Riesgo operativo institucional

2024 Autor: Howard Calhoun | [email protected]. Última modificación: 2023-12-17 10:24

Los negocios están llenos de riesgos. Se encuentran aquí y allá. Uno de los más probables es el riesgo operacional. ¿Qué representa? ¿Cómo se gestiona el riesgo operacional? ¿Qué afecta su valor?

Información general

Y comenzaremos con la terminología. El riesgo operativo es el riesgo de pérdida debido a un error/acción inadecuada por parte de los empleados de la organización, fallas del sistema o eventos externos. Estos incluyen pérdidas reputacionales, estratégicas y legales. Es decir, el riesgo operativo está asociado con la implementación de las funciones comerciales de la empresa. Se utiliza para indicar el riesgo de costos adicionales debido a la inconsistencia en la naturaleza y escala de la estructura crediticia, violación de los requisitos de la legislación vigente, procedimientos para interactuar con instituciones bancarias. Por ejemplo, puede incluir una violación de un empleado bancario, acciones ilegales no intencionales o deliberadas de su parte, una falla en la operación de sistemas funcionales / automatizados debido a una influencia externa.

Dependiendo del origen, internoy riesgos externos. Ellos, a su vez, se dividen en clases. Los riesgos internos incluyen todo lo relacionado con personas, procesos y sistemas. Veamos algunos ejemplos. ¿Las acciones de los empleados pueden causar daño? La amenaza. ¿Existen fallas en los procesos de negocio? La amenaza. ¿Fallo de los sistemas de información? La amenaza. Los riesgos externos son catástrofes, seguridad (física, datos), interrupción de las relaciones con clientes y contrapartes, así como de las autoridades reguladoras. Veamos ejemplos para estos casos. ¿Pueden ocurrir incendios y atentados terroristas? La amenaza. ¿La información, los bienes, los servicios y las tecnologías de baja calidad o falsos pueden interrumpir la interacción con los clientes y las contrapartes? La amenaza. ¿Las falsificaciones, los robos, los ataques, los allanamientos, etc. socavarán la posición de la organización? La amenaza. ¿Los cambios en la legislación y el marco regulatorio obligarán a realizar actividades adicionales? Amenaza.

Esencia y tipos

Si quieres evitar algo, debes saberlo en persona. El mundo evoluciona y se vuelve más complejo. Debido a esto, aumenta el peligro de los riesgos operativos. Se toma Basilea II como referencia para mayor información. Según él, los riesgos operativos incluyen todo lo que puede conducir a un daño material a la organización debido a acciones incorrectas (o no realizadas) del personal, influencias externas, procesos erróneos y similares. Ellos mismos no firman, y no hay consejos sobre cómo organizar una lucha efectiva contra ellos. El objetivo principal de Basilea II es calcular la cantidad de cobertura para ellos. Además, existe un sólido sistema de gestión, cuya tarea es ayudar a reducir la probabilidad de riesgos operativos. Este documento establece que la dirección y el consejo de administración deben asumir la función que les corresponde. Y son ellos los que se encargan de informar sobre los riesgos operativos y la cuantía de los daños actuales. Desde este punto de vista, se distinguen dos tipos: los que dependen directa o indirectamente de una persona, y los de fuerza mayor. Estos últimos incluyen terremotos, huracanes, flujos de lodo, deslizamientos de tierra, etc. Con el primero, todo es mucho más diverso. Entonces, hay cuatro grupos principales:

1. Acciones deliberadas. Estos incluyen fraude y otras acciones deliberadas que conducen a daños.
2. Actos no intencionales. Esta es una elección de tecnología que no está completamente desarrollada, acciones erróneas no intencionales de los empleados, desempeño inadecuado por parte de los gerentes de sus funciones.
3. Riesgos técnicos que están directa o indirectamente relacionados con las actividades humanas. Se trata de un fallo en la red, comunicaciones externas, avería de máquinas herramienta y similares.
4. Riesgos del programa que están directa o indirectamente relacionados con las actividades humanas. Se trata de una falla en equipos de telecomunicaciones y/o computación.

Específicos prácticos de implementación

Como pueden atestiguar los expertos, la gestión del riesgo operativo en realidad difiere mucho de los consejos teóricos. En particular, la situación es bastante rara.cuando la gerencia asume asuntos problemáticos que son causados por fallas en el sistema de información. Se practica transferir dicho trabajo a especialistas con calificaciones más bajas. Este enfoque a menudo conduce a pérdidas aún mayores. Esto es importante, aunque solo sea porque el riesgo operativo es uno de los tres más importantes y significativos. También en la práctica, tales subespecies se encuentran a menudo:

1. El riesgo de fuga o destrucción de información que es necesaria para la formación de procesos organizacionales. Implica la eliminación intencional o accidental de archivos en un sistema de información automatizado. Estas acciones pueden conducir a una falla grave y a la incapacidad de la estructura comercial para cumplir con sus obligaciones con los clientes.
2. Riesgo de utilizar datos sesgados o falsificados (falsos). Un ejemplo sería una orden de pago no real. Aunque hay opciones más complejas. Por ejemplo, utilizando un pago previamente transferido cuando se sustituye a uno de los participantes.
3. Riesgo de problemas al proporcionar información objetiva y actualizada a los clientes. Por regla general, esto se debe al funcionamiento de los sistemas informáticos.
4. Riesgo de transmitir información desventajosa para la organización. Los ejemplos incluyen rumores, calumnias, información comprometedora sobre altos funcionarios, filtración de documentos valiosos (con exposición posterior a los medios) y similares.

Causas y cómo tratarlas

Da la casualidad de que el riesgo operativo de una organización no surge de la nada. Ningúnel problema tiene su raíz. Las razones principales incluyen las siguientes:

1. F alta de cualificación y f alta de un enfoque serio de la formación y el desarrollo profesional. El factor humano puede influir mucho en la organización y suele ser la fuente de problemas. Por lo tanto, muchas empresas no pueden utilizar adecuadamente las capacidades disponibles de los sistemas de información. Esto se ve agravado por el nivel limitado de conocimiento de los usuarios comunes.
2. No se presta la debida atención a la seguridad de la información y se ignoran las amenazas reales que provienen de este sector. El desconocimiento de los órganos de gobierno, la financiación insuficiente, la f alta de medidas para aumentar el nivel de fiabilidad del sistema, etc., sólo agravan la situación.
3. Baja calidad, así como insuficiente desarrollo de los procedimientos destinados a la prevención de riesgos. Además, pocas personas se preocupan por la existencia de una política adecuada y una descripción del trabajo en el campo de la seguridad. Por ello, en situaciones de crisis, la confusión y el desconocimiento de los empleados pueden exacerbar el problema.
4. Sistema de protección de activos de información ineficiente. Es suficiente que un atacante encuentre un punto débil, y esto ya debería ser suficiente para causar daños graves. Es mejor si se proporciona una defensa en profundidad.
5. Una gran cantidad de debilidades en los sistemas automatizados y varios productos de software, si se utiliza software no probado. Para un atacante, esto es un verdadero regalo.

Arreglar la situación

¿Y qué hacer? Numerosos tipos de quirófanoslos riesgos amenazan con materializarse, por lo que debe recordar el viejo adagio de que el pescado se pudre desde la cabeza. Por lo tanto, es necesario comenzar con una guía. Puede implementar los siguientes elementos:

1. El alto directivo (junta directiva) juega un papel fundamental en la formación de un sistema de gestión, control y protección.
2. Necesitamos crear, implementar y aplicar adecuadamente sistemas integrados donde sea que se necesiten y valga la pena desarrollarlos.
3. Necesitamos trabajar en el sistema de gestión de riesgos. Una vez creado, debe analizar la presencia de vulnerabilidades. También debe pensar en el control sobre los órganos ejecutivos.
4. El máximo ejecutivo (junta de directores) establece los límites del apetito por el riesgo.
5. El órgano ejecutivo debe desarrollar un conjunto de herramientas claro, eficaz y fiable con áreas de competencia transparentes, coherentes y significativas. Tendrá a su cargo la implementación de los principios, procesos y sistemas básicos que intervienen en el ajuste de riesgos.
6. El órgano ejecutivo debe identificar y evaluar los problemas actuales, así como formular su naturaleza y factores. Además, que proporcione la implementación de las innovaciones desarrolladas. Además, al órgano ejecutivo se le puede encomendar el proceso de seguimiento y control de los informes de las unidades individuales.
7. Debe existir un sistema confiable y completo de control y transferencia/mitigación de riesgos.
8. Se debe desarrollar un plan para garantizar la recuperación y la continuidad del negocio de la organización siproblemas obvios.

¿Eso es todo?

Por supuesto que no. Estas son palabras exclusivamente generalizadoras, en las que se consideran puntos fundamentales. Al trabajar con situaciones específicas, deberán adaptarse a las condiciones existentes. Veamos un pequeño ejemplo. El banco cuenta con procedimientos de gestión bien definidos en caso de que se materialice una amenaza de riesgo de crédito. Se establecen criterios para los prestatarios potenciales y se proporciona garantía para los préstamos. Se contrata a un especialista externo para evaluar la garantía propuesta. Y así se le asignó al valor un precio más alto de lo que realmente cuesta en el mercado. Por así decirlo, la situación se está desarrollando a favor del prestatario. Al mismo tiempo, la adecuación de la evaluación no se volvió a verificar dentro del banco. Después de cierto tiempo, surge una situación en la que el prestatario no puede pagar el préstamo tomado. El banco espera poder pagar la deuda surgida vendiendo la garantía. Pero en la práctica, resulta que el precio de mercado solo puede cubrir la mitad del préstamo. La causa de este problema es el incumplimiento de los procedimientos. Después de todo, de acuerdo con los requisitos existentes, las instituciones financieras deben verificar dos veces el precio de la garantía. Así fue como aumentó el riesgo operacional y, después, el riesgo de crédito. Y también puede recordar cómo los bancos individuales emiten préstamos incobrables deliberadamente, violando todos los procedimientos imaginables. Tales instituciones caen rápidamente en la cola de liquidación. La magnitud del riesgo operacional se ve afectada en este caso por la connivencia de los empleados. Por desgracia, es extremadamente difícil evitar por completo tales situaciones.problemático. Solo se puede minimizar mediante la introducción de capacitación, un sistema de control eficaz y una disciplina estricta.

Ejemplos reales

Pueden suceder cosas en la vida que ni siquiera los escritores pueden imaginar. Hubo situaciones en las que el nivel de riesgo operativo simplemente se salió de escala, pero esta situación no pudo identificarse durante mucho tiempo. Veamos algunos de los ejemplos más impresionantes. Había tal persona: Jerome Kerviel. Oh era comerciante del banco de inversión Société Générale. En 2007, abrió posiciones en los índices de las bolsas de valores europeas para futuros. Parece una historia común. ¡Pero la suma de las posiciones fue de unos 50 mil millones de euros! ¡Esto es una vez y media la capitalización del banco! ¿Cómo pudo Jerome hacer esto? El caso es que antes trabajaba en la oficina y conocía bien el funcionamiento del mecanismo de control. Fue descubierto solo a fines de enero de 2008. Se decidió cerrarlos lo antes posible. Pero el enorme tamaño de la posición desencadenó una venta masiva en los mercados bursátiles. Debido a esto, el banco perdió 7.200 millones de dólares (o 4.900 millones de euros). O un ejemplo más. Había un hombre como John Rusnak. Trabajó en la sucursal estadounidense del banco más grande de Irlanda, cuyo nombre es Allied Irish Bank. Fue contratado en 1993. En 1996, John comenzó a realizar transacciones riesgosas con el yen japonés. Pero no tuvieron éxito, hubo pérdidas. Pero John logró ocultar las crecientes pérdidas de los socios. Por ejemplo, en 1997 perdió $29,1 millones. ¡En 2001, la cantidad ya era de 300 millones! Para ocultar tales pérdidas, falsificó declaraciones. Por sus operaciones, este comerciante incluso logró recibir bonos por un monto de 433 mil dólares. Todo salió a la luz en 2001. En el momento de la apertura, la pérdida total fue de 691 millones de dólares. Las pérdidas más pequeñas y los riesgos operativos son mucho más comunes que los grandes. En la era de la automatización, con el enfoque correcto, se pueden minimizar significativamente.

Riesgos externos y sus soluciones

Surgen durante la relación de la organización con el mundo exterior. Esto puede ser robo, hurto, penetración de terceros al sistema de información, falla de infraestructura y desastres naturales. Aunque, quizás, también habría que atribuirle el ambiente legislativo. ¿Qué métodos de evaluación del riesgo operativo se deben utilizar para tener una idea de la situación actual? Hay una serie de recomendaciones para el esquema general de trabajo. Además, el cálculo del riesgo operacional puede realizarse mediante modelos matemáticos especialmente creados para este fin. Entonces, ¿qué se debe hacer para crear un sistema de gestión eficaz que pueda abordar los problemas?

Plan de acción

En primer lugar, es necesario cuidar una arquitectura adecuada. Es decir, si los problemas están en el sistema mismo, entonces, por desgracia, incluso el mejor especialista no podrá proporcionar un resultado satisfactorio. También debe ser razonable. Supongamos que hay una cierta cantidad de incidentes menores que cuestan 10 mil rublos al año. Puedes crear un sistema que los prevenga al 100%. Pero su costo100 mil rublos. En este caso, debe pensar en la conveniencia. Por supuesto, si estamos hablando de robo o algo similar, que poco a poco irá creciendo en escala, entonces no podemos dudar. Después de todo, si se demora, los riesgos operativos de la empresa pueden aumentar tanto que la destruyen. Pero para mantener el sistema en condiciones generales adecuadas, tres métodos ayudarán:

1. Compruebe la autoevaluación.
2. Indicadores clave de riesgo.
3. Gestión de incidentes operativos.

Resolver problemas

Muchos factores afectan la magnitud del riesgo operativo. Cuantos menos, mejor. Idealmente, los problemas se resuelven antes de que surjan. Por lo tanto, la evaluación del riesgo operacional juega un papel importante. ¿Cómo gastarlo? En primer lugar, debe centrarse en la autoevaluación del control. Parafraseando, este método puede llamarse una conversación franca sobre problemas. Se implementa en forma de encuestas a los empleados. Luego están los indicadores clave de riesgo. Estos indicadores le permiten conocer los problemas que se avecinan incluso antes de que se manifiesten con toda su fuerza. Por supuesto, si se seleccionan adecuadamente y se recopilan sus datos. Y cierra la trinidad que es la gestión de incidentes. El propósito de este procedimiento es investigar, identificar el alcance de los problemas y tratarlos. Si esto no se hace, entonces la empresa enfrenta riesgos financieros. El riesgo operativo tiende a aumentar con el tiempo. Esto debe recordarse.