Операционен риск на организацията

Предприемаческата дейност е пълна с рискове. Те се срещат тук и там. Един от най-вероятните е операционният риск. Какво е това? Как се извършва управлението на операционния риск? Какво влияе върху неговата стойност?

Обща информация

И ние започваме с терминология. Операционен риск е рискът от загуба поради грешка / неадекватно действие от страна на служителите на организацията, системни повреди или външни събития. Те включват репутационни, стратегически и правни загуби. Това означава, че операционният риск е свързан с осъществяването на бизнес функциите на предприятието. Използва се за обозначаване на риска от допълнителни разходи, дължащи се на несъответствие между характера и степента на кредитната структура, нарушаването на изискванията на действащото законодателство, процедурите за взаимодействие с банковите институции. Например, може да включва нарушение на банков служител, непредвидени или целенасочени незаконни действия от негова страна, неизправност в работата на функционални / автоматизирани системи поради външни влияния.

В зависимост от произхода се идентифицират вътрешни и външни рискове. Те, от своя страна, са разделени на класове. Вътрешните рискове включват всичко свързано с персонала, процесите и системите. Да разгледаме няколко примера. Дали дейностите на служителите са вредни? Заплахата. Има ли недостатъци в бизнес процесите? Заплахата. Дали работата на информационните системи затруднява? Заплахата. Външните рискове са бедствия, сигурност (физически, данни), прекъсване на отношенията с клиенти и контрагенти, както и от регулаторните органи. Нека да разгледаме и примери за тези случаи. Пожари и терористични актове могат да се случат? Заплахата. Нискокачествената или неверната информация, стоки, услуги, технологии може да наруши взаимодействието с клиентите и контрагентите? Заплахата. Фалшификати, кражби, атаки, кражби с взлом и т.н. ще подкопаят позицията на организацията? Заплахата. Промените в законодателството и регулаторната рамка ще доведат до допълнителни дейности? Заплахата.

Същност и видове

Ако искате да избегнете нещо, трябва да го знаете лично. Светът се развива, става по-трудно. Поради това се увеличава рискът от операционен риск. Като подкрепа за по-нататъшна информация се взема "Базел II". Според него оперативните рискове включват всичко, което може да доведе до материални щети на организацията поради неправилни (или неизпълнени) действия на персонала, външно влияние, грешни процеси и други подобни. Те не подписват, но също така нямат съвет как да се борят ефективно с тях. Основната цел на Базел II е изчисляването на обема на покритието за тях. Освен това съществува мощна система за управление, чиято задача е да намали вероятността от операционни рискове. Този документ гласи, че ръководството и управителният съвет трябва да поемат функциите зад тях. Именно те отговарят за докладването на операционните рискове и размера на настоящите щети. От тази гледна точка се разграничават два вида: онези, които пряко или косвено зависят от дадено лице, и форсмажорни обстоятелства. Последните включват земетресения, урагани, свлачища, свлачища и т.н. С първото всичко е много по-разнообразно. Така че има четири основни групи:

1. Преднамерени действия. Те включват измами и други умишлени действия, които водят до увреждане.
2. Неволни действия. Това е избор от технологии, които не са напълно изработени, погрешни несъзнателни действия на служителите, неадекватно изпълнение от страна на управителите на техните задължения.
3. Технически рискове, които са пряко или непряко свързани с човешката дейност. Това е неуспех в мрежата, външни комуникации, разрушаване на машини и други подобни.
4. Програмни рискове, които са пряко или косвено свързани с човешката дейност. Това е провал в средствата за телекомуникации и / или компютърен хардуер.

Специфична характеристика на практическото прилагане

Тъй като знаещите хора могат да потвърдят, управлението на операционните рискове в действителност има много различия от теоретичните препоръки. По-конкретно, ситуацията е доста рядка, когато ръководството поема проблематичните проблеми, които са причинени от неизправности в информационната система. Прехвърлянето на такава работа на специалисти с по-ниска квалификация се практикува. Този подход често води до още по-големи загуби. Това е важно, само защото операционният риск е един от трите най-важни и значими. Също така на практика такива подвидове често се срещат:

1. Рискът от изтичане или унищожаване на информация, който е необходим за формирането на организационни процеси. Умишлено или случайно изтриване на файлове в автоматизирана информационна система е предназначено. Тези действия могат да доведат до сериозен провал и неспособността на търговската структура да изпълни задълженията, поети към клиентите.
2. Рискът от използване на предубедени или фалшифицирани (фалшиви) данни. Например, това не е действителното платежно нареждане. Въпреки че има по-сложни опции. Например, използването на вече прехвърлено плащане, когато един от участниците е заменен.
3. Риск от проблеми при предоставянето на обективна и актуална информация на клиентите. Обикновено това се дължи на работата на компютърните системи.
4. Рискът от прехвърляне на информация, която не е от полза за организацията. Примерите включват слухове, клевета, компрометиране на доказателства за водещата връзка, изтичане на ценни документи (с последващо ударение в медиите) и други подобни.

Причините за появата и как да се справят с тях

Вече се случи, че оперативният риск на организацията не изглежда точно така. Всеки проблем има свой собствен корен. Основните причини са следните:

1. Липса на квалификация и липса на сериозен подход в областта на образованието и професионалното развитие. Човешкият фактор може силно да повлияе на организацията и често е източник на проблеми. Така че много компании не могат правилно да използват наличните възможности на информационните системи. Това допълнително се влошава от ограниченото ниво на познание на обикновените потребители.
2. Не се отделя необходимото внимание на информационната сигурност и се игнорират реалните заплахи, които произтичат от този сектор. Пренебрегването от страна на управителните органи, недостатъчното финансиране, липсата на мерки за повишаване нивото на надеждност на системите и т.н. само усложняват ситуацията.
3. Ниско качество, както и неадекватно разработване на процедури, насочени към предвиждане на рисковете. Също така, малко хора се интересуват от наличието на адекватни политики и длъжностни характеристики в областта на сигурността. Поради това в кризисни ситуации объркването и невежеството на служителите могат да задълбочат проблема.
4. Ниско ефективна система за защита на информационните активи. Достатъчно е един нападател да намери една слаба точка и това вече трябва да е достатъчно, за да причини сериозни щети. Най-добре е да се осигури слоеста защита.
5. Голям брой слабости в автоматизирани системи и различни софтуерни продукти, ако се използва неизползван софтуер. За нападателя това е истински подарък.

Коригиране на ситуацията

И какво трябва да направя? Много видове операционни рискове заплашват да бъдат реализирани, че човек трябва да помни старата поговорка, че рибата се гние от главата. Ето защо е необходимо да започнете с управлението. Можете да реализирате такива елементи:

1. Върховният мениджър (бордът на директорите) играе ключова роля в учредяването на система за управление, контрол и защита.
2. Необходимо е да се създават, прилагат и адекватно прилагат безпроблемно функциониращи системи, където и да са необходими, и има смисъл да бъдат разработени.
3. Необходимо е да се работи върху системата за управление на риска. След като бъде създаден, трябва да анализирате уязвимостите. Също така трябва да мислите за контрола върху изпълнителните органи.
4. Върховният мениджър (бордът на директорите) определя границите на апетита за риск.
5. Изпълнителният орган трябва да разработи ясен, ефективен и надежден инструмент с прозрачни, последователни и пълноценни компетенции. Той ще бъде натоварен с прилагането на основните принципи, процеси и системи, свързани с коригирането на риска.
6. Изпълнителният орган трябва да идентифицира и оцени текущите проблеми, както и да формулира техния характер и фактори. Освен това нека да осигури изпълнението на разработените иновации. Също така изпълнителната власт може да бъде натоварена с контрола и отчитането на контрола върху отделните звена.
7. Необходимо е да се осигури наличието на надеждна и пълноценна система за контрол, както и прехвърлянето / намаляването на риска.
8. Трябва да се разработи план, който да гарантира възстановяването и непрекъснатата работа на организацията, ако има очевидни проблеми.

Това ли е всичко?

Разбира се, че не. Това са само обобщаващи думи, в които се разглеждат основните въпроси. Когато работите със специфични ситуации, те ще трябва да бъдат персонализирани според съществуващите условия. Нека да разгледаме един малък пример. Банката има утвърдени управленски процедури в случай на изпълнение на заплахата от кредитен риск. Потенциалните кредитополучатели са изложени на критериите и осигуряват сигурност за заеми. За да се оцени предложеното обезпечение, се включва външен специалист. И за него сигурността беше дадена на повече цена, отколкото всъщност е на пазара. Така да се каже, ситуацията се развива в полза на кредитополучателя. В същото време, адекватността на оценката не е кръстосана проверка в рамките на банката. След известно време има ситуация, при която кредитополучателят не може да погаси получения заем. Банката очаква, че ще може да погаси дълга, като продаде залога. Но на практика се оказва, че пазарната цена може да покрие само половината от заема. Причината за този проблем е неспазването на процедурите. В края на краищата, съгласно съществуващите изисквания, финансовите институции трябва да проверят отново цената на ипотеката. По този начин операционният риск се увеличи, а след това и кредитният риск. Също така можете да си припомните как отделните банки издават съзнателно неотменими заеми, нарушаващи всички възможни процедури. Такива институции бързо попадат в опашката за ликвидация. Стойността на операционния риск е засегната в този случай от съучастие на служителите. Уви, напълно избягвайки подобни ситуации е изключително проблематично. Тя може да бъде сведена до минимум чрез въвеждане на обучение, ефективна система за мониторинг и строга дисциплина.

Реални примери

В живота може да има нещо, за което сценаристите не могат да мислят. Имаше такива ситуации, когато нивото на операционния риск беше просто извън обхвата, но тази ситуация не можеше да бъде открита за дълго време. Нека да разгледаме някои от най-впечатляващите примери. Имаше такъв човек - Джером Кервиел. O е търговец на инвестиционната банка Société Générale. През 2007 г. той откри позиции за индексите на европейските борси за фючърси. Изглежда, че е обикновена история. Но сумата от позициите е била около 50 милиарда евро! Това е един и половина пъти по-висок от капитализацията на банката! Как успя Джером да направи това? Фактът, че той преди това е работил в кабинета и знае добре работата на контролния механизъм. Тя е открита едва в края на януари 2008 година. Бяха решени да ги затворят бързо. Но огромното количество позиции предизвикаха продажби на фондовите пазари. Поради това банката загуби 7,2 млрд. Долара (или 4,9 млрд. Евро). Или още един пример. Имаше човек като Джон Руснак. Работил е в американския клон на най-голямата банка в Ирландия, чието име е Allied Irish Bank. Той е нает през 1993 г. През 1996 г. Джон започва да извършва рискови операции с японската йена. Но те не успяха, започнаха да губят пари. Но Джон успя да се скрие от загубите на партньорите. Например през 1997 г. той загуби $ 29,1 милиона. През 2001 г. сумата вече е 300 милиона! За да скрие тези загуби, той фалшифицира счетоводството. За операциите си този търговец дори успя да получи бонуси в размер на 433 хиляди долара. Всичко бе открито през 2001 година. По време на аутопсията общата загуба възлиза на 691 милиона долара. По-малките загуби и оперативните рискове се срещат по-често от големите. В ерата на автоматизацията с правилния подход те могат да бъдат значително сведени до минимум.

Външни рискове и тяхното решение

Те възникват по време на връзката на организацията с външния свят. Това може да бъде грабеж, кражба, инфилтрация от трети страни в информационната система, неуспех на инфраструктурата и природни бедствия. Въпреки че може би трябва да се припише на законодателната среда. Какви методи за оценка на операционния риск трябва да се използват, за да получите представа за ситуацията? Съществуват редица препоръки относно общата схема на работа. Освен това, изчисляването на операционния риск може да бъде направено чрез специално създадени за тези математически модели. И така, какво трябва да направите, за да създадете ефективна система за управление, която може да се справи с проблемите?

План за действие

На първо място, необходимо е да се грижи за адекватна архитектура. Това означава, че ако проблемите в самата система, а след това, уви, дори най-добрият специалист не може да даде задоволителен резултат. Също така трябва да е разумно. Да допуснем, че има определен брой малки инциденти, които струват 10 000 рубли годишно. Можете да създадете система, която да ги предотврати 100%. Но неговата цена е 100 хиляди рубли. В този случай трябва да се мисли за целесъобразност. Разбира се, ако става въпрос за кражба или нещо подобно, което постепенно ще нараства по мащаб, тогава не можете да останете. В края на краищата, ако дърпате, операционните рискове на компанията могат да се увеличат толкова много, че да унищожат компанията. Но за да се подкрепи системата като цяло, адекватното състояние ще помогне на три метода:

1. Контрол на самооценката.
2. Ключови показатели за риска.
3. Управление на експлоатационни инциденти.

Решаване на проблеми

Размерът на операционния риск се влияе от много фактори. Колкото по-малко, толкова по-добре. Оптимално е, ако проблемите се решат преди да възникнат. Следователно оценката на операционния риск играе важна роля. Как да го проведем? На първо място, необходимо е да се съсредоточим върху самооценката на контрола. Парафразирайки, този метод може да се нарече честен разговор за проблемите. Извършва се под формата на проучвания на служителите. След това идват основните показатели за риска. Тези индикатори ви позволяват да научите за наближаващите проблеми дори преди да се проявят в пълна сила. Разбира се, ако са адекватно подбрани и събрани данните си. Троицата приключва управлението на инцидентите. Целта на тази процедура е да проведе разследване, да определи обхвата на проблемите и да се справи с тях. Ако това не бъде направено, тогава предприятието очаква финансови рискове. Оперативният риск с времето, като правило, само расте. Това трябва да се запомни.