Risc operațional instituțional

2024 Autor: Howard Calhoun | [email protected]. Modificat ultima dată: 2023-12-17 10:39

Afacerile sunt pline de riscuri. Se întâlnesc ici și colo. Unul dintre cele mai probabile este riscul operațional. Ce reprezintă el? Cum este gestionat riscul operațional? Ce îi afectează valoarea?

Informații generale

Și vom începe cu terminologia. Riscul operațional este riscul de pierdere din cauza unei erori/acțiuni inadecvate din partea angajaților organizației, defecțiuni ale sistemului sau evenimente externe. Acestea includ pierderi reputaționale, strategice și legale. Adică, riscul operațional este asociat cu implementarea funcțiilor de afaceri ale întreprinderii. Este utilizat pentru a indica riscul costurilor suplimentare din cauza inconsecvenței în natura și amploarea structurii creditului, încălcarea cerințelor legislației în vigoare, procedurilor de interacțiune cu instituțiile bancare. De exemplu, poate include o încălcare a unui angajat al băncii, acțiuni ilegale neintenționate sau intenționate din partea acestuia, o eșec în funcționarea sistemelor funcționale/automatizate din cauza influenței externe.

În funcție de origine, internși riscuri externe. Ei, la rândul lor, sunt împărțiți în clase. Riscurile interne includ tot ceea ce este legat de oameni, procese și sisteme. Să ne uităm la câteva exemple. Acțiunile angajaților pot cauza prejudicii? Amenințarea. Există defecte în procesele de afaceri? Amenințarea. Eșecul sistemelor informaționale? Amenințarea. Riscurile externe sunt catastrofele, securitatea (fizică, de date), întreruperea relațiilor cu clienții și contrapărțile, precum și din partea autorităților de reglementare. Să ne uităm la exemple pentru aceste cazuri. Pot avea loc incendii și atacuri teroriste? Amenințarea. Informațiile, bunurile, serviciile, tehnologiile de calitate scăzută sau false pot perturba interacțiunea cu clienții și contrapărțile? Amenințarea. Falsurile, furturile, atacurile, spargerile etc. vor submina poziția organizației? Amenințarea. Schimbările în legislație și cadrul de reglementare vor forța activități suplimentare? Amenințare.

Esență și tipuri

Dacă vrei să eviți ceva, trebuie să-l cunoști personal. Lumea evoluează și devine mai complexă. Din această cauză, pericolul din cauza riscurilor operaționale crește. Basel II este luat ca referință pentru informații suplimentare. Potrivit acestuia, riscurile operaționale includ tot ceea ce poate duce la daune materiale organizației din cauza acțiunilor incorecte (sau a neefectuării acțiunilor necesare) ale personalului, a influențelor externe, a proceselor eronate și altele asemenea. Ei înșiși nu semnează și nu există sfaturi despre cum să organizați o luptă eficientă împotriva lor. Scopul principal al Basel II este de a calcula valoarea acoperirii pentru ei. În plus, există un sistem de management puternic, a cărui sarcină este de a contribui la reducerea probabilității riscurilor operaționale. Acest document prevede că conducerea și consiliul de administrație ar trebui să preia funcția din spatele lor. Și ei sunt cei care sunt responsabili pentru raportarea riscurilor operaționale și a volumului daunelor curente. Din acest punct de vedere, se disting două tipuri: cele care depind direct sau indirect de o persoană și circumstanțe de forță majoră. Acestea din urmă includ cutremure, uragane, curgeri de noroi, alunecări de teren și așa mai departe. Cu primul, totul este mult mai divers. Deci, există patru grupuri principale:

1. Acțiuni deliberate. Acestea includ frauda și alte acțiuni deliberate care duc la daune.
2. Acte neintenționate. Aceasta este o alegere a tehnologiei care nu este complet dezvoltată, acțiuni eronate neintenționate ale angajaților, îndeplinirea inadecvată de către manageri a sarcinilor lor.
3. Riscuri tehnice care sunt direct sau indirect legate de activitățile umane. Aceasta este o eroare în rețea, comunicații externe, defecțiune a mașinilor-unelte și altele asemenea.
4. Riscuri ale programului care sunt direct sau indirect legate de activitățile umane. Aceasta este o defecțiune a echipamentelor de telecomunicații și/sau computere.

Specificații practice de implementare

După cum pot atesta oamenii cunoscători, managementul riscului operațional diferă de fapt mult de sfaturile teoretice. În special, situația este destul de rarăatunci când managementul preia probleme problematice care sunt cauzate de disfuncţionalităţi ale sistemului informaţional. Se practică transferul unor astfel de lucrări către specialiști cu calificări inferioare. Această abordare duce adesea la pierderi și mai mari. Acest lucru este important, fie și doar pentru că riscul operațional este unul dintre cele trei cele mai importante și semnificative. De asemenea, în practică, se găsesc adesea astfel de subspecii:

1. Riscul de scurgere sau distrugere a informațiilor care sunt necesare pentru formarea proceselor organizaționale. Implică ștergerea intenționată sau accidentală a fișierelor dintr-un sistem informatic automat. Aceste acțiuni pot duce la un eșec grav și la incapacitatea structurii comerciale de a-și îndeplini obligațiile față de clienți.
2. Risc de utilizare a datelor părtinitoare sau falsificate (false). Un exemplu ar fi un ordin de plată nereal. Deși există opțiuni mai complexe. De exemplu, utilizarea unei plăți transferate anterior atunci când unul dintre participanți este înlocuit.
3. Risc de probleme la furnizarea de informații obiective și actualizate clienților. De regulă, acest lucru se datorează funcționării sistemelor informatice.
4. Risc de a transmite informații care sunt dezavantajoase pentru organizație. Exemplele includ zvonuri, calomnie, informații compromițătoare despre înalți oficiali, scurgeri de documente valoroase (cu expunerea ulterioară la mass-media) și altele asemenea.

Cauze și cum să le tratezi

Se întâmplă că riscul operațional al unei organizații nu se întâmplă pur și simplu. Oriceproblema isi are radacina. Principalele motive includ următoarele:

1. Lipsa calificărilor și lipsa unei abordări serioase a formării și dezvoltării profesionale. Factorul uman poate influența foarte mult organizația și este cel mai adesea sursa problemelor. Deci, multe companii nu pot folosi în mod corespunzător capabilitățile disponibile ale sistemelor informaționale. Acest lucru este exacerbat de nivelul limitat de cunoștințe al utilizatorilor obișnuiți.
2. Nu se acordă atenția cuvenită securității informațiilor și ignoră amenințările reale care vin din acest sector. Ignoranța organelor de conducere, finanțarea insuficientă, lipsa măsurilor de creștere a nivelului de fiabilitate a sistemului etc. nu fac decât să agraveze situația.
3. Calitate scăzută, precum și dezvoltarea insuficientă a procedurilor care vizează prevenirea riscurilor. De asemenea, puțini oameni îi pasă de existența unei politici și a unei fișe de post adecvate în domeniul securității. Din această cauză, în situații de criză, confuzia și ignoranța angajaților pot agrava problema.
4. Sistem ineficient de protecție a activelor informaționale. Este suficient ca un atacator să găsească un punct slab, iar acesta ar trebui să fie deja suficient pentru a provoca daune grave. Cel mai bine este să se asigure o apărare în profunzime.
5. Un număr mare de deficiențe în sistemele automate și diferite produse software, dacă se utilizează software netestat. Pentru un atacator, acesta este un adevărat cadou.

Remedierea situației

Și ce să faci? Numeroase tipuri de săli de operațieriscurile amenință să se materializeze, așa că ar trebui să vă amintiți vechea zicală că peștele putrezește din cap. Prin urmare, este necesar să începeți cu un ghid. Puteți implementa următoarele elemente:

1. Managerul superior (consiliul de administrație) joacă un rol cheie în formarea unui sistem de management, control și protecție.
2. Trebuie să creăm, să implementăm și să aplicăm în mod adecvat sisteme fără întreruperi oriunde sunt necesare și merită dezvoltate.
3. Trebuie să lucrăm la sistemul de management al riscurilor. După ce este creat, trebuie să analizați prezența vulnerabilităților. Ar trebui să vă gândiți și la controlul asupra organelor executive.
4. Ceful executiv (consiliul de administrație) stabilește limitele apetitului pentru risc.
5. Organul executiv ar trebui să elaboreze un set de instrumente clar, eficient și de încredere, cu domenii de competență transparente, consecvente și semnificative. Acesta va fi încredințat cu implementarea principiilor, proceselor și sistemelor de bază implicate în ajustarea riscurilor.
6. Organul executiv ar trebui să identifice și să evalueze problemele actuale, precum și să formuleze natura și factorii acestora. În plus, lăsați-l să asigure implementarea inovațiilor dezvoltate. De asemenea, organului executiv i se poate încredința procesul de monitorizare și control al raportării unităților individuale.
7. Trebuie să existe un sistem fiabil și cuprinzător de control și transfer/atenuare a riscurilor.
8. Ar trebui elaborat un plan pentru a asigura recuperarea și continuitatea activității organizației dacăprobleme evidente.

Este tot?

Bineînțeles că nu. Acestea sunt cuvinte exclusiv generalizatoare, în care sunt luate în considerare punctele fundamentale. În timpul lucrului cu situații specifice, acestea vor trebui adaptate la condițiile existente. Să ne uităm la un mic exemplu. Banca are proceduri de management bine definite în cazul în care se materializează o amenințare de risc de credit. Sunt stabilite criterii pentru debitorii potențiali și se oferă garanții pentru împrumuturi. Un specialist extern este angajat pentru a evalua garanția propusă. Și astfel garanției i s-a atribuit un preț mai mare decât costă de fapt pe piață. Ca să spunem așa, situația se dezvoltă în favoarea împrumutatului. Totodată, caracterul adecvat al evaluării nu a fost verificat din nou în cadrul băncii. După un anumit timp, apare o situație în care împrumutatul nu poate rambursa împrumutul luat. Banca se așteaptă că va putea rambursa datoria apărută prin vânzarea garanției. Dar, în practică, se dovedește că prețul pieței poate acoperi doar jumătate din împrumut. Cauza acestei probleme este nerespectarea procedurilor. La urma urmei, conform cerințelor existente, instituțiile financiare trebuie să verifice din nou prețul garanțiilor. Așa a crescut riscul operațional și, ulterior, riscul de credit. Și vă puteți aminti, de asemenea, cum băncile individuale emit credite neperformante în mod deliberat, încălcând toate procedurile imaginabile. Astfel de instituții intră rapid în coada lichidării. Amploarea riscului operațional este afectată în acest caz de conviețuirea angajaților. Din păcate, este extrem de dificil să eviți complet astfel de situații.problematic. Poate fi minimizat doar prin introducerea de formare, a unui sistem de control eficient și a unei discipline stricte.

Exemple reale

Se pot întâmpla în viață lucruri la care nici scriitorii nu se pot gândi. Au existat situații în care nivelul de risc operațional pur și simplu a depășit scara, dar această situație nu a putut fi identificată mult timp. Să ne uităm la câteva dintre cele mai impresionante exemple. A existat o astfel de persoană - Jerome Kerviel. Oh a fost comerciant pentru banca de investiții Société Générale. În 2007, a deschis poziții pe indicii burselor europene pentru futures. Pare o poveste comună. Dar suma pozițiilor a fost de aproximativ 50 de miliarde de euro! Aceasta este de o dată și jumătate capitalizarea băncii! Cum a reușit Jerome să facă asta? Cert este că înainte de asta a lucrat la birou și cunoștea bine funcționarea mecanismului de control. A fost descoperit abia la sfârșitul lunii ianuarie 2008. S-a decis închiderea lor cât mai curând posibil. Dar dimensiunea uriașă a poziției a declanșat o vânzări pe piețele bursiere. Din această cauză, banca a pierdut 7,2 miliarde de dolari (sau 4,9 miliarde de euro). Sau încă un exemplu. Era un om ca John Rusnak. A lucrat în filiala americană a celei mai mari bănci din Irlanda, al cărei nume este Allied Irish Bank. A fost angajat în 1993. În 1996, John a început să efectueze tranzacții riscante cu yenul japonez. Dar nu au avut succes, au fost pierderi. Dar John a reușit să ascundă pierderile tot mai mari de la parteneri. De exemplu, în 1997, a pierdut 29,1 milioane de dolari. În 2001, suma era deja de 300 de milioane! Pentru a ascunde astfel de pierderi, a falsificat declarații. Pentru operațiunile sale, acest comerciant a reușit chiar să primească bonusuri în valoare de 433 de mii de dolari. Totul a ieșit la iveală în 2001. La momentul deschiderii, pierderea totală era de 691 milioane USD. Pierderile mai mici și riscurile operaționale sunt mult mai frecvente decât cele atât de mari. În era automatizării, cu abordarea corectă, acestea pot fi reduse semnificativ la minimum.

Riscuri externe și soluțiile acestora

Apar în timpul relației organizației cu lumea exterioară. Acesta poate fi jaf, furt, pătrunderea de către terți în sistemul informațional, eșecul infrastructurii și dezastrele naturale. Deși, poate, ar trebui atribuit și mediul legislativ. Ce metode de evaluare a riscului operațional ar trebui folosite pentru a vă face o idee despre situația actuală? Există o serie de recomandări pentru schema generală de lucru. În plus, calculul riscului operațional poate fi realizat folosind modele matematice special create în acest scop. Deci, ce trebuie făcut pentru a crea un sistem de management eficient care să poată face față problemelor?

Plan de acțiune

În primul rând, trebuie să ai grijă de o arhitectură adecvată. Adică, dacă problemele sunt în sistemul în sine, atunci, din păcate, nici cel mai bun specialist nu va putea oferi un rezultat satisfăcător. De asemenea, trebuie să fie rezonabil. Să presupunem că există un anumit număr de incidente minore care costă 10 mii de ruble pe an. Puteți crea un sistem care să le prevină 100%. Dar costul ei100 de mii de ruble. În acest caz, ar trebui să vă gândiți la oportunitatea. Desigur, dacă vorbim de furt sau ceva asemănător, care va crește treptat în amploare, atunci nu putem ezita. La urma urmei, dacă amânați, atunci riscurile operaționale ale întreprinderii pot crește atât de mult încât distrug compania. Dar pentru a menține sistemul într-o stare generală adecvată, trei metode vă vor ajuta:

1. Verificați autoevaluarea.
2. Indicatori cheie de risc.
3. Gestionarea incidentelor operaționale.

Rezolvarea problemelor

Mulți factori afectează amploarea riscului operațional. Cu cât sunt mai puține dintre ele, cu atât mai bine. În mod ideal, problemele sunt rezolvate înainte de a apărea. Prin urmare, evaluarea riscului operațional joacă un rol semnificativ. Cum să-l cheltuiești? În primul rând, trebuie să vă concentrați pe autoevaluarea controlului. Pentru a parafraza, această metodă poate fi numită o conversație sinceră despre probleme. Este implementat sub formă de sondaje ale angajaților. Apoi, există indicatori cheie de risc. Acești indicatori vă permit să aflați despre problemele viitoare chiar înainte de a se manifesta în forță. Desigur, dacă sunt selectați corespunzător și datele lor sunt colectate. Și se închide trinitatea este gestionarea incidentelor. Scopul acestei proceduri este de a investiga, de a identifica amploarea problemelor și de a le trata. Dacă acest lucru nu se face, atunci compania se confruntă cu riscuri financiare. Riscul operațional tinde să crească în timp. Acest lucru trebuie reținut.