高级管理层从两个不同的角度看待风险。 根据经典的企业风险管理 (ERM) 观点,目标是找到理想的风险与利润比率。 组织偶尔会承担更大的风险,以换取更快扩张的可能性,而其他时候,重点是风险管理,扩张速度较慢。 组织保护是操作风险管理(ORM)视角的主要目标,它更加规避风险。 这篇博文全面描述了海军框架内的运营风险管理,以及 ORM 流程步骤和示例。
什么是操作风险管理?
操作风险是指由于内部系统、人员、流程或其他可能影响公司日常运营的故障而遭受财务损失的可能性。 损失可能是直接或间接的经济损失。 例如,训练有素的人可能会错失销售机会,或者,更微妙的是,糟糕的客户服务可能会损害公司的声誉。 操作风险既可以指经营企业的风险,也可以指管理人员在实施政策、通知保单持有人和执行政策时使用的流程。
操作风险历史
在过去的 20 年里,评估内部控制和危害的过程变得越来越标准化。 政府当局、信用评级机构、证券交易所和机构投资者团体要求提高对风险的信心程度以及将风险降至最低的现有程序的有效性,这导致了标准化。
由于 WorldCom 和 Enron 的金融犯罪,2002 年的 Sarbanes-Oxley Compliance Act 和 1992 年 COSO 的内部控制集成框架的发布对公司施加了压力,要求它们制定有效的操作风险管理纪律。 美国的审计委员会对高级管理人员施加的压力最大,要求他们更多地参与风险监督。
COSO 最近发布了企业风险管理框架。 在使用框架一段时间后,风险管理人员已转向操作风险管理流程。
操作风险管理框架
操作风险管理框架 (ORMF) 的主要目标是识别、评估、监控和报告公司当前或可能面临的任何风险。 如果要将框架视为“嵌入式”,则它必须连贯、经常使用并与业务运营集成才能有效。
有相关文件,如风险策略、风险偏好声明、规则和程序,这些文件可以证明许多公司已经建立了适合其预期用途的操作风险管理框架。 为了提高对所有业务线和运营的认识和理解,他们已采取措施通过分发通讯和培训材料将这些付诸行动。
然后是“嵌入”,这可能是最大的障碍。 这将确保风险管理信息和考虑因素正在影响业务行为和选择,展示框架与业务流程的集成和一致性。
由于其漫长的开发过程或其组件元素是单独创建的,该框架可能会带来问题。 在较大的企业中,框架可能由不同的业务部门处理,输出可能由中央职能部门的不同团队监督。
目标是创建一个完全集成和嵌入的操作风险管理框架,并为企业提供财务和非财务收益。 此外,它将为证明操作风险管理计划的有效性提供坚实的基础。
操作风险管理流程步骤
尽管 ORM 流程步骤有多种变体,但标准应用程序是一个五步流程。 必须遵循所有五个步骤,因为它们是必不可少的。
第 1 步:识别风险
为了控制,必须识别风险。 了解组织的目标是风险识别的第一步。 任何阻碍组织实现其目标的事情都是风险。
第二步:风险评估
风险评估是根据可能性和影响对风险进行分类的系统过程。 已知风险的优先列表是风险评估的结果。 风险评估的过程可能类似于内部审计进行的风险评估。
第 3 步:风险缓解
专门风险控制的决策过程是风险缓解步骤的一部分。 转移、规避、接受和控制是操作风险管理过程中风险缓释的四种选择。
第 4 步:实施控制
风险缓解的决策过程之后是实施。 这些控件是专门为解决所带来的危险而创建的。 为了理解和执行控制,必须准确记录基本原理、目的和行动。 实施的控制措施应优先考虑预防性控制措施而不是法规。
第五步:观察
控制应该受到监控,因为它们可能由容易出错的个人或在变化的环境中执行。 测试控制在其设计、实施和运行效率方面的适当性被称为“控制监控”。 应向管理层提出任何困难或例外情况,并制定行动计划。
操作风险示例
每个组织和每个内部流程都会受到操作风险的影响。 操作风险管理角色的目的是识别最有可能影响业务的风险,并让负责管理操作风险的人员承担责任。
操作风险管理示例包括:
- 员工行为和员工错误
- 网络安全攻击导致的私人数据泄露
- 自动化、机器人和人工智能相关的技术危害
- 业务控制和流程
- 自然灾害等物理事件可能会损害业务
- 内部和外部欺诈
解决与军事行动相关的风险的过程,包括风险评估、风险决策和部署有效的风险控制,在海军中被称为操作风险管理。
海军中的运营风险管理通常被理解为一个简单的、包含五个步骤的过程,在规划期间或在深思熟虑的层面上使用。 这是五个步骤:
- 识别风险——风险是指任何可能影响任务执行或导致伤害、死亡或财产损失的情况。 整个 RM 过程建立在危害识别的基础上。 危险如果不被识别就无法控制。
- 评估危害——根据已识别的每个危害的可能性和严重性确定相关的风险程度。 风险评估的结果是生成一份危险的优先列表,确保首先确定对完成任务或工作的最大威胁的控制措施。
- 做出风险决策——确定风险是否可接受是风险决策的重要组成部分。 能够权衡危险与使命或任务的可能价值和收益的人必须在适当的层面上做出选择。 此人决定控制是否充分和可接受,以及是否接受由此产生的剩余风险。
- 控制实施——一旦确定了风险控制决策,下一步就是实施。 要做到这一点,至关重要的是要建立问责制,将计划适当地传达给所有相关方,并提供所需的帮助。
- 监督——在监督和审查时确定整个任务或任务中风险控制的有效性。 这需要三个步骤:跟踪风险控制的效率; 确定由于意外变化而需要对整个特派团或任务进行额外评估; 记录正面和负面的经验教训。
- 抓住机会,当收益大于成本时
- 不要冒任何不必要的风险。
- 计划预测和降低风险。
- 在适当的时候做出危险的选择。
#1。 深入
深入级别指的是没有时间限制的情况,正确的反应是任务或任务成功所必需的。 在这个级别,使用了多种工具,包括对可用数据的彻底调查和分析、图表和分析工具的使用、正式测试或对相关危险的长期监控。 对复杂或紧急操作的深入规划,在工程设计中使用技术标准和系统危险管理,以及购买和引入新工具和系统,都是ORM如何实施的更多例子。
#2。 商榷
深思熟虑的级别描述了有足够时间使用 RM 流程来深入计划任务或任务的情况。 这个级别的计划最好在一个小组中完成,并且主要涉及经验丰富的员工和头脑风暴。 在有目的的层面集成 ORM 应用程序的一个很好的例子是海军规划过程。
#3。 时间关键风险管理 (TCRM)
这是员工经常在全天候和下班时间行事的水平。 理想的做法是将时间关键级别视为发生在任务或活动的开始或期间。 几乎没有时间在这个级别制定计划。 人们可能最希望的是对全新的、改变的或变化的环境进行快速的心理或声音评估。
为什么操作风险管理很重要?
操作风险管理对公司的业绩至关重要。 允许评估风险及其缓解措施的技术或流程有助于企业避免成本、延误和困难。 操作风险管理的优点如下:
#1。 增强决策过程
有效的风险识别和评估使管理人员能够开发更有效的项目完成方法。 您可以通过了解与流程相关的任何潜在风险来决定如何继续并最大程度地降低风险。 例如,网络攻击可能是潜在的运营风险。
#2。 帮助识别危险情况或行动
操作风险管理有助于识别可能存在危险的工作环境或可能导致错误的招聘程序。 在开始运营之前,了解这些危险对于避免伤害或伤害员工或公司财产至关重要。
#3。 生产优质产品
如果企业遵守法规并降低与产品创建相关的任何风险,则它们可以生产出更加一致的产品。 由于其稳定性,该业务是可靠的并且可能会吸引更多的客户。 一旦流程能够始终如一地生产出高质量的产品,公司可能会决定调整其步骤以提高最终结果。
#4。 增加经理和员工之间的开放性
得益于运营风险管理等流程,高管和员工可以更有效地相互传达他们的需求和要求。 经营公司的高管必须遵守法规,并将产生支出的运营风险降至最低。
#5。 提供有效的财务预测。
由于操作风险经常导致财务损失,因此能够识别这些风险有助于进行有效的财务预测。 当财务专家意识到组织正在避免这些损失时,他们可能会更新他们的预测。 更好的财务预测是有利的,因为它使公司能够做出其他财务决策,例如设定预算和选择投资。
如何实施操作风险管理
实施成功的操作风险管理流程可以提高公司的利润,并有助于生产更高质量的产品。 学习如何创建此流程并教导员工如何应用它可以提高员工和企业的成功率。 以下是操作风险管理实施的前五个步骤:
#1。 识别危险。
操作风险管理的第一阶段是确定项目或过程中可能出现的问题。 您可以通过对公司的政策和程序进行分类来创建控制风险的框架,以提高您发现潜在问题的能力。
#2。 分析危害对企业运营的潜在影响。
在确定潜在危害后,检查和预测它们将如何影响公司运营至关重要。 作为操作风险管理流程的一部分,确定风险发生的可能性及其潜在严重性非常重要。
#3。 创建一个量表来评估危害。
减少危害的第一步是测量它们。 在评估风险时,您可以使用量表来量化风险。 最重要的威胁会按此规模进行优先排序和处理。 使用这样的量表可以帮助您减少风险可能对您的努力造成的伤害。
#4。 任命团队成员密切关注风险。
操作风险管理的另一个阶段是风险监控。 建立一个工作团队来密切关注您发现的危险是一个绝妙的主意。 该小组可以继续评估风险并跟踪风险发生的可能性。 一个团队可以专注于此,让其他团队腾出时间来处理与生产相关的职责。 监控团队还可以制定与潜在风险相关的风险预防和问题解决计划。
#5。 计划避免可能发生的风险的方法。
制定计划来避免或减少您发现的风险,以最大限度地提高操作风险管理的有效性。 风险管理策略可能包括从项目或流程中隔离和消除风险的技术。 该策略可以由监控团队创建,也可以通过采取措施降低风险来付诸实践。
操作风险的四种主要类型是什么?
操作风险可分为五个不同的类别:法律和合规风险、流程风险、人员风险和系统风险。
您如何降低运营风险?
四个概念是操作风险管理流程的基础。
- 不要冒任何不必要的风险。
- 当回报大于成本时,接受风险。
- 根据情况调整你的冒险决定。
- 计划预测和降低风险。
谁对操作风险负责?
操作风险必须由董事会和高级管理层在他们决定的政策、框架、流程和程序实施的保障措施的帮助下处理。
操作风险的 5 大支柱是什么?
五个支柱构成了操作风险流程:
- 风险偏好。
- 风险评估。
- 风险识别。
- 风险缓解。
- 风险监控
战略风险和操作风险有什么区别?
操作风险和战略风险是两个不同的类别。 操作风险只是公司内部运作的结果,而战略风险则来自内因和外因。 他们可能会干扰就业。
相关文章
参考资料
