في العديد من المؤسسات، تُكتب السياسات وكأنها متطلب شكلي يجب استيفاؤه، لا أداة إدارية تُبنى عليها القرارات. يتم نسخ نماذج جاهزة، أو إعادة استخدام سياسات من جهات أخرى، ثم تُحفظ في أدلة لا يقرأها أحد، ولا تُستخدم فعليًا في إدارة العمل.
هذه الفجوة بين “وجود السياسات” و”فعاليتها” ليست مشكلة صياغة، بل مشكلة منهج. فالسياسة التي لا تنطلق من فهم حقيقي لطبيعة المخاطر داخل المؤسسة، تتحول إلى نص جامد لا يضيف قيمة، بل قد يخلق وهمًا بالسيطرة.
التحول الحقيقي يبدأ عندما تُبنى السياسات المؤسسية على أساس إدارة المخاطر المؤسسية، وفي إطار واضح من حوكمة الشركات، مدعوم بآليات فعّالة من الرقابة الداخلية. هنا فقط تصبح السياسات أداة توجيه، لا مجرد وثائق.
في هذه المقالة، سنناقش كيف يمكن الانتقال من السياسات المنسوخة إلى سياسات مبنية على المخاطر، ولماذا يُعد هذا التحول جوهريًا لأي مؤسسة تسعى إلى النضج والاستدامة.
أولًا: لماذا تبدو السياسات موجودة لكنها لا تعمل؟
عند تحليل الكثير من المؤسسات، نجد أن المشكلة ليست في غياب السياسات، بل في انفصالها عن الواقع التشغيلي. يتم إعداد السياسات غالبًا من منظور “الامتثال”، وليس من منظور “إدارة المخاطر”.
النتيجة هي سياسات لا تعكس طبيعة العمليات الفعلية، ولا تعالج نقاط الضعف الحقيقية، ولا تُستخدم كمرجع في اتخاذ القرار.
في هذه الحالة، تتحول الرقابة الداخلية إلى اختبار شكلي للالتزام، بدلًا من أن تكون أداة لفهم المخاطر وإدارتها. وتفقد حوكمة الشركات أحد أهم أدوارها، وهو ربط السياسات بالأهداف والمخاطر.
ثانيًا: ما الذي يميز السياسات المبنية على المخاطر؟
السياسات المبنية على المخاطر لا تبدأ بالسؤال: “ماذا يجب أن نكتب؟” بل تبدأ بسؤال مختلف تمامًا: “ما الذي قد يعرّض أهدافنا للخطر؟” هذا التغيير البسيط في نقطة البداية يغيّر كل شيء.
فعندما تنطلق السياسة من إدارة المخاطر، فإنها تعكس الواقع الفعلي للمؤسسة، تستهدف مخاطر محددة بوضوح، وتُصمم لتكون قابلة للتطبيق، لا مجرد توجيهات عامة.
بمعنى آخر، السياسة هنا ليست غاية، بل وسيلة للتحكم في المخاطر وتحقيق الأهداف. وهذا هو جوهر التكامل بين إدارة المخاطر المؤسسية وحوكمة الشركات.
ثالثًا: العلاقة العميقة بين السياسات وإدارة المخاطر المؤسسية
في المؤسسات الناضجة، لا تُكتب السياسات بمعزل عن نظام إدارة المخاطر المؤسسية، بل تُعتبر امتدادًا مباشرًا له.
عملية البناء تبدأ بتحديد المخاطر المرتبطة بكل نشاط: مخاطر تشغيلية، مالية، تنظيمية، أو حتى استراتيجية.
ثم يتم تقييم هذه المخاطر من حيث احتمال حدوثها وتأثيرها. وهنا تظهر الأولويات: ليست كل المخاطر متساوية، وبالتالي ليست كل السياسات بنفس المستوى من التعقيد أو الصرامة.
بعد ذلك، تتحول نتائج التقييم إلى ضوابط وإجراءات أي إلى سياسات فعلية، وهنا تحديدًا تتجسد الرقابة الداخلية: ليس كوظيفة لاحقة، بل كجزء من تصميم السياسة نفسها. بهذا الشكل، تصبح السياسة ترجمة عملية لفهم المخاطر، وليست مجرد نص تنظيمي.
رابعًا: دور الحوكمة في إعطاء السياسات معناها الحقيقي
حتى أفضل السياسات تصميمًا قد تفشل إذا لم تكن مدعومة بإطار قوي من حوكمة الشركات. الحوكمة هنا لا تعني فقط اعتماد السياسات، بل تحديد من يملك سلطة إصدارها، ومن يراقب تطبيقها، ومن يُحاسب على عدم الالتزام بها.
في غياب هذا الوضوح، تتحول السياسات إلى “نوايا مكتوبة” لا أكثر. كما أن دور مجلس الإدارة لا يجب أن يقتصر على الموافقة الشكلية، بل يمتد إلى تقييم ما إذا كانت السياسات تعالج المخاطر الاستراتيجية فعلًا، أم أنها مجرد استجابة تنظيمية.
خامسًا: من النص إلى التطبيق .. هنا يأتي دور الرقابة الداخلية
الفرق الحقيقي بين سياسة ناجحة وأخرى فاشلة يظهر في التطبيق. هنا تلعب الرقابة الداخلية دورًا حاسمًا، ليس فقط في اكتشاف الانحرافات، بل في اختبار مدى واقعية السياسات نفسها.
في كثير من الأحيان، تكشف المراجعات الداخلية أن المشكلة ليست في عدم الالتزام، بل في أن السياسة نفسها غير قابلة للتطبيق. هذا يفتح حلقة تغذية راجعة مهمة: السياسات تُراجع وتُحسّن باستمرار بناءً على الواقع، وليس العكس.
سادسًا: كيف تبدأ فعليًا في بناء سياسات قائمة على المخاطر؟
التحول لا يتطلب إعادة اختراع كل شيء، بل تغيير طريقة التفكير.
ابدأ بتقييم شامل لـ إدارة المخاطر المؤسسية داخل المؤسسة، وحدد أين تكمن المخاطر الحقيقية، وليس فقط الظاهرة. بعد ذلك، اربط كل سياسة بمخاطر محددة، وتأكد أن كل إجراء داخلها له هدف واضح: تقليل احتمال الخطر أو أثره.
اجعل السياسات بسيطة ومباشرة، لأن التعقيد لا يعني القوة، بل غالبًا يعني ضعف التطبيق، ثم اختبر هذه السياسات فعليًا: هل تُستخدم؟ هل تُفهم؟ هل تحقق الهدف منها؟
وأخيرًا، اعتبر السياسات وثائق حية، تتطور مع تغير البيئة، وليس مستندات ثابتة.
سابعًا: الأخطاء التي تعيدك لنقطة الصفر
أخطر ما يمكن أن تفعله المؤسسة هو الاعتقاد أنها “لديها سياسات، إذًا هي محمية”.
النسخ من مؤسسات أخرى، أو التركيز على الشكل بدل الجوهر، أو فصل إدارة المخاطر عن السياسات، كلها ممارسات تعيد إنتاج نفس المشكلة بشكل مختلف. الخطأ الأكبر هو تجاهل أن السياسات ليست غاية، بل وسيلة لإدارة المخاطر وتحقيق الأهداف.
الختام …
السياسات القوية لا تُبنى في قوالب جاهزة، بل تُصاغ من فهم عميق للمخاطر والسياق المؤسسي. عندما تتكامل إدارة المخاطر المؤسسية مع حوكمة الشركات، وتُدعم بآليات فعّالة من الرقابة الداخلية، تتحول السياسات من مستندات شكلية إلى أدوات حقيقية لصناعة القرار. في النهاية، المؤسسات الناضجة لا تسأل: “هل لدينا سياسات؟” بل تسأل: “هل سياساتنا تعكس مخاطرنا فعلًا؟” وهنا يبدأ الفرق الحقيقي.
