You are on page 1of 13

Photo by: G & A Scholiers, Belgium

Fehér Péter: Mindennapi Kockázataink, megjelent: Harvard


Business Review (magyar kiadás),
2 2008. dec.—2009. jan.
Nem tudhatjuk, hogy szervezetünk kockázataiból
mikor lesz ténylegesen veszteség – de felkészülhetünk rá.

33
Fehér Péter: Mindennapi kockázataink—Működési kockázatok kezelése

A működési kockázatok értelmezése


A banki és más szervezetekben tapasztalható visz-
szásságok mellett, az környezeti kockázatok
(terrorizmus, katasztrófák) növekedése is hozzájá-
rult a működési kockázati terület felértékelődésé-
hez. Maga a globalizáció, azaz az üzleti környezet is
növeli a fenyegetettséget, mivel egyre elterjedtebbé
válnak az anyagilag előnyösebb, de kockázati szem-
pontból veszélyesebb megoldások, mint a kiszerve-
zett tevékenységek, illetve a szoros szervezeti
együttműködések, hálózati egymásrautaltsági viszo-
nyok.
Kockázat minden üzleti tevékenységünkhöz kapcso-
lódik, mely kockázat alatt valamilyen jövőbeli ve-
A KÜLÖNBÖZŐ SZERVEZETEKNEK SZÁMTALAN vesztesé- szélyt, ill. veszteség bekövetkezésének esélyét ért-
get és költséget jelentő kockázattal kell szembenéz- jük. Általánosabb értelemben a kockázat nem más,
niük működésük során: a természeti katasztrófák mint a jövő kiszámíthatatlansága, bizonytalansága,
(földrengés, árvíz, hurrikán, stb.) mellett igen jelen- ami veszteséget okozó eseményekhez vezethet.
tős mértékben a hanyagságból vagy rosszhiszemű- Ilyen lehet például a minőség romlása, a teljesítések
ségből elkövetetett, ember által előidézett veszé- idejének növekedése, pótlólagos erőforrás igény
lyekkel is (csalás, informatikai rendszer feltörése, megjelenése, melyek – akár áttételesen is, de min-
hanyag működtetés, szakértelem hiánya). Habár a den esetben – költségtöbbletet okoznak. A kocká-
működési kockázatok kezelésének kihívásával hang- zatkezelés célja a veszteség elkerülése, illetve mér-
súlyosan a pénzügyi szektor szervezetei kapcsán séklése.
találkozunk, szinte minden vállalat esetében szüksé-
A kockázatok az emberek tevékenységéből, a műkö-
ges tudatosan foglalkozni a problémakörrel, melyet
dési folyamatok elégedetlenségéből, a technológiai
gyakran jogszabályi előírások is megkövetelnek.
megoldások nem megfelelő, vagy hibás működésé-
A működési kockázatok kiemelt kezeléséhez jelen- ből, illetve külső környezeti hatásokból származhat-
tősen hozzájárultak az elmúlt majd két évtized vál- nak. A két leggyakoribb kockázat a külső csalások-
lalati és banki botrányai: gondoljunk itt a Barings hoz, illetve a nem megfelelő belső működéshez kap-
Bank 1995-ös nagy veszteséget okozó esetére, mely- csolódik.
nek hatása az brit királyi családot is elérte (Lásd:
Barings Bank, 1995 című keretes írást), vagy ennek A közelmúltban Magyarországon esett meg, hogy
egy volt ügyvéd hamis bírósági ítéletekkel nyújtott
szinte tökéletes másolatára a közelmúltban a Société
be inkasszót gazdasági társaságok számláival szem-
Générale esetében (Lásd Société Générale, 2007 című
ben, és cégenként 8-9 millió forintot próbált meg-
keretes írást).
szerezni. Mivel korábban már voltak ilyen esetek,
A pénzügyi szektoron kívül is számos nagyvállalat ezért a pénzintézetek nem fizették ki automatikusan
szolgáltatott látványos ügyeket: Enron, Parmalat, a kívánt összeget, hanem ellenőrizték az ítéletek
Wordcom, Xerox (Lásd Könyvelési botrányok c. ke- valóságtartalmát, így az elkövető lebukott.
retes írást). Hazánkban a közelmúltban a MÁV Biz-
Sajnos napjainkban mind a természeti katasztrófák,
tosító Egyesülethez felügyeleti biztosokat küldött ki
mind a terrorista támadások is élő veszélyt jelente-
a PSZÁF, és egymilliárd forint értékű sikkasztás és
nek, és nagyon sok cég fel is készül ilyen helyzetek-
pénzmosás ügyében indult nyomozás a biztosító
re. A 2001-es World Trade Center elleni támadás
vezetője és több társa ellen. A gyanú szerint a veze-
amellett, hogy emberáldozatokat követelt, az infor-
tők különböző megoldásokkal kivonták az összeget
a biztosító kezeléséből, és azokat magánszámlán matikai infrastruktúrát, és számos cég adatait is
megsemmisítette. Sok esetben ugyanakkor a bizton-
helyezték el. A vizsgálathoz az adott kezdőlökést,
sági mentéseknek köszönhetően a működés néhány
hogy pénzügyi nehézségek miatt az egyesület nem
nap (vagy például a Deutsche Bank esetében 2 óra)
tudta a megfelelő mértékű tartalékot felmutatni biz-
elteltével már zavartalanul folyt.
tosítási állományra vonatkozóan.
Miami-ban inkább a hurrikánok jelentenek veszélyt.
A Banco Santander Central Hispano egy a világ tíz
Fehér Péter (pfeher@corvinno.hu) közgazdász, a Corvinno legnagyobb bankja közül. Miami központja nem
Technology Transfer Center tanácsadó partnere, a Budapesti
csak turistalátványosság, hanem egyben kimelt he-
Corvinus Egyetem Információrendszerek Tanszékének adjunk-
tusa. Főbb tevékenységi területei közé tartozik a folyamatme- lyet foglal el a hurrikánok által veszélyeztetett terü-
nedzsment, kockázatmenedzsment és informatikai szolgálta- letek között. 2004-ben például a sorozatos hurriká-
tásmenedzsment. nok négyszer is leállásra kényszerítették a Miami-

4
Fehér Péter: Mindennapi kockázataink—Működési kockázatok kezelése

A brit Board of Banking Supervision (bankfelügyelet)


Barings Bank, 1995 megállapítása szerint a csőd elsődleges oka a kockázatke-
zelési rendszerek teljes használhatatlansága, illetve a
1995-ben szinte teljesen váratlan módon a Barings Bank megalapozott kockázatkezelési tevékenység hiánya volt.
egy fiatal kereskedője, Nick Leeson egymaga csődbe Kiemelendő hiányosságok voltak a működést tekintve:
juttatta a nagy múltú bankházat, egyszerre szolgáltatva
példát a piaci, pénzügyi és működési kockázatokból adó-  a végrehajtási és ellenőrzési funkciókat nem vá-
dó lehetséges veszteségekre. A kockázatos pénzügyi lasztották szét (így Leeson saját magát ellenőrizte)
műveletek mellett a tevékenységi kontroll hiánya, illetve  a mátrix alapú beszámolási rendszerben szétapróz-
a tudatos csalás is hozzájárult ahhoz, hogy a bank nevé- va jelentek meg az információk, így szinte lehetet-
ben 827 millió fontos veszteséget halmozzon fel. A bu- len volt összeilleszteni a csalásra utaló jeleket
kásban jelentős része volt annak, hogy Leeson gyakorlati-
lag belső ellenőrzés nélkül hajthatta végre tevékenysé-  nem volt világosan meghatározva a felügyeleti
gét. tevékenység
Annak érdekében, hogy felhalmozott veszteségeit  a bankcsoporton belüli pénzáramlásokra nem ha-
eltakarja, meghamisította saját számláit, és a veszteségei tároztak meg sem az ellenőrzési mechanizmust,
fedezéséhez szükséges összegeket más számlákról vette sem az igénybevételi korlátot
el, illetve megakadályozta, hogy tevékenysége belekerül-  az 1994-ben végrehajtott belső audit eredményeit
jön a londoni központnak küldött beszámolókba. A és ajánlásait nem vették időben figyelembe, és
Barings Bankház 1994-ben kezdte meg kockázatme- nem alakították át a bank működését
nedzsment tevékenységének kiépítését, de kezdetben a
szingapúri egysége – ahol a csalássorozat történt – még A bankot végül – még 1995-ben – az ING vette meg,
nem volt bevonva ezekbe a tevékenységekbe. Szingapúr- szimbolikus 1 fontnyi összegért, és létrehozta az ING
ban gyakorlatilag nem volt senki, aki ellenőrizhette volna Barings bankot. Nick Leesont menekülés közben elkap-
Leeson tevékenységét, hiszen ő maga volt az a személy ták, és Szingapúrban 6 és fél évnyi börtönre ítélték. Jó
is, akinek ellenőriznie kellett volna a számlákat. Emiatt a magaviselettel 1999-ben szabadult3.
nyilvánvaló belső működési probléma miatt sokan
(köztük Leeson is) a Bankházat is hibáztatták a csőd mi-
att.

Melyek az eset tanulságai?


Société Générale, 2007
 Az emberekhez köthető kockázatok nem mindig
Szinte lemásolta a Barings Bank esetét egy francia ban- egyéni haszonszerzés céljából történnek. Kerviel
kár. A Société Générale – mint minden pénzintézet – annak ellenére nem a saját zsebére dolgozott,
ismerte a Barings Bank esetét, és így tisztában volt a mű- hogy fizetése ebben a szakmai körben nem volt
ködési kockázatok fontosságával. De ugyanennyire tisztá- kiemelkedő, csak egyszerűen szerette volna bebi-
ban volt ezzel Jerome Kerviel is, aki korábban épp a koc- zonyítani, hogy kivételes képességű bróker.
kázatkezelési osztályon dolgozott, és így ismerhette az  Az eset rávilágít arra, hogy hiába van tisztában egy
ellenőrzési szabályokat, illette ismerte azokat a lehetősé- bank a működési kockázatokkal, nem biztos, hogy
geket is, melyekkel ezek a szabályok kijátszhatóak. mindent megtesz ezek kivédése érdekében. Sőt, az
Kerviel 2005-től kezdődően kötött fiktív határidős intézmények sok esetben tudatosan vállalnak bizo-
ügyleteket, megtévesztve a belső ellenőrzési rendszert. nyos fokú kockázatot, mivel félnek, hogy a túlzott
Később azt állította, hogy nem ő az egyetlen alkalmazott, ellenőrzés és kontroll megöli a kezdeményező
aki a saját szakállára (de nem feltétlenül a saját hasznára) kedvet.
dolgozik. Kerviel hamis kliensszámlákat felhasználva egy-  Hiába használ egy intézmény informatikai rend-
másra épülő határidős üzleteket kötött, az általa felépí- szert a kockázatok felderítésére, ha ezeket hagyo-
tett pozícióit elrejtette, és úgy tűnik, hogy igazából maga mányos eszközökkel ki lehet játszani. Hogy fordul-
a bank sem akarta nagyon megtalálni. hat elő, hogy hamis okiratok fedezik az ügylete-
A bank automatikus rendszerei többször is kiadták a ket? Bár elvileg minden tranzakció az informatikai
riasztást, és ekkor Kerviel felettesei számon is kérték a rendszereken keresztül folyik (és mindennek nyo-
történéseket (főleg, mivel túllépte az engedélyezett ösz- ma van), úgy tűnik még mindig nem elég hatáso-
szegeket), de ilyenkor mindig sikerült hamis dokumentu- sak a szabályok, az ellenőrzés, sem pedig a támo-
mokkal igazolnia, hogy ügyletei nem jelentenek kockáza- gató informatikai megoldások.
tot a bank számára. Ebbe beletartozott az a hamis port-
fólió is, mely elvileg fedezte a kockázatosabb ügyleteket.
Az ügyészség hamisításért, hamisított okiratokkal való
visszaélésért és informatikai adatok automatizált rend-
szerébe történő behatolásért indított eljárást.

5
Fehér Péter: Mindennapi kockázataink—Működési kockázatok kezelése

ban található adatközpontot. Mivel veszélyhelyzetre kor nagyobbrészt kockázatok a nagy gyakoriságú, de
felkészülve háttér szolgáltató-központot építettek ki kis veszteséget okozó, illetve ritka, de nagy vesztesé-
New-York-ban, a hurrikánveszély ellenére is tudtak get okozó szeletére koncentrálódnak. A nagy gyako-
foglalkozni ügyfeleikkel. riságú kockázatok esetében viszonylag jól ismertek a
kockázatok (mivel gyakoriak), így fel lehet tárni a
A hírekben gyakran hallható, hogy egy bank ATM
rendszere nem működik, ezt általában valamilyen kapcsolódó mélyebb összefüggéseket, és fel lehet
készülni az ellenintézkedések megtételére.
központi szerver, alkalmazás vagy adatbázis hiba
okozza. Nemrégiben a Barclays Bank volt kénytelen Az áramszolgáltatók számára visszatérő veszteséget
szembesülni ilyen problémával, mely fél Nagy Bri- jelent az áramlopás. Ez a jelenség mind az iparág-
tanniát megbénította. A hírek szerint a problémát ban, mind pedig az egyes vállalatok tevékenységé-
egy adatbázis szoftver frissítése okozta, bár a bank ben ismert, jól mérhető, és az árazásba beépíthető.
az esetet áramszünetre fogta. Az mindenesetre tény, Ez olyan kockázat, melynek mértéke jól becsülhető,
hogy nem gondoskodtak megfelelően a kieső infor- és mértéke nem veszélyezteti közvetlenül a vállala-
matikai szolgáltatás kiváltásáról. tok működését. A vállalatok igyekeznek ezeket a
Az itt bemutatott példák közül több szélsőséges veszteségeket visszaszorítani, és igyekeznek az
veszteségeket okozott, illetve jelentős működési áramlopásokat is felderíteni.
kihívást hordoz magában. A kockázatok elemzése Nagyobb kihívást jelent a ritka, de nagy veszteséget
során vizsgálni kell a kockázatok realizálódásának okozó kockázatok esetében, mivel ekkor nem is-
gyakoriságát, illetve a kapcsolódó veszteség súlyos- mert, mire is kell egy szervezetnek felkészülnie. Ek-
ságát is, hogy megválaszthassuk a megfelelő kocká- kor a szakértőknek kell elképzelniük és azonosítani-
zatkezelési módszert. Általában a ritka, és kis vesz- uk ezen szélsőséges eseteket. Az ilyen katasztrófa-
teséggel járó kockázatok esetében nem szükséges tervezések esetében a szakértőktől olyan szélsőséges
jelentős kockázatkezelési tevékenységet folytatni, esetek feltárást várják, melyek akár létükben veszé-
míg a másik véglet (nagy gyakoriságú és súlyos vesz- lyeztetnek egy szervezetet. Az ilyen kockázatok egy
teséget okozó események) esetében az adott terüle- részére fel lehet készülni, és a váratlan események
ten vagy jelentős beavatkozásra van szükség, vagy következményeit – részben vagy egészben - át lehet
pedig mérlegelni kell az érintett tevékenység feladá- hárítani másra (biztosítás, alvállalkozó, kiszervezés).
sát. Ugyanakkor a nagyon ritka de nagyon nagy hatású
A kockázatkezelési feladatok (Lásd Működési kocká- kockázatok realizálódása esetében a szervezeteknek
maguknak kell viselniük a kockázatot. Az ilyen koc-
zatok gyakorisága és súlyossága c. ábrát) ugyanak-
kázatok esetében az iparági tapasztalatok is inkább

es évek végi expanzióra, felvásárlásokra vezethető vissza,


Könyvelési botrányok melyeket a cég hitelekből finanszírozott.

A pénzügyi szektoron kívül valószínűleg az Enron esete Mivel a befektetések veszteségesnek bizonyultak,
volt az, amely igazán felkeltette a világ figyelmét, illetve Fausto Tonna, a pénzügyi vezető igyekezett ezeket a lyu-
elindította a könyvelési botrányok felgöngyölítésének kakat elrejteni. A problémákat 2003-ban az új pénzügyi
folyamatát. Az Enron bukását az okozta, hogy számtalan vezető fedezte fel, aki feltárta, hogy a cég hitelállománya
iparágba szállt be a haszon reményében, de befektetései több mint kétszerese annak, amiről tudtak. A cég fizetés-
nem térültek meg. Ez a probléma még a piaci kockázat képtelenségét hosszú ideje az éves beszámolójának és
kategóriájába tartozna, ha a cég vezetői nem hamisítot- banki kivonatainak meghamisításával takargatták. Ké-
ták volna meg a kimutatásokat és a könyvelést, ezáltal sőbb kiderült, hogy a Parmalat égisze alatt pénzügyi csa-
megtévesztve mind a piacot, mind a befektetőket, miköz- lássorozat, pénzmosás, sőt sikkasztás is meghúzódott,
ben a cég vezetői dollármilliókat vettek ki a vállalatból. A miközben igyekeztek a cég vagyonát más vállalkozásokba
történet végén elkerülhetetlen volt a csőd, melynek érté- kimenteni.
ke 31 milliárd dollárra rúgott. Meg lehetne még említeni a Worldcom, a Xerox és
Az Enron botrányba belebukott a világ egyik legna- még számtalan - nem kis vállalat – hasonló problémáit is.
gyobb könyvvizsgáló cége is, az Arthur Andersen, mivel a Ezek az esetek rámutatnak arra, hogy a vezetők manipu-
hanyag tevékenység mellett felmerült az a gyanú is, hogy lációi milyen károkat tudnak okozni, főleg akkor, ha az
tudatosan semmisítettek meg bizonyítékokat az ügyben. elvileg független könyvvizsgálók is összejátszanak velük,
Ezután nagy ügyfelei sorra mondták fel a szerződéseket. illetve a hitelező bankok szemet hunynak a problémák
felett. Mindezen jelenségek hozzájárultak ahhoz, hogy a
Az Enron-hoz hasonló eset történt Európában is: a szabályozó testületek és a törvényhozók olyan új rendel-
könyvelési visszásságokra, és így a befektetők és tulajdo- kezéseket hoztak, melyek erősítik a kontrollt a szervezeti
nosok félrevezetésére talán a legnagyobb európai példa tevékenységek felett, illetve rákényszerítik a szervezete-
az olasz Parmalat esete (melyet európai Enron-ként is ket, hogy mérjék fel és kezeljék saját működésükhöz kap-
emlegetnek), ahol 2003 végén fedezték fel a 14 milliárd csolódó kockázataikat.
Euro értékű könyvelési csalást. A problémák oka az 1990-

6
Fehér Péter: Mindennapi kockázataink—Működési kockázatok kezelése

Az iraki háborúban beszállítóként


részt vevő cégeknél végzett ellen-
őrzés számtalan hiányosságot tárt
fel, mely az amerikai adófizetők-
nek több mint 8 milliárd dolláros
veszteséget okozhatott. Az ellen-
őrzés eredményeképpen a szabá-
lyozási előírások be nem tartása
miatt több céggel azonnali hatály-
lyal felbontották a szerződést,
mely jelentős bevétel-kiesést okoz
számukra.
A különféle külső szabályozások-
nak való megfelelés mellett bizto-
sítani kell a vállalat belső elvárá-
sok szerinti működését is, ez a
belső ellenőrzés felelőssége. Fel-
adatkörébe beletartozik a csalá-
sok felderítése, és a szervezeti
erőforrások (beleértve a fizikai és
immateriális javakat is) védelme
is.
Különféle ajánlások és szabvá-
nyok fogalmazhatóak meg speciá-
lisan, a működési kockázatok
egyik kiemelt területével, az in-
formatikával szemben is. Mivel
sok szervezet, de kiemelten a
útmutató jellegűek, mivel az ilyen jellegű kockáza- pénzintézetek és telekommunikációs cégek eseté-
tok jelentős része szervezetspecifikus, és egyedien ben az üzleti szolgáltatások igen erősen az informa-
kapcsolódik az egy konkrét szervezet működéséhez. tikai megoldásokon alapulnak, ezért az informatikai
problémák jelentős kieséseket és veszteségeket
okozhatnak. Mindezen okok miatt az informatikai
Szabályozási keretek infrastruktúra és szolgáltatások folyamatos működé-
se évek óta kiemelkedő fontosságú, és ezen területre
A működési kockázatok felmérésének és kezelésé- kiforrott módszertanok, élenjáró iparági gyakorla-
nek kialakulása a legkarakteresebben a pénzügyi tok, sőt szabványok állnak rendelkezésre (pl. CobIT,
szervezetekhez, elsősorban bankokhoz kötődik, ITIL, ISO 17799).
ugyanakkor – ahogy a veszteségeket illusztráló pél-
Miközben a működési kockázatok kezelése egyre
dákból is kitűnik – nem csak ezen szervezetek sajá-
inkább önálló területként jelenik meg – és így pl. a
tossága. A bemutatott példákhoz hasonló esetek
Bázel II szabályozás is önálló kockázati területként
arra ösztönözték a politikai és szakmai döntéshozó-
írja elő a kezelését – addig más vélemények szerint
kat, hogy különféle szabályozásokkal erősítsék meg
nem szabad szétválasztani a működési kockázatokat
a működési kockázatokhoz kapcsolódó szervezeti
más kockázatainktól, hiszen a működési kockázat
feladatokat és felelősséget.
minden más tevékenység, így kockázati terület szer-
A szabályozási elvárásoknak való megfelelés maga is ves részét képezi. Amikor pl. informatikai kockázat-
kockázatot hordoz magában, mely része a működési ról beszélünk, ennek jelentős része működési kocká-
kockázatnak, de legalább is szoros kapcsolatban áll zatot (is) takar, vagy a szabályozási megfelelés
vele (szabályozási és reputációs kockázat). A külön- (compliance) kockázata is magába foglalja a műkö-
féle szabályozási elvárásoknak való megfelelés dési kockázatokat.
ugyanakkor külön működési területként jelenik
meg, mivel a szabályozások összefüggései, összetett-
sége önmagában jelentős kihívás elé állítja a szerve-
zeteket (A legfontosabb szabályozási eljárásokat a
A szabályozási elvárásoknak
táblázat szemlélteti). Emiatt igen sok cég számíthat való megfelelés
büntetésre, illetve tevékenységének korlátozására is.
maga is kockázatot hordoz

7
Fehér Péter: Mindennapi kockázataink—Működési kockázatok kezelése

Egy hazai bank úgy értékelte, hogy a legnagyobb alakítására újabb informatikai támogató eszköz be-
működési kockázat az informatikai eszközeihez szerzésére volt szükség.
kapcsolódik, ezért elsősorban az informatikai erő-
Az informatikától való erős függőséget illusztrálja
források kockázatának és hatásának felmérésére
egy hazai telekommunikációs cég példája is: mind a
koncentrált. Az elemzés során vizsgálták, hogy az
távközlési szolgáltatások, mind pedig az ezekhez
egyes informatikai eszközök milyen üzleti folyama- kapcsolódó adminisztratív feladatok – így a számlá-
tokat támogatnak, és így az IT szolgáltatások kiesése
zás is – informatikai támogatással működnek. A cég
milyen üzleti hatással és veszteséggel jár együtt. Az
számlázási szoftverének frissítése során olyan hiba
összefüggések feltárását nehezítette, hogy egy infor- került a rendszerbe, mely néhány nap múlva leállí-
matikai eszköz több üzleti folyamatnak is részese totta az alkalmazás működését. Ennek eredménye-
volt, illetve egy folyamatban több IT szolgáltatást is
képpen egy bizonyos ügyfélcsoport ingyen telefonál-
igénybe kellett venni. Ezen komplex összefüggés-
hatott, azaz a cég érzékelte a felhasznált kapacitást,
rendszer hatásának elemzésére, illetve a lehetséges de azt nem volt képes ügyfélhez kötni, így a hiba
szolgáltatási kiesések kezelésére szolgáló tervek ki-

Szabályozás Leírás
Bázel II / A Bázel II szabályozás a pénzintézetek számára határozza
Capital Requirement Directive (CRD) meg a tőkefedezet képzésének feltételeit a bankok hitelezé-
si, piaci és működési kockázatát figyelembe véve, így bizto-
sítva a bankok stabil működését. A szabályozás meghatároz-
za a működéshez kapcsolódó felügyeleti, illetve nyilvánossá-
gi feltételeket is.

Markets in Financial Instruments Directive (MiFID) A direktíva szabályozza a befektetési szolgáltatások működé-
si kérdéseit, mely meghatározza egyben a működési folya-
matokat is, beleértve az ügykezelés hatékonyságát, érdek-
konfliktus kezelést, valamint a kereskedelem átláthatóságát
és nyitottságát.

Sarbanes-Oxley Act (SOX) Az amerikai törvény célja a könyvelési botrányok által meg-
EU 8. direktíva (Euro-SOX) rendített bizalom helyreállítása volt, és előírja a könyvelési
és beszámolási folyamatokra vonatkozó kontroll tevékenysé-
geket, valamint szabályozza a nyilvánosságra hozandó ada-
tok körét.
Az EU 8. direktívájának 2005-ös kiegészítése a SOX európai
megfelelője, elsősorban a pénzügyi-számviteli kockázatokra
koncentrálva.

Gesetz Zur Kontrolle Und Transparenz Im A KonTraG egy 1998-ban született német szabályozás, mely
Unternehmensbereich (KonTraG) előírja a vállalatok kockázatkezelési szabályozásának és gya-
Transparenz- und Publizitätsgesetz korlatának független auditálását a pénzügyi beszámolókra
(TransPuG) vonatkozóan.
Ennek kiegészítése a 2002-es TransPuG, mely előírja a pénz-
ügyi beszámolókhoz kapcsolódó nyilvánosságot.

Pénzmosás és terrorizmus elleni szabályozások A különféle szabályozások elsősorban a pénzintézetek szá-


USA: Financial Anti-Terrorism Act of 2001 mára írnak elő kontroll folyamatokat az illegális pénzmozgá-
sok, illetve illegális szervezetek támogatásának kiszűrésére.
Ausztrália: The Anti-Money Laundering and
Counter-Terrorism Financing Act 2006 (AML/
CTF Act)
EU: Third Anti-Money Laundering Directive
(2005/60/EC)
Magyarország: A pénzmosás megelőzéséről szóló
2003. év XV. törvény

8
Fehér Péter: Mindennapi kockázataink—Működési kockázatok kezelése

kijavításáig közvetlen veszteséget volt kénytelen dezet képzés, illetve a szabályozásoknak való megfe-
elszenvedni. lelés biztosítása, addig más szervezetek esetében a
kockázatok elhárítására és mérséklésére irányuló
A működési kockázatok kezelésének feladatrendsze-
tevékenység kerül a fókuszba. Habár a pénzintéze-
rét hiba lenne önálló területként kezelni, hiszen je-
tek számára is előírás annak hitelt érdemlő bizonyí-
lentős átfedéseket mutat a szabályozási megfelelő-
ség, illetve a belső ellenőrzés területein túl más mű- tása, hogy a kockázatok elhárítására és mérséklésére
kellő figyelmet fordítanak, ezen intézmények által
ködési területekkel is. De ugyanígy hibás egyszerűsí-
választott módszerek mégis inkább a felmérésre és
tés lenne a működési kockázatok kezelését ezen
kiegészítő területek elvárásainak való megfelelés- tőkefedezet képzésre koncentráltak - eddig alapve-
ként értelmezni, és ezeknek teljes mértékben alá- tően a múltra vonatkozó információk felhasználásá-
val -, így ezen a területen még további fejlesztésekre
rendelni.
van szükség.
Sőt, a tapasztalatok ugyanakkor azt mutatják, hogy
Ráadásul a kockázatok azonosítása és kezelése során
a különféle szervezetek minden egyes szabályozási
elsősorban a jól megfogható (hard) tényezőkre kon-
kihívásnak megfelelően egyedi, egymással nem ösz-
szefüggő kockázatkezelési keretrendszert hoznak centrálnak, míg a puhább (soft) kérdésekkel nem
létre, miközben az egyes szabályozási elvárások igen foglalkoznak. Való igaz, hogy a szervezeti kultúrá-
val, vagy a dolgozói motivációval sokkal nehezebb
sok átfedő elvárást fogalmaznak meg. Így például a
megküzdeni, sőt hosszabb időbe is telik, mint
Bázel II, SOX vagy Mifid szabályozások elvárásait
egységes formában kezelve megtakarítható egyes mondjuk egy informatikai szerver funkcionalitását
katasztrófa esetében kiváltó hátterét létrehozni.
folyamatok, tevékenységek megsokszorozása1.
Ugyanakkor a puha tényezők azonosításával és fej-
A szabályozásoknak való megfelelés ugyanakkor lesztésével nem csak hosszabb távú (tartósabb), de
nem jelenti azt, hogy a szervezetek tudatosan ki is nagyobb mértékű eredmény is érhető el.
használják a működési kockázatok kezelésében rejlő
A kockázatok azonosítása során tehát a tevékenysé-
lehetőségeket, inkább csak a szabályzó testületek-
nek való minimális megfelelésre törekszenek. Mi- gek minden elemére figyelmet kell fordítani, bele-
értve a végrehajtó személyeket is, akik sokszor ma-
közben a szabályozások sokszor megelégednek a
guk is előidézői a veszteségeknek. Például egy olyan
kockázatok azonosításával, és az azokra adott mini-
szervezet esetében, ahol a dolgozókra nagy munka-
mális válaszokkal, addig a tudatos működési kocká-
zatmenedzsment lehetővé teszi a kockázatokra való teher és nyomás nehezedik, a túlhajszoltság miatt a
dolgozók figyelmetlenebbé válnak, és hajlamosab-
felkészülést (nem csak a pénzügyi tartalékképzést),
bak hibák elkövetésére. De lehet kockázati ok egy
a kockázatok megelőzését, elhárítását, illetve a koc-
kázatok realizálódásakor az azokra adható hatékony olyan szervezeti kultúra is, ahol az előírások, szabá-
válaszlépések előkészítését is. A tudatos kezeléssel lyok tisztelete nem érték.
nem így nem csak elszenvedői, hanem irányítói is Tipikus eset, amikor közös irodaházban több cég is
lehetnek a kockázatoknak. bérel irodát, és ez lehetőséget biztosít információk
nem kívánt áramlására a vállalatok között. Egy hazai
A szervezeteket érintő veszélyeket egységes szemlé-
könyvelő cég hosszú időn keresztül tapasztalta,
letmód és keretrendszer szerint kell kezelni, még
hogy bizalmas belső információk kerülnek ki, mi-
akkor is, ha az egyes koc-
kázati területeknek meg- közben képtelen volt azo-
nosítani a szivárgás forrá-
vannak a maga sajátossá-
sát. Egy véletlen során fény
gai. Ugyanakkor az egysé-
ges kezelés éppen a sziner- derült arra, hogy az iroda-
giák kinyeréséhez járulhat A kockázatok azonosítása során ház közös liftjében több
vállalat alkalmazottai is
hozzá. További előnyök a tevékenységek minden elemére utaztak, és a dolgozók az
elérése érdekében meg kell
teremteni a szoros kapcso- figyelmet kell fordítani alagsori étkező felé igye-
kezve is tárgyalták az ép-
latot a belső ellenőrzés,
pen aktuális feladatokat,
kockázatkezelés, illetve
szabályozási elvárásoknak illetve problémákat. Egy
való megfelelés között. ilyen kis helységben aka-
ratlanul is könnyű kihallgatni mások beszélgetését,
és más cégek alkalmazottait semmilyen titoktartási
szerződés nem korlátozza. A vizsgálat eredménye-
Működési kockázatok kezelése
képp végül a dolgozók figyelmét felhívták arra, hogy
Míg a területen élenjáró, sok tapasztalatot felhalmo- a szakmai kérdéseket ne beszéljenek meg a liftben,
zó pénzintézetek esetében a működési kockázatme- főleg akkor ne, ha ismeretlen személyek is tartóz-
nedzsment feladatok elsődleges hajtóereje a tőkefe- kodnak benne.

9
Fehér Péter: Mindennapi kockázataink—Működési kockázatok kezelése

A kockázatkezelési rendszer Informatikai támogatás. A kijelölt eljárásokat


(melyek megfelelnek a stratégiai céloknak) megfele-
A működési kockázatok tudatos kezelésének feltéte- lő informatikai megoldásokkal szükséges, illetve
le egy szervezeti kockázatkezelési rendszer létreho- lehet támogatni. Ennek elemei pl. a kockázatok nyil-
zása, melynek legfontosabb részeit tekintjük át a vántartására szolgáló eszközök, modellező eszkö-
továbbiakban. zök, statisztikai eszközök, automatizációs eszközök,
Kockázatkezelési stratégia2. Ennek keretében stb.
meghatározásra kerül, hogy a kockázatkezelés során A kockázatkezelési rendszereknek jó alapot jelent a
mely területekkel, milyen kockázatokkal kíván fog- folyamat alapú megközelítés, mivel alkalmas arra,
lalkozni a szervezet (célok), ezek kezeléséhez mi- hogy tevékenység szinten azonosítsa a kockázati
lyen szabályok, eljárások és folyamatok tartoznak elemeket, illetve meghatározza az azokhoz kapcso-
(eszközök). Szintén a stratégia szintjén kell megha- lódó kontroll elemeket. Ez a megközelítés lehetővé
tározni a szervezet kockázatokkal szembeni toleran- teszi a kockázati stratégia részletes lebontását.
ciaszintjét.
Szervezeti megoldások. Annak meghatározása,
hogy a kockázatkezelési stratégiában meghatározott Kockázatok azonosítása és értékelése
célokat hogyan lehet támogatni a szervezetben ki-
A folyamat alapú megközelítés biztosítja, hogy mind
alakított kockázatkezelési egységekkel, feladatkö-
az üzleti tevékenységek kiesésének kockázata, mint
rökkel, illetve szerepekkel, illetve, hogy mi a feladat-
pedig a folyamatok mentén jelentkező kockázatok
és hatásköre a szervezeti egységeknek.
azonosíthatóak legyenek. Ezen megközelítés kereté-
Több szervezet külön kockázatkezelési hierarchiát ben a folyamatok leképezése jelenti az első lépést.
alakított ki. Egy hazai bank esetében három kocká- Ekkor az egyes tevékenységekhez, az azokat elvégző
zatkezelési szintet határoztak meg: az első szinten személyekhez, szervezeti egységekhez, illetve a tá-
az üzleti és működési egységek feladata a működési mogatást jelentő informatikai rendszerekhez kap-
folyamatok felmérése, és az azokhoz kapcsolódó csolódóan határozhatóak meg a lehetséges kockáza-
ellenőrzési tevékenység kialakítása. A második szint tok. Ez a megközelítés lehetővé teszi, hogy egy szer-
a központi szabályozást és ellenőrzést végző szerve- vezet kijelölt folyamataihoz kapcsolódóan teljes kö-
zeti egységek alkotják, míg a harmadik szinthez a rű kockázatfelmérés történjen.
működéstől független belső ellenőrzés tartozik. A
Következő lépésben kerülhet sor a kockázatok mér-
legnagyobb feladat a második szinthez kapcsolódik,
tékének, azaz a kockázatban szereplő esemény fel-
ahol vizsgálják a szabályozási elvárásoknak való
merülési gyakoriságának, illetve az általa okozott
megfelelést (pénzmosás elleni törvény, Bázel-II,
veszteség súlyosságának meghatározására. A folya-
Mifid, stb.), a banki biztonsági, csalási kérdéseket,
matalapú megközelítés esetében lehetőség van a
illetve az üzleti működés folytonosságának biztosí-
kockázatok részletes dokumentálására, illetve a koc-
tását is.
kázatok változásának folyamatos átvezetésére is.
Beszámolók, mutatószámok. A kockázatok folya- Megjegyzendő, hogy habár e módszer a működési
matos figyelemmel kísérése érdekében el kell dönte- kockázatok kezelését támogatja a legjobban, a folya-
ni, hogy mely adatokat, milyen mutatószámokat kell matmodellhez kapcsolódóan más kockázatok is
vizsgálni, illetve a változásokról milyen gyakoriság- nyomonkövethetők.
gal számoljanak be a kockázatkezelők a vezetésnek.
Egy telekommunikációs cég a szerződéskötési folya-
Az egyes folyamatokhoz és tevékenységekhez kulcs
matának eredményeképpen magasnak ítélte meg a
kockázati indikátorokat (Key Risk Indicators – KRI)
hibásan kitöltött iratok számát. A vizsgálat során
rendelhetünk, melyek változásából következtethe-
kiderült, hogy a túlterhelt és sokszor formális kép-
tünk a veszélyeztetettség változására. Ilyen mutató
zés nélkül dolgozó alkalmazottak nincsenek tisztá-
lehet például a munkaerő fluktuáció aránya, ügyfél-
ban az elvárásokkal, ezért – ha nem is szándékosan
panaszok száma, szolgáltatások rendelkezésre állása
– sok hibát vétenek. A vizsgálat azt is kiderítette,
vagy akár a leltárveszteség értéke.
hogy a szerződésminták, illetve a szerződések meg-
Kockázatkezelési megoldások. A kockázatok fel- kötését segítő informatikai rendszer sem nyújt meg-
mérésének, monitorozásának, értékelésének, illetve felelő támpontokat a dolgozók részére. Ebben az
ellenintézkedések meghozatalának folyamatai, bele- esetben a folyamat részletes vizsgálata során azono-
értve a közös értelmezési keret (nyelv) kialakítását, sításra kerültek az erőforrások, és feltárhatóak vol-
illetve a kockázatkezelési tevékenység kapcsolódási tak a kapcsolódó kockázatok. A szerződéskötési fo-
pontjait is. Ennek keretében szükséges a stratégia lyamat kapcsán kockázati tényezőként így azonosí-
akciótervekre bontása, azaz, hogy a stratégiában tásra került az alkalmazottak megfelelősége, a szer-
meghatározottak közül milyen eszközöket lehet ződésminták megfelelősége, illetve a támogató in-
felhasználni a kockázatok mérséklésére, illetve keze- formatikai rendszer is.
lésére.

10
Fehér Péter: Mindennapi kockázataink—Működési kockázatok kezelése

A kockázatok kezelésének egyik eszköze


a folyamatok átszervezése
és kockázatokhoz kapcsoló optimalizálása

Mivel a működési kockázatok sok helyen keletkez- kockázati szempontú optimalizálása lehetővé teszi
hetnek és különböző jellegűek lehetnek, ezért az azt is, hogy átfogó jellegű kontroll folyamatokat ha-
elemzés elvégzéséhez nem csak a tevékenységek, tározzunk meg, melyek több kockázathoz, kocká-
hanem az azok végrehajtásához szükséges erőforrás- zatcsoporthoz is kapcsolódnak.
ok felmérése is célszerű.
Ezen tevékenység vérhajtása során építeni kell a fo-
Folyamatok meghatározása. Az egyes tevékenysé- lyamatmenedzsment általános alapelveire is, és a
gek sorrendiségének, kapcsolódási pontjaik és egy- kockázatalapú szemlélet mellett a folyamatok átala-
másra hatásának modellezése. kításakor figyelembe lehet venni az időbeli átfutás-
Szükséges technológia. A folyamatok végrehajtása ra, költségekre és minőségre vonatkozó lehetősége-
ket is. Ez ugyanakkor jelentősen megnöveli a folya-
során felhasznált technológiai megoldások, kiemel-
matfejlesztés végrehajtásának komplexitását és idő-
ten informatikai rendszerek számbavétele, azok egy-
mással való kapcsolata. beli lefutását is.
Ezen a ponton kapcsolódik egymáshoz és mutat
Szervezet. A szervezeti struktúra, a hierarchia, a
jelentős átfedést egymással a folyamatalapú kocká-
szerepek, felelősségi és feladatkörök rögzítése. Kihí-
vást jelent, hogy az emberek (dolgozók) és szerepek zatmenedzsment, illetve a kockázatalapú folyamat-
menedzsment koncepciója. Ebből adódóan a folya-
között többféle kapcsolat van, illetve kritikus a fele-
mat alapú kockázatmenedzsment megjelenhet kü-
lősségi körök egyértelmű kijelölése.
lönálló tevékenységként, de lehet egy szélesebb körű
Dokumentumok, adatok. A folyamatok végrehaj- folyamatfejlesztési projekt része is, erőteljesen meg-
tása során keletkező és felhasznált dokumentumok, jelenítve a kockázati tényező fontosságát az
adatok és információk gyűjteménye. optimalizáció során.
A kockázatok nem csak a tevékenységekhez, folya- A felmérés lehetővé teszi a megfelelő kockázatkeze-
matokhoz, hanem magukhoz az erőforrásokhoz is lési megoldások megtalálását. Elsődleges cél a koc-
kapcsolhatóak, így egy támogató rendszer működé- kázat csökkentése, vagy akár teljes elkerülése, mely-
séhez, egy dolgozóhoz (aki végrehajt egy feladatot), re több megoldás is adódik.
vagy akár egy papír alapú vagy elektronikus doku-
Proaktív megközelítés. A kockázatcsökkentés
mentumhoz is. A kockázatok azonosítása során rög-
zíteni kell a kockázat típusát (működési, reputációs, egyik módja a bekövetkezési valószínűség csökken-
tése, mely tipikusan megelőző, többnyire védelmi
piaci, stb.), a kockázat minőségi és mennyiségi érté-
megközelítések révén érhető el. Éppen ezért szüksé-
kelését, illetve ha rendelkezésre áll, akkor az ezen
kockázathoz kapcsolódó korábban már felmerült ges, hogy tisztában legyünk a várható kockázatok-
veszteségek adatait. kal, hogy fel tudjunk rá készülni. Ennek leghatéko-
nyabb módja a már bemutatott folyamat alapú koc-
Egy hazai bank– hasonlóan több pénzintézethez – a kázatfelmérés.
hitelezési folyamatainak átszervezésébe vágott bele.
Reaktív megközelítés. Ebben az esetben nem a
Mivel a pénzpiaci válság miatt a hitelek kockázata
kockázat bekövetkezését, hanem egy esemény hatá-
megnövekedett, ezért azok elbírálási és jóváhagyási
folyamata során is csökkenteni volt szükséges a mű- sának mérséklését állítják a középpontba, azaz azt
ködési kockázatokat. Ennek folyamán áttekintették vizsgálják, milyen intézkedések szükségesek, ha
megtörténik egy esemény. Természetesen ennek is
a szükséges információkat, az érintett végrehajtókat,
előfeltétele, hogy a kockázatok köréről valamilyen
illetve úgy szervezték át a folyamatot, hogy annak
végrehajtása során erősebb kontroll legyen gyako- előzetes ismeretünk legyen.
rolható. Teljes elkerülés. Ez olyan megközelítés, mely so-
rán a szervezet lemond egy kockázatosnak ítélt tevé-
kenység folytatásáról. Ez nem tekinthető a szó szo-
Kockázatok kezelése ros értelmében kockázatcsökkentési módszernek.
Azokban az esetekben, ahol a kockázat különösen
A kockázatok kezelésének egyik eszköze a folyama- nagy, vagy nagy gyakoriságú, ez az egyetlen lehető-
tok átszervezése és veszélyekhez kapcsoló optimali- ség, mivel a kockázatkezelési megoldásokkal együtt
zálása. Ezzel a módszerrel a problémák akár el is sem valószínű, hogy megéri folytatni az adott tevé-
tűntethetőek a folyamatokból, illetve a működés kenységet.
logikájából adódóan mérsékelhetőek. A folyamatok

11
Fehér Péter: Mindennapi kockázataink—Működési kockázatok kezelése

Amennyiben más módszerekkel nem lehetséges a A kockázatkezelés során meg kell határozni megelő-
veszélyek további csökkentése, úgy még mindig le- ző lépéseket, amelyek szükségesek a kockázat fel-
hetőség van a azok megosztására, mellyel mérsékel- merülésének elkerülésére, illetve amennyiben a koc-
hetőek az esetleges veszteségek. Ennek egyik logikus kázat mégis bekövetkezik, úgy azt, hogy milyen el-
módja a biztosítók bevonása (amelyek saját kocká- lenintézkedéseket lehet tenni a kár mérséklésére.
zatuk csökkentése érdekében elvárják a szervezetek- Nyilvánvalóan a kockázatkezelés előfeltétele, hogy a
től a kockázatmérséklési tevékenységet), illetve a kockázatok ismerete.
kockázatos tevékenységek kiszervezése, alvállalko-
A folyamat alapú kockázatfelmérés biztosítja a koc-
zók számára történő átadása (melyek a szolgáltatási kázatok felmérésének teljességét, és ezáltal a külön-
díjba ugyan beépítik a kockázatok kezelését, de böző kockázati kategóriák elkülönítését is. Ezáltal
esetleg nagyobb speciális szakértelemmel rendelkez-
lehetővé válik annak vizsgálata, hogy a kisebb koc-
nek, kiszámítható költségért megbízhatóságot nyúj-
kázatú események összességében milyen veszteséget
tanak). Az informatikai kockázatok áthárításának jelentenek. A tárolt adatok köre lehetőséget nyújt a
jellegzetes megoldása az informatikai infrastruktúra
kockázatok összesítésére és mutatószám rendszerek
üzemeltetésének kiszervezése, mely esetben a meg-
kialakítására, ami lehetővé teszi a kockázatok folya-
bízó csak a szolgáltatásokért fizet, míg az infrastruk-
matos felügyeletét.
túrához kapcsolódó kockázatokat már a szolgáltató
viseli. A kockázatok megismerése lehetővé teszi a kapcso-
lódó (lehetséges és megvalósuló) kontroll tevékeny-
A bemutatott nagyobb kockázatkezelési lehetőségek ségek meghatározását. A kontroll tevékenység maga
közül a nagyobb hatású kockázatok esetében több is
lehet egy egyszeri tevékenység, vagy egy teljes kont-
alkalmazható: egy hazai központi állami hivatal mű-
roll folyamatcsoport, mely akár több kockázathoz is
ködése szempontjából kritikusnak tekinthető az
kapcsolódik. Sőt sokszor magához a kontrollfolya-
informatikai támogatás. A működési kockázatok mathoz is kapcsolódik kockázat, gondoljunk a
kezelése érdekében azonosították az informatikai
Société Générale, vagy a Barings Bank esetére, ahol a
szolgáltatásokat, majd megállapították azok hatását
kontroll tevékenységeket kijátszották a banki alkal-
a folyamatos működésre. A kockázatok elemzése mazottak.
után az egyes informatikai szolgáltatások, illetve az
ezeket nyújtó IT megoldások priorizálásra kerültek. Az informatikai rendszerekben indított tranzakciók
A nagy kockázatú, de az ügyvitel szempontjából fon- folyamán már megszokott, hogy a sikeres, vagy ép-
tos rendszerek esetében többszintű kockázatkezelé- pen sikertelen végrehajtásról visszajelzést ad a rend-
si megoldást is felhasználtak. A kockázatelemzés szer. Ugyanakkor ennek a kontroll algoritmusnak a
során a múltbéli tapasztalatokra alapozva, illetve a hibás működése hamis információkat is hordozhat
szakterületi dolgozók segítségével tárták fel a lehet- magában, azaz például a rendszer sikeres végrehaj-
séges fenyegetettségeket, melykehez meghatározták tást jelez, miközben a tranzakció sikertelen volt. A
a lehetséges kezelési megoldásokat. Így például hasonló problémák ellensúlyozására kritikus folya-
rendszerkiesés esetén a leállít informatikai szolgál- matok esetében többszörös, független alrendszerek
tatások funkcionalitását más szerverek látják el. Egy által végrehajtott ellenőrzést szoktak beiktatni.
esetleges szélesebb körű katasztrófa esetére pedig az Az atomerőművekben az több műszer is méri az
adatokat külső adathordozóra mentik, melyeket egyes berendezések működését, melyek állapotát a
külső telephelyen tárolnak. A kockázat megosztása vezérlőtermekben lehet leolvasni. Ez a kontroll biz-
érdekében több rendszer üzemeltetési feladatait tosítja, hogy az ügyeletet ellátó döntéshozók folya-
meghatározott szolgáltatási szint szerződések (SLA) matosan teljes képet kapjanak az erőmű működésé-
által szabályozva alvállalkozók látják el, melyek fele- ről. Előfordulhat, hogy az egy kijelző rossz adatot
lősek a rendszerkiesések által okozott károkért. mutat, mivel vagy az érzékelő, vagy pedig maga a
Természetesen mindig marad olyan kockázat, me- kijelző elromlott. Egy rossz adat ismeretében hozott
lyet egy szervezet viselni kénytelen, vagy azért, mert döntés súlyos következményekkel járhat. Az ilyen
ebben az esetben nincs már mód arra, hogy a kocká- kritikus létesítményekben a hasonló hibák kezelését
zatok bekövetkezését, vagy hatásukat egy szervezet – mint kockázatkezelés – folyamatosan gyakoroltat-
hatékonyan csökkentse (pl. költség-haszon összeve- ják a dolgozókkal, így a megfelelő tapasztalattal ren-
tés során lemond a csökkentésről), vagy pedig azért, delkező szakemberek a többi adat ismeretében felis-
mert a kockázatok mértéke az elviselhetőség hatá- merhetik a hibás jelzéseket, és ennek kontrollálását
rán belül van. kérhetik a műszer személyes vizsgálata által.

A folyamat alapú kockázatkezelés elképzelhetetlen


a megfelelő támogatást jelentő
informatikai megoldások nélkül

12
Fehér Péter: Mindennapi kockázataink—Működési kockázatok kezelése

A szabályozási területek
fejlődésével egyre több
szervezetnek kell figye-
lembe venni a szabályo-
zási kérdésekből adódó
kockázatokat, és a kap-
csolódó kockázatme-
nedzsment feladatokat.
Itt kiemelten gondolha-
tunk az Euro-SOX né-
ven említett EU direktí-
vára, melynek széles
körű elterjedése már 2-3
éven belül várható, és a
szervezetek széles köré-
re vonatkozik.
Az szabályozásoknak
való megfelelés megkö-
Az ellenőrzések esetében törekedni kell arra, hogy
veteli a folyamat alapú kockázatmenedzsment és
ezek megelőző, mintsem reagáló jellegűek legyenek, kontroll tevékenységek kidolgozását, mely egyben
illetve lehetőség szerint automatikusan működje- lehetőséget teremt a folyamatmenedzsment nyújtot-
nek, azaz a legkevesebb teret adjuk az emberi ténye-
ta lehetőségek szélesebb körű kihasználására is, úgy
zőnek. Ez utóbbi elvárás megköveteli, hogy az egyes
mint a folyamatoptimalizálás, teljesítménymenedzs-
folyamatokat aktív ellenőrzést biztosító folyamat- ment, folyamatkontroll, vagy költségmenedzsment.
menedzsment rendszer (pl. workflow) támogassa.
Ezen feladatok megvalósítása ugyanakkor komplex,
A kockázatok azonosítása és nagyságuk meghatáro- idő és költségigényes feladat, mely hatékony infor-
zása teszi, hogy eldöntsük, mely kockázatok kezelé- matikai támogatást igényel.
sére érdemes erőfeszítéseket tenni: amennyiben a
Az újabb szabályozási elvárásoknak való megfelelő-
kockázatkezelés költsége meghaladja a kockázatból
séget a szervezetek gyakran projektszerűen vizsgál-
adódó veszteség költségét, úgy nem éri meg a meg- ják, miközben a kockázatmenedzsment tevékenysé-
előző tevékenységek végrehajtása.
get folyamatos, napi feladatként végzik, és lehetőség
Mivel ellenintézkedések, vagy kontroll folyamatok szerint automatizáltan. Sajnos kevéssé automatizál-
nem csak egyes egyedi kockázatokhoz, hanem koc- ható, de hasonlóan fontos feladat a szabályozási
kázatok csoportjához is tartozhatnak, ezért a kocká- környezet változásainak folyamatos elemzése, és a
zatkezelési költségeket is érdemes hasonló logika működési gyakorlatban való megjelenítése.
mentén csoportosítva értékelni. Összességében azt A folyamat alapú kockázatelemzés segítséget nyújt
az optimális pontot kell megtalálni, ahol a kockázat-
mind a változó kockázatok folyamatos figyelemmel
kezelési költségek, valamint a kockázatokból eredő
kísérésére, mind pedig a változó szabályozási elvárá-
veszteségek együttes értéke minimális. E mérlegelés
soknak való megfelelés ellenőrzésére. Figyelembe
előfeltétele az, hogy már előzőleg megtörténjen a véve a folyamatmenedzsmentre épülő kontrollálha-
kockázatok, és azok jellemzőinek – a folyamatokhoz
tósági és átláthatósági előnyöket a szervezeteknek
kapcsolódó – felmérése, illetve a lehetséges kezelési
célszerű kialakítani a saját folyamatmodelljeiket.
eljárások ismertek legyenek. (Lásd: Kockázatkezelési
költségek optimalizálása c. ábra). 1
A vállalatok vezetőinek egyre növekvő számú szabályozási elvárásnak
*** kell megfeleltetniük a szervezet működését. Az aktuális szabályozások-
hoz, illetve ezek egységes kezeléséhez kapcsolódik: Tarantino, A.:
Egy folyamatokra épülő működési kockázatokat ke- Manager’s Guide to Compliance (John Wiley and Sons, Hoboken, 2006)
zelő rendszer kiépítése korántsem egyszerű folya- 2
Ilyen kockázatkezelési keretrendszert hozott létre az IT Governance
mat. A folyamat alapú kockázatkezelés megvalósítá- Institute a Bázel-II elvárásrendszer támogatására, melynek elemei
sa ugyanakkor elképzelhetetlen a megfelelő támoga- között szerepel a kockázati stratégia, szervezet, beszámolók, technoló-
tást jelentő informatikai megoldások nélkül: a folya- gia, veszteségadatok gyűjtése, indikátorrendszer, tőkemodellezés, és
kockázatkezelési megoldások. IT Control Objectives for Basel II. (IT
matok nagy száma, azok bonyolultsága, illetve így a Governance Institute, 2007)
kapcsolódó lehetséges kockázatok nagy száma átlát- 3
A csalásból származó hírverés jól használta ki Nick Leeson. Nevéhez
hatatlan lenne a megfelelő eszközök segítsége nél- az általa okozott csaláshoz kapcsolódóan két könyv, számtalan szakcikk
kül. A támogató eszközök felhasználása ugyanakkor kapcsolódik, és szabadulása után igen jól megél előadókörútjaiból,
egyszerűsíti, áttekinthetővé és kontrollálhatóvá teszi ahol elmeséli, hogyan is sikerült a csalást végrehajtania, illetve mit is
mind a szervezeti folyamatokat, mind pedig a kap- kell tenni a hasonló csalások megelőzése érdekében. Ajánlott olvas-
mány: Leeson, N: Rogue Trader: How I Brought Down Barings Bank and
csolódó kockázatokat és kontroll tevékenységeket. Shook the Financial World (Little Brown and Company, 1999)

13