Informazioni sui cookie del presente sito Per il corretto funzionamento, i nostri siti Web richiedono alcuni cookie (richiesto). Inoltre, con il suo consenso, potrebbero essere utilizzati altri cookie per l'analisi dell'utilizzo del sito, per migliorare l'esperienza utente e per scopi pubblicitari. Per ulteriori informazioni, consultare le. Visitando il nostro sito web, accettate il trattamento delle informazioni da parte nostra come descritto nelladichiarazione sulla privacy di IBM. Per consentire una corretta navigazione, le preferenze per i cookie dell'utente verranno condivise sui domini Web IBM qui elencati.
Che cos'è il rischio operativo?
Pubblicato: 23 maggio 2024
Autore: Cole Stryker
Il rischio operativo è una sintesi delle perdite derivanti da processi, persone e sistemi interni inadeguati o non funzionanti o da eventi esterni.
È uno dei principali tipi di rischio che le aziende e le organizzazioni devono affrontare, insieme al rischio strategico, al rischio di credito e al rischio di mercato. La gestione del rischio operativo (ORM) comporta l'individuazione, la valutazione e la mitigazione di tali rischi per ridurre la probabilità e l'impatto di potenziali perdite.
Questi sono solo alcuni esempi di rischi operativi che possono colpire un'azienda se non è preparata a gestirli:
- Una piccola impresa deve affrontare una crisi dei flussi di cassa a causa dei ritardi nei pagamenti da parte dei clienti chiave, con conseguenti difficoltà nel far fronte alle spese salariali e operative.
- Una catena di fast food sta affrontando una crisi nelle pubbliche relazioni dopo che un video virale mostra le scarse condizioni igieniche in uno dei suoi ristoranti, con conseguente calo della fiducia dei clienti e delle vendite.
- Un'azienda di software deve affrontare una causa per violazione della proprietà intellettuale, con conseguenti spese legali, potenziali danni e un'interruzione nello sviluppo del prodotto.
Ogni azienda deve affrontare numerosi tipi di rischi operativi, che vanno da quelli in gran parte sotto il controllo dell'organizzazione, come il rischio di mancato rispetto delle normative, a fattori completamente esterni alla capacità previsionale dell'azienda, come il caso di un'epidemia di pandemia imprevista.
Man mano che le operazioni crescono in termini di complessità, ad esempio, coinvolgendo molti tipi di operazioni in molti sistemi e Paesi, l'esposizione dell'organizzazione al rischio aumenta, rendendo più probabile che si verifichi una sorta di errore operativo con un impatto sulla reputazione o sui profitti dell'organizzazione.
Scopra come vengono individuate le violazioni e l’impatto dell’automazione e dell’AI per la sicurezza.
I tipi di rischio coinvolti nelle varie pratiche commerciali possono essere classificati in modo ampio. Ecco 6 categories comunemente utilizzate per suddividere i diversi tipi di rischio.
Questi rischi sono correlati all'efficienza e all'efficacia dei processi interni. Ad esempio, errori o ritardi nell'elaborazione delle transazioni, procedure inadeguate per la gestione dei reclami dei clienti, interruzioni della supply chain o mancanze nei controlli interni.
Per evitare rischi di processo, le organizzazioni possono migliorare i workflow introducendo l'automazione basata su AI per ridurre le possibilità di rallentamenti, interruzioni e carenze. La documentazione dei processi può inoltre aiutare l'alta dirigenza a vedere dove è possibile apportare miglioramenti.
Questo include i rischi associati ai dipendenti, come una carenza di risorse umane o qualsiasi tipo di errore umano, frode o cattiva condotta. Ecco alcuni esempi:
- trading non autorizzato da parte dei dipendenti (frode interna)
- violazione del contratto da parte del fornitore (frode esterna)
- di commettere errori nell'immissione dati
- incidenti sul posto di lavoro
- mancato rispetto dei requisiti normativi a causa della mancanza di addestramento.
Per mitigare i rischi per le persone, le aziende adottano delle misure per coinvolgere una quantità sufficiente di persone altamente qualificate, ben addestrate ed etiche e organizzarle all'interno dell'organizzazione in modo tale da facilitare collaborazioni di successo in un ambiente caratterizzato dalla sicurezza sul posto di lavoro.
Talvolta chiamato "rischio tecnologico", questa situazione si riferisce ai rischi derivanti dall'uso di tecnologie e sistemi all'interno di un'organizzazione. Gli eventi di rischio possono includere dei bug, guasti del sistema, attacchi informatici o altri problemi di cybersecurity, violazione dei dati o infrastruttura IT inadeguata.
I sistemi possono guastarsi o essere compromessi in innumerevoli modi e spetta ai Chief Technology Officer (CTO), ai Chief Information Officer (CIO), ai Chief Data Officer (CDO) e ai responsabili IT garantire che i sistemi siano sicuri, protetti e funzionino correttamente.
Il rischio finanziario comprende il rischio di perdite finanziarie dovute al processo decisionale finanziario, come un flusso di cassa insufficiente per soddisfare le esigenze operative, investimenti inadeguati o il rischio che i partner non adempiano ai propri obblighi finanziari nei confronti dell'organizzazione.
Si tratta di un termine generico utilizzato per descrivere qualsiasi rischio aziendale derivante da iniziative strategiche. Fusioni e acquisizioni, nuove offerte di prodotti e modifiche al marchio, tutte queste decisioni aziendali comportano alcuni elementi di rischio.
Si tratta di rischi derivanti da fattori esterni al di fuori del controllo dell'organizzazione. Gli esempi includono disastri naturali che hanno un impatto sugli asset fisici, instabilità politica e interruzione dei servizi finanziari o fallimento di importanti istituti finanziari, improvvisi cambiamenti normativi o pandemie.
Gli eventi che potrebbero innescare delle interruzioni aziendali si verificano sempre al di fuori delle quattro mura dell'organizzazione e, anche se non possono sempre essere prevenuti, spetta ai responsabili delle operazioni sviluppare le modalità per anticiparli, rispondere rapidamente e mantenere la continuità aziendale.
La valutazione del rischio operativo è il processo di identificazione, analisi e valutazione dei rischi associati alle operazioni quotidiane di un'organizzazione. Il rischio operativo non sempre può essere evitato. L'obiettivo della valutazione del rischio operativo è che gli stakeholder identifichino i rischi, ne valutino il livello e trovino modi per attenuarli.
Il primo passo consiste nell'identificare i potenziali rischi all'interno dei processi operativi, dei sistemi e delle attività dell'organizzazione.
Questo comporta la raccolta di informazioni e l'esame di tutti gli elementi operativi e degli eventuali rischi che potrebbero comportare e che potrebbero ostacolare il raggiungimento degli obiettivi dell'organizzazione.
Per individuare i rischi si può ricorrere al brainstorming, ai colloqui con i dipendenti e all'esame della documentazione.
Una volta delineata la strategia, le soluzioni di AI devono essere sviluppate e implementate. Il CAIO supervisiona questo processo, per sfruttare gli strumenti giusti, le metodologie all'avanguardia di data science e analisi dei dati per lo sviluppo di algoritmi di apprendimento automatico e modelli AI al servizio dei casi d'uso più efficaci.
Una volta individuati i rischi, i responsabili delle operazioni possono analizzarli per valutarne la probabilità e il potenziale impatto sull'organizzazione.
Questo comporta la valutazione della frequenza e della gravità di ciascun rischio e la determinazione del livello accettabile di esposizione al rischio.
Per valutare i rischi è possibile utilizzare varie tecniche di analisi, come le matrici di rischio, l'analisi degli scenari e l'analisi dei dati storici.
Dopo aver analizzato i rischi, vengono valutati per assegnarne la priorità in base alla loro importanza per l'organizzazione.
I rischi sono in genere classificati in base al livello di gravità e probabilità, consentendo alle organizzazioni di concentrare le risorse sull'affrontare prima i rischi più critici.
La valutazione del rischio implica la considerazione di fattori come la tolleranza al rischio dell'organizzazione, i requisiti normativi e gli obiettivi strategici. Le organizzazioni quantificano il rischio con indicatori chiave di rischio (KRI).
Una volta valutati e classificati i rischi in base alle loro priorità, le organizzazioni sviluppano e implementano strategie di gestione del rischio per gestirlo e mitigarlo in modo efficace.
Le strategie di gestione del rischio possono includere la prevenzione, la riduzione, il trasferimento o l'accettazione del rischio. Le organizzazioni potrebbero anche implementare controlli e salvaguardie per ridurre al minimo la probabilità e l'impatto dei rischi identificati.
La valutazione del rischio operativo è un processo continuo e i rischi dovrebbero essere monitorati e rivisti regolarmente tramite audit interno per contribuire a garantire che le strategie di gestione del rischio rimangano efficaci.
Questo comporta il monitoraggio dei cambiamenti nell'ambiente operativo dell'organizzazione, la valutazione dell'efficacia dei controlli implementati e l'aggiornamento delle valutazioni dei rischi secondo necessità.
Il monitoraggio e la revisione continui consentono alle organizzazioni di adattarsi all'evoluzione dei rischi e di mantenere un framework di gestione del rischio efficace nel tempo.
Tolleranza al rischio, propensione al rischio e profilo di rischio
Conoscere le differenze tra propensione al rischio, tolleranza al rischio e profilo di rischio è fondamentale per una gestione efficace del rischio operativo.
La propensione al rischio è ampia e strategica e definisce l'approccio generale all'assunzione del rischio. La tolleranza al rischio è più specifica e stabilisce livelli di rischio accettabili per aree specifiche. Il profilo di rischio fornisce un'istantanea dell'attuale panorama dei rischi.
Si tratta del livello complessivo di rischio che un'organizzazione è disposta ad accettare nel perseguimento dei propri obiettivi strategici. Riflette l'atteggiamento dell'organizzazione nei confronti dell'assunzione di rischi e la sua capacità di sopportare il rischio di perdita senza compromettere la missione e gli obiettivi principali. È in linea con gli obiettivi e le strategie a lungo termine e può essere espressa dal basso verso l'alto.
Questo è il livello specifico di rischio che un'organizzazione è disposta ad accettare in una particolare area o per un progetto specifico. Fornisce soglie più dettagliate all'interno del più ampio framework ORM stabilito dalla propensione al rischio. La tolleranza al rischio è in genere espressa in termini più definiti e misurabili, come la perdita massima accettabile o la varianza dal budget.
Un profilo di rischio è un riepilogo completo dei tipi e dei livelli di rischio che un'organizzazione deve attualmente affrontare. Comprende una valutazione della probabilità e dell'impatto potenziale dei vari rischi e del modo in cui vengono gestiti.
Il profilo di rischio riflette l'attuale esposizione al rischio e l'efficacia della gestione del rischio, fornendo un quadro completo del panorama dei rischi. Il profilo viene aggiornato regolarmente per riflettere i cambiamenti nel contesto di rischio, i rischi emergenti e l'efficacia dei controlli dei rischi.
Una volta individuati, valutati e classificati in ordine di priorità i rischi, le organizzazioni possono lavorare per mitigarli. Questo processo si suddivide in diverse categorie. Una gestione efficace del rischio operativo implica la scelta della risposta ottimale al rischio in base alla gravità, all'immediatezza e a molti altri fattori.
- Prevenzione del rischio: identifica le attività troppo rischiose e valuta la possibilità di evitare rischi non necessari se non rientrano nell'ambito della propensione al rischio dell'organizzazione.
- Riduzione del rischio: implementare misure per ridurre la probabilità o l'impatto dei rischi. Questa attività può includere la definizione di metriche, il potenziamento dei controlli interni, il miglioramento dei processi aziendali e lo sviluppo di processi ORM.
- Trasferimento del rischio: trasferire il rischio a terzi attraverso accordi assicurativi, di outsourcing o contrattuali.
- Accettazione del rischio: accetti determinati rischi se questi rientrano nella propensione al rischio dell'organizzazione e se non è conveniente mitigarli ulteriormente. Contribuisce a garantire che esistano piani per gestire e monitorare questi rischi accettati.
I programmi di gestione del rischio operativo possono essere migliorati dall'uso del software ORM, progettato per aiutare le organizzazioni a individuare, valutare, mitigare e monitorare i rischi operativi in ogni operazione aziendale, il tutto in un unico ambiente.
I programmi ORM forniscono strumenti di autovalutazione per l'acquisizione e la documentazione di vari tipi di rischio e consentono agli utenti di registrare i controlli del rischio. Oltre all'identificazione, il software di gestione del rischio offre la possibilità di valutare i rischi utilizzando varie tecniche analitiche come le metodologie di valutazione del rischio e le matrici di rischio.
Una volta individuati e valutati i rischi, gli utenti possono utilizzare strumenti per mitigarli e controllarli e ridurne la probabilità e l'impatto. Quando inevitabilmente si verificano delle perdite operative, i processi di gestione del rischio possono aiutare i manager a tenere traccia degli incidenti e a stabilire le responsabilità e i rimedi.
Il software può inoltre aiutare nella gestione della conformità offrendo strumenti per tenere traccia di leggi, regolamenti e standard e individuare le aree in cui un'azienda potrebbe presentare un divario di conformità. Il software di gestione del rischio può inoltre integrarsi con la gestione del rischio aziendale (ERM) e altri sistemi per la condivisione dei dati di rischio e per semplificare la collaborazione tra team interfunzionali.
Prodotti correlati
IBM OpenPages è una piattaforma di governance, rischio e conformità basata sull'AI, progettata per aiutare le organizzazioni a gestire sfide e rischi di conformità normativa.
Ottieni la fiducia di poter raggiungere i tuoi obiettivi di business in un mondo di rischi dinamici, grazie al modulo IBM OpenPages Operational Risk Management.
Utilizzando operazioni scalabili e workflow intelligenti, aiutiamo i clienti a raggiungere i loro obiettivi prioritari, gestire i rischi, contrastare le frodi e i reati finanziari, nonché a soddisfare esigenze dei clienti in continua evoluzione, il tutto rispettando stringenti requisiti di supervisione.
Risorse
Il GRC (Governance, Risk and Compliance), è una strategia organizzativa per la gestione della governance, dei rischi e della conformità alle normative governative e di settore.
La gestione delle minacce è un processo utilizzato dai professionisti della cybersecurity per prevenire gli attacchi informatici, rilevare le minacce informatiche e rispondere a incidenti di sicurezza.
L’unico modo per un’efficace riduzione del rischio è che un’organizzazione utilizzi una strategia di mitigazione del rischio passo dopo passo per ordinare e gestire i rischi, assicurando che l’organizzazione disponga di un piano di continuità aziendale per eventi imprevisti.
