Rischio operativo istituzionale

2024 Autore: Howard Calhoun | [email protected]. Ultima modifica: 2023-12-17 10:31

Gli affari sono pieni di rischi. Si incontrano qua e là. Uno dei più probabili è il rischio operativo. Cosa rappresenta? Come viene gestito il rischio operativo? Cosa influenza il suo valore?

Informazioni generali

E inizieremo con la terminologia. Il rischio operativo è il rischio di perdita a causa di un errore/azione inadeguata da parte dei dipendenti dell'organizzazione, guasti del sistema o eventi esterni. Questi includono perdite reputazionali, strategiche e legali. Cioè, il rischio operativo è associato all'implementazione delle funzioni aziendali dell'impresa. Viene utilizzato per indicare il rischio di costi aggiuntivi dovuti all'incoerenza nella natura e nell'entità della struttura del credito, alla violazione dei requisiti della normativa vigente, alle modalità di interazione con gli istituti bancari. Ad esempio, può includere una violazione di un dipendente di banca, azioni illegali non intenzionali o intenzionali da parte sua, un fallimento nel funzionamento di sistemi funzionali / automatizzati a causa di influenze esterne.

A seconda dell'origine, internae rischi esterni. Essi, a loro volta, sono divisi in classi. I rischi interni comprendono tutto ciò che riguarda persone, processi e sistemi. Diamo un'occhiata ad alcuni esempi. Le azioni dei dipendenti possono causare danni? La minaccia. Ci sono difetti nei processi aziendali? La minaccia. Fallimento dei sistemi informativi? La minaccia. I rischi esterni sono catastrofi, sicurezza (fisica, dati), interruzione dei rapporti con clienti e controparti, nonché dalle autorità di regolamentazione. Diamo un'occhiata agli esempi per questi casi. Possono verificarsi incendi e attacchi terroristici? La minaccia. Informazioni, beni, servizi, tecnologie di bassa qualità o falsi possono interrompere l'interazione con clienti e controparti? La minaccia. Falsi, furti, attacchi, effrazioni, ecc. pregiudicheranno la posizione dell'organizzazione? La minaccia. I cambiamenti nella legislazione e nel quadro normativo imporranno ulteriori attività? Minaccia.

Essenza e tipi

Se vuoi evitare qualcosa, devi saperlo di persona. Il mondo si sta evolvendo e sta diventando più complesso. Per questo motivo, aumenta il pericolo dei rischi operativi. Basilea II è preso come riferimento per ulteriori informazioni. Secondo lui, i rischi operativi includono tutto ciò che può causare danni materiali all'organizzazione a causa di azioni errate (o mancata esecuzione delle necessarie) del personale, influenze esterne, processi errati e simili. Loro stessi non firmano e non ci sono suggerimenti su come organizzare una lotta efficace contro di loro. Lo scopo principale di Basilea II è calcolare l'importo della loro copertura. Inoltre, esiste un solido sistema di gestione, il cui compito è contribuire a ridurre la probabilità di rischi operativi. Tale documento prevede che la direzione e il consiglio di amministrazione assumano la funzione dietro di loro. E sono loro che sono responsabili della segnalazione dei rischi operativi e dell'ammontare del danno attuale. Da questo punto di vista si distinguono due tipologie: quelle che dipendono direttamente o indirettamente da una persona e quelle di forza maggiore. Questi ultimi includono terremoti, uragani, colate di fango, smottamenti e così via. Con il primo, tutto è molto più vario. Quindi, ci sono quattro gruppi principali:

1. Azioni deliberate. Questi includono frodi e altre azioni deliberate che portano a danni.
2. Atti non intenzionali. Questa è una scelta di tecnologia non completamente sviluppata, azioni errate e non intenzionali dei dipendenti, prestazioni inadeguate da parte dei dirigenti delle loro funzioni.
3. Rischi tecnici direttamente o indirettamente correlati alle attività umane. Si tratta di un guasto nella rete, nelle comunicazioni esterne, nel guasto delle macchine utensili e simili.
4. Rischi del programma direttamente o indirettamente correlati alle attività umane. Si tratta di un guasto nelle telecomunicazioni e/o nelle apparecchiature informatiche.

Specifiche pratiche di implementazione

Come possono attestare le persone esperte, la gestione del rischio operativo in re altà differisce molto dai consigli teorici. In particolare, la situazione è piuttosto raraquando la direzione assume problematiche legate a malfunzionamenti del sistema informativo. È praticato trasferire tale lavoro a specialisti con qualifiche inferiori. Questo approccio porta spesso a perdite ancora maggiori. Questo è importante, se non altro perché il rischio operativo è uno dei tre più importanti e significativi. Anche in pratica si trovano spesso tali sottospecie:

1. Il rischio di fuga o distruzione di informazioni necessarie per la formazione dei processi organizzativi. Implica la cancellazione intenzionale o accidentale di file in un sistema informatico automatizzato. Queste azioni possono portare a un grave fallimento e all'incapacità della struttura commerciale di adempiere ai propri obblighi nei confronti dei clienti.
2. Rischio di utilizzo di dati distorti o falsificati. Un esempio potrebbe essere un ordine di pagamento non reale. Sebbene ci siano opzioni più complesse. Ad esempio, utilizzando un pagamento precedentemente trasferito quando uno dei partecipanti viene sostituito.
3. Rischio di problemi nel fornire informazioni obiettive e aggiornate ai clienti. Di norma, ciò è dovuto al funzionamento dei sistemi informatici.
4. Rischio di trasmettere informazioni svantaggiose per l'organizzazione. Gli esempi includono voci, calunnie, informazioni compromettenti sugli alti funzionari, fuga di documenti preziosi (con successiva esposizione ai media) e simili.

Cause e come affrontarle

Succede solo che il rischio operativo di un'organizzazione non si verifica solo. Qualunqueil problema ha la sua radice. I motivi principali includono quanto segue:

1. Mancanza di qualifiche e mancanza di un approccio serio alla formazione e allo sviluppo professionale. Il fattore umano può influenzare notevolmente l'organizzazione ed è il più delle volte fonte di problemi. Pertanto, molte aziende non sono in grado di utilizzare correttamente le capacità disponibili dei sistemi informativi. Ciò è esacerbato dal livello limitato di conoscenza degli utenti ordinari.
2. Non prestate la dovuta attenzione alla sicurezza delle informazioni e ignorate le vere minacce che provengono da questo settore. L'ignoranza da parte degli organi di governo, i finanziamenti insufficienti, la mancanza di misure per aumentare il livello di affidabilità del sistema, ecc., non fanno che aggravare la situazione.
3. Bassa qualità, nonché insufficiente sviluppo di procedure volte a prevenire i rischi. Inoltre, poche persone si preoccupano dell'esistenza di una politica adeguata e di una descrizione del lavoro nel campo della sicurezza. Per questo motivo, in situazioni di crisi, la confusione e l'ignoranza dei dipendenti possono esacerbare il problema.
4. Sistema di protezione del patrimonio informativo inefficiente. È sufficiente che un attaccante trovi un punto debole e questo dovrebbe già essere sufficiente per causare seri danni. È meglio se viene fornita una difesa approfondita.
5. Un gran numero di punti deboli nei sistemi automatizzati e vari prodotti software, se viene utilizzato software non testato. Per un attaccante, questo è un vero regalo.

Risolvere la situazione

E cosa fare? Numerose tipologie di sale operatoriei rischi stanno minacciando di materializzarsi, quindi dovresti ricordare il vecchio adagio che il pesce marcisce dalla testa. Pertanto, è necessario iniziare con una guida. È possibile implementare i seguenti elementi:

1. Il top manager (consiglio di amministrazione) gioca un ruolo chiave nella formazione di un sistema di gestione, controllo e protezione.
2. Dobbiamo creare, implementare e applicare adeguatamente sistemi senza interruzioni ovunque siano necessari e meritevoli di essere sviluppati.
3. Dobbiamo lavorare sul sistema di gestione del rischio. Dopo che è stato creato, è necessario analizzare la presenza di vulnerabilità. Dovresti anche pensare al controllo sugli organi esecutivi.
4. Il top executive (consiglio di amministrazione) stabilisce i limiti di propensione al rischio.
5. L'organo esecutivo dovrebbe sviluppare un kit di strumenti chiaro, efficace e affidabile con aree di competenza trasparenti, coerenti e significative. Sarà incaricato dell'attuazione dei principi, dei processi e dei sistemi di base coinvolti nell'adeguamento al rischio.
6. L'organo esecutivo dovrebbe identificare e valutare i problemi attuali, nonché formularne la natura ei fattori. Inoltre, lascia che fornisca l'implementazione delle innovazioni sviluppate. Inoltre, all'organo esecutivo può essere affidato il processo di monitoraggio e controllo della rendicontazione delle singole unità.
7. Deve essere in atto un sistema affidabile e completo di controllo e trasferimento/mitigazione del rischio.
8. Un piano dovrebbe essere sviluppato per garantire il ripristino e la continuità operativa dell'organizzazione seproblemi evidenti.

È tutto?

Certo che no. Sono parole esclusivamente generalizzanti, in cui si considerano i punti fondamentali. Mentre si lavora con situazioni specifiche, dovranno essere adattati alle condizioni esistenti. Diamo un'occhiata a un piccolo esempio. La banca dispone di procedure di gestione ben definite nel caso in cui si materializzi una minaccia di rischio di credito. Vengono stabiliti criteri per potenziali mutuatari e viene fornita una garanzia per i prestiti. Uno specialista esterno è incaricato di valutare la garanzia proposta. E così al titolo è stato assegnato un prezzo più alto di quello che effettivamente costa sul mercato. Per così dire, la situazione si sta sviluppando a favore del mutuatario. Contestualmente non è stata ricontrollata all'interno della banca l'adeguatezza della valutazione. Dopo un certo tempo, si verifica una situazione in cui il mutuatario non può rimborsare il prestito preso. La banca prevede di essere in grado di ripagare il debito sorto vendendo la garanzia. Ma in pratica si scopre che il prezzo di mercato può coprire solo la metà del prestito. La causa di questo problema è il mancato rispetto delle procedure. Dopotutto, secondo i requisiti esistenti, gli istituti finanziari devono ricontrollare il prezzo della garanzia. È così che è aumentato il rischio operativo e, successivamente, il rischio di credito. E puoi anche ricordare come le singole banche emettano deliberatamente prestiti in sofferenza, violando tutte le procedure immaginabili. Tali istituzioni cadono rapidamente in coda per la liquidazione. L'entità del rischio operativo è influenzata in questo caso dalla connivenza dei dipendenti. Purtroppo, è estremamente difficile evitare completamente tali situazioni.problematico. Può essere ridotto al minimo solo introducendo una formazione, un sistema di controllo efficace e una disciplina rigorosa.

Esempi reali

Nella vita possono succedere cose a cui nemmeno gli sceneggiatori riescono a pensare. Ci sono state situazioni in cui il livello di rischio operativo è semplicemente andato fuori scala, ma questa situazione non è stata identificata per molto tempo. Diamo un'occhiata ad alcuni degli esempi più impressionanti. C'era una persona del genere: Jerome Kerviel. Oh era un trader per la banca d'affari Société Générale. Nel 2007 ha aperto posizioni sugli indici delle borse europee per i futures. Sembra una storia comune. Ma la somma delle posizioni era di circa 50 miliardi di euro! Questa è una volta e mezzo la capitalizzazione della banca! Come è stato Jerome in grado di farlo? Il fatto è che prima lavorava in ufficio e conosceva bene il lavoro del meccanismo di controllo. È stato scoperto solo alla fine di gennaio 2008. Si è deciso di chiuderli il prima possibile. Ma l'enorme dimensione della posizione ha innescato una svendita sui mercati azionari. Per questo motivo, la banca ha perso 7,2 miliardi di dollari (o 4,9 miliardi di euro). O un altro esempio. C'era un uomo come John Rusnak. Ha lavorato nella filiale americana della più grande banca d'Irlanda, il cui nome è Allied Irish Bank. Fu assunto nel 1993. Nel 1996, John iniziò a effettuare operazioni rischiose con lo yen giapponese. Ma non hanno avuto successo, ci sono state perdite. Ma John è riuscito a nascondere le crescenti perdite ai partner. Ad esempio, nel 1997, ha perso $ 29,1 milioni. Nel 2001 l'importo era già di 300 milioni! Per nascondere tali perdite, ha falsificato dichiarazioni. Per le sue operazioni, questo trader è persino riuscito a ricevere bonus per un importo di 433 mila dollari. Tutto è venuto alla luce nel 2001. Al momento dell'apertura, la perdita totale era di $ 691 milioni. Perdite minori e rischi operativi sono molto più comuni di quelli così grandi. Nell'era dell'automazione, con il giusto approccio, possono essere notevolmente ridotti al minimo.

Rischi esterni e loro soluzioni

Sorgono durante il rapporto dell'organizzazione con il mondo esterno. Questo può essere rapina, furto, penetrazione di terzi nel sistema informativo, guasto delle infrastrutture e disastri naturali. Anche se, forse, dovrebbe essere attribuito anche il contesto legislativo. Quali metodi di valutazione del rischio operativo dovrebbero essere utilizzati per avere un'idea della situazione attuale? Ci sono una serie di raccomandazioni per lo schema generale di lavoro. Inoltre, il calcolo del rischio operativo può essere effettuato utilizzando modelli matematici appositamente creati. Quindi cosa è necessario fare per creare un sistema di gestione efficace in grado di affrontare i problemi?

Piano d'azione

Prima di tutto, è necessario prendersi cura di un'architettura adeguata. Cioè, se i problemi sono nel sistema stesso, purtroppo anche il miglior specialista non sarà in grado di fornire un risultato soddisfacente. Deve anche essere ragionevole. Supponiamo che ci sia un certo numero di incidenti minori che costano 10 mila rubli all'anno. Puoi creare un sistema che li prevenga al 100%. Ma il suo costo100 mila rubli. In questo caso, dovresti pensare all'adeguatezza. Naturalmente, se stiamo parlando di furto o qualcosa di simile, che aumenterà gradualmente di scala, allora non possiamo esitare. Dopotutto, se si ritarda, i rischi operativi dell'impresa possono aumentare così tanto da distruggere l'azienda. Ma per mantenere il sistema in condizioni generali adeguate, tre metodi aiuteranno:

1. Controlla l'autovalutazione.
2. Indicatori chiave di rischio.
3. Gestione degli incidenti operativi.

Risoluzione dei problemi

Molti fattori influenzano l'entità del rischio operativo. Meno sono, meglio è. Idealmente, i problemi vengono risolti prima che si presentino. Pertanto, la valutazione del rischio operativo gioca un ruolo significativo. Come spenderlo? Prima di tutto, devi concentrarti sull'autovalutazione del controllo. Per parafrasare, questo metodo può essere definito una conversazione franca sui problemi. Viene implementato sotto forma di sondaggi tra i dipendenti. Poi ci sono gli indicatori di rischio chiave. Questi indicatori ti consentono di conoscere i problemi imminenti anche prima che si manifestino in pieno vigore. Naturalmente, se sono adeguatamente selezionati e se i loro dati vengono raccolti. E chiude la Trinity è la gestione degli incidenti. Lo scopo di questa procedura è di indagare, identificare la portata dei problemi e affrontarli. In caso contrario, l'azienda si trova ad affrontare rischi finanziari. Il rischio operativo tende ad aumentare nel tempo. Questo deve essere ricordato.