دراسة: نموذج الخطوط الثلاثة للدفاع... إطار متكامل لحوكمة المخاطر وتعزيز الرقابة المؤسسية

يشكل نموذج الخطوط الثلاثة للدفاع (Three Lines of Defence Model) أحد أهم الأطر الحديثة المعتمدة في مجال حوكمة المخاطر وإدارة الامتثال والرقابة الداخلية داخل المؤسسات العامة والخاصة، وقد اعتمدته منظمات عالمية رائدة، مثل معهد المدققين الداخليين (IIA) بوصفه نموذجاً معيارياً لتوزيع المسؤوليات في إدارة المخاطر وضمان سلامة الإجراءات المؤسسية.

ويعتمد هذا النموذج على مبدأ أساسي يقوم على الفصل بين من يملك المخاطر، ومن يراقبها، ومن يراجعها، من خلال تقسيم العمل إلى ثلاثة خطوط دفاعية مترابطة لكنها مستقلة في مهامها ووظائفها. هذا التقسيم لا يهدف إلى خلق البيروقراطية، بل إلى تحقيق الشفافية والمساءلة وضمان فعالية نظام الرقابة الداخلية بما يتماشى مع مبادئ الحوكمة الرشيدة.

الخط الأول للدفاع – الإدارة التشغيلية (Operational Management)

يمثل الخط الأول الأساس العملي لإدارة المخاطر داخل المؤسسة، إذ يتحمل المديرون والموظفون في الإدارات المختلفة المسؤولية المباشرة عن تحديد المخاطر وإدارتها أثناء تنفيذ مهامهم اليومية، ويتعلق هذا الخط بكل من العمليات التشغيلية، والإجراءات الداخلية، والالتزام بالسياسات والتعليمات. ومن مهام الخط الأول للدفاع الآتي:

1. تحديد المخاطر التي قد تواجه الأنشطة اليومية وتقييم احتمالية حدوثها وتأثيرها.

2. تطبيق الضوابط الداخلية المناسبة للحد من هذه المخاطر (مثل الفصل بين المهام، والمراجعة المزدوجة، وضبط صلاحيات الدخول).

3. الامتثال للسياسات والإجراءات المعتمدة من الإدارة العليا.

4. الإبلاغ عن الحوادث أو نقاط الضعف فور اكتشافها لضمان سرعة المعالجة.

وتتركز أهمية الخط الأول في أنه يعتبر هو «الخط الأمامي» الذي يواجه المخاطر فعلياً، ومن دونه تنهار منظومة الرقابة، إذ يعتمد نجاح الخطوط اللاحقة على كفاءة ووعي العاملين في هذا المستوى، وقدرتهم على دمج إدارة المخاطر في أنشطتهم اليومية بشكل طبيعي وليس باعتبارها عبئاً إدارياً.

الخط الثاني للدفاع – إدارة المخاطر والامتثال (Risk Management & Compliance)

يمثل الخط الثاني الإطار التنظيمي والرقابي الذي يضمن التزام الخط الأول بالسياسات والمعايير والإجراءات ذات الصلة.

هذا الخط لا يدير المخاطر التشغيلية بشكل مباشر، وإنما يراقب ويوجه ويدعم الخط الأول من خلال وضع الأطر العامة والمعايير والسياسات. ومن مهام الخط الثاني للدفاع الآتي:

1. تصميم وتطوير السياسات والإجراءات الخاصة بإدارة المخاطر والامتثال.

2. تقديم المشورة والتوجيه للإدارات التشغيلية حول كيفية إدارة المخاطر والالتزام بالقوانين واللوائح.

3. متابعة مستويات المخاطر عبر أدوات المراقبة الدورية والتقارير.

4. ضمان الامتثال للقوانين المحلية والدولية والمعايير التنظيمية ذات الصلة (مثل متطلبات مكافحة غسل الأموال وتمويل الإرهاب أو متطلبات الحوكمة).

5. التنسيق مع الجهات الرقابية وتقديم تقارير حول مستوى الالتزام المؤسسي.

ولهذا الخط دور في التكامل المؤسسي، حيث يعد بمنزلة «حلقة الوصل» بين الإدارة التشغيلية والإدارة العليا، فهو يترجم السياسات إلى أدوات عملية، ويراقب تنفيذها دون أن يكون طرفاً تنفيذياً مباشراً.

كما يسهم في تعزيز ثقافة المخاطر داخل المؤسسة، عبر التدريب والتوعية، وتقديم التوصيات التي تساعد على تحسين الأداء وتقليل التعرض للمخاطر.

الخط الثالث للدفاع – التدقيق الداخلي (Internal Audit)

الخط الثالث والأخير في النموذج هو التدقيق الداخلي، وهو عنصر الحوكمة الذي يمنح الثقة للإدارة العليا ومجلس الإدارة بأن الخطين الأول والثاني يؤديان مهامهما بفعالية، كما يتميز هذا الخط باستقلاليته عن الخطين الآخرين، فهو لا يشارك في التنفيذ أو الرقابة اليومية، بل يقوم بتقييم شامل وموضوعي لمدى فعالية أنظمة الرقابة الداخلية وإدارة المخاطر. ومن مهام الخط الثالث للدفاع الآتي:

1. تقديم ضمانات مستقلة (Independent Assurance) لمجلس الإدارة ولجنة التدقيق بشأن كفاءة أنظمة الرقابة.

2. تقييم مدى الالتزام بالسياسات والإجراءات والممارسات الفضلى في إدارة المخاطر.

3. تحديد الثغرات والمخاطر النظامية التي لم يتم التعامل معها بشكل كافٍ في الخطين الأول والثاني.

4. تقديم التوصيات لتحسين الأداء وتطوير آليات الحوكمة.

5. التنسيق مع المدققين الخارجيين والجهات الرقابية لضمان تكامل الجهود.

يعد الحفاظ على الاستقلالية والموضوعية من الركائز الأساسية لعمل التدقيق الداخلي، إذ تمثلان الضمان الحقيقي لثقة المؤسسة في نظام الحوكمة لديها، فغياب الاستقلالية يفقد عملية التدقيق قيمتها الجوهرية كمصدر موثوق للمراجعة والتقييم.

ومن هذا المنطلق، تُرفع تقارير التدقيق عادةً بشكل مباشر إلى مجلس الإدارة أو لجنة التدقيق، بما يضمن الحياد التام ويحول دون وقوع أي تضارب في المصالح مع الإدارة التنفيذية.

التكامل بين الخطوط الثلاثة

رغم استقلالية كل خط من خطوط الدفاع الثلاثة عن الآخر، فإن فعالية النموذج تعتمد بدرجة كبيرة على مستوى التنسيق والتكامل بينها. فعندما ينجح الخط الأول في إدارة المخاطر اليومية بكفاءة، يقل العبء الواقع على الخطين الثاني والثالث، مما يتيح توجيه الموارد نحو تحسين الأداء بدلاً من معالجة الأخطاء. 

وفي المقابل، يسهم الخط الثاني من خلال وضع الأطر الرقابية السليمة وتقديم الدعم الفني والإرشادي في تمكين الخط الأول من أداء مهامه بثقة ووضوح. أما الخط الثالث، المتمثل في إدارة التدقيق الداخلي، فيعد الضمان الأخير لسلامة المنظومة، إذ يوفّر للمؤسسة رؤية شاملة حول مدى نضج نظام إدارة المخاطر وجودة الحوكمة المؤسسية، مما يعزز الاستقرار المؤسسي ويضمن استدامة الأداء بكفاءة وشفافية.

أهمية النموذج في الحوكمة المؤسسية

يشكّل تطبيق نموذج الخطوط الثلاثة إطارا متكاملا لتعزيز الحوكمة المؤسسية من خلال مجموعة من المزايا الجوهرية، فهو أولا يُسهم في تعزيز الشفافية والمساءلة عبر تحديد واضح للأدوار والمسؤوليات، مما يبيّن بجلاء من يتخذ القرار، ومن يتولى الرقابة، ومن يقوم بالمراجعة، الأمر الذي يحد من الغموض المؤسسي ويعزز وضوح المساءلة. 

كما يساهم النموذج في تحسين إدارة المخاطر من خلال توزيع الأدوار وتقليل الازدواجية في المهام، مما يضمن كفاءة أكبر في رصد المخاطر ومعالجتها. وإلى جانب ذلك، يعزز هذا النموذج ثقافة الامتثال داخل المؤسسة عبر دعم الالتزام بالقوانين والتشريعات واللوائح ذات الصلة.

كما يعد إطار الخطوط الثلاثة عنصرا فاعلا في دعم عملية اتخاذ القرار بفضل ما يوفّره من تقارير دقيقة ومعلومات موضوعية تسهم في بناء قرارات مستنيرة ومدروسة. وأخيرا، يسهم النموذج في رفع مستوى الثقة لدى المساهمين والجهات الرقابية، من خلال إرساء نظام رقابي فعّال ومستقل يعكس التزام المؤسسة بمبادئ الحوكمة الرشيدة والمساءلة المستمرة.

تطبيقات النموذج في المؤسسات الحكومية والأمنية

يعد نموذج الخطوط الثلاثة إحدى الركائز الجوهرية لتعزيز النزاهة والشفافية في المؤسسات الحكومية، لا سيما في الجهات الأمنية كوزارة الداخلية وأجهزة مكافحة غسل الأموال وتمويل الإرهاب، إذ يسهم هذا النموذج في ترسيخ منظومة رقابية متكاملة تضمن فاعلية الحوكمة وجودة الأداء المؤسسي.

ففي هذا الإطار، يُمثّل القطاع التنفيذي والأمني خط الدفاع الأول، من خلال تنفيذ الإجراءات الميدانية اليومية، ورصد المخاطر وضبطها ضمن بيئة العمل العملي المباشر، بينما تضطلع إدارات الرقابة والامتثال بدور خط الدفاع الثاني، عبر متابعة الالتزام بالقوانين واللوائح ذات الصلة، مثل القانون رقم 106 لسنة 2013 بشأن مكافحة غسل الأموال وتمويل الإرهاب، لضمان التقيد بالضوابط الرقابية وتعزيز فعالية نظم الامتثال الوقائي. 

أما إدارة التدقيق الداخلي أو المراجعة فتقوم بدور خط الدفاع الثالث، إذ تقدم تقارير مستقلة وموضوعية إلى القيادة العليا تتناول كفاءة وفاعلية أنظمة الرقابة الداخلية ومدى الالتزام بالمعايير الدولية، وعلى رأسها توصيات مجموعة العمل المالي (FATF)، بما يعزز الثقة في بيئة الحوكمة ويضمن استدامة الامتثال المؤسسي والشفافية في الأداء الأمني والإداري.

وفي الختام، يعد نموذج الخطوط الثلاثة للدفاع حجر الأساس في بناء منظومة حوكمة فعالة وإدارة رشيدة للمخاطر داخل المؤسسات. فهو لا يقتصر على مجرد توزيع المسؤوليات بين الإدارات، بل يهدف إلى ترسيخ ثقافة المخاطر والالتزام المؤسسي، وضمان تكامل الجهود بين مختلف المستويات الإدارية لتحقيق الأهداف الاستراتيجية للمؤسسة، وكلما التزمت الجهات المعنية بتطبيق هذا النموذج بكفاءة واستقلالية وشفافية، ازدادت ثقة الجهات الرقابية والمجتمع بأن المؤسسة تُدار وفق أسس مهنية تجسد مبادئ المساءلة والنزاهة وحسن الإدارة.