job Blogg

Operasjonell risiko – den undervurderte risikoen

Å se på operasjonell risiko som en selvstendig type risiko er en diskusjon som har pågått over mange år.

Etter en nylig avholdt webinarserie av IIA Norge om helhetlig risikostyring kom det inn en tilbakemelding fra en deltager om at man synes begrepet operasjonell risiko fortsatt er utfordrende – hva er det egentlig? Kan det avgrenses, eller er det resten når man har definert andre risikoer? Er det forskjellig i ulike bransjer og virksomheter? Mazhar Ahmad som leder et prosjekt for å få laget et vedlegg om operasjonell risiko til en oppdatering av IIA Norge sin veileder for risikostyringsfunksjonen fikk forelagt dette spørsmålet og ble inspirert til å lage denne bloggen om temaet.

Operasjonell risiko er en risiko som jeg tror mange virksomheter undervurderer fordi denne er lite synlig. Jeg pleier noen ganger å kalle operasjonell risiko for en «intrinsic value».  Jeg husker at i en av de første presentasjonene jeg så fra Finanstilsynet, om sammenhengene mellom ulike risikoer og resultatregnskapet, der operasjonell risiko var oppført under driftskostnader (som kjent kan en feil gi en uforventet positiv verdi også – ikke bare tap). Det var slik de splittet opp resultatoppstillingen mot ulike risikoområder, hvor f.eks kredittrisiko ga tilsvarende en (netto)rentemargin. Utrolig nok ble det ikke vist noen korrelasjoner mellom kredittrisiko og operasjonelle risikoer knyttet til kredittrisikoprosessen – jeg tenker på feil som kan oppstå i kredittvurderinger, feil bruk av kredittscoringsmodeller eller manglende datakvalitet i AI/algoritmer, feil og ufullstendig sikkerhet i pantedokumenter, for å nevne noen eksempler. For meg var det rart at de ikke forsøkte seg heller på en kobling mot balanseoppstillingen. Det kan jo tenkes at dette hadde vært noe vanskeligere å få til, og kanskje hadde operasjonell risiko pekt mot de fleste poster?

Når det gjelder operasjonell risiko kan man spørre seg om hva kom først – høna (her selve anskaffelsen av produksjonsmiddelet) eller egget (resultatet av produksjonsmiddelet som vi selger)? Hvis vi tenker som privatperson er operasjonell risiko tross alt den risikoen som påvirker oss alle uavhengig av alder, kjønn, hudfarge, rikdom eller alderdom (sikkert mange flere faktorer). Det er den risikoen vi treffer på når vi våkner om morgenen. Tenk bare på å skli og skade seg på et vått baderomsgulv eller brann i hjemmet forårsaket av at vi hadde glemt å slå av komfyren. Og går du ut døra er risikokildene atskillige flere, bare man skal for eksempel krysse veien. Da heller jeg mot at operasjonell risiko begynner med høna.

Dårlig lederskap er kanskje også en operasjonell risiko, men det blir vanskelig å måle nøyaktig eller direkte, men dårlige beslutninger kan man se effekten av i ettertid.

Dårlige beslutninger kan være resultat av dårlig lederskap, men de kan også skyldes en ekstern hendelse (external event inkluderes oftest i definisjonen av operasjonell risiko) som alle etter hvert kjenner til og som kan skape negative konsekvenser for driften. Her har «alle» en benchmark og kan måle det på selvstendig grunnlag – nettopp fordi noen klarte seg og andre ikke. Det positive bidraget fra risikostyring i slike tilfeller må være at man oppnår å være føre vár så langt det lar seg gjøre. Med Black Swan hendelser er det vanskelig å få til, men her vil ofte den virksomheten som lykkes være den som har bygget opp en viss smidighet/agilitet som gjør det mulig å endre fastlagt kurs og det raskt, altså kan det mange definerer som «resilience» eller kultur også være viktige tiltak i styring av operasjonell risiko og forebyggende mot finansielt tap.

De lærde vil kanskje kunne strides om hvor går grensen mellom operasjonell risiko, strategisk risiko og forretningsrisiko går, men at operasjonell risiko er knyttet sammen med og er en del av alle de øvrige risikoer mener jeg det ikke kan være tvil om. En figur jeg pleier å benytte for å illustrere forskjellene og vise eventuelle korrelasjoner fordeler de ulike risikoene slik:

Figuren nedenfor illustrerer effekten på aksjeverdien av typer risikohendelser:

Kilde: The value killers revisited – Deloitte 2014

Interessant nok samsvarer en undersøkelse av norske børsnoterte selskapet utført av tidligere BI student Hermann Christensen som ble utgitt i IIA Norge sitt blad SIRK 2 – 2017, med denne internasjonale undersøkelsen ved at ekstern risiko er neststørst tapsårsak etter strategisk risiko.

Kilde: SIRK nr. 2, 2017 utgitt av IIA Norge

Konklusjon

Slik jeg vurderer det, handler operasjonell risiko handler om MTO (mennesker, teknologi og organisasjon).

Å se på operasjonell risiko som en selvstendig type risiko er en diskusjon som har pågått over mange år. F.eks har Baselkomiteen diskutert dette i minst flere 10 år nå. Først definerte de operasjonell risiko som en risiko som inngikk som en delmengde i allerede etablerte risikoer, slik som markedsrisiko og kredittrisiko i en bank. Det tok lang tid før operasjonell risiko ble «rendyrket» og fremstod som en stand-alone risiko jfr. «Revisions to the Principles for the Sound Management of Operational Risk» fra mars 2021: «…risk of loss resulting from inadequate or failed internal processes, people and systems or from external events. This definition includes legal risk, but excludes strategic and reputational risk.»

For meg virker Basel sin definisjon på operasjonell risiko som temmelig vag og begrensende. I praksis medfører dette problemer med hensyn til andre ikke-finansielle risikoer som mange liker å dele i egne kategorier slik som strategi og compliance.

Jeg foreslår derfor følgende definisjon på begrepet operasjonell risiko og tilhørende begreper:

Operasjonell risiko knyttes til mennesker, prosesser og systemer i virksomhetens utøvelse av daglig aktiviteter og kan gi opphav til positive og negative effekter. Dette inkluderer håndtering av usikkerheter, operative risikoer i driften og muligheter. Effektene kan også oppstå på grunn av eksterne hendelser og lovkrav, og har også sammenheng med de beslutninger som tas under rådende forhold og med utgangspunkt i et begrenset informasjonsgrunnlag. Effekter kan være ulemper (nedside), gevinster og/eller opplevd nytte (oppside). 

Usikkerheter er ikke kjente størrelser eller at det foreligger utilstrekkelig informasjon. Risikoer er kjente størrelser innenfor visse forventninger, mens muligheter er en uutnyttet oppside til de aktivt benyttes.

Jeg mener at en videre definisjon av operasjonelle risiko kan gi den en større synlighet i virksomheten og som kan resultere i bedre styring og mindre tap. Det blir interessant å høre hva andre mener. Hvis du har noen kommentarer til bloggen, send de til post@iia.no.