Operační riziko organizace

Podnikatelská činnost je plná rizik. Setkávají se sem a tam. Jedním z nejpravděpodobnějších je operační riziko. Co to je? Jak probíhá řízení operačního rizika? Co ovlivňuje jeho hodnotu?

Obecné informace

A začneme s terminologií. Operační riziko je riziko ztráty v důsledku chyby / nedostatečné akce ze strany zaměstnanců organizace, selhání systému nebo vnější události. Patří mezi ně reputační, strategické a právní ztráty. To znamená, že operační riziko je spojeno s realizací obchodních funkcí podniku. Používá se k označení rizika dodatečných nákladů z důvodu nesouladu mezi povahou a rozsahem úvěrové struktury, porušením požadavků stávající legislativy, postupy pro interakci s bankovními institucemi. Může například zahrnovat porušení bankovního zaměstnance, neúmyslné nebo účelné protiprávní jednání z jeho strany, poruchu v provozu funkčních / automatizovaných systémů v důsledku vnějších vlivů.

V závislosti na původu jsou identifikovány vnitřní a vnější rizika. Na druhou stranu jsou rozděleny do tříd. Interní rizika zahrnují vše, co souvisí s personálem, procesy a systémy. Podívejme se na několik příkladů. Jsou činnosti zaměstnanců škodlivé? Hrozba. Existují nějaké nedostatky v obchodních procesech? Hrozba. Je práce informačních systémů brání? Hrozba. Externími riziky jsou katastrofy, bezpečnost (fyzická, datová), porušování vztahů s klienty a protistranami a také regulátory. Podívejme se také na příklady těchto případů. Může se stát požár a teroristický čin? Hrozba. Kvalitní nebo nepravdivé informace, zboží, služby, technologie mohou narušit interakci se zákazníky a protistranami? Hrozba. Padělání, krádeže, útoky, vloupání a tak dále podkopávají postavení organizace? Hrozba. Změny právních předpisů a regulačního rámce povedou k dalším aktivitám? Hrozba.

Esence a typy

Pokud se chcete něco vyhnout, musíte to vědět osobně. Svět se rozvíjí, je to obtížnější. Z tohoto důvodu se zvyšuje riziko operačních rizik. Jako podporu pro další informace je přijat Basel II. Podle něj operační rizika zahrnují vše, co může vést k materiální škodě organizace kvůli nesprávným (nebo nenaplněným) činům personálu, vnějšímu vlivu, chybným procesům apod. Nebudou podepsat, nemají také rady, jak účinně bojovat proti nim. Hlavním účelem Basel II je výpočet objemu krytí pro ně. Kromě toho existuje silný systém řízení, jehož úkolem je snížit pravděpodobnost operačních rizik. Tento dokument stanoví, že vedení a představenstvo by měly převzít funkci za nimi. A právě oni jsou odpovědní za hlášení o operačních rizicích a rozsahu současných škod. Z tohoto pohledu se rozlišují dva typy: ty, které přímo nebo nepřímo závisí na osobě a okolnosti vyšší moci. Ty zahrnují zemětřesení, hurikány, sesuvy půdy, sesuvy půdy a tak dále. První je vše mnohem rozmanitější. Existují tedy čtyři hlavní skupiny:

1. Záměrné akce. Mezi ně patří podvody a jiné úmyslné činy, které vedou k poškození.
2. Neúmyslné akce. Jedná se o volbu technologií, která není plně vyvinuta, chybných neúmyslných akcí zaměstnanců, nedostatečné výkonnosti vedoucích pracovníků.
3. Technická rizika, která jsou přímo nebo nepřímo spojena s lidskou činností. Jedná se o poruchu v síti, vnější komunikaci, poruchu strojního zařízení a podobně.
4. Programová rizika, která jsou přímo či nepřímo spojena s lidskou činností. Jedná se o selhání prostředků telekomunikace a / nebo počítačového hardwaru.

Specificita praktické implementace

Jak znalí lidé mohou potvrdit, řízení operačních rizik ve skutečnosti má mnoho rozdílů od teoretických doporučení. Situace je poměrně vzácná, když se vedení zabývá problematickými problémy, které jsou způsobeny poruchami v informačním systému. Převedení takové práce na odborníky s nižší kvalifikací se praktikuje. Tento přístup často vede k ještě větším ztrátám. To je důležité, a to pouze proto, že operační riziko je jedním ze tří nejdůležitějších a nejvýznamnějších. Také v praxi se často vyskytují takové poddruhy:

1. Riziko úniku nebo zničení informací, které jsou nezbytné pro tvorbu organizačních procesů. Záměrně nebo náhodně smazat soubory v automatizovaném informačním systému. Tato opatření mohou vést k vážnému selhání a neschopnosti obchodní struktury plnit závazky vůči klientům.
2. Riziko použití zkreslených nebo padělaných (falešných) údajů. Příkladem toho není skutečný platební příkaz. I když existují složitější možnosti. Například použití již převedené platby, když je nahrazen jeden z účastníků.
3. Riziko problémů při poskytování objektivních a aktuálních informací zákazníkům. Obvykle je to způsobeno provozem počítačových systémů.
4. Riziko přenosu informací, které nejsou pro organizaci přínosné. Příklady zahrnují pověsti, pomluvy, ohrožující důkazy o vedoucím spojení, únik cenných dokumentů (s následným zasažením v médiích) a podobně.

Příčiny vzniku a jak s nimi vypořádat

Už se stalo, že operační riziko organizace se tak nezdá. Každý problém má svůj vlastní kořen. Mezi hlavní důvody patří následující:

1. Nedostatek kvalifikace a nedostatek vážného přístupu ve věcech vzdělávání a profesního rozvoje. Lidský faktor může silně ovlivnit organizaci a je často zdrojem problémů. Mnoho společností proto nemůže správně využívat dostupné kapacity informačních systémů. Toto je dále zhoršováno omezenou úrovní znalostí běžných uživatelů.
2. Nevenovala náležitou pozornost zabezpečení informací a ignorovala skutečné hrozby, které vycházejí z tohoto odvětví. Nedostatečné financování, chybějící opatření pro zvýšení úrovně spolehlivosti systémů a tak dále jen zhoršují situaci.
3. Nízká kvalita, stejně jako nedostatečné vypracování postupů zaměřených na předvídání rizik. Jen málo lidí se stará o dostupnost odpovídajících politik a popisů práce v oblasti bezpečnosti. Kvůli tomu v krizových situacích může zmatek a nevědomost zaměstnanců tento problém zhoršit.
4. Nízkonapěťový systém ochrany informačních prostředků. Stačí, když útočník najde jeden slabý bod, a to by mělo stačit, aby způsobilo vážné škody. Nejlepší je, pokud je zajištěna vrstvená ochrana.
5. Velký počet slabých míst v automatizovaných systémech a různých softwarových produktech, pokud se používá nepoužívaný software. Pro útočníka je to skutečný dárek.

Oprava situace

A co mám dělat? Mnoho typů operačních rizik hrozí, že se uvědomí, že si je třeba pamatovat na starou pověst, že ryby hnijí z hlavy. Proto je nutné začít s managementem. Tyto položky můžete implementovat:

1. Nejvyšší správce (představenstvo) hraje klíčovou roli při vytváření systému řízení, kontroly a ochrany.
2. Je nezbytné vytvářet, implementovat a adekvátně používat bezproblémové fungující systémy kdekoli jsou potřebné a mít smysl pro jejich rozvoj.
3. Je třeba pracovat na systému řízení rizik. Poté, co je vytvořen, je třeba analyzovat zranitelnost. Měli byste také přemýšlet o kontrole výkonných orgánů.
4. Nejvyšší správce (představenstvo) stanoví limity rizika chuti.
5. Výkonný orgán by měl vyvinout jasný, účinný a spolehlivý nástroj s transparentními, konzistentními a plnohodnotnými kompetencemi. Bude pověřen implementací základních zásad, procesů a systémů, které se podílejí na úpravě rizik.
6. Exekutivní orgán by měl identifikovat a posoudit aktuální problémy a formulovat jejich povahu a faktory. Kromě toho nechte poskytnout implementaci vyvíjených inovací. Také výkonnému orgánu může být pověřena kontrola a podávání zpráv o jednotlivých jednotkách.
7. Je třeba zajistit dostupnost spolehlivého a plnohodnotného systému kontroly, jakož i převod / snížení rizika.
8. Měl by být vypracován plán, který zajistí obnovu a nepřetržitou činnost organizace, pokud se vyskytnou zřejmé problémy.

Je to všechno?

Samozřejmě že ne. Jedná se výlučně o zobecňující slova, ve kterých jsou zkoumány hlavní body. Při práci s konkrétními situacemi je třeba je přizpůsobit stávajícím podmínkám. Podívejme se na malý příklad. Banka má zavedené řídící postupy v případě realizace rizika úvěrového rizika. Potenciální dlužníci jsou vystaveni kritériím a poskytli jistotu na půjčky. Pro posouzení navrhovaného zajištění je zapojen externí odborník. A tady k němu dostala bezpečnost více cen, než je skutečně na trhu. Tak se mluví, situace se vyvíjí ve prospěch dlužníka. Současně nebyla v rámci banky křížová kontrola přiměřenosti posouzení. Po určité době nastane situace, kdy dlužník nemůže vrátit půjčku. Banka očekává, že bude schopen splácet dluh a prodat slib. V praxi se však ukazuje, že tržní cena může pokrýt pouze polovinu úvěru. Důvodem tohoto problému je nedodržení postupů. Koneckonců, podle stávajících požadavků, finanční instituce by měly znovu ověřit cenu hypotéky. Tak se zvýšilo operační riziko a následně i úvěrové riziko. A také si můžete vzpomenout, jak jednotlivé banky vydávají vědomě neodvolatelné půjčky a porušují všechny myslitelné postupy. Takové instituce se rychle dostanou do fronty pro likvidaci. Hodnota operačního rizika je v tomto případě ovlivněna sounáležitostí ze strany zaměstnanců. Bohužel, úplné vyvarování se takových situací je velmi problematické. To lze minimalizovat zavedením školení, účinného monitorovacího systému a přísné disciplíny.

Skutečné příklady

V životě může být něco, o čem si scénáristé nemohou myslet. Byly tam takové situace, kdy byla úroveň operačního rizika prostě nepatrná, ale tato situace nemohla být dlouho zjištěna. Podívejme se na některé z nejpůsobivějších příkladů. Byla taková osoba - Jerome Kerviel. O byl obchodníkem investiční banky Société Générale. V roce 2007 otevřel pozice na indexech evropských burz o futures. Zdá se, že je to obyčejný příběh. Ale součet pozic činil asi 50 miliard eur! Je to jeden a půlkrát vyšší než kapitalizace banky! Jak to Jerome dokázal udělat? Skutečnost, že předtím pracoval v kanceláři a znal práci kontrolního mechanismu dobře. Bylo objeveno až koncem ledna 2008. Bylo rozhodnuto je rychle uzavřít. Obrovské množství pozic však vyvolalo prodej na burzách. Z tohoto důvodu banka ztratila 7,2 miliardy dolarů (nebo 4,9 miliardy eur). Nebo ještě jeden příklad. Byl tam muž jako John Rusnak. Pracoval v pobočce největší banky v Irsku, jejíž název je Allied Irish Bank. Byl najat v roce 1993. V roce 1996 začal John provádět riskantní operace s japonským jenem. Ale byli neúspěšní, začali ztrácet peníze. Ale Johnovi se podařilo skrýt od partnerů rostoucí ztráty. Například v roce 1997 ztratil 29,1 milionu dolarů. V roce 2001 byla částka již 300 milionů! Aby se takové ztráty skrývaly, zapisoval účetnictví. Pro své operace se tento obchodce dokonce podařilo získat bonusy ve výši 433 tisíc dolarů. Všechno bylo objeveno v roce 2001. V době pitvy činila celková ztráta 691 milionů dolarů. Menší ztráty a provozní rizika se vyskytují častěji než velké. Ve věku automatizace s vhodným přístupem mohou být výrazně minimalizovány.

Externí rizika a jejich řešení

Vznikají během vztahu organizace s vnějším světem. Může to být loupež, krádež, infiltrace třetích stran do informačního systému, selhání infrastruktury a přírodní katastrofy. I když by se možná mělo připsat legislativnímu prostředí. Jaké metody hodnocení operačního rizika by měly být použity k získání představy o situaci? Existuje řada doporučení ohledně obecného pracovního plánu. Navíc může být výpočet operačního rizika vytvořen speciálně pro tyto matematické modely. Takže, co musíte udělat, abyste vytvořili efektivní systém řízení, který dokáže řešit problémy?

Akční plán

Především je nutné postarat se o odpovídající architekturu. To znamená, že pokud se vyskytnou problémy v systému, pak, bohužel, i ten nejlepší odborník nemůže poskytnout uspokojivý výsledek. Také by to mělo být rozumné. Připusťme, že existuje určitý počet malých událostí, které stojí 10 tisíc rublů ročně. Můžete vytvořit systém, který jim zabrání 100%. Ale jeho cena je 100 tisíc rublů. V takovém případě je třeba uvažovat o účelnosti. Samozřejmě, pokud jde o krádež, nebo něco podobného, ​​že bude postupně růst v rozsahu, nesmí otálet. Koneckonců, pokud vytáhnete, tak operační rizika společnosti se mohou zvětšit natolik, že společnost zničí. Ale podpora systému obecně přiměřená podmínka pomůže třem metodám:

1. Kontrola sebehodnocení.
2. Klíčové ukazatele rizik.
3. Řízení provozních událostí.

Řešení problémů

Množství operačního rizika je ovlivněno mnoha faktory. Čím méně, tím lépe. Je optimální, pokud jsou problémy vyřešeny dříve, než vzniknou. Zhodnocení operačního rizika proto hraje významnou roli. Jak jej provádět? Především je třeba se zaměřit na sebehodnocení kontroly. Parafrázováním, tato metoda může být nazvána upřímným rozhovorem o problémech. Provádí se formou průzkumů zaměstnanců. Pak přicházejí klíčové ukazatele rizik. Tyto ukazatele vám umožňují seznámit se s blížícími se problémy ještě před tím, než se projeví v plné síle. Samozřejmě, pokud jsou adekvátně vybráni a shromažďují své údaje. A Trojice zavře řízení incidentů. Účelem tohoto postupu je provést šetření, zjistit rozsah problémů a řešit je. Pokud tomu tak není, podnik očekává finanční rizika. Operační riziko s časem zpravidla roste. To si musíme pamatovat.