‫ضوابط‬

‫إدارة املخاطـر للحكومة الرقمية‬

‫‪ 25‬يوليو ‪2022‬‬
‫نوع الوثيقة‪ :‬ضوابط‬
‫تصنيف الوثيقة‪ :‬عام‬
‫رقم اإلصدار‪1.0 :‬‬
‫رقم الوثيقة‪DGA-1-2-5-104 :‬‬
 ‫جدول املحتويات‬

‫‪3‬‬ ‫متهيد‬ ‫‪1‬‬

‫‪4‬‬ ‫مقدمة‬ ‫‪2‬‬

‫‪5‬‬ ‫جدول التعريفات‬ ‫‪3‬‬

‫‪7‬‬ ‫األهداف‬ ‫‪4‬‬

‫‪7‬‬ ‫النطاق‬ ‫‪5‬‬

‫‪9‬‬ ‫التطبيق‬ ‫‪6‬‬

‫‪9‬‬ ‫التنفيذ وااللتزام‬ ‫‪7‬‬

‫‪10‬‬ ‫الضوابط‬ ‫‪8‬‬

‫‪10‬‬ ‫الضوابط الخاصة مبرحلة بناء إدارة املخاطر‬ ‫‪8.1‬‬

‫‪17‬‬ ‫الضوابط الخاصة مبرحلة تقييم ومعالجة املخاطر‬ ‫‪8.2‬‬

‫‪20‬‬ ‫الضوابط الخاصة مبرحلة التدريب والتحسني‬ ‫‪8.3‬‬

‫‪2‬‬
 ‫متهيد‬

‫تعمل هيئة الحكومة الرقمية عىل تعزيز األداء الرقمي داخل الجهات الحكومية‪ ،‬والرفع من جودة‬

‫الخدمات املقدمة وتحسني تجربة املستفيد النهايئ من تلك الخدمات‪ ،‬مبا يتوافق مع الرؤية الطموحة‬

‫للمملكة ‪.2030‬‬

‫ومت ّهد هيئة الحكومة الرقمية الطريق للجهات الحكومية‪ ،‬لتوفري خدمات حكومية رقمية ذات جودة‬

‫وكفاءة عالية تساهم يف رفع العوائد االستثامرية والرفع من قيمة االقتصاد الوطني‪ ،‬والعمل عىل‬

‫قياس أداء الجهات الحكومية وقدراتها يف مجال الحكومة الرقمية‪.‬‬

‫وحيث أن الهيئة هي الجهة املختصة بكل ما يتعلق بالحكومة الرقمية‪ ،‬وأنها تعد املرجع الوطني يف‬

‫شؤونها‪ ،‬وبناء عىل اختصاصاتها بأن تتوىل الهيئة "وضع املعايري والضوابط التنظيمية الفنية لنامذج‬

‫التحول الرقمي يف القطاعات الحكومية ومتابعة االلتزام بها‪ ،‬بالتنسيق مع الجهات املختصة"‬

‫ومن هذا املنطلق قامت الهيئة بإعداد ضوابط إدارة املخاطر للحكومة الرقمية والتي تعمل بدورها‬

‫عىل تحقيق االستدامة للخدمات الحكومية الرقمية‪.‬‬

‫‪3‬‬
 ‫املقدمة‬

‫سعيا اىل تعزيز موثوقية واستمرارية الخدمات الحكومية الرقمية يف الجهات الحكومية ‪ ،‬أعدت الهيئ ة “ض وابط‬

‫إدارة املخاطر للحكومة الرقمية” إح د التنظ يامت املض منة يف اإلط ار التنظيم ي ألع امل الحكوم ة الرقمي ة (‬

‫الشكل ‪ ، )1‬لرفع مستو نضج الخدمات الحكومية الرقمية ولتعزيز قدرة الجهة عىل تحديد املخاطر والتهدي دات‬

‫بش كل اس تباقي‪ ،‬والعم ل ع ىل وض ع خط ط االس تجابة املناس بة لتقلي ل االث ار الس لبية امل تب ة عليه ا‪ .‬وال‬

‫يقتص ر ذل ك ع ىل خ دمات الحكوم ة الرقمي ة فق ط‪ ،‬ب ل متت د ملختل ف الخ دمات الداعم ة األخ ر يف الجه ات‬

‫الحكومية ملا لها من أثر يضمن الحفاظ عىل املقدرات والخدمات املقدمة وضامن موثوقيتها‪.‬‬

‫الشكل ‪ :1‬اإلطار التنظيمي ألعامل الحكومة الرقمية‬

‫‪4‬‬
 ‫جدول التعريفات‬

‫التعريفات‬ ‫املصطلح‬
‫هيئة الحكومة الرقمية‪.‬‬ ‫الهيئة‬

‫دعم العمليات اإلدارية والتنظيمية والتشغيلية داخل القطاعات الحكومية – وفيام بينها – لتحقيق التحول الرقمي وتطوير وتحسني‬
‫الحكومة الرقمية‬
‫ومتكني الوصول بسهولة وفاعلية للمعلومات والخدمات الحكومية‬

‫الوزارات والهيئات واملؤسسات العامة واملجالس واملراكز الوطنية‪ ،‬وما يف حكمها‪.‬‬ ‫الجهات الحكومية‬

‫تحدد الضوابط االش اطات التي يجب عىل الجهات الحكومية أن متتثل لها وما الذي يجب عليها القيام به لتحقيق ما ورد يف‬
‫الضوابط‬
‫السياسة املرتبطة بها من مستهدفات وأحكام عامة‪.‬‬

‫تحويل مناذج االعامل وتطويرها بشكل اس اتيجي‪ ،‬لتكون مناذج رقمية مستندة عىل بيانات وتقنيات وشبكات االتصاالت‪.‬‬ ‫التحول الرقمي‬

‫املبادئ واإلطار والعمليات التي تتبعها الجهة يف إدارة املخاطر املحتملة بهدف تحقيق األهداف االس اتيجية للجهة‪.‬‬ ‫نظام إدارة املخاط ر‬

‫حوادث محتملة الحدوث والتي قد تؤثر عىل أهداف الجهة‪.‬‬ ‫املخاطر‬

‫هو حادثة ي تب عليها آثار وتبعات قد تؤثر عىل تحقيق األهداف سلبا أو ايجابا‪.‬‬
‫الحدث‬

‫الحوادث الداخلية أو الخارجية التي قد تؤثر عىل تحقيق األهداف االس اتيجية لد الجهة‪.‬‬ ‫املخاطر الداخلية والخارجية‬

‫تتضمن فهم املخاطر وتحليلها ومعالجتها ومتابعتها للتأكد من تحقيق الجهات ألهدافها‪.‬‬ ‫إدارة املخاطر‬

‫الوثيقة الرئيسية التي تحدد حوكمة ونطاق إدارة املخاطر‪ ،‬إىل جانب أهداف إدارة املخاطر واالدوار واملسؤوليات لألطراف ذات‬
‫سياسة وحوكمة إدارة املخاطر‬
‫العالقة‪.‬‬

‫تحديد خطة حول كيفية تنفيذ سياسة إدارة املخاطر يف الجهة واملساعدة يف تحقيق األهداف االس اتيجية‪.‬‬ ‫اس اتيجية إدارة املخاطر‬

‫حدود تقبل املخاطر‬

‫حجم املخاطر الذي ميكن للجهة قبوله سعيا لتحقيق األهداف‪.‬‬

‫مستو املخاطر التي ميكن أن تقبلها الجهة لكل خطر منفرد‪.‬‬ ‫درجة تحمل الخطر‬

‫منهجية وأليات تحديد وتحليل وتقييم املخاطر ومعالجتها ومتابعتها بشكل دوري لد الجهة‪.‬‬ ‫إطار إدارة املخاطر‬

‫عملية تحديد وتحليل وتقييم املخاطر التي قد تؤثر عىل تحقيق األهداف‪.‬‬ ‫تقييم املخاطر‬

‫سياسة‪ ،‬أو إجراء‪ ،‬أو مامرسة‪ ،‬أو عملية‪ ،‬أو تقنية‪ ،‬أو غري ذلك من الضوابط التي من شأنها تخفيف احتاملية أو‪/‬و أثر املخاطر‪.‬‬ ‫الضابط الرقايب‬

‫الشخص أو الجهة املسؤولة عن إدارة الخطر ورفع التقارير عن حاله الخطر اىل إدارة املخاطر واألطراف ذات العالقة‪.‬‬ ‫مالك الخطر‬

‫‪5‬‬
 ‫التعريفات‬ ‫املصطلح‬
‫الشخص أو الجهة التي تم منحها الصالحية لتطبيق وتنفيذ خطط االستجابة للخطر ورفع التقارير عن حالتها اىل إدارة املخاطر‬
‫مالك خطط االستجابة للخطر‬
‫وأصحاب املصلحة‪.‬‬

‫هي العواقب املتوقعة يف حال تحقق الخطر‪.‬‬ ‫األثر‬

‫هي حجم فرصة حدوث الخطر وتكراره‪.‬‬ ‫االحتاملية‬

‫هي درجة الخطر دون األخذ يف االعتبار فعالية الضوابط‪.‬‬ ‫درجة الخطر الكامنة‬

‫هي درجة الخطر املتبقية بعد األخذ بعني االعتبار فعالية الضوابط الرقابية‪.‬‬ ‫درجة الخطر املتبقية‬

‫هي مصفوف ٌة تُستخدم أثناء تقييم املخاطر لتحديد مستو املخاطر من خالل النظر اىل احتاملية أو إمكانية حدوث املخاطر‬
‫مصفوفة املخاطر‬
‫مقابل اآلثار امل تبة عىل حدوث الخطر‪.‬‬

‫املقاييس التي تستخدمها الجهة لإلنذار املبكر اىل احتاملية زيادة التعرض للخطر يف مختلف مجاالت الجهة‪.‬‬ ‫مؤرشات املخاطر الرئيسية‬

‫سجل يوضح معلومات املخاطر ويُستخدم كأداة لتحديد املخاطر وتحليلها ومعالجتها بشكل مقبول للجهة‪.‬‬ ‫سجل املخاطر‬

‫مد استيفاء الجهة للمتطلبات اإللزامية‪.‬‬ ‫االمتثال‬

‫نشاط متكرر لتعزيز أداء عمل إدارة املخاطر‪.‬‬ ‫التحسني املستمر‬

‫جميع املسؤولني عن اتخاذ القرارات األساسية داخل الجهة‪.‬‬ ‫اإلدارة العليا‬

‫األطراف والجهات التي تؤثر وتتأثر بقرارات وتوجهات وإجراءات وأهداف وسياسات ومبادرات الحكومة الرقمية وتشاركها بعضا من‬
‫أصحاب املصلحة‬
‫اهتامماتها ومخرجاتها وتتأثر بأي تغري يحدث بها‪.‬‬

‫مراجعة االمتثال وفق معايري إدارة املخاطر أو متطلبات السياسة‪.‬‬ ‫التدقيق الداخيل‬

‫تقييم اإلدارة لوضع معني او اعادة النظر يف موضوع معني‪.‬‬ ‫املراجعة اإلدارية‬

‫تشمل املوارد املالية واملعلومات واملهارات واألفراد والتقنيات التي تحصل عليها الجهة وتستخدمها لتحقيق أهدافها وغاياتها‬
‫املوارد‬
‫التنظيمية‪.‬‬

‫املراجعة الداخلية لتنفيذ نظام إدارة املخاطر من أجل وضع خطة عمل للتحسني‪.‬‬ ‫التقييم الذايت‬

‫يستخدم للتحقق من مد كفاءة األدوار واملسؤوليات‪.‬‬ ‫تقييم األداء‬

‫تطوير فهم املخاطر والتهديدات الرئيسية التي من املمكن ان تؤثر سلبا عىل تحقيق أهداف الجهة‪.‬‬ ‫التوعية‬

‫بناء املهارات والكفاءات للرفع من أداء املوظفني فيام يتعلق بأدوار أو مسؤوليات محددة‪.‬‬ ‫التدريب‬

‫‪6‬‬
 ‫األهداف‬
‫تهدف هذه الضوابط إىل متكني الجهات الحكومية من‪:‬‬

‫الحد من أثر أو احتاملية حدوث املخاطر املستقبلية عىل الخدمات الرقمية‪.‬‬ ‫‪01‬‬

‫التعامل بشكل استباقي يف تحديد املخاطر لضامن استدامة الخدمات الرقمية والعمليات‬
‫‪02‬‬
‫الرئيسية للجهة‪.‬‬

‫تحديد اس اتيجيات وخطط املعالجة املناسبة للمخاطر املحتملة‪.‬‬ ‫‪03‬‬

‫رف ع مس تو ال وعي ب إدارة املخ اطر يف الجه ات الحكومي ة وتعزي ز الص مود واملرون ة ع ىل‬
‫‪04‬‬
‫املستو الوطني‪.‬‬

‫دعم اتخاذ القرار والتوزيع األمثل للموارد واإلمكانيات‪.‬‬ ‫‪05‬‬

‫النطاق‬
‫تعزي ز ق درة الجه ات الحكومي ة ع ىل تحدي د املخ اطر والتهدي دات بش كل اس تباقي واملحافظ ة ع ىل‬
‫استدامة الخدمات الرقمية من خالل التزام الجهات الحكومية واملوردين واملشغلني للخدمات الحكومي ة‬
‫الرقمية ببناء وتنفي ذ وتحس ني نظ ام إدارة مخ اطر فع ال ي وفر الق درات الالزم ة لتحدي د وتحلي ل املخ اطر‬
‫املستقبلية والعمل عىل وضع خطط االستجابة املناسبة لتقليل االثار السلبية امل تبة عىل الخ دمات‬
‫الرقمي ة واالمتث ال للمتطلب ات القانوني ة والتنظيمي ة‪ .‬ك ام يج ب اتب اع منهجي ة بن اء‪ ،‬تقي يم ومعالج ة‬
‫املخاطر‪ ،‬التدريب والتحسني‪ ،‬كام هو موضح يف (الشكل ‪ )2‬أدناه‪.‬‬

‫‪7‬‬
 ‫منهجية إدارة املخاطر‬

‫التدريب والتحسني‬ ‫تقييم ومعالجة املخاطر‬ ‫بناء إدارة املخاطر‬

‫التدريب والتوعية‬ ‫تحديد‪ ،‬تقييم وتحليل املخاطر‬ ‫سياسة وحوكمة إدارة املخاطر‬

‫املراقبة والتحسني‬
‫معالجة املخاطر‬ ‫اس اتيجية إدارة املخاطر‬

‫املراجعة واملتابعة والتواصل‬ ‫حدود تقبل املخاطر ودرجة تحمل‬

‫الخطر‬

‫إطار وإجراءات إدارة املخاطر‬

‫(الشكل ‪ 2‬منهجية إدارة المخاطر)‬

‫ويتطلب إنشاء نظام الحوكمة إلدارة املخاطر يف الحكومة الرقمية ما ييل‪:‬‬

‫اختيار مؤرشات األداء‬ ‫تحديد نطاق وأهداف إدارة‬ ‫تعريف صالحيات ومسؤوليات‬ ‫فهم نطاق عمل الجهة‬
‫الرئيسية‪.‬‬ ‫املخاطر بوضوح‪.‬‬ ‫أصحاب املصلحة‪.‬‬ ‫ومسؤولياتها‪.‬‬

‫فهم احتياجات وتوقعات‬ ‫املواءمة مع أطر حوكمة‬ ‫تحديد وترية إعداد التقارير‬
‫أصحاب املصلحة‪.‬‬ ‫الجهات األخر ذات العالقة‪.‬‬ ‫والتواصل‪.‬‬

‫‪8‬‬
 ‫تطبيق حوكمة إدارة املخاطر يف الحكومة الرقمية والرتكيز عىل الجوانب االتية‪:‬‬

‫االمتثال للمتطلبات‬ ‫املواءمة مع األهداف‬ ‫اإلرشاف والدعم من‬

‫القانونية والتنظيمية‪.‬‬ ‫االس اتيجية للجهة‪.‬‬ ‫القيادة يف الجهة‪.‬‬

‫دعم التحسني‬ ‫املراجعة واملراقبة‬

‫املستمر‪.‬‬ ‫لضامن تلبية املتطلبات‪.‬‬

‫التطبيق‬
‫تطبق املتطلبات الواردة يف هذه الوثيقة عىل جمي ع الجه ات الحكومي ة الت ي تق دّم خ دمات ومنتج ات‬
‫رقمي ة والجه ات املش غلة بغ ع النظ ر ع ن نوعه ا وحجمه ا وطبيعته ا‪ .‬وس يعتمد م د قابلي ة تطبي ق‬
‫املتطلب ات ع ىل بيئ ة تش غيل الجه ة‪ ،‬ومس تو تعقي دها‪ ،‬وع دد مواقعه ا الجغرافي ة‪.‬‬

‫التنفيذ وااللتزام‬
‫يجب أن تعمل اإلدارة العليا أو اللجنة املعنية يف الجهة عىل ضامن فعالية نظام إدارة املخ اطر وتحقي ق‬
‫الجه ة أله دافها ع ىل النح و املح دد يف سياس ة إدارة املخ اطر الخاص ة بالجه ة‪ .‬ك ام س تقوم الهيئ ة‬
‫بتقييم وقياس مد التزام الجهات الحكومية بتطبيق هذه الضوابط وفق اآللية التي تقرها الهيئة‪.‬‬

‫‪9‬‬
 ‫الضوابط‬
‫‪ 8.1‬الضوابط الخاصة مبرحلة بناء إدارة املخاطر‬

‫بناء سياسة وحوكمة إدارة املخاطر‬

‫بناء سياسة و حوكمة إدارة املخاطر وتحديد أدوار ومهام األشخاص املعنيني واألقسام املعنية‬
‫الهدف‬
‫لتخطيط وتنفيذ ومراجعة وتطوير إدارة املخاطر واملواءمة مع اس اتيجية الجهة‪.‬‬

‫يجب عىل الجهة الحكومية التي تقدم خدمات رقمية أن تلتزم مبا ييل‪:‬‬

‫رقم الضابط‬

‫تعيني مدير إدارة املخاطر ميتلك الكفاءة والصالحيات الكافية ليدير نظام إدارة املخاطر‪.‬‬ ‫‪5-104-01‬‬

‫تعيني فريق إدارة املخاطر وتحديد أدوار ومسؤوليات محددة تحت ادارة مدير إدارة املخاطر‬
‫‪5-104-02‬‬
‫ويتكون من عدد كاف من املوظفني املؤهلني بشكل يتناسب مع حجم أعامل الجهة‪.‬‬

‫ضامن تويل املدير املسؤول عن إدارة املخاطر من بناء وتشغيل إدارة املخاطر وفقا لتوجيهات‬
‫‪5-104-03‬‬
‫اإلدارة العليا املضمنة يف سياسة إدارة املخاطر‪.‬‬

‫تكوين لجنة توجيهية مسؤولة عن نظام إدارة املخاطر بالجهة يرأسها رئيس الجهة أو نائبه ويتم‬
‫توثيق ميثاق للجنة مع االلتزام مبا ييل‪:‬‬

‫نطاق اللجنة و اختصاصها‪.‬‬ ‫‪5-104-04.01‬‬

‫تحديد رئيس واعضاء اللجنة‪.‬‬ ‫‪5-104-04.02‬‬

‫‪5-104-04‬‬

‫تحديد صالحيات اللجنة‪.‬‬ ‫‪5-104-04.03‬‬

‫تحديد أدوار ومسؤوليات اللجنة‪.‬‬ ‫‪5-104-04.04‬‬

‫مراجعه ميثاق اللجنة بشكل دوري‪.‬‬ ‫‪5-104-04.05‬‬

‫رفع تقارير إدارة املخاطر إىل االدارة العليا أو اللجنة التوجيهية إلدارة املخاطر التي يرأسها رئيس‬
‫‪5-104-05‬‬
‫الجهة أو نائبه‪.‬‬

‫‪10‬‬
 ‫رقم الضابط‬
‫بناء سياسة و حوكمة إدارة املخاطر وتحديثها بشكل دوري عىل أن تتضمن السياسة‬
‫ما ييل‪:‬‬

‫املنظور االس اتيجي أثناء تحديدها وتطويرها وتوثيقها‪.‬‬ ‫‪5-104-06.01‬‬

‫دعم رؤية ورسالة وقيم الجهة‪ ،‬وخطة ‪ 2030‬وأهدافها االس اتيجية‪.‬‬ ‫‪5-104-06.02‬‬

‫تعريف إدارة املخاطر‪.‬‬ ‫‪5-104-06.03‬‬

‫نطاق إدارة املخاطر لتوضيح ما يتم إدراجه وما يتم استثناؤه‪.‬‬ ‫‪5-104-06.04‬‬

‫آلية حوكمة إدارة املخاطر‪.‬‬ ‫‪5-104-06.05‬‬

‫‪5-104-06‬‬
‫هيكل وموارد إدارة املخاطر‪.‬‬ ‫‪5-104-06.06‬‬

‫بيان السياسة إلدارة املخاطر‪.‬‬ ‫‪5-104-06.07‬‬

‫األدوار واملسؤوليات لألطراف ذات العالقة‪.‬‬ ‫‪5-104-06.08‬‬

‫الية مراجعتها بشكل دوري وعند حدوث تغيري جوهري (جغرايف‪،‬‬

‫‪5-104-06.09‬‬
‫أو متعلق باملنتجات أو الخدمات‪ ،‬أو هيكيل‪ ،‬أو بيئي) يف الجهة‪.‬‬

‫اعتامدها من قبل رئيس الجهة‪.‬‬ ‫‪5-104-06.10‬‬

‫تطبيقها عىل الجهة كاملة‪.‬‬ ‫‪5-104-06.11‬‬

‫بناء نظام فعال إلدارة املخاطر ويتكون من ما ييل‪:‬‬

‫هيكل وموارد إدارة املخاطر‪.‬‬ ‫‪5-104-07.01‬‬

‫سياسة وحوكمة إدارة املخاطر‪.‬‬ ‫‪5-104-07.02‬‬

‫اس اتيجية إدارة املخاطر‪.‬‬ ‫‪5-104-07.03‬‬

‫تقبل املخاطر وحدود تحمل املخاطر‪.‬‬ ‫‪5-104-07.04‬‬

‫إطار وإجراءات املخاطر‪.‬‬ ‫‪5-104-07.05‬‬ ‫‪5-104-07‬‬

‫تحديد وتقييم املخاطر والتهديدات‪.‬‬ ‫‪5-104-07.06‬‬

‫معالجة املخاطر‪.‬‬ ‫‪5-104-07.07‬‬

‫مراقبة ومتابعة املخاطر‪.‬‬ ‫‪5-104-07.08‬‬

‫التدريب والتوعية‪.‬‬ ‫‪5-104-07.09‬‬

‫املراقبة والتحسني‪.‬‬ ‫‪5-104-07.10‬‬

‫‪11‬‬
 ‫إعداد اسرتاتيجية إدارة املخاطر‬

‫بناء اس اتيجية إدارة املخاطر لتسهيل عملية تحقيق األهداف االس اتيجية‪.‬‬ ‫الهدف‬

‫يجب عىل الجهة الحكومية التي تقدم خدمات رقمية أن تلتزم مبا ييل‪:‬‬

‫رقم الضابط‬

‫تقييم مستو نضج إدارة املخاطر و بناء خطة عمل لرفع مستو نضج الجهة يف إدارة املخاطر‬
‫‪5-104-08‬‬
‫يف الجهة‪.‬‬

‫إعداد وتوثيق اس اتيجية إدارة املخاطر ومواءمتها مع اس اتيجية واهداف الجهة‪ ،‬مع االلتزام مبا‬
‫ييل‪:‬‬

‫تحديد رؤية ورسالة إدارة املخاطر‪.‬‬ ‫‪5-104-09.01‬‬

‫تحديد أهداف إدارة املخاطر‪.‬‬ ‫‪5-104-09.02‬‬

‫مواءمة اس اتيجية إدارة املخاطر مع اس اتيجية واهداف الجهة‪.‬‬ ‫‪5-104-09.03‬‬

‫‪5-104-09‬‬
‫مواءمة اس اتيجية املخاطر مع اس اتيجية ‪ 2030‬للمملكة‪.‬‬ ‫‪5-104-09.04‬‬

‫اعتامدها من قبل رئيس الجهة‪.‬‬ ‫‪5-104-09.05‬‬

‫تطبيقها عىل الجهة كاملة‪.‬‬ ‫‪5-104-09.06‬‬

‫مراجعتها مرة واحدة يف السنة عىل األقل‪ ،‬أو عند حدوث تغيري جوهري‬
‫‪5-104-09.07‬‬
‫يف الجهة‪.‬‬

‫تحديد املوارد الالزمة لتحقيق اس اتيجية إدارة املخاطر ورفع مستو النضج‪.‬‬ ‫‪5-104-10‬‬

‫‪12‬‬
 ‫تحديد حدود تقبل املخاطر ودرجة تحمل املخاطر‬

‫تحديد قدرة الجهة عىل تحمل املخاطر ومتكينها من تحديد األولولية لعالجها‪.‬‬ ‫الهدف‬

‫يجب عىل الجهة الحكومية التي تقدم خدمات رقمية أن تلتزم مبا ييل‪:‬‬

‫رقم الضابط‬

‫إعداد وتوثيق حدود تقبل املخاطر ودرجة تحمل الخطر مع االلتزام مبا ييل‪:‬‬

‫تعريف حدود تقبل املخاطر ودرجة تحمل الخطر‪.‬‬ ‫‪5-104-11.01‬‬

‫تحديد منهجية حدود تقبل املخاطر ودرجة تحمل الخطر‪.‬‬ ‫‪5-104-11.02‬‬

‫تحديد حدود تقبل املخاطر ودرجة تحمل الخطر‪.‬‬ ‫‪5-104-11.03‬‬

‫‪5-104-11‬‬

‫مواءمة حدود تقبل املخاطر ودرجة تحمل الخطر مع مصفوفة املخاطر‪.‬‬ ‫‪5-104-11.04‬‬

‫اعتامدها من قبل رئيس الجهة‪.‬‬ ‫‪5-104-11.05‬‬

‫تطبيقها عىل الجهة كاملة‪.‬‬ ‫‪5-104-11.06‬‬

‫مراجعتها مرة واحدة يف السنة عىل االقل‪ ،‬وعند حدوث تغيري جوهري‬
‫‪5-104-11.07‬‬
‫يف الجهة‪.‬‬

‫مواءمة حدود تقبل املخاطر ودرجة تحمل الخطر مع األهداف االس اتيجية للجهة‪.‬‬ ‫‪5-104-12‬‬

‫‪13‬‬
 ‫إعداد إطار وإجراءات إدارة املخاطر‬
‫إعداد إطار لتحديد وتقييم وتحليل املخاطر الداخلية والخارجية مع تحديد االس اتيجيات املمكنة‬
‫الهدف‬
‫للتخفيف من أثرها و‪/‬أو احتاملية حدوثها‪.‬‬

‫يجب عىل الجهة الحكومية التي تقدم خدمات رقمية أن تلتزم مبا ييل‪:‬‬

‫رقم الضابط‬

‫انشاء إطار إدارة املخاطر وتحديثه بشكل دوري مع االلتزام مبا ييل‪:‬‬

‫تحديد نطاق و اهداف إطار إدارة املخاطر يف الجهة‪.‬‬ ‫‪5-104-13.01‬‬

‫تحديد سياق ومعايري إدارة املخاطر يف الجهة‪.‬‬ ‫‪5-104-13.02‬‬

‫تحديد درجات ومستويات احتاملية املخاطر والتهديدات‪.‬‬ ‫‪5-104-13.03‬‬

‫تحديد مستويات االثر املايل‪ ،‬التشغييل‪ ،‬السمعة‪ ،‬القانوين‪...‬‬

‫‪5-104-13.04‬‬
‫وغريها‪.‬‬

‫تحديد مصفوفة املخاطر‪.‬‬ ‫‪5-104-13.05‬‬

‫تحديد منهجية تحديد وتحليل وتقييم املخاطر والتهديدات الداخلية‬

‫‪5-104-13.06‬‬
‫والخارجية يف الجهة‪.‬‬
‫تحديد منهجية معالجة املخاطر وتحديد االس اتيجيات املناسبة للتقليل‬
‫‪5-104-13.07‬‬ ‫‪5-104-13‬‬
‫من درجة األثر أو‪ /‬و درجة احتاملية املخاطر‪.‬‬
‫تحديد منهجية قياس تأثري املخاطر أو التهديدات عىل عمليات‬
‫‪5-104-13.08‬‬
‫وإجراءات الجهة‪.‬‬
‫تحديد التصنيفات األساسية والفرعية للمخاطر مبا يتوافق‬
‫‪5-104-13.09‬‬
‫مع هيكلة وخدمات الجهة‪.‬‬

‫تحديد منهجية املراجعة واملراقبة للمخاطر والتهديدات‪.‬‬ ‫‪5-104-13.10‬‬

‫مواءمة إطار إدارة املخاطر مع الهيكلة والخدمات املقدمة من الجهة‪.‬‬ ‫‪5-104-13.11‬‬

‫اعتامد إطار إدارة املخاطر من قبل رئيس الجهة‪.‬‬ ‫‪5-104-13.12‬‬

‫تطبيق إطار إدارة املخاطر عىل الجهة كاملة‪.‬‬ ‫‪5-104-13.13‬‬

‫مراجعة إطار إدارة املخاطر مرة واحدة يف السنة عىل االقل‪ ،‬وعند‬
‫‪5-104-13.14‬‬
‫حدوث تغيري جوهري يف الجهة‪.‬‬

‫‪14‬‬
 ‫رقم الضابط‬
‫مواءمة اطار إدارة املخاطر مع االس اتيجيات والخدمات املقدمة من الجهة‪.‬‬ ‫‪5-104-14‬‬

‫تحديد منهجية مؤرشات املخاطر الرئيسية (‪.)KRI‬‬ ‫‪5-104-15‬‬

‫بناء وتوثيق إجراءات إدارة املخاطر مع االلتزام مبا ييل ‪:‬‬

‫توضيح إجراءات تحديد سياق ومعايري إدارة املخاطر‪.‬‬ ‫‪5-104-16.01‬‬

‫تحديد إجراءات وتحليل وتقييم ومعالجة املخاطر والتهديدات الخارجية‬

‫‪5-104-16.02‬‬
‫والداخلية‪.‬‬

‫تحديد إجراءات مراقبة ومتابعة املخاطر والتهديدات‪.‬‬ ‫‪5-104-16.03‬‬

‫توضيح إجراءات تحديد مؤرشات املخاطر الرئيسية (‪.)KRI‬‬ ‫‪5-104-16.04‬‬ ‫‪5-104-16‬‬

‫مواءمة إجراءات إدارة املخاطر مع الهيكلة والخدمات املقدمة من الجهة‪.‬‬ ‫‪5-104-16.05‬‬

‫اعتامدها بناء عىل مصفوفة الصالحيات‪.‬‬ ‫‪5-104-16.06‬‬

‫تطبيقها عىل الجهة كاملة‪.‬‬ ‫‪5-104-16.07‬‬

‫مراجعتها مرة واحدة يف السنة عىل االقل‪ ،‬وعند حدوث تغيري جوهري‬
‫‪5-104-16.08‬‬
‫يف الجهة‪.‬‬

‫مواءمة إجراءات إدارة املخاطر مع هيكلة الجهة وإطار إدارة املخاطر‪.‬‬ ‫‪5-104-17‬‬

‫بناء سجل مخاطر مع االلتزام مبا ييل‪.:‬‬

‫اسم و رقم الخطر‪.‬‬ ‫‪5-104-18.01‬‬

‫تاريخ تحديد الخطر‪.‬‬ ‫‪5-104-18.02‬‬

‫مالك الخطر‪.‬‬ ‫‪5-104-18.03‬‬

‫األسباب الجذرية والعواقب امل تبة عىل املخاطر‪.‬‬ ‫‪5-104-18.04‬‬ ‫‪5-104-18‬‬

‫درجة الخطر الكامنة ومستو االحتاملية واالثر الكامنة‪.‬‬ ‫‪5-104-18.05‬‬

‫الضوابط الرقابية وتقييم فعاليتها‪.‬‬ ‫‪5-104-18.06‬‬

‫درجة الخطر املتبقية ومستو االحتاملية واالثر املتبقية‪.‬‬ ‫‪5-104-18.07‬‬

‫اس اتيجية خطط معالجة املخاطر‪.‬‬ ‫‪5-104-18.08‬‬

‫‪15‬‬
 ‫رقم الضابط‬

‫درجة تقدم تنفيذ خطط معالجة املخاطر‪.‬‬ ‫‪5-104-18.09‬‬

‫مالك خطط االستجابة للخطر‪.‬‬ ‫‪5-104-18.10‬‬

‫‪5-104-18‬‬
‫موعد االنتهاء من تطبيق خطط معالجة املخاطر‪.‬‬ ‫‪5-104-18.11‬‬

‫تحديث سجل املخاطر بشكل دوري‪.‬‬ ‫‪5-104-18.12‬‬

‫‪16‬‬
 ‫‪ 8.2‬الضوابط الخاصة مبرحلة تقييم ومعالجة املخاطر‬

‫تحديد وتقييم وتحليل املخاطر‬

‫تحديد وتقييم املخاطر الداخلية والخارجية ‪ ،‬وتحديد احتاملية وقوعها وأثرها املتوقع عىل‬
‫الهدف‬
‫األهداف واالس اتيجيات‪.‬‬

‫يجب عىل الجهة الحكومية التي تقدم خدمات رقمية أن تلتزم مبا ييل‪:‬‬

‫رقم الضابط‬

‫تحديد املخاطر والتهديدات الداخلية والخارجية بشكل مستمر مع االلتزام ما ييل‪:‬‬

‫تحديد املخاطر و التهديدات الداخلية والخارجية التي من املمكن ان تؤثر‬

‫‪5-104-19.01‬‬
‫عىل األهداف االس اتيجية‪.‬‬

‫تحديد األسباب الجذرية والعواقب امل تبة عىل املخاطر والتهديدات‪.‬‬ ‫‪5-104-19.02‬‬

‫رصد وربط املخاطر والتهديدات باألهداف االس اتيجية والتشغيلية‬

‫‪5-104-19.03‬‬
‫للجهة‪.‬‬
‫‪5-104-19‬‬
‫تحديد مالك للخطر‪.‬‬ ‫‪5-104-19.04‬‬

‫توثيق تاريخ تحديد الخطر‪.‬‬ ‫‪5-104-19.05‬‬

‫تحديد التصنيف الرئييس والفرعي للخطر‪.‬‬ ‫‪5-104-19.06‬‬

‫رصد جميع املعلومات وتوثيقها يف سجل مخاطر الجهة‪.‬‬ ‫‪5-104-19.07‬‬

‫تحديد املخاطر والتهديدات بشكل مستمر‪.‬‬ ‫‪5-104-19.08‬‬

‫تقييم وتحليل املخاطر والتهديدات بشكل مستمر مع االلتزام مبا ييل‪:‬‬

‫تحديد درجة الخطر الكامنة من خالل تحديد مستو االحتاملية واالثر‬ ‫‪5-104-20.01‬‬

‫تحديد الضوابط الرقابية‪.‬‬ ‫‪5-104-20.02‬‬

‫تقييم فعالية الضوابط الرقابية‪.‬‬ ‫‪5-104-20.03‬‬

‫‪5-104-20‬‬
‫تحديد درجة الخطر املتبقية من خالل تحديد مستو االحتاملية واالثر‪.‬‬ ‫‪5-104-20.04‬‬

‫تحديد أولوية وأهمية املخاطر‪.‬‬ ‫‪5-104-20.05‬‬

‫تحديد اس اتيجية معالجة الخطر‪.‬‬ ‫‪5-104-20.06‬‬

‫تحديد مؤرشات املخاطر الرئيسية )‪(KRI‬للخطر‪.‬‬ ‫‪5-104-20.07‬‬

‫‪17‬‬
 ‫رقم الضابط‬

‫رصد جميع املعلومات وتوثيقها يف سجل مخاطر الجهة‪.‬‬ ‫‪5-104-20.08‬‬

‫تقييم وتحليل املخاطر والتهديدات بشكل مستمر‪.‬‬ ‫‪5-104-20.09‬‬

‫قياس تأثري املخاطر أو التهديدات عىل عمليات وإجراءات الجهة‪.‬‬ ‫‪5-104-21‬‬

‫عرض نتائج تحديد و تقييم املخاطر والتهديدات عىل اللجنة التوجيهية إلدارة املخاطر‪.‬‬ ‫‪5-104-22‬‬

‫معالجة املخاطر‬

‫وضع الحلول املناسبة ملعالجة املخاطر لتقليل احتاملية حدوثها و‪/‬أو تخفيف اآلثار امل تبة عليها‪.‬‬ ‫الهدف‬

‫يجب عىل الجهة الحكومية التي تقدم خدمات رقمية أن تلتزم مبا ييل‪:‬‬

‫رقم الضابط‬

‫تحديد خطط االستجابة املناسبة مع االلتزام مبا ييل ‪:‬‬

‫تحديد االس اتيجية املناسبة لالستجابة للخطر‪.‬‬ ‫‪5-104-23.01‬‬

‫تحديد خطط االستجابة التفصيلية لالستجابة للخطر‪.‬‬ ‫‪5-104-23.02‬‬

‫‪5-104-23‬‬
‫تحديد مالك خطط االستجابة للخطر‪.‬‬ ‫‪5-104-23.03‬‬

‫تحديد التكاليف واملنافع عند وضع اس اتيجيات االستجابة املناسبة‪.‬‬ ‫‪5-104-23.04‬‬

‫رصد جميع املعلومات وتوثيقها يف سجل مخاطر الجهة‪.‬‬ ‫‪5-104-23.05‬‬

‫عرض نتائج تقييم ومعالجة املخاطر والتهديدات عىل اللجنة التوجيهية إلدارة املخاطر‪.‬‬ ‫‪5-104-24‬‬

‫مراقبة ومتابعة خطط االستجابة بشكل مستمر لضامن فعاليتها‪.‬‬ ‫‪5-104-25‬‬

‫‪18‬‬
 ‫املراجعة واملتابعة والتواصل‬

‫مراقبة املخاطر ومتابعتها لضامن تحسني جودة وفعالية عملية تقييم ومعالجة املخاطر‪.‬‬ ‫الهدف‬

‫يجب عىل الجهة الحكومية التي تقدم خدمات رقمية أن تلتزم مبا ييل‪:‬‬

‫رقم الضابط‬

‫مراقبة ومتابعة املخاطر مع االلتزام مبا ييل‪:‬‬

‫مراقبة ومتابعة املتغريات الداخلية و الخارجية ومتابعة تأثريها عىل‬

‫‪5-104-26.01‬‬
‫املخاطر والتهديدات للجهة بشكل دوري‪.‬‬

‫مراقبة الضوابط الرقابية وتقييم فعاليتها بشكل دوري‪.‬‬ ‫‪5-104-26.02‬‬

‫مراقبة فعالية خطط االستجابة بشكل دوري‪ .‬مع مراقبة‪.‬‬ ‫‪5-104-26.03‬‬

‫‪5-104-26‬‬
‫مراقبة املدة الزمنية املتفق عليها لتنفيذ خطط االستجابة للمخاطر‬
‫‪5-104-26.04‬‬
‫والتهديدات بشكل دوري‪.‬‬

‫مراقبة حالة و مستو مؤرشات املخاطر الرئيسية (‪ )KRI‬بشكل دوري‪.‬‬ ‫‪5-104-26.05‬‬

‫رفع التقارير الالزمة عن حالة مؤرشات املخاطر الرئيسية (‪.)KRI‬‬ ‫‪5-104-26.06‬‬

‫رصد جميع املعلومات وتوثيقها يف سجل املخاطر‪.‬‬ ‫‪5-104-26.07‬‬

‫رفع التقارير بشكل دوري للجنة التوجيهية إلدارة املخاطر‪.‬‬ ‫‪5-104-27‬‬

‫‪19‬‬
 ‫‪ 8.3‬الضوابط الخاصة مبرحلة التدريب والتحسني‬

‫التدريب والتوعية‬
‫تدريب كافة املوظفني وأصحاب املصلحة ورفع الوعي بإدارة املخاطر لضامن تحقيق أهداف‬
‫الهدف‬
‫واس اتيجيات الجهة‪.‬‬

‫يجب عىل الجهة الحكومية التي تقدم خدمات رقمية أن تلتزم مبا ييل‪:‬‬

‫رقم الضابط‬
‫الجهة لفهم متطلبات‬ ‫تحليل االحتياجات التدريبية بالتعاون مع قسم املوارد البرشية لد‬
‫‪5-104-28‬‬
‫التدريب الخاصة بإدارة املخاطر‪.‬‬

‫تنفيذ منهجية للتدريب تتناسب مع مسؤوليات املوظفني يف نظام إدارة املخاطر لد الجهة‪.‬‬ ‫‪5-104-29‬‬

‫مراجعة نرش ثقافة إدارة املخاطر يف الجهة من خالل التدريب وورش العمل وأنشطة التوعية‬
‫مرة واحدة يف السنة عىل األقل‪ ،‬وعند حدوث تغيري جوهري (جغرايف‪ ،‬أو متعلق باملنتجات أو‬ ‫‪5-104-30‬‬
‫الخدمات‪ ،‬أو هيكيل‪ ،‬أو بيئي) لد الجهة‪.‬‬

‫إطالق حمالت توعية حول إدارة املخاطر من خالل‪:‬‬

‫رسائل توعوية‪.‬‬ ‫‪5-104-31.01‬‬

‫النرشات اإلخبارية‪.‬‬ ‫‪5-104-31.02‬‬

‫الالفتات‪.‬‬ ‫‪5-104-31.03‬‬

‫املوقع الداخيل (اإلن انت)‪.‬‬ ‫‪5-104-31.04‬‬

‫‪5-104-31‬‬
‫االجتامعات املفتوحة‪.‬‬ ‫‪5-104-31.05‬‬

‫ورش العمل‪.‬‬ ‫‪5-104-31.06‬‬

‫أسبوع توعوي بإدارة املخاطر يف الجهة‪.‬‬ ‫‪5-104-31.07‬‬

‫التعلم القائم عىل الحاسوب‪.‬‬ ‫‪5-104-31.08‬‬

‫أي أنشطة أخر للرفع من مستويات املعرفة والتوعية والجاهزية لد‬

‫‪5-104-31.09‬‬
‫الجهة‪.‬‬

‫رفع الوعي بإدارة املخاطر وأن يكون جميع موظفي الجهة عىل دراية مبا ييل‪:‬‬

‫سياسة إدارة املخاطر‪.‬‬ ‫‪5-104-32.01‬‬

‫‪5-104-32‬‬
‫أدوارهم ومسؤولياتهم يف نطاق نظام إدارة املخاطر‪.‬‬ ‫‪5-104-32.02‬‬

‫األثر الناتج عن عدم دعم نظام إدارة املخاطر‪.‬‬ ‫‪5-104-32.03‬‬

‫‪20‬‬
 ‫التوثيق والتحسني املستمر‬
‫توثيق الدروس املستفادة من تنفيذ نظام إدارة املخاطر ومراجعة اإلجراءات والعمليات لتحسني‬
‫قدرة الجهة عىل تحديد املخاطر بشكل استباقي وتحسني عملية تقييم ومعالجة املخاطر ‪،‬‬ ‫الهدف‬
‫والرفع من مستو فعالية نظام إدارة املخاطر من خالل تطبيق افضل املامرسات واملعايري‪.‬‬

‫يجب عىل الجهة الحكومية التي تقدم خدمات رقمية أن تلتزم مبا ييل‪:‬‬

‫رقم الضابط‬
‫تطوير ومراجعة املستندات الخاصة بإدارة املخاطر عىل األقل مرة واحده يف السنة و عند‬
‫حدوث تغيري جوهري كام ييل‪:‬‬

‫التغريات الجوهرية الداخلية يف الجهة‪.‬‬ ‫‪5-104-33.01‬‬

‫‪5-104-33‬‬
‫املخاطر والتهديدات الخارجية الناشئة‪.‬‬ ‫‪5-104-33.02‬‬

‫املخاطر والتهديدات الداخلية الطارئة‪.‬‬ ‫‪5-104-33.03‬‬

‫تصعيد نتائج عمليات التدقيق الداخيل والخارجي إىل اإلدارة العليا واللجنة التوجيهية إلدارة‬
‫املخاطر‪ ،‬لضامن اتخاذ اإلجراءات التصحيحية فيام يتعلق باملالحظات وحاالت عدم املطابقة‬ ‫‪5-104-34‬‬
‫الصغر والكرب ‪.‬‬

‫ضامن التحسني املستمر ألعامل إدارة املخاطر‪.‬‬ ‫‪5-104-35‬‬

‫مراجعة نظام إدارة املخاطر بشكل سنوي عرب مدقق داخيل أو خارجي ميتلك املؤهالت‬
‫والخربات الكافية ‪ ،‬باستخدام طرق املراجعة التالية‪:‬‬

‫التقييم الذايت‪.‬‬ ‫‪5-104-36.01‬‬

‫املراجعة اإلدارية‪.‬‬ ‫‪5-104-36.02‬‬ ‫‪5-104-36‬‬

‫تقييم األداء‪.‬‬ ‫‪5-104-36.03‬‬

‫التدقيق‪.‬‬ ‫‪5-104-36.04‬‬

‫‪21‬‬
‫تتوفر وثيقة الضوابط باللغتني العربية واإلنجليزية‪ .‬ويف حال وجود اختالف بني‬
‫النسختني‪ ،‬فإن النسخة العربية هي التي يُعتد بها‪.‬‬

‫‪22‬‬
DGA.GOV.SA