Ryzyko operacyjne i wizerunku - ryzyko straty wynikającej z niedostatecznej efektywności działań ludzi, systemów, procesów zachodzących w podmiocie oraz czynników zewnętrznych - wybór subiektywny:
1. Ryzyko defraudacji i nadużyć będących efektem celowego działania pracowników, współpracowników lub osób trzecich – często powiązane z ryzykiem niedostatecznej kontroli, złego raportowania lub złego zarządzania. Ryzyko nie dotyczy standardowych przeglądów audytowych, informacje o potencjalnych nieprawidłowościach pozyskują w szczególności: dział analizy, dział windykacji oraz dział skarg i nadzoru – przekazujące informacje do działu audytu z prośbą o przeprowadzenie działań wyjaśniających. W praktyce są to sytuacje działań kryminalnych na szkodę klientów i spółki (np. wyłudzenia pożyczek przez współpracowników spółki posługujących się danymi osobowymi pozyskanymi od potencjalnych klientów).
2. Ryzyko niedostatecznej ochrony zasobów i informacji podmiotu – właściwie pokrywające się z ryzykiem utraty baz danych, będących głównym zasobem biznesowym organizacji. Ryzyko weryfikowane w toku codziennych oraz okresowych czynności kontrolnych i audytowych, w szczególności w zakresie elementarnych zasad bezpieczeństwa dostępu do systemu informatycznego spółki oraz obiegu dokumentów papierowych. Szeroka gama nieprawidłowości takich jak przekazywanie loginów i haseł do systemu informatycznego spółki innym osobom z organizacji, łamanie zasad czystego biurka i blokowania komputera pozostawianego bez opieki, przekazywanie danych klientów i współpracowników spółki podmiotom zewnętrznym.
3. Ryzyko utraty dobrego wizerunku podmiotu – na poziomie kontroli i audytu terenowego oznaczające braki w jakości obsługi klienta zarówno wewnętrznego jak i zewnętrznego. Są to wszelkie odstępstwa w zakresie jakości i kompletności informacji przekazywanych klientom, przestrzegania zasad etyki i wymogów prawa w tym zakresie – co jest bezpośrednio związane z kolejnym obszarem ryzyka.
4. Ryzyko braku zgodności praktyki z prawem, szczególnie w związku z jego zmianami wymuszającymi zmiany w funkcjonowaniu pracy komórek organizacji, ale również w zakresie np. wymienionych w pierwszym punkcie wymogów w zakresie ochrony danych osobowych czy jakości obsługi klientów (np., regulacje prawne dotyczące przyjmowania reklamacji od klientów czy udzielania informacji o produkcie). (Uwaga: będący przedmiotem pracy audyt nie zajmuje się ryzykiem prawnym wynikającym z organizacja prawną przedsiębiorstwa w odniesieniu do zmian prawnych, niekorzystnych przeczeń sądów lub innych organów administracji).
Brak komentarzy:
Prześlij komentarz