Forståelse og Styring af Operationel Risiko

Operationel risiko opsummerer de usikkerheder og farer, en virksomhed står over for, når den forsøger at udføre sine daglige forretningsaktiviteter inden for et givent felt eller en industri. Det er en type forretningsrisiko, der kan opstå som følge af nedbrud i interne procedurer, fejl begået af mennesker og svigt i systemer – i modsætning til problemer, der opstår fra eksterne kræfter, såsom politiske eller økonomiske begivenheder, eller som er iboende for hele markedet, kendt som systematisk risiko. At forstå og håndtere disse risici er afgørende for enhver organisations langsigtede succes og stabilitet.

Styring af operationel risiko indebærer at adressere potentielle svagheder i en organisations medarbejderstab, systemer og interne kontroller for at forhindre afbrydelser og økonomiske tab. Denne type risiko kan også klassificeres som en række usystematiske risici, der er unikke for en specifik virksomhed eller branche. Det handler i bund og grund om, hvordan tingene bliver gjort internt, snarere end hvad der produceres.

Dybdegående Forståelse af Operationel Risiko

Operationel risiko fokuserer på, hvordan opgaver udføres i en organisation, ikke nødvendigvis hvad der produceres eller er en naturlig del af en industri. Disse risici er ofte forbundet med aktive beslutninger om, hvordan organisationen fungerer, og hvad den prioriterer. Selvom disse risici ikke altid fører til fiasko, reduceret produktion eller øgede omkostninger, påvirkes deres alvorlighed af interne ledelsesbeslutninger.

Fordi den afspejler menneskeskabte procedurer og tankeprocesser, kan operationel risiko opsummeres som en menneskelig risiko; det er risikoen for, at forretningsdriften fejler på grund af menneskelige fejl. Den varierer fra branche til branche og er en vigtig overvejelse, når man træffer potentielle investeringsbeslutninger. Brancher med lavere menneskelig interaktion har sandsynligvis lavere operationel risiko.

Årsager til Operationel Risiko

Operationel risiko opstår normalt fra fire forskellige kilder: mennesker, processer, systemer eller eksterne begivenheder. For mange aspekter af operationel risiko må virksomheder simpelthen forsøge at afbøde risikoen inden for hver kategori så godt som muligt med den forståelse, at en vis operationel risiko sandsynligvis altid vil være til stede.

Mennesker

Operationel risiko forårsaget af mennesker kan opstå på grund af mangler eller utilstrækkelighed hos medarbejderne. For eksempel kan en virksomhed mangle personale med den nødvendige viden til at tackle et specifikt problem, eller den har måske ikke et passende antal medarbejdere til at håndtere højsæsonen korrekt. Selvom virksomheder kan ansætte nyt personale for at mindske disse risici, introducerer dette nye menneskecentrerede operationelle risici såsom at identificere de rette kandidater, oplære personalet og sikre høj medarbejderfastholdelse.

Processer

Enhver virksomhed har sine egne processer. Mere komplekse produktionsvirksomheder vil have andre processer end et advokatfirma, der kun yder service. Under alle omstændigheder har alle virksomheder trin, der skal udføres i en bestemt rækkefølge, ellers er skadelige resultater mulige. Virksomheder med høj personaleudskiftning har måske ikke fuldt udbygget deres processer eller dokumenteret alle trin. Desuden er nogle processer i fare for at blive udnyttet gennem aftalt spil og svigtende interne kontroller, hvilket udsætter virksomheden for risikoen for at miste penge gennem tyveri.

Systemer

Flere og flere virksomheder er afhængige af software og systemer til at drive deres forretning. Operationel risiko inkluderer chancen for, at disse systemer er forældede, utilstrækkelige eller ikke korrekt konfigureret. Der er også præstationshensyn, da operationel risiko omfatter muligheden for, at en virksomheds systemer ikke er lige så effektive som en konkurrents. Tekniske aspekter udgør også en risiko; systemer kan have fejl eller tekniske mangler, hvilket fører til øget eksponering for cyberkriminalitet.

Eksterne Begivenheder

I mange tilfælde opstår operationel risiko uden for virksomheden. Dette kan være alt fra naturkatastrofer, der hindrer en virksomheds forsendelsesproces, til politiske ændringer, der begrænser virksomhedens evne til at operere. Nogle af disse risici kan klassificeres for sig selv (f.eks. geopolitisk risiko). Andre er simpelthen en del af forretningen, såsom en tredjepart, der misligholder en kontrakt.

De 7 Primære Kategorier af Operationel Risiko

De fire ovennævnte årsager kan udvides til syv hovedkategorier af operationel risiko:

• Internt bedrageri: Medarbejdere konspirerer for at omgå interne kontroller og uretmæssigt tilegne sig virksomhedens ressourcer.
• Eksternt bedrageri: Uafhængige parter uden for virksomheden forsøger at bestikke, stjæle, forfalske eller udføre cyberangreb.
• Teknologiske fejl: Mangler i computersystemer, hardware, software eller samspillet mellem deres komponenter.
• Udførelse, levering og processtyring: Ledelsen er ude af stand til korrekt at vurdere en situation og anvende den rigtige strategi eller undlader at udføre en korrekt strategi.
• Medarbejderpraksis og arbejdsmiljøsikkerhed: Overtrædelse eller risiko for overtrædelse af sikkerhedsforanstaltninger på arbejdspladsen, hvad enten de er fysiske, mentale eller andre.
• Naturkatastrofer og skader på fysiske aktiver: Uvejr, brand eller barske vinterforhold kan bringe fysiske aktiver i fare og gøre det umuligt for medarbejderne at udføre deres daglige opgaver.
• Kunder, produkter og forretningspraksis: Operationelle aktiviteter, der skader kunder, vildledende information, uagtsomhed eller utilsigtet manglende overholdelse af krav.

Hvordan Vurderer Man Operationel Risiko?

Vurdering af operationel risiko involverer brugen af nøglerisikoindikatorer (KRI'er) og data. KRI'er er målinger, en virksomhed kan tildele sig selv som risikobenchmarks. De hjælper ledere med at overvåge risikoniveauer, signalere ændringer i eksponering og vurdere effektiviteten af kontroller. For eksempel kan en virksomhed, der kun ønsker at arbejde med meget kreditværdige leverandører, sætte en KRI om, at højst tre leverandører må misligholde en kontrakt om året. Gennem året kan virksomheden vurdere, om dette mål nås, og træffe foranstaltninger for at mindske risikoen.

Den anden afgørende del af vurderingen er data. Uden data vil en virksomhed aldrig vide, om dens KRI'er er på rette spor. Virksomheder bør opbygge robuste processer til informationsindsamling, hvad enten det er gennem automatisering, tredjepartsundersøgelser, økonomiske resultater eller branchedata.

Strategier til Styring af Operationel Risiko

Der er flere overordnede strategier til at håndtere operationel risiko. Her er fire primære måder, virksomheder kan gribe det an på:

1. Undgå Unødvendig Risiko

Virksomheder bør løbende evaluere, om de påtager sig risici uden nogen reel belønning. Hvis der findes lige så gode eller bedre leverandører med bedre kredithistorik, påtager en virksomhed sig unødig risiko ved at arbejde med ringere leverandører. Virksomheder bør eliminere processer, der ikke belønner dem, men udelukkende medfører unødvendig risiko.

2. Udfør en Cost/Benefit-Analyse

Dette er en datadrevet metode til at vurdere, om de potentielle fordele ved en forretningsbeslutning opvejer de tilknyttede omkostninger. Virksomheder skal sammenligne de risici, de tager, med de fordele, de modtager. For eksempel kan en virksomhed beslutte at ekspandere til et internationalt marked. Dette kan indebære en enorm operationel risiko, men hvis markedet er uudnyttet, kan belønningen langt overstige risikoen.

3. Deleger Beslutninger til den Øverste Ledelse

For at træffe de klogeste beslutninger er det normalt bedst, at den øverste ledelse beslutter, hvordan man skal håndtere operationel risiko. Disse teammedlemmer har ofte den største indsigt i virksomheden og kender de overordnede strategier. Ansvaret for store beslutninger, som en international ekspansion, bør ligge hos en direktør, der kan koordinere på tværs af alle afdelinger.

4. Forudse Risiko

Et af de vigtigste aspekter ved risikostyring er at forstå, hvornår risikoen nærmer sig, og forudse dens konsekvenser. Ved at gøre det kan virksomheder proaktivt beslutte, om de vil acceptere, mindske eller undgå risikoen. Grundig research kan hjælpe med at forstå geografiske begrænsninger, politiske risici eller forskelle i forbrugerpræferencer på et nyt marked.

Sammenligning af Risikotyper

Det er vigtigt at skelne operationel risiko fra andre former for forretningsrisiko. Nedenstående tabel giver et hurtigt overblik.

Fra Risikostyring til Operationel Resiliens

Effektiv styring af operationel risiko er fundamentet for operationel resiliens – en virksomheds evne til at levere sine kritiske operationer selv under en afbrydelse. Mens risikostyring sigter mod at minimere hyppigheden af forstyrrelser, antager resiliens, at forstyrrelser vil ske. Fokus er derfor på virksomhedens respons og genopretning ved at anlægge en holistisk tilgang, der ser på alle kritiske operationer fra start til slut.

For at opbygge resiliens skal en virksomhed først identificere sine 'kritiske operationer' – de tjenester eller produkter, der, hvis de forstyrres, vil bringe virksomhedens fortsatte drift eller sikkerhed i fare. Derefter skal der fastsættes en 'tolerance for afbrydelse', som definerer den maksimale forstyrrelse, virksomheden kan modstå under forskellige plausible scenarier, før der opstår alvorlig skade.

Ofte Stillede Spørgsmål (FAQ)

Hvordan identificerer man operationel risiko?

Operationel risiko identificeres ved at vurdere, hvad der kan gå galt i de daglige aspekter af en virksomhed. Ledelsen stiller ofte spørgsmål som "hvad hvis et bestemt system bryder ned?" eller "hvad hvis en bestemt leverandør ikke kan levere varer til tiden?". Ledelsen kan finde utallige områder med operationel risiko; det er op til teamet at beslutte, hvilke aspekter der er vigtigst at afbøde, og hvilke der skal accepteres.

Hvad er de 4 T'er inden for risikostyring?

De fire T'er inden for risikostyring er:

• Tolerer (Tolerate): Ledelsen beslutter, at den er okay med en bestemt operationel risiko og træffer ingen foranstaltninger for at stoppe den.
• Afslut (Terminate): Ledelsen er ikke okay med noget risikoniveau forbundet med en bestemt aktivitet og beslutter at stoppe denne aktivitet.
• Behandl (Treat): Ledelsen iværksætter bestemte manøvrer, der mindsker den potentielle samlede risiko.
• Overfør (Transfer): Ledelsen ønsker at udføre en aktivitet, men søger en tredjepart til at påtage sig risikoen på dens vegne (f.eks. ved at købe forsikring).

Hvem er ansvarlig for at styre operationel risiko?

Den øverste ledelse er ofte ansvarlig for at styre operationel risiko ved at være bevidst om, hvilke risici der er på plads, og strategierne for at overvinde dem. Selvom ledere på lavere niveauer er mere involveret i virksomhedens daglige aspekter, bør den øverste ledelse overvåge deres aktiviteter for at sikre, at strategierne for operationel risiko bliver korrekt udført.

Konklusion

Operationel risiko er risikoen for tab som følge af mange normale aspekter af forretningsdrift. Dette inkluderer risikoen for tab forårsaget af fejlslagne processer, ufaglærte medarbejdere, utilstrækkelige systemer eller eksterne begivenheder. På mange måder kan operationel risiko ikke undgås, da den er en del af en virksomheds daglige forretningsaktivitet. På andre måder kan og bør virksomheder søge at reducere, afbøde eller bevidst acceptere operationel risiko for at sikre langsigtet stabilitet og succes.