4 rodzaje ryzyka operacyjnego
Ryzyko operacyjne to ryzyko straty wynikającej z nieodpowiednich lub zawodnych procesów wewnętrznych, ludzi, systemów lub zdarzeń zewnętrznych. W przeciwieństwie do ryzyka rynkowego lub kredytowego, które można określić ilościowo za pomocą modeli finansowych, ryzyko operacyjne jest często trudniejsze do zmierzenia, ale nie mniej istotne. Zrozumienie jego czterech głównych kategorii jest pierwszym krokiem w kierunku skutecznego zarządzania nim.
1. Ryzyko procesowe
Ryzyko procesowe wynika z błędów w procedurach i przepływach pracy, na których organizacja opiera się w prowadzeniu swojej działalności. Awarie te mogą obejmować drobne nieefektywności lub krytyczne awarie skutkujące stratami finansowymi lub naruszeniami przepisów.
Typowe przykłady obejmują błędy w przetwarzaniu transakcji, błędy w procedurach uzgadniania, awarie w przepływach pracy związanych z zatwierdzaniem i luki w praktykach dokumentacyjnych. W banku realizującym przelew na niewłaściwy rachunek z powodu błędu ręcznego wprowadzania danych wystąpiło zdarzenie ryzyka procesowego.
Zarządzanie ryzykiem procesowym wymaga jasnych, dobrze udokumentowanych procedur, odpowiedniego szkolenia personelu wykonującego te procedury oraz kontroli wykrywających błędy, zanim spowodują szkodę. Regularne przeglądy procesów pomagają zidentyfikować obszary, w których procedury stały się przestarzałe lub w których wąskie gardła zwiększają prawdopodobieństwo błędów.
Automatyzacja może znacznie zmniejszyć ryzyko procesu, eliminując czynności wykonywane ręcznie, które są podatne na błędy. Jednak automatyzacja wprowadza własne ryzyko, jeśli nie jest odpowiednio zaprojektowana i monitorowana, co prowadzi do następnej kategorii.
2. Ryzyko systemów i technologii
Ryzyko systemowe wiąże się z awariami infrastruktury technologicznej wspierającej działalność biznesową. Obejmuje to awarie sprzętu, błędy oprogramowania, naruszenia cyberbezpieczeństwa, uszkodzenie danych i awarie systemu.
Rosnąca zależność od technologii oznacza, że ryzyko systemowe stało się jedną z najważniejszych kategorii ryzyka operacyjnego. Awaria platformy transakcyjnej w godzinach szczytu, atak oprogramowania typu ransomware szyfrujący krytyczne dane lub nieudana aktualizacja oprogramowania, która uszkadza dokumentację finansową, może spowodować znaczne straty.
Zarządzanie ryzykiem systemowym obejmuje utrzymywanie solidnej infrastruktury IT, wdrażanie mechanizmów kontroli cyberbezpieczeństwa, przeprowadzanie regularnych testów systemów oraz utrzymywanie planów odzyskiwania po awarii i ciągłości działania. Zarządzanie poprawkami, kontrola dostępu i procedury tworzenia kopii zapasowych danych to podstawowe elementy.
Organizacje powinny również wziąć pod uwagę ryzyko technologiczne stron trzecich. Dostawcy usług w chmurze, dostawcy oprogramowania i podmioty przetwarzające dane wprowadzają potencjalne punkty awarii, które należy oceniać i monitorować.
3. Ryzyko ludzi
Ryzyko ludzkie obejmuje straty wynikające z błędu ludzkiego, niewłaściwego postępowania, nieodpowiedniego personelu lub niezatrzymania kluczowego personelu. Jest to prawdopodobnie najbardziej nieprzewidywalna kategoria ryzyka operacyjnego, ponieważ dotyczy ludzkich zachowań.
Błąd ludzki obejmuje niezamierzone błędy, takie jak wprowadzenie nieprawidłowych danych, błędna interpretacja instrukcji lub przeoczenie krytycznych informacji. Niewłaściwe postępowanie obejmuje działania zamierzone, takie jak oszustwo, kradzież, nieautoryzowany handel lub naruszenie zasad i przepisów.
Kwestie kadrowe również stanowią ryzyko dla ludzi. Niewystarczająca liczba pracowników w okresach szczytu zwiększa prawdopodobieństwo błędów. Odejście kluczowych pracowników może skutkować lukami w wiedzy, które wpływają na ciągłość operacyjną.
Zarządzanie ryzykiem ludzkim wymaga połączenia praktyk zatrudniania, programów szkoleniowych, zarządzania wynikami i silnej kultury etycznej. Podział obowiązków, wymogi dotyczące podwójnego zezwolenia i programy dla sygnalistów pomagają zapobiegać i wykrywać niewłaściwe postępowanie. Trening przekrojowy zapewnia, że funkcje krytyczne nie są zależne od pojedynczej osoby.
4. Ryzyko zdarzeń zewnętrznych
Ryzyko zdarzeń zewnętrznych obejmuje straty spowodowane zdarzeniami będącymi poza kontrolą organizacji. Do tej kategorii zaliczają się klęski żywiołowe, pandemie, konflikty geopolityczne, zmiany regulacyjne i awarie dostawców.
Chociaż organizacje nie mogą zapobiec wydarzeniom zewnętrznym, mogą się na nie przygotować. Planowanie ciągłości działania, ochrona ubezpieczeniowa oraz dywersyfikacja dostawców i usługodawców pomagają złagodzić skutki.
Pandemia Covid-19 uwypukliła znaczenie zarządzania ryzykiem zdarzeń zewnętrznych. Organizacje posiadające solidne możliwości pracy zdalnej i zróżnicowane łańcuchy dostaw dostosowały się szybciej niż te, które nie planowały takich zakłóceń.
Zarządzanie ryzykiem zdarzeń zewnętrznych wymaga planowania scenariuszy i testów warunków skrajnych. Organizacje powinny regularnie oceniać swoje narażenie na potencjalne zdarzenia zewnętrzne i oceniać, czy ich plany awaryjne są odpowiednie.
Łączenie tego
Te cztery kategorie są ze sobą powiązane. Zdarzenie zewnętrzne, takie jak cyberatak (zewnętrzny), może wykorzystać lukę w zabezpieczeniach systemu (systemów), która pozostaje niewykryta z powodu niewystarczającej liczby personelu (ludzi) i powoduje większe szkody z powodu słabych procedur reagowania na incydenty (proces).
Skuteczne zarządzanie ryzykiem operacyjnym wymaga holistycznego spojrzenia, które uwzględnia wszystkie cztery kategorie i ich interakcje. Regularne oceny ryzyka, jasne procedury eskalacji oraz kultura zachęcająca do przejrzystego zgłaszania incydentów i zdarzeń potencjalnie wypadkowych są niezbędne do utrzymania ryzyka operacyjnego na akceptowalnym poziomie.
Zespoły finansowe i audytorskie odgrywają kluczową rolę w identyfikowaniu ryzyk operacyjnych poprzez przegląd procesów, kontroli i dokumentacji. Narzędzia usprawniające gromadzenie i analizę dowodów pomagają tym zespołom skoncentrować się na najważniejszych zagrożeniach.