发布日期:2024 年 5 月 23 日
撰稿人:Cole Stryker
运营风险是由于内部流程、人员和系统不足或失败或外部事件造成的损失的总结。
运营风险是企业和组织面临的四大风险类型之一,另外三种风险为战略风险、信用风险和市场风险。运营风险管理 (ORM) 意味着,需要识别、评估和缓解运营风险,以降低风险可能性和影响,从而尽量减少可能产生的损失。
以下是运营风险的几个例子,如果企业没有准备好管理这些风险,这些风险可能会让企业措手不及:
- 一家小型企业因主要客户延迟付款而面临现金流危机,难以支付工资和运营费用。
- 一段传播广泛的视频显示某品牌快餐连锁店的一家餐厅卫生条件不佳,这导致其客户信任度和销售额下降,面临公关危机。
- 一家软件公司面临知识产权侵权诉讼,带来法律费用、潜在损害,导致产品开发停止。
每家公司都面临着多种运营风险,从大体在组织控制范围内的风险(例如不遵守法规的风险)到完全超出公司能力甚至无法预测的因素(例如意外的疫情爆发)。
随着运营复杂性的上升,例如涉及众多系统和国家/地区的多种类型的运营,组织面临的风险也在增加,从而更有可能发生某种运营失误并影响组织的声誉或利润。
各种商业行为所涉及的风险类型可以大致分类。以下是常用来区分不同风险的 6 个类别。
这些风险与内部流程的效率和有效性有关。例如,交易处理中的错误或延迟、处理客户投诉的程序不完善、供应链中断或内部控制失败。
为避免流程风险,组织可通过引入人工智能 (AI) 驱动的自动化来改进工作流程,从而减少出现速度减慢、中断和短缺的可能性。流程记录还可以帮助高级管理层了解可以在哪些方面进行改进。
这包括与员工相关的风险,如人力资源短缺或者任何形式的人为错误、欺诈或不当行为。具体示例包括:
- 员工未经授权的交易(内部欺诈)
- 供应商违约(外部欺诈)
- 数据输入错误
- 工作场所事故
- 由于缺乏培训而未能遵守监管要求。
为降低人员风险,公司会采取措施引进足够数量的技能高超、训练有素、合乎道德的人员,并将他们安排在组织内,促进在以工作场所安全为特征的环境中的成功合作。
有时称为“技术风险”,指因组织内部使用技术和系统而产生的风险。风险事件可能包括错误、系统故障、网络攻击或其他网络安全故障、数据泄露或 IT 基础设施不足。
系统可能会以多种方式崩溃或受到损害,首席技术官 (CTO)、首席信息官 (CIO)、首席数据官 (CDO) 和 IT 经理有责任帮助确保系统安全可靠和平稳运行。
财务风险包括财务决策造成财务损失的风险,例如现金流不足无法满足运营需要、不良投资或合作伙伴未能履行对组织的财务义务的风险。
这是一个统称,用于描述由战略举措所引发的所有业务风险。并购、新产品上市和品牌变更,所有这些商业决策都面临一定的风险。
这些风险来自组织无法控制的外部因素。示例包括影响实物资产的自然灾害、政治不稳定和金融服务崩溃或大型金融机构倒闭、突然的监管变化或流行病。
企业外部充满变数,随时都可能发生导致业务中断的事件。虽然无法完全避免,但运营经理必须制定有效方法进行事件预测并快速做出响应,以保持业务连续性。
运营风险评估是识别、分析并评估与企业日常运营相关的各种风险的过程。企业无法完全而彻底地避免所有运营风险。运营风险评估的目的是,帮助利益相关者识别风险、评估风险严重级别并寻找降低风险的方法。
第一步是识别组织的运营流程、系统和活动中的潜在风险。
这包括收集信息,审查任何业务要素及其可能涉及的妨碍本组织目标实现的风险。
集思广益、员工面谈和文件审查可用于识别风险。
确定风险后,运营经理可以对其进行分析,以评估其可能性及其对组织的潜在影响。
这包括评估每种风险的频率和严重性,并确定可接受的风险暴露水平。
可以使用各种分析技术来评估风险,例如风险矩阵、情景分析和历史数据分析。
在分析风险之后,还会对风险进行评估,以根据它们对企业的影响程度确定其优先级。
通常,会根据严重性和发生可能性对风险进行分类,以便企业能够集中资源优先解决最关键的风险。
风险评估需要考虑组织的风险承受能力、监管要求和战略目标等因素。组织使用关键风险指标 (KRI) 量化风险。
在评估风险并确定优先顺序后,企业将制定并实施风险处理策略,以有效管理并降低风险。
风险处置策略可能包括避免风险、减少风险、转移风险或接受风险。组织还可以实施控制和保障措施,以最大限度地减少已识别风险的可能性和影响。
运营风险评估是一个持续的过程,应通过内部审计定期监控和审查风险,以帮助确保风险管理策略仍然有效。
这包括跟踪组织运营环境的变化、评估所实施控制措施的有效性,并根据需要更新风险评估。
持续监控和审查使组织能够适应不断变化的风险,并随着时间的推移维护有效的风险管理框架。
了解风险偏好、风险承受能力和风险状况之间的差异对于有效管理操作风险至关重要。
风险偏好是广泛的和战略性的,定义了冒险的总体方法。风险承受能力更加具体,为特定领域设定可接受的风险级别。风险状况提供了当前风险状况的快照。
这是一个组织在追求其战略目标时愿意接受的总体风险水平。它反映了组织对承担风险的态度以及在不危及其核心使命和目标的情况下承担损失风险的能力。它与长期目标和战略相一致,可以从低到高进行表述。
这是一个组织在特定领域或特定项目中准备接受的具体风险水平。它在风险偏好设定的更广泛的 ORM 框架内提供了更详细的阈值。风险承受能力通常以更明确、可衡量的术语来表示,例如最大可接受损失或预算的偏差。
风险状况是对组织当前面临的风险类型和级别的全面总结。它包括各种风险的可能性和潜在影响的评估以及如何管理这些风险。
风险状况反映了当前的风险敞口和风险管理的有效性,提供了风险态势的完整图景。该状况会定期更新,以反映风险环境的变化、新出现的风险和风险控制的有效性。
在对风险进行识别、评估和优先排序后,组织就可以努力降低这些风险。这个过程分为几个类别。有效的运营风险管理涉及根据严重性、即时性和许多其他因素选择最佳的风险应对措施。
- 避免风险:识别风险太大的活动;如果这些活动超出组织的风险偏好范围,则考虑避免不必要的风险。
- 减少风险:采取措施,降低风险的可能性或影响。这可以包括定义指标、增强内部控制、改进业务流程和开发 ORM 流程。
- 风险转移:通过保险、外包或合同协议将风险转移给第三方。
- 接受风险:如果某些风险在组织的风险偏好范围之内,且进一步降低风险的成本效益不高,则接受这些风险。协助确保制定计划来管理和监控这些可接受的风险。
使用 ORM 软件可以增强运营风险管理计划,该软件旨在帮助组织在一个环境中识别、评估、缓解和监控其业务运营中的运营风险。
ORM 程序提供自我评估工具,用于捕获和记录各种类型的风险,并允许用户记录风险控制。除了识别之外,风险管理软件还提供使用风险评分方法和风险矩阵等各种分析技术来评估风险的能力。
识别和评估风险后,用户可以使用工具来缓解和控制风险,以降低其可能性和影响。当运营损失不可避免地发生时,风险管理流程可以帮助管理人员跟踪事件并确定责任和补救措施。
软件可以帮助进行合规性管理,具体是通过提供用于跟踪法律、法规和标准的工具,以及确定公司可能存在合规性差距的领域来实现。风险管理软件还可以与企业风险管理 (ERM) 和其他系统集成,以实现风险数据共享并简化跨职能团队的协作。
IBM® OpenPages 是一个 AI 驱动的治理、风险和合规平台,旨在帮助组织管理风险和监管合规方面的挑战。
借助 IBM OpenPages Operational Risk Management 模块,在充满动态运营风险的环境中从容应对各种状况,确保实现企业目标。
我们利用可扩展的运营和智能工作流程,帮助客户实现优先事项、管理风险、打击金融犯罪和欺诈,并在满足监管要求的同时满足不断变化的客户需求。