ده ریسک عملیاتی مهم سال 2022 ( Top 10 operational risks 2022)
ده ریسک عملیاتی مهم سال 2022
یک نگرانی که اغلب در میان مدیران ریسک عملیاتی شنیده می شود این است که پیش بینی زمان و چگونگی بروز زیان های بزرگ، بسیار دشوار است. برای بیش از یک دهه، Risk.net سعی کرده است به مدیران ریسک عملیاتی کمک کند تا بینش جمعی خود را به عنوان لیستی از نگرانی های مشترک در طبقات گسترده ریسک، در قالب 10 ریسک عملیاتی مهم گردآوری کنند.
همانطور که در نظرات مدیران و کارشناسان ارشد ریسک عملیاتی منعکس شده است، این نظرسنجی در زمان شروع حمله ویرانگر روسیه به اوکراین انجام شده است، در شرایطی که روابط به سرعت رو به وخامت است.
1- ریسک انقطاع در فناوری اطلاعات IT disruption
همچنان که بانک ها برای مقابله با اقدامات گروه های هک مرتبط با روسیه آماده می شوند، اما مدیران ریسک عملیاتی هرگز از خطرات ناشی از زیرساختهای سازمانی خود آگاه نبودهاند. سال گذشته اولین سالگرد هک ویرانگر SolarWinds توسط روسیه بود که گمان میرود سرورهای دولت ایالات متحده و همچنین بانکها و سایر موسسات مالی را به خطر انداخته است.
2- سرقت و کلاهبرداری Theft and fraud
ریسک سرقت و کلاهبرداری در سال جاری چندین رتبه جهش کرده و به رتبه دوم رسیده است – شاید به دلیل زیان های عمده ریسک عملیاتی سال گذشته ناشی از کلاهبرداری های بزرگ خارجی و وضعیت کنونی بازارهای متلاطم و تمایل آنها به ایجاد تقلب داخلی باشد.
بانکها دلایل خوبی برای ترس از موجی از حملات باجافزاری دارند که از سوی مجرمان سایبری تحت حمایت دولت روسیه شکل گرفته است و سرقت وجوه از بانکها و مشتریان آنها را هدف قرار میدهند. در این خصوص FBI به ارتباط قوی بین تحریم های اقتصادی و افزایش سرقت سایبری اشاره می کند.
3- ریسک استعداد Talent risk
در بحبوحه مبارزه برای جذب استعدادها در وال استریت که باعث افزایش دستمزدها و پاداش ها می شود، در شرایط بازارهای متلاطم، حفظ سود، ترس از فرسودگی شغلی و نیاز به جذب و حفظ کارکنانی که تمایل شدید به جابجایی دارند، موجب شده است تا ریسک استعداد مجدداً وارد لیست 10 ریسک عملیاتی برتر در سال جاری شود . نکته حائز اهمیت این است که این ریسک، به شیوه ای انفجاری به لیست وارد شده و به رتبه سوم صعود کرده است.
در دورهای که بسیاری از بانکها و مدیران صندوقهای بزرگ جهان، مشاهده کرده اند که مدیران ارشد با تجربه ریسک خود را از دست داده اند، جای تعجب نیست که رئیس ریسک عملیاتی در یک شرکت بزرگ آمریکایی میگوید «سرمایه انسانی» اکنون یکی از بزرگترین دغدغه های کسب و کار او برای سال پیش رو است. او اضافه می کند که عدم مدیریت مناسب این ریسک می تواند شرکت ها را در زمان بحران یا کمبود گسترده کارکنان به دلیل کووید19، در معرض ریسک قرار دهد.
4: ریسک ژئوپلیتیکی Geopolitical risk
تهاجم روسیه به اوکراین، با اثرات غیرقابل پیشبینی و گستردهای که دارد، تهدید پیچیده ای برای عملیات شرکتهای مالی است. این مناقشه برای اولین بار از سال 2017، زمانی که پیروزی دونالد ترامپ در انتخابات ریاست جمهوری و تصمیم بریتانیا برای خروج از اتحادیه اروپا، مدیران ریسک را متوجه ریسک های ناشی از سیاست نمود و ریسک ژئوپلیتیک را به پنج ریسک عملیاتی برتر سوق داده است.
رویدادهای ژئوپلیتیکی، ریسک ها و خطرات مستقیم و غیرمستقیم برای شرکت های مالی ایجاد می کند. خطرات مستقیم شامل پیامدهای مالی یا فیزیکی از سوی خود بازیگران دولت است. ریسکهای غیرمستقیم نیز احتمال زیانهای ناشی از اقدامات نادرست یا تخلفات در میان هرج و مرج اقتصادی است.
در مورد تهاجم روسیه به اوکراین، نگرانی ها بر روی شکست زنجیره تامین افزایش یافته است. همچنین بر اقتصاد جهانی با مارپیچ شدن قیمت انرژی و کالا تاثیر بسزایی داشته است.
5: امنیت اطلاعات Information security
ریسک امنیت اطلاعات در لیست ده ریسک عملیاتی برتر امسال به رتبه پنجم سقوط کرده است. در لیست های مهمترین ریسک های عملیاتی سال 2020 و 2021 این ریسک رتبه دوم را به خود اختصاص داده بود. ریسک هایی از جمله افزایش حملات فیشینگ که از آسیبپذیری سایبری کارکنان خانگی در طول پاندمی کووید-19 مشهود بوده است، تا حد زیادی برای شرکتهای مالی کاهش یافته است.
با این حال پس از حمله روسیه به اوکراین ، این ریسک های مرتبط با فناوری جای خود را به نوع دیگری از تهدیدها داده است و تحریمها علیه روسیه احتمال تلاشهای تلافیجویانه هک توسط نهادهای طرفدار دولت روسیه را افزایش داده است.
6: ریسک تاب آوری Resilience risk
انعطافپذیری عملیاتی – توانایی حفظ فعالیتهای حیاتی کسب وکار در زمان بروز یک اختلال – از زمان شروع پاندمی به شدت آزمایش شده است. اکنون، در حالی که جهان با عصبانیت، جنایت آشکار در شرق اروپا را تماشا می کند، بار دیگر انعطافپذیری مورد آزمایش قرار می گیرد. حملات سایبری در مقیاس بزرگ، از جمله تهدیداتی هستند که تیم های تاب آوری را شبانه روز بیدار نگه داشته است. مدیر ریسک یک شرکت فعال در حوزه سرمایه گذاری در ایالات متحده می گوید: اوکراین، ریسک انعطاف پذیری را متبلور کرده است.
7: ریسک شخص ثالث Third-party risk
بانک های بین المللی، همچون چاقوی همه کاره ارتش سوئیس هستند که خدمات متفاوتی را ارائه می دهند. اما حتی بزرگترین آنها نیز برای ارائه برخی از خدمات خود به کمک شرکتهای بیرونی تکیه می کنند. در واقع، هر چه بانک بزرگتر باشد، تمایل بیشتری به داشتن روابط با اشخاص ثالث دارد و اشخاص ثالث ریسک هایی را به همراه دارند. قانونگذاران اتحادیه اروپا بر اهمیت مدیریت ریسک اشخاص ثالث، برای انعطافپذیری عملیات شرکت ها تأکید کردهاند. آنها خاطرنشان میکنند که وقتی یک شرکت تعداد زیادی از وظایف عملیاتی خود را برون سپاری کرده است، نشان دادن مدیریت ریسک کامل و مناسب، سخت تر خواهد بود.
همچنین دستورالعملهای جدید پیشنهاد شده توسط ناظران احتیاطی ایالات متحده به وضوح نشان میدهد که اگرچه بانکها میتوانند مدیریت عملیات خود را برون سپاری کنند، اما نمیتوانند ریسکها را برون سپاری کنند. در مقابل، آنها باید شیوه های صحیح مدیریت ریسک را برای نظارت بر عملکرد ارائه دهندگان خارجی ایجاد کنند. این شیوه ها نظارتی می بایست با اهمیت خدمات ارائه شده توسط اشخاص ثالث، متناسب باشد.
8: ریسک رفتاری Conduct risk
ریسک رفتاری، در لیست امسال چند رتبه سقوط کرده است. این سقوط شاید به دلیل عدم وجود جریمه های بزرگی است که در ذهن پاسخ دهندگان شکل گرفته است. زیانهای ریسک عملیاتی گزارش شده ناشی از شکستهای مرتبط با مشتریان، محصولات و شیوههای تجاری در سال گذشته به نصف کاهش یافته است.
دوره های نابسامانی ها و تحولات بزرگ اقتصادی، زمینه بروز و شکل گیری سوءرفتار است- مواردی که آشکار شدن آنها همیشه زمان میبرد، قبل از اینکه بتوان عاملان آن را محاکمه کرد.
یکی از مدیران با تجربه ریسک عملیاتی میگوید: «ما دوره پاندمی را داشته ایم: دو سال افرادی را داشته ایم که در خانه کار میکردند، و خدا میداند چه کاری انجام میداده اند- کارهایی را انجام میدادند که ممکن بود قادر به انجام آن در یک دفتر با طرح باز نبودند. بنابراین، من فکر می کنم پتانسیلی وجود دارد که رویدادهای مخاطره آمیز مدتی طول بکشد تا آشکار شوند. به عنوان مثال، اگر فروشی به طور اشتباه رخ داده باشد، بعید است که در 12 ماه آینده مشخص گردد. اگر چیز بزرگی باشد، دو یا سه سال دیگر شاهد آن خواهیم بود.»
9: ریسک آب و هوا Climate risk
ریسک آب و هوا در نظرسنجی سالانه برای اولین بار در سال جاری، مشاهده گردید، چراکه قانون گزاران و شرکت های مالی با طیف دلهره آوری از زیانهای احتمالی ناشی از پیامدهای فیزیکی و اقتصادی تغییرات آب و هوایی، دست و پنجه نرم می کنند. هرچند که ممکن است اقداماتی قانونی سالها به طول بیانجامد اما افراد بسیاری، به عملکرد بانکها و صندوق های بیمه در این خصوص خیره شده اند.
یکی از مدیران ریسک عملیاتی، تهدید دعوی حقوقی آب و هوایی از سوی سرمایه گذاران و سایر ذینفعان در مورد ادعاهای مربوط به حفظ محیط زیست را برای شرکتش در 12 ماه آینده مهم ارزیابی می کند.
سنگ بنای اولین خط دفاعی بانک ها در برابر چنین زیان هایی، یک چارچوب کنترلی قوی خواهد بود. گلدمن ساکس، در میان سایر بانکها، در تلاش است تا کنترلهای ریسک آب و هوایی را از طریق مدلسازی ارزیابی یکپارچه و تحلیلهای سناریو، در چارچوب های خود وارد کند. هنگامی که تأثیرات بالقوه ارزیابی میشوند – فرآیندی در حال تحول که شرکتهای بیشتری در معرض افشای اطلاعات قرار میگیرند – تیمهای ریسک بانک برای حوزههای کسب وکار کلیدی مانند وامدهی و تامین مالی، حدود تحملهایی (tolerances) را تعیین میکنند.
10: ریسک نظارتی Regulatory risk
ریسک نظارتی – خطر عدم انطباق ناشی از تغییرات در مجموعه قوانین و مقررات نظارتی – یکی از ریسک های همیشگی این لیست است. احتمال متحمل شدن جریمه های سنگین بدون ذکر منابع مالی مورد نیاز به دلیل عدم رعایت قوانین ومقررات، تقریباً در هر مکالمه با مدیران ریسک عملیاتی به چشم می خورد.
بانکها از ناهماهنگی واحد نظارتی اتحادیه اروپا در بسیاری موارد- از ناظران بانکهای مرکزی تا اجرای بازل 3- شکایت می کنند، چرا که این امر خطر عدم انطباق را افزایش میدهد و یک محیط عملیاتی بیش از حد پیچیده و پرهزینه را ایجاد میکند.