Instytucjonalne ryzyko operacyjne

2024 Autor: Howard Calhoun | [email protected]. Ostatnio zmodyfikowany: 2023-12-17 10:38

Biznes jest pełen zagrożeń. Spotykają się tu i tam. Jednym z najbardziej prawdopodobnych jest ryzyko operacyjne. Co on reprezentuje? Jak zarządza się ryzykiem operacyjnym? Co wpływa na jego wartość?

Informacje ogólne

Zaczniemy od terminologii. Ryzyko operacyjne to ryzyko straty spowodowanej błędem/nieodpowiednim działaniem ze strony pracowników organizacji, awariami systemu lub zdarzeniami zewnętrznymi. Należą do nich straty reputacyjne, strategiczne i prawne. Oznacza to, że ryzyko operacyjne jest związane z realizacją funkcji biznesowych przedsiębiorstwa. Służy do wskazania ryzyka poniesienia dodatkowych kosztów ze względu na niespójność charakteru i skali struktury kredytu, naruszenie wymogów obowiązujących przepisów, procedury współpracy z instytucjami bankowymi. Na przykład może to obejmować naruszenie pracownika banku, niezamierzone lub celowe nielegalne działania z jego strony, awarię działania funkcjonalnych / zautomatyzowanych systemów z powodu wpływu zewnętrznego.

W zależności od pochodzenia, wewnętrzneoraz ryzyka zewnętrzne. Oni z kolei dzielą się na klasy. Ryzyka wewnętrzne obejmują wszystko, co dotyczy ludzi, procesów i systemów. Spójrzmy na kilka przykładów. Działania pracowników mogą wyrządzić krzywdę? Groźba. Czy istnieją błędy w procesach biznesowych? Groźba. Awaria systemów informatycznych? Groźba. Ryzyka zewnętrzne to katastrofy, bezpieczeństwo (fizyczne, danych), zakłócenia relacji z klientami i kontrahentami, a także ze strony organów regulacyjnych. Spójrzmy na przykłady dla tych przypadków. Czy mogą się zdarzyć pożary i ataki terrorystyczne? Groźba. Czy niskiej jakości lub fałszywe informacje, towary, usługi, technologie mogą zakłócać interakcję z klientami i kontrahentami? Groźba. Czy podróbki, kradzieże, ataki, włamania itp. podważą pozycję organizacji? Groźba. Czy zmiany w ustawodawstwie i ramach regulacyjnych wymuszą dodatkowe działania? Zagrożenie.

Istota i rodzaje

Jeśli chcesz czegoś uniknąć, musisz to wiedzieć osobiście. Świat ewoluuje i staje się coraz bardziej złożony. Z tego powodu wzrasta niebezpieczeństwo związane z ryzykiem operacyjnym. Bazylea II jest traktowana jako punkt odniesienia dla dalszych informacji. Według niego ryzyko operacyjne obejmuje wszystko, co może doprowadzić do szkód materialnych w organizacji z powodu nieprawidłowych (lub niewykonania niezbędnych) działań personelu, wpływów zewnętrznych, błędnych procesów i tym podobnych. Sami się nie podpisują i nie ma wskazówek, jak zorganizować z nimi skuteczną walkę. Głównym celem Basel II jest obliczenie dla nich kwoty ubezpieczenia. Ponadto istnieje silny system zarządzania, którego zadaniem jest pomoc w zmniejszeniu prawdopodobieństwa wystąpienia ryzyka operacyjnego. Dokument ten stanowi, że kierownictwo i rada dyrektorów powinny przejąć stojącą za nimi funkcję. I to oni są odpowiedzialni za raportowanie ryzyk operacyjnych i wysokości bieżących szkód. Z tego punktu widzenia rozróżnia się dwa typy: te, które bezpośrednio lub pośrednio zależą od osoby oraz okoliczności siły wyższej. Te ostatnie obejmują trzęsienia ziemi, huragany, spływy błotne, osunięcia ziemi i tak dalej. W przypadku pierwszego wszystko jest znacznie bardziej zróżnicowane. Istnieją więc cztery główne grupy:

1. Rozważne działania. Obejmują one oszustwa i inne celowe działania, które prowadzą do szkód.
2. Działania niezamierzone. To wybór technologii, która nie jest w pełni rozwinięta, błędne niezamierzone działania pracowników, nieodpowiednie wykonywanie przez kierowników ich obowiązków.
3. Zagrożenia techniczne bezpośrednio lub pośrednio związane z działalnością człowieka. To awaria sieci, komunikacja zewnętrzna, awaria obrabiarek itp.
4. Zagrożenia programowe, które są bezpośrednio lub pośrednio związane z działalnością człowieka. To awaria sprzętu telekomunikacyjnego i/lub komputerowego.

Praktyczne specyfikacje implementacji

Jak dobrze wiedzą ludzie, zarządzanie ryzykiem operacyjnym w rzeczywistości znacznie różni się od porad teoretycznych. W szczególności sytuacja jest dość rzadkagdy kierownictwo podejmuje problematyczne kwestie, które są spowodowane nieprawidłowym działaniem systemu informatycznego. Praktykuje się przekazywanie takiej pracy specjalistom o niższych kwalifikacjach. Takie podejście często prowadzi do jeszcze większych strat. To ważne, choćby dlatego, że ryzyko operacyjne jest jednym z trzech najważniejszych i najistotniejszych. Również w praktyce często spotykane są takie podgatunki:

1. Ryzyko wycieku lub zniszczenia informacji niezbędnych do tworzenia procesów organizacyjnych. Oznacza to celowe lub przypadkowe usunięcie plików w zautomatyzowanym systemie informacyjnym. Działania te mogą doprowadzić do poważnej awarii i niezdolności struktury handlowej do wywiązywania się ze swoich zobowiązań wobec klientów.
2. Ryzyko wykorzystania stronniczych lub sfałszowanych (fałszywych) danych. Przykładem może być nieprawdziwe polecenie zapłaty. Chociaż istnieją bardziej złożone opcje. Na przykład użycie wcześniej przekazanej płatności, gdy jeden z uczestników jest zastępowany.
3. Ryzyko problemów z dostarczaniem klientom obiektywnych i aktualnych informacji. Z reguły wynika to z działania systemów komputerowych.
4. Ryzyko przekazywania informacji niekorzystnych dla organizacji. Przykłady obejmują plotki, oszczerstwa, kompromitujące informacje na temat wyższych urzędników, wyciek cennych dokumentów (z późniejszym ujawnieniem się mediom) i tym podobne.

Przyczyny i jak sobie z nimi radzić

Tak się składa, że ryzyko operacyjne organizacji się nie zdarza. Każdyproblem ma swoje źródło. Główne powody to:

1. Brak kwalifikacji i poważnego podejścia do szkoleń i rozwoju zawodowego. Czynnik ludzki może mieć duży wpływ na organizację i jest najczęściej źródłem problemów. Dlatego wiele firm nie jest w stanie właściwie wykorzystać dostępnych możliwości systemów informatycznych. Sytuację pogarsza ograniczony poziom wiedzy zwykłych użytkowników.
2. Nie poświęca się należytej uwagi bezpieczeństwu informacji i ignoruje rzeczywiste zagrożenia, które pochodzą z tego sektora. Ignorancja organów zarządzających, niedostateczne finansowanie, brak środków zwiększających poziom niezawodności systemu itp. tylko pogarszają sytuację.
3. Niska jakość, a także niedostateczny rozwój procedur mających na celu zapobieganie zagrożeniom. Niewiele też osób dba o istnienie odpowiedniej polityki i opisu stanowiska w zakresie bezpieczeństwa. Z tego powodu w sytuacjach kryzysowych zamieszanie i ignorancja pracowników może zaostrzyć problem.
4. Nieefektywny system ochrony zasobów informacyjnych. Wystarczy, że atakujący znajdzie jeden słaby punkt, a to już powinno wystarczyć do spowodowania poważnych obrażeń. Najlepiej, jeśli zapewniona jest głęboka obrona.
5. Duża liczba słabych punktów w zautomatyzowanych systemach i różnych produktach oprogramowania, jeśli używane jest nieprzetestowane oprogramowanie. Dla napastnika to prawdziwy prezent.

Naprawa sytuacji

A co robić? Wiele rodzajów sal operacyjnychryzyko grozi materializacją, więc należy pamiętać o starym powiedzeniu, że ryba gnije od głowy. Dlatego konieczne jest rozpoczęcie od przewodnika. Możesz wdrożyć następujące elementy:

1. Najwyższy menedżer (zarząd) odgrywa kluczową rolę w tworzeniu systemu zarządzania, kontroli i ochrony.
2. Musimy tworzyć, wdrażać i odpowiednio stosować płynne systemy wszędzie tam, gdzie są potrzebne i warte rozwoju.
3. Musimy popracować nad systemem zarządzania ryzykiem. Po utworzeniu musisz przeanalizować obecność luk w zabezpieczeniach. Należy również pomyśleć o kontroli nad organami wykonawczymi.
4. Naczelny dyrektor wykonawczy (zarząd) ustala limity apetytu na ryzyko.
5. Organ wykonawczy powinien opracować jasny, skuteczny i niezawodny zestaw narzędzi z przejrzystymi, spójnymi i znaczącymi obszarami kompetencji. Powierzone zostanie jej wdrożenie podstawowych zasad, procesów i systemów związanych z korektą ryzyka.
6. Organ wykonawczy powinien identyfikować i oceniać bieżące problemy, a także formułować ich charakter i czynniki. Dodatkowo niech zapewni wdrożenie opracowanych innowacji. Ponadto organowi wykonawczemu można powierzyć proces monitorowania i kontroli sprawozdawczości poszczególnych jednostek.
7. Musi istnieć niezawodny i kompleksowy system kontroli i przenoszenia/łagodzenia ryzyka.
8. Należy opracować plan, aby zapewnić odbudowę i ciągłość działania organizacji, jeślioczywiste problemy.

Czy to wszystko?

Oczywiście, że nie. Są to wyłącznie słowa uogólniające, w których rozważane są kwestie fundamentalne. Pracując w określonych sytuacjach, będą musiały być dostosowane do istniejących warunków. Spójrzmy na mały przykład. Bank posiada ściśle określone procedury zarządzania na wypadek materializacji ryzyka kredytowego. Ustalono kryteria dla potencjalnych kredytobiorców i zapewniono zabezpieczenie kredytów. Do oceny proponowanego zabezpieczenia zatrudniany jest zewnętrzny specjalista. I tak zabezpieczeniu przypisano wyższą cenę niż faktycznie kosztuje na rynku. Można powiedzieć, że sytuacja rozwija się na korzyść kredytobiorcy. Jednocześnie adekwatność oceny nie została ponownie sprawdzona w banku. Po pewnym czasie powstaje sytuacja, w której kredytobiorca nie może spłacić zaciągniętego kredytu. Bank oczekuje, że będzie mógł spłacić powstałe zadłużenie poprzez sprzedaż zabezpieczenia. Ale w praktyce okazuje się, że cena rynkowa może pokryć tylko połowę kredytu. Przyczyną tego problemu jest nieprzestrzeganie procedur. W końcu, zgodnie z istniejącymi wymogami, instytucje finansowe muszą dokładnie sprawdzić cenę zabezpieczenia. W ten sposób wzrosło ryzyko operacyjne, a po nim ryzyko kredytowe. Możesz też pamiętać, jak poszczególne banki celowo udzielają złych kredytów, łamiąc wszelkie możliwe procedury. Takie instytucje szybko wpadają w kolejkę do likwidacji. Na wielkość ryzyka operacyjnego wpływa w tym przypadku zgoda pracowników. Niestety, niezwykle trudno jest całkowicie uniknąć takich sytuacji.problematyczny. Można to zminimalizować jedynie wprowadzając szkolenia, skuteczny system kontroli i ścisłą dyscyplinę.

Prawdziwe przykłady

W życiu mogą się zdarzyć rzeczy, o których nawet pisarze nie mogą pomyśleć. Zdarzały się sytuacje, w których poziom ryzyka operacyjnego po prostu wykraczał poza skalę, ale tej sytuacji długo nie można było zidentyfikować. Spójrzmy na niektóre z najbardziej imponujących przykładów. Była taka osoba – Jerome Kerviel. Oh był handlowcem w banku inwestycyjnym Société Générale. W 2007 roku otworzył pozycje na indeksach europejskich giełd dla kontraktów terminowych. Wydaje się, że to wspólna historia. Ale suma pozycji wynosiła około 50 miliardów euro! To półtora raza kapitalizacji banku! Jak Jerome był w stanie to zrobić? Faktem jest, że wcześniej pracował w biurze i dobrze znał działanie mechanizmu kontrolnego. Został odkryty dopiero pod koniec stycznia 2008 roku. Postanowiono je jak najszybciej zamknąć. Ale ogromny rozmiar pozycji spowodował wyprzedaż na giełdach. Z tego powodu bank stracił 7,2 mld dolarów (czyli 4,9 mld euro). Albo jeszcze jeden przykład. Był taki człowiek jak John Rusnak. Pracował w amerykańskim oddziale największego banku w Irlandii o nazwie Allied Irish Bank. Został zatrudniony w 1993 roku. W 1996 roku John zaczął przeprowadzać ryzykowne transakcje z japońskim jenem. Ale nie udało im się, były straty. Ale Johnowi udało się ukryć rosnące straty przed partnerami. Na przykład w 1997 roku stracił 29,1 miliona dolarów. W 2001 roku kwota wynosiła już 300 milionów! Aby ukryć takie straty, sfałszował oświadczenia. Za swoje operacje handlarzowi udało się nawet otrzymać bonusy w wysokości 433 tysięcy dolarów. Wszystko wyszło na jaw w 2001 roku. W momencie otwarcia całkowita strata wyniosła 691 milionów dolarów. Mniejsze straty i ryzyka operacyjne są znacznie częstsze niż te duże. W dobie automatyzacji, przy odpowiednim podejściu, można je znacznie zminimalizować.

Zagrożenia zewnętrzne i ich rozwiązania

Powstają podczas relacji organizacji ze światem zewnętrznym. Może to być rabunek, kradzież, przenikanie osób trzecich do systemu informatycznego, awaria infrastruktury i klęski żywiołowe. Chociaż być może należy również przypisać otoczenie prawne. Jakie metody oceny ryzyka operacyjnego należy zastosować, aby zorientować się w aktualnej sytuacji? Istnieje szereg zaleceń dotyczących ogólnego schematu pracy. Dodatkowo kalkulacja ryzyka operacyjnego może odbywać się za pomocą specjalnie do tego celu stworzonych modeli matematycznych. Co więc należy zrobić, aby stworzyć skuteczny system zarządzania, który poradzi sobie z problemami?

Plan działania

Przede wszystkim musisz zadbać o odpowiednią architekturę. Oznacza to, że jeśli problemy tkwią w samym systemie, to niestety nawet najlepszy specjalista nie będzie w stanie zapewnić zadowalającego wyniku. Musi być też rozsądne. Załóżmy, że istnieje pewna liczba drobnych incydentów, które kosztują 10 tysięcy rubli rocznie. Możesz stworzyć system, który w 100% im zapobiegnie. Ale jego koszt100 tysięcy rubli. W takim przypadku powinieneś pomyśleć o stosowności. Oczywiście, jeśli mówimy o kradzieży lub czymś podobnym, która stopniowo będzie rosła w skali, to nie możemy się wahać. W końcu, jeśli się opóźnisz, ryzyko operacyjne przedsiębiorstwa może wzrosnąć tak bardzo, że zniszczą firmę. Jednak w utrzymaniu systemu w ogólnie odpowiednim stanie pomogą trzy metody:

1. Sprawdź samoocenę.
2. Kluczowe wskaźniki ryzyka.
3. Zarządzanie incydentami operacyjnymi.

Rozwiązywanie problemów

Wiele czynników wpływa na wielkość ryzyka operacyjnego. Im mniej, tym lepiej. Najlepiej byłoby, gdyby problemy były rozwiązywane, zanim się pojawią. Dlatego też ocena ryzyka operacyjnego odgrywa istotną rolę. Jak to wydać? Przede wszystkim musisz skupić się na samoocenie kontroli. Parafrazując, tę metodę można nazwać szczerą rozmową o problemach. Realizowany jest w formie ankiet pracowniczych. Następnie są kluczowe wskaźniki ryzyka. Wskaźniki te pozwalają wiedzieć o nadchodzących problemach, zanim jeszcze zamanifestują się z pełną mocą. Oczywiście, jeśli są odpowiednio dobierani i zbierane są ich dane. I zamyka trójcę to zarządzanie incydentami. Celem tej procedury jest zbadanie, określenie zakresu problemów i rozwiązanie ich. Jeśli tego nie zrobi, firma naraża się na ryzyko finansowe. Ryzyko operacyjne z czasem rośnie. Należy o tym pamiętać.