كيفية تتبع المخاطر في عام 2025: دليل مع أمثلة وأفضل الممارسات

وجهة نظر عملية حول إدارة المخاطر في التخطيط الاستراتيجي باستخدام معيار ISO 31000 كدليل توجيهي.

الاتجاهات الرئيسية التي تشكل مشهد إدارة المخاطر في 2025/2026

نحن نتتبع بنشاط الاتجاهات الناشئة في التخطيط الاستراتيجي، وخاصة تأثيرها على إدارة المخاطر.

فيما يلي التغييرات في إدارة المخاطر التي نتوقع رؤيتها في 2025/2026:

• المزيد من اللوائح تتضمن بصراحة متطلبات لممارسات إدارة المخاطر. مفهوم أصحاب المصلحة أصبح أكثر شيوعًا في إدارة المخاطر.
• اتجاه GRC في تصاعد، مع تحول واضح من الإبلاغ عن المخاطر إلى الإدارة الفعالة للمخاطر. على سبيل المثال، نرى السجلات التقليدية للمخاطر تُكمل بوثائق مخاطر مركزة على الأهداف أكثر عملية.
• يتم اعتماد حوكمة الذكاء الاصطناعي بشكل واسع للتخفيف من المخاطر المرتبطة بالذكاء الاصطناعي التوليدي الناشئ.
• تسببت اختراقات البيانات الملحوظة (مثل انقطاع خدمة CrowdStrike) في زيادة الاهتمام بعملية التحقق من البائعين الخارجيين.
• تدفع الاتجاهات المستمرة لعدم الاستقرار الاقتصادي والسياسي المنظمات لتوسيع نماذج المخاطر الخاصة بها، خاصة في مجال سلسلة التوريد.
• الأحداث الجوية القاسية زادت الاهتمام بعملية التعافي من الكوارث لتتجاوز نطاق تكنولوجيا المعلومات الأساسية.

المخاطر موضوع شائع في المجتمع المهني. نرى المزيد من مؤتمرات المخاطر وGRC عبر الولايات المتحدة وأوروبا. سنشارك تجربتنا العملية في إدارة المخاطر من خلال الأحاديث المخطط لها في المؤتمرات.

المقدمة: تعريف المخاطرة بما يتجاوز الاحتمالية والتأثير

المعيار الإرشادي في مجال إدارة المخاطر هو ISO 31000. من المثير للاهتمام ملاحظة تطور تعريف المعيار للمخاطر مع مرور الوقت:

• التعريف السابق للمخاطرة وفق ISO: “فرصة أو احتمال فقدان.”
• التعريف وفق ISO 31000:2018: “تأثير عدم اليقين على الأهداف.”

ما الذي تغير؟

• التعريف القديم ذكر “الفقدان“; أما الجديد فيستخدم مصطلح “التأثير.” هذا التحول يعني احتمالية حدوث تأثيرات إيجابية وسلبية، كما يبرز أهمية العناصر غير الملموسة مثل تصور العملاء.
• التعريف القديم استخدم “الفرصة” و”الاحتمال” لوصف احتمالية الحدوث. في التعريف الحديث، نقابل “تأثير عدم اليقين“، الذي يُشرح أيضًا كـتأثير المعرفة غير المكتملة. هذا النهج يوفر مرونة أكبر في تعريف المخاطر، متجاوزًا نموذج “الاحتمال x التأثير”.
• إضافة مصطلح “الهدف” إلى التعريف الجديد يبرز أن المخاطر تُعرّف ضمن سياق محدد، مما يمنع الاحتمال بعدم التوافق مع الاستراتيجية العامة.

دعونا نستكشف التطبيق العملي لإدارة المخاطر في التخطيط الاستراتيجي باستخدام المبادئ الإرشادية لمعيار ISO.

1. تقييم المخاطر: منهجي وواعٍ بأصحاب المصلحة

ارسم خريطة للمخاطر المحتملة من خلال تحليل منهجي للقوى المحركة ومؤشرات علامات الإنذار المبكرة في سياق استراتيجية المنظمة واهتمامات أصحاب المصلحة.

تؤكد الإرشادات العامة لمعيار ISO على أن تقييم المخاطر يجب أن يكون منهجيًا ويأخذ في الاعتبار آراء مختلف أصحاب المصلحة.

ماذا يعني ذلك عمليًا؟

تقييم المخاطر: منهجي

يختلف مفهوم تقييم المخاطر “المنهجي” عبر الصناعات. في الأساس، يتضمن اتباع عمليات ومعايير محددة، مثل:

• الانتظام في تقييم المخاطر
• تحديد الكمية للمخاطر
• تعيين أفراد مسؤولين

فيما يلي، نناقش كيفية تنفيذ ذلك على المستوى التشغيلي.

تقييم المخاطر: وجهة نظر أصحاب المصلحة

مشابه لمجالات الأعمال الأخرى (اعتبر، على سبيل المثال، توجيهات إعداد تقارير الاستدامة)، يركز معيار ISO على تعريف أصحاب المصلحة ويتطلب أخذ وجهات نظرهم في الاعتبار عند إدارة المخاطر.

في الممارسة العملية، يعني هذا أن المنظمات تحتاج إلى:

• إجراء تحليل لأصحاب المصلحة لتعريف الأطراف المهتمة المشاركة.
• أخذ مصالح أصحاب المصلحة في الاعتبار عند إنشاء نموذج للمخاطر في سياق الأهداف.

هذا المطلب المعياري يتماشى جيدًا مع النهج الذي ندعمه من خلال نظام تنفيذ الاستراتيجية لدينا.

سيجد مستخدمو BSC Designer نموذج تحليل أصحاب المصلحة في حساباتهم.

• يمكن تعريف قائمة أصحاب المصلحة عبر الإعدادات > المنظمة > الاستراتيجية.
• سيتم تضمين أصحاب المصلحة من القائمة في قائمة ‘المالك‘ ويمكن تخصيصهم لهدف أو خطر أو خطة تخفيف المخاطر.

تحديد المخاطر في سياق الأهداف

الخطوة التالية في تقييم المخاطر هي تسمية المخاطر المحددة. يتطلب المعيار الجديد لـ ISO تعريف المخاطر في سياق الأهداف. يهدف المعيار إلى تحسين المواءمة بين المخاطر والسياق التجاري.

شارك مايكل راسموسن، محلل GRC المعروف، منظوره حول إدارة المخاطر لتحقيق القيمة مقابل إدارة المخاطر للامتثال:

• “[أداة جيدة لإدارة المخاطر] تبدأ بأهداف المنظمة وتقوم برسم وإدارة المخاطر في سياق تلك الأهداف (ISO 31000 الحقيقي).”

في التخطيط الاستراتيجي، بدلاً من وجود بطاقة أداء مخاطر منفصلة، قم بدمج المخاطر في بطاقات أداء الاستراتيجية.

عند إجراء تحليل الاستراتيجية القائم على القيمة، نقوم بتفكيك الطموحات الاستراتيجية لأصحاب المصلحة إلى أهداف فرعية وأهداف أكثر تحديدًا. في هذه المرحلة، نقوم بتكميم الأهداف وتحديد المخاطر لفهم السياق التجاري الذي نتعامل معه بشكل أفضل.

تساعد معظم الأدوات التي نستخدمها لمسح البيئة التجارية (ارجع إلى قسم تحليل الاستراتيجية في الرسم البياني) بشكل طبيعي في تحديد المخاطر.

لتعريف المخاطر في BSC Designer:

• حدد هدفًا موجودًا أو أنشئ هدفًا جديدًا.
• اختر إضافة خطر من قائمة زر إضافة.
• املأ العوامل ذات الصلة في حقل الوصف واستخدم قسم المستندات لرفع أي مستندات داعمة.

لإدخال نتائج تحليل المخاطر:

1. حدد مؤشر الاحتمالية.
2. أدخل تقدير الخطر الأولي في حقل متأصل.
3. أدخل الخطر المقبول في حقل مقبول.
4. أدخل تقدير الخطر الحالي في حقل متبقي.

كرر الخطوات لمؤشر التأثير.

تعريف مؤشرات العلامات المبكرة

السبب الجذري للمخاطرة هو ما يُشار إليه في معيار ISO كتأثير ” المعرفة غير المكتملة“.

كيف يمكننا تعزيز نماذج المخاطر لدينا في سياق القوى الدافعة؟

بالإضافة إلى مؤشرات الاحتمالية، حدد مؤشرات العلامات المبكرة. على سبيل المثال، يمكن أن تكون هذه مؤشرات إنذار مبكر للأزمات الاقتصادية أو حتى الحروب. من خلال ترجمة القوى الدافعة العامة إلى عوامل أكثر تحديدًا، نزيد من فرصة العثور على مؤشر إنذار مبكر موثوق به.

في التخطيط الاستراتيجي، نقوم بتمييز هذه المؤشرات التنبؤية/الرائدة المتماشية مع عوامل النجاح عن المؤشرات التي تقيس النتائج (المؤشرات اللاحقة).

لإنشاء مؤشر علامة مبكرة تنبؤي في BSC Designer:

• إنشاء مؤشر جديد.
• الانتقال إلى علامة تبويب السياق.
• تغيير نوع المؤشر إلى “رائدة”.

Changing type of indicator to Leading. المصدر: Risk Management Example.

لن يتم أخذ هذا المؤشر بعين الاعتبار عند حساب أداء الهدف الرئيسي، ولكن يمكننا تتبعه واستخدامه لقياس اكتشاف المخاطر أو مبادرات تخفيف المخاطر.

2. تحليل المخاطر: الاحتمالية، التأثير، الضعف

اجعل المخاطر أكثر تحديدًا من خلال تحديد صفات مثل الاحتمالية، التأثير، والضعف.

تحليل المخاطر هو ممارسة واسعة تركز على فهم المخاطر وتأثيراتها المحتملة على المنظمة. أدناه، نقدم اقتراحات لتحليل المخاطر في سياق التخطيط الاستراتيجي.

تحديد مؤشر الاحتمالية/الاحتمال

يمكن تعريف مؤشر الاحتمالية:

• نوعياً، على سبيل المثال، على المقياس [منخفض، متوسط، مرتفع] أو
• كمياً، على سبيل المثال، على المقياس [0 إلى 100%].

المقياس الكمي مناسب للحالات التي يكون فيها حدث الخطر بيانات تجريبية كافية لتقدير احتماليته على فترة زمنية معينة.

مقياس كمي لقياس احتمال الخطر. المصدر: مثال على إدارة المخاطر.

يمكن لمستخدمي BSC Designer تحديد وحدات قياس نوعية (مقياس مخصص [“نادر، غير محتمل، ممكن، محتمل، مؤكد”]) يمكن للبرمجيات تحويلها إلى قيم محددة.

مقياس نوعي لتقييم احتمال الخطر. المصدر: مثال على إدارة المخاطر.

مؤشر تأثير المخاطر

مماثل لمؤشر الاحتمالية، يمكننا تعريف مؤشر المخاطر بشكل كمي على مقياس من 0 إلى 100%.

خيار بديل هو استخدام مقياس بالدولار لمؤشر تأثير المخاطر.

مؤشر التأثير المقاس على مقياس بالدولار. المصدر: مثال على إدارة المخاطر.

مماثل لمؤشر الاحتمالية، يمكننا تحديد مقياس كمي مخصص للتأثير:

مقياس نوعي لمؤشر تأثير المخاطر. المصدر: مثال على إدارة المخاطر.

مؤشر الضعف

لا يأخذ تقدير احتمالية الخطر وتأثيره المحتمل في الاعتبار حساسية المنظمة لهذا النوع من الخطر.

عند مناقشة مؤشرات الإشارات المبكرة، قمنا بتحديد جوانب من بيئة العمل يمكن أن تتنبأ بتطور قوى دافعة معينة. في حالة الضعف، نجري تحليلًا مشابهًا لكن نركز على المنظمة وبنيتها التحتية.

على سبيل المثال، يمكننا تقييم الثغرات الأمنية الموجودة في الأمن السيبراني من خلال محاكاة الحروب أو محاكاة الهجوم. يمكن العثور على أمثلة أكثر تحديدًا في مقالة الأمن السيبراني.

يمكن تحديد “الضعف” وفقًا لـ CVSS على مقياس من 0 إلى 10 مع وظيفة تحسين “التقليل”.

مواءمة المخاطر مع فعالية الضوابط الداخلية

إحدى الطرق لتقدير احتمالية أو تأثير الخطر هي من خلال تقييم فعالية الضوابط الداخلية.

يتم التحقق من فعالية الضوابط من خلال مؤشرات لاحقة. إذا كانت تلك المؤشرات في المنطقة الخضراء، يمكننا توقع تقدير أقل للمخاطر.

تتبع عوامل الوقت

إن التغيير المستمر للقوى المحركة، بالإضافة إلى مبادرات الوقاية من المخاطر، يؤدي إلى تغييرات في تقديرات المخاطر.

تتبع تطور المخاطر مع مرور الوقت ودون الأفكار ذات الصلة لدورة التعلم والتحسين.

لأتمتة ذلك في BSC Designer:

• حدد فترة تحديث لمؤشرات المخاطر.

• استخدم التقويم الداخلي وحقل القيمة لتحديث المؤشر ببيانات جديدة.
• استخدم زر التعليق لإضافة ملاحظات ذات صلة إلى التحديث.

3. معالجة المخاطر: اتخاذ القرار حول كيفية الاستجابة للمخاطر

نفذ خطط التخفيف للمخاطر وتابع نجاح التنفيذ مع حالات المبادرات ومؤشرات تخفيف المخاطر.

وفقًا للعتبات المحددة للمخاطر المقبولة واتباعًا لنتائج تحليل المخاطر، يقوم صناع القرار بصياغة استراتيجية استجابة للمخاطر مع خيارات ممكنة مثل:

• إزالة المخاطر باعتبارها غير ذات صلة
• المراقبة ضمن نموذج المخاطر الحالي
• إدخال خطة معالجة المخاطر
• التساؤل حول تحليل المخاطر
• التساؤل حول السياق (الهدف أو طموح أصحاب المصلحة)

في BSC Designer:

• استخدم مبادرات تخفيف المخاطر لكتابة خطط معالجة المخاطر.
• قم بمواءمة مؤشر التقدم مع مبادرة تخفيف المخاطر.
• استخدم حقل الحالة للمخاطر لتحديد حالتها الحالية وفقًا لسير عمل إدارة المخاطر المقبول.

Track status of risk mitigation initiative. المصدر: Risk Management Example.

• إضافة عناصر إضافية عبر حوار المبادرات (مخاطر جديدة، مبادرات، مبررات، فرضيات، نتائج متوقعة)
• إضافة بيانات ذات صلة لمعالجة المخاطر، مثل الميزانية، الجدول الزمني، مؤشر التقدم، الأشخاص المسؤولون
• رفع المستندات الداعمة ذات الصلة

٤. مراقبة المخاطر: نظرة جديدة على التعرض للمخاطر

تتبع تطور التعرض للمخاطر بمرور الوقت باستخدام مؤشرات المخاطر الرئيسية ولوحات المعلومات.

المؤشرات التي استخدمناها لتحديد المخاطر تم تكوينها لفترة تحديث معينة. سيتلقى الملاك المعينون لمؤشرات المخاطر إشعارات حول فترات التحديث القادمة والتحديثات الفائتة.

من الممكن أيضًا عرض المؤشرات التي لم يتم تحديثها في الوقت المحدد على لوحة المعلومات.

يمكن تصور تفاصيل جميع التحديثات (الشخص الذي قام بالتحديث، متى تم التحديث، إذا تم تغيير القيمة السابقة) عبر سجل التدقيق للمؤشرات.

على مستوى بطاقة الأداء الخاصة بالحاكمية، يمكن تحديد تحليل المخاطر المنتظم بواسطة مؤشر مخصص:

• إضافة “إجراء تقييم منهجي للمخاطر” إلى بطاقة الأداء الخاصة بالحاكمية.
• تكوين المؤشر ليتم تحديثه بشكل ربع سنوي أو سنوي.
• تعيين الشخص/الفريق المسؤول عن التحليل المنتظم للمخاطر كمالك لهذا المؤشر للحصول على تذكيرات عبر البريد الإلكتروني حول التحديثات القادمة.
• مواءمة هذا المؤشر مع المؤشرات المقابلة من المستويات الأدنى التي تحدد التقييمات المخاطرية التي تمت في مجالات محددة.

لوحات البيانات

بالإضافة إلى المراقبة باستخدام المؤشرات المحدثة بانتظام، يمكن النظر في إضافة لوحة بيانات تحتوي على الرسوم البيانية ذات الصلة:

• رسم بياني يحتوي على قائمة المخاطر، حالاتهم، تقدم العلاج، الأشخاص المسؤولين
• رسوم بيانية مخصصة للمخاطر الأكثر خطورة
• رسوم بيانية لفهرس المخاطر وتغيره مع مرور الوقت.

لوحة بيانات مع رسوم بيانية للمخاطر. المصدر: مثال على إدارة المخاطر.

مؤشر المخاطر المرجح

إحدى الوسائل الشائعة للإبلاغ عن حوادث المخاطر هي استخدام مؤشر المخاطر المرجح. يمكن أن يبدو المؤشر البسيط كما يلي:

• أحداث ذات تأثير منخفض (الوزن = 5%)
• أحداث ذات تأثير متوسط (الوزن = 15%)
• أحداث ذات تأثير عالي (الوزن = 30%)
• أحداث حرجة (الوزن = 50%)

يساعد استخدام المؤشر في منع التلاعب بالمؤشر عن طريق إخفاء الأحداث ذات القيمة العالية بإصلاحات ذات قيمة منخفضة.

مثال على مؤشر المخاطر المرجح. المصدر: مثال على إدارة المخاطر.

في BSC Designer:

• استخدم زر إضافة لإنشاء هيكل هرمي للمؤشرات.
• استخدم خاصية الوزن في علامة الأداء لتعيين الوزن المناسب للمؤشرات.

إدارة المخاطر على نطاق واسع: سجل المخاطر مقابل تعريفات المخاطر المرتكزة على الأهداف

عند توسيع ممارسات المخاطر، عادةً ما تجمع المنظمات بين هذين الأسلوبين في إدارة المخاطر لتحقيق توازن بين وضوح المخاطر والمواءمة:

• استخدام بطاقة أداء سجل المخاطر للمخاطر العامة، و
• التركيز على تعريفات المخاطر المرتكزة على الأهداف للمخاطر الأكثر تحديداً.

مثال على سجل المخاطر في بطاقة أداء وظيفية مؤتمتة بواسطة BSC Designer. المصدر: Risk Register.

التحليل الشامل للمخاطر – طريقة البوتاي

في الأعلى، ركزنا على التحليل الكمي لمخاطر محددة. لكن ماذا لو احتجنا إلى فهم أكثر تفصيلاً لعدم اليقين المرتبط بحدث خطر معين—حدث يتضمن عدة تهديدات وعواقب عبر أبعاد مختلفة؟

في مثل هذه الحالات، تقدم طريقة تحليل المخاطر البوتاي رؤية واضحة ومنظمة لذلك الحدث الخطر المحدد، بحيث ترسم ليس فقط الحدث نفسه بل أيضاً وسائل الوقاية منه والسيطرة على تخفيفه.

الشرائح

الجلسة: 'إدارة المخاطر باستخدام BSC Designer' متاحة كجزء من برنامج التعلم المستمر لـ BSC Designer، وتقدم كلاً من ورشة عمل عبر الإنترنت وفي الموقع. اقرأ المزيد....

الخاتمة: دمج المخاطر في التخطيط الاستراتيجي

لم نعد نتحدث عن تخصصات منفصلة لإدارة المخاطر، الامتثال، والحوكمة. البيئة التجارية المتغيرة بسرعة تجبر المنظمات على البحث عن إطار عمل متكامل لإدارة المخاطر والحوكمة والامتثال (GRC).

كما هو موضح في نظام تنفيذ الاستراتيجية لدينا، يشمل التنفيذ العملي:

• تحليل المشاكل المعقدة إلى مجالات محددة، تُدار بواسطة بطاقات الأداء الاستراتيجية والوظيفية المخصصة.
• صياغة الأهداف بتعريفات مناسبة للمخاطر، ومؤشرات، ومبادرات.
• تركيز بطاقات الأداء على مجالات الاهتمام، مثل الامتثال، الأمن السيبراني، أو سلسلة التوريد.

استخدم قالب Risk Management Example

يساعد BSC Designer المؤسسات في تنفيذ استراتيجياتها المعقدة:

1. سجل للحصول على خطة مجانية على المنصة.
2. استخدم قالب Risk Management Example كنقطة بداية. ستجده في جديد > بطاقة أداء جديدة > المزيد من القوالب.
3. اتبع نظام تنفيذ الاستراتيجية الخاص بنا لمواءمة أصحاب المصلحة والطموحات الاستراتيجية في استراتيجية شاملة.

ابدأ اليوم وشاهد كيف يمكن لـ BSC Designer تبسيط تنفيذ استراتيجيتك!