CHECK-LIST

Organization Name:
Organization Address:

Organization activity/business:

Date of first issuing:

Number of revision:
Date of revision:

Risk Manager:

Signature:

Risk Management overall KPI,

Key Performance Index 6

Notes:

Principle Defining question
Is risk management an
Integration integral part of all
organizational activities?
Is it integrated in all the
Structured and comprehensive
activities and structured?
Does Risk Management
Customized takes into account the
peculiarities of the
organization?
Inclusive Are all stakeholder involved? Does the communication
procedure involve
stakeholders?
Degree of fulfilment (0÷4) - Results obtained
Answer (descriptive
Practical question see note (1) at the end of Corrective action Time of completion Responsible person and date of the
answer)
the page review
Has the company mapped all
its activities in a diagram?
In which part the Risk
Management is already
involved and in which not?
Are managers or persons
responsible for specific
activities aware of risks and
Risk Management
techniques?
Are there present written
procedures for activities?
If Yes, is Risk Management
part of these written
procedures?
Are there procedures,
measurements, instructions,
criteria and so on,
specifically demanded to risk
management?
Are all the activities involved
in risk management?
If some activity is not
included in Risk
Management, is a proper
explanation provided and
documented?
Is present a context analysis?
Is Risk Management
designed keeping in mind
the context?
Are Risk Management
procedures tailored for the
specific activity and
organization?
Is a list of stakeholder
(internal and external)
present?
Is a communication
procedure present?
 Inclusive Are all stakeholder involved?
Principle Defining question
Is Risk Management kept
Dynamic
updated?
Best available information Are information reliable?
Is human and cultural factors
Human and cultural factors
properly taken into account? Are human and cultural
Is risk Management within a
Is Risk Management part of
Continual improvement continual improvement
the periodic review?
process?
(1) - rationale of the scoring
0 - disattended
1 - disattended <50%
2 - disattended >50%
3 - fulfilled, not documented
4 - fulfilled and documented
Degree of fulfilment (0÷4) - Results obtained
Answer (descriptive
Practical question see note (1) at the end of Corrective action Time of completion Responsible person and date of the
answer)
the page review
Have stakeholders ever
complained about a decision
made without being
informed?
Is a context review regularly
performed?
Is a management review
regularly performed?
During periodic reviews, is
Risk Management taken into
account and updated?
Has the organization
documented a procedure for
measurements activities?
Are all the measurements
(including market feedback)
reliable?
Are in the company context
human factors properly
emphasized?
factors that may present risk
properly identified and
documented?
Ha the organization a
procedure which manage
continual improvement?
0
Is Risk Management object
of corrective actions?
Partial score
0
Principles KPI
 ‫المبادئ‬ ‫السؤال التعريفي‬ ‫سؤال الممارسة‬ ‫االجابة‬ ‫التقييم (‪)4 - 0‬‬ ‫تاريخ االنتهاء من التصحيح االجراءت التصحيحي‬ ‫النتائج وتاريخ المراجعة الشخص المسؤول‬

‫هل الشركة وضعت كل انشطة الشركة في مخطط؟‬

‫ما هي االنشطة التي دخلت فيها ادارة المخاطر وما‬
‫هل ادارة المخاطر جزء ال‬ ‫هي االنشطة التي لم تدخل فيها؟‬
‫متكاملة‬ ‫يتجزاء من عمليات وأنشطة‬
‫الشركة؟‬ ‫هل المدراء واالشخاص المسؤولين عن االنشطة في‬
‫الشركة على وعي ومعرفة بالمخاطر وتقنيات ادارتها؟‬
‫هل هناك اجراءات مكتوبة لهذه االنشطة؟‬
‫اذا اكان نعم؟‬
‫هل هناك اجراءات ومقاييس وتعليمات ومعايير‬
‫مطلوبة خصيصا ً الدارة المخاطر؟‬
‫منظمة وشاملة‬ ‫هل ادارة المخاطر ممنهجة‬
‫وتتم وفق نظام زمني؟‬ ‫هل كل االنشطة مشاركة في ادارة المخاطر؟‬
‫اذا كان هناك نشاط لم يشارك في ادارة المخاطر ‪،‬‬
‫فهل يوجد تفسيرات موثقة ومقبولة لعدم مشاركته؟‬
‫هل يتوفر تحليل للسياق؟‬
‫متوافقة‬ ‫هل تم مراعاة السياق عند وضع ادارة المخاطر؟ هل ادارة المخاطر تتوافق مع‬
‫هل اجراءات ادارة المخاطر تتناسب مع االنشطة بيئة الشركة وطبيعة عملها؟‬
‫المخصصة في المجموعة؟‬
‫هل يوجد قائمة بأصحاب المصالح الداخليين‬
‫والخارجيين؟‬
‫هل كل االطراف ذات‬ ‫هل هناك اي اجراء اتصال؟‬
‫تتسم بالشفافية والشمولية‬ ‫العالقة يتم اشراكهم واخذ‬
‫ارائهم؟‬ ‫هل يشمل اجراء اتصال اصحاب المصالح؟‬
‫هل سبق أن اشتكى أصحاب المصلحة من قرار‬
‫اتخذ دون إبالغهم؟‬
‫هل تتم مراجعة السياق بانتظام؟‬
‫هل يتم تحديث ادارة‬ ‫هل تتم مراجعة اإلدارة بانتظام؟‬
‫مستجيب للتغييرات‬ ‫المخاطر وفق المتغيرات‬
‫الداخلية والخارجية؟‬ ‫خالل المراجعات الدورية ‪ ،‬هل يتم أخذ إدارة‬
‫المخاطر بعين االعتبار وتحديثها؟‬
‫هل وثقت المنظمة إجراء ألنشطة القياسات؟‬
‫يعتمد على افضل البيانات‬
‫هل المعلومات موثوقة؟‬ ‫هل جميع القياسات (بما في ذلك مالحظات‬
‫المتاحة‬
‫السوق) موثوقة؟‬
‫هل يتم التركيز بشكل صحيح على العوامل‬
‫يراعى العوامل البشرية‬ ‫هل يتم االخذ في االعتبار‬ ‫البشرية في سياق الشركة؟‬
‫والثقافية‬ ‫العوامل البشرية والثقافية؟‬
‫هل العوامل البشرية والثقافية التي قد تشكل‬
‫مخاطر محددة وموثقة بشكل صحيح؟‬

‫هل قامت المنظمة بإجراء يدير التحسين المستمر؟‬

‫التحسين المستمر‬ ‫هل ادارة المخاطر ضمن‬ ‫هل إدارة المخاطر جزء من المراجعة الدورية؟‬
‫عملية التحسين المستمر؟‬ ‫‪0‬‬
‫هل إدارة المخاطر هي موضوع اإلجراءات‬
‫التصحيحية؟‬
‫‪Partial score‬‬
‫‪0‬‬
‫‪Principles KPI‬‬

‫‪(1) - rationale of the‬‬

‫‪scoring‬‬
0 - disattended
1 - disattended <50%
2 - disattended >50%
3 - fulfilled, not
documented
4 - fulfilled and
documented
 Answer (descriptive Degree of Results obtained
Framework part Defining question Practical question answer) fulfilment Corrective action Time of completion Responsible person and date of the
(0÷4) review
Are documents like policies
and statements on risk
management present?
Are resourced allocated to
risk management?

Is an organigram formalized?
Leadership Is leadership committed in
risk management? Is present in the organigram
a person responsible for
risks?

Are roles and

accountabilities with respect
to risk management
documented?

Is everybody aware of the

risks it manages?
Is Risk Management
Are all the company
Integration integrated within the
organization? activities documented?
If yes, is Risk Management
present in the activities
organization?
Is the organization context
properly documented?
Is Risk Management part of
the decision making
procedures?
IS a specific budget and
human resources allocated
for Risk Management?
Are some performance
indexes defined for Risk
Management?

Are roles and responsibilities

for Risk Management
properly defined
documented and
communicated?

Are specific training course

on Risk Management
available for managers and
employees?

Is the Risk Management Are specific skills on Risk

Design Management present in the
properly designed?
company?
 Is the Risk Management
Framework partDesign Defining question
properly designed?
Is Risk Management
Implementation implementation properly
planned and performed?
Evaluation Are the performed activities
effective?
Answer (descriptive Degree of Results obtained
Practical question answer) fulfilment Corrective action Time of completion Responsible person and date of the
(0÷4) review
Are specific procedures on
Risk Management present in
the organization?
Have Risk Managers access
to all relevant information?
(e.g. passwords, access to
database, power to ask for
information to other
personnel and claim
answers, etc.)
Is a procedure for
communication present?
Has a person responsible for
communication been
appointed?
Is consultation with internal
and external experts
properly performed?
Is an implementation plan
documented?
Have resources been
allocated for the Risk
Management
implementation?
Has a person responsible for
the plan implementation
been appointed?
Is the plan implementation
periodically reviewed?
Do we know where, when,
how and by whom different
types of decisions are made?
Has the decision making
been updated?
Have internal audit been
performed to ensure that
Risk Management is
understood?
Does Risk Management
cover all the foreseen
activities?
 Answer (descriptive Degree of Results obtained
Framework part Defining question Practical question answer) fulfilment Corrective action Time of completion Responsible person and date of the
(0÷4) review
Is the implementation plan
Are the performed activities properly performed and on
Evaluation effective? time?
Are the Risk Management
outcomes what expected?
Are adverse events or non
conformities diminished?
Is risk management
synchronized to the
organization changes?

In the procedures on change

management, is Risk
Management considered?

Is Risk Management purpose

still meaningful and in
harmony with the company
purpose?
Is Risk Management kept up
Improvement
to date? Is the Implemented Risk
Management sufficient to
meet the requirements?
Does Risk Management has
enough resources?
Are people involved in Risk
Management properly
trained?
Have time and milestone of
the implementation plan
been met?
Partial score 0
Framework KPI
‫اطار العمل‬ ‫السؤال التعريفي‬ ‫سؤال الممارسة‬ ‫االجابة‬ ‫التقييم (‪)4 - 0‬‬ ‫تاريخ االنتهاء من التصحيح االجراءت التصحيحي‬ ‫النتائج وتاريخ المراجعة الشخص المسؤول‬
‫هل توجد وثائق مثل السياسات‬
‫والبيانات حول إدارة المخاطر؟‬
‫هل يتم تخصيص الموارد إلدارة‬
‫المخاطر؟‬

‫القيادة‬ ‫هل الشكل التنظيمي للشركة منظم؟ هل القيادة ملتزمة بإدارة المخاطر‬
‫في الشركة؟‬ ‫هل يوجد في الهيكل التنظيمي‬
‫شخص مسؤول عن المخاطر؟‬

‫هل تم توثيق األدوار والمسؤوليات‬

‫فيما يتعلق بإدارة المخاطر؟‬

‫هل يدرك الجميع المخاطر التي‬

‫يديرونها؟‬
‫التكامل‬ ‫هل ادارة المخاطر متكاملة مع‬
‫انشطة الشركة االخرى؟‬ ‫هل تم توثيق جميع أنشطة الشركة؟‬
‫إذا كانت اإلجابة بنعم ‪ ،‬فهل إدارة‬
‫المخاطر موجودة في أنشطة‬
‫المنظمة؟‬
‫هل تم توثيق سياق المنظمة بشكل‬
‫صحيح؟‬
‫هل إدارة المخاطر جزء من إجراءات‬
‫صنع القرار؟‬
‫هل تم تخصيص ميزانية محددة‬
‫وموارد بشرية إلدارة المخاطر؟‬
‫هل تم تحديد بعض مؤشرات األداء‬
‫إلدارة المخاطر؟‬
‫هل األدوار والمسؤوليات إلدارة‬
‫المخاطر محددة بشكل صحيح‬
‫وموثقة؟‬
‫هل الدورة التدريبية الخاصة بإدارة‬
‫المخاطر متاحة للمديرين‬
‫والموظفين؟‬
‫هل توجد مهارات محددة في إدارة‬
‫التصميم‬ ‫هل تم تصميم ادارة المخاطر بشكل‬ ‫المخاطر في الشركة؟‬
‫مناسب؟‬
‫هل توجد إجراءات محددة في إدارة‬
‫المخاطر في الشركة؟‬

‫هل يمكن لمديري المخاطر الوصول‬

‫إلى جميع المعلومات ذات الصلة؟‬
‫(على سبيل المثال ‪ ،‬كلمات‬
‫المرور ‪ ،‬والوصول إلى قاعدة‬
‫البيانات ‪ ،‬والسلطة لطلب‬
‫المعلومات لألفراد اآلخرين‬
‫والمطالبة باإلجابات ‪ ،‬وما إلى ذلك)‬

‫هل إجراء االتصال موجود؟‬

‫هل تم تعيين شخص مسؤول عن‬
‫االتصال؟‬
 ‫هل يتم التشاور مع الخبراء‬
‫الداخليين والخارجيين بشكل‬
‫صحيح؟‬

‫هل تم توثيق خطة التنفيذ؟‬

‫هل تم تخصيص الموارد لتنفيذ إدارة‬

‫المخاطر؟‬
‫هل تم تعيين شخص مسؤول عن‬
‫تنفيذ الخطة؟‬
‫التنفيذ‬ ‫هل تنفيذ ادارة المخاطر يتم بشكل‬
‫مخطط ؟‬ ‫هل تتم مراجعة تنفيذ الخطة بشكل‬
‫دوري؟‬
‫هل نعرف أين ومتى وكيف ومن‬
‫يتخذ أنواع مختلفة من القرارات؟‬
‫هل تم تحديث عملية صنع القرار؟‬

‫هل تم إجراء المراجعة الداخلية‬

‫للتأكد من أن إدارة المخاطر مفهومة؟‬

‫هل تغطي إدارة المخاطر جميع‬

‫األنشطة المتوقعة؟‬
‫هل يتم تنفيذ خطة التنفيذ بشكل‬
‫‪Are the performed activities‬‬ ‫صحيح وفي الوقت المحدد؟‬
‫التقييم‬
‫?‪effective‬‬ ‫هل نتائج إدارة المخاطر هي ما هو‬
‫متوقع؟‬
‫هل تضاءلت األحداث السلبية أو‬
‫عدم المطابقة؟‬
‫هل إدارة المخاطر متزامنة مع‬
‫التغييرات في الشركة؟‬
‫في إجراءات إدارة التغيير ‪ ،‬هل‬
‫تعتبر إدارة المخاطر؟‬
‫هل ال يزال غرض إدارة المخاطر‬
‫ومتناغما مع غرض الشركة؟‬
‫ً‬ ‫هادفًا‬

‫التحسين‬ ‫هل يتم تحديث إدارة المخاطر؟‬ ‫هل إدارة المخاطر المنفذة كافية‬
‫لتلبية المتطلبات؟‬
‫هل تمتلك إدارة المخاطر موارد‬
‫كافية؟‬
‫هل تم تدريب األشخاص المشاركين‬
‫في إدارة المخاطر بشكل صحيح؟‬
‫هل تم استيفاء الوقت والمعالم في‬
‫خطة التنفيذ؟‬
‫‪Partial score‬‬
‫‪Framework KPI‬‬ ‫‪0‬‬

Process phase
Communication and consultation
Scope, context and criteria
Risk assessment
Risk treatment
Monitoring and review
Answer Degree of fulfilment Results obtained
Defining question Practical question (descriptive (0÷4) Corrective action Time of completion Responsible person and date of the
answer) review
Are stakeholders aware of all Not all external
the risk present in the stakeholders 2
organization?
Is communication and
consultation properly Are experts and relevant
performed during the Risk personnel involved in the
Management process? risk management process?
Are brainstorming sessions
included in the risk
identification phase?
Is the scope of the risk
management process
defined?
Before starting the risk
management process, is it
Is the process properly clear the level of the scope
identified with its boundaries (strategic, operational or
and values? specific project)
Has the process context
been defined, described and
documented?
Are criteria properly defined
and documented?
Is a list of the identified
sources of risk present?
Is the analysis properly
Has risk been properly documented?
assessed?
IS the evaluation
documented and signed by
the risk manager or
responsible person?
Is the decision taken with
respect to every risk properly
documented?
Is risk properly treated? In the documentation, are
present the motivation why
some options have been
ruled out?
Has a person been
appointed for risk treatment
follow up?
Have periodic risk
treatments review been
planned?
Are decision taken with
respect to risk management
properly monitored?
 Answer Degree of fulfilment Results obtained
Process phase Defining question Practical question (descriptive (0÷4) Corrective action Time of completion Responsible person and date of the
answer) review

Are decision taken with

Monitoring and review respect to risk management Yes, a periodic
properly monitored? review takes place
Does management plan after the meeting
periodic risk review for approving 4
meetings? balance sheets,
usually on
February.

For each risk treatment, has

a key performance index
(KPI)been defined?

Are all the activity involved

in Risk Management process
recorded and documented?

Are these documentation

retained in a safe manner?
Are specific reporting
procedure for stakeholders
Recording and reporting Is recording and reporting in place?
properly performed?
Are specific reporting
procedure for top
management in place?

Is in every document
specified who are those to
whom it is meant to be
communicated and
reported?

Partial score 6
Process KPI
 ‫العملية‬
‫التواصل واالستشارات‬ ‫هل يتم االتصال واالستشارة بشكل صحيح أثناء عملية إدارة‬
‫المجال والسياق والمعيار‬ ‫هل يتم تحديد العملية بشكل صحيح مع حدودها وقيمها؟‬
‫تقدير المخاطر‬
‫معالجة المخاطر‬
‫هل يتم اتخاذ القرار فيما يتعلق بإدارة المخاطر بشكل صحيح؟ مراقبة ومراجعة المخاطر‬
‫التسجيل واالبالغ‬
‫السؤال التعريفي‬ ‫سؤال الممارسة‬ ‫االجابة‬ ‫التقييم (‪)4 - 0‬‬ ‫االجراءت التصحيحي‬ ‫تاريخ االنتهاء من التصحيح‬
‫هل أصحاب المصلحة علىـ علم بجميع المخاطر الموجودة في‬
‫المنظمة؟‬
‫هل يشارك الخبراء والموظفون المعنيون في عملية إدارة‬
‫المخاطر؟‬ ‫المخاطر؟‬
‫هل يتم تضمين جلسات العصف الذهني في مرحلة تحديد‬
‫المخاطر؟‬
‫هل تم تحديد نطاق عملية إدارة المخاطر؟‬
‫قبل البدء في عملية إدارة المخاطر ‪ ،‬هل من الواضح مستوى‬
‫النطاق (مشروع استراتيجي أو تشغيلي أو محدد)‬
‫هل تم تحديد سياق العملية ووصفها وتوثيقها؟‬
‫هل المعايير محددة وموثقة بشكل صحيح؟‬
‫هل توجد قائمة بمصادر الخطر المحددة؟‬
‫هل تم توثيق التحليل بشكل صحيح؟‬
‫هل تم تقييم المخاطر بشكل صحيح؟‬
‫هل التقييم موثق وموقع من قبل مدير المخاطر أو الشخص‬
‫المسؤول؟‬
‫هل القرار المتخذ فيما يتعلق بكل خطر موثق بشكل صحيح؟‬
‫هل يتم عالج المخاطر بشكل صحيح؟‬
‫في الوثائق ‪ ،‬هل هناك دافع لماذا تم استبعاد بعض الخيارات؟‬
‫هل تم تعيين شخص لمتابعة المخاطر؟‬
‫هل تم التخطيط لمراجعة معالجة المخاطر الدورية؟‬
‫هل تخطط اإلدارة الجتماعات مراجعة المخاطر الدورية؟‬
‫لكل عالج للمخاطر ‪ ،‬هل تم تحديد مؤشر األداء الرئيسي‬
‫؟)‪(KPI‬‬
‫هل يتم تسجيل جميع األنشطة التي تنطوي عليها عملية إدارة‬
‫المخاطر وتوثيقها؟‬
‫هل يتم االحتفاظ بهذه الوثائق بطريقة آمنة؟‬
‫هل يتم التسجيل واإلبالغ بشكل صحيح؟‬ ‫هل هناك إجراءات إبالغ محددة ألصحاب المصلحة؟‬
‫هل هناك إجراءات إبالغ محددة لإلدارة العليا؟‬
‫هل يوجد في كل مستند محدد األشخاص الذين من المفترض أن‬
‫يتم إبالغهم وإبالغهم؟‬
‫‪Partial score‬‬ ‫‪0‬‬
‫‪Process KPI‬‬
‫الشخص المسؤول‬ ‫النتائج وتاريخ المراجعة‬