Fire engasjerte medlemmer i IIA Norge har utarbeidet en ny veileder som gir en innføring i operasjonell risikostyring.
Etter et initiativ fra Martin Stevens, ble en arbeidsgruppe nedsatt for å utarbeide en egen veileder om operasjonell risiko. Opprinnelig var målet var å lage et vedlegg til veilederen for risikostyringsfunksjonen om operasjonell risiko, men arbeidsgruppen utviklet etter hvert et frittstående produkt som bygger videre på rammene og prinsippene som er angitt i veiledere for virksomhetsstyring og risikostyring.
Arbeidsgruppen som bestod av Martin Stevens (sekretær), Mazhar B. Ahmad (prosjektleder), Alf Olav Uldal og Roger Ølstad har sammen utarbeidet en veileder som gir brukeren en bred innføring i operasjonell risikostyring. I innføringen legger arbeidsgruppen til grunn av 4-trinnsmodell for arbeidet med operasjonell risikostyring inspirert av PDCA-modellen (Plan-Do-Check-Act).
Arbeidsgruppen håper IIA-medlemmer og andre interesserte finner dokumentet nyttig i deres arbeid med operasjonell risiko. Det må være et mål for operasjonell risiko i virksomheten. Målet kan være så enkelt som at styring av operasjonell risiko innenfor ulike områder skal understøtte virksomheten:
- Forbedring av forretningsprosesser: mål om å utforme effektive forretningsprosesser.
- Kvalitet: mål om å kontrollere forretningsprosesser fra ende-til-ende og ikke bare i egen verdikjede.
- Kompetanse: mål som sørger for at ansatte og ledere får tilstrekkelig opplæring om hvordan ulike aktiviteter skal utføres i tråd med prosedyrer og rutiner.
- Informasjonssikkerhet: mål om å utvikle robuste IT-systemer (security by design) og at det foreligger planverk for beredskap og kontinuitet.
Det må foreligge en plan for arbeidet med operasjonell risiko som på en systematisk og strukturert måte sørger for styring og kontroll på området, slik at arbeidet ikke er et resultat av tilfeldigheter.
Det har vært en utfordring å balansere omfang og nivå på en risikokategori/-gruppe som omfatter store deler av risikouniverset i de fleste virksomheter. Dette er grunnen til at operasjonell risiko må styres som en del av virksomhetens øvrige styring. Styringen av operasjonell risiko fortjener sin rettmessige plass i den totale styringen av virksomheten og sørger for å støtte, sikre og skape verdier i den løpende driften i både store og små organisasjoner, private så vel som offentlige virksomheter. Prosesser, mennesker og bruk av teknologi står sentralt i arbeidet med for å oppnå god operasjonell risikostyring!
Last ned dokumentet HER.
