Institucinė veiklos rizika

2024 Autorius: Howard Calhoun | [email protected]. Paskutinį kartą keistas: 2023-12-17 10:34

Verslas kupinas rizikos. Jie susitinka čia ir ten. Viena iš labiausiai tikėtinų – veiklos rizika. Ką jis atstovauja? Kaip valdoma operacinė rizika? Kas turi įtakos jo vertei?

Bendra informacija

Ir pradėsime nuo terminijos. Operacinė rizika – nuostolių rizika dėl organizacijos darbuotojų klaidos/neadekvačių veiksmų, sistemos gedimų ar išorinių įvykių. Tai apima reputacijos, strateginius ir teisinius nuostolius. Tai yra, veiklos rizika yra susijusi su įmonės verslo funkcijų įgyvendinimu. Jis naudojamas norint nurodyti papildomų išlaidų riziką dėl kredito struktūros pobūdžio ir masto nenuoseklumo, galiojančių teisės aktų reikalavimų, bendravimo su bankinėmis institucijomis procedūrų pažeidimo. Pavyzdžiui, tai gali būti banko darbuotojo pažeidimas, netyčiniai ar tikslingi neteisėti jo veiksmai, funkcinių / automatizuotų sistemų veikimo sutrikimas dėl išorinės įtakos.

Priklausomai nuo kilmės, vidinėir išorinės rizikos. Jie, savo ruožtu, yra suskirstyti į klases. Vidinė rizika apima viską, kas susiję su žmonėmis, procesais ir sistemomis. Pažvelkime į keletą pavyzdžių. Ar darbuotojų veiksmai gali padaryti žalos? Grėsmė. Ar yra verslo procesų trūkumų? Grėsmė. Informacinių sistemų gedimas? Grėsmė. Išorinė rizika yra katastrofos, saugumas (fizinis, duomenų), santykių su klientais ir sandorio šalimis, taip pat reguliavimo institucijų sutrikimas. Pažvelkime į šių atvejų pavyzdžius. Ar gali įvykti gaisrai ir teroristiniai išpuoliai? Grėsmė. Ar nekokybiška ar klaidinga informacija, prekės, paslaugos, technologijos gali sutrikdyti sąveiką su klientais ir sandorio šalimis? Grėsmė. Ar klastotės, vagystės, išpuoliai, įsilaužimai ir tt pakenks organizacijos pozicijai? Grėsmė. Ar teisės aktų ir norminės bazės pokyčiai privers imtis papildomų veiksmų? Grėsmė.

Esmė ir tipai

Jei norite ko nors išvengti, turite tai žinoti asmeniškai. Pasaulis vystosi ir darosi sudėtingesnis. Dėl to didėja veiklos rizikos pavojus. „Bazelis II“naudojamas kaip nuoroda norint gauti daugiau informacijos. Anot jo, veiklos rizika apima viską, kas gali lemti materialinę žalą organizacijai dėl netinkamų (ar neatliktų būtinų) personalo veiksmų, išorinių poveikių, klaidingų procesų ir panašiai. Jie patys nepasirašo, o kaip suorganizuoti efektyvią kovą su jais – nėra. Pagrindinis „Basel II“tikslas – apskaičiuoti jų padengimo dydį. Be to, yra stipri valdymo sistema, kurios užduotis – padėti sumažinti veiklos rizikų tikimybę. Šiame dokumente numatyta, kad vadovybė ir direktorių valdyba turėtų perimti už jas atsakingą funkciją. Ir būtent jie yra atsakingi už ataskaitų apie veiklos riziką ir esamos žalos dydį. Šiuo požiūriu išskiriami du tipai: tie, kurie tiesiogiai ar netiesiogiai priklauso nuo žmogaus, ir force majeure aplinkybės. Pastariesiems priskiriami žemės drebėjimai, uraganai, purvo srautai, nuošliaužos ir pan. Su pirmuoju viskas daug įvairesnė. Taigi, yra keturios pagrindinės grupės:

1. Sąmoningi veiksmai. Tai apima sukčiavimą ir kitus sąmoningus veiksmus, dėl kurių daroma žala.
2. Netyčiniai veiksmai. Tai ne iki galo išvystytos technologijos pasirinkimas, klaidingi netyčiniai darbuotojų veiksmai, netinkamas vadovų pareigų atlikimas.
3. Techninė rizika, tiesiogiai ar netiesiogiai susijusi su žmogaus veikla. Tai tinklo, išorinių ryšių gedimas, staklių gedimas ir panašiai.
4. Programos rizika, kuri yra tiesiogiai arba netiesiogiai susijusi su žmogaus veikla. Tai telekomunikacijų ir (arba) kompiuterinės įrangos gedimas.

Praktinė įgyvendinimo specifika

Kaip išmanantys žmonės gali patvirtinti, operacinės rizikos valdymas iš tikrųjų labai skiriasi nuo teorinių patarimų. Visų pirma, situacija yra gana retakai vadovybė imasi probleminių klausimų, kuriuos sukelia informacinės sistemos gedimai. Praktikuojama tokį darbą perduoti žemesnės kvalifikacijos specialistams. Toks požiūris dažnai sukelia dar didesnius nuostolius. Tai svarbu jau vien todėl, kad operacinė rizika yra viena iš trijų svarbiausių ir reikšmingiausių. Taip pat praktikoje dažnai aptinkami tokie porūšiai:

1. Informacijos, reikalingos organizaciniams procesams formuotis, nutekėjimo ar sunaikinimo rizika. Tai reiškia tyčinį arba atsitiktinį failų ištrynimą automatizuotoje informacinėje sistemoje. Šie veiksmai gali sukelti rimtą nesėkmę ir komercinės struktūros nesugebėjimą įvykdyti savo įsipareigojimų klientams.
2. Rizika naudoti šališkus arba suklastotus (netikruosius) duomenis. Pavyzdys galėtų būti netikras mokėjimo nurodymas. Nors yra ir sudėtingesnių variantų. Pavyzdžiui, naudojant anksčiau pervestą mokėjimą, kai pakeičiamas vienas iš dalyvių.
3. Problemų rizika teikiant klientams objektyvią ir naujausią informaciją. Paprastai taip yra dėl kompiuterinių sistemų veikimo.
4. Rizika perduoti informaciją, kuri yra nepalanki organizacijai. Pavyzdžiai: gandai, šmeižtas, kompromituojanti informacija apie aukštus pareigūnus, vertingų dokumentų nutekėjimas (vėliau paskelbtas žiniasklaidai) ir panašiai.

Priežastys ir kaip su jomis kovoti

Taip atsitinka, kad organizacijos veiklos rizika neatsiranda tiesiog. Bet koksproblema turi savo šaknis. Pagrindinės priežastys yra šios:

1. Trūksta kvalifikacijos ir rimto požiūrio į mokymą bei profesinį tobulėjimą. Žmogiškasis faktorius gali labai paveikti organizaciją ir dažniausiai yra problemų š altinis. Taigi daugelis įmonių negali tinkamai išnaudoti turimų informacinių sistemų galimybių. Tai dar labiau apsunkina ribotas paprastų vartotojų žinių lygis.
2. Neskiriama pakankamai dėmesio informacijos saugumui ir nepaisoma realių grėsmių, kylančių iš šio sektoriaus. Valdymo organų nežinojimas, nepakankamas finansavimas, sistemos patikimumo lygį didinančių priemonių trūkumas ir tt tik pablogina situaciją.
3. Prasta kokybė, taip pat nepakankamas procedūrų, skirtų rizikos prevencijai, išvystymas. Be to, nedaugeliui rūpi tinkama politika ir pareigų aprašymas saugumo srityje. Dėl šios priežasties krizinėse situacijose problemą gali paaštrinti darbuotojų painiava ir nežinojimas.
4. Neefektyvi informacinio turto apsaugos sistema. Užpuolikui pakanka rasti vieną silpną vietą, o to jau turėtų pakakti rimtai žalai padaryti. Geriausia, jei užtikrinama gili gynyba.
5. Daugelis automatizuotų sistemų ir įvairių programinės įrangos produktų trūkumų, jei naudojama neišbandyta programinė įranga. Užpuolikui tai tikra dovana.

Situacijos taisymas

O ką daryti? Daugybė operacinių tipųrizika gresia realizuotis, todėl turėtumėte prisiminti seną posakį, kad žuvis pūva nuo galvos. Todėl būtina pradėti nuo vadovo. Galite įdiegti šiuos elementus:

1. Aukščiausiasis vadovas (direktorių taryba) vaidina pagrindinį vaidmenį formuojant valdymo, kontrolės ir apsaugos sistemą.
2. Turime sukurti, įdiegti ir tinkamai pritaikyti vientisas sistemas, kur jų reikia ir verta kurti.
3. Turime dirbti su rizikos valdymo sistema. Sukūrę jį, turite išanalizuoti, ar nėra pažeidžiamumų. Taip pat turėtumėte pagalvoti apie vykdomųjų organų kontrolę.
4. Aukščiausiasis vykdomasis asmuo (direktorių taryba) nustato rizikos apetito ribas.
5. Vykdomoji institucija turėtų sukurti aiškų, veiksmingą ir patikimą priemonių rinkinį su skaidriomis, nuosekliomis ir reikšmingomis kompetencijos sritimis. Jai bus patikėta įgyvendinti pagrindinius rizikos koregavimo principus, procesus ir sistemas.
6. Vykdomoji institucija turėtų nustatyti ir įvertinti esamas problemas, taip pat suformuluoti jų pobūdį ir veiksnius. Be to, leiskite jam įgyvendinti sukurtas naujoves. Taip pat vykdomajai institucijai gali būti patikėtas atskirų padalinių atskaitomybės stebėjimo ir kontrolės procesas.
7. Turi būti sukurta patikima ir visapusiška kontrolės ir rizikos perdavimo / sumažinimo sistema.
8. Turėtų būti parengtas planas, užtikrinantis organizacijos atsigavimą ir veiklos tęstinumą, jeiakivaizdžios problemos.

Ar tai viskas?

Žinoma, ne. Tai išskirtinai apibendrinantys žodžiai, kuriuose atsižvelgiama į esminius dalykus. Dirbant su konkrečiomis situacijomis, jas reikės pritaikyti prie esamų sąlygų. Pažvelkime į nedidelį pavyzdį. Bankas taiko tiksliai apibrėžtas valdymo procedūras tuo atveju, jei kredito rizikos grėsmė išsipildytų. Nustatyti kriterijai potencialiems skolininkams ir suteikiamas paskolų užstatas. Siūlomam užstatui įvertinti pasitelkiamas išorės specialistas. Ir taip už saugą buvo paskirta didesnė kaina, nei jis realiai kainuoja rinkoje. Taip sakant, situacija vystosi skolininko naudai. Tuo pačiu metu banke nebuvo pakartotinai patikrintas vertinimo adekvatumas. Po tam tikro laiko susidaro situacija, kai paskolos gavėjas negali grąžinti paimtos paskolos. Bankas tikisi, kad susidariusią skolą galės grąžinti pardavęs užstatą. Tačiau praktiškai paaiškėja, kad rinkos kaina gali padengti tik pusę paskolos. Šios problemos priežastis – procedūrų nesilaikymas. Mat pagal galiojančius reikalavimus finansų įstaigos privalo dar kartą patikrinti užstato kainą. Taip didėjo operacinė rizika, o po jos ir kredito rizika. Taip pat galite prisiminti, kaip atskiri bankai išduoda sąmoningai blogas paskolas, pažeisdami visas įmanomas procedūras. Tokios įstaigos greitai patenka į likvidavimo eilę. Operacinės rizikos dydžiui šiuo atveju įtakos turi darbuotojų nuolankumas. Deja, visiškai išvengti tokių situacijų yra nepaprastai sunku.problemiškas. Jį galima sumažinti tik įdiegus mokymus, veiksmingą kontrolės sistemą ir griežtą discipliną.

Tikri pavyzdžiai

Gyvenime gali nutikti dalykų, apie kuriuos net rašytojai neįsivaizduoja. Buvo situacijų, kai veiklos rizikos lygis tiesiog nukrito, tačiau ilgą laiką šios situacijos nustatyti nepavyko. Pažvelkime į keletą įspūdingiausių pavyzdžių. Buvo toks žmogus - Jerome'as Kervielis. Oh buvo investicinio banko Société Générale prekiautojas. 2007 metais jis atvėrė pozicijas Europos biržų ateities sandorių indeksuose. Atrodo, bendra istorija. Tačiau pozicijų suma siekė apie 50 milijardų eurų! Tai pusantro karto didesnė už banko kapitalizaciją! Kaip Jeronimas sugebėjo tai padaryti? Faktas yra tas, kad prieš tai jis dirbo biure ir gerai išmanė valdymo mechanizmo darbą. Jis buvo aptiktas tik 2008 m. sausio pabaigoje. Nuspręsta jas kuo greičiau uždaryti. Tačiau didžiulis pozicijos dydis sukėlė išpardavimą akcijų rinkose. Dėl šios priežasties bankas prarado 7,2 mlrd. dolerių (arba 4,9 mlrd. eurų). Arba dar vienas pavyzdys. Buvo toks žmogus kaip Jonas Rusnakas. Jis dirbo didžiausio Airijos banko, kurio pavadinimas yra Allied Irish Bank, Amerikos padalinyje. Jis buvo priimtas į darbą 1993 m. 1996 metais Johnas pradėjo vykdyti rizikingus sandorius su Japonijos jena. Tačiau jiems nepasisekė, buvo nuostolių. Tačiau Jonui pavyko nuslėpti didėjančius nuostolius nuo partnerių. Pavyzdžiui, 1997 metais jis prarado 29,1 mln. 2001 metais suma jau siekė 300 milijonų! Norėdamas nuslėpti tokius nuostolius, jis suklastojo pareiškimus. Už savo operacijas šis prekybininkas net sugebėjo gauti 433 tūkstančių dolerių premijų. Viskas paaiškėjo 2001 m. Atidarymo metu bendras nuostolis buvo 691 mln. Mažesni nuostoliai ir veiklos rizika yra daug dažniau nei tokie dideli. Automatizavimo amžiuje taikant tinkamą požiūrį jų galima gerokai sumažinti.

Išorinės rizikos ir jų sprendimai

Jie atsiranda organizacijos santykiuose su išoriniu pasauliu. Tai gali būti apiplėšimas, vagystė, trečiųjų šalių įsiskverbimas į informacinę sistemą, infrastruktūros gedimas ir stichinės nelaimės. Nors, ko gero, reikėtų priskirti ir įstatyminę aplinką. Kokius veiklos rizikos vertinimo metodus reikėtų naudoti norint susidaryti vaizdą apie esamą situaciją? Yra keletas rekomendacijų dėl bendros darbo schemos. Be to, operacinės rizikos skaičiavimas gali būti atliekamas naudojant specialiai tam sukurtus matematinius modelius. Taigi ką reikia padaryti norint sukurti veiksmingą valdymo sistemą, galinčią išspręsti problemas?

Veiksmų planas

Visų pirma, turite pasirūpinti tinkama architektūra. Tai yra, jei problemos yra pačioje sistemoje, tada, deja, net geriausias specialistas negalės pateikti patenkinamo rezultato. Tai taip pat turi būti pagrįsta. Tarkime, yra tam tikras skaičius nedidelių incidentų, kurie kainuoja 10 tūkstančių rublių per metus. Galite sukurti sistemą, kuri 100% užkirs kelią jiems. Bet jo kaina100 tūkstančių rublių. Tokiu atveju turėtumėte pagalvoti apie tinkamumą. Žinoma, jei kalbame apie vagystes ar ką nors panašaus, kurio mastai pamažu augs, tai nedvejojame. Galų gale, jei delsite, įmonės veiklos rizika gali padidėti tiek, kad ji sužlugdys įmonę. Tačiau norint išlaikyti sistemą tinkamos būklės, padės trys būdai:

1. Patikrinkite savęs vertinimą.
2. Pagrindiniai rizikos rodikliai.
3. Operatyvinių incidentų valdymas.

Problemų sprendimas

Daugelis veiksnių turi įtakos veiklos rizikos dydžiui. Kuo jų mažiau, tuo geriau. Idealiu atveju problemos išsprendžiamos dar prieš joms atsirandant. Todėl operacinės rizikos vertinimas atlieka svarbų vaidmenį. Kaip jį išleisti? Visų pirma, reikia sutelkti dėmesį į kontrolės savęs vertinimą. Perfrazuojant, šį metodą galima pavadinti atviru pokalbiu apie problemas. Ji įgyvendinama darbuotojų apklausų forma. Tada yra pagrindiniai rizikos rodikliai. Šie rodikliai leidžia sužinoti apie artėjančias problemas dar prieš joms pasireiškiant visa jėga. Žinoma, jei jie adekvačiai atrinkti ir surinkti jų duomenys. Ir uždaro trejybę – incidentų valdymas. Šios procedūros tikslas – ištirti, nustatyti problemų mastą ir jas spręsti. Jei tai nebus padaryta, įmonė susiduria su finansine rizika. Veiklos rizika laikui bėgant didėja. Tai reikia atsiminti.