Institutionell operativ risk

2024 Författare: Howard Calhoun | [email protected]. Senast ändrad: 2023-12-17 10:41

Företaget är fullt av risker. De träffas här och där. En av de mest sannolika är operativ risk. Vad representerar han? Hur hanteras operativ risk? Vad påverkar dess värde?

Allmän information

Och vi börjar med terminologin. Operativ risk är risken för förlust på grund av ett fel/otillräckligt agerande från organisationens anställdas sida, systemfel eller externa händelser. Dessa inkluderar anseende, strategiska och juridiska förluster. Det vill säga att operativ risk är förknippad med genomförandet av företagets affärsfunktioner. Det används för att indikera risken för ytterligare kostnader på grund av inkonsekvensen i kreditstrukturens karaktär och omfattning, brott mot kraven i gällande lagstiftning, förfaranden för interaktion med bankinstitut. Det kan till exempel omfatta en kränkning av en bankanställd, oavsiktliga eller avsiktliga olagliga handlingar från dennes sida, ett fel i driften av funktionella/automatiserade system på grund av yttre påverkan.

Beroende på ursprung, interntoch externa risker. De är i sin tur indelade i klasser. Interna risker omfattar allt som rör människor, processer och system. Låt oss titta på några exempel. De anställdas handlingar kan orsaka skada? Hotet. Finns det brister i affärsprocesser? Hotet. Fel i informationssystem? Hotet. Externa risker är katastrofer, säkerhet (fysisk, data), störningar i relationer med kunder och motparter samt från tillsynsmyndigheter. Låt oss titta på exempel för dessa fall. Bränder och terroristattacker kan hända? Hotet. Kan lågkvalitativ eller falsk information, varor, tjänster, teknologier störa interaktionen med kunder och motparter? Hotet. Kommer förfalskningar, stölder, attacker, inbrott etc. att undergräva organisationens ställning? Hotet. Kommer förändringar i lagstiftning och regelverk att tvinga fram ytterligare aktiviteter? Hot.

Äss och typer

Om du vill undvika något måste du veta det personligen. Världen utvecklas och blir mer komplex. På grund av detta ökar faran från operativa risker. Basel II tas som referens för ytterligare information. Enligt honom omfattar operativa risker allt som kan leda till materiell skada på organisationen på grund av felaktiga (eller underlåtenhet att utföra nödvändiga) åtgärder av personal, yttre påverkan, felaktiga processer och liknande. De själva skriver inte på, och det finns inga tips om hur man organiserar en effektiv kamp mot dem. Huvudsyftet med Basel II är att beräkna täckningsgraden för dem. Dessutom finns ett starkt ledningssystem vars uppgift är att bidra till att minska sannolikheten för operativa risker. Detta dokument föreskriver att ledningen och styrelsen ska ta över funktionen bakom dem. Och det är de som ansvarar för att rapportera om operativa risker och mängden aktuella skador. Ur denna synvinkel särskiljs två typer: de som direkt eller indirekt är beroende av en person och force majeure-förhållanden. De senare inkluderar jordbävningar, orkaner, lerflöden, jordskred och så vidare. Med den första är allt mycket mer varierat. Så det finns fyra huvudgrupper:

1. Avsiktliga handlingar. Dessa inkluderar bedrägeri och andra avsiktliga handlingar som leder till skada.
2. Oavsiktliga handlingar. Detta är ett val av teknik som inte är fullt utvecklad, felaktiga oavsiktliga handlingar från anställda, otillräckliga prestationer av chefer av sina uppgifter.
3. Tekniska risker som är direkt eller indirekt relaterade till mänskliga aktiviteter. Detta är ett fel i nätverket, extern kommunikation, haveri i verktygsmaskiner och liknande.
4. Programmera risker som är direkt eller indirekt relaterade till mänskliga aktiviteter. Detta är ett fel i telekommunikation och/eller datorutrustning.

Praktiska implementeringsspecifikationer

Som kunniga kan intyga, skiljer sig hantering av operativa risker faktiskt mycket från teoretiska råd. I synnerhet är situationen ganska sällsyntnär ledningen tar sig an problematiska frågor som orsakas av fel i informationssystemet. Det är praxis att överföra sådant arbete till specialister med lägre kvalifikationer. Detta tillvägagångssätt leder ofta till ännu större förluster. Detta är viktigt, om så bara för att operativ risk är en av de tre viktigaste och mest betydande. Även i praktiken finns sådana underarter ofta:

1. Risken för läckage eller förstörelse av information som är nödvändig för bildandet av organisatoriska processer. Det innebär avsiktlig eller oavsiktlig radering av filer i ett automatiserat informationssystem. Dessa åtgärder kan leda till ett allvarligt misslyckande och den kommersiella strukturens oförmåga att uppfylla sina skyldigheter gentemot kunder.
2. Risk för att använda partisk eller förfalskad (falsk) data. Ett exempel skulle vara en icke verklig betalningsorder. Även om det finns mer komplexa alternativ. Till exempel att använda en tidigare överförd betalning när en av deltagarna byts ut.
3. Risk för problem med att tillhandahålla objektiv och aktuell information till kunder. Som regel beror detta på driften av datorsystem.
4. Risk för att överföra information som är ofördelaktig för organisationen. Exempel är rykten, förtal, komprometterande av information om högre tjänstemän, läckage av värdefulla dokument (med efterföljande exponering för media) och liknande.

Orsaker och hur man hanterar dem

Det råkar vara så att en organisations operativa risk inte bara händer. Någraproblemet har sin rot. De främsta anledningarna inkluderar följande:

1. Brist på kvalifikationer och avsaknad av ett seriöst förhållningssätt till utbildning och professionell utveckling. Den mänskliga faktorn kan i hög grad påverka organisationen och är oftast källan till problem. Så många företag kan inte riktigt använda informationssystemens tillgängliga kapacitet. Detta förvärras av den begränsade kunskapsnivån hos vanliga användare.
2. Inte ägnas tillräcklig uppmärksamhet åt informationssäkerhet och ignorera de verkliga hoten som kommer från denna sektor. Okunnighet från de styrande organen, otillräcklig finansiering, brist på åtgärder för att öka systemets tillförlitlighet etc. förvärrar bara situationen.
3. Låg kvalitet, samt otillräcklig utveckling av rutiner som syftar till att förebygga risker. Dessutom bryr sig få människor om att det finns en adekvat policy och arbetsbeskrivning inom säkerhetsområdet. På grund av detta kan förvirring och okunskap hos anställda i krissituationer förvärra problemet.
4. Ineffektivt skyddssystem för informationstillgångar. Det räcker för en angripare att hitta en svag punkt, och detta borde redan vara tillräckligt för att orsaka allvarlig skada. Det är bäst om försvar på djupet tillhandahålls.
5. Ett stort antal svagheter i automatiserade system och olika mjukvaruprodukter, om oprövad programvara används. För en angripare är detta en riktig gåva.

Lösa situationen

Och vad ska jag göra? Många typer av operationssalarrisker hotar att materialiseras, så du bör komma ihåg det gamla ordspråket att fisken ruttnar från huvudet. Därför är det nödvändigt att börja med en guide. Du kan implementera följande objekt:

1. Den högsta chefen (styrelsen) spelar en nyckelroll i bildandet av ett lednings-, kontroll- och skyddssystem.
2. Vi måste skapa, implementera och tillämpa sömlösa system varhelst de behövs och är värda att utvecklas.
3. Vi måste arbeta med riskhanteringssystemet. Efter att den har skapats måste du analysera om det finns sårbarheter. Du bör också tänka på kontroll över de verkställande organen.
4. Den högsta ledningen (styrelsen) sätter gränser för riskaptiten.
5. Det verkställande organet bör utveckla en tydlig, effektiv och pålitlig verktygslåda med transparenta, konsekventa och meningsfulla kompetensområden. Den kommer att anförtros implementeringen av de grundläggande principerna, processerna och systemen som är involverade i riskjustering.
6. Det verkställande organet bör identifiera och utvärdera aktuella problem, samt formulera deras karaktär och faktorer. Låt honom dessutom tillhandahålla implementeringen av de utvecklade innovationerna. Det verkställande organet kan också anförtros processen att övervaka och kontrollera rapporteringen av enskilda enheter.
7. Ett tillförlitligt och heltäckande system för kontroll och risköverföring/reducering måste finnas på plats.
8. En plan bör utvecklas för att säkerställa organisationens återhämtning och affärskontinuitet omuppenbara problem.

Är det allt?

Naturligtvis inte. Dessa är uteslutande generaliserande ord, där grundläggande punkter beaktas. När du arbetar med specifika situationer måste de skräddarsys efter befintliga förhållanden. Låt oss titta på ett litet exempel. Banken har väl definierade hanteringsrutiner på plats om ett kreditriskhot skulle förverkligas. Kriterier fastställs för potentiella låntagare och säkerheter för lån ställs. En extern specialist anlitas för att bedöma de föreslagna säkerheterna. Och så tilldelades säkerheten ett högre pris än vad det faktiskt kostar på marknaden. Så att säga, situationen utvecklas till förmån för låntagaren. Samtidigt kontrollerades inte bedömningens tillräcklighet på nytt inom banken. Efter en viss tid uppstår en situation då låntagaren inte kan betala tillbaka det upptagna lånet. Banken räknar med att kunna betala tillbaka den uppkomna skulden genom att sälja säkerheterna. Men i praktiken visar det sig att marknadspriset bara kan täcka hälften av lånet. Orsaken till detta problem är bristande efterlevnad av procedurer. När allt kommer omkring, enligt befintliga krav, måste finansinstituten dubbelkolla priset på säkerheter. Så ökade den operativa risken och därefter kreditrisken. Och du kan också komma ihåg hur enskilda banker utfärdar medvetet dåliga lån, vilket bryter mot alla tänkbara förfaranden. Sådana institutioner hamnar snabbt i kön för likvidation. Storleken på den operativa risken påverkas i detta fall av medarbetarnas medvetenhet. Tyvärr är det extremt svårt att helt undvika sådana situationer.problematisk. Det kan bara minimeras genom att införa utbildning, ett effektivt kontrollsystem och strikt disciplin.

Verkliga exempel

Det kan hända saker i livet som inte ens författarna kan komma på. Det fanns situationer då nivån på den operativa risken helt enkelt gick ur skala, men denna situation kunde inte identifieras på länge. Låt oss titta på några av de mest imponerande exemplen. Det fanns en sådan person - Jerome Kerviel. Oh var handlare för investeringsbanken Société Générale. 2007 öppnade han positioner på europeiska börsindex för terminer. Känns som en vanlig historia. Men summan av positionerna var cirka 50 miljarder euro! Detta är en och en halv gånger bankens kapitalisering! Hur kunde Jerome göra detta? Faktum är att han innan dess arbetade på kontoret och kände till kontrollmekanismens arbete väl. Den upptäcktes först i slutet av januari 2008. Det beslutades att stänga dem så snart som möjligt. Men den enorma positionsstorleken utlöste en försäljning på aktiemarknaderna. På grund av detta förlorade banken 7,2 miljarder dollar (eller 4,9 miljarder euro). Eller ytterligare ett exempel. Det fanns en man som John Rusnak. Han arbetade i den amerikanska filialen till den största banken i Irland, vars namn är Allied Irish Bank. Han anställdes 1993. 1996 började John genomföra riskfyllda transaktioner med den japanska yenen. Men de misslyckades, det fanns förluster. Men John lyckades dölja växande förluster från partners. Till exempel, 1997, förlorade han 29,1 miljoner dollar. 2001 var beloppet redan 300 miljoner! För att dölja sådana förluster förfalskade han uttalanden. För sin verksamhet lyckades denna handlare till och med få bonusar på 433 tusen dollar. Allt kom fram 2001. Vid öppningstillfället var den totala förlusten 691 miljoner dollar. Mindre förluster och operativa risker är mycket vanligare än så stora. I automationsåldern, med rätt tillvägagångssätt, kan de minimeras avsevärt.

Externa risker och deras lösningar

De uppstår under organisationens relation till omvärlden. Det kan vara rån, stöld, tredje parts penetration i informationssystemet, fel på infrastrukturen och naturkatastrofer. Även om man kanske också borde tillskriva lagstiftningsmiljön. Vilka operativa riskbedömningsmetoder bör användas för att få en uppfattning om den nuvarande situationen? Det finns ett antal rekommendationer för det allmänna arbetsschemat. Dessutom kan beräkningen av operativ risk utföras med hjälp av matematiska modeller som är speciellt framtagna för detta ändamål. Så vad behöver göras för att skapa ett effektivt ledningssystem som kan hantera problem?

Handlingsplan

Först och främst måste du ta hand om en adekvat arkitektur. Det vill säga, om problemen finns i själva systemet, kommer tyvärr inte ens den bästa specialisten att kunna ge ett tillfredsställande resultat. Det måste också vara rimligt. Anta att det finns ett visst antal mindre incidenter som kostar 10 tusen rubel per år. Du kan skapa ett system som till 100 % förhindrar dem. Men dess kostnad100 tusen rubel. I det här fallet bör du tänka på lämpligheten. Om vi pratar om stöld eller liknande, som gradvis kommer att växa i omfattning, så kan vi naturligtvis inte tveka. När allt kommer omkring, om du dröjer, kan företagets operativa risker öka så mycket att de förstör företaget. Men för att hålla systemet i allmänt tillfredsställande skick, kommer tre metoder att hjälpa:

1. Kontrollera självutvärdering.
2. Nyckelriskindikatorer.
3. Operationell incidenthantering.

Lösa problem

Många faktorer påverkar storleken på den operativa risken. Ju färre av dem, desto bättre. Helst löses problem innan de uppstår. Därför spelar bedömningen av operativ risk en betydande roll. Hur ska man spendera det? Först och främst måste du fokusera på självutvärdering av kontroll. För att parafrasera kan denna metod kallas en uppriktig konversation om problem. Det genomförs i form av medarbetarundersökningar. Sedan finns det viktiga riskindikatorer. Dessa indikatorer låter dig veta om kommande problem redan innan de visar sig i full kraft. Naturligtvis, om de är tillräckligt utvalda och deras data samlas in. Och stänger treenigheten är incidenthantering. Syftet med denna procedur är att undersöka, identifiera omfattningen av problemen och hantera dem. Om detta inte görs står företaget inför ekonomiska risker. Operationell risk tenderar att öka med tiden. Detta måste komma ihåg.