إطار coso لإدارة المخاطر النظام الذهبي لإدارة المخاطر المؤسسية بفعالية واستباقية

تعد إدارة المخاطر من العناصر الجوهرية لضمان استدامة المؤسسات ونجاحها في بيئة تتسم بالتغيرات المستمرة والتحديات المتزايدة. وفي هذا السياق، يعد إطار COSO لإدارة المخاطر المؤسسية (COSO ERM Framework) من أكثر الأطر اعتماد وشمول، حيث يوفر منهجية متكاملة لتحديد المخاطر وتحليلها والاستجابة لها، بما يسهم في تعزيز القدرة على اتخاذ قرارات استراتيجية مدروسة وتحقيق الأهداف التنظيمية بكفاءة وفعالية.

ما هو إطار coso؟

إطار coso لإدارة المخاطر هو إطار شامل لإدارة المخاطر والرقابة الداخلية طور لمساعدة المؤسسات في تحقيق أهدافها، وتحسين الأداء، والتعامل مع المخاطر بطريقة منظمة. كلمة COSO هي اختصار لـ:

• Committee of Sponsoring Organizations of the Treadway Commission
• وقد أُطلق أول مرة عام 1992 كإطار للرقابة الداخلية، وتم تحديثه لاحقًا ليشمل إدارة المخاطر المؤسسية (ERM – Enterprise Risk Management).

أولًا: ما هو إطار coso لإدارة المخاطر ؟

إطار COSO هو دليل أو نموذج إداري يُستخدم لتصميم، تنفيذ، وتقييم كل من:

• الرقابة الداخلية (Internal Control Framework – 1992/2013)
• إدارة المخاطر المؤسسية (Enterprise Risk Management – ERM Framework – 2004/2017)

أهداف إطار coso لإدارة المخاطر يهدف إلى مساعدة المؤسسات على:

• تحديد المخاطر المحتملة التي قد تؤثر على تحقيق الأهداف.
• إدارة المخاطر ضمن مستوى مقبول.
• توفير ضمان معقول بشأن تحقيق الأهداف الاستراتيجية، التشغيلية، والتقارير، والامتثال.

صياغة الاستراتيجية وتحديد الأهداف (Strategy and Objective-Setting)

التأكد من أن إدارة المخاطر تتماشى مع الاتجاه الاستراتيجي.يشمل:

• تحليل البيئة الخارجية والداخلية.
• صياغة الاستراتيجية.
• تحديد وتحقيق التوافق بين الأهداف والمخاطر.

تعرف أيضًا على: إدارة المخاطر التشغيلية درعك الواقي من الأزمات الداخلية

تحديد المخاطر والاستجابة لها (Performance)

تحديد وتقييم المخاطر التي قد تعيق تحقيق الأهداف.يشمل:

• تحديد وتقييم المخاطر.
• تحديد احتمالية التأثير.
• تحديد الاستجابات.
• مراجعة الأداء مقابل المخاطر.

مراجعة وتحسين (Review and Revision)

تقييم فعالية نظام إدارة المخاطر.يشمل:

• تقييم أداء إدارة المخاطر.
• تحديد التحسينات الضرورية.

المعلومات، الاتصال، وإعداد التقارير (Information, Communication, and Reporting)

ضمان توفر المعلومات الضرورية لاتخاذ قرارات مدروسة.يشمل:

• استخدام المعلومات ذات الصلة.
• التواصل داخليًا وخارجيًا.
• إعداد تقارير عن المخاطر والأداء.

أهمية إطار coso لإدارة المخاطر

• يساعد على اتخاذ قرارات استراتيجية مبنية على تحليل شامل للمخاطر.
• يحسّن من كفاءة الرقابة الداخلية والامتثال.
• يُعزز الثقة لدى المستثمرين والجهات الرقابية.
• يمكن تكييفه لمختلف أنواع المؤسسات (ربحية، حكومية، غير ربحية).[1]

تعرف أيضًا على: نموذج إدارة الأزمات: إطار عملي للاستجابة الفعالة وحماية المؤسسات

ما هو تطبيق إطار COSO؟

تطبيق إطار coso لإدارة المخاطر يعني استخدام المكونات والمبادئ التي يوفرها الإطار في الحياة العملية داخل المؤسسة لضمان إدارة المخاطر بفعالية، وتحقيق أهداف المؤسسة، وتعزيز الرقابة الداخلية.

بعبارة أخرى، هو تنفيذ خطوات وممارسات محددة تستند إلى إطار COSO لضبط العمليات، تحديد المخاطر، معالجتها، وضمان التواصل السليم داخليًا وخارجيًا.

خطوات تطبيق إطار coso لإدارة المخاطر (ERM Framework)

الحوكمة والثقافة (Governance and Culture)

• تشكيل لجنة إدارة المخاطر أو فريق مختص يكون مسؤولًا عن الإشراف على عملية إدارة المخاطر.
• وضع سياسة واضحة لإدارة المخاطر تُعرف فيها الأدوار والمسؤوليات.
• تعزيز ثقافة المخاطر في المؤسسة من خلال التوعية والتدريب.
• تعزيز القيم والسلوكيات التي تدعم الشفافية والمساءلة.
• اختيار وتطوير الكفاءات المناسبة في جميع المستويات التنظيمية.

صياغة الاستراتيجية وتحديد الأهداف (Strategy and Objective-Setting)

• تحديد الرؤية والأهداف الاستراتيجية للمؤسسة.
• دمج إدارة المخاطر في عملية التخطيط الاستراتيجي بحيث تؤخذ المخاطر بعين الاعتبار عند وضع الأهداف.
• تحليل البيئة الداخلية والخارجية لتحديد العوامل التي قد تؤثر على تحقيق الأهداف.
• تحديد المخاطر والفرص التي قد تواجهها الاستراتيجية.

تعرف أيضًا على: منهجية إدارة المخاطر خطوات منهجية لحماية المؤسسات من المجهول

تحديد المخاطر وتقييمها (Performance – Identify and Assess Risks)

• جمع البيانات والمعلومات حول المخاطر المحتملة في جميع أقسام المؤسسة.
• تصنيف المخاطر (مالية، تشغيلية، استراتيجية، تنظيمية، إلخ)
• تقدير احتمالية حدوث كل مخاطرة وتأثيرها على الأهداف.
• تحديد الأولويات بناء على مستوى المخاطر.

 تحديد الاستجابات للمخاطر (Risk Response)

• اختيار كيفية التعامل مع المخاطر، وتشمل الخيارات:
• تجنب المخاطر (عدم تنفيذ الأنشطة التي تحمل مخاطرة عالية)
• تقليل المخاطر (باتخاذ إجراءات وسيطرة داخلية)
• قبول المخاطر (عندما تكون المخاطر ضمن حدود مقبولة)
• نقل المخاطر (عن طريق التأمين أو التعاقد مع جهات أخرى)
• تنفيذ الإجراءات اللازمة بناءً على الاستجابة المحددة.

 المراجعة والتحسين (Review and Revision)

• مراقبة مستمرة للمخاطر والاستجابات لضمان فعاليتها.
• إجراء مراجعات دورية لعملية إدارة المخاطر ككل.
• تحديث السياسات والإجراءات بناء على نتائج المراجعة أو التغيرات في البيئة الداخلية والخارجية.

الاتصال والتقارير (Information, Communication, and Reporting)

• توفير قنوات اتصال واضحة وفعالة بين جميع مستويات المؤسسة بشأن إدارة المخاطر.
• إعداد تقارير دورية للإدارة العليا ولجنة الرقابة عن حالة المخاطر والإجراءات المتخذة.
• التواصل مع أصحاب المصلحة الخارجيين عند الحاجة، مثل المستثمرين أو الجهات الرقابية.

أدوات وتقنيات تساعد في تطبيق إطار coso لإدارة المخاطر

• نظم معلومات إدارة المخاطر (Risk Management Information Systems – RMIS)
• لوحات تحكم مراقبة المخاطر (Risk Dashboards)
• نماذج تقييم المخاطر (Risk Assessment Matrices)
• ورش عمل وتدريبات لتعزيز ثقافة المخاطر

تطبيق إطار COSO يتطلب التزامًا من جميع مستويات المؤسسة، ويعتمد على:

• هيكل تنظيمي واضح لإدارة المخاطر.
• ثقافة مؤسسية تدعم الشفافية والمسؤولية.
• دمج إدارة المخاطر في التخطيط الاستراتيجي.
• مراجعة مستمرة وتحسين دائم للعمليات.

بهذا الشكل، يمكن للمؤسسات الاستفادة من إطار COSO لتقليل المخاطر غير المرغوب فيها، والاستفادة من الفرص بطريقة منظمة ومدروسة.[2]

تعرف أيضًا على: إدارة المخاطر والالتزام: كيف تبني مؤسسة قوية وآمنة في عالم متغير

ما هو تعريف إدارة المخاطر في إطار عمل COSO؟

في إطار coso لإدارة المخاطر   المؤسسية (Enterprise Risk Management – ERM)، تعرف إدارة المخاطر على أنها:

• عملية منظمة ومتكاملة تقوم بها المؤسسة بهدف تحديد الأحداث المحتملة التي قد تؤثر على تحقيق أهدافها، وتقييم هذه الأحداث، ومن ثم التعامل معها بطريقة منهجية لتحسين فرص النجاح وتقليل المخاطر التي قد تؤدي إلى فشل تحقيق الأهداف.

عملية منظمة ومتكاملة:

• إدارة المخاطر ليست نشاط عشوائي أو منفصل، بل هي سلسلة من الخطوات المرتبطة معًا تعمل بشكل منسق داخل المؤسسة.
• تشمل جميع المستويات والوظائف داخل المؤسسة (من الإدارة العليا حتى العاملين في الميدان)

تحديد الأحداث المحتملة (Risks and Opportunities):

• لا تقتصر إدارة المخاطر على التهديدات فقط، بل تشمل أيضًا الفرص التي يمكن أن تدعم تحقيق أهداف المؤسسة.
• هذه الأحداث قد تكون داخلية أو خارجية، متوقعة أو غير متوقعة.

تقييم المخاطر:

• يعني تقدير احتمال حدوث كل خطر وتأثيره المحتمل على المؤسسة.
• يساعد على ترتيب المخاطر حسب الأولوية والتركيز على المخاطر الأكثر تأثيرًا.

التعامل مع المخاطر بطريقة منهجية:

• اختيار الاستجابة المناسبة لكل مخاطرة، مثل التجنب، التخفيف، القبول، أو النقل.
• يتطلب وجود سياسات وإجراءات واضحة لتنفيذ هذه الاستجابات.

تحسين فرص النجاح وتقليل المخاطر:

• الهدف النهائي هو تحقيق الأهداف الاستراتيجية والتشغيلية للمؤسسة.
• من خلال إدارة المخاطر بشكل فعال، تزداد فرص تحقيق هذه الأهداف وتقل فرص الفشل أو الخسائر.

كيف تختلف إدارة المخاطر في COSO عن المفاهيم التقليدية؟

• شمولية: تشمل جميع أنواع المخاطر (مالية، تشغيلية، استراتيجية، قانونية، تقنية، إلخ)
• اندماج مع الاستراتيجية: لا تنفذ كعملية منفصلة، بل جزء لا يتجزأ من التخطيط الاستراتيجي.
• ثقافة مؤسسية: تعتبر جزء من ثقافة المؤسسة وقيمها.
• مستمرة وديناميكية: ليست عملية لمرة واحدة، بل تتطلب مراقبة وتحديث مستمرين.

تعرف أيضًا على: الرقابة الداخلية وإدارة المخاطر درع المؤسسة في مواجهة التحديات وتحقيق النجاح

ما هي معايير COSO؟

معايير COSO ، وهي في الأساس مكونات الإطار والمبادئ الأساسية التي تحكم كل مكون، والتي يجب على المؤسسات اتباعها لضمان نظام قوي لإدارة المخاطر والرقابة الداخلية.

معايير إطار coso لإدارة المخاطر المؤسسية

تتكون معايير COSO من 5 مكونات رئيسية، ولكل مكون مجموعة من المبادئ التي توضح كيف يتم تطبيقه عمليًا. الإطار الكامل يتضمن 20 مبدأً موزعة على هذه المكونات.

مكونات معايير COSO ERM (2017)

الحوكمة والثقافة (Governance and Culture)

تهدف إلى وضع الأساس لإدارة المخاطر من خلال تحديد المسؤوليات وبناء ثقافة مؤسسية مناسبة.

المبادئ:

• ممارسة الرقابة على المخاطر.
• بناء ثقافة داعمة للمخاطر.
• تحديد الأدوار والمسؤوليات.
• توظيف وتطوير الكفاءات المناسبة.
• تعزيز الالتزام بالقيم المؤسسية.

 صياغة الاستراتيجية وتحديد الأهداف (Strategy and Objective-Setting)

• تربط إدارة المخاطر بأهداف واستراتيجية المؤسسة لضمان التوافق والتكامل.
• تحليل البيئة الداخلية والخارجية.
• تحديد صياغة الاستراتيجية.
• تحديد أهداف المؤسسة ضمن استراتيجية واضحة.
• تقييم المخاطر التي قد تؤثر على الاستراتيجية والأهداف.

الأداء (Performance)

• يركز على تحديد وتقييم المخاطر التي قد تؤثر على تحقيق الأهداف، واختيار الاستجابات المناسبة.
• تحديد المخاطر.
• تقييم المخاطر.
• تحديد الأولويات وفقًا لمستوى المخاطر.
• تطوير استجابات مناسبة للمخاطر (تجنب، تخفيف، قبول، نقل)
• مراقبة الأداء وتحليل الفجوات.

المراجعة والمراجعة المستمرة (Review and Revision)

• تتعلق بتحسين مستمر لنظام إدارة المخاطر عن طريق مراجعة الأداء والتكيف مع المتغيرات.
• تقييم الأداء.
• مراجعة نظام إدارة المخاطر.
• إدخال التحسينات والتعديلات بناءً على التقييمات.

المعلومات، والاتصال، والتقارير (Information, Communication, and Reporting)

• تهدف إلى ضمان توفر معلومات موثوقة وفعالة للتواصل الداخلي والخارجي بشأن إدارة المخاطر.
• استخدام المعلومات ذات الصلة.
• التواصل الفعال داخل المؤسسة.
• التواصل مع الأطراف الخارجية.
• إعداد تقارير دقيقة وفي الوقت المناسب.

كيف تستخدم هذه المعايير عمليًا؟

• التقييم الذاتي: تقوم المؤسسة بتقييم مدى التزامها بكل مكون ومبدأ.
• تصميم السياسات: وضع سياسات وإجراءات تدعم تطبيق كل مكون ومبدأ.
• المتابعة الدورية: مراجعة دورية لضمان استمرارية التوافق مع المعايير.
• التدريب والتوعية: لتعزيز فهم الموظفين لمكونات ومعايير COSO.

تعرف أيضًا على: تحليل المخاطر في المشروع: خطوات ذكية لضمان نجاح مشاريعك وتفادي المفاجآت

وفي الختام، يتضح أن إدارة المخاطر لم تعد خيار بل ضرورة استراتيجية لضمان استمرارية المؤسسات وتحقيق أهدافها بكفاءة. ويعد إطار coso لإدارة المخاطرإ  مرجع رائد يوفر منهجية شاملة ومتكاملة تساعد المؤسسات على فهم المخاطر والتعامل معها بطريقة منهجية ومدروسة، مما يعزز من قدرتها على التكيّف والنجاح في بيئات العمل المعقدة والمتغيرة.

• techtargetCOSO Framework _بتصرف
• athennianCOSO Framework _بتصرف

مشاركة المقال

وسوم