د. سامر الدقاق
هيمن المخاطر المرتبطة بالمعالجة الإلكترونية للبيانات على المخاطر التشغيلية للشركات في أيامنا هذه. فإضافةً إلى أهمية تجنّب مخاطر التشغيل، من شأن الإنجاز الناجح للمشاريع المعلوماتية أن يؤثر , و على نحوٍ استراتيجي في الشركات و قدراتها التنافسية.
ويمكن للمخاطر التشغيلية الناتجة عن المشاريع المعلوماتية أن تضعف و تنحسر في ظل إدارة فعّالة للمخاطر. من هنا كانت ضرورة إدخال مجال المعلوماتية بفاعلية في إدارة مخاطر المشاريع.
فرضت الحكومة الألمانية منذ الأول من أيار عام 1998 قانوناً يلزم الشركات العامة الألمانية المحدودة باعتماد منظومة مراقبة تمكنها مُقدَّماً من وضع تصوّر للتطورات التي يمكن أن تؤثر في استمراريتها, مما دعا المشرِّعين الألمان في البداية إلى مطالبة كل الشركات علناً بتسجيل كل مخاطر الأعمال و إدارة المخاوف و التهديدات التي جرى تعريفها و تحديدها.
مع ازدياد الاعتماد على المعلوماتية و لجوء الشركات بقوة إلى المعالجة الإلكترونية للبيانات، أصبحت المخاطر التقانية (التكنولوجية) (بوصفها جزءاً من المخاطر التشغيلية) هي الغالبة في بيئة الأعمال. لذلك عُدَّت التقانة (أي العتاد الصلب، العتاد المرن، حماية المنظومة) إحدى الشرائح الأربعة التي طوّرها فريق عمل ألماني, بوصفها مقترحاً لتصنيف المخاطر التشغيلية في إطار المرحلة الاستشارية Basel II . يضم التصنيف المقترح للمخاطر التشغيلية أيضاً شريحة مخاطر تشغيلية "إدارة مشاريع و عمليات". أدَّت هذه الشريحة من المخاطر دوراً صغيراً في عدة شركات، ثم إن إنجاز المشاريع ترافق دائماً مع مخاطر أعمال Business Risk .
Basel II و المخاطر التشغيلي
في 16 كانون الثاني عام 2001 نشرت لجنة Baselللإشراف على المصارِف ورقة ثانية حول الاتفاق الجديد لرأس المال Basel أو New Basel Capital Accord(Basel II). تضمن التشريع الجديد بخصوص رأس المال المتوازن , و الذي أصبح نافذ المفعول عام 2005، أساليب لقياس المُخاطرات التشغيلية. عُرِّفت المَخاطر التشغيلية في أوراق Basel بأنها : "مخاطر الضياعات الناجمة عن عمليات أفراد و منظومات داخلية مُخفقة, أو غير مناسبة أو عن ظروف خارجية. سبب إدخال المخاطر التشغيلية في Basel II هو الأهمية المتزايدة لهذه المخاطر. أظهر مسح بياني أجراه مصرف إنكلترا Bank of England لكشف الأسباب الأساسية للمشكلات التي تعاني منها المصارف، أن المنظومات و أنظمة الضبط غير المناسبة تأتي في المقام الأول من هذه الأسباب, لاسيما المشاريع المعلوماتية التي تنطوي على مخاطر تشغيلية داخلية، سواء خلال المشاريع نفسها ( مثلاً بسبب تخصيص موارد غير كافية) أو بعد انتهاء المشاريع (مثلاً بسبب تصميم غير كاف للمنظومة).
لقد تبين أن الشركات الأميركية تستثمر 250 بليون دولار في مشاريع معلوماتية كل عام. إذ إن التغيرات التقانية و التنافسية المتزايدة تتطلب تغييرات مستمرة لمنظومات المعلوماتية و الاتصالات الموجودة. بوضوح أكثر، لابد لشركة ناجحة من أن تكون قادرة على إنجاز مشاريع بطريقة مهنية للوصول إلى منتجات وخدمات عالية الجودة، و في الوقت المطلوب.
من البديهي استنتاج ضرورة اعتبار إدارة المخاطر في مشاريع المعلوماتية، وذلك اعتماداً على نتائج العديد من المسوح البيانية التي تظهر عدداً كبيراً من المشاريع التي انحرفت عن أهدافها , أو التي أُنجزت بعد تجاوز واضح لقيودها الزمنية و المالية. بيَّن مسح بياني أجرته مؤسسة KPMG حول المشاريع المُخفقة في المعلوماتية، أن 45% من المشاريع المعلوماتية التي رُصدت لم تتمكن من الوصول إلى الفائدة المرجوة منها. و أن 87% من هذه المشاريع تجاوزت الإطار الزمني المخطط لها، و تجاوز 56% منها الموازنة المالية المخطط لها بأكثر من 30% من الموازنة الأصلية.
مع إدخال إدارة متمرّسة للمخاطر يمكن بفاعلية تحاشي حدوث إخفاقات للمشروع.
عملية إدارة المخاطر للمشاريع المعلوماتية Risk Management Process for IT Projects
لتحديد مخاطر مشروع معلوماتي في الوقت المناسب، يجدر تطبيق إدارة منتظمة لمخاطر المشاريع يتزامن مع تدشين و افتتاح المشروع (انظر الشكل 1) يمكن تقسيم عملية إدارة المخاطر إلى المراحل التالية :
- تقييم مخاطر المشروع.
- تقييم ضوابط المشروع.
- تحليل المخاطر المتبقية في المشروع.
- تقييم و تطبيق الإجراءات.
- مراقبة مستمرة لمخاطر المشروع و الضوابط و الإجراءات.
الشكل (1) – مراحل عملية إدارة المخاطر
تقييم مخاطر المشروع
العامل الحاسم لإدارة فعّالة للمخاطر في مشاريع معلوماتية هو التحديد المنتظم للمخاطر الداخلية للمشروع , و تقييم الضوابط القائمة للمشروع. مخاطر المشروع هي مخاوف أو تهديدات كامنة لنجاح المشروع. المخاطر الداخلية هي المخاوف التي توجد أساساً ضمن عملية ما, أي قبل تطبيق الضوابط. هذه المخاطر الداخلية تتبع –فيما تتبع- طبيعةَ المشروع، و مجالَ الأعمال و التقانة المستخدمة.
يجب أن يستند التحديد المنتظم للمخاطر الداخلية للمشروع إلى دليل واضح للمخاطر comprehensive risk catalogue، يُنْشَر فيه خلاصة الخبرات التي اكتُسبت من عدة مشاريع. يُنصح في دليل كهذا بتصنيف مجالاتٍ ستة أساسية في المشروع :
· إدارة المشروع.
· التركيز على الأعمال.
· عمليات الأعمال.
· المستخدمون.
· التقانة.
· البيانات.
حتى يمكن تطبيق هذه القائمة من الكشوف، ينبغي لإدارة المشروع أن تحدد الأسئلة المفتاحية لكل مجال من المشروع , و أن تشرح كل سؤال مفتاحي بمزيد من الأسئلة و الأمثلة. في قائمة الكشوف المذكورة آنفاً، هناك سؤال مفتاحي في مجال التقانة من أجل مخاطر داخلية للمشروع "تقانة جديدة" هو "هل يعتمد نجاح المشروع على تقانات جديدة لا تملك الشركة فيها خبرة كافية؟" إضافة إلى ذلك، هناك سلّم درجات للمخاطر الداخلية لِكل سؤال مفتاحي.
هدف هذا التحليل تحديد المخاطر الداخلية لكل مجال من المشروع، التي يجري تقييمها فيما بعد بتفصيل أكبر في المرحلة التالية.
تقييم ضوابط المشروع
لتقييم مخاطر المشروع، لابد من تعريف و تقييم ضوابط المشروع في المجالات الرئيسية المحددة له. يجب تحديد و تقييم ضوابط المشروع هذه بصورة منتظمة ماأمكن تماماً كتحديد مخاطِرِه .
لتقييم إجرائيات ضبط المشروع في كل مجال من المشروع تستخدم استبانات ضبط و أمثلة على أفضل التطبيقات و التجارب السابقة. فإجرائية تطوير برمجية ما في مجال مشروع تقانة مثلاً هو ضبط للمشروع يقيَّم بسؤال الضبط المفتاحي التالي : "هل يتبع تطوير البرمجية نموذج إجرائية قياسية؟" لِكل سؤال ضبط، هناك توضيحات و مراجع لتدقيق نموذجي (مثلاً: توثيق لإجرائيات نموذجية لتطوير لبرمجية) تسهِّل إجراء تقييم ناجح لفاعلية ضوابط المشروع.
إدارة المخاطر في مشاريع المعلوماتية تخفِّض من تكاليف المعلوماتية
فيما يخص تخفيض موازنات المعلوماتية، تعتبر تكاليف المشروع أحد أهم المجالات التي شهدت تطوراً كبيراً في التخفيض. استناداً إلى مسح بياني أجرته مؤسسة McKinsey تشكل تكاليف المشروع ما يعادل 40 % من موازنة المعلوماتية . بُغية تخفيض متواصل لتكاليف المشروع , لابد من وضع إطار عام لإدارة فعالة للمشروع. تشكل إدارة المخاطر في المشاريع المعلوماتية استثماراً صغيراً أولياً يتوقَّع أن يُعوَّض بسرعة. التحديد المبكر لمخاطر المشروع و المتابعة الزمنية لتنفيذ إجراءات ضابطه , يقودان حتماً إلى تخفيض تكاليفه الإجمالية . لإدارة مخاطر المشروع مزايا حتى مع إخفاقاته ، فمع كل يوم نبكر فيه هناك إنجاز لمشروع كبير (مثلاً بسبب إدارة مخاطر مشروع منتظمة) ، تستطيع الشركة أن توفّر آلاف الدولارات حتى مع اعتبار مبلغ هام للتكاليف الثابتة.
تحليل المخاطر المتبقية في المشروع
بمقارنة تقييم المخاطر الداخلية بالضوابط الموجودة، يمكن تحديد المخاطر المتبقية للمشروع من أجل كل مجال حسّاس من المشروع و لكل خطر يتهدده. يسمح مثل هذه التقييم المتدرّج بوضع تعريف مركَّز و تنفيذ الإجراءات للمرحلة التالية.
تقييم و تطبيق الإجراءات
في هذه المرحلة من عملية إدارة مخاطره، يمكن تعريف الإجراءات المتقدمة التي من شأنها أن تخفض المخاطرة تبعاً لتحليل مخاطره . تثقيل عوامل المخاطرة كجداء لقياس (مثلاً / 1/ يعادل صغير جداً، و حتى /5 / يعادل عالي جداً) مع احتمال الحدوث و مستوى الأذى الذي يمكن أن ينجم عن الحدوث، يعطي مؤشراً جيداً عن أولويات الإجراءات المصممة لتخفيض المخاطرة. عوامل المخاطرة هذه ينبغي أن يتم تُحدَّد تبعاً لتحليل المخاطر المنفَّذ, و النقاشات التي تدور مع المديرين المسؤولين عن المشروع و الأطراف المشاركة فيه.
هناك أداة مساعدة لتحديد الإجراءات المناسبة تدعى Risk Reduction Staircase تضم النماذج التالية من الإجراءات :
· الوقاية من المخاطرة (مثلاً عبر تغيير موضوع المشروع)
· تخفيض المخاطرة (مثلاً بتحديد ضوابط المشروع البسيطة)
· الحد من المخاطرة (مثلاً بتطوير عدة خيارات في حالة إخفاق المشروع)
· إعادة حصر المخاطرة (مثلاً بالاتفاق على أضرار تعاقدية)
· قبول المخاطرة
ينبغي دمج الإجراءات المحددة في خطة المشروع , ولابد من مراقبتها من قبل مدير المخاطر. إضافة إلى ذلك، على الإدارة أن تحدد " مسؤول مَخاطر " لكل مخاطرة من مخاطر المشروع, يقوم على إنجاز الإجراءات المحددة و من ثَم على إدارة المخاطر.
الشكل (2) Risk Reduction Staircase للمساعدة في تحديد الإجراءات
مراقبة مستمرة لمخاطر المشروع و الضوابط و الإجراءات
لا يكفي تقييم المخاطر في مشروع معلوماتي مرة واحدة للوصول إلى إدارة مخاطر واضحة. لابد من تكرار تقييم مخاطر و ضوابط المشروع خلال دورة حياة المشروع، و لابد من تحديد و تنفيذ إجراءات إضافية، عند الضرورة. في هذا الإطار، مؤشرات المخاطر و مؤشرات الضبط التي تمثل إجراءً هدفاً لتغييرات حالة المخاطر و الضبط،، من شأنها أن تشكل أدوات مساعدة لتحديد و مراقبة مستويات المخاطرة و الضبط. في مجال مشروع تقانة، يمكن مراقبة تعقيد المشروع المعلوماتي بواسطة مؤشر المخاطر "عدد الواجهات". هناك مثال على مؤشر ضبط لمراقبة فاعلية إدارة عملية التصميم، هو "عدد الكتل المختبرة خلال أكثر من عدد محدد من الأيام".
أثبتت التجارب أن إدارة المخاطر ينبغي ألا تكون مسؤولية مدير المشروع. بل لابد من قيام وحدة مستقلة بمراقبة منتظمة لحالة مخاطره و ضوابطه, لتلافي عدم الانتباه. يمكن أن يكون المدير الأمثل لمخاطر مشروع مدققاً معلوماتياً ذا خبرة في المشاريع و معرفة بإدارة مخاطر المشروع.
الخاتمة
اكتسبت الإدارة الناجحة للمشاريع معنى استراتيجياً فيما يخص فاعلية الشركات. حالياً، تقانة المعلومات هي جزء أساسي في معظم المشاريع. حتى فروع الأعمال التقليدية لا يمكنها البقاء و الاستمرار دون معالجة إلكترونية للبيانات. لذلك، تشكل المخاطر المرتبطة بإنجاز مشاريع معلوماتية جزءاً محورياً من المخاطر التشغيلية ضمن الشركة.
في العقد القادم، ستكون إدارة مخاطر المشاريع أحد المواضيع المركزية في إدارة و تنظيم المشاريع المعلوماتية. أدركت السلطات القضائية و الوصائية أهمية إدارة مخاطر المشاريع و مخاطر المعلوماتية في إطار المخاطر التشغيلية، و لذلك قدمت منذ الآن بعض الأطر العامة لمتابعتها في الشركات. و يتوقع المزيد من التحسينات و التطويرات على الأطر التشريعية و القانونية لإدارة المخاطر التشغيلية. ثم إن مهنة الضبط و التدقيق ستزداد أهمية مع هذه التطورات.
المراجع :
- Tony LATTER, The Causes and Management of Banking Crisis, Handbooks in central banking studies, Bank of England , London 1997.
- Jim JOHNSON, Turning Chaos into Success, Software Magazine, December 1999.
- What went wrong? Unsuccessful Information Technology Projects, KPMG survey, April 1997.
- Keil, Mark, Joan Mann The Nature and Extent of IT Project Escalation : Result from IS audit and control professionals, IS audit & control journal, volume 1, 1997.
- COBIT 3rd Edition, Governance Institute, 2000