In de voorgaande artikelen hebben we de concepten van risicomanagement in het algemeen bestudeerd. Het louter begrijpen van algemeen risicomanagement is echter niet voldoende voor moderne risicoprofessionals. De uitdagende omgeving van vandaag vereist dat mensen zich specialiseren in de verschillende vormen van risicomanagement. Van alle verschillende soorten risico's die algemeen worden bestudeerd, heeft de organisatie de meeste controle over operationeel risico. Daarom zullen we in de volgende artikelen proberen te begrijpen wat operationeel risico werkelijk is en hoe het de besluitvorming binnen de organisatie beïnvloedt.

Definitie van operationeel risico

Jarenlang bestond er geen eenduidige definitie van operationeel risico. Dit betekende dat alle organisatorische risico's werden ingedeeld in marktrisico's en kredietrisico's. De risico's die niet onder een van beide vielen, werden vaak ingedeeld in de categorie operationele risico's. Deze categorisering was uiteraard onjuist en heeft daarom in de loop der jaren zware kritiek gekregen. Na verloop van tijd is een nieuwe, meer acceptabele definitie voor operationele risico's ontwikkeld. Deze definitie wordt hieronder besproken.

Operationeel risico wordt gedefinieerd als het potentiële verlies dat kan optreden doordat een organisatie falende of ontoereikende processen, ontoereikende of falende systemen en/of incompetente mensen binnen de organisatie heeft. Het is belangrijk om te benadrukken dat het financiële verlies als gevolg van dit risico bestaat uit elk operationeel verlies dat kan ontstaan, evenals eventuele juridische kosten. Reputatierisico's en merkmanagement zijn categorisch uitgesloten van de definitie van operationeel risico, omdat ze binnen het risicoparadigma afzonderlijk worden beschouwd.

Drijfveren van operationeel risico

De bovenstaande definitie maakt duidelijk dat er vier belangrijke oorzaken van operationeel risico zijn. Deze zijn:

1. People: Bedrijven worden geacht zorgvuldig te zijn met wie ze aannemen. De integriteit van hun vaste medewerkers, evenals die van hun contractanten, wordt beschouwd als de verantwoordelijkheid van het bedrijf. Er moet een systeem van interne checks and balances worden opgezet om het bedrijf te helpen operationele risico's te vermijden. De Sarbanes-Oaxley Act biedt enkele richtlijnen over hoeveel risico vermeden kan worden.

2. Processen: Bedrijven moeten ervoor zorgen dat hun processen werken zoals bedoeld. Ze moeten een gedetailleerd beeld hebben van de gang van zaken in deze processen. Het is de taak van het bedrijf om experts in procesverbetering in te huren om hiaten in het proces zo snel mogelijk te herkennen en te dichten.

3. systemen: Organisaties bewaren kritieke gegevens in hun systemen. Deze gegevens kunnen eigendom zijn van derden, zoals banken, klanten, leveranciers, enzovoort. Daarom is het de verantwoordelijkheid van het bedrijf om te zorgen voor adequate gegevensbeveiliging. Bedrijven moeten veilige systemen creëren die ongeautoriseerde toegang tot deze systemen voorkomen. De systemen moeten ook zo worden ingericht dat ze beveiligd zijn tegen hackers van buitenaf.

4. Externe gebeurtenissen: Ten slotte bestaat er altijd een kans dat externe activiteiten de bedrijfsvoering verstoren. De verstoring die de COVID-19-pandemie veroorzaakt, is een goed voorbeeld van dit risico. Van bedrijven wordt verwacht dat ze gedetailleerde noodplannen hebben die hen in staat stellen hun activiteiten voort te zetten, zelfs als dergelijke gebeurtenissen zich voordoen.

Voorbeelden van operationele risico's

Veel organisaties hebben verlies geleden door operationele risico's. Meestal zijn de verliezen klein en worden ze daarom niet in de media gemeld. Hierdoor neemt de bewustwording over deze verliezen niet toe. In sommige gevallen zijn de verliezen echter aanzienlijk en worden ze toch in de media gemeld. Enkele voorbeelden van dergelijke opvallende negatieve gebeurtenissen met betrekking tot operationeel risico zijn:

Er zijn verschillende gevallen van financiële fraude geweest, zoals Enron, Worldcom, de Bernie Maddoff-zwendel en de zwendel met Raj Rajaratnam. Dit zijn allemaal uitstekende voorbeelden van hoe een groep incompetente of oneerlijke mensen hun organisaties ernstig verlies kan toebrengen. Soms is de schade zo ernstig dat deze organisaties als gevolg daarvan ophouden te bestaan! De recente zwendel met Facebook en Cambridge Analytica kan hier ook onder vallen, omdat ook hier de acties van enkele contractanten de organisatie schade toebrachten.

Er zijn talloze voorbeelden van gevallen waarin de systemen van organisaties faalden en de organisatie daardoor aanzienlijke verliezen leed. Zo zijn veel technologiebedrijven de afgelopen tijd slachtoffer geworden van cyberaanvallen. Bedrijven zoals Adobe, eBay, Equifax en zelfs LinkedIn zijn het doelwit geweest van talloze datalekken. Dit geldt ook voor veel banken en financiële instellingen. Omdat data essentieel is voor de uitvoering van bedrijfsactiviteiten binnen deze organisaties, hebben deze datalekken een aanzienlijke impact gehad op de bedrijfsvoering van deze bedrijven.

Ten slotte zijn er talloze voorbeelden van processen die door organisaties zijn ingesteld en die hebben gefaald. Zo kwamen bedrijven als Renault en Hyundai in het nieuws. Dit kwam doordat een aantal van hun interne checks and balances faalden. Hun kwaliteitsborgingsteam was niet in staat voertuigen correct te classificeren. Als gevolg hiervan werden defecte voertuigen verkocht. Het eindresultaat was dat deze defecte voertuigen moesten worden teruggeroepen en de organisatie aanzienlijke operationele schade leed, zelfs als de reputatieschade buiten beschouwing wordt gelaten.

Kortom, er is een duidelijke en beknopte definitie van operationeel risico. De drijvende krachten en oorzaken van operationeel risico zijn eveneens bekend. Deze kennis maakt het mogelijk om operationele risico's binnen de organisatie te meten en te beheersen.