مدير ادارة المخاطر في بيئة الأعمال المعقدة

مدير ادارة المخاطر في بيئة الأعمال المعقدة
المخاطر لم تعد استثناءً بل القاعدة في بيئة الأعمال الحديثة
قبل عقدين كانت إدارة المخاطر تعني في الغالب التأمين ضد الكوارث الطبيعية أو الحرائق. اليوم يواجه المدير التنفيذي مخاطر متشعّبة في آنٍ واحد: هجوم سيبراني يستطيع تشفير بيانات مؤسسته في دقائق، لوائح تنظيمية جديدة تُغيّر قواعد اللعبة بين ليلة وضحاها، مخاطر سمعة تتصاعد بسرعة فيروسية عبر منصات التواصل، وتقلبات جيوسياسية تُعطّل سلاسل التوريد عبر القارات.
هذا التعقيد المتصاعد هو ما يجعل دور مدير إدارة المخاطر أكثر استراتيجيةً وأعلى قيمةً مما كان عليه في أي وقت مضى. المؤسسات التي تتعامل مع المخاطر بعقلية ردّ الفعل تجد نفسها دائمًا في وضع دفاعي مكلف. بينما المؤسسات التي تبني منظومة استباقية لإدارة المخاطر تتحول المخاطر عندها إلى نقاط تمايز — تعبر الأزمات بأقل الأضرار وأسرع التعافي.
السياق السعودي يُضيف طبقات إضافية من الأهمية: رؤية 2030 تدفع بتسارع التحول الرقمي وفتح القطاعات وجذب الاستثمارات، وهذا التوسع نفسه يُولّد مخاطر جديدة تحتاج إلى منظومة إدارة مخاطر ناضجة لحماية المكاسب التنموية.
من هو مدير إدارة المخاطر؟ الدور والمسؤوليات الجوهرية
مدير إدارة المخاطر (Risk Manager / Chief Risk Officer) هو الشخص المسؤول عن بناء وإدارة منظومة شاملة لتحديد المخاطر التي تواجه المنظمة وتقييمها وترتيب أولوياتها وتطوير خطط للتعامل معها بما يحمي الأهداف الاستراتيجية. هو لا يعمل بمعزل عن بقية المنظمة، بل يُشكّل همزة الوصل بين القيادة العليا والوحدات التشغيلية في كل ما يتعلق بالمخاطر.
المسؤوليات الجوهرية لهذا الدور تشمل: بناء إطار مؤسسي لتصنيف المخاطر وقياسها، قيادة عملية التقييم الدوري للمخاطر عبر الأقسام المختلفة، وضع سياسات شهية المخاطر (Risk Appetite) وحدود التحمّل (Risk Tolerance)، الإشراف على خطط الاستجابة للأزمات، وتقديم تقارير منتظمة للقيادة ومجلس الإدارة.
ما يميز مدير المخاطر الناجح هو أنه لا يقول فقط ما لا يجب فعله — بل يُمكّن المنظمة من المضي قدمًا بثقة محسوبة. هو شريك في صنع القرار يُحدّد المخاطر المقبولة والمخاطر الواجب تجنّبها في ضوء الأهداف الاستراتيجية.
الفرق بين إدارة المخاطر التقليدية وإدارة المخاطر المؤسسية ERM
إدارة المخاطر التقليدية كانت تعمل في صوامع منفصلة: القسم المالي يُدير مخاطره، وقسم العمليات يُدير مخاطره، وقسم IT يُدير مخاطره السيبرانية — دون منظور مؤسسي موحّد يرى الصورة الكاملة. النتيجة: مخاطر متقاطعة تسقط في الفجوات بين الأقسام دون أن يتبنّاها أحد.
إدارة المخاطر المؤسسية ERM (Enterprise Risk Management) جاءت لتعالج هذا القصور بمنظور شمولي يُدمج إدارة المخاطر في صميم الحوكمة المؤسسية والتخطيط الاستراتيجي. ERM تربط المخاطر بالأهداف الاستراتيجية مباشرةً، وتُنشئ لغة موحّدة للحديث عن المخاطر عبر كامل المنظمة، وتُمكّن من فهم كيف تتداخل المخاطر وتتضافر أثارها.
راجع مقالنا عن إدارة المخاطر المؤسسية بذكاء: كيف تعمل لفهم أعمق لمنهجية ERM وكيفية تطبيقها فعليًا.
إطار ISO 31000: المبادئ والعملية والسياق
ISO 31000:2018 هو المعيار الدولي الأشمل لإدارة المخاطر، ويُقدّم إطارًا مبنيًا على ثلاثة ركائز متكاملة: المبادئ (Principles) التي تُحدّد الخصائص الأساسية لإدارة المخاطر الفعّالة، الإطار (Framework) الذي يُوضح كيف تُدمج إدارة المخاطر في هياكل الحوكمة، والعملية (Process) التي تُرسم خطواتها من تحديد السياق وصولًا إلى التواصل والمراجعة.
المبادئ الأحد عشر لـ ISO 31000 تُركّز على أن إدارة المخاطر يجب أن تكون: مُدمجة في عمليات الأعمال لا مضافة عليها، شاملة ومُهيكَلة، مخصصة للسياق المؤسسي، قائمة على أفضل المعلومات المتاحة، مُراعية للبُعد الإنساني والثقافي، ومرنة قادرة على التطور مع تغير بيئة الأعمال.
ما يُميّز ISO 31000 عن غيره أنه إطار إرشادي لا معيار شهادات — هو لا يمنح شهادة مطابقة بل يُقدّم مبادئ وأفضل ممارسات قابلة للتكيّف مع أي نوع وحجم من المنظمات، مما يجعله قابلًا للتطبيق في القطاع الحكومي والخاص السعودي على حدٍّ سواء.
مكوّنات منظومة ERM: من شهية المخاطر إلى سجل المخاطر
لبناء منظومة ERM متكاملة، تحتاج إلى فهم مكوّناتها الجوهرية:
شهية المخاطر (Risk Appetite): هي المستوى الكلي للمخاطر الذي تُقرر القيادة العليا قبوله في سعيها لتحقيق أهدافها الاستراتيجية. هي قرار قيادي استراتيجي يُترجَم لاحقًا إلى معايير تشغيلية.
حدود التحمّل (Risk Tolerance): الانحرافات المقبولة عن شهية المخاطر في مجالات محددة. مثلًا: شهية المخاطر الائتمانية منخفضة لكن التحمّل يسمح بنسبة معينة من التأخر في السداد قبل تفعيل آليات التدخل.
سجل المخاطر (Risk Register): وثيقة حيّة تُوثّق كل خطر محدد مع تقييمه من حيث الاحتمالية والأثر، والجهة المسؤولة عن إدارته، وخطة الاستجابة، وحالة التنفيذ. هو العمود الفقري لأي منظومة ERM عملية.
خرائط الحرارة للمخاطر (Risk Heat Maps): أداة تصويرية تُصنّف المخاطر بصريًا وفق مستويات الاحتمالية والتأثير، مما يُمكّن القيادة من فهم أولويات المخاطر في نظرة واحدة. لمعرفة المزيد اقرأ مقالنا عن خارطة تصنيف المخاطر وكيف تُحدّد نوع الخطر.
المهارات التقنية والقيادية لمدير المخاطر الناجح
مدير المخاطر الفعّال ليس فقط خبيرًا تقنيًا في الأطر والنماذج — بل يجمع بين الكفاءة التحليلية والذكاء التنظيمي والتأثير القيادي. الكفاءة التقنية ضرورية لكنها غير كافية: مدير يُتقن ISO 31000 لكن يعجز عن إقناع القيادة بأولوية المخاطر لن يُحدث أثرًا يُذكر.
المهارات التقنية الجوهرية: إتقان منهجيات تقييم المخاطر الكمية والنوعية، فهم الأطر التنظيمية المحلية والدولية (ISO 31000، COSO ERM، متطلبات NCA)، القدرة على تصميم نماذج القياس، وإتقان أدوات إدارة المخاطر الرقمية الحديثة.
المهارات القيادية والتواصلية: القدرة على ترجمة المخاطر التقنية المعقدة إلى لغة أعمال يفهمها مجلس الإدارة، بناء ثقافة الوعي بالمخاطر عبر المنظمة، والتأثير في القرارات الاستراتيجية بدون صلاحيات تنفيذية مباشرة — ما يُعرف بـ Influence without Authority.
المخاطر السيبرانية ومخاطر الموردين: أولويات العصر الرقمي
تُمثّل المخاطر السيبرانية اليوم من أعلى المخاطر ترتيبًا في سجلات المخاطر لمعظم المنظمات الكبرى. خسائر الهجمات السيبرانية عالميًا تُقدَّر بتريليونات الدولارات سنويًا، والمنظمات السعودية ليست بمعزل عن هذا التهديد في ظل تسارع التحول الرقمي. مدير المخاطر الفعّال يبني جسرًا حقيقيًا مع فريق الأمن السيبراني لضمان تقييم هذه المخاطر بمنظور أعمالي لا تقني بحت.
مخاطر الموردين (Vendor/Third-Party Risk) تكتسب أهمية متصاعدة مع توسّع الاعتماد على موردين خارجيين لتشغيل خدمات جوهرية. انهيار مورد رئيسي أو اختراق سيبراني لبيئته التقنية يُمكن أن يُشلّ عمليات مؤسستك فجأة. برامج إدارة مخاطر الطرف الثالث (TPRM) باتت ضرورة لا خيارًا.
كذلك تبرز مخاطر التقنية المتقادمة (Legacy Technology Risk): الاعتماد على أنظمة قديمة تُولّد نقاط ضعف أمنية وتُعيق التكامل مع التقنيات الحديثة. مدير المخاطر الاستراتيجي يُدرج هذا النوع من المخاطر في سجله ويربطه بخطط تحديث التقنية.
كيف يبني مدير المخاطر منظومة ERM من الصفر
بناء منظومة ERM من الصفر يحتاج نهجًا مرحليًا لا قفزةً إلى النضج الكامل فجأةً:
المرحلة الأولى — التأسيس: الحصول على تفويض القيادة العليا ومجلس الإدارة، تحديد نطاق إدارة المخاطر ومحاورها، وتشكيل لجنة مخاطر تضم ممثلين من الوحدات الرئيسية.
المرحلة الثانية — التقييم الأولي: إجراء ورش تحديد المخاطر عبر الأقسام، تقييم كل خطر من حيث الاحتمالية والتأثير، ورسم خريطة الحرارة الأولى التي تُمثّل الوضع الراهن للمنظمة.
المرحلة الثالثة — بناء الإطار: وضع سياسة إدارة المخاطر وتحديد شهية المخاطر وحدود التحمّل، وبناء سجل المخاطر وآليات الإبلاغ الدوري.
المرحلة الرابعة — التكامل والنضج: دمج إدارة المخاطر في عمليات التخطيط الاستراتيجي واتخاذ القرار، وبناء ثقافة الوعي بالمخاطر عبر برامج توعية وتدريب مستمرين.
أبرز التحديات في البيئة السعودية والخليجية
إدارة المخاطر في السياق السعودي تواجه تحديات خاصة تستوجب وعيًا مُعمَّقًا:
أولًا: سرعة التحول التنظيمي. صدرت في السنوات الأخيرة لوائح متعددة (PDPL، متطلبات NCA، متطلبات SAMA للقطاع المالي) بوتيرة تستوجب مرونة عالية في الامتثال. مدير المخاطر الذي لا يتابع المستجدات التنظيمية عن كثب يجد مؤسسته في مواجهة مخاطر امتثال غير محسوبة.
ثانيًا: توازن المخاطرة مع التنمية. رؤية 2030 تدفع نحو الابتكار وفتح قطاعات جديدة وجذب استثمارات ضخمة، وهذا يعني قبول مستوى أعلى من المخاطرة المحسوبة. التحدي هو كيف تُتيح مؤسستك للمبادرات الطموحة المضي قدمًا دون تعرّضها لمخاطر وجودية.
ثالثًا: بناء الكفاءات المتخصصة. سوق المتخصصين في إدارة المخاطر في المملكة لا يزال في مرحلة نمو، وهذا يجعل التطوير المؤسسي الداخلي للكوادر الوطنية في هذا المجال استثمارًا استراتيجيًا ضروريًا لا يمكن الاعتماد الكامل على الاستقطاب الخارجي بديلًا عنه.
مسار الشهادات المهنية: FRM وCRMA وPRM
الشهادات المهنية في إدارة المخاطر تُمثّل تحقّقًا موضوعيًا من الكفاءة وتُفتح أبوابًا مهنية أوسع. أبرز الشهادات المعترف بها عالميًا والمطلوبة في السوق السعودي:
FRM (Financial Risk Manager): شهادة GARP الأعلى قيمةً في إدارة المخاطر المالية. تُغطي مخاطر السوق، الائتمان، السيولة، والمخاطر التشغيلية بعمق كمي. تُناسب المتخصصين في القطاع المالي والمصرفي.
CRMA (Certification in Risk Management Assurance): شهادة معهد المدققين الداخليين (IIA) التي تُركّز على تقاطع إدارة المخاطر والتدقيق الداخلي والحوكمة. مناسبة لمن يعمل في بيئات تنظيمية ورقابية.
PRM (Professional Risk Manager): شهادة PRMIA التي تُغطي النظرية الكمية لإدارة المخاطر المالية، مناسبة للمتخصصين الذين يتعاملون مع نماذج رياضية ومالية متقدمة.
للمنظمات التي تُفكّر في بناء كفاءات إدارة مخاطرها الداخلية، راجع خدمات إدارة المخاطر والحوكمة المؤسسية لمعرفة كيف يُمكن مرافقتكم في هذا المسار.
هل مؤسستك بحاجة إلى منظومة إدارة مخاطر احترافية؟
المخاطر التي لا تُرى لا تختفي — تتراكم. المؤسسات التي تُدير مخاطرها باحترافية لا تكون أقل تعرضًا للمخاطر من غيرها، بل تكون أكثر قدرةً على استيعابها والتعافي منها وأحيانًا تحويلها إلى فرص تنافسية. هذه القدرة المؤسسية على الصمود (Resilience) هي ما تبنيه منظومة ERM الناضجة.
في إمباور، نُصمّم منظومات ERM مُخصَّصة للسياق السعودي: من تقييم النضج الحالي، وبناء الأطر والسياسات، وتدريب فرق إدارة المخاطر، حتى تصميم أنظمة الإبلاغ ولوحات متابعة المخاطر. تواصل معنا واحجز جلسة تشخيصية مجانية نُقيّم فيها معًا مستوى نضج إدارة المخاطر في مؤسستك ونرسم خارطة طريق لتطويرها.