مقدمة
بشكل عام إدارة المخاطر هي عملية قياس و تقييم للمخاطر و تطوير إستراتيجيات لإدارتها . تتضمن هذه الإستراتيجيات نقل المخاطر إلى جهة أخرى و تجنبها و تقليل آثارها السلبية و قبول بعض أو كل تبعاتها . إن إدارة المخاطر التقليدية تركز على المخاطر الناتجة عن أسباب مادية أو قانونية ( مثال : الكوارث الطبيعية أو الحرائق , الحوادث , الموت و الدعاوى القضائية ) ومن جهة أخرى فإن إدارة المخاطر المالية تركز على تلك المخاطر التي يمكن إدارتها باستخدام أدوات المقايضة المالية . بغض النظر عن نوع إدارة المخاطر , فإن جميع الشركات الكبرى و كذلك المجموعات و الشركات الصغرى لديها فريق مختص بإدارة المخاطر .
في حالة إدارة المخاطر المثالية , تتبع عملية إعطاء الأولويات , بحيث أن المخاطر ذات الخسائر الكبيرة واحتمالية حدوث عالية تعالج أولاً بينما المخاطر ذات الخسائر الأقل واحتمالية حدوث أقل تعالج فيما بعد . عملياً قد تكون هذه العملية صعبة جداً , كما أن الموازنة ما بين المخاطر ذات الاحتمالية العالية والخسائر القليلة مقابل المخاطر ذات الاحتمالية القليلة والخسائر العالية قد يتم تقديرها بشكل سيء .
إدارة المخاطر غير الملموسة تعرف نوع جديد من المخاطر وهي تلك التي تكون احتمالية حدوثها 100% ولكن يتم تجاهلها من قبل المؤسسة و ذلك بسبب الافتقار لمقدرة التعرف عليها . ومثال على ذلك , مخاطر المعرفة والتي تحدث عند تطبيق معرفة ناقصة . وكذلك مخاطر العلاقات وتحدث عند وجود تعاون غير فعال . إن هذه المخاطر جميعها تقلل بشكل مباشر إنتاجية العاملين في المعرفة وتقلل فعالية الإنفاق والربح والخدمة والنوعية والسمعة ونوعية المكاسب .
كذلك تواجه إدارة المخاطر صعوبات في تخصيص وتوزيع المصادر وهذا يوضح فكرة تكلفة الفرصة حيث أن بعض المصادر التي تنفق على إدارة المخاطر كان من الممكن أن تستغل في نشاطات أكثر ربحاً ومرة أخرى فإن عملية إدارة المخاطر المثالية تقلل الإنفاق في الوقت الذي تقلل فيه النتائج السلبية للمخاطر إلى أقصى حد ممكن .
خطوات عملية إدارة المخاطر
I- التحضير :
ويتضمن التخطيط للعملية ورسم خريطة نطاق العمل والأساس الذي سيعتمد في تقييم المخاطر وكذلك تعريف إطار للعملية و أجندة للتحليل .
II- تحديد المخاطر :
في هذه المرحلة يتم التعرف على المخاطر ذات الأهمية . المخاطر هي عبارة عن أحداث عند حصولها تؤدي إلى مشاكل وعليه يمكن أن يبدأ التعرف إلى المخاطر من مصدر المشاكل أو المشكلة بحد ذاتها .
عندما تعرف المشكلة أو مصدرها فإن الحوادث التي تنتج عن هذا المصدر أو تلك التي قد تقود إلى مشكلة يمكن البحث فيها .
الطرق الشائعة للتعرف على المخاطر هي :
- التحديد المعتمد على الأهداف : إن المنظمات والفرق العاملة على مشروع ما جميعها لديها أهداف , فأي حدث يعرض تحقيق هذه الأهداف إلى خطر سواء جزئياً أو كلياً يعتبر خطورة .
- التحديد المعتمد على السيناريو : في عملية تحليل السيناريو يتم خلق سيناريوهات مختلفة قد تكون طرق بديلة لتحقيق هدف ما أو تحليل للتفاعل بين القوى في سوق أو معركة , لذا فإن أي حدث يولد سيناريو مختلف عن الذي تم تصوره وغير مرغوب به , يعرف على أنه خطورة .
- التحديد المعتمد على التصنيف : و هو عبارة عن تفصيل جميع المصادر المحتملة للمخاطر .
- مراجعة المخاطر الشائعة : في العديد من المؤسسات هناك قوائم بالمخاطر المحتملة .
III- التقييم :
بعد التعرف على المخاطر المحتملة يجب أن تجري عملية تقييم لها من حيث شدتها في إحداث الخسائر واحتمالية حدوثها . أحياناً يكون من السهل قياس هذه الكميات وأحياناً أخرى يتعذر قياسها .
صعوبة تقييم المخاطر تكمن في تحديد معدل حدوثها حيث أن المعلومات الإحصائية عن الحوادث السابقة ليست دائما متوفرة . و كذلك فإن تقييم شدة النتائج عادة ما يكون صعب في حالة الموجودات غير المادية .
IV- التعامل مع المخاطر :
بعد أن تتم عملية التعرف على المخاطر وتقييمها فإن جميع التقنيات المستخدمة للتعامل معها تقع ضمن واحدة أو أكثر من أربع مجموعات رئيسية :
- النقل : وهي وسائل تساعد على قبول الخطر من قبل طرف آخر وعادة ما تكون عن طريق العقود أو الوقاية المالية . التأمين هو مثال على نقل الخطر عن طريق العقود . وقد يتضمن العقد صيغة تضمن نقل الخطر إلى جهة أخرى دون الالتزام بدفع أقساط التأمين .
- التجنب: وتعني محاولة تجنب النشاطات التي تؤدي إلى حدوث خطر ما . و مثال على ذلك عدم شراء ملكية ما أو الدخول في عمل ما لتجنب تحمل المسؤولية القانونية . إن التجنب يبدو حلاً لجميع المخاطر ولكنه في الوقت ذاته قد يؤدي إلى الحرمان من الفوائد والأرباح التي كان من الممكن الحصول عليها من النشاط الذي تم تجنبه .
- التقليص : وتشمل طرق للتقليل من حدة الخسائر الناتجة . ومثال على ذلك شركات تطوير البرمجيات التي تتبع منهجيات للتقليل من المخاطر وذلك عن طريق تطوير البرامج بشكل تدريجي .
- القبول (الاحتجاز): وتعني قبول الخسائر عند حدوثها . إن هذه الطريقة تعتبر إستراتيجية مقبولة في حالة المخاطر الصغيرة والتي تكون فيها تكلفة التأمين ضد الخطر على مدى الزمن أكبر من إجمالي الخسائر . كل المخاطر التي لا يمكن تجنبها أو نقلها يجب القبول بها . وتعد الحرب أفضل مثال على ذلك حيث لا بمكن التأمين على الممتلكات ضد الحرب .
V- وضع الخطة :
وتتضمن أخذ قرارات تتعلق باختيار مجموعة الطرق التي ستتبع للتعامل مع المخاطر, وكل قرار يجب أن يسجل ويوافق عليه من قبل المستوى الإداري المناسب . يجب أن يتخذ القرار من قبل الإدارة العليا أما في حالة القرارات المتعلقة بنظام المعلومات على سبيل المثال فإن مسؤولية القرار تعود إلى مدير تكنولوجيا المعلومات .
على الخطة أن تقترح وسائل تحكم أمنية تكون منطقية وقابلة للتطبيق من اجل إدارة المخاطر. وكمثال على ذلك يمكن تخفيف مخاطر الفيروسات التي تتعرض لها الكمبيوترات من خلال استخدام برامج مضادة للفيروسات .
VI- التنفيذ :
ويتم في هذه المرحلة إتباع الطرق المخطط أن تستخدم في التخفيف من أثار المخاطر. يجب استخدام التأمين في حالة المخاطر التي يمكن نقلها إلى شركة تأمين . وكذلك يتم تجنب المخاطر التي يمكن تجنبها دون التضحية بأهداف المؤسسة كما ويتم التقليل من المخاطر الأخرى والباقي يتم الاحتفاظ به .
VII- مراجعة و تقييم الخطة :
تعد الخطط المبدئية لإدارة المخاطر ليست كاملة فمن خلال الممارسة والخبرة والخسائر التي تظهر على أرض الواقع تظهر الحاجة إلى إحداث تعديلات على الخطط واستخدام المعرفة المتوفرة لاتخاذ قرارات مختلفة .
يجب تحديث نتائج عملية تحليل المخاطر وكذلك خطط إدارتها بشكل دوري , وذلك يعود للأسباب التالية:
- من اجل تقييم وسائل التحكم الأمنية المستخدمة سابقاً إذا ما زالت قابلة للتطبيق وفعالة .
- من اجل تقييم مستوى التغييرات المحتملة للمخاطر في بيئة العمل , فمثلاً تعتبر المخاطر المعلوماتية مثالاً جيدا على بيئة عمل سريعة التغيير .
IIX- المحددات (المعوقات)
إذا تم تقييم المخاطر أو ترتيبها حسب الأولوية بشكل غير مناسب فإن ذلك قد يؤدي إلى تضييع الوقت في التعامل مع المخاطر ذات الخسائر التي من غير المحتمل أن تحدث . وكذلك تمضية وقت طويل في تقييم وإدارة مخاطر غير محتملة يؤدي إلى تشتيت المصادر التي كان من الممكن أن تستغل بشكل مربح أكثر .
إعطاء عمليات إدارة المخاطر أولوية عالية جداً يؤدي إلى إعاقة عمل المؤسسة في إكمال مشاريعها أو حتى المباشرة فيها .
ومن المهم أيضاً الأخذ بعين الاعتبار حسن التمييز بين الخطورة والشك .
- مجالات تطبيق إدارة المخاطر
عندما تطبق إدارة المخاطر في الأمور المالية للسلطة فإنها تعتبر تقنية لقياس ومراقبة والتحكم في المخاطر المالية والتشغيلية كما تظهر في إعداد موازنة المؤسسة .
- إدارة المخاطر على مستوى مؤسسي :
تعرف إدارة المخاطر في هذا المجال على أنها حدث أو ظرف محتمل يمكن أن يكون له تأثيرات سلبية على المؤسسة المعنية من حيث وجودها ، مصادرها (سواء موظفين أو رأس مال) , المنتجات أو الخدمات أو الزبائن , كما و قد يكون هناك تأثير على المجتمع والبيئة المحيطة .
وكذلك لكل خطر محتمل يمكن أن يكون هناك خطة مصاغة مسبقاً للتعامل مع نتائجه الممكنة (وذلك لتأكيد حالة الطوارئ في حال أصبح الخطر مسؤولية قانونية) .
- نشاطات إدارة المخاطر كما تطبق على إدارة المشاريع :
في حالة إدارة المشاريع , فإن إدارة المخاطر تتضمن النشاطات التالية :
- التخطيط لكيفية استخدام إدارة المخاطر في المشروع المعني . يجب أن تتضمن الخطة المهمات والمسؤوليات و النشاطات و كذلك الميزانية .
- تعيين مدير المخاطر : وهو شخص يختلف عن مدير المشروع مهمته التنبؤ بالمشاكل التي يمكن أن تواجه المشروع ، أهم صفاته يجب أن تكون التنبؤ والتشكيك الصحيح .
- الاحتفاظ بقاعدة بيانات للمخاطر التي يواجها المشروع أول بأول . وهذه البيانات تشمل : تاريخ البداية العنوان , وصف مختصر, الاحتمالية وأخيراً الأهمية .
- إيجاد قناة لإرسال التقارير يمكن من خلالها لأعضاء الفريق العاملين في إدارة المخاطر إرسال تقارير تتضمن تنبؤاتهم بأي مخاطر محتملة .
- إعداد خطط للتخفيف من حدة المخاطر التي اختيرت لتعالج بهذه الطريقة . الهدف من هذه الخطط هو وصف كيفية التعامل مع هذه المخاطر و تحديد ماذا ومتى وبمن وكيف سيتم تجنب أو تقليص نتائجها في حال أصبحت مسؤولية قانونية .
- إعداد ملخص عن المخاطر التي تمت مواجهتها وتلك المخطط لمواجهتها وفعالية نشاطات التخفيف والجهد المبذول في إدارة المخاطر .
- إدارة المخاطر و استمرارية العمل
إن إدارة المخاطر ما هي إلا ممارسة لعملية اختيار نظامية لطرق ذات تكلفة فعالة من أجل التقليل من أثر تهديد معين على المنظمة أو المؤسسة . كل المخاطر لا يمكن تجنبها أو تقليص حدتها بشكل كامل وذلك ببساطة يعود لوجود عوائق عملية ومالية . لذلك على كل المؤسسات أن تتقبل مستوى معين من الخسائر (مخاطر متبقية) .
بينما تستخدم إدارة المخاطر لتفادي الخسائر قدر الإمكان فإن التخطيط لاستمرارية العمل وجدت لتعالج نتائج ما يتبقى من مخاطر . وتكمن أهميتها في أن بعض الحوادث التي ليس من المحتمل أن تحدث قد تحدث فعلاً إن كان هناك وقت كاف لحدوثها . إن إدارة المخاطر والتخطيط لاستمرارية العمل هما عمليتين مربوطتين مع بعضيهما ولا يجوز فصليهما . فعملية إدارة المخاطر توفر الكثير من المدخلات لعملية التخطيط لاستمرارية العمل مثل : (الموجودات , تقييم الأثر , التكلفة المقدرة...الخ) وعليه فإن إدارة المخاطر تغطي مساحات واسعة مهمة لعملية التخطيط لاستمرارية العمل والتي تذهب في معالجتها للمخاطر أبعد من عملية إدارة المخاطر .
ونختم هذا الجزء بالتنويه أن المخاطر قد تكون أيضاً داخلية بالنسبة للمؤسسات وليس فقط خارجية وهنا يختلف التعامل معها وطرق معالجتها .
يشمل مفهوم إدارة المخاطر في المؤسسة المواضيع التالية : - عدم استثمار الكوادر وتركها فريسة لليأس والضجر - الإصابة الشخصية ، إصابة البيئة ، هدم الممتلكات ، استحقاق الديون ، النشاطات الإجرامية والخسائر المترتبة عنها بما في ذلك الشهرة . إن إدارة الموارد البشرية وإدارة المخاطر تشمل المخاطرة التي قد يسببها الفرد في المؤسسة . ومن الأمثلة على هذه المخاطر : الاحتيال ، السرقات ، الانشقاق ، بيع المعلومات ، الإهمال ، الرشوة ، .. الخ. ويعتبر بحث مثل هذه الأمور بوضوح في العديد من المنظمات من المحرمات ولا يرغب احد في الحديث عن ذلك حتى لو كان الأمر حقيقة واضحة ومعروفة . ولا يسمح بالحديث عن ذلك لأنه قد ينعكس سلباً على الإدارة أو يمكن أن يبرهن على عدم وجود نظام في المؤسسة . ومن المعلوم بأن النشاطات الإجرامية في بعض المؤسسات قد تسبب خسائر فادحة . ويتم التستر على هذه الأحداث في معظم الحالات بحيث أن قلة من الناس تعرف ما حدث . وهذا النوع من التستر لا يساعد المؤسسة في التغلب على المصاعب وإنما لابد من اتخاذ مجموعة من الخطوات والإجراءات اللازمة لمواجهة مثل هذه المخاطر وتلافي تأثيرها السيئ على المؤسسة .