سجلّ المخاطر (Risk Register): البداية الإلزاميّة
المنطلق الأوّل لأيّ منظومة إدارة مخاطر هو سجلّ مكتوب. ليس وثيقة سنويّة تُحفَظ في درج المدير، بل مستند حيّ تُراجَع بنوده بانتظام. السجلّ الفعّال يحتوي لكلّ مخاطرة:
- اسم المخاطرة: صياغة دقيقة وغير عامّة. ليس "مخاطر تقنيّة" بل "تعطّل خادم قاعدة البيانات الإنتاجيّة لأكثر من ساعتين".
- احتماليّة الحدوث: منخفضة، متوسّطة، عالية، شبه مؤكّدة (مع تعريف واضح لكلّ فئة).
- الأثر المالي: تقدير الخسارة المتوقّعة إذا حدثت.
- المسؤول: شخص واحد بالاسم، لا "الإدارة" أو "الفريق".
- إجراءات التخفيف: ما يُفعَل لتقليل الاحتماليّة أو الأثر.
- إجراءات الاستجابة: ما يُفعَل إذا حدثت المخاطرة.
- تاريخ المراجعة الأخير: متى تأكّدنا أنّ التقدير ما يزال دقيقاً.
المخاطر العشر الأكثر شيوعاً للشركات المتوسّطة في الخليج
١. تركّز العملاء (Customer Concentration)
نسبة كبيرة من الإيرادات تأتي من عميل واحد. فقدانه يهدّد الاستمراريّة. الحلّ: استراتيجيّة تنويع العملاء بحدود واضحة (مثلاً: لا عميل يتجاوز نسبة محدّدة من الإيراد).
٢. تركّز المورّدين (Supplier Concentration)
مورّد واحد لخدمة جوهريّة بدون بديل جاهز. مثال شائع: مورّد التقنيّة الوحيد الذي يحتفظ ببيانات العميل. الحلّ: مورّد ثانٍ معتمد، ولو بحجم استخدام صغير، يضمن استمراريّة الخدمة عند الحاجة.
٣. شخصنة المعرفة (Key Person Risk)
كلّ المعرفة في رأس شخص واحد. غيابه يُعطّل التشغيل. الحلّ: التوثيق الإلزاميّ لكلّ عمليّة جوهريّة، تدريب شخص ثانٍ على كلّ مهمّة حرجة، وثيقة "ماذا يحدث إذا..." لكلّ منصب.
٤. الأمن السيبرانيّ
الشركات المتوسّطة هدف مفضَّل لهجمات الفدية لأنّها أكبر من الصغرى (تستحقّ الهجوم) وأقلّ تحصّناً من الكبرى. الحدّ الأدنى: نسخ احتياطيّة منفصلة، تشفير البيانات الحسّاسة، مصادقة ثنائيّة (2FA) لكلّ النظم الحرجة، تدريب الموظّفين على التصيّد الإلكترونيّ، خطّة استجابة موثَّقة.
٥. مخاطر الامتثال
تغيّر التنظيمات (ضريبة الشركات، PDPL في السعوديّة، قانون البيانات الإماراتيّ) يفرض التزامات جديدة قد لا تنتبه لها الشركة. الحلّ: مراجَعة قانونيّة سنويّة، اشتراك في تنبيهات تنظيميّة من مكاتب محاماة محلّيّة.
٦. اعتماديّة المؤسّس
قرارات الشركة كلّها تمرّ من المؤسّس. مرضه أو سفره الطويل يُجمِّد التشغيل. الحلّ: تفويض موثَّق للصلاحيّات لشخصين على الأقلّ، توقيعات بنكيّة مزدوجة، اجتماعات إدارة منتظمة بدون المؤسّس لتطوير القيادة الثانية.
٧. مخاطر سعر الصرف
شركات تشتري بالدولار وتبيع بعملة محلّيّة، أو العكس. الحلّ: مراجعة دوريّة لتعرّض العملة، تحوّط مالي بسيط (Forward Contracts) للمبالغ الكبيرة، أو على الأقلّ تسعير منتجات بعملة قابلة للتعديل.
٨. الفجوة التأمينيّة
كثير من الشركات الإقليميّة لا تحمل تأميناً ضدّ المسؤوليّة المهنيّة (Professional Indemnity)، المسؤوليّة السيبرانيّة (Cyber Liability)، أو تعطّل الأعمال (Business Interruption). الحلّ: مراجعة بوليصات التأمين سنويّاً مع وسيط مستقلّ.
٩. اعتماديّة منصّة تقنيّة وحيدة
كلّ بياناتك ونظمك على مزوّد سحابيّ واحد. تعطّله أو رفع أسعاره يؤذيك. الحلّ: استراتيجيّة Multi-Cloud أو على الأقلّ نسخ احتياطيّة على مزوّد ثانٍ، عقود قابلة للنقل (Portability Clauses).
١٠. مخاطر السمعة
حادثة واحدة (موظّف غاضب، عميل غير راضٍ، تسرّب بيانات) قد تُسيء لسمعة بُنيت على سنوات. الحلّ: وثيقة استجابة للأزمات، متحدّث رسميّ مدرّب، شركة علاقات عامّة جاهزة للتفعيل عند الحاجة.
منظومة الحوكمة الخفيفة (Lightweight Risk Governance)
الشركات المتوسّطة لا تحتاج فريق إدارة مخاطر بحجم البنوك. تكفي بنية بسيطة:
- اجتماع شهريّ لمراجعة سجلّ المخاطر: ساعة واحدة، يحضرها CEO/COO/CFO وعدد محدود من قادة الفِرق.
- مالك مخاطرة لكلّ بند: شخص واحد مسؤول عن متابعة كلّ مخاطرة.
- تقرير ربع سنوي للمساهمين: ملخّص للمخاطر الحرجة وما تمّ بشأنها.
- محاكاة سنويّة (Tabletop Exercise): سيناريو افتراضيّ ومراجعة كيف ستستجيب الشركة عمليّاً.
- مراجعة سنويّة من جهة خارجيّة: مستشار مستقلّ يُراجع سجلّ المخاطر ويُضيف ما قد يكون فاتها الفريق الداخليّ.
الفرق بين "إدارة المخاطر" و"تجنّب المخاطر"
من الأخطاء الشائعة الخلط بين الاثنين. تجنّب المخاطر يعني عدم اتّخاذ القرار. إدارة المخاطر تعني اتّخاذه مع وعي بالمخاطر وخطّة استعداد. شركة لا تتّخذ مخاطر مدروسة لا تنمو. وشركة تتّخذها بدون منظومة إدارة، تنتحر ببطء.
توصية ختاميّة: بناء منظومة إدارة مخاطر فعّالة لا يحتاج ميزانيّات ضخمة، بل انتظاماً في الممارسة. الشركات التي تخصّص ساعات معدودة شهريّاً لمراجعة سجلّ المخاطر تتفوّق على المنافسين في الأزمات. الأزمة لا تُعرَف من قبل وقوعها، لكن الاستعداد لها يُخفّض كلفتها بشكل ملحوظ. اقرأ إخلاء المسؤوليّة.