Rủi ro hoạt động của tổ chức

2024 Tác giả: Howard Calhoun | [email protected]. Sửa đổi lần cuối: 2023-12-17 10:44

Kinh doanh đầy rẫy rủi ro. Họ gặp nhau ở đây và ở đó. Một trong những rủi ro có thể xảy ra là rủi ro hoạt động. Anh ta đại diện cho cái gì? Rủi ro hoạt động được quản lý như thế nào? Điều gì ảnh hưởng đến giá trị của nó?

Thông tin chung

Và chúng ta sẽ bắt đầu với thuật ngữ. Rủi ro hoạt động là rủi ro mất mát do lỗi / hành động không phù hợp của một bộ phận nhân viên của tổ chức, lỗi hệ thống hoặc các sự kiện bên ngoài. Chúng bao gồm tổn thất về danh tiếng, chiến lược và pháp lý. Tức là rủi ro hoạt động gắn liền với việc thực hiện các chức năng kinh doanh của doanh nghiệp. Nó được sử dụng để chỉ rủi ro phát sinh thêm chi phí do sự không nhất quán về bản chất và quy mô của cơ cấu tín dụng, vi phạm các yêu cầu của pháp luật hiện hành, thủ tục tương tác với các tổ chức ngân hàng. Ví dụ: nó có thể bao gồm hành vi vi phạm của nhân viên ngân hàng, hành động bất hợp pháp vô ý hoặc có chủ đích từ phía anh ta, lỗi vận hành hệ thống chức năng / tự động do ảnh hưởng từ bên ngoài.

Tùy theo xuất xứ, nộivà rủi ro bên ngoài. Lần lượt, họ được chia thành các lớp. Rủi ro nội bộ bao gồm mọi thứ liên quan đến con người, quy trình và hệ thống. Hãy xem một vài ví dụ. Các hành động của nhân viên có thể gây ra tác hại? Các mối đe dọa. Có sai sót trong quy trình kinh doanh không? Các mối đe dọa. Hỏng hóc của hệ thống thông tin? Các mối đe dọa. Rủi ro bên ngoài là thảm họa, bảo mật (vật lý, dữ liệu), gián đoạn mối quan hệ với khách hàng và đối tác, cũng như từ các cơ quan quản lý. Hãy xem các ví dụ cho những trường hợp này. Hỏa hoạn và tấn công khủng bố có thể xảy ra? Các mối đe dọa. Thông tin, hàng hóa, dịch vụ, công nghệ chất lượng thấp hoặc sai lệch có thể làm gián đoạn sự tương tác với khách hàng và đối tác không? Các mối đe dọa. Giả mạo, trộm cắp, tấn công, đột nhập, v.v. có làm suy yếu vị thế của tổ chức không? Các mối đe dọa. Liệu những thay đổi trong luật pháp và khuôn khổ quy định có buộc các hoạt động bổ sung không? Đe doạ.

Cốt và các loại

Nếu bạn muốn tránh điều gì đó, bạn cần phải biết điều đó trực tiếp. Thế giới đang phát triển và trở nên phức tạp hơn. Do đó, nguy cơ rủi ro hoạt động tăng lên. Basel II được lấy làm tài liệu tham khảo để biết thêm thông tin. Theo ông, rủi ro hoạt động bao gồm mọi thứ có thể dẫn đến thiệt hại vật chất cho tổ chức do nhân sự không thực hiện đúng (hoặc không thực hiện các hành động cần thiết), ảnh hưởng bên ngoài, quy trình sai, và những thứ tương tự. Bản thân họ không ký, và không có mẹo nào về cách tổ chức một cuộc chiến chống lại họ hiệu quả. Mục đích chính của Basel II là tính toán mức độ phù hợp cho chúng. Ngoài ra, còn có một hệ thống quản lý mạnh mẽ, nhiệm vụ của nó là giúp giảm thiểu khả năng xảy ra rủi ro hoạt động. Tài liệu này quy định rằng ban giám đốc và ban giám đốc nên đảm nhận chức năng đằng sau họ. Và chính họ là người có trách nhiệm báo cáo về rủi ro hoạt động và số lượng thiệt hại hiện tại. Theo quan điểm này, hai loại được phân biệt: loại phụ thuộc trực tiếp hoặc gián tiếp vào một người, và các trường hợp bất khả kháng. Thứ hai bao gồm động đất, bão, bùn đất, lở đất, v.v. Với cái đầu tiên, mọi thứ đa dạng hơn rất nhiều. Vì vậy, có bốn nhóm chính:

1. Những hành động có chủ ý. Chúng bao gồm gian lận và các hành động cố ý khác dẫn đến thiệt hại.
2. Hành vi không cố ý. Đây là sự lựa chọn của công nghệ chưa phát triển đầy đủ, những hành động không chủ ý của nhân viên, những người quản lý không thực hiện đầy đủ nhiệm vụ của họ.
3. Rủi ro kỹ thuật liên quan trực tiếp hoặc gián tiếp đến các hoạt động của con người. Đây là sự cố về mạng, liên lạc bên ngoài, sự cố của máy công cụ và những thứ tương tự.
4. Rủi ro của chương trình liên quan trực tiếp hoặc gián tiếp đến các hoạt động của con người. Đây là lỗi trong thiết bị viễn thông và / hoặc máy tính.

Thông tin cụ thể về việc triển khai thực tế

Như những người trong cuộc có thể chứng thực, quản lý rủi ro hoạt động thực sự khác rất nhiều so với lời khuyên lý thuyết. Đặc biệt, tình trạng khá hi hữukhi ban lãnh đạo xử lý các vấn đề có vấn đề do hệ thống thông tin bị trục trặc. Thực tế là chuyển công việc đó cho các chuyên gia có trình độ thấp hơn. Cách tiếp cận này thường dẫn đến tổn thất thậm chí còn lớn hơn. Điều này là quan trọng, nếu chỉ vì rủi ro hoạt động là một trong ba rủi ro quan trọng và quan trọng nhất. Cũng trong thực tế, các phân loài như vậy thường được tìm thấy:

1. Nguy cơ rò rỉ hoặc phá hủy thông tin cần thiết cho việc hình thành các quy trình của tổ chức. Nó ngụ ý xóa các tệp có chủ ý hoặc tình cờ trong hệ thống thông tin tự động. Những hành động này có thể dẫn đến sự thất bại nghiêm trọng và cơ cấu thương mại không có khả năng thực hiện các nghĩa vụ đối với khách hàng.
2. Rủi ro sử dụng dữ liệu sai lệch hoặc sai lệch (giả mạo). Một ví dụ sẽ là một lệnh thanh toán không có thật. Mặc dù có nhiều lựa chọn phức tạp hơn. Ví dụ: sử dụng khoản thanh toán đã chuyển trước đó khi một trong những người tham gia được thay thế.
3. Rủi ro về vấn đề cung cấp thông tin khách quan và cập nhật cho khách hàng. Theo quy định, điều này là do hoạt động của hệ thống máy tính.
4. Rủi ro truyền tải thông tin bất lợi cho tổ chức. Ví dụ bao gồm tin đồn, vu khống, làm tổn hại thông tin về các quan chức cấp cao, rò rỉ các tài liệu có giá trị (sau đó bị giới truyền thông tiết lộ) và những thứ tương tự.

Nguyên nhân và cách giải quyết

Điều đó xảy ra là rủi ro hoạt động của một tổ chức không chỉ xảy ra. Không tí nàovấn đề có gốc rễ của nó. Những lý do chính bao gồm những điều sau:

1. Thiếu trình độ và thiếu phương pháp đào tạo và phát triển nghề nghiệp một cách nghiêm túc. Yếu tố con người có thể ảnh hưởng lớn đến tổ chức và thường là nguồn gốc của các vấn đề. Vì vậy, nhiều công ty không thể sử dụng đúng khả năng sẵn có của hệ thống thông tin. Điều này càng trở nên trầm trọng hơn do trình độ hiểu biết hạn chế của người dùng bình thường.
2. Không được quan tâm đúng mức đến bảo mật thông tin và bỏ qua các mối đe dọa thực sự đến từ lĩnh vực này. Sự thiếu hiểu biết của các cơ quan quản lý, không đủ kinh phí, thiếu các biện pháp để tăng mức độ tin cậy của hệ thống, v.v., chỉ làm trầm trọng thêm tình hình.
3. Chất lượng thấp, cũng như không phát triển đầy đủ các quy trình nhằm ngăn ngừa rủi ro. Ngoài ra, ít người quan tâm đến sự tồn tại của một chính sách đầy đủ và mô tả công việc trong lĩnh vực an ninh. Do đó, trong các tình huống khủng hoảng, sự nhầm lẫn và thiếu hiểu biết của nhân viên có thể làm trầm trọng thêm vấn đề.
4. Hệ thống bảo vệ tài sản thông tin kém hiệu quả. Kẻ tấn công chỉ cần tìm ra một điểm yếu là đủ, và điều này đã đủ để gây ra thiệt hại nghiêm trọng. Tốt nhất là phòng thủ có chiều sâu.
5. Một số lượng lớn các điểm yếu trong các hệ thống tự động và các sản phẩm phần mềm khác nhau, nếu phần mềm chưa được kiểm tra được sử dụng. Đối với kẻ tấn công, đây là một món quà thực sự.

Khắc phục tình trạng

Và phải làm gì? Nhiều loại phòng mổrủi ro đang đe dọa thành hiện thực, vì vậy bạn nên nhớ câu ngạn ngữ cổ rằng cá thối khỏi đầu. Vì vậy, cần phải bắt đầu với một người hướng dẫn. Bạn có thể thực hiện các mục sau:

1. Người quản lý cao nhất (ban giám đốc) đóng vai trò quan trọng trong việc hình thành hệ thống quản lý, kiểm soát và bảo vệ.
2. Chúng tôi cần tạo, triển khai và áp dụng đầy đủ các hệ thống liền mạch ở bất cứ nơi nào chúng cần thiết và đáng phát triển.
3. Chúng ta cần làm việc trên hệ thống quản lý rủi ro. Sau khi nó được tạo, bạn cần phải phân tích sự hiện diện của các lỗ hổng. Bạn cũng nên nghĩ đến việc kiểm soát các cơ quan hành pháp.
4. Người điều hành cao nhất (ban giám đốc) đặt ra giới hạn mức độ thèm ăn rủi ro.
5. Cơ quan điều hành nên phát triển một bộ công cụ rõ ràng, hiệu quả và đáng tin cậy với các lĩnh vực năng lực minh bạch, nhất quán và có ý nghĩa. Nó sẽ được giao phó việc thực hiện các nguyên tắc, quy trình và hệ thống cơ bản liên quan đến việc điều chỉnh rủi ro.
6. Cơ quan điều hành cần xác định và đánh giá các vấn đề hiện tại, cũng như hình thành bản chất và các yếu tố của chúng. Ngoài ra, hãy để anh ta cung cấp việc thực hiện các đổi mới đã phát triển. Ngoài ra, cơ quan điều hành có thể được giao phó quá trình giám sát và kiểm soát việc báo cáo của các đơn vị riêng lẻ.
7. Phải có một hệ thống kiểm soát và chuyển giao / giảm thiểu rủi ro đáng tin cậy và toàn diện.
8. Cần phát triển một kế hoạch để đảm bảo sự phục hồi và tính liên tục trong kinh doanh của tổ chức nếuvấn đề rõ ràng.

Chỉ có vậy thôi sao?

Tất nhiên là không. Đây là những từ chỉ khái quát hóa, trong đó những điểm cơ bản được xem xét. Trong khi làm việc với các tình huống cụ thể, chúng sẽ cần được điều chỉnh cho phù hợp với các điều kiện hiện có. Hãy xem một ví dụ nhỏ. Ngân hàng có các quy trình quản lý được xác định rõ ràng trong trường hợp rủi ro tín dụng xảy ra. Các tiêu chí được đặt ra cho những người vay tiềm năng và tài sản thế chấp cho các khoản vay được cung cấp. Một chuyên gia bên ngoài được tham gia để đánh giá tài sản thế chấp được đề xuất. Và vì vậy bảo mật đã được ấn định một mức giá cao hơn so với giá thực tế trên thị trường. Vì vậy, có thể nói, tình hình đang phát triển có lợi cho người đi vay. Đồng thời, tính đầy đủ của đánh giá không được kiểm tra lại trong ngân hàng. Sau một thời gian nhất định, phát sinh tình huống người đi vay không trả được khoản vay đã vay. Ngân hàng kỳ vọng rằng sẽ có thể trả được khoản nợ phát sinh bằng cách bán tài sản thế chấp. Nhưng trên thực tế, giá thị trường chỉ có thể bao trả một nửa khoản vay. Nguyên nhân của vấn đề này là do không tuân thủ các quy trình. Rốt cuộc, theo các yêu cầu hiện có, các tổ chức tài chính phải kiểm tra kỹ giá của tài sản thế chấp. Đây là nguyên nhân khiến rủi ro hoạt động tăng lên, và sau đó là rủi ro tín dụng. Và bạn cũng có thể nhớ cách các ngân hàng cá nhân cố tình phát hành các khoản vay khó đòi, vi phạm tất cả các thủ tục có thể hiểu được. Các tổ chức như vậy nhanh chóng rơi vào tình trạng xếp hàng thanh lý. Mức độ rủi ro hoạt động bị ảnh hưởng trong trường hợp này bởi sự phù hợp của nhân viên. Than ôi, hoàn toàn khó tránh khỏi những tình huống như vậy.có vấn đề. Nó chỉ có thể được giảm thiểu bằng cách đưa vào đào tạo, một hệ thống kiểm soát hiệu quả và kỷ luật nghiêm ngặt.

Ví dụ thực tế

Những điều có thể xảy ra trong cuộc sống mà ngay cả người viết cũng không thể nghĩ tới. Có những tình huống khi mức độ rủi ro hoạt động chỉ đơn giản là đi ra ngoài quy mô, nhưng tình huống này không thể xác định được trong một thời gian dài. Hãy xem một số ví dụ ấn tượng nhất. Có một người như vậy - Jerome Kerviel. Oh là một nhà giao dịch cho ngân hàng đầu tư Société Générale. Năm 2007, ông đã mở các vị trí trên các chỉ số của các sàn giao dịch chứng khoán châu Âu cho các hợp đồng tương lai. Có vẻ như một câu chuyện thông thường. Nhưng tổng các vị trí là khoảng 50 tỷ euro! Đây là một lần rưỡi vốn hóa của ngân hàng! Làm thế nào Jerome có thể làm được điều này? Thực tế là trước đó anh ấy đã làm việc trong văn phòng và biết rõ công việc của cơ chế kiểm soát. Nó chỉ được phát hiện vào cuối tháng 1 năm 2008. Nó đã được quyết định để đóng chúng càng sớm càng tốt. Nhưng quy mô vị thế khổng lồ đã gây ra tình trạng bán tháo trên thị trường chứng khoán. Vì điều này, ngân hàng đã mất 7,2 tỷ đô la (tương đương 4,9 tỷ euro). Hoặc một ví dụ khác. Có một người đàn ông giống như John Rusnak. Ông làm việc trong chi nhánh Hoa Kỳ của ngân hàng lớn nhất ở Ireland, có tên là Allied Irish Bank. Anh ấy được thuê vào năm 1993. Năm 1996, John bắt đầu thực hiện các giao dịch rủi ro với đồng yên Nhật. Nhưng họ không thành công, có lỗ. Nhưng John đã cố gắng che giấu những khoản lỗ ngày càng tăng từ các đối tác. Ví dụ, năm 1997, anh ta lỗ 29,1 triệu đô la. Năm 2001, số tiền đã là 300 triệu! Để che giấu những khoản lỗ như vậy, anh ta đã giả mạo các bản kê khai. Đối với hoạt động của mình, nhà giao dịch này thậm chí đã quản lý để nhận được tiền thưởng với số tiền 433 nghìn đô la. Mọi thứ được đưa ra ánh sáng vào năm 2001. Vào thời điểm khai trương, tổng thiệt hại là $ 691 triệu. Những tổn thất nhỏ hơn và rủi ro hoạt động phổ biến hơn nhiều so với những rủi ro lớn như vậy. Trong thời đại tự động hóa, với cách tiếp cận phù hợp, chúng có thể được giảm thiểu đáng kể.

Rủi ro bên ngoài và giải pháp của chúng

Chúng phát sinh trong mối quan hệ của tổ chức với thế giới bên ngoài. Đây có thể là hành vi cướp, trộm cắp, sự xâm nhập của bên thứ ba vào hệ thống thông tin, sự cố của cơ sở hạ tầng và thiên tai. Mặc dù, có lẽ, môi trường lập pháp cũng nên được quy về. Những phương pháp đánh giá rủi ro hoạt động nào nên được sử dụng để có được ý tưởng về tình hình hiện tại? Có một số khuyến nghị cho kế hoạch chung của công việc. Ngoài ra, việc tính toán rủi ro hoạt động có thể được thực hiện bằng cách sử dụng các mô hình toán học được tạo ra đặc biệt cho mục đích này. Vậy cần phải làm gì để tạo ra một hệ thống quản lý hiệu quả có thể giải quyết các vấn đề?

Kế hoạch hành động

Trước hết, bạn cần chăm chút cho một công trình kiến trúc tương xứng. Có nghĩa là, nếu các vấn đề nằm trong chính hệ thống, thì than ôi, ngay cả chuyên gia giỏi nhất cũng không thể đưa ra kết quả như ý. Nó cũng phải hợp lý. Giả sử có một số sự cố nhỏ nhất định tiêu tốn 10 nghìn rúp một năm. Bạn có thể tạo ra một hệ thống sẽ ngăn chặn chúng 100%. Nhưng chi phí của nó100 nghìn rúp. Trong trường hợp này, bạn nên suy nghĩ về sự phù hợp. Tất nhiên, nếu chúng ta đang nói về trộm cắp hoặc một cái gì đó tương tự, sẽ dần dần phát triển về quy mô, thì chúng ta không thể do dự. Xét cho cùng, nếu bạn trì hoãn, thì rủi ro hoạt động của doanh nghiệp có thể tăng lên đến mức phá hủy công ty. Nhưng để giữ cho hệ thống ở tình trạng thích hợp nói chung, ba phương pháp sẽ giúp ích:

1. Kiểm tra tự đánh giá.
2. Các chỉ số rủi ro chính.
3. Quản lý sự cố vận hành.

Giải quyết vấn đề

Nhiều yếu tố ảnh hưởng đến mức độ rủi ro hoạt động. Càng ít người trong số họ, càng tốt. Lý tưởng nhất là các vấn đề được giải quyết trước khi chúng phát sinh. Do đó, việc đánh giá rủi ro hoạt động đóng một vai trò quan trọng. Làm thế nào để chi tiêu nó? Trước hết, bạn cần tập trung vào việc tự đánh giá kiểm soát. Để diễn giải, phương pháp này có thể được gọi là một cuộc trò chuyện thẳng thắn về các vấn đề. Nó được thực hiện dưới hình thức khảo sát nhân viên. Sau đó là các chỉ số rủi ro chính. Các chỉ số này cho phép bạn biết về các vấn đề sắp tới ngay cả trước khi chúng thể hiện toàn bộ lực lượng. Tất nhiên, nếu chúng được lựa chọn đầy đủ và dữ liệu của chúng được thu thập. Và đóng bộ ba là quản lý sự cố. Mục đích của thủ tục này là để điều tra, xác định phạm vi của các vấn đề và giải quyết chúng. Nếu điều này không được thực hiện, thì công ty phải đối mặt với rủi ro tài chính. Rủi ro hoạt động có xu hướng tăng lên theo thời gian. Điều này phải được ghi nhớ.