In de vorige artikelWe bespraken de top-down en bottom-up benadering die is ontwikkeld om risico's te identificeren. In dit artikel presenteren we een alternatieve benadering. Deze benadering is vergelijkbaar met de bottom-up benadering doordat deze proceskaarten gebruikt om risico's te identificeren. De manier waarop ze naar de proceskaarten kijken en de methodologieën die worden gebruikt voor de identificatie van risico's, zijn echter aanzienlijk verschillend.

Blootstelling aan operationeel risico

Risicoblootstelling wordt gedefinieerd als een maatstaf voor de kans op toekomstig verlies dat kan voortvloeien uit een specifiek proces of een specifieke gebeurtenis. Blootstelling is gerelateerd aan de activiteiten zelf, terwijl risico de waarschijnlijkheid is dat zich een ongunstige gebeurtenis voordoet tijdens de uitvoering van die activiteiten.

Tijdens de natuurlijke gang van zaken nemen bedrijven doorgaans deel aan tal van activiteiten die hun blootstelling aan operationele risico's vergroten. Enkele van deze activiteiten worden hieronder genoemd:

• Bedrijven kunnen hun producten via belangrijke distributiekanalen op de markt brengen. Bedrijven zijn daardoor sterk blootgesteld aan dergelijke kanalen. Dit kan in de toekomst operationele risico's opleveren. De distributeur kan bijvoorbeeld zelf failliet gaan. Of de distributeur kan voor een ander bedrijf gaan distribueren, wat hem een ​​hogere marge oplevert. In andere gevallen kunnen geopolitieke gebeurtenissen en overheidsregels verhinderen dat het bedrijf de diensten die de distributeur levert, effectief kan benutten.

• Het bedrijf kan afhankelijk zijn van een handvol klanten om het grootste deel van zijn omzet te genereren. Dit creëert exposure bij die klanten. Het is mogelijk dat deze klanten failliet gaan of een andere leverancier zoeken. Het is ook mogelijk dat deze klanten hun onderhandelingspositie proberen te benutten en het bedrijf zeer lage tarieven aanbieden, wat de winstmarge negatief beïnvloedt.

• In veel gevallen zijn bedrijven ook afhankelijk van de diensten van bepaalde leveranciers en belangrijke derde partijen. Ook in dergelijke gevallen staat het bedrijf voor een vergelijkbare reeks uitdagingen. De leverancier kan ons bedrijf mogelijk niet tijdig bevoorraden. Bovendien kan de leverancier de prijzen verhogen en daarmee de winstmarge van het bedrijf verstoren.

• Bedrijven kunnen ook te maken krijgen met kritieke IT-systemen. De bedrijfsvoering kan grotendeels worden aangestuurd door de informatiestroom die door deze IT-systemen mogelijk wordt gemaakt. Als de leveranciers van deze systemen geen ondersteuning meer bieden, kan de overstap naar een nieuw product duur en tijdrovend zijn voor het bedrijf.

• Bovendien bestaat er altijd het operationele risico dat samenhangt met regelgeving. Amerikaanse bedrijven die met China handelen, hebben onlangs ontdekt dat hun efficiënte en geoptimaliseerde bedrijfsmodel ook volledig ontwricht en ontworteld kan raken, zonder dat zij daar zelf schuld aan hebben. Er bestaat altijd een risico dat er een nieuw regelgevingskader ontstaat dat de zakelijke belangen van het bedrijf negatief beïnvloedt.

Als u de blootstelling aan operationeel risico in een risicomatrix zou proberen in kaart te brengen, zou dit in een zone met hoge impact en lage waarschijnlijkheid worden weergegeven. Dit betekent dat de waarschijnlijkheid dat een van de bovengenoemde gebeurtenissen zich voordoet zeer laag is. Mocht het echter toch gebeuren, dan zal de impact aanzienlijk zijn.

Operationele kwetsbaarheid

Operationele kwetsbaarheden daarentegen zijn gebeurtenissen met een lage impact en een hoge frequentie. Deze gebeurtenissen komen veel vaker voor en blijven zelfs voorkomen in de dagelijkse gang van zaken binnen een bedrijf. Hun financiële impact is echter niet zo groot. Operationele kwetsbaarheden worden vaak gedefinieerd als de zwakste schakel in elk bedrijfsproces.

Gebreken of tekortkomingen in de dagelijkse processen van het bedrijf worden operationele kwetsbaarheden genoemdHet is bijvoorbeeld heel goed mogelijk dat een bedrijf defecte producten produceert of soms het verkeerde product naar de verkeerde klant verzendt. Als dit gebeurt, kan het bedrijf het product snel vervangen en de juiste bestelling aan de klant leveren. Ze kunnen zelfs gratis extra's aanbieden om de klanttevredenheid te garanderen. Daardoor zullen de kosten laag zijn. Dit soort situaties komt echter vrij vaak voor bij sommige bedrijven.

Er is altijd een kans dat het informatiesysteem van een bedrijf crasht door een hoge databelasting. Het komt regelmatig voor dat bedrijven een paar uur of zelfs een paar dagen niet meer functioneren vanwege defecten in hun informatiesystemen. De financiële impact van dergelijke storingen is relatief gering. Ze komen echter wel vaker voor.

Incompetent personeel vormt ook een operationeel risico voor het bedrijf. Er zijn bedrijven die routinematig onervaren mensen aannemen en hen vervolgens opleiden. In dergelijke gevallen is het goed mogelijk dat het serviceniveau van het bedrijf daalt vanwege de onervaren mensen die de service verlenen. Dit is een andere belangrijke operationele kwetsbaarheid die het bedrijf op de lange termijn duur kan komen te staan. Het is goed mogelijk dat elk bedrijf silo's heeft waarin een kleine groep mensen onverminderd blijft opereren zonder de juiste risicomanagementprotocollen te volgen.

Het doel van operationeel risicomanagement is om de risico's en kwetsbaarheden grondig te beoordelen. Zodra deze zijn geïdentificeerd, is het doel om de risico's te minimaliseren. Het is belangrijk om te beseffen dat risico's niet volledig kunnen worden geëlimineerd. Tegelijkertijd is het echter belangrijk om de kwetsbaarheden te elimineren. Multinationale bedrijven besteden veel tijd en geld aan het waarborgen dat hun processen voldoen aan Six Sigma en daardoor geen operationele kwetsbaarheden bevatten.