Kurumsal operasyonel risk

2024 Yazar: Howard Calhoun | [email protected]. Son düzenleme: 2023-12-17 10:43

İş risklerle doludur. Orada burada buluşurlar. En olası olanlardan biri operasyonel risktir. Neyi temsil ediyor? Operasyonel risk nasıl yönetilir? Değerini ne etkiler?

Genel bilgi

Ve terminolojiyle başlayacağız. Operasyonel risk, kuruluş çalışanları tarafından yapılan bir hata/yetersiz eylem, sistem arızaları veya dış olaylardan kaynaklanan kayıp riskidir. Bunlar itibar, stratejik ve yasal kayıpları içerir. Yani, operasyonel risk, işletmenin iş fonksiyonlarının uygulanması ile ilişkilidir. Kredi yapısının niteliği ve ölçeğindeki tutarsızlık, mevcut mevzuat gerekliliklerinin ihlali, bankacılık kurumlarıyla etkileşim prosedürleri nedeniyle ek maliyet riskini belirtmek için kullanılır. Örneğin, bir banka çalışanının ihlali, kasıtsız veya maksatlı yasa dışı eylemler, dış etki nedeniyle fonksiyonel / otomatik sistemlerin işleyişinde bir başarısızlık içerebilir.

Orijine bağlı olarak, dahilive dış riskler. Sırayla, sınıflara ayrılırlar. İç riskler, insanlarla, süreçlerle ve sistemlerle ilgili her şeyi içerir. Birkaç örneğe bakalım. Çalışanların eylemleri zarar verebilir mi? Tehdit. İş süreçlerinde kusurlar var mı? Tehdit. Bilgi sistemlerinin başarısızlığı? Tehdit. Dış riskler, felaketler, güvenlik (fiziksel, veri), müşteriler ve karşı taraflarla ilişkilerin yanı sıra düzenleyici makamlardan kaynaklanan kesintilerdir. Bu durumlar için örneklere bakalım. Yangınlar ve terör saldırıları olabilir mi? Tehdit. Düşük kaliteli veya yanlış bilgiler, ürünler, hizmetler, teknolojiler müşteriler ve karşı taraflarla etkileşimi bozabilir mi? Tehdit. Sahtekarlıklar, hırsızlıklar, saldırılar, izinsiz girişler vb. organizasyonun konumunu zayıflatır mı? Tehdit. Mevzuattaki ve düzenleyici çerçevedeki değişiklikler ek faaliyetleri zorunlu kılar mı? Tehdit.

Öz ve türleri

Bir şeyden kaçınmak istiyorsan, onu şahsen bilmelisin. Dünya gelişiyor ve daha karmaşık hale geliyor. Bu nedenle operasyonel risklerden kaynaklanan tehlike artar. Daha fazla bilgi için Basel II referans alınmıştır. Ona göre operasyonel riskler, personelin yanlış (veya gerekli işlemlerin yapılmaması) eylemleri, dış etkiler, hatalı süreçler vb. nedeniyle kuruluşta maddi hasara yol açabilecek her şeyi içerir. Kendileri imzalamazlar ve onlara karşı etkili bir mücadelenin nasıl organize edileceğine dair hiçbir ipucu yoktur. Basel II'nin temel amacı, onlar için teminat miktarını hesaplamaktır. Ayrıca, görevi operasyonel risk olasılığını az altmaya yardımcı olmak olan güçlü bir yönetim sistemi vardır. Bu belge, yönetimin ve yönetim kurulunun arkalarındaki işlevi devralmasını sağlar. Ve operasyonel riskler ve mevcut hasar miktarı hakkında rapor vermekten sorumlu olan onlardır. Bu açıdan iki tür ayırt edilir: doğrudan veya dolaylı olarak bir kişiye bağlı olanlar ve mücbir sebep halleri. Sonuncusu depremleri, kasırgaları, çamur akımlarını, toprak kaymalarını vb. içerir. İlkiyle, her şey çok daha çeşitlidir. Yani dört ana grup var:

1. Kasıtlı eylemler. Bunlar, dolandırıcılık ve hasara yol açan diğer kasıtlı eylemleri içerir.
2. Kasıtsız hareketler. Bu, tam olarak gelişmemiş, çalışanların hatalı kasıtsız eylemleri, yöneticilerin görevlerini yerine getirmemesi gibi bir teknoloji seçimidir.
3. Doğrudan veya dolaylı olarak insan faaliyetleriyle ilgili teknik riskler. Bu, ağda, harici iletişimde, takım tezgahlarının arızalanmasında ve benzerlerinde bir arızadır.
4. Doğrudan veya dolaylı olarak insan faaliyetleriyle ilgili program riskleri. Bu telekomünikasyon ve/veya bilgisayar ekipmanında bir arızadır.

Pratik Uygulama Özellikleri

Bilen kişilerin onaylayabileceği gibi, operasyonel risk yönetimi aslında teorik tavsiyelerden çok farklıdır. Özellikle, durum oldukça nadirdiryönetim, bilgi sistemindeki arızalardan kaynaklanan sorunlu sorunları üstlendiğinde. Bu tür çalışmaların daha düşük niteliklere sahip uzmanlara devredilmesi uygulanmaktadır. Bu yaklaşım genellikle daha da büyük kayıplara yol açar. Bu önemlidir, çünkü operasyonel risk en önemli ve en önemli üç riskten biridir. Ayrıca uygulamada, bu tür alt türler sıklıkla bulunur:

1. Organizasyonel süreçlerin oluşumu için gerekli olan bilgilerin sızması veya yok edilmesi riski. Otomatik bir bilgi sistemindeki dosyaların kasıtlı veya kazara silinmesi anlamına gelir. Bu eylemler ciddi bir başarısızlığa ve ticari yapının müşterilere karşı yükümlülüklerini yerine getirememesine neden olabilir.
2. Önyargılı veya tahrif edilmiş (sahte) veri kullanma riski. Bir örnek, gerçek olmayan bir ödeme emri olabilir. Daha karmaşık seçenekler olmasına rağmen. Örneğin, katılımcılardan biri değiştirildiğinde daha önce aktarılan bir ödemeyi kullanmak.
3. Müşterilere nesnel ve güncel bilgiler sağlamada sorun yaşama riski. Kural olarak, bunun nedeni bilgisayar sistemlerinin çalışmasıdır.
4. Kuruluş için dezavantajlı bilgi aktarma riski. Örnekler arasında dedikodular, iftiralar, üst düzey yetkililer hakkında bilgi sızdırma, değerli belgelerin sızdırılması (daha sonra medyaya maruz kalmasıyla birlikte) ve benzerleri sayılabilir.

Nedenler ve bunlarla nasıl başa çıkılacağı

Bir kuruluşun operasyonel riski öylece gerçekleşmez. Hiçsorunun kökü var. Ana nedenler arasında şunlar yer alır:

1. Yeterlilik eksikliği ve eğitim ve mesleki gelişime yönelik ciddi bir yaklaşım eksikliği. İnsan faktörü organizasyonu büyük ölçüde etkileyebilir ve çoğu zaman sorunların kaynağıdır. Bu nedenle, birçok şirket bilgi sistemlerinin mevcut yeteneklerini gerektiği gibi kullanamamaktadır. Bu, sıradan kullanıcıların sınırlı bilgi düzeyiyle daha da kötüleşir.
2. Bilgi güvenliğine gereken önem verilmemekte ve bu sektörden gelen gerçek tehditler göz ardı edilmektedir. Yönetim organlarının cehaleti, yetersiz finansman, sistem güvenilirliği seviyesini artıracak önlemlerin eksikliği vb., yalnızca durumu daha da kötüleştirir.
3. Düşük kalite ve riskleri önlemeye yönelik prosedürlerin yetersiz gelişimi. Ayrıca, güvenlik alanında yeterli bir politikanın ve iş tanımının varlığını önemseyen çok az insan var. Bu nedenle kriz durumlarında çalışanların kafa karışıklığı ve bilgisizliği sorunu daha da kötüleştirebilir.
4. Verimsiz bilgi varlığı koruma sistemi. Saldırganın bir zayıf nokta bulması yeterlidir ve bu zaten ciddi hasara neden olmak için yeterli olmalıdır. Derinlemesine savunma sağlanırsa en iyisidir.
5. Denenmemiş yazılımlar kullanılıyorsa, otomatik sistemlerde ve çeşitli yazılım ürünlerinde çok sayıda zayıflık. Bir saldırgan için bu gerçek bir hediye.

Durumu düzeltmek

Ve ne yapmalı? Çok sayıda ameliyathane türüriskler gerçekleşmekle tehdit ediyor, bu yüzden balığın baştan çürümesiyle ilgili eski atasözü hatırlamalısınız. Bu nedenle, bir rehberle başlamak gerekir. Aşağıdaki öğeleri uygulayabilirsiniz:

1. Üst düzey yönetici (yönetim kurulu) bir yönetim, kontrol ve koruma sisteminin oluşturulmasında kilit rol oynar.
2. İhtiyaç duyulan ve geliştirilmeye değer her yerde sorunsuz sistemler oluşturmamız, uygulamamız ve yeterince uygulamamız gerekiyor.
3. Risk yönetim sistemi üzerinde çalışmamız gerekiyor. Oluşturulduktan sonra, güvenlik açıklarının varlığını analiz etmeniz gerekir. Ayrıca yürütme organları üzerindeki kontrolü de düşünmelisiniz.
4. Üst düzey yönetici (yönetim kurulu) risk iştahı sınırlarını belirler.
5. Yürütme organı, şeffaf, tutarlı ve anlamlı yeterlilik alanlarıyla açık, etkili ve güvenilir bir araç seti geliştirmelidir. Risk ayarlamasına dahil olan temel ilkelerin, süreçlerin ve sistemlerin uygulanması ile görevlendirilecektir.
6. Yürütme organı, mevcut sorunları tanımlamalı ve değerlendirmenin yanı sıra bunların doğasını ve faktörlerini formüle etmelidir. Ayrıca geliştirilen yeniliklerin uygulanmasını da sağlasın. Ayrıca, yürütme organına, bireysel birimlerin raporlanmasını izleme ve kontrol etme süreci emanet edilebilir.
7. Güvenilir ve kapsamlı bir kontrol ve risk transferi/az altma sistemi mevcut olmalıdır.
8. Kurumun iyileşmesini ve iş sürekliliğini sağlamak için bir plan geliştirilmelidir.bariz sorunlar.

Hepsi bu mu?

Tabii ki hayır. Bunlar, temel noktaların dikkate alındığı, yalnızca genelleştirici kelimelerdir. Belirli durumlarla çalışırken, mevcut koşullara göre uyarlanmaları gerekecektir. Küçük bir örneğe bakalım. Banka, bir kredi riski tehdidinin gerçekleşmesi durumunda iyi tanımlanmış yönetim prosedürlerine sahiptir. Potansiyel borçlular için kriterler belirlenir ve krediler için teminat sağlanır. Önerilen teminatı değerlendirmek için harici bir uzman görevlendirilir. Ve böylece menkul kıymete, piyasada gerçekte maliyetinden daha yüksek bir fiyat verildi. Yani durum borçlunun lehine gelişiyor. Aynı zamanda, değerlendirmenin yeterliliği banka içinde yeniden kontrol edilmemiştir. Belli bir süre sonra borçlunun aldığı krediyi geri ödeyemediği bir durum ortaya çıkmaktadır. Banka, ortaya çıkan borcu teminatı satarak geri ödeyebileceğini ummaktadır. Ancak uygulamada, piyasa fiyatının kredinin ancak yarısını karşılayabildiği ortaya çıkıyor. Bu sorunun nedeni prosedürlere uyulmamasıdır. Sonuçta, mevcut gereksinimlere göre, finansal kurumlar teminat fiyatını iki kez kontrol etmelidir. Böylece operasyonel risk ve sonrasında kredi riski arttı. Ayrıca, bireysel bankaların, akla gelebilecek tüm prosedürleri ihlal ederek kasten kötü krediler verdiğini de hatırlayabilirsiniz. Bu tür kurumlar hızla tasfiye sırasına girer. Operasyonel riskin büyüklüğü bu durumda çalışanların göz yummasından etkilenir. Ne yazık ki, bu tür durumlardan tamamen kaçınmak son derece zordur.sorunlu. Yalnızca eğitim, etkili bir kontrol sistemi ve sıkı disiplin getirilerek en aza indirilebilir.

Gerçek örnekler

Hayatta yazarların bile düşünemeyeceği şeyler olabilir. Operasyonel risk seviyesinin basitçe ölçeğin dışına çıktığı durumlar oldu, ancak bu durum uzun süre tanımlanamadı. En etkileyici örneklerden bazılarına bakalım. Böyle biri vardı - Jerome Kerviel. Oh, yatırım bankası Société Générale için bir tüccardı. 2007 yılında vadeli işlemler için Avrupa borsalarının endekslerinde pozisyonlar açtı. Ortak bir hikaye gibi görünüyor. Ama pozisyonların toplamı yaklaşık 50 milyar euroydu! Bu, bankanın sermayesinin bir buçuk katı! Jerome bunu nasıl yapabildi? Gerçek şu ki, ondan önce ofiste çalıştı ve kontrol mekanizmasının çalışmasını iyi biliyordu. Sadece Ocak 2008'in sonunda keşfedildi. En kısa sürede kapatılmasına karar verildi. Ancak devasa pozisyon büyüklüğü, hisse senedi piyasalarında bir satışı tetikledi. Bu nedenle banka 7,2 milyar dolar (veya 4,9 milyar euro) kaybetti. Veya bir örnek daha. John Rusnak gibi bir adam vardı. İrlanda'nın en büyük bankası olan Allied Irish Bank'ın Amerikan şubesinde çalıştı. 1993 yılında işe alındı. 1996'da John, Japon yeni ile riskli işlemler yapmaya başladı. Ama başarısız oldular, kayıplar oldu. Ancak John, artan kayıpları ortaklardan gizlemeyi başardı. Örneğin, 1997'de 29,1 milyon dolar kaybetti. 2001 yılında, miktar zaten 300 milyondu! Bu tür kayıpları gizlemek için sahte açıklamalar yaptı. Bu tüccar, operasyonları için 433 bin dolar tutarında ikramiye almayı bile başardı. 2001'de her şey ortaya çıktı. Açılış sırasında, toplam kayıp 691 milyon dolardı. Daha küçük kayıplar ve operasyonel riskler, bu tür büyük risklerden çok daha yaygındır. Otomasyon çağında, doğru yaklaşımla önemli ölçüde minimize edilebilirler.

Dış riskler ve çözümleri

Organizasyonun dış dünya ile ilişkisi sırasında ortaya çıkarlar. Bu soygun, hırsızlık, üçüncü şahısların bilgi sistemine sızması, altyapı arızası ve doğal afetler olabilir. Her ne kadar, belki de, yasama ortamına da atfedilmelidir. Mevcut durum hakkında fikir sahibi olmak için hangi operasyonel risk değerlendirme yöntemleri kullanılmalıdır? Genel çalışma şeması için bir takım öneriler vardır. Ayrıca operasyonel riskin hesaplanması bu amaç için özel olarak oluşturulmuş matematiksel modeller kullanılarak yapılabilmektedir. Peki sorunlarla başa çıkabilen etkin bir yönetim sistemi oluşturmak için ne yapılmalı?

Eylem planı

Öncelikle yeterli bir mimariye dikkat etmeniz gerekiyor. Yani, sorunlar sistemin kendisindeyse, ne yazık ki, en iyi uzman bile tatmin edici bir sonuç sağlayamayacaktır. Aynı zamanda makul olmalıdır. Diyelim ki yılda 10 bin rubleye mal olan belirli sayıda küçük olay var. Bunları %100 engelleyecek bir sistem oluşturabilirsiniz. Ama maliyeti100 bin ruble. Bu durumda, uygunluğunu düşünmelisiniz. Tabii ki, hırsızlık veya benzeri, giderek büyüyecek bir şeyden bahsediyorsak, tereddüt edemeyiz. Sonuçta, geciktirirseniz, işletmenin operasyonel riskleri şirketi mahvedecek kadar artabilir. Ancak sistemi genel olarak yeterli durumda tutmak için üç yöntem yardımcı olacaktır:

1. Öz değerlendirmeyi kontrol edin.
2. Temel risk göstergeleri.
3. Operasyonel olay yönetimi.

Sorun Çözme

Operasyonel riskin büyüklüğünü birçok faktör etkiler. Ne kadar az olursa o kadar iyi. İdeal olarak, problemler ortaya çıkmadan önce çözülür. Bu nedenle, operasyonel riskin değerlendirilmesi önemli bir rol oynamaktadır. Nasıl harcanır? Her şeyden önce, kontrol öz değerlendirmesine odaklanmanız gerekir. Başka bir deyişle, bu yöntem sorunlar hakkında açık sözlü bir konuşma olarak adlandırılabilir. Çalışan anketleri şeklinde uygulanmaktadır. Sonra kilit risk göstergeleri var. Bu göstergeler, yaklaşmakta olan sorunlar hakkında, kendilerini tam olarak ortaya çıkmadan önce bile bilmenizi sağlar. Tabii ki, eğer yeterince seçilirlerse ve verileri toplanırsa. Ve olay yönetimi üçlüsünü kapatır. Bu prosedürün amacı, araştırmak, sorunların kapsamını belirlemek ve bunlarla başa çıkmaktır. Bu yapılmazsa, şirket finansal risklerle karşı karşıya kalır. Operasyonel risk zamanla artma eğilimindedir. Bu hatırlanmalıdır.