了解操作风险：关键概念和管理策略

什么是操作风险？

操作风险总结了公司在某个领域或行业内尝试开展日常业务活动时的不确定性和危险。一种类型，它可能是由于内部程序、人员和系统的故障造成的，而不是由外部力量引起的问题，例如政治或经济事件，或者整个市场或细分市场固有的问题，称为。

管理运营风险意味着修复公司员工、系统和控制中的薄弱环节，以避免出现问题和财务损失。这种风险是一种非系统性风险，是特定企业或行业所特有的。可以通过内部审计和培训程序来纠正这一问题，以减少员工犯错误的可能性。

解读操作风险：内部影响和管理

操作风险关注的是组织内事物如何完成，而不一定是行业内产生或固有的事物。这些风险通常与有关组织如何运作及其优先事项的主动决策相关。虽然这些风险并不总是导致失败、产量减少或成本增加，但其严重程度受到内部管理决策的影响。

操作风险，通常称为人为风险，是指因人为错误而导致业务失败的可能性，因为它与人为流程和决策有关。它因行业而异，是做出潜在投资决策时的重要考虑因素。人际互动较少的行业可能具有较低的运营风险。

管理这些风险对于金融机构至关重要，因为运营损失可能难以预测且成本高昂。虽然传统方法涉及内部审计、流程和保险，但银行业已采用更先进的操作风险管理框架来解决日益增长的复杂性。

识别操作风险的根本原因

操作风险主要来自四个来源：人员、流程、系统和外部事件。公司应该尽可能减少这些风险，因为他们知道有些风险始终存在。

人们

与人员相关的运营风险可能源于没有足够的熟练员工。公司可能缺乏对特定问题具有正确知识的员工，或者在繁忙时期缺乏足够的员工。

公司可以雇佣员工来降低风险。但这带来了新的挑战，比如寻找合适的候选人、培训他们并留住他们。由于这些方面都是资源和时间密集型的，因此人为造成的运营风险与财务影响密切相关。

流程

每个公司都有自己的流程。复杂的制造商（例如汽车公司）与服务型公司不同。无论如何，如果不按顺序执行步骤，就可能会出现问题。无论哪种情况，所有公司都必须采取措施否则可能会产生有害的结果。

在许多情况下，特别是对于人员流动率较高的公司，公司可能尚未完全构建其流程或记录所有步骤。此外，一些流程还存在因串通和内部控制失败而被利用的风险，使公司面临因盗窃而蒙受损失的风险。

系统

现在许多企业都依赖软件系统。运营风险涉及这些系统过时、不良或设置不当。还有性能方面的考虑，因为运营风险包括一家公司的系统不如竞争对手的系统高效的可能性。

还存在与系统技术方面相关的操作风险。系统可能存在错误或技术缺陷，导致更多地暴露于。系统也有容量限制，公司对其系统功能寄予过高的期望，可能会增加风险。

外部事件

通常，运营风险来自公司外部，例如影响航运的自然灾害或限制运营的政治变化。其中一些类型的风险可以自行分类（例如地缘政治风险）。其他的则只是商业性质，例如第三方违约合同协议。

操作风险的 7 个主要类别

操作风险的四种来源可扩展为七大类。这七个主要类别包括（排名不分先后）：

1. 内部欺诈：员工密谋并经常串通超越内部控制并盗用公司资源。
2. 外部欺诈: 公司外部的独立方试图贿赂、盗窃、伪造或网络攻击。
3. 技术失败: 计算机系统、硬件、软件或其任何组件之间的交互存在缺陷。
4. 执行、交付和流程管理: 管理层无法正确评估情况并部署正确的策略，或者无法执行正确的策略。
5. 员工实践和工作场所安全: 存在违反工作场所安全措施或违反工作场所安全措施的风险，无论是身体、精神还是其他。
6. 自然灾害和实物资产损坏：恶劣天气、火灾或严酷的冬季条件可能会使实物资产面临风险，并使员工无法执行日常任务。
7. 客户、产品和商业实践: 其中包括损害客户的运营活动、误导性信息、疏忽或意外不符合要求。
   

评估操作风险：指标和指标

评估操作风险涉及关键风险指标（KRI）和数据。

KRI 是公司可以自行指定风险基准。它们可以帮助管理者监控风险水平、发出风险暴露变化的信号、评估控制措施的有效性，并确保组织在其设定的风险偏好范围内运作。例如，如果一家公司的目标是只与信誉良好的供应商合作，那么它可能会设定一个 KRI，即不超过三个供应商拖欠合同。在这一年中，公司可以评估是否实现了这一目标，如果没有实现，则找出原因，并采取措施降低风险。

KRI 通常是可量化的；对于公司来说，拥有可以实际跟踪和测量的东西是最有用的。因此，评估的第二个关键部分是数据。没有数据，公司永远不会知道其 KRI 是否正常或存在缺陷。公司可能会寻求建立强大的信息收集流程，无论是通过自动化、第三方调查、财务结果还是行业数据。

一些公司已经预定义了使用 KRI 和数据跟踪运营风险的领域。例如，银行可能需要某些流程、现金储备或系统操作。在这里，设定了基准，使风险评估变得更加容易。

管理操作风险的有效策略

在管理操作风险方面有几个总体策略和总体原则。尽管每家公司都可以选择处理操作风险的方式，但公司管理风险的四种主要方式如下。

避免不必要的风险

这是不言而喻的，但公司应该不断评估他们是否承担了没有真正回报的风险。考虑上面的例子，供应商可能会违约。如果公司可以与同样优秀（甚至更好）且信用记录更好的供应商合作，那么与不太优秀的供应商合作可能会带来风险。

与投资中的所有事情一样，风险和回报之间通常存在正相关关系。当公司承担更多风险时，他们应该获得更高回报的公平补偿。因此，公司可以通过消除那些不会给公司带来回报而只会带来不必要风险的流程来管理运营风险。

进行成本/效益分析

是一种数据驱动的方法，用于评估业务决策的潜在收益是否超过其相关成本。与上述概念类似，公司必须通过比较所承担的风险与所获得的收益来管理风险。这一步需要注意公司通过承担风险可能获得的回报，而不是仅仅关注风险。

例如，一家公司可能决定扩展到国际市场。此举可能涉及巨大的操作风险。然而，如果市场尚未开发并且进行了适当的研究，扩大业务的回报可能远远超过运营风险。有时，公司需要了解风险对于管理风险是必要的。

将决策委托给高层管理人员

为了让公司做出最明智的决策，通常最好由高层管理人员决定如何处理操作风险。这些团队成员通常对公司有最深刻的见解，并且知道可以协同工作的更大战略。

使用上面的例子，应指定高级管理团队成员负责国际扩张的决策。该高管应与公司所有团队的成员合作，更好地了解物流、法律、采购和运输风险。这种类型的责任不适合较低级别的个人贡献者。

预测风险

管理风险最重要的方面之一是了解风险何时接近并预测其结果。通过这样做，公司可以先发制人地决定是否接受、减轻或避免风险。

在上面的国际扩张示例中，公司可以轻松地进行大量研究，以更好地了解这个新市场的地理限制、政治风险或消费者偏好差异。接受或管理风险的第一步是了解未来可能发生的情况并制定克服风险的计划。

操作风险与其他类型的风险

区分操作风险和财务风险

在企业环境下，指公司的现金流量不足以履行其义务（即偿还贷款和其他债务）的可能性。尽管这种无能力可能与管理层（尤其是公司财务专业人员）做出的决策以及公司产品的绩效有关或导致，但财务风险被认为与操作风险不同。它通常与公司使用财务杠杆和债务融资有关，而不是与使公司成为盈利企业的日常努力有关。

操作风险与市场风险的对比

通常称为金融工具价格变动的风险。这些价格变化通常基于投资者对股票和公司的处置、利率或经济因素。市场风险主要集中在投资和证券上，而操作风险主要集中在公司的内部运营、资源和人员上。

探索运营风险和战略风险之间的差异

这两类风险可能在某些领域混合在一起，但最大的区别是战略风险通常是长期的，并且可能涉及更多的外部各方。新竞争对手进入市场是一种战略风险，尽管公司如何日常处理这一风险是一种运营风险。竞争对手也可能决定进入该市场，因为他们认为自己的运营风险水平可能低于其他公司。

操作风险的例子

可能涉及操作风险的领域之一是必要系统和设备的维护。如果需要两项维护活动，但确定当时只能承担一项，则选择执行一项而不是另一项会改变操作风险，具体取决于哪个系统处于失修状态。如果系统出现故障，其负面影响与操作风险直接相关。

其他符合操作风险的领域往往涉及组织内的人员。例如，如果以销售为导向的企业由于工资成本较低或其他因素而选择保留低于标准的销售人员，则被视为运营风险。同样的道理也适用于未能妥善维护员工以避免某些风险。例如，在一家制造公司中，选择不配备合格的机械师，而不得不依赖对于这项工作，可以归类为操作风险。这不仅会影响系统的平稳运行，还会导致额外的时间延迟。

员工自愿参与欺诈活动也可能被视为运营风险。在这种情况下，风险涉及如果活动被发现则可能产生后果。由于个人决定进行欺诈，因此它被认为是与企业运营方式相关的风险。

底线

操作风险是指由于业务的许多正常方面而造成损失的风险。这包括因流程失败、员工不熟练或系统不完善而造成损失的风险，而不是金融危机和外部事件造成的风险。公司可以通过内部控制和程序来寻求降低运营风险，以减少这些错误的发生。

然而，一些操作风险是不可避免的，准确了解业务风险以做出明智的决策非常重要。