إن مجال الأعمال دائما يحتوي على حالة من عدم اليقين، وبالتالي، هناك دائماً خوف حول تحقيق الأهداف؛ لذلك كان من المهم إيجاد طرق ومعايير لقياس تلك المخاطر التي قد تواجه المنشآت، والتصدي لها ومحاولة إدارتها عن طريق إيجاد حلول قبل حدوثها.
والمعيار، هو مجموعة من المواصفات الرسمية التي اتفقت عليها معظم المنظمات. وفي هذه الحالة، فإن المنظمة المسؤولة عن وضع المعايير هي المنظمة الدولية للمعايير القياسية (ISO).
وللحصول على معيار الآيزو (ISO) يجب أن تتوفر مجموعة من الإرشادات والمواصفات داخل مُنشأتك، ويتم التحقق من توافرها من قِبل مجموعة ممثلين من المنظمات المختصة، ليتم مَنحَك شهادة دولية تقر بأن مُنشأتك تلتزم بأفضل المعايير الدولية.
وفي معيار الآيزو 31000، ينصب التركيز على وجود مبادئ لتنفيذ إطار عمل لإدارة المخاطر داخل المؤسسة والحفاظ على إطار العمل وتحسينه باستمرار.
ما هو ISO 31000؟
ببساطة، الآيزو (ISO 31000) هو معيار لإدارة المخاطر (Enterprise Risk Management System)، اُبتكر من قبل منظمة المعايير الدولية (ISO) عام 2009، وصدرت أحدث نسخة منه عام 2018 تحت مسمى (ISO 31000:2018)، وهو يصف مجموعة من العمليات والمبادئ التوجيهية التي تقوم بها المنظمات والشركات، ليتم من خلالها تحديد المخاطر، وإدارتها، وعلاجها مع تقييمها من حيث حجم التأثير، وكذلك الاستراتيجية التي سيتم اتباعها لإدارة المخاطر، ومتابعة الأخطار المحدقة. ويأتي ذلك ضمن أهداف المؤسسة والإدارة العليا، للحفاظ على استمرارية العمل، وتجنب الأحداث المفاجئة التي يمكن أن تؤدي الى توقف عمل المنشأة.
تم تصميم معايير إدارة المخاطر (ISO 31000) لاستخدامها على نطاق واسع في جميع المجالات، بغض النظر عن الحجم، وفي أي مؤسسة، عامة كانت او خاصة، وأيضا أيّاً كانت أهدافها، ربحية او غير ربحية. فهي تهدف إلى توفير أفضل الإرشادات التوجيهية لجميع المؤسسات التي تسعى إلى تطبيق مبادئ إدارة المخاطر داخل نظامها.
مفهوم الخطورة/المخاطر (RISK)
يُعرَّف الخطر بأنه “تأثير عدم اليقين” على أهداف العمل. يمكن أن يكون هذا التأثير إيجابياً أو سلبياً.
إن مجال الأعمال دائماً يحتوي على حالة من عدم اليقين، وبالتالي، هناك دائما خوف حول تحقيق الأهداف؛ لذلك كان من المهم إيجاد طرق ومعايير لقياس تلك المخاطر التي قد تواجه المنشآت، والتصدي لها ومحاولة إدارتها عن طريق إيجاد حلول قبل حدوثها.
أنواع المخاطر التي يمكن أن تواجهها المنشآت
- مخاطر السمعة:
دائماً ما تسعى المنشآت للحفاظ على سمعتها، للحفاظ على ثقة العملاء أو المستثمرين.
مثال: تعرض سمعة الشركة لقضايا فساد.
- المخاطر المالية:
وهي المخاطر التي تتعلق بالأموال، مثل التسعير، والسيولة المالية، ومخاطر الأصول.
- المخاطر التشغيلية:
وهي إمكانية حدوث تعطيل غير متوقع في المنشأة، مثل: تعطّل في الأجهزة المُنتجة.
- المخاطر الاستراتيجية (Strategy Risk):
هي مجموعة التغيرات التي تحدث فجأة في السوق والتي تعرض المنشأة إلى أخطار مجهولة وغير ممنهجة، مما يسبب أضرار جسيمة. ومن تلك المخاطر، على سبيل المثال لا الحصر، ارتفاع تكاليف المواد الخام، او تغيرات التكنولوجيا الطارئة.
استراتيجية إدارة المخاطر داخل المنظمات
الهدف الرئيسي لجهود إدارة المخاطر هو جعل المخاطر مرئية وقابلة للقياس للمديرين في عملية صنع القرار، وحسب نظام إدارة المخاطر هناك العديد من الإجراءات المتبعة للتعامل مع الأخطاء التي تواجه المنشآت، وهي:
- التجنب: إبعاد أي نشاط يؤدي إلى خطر قبل حدوثه.
- التخفيض: تخفيض الاحتمالات التي تؤدي إلى أخطار على المنشأة.
- الإجراءات البديلة: وهي اتخاذ القرارات وبعض الإجراءات التي تؤدي إلى التقليل من المخاطر.
- التأمين: اعتماد التأمين على المؤسسة كطريقة للتعامل مع الخطر.
- القبول: وهو ألا يتم اتخاذ أي اجراء والقبول بالخطر، مما يعني التخلي عن المنتج أو الخدمة التي تقدمها المنشأة.
فوائد معيار ISO 31000 لإدارة المخاطر في المنشآت
لماذا ينبغي عليك استخدام ISO 31000؟ ماذا يمكن أن تضيف لعملك عند تطبيقه؟ حسناً، وبصرف النظر عن تسهيل عملية تنفيذ نظام لإدارة المخاطر داخل منشأتك، فإنه يمكن أن يساعد أيضا على:
- منحكَ ميزة تنافسية، لأن الآيزو هو معيار معترف به دولياً؛ فيزيد من ثقة العملاء، مما يرفع المستوى التنافسي محلياً وعالمياً.
- زيادة وعي الموظفين بالمخاطر.
- الحد من المخاطر والقضاء عليها من خلال تثقيف الموظفين والإدارات بشأن المخاطر التي يمكن أن تواجهها المنشأة.
- زيادة ثقة المستثمرين، من خلال الحفاظ على الشفافية والإبلاغ عن المخاطر، وإظهار المسؤولية عن المخاطر ومحاولة التخفيف من حدتها.
- تحسين ثقافة الشركة من خلال الجمع بين الإدارات المختلفة لتبادل وجهات النظر الجديدة، والنظر في كيفية العمل معاً على نحو أكثر فعالية.
- تحسين معدل النجاح في جميع العمليات والقرارات، من خلال التركيز على العملية والتفكير بشكل استباقي بدلاً من الانتظار لتكون رد الفعل.
- تهيئة الأعمال لجميع الاحتمالات، من خلال فهم أسوأ سيناريو متوقع، ولتحقيق الاستفادة القصوى من الموارد والفرص المتاحة حاليا لهم.
كيف أبدأ في تطبيق نظام إدارة المخاطر في المؤسسة
يرتكز نظام إدارة المخاطر داخل مُنشأتك على تطبيق ثلاثة محاور رئيسية، ويمكن اعتبارها مكونات نظام إدارة المخاطر:
- مبادئ معايير الآيزو (ISO 31000).
- إنشاء إطار عمل لإدارة المخاطر (Framework).
- عملية إدارة المخاطر (Risk Management Process according to ISO 31000).
مبادئ نظام إدارة المخاطر (ISO 31000)
إن إدارة المخاطر موجودة لخلق وحماية وتحقيق أهداف المؤسسة وتحسين أدائها، من خلال مراجعة نظام إدارتها وعملياتها.
وتصف هذه المبادئ أهم العوامل التي يمكن أن تؤدي إلى وضع إطار فعال وكفء لإدارة المخاطر وفقاً للمعيار ISO 31000. ويظهر ذلك في المبادئ الثمانية للمنظمة الدولية للمعايير القياسية (ISO)، وهي:
- يجب دمج إدارة المخاطر في جميع العمليات والأنشطة الخاصة بالمنشأة.
- يجب أن يكون نهج إدارة المخاطر منظماً وشاملاً.
- يجب تكييف العمليات وإطار إدارة المخاطر بحيث يناسبان أهداف المنظمة والعاملين بها.
- يجب إشراك الإدارات العليا في نظام إدارة المخاطر؛ يجب أن تكون شاملة.
- يجب أن تكون إدارة المخاطر ديناميكية ومتكررة؛ لتشجيع التفكير الوقائي، وتوقع التغيرات المفاجئة والكشف عنها، والاعتراف والاستجابة للتغيرات.
- تستند إدارة المخاطر إلى أفضل المعلومات المتاحة: فمن المهم مراعاة وفهم جميع المعلومات المتاحة وذات الصلة بالنشاط.
- العوامل البشرية والثقافية هي القوى العاملة التي لها أهمية قصوى في إدارة المخاطر، وينبغي النظر لها في جميع مراحل إدارة المخاطر.
- ويجري تحسين إطار إدارة المخاطر باستمرار من خلال التعلم والخبرة، فالمنظمات ذات النضج في إدارة المخاطر، هي التي تستثمر في إدارة المخاطر على المدى الطويل وتظهر الإنجاز الطبيعي لأهدافها.
إطار عمل إدارة المخاطر وفق معايير الآيزو 31000
يتم طرح مصطلح “إطار” او (framework) كثيرا، وخاصة عند الحديث عن أي نوع من المعايير. لذا يُعرِّف معيار الآيزو 31000، إطار إدارة المخاطر، على أنه:
“مجموعة من الخطوات والأفعال التي تدعم نظام إدارة المخاطر في جميع أنحاء المنشأة.”
وترتبط المبادئ الثمانية لإدارة المخاطر ارتباطاً وثيقاً في إطار عمل الآيزو 31000، فالمبادئ هي بمثابة الأهداف التي تسعى المؤسسة لها، وتصف ما ينبغي تحقيقه، والإطار أشبه بالمعلومات المتعلقة بكيفية تحقيق تلك الأهداف.
وَتُحَدِّدُ المنظمة الدولية للمعايير القياسية (ISO) سِتَّ مراحل تٌشَكِل “إطار عمل” إدارة المخاطر (ايزو 31000):
- القيادة والالتزام:
الأهداف منها تكون كالآتي:
- مواءمة إدارة المخاطر مع أهداف الأعمال وثقافة الشركة.
- إصدار قرارات أو سياسات تصف بوضوح نهج إدارة المخاطر والمخططات التي ينبغي للأطراف المعنية السير ضمنها، والأهداف المقرر الوصول لها، والإجراءات المقررة ضمن برامج إدارة المخاطر.
- التأكد من تخصيص الموارد بشكل كافٍ وإتاحتها لبرنامج إدارة المخاطر.
- تحديد الدرجة المقبولة من المخاطر التي يمكن للمنشأة التعامل معها.
- تكامل النظام:
يعتمد مدى نجاح نهج إدارة المخاطر على مدى تكامله وكفاءته وتطبيقه في جميع جوانب المنشأة، بما في ذلك عمليات صنع القرار.
الأهداف منها تكون كالآتي:
- تحديد أدوار ومسؤوليات الإدارة التنظيمية.
- التأكد من أن إدارة المخاطر جزء متكامل من جميع جوانب وأقسام المنشأة.
- تخطيط:
الأهداف منها تكون كالآتي:
- فهم المنشأة وفهم السياق (الداخلي والخارجي) لها.
- تخطيط وتخصيص الموارد اللازمة لبرنامج إدارة المخاطر.
- وضع بروتوكولات الاتصالات وآلية التواصل بين الجهات المعنية.
- التنفيذ:
وهي الخطوة التي تهتم في وضع الخطط موضع التنفيذ.
الأهداف من هذه المرحلة تكون كالآتي:
- تحديد الأهداف والمواعيد النهائية لتحقيقها.
- تحديد عملية صنع القرار بوضوح.
- تقييم عملية صنع القرار وإجراء تغييرات عليها حسب اقتضاء الحاجة.
- التقييم:
مراجعة الأعمال التي تم إنجازها ضمن نظام إدارة المخاطر الموضوع، وما هي الخطوات المستقبلية التي يجب علينا فعلها، ومعرفة ما إذا كان نظام إدارة المخاطر يعمل كما ينبغي أن يكون.
يتم ذلك عن طريق النظر في النتائج مقابل الأهداف المطلوبة، ويمكن في هذه الخطوة عمل تحليل لنظام إدارة المخاطر والمنشأة بشكل عام، على سبيل المثال يمكننا إجراء تحليل فجوة .(gap analysis)
الهدف من هذه المرحلة تكون كالآتي:
- قياس أداء نظام إدارة المخاطر.
- تقييم معدل النجاح.
- تحديد ما إذا كانت الأهداف ممكنة أم لا.
- التحسين المستمر:
إدارة المخاطر هو نهج دوري ومستمر تماماً. وهذا يعني أن هناك دائماً مجالاً للتحسين والإصلاح.
الهدف من هذه المرحلة تكون كالآتي:
- الرصد المستمر لجميع جوانب إطار إدارة المخاطر.
- معالجة التغيرات الداخلية والخارجية.
- التخطيط واتخاذ الإجراءات لتحسين إطار نظام إدارة المخاطر.
- أعلى النموذج
- أسفل النموذج
العناصر الأربعة الأخيرة من إطار العمل: التخطيط والتنفيذ والتقييم والتحسين (PIML). هذا التسلسل من أربع مراحل يُعرَفُ أَيْضًا بِاسْم دورة دمينغ (Deming)، وهو نموذج لتحسين الجودة المستمرة.
عملية إدارة المخاطر وفق معيار الآيزو 31000
إن عملية معالجة المخاطر، او الاستجابة للمخاطر، هي ببساطة، أفضل الإجراءات المتخذة للاستجابة للتعامل مع المخاطر.
مراحل عملية إدارة المخاطر:
- تحديد المخاطر وتحليلها.
- تقييم المخاطر.
- التعامل مع المخاطر، وتتم عن طريق الاستراتيجيات التي تم ذكرها في الأعلى، مثل: تجنب المخاطر، او التقليل من تأثيرها.
- مراجعة الإجراءات التي تم تنفيذها.
من المهم ملاحظة أن المعيار ISO 31000 لا يحدد عملية معينة لإدارة المخاطر؛ بل هو عبارة عن مجموعة من الإرشادات التي تَهدِف إلى مساعدتك في معرفة أو تحسين عملية إدارة المخاطر في مُنشأتك.
سبل تحقيق نظام إدارة المخاطر بفعالية
ISO 31000 لا يحدد عملية معينة لإدارة المخاطر؛ بل هو عبارة عن مجموعة من الإرشادات التي تَهدِف إلى مساعدتك في معرفة أو تحسين عملية إدارة المخاطر في مُنشأتك.
- القيادة القوية: سبب نجاح واستمرار نظام إدارة المخاطر في العمل داخل المنشأة ان تكون القيادة او الإدارة العليا في المؤسسة قوية وحازمة بشأن تطبيق النظام.
- إدارة المخاطر ينبغي أن تكون استباقية، بحيث تستعد المنشأة للمخاطر التي لم تنشأ بعد، بدلاً من مجرد الرد على المخاطر التي يمكن تحديدها حالياً.
- التحسين المستمر: إن أهم متطلبات نجاح أي نظام إدارة للمخاطر هو عملية التحسين المستمر، بدون التأكيد على مبادئ التحسين المستمر لن يستمر هذا النظام.
وهناك ثلاث مراحل لبناء ثقافة التحسين المستمر في مُنشأتك:
المرحلة الأولى: بناء الوعي الثقافي حول إدارة المخاطر وتعزيزه بين جميع العاملين في المنشأة، فلا تتوقع من العاملين داخل المنشأة أن يتوافقوا سريعاً مع أهدافك التي تسعى لتحقيقها دون أن يتم تثقيفهم وتدريبهم على النظام الجديد.
ويمكن تحقيق ذلك عن طريق عدة أشكال منها:
- تحديد مسؤوليات كل فرد، واجراء مبادرات
- إطلاق برامج تدريبية وتعليمية للعاملين داخل المنشآت،
- توفير الدعم والتوجيه عند الحاجة.
المرحلة الثانية: تغيير طريقة عمل المنشأة لتتناسب مع النظام الجديد لمبادئ التحسين المستمر، وتبدأ هذه المرحلة في إعادة هيكلة النظام، من خلال البدء في التشجيع على الاعتراف بالمخاطر، ومكافأة الموظفين على الاهتمام بالمخاطر، ومعاقبة السلوك الذي لا يتماشى مع ثقافة الشركة للتحسين المستمر، بالإضافة إلى نشر وإعادة تعيين الأفراد داخل المنشأة وفق أهداف نظام إدارة المخاطر.
المرحلة الثالثة: تعديل وصقل النظام، وزيادة التحسين الثقافي بضرورة الاستمرار في عملية إدارة المخاطر، وفي هذه المرحلة، يتم التركيز على رصد أداء النظام. ويتم خلال تلك المرحلة التأكد من أن مقاييس إدارة المخاطر يتم تعديلها لتتناسب مع الفترة التي تمر بها المنشأة الآن، وأيضاً يتم التأكيد على ضرورة تحمل أصحاب القرارات العليا مسؤولية قراراتهم، بالإضافة إلى التفكير المستمر في نشر ثقافة إدارة المخاطر بين موظفي المنشأة وفقاً لأهداف المنشآت المتغيرة.
الآن، وبعد أَنْ تَعرفت على نظام إدارة المخاطر وفق معايير الآيزو 31000، قد تتساءل عن كيفية تطبيق جميع تلك العمليات داخل مُنشأتك، بصورة عملية وحقيقية؟
يمكنك تحقيق علامة/شهادة الآيزو 31000 (ISO 31000)، عن طريق الاستعانة بأحد الشركات المعتمدة مثل:
شركة ريناد المجد لتقنية المعلومات (RMG)، التي توفر لك عناء هذه العملية وتقدم لك خدمة تطبيق نظام إدارة المخاطر بصورة عملية وتحقيق أقصى استفادة منها داخل مُنشأتك، ومن ثم تؤهلك بعد ذلك للحصول على الشهادة الدولية لمعايير الآيزو 31000 (ISO 31000).