حضرة السيد الرئيس، الوزير، المدير… أنت في خطر!!
كم تقدر، عزيزي القارئ، قيمة الأضرار التي تسبب بها فيروس الفدية WannaCry؟ مليون؟ عشرة ملايين؟ ربما أكثر من ذلك بكثير؛ فلو فرضنا أن عدد سكان الكرة الأرضية 7 مليارات وأن عُشرهم فقط يمتلك، أو يعمل على، حاسب آلي واحد عليه نظام التشغيل Windows وأن فقط 10% من هذه الأجهزة أصيبت بهذا الفيروس ولم يكن هناك من طريقة لاسترجاع البيانات سوى دفع الفدية البالغة 300 دولار لكان حجم الخسائر يقدر بـ 21,000,000,000 (واحد وعشرون مليار دولار) فقط!!
حتى لو فرضنا أنه أمكن التوصل لطريقة للتخلص من هذا الفيروس وكانت تكلفة هذه الطريقة 10 دولارات فإن الرقم لايزال مرعبًا (حوالي سبعمئة مليون دولار).
لا بد لنا إذن أن نسلم أن هذا العالم لا يخلو من المخاطر التي يمكن أن تحدث في أي وقت، ومن أسوأ هذه المخاطر، المخاطر التي لم تكن لتخطر على بالك قط، وأسوأ من ذلك أن تكون هذه المخاطر قد خطرت بالفعل على بالك، ولكنك بكل بساطة تجاهلتها لتفاجأ بكارثة.
إذن أيًا كان المجال الذي تعمل به، زراعة، صناعة، تجارة… إلخ، فأنت في حاجة إلى التخطيط لـلمخاطر وإدارتها Risk Management. ولكن انتظر قليلًا؛ فماذا تعني كلمة “خطر” بدايةً؟
تعريف مصطلح “خطر”
هناك الحقيقة أكثر من تعريف لكلمة “خطر” والتعريف المفضل لدي أن الخطر هو حدث له احتمال وقوع يتراوح بين 0% و100% ولا يساويهما وله تأثير على العمل.
ما الذي نفهمه من هذا التعريف؟
أولًا: الخطر هو حدث لم يقع بعد والحقيقة أنه قد لا يقع أبدًا ولكن هناك احتمال لوقوعه هذا الاحتمال يزيد وينقص بحسب نوع الخطر والظروف المحيطة، فمثلا احتمال وقوع زلزال في مدينة الرياض بالتأكيد لا يساوي احتمال وقوع زلزال في مدينة طوكيو التي يحصل فيها زلزال بشكل شبه يومي. المهم في الأمر أن هذا الاحتمال لا يساوي 0% أي لن يحدث أبدًا (حدوث طوفان في صحراء الربع الخالي) ولا يساوي 100% لأنه بهذا يكون أمر واقع وحصل بالفعل.
ثانيًا: أن الحدث الذي لن يؤثر على عملي لا يعتبر خطرًا (حصول زلزال في اليابان وأنا أعمل في الرياض) فلا بد من أن يكون للخطر تأثير كي يستحق مني التخطيط له وإدارته ومتابعته.
ثالثًا: وهذه قد تكون مفاجأة بالنسبة لك، أن تأثير هذا الخطر قد يكون سلبيًا وفي هذه الحالة يسمى الخطر تهديدًا، وقد يكون أيضًا إيجابيًا وفي هذه الحالة يسمى فرصة، فإذا كنت تعمل في مجال المقاولات على سبيل المثال، فإن ارتفاع أسعار المواد الأولية بالنسبة لك قد يعتبر تهديدًا، أما انخفاضها فيعتبر فرصة (بفرض أنك تعاقدت على إنجاز العمل مقابل مبلغ محدد ثابت).
فإذا تمعنا بشكل جيد فيما سبق، لوجدنا بشكل واضح أنه لا يوجد أي مشروع أو مؤسسة أو منظمة أو حتى دولة في العالم لا تحتاج إلى إدارة المخاطر ونعني بذلك التخطيط المسبق لها، وتحديدها، وتحليلها ومتابعتها وصولًا للاستجابة المناسبة لها عند حدوثها وتوثيق الدروس المستفادة من كل ذلك.
إدارة المخاطر المؤسساتية Enterprise Risk Management
يطلق عادة على هذا الجهد ما نسميه Enterprise Risk Management – ERM أو إدارة المخاطر المؤسساتية التي غالبًا ما تبدأ كما ذكرنا بتحديد الإطار العام الذي سوف يتم التعامل من خلاله مع المخاطر ويتضمن ذلك:
- التعاريف المؤسسية وسياسات وإجراءات التعامل مع المخاط.
- الأدوار المسندة للأطراف المختلفة لتنفيذ هذه السياسات والإجراءات.
تتضمن هذه السياسات والإجراءات عادة كيف ستقوم المؤسسة بتحديد هذه المخاطر وبناء سجل خاص يسمى سجل المخاطر، وكيف يتم ترتيب هذه المخاطر بحسب الأولوية لتركيز المتابعة على المخاطر ذات الأولوية الأعلى وكيف يتم تحليل هذه المخاطر كميًا لدراسة أثرها بالأرقام على التكاليف وزمن العمل ومن ثم وضع خطط الاستجابة والتعامل معها قبل وقوعها وبعد وقوعها، ونهاية بتنفيذ هذه الخطط ومراقبة ومتابعة نتائج هذا التنفيذ وتوثيق الدروس المستفادة من ذلك لتحسين وتطوير هذه السياسات والإجراءات لاحقًا.
الجيد في الأمر حقيقة أن الكثير من الجهات الحكومية والرقابية أصبحت تشترط ذلك خاصة على المؤسسات ذات طبيعة العمل الحساسة كالبنوك والجامعات، وبالتالي أصبح يطلب منها ما يسمى بخطة متابعة العمل Business Continuity Plan للتعامل مع الكوارث والمخاطر حال حصولها.
إذا كنت مرة أخرى تعتقد أن مشروعك أو عملك صغير ولا يستحق الجهد المطلوب للتخطيط والإعداد للمخاطر، فربما حان الوقت الآن لتعيد حساباتك، نعم قد لا يتطلب الأمر إجراء عمليات تحليل مخاطر معقدة ونمذجة على الحاسبات الآلية وما إلى ذلك من التقنيات المعقدة، ولكن بالتأكيد يحتاج إلى أن تبدا أولًا بالتعرف على المخاطر التي تحيط ببيئة عملك، ومدى تأثيرها على عملك ومشاريعك فيما لو وقعت لا قدر الله.
شكرا لك بيهس. ربما مفرد مخاطر هو مخطر. لان جمع خطر هو اخطار.
نعم قد يكون و هما بنفس المعنى في هذا السياق و لا مشاحة في الاصطلاح
جميل استاذي مقال في وقته .
حياك الله مهندس وشكراً لمرورك
المهندس الكريم المبدع دائماً المهندس / بيهس السوادي
السلام عليكم ،،
شكراً على جهودك المبذوله للتوعيه عن المخاطر بشكلها واهمية اداره المخاطر لاي منشأه.
في هذه الرساله اود استفيد من خبرتك الواسعه بإداره المخاطر وخاصه قطاع المصارف وشركات التمويل
اخي المهندس بيهس انا مديره باداره المخاطر بشركه متخصصه بمنتج الايجار التويميلي ( تمويل المركبات المنتهي بالتمليك) ، ومطلوب مني وضع سياسات واجراءات للشركة والمنتج والعملاء وكل مايخص الشركة من مخاطر ووضع لذلك ايضاً من ضمنها خطة الطوارئ، لا اخفيك سراً اني لست من ذو الخبره بكل المخاطر ولكن تم ترشيحي لهذا المنصب من قبل الشركة علما ان وظيفتي السابقه مدير الائتمان واواجه تحدي واثبات ثقتهم بي علماً انني متابع لكل مجال بالمخاطر عن طريق البحث بالانترنت لكن لم اجد اي موضوع عن سياسة واجراءات اداره المخاطر بشكل تفصيلي ، ارجو التكرم من سعادتكم بمساعدتي بذلك واعطاء المشوره والنصح وهذا بمثابة الكرم منك
شكراً ونعتذر للاطاله
شكراً لتواصلكم عن طريق موقعنا
بالنسبة لسؤالكم عن سياسات و إجراءات المخاطر لشركتكم، فالموضوع حقيقة أكثر بكثير من أن يشرح كتابة.
ما أستطيع أن أنصح به هو إما:
• الحصول على مساعدة من مختص يعمل في شركة مماثلة أو يقدم خدمات استشارية للشركات التي تعمل بنفس القطاع (الإيجار التمويلي)، وأعتقد أنه بإمكاني أن أدلكم على من يستطيع المساعدة
• الحصول على سياسات و إجراءات جاهزة من شركة مماثلة ومن ثم تعديلها وتطويرها للتوافق مع عملكم (قد تجدها بالبحث في الانترنت وخاصة المواقع الانجليزية)
متمنياً لكم التوفيق