Che cos'è la gestione del rischio operativo?

Una serie di pratiche e processi, supportati da una cultura consapevole del rischio e da tecnologie di supporto, che migliora il processo decisionale e le prestazioni attraverso una visione integrata di come un'organizzazione gestisce il suo unico insieme di rischi.

Esistono diversi fattori interni ed esterni che rappresentano un rischio per un'organizzazione. È necessario identificare il rischio più elevato possibile, utilizzando tutte le leve dell'azienda. È necessario identificare sia i rischi una tantum sia quelli ricorrenti. Valuta i rischi una volta identificati sia dal punto di vista qualitativo sia da quello quantitativo. Pensa alla frequenza del rischio, alla gravità e alle azioni da intraprendere per prevenire e mitigare il rischio.

Applica controlli per limitare l'esposizione di un'organizzazione al rischio e aumentare le possibilità di mitigazione del rischio.

Una gestione efficace del rischio significa monitorare costantemente il rischio e segnalare i rischi, ove necessario, al fine di monitorare l'efficacia di un piano di gestione del rischio.

Le organizzazioni possono utilizzare i dati di output di un modello di valutazione del rischio come input per un modello che misura l'esposizione al rischio. I sistemi di quantificazione devono essere convalidati per garantire che siano sufficientemente solidi, assicurandosi che gli input, le ipotesi, i processi e gli output siano accurati.

Il consiglio di amministrazione deve riesaminare periodicamente i framework di rischio. Ciò gli consente di supervisionare i e le responsabili senior per garantire che ogni parte delle policy e dei processi venga implementata a tutti i livelli decisionali. Il consiglio di amministrazione deve inoltre stabilire una posizione di tolleranza al rischio che articola le tipologie, i livelli e la natura dei rischi operativi che i e le responsabili sono disponibili ad assumersi.

Assicurarsi che i membri del personale comprendano bene i rischi e gli incentivi intrinseci, assicurando che tutti i materiali, le attività e i processi identifichino e valutino i rischi operativi. Deve esserci una cultura consolidata che supporti i processi che promuovano la comprensione dei rischi operativi inerenti alle strategie e alle attività quotidiane dell'organizzazione.

I e le responsabili e gli enti governativi devono definire gli obiettivi dell'organizzazione e le strategie per raggiungerli. Una parte degli obiettivi comprende la gestione del rischio per raggiungere al meglio tali obiettivi utilizzando il modello delle tre linee di difesa, che richiede il supporto attivo dei e delle responsabili senior e dell'ente governativo dell'organizzazione.

• Prima linea: gestione operativa
  La gestione operativa, una funzione che possiede e gestisce il rischio, è la prima linea di difesa che i e le responsabili operativi devono possedere. Ciò li rende responsabili dell'implementazione di azioni volte a correggere le carenze. Il processo comprende l'identificazione del rischio, la valutazione del rischio, il controllo dei rischi e la mitigazione dei rischi, orientando l'implementazione delle policy interne per verificare che le attività siano coerentemente allineate agli obiettivi.
  
  
• Seconda linea: gestione del rischio e conformità
  La seconda linea di difesa include in genere una funzione di gestione del rischio per monitorare l'implementazione delle pratiche di gestione del rischio e, nel contempo, assistere i e le responsabili operativi/e nella definizione delle esposizioni target, riportando i dati correlati al rischio.
  
  
• Terza linea: audit interno
  I revisori forniscono garanzie ai e alle responsabili senior e all'ente governativo. Lo scopo dell'audit è fornire informazioni sulla gestione del rischio, i controlli interni e l'efficacia della governance. L'ambito di applicazione di solito copre l'efficienza delle operazioni, degli asset, l'affidabilità e l'integrità del processo di creazione di report e la conformità.

La gestione del rischio operativo dovrebbe concentrarsi sull'individuazione e sulla creazione di report dei rischi di tutti i tipi e dovrebbe essere ampliata per includere una seconda linea che opera in collaborazione con la prima linea per creare una resilienza efficace nelle operazioni e nei processi.

Sono disponibili strumenti necessari per valutare un processo aziendale e la sua resilienza, stimolare i e le responsabili aziendali quanto necessario e gestire le priorità.

• Mappare i processi e i controlli: prenditi il tempo necessario per mappare i processi insieme ai rischi e ai controlli pertinenti. Includi la loro complessità nella mappa, ogni passaggio di consegne lungo il processo e se la gestione è automatizzata o manuale. L'obiettivo è quello di delineare la proprietà dei processi lungo il percorso, massimizzando nel contempo la produttività.
  
  
• Identificare la tecnologia necessaria: comprendi i punti lungo il percorso che coinvolgono la tecnologia e il tipo di tecnologia necessaria.
  
  
• Monitorare: presta attenzione ai rischi e ai controlli mentre crei meccanismi che possono aiutare a monitorare i parametri per osservare livelli di rischio insoliti.
  
  
• Collegare la risorse: collega la pianificazione delle risorse ai processi per comprendere i processi associati e le esigenze dei processi. Sviluppa la capacità di scalare in base ai risultati trovati.
  
  
• Incentivare una certa condotta: assicurati di incentivare una condotta individuale adeguata attraverso la formazione, gli incentivi e la gestione delle prestazioni.
  
  
• Gestione del cambiamento: crea sistemi di gestione del cambiamento per garantire che ci siano i talenti appropriati. Lavora con i processi e la capacità e assicurati che venga fornita la guida appropriata.

• Feedback: imposta un feedback costante per segnalare i problemi, esegui la root cause analysis e rivedi i processi man mano che i dati vengono raccolti.

I progressi negli strumenti di analisi possono contribuire alla gestione del rischio: col passare del tempo, diventano disponibili sempre più dati strutturati e non. Gli strumenti di analisi avanzati sono applicabili in quasi tutte le aree di gestione del rischio, tra cui il rilevamento del rischio, l'identificazione di falsi positivi, la conformità, il fallimento dei processi e il rischio umano.

• Indicazione in tempo reale: esegui test della gestione del rischio in tempo reale per trovare e analizzare i parametri di rischio. Idealmente, anomalie o attività insolite possono indicare aree di rischio o aree che richiedono attenzione in tempo reale.
• Strumenti mirati: strumenti di dati mirati in modo specifico possono rilevare i problemi relativi al rischio in determinate aree identificate. Il machine learning può essere utile anche con strumenti analitici mirati, poiché i sistemi di machine learning e intelligenza artificiale possono imparare a rilevare meglio le aree di rischio o gli indicatori delle attività a rischio all'interno di un set di dati.

La gestione del rischio richiede una serie speciale di competenze e comprensione del rischio per individuare l'attività a rischio, interpretare i dati e fornire un'analisi approfondita. I e le responsabili, i team e i singoli individui devono assumere un nuovo approccio al rischio, tra cui l'adattamento ai processi e la comprensione di come l'analisi avanzata stia diventando sempre più pertinente, soprattutto con l'implementazione di sistemi di machine learning e intelligenza artificiale.

Gli esseri umani possono essere molto efficaci nella gestione del rischio operativo, ma parte della gestione del rischio consiste nell'identificare e analizzare come l'errore umano può influenzare la gestione del rischio operativo e presentare i propri rischi unici.

Dopo avere inizialmente identificato i rischi, la maggior parte dei rischi dovrebbe idealmente essere evitata. La prevenzione del rischio lavora per ridurre al minimo le vulnerabilità e affrontare i rischi che sono identificati come minacce. Parte della prevenzione consiste nel fornire la formazione adeguata e nell'impostare le giuste policy e procedure.

Il rischio dovrebbe idealmente essere evitato, ma questo non è sempre possibile. La riduzione del rischio è la comprensione del rischio e delle responsabilità e delle strategie implementate per ridurre il rischio e le responsabilità. Di solito, il rischio viene quantificato e analizzato e gli vengono assegnati determinati livelli di rischio al fine di creare priorità e operazioni di riduzione del rischio.

La condivisione del rischio non consiste nel trasferimento del rischio. La condivisione del rischio ha lo scopo di ridurre l'impatto di eventi incerti o di certi rischi. Le attività o le responsabilità possono essere divise tra reparti o individui all'interno di un'organizzazione, il che distribuisce il rischio tra diverse parti e assegna responsabilità individuali in pratiche di gestione del rischio più ampie.

Trasferire il rischio significa evitare di assumersi la responsabilità del rischio mentre il mantenimento del rischio è l'opposto. Un'organizzazione mantiene il rischio autofinanziando il rischio e qualsiasi conseguenza successiva del rischio. Il mantenimento del rischio di solito viene scelto quando un'analisi finanziaria indica che è meno costoso mantenere il rischio piuttosto che trasferirlo a terzi.