وقت القراءة

٧ دقائق

تقييم الرقابة والتقييم الذاتي للمخاطر (RCSA): لماذا لا ينبغي للتقييم الذاتي أن يقود برنامج المخاطر الخاص بك

تتسم عملية التقييم الذاتي للمخاطر والضوابط (RCSA) بالمرونة في التوسع وتُشعر الجميع بالمشاركة، لكن التقييم الذاتي وحده ينتج سجلات مخاطر متفائلة بدلاً من تقديم رؤى عميقة. إليك سبب ضرورة أن يقود الخبراء عملية تحديد المخاطر.

الكاتب

عتيق باجوا

المؤسس والرئيس التنفيذي

جدول المحتويات

No headings found in article
No headings found in article

يُعد التقييم الذاتي للمخاطر والضوابط (RCSA) مدخلاً مفيداً، ولكنه لا ينبغي أبداً أن يكون الأساس الذي يرتكز عليه برنامج المخاطر. فعندما يقوم أصحاب الأعمال بتقييم مخاطرهم وضوابطهم بأنفسهم دون وجود تحدٍ مستقل يقوده الخبراء، تكون النتيجة سجلاً متفائلاً يوثق جانباً من الراحة والاطمئنان بدلاً من الواقع. إن التحديد القوي للمخاطر هو تخصص يجب بناؤه داخلياً وقيادته من قِبل متخصصين مدربين، مع اعتبار التقييم الذاتي للمخاطر والضوابط كمدخل واحد فقط، وليس المنهجية بأكملها.

على مدى أكثر من ثلاثة عقود في إدارة مخاطر المؤسسات (بما في ذلك 26 عاماً في قيادة هذا القسم داخل مجموعة صناعية عالمية، واليوم كرئيس تنفيذي للمخاطر في شركة قابضة متنوعة الأنشطة)، قمت بتيسير ورش عمل للمخاطر أكثر مما أستطيع حصرها. وعبر المشاريع الصناعية، والعقارات، والزراعة، والاستثمارات المالية، ظل هناك نمط واحد ثابتاً دون استثناء.

إن جودة تقييم المخاطر لا تحددها طبيعة القالب المستخدم بقدر ما يحددها من يتواجد في الغرفة لطرح الأسئلة الصعبة. وهذا ينقلني إلى موضوع التقييم الذاتي للمخاطر والضوابط.

ما هو التقييم الذاتي للمخاطر والضوابط (RCSA)؟

التقييم الذاتي للمخاطر والضوابط (RCSA) هو عملية يقوم من خلالها أصحاب الأعمال والعمليات بتحديد مخاطرهم الخاصة، وتقييم مدى فعالية ضوابطهم، واقتراح تدابير التخفيف الخاصة بهم. ثم يقومون بعد ذلك برفع النتائج إلى قسم إدارة المخاطر بغرض المراقبة وإعداد التقارير.

يحظى التقييم الذاتي للمخاطر والضوابط بشعبية واسعة لأسباب مفهومة؛ إذ يمكن تطبيقه على نطاق واسع في المنظمات الكبيرة، كما أن تكلفة تشغيله منخفضة، ويمنح شعوراً بالمشاركة الفعالة. وإذا استُخدم بشكل جيد وفي حدوده المناسبة، فإن له قيمة حقيقية بلا شك.

ولكن المشكلة تبدأ عندما تجعل المنظمات من التقييم الذاتي للمخاطر والضوابط الأساس لبرنامج المخاطر الخاص بها. وهنا تحديداً تكمن نقطة إخفاقه.

المشكلة: عندما يصبح التقييم الذاتي للمخاطر والضوابط هو الأساس

إن سجل المخاطر الذي وافق عليه الجميع لا يعني بالضرورة أنه سجل مخاطر يعكس الحقيقة. ومع ذلك، تبني العديد من المنظمات برنامج المخاطر بالكامل على التقييم الذاتي، ثم تتعامل مع السجل الناتج كصورة دقيقة للمخاطر التي تجابهها.

ونادراً ما يكون الأمر كذلك. فالمنهجية تنطوي على أربعة نقاط ضعف هيكلية لا يمكن لأي قالب أو منصة برمجية أو حماس ميسر التقييم التغلب عليها.

لماذا يقصر التقييم الذاتي للمخاطر والضوابط عن كونه المنهجية الأساسية؟

هنا تتجلى بوضوح عيوب التقييم الذاتي بهدوء.

1. تحديد المخاطر هو تخصص دقيق، وليس مهاماً جانبية

يفترض التقييم الذاتي للمخاطر والضوابط أن أصحاب الأعمال قادرون على تقييم المخاطر بدقة لأنهم يفهمون عملياتهم التشغيلية. وهم بالفعل يفهمون عملياتهم، ولكن الخبرة التشغيلية وخبرة إدارة المخاطر ليستا شيئاً واحداً.

إن فحص الافتراضات، كشف الترابطات والاعتمادات المتبادلة، فصل الأعراض عن الأسباب الجذرية، والحكم على مدى فعالية عمل الضوابط في الواقع، هي مهارات تُبنى على مدى سنوات. وبدون وجود ميسر خبير في الغرفة، يتم عادةً إغفال المخاطر، أو التقليل من شأنها، أو تصنيفها بشكل خاطئ. ونادراً ما يكون السبب في ذلك هو الإهمال، بل يرجع ببساطة إلى غياب النظرة المتخصصة.

2. التقييم الذاتي ينطوي على انحياز ذاتي متأصل

عندما يقيم الأشخاص مخاطرهم وضوابطهم الخاصة، نادراً ما يكون التقييم محايداً. وكما جادل كابلان ومايكس في دراستهما "إدارة المخاطر: إطار عمل جديد" (هارفارد بزنس ريفيو، 2012)، فإن الأفراد يبالغون باستمرار في تقدير قدرتهم على التأثير في النتائج، ويثقون بشكل مفرط في توقعاتهم، ويحددون نطاق النتائج المحتملة بشكل ضيق للغاية.

هذه ليست عيوباً في الشخصية، بل هي انحيازات معرفية عامة لدى البشر. والتقييم الذاتي للمخاطر والضوابط، بطبيعته، يطلب من الأشخاص الأكثر عرضة لتلك الانحيازات أن يكونوا المقيمين الوحيدين للمخاطر التي يتعرضون لها. والنتيجة المتوقعة هي سجل متفائل يوثق الارتياح والراحة النفسية بدلاً من الواقع الفعلي.

3. بدون تحدٍ مستقل، يتم تجاهل الأمور الواضحة

تصف ميشيل ووكر، وهي من صاغ هذا المصطلح، "الخرتيت الرمادي" (Gray Rhino) بأنه تهديد ذو تأثير كبير واحتمالية حدوث عالية ويكون واضحاً ومع ذلك يتم تجاهله، ليس لعدم قدرة أحد على رؤيته، بل لعدم رغبة أي شخص في مواجهته.

إن التقييم الذاتي ضعيف هيكلياً في رصد مخاطر "الخرتيت الرمادي". فالمخاطر التي تسبب حرجاً سياسياً، أو إحراجاً شخصياً، أو ببساطة عدم ارتياح عند تدوينها، هي الأوفر حظاً للتخفيف من حدتها أو استبعادها بهدوء من السجلات في غياب صوت مستقل يصر على إبقائها. لذا، فإن التحدي البناء هو القيمة الأهم على الإطلاق التي يقدمها قسم إدارة المخاطر الناضج، وهو الأمر الوحيد الذي لا يمكن لنموذج التقييم الذاتي تقديمه.

4. المخاطر الاستراتيجية والناشئة تقع خارج نطاق رؤيته

ينظر التقييم الذاتي للمخاطر والضوابط إلى الأسفل والداخل، نحو المخاطر التشغيلية المعروفة داخل قسم واحد. وهو ليس مصمماً للنظر عبر المؤسسة ككل، أو لربط تركز التوريد في قطاع عمل معين بتحول جيوسياسي، أو تغيير تنظيمي، أو اضطراب تكنولوجي يؤثر على قطاع آخر.

إن المخاطر الأكثر قدرة على تهديد استراتيجية المنظمة هي بالضبط المخاطر التي يعجز التقييم الذاتي على مستوى الأقسام هيكلياً عن إبرازها.

ما تقوله معايير إدارة المخاطر فعلياً عن التقييم الذاتي للمخاطر والضوابط

من الاعتراضات الوجيهة، والتي واجهتها شخصياً، هي أن التقييم الذاتي للمخاطر والضوابط يتوافق مع إطار عمل COSO لإدارة مخاطر المؤسسات ومعايير معهد المراجعين الداخليين (IIA)، والتي تدعو إلى تحديد المخاطر وتقييمها على جميع مستويات المنظمة. هذا صحيح، وأنا لا أجادل في ذلك.

ولكن لا يوجد أي من تلك الأطر يشير إلى أن التقييم الذاتي يجب أن يحل محل عملية التحديد التي يقودها الخبراء والتحدي المستقل. بل إن إطار COSO، ومعيار ISO 31000:2018، ونموذج خطوط الدفاع الثلاثة تشير جميعها إلى الاتجاه المعاكس: يجب أن تكون إدارة المخاطر متكاملة ومُنظمة وشاملة، وخط الدفاع الثاني موجود خصيصاً لتقديم التحدي المستقل الذي يعجز خط الدفاع الأول عن تقديمه عند تقييم نفسه ذاتياً.

يتوافق التقييم الذاتي للمخاطر والضوابط تماماً مع المعايير باعتباره مدخلاً ضمن عملية يتم تيسيرها بشكل مستقل. ولكنه لا يتوافق معها كبديل عنها.

التقييم الذاتي بمفرده مقابل تحديد المخاطر بقيادة الخبراء

المقياس

التقييم الذاتي بمفرده

بقيادة الخبراء (مع اعتبار التقييم الذاتي كأحد المدخلات)

الجهة القائدة

أصحاب الأعمال / العمليات

متخصصو مخاطر مدربون بمشاركة أصحاب الأعمال

المخرج الأساسي

سجل مخاطر

رؤى متحقق من صحتها، تليها صياغة السجل

نظرة المخاطر

داخلية، على مستوى القسم، تركز على المخاطر المعروفة

شاملة للمؤسسة، تشمل المخاطر الاستراتيجية والناشئة

التعامل مع الانحياز

تقييم ذاتي غير خاضع للمراجعة

تحدٍ مستقل ومراجعة من قِبل خط الدفاع الثاني

الخرتيت الرمادي (المخاطر المهملة)

يُستبعد بسهولة من السجل

يتم إبرازه وإبقاؤه في السجل ومواجهته

ملاءمة المعايير

جزئية (كملحق ومدخل فقط)

كاملة (متكاملة ومصحوبة بتحدٍ مستقل)

الحل: بناء القدرات لإدارة المخاطر، وعدم تفويضها

إن الخيار الذي تواجهه المنظمات ليس "التقييم الذاتي للمخاطر والضوابط أو بدونه". بل هو ما إذا كان تحديد المخاطر يمثل قدرة تبنيها المنظمة وتملكها، أم مهمة تقوم بتفويضها وتأمل أن تؤدى بشكل جيد.

إن الاقتصار على التقييم الذاتي للمخاطر والضوابط يمثل تفويضاً للمهمة؛ فهو ينتج سجلاً للمخاطر ولكنه لا ينتج بصيرة ورؤية واضحة. والمنظمات التي تمتلك ثقافة مخاطر مرنة حقاً هي تلك التي استثمرت في بناء خبرات داخلية عميقة ووضعت متخصصين مدربين في الغرفة للتوجيه والتحقق والتحدي والمساءلة.

إليك كيفية وضع التقييم الذاتي للمخاطر والضوابط في مكانه الصحيح والمناسب:

  • عامل التقييم الذاتي للمخاطر والضوابط كمدخل واحد ضمن عملية ييسرها الخبراء، وليس كعملية بحد ذاتها.

  • ضع أخصائي مخاطر مدرباً في كل تقييم لفحص الافتراضات، والتحقق من صحة التقييمات، وتحدي الاستنتاجات التي تهدف للراحة والاطمئنان فقط.

  • أخضع تقييمات التقييم الذاتي لمراجعة مستقلة من خط الدفاع الثاني قبل إدراجها في سجل المخاطر العام.

  • استخدم التقييم الذاتي للمخاطر والضوابط لتوسيع نطاق التغطية وإشراك أصحاب العمليات، ثم اختبر المخرجات في مقابل تحليل الأسباب الجذرية وسياق المؤسسة ككل.

  • احفظ تحديد المخاطر الاستراتيجية والناشئة للتحليلات التي تقودها الكفاءات والخبراء على مستوى المؤسسة، والتي لا يمكن للتقييم الذاتي الوصول إليها.

السؤال الحقيقي لقادة المخاطر

إن المخاطر أمر بالغ الأهمية ولا يصح اختزاله في مجرد نموذج أو استمارة. والمنظمات التي تتعامل مع تحديد المخاطر كقدرة يجب بناؤها وتطويرها، وليس كمهام يتم تفويضها، هي تلك التي تمتلك الرؤية الواضحة التي تمكنها من التصرف في الوقت المناسب.

لقد حان الوقت لكي نتوقف عن الخلط بين المشاركة والدقة والفاعلية.

أهم النقاط المستفادة

  • التقييم الذاتي للمخاطر والضوابط (RCSA) ذو قيمة كمدخل، ولكنه يجب ألا يقود برنامج المخاطر بمفرده مطلقاً.

  • الخبرة التشغيلية ليست هي خبرة إدارة المخاطر؛ إذ يُعد تحديد المخاطر تخصصاً دقيقاً ومستقلاً.

  • ينطوي التقييم الذاتي على انحياز معرفي متأصل بطبيعته ويميل إلى إنتاج سجلات متفائلة ومطمئنة بشكل غير واقعي.

  • بدون التحدي المستقل، يتم استبعاد مخاطر "الخرتيت الرمادي" ذات الأثر العالي من الحسبان والسجلات.

  • تتعامل أطر COSO و ISO 31000 ونموذج خطوط الدفاع الثلاثة مع التقييم الذاتي كمدخل فقط، وليس كبديل عن عملية تحديد المخاطر التي يقودها الخبراء وتخضع لتحدٍ مستقل.

  • ابنِ قدرات وكفاءات إدارة المخاطر داخلياً واستخدم التقييم الذاتي كمدخل واحد ضمن عملية ييسرها ويقودها الخبراء.

الأسئلة الشائعة

ما هو تقييم الرقابة والتقييم الذاتي للمخاطر (RCSA) في إدارة المخاطر؟

ما هو تقييم الرقابة والتقييم الذاتي للمخاطر (RCSA) في إدارة المخاطر؟

ما هي القيود الرئيسية لتقييم المخاطر وضوابط الرقابة الذاتية (RCSA)؟

ما هي القيود الرئيسية لتقييم المخاطر وضوابط الرقابة الذاتية (RCSA)؟

هل لا يزال تقييم المخاطر والرقابة الذاتية (RCSA) متوافقًا مع معايير COSO ومعهد المدققين الداخليين (IIA)؟

هل لا يزال تقييم المخاطر والرقابة الذاتية (RCSA) متوافقًا مع معايير COSO ومعهد المدققين الداخليين (IIA)؟

هل ينبغي أن يكون التقييم الذاتي للمخاطر والضوابط (RCSA) هو الأساس لبرنامج إدارة المخاطر؟

هل ينبغي أن يكون التقييم الذاتي للمخاطر والضوابط (RCSA) هو الأساس لبرنامج إدارة المخاطر؟

عتيق باجوا

رئيس إدارة المخاطر في مجموعة سليمان الراجحي القابضة، ومؤسس DERISKED


خبير في إدارة المخاطر والمرونة المؤسسية والحوكمة، يمتلك أكثر من 37
عاماً من الخبرة في إدارة مخاطر المؤسسات واستمرارية الأعمال والمرونة
التشغيلية، وحاصل على جائزة أفضل متخصص في إدارة استمرارية الأعمال
(BCM) لعام في منطقة الخليج من معهد DRI الدولي

شارك هذه المقالة

Copy linkEmailLinkedInTwitter

النشرة الإخبارية

اشترك في النشرة البريدية لـ Fundely لتصلك أحدث النصائح المالية
المبسطة والدلائل العملية وآخر التحديثات مباشرة إلى بريدك الإلكتروني.

تلخيص هذا المقال بالذكاء الاصطناعي

مقالات ذات صلة