دليل وزارة المالية وخطوط الدفاع الثلاثة و منظمة COSO

 دليل وزارة المالية وخطوط الدفاع الثلاثة و منظمة COSO

للكاتب الدكتور محمد محمد ال عباس - جريدة الاقتصادية 

من خلال موقعها على وسائل التواصل الاجتماعي، نشرت وزارة المالية، خلال الأسبوع الماضي، الدليل الاسترشادي لإدارة المخاطر، وهو مشروع مهم جدا في هذه المرحلة، كما أن الدليل جاء متقنا من عدة جوانب، ويتماشى تماما مع تصاعد الاهتمام بهذا الموضوع الذي يجد صدى واسعا في العالم، وهو - في نظري - يمثل قمة العمل الرقابي، ودونه لا يمكن القول بوجود حوكمة أو مراجعة داخلية أو حتى خارجية. نعم لا يمكن لهذه القضايا أن توجد ما لم توجد إدارة المخاطر، بل لا يمكن أن يكون هناك وجود يذكر لما يسمى الرقابة على الجودة إذا لم توجد إدارة للمخاطر، فهي أساس الرقابة من أبوابها كافة.
ومع كامل شكري وتقديري للجهود الكبيرة التي بذلتها وزارة المالية في إنتاج هذا الدليل الاسترشادي، فإنني لا أخفي استغرابي لصدوره من جانبها. لقد كنت أرجو أن يصدر هذا الدليل من جهات أقرب للرقابة والحوكمة أو تلك التي يرتبط عملها أساسا بمثل هذا الدليل، كالديوان العام للمحاسبة، أو هيئة الرقابة ومكافحة الفساد أو الجمعية السعودية للمراجعين الداخليين، فقد كان الأولى أن يصدر التقرير من إحدى هذه الجهات، خاصة أن الدليل يقتبس من أعمال المعهد الدولي للمراجعين الداخليين، فلو أنه صدر من الجمعية السعودية للمراجعين الداخليين لتتولى تحديثه. وفي اعتقادي بأن تولي وزارة المالية لهذا الموضوع فيه إشارة لا تخفى.
لقد وجد الدليل أصداء رائعة بين المهتمين، وتم تلقيه بترحاب واسع، فهو مفصل بشكل متمكن ويمثل مرجعا تدريبيا متكاملا، ولم يكن مجرد سلسلة من المهام الإجرائية لأعمال إدارة المخاطر، بل كان شرحا مفصلا للمفهوم وربطا محكما بالنماذج الدولية، ومن بينها نموذج COSO، وكذلك نموذج الأيزو 31000، وقد حاول واضع الدليل أن يمزج بين النموذجين من أجل فتح المجال لجميع المهتمين الذين تلقوا تدريبا على أحد النموذجين فقط، وهو ما منح الدليل ثراء كبيرا. لكن مع ذلك، كنت أفضل لو أنه تم تجاهل نموذج أيزو 31000، لأنه نموذج لا يهتم بالحوكمة بالقدر الذي يهتم به نموذج COSO، فنموذج الأيزو يرى المخاطر كمتطلب ورقي لاستكمال أعمال اعتماد الجودة ويرى هيمنة الجودة عليها، وهذا هو سبب فشل نماذج الجودة التي لم تتجاوز كونها حزمة ضخمة من الأوراق والاعتمادات الوهمية التي لا تقدم حقائق على أرض الواقع، لكن نموذج COSO يضع المخاطر في مكانها الصحيح ويمنحها الهيمنة على نموذج نظام الرقابة الداخلية بجميع أشكالها، بل هو مفتاح تشريح الحوكمة في أي مؤسسة، ومن يحاول تطوير الحوكمة في أي مؤسسة دون القيام بتحليل المخاطر وفقا لنموذج COSO فلن ينتهي إلا بنموذج الجودة نفسه، كومة من الأوراق واللوائح لكن بلا اعتمادات، ولهذا فإن وجود الاعتمادات في الجودة يضفي عليها مصداقية وطلبا أكثر من الحوكمة.
لقد أبدع الدليل في وصف خطوط الدفاع الثلاثة التي تمثل جوهر مفهوم الحوكمة، فمن لم يع نموذج الخطوط الدفاعية الثلاثة لن يتمكن أبدا من فهم الحوكمة. ولهذا، فإن كثيرا ممن عملت معهم يفرون عند سماع كلمة الحوكمة، ولا لوم فقد تم استهلاك هذا المفهوم بشكل قبيح فعلا، والجميع يتحدث عنه كأنه من مفاهيم الفيزياء التي تدرس في المرحلة المتوسطة ويرددها كثير منا دون فهم عميق لمعانيها وتأثيرها في الحياة من حولنا، بل حتى دون اكتراث بذلك، لكن مع هذا التمادي في استخدام المصطلح فلا مفر منه، فليس هو من قبيل مفاهيم الجودة التي انكشف عنها سترها، لكنه عميق عمق الثورة الصناعية وعلم الاقتصاد، لقد كان هناك منذ اللحظات الأولى لانطلاق شركات السفن التجارية التي عبرت المحيطات، كشركة الهند الشرقية، وهو المفهوم الذي وضح العلاقات بين أصحاب المصلحة والوكلاء التجاريين، وهو الذي حفز الطلب على المراجعة الخارجية، وتسبب في إنشاء الأسواق المالية وعالم وول ستريت بأكمله، وهو الذي حفز الطلب على تطوير أنظمة الرقابة الداخلية وشركات التأمين، هو الذي أنتج مؤسسات دولية كبرى مثل المعهد الأمريكي للمحاسبين القانونيين، وهيئة السوق المالية، وهو المفهوم الذي فتح الطريق لوجود منظمة COSO وهي التي أنتجت تاج فكر الحوكمة، هو نموذج المخاطر المؤسسية.
تحليل المخاطر المؤسسية يتضمن تحليلا دقيقا لنقاط ضعف نموذج الحوكمة في كل مؤسسة، فهو يكتشف أين الخلل، هل هو في الجهاز التنفيذي والقيادات والهيكل التنظيمي، أم في الخطة الاستراتيجية؟ هل هو في آليات العمل والتنسيق بين كل المستويات الإدارية بدءا من مجلس الإدارة؟ وهل هناك مشكلات تتعلق بتعارض المصالح؟ هل هناك إشارات إلى مشكلات تتعلق بالمنافسة والقدرة على الاستمرار والموارد، أم هي ضعف الإجراءات والمهام والتشغيل وقياس الأداء، أم يتعلق الأمر بمشكلات في التقارير، أم في الالتزام بالأنظمة والتعليمات واللوائح؟ إدارة المخاطر تقدم كشف تحليل دقيق، ثم على مهندس الحوكمة معالجة الخلل حسب الحال. ولا أخفي احترامي للدليل الاسترشادي الذي وضع الفرص كنوع من المخاطر وهو مفهوم متقدم للمخاطر وصعب التطبيق فعليا ما لم يكن هناك مختص ممارس.
مما يستحق الإشادة في التقرير هو تصنيف حالة المنظمات والجهات مع المخاطر، حيث صفنها إلى نحو خمس فئات حسب تطورها في إدارة المخاطر مع وصف دقيق لكل فئة، وهذا التصنيف مهم للباحثين وطلاب الدراسات العليا حاليا. كانت الفئة الأقل اهتماما بالمخاطر هي الفئة الأولية، وهي التي لا يوجد لدى الأفراد فيها وعي بممارسات إدارة المخاطر ولا تتم ممارساتها بشكل استباقي، بل على أساس رد الفعل، ولا توجد آلية وأهداف شاملة لإدارة المخاطر، وللأسف هذا حال الأغلبية العظمى للجهات لدينا، ونحتاج إلى جهد كبير لرفع مستويات الوعي، وهذا الدليل خطوة جبارة في الطريق الصحيح، فشكرا لوزارة المالية.

خلال مقال الأسبوع الماضي عن الدليل الاسترشادي للمخاطر، الذي أصدرته وزارة المالية، تحدثت بشكل سريع عن إطار COSO للمخاطر المؤسسية، وقلت: إنها الأفضل لمن يهتم بتقييم الحوكمة، وقد وردتني أسئلة عن منظمة COSO ما هي وماذا تعمل؟ ولهذا خصصت هذا المقال للإجابة عن هذه الأسئلة، ولعل من المهم ابتداء أن أذكر أن COSO هي اختصار للعبارة الإنجليزية The Committee of Sponsoring Organizations of the Treadway Commission COSO والترجمة الحرفية لهذا النص هي، لجنة المنظمات الداعمة للجنة تريدوي، ولهذا فإن هذه اللجنة قد نشأت بعد لجنة تريدوي Treadway Commission، فما هذه اللجنة أولا؟
في علم المراجعة هناك مشكلة شديدة التعقيد، وهي فجوة التوقعات، فبينما يريد المجتمع من المراجعين تحمل كل المسؤوليات عن الأخطاء والغش الذي تسببت فيه الشركات والانهيارات في أسواق المال، فإن المراجعين يرفضون ذلك، وأنهم مسؤولون فقط عن تنفيذ المعايير الصادرة عن الجهات الرقابية. ولهذا فقد تمسك المراجعون لعقود طويلة بما نسميه مراجعة الأرصدة، ويمكن منح العميل تقريرا غير معدل "نظيف" إذا التزم بالمعايير المحاسبية في إعداد تلك الأرصدة، وفي هذا المنهج لا يناقش المراجع ولا يهتم بالحوكمة ولا قوة وسلامة وملاءمة نظام الرقابة الداخلية للشركة. لكن تزايد الفضائح المالية في خمسينيات وستينيات القرن الماضي، وضع علامات الاستفهام حول الدور الحقيقي لمهنة المراجعة، وكانت قضية Equity Funding من أكثر القضايا إشكالية، إذ لم يستطع المراجع اكتشاف الغش الواضح في هذه ‏القضية، فجاء رد المعهد الأمريكي للمحاسبين القانونيين بتشكيل لجنة لدراسة ما إذا كانت معايير المراجعة بحاجة إلى التغيير في ضوء انهيار الشركات الأمريكية، ولم يتم اعتبار قضية انهيار شركة Equity Funding‏ دليلا على فشل المهنة، بل فشل المراجع في اتباع قواعد وإجراءات العمل. لكن الأصوات تعالت مرة أخرى مع ‏انهيار بنك Square Penn ‏وذلك بعد ثلاثة أشهر من إصدار القوائم المالية للبنك، والمرفق بها تقرير غير معدل للمراجع، كما أعلن البنك المركزي تصفية بنك American United ‏وأيضا مع قوائم مالية مرفق بها تقرير غير معدل، وبين عامي 1980 ‏و1985 ‏دفعت كبريات منشآت المراجعة أكثر من 175 ‏مليون دولار كتعويضات، وبهذا عادت إلى السطح إشكالية مسؤوليات المراجع، فشكل الكونجرس لجنة سميت لجنة دينجيل، نسبة للسيناتور الأمريكي جون ديفيد دينجيل، الذي يحمل الرقم القياسي لأطول فترة عضو في الكونجرس في التاريخ الأمريكي، وكان عضوا لفترة طويلة في لجنة الطاقة والتجارة، وكان Dingell رئيسا للجنة من 1981 إلى 1995. وقد درست اللجنة وضع مهنة المراجعة ودور المراجع الخارجي، وأشارت إلى الأثر الذي تتسبب فيه الضغوط التنافسية وتقديم الخدمات الاستشارية على استقلال المراجع.
بعد نتائج لجنة دينجيل، ظهرت مطالبات بتقريب وجهات النظر والاهتمام أكثر بمسألة فجوة التوقعات والاقتراب من وجهة نظر المجتمع من خلال قيام المراجع بالتركيز على الحالات التي يمكن أن تقود إلى تحريفات جوهرية في القوائم المالية، وأن يأخذ في الحسبان مخاطر الغش والتحريفات الجوهرية وصدور قانون الممارسات الأجنبية الفاسدة FCPA Act Practices Corrupt Foreign (1977) الذي أشار فيه إلى أهمية تبني الشركات نظما متطورة للرقابة الداخلية. فقامت عدة منظمات مستقلة بتشكيل وتمويل لجنة وطنية لدراسة التقارير المالية، سميت اللجنة الوطنية للتقارير المالية المحرفة National Commission on Fraudulent Financial Reporting التي عرفت فيما بعد باسم رئيسها Treadway وذلك عام 1985، ‏وقد أصدرت هذه اللجنة تقريرها الأول عام 1987. لقد تحملت تكاليف تمويل دراسة لجنة تريدوي خمس منظمات، وهي المعهد الأمريكي للمحاسبين القانونيين AICPA، والجمعية الأمريكية للمحاسبين AAA، والتنفيذيين الماليين الدولية FEI، والمعهد الدولي للمراجعين الداخليين IIA، ومعهد المحاسبين الإداريين IMA. وجاء من بين أهم توصيات دراسة تريدوي، إنشاء لجنة دائمة من بين تلك المنظمات التي رعت دراسة تريودي، فكانت COSO The Committee of Sponsoring Organizations of the Treadway Commission.
قادت لجنة COSO الشركات حول العالم في بناء نظم متطورة للرقابة الداخلية، وفي عام 1992 نشرت إصدارها الأول عن الرقابة الداخلية - الإطار المتكامل الذي تم استبداله في 2013. فيما يتعلق بإدارة المخاطر المؤسسية، تم إصدار الإطار العام لإدارة مخاطر المؤسسة، وتم تحديث إطار العمل هذا بإصدار "إدارة مخاطر المؤسسة - التكامل مع الاستراتيجية والأداء" في عام 2017، الذي ركز على عملية المخاطر الاستراتيجية. هذا باختصار شديد عن رحلة لجنة COSO، ونشأتها، ولعلي في مقال آخر أتوسع حول بعض منتجاتها، وكذلك عرض منظمة أخرى تسمي ISACA Information Systems Audit and Control Association بدأت أساسا من خلال جمعية مراجعي النظم الإلكترونية EDP Electronic Data Processing Audit، وأصدرت إطارا خاصا بها للرقابة الداخلية في بيئة نظم المعلومات الإلكترونية Control Objectives for Information and Related Technologies COBIT.