من خلال عملي في استشارات التدقيق الداخلي وإدارة المخاطر لاحظت كثرة الأخطاء في صياغة المخاطر لدى مجموعة كبيرة من الزملاء. الأخطاء في صياغة المخاطر تُصعب طريقة تقييمها من حيث الأثر والاحتمالية، ولذلك قررت من خلال هذا المقال توضيح أفضل الممارسات في صياغة المخاطر حسب ما ورد في إطار "كوسو لإدارة المخاطر المؤسسية: المدمجة مع الاستراتيجية والأداء" (COSO Enterprise Risk Management: Integrating with Strategy and Performance)([1]).
ولكن في البداية أرغب بتذكير القارئ الكريم بتعريف المخاطر (مفردها مخاطرة) حسب ما ورد في الإطار. تُعرف المخاطرة([2]) باحتمالية([3]) وقوع الأحداث وتأثيرها([4]) على تحقيق الاستراتيجية وأهداف العمل. وتجدر الإشارة إلى أن المخاطر (بصيغة الجمع) تشير إلى حدث واحد أو أكثر من الأحداث المحتملة التي قد تؤثر على تحقيق الأهداف، اما المخاطرة (بصيغة المفرد) فتشير إلى جميع الأحداث المحتملة التي قد تؤثر معا على تحقيق الأهداف.
من الأخطاء الشائعة التي ألاحظها بشكل كبير وصف المخاطرة عن طريق تحديد الأثر (Impact). من الأمثلة على ذلك: وقوع حادث أثناء القيادة، والسمعة السيئة، خسارة مبلغ ما، وغير ذلك من الأوصاف. العامل المشترك في جميع البنود المذكورة هو أنها من الآثار المحتملة لمخاطر لم يتم تحديدها وقد تؤدي لما تم ذكره، فوقوع الحادث هو من الآثار المحتملة للقيادة المتهورة على سبيل المثال، والسمعة السيئة من الآثار المحتملة لعدم التقيد بالقوانين على سبيل المثال، وخسارة مبلغ ما من الآثار المحتملة لاتخاذ قرار استثماري خاطئ على سبيل المثال. ومن العوامل المشتركة في البنود الثلاثة المذكورة سابقا هو صعوبة قياس احتمالية حدوثها (Likelihood).
عند تحديد المخاطر ينبغي أن تستهدف المؤسسة وصف المخاطرة في حد ذاتها بدقة بدلًا من أن تستهدف الاعتبارات الأخرى المتعلقة بها، مثل الأسباب الجذرية للمخاطرة، أو الآثار المحتملة للمخاطرة، أو تأثير ألا يتم تنفيذ ردود الفعل على المخاطرة بصورة جيدة. في الجدول التالي شرح لتلك الاعتبارات الثلاثة (الوصف الذي لا يتحقق عنه نفس القدر من الفائدة) مع تحديد الوصف الدقيق لنفس المخاطر:
| الاعتبارات الأخرى | وصف غير دقيق للمخاطرة | الوصف الأفضل للمخاطرة |
| 1) الأسباب الجذرية المحتملة | · يؤدي عدم وجود قدر كافي من التدريب إلى زيادة مخاطر وقوع أخطاء في المعالجة أو وقوع أخطاء عارضة. | · مخاطرة أن تؤثر أخطاء المعالجة على جودة وحدات التصنيع. |
| · تخلق الروح المعنوية المنخفضة للموظفين مخاطر ترك الموظفين الرئيسيين للعمل مما يؤدي إلى معدلات دوران مرتفعة. | · مخاطرة فقدان الموظفين الرئيسيين وزيادة معدل الدوران، مما قد يؤثر على أهداف الاحتفاظ بالموظفين. |
| 2) الآثار المحتملة المتعلقة بوقوع المخاطرة | · حقق المنتج الجديد نجاح أعلى من المتوقع، ونعاني من حيث القدرة الإنتاجية من أجل مواكبة الطلب المتزايد، وهو الأمر الذي قد يؤدي إلى تأخير التوصيل، أو عدم رضا العملاء، أو آثار سلبية على سمعة المؤسسة. | · مخاطرة أن يتجاوز الطلب أهداف الإنتاج مما قد يؤثر على خدمة العملاء. |
| · خطر هجمات رفض الخدمات الناتج عن تقادم تكنولوجيا المعلومات التي تؤدي إلى تسرب بيانات العملاء، والعقوبات التنظيمية، وخسارة العملاء، وظهور عناوين سلبية في الصحافة. | · مخاطرة هجمات رفض الخدمات قد يؤثر على القدرة على الحفاظ على سرية بيانات العملاء. |
| 3) الآثار المحتملة المترتبة على عدم تنفيذ ردود الفعل على المخاطرة بصورة ملائمة | · خطر ألا ينتج عن المطابقة البنكية تحديد المدفوعات غير الصحيحة للعملاء. | · مخاطرة المدفوعات غير صحيحة للعملاء الذي قد يؤثر على النتائج المالية للمؤسسة. |
| · خطر أن تفشل عمليات التحقق من الجودة في اكتشاف عيوب المنتجات قبل التوزيع. | · مخاطرة المنتجات المحجوبة الذي قد يؤثر على أهداف الجودة والسلامة. |
فوائد التحديد الدقيق للمخاطر
1) يتيح للمؤسسة أن تدير مخزون المخاطر (Risk Universe)([5]) بقدر أعلى من الكفاءة، ويتيح لجميع المعنيين من فهم العلاقة بين مخزون المخاطر وبين استراتيجية المؤسسة وأهداف العمل وأهداف الأداء([6]).
2) يتيح للمؤسسة تقييم شدة (Severity)([7]) المخاطر بمزيد من الدقة في صياغة أهداف العمل.
3) يساعد المؤسسة على تحديد الأسباب الجذرية والآثار المحتملة والتي قد تحدث في أغلب الأحيان، وبالتالي يمّكنها من اختيار وتنفيذ الاستجابة الأكثر ملائمة للمخاطر وبما يتوافق مع مستوى المخاطر المقبول.
4) يتيح للمؤسسة فهم علاقات الترابط المتبادلة بين المخاطر وأهداف العمل والبدائل المتاحة للاستجابة للمخاطر.
5) يدعم تجميع المخاطر لتعزيز الرؤية الشاملة للمخاطر على مستوى المؤسسة.
أنصح الزملاء عند صياغة المخاطر استخدام منهجية العبارة الموحدة، وفيما يلي توضيح لطريقتين لأداء ذلك:
1) احتمالية أن (وصف الحدث أو الظرف المحتمل) والآثار المترتبة على (وصف أهداف العمل المحددة التي وضعتها المؤسسة).
مثال: احتمال حدوث تغيير في سعر صرف العملات الاجنبية والآثار المترتبة على الإيرادات.
2) مخاطرة (وصف الفئة التي حددتها المؤسسة) فيما يتعلق (بوصف احتمال الحدوث أو الظرف) و (وصف الأثر المتعلق بذلك).
مثال: الخطر الذي يهدد الأداء المالي المتعلق بالتغيير المحتمل في سعر صرف العملات الاجنبية وأثره على الإيرادات.
التالي مجموعة مختارة من المخاطر المتنوعة والمصاغة بطريقة احترافية باللغة الإنجليزية (مقتبسة من بحث عملته مبادرة إدارة المخاطر المؤسسية في جامعة ولاية شمال كارولاينا بالتعاون مع Protiviti)([8]):
· Sustained low fixed interest rates may have a significant effect on the organization’s operations.
· Economic conditions in markets we currently serve may significantly restrict growth opportunities for our organization.
· Anticipated increases in labor costs may affect our opportunity to meet profitability targets.
· Our organization may not be sufficiently prepared to manage an unexpected crisis significantly impacting our reputation.
· Ease of entrance of new competitors into the industry and marketplace may threaten our market share.
· Our ability to access sufficient capital/liquidity may restrict growth opportunities for our organization.
مرجعين أنصح بالرجوع إليهما:
· إطار "كوسو لإدارة المخاطر المؤسسية: المدمجة مع الاستراتيجية والأداء" (COSO Enterprise Risk Management: Integrating with Strategy and Performance)، الصادر عن لجنة المؤسسات الراعية للجنة تريدواي في عام 2017.
· إطار "كوسو للرقابة الداخلية: إطار متكامل" (COSO Internal Controls: Integrated Framework)، الصادر عن لجنة المؤسسات الراعية للجنة تريدواي" في عام 2013.
([1]) تم تعريف أبرز المصطلحات الواردة في هذا المقال باللغتين العربية والانجليزية لتعظيم الفائدة للقارئ الكريم.
Likelihood: The possibility that a given event will occur.
([2]) Risk: The possibility that events will occur and affect the achievement of strategy and business objectives.
([3]) الاحتمالية: احتمالية وقوع حدث ما.
Likelihood: The possibility that a given event will occur.
([4]) الأثر: نتيجة أو أثر المخاطرة. قد تكون هناك مجموعة من الآثار المحتملة المتعلقة بالمخاطرة، وقد يكون للمخاطرة أثر إيجابي أو سلبي بالنسبة لاستراتيجية المؤسسة أو أهداف العمل.
Impact: The result or effect of a risk. There may be a range of possible impacts associated with a risk. The impact of a risk may be positive or negative relative to the entity’s strategy or business objectives.
([5]) مخزون المخاطر: جميع المخاطر التي قد تؤثر على المؤسسة.
Risk Universe: All risks that could affect an entity.
([6]) من المبادئ الأساسية التي وردت في إطار "كوسو للرقابة الداخلية: إطار متكامل" (COSO Internal Controls: Integrated Framework) والمتعلقة بتقييم المخاطر؛ التالي:
·أن تحدد المؤسسة الأهداف بوضوح كافٍ ليمكن تحديد وتقييم المخاطر المتعلقة بهذه الأهداف.
·أن تحدد المؤسسة المخاطر التي تهدد تحقيق أهدافها في مختلف أنحاء المؤسسة، وتحلل المخاطر كأساس لتحديد كيف ينبغي إدارة هذه المخاطر.
·أن تدرس المؤسسة احتمالات حدوث أي فساد إداري عند تقييمها للمخاطر التي تهدد تحقيق أهدافها.
·أن تقوم المؤسسة بتحديد وتقييم التغيرات التي قد تؤثر بدرجة كبيرة في نظام الرقابة الداخلية.
([7]) الشدة: قياس بعض الاعتبارات مثل الاحتمالية والأثر أو الأحداث أو الوقت اللازم للتعافي من الأحداث.
Severity: A measurement of considerations such as the likelihood and impact of events or the time it takes to recover from events.
([8]) البحث بُني على نتائج استبانات وزعت على أكثر من 720 عضو مجلس إدارة ومدير تنفيذي في عدد كبير من الصناعات حول العالم. النتائج نشرت في عام 2017.