高级管理层通常对风险有两种看法。在传统的企业风险管理(ERM)观点中,目标是找到风险与回报的完美平衡。有时,组织会接受更多的风险,以便有机会更快地发展组织,而另一些时候,重点转向控制增长较慢的风险。操作风险管理(ORM)的观点更倾向于规避风险,侧重于保护组织。继续阅读,深入了解运营风险管理,包括ORM流程的五个步骤。
什么是操作风险管理?
运营风险是指由于内部流程、人员、系统或外部事件的无效或失败而导致的损失风险,这些风险可能会中断业务运营流程。这些运营损失可以是直接或间接的财务损失。例如,培训不足的员工可能会直接失去公司的销售机会,或者公司的声誉可能会因客户服务不佳而间接受损。
运营风险可以是指组织运营中的风险以及管理层在实施、培训和强制执行策略时使用的流程。运营风险可被视为连锁反应的一部分:被忽视的问题和控制失败(无论大小)都可能导致更大的风险具体化,这可能导致组织失败,从而损害公司的底线和声誉。虽然操作风险管理被认为是企业风险管理的一个子集,但它排除了战略、声誉、财务和市场风险,重点是非系统性风险。
操作风险示例
操作风险渗透到每个组织和每个内部流程。运营风险管理职能的目标是关注对组织影响最大的风险,并要求管理运营风险的员工负责。
操作风险的例子包括:
- 员工行为与员工失误
- 网络安全攻击导致的私人数据泄露
- 与自动化、机器人和人工智能相关的技术风险
- 业务流程和控制
- 自然灾害等物理事件
- 内部和外部欺诈
- 工作场所安全风险
运营风险简史
在过去的二十年里,评估内部控制和风险的方法越来越标准化。标准化是为了回应政府监管机构、信用评级机构、证券交易所和机构投资者团体对公司风险控制环境的更高层次的洞察和保证;也就是说,风险和为缓解风险而实施的控制措施的有效性。巴塞尔银行监管委员会(Basel Committee on Banking Supervision,以下简称“巴塞尔委员会”)成立于1974年,包括许多国际成员。该委员会最初以金融服务为目标,对标准化风险管理的强调在一定程度上是由巴塞尔银行监管委员会(Basel Committee on Banking Supervision,以下简称“巴塞尔委员会”)推动的。从那时起,风险管理的学科已经扩展到金融和银行业之外。1992年COSO的《内部控制综合框架》和2002年《萨班斯-奥克斯利合规法案》的发布,加上世界通信公司和安然公司的财务欺诈行为,导致各组织需要制定有效的运营风险管理纪律的压力增加。在美国,要求高管更多参与风险监管的最大压力来自审计委员会。最近,COSO发布了一个企业风险管理框架。在使用这些框架几年之后,许多风险经理已经转向操作风险管理流程。
表:巴塞尔委员会定义的损失事件类型和示例
Table source: FDIC Operational Risk Management
运营风险管理工作原理
在处理操作风险时,组织必须考虑其目标的各个方面。由于操作风险是如此普遍,我们的目标是将每个风险降低并控制在可接受的水平。操作风险管理试图通过风险识别、风险评估、测量和缓解、监控和报告的线性过程来降低风险,同时确定谁来管理操作风险。
这些阶段遵循四个原则:
- 当收益大于成本时,接受风险。
- 不接受不必要的风险。
- 通过计划预测和管理风险。
- 在正确的级别做出风险决策。
风险识别
运营风险管理首先要确定哪些方面可能出错。作为最佳做法,应使用或制定控制框架以确保完整性。识别风险从场景分析开始—查看业务面临的挑战,并查明可能中断运营或对组织构成另一风险的领域。
风险评估
一旦识别出风险,就使用影响和可能性量表(也称为风险评估矩阵)对风险进行评估。在此阶段,根据风险类型和风险等级对风险进行分类。
测量和缓解
在风险评估中,根据一致的规模来衡量风险,以便对风险进行优先排序,并相互比较。计量还考虑了控制与潜在风险相关的风险的成本。
监测和报告
通过持续的风险评估来监控风险,以确定随时间的变化。向高级管理层和董事会报告风险和任何变化,以促进决策过程。
操作风险管理的主要目标
顾名思义,运营风险管理的主要目标是降低与组织日常运营相关的风险。操作风险管理的实践侧重于操作,不包括其他风险领域,如战略和财务风险。虽然其他风险学科,如企业风险管理(ERM)强调优化风险偏好以平衡风险承担和潜在回报,但ORM流程主要侧重于控制和消除风险。ORM框架从风险开始,并决定缓解策略。
运营风险管理主动寻求通过消除或最小化风险来保护组织。
根据组织的不同,管理运营风险的范围可能非常大。一些组织可能会将欺诈风险、技术风险以及财务团队(如会计和财务)的日常运营归为这一保护伞的一部分。风险管理协会将运营风险定义为“因内部流程、人员和系统不完善或失败,或外部事件造成损失的风险,但最好将其视为因执行机构业务职能而产生的风险。”鉴于这一观点,运营风险管理的范围将包括网络安全、欺诈、,以及几乎所有的内部控制活动。
应用控制框架,无论是正式框架还是内部开发的模型,都将有助于设计内部控制流程。了解ORM流程在组织中的外观的一种方法是将操作风险组织为人员风险、技术风险、声誉风险和监管风险等类别。
人员
人员类别包括员工、客户、供应商、承包商和其他利益相关者。员工风险包括人为错误和故意不当行为,如欺诈案件。风险包括违反政策、指导不足、培训不足、决策不当或欺诈行为。由于社交媒体越来越可能对业务产生影响,人们甚至在外部也可能对组织构成风险。与人员相关的风险可能特别敏感和棘手,特别是因为人员在组织运营的各个方面都扮演着角色。通过培训和定期沟通培养健康的风险文化是管理这一风险领域的关键。
技术
从操作角度来看,技术风险包括硬件、软件、隐私和安全。技术风险还涉及整个组织,并影响上述人员类别。硬件限制可能会妨碍生产效率,尤其是在远程工作环境中。当应用程序中断或员工缺乏培训时,软件也会降低生产效率。当客户与您的组织交互时,软件也会影响他们。当黑客试图窃取信息或劫持网络时,就存在外部威胁。这可能导致泄露客户信息和数据隐私问题。
随着技术在我们生活中发挥更大的作用,这一领域的风险变得越来越重要和复杂。如果尚未包括,业务连续性计划应解决与技术故障和其他中断相关的风险。
规章制度
不遵守法规的风险以某种形式存在于几乎每个组织中。一些行业比其他行业受到更严格的监管,但所有监管都归结为内部控制的运作。在过去的十年里,规则的数量和复杂性增加了,处罚也变得更加严厉。
了解风险的来源将有助于确定谁管理运营风险。企业风险管理和操作风险管理都从不同的角度处理同一领域的风险。为了巩固这些原则,一些组织实施了集成风险管理或IRM。IRM从文化角度解决风险。根据特定风险实践的目标,组织可以为ERM和ORM等团队实施具有不同参数的技术。
ORM过程中的步骤
虽然ORM流程步骤有不同的版本,但操作风险管理通常作为五个步骤应用。所有五个步骤都是关键的,所有步骤都应该得到执行。
图:ORM过程中的步骤
Image source: PWC Operational Risk Management
步骤1:风险识别
必须识别风险,以便控制这些风险。风险识别从了解组织目标开始。风险是阻止组织实现其目标的任何东西。问“哪里会出错?”是开始头脑风暴和识别风险的好方法。
步骤2:风险评估
风险评估是基于可能性和影响对风险进行评级的系统过程。风险评估的结果是已知风险的优先列表,以及风险所有者和风险缓解计划,也称为风险登记簿。对于一个组织来说,解决所有已识别的风险可能是不可能或不可取的——因此,优先顺序对于运营风险的管理至关重要,并将项目团队划分为最重大的风险。该风险评估过程可能看起来类似于内部审计所做的风险评估,事实上,应通过事先的审计报告和发现进行通知。
步骤3:风险缓解
风险缓解步骤包括制定和选择控制特定风险的路径。在操作风险管理过程中,有四种解决潜在风险事件的选项:转移、避免、接受和缓解。
- 转移:转移风险到另一个组织。最常见的两种转移方式是外包和保险。当外包时,管理层不能完全转移控制风险的责任。为风险投保最终会将风险的部分财务影响转移给保险公司。转移风险的一个很好的例子发生在基于云的软件公司。当一家公司购买基于云计算的软件时,合同通常包括一个数据破坏保险条款。买方应确保卖方在发生数据泄露时能够支付损害赔偿金。同时,供应商还将让其数据中心提供SOC报告,显示有足够的控制措施,以尽量减少数据泄露的可能性。
- 避免:避免防止组织进入风险高的情况或环境。例如,在为服务选择供应商时,如果成本较低的供应商没有足够的参考资料,组织可以选择接受报价较高的供应商。
- 接受:基于风险与控制成本的比较,管理层可以接受风险并进行风险选择。例如,如果公司在休息室安装新的咖啡机,员工可能会自焚。新咖啡机带来的员工满意度的好处超过了员工意外地在一杯热咖啡上自焚的风险,因此管理层接受了风险并安装了新设备。
- 缓解:缓解风险涉及实施行动计划和控制措施,以降低风险发生的可能性和/或风险实现后可能产生的影响。例如,如果某个组织允许员工在家工作,则存在由于通过公共互联网传输数据而导致数据泄漏的风险。为了降低这种风险,管理层可以实现VPN服务,并让远程用户仅通过VPN访问业务网络。这将降低数据泄漏的可能性,从而降低风险。
我们已经说过几次了,几乎没有什么风险可以完全消除。注意剩余风险——缓解后剩余的风险——是ORM风险缓解阶段中同样重要的一部分。
步骤4:控制实施
一旦做出风险缓解决策,形成行动计划,捕获剩余风险,下一步就是实施。应专门设计控制措施,以解决和缓解相关风险。应正式记录控制原理、目标和活动,以便清楚地传达和执行控制。控件可以采用新流程、附加审批人或内置控件的形式,以防止最终用户出错或执行恶意活动。只要可能,控制应设计为预防性的,而不是检测性或纠正性的。有了风险管理和药物,似乎最好的治疗方法是预防。这就是说,要防止风险发生是不可能的,而这正是侦查控制发挥作用的地方。检测异常并纠正它们可能足以减轻某些风险。
最有可能的是,您的组织已经制定了一些控制措施来应对风险。仍然明智的做法是,每年(至少)审查这些控制措施,并确定是否需要额外的控制措施,如果控制措施中存在差距,或者控制措施是否足以解决风险且不需要更改。
步骤5:监控
由于控制可能由犯错的人执行,或者环境可能发生变化,因此应监控控制。控制监控包括测试控制的设计适当性和运行有效性。应向管理层提出任何例外情况或问题,并制定行动计划。
在操作风险管理的监测步骤中,一些组织,特别是金融服务部门,采用了围绕关键风险指标建立的持续监测或预警系统。关键风险指标是组织使用的指标,用于提供企业各个领域风险敞口增加的早期信号。围绕商业智能应用程序监控的比率设计的KRI是银行如何管理操作风险,但该概念可以应用于所有行业。KRI可以设计成监控几乎任何潜在的风险并发送通知。例如,公司可以围绕客户满意度得分设计关键风险指标。客户满意度得分下降可能表明客户服务代表未接受培训或培训无效。
操作风险管理现状
在过去五年中,美国企业经历了风险数量和复杂性的显著增加,32%的公司在此期间经历了运营意外(见图)。随着组织的发展和演变,管理不善的风险的复杂性、频率和影响也会随之变化。未能妥善管理操作风险造成的损失已导致许多金融机构倒闭——据推测,最近的银行倒闭是由于操作风险管理不善和围绕资产估值的决策不当造成的。此外,董事会要求加强风险监督的压力越来越大,这也表明了实施强有力的运营风险管理实践的重要性。但实际上有多少组织这样做呢?
根据国际注册专业会计师协会(Association of International Certified Professional Accountants)委托进行的2017 ERM Initiative研究,全球风险管理实践相对不成熟:只有不到30%的全球组织拥有“完整”的企业风险管理流程。这可能表明组织中的运营和企业风险管理与战略执行之间存在脱节。
操作风险管理面临的挑战与不足
在许多组织中,操作风险管理是其满足客户和利益相关者需求能力中最薄弱的环节之一。虽然操作风险管理是企业风险管理的一个子集,但类似的挑战(如优先级竞争和感知价值缺乏)会影响两个项目之间的适当发展。一些常见的挑战包括:
- 组织没有足够的资源投资于运营风险管理或ERM。
- 在操作风险管理的重要性以及操作失败对公司底线的后果方面缺乏沟通和教育。
- 董事会和高管对运营风险管理缺乏认识、兴趣或欣赏。
- 在提供组织风险状况的准确描述时,缺乏一致的方法来衡量和评估风险带来了挑战。
- 建立标准的风险术语,以便进一步使用,这有助于成功的风险和控制自我评估(RCSA)。
- 由于技术的变化,过程是多样和复杂的。
- ORM通常被合并到其他功能中,例如法规遵从性和IT,从而使ORM无法得到适当的关注。
- 操作风险管理程序可能是手动的、脱节的和过于复杂的,这主要是因为ORM是作为响应法规和合规性的反应性功能开发的。
强大运营风险管理计划的好处
建立有效的运营风险管理计划有助于实现组织的战略目标,同时确保运营中断时的业务连续性。拥有一个强大的ORM也向客户表明,公司已经为危机和损失做好了准备。能够有效实施强大ORM计划的组织可以体验到改进的竞争优势,包括:
- 更好的C-suite可视性。
- 更明智的业务风险承担。
- 提高产品性能和更好的品牌认知度。
- 加强与客户和利益相关者的关系。
- 投资者信心增强。
- 更好的性能报告。
- 更可持续的财务预测。
有效的操作风险管理可以通过预防或纠正损失事件节省组织的货币成本。ORM鼓励优化业务实践,使其更高效。培养运营风险心态使组织能够适应未来。
制定操作风险管理计划
在创建操作风险框架和计划的过程中,风险管理团队应关注的领域包括:
- 促进组织范围内对项目价值和功能的理解。
- 利用技术实现自动化方法来监控、聚合和收集风险数据。
- 建立评估和识别组织中主要风险的有效方法,以及持续识别和更新这些风险和相关措施的方法。
- 关注帮助组织减少重大风险暴露,同时鼓励潜在收益大于风险的活动。
- 关注ORM与组织中其他职能部门的合作,以便更好地将最佳实践嵌入组织。
风险与控制自我评估
制定运营风险计划首先需要风险管理团队与业务流程负责人一起识别组织中的风险和控制措施。虽然每个组织都会以不同的方式衡量操作风险,但了解组织中操作风险性质的第一步是通过风险和控制自我评估(RCSA)。
RCSA是一个提供运营风险企业视图的框架,可用于执行运营风险评估、分析组织的运营风险状况以及绘制风险管理路线图。RCSA是组织整体运营风险框架的重要组成部分。RCSA要求记录风险,通过估计风险的频率和影响确定风险水平,并记录与这些风险相关的控制和流程。组织评估方法的一般最佳实践是在业务部门层面进行RCSA。
RCSA应作为贵组织风险计划的参考。以下是开发风险和控制自我评估的几个主要行业最佳实践:
- 将风险和控制自我评估计划整合到运营风险计划中。
- 建立标准的风险术语和一致的方法来衡量和评估风险。
- 制定风险和控制的完整视图-这对于以后的分析很重要。
- 将趋势分析方法纳入RCSA,以识别风险模式和潜在控制失败。
- 采用一种方法来识别可能对您的底线造成影响的非财务风险。
- 使用您的RCSA为运营风险管理计划编制预算。
操作风险管理工具和资源
技术支持增加了运营风险管理给组织带来的价值。规划ORM功能时,请考虑在风险管理应用程序中构建风险和控制库以及风险评估过程。建立有效的风险管理能力是推动更好的业务决策的重要组成部分,也是C-suite为获得竞争优势而利用的工具。将技术嵌入到流程中可确保一致地应用这些流程。强大的运营风险管理计划有助于推动运营审计和风险库,以及SOX和合规计划。了解AuditBoard如何帮助您管理、自动化和优化运营风险管理计划,以帮助您将运营风险转化为获得竞争优势的机会。
操作风险管理常见问题解答
什么是操作风险管理?
操作风险管理试图通过风险识别、风险评估、测量和缓解、监控和报告的线性过程来降低风险,同时确定谁来管理操作风险。
操作风险的例子有哪些?
操作风险的例子包括:
- 员工行为与员工失误
- 网络安全攻击导致的私人数据泄露
- 与自动化、机器人和人工智能相关的技术风险
- 业务流程和控制
- 自然灾害等物理事件
- 内部和外部欺诈
- 工作场所安全风险
操作风险管理如何工作?
运营风险管理主动寻求通过消除或最小化风险来保护组织。
操作风险管理的好处和目标是什么?
建立有效的运营风险管理计划有助于实现组织的战略目标,同时确保运营中断时的业务连续性。
ORM过程中的步骤是什么?
ORM过程中的五个步骤是:1)风险识别、2)风险评估、3)风险缓解、4)控制实施和5)监控。
