إدارة المخاطر على مستوى مجلس الإدارة

المسؤولية الحوكمية، أدوات الرقابة، والإطار الاستراتيجي للمخاطر

أولاً: مقدمة

المخاطر ليست عدواً للأعمال، بل رفيقاً دائماً لكل قرار استراتيجي. كل فرصة استثمارية، كل توسع، كل قرار تشغيلي، يحمل في طياته احتمالات نجاح وفشل. الفرق بين الشركات الناجحة والفاشلة ليس في غياب المخاطر، بل في كيفية إدارتها. الشركات الناجحة لا تتجنب المخاطر، بل تفهمها، تقيّمها، وتتخذ قرارات واعية بشأنها. مجلس الإدارة، باعتباره أعلى سلطة حوكمية، يحمل المسؤولية النهائية عن إدارة المخاطر.

في النظام السعودي، أصبحت إدارة المخاطر متطلباً تنظيمياً صريحاً، خصوصاً في القطاعات المنظمة كالبنوك والتأمين. لائحة حوكمة الشركات تتطلب من المجلس الإشراف على منظومة إدارة المخاطر، والشركات الكبيرة تشكل عادة لجنة مخاطر مستقلة. هذا التطور التنظيمي يعكس وعياً متقدماً بأهمية المخاطر في حوكمة الشركات. تستعرض هذه المقالة دور المجلس في إدارة المخاطر، أدواته، أنواع المخاطر، الشهية للمخاطر، أدوات الرقابة، والممارسات الفضلى.

ثانياً: مفهوم إدارة المخاطر

1. تعريف المخاطر

المخاطر هي احتمالية حدوث أحداث تؤثر على قدرة الشركة على تحقيق أهدافها. هذه الأحداث قد تكون:

• سلبية: أحداث تضر بالأهداف (تضرر السمعة، خسائر مالية).
• إيجابية: فرص تتجاوز التوقعات (نمو غير متوقع، فرص استثمارية).
• مادية: أحداث مرئية وقابلة للقياس.
• معنوية: أحداث تؤثر على الثقافة أو السمعة.

2. مكونات إدارة المخاطر

2.1 تحديد المخاطر

• جرد شامل للمخاطر المحتملة.
• تصنيفها حسب النوع.
• تحديثها دورياً.
• الانفتاح على مخاطر ناشئة.

2.2 تقييم المخاطر

• احتمالية الحدوث.
• شدة الأثر.
• سرعة التطور.
• ترابط المخاطر.

2.3 الاستجابة للمخاطر

• التجنب: عدم الدخول في النشاط.
• التخفيف: تقليل الاحتمال أو الأثر.
• التحويل: للتأمين أو الأطراف الأخرى.
• القبول: تحمل المخاطر بوعي.

2.4 الرقابة والمتابعة

• مؤشرات أداء للمخاطر.
• تقارير دورية.
• مراجعة الاستجابات.
• تحديث التقييمات.

ثالثاً: مسؤولية المجلس في إدارة المخاطر

1. المسؤولية النهائية

المجلس يحمل المسؤولية النهائية عن إدارة المخاطر:

• اعتماد إطار إدارة المخاطر.
• تحديد الشهية للمخاطر.
• الإشراف على التنفيذ.
• الحصول على تقارير دورية.
• التدخل عند الحاجة.

2. الفرق بين دور المجلس ودور الإدارة

3. ميثاق المجلس وإدارة المخاطر

ميثاق المجلس يجب أن يحدد بوضوح:

• مسؤولية المجلس عن إدارة المخاطر.
• وجود لجنة مخاطر (في الشركات الكبيرة).
• الاتصال بإدارة المخاطر التنفيذية.
• الاستعانة بخبراء خارجيين عند الحاجة.
• تواتر التقارير.

رابعاً: لجنة المخاطر

1. متى تُشكل

لجنة المخاطر إلزامية في:

• البنوك وشركات التأمين.
• الشركات الكبيرة المدرجة.
• الشركات في قطاعات منظمة.

في الشركات الأخرى، قد تكون اختيارية أو تدمج مع لجنة المراجعة.

2. تكوين اللجنة

• أعضاء غير تنفيذيين فقط.
• أغلبية مستقلة.
• رئيس مستقل.
• خبير في إدارة المخاطر.
• 3-5 أعضاء عادة.

3. مهام اللجنة

• اقتراح إطار إدارة المخاطر.
• اقتراح الشهية للمخاطر.
• مراجعة سجل المخاطر الرئيسية.
• الإشراف على وظيفة إدارة المخاطر.
• التقارير للمجلس.
• التواصل مع المراجع الخارجي والداخلي.

4. التنسيق مع لجان أخرى

• لجنة المراجعة: في المخاطر المالية.
• لجنة الحوكمة: في المخاطر التنظيمية.
• لجنة الترشيحات: في مخاطر الموارد البشرية.
• المجلس ككل: في المخاطر الاستراتيجية الكبرى.

خامساً: أنواع المخاطر

1. المخاطر الاستراتيجية

مخاطر تؤثر على تحقيق الأهداف الاستراتيجية:

• الاستراتيجية الخاطئة.
• التحديات التنافسية.
• تغير ظروف السوق.
• التحول التقني.
• التحول الاجتماعي والديموغرافي.

2. المخاطر المالية

2.1 مخاطر السوق

• تقلبات أسعار الفائدة.
• تقلبات أسعار الصرف.
• تقلبات أسعار السلع.
• تقلبات أسعار الأسهم.

2.2 مخاطر الائتمان

• تعثر العملاء في السداد.
• تركز الائتمان.
• ضعف ضمانات.
• تدهور الجدارة الائتمانية للأطراف.

2.3 مخاطر السيولة

• نقص النقد لتمويل العمليات.
• عدم القدرة على الوفاء بالالتزامات.
• ضعف وصول للتمويل.
• تركز مصادر التمويل.

3. المخاطر التشغيلية

مخاطر من الإجراءات والأنظمة:

• أخطاء بشرية.
• فشل الأنظمة.
• احتيال داخلي وخارجي.
• انقطاع الأعمال.
• سلاسل الإمداد.
• الكوارث الطبيعية.

4. مخاطر الالتزام والامتثال

• مخالفة الأنظمة والقوانين.
• الغرامات والعقوبات.
• التقاضي.
• سحب التراخيص.

5. مخاطر السمعة

• التغطية الإعلامية السلبية.
• فقدان ثقة العملاء.
• الحوادث الكبرى.
• تصريحات قياديين غير مناسبة.
• الأخطاء المتراكمة.

6. المخاطر السيبرانية

• اختراق الأنظمة.
• سرقة البيانات.
• هجمات الفدية.
• الهندسة الاجتماعية.
• تسرب المعلومات الحساسة.

7. المخاطر الناشئة

7.1 المخاطر البيئية والمناخية

• التغير المناخي.
• الأحداث الجوية المتطرفة.
• التشريعات البيئية.
• ضغوط المستثمرين على ESG.

7.2 المخاطر الجيوسياسية

• التوترات الإقليمية.
• العقوبات.
• تغير السياسات الحكومية.
• الحروب التجارية.

7.3 المخاطر التقنية الناشئة

• الذكاء الاصطناعي.
• العملات الرقمية.
• الحوسبة الكمية.
• التقنيات الناشئة الأخرى.

سادساً: الشهية للمخاطر

1. تعريف الشهية للمخاطر

الشهية للمخاطر (Risk Appetite) هي القدر من المخاطر الذي تكون الشركة مستعدة لقبوله في سعيها لتحقيق أهدافها. هي وثيقة استراتيجية تحدد:

• أنواع المخاطر المقبولة.
• مستويات المخاطر المقبولة.
• المخاطر غير المقبولة.
• المرونة في تحمل المخاطر.

2. مكونات بيان الشهية

2.1 المبادئ العامة

• التماشي مع الاستراتيجية.
• القيم الأساسية للشركة.
• توقعات المساهمين.
• الالتزامات التنظيمية.

2.2 الحدود الكمية

• حد أقصى للخسائر السنوية.
• حد أقصى لتقلبات الأرباح.
• نسب رأس المال.
• حدود التركز.
• معدلات السيولة.

2.3 الحدود النوعية

• لا قبول لأي مخالفة قانونية.
• لا قبول لأي ضرر بالسمعة الجوهرية.
• لا قبول للمخاطر السيبرانية الجوهرية.
• التزام بمعايير ESG.

3. تحديد الشهية

تحديد الشهية مسؤولية المجلس بدعم من الإدارة:

• الإدارة تقترح بناءً على دراسات.
• لجنة المخاطر تراجع.
• المجلس يناقش ويعتمد.
• مراجعة سنوية أو عند التغيرات الكبرى.

4. تطبيق الشهية

• توزيع الحدود على الإدارات.
• مراقبة التزام كل إدارة.
• تقارير الانحرافات.
• إجراءات تصحيحية.
• ربط بالمكافآت.

سابعاً: إطار إدارة المخاطر المؤسسي (ERM)

1. مفهوم ERM

إدارة المخاطر المؤسسية (Enterprise Risk Management) هي منهج شامل لإدارة كل أنواع المخاطر بشكل متكامل، وليس بمعزل عن بعضها. مميزاته:

• نظرة شمولية لكل المخاطر.
• ربط المخاطر بالاستراتيجية.
• استخدام أدوات موحدة.
• مساءلة واضحة.
• ثقافة المخاطر في كل الشركة.

2. معايير ERM

2.1 COSO ERM Framework

الإطار الأكثر شيوعاً عالمياً، يتضمن:

• الحوكمة والثقافة.
• الاستراتيجية ووضع الأهداف.
• الأداء.
• المراجعة والتعديل.
• المعلومات والاتصال والإبلاغ.

2.2 ISO 31000

معيار دولي لإدارة المخاطر، يقدم:

• مبادئ إدارة المخاطر.
• إطار العمل.
• العملية.
• قابل للتطبيق على كل المؤسسات.

3. الخطوط الثلاثة للدفاع

نموذج راسخ في إدارة المخاطر:

4. الأدوار المتمايزة

4.1 الخط الأول

• الإدارات التشغيلية تواجه المخاطر يومياً.
• تطبق الضوابط الأساسية.
• تتعرف على المخاطر الناشئة.
• تبلغ إدارة المخاطر.

4.2 الخط الثاني

• إدارة المخاطر تطور المنهجيات.
• الامتثال يراقب الالتزام التنظيمي.
• مدير المخاطر يقدم تقارير للمجلس.
• توجيه الإدارات التشغيلية.

4.3 الخط الثالث

• المراجعة الداخلية تقيّم فعالية النظام.
• تقدم تأكيداً مستقلاً للمجلس.
• تقارير منفصلة للجنة المراجعة.
• استقلالية تامة عن الإدارة.

ثامناً: أدوات الرقابة

1. سجل المخاطر (Risk Register)

الأداة الأساسية في إدارة المخاطر:

• قائمة شاملة لكل المخاطر المحددة.
• تقييم لكل خطر (احتمال وأثر).
• الاستجابة لكل خطر.
• المسؤول عن كل خطر.
• المؤشرات والحدود.
• تحديث دوري.

2. خريطة المخاطر (Risk Map)

عرض بصري للمخاطر على محورين:

• احتمالية الحدوث.
• شدة الأثر.
• ألوان مختلفة للمستويات.
• سهلة الفهم للمجلس.
• تظهر الأولويات.

3. مؤشرات المخاطر الرئيسية (KRIs)

مؤشرات تنبيه مبكر، تشمل:

• مؤشرات مالية: نسب السيولة، الديون، الربحية.
• مؤشرات تشغيلية: معدل العيوب، التأخير، الحوادث.
• مؤشرات السوق: تقلبات أسعار، حصة سوقية.
• مؤشرات تقنية: محاولات الاختراق، فترات التوقف.
• مؤشرات السمعة: التغطية الإعلامية، رضا العملاء.

4. اختبارات التحمل (Stress Tests)

تطبيق سيناريوهات سلبية لاختبار قدرة الشركة:

• سيناريوهات اقتصادية متشائمة.
• صدمات سوقية مفاجئة.
• فشل أنظمة جوهرية.
• أزمات سمعة كبرى.
• الكوارث الطبيعية.

5. تحليل السيناريوهات

• سيناريوهات متعددة (متفائل، أساسي، متشائم).
• تقدير الأثر في كل سيناريو.
• التخطيط للاستجابة.
• تحديث دوري.

6. خطط الاستجابة للأزمات

• خطط محددة لكل نوع من الأزمات.
• فريق إدارة الأزمات.
• بروتوكولات التواصل.
• اختبار دوري.
• تحديث بناءً على الدروس المستفادة.

تاسعاً: ثقافة المخاطر

1. أهمية الثقافة

أفضل الأنظمة لا تنجح في ثقافة لا تدعمها. ثقافة المخاطر:

• الوعي بأهمية المخاطر.
• الاستعداد للإبلاغ.
• التحلي بالشفافية.
• التعلم من الأخطاء.
• احترام الضوابط.

2. بناء الثقافة

2.1 من القمة

• التزام مرئي من المجلس والإدارة.
• القدوة في التعامل مع المخاطر.
• الخطاب المستمر عن الأهمية.
• تخصيص موارد كافية.

2.2 في كل المستويات

• تدريب لكل الموظفين.
• ربط المخاطر بالمسؤوليات.
• تشجيع الإبلاغ.
• حماية المُبلغين.

2.3 في الأنظمة

• ربط المكافآت بإدارة المخاطر.
• تقييم الأداء يشمل المخاطر.
• الترقيات تأخذ المخاطر في الاعتبار.
• عقوبات للمتجاوزين.

عاشراً: تقارير المخاطر للمجلس

1. التقارير الدورية

1.1 التقرير الفصلي

• ملخص حالة المخاطر.
• تطور المؤشرات.
• الانحرافات عن الشهية.
• المخاطر الناشئة.
• الإجراءات المتخذة.

1.2 التقرير السنوي

• تحليل شامل لكل المخاطر.
• تطور الإطار.
• مراجعة الشهية.
• اختبارات التحمل.
• الأولويات للسنة القادمة.

2. التقارير الاستثنائية

• الأحداث الجوهرية فور حدوثها.
• تجاوزات الحدود.
• الأزمات.
• النتائج السلبية لاختبارات التحمل.

3. الإفصاح للمساهمين

في التقرير السنوي، الإفصاح عن:

• منهجية إدارة المخاطر.
• المخاطر الرئيسية.
• الإجراءات المتخذة.
• اختبارات التحمل (في القطاعات المنظمة).
• هيكل الحوكمة.

أحد عشر: التحديات الشائعة

1. التحدي الثقافي

صعوبة بناء ثقافة المخاطر:

• مقاومة الموظفين.
• اعتبار إدارة المخاطر عبئاً.
• التركيز على النمو على حساب المخاطر.
• ضعف الإبلاغ من الخطوط الأولى.

2. التحدي المعرفي

صعوبة فهم المجلس لتعقيدات المخاطر:

• الحاجة لأعضاء متخصصين.
• التدريب المنتظم.
• تبسيط التقارير دون فقدان العمق.
• الاستعانة بخبراء خارجيين.

3. التحدي التقني

التقنية تخلق مخاطر جديدة بسرعة:

• صعوبة مواكبة التطور.
• نقص الكوادر المتخصصة.
• تكلفة الحلول التقنية.
• التوازن بين السرعة والأمان.

4. تحدي التوازن

التوازن بين المخاطر والفرص:

• لا إفراط في تجنب المخاطر (يضعف النمو).
• لا تفريط في قبول المخاطر (يهدد الاستدامة).
• الموازنة في كل قرار.
• الحوار الدائم في المجلس.

ثاني عشر: أفضل الممارسات

1. على المستوى الحوكمي

• لجنة مخاطر مستقلة: في الشركات الكبيرة.
• ميثاق واضح: للمجلس واللجنة.
• شهية موثقة: للمخاطر.
• تقارير منتظمة: ربعية وسنوية.
• استعراض سنوي: للإطار.

2. على المستوى التشغيلي

• إطار ERM متكامل: وفق COSO أو ISO.
• سجل مخاطر محدث: باستمرار.
• مؤشرات تنبيه: لكل خطر رئيسي.
• خطط استجابة: للأزمات.
• اختبارات تحمل: دورية.

3. على المستوى الثقافي

• التزام من القمة: ظاهر ومستمر.
• تدريب شامل: لكل المستويات.
• تشجيع الإبلاغ: مع حماية المبلغين.
• ربط بالمكافآت: وتقييم الأداء.
• تعلم من الأخطاء: دون اتهامات.

4. على مستوى الإفصاح

• شفافية للمساهمين: في التقرير السنوي.
• تحديثات فورية: للأحداث الجوهرية.
• اتصال مع الجهات التنظيمية: في القطاعات المنظمة.
• التواصل مع المراجع الخارجي: بشفافية.

الخاتمة

إدارة المخاطر على مستوى المجلس ليست وظيفة إضافية، بل ركن من أركان الحوكمة الرشيدة. مجلس لا يفهم منظومة مخاطر شركته هو مجلس يقود في الظلام. مجلس يفهم المخاطر، يحدد الشهية لها، يشرف على إدارتها، ويتدخل عند الحاجة، هو مجلس يحمي شركته ومساهميها بفعالية. هذه المسؤولية ثقيلة، لكنها أساسية.

الشركات السعودية اليوم، في ظل تطور الإطار التنظيمي والتحديات المتسارعة، أمام ضرورة لا اختيار في تطوير منظومتها لإدارة المخاطر. الاستثمار في لجنة مخاطر مستقلة، إطار ERM متكامل، أنظمة معلوماتية متقدمة، وثقافة مخاطر راسخة، استثمار يدفع ثماره في حماية الشركة من الأزمات وتمكينها من اقتناص الفرص. مجلس يدير المخاطر بحكمة هو مجلس يبني شركة قادرة على البقاء والازدهار في عالم لا يتوقف عن التحول.

المراجع والمصادر

• نظام الشركات السعودي (المرسوم الملكي رقم م/132).
• لائحة حوكمة الشركات الصادرة عن هيئة السوق المالية.
• لوائح البنك المركزي السعودي (ساما) لإدارة المخاطر.
• COSO Enterprise Risk Management Framework.
• ISO 31000 — Risk Management Guidelines.
• Basel III — Banking Risk Management.
• ICGN Global Governance Principles — Risk Oversight.
• OECD Principles — Board Role in Risk Management.
• Three Lines of Defense Model — Institute of Internal Auditors.
• Deloitte / PwC / KPMG — Risk Management Reports.