从操作风险管理到业务流程管理——建立操作风险的长效管理机制(上)
发表时间:2009-1-25 作者: IDS Scheer中国 来源: IDS Scheer中国
关键字: BPM ERP 风险管理 应用实施 

操作风险,也称为营运风险,在许多方面并不是一个新生事物,随着商业活动的产生就伴随着各种各样的对人员可靠性、技术可靠性、方法与过程完整性等方面问题和风险的关注。 然而,即使这样一个古老的话题,在当今企业管理中仍未得到一种有效机制加以管理,因而产生了诸多震惊世界的由于操作风险管理失败而造成企业倒闭或破产的著名案例。

  环境篇

    操作风险,也称为营运风险,在许多方面并不是一个新生事物,随着商业活动的产生就伴随着各种各样的对人员可靠性、技术可靠性、方法与过程完整性等方面问题和风险的关注。 然而,即使这样一个古老的话题,在当今企业管理中仍未得到一种有效机制加以管理,因而产生了诸多震惊世界的由于操作风险管理失败而造成企业倒闭或破产的著名案例。痛定思痛,金融监管机构、证券监管机构相继推出各种要求企业加强操作风险管理的新监管规定,如巴塞尔II 协议对金融机构操作风险资本准备金的要求,美国内部控制委员会推出的全面风险整合管理框架的建议,各国“萨班斯法案”的相继出台,我国银监会推出的“商业银行操作风险管理指引”、上海证交所推出的“上市公司内部控制指引”、国资委针对中央企业推出的“全面风险管理指引”等等,全部把监管的枪口瞄准了企业操作风险的管理。可见,为操作风险管理建立一种企业长效管理运行机制已经迫在眉睫。

    操作风险,顾名思义,是指由不完善或有问题的内部流程、员工和信息系统,以及外部事件所导致的直接或间接损失的风险。

    从操作风险的定义就可以清晰地看出,影响操作风险发生的主要因素至少包括:流程、组织和系统。而上述这些因素,恰恰是构成企业正常运营的主要管理要素。我们知道,一个企业如果没有组织或人员,就不能成为企业,而组织和人员又会按照不同的职责被分配到各项业务活动中,为了使业务活动更加高效,便引用了信息系统对业务活动加以支持或进行流程的自动化,最终通过这些业务流程生产出产品和服务提供给市场或客户,换回企业持续发展的血液——资金。因此,组织、系统、流程中的任何一个环节发生问题,都会造成企业系统供血不足,甚至失血过多而死亡。

    因此,操作风险的管理就是对企业的流程、组织、系统进行有效管理的过程。但是,现代企业越来越庞大,像巴林银行、法国兴业银行、世通公司、安然公司等等这些因操作风险管理失败而倒下的巨人都是拥有数十年、甚至百年历史的跨国公司或全球性企业,其组织机构之庞大、业务流程之不计其数、信息系统之管理复杂都远非人力所及。对操作风险进行管理首先要面临的挑战就是如何理清企业这张巨大的、无形的组织、流程、系统网络。

    值得庆幸的是,信息技术的发展已经可以帮助人们去描绘、勾勒这张无形的网。这就IDS-Scheer公司的ARIS业务流程建模管理软件。基于该公司的“房式建模”理论,可以通过业务流程建模管理软件将企业的组织、流程、数据、系统、产品/服务等所有这些管理元素,通过关系型数据库建立起可视化的业务模型(参见下图)。

    这些业务模型既在各自的领域内很好地对企业的组织结构、系统架构、部门职责、产品服务进行了很好的描述,同时又被中央的业务流程模型所引用并相互关联起来。从而构成了一套完整的业务流程管理模型。这套企业唯一的、可视化的业务模型就可以支持最高管理层及风险管理部门对企业的所有业务活动、信息系统、组织员工进行完整的审视与分析,从而在该模型的基础上,建立企业的操作风险管理业务模型。确保企业从一开始,就抓住操作风险管理的制高点,而不会迷失在部门、流程以及系统密布的丛林中。

    值得注意的是,业务流程建模管理软件只是辅助管理者进行企业业务梳理的工具,可以减轻梳理后的文档管理工作和提高业务分析的效率,它并不能替代人进行业务梳理。 但是,有了这一业务流程建模管理信息化工具的支撑,企业风险管理工作的开展也就走在了康庄大道上。因为,无论是企业战略目标的输入、关键绩效指标的设定、还是风险事件的识别,都可以最终通过业务模型的方式在信息系统中加以描述与展示。而这些风险管理要素最终又会通过建模的方式与业务流程建立起关联,形成企业完整的风险管理参考模型。参见下图。

    如果说了解人体奥秘,在当今生命科学中最重大的一项工作是描绘人类DNA图谱的话。那么,要解开企业操作风险管理的谜团,进行业务流程建模并形成一套完整的企业风险管理模型则是当今企业亟需完成的一项基础工作。

  评估篇

    知晓了操作风险的范围和重要性,企业就应该着手建立一个关于风险识别、计量和管理的系统化过程。操作风险管理过程通常包括如下步骤。

    1、风险政策和组织;
    2、风险识别和评估;
    3、风险配置和计量;
    4、风险减缓和控制;
    5、风险转移和融资。

    上述步骤中,很多企业已经制定了风险政策和成立了专门的风险管理组织,并完成了险的识别,有些企业已经着手开始准备进行风险评估。但通常做到风险评估这一步,工作就很难再往下开展了。因为这时风险管理工作者面临的又是前面提到的这张巨大而无形的企业管理网络。如何有效的组织各个部门、所有岗位、全体员工对其所负责的业务流程、信息系统、岗位职责进行定期的、可衡量的操作风险自我评估,不是一个部门或一个领导一次命令或一次动员可以完成的。因为企业的组织、流程、系统随时都会因为外部或内部环境的改变而改变,因此风险的识别和评估是一个持续的过程。这就需要一套有信息系统支持的、能够让全员参与的、按照一定期间的、能随企业组织、流程、系统改变而触发的风险评估管理信息系统。这样一套系统首先要求其评估的对象来自企业已经更新维护后的组织、流程和信息系统。以及在此基础上识别的风险。其次,要求能够应用风险评估模版对评估的结果进行定量、定型的分析与评价,从而帮助管理层识别最需要优先解决的风险事件,建立企业的风险地图。

    最后,这样一套评估管理流程的流程执行状况还应该能够被及时地跟踪与分析,以帮助风险管理部门对风险评估过程进行远程监督与管理。只有这样,才能逐步将风险评估管理这项看似复杂异常的工作变成一项自觉的日常管理行为, 使风险评估管理真正在企业持续有效的运行。

责任编辑:刘淼