مع تصاعد المخاطر، وتعدد المتطلبات التنظيمية، وتزايد توقعات المستثمرين، أصبحت حوكمة الشركات وتبني إطار الحوكمة المؤسسية المناسب عنصرًا أساسيًا في تعزيز الاستقرار المؤسسي. ولم يعد الأمر يقتصر على وضع سياسات شكلية، بل أصبح بناء منظومة متكاملة تجمع بين إدارة المخاطر المؤسسية وفعالية الرقابة الداخلية ضرورة استراتيجية لضمان استدامة الأداء المؤسسي.
غير أن المؤسسات غالبًا ما تقع في فخ البحث عن “الإطار المثالي الشامل” الذي يغني عن غيره، في حين أن الواقع المهني يثبت أن كل إطار عالمي في إدارة المخاطر والحوكمة صُمم لمعالجة زاوية محددة من منظومة الحوكمة والمخاطر والامتثال.
ورغم أن هذه الأطر تُذكر غالبًا في سياق واحد، إلا أن كلًا منها نشأ لمعالجة إشكالية مختلفة، ويعمل على مستوى مختلف داخل المنظومة المؤسسية. فهم هذا الاختلاف ليس مسألة نظرية، بل شرط أساسي لاختيار إطار الحوكمة المؤسسية المناسب وتجنب إسقاط نموذج غير ملائم على بيئة تنظيمية أو تشغيلية مختلفة.
تتناول هذه المقالة مقارنة تحليلية بين أربعة من أبرز الأطر العالمية: COSO وOECD وIIA وOCEG، مع توضيح نطاق كل إطار ودوره في دعم حوكمة الشركات وتعزيز إدارة المخاطر المؤسسية وتحسين فعالية الرقابة الداخلية، إضافة إلى توضيح أسباب عدم كفاية الاعتماد على إطار واحد لبناء منظومة متكاملة لإدارة المخاطر.
أولًا: إطار COSO – مرجعية الرقابة الداخلية وإدارة المخاطر المؤسسية
تم إنشاء إطار COSO في الأصل لتعزيز موثوقية التقارير المالية بعد سلسلة من الانهيارات المؤسسية، ثم تطور ليقدم إطارًا متكاملًا لإدارة المخاطر المؤسسية (ERM). الفلسفة التي يقوم عليها الإطار هي أن المخاطر لا تُدار بمعزل عن الاستراتيجية، بل تُدمج داخل عملية تحديد الأهداف وصنع القرار.
إصدار ERM الحديث من COSO أعاد صياغة المفهوم بحيث أصبحت إدارة المخاطر مرتبطة مباشرة بالأداء المؤسسي وخلق القيمة. لم يعد التركيز على منع الخسائر فقط، بل على تحسين جودة القرارات من خلال فهم درجة المخاطرة المقبولة وتقييم البدائل الاستراتيجية في ضوء عدم اليقين.
يُستخدم COSO عادةً في المؤسسات التي تحتاج إلى نظام منظم لتحديد المخاطر، تقييمها، ربطها بالأهداف، وتوثيق الضوابط المرتبطة بها. وهو شائع في البيئات التي تخضع لرقابة سوقية أو متطلبات إفصاح صارمة، لأنه يوفر هيكلًا واضحًا يمكن مراجعته وتقييمه.
ومع ذلك، فإن COSO لا يقدم نموذجًا تفصيليًا لبناء ثقافة حوكمة عليا أو لتنظيم العلاقة بين مجلس الإدارة والمساهمين؛ بل يفترض وجود إطار حوكمي قائم يمكن من خلاله ممارسة الرقابة على إدارة المخاطر.
وبالتالي، فهو قوي في “كيف نضبط ونقيم المخاطر”، لكنه لا يغني عن أطر الحوكمة الاستراتيجية أو أطر الامتثال الشاملة.
المكونات الخمسة لإطار COSO
1. بيئة الرقابة
تمثل بيئة الرقابة الأساس الذي يقوم عليه النظام الداخلي للمنظمة. وتشمل المبادئ المرتبطة بها الالتزام بالنزاهة والقيم الأخلاقية، وتأكيد دور مجلس الإدارة أو المسؤول الأعلى في الإشراف والرقابة. كما تتضمن إنشاء هيكل تنظيمي واضح يحدد الصلاحيات والمسؤوليات، والالتزام بتوظيف وتطوير الكفاءات، وتعزيز ثقافة المساءلة داخل المؤسسة.
2. تقييم المخاطر
يركز هذا المكون على تحديد المخاطر التي قد تعيق تحقيق أهداف المنظمة وتحليلها بعمق. ويشمل المبادئ المرتبطة به تحديد الأهداف المناسبة، التعرف على المخاطر المحتملة وتحليلها، تقييم مخاطر الاحتيال، وفهم التغيرات المهمة التي قد تؤثر على العمليات.
3. أنشطة الرقابة
تختص أنشطة الرقابة بوضع الإجراءات والسياسات التي تضمن تطبيق الرقابة الداخلية بفعالية. وتشمل المبادئ المرتبطة بها اختيار وتطوير أنشطة الرقابة المناسبة، استخدام التقنيات الملائمة لمراقبة الأداء، تطوير واختيار المعلومات الضرورية، وضمان تطبيق السياسات والإجراءات بشكل دقيق.
4. المعلومات والتواصل
تلعب المعلومات والتواصل دورًا حيويًا في دعم تنفيذ الرقابة الداخلية. وتركز المبادئ المرتبطة بهذا المكون على استخدام معلومات ذات صلة وجودة عالية لدعم اتخاذ القرار، وضمان التواصل الفعال بين الجهات الداخلية والخارجية للنظام الرقابي، وتفعيل تدفق المعلومات لضمان وضوح المهام والمسؤوليات.
5. المراقبة والمتابعة
يشمل هذا المكون عمليات تقييم مستمرة أو منفصلة لمكونات الرقابة الداخلية، للتأكد من فاعليتها وكشف أي قصور. وتتم متابعة النتائج وتحليلها لتقديم تقارير دقيقة للإدارة العليا، ما يتيح التعديل المستمر وتحسين نظام الرقابة.
ثانيًا: مبادئ OECD مرجعية الحوكمة المؤسسية على المستوى الكلي
على النقيض من COSO، فإن مبادئ OECD لحوكمة الشركات لا تقدم نموذجًا تشغيليًا لإدارة المخاطر، بل تضع إطارًا معياريًا يحدد كيفية تنظيم السلطة داخل المؤسسة، وكيف تُحمى حقوق المساهمين وأصحاب المصلحة.
يتم استخدام هذه المبادئ غالبًا كمرجعية تنظيمية على مستوى الدول والأسواق المالية، كما تعتمدها الهيئات التشريعية عند صياغة قوانين الشركات أو تحديث قواعد الإدراج. تركيزها ينصب على الشفافية، العدالة، المساءلة، ودور مجلس الإدارة في الإشراف الاستراتيجي.
الفرق الجوهري هنا أن OECD لا يخبرك كيف تبني مصفوفة مخاطر، ولا كيف تصمم نظام رقابة داخلية، بل يحدد البيئة الحاكمة التي ينبغي أن تعمل ضمنها تلك الأنظمة. بمعنى آخر، هو إطار يضبط “قواعد اللعبة”، لا تفاصيل تنفيذها.
لذلك يكون مناسبًا عند تصميم أو إصلاح هيكل حوكمة على مستوى مؤسسي أو وطني، لكنه لا يكفي وحده لإدارة المخاطر التشغيلية أو المالية اليومية.
ثالثًا: إطار IIA – مرجعية المراجعة الداخلية والحوكمة المهنية
يركز IIA على عنصر محدد داخل منظومة الحوكمة، وهو المراجعة الداخلية. المعايير المهنية التي يصدرها لا تهدف إلى بناء نظام حوكمة شامل، بل إلى ضمان وجود جهة مستقلة تقيّم فعالية أنظمة الحوكمة وإدارة المخاطر والرقابة الداخلية.
الميزة الأساسية لهذا الإطار أنه يرسخ مفهوم “الضمان المستقل”. فحتى لو تبنت المؤسسة COSO أو أي نموذج آخر، فإن فعالية التطبيق تعتمد على وجود وظيفة مراجعة داخلية قادرة على تقييم مدى الالتزام والانحراف.
إطار IIA يصبح ضروريًا عندما تسعى المؤسسة إلى تعزيز المساءلة الداخلية، أو عندما ترغب لجنة المراجعة في الحصول على تقييم موضوعي للأنظمة القائمة. لكنه لا يُستخدم كبديل عن إطار حوكمة أو إدارة مخاطر، بل كآلية تقييم وتحسين مستمر.
رابعًا: إطار OCEG – نموذج التكامل بين الحوكمة والمخاطر والامتثال
ظهر إطار OCEG GRC استجابة للحاجة الملحة لدى المؤسسات الكبيرة والمعقدة إلى دمج وظائف الحوكمة وإدارة المخاطر والامتثال ضمن نظام واحد متماسك. فبينما تعمل معظم المؤسسات على هذه الجوانب بشكل منفصل، فإن هذا الفصل غالبًا ما يؤدي إلى ازدواجية في السياسات، تضارب في المسؤوليات، وتقارير غير مترابطة، ما يضعف فعالية الرقابة واتخاذ القرار.
يعتمد إطار OCEG على فلسفة التكامل بدل الفصل، حيث يتم توحيد الرؤية عبر جميع المستويات التنظيمية، بحيث تتقاطع عملية تحديد المخاطر مع الامتثال للسياسات واللوائح، ويكون مجلس الإدارة على اطلاع مستمر على مستوى التحكم والالتزام داخل المؤسسة. الفكرة الأساسية أن الحوكمة ليست مجرد إطار تنظيمي، بل عملية مستمرة تشمل جميع الأنشطة التشغيلية، مع ربطها بأهداف العمل الاستراتيجية وقياس الأداء بشكل مستمر.
يتيح هذا التكامل للمؤسسات إمكانية تخصيص الأدوات والعمليات وفق طبيعة أعمالها، بغض النظر عن حجمها أو تعقيدها، مع التركيز على تحقيق رؤية شاملة للحوكمة والإشراف على المخاطر والالتزام القانوني. كما يدعم OCEG الابتكار من خلال مرونة التطبيق، حيث يمكن للمؤسسات البدء بأطر بسيطة للمخاطر والامتثال، ثم تطويرها تدريجيًا لتشمل جميع جوانب الحوكمة والرقابة الداخلية.
من الناحية العملية، يوفر الإطار آليات لربط السياسات بالأنشطة اليومية، والتأكد من أن الإجراءات التشغيلية تتماشى مع الأهداف الاستراتيجية، مع تعزيز ثقافة المساءلة والشفافية داخل المؤسسة. وعليه، فإن تطبيق OCEG GRC لا يقتصر على تبني أداة أو وثيقة، بل يشمل تطوير منهجية متكاملة لإدارة جميع المخاطر والامتثال ضمن عملية حوكمة واحدة، مما يتيح قرارات أكثر وعيًا واستجابة أسرع للتغيرات التنظيمية والتشغيلية.
باختصار، يمثل إطار OCEG الحل الأمثل للمؤسسات التي تواجه تحديات تعدد الأطر التنظيمية، ويرغب أصحابها في منهجية موحدة تجمع بين الحوكمة، المخاطر، والامتثال، مع الحفاظ على القدرة على التكيف مع متغيرات البيئة الداخلية والخارجية، وتحويل إدارة المخاطر والالتزام من نشاط تقليدي إلى أداة استراتيجية لتعزيز الأداء المؤسسي.
الفروق الجوهرية بين الأطر
يمكن فهم الاختلاف بين هذه الأطر من خلال النظر إلى مستوى تدخل كل منها داخل المؤسسة:
- OECD يعمل على مستوى الحوكمة العليا والعلاقة بين الأطراف.
- COSO يعمل على مستوى إدارة المخاطر والرقابة الداخلية المرتبطة بالأهداف.
- IIA يعمل على مستوى التقييم والضمان المستقل.
- OCEG يعمل على مستوى التكامل بين الوظائف المختلفة.
هذا الاختلاف في النطاق هو السبب الرئيسي في أن إطارًا واحدًا لا يمكن أن يلبي جميع الاحتياجات. فالإطار الذي يحدد مبادئ العدالة والشفافية لا يغني عن وجود نظام لتحديد المخاطر، والنظام الذي يحدد المخاطر لا يغني عن جهة مستقلة تقيّم فعاليته، وكل ذلك قد يفقد كفاءته إذا لم يُدمج ضمن منظومة متكاملة.
لماذا لا يصلح إطار واحد للجميع؟
السبب ليس في قصور هذه الأطر، بل في اختلاف السياقات المؤسسية. حجم المؤسسة، طبيعة نشاطها، درجة تنظيم القطاع، هيكل الملكية، ومستوى النضج الإداري، هذه العوامل تحدد الإطار الأنسب.
المؤسسات الصغيرة قد تحتاج مبادئ حوكمة واضحة دون تعقيد هيكلي. الشركات المدرجة تحتاج نظامًا موثقًا لإدارة المخاطر. المؤسسات متعددة الجنسيات تحتاج تكاملًا بين الامتثال والمخاطر. والقطاع العام قد يركز أكثر على الشفافية والمساءلة المجتمعية.
لذلك فإن البحث عن “أفضل إطار مطلق” هو مقاربة غير دقيقة. المنهج الأكثر نضجًا هو اختيار الإطار بناءً على الغرض، ثم دمجه مع أطر أخرى عند الحاجة، مع الحفاظ على اتساق فلسفي بين مكوناتها.
الخلاصة
في ضوء ما سبق، يتضح أن أطر COSO وOECD وIIA وOCEG ليست بدائل متنافسة، بل أدوات متكاملة داخل منظومة حوكمة الشركات الحديثة. فكل إطار يركز على جانب محدد من منظومة إدارة المخاطر المؤسسية والرقابة والامتثال، ويساهم بطريقته في تعزيز فعالية الرقابة الداخلية ودعم اتخاذ القرار داخل المؤسسة.
الاختيار الذكي لا يقوم على تبني إطار واحد ورفض بقية الأطر، بل على فهم الدور الذي يؤديه كل منها، ثم تصميم إطار الحوكمة المؤسسية متكامل يربط بين الحوكمة والاستراتيجية وعمليات إدارة المخاطر بما يتناسب مع طبيعة المؤسسة وأهدافها طويلة المدى.
في النهاية، لا تُقاس الحوكمة الفعالة بعدد النماذج أو الأطر المعتمدة، بل بقدرة المؤسسة على توظيف هذه الأطر لتعزيز حوكمة الشركات وتحويل إدارة المخاطر المؤسسية إلى أداة تدعم القرارات الاستراتيجية وتخلق قيمة مستدامة. فالمؤسسات الناضجة لا تبحث عن إطار شامل واحد، بل تبني منظومة متكاملة تجمع بين الرقابة الداخلية وإدارة المخاطر وإطار الحوكمة المؤسسية لتحقيق أداء مستدام وثقة طويلة الأجل.
