Cine ar trebui sa se ocupe de riscurile sistemelor informaționale (operaţional) în cazul instituțiilor de credit?

  Cu riscul de a plicitisi voi începe cu un citat  din lege, respectiv Regulamentul BNR 18+2009. “risc operaţional – risc de pierdere determinat fie de utilizarea unor procese, sisteme şi resurse umane inadecvate sau care nu şi-au îndeplinit funcţia în mod corespunzător, fie de evenimente şi acţiuni externe.”   Este o traducere a ceea…

Unde este punctul critic? În mintea noastră.

Cred că sînt mai bine de trei ani de cînd, documentîndu-mă pentru un articol legat de managementul riscurilor, am început să citesc mai mult despre creier, psihologie cognitivă şi alte lucruri ce par a nu avea legătură directă cu domeniile mele de interes. Am spus “par”. Am descoperit însă, cu plăcere, că multe lucruri din…

Vreme trece, vreme vine,/ Toate-s vechi si noua toate;/ Ce e rau si ce e bine/ Tu te-ntreaba si socoate;….

  (Această postare este un preambul la prezentarea ce o voi ţine la evenimentul organizat de PRMIA la Bucureşti în 11 noiembrie.) Constrîngeri? Au existat în trecut, există în prezent şi vor exista cu certitudine şi în viitor……Doar că în multe modele sînt omise. Despre auditul sistemelor informaţionale am spus că implică altceva decît completarea unor check listuri: înţelegerea riscurilor la care se supune organizaţia şi oferirea unor recomandări reale, deci cu valoare. Cam la fel şi cu managementul riscurilor: nu înseamnă preluarea unui model şi completarea unor template-uri….. Impactul şi frecvenţa sînt două variabile statistice aflate în legătură directă cu informaţiile din trecut. Probabilităţile se vor modifica în urma aplicării unor controale, doar în cazul în care acele controale sînt de tip preventiv. În cazul controalelor detective şi corective, probilitatea nu se modifică! În cazul riscurilor securităţii, impactul va fi evaluat asupra activului în sine…

Cît de mult putem accepta din ceea ce cunoaştem? Dar din ceea ce nu cunoaştem?

Majoritatea metodologiilor de evaluare a riscurilor prezintă două dimensiuni ale subiectului: probabilitatea şi severitatea/impactul: În alte lucrări, imaginea de mai sus arată altfel: Aţi observat că sînt inversate axele? Am scris, de mai multe ori, că teoria riscurilor are la bază probabilităţi iar probabilităţile se bazează pe teoria numerelor mari. Altfel spus, atunci cînd dorim o modificare asupra viitorului, schimbarea trebuie realizată în prezent, pe baza unor informaţii cît mai corecte şi complete despre trecut. Am scris/spus, la fel de des, că în lipsa unor astfel de informaţii, managementul riscurilor este irelevant. Este făcut de dragul de a fi făcut sau pentru că e o cerinţă de conformitate. Recunosc că e puţin forţată afirmaţia anterioară. Ceva, ceva tot se obţine. Ce lipseşte din primul meu grafic şi din cel de la ITGI? Cea de a treia dimensiune care apare în ultima…

“Toleranţa la risc” de mînă cu “apetitul”.

  Pînă la apariţia Regulamentului 18 BNR în 2009 nu ţin minte să fi găsit alte referinţe legislative sau regulamente oficiale în care să fie definite cele două noţiuni: “g) apetit la risc – nivelul de risc pe care instituţia de credit este dispusă să îl accepte; h) toleranţa la risc – capacitatea unei instituţii…