دليل وزارة المالية وخطوط الدفاع الثلاثة

من خلال موقعها على وسائل التواصل الاجتماعي، نشرت وزارة المالية، خلال الأسبوع الماضي، الدليل الاسترشادي لإدارة المخاطر، وهو مشروع مهم جدا في هذه المرحلة، كما أن الدليل جاء متقنا من عدة جوانب، ويتماشى تماما مع تصاعد الاهتمام بهذا الموضوع الذي يجد صدى واسعا في العالم، وهو - في نظري - يمثل قمة العمل الرقابي، ودونه لا يمكن القول بوجود حوكمة أو مراجعة داخلية أو حتى خارجية. نعم لا يمكن لهذه القضايا أن توجد ما لم توجد إدارة المخاطر، بل لا يمكن أن يكون هناك وجود يذكر لما يسمى الرقابة على الجودة إذا لم توجد إدارة للمخاطر، فهي أساس الرقابة من أبوابها كافة.
ومع كامل شكري وتقديري للجهود الكبيرة التي بذلتها وزارة المالية في إنتاج هذا الدليل الاسترشادي، فإنني لا أخفي استغرابي لصدوره من جانبها. لقد كنت أرجو أن يصدر هذا الدليل من جهات أقرب للرقابة والحوكمة أو تلك التي يرتبط عملها أساسا بمثل هذا الدليل، كالديوان العام للمحاسبة، أو هيئة الرقابة ومكافحة الفساد أو الجمعية السعودية للمراجعين الداخليين، فقد كان الأولى أن يصدر التقرير من إحدى هذه الجهات، خاصة أن الدليل يقتبس من أعمال المعهد الدولي للمراجعين الداخليين، فلو أنه صدر من الجمعية السعودية للمراجعين الداخليين لتتولى تحديثه. وفي اعتقادي بأن تولي وزارة المالية لهذا الموضوع فيه إشارة لا تخفى.
لقد وجد الدليل أصداء رائعة بين المهتمين، وتم تلقيه بترحاب واسع، فهو مفصل بشكل متمكن ويمثل مرجعا تدريبيا متكاملا، ولم يكن مجرد سلسلة من المهام الإجرائية لأعمال إدارة المخاطر، بل كان شرحا مفصلا للمفهوم وربطا محكما بالنماذج الدولية، ومن بينها نموذج COSO، وكذلك نموذج الأيزو 31000، وقد حاول واضع الدليل أن يمزج بين النموذجين من أجل فتح المجال لجميع المهتمين الذين تلقوا تدريبا على أحد النموذجين فقط، وهو ما منح الدليل ثراء كبيرا. لكن مع ذلك، كنت أفضل لو أنه تم تجاهل نموذج أيزو 31000، لأنه نموذج لا يهتم بالحوكمة بالقدر الذي يهتم به نموذج COSO، فنموذج الأيزو يرى المخاطر كمتطلب ورقي لاستكمال أعمال اعتماد الجودة ويرى هيمنة الجودة عليها، وهذا هو سبب فشل نماذج الجودة التي لم تتجاوز كونها حزمة ضخمة من الأوراق والاعتمادات الوهمية التي لا تقدم حقائق على أرض الواقع، لكن نموذج COSO يضع المخاطر في مكانها الصحيح ويمنحها الهيمنة على نموذج نظام الرقابة الداخلية بجميع أشكالها، بل هو مفتاح تشريح الحوكمة في أي مؤسسة، ومن يحاول تطوير الحوكمة في أي مؤسسة دون القيام بتحليل المخاطر وفقا لنموذج COSO فلن ينتهي إلا بنموذج الجودة نفسه، كومة من الأوراق واللوائح لكن بلا اعتمادات، ولهذا فإن وجود الاعتمادات في الجودة يضفي عليها مصداقية وطلبا أكثر من الحوكمة.
لقد أبدع الدليل في وصف خطوط الدفاع الثلاثة التي تمثل جوهر مفهوم الحوكمة، فمن لم يع نموذج الخطوط الدفاعية الثلاثة لن يتمكن أبدا من فهم الحوكمة. ولهذا، فإن كثيرا ممن عملت معهم يفرون عند سماع كلمة الحوكمة، ولا لوم فقد تم استهلاك هذا المفهوم بشكل قبيح فعلا، والجميع يتحدث عنه كأنه من مفاهيم الفيزياء التي تدرس في المرحلة المتوسطة ويرددها كثير منا دون فهم عميق لمعانيها وتأثيرها في الحياة من حولنا، بل حتى دون اكتراث بذلك، لكن مع هذا التمادي في استخدام المصطلح فلا مفر منه، فليس هو من قبيل مفاهيم الجودة التي انكشف عنها سترها، لكنه عميق عمق الثورة الصناعية وعلم الاقتصاد، لقد كان هناك منذ اللحظات الأولى لانطلاق شركات السفن التجارية التي عبرت المحيطات، كشركة الهند الشرقية، وهو المفهوم الذي وضح العلاقات بين أصحاب المصلحة والوكلاء التجاريين، وهو الذي حفز الطلب على المراجعة الخارجية، وتسبب في إنشاء الأسواق المالية وعالم وول ستريت بأكمله، وهو الذي حفز الطلب على تطوير أنظمة الرقابة الداخلية وشركات التأمين، هو الذي أنتج مؤسسات دولية كبرى مثل المعهد الأمريكي للمحاسبين القانونيين، وهيئة السوق المالية، وهو المفهوم الذي فتح الطريق لوجود منظمة COSO وهي التي أنتجت تاج فكر الحوكمة، هو نموذج المخاطر المؤسسية.
تحليل المخاطر المؤسسية يتضمن تحليلا دقيقا لنقاط ضعف نموذج الحوكمة في كل مؤسسة، فهو يكتشف أين الخلل، هل هو في الجهاز التنفيذي والقيادات والهيكل التنظيمي، أم في الخطة الاستراتيجية؟ هل هو في آليات العمل والتنسيق بين كل المستويات الإدارية بدءا من مجلس الإدارة؟ وهل هناك مشكلات تتعلق بتعارض المصالح؟ هل هناك إشارات إلى مشكلات تتعلق بالمنافسة والقدرة على الاستمرار والموارد، أم هي ضعف الإجراءات والمهام والتشغيل وقياس الأداء، أم يتعلق الأمر بمشكلات في التقارير، أم في الالتزام بالأنظمة والتعليمات واللوائح؟ إدارة المخاطر تقدم كشف تحليل دقيق، ثم على مهندس الحوكمة معالجة الخلل حسب الحال. ولا أخفي احترامي للدليل الاسترشادي الذي وضع الفرص كنوع من المخاطر وهو مفهوم متقدم للمخاطر وصعب التطبيق فعليا ما لم يكن هناك مختص ممارس.
مما يستحق الإشادة في التقرير هو تصنيف حالة المنظمات والجهات مع المخاطر، حيث صفنها إلى نحو خمس فئات حسب تطورها في إدارة المخاطر مع وصف دقيق لكل فئة، وهذا التصنيف مهم للباحثين وطلاب الدراسات العليا حاليا. كانت الفئة الأقل اهتماما بالمخاطر هي الفئة الأولية، وهي التي لا يوجد لدى الأفراد فيها وعي بممارسات إدارة المخاطر ولا تتم ممارساتها بشكل استباقي، بل على أساس رد الفعل، ولا توجد آلية وأهداف شاملة لإدارة المخاطر، وللأسف هذا حال الأغلبية العظمى للجهات لدينا، ونحتاج إلى جهد كبير لرفع مستويات الوعي، وهذا الدليل خطوة جبارة في الطريق الصحيح، فشكرا لوزارة المالية.