A forgatókönyvelemzés folyamán támaszkodhatunk múltbéli adatokra, illetve a tevékenységek alapján feltárhatunk új kockázatokat is.
Az adatok hiánya nem jelenti feltétlenül a kockázatok hiányát
A kockázatok felmérése így két nagyobb megközelítés együttes alkalmazását követelheti meg:
- A top-down megközelítés elsősorban a kockázatok múltbéli (külső és belső) adatokon alapuló értékelése szerint halad, mely feltételezi, hogy csak a múltbéli jelenségek ismétlődnek.
- A bottom-up megközelítés felméri a lehetséges kockázatokat (folyamatalapú, és forgatókönyv alapú megközelítések), de ezek azonosítás sokszor szubjektívnek tekinthető, és szakértői becslések által meghatározott. Ugyanakkor ez a módszer nagyobb teret ad a kockázatok kezelésének azáltal, hogy a kockázati okok pontosabban azonosíthatóak.
Sok esetben a folyamatalapú elemzés során feltárt kockázatokra nincsen múltbéli adatunk, ezért gondolhatnánk azt is, hogy a feltárt kockázat szervezetünk esetében nem releváns. Tipikusan a ritkán jelentkező, de nagy hatású kockázatok esetében hajlamosak a szervezetek arra, hogy ne foglalkozzanak a lehetséges kockázatokkal (itt hadd idézzem egy informatikai vezető mondását: „minden rendszerünk folyamatosan jól, és megbízhatóan működik, nincs szükségünk megelőző intézkedésekre a működés fenntartása érdekében”). Ez a hozzáállás akár jelentős veszteségeket is okozhat, ha egy adott szervezet nem elemezte kellőképpen a lehetséges kockázatokat, illetve azok hatását. Ez sokszor elpocsékolt pénznek tűnik (beleöltük az időt és energiát, és mégsem jelentkezett a kockázat), de hogy néhány közhelyszerű dolgot megemlítsek: jobb félni, mint megijedni, illetve ha az ember esernyőt visz magával nem esik az eső.
Eszembe jut a y2k problémakör (2000. év problémája) kapcsán a vállalatok viselkedése. Az 1998-99 évek folyamán több informatikai tanácsadó cég is igen jól megélt abból, hogy a különböző vállalatokat felkészítették a 2000. év eljövetelére, amikor bizonyos régebbi rendszerek várhatóan leálltak volna. Eljött a 2000. év, és igazából nem történt semmi (bát láttam egy B kategóriás katasztrófafilmet a témában, ahol majdnem robbant egy atomerőmű). Nagyon sok vállalatvezető felháborodott, hogy az egész csak a tanácsadói ipar nagy hülyítése volt, hogy mindenki ész nélkül költse a pénzét. A tanácsadók pedig széttárták a kezüket, és büszkén hirdették: „Jó munkát végeztünk”. Ez persze egy olyan kockázati kategória volt, melyre nem állt rendelkezésre benchmark, ugyanakkor ismerni lehetett a kockázat létezését. Így utólag tehát nehéz igazságot tenni, hogy csak a tanácsadói szektor jó marketingmunkájáról, vagy valós kockázatelhárításról volt szó. Hogy megvédjem a tanácsadókat meg kell említeni, hogy különösen a pénzügyi alkalmazások esetében sok nem 2000. év kompatibilis megoldás is volt, melyeket ki kellett szűrni. De hogy hozzak ellenpéldát a másik oldalról is: egy telekommunikációs cég esetében a tanácsadók még a fénymásolókat is felmérték, hogy 2000. év kompatibilisek-e, bár ezen eszközök nem voltak éppen üzletmenet kritikusak (bár az elvárások között szerepelt a teljességi vizsgálat szükségessége).
A folyamat alapú megközelítés lehetővé teszi, hogy ne csak múltbéli kockázatokra keressünk adatokat, hanem olyan kockázatokat is számba vegyünk, melyek még nem fordultak elő szervezetünk esetében. Az ilyen kockázatok felmérésére és kezelésére elsősorban a külső adatbázisokból származó adatokat (benchmark) szokták felhasználni. Külső adatok felhasználását az intézményeknek indokolnia kell, illetve a felhasználáshoz kapcsolódó megfontolásokat évente független szakértőnek kell értékelnie. A felhasználás és megbízhatóság kérdése azért is érdekes lehet, mivel több adatbázis is rendelkezésre áll a különböző kockázatokból adódó veszteségek gyűjtésére, és azok tartalma sokszor eltérést mutat. Így érdemes szűrni az adatokat azok relevanciája alapján, illetve vizsgálni azt, hogy a kockázati kategóriák, vagy üzletágak alatt ugyanazt értjük-e, mint az adatbázis üzemeltetői. Célszerű olyan külső adatokat használni, melyek követik a CRD (Capital Requirements Directive) 7×8-as mátrixot eredményező veszteség és üzletágstruktúráját.
Az eloszlásokra alapuló modellek hasznos kiegészítői a folyamat alapú megközelítésnek, illetve az eloszlásokra alapuló megközelítéseket a feltárt kockázati lehetőséggel lehet kiegészíteni. Így a két megközelítés együttes használata lehet a legjobb (bár egyben a legkomplexebb) megoldás. Ezt a megközelítést a szakirodalom Hybrid Measurement Approach-nak (HMA) nevezi, és természetesen csak a fejlett mérési módszert alkalmazó bankok használhatják.
Előrejelzések
A folyamatalapú megközelítés hozzájárul a kockázatokra vonatkozó indikátorrendszer meghatározásához is. A folyamatokhoz, illetve az ott megjelenő kockázatokhoz kulcs kockázati indikátorokat (Key Risk Indicators – KRI) rendelhetünk, melyek változásával, illetve figyelembevételével becsülhetjük a kockázatokat. Pl: ATM rablások, munkaerő fluktuáció aránya, ügyfélpanaszok száma, szolgáltatások rendelkezésre állása
Ezen indikátorok mintegy füstérzékelőként működnek: jelzik a füstöt, de nem tudjuk, hogy ég az épület, vagy pedig csak odaégett a kenyér a pirítóban? Ennek kiderítése mindig külön vizsgálatot igényel, de „jobb félni, mint megijedni”. Mindenesetre akkor van csak lehetőségünk a kockázatok felmérésére és kezelésére, ha tisztában vagyunk az üzleti folyamatokkal és azok összefüggésrendszerével.
Ebből következően egy adott indikátor többféle kockázatot is előre jelezhet, illetve az indikátorokat nem egyesével, hanem azok együttesének elemzésével szükséges értelmezni.
Megjegyzendő, hogy a kulcs kockázati indikátorok előrejelző képessége (mely véges) nem biztos, hogy minden kockázatot megfelelően lefed. Ne ringassuk magunkat abba a hitbe, hogy az indikátorok kialakításával kezeltük is a kockázatokat: egyrészről a teljesség sok esetben kérdéses, másrészről a működés, és ezzel együtt a kockázatok is változhatnak. Ugyanakkor a kulcs kockázati indikátorok használata nagy mértékben javíthatja a szervezetek kockázatkezelési lehetőségeit.
Tudás és Menedzsment 