A működési kockázatok kezelésének kétféle megközelítése

Tegnap egy megbeszélésen került előtérbe, hogy milyen megközelítési módjai is vannak a működési kockázatok azonosításának és értékelésének. A működési kockázatok modellezésének célja, hogy a kockázatok megfelelőképpen mérje, illetve hogy a kockázatokra elegendő tőkét határozzon meg.

Top-down megközelítés

A megközelítés keretében a kockázatszámítás alapja a múltbéli veszteségadatok számbavétele, azok aggregálása. Ennek keretében modellezzük az időegységre jutó veszteség értékét, illetve a veszteségeloszlást. Ezt a megközelítést LDA (Loss Distribution Approach) néven ismerik.

Az összegyűjtött és elemzett veszteségadatokat statisztikai módszerekkel lehet vizsgálni (eloszlások azonosítása, paraméterek becslése, illeszkedésvizsgálat).

A megközelítés lehetővé teszi, hogy múltbéli kockázati eseményeket azonosítsunk, és ezek jövőbeli előfordulására felkészüljünk. Problémát az jelent, hogy míg a gyakori, de kis hatású kockázatok felmerülése viszonylag jól becsülhető, addig a ritka, de nagy hatású kockázatok igen rosszul becsülhetőek. Az ilyen események becslésekor már érdemes szimulációkat is futtatni, az általunk kialakított modelleken.

A modellépítés ugyanakkor már átvezet a másik megközelítés alkalmazási területére.

Bottom-up megközelítés

A megközelítés alapja, hogy felmérjük az összes lehetséges kockázatot. A Top-Down megközelítéshez képest az előnye abban áll, hogy a felméréssel nem csak a kockázatok értéket tudhatjuk meg, hanem pontosan (az előző módszerhez képest jóval pontosabban) meghatározhatjuk a kockázatok helyét, azok lehetséges okait, illetve feltárhatjuk azokat a kockázatokat is, melyekkel a szervezetnek még nem kellett szembesülnie.

A kockázati értékelés egyik fontos eleme a forgatókönyv- (szcenárió-) elemzés. Ekkor meghatározzuk a lehetséges kockázatokat, azok összefüggéseit, majd felállítjuk a lehetséges forgatókönyveket: legtöbbször optimista, normál és pesszimista megközelítéseket. A háromféle lehetőség vizsgálatára azért van szükség, mivel a kockázatok értékelése eleve becslésen alapul, és maga is bizonytalanságot (kockázatot hordoz). Így a különböző forgatókönyvek hivatottak az ebbéli bizonytalanságot tükrözni.

Ez véleményem szerint egyfajta bottom-up megközelítésnek számít, és a Basel-II iránymutatók alapján külön kategóriaként kezelt SBA (Scenario Based Approach) megközelítés, melyet legtöbbször leszűkítik a stresszesemények (kockázatok) értékelésére, illetve ezekre épített modellre. Ez a top-down megközelítéssel jelentős átfedést mutat. Véleményem szerint a folyamatmodellezésre épülő statisztikai megközelítés jelentené ugyanakkor az LDA és SBA megközelítés hiányzó kiegészítését.

"While LDA models tend to be built on actual loss data and SBA approaches usually rely on constructed (i.e. scenario generated) data, in practice the two methods usually overlap. Hybrid approaches are commonly found, with actual loss data often enriched by constructed data and vice versa."

(forrás: CEBS)

Természetesen mindkét modellnek megvannak a maga előnyei és hiányosságai, ezért logikusnak tűnne, hogy a két megközelítés kombinációját kelljen megvalósítani. Ugyanakkor pont itt érhető el a különbség: míg a top-down megközelítés viszonylag jól számolható, és becsülhető (bár nem deríti fel az okokat), addig egy pontosabb és körültekintőbb bottom-up megközelítés jelentősebb energiabefektetést és munkát igényelne.

Amennyiben a folyamat alapú kockázatfelméréshez már konkrét modelleket, becsléseket (SBA) tudunk megfogalmazni, úgy kockázatfelmérésünk pontosabb lehet. Hátránya ennek idő és energiaigénye, ráadásul nagyobb energiát inkább csak a nagyobb kockázatokra érdemes fordítani (és érdemes itt is szem előtt tartani a 20/80 szabályt).

Működési kockázatok értelmezése

Első kérdésként azonnal felmerülhet, hogy mit is értünk működési kockázat alatt, illetve milyen más jellegű kockázatokkal kell még foglalkoznunk?

Kockázat minden tevékenységünkhöz kapcsolódhat, sőt kapcsolódik is. A kockázatot általában negatív értelmezési keretben használjuk, azaz valamilyen jövőbeli veszély, veszteség bekövetkezésére használjuk. Általánosabb értelemben a kockázat nem más, mint a jövő kiszámíthatatlansága, bizonytalansága (és ebben az értelmezésben pozitív kockázatról, azaz a nyereség lehetőségéről is beszélhetünk).

A működési kockázatok értelmezése elsősorban a pénzügyi szektorokban élvez kiemelt figyelmet a Basel II szempontrendszer alkalmazása miatt. A Bázeli Bizottság értelmezésében a „működési kockázatok az emberek, belső folyamatok, a rendszerek nem megfelelő, vagy hibás működése, illetve külső tényező által előidézett veszteségek kockázata”.

A lehatárolás miatt el kell választanunk a banki hitelezési gyakorlathoz (hitelezési kockázat), illetve a piac megváltozásához (piaci kockázat) kapcsolódó, a Bázeli Bizottság által is kiemelt kockázatokat. Persze emellett minden más terület kockázatát is megemlíthetnénk.

A pénzintézetek működési kockázataihoz kapcsolódóan hét veszteségi kategóriát lehet megemlíteni, melyekért együtt, vagy külön-külön felelőssé tehető a négy kockázati terület:

1. Belső csalás (emberek, rendszerek): A belső előírások megsértése, ahol legalább az egyik érintett fél a szervezet dolgozója. Beletartozik az eljárási szabályoktól való eltérés, jogkör bitorlás, belső lopás vagy csalás. Ilyenek lehetnek a felhatalmazás nélküli döntések vagy a bennfentes kereskedelem.

Belső csalásra talán a legaktuálisabb példa a Société Générale-nál elkövetett csalás.

2. Külső csalás (külső tényezők, rendszerek, folyamatok): Jogszabályok és törvények kijátszásával, külső fél által okozott veszteség. Beletartozik a számítógépes rendszerek kijátszása, a szervezeti folyamatok kijátszása, illetve a szervezet becsapása (pl. okirat hamisítás). Pl. Lopás, rablás, számítógépfeltörés, illetéktelen hozzáférés megszerzése, bankkártya csalások. "Külső tényezők

Ehhez a területhez kapcsolódik a közelmúlt egy híre, amikor egy volt ügyvéd hamis bírósági ítéletekkel nyújtott be inkasszót gazdasági társaságok számláival szemben, és cégenként 8-9 millió forintot próbált megszerezni. Mivel korábban már voltak ilyen esetek, ezért a pénzintézetek nem fizették ki automatikusan a kívánt összeget, hanem ellenőrizték az ítéletek valóságtartalmát, és így az elkövető lebukott.

3. Dolgozói tevékenység és munkahelyi biztonság (Folyamatok, emberek): A munkakörülmények, illetve a foglalkoztatás szabályainak megsértése, munkahelyi balesetek, sérülések, nemi, faji vagy bármilyen jellegű diszkrimináció, az egyenlő bánásmód problémái, szexuális zaklatás. Pl. Munkahelyi sérelemért kompenzáció fizetése, büntetés az előírások megsértéséért.

A közelmúltban Nagy Britanniában a City bankot perelte be egy volt dolgozója, akit érvelése szerint a szülési szabadsága után kilépésre kényszerítettek. Az nemi diszkrimációs ügy tétje 1-2 millió font közötti kártérítési összeg. Az eset szerint Ms. Tofeji 2004 végén jelentette be, hogy szülni fog, és innentől kezdve a vezetőség nem bánt vele már megfelelően, sőt ennek tulajdonítja a 2004. évi jutalmának elmaradását is. A gyermek születése után (akit egyedül nevel) kénytelen volt meghosszabbítani szülési szabadságát, míg végül a hét négy napjára talált gondozási lehetőséget gyermekének. Ekkor szerette volna, hogy banki munkaidejét 4 napot tölthetné el. A bank férfi vezetői ezt nem támogatták, az ötnapos munkahét mellett érveltek, de nem hivatalosan kilépésre biztatták. (Financial Times and Guardian, April 17, 2007)

4. Ügyfelek, termékek és üzleti tevékenység (folyamatok): Az ügyfelek felé vállalt kötelezettségek nem szándékos (gondatlan) megszegése. Sokszor fogyasztóvédelmi vonatkozásai is vannak. Pl. Hitelkártya limit túllépés véletlen engedélyezése, vállalt határidőből való kicsúszás, ügyfélnyilvántartás hiányosságai.

5. Fizikai eszközök sérülései (rendszerek): Eszközök, elsősorban az informatika infrastruktúra sérülése és működésképtelensége. Természeti, vagy ember okozta katasztrófahelyzetek. Pl. szerverterem beázása áradás miatt, terrorcselekmény hatásai, építési tevékenység miatti sérülés.

Sajnos napjainkban mind a természeti katasztrófák, mind a terrorista támadások élő veszélyt jelentenek, és nagyon sok cég fel is készül ilyen helyzetekre. A 2001-es World Trade Center elleni támadás az emberáldozatok mellett az informatikai infrastruktúrát, sőt cégek adatait is megsemmisítette. Sok esetben ugyanakkor a biztonsági mentéseknek köszönhetően a működés néhány nap (vagy például a Deutsche Bank esetében 2 óra) elteltével már zavartalanul folyt.

Miami-ban inkább a hurrikánok jelentenek veszélyt. A Banco Santander Central Hispano egy a világ tíz legnagyobb bankja közül. Miami központja nem csak turistalátványosság, hanem egyben a hurrikánok által veszélyeztetett területek egyik kiemelt helye. 2004-ben például a sorozatos hurrikánok 4-szer is leállásra kényszerítették a Miami-ban található adatközpontjukat. Ugyanakkor a veszélyhelyzetre felkészülve háttér szolgáltató központot építettek ki New-York-ban, így a hurrikánveszély ellenére is tudtak foglalkozni ügyfeleikkel.

6. Rendszerek és üzleti tevékenységek megszakadása (Rendszerek): Rendszer meghibásodásból származó üzletmenet megszakadás, alapvetően az informatikai rendszerek hibája: hardver, szoftver, telekommunikáció. Pl. Számlavezető szerverek meghibásodása, ATM vezérlő adatbázis leállása.

Sajnos a hírekben is gyakran hallható, ha egy bank ATM rendszere nem működik, melyet általában valamilyen központi szerver, alkalmazás vagy adatbázis hiba okoz. Nemrégiben a Barclays Bank volt kénytelen szembesülni ilyen problémával, mely fél Nagy Britanniát megbénította. A hírek szerint a problémát egy adatbázis szoftver frissítése okozta, bár a bank az esetet áramszünetre fogta. Az mindenesetre tény, hogy nem gondoskodtak megfelelően a kieső informatikai szolgáltatás kiváltásáról.

7. Folyamatok irányítása, biztosítása és végrehajtása (Folyamatok, rendszerek, emberek): Nyilvántartási tévedések, végrehajtási problémák. Pl. Hibás adatbevitel, könyvelés, külső adatszolgáltatás elmaradása, beszállítói kapcsolatok.

Természetesen egyes esetekben ezen veszteségi kategóriák áttételesen is jelentkezhetnek, több kockázati terület együttes fellépésével. Így akár a külső és a belső tényezők egyszerre jelentkezése nagyobb hatású veszteséget is előidézhet.

A Barings Bank esetében a Nick Leeson által végrehajtott belső csalás, illetve a külső piaci mozgások együttesen eredményezték a veszteséget, de a közelmúlt Société Générale ügyében is a csalás felderítésekor meghozott lépések nem voltak éppen a legjobban időzítve, így növelték a veszteséget.

After Action Review az amerikai hadseregben

Kezembe került egy cikk az amerikai hadsereg tudásmenedzsment gyakorlatáról. Az amerikai hadsereg már régóta úttörője a tudásmenedzsment megoldásoknak, már csak azért is, mert itt nem (csak) pénzről, hanem főként emberéletekről van szó.

Még 2000 környékén Nancy Dixon így foglalta össze az azóta már sok vállalat esetében példaként tekintett After Action Review lényegét:

1994-ben, amikor az amerikai hadsereg megérkezett Haiti-re, egyik feladatuk az volt, hogy begyűjtsék a lázadó városokból a fegyvereket és lőszereket. A bevezetések után kiértékeléseket tartottak, melyeket After Action Review-nak (AAR) nevezünk. Az ilyen kiértékelések célja a tapasztalatok összegyűjtése, és a végrehajtási képesség javítása.

Egy ilyen kiértékelés során egy szakasz katonái megállapították, hogy jelentős ellenállással kell számolni. Egy katona megjegyezte, hogy csak kevés kutyával találkozott a városban, míg egy másik hozzátette, hogy a lakosság nagyon fél a német juhászkutyáktól, melyeket a katonai rendőrség használ. Egy harmadik katona azt javasolta, hogy a következő városban talán magukkal kellene vinni néhányat a katonai rendőrség kutyaállományából, hátha csökkenthetik ezzel az ellenállást.

A következő – már sokkal sikeresebb – bevetés után a szakasz újabb kiértékelésre gyűlt össze. Ezen megállapították, hogy a helyiek sokkal inkább együttműködtek a katonákkal, amikor otthonaikban voltak, mint amikor az utcán találkoztak velük. A rákövetkező kiértékelésen kiderült, hogy a haiti lakosság nagyon tiszteli a nőket. A szakasz úgy döntött, hogy női egységvezetőket kell kinevezni, és a lakosság előtt különös tisztelettel viselkednek a női vezetőkkel.

Az új ötletek beépítésével minden egyes bevetés során a szakasz egyre hatékonyabban volt képes ellátni feladatát.

Dixon ezt az átadási formát „folyamatos átadásnak” nevezte, mivel itt általában ugyanaz a csoport a tudás felhasználója, mint aki a létrehozója. Valójában ez nem is átadás, hiszen a tudást nem kerül ki a csoportból, csupán újra felhasználják. Ennek a feladatnak az eléréséhez szükséges, hogy a csoport tagjai, és maga a csoport felismerje és rögzítse azt a tudást, mely elősegítheti a későbbi munkát. Ennek egy módszere lehet a feladat végzése közbeni, és a lezárást követő megbeszélések, ahol a csoporttagok igyekeznek a tapasztalatok alapján a tudás szintetizálni. A teljes hatékonyság eléréséhez szükséges, hogy a csoport tagjai tényleges csoportot alkossanak, és ne mindenki egyedileg értse meg a problémák és megoldásaikat, hanem azokat együttműködés folyamán is alkalmazni tudják.

A folyamatos átadást elősegítő megbeszélések elsősorban a csoporttagoknak szólnak, így azokat célszerűen egy csoporttag szervezi (akár rotációs rendszerrel). Ez a megoldása elősegíti azt, hogy a megbeszélések akkor legyenek, amikor igazán szükség van rájuk, és ténylegesen azok vegyenek rajta részt, akik érintettek a témában. Ennek megfelelően a megbeszélésekről írásos feljegyzés nem készül, vagy ha mégis, akkor az is csak helyi felhasználásra.

Ez a momentum pont az egyik nagy különbség az AAR módszerek, és más kiértékelési megközelítések (debriefing, project audit/review, sing-off report, stb.) között. Ebben az esetben nem a felelősség keresése, teljesítmény értékelése a cél, hanem hasznosítható tudás kinyerése. Éppen ezért nem is szabad keverni más ilyen módszerekkel, mert csak zavart okoz, és így végső soron hátrányt jelenthet a tudásmegosztás szempontjából.

A különbséget a tudásmenedzsmentben úttörő szerepet játszó Buckman Labs is felismerte:

Robert Buckman visszavonulása után a cég vezetését Steve Buckman vehette át, illetve 2000-ben Katherine Buckman lett az igazgatótanács elnöke. A vezetőváltással együtt új vezetési szemlélet kezdett meghonosodni, mely elsősorban a munkafolyamatok egységesítésére és fejlesztésére fókuszált. A cél az volt, hogy az eladási folyamatok minél egyszerűbbek, ugyanakkor egyre hatékonyabbak legyenek.

A folyamatok fejlesztésére a Buckman Laboratories meghonosította az „After Action Review”-k rendszerét, melynek működését az Amerikai Hadsereg, a BP és a Sprint szervezeteknél tanulmányozták. A megoldás lényege, hogy minden egyes végrehajtott feladat után értékelik az elvégzett feladatot, számba veszik a sikeres és sikertelen tevékenységeket, és igyekeznek a tapasztalatokat összegezni. Az ilyen áttekintések során nem cél az egyéni teljesítmény értékelése, sokkal inkább a szervezeti tanulás megvalósítása.

Természetesen az átadási keretek tágításával a hatékonyság növelhető. Mivel egy ilyen bevetés utáni kiértékelésen azért hangozhat el sok vélemény, mert ezeket a véleményeket nem továbbítják hivatalos jelentésben, ezért nehéz megtalálni azt az egyensúlyi helyzetet, amikor a tudást sikerül is kinyerni, és továbbítani is. Így tehát ezekről a megbeszélésekről a fejlődés érdekében szükséges valamilyen feljegyzést készíteni.

2007 januárjában az amerikai hadsereg egyik elemzője, aki a Center for Army Lessons Learned (CALL ~Katonai tapasztalatok központja) keretében tevékenykedett, felfigyelt arra, hogy a Fort Drum laktanyában a katonák kampókat hegesztenek a gépjárművek ajtóira, mely nagy segítséget jelent akkor, amikor egy robbanásban megsérült gépjárműből kell a katonákat kiszabadítani. Az elemző rájött arra, hogy ez a tapasztalat szélesebb körben is hasznos lehet (főleg Irakban és Afganisztánban, ahol az ilyen támadások mindennaposak). Hogy ez a tudás átadható legyen a katonák segítéségét kérte: együttesen dokumentálták az előállítási és felszerelési folyamatot, melyet fényképekkel is illusztráltak. Az így előálló használati utasítást elérhetővé tették a hadsereg belső információs rendszerében, és már 48 órán belül használták is ezt a megoldást más hadseregcsoportok.

A CALL hálózatot 2006-ban hozták létre, pont a tudásátadás hatékonyságának növelése céljából. Ez első évben már 15 000, a fentihez hasonló ötletet sikerült megosztani, melyek közül 4 000 beépült a mindennapok gyakorlatába. Amikor egy elemző új tapasztalatot, ötletet tölt fel, erről a rendszer felhasználói értesítést kapnak, de persze a megoldások strukturáltan, és keresővel is elérhetőek. (Az egész megoldást MS Sharepoint alapokon építették fel, tehát még nagyon speciális technológiát sem kellett alkalmazni)

A megoldás sikeréhez hozzájárult az a 200 elemző, akik minden laktanyában, és sok bevetési ponton is jelen vannak, hogy a hadsereg tapasztalatait összegyűjtsék. Ezek az elemzők maguk is katonák voltak, így a hadsereg működése, és a megoldások értékelése nem okoz számukra nehézséget, sőt így nem csak a katonák, hanem a katonai vezetők is elfogadják ezeket az ötleteket. Az elemzők a legjobb ötleteket kivonatolják, a katonai vezetőknek közvetlenül is eljuttatják (feltételezve, hogy ők nem csüngenek egész nap a tudásmegosztó rendszeren).
A hadsereg köreiben eleinte nem tetszett nagyon a megoldás, mivel a hibákat (melyekből szintén sokat lehet tanulni) nem akarták sem megosztani, sem névvel ellátni. Az elemzők feladata így kiegészül az anonimitás biztosításával, illetve az általánosítható tapasztalatok megfogalmazásával is.

A „lessons learned” adatbázis építése érdekes módon az elmúlt években elsősorban a kockázatkezelési megoldásokhoz kötődik: azaz kerüljük el, hogy a már egyszer elkövetett hibáinkat újra megismételjük:

„Although the private sector does not mirror the Army’s strict command-and-control discipline, regulators are demanding that companies become more responsible and accountable. The Sarbanes-Oxley Act, which overhauled corporate governance in the aftermath of scandals at companies like Enron and WorldCom, and, more recently, the 2006 amendments to the Federal Rules for Civil Procedure, which address the discovery of electronically stored information, call for information audit trails to make certain that numerous departments within a company are aware of the organization’s activities, starting at the board level and touching on everything from finance to research and development.

A CALL-like system would encourage openness among the various business units. By setting up a formalized process for sharing ideas company-wide — the success stories and the failures — executives could introduce greater accountability to their company’s culture. As the first generation to grow up networked and collaborative in their social and educational lives moves into the work stream, sharing lessons learned across organizations — public or private — will become all the more plausible and necessary.”

(Idézet a cikkből)

A Société Générale ügy

A ritka, de nagy hatású operatív kockázatok közé sorolható az a fajta veszély, melyet egyes bankok belső alkalmazottai követhetnek el. Különösen érdekes esetnek tekinthető a közelmúlt Société Générale bank esete (ld. HVG 2008. január 30).

A bank tisztában volt az operatív kockázatok fontosságával. De ugyanennyire tisztában volt vele Jerome Kerviel is, aki korábban épp a kockázatkezelési osztályon dolgozott. Így ismerhette az ellenőrzési szabályokat, illette ismerte azokat a megoldásokat is, melyekkel ezek a szabályok kijátszhatóak.

Kerviel 2005 óta kötött fiktív határidős ügyleteket, megtévesztve a belső ellenőrzési rendszert, és ezt be is vallotta. Ráadásul még azt is állította, hogy nem ő az egyetlen alkalmazott, aki a saját szakállára (de nem feltétlenül a saját hasznára) dolgozik. Kerviel hamis kliensszámlákat felhasználva egymásra épülő határidő üzleteket kötött, az általa felépített pozícióit elrejtette, és úgy tűnik, hogy igazából maga a bank sem akarta nagyon megtalálni. A bank automatikus rendszerei többször is kiadták a riasztást, és ekkor Kerviel felettesei számon is kérték a történéseket (főleg, mivel túllépte az engedélyezett összegeket), de ilyenkor mindig sikerült hamis dokumentumokkal igazlnia, hogy ügyletei nem jelentenek kockázatot a bank számára (ráadásul: "...az Eurex derivatív tőzsde már novemberben jelezte a bank vezetésének, hogy a kereskedő kockázatos ügyletekbe bonyolódott, de Kerviel kimagyarázta magát" - írja a Napi Gazdaság). Ebbe beletartozott az a hamis portfólió is, mely elvileg fedezte a kockázatosabb ügyleteket.Az ügyészség hamisításért, hamisított okiratokkal való visszaélésért és informatikai adatok automatizált rendszerébe történő behatolásért indított eljárást.

Mik az eset tanulságai?

• Az emberekhez köthető kockázatok nem mindig egyéni haszonszerzés céljából történnek. Kerviel annak ellenére nem a saját zsebére dolgozott, hogy fizetése ebben a szakmai körben nem volt kiemelkedő, egyszerűen szerette volna bebizonyítani, hogy kivételes képességű bróker.
• Az eset rávilágít arra, hogy hiába van tisztában egy bank az operatív kockázatokkal, nem biztos, hogy mindent megtesz ezek kivédése érdekében. Sőt, az intézmények sok esetben tudatosan vállalnak bizonyos fokú kockázatot, mivel félnek, hogy a túlzott ellenőrzés és kontroll megöli a kezdeményező kedvet. Lehet, hogy itt is erről volt szó?
• Hiába használ egy intézmény informatikai rendszert a kockázatok felderítésére, ha ezeket hagyományos eszközökkel ki lehet játszani. Hogy fordulhat elő, hogy hamis okiratok fedezik az ügyleteket? Bár elvileg minden tranzakció az informatikai rendszereket keresztül folyik (és mindennek nyoma van), úgy tűnik még mindig nem elég erősek a szabályok.

Megjegyzés: nem tudhatjuk, hogy mennyi kárt okozott Jerome Kerviel, de egyes hírek szerint a 4,9 milliárd eurós veszteség egy része nem is az ő nevéhez fűződik, csak éppen kapóra jött, hogy valakire rá lehet kenni a többi problémát is. Mert ugyan melyik pénzintézet szokta megszellőztetni az ilyen jellegű problémáit? A lebukott alkalmazottaktól sokszor titokban vesznek búcsút, anélkül, hogy a veszteségek nyilvánosságot kapnának. Az ilyen kirívó eseteket évekig példaként lehet felhozni a kockázatkezelési feladatok hiányosságaira és fontosságára.

Vállalati szociális háló alkalmazás használata

Kapcsolódva a korábbi social-network témához. Most olvastam egy kezdeményezésről, melynek célja, hogy vállalati social-network eszközt alkalmazzanak, mely segítségével "össze lehet kapcsolni olyan embereket, akik sosem találkoztak, megoszthatják a gondolataikat[stb.]. Ez hozzájárul az elégedettség növeléséhez, illetve a részvétel fokozásához."

A korábbi írásban már idéztem a McKinsey féle megközelítést, hogy formalizáljuk ezeket a hálózatokat. Ha egy laza hálózatot csinálunk, akkor is ennek inkább olyan célt tűznék ki, hogy fogjuk össze az embereket, és támogassuk őket a kommunikácóban. Ebben talán nagyobb szerepe lenne egy nyilvános blognak (vagy bloghálózatnak témaspecifikusan), vagy a vállalati intranetre épülő discussion fórumnak, vagy wikinek.

Egy szociális hálózat eszköz nem biztos, hogy megteremti az ismeretlen emberek közötti kapcsolatot, hiszen pont az a célja, hogy ismerőseinkkel kapcsoljanak össze. Nem fogunk ismeretlen kollégákat felvenni az ismerőseink körébe. Ráadásul a kommunikáció általában nem is a social-network megoldáson keresztül történik (mindenki gondolja csak át a saját példáján keresztül: lehet, hogy az első 1-2 kapcsolat ott kerül kialakításra, de utána már a szokásos levelezőrendszerét használja az ember).

Egy szociális háló alkalmazást persze lehet (sőt akár célszerű is), mintegy tudástérképet használni, de ehhez ezt ki kellene egészíteni a munkavállalói profilokkal. Ennek persze megvannak a maga kihívásai: Mindenki azt tölt fel, amit akar, vagy a HR kezelésébe helyezzük a kérdést? Esetleg az éves értékelések részeként a kollégáktól kérdezzük meg mások tudásprofilját? Vagy ennek egyfajta kombinációját használjuk? Mindenféle módszernek megvannak az előnyei és hátrányai, ez persze az elvárásoktól függ.

Személyes véleményem szerint nem kell azért túldimenzionálni a social network megoldások szerepét. Népszerű web2-es alkalmazásokat bevonni a vállalati működésbe, de nem minden kontroll nélkül. Így a szociális hálózatokat támogató megoldások első körben nem tartoznának a fő megoldások közé. A blogok, wikik, esetleg még a videomegosztás is hasznos lehet, ugyanakkor mindent egy tudatos tudásmenedzsment stratégia körében valósítanám meg. A blogok, wikik lehetnek az informális tudáscsere részei, míg egy tudatosan felépített tudásbázisba érdemes lehet összegyűjteni az ezekben megjelenő best practice-ket. Már csak azért is, mert az informális tudáscserét támogató megoldások strukturáltsági foka alacsony, és nem minden információ jut el oda, ahova szánták. A decentralizált megoldások mellett igenis szükséges a központi kezelés, hogy szűrt és validált információkat alacsony tranzakciós költség mellett (=energiabefektetéssel) meg lehessen szerezni.

Pénzintézetek operatív kockázatai

A pénzintézetek számára mérvadó Basel II ajánlásrendszer 2004-es publikálása, annak 2006-2007 folyamán történő európai elfogadása óta a pénzintézetek egyre nagyobb figyelmet fordítanak a tevékenységükhöz kapcsolódó kockázatok azonosítására, mérésére és kezelésére. Persze nem csak a szabályozási környezet kényszeríti ki ezen elvek alkalmazását, hanem a pénzügyi piacok globalizációja, illetve azon csalások, melyek a pénzintézeteknek jelentős károkat okoznak. Gondoljunk csak a közelmúlt Société Générale csalására, amikor is 4,9 milliárd euró veszett el egy alkalmazott szabálytalan tranzakciói miatt.

A Basel II direktíva a kockázatkezelés és a pénzintézeti tőkemegfelelés kérdéskörét igyekszik az iparági legjobb gyakorlatok felhasználásával segíteni. A kockázatkezelési portfolióban meg kell különböztetnünk a működési, hitelezési és üzleti kockázatokat. Míg a hitelezési kockázatok kezelésére vonatkozólag jelentős tapasztalat áll rendelkezésre, addig a Basel II megközelítésében is újdonság, hogy a működési (operatív) kockázatok külön kerülnek kezelésre.

Az operatív kockázatok között a hagyományos PPT modell (people, process, technology) elemei mellett szerepet kap a külső környezet fenyegetése is.

Bár a Basel II megközelítésében a működési kockázat elválik a hitelezési és piaci kockázattól, a működési kockázatok mégis minden pénzintézeti tevékenység (így pl. a hitelezési folyamatok) részét képezhetik. Miközben a működési kockázatok a végrehajtási szintet vizsgálják, addig a más kockázatok a piaci, vagy ügyfélkörhöz kapcsolódó bizonytalanságokkal számolnak. Így a működési kockázatok elemzése és kezelése jelentős mértékben kiegészíti más kockázatok elemzését.

A működési kockázatok kezelését érdemes folyamatmodell mentén végezni: a pénzintézeti folyamatok feltérképezésével nem csak a sebezhető pontok (informatikai rendszerek, szabályozási hiányosságok) azonosíthatóak, hanem a folyamat maga is racionalizálható, ellenőrzési pontok beiktatásával biztonságosabbá, ugyanakkor hatékonyabbá is tehető. A folyamatrendszer kezelésének automatizálásával, illetve az egyes tevékenységekhez kapcsolódó adatok elemzésével a kockázatok (és hibák) könnyen azonosíthatóvá, így kezelhetővé válnak.

Megjegyzendő, hogy egy működési kockázatokat kezelő rendszer kiépítése korán sem egyszerű, és koránt sem gyors folyamat. A pénzintézetek legtöbb esetben tanácsadó cégek segítségét veszik igénybe, hogy kiépítsék ezt a rendszert. Ez elég racionális döntés, mivel a szakértőket elég bérbevenniük, mintsem állományba.

Az IT Business 2008. 7. számában jelent meg egy cikk, mely a tanácsadók szükségességéről értekezik. Ebben Szalkai Gergely a Credigen IT vezetőjének véleménye szerint "nagyobb, profilt vagy a működést technológiai szempontból is érintő változás esetén kell tanácsadóhoz fordulni segítségért". A pénzintézetek esetében arról van szó, hogy olyan új kockázati terület kezelését kell megoldani, mellyel eddig nem foglalkoztak, sőt nem is igazán kívántak foglalkozni.

Ugyanakkor tanácsadók alkalmazása kihívást is jelent: egy pénzintézet érdeke, hogy életképes kilépési (exit) stratégiával rendelkezzen egy ilyen projekt esetében is: a projekt folyamán a pénzintézetben ki kell jelölni a kockázatmenedzsment felelőseit, és az ő aktív bevonásukkal kell végrehajtani a projektet. A projektfolyamat során a tanácsadók által alkalmazott módszereket, megközelítéseket át kell venniük, majd a projekt lezárulta után alkalmazni.

A már említett IT Business cikkben Futó Iván, a Budapesti Corvinus Egyetem professzora úgy vélekedik, hogy "a projekt során erőteljesen törekedni kellene arra, hogy a belső munkatársak mindazt a tudást megszerezzék, amelylyel a működtetést és az esetleges későbbi módosításokat már külső támogatás nélkül is el tudják végezni. Amennyiben erre nincs mód, akkor azonban már áttévedünk az outsourcing területére."

Hálózatok formalizálása

Kicsit folytatva az előző gondolatot, most a formális, illetve a formalizált hálózatokról szeretnék írni.

A hálózati kapcsolatok formalizálásával, illetve ezen kapcsolatok koordinálásával igyekeznek a vállalatok a tudás áramlását nem csak szabályozni, hanem hatékonyságát is növelni.

A formalizált hálózatoknak már megvan az az előnye, hogy láthatóak a vezetők számára, és így kezelhetőek is.

Tévedés lenne ugyanakkor azt gondolni, hogy a formalizált hálózatok kiváltják, illetve megszüntetik az informális hálózatokat. A szervezeti struktúrába és folyamatokba illeszkedő megoldások mellett mindig is lesz egyfajta informális struktúra, akik tetszik ez a vezetőknek, akár nem. Ugyanakkor bizonyos kapcsolatok formalizálása (gyakorlati közösségek, szakmai területek, együttműködési területek) a hálózatok feltárása nélkül is hasznos, sőt, szükséges is lehet.

A már idézett McKinsey tanulmány szerint a formalizált hálózati kapcsolatok esetében lehetőség van célzott továbbképzés nyújtására, illetve a hálózatokhoz formális vezetőt is lehet rendelni.

Az eddigiek alapján akkor most vegyünk egy mély levegőt, és gondolkozzunk el azon, hogy érdemes-e formalizálni ezeket a hálózatokat:

1. Szakmai közösségek összefogása hasznos egy szervezeten belül, mivel elősegítjük a szükséges tudás és tapasztalat megosztását a dolgozók között. Ugyanakkor ezt nem azért kell tennünk, hogy kiváltsuk az informális hálózatokat, ez amúgy is logikus érdekünk. A hálózati közösségek kommunikációját támogathatjuk blogokkal, wikikkel, csoportmunka szoftverekkel, levelezőlistával, fórummal, virtuális együttműködési környezettel, szociális háló szoftverekkel, szóval igen sok megoldással. Természetesen ezen megoldások sokszor a hálózati kapcsolatokat szolgálják ki, és az együttműködés maga is egy formalizált hálózat.
2. Tapasztalataim szerint kimondottan a hatékonyság ellen hat, ha egy formalizált hálózatot túlzottan szabályozni akarunk. A hálózati kapcsolatok egyik sajátos motiváló ereje, és tudásmegosztó ereje, hogy nincs erős kontroll, erős szabályozás (mondjuk vezető). A kontroll, vezetői figyelem, vagy irányítás visszafolytja a tudásmegosztási motivációt, és visszafogja a hozzájárulásokat is. Az amerikai hadseregben alkalmazott After Action Review egyik elve, miszerint bármi elmondható (és bármilyen formában) lehetővé teszi a szabad tudás és véleménymegosztást. Inkább a McKinsey tanulmánynak azzal a megközelítésével értenék egyet, miszerint egy ilyen vezető nem is vezető, hanem sokkal inkább egy koordinátor, vagy támogató.
   
3. A formalizált hálózatok mellett mindig jelen lesznek az informális hálózatok, legfeljebb szervezeti kontroll nélkül. Ekkor mégis jobb lenne, ha lenne valami kerete ennek a szervezeten belül (pl. fórumok, levelezőlisták, blogok), amit a dolgozók szabadon használhatnak, nem nyilvánosak a külvilág felé, ugyanakkor nincsenek struktúrába szorítva. A Buckman Labs egy egyszerű fórum megoldást alkalmaz. Ha valakinek van egy problémája, beírja a fórumba, és várja a válaszokat. A formalizálás nem ebben a kapcsolatban jelentkezik, hanem abban, hogy az így szerzett válaszokat igyekeznek külön strukturálni, és egy tudásbázist felépíteni belőlük.
4. A hálózatok formalizálása esetén csak a meglévő hálózati kapcsolatokat lehet így kiépíteni egy szociális háló alkalmazással. Új kapcsolatok kiépítésére, ismeretlenül is a szakmai együttműködésre alkalmasabbak lehetnek a fórumok, wikik, vagy a belső blogok.
   

A hálózati kapcsolatok szerepe

2005-ben a Közgáz adott helyt egy nemzetközi konferenciának, mely a hálózatok gazdaságáról és menedzsmentjéről szólt. Ezen a konferencián én a tanácsadó cégek tudásmenedzsment gyakorlatáról beszéltem.

Mégis inkább egy másik előadás maradt meg bennem, amelyhez felkértek, hogy hivatalosan 10 percben mondjak majd róla véleményt. Ez David E. Hojman előadása volt, aki a Chilei borászok hálózatairól beszélt. Elmondta, hogy míg a borászatok között erős a konkurenciaharc, és sem formális, sem informális együttműködések nem alakultak ki közöttük, addig borászaik között igen erős informális kapcsolatrendszer alakult ki: megosztják tapasztalataikat, ötleteiket, támogatják egymást a munkakeresésben (ha szükséges). Mindaz a tudás, ami szükséges lehet a borászati gyakorlat fejlesztéséhez, egy ilyen informális hálózaton keresztül került átadásra. Ez a tudásátadás persze sértheti a borászatok versenyképességét, de összességében növeli az egész chilei borászati ágazat nemzetköz sikerét.

Ezek az informális hálózatok nem csak vállalatok között, hanem vállalatokon belül is jelen vannak. Sőt, talán ez tekinthető az elterjedtebb formának. Amikor a dolgozók a szervezeti kereteken túlnyúlva alakítanak ki együttműködéseket, és ezáltal megteremtve egy árnyékszervezet képet, melyben az információ (a szervezet számára talán nemkívánatosan) informális csatornákon keresztül áramlik.

"Most large corporations have dozens if not hundreds of informal networks, in which human nature, including self-interest, leads people to share ideas and collaborate" (McKinsey&Company: Harnessing the Power of Informal Employee Networks)

Nemrég került a kezembe egy McKinsey összeállítás a dolgozói hálózatokról. Ebben arra a következtetésre jutottak, hogy ezeken a hálózatokon keresztül jóval több információ és tudás áramlik, mint a rendes szervezeti csatornákon, illetve struktúrán keresztül. Ebből következően a szervezeti struktúrák nem képesek leképezni azt, hogy hogyan is folyik igazából a munka a vállalatoknál.

A tanulmány szerint a vezetőknek nagyobb figyelmet kellene fordítania ezekre a hálózatokra. Persze elgondolkodtató, hogy ha nagyobb vezetői figyelem lenne, akkor is ilyen hatékonyak lennének-e ezek a hálózatok?

Ezek a hálózatok (mint általában a szociális hálózatok) megkönnyítik azt, hogy a megfelelő tudással, szakértelemmel, tapasztalattal rendelkező embert megtaláljuk. Lefordítva: a szociális hálózatok mintegy tudástérképként működnek (= olyan katalógus, mely nem tartalmazza a tudást, de rámutat, mint pl. egy arany oldalak kiadvány).

A McKinsey tanulmány felhívja a figyelmet arra, hogy ezeknek a hálózati kapcsolatoknak a karbantartása kommunikációt generál, mely nem feltétlenül kötődik az üzlethez: éppen ezért lenne jó formalizálni a hálózati kommunikációt. A héten két alkalommal is szóba került az a maximális csoportméret, melyben az emberek még aktív kapcsolatot tudnak tartani (tartalmas kapcsolatot). Ez az ún. Dunbar-szám, mely 150 főben határozza meg ezt a csoportnagyságot.

"Interestingly [...] 150 is roughly to the number of people you could ask for a favor and expect to have it granted" (Robin Dunbar)

Persze a technológiai megoldásokkal akár több embert is összefoghatunk (intranet, wiki, blog, virtuális környezet), de az összefogás, orientálás, koordináció, nem ugyanaz, mint egy működő személyes kapcsolat. Ennek tükrében mindenki végiggondolhatja az iwiw/facebook/myspace/stb. ismerőseinek a számát, illetve azt is, hogy kivel milyen szoros a kapcsolata. Mindenesetre ezek a megoldások segítenek valamelyest formalizálni, és nyilvántartani a kapcsolatokat.

Google: Az innováció légköre, vagy a vég kezdete?

Az ember egyfolytában a Google-ba ütközik. Most túl azon, hogy ezt használjuk keresésre, levelezésre, szövegszerkesztésre (blogolásra), maga a cég történései egyfolytában szembe jönnek velünk.

Délelőtt egy államvizsga bizottságban voltam tag, és volt szerencsém végighallgatni 4 végzős hallgató előadását. Az egyik hallgató egy virtuális kollaboratív környezet kialakításáról írta a diplomamunkáját, amiben a két versenytárs a Microsoft és a Google volt. A Microsoft hagyományos licenszelési megközelítésekkel, míg a Google egyszerű ASP megközelítéssel élve 40$/felhasználó/év megközelítést használva. A TCO három évre vetítve a Google esetében jóval kedvezőbb volt. Persze az online szolgáltatásoknak mindig meg van az a hátránya, hogy ha nincs internet, nincs szolgáltatás sem.

Aztán kora délután tartottam egy előadást, melyben a Microsoft fejlesztési telephelyein alkalmazott innovációt segítő környezetről (pl. játékautomaták) elmélkedtem. Az előadás után egy kolléga felhívta a figyelmemet a Google új zürichi irodájára: tiszta játékosság, kellemes pihenőszobák, minden, amit egy kreatív környezettől elvárhatunk. Képek róla itt és itt, élménybeszámoló itt. Azt hiszem ezen a területen is letaszította már a Google a Microsoftot a trónjáról.

"They hire talented people and give them room to excel."

Most este pedig a Strategy and Business egy cikkéről kaptam ajánlást. (az előző idézet is innen van). Nicholas G Carr (aki az IT hanyatlásáról írt nagymúltú cikket a Harvard Business Review-ba, majd a gerjesztett vita után hasonló című könyvet) a Google felemelkedéséről, illetve annak értelmezéséről gondolkodott el.

Néhány gondolat, amit idézésre fontosnak gondolok:

• "[Google] is as feared as admired" (mind félelemkeltő, mind csodálatra méltó)
• "Some say Google is God" vs. "Others say Google is Satan"
  
• Carr - mind általában - szkeptikus a csodálatot illetően. Szerinte a Goggle még fiatal cég (most 10 éves), és habár a Google sikeres, nem tudhatjuk még, hogy a menedzsment módszerei miatt, vagy pedig a termékei, szolgáltatásai miatt. Ráadásul azt sem lehet tudni, hogy azok a megoldások, melyek működtek a Google esetében, azok működnek-e más cégek esetében is.
• Az egyik innovatív tulajdonsága a cégnek, hogy nem lehet tudni, melyik iparágban is tevékenykedik. Mindenesetre versenytársként jelenik meg a következő vállalatok számára: szoftverházak, hirdetési ügynökségek, távközlési cégek, újságok, televízió hálózatok, könyvkiadók, filmstúdiók, hitelkártya cégek és mindenféle internetes cég. A Google mégis egységesnek tűnik abban, amit csinál - akkor lehet, hogy újradefiniálja a kategóriákat? Pedig a bevételeinek 99%-a a hirdetésekből származik. Mindent azért csinál, hogy hirdetési felületet tudjon értékesíteni.
  
• Ha nő az internethasználat, nő a saját piaca. Ha ráadásul a Google megoldásait használják, direktben kapja az új ügyfeleket. Éppen ezért minden, ami az internethasználat növekedéséhez hozzájárul, egybeesik a Google céljaival. Általánosságban a költségek csökkentése: a cég támogatja a nyílt forráskódot, az ingyenes wifi-t, harcol a szerzői jogi korlátozások ellen.
• A Google számára még egy kudarcba fulladt új szolgáltatás is siker lehet: annak ellenére, hogy megbukik egy béta változat, a Google sokat tanul a fogyasztói szokásokról.
• Konklúzió: egy cég érezheti, hogy a Google versenytársa valamely területen, de tudni kell, hogy a Google alapvetően a reklámbevételre hajt, a további piaci magatartását ennek rendeli alá. Éppen ezért a stratégia másolása nem biztos, hogy működőképes.
  

Sok helyen lehet olvasni a Google innovatív légkörének elemeiről, melyek is ezek (Carr is ír róluk, de érdemes kiegészíteni)?

• Innovatív környezet. Ahogy a fenti példa is mutatta, egy irodaház berendezése, játékok, jó minőségű ételek az ebédlőben.
• Nagyfokú szabadság biztosítása a dolgozóknak, illetve dolgozói csoportoknak, hogy hogyan is osszák be idejüket. A dolgozók heti egy munkanapjukat saját dédelgetett ötletük megvalósítására fordíthatják, akkor is, hogy az épp igen messze esik a Google irányvonalától.
• Mérni mindent, amit csak lehet: beleértve a dolgozói munkavégzést, és a felhasználói szokásokat is.
• Nyitott ajtók politikája: minden vezető tart ún. fogadóórákat, amikor a dolgozók szabadon bemehetnek hozzájuk ötleteikkel. Így született meg például a Google testreszabható kezdőlapjának ötlete is.
• Az ötleteket egy levelezőlistára is fel lehet dobni, ahol a közösség megrágja azokat (persze az is lehet, hogy rágás után ki is köpi)
• Nagy brainstorming (ötletbörze) események, akár 100 ember bevonásával is.
  

Persze a Google nem csak létrehoz új szolgáltatásokat, hanem bizonyos dolgokból bevásárol a piacon: a Youtube, Blogger, Google Earth, Google Docs, JotSpot, Feedburner, stb. mind mind valami külső fejlesztés eredményeiként jelentek meg a Google palettáján. Ezzel persze értékes újt tudást és szolgáltatásokat hozva a cég életébe.

Kérdés, hogy meddig tartható ez a lendület. 2006-ban már érezhetőek voltak bizonyos megszorítások a Google életében: az innovációs csoportokat arra kérték, hogy kevesebb ötletre koncentráljanak, és 20%-kal kevesebb fejlesztést folytassanak egyszerre. Mikor a 2007 második negyedéves adatok elmaradtak a várakozástól, a vezetés a személyzeti politika szigorítása mellett döntött.

Mindenesetre elgondolkodtató az a stratégia, amit a Google követ: Online, hasznos szolgáltatások tömkelege, melyekkel megnyeri az embereket, és melyeket az emberek majd a vállalatnál is használni akarnak. Persze vállalati szintű felhasználás esetében már fizetni is kell, de úgy tűnik a TCO szerényebb, mint a rivális Microsoft megoldások esetében. A kollégáim közül többen is rákattantak a Google szolgáltatásaira, és egyre inkább azt használják (naptár, szövegszerkesztő, táblázatkezelő). Megjegyzendő, hogy sok alkalmazás nem igazán veszi fel a versenyt a Microsoft kifinomult Office csomagjával, de sok felhasználónak az Office csicsás megoldásai egyáltalán nem hiányoznak. Ez persze új felhasználókat generál, ráadásul a vállalati felhasználóknak sokkal célzottabban lehet hirdetéseket adni!

Annak idején a Netscape arról álmodozott, hogy majd hálózati számítógépek lesznek, és minden alkalmazás ASP szerint fog a gépünkre érkezni. Úgy tűnik, a Google most jó úton jár, hogy mindezt megvalósítsa. Nem siet annyira, de magabiztosan halad a célja felé. Így a Microsoftnak is fel kell vennie a kesztyűt, és online alkalmazásokat kell biztosítania, ráadásul igen jutányos áron. Néhány éve (sőt néhány hónapja is) azt gondoltam, hogy versengés a fizetős, és nem fizetős (free, sokszor open-source) megoldások között húzódik. Most ezt az üzleti modellek közötti harcot kiegészíti még az online/offline használat lehetősége. Ne feledjük, hogy ezzel a Google nem tesz más, csak olyan felületre terel minket, ahol látjuk a hirdetéseket (nem úgy, mint egy MS Office esetében).

Hogy kérdéssel zárjam a gondolatot: meddig szükséges még a felhasználói kör bővítése, meddig életképes egy csak a hirdetésekre építő üzleti modell?