Institucionální operační riziko

2024 Autor: Howard Calhoun | [email protected]. Naposledy změněno: 2023-12-17 10:22

Podnikání je plné rizik. Sem tam se potkají. Jedním z nejpravděpodobnějších je operační riziko. co zastupuje? Jak je řízeno operační riziko? Co ovlivňuje jeho hodnotu?

Obecné informace

A začneme s terminologií. Operační riziko je riziko ztráty v důsledku chyby/neadekvátního jednání ze strany zaměstnanců organizace, selhání systému nebo externích událostí. Patří mezi ně reputační, strategické a právní ztráty. To znamená, že operační riziko je spojeno s implementací obchodních funkcí podniku. Používá se k označení rizika dodatečných nákladů v důsledku nejednotnosti povahy a rozsahu úvěrové struktury, porušení požadavků současné legislativy, postupů při interakci s bankovními institucemi. Může se jednat například o provinění pracovníka banky, neúmyslné nebo účelové protiprávní jednání z jeho strany, výpadek v provozu funkčních / automatizovaných systémů z důvodu vnějšího vlivu.

V závislosti na původu, internía vnější rizika. Ti jsou zase rozděleni do tříd. Interní rizika zahrnují vše, co souvisí s lidmi, procesy a systémy. Podívejme se na pár příkladů. Může jednání zaměstnanců způsobit škodu? Hrozba. Jsou v obchodních procesech chyby? Hrozba. Selhání informačních systémů? Hrozba. Externí rizika jsou katastrofy, bezpečnost (fyzická, datová), narušení vztahů se zákazníky a protistranami a také ze strany regulačních úřadů. Podívejme se na příklady těchto případů. Může dojít k požárům a teroristickým útokům? Hrozba. Mohou nekvalitní nebo nepravdivé informace, zboží, služby, technologie narušit interakci se zákazníky a protistranami? Hrozba. Podkopou padělky, krádeže, útoky, vloupání atd. pozici organizace? Hrozba. Vynutí si změny v legislativě a regulačním rámci další aktivity? Hrozba.

Podstata a typy

Pokud se chcete něčemu vyhnout, musíte to vědět osobně. Svět se vyvíjí a stává se složitějším. Z tohoto důvodu se zvyšuje nebezpečí z operačních rizik. Basel II je brán jako reference pro další informace. Mezi operační rizika podle něj patří vše, co může vést k materiální škodě organizace v důsledku nesprávného (nebo neprovedení potřebného) jednání personálu, vnější vlivy, chybné procesy a podobně. Sami se nepodepisují a neexistují žádné tipy, jak proti nim zorganizovat účinný boj. Hlavním účelem Basel II je vypočítat pro ně výši krytí. Navíc existuje silný systém řízení, jehož úkolem je pomáhat snižovat pravděpodobnost operačních rizik. Tento dokument stanoví, že vedení a představenstvo by měly převzít funkci za nimi. A právě oni jsou zodpovědní za reporting operačních rizik a výši aktuálních škod. Z tohoto hlediska se rozlišují dva typy: ty, které přímo či nepřímo závisejí na člověku, a okolnosti vyšší moci. Mezi ty druhé patří zemětřesení, hurikány, bahenní proudy, sesuvy půdy a tak dále. U prvního je vše mnohem rozmanitější. Takže existují čtyři hlavní skupiny:

1. Úmyslné akce. Patří mezi ně podvody a další záměrné akce, které vedou ke škodě.
2. Neúmyslné jednání. Jedná se o výběr technologie, která není plně vyvinuta, chybné neúmyslné jednání zaměstnanců, nedostatečné plnění povinností manažerů.
3. Technická rizika, která přímo nebo nepřímo souvisí s lidskou činností. Jedná se o poruchu v síti, externí komunikaci, poruchu obráběcích strojů a podobně.
4. Programová rizika, která přímo nebo nepřímo souvisí s lidskou činností. Toto je porucha v telekomunikačním a/nebo počítačovém vybavení.

Specifika praktické implementace

Jak mohou potvrdit lidé znalí, řízení operačních rizik se ve skutečnosti hodně liší od teoretických rad. Zejména situace je poměrně vzácnákdy management přebírá problematické záležitosti, které jsou způsobeny poruchami v informačním systému. Je praktikováno převedení takové práce na specialisty s nižší kvalifikací. Tento přístup často vede k ještě větším ztrátám. To je důležité, už proto, že operační riziko je jedním ze tří nejdůležitějších a nejvýznamnějších. Také v praxi se často vyskytují takové poddruhy:

1. Riziko úniku nebo zničení informací, které jsou nezbytné pro formování organizačních procesů. Znamená to úmyslné nebo náhodné smazání souborů v automatizovaném informačním systému. Tyto akce mohou vést k vážnému selhání a neschopnosti obchodní struktury plnit své závazky vůči zákazníkům.
2. Riziko použití zkreslených nebo zfalšovaných (falešných) údajů. Příkladem může být nereálný platební příkaz. I když existují složitější možnosti. Například pomocí dříve převedené platby, když je jeden z účastníků nahrazen.
3. Riziko problémů s poskytováním objektivních a aktuálních informací klientům. Zpravidla je to způsobeno provozem počítačových systémů.
4. Riziko přenosu informací, které jsou pro organizaci nevýhodné. Příklady zahrnují fámy, pomluvy, kompromitující informace o vysokých úřednících, únik cenných dokumentů (s následným vystavením médiím) a podobně.

Příčiny a jak se s nimi vypořádat

Stává se, že k operačnímu riziku organizace jen tak nedojde. Žádnýproblém má svůj kořen. Mezi hlavní důvody patří následující:

1. Nedostatek kvalifikace a nedostatek seriózního přístupu ke školení a profesnímu rozvoji. Lidský faktor může organizaci velmi ovlivnit a je nejčastěji zdrojem problémů. Mnoho společností tak nedokáže správně využívat dostupné možnosti informačních systémů. To je umocněno omezenou úrovní znalostí běžných uživatelů.
2. Bezpečnosti informací není věnována náležitá pozornost a ignorují se skutečné hrozby, které z tohoto sektoru přicházejí. Neznalost řídících orgánů, nedostatečné financování, nedostatek opatření ke zvýšení úrovně spolehlivosti systému atd. situaci jen zhoršují.
3. Nízká kvalita a také nedostatečný vývoj postupů zaměřených na prevenci rizik. Málokdo se také stará o existenci adekvátní politiky a popisu práce v oblasti bezpečnosti. Z tohoto důvodu může v krizových situacích zmatek a neznalost zaměstnanců problém prohloubit.
4. Neefektivní systém ochrany informačního majetku. Útočníkovi stačí najít jedno slabé místo a to už by mělo stačit k vážnému poškození. Nejlepší je, když je zajištěna ochrana do hloubky.
5. Velký počet slabin v automatizovaných systémech a různých softwarových produktech, pokud se používá nevyzkoušený software. Pro útočníka je to skutečný dárek.

Oprava situace

A co dělat? Četné typy operačních sálůhrozí, že se rizika naplní, takže byste si měli pamatovat staré pořekadlo, že ryba hnije od hlavy. Proto je nutné začít s průvodcem. Můžete implementovat následující položky:

1. Vrcholový manažer (představenstvo) hraje klíčovou roli při vytváření systému řízení, kontroly a ochrany.
2. Potřebujeme vytvořit, implementovat a adekvátně aplikovat bezproblémové systémy všude tam, kde jsou potřeba a stojí za to je rozvíjet.
3. Musíme zapracovat na systému řízení rizik. Po jeho vytvoření je třeba analyzovat přítomnost zranitelností. Měli byste také myslet na kontrolu nad výkonnými orgány.
4. Vedoucí pracovník (představenstvo) stanoví limity ochoty riskovat.
5. Výkonný orgán by měl vytvořit jasný, účinný a spolehlivý soubor nástrojů s transparentními, konzistentními a smysluplnými oblastmi působnosti. Bude pověřena implementací základních principů, procesů a systémů zapojených do přizpůsobování rizik.
6. Výkonný orgán by měl identifikovat a vyhodnotit aktuální problémy a také formulovat jejich povahu a faktory. Nechte ho navíc zajistit implementaci vyvinutých novinek. Výkonný orgán může být také pověřen procesem sledování a kontroly reportingu jednotlivých jednotek.
7. Musí být zaveden spolehlivý a komplexní systém kontroly a přenosu/zmírňování rizik.
8. Měl by být vypracován plán, který zajistí obnovu a obchodní kontinuitu organizacezjevné problémy.

To je vše?

Samozřejmě že ne. Toto jsou výlučně zobecňující slova, ve kterých jsou zvažovány základní body. Při práci se specifickými situacemi bude nutné je přizpůsobit stávajícím podmínkám. Podívejme se na malý příklad. Banka má dobře definované postupy řízení pro případ, že by se naplnila hrozba úvěrového rizika. Pro potenciální dlužníky jsou stanovena kritéria a poskytnuta zástava úvěrů. Posouzení navrhovaného zajištění je najato externím specialistou. A tak byla cennému papíru přidělena vyšší cena, než ve skutečnosti stojí na trhu. Dá se říci, že se situace vyvíjí ve prospěch dlužníka. Zároveň nebyla v rámci banky překontrolována přiměřenost hodnocení. Po určité době nastává situace, kdy dlužník nemůže splácet přijatý úvěr. Banka očekává, že se jí podaří splatit vzniklý dluh prodejem zástavy. V praxi se ale ukazuje, že tržní cena dokáže pokrýt jen polovinu úvěru. Příčinou tohoto problému je nedodržování postupů. Koneckonců podle stávajících požadavků musí finanční instituce dvakrát zkontrolovat cenu zajištění. Tak se zvýšilo operační riziko a po něm riziko kreditní. A také si můžete vzpomenout, jak jednotlivé banky vydávají záměrně špatné úvěry a porušují tak všechny myslitelné postupy. Takové instituce rychle spadají do fronty na likvidaci. Velikost operačního rizika je v tomto případě ovlivněna shovívavostí zaměstnanců. Bohužel je velmi obtížné se takovým situacím úplně vyhnout.problematický. Lze jej minimalizovat pouze zavedením školení, efektivního kontrolního systému a přísné disciplíny.

Skutečné příklady

V životě se mohou stát věci, na které ani spisovatelé nepomyslí. Byly situace, kdy se úroveň operačního rizika prostě vymkla z měřítka, ale tento stav se dlouho nedařilo identifikovat. Podívejme se na některé z nejpůsobivějších příkladů. Byl tam takový člověk - Jerome Kerviel. Oh byl obchodníkem pro investiční banku Société Générale. V roce 2007 otevřel pozice na indexech evropských burz pro futures. Vypadá to jako běžný příběh. Součet pozic byl ale asi 50 miliard eur! To je jedenapůlnásobek kapitalizace banky! Jak to mohl Jerome udělat? Faktem je, že předtím pracoval v kanceláři a dobře znal práci kontrolního mechanismu. Objevena byla až na konci ledna 2008. Bylo rozhodnuto je co nejdříve zavřít. Obrovská velikost pozice však vyvolala výprodej na akciových trzích. Kvůli tomu banka přišla o 7,2 miliardy dolarů (nebo 4,9 miliardy eur). Nebo ještě jeden příklad. Byl tam muž jako John Rusnak. Pracoval v americké pobočce největší banky v Irsku, která se jmenuje Allied Irish Bank. Byl přijat v roce 1993. V roce 1996 začal John provádět rizikové transakce s japonským jenem. Ale byli neúspěšní, došlo ke ztrátám. Johnovi se ale podařilo před partnery skrývat rostoucí ztráty. Například v roce 1997 prodělal 29,1 milionu dolarů. V roce 2001 to byla již částka 300 milionů! Aby takové ztráty skryl, zfalšoval prohlášení. Za své operace se tomuto obchodníkovi dokonce podařilo získat bonusy ve výši 433 tisíc dolarů. Vše vyšlo najevo v roce 2001. V době otevření byla celková ztráta 691 milionů $. Menší ztráty a operační rizika jsou mnohem častější než takto velká. Ve věku automatizace je lze správným přístupem výrazně minimalizovat.

Externí rizika a jejich řešení

Vznikají během vztahu organizace s vnějším světem. Může se jednat o loupeže, krádeže, průniky třetích osob do informačního systému, selhání infrastruktury a živelné pohromy. I když možná je třeba přičíst i legislativní prostředí. Jaké metody hodnocení operačních rizik použít, abyste získali představu o současné situaci? Existuje řada doporučení pro obecné schéma práce. Kromě toho lze výpočet operačního rizika provádět pomocí matematických modelů speciálně vytvořených pro tento účel. Co je tedy potřeba udělat pro vytvoření efektivního systému řízení, který si poradí s problémy?

Akční plán

Především se musíte postarat o adekvátní architekturu. To znamená, že pokud jsou problémy v samotném systému, pak, bohužel, ani ten nejlepší specialista nebude schopen poskytnout uspokojivý výsledek. Musí to být také rozumné. Předpokládejme, že existuje určitý počet menších incidentů, které stojí 10 tisíc rublů ročně. Můžete si vytvořit systém, který jim 100% zabrání. Ale jeho náklady100 tisíc rublů. V tomto případě byste měli přemýšlet o vhodnosti. Samozřejmě, pokud se bavíme o krádeži nebo něčem podobném, co bude postupně narůstat, tak nemůžeme váhat. Koneckonců, pokud budete zpoždění, pak se provozní rizika podniku mohou zvýšit natolik, že zničí společnost. Ale k udržení systému v obecně adekvátním stavu vám pomohou tři metody:

1. Zkontrolujte sebehodnocení.
2. Klíčové ukazatele rizik.
3. Správa provozních incidentů.

Řešení problémů

Velikost operačního rizika ovlivňuje mnoho faktorů. Čím méně jich bude, tím lépe. V ideálním případě jsou problémy vyřešeny dříve, než nastanou. Významnou roli proto hraje hodnocení operačního rizika. jak ho strávit? V první řadě je potřeba se zaměřit na kontrolní sebehodnocení. Abychom parafrázovali, tuto metodu lze nazvat upřímnou konverzací o problémech. Realizuje se formou zaměstnaneckých průzkumů. Dále jsou to klíčové ukazatele rizik. Tyto indikátory vám umožňují vědět o nadcházejících problémech ještě dříve, než se projeví v plné síle. Samozřejmě, pokud jsou adekvátně vybráni a shromážděna jejich data. A trojici uzavírá správa incidentů. Účelem tohoto postupu je prozkoumat, identifikovat rozsah problémů a řešit je. Pokud se tak nestane, společnost čelí finančním rizikům. Operační riziko má tendenci se časem zvyšovat. Toto je třeba mít na paměti.