أخطاء في سجلات المخاطر داخل المؤسسات

في العديد من المؤسسات، يتم تقديم سجلات المخاطر باعتبارها واحدة من أهم أدوات حوكمة المخاطر والامتثال، ودليلًا واضحًا على قدرة الإدارة على فهم بيئتها التشغيلية والتحكم في التهديدات المحتملة. غير أن الواقع العملي يكشف فجوة متزايدة بين ما يتم توثيقه داخل هذه السجلات وبين ما يحدث فعليًا في بيئة التشغيل.

في كثير من الحالات، لا تكون المشكلة في غياب سجل المخاطر، بل في وجوده بشكل ظاهري يفقده قيمته الحقيقية. فالسجل الذي يُفترض أن يكون أداة دعم لاتخاذ القرار، يتحول تدريجيًا إلى وثيقة تنظيمية تُراجع في الاجتماعات واللجان دون أن تترك أثرًا حقيقيًا على طريقة إدارة المؤسسة للمخاطر.

وهنا تظهر المفارقة الأساسية: أن بعض المؤسسات لا تعاني من نقص في أدوات إدارة المخاطر المؤسسية، بل من سوء فهم لطبيعة المخاطر نفسها وكيفية التعامل معها.

أولًا: أخطاء شائعة في سجلات المخاطر داخل المؤسسات

  1. تحويل سجل المخاطر إلى وثيقة امتثال وليس أداة قرار

أحد أكثر الأخطاء شيوعًا في تطبيقات حوكمة المخاطر هو التعامل مع سجل المخاطر باعتباره متطلب امتثال مرتبط بالتدقيق الداخلي أو الخارجي، وليس أداة تشغيلية تُستخدم بشكل مستمر في دعم القرار.

في هذا النموذج، يتم إعداد السجل بشكل دوري—غالبًا مرة أو مرتين سنويًا—ثم يتم حفظه داخل أنظمة الأرشفة المؤسسية دون تحديث فعلي يعكس التغيرات اليومية في بيئة العمل أو السوق أو التكنولوجيا.

مع مرور الوقت، يحدث ما يمكن وصفه بـ”الانفصال التشغيلي”، حيث يصبح سجل المخاطر منفصلًا تمامًا عن الواقع الفعلي للمؤسسة. وفي إحدى المؤسسات المالية التي شهدت تحولًا سريعًا نحو التشغيل الرقمي والعمل عن بُعد، استمرت الإدارة في الاعتماد على تقييمات مخاطر قديمة لم تعد تعكس طبيعة البنية التحتية الجديدة، ما أدى لاحقًا إلى سلسلة من الأعطال التشغيلية التي كان يمكن توقعها لو كان السجل مرتبطًا فعليًا بالواقع.

2. الصياغات العامة للمخاطر وضعف القابلية للتنفيذ

من الأخطاء المتكررة داخل سجلات المخاطر التشغيلية استخدام عبارات عامة لا تقدم أي قيمة تحليلية حقيقية، مثل: “مخاطر تشغيلية، أو مخاطر الموردين، أو تعطل الأنظمة.”

هذه الصياغات تبدو منظمة من الناحية الشكلية، لكنها في الواقع لا تساعد على فهم الخطر أو إدارته. فالمخاطر ليست عناوين عامة، بل أحداث محتملة لها أسباب وتأثيرات وسياق تشغيلي محدد.

الممارسة الاحترافية في تقييم المخاطر تتطلب تحويل الخطر إلى وصف دقيق يوضح ما الذي قد يحدث، ولماذا قد يحدث، وما هي نتائجه المحتملة، وعلى أي جزء من المؤسسة سيؤثر.

فعندما يتم تحويل الخطر من عنوان عام إلى سيناريو تشغيلي واضح، يصبح من الممكن ربطه مباشرة بخطط الاستجابة والضوابط الداخلية، وهو ما يميز بين سجل مخاطر شكلي وسجل فعال.

3. الخلط بين المخاطر المستقبلية والمشكلات القائمة

داخل العديد من المؤسسات، يتم تسجيل الأحداث التي وقعت بالفعل باعتبارها مخاطر مستقبلية، وهو خطأ مفاهيمي جوهري في إدارة المخاطر والامتثال.

فالمشكلة التي حدثت بالفعل يجب التعامل معها كحادث تشغيلي يتطلب تحليل السبب الجذري ومعالجة فورية، بينما الخطر هو احتمال وقوع حدث في المستقبل يتطلب استشرافًا واستعدادًا. هذا الخلط يؤدي إلى انحراف وظيفة سجل المخاطر من أداة استباقية إلى سجل تاريخي يوثق ما حدث بدلًا من ما قد يحدث. 

في إحدى المؤسسات البنكية، كان يتم تسجيل الأعطال التقنية المتكررة داخل سجل المخاطر بعد وقوعها، دون وجود تحليل استراتيجي لاحتمالية انهيار أوسع في البنية التحتية. ومع الوقت، أدى هذا القصور إلى أزمة تشغيلية واسعة أثرت على آلاف العمليات اليومية، رغم أن الإشارات المبكرة كانت موجودة ولكن غير مُفسَّرة بشكل صحيح.

4. غياب ملكية واضحة للمخاطر

من العلامات الأساسية لضعف حوكمة المخاطر المؤسسية غياب تحديد واضح لمالك كل خطر داخل السجل.

في هذه الحالة، يتم توزيع المسؤوليات بين عدة إدارات دون تحديد جهة واحدة مسؤولة عن المتابعة والتنفيذ، مما يؤدي إلى حالة من المساءلة المشتتة. هذا الوضع يجعل عملية إدارة المخاطر غير فعالة، لأن كل جهة تفترض أن جهة أخرى تتحمل المسؤولية.

في إحدى شركات التكنولوجيا، ظل خطر متعلق باختراق بيانات العملاء قائمًا لفترة طويلة دون تنفيذ خطة معالجة واضحة، بسبب تداخل المسؤوليات بين الأمن السيبراني وتقنية المعلومات والإدارة القانونية، إلى أن وقع الحادث بالفعل، ليظهر أن غياب الملكية كان أحد الأسباب الرئيسية لفشل الاستجابة.

5.الاعتماد على النماذج الرقمية والمؤشرات الكمية في تقييم المخاطر 

رغم أهمية النماذج الكمية في تحليل المخاطر، إلا أن الاعتماد المفرط عليها يؤدي إلى ما يمكن وصفه بـ”وهم السيطرة”.

فالمخاطر لا تتشكل دائمًا في شكل أرقام واضحة أو مؤشرات قابلة للقياس، بل تتطور تدريجيًا عبر عوامل تشغيلية وسلوكية وثقافية يصعب اختزالها في نماذج رياضية. وقد أظهرت العديد من الأزمات الكبرى أن المؤسسات التي تعتمد بشكل مفرط على Heat Maps والمؤشرات الرقمية غالبًا ما تفشل في رؤية المخاطر المتراكمة غير الظاهرة.

حتى في المؤسسات التي تمتلك أنظمة تحليل متقدمة، قد يؤدي تجاهل العوامل البشرية والتشغيلية إلى قرارات غير دقيقة رغم دقة النماذج.

6. تضخم سجل المخاطر وفقدان الأولويات

عندما يتحول سجل المخاطر إلى قائمة طويلة تشمل كل الاحتمالات دون تمييز بين الأهمية والتأثير، فإنه يفقد قدرته على دعم القرار. في هذه الحالة، تصبح جميع المخاطر متساوية في التصنيف، مما يؤدي إلى تشويش في تحديد الأولويات، وصعوبة في توجيه الموارد نحو المخاطر الأكثر تأثيرًا على أهداف المؤسسة.

أفضل ممارسات حوكمة الشركات تشير إلى أن فعالية سجل المخاطر لا ترتبط بحجمه، بل بقدرته على التركيز على المخاطر الجوهرية المرتبطة مباشرة بالأهداف الاستراتيجية.

7. الفصل بين إدارة المخاطر والقرار التنفيذي

في كثير من المؤسسات، تُدار المخاطر داخل لجان رقابية منفصلة عن دوائر اتخاذ القرار الاستراتيجي، مما يؤدي إلى فجوة بين التحليل والتنفيذ. هذا الفصل يجعل إدارة المخاطر المؤسسية وظيفة مراقبة فقط، بدلًا من كونها جزءًا أساسيًا من عملية اتخاذ القرار.

في الواقع، كل قرار استراتيجي سواء كان توسعًا أو استثمارًا أو دخول سوق جديد هو في جوهره قرار مخاطر قبل أن يكون قرار نمو، وبالتالي فإن عزله عن تحليل المخاطر يخلق قرارات غير مكتملة من حيث الرؤية.

8. ضعف ثقافة المخاطر داخل المؤسسة

حتى أقوى أنظمة الضوابط الداخلية لا يمكن أن تنجح إذا كانت الثقافة التنظيمية لا تدعم الإفصاح المبكر عن المخاطر. في بعض البيئات، يتجنب الموظفون الإبلاغ عن المشكلات خوفًا من اللوم أو العقاب، مما يؤدي إلى اختفاء الإشارات المبكرة للأزمات. ولهذا، فإن بناء ثقافة المخاطر داخل المؤسسة يعد عنصرًا أساسيًا لا يقل أهمية عن الأنظمة والسياسات.

ثانيًا: الأخطاء الفكرية التي تقف خلف هذه المشكلات

تكمن جذور هذه الأخطاء التشغيلية في مجموعة من الافتراضات الفكرية غير الدقيقة حول طبيعة المخاطر.

أول هذه الافتراضات هو الاعتقاد بأن الهدف من سجل المخاطر هو التنبؤ الدقيق بالمستقبل، بينما الواقع أن بيئة الأعمال الحديثة لا تسمح بهذا النوع من اليقين، مما يجعل التركيز الحقيقي يجب أن يكون على القدرة على الاستجابة وليس التنبؤ.

الخطأ الثاني يتمثل في الإفراط في الاعتماد على النماذج الكمية، وهو ما يؤدي إلى تجاهل المخاطر غير القابلة للقياس، مثل الثقافة التنظيمية والسلوك البشري والتغيرات المفاجئة في القرارات.

أما الخطأ الثالث فهو تجاهل المخاطر منخفضة الاحتمال عالية التأثير، حيث يتم التركيز على الأحداث المتكررة وإهمال الأحداث النادرة التي قد تكون الأكثر تدميرًا على مستوى المؤسسة.

الخطأ الرابع يكمن في الفارق بين المؤسسة المرنة والمؤسسة الهشة؛ فالمؤسسات التي تسعى إلى أقصى درجات الكفاءة وتقليل الفائض قد تبدو أكثر استقرارًا، لكنها في الواقع أقل قدرة على امتصاص الصدمات عند حدوث الأزمات.

ثالثًا: كيف تظهر هذه الأخطاء في الواقع (حالات عملية)

  • في إحدى المؤسسات التشغيلية، تم التقليل من تأثير خطر مرتبط بالموردين نتيجة الاعتماد الطويل على استقرار العلاقة، إلا أن اضطرابًا مفاجئًا في سلاسل الإمداد أدى إلى توقف العمليات لفترة طويلة، ما تسبب في خسائر تشغيلية وتأخيرات تعاقدية كبيرة لم تكن منعكسة بدقة داخل سجل المخاطر.
  • وفي مؤسسة مالية أخرى، أظهر سجل المخاطر صورة مستقرة تمامًا، بينما كشفت المراجعة الميدانية أن العديد من الضوابط المسجلة لم تكن مطبقة فعليًا، مما خلق فجوة خطيرة بين التوثيق والواقع التشغيلي.
  • وفي حالة ثالثة، أدى الاعتماد على موظف رئيسي واحد دون تسجيل هذا الاعتماد كخطر استراتيجي إلى اضطرابات كبيرة عند مغادرته المفاجئة، مما كشف ضعفًا جوهريًا في إدارة المعرفة داخل المؤسسة.
  • كما أن بعض المؤسسات التي ركزت على الامتثال الشكلي فقط وجدت نفسها غير قادرة على التعامل مع الأزمات الفعلية رغم التزامها الكامل بالإجراءات على الورق.

الخلاصة …

سجل المخاطر ليس المشكلة في حد ذاته، بل الطريقة التي يتم بها تصميمه واستخدامه داخل المؤسسة هي التي تحدد قيمته الفعلية. فعندما ينفصل السجل عن الواقع التشغيلي، ويتحول إلى أداة شكلية، فإنه يفقد دوره الأساسي في دعم القرار وحماية المؤسسة من التهديدات الحقيقية.

إدارة المخاطر الفعالة لا تعتمد على كثافة التوثيق، بل على جودة الفهم، وربط المخاطر بالقرارات، وبناء قدرة مؤسسية على الاستجابة قبل وقوع الأزمة، لا بعدها.