أهمية إدارة المخاطر المؤسسية وخصائص التنفيذ الفعّال

في الماضي، كانت القوافل التجارية التي تشق طريقها براً من شبه الجزيرة العربية إلى أقاليم بعيدة في سبيل مد جسور التجارة وتحقيق العوائد الاقتصادية مثالاً بارزا لإدارة المخاطر. فقد كانت هذه الرحلات محفوفة بالتحديات، بما في ذلك الظروف الصحراوية القاسية وتهديد قطاع الطرق. ولضمان نجاح هذه الرحلات، كان التخطيط الدقيق ضرورياً، بما في ذلك اختيار طرق آمنة وتحديد محطات إعادة الإمداد. وكان البعض منها يستأجر حراساً للحماية ويشكل تحالفات مع القبائل المحلية لتأمين المرور الآمن. وعلى الرغم من المخاطر الكامنة، نجح الكثير منها في الوصول إلى وجهته، وحقق عوائد مجزية، في حين واجه البعض الاخر خسائر هائلة تصل الى حد أن منها من لم يستطع العودة او الوصول الى وجهته أبداً.

وهذا يقودنا إلى تعريف المخاطر وفهم شكلها وتحديد الأشكال المختلفة التي يمكن أن تتخذها. وفقًا لمنظمة المعايير الدولية (ISO 31000)، تُعرَّف المخاطر بأنها “تأثير عدم اليقين على الأهداف المحددة، حيث يكون هذا التأثير انحرافًا عن المتوقع. يمكن أن يكون إيجابيًا، سلبيًا، أو كليهما، ويمكن أن يتناول، أو يخلق، أو يُنتج عنه فرص أو تهديدات”. تقليديًا، كانت المخاطر تُعتبر عقبة أمام تحقيق الأهداف التجارية، مما أدى إلى نشأة نماذج تقيس الخسائر المتوقعة، والغير المتوقعة، وأسوأ السناريوهات الممكنة.

ومع ذلك، في مجال الأعمال، أيضًا تمثل المخاطر فرص. حيث إنه بدون أخذ المخاطر، لن يكون هناك احتمال للعوائد. إن أحد التصورات البسيطة التي تلتقط هذا المفهوم بفعالية هو المنحنى الجرسي او ما يسمى بال (Bell Curve) لأنه يشبه شكل الجرس. إن فهم المخاطر بهذه الطريقة أمر أساسي. في هذا التمثيل، تشير كل نقطة على المنحنى إلى نتيجة محتملة مختلفة. بحيث يمثل المحور الأفقي نطاق النتائج، بينما يشير المحور الرأسي إلى احتمالات تلك النتائج. وبالتالي، يوضح المنحنى الجرسي متجهًا من الاحتمالات والنتائج، ويصور بشكل جماعي ملف المخاطر الإجمالي.

تواجه الكثير من المنظمات مخاطر رئيسية تتطلب إدارة دقيقة. ولعل أحد أهم هذه المخاطر هي الاستراتيجية، والتي تنشأ من مخاطر تؤثر على استراتيجية عمل الشركة ولديها القدرة بشكل ملموس على إعاقة المنظمة في تحقيق أهدافها الاستراتيجية. ومن المخاطر الرئيسية الاخرى، تأتي المالية، والتي تشمل تقلبات السوق والائتمان والسيولة، مما يؤثر على استقرار أي منظمة. وتنشأ المخاطر التشغيلية من فشل العمليات أو الأنظمة الداخلية وقد تصل عواقبها الى مستويات وخيمة. وتتعلق مخاطر الامتثال بالانتهاكات المحتملة للأنظمة أو اللوائح والتي بسببها قد تتوقف أعمال المنظمة بشكل كامل. كما يمكن أن تضر المخاطر المتعلقة بالسمعة بصورة المنظمة وثقة العملاء وأصحاب المصلحة. بالإضافة إلى ذلك، تشكل تهديدات الأمن السيبراني من خلال اختراقات البيانات والهجمات خطرًا كبيرًا في وقتنا الراهن.

من المهم أن نلاحظ الترابط المحتمل بين هذه المخاطر. على سبيل المثال، المنظمة التي تقدم الائتمان لعملائها تواجه مخاطر الائتمان (بسبب التدهور المحتمل للجدارة الائتمانية للعميل) ومخاطر تشغيلية تتعلق بالتوثيق الدقيق لهذه العلاقة التجارية (عمليه قد يصبح دورها جوهريا في حال تعثر العميل). إن إدارة ملف مخاطر المنظمة بفعالية تراعي تداخلها وترابطها هو أمر حيوي في سبيل تحقيق النجاح والاستقرار على المدى الطويل. لهذا السبب ارتأيت إدارة المخاطر المؤسسية (ERM) كمحور لهذه المقالة نظرًا لأهميتها البالغة وللزخم المتزايد الذي تحظى به مؤخرا، لا سيما في ظل التعقيدات الحالية في بيئة الأعمال والمخاطر.

برنامج أدارة المخاطر المؤسسية
تم نشر إطار عمل إدارة المخاطر المؤسسية في عام 2004 من قبل لجنة المنظمات الراعية التابعة للجنة تريدواي (COSO). عرفت اللجنة إدارة المخاطر المؤسسية بأنها “عملية، يؤثر فيها مجلس إدارة الكيان والإدارة والموظفون الآخرون، وتُطبق في وضع الاستراتيجية وعلى مستوى المؤسسة. مصممة لتحديد الأحداث المحتملة التي قد تؤثر على الكيان وإدارة المخاطر لتكون ضمن حدود المخاطر المقبولة، لتوفير ضمان معقول بشأن تحقيق أهداف الكيان”. ثم عادت اللجنة في 2017 بتعريف محدث يربط إدارة المخاطر المؤسسية بشكل ملحوظ بإستراتيجية عمل المنظمة عبر ثقافتها وامكانيتها وممارساتها بهدف جعل إدارة المخاطر عنصر أساسي في خلق القيمة والحفاظ عليها.

مع تزايد تعقيد بيئة المخاطر، تزداد أيضًا الأساليب والأدوات المستخدمة لتحديد هذه المخاطر وقياسها وإدارتها. لقد كشفت الأحداث الكبرى مثل الأزمة المالية في عام 2008 وجائحة كوفيد-19 والازمة التقنية العالمية مؤخرا عن العديد من أوجه القصور في نماذج إدارة المخاطر، مما سلط الضوء على الترابط بين تلك المخاطر وذكر المنظمات بالحاجة إلى التحسين.

وفقًا لتقرير حالة الرقابة على المخاطر لعام 2024 الصادر عن جمعية المحاسبين المهنيين المعتمدين الدوليين، والذي استطلع آراء 377 منظمة، يعتقد 65% أن حجم وتعقيد المخاطر آخذ في الازدياد، ومع ذلك، أفاد 37% فقط بوجود نظام كامل لإدارة المخاطر المؤسسية (ERM) في عام 2024.

وعلى الرغم من ذلك، هناك اتجاه إيجابي، فقد ارتفعت نسبة المنظمات التي لديها نظام كامل لإدارة المخاطر المؤسسية من 25% في عام 2014، مما يشير إلى إدراك متزايد لأهمية إدارة المخاطر المتكاملة على مدى العقد الماضي. وعلى الصعيد المحلي، نلاحظ نمطًا مشابهًا مع استمرار المنظمات في المملكة بالتوسع في مجالات الأعمال وما يصحبها من تعقيد وترابط مع الأحداث العالمية، يترافق ذلك مع ارتفاع بالوعي وتوجه تنظيمي نحو الحوكمة وإدارة المخاطر.

ألا أن عملية ربط أنشطة إدارة المخاطر باستراتيجية العمل واتخاذ القرار عند بعض المنظمات مازالت غاية صعبة المنال (بمعدل قدره 35% من المنظمات كما يشير التقرير). ويؤدي هذا القصور إلى عملية غير فعّالة، حيث تعمل إدارة المخاطر والتخطيط التجاري في معزل عن بعضهما البعض مما يتعارض مع غرض برنامج إدارة المخاطر المؤسسية.

إن الهدف من إدارة المخاطر المؤسسية هو زيادة كفاءة المنظمة، وتعزيز الإبلاغ عن المخاطر، وتحسين الأداء التجاري بشكل عام. لنستعرض هذه الجوانب بشكل فردي. تمتلك العديد من المنظمات وظائف منفصلة لإدارة المخاطر فيما يتعلق بالسوق والائتمان والمخاطر الأخرى. تعمل استراتيجية إدارة المخاطر المؤسسية الفعّالة على دمج هذه المخاطر في نظام مركزي، مع مراعاة علاقاتها وترابطها مما يعزز كفاءة المنظمة.

وفيما يتعلق بالإبلاغ عن المخاطر، يوفر ال ERM رؤية شاملة عبر تقارير منتظمة لجميع المخاطر، مما يسمح لمجلس الإدارة والإدارة العليا بفهم التفاعل بين المخاطر وتنفيذ استراتيجيات للتخفيف من المخاطر المتبقية. أما بالنسبة للأداء التجاري، فإن أحد أهم جوانب إدارة المخاطر المؤسسية هو دمج إدارة المخاطر في عمليات أعمال الشركة وإستراتيجيتها حيث يعمل هذا التكامل على تحسين أداء الأعمال التجارية وخلق القيمة من خلال اتخاذ القرارات الحصيفة والتي قد تشمل العمل ضمن مستوى المخاطر المقبولة، والتخصيص المناسب لرأس المال، وتطوير المنتجات والتسعير على أساس المخاطر، وإدارة الموارد بكفاءة.
خصائص التنفيذ الفعّال

بعد أن أدركنا أهمية برنامج إدارة المخاطر المؤسسية للمنظمات، يجب أن ندرك أيضا أن تنفيذ هذا البرنامج هو عملية طويلة تتطلب موارد مكثفة. كذلك يتطلب الأمر تبصرًا، وتفانيًا، وصبرًا قد يصل الى عدة سنوات. سواء كانت هذه المحاولة الأولى للمنظمة في إدارة المخاطر المؤسسية أو كان تحديثًا لتحسين نضج البرنامج، لن يتحقق ذلك بسرعة. يتضمن تنفيذ برنامج كهذا العمل على مكونات ملموسة وغير ملموسة. تشمل المكونات الملموسة السياسات والإجراءات، والعمليات، والهياكل التنظيمية، والأنظمة. أما المكونات غير الملموسة فتتطلب قناعة أصحاب المصلحة والقدرة على إدارة التغيير وتحولًا في الثقافة المتعلقة بالمخاطر. إن إهمال أي جانب قد يعرّض نجاح تنفيذ هذا البرنامج الحساس للخطر.

هناك نموذجان بارزان يستخدمان دوليًا كإطار لإدارة المخاطر المؤسسية هما إطار (COSO ERM) وإطار (ISO 31000). بسبب تنظيمه وتفاصيله الدقيقة، تتبنى المنظمات الكبرى غالبا إطار COSO. وعلى النقيض من ذلك، فإن ISO 31000 أقل وصفًا وذا طابع إجرائي بشكل عام، مما يجعله مناسبًا لأنواع مختلفة من المنظمات. ولكن بغض النظر عن النموذج المستخدم، من المهم كنقطة بداية تحديد العوائق التي تحول دون التغيير والتي قد تؤثر على نجاح البرنامج. يمكن أن تشمل هذه العوائق هيكل المنظمة (مثل التضارب بين خطوط الدفاع الثلاث)، وعوائق ثقافية (مثل النظر الى المخاطر باعتبارها امرا سلبيا)، وعوائق تخص البيانات التحليلية (مثل مؤشرات الأداء والمخاطر التي تتجاهل النطاق الكامل للاحتمالات والنتائج كما تم ذكره في بداية المقال). إن معالجة مثل هذه العوائق في وقت مبكر يمكن أن يؤثر بشكل كبير على مدى نجاح المنظمة في تطبيق البرنامج.

بعد ذلك، يتطلب نجاح مشروع كهذا رؤية واضحة لتوجيه اتجاه البرنامج وتوزيع فعال للمهام والمسؤوليات وتواصل متسق عبر المنظمة. يجب التعبير عن هذه الرؤية في بيان مختصر يكون محددًا وقابلًا للقياس وواقعيًا. حيث يعد تأمين الدعم من أصحاب المصلحة الداخليين أمرًا حيويًا لا غنى عنه نظرًا لطبيعة البرنامج التي تتطلب مستوى عالٍ من التعاون عبر المنظمة. يمكن لعملية إدارة التغيير التي تكون من الأعلى الى الاسفل والتي تبدأ من الرئيس التنفيذي ومجلس الإدارة، أن تحدد بشكل فعال الاتجاه والأولويات لبقية المنظمة. أن تقييم قدرات المنظمة الحالية وفقًا لأفضل الممارسات يعتبر حجرا أساسيا لأي خطة تنفيذ.

ألا أن تبني أفضل الممارسات دون تخصيصها لظروف المنظمة وأهدافها ورؤيتها الخاصة يمكن أن يؤدي إلى الفشل. يجب أن يكون الهدف من البرنامج، سواء كان برنامجا جديدًا أو إعادة هيكلة للجهود الحالية، هو تحقيق أقصى قيمة وتعزيز مرونة المنظمة. وفي كل الأحوال، سوف يتطلب البرنامج اعداد سجل للمخاطر متضمنا جميع المخاطر وآخذ بعين الاعتبار الأساسية منها في المراحل الأولى من تنفيذ البرنامج. بيانًا لشهية المخاطر (RAS) مع مقاييس ومستويات أولية لمراقبة وقبول المخاطر وتقارير متسقة للإبلاغ عن المخاطر إلى مجموعات العمل والإدارة ومجلس الإدارة. كذلك سوف يشمل منهجية متكاملة لتحديد المخاطر وتقييمها، تتميز بتقييمات ذاتية للتحكم في المخاطر (RCSAs) وتقييمات مستقلة من إدارة المخاطر والامتثال والتدقيق الداخلي. بالإضافة إلى ذلك، وجود آلية لقياس المخاطر، ومواءمة أهداف المنظمة مع مؤشرات الأداء الرئيسية (KPIs) ومؤشرات المخاطر الرئيسية (KRIs).

وبالتالي، يُعتبر تطوير خارطة طريق متعددة السنوات أمرًا ضروريًا. يجب أن توجه هذه الخارطة عملية التنفيذ بدءًا من الرؤية وتحليل الفجوات وصولًا إلى برنامج ناضج يتم تحسينه باستمرار عبر حلقات التغذية الراجعة وورش العمل. تتمثل إحدى التحديات الرئيسية للمنظمات في كيفية قياس النجاح عند تنفيذ برنامج إدارة المخاطر المؤسسية. من المهم أن تكون المنظمة قادرة على قياس النجاح بطريقة ذات مغزى تتماشى بشكل مباشر مع الأهداف الرئيسية التي أنشئ البرنامج من أجلها، والتي ترتبط بشكل وثيق مع أهداف المنظمة ككل.