Операційний ризик організації

Підприємницька діяльність сповнена ризиків. Вони зустрічаються то тут, то там. Одним з найбільш ймовірних є операційний ризик. Що він собою являє? Як відбувається управління операційними ризиками? Що впливає на його величину?

Загальна інформація

І почнемо ми з термінології. Операційний ризик – це небезпека виникнення збитку із-за помилки/неадекватних дій з боку працівників організації, збоїв у роботі систем або зовнішніх подій. До них можна віднести репутаційні, стратегічні та юридичні втрати. Тобто операційний ризик пов’язаний з реалізацією виконуваних бізнес-функцій підприємства. Він використовується для позначення небезпеки виникнення додаткових витрат в силу невідповідності характеру і масштабів кредитної структури, порушення вимог чинного законодавства, процедур взаємодії з банківськими установами. Наприклад, до нього можна віднести порушення працівника банку, ненавмисні або цілеспрямовані протизаконні дії з його боку, збій в роботі функціональних/автоматизованих систем зовнішнього впливу.

Залежно від походження виділяють внутрішні та зовнішні ризики. Вони, в свою чергу, поділяються на класи. До внутрішніх ризиків відноситься все пов’язане з персоналом, процесами і системами. Давайте розглянемо кілька прикладів. Дії співробітників можуть завдати шкоди? Загроза. У бізнес-процесах є недоліки? Загроза. Збоїть робота інформаційних систем? Загроза. Зовнішні ризики – це катастрофи, забезпечення безпеки (фізичної, даних), розриву відносин із клієнтами та контрагентами, а також з боку регулюючих органів. Давайте і для цих випадків розглянемо приклади. Пожежі і терористичні акти можуть статися? Загроза. Неякісна або неправдива інформація, товари, послуги, технології можуть порушити взаємодію з клієнтами та контрагентами? Загроза. Підробки, крадіжки, атаки, зломи та інше підірвуть позиції організації? Загроза. Зміни в законодавстві та нормативної бази змусять проводити додаткову діяльність? Загроза.

Суть та види

Якщо хочеш чогось уникнути, необхідно це в обличчя знати. Світ розвивається, стає складніше. З-за цього зростає небезпека від операційних ризиків. В якості опори для подальшої інформації взято Базель ІІ. Згідно з ним, до операційних ризиків відносять все, що може призвести до матеріальних збитків для організації з-за неправильних (або невиконання необхідних дій персоналу, зовнішнього впливу, помилкових процесів тощо. Самі вони не розписуються, також там немає порад щодо організації ефективної боротьби з ними. Головне призначення Базеля ІІ – це розрахунок обсягу покриття для них. Крім цього, там передбачена потужна система управління, завдання якої – сприяти зниженню ймовірності виникнення операційних ризиків. У цьому документі передбачається, що керівна ланка і рада директорів повинні брати на себе функцію за ними. І саме на них покладено надання звітності про операційні ризики і величину поточного шкоди. З цієї точки зору виділяють два види: ті, що прямо або побічно залежать від людини, і форс-мажорні обставини. До останніх відносяться землетруси, урагани, сіли, зсуви та інше. З першими все значно різноманітніше. Так, виділяється чотири основні групи:

  • Умисні дії. До таких відносять шахрайство та інші навмисні дії, які ведуть до збитків.
  • Ненавмисні дії. Це вибір технології, яка не повністю опрацьована, ненавмисні помилкові вчинки співробітників, неадекватне виконання керуючими своїх обов’язків.
  • Технічні ризики, які прямо або опосередковано пов’язані з діяльністю людини. Це збій у мережі, зовнішніх комунікаціях, поломка машинних засобів тощо.
  • Програмні ризики, які прямо або опосередковано пов’язані з діяльністю людини. Це збій у засобах телекомунікації та/або забезпечення комп’ютерної техніки.
  • Специфіка практичної реалізації

    Як можуть підтвердити знаючі люди, управління операційними ризиками в реальності має багато відмінностей від теоретичних рекомендацій. Зокрема, досить рідко зустрічається ситуація, коли керівництво бере на себе проблемні питання, що викликані неполадками в інформаційній системі. Практикується передача такої роботи фахівцям з більш низькою кваліфікацією. Такий підхід часто призводить до виникнення ще більших втрат. Це важливо хоча б тому, що операційний ризик входить до трійки найбільш важливих і суттєвих. Також на практиці часто зустрічаються такі підвиди:

  • Ризик витоку або руйнування інформації, що необхідна для формування організаційних процесів. Мається на увазі навмисне або випадкове видалення файлів в автоматизованій інформаційній системі. Ці дії можуть призвести до серйозного збою і нездатності комерційної структури виконувати взяті зобов’язання перед клієнтами.
  • Ризик використання необ’єктивних або фальсифікованих (підроблених) даних. Як приклад можна привести не справжнє платіжне доручення. Хоча існують і більш складні варіанти. Наприклад, використання вже переданого раніше платежу, коли підміняється один з учасників.
  • Ризик виникнення проблем з подачею об’єктивної та актуальної інформації клієнтам. Як правило, це пов’язано з роботою комп’ютерних систем.
  • Ризик передачі невигідною для організації інформації. В якості прикладу можна навести чутки, наклепи, компромат на керівну ланку, витік цінних документів (з подальшим потраплянням в ЗМІ) тощо.
  • Причини появи і як з ними боротися

    Так вже вийшло, що операційний ризик організації не з’являється просто так. У будь-якої проблеми існує свій корінь. До основних причин можна віднести наступні:

  • Брак кваліфікації і відсутність серйозного підходу в питаннях навчання та підвищення кваліфікації. Людський фактор може сильно впливати на організацію і найчастіше є джерелом проблем. Так, багатьом компаніям не під силу правильно використовувати доступні можливості інформаційних систем. Це посилюється ще й обмеженим рівнем знань звичайних користувачів.
  • Не приділяється належна увага інформаційної безпеки та ігноруються реальні загрози, які виходять з даного сектора. Ігнорування з боку керівних органів, недостатнє фінансування, відсутність заходів збільшення рівня надійності систем та інше тільки погіршують ситуацію.
  • Невисока якість, а також недостатнє опрацювання процедур, спрямованих на попередження ризиків. Також мало хто дбає про наявність адекватної політики та посадової інструкції в сфері безпеки. З-за цього в кризових ситуаціях розгубленість і незнання співробітників можуть посилити проблему.
  • Низько ефективна система захисту інформаційних активів. Зловмиснику досить знайти одне слабке місце, і цього вже повинно вистачити, щоб завдати серйозної шкоди. Краще всього, якщо передбачена ешелонована захист.
  • Велика кількість слабких місць в автоматизованих системах і різних програмних продуктах, якщо використовується не протестоване. Для зловмисника це справжній подарунок.
  • Виправлення ситуації

    І що робити? Численні види операційних ризиків так і загрожують реалізуватися, що слід пам’ятати стару приказку про те, що риба гниє з голови. Тому необхідно почати з керівництва. Можна реалізувати такі пункти:

  • Вищий керівник (рада директорів) займає ключову роль у питаннях формування системи управління, контролю та захисту.
  • Необхідно створювати, впроваджувати та адекватно застосовувати безпроблемно функціонуючі системи скрізь, де вони потрібні і мають сенс бути розроблені.
  • Слід попрацювати над системою управління ризиками. Після того, як вона створена, потрібно провести аналіз на наявність вразливостей. Також слід задуматися про контроль за виконавчими органами.
  • Вищий керівник (рада директорів) встановлює межі ризик-апетиту.
  • Виконавчий орган повинен розробити чіткий, ефективний і надійний інструментарій з прозорими, несуперечливими і повноцінними сферами компетенції. На нього і буде покладено впровадження основних принципів, процесів та систем, що займаються коригуванням ризику.
  • Виконавчий орган повинен виявляти і оцінювати поточні проблеми, а також формулювати їх природу та чинники. Крім цього, нехай він забезпечує впровадженням розроблених нововведень. Також на виконавчий орган можна покласти процес моніторингу та контроль звітності окремо взятих підрозділів.
  • Потрібно забезпечити наявність надійної та повноцінної системи контролю, а також передачі/зниження ризику.
  • Слід розробити план, згідно з яким буде забезпечуватися відновлення і безперервна діяльність організації при наявності явних проблем.
  • І це все?

    Звичайно, немає. Це виключно узагальнюючі слова, в яких розглядаються принципові моменти. Під час роботи з конкретними ситуаціями їх необхідно буде підганяти під існуючі умови. Давайте розглянемо невеликий приклад. У банку є добре прописані процедури управління на випадок реалізації загрози кредитного ризику. До потенційним позичальникам виставлені критерії та передбачено забезпечення за кредитами. Для оцінки пропонованих застав залучається зовнішній фахівець. І ось ним забезпечення була присвоєна вища ціна, ніж воно коштує на ринку. Так би мовити, ситуація розвивається на користь позичальника. При цьому всередині банку адекватність оцінки переперевірена не була. Через певний час складається ситуація, коли позичальник не може погасити взятий кредит. Банк розраховує, що він зможе погасити виник борг, продавши заставу. Але на практиці з’ясовується, що ринкова ціна зможе покрити тільки половину кредиту. Причина цієї проблеми – недотримання процедур. Адже згідно з існуючим вимогам, фінансові установи повинні перевіряти ціну застави. Ось так зріс операційний ризик, а слідом за ним і кредитний. А можна ще згадати і про те, як окремі банки видають свідомо безповоротні кредити, порушуючи всі мислимі процедури. Такі установи швидко потрапляють в чергу на ліквідацію. На величину операційного ризику впливає в даному випадку потурання з боку співробітників. На жаль, повністю уникнути подібних ситуацій надзвичайно проблематично. Можна тільки мінімізувати, ввівши навчання, ефективну систему контролю і жорстку дисципліну.

    Реальні приклади

    У житті може статися те, що і сценаристам не придумати. Бували такі ситуації, коли рівень операційного ризику просто зашкалював, але цю ситуацію тривалий час не могли виявити. Давайте розглянемо декілька найбільш вражаючих прикладів. Був собі такий чоловік — Жером Кервьєль. Був трейдером інвестиційного банку Société Générale. У 2007 році він відкрив позиції на індекси європейських бірж за фьючестерам. Начебто звичайна історія. Але сума позицій становила близько 50 мільярдів євро! Це в півтора рази перевищувало капіталізацію банку! Як Жером зміг зробити це? Справа в тому, що він працював перед тим в офісі і добре знав роботу механізму контролю. Виявлено це було тільки в кінці січня 2008 року. Було вирішено закрити їх швидше. Але величезний розмір позицій спровокувала розпродажі на фондових ринках. З-за цього банк втратив 7,2 мільярда доларів (або 4,9 млрд євро). Або ще один приклад. Був такий чоловік, як Джон Руснак. Він працював в американському відділенні найбільшого банку Ірландії, назва якого – Allied Irish Bank. Він був найнятий в 1993 році. У 1996-му Джон почав здійснювати ризиковані операції з японською ієною. Але вони були невдалими, пішли збитки. Але Джону вдалося приховувати від партнерів зростаючі збитки. Наприклад, у 1997 році він втратив 29,1 мільйона доларів. У 2001 році сума склала вже 300 млн! Щоб приховати такі втрати, він підробляв звітність. За свої операції цей трейдер навіть примудрився отримати преміальні на суму 433 тисячі доларів. Все виявилося в 2001 році. На момент розкриття загальний обсяг збитків склав 691 мільйон доларів. Більш дрібні втрати і ризики операційної діяльності зустрічаються значно частіше, ніж такі великі. У вік автоматизації при правильному підході їх можна значно мінімізувати.

    Зовнішні ризики та їх рішення

    Вони виникають під час взаємовідносин організації з навколишнім світом. Це може бути грабіж, крадіжка, проникнення сторонніми особами в інформаційну систему, вихід з ладу інфраструктури та природні катастрофи. Хоча, мабуть, слід віднести і законодавче середовище. Які методи оцінки операційного ризику необхідно використовувати, щоб отримати уявлення про ситуації, що склалася? Існує цілий ряд рекомендацій за загальною схемою роботи. Крім цього, розрахунок операційного ризику може бути зроблений спеціально створеними для цього математичними моделями. Так що ж необхідно робити для створення ефективної системи управління, що зможе розбиратися з проблемами?

    План дій

    В першу чергу необхідно подбати про адекватною архітектурі. Тобто якщо проблеми в самій системі, то, на жаль, навіть найкращий фахівець не зможе забезпечити задовільний результат. Також вона повинна бути розумною. Припустимо, є певна кількість дрібних інцидентів, які обходяться в 10 тисяч рублів у рік. Можна створити систему, що буде на 100 % запобігати їх. Але її вартість – 100 тисяч рублів. У такому випадку варто задуматися про доцільність. Звичайно, якщо мова йде про крадіжку або щось схоже, що поступово буде рости в масштабах, то зволікати не можна. Адже якщо тягнути, то операційні ризики підприємства можуть збільшитися настільки, що знищать компанію. Але підтримувати систему в загальному адекватному стані допоможе три методу:

  • Контрольна самооцінка.
  • Ключові індикатори ризику.
  • Управління операційними інцидентами.
  • Вирішуємо проблеми

    На величину операційного ризику впливає безліч факторів. Чим їх менше, тим краще. Оптимально, якщо проблеми вирішуються ще до того, як виникнуть. Тому оцінка операційного ризику відіграє значну роль. Як її провести? В першу чергу необхідно зосередитися на контрольній самооцінці. Перефразувавши, цей метод можна назвати відвертою розмовою про проблеми. Реалізується у вигляді опитувань співробітників. Потім йдуть ключові індикатори ризику. Ці показники дозволяють дізнатися про майбутні проблеми ще до того, як вони проявлять себе в повну силу. Звичайно, якщо вони адекватно підібрані і збираються їх дані. І замикає трійцю управління інцидентами. Мета цієї процедури – провести розслідування, виявити обсяг проблем і розібратися з ними. Якщо цього не зробити, то підприємство чекають фінансові ризики. Операційний ризик з часом, як правило, тільки зростає. Про це необхідно пам’ятати.