ان الكثير من الكوارث والانھيارات المؤسسية حصلت بسبب فشل الادارة في حماية حقوق اصحاب المصالح ،
والخسارات في العمل وفي الفرص الضائعة ، وعدم اھتمام الادارة بالازمات التي تواجھھا وكيفية التعامل معھا بشكل سليم ، حيث يلاحظ ان منظمات اليوم تواجه حشدا كبيرا من المخاطر الجديدة مثل مخاطر التكنولوجيا ، مخاطر سرية معلومات الزبون ، المخاطر المتعلقة بجميع اشكال التجارة الالكترونية .
لذا يجب الاھتمام بإدارة المخاطر اذ أكد حماد على أن ادارة المخاطر ” عبارة عن منھج او مدخل علمي للتعامل مع المخاطر البحتة عن طريق توقع الخسائر العارضة المحتملة وتصميم وتنفيذ اجراءات من شانھا ان تقلل امكانية حدوث الخسارة او الاثر المالي للخسائر التي تقع الى الحد الادنى ).”
فقد وصفت “بانھا تحديد ، تحليل ، والسيطرة الاقتصادية على ھذه المخاطر التي تھدد الاصول او القدرة الايرادية للمشروع .”
ووفقا لمعھد المدققين الداخليين( (IIAفان ادارة المخاطر ھي “احتمالية تنفيذ او عدم تنفيذ امر ما او عمل ما
قد يؤثر بشكل سلبي على المنظمة او النشاط تحت التدقيق”
وعرف الوردات ادارة المخاطر “بانھا مجال التوصل الى منع الخطر والتقليل من حجم الخسائر عند حدوث الخطر والعمل على عدم تكرار تلك الاخطار بدراسة اسباب حدوث كل خطر عند حدوثه لتلافيه مستقبلا كما تمتد ادارة المخاطر الى تدبير الاموال اللازمة للتعويض عن الخسائر التي تحدث حتى لايتوقف عن العمل”
من خلال التعاريف السابقة يمكن التوصل إلى الخصائص التالية لإدارة المخاطر:
– ان إدارة المخاطر ھي جزء أساسي من الإدارة الإستراتيجية لأي منظمة . وھي الإجراءات التي تتبعھا المنظمات بشكل منظم لمواجھة الأخطار المصاحبة لأنشطتھا ، بھدف تحقيق أھدافھا.
– تساعد إداره المخاطر على فھم الجوانب الأيجابيه و السلبية المحتملة لكل العوامل التي قد تؤثر على المنظمة.
فھي تزيد من احتمال النجاح وتخفض كلا من احتمال الفشل وعدم التأكد من تحقيق الأھداف العامة للمنظمة.
– يجب أن تكون إدارة المخاطر مستمرة ودائمة التطور وترتبط بإستراتيجية المنظمة وكيفية تطبيق تلك
الإستراتيجية. ويجب أن تتعامل بطريقة منھجية مع جميع الأخطار التي تحيط بأنشطة المنظمة في الماضي
والحاضر وفي المستقبل على وجه الخصوص.
– يجب أن تندمج إدارة المخاطر مع ثقافة المنظمة عن طريق سياسة فعالة وبرنامج يتم إدارته بواسطة أكثر
المدراء خبرة. ويجب ترجمة الإستراتيجية إلى أھداف تكتيكية وعملية، وتحديد المسئوليات داخل المنظمة لكل
مدير وموظف مسؤول عن إدارة المخاطر كجزء من التوصيف الوظيفي لعملھم.
واعتمادا على حجم المنظمة ، قد تتحمل وظيفة إدارة المخاطر من مدير للخطر يعمل جزءا من الوقت إلى قسم
لأداره المخاطر يعمل طول الوقت الى توزيع المسؤولين على الادارات المختلفة بما يسمى التقييم الذاتي للمخاطر
ويجب أن تتضمن وظيفة إدارة المخاطر ما يلي:
– • وضع سياسة وأستراتيجية إدارة المخاطر.
– • التعاون على المستوى الاستراتيجي والتشغيلي فيما يخص إدارة المخاطر.
– • بناء الوعي الثقافي للخطر داخل المؤسسة ويشمل التعليم الملائم .
– • إعداد سياسة وھيكل للخطر داخليا لوحدات العمل .
– • تصميم ومراجعة عمليات إدارة المخاطر .
– • التنسيق بين أنشطة مختلف الوظائف التي تقدم النصيحة فيما يخص نواحي إداره المخاطر داخل
المنظمة .
– • تطوير عمليات مواجھة المخاطر والتي تتضمن برامج الطوارئ واستمرارية النشاط .
– • اعداد التقارير عن المخاطر وتقديمھا لمجلس الإدارة وأصحاب المصلحة .
ويمكن ان يلعب كل من المدقق الداخلي والخارجي دورا حيويا في توفير تاكيد مستقل فيما يتعلق بفعالية عملية
ادارة المخاطر . حيث يساھم المدققين الداخليين بصورة كبيرة في اعطاء تاكيد واستشارة عن العمليات من خلال الاعمال اليومية الجارية ، فضلا عن الفھم العميق للمخاطر التي تواجه انشطة المنظمة وقد يختلف دورالمدقق الداخلي من منظمة لأخرى . وعمليا قد يتضمن دورالمدقق الداخلي كل أو بعض ممايلي:
• تركيز عمل المدقق الداخلي على الأخطار الھامة، التي تم تحديدھا بواسطة الإدارة، ومراجعة عمليات
أداره المخاطر داخل المنظمة .
• منح الثقة في إدارة المخاطر.
• تقديم الدعم الفعال والمشاركة في عمليات إدارة المخاطر.
• تسھيل أنشطة تحديد وفحص الأخطار وتعليم العاملين بإداره المخاطر.
• تنسيق عملية إعداد تقرير المخاطر المقدم لمجلس الإدارة ولجنة المتابعة الداخلية .
ويوصي تقرير لجنة (Walker&Barton,Op.Cit ,2003,p50) Kingالمنقح حول التحكم المؤسسي أن يكون من مسؤولية الإدارة العليا ومجلسھا مايلي:
• تحديد المخاطر التي تنحدر من انشطة واستراتيجيات العمل واعطائھا الاولوية .
• وضع كل من الادارة والمجلس الحدود المقبولة لمخاطر العمل .
• ان استراتيجيات ادارة المخاطر تساعد في تحديد المستويات غير المقبولة لمخاطر العمل ، وثم وضع
المخاطر الاضافية والمصادقة عليھا من قبل المجلس .
• تطوير عملية ادارة المخاطر لضمان اعادة فحص فاعلية الرقابة .
• التحقق من استلام المجلس والادارة تقارير دورية حول نتائج عملية ادارة المخاطر .
وفي سياق التحكم المؤسسي فان النشاط الرئيسي للتدقيق الداخلي فيما يتعلق بالمخاطر ھو مراقبتھا ، آخذا بنظر الاعتبار جميع الخطوات القانونية لغرض تحديد وتقويم التاثير المحتمل للمخاطر على لمنظمة ، وكذلك مراقبة استراتيجية المخاطر الحالية واجراءات الرقابة الملازمة لھا ، ومن ثم تقرير استراتيجية المنظمة واخيرا مراقبة المحيط لمخاطر جديدة. وتشير معايير التدقيق الداخلي الى انه ينبغي ان يساعد نشاط التدقيق الداخلي المنظمة من خلال تقييم وتحديد مدى التعرض الجوھري للمخاطر، كما ينبغي ان يساھم في تحسين ادارة المخاطر وانظمة الرقابة مع مراعاة خدمات التاكيد والاستشارة وينبغي على مدير التدقيق الداخلي مناقشة الادارة التنفيذية حول قبول الادارة لمخاطر غير مقبولة من قبل المنظمة والتقرير عن ذلك لمجلس الإدارة لايجاد الحل . كما يجب ان توضع خطة التدقيق الداخلي المبنية على اساس تقييم المخاطر، على الاقل مرة سنويا ، ويجب الاخذ بالإعتبار توجيھات الادارة العليا ومجلس الادارة في ھذه العملية .
وعلى نشاط التدقيق الداخلي تقييم كفاءة وفعالية الرقابة شاملة انظمة التوجيه ، العمليات، والمعلومات ويجب ان يتضمن ذلك : صحة المعلومات المالية والتشغيلية وامكانية الاعتماد عليھا ’ فعالية وكفاءة العمليات، حماية الاصول ، الالتزام بالقوانين ، الانظمة والاتفاقيات . ويتم ذلك من خلال المراحل التالية
أ. تعريف الخطر : ان تحديد الخطر يتضمن تعريف الانشطة وتعريف عوامل الخطر ذات العلاقة والاھمية النسبية لھا، والتغيرات التي تحصل في النشاط الخاضع للتدقيق . فالخطر يعني عدم الوضوح من حدوث امر ما قد يكون له اثر على تحقيق الاھداف ويقاس الخطر بالترجيح والاحتمالات . ويمكن تحديد ھذه المخاطر عن طريق التخطيط الجيد والاشراف والرقابة .
ب. تقييم وقياس المخاطر : ان تقييم الخطر ھو تعريف وتحليل الاخطار ذات العلاقة بانجاز اھداف المنظمة بغرض تحديد كيفية مواجھة تلك الاخطار . فالاخطار ليست متساوية فامكانية حدوث بعضھا اكثر من الاخر، ويختلف الخطر الجوھري والخطر المرتبط بالمراقبة عن خطر الاكتشاف من حيث ان النوعين الاولين يتم تحديدھما داخل النشاط الخاضع للتدقيق ، اما الاخير فيمكن للمدقق ان يتحكم به من خلال اجراءاته .
ج.رقابة الخطر : قد تتغير أھداف الجھة بمرور الزمن ، ومن المرجح أيضا أن تتغير حافظة المخاطر التي تواجھھا وأھميتھا النسبية بمرور الزمن. حيث أن الاستجابة للمخاطر التي كانت ذات فعالية في السابق قد تصبح غير فعالة أو يستحيل وقوعھا في الوقت الحالي، و قد تصبح الأنشطة الرقابية اقل فعالية أو تزول أھميتھا. لذا تحتاج الإدارة لمراقبة فعالية نظام إدارة المخاطر باستمرار من اجل تحديد مدى فعالية النظام ومدى ملاءمته. وتختلف عملية تقييم فعالية إدارة المخاطر في النطاق والتكرار ، وھذا يتوقف على أھمية المخاطر وأھمية الاستجابة للمخاطر والرقابات ذات الصلة في إدارة تلك المخاطر. وعندما تتخذ الإدارة القرار لإجراء تقييم شامل لإطار إدارة المخاطر ، ينبغي توجيه الاھتمام لمعالجة كل جوانب ھذه العملية بما فيھا تحديد الإستراتيجية، تحديث سجلات إدارة المخاطر و”فحص سلامة” الإجراءات التنظيمية والتشغيلية وتستدعي اوجه القصور في نظام ادارة المخاطر ضرورة الابلاغ عنھا الى المستوى الاداري المناسب بالاضافة الى الابلاغ عن الامور الجدية وتقديم التقارير عنھا الى الادارة العليا او مجلس الادارة بھدف تحسين اداء الجھة .
اما بالنسبة لدور المدقق الخارجي في ظل التطور التكنولوجي وما صاحبه من مخاطر فيتضح من خلال تنوع الخدمات التي يقدمھا حيث يمكن للمدقق الخارجي تقديم الخدمات التالية :
-خدمات الثقة على النظام بشكل متكامل :
ان التوسع في بيئة تقنية المعلومات يضع مطالب اكبر على المدقق من خلال العمل على تخفيض المخاطر وتكاليف الرقابة المتعلقة بھا . وكنوع من التطور في اداء ھذه الخدمة سعى المعھدين الامريكي والكندي الى وضع المعايير المناسبة لاضفاء الثقة على نظام المعلومات الالكتروني من خلال اختبار كافة الاساليب الرقابية على عمليات ارسال البيانات وفحصھا واستلامھا , واكتشاف الاخطاء واتخاذ الاجراءات التصحيحية الفورية بالشكل الذي يضمن توفير معلومات موثوق بھا في الوقت المناسب لكل الاطراف التي تحتاجھا ,ويقوم المدقق بعد فحص اجراءات الرقابة على النظام الالكتروني اصدار تقرير عن تلك الاعمال ليضفي الثقة على النظم المالية الالكترونية وامكانية الاعتماد على معلوماتھا . ان اداء ھذه الخدمة يتطلب اطار متكامل من الخدمات التدقيقية ) ان التدقيق المتكامل يتطلب توسيع نطاق قاعدة المعرفة بتكنولوجيا المعلومات
وتطوير ادوات التدقيق .