Wat is operationeel risicobeheer?

Het risico van verlies als gevolg van ontoereikende of mislukte interne processen, mensen en systemen of externe gebeurtenissen.

Het is van cruciaal belang om de voordelen van operationeel risicobeheer te begrijpen voordat de implementatie wordt uitgevoerd.

  • Voorkomen en minimaliseren van financiële kosten van operationele verliezen
  • Verbetering van de betrouwbaarheid van bedrijfsactiviteiten
  • Versterking van het besluitvormingsproces waaraan risico's zijn verbonden
  • Vermindering van verliezen als gevolg van slecht geïdentificeerde risico's
  • Verbetering van de effectiviteit van de risicobeheeractiviteiten
  • Lagere compliance-kosten
  • Vroegtijdige identificatie van onwettige activiteiten
  • Vermindering van potentiële schade door toekomstige risico's

Gedetailleerd

Niet alle risico's zijn te voorzien, maar een grondige risicoanalyse kan wel potentiële risico's aan het licht brengen voor de best mogelijke resultaten.

Doelbewust

Routinematige veiligheidscontroles of -beoordelingen die tijdens de cyclus van een project worden uitgevoerd.

Tijdgevoelig

Operationeel risicobeheer van dit type is meestal minder belangrijk en wordt uitgevoerd tijdens operationele veranderingen wanneer de tijd beperkt is. De mogelijke gevolgen van het niet tijdig uitvoeren ervan kunnen de toename van niet-geïdentificeerde risico's betekenen.

  • Risico's als gevolg van catastrofale gebeurtenissen (bijv. orkanen)
  • Computerhacking of cyberaanvallen
  • Interne en externe fraude
  • Het niet naleven van intern beleid

Governance, risico's en compliance

Een reeks werkwijzen en processen, ondersteund door een risicobewuste cultuur, en het gebruik van technologieën die de besluitvorming en prestaties verbeteren door een geïntegreerd overzicht van hoe goed een organisatie het unieke samenstel van risico's beheert.

Identificatie en beoordeling van risico's

Er zijn meerdere zaken die een risico vormen voor een organisatie, zowel intern als extern. Het mogelijk grootste risico moet worden geïdentificeerd met behulp van alle hulpmiddelen waarover het bedrijf beschikt. De te identificeren risico's moeten zowel eenmalige als terugkerende risico's zijn. Beoordeel de risico's zodra ze zijn geïdentificeerd vanuit zowel een kwalitatief als kwantitatief perspectief. Denk na over de frequentie en de ernst van risico's en over de maatregelen die moeten worden genomen om risico's te voorkomen en te beperken.

Controleomgeving

Pas controles toe om de blootstelling aan risico's voor een bedrijf te beperken en de kans op risicobeperking te vergroten.

Bewaking en rapportage

Een effectief risicobeheer houdt in dat risico's voortdurend worden bewaakt en waar nodig worden gerapporteerd om de effectiviteit van een risicobeheerplan te kunnen bijhouden.

Kwantificering, meting en modellering

Organisaties kunnen de uitvoergegevens van een risicobeoordelingsmodel gebruiken als invoer in een model dat de blootstelling aan risico's meet. Kwantificatiesystemen moeten worden gevalideerd om ervoor te zorgen dat ze robuust genoeg zijn om de zekerheid te bieden dat inputs, aannames, processen en outputs nauwkeurig zijn.

Risicogerelateerde besluitvorming

Risicoframewerken moeten periodiek worden beoordeeld door de raad van bestuur. Dit helpt hen toezicht te houden op het senior management om ervoor te zorgen dat elk onderdeel van het beleid en de processen op alle beslissingsniveaus wordt geïmplementeerd. De raad van bestuur dient ook een beleid op te stellen ten aanzien van risicotolerantie waarin de soorten, niveaus en aard van operationele risico's worden beschreven die men bereid is te nemen.

Gedragsstimulering

Zorg ervoor dat werknemers de inherente risico's en incentives goed begrijpen door ervoor te zorgen dat alle materialen, activiteiten en processen worden gecontroleerd en beoordeeld op operationele risico's. Er moet een gevestigde cultuur zijn voor de ondersteuning van processen die inzicht bevorderen in operationele risico's die inherent zijn aan de strategieën en dagelijkse activiteiten van de organisatie.

De drie verdedigingslinies

Management en bestuursorganen zijn verantwoordelijk voor het bepalen van de doelstellingen van de organisatie en het opstellen van strategieën om doelstellingen te bereiken. Een deel van de doelstellingen is het beheren van risico's om de doelstellingen zo goed mogelijk te verwezenlijken met behulp van een model met drie verdedigingslinies, waarvoor actieve ondersteuning door het senior management en het bestuursorgaan van de organisatie vereist is.

  • Eerste linie: operationeel beheer
    In een functie waarin verantwoordelijkheid voor risico's wordt genomen en waarin deze worden beheerd, is operationeel beheer de eerste verdedigingslinie waarover operationele managers moeten beschikken. Dat maakt ze verantwoordelijk voor het implementeren van acties om tekortkomingen te corrigeren. Het proces omvat het identificeren van risico's, het beoordelen van risico's, het beheersen van risico's en het beperken van risico's, alsmede het begeleiden van de implementatie van intern beleid om te controleren of activiteiten consistent zijn afgestemd op doelstellingen.

  • Tweede linie: risicobeheer en compliance
    De tweede verdedigingslinie omvat doorgaans een risicobeheerfunctie om de implementatie van risicobeheerpraktijken te bewaken en operationele managers te helpen bij het definiëren van doelrisico's en bij het rapporteren van risicogerelateerde gegevens.

  • Derde linie: interne audit
    Auditors bieden zekerheden aan het senior management en het bestuursorgaan. Het doel van de audit is om informatie te verstrekken over risicobeheer, interne controles en de effectiviteit van governance. Het toepassingsgebied omvat doorgaans de efficiëntie van activiteiten, bedrijfsmiddelen, betrouwbaarheid en de integriteit van het rapportageproces en compliance.

Breid de procedures uit met tweedelijns overzicht

Operationeel risicobeheer moet zich richten op het detecteren en rapporteren van alle soorten risico's en moet worden uitgebreid naar een tweede lijn die in samenhang met de eerste lijn werkt om een effectieve veerkracht in activiteiten en processen te creëren.

Er zijn noodzakelijke tools die gebruikt moeten worden om een bedrijfsproces en de veerkracht ervan te evalueren, om bedrijfsmanagement zo nodig uit te dagen en prioriteiten te beheren.

  • Breng processen en controles in kaart: neem de tijd om processen in kaart te brengen naast de relevante risico's en controles. Neem de complexiteit en elke overdracht tijdens het proces op in de kaart en vermeld of het beheer geautomatiseerd of handmatig is. Het doel is om tijdens dit traject te bepalen wie er verantwoordelijk is voor processen en tegelijkertijd de productiviteit te maximaliseren.

  • Identificeer de benodigde technologie: zorg dat u de punten in het traject begrijpt die betrekking hebben op technologie en het type technologie dat nodig is.

  • Monitoren: houd risico's en controles in de gaten en creëer mechanismen die kunnen helpen bij het bijhouden van metingen om te letten op ongebruikelijke risiconiveaus.

  • Resources koppelen: koppel resourceplanning aan processen om inzicht te krijgen in de bijbehorende processen en de procesbehoeften. Bouw capaciteit op om te kunnen schalen op basis van de gevonden resultaten.

  • Gedrag versterken: zorg ervoor dat het juiste individuele gedrag wordt versterkt door training, stimulansen en prestatiebeheer.

  • Change management: creëer systemen voor change management om ervoor te zorgen dat het juiste talent aanwezig is. Werk met processen en capaciteit en zorg ervoor dat de juiste begeleiding wordt gegeven.
  • Feedback: stel constante feedback in om problemen te markeren, voer root-cause-analyses uit en reviseer processen terwijl de gegevens worden verzameld.

Realtime, door analyse gestuurde detectie vervangt handmatige rapportage

Vooruitgang in analysetools kan helpen bij risicobeheer. Naarmate de tijd verstrijkt komen er steeds meer zowel gestructureerde als ongestructureerde gegevens beschikbaar. Geavanceerde analysetools zijn toepasbaar op vrijwel elk gebied van risicobeheer, waaronder het opsporen van risico's, het identificeren van vals-positieven, compliance, processtoringen en menselijke risico's.

  • Realtime indicatie: in realtime testen van risicobeheer om risicomeetwaarden te vinden en te analyseren. In het ideale geval kunnen afwijkingen of ongebruikelijke activiteiten duiden op risicogebieden of gebieden die in realtime moeten worden aangepakt.
  • Gerichte tools: speciaal gerichte datatools kunnen risicoproblemen detecteren in bepaalde geïdentificeerde gebieden. Machine learning kan ook helpen met gerichte analysetools, omdat systemen voor machine learning en kunstmatige intelligentie kunnen leren risicogebieden of indicatoren van risicoactiviteiten binnen een gegevensset beter te detecteren.

Wijs talent toe aan belangrijke gebieden in gegevens en analyses

Risicomanagement vereist een speciale set vaardigheden en kennis van risico's om risicoactiviteiten op te sporen, gegevens te interpreteren en een grondige analyse uit te voeren. Managers, teams en individuen moeten risico's op nieuwe manieren aanpakken, zoals aanpassing aan processen en inzicht in hoe geavanceerde analyses steeds relevanter worden, vooral met de implementatie van machine learning en kunstmatige intelligentie.

Risico's met betrekking tot menselijke factoren moeten worden aangepakt

Mensen kunnen zeer effectief zijn voor operationeel risicobeheer, maar een deel van het risicobeheer is het identificeren en analyseren van de manier waarop menselijke fouten het operationele risicobeheer kunnen beïnvloeden en hun eigen unieke risico's kunnen vormen.

Risicomijding

Na het in eerste instantie identificeren van risico's moeten de meeste risico's idealiter worden vermeden. Risicomijding beperkt kwetsbaarheden en pakt risico's aan die als bedreigingen worden geïdentificeerd. Onderdeel van het vermijden is het bieden van de adequate training en het opstellen van het juiste beleid en de juiste procedures.

Risicoverlaging

In het meest ideale geval moeten risico's worden vermeden, maar dat is niet altijd mogelijk. Risicobeperking is het begrijpen van risico's en onzekerheden en de strategieën die worden geïmplementeerd om het risico en de onzekerheden te verlagen. Risico's worden gewoonlijk gekwantificeerd, geanalyseerd en toegewezen aan bepaalde risiconiveaus om zo prioriteiten en activiteiten voor risicoverlaging te creëren.

Risicodeling

Gedeeld risico is niet de overdracht van het risico. Risicodeling is bedoeld om de impact van onzekere gebeurtenissen of bepaalde risico's te verminderen. Taken of verantwoordelijkheden kunnen worden verdeeld over afdelingen of personen binnen een organisatie, die het risico verdeelt tussen verschillende partijen en individuele verantwoordelijkheden toewijst in bredere risicobeheerpraktijken.

Risico's behouden

Risico overdragen betekent dat iemand geen verantwoordelijkheid neemt voor risico; risicobehoud is het tegenovergestelde. Een organisatie behoudt risico's door zelf het risico en eventuele gevolgen van het risico te financieren. Risicobehoud wordt meestal gekozen nadat uit een financiële analyse is gebleken dat het minder duur is om risico's te behouden dan om risico's over te dragen aan derden.

Aan de slag met ServiceNow Governance, Risk, and Compliance

Beheer risico en veerkracht in realtime met ServiceNow.