Institutioneel operationeel risico

2024 Auteur: Howard Calhoun | [email protected]. Laatst gewijzigd: 2023-12-17 10:36

Zaken zitten vol risico's. Ze ontmoeten elkaar hier en daar. Een van de meest waarschijnlijke is het operationele risico. Wat vertegenwoordigt hij? Hoe wordt het operationele risico beheerd? Wat beïnvloedt de waarde ervan?

Algemene informatie

En we beginnen met de terminologie. Operationeel risico is het risico op verlies door een fout/onvoldoende optreden van de medewerkers van de organisatie, systeemstoringen of externe gebeurtenissen. Deze omvatten reputatie-, strategische en juridische verliezen. Dat wil zeggen, operationeel risico wordt geassocieerd met de uitvoering van de zakelijke functies van de onderneming. Het wordt gebruikt om het risico aan te geven van extra kosten als gevolg van de inconsistentie in de aard en omvang van de kredietstructuur, schending van de vereisten van de huidige wetgeving, procedures voor interactie met bankinstellingen. Het kan bijvoorbeeld gaan om een overtreding van een bankmedewerker, onopzettelijke of doelbewuste onwettige handelingen van zijn kant, een storing in de werking van functionele/geautomatiseerde systemen door invloeden van buitenaf.

Afhankelijk van de herkomst, internen externe risico's. Ze zijn op hun beurt onderverdeeld in klassen. Interne risico's omvatten alles wat te maken heeft met mensen, processen en systemen. Laten we een paar voorbeelden bekijken. Het handelen van werknemers kan schade berokkenen? De bedreiging. Zijn er fouten in bedrijfsprocessen? De bedreiging. Falen van informatiesystemen? De bedreiging. Externe risico's zijn catastrofes, beveiliging (fysiek, data), verstoring van relaties met klanten en tegenpartijen, maar ook van regelgevende instanties. Laten we eens kijken naar voorbeelden voor deze gevallen. Branden en terroristische aanslagen kunnen gebeuren? De bedreiging. Kunnen informatie, goederen, diensten en technologieën van lage kwaliteit of onjuiste informatie de interactie met klanten en tegenpartijen verstoren? De bedreiging. Zullen vervalsingen, diefstallen, aanslagen, inbraken etc. de positie van de organisatie ondermijnen? De bedreiging. Zullen veranderingen in wet- en regelgevend kader tot aanvullende activiteiten leiden? dreiging.

Essentie en soorten

Als je iets wilt vermijden, moet je het persoonlijk weten. De wereld evolueert en wordt steeds complexer. Hierdoor neemt het gevaar van operationele risico's toe. Bazel II wordt als referentie genomen voor meer informatie. Onder operationele risico's wordt volgens hem verstaan alles wat kan leiden tot materiële schade aan de organisatie door onjuist (of het niet uitvoeren van de benodigde) handelingen van personeel, invloeden van buitenaf, foutieve processen en dergelijke. Zelf tekenen ze niet, en er zijn geen tips om een effectieve strijd tegen hen te organiseren. Het belangrijkste doel van Basel II is om het dekkingsbedrag voor hen te berekenen. Daarnaast is er een sterk managementsysteem dat tot taak heeft de kans op operationele risico's te helpen verkleinen. Dit document bepa alt dat het management en de raad van bestuur de achterliggende functie overnemen. En zij zijn verantwoordelijk voor de rapportage over operationele risico's en de hoogte van de actuele schade. Vanuit dit oogpunt worden twee soorten onderscheiden: die welke direct of indirect afhankelijk zijn van een persoon, en overmachtsituaties. Deze laatste omvatten aardbevingen, orkanen, modderstromen, aardverschuivingen, enzovoort. Bij de eerste is alles veel diverser. Er zijn dus vier hoofdgroepen:

1. Opzettelijke acties. Deze omvatten fraude en andere opzettelijke acties die tot schade leiden.
2. Onbedoelde handelingen. Dit is een technologiekeuze die niet volledig is ontwikkeld, foutieve onopzettelijke acties van werknemers, ontoereikende uitvoering door managers van hun taken.
3. Technische risico's die direct of indirect verband houden met menselijke activiteiten. Dit is een storing in het netwerk, externe communicatie, storing van werktuigmachines en dergelijke.
4. Programmeer risico's die direct of indirect verband houden met menselijke activiteiten. Dit is een storing in telecommunicatie- en/of computerapparatuur.

Praktische implementatiespecificaties

Zoals kenners kunnen bevestigen, verschilt operationeel risicobeheer veel van theoretisch advies. In het bijzonder is de situatie vrij zeldzaamwanneer het management problematische vraagstukken oppakt die worden veroorzaakt door storingen in het informatiesysteem. Het is gebruikelijk om dergelijk werk over te dragen aan specialisten met lagere kwalificaties. Deze aanpak leidt vaak tot nog grotere verliezen. Dat is belangrijk, al was het maar omdat operationeel risico een van de drie belangrijkste en belangrijkste is. Ook in de praktijk komen dergelijke ondersoorten vaak voor:

1. Het risico van lekken of vernietiging van informatie die nodig is voor de vorming van organisatorische processen. Het impliceert het opzettelijk of per ongeluk verwijderen van bestanden in een geautomatiseerd informatiesysteem. Deze acties kunnen leiden tot een ernstige mislukking en het onvermogen van de commerciële structuur om aan haar verplichtingen jegens klanten te voldoen.
2. Risico van het gebruik van bevooroordeelde of vervalste (nep)gegevens. Een voorbeeld is een niet-echte betalingsopdracht. Hoewel er meer complexe opties zijn. Bijvoorbeeld een eerder overgemaakte betaling gebruiken wanneer een van de deelnemers wordt vervangen.
3. Risico op problemen bij het verstrekken van objectieve en actuele informatie aan klanten. In de regel is dit te wijten aan de werking van computersystemen.
4. Risico van het doorgeven van informatie die nadelig is voor de organisatie. Voorbeelden zijn onder meer geruchten, laster, compromitterende informatie over hoge ambtenaren, lekken van waardevolle documenten (met daaropvolgende blootstelling aan de media) en dergelijke.

Oorzaken en hoe ermee om te gaan

Het is gewoon zo dat het operationele risico van een organisatie niet zomaar ontstaat. Elkhet probleem heeft zijn wortel. De belangrijkste redenen zijn de volgende:

1. Gebrek aan kwalificaties en gebrek aan een serieuze benadering van training en professionele ontwikkeling. De menselijke factor kan de organisatie sterk beïnvloeden en is meestal de bron van problemen. Veel bedrijven zijn dus niet in staat om de beschikbare mogelijkheden van informatiesystemen goed te benutten. Dit wordt nog verergerd door het beperkte kennisniveau van gewone gebruikers.
2. Geen voldoende aandacht aan informatiebeveiliging en negeer de echte bedreigingen die uit deze sector komen. Onwetendheid door de bestuursorganen, onvoldoende financiering, gebrek aan maatregelen om de betrouwbaarheid van het systeem te verhogen, enz., verergeren de situatie alleen maar.
3. Lage kwaliteit, evenals onvoldoende ontwikkeling van procedures gericht op het voorkomen van risico's. Ook geven weinig mensen om het bestaan van een adequaat beleid en functieomschrijving op het gebied van veiligheid. Hierdoor kunnen in crisissituaties verwarring en onwetendheid van werknemers het probleem verergeren.
4. Inefficiënt systeem voor de bescherming van informatie-activa. Het is voldoende voor een aanvaller om één zwakke plek te vinden, en dit zou al voldoende moeten zijn om ernstige schade aan te richten. Het is het beste als er diepgaande verdediging wordt geboden.
5. Een groot aantal zwakke punten in geautomatiseerde systemen en verschillende softwareproducten, indien niet-geteste software wordt gebruikt. Voor een aanvaller is dit een echt geschenk.

De situatie oplossen

En wat te doen? Talloze soorten operatiekamersde risico's dreigen werkelijkheid te worden, dus onthoud het oude gezegde dat de vis aan de kop rot. Daarom is het noodzakelijk om met een gids te beginnen. U kunt de volgende items implementeren:

1. De topmanager (raad van bestuur) speelt een sleutelrol bij de vorming van een management-, controle- en beschermingssysteem.
2. We moeten naadloze systemen creëren, implementeren en adequaat toepassen waar ze nodig zijn en de moeite waard zijn om te ontwikkelen.
3. We moeten werken aan het risicobeheersysteem. Nadat het is gemaakt, moet u analyseren op de aanwezigheid van kwetsbaarheden. Denk ook aan zeggenschap over de uitvoerende organen.
4. De topmanager (raad van bestuur) stelt limieten voor risicobereidheid.
5. Het uitvoerend orgaan moet een duidelijke, effectieve en betrouwbare toolkit ontwikkelen met transparante, consistente en zinvolle competentiegebieden. Het zal worden belast met de implementatie van de basisprincipes, processen en systemen die betrokken zijn bij risicoaanpassing.
6. Het uitvoerend orgaan moet de huidige problemen identificeren en evalueren, evenals hun aard en factoren formuleren. Laat hem daarnaast de implementatie van de ontwikkelde innovaties verzorgen. Ook kan het uitvoerend orgaan worden toevertrouwd met het proces van monitoring en controle van de rapportage van individuele eenheden.
7. Er moet een betrouwbaar en uitgebreid systeem van controle en risico-overdracht/-beperking zijn.
8. Er moet een plan worden ontwikkeld om het herstel en de bedrijfscontinuïteit van de organisatie te waarborgen als:duidelijke problemen.

Is dat alles?

Natuurlijk niet. Dit zijn uitsluitend generaliserende woorden, waarin fundamentele punten worden overwogen. Bij het werken met specifieke situaties zullen ze moeten worden afgestemd op de bestaande omstandigheden. Laten we een klein voorbeeld bekijken. De bank beschikt over goed gedefinieerde beheersprocedures voor het geval zich een kredietrisico dreigt voor te doen. Er worden criteria vastgesteld voor potentiële kredietnemers en er worden zekerheden voor leningen verstrekt. Voor de beoordeling van het voorgestelde onderpand wordt een externe specialist ingeschakeld. En dus kreeg de beveiliging een hogere prijs toegewezen dan deze in de markt kost. Om zo te zeggen, de situatie ontwikkelt zich in het voordeel van de kredietnemer. Tegelijkertijd is de toereikendheid van de toetsing binnen de bank niet opnieuw getoetst. Na een bepaalde tijd ontstaat er een situatie waarin de kredietnemer de aangegane lening niet kan terugbetalen. De bank verwacht de ontstane schuld terug te kunnen betalen door het onderpand te verkopen. Maar in de praktijk blijkt dat de marktprijs maar de helft van de lening kan dekken. De oorzaak van dit probleem is het niet naleven van procedures. Volgens de bestaande eisen moeten financiële instellingen immers de prijs van onderpand dubbel checken. Zo nam het operationele risico toe, en daarna het kredietrisico. En u kunt zich ook herinneren hoe individuele banken opzettelijk slechte leningen verstrekken, waarbij alle denkbare procedures worden geschonden. Dergelijke instellingen komen al snel in de wachtrij voor liquidatie. De omvang van het operationele risico wordt in dit geval beïnvloed door medeweten van medewerkers. Helaas is het buitengewoon moeilijk om dergelijke situaties volledig te vermijden.problematisch. Het kan alleen worden geminimaliseerd door training, een effectief controlesysteem en strikte discipline te introduceren.

Echte voorbeelden

Er kunnen dingen gebeuren in het leven waar zelfs schrijvers niet aan kunnen denken. Er waren situaties waarin het niveau van het operationele risico eenvoudigweg van de schaal verdween, maar deze situatie kon lange tijd niet worden geïdentificeerd. Laten we eens kijken naar enkele van de meest indrukwekkende voorbeelden. Er was zo'n persoon - Jerome Kerviel. Oh was een handelaar voor de investeringsbank Société Générale. In 2007 opende hij posities op de indices van Europese beurzen voor futures. Lijkt een bekend verhaal. Maar de som van de posities was ongeveer 50 miljard euro! Dit is anderhalf keer de kapitalisatie van de bank! Hoe kon Jerome dit doen? Feit is dat hij daarvoor op kantoor werkte en het werk van het controlemechanisme goed kende. Het werd pas eind januari 2008 ontdekt. Besloten werd deze zo snel mogelijk te sluiten. Maar de enorme omvang van de positie zorgde voor een uitverkoop op de aandelenmarkten. Hierdoor verloor de bank 7,2 miljard dollar (of 4,9 miljard euro). Of nog een voorbeeld. Er was een man als John Rusnak. Hij werkte in het Amerikaanse filiaal van de grootste bank in Ierland, genaamd Allied Irish Bank. In 1993 werd hij aangenomen. In 1996 begon John risicovolle transacties uit te voeren met de Japanse yen. Maar ze waren niet succesvol, er waren verliezen. Maar John slaagde erin om groeiende verliezen voor partners te verbergen. In 1997 verloor hij bijvoorbeeld $ 29,1 miljoen. In 2001 was het bedrag al 300 miljoen! Om dergelijke verliezen te verbergen, vervalste hij verklaringen. Voor zijn operaties slaagde deze handelaar er zelfs in om bonussen van 433 duizend dollar te ontvangen. Alles kwam aan het licht in 2001. Op het moment van opening bedroeg het totale verlies $ 691 miljoen. Kleinere verliezen en operationele risico's komen veel vaker voor dan zulke grote. In het tijdperk van automatisering kunnen ze met de juiste aanpak aanzienlijk worden geminimaliseerd.

Externe risico's en hun oplossingen

Ze ontstaan tijdens de relatie van de organisatie met de buitenwereld. Dit kan zijn overvallen, diefstal, indringing door derden in het informatiesysteem, uitval van infrastructuur en natuurrampen. Hoewel misschien ook het wetgevingskader moet worden toegeschreven. Welke operationele risicobeoordelingsmethoden moeten worden gebruikt om een idee te krijgen van de huidige situatie? Er zijn een aantal aanbevelingen voor het algemene werkschema. Daarnaast kan de berekening van het operationeel risico worden uitgevoerd met behulp van speciaal daarvoor ontwikkelde wiskundige modellen. Dus wat moet er worden gedaan om een effectief managementsysteem te creëren dat problemen kan oplossen?

Actieplan

Allereerst moet je zorgen voor een adequate architectuur. Dat wil zeggen, als de problemen in het systeem zelf zitten, kan zelfs de beste specialist helaas geen bevredigend resultaat geven. Het moet ook redelijk zijn. Stel dat er een bepaald aantal kleine incidenten is die 10 duizend roebel per jaar kosten. U kunt een systeem creëren dat ze 100% zal voorkomen. Maar de kosten?100 duizend roebel. In dit geval moet u nadenken over de geschiktheid. Als we het hebben over diefstal of iets dergelijks, dat geleidelijk in omvang zal toenemen, dan kunnen we natuurlijk niet aarzelen. Immers, als je uitstelt, kunnen de operationele risico's van de onderneming zo groot worden dat ze het bedrijf kapot maken. Maar om het systeem in algemene goede staat te houden, zullen drie methoden helpen:

1. Controleer zelfbeoordeling.
2. Belangrijke risico-indicatoren.
3. Operationeel incidentbeheer.

Problemen oplossen

Veel factoren zijn van invloed op de omvang van het operationele risico. Hoe minder van hen, hoe beter. Idealiter worden problemen opgelost voordat ze zich voordoen. Daarom speelt de beoordeling van het operationele risico een belangrijke rol. Hoe het te besteden? Allereerst moet u zich concentreren op de zelfevaluatie van de controle. Om te parafraseren: deze methode kan een openhartig gesprek over problemen worden genoemd. Het wordt uitgevoerd in de vorm van medewerkersonderzoeken. Dan zijn er de belangrijkste risico-indicatoren. Deze indicatoren stellen u in staat om op de hoogte te zijn van opkomende problemen nog voordat ze zich volledig manifesteren. Natuurlijk, als ze adequaat worden geselecteerd en hun gegevens worden verzameld. En sluit de drie-eenheid af: incidentmanagement. Het doel van deze procedure is het onderzoeken, identificeren van de omvang van problemen en het aanpakken ervan. Gebeurt dit niet, dan loopt de onderneming financiële risico's. Het operationele risico neemt in de loop van de tijd toe. Dit moet onthouden worden.