Risco operacional institucional

2024 Autor: Howard Calhoun | [email protected]. Última modificação: 2023-12-17 10:38

Os negócios são cheios de riscos. Eles se encontram aqui e ali. Um dos mais prováveis é o risco operacional. O que ele representa? Como o risco operacional é gerenciado? O que afeta seu valor?

Informações gerais

E vamos começar com a terminologia. O risco operacional é o risco de perda devido a um erro/ação inadequada por parte dos funcionários da organização, falhas do sistema ou eventos externos. Isso inclui perdas de reputação, estratégicas e legais. Ou seja, o risco operacional está associado à implementação das funções de negócios da empresa. É utilizado para indicar o risco de custos adicionais devido à inconsistência na natureza e escala da estrutura de crédito, violação dos requisitos da legislação vigente, procedimentos de interação com instituições bancárias. Por exemplo, pode incluir uma violação de um funcionário do banco, ações ilegais não intencionais ou propositais de sua parte, uma falha na operação de sistemas funcionais / automatizados devido a influência externa.

Dependendo da origem, internoe riscos externos. Eles, por sua vez, são divididos em classes. Os riscos internos incluem tudo relacionado a pessoas, processos e sistemas. Vejamos alguns exemplos. As ações dos funcionários podem causar danos? A ameaça. Existem falhas nos processos de negócios? A ameaça. Falha dos sistemas de informação? A ameaça. Os riscos externos são catástrofes, segurança (física, de dados), ruptura de relacionamentos com clientes e contrapartes, bem como de autoridades regulatórias. Vejamos exemplos para esses casos. Incêndios e ataques terroristas podem acontecer? A ameaça. Informações, bens, serviços e tecnologias de baixa qualidade ou falsos podem atrapalhar a interação com clientes e contrapartes? A ameaça. As falsificações, roubos, ataques, arrombamentos, etc. prejudicarão a posição da organização? A ameaça. As mudanças na legislação e na estrutura regulatória forçarão atividades adicionais? Ameaça.

Essência e tipos

Se você quer evitar algo, precisa conhecê-lo pessoalmente. O mundo está evoluindo e se tornando mais complexo. Por causa disso, o perigo dos riscos operacionais aumenta. Basileia II é tomada como referência para mais informações. Segundo ele, os riscos operacionais incluem tudo o que pode levar a danos materiais à organização devido a ações incorretas (ou falha na execução das necessárias) de pessoas, influências externas, processos errôneos e afins. Eles próprios não assinam e não há dicas sobre como organizar uma luta eficaz contra eles. O principal objetivo do Basileia II é calcular o valor da cobertura para eles. Além disso, existe um forte sistema de gestão, cuja tarefa é ajudar a reduzir a probabilidade de riscos operacionais. Este documento prevê que a administração e o conselho de administração assumam a função que lhes está subjacente. E são eles os responsáveis por relatar os riscos operacionais e a quantidade de danos atuais. Deste ponto de vista, distinguem-se dois tipos: os que dependem direta ou indiretamente de uma pessoa e os de força maior. Estes últimos incluem terremotos, furacões, fluxos de lama, deslizamentos de terra e assim por diante. Com o primeiro, tudo é muito mais diversificado. Portanto, existem quatro grupos principais:

1. Ações deliberadas. Isso inclui fraude e outras ações deliberadas que levam a danos.
2. Atos não intencionais. Esta é uma escolha de tecnologia que não está totalmente desenvolvida, ações errôneas não intencionais de funcionários, desempenho inadequado por parte dos gestores de suas funções.
3. Riscos técnicos que estão direta ou indiretamente relacionados às atividades humanas. Esta é uma falha na rede, comunicações externas, quebra de máquinas-ferramentas e afins.
4. Riscos do programa que estão direta ou indiretamente relacionados às atividades humanas. Trata-se de uma falha nos equipamentos de telecomunicações e/ou informática.

Especificações Práticas de Implementação

Como os conhecedores podem atestar, a gestão do risco operacional difere muito do aconselhamento teórico. Em particular, a situação é bastante raraquando a gestão assume questões problemáticas causadas por falhas no sistema de informação. Pratica-se a transferência desse trabalho para especialistas com qualificações mais baixas. Essa abordagem muitas vezes leva a perdas ainda maiores. Isso é importante, mesmo porque o risco operacional é um dos três mais importantes e significativos. Também na prática, tais subespécies são frequentemente encontradas:

1. O risco de vazamento ou destruição de informações necessárias para a formação de processos organizacionais. Implica a exclusão intencional ou acidental de arquivos em um sistema de informação automatizado. Essas ações podem levar a uma falha grave e à incapacidade da estrutura comercial de cumprir suas obrigações com os clientes.
2. Risco de uso de dados tendenciosos ou falsificados (falsos). Um exemplo seria uma ordem de pagamento não real. Embora existam opções mais complexas. Por exemplo, usando um pagamento transferido anteriormente quando um dos participantes é substituído.
3. Risco de problemas no fornecimento de informações objetivas e atualizadas aos clientes. Via de regra, isso se deve ao funcionamento de sistemas computacionais.
4. Risco de transmissão de informações desvantajosas para a organização. Exemplos incluem rumores, calúnias, informações comprometedoras sobre altos funcionários, vazamento de documentos valiosos (com posterior exposição à mídia) e similares.

Causas e como lidar com elas

Acontece que o risco operacional de uma organização não acontece por acaso. Algumo problema tem sua raiz. As principais razões incluem o seguinte:

1. F alta de qualificação e f alta de uma abordagem séria de treinamento e desenvolvimento profissional. O fator humano pode influenciar muito a organização e na maioria das vezes é a fonte de problemas. Assim, muitas empresas não conseguem utilizar adequadamente as capacidades disponíveis dos sistemas de informação. Isso é agravado pelo nível limitado de conhecimento dos usuários comuns.
2. Não dá a devida atenção à segurança da informação e ignora as ameaças reais que vêm deste setor. O desconhecimento dos órgãos de governo, o financiamento insuficiente, a f alta de medidas para aumentar o nível de confiabilidade do sistema, etc., só agravam a situação.
3. Baixa qualidade, bem como desenvolvimento insuficiente de procedimentos voltados à prevenção de riscos. Além disso, poucas pessoas se preocupam com a existência de uma política e descrição de trabalho adequadas no campo da segurança. Por isso, em situações de crise, a confusão e o desconhecimento dos funcionários podem agravar o problema.
4. Sistema de proteção de ativos de informação ineficiente. É suficiente para um atacante encontrar um ponto fraco, e isso já deve ser suficiente para causar sérios danos. É melhor se a defesa em profundidade for fornecida.
5. Um grande número de pontos fracos em sistemas automatizados e vários produtos de software, se for usado software não testado. Para um invasor, isso é um verdadeiro presente.

Corrigindo a situação

E o que fazer? Vários tipos de salas de cirurgiariscos estão ameaçando se materializar, então você deve se lembrar do velho ditado de que o peixe apodrece pela cabeça. Portanto, é necessário começar com um guia. Você pode implementar os seguintes itens:

1. A alta direção (conselho de administração) desempenha um papel fundamental na formação de um sistema de gestão, controle e proteção.
2. Precisamos criar, implementar e aplicar adequadamente sistemas integrados onde quer que sejam necessários e que valham a pena serem desenvolvidos.
3. Precisamos trabalhar no sistema de gestão de riscos. Depois de criado, você precisa analisar a presença de vulnerabilidades. Você também deve pensar no controle sobre os órgãos executivos.
4. O principal executivo (conselho de administração) define os limites do apetite ao risco.
5. O órgão executivo deve desenvolver um conjunto de ferramentas claro, eficaz e confiável com áreas de competência transparentes, consistentes e significativas. A ela será confiada a implementação dos princípios básicos, processos e sistemas envolvidos no ajuste de risco.
6. O órgão executivo deve identificar e avaliar os problemas atuais, bem como formular sua natureza e fatores. Além disso, deixe-o providenciar a implementação das inovações desenvolvidas. Além disso, o órgão executivo pode ser encarregado do processo de monitoramento e controle dos relatórios de unidades individuais.
7. Um sistema confiável e abrangente de controle e transferência/mitigação de risco deve estar em vigor.
8. Um plano deve ser desenvolvido para garantir a recuperação e continuidade dos negócios da organização seproblemas óbvios.

Isso é tudo?

Claro que não. São palavras exclusivamente generalizantes, nas quais são considerados os pontos fundamentais. Ao trabalhar com situações específicas, eles precisarão ser adaptados às condições existentes. Vejamos um pequeno exemplo. O banco possui procedimentos de gestão bem definidos em caso de materialização de uma ameaça de risco de crédito. Critérios são definidos para potenciais mutuários e garantias para empréstimos são fornecidas. Um especialista externo é contratado para avaliar a garantia proposta. E assim foi atribuído ao título um preço mais alto do que realmente custa no mercado. Por assim dizer, a situação está se desenvolvendo em favor do mutuário. Ao mesmo tempo, a adequação da avaliação não foi verificada novamente dentro do banco. Depois de um certo tempo, surge uma situação em que o mutuário não pode pagar o empréstimo tomado. O banco espera poder pagar a dívida surgida vendendo a garantia. Mas, na prática, verifica-se que o preço de mercado só pode cobrir metade do empréstimo. A causa desse problema é a não conformidade com os procedimentos. Afinal, de acordo com as exigências existentes, as instituições financeiras devem verificar novamente o preço das garantias. Foi assim que aumentou o risco operacional e, depois, o risco de crédito. E você também pode se lembrar de como bancos individuais emitem empréstimos deliberadamente ruins, violando todos os procedimentos concebíveis. Tais instituições rapidamente caem na fila para liquidação. A magnitude do risco operacional é afetada, neste caso, pela conivência dos colaboradores. Infelizmente, é extremamente difícil evitar completamente tais situações.problemático. Isso só pode ser minimizado com a introdução de treinamento, um sistema de controle eficaz e disciplina rigorosa.

Exemplos reais

Coisas podem acontecer na vida que nem os roteiristas conseguem imaginar. Houve situações em que o nível de risco operacional simplesmente saiu de escala, mas essa situação não pôde ser identificada por muito tempo. Vejamos alguns dos exemplos mais impressionantes. Havia uma pessoa assim - Jerome Kerviel. Oh era trader do banco de investimentos Société Générale. Em 2007, abriu posições nos índices das bolsas europeias de futuros. Parece uma história comum. Mas a soma das posições foi de cerca de 50 bilhões de euros! Isso é uma vez e meia a capitalização do banco! Como Jerome foi capaz de fazer isso? O fato é que antes disso ele trabalhava no escritório e conhecia bem o funcionamento do mecanismo de controle. Foi descoberto apenas no final de janeiro de 2008. Foi decidido fechá-los o mais rápido possível. Mas o enorme tamanho da posição desencadeou uma liquidação nos mercados de ações. Por causa disso, o banco perdeu 7,2 bilhões de dólares (ou 4,9 bilhões de euros). Ou mais um exemplo. Havia um homem como John Rusnak. Ele trabalhou na filial americana do maior banco da Irlanda, cujo nome é Allied Irish Bank. Ele foi contratado em 1993. Em 1996, John começou a realizar transações arriscadas com o iene japonês. Mas eles não tiveram sucesso, houve perdas. Mas John conseguiu esconder perdas crescentes dos parceiros. Por exemplo, em 1997, ele perdeu US$ 29,1 milhões. Em 2001, o valor já era de 300 milhões! Para esconder tais perdas, ele forjou declarações. Por suas operações, esse trader conseguiu até receber bônus no valor de 433 mil dólares. Tudo veio à tona em 2001. No momento da abertura, a perda total foi de US$ 691 milhões. Perdas e riscos operacionais menores são muito mais comuns do que esses grandes. Na era da automação, com a abordagem correta, eles podem ser significativamente minimizados.

Riscos externos e suas soluções

Eles surgem durante o relacionamento da organização com o mundo exterior. Isso pode ser roubo, furto, penetração de terceiros no sistema de informação, falha de infraestrutura e desastres naturais. Embora, talvez, o ambiente legislativo também deva ser atribuído. Quais métodos de avaliação de risco operacional devem ser usados para se ter uma ideia da situação atual? Há uma série de recomendações para o esquema geral de trabalho. Além disso, o cálculo do risco operacional pode ser realizado por meio de modelos matemáticos especialmente criados para esse fim. Então, o que precisa ser feito para criar um sistema de gestão eficaz que possa lidar com os problemas?

Plano de ação

Primeiro de tudo, você precisa cuidar de uma arquitetura adequada. Ou seja, se os problemas estiverem no próprio sistema, infelizmente, mesmo o melhor especialista não será capaz de fornecer um resultado satisfatório. Também deve ser razoável. Suponha que haja um certo número de incidentes menores que custam 10 mil rublos por ano. Você pode criar um sistema que irá evitá-los 100%. Mas seu custo100 mil rublos. Neste caso, você deve pensar sobre a adequação. Claro, se estamos falando de roubo ou algo semelhante, que gradualmente aumentará em escala, não podemos hesitar. Afinal, se você atrasar, os riscos operacionais da empresa podem aumentar tanto que destroem a empresa. Mas para manter o sistema em condições gerais adequadas, três métodos ajudarão:

1. Verifique a autoavaliação.
2. Principais indicadores de risco.
3. Gestão de incidentes operacionais.

Resolvendo Problemas

Muitos fatores afetam a magnitude do risco operacional. Quanto menos deles, melhor. O ideal é que os problemas sejam resolvidos antes de surgirem. Portanto, a avaliação do risco operacional desempenha um papel significativo. Como gastá-lo? Em primeiro lugar, você precisa se concentrar na autoavaliação do controle. Parafraseando, esse método pode ser chamado de uma conversa franca sobre problemas. Ele é implementado na forma de pesquisas de funcionários. Depois, há os principais indicadores de risco. Esses indicadores permitem que você saiba sobre os problemas futuros antes mesmo que eles se manifestem com força total. Claro, se eles forem adequadamente selecionados e seus dados forem coletados. E fecha a trindade é a gestão de incidentes. O objetivo deste procedimento é investigar, identificar a abrangência dos problemas e tratá-los. Se isso não for feito, a empresa enfrenta riscos financeiros. O risco operacional tende a aumentar ao longo do tempo. Isso deve ser lembrado.