ענף התעשייה הביטחונית בישראל מאופיין בארגונים בהם מספר רב של עובדים והמשקיעים סכומי כסף גבוהים מאוד במחקר ובפיתוח בשל הצורך העולה וגובר בטכנולוגיה חדישה ומתוחכמת. ארגונים אלו מייצרים, בין היתר, מערכות מיגון ואמצעי הגנה מפני גורמים מסכנים שונים, אבל מהו אמצעי ההגנה שעשוי להגן על הארגונים עצמם? וכיצד?
כל ארגון פועל תחת הרכב גדול ומגוון של סיכונים המשפיעים עליו בזמן אמת או העלול להשפיע בעתיד על פעילויותיו התפעוליות ו/או על תוצאותיו העסקיות. מכלול האירועים והגורמים אשר עלולים לגרום להפסד כספי ישיר או עקיף לארגון מכונים סיכונים תפעוליים. סיכונים אלו נובעים מגורמים שונים, הן פנימיים כגון כשל בתהליכים פנימיים וכשל בתפקוד אנשים ו/או מערכות, והן מאירועים חיצוניים כגון מצב השוק, פעולות אויב וכו'. הסיכונים התפעוליים המאפיינים את ענף התעשייה הביטחונית מרוכזים במספר תחומים הקשורים לתהליכי פיתוח וייצור, ניהול המלאים, עמידה בהוראות רגולציה בשווקים השונים בעולם ועוד.
כאשר ארגון מבצע תהליך של ניהול סיכונים הוא פועל בכדי לאתר ולמפות את הסיכונים העומדים בפניו והעלולים להעיב על המימוש הנאות של מטרותיו העסקיות, להעריך את חומרתם ונקוט בצעדים לצמצומם, בהתאם לרמת סיכון המטרה בה הארגון מוכן להימצא ('התיאבון לסיכון'). בהתבסס על רמת סיכון המטרה שהגדיר, הארגון יוצא לתוכנית פעולה של הטמעת אמצעים ובקרות שונות. תוכנית הפעולה מהווה תוכנית עבודה לארגון על פיה הארגון מטפל בסיכונים השונים בהתאם לדרגות הסיכון וסדרי עדיפויות שהוא מגדיר.
סיכון הינו האפשרות כי אירוע, פעילות או פעולה יפגעו ביכולת הארגון לעמוד ביעדיו ובמטרותיו. הסיכון נמדד במונחים של סבירות ותוצאות, כאשר התממשותו עלולה לגרום לנזקים מסוגים שונים לארגון.
תהליך ניהול סיכונים הינו תהליך מתמשך המתבצע כחלק מניהולו השוטף של הארגון, ומטרתו לספק מידה סבירה של ביטחון למניעת התממשות סיכונים וזאת על ידי ביצוע תהליך שיטתי לאיתור וזיהוי הסיכונים, הערכת השלכותיהם וההסתברות להתרחשותם, הגדרת שיטת הטיפול בהם, ההשקעה הנדרשת לשיטת טיפול זו ובקרה על ביצוע הפעילויות הנובעות מהטיפול. באמצעות תהליך ניהול הסיכונים הארגון נדרש לזהות את הסיכונים הקיימים בו ולבנות תוכנית עבודה לטיפול בסיכונים.
סקר סיכונים
השלב הראשון בתהליך ניהול סיכונים הינו איתור וזיהוי הסיכונים הקיימים בתהליכי העבודה השונים והוא נעשה באמצעות סקר סיכונים.
במסגרת סקר הסיכונים הארגון נדרש למפות את תהליכי העבודה למען איתור וזיהוי של מוקדי הסיכון הקיימים בו. מיפוי התהליכים מבוצע, בין היתר, על ידי מיפוי המבנה הארגוני, מיפוי התהליכים המרכזיים בה, מערכות המידע המשמשות את פעילותה, מערך הבקרה הפנימית בארגון ועוד.
הבסיס להבנת תהליך ניהול סיכונים טמון במושגים הבאים:
• סיכון שורשי - (Inherent Risk) - רמת הסיכון המובנה מעצם הפעילות שמקיים הארגון, בהתעלם מהבקרות הקיימות והמאפיינים הייחודיים לארגון או לתהליך.
• סיכון שיורי - (Residual Risk) - רמת הסיכון לה הארגון חשוף בפועל, בהתחשב בבקרות הקיימות ובמאפיינים הייחודיים לארגון.
• סיכון המטרה - (Target Risk) - סיבולת הסיכון של הארגון, קרי רמת הסיכון השיורי לה הארגון שואף להגיע, בהתחשב במטרותיו, יעדיו והמשאבים העומדים לרשותו.
הערכת הסיכון מבוצעת באמצעות ניתוח של כל אחד מהסיכונים שאותרו בהיבטים של הערכת הנזק (Impact) וההסתברות להתרחשות הסיכון (Likelihood). דירוג הסיכונים מבוצע על סמך סרגלי קריטריונים כמותיים ואיכותיים אשר מותאמים לסביבת הארגון במסגרת תהליך בניית מודל להערכת הסיכונים.
קיימות שתי גישות לביצוע סקרי סיכונים בארגון:
• גישת Top Down - גישה ממוקדת לזיהוי ודירוג של הסיכונים הקריטיים לארגון באמצעות זיהוי של אזורי הסיכון. גישה זו מאפשרת בדרך כלל קבלת תוצר תוך זמן קצר.
• גישת Bottom Up – גישה בה הסיכונים מטופלים באמצעות ניתוח מעמיק של תהליכי העבודה בארגון וזיהוי סיכונים ספציפיים ברמת כל תהליך. גישה זו מאפשרת זיהוי פרטני וספציפי של הסיכונים הטמונים בפעילויות.
תוכנית עבודה לטיפול בסיכונים
השלב הבא בתהליך ניהול הסיכונים הוא לצאת מתוצאות הסקר ולבנות את מפת הסיכונים של הארגון. מפת הסיכונים הינה בהתאם לחומרת הסיכון ועדיפות לטיפול כפי שנקבע במסגרת סקר הסיכונים. מפת הסיכונים מהווה את התשתית לתוכנית העבודה לטיפול בסיכונים. התוכנית מעגנת במסגרתה ומגדירה את אופן הטיפול בסיכונים או ה"תגובות לסיכונים". התגובה לסיכון הינה פעולה בה הארגון נוקט על מנת למנוע או לתקן את ההשלכה של האירועים על השגת היעדים. יש מספר תגובות אפשריות לטיפול בסיכון:
• מניעה - נקיטת צעדים על מנת למנוע את התרחשות הסיכון. לדוגמא: הפסקת הפעילות המסכנת, פישוט התהליך, איסור על ביצוע פעילויות וכו'.
• צמצום / הקלה - נקיטת צעדים לצמצום ההשלכה ו/או הסתברות של הסיכון, כגון: פיקוח תקציבי / תחזיות, הגדרת חובת דיווח, הבטחה כי הכישורים המתאימים קיימים, יישום מגבלות, פיתוח תוכנית להמשכיות עסקית וכו'.
• העברה - נקיטת צעדים להעברת ההפסד ו/או ההתחייבות המלווה את אותו אירוע שלילי לגורם שלישי, כגון: ביטוח, קבלת בטוחות, מיקור חוץ, גידור וכו'.
• קבלה - קבלת החלטה בדבר קבלת הסיכון והמשך ההתנהלות המסכנת, קרי עדיין קיים סיכוי למימוש הסיכון כתוצאה מאירוע שלילי שעלול להתקיים. במרבית המקרים מקבלים את הסיכון משיקולים של עלות למול תועלת או לחילופין סיכון במהות הפעילות של הארגון. במקרה זה הארגון נמנע מנקיטת צעדים לטיפול בהסתברות להתרחשות האירוע וההשלכה הצפויה.
ההתאמה של התגובה לסיכון תתבסס על סיבולת/התיאבון לסיכון של הארגון (סיכון המטרה). סיבולת הסיכון מייצגת את הסף העליון של הסיכון שהארגון מוכן לקבל והוא נקבע על בסיס היעדים והמטרות של הארגון ויכולתו לנהל את הסיכון.
תהליך שוטף של ניהול סיכונים
הדינמיות בעולם העסקים בכלל ובארגונים בפרט יצרה מצב בו קיימים שינויים מתמידים בסיכוני הארגון באופן הדורש מהארגון לבחון באופן תדיר את הסיכונים ולהיות ערני לשינויים החלים בהם. השינויים בסיכונים יכולים להיות מושפעים מתנאי שוק ומתנאים חיצוניים אחרים, שלא בהכרח תלויים בארגון.
על כן, ניהול סיכונים מהווה תהליך נוסף בארגון הדורש טיפול שוטף וכולל בתוכו מעקב, בקרה ומדידה מתמידים ואינו מאפשר להתבסס על נתוני העבר כי אם על בחינה מתמדת של המציאות המשתנה.
לצורך ניהול הסיכונים השוטף, על הארגון לבנות מדדי סיכון עיקריים (Key Risk Indicator – KRI) שהינם מדדים תפעוליים או סטטיסטיים אשר יאותתו לארגון במקרים שונים על אפשרות מימוש סיכון. שלב הגדרת מדדי הסיכון העיקריים הינו חלק בתהליך שוטף של ניהול הסיכונים. שילוב מדדי הסיכון מאפשרים את הבחינה הדינאמית של מצב הסיכון ועוצמתו תוך מדידת אירועים ושינויים בארגון. אינדיקאטורים אלו יצפו פני עתיד וישקפו את המקורות הפוטנציאלים לסיכונים, בין היתר, במקרים כגון: צמיחה מהירה, תחלופת עובדים, כשלים בביצוע של תהליכי עבודה, זמני השבתה של מערכות מחשב ועוד.
סיכונים המאפיינים ארגונים בתעשייה הביטחונית:
להלן מספר סיכוני ליבה האופייניים לפעילות ארגונים בתעשייה הביטחונית:
רגולציה - עמידה בתקנים בינלאומיים
להחלטות ממשלה או החלטות המתקבלות בפורומים עולמיים שונים עלולה להיות השלכה עצומה על ארגונים בענף הביטחוני. כפועל יוצא על הארגון לבחון מעת לעת את המצב המדיני-פוליטי-ביטחוני בשוק המקומי או בשווקים בהם הוא פועל על מנת לזהות סיכונים מסוג זה מבעוד מועד ובכך לצמצם את החשיפה טרם הגעה לנקודת האל חזור. סיכונים אלו, מעבר להיותם מאיימים על המשך פעילות הארגון, עלולים לגרור פעולות כספיות רחבות היקף הנדרשות לארגון לצורך עמידה בהוראות הרגולציה הנדרשת.
תהליכי הפיתוח והייצור
משולש הפיתוח מורכב מצלע הפיתוח, הכוללת את הפן הטכנולוגי-אלקטרוני, צלע ההנדסה המכאנית וצלע בקרת האיכות. על מנת ליצור תהליך פיתוח יעיל ועל מנת למקסם את פוטנציאל המוצר, יש חשיבות רבה לשימוש במתודולוגיות מובנות לפיתוח מוצרים ולקיום ממשקים אופטימאליים בין צלעות אלו.
תהליך פיתוח מוצר בענף התעשיות הביטחוניות הינו תהליך ארוך ומורכב הדורש מיומנות ומקצועיות, תוך שמירה על כללים רבים למען תיעולו מתחילתו ועד סופו. יתרה מזאת, שלב פיתוח מוצר הינו שלב רגיש במיוחד, בייחוד כאשר מדובר בתעשיות הביטחוניות, ובמסגרתו יש להטמיע בקרות מובנות על מנת למנוע את הסיכונים לזליגת מידע, לתכנון מוצר לקוי, לבקרת איכות לא מיטבית ועוד.
ניהול תהליך הייצור הינו מורכב ודורש תהליכי תכנון קפדניים לרבות בנושא הצטיידות בחומר וניהול מלאי, תזמון רצפת הייצור, תכנון תשתיות, ניהול קשרי גומלין עם מחלקות הפיתוח ועוד ועל כן טעון ניהול מתמיד של הסיכונים הייעודיים לו.
ניהול מלאי
תהליך ניהול המלאי בארגון הינו תהליך קריטי ומורכב אשר משפיע ישירות על ההוצאות בארגון לרבות על עלויות הרכש, עלויות האחסנה, עלויות מימון נלוות, הוצאות פחת ועוד.
כמויות המלאי אשר ארגון נדרש להן נגזרות במרבית המקרים מתחזיות הייצור והמכירות של הארגון. בנוסף, כמויות המלאי מושפעות ממלאי הקיים במחסנים ומכמויות מלאי מינימום שהוגדרו מראש על ידי הארגון. על בסיס פרמטרים אלו נבנית תוכנית ההצטיידות והרכש אשר תשמש את הארגון.
כפועל יוצא הארגון נדרש ליצור מנגנון באמצעותו ניתן יהיה לשקלל את מכלול הפרמטרים הנדרשים על מנת לקבוע את כמויות המלאי הנדרשות לו לצורך פעילותו השוטפת ולמצוא את נקודת האופטימום של כמות מלאי.
נושא מורכב נוסף הנוגע לניהול המלאי הינו ניהול מלאי איטי. מלאי איטי הינו מלאי שמכירתו נעשית בצורה איטית, לרבות עקב חוסר התאמה לדרישות השוק או ליקויים בו. ארגון נדרש להעריך את ערכו של מלאי איטי בהתחשב בהפסדים שיכולים לנבוע עד מכירתו כדוגמת עלויות מימון, אחסון.
סודיות
ארגונים הפועלים בשוק התעשיות הביטחוניות מאופיינים בתהליכי עבודה נוקשים מאוד בתחום הסודיות. הגישה לנכסי הארגון, לרבות למסמכים שונים ולמידע על פעילות הארגון, נדרשים להישמר מפני פעילות או ומוגנים מפני צפייה לגורמים לא מורשים. לפיכך, ארגונים אלו מקיימים פעילויות נרחבות במטרה לשמור על המידע והנכסים כך שיהיו נגישים לבעלי תפקידים מורשים בלבד.
מבין הסיכונים הקיימים בארגונים אלו ניתן למנות כסיכון מהותי את נושא הנגישות למערכות המידע. אין ספק על כן שנושא קיום מדיניות הרשאות גישה על בסיס "הצורך לדעת" הינו חשוב ביותר. היעדר תהליכים מובנים לקביעת הרשאות גישהוהרשאות נגישות בהתאם לדרישות התפקיד ועל בסיס צורכי העבודה הייחודיים הנדרשים לכלל בעלי התפקידים חושף את הארגון לאפשרות של זליגת מידע סודי, ביצוע פעולות לא מורשות, ביצוע תשלומים לא מורשים ולרישום נתונים כספיים כוזבים.
תהליכי המכירות
המכירות בתחום התעשייה הביטחונית מצריכות בראש ובראשונה לבחון את סוג הלקוח והחוקיות בהתקשרות עימו. כמו כן, התקשרויות עם לקוחות צריכות להיות מגובות בהסכמי התקשרות על מנת למנוע ביצוע התקשרויות בלתי מורשות ו/או שיתופי פעולה לא נאותים בין בעלי התפקידים בארגון לבין הלקוחות ולמנוע חילוקי דעות באשר לתנאי העסקה.
לא אחת ארגונים בתחום התעשייה הביטחונית מתקשרים עם חברות במדינות עולם שלישי ולעיתים אף עם הממשלות במדינות אלו. להתקשרויות מסוג זה קיימים סיכונים נוספים המייחדים אותם כגון חוקיות העסקה, נושא הערבויות שניתנות לביצוע העסקה, מידת האמון בלקוח וכו' אשר חשוב לוודא כי מנוהלים ומבוקרים כהלכה.
לסיכום,
מערך ניהול סיכונים הינו מודל ליצירת ערך המסייע לארגון לממש ולהשיג את יעדיו ומטרותיו. התפיסה המסורתית של ניהול סיכונים כתחום אפור שתפקידו להגן על נכסי הארגון משתנה להבנה שתפקידו של ניהול הסיכונים הוא להשיא ערך לארגון.
תהליך היישום של ניהול סיכונים בארגונים משפיע על ההתנהלות השוטפת היומיומית, על אופן קבלת ההחלטות עסקיות בידי הנהלת הארגון (כך שהחלטות יתקבלו תחת ראייה של ניהול סיכונים), על אופן בנית תהליכי העבודה המרכיבים את פעילות הארגון ועוד. בנית תהליכי עבודה בעלי אוריינטציה של סיכונים תקטין משמעותית את האפשרות להתרחשות אירוע קריטי לארגון.
תהליך מושכל של ניהול סיכונים וגיבוש בקרות מתאימות במענה לסיכון הינו כורח המציאות, בייחוד בענף התעשייה הביטחונית, אשר חדשות לבקרים אנחנו שומעים על הסיכונים והסכנות הייחודיים להם. על הארגון לנתח מבעוד מועד את עולם הסיכונים הייחודי לו ואת הבקרות המופעלות בארגון ולשאול את עצמו שאלה פשוטה: האם עשיתי כל שניתן על מנת להבטיח שהסיכוי להתממשות הסיכון הינו ברמה המינימאלית? אם התשובה אינה כן באופן חד משמעי, כנראה שהארגון נדרש לבצע עבודה נוספת.