解开企业操作风险管理的谜团,进行业务流程建模并形成一套完整的企业风险管理模型则是当今企业亟需完成的一项基础工作。这其中,如何选择风险评估管理信息系统,系统选择过程中应该注意什么问题是在企业中担当风险责任人的CFO们必须关注的话题。
操作风险实际上是由不完善或有问题的内部流程、员工和信息系统以及外部事件所导致的直接或间接损失的风险的集合。从操作风险的定义就可以清晰地看出,影响操作风险发生的主要因素至少包括:流程、组织和系统。而上述这些因素,恰恰是构成企业正常运营的主要管理要素。
其中的任何一个环节发生问题都会造成企业系统出问题。
因此,操作风险的管理就是对企业的流程、组织、系统进行有效管理的过程。但是,现代企业越来越庞大,管理的复杂远非人力所及。
值得庆幸的是,信息技术的发展已经可以帮助人们解决这一问题。业务流程建模管理软件可以通过业务流程建模管理软件将企业的组织、流程、数据、系统、产品/服务等所有这些管理元素,通过关系型数据库建立起可视化的业务模型。
这些业务模型既在各自的领域内对企业的组织结构、系统架构、部门职责、产品服务进行了很好的描述,同时又被中央的业务流程模型所引用并相互关联起来。从而构成了一套完整的业务流程管理模型。这套企业惟一的、可视化的业务模型就可以支持最高管理层及风险管理部门对企业的所有业务活动、信息系统、组织员工进行完整的审视与分析,从而在该模型的基础上,建立企业的操作风险管理业务模型。确保企业从一开始就抓住操作风险管理的制高点,而不会迷失在部门、流程以及系统密布的丛林中。
值得注意的是,业务流程建模管理软件只是辅助管理者进行企业业务梳理的工具,可以减轻梳理后的文档管理工作和提高业务分析的效率,它并不能替代人进行业务梳理。 软件可以将无论是企业战略目标的输入、关键绩效指标的设定,还是风险事件的识别,都可以最终通过业务模型的方式在信息系统中加以描述与展示。而这些风险管理要素最终又会通过建模的方式与业务流程建立起关联,形成企业完整的风险管理参考模型。
如果说了解人体奥秘,在当今生命科学中最重大的一项工作是描绘人类DNA图谱的话,那么要解开企业操作风险管理的谜团,进行业务流程建模并形成一套完整的企业风险管理模型则是当今企业亟需完成的一项基础工作。
操作风险管理流程
知晓了操作风险的范围和重要性,企业就应该着手建立一个关于风险识别、计量和管理的系统化过程。操作风险管理过程通常包括如下步骤。
1、风险政策和组织;
2、风险识别和评估;
3、风险配置和计量;
4、风险减缓和控制;
5、风险转移和融资。
上述步骤中,很多企业已经制定了风险政策和成立了专门的风险管理组织,并完成了风险的识别,有些企业已经着手开始准备进行风险评估。但通常做到风险评估这一步,工作就很难再往下开展了。因为这时风险管理工作者面临的又是前面提到的这张巨大而无形的企业管理网络。如何有效的组织各个部门、所有岗位、全体员工对其所负责的业务流程、信息系统、岗位职责进行定期的、可衡量的操作风险自我评估,不是一个部门或一个领导的一次命令或一次动员就可以完成的。因为企业的组织、流程、系统随时都会因为外部或内部环境的改变而改变,因此风险的识别和评估是一个持续的过程。这就需要一套有信息系统支持的、能够让全员参与的、按照一定期间的、能随企业组织、流程、系统改变而触发的风险评估管理信息系统。
这样一套系统首先要求其评估的对象来自企业已经更新维护后的组织、流程和信息系统,以及在此基础上识别的风险;其次,要求能够应用风险评估模板对评估的结果进行定量、定型的分析与评价,从而帮助管理层识别最需要优先解决的风险事件,建立企业的风险地图;最后,这样一套评估管理流程的流程执行状况还应该能够被及时地跟踪与分析,以帮助风险管理部门对风险评估过程进行远程监督与管理。只有这样,才能逐步将风险评估管理这项看似复杂异常的工作变成一项自觉的日常管理行为, 使风险评估管理真正在企业持续有效的运行。
CFO :风险管控 责无旁贷
如何选择风险评估管理信息系统,系统选择过程中应该注意什么问题,则是CFO们应该关注的问题。
风险评估管理系统主要作用是帮助企业更好收集、记录各责任部门或责任人对正在运行业务风险状况的评价,支持形成定期的风险管理报告(如风险热图、决策矩阵等),为管理层进行风险管理决策提供依据。
以笔者多年的经验看,风险管理系统的选择应避免以下误区:1)期望能够自动识别风险。风险评估管理系统本身不能自动识别企业运营过程中的风险,而是依据预先定义的风险类型、风险指标、风险评价计算模型,帮助收集、汇总、计算风险发生的可能性和重要程度。2)期望评价数据自动生成。由于风险评价本身具有一定的主观性和人为判断因素,因此不能奢望风险管理系统自动填写相关评价指标,风险评估管理系统的初始数据主要应来源于风险责任部门或负责人的输入。以上两个误区实际上不是对信息系统的过度神化,就是简单的认为风险管理依靠流程自动化就可以实现的错误认识。
众所周知,无论发生在安然、世通或是长期资本管理公司的风险丑闻,都不是由于信息系统故障或错误造成的,这些公司都有堪称世界领先的管理信息系统和风险管理技术,所以会发生如此重大的风险事件,主要还是缺乏一种健康的风险管理文化和企业自律机制,没有形成全员的风险管理意识。风险管理不能仅仅局限于财务会计部门、风险管理部门或审计部门,而是应该成为每个关键业务人员的自觉意识。基于上述认识,可以发现风险管理系统的作用不在于自动发现风险,而是在于通过系统实施推动企业从上到下形成全员风险管理的意识,形成定期评估与发现风险的管理机制。
关于风险评估管理系统的选择标准,首先风险评估的对象是企业的经营过程,因此风险评估管理系统的重要选择标准之一就是其维护的业务流程描述、组织结构信息、信息系统描述都应与企业的现状保持一致。而达到上述条件的惟一途径就是需要企业拥有一套业务建模系统,并能够持续地在该系统上进行业务模型与业务现实的一致性维护。
任何寄希望于单独维护一套与风险管理相关的业务描述,都会为系统后期的运维造成不可估量的灾难后果。正如上期环境篇所述,企业的组织、流程、系统、数据就像一张庞大的蜘蛛网,如果没有一套统一的业务建模规范、统一的维护管理机制,就会造成各种诸如业务描述不一致、岗位命名不统一、部门相互隔阂、业务信息严重不对称等问题的发生。其次,风险评估管理系统应能够支持B/S架构,简单的说就是能够让员工无论在哪个地方,都能够方便的通过互联网访问,这样才能够确保最大范围的支持全员参与。第三,风险评估管理系统应能够方便的发起问题管理流程,该项标准借鉴了IT服务管理中的问题管理概念,即要求在任何时点、任何环节、只要具有相关权限,风险责任人就可以对任意关注的潜在问题发起问题管理流程,并要求相关的负责人给予回复。只有建立起支持上述标准的系统平台,才能真正在企业形成一种健康的、积极的、全员参与的风险管理文化。提升企业应对风险的能力,提高市场竞争力。
