ในบทความก่อนหน้านี้ เราได้ศึกษาเกี่ยวกับแนวคิดการบริหารความเสี่ยงโดยทั่วไปแล้ว อย่างไรก็ตาม การเข้าใจการบริหารความเสี่ยงโดยทั่วไปเพียงอย่างเดียวนั้นไม่เพียงพอสำหรับผู้เชี่ยวชาญด้านความเสี่ยงในปัจจุบัน สภาพแวดล้อมที่ท้าทายในปัจจุบันต้องการบุคลากรที่มีความเชี่ยวชาญเฉพาะด้านในการบริหารความเสี่ยงประเภทต่างๆ ในบรรดาความเสี่ยงประเภทต่างๆ ที่ได้รับการศึกษากันโดยทั่วไป องค์กรมีอำนาจควบคุมความเสี่ยงด้านปฏิบัติการได้สูงสุด ดังนั้น ในบทความต่อไป เราจะพยายามทำความเข้าใจว่าความเสี่ยงด้านปฏิบัติการคืออะไร และส่งผลกระทบต่อการตัดสินใจภายในองค์กรอย่างไร

คำจำกัดความของความเสี่ยงด้านปฏิบัติการ

เป็นเวลาหลายปีที่ยังไม่มีนิยามของความเสี่ยงด้านปฏิบัติการที่เป็นที่ยอมรับกัน ซึ่งหมายความว่าความเสี่ยงขององค์กรทั้งหมดจะถูกจัดประเภทเป็นความเสี่ยงด้านตลาดและความเสี่ยงด้านสินเชื่อ ความเสี่ยงที่ไม่สามารถจัดประเภทเป็นความเสี่ยงด้านใดด้านหนึ่งได้มักจะถูกจัดอยู่ในประเภทความเสี่ยงด้านปฏิบัติการ เห็นได้ชัดว่าการจัดประเภทนี้ไม่ถูกต้องและถูกวิพากษ์วิจารณ์อย่างหนักตลอดหลายปีที่ผ่านมา เมื่อเวลาผ่านไป จึงมีการกำหนดนิยามความเสี่ยงด้านปฏิบัติการใหม่ที่เป็นที่ยอมรับมากขึ้น ซึ่งได้กล่าวถึงในที่นี้แล้ว

ความเสี่ยงด้านปฏิบัติการ หมายถึง ความสูญเสียที่อาจเกิดขึ้นเนื่องจากองค์กรมีกระบวนการที่ล้มเหลวหรือไม่เพียงพอ ระบบที่ล้มเหลว หรือบุคลากรที่ไร้ความสามารถ สิ่งสำคัญที่ต้องทราบคือ ความสูญเสียทางการเงินจากความเสี่ยงนี้ประกอบด้วยความสูญเสียด้านปฏิบัติการใดๆ ที่อาจเกิดขึ้น รวมถึงค่าใช้จ่ายใดๆ ที่เกี่ยวข้องกับการฟ้องร้อง ความเสี่ยงด้านชื่อเสียงและการจัดการแบรนด์ถูกแยกออกจากคำนิยามของความเสี่ยงด้านปฏิบัติการโดยสิ้นเชิง เนื่องจากได้รับการพิจารณาแยกกันภายใต้กรอบแนวคิดความเสี่ยง

ปัจจัยขับเคลื่อนความเสี่ยงด้านปฏิบัติการ

คำจำกัดความข้างต้นชี้ให้เห็นชัดเจนว่ามีสาเหตุหลักสี่ประการของความเสี่ยงด้านปฏิบัติการ ดังนี้

1. คน: บริษัทต่างๆ ควรระมัดระวังในการว่าจ้างบุคคลให้มาทำงาน ความซื่อสัตย์สุจริตของพนักงานประจำและผู้รับเหมาถือเป็นความรับผิดชอบของบริษัท จำเป็นต้องสร้างระบบการตรวจสอบและถ่วงดุลภายในเพื่อช่วยให้บริษัทหลีกเลี่ยงความเสี่ยงด้านการปฏิบัติงาน พระราชบัญญัติ Sarbanes-Oaxley ได้กำหนดแนวทางปฏิบัติเกี่ยวกับระดับความเสี่ยงที่สามารถหลีกเลี่ยงได้

2. กระบวนการ: บริษัทต่างๆ จำเป็นต้องตรวจสอบให้แน่ใจว่ากระบวนการต่างๆ ของตนทำงานตามที่ตั้งใจไว้ พวกเขาควรมีความเข้าใจอย่างละเอียดเกี่ยวกับกระบวนการต่างๆ เหล่านี้ หน้าที่ของบริษัทคือการจ้างผู้เชี่ยวชาญด้านการปรับปรุงกระบวนการเพื่อระบุและแก้ไขข้อบกพร่องในกระบวนการโดยเร็วที่สุด

3. ระบบ: องค์กรต่างๆ จัดเก็บข้อมูลสำคัญไว้ในระบบของตน ข้อมูลเหล่านี้อาจเป็นของบุคคลภายนอก เช่น ธนาคาร ลูกค้า ผู้ขาย และอื่นๆ ดังนั้น จึงเป็นหน้าที่ของบริษัทที่จะต้องดูแลให้มีการรักษาความปลอดภัยของข้อมูลที่เพียงพอ บริษัทควรสร้างระบบที่ปลอดภัยเพื่อป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตในระบบเหล่านี้ นอกจากนี้ ระบบยังควรได้รับการสร้างขึ้นในลักษณะที่ปลอดภัยจากการแฮ็กจากภายนอกอีกด้วย

4. กิจกรรมภายนอก: สุดท้ายนี้ มีความเสี่ยงอยู่เสมอที่กิจกรรมภายนอกบางอย่างจะส่งผลกระทบต่อการดำเนินงานของธุรกิจ ผลกระทบจากการระบาดใหญ่ของโควิด-19 เป็นตัวอย่างสำคัญของความเสี่ยงนี้ บริษัทต่างๆ คาดว่าจะมีแผนฉุกเฉินทางธุรกิจโดยละเอียด ซึ่งช่วยให้สามารถดำเนินธุรกิจต่อไปได้ แม้ว่าเหตุการณ์ดังกล่าวจะเกิดขึ้นก็ตาม

ตัวอย่างความเสี่ยงด้านปฏิบัติการ

หลายองค์กรต้องเผชิญกับความสูญเสียเนื่องจากความเสี่ยงด้านปฏิบัติการ ซึ่งส่วนใหญ่แล้วความสูญเสียมักเป็นจำนวนเล็กน้อย จึงไม่ได้รับการรายงานผ่านสื่อ ส่งผลให้ความตระหนักรู้เกี่ยวกับความสูญเสียเหล่านี้ไม่ได้เพิ่มขึ้น อย่างไรก็ตาม ในบางกรณี ความสูญเสียอาจมีจำนวนมากและมักถูกรายงานผ่านสื่อ ตัวอย่างเหตุการณ์ไม่พึงประสงค์ที่ได้รับความสนใจสูงซึ่งเกี่ยวข้องกับความเสี่ยงด้านปฏิบัติการมีดังนี้

มีการฉ้อโกงทางการเงินเกิดขึ้นหลายครั้ง เช่น การฉ้อโกง Enron, Worldcom, Bernie Maddoff หรือฉ้อโกงที่เกี่ยวข้องกับ Raj Rajaratnam ทั้งหมดนี้เป็นตัวอย่างชั้นยอดที่แสดงให้เห็นว่ากลุ่มคนไร้ความสามารถหรือไม่ซื่อสัตย์สามารถสร้างความสูญเสียอย่างร้ายแรงให้กับองค์กรของพวกเขาได้ บางครั้งความสูญเสียนั้นรุนแรงถึงขั้นทำให้องค์กรเหล่านี้ต้องล่มสลาย! การฉ้อโกงล่าสุดที่เกี่ยวข้องกับ Facebook และ Cambridge Analytica ก็สามารถรวมอยู่ในที่นี้ได้เช่นกัน เพราะการกระทำของผู้รับเหมาบางรายก็สร้างความเสียหายให้กับองค์กรเช่นกัน

มีตัวอย่างมากมายที่ระบบขององค์กรล้มเหลวและส่งผลให้องค์กรต้องประสบกับความสูญเสียอย่างมาก ยกตัวอย่างเช่น บริษัทเทคโนโลยีหลายแห่งตกเป็นเหยื่อของการโจมตีทางไซเบอร์ในช่วงที่ผ่านมา บริษัทอย่าง Adobe, eBay, Equifax และแม้แต่ LinkedIn ต่างก็พบว่าตนเองตกเป็นเหยื่อของการรั่วไหลของข้อมูลจำนวนมาก เช่นเดียวกับธนาคารและสถาบันการเงินหลายแห่ง เนื่องจากข้อมูลมีความสำคัญอย่างยิ่งต่อการดำเนินงานทางธุรกิจภายในองค์กร การละเมิดข้อมูลเหล่านี้จึงส่งผลกระทบอย่างมากต่อธุรกิจของบริษัทเหล่านี้

สุดท้ายนี้ มีตัวอย่างมากมายที่กระบวนการที่องค์กรกำหนดไว้ล้มเหลว ยกตัวอย่างเช่น บริษัทอย่างเรโนลต์และฮุนไดตกเป็นข่าว เนื่องจากการตรวจสอบและถ่วงดุลภายในบางบริษัทล้มเหลว ทีมประกันคุณภาพของพวกเขาไม่สามารถจำแนกประเภทรถยนต์ได้อย่างถูกต้อง ส่งผลให้รถยนต์ที่มีปัญหาถูกขายออกไป ผลสุดท้ายคือรถยนต์ที่มีปัญหาเหล่านี้ต้องถูกเรียกคืน และองค์กรต้องได้รับความเสียหายในการดำเนินงานอย่างมาก แม้ว่าจะไม่ได้รับการพิจารณาถึงความเสียหายต่อชื่อเสียงก็ตาม

ประเด็นสำคัญคือมีการนิยามความเสี่ยงด้านปฏิบัติการที่ชัดเจนและรัดกุม ปัจจัยขับเคลื่อนและสาเหตุของความเสี่ยงด้านปฏิบัติการก็เป็นที่ทราบกันดี ความรู้นี้เองที่จะช่วยให้สามารถวัดและจัดการความเสี่ยงด้านปฏิบัติการภายในองค์กรได้