‫العﻼقة بين إدارتى التدقيق الداخلى و إدارة المخاطر‬

‫فى إطار حوكمة مؤسسية سليمة‬

‫)تكامل أم فض إشتباك(‬

‫محمد نصار ‪CIA, CCSA, PA‬‬

‫خبير حوكمة الشركات‪ ,‬إدارة المخاطر و الرقابة الداخلية‬
 ‫نقاط المناقشة‬

‫• أعراض اﻹشتباك و أسبابة‬

‫• متطلبات الحوكمة المؤسسية السليمة‬
‫• زاوية الرؤية لكل إدارة و اﻷرضية المشتركة‬
‫• تكامل اﻷهداف و تعارض مفاهيم اﻷفراد‬
‫• اﻷدوار و المسئوليات‬
‫• إطر العمل و المنهجيات لكل من النشاطين‬
‫• أنواع التحديات التى تواجة نجاح النشاطين‬
‫• خارطة الطريق لﻺستفادة من النشاطين لتحقيق الحماية و اﻹستدامة و النمو‬
‫من واقع الخبرات العملية اليومية للحاضرين ما هى افضل وضعية هيكلية لﻺدارتين؟‬

‫‪ .A‬منفصلتين‬
‫مندمجتين‬ ‫‪.B‬‬
‫غير متأكد‬ ‫‪.C‬‬
 ‫ما هي المشكلة؟‬
‫في أحيان كثيرة يحدث خلط في المفاهيم مابين دور ومسؤليات وأهداف كل من ادارتي )التدقيق الداخلي( و)ادارة المخاطر(‬

‫النتائج‬
‫حدوث خﻼفات حول المهام و نطاق العمل‬ ‫‪.1‬‬
‫إزدواجية فى المدخﻼت و المخرجات و العمل الميدانى‬ ‫‪.2‬‬
‫إنخفاض مستوى الثقة من قبل اﻹدارة و الموظفين بالمؤسسة‬ ‫‪.3‬‬
‫إنخفاض فاعلية التقارير الصادرة من الجهتين‬ ‫‪.4‬‬
‫التحول إلى وضعية المنافسة أو الجزر المعزولة‬ ‫‪.5‬‬
 ‫اﻷسباب‬

‫التشابة الفنى فى بعض عناصر العمليتين )تحديد المخاطر ‪ -‬تقييم المخاطر ‪ -‬سجﻼت‬ ‫‪.1‬‬
‫المخاطر – إختبارات الرقابة(‬
‫ضعف التأهيل المهنى لبعض الموظفين فى كلتا اﻹدارتين‬ ‫‪.2‬‬
‫إنخفاض مستوى تفاعل و إنتاجية أحد اﻹدارتين بالنسبة لدورها فى المؤسسة‬ ‫‪.3‬‬
‫اﻹدارة العليا ليس لديها الخبرة الكافية بدور كل من اﻹدارتين او واحدة منهما‬ ‫‪.4‬‬
‫عدم وجود إستراتيجية تشغيلية تدمج مدخﻼت و مخرجات اﻹدارتين فى إطار الحوكمة‬ ‫‪.5‬‬
‫الموحد‬
 ‫متطلبات الحوكمة المؤسسية‬
‫بشكل عام‪ ،‬فإن الحوكمة تعني وجود نظم تحكم العﻼقات بين اﻷطراف اﻷساسية في المؤسسة )أعضاء مجلس اﻹدارة \ اﻹدارة‬
‫العليا ‪ ,‬اﻹدارة التنفيذية‪ ،‬الحكومة‪ ،‬إلخ( بهدف تحقيق الشفافية والعدالة ومكافحة الفساد ومنح حق مساءلة إدارة المؤسسة لحماية‬
‫المساهمين \ أصحاب المصالح والتأكد من أن المؤسسة تعمل على تحقيق أهدافها واستراتيجياتها الطويلة اﻷمد‪.‬‬

‫هناك إجماع على أن التطبيق السليم للحوكمة المؤسسية من عدمه يتوقف على مدى توافر ومستوى جودة مجموعتين من الضوابط‪:‬‬
‫‪ .1‬الضوابط الخارجية‪ :‬البيئة اﻻقتصادية العامة ومناخ اﻷعمال في الدولة‬
‫‪ .2‬الضوابط الداخلية‪ :‬القواعد واﻷسس التي تحدد كيفية اتخاذ القرارات وتوزيع السلطات داخل المؤسسة‬
 ‫متطلبات الحوكمة المؤسسية بالنسبة للتدقيق الداخلى و إدارة المخاطر كجزء من الضوابط الداخلية‬

‫‪ ‬توافر سياسات و إجراءات إستراتيجية و مالية و تشغيلية موثقة على درجة من الكفاءة تحكمها نظم رقابة داخلية متكاملة و فعالة وهذا يكون شامل لكل‬
‫اﻷنشطة و العمليات بالمؤسسة‬
‫‪ ‬تأسيس نظام ضبط داخلى محكم يتضمن نشاطى التدقيق الداخلي وإدارة للمخاطر مستقلين تماما عن خطوط العمل مع مراعاة تناسب السلطات مع المسئوليات‬
‫‪ ‬مراقبة خاصة لمراكز المخاطر في المواقع التي يتصاعد فيها تضارب المصالح‪ ،‬بما في ذلك عﻼقات العمل بين العمﻼء و الموردين و اصحاب المصالح و‬
‫بين كبار المساهمين واﻹدارة العليا‪ ،‬أو متخذي القرارات الرئيسية في المؤسسة‪.‬‬
‫‪ ‬تصميم أليات عملية ونظم معلومات و تقارير للتكامل و التعاون بين كافة إدارات المؤسسة و اﻹدارة العليا‬

‫ادارة المخاطر‬
‫الهدف الرئيسي هو التأكد أن المؤسسة قادرة‬
‫على التعرف على مصادر المخاطر التي من‬
‫الممكن أن تواجها وقادرة على تحديدها وتقييم‬
‫مستواها بحيث يتم اﻷستعداد الكلي لمواجهتها‬
‫بهدف تقليل احتمالية الحدوث و أثار الحدوث‪.‬‬
‫زاوية الرؤية لكل من النشاطين‬
‫التدقيق الداخلي‬
‫الهدف الرئيسي هو اختبار وتقييم وفحص نظم‬
‫الرقابة الداخلية بشكل دوري ومستمر للتأكد أنها‬
‫تعمل بشكل صحيح وعلى درجة من الكفاءة‪.‬‬
‫باﻷضافة الى التأكد من وجود عملية ادارة مخاطر‬
‫وفعالة و نظام متكامل للحوكمة‪.‬‬
 ‫ما تحاول اﻹدارتين حمايتة‬

‫اﻷموال‬

‫اﻷصول الثابتة‬

‫المخزون‬

‫الشهرة والسمعة‬

‫المعلومات‬

‫حقوق النشر والمعرفة‬

 ‫البنية المشتركة‬
‫اﻷهداف‬

‫الرقابة‬ ‫المخاطر‬

‫ادارة المخاطر‬
‫من يجب أن يمتلك و يحفظ سجﻼت المخاطر؟‬
‫ما هو مصدر اﻷهداف؟‬
‫هل نقوم بإختبار اﻹجراءات الرقابية؟ و كيف نوثق‬
‫النتائج؟‬
‫ما هى اﻷلية لمشاركة المعلومات و نتائج التدقيق مع‬
‫اﻷنشطة و اﻹدارات اﻷخرى؟ و متى؟ و ﻷى غرض؟‬
‫من لة صﻼحية التعديل على سجﻼت المخاطر و خطط‬
‫السيطرة؟‬
‫أين يكمن إختﻼط المفاهيم‬
‫التدقيق الداخلي المبنى على المخاطر ‪RBIA‬‬
‫‪.1‬‬
‫‪ .1‬ما هو مصدر اﻷهداف التشغيلية \ المالية \ ‪ ...‬الخ؟‬
‫‪.2‬‬
‫‪.3‬‬ ‫‪ .2‬من يحدد المخاطر؟‬
‫‪ .3‬ما هو الوعاء الذى سوف يحتوى المخاطر؟‬
‫‪.4‬‬
‫‪ .4‬ما هى اﻷلية لمشاركة المعلومات و نتائج التدقيق مع‬
‫‪.5‬‬ ‫اﻷنشطة و اﻹدارات اﻷخرى؟ و متى؟ و ﻷى غرض؟‬
‫‪ .5‬هل ممكن أن ننشأ سجﻼت الخطر الخاصة بنا؟‬
 ‫‪ -1‬اﻷهداف التشغيلية‬
‫اﻷهداف يمكن أن تكون استراتيجية أو مالية أو تشغيلية أو تكنولوجية‪...‬ألخ‪ ،‬ولكن‬
‫يجب في النهاية أن يكون هناك أحداث واضحة لكل نشاط روتينى أوغير روتيني‪.‬‬
‫واﻷهداف تضعها اﻷدارة العليا وادارات اﻷنشطة المختلفة‪.‬‬

‫وهذه اﻷهداف يجب أن تكون‪:‬‬

‫‪ .1‬واضحة‬
‫‪ .2‬قابلة للقياس‬
‫‪ .3‬عملية‬
‫‪ .4‬مفهومة‬
 ‫أمثلة لﻸهداف التشغيلية‬

‫التوسع فى أسواق معينة‬ ‫•‬

‫الحفاظ على البيئة‬ ‫•‬
‫عودة التيار الكهربائى فى خﻼل ‪ 30‬دقيقة‬ ‫•‬
‫خفض التكاليف بنسبة ‪%10‬‬ ‫•‬
‫الحصول على أفضل أسعار‬ ‫•‬
‫توظيف الكفاءات‬ ‫•‬
‫إجراء الصيانة فى مواعيد دورية ثابتة‬ ‫•‬
‫خفض عدد الشكاوى بنسبة ‪%50‬‬ ‫•‬
 ‫‪ -2‬المخاطر‬

‫هي كل اﻷحداث المحتملة التي من شأنها اذا وقعت فعﻼ أن تتسبب في‬
‫خسائر من نوعيات مختلفة‪.‬‬
‫وقد تكون المخاطر‪:‬‬
‫استراجية أو مالية أو تشغيلية أو تكنولوجية أو سياسية أو اقتصادية أو‬
‫بيئية‪....‬الخ‪.‬‬
 ‫فئات المخاطر ‪ /‬أنواعها‬

‫مخاطر المؤسسات‬

‫مخاطر اﻷمتثال ‪-‬‬ ‫مخاطر البيئة‬

‫مخاطر استمرارية‬ ‫المخاطر المالية‬ ‫المخاطر‬
‫الغيرمطابقة للقوانين‬ ‫والصحة والسﻼمة‬
‫العمل ‪ -‬مثل الحرائق‪،‬‬ ‫والتشغيلية ‪ -‬تلك‬ ‫اﻻستراتيجية ‪ -‬تلك‬
‫والمعايير الضرورية‪،‬‬ ‫المخاطر‪ ،‬على سبيل‬
‫انقطاع المرافق‬ ‫التي تنشأ من‬ ‫التي تهدد تحقيق‬
‫الخ‬ ‫المثال‪ ،‬الوباء‬
‫العامة‪ ،‬الخ‬ ‫اﻷنشطة العادية‬ ‫اﻷهداف اﻻستراتيجية‬
‫والعنف‬

‫مخاطر السمعة‬

‫عادة كل من فئات المخاطر المذكورة أعﻼه‬

‫يكون لها تأثير على سمعة المنظمة‬
 ‫أمثلة للمخاطر‬

‫عجز الموازنة‬ ‫•‬

‫عدم القدرة على سداد اﻹلتزامات‬ ‫•‬
‫التعرض لغرامات تأخير فى تسليم المشروعات‬ ‫•‬
‫تلويث البيئة‬ ‫•‬
‫إصابات عمل‬ ‫•‬
‫توظيف عناصر غير مناسبة‬ ‫•‬
 ‫‪ -3‬الرقابة الداخلية‬

‫في كل أنواع اﻻجراءات أو أﻷنشطة التي من شائنها العمل على تقليل‬

‫أحتمالية وقوع مخاطر أو أخطاء أو مخالفات‪.‬‬
‫وقد تكون‪:‬‬
‫مانعة أو كاشفة أو موجهة وتختلف من حيث طريقة العمل فقد تكون يدوية‬
‫أو آلية‪.‬‬

‫وتقع مسؤلية تأسيس نظام رقابي داخلي على عاتق اﻻدارات العليا والتنفيذية‬
 ‫أمثلة اﻷنشطة و اﻹجراءات الرقابية‬

‫الموازنات التقديرية‬ ‫‪‬‬ ‫السياسات‬ ‫•‬

‫اﻹجراءات‬ ‫•‬
‫تقييم اﻷداء‬ ‫‪‬‬
‫تفويض الصﻼحيات‬ ‫•‬
‫معايير اﻷداء‬ ‫‪‬‬
‫الموافقات و اﻹعتمادات‬ ‫•‬
‫التدقيق الداخلى‬ ‫‪‬‬
‫المراجعة و الفحص‬ ‫•‬
‫إدارة المخاطر‬ ‫‪‬‬ ‫التسويات و المقارنات‬ ‫•‬
‫اﻷرقام المسلسلة‬ ‫‪‬‬ ‫كشوف الحساب و المصادقات‬ ‫•‬
‫كود اﻷخﻼقيات‬ ‫‪‬‬ ‫الجرد‬ ‫•‬
‫المناقصات و المزايدات‬ ‫‪‬‬ ‫كاميرات المراقبة‬ ‫•‬
‫تقارير تحليل إنحراف اﻷداء‬ ‫‪‬‬ ‫كلمات السر‬ ‫•‬
‫الفعلى عن المستهدف‬ ‫حقوق الدخول و الكتابة‬ ‫•‬
‫‪Whistleblowing‬‬ ‫‪‬‬ ‫استبيانات و إقرارات تعارض‬ ‫•‬
‫المصالح‬
‫الهياكل التنظيمية‬ ‫‪‬‬

‫‪18‬‬
 ‫العﻼقة بين اﻷهداف و المخاطر والرقابة‬

‫المخاطر‬

‫اﻷهداف‬

‫الرقابة‬
‫العﻼقة بين اﻷهداف و المخاطر والرقابة‬
‫العﻼقة بين اﻷهداف و المخاطر والرقابة‬
 ‫اطار ‪ COSO‬للرقابة الداخلية‬

‫عمليات‬ ‫التقارير المالية‬ ‫اﻷلتزام‬

‫نشاط ‪2‬‬
‫نشاط ‪1‬‬
‫الوحدة ب‬
‫المتابعة‬

‫الوحدة أ‬
‫معلومات وأتصاﻻت‬

‫اﻷنشطة الرقابية‬

‫تقييم المخاطر‬

‫البيئة الرقابية‬
 ‫اطار ‪ COSO‬ﻹدارة مخاطر المؤسسات‬

‫عمليات‬ ‫التقارير‬ ‫اﻷلتزام‬

‫محتويات إدارة مخاطر المؤسسات‬ ‫اﻷهداف‬
‫• البيئة الداخلية‬ ‫• إستراتيجية‬
‫البيئة الداخلية‬
‫• تحديد اﻷهداف‬ ‫• عمليات‬

‫شركة فرعية‬
‫• تحديد الحدث‬ ‫• تقارير‬

‫وحدة العمل‬
‫تحديد الخطر‬
‫• تقييم المخاطر‬ ‫• ألتزام‬
‫القسم‬
‫البيئة‬
‫تقييم المخاطر‬ ‫• اﻻستجابة للمخاطر‬
‫• أنشطة الرقابة‬
‫اﻻستجابة للمخاطر‬
‫• المعلومات واﻻتصاﻻت‬
‫أنشطة الرقابة‬
‫• مراقبة‬

‫المعلومات واﻻتصاﻻت‬

‫المتابعة‬
‫منهجية التدقيق الداخلى المبنى على تقييم المخاطر‬

‫‪24‬‬
 ‫منهجية إدارة المخاطرالمؤسسية القائمة علي معيار ‪ISO 31000‬‬

‫المرحلة الثانية‪:‬‬
‫تحديد أهداف العملية‬

‫المرحلة الثادسة‪:‬‬
‫المرحلة الثالثة‪ :‬تحديد المخاطر‬
‫نوع المخاطر ووصفها‬ ‫•‬ ‫تأسيس‬
‫المسببات‬ ‫•‬ ‫سجﻼت المخاطر‬
‫المرحلة اﻷولى‪:‬‬ ‫اﻷصول المتضررة‬ ‫•‬
‫مصدر الخطر‬ ‫•‬
‫المرحلة الثامنة‪:‬‬
‫أنشاء اطار وبناء‬
‫الوعي في جميع أنحاء‬ ‫مراجعة ومراقية‬
‫المنظمة‬ ‫المرحلة الرابعة‪:‬‬
‫تحديد المخاطر من حيث‪:‬‬
‫• احتمالية الحدوث‬
‫• اﻷثار المترتبة‬

‫‪Stage 7:‬‬

‫المرحلة الخامسة‪:‬‬ ‫تصميم وإعداد خطط‬

‫معالجة المخاطر‬ ‫السيطرة‪/‬تخفيض‬
‫المخاطر‬
 ‫إنشاء سجل المخاطر‬
‫سيتم توثيق المعلومات المتعلقة بالمخاطر التي تم تحديدها خﻼل تقييم المخاطر في شكل سجل المخاطر وسوف‬
‫تحتوي على المعلومات اﻷساسية التالية‪:‬‬

‫اﻷهداف الوظيفية‬ ‫‪‬‬

‫وصف الخطر‬ ‫‪‬‬
‫نوع خطر‬ ‫‪‬‬
‫اﻷسباب الجذرية‬ ‫‪‬‬
‫مصدر خطر‬ ‫‪‬‬
‫وصف التأثير‬ ‫‪‬‬
‫اﻷصول المتضررة‬ ‫‪‬‬
‫احتمال الحدوث‬ ‫‪‬‬
‫اﻷثر أو العواقب‬ ‫‪‬‬
‫اﻹجمالي تصنيف المخاطر‬ ‫‪‬‬
‫صافي تصنيف المخاطر‬ ‫‪‬‬
‫مالك العملية‬ ‫‪‬‬

‫وسوف تكون هذه الوثيقة وثيقة العمل الرئيسية التي ينبغي رصدها بشكل مستمر وتحديثها بطريقة دورية‪.‬‬

‫‪28‬‬
 ‫إنشاء سجل خطط السيطرة على المخاطر‬
‫قد تحدد اﻹدارة ما هي التدابير المحددة المعمول بها حاليا للحد من المخاطر التي تم تحديدها‪ .‬ﻹعتماد الممارسات الرائدة في إدارة‬
‫مخاطر اﻷعمال يجب ادراج خطط التخفيض أوﻻ ثم الضوابط الموجودة بالفعل ثانيا اقتراح خطط التخفيض اﻹضافية ‪ .‬ثالثا‪ ،‬ينبغي‬
‫لﻺدارة أن تقيم مدى كفاية خطط التخفيض القائمة فيما يتعلق بأهمية خطر‪.‬‬

‫وسيتم توثيق ممارسات إدارة المخاطر الحالية التي جرى تحديدها في المرحلة السابقة من وضع اﻻستراتيجية‬
‫للحد من المخاطر )العﻼج( في شكل خطة تخفيض المخاطر التي سوف تحتوي على المعلومات اﻷساسية التالية‪:‬‬

‫‪ ‬المخاطر )ما الخطأ الذي يمكن أن يحدث( من سجل المخاطر‬

‫‪ ‬إجراءات اﻻستجابة القائمة حاليا للخطر )من قبل اﻹدارة(‬

‫‪ ‬توصيات العمل علي تخفيض المخاطر‪ ،‬في حالة تحديد أوجه قصور في اﻻستجابة للمخاطر الحالية‬
‫لﻺدارة‪.‬‬

‫‪ ‬الشخص المسؤول عن تنفيذ خطة تخفيض المخاطر‬

‫‪ ‬الجدول الزمني المستهدف للتنفيذ‪.‬‬

‫كما ينبغي رصد هذه الوثيقة بشكل مستمر وتحديثها بشكل دوري‪ ،‬مع إعادة النظر في سجل المخاطر من أجل‬
‫تزويد اﻹدارة بالمعلومات والتأكد من أن المخاطر تدار بشكل صحيح أويتم التخفيف منها من وقت ﻵخر‬

‫‪29‬‬
 ‫تكامل المدخﻼت و المخرجات‬

‫تحديد وتقييم المخاطر‬

‫سجﻼت المخاطر المؤسسية و خطط السيطرة‬

‫التخطيط للتدقيق الداخلي‬ ‫تحديث المخاطر وتقيمها‬

‫التدقيق‬ ‫سجﻼت السيطرة على المخاطر‬

‫توصيات باستحداث وتحسين الرقابة الداخلية‬

 ‫أنواع التحديات التى تواجة نجاح النشاطين‬

‫• التأهيل العلمى‬
‫• درجة الخبرة و النضوج‬
‫• وجود ألية مدروسة و ثابتة لتبادل المعلومات و التقارير‬
‫و اﻹستفادة من المدخﻼت و المخرجات‬
‫• وعى اﻹدارة العليا بكيفية اﻹستفادة من النشاطين على‬
‫أكمل وجة فى‪:‬‬
‫‪ -‬إتخاذ القرارات‬
‫‪ -‬صياغة اﻹستراتيجيات و السياسات‬
‫توصيات لﻺستفادة من النشاطين لتحقيق الحماية و اﻹستدامة و النمو‬

‫• التأهيل العلمى – ‪CIA‬‬

‫• التدريب المستمر‬
‫• تنسيق خطط العمل الميدانى‬
‫• أليات لتبادل المعلومات و التقارير‬
‫• إجتماعات منتظمة )تشاور – مناقشة المشاكل –‬
‫وضع الحلول – المتابعة – تحديث أليات‬
‫التعاون(‬
‫• تنظيم ورش توعية مشتركة ﻹدارات المؤسسة‬
‫شكرا‬

‫محمد نصار ‪CIA, CCSA, PA‬‬

‫خبير حوكمة الشركات‪ ,‬إدارة المخاطر و الرقابة الداخلية‬
‫‪mohamad.nassar@grcdynamics.com‬ة‬