Risc operacional institucional

2024 Autora: Howard Calhoun | [email protected]. Última modificació: 2023-12-17 10:21

El negoci està ple de riscos. Es troben aquí i allà. Un dels més probables és el risc operacional. Què representa? Com es gestiona el risc operacional? Què afecta el seu valor?

Informació general

I començarem amb la terminologia. El risc operacional és el risc de pèrdua per error/acció inadequada per part dels empleats de l'organització, fallades del sistema o esdeveniments externs. Aquests inclouen pèrdues reputacionals, estratègiques i legals. És a dir, el risc operacional està associat a la implementació de les funcions comercials de l'empresa. S'utilitza per indicar el risc de costos addicionals a causa de la inconsistència en la naturalesa i l'escala de l'estructura de crèdit, la violació dels requisits de la legislació vigent, els procediments d'interacció amb les entitats bancàries. Per exemple, pot incloure una violació d'un empleat del banc, accions il·legals no intencionades o intencionades per part seva, una fallada en el funcionament de sistemes funcionals/automatitzats per influència externa..

Depenent de l'origen, interni riscos externs. Ells, al seu torn, es divideixen en classes. Els riscos interns inclouen tot allò relacionat amb persones, processos i sistemes. Vegem-ne uns quants exemples. Les accions dels empleats poden causar danys? L'amenaça. Hi ha defectes en els processos empresarials? L'amenaça. Falla dels sistemes d'informació? L'amenaça. Els riscos externs són catàstrofes, seguretat (física, dades), interrupció de les relacions amb clients i contraparts, així com amb les autoritats reguladores. Vegem exemples d'aquests casos. Es poden produir incendis i atacs terroristes? L'amenaça. La informació, els béns, els serveis i les tecnologies de baixa qualitat o falses poden interrompre la interacció amb els clients i les contraparts? L'amenaça. Les falsificacions, robatoris, atacs, robatoris, etc. minaran la posició de l'organització? L'amenaça. Els canvis en la legislació i el marc normatiu obligaran a activitats addicionals? Amenaça.

Essència i tipus

Si vols evitar alguna cosa, has de saber-ho personalment. El món evoluciona i es fa més complex. Per això, augmenta el perill dels riscos operatius. Basilea II es pren com a referència per a més informació. Segons ell, els riscos operatius inclouen tot allò que pot provocar danys materials a l'organització a causa d'accions incorrectes (o incompliment de les necessàries) del personal, influències externes, processos erronis i similars. Ells mateixos no signen, i no hi ha consells sobre com organitzar una lluita efectiva contra ells. L'objectiu principal de Basilea II és calcular la quantitat de cobertura per a ells. A més, hi ha un sistema de gestió sòlid, la tasca del qual és ajudar a reduir la probabilitat de riscos operatius. Aquest document preveu que la direcció i el consell d'administració assumin la funció que hi ha al darrere. I són ells els responsables d'informar sobre els riscos operatius i la quantitat de danys actuals. Des d'aquest punt de vista, es distingeixen dos tipus: els que depenen directa o indirectament d'una persona, i les circumstàncies de força major. Aquests últims inclouen terratrèmols, huracans, colades de fang, esllavissades, etc. Amb el primer, tot és molt més divers. Per tant, hi ha quatre grups principals:

1. Accions deliberades. Aquests inclouen el frau i altres accions deliberades que provoquen danys.
2. Actes no intencionats. Aquesta és una elecció de tecnologia que no està completament desenvolupada, accions errònies no intencionades dels empleats, rendiment inadequat per part dels directius de les seves funcions.
3. Riscos tècnics relacionats directament o indirectament amb les activitats humanes. Es tracta d'una fallada a la xarxa, comunicacions externes, avaria de màquines-eina, etc.
4. Riscos del programa que estiguin directament o indirectament relacionats amb les activitats humanes. Es tracta d'una fallada en els equips de telecomunicacions i/o informàtics.

Especificacions pràctiques d'implementació

Com poden testimoniar els coneixedors, la gestió del risc operacional en realitat difereix molt dels consells teòrics. En particular, la situació és força raraquan la direcció assumeix qüestions problemàtiques que són provocades per un mal funcionament del sistema d'informació. Es practica transferir aquest treball a especialistes amb qualificacions inferiors. Aquest enfocament sovint comporta pèrdues encara més grans. Això és important, encara que només sigui perquè el risc operacional és un dels tres més importants i significatius. També a la pràctica, sovint es troben aquestes subespècies:

1. El risc de filtració o destrucció de la informació necessària per a la formació dels processos organitzatius. Implica l'eliminació intencionada o accidental de fitxers en un sistema d'informació automatitzat. Aquestes accions poden comportar un fracàs greu i la incapacitat de l'estructura comercial per complir les seves obligacions amb els clients.
2. Risc d'utilitzar dades esbiaixades o falsificades (falses). Un exemple seria una ordre de pagament no real. Encara que hi ha opcions més complexes. Per exemple, utilitzar un pagament transferit prèviament quan se substitueix un dels participants.
3. Risc de problemes per proporcionar informació objectiva i actualitzada als clients. Per regla general, això es deu al funcionament dels sistemes informàtics.
4. Risc de transmetre informació perjudicial per a l'organització. Alguns exemples inclouen rumors, calúmnies, informació comprometedora sobre alts càrrecs, filtració de documents valuosos (amb la posterior exposició als mitjans) i similars.

Causes i com tractar-les

Deix la casualitat que el risc operacional d'una organització no només passa. Capel problema té la seva arrel. Els motius principals són els següents:

1. Manca de qualificacions i manca d'un enfocament seriós de la formació i el desenvolupament professional. El factor humà pot influir molt en l'organització i sovint és la font de problemes. Per tant, moltes empreses no poden utilitzar correctament les capacitats disponibles dels sistemes d'informació. Això es veu agreujat pel nivell limitat de coneixement dels usuaris normals.
2. No es presta la deguda atenció a la seguretat de la informació i ignora les amenaces reals que provenen d'aquest sector. El desconeixement dels òrgans de govern, el finançament insuficient, la manca de mesures per augmentar el nivell de fiabilitat del sistema, etc., no fan més que agreujar la situació.
3. Baixa qualitat, així com desenvolupament insuficient de procediments orientats a prevenir riscos. Així mateix, poca gent es preocupa per l'existència d'una política i una descripció de treball adequades en l'àmbit de la seguretat. Per això, en situacions de crisi, la confusió i el desconeixement dels empleats poden agreujar el problema.
4. Sistema de protecció d'actius d'informació ineficient. N'hi ha prou que un atacant trobi un punt feble, i això ja hauria de ser suficient per causar danys greus. El millor és que es proporcioni una defensa en profunditat.
5. Un gran nombre de debilitats en sistemes automatitzats i diversos productes de programari, si s'utilitza programari no provat. Per a un atacant, aquest és un autèntic regal.

Arreglar la situació

I què fer? Nombrosos tipus de quiròfansels riscos amenacen de materialitzar-se, així que heu de recordar el vell adagi que el peix es podreix del cap. Per tant, cal començar amb una guia. Podeu implementar els elements següents:

1. El màxim directiu (consell d'administració) té un paper clau en la formació d'un sistema de gestió, control i protecció.
2. Hem de crear, implementar i aplicar adequadament sistemes sense fissures allà on siguin necessaris i valgui la pena desenvolupar-los.
3. Hem de treballar en el sistema de gestió de riscos. Després de crear-lo, cal analitzar la presència de vulnerabilitats. També hauríeu de pensar en el control dels òrgans executius.
4. El màxim executiu (el consell d'administració) estableix els límits de l'apetit al risc.
5. L'òrgan executiu hauria de desenvolupar un conjunt d'eines clar, eficaç i fiable amb àrees de competència transparents, coherents i significatives. Se li encarregarà la implementació dels principis, processos i sistemes bàsics implicats en l'ajust del risc.
6. L'òrgan executiu ha d'identificar i avaluar els problemes actuals, així com formular-ne la naturalesa i els factors. A més, deixeu-lo proporcionar la implementació de les innovacions desenvolupades. A més, es pot encarregar a l'òrgan executiu el procés de seguiment i control dels informes de les unitats individuals.
7. Ha d'existir un sistema fiable i complet de control i transferència/mitigació de riscos.
8. S'ha de desenvolupar un pla per garantir la recuperació i la continuïtat del negoci de l'organització siproblemes evidents.

Això és tot?

Per descomptat que no. Són paraules exclusivament generalitzadores, en què es consideren punts fonamentals. Mentre es treballa amb situacions específiques, s'hauran d'adaptar a les condicions existents. Vegem un petit exemple. El banc disposa de procediments de gestió ben definits en cas que es materialitzi una amenaça de risc de crèdit. S'estableixen criteris per als prestataris potencials i s'ofereixen garanties per als préstecs. Es contracta un especialista extern per avaluar la garantia proposada. I així es va assignar a la seguretat un preu més alt del que costa realment al mercat. Per dir-ho així, la situació s'està desenvolupant a favor del prestatari. Al mateix temps, no es va tornar a comprovar l'adequació de l'avaluació dins del banc. Passat un cert temps, es produeix una situació en què el prestatari no pot pagar el préstec contractat. El banc espera poder pagar el deute sorgit amb la venda de la garantia. Però a la pràctica, resulta que el preu de mercat només pot cobrir la meitat del préstec. La causa d'aquest problema és l'incompliment dels procediments. Després de tot, d'acord amb els requisits existents, les institucions financeres han de revisar el preu de la garantia. Així va augmentar el risc operacional i, després, el risc de crèdit. I també podeu recordar com els bancs individuals emeten préstecs deliberadament incobrables, violant tots els procediments imaginables. Aquestes institucions cauen ràpidament a la cua de la liquidació. La magnitud del risc operacional es veu afectada en aquest cas per la connivència dels empleats. Per desgràcia, és extremadament difícil evitar completament aquestes situacions.problemàtica. Només es pot minimitzar introduint la formació, un sistema de control eficaç i una disciplina estricta.

Exemples reals

Poden passar coses a la vida que ni els escriptors poden pensar. Hi va haver situacions en què el nivell de risc operacional simplement va sortir d'escala, però aquesta situació no es va poder identificar durant molt de temps. Vegem alguns dels exemples més impressionants. Hi havia una persona així: Jerome Kerviel. Oh era comerciant del banc d'inversió Société Générale. L'any 2007 va obrir posicions als índexs de les borses europees per a futurs. Sembla una història comuna. Però la suma de les posicions era d'uns 50.000 milions d'euros! Això és una vegada i mitja la capitalització del banc! Com va ser capaç Jerome de fer això? El cas és que abans treballava a l'oficina i coneixia bé el funcionament del mecanisme de control. Va ser descobert només a finals de gener de 2008. Es va decidir tancar-los el més aviat possible. Però l'enorme mida de la posició va provocar una venda a les borses. Per això, el banc va perdre 7.200 milions de dòlars (o 4.900 milions d'euros). O un exemple més. Hi havia un home com John Rusnak. Va treballar a la sucursal nord-americana del banc més gran d'Irlanda, el nom del qual és Allied Irish Bank. Va ser contractat l'any 1993. El 1996, John va començar a realitzar operacions arriscades amb el ien japonès. Però no van tenir èxit, hi va haver pèrdues. Però en John va aconseguir amagar les creixents pèrdues dels socis. Per exemple, el 1997, va perdre 29,1 milions de dòlars. L'any 2001, la quantitat ja era de 300 milions! Per amagar aquestes pèrdues, va falsificar declaracions. Per a les seves operacions, aquest comerciant fins i tot va aconseguir rebre bonificacions per un import de 433 mil dòlars. Tot va sortir a la llum l'any 2001. En el moment de l'obertura, la pèrdua total era de 691 milions de dòlars. Les pèrdues més petites i els riscos operatius són molt més comuns que els tan grans. A l'era de l'automatització, amb l'enfocament adequat, es poden minimitzar significativament.

Riscos externs i les seves solucions

Sorgeixen durant la relació de l'organització amb el món exterior. Això pot ser robatori, robatori, penetració de tercers en el sistema d'informació, fallada d'infraestructures i desastres naturals. Encara que, potser, també s'hauria d'atribuir l'entorn legislatiu. Quins mètodes d'avaluació del risc operacional s'han d'utilitzar per fer-se una idea de la situació actual? Hi ha una sèrie de recomanacions per al pla general de treball. A més, el càlcul del risc operacional es pot dur a terme mitjançant models matemàtics creats especialment per a aquesta finalitat. Aleshores, què cal fer per crear un sistema de gestió eficaç que pugui fer front als problemes?

Pla d'acció

Primer de tot, cal tenir cura d'una arquitectura adequada. És a dir, si els problemes es troben en el propi sistema, aleshores, per desgràcia, fins i tot el millor especialista no podrà proporcionar un resultat satisfactori. També ha de ser raonable. Suposem que hi ha un cert nombre d'incidents menors que costen 10 mil rubles a l'any. Podeu crear un sistema que els impedirà al 100%. Però el seu cost100 mil rubles. En aquest cas, hauríeu de pensar en la conveniència. Per descomptat, si parlem de robatori o alguna cosa semblant, que anirà creixent gradualment, no podem dubtar-ho. Després de tot, si retardeu, els riscos operatius de l'empresa poden augmentar tant que destrueixen l'empresa. Però per mantenir el sistema en condicions adequades, tres mètodes ajudaran:

1. Comprova l'autoavaluació.
2. Indicadors de risc clau.
3. Gestió d'incidents operatius.

Resolució de problemes

Molts factors afecten la magnitud del risc operacional. Com menys d'ells, millor. L'ideal és que els problemes es resolguin abans que sorgeixin. Per tant, l'avaluació del risc operacional té un paper important. Com gastar-ho? En primer lloc, cal centrar-se en l'autoavaluació de control. Parafrasejant, aquest mètode es pot anomenar una conversa franca sobre problemes. S'implementa en forma d'enquestes als empleats. Després hi ha els principals indicadors de risc. Aquests indicadors us permeten conèixer els problemes propers fins i tot abans que es manifestin amb tota força. Això sí, si es seleccionen adequadament i es recullen les seves dades. I tanca la trinitat és la gestió d'incidències. L'objectiu d'aquest procediment és investigar, identificar l'abast dels problemes i tractar-los. Si això no es fa, l'empresa s'enfronta a riscos financers. El risc operacional tendeix a augmentar amb el temps. Això s'ha de recordar.