Kockázatkezelés

A kockázatkezelési metodológiák habár hasonlóan, de mégis eltérő módon értelmezik azt, hogy kockázatkezelés alatt mely kockázatokra kell gondoljunk, és azok kezelése az üzleti működés mely szintjén hatékony. Az ORCON az alapvető operációval kapcsolatos – nem pénzügyi – kockázatokra nyújt megoldást, míg azok kezelését az úgynevezett három védelmi vonal struktúra közbülső szintjén képzeli, középpontba állítva az integrált, folyamat középpontú gondolkodást (lenti ábrákon szemléltetve):

Az ORCON által kezelt kockázatok:

  • Működési kockázat
  • Üzletmenet folytonosság
  • Információ Biztonság
  • Compliance kockázat
  • Reputációs kockázat
  • Stratégiai kockázat

Az egyes kockázat típusokat bemutatva belátható, hogy azok számos átfedést mutatnak így ésszerű és hatékony eljárás azok egységes, integrált kezeléses!

A kockázatkezelés során

  1. felmérjük a folyamatokat
  2. beazonosítjuk a vizsgálandó kockázatokat (vizsgálhatjuk az ábrán szemléltetett összes kockázatot, vagy kizárólag a vállalat számára fontosat) és meghatározzuk melyek jelennek meg az adott folyamatban
  3. beértékeljük a beazonosított kockázatokat, elemezzük azok lehetséges hatását, avagy csökkentésének lehetséges módjait
  4. meghatározzuk a kockázat csökkentéséhez szükséges intézkedéseket (kinek, mit, mikorra kell elvégeznie) és nyomonkövetjük a megvalósítást.
  5. végül folyamatos monitor alatt tartjuk a bevezetett kockázatcsökkentő intézkedések gyakorlatbani működését, hatékonyságát.

Ezt követően javasolt igény szerinti gyakorisággal felülvizsgálni, hogy kockázatkezelésünk hatékony- e, jelent- e meg újabb – le nem fedett – kockázat avagy esetleg egyes korábban beazonosított kockázat immáron nem igényel további utókövetést.

Pár szóban az egyes kockázati típusokról

Működési kockázat

  • a nem megfelelően vagy rosszul működő belső folyamatokból -> tipikusan, amikor egy folyamat nem végig gondolt (felépített), vagy szabályozatlan, amiből fakadóan egyes feladatok elmaradnak (nem tudjuk kinek mit kell csinálnia), vagy éppen duplikáció történik (2 osztály ugyanazt a feladatot végzi el)
  • és nem megfelelően vagy rosszul működő rendszerekből, -> mint például IT alkalmazás leállása
  • a munkavállalók nem megfelelő feladatellátásából (belső hiba), -> tudás/ képesség hiányából eredő hibák vagy éppen mulasztások, akár belső csalás
  • vagy külső eseményekből eredő -> külső szolgáltatás leállása (pl. internet kapcsolat), veszteség kockázata. Fontos kiemelni a veszteséget! A nem megfelelően kezelt működési kockázatok hiányt, kárt okoznak a vállalatnak!

Compliance kockázat

Azon kockázat, amely jogi, hatósági szankcióval, bírsággal, vagy az üzleti jó hírnév elvesztésével fenyeget amiatt, hogy a vállalat nem felel meg a jogszabályoknak, egyéb szabályozói kötelező és nem kötelező normáknak (pl. hatósági, szakmai ajánlások, magatartási szabályok, szabványok, erkölcsi- társadalmi elvárások). E kockázat széleskörű, de minden esetben normáknak való meg nem felelésre visszavezethető. Alapvető vállalati elvárás például, hogy a dolgozók ne csaljanak, vagy szabályozói, hogy a vállalat ne kövessen el adócsalást. Esetleg a partnerek elvárása, hogy a vállalat bizonyos szabványoknak (pl. ISO tanúsítványok) megfelelően működjön. Utóbbi a compliance, mint „megfelelőség” egy másik területe, amikor is a vállalat arra törekszik, hogy megfelelőségi nyilatkozattal szavatolja a partnerek-, hatóság (vagy éppen a vezetőség) felé, hogy működése a meghatározott irányelevek mentén, tehát az elvárt irányba halad!

Stratégiai és reputációs kockázat

A Működési- és Compliance kockázatok határmezsgyéjén találhatjuk a Stratégiai és Reputációs kockázatokat. A Stratégiai kockázat abból fakad, hogy a vállalat elszakad a fő céloktól, vagy nem vizsgálja felül korábbi céljait, amit pedig a társadalmi-, gazdaság- és jogszabályi elvárások megváltozása elvárna. Előbbire utalhatnak a rövidtávú érdekek felerősödésének jelei, vagy éppen a nem megfelelő IT funkcionalitás hozzárendelése a célokhoz. Utóbbi esetén a vállalat nem igazodik a változó környezethez, ami lehet például a digitalizációs fejlődés-, vagy éppen az adó- vagy jogszabályi környezet változásából eredő kockázatok figyelmen kívül hagyása is (ez esetben nem a jogszabálynak való megfelelés a kockázat, hanem a jövőbeni jogszabályváltozásra való felkészülés-, és – ennek mentén - a stratégiai célok felülvizsgálatának hiánya).

A Reputációs kockázat a vállalat iránti bizalom elvesztésének fenyegetettsége ami azonban a vállalat jövedelmezőséget is közvetve érinti. Tehát a vállalatról kialakult kedvezőtlen partneri, vevői, hatósági, vagy akár befektetői megítélésből ered, és a vállalatról való vélekedés elvárt szintjétől való elmaradásában nyilvánulhat meg. Ilyen lehet például, amikor a vállalat alkalmazottai a vállalatot, de leginkább a vevőket megkárosítják (becsapják), ami a médián keresztül a vevők, partnerek tudomására jut, akik egy része más beszállító, eladó (stb.) mellett döntenek.