إدارة مخاطر المؤسسة[1] أو إدارة مخاطر المشروع[1] (Enterprise risk management، واختصارًا: ERM) في الأعمال التجارية هي الأساليب والعمليات التي تستخدمها المؤسسات لإدارة المخاطر واغتنام الفرص المتعلقة بتحقيق أهدافها. توفر إدارة مخاطر المؤسسات إطارًا لإدارة المخاطر، والذي يتضمن عادة تحديد أحداث أو ظروف معينة، ذات صلة بأهداف المؤسسة (المخاطر والفرص)، وتقييمها من حيث احتمال وحجم التأثير، وتحديد استراتيجية الاستجابة، وعملية المتابعة. تقوم مؤسسات الأعمال بحماية وخلق قيمة لأصحاب المصلحة، بما في ذلك الملاك والموظفين والعملاء والمنظمين والمجتمع ككل، من خلال تحديد المخاطر والفرص ومعالجتها بشكل استباقي.
يمكن وصف إدارة مخاطر المؤسسة أيضًا، كنهج قائم على المخاطر لإدارة مؤسسة ما، ودمج مفاهيم التحكم الداخلي، وقانون ساربانيس أوكسلي، وحماية البيانات، والتخطيط الاستراتيجي. تتطور إدارة مخاطر المؤسسة لتلبية احتياجات مختلف أصحاب المصلحة، الراغبين في فهم الطيف الواسع، من المخاطر التي تواجهها المؤسسات المعقدة لضمان إدارتها بشكل مناسب. زاد المنظمون ووكالات تقدير الديون، من تفحصهم في عمليات إدارة المخاطر للشركات.
الهدف من إدارة المخاطر في المؤسسة ليس خلق المزيد من البيروقراطية، وإنما تسهيل النقاش حول ماهية المخاطر الكبيرة حقا، وفقا لتوماس ستانتون من جامعة جونز هوبكنز.[2]
الأطر المحددة لإدارة مخاطر المؤسسات
هناك العديد من أطر إدارة مخاطر المؤسسات المهمة، يصف كل منها نهجا لتحديد، تحليل، متابعة، والاستجابة للمخاطر والفرص، داخل البيئة الداخلية والخارجية التي تواجه المؤسسة. تختار الإدارة استراتيجية استجابة لمخاطر محددة يجرى تحليلها، والتي قد تشمل:
- التجنب: إقصاء الأنشطة التي تؤدي إلى خطر.
- التخفيض: اتخاذ إجراءات لتقليل الاحتمالية أو التأثير المرتبط بالمخاطر.
- الإجراءات البديلة: اتخاذ القرارات، والنظر في الخطوات الملائمة الأخرى لتقليل المخاطر.
- المشاركة أو التأمين: نقل أو مشاركة حصة من المخاطر، لتمويلها.
- القبول: لا يُتخذ إجراء، تبعا لقرار التكلفة/الفائدة.
تقوم الإدارة عادة بالمتابعة، كجزء من أنشطة تحكمها الداخلي، مثل مراجعة التقارير التحليلية، أو اجتماعات لجنة الإدارة مع الخبراء المعنيين، لفهم كيفية عمل استراتيجية الاستجابة للمخاطر، وما إذا كانت تُحقق الأهداف.
هيكل الجمعية الاكتوارية للإصابات
عرّفت الجمعية الاكتوارية للإصابات (CAS)، مفهوم إدارة مخاطر المؤسسة، على أنها الانضباط الذي من خلاله، تقدّر وتحلل وتستثمر وتمول وتراقب، أي مؤسسة في أي صناعة، المخاطر، بغرض زيادة قيمة المؤسسة، قصيرة الأمد وطويلة الأمد، لأصحاب المصلحة المعنيين.[3] وضعت الجمعية الاكتوارية للإصابات تصورا، لإدارة مخاطر المؤسسات، بأنها تواصل عبر البعدين لنوع المخاطر وعمليات إدارة المخاطر.[3] تشمل أنواع المخاطر والأمثلة:[4]
خطر المجازفة
أضرار المسؤولية، وأضرار الممتلكات، والكوارث الطبيعية.
المخاطر المالية
مخاطر التسعير، ومخاطر الأصول، ومخاطر العملات، ومخاطر السيولة.
المخاطر التشغيلية
رضا العملاء، وفشل المنتج، والنزاهة، ومخاطر السمعة، والصيد الجائر الداخلي، واستنزاف المعرفة.
المخاطر الاستراتيجية
الاتجاه الاجتماعي، وتوافر رأس المال.
تتضمن عملية إدارة المخاطر ما يلي:[5]
- تحديد السياق: يتضمن ذلك فهما للظروف الحالية التي تعمل فيها المؤسسة، في سياق داخلي وخارجي، وسياق وإدارة المخاطر.
- تحديد المخاطر: يشمل ذلك توثيق التهديدات المادية، لتحقيق المؤسسة لأهدافها، وتمثيل المجالات التي قد تستغلها المنظمة لتحقيق ميزة تنافسية.
- التحليل/القياس الكمي للمخاطر: ويشمل ذلك المعايرة، وإذا أمكن، إنشاء توزيعات احتمالية للنتائج، لكل خطر مادي.
- دمج المخاطر: يشمل ذلك التجميع لجميع توزيعات المخاطر، مما يعكس الارتباطات وتأثيرات الملف، وصياغة النتائج من حيث التأثير على مقاييس الأداء الرئيسية للمؤسسة.
- تقييم/تحديد أولويات المخاطر: ويشمل ذلك تحديد مساهمة كل خطر في تجميع موجز المخاطر الكلي، وتحديد الأولويات المناسبة.
- معالجة/استغلال المخاطر: ويشمل ذلك تطوير استراتيجيات للتحكم في المخاطر المختلفة واستغلالها.
- المتابعة والمراجعة: ويشمل ذلك القياس والمتابعة المستمرة لبيئة المخاطر، وأداء استراتيجيات إدارة المخاطر.
إطار إدارة مخاطر المؤسسة للجنة منظمات الإشراف التابعة لهيئة تريد واي
نُشر «الإطار المتكامل لإدارة مخاطر المؤسسة» الخاص بلجنة منظمات الإشراف التابعة لهيئة تريد واي، في عام 2004 (لم تُذكر نسخة 2017 لإدارة مخاطر المؤسسة الخاصة بلجنة منظمات الإشراف التابعة لهيئة تريد واي، ونسخة 2004 قديمة) والذي يُعرّف إدارة مخاطر المؤسسات بأنه «عملية ينفذها، مجلس إدارة أي جهة، وإدارتها، وغيرهم من الموظفين، وتُطبَّق في وضع الاستراتيجية، وعبر المؤسسة، ومصممة لتحديد الأحداث المحتملة التي قد تؤثر على الكيان، وتدير المخاطر لتكون ضمن نطاق القدرة على تحمل المخاطر، ولتوفير تأكيد معقول فيما يتعلق بتحقيق أهداف الكيان.»[6]
يتكون إطار إدارة مخاطر المؤسسة للجنة منظمات الإشراف التابعة لهيئة تريد واي من ثمانية مكونات وأربع فئات للأهداف. إنه امتداد للإطار المتكامل للرقابة الداخلية للجنة منظمات الإشراف التابعة لهيئة تريد واي، نُشر في عام 1992، وعُدّل في عام 1994. المكونات الثمانية -المكونات الإضافية التي سُلط عليها الضوء- هي:
- السلطة والتعهد إلى إدارة مخاطر المؤسسات.
- سياسة إدارة المخاطر.
- مزيج من إي أر إم في المؤسسة.
- تقييم المخاطر.
- الاستجابة للمخاطر.
- التواصل وإعداد التقارير.
- المعلومات والاتصالات.
- المتابعة.
فئات الأهداف الأربعة -العناصر الإضافية التي سُلّط عليها الضوء- هي:
- الاستراتيجية - أهداف عالية المستوى، تتماشى مع مهمة المؤسسة وتدعمها.
- العمليات - استخدام الموارد بفعالية وكفاءة.
- إعداد التقارير المالية - الموثوقية في إعداد التقارير المالية والتشغيلية.
- الامتثال – الامتثال للوائح والقوانين المعمول بها.
أيزو 31000: المعيار الدولي الجديد لإدارة المخاطر
أيزو 31000 هو المعيار الدولي الجديد لإدارة المخاطر، نُشر بتاريخ 13 نوفمبر عام 2009. وسرعان ما تبعه المعيار المرافق أيزو 31010-لتقنيات تقييم المخاطر في 1 ديسمبر عام 2009، بالإضافة إلى دليل أيزو 73 المحدث لمفردات إدارة المخاطر.
نموذج ريمس لقياس مستوى النضج في إدارة المخاطر
نموذج ريمس لمستوى النضج في إدارة المخاطر (RMM) من أجل إدارة المخاطر في المؤسسة، المنشور في عام 2006، هو إطار شامل للمحتوى والمنهجية، يفصل متطلبات إدارة مخاطر المؤسسة المستدامة والفعالة.[7] يتكون نموذج ريمس لمستوى النضج في إدارة المخاطر من 25 عاملا للكفاءة، لسبع ميزات تُنشئ قيمة إدارة مخاطر المؤسسة وفائدتها في المؤسسة. السبع سمات هي:
- النهج القائم على إدارة مخاطر المؤسسات.
- إدارة عملية إدارة مخاطر المؤسسات.
- إدارة التهيؤ للمخاطر.
- ضبط الأسباب الجذرية.
- كشف المخاطر.
- إدارة الأداء.
- مرونة العمل والاستدامة.
طوّر الرئيس التنفيذي لشركة لوجيك مانجر، ستيفن مينسكي هذا النموذج، ونشرته جمعية إدارة المخاطر والتأمين، بالتعاون مع لجنة ريمس لإدارة مخاطر المؤسسات. يستند نموذج نضج المخاطر، إلى نموذج نضج القدرة، وهي منهجية أُسست من قبل معهد هندسة البرمجيات في جامعة كارنيجي ميلون (SEI) في ثمانينيات القرن العشرين.[8]
تنفيذ برنامج إدارة مخاطر المؤسسات
أهداف برنامج إدارة مخاطر المؤسسات
تقوم المؤسسات بطبيعتها، بإدارة المخاطر، ولديها مجموعة متنوعة من الإدارات أو الوظائف الموجودة («وظائف المخاطر») التي تحدد وتدير مخاطر معينة. وتختلف كل وظيفة خطر مع ذلك، في القدرة، وكيفية تنسيقها مع وظائف المخاطر الأخرى. يطوّر الهدف الأساسي والتحدي الذي تواجهه إدارة مخاطر المؤسسات، هذه القدرة والتنسيق، مع دمج المخرجات لتقديم صورة موحدة للمخاطر، لأصحاب المصلحة، وتحسين قدرة المؤسسة على إدارة المخاطر بشكل فعال.
مقالات ذات صلة
مراجع
- "ترجمة ومعنى enterprise risk management بالعربي. قاموس عربي انجليزي مصطلحات صفحة 1". قاموس المعاني. مؤرشف من الأصل في 09 نوفمبر 2019.
- Thomas Stanton (Feb 18, 2017). "Enterprise Risk Management". YouTube. TEDxJHUDC. مؤرشف من الأصل في 8 نوفمبر 2019.
The whole point of enterprise risk management is not to create another layer of bureaucracy, but rather to have your chief risk officer facilitate the conversations and then the discussions about priorities – what are the really big risks we’ve got to grapple with.
- Enterprise Risk Management Committee (May 2003). "Overview of Enterprise Risk Management" ( كتاب إلكتروني PDF ). Casualty Actuarial Society: 8. مؤرشف من الأصل ( كتاب إلكتروني PDF ) في 17 يوليو 201215 سبتمبر 2008.
- Enterprise Risk Management Committee (May 2003). "Overview of Enterprise Risk Management" ( كتاب إلكتروني PDF ). Casualty Actuarial Society: 9–10. مؤرشف من الأصل ( كتاب إلكتروني PDF ) في 17 يوليو 201215 سبتمبر 2008.
- Enterprise Risk Management Committee (May 2003). "Overview of Enterprise Risk Management" ( كتاب إلكتروني PDF ). Casualty Actuarial Society: 11–13. مؤرشف من الأصل ( كتاب إلكتروني PDF ) في 17 يوليو 201215 سبتمبر 2008.
- "Enterprise Risk Management — Integrated Framework: Executive Summary" ( كتاب إلكتروني PDF ). Committee of Sponsoring Organizations of the Treadway Commission. September 2004. مؤرشف من الأصل ( كتاب إلكتروني PDF ) في 3 نوفمبر 201616 سبتمبر 2008.
- [1] - تصفح: نسخة محفوظة 25 ديسمبر 2018 على موقع واي باك مشين.
- [2] - تصفح: نسخة محفوظة 25 ديسمبر 2018 على موقع واي باك مشين.