المحاضرة رقم 12 : أطر إدارة المخاطر المقبولة عالميًا (Globally Accepted Risk Management Frameworks)
أطر إدارة المخاطر المقبولة عالميًا (Globally Accepted Risk Management Frameworks) :
يغطي هذا الموضوع نموذجCOSO لإدارة المخاطر المؤسسية وISO 31000 وهما أطر إدارة المخاطر المقبولة عالميًا والتي توفر الأساس للعديد من عمليات إدارة المخاطر في الشركات.
إدارة المخاطر المؤسسية Enterprise Risk Management (ERM) :
تتضمن إدارة المخاطر :
1. الإدارات الفردية (Individual departments).
2. والأقسام الفردية (Individual divisions).
إجراء :
1. تقييمات للمخاطر (Risk assessments).
2. وإدارة المخاطر (Managing risks).
ومع ذلك ما لم تتم إدارة المخاطر من منظور المنظمة ككل (risk is managed from the perspective of the organization as a whole) يمكن أن تكون النتيجة :
1. تداخلات (Overlaps).
2. وتكرارًا (Redundancies).
3. ونقاط عمياء (Blind spots).
من الممكن التغاضي عن حدث خطر قد يؤثر على الشركة بأكملها لأن بروتوكولات تقييم المخاطر الفردية تركز على أقسام فردية وليس على الشركة بشكل عام.
تختلف إدارة المخاطر المؤسسية عن إدارة المخاطر التقليدية (traditional risk management) لأن إدارة المخاطر المؤسسية (ERM) هي عملية لتطوير نظرة من أعلى إلى أسفل (top-down view) للمخاطر الرئيسية (key risks) التي تواجه المؤسسة. تم تصميم إدارة المخاطر المؤسسية لتنسيق :
1. تحديد المخاطر (Risk identification).
2. وتقييم المخاطر (Risk assessment).
3. وإدارة المخاطر (Risk management).
في جميع أنحاء المنظمة بأكملها وفي كل قسم من أجل :
1. زيادة التغطية (Maximize coverage).
2. وتقليل إمكانية التغاضي عن المخاطر (Reduce the possibility of overlooked risks).
إدارة المخاطر المؤسسية ورؤية المحفظة للمخاطر (ERM and a Portfolio View of Risk) :
تتجذر إدارة مخاطر المؤسسة في نظرية المحفظة الحديثة المستخدمة في الاستثمار والتي تدعو إلى إنشاء ..
محفظة مثالية من الأوراق المالية وفقًا للمخاطر والعائد (Optimal portfolio of securities according to risk and return).
في نظرية المحفظة لا ينبغي تقييم ورقة مالية معينة كاستثمار مستقل (standalone investment) بدلاً من ذلك يجب تقييم كل ورقة مالية فردية وفقًا لكيفية توقع تغير قيمتها السوقية فيما يتعلق بالقيم السوقية للأوراق المالية الأخرى في المحفظة.
تعتبر إدارة المخاطر بشكل :
1. منفصل (Separately).
2. ومعزول (Isolation).
والمعروفة أيضًا باسم نهج الصومعة (silo approach) ..
قصيرة النظر وتؤدي إلى نتائج عكسية لأنها لا تأخذ في الاعتبار العلاقات المتبادلة بين المخاطر
(short-sighted and counterproductive because it fails to consider the interrelationships between and among risks).
لا يمكن للمخاطر المرتبطة بشكل سلبي (negatively correlated) فقط أن تقلل من المخاطر الإجمالية (overall risk).
ولكن المخاطر المرتبطة بشكل إيجابي (positively correlated) يمكن أن تضاعف الضرر (multiply the damage).
تصادق إدارة المخاطر المؤسسية على تقييم المخاطر كمحفظة من الأحداث (portfolio of events). تساعد "رؤية المحفظة portfolio view" هذه الشركات على تحديد الطرق التي ترتبط بها العديد من المخاطر .. سواء بشكل إيجابي أو سلبي .. وبالتالي تمنح الشركة أفضل المعلومات للاستجابة للمخاطر (best information to respond to risk).
مثال: ضع في اعتبارك كيف يمكن لشركة متعددة الجنسيات (multinational corporation) تقييم المخاطر المرتبطة بعملة محلية تبدأ في الانخفاض في قيمتها.
- فمن ناحية سترتفع تكلفة المواد الخام المشتراة دوليًا مما يجعل الإنتاج أكثر تكلفة
(the cost of raw materials purchased internationally would increase making production more expensive).
- من ناحية أخرى تزداد أعمال التصدير متعددة الجنسيات مما يؤدي إلى تحسين المبيعات والأرباح
(the multinational’s export business increases, improving sales and profits).
في غياب وجهة نظر المحفظة للمخاطر (portfolio view of risk) سيكون للأقسام والإدارات المتعددة الجنسيات أهداف مختلفة في استراتيجيات تقييم المخاطر الخاصة بها مع احتمال وجود :
1. أهداف متضاربة (Conflicting goals).
2. ونتائج متضاربة (Conflicting outcomes).
قد يختار قسم المشتريات التحوط ضد هبوط العملة (hedge against the falling currency) بخيارات العملة (currency options) بينما في نفس الوقت تقوم وظيفة الخزانة (treasury function) بالتحوط ضد نفس الحدث مع العقود الآجلة للعملة (currency futures). بدون نوع التنسيق الذي توفره نظرة الحافظة للمخاطر من المحتمل أن هذه الأقسام ستهدر موارد الشركة وتبدد الفرص المربحة.
ومع ذلك من خلال رؤية المحفظة للمخاطر ستكون الإدارة قادرة على اتخاذ وجهة نظر ماكرو / مجهرية (macroscopic view) وتقييم الاحتياجات الإجمالية للشركة وتنفيذ استجابة منسقة لانخفاض العملة. قد يكون تأثير انخفاض العملة على الشراء وتأثيره على المبيعات والأرباح سيعوض بعضهما البعض مما يخلق تحوطًا طبيعيًا ولا يوجد ما يبرر شراء المشتقات.
تُظهر الخريطة مجموعة متنوعة من المخاطر (variety of risks) تم رسمها وفقًا لـ :
1. تكرار التأثير النقدي (Frequency of monetary impact).
2. ودرجة التأثير النقدي (Degree of monetary impact).
للوهلة الأولى يبدو أن خريطة المخاطر تظهر مجموعة من المخاطر الفردية (individual risks) كل واحدة يمكن معالجتها وحلها بشكل فردي من قبل قسم أو آخر.
علاوة على ذلك قد تفكر الإدارة في صب معظم مواردها في معالجة المخاطر G وH لأن هذه هي أهداف الرؤية العالية في "المنطقة الحمراء red zone" للخريطة في الزاوية اليمنى العليا (upper right-hand corner).
ومع ذلك فإن إدارة المخاطر المؤسسية (ERM) ونظرة المحفظة للمخاطر (portfolio view of risk) تشير إلى نهج مختلف.
على الرغم من أهمية الاستعداد للمخاطر :
1. عالية التكرار (High frequency).
2. عالية التأثير (High impact).
(مثل المخاطرG و H) إلا أنها ليست كافية.
يجب أن تكون الإدارة على دراية أيضًا بالمخاطر :
1. منخفضة التكرار (Low frequency).
2. عالية التأثير (High impact).
(مثل المخاطرB و D) التي يمكن أن تدمر المنظمة.
بالإضافة إلى ذلك يجب أن تدرك الإدارة أن بعض التهديدات إذا لم يتم التعامل معها بشكل صحيح يمكن أن تخلق سلسلة من الأحداث المترابطة العديدة التي يمكن أن تتحول إلى كارثة (catastrophe). يجب نشر (deployed) موارد إدارة المخاطر لـ :
1. تحديد (Identify).
2. وتقييم (Assess).
3. وتخفيف (Mitigate). ERM helps to manage risks, but it does not eliminate risks
ليس فقط حدث الخطر الأولي ولكن أيضًا تأثير العملية برمتها (not only the initial risk event but also the impact of the whole process).
بمعنى آخر تساعد رؤية المحفظة للمخاطر الشركة على النظر إلى المخاطر على أنها :
1. مترابطة (interrelated).
2. ومتشابكة (interconnected).
وبالتالي يمكن أن تكون الشركة في وضع جيد للتعامل مع أحداث المخاطر المتعددة (multiple risk events).
للتحضير لأحداث مخاطر متعددة يمكن للمؤسسة استخدام :
1. تخطيط السيناريو (Scenario planning).
2. والنمذجة الإحصائية (Statistical modeling).
مع تخطيط السيناريو (scenario planning) تنظر مجموعة من :
1. كبار المديرين التنفيذيين (senior executives).
2. والخبراء التقنيين (technical experts).
في مجموعة من البدائل (range of alternatives) التي ..
تمكن المؤسسة من الاستجابة بسرعة للأحداث المستقبلية غير المتوقعة
(enable an organization to respond quickly to future unpredictable events).
تتمتع المجموعة عمومًا بمجموعة واسعة من وجهات النظر (wide range of perspectives) التي ..
تمكنها من النظر في السيناريوهات المحتملة بخلاف المعتاد والمتوقع (enable it to consider possible scenarios other than the usual and the expected).
النماذج الإحصائية (Statistical models) هي :
1. صيغ (Formulations).
2. أو تحليلات للبيانات (Data analyses).
يمكن استخدامها لـ :
1. عمل افتراضات (Make assumptions).
2. أو التحقق من الافتراضات (Verify assumptions).
حول البيانات (about the data).
الانحدار الخطي (Linear regression) هو مثال على النمذجة الإحصائية التي تساعد في تطوير التنبؤ من البيانات التاريخية. (تم تناول تحليل الانحدار في الجزء 2.)
حوكمة الشركات وإدارة المخاطر المؤسسية (Corporate Governance and ERM) :
يتمثل الدور الرئيسي لحوكمة الشركات في التوجيه الذي تقدمه للطريقة التي تقوم بها الإدارة بـ :
1. تقيم المخاطر (assesses risk).
3. ومعالجة المخاطر (handles risk).
يجب على مجلس الإدارة التأكد من أن الإدارة لديها عمليات (processes) لـ :
1. تحديد (Identify).
2. وترتيب أولويات (Prioritize).
3. وإدارة (Manage).
4. ومراقبة (Monitor).
المخاطر الأكثر أهمية (most critical risks) .. وعند الضرورة .. عملية محددة بوضوح لتنبيه مجلس الإدارة.
كما يجب على مجلس الإدارة أيضًا التأكد من مراجعة وتحسين هذه العمليات باستمرار (processes are continuously reviewed and improved) استجابةً للتغيرات في بيئة الأعمال.
من أجل أداء أنشطة الإشراف على المخاطر ومراقبتها تعمل مجالس الإدارة بشكل متزايد على إنشاء لجان إدارة المخاطر للإشراف على أنشطة إدارة المخاطر المؤسسية الشاملة ومراقبتها بما في ذلك مراجعة السياسات والإجراءات والممارسات المرتبطة بالأعمال التجارية والسوق والمخاطر التشغيلية. علاوة على ذلك قامت العديد من مجالس إدارة الشركات بتعيين مدير إدارة مخاطر (chief risk officer - CRO) يتم الإشراف على أنشطته من قبل لجنة إدارة المخاطر (risk management committee) التابعة لمجلس الإدارة. لجان إدارة المخاطر :
1. ليست مطلوبة (not required).
2. أو غير محددة (not defined).
من قبل لجنة الأوراق المالية والبورصات (SEC) في الوقت الحالي. لذلك لا توجد متطلبات رسمية (formal requirements) لأعضاء لجنة إدارة المخاطر.
ومع ذلك فمن الأفضل أن يكون أعضاء لجنة إدارة المخاطر مدراء غير موظفين nonemployee directors (أي ليسوا أعضاء في إدارة الشركة not members of company management) ويجب أن يكون أحدهم على الأقل قد امتلك مؤهلات إدارة المخاطر (risk management qualifications).
تعزز إدارة المخاطر المؤسسية وظيفة حوكمة الشركات ، وبالتالي إدارة المخاطر. يمكن أن تقدم مساعدة أساسية لـ :
1. مجلس الإدارة (Board of directors).
2. ولجنة إدارة المخاطر (Risk management committee).
3. و مدير إدارة مخاطر (CRO).
لأن تركيزها يستهدف بشكل مباشر على مستوى الكيان مما يعني أنه يفحص الشركة ككل.
يمكن أن تساعد إدارة المخاطر المؤسسية (ERM) الشركة في تحديد :
1. أهداف الشركة المعرضة للخطر
2. ووسائل معالجة المشكلات البسيطة
حتى قبل أن تتصاعد إلى كوارث على مستوى الشركة (company-wide catastrophes).
إطار عمل كوسو لإدارة المخاطر المؤسسية (COSO Framework on Enterprise Risk Management) :
في عام 2004 نشرت لجنة المنظمات الراعية التابعة للجنة تريدواي (COSO) إدارة المخاطر المؤسسية - إطار متكامل لمساعدة المنظمات في إدارة المخاطر.
في عام 2017 نشرت COSO تحديثًا لمنشور 2004 إدارة المخاطر المؤسسية - التكامل مع الإستراتيجية والأداء لمعالجة :
1. التعقيد المتزايد للمخاطر (increased complexity of risk).
2. والمخاطر الجديدة (new risks).
التي ظهرت منذ عام 2004. تحدد COSO إدارة المخاطر المؤسسية (ERM) في إدارة المخاطر المؤسسية - التكامل مع الإستراتيجية والأداء :
[إدارة المخاطر المؤسسية Enterprise risk management] هي الثقافة والقدرات والممارسات التي تدمجها المؤسسات مع وضع الإستراتيجية وتطبقها عندما تنفذ تلك الإستراتيجية بهدف إدارة المخاطر في إنشاء القيمة والحفاظ عليها وتحقيقها .
وفقًا لمنشورCOSO 2017 لا يمكن فصل عملية إدارة المخاطر المؤسسية عن التخطيط الاستراتيجي. وبالتالي يتم نشر إدارة المخاطر المؤسسية كجزء من عملية اختيار الاستراتيجيات وصقلها من أجل فهم تأثير المخاطر على الأداء. يساعد دمج ممارسات إدارة المخاطر المؤسسية في جميع أنحاء الكيان على تعزيز النمو والأداء
مراجعة التخطيط الاستراتيجي (Review of Strategic Planning) :
الإستراتيجية (strategy) هي مجموعة من الإجراءات التي يتخذها المديرون لزيادة أداء الشركة ويتضمن وضع الإستراتيجية (strategy setting) كلاً من :
1. صياغة الإستراتيجية strategy formulation (عملية اختيار الإستراتيجيات process of selecting strategies).
2. وتنفيذ الإستراتيجية strategy implementation
(عملية وضع الإستراتيجيات المختارة موضع التنفيذ process of putting the selected strategies into action).
تتضمن الإستراتيجية :
• تصميم وتقديم ودعم المنتجات (Designing, delivering, and supporting products).
• تحسين كفاءة وفعالية العمليات (Improving efficiency and effectiveness of operations).
• تصميم الهيكل التنظيمي ونظم الرقابة والثقافة (Designing the organization structure, control systems, and culture).
تهدف الخطة الإستراتيجية على المدى الطويل (strategic plan aims for the long term) وعادة ما تغطي فترة خمس سنوات أو أكثر.
يتم استخدام الخطة الإستراتيجية جنبًا إلى جنب مع :
1. التخطيط التكتيكي (Tactical planning).
2. والتخطيط التشغيلي (Operational planning).
لتطوير الموازنة (develop the budget) للسنة القادمة وبالتالي يتم استخدامها لتحديد تخصيص الموارد.
تكامل إدارة المخاطر مع اختيار الإستراتيجية (Integrating Risk Management with Strategy Selection) :
وفقًا لإدارة المخاطر المؤسسية (Enterprise Risk Management) في COSO
التكامل مع الإستراتيجية والأداء (الملخص التنفيذي)
Integrating with Strategy and Performance (Executive Summary)
تقوم العديد من الشركات بتقييم المخاطر من حيث تأثيرها المحتمل على جدوى استراتيجية محددة بالفعل.
ومع ذلك يمكن أن يكون لخطرين إضافيين مرتبطين بالاستراتيجية تأثير على قيمة الشركة :
• قد لا تتوافق الإستراتيجية مع مهمة المنظمة ورؤيتها وقيمها الأساسية
(Strategy may not align with the organization’s mission, vision, and core values).
عندما يؤدي اختيار استراتيجية العمل إلى تقويض "القيم الأساسية core values" للشركة فإن اختلال هذه الاستراتيجية / المهمة (strategy/mission misalignment) يمكن أن يتسبب في أزمة هوية (identity crisis) داخل الشركة. بالإضافة إلى ذلك قد يتم الخلط بين العملاء المحتملين بسبب :
1. الرسائل غير المتسقة (inconsistent messages).
2. أو التجارب غير المتسقة (inconsistent experiences).
• الإستراتيجيات تعرض مجموعة المخاطر الخاصة بها (أو الآثار)
Strategies introduce their own set of risks (or implications).
يقدم اختيار استراتيجية العمل ملف المخاطر (risk profile) الخاص به لذلك يجب على :
1. مجلس الإدارة (Board of directors).
2. والإدارة (Management).
النظر في هذه الاحتمالات أثناء تفكيرهم في تبني استراتيجية تناسب احتياجاتهم على أفضل وجه.
يدعي الملخص التنفيذي (Executive Summary) أن هذين الخطرين المرتبطين بالاستراتيجية هما "أهم سبب لتدمير القيمة most significant cause of value destruction " لأنه العملية الأنسب للتعرف على "الآثار implications" الضارة التي قد تنشأ وإدارتها.
إطار عمل COSO 2017 لإدارة المخاطر المؤسسية (The COSO 2017 ERM Framework) :
إطار عمل COSO لإدارة المخاطر المؤسسية لعام 2017 عبارة عن مجموعة من خمسة مكونات وعشرين مبدأً مترابطًا. المكونات الخمسة هي :
1) الحوكمة والثقافة (Governance and Culture).
الحوكمة هي التي تحدد أسلوب عمل المنظمة (Governance sets the organization’s tone). إنها تعزز أهمية وتحدد مسؤوليات الرقابة لإدارة المخاطر المؤسسية.
تتعلق الثقافة (Culture) بـ :
1. القيم الأخلاقية (Ethical values).
2. والسلوكيات المرغوبة (Desired behaviors).
3. وفهم المخاطر في الكيان (Understanding of risk in the entity).
مجلس الإدارة (The board of directors) .. من خلال دوره الرقابي (oversight role) .. مسؤول عن :
1. دعم خلق القيمة في الكيان (supporting the creation of value in an entity).
2. ومنع تدهورها (preventing its decline).
يشمل الدور الرقابي لمجلس الإدارة إدارة المخاطر المؤسسية (enterprise risk management).
يشمل دور مجلس الإدارة في الإشراف على المخاطر على سبيل المثال لا الحصر :
1. المراجعة والتحدي (reviewing, challenging).
2. والاتفاق مع الإدارة بشأن الاستراتيجيات المقترحة (concurring with management on proposed strategies).
3. ومدى تقبلها للمخاطر (its risk appetite).
4. ومواءمة الاستراتيجية والأهداف (alignment of strategy and objectives) مع :
1. المهمة المعلنة للجهة (entity’s stated mission).2. والرؤية المعلنة للجهة (entity’s stated vision).3. والقيم الأساسية المعلنة للجهة (entity’s stated core values).
5. وقرارات الأعمال الهامة (significant business decisions).
6. والاستجابات إلى التقلبات الكبيرة في الأداء والانحرافات عن القيم الأساسية
(responses to significant fluctuations in performance and deviations from core values).
7. وحوافز الإدارة والتعويضات (management incentives and compensation).
8. وعلاقات المستثمرين وأصحاب المصلحة (investor and stakeholder relations).
2) الإستراتيجية وتحديد الأهداف (Strategy and Objective-Setting).
تعد :
1. إدارة المخاطر المؤسسية (Enterprise risk management - ERM)
2. والاستراتيجية (Strategy).
3. وتحديد الأهداف (Objective-setting).
جزءًا من عملية التخطيط الاستراتيجي (part of the strategic-planning process).
تحدد الشركة مدى قدرتها على المخاطرة وتوائم إستراتيجيتها معها. وضعت الأهداف الاستراتيجية موضع التنفيذ وتعمل كأساس لـ :
1. تحديد المخاطر (Identifying risk).
2. و تقييم المخاطر (Assessing risk).
3. والاستجابة للمخاطر (Responding to risk).
هناك ثلاثة جوانب للمخاطر يجب أخذها في الاعتبار كجزء من عملية التخطيط الاستراتيجي (strategic planning process) :
(1) المخاطر على الاستراتيجية المختارة (risks to the chosen strategy).
(2) وإمكانية وجود استراتيجية معينة لا تتماشى مع مهمة الكيان ورؤيته وقيمه الأساسية
(possibility of a given strategy not aligning with the entity’s mission, vision, and core values).
(3) والآثار المترتبة على الاستراتيجية المختارة (implications of the strategy chosen).
3) الأداء (Performance).
يجب تحديد وتقييم المخاطر التي قد تؤثر على تحقيق :
1. تحقيق استراتيجية الشركة (firm’s strategy).
2. وأهداف العمل (business objectives).
يجب ترتيب المخاطر حسب الأولوية وفقًا لـ
شدتها في سياق رغبة الشركة في المخاطرة (severity within the context of the firm’s risk appetite).
تأخذ الإدارة نظرة على المحفظة لمقدار المخاطر التي تحملتها وتختار استجابات المخاطر. يتم الإبلاغ عن نتائج هذه العملية لأصحاب المصلحة الرئيسيين في مجال المخاطر.
4) المراجعة والتنقيح (Review and Revision).
كجزء من استعراضها لأداء الكيان ينبغي للإدارة أن تنظر في مدى جودة أداء مكونات إدارة المخاطر المؤسسية بمرور الوقت.
في حالة حدوث تغييرات جوهرية يجب على الإدارة النظر في المراجعات المطلوبة (what revisions are needed).
5) المعلومات والاتصالات والتقارير (Information, Communication, and Reporting).
تتضمن إدارة المخاطر المؤسسية عملية مستمرة لـ ..
الحصول على المعلومات الضرورية الواردة من المصادر الداخلية والخارجية ومشاركتها
(obtaining and sharing necessary information received from both internal and external sources).
يجب أن يتدفق الاتصال لأعلى ولأسفل وعبر المنظمة (The communication should flow up, down, and across the organization).
فوائد وعيوب إدارة المخاطر المؤسسية (Benefits and Limitations of Enterprise Risk Management) :
فوائد إدارة المخاطر المؤسسية (Benefits of Enterprise Risk Management) :
تتعدد فوائد نظام إدارة مخاطر المؤسسات المطور جيدًا والمُنفذ جيدًا وستختلف من شركة إلى أخرى. بعض الفوائد الأكثر شيوعًا وفقًا لإطار COSOهي :
• زيادة نطاق فرص المنظمة (The organization’s range of opportunities is increased).
من خلال النظر في جميع الاحتمالات (all possibilities) :
1. الجوانب الإيجابية للمخاطر (positive aspects of risk).
2. والجوانب السلبية للمخاطر (negative aspects of risk).
يمكن للإدارة تحديد :
1. الفرص الجديدة (new opportunities).
2. والتحديات الفريدة (unique challenges).
المرتبطة بالفرص الحالية (associated with current opportunities).
• تحديد المخاطر وإدارتها عبر المؤسسة (Risks are identified and managed across the enterprise).
يمكن للإدارة :
1. تحديد المخاطر المتعددة (identify multiple risks).
2. وإدارة المخاطر المتعددة (manage multiple risks).
على مستوى الكيان لـ :
1. الحفاظ على الأداء (sustain performance).
2. وتحسين الأداء (improve performance).
• تزداد النتائج الإيجابية بينما تقل المفاجآت السلبية (Positive outcomes are increased while negative surprises are reduced).
تمكن إدارة المخاطر المؤسسية الكيانات من :
1. تحسين قدرتها على تحديد المخاطر (improve their ability to identify risks).
2. وإنشاء الاستجابات المناسبة (establish appropriate responses).
وبالتالي تقليل :
1. المفاجآت (surprises).
2. والتكاليف ذات الصلة (related costs).
3. أو الخسائر ذات الصلة (related losses).
والعمل على الفرص التي تظهر نفسها وبالتالي الاستفادة من التطورات المفيدة (profiting from advantageous developments).
• يمكن تقليل تقلب الأداء (Performance variability can be reduced).
حتى التباين الإيجابي في الأداء (positive performance variability) يمكن أن يسبب تحديات :
يمكن أن يؤدي الأداء قبل الموعد المحدد إلى قلق كبير مثل أداء أقل من الجدول الزمني.
تمكن إدارة المخاطر المؤسسية المؤسسات من توقع المخاطر التي قد تؤثر على الأداء وتقليل الاضطرابات وتعظيم الفرص.
• تحسين نشر الموار - رأس المال وموارد الشركة (Resource deployment—capital and company resources—is improved).
يمكن اعتبار كل خطر طلبًا للموارد (Every risk can be considered a request for resources). يسمح الحصول على معلومات جيدة عن المخاطر للإدارة بـ :
1. تقييم الاحتياجات الإجمالية من الموارد (assess overall resource needs).
2. وتحديد أولويات نشر الموارد (prioritize resource deployment).
3. وتعزيز تخصيص الموارد (enhance resource allocation).
• تعزيز مرونة المؤسسة (Enterprise resilience is enhanced).
تعتمد قابلية استمرار المؤسسة على :
1. المدى المتوسط (medium-term).
2. و المدى الطويل (long-term).
على قدرتها على :
1. توقع التغيير (anticipate change).
2. والاستجابة للتغير (respond to change).
يمكن إدارة المخاطر المؤسسية الفعالة (Effective enterprise risk management) أن تعزز مرونة الشركة وقدرتها على توقع التغيير والاستجابة له.
• ستكتسب الإدارة فهمًا أفضل لكيفية تأثير النظر الصريح في المخاطر على اختيار الاستراتيجية. نتيجة لذلك ستكون إستراتيجية الشركة متوافقة بشكل أفضل مع شهيتها للمخاطرة.
• تضيف إدارة المخاطر المؤسسية منظورًا إلى نقاط القوة والضعف في الإستراتيجية مع تغير الظروف ومدى ملاءمة الاستراتيجية مع مهمة المنظمة ورؤيتها.
• يمكن للإدارة أن تشعر بمزيد من الثقة في أنها قد درست استراتيجيات بديلة وأخذت بعين الاعتبار المدخلات من أولئك الموجودين في المنظمة الذين سيكلفون بتنفيذ الاستراتيجية المختارة.
• بمجرد وضع الإستراتيجية توفر إدارة المخاطر المؤسسية طريقة فعالة للإدارة لأداء دورها مع العلم أن المنظمة منسجمة مع المخاطر التي يمكن أن تؤثر على الاستراتيجية وتقوم بإدارتها بشكل جيد.
• تطبيق إدارة المخاطر المؤسسية يساعد على خلق الثقة وغرس الثقة في أصحاب المصلحة. Provide value for stakeholders
• تساعد إدارة المخاطر المؤسسية المؤسسات على تحديد العوامل التي تمثل التغيير وكذلك المخاطر وكيف يمكن أن يؤثر هذا التغيير على الأداء ويستلزم تغييرًا في الإستراتيجية.
عيوب إدارة المخاطر المؤسسية (Limitations of Enterprise Risk Management) :
إدارة المخاطر المؤسسية لها أيضًا قيود مهمة جدًا. لا يعني تنفيذ إدارة المخاطر المؤسسية (ERM) أن الكيان يتوقع كل المخاطر التي قد تؤدي إلى الخسارة.
في عملية إدارة المخاطر المؤسسية (ERM) يتم تحديد المخاطر المعروفة وقد تصبح بعض المخاطر غير المعروفة سابقًا معروفة. ومع ذلك لن يتم تحديد بعض المخاطر غير المعروفة.
يجب أن تحتفظ الشركة بخطة لاستمرارية الأعمال جاهزة للتنفيذ إذا تحققت مخاطر غير معروفة وتؤثر سلبًا على المنظمة.
مبادئ ISO 31000 وإطارها وعملية (ISO 31000 Principles, Framework, and Process) :
ISO 31000 : 2018 (الإصدار الثاني second edition) عبارة عن مجموعة من المعايير التي توفر مجموعة من :
1. المبادئ (Principles).
2. والإرشادات (Guidelines).
لإدارة المخاطر وتنقسم إلى ثلاثة مجالات :
1) المبادئ (Principles). القيم المترابطة التي تعتبر أساسية لعملية إدارة المخاطر.
2) الإطار (Framework). الطرق التي ينبغي بها دمج خطة إدارة المخاطر في "الأنشطة والوظائف الهامة significant activities and functions".
3) العملية (Process). قائمة الإجراءات خطوة بخطوة لتصميم وتنفيذ إدارة المخاطر.
وفقًا لمعيار ISO 31000 فإن الشركة التي تتبنى هذه الإجراءات وتدمجها في وضع قوي لامتلاك برنامج إدارة مخاطر (risk-management program) يتسم بـ :
1. الكفاءة (Efficient).
2. والفعالية (Effective).
3. والاتساق (Consistent).
حول المخاطر (About Risk) :
أولاً تُعرِّفISO 31000 المخاطر (risk) بأنها ..
"تأثير عدم اليقين على أهداف الشركة effect of uncertainty on company objectives".
عدم اليقين (uncertainty) المرتبط بالمخاطر ليس جيدًا ولا سيئًا ؛ إنه جزء لا يتجزأ من النشاط التجاري وعامل محفز له. من الأفضل الافتراض أنه في السياق الروتيني لنشاط الأعمال يمكن التخفيف من المخاطر ولكن لا يمكن القضاء عليها بالكامل (risk can be mitigated but not entirely eliminated).
ثانيًا تُعرِّفISO 31000 إدارة المخاطر (risk management) بأنها ..
"الأنشطة المنسقة لتوجيه المنظمة والتحكم فيها فيما يتعلق بالمخاطر coordinated activities to direct and control an organization with regard to risk".
لا توجد طريقة محددة لإدارة المخاطر تنطبق على جميع السياقات. بدلاً من ذلك يحدد صناع القرار Decision makers (مثل مجلس الإدارة) كلاً من :
1. قابلية الشركة للمخاطرة (Company’s risk appetite).
2. أو مستوى المخاطر المقبولة (Level of acceptable risk).
وتسعى الإدارة جاهدة لتحقيق أهداف الشركة بأقل قدر من عدم اليقين (achieves the company’s objectives with the least amount of uncertainty).
ثالثًا المستفيدون المستهدفون (intended beneficiaries) من جميع عمليات المخاطرة وإدارة المخاطر هم أصحاب المصلحة الذين تعرّفهمISO 31000 على أنهم ..
"شخص أو منظمة يمكن أن تؤثر أو تتأثر أو تدرك أنها تتأثر بقرار أو نشاط
person or organization that can affect, be affected by, or perceive themselves to be affected by a decision or activity".
وهكذا تدار المخاطر نيابة عن أصحاب المصلحة (risks are managed on behalf of stakeholders) الذين قد يكون لديهم استثمارات (investments) :
1. مالية (Financial).
2. أو اقتصادية (Economic).
3. أو حتى عاطفية (Emotional).
في نجاح الشركة (Company’s success).
مبادئ إدارة المخاطر (Principles of Risk Management) :
فيما يلي قائمة بثمانية مبادئ يجب على دول ISO 31000 أن توجه إجراءات إدارة المخاطر
1) متكامل (Integrated). يجب أن تكون إدارة المخاطر جزءًا لا يتجزأ من وظائف العمل.
2) منظم وشامل (Structured and Comprehensive). يجب أن تكون إدارة المخاطر منظمة وجزءًا من جميع مستويات العمل.
3) حسب الطلب (Customized). لا يوجد نهج "مقاس واحد يناسب الجميع" لإدارة المخاطر. يجب أن تكون العملية مصممة لتناسب الاحتياجات المحددة للمؤسسة.
4) شامل (Inclusive). من المفترض أن جميع أصحاب المصلحة يشاركون في مستوى ما في إدارة المخاطر.
5) ديناميكي (Dynamic). تتغير البيئة التجارية ؛ وبالتالي ، يجب أن تكون عملية إدارة المخاطر قابلة للتكيف وتتغير عند الضرورة.
6) أفضل المعلومات المتاحة (Best Available Information). يجب أن تدار إدارة المخاطر وفقًا لأحدث المعلومات وعلى أساس أن المواقف يمكن أن تتغير.
7) العوامل البشرية والثقافية (Human and Cultural Factors). يجب أن يكون أولئك الذين يديرون المخاطر حساسين للسياق الثقافي للعمليات التجارية والافتراضات حول المخاطر المقبولة.
8) التحسين المستمر (Continual Improvement). إدارة المخاطر هي عملية مستمرة ومتكررة.
إطار إدارة المخاطر (Framework of Risk Management) :
يتطلب الإطار الذي يعمل بشكل صحيح وفقًا لمعيارISO 31000 القيادة والالتزام ؛ أي يجب أن تشير الإدارة العليا للموظفين وأصحاب المصلحة إلى أن إدارة المخاطر هي أولوية غير قابلة للتفاوض. يصف إطار عمل ISO 31000 البنية الفوقية النظرية (theoretical superstructure) لعملية إدارة المخاطر بالصفات التالية :
1) التكامل (Integration).
لكي ينجح تقييم المخاطر يجب أن يصبح جزءًا من هيكل الأعمال من الأعلى إلى الأسفل.
إدارة المخاطر هي مسؤولية الجميع (Risk management is everyone’s responsibility).
2) التصميم (Design).
يجب أن يعكس تصميم نظام إدارة المخاطر احتياجات وقدرات الشركة المحددة ويستجيب لها بما في ذلك هيكل إدارتها والموارد المتاحة و "السياق الخارجي والداخلي" (أي القوى الداخلية والخارجية التي تؤثر على صنع القرار).
3) التنفيذ (Implementation).
يجب تقديم خطة إدارة المخاطر بطريقة منظمة وجيدة التواصل وشفافة. يجب تحديث أصحاب المصلحة واستشارتهم عند الضرورة.
4) التقييم (Evaluation).
تتضمن الخطة المثالية لإدارة المخاطر فرصًا لإجراء مراجعات دورية وقوية للتأكد من أن العملية تتكيف بسلاسة مع التغيير.
5) التحسين (Improvement).
إذا كان إجراء التقييم يسلط الضوء على الإخفاقات أو السهو فيجب تحسين الخطة وتحديثها.
عملية إدارة المخاطر (Process of Risk Management) :
تحرص ISO 31000 على الإشارة إلى أنه ..
على الرغم من أن عملية إدارة المخاطر غالبًا ما يتم تقديمها على شكل تسلسلي ، إلا أنها في الواقع تكرارية
although the risk management process is often presented as sequential, in practice it is iterative
بعبارة أخرى على الرغم من أن كل خطوة من خطوات إجراء إدارة المخاطر ضرورية ولا يمكن الاستغناء عنها يمكن أن :
1. تتكرر المراحل (stages can repeat).
2. أو تحدث خارج الترتيب (occur out of order).
طالما تم تحقيق الهدف العام لإدارة المخاطر - أي تحديد المخاطر والتحكم فيها - فإن الترتيب الدقيق للأحداث يكون مرنًا.
1. الاتصال والتشاور (Communication and Consultation) :
وفقًا لـ ISO 31000
"يسعى الاتصال إلى تعزيز الوعي بالمخاطر وفهمها في حين تتضمن الاستشارات الحصول على تعليقات ومعلومات لدعم اتخاذ القرار"
Communication seeks to promote awareness and understanding of risk, whereas consultation involves obtaining feedback and information to support decision-making
وهكذا خلال هذه المرحلة يحدد فريق إدارة المخاطر خطوط اتصال ثم يطلب مدخلات من أصحاب المصلحة - مجلس الإدارة والإدارة في المقام الأول ولكن يتم تشجيعهم على توسيع نطاق الاستفسار على نطاق واسع كما يرونه مناسبًا.
2. النطاق والسياق والمعايير (Scope, Context, and Criteria) :
في هذه المرحلة ، يضع فريق إدارة المخاطر الأساس والقواعد الأساسية لإجراء تحليل المخاطر. الهدف الرئيسي في هذه المرحلة هو "تخصيص عملية إدارة المخاطر" بحيث تتناول جميع الميزات الفريدة للشركة واحتياجاتها.
• تحديد النطاق (Defining the scope). يضع الفريق الحدود :
1. واسعة أو ضيقة (wide or narrow).
2. شاملة أو انتقائية (comprehensive or selective).
يتم تحديد :
1. المواعيد النهائية (Deadlines).
2. والموازنات (Budgets).
3. والموارد البشرية (Human resources).
من المهم أن يتماشى نطاق إدارة المخاطر مع أهداف الشركة وقيمها.
• السياق الخارجي والداخلي (External and internal context).
من الضروري أن يقوم فريق إدارة المخاطر بتشكيل معايير العملية لمراعاة :
- التأثيرات الخارجية (external influences) .. مثل :
1. الثقافة (Culture).
2. والقانون (Law).
3. وقوى السوق (Market forces).
4. وأولويات أصحاب المصلحة (Stakeholder priorities).
- والتأثيرات الداخلية (Internal influences) .. مثل :
1. الحوكمة التنظيمية (Organizational governance).
2. والقيم (Values).
3. والالتزامات (Commitments)..
3. تقييم المخاطر (Risk Assessment) :
المراحل الثلاث لتقييم المخاطر هي :
1. تحديد المخاطر (Risk identification).
2. وتحليل المخاطر (Risk analysis).
3. وتقييم المخاطر (Risk evaluation).
• تعريف المخاطر (Risk identification).
هذه عملية متضمنة إلى حد ما وتتطلب تحليلًا دقيقًا لجميع المخاطر :
1. الداخلية والخارجية (internal and external).
2. الملموسة وغير الملموسة (tangible and intangible).
3. الكمية والنوعية (quantitative and qualitative).
التي تواجهها الشركة.
بشكل جماعي تخلق جميع عوامل الخطر ذات الصلة ملف المخاطر (risk profile).
• تحليل المخاطر (Risk analysis).
بمجرد تصنيف / فهرسة المخاطر (catalogued) يجب تحليلها وفقًا لعوامل مثل :
1. الخطورة (severity).
2. واحتمالية الحدوث (likelihood of occurring).
3. والتعقيد (complexity).
إلى حد ما يعد تحليل المخاطر مهمة ذاتية (subjective undertaking) ؛ لذلك من الأفضل التماس وجهات نظر متعددة (solicit multiple perspectives).
• تقييم المخاطر (Risk evaluation).
بعد تحديد المخاطر وتحليلها بشكل صحيح يجب تحديد أولويات المخاطر وصناع القرار بحاجة إلى تحديد الاستجابات المناسبة.
تغطي الاستجابات المحتملة النطاق من :
- عدم اتخاذ إجراء (no action).
- إلى تغييرات متواضعة (to modest changes).
- إلى التدخل المكثف (to intensive intervention).
4. معالجة المخاطر (Risk Treatment) :
بعد عملية التقييم الشامل للمخاطر (comprehensive risk-assessment process) يجب وضع الخطط موضع التنفيذ.
يشيرISO 31000 إلى معالجة المخاطر كنشاط تكراري (iterative activity) مما يعني أنه يجب أن يكون تكراريًا وقابلًا للتكرار بشكل عام .. يجب أن تتضمن هذه المرحلة :
1. تخطيطًا دقيقًا (Careful planning).
2. وتقييمًا ذاتيًا (Self-evaluation).
وأيضًا يجب تحليل أي مخاطر متبقية residual risk (أي عوامل الخطر المتبقية بعد العلاج risk factors that remain after treatment) لتحديد :
1. ما إذا كان مقبولاً (acceptable).
2. أو ما إذا كان يجب القيام بالمزيد من الأعمال (more works has to be done).
• اختيار خيارات علاج المخاطر (Selection of risk treatment options). يجب أن يمتلك فريق إدارة المخاطر الماهر مجموعة من الأدوات والموارد "لمعالجة" أو معالجة المخاطر الفردية.
على سبيل المثال يمكن :
1. إزالة مصدر الخطر (source of risk could be removed).
2. ويمكن شراء التأمين (insurance could be purchased).
3. أو في بعض الحالات يكون الخيار المطلوب هو زيادة المخاطر الحالية (option is to increase existing risk).
لا ينبغي أن تكون الاعتبارات الاقتصادية هي العوامل الوحيدة في تقرير معالجة المخاطر :
"يجب أن تأخذ المنظمة في الاعتبار جميع التزامات المنظمة والالتزامات الطوعية ووجهات نظر أصحاب المصلحة"
"the organization should take into account all of the organization’s obligations, voluntary commitments and stakeholder views"
• إعداد وتنفيذ خطط معالجة المخاطر (Preparing and implementing risk treatment plans). في هذه المرحلة يتم وضع الخطة موضع التنفيذ.
توصيISO 31000 بوضع خطة معالجة رسمية (formal treatment plan) توضح :
1. ترتيب الأحداث (Order of events).
2. والموارد المطلوبة (Required resources).
3. وتسلسل القيادة (Chain of command).
4. وخطوط الاتصال (Lines of communication).
5. والمواعيد النهائية (Deadlines).
5. المراقبة والمراجعة (Monitoring and Review) :
جزء أساسي من معالجة المخاطر هو نظام التغذية العكسية (feedback system) حيث ..
التأكيد وتحسين جودة وفعالية تصميم العملية وتنفيذها ونتائجها.
to assure and improve the quality and effectiveness of process design, implementation and outcomes
ويتم تشجيع أعضاء الفريق على التحقق من العملية بحثًا عن أي عيوب أو أخطاء وتصحيحها بشكل استباقي حسب الحاجة.
يمكن أن يعمل أيضًا على تتبع أي أعطال في النظام أو في عملية إدارة المخاطر.
6. التسجيل والإبلاغ (Recording and Reporting) :
وفقًا لـ ISO 31000 ..
"يجب توثيق عملية إدارة المخاطر ونتائجها والإبلاغ عنها
the risk management process and its outcomes should be documented and reported".
يخدم التوثيق الوظيفة العملية المتمثلة في توفير محاسبة خطوة بخطوة (step-by-step accounting) لـ :
1. اكتشاف المخاطر (Risk discovery).
2. وتخطيط المخاطر (Risk planning).
3. واتخاذ القرار (Decision making).
4. وتخصيص الموارد (Resource allocation).
5. والتنفيذ (Execution).
بالإضافة إلى ذلك يمكن أن يكون أساس التقرير المقدم إلى أصحاب المصلحة.
ملخص ISO 31000 (Summary of ISO 31000) :
يمكن تلخيص نقاط ربطISO 31000 بهذه الطريقة :
• يجب أن تكون عملية إدارة المخاطر متكاملة على جميع مستويات الشركة (integrated at all levels of the company) لتعظيم فعاليتها.
يجب أن يؤخذ الأمر على محمل الجد ويجب أن تحدد الإدارة العليا النغمة المناسبة (set the appropriate tone).
• يجب أن تتكيف عملية إدارة المخاطر مع احتياجات الشركة (adapted to the needs of the company). لكل شركة :
1. احتياجات مختلفة (Different needs).
2. وأهداف مختلفة (Different objectives).
3. وسياقات مختلفة (Different contexts).
لذلك يجب أن تتوافق الخطة مع هذه المتطلبات المحددة (plan must conform to these specific requirements).
• يجب أن تكون النتيجة النهائية لعملية إدارة المخاطر واضحة (clarity).
بغض النظر عن حجم المخاطر وانتشارها طالما أن صانعي القرار لديهم فهم واضح لحالات عدم اليقين التي يواجهونها فإن فريق إدارة المخاطر قد قام بعمله.
• يجب إشراك أصحاب المصلحة وإبلاغهم طوال عملية إدارة المخاطر
(Stakeholders must be involved and informed throughout the risk-management process).
ملاحظة الامتحان :
في الاختبار إذا كان السؤال يتعلق تحديدًا بمعيارISO 31000 فأجب بالمصطلحات الخاصة بـ ISO 31000 اما إذا كان السؤال لا يذكر على وجه التحديد ISO 31000 ولكنه يتضمن مصطلحاتISO 31000 فاستخدم مصطلحاتISO 31000 للإجابة على السؤال.
المحاضرة
رابط ملف الـ PDF الخاص بالمحاضرة
ليست هناك تعليقات