פיתוח תוכניות תגובה והפחתה לסיכונים שזוהו בעסק או בארגון
ניהול סיכונים - דוגמאות לפיתוח תכניות הפחתה
רקע ומבוא
מטרתה של תכנית הפחתה הנה הפחתת ההסתברות להתממשות הסיכון וצמצום הנזקים הפוטנציאליים. תכנית הפחתה מיטבית נבנית באמצעות זיהוי הפערים והפעולות הנדרשות בשלוש קטגוריות מרכזיות:
ידע - האם בעל העסק מבין את הסיכונים? מה עלול לקרות? מהן הבעיות המרכזיות? איפה בארגון הסיכון דחוף יותר? האם קיימים נתונים מספריים להבנת המצב הקיים?
זיהוי - האם תתקבל התראה בזמן החמרה של סיכון או התממשותו?
מניעה - מהן הפעולות שעשויות למנוע או להפחית את הסתברות ועוצמת הסיכונים תחת אילוצי המשאבים הקיימים או בהשקעה מוצדקת של משאבים נוספים בכלל תחומי העסק - תפעולי, פיננסי, משפטי, מחשובי, תהליכי עבודה וחדשנות.
פעולות הפחתה - סיכון משאבי אנוש
| מוקד סיכון | תיאור הסיכון | פעולות הפחתה אפשריות |
| ידע | קשיים בתהליכי גיוס ומחסור בעובדים | חיזוק הייתרון היחסי ושביעות רצון העובדים קמפיין לשיפור מוניטין העסק שיתופי פעולה עם מוסדות מקצועיים שימוש בטכנולוגיות חדשניות לייעול כ"א קיים (אוטומציה, רובוטיקה, מובייל, רחפנים ועוד) |
| קושי בשימור עובדים | פיתוח תהליכים למיפוי עובדי ליבה ובעלי ידע ייחודי בניית תכנית תמריצים | |
| זיהוי | אבדן יידע ייחודי בשל עזיבת עובדים | שיפור מערכות המידע ושילוב כלים חדשניים לתיעוד נוח ונגיש של המידע מינוי גורם פנימי האחראי לאיסוף הידע, תיעודו והפצתו לעובדים הרלוונטיים |
| זיהוי | יחסי עבודה | מיפוי מוקדי מחלוקות קיימות ופוטנציאליים שקיפות הידברות ושמירה על ערוץ תקשורת ישירה עם ועד העובדים באם קיים מנגנון בקרה ודיווח לניהול סכסוכים וחתימת הסכמים שימוש בייעוץ משפטי |
פעולות הפחתה -סיכוני מערכות מידע וסייבר
| ידע | אי זמינות מערכת מחשובית או רשת תקשורת | מיפוי נכסי המידע והמחשוב בעסק ורמת הסיכון של כל אחד מהם - יתירות/נזק פוטנציאלי מעקב אחר התיישנות ציוד מיפוי תלות בספקים ראשיים גיבוי אספקת חשמל |
| זיהוי | אבטחת מידע וסייבר | זיהוי נכסי המידע בארגון לרבות הנכסים התומכים בהם (מחשבים, שרתים, DBs) אבטחה פיזית, בקרת כניסה ומיגון מתחמים רגישים ביצוע בדיקות חדירה הצפנת גיבויים שילוב היבט אבטחת המידע טרום רכישה של תוכנה או פיתוח חדשים |
| ידע | ניהול אירועי אבטחת מידע וסייבר | בניית תכנית ותרגולה לניהול אירוע בצורה סדורה תוך מענה מתאים לכל אירוע |
| התאוששות מאסון והמשכיות עסקית בהיבט מערכות מחשוב | בניית תוכנית המשכיות עסקית ובה מיפוי תרחישים שונים, פעולות נדרשות, עיגון הסכמי סיוע בחירום מול ספקים |
פעולות הפחתה - סיכון רכש והתקשרויות
| ידע | ניהול ספקים/תלות בספקים/בקרה ואיכות | מיפוי ספקים ודרגת החשיפה לכל ספק ניהול מאגר ספקים חכם הרחבת מאגר ספקים/קבלנים שמירת קשרים עם ספקים קריטיים ייעול תהליכי עבודה ידניים על ידי תמיכה של מערכות מידע מניעת דליפת מידע רגיש, כגון מחירים,לגורמים שאינם מורשים ניהול הרשאות בעסק |
| איכות המפרטים הטכניים | הגדרת סטנדרט למפרטים טכניים על ידי יצירת מבנה קבוע שיכסה היבטים משפטיים ומקצועיים של בקשות להתקשרויות | |
| זיהוי | בירוקרטיה ותהליכי רכישה מסורבלים | ניתוח תהליך ההתקשרות ומיפוי צווארי בקבוק ניתוח נתונים כמותיים של מוצרים והתקשרויות |
מהאמור ניתן להבין כי פעולות ההפחתה מתקיימות בעולם התוכן של כל סיכון שזוהה ושונות מאוד זו מזו, ואולם כיצד קובעים את הפעולות המתאימות לביצוע?
- הערך את מידת האפקטיביות של כל פעולה - באיזו מידה הפעולה אפקטיבית? באיזו מידה הפעולה עוצבה כדי למזער את הסיכון ובאיזו מידה היא ממזערת אותו בפועל?
- דרג את אפקטיביות הפעולה בין 1 ל-5
- השתמש בניסיון העבר
- השתמש בידע של הצוות בדבר התנהגות הארגון
- הסתייע במבקר הפנימי של החברה ובבדיקות מדיניות ונהלי העבודה של הארגון
באופן כזה ניתן להכין את תכנית הפחתת הסיכונים של העסק או הארגון על בסיס הסיכונים שזוהו בשלב הראשון של ניהול הסיכונים.
