Institutionel operationel risiko

2024 Forfatter: Howard Calhoun | [email protected]. Sidst ændret: 2023-12-17 10:22

Forretning er fuld af risici. De mødes her og der. En af de mest sandsynlige er operationelle risici. Hvad repræsenterer han? Hvordan styres operationel risiko? Hvad påvirker dets værdi?

Generelle oplysninger

Og vi starter med terminologien. Operationel risiko er risikoen for tab som følge af en fejl/mangelfuld handling fra organisationens medarbejderes side, systemfejl eller eksterne hændelser. Disse omfatter omdømmemæssige, strategiske og juridiske tab. Det vil sige, at operationel risiko er forbundet med implementeringen af virksomhedens forretningsfunktioner. Det bruges til at angive risikoen for yderligere omkostninger på grund af inkonsistensen i karakteren og omfanget af kreditstrukturen, overtrædelse af kravene i gældende lovgivning, procedurer for interaktion med bankinstitutter. Det kan f.eks. omfatte en krænkelse af en bankmedarbejder, utilsigtede eller målrettede ulovlige handlinger fra hans side, en fejl i driften af funktionelle/automatiserede systemer på grund af ekstern påvirkning.

Afhængigt af oprindelsen, internog eksterne risici. De er til gengæld opdelt i klasser. Interne risici omfatter alt relateret til mennesker, processer og systemer. Lad os se på et par eksempler. Medarbejdernes handlinger kan forårsage skade? Truslen. Er der mangler i forretningsprocesser? Truslen. Fejl i informationssystemer? Truslen. Eksterne risici er katastrofer, sikkerhed (fysisk, data), afbrydelse af relationer til kunder og modparter samt fra regulerende myndigheder. Lad os se på eksempler på disse tilfælde. Brande og terrorangreb kan ske? Truslen. Kan dårlig kvalitet eller falsk information, varer, tjenester, teknologier forstyrre interaktionen med kunder og modparter? Truslen. Vil forfalskninger, tyverier, angreb, indbrud osv. underminere organisationens position? Truslen. Vil ændringer i lovgivning og lovgivningsmæssige rammer tvinge til yderligere aktiviteter? Trussel.

Essens og typer

Hvis du vil undgå noget, skal du vide det personligt. Verden udvikler sig og bliver mere kompleks. På grund af dette øges faren fra operationelle risici. Basel II tages som reference for yderligere information. Ifølge ham omfatter operationelle risici alt, der kan føre til materiel skade på organisationen på grund af forkerte (eller manglende udførelse af de nødvendige) handlinger fra personalet, ydre påvirkninger, fejlagtige processer og lignende. De skriver ikke selv under, og der er ingen tips til, hvordan man organiserer en effektiv kamp mod dem. Hovedformålet med Basel II er at beregne størrelsen af dækningen for dem. Derudover er der et stærkt ledelsessystem, hvis opgave er at medvirke til at reducere sandsynligheden for operationelle risici. Dette dokument bestemmer, at ledelsen og bestyrelsen skal overtage funktionen bag dem. Og det er dem, der er ansvarlige for at rapportere om operationelle risici og størrelsen af aktuelle skader. Fra dette synspunkt skelnes der mellem to typer: dem, der direkte eller indirekte afhænger af en person, og force majeure-forhold. Sidstnævnte omfatter jordskælv, orkaner, mudderstrømme, jordskred og så videre. Med den første er alt meget mere forskelligartet. Så der er fire hovedgrupper:

1. Bevidste handlinger. Disse omfatter svindel og andre bevidste handlinger, der fører til skade.
2. Utilsigtede handlinger. Dette er et valg af teknologi, der ikke er fuldt udviklet, fejlagtige utilsigtede handlinger af medarbejdere, utilstrækkelig udførelse af ledere af deres opgaver.
3. Tekniske risici, der er direkte eller indirekte relateret til menneskelige aktiviteter. Dette er en fejl i netværket, ekstern kommunikation, nedbrud af værktøjsmaskiner og lignende.
4. Programrisici, der er direkte eller indirekte relateret til menneskelige aktiviteter. Dette er en fejl i telekommunikation og/eller computerudstyr.

Praktiske implementeringsspecifikationer

Som kendte kan bekræfte, adskiller operationel risikostyring sig faktisk meget fra teoretisk rådgivning. Især er situationen ret sjældennår ledelsen påtager sig problematiske problemstillinger, der skyldes funktionsfejl i informationssystemet. Det praktiseres at overføre sådant arbejde til specialister med lavere kvalifikationer. Denne tilgang fører ofte til endnu større tab. Dette er vigtigt, om ikke andet fordi operationel risiko er en af de tre vigtigste og væsentligste. Også i praksis findes sådanne underarter ofte:

1. Risikoen for lækage eller ødelæggelse af information, der er nødvendig for dannelsen af organisatoriske processer. Det indebærer bevidst eller utilsigtet sletning af filer i et automatiseret informationssystem. Disse handlinger kan føre til en alvorlig fejl og den kommercielle strukturs manglende evne til at opfylde sine forpligtelser over for kunderne.
2. Risiko for at bruge partiske eller forfalskede (falske) data. Et eksempel kunne være en ikke-reel betalingsordre. Selvom der er mere komplekse muligheder. For eksempel ved at bruge en tidligere overført betaling, når en af deltagerne udskiftes.
3. Risiko for problemer med at levere objektiv og opdateret information til kunder. Som regel skyldes dette driften af computersystemer.
4. Risiko for at overføre information, der er til ulempe for organisationen. Eksempler omfatter rygter, bagvaskelse, kompromitterende oplysninger om højtstående embedsmænd, lækage af værdifulde dokumenter (med efterfølgende eksponering for medierne) og lignende.

Årsager og hvordan man håndterer dem

Det sker bare sådan, at en organisations operationelle risiko ikke bare sker. Nogenproblemet har sin rod. Hovedårsagerne omfatter følgende:

1. Mangel på kvalifikationer og mangel på en seriøs tilgang til uddannelse og faglig udvikling. Den menneskelige faktor kan i høj grad påvirke organisationen og er oftest kilden til problemer. Så mange virksomheder er ikke i stand til at bruge informationssystemernes tilgængelige muligheder korrekt. Dette forværres af almindelige brugeres begrænsede vidensniveau.
2. Ikke givet behørig opmærksomhed til informationssikkerhed og ignorer de reelle trusler, der kommer fra denne sektor. Uvidenhed fra de styrende organer, utilstrækkelig finansiering, mangel på foranst altninger til at øge niveauet af systempålidelighed osv. forværrer kun situationen.
3. Lav kvalitet, samt utilstrækkelig udvikling af procedurer rettet mod at forebygge risici. De færreste bekymrer sig også om eksistensen af en passende politik og jobbeskrivelse på sikkerhedsområdet. På grund af dette kan forvirring og uvidenhed hos medarbejderne i krisesituationer forværre problemet.
4. Ineffektivt system til beskyttelse af informationsaktiver. Det er nok for en angriber at finde et svagt punkt, og dette burde allerede være nok til at forårsage alvorlig skade. Det er bedst, hvis der er dybdegående forsvar.
5. En lang række svagheder i automatiserede systemer og forskellige softwareprodukter, hvis der anvendes utestet software. For en angriber er dette en rigtig gave.

Løser situationen

Og hvad skal man gøre? Talrige typer operationsstuerrisici truer med at materialisere sig, så du bør huske det gamle ordsprog om, at fisken rådner fra hovedet. Derfor er det nødvendigt at starte med en guide. Du kan implementere følgende elementer:

1. Topchefen (bestyrelsen) spiller en nøglerolle i dannelsen af et ledelses-, kontrol- og beskyttelsessystem.
2. Vi er nødt til at skabe, implementere og anvende sømløse systemer, hvor end de er nødvendige og værd at udvikle.
3. Vi skal arbejde på risikostyringssystemet. Efter det er oprettet, skal du analysere for tilstedeværelsen af sårbarheder. Du bør også tænke på kontrol over de udøvende organer.
4. Topdirektøren (bestyrelsen) sætter grænser for risikovillighed.
5. Den udøvende organ bør udvikle et klart, effektivt og pålideligt værktøjssæt med gennemsigtige, konsekvente og meningsfulde kompetenceområder. Det vil blive betroet implementeringen af de grundlæggende principper, processer og systemer involveret i risikojustering.
6. Den udøvende organ bør identificere og evaluere aktuelle problemer samt formulere deres karakter og faktorer. Lad ham desuden sørge for implementeringen af de udviklede innovationer. Det udøvende organ kan også få overdraget processen med at overvåge og kontrollere rapporteringen af individuelle enheder.
7. Et pålideligt og omfattende system til kontrol og risikooverførsel/reduktion skal være på plads.
8. Der bør udvikles en plan for at sikre genopretning og forretningskontinuitet i organisationen, hvisåbenlyse problemer.

Er det alt?

Selvfølgelig ikke. Det er udelukkende generaliserende ord, hvori grundlæggende punkter tages i betragtning. Mens du arbejder med specifikke situationer, skal de skræddersyes til eksisterende forhold. Lad os se på et lille eksempel. Banken har veldefinerede styringsprocedurer på plads i tilfælde af, at en trussel mod kreditrisikoen opstår. Der er fastsat kriterier for potentielle låntagere, og der stilles sikkerhed for lån. En ekstern specialist er engageret til at vurdere den foreslåede sikkerhed. Og så fik sikkerheden tildelt en højere pris, end den faktisk koster på markedet. Så for at sige, at situationen udvikler sig til fordel for låntageren. Samtidig blev vurderingens tilstrækkelighed ikke kontrolleret igen i banken. Efter en vis tid opstår der en situation, hvor låntager ikke kan tilbagebetale det optagne lån. Banken forventer, at den vil kunne betale den opståede gæld tilbage ved at sælge sikkerheden. Men i praksis viser det sig, at markedsprisen kun kan dække halvdelen af lånet. Årsagen til dette problem er manglende overholdelse af procedurer. Efter alt, i henhold til eksisterende krav, skal finansielle institutioner dobbelttjekke prisen på sikkerhed. Sådan steg den operationelle risiko og derefter kreditrisikoen. Og du kan også huske, hvordan individuelle banker udsteder bevidst dårlige lån, der overtræder alle tænkelige procedurer. Sådanne institutioner kommer hurtigt i køen til likvidation. Størrelsen af den operationelle risiko påvirkes i dette tilfælde af medarbejdernes medvirken. Ak, det er ekstremt svært helt at undgå sådanne situationer.problematisk. Det kan kun minimeres ved at indføre træning, et effektivt kontrolsystem og streng disciplin.

rigtige eksempler

Ting kan ske i livet, som selv forfatterne ikke kan komme i tanke om. Der var situationer, hvor niveauet af operationel risiko simpelthen forsvandt, men denne situation kunne ikke identificeres i lang tid. Lad os se på nogle af de mest imponerende eksempler. Der var sådan en person - Jerome Kerviel. Oh var handlende for investeringsbanken Société Générale. I 2007 åbnede han positioner på de europæiske børsers indekser for futures. Det virker som en fælles historie. Men summen af positionerne var omkring 50 milliarder euro! Dette er halvanden gange bankens kapitalisering! Hvordan var Jerome i stand til at gøre dette? Faktum er, at han før det arbejdede på kontoret og kendte arbejdet med kontrolmekanismen godt. Det blev først opdaget i slutningen af januar 2008. Det blev besluttet at lukke dem hurtigst muligt. Men den enorme positionsstørrelse udløste et frasalg på aktiemarkederne. På grund af dette tabte banken 7,2 milliarder dollars (eller 4,9 milliarder euro). Eller et eksempel mere. Der var en mand som John Rusnak. Han arbejdede i den amerikanske filial af den største bank i Irland, hvis navn er Allied Irish Bank. Han blev ansat i 1993. I 1996 begyndte John at udføre risikable transaktioner med den japanske yen. Men de var mislykkede, der var tab. Men John formåede at skjule voksende tab fra partnere. For eksempel tabte han i 1997 29,1 millioner dollars. I 2001 var beløbet allerede 300 mio. For at skjule sådanne tab forfalskede han udtalelser. For hans operationer formåede denne erhvervsdrivende endda at modtage bonusser på 433 tusind dollars. Alt kom frem i 2001. På tidspunktet for åbningen var det samlede tab $691 millioner. Mindre tab og operationelle risici er meget mere almindelige end så store. I automatiseringens tidsalder kan de med den rigtige tilgang minimeres markant.

Eksterne risici og deres løsninger

De opstår under organisationens forhold til omverdenen. Det kan være røveri, tyveri, tredjeparters indtrængen i informationssystemet, svigt af infrastruktur og naturkatastrofer. Selvom det måske også burde tilskrives lovgivningsmiljøet. Hvilke operationelle risikovurderingsmetoder skal bruges for at få en ide om den aktuelle situation? Der er en række anbefalinger til den generelle arbejdsordning. Derudover kan beregningen af operationel risiko udføres ved hjælp af matematiske modeller, der er specielt skabt til dette formål. Så hvad skal der gøres for at skabe et effektivt ledelsessystem, der kan håndtere problemer?

Handlingsplan

Først og fremmest skal du sørge for en passende arkitektur. Det vil sige, at hvis problemerne er i selve systemet, så vil desværre selv den bedste specialist ikke være i stand til at give et tilfredsstillende resultat. Det skal også være rimeligt. Antag, at der er et vist antal mindre hændelser, der koster 10 tusind rubler om året. Du kan oprette et system, der vil 100% forhindre dem. Men det koster100 tusind rubler. I dette tilfælde bør du tænke over hensigtsmæssigheden. Hvis vi taler om tyveri eller lignende, som gradvist vil vokse i omfang, så kan vi selvfølgelig ikke tøve. Når alt kommer til alt, hvis du forsinker, så kan virksomhedens operationelle risici stige så meget, at de ødelægger virksomheden. Men for at holde systemet i en generel tilstrækkelig stand, vil tre metoder hjælpe:

1. Tjek selvevaluering.
2. Nøglerisikoindikatorer.
3. Operationel hændelseshåndtering.

Løsning af problemer

Mange faktorer påvirker størrelsen af operationel risiko. Jo færre af dem, jo bedre. Ideelt set er problemer løst, før de opstår. Derfor spiller vurderingen af operationel risiko en væsentlig rolle. Hvordan skal man bruge det? Først og fremmest skal du fokusere på selvevaluering af kontrol. For at parafrasere kan denne metode kaldes en ærlig samtale om problemer. Det implementeres i form af medarbejderundersøgelser. Så er der vigtige risikoindikatorer. Disse indikatorer giver dig mulighed for at vide om kommende problemer, selv før de manifesterer sig i fuld kraft. Selvfølgelig, hvis de er tilstrækkeligt udvalgt, og deres data er indsamlet. Og lukker treenigheden er hændelseshåndtering. Formålet med denne procedure er at undersøge, identificere omfanget af problemer og håndtere dem. Hvis dette ikke gøres, står virksomheden over for økonomiske risici. Operationel risiko har en tendens til at stige over tid. Dette skal huskes.