Hvordan få sving på operasjonell risikostyring?

Av Stian Sviggum , 28. april 2017

Børsen.jpg

Det er ting som tyder på at operasjonell risikostyring er i vinden for tiden. Finanstilsynet har utgitt en ny versjon av “Modul for operasjonell risiko”, og har fulgt opp med tematilsyn om operasjonell risiko og hendelseshåndtering i sju banker. I tillegg er det en ny versjon av COSO II ERM på trappene: “Enterprise Risk Management - Aligning Risk with Strategy and Performance”. Vi merker også at det kommer flere spørsmål knyttet til operasjonell risiko både internt og eksternt.

Hva er operasjonell risiko?

Det er lenge siden operasjonell risiko ble satt på kartet for finansinstitusjoner som en av risikotypene det skal beregnes kapitalkrav for (ref. Basel- og Solvens- regelverkene). Men det er også den risikotypen det er vanskeligst å få tak på. Basel definerer operasjonell risiko som “risikoen for tap som følge av utilstrekkelige eller sviktende interne prosesser eller systemer, menneskelige feil, eller eksterne hendelser”. I motsetning til de andre risikotypene det knyttes kapitalkrav til (ref. kapitalkravsforskriften), er operasjonell risiko vanskeligere å tallfeste og lider av mangel på erfaringsdata. Operasjonell risikostyring er også nærmere knyttet til hvordan finansinstitusjonene drives (styring og kontroll) enn hvilke finansielle investeringer og kreditorer man har, og er således i metodikk og fremgangsmåte nærmere beslektet helhetlig risikostyring (ERM) enn de andre risikotypene. Mange referer da også til risikostyringsstandarder som ISO 31000 og COSO II ERM i tillegg til Basel- og Solvens-regelverkene.

Fra Finanstilsynets tematilsyn om operasjonell risiko og hendelseshåndtering heter det at (ref. Meld. St. 34 (2016–2017)):
“Gjennom tilsynene er det avdekket relativt store forskjeller på området mellom foretakene, og at flertallet av de sju bankene bør videreutvikle og forbedre hendelseshåndteringen.”

Med bakgrunn i dette er det grunn til å tro at det er mange finansinstitusjoner som har noen steg igjen før de kommer på et godt modenhetsnivå i sin operasjonelle risikostyring.

Kanskje løsningen er nærmere enn du tror?

Vår erfaring er at det ikke nødvendigvis er store endringer eller investeringer som skal til for å bli bedre i styringen av OpRisk. Det handler i bunn og grunn om å ha en systematisk tilnærming til hva som kan gå galt i den operative driften, og blande dette med en god dose sunt bondevett. I tillegg må man legge til rette for en god risikokultur der man anerkjenner at det er menneskelig å gjøre feil, men at hver og en skal si ifra når man oppdager feil (eller avvik). Man skal lære av sine feil, men det fordre at man vet om dem…

Selv har jeg trøblet med operasjonell risiko mer eller mindre i ett sett siden 2010, og jeg har gått meg vekk en gang eller sju. Men hver dag med OpRisk har også gitt meg ny innsikt - det er nok et fag der man aldri slutter å lære… Mye av det jeg har lært har jeg forsøkt å oppsummert i et kurs som min gode kollega Henrik Flygind og jeg skal holde i regi av SPAMA torsdag 4. mai. Det er selvsagt bare å ta kontakt for en OpRisk-prat selv om man ikke får med seg dette kurset - jeg er av den taletrengte sorten :-)

 

Nyttige lenker

Interesseområder: Risikostyring, operasjonell risiko

Dele artikkelen:

Stian Sviggum

Stian Sviggum
Jeg heter Stian Sviggum og jeg er direktør i PwC Risk Advisory Services. Jeg er utdannet som sivilingeniør i fysikk og har jobbet 10 år som rådgiver, 2 år som prosjektleder i IT-infrastrukturprosjekter og 3 år med virksomhets- og operasjonell risikostyring i Norges Bank Investment Management. Jeg synes risikostyring er gøy, og det mest interessante er hvordan man kan benytte helhetlig risikostyring (ERM) som et nyttig styringsverktøy sammen med strategiarbeid, målstyring og øvrige styringsprosesser, samt kontrollfunksjoner. Dette er et område som ennå er relativt nytt i norsk sammenheng, men stadig flere bedrifter her hjemme driver med det (og mener noe med det). Det mange lurer på er "what's in it for me?". Hvis du lurer på det (eller andre ting relatert til risikostyring og virksomhetsstyring), ta gjerne kontakt.
[email protected]

Kommentere