Большинство компаний сначала думают о риске в драматичных категориях: потеря выручки, юридические проблемы, падение рынка, крупный конкурент, сорванный цикл привлечения финансирования. Операционный риск выглядит менее театрально, и именно поэтому он так опасен. Он находится внутри повседневной работы: в том, как люди соблюдают процедуры, как отказывают системы, как ведут себя поставщики, как пропускаются контрольные шаги и как мелкие слабости накапливаются до тех пор, пока один обычный вторник не превращается в очень дорогой урок.
В формальных рамках управления рисками операционный риск обычно определяется как риск потерь, вызванных сбоями или недостаточностью процедур, людей, систем или внешних событий. Базельский комитет использует это определение в банковской системе регулирования, а Управление контролёра денежного обращения США использует очень похожее определение, добавляя человеческую ошибку, недобросовестное поведение и неблагоприятные внешние события. Иными словами, операционный риск — это не какая-то экзотическая побочная тема. Это беспорядочный ежедневный механизм того, как бизнес на самом деле функционирует.
Что на самом деле означает операционный риск
Операционный риск — это ситуация, когда бизнес ломается не потому, что стратегия была неверной, а потому, что исполнение оказалось слабее, чем все предполагали.
Платёж отправлен на неправильный счёт.
Критический шаг согласования пропущен.
Ключевой сотрудник держит весь порядок работы у себя в голове.
Переход на новую систему запущен без надлежащего тестирования.
Сбой у поставщика останавливает подключение клиентов.
Предупреждение о мошенничестве проигнорировано, потому что очередь задач уже слишком перегружена.
Отчёт подан поздно, потому что три команды думали, что за него отвечает кто-то другой.
Ни один из этих сбоев обычно не начинается как грандиозная катастрофа. В этом и заключается ловушка. Операционный риск не всегда приходит в плаще злодея. Чаще он выглядит как мелкий обходной путь, поспешное сокращение процедуры или процесс, который никто не успел исправить.
Почему компании игнорируют операционный риск, пока что-то не взорвётся
Первая причина проста: операционный риск редко сосредоточен в одном ярком месте. Он распределён по отделам, инструментам, повседневным действиям, передаче задач, согласованиям, правам доступа, таблицам, поставщикам и человеческим привычкам. Базельский комитет прямо указывает, что операционный риск присущ всем продуктам, видам деятельности, процессам и системам. Это делает его проблемой всех, а в плохо управляемых компаниях такая проблема быстро становится проблемой ничьей.
Вторая причина психологическая. Выручка видна. Цели продаж видны. Маркетинговые кампании видны. Риск, спрятанный в сверках, разрешениях, журналах исключений, резервных процедурах и управлении изменениями, не выглядит особенно привлекательным. Он плохо смотрится на совещаниях. Никто не встаёт и не говорит: «Взгляните на наш великолепный процесс пересмотра прав доступа». Поэтому бизнес продолжает вознаграждать рост и скорость, а контрольную работу воспринимает как бюрократию, а не как инфраструктуру.
Третья причина в том, что многие операционные слабости не причиняют боль сразу. Они месяцами или годами существуют в полусломанном состоянии. Команды приспосабливаются. Люди импровизируют. Руководители называют это гибкостью. Затем происходит первое серьёзное происшествие и показывает, что бизнес держался на привычке, доброй воле и кофеиновых суевериях.
Четыре основных источника операционного риска
Полезный способ понять операционный риск — посмотреть на четыре классических источника внутри самого определения.
1. Люди
Люди создают ценность, и люди же создают удивительно изобретательные способы сбоев. Человеческая ошибка, слабое обучение, неясная ответственность, недобросовестное поведение, слабый надзор и зависимость от ключевых сотрудников — всё это входит в операционный риск. Определение Управления контролёра денежного обращения США прямо включает человеческие ошибки и недобросовестное поведение.
Именно поэтому бизнес страдает не только от «плохих сотрудников», но и от перегруженных сотрудников, плохо обученных сотрудников и сотрудников, вынужденных работать внутри плохо устроенных систем. Компания, которая зависит от героических отдельных людей вместо повторяемых процедур, часто находится в одной отставке от хаоса.
2. Процессы
Слабый процесс — это фабрика риска, замаскированная под рутину. Если согласования неясны, контрольные действия выполняются вручную, пути передачи проблемы наверх расплывчаты, сверки задерживаются или реакция на происшествия строится на импровизации, компания уже создаёт условия для сбоя.
Процессный риск скучен ровно до того момента, пока не становится дорогим. Таково его древнее проклятие.
3. Системы
Технологические проблемы находятся в центре современного операционного риска. Сбои, плохая связка систем, ошибки управления доступом, некачественные потоки данных, слабые журналы действий, нарушенное управление изменениями и киберсобытия напрямую бьют по работе компании. В финансовом секторе Европейского союза этот подход закрепляет DORA, требуя от организаций выявлять, управлять, фиксировать, классифицировать и сообщать о происшествиях, связанных с информационно-коммуникационными технологиями. Это регуляторный способ сказать: системный риск больше не является побочной задачей.
4. Внешние события
Операционный риск не ограничивается внутренними ошибками. Определение Базельского комитета включает внешние события, и Управление контролёра денежного обращения США также указывает на неблагоприятные внешние события. Это может включать сбой поставщика, кибератаки, попытки мошенничества, природные бедствия, гражданские беспорядки или другие нарушения, которые бьют по бизнесу извне, но всё равно выявляют слабую внутреннюю устойчивость.
Почему первое происшествие меняет всё
До первого крупного происшествия операционный риск часто кажется теоретическим. После происшествия он становится болезненно конкретным.
Внезапно компания хочет знать:
Кто отвечал за процесс?
Почему не было резервного варианта?
Почему предупреждение осталось без ответа?
Почему права доступа никогда не пересматривались?
Почему поставщика никогда не оценили должным образом?
Почему никто не задокументировал обходной порядок, от которого все зависели?
Почему происшествие передавалось через панику в Slack, а не через настоящий план реагирования?
Именно поэтому управление происшествиями становится таким жестоким учителем. Оно превращает предположения в доказательства. Бизнес может думать, что у него есть контрольные механизмы, но реальное происшествие показывает, актуальны ли эти механизмы, проверены ли они, понятны ли людям и действительно ли используются.
В регулируемых секторах к этому относятся очень серьёзно. Правила Европейского союза в рамках DORA требуют от организаций классифицировать происшествия в области информационно-коммуникационных технологий по их влиянию и уведомлять компетентные органы о крупных происшествиях. Это отражает более широкую истину, полезную далеко за пределами финансов: зрелые организации не ждут хаоса, чтобы потом импровизировать философию. Они строят механизмы выявления, передачи проблемы наверх и реагирования до того, как плохой день наступит.
Частые признаки того, что операционный риск недооценивается
Обычно не нужна драматическая поломка, чтобы понять, что что-то идёт не так. Предупреждающие признаки появляются раньше.
Одни и те же ошибки повторяются, но их считают отдельными случайностями.
Слишком много ключевых действий зависит от одного человека.
Нет настоящего журнала происшествий или анализа первопричин.
Поставщики критически важны, но надзор за ними поверхностный.
Права доступа накапливаются, и никто их должным образом не пересматривает.
Политики существуют, но реальная практика держится на сокращённых путях.
Контрольные действия выполняются вручную, непоследовательно и легко обходятся.
Команды двигаются быстро, но никто не может ясно объяснить, как отслеживается риск.
Компания в таком состоянии всё ещё может выглядеть продуктивной снаружи. В этом часть шутки. Иногда «всё работает» на самом деле означает «пока ещё ничего не сломалось достаточно сильно».
Как снизить операционный риск до происшествия
Ответ не в том, чтобы построить империю бумажной работы. Ответ в том, чтобы сделать деятельность компании более понятной, контролируемой и устойчивой.
Начните с определения наиболее важных бизнес-процессов: платежи, подключение клиентов, клиентская поддержка, управление безопасностью и правами доступа, отчётность, управление изменениями, сверки, зависимость от поставщиков и реагирование на происшествия. Затем задайте несколько немодных, но полезных вопросов.
Где это может сломаться?
Кто за это отвечает?
Какой контроль существует?
Как мы узнаем, что что-то пошло не так?
Что произойдёт, если ключевой человек отсутствует?
Что произойдёт, если система откажет?
Что произойдёт, если поставщик подведёт?
Как быстро мы сможем передать проблему наверх и восстановить работу?
Принципы надлежащего управления Базельского комитета подчёркивают, что операционный риск должен выявляться, оцениваться, отслеживаться и контролироваться или снижаться через общефирменную систему, утверждённую и пересматриваемую руководством и советом директоров. Это звучит формально, но базовая логика практична для компаний любого размера: если вы не можете описать процесс, назначить ответственного, обнаружить сбой и последовательно отреагировать, вы не контролируете риск. Риск контролирует вас.
Операционный риск — это не только «банковское» понятие
Формальные определения часто приходят от банковских регуляторов, потому что финансовые организации вынуждены описывать риски точнее, чем средняя молодая компания, работающая на ощущениях и панелях показателей. Но сама идея применяется гораздо шире.
Компания, предоставляющая программное обеспечение как услугу, имеет операционный риск в доступности сервиса, внедрении обновлений, управлении доступом, клиентской поддержке и зависимости от поставщиков.
Интернет-магазин имеет его в платежах, обновлении складских остатков, проверках против мошенничества, возвратах и передаче задач в логистике.
Консалтинговая фирма имеет его в качестве исполнения, работе с документами, доступе к данным, сроках и зависимости от ключевых сотрудников.
Малый бизнес имеет его везде, где компания полагается на память, скорость и добрые намерения вместо повторяемых контрольных действий.
Операционный риск — это просто риск того, что бизнес не сможет выполнять свои ежедневные функции достаточно надёжно, чтобы защищать клиентов, деньги, данные, свою деятельность и самого себя.
Заключение
Операционный риск легко игнорировать, потому что он редко заявляет о себе стратегическим языком. Он живёт внутри повседневного исполнения: в людях, процессах, системах и внешних зависимостях. Формальные рамки определяют его ясно, но многие компании всё ещё воспринимают его как фоновый шум, пока первое реальное происшествие не покажет, насколько хрупкой на самом деле была их операционная модель.
Именно поэтому умные компании не ждут, пока катастрофа станет их консультантом. Они описывают критические процессы, назначают ответственных, строят контрольные механизмы, проверяют пути передачи проблемы наверх и анализируют происшествия до того, как они становятся угрозой существованию бизнеса. Потому что, как только первое серьёзное происшествие случается, операционный риск перестаёт звучать как теория и начинает звучать как счета, жалобы клиентов, юридическая уязвимость и глубоко прискорбная общая встреча всей компании.
FAQ
Что такое операционный риск?
Операционный риск — это риск потерь, возникающих из-за недостаточных или отказавших процессов, людей, систем или внешних событий. Базельский комитет и Управление контролёра денежного обращения США используют близкие определения, при этом Управление также подчёркивает человеческую ошибку и недобросовестное поведение.
Почему операционный риск часто игнорируют?
Потому что он распределён по повседневной деятельности, редко имеет одного очевидного владельца и часто остаётся скрытым до тех пор, пока реальное происшествие не выявит слабое место. Базельский комитет отмечает, что операционный риск присущ продуктам, видам деятельности, процессам и системам.
Какие есть примеры операционного риска?
Примеры включают ошибки в платежах, сбои систем, мошенничество, проваленные согласования, ошибки доступа к данным, слабую работу поставщиков, плохое управление изменениями и сбои при передаче происшествий наверх. Они соответствуют стандартной структуре «люди — процессы — системы — внешние события» в официальных определениях.
Операционный риск важен только для банков?
Нет. Формальные определения широко используются в банковском регулировании, но само понятие применимо к любому бизнесу, который зависит от людей, систем, процессов и третьих сторон для надёжной работы.
Как компания может снизить операционный риск?
Путём определения критических процессов, назначения ответственных, внедрения контрольных действий, улучшения наблюдения, документирования путей передачи проблемы наверх и создания способности реагировать на происшествия. В регулируемых секторах такие рамки, как DORA, прямо закрепляют эти ожидания для рисков, связанных с информационно-коммуникационными технологиями, и отчётности о происшествиях.
Держите ли вы операционный риск под контролем?
