חיפוש

"זה לא מספיק שאנחנו עושים כמיטב יכולתנו, לפעמים עלינו לעשות את מה שנדרש." וינסטון צ'רצ'יל

מבצע צבאי או מצב מלחמה, כדוגמת "צוק איתן", משפיע על הרבה ארגונים וחברות: החל מהשבתה / צמצום משמעותי בפעילות חברות הנמצאות בדרום הארץ בעקבות המצב הביטחוני באזור ועד להיעדרות מסיבית של כ"א בכל הארגונים ברחבי הארץ בעקבות גיוס חלק מהעובדים למילואים לא מתוכננים.

חברות וארגונים שלא נערכו מבעוד מועד למצב כזה נמצאות כרגע במצב מורכב: חוסר יכולת לעמוד בהתחייבויות ללקוחות החברה, חלק מעבודת הספקים נפגעת, אי יכולת לתת שירות בהתאם לנורמות שירות שנקבעו, ירידה במקצועיות עובדים שאולי נאלצים למלא תפקיד של עובד שגויס למילואים, עלייה בהוצאות עקב פעולות לא מתוכננות שמטרתן לעמוד בכל זאת בהתחייבויות ועוד. ככל שתקופת החירום מתמשכת, כך גדלה הפגיעה בצורה משמעותית.

חלק מהנזק הנגרם לחברות יכול להימנע במידה וחברות אלה מטמיעות תהליך של המשכיות עסקית לחברה במצבי חירום. המשכיות עסקית היא מתודולוגיה שמתייחסת ליכולת הארגון לספק שירות ותמיכה ללקוחות ולשמור על יכולת הקיום שלו לפני, במהלך, ואחרי אירוע המאיים על הפעילות הרגילה של החברה.

קיימים מספר סוגים של "אירועי חירום":

  1. מצב חירום ברמה לאומית  – כגון מלחמה, רעידת אדמה, מגיפה.
  2. מצב חירום ברמת חברה בודדת – כגון שריפה באתר ראשי, השבתה כוללת של מערכות מחשוב, פריצה למאגרי מידע וגניבת נתונים קריטיים (נתונים פיננסיים, פרטים אישיים של לקוחות וכו').

כל חברה שמחליטה להתמודד באחריות עם פוטנציאל לאירועי חירום מגדירה תכנית המשכיות עסקית, Business Continuity Plan,  ברמה כוללת. בשלב גיבוש התכנית מתבצע סקר סיכונים כולל, המזהה את הסיכונים הארגוניים שעלולים לקרות כתוצאה מהופעת אירוע חירום והשפעתם על הארגון. לאחר שזוהו הסיכונים מתבצעת תוכנית כדי להקטין את רמת הסיכון והשפעתו ולהבטיח פעילות תקינה בשעת חירום.

שלבי תהליך ניהול סיכוני המשכיות עסקית- באיור מס 1, להלן:

איור מס 1: שלבי תהליך ניהול סיכוני המשכיות עסקית

תכנית המשכיות עסקית של החברה כוללת התייחסות לשלושה נושאים עיקריים:

  1. הגדרת פעילויות ותהליכי עבודה קריטיים שחייבים להמשיך להתקיים במצב חירום בכל מקרה.
  2. הגדרת צוות ניהול המשבר;  קביעת צוות מנהלים שיתפקד במצב חירום. לכל חבר צוות ימונה ממלא מקום  למקרה וחלק מחברי הצוות יעדרו מעבודתם מסיבה כלשהיא.
  3. צוותי ניהול תכניות / צוותי עבודה שיבצעו את העבודה בפועל ע"מ להבטיח את קיום התהליכים הקריטיים שהוגדרו.

בשלב בניית תכנית להמשכיות עסקית, כל ארגון מגדיר את תהליכי העבודה הקריטיים, תוך הגדרת המשאבים הנדרשים להפעלתם. דהיינו:

  1. מקום העבודה – בחינת יכולת לעבוד באתר קבוע או מעבר לאתר חליפי בעת משבר. האתר החילופי מוכן מבעוד מועד כדי שאפשר יהיה לעבוד בו בעת חירום.
  2. מערכות מידע – תפקוד תקין של מערכות מידע בעת חירום. ההכנה תכלול פעולות כמו: הכנת שרת חירום הנגיש לאתר החילופי ובו מידע מעודכן, עבודה לפי כללי אבטחת מידע ע"מ להבטיח חוסן של מאגרי מידע קריטיים של הארגון ועוד.
  3. זיהוי אנשים הממלאים תפקידים קריטיים בארגון, זיהוי ממלאי מקום מבעוד מועד לתפקידם בעת חירום. ההכנה כוללת לימוד וחפיפה לתפקיד החירום.
  4. זיהוי ספקים קריטיים  לתפקוד הארגון לתת שירות גם במצב חירום.
  5. תהליך התאוששות מאסון,Disaster Recovery Plan : הכנת תוכנית מגירה להפעלה בעת חירום. מידי פעם, מבוצעים תרגולים כדי לבחון את אפקטיביות תהליך ההתאוששות וכן לשמור על ערנות ורמת מוכנות גבוהה.

איך מתכוננים בצורה שיטתית לשעת חירום?

כדי להנחות ארגונים כיצד להטמיע תהליך המשכיות עסקית של הארגונים קיים תקן ישראלי 24001 – מערכות ניהול חוסן תפקודי של ארגון. התקן מנחה ומסייע בהיערכות ארגונים בהתמודדות עם מצבי חירום. התקן משלב דרישה של ניתוח סיכונים ואיומים על הארגון  כבסיס להכנת תוכניות ניהוליות לפעילות במצב חירום.

ארגונים המטמיעים תקני ISO אחרים מגבירים את רמת המוכנות וההתאוששות שלהם במצבי חירום.

  • תקן איכות 9001 ISO – בארגון בעל הסמכה לתקן איכות קיימת מערכת נהלים והוראות עבודה שיטתית ומסודרת, קיימים תהליכים מוגדרים של ביצוע חפיפות והעברת תפקיד בין בעלי תפקידים. מערכת האיכות טובה ושיטתית, מקלה על בעלי תפקידים שנאלצים בזמן חירום להיכנס במהירות לנעלי עובדים שנעדרים מסיבה כזו או אחרת. בנוסף, התקן מחייב ניהול מסודר של תהליכי רכש והערכת ספקים, דבר שמקל על הארגון בתהליך זיהוי ספקים קריטיים שיעמדו בהתחייבויותיהם בשעת חירום.
  • תקן אבטחת מידע 27001 ISO  – התקן כולל התייחסות להגנה על מערכות המידע ומאגרי מידע קריטיים של הארגון .
  • תקן בטיחות ת"י 18001 – התקן כולל התייחסות להתמודדות עם מצבי חירום בטיחותיים (שריפה, אירוע חומרים מסוכנים וכו').
  • תקן איכות הסביבה 14001ISO – התקן כולל התייחסות להתמודדות עם מצבי חירום סביבתיים.

מה רמת המוכנות של הארגון שלכם בשעת חירום? כיצד מתמודדים עם מצבי חירום, כגון מבצע צבאי או מלחמה? אשמח לשיתופים באחת הרשתות החברתיות שקישורן להלן.

   

לאחרונה היינו עדים לאירוע מפחיד בכל קנה מידה: שריפה פרצה במפעל פלסטיק בקיסריה. בכתבה של Ynet  מיום 22.6.14 נכתב שעל כיבוי השריפה עמלו 123 לוחמי אש, 69 כבאיות ו-6 מסוקי כיבוי שגויסו מכל הארץ. האש, שהגיעה לגובה 20-25 מטר, התפשטה למפעל שכן וכילתה גם אותו. היה חשש להתפשטות האש למפעלים סמוכים נוספים. עשרות עובדים שהו במפעל ולמרבית המזל רובם חולצו ללא פגע, למעט שני עובדים שנפגעו במצב קל ובינוני. תושבי הסביבה נאלצו להסתגר שעות רבות בבתיהם ללא מזגן ולסגור את כל הפתחים כדי שלא ישאפו עשן רעיל. בהתאם למסקנות ראשוניות מהאירוע, מדובר בהתלקחות באזור אחסון ששופץ לאחרונה וכנראה טרם התקבל אישור שירותי הכבאות להפעלת המקום. המפעל נשרף כליל ואיתו הכסף שהושקע בשיפוץ. מחדל בטיחותי זה הסב לבעלי המפעלים נזקים עסקיים כבדים בעקבות הרס המפעלים ואי יכולתם לעמוד בהתחייבויות לאספקת סחורה. עובדי המפעל נשארו ללא פרנסה לתקופה ממשוכת.

בשנים אחרונות קרו כבר כמה וכמה אירועים שקשורים למחדלים בתחום הבטיחות: לפני שנה וחצי מנהל סניף בנק הפועלים נספה בשריפה שפרצה במועדון SPA  שפעל ללא רישיון עסק (שניתן לקבל רק אם המקום עומד בכל הדרישות הקפדניות של שירותי כבאות והצלה). מסתבר שבארץ יש כ- 40% בתי עסק שפועלים ללא רישיון עסק.  אפשר גם להיזכר בקריסת במה בהר הרצל, קריסת גשר במשחקי המכבייה ועוד שורה ארוכה של אירועים שנגרמים כתוצאה מאי-טיפול בגורמי סיכון לאירועים בטיחותיים.

גישת ה"סמוך" / "אין מה לדאוג" / "יהיה בסדר" / "נסתדר" / "נזרום ונאלתר" גורמת לחלקנו לא לייחס חשיבות לזיהוי מוקדם של סיכונים ולנקיטת פעולות כדי למנוע אותם או לפחות להפחית את הנזק הפוטנציאלי במידה והתממשו.  המחדלים שפורטו לעיל נגרמו כתוצאה מהתממשות סיכונים בטיחותיים / תפעוליים.

האם אפשר למנוע התרחשויות שכאלה?

בוודאי!

אחד האמצעים למנוע אירועים שכאלה, או לפחות להיערך לשיכוך הנזק והכאבים שאירועים כאלה יכולים לגרום הוא תהליך של ניהול סיכונים. החשיבות של מיסוד תהליך שכזה זוהה על ידי גופי תקינה רבים. זאת, כדי למזער ככל שניתן את נטייתנו הטבעית להאמין ש"לי זה לא יקרה". להלן רשימה של דרישות חוק ותקינה המחייבות ארגונים לבצע הערכת סיכונים:

  • תקן 9001 ISO – תקן ניהול איכות – במסגרת המהדורה החדשה של התקן שצפויה להתפרסם בשנת 2015 צפוי להתווסף פרק שמחייב את הארגון העומד בתקן לבצע סקר סיכונים במקום ההנחיה הקודמת שדיברה על פעילות מונעת בצורה ערטילאית.
  • תקנות ארגון הפיקוח על העבודה (תכנית לניהול הבטיחות), התשע׳׳ג-2013 – במסגרת תכנית בטיחות שכל ארגון מחויב להכין עד אוגוסט 2014 נדרש לבצע הערכה מלאה של כלל סיכוני הבטיחות שיש לארגון.
  • תקן ת"י 18001  או בגרסתו החדש – תקן ISO 45001:2018– מערכת בטיחות וגהות – התקן מחייב ביצוע סקר סיכונים מלא לכל תהליכי עבודה שקשורים לבטיחות.
  • תקן 14001 ISO – מערכת סביבתית – התקן מחייב ביצוע סקר סיכונים מלא לכל ההשפעות הסביבתיות של הארגון.
  • תקן 27001 ISO – תקן אבטחת מידע – התקן מחייב התייחסות לכלל סיכונים שיכולים לפגוע במערכות מידע ומאגרי מידע של הארגון.

איך עושים את זה?

מטמיעים תהליך של ניהול סיכונים, אותו מבצעים תקופתית. ניהול סיכונים אפשר לעשות עם מומחה מהארגון, או יועץ חיצוני שמגיע לזמן קצר ומשאיר לארגון דו"ח עם מפגעים פוטנציאלים בהם יש לטפל.

OK, מהו סיכון ולמה לנו להתעסק עם זה בכלל?

סיכון הינו הסתברות להפסד כתוצאה מ-:

  • אי נאותות או מכשול בתהליכים פנימיים / תפקוד עובדים / מערכות בארגון;
  • אי עמידה בדרישות חוק, תקנות או תקנים;
  • השפעה של אירועים חיצוניים.

במסגרת ניהול סיכונים בארגון נדרש להתייחס לכל הסיכונים האפשריים בכלל תהליכי העבודה בארגון, תוך זיהוי והערכת סיכונים, מדידת החשיפה לסיכון והסתברות להתממשותו. לאחר זיהוי והערכת הסיכון, מזהים פעילויות בקרה קיימות או מומלצות ומתכננים תכנית ניטור וטיפול בחשיפות.

הסיכון הכספי / העסקי הוא נגזרת מהתממשות הסיכון התפעולי / הבטיחותי. כאשר הסיכון מתממש – תמיד הארגון ישקיע משאבים רבים כדי להשיב את המצב לקדמותו. לפעמים, השבת המצב לקדמותו לא אפשרית כיוון שהמוניטין נפגע והלקוחות עוברים למתחרים.

המיתוס העיקרי שמרבית המנהלים מאמינים בו הוא שביטוח שיש לארגון יכסה את ההפסדים / ייתן כיסוי כספי לתביעות. הטענה נכונה חלקית, כי הביטוח תמיד מכסה עד גובה מסוים ונותן מענה במסגרת תביעות לפיצוי כספי. אבל במקרה ונפתח תיק פלילי בגין רשלנות הביטוח לא עוזר.

השקעה במניעה היא לעולם תהיה נמוכה יותר. איפה הקאטץ? ההשקעה במניעה היא בלתי נראית ולא תמיד מתוגמלת כיוון שאסונות שנמנעים לא נראים ולא נשמעים. כאן המקום לאחריות אישית ומנהיגות של הנהלת הארגון הבכירה. לא לוותר! לא לסמוך על המזל!

מהו תהליך של ניהול סיכונים?

תהליך ניהול סיכונים הוא תהליך של מספר צעדים:

צעד ראשון – הערכת עוצמת הסיכונים

ראשית, מעריכים את עוצמת הסיכונים. הטבלה שלהלן מציגה שיטה אחת (מיני רבות) לאמוד את הערך האפשרי של נזק במקרה של התממשות הסיכון לעומת ערך הסיכוי/הסתברות שהאירוע יקרה.

הצעדים הבאים – נקבעים בהתאם לרמת הסיכון והפעילות שמתאימה לארגון.

הסיכונים שהערכת הסיכון שלהם נצבעה באדום – דורשים טיפול מיידי ע"מ למנוע את התממשות הסיכון. יתר הסיכונים דורשים טיפול בהתאם לסדרי עדיפויות שייקבעו ע"י הנהלת הארגון.

תהליך השלם לטיפול בסיכונים – ראו במאמר אחר – כאן.

האם קיים בארגון שלכם תהליך ניהול סיכונים כולל? איך אתם מתמודדים עם הנושא? נשמח לשמוע את תגובתכם באחת הרשתות החברתיות שקישורן להלן.

להרשמה השאירו פרטים

    x