Институционален оперативен риск

2024 Автор: Howard Calhoun | [email protected]. Последно модифициран: 2023-12-17 10:19

Бизнесът е пълен с рискове. Срещат се тук-там. Един от най-вероятните е оперативният риск. Какво представлява той? Как се управлява оперативният риск? Какво влияе върху стойността му?

Обща информация

И ще започнем с терминологията. Оперативният риск е рискът от загуба поради грешка/неадекватно действие от страна на служителите на организацията, системни повреди или външни събития. Те включват репутационни, стратегически и правни загуби. Тоест оперативният риск е свързан с изпълнението на бизнес функциите на предприятието. Използва се за обозначаване на риска от допълнителни разходи поради несъответствие в естеството и мащаба на кредитната структура, нарушаване на изискванията на действащото законодателство, процедурите за взаимодействие с банковите институции. Например, може да включва нарушение на банков служител, неволни или целенасочени незаконни действия от негова страна, неизправност в работата на функционални/автоматизирани системи поради външно влияние.

В зависимост от произхода, вътрешнои външни рискове. Те от своя страна са разделени на класове. Вътрешните рискове включват всичко, свързано с хора, процеси и системи. Нека разгледаме няколко примера. Действията на служителите могат да причинят вреда? Заплахата. Има ли недостатъци в бизнес процесите? Заплахата. Неизправност на информационните системи? Заплахата. Външните рискове са катастрофи, сигурност (физическа, данни), нарушаване на взаимоотношенията с клиенти и контрагенти, както и от регулаторни органи. Нека разгледаме примери за тези случаи. Могат ли да се случат пожари и терористични атаки? Заплахата. Може ли нискокачествена или невярна информация, стоки, услуги, технологии да нарушат взаимодействието с клиенти и контрагенти? Заплахата. Ще подкопаят ли фалшификати, кражби, атаки, взломове и т.н. позицията на организацията? Заплахата. Ще наложат ли промените в законодателството и регулаторната рамка допълнителни дейности? Заплаха.

Същност и видове

Ако искате да избегнете нещо, трябва да го знаете лично. Светът се развива и става все по-сложен. Поради това опасността от оперативни рискове се увеличава. Базел II се приема като справка за допълнителна информация. Според него оперативните рискове включват всичко, което може да доведе до материални щети на организацията поради неправилни (или неизпълнение на необходимите) действия на персонала, външни влияния, грешни процеси и други подобни. Самите те не подписват и няма съвети как да организираме ефективна борба срещу тях. Основната цел на Базел II е да изчисли размера на покритието за тях. Освен това има силна система за управление, чиято задача е да помогне за намаляване на вероятността от оперативни рискове. Този документ предвижда ръководството и съветът на директорите да поемат функциите, които стоят зад тях. И именно те са отговорни за отчитането на оперативните рискове и размера на текущите щети. От тази гледна точка се разграничават два вида: тези, които пряко или косвено зависят от дадено лице, и форсмажорни обстоятелства. Последните включват земетресения, урагани, кални потоци, свлачища и т.н. С първия всичко е много по-разнообразно. И така, има четири основни групи:

1. Умишлени действия. Те включват измами и други умишлени действия, които водят до щети.
2. Неумишлени действия. Това е избор на технология, която не е напълно разработена, грешни неволни действия на служителите, неадекватно изпълнение от ръководителите на техните задължения.
3. Технически рискове, които са пряко или косвено свързани с човешки дейности. Това е повреда в мрежата, външни комуникации, повреда на машинни инструменти и други подобни.
4. Програмни рискове, които са пряко или косвено свързани с човешките дейности. Това е повреда в телекомуникациите и/или компютърното оборудване.

Специфика на практическото внедряване

Както познатите хора могат да потвърдят, управлението на оперативния риск всъщност се различава много от теоретичните съвети. По-специално, ситуацията е доста рядкакогато ръководството поема проблемни проблеми, причинени от неизправности в информационната система. Практикува се прехвърлянето на такава работа на специалисти с по-ниска квалификация. Този подход често води до още по-големи загуби. Това е важно, дори само защото оперативният риск е един от трите най-важни и значими. Също така на практика често се срещат такива подвидове:

1. Рискът от изтичане или унищожаване на информация, която е необходима за формирането на организационни процеси. Това предполага умишлено или случайно изтриване на файлове в автоматизирана информационна система. Тези действия могат да доведат до сериозен провал и невъзможност на търговската структура да изпълни задълженията си към клиентите.
2. Риск от използване на пристрастни или фалшифицирани (фалшиви) данни. Пример би било нереално платежно нареждане. Въпреки че има по-сложни опции. Например, използване на предварително преведено плащане, когато един от участниците е заменен.
3. Риск от проблеми с предоставянето на обективна и актуална информация на клиентите. По правило това се дължи на работата на компютърните системи.
4. Риск от предаване на информация, която е неизгодна за организацията. Примерите включват слухове, клевети, компрометираща информация за висши служители, изтичане на ценни документи (с последващо излагане на медиите) и други подобни.

Причини и как да се справим с тях

Случва се така, че оперативният риск на организацията не се случва просто така. Всякаквипроблемът има своя корен. Основните причини включват следното:

1. Липса на квалификация и липса на сериозен подход към обучението и професионалното развитие. Човешкият фактор може силно да повлияе на организацията и най-често е източник на проблеми. Така че много компании не са в състояние да използват правилно наличните възможности на информационните системи. Това се влошава от ограниченото ниво на познания на обикновените потребители.
2. Не се обръща необходимото внимание на информационната сигурност и се игнорират реалните заплахи, които идват от този сектор. Незнанието от страна на ръководните органи, недостатъчното финансиране, липсата на мерки за повишаване нивото на надеждност на системата и т.н. само изострят ситуацията.
3. Ниско качество, както и недостатъчно развитие на процедурите, насочени към предотвратяване на рискове. Също така малко хора се интересуват от наличието на адекватна политика и длъжностна характеристика в сферата на сигурността. Поради това в кризисни ситуации объркването и невежеството на служителите могат да влошат проблема.
4. Неефективна система за защита на информационните активи. Достатъчно е нападателят да намери едно слабо място и това вече трябва да е достатъчно, за да причини сериозни щети. Най-добре е, ако е осигурена защита в дълбочина.
5. Голям брой слабости в автоматизираните системи и различни софтуерни продукти, ако се използва нетестван софтуер. За нападател това е истински подарък.

Поправяне на ситуацията

И какво да правя? Множество видове операционни залирисковете заплашват да се материализират, така че трябва да запомните старата поговорка, че рибата гние от главата. Следователно е необходимо да започнете с ръководство. Можете да приложите следните елементи:

1. Верховният мениджър (борд на директорите) играе ключова роля при формирането на система за управление, контрол и защита.
2. Трябва да създаваме, внедряваме и адекватно прилагаме безпроблемни системи, където са необходими и си струва да се развиват.
3. Трябва да работим върху системата за управление на риска. След като бъде създаден, трябва да анализирате за наличието на уязвимости. Трябва да помислите и за контрол върху изпълнителните органи.
4. Висшият изпълнителен директор (бордът на директорите) определя граници на апетита към риск.
5. Изпълнителният орган трябва да разработи ясен, ефективен и надежден инструментариум с прозрачни, последователни и значими области на компетентност. Ще му бъде поверено прилагането на основните принципи, процеси и системи, участващи в коригирането на риска.
6. Изпълнителният орган трябва да идентифицира и оценява текущите проблеми, както и да формулира техния характер и фактори. Освен това нека осигури внедряването на разработените иновации. Също така на изпълнителния орган може да бъде възложен процесът на наблюдение и контрол на отчитането на отделните звена.
7. Трябва да има надеждна и изчерпателна система за контрол и прехвърляне/смекчаване на риска.
8. Трябва да се разработи план, който да гарантира възстановяването и непрекъснатостта на бизнеса на организацията, акоочевидни проблеми.

Това ли е всичко?

Разбира се, че не. Това са изключително обобщаващи думи, в които се разглеждат основни точки. Докато работите с конкретни ситуации, те ще трябва да бъдат съобразени със съществуващите условия. Нека разгледаме малък пример. Банката има добре дефинирани процедури за управление в случай, че се материализира заплаха от кредитен риск. Задават се критерии за потенциални кредитополучатели и се предоставят обезпечения по кредити. За оценка на предложеното обезпечение се ангажира външен специалист. И така на ценната книга беше определена по-висока цена, отколкото действително струва на пазара. Така да се каже, ситуацията се развива в полза на кредитополучателя. В същото време адекватността на оценката не беше препроверена в рамките на банката. След определено време възниква ситуация, когато кредитополучателят не може да изплати взетия заем. Банката очаква, че ще може да погаси възникналия дълг чрез продажба на обезпечението. Но на практика се оказва, че пазарната цена може да покрие само половината от заема. Причината за този проблем е неспазване на процедурите. В крайна сметка, според съществуващите изисквания, финансовите институции трябва да проверят отново цената на обезпечението. Така се увеличи оперативният риск, а след него и кредитният риск. И можете също да си спомните как отделни банки издават умишлено лоши заеми, нарушавайки всички възможни процедури. Такива институции бързо попадат на опашката за ликвидация. Величина на оперативния риск в този случай се влияе от съдействието на служителите. Уви, изключително трудно е напълно да се избегнат подобни ситуации.проблемно. Тя може да бъде сведена до минимум чрез въвеждане на обучение, ефективна система за контрол и строга дисциплина.

Реални примери

Могат да се случат неща в живота, за които дори писателите не могат да се сетят. Имаше ситуации, когато нивото на оперативния риск просто надвишава мащаба, но тази ситуация не можеше да бъде идентифицирана дълго време. Нека разгледаме някои от най-впечатляващите примери. Имаше такъв човек - Джером Кервиел. О беше търговец на инвестиционната банка Société Générale. През 2007 г. той открива позиции по индексите на европейските борси за фючърси. Изглежда като обща история. Но сборът на позициите беше около 50 милиарда евро! Това е един и половина пъти капитализацията на банката! Как Джером успя да направи това? Факт е, че преди това той е работил в офиса и е познавал добре работата на механизма за управление. Открит е едва в края на януари 2008 г. Решено е те да бъдат затворени възможно най-скоро. Но огромният размер на позицията предизвика разпродажба на фондовите пазари. Заради това банката загуби 7,2 милиарда долара (или 4,9 милиарда евро). Или още един пример. Имаше човек като Джон Руснак. Работил е в американския клон на най-голямата банка в Ирландия, чието име е Allied Irish Bank. Той е нает през 1993 г. През 1996 г. Джон започва да извършва рискови сделки с японската йена. Но те бяха неуспешни, имаше загуби. Но Джон успя да скрие нарастващите загуби от партньорите. Например през 1997 г. той загуби 29,1 милиона долара. През 2001 г. сумата вече беше 300 милиона! За да скрие такива загуби, той фалшифицира изявления. За своите операции този търговец дори успя да получи бонуси в размер на 433 хиляди долара. Всичко излезе наяве през 2001 г. Към момента на откриването общата загуба беше 691 милиона долара. По-малките загуби и оперативните рискове са много по-чести от толкова големите. В ерата на автоматизацията, с правилния подход, те могат да бъдат значително сведени до минимум.

Външни рискове и техните решения

Те възникват по време на взаимоотношенията на организацията с външния свят. Това може да бъде грабеж, кражба, проникване на трети лица в информационната система, повреда на инфраструктурата и природни бедствия. Въпреки че, може би, трябва да се припише и законодателната среда. Какви методи за оценка на оперативния риск трябва да се използват, за да се получи представа за текущата ситуация? Има редица препоръки за общата схема на работа. В допълнение, изчисляването на оперативния риск може да се извърши с помощта на математически модели, специално създадени за тази цел. И така, какво трябва да се направи, за да се създаде ефективна система за управление, която може да се справи с проблеми?

План за действие

На първо място, трябва да се погрижите за адекватна архитектура. Тоест, ако проблемите са в самата система, тогава, уви, дори най-добрият специалист няма да може да осигури задоволителен резултат. То също трябва да е разумно. Да предположим, че има определен брой дребни инциденти, които струват 10 хиляди рубли годишно. Можете да създадете система, която ще ги предотврати на 100%. Но цената му100 хиляди рубли. В този случай трябва да помислите за уместността. Разбира се, ако говорим за кражба или нещо подобно, което постепенно ще нараства, тогава не можем да се колебаем. В крайна сметка, ако забавите, тогава оперативните рискове на предприятието могат да се увеличат толкова много, че да унищожат компанията. Но за да поддържате системата в общо адекватно състояние, ще ви помогнат три метода:

1. Проверка на самооценката.
2. Ключови индикатори за риск.
3. Оперативно управление на инциденти.

Решаване на проблеми

Много фактори влияят върху големината на оперативния риск. Колкото по-малко от тях, толкова по-добре. В идеалния случай проблемите се решават преди да са възникнали. Следователно оценката на оперативния риск играе важна роля. Как да го похарчите? На първо място, трябва да се съсредоточите върху контролната самооценка. Ако перифразираме, този метод може да се нарече откровен разговор за проблеми. Реализира се под формата на анкети на служителите. След това има ключови индикатори за риск. Тези индикатори ви позволяват да знаете за предстоящите проблеми, още преди да се проявят с пълна сила. Разбира се, ако те са адекватно подбрани и данните им бъдат събрани. И затваря триединството е управление на инциденти. Целта на тази процедура е да проучи, идентифицира обхвата на проблемите и да се справи с тях. Ако това не бъде направено, тогава компанията е изправена пред финансови рискове. Оперативният риск има тенденция да се увеличава с течение на времето. Това трябва да се помни.