סיכון תפעולי מוסדי

2024 מְחַבֵּר: Howard Calhoun | [email protected]. שונה לאחרונה: 2023-12-17 10:27

העסק מלא בסיכונים. הם נפגשים פה ושם. אחד הסבירים ביותר הוא סיכון תפעולי. מה הוא מייצג? כיצד מנוהלים סיכונים תפעוליים? מה משפיע על ערכו?

מידע כללי

ונתחיל בטרמינולוגיה. סיכון תפעולי הוא הסיכון לאובדן עקב טעות/פעולה לא מספקת של עובדי הארגון, כשלים במערכת או אירועים חיצוניים. אלה כוללים הפסדים מוניטין, אסטרטגיים ומשפטיים. כלומר, סיכון תפעולי קשור ביישום הפונקציות העסקיות של הארגון. הוא משמש לציון הסיכון לעלויות נוספות עקב חוסר העקביות באופי ובהיקף של מבנה האשראי, הפרה של דרישות החקיקה הנוכחית, נהלי אינטראקציה עם מוסדות בנקאיים. למשל, זה יכול לכלול הפרה של עובד בנק, פעולות בלתי מכוונות או תכליתיות לא חוקיות מצידו, כשל בהפעלת מערכות פונקציונליות/אוטומטיות עקב השפעה חיצונית.

תלוי במקור, פנימיוסיכונים חיצוניים. הם, בתורם, מחולקים לכיתות. סיכונים פנימיים כוללים כל מה שקשור לאנשים, תהליכים ומערכות. בואו נסתכל על כמה דוגמאות. פעולות העובדים עלולות לגרום נזק? האיום. האם יש פגמים בתהליכים עסקיים? האיום. כשל במערכות מידע? האיום. סיכונים חיצוניים הם קטסטרופות, אבטחה (פיזי, נתונים), הפרעה ביחסים עם לקוחות וצדדים נגדיים וכן מצד רשויות רגולטוריות. בואו נסתכל על דוגמאות למקרים אלה. שריפות ופיגועים יכולים לקרות? האיום. האם מידע, מוצרים, שירותים, טכנולוגיות באיכות נמוכה או כוזבת יכולים לשבש אינטראקציה עם לקוחות וצדדים נגדיים? האיום. האם זיופים, גניבות, תקיפות, פריצות וכדומה יפגעו בעמדת הארגון? האיום. האם שינויים בחקיקה ובמסגרת הרגולטורית יחייבו פעילויות נוספות? איום.

מהות וסוגים

אם אתה רוצה להימנע ממשהו, אתה צריך לדעת את זה באופן אישי. העולם מתפתח והופך מורכב יותר. בשל כך, הסכנה מסיכונים תפעוליים גוברת. באזל II נלקחת כאסמכתא למידע נוסף. לדבריו, סיכונים תפעוליים כוללים כל מה שיכול להוביל לנזק מהותי לארגון עקב פעולות שגויות (או אי ביצוע של פעולות נדרשות) של כוח אדם, השפעות חיצוניות, תהליכים שגויים וכדומה. הם עצמם לא חותמים, ואין עצות איך לארגן מאבק יעיל נגדם. המטרה העיקרית של באזל II היא לחשב את גובה הכיסוי עבורם.בנוסף, קיימת מערכת ניהול חזקה, שתפקידה לסייע בהפחתת הסבירות לסיכונים תפעוליים. מסמך זה קובע כי ההנהלה והדירקטוריון צריכים לקחת על עצמם את התפקיד שמאחוריהם. והם אלו שאחראים לדווח על סיכונים תפעוליים וכמות הנזק הנוכחי. מנקודת מבט זו מבחינים בין שני סוגים: אלו התלויים במישרין או בעקיפין באדם ונסיבות כוח עליון. אלה האחרונים כוללים רעידות אדמה, הוריקנים, זרימות בוץ, מפולות וכו'. עם הראשון, הכל הרבה יותר מגוון. אז, יש ארבע קבוצות עיקריות:

1. פעולות מכוונות. אלה כוללים הונאה ופעולות מכוונות אחרות המובילות לנזק.
2. מעשים לא מכוונים. זוהי בחירה של טכנולוגיה שאינה מפותחת במלואה, פעולות לא מכוונות שגויות של עובדים, ביצוע לקוי של מנהלים בתפקידיהם.
3. סיכונים טכניים הקשורים במישרין או בעקיפין לפעילויות אנושיות. מדובר בכשל ברשת, בתקשורת חיצונית, תקלה בכלי מכונות וכדומה.
4. סיכונים בתוכנית הקשורים במישרין או בעקיפין לפעילויות אנושיות. מדובר בכשל בציוד טלקומוניקציה ו/או מחשבים.

פרטי יישום מעשי

כפי שיודעים יכולים להעיד, ניהול סיכונים תפעוליים למעשה שונה מאוד מהייעוץ התיאורטי. בפרט, המצב די נדירכאשר ההנהלה לוקחת על עצמה נושאים בעייתיים שנגרמים מתקלות במערכת המידע. נהוג להעביר עבודה כזו למומחים בעלי כישורים נמוכים יותר. גישה זו מובילה לעיתים קרובות להפסדים גדולים עוד יותר. זה חשוב, ולו רק בגלל שהסיכון התפעולי הוא אחד משלושת החשובים והמשמעותיים ביותר. גם בפועל, תת-מינים כאלה נמצאים לעתים קרובות:

1. הסיכון לדליפה או הרס של מידע הכרחי להיווצרות תהליכים ארגוניים. זה מרמז על מחיקה מכוונת או מקרית של קבצים במערכת מידע אוטומטית. פעולות אלו עלולות להוביל לכשל חמור ולחוסר יכולת של המבנה המסחרי לעמוד בהתחייבויותיו כלפי הלקוחות.
2. סיכון לשימוש בנתונים מוטים או מזויפים (מזויפים). דוגמה לכך תהיה הוראת תשלום לא אמיתית. למרות שיש אפשרויות מורכבות יותר. לדוגמה, שימוש בתשלום שהועבר בעבר כאשר אחד מהמשתתפים מוחלף.
3. סיכון לבעיות במתן מידע אובייקטיבי ועדכני ללקוחות. ככלל, הדבר נובע מהפעלת מערכות מחשוב.
4. סיכון בהעברת מידע שמזיק לארגון. דוגמאות כוללות שמועות, לשון הרע, פגיעה במידע על בכירים, הדלפת מסמכים יקרי ערך (עם חשיפה שלאחר מכן לתקשורת) וכדומה.

סיבות וכיצד לטפל בהן

במקרה שהסיכון התפעולי של ארגון לא קורה סתם. כללבעיה יש שורש. הסיבות העיקריות כוללות את הבאות:

1. חוסר כישורים וחוסר גישה רצינית להכשרה ופיתוח מקצועי. הגורם האנושי יכול להשפיע רבות על הארגון והוא לרוב המקור לבעיות. לכן, חברות רבות אינן מסוגלות להשתמש כראוי ביכולות הזמינות של מערכות מידע. זה מחמיר בגלל רמת הידע המוגבלת של משתמשים רגילים.
2. לא ניתן תשומת לב ראויה לאבטחת מידע והתעלם מהאיומים האמיתיים שמגיעים ממגזר זה. חוסר ידיעה של הגופים המנהלים, חוסר מימון, היעדר אמצעים להגברת רמת אמינות המערכת וכו', רק מחמירים את המצב.
3. איכות נמוכה, כמו גם פיתוח לא מספיק של נהלים שמטרתם למנוע סיכונים. כמו כן, מעטים האנשים שדואגים לקיומה של מדיניות ותיאור תפקיד נאותים בתחום האבטחה. בשל כך, במצבי משבר, בלבול ובורות של העובדים עלולים להחמיר את הבעיה.
4. מערכת לא יעילה להגנה על נכסי מידע. מספיק שתוקף ימצא נקודת תורפה אחת, וזה כבר אמור להספיק כדי לגרום לנזק חמור. עדיף שתספק הגנה מעמיקה.
5. מספר רב של חולשות במערכות אוטומטיות ובמוצרי תוכנה שונים, אם נעשה שימוש בתוכנות שלא נבדקו. עבור תוקף, זו מתנה אמיתית.

תיקון המצב

ומה לעשות? סוגים רבים של חדרי ניתוחסיכונים מאיימים להתממש, אז כדאי לזכור את הפתגם הישן שהדג נרקב מהראש. לכן, יש צורך להתחיל עם מדריך. אתה יכול ליישם את הפריטים הבאים:

1. המנהל העליון (הדירקטוריון) ממלא תפקיד מפתח בגיבוש מערכת ניהול, בקרה והגנה.
2. אנחנו צריכים ליצור, ליישם וליישם בצורה נאותה מערכות חלקות בכל מקום שבו הן נחוצות וכדאי לפתח אותן.
3. אנחנו צריכים לעבוד על מערכת ניהול הסיכונים. לאחר יצירתו, עליך לנתח את נוכחותן של נקודות תורפה. כדאי גם לחשוב על שליטה על הגופים המבצעים.
4. המנהל הבכיר (הדירקטוריון) קובע מגבלות תיאבון סיכון.
5. הגוף המבצע צריך לפתח ערכת כלים ברורה, יעילה ומהימנה עם תחומי יכולת שקופים, עקביים ומשמעותיים. היא תהיה אמון על יישום העקרונות, התהליכים והמערכות הבסיסיות הכרוכות בהתאמת סיכונים.
6. הגוף המבצע צריך לזהות ולהעריך את הבעיות הנוכחיות, כמו גם לנסח את מהותן ואת הגורמים שלהן. בנוסף, תן לו לספק את היישום של החידושים שפותחו. כמו כן, ניתן להפקיד על הגוף המבצע את תהליך המעקב והבקרה בדיווח של יחידות בודדות.
7. יש לקיים מערכת אמינה ומקיפה של בקרה והעברת סיכונים/הפחתת סיכונים.
8. יש לפתח תוכנית כדי להבטיח את ההתאוששות וההמשכיות העסקית של הארגון אםבעיות ברורות.

זה הכל?

כמובן שלא. אלו הן מילים הכללות בלבד, שבהן נשקלות נקודות יסוד. תוך כדי עבודה עם מצבים ספציפיים, יהיה צורך להתאים אותם לתנאים הקיימים. בואו נסתכל על דוגמה קטנה. לבנק נהלי ניהול מוגדרים היטב למקרה שמתממש איום בסיכון אשראי. נקבעים קריטריונים ללווים פוטנציאליים וניתנות בטחונות להלוואות. מומחה חיצוני מועסק כדי להעריך את הבטחונות המוצעים. ולכן לניירות הערך נקבע מחיר גבוה יותר ממה שהוא עולה בפועל בשוק. אז לומר, המצב מתפתח לטובת הלווה. יחד עם זאת, הלימות השומה לא נבדקה מחדש בתוך הבנק. לאחר זמן מסוים נוצר מצב שהלווה אינו יכול להחזיר את ההלוואה שנלקחה. הבנק צופה כי יוכל להחזיר את החוב שנוצר באמצעות מכירת הביטחונות. אלא שבפועל, מסתבר שמחיר השוק יכול לכסות רק מחצית מההלוואה. הסיבה לבעיה זו היא אי עמידה בנהלים. הרי על פי הדרישות הקיימות, על המוסדות הפיננסיים לבדוק שוב את מחיר הבטוחות. כך גדל הסיכון התפעולי ואחריו סיכון האשראי. ואתה יכול גם לזכור כיצד בנקים בודדים מנפיקים הלוואות גרועות בכוונה, תוך הפרה של כל ההליכים האפשריים. מוסדות כאלה נכנסים במהירות לתור לפירוק. גודל הסיכון התפעולי מושפע במקרה זה משיתוף העובדים. למרבה הצער, קשה מאוד להימנע לחלוטין ממצבים כאלה.בעייתי. ניתן למזער אותו רק על ידי הכנסת הכשרה, מערכת בקרה יעילה ומשמעת קפדנית.

דוגמאות אמיתיות

דברים יכולים לקרות בחיים שאפילו הכותבים לא יכולים לחשוב עליהם. היו מצבים שרמת הסיכון התפעולי פשוט ירדה מקנה המידה, אך מצב זה לא ניתן היה לזהות במשך זמן רב. בואו נסתכל על כמה מהדוגמאות המרשימות ביותר. היה אדם כזה - ג'רום קרוויאל. הו היה סוחר בבנק ההשקעות Société Générale. ב-2007 הוא פתח פוזיציות במדדים של בורסות אירופה לחוזים עתידיים. נראה כמו סיפור נפוץ. אבל סכום הפוזיציות היה כ-50 מיליארד יורו! זה פי אחד וחצי מהיוון של הבנק! איך ג'רום הצליח לעשות את זה? העובדה היא שלפני כן הוא עבד במשרד והכיר היטב את עבודת מנגנון הבקרה. הוא התגלה רק בסוף ינואר 2008. הוחלט לסגור אותם בהקדם האפשרי. אבל גודל הפוזיציה העצום גרם למכירה בשווקי המניות. בשל כך הפסיד הבנק 7.2 מיליארד דולר (או 4.9 מיליארד יורו). או דוגמה נוספת. היה אדם כמו ג'ון רוסנק. הוא עבד בסניף האמריקאי של הבנק הגדול באירלנד, ששמו הוא Allied Irish Bank. הוא התקבל לעבודה ב-1993. ב-1996 החל ג'ון לבצע עסקאות מסוכנות עם הין היפני. אבל הם לא הצליחו, היו הפסדים. אבל ג'ון הצליח להסתיר הפסדים הולכים וגדלים משותפים. לדוגמה, ב-1997 הוא הפסיד 29.1 מיליון דולר. בשנת 2001, הסכום היה כבר 300 מיליון! כדי להסתיר הפסדים כאלה, הוא זייף הצהרות.עבור פעולותיו, הסוחר הזה אפילו הצליח לקבל בונוסים בסך 433 אלף דולר. הכל התגלה ב-2001. בזמן הפתיחה, ההפסד הכולל עמד על 691 מיליון דולר. הפסדים קטנים יותר וסיכונים תפעוליים נפוצים הרבה יותר מאשר גדולים כאלה. בעידן האוטומציה, עם הגישה הנכונה, ניתן למזער אותם בצורה משמעותית.

סיכונים חיצוניים והפתרונות שלהם

הם מתעוררים במהלך מערכת היחסים של הארגון עם העולם החיצון. זה יכול להיות שוד, גניבה, חדירת צדדים שלישיים למערכת המידע, כשל בתשתיות ואסונות טבע. אם כי, אולי, יש לייחס גם את הסביבה החקיקתית. באילו שיטות הערכת סיכונים תפעוליים יש להשתמש כדי לקבל מושג על המצב הנוכחי? ישנן מספר המלצות לתכנית העבודה הכללית. כמו כן, ניתן לבצע את חישוב הסיכון התפעולי באמצעות מודלים מתמטיים שנוצרו במיוחד למטרה זו. אז מה צריך לעשות כדי ליצור מערכת ניהול יעילה שיכולה להתמודד עם בעיות?

תוכנית פעולה

קודם כל, אתה צריך לדאוג לארכיטקטורה נאותה. כלומר, אם הבעיות הן במערכת עצמה, אז, אבוי, אפילו המומחה הטוב ביותר לא יוכל לספק תוצאה משביעת רצון. זה גם חייב להיות סביר. נניח שיש מספר מסוים של תקריות קלות שעולות 10 אלף רובל בשנה. אתה יכול ליצור מערכת שתמנע אותם ב-100%. אבל העלות שלו100 אלף רובל. במקרה זה, אתה צריך לחשוב על ההתאמה. כמובן, אם אנחנו מדברים על גניבה או משהו דומה, שיגדל בהדרגה בקנה מידה, אז אנחנו לא יכולים להסס. אחרי הכל, אם אתה מתעכב, אז הסיכונים התפעוליים של המיזם יכולים לגדול עד כדי כך שהם הורסים את החברה. אבל כדי לשמור על המערכת במצב הולם, שלוש שיטות יעזרו:

1. בדוק הערכה עצמית.
2. אינדיקטורים מרכזיים לסיכון.
3. ניהול אירועים מבצעיים.

פתרון בעיות

גורמים רבים משפיעים על גודל הסיכון התפעולי. כמה שפחות מהם, יותר טוב. באופן אידיאלי, בעיות נפתרות לפני שהן מתעוררות. לכן, להערכת הסיכון התפעולי יש תפקיד משמעותי. איך לבזבז את זה? קודם כל, אתה צריך להתמקד בהערכה עצמית של שליטה. בפרפרזה, אפשר לקרוא לשיטה זו שיחה גלויה על בעיות. זה מיושם בצורה של סקרי עובדים. לאחר מכן ישנם מדדי סיכון מרכזיים. אינדיקטורים אלה מאפשרים לך לדעת על בעיות צפויות עוד לפני שהן באות לידי ביטוי במלואן. כמובן, אם הם נבחרו כראוי והנתונים שלהם נאספים. וסוגר את השילוש הוא ניהול אירועים. מטרת הליך זה היא לחקור, לזהות את היקף הבעיות ולטפל בהן. אם זה לא נעשה, החברה עומדת בפני סיכונים פיננסיים. הסיכון התפעולי נוטה לעלות עם הזמן. יש לזכור זאת.