההנהלה העליונה או הדירקטוריון ומועברת בכל הארגון, אם כי היא משתקפת לרוב דרך הפעולות של כל העובדים.

הגדרת מטרה

מכיוון שחברה קובעת את מטרתה, עליה להגדיר יעדים התומכים במשימה ובמטרות של החברה. לאחר מכן יש להתאים יעדים אלה לתיאבון הסיכון של החברה. לדוגמה, חברה שאפתנית שקבעה תוכניות אסטרטגיות מרחיקות לכת חייבת להיות מודעת לכך שעשויים להיות סיכונים פנימיים או סיכונים חיצוניים הקשורים למטרות הנעלות הללו. בתגובה, חברה יכולה להתאים את הצעדים שיש לנקוט עם מה שהיא רוצה להשיג, כמו גיוס צוות רגולטורי נוסף לאזורי התרחבות שהיא לא מכירה כרגע.

זיהוי אירוע

אירועים חיוביים עשויים להשפיע רבות על החברה. מצד שני, לאירועים שליליים עלולות להיות תוצאות מזיקות ליכולתה של החברה להמשיך לפעול. הנחיות ERM ממליצות לחברות לזהות תחומים חשובים בעסק ואירועים נלווים שעשויים להיות להם תוצאות קשות. אירועים בסיכון גבוה אלו עלולים להוות סיכונים לפעילות (כלומר אסונות טבע המאלצים משרדים להיסגר זמנית) או אסטרטגיים (כלומר רגולציה ממשלתית אוסרת את קו המוצרים העיקרי של החברה).

הערכת סיכונים

בנוסף להיותה מודע למה שעלול לקרות, מסגרת ERM מפרטת את השלב של הערכת סיכונים על ידי הבנת הסבירות וההשפעה הפיננסית של סיכונים. זה כולל לא רק את הסיכון הישיר (כלומר אסון טבע מניב משרד בלתי שמיש) אלא סיכונים שיוריים (כלומר, העובדים עלולים לא להרגיש בטוחים לחזור למשרד). למרות שהיא קשה, מסגרת ה-ERM מעודדת חברות לשקול לכמת סיכונים על ידי הערכת אחוז השינוי בהתרחשות וכן את ההשפעה על הדולר.

תגובה לסיכון

חברה יכולה להגיב לסיכון בארבע הדרכים הבאות:

החברה יכולה להימנע מסיכון. הדבר מביא לכך שהחברה עוזבת את הפעילות הגורמת לסיכון שכן החברה מעדיפה לוותר על יתרונות הפעילות מאשר לשאת בסיכון. דוגמה להימנעות מסיכון היא חברה שמכבה קו מוצרים ומפסיקה למכור סחורה ספציפית.

החברה יכולה להפחית סיכון. הדבר מביא לכך שהחברה נשארת מעורבת בפעילות אך משקיעה מאמץ במזעור הסבירות או גודל הסיכון. דוגמה להפחתת סיכונים היא חברה ששומרת על קו המוצרים שלמעלה פתוח אך משקיעה יותר בבקרת איכות או בחינוך לצרכן כיצד להשתמש בנכס במוצר.

החברה יכולה לשתף סיכון. כתוצאה מכך החברה מתקדמת כמות שהיא עם פרופיל הסיכון הנוכחי של הפעילות. עם זאת, החברה ממנפת צד שלישי בלתי תלוי כדי להשתתף בהפסד הפוטנציאלי תמורת עמלה. דוגמה לחלוקת סיכונים היא רכישת פוליסת ביטוח.

החברה יכולה לקבל סיכון. זה מביא לכך שהחברה מנתחת את התוצאות הפוטנציאליות וקובעת אם כדאי מבחינה פיננסית להמשיך בשיטות ממתן. דוגמה לקבלת סיכונים היא שהחברה שומרת על קו המוצרים פתוח ללא שינויים בתפעול ובחלוקת סיכונים.

פעילויות בקרה

פעילויות בקרה הן הפעולות שמבצעת חברה כדי ליצור מדיניות ונהלים כדי להבטיח שההנהלה תבצע פעולות תוך הפחתת סיכונים. פעילויות בקרה, המכונה לעתים קרובות בקרות פנימיות, מחולקות לשני סוגים שונים של תהליכים:

קיימות פעילויות בקרה מונעת כדי לעצור פעילות מלהתרחש. בקרות אלה מטרתן להפחית סיכונים על ידי אי מתן אפשרות לאירועים מסוימים להתרחש. דוגמה לבקרה מונעת היא לוח מקשים או מנעול פיזי המונע מכל העובדים להיכנס לאזור רגיש.

פעילויות בקרת בילוש קיימות כדי לזהות מתי התרחשה פעולה מסוכנת. למרות שהאירוע מותר לקרות (או לא היה אמור לקרות אבל עדיין קרה), בקרות בילוש עשויות להתריע בפני ההנהלה כדי להבטיח שצעדי מעקב מתאימים מתרחשים. דוגמה לבקרת בילוש היא אזעקה לחדר או l

מידע ותקשורת

מערכות מידע צריכות להיות מסוגלות ללכוד נתונים שימושיים להנהלה כדי להבין טוב יותר את פרופיל הסיכון של החברה וניהול הסיכונים. משמעות הדבר היא אי מתן חריגים למחלקות העולות על אחרים; כל ההיבטים של החברה צריכים להיות במעקב מתמשך. בהרחבה, יש לנתח חלק מהנתונים הללו ולמסור אותם לעובדים אם הם רלוונטיים להפחתת הסיכון. על ידי תקשורת עם עובדים, סביר יותר שתהיה רכישה גדולה יותר לתהליכים ולהגנה על נכסי החברה.

ניטור

חברה יכולה לפנות לוועדה פנימית או למבקר חיצוני כדי לבחון את המדיניות והנהלים שלה. זה עשוי לכלול סקירה של מה שבוצע בפועל בהשוואה למה שמציעים מסמכי מדיניות. זה עשוי לכלול גם קבלת משוב, ניתוח נתוני החברה ומידע להנהלה על סיכונים לא מוגנים. בסביבה המשתנה ללא הרף, חברות חייבות להיות מוכנות גם להעריך את סביבת ה-ERM שלהן ולבצע ציר לפי הצורך.

כיצד ליישם נוהלי ניהול סיכונים ארגוניים

נוהלי ERM ישתנו בהתאם לגודל החברה, העדפות הסיכון והיעדים העסקיים. להלן שיטות עבודה מומלצות שרוב החברות יכולות להשתמש בהן כדי ליישם אסטרטגיות ERM.

הגדר את פילוסופיית הסיכון. לפני יישום שיטות עבודה כלשהן, חברה חייבת לזהות איך היא מרגישה לגבי סיכון ומה תהיה האסטרטגיה שלה סביב סיכון. זה צריך לכלול דיונים אסטרטגיים בין ההנהלה וניתוח של כל פרופיל הסיכון של החברה.

צור תוכניות פעולה. עם פילוסופיית הסיכון של החברה ביד, הגיע הזמן ליצור תוכנית פעולה. זה מגדיר את הצעדים שחברה צריכה לנקוט כדי להגן על נכסיה ותכניות להגן על עתיד הארגון לאחר ביצוע הערכת סיכונים.

היה יצירתי. כאשר בוחנים סיכונים, ERM כרוך בחשיבה רחבה על הבעיות שעומדות בפני החברה. למרות שזה מופרך, זה האינטרס של החברה לחשוב על כמה שיותר אתגרים היא עלולה להתמודד ואיך היא תגיב (או תחליט לא להגיב) אם האירוע יקרה.

תקשור עדיפויות. חברה עשויה לקבוע כמה סיכונים חשובים הם קריטיים כדי להפחית להמשך החברה. יש למסור את סדרי העדיפויות הללו ולהבין אותם באופן רחב כסיכונים שאסור להיגרם להם בשום מצב. לחלופין, חברה עשויה לרצות למסור את התוכניות אם האירוע היה מתרחש.

הקצה אחריות. כאשר תוכנית פעולה נוצרה, יש לזהות עובדים ספציפיים לביצוע חלקים ספציפיים של התוכנית. זה עשוי לכלול האצלת משימות לתפקידים ספציפיים אם עובדים יעזבו את החברה. זה לא רק מאפשר לעבוד על כל פריטי הפעולה, אלא גם יגרום לחברים להיות אחראים לאזור/ים הסיכון שלהם.

שמור על גמישות. ככל שחברות וסיכונים מתפתחים, חברה חייבת לעצב נהלי ERM כך שיהיו ניתנים להתאמה. הסיכונים שעומדים בפני חברה יום אחד עשויים להיות שונים למחרת; החברה חייבת להיות מסוגלת לשאת את התוכנית הנוכחית שלה תוך שהיא מתכננת תוכניות לסיכונים עתידיים חדשים.

מנף את הטכנולוגיה. פלטפורמות דיגיטליות ERM עשויות לארח, לסכם ולעקוב אחר רבים מהסיכונים של חברה. ניתן להשתמש בטכנולוגיה גם כדי ליישם בקרות פנימיות או לאסוף נתונים על האופן שבו הביצועים עוקבים אחר שיטות ה-ERM.

מעקב מתמשך. ברגע שנוקטים נהלי ERM, חברה חייבת להבטיח שהנוהלים יישמרו. משמעות הדבר היא מעקב אחר ההתקדמות לעבר יעדים, הבטחת סיכונים מסוימים מופחתים, והעובדים מבצעים משימות כצפוי.

השתמש במדדים. כחלק מפיקוח על נהלי ERM, חברה צריכה לפתח סדרה של מדדים כדי לאמוד באופן כימותי אם היא עומדת ביעדים. מכונים לעתים קרובות יעדי SMART, מדדים אלה מחזיקים חברה אחראית אם היא עמדה ביעדים או לא.

יתרונות וחסרונות של ניהול סיכונים ארגוניים

היתרונות של ERM

ERM קובע את הציפיות הכלל-ארגוניות סביב תרבות החברה. זה כולל תקשורת פתוחה יותר לגבי הסיכונים שעומדים בפני החברה וכיצד לצמצם אותם. זה מוביל פחות סיכונים בלתי צפויים וכיוון מודרך יותר כיצד להגיב לאירועים מסוימים.

בנוסף, זה עשוי להוביל לשביעות רצון גבוהה יותר של העובדים בידיעה שקיימות תוכניות להגנה על משאבי החברה, כמו גם שירות לקוחות גדול יותר לדעת כיצד להגיב ללקוחות במקרה של סיכונים מסוימים.

שיטות ERM מסונתזות לרוב על ידי דוח סיכונים סטנדרטי המועבר להנהלה העליונה. דוח זה מסכם בתמציתיות את הסיכונים שעומדים בפני החברה, הפעולות הננקטות והמידע הדרוש לקבלת החלטות. כתוצאה מכך, חברה עשויה להיות יעילה יותר בזמן שלה, במיוחד בהתחשב במה שמועבר להנהלה העליונה

ל-ERM עשויה להיות גם השפעה חיובית כלל החברה על התושייה של העסק. ERM עשוי לבטל תהליך מיותר, להבטיח שימוש יעיל בצוות, להפחית גניבה או להגדיל את הרווחיות על ידי הבנה טובה יותר לאילו שווקים להיכנס.

חסרונות של ERM

כאשר חברה בונה את נוהלי ה-ERM שלה, סביר להניח שהיא תשקול סיכונים מוכרים להם היא נחשפה בעבר. לכן, ERM מוגבל בזיהוי סיכונים עתידיים שהארגון אינו מודע להם, שעלולים להיות להם השפעות מזיקות יותר. באופן זה, חלקם עשויים לראות ב-ERM כתגובתי מכיוון שחברות יכולות לחזות סיכון רק על סמך מה שיש להן ניסיון קודם.

ERM גם מסתמך במידה רבה על הערכות ותשומות של ההנהלה. זה עשוי להיות כמעט בלתי אפשרי לחזות במדויק. לדוגמה, בסיכוי הנמוך מאוד שחברה חוזה את התרחשות מגיפת COVID-19, האם חברה תוכל לחשב במדויק את ההשפעה הפיסקלית של סגירת עסקים או שינויים בהוצאות הצרכנים? גם עלויות הפחתת ERM עשויות להיות קשות להערכה.

שיטות ERM הן זמן רב ולכן דורשות משאבים של החברה כדי להצליח. למרות שהחברה תרוויח מהגנה על נכסיה, חברה חייבת לגרוע מהצוות שלה ועשויה לעשות השקעות הון כדי ליישם אסטרטגיות ERM. בנוסף, חברה עשויה להתקשות לכמת את הצלחת ה-ERM מכיוון שפשוט יש לצפות סיכונים פיננסיים שאינם מתרחשים.

שיטות ERM

יתרונות

עשויים להפוך חברה מוכנה יותר לסיכונים ואי ודאויות

עשוי להשאיר את העובדים מרוצים יותר מהמצב העתידי של החברה

עשוי להביא לשירות לקוחות גדול יותר שכן חברות ערוכות למצבים מסוימים

עשוי להביא לדיווח יעיל להנהלה העליונה שמשפר את קבלת ההחלטות

עשוי להוביל לפעילות יעילה יותר כלל החברה

חסרונות

ייתכן שלא יזהה במדויק את הסיכונים שחברה צפויה לחוות

עשוי שלא להעריך במדויק את ההשפעה הכספית או את הסבירות לתוצאה

לעתים קרובות דורש מחברה השקעת זמן על מנת להצליח

לעתים קרובות דורש השקעה הון מחברה על מנת להצליח

לאילו סוגי סיכונים מטפל ניהול סיכונים ארגוני?

ERM יכול לעזור לתכנן תוכניות כמעט לכל סוג של סיכון עסקי. סיכון עסקי מאיים על יכולתה של החברה לשרוד, וסיכונים אלה עשויים להיות מסווגים עוד יותר לסיכונים שונים שיידונו להלן. באופן כללי, ERM מטפל לרוב בסוגי הסיכונים הבאים:

ציות לציות מאיים על חברה עקב הפרה של חוק או דרישה חיצונית. דוגמה לסיכון ציות היא חוסר היכולת של חברה להפיק דוחות כספיים בזמן בהתאם לכללי החשבונאות החלים כגון GAAP.

סיכון משפטי מאיים על חברה אם החברה תעמוד בפני תביעה או קנס בגין בעיות חוזיות, מחלוקות או רגולטוריות. דוגמה לסיכון משפטי היא מחלוקת חיוב עם לקוח מרכזי.

סיכון אסטרטגי מאיים על התוכנית ארוכת הטווח של החברה. לדוגמה, משתתפים חדשים בשוק עשויים בעתיד להחליף את החברה כספקית העלות הנמוכה ביותר של סחורה.

סיכון תפעולי מאיים על הפעילות השוטפת הנדרשת לפעילות החברה. דוגמה לסיכון תפעולי הוא אסון טבע הפוגע במחסן של החברה בו מאוחסן המלאי.

סיכון אבטחה מאיים על נכסי החברה אם נכסים פיזיים או דיגיטליים מנוצלים שלא כדין. דוגמה לסיכון אבטחה היא בקרות לא מספקות המפקחות על פרטי לקוח רגישים המאוחסנים בשרתי רשת.

סיכון פיננסי מאיים על החוב או על מצבה הפיננסי של חברה. דוגמה לסיכון פיננסי היא הפסדי תרגום על ידי החזקת מטבע חוץ.

מהו ERM ומדוע הוא חשוב?

ERM היא גישה של חברה לניהול סיכונים. אלו הנוהלים, המדיניות והמסגרת לאופן שבו חברה מטפלת במגוון סיכונים העומדים בפני העסקים שלה. ERM חשוב מכיוון שהוא עוזר למנוע הפסדים או תוצאות שליליות בלתי צפויות. ERM חשוב גם מכיוון שהוא עוזר לחברה להגדיר את התוכניות כדי לגשת אסטרטגית לסיכון ולצבור רכישת עובדים.

מהם 3 סוגי הסיכון הארגוני?

ERM לרוב מסכם את הסיכונים שעומדים בפני החברה לסיכונים תפעוליים, פיננסיים ואסטרטגיים. סיכונים תפעוליים משפיעים על התפעול השוטף, בעוד סיכונים אסטרטגיים משפיעים על תוכניות ארוכות טווח. סיכונים פיננסיים משפיעים על המצב הפיננסי הכללי ועל בריאותה של חברה.

מהם 8 המרכיבים של ERM?

מסגרת COSO עבור ERM מזהה שמונה מרכיבים: סביבה פנימית, הגדרת מטרה, זיהוי אירועים, הערכת סיכונים, תגובת סיכונים, פעילויות בקרה, מידע ותקשורת וניטור. שמונת מרכיבי הליבה הללו מניעים את שיטות ה-ERM של החברה.

מה ההבדל בין ניהול סיכונים לניהול סיכונים ארגוני?

ניהול סיכונים שימש באופן מסורתי כדי לתאר את הפרקטיקות והמדיניות סביב סיכון ספציפי שעומד בפני החברה. ניהול סיכונים מודרני יותר הציג את ERM, גישה מקיפה, כלל-חברה, לצפייה בסיכון באופן הוליסטי עבור החברה כולה.

סיכום ומסקנות

כאשר חברה מייצרת, מוכרת ומספקת מוצרים ללקוחות, היא עומדת בפני אינספור סיכונים ממקורות רבים. כדי לתכנן טוב יותר את הסיכונים הללו, חברות פונות לניהול סיכונים ארגוניים, גישה כלל החברה, מלמעלה למטה, של הערכת סיכונים ותכנון תוכניות. המטרה הסופית של ERM היא להגן על הנכסים והפעילות של החברה תוך כדי אסטרטגיות למקרה שיתרחשו אירועים מצערים מסוימים.

tradingpedia.co.il -> powered by : Sakara