ریسک عملیاتی: تعریف و محرک ها

در چند مقاله قبلی به طور کلی به بررسی مفاهیم مدیریت ریسک پرداختیم. با این حال، صرفاً درک مدیریت ریسک عمومی برای متخصصان ریسک امروزی کافی نیست. محیط چالش برانگیز امروزی افراد را ملزم به تخصص در انواع مختلف مدیریت ریسک می کند. از بین انواع مختلف ریسک هایی که معمولاً مورد مطالعه قرار می گیرند، سازمان حداکثر کنترل را بر ریسک عملیاتی دارد. از این رو، در چند مقاله بعدی، ما سعی خواهیم کرد درک کنیم که ریسک عملیاتی واقعا چیست و چگونه بر تصمیم گیری در سازمان تأثیر می گذارد.

تعریف ریسک عملیاتی

برای سالیان متمادی، هیچ تعریف مورد توافقی از ریسک عملیاتی وجود نداشت. این بدان معنی است که تمام ریسک های سازمانی به ریسک های بازار و ریسک اعتباری طبقه بندی می شوند. ریسک‌هایی که نمی‌توان آن‌ها را به‌عنوان یکی از آنها طبقه‌بندی کرد، اغلب در دسته ریسک‌های عملیاتی قرار می‌گرفت. بدیهی است که این دسته بندی اشتباه بوده و از این رو در طول این سال ها با انتقادات شدیدی مواجه شده است. با گذشت زمان، تعریف قابل قبول تری برای ریسک های عملیاتی به دست آمد. در زیر به همین موضوع اشاره شده است.

ریسک عملیاتی به عنوان زیان بالقوه ای تعریف می شود که می تواند به دلیل شکست یا ناکافی بودن فرآیندهای سازمان، سیستم های ناکافی یا شکست خورده و/یا افراد ناتوان در سازمان رخ دهد. ذکر این نکته حائز اهمیت است که زیان مالی ناشی از خطر شامل هر گونه زیان عملیاتی است که ممکن است ایجاد شود و همچنین هر گونه هزینه ای که مربوط به دعوی قضایی باشد. ریسک های شهرت و مدیریت برند به طور قطعی از تعریف ریسک عملیاتی مستثنی شده اند زیرا به طور جداگانه در پارادایم ریسک در نظر گرفته می شوند.

محرک های ریسک عملیاتی

تعریف فوق روشن می کند که چهار دلیل عمده برای ریسک عملیاتی وجود دارد. آنها به شرح زیر است:

1. افراد: شرکت ها باید مراقب باشند که چه کسی را استخدام می کنند تا برای آنها کار کند. صداقت کارکنان دائمی آنها و همچنین پیمانکاران آنها بر عهده شرکت تلقی می شود. برای کمک به شرکت در اجتناب از ریسک های عملیاتی، باید یک سیستم کنترل و تعادل داخلی ایجاد شود. قانون Sarbanes Oaxley دستورالعمل هایی را در مورد اینکه چقدر می توان از خطر اجتناب کرد ارائه می دهد. 

    

2. فرآیندها: شرکت ها موظفند اطمینان حاصل کنند که فرآیندهای آنها همانطور که در نظر گرفته شده است کار می کند. آنها باید ایده دقیقی در مورد جریان رویدادها در این فرآیندها داشته باشند. این وظیفه شرکت است که کارشناسان بهبود فرآیند را استخدام کند تا شکاف‌های موجود در فرآیند را در اولین فرصت شناسایی و برطرف کنند. 

    

3. سیستم ها: سازمان ها داده های حیاتی را در سیستم های خود نگهداری می کنند. این داده ها ممکن است متعلق به اشخاص ثالث مانند بانک ها، مشتریان، فروشندگان و غیره باشد. از این رو، این مسئولیت این شرکت است که اطمینان حاصل کند که امنیت داده های کافی وجود دارد. شرکت ها باید سیستم های امنی ایجاد کنند که از دسترسی غیرمجاز به داده ها در این سیستم ها جلوگیری کند. همچنین سیستم ها باید به گونه ای ایجاد شوند که از هک خارجی در امان باشند. 

    

4. رویدادهای خارجی: در نهایت، همیشه این احتمال وجود دارد که برخی از فعالیت های خارجی باعث اختلال در عملیات یک تجارت شود. اختلال ناشی از همه گیری COVID-19 نمونه بارز این خطر است. انتظار می رود شرکت ها برنامه های اضطراری تجاری دقیقی داشته باشند که به آنها اجازه می دهد حتی در صورت وقوع چنین رویدادهایی به فعالیت خود ادامه دهند. 

نمونه هایی از ریسک های عملیاتی

بسیاری از سازمان ها به دلیل خطرات عملیاتی با ضرر مواجه شده اند. بیشتر اوقات ضرر و زیان اندک است. از این رو، آنها در رسانه ها گزارش نمی شوند. در نتیجه آگاهی نسبت به این ضررها افزایش نمی یابد. با این حال، در برخی موارد، ضرر و زیان بسیار قابل توجه است و در نهایت در رسانه ها گزارش می شود. چند نمونه از این حوادث نامطلوب با مشخصات بالا مرتبط با ریسک عملیاتی به شرح زیر است:

چندین کلاهبرداری مالی مانند انرون، ورلدکام، کلاهبرداری برنی مداف، یا کلاهبرداری مربوط به راج راجاراتنام وجود داشته است. همه اینها نمونه های برجسته ای از این هستند که چگونه گروهی از افراد نالایق یا ناصادق می توانند زیان سنگینی را به سازمان خود وارد کنند. گاهی ضرر آنقدر شدید است که در نتیجه این سازمان ها دیگر وجود ندارند! کلاهبرداری اخیر مربوط به فیس بوک و کمبریج آنالیتیکا را نیز می توان در اینجا گنجاند زیرا در اینجا نیز اقدامات برخی از پیمانکاران منجر به آسیب رساندن به سازمان شد.

مثال‌های زیادی وجود دارد که در آن سیستم‌های سازمان‌ها شکست خورده‌اند و در نتیجه سازمان متحمل زیان‌های قابل توجهی شده است. به عنوان مثال، بسیاری از شرکت های فناوری در گذشته اخیر قربانی حملات سایبری شده اند. شرکت هایی مانند Adobe، eBay، Equifax و حتی LinkedIn خود را در مرکز بسیاری از اطلاعات درز کرده اند. این موضوع در مورد بسیاری از بانک ها و موسسات مالی نیز وجود دارد. از آنجایی که داده ها برای عملکرد فعالیت های تجاری در این سازمان حیاتی است، این نقض داده ها به طور قابل توجهی بر تجارت این شرکت ها تأثیر گذاشته است.

در نهایت، مثال‌های زیادی وجود دارد که در آن فرآیندهای تعیین‌شده توسط سازمان‌ها شکست خورده‌اند. به عنوان مثال، شرکت هایی مانند رنو و هیوندای در اخبار بوده اند. این به این دلیل است که برخی از بررسی ها و تعادل های داخلی آنها شکست خورده است. تیم تضمین کیفیت آنها قادر به طبقه بندی صحیح وسایل نقلیه نبودند. در نتیجه خودروهای معیوب فروخته شدند. نتیجه نهایی این بود که این خودروهای معیوب باید فراخوان می شدند و سازمان باید آسیب عملیاتی قابل توجهی را متحمل می شد حتی اگر آسیب شهرت در نظر گرفته نشود.

نکته اصلی این است که تعریف واضح و مختصری از ریسک عملیاتی وجود دارد. محرک ها و علل ریسک عملیاتی نیز به خوبی شناخته شده اند. این دانش است که امکان اندازه گیری و مدیریت ریسک های عملیاتی را در سازمان فراهم می کند.