المبدأ السابع: على المؤسسة تحديد المخاطر التي تواجه تحقيق الأهداف وتحليلها، وتحديد كيف يتم ادارتها:

التزامات الإدارة :

ــ سواء تحليل المخاطر يبدأ من الأعلى، أو من الوحدات التشغيلية المفتاح هو وجود عملیات شاملة يتم من خلالها بيان كيف يتم تحديد المخاطر وإدارتها داخل الوحدة.

وتشمل عملية تحديد وتحليل وتقييم المخاطر وفقاً لما ورد في إطار COSO خمسة جوانب رئيسية هي كما يلي :

1ـ شمول التقييم كافة وحدات وفروع وأقسام المؤسسة والجهات الأخرى ذات العلاقة بتحقيق أهداف المؤسسة ؛ بحيث تقوم المؤسسة بتبني مجموعة من التقنيات والآليات التي تعمل على تقييم المخاطر المتوقع حدوثها وتقييم أثرها على المؤسسة ومدى استمرار التأثير وانعكاس هذا التأثير على أهداف العمليات لتقارير الامتثال.

وعلى المؤسسة أن تأخذ بعين الاعتبار التفاعلات الهامة بينها وبين الجهات ذات العلاقة، مثل الموردون والمستثمرون والمساهمون والدائنون والعملاء وغيرهم. وكذلك مراعاة المخاطر التي قد تنجم عن عوامل خارجية مثل تعديلات القوانين والتشريعات أو استحداثها أو المشاكل البيئية .

2- التعرف على العوامل الداخلية والخارجية التي تؤثر على تحقيق الأهداف .

وهنا قد تنجم المخاطر عن عوامل خارجية أهمها : 

- عوامل اقتصادية قد تؤثر على  التمويل أو توفير رأس المال.

- الكوارث الطبيعية أو التغيرات المناخية قد تؤثر على المواد الخام أو المعلومات.

ـ عوامل تنظيمية مثل قوانين وتشريعات ومعايير دولية قد تطلب من المؤسسة التغيير.

- عوامل اجتماعية مثل تغير احتياجات الناس وتوقعاتهم.

- عوامل تقنية مثل تطورات تكنولوجية أو أنظمة الاتصال .

أو قد تنجم عن عوامل داخلية أهمها :

- البنية التحتية خاصة ما يتعلق بالقرارات الخاصة بالموارد الرأسمالية ودرجة تأثيرها على العمليات والأفراد.

- هيكل الإدارة مثل التغير في الهياكل التنظيمية أو المسؤوليات.

- الموظفون ومدى توفر الكفاءات وتنمية مهاراتهم وتحفيزهم.

- الأصول مثل مدى وصول غير المفوضين للأصول، أو تعطل أنظمة الحاسوب.

3- تشمل عملية التقييم كافة المستويات الإدارية ضمن آلية فعّالة تقوم المؤسسة بوضعها.  

هنا تتحمل المؤسسة وكافة وحداتها وفروعها واقسامها المسؤولية عن التعرف على المخاطر وتحليلها وضرورة تطبيق آليات فعالة لتقييم المخاطر تشمل كافة المستويات الإدارية.

4. تقدير الأهمية المحتملة للمخاطر عند القيام بتحليل وتقييم المخاطر، وتتم هذه العملية كما يلي :

أ- تقييم احتمالية حدوث الخطر ودرجة تأثيره : الاحتمالية يتم قياسها باستخدام مقاييس محددة حسب ما تراه المؤسسة مناسباً فبعض المؤسسات تستخدم مرتفعة، متوسطة، متدنية، وبعضها تستخدم ترقيم مثل ۳، ۲، ۱ بحيث تعني ۳ مرتفعة و ۲ متوسطة و ۱ متدنية .

أما درجة التأثير أيضاً يمكن استخدام مقياس ثلاثي مرتفعة، متوسطة، متدنية أو بعض المؤسسات تستخدم مقياس رقمي خماسي يتدرج من 1 إلى 5 بحيث يكون 1 درجة تأثير متدنية و 5 درجة تأثير عالية جداً.

ب ـ تقدير سرعة تأثير الخطر فور حدوثه :  

والمقصود هنا هي السرعة التي يمكن أن تعاني منها المؤسسة من تأثير الخطر فور حدوثه، فمثلاً تعطل جهاز الحاسوب الرئيسي للمؤسسة تاثيره سريع وفوري، بينما تغير أذواق العملاء تأثيره يكون أقل ولاحقاً .

ج- تحديد استمرارية أو حدة تأثير الخطر بعد حدوثه : 

وهنا على المؤسسة تحديد هل تأثير الخطر لحظي، ويمكن أن ينتهي عند المعالجة، أو له تأثيرات مستمرة، فمثلاً وجود عطل في الحاسب الآلي قد ينتهي أثره عند تعديله ، بينما ضعف كفاءة الموظفين فإن أثره قد يستمر مع المؤسسة الفترات أطول.   

5 ـ تقييم مدى الاستجابة لنتائج تقييم المخاطر باتخاذ الإجراءات المناسبة للحد منها أو قبولها :      

يجب تحديد الطريقة التي تنتهجها الإدارة في إدارة هذه المخاطر بناء على دراسة وتحليل موضوعي خاصة ما يتعلق بالكلفة المترتبة على مواجهتها.

وقد تم الإشارة ضمن اطار COS0 إلى درجات الاستجابة حيث تم الإشارة إلى أن الاستجابة للمخاطر تندرج ضمن الفئات التالية :

أ ـ قبول الخطر:

ويتم ذلك في الحالات التي تكون آثار المخاطر السلبية قليلة وكلفة معالجتها مرتفعة. 

ب ـ تجنب الخطر:

ويتم ذلك بالخروج من النشاط المتعلق به الخطر مثل إغلاق فرع معين أو إيقاف خط انتاج.

ج- خفض الخطر:

وضع إجراءات رقابية تضمن عدم وقوع الخطر أو تقليله إلى أدنى حـد ممكن .

د- المشاركة :

من خلال مشاركة أطراف أخرى في تحمل هذا الخطر مثل شركات التأمين مثلاً.

وعلى الإدارة أن تراعي ما يلي عند الاستجابة للمخاطر:

1- التأثير المحتمل لأهمية المخاطر ومـا هـو الخيار الأمثل للاستجابة والذي يتوافق مع درجة أهمية الخطر.

2- الفصل بين الواجبات لتحقيق الخفض المتوقع.

3- كلفة الاستجابة المتوقعة في ضوء المنافع المتأتية.

هذا وقد قامت جمعية المصارف الأمريكية ABA  بوضع الأسس الخاصة بإدارة المخاطر ضمن سبعة خطوات هي كما يلي :

1- مسؤولية مجلس الإدارة والإدارة العليا Board of Directors and Senior Management Responsibility

السياسات المتعلقة بإدارة المخاطر تُوضـَع مـن قبـل الإدارة العليـا ويـتم اعتمادها وإقرارها من قبل مجلس الإدارة .   

2- إطار عملية إدارة المخاطر Framework for Managing Risk:  الإدارة تقوم بتحديد الاطار الذي سيتم من خلاله إدارة المخاطر بما يضمن تحقيق الفعالية والشمولية لهذه العملية وتوفير الموارد البشرية والمالية اللازمة لتفعيل ذلك.

3- تكامل عملية إدارة المخاطر Integration of Risk Management: تهدف إلى تحديد وفهم طبيعة العلاقات المتبادلة بين المخاطر المختلفة، حيث لا يمكن تقييم أثر خطر معين بمعزل عن بقية المخاطر الأخرى ذات العلاقة، كذلك إدارة المخاطر تتسم بالشمولية على مستوى المؤسسة ككل مما يؤدي إلى تطبيق إدارة المخاطر بشكل متكامل.

4- مسؤولية وحدات العمل في المؤسسة Business Line Accountability: كافة دوائر الأنشطة المختلفـة فـي المؤسسـة تكون مسؤولة عن إدارة المخاطر، بحيث إن كل مستوى من مستويات اتخاذ القرارات يجب عليه فهم وادراك المخاطر المترتبة على القرارات المتخذة من قبله الأمر الذي يسهل عملية التوافق ما بين درجة الخطر والعائد المطلوب.

5 ـ تقييم وقياس المخاطر Risk Evaluation and Measurement : المخاطر يجب أن تُقيّم باستمرار بحيث تشتمل عملية التقييم على تحليل كمي، ويجب أن تتضمن عمليـة تقـدير المخاطر نتائج الأحـداث ذات الأثـر الإيجابي، وكذلك الأحداث ذات الأثر السلبي.

6- المراجعة المستقلة Independent Review : على الجهة التي تتولى إدارة المخاطر أن تتمتع بالاستقلالية، ويجب أن تكون لديها الصلاحيات والخبرات الكافية لتمكنها من عملية تقييم المخاطر.

7- خطة الطوارئ Contingency Planning : على إدارة المخاطر أن تأخذ بعين الاعتبار ضرورة وجود خطط عملية يمكن تطبيقها في حالة حدوث طوارئ محددة.

تطبيق عملي :  

فيما يلي تطبيقاً عملياً على تحليل المخاطر التشغيلية وفقاً لأسس إدارة المخاطر الصادرة عن جمعية المصارف الأمريكية  ABA :

1- مسؤولية مجلس الإدارة والإدارة العليا : 

على مجلس الإدارة واللجان المنبثقة عنه توفير الدعم اللازم لإدارة المخاطر التشغيلية

2- إطار عملية إدارة المخاطر:

ـ إدارة المخاطر التشغيلية يجب أن تشمل كافة الوظائف ووحدات العمل والمؤسسة ككل.

ـ تطوير مفهوم عملية التقييم الذاتي للرقابة(CSA)  Control Self Assessment . 

ـ يجب تطوير وإيجاد نقاط مقارنة محددة Benchmark ومؤشرات أداء .

ـ يجب مراقبة المؤشرات الرئيسية التي تنبئ بالمخاطر أو تزيد من المخاطر التشغيلية ورفع تقارير عنها في الوقت المناسب.

3- تكامل عملية إدارة المخاطر :   

إدارة المخاطر التشغيلية يجب أن تأخذ بعين الاعتبار التداخل بين المخاطر المختلفة

4- مسؤوليات وحدات العمل :

ـ المسؤوليات المتعلقة بالمخاطر التشغيلية يجب أن يتم تحديدها بما يعكس إدارتها على مستوى النشاطات اليومية وعلى المستوى طويل الأجل. 

ـ كل وحدة عمل يجب أن تكون مسؤولة عن المخاطر المتعلقة بالنشاط الذي تمارسه.

  5- قياس وتقييم المخاطر :

ـ هدف تقييم المخاطر التشغيلية يحقق التوازن ما بين المخاطر والرقابة عليها.

ـ قياس المخاطر التشغيلية يُمكّن المؤسسة من الرقابة على المؤشرات ، ويعزز من عملية تخصيص رأس المال.   

ـ قياس المخاطر التشغيلية يعتمد بشكل كبير على عوامل داخلية مثل احتمالية حدوث الخطأ ومقدار الخسائر المتوقعة، ويتم التعبير عنه بأرقام إحصائية واضحة .

6- المراجعة المستقلة :

ـ المراجعة يجب أن ترفع تقاريرها مباشرة إلى الإدارة العليا ومجلس الإدارة.

ـ يجب أن تكون المراجعة دورية لعمليات إدارة المخاطر التشغيلية.

ـ التأكد من وجود نظام تدقيق داخلي ملائم وفعّال.

7- خطة الطوارئ :

خطة الطوارئ يجب أن تُركّز على قدرة المؤسسة على إعادة ممارسة وتشغيل الأنظمة الضرورية اليومية لتأدية المهام، وتقديم العمليات بما يتماشى مع الاستراتيجية في حال حدوث الخطر.