Risque opérationnel institutionnel

2024 Auteur: Howard Calhoun | [email protected]. Dernière modifié: 2023-12-17 10:27

Les affaires sont pleines de risques. Ils se retrouvent ici et là. L'un des plus probables est le risque opérationnel. Que représente-t-il ? Comment est géré le risque opérationnel ? Qu'est-ce qui affecte sa valeur ?

Informations générales

Et nous allons commencer par la terminologie. Le risque opérationnel est le risque de perte dû à une erreur/action inadéquate de la part des employés de l'organisation, à des défaillances du système ou à des événements externes. Il s'agit notamment des pertes de réputation, stratégiques et juridiques. Autrement dit, le risque opérationnel est associé à la mise en œuvre des fonctions commerciales de l'entreprise. Il est utilisé pour indiquer le risque de coûts supplémentaires dus à l'incohérence dans la nature et l'ampleur de la structure de crédit, la violation des exigences de la législation en vigueur, les procédures d'interaction avec les institutions bancaires. Par exemple, cela peut inclure une violation d'un employé de banque, des actions illégales involontaires ou délibérées de sa part, une défaillance dans le fonctionnement des systèmes fonctionnels / automatisés due à une influence extérieure.

Selon l'origine, interneet les risques externes. Ils sont à leur tour divisés en classes. Les risques internes comprennent tout ce qui concerne les personnes, les processus et les systèmes. Regardons quelques exemples. Les actions des employés peuvent causer du tort? La menace. Existe-t-il des failles dans les processus métier ? La menace. Défaillance des systèmes d'information ? La menace. Les risques externes sont les catastrophes, la sécurité (physique, des données), la perturbation des relations avec les clients et les contreparties, ainsi que les autorités réglementaires. Regardons des exemples pour ces cas. Des incendies et des attentats terroristes peuvent-ils se produire ? La menace. Des informations, des biens, des services ou des technologies de mauvaise qualité ou erronés peuvent-ils perturber l'interaction avec les clients et les contreparties ? La menace. Les contrefaçons, les vols, les attaques, les cambriolages, etc. saperont-ils la position de l'organisation ? La menace. Les changements dans la législation et le cadre réglementaire forceront-ils des activités supplémentaires ? Menace.

Essence et types

Si vous voulez éviter quelque chose, vous devez le savoir en personne. Le monde évolue et se complexifie. De ce fait, le danger lié aux risques opérationnels augmente. Bâle II est pris comme référence pour de plus amples informations. Selon lui, les risques opérationnels comprennent tout ce qui peut entraîner des dommages matériels à l'organisation en raison d'actions incorrectes (ou de l'incapacité à effectuer les actions nécessaires) du personnel, d'influences externes, de processus erronés, etc. Ils ne signent pas eux-mêmes et il n'y a pas de conseils pour organiser une lutte efficace contre eux. L'objectif principal de Bâle II est de calculer le montant de la couverture pour eux. En outre, il existe un système de gestion solide dont la tâche est de contribuer à réduire la probabilité de risques opérationnels. Ce document prévoit que la direction et le conseil d'administration doivent reprendre la fonction qui les sous-tend. Et ce sont eux qui sont chargés de rendre compte des risques opérationnels et du montant des dommages en cours. De ce point de vue, on distingue deux types: ceux qui dépendent directement ou indirectement d'une personne, et les cas de force majeure. Ces derniers comprennent les tremblements de terre, les ouragans, les coulées de boue, les glissements de terrain, etc. Avec le premier, tout est beaucoup plus diversifié. Il existe donc quatre groupes principaux:

1. Actions délibérées. Il s'agit notamment de la fraude et d'autres actions délibérées qui entraînent des dommages.
2. Actes non intentionnels. Il s'agit d'un choix de technologie qui n'est pas entièrement développé, d'actions involontaires erronées des employés, d'une exécution inadéquate par les gestionnaires de leurs fonctions.
3. Risques techniques liés directement ou indirectement aux activités humaines. Il s'agit d'une défaillance du réseau, des communications externes, d'une panne de machines-outils, etc.
4. Risques du programme directement ou indirectement liés aux activités humaines. Il s'agit d'une défaillance des équipements de télécommunications et/ou informatiques.

Détails pratiques de mise en œuvre

Comme les connaisseurs peuvent en témoigner, la gestion des risques opérationnels diffère en fait beaucoup des conseils théoriques. En particulier, la situation est assez rarelorsque la direction prend en charge des problématiques engendrées par des dysfonctionnements du système d'information. Il est d'usage de confier ce travail à des spécialistes moins qualifiés. Cette approche conduit souvent à des pertes encore plus importantes. C'est important, ne serait-ce que parce que le risque opérationnel est l'un des trois plus importants et significatifs. Dans la pratique également, on trouve souvent de telles sous-espèces:

1. Le risque de fuite ou de destruction d'informations nécessaires à la formation de processus organisationnels. Cela implique la suppression intentionnelle ou accidentelle de fichiers dans un système d'information automatisé. Ces actions peuvent entraîner une défaillance grave et l'incapacité de la structure commerciale à remplir ses obligations envers les clients.
2. Risque d'utilisation de données biaisées ou falsifiées (fausses). Un exemple serait un ordre de paiement non réel. Bien qu'il existe des options plus complexes. Par exemple, utiliser un paiement précédemment transféré lorsque l'un des participants est remplacé.
3. Risque de problèmes pour fournir des informations objectives et à jour aux clients. En règle générale, cela est dû au fonctionnement des systèmes informatiques.
4. Risque de transmission d'informations défavorables à l'organisation. Les exemples incluent les rumeurs, la calomnie, les informations compromettantes sur les hauts fonctionnaires, la fuite de documents précieux (avec exposition ultérieure aux médias) et autres.

Causes et comment les traiter

Il se trouve que le risque opérationnel d'une organisation n'arrive pas par hasard. N'importe quelle problème a sa racine. Les principales raisons sont les suivantes:

1. Manque de qualifications et manque d'approche sérieuse en matière de formation et de développement professionnel. Le facteur humain peut grandement influencer l'organisation et est le plus souvent la source de problèmes. Ainsi, de nombreuses entreprises sont incapables d'utiliser correctement les capacités disponibles des systèmes d'information. Ceci est exacerbé par le niveau limité de connaissances des utilisateurs ordinaires.
2. Ne pas accorder l'attention voulue à la sécurité de l'information et ignorer les menaces réelles qui proviennent de ce secteur. L'ignorance des instances dirigeantes, l'insuffisance des financements, l'absence de mesures pour augmenter le niveau de fiabilité du système, etc. ne font qu'aggraver la situation.
3. Mauvaise qualité, ainsi qu'un développement insuffisant des procédures visant à prévenir les risques. De plus, peu de gens se soucient de l'existence d'une politique et d'une description de poste adéquates dans le domaine de la sécurité. Pour cette raison, dans les situations de crise, la confusion et l'ignorance des employés peuvent exacerber le problème.
4. Système de protection des ressources d'information inefficace. Il suffit à un attaquant de trouver un point faible, et cela devrait déjà suffire à causer de sérieux dégâts. Il est préférable de fournir une défense en profondeur.
5. Un grand nombre de faiblesses dans les systèmes automatisés et divers produits logiciels, si un logiciel non testé est utilisé. Pour un attaquant, c'est un vrai cadeau.

Régler la situation

Et que faire ? De nombreux types de blocs opératoiresles risques menacent de se matérialiser, alors rappelez-vous le vieil adage selon lequel le poisson pourrit par la tête. Il faut donc commencer par un guide. Vous pouvez implémenter les éléments suivants:

1. Le top manager (conseil d'administration) joue un rôle clé dans la formation d'un système de gestion, de contrôle et de protection.
2. Nous devons créer, mettre en œuvre et appliquer de manière adéquate des systèmes homogènes partout où ils sont nécessaires et méritent d'être développés.
3. Nous devons travailler sur le système de gestion des risques. Après sa création, vous devez analyser la présence de vulnérabilités. Vous devriez également penser au contrôle des organes exécutifs.
4. Le top executive (conseil d'administration) fixe les limites d'appétit pour le risque.
5. L'organe exécutif devrait développer une boîte à outils claire, efficace et fiable avec des domaines de compétence transparents, cohérents et significatifs. Il sera chargé de la mise en œuvre des principes de base, des processus et des systèmes impliqués dans l'ajustement des risques.
6. L'organe exécutif doit identifier et évaluer les problèmes actuels, ainsi que formuler leur nature et leurs facteurs. De plus, laissez-le assurer la mise en œuvre des innovations développées. En outre, l'organe exécutif peut être chargé du processus de surveillance et de contrôle de la déclaration des unités individuelles.
7. Un système fiable et complet de contrôle et de transfert/d'atténuation des risques doit être en place.
8. Un plan doit être élaboré pour assurer le rétablissement et la continuité des activités de l'organisation siproblèmes évidents.

C'est tout ?

Bien sûr que non. Ce sont exclusivement des mots généralisants, dans lesquels des points fondamentaux sont considérés. Tout en travaillant avec des situations spécifiques, ils devront être adaptés aux conditions existantes. Regardons un petit exemple. La banque a mis en place des procédures de gestion bien définies en cas de matérialisation d'une menace de risque de crédit. Des critères sont établis pour les emprunteurs potentiels et une garantie pour les prêts est fournie. Un spécialiste externe est engagé pour évaluer la garantie proposée. Ainsi, le titre s'est vu attribuer un prix plus élevé que ce qu'il coûte réellement sur le marché. Pour ainsi dire, la situation évolue en faveur de l'emprunteur. Dans le même temps, l'adéquation de l'évaluation n'a pas été revérifiée au sein de la banque. Après un certain temps, une situation se présente lorsque l'emprunteur ne peut pas rembourser le prêt contracté. La banque s'attend à pouvoir rembourser la dette contractée en vendant la garantie. Mais en pratique, il s'avère que le prix du marché ne peut couvrir que la moitié du prêt. La cause de ce problème est le non-respect des procédures. Après tout, selon les exigences existantes, les institutions financières doivent revérifier le prix de la garantie. C'est ainsi que le risque opérationnel a augmenté, et après lui, le risque de crédit. Et vous pouvez également vous rappeler comment des banques individuelles émettent délibérément des créances douteuses, enfreignant toutes les procédures imaginables. Ces institutions tombent rapidement dans la file d'attente de la liquidation. L'ampleur du risque opérationnel est affectée dans ce cas par la connivence des employés. Hélas, il est extrêmement difficile d'éviter complètement de telles situations.problématique. Il ne peut être minimisé qu'en introduisant une formation, un système de contrôle efficace et une discipline stricte.

Exemples concrets

Des choses peuvent arriver dans la vie auxquelles même les écrivains ne peuvent pas penser. Il y a eu des situations où le niveau de risque opérationnel a tout simplement dépassé l'échelle, mais cette situation n'a pas pu être identifiée pendant longtemps. Examinons quelques-uns des exemples les plus impressionnants. Il y avait une telle personne - Jérôme Kerviel. Oh était trader pour la banque d'investissement Société Générale. En 2007, il a ouvert des positions sur les indices des bourses européennes pour les contrats à terme. On dirait une histoire commune. Mais la somme des positions était d'environ 50 milliards d'euros ! C'est une fois et demie la capitalisation de la banque ! Comment Jérôme a-t-il pu faire cela ? Le fait est qu'avant cela, il travaillait au bureau et connaissait bien le travail du mécanisme de contrôle. Il n'a été découvert que fin janvier 2008. Il a été décidé de les fermer au plus vite. Mais la taille énorme de la position a déclenché une vente massive sur les marchés boursiers. De ce fait, la banque a perdu 7,2 milliards de dollars (soit 4,9 milliards d'euros). Ou encore un exemple. Il y avait un homme comme John Rusnak. Il a travaillé dans la succursale américaine de la plus grande banque d'Irlande, dont le nom est Allied Irish Bank. Il a été embauché en 1993. En 1996, John a commencé à effectuer des transactions risquées avec le yen japonais. Mais ils n'ont pas réussi, il y a eu des pertes. Mais John a réussi à cacher des pertes croissantes à ses partenaires. Par exemple, en 1997, il a perdu 29,1 millions de dollars. En 2001, le montant était déjà de 300 millions ! Pour cacher de telles pertes, il a forgé des déclarations. Pour ses opérations, ce commerçant a même réussi à recevoir des bonus d'un montant de 433 000 dollars. Tout a été révélé en 2001. Au moment de l'ouverture, la perte totale était de 691 millions de dollars. Les petites pertes et les risques opérationnels sont beaucoup plus courants que les gros. À l'ère de l'automatisation, avec la bonne approche, ils peuvent être considérablement minimisés.

Les risques externes et leurs solutions

Ils surviennent lors de la relation de l'organisation avec le monde extérieur. Il peut s'agir de cambriolages, de vols, d'intrusions de tiers dans le système d'information, de pannes d'infrastructures et de catastrophes naturelles. Bien que, peut-être, l'environnement législatif doive également être attribué. Quelles méthodes d'évaluation des risques opérationnels faut-il utiliser pour se faire une idée de la situation actuelle ? Il existe un certain nombre de recommandations pour le programme général de travail. De plus, le calcul du risque opérationnel peut être effectué à l'aide de modèles mathématiques spécialement créés à cet effet. Alors, que faut-il faire pour créer un système de gestion efficace capable de résoudre les problèmes ?

Plan d'action

Tout d'abord, vous devez vous occuper d'une architecture adéquate. Autrement dit, si les problèmes sont dans le système lui-même, alors, hélas, même le meilleur spécialiste ne sera pas en mesure de fournir un résultat satisfaisant. Il doit aussi être raisonnable. Supposons qu'il y ait un certain nombre d'incidents mineurs qui coûtent 10 000 roubles par an. Vous pouvez créer un système qui les empêchera à 100 %. Mais son coût100 mille roubles. Dans ce cas, vous devriez réfléchir à la pertinence. Bien sûr, si nous parlons de vol ou de quelque chose de similaire, qui prendra progressivement de l'ampleur, nous ne pouvons pas hésiter. Après tout, si vous tardez, les risques opérationnels de l'entreprise peuvent tellement augmenter qu'ils détruisent l'entreprise. Mais pour maintenir le système dans un état général adéquat, trois méthodes vous aideront:

1. Vérifier l'auto-évaluation.
2. Indicateurs de risque clés.
3. Gestion des incidents opérationnels.

Résoudre les problèmes

De nombreux facteurs affectent l'ampleur du risque opérationnel. Moins il y en a, mieux c'est. Idéalement, les problèmes sont résolus avant qu'ils ne surviennent. Par conséquent, l'évaluation du risque opérationnel joue un rôle important. Comment le dépenser ? Tout d'abord, vous devez vous concentrer sur l'auto-évaluation du contrôle. Pour paraphraser, cette méthode peut être appelée une conversation franche sur les problèmes. Il est mis en œuvre sous la forme d'enquêtes auprès des employés. Ensuite, il y a les principaux indicateurs de risque. Ces indicateurs vous permettent de connaître les problèmes à venir avant même qu'ils ne se manifestent pleinement. Bien sûr, s'ils sont correctement sélectionnés et si leurs données sont collectées. Et ferme la trinité est la gestion des incidents. Le but de cette procédure est d'enquêter, d'identifier l'étendue des problèmes et de les traiter. Si cela n'est pas fait, l'entreprise fait face à des risques financiers. Le risque opérationnel a tendance à augmenter avec le temps. Il faut s'en souvenir.