Blog

Zarządzanie ryzykiem w UBS

Seria nieautoryzowanych transakcji zainicjowanych przez jednego z pracowników naraziła szwajcarski bank na stratę ponad 2 miliardów dolarów. „UBS: porażka w zarządzaniu ryzykiem” — obwieściły media. Przez moment chciałem stanąć po stronie banku — bo nie wiemy, co zawiodło, bo być może jednak system zadziałał i dzięki niemu organizacja uniknęła większej straty; w końcu dlatego, że zarządzanie ryzykiem nie oznacza jeszcze, że zagrożenie się nie zmaterializuje (ograniczamy prawdopodobieństwo lub skutki, ale nigdy do zera).

 

Faktem jednak jest, że tego przypadku nie da się obronić. Żaden scenariusz nie wytłumaczy, w jaki sposób nieuczciwy pracownik operował poniżej zasięgu radarów przez prawie trzy lata. Póki nie zakończy się śledztwo, możemy jedynie spekulować, dlaczego nikt wcześniej nie zauważył nieautoryzowanych transakcji.

Załóżmy, że UBS wdrożył system zarządzania ryzykiem. Co więcej, być może nawet udało się poprawnie osadzić go w kulturze organizacyjnej. Możliwe, że ryzyko nieuczciwości ze strony pracowników zostało zidentyfikowane i ocenione, a bank zastosował jedną z czterech odpowiedzi (akceptacja, przeniesienie/współdzielenie, redukcja lub eliminacja). Sporo tych założeń, ale jest całkiem możliwe, że przy 64 tysiącach pracowników oraz 1,3 biliona CHF aktywów bank zdecydował się utworzyć rezerwę (rodzaj ubezpieczenia), zamiast aktywnie zaangażować się w redukcję ryzyka: „nieautoryzowane transakcje nie dotyczyły aktywów klientów, sami pokryjemy wynikające z nich straty.”

Konferencje, konferencje…

Kilka dni temu zakończyła się jesienna edycja konferencji organizowanej przez Disaster Recovery Journal. Obserwowaliśmy ją przez dziurkę od klucza, dzięki tagowi #drjfall na Twitterze. Niestety prezentacje nie są dostępne (jeszcze; albo jeszcze nie znalazłem ;), dlatego poniżej zamieszczam moje ulubione wypowiedzi uczestników konferencji (w nawiasie twitterowy login autora):

  • Operational impact is far more important than compliance. Fines don’t matter if company doesn’t exist. (ITOC_Actual)
  • Risk Management is Pain Management. (Nolan, LRG_Indy)
  • Japanese BCP includes total relocation and reconstruction to a new business model and greater profitability with agile workforce (LRG_Indy)
  • Japan earthquake lessons learned – the greater the human impact the more difficult to conduct any resumption efforts. (LRG_Indy)
  • Fujitsu exercised plans to move manufacturing to other factories 40+ times between 2008-10. Helped them failover after Japan crisis. (RachelDines)
  • What is the difference between the Cloud and “Smoke (and Mirrors)” (ITOC_Actual)
  • IBM: if you want to recover quickly, tapes won’t cut it. Look at mirroring, replication, cloud type services. (abbashaiderali)
  • IBM: BC pros keep your company running and help people. It’s a great role, be passionate about it! < +1 (abbashaiderali)
  • IBM: weather related events make the news but BCP needs to account for more frequent IT and people type issues (abbashaiderali)
  • IBM: Silos, budget, and predicting ROI are biggest barriers to adopting holistic approach to BCRS (abbashaiderali)
  • IBM BCRS: last year 77% of surveyed people said cloud too risky, now down to 44% (abbashaiderali)
  • IBM BCRS: don’t just go out there and “buy cloud” look carefully and do it the right way, apply risk mgmt (abbashaiderali)
  • Top priority is communication and training of business continuity programs IBM at DRJ (LRG_Indy)
  • Pat Corcoran from IBM BCRS asks the audience how many include supply chain in their BC/DR plans, only about 20% raise their hands. (RachelDines)
  • Social media needs to be incorporated into crisis management plan. It is a key component (romilly1)
  • In 2010, 50% of @SunGardAS’s clients’ disaster declarations were from power outages, 25% from network outages, 10% from fire. (RachelDines)
  • Switch networks are only capable of handling 10 to 15 percent of the total potential call volume of a demographic area (LRG_Indy)
  • Corporate investment in key personnel’s personal preparedness does have an ROI…faster corporate recovery! (dbailey5664)
  • 5 weather disasters costing more than $1B each already hit the US in 2011 so far. (RachelDines)
  • “No test is a bad test as long as you use it to learn and update your BC/DR plans” (RachelDines)
  • @sendwordnow CEO said that out of 168 responses to what impacted your org this year 61% replied weather or natural disaster (roselinda_sros)
  • Love it, @sendwordnow CEO used xkcd comic about twitter moving faster than earthquakes in his #DRJfall keynote. xkcd.com/723/ (RachelDines)
  • First conference session, IMT private sector, initial tasks – we need someone to monitor social media to see what people know (LRG_Indy)

W przyszłym tygodniu w kalendarzu mamy RIMS Canada oraz PCI Community Meeting; polecam śledzenie Twittera „na kanale” #RIMSOTT oraz #PCICM.

 

, , , , , | Permalink