بعض الإنصاف لإدارة المخاطر! (3 من 3)

في جُزئي المقالة الأول والثاني سردت لمحة تاريخية لنشأة إدارة المخاطر، والتحديات التي واجهتها، وفصلت في تعريف الخطر والهدف من إدارته، وأسهبت بعض الشيء في إدارة المخاطر المؤسسية. وعلى الرغم من الفوائد الجلية من استحداث ووجود إدارة معنية بإدارة المخاطر المؤسسية التي تتعرض لها الشركة، إلا أنه هناك قلة من الشركات التي تحذوا هذا الحذو، ودائما ما يكون هناك لَبْس وخَلْط في المهام ما بين مدير المخاطر والمدير المالي. في جزء المقالة الثالث هذا والأخير أتطرق إلى أهمية وجود مدير مخاطر تنفيذي CRO كجزء رئيسي من هيكلة الشركات.

يعتقد الكثير أن مهام إدارة المخاطر هي من صلب المهام الإدارية لأي مدير، وأن باستطاعة أي مدير أن يتخذ قرار بالمخاطرة من عدمها بالاعتماد على الحس الإداري لديه، وقد يصل الأمر لدى البعض بالاستهانة لحد الاعتقاد أن أي موظف باستطاعته ذلك. بالطبع يجب أن يكون لدى أي مدير بعض المساحة في اتخاذ القرار لست ضد هذا؛ فهو الشخص المدرك تمامًا لما قد يواجه إدارته من مخاطر، لكن البعض للأسف يتناسى أو يتجاهل عمدًا أن هذه المساحة في اتخاذ القرار بشأن المخاطر يجب أن تكون حسب ضوابط وحدود صادرة من الإدارة المختصة بالمخاطر، ولا يجب الأفراط في تجاوزها أو إهمالها وتجاهلها. 

ولا عجب أن نرى اجتهادات من الجميع في جانب تحديد المخاطر وأدارتها في تلك الشركات التي لا يوجد في هيكلتها إدارة مختصة بالمخاطر؛ حيث أن مهمه توحيد ثقافة المخاطر وصياغتها حسب استراتيجية الشركة هي إحدى المهام الرئيسية لإدارة المخاطر المؤسسية. هذا التوجه لدى بعض المدراء يُعد كارثي على الشركات، ويجب علينا لزامًا كمختصين في إدارة المخاطر الحديث عنه، وتوضيح جوانبه فطرق وقنوات التواصل المتاحة للجميع مثل برامج التواصل الاجتماعي كثيرة وميسرة.

نشرت شركة McKinsey & Company ورقة بحثية كانت نتيجتها أن معظم الشركات ليس لديها مدير مخاطر تنفيذي CRO. فبدل تعيين مدير مخاطر له ما له، وعليه ما عليه من مهام وواجبات مستقلة؛ إلا أنه يتم إسناد هذه المهام للمدير المالي، مما قد يخلق إشكالات من شأنها تعظيم المخاطر التي تتعرض لها الشركة وتقودها لخسائر فادحة؛ وذلك لأن المدير المالي لديه واجباته الجوهرية وفي صلب عمله الحسّاس، فعندما يتم إسناد مهام تنشأ عنها تضارب مصالح مع عدم وضع خطة حوكمة مناسبة؛ فإن الشركة قد تقع بالمحظور. لكن على النقيض تمامًا فإن المؤسسات في القطاع المالي أكثر نضجًا في هذا الجانب، فهي تعترف بأهمية وجود إدارة مخاطر مؤسسية مستقلّة وأصبحت أولوية في هيكلتها. 

يذكر استطلاع قامت به Deloitte Global Risk Management أن 83 بالمائة من المؤسسات المالية أصبحت تُطبّق برامج لإدارة المخاطر المؤسسية. أعتقد أن نضج الحالة لدى المؤسسات المالية فيما يتعلق بإدارة المخاطر والحوكمة الحصيفة لها بعكس غيرها من الشركات يعود لما تعرّضت له من صدمات مؤلمة خلال الأزمة المالية العالمية. 

قد يبدو للكثير أن مهام مدير المخاطر والمدير المالي متشابهة من الوهلة الأولى، ولا إشكال في دمجها تحت إدارة واحدة، لكن في حقيقة الأمر فإن واجبات كل إدارة تختلف. نعم هي عملية متكاملة، لكنها ليست متشابهة ألبتَّة، فيزيد من تكاملها وجود ثقافة مخاطر مشتركة لدى كلّ من الرئيس التنفيذي ومجلس الإدارة جنبًا إلى جانب لمدير المخاطر والمدير المالي. بمعنى لو أخذنا على سبيل المثال بيان شهية المخاطرة Risk Appetite Statement (يسميه البعض بيان الرغبة في المخاطرة)؛ فإن مهمة مدير المخاطر صياغة هذا البيان، والحرص أن يكون ممتثلاً للوائح، وأن يتوافق مع استراتيجية الشركة وتوجهها، ويأخذ موافقة مجلس الإدارة عليه ومناقشتهم قبلها، كما يجب عليه أيضًا ضمان أن الشركة تعمل ضمن شهية المخاطر المحددة، وأن يقوم بتقديم تقارير دورية للرئيس التنفيذي ومجلس الإدارة حول هذا الأمر. يقوم الرئيس التنفيذي من خلال بيان شهية المخاطرة المعتمد بوضع أهداف تتناسب مع قابلية المخاطرة وحدودها، ويحدد المهام الإدارية لقادة الشركة بضمان وجود ثقافة مخاطر حصيفة لديهم. هنا تأتي مهمة المدير المالي بدمج بيان شهية المخاطرة في صنع القرار المالي من حيث استراتيجيات الاستثمار والتمويل والتحوط. أما مجلس الإدارة فيوفّر حوكمة ورقابة مستقلة على المخاطر، ويراجع بيان شهية المخاطرة، ويقرنه بأهداف الشركة ويوافق عليه ويحاسب الإدارة على أيّ إفراط في تجاوز حدود الخطر من خلال تقارير مدير المخاطر الدورية وتوجيه ما يراه مناسبًا لربأ صدع أيّ ثغرة مخاطر. 

ومما يجب ذِكْره أن بيان شهية المخاطرة من الأمور الأساسية والفارقة في عملية إدارة المخاطر والتفصيل فيه يطول، فكيف يتم صياغته وما حدود الخطر والأُسُس التي يجب أخذها بالحسبان خلال هذه العملية وأمور كثيرة أخرى من مكونات ومبادئ إدارة المخاطر المؤسسية لعلي أتطرق لها في سلسلة مقالات قادمة -بإذن الله-.

إذًا خلاصة الأمر أنه لا يوجد ثوب واحد يناسب جميع الشركات من حيث مبدأ تطبيق إدارة المخاطر المؤسسية. قد تختلف المراجع في تحديد المكونات الرئيسية لإدارة المخاطر المؤسسية. فمثلاً يذكر جيمس في كتابه أربعة مكونات لإدارة المخاطر المؤسسية، وفي المقابل إطار العمل المقدم من COSO يضعها في خمسة مكونات، لكن عند النظر بإمعان بينهم نجد أنهم جميعًا متفقون على جوهر واحد، وهو أن يكون هناك حوكمة وتطبيق صحيح وتقديم تقارير وقناة اتصال. حسب إطار إدارة المخاطر المقدم من COSO، فهناك خمسة مكونات رئيسية؛ أولها الحوكمة والثقافة، وثانيها الاستراتيجية وتحديد الأهداف، وثالثها الأداء، ورابعها المراجعة والتنقيح، وخامسها المعلومات والتواصل والإبلاغ، ويتم التوسع في المكونات من خلال عشرين مبدأ يفصل كل مبدأ ما يجب عمله من أجل الوصول لإدارة مخاطر فعّالة.