2011年注册会计师考试公司战略与风险管理精讲笔记38

第二节 识别、评估和应对企业面临的操作风险

　　一、操作风险概述

　　(一)操作风险的特征

　　操作风险是指企业在进行基本操作时经受的风险。例如，由人员、程序、技术引起的损失的可能。换句话说，操作风险是指因不充分的或失灵的内部程序、人员和系统或者外部事件而发生损失的风险。因此，企业需要对操作风险进行定义，包括终端产品、资源及用于生产该产品的程序。

　　操作风险是大多数企业面临的最大风险领域之一。然而，传统的管理方法对于这个领域并未采用有组织的方式。例如，许多公司早已设立了信贷部门，但是直到现在，设置操作风险部门的公司还很少。

　　操作风险与企业的运作有着紧密关联。考虑企业会面临的与运作有关的问题时，有以下示例:

　　1. 一名售货员将女衬衫的价签弄错了，因此向买了这件商品的顾客少收了钱。

　　2. 飞行员对飞机距离地面过低的警报置之不理，导致飞机撞上山腰，机上人员无人生还。

　　3. 在记录客户的电话号码肘，业务员一不小心将两个数字的位置颠倒了，所以联系不到客户，没有办法电话跟进。

　　可以发现，操作风险与其他类型的风险不同，它出现的原因在于它不是管理未知事项，而是处理己确立的程序。由于操作风险不是应付重大的未知事项，因此，在企业面临的所有风险类型中，操作风险是最便于管理的。它并不涉及任何对于未来事项的推测。就操作风险而言，企业面临的主要风险是在执行已明确的工作时，采取错误的步骤。

　　(二)操作风险的源头

　　在业务操作过程中，实施某个程序时可能出错的地方有很多。以下是一些较为常见的操作风险来源:

　　1.缺乏规定程序

　　对于小企业来说，随机应变的操作可能是不错的选择，原因在于它的交易量很小，不必设置复杂的程序。但是，随着业务量的增加，业务越来越复杂，设立正规的程序变得日益重要。当程序滞后于其日益复杂的操作时，缺乏程序和效率会对企业发展产生遏制作用。

　　2.雇员缺乏培训

　　缺乏培训的雇员，可能犯致命错误。错误的一步可能使本己糟糕的情况演变成"噩梦"。尽管有时候公司已意识到培训的重要性，但是，它们不愿意为员工提供培训11。原因有很多:(1)培训被视为一项昂贵的管理费用，而且常常不能立即帮助企业提高获利能力 (2)雇员接受培训时，将无法工作，因此，培训通常会使雇员的手头工作中断; (3)接受培训与应用新技能之间往往存在时间上的滞后 (4)培训的效力往往并非显见的。当然，对雇员进行如何正确使用设备的培训，能够产生明显的效果，但是，软技能的培训"(比如有效沟通的课程)的效果常常并不明显 (5)人员流动频繁，如果员工很可能在几个月内离开公司，那么为员工提供培训看起来似乎很不值当。

　　公司战略与风险管理

　　3.疏忽

　　操作风险的一大成因被称为"疏忽"这是指某人在执行任务时并未将注意力放在这件工作上。由于注意力不集中，就会犯错误。疏忽的根源一般是疲劳、分心和厌烦。

　　4.设备及软件维护不足或已报废

　　设备和软件的维护是指为了保持设备和软件的正常运转而对其开展的一系列活动。预防性维修就是其中一种维护类型。例如，在管理公司的车队时，为每行驶三千英里的汽车发动机更换机油，这就是一种预防性维修。另一种维修类型是在事故发生时，为设备进行修理。

　　5.缺乏职业道德和存在舞弊意识

　　如果管理层对业务程序的控制松散，那么就给一些员工创造了利用公司资产，甚至从事任何非法或舞弊活动的机会。可能导致舞弊的一种典型的情况就是企业内不存在职责划分。例如，如果负责现金收取的收银员还要负责在分类账上记录交易，这就为该收银员擅自拿走现金而不记录相关交易创造了机会。此外，工作人员可能为了达到不现实的利润指标而造假或进行高风险的交易。一个人或更多人出错及欺诈的风险都属于这一领域。

　　由于资产以及金融交易的规模和数量都较大，大型的错误或欺诈行为的潜在危害是巨大的。

　　6.不妥善的外包安排

　　不妥善的外包安排将无法为企业带来所需的专长，或者帮助其实现商业目标。服务外包造成的问题主要是产品规格不明，这使承包商可能无法交付企业期望的产品，或者企业严重依赖承包商而未对其产品和服务进行检查。

　　二、应对操作风险的态度

　　(一)管理操作风险需要的条件

　　操作风险由一个组织中三个关键领域进行的活动而产生，这三个领域包括人员、流程和技术。操作失败允许损失积累，许多衍生出的大量损失由此产生。操作风险一向被松散地定义和量化。管理操作风险需要具备关于流程、系统和人员的知识，以及确保职责和程序能顺利执行的明确规定、记录以及遵守规定。一个企业所面临的许多风险是跨边界的。操作损失并不总是只发生在具有大量或者复杂业务的企业中。当然，产品的复杂性、市场的波动性，再加上一个组织中业务的错综复杂能够产生大量风险。

　　操作风险管理的益处包括:提高实现企业目标的能力，创造机会使管理层的注意力能够集中在产生收入的活动上，而非补救一个接一个的危机。还有助于使日常损失降至最低，并使企业风险管理系统更加完善。操作风险管理有利于设定一个系统，以了解不同类型风险之间的相互关系，以及在适当的时候建立模型
　(二)操作风险的评估

　　近年来，为了研究操作风险的具体测量方法开展了大量工作。直到今天，还没有发现类似 VAR的被普遍认可的计量方法，而很多的风险仍然继续采用传统方式计量。如前文所述，操作风险涉及广泛的领域，而且每个领域都面临着不同程度的计量难题。比较典型的操作风险计量方法有:

　　1. 员工方面:空缺职位数量、绝对数量及百分比、有职位空缺的期间、缺席员工的平均人数及最多人数、加班水平等。

　　2. 运作方面:已利用的容量的百分比、控制界限被突破的实例、系统失效的次数、系统运作结束时未被处理的项目数量、交易量、平均处理时间、最长处理时间、 -生产力水平、员工流动、每千次处理中发生差错的数量等。

　　3. 舞弊:舞弊或舞弊未遂实例的数量和价值、破坏安全系统未遂的次数。

　　4. 风险的自我评估:管理层对企业内的不同层级采用不同的调查问卷，要求每个人完成一系列的综合问题，以对其负责的领域进行自我评估。这些问题可能涉及如职工安置水平、对现有的已知问题的识别、技术支持的充分性和将在未来半年或一年内出现的计划变动。然后管理层对风险进行评级，即将特别重大的风险领域评为高优先级，次级重要的风险评为中等优先级，影响力有限的风险评为低优先级，并且在与下一级管理人员讨论后，以其优先级作为资源分配的基础。