操作風(fēng)險損失分類的原理與方法探討

銀行操作風(fēng)險管理，特別是量化管理，一段時間以來面臨的主要困難之一是數(shù)據(jù)的采集和數(shù)據(jù)庫的建立。由于操作風(fēng)險幾乎涉及銀行全部的業(yè)務(wù)和流程，因此，要獲得可以用于風(fēng)險管理并進(jìn)行數(shù)據(jù)處理的信息，最首要的是建立一套合理的操作風(fēng)險損失分類體系，否則操作風(fēng)險量化將無從談起。認(rèn)真分析我國商業(yè)銀行操作風(fēng)險領(lǐng)域的案件可以發(fā)現(xiàn)，這些案件中有許多是同類事件的簡單重復(fù)，暴露出我國商業(yè)銀行操作風(fēng)險管理和控制的薄弱，以及構(gòu)建一套完整的、包括損失分類體系在內(nèi)的操作風(fēng)險管理框架的必要性。合理的操作風(fēng)險損失分類，既有助于當(dāng)前我國商業(yè)銀行對操作風(fēng)險的識別和管理，也有助于銀行內(nèi)部和業(yè)界形成統(tǒng)一的標(biāo)準(zhǔn)，從中長期來看，有利于業(yè)界的數(shù)據(jù)交換或共享。

操作風(fēng)險分類的原理

操作風(fēng)險分類的最佳標(biāo)準(zhǔn)應(yīng)該具有邏輯一致性，易于理解和應(yīng)用，并且不能與任何建模原則相沖突。從統(tǒng)計學(xué)意義上說，良好的分類應(yīng)該實(shí)現(xiàn)組內(nèi)方差最小化，組間方差最大化。具體而言，操作風(fēng)險的分類標(biāo)準(zhǔn)應(yīng)該滿足以下最優(yōu)準(zhǔn)則：

一是能夠滿足管理的需要。分類得到的信息必須能夠用于管理，為管理決策服務(wù)。同時，同一類風(fēng)險必須具有相同的性質(zhì)，即同質(zhì)性。

二是邏輯一致性。某個具體的風(fēng)險事件必須屬于并且僅屬于某一風(fēng)險類型，最高層目錄應(yīng)與最底層目錄業(yè)務(wù)舉例相一致，不應(yīng)存在沖突或不一致。同一個術(shù)語只能用在一種風(fēng)險類別中，不能交叉使用。

三是良好的統(tǒng)計性質(zhì)。數(shù)據(jù)集之間不應(yīng)存在相關(guān)關(guān)系，數(shù)據(jù)的最小顆粒應(yīng)是同分布的。如果用兩個非同分布的數(shù)據(jù)顆粒構(gòu)建一個損失分布，技術(shù)上將會相當(dāng)困難。這將直接影響到定量風(fēng)險管理水平，如VaR值的準(zhǔn)確性和有效性。

理論上講，操作風(fēng)險可以從原因、事件和后果三個角度來分類。原因包括職責(zé)劃分不清、內(nèi)審失效、缺乏監(jiān)督、安全措施不充分、人力資源政策不當(dāng)?shù)龋皇录ò腿麪栃沦Y本協(xié)議確定的內(nèi)部欺詐、外部欺詐、就業(yè)政策和工作場所安全性等在內(nèi)的七類風(fēng)險事件；后果包括法律責(zé)任、資產(chǎn)受損、監(jiān)管處罰、業(yè)務(wù)中斷、聲譽(yù)受損等。但是，根據(jù)原因進(jìn)行分類的問題在于，一個案件的發(fā)生往往歸咎于多種原因，例如，巴林銀行案件既有職責(zé)劃分不清的原因，也有內(nèi)審失效、缺乏監(jiān)督等原因，很難將其歸到某一單個原因中。使用后果進(jìn)行分類的問題在于，一個后果（例如要承擔(dān)法律責(zé)任）中往往會包含很多不同的事件，這種分類難以給銀行風(fēng)險管理提供有價值的信息。

巴塞爾新資本協(xié)議確定的包括內(nèi)部欺詐、外部欺詐等在內(nèi)的七類風(fēng)險事件是根據(jù)業(yè)界實(shí)踐總結(jié)出的基于事件的分類方法。在業(yè)界的幫助下，巴塞爾委員會將巴塞爾新資本協(xié)議中定義的七大事件類型（一級目錄）進(jìn)一步細(xì)分二級目錄和相關(guān)的業(yè)務(wù)舉例（三級目錄），見表1。

然而，巴塞爾新資本協(xié)議的操作風(fēng)險并非嚴(yán)格按照事件法進(jìn)行分類，而是存在著同時按照原因、事件和后果三個維度進(jìn)行分類的問題。例如，“客戶、產(chǎn)品及業(yè)務(wù)操作”和“執(zhí)行、交割及流程管理”兩類風(fēng)險事件是從原因和事件兩個維度來定義的，“業(yè)務(wù)中斷和系統(tǒng)失敗”是從原因、事件和效果三個維度來定義的，“實(shí)體資產(chǎn)損壞”是從事件和效果兩個維度來定義的。因此，巴塞爾新資本協(xié)議中操作風(fēng)險的分類存在一些含混不清的地方，并且在具體的風(fēng)險事件歸屬上存在交叉重疊現(xiàn)象。例如，巴塞爾新資本協(xié)議中“客戶、產(chǎn)品及業(yè)務(wù)”事件和“執(zhí)行、交割及流程”事件的定義都包含有疏忽的因素，因此在具體事件的歸類上可能導(dǎo)致區(qū)分不清；另外巴塞爾新資本協(xié)議中歸于“內(nèi)部欺詐”二級目錄下的“未經(jīng)授權(quán)的活動”包括了一些非欺詐的事件，這些事件與包含于“客戶、產(chǎn)品及業(yè)務(wù)”操作中的事件十分相似。這很可能使這些目錄中包含重復(fù)的巨額損失，使數(shù)據(jù)集間存在線性相關(guān)關(guān)系，給建模帶來技術(shù)問題，影響VaR值的準(zhǔn)確性和有效性。

操作風(fēng)險分類的支付矩陣法

鑒于上述問題，美國Oprisk Advisory公司的Ali Samad-Khan構(gòu)造了一種新的操作風(fēng)險分析方法，這種方法建立在巴塞爾新資本協(xié)議操作風(fēng)險分類基礎(chǔ)之上，運(yùn)用博弈論中的支付矩陣工具對操作風(fēng)險七大事件類型進(jìn)行了分析，并對其中一些事件進(jìn)行了重新定義，盡可能避免各類事件間相互重疊，保證各級目錄間的邏輯一致性。

支付矩陣法主要是根據(jù)目標(biāo)受益人和目標(biāo)損失人的不同，對七類風(fēng)險事件進(jìn)行細(xì)分。目標(biāo)受益人即受益主體或意欲受益的主體，目標(biāo)損失人即損失主體或意欲遭受損失的主體。目標(biāo)受益人和目標(biāo)損失人都有四種可能：個人、公司（銀行）、交易對手和無任何一方。通過對目標(biāo)受益人和目標(biāo)損失人可能主體的分析，可以清晰地刻畫出各類風(fēng)險事件的特征。運(yùn)用這種方法，可以對巴塞爾新資本協(xié)議中的操作風(fēng)險七類事件進(jìn)行深入分析。

內(nèi)部欺詐

可以用表2、表3兩個支付矩陣來表示內(nèi)部欺詐行為的特點(diǎn)。

從表中不難看出，內(nèi)部欺詐事件的定義應(yīng)該包括兩個要素：一是它是公司（銀行）內(nèi)部員工為了使自身獲益而進(jìn)行的故意違法違規(guī)行為；二是這種違法違規(guī)行為必然會導(dǎo)致另一方損失，即一方獲益是建立在另一方遭受損失的基礎(chǔ)之上。這兩個條件與直觀意義上理解的內(nèi)部欺詐相當(dāng)吻合，例如，內(nèi)部欺詐通常包括的具體風(fēng)險事件有：欺詐，信貸欺詐，挪用公款，假存款，盜竊，搶劫，內(nèi)部交易（不用企業(yè)的賬戶）等。根據(jù)上述定義，未經(jīng)授權(quán)的交易、稅收上的故意違規(guī)等則不應(yīng)納入內(nèi)部欺詐，而應(yīng)屬于客戶、產(chǎn)品及業(yè)務(wù)操作。

外部欺詐

外部欺詐事件也有兩個特點(diǎn)：一是它是公司（銀行）外部某個主體為了使自身獲益而進(jìn)行的故意犯罪行為；二是犯罪行為必然會導(dǎo)致另一方損失。因此，可以用表4、表5的支付矩陣來表示外部欺詐行為的特點(diǎn)。

外部欺詐包括的具體風(fēng)險事件有：盜竊，搶劫，偽造，盜竊信息（存在資金損失），黑客攻擊損失等。

客戶、產(chǎn)品及業(yè)務(wù)操作

這類事件有兩個特點(diǎn)：一是公司（銀行）員工為了使公司（銀行）獲益（從而最終使自己直接或間接地獲益）所做的違法或違規(guī)事件；二是這些行為可能會使另一方遭受損失，也可能沒有任何一方會因此遭受損失。因此，可以由表6、表7的支付矩陣來表示客戶、產(chǎn)品及業(yè)務(wù)操作事件的特點(diǎn)。

從表中可以看出，客戶、產(chǎn)品及業(yè)務(wù)操作事件最核心的辨別標(biāo)準(zhǔn)是，在所有這類事件中，公司（銀行）都是目標(biāo)受益人，而不是目標(biāo)損失人，它只會在事件沒有按計劃預(yù)期情況發(fā)展才會發(fā)生損失。在這個定義下，客戶、產(chǎn)品及業(yè)務(wù)操作事件應(yīng)該包括適當(dāng)性披露問題，違規(guī)披露零售客戶信息，泄露私密，冒險銷售，為多收手續(xù)費(fèi)反復(fù)操作客戶賬戶，保密信息使用不當(dāng)，不良交易市場行為，操縱市場等。如前所述，未經(jīng)授權(quán)的交易、稅收上的故意違規(guī)等也屬于客戶、產(chǎn)品及業(yè)務(wù)操作類風(fēng)險事件。

就業(yè)政策和工作場所安全性

這類事件的特點(diǎn)是違反了就業(yè)、健康或安全方面的法律或協(xié)議。它反映的是公司（銀行）和公司（銀行）員工之間的關(guān)系。可以用表8、表9的支付矩陣來表示。

從表8的支付矩陣可以看出，這類事件是公司（銀行）有意識的行為，目的是為了使公司（銀行）獲益；公司（銀行）的員工是被損害的對象。這類事件包括違反員工健康及安全規(guī)定事件、所有涉及歧視的事件。從表9的支付矩陣可以看出，這類事件也包括公司（銀行）員工為了維護(hù)或改善自己的權(quán)益，聯(lián)合違反就業(yè)協(xié)議，從而損害公司（銀行）的利益。

執(zhí)行、交割及流程管理

執(zhí)行、交割及流程管理事件是由意外的錯誤引發(fā)的，產(chǎn)生于交易的進(jìn)行階段。因此，從這點(diǎn)來說，主體不能從這類事件獲得額外的收益，也不會試圖使其他主體遭受損失。所以，可以構(gòu)造表10的支付矩陣來描述這類事件。

這類事件包括錯誤傳達(dá)信息，數(shù)據(jù)錄入、維護(hù)或登載錯誤，超過最后期限或未履行義務(wù)，模型/系統(tǒng)誤操作，會計錯誤/交易方認(rèn)定記錄錯誤，其他任務(wù)履行失誤，交割失敗，擔(dān)保品管理失敗，交易相關(guān)數(shù)據(jù)維護(hù)等。

業(yè)務(wù)中斷和系統(tǒng)損失

這類事件是由系統(tǒng)上的錯誤引發(fā)的，沒有任何一方是目標(biāo)受益者和目標(biāo)損失者，因此和執(zhí)行、交割及流程管理事件的支付矩陣是相同的。這類事件是一種低頻率高損失事件，包括硬件，軟件，電信，動力輸送損耗/中斷。

實(shí)體資產(chǎn)損壞

這類事件是由外部的意外事件，如自然災(zāi)害引發(fā)的，沒有任何一方是目標(biāo)受益者和目標(biāo)損失者，因此也和執(zhí)行、交割及流程管理事件的支付矩陣是相同的。這類事件也是一種低頻率高損失事件，包括自然災(zāi)害損失，外部原因（恐怖襲擊、故意破壞）造成的人員傷亡。

將以上七類事件的支付矩陣合并起來，可以得到表11的合并支付矩陣。

可以看到，這個合并支付矩陣覆蓋了所有可能發(fā)生的情況（假定沒有一方會做損人不利己的事情）。對七類事件的分析中，有幾類事件的支付矩陣是相同的，這可以很容易地從原因角度將這些事件區(qū)分開來。在新分析方法下，分類規(guī)則非常明確，為使各級目錄中更具邏輯一致性，巴塞爾新資本協(xié)議操作風(fēng)險分類中的個別目錄就需要進(jìn)行相應(yīng)調(diào)整。

對于內(nèi)部欺詐，其二級目錄下的未授權(quán)交易，三級目錄下的違規(guī)納稅/逃稅和賄賂/回扣事件應(yīng)歸屬于客戶、產(chǎn)品及業(yè)務(wù)操作類事件。在這三種事件中，公司（銀行）是目標(biāo)受益者，并且這些事件是個人有意識的行為，因此應(yīng)該屬于客戶、產(chǎn)品及業(yè)務(wù)操作類事件。要注意的是，賄賂/回扣所花費(fèi)的費(fèi)用屬于公司（銀行）非法成本，不是操作風(fēng)險損失。只有對這種行為的罰款和處罰才是操作風(fēng)險損失。若是公司（銀行）內(nèi)部員工受賄而損害公司（銀行）利益，則應(yīng)歸入內(nèi)部欺詐。

對于客戶、產(chǎn)品及業(yè)務(wù)操作類事件，其二級目錄下的產(chǎn)品瑕疵（包括產(chǎn)品缺陷和模型誤差）應(yīng)屬于執(zhí)行、交割及流程管理類事件。這些事件中，造成錯誤的個體并不是有意犯錯，因此沒有任何一方是目標(biāo)受益人和目標(biāo)損失人。如長期資本管理公司巨額虧損案中，其模型存在問題并不是員工故意的行為。

總體上看，使用支付矩陣法對操作風(fēng)險損失事件分類更符合分類的最優(yōu)準(zhǔn)則。與單純使用文字描述區(qū)別不同類型的操作風(fēng)險損失事件相比，使用支付矩陣法分析不同損失事件類型更加清晰、易行。這種分析方法有助于加深我國商業(yè)銀行對不同類型操作風(fēng)險的認(rèn)識，從而逐步積累規(guī)范的操作風(fēng)險損失數(shù)據(jù)，為量化管理操作風(fēng)險奠定基礎(chǔ)。

（張曉樸：中國銀行業(yè)監(jiān)督管理委員會政策法規(guī)部；羅迅：中央財經(jīng)大學(xué)金融學(xué)院；林凌：中國人民大學(xué)財政金融學(xué)院。）

責(zé)任編輯：范 嘉