二、應對操作風險的態度
(一)管理操作風險需要的條件
操作風險由一個組織中三個關鍵領域進行的活動而產生,這三個領域包括人員、流程和技術。操作失敗允許損失積累,許多衍生出的大量損失由此產生。操作風險一向被松散地定義和量化。管理操作風險需要具備關于流程、系統和人員的知識,以及確保職責和程序能順利執行的明確規定、記錄以及遵守規定。一個企業所面臨的許多風險是跨邊界的。操作損失并不總是只發生在具有大量或者復雜業務的企業中。當然,產品的復雜性、市場的波動性,再加上一個組織中業務的錯綜復雜能夠產生大量風險。
操作風險管理的益處包括:提高實現企業目標的能力,創造機會使管理層的注意力能夠集中在產生收入的活動上,而非補救一個接一個的危機。還有助于使日常損失降至最低,并使企業風險管理系統更加完善。操作風險管理有利于設定一個系統,以了解不同類型風險之間的相互關系,以及在適當的時候建立模型。
(二)操作風險的評估
近年來,為了研究操作風險的具體測量方法開展了大量工作。直到今天,還沒有發現類似 VAR的被普遍認可的計量方法,而很多的風險仍然繼續采用傳統方式計量。如前文所述,操作風險涉及廣泛的領域,而且每個領域都面臨著不同程度的計量難題。比較典型的操作風險計量方法有:
1. 員工方面:空缺職位數量、絕對數量及百分比、有職位空缺的期間、缺席員工的平均人數及最多人數、加班水平等。
2. 運作方面:已利用的容量的百分比、控制界限被突破的實例、系統失效的次數、系統運作結束時未被處理的項目數量、交易量、平均處理時間、最長處理時間、 -生產力水平、員工流動、每千次處理中發生差錯的數量等。
3. 舞弊:舞弊或舞弊未遂實例的數量和價值、破壞安全系統未遂的次數。
4. 風險的自我評估:管理層對企業內的不同層級采用不同的調查問卷,要求每個人完成一系列的綜合問題,以對其負責的領域進行自我評估。這些問題可能涉及如職工安置水平、對現有的已知問題的識別、技術支持的充分性和將在未來半年或一年內出現的計劃變動。然后管理層對風險進行評級,即將特別重大的風險領域評為高優先級,次級重要的風險評為中等優先級,影響力有限的風險評為低優先級,并且在與下一級管理人員討論后,以其優先級作為資源分配的基礎。
除了風險的自我評估,可以將上文列出的指標納入評級系統,這種評級系統同時利用客觀和主觀標準,為業務部門或運營部門評出風險分數。
另外一種方法是利用主要風險指標。主要風險指標是由管理層確立的客觀的計量方法。由于它們是風險的主要指標,應當對它們進行定期追蹤。例如,企業如果以要求員工定期體假作為把內部舞弊風險降至最小化的其中一種方法,就要定期追蹤連續休假尚未達到規定期間的員工數量。
許多風險是屬于操作性質的風險,因此,這些風險都可以采用上述方法計量。它們不一定是復雜的計量方法,但是,如果使用得當,有利于識別暴露潛在問題的領域,從而可以據此采取行動。
(三)應對操作風險
與可保風險、項目風險或大多數經營風險不同,操作風險的重點不是重大的不確定性。企業不會低估完成一項工作所需要的成本,或者新產品可能不受消費者歡迎的可能性。相反,企業要應對的是在實施己確立的程序時出現的小故障。會出現的問題及其后果是眾所周知。因此,管理操作風險最為普遍采用的方法是:
1.設立流程、程序和政策
流程和程序有助于確保一個企業的政策得以實施。政策和程序的整理歸檔可以減少管理時間并且為雇員提供策略支持。流程和程序產生的風險包括由于流程、程序、控制或制衡的缺失或無效而引起風險所產生的不良后果。通常,這些程序是為了減少錯誤或欺詐而設計的。流程和程序的風險影響套期保值以及交易的決策、監督和風險控制功能,交易的處理以及對政策的遵守。
企業的競爭力在很大程度上是由其所立程序的有效性表現出來的。國際標準化組織 (ISO)只向那些證明已實施了能夠提供高質量產品和服務的程序的企業頒發證書。顯然,意識到在操作過程中會面臨問題的企業,需要完善用于開展業務的程序。而這需要在必要時增加新的程序、更新現有程序及廢止過時的程序。
2.在公司內實施正式的內部控制系統
可參考本書第八章關于內部控制架構的內容。其中提到要創建企業的內部控制環境,說明管理層的能力,強化內部控制文化和反舞弊意識。
3 .防止錯誤和欺詐
人員對于企業的運作至關重要,并且從風險管理的角度來看,他們往往代表一種最為顯著的風險。交易涉及雇員的決策以及雇員之間的關系。因此,必須始終警惕潛在的錯誤和舞弊。執行反舞弊項目,設計和執行控制,以消除程序內嵌入的重大風險。
4.培訓和管理雇員
由于雇員對企業的獲利能力有較大影響,因此,對雇員進行有效的管理是很重要的。人力資掘管理的有效性,可通過曠工率、勞動力流失、事故率等來衡量。有關人力資源管理實務,可參見本書第五章第四節的相關內容。
5.評價技術和系統
技術和系統風險也屬于操作風險,是由于商品或服務的定價和交易系統、技術依賴、支付系統、數據和網絡保護、訪問文件或數據可被欺詐性地改變而產生。
對系統和網絡進行評價,要根據其對于破壞、欺詐或錯誤的脆弱性。如果只有一個員工能夠操作一個復雜的系統,那么,就會產生很大的問題。關于技術和系統安全的風險屬于技術性的問題,許多方面的討論適合由行業專家來進行。
6.外包安排
企業應與外包服務商通過服務級別協議建立質量和服務的要求,并對其產品和服務進行定期的檢查。
編輯推薦:
