צוותים מקבלים ציוני סיכון לא עקביים מכיוון שהם מתייחסים לגורמי סיכון ברי-שינוי (בקרות, חשיפה, זיהוי, בשלות תהליכית) כאל תחושות בטן במקום כאל מודל ניקוד משותף. מערכת ניקוד למטריצת בקרת סיכונים שניתן להגן עליה היא פשוטה: הגדירו רמות סבירות עם דוגמאות אמיתיות, הגדירו השפעה באופן עקבי על פני נזקים פיננסיים, משפטיים ולקוחות, נַקדו את יעילות הבקרה על סמך ראיות, ולאחר מכן בצעו כיול בין הסוקרים כך ש"גבוה" יסמל את אותו הדבר בכל מקום.
ניקוד מטריצת בקרת סיכונים מתחיל בגורמי סיכון ברי-שינוי (לא בדעות)
גורמי סיכון ברי-שינוי הם המנופים שמשנים את הסיכון מבלי לשנות את הפעילות הבסיסית: תכנון בקרה, יעילות תפעולית של הבקרה, כיסוי ניטור, אוטומציה לעומת צעדים ידניים, הכשרת צוות, פיקוח על ספקים וזמן זיהוי. אם המטריצה שלכם מתעלמת מאלה, אתם תגיעו לשני מצבי כשל קלאסיים: צוותים מנפחים את ה"סבירות" כדי למשוך תשומת לב, או שהם מנמיכים את ה"השפעה" כדי להימנע מביקורת.
מטריצת בקרת סיכונים מעשית כוללת שלוש שכבות שאתם מנקדים במפורש:
שכבה
מה היא עונה
מה משנה אותה
סיכון אינהרנטי
"אם לא היינו עושים כלום, כמה זה גרוע וכמה זה סביר?"
רק חשיפה והמפגע עצמו
יעילות בקרה
"בכמה הבקרות שלנו מפחיתות סבירות ו/או השפעה?"
ראיות מבדיקות, ניטור, ממצאי ביקורת
סיכון שיורי
"אחרי הבקרות, מה נשאר?"
השילוב של השניים לעיל
אם אתם רוצים בסיס רשמי ללוגיקה הזו, ISO 31000 הוא בסיס איתן להגדרות סיכון ועקביות תהליכית, גם אם אינכם מאמצים אותו במלואו. המסגור שלהם לסיכון כ"השפעה של אי-ודאות על יעדים" עוזר לצוותים להפסיק להתווכח על סמנטיקה ולהתחיל לנקד מול תוצאות: סקירת ISO 31000 מ-ISO.
איך מגדירים רמות סבירות עם דוגמאות?
סבירות היא המקום שבו רוב המחלקות מאבדות כיוון כי הן מערבבות תדירות, הסתברות ויכולת זיהוי למספר אחד מבלי לציין זאת. הפתרון הוא להגדיר רמות סבירות באמצעות תנאים ניתנים לצפייה ולספק דוגמאות אגנוסטיות למחלקה.
התחילו בהחלטה מה סבירות אומרת בארגון שלכם. אני ממליץ על הגדרה זו מכיוון שהיא שורדת ויכוחים בין-תחומיים:
סבירות = הסתברות להתרחשות אירוע הסיכון בתוך תקופת ההערכה, בהינתן חשיפה ובקרות נוכחיות.
לאחר מכן קבעו את תקופת ההערכה. אם צוות אחד מנקד "שנתי" וצוות אחר מנקד "רבעוני", לעולם לא תגיעו להלימה.
הנה תבנית רובריקה שבה השתמשנו כדי לעצור ויכוחים במהירות. היא משתמשת בסולם של 1-5, אך החלק החשוב הוא העוגנים.
רמת סבירות
עוגן (לשנה)
דוגמאות קונקרטיות (ניתנות להכללה)
1 נדיר
<1%
דורש כשלים חריגים מרובים; אין התרחשות היסטורית; מניעה אוטומטית חזקה
2 לא סביר
1-5%
התרחש בתעשייה; יכול לקרות עם כשל בקרה בודד; זיהוי סביר לפני נזק
3 אפשרי
5-20%
התרחש פנימית או בצוותים עמיתים; צעדים ידניים או הכשרה לא עקבית מגבירים חשיפה
4 סביר
20-50%
קורים אירועים כמעט-נמנעו; חריגות בקרה נפוצות; ניטור תופס בעיות לאחר עיכוב
5 כמעט ודאי
>50%
קורה מספר פעמים בשנה; פערי בקרה ידועים; קו מגמת האירועים בעלייה
שימו לב למה שמוטמע: חשיפה (באיזו תדירות התהליך רץ), שבריריות בקרה (ידני לעומת אוטומטי) וזיהוי (באיזו מהירות אתם מבחינים). אם אתם רוצים לשמור על זה נקי יותר, אתם יכולים לנקד יכולת זיהוי בנפרד, אך רוב הצוותים לא יתחזקו מודל בעל שלושה צירים אלא אם הם בוגרים.
כאשר צוותים מתווכחים אם משהו הוא "אפשרי" או "סביר", אני כופה שאלה אחת: "הראו לי את שיעור הבסיס." משכו יומני אירועים, כרטיסי תמיכה, חריגות ביקורת, התראות אבטחה או שיעורי פגמים של ספקים. אפילו ספירה גסה עדיפה על אינטואיציה.
עבור זרימת עבודה ברמת הצוות ששומרת על עקביות, אנחנו לרוב מצמדים את הרובריקה לתרשים זרימה קבלת החלטות קליל: "האם יש היסטוריה פנימית? האם החשיפה גבוהה? האם הבקרות אוטומטיות?" אם הארגון שלכם בונה מסגרות עבודה משותפות, המדריך של Lucid על איך לבחור מסגרת קבלת החלטות לצוות שלכם הוא בן לוויה טוב כי הוא מראה איך לתקנן לוגיקה מבלי להנדס יתר על המידה.
איך מגדירים השפעה על פני נזק פיננסי, משפטי ולקוחות?
השפעה הופכת לאמינה כאשר מפסיקים להשתמש במספר דולרי בודד כפרוקסי להכל. רגולטור לא מתעניין שהקנס קטן אם הפרצה היא מערכתית. לקוח לא מתעניין שהחשיפה המשפטית נמוכה אם האמון נפגע.
השתמשו בשלושה ממדים ובכלל לשילוב ביניהם:
ממדי השפעה: פיננסי, משפטי/רגולטורי, נזק ללקוח
כלל שילוב: נַקדו כל ממד 1-5, ואז קחו את הגבוה ביותר כהשפעה הכוללת (או הגבוה ביותר פלוס אחד אם שני ממדים גבוהים).
זה מונע "מיצוע" של נזק רציני.
רמת השפעה
פיננסי (סף דוגמה)
משפטי/רגולטורי
נזק ללקוח
1 מינימלי
<$10k
אין חובת דיווח
אין בעיה גלויה ללקוח
2 משני
$10k-$100k
הפרת מדיניות פנימית
מספר קטן של לקוחות שחוו אי-נוחות
3 בינוני
$100k-$1M
דיווח לרגולטור או הפרה חוזית
פגיעה מורגשת בשירות; החזרים סבירים
4 גדול
$1M-$10M
חקירה רשמית, סיכון לצו הסכמה
השפעה גדולה על לקוחות; נזק מוניטין סביר
5 חמור
>$10M
הפרה מהותית, התדיינות סבירה
אובדן אמון לטווח ארוך; זינוק בנטישה או נזק למותג
עליכם לכוונן את ספי הכספים לקנה המידה שלכם. סטארט-אפ עשוי להזיז כל רצועה פי 10 למטה. בנק עשוי להזיז פי 10 למעלה. המפתח הוא שהטבלה קיימת ומוסכמת.
שתי הערות מבוססות ראיות שעוזרות לצוותים להפסיק עם תנועות ידיים:
הדו"ח של IBM על "עלות פרצת נתונים" הראה שוב ושוב שפרצות יכולות להגיע למיליונים ברגע שסופרים תגובה, זמן השבתה ואובדן עסקים. השתמשו בו כדי לעגן דיוני השפעה עם טווחים מהעולם האמיתי: דו"ח עלות פרצת נתונים של IBM.
עבור נזק ללקוח, קשרו השפעה לתוצאות מדידות: נטישה, ירידה ב-NPS, נפח תלונות או זיכויי SLA. אם אין לכם את המדדים האלה, כתבו הערת אי-ודאות (עוד על כך בהמשך).
אם אתם צריכים הגדרה הדוקה ל"השפעה" שצוותים יכולים לצטט, הסקירה של ויקיפדיה על סיכון כהסתברות והשפעה היא שימושית באופן מפתיע עבור לא-מומחי סיכונים כי היא ניטרלית וברורה: הגדרת סיכון ומסגור.
איך מדרגים יעילות בקרה וסיכון שיורי?
זה המקום שבו רוב המטריצות הופכות לבלתי ניתנות להגנה. צוותים אומרים "בקרות קיימות" אך לעולם לא מפרידים תכנון ממציאות תפעולית. הניקוד שלכם צריך לשקף את מה שאתם יכולים להוכיח.
אני משתמש בסולם יעילות בקרה של 1-5 עם דרישות ראיות מפורשות:
יעילות בקרה
מה זה אומר
ראיות שעליכם לדרוש
1 לא יעיל
בקרה חסרה או נכשלת בעקביות
ממצאי ביקורת פתוחים; אירועים חוזרים; אין בעלים
2 חלש
קיים אך לא אמין
בדיקות ידניות; כיסוי נמוך; חריגות לא במעקב
3 בינוני
עובד לעיתים
בדיקות תקופתיות; אוטומציה חלקית; פערים ידועים
4 חזק
אמין
עבר בדיקות בקרה; התראות ניטור; חריגות נמוכות
5 חזק מאוד
מונע ומנוטר
מניעה אוטומטית; ניטור רציף; זמן תגובה מוכח
לאחר מכן חשבו סיכון שיורי עם כלל פשוט וניתן לביקורת. שמרו על זה משעמם. משעמם זה סקיילבילי.
גישה נפוצה:
נַקדו סיכון אינהרנטי = סבירות x השפעה.
נַקדו סיכון שיורי על ידי הפחתת סבירות ו/או השפעה על סמך יעילות בקרה (לא שניהם אלא אם הבקרה שלכם באמת מפחיתה את שניהם).
כלל לדוגמה שניתן להגן עליו בסקירה:
אם יעילות הבקרה היא 4-5, הפחיתו סבירות ב-2 רמות (רצפה ב-1).
אם 3, הפחיתו סבירות ב-1.
אם 1-2, אין הפחתה.
כתבו את הכלל. אם אתם משנים אותו ממקרה למקרה, המטריצה שלכם פוליטית.
תוצאות בדיקת בקרה הן עמוד השדרה. אם אין לכם תוכנית בדיקת בקרה, התחילו בדגימה: 10-25 עסקאות לרבעון עבור תהליכים בסיכון גבוה, ראיות לבדיקה ושיעורי חריגות. אפילו דגימה בסיסית יוצרת שובל שאתם יכולים לעמוד מאחוריו.
ספי סיכון שיורי צריכים להתקשר לתיאבון הסיכון. אני אוהב הצהרת מדיניות פשוטה:
ציוני סיכון שיורי 16-25: חייבים תוכנית הפחתה מאושרת ובעלים מההנהלה.
9-15: הפחיתו או קבלו רשמית עם רציונל וקצב סקירה.
1-8: קבלו ונטרו.
אם אתם רוצים ביסוס קפדני יותר ל"תיאבון סיכון" כמושג ממשל, מסגרת ה-ERM של COSO היא ההתייחסות שרוב המבקרים מזהים: סקירת COSO ERM.
איך מכיילים ציונים בין סוקרים (כדי שתעדוף יהיה אמין)?
כיול אינו סדנה חד-פעמית. זה תהליך. המטרה פשוטה: שני סוקרים שמנקדים את אותו תרחיש צריכים לנחות בטווח של רמה אחת זה מזה בסבירות ובהשפעה.
הנה לולאת הכיול שעובדת בצוותים אמיתיים, מבלי להפוך סיכון לבירוקרטיה:
בנו סט בנצ'מרק של 12-20 תרחישים. כללו כאלה בין-תחומיים: השבתת ספק, חשיפת נתונים, שגיאת חיוב, שימוש לרעה בגישת עובד, החמצה בדיווח רגולטורי.
נַקדו אותם באופן עצמאי באמצעות הרובריקה. ללא דיון.
השוו דלתות וכפו הסברים בכתב. אם ההסבר הוא "הרגשתי", חסר לרובריקה שלכם עוגן.
עדכנו את הרובריקה, לא את הציונים. הרובריקה היא המוצר.
נַקדו מחדש את אותו סט בנצ'מרק רבעונית עד שהשונות מתייצבת.
אם אתם רוצים בדיקה כמותית, עקבו אחר "תוצאות מטריצה כוללות" לפי מחלקה וחפשו סחיפה: אם הציון הממוצע של סיכון שיורי במחלקה אחת תמיד גבוה ב-30% מאחרות עבור חשיפה דומה, יש לכם חוב כיול.
טכניקה שאולה ממדעי ההחלטות: דרשו הערת אי-ודאות על כל ציון שחסר בו נתונים. דוגמה: "סבירות דורגה 3 על סמך שני אירועים כמעט-נמנעו; כיסוי ניטור חלקי; ביטחון בינוני." זה עוצר דיוק שקרי והופך סקירות מאוחרות למהירות יותר.
קצב סקירה חשוב. סיכונים שיוריים גבוהים ראויים לסקירה חודשית עד שהפחתות נוחתות. סיכונים בינוניים יכולים להיות רבעוניים. סיכונים נמוכים יכולים להיות חצי-שנתיים. אם אתם עושים סקירות שנתיות בלבד, הדירקטוריון שלכם הופך למיושן, וצוותים מפסיקים לסמוך עליו.
עבור צוותים שמתקשים לשמור על לוגיקת החלטות עקבית על פני הקשר משתנה, הפירוט של Lucid על מסגרות החלטה ואיך ליישם אותן בעקביות שווה שימוש כחומר הדרכה כי הוא מתמקד בלוגיקה ניתנת לחזרה, לא בתבניות חד-פעמיות.
השתמשו בלוח אפשרויות כדי להשוות נתיבי הפחתה מבלי לשבור את לוגיקת הניקוד
ברגע שהניקוד עקבי, הבעיה הבאה מופיעה: צוותים מציעים הפחתות שקשה להשוות. אפשרות אחת היא "לקנות כלי", אחרת היא "להוסיף שלב סקירה", אחרת היא "לקבל את הסיכון". מבני עלות שונים, לוחות זמנים שונים, מצבי כשל שונים.
זה המקום שבו לוח אפשרויות מובנה מנצח גיליון אלקטרוני. ב-Lucid, אנחנו לוקחים את הצהרת הסיכון פלוס רובריקת הניקוד ומייצרים מפת אפשרויות ששומרת על הלוגיקה שלמה בזמן שאתם מבצעים איטרציות. אתם יכולים להשוות נתיבים זה לצד זה בתצוגות רשת/טבלה/מיקוד, עם יתרונות, חסרונות והשלכות עתידיות מפורשות.
דרך מעשית לבנות אפשרויות הפחתה היא להתייחס אליהן כמו למטריצת קבלת החלטות עם קריטריונים עקביים:
אפשרות הפחתה
שינוי צפוי בסיכון שיורי
עלות ומאמץ
זמן ליישום
חיסרון מרכזי
מניעה (אוטומציה)
סבירות יורדת ב-1-2 רמות
בינוני-גבוה
4-12 שבועות
סיכון יישום, ניהול שינויים
זיהוי (ניטור)
זמן זיהוי משתפר; סבירות עשויה לא להשתנות
נמוך-בינוני
1-4 שבועות
עדיין מאפשר אירועים, מסתמך על תגובה
העברה (ביטוח/ספק)
השפעה פיננסית יורדת
בינוני
2-8 שבועות
פערי כיסוי, החרגות
קבלה (עם מעקות בטיחות)
אין שינוי
נמוך
מיידי
חייבים להגן על תיאבון וניטור
זה גם המקום שבו מטריצת השפעה מול מאמץ עוזרת לצוותים להפסיק לבחור הפחתות "קלות" שלא מזיזות את הסיכון. אם האפשרות לא משנה את הסיכון השיורי באופן משמעותי, זו לא הפחתה, זו פעילות.
אם אתם רוצים לראות איך צוותי מוצר ותפעול משתמשים בכלי תמיכה מבוססי בינה מלאכותית בעבודה יומיומית (לא תיאוריה), הפוסט של Lucid על איך מנהלי מוצר וצוותי UX משתמשים בעוזר בינה מלאכותית אישי מתמפה היטב לזרימת עבודה זו של השוואת הפחתות.
מודל ניקוד שניתן להגן עליו שהמבקרים והמנהלים שלכם יקבלו
אם ניקוד מטריצת בקרת הסיכונים שלכם לא עקבי, אל תתחילו בוויכוח על סיכונים בודדים. תקנו את מערכת הניקוד.
התחילו השבוע:
נעלו את תקופת ההערכה (רבעונית או שנתית).
פרסמו רובריקת סבירות עם עוגני שיעור בסיס ודוגמאות.
פצלו השפעה לפיננסי, משפטי, נזק ללקוח והשתמשו בכלל הממד הגבוה ביותר.
נַקדו יעילות בקרה על סמך ראיות, ואז חשבו סיכון שיורי עם כלל כתוב.
הריצו סשן כיול באמצעות סט תרחישי בנצ'מרק וחזרו על כך רבעונית.
כשאתם מוכנים להשוות נתיבי הפחתה מבלי לאבד עקביות ניקוד, שימו את הסיכון פלוס האפשרויות בלוח שיכול להתעדכן ככל שמגיעות ראיות חדשות. צרו את מפת האפשרויות הראשונה שלכם ב-Lucid ושמרו על לוגיקת ההחלטות יציבה בזמן שההקשר משתנה: צרו חשבון כדי להתחיל לוח החלטות.
שאלות נפוצות
מהי מטריצת בקרת סיכונים?
מטריצת בקרת סיכונים היא טבלה מובנית המקשרת סיכונים לבקרות, ואז מנקדת סבירות והשפעה כדי לתעדף מה לתקן קודם. הגרסה האמינה מפרידה בין סיכון אינהרנטי, יעילות בקרה וסיכון שיורי.
איך מחשבים ציוני סיכון של סבירות x השפעה?
אתם מקצים רמת סבירות (לתקופת זמן מוגדרת) ורמת השפעה, ואז מכפילים אותן כדי לקבל ציון סיכון אינהרנטי. סיכון שיורי מחושב לאחר התאמה ליעילות הבקרה באמצעות כלל כתוב ועקבי.
איך מדרגים יעילות בקרה בצורה שניתן להגן עליה?
דרגו אותה על סמך ראיות: תוצאות בדיקת בקרה, שיעורי חריגות, ממצאי ביקורת וכיסוי ניטור. בקרה ש"קיימת" אך נכשלת בבדיקה לא צריכה להפחית סיכון שיורי.
איך מכיילים ציוני סיכון בין מחלקות?
השתמשו ברובריקה משותפת ובסט בנצ'מרק של תרחישים שמנוקדים באופן עצמאי, ואז יישבו הבדלים על ידי עדכון עוגני הרובריקה. חזרו על כך רבעונית עד שהסוקרים מתכנסים לטווח של רמה אחת בסבירות ובהשפעה.
ניקוד מטריצת בקרת סיכונים: סבירות כפול השפעה | Lucid
