על ברבורים שחורים ותוכנית המשכיות עסקית
31 מאי 2021
במשך מאות שנים היו משוכנעים באירופה שכל הברבורים לבנים. למה? כי אף אחד לא זכה לראות ברבור שאינו לבן. רק לאחר גילוי אוסטרליה התברר שברבור יכול להיות גם שחור. כך נפתח רב המכר של נסים טאלב – הברבור השחור.
במילים אחרות, אומר טאלב, תצפית בודדת יכולה להפריך קביעה כללית שנובעת מאלפי תצפיות מאוששות על ברבורים לבנים – כל מה שצריך היא ציפור אחת שחורה – מכוערת למדי.
אם נדלג מעל הדיון הפילוסופי המעניין למציאות האמפרית הרי שהברבור השחור הוא מאורע בעל שלשת המאפיינים האלה:
1. הוא נדיר וחריג ביותר – מכאן ששום דבר בעבר לא יכול להצביע באופן משכנע על התכנותו.
2. יש לו השפעה קיצונית.
3. ניתן לחזות אותו רק לאחר מעשה – או בתרגום לישראלית – "אמרתי לך".
ברבור שחור נוצר בדיוק בפער בין מה שאנחנו יודעים לבין מה שאנחנו חושבים שאנחנו יודעים. צרוף זה של יכולת חיזוי נמוכה והשפעה רבה הופך את הברבור השחור לחידה גדולה, ואת חיינו, עורכי הדין, רואי החשבון, הדירקטורים, ומנהלי העסקים וההשקעות של העולם – אוהבי הוודאות – לחרדתיים עוד יותר.
נראה כי חברות פיננסיות (אך לא רק) עומדות היום בפני מספר חסר תקדים של חשיפות. תדירות וחומרת האירועים הלא צפויים הולכות וגוברות מחד, ומאידך מתרחבת ההסתמכות על רשתות ואמצעים טכנולוגים. שתי המגמות הללו מותירות את העסקים רגישים למגוון רחב של סיכונים קיימים ומתעוררים. אותם סיכונים, או, ברבורים שחורים אם תרצו, פוגשים את הגופים המפוקחים בשלל היבטים עסקיים, אשר לחלקם נחשפנו כולנו עם פרוץ מגפת הקורונה בשנת 2020 ומבצע שומר החומות בשנת 2021. כך לדוגמא: קושי בהגעה פיזית של עובדים למשרדים, מעבר לעבודה מרחוק ואף מתקפות סייבר. כל אלו עלולים לפגוע בהמשכיות העסקית של כל חברה, ללא התרעה מוקדמת.
אבל אם משהו לא צפוי, מה ניתן לעשות כדי להיערך אליו? ואם לא ניתן להיערך אליו – אז למה קראתם עד עכשיו? אז זהו שיש תקווה!
בחודש דצמבר 2020 פרסמה רשות ניירות ערך מסמך תובנות בנושא ייעודי לתקופת משבר הקורונה בנוגע לתכניות המשכיות עסקית (Business Continuity Plan או BCP) ופתרונות בפועל להבטחת רציפות במתן שירותים של הגופים המפוקחים. מסמך זה מיועד בעיקרו לגופים המפוקחים על ידי הרשות, ובכלל זה למנהלי קרנות הנאמנות, חברות לניהול תיקי השקעות, הבורסה לניירות ערך ומסלקותיה, זירות סוחר לחשבונן העצמי ורכזי הצעה. הרשות טענה כי תכניות ההמשכיות העסקית של רוב הגופים המפוקחים טרום משבר הקורונה, לא נתנו מענה לתרחיש של מגפה עולמית, כאשר במקביל עוצמת המשבר לא השאירה פנאי לעדכון נהלים ותכניות המשכיות עסקית במהלך ההתמודדות עמו. כן נאמר שם כי כעת מצופה מהגופים המפוקחים לפעול לבחינה כוללת של תכניות ההמשכיות העסקית ותכניות ההתאוששות מאסון. לעמדת הרשות, בחינה זו אמורה להתייחס לכלל היבטי הפעילות העסקית בגופים המפוקחים ובכלל זה: גישה מרחוק; אבטחת מידע ואיומי סייבר; תרגולים והדרכות; גיבוי עובדים; קיום ישיבות, שיתוף ידע, עבודת צוות; קשרי לקוחות; ספקים וכיוב'.
לעמדת הרשות, התייחסות לסוגיות אלה צריכה לקבל ביטוי בנהלי העבודה הרלוונטיים אשר יתייחסו למכלול תרחישים אפשריים של מצבי חירום לרבות למצבים של סגר כללי, הדבקה של חלק או כלל עובדי החברה ובידוד עובדים לתקופות ממושכות.
פרסום זה מצטרף לפרסומים קודמים של הרגולטורים הפיננסים, ובכלל זה, המפקח על הבנקים ורשות שוק ההון אשר דרשו מהגורמים המפוקחים על ידם עוד בתחילת העשור הקודם, לפעול להבטחת ההמשכיות העסקית, נוכח אירועים אשר עשויים לשבשה.
אז מה זאת תוכנית המשכיות עסקית?
תוכנית המשכיות עסקית נועדה להבטיח רציפות תפעולית של התהליכים העסקיים הקריטיים של הארגון בשעת חירום. התכנית מתייחסת לאירועי חירום שונים ומגדירה תכניות פעולה ונהלים פנימיים הכוללים הנחיות בתחומי התשתית, ממשל תאגידי וניהול הסיכונים, שתכליתם להבטיח כי מאמצי התוכנית ימשיכו לספק שירותים חרף התממשותם של אירועים הגורמים לשיבושים תפעוליים חמורים במערכותיהם ובפעילותם. שיבושים אלה עשויים להיגרם מאירועים פנימיים או חיצוניים, בכלל זה, מגפות, אסונות טבע, אירועי מלחמה, וירוסים טכנולוגיים וכן, פעולות שונות המבוצעות מתוך כוונות זדון כגון מתקפות סייבר.
כך לדוגמא, בפרסומים שפורסמו על ידי הרגולטורים הפיננסים כאמור, נדרשו הגורמים המפוקחים, בין היתר, לזהות תהליכים ושירותים חיוניים (Critical Operations and Services), למפות את החשיפה של השירותים הללו לסיכונים, לקבוע יעדי התאוששות (Recovery Objectives), לאמץ תכנית להגשמת יעדי ההתאוששות, ולפעול בשוטף על מנת להבטיח הטמעה ויישום מוצלח של התכנית.
כל אלו אמורים לשפר את עמידותם (Resilience) של הגופים המפוקחים בפני אירועי קיצון הגורמים לשיבושים תפעוליים משמעותיים (Major Operational Disruption).
למה אני צריכה את זה, יש לי ביטוח
ביטוח בלבד אינו אסטרטגיית המשכיות עסקית. כיסוי נכון הוא חלק משמעותי וחשוב בתוכנית, אך ברוב המקרים הוא לא מכסה באופן מלא חלק מהנזקים ההיקפיים מאירוע, כמו עצירת שירות, אובדן לקוחות, אובדן נתח שוק ומוניטין או נסיגות בפיתוח או בשחרור של מוצר חדש.
לפי הדרישות הרגולטוריות, על תכנית ההמשכיות העסקית להתייחס, בין היתר, להיבטי כוח אדם, לנושאים טכנולוגיים (כגון אבטחת מידע וגיבוי נתונים), לעבודה מרחוק ולתקשורת עם לקוחות/עמיתים, רשויות פיקוח, עובדים וכד'.
אני חברה קטנה, התוכנית תעלה לי יותר מהנזק
עסקים רבים אינם נפתחים מחדש בעקבות אירוע מרכזי – לשם המחשה, ישנן הערכות לפיהן מגפת הקורונה גרמה לעלייה של כ – 85% בסגירת העסקים. לא נדרשת קטסטרופה גדולה כדי להשבית עסק. למעשה, גם שיבושים קלים לכאורה בהשוואה לאסונות טבע נרחבים, עלולים לגרום לעיתים קרובות לנזק משמעותי – כשלים בחשמל, פגיעה בתשתיות החברה או אובדן מידע דיגיטאלי. יתרה מכך, באירוע משמעותי כמו מגיפה עולמית או אפילו מלחמה, דווקא בחברות הקטנות וחסרות ה"שומנים" מבחינת היקפי כוח אדם ותשתיות חלופיות, ישנה חשיבות רבה להיערכות מוקדמת. –
אם לסכם, על אף שהמסמך שפרסמה רשות ניירות ערך מיועד בעיקרו לגופים המפוקחים על ידה באופן אקטיבי, נראה כי גם גופים אחרים, שאינם מפוקחים (כגון אלו הפועלים תחת פטור מדרישות רישוי ופיקוח), נדרשים לאמץ תוכנית המשכיות עסקית כדי להתמודד עם הסדר העולמי החדש. מטבע הדברים, על אף שהעקרונות דומים, אין ציפייה שתוכנית המשכיות עסקית של מוסד פיננסי גדול תהיה זהה לתוכנית של סטרטאפ בתחום הפינטק. תוכנית אפקטיבית היא כזאת המותאמת למידותיו של נותן השירותים וצרכיו ונעשית בשיתוף אנשי מקצוע מנוסים שייסעו לנותן השירותים באיתור הברבורים השחורים הרלוונטיים עבורו.
ואין כמו ספוילר לסיום:
נספר לכם שנסים טאלב, ביל גייטס ועוד רבים אחרים טוענים שמגיפת הקורונה היתה צפויה ולכן מבחינתם היא איננה ברבור שחור. אבל ככל הנראה מה שהיה צפוי וידוע בעיני טאלב וחבריו, לא היה צפוי בעיננו, היושבים במידל איסט… כנראה שלמרות הכל, אנחנו לא מסתובבים באותם החוגים.
המאמר פורסם במקור בכלכליסט בתאריך 31/05/2021
לפרטים נוספים:
ליאת מיידלר, שותפה במחלקת רגולציה פיננסית
דניאל קצ'לניק, עורך דין במחלקת חברות וניירות ערך