تشهد المؤسسات والمنظمات الاقتصادية العديد من التحولات والتغيرات المستمرة والمتسارعة التي يشهدها العالم في مختلف الجوانب، وهذا يؤثر على بيئة الأعمال، وعلى قدرة المؤسسات على تحقيق أهدافها من خلال الفرص والتحديات التي تفرضها، ومن أجل التكيف ومواجهة هذه التحديات تسعى المؤسسات للتجديد المستمر في الأساليب والتقنيات في إدارة الموارد المتاحة وتوظيفها بما يضمن تحقيق أفضل النتائج ضمن مستويات المخاطر المقبولة لدى المؤسسة بدلاً من تجاهلها. وهذا يتطلب تغيير آليات الإدارة التقليدية لتسيير الأعمال وتبنّي حلول إستراتيجية شاملة ومتكاملة باتخاذ القرارات السليمة والمعتمدة على أفضل المعلومات المتاحة من أجل إحداث التغيير والتطوير مبنية على وجود ثقافة إدارة مخاطر ناجعة تنتهجها المؤسسات.
إن السمة المميزة لمفهوم المنظمة التي تميزها عن النظم الاجتماعية الأخرى هي أولوية التوجه نحو تحقيق هدف محدد، وبما أن المنظمات تعمل على تنفيذ رؤيتها ومهمتها فإنها تتعرض للتهديدات والفرص التي يمكن إما تعزيز نموها وإما زوالها، ومما يثير القلق بشكل خاص كيفية تعامل المنظمات مع المخاطر التي تواجهها من خلال التعرف على هذه المخاطر وتقدير حجمها ومعالجتها حيث إنها تساعد على فهم جميع الجوانب المحتملة المحيطة بالمنظمة سواءً الإيجابية أو السلبية التي قد تؤثر عليها بهدف تحقيق المزايا المستدامة من كافة أنشطتها وعملياتها.
وتعد إدارة المخاطر الحصيفة إحدى أهم ركائز ممارسات الحوكمة الرشيدة. وفي السنوات الأخيرة كانت هناك أحداث قادت المنظمات والمؤسسات المالية إلى إعادة التفكير حول فعالية ممارسات الحوكمة المتبعة والأنظمة الرقابية وتقييم المخاطر. ومن أبرز هذه الأحداث فضيحة المحاسبة التي نشأت في شركة إنرون (Enron) التي كانت إحدى كبريات شركات الطاقة الأمريكية والتي أعلنت إفلاسها في نهاية عام 2001، وقد أظهر التحقيق أن كبار المديرين التنفيذيين وأعضاء مجلس الإدارة كانوا يقدمون أرقاماً مبالغاً فيها تزيد عن أرباح الشركة الحقيقية بحوالي مليار دولار، وأكد تقرير للجنة المكلفة بالتحقيق أن كبار مسؤولي شركة إنرون قاموا بعمليات مشاركة وهمية ساعدتهم في إخفاء خسائر وديون إنرون الفعلية وقد أدى إفلاسها وانهيار أسهمها إلى فصل حوالي خمسة آلاف موظف يعملون بها، وفقد أصحاب المعاشات وصغار المساهمين مدخراتهم التي استثمروها في أسهم الشركة. وقد جاء قانون ساربينز أوكسلي (Sarbanes-Oxley SOX) عام 2002 على أثر هذه التداعيات لحماية المستثمرين من احتمال قيام المؤسسات بالأعمال المحاسبية الاحتيالية، واقتضى قانون ساربينز أوكسلي إصلاحات صارمة لتعزيز الإقرارات المالية من المؤسسات و لتجنب الاحتيال المحاسبي بحيث يحمل الرئيس التنفيذي CEO)) ومدير القطاع المالي (CFO) مسؤولية شخصية عن إعلان بيانات مالية خاطئة حسب هذا القانون، هناك علاقة مباشرة بين قانون ساربينز اوكسلي (SOX) وحوكمة الشركات؛ إذ أوجب القانون بأن تقوم الشركات بالإفصاح عن قواعد السلوك إلى جانب قيامها بتقييم فعالية المراجعة الداخلية ورقابة وإدارة المخاطر
ومن جانبٍ أخر أدى انهيار بنك “ليمان براذرز” (Lehman Brothers Holdings Inc) الأمريكي في عام 2008 إلى أطلاق شرارة الأزمة المالية العالمية والذي كان متورطا في استثمارات مالية تشوبها المخاطر كغيره من المؤسسات المالية في بورصة وول ستريت، والذي كان يعاني من آثار انهيار سوق العقار الأمريكي. مما جعل حكومات العالم تخصص تريليونات الدولارات لإنقاذ بنوكها من الانهيار. وبعد عامين من أعقاب ما كشفته الأزمة المالية العالمية التي بدأت في عام 2007 وانهيار مصرف “ليمان براذرز” أعلنت لجنة بازل للرقابة المصرفية عن متطلبات مقررات اتفاقية بازل 3 (Basel 3) عام 2009. والتي تعزز صلابة الأنظمة المصرفية من خلال معالجة العديد من العيوب التي كشفت الأزمة المالية العالمية النقاب عنها حيث تطرح معايير جديدة لرأس المال والمديونية والسيولة لتقوية قدرة القطاع المصرفي في التعامل مع الضغوط الاقتصادية والمالية، وتحسين إدارة المخاطر، وزيادة الشفافية، وستكون مساهمتها كبيرة في الاستقرار المالي والنمو على المدى الطويل.
وأوجبت هذه المقررات على البنوك المركزية إصدار تعليمات تحدد متطلبات رأسمال إضافية مطلوبة من البنوك بنسبة من الأصول المرجحة بالمخاطر زيادة على نسبة كفاية رأس المال المطلوبة من البنوك لتعزيز قدرتها على مواجهة المخاطر. وقد تم تكثيف العمل على المستوى الدولي لوضع أطر لمعالجة العوامل الخارجية السلبية التي تفرضها المؤسسات المالية ذات الأهمية النظامية لحماية للاستقرار المالي ليشمل المؤسسات المالية ذات الأهمية النظامية وليس البنوك فقط.
وفيما يخص قطاع شركات التأمين وكغيرها من المؤسسات المالية، تواجه شركات التأمين كافة أنواع المخاطر المالية والتشغيلية، الأمر الذي يتطلب منها اتخاذ التدابير والاجراءات الوقائية لإدارة تلك المخاطر. ويعد عجز شركات التأمين عن الوفاء بالتزاماتها من أهم المخاطر التي قد تواجهها الأمر الذي قد يؤدي إلى إفلاسها وخروجها من السوق. وقد زاد الاهتمام بموضوع هامش الملاءة المالية في شركات التأمين على المستوى الدولي وخصوصاً بعد الأزمات المالية التي تعرضت لها مختلف الشركات حول العالم، حيث سعت الهيئات الدولية المعنية بقطاع وشركات التأمين إلى وضع مجموعة من القواعد التي تهدف إلى توجيه شركات التأمين ومساعدتها على الوفاء بالتزاماتها تجاه الغير، وهو ما يظهر من خلال المقررات الأوروبية للملاءة أو ما يعرف بمقررات الملاءة 2 (Solvency2). ومن أجل تحسين الحوكمة وضمان أفضل فعالية في تحديد المخاطر التي قد تتعرض لها شركات التأمين لحماية مصالح أصحاب المصلحة، وضمان قيام مجالس الإدارة ببذل جهودهم لتحقيق الإستراتيجيات التي تحقق قيمة إضافية للشركة في ظل نظام رقابي فعال وكفؤ، قامت العديد من الجهات المنظمة بوضع مبادئ تجسد الحوكمة السليمة لتمثل دليلاً لممارسات شركات التأمين ومن الأمثلة على هذه المبادئ: مبادئ منظمة التعاون الاقتصادي والتنمية حول حوكمة الشركات (OECD)، مبادئ الحوكمة الصادرة عن هيئة الرقابة على شركات التأمين والتعاونيات (ACAM). ومن جانب الرقابة على شركات التأمين فقد قرر مجلس الوزراء الأردني بتاريخ 24/2/2016 الموافقة على تولي البنك المركزي الأردني الرقابة على قطاع التأمين وعلى أن يتم نقل الرقابة على قطاع التأمين خلال مدة أقصاها سنتان لتصبح تحت مظلة البنك المركزي الأردني، وكان الهدف تحديث الأطر الرقابية على أعمال التأمين لمواكبة تطورات السوق وذلك من حيث تحسين الملاءة المالية لشركات التأمين ووضع متطلبات تنظيمية لضمان الفصل المناسب بين أعمال التأمين على الحياة وأعمال التأمينات العامة، إضافة الى تعزيز متطلبات الحاكمية المؤسسية لشركات التأمين.
وعلى صعيد القطاع العام والمؤسسات الحكومية فقد أصدرت وزارة تطوير القطاع العام الأردنية في تموز 2015 الدليل الإرشادي لإدارة المخاطر في القطاع العام، ليكون بمثابة مرجعية لدوائر الجهاز الحكومي في مجال إدارة المخاطر ويساعد الدوائر الحكومية في وضع خطط للتعامل مع الظروف والمتغيرات البيئية الداخلية والعوامل الخارجية على حد سواء لضمان توظيف هذه العوامل في تحقيق الأهداف المرسومة لخططها وبرامجها. ويهدف الدليل إلى مأسسة إدارة المخاطر في عمل المؤسسات والدوائر الحكومية وأخذها بعين الاعتبار في إعداد موازناتها، ومساعدة المؤسسات على بناء خططها الإستراتيجية متبوعة بخطة إدارة المخاطر، بالإضافة إلى تعزيز كفاءة وفاعلية الخطط الإستراتيجية ونشر الوعي بأهمية إدارة المخاطر. ولكن الجدير بالذكر أن هذا الدليل الإرشادي دليلاً اختيارياً وليس إلزامياً على المؤسسات والدوائر الحكومية، وإنما يعكس اهتمام الحكومة بحوكمة عمل القطاع الحكومي وإدارة المخاطر.
ومع تطور تكنولوجيا المعلومات والاتصالات وما صاحبه من تغير في أشكال المعاملات التجارية وأسواق العمل واعتمادها على الإنترنت، وتزايد الخدمات ووسائل الدفع الإلكترونية بين القطاعات المختلفة ومتلقي الخدمة وتغير في أشكال البيانات والمعلومات التي أصبحت رقمية، وما رافقها من المخاطر العديدة المتعلقة بتقنية المعلومات والاتصالات وأمن البيانات والأمن السيبراني، والتي كان من أبرزها قضايا الجرائم الإلكترونية على مستوى العالم مثل: قضايا طلب دفع الفدية (Pay Ransom) والابتزاز الإلكتروني Cyber Extortion))، ومنها تعرض شركة (ebay) الأمريكية لهجوم إلكتروني عام 2014 أدى إلى سرقة بيانات أكثر من 140 مليونا حساب مصرفي لعملائها شملت (أسماء، عناوين بريدية، أرقام هواتف وكلمات مرور)، وتعرضت الخطوط البريطانية للطيران عام 2018 لاختراق إلكتروني لبيانات شخصية ومالية تخص عملاء الشركة كان نتيجتها انخفاض قيمة أسهم شركة IAG)) المالكة لشركة الطيران. كما شهدت العديد من الشركات في مختلف القطاعات الاقتصادية هجمات إلكترونية مختلفة الأمر الذي استدعى اتخاذ إجراءات استباقية من قبل الجهات الرقابية ومن أبرزها البنوك المركزية من خلال وضع تعليمات تضبط حاكمية وإدارة المعلومات والتكنولوجيا بما يضمن تطبيق وتحديث سياسة الأمن السيبراني (Cyber Security) وضمان وجود سجل مخاطر خاص بالمخاطر السيبرانية (Cyber Risk) محدث ومتوافق مع سجل مخاطر تكنولوجيا المعلومات، والعمل على تحديد المخاطر وتقييمها من حيث الاحتمالية والأثر على عمليات الشركة بالاستعانة بالنماذج العالمية لإدارة المخاطر المتضمنة عمليات تكنولوجيا المعلومات ومن أبرزها إطار (COBIT) والذي يشكل إطار قياسي مكون من عدة أدوات تساعد مديري المؤسسات على تقليل الفجوة وتقليل المخاطر بين نظم المعلومات والاحتياجات الفنية واحتياجات الأعمال الأساسية للمؤسسة. وفي هذا الصدد أصدر البنك المركزي الأردني في شهر شباط 2018 “تعليمات التكيف مع المخاطر السيبرانية” لتعزيز قدرات البنوك والمؤسسات المالية الخاضعة لرقابة وإشراف البنك المركزي على التصدي لمحاولات الهجمات الإلكترونية بحرفية وتقنية عالية، وتمكين البنوك والمؤسسات المالية من مواصلة تقديم الخدمات وتنفيذ العمليات بشكل آمن ولتحفيزهم على الاستثمار في مجال الأمن السيبراني وأمن المعلومات.
مما سبق يتضح بأن هناك جهات رقابية تصدر قوانين وتعليمات تجبر المؤسسات المالية والبنوك على اتباع أفضل الممارسات في الرقابة الداخلية وإدارة المخاطر المتعلقة بعملياتها مما ينعكس على ثقافة المؤسسة التي تُعتبر أحد الركائز الأساسية في إدارة العديد من المجالات كالإستراتيجية والابتكار والمخاطر. وهذا يتطلب وجود الهياكل والسياسات والإجراءات الصحيحة لضمان ممارسة الحوكمة الرشيدة، والتركيز على الحفاظ على أعلى مستويات السلوك الأخلاقي لخلق الثقة وتفعيل المشاركة بين المؤسسة وأصحاب المصالح.
وهنا لابد من الإشارة إلى ضرورة وجود تشريعات ملزمة للمنظمات والمؤسسات غير الخاضعة لأي جهات رقابية بتبني وتطبيق أطر ومعايير لإدارة المخاطر ومن هذه الأطر: إطار إدارة المخاطر المؤسسية (COSO ERM)، إطار أيزو (ISO 31000)، إطار كوبت (COBIT) الذي يساعد المؤسسات في تحقيق أهدافها من خلال الاستخدام الفعال والمبدع للتقنية المعلوماتية. ويسهم تبني أحد الأطر المتعلقة بإدارة المخاطر بخلق ثقافة المخاطر في المؤسسة والتي يمكن تعريفها بأنها مجموع التصورات والمواقف والسلوكيات المؤسسية تجاه المخاطر لدى العاملين فيها والتي تعود إيجاباً على حوكمة عمليات المؤسسة بما يضمن تحقيق أهدافها الإستراتيجية ورؤيتها. وتختلف ثقافة المخاطر في المؤسسة حسب طبيعة نشاطها وحجمها ودرجة إقبالها على المخاطر والضوابط الرقابية المفروضة عليها، فيمكن أن تصدر المؤسسة سياسات وإجراءات مكتوبة ومفصلة أو قد تقوم بشرحها شفهيا لموظفيها.
ونلاحظ أنه في حال عدم وجود الثقافة المناسبة لإدارة المخاطر في المؤسسة التي تدعم الإدراك الموحد للسلوك الملائم في التعامل مع المخاطر فلن تتم الاستفادة من خطط معالجة المخاطر. ومن أجل بناء وتعزيز ثقافة فعالة لإدارة المخاطر لابد من توفر عدة عوامل ترتكز بشكل أساسي على السلوك البشري، وهي:
أولا: إعداد الموظفين: لأن الثقافة تعتمد على العنصر البشري، إذ يتوجب توظيف من لديهم ميول مشابهه لميول المؤسسة في الإقبال على المخاطر.
ثانياً: الوعي: حيث يجب على الموظفين إدراك المخاطر المتعلقة بأعمالهم ومعرفة المبادئ الأساسية لإدارة المخاطر، وتقوم برامج التوعية في المخاطر بدورا هام في تحسين عامل التوعية خصوصا إذا كانت على المستوى المؤسسي.
ثالثاً: الشفافية: إذ تتم مناقشة المخاطر بصراحة وحرية في جميع الاجتماعات لإيجاد الحلول المناسبة بعيداً عن ثقافة الخوف من إظهار المخاطر المحيطة بأعمال المؤسسة.
رابعاً: المساءلة: إذ يتم تحديد الأشخاص المسؤولين عن متابعة المخاطر والضوابط الرقابية للمعنيين بمتابعتها وتحميلهم مسؤولية قراراتهم بشكل صريح وواضح دون التنصل من تحمل المسؤولية في مواجهة المعيقات والتحديات التي قد تنشأ عنها المخاطر.
خامساً: المكافآت: حيث يتم الحرص على مكافأة السلوك المرغوب في اتخاذ القرارات، وعدم التركيز حصراً على النتائج، فقط لأنه في بعض الحالات قد تكون القرارات تتضمن مخاطر عالية لا تستطيع المؤسسة تحملها في حال وقوعها ومع ذلك تحقق نتائج إيجابية.
سادساً: الاستناد على البيانات والمعلومات الدقيقة: إذ إن صناعة القرارات في المؤسسة يجب أن تبنى بشكل رئيسي على أفضل المعلومات المتاحة وبيانات ومبررات واضحة.
سابعاً: المشاركة: حيث يجب على الإدارة العليا ومجلس الإدارة المشاركة في عملية إدارة المخاطر، ويمكن تحقيق ذلك من خلال إنشاء لجان تُعنى بإدارة المخاطر كأحد أولوياتها.
إن تبني سياسة لإدارة المخاطر تحدد المسؤوليات والمنهجية المتبعة في المؤسسة من خلال تحديد وتقييم المخاطر ووضع الاستجابات المناسبة للتعامل مع المخاطر واستمرار عمليات المراقبة والمتابعة للمخاطر ونشر الوعي بأهمية إدارة المخاطر لتكون الثقافة السائدة في المؤسسة يسهم كثيرا وبشكل عميق بتحسين عمليات المؤسسة بشكل مستمر ويعزز تحقيق أهدافها الإستراتيجية بما يضمن استدامتها ويزيد ثقة المتعاملين مع المؤسسة وأصحاب العلاقة، وهنا يأتي دور الجهات الرقابية والتشريعية بوضع القوانين والتعليمات الملزمة للجهات والمؤسسات التابعة لإشرافها بتطبيق أفضل الممارسات لإدارة المخاطر وتعزيز تطبيق الحاكمية المؤسسية الرشيدة التي تتجلى بالمبادئ التالية (سيادة القانون، الشفافية، المساءلة، المشاركة، النزاهة، الإنصاف، الفاعلية، الكفاءة، الاستدامة).
وتعد الحاكمية المؤسسية متطلباً أساسياً لضمان تطور أداء المؤسسات، من خلال اتخاذ القرارات الرشيدة التي تراعي متطلبات وتوقعات جميع المعنيين والمستفيدين من خدماتها ومعاملة كافة أصحاب المصالح بعدالة وشفافية، إضافة الى انها توضح التعليمات التي تتعلق بتشكيلة مجلس الإدارة ومهامه ومسؤولياته والمكافآت المالية وإدارة المخاطر وإدارة الامتثال والافصاح والشفافية. ويكون مجلس الإدارة المسؤول عن تطبيق منظومة متكاملة من التشريعات وانظمة الرقابة الداخلية والمراقبة المباشرة لأعمال المؤسسة من خلال اللجان المنبثقة عنه ومنها لجنة المخاطر، التي ترتبط مباشرةً مع مجلس الإدارة وتعرض عليه التقارير الدورية المتعلقة بجميع سجلات المخاطر والضوابط الرقابية العاملة وكافة المستجدات من المخاطر المتوقعة والمحيطة بعمل المؤسسة، لضمان بقائها ضمن مستويات المخاطر المرغوبة لدى أصحاب المصلحة والمحددة ضمن سياسة إدارة المخاطر.
إن تطوير أنظمة عمل متكاملة وتحديد المسؤوليات وأطر العمل والالتزام بتنفيذها يضع الأسس الصحيحة للحاكمية والإدارة الرشيدة، إضافة إلى تعزيز ثقافة التميز والإبداع ونشرها على كل مستويات العمل لجعل المؤسسات في المقدمة. وتنتهج العديد من المؤسسات حديثاً ما يعرف بمصطلح (GRC) الحوكمة وإدارة المخاطر والامتثال، كاستراتيجية لإدارة أعمالها من أجل تحقيق أهدافها تحتاج إلى عملية متكاملة ومستدامة للحوكمة وإدارة المخاطر والامتثال وبما في ذلك حلول تقنية.
بقلم: يزن المجالي
محلل مخاطر المؤسسة العامة للضمان الاجتماعي
Leave A Comment