二、应对操作风险的态度
(一)管理操作风险需要的条件
操作风险由一个组织中三个关键领域进行的活动而产生,这三个领域包括人员、流程和技术。操作失败允许损失积累,许多衍生出的大量损失由此产生。操作风险一向被松散地定义和量化。管理操作风险需要具备关于流程、系统和人员的知识,以及确保职责和程序能顺利执行的明确规定、记录以及遵守规定。一个企业所面临的许多风险是跨边界的。操作损失并不总是只发生在具有大量或者复杂业务的企业中。当然,产品的复杂性、市场的波动性,再加上一个组织中业务的错综复杂能够产生大量风险。
操作风险管理的益处包括:提高实现企业目标的能力,创造机会使管理层的注意力能够集中在产生收入的活动上,而非补救一个接一个的危机。还有助于使日常损失降至最低,并使企业风险管理系统更加完善。操作风险管理有利于设定一个系统,以了解不同类型风险之间的相互关系,以及在适当的时候建立模型。
(二)操作风险的评估
近年来,为了研究操作风险的具体测量方法开展了大量工作。直到今天,还没有发现类似 VAR的被普遍认可的计量方法,而很多的风险仍然继续采用传统方式计量。如前文所述,操作风险涉及广泛的领域,而且每个领域都面临着不同程度的计量难题。比较典型的操作风险计量方法有:
1. 员工方面:空缺职位数量、绝对数量及百分比、有职位空缺的期间、缺席员工的平均人数及最多人数、加班水平等。
2. 运作方面:已利用的容量的百分比、控制界限被突破的实例、系统失效的次数、系统运作结束时未被处理的项目数量、交易量、平均处理时间、最长处理时间、 -生产力水平、员工流动、每千次处理中发生差错的数量等。
3. 舞弊:舞弊或舞弊未遂实例的数量和价值、破坏安全系统未遂的次数。
4. 风险的自我评估:管理层对企业内的不同层级采用不同的调查问卷,要求每个人完成一系列的综合问题,以对其负责的领域进行自我评估。这些问题可能涉及如职工安置水平、对现有的已知问题的识别、技术支持的充分性和将在未来半年或一年内出现的计划变动。然后管理层对风险进行评级,即将特别重大的风险领域评为高优先级,次级重要的风险评为中等优先级,影响力有限的风险评为低优先级,并且在与下一级管理人员讨论后,以其优先级作为资源分配的基础。
除了风险的自我评估,可以将上文列出的指标纳入评级系统,这种评级系统同时利用客观和主观标准,为业务部门或运营部门评出风险分数。
另外一种方法是利用主要风险指标。主要风险指标是由管理层确立的客观的计量方法。由于它们是风险的主要指标,应当对它们进行定期追踪。例如,企业如果以要求员工定期体假作为把内部舞弊风险降至最小化的其中一种方法,就要定期追踪连续休假尚未达到规定期间的员工数量。
许多风险是属于操作性质的风险,因此,这些风险都可以采用上述方法计量。它们不一定是复杂的计量方法,但是,如果使用得当,有利于识别暴露潜在问题的领域,从而可以据此采取行动。
(三)应对操作风险
与可保风险、项目风险或大多数经营风险不同,操作风险的重点不是重大的不确定性。企业不会低估完成一项工作所需要的成本,或者新产品可能不受消费者欢迎的可能性。相反,企业要应对的是在实施己确立的程序时出现的小故障。会出现的问题及其后果是众所周知。因此,管理操作风险最为普遍采用的方法是:
1.设立流程、程序和政策
流程和程序有助于确保一个企业的政策得以实施。政策和程序的整理归档可以减少管理时间并且为雇员提供策略支持。流程和程序产生的风险包括由于流程、程序、控制或制衡的缺失或无效而引起风险所产生的不良后果。通常,这些程序是为了减少错误或欺诈而设计的。流程和程序的风险影响套期保值以及交易的决策、监督和风险控制功能,交易的处理以及对政策的遵守。
企业的竞争力在很大程度上是由其所立程序的有效性表现出来的。国际标准化组织 (ISO)只向那些证明已实施了能够提供高质量产品和服务的程序的企业颁发证书。显然,意识到在操作过程中会面临问题的企业,需要完善用于开展业务的程序。而这需要在必要时增加新的程序、更新现有程序及废止过时的程序。
2.在公司内实施正式的内部控制系统
可参考本书第八章关于内部控制架构的内容。其中提到要创建企业的内部控制环境,说明管理层的能力,强化内部控制文化和反舞弊意识。
3 .防止错误和欺诈
人员对于企业的运作至关重要,并且从风险管理的角度来看,他们往往代表一种最为显著的风险。交易涉及雇员的决策以及雇员之间的关系。因此,必须始终警惕潜在的错误和舞弊。执行反舞弊项目,设计和执行控制,以消除程序内嵌入的重大风险。
4.培训和管理雇员
由于雇员对企业的获利能力有较大影响,因此,对雇员进行有效的管理是很重要的。人力资掘管理的有效性,可通过旷工率、劳动力流失、事故率等来衡量。有关人力资源管理实务,可参见本书第五章第四节的相关内容。
5.评价技术和系统
技术和系统风险也属于操作风险,是由于商品或服务的定价和交易系统、技术依赖、支付系统、数据和网络保护、访问文件或数据可被欺诈性地改变而产生。
对系统和网络进行评价,要根据其对于破坏、欺诈或错误的脆弱性。如果只有一个员工能够操作一个复杂的系统,那么,就会产生很大的问题。关于技术和系统安全的风险属于技术性的问题,许多方面的讨论适合由行业专家来进行。
6.外包安排
企业应与外包服务商通过服务级别协议建立质量和服务的要求,并对其产品和服务进行定期的检查。
编辑推荐: