注册会计师考试公司战略与风险管理预习辅导67
第二节 识别、评估和应对企业面临的操作风险
一、操作风险概述
(一)操作风险的特征
操作风险是指企业在进行基本操作时经受的风险。例如,由人员、程序、技术引起的损失的可能。换句话说,操作风险是指因不充分的或失灵的内部程序、人员和系统或者外部事件而发生损失的风险。因此,企业需要对操作风险进行定义,包括终端产品、资源及用于生产该产品的程序。
操作风险是大多数企业面临的最大风险领域之一。然而,传统的管理方法对于这个领域并未采用有组织的方式。例如,许多公司早已设立了信贷部门,但是直到现在,设置操作风险部门的公司还很少。
操作风险与企业的运作有着紧密关联。考虑企业会面临的与运作有关的问题时,有以下示例:
1. 一名售货员将女衬衫的价签弄错了,因此向买了这件商品的顾客少收了钱。
2. 飞行员对飞机距离地面过低的警报置之不理,导致飞机撞上山腰,机上人员无人生还。
3. 在记录客户的电话号码肘,业务员一不小心将两个数字的位置颠倒了,所以联系不到客户,没有办法电话跟进。
可以发现,操作风险与其他类型的风险不同,它出现的原因在于它不是管理未知事项,而是处理己确立的程序。由于操作风险不是应付重大的未知事项,因此,在企业面临的所有风险类型中,操作风险是最便于管理的。它并不涉及任何对于未来事项的推测。就操作风险而言,企业面临的主要风险是在执行已明确的工作时,采取错误的步骤。
(二)操作风险的源头
在业务操作过程中,实施某个程序时可能出错的地方有很多。以下是一些较为常见的操作风险来源:
1.缺乏规定程序
对于小企业来说,随机应变的操作可能是不错的选择,原因在于它的交易量很小,不必设置复杂的程序。但是,随着业务量的增加,业务越来越复杂,设立正规的程序变得日益重要。当程序滞后于其日益复杂的操作时,缺乏程序和效率会对企业发展产生遏制作用。
2.雇员缺乏培训
缺乏培训的雇员,可能犯致命错误。错误的一步可能使本己糟糕的情况演变成"噩梦"。尽管有时候公司已意识到培训的重要性,但是,它们不愿意为员工提供培训11。原因有很多:(1)培训被视为一项昂贵的管理费用,而且常常不能立即帮助企业提高获利能力 (2)雇员接受培训时,将无法工作,因此,培训通常会使雇员的手头工作中断; (3)接受培训与应用新技能之间往往存在时间上的滞后 (4)培训的效力往往并非显见的。当然,对雇员进行如何正确使用设备的培训,能够产生明显的效果,但是,软技能的培训"(比如有效沟通的课程)的效果常常并不明显 (5)人员流动频繁,如果员工很可能在几个月内离开公司,那么为员工提供培训看起来似乎很不值当。
公司战略与风险管理
3.疏忽
操作风险的一大成因被称为"疏忽"这是指某人在执行任务时并未将注意力放在这件工作上。由于注意力不集中,就会犯错误。疏忽的根源一般是疲劳、分心和厌烦。
4.设备及软件维护不足或已报废
设备和软件的维护是指为了保持设备和软件的正常运转而对其开展的一系列活动。预防性维修就是其中一种维护类型。例如,在管理公司的车队时,为每行驶三千英里的汽车发动机更换机油,这就是一种预防性维修。另一种维修类型是在事故发生时,为设备进行修理。
5.缺乏职业道德和存在舞弊意识
如果管理层对业务程序的控制松散,那么就给一些员工创造了利用公司资产,甚至从事任何非法或舞弊活动的机会。可能导致舞弊的一种典型的情况就是企业内不存在职责划分。例如,如果负责现金收取的收银员还要负责在分类账上记录交易,这就为该收银员擅自拿走现金而不记录相关交易创造了机会。此外,工作人员可能为了达到不现实的利润指标而造假或进行高风险的交易。一个人或更多人出错及欺诈的风险都属于这一领域。
由于资产以及金融交易的规模和数量都较大,大型的错误或欺诈行为的潜在危害是巨大的。
6.不妥善的外包安排
不妥善的外包安排将无法为企业带来所需的专长,或者帮助其实现商业目标。服务外包造成的问题主要是产品规格不明,这使承包商可能无法交付企业期望的产品,或者企业严重依赖承包商而未对其产品和服务进行检查。
二、应对操作风险的态度
(一)管理操作风险需要的条件
操作风险由一个组织中三个关键领域进行的活动而产生,这三个领域包括人员、流程和技术。操作失败允许损失积累,许多衍生出的大量损失由此产生。操作风险一向被松散地定义和量化。管理操作风险需要具备关于流程、系统和人员的知识,以及确保职责和程序能顺利执行的明确规定、记录以及遵守规定。一个企业所面临的许多风险是跨边界的。操作损失并不总是只发生在具有大量或者复杂业务的企业中。当然,产品的复杂性、市场的波动性,再加上一个组织中业务的错综复杂能够产生大量风险。
操作风险管理的益处包括:提高实现企业目标的能力,创造机会使管理层的注意力能够集中在产生收入的活动上,而非补救一个接一个的危机。还有助于使日常损失降至最低,并使企业风险管理系统更加完善。操作风险管理有利于设定一个系统,以了解不同类型风险之间的相互关系,以及在适当的时候建立模型。
(二)操作风险的评估
近年来,为了研究操作风险的具体测量方法开展了大量工作。直到今天,还没有发现类似 VAR的被普遍认可的计量方法,而很多的风险仍然继续采用传统方式计量。如前文所述,操作风险涉及广泛的领域,而且每个领域都面临着不同程度的计量难题。比较典型的操作风险计量方法有:
1. 员工方面:空缺职位数量、绝对数量及百分比、有职位空缺的期间、缺席员工的平均人数及最多人数、加班水平等。
2. 运作方面:已利用的容量的百分比、控制界限被突破的实例、系统失效的次数、系统运作结束时未被处理的项目数量、交易量、平均处理时间、最长处理时间、 -生产力水平、员工流动、每千次处理中发生差错的数量等。
3. 舞弊:舞弊或舞弊未遂实例的数量和价值、破坏安全系统未遂的次数。
4. 风险的自我评估:管理层对企业内的不同层级采用不同的调查问卷,要求每个人完成一系列的综合问题,以对其负责的领域进行自我评估。这些问题可能涉及如职工安置水平、对现有的已知问题的识别、技术支持的充分性和将在未来半年或一年内出现的计划变动。然后管理层对风险进行评级,即将特别重大的风险领域评为高优先级,次级重要的风险评为中等优先级,影响力有限的风险评为低优先级,并且在与下一级管理人员讨论后,以其优先级作为资源分配的基础。
除了风险的自我评估,可以将上文列出的指标纳入评级系统,这种评级系统同时利用客观和主观标准,为业务部门或运营部门评出风险分数。
另外一种方法是利用主要风险指标。主要风险指标是由管理层确立的客观的计量方法。由于它们是风险的主要指标,应当对它们进行定期追踪。例如,企业如果以要求员工定期体假作为把内部舞弊风险降至最小化的其中一种方法,就要定期追踪连续休假尚未达到规定期间的员工数量。
许多风险是属于操作性质的风险,因此,这些风险都可以采用上述方法计量。它们不一定是复杂的计量方法,但是,如果使用得当,有利于识别暴露潜在问题的领域,从而可以据此采取行动。
(三)应对操作风险
与可保风险、项目风险或大多数经营风险不同,操作风险的重点不是重大的不确定性。企业不会低估完成一项工作所需要的成本,或者新产品可能不受消费者欢迎的可能性。相反,企业要应对的是在实施己确立的程序时出现的小故障。会出现的问题及其后果是众所周知。因此,管理操作风险最为普遍采用的方法是:
1.设立流程、程序和政策
流程和程序有助于确保一个企业的政策得以实施。政策和程序的整理归档可以减少管理时间并且为雇员提供策略支持。流程和程序产生的风险包括由于流程、程序、控制或制衡的缺失或无效而引起风险所产生的不良后果。通常,这些程序是为了减少错误或欺诈而设计的。流程和程序的风险影响套期保值以及交易的决策、监督和风险控制功能,交易的处理以及对政策的遵守。
企业的竞争力在很大程度上是由其所立程序的有效性表现出来的。国际标准化组织 (ISO)只向那些证明已实施了能够提供高质量产品和服务的程序的企业颁发证书。显然,意识到在操作过程中会面临问题的企业,需要完善用于开展业务的程序。而这需要在必要时增加新的程序、更新现有程序及废止过时的程序。
2.在公司内实施正式的内部控制系统
可参考本书第八章关于内部控制架构的内容。其中提到要创建企业的内部控制环境,说明管理层的能力,强化内部控制文化和反舞弊意识。
3 .防止错误和欺诈
人员对于企业的运作至关重要,并且从风险管理的角度来看,他们往往代表一种最为显著的风险。交易涉及雇员的决策以及雇员之间的关系。因此,必须始终警惕潜在的错误和舞弊。执行反舞弊项目,设计和执行控制,以消除程序内嵌入的重大风险。
4.培训和管理雇员
由于雇员对企业的获利能力有较大影响,因此,对雇员进行有效的管理是很重要的。人力资掘管理的有效性,可通过旷工率、劳动力流失、事故率等来衡量。有关人力资源管理实务,可参见本书第五章第四节的相关内容。
5.评价技术和系统
技术和系统风险也属于操作风险,是由于商品或服务的定价和交易系统、技术依赖、支付系统、数据和网络保护、访问文件或数据可被欺诈性地改变而产生。
对系统和网络进行评价,要根据其对于破坏、欺诈或错误的脆弱性。如果只有一个员工能够操作一个复杂的系统,那么,就会产生很大的问题。关于技术和系统安全的风险属于技术性的问题,许多方面的讨论适合由行业专家来进行。
6.外包安排
企业应与外包服务商通过服务级别协议建立质量和服务的要求,并对其产品和服务进行定期的检查。
网站地图
专业知识水平考试:
考试内容以管理会计师(中级)教材:
《风险管理》、
《绩效管理》、
《决策分析》、
《责任会计》为主,此外还包括:
管理会计职业道德、
《中国总会计师(CFO)能力框架》和
《中国管理会计职业能力框架》
能力水平考试:
包括简答题、考试案例指导及问答和管理会计案例撰写。