ریسک عملیاتی نهادی

2024 نویسنده: Howard Calhoun | [email protected]. آخرین اصلاح شده: 2023-12-17 10:25

کسب و کار پر از ریسک است. آنها اینجا و آنجا ملاقات می کنند. یکی از محتمل ترین آنها ریسک عملیاتی است. او چه چیزی را نمایندگی می کند؟ ریسک عملیاتی چگونه مدیریت می شود؟ چه چیزی بر ارزش آن تأثیر می گذارد؟

اطلاعات عمومی

و ما با اصطلاحات شروع می کنیم. ریسک عملیاتی خطر زیان ناشی از خطا/اقدام ناکافی از جانب کارکنان سازمان، خرابی سیستم یا رویدادهای خارجی است. این موارد شامل زیان های اعتباری، استراتژیک و قانونی است. یعنی ریسک عملیاتی با اجرای وظایف تجاری شرکت مرتبط است. برای نشان دادن خطر هزینه های اضافی به دلیل ناسازگاری در ماهیت و مقیاس ساختار اعتباری، نقض الزامات قانون فعلی، روش های تعامل با موسسات بانکی استفاده می شود. به عنوان مثال، می تواند شامل تخلف یک کارمند بانک، اقدامات غیرقانونی غیرعمد یا هدفمند از طرف او، نقص در عملکرد سیستم های عملکردی / خودکار به دلیل تأثیر خارجی باشد.

بسته به مبدا، داخلیو خطرات خارجی آنها به نوبه خود به طبقات تقسیم می شوند. ریسک های داخلی شامل همه چیزهایی است که به افراد، فرآیندها و سیستم ها مربوط می شود. بیایید به چند نمونه نگاه کنیم. اقدامات کارمندان می تواند باعث آسیب شود؟ تهدید آیا در فرآیندهای کسب و کار نقص وجود دارد؟ تهدید خرابی سیستم های اطلاعاتی؟ تهدید خطرات خارجی فاجعه، امنیت (فیزیکی، داده ها)، اختلال در روابط با مشتریان و طرف مقابل، و همچنین از سوی مقامات نظارتی است. بیایید به نمونه هایی برای این موارد نگاه کنیم. آیا آتش سوزی و حملات تروریستی ممکن است رخ دهد؟ تهدید آیا اطلاعات، کالاها، خدمات، فناوری‌های با کیفیت یا نادرست می‌توانند تعامل با مشتریان و طرف‌های مقابل را مختل کنند؟ تهدید آیا جعل، سرقت، حمله، نفوذ و غیره موقعیت سازمان را تضعیف خواهد کرد؟ تهدید آیا تغییرات در قوانین و چارچوب نظارتی، فعالیت‌های بیشتری را تحمیل می‌کند؟ تهدید.

جوهر و انواع

اگر می خواهید از چیزی اجتناب کنید، باید آن را شخصاً بشناسید. جهان در حال تکامل و پیچیده تر شدن است. به همین دلیل، خطر ناشی از ریسک های عملیاتی افزایش می یابد. بازل II به عنوان مرجع برای اطلاعات بیشتر در نظر گرفته شده است. به گفته وی، ریسک های عملیاتی شامل هر چیزی است که به دلیل اقدامات نادرست (یا عدم انجام اقدامات لازم) پرسنل، تأثیرات خارجی، فرآیندهای اشتباه و مواردی از این دست می تواند منجر به خسارت مادی به سازمان شود. آنها خودشان امضا نمی کنند و هیچ نکته ای در مورد نحوه سازماندهی مبارزه مؤثر علیه آنها وجود ندارد. هدف اصلی بازل II محاسبه میزان پوشش آنهاست.علاوه بر این، یک سیستم مدیریت قوی وجود دارد که وظیفه آن کمک به کاهش احتمال خطرات عملیاتی است. این سند پیش بینی می کند که مدیریت و هیئت مدیره باید وظیفه پشت سر خود را بر عهده بگیرند. و این آنها هستند که مسئول گزارش ریسک های عملیاتی و میزان خسارت فعلی هستند. از این منظر، دو نوع متمایز می شود: آنهایی که به طور مستقیم یا غیرمستقیم به شخص بستگی دارند و شرایط فورس ماژور. موارد اخیر شامل زلزله، طوفان، گل و لای، رانش زمین و غیره است. با اولی، همه چیز بسیار متنوع تر است. بنابراین، چهار گروه اصلی وجود دارد:

1. اقدامات عمدی. اینها شامل کلاهبرداری و سایر اقدامات عمدی است که منجر به آسیب می شود.
2. اعمال غیرعمد. این یک انتخاب از فناوری است که به طور کامل توسعه نیافته است، اقدامات ناخواسته اشتباه کارکنان، عملکرد ناکافی مدیران از وظایفشان است.
3. خطرهای فنی که به طور مستقیم یا غیرمستقیم با فعالیت های انسانی مرتبط است. این یک نقص در شبکه، ارتباطات خارجی، خرابی ماشین ابزار و موارد مشابه است.
4. خطرات برنامه ای که به طور مستقیم یا غیرمستقیم با فعالیت های انسانی مرتبط است. این یک نقص در تجهیزات مخابراتی و/یا کامپیوتری است.

ویژگی های پیاده سازی عملی

همانطور که افراد آگاه می توانند تأیید کنند، مدیریت ریسک عملیاتی در واقع با توصیه های نظری بسیار متفاوت است. به ویژه، وضعیت بسیار نادر استزمانی که مدیریت مسائل مشکل زا را که ناشی از نقص در سیستم اطلاعاتی است، بر عهده می گیرد. انتقال چنین کارهایی به متخصصان با صلاحیت های پایین تر انجام می شود. این رویکرد اغلب منجر به ضررهای بزرگتر می شود. این مهم است، اگر فقط به این دلیل که ریسک عملیاتی یکی از سه مورد مهم و مهم است. همچنین در عمل، چنین زیرگونه هایی اغلب یافت می شوند:

1. خطر نشت یا تخریب اطلاعاتی که برای شکل‌گیری فرآیندهای سازمانی ضروری است. این به معنای حذف عمدی یا تصادفی فایل ها در یک سیستم اطلاعاتی خودکار است. این اقدامات می تواند منجر به شکست جدی و ناتوانی ساختار تجاری در انجام تعهدات خود در قبال مشتریان شود.
2. خطر استفاده از داده های مغرضانه یا جعلی (جعلی). یک مثال می تواند یک دستور پرداخت غیر واقعی باشد. اگرچه گزینه های پیچیده تری وجود دارد. برای مثال، استفاده از پرداختی که قبلاً منتقل شده است، زمانی که یکی از شرکت‌کنندگان جایگزین می‌شود.
3. خطر مشکلات در ارائه اطلاعات عینی و به روز به مشتریان. به عنوان یک قاعده، این به دلیل عملکرد سیستم های کامپیوتری است.
4. خطر انتقال اطلاعاتی که برای سازمان مضر است. به عنوان مثال می توان به شایعات، تهمت ها، اطلاعات مخرب در مورد مقامات ارشد، درز اسناد ارزشمند (با قرار گرفتن در معرض رسانه ها) و موارد مشابه اشاره کرد.

علل و نحوه برخورد با آنها

اتفاقاً خطر عملیاتی یک سازمان اتفاق نمی افتد. هرمشکل ریشه دارد دلایل اصلی شامل موارد زیر است:

1. فقدان صلاحیت و عدم رویکرد جدی به آموزش و پیشرفت حرفه ای. عامل انسانی می تواند تأثیر زیادی بر سازمان داشته باشد و اغلب منشأ مشکلات است. بنابراین بسیاری از شرکت ها نمی توانند به درستی از قابلیت های موجود سیستم های اطلاعاتی استفاده کنند. این با سطح دانش محدود کاربران عادی تشدید می شود.
2. به امنیت اطلاعات توجه کافی نمی شود و تهدیدهای واقعی ناشی از این بخش را نادیده می گیرند. ناآگاهی از سوی نهادهای حاکم، بودجه ناکافی، عدم تدابیر لازم برای افزایش سطح قابلیت اطمینان سیستم و غیره تنها وضعیت را تشدید می کند.
3. کیفیت پایین و همچنین توسعه ناکافی رویه ها با هدف جلوگیری از خطرات. همچنین افراد کمی به وجود خط مشی و شرح وظایف مناسب در حوزه امنیت اهمیت می دهند. به همین دلیل، در شرایط بحرانی، سردرگمی و ناآگاهی کارکنان می تواند مشکل را تشدید کند.
4. سیستم حفاظت از دارایی اطلاعات ناکارآمد. کافی است یک مهاجم یک نقطه ضعف را پیدا کند و این باید برای آسیب جدی کافی باشد. بهتر است دفاع عمیق ارائه شود.
5. تعداد زیادی ضعف در سیستم های خودکار و محصولات نرم افزاری مختلف، در صورت استفاده از نرم افزارهای آزمایش نشده. برای یک مهاجم، این یک هدیه واقعی است.

رفع وضعیت

و چه باید کرد؟ انواع متعدد اتاق عملخطرات در حال تحقق هستند، بنابراین باید این ضرب المثل قدیمی را به خاطر بسپارید که ماهی از سر می پوسد. بنابراین لازم است با یک راهنما شروع کنیم. می توانید موارد زیر را پیاده سازی کنید:

1. مدیر عالی (هیئت مدیره) نقش اساسی در شکل گیری سیستم مدیریت، کنترل و حفاظت دارد.
2. ما باید سیستم‌های یکپارچه را هر کجا که نیاز است و ارزش توسعه دارند ایجاد، پیاده‌سازی و به اندازه کافی اعمال کنیم.
3. ما باید روی سیستم مدیریت ریسک کار کنیم. پس از ایجاد آن، باید برای وجود آسیب پذیری ها تجزیه و تحلیل کنید. باید به فکر کنترل دستگاه های اجرایی هم باشید.
4. مدیر ارشد اجرایی (هیئت مدیره) محدودیت های ریسک پذیری را تعیین می کند.
5. دستگاه اجرایی باید یک ابزار شفاف، مؤثر و قابل اعتماد با حوزه‌های صلاحیت شفاف، منسجم و معنادار ایجاد کند. اجرای اصول، فرآیندها و سیستم های اساسی مربوط به تعدیل ریسک به آن سپرده خواهد شد.
6. دستگاه اجرایی باید مشکلات موجود را شناسایی و ارزیابی کند و ماهیت و عوامل آنها را تدوین کند. علاوه بر این، اجازه دهید او اجرای نوآوری های توسعه یافته را فراهم کند. همچنین می توان فرآیند نظارت و کنترل گزارش دهی تک تک واحدها را به دستگاه اجرایی واگذار کرد.
7. یک سیستم قابل اعتماد و جامع کنترل و انتقال/کاهش ریسک باید برقرار باشد.
8. باید برنامه ای برای اطمینان از بهبود و تداوم کسب و کار سازمان ایجاد شود اگرمشکلات آشکار.

همین است؟

البته که نه. اینها منحصراً کلمات تعمیم دهنده هستند که در آنها نکات اساسی در نظر گرفته می شود. در حین کار با موقعیت های خاص، باید آنها را با شرایط موجود تطبیق داد. بیایید به یک مثال کوچک نگاه کنیم. در صورت تحقق تهدید ریسک اعتباری، بانک رویه های مدیریتی کاملاً تعریف شده ای دارد. معیارهایی برای وام گیرندگان بالقوه تعیین می شود و وثیقه برای وام ارائه می شود. یک متخصص خارجی برای ارزیابی وثیقه پیشنهادی مشغول است. و بنابراین به این اوراق بهادار قیمتی بالاتر از قیمت واقعی آن در بازار اختصاص داده شد. بنابراین، وضعیت به نفع وام گیرنده در حال توسعه است. در عین حال، کفایت ارزیابی مجدد در بانک بررسی نشد. پس از مدت معینی، وضعیتی پیش می آید که وام گیرنده نمی تواند وام گرفته شده را بازپرداخت کند. بانک انتظار دارد با فروش وثیقه بتواند بدهی ناشی از آن را بازپرداخت کند. اما در عمل معلوم می شود که قیمت بازار تنها می تواند نیمی از وام را پوشش دهد. علت این مشکل عدم رعایت رویه ها است. به هر حال، با توجه به الزامات موجود، موسسات مالی باید قیمت وثیقه را دوبار بررسی کنند. به این ترتیب ریسک عملیاتی و پس از آن ریسک اعتباری افزایش یافت. و همچنین می‌توانید به یاد بیاورید که چگونه بانک‌ها عمداً وام‌های بد صادر می‌کنند و همه رویه‌های قابل تصور را نقض می‌کنند. چنین مؤسساتی به سرعت در صف انحلال قرار می گیرند. بزرگی ریسک عملیاتی در این مورد تحت تأثیر همدستی کارکنان قرار می گیرد. افسوس، اجتناب کامل از چنین موقعیت هایی بسیار دشوار است.مشکل ساز. تنها با معرفی آموزش، یک سیستم کنترل موثر و نظم و انضباط سخت می توان آن را به حداقل رساند.

نمونه های واقعی

چیزهایی در زندگی ممکن است اتفاق بیفتد که حتی نویسنده ها نمی توانند به آنها فکر کنند. شرایطی وجود داشت که سطح ریسک عملیاتی به سادگی از مقیاس خارج شد، اما این وضعیت برای مدت طولانی قابل شناسایی نبود. بیایید به برخی از چشمگیرترین نمونه ها نگاه کنیم. چنین شخصی وجود داشت - جروم کرویل. او تاجر بانک سرمایه گذاری Société Générale بود. در سال 2007، او موقعیت هایی را در شاخص های بورس اوراق بهادار اروپا برای معاملات آتی باز کرد. به نظر یک داستان رایج است. اما مجموع موقعیت ها حدود 50 میلیارد یورو بود! این یک و نیم برابر سرمایه بانک است! جروم چگونه توانست این کار را انجام دهد؟ واقعیت این است که قبل از آن در دفتر کار می کرد و کار مکانیسم کنترل را به خوبی می دانست. این تنها در پایان ژانویه 2008 کشف شد. تصمیم بر این شد که در اسرع وقت تعطیل شوند. اما اندازه بزرگ موقعیت باعث فروش در بازارهای سهام شد. به همین دلیل، بانک 7.2 میلیارد دلار (یا 4.9 میلیارد یورو) از دست داد. یا یک مثال دیگر مردی مثل جان روسناک بود. او در شعبه آمریکایی بزرگترین بانک ایرلند که نامش Allied Irish Bank است کار می کرد. او در سال 1993 استخدام شد. در سال 1996، جان شروع به انجام معاملات پرخطر با ین ژاپن کرد. اما آنها ناموفق بودند، ضررهایی نیز وجود داشت. اما جان موفق شد ضررهای فزاینده را از شرکای خود پنهان کند. به عنوان مثال، در سال 1997، او 29.1 میلیون دلار ضرر کرد. در سال 2001، این مبلغ قبلاً 300 میلیون بود! او برای پنهان کردن چنین ضررهایی اظهاراتی جعل کرد.این تاجر برای عملیات خود حتی موفق به دریافت پاداشی بالغ بر 433 هزار دلار شد. همه چیز در سال 2001 آشکار شد. در زمان افتتاحیه، کل ضرر 691 میلیون دلار بود. زیان های کوچکتر و ریسک های عملیاتی بسیار رایج تر از چنین زیان های بزرگ هستند. در عصر اتوماسیون، با رویکرد صحیح می توان آنها را به میزان قابل توجهی به حداقل رساند.

ریسک های خارجی و راه حل های آنها

در طول رابطه سازمان با دنیای خارج به وجود می آیند. این می تواند سرقت، سرقت، نفوذ اشخاص ثالث به سیستم اطلاعاتی، خرابی زیرساخت ها و بلایای طبیعی باشد. اگر چه، شاید، محیط قانونگذاری نیز باید نسبت داده شود. چه روش‌های ارزیابی ریسک عملیاتی باید برای دریافت ایده از وضعیت فعلی استفاده شود؟ تعدادی توصیه برای طرح کلی کار وجود دارد. علاوه بر این، محاسبه ریسک عملیاتی را می توان با استفاده از مدل های ریاضی ویژه ایجاد شده برای این منظور انجام داد. بنابراین برای ایجاد یک سیستم مدیریت موثر که بتواند با مشکلات مقابله کند، چه باید کرد؟

برنامه اقدام

اول از همه، شما باید از یک معماری مناسب مراقبت کنید. یعنی اگر مشکلات در خود سیستم باشد، افسوس که حتی بهترین متخصص هم نمی تواند نتیجه رضایت بخشی ارائه دهد. همچنین باید معقول باشد. فرض کنید تعداد معینی از حوادث جزئی وجود دارد که هزینه آن 10 هزار روبل در سال است. شما می توانید سیستمی ایجاد کنید که 100٪ از آنها جلوگیری کند. اما هزینه اش100 هزار روبل. در این صورت باید به مناسب بودن آن فکر کنید. البته اگر در مورد دزدی یا چیزی شبیه به آن صحبت می کنیم که به تدریج مقیاس آن افزایش می یابد، نمی توانیم دریغ کنیم. از این گذشته ، اگر تأخیر کنید ، خطرات عملیاتی شرکت می تواند آنقدر افزایش یابد که شرکت را نابود کند. اما برای حفظ سیستم در شرایط کلی کافی، سه روش کمک خواهد کرد:

1. خودارزیابی را بررسی کنید.
2. شاخص های ریسک کلیدی.
3. مدیریت حوادث عملیاتی.

حل مسائل

عوامل بسیاری بر میزان ریسک عملیاتی تأثیر می گذارد. هرچه تعداد آنها کمتر باشد، بهتر است. در حالت ایده آل، مشکلات قبل از بروز حل می شوند. بنابراین ارزیابی ریسک عملیاتی نقش بسزایی دارد. چگونه آن را خرج کنیم؟ اول از همه، باید روی خودارزیابی کنترلی تمرکز کنید. به عبارت دیگر، این روش را می توان یک گفتگوی صریح در مورد مشکلات نامید. در قالب نظرسنجی از کارکنان اجرا می شود. سپس شاخص های ریسک کلیدی وجود دارد. این شاخص ها به شما این امکان را می دهد که از مشکلات آینده حتی قبل از اینکه با قدرت کامل ظاهر شوند، بدانید. البته اگر به اندازه کافی انتخاب شوند و داده های آنها جمع آوری شود. و می بندد تثلیث مدیریت حوادث است. هدف از این رویه بررسی، شناسایی دامنه مشکلات و مقابله با آنهاست. اگر این کار انجام نشود، شرکت با خطرات مالی روبرو می شود. ریسک عملیاتی در طول زمان افزایش می یابد. این را باید به خاطر بسپارید.