Institusjonell operasjonell risiko

2024 Forfatter: Howard Calhoun | [email protected]. Sist endret: 2023-12-17 10:37

Bedriften er full av risiko. De møtes her og der. En av de mest sannsynlige er operasjonell risiko. Hva representerer han? Hvordan håndteres operasjonell risiko? Hva påvirker verdien?

Generell informasjon

Og vi starter med terminologien. Operasjonell risiko er risiko for tap som følge av feil/mangelfull handling fra organisasjonens ansatte, systemfeil eller eksterne hendelser. Disse inkluderer omdømmetap, strategiske og juridiske tap. Det vil si at operasjonell risiko er forbundet med implementeringen av virksomhetens forretningsfunksjoner. Den brukes til å indikere risikoen for ekstra kostnader på grunn av inkonsekvensen i karakteren og omfanget av kredittstrukturen, brudd på kravene i gjeldende lovgivning, prosedyrer for samhandling med bankinstitusjoner. Det kan for eksempel omfatte krenkelse av en bankansatt, utilsiktede eller formålstjenlige ulovlige handlinger fra hans side, svikt i driften av funksjonelle/automatiserte systemer på grunn av ytre påvirkning.

Avhengig av opprinnelsen, internog eksterne risikoer. De er på sin side delt inn i klasser. Interne risikoer inkluderer alt knyttet til mennesker, prosesser og systemer. La oss se på noen få eksempler. Handlingene til ansatte kan forårsake skade? Trusselen. Er det feil i forretningsprosesser? Trusselen. Svikt i informasjonssystemer? Trusselen. Eksterne risikoer er katastrofer, sikkerhet (fysisk, data), forstyrrelser i forhold til kunder og motparter, samt fra regulatoriske myndigheter. La oss se på eksempler for disse tilfellene. Kan brann og terrorangrep skje? Trusselen. Kan lavkvalitets eller falsk informasjon, varer, tjenester, teknologier forstyrre interaksjon med kunder og motparter? Trusselen. Vil forfalskninger, tyverier, angrep, innbrudd osv. undergrave posisjonen til organisasjonen? Trusselen. Vil endringer i lovverk og regelverk tvinge frem ytterligere aktiviteter? Trussel.

essens og typer

Hvis du vil unngå noe, må du vite det personlig. Verden utvikler seg og blir mer kompleks. På grunn av dette øker faren fra operasjonelle risikoer. Basel II er tatt som referanse for ytterligere informasjon. Ifølge ham inkluderer operasjonelle risikoer alt som kan føre til materiell skade på organisasjonen på grunn av feil (eller unnlatelse av å utføre nødvendige) handlinger fra personell, ytre påvirkninger, feilaktige prosesser og lignende. De signerer ikke selv, og det er ingen tips om hvordan man kan organisere en effektiv kamp mot dem. Hovedformålet med Basel II er å beregne mengden dekning for dem. I tillegg er det et sterkt styringssystem som har som oppgave å bidra til å redusere sannsynligheten for operasjonell risiko. Dette dokumentet fastsetter at ledelsen og styret skal overta funksjonen bak dem. Og det er de som er ansvarlige for å rapportere om operasjonelle risikoer og størrelsen på aktuelle skader. Fra dette synspunktet skilles to typer: de som direkte eller indirekte er avhengige av en person, og force majeure-omstendigheter. Sistnevnte inkluderer jordskjelv, orkaner, gjørmestrømmer, jordskred og så videre. Med den første er alt mye mer variert. Så det er fire hovedgrupper:

1. Bevisste handlinger. Disse inkluderer svindel og andre bevisste handlinger som fører til skade.
2. Utilsiktede handlinger. Dette er et valg av teknologi som ikke er ferdig utviklet, feilaktige utilsiktede handlinger fra ansatte, utilstrekkelig ytelse av ledere av pliktene sine.
3. Tekniske risikoer som er direkte eller indirekte relatert til menneskelige aktiviteter. Dette er en feil i nettverket, ekstern kommunikasjon, havari av maskinverktøy og lignende.
4. Programrisikoer som er direkte eller indirekte relatert til menneskelige aktiviteter. Dette er en feil i telekommunikasjons- og/eller datautstyr.

Praktiske implementeringsspesifikasjoner

Som kjente kan attestere, skiller operasjonell risikostyring seg faktisk mye fra teoretiske råd. Spesielt er situasjonen ganske sjeldennår ledelsen tar på seg problematiske saker som er forårsaket av funksjonsfeil i informasjonssystemet. Det praktiseres å overføre slikt arbeid til spesialister med lavere kvalifikasjoner. Denne tilnærmingen fører ofte til enda større tap. Dette er viktig, om ikke annet fordi operasjonell risiko er en av de tre viktigste og mest betydelige. Også i praksis finnes slike underarter ofte:

1. Risiko for lekkasje eller ødeleggelse av informasjon som er nødvendig for dannelsen av organisasjonsprosesser. Det innebærer tilsiktet eller utilsiktet sletting av filer i et automatisert informasjonssystem. Disse handlingene kan føre til en alvorlig svikt og manglende evne til den kommersielle strukturen til å oppfylle sine forpliktelser overfor kundene.
2. Risiko for bruk av partisk eller forfalsket (falske) data. Et eksempel kan være en ikke-reell betalingsordre. Selv om det er mer komplekse alternativer. For eksempel å bruke en tidligere overført betaling når en av deltakerne blir erstattet.
3. Risiko for problemer med å gi objektiv og oppdatert informasjon til klienter. Som regel skyldes dette driften av datasystemer.
4. Risiko for å overføre informasjon som er til ulempe for organisasjonen. Eksempler inkluderer rykter, bakvaskelse, kompromitterende informasjon om ledende tjenestemenn, lekkasje av verdifulle dokumenter (med påfølgende eksponering for media) og lignende.

Årsaker og hvordan man håndterer dem

Det er tilfeldigvis at en organisasjons operasjonelle risiko ikke bare skjer. Noenproblemet har sin rot. Hovedårsakene inkluderer følgende:

1. Mangel på kvalifikasjoner og mangel på seriøs tilnærming til opplæring og faglig utvikling. Den menneskelige faktoren kan i stor grad påvirke organisasjonen og er oftest kilden til problemer. Så mange selskaper er ikke i stand til å bruke de tilgjengelige funksjonene til informasjonssystemer på riktig måte. Dette forsterkes av det begrensede kunnskapsnivået til vanlige brukere.
2. Ikke gitt behørig oppmerksomhet til informasjonssikkerhet og ignorer de reelle truslene som kommer fra denne sektoren. Uvitenhet fra de styrende organer, utilstrekkelig finansiering, mangel på tiltak for å øke nivået av systempålitelighet, etc., forverrer bare situasjonen.
3. Lav kvalitet, samt utilstrekkelig utvikling av prosedyrer rettet mot å forebygge risiko. Dessuten er det få som bryr seg om eksistensen av en adekvat policy og stillingsbeskrivelse innen sikkerhet. På grunn av dette kan forvirring og uvitenhet hos ansatte i krisesituasjoner forverre problemet.
4. Ineffektivt beskyttelsessystem for informasjonsressurser. Det er nok for en angriper å finne ett svakt punkt, og dette bør allerede være nok til å forårsake alvorlig skade. Det er best hvis forsvar i dybden er gitt.
5. Et stort antall svakheter i automatiserte systemer og ulike programvareprodukter, dersom det brukes uprøvd programvare. For en angriper er dette en ekte gave.

Fiksing the situation

Og hva skal jeg gjøre? Mange typer operasjonsstuerrisikoer truer med å materialisere seg, så du bør huske det gamle ordtaket om at fisken råtner fra hodet. Derfor er det nødvendig å starte med en guide. Du kan implementere følgende elementer:

1. Topplederen (styret) spiller en nøkkelrolle i dannelsen av et styrings-, kontroll- og beskyttelsessystem.
2. Vi må lage, implementere og bruke sømløse systemer på en adekvat måte der de er nødvendig og verdt å utvikle.
3. Vi må jobbe med risikostyringssystemet. Etter at den er opprettet, må du analysere for tilstedeværelsen av sårbarheter. Du bør også tenke på kontroll over de utøvende organene.
4. Topplederen (styret) setter grenser for risikoappetitt.
5. Det utøvende organet bør utvikle et tydelig, effektivt og pålitelig verktøysett med transparente, konsistente og meningsfulle kompetanseområder. Den vil bli betrodd implementeringen av de grunnleggende prinsippene, prosessene og systemene som er involvert i risikojustering.
6. Det utøvende organet bør identifisere og vurdere aktuelle problemer, samt formulere deres art og faktorer. I tillegg, la ham gi implementeringen av de utviklede innovasjonene. Det utøvende organet kan også bli betrodd prosessen med å overvåke og kontrollere rapporteringen av individuelle enheter.
7. Et pålitelig og omfattende system for kontroll og risikooverføring/redusering må være på plass.
8. En plan bør utvikles for å sikre gjenoppretting og forretningskontinuitet i organisasjonen hvisåpenbare problemer.

Er det alt?

Selvfølgelig ikke. Dette er utelukkende generaliserende ord, der grunnleggende punkter vurderes. Mens du arbeider med spesifikke situasjoner, må de skreddersys til eksisterende forhold. La oss se på et lite eksempel. Banken har veldefinerte styringsprosedyrer på plass dersom det skulle oppstå en trussel mot kredittrisiko. Det er satt kriterier for potensielle låntakere og det stilles sikkerhet for lån. En ekstern spesialist engasjeres for å vurdere den foreslåtte sikkerheten. Og derfor ble sikkerheten tildelt en høyere pris enn den faktisk koster i markedet. Så for å si, situasjonen utvikler seg til fordel for låntakeren. Samtidig ble tilstrekkeligheten av vurderingen ikke kontrollert på nytt i banken. Etter en viss tid oppstår det en situasjon hvor låntaker ikke kan betale tilbake lånet som er tatt. Banken forventer at den vil kunne betale tilbake den oppståtte gjelden ved å selge pantene. Men i praksis viser det seg at markedsprisen kun kan dekke halvparten av lånet. Årsaken til dette problemet er manglende overholdelse av prosedyrer. Tross alt, i henhold til eksisterende krav, må finansinstitusjoner dobbeltsjekke prisen på sikkerhet. Slik økte operasjonell risiko, og deretter kredittrisiko. Og du kan også huske hvordan individuelle banker gir bevisst dårlige lån, som bryter med alle tenkelige prosedyrer. Slike institusjoner havner raskt i køen for avvikling. Størrelsen på operasjonell risiko påvirkes i dette tilfellet av de ansattes medvirkning. Akk, det er ekstremt vanskelig å unngå slike situasjoner helt.problematisk. Det kan bare minimeres ved å innføre opplæring, et effektivt kontrollsystem og streng disiplin.

Ekte eksempler

Ting kan skje i livet som selv forfatterne ikke kan tenke på. Det var situasjoner da nivået av operasjonell risiko ganske enkelt gikk av skala, men denne situasjonen kunne ikke identifiseres på lenge. La oss se på noen av de mest imponerende eksemplene. Det var en slik person - Jerome Kerviel. Oh var handelsmann for investeringsbanken Société Générale. I 2007 åpnet han posisjoner på indeksene til europeiske børser for futures. Virker som en vanlig historie. Men summen av posisjonene var rundt 50 milliarder euro! Dette er halvannen ganger bankens kapitalisering! Hvordan klarte Jerome å gjøre dette? Faktum er at før det jobbet han på kontoret og kjente arbeidet til kontrollmekanismen godt. Det ble oppdaget først i slutten av januar 2008. Det ble besluttet å stenge dem så snart som mulig. Men den enorme posisjonsstørrelsen utløste et salg i aksjemarkedene. På grunn av dette tapte banken 7,2 milliarder dollar (eller 4,9 milliarder euro). Eller ett eksempel til. Det var en mann som John Rusnak. Han jobbet i den amerikanske filialen til den største banken i Irland, som heter Allied Irish Bank. Han ble ansatt i 1993. I 1996 begynte John å utføre risikable transaksjoner med den japanske yenen. Men de lyktes ikke, det var tap. Men John klarte å skjule økende tap fra partnere. For eksempel, i 1997, tapte han 29,1 millioner dollar. I 2001 var beløpet allerede 300 millioner! For å skjule slike tap forfalsket han uttalelser. For sine operasjoner klarte denne handelsmannen til og med å motta bonuser på 433 tusen dollar. Alt kom frem i 2001. På åpningstidspunktet var det totale tapet 691 millioner dollar. Mindre tap og operasjonell risiko er mye mer vanlig enn slike store. I automatiseringens tidsalder, med riktig tilnærming, kan de minimeres betydelig.

Eksterne risikoer og deres løsninger

De oppstår under organisasjonens forhold til omverdenen. Dette kan være ran, tyveri, tredjeparters penetrering i informasjonssystemet, svikt i infrastruktur og naturkatastrofer. Selv om kanskje det lovgivende miljøet også bør tilskrives. Hvilke operasjonelle risikovurderingsmetoder bør brukes for å få en ide om dagens situasjon? Det er en rekke anbefalinger for den generelle arbeidsordningen. I tillegg kan beregningen av operasjonell risiko utføres ved hjelp av matematiske modeller spesielt laget for dette formålet. Så hva må gjøres for å lage et effektivt styringssystem som kan håndtere problemer?

Handlingsplan

Først av alt må du ta vare på en adekvat arkitektur. Det vil si at hvis problemene er i selve systemet, så vil dessverre ikke selv den beste spesialisten kunne gi et tilfredsstillende resultat. Det må også være rimelig. Anta at det er et visst antall mindre hendelser som koster 10 tusen rubler i året. Du kan lage et system som vil 100% forhindre dem. Men det koster100 tusen rubler. I dette tilfellet bør du tenke på hensiktsmessigheten. Selvfølgelig, hvis vi snakker om tyveri eller noe lignende, som gradvis vil vokse i omfang, så kan vi ikke nøle. Tross alt, hvis du forsinker, kan den operasjonelle risikoen til bedriften øke så mye at de ødelegger selskapet. Men for å holde systemet i generell god stand, vil tre metoder hjelpe:

1. Sjekk egenvurdering.
2. Nøkkelrisikoindikatorer.
3. Operasjonell hendelseshåndtering.

Løsing av problemer

Mange faktorer påvirker omfanget av operasjonell risiko. Jo færre av dem, jo bedre. Ideelt sett løses problemer før de oppstår. Derfor spiller vurderingen av operasjonell risiko en vesentlig rolle. Hvordan bruke det? Først av alt må du fokusere på selvevaluering av kontroll. For å parafrasere kan denne metoden kalles en ærlig samtale om problemer. Det gjennomføres i form av medarbeiderundersøkelser. Så er det viktige risikoindikatorer. Disse indikatorene lar deg vite om kommende problemer selv før de manifesterer seg i full kraft. Selvfølgelig, hvis de er tilstrekkelig utvalgt og dataene deres samles inn. Og lukker treenigheten er hendelseshåndtering. Hensikten med denne prosedyren er å undersøke, identifisere omfanget av problemer og håndtere dem. Hvis dette ikke gjøres, står selskapet overfor økonomisk risiko. Operasjonell risiko har en tendens til å øke over tid. Dette må huskes.