操作風險損失分類的原理與方法探討

銀行操作風險管理，特別是量化管理，一段時間以來面臨的主要困難之一是數據的采集和數據庫的建立。由于操作風險幾乎涉及銀行全部的業務和流程，因此，要獲得可以用于風險管理并進行數據處理的信息，最首要的是建立一套合理的操作風險損失分類體系，否則操作風險量化將無從談起。認真分析我國商業銀行操作風險領域的案件可以發現，這些案件中有許多是同類事件的簡單重復，暴露出我國商業銀行操作風險管理和控制的薄弱，以及構建一套完整的、包括損失分類體系在內的操作風險管理框架的必要性。合理的操作風險損失分類，既有助于當前我國商業銀行對操作風險的識別和管理，也有助于銀行內部和業界形成統一的標準，從中長期來看，有利于業界的數據交換或共享。

操作風險分類的原理

操作風險分類的最佳標準應該具有邏輯一致性，易于理解和應用，并且不能與任何建模原則相沖突。從統計學意義上說，良好的分類應該實現組內方差最小化，組間方差最大化。具體而言，操作風險的分類標準應該滿足以下最優準則：

一是能夠滿足管理的需要。分類得到的信息必須能夠用于管理，為管理決策服務。同時，同一類風險必須具有相同的性質，即同質性。

二是邏輯一致性。某個具體的風險事件必須屬于并且僅屬于某一風險類型，最高層目錄應與最底層目錄業務舉例相一致，不應存在沖突或不一致。同一個術語只能用在一種風險類別中，不能交叉使用。

三是良好的統計性質。數據集之間不應存在相關關系，數據的最小顆粒應是同分布的。如果用兩個非同分布的數據顆粒構建一個損失分布，技術上將會相當困難。這將直接影響到定量風險管理水平，如VaR值的準確性和有效性。

理論上講，操作風險可以從原因、事件和后果三個角度來分類。原因包括職責劃分不清、內審失效、缺乏監督、安全措施不充分、人力資源政策不當等；事件包括巴塞爾新資本協議確定的內部欺詐、外部欺詐、就業政策和工作場所安全性等在內的七類風險事件；后果包括法律責任、資產受損、監管處罰、業務中斷、聲譽受損等。但是，根據原因進行分類的問題在于，一個案件的發生往往歸咎于多種原因，例如，巴林銀行案件既有職責劃分不清的原因，也有內審失效、缺乏監督等原因，很難將其歸到某一單個原因中。使用后果進行分類的問題在于，一個后果（例如要承擔法律責任）中往往會包含很多不同的事件，這種分類難以給銀行風險管理提供有價值的信息。

巴塞爾新資本協議確定的包括內部欺詐、外部欺詐等在內的七類風險事件是根據業界實踐總結出的基于事件的分類方法。在業界的幫助下，巴塞爾委員會將巴塞爾新資本協議中定義的七大事件類型（一級目錄）進一步細分二級目錄和相關的業務舉例（三級目錄），見表1。

然而，巴塞爾新資本協議的操作風險并非嚴格按照事件法進行分類，而是存在著同時按照原因、事件和后果三個維度進行分類的問題。例如，“客戶、產品及業務操作”和“執行、交割及流程管理”兩類風險事件是從原因和事件兩個維度來定義的，“業務中斷和系統失敗”是從原因、事件和效果三個維度來定義的，“實體資產損壞”是從事件和效果兩個維度來定義的。因此，巴塞爾新資本協議中操作風險的分類存在一些含混不清的地方，并且在具體的風險事件歸屬上存在交叉重疊現象。例如，巴塞爾新資本協議中“客戶、產品及業務”事件和“執行、交割及流程”事件的定義都包含有疏忽的因素，因此在具體事件的歸類上可能導致區分不清；另外巴塞爾新資本協議中歸于“內部欺詐”二級目錄下的“未經授權的活動”包括了一些非欺詐的事件，這些事件與包含于“客戶、產品及業務”操作中的事件十分相似。這很可能使這些目錄中包含重復的巨額損失，使數據集間存在線性相關關系，給建模帶來技術問題，影響VaR值的準確性和有效性。

操作風險分類的支付矩陣法

鑒于上述問題，美國Oprisk Advisory公司的Ali Samad-Khan構造了一種新的操作風險分析方法，這種方法建立在巴塞爾新資本協議操作風險分類基礎之上，運用博弈論中的支付矩陣工具對操作風險七大事件類型進行了分析，并對其中一些事件進行了重新定義，盡可能避免各類事件間相互重疊，保證各級目錄間的邏輯一致性。

支付矩陣法主要是根據目標受益人和目標損失人的不同，對七類風險事件進行細分。目標受益人即受益主體或意欲受益的主體，目標損失人即損失主體或意欲遭受損失的主體。目標受益人和目標損失人都有四種可能：個人、公司（銀行）、交易對手和無任何一方。通過對目標受益人和目標損失人可能主體的分析，可以清晰地刻畫出各類風險事件的特征。運用這種方法，可以對巴塞爾新資本協議中的操作風險七類事件進行深入分析。

內部欺詐

可以用表2、表3兩個支付矩陣來表示內部欺詐行為的特點。

從表中不難看出，內部欺詐事件的定義應該包括兩個要素：一是它是公司（銀行）內部員工為了使自身獲益而進行的故意違法違規行為；二是這種違法違規行為必然會導致另一方損失，即一方獲益是建立在另一方遭受損失的基礎之上。這兩個條件與直觀意義上理解的內部欺詐相當吻合，例如，內部欺詐通常包括的具體風險事件有：欺詐，信貸欺詐，挪用公款，假存款，盜竊，搶劫，內部交易（不用企業的賬戶）等。根據上述定義，未經授權的交易、稅收上的故意違規等則不應納入內部欺詐，而應屬于客戶、產品及業務操作。

外部欺詐

外部欺詐事件也有兩個特點：一是它是公司（銀行）外部某個主體為了使自身獲益而進行的故意犯罪行為；二是犯罪行為必然會導致另一方損失。因此，可以用表4、表5的支付矩陣來表示外部欺詐行為的特點。

外部欺詐包括的具體風險事件有：盜竊，搶劫，偽造，盜竊信息（存在資金損失），黑客攻擊損失等。

客戶、產品及業務操作

這類事件有兩個特點：一是公司（銀行）員工為了使公司（銀行）獲益（從而最終使自己直接或間接地獲益）所做的違法或違規事件；二是這些行為可能會使另一方遭受損失，也可能沒有任何一方會因此遭受損失。因此，可以由表6、表7的支付矩陣來表示客戶、產品及業務操作事件的特點。

從表中可以看出，客戶、產品及業務操作事件最核心的辨別標準是，在所有這類事件中，公司（銀行）都是目標受益人，而不是目標損失人，它只會在事件沒有按計劃預期情況發展才會發生損失。在這個定義下，客戶、產品及業務操作事件應該包括適當性披露問題，違規披露零售客戶信息，泄露私密，冒險銷售，為多收手續費反復操作客戶賬戶，保密信息使用不當，不良交易市場行為，操縱市場等。如前所述，未經授權的交易、稅收上的故意違規等也屬于客戶、產品及業務操作類風險事件。

就業政策和工作場所安全性

這類事件的特點是違反了就業、健康或安全方面的法律或協議。它反映的是公司（銀行）和公司（銀行）員工之間的關系。可以用表8、表9的支付矩陣來表示。

從表8的支付矩陣可以看出，這類事件是公司（銀行）有意識的行為，目的是為了使公司（銀行）獲益；公司（銀行）的員工是被損害的對象。這類事件包括違反員工健康及安全規定事件、所有涉及歧視的事件。從表9的支付矩陣可以看出，這類事件也包括公司（銀行）員工為了維護或改善自己的權益，聯合違反就業協議，從而損害公司（銀行）的利益。

執行、交割及流程管理

執行、交割及流程管理事件是由意外的錯誤引發的，產生于交易的進行階段。因此，從這點來說，主體不能從這類事件獲得額外的收益，也不會試圖使其他主體遭受損失。所以，可以構造表10的支付矩陣來描述這類事件。

這類事件包括錯誤傳達信息，數據錄入、維護或登載錯誤，超過最后期限或未履行義務，模型/系統誤操作，會計錯誤/交易方認定記錄錯誤，其他任務履行失誤，交割失敗，擔保品管理失敗，交易相關數據維護等。

業務中斷和系統損失

這類事件是由系統上的錯誤引發的，沒有任何一方是目標受益者和目標損失者，因此和執行、交割及流程管理事件的支付矩陣是相同的。這類事件是一種低頻率高損失事件，包括硬件，軟件，電信，動力輸送損耗/中斷。

實體資產損壞

這類事件是由外部的意外事件，如自然災害引發的，沒有任何一方是目標受益者和目標損失者，因此也和執行、交割及流程管理事件的支付矩陣是相同的。這類事件也是一種低頻率高損失事件，包括自然災害損失，外部原因（恐怖襲擊、故意破壞）造成的人員傷亡。

將以上七類事件的支付矩陣合并起來，可以得到表11的合并支付矩陣。

可以看到，這個合并支付矩陣覆蓋了所有可能發生的情況（假定沒有一方會做損人不利己的事情）。對七類事件的分析中，有幾類事件的支付矩陣是相同的，這可以很容易地從原因角度將這些事件區分開來。在新分析方法下，分類規則非常明確，為使各級目錄中更具邏輯一致性，巴塞爾新資本協議操作風險分類中的個別目錄就需要進行相應調整。

對于內部欺詐，其二級目錄下的未授權交易，三級目錄下的違規納稅/逃稅和賄賂/回扣事件應歸屬于客戶、產品及業務操作類事件。在這三種事件中，公司（銀行）是目標受益者，并且這些事件是個人有意識的行為，因此應該屬于客戶、產品及業務操作類事件。要注意的是，賄賂/回扣所花費的費用屬于公司（銀行）非法成本，不是操作風險損失。只有對這種行為的罰款和處罰才是操作風險損失。若是公司（銀行）內部員工受賄而損害公司（銀行）利益，則應歸入內部欺詐。

對于客戶、產品及業務操作類事件，其二級目錄下的產品瑕疵（包括產品缺陷和模型誤差）應屬于執行、交割及流程管理類事件。這些事件中，造成錯誤的個體并不是有意犯錯，因此沒有任何一方是目標受益人和目標損失人。如長期資本管理公司巨額虧損案中，其模型存在問題并不是員工故意的行為。

總體上看，使用支付矩陣法對操作風險損失事件分類更符合分類的最優準則。與單純使用文字描述區別不同類型的操作風險損失事件相比，使用支付矩陣法分析不同損失事件類型更加清晰、易行。這種分析方法有助于加深我國商業銀行對不同類型操作風險的認識，從而逐步積累規范的操作風險損失數據，為量化管理操作風險奠定基礎。

（張曉樸：中國銀行業監督管理委員會政策法規部；羅迅：中央財經大學金融學院；林凌：中國人民大學財政金融學院。）

責任編輯：范 嘉