في بيئة الأعمال الديناميكية اليوم، تواجه منظمات الأعمال (المؤسسات) عدداً لا يحصى من حالات عدم اليقين التي يمكن أن تؤثر على قدرتها على تحقيق أهدافها. لا تعد إدارة المخاطر مجرد ممارسة للامتثال، بل هي نظام أساسي جوهري للنجاح الاستراتيجي، وخلق القيمة، والمرونة. في جوهرها، تُعرّف إدارة المخاطر المؤسسية (ERM) بأنها عملية لتحديد الأحداث أو المواقف المحتملة وتقييمها وإدارتها والتحكم فيها، لتوفير تأكيد معقول بشأن تحقيق أهداف المؤسسة. تمتد هذه العملية إلى ما هو أبعد من إدارة المخاطر التقليدية لتشمل كلاً من الأهداف الاستراتيجية والتشغيلية. بينما يدير جميع الموظفين المخاطر بشكل فردي، تتحقق أعظم الفوائد عندما يتم التعامل مع إدارة المخاطر بوعي واتساق، وبأكثر الطرق فعالية، من منظور مؤسسي شامل.
إدارة المخاطر المؤسسية (ERM) – منظور جديد
تتبنى المؤسسات في جميع أنحاء العالم بشكل متزايد برامج إدارة المخاطر المؤسسية (ERM). توفر إدارة المخاطر المؤسسية “رؤية شاملة” للمخاطر، مما يمكّن الإدارة التنفيذية من اتخاذ قرارات استراتيجية أفضل وتخصيص الموارد بشكل أكثر فعالية. تؤكد العديد من الأطر والتعريفات البارزة على اتساع نطاق إدارة المخاطر المؤسسية:
يعرّف إطار COSO لإدارة المخاطر المؤسسية بأنها: الثقافة، والقدرات، والممارسات، المدمجة مع وضع الاستراتيجيات والأداء، التي تعتمد عليها المؤسسات لإدارة المخاطر في خلق القيمة والحفاظ عليها وتحقيقها. يسلط ذلك الضوء على أهمية ثقاقة المؤسسة، والقدرات (مثل المزايا التنافسية)، والممارسات المتسقة عبر جميع المستويات.
تصف Tillinghast-Towers Perrin إدارة المخاطر المؤسسية بأنها: نهج صارم ومنسق لتقييم جميع المخاطر التي تؤثر على تحقيق الأهداف الاستراتيجية والمالية للمنظمة والاستجابة لها. يؤكد هذا التعريف على دمج المخاطر من جميع المصادر (المالية والتشغيلية والاستراتيجية)، والاستفادة من التحوطات الطبيعية، وتنسيق الاستراتيجيات، والتركيز على الأهداف العامة، والتعرف على كل من الفرص الإيجابية والتهديدات السلبية.
يُعرّف IIA إدارة المخاطر على مستوى المؤسسة بأنها عملية منظمة ومتسقة ومستمرة عبر المؤسسة بأكملها لتحديد وتقييم وتحديد الاستجابات والتقارير المتعلقة بالفرص والتهديدات التي تؤثر على تحقيق أهدافها. وتشدد على نهج المحفظة الأوسع (broader portfolio approach) وعلاقتها بخلق القيمة أو الحفاظ عليها.
السمة المشتركة بين هذه التعريفات هي التركيز على أن إدارة المخاطر المؤسسية عملية واسعة النطاق ومستمرة تشمل الإدارة والموظفين على جميع مستويات المؤسسة، متجاوزة الانعزال التنظيمي التقليدي.
مفاهيم أساسية – إدارة المخاطر المؤسسية
يعد الفهم المشترك للمصطلحات أمراً حيوياً لمناقشات المخاطر الفعالة. تتضمن بعض المصطلحات الأساسية:
- المخاطر (Risk): احتمالية وقوع حدث سيكون له تأثير على تحقيق الأهداف. تُقاس من حيث التأثير والاحتمالية. يمكن أن تمثل تهديداً (تأثير سلبي) أو فرصة (إمكانية إيجابية).
- التأثير (Impact): النتيجة أو الأثر أو العواقب الفعلية أو المحتملة للحدث.
- الاحتمالية (Likelihood): احتمالية وقوع حدث معين.
- شهية المخاطر (Risk Appetite): مستوى المخاطر الذي تكون المنظمة على استعداد لقبوله سعياً وراء القيمة.
- المخاطر الكامنة (Inherent Risk): مستوى المخاطر الموجود قبل التخفيف بالضوابط الداخلية.
- المخاطر المتبقية (Residual Risk): المخاطر المتبقية بعد اتخاذ الإدارة إجراءات لتقليل تأثير الحدث السلبي واحتماليته، بما في ذلك أنشطة التحكم (control activities).
- بيئة التحكم (Control Environment): اتجاهات وإجراءات مجلس الإدارة والإدارة فيما يتعلق بأهمية التحكم داخل المؤسسة ، والتي تشكل الأساس للرقابة الداخلية.
من الأهمية بمكان فهم أن تحمل مستوى معين من المخاطر أمر متأصل في تحقيق الأهداف، فبدون مخاطر، لا يمكن أن يكون هناك مكافأة.
ما هو تقييم المخاطر؟
تقييم المخاطر هو عملية منهجية تهدف إلى تحديد المخاطر وتحليلها وتقييمها. تتبع عادة هذه الخطوات:
1. تحديد الأهداف المحتملة التي تسعى منظمة الأعمال لتحقيقها بوضوح.
2. تحديد الأحداث، المخاطر أو الوقائع المحتملة التي قد تؤثر على الأهداف.
3. تقييم المخاطر الكامنة ومستوى المخاطر بناءاً على التأثير المترابط واحتمالية الأحداث، قبل تطبيق أي استجابات.
4. تحديد الاستجابات والإجراءات أو الضوابط للتخفيف من المخاطر أو قبولها أو تجنبها أو نقلها.
5. تقييم المخاطر المتبقية ومستوى المخاطر بعد أخذ الاستجابات في الاعتبار. يجب أن تؤدي الاستجابات الفعالة إلى تقليل المخاطر المتبقية مقارنة بالمخاطر الكامنة.
على سبيل المثال، عند التحضير لامتحان، فإن الهدف هو النجاح (أو الحصول على أعلى درجة). يمكن أن تشمل أحداث المخاطر عدم فهم المحتوى الأساسي أو نفاذ الوقت. قد تكون المخاطر الكامنة للفشل عالية. تساعد طرق استجابة مثل الدراسة الدؤوبة أو إدارة الوقت أثناء الاختبار في تقليل ذلك إلى مستويات مخاطر متبقية أقل.
فهم تأثير المخاطر واحتماليتها
تقوم منظمات الأعمال بتقييم احتمالية وتأثير أحداث المخاطر باستخدام مصطلحات نوعية (مثل: مرتفع، متوسط، منخفض) أو مقاييس كمية (مثل: مقاييس عددية، نسب مئوية). الأداة الشائعة هي خريطة المخاطر (risk map)، وهي مصفوفة من أربع مربعات ترسم الاحتمالية مقابل التأثير، مما يساعد في تصور المخاطر وترتيب أولوياتها.
بينما يعتمد تقدير هذه العوامل بشكل كبير على الحكم المهني، فإن الاتساق هو المفتاح. عند معالجة المخاطر، يجب على المؤسسات إعطاء الأولوية لتلك التي لديها أعلى احتمالية وأعلى تأثير، والتي تعتبر أكبر تهديد و بضرر لا يمكن إصلاحه. ومع ذلك، تتطلب جميع أنواع المخاطر، بما في ذلك المخاطر منخفضة التأثير/ عالية الاحتمالية والمخاطر عالية التأثير/ منخفضة الاحتمالية، تقييماً دقيقاً.
دور التدقيق الداخلي في إدارة المخاطر
يلعب التدقيق الداخلي دوراً مهماً في إدارة المخاطر، كما هو منصوص عليه في معايير IIA ومنها معيار يتطلب المعيار (2120) تقييم فعالية عمليات إدارة المخاطر والمساهمة في تحسينها. وهو -المعيار 2010- الذي يدعو إلى خطة تدقيق قائمة على المخاطر، يتم إنشاء إطار عمل منهجي لتقييم المخاطر. يتضمن هذا الإطار عادةً:
1. تحديد نطاق التدقيق وجميع الوحدات أو الأنشطة القابلة للتدقيق المحتملة داخل المؤسسة.
2. فحص عوامل المخاطر في المؤسسة لتطبيق منهجية موحدة لتقييم المخاطر الداخلية والخارجية، مع الأخذ في الاعتبار تأثيرها على أهداف منظمة الأعمال، ودمج نتائج إدارة المخاطر المؤسسية (إذا كانت موجودة)، والتشاور مع الإدارة العليا.
3. ترتيب أولويات عمليات التدقيق عبر تقييم المهام المقترحة بناءاً على معايير محددة، وترتيب المخاطر حسب أهميتها وشهية المخاطر (Risk appetite)، والنظر في موارد التدقيق الداخلي المتاحة. تتوج هذه العملية بخطة التدقيق السنوية.
يمكن للتدقيق الداخلي الاستفادة بشكل كبير من إطار إدارة المخاطر المؤسسية المعتمد في منظمة الأعمال لاختيار مهامه ومعاييرها وأدواتها، وبالتالي تعزيز قيمته ومصداقيته.
كلمة أخيرة
إن الإدارة القوية للمخاطر، لا سيما من خلال نهج إدارة المخاطر المؤسسية، ليست ترفاً أو مجرد إضافة، بل هي عملية متكاملة ومستمرة وحيوية لتجاوز التعقيدات، وحماية الأصول، بما يكفل تحقيق أهداف المؤسسة والحفاظ عليها.
