يعني أيه GRC؟
من المُصطلحات الرائجة أو التريندج في الفترات الماضية والحالية مُصطلح (GRC) وهو اختصار لـــ (Governance, Risk and Compliance)، وهو نوعًا ما مُصطلح مُركب يجمع بين عدة وظائف موجودة في الشركات الكبرى.
من المُصطلحات الرائجة أو التريندج في الفترات الماضية والحالية مُصطلح (GRC) وهو اختصار لـــ (Governance, Risk and Compliance)، وهو نوعًا ما مُصطلح مُركب يجمع بين عدة وظائف موجودة في الشركات الكبرى.
وعشان كده ممكن يكون المصطلح غريب على مسامع البعض أو غير واضح الملامح ومطاط شوية ...
في هذا الثريد سأحاول معك تفكيكه وتبسيطه وشرح لآلية عمله داخل الشركات ... يلا بنا ...
في هذا الثريد سأحاول معك تفكيكه وتبسيطه وشرح لآلية عمله داخل الشركات ... يلا بنا ...
بص يا سيدي الشركة هي مشروع بشري في عالم يغلب عليه الغموض والتعقيد والتذبذب، وتتشابك الشركة مع عدد من أصحاب المصالح ذوي الأهداف المختلفة، وعلى رأس هؤلاء الأصحاب يكون المساهمين.
ولكل شركة أهداف تعمل على تحقيقها، وأهم هذه الأهداف هو تعظيم ثروات المُساهمين من خلال رفع سعر السهم و/أو توزيعات الأرباح السنوية.
لكن هناك مخاطر تُهدد أو تمنع تحقيق هذه الأهداف ويجب التصدي لهذه المخاطر من خلال بناء حوائط صد أو خطوط دفاعية، والموضوع بيتم كالتالي:
لكن هناك مخاطر تُهدد أو تمنع تحقيق هذه الأهداف ويجب التصدي لهذه المخاطر من خلال بناء حوائط صد أو خطوط دفاعية، والموضوع بيتم كالتالي:
١- إنشاء جهة حاكمة (Governing Body) تُحدد الرؤية والقيم وترسم استراتيجية الشركة وتكون مسؤولة أمام المُساهمين عن مهمة الإشراف على عمليات الشركة، والجهة دي هي مجلس الإدارة واللجان المُنبثقة منه.
وعشان نضمن أن مجلس الإدارة ولجانهِ شغالين لصالح المُساهمين وأصحاب المصالح، هنصصم شوية ضوابط ونُظم رقابية لضبط سلوك وأفعال مجلس الإدارة والمُدراء التنفيذيين، والضوابط دي أسمها نظام الحوكمة (Governance).
٢- وعشان ننفذ الاستراتيجيات وأهداف الشركة، الجهة الحاكمة ستقوم بتفويض المهام وتخصيص الموارد والسلطة للإدارة التنفيذية (Management)، وهنقسيم الإدارة التنفيذية إلى خطين:
- الخط الأول (First Line): وهو كل الإدارات التي تعمل بشكل مباشر لتقديم المنتجات و/أو الخدمات للعملاء، زي إدارة المخازن، الإدارة المالية، التسويق والمبيعات، الموارد البشرية وكل الإدارات الفنية، وجزء من مهام الخط ده أيضًا إدارة المخاطر.
- الخط الثاني (Second Line): وده بيشمل كل المُتخصصين القادرين على توفير الخبرة والدعم للخط الأول، زي إدارة المخاطر (Risk Management)، إدارة الامتثال للقوانين واللوائح والسلوك الأخلاقي (Compliance)، إدارة نُظم الرقابة الداخلية (Internal Control)،
٣- ومينفعش نترك نظام الحوكمة وخط الإدارة الأول والثاني بدون تقييم لفاعليتهم، وهنا بييجي دور الخط الثالث واللي هو إدارة المراجعة الداخلية.
ودور الإدارة دي هو إعطاء تأكيد مُستقل للجهة الحاكمة عن فاعلية نظام الحوكمة ونُظم الرقابة الداخلية، إدارة المخاطر، وإدارة الامتثال.
ودور الإدارة دي هو إعطاء تأكيد مُستقل للجهة الحاكمة عن فاعلية نظام الحوكمة ونُظم الرقابة الداخلية، إدارة المخاطر، وإدارة الامتثال.
وخد بالك كل الخطوط دي ليس بمعزل عن بعضها بدليل:
١- في بعض الأحيان بيكون الرئيس التنفيذي (CEO) هو حلقة الوصل بين مجلس الإدارة والادارات التنفيذية.
١- في بعض الأحيان بيكون الرئيس التنفيذي (CEO) هو حلقة الوصل بين مجلس الإدارة والادارات التنفيذية.
٢- الجهة الحاكمة المُتمثلة في مجلس الإدارة واللجان المُنبثقة منه تتلقى تقارير من الإدارة التنفيذية حول النتائج المُخططة والفعلية بالإضافة إلى تقارير حول إدارة المخاطر، واللي بيقدم التقارير دي هو الرئيس التنفيذي للشركة، الرئيس التنفيذي للمخاطر (CRO) والرئيس التنفيذي للامتثال (CCO)
٣- إدارة المراجعة الداخلية مش دورها أنها تفتش عن الأخطاء، دورها هو إعطاء تأكيد على فاعلية النُظم الرقابية، وتقديم مشورة كمستشار موثوق به وشريك استراتيجي.
٤- إدارة المراجعة الداخلية هي عين وأُذن الجهة الحاكمة.
٥- تتولى الجهة الحاكمة إنشاء إدارة مراجعة داخلية مستقلة، تعيين وإقالة الرئيس التنفيذي للمراجعة الداخلية (CAE)، الموافقة على خطة المراجعة وتوفير الموارد لها، تلقي ودراسة تقارير المراجعة الداخلية من الرئيس التنفيذي للتدقيق،
٥- تتولى الجهة الحاكمة إنشاء إدارة مراجعة داخلية مستقلة، تعيين وإقالة الرئيس التنفيذي للمراجعة الداخلية (CAE)، الموافقة على خطة المراجعة وتوفير الموارد لها، تلقي ودراسة تقارير المراجعة الداخلية من الرئيس التنفيذي للتدقيق،
وتمكين الرئيس التنفيذي للمراجعة من الوصول بحرية إلى مجلس الإدارة، بما في ذلك الجلسات الخاصة دون حضور الإدارة التنفيذية.
تمام كده …. تعال نأخذ مثال يوضح ازاي الكلام ده بيحصل بشكل عملي …
تمام كده …. تعال نأخذ مثال يوضح ازاي الكلام ده بيحصل بشكل عملي …
بص يا سيدي شركة أمازون مجلس إدارتها بقيادة جيف بيزوس وآندي جاسي عاوزين الشركة تتوسع في الأسواق الناشئة زي مصر والدول العربية، فتم وضع استراتيجية لتحقيق الهدف ده …
الإدارة التنفيذية أخذت الاستراتيجية دي وبدأت تنفذها وده كان من خلال فتح سوق جديد في مصر واللي بيحتاج بناء مخازن …
الإدارة التنفيذية أخذت الاستراتيجية دي وبدأت تنفذها وده كان من خلال فتح سوق جديد في مصر واللي بيحتاج بناء مخازن …
وعشان نشغل المخازن والمستودعات بيتم وضع سياسات وإجراءات وبيشرف على تنفيذها مدير المخازن، وهنا المدير ده بيمثل الخط الأول وهو صاحب والمسؤول عن إدارة المخاطر المُتعلقة بالمخازن (Process/Risk Owner).
يعني مثلًا لما البضاعة توصل المخازن، بيتم مطابقتها مع أمر الشراء، وقبل الاستلام بيتم فحصها للتأكد من جودتها وكمياتها وبيتم التوقيع على إذن الاستلام وتخزينها في مكان آمن وظروف التخزين فيه مناسبة لطبيعة البضاعة.
خد بالك الراجل ده قام بالتالي:
١- حدد وقيم المخاطر المرُتبطة بالمخازن (السرقة، التلف، استلام بضاعة غير مطابقة للمواصفات وأمر الشراء).
٢- الامتثال اللوائح والسياسات والإجراءات الداخلية عشان يغطي المخاطر دي (مطابقة وفحص البضائع قبل الاستلام).
٣- المراقبة المٌستمرة للمخاطر.
١- حدد وقيم المخاطر المرُتبطة بالمخازن (السرقة، التلف، استلام بضاعة غير مطابقة للمواصفات وأمر الشراء).
٢- الامتثال اللوائح والسياسات والإجراءات الداخلية عشان يغطي المخاطر دي (مطابقة وفحص البضائع قبل الاستلام).
٣- المراقبة المٌستمرة للمخاطر.
٤- رفع تقارير بالمشكلات والحوادث والخسائر/التلف/التقادم اللي ممكن تحدث في المخازن، وأي قصور في نظام الرقابة الداخلي، وهنا التقارير ده هيستلمها الخط الثاني …
وبكده يبدأ دور الخط الثاني والمُتمثل في إدارة المخاطر، إدارة الامتثال، وادارة نظام الرقابة الداخلية.
وبكده يبدأ دور الخط الثاني والمُتمثل في إدارة المخاطر، إدارة الامتثال، وادارة نظام الرقابة الداخلية.
وهنا الخط الثاني بيكون (Entity Level) يعني دور بيغطي كل أنشطة الشركة، فمثلًا دور الخط ده في المثال اللي معانا بيكون عبارة عن:
١- إصدار السياسات والإجراءات لعمليات المخازن بما في ذلك إجراءات الشراء الاستلام والتخزين.
١- إصدار السياسات والإجراءات لعمليات المخازن بما في ذلك إجراءات الشراء الاستلام والتخزين.
٢- إصدار وتصميم ومراجعة معايير وممارسات السلامة والامتثال، والسياسات المحاسبية.
٣- تجميع التقارير والنتائج من الخط الأول.
٣- تجميع التقارير والنتائج من الخط الأول.
٤- تقديم تقارير للرئيس التنفيذي عن مدى فعالية عمليات تشغيل المخازن، والامتثال للوائح والإجراءات، وفي حالة وجود قصور يتم تعديل/إصدار/تصميم إجراءات جديدة.
نفهم من كده إن فاعلية تشغيل العمليات ونظام الرقابة وإدارة المخاطر هي مسئولية الخط الأول والثاني، لكن محتاجين شخص يعطي تأكيد على الكلام ده.
هنا بييجي دور الخط الثالث واللي هي إدارة المراجعة الداخلية عشان تُعطي تأكيد على فاعلية نُظم الرقابة الداخلية وتقدم مشورة للخط الأول والثاني وتقييم فاعلية نظام الحوكمة.
والكلام ده بيكون في شكل تقارير مراجعة تُرفع لمجلس الإدارة والمعنيين بالحوكمة وعلى رأسهم لجنة المراجعة (Audit Committee).
اعتقد كده مُصطلح (GRC - Governance, Risk and Compliance) ملامحه بدأت تتضح، ومن ثَمَ:
١- الـــحوكمة (Governance): هي مجموعة من الضوابط الرقابية لضبط سلوك وأفعال مجلس الإدارة وضمان أن الشركة تعمل لصالح أصحاب المصالح وتحقيق الأهداف العامة للشركة.
٢- إدارة المخاطر (Risk Management): هي عملية تحديد وتقييم وإدارة المخاطر التي تُهدد أهداف الشركة بشكل عام وأهداف وحدات الأعمال.
ويمكن تقسيم المخاطر إلي 5 مخاطر رئيسية:
ويمكن تقسيم المخاطر إلي 5 مخاطر رئيسية:
▪️مخاطر (Performance or Operational Risk): وتأتي من الإخفاقات في المُنتجات (انخفاض الطلب على المنتج أو عيوب في الانتاج) أو العمليات (إضطراب في سلاسل الإمداد) أو الأشخاص (فقدان موظف مُهم مثل جيف بيزوس).
▪️مخاطر (Compliance Risk): تنتج مخاطر الامتثال من انتهاكات القوانين أو اللوائح أو مدونات قواعد السلوك أو معايير الممارسة داخل الشركة (أمازون لديها مخاطر انتهاك قانون المنافسة وعدم الاحتكار/انتهاك قوانين حماية بيانات العملاء/انتهاك قوانين العمل/تخطي نُظم الرقابة الداخلية).
▪️مخاطر (IT Risk): تنشأ مخاطر تكنولوجيا المعلومات من فشل تكنولوجيا المعلومات أو إساءة استخدامها، مما يؤدي إلى خسارة البيانات، القرصنة (Hacking) أو الهجمات الإلكترونية (Cyberattacks) على خوادم وسيرفرات أمازون أو توقف خدمات أمازون فجأة.
▪️مخاطر مالية (Financial Risk): وتعني خسارة المال أو الاستثمار وتشمل مخاطر الائتمان ومخاطر السيولة (Liquidity/ Credit Risk).
▪️مخاطر السمعة (Reputational Risk): وتنتج من الفشل في إدارة المخاطر الأربعة أعلاه.
▪️مخاطر السمعة (Reputational Risk): وتنتج من الفشل في إدارة المخاطر الأربعة أعلاه.
٣- إدارة الامتثال (Compliance Management) هي عملية تضمن التزام الشركة باللوائح الداخلية والقوانين والتنظيمات الخارجية، واتباع الممارسات المُحاسبية السليمة والميثاق الأخلاقي.
فمثلًا أمازون عندها كميات هائلة من بيانات العملاء من خلال منصة التجارة الإلكترونية والخدمات السحابية (AWS).
وعدم الامتثال للوائح حماية البيانات، مثل اللائحة العامة لحماية البيانات (GDPR) في أوروبا، ممكن ينتج عنه عقوبات مالية كبيرة وإلحاق الضرر بسمعة الشركة.
وعدم الامتثال للوائح حماية البيانات، مثل اللائحة العامة لحماية البيانات (GDPR) في أوروبا، ممكن ينتج عنه عقوبات مالية كبيرة وإلحاق الضرر بسمعة الشركة.
بس كده …
لو عاوز تعرف يعني أيه حوكمة الشركات
لو عاوز تعرف يعني أيه حوكمة الشركات
لو عاوز تعرف يعني أيه نظام الرقابة الداخلية
youtu.be
youtu.be
لو عاوز تعرف يعني أيه ثقافة مؤسسية
لو عاوز تعرف يعني أيه مراجعة داخلية
جاري تحميل الاقتراحات...