建立操作風險 長效管理機制

　　解開企業(yè)操作風險管理的謎團，進行業(yè)務流程建模并形成一套完整的企業(yè)風險管理模型則是當今企業(yè)亟需完成的一項基礎工作。這其中，如何選擇風險評估管理信息系統(tǒng)，系統(tǒng)選擇過程中應該注意什么問題是在企業(yè)中擔當風險責任人的CFO們必須關注的話題。

　　操作風險實際上是由不完善或有問題的內部流程、員工和信息系統(tǒng)以及外部事件所導致的直接或間接損失的風險的集合。從操作風險的定義就可以清晰地看出，影響操作風險發(fā)生的主要因素至少包括：流程、組織和系統(tǒng)。而上述這些因素，恰恰是構成企業(yè)正常運營的主要管理要素。

　　其中的任何一個環(huán)節(jié)發(fā)生問題都會造成企業(yè)系統(tǒng)出問題。

　　因此，操作風險的管理就是對企業(yè)的流程、組織、系統(tǒng)進行有效管理的過程。但是，現(xiàn)代企業(yè)越來越龐大，管理的復雜遠非人力所及。

　　值得慶幸的是，信息技術的發(fā)展已經可以幫助人們解決這一問題。業(yè)務流程建模管理軟件可以通過業(yè)務流程建模管理軟件將企業(yè)的組織、流程、數(shù)據(jù)、系統(tǒng)、產品/服務等所有這些管理元素，通過關系型數(shù)據(jù)庫建立起可視化的業(yè)務模型。

　　這些業(yè)務模型既在各自的領域內對企業(yè)的組織結構、系統(tǒng)架構、部門職責、產品服務進行了很好的描述，同時又被中央的業(yè)務流程模型所引用并相互關聯(lián)起來。從而構成了一套完整的業(yè)務流程管理模型。這套企業(yè)惟一的、可視化的業(yè)務模型就可以支持最高管理層及風險管理部門對企業(yè)的所有業(yè)務活動、信息系統(tǒng)、組織員工進行完整的審視與分析，從而在該模型的基礎上，建立企業(yè)的操作風險管理業(yè)務模型。確保企業(yè)從一開始就抓住操作風險管理的制高點，而不會迷失在部門、流程以及系統(tǒng)密布的叢林中。

　　值得注意的是，業(yè)務流程建模管理軟件只是輔助管理者進行企業(yè)業(yè)務梳理的工具，可以減輕梳理后的文檔管理工作和提高業(yè)務分析的效率，它并不能替代人進行業(yè)務梳理。 軟件可以將無論是企業(yè)戰(zhàn)略目標的輸入、關鍵績效指標的設定，還是風險事件的識別，都可以最終通過業(yè)務模型的方式在信息系統(tǒng)中加以描述與展示。而這些風險管理要素最終又會通過建模的方式與業(yè)務流程建立起關聯(lián)，形成企業(yè)完整的風險管理參考模型。

　　如果說了解人體奧秘，在當今生命科學中最重大的一項工作是描繪人類DNA圖譜的話，那么要解開企業(yè)操作風險管理的謎團，進行業(yè)務流程建模并形成一套完整的企業(yè)風險管理模型則是當今企業(yè)亟需完成的一項基礎工作。

　　操作風險管理流程

　　知曉了操作風險的范圍和重要性，企業(yè)就應該著手建立一個關于風險識別、計量和管理的系統(tǒng)化過程。操作風險管理過程通常包括如下步驟。

　　1、風險政策和組織；

　　2、風險識別和評估；

　　3、風險配置和計量；

　　4、風險減緩和控制；

　　5、風險轉移和融資。

　　上述步驟中，很多企業(yè)已經制定了風險政策和成立了專門的風險管理組織，并完成了風險的識別，有些企業(yè)已經著手開始準備進行風險評估。但通常做到風險評估這一步，工作就很難再往下開展了。因為這時風險管理工作者面臨的又是前面提到的這張巨大而無形的企業(yè)管理網(wǎng)絡。如何有效的組織各個部門、所有崗位、全體員工對其所負責的業(yè)務流程、信息系統(tǒng)、崗位職責進行定期的、可衡量的操作風險自我評估，不是一個部門或一個領導的一次命令或一次動員就可以完成的。因為企業(yè)的組織、流程、系統(tǒng)隨時都會因為外部或內部環(huán)境的改變而改變，因此風險的識別和評估是一個持續(xù)的過程。這就需要一套有信息系統(tǒng)支持的、能夠讓全員參與的、按照一定期間的、能隨企業(yè)組織、流程、系統(tǒng)改變而觸發(fā)的風險評估管理信息系統(tǒng)。

　　這樣一套系統(tǒng)首先要求其評估的對象來自企業(yè)已經更新維護后的組織、流程和信息系統(tǒng)，以及在此基礎上識別的風險；其次，要求能夠應用風險評估模板對評估的結果進行定量、定型的分析與評價，從而幫助管理層識別最需要優(yōu)先解決的風險事件，建立企業(yè)的風險地圖；最后，這樣一套評估管理流程的流程執(zhí)行狀況還應該能夠被及時地跟蹤與分析，以幫助風險管理部門對風險評估過程進行遠程監(jiān)督與管理。只有這樣，才能逐步將風險評估管理這項看似復雜異常的工作變成一項自覺的日常管理行為， 使風險評估管理真正在企業(yè)持續(xù)有效的運行。

　　CFO ：風險管控  責無旁貸

　　如何選擇風險評估管理信息系統(tǒng)，系統(tǒng)選擇過程中應該注意什么問題，則是CFO們應該關注的問題。

　　風險評估管理系統(tǒng)主要作用是幫助企業(yè)更好收集、記錄各責任部門或責任人對正在運行業(yè)務風險狀況的評價，支持形成定期的風險管理報告（如風險熱圖、決策矩陣等），為管理層進行風險管理決策提供依據(jù)。

　　以筆者多年的經驗看，風險管理系統(tǒng)的選擇應避免以下誤區(qū)：1）期望能夠自動識別風險。風險評估管理系統(tǒng)本身不能自動識別企業(yè)運營過程中的風險，而是依據(jù)預先定義的風險類型、風險指標、風險評價計算模型，幫助收集、匯總、計算風險發(fā)生的可能性和重要程度。2）期望評價數(shù)據(jù)自動生成。由于風險評價本身具有一定的主觀性和人為判斷因素，因此不能奢望風險管理系統(tǒng)自動填寫相關評價指標，風險評估管理系統(tǒng)的初始數(shù)據(jù)主要應來源于風險責任部門或負責人的輸入。以上兩個誤區(qū)實際上不是對信息系統(tǒng)的過度神化，就是簡單的認為風險管理依靠流程自動化就可以實現(xiàn)的錯誤認識。

　　眾所周知，無論發(fā)生在安然、世通或是長期資本管理公司的風險丑聞，都不是由于信息系統(tǒng)故障或錯誤造成的，這些公司都有堪稱世界領先的管理信息系統(tǒng)和風險管理技術，所以會發(fā)生如此重大的風險事件，主要還是缺乏一種健康的風險管理文化和企業(yè)自律機制，沒有形成全員的風險管理意識。風險管理不能僅僅局限于財務會計部門、風險管理部門或審計部門，而是應該成為每個關鍵業(yè)務人員的自覺意識。基于上述認識，可以發(fā)現(xiàn)風險管理系統(tǒng)的作用不在于自動發(fā)現(xiàn)風險，而是在于通過系統(tǒng)實施推動企業(yè)從上到下形成全員風險管理的意識，形成定期評估與發(fā)現(xiàn)風險的管理機制。

　　關于風險評估管理系統(tǒng)的選擇標準，首先風險評估的對象是企業(yè)的經營過程，因此風險評估管理系統(tǒng)的重要選擇標準之一就是其維護的業(yè)務流程描述、組織結構信息、信息系統(tǒng)描述都應與企業(yè)的現(xiàn)狀保持一致。而達到上述條件的惟一途徑就是需要企業(yè)擁有一套業(yè)務建模系統(tǒng)，并能夠持續(xù)地在該系統(tǒng)上進行業(yè)務模型與業(yè)務現(xiàn)實的一致性維護。

　　任何寄希望于單獨維護一套與風險管理相關的業(yè)務描述，都會為系統(tǒng)后期的運維造成不可估量的災難后果。正如上期環(huán)境篇所述，企業(yè)的組織、流程、系統(tǒng)、數(shù)據(jù)就像一張龐大的蜘蛛網(wǎng)，如果沒有一套統(tǒng)一的業(yè)務建模規(guī)范、統(tǒng)一的維護管理機制，就會造成各種諸如業(yè)務描述不一致、崗位命名不統(tǒng)一、部門相互隔閡、業(yè)務信息嚴重不對稱等問題的發(fā)生。其次，風險評估管理系統(tǒng)應能夠支持B/S架構，簡單的說就是能夠讓員工無論在哪個地方，都能夠方便的通過互聯(lián)網(wǎng)訪問，這樣才能夠確保最大范圍的支持全員參與。第三，風險評估管理系統(tǒng)應能夠方便的發(fā)起問題管理流程，該項標準借鑒了IT服務管理中的問題管理概念，即要求在任何時點、任何環(huán)節(jié)、只要具有相關權限，風險責任人就可以對任意關注的潛在問題發(fā)起問題管理流程，并要求相關的負責人給予回復。只有建立起支持上述標準的系統(tǒng)平臺，才能真正在企業(yè)形成一種健康的、積極的、全員參與的風險管理文化。提升企業(yè)應對風險的能力，提高市場競爭力。