يزن المجالي*
عمان -مع تطور تكنولوجيا المعلومات والاتصالات وما صاحبه من تغير في أشكال المعاملات التجارية وأسواق العمل واعتمادها على الإنترنت، وتزايد الخدمات ووسائل الدفع الإلكترونية بين القطاعات المختلفة ومتلقي الخدمة وتغير في أشكال البيانات والمعلومات التي أصبحت رقمية، وما رافقها من المخاطر العديدة المتعلقة بتقنية المعلومات والاتصالات وأمن البيانات والأمن السيبراني، والتي كان من أبرزها قضايا الجرائم الإلكترونية على مستوى العالم مثل: قضايا طلب دفع الفدية (Pay Ransom) والابتزاز الإلكتروني Cyber Extortion))، ومنها تعرض شركة (ebay) الأميركية لهجوم إلكتروني العام 2014 أدى إلى سرقة بيانات أكثر من 140 مليونا حساب مصرفي لعملائها شملت (أسماء، عناوين بريدية، أرقام هواتف وكلمات مرور)، وتعرضت الخطوط البريطانية للطيران العام 2018 لاختراق إلكتروني لبيانات شخصية ومالية تخص عملاء الشركة كان نتيجتها انخفاض قيمة أسهم شركة IAG)) المالكة لشركة الطيران.
كما شهدت العديد من الشركات في مختلف القطاعات الاقتصادية هجمات إلكترونية مختلفة الأمر الذي استدعى اتخاذ إجراءات استباقية من قبل الجهات الرقابية ومن أبرزها البنوك المركزية من خلال وضع تعليمات تضبط حاكمية وإدارة المعلومات والتكنولوجيا بما يضمن تطبيق وتحديث سياسة الأمن السيبراني (Cyber Security) وضمان وجود سجل مخاطر خاص بالمخاطر السيبرانية (Cyber Risk) محدث ومتوافق مع سجل مخاطر تكنولوجيا المعلومات، والعمل على تحديد المخاطر وتقييمها من حيث الاحتمالية والأثر على عمليات الشركة بالاستعانة بالنماذج العالمية لإدارة المخاطر المتضمنة عمليات تكنولوجيا المعلومات ومن أبرزها إطار (COBIT) والذي يشكل إطار قياسي مكون من عدة أدوات تساعد مديري المؤسسات على تقليل الفجوة وتقليل المخاطر بين نظم المعلومات والاحتياجات الفنية واحتياجات الأعمال الأساسية للمؤسسة. وفي هذا الصدد أصدر البنك المركزي الأردني في شهر شباط 2018 "تعليمات التكيف مع المخاطر السيبرانية" لتعزيز قدرات البنوك والمؤسسات المالية الخاضعة لرقابة وإشراف البنك المركزي على التصدي لمحاولات الهجمات الإلكترونية بحرفية وتقنية عالية، وتمكين البنوك والمؤسسات المالية من مواصلة تقديم الخدمات وتنفيذ العمليات بشكل آمن ولتحفيزهم على الاستثمار في مجال الأمن السيبراني وأمن المعلومات.
مما سبق يتضح بأن هناك جهات رقابية تصدر قوانين وتعليمات تجبر المؤسسات المالية والبنوك على اتباع أفضل الممارسات في الرقابة الداخلية وإدارة المخاطر المتعلقة بعملياتها مما ينعكس على ثقافة المؤسسة التي تُعتبر أحد الركائز الأساسية في إدارة العديد من المجالات كالإستراتيجية والابتكار والمخاطر. وهذا يتطلب وجود الهياكل والسياسات والإجراءات الصحيحة لضمان ممارسة الحوكمة الرشيدة، والتركيز على الحفاظ على أعلى مستويات السلوك الأخلاقي لخلق الثقة وتفعيل المشاركة بين المؤسسة وأصحاب المصالح. وهنا لابد من الإشارة إلى ضرورة وجود تشريعات ملزمة للمنظمات والمؤسسات غير الخاضعة لأي جهات رقابية بتبني وتطبيق أطر ومعايير لإدارة المخاطر ومن هذه الأطر: إطار إدارة المخاطر المؤسسية (COSO ERM)، إطار أيزو (ISO 31000)، إطار كوبت (COBIT) الذي يساعد المؤسسات في تحقيق أهدافها من خلال الاستخدام الفعال والمبدع للتقنية المعلوماتية. ويسهم تبني أحد الأطر المتعلقة بإدارة المخاطر بخلق ثقافة المخاطر في المؤسسة والتي يمكن تعريفها بأنها مجموع التصورات والمواقف والسلوكيات المؤسسية تجاه المخاطر لدى العاملين فيها والتي تعود إيجاباً على حوكمة عمليات المؤسسة بما يضمن تحقيق أهدافها الإستراتيجية ورؤيتها.
وتختلف ثقافة المخاطر في المؤسسة حسب طبيعة نشاطها وحجمها ودرجة إقبالها على المخاطر والضوابط الرقابية المفروضة عليها، فيمكن أن تصدر المؤسسة سياسات وإجراءات مكتوبة ومفصلة أو قد تقوم بشرحها شفهيا لموظفيها.
ونلاحظ أنه في حال عدم وجود الثقافة المناسبة لإدارة المخاطر في المؤسسة التي تدعم الإدراك الموحد للسلوك الملائم في التعامل مع المخاطر فلن تتم الاستفادة من خطط معالجة المخاطر. ومن أجل بناء وتعزيز ثقافة فعالة لإدارة المخاطر لابد من توفر عدة عوامل ترتكز بشكل أساسي على السلوك البشري، وهي:
أولا: إعداد الموظفين: لأن الثقافة تعتمد على العنصر البشري، إذ يتوجب توظيف من لديهم ميول مشابهة لميول المؤسسة في الإقبال على المخاطر.
ثانياً: الوعي: حيث يجب على الموظفين إدراك المخاطر المتعلقة بأعمالهم ومعرفة المبادئ الأساسية لإدارة المخاطر، وتقوم برامج التوعية في المخاطر بدورا هام في تحسين عامل التوعية خصوصا إذا كانت على المستوى المؤسسي.
ثالثاً: الشفافية: إذ تتم مناقشة المخاطر بصراحة وحرية في جميع الاجتماعات لإيجاد الحلول المناسبة بعيداً عن ثقافة الخوف من إظهار المخاطر المحيطة بأعمال المؤسسة.
رابعاً: المساءلة: إذ يتم تحديد الأشخاص المسؤولين عن متابعة المخاطر والضوابط الرقابية للمعنيين بمتابعتها وتحميلهم مسؤولية قراراتهم بشكل صريح وواضح دون التنصل من تحمل المسؤولية في مواجهة المعيقات والتحديات التي قد تنشأ عنها المخاطر.
خامساً: المكافآت: حيث يتم الحرص على مكافأة السلوك المرغوب في اتخاذ القرارات، وعدم التركيز حصراً على النتائج، فقط لأنه في بعض الحالات قد تكون القرارات تتضمن مخاطر عالية لا تستطيع المؤسسة تحملها في حال وقوعها ومع ذلك تحقق نتائج إيجابية.
سادساً: الاستناد على البيانات والمعلومات الدقيقة: إذ إن صناعة القرارات في المؤسسة يجب أن تبنى بشكل رئيسي على أفضل المعلومات المتاحة وبيانات ومبررات واضحة.
سابعاً: المشاركة: حيث يجب على الإدارة العليا ومجلس الإدارة المشاركة في عملية إدارة المخاطر، ويمكن تحقيق ذلك من خلال إنشاء لجان تُعنى بإدارة المخاطر كأحد أولوياتها.
إن تبني سياسة لإدارة المخاطر تحدد المسؤوليات والمنهجية المتبعة في المؤسسة من خلال تحديد وتقييم المخاطر ووضع الاستجابات المناسبة للتعامل مع المخاطر واستمرار عمليات المراقبة والمتابعة للمخاطر ونشر الوعي بأهمية إدارة المخاطر لتكون الثقافة السائدة في المؤسسة يسهم كثيرا وبشكل عميق بتحسين عمليات المؤسسة بشكل مستمر ويعزز تحقيق أهدافها الإستراتيجية بما يضمن استدامتها ويزيد ثقة المتعاملين مع المؤسسة وأصحاب العلاقة، وهنا يأتي دور الجهات الرقابية والتشريعية بوضع القوانين والتعليمات الملزمة للجهات والمؤسسات التابعة لإشرافها بتطبيق أفضل الممارسات لإدارة المخاطر وتعزيز تطبيق الحاكمية المؤسسية الرشيدة التي تتجلى بالمبادئ التالية (سيادة القانون، الشفافية، المساءلة، المشاركة، النزاهة، الإنصاف، الفاعلية، الكفاءة، الاستدامة).
وتعد الحاكمية المؤسسية متطلباً أساسياً لضمان تطور أداء المؤسسات، من خلال اتخاذ القرارات الرشيدة التي تراعي متطلبات وتوقعات جميع المعنيين والمستفيدين من خدماتها ومعاملة كافة أصحاب المصالح بعدالة وشفافية، إضافة الى انها توضح التعليمات التي تتعلق بتشكيلة مجلس الإدارة ومهامه ومسؤولياته والمكافآت المالية وإدارة المخاطر وإدارة الامتثال والافصاح والشفافية. ويكون مجلس الإدارة المسؤول عن تطبيق منظومة متكاملة من التشريعات وانظمة الرقابة الداخلية والمراقبة المباشرة لأعمال المؤسسة من خلال اللجان المنبثقة عنه ومنها لجنة المخاطر، التي ترتبط مباشرةً مع مجلس الإدارة وتعرض عليه التقارير الدورية المتعلقة بجميع سجلات المخاطر والضوابط الرقابية العاملة وكافة المستجدات من المخاطر المتوقعة والمحيطة بعمل المؤسسة، لضمان بقائها ضمن مستويات المخاطر المرغوبة لدى أصحاب المصلحة والمحددة ضمن سياسة إدارة المخاطر.
إن تطوير أنظمة عمل متكاملة وتحديد المسؤوليات وأطر العمل والالتزام بتنفيذها يضع الأسس الصحيحة للحاكمية والإدارة الرشيدة، إضافة إلى تعزيز ثقافة التميز والإبداع ونشرها على كل مستويات العمل لجعل المؤسسات في المقدمة. وتنتهج العديد من المؤسسات حديثاً ما يعرف بمصطلح (GRC) الحوكمة وإدارة المخاطر والامتثال، كاستراتيجية لإدارة أعمالها من أجل تحقيق أهدافها تحتاج إلى عملية متكاملة ومستدامة للحوكمة وإدارة المخاطر والامتثال وبما في ذلك حلول تقنية.
* عضو منتدى خبراء مخاطر الاعمال
اضافة اعلان
