‹ Tilbake til artikler
Det er ting som tyder på at operasjonell risikostyring er i vinden for tiden. Finanstilsynet har utgitt en ny versjon av “Modul for operasjonell risiko”, og har fulgt opp med tematilsyn om operasjonell risiko og hendelseshåndtering i sju banker. I tillegg er det en ny versjon av COSO II ERM på trappene: “Enterprise Risk Management - Aligning Risk with Strategy and Performance”. Vi merker også at det kommer flere spørsmål knyttet til operasjonell risiko både internt og eksternt.
Hva er operasjonell risiko?
Det er lenge siden operasjonell risiko ble satt på kartet for finansinstitusjoner som en av risikotypene det skal beregnes kapitalkrav for (ref. Basel- og Solvens- regelverkene). Men det er også den risikotypen det er vanskeligst å få tak på. Basel definerer operasjonell risiko som “risikoen for tap som følge av utilstrekkelige eller sviktende interne prosesser eller systemer, menneskelige feil, eller eksterne hendelser”. I motsetning til de andre risikotypene det knyttes kapitalkrav til (ref. kapitalkravsforskriften), er operasjonell risiko vanskeligere å tallfeste og lider av mangel på erfaringsdata. Operasjonell risikostyring er også nærmere knyttet til hvordan finansinstitusjonene drives (styring og kontroll) enn hvilke finansielle investeringer og kreditorer man har, og er således i metodikk og fremgangsmåte nærmere beslektet helhetlig risikostyring (ERM) enn de andre risikotypene. Mange referer da også til risikostyringsstandarder som ISO 31000 og COSO II ERM i tillegg til Basel- og Solvens-regelverkene.
Fra Finanstilsynets tematilsyn om operasjonell risiko og hendelseshåndtering heter det at (ref. Meld. St. 34 (2016–2017)):
“Gjennom tilsynene er det avdekket relativt store forskjeller på området mellom foretakene, og at flertallet av de sju bankene bør videreutvikle og forbedre hendelseshåndteringen.”
Med bakgrunn i dette er det grunn til å tro at det er mange finansinstitusjoner som har noen steg igjen før de kommer på et godt modenhetsnivå i sin operasjonelle risikostyring.
Kanskje løsningen er nærmere enn du tror?
Vår erfaring er at det ikke nødvendigvis er store endringer eller investeringer som skal til for å bli bedre i styringen av OpRisk. Det handler i bunn og grunn om å ha en systematisk tilnærming til hva som kan gå galt i den operative driften, og blande dette med en god dose sunt bondevett. I tillegg må man legge til rette for en god risikokultur der man anerkjenner at det er menneskelig å gjøre feil, men at hver og en skal si ifra når man oppdager feil (eller avvik). Man skal lære av sine feil, men det fordre at man vet om dem…
Selv har jeg trøblet med operasjonell risiko mer eller mindre i ett sett siden 2010, og jeg har gått meg vekk en gang eller sju. Men hver dag med OpRisk har også gitt meg ny innsikt - det er nok et fag der man aldri slutter å lære… Mye av det jeg har lært har jeg forsøkt å oppsummert i et kurs som min gode kollega Henrik Flygind og jeg skal holde i regi av SPAMA torsdag 4. mai. Det er selvsagt bare å ta kontakt for en OpRisk-prat selv om man ikke får med seg dette kurset - jeg er av den taletrengte sorten :-)
Nyttige lenker
Legg igjen en kommentar