在之前的幾篇文章中，我們探討了風險管理的一般概念。然而，僅僅理解一般的風險管理對於當今的風險專業人士來說是遠遠不夠的。當今充滿挑戰的環境要求人們專注於不同類型的風險管理。在所有常見的風險類型中，營運風險是組織控制力最大的風險。因此，在接下來的幾篇文章中，我們將嘗試理解營運風險的真正意義，以及它如何影響組織內部的決策。

操作風險的定義

多年來，操作風險一直沒有統一的定義。這意味著所有組織風險都被劃分為市場風險和信用風險。那些無法劃分為​​任何一種風險的風險通常被歸類為操作風險。顯然，這種分類是錯誤的，因此多年來一直飽受批評。隨著時間的推移，一個新的、更容易接受的操作風險定義逐漸形成。下文將對此進行討論。

營運風險是指由於組織流程失效或不完善、系統不完善或失效，以及/或組織內部人員能力不足而可能造成的潛在損失。需要注意的是，營運風險造成的財務損失包括可能產生的任何營運損失以及任何訴訟費用。聲譽風險和品牌管理已被明確排除在營運風險的定義之外，因為它們在風險範式中被單獨考慮。

操作風險的驅動因素

上述定義明確了操作風險的四大成因，如下：

1. 人物： 公司應該謹慎選擇員工。公司有責任確保正式員工以及合約工的誠信。為了幫助公司規避營運風險，需要建立內部製衡體系。 《薩班斯-奧克斯利法案》就如何規避風險提供了一些指導方針。

2. 流程： 公司必須確保其流程按預期運作。他們應該對這些流程中的事件流有詳細的了解。公司的工作是聘請流程改善專家，以便儘早發現並彌補流程中的缺陷。

3. 系統： 組織在其係統中保存關鍵數據。這些資料可能屬於第三方，例如銀行、客戶、供應商等等。因此，公司有責任確保充分的資料安全。公司應該創建安全的系統，以防止未經授權的資料存取。這些系統也應以安全的方式構建，以防止外部駭客攻擊。

4. 外部事件： 最後，某些外部活動總是有可能擾亂企業的營運。新冠疫情造成的混亂就是這種風險的典型例子。企業應該制定詳細的業務應急計劃，以便在發生此類事件時也能繼續運作。

操作風險範例

許多組織因營運風險而面臨損失。大多數情況下，損失較小，因此媒體很少報道。結果，公眾對這些損失的認識並未提高。然而，在某些情況下，損失相當嚴重，因此最終會被媒體報道。以下是一些與營運風險相關的備受關注的不良事件的例子：

已經發生過幾起金融詐欺案，例如安然公司、世通公司、伯尼·麥道夫騙局以及拉賈拉特南騙局。這些都是典型的例子，說明一群無能或不誠實的人如何對組織造成嚴重損失。有時，損失非常嚴重，以至於這些組織最終不復存在！最近涉及Facebook和劍橋分析公司的騙局也可以列入其中，因為一些承包商的行為最終也損害了組織。

很多組織系統發生故障，導致組織遭受重大損失的例子不勝枚舉。例如，近期許多科技公司都遭受了網路攻擊。 Adobe、eBay、Equifax，甚至 LinkedIn 等公司都遭遇了資料外洩。許多銀行和金融機構也面臨同樣的困境。由於資料對於組織的業務活動至關重要，這些資料外洩事件對這些公司的業務造成了重大影響。

最後，有許多例子顯示組織設定的流程失敗了。例如，雷諾和現代等公司就曾成為新聞焦點。這是因為他們的一些內部製衡機制失效。他們的品質保證團隊未能正確對車輛進行分類。結果，有缺陷的車輛被售出。最終結果是，這些有缺陷的車輛不得不被召回，即使不考慮聲譽損失，組織也必須遭受嚴重的營運損失。

最重要的是，對營運風險有一個清晰簡潔的定義。營運風險的驅動因素和成因也已為人所知。正是這些知識使得組織能夠衡量和管理營運風險。