操作风险损失分类的原理与方法探讨
时间:2022-09-19 11:49:20
银行操作风险管理,特别是量化管理,一段时间以来面临的主要困难之一是数据的采集和数据库的建立。由于操作风险几乎涉及银行全部的业务和流程,因此,要获得可以用于风险管理并进行数据处理的信息,最首要的是建立一套合理的操作风险损失分类体系,否则操作风险量化将无从谈起。认真分析我国商业银行操作风险领域的案件可以发现,这些案件中有许多是同类事件的简单重复,暴露出我国商业银行操作风险管理和控制的薄弱,以及构建一套完整的、包括损失分类体系在内的操作风险管理框架的必要性。合理的操作风险损失分类,既有助于当前我国商业银行对操作风险的识别和管理,也有助于银行内部和业界形成统一的标准,从中长期来看,有利于业界的数据交换或共享。
操作风险分类的原理
操作风险分类的最佳标准应该具有逻辑一致性,易于理解和应用,并且不能与任何建模原则相冲突。从统计学意义上说,良好的分类应该实现组内方差最小化,组间方差最大化。具体而言,操作风险的分类标准应该满足以下最优准则:
一是能够满足管理的需要。分类得到的信息必须能够用于管理,为管理决策服务。同时,同一类风险必须具有相同的性质,即同质性。
二是逻辑一致性。某个具体的风险事件必须属于并且仅属于某一风险类型,最高层目录应与最底层目录业务举例相一致,不应存在冲突或不一致。同一个术语只能用在一种风险类别中,不能交叉使用。
三是良好的统计性质。数据集之间不应存在相关关系,数据的最小颗粒应是同分布的。如果用两个非同分布的数据颗粒构建一个损失分布,技术上将会相当困难。这将直接影响到定量风险管理水平,如VaR值的准确性和有效性。
理论上讲,操作风险可以从原因、事件和后果三个角度来分类。原因包括职责划分不清、内审失效、缺乏监督、安全措施不充分、人力资源政策不当等;事件包括巴塞尔新资本协议确定的内部欺诈、外部欺诈、就业政策和工作场所安全性等在内的七类风险事件;后果包括法律责任、资产受损、监管处罚、业务中断、声誉受损等。但是,根据原因进行分类的问题在于,一个案件的发生往往归咎于多种原因,例如,巴林银行案件既有职责划分不清的原因,也有内审失效、缺乏监督等原因,很难将其归到某一单个原因中。使用后果进行分类的问题在于,一个后果(例如要承担法律责任)中往往会包含很多不同的事件,这种分类难以给银行风险管理提供有价值的信息。
巴塞尔新资本协议确定的包括内部欺诈、外部欺诈等在内的七类风险事件是根据业界实践总结出的基于事件的分类方法。在业界的帮助下,巴塞尔委员会将巴塞尔新资本协议中定义的七大事件类型(一级目录)进一步细分二级目录和相关的业务举例(三级目录),见表1。
然而,巴塞尔新资本协议的操作风险并非严格按照事件法进行分类,而是存在着同时按照原因、事件和后果三个维度进行分类的问题。例如,“客户、产品及业务操作”和“执行、交割及流程管理”两类风险事件是从原因和事件两个维度来定义的,“业务中断和系统失败”是从原因、事件和效果三个维度来定义的,“实体资产损坏”是从事件和效果两个维度来定义的。因此,巴塞尔新资本协议中操作风险的分类存在一些含混不清的地方,并且在具体的风险事件归属上存在交叉重叠现象。例如,巴塞尔新资本协议中“客户、产品及业务”事件和“执行、交割及流程”事件的定义都包含有疏忽的因素,因此在具体事件的归类上可能导致区分不清;另外巴塞尔新资本协议中归于“内部欺诈”二级目录下的“未经授权的活动”包括了一些非欺诈的事件,这些事件与包含于“客户、产品及业务”操作中的事件十分相似。这很可能使这些目录中包含重复的巨额损失,使数据集间存在线性相关关系,给建模带来技术问题,影响VaR值的准确性和有效性。
操作风险分类的支付矩阵法
鉴于上述问题,美国Oprisk Advisory公司的Ali Samad-Khan构造了一种新的操作风险分析方法,这种方法建立在巴塞尔新资本协议操作风险分类基础之上,运用博弈论中的支付矩阵工具对操作风险七大事件类型进行了分析,并对其中一些事件进行了重新定义,尽可能避免各类事件间相互重叠,保证各级目录间的逻辑一致性。
支付矩阵法主要是根据目标受益人和目标损失人的不同,对七类风险事件进行细分。目标受益人即受益主体或意欲受益的主体,目标损失人即损失主体或意欲遭受损失的主体。目标受益人和目标损失人都有四种可能:个人、公司(银行)、交易对手和无任何一方。通过对目标受益人和目标损失人可能主体的分析,可以清晰地刻画出各类风险事件的特征。运用这种方法,可以对巴塞尔新资本协议中的操作风险七类事件进行深入分析。
内部欺诈
可以用表2、表3两个支付矩阵来表示内部欺诈行为的特点。
从表中不难看出,内部欺诈事件的定义应该包括两个要素:一是它是公司(银行)内部员工为了使自身获益而进行的故意违法违规行为;二是这种违法违规行为必然会导致另一方损失,即一方获益是建立在另一方遭受损失的基础之上。这两个条件与直观意义上理解的内部欺诈相当吻合,例如,内部欺诈通常包括的具体风险事件有:欺诈,信贷欺诈,挪用公款,假存款,盗窃,抢劫,内部交易(不用企业的账户)等。根据上述定义,未经授权的交易、税收上的故意违规等则不应纳入内部欺诈,而应属于客户、产品及业务操作。
外部欺诈
外部欺诈事件也有两个特点:一是它是公司(银行)外部某个主体为了使自身获益而进行的故意犯罪行为;二是犯罪行为必然会导致另一方损失。因此,可以用表4、表5的支付矩阵来表示外部欺诈行为的特点。
外部欺诈包括的具体风险事件有:盗窃,抢劫,伪造,盗窃信息(存在资金损失),黑客攻击损失等。
客户、产品及业务操作
这类事件有两个特点:一是公司(银行)员工为了使公司(银行)获益(从而最终使自己直接或间接地获益)所做的违法或违规事件;二是这些行为可能会使另一方遭受损失,也可能没有任何一方会因此遭受损失。因此,可以由表6、表7的支付矩阵来表示客户、产品及业务操作事件的特点。
从表中可以看出,客户、产品及业务操作事件最核心的辨别标准是,在所有这类事件中,公司(银行)都是目标受益人,而不是目标损失人,它只会在事件没有按计划预期情况发展才会发生损失。在这个定义下,客户、产品及业务操作事件应该包括适当性披露问题,违规披露零售客户信息,泄露私密,冒险销售,为多收手续费反复操作客户账户,保密信息使用不当,不良交易市场行为,操纵市场等。如前所述,未经授权的交易、税收上的故意违规等也属于客户、产品及业务操作类风险事件。
就业政策和工作场所安全性
这类事件的特点是违反了就业、健康或安全方面的法律或协议。它反映的是公司(银行)和公司(银行)员工之间的关系。可以用表8、表9的支付矩阵来表示。
从表8的支付矩阵可以看出,这类事件是公司(银行)有意识的行为,目的是为了使公司(银行)获益;公司(银行)的员工是被损害的对象。这类事件包括违反员工健康及安全规定事件、所有涉及歧视的事件。从表9的支付矩阵可以看出,这类事件也包括公司(银行)员工为了维护或改善自己的权益,联合违反就业协议,从而损害公司(银行)的利益。
执行、交割及流程管理
执行、交割及流程管理事件是由意外的错误引发的,产生于交易的进行阶段。因此,从这点来说,主体不能从这类事件获得额外的收益,也不会试图使其他主体遭受损失。所以,可以构造表10的支付矩阵来描述这类事件。
这类事件包括错误传达信息,数据录入、维护或登载错误,超过最后期限或未履行义务,模型/系统误操作,会计错误/交易方认定记录错误,其他任务履行失误,交割失败,担保品管理失败,交易相关数据维护等。
业务中断和系统损失
这类事件是由系统上的错误引发的,没有任何一方是目标受益者和目标损失者,因此和执行、交割及流程管理事件的支付矩阵是相同的。这类事件是一种低频率高损失事件,包括硬件,软件,电信,动力输送损耗/中断。
实体资产损坏
这类事件是由外部的意外事件,如自然灾害引发的,没有任何一方是目标受益者和目标损失者,因此也和执行、交割及流程管理事件的支付矩阵是相同的。这类事件也是一种低频率高损失事件,包括自然灾害损失,外部原因(恐怖袭击、故意破坏)造成的人员伤亡。
将以上七类事件的支付矩阵合并起来,可以得到表11的合并支付矩阵。
可以看到,这个合并支付矩阵覆盖了所有可能发生的情况(假定没有一方会做损人不利己的事情)。对七类事件的分析中,有几类事件的支付矩阵是相同的,这可以很容易地从原因角度将这些事件区分开来。在新分析方法下,分类规则非常明确,为使各级目录中更具逻辑一致性,巴塞尔新资本协议操作风险分类中的个别目录就需要进行相应调整。
对于内部欺诈,其二级目录下的未授权交易,三级目录下的违规纳税/逃税和贿赂/回扣事件应归属于客户、产品及业务操作类事件。在这三种事件中,公司(银行)是目标受益者,并且这些事件是个人有意识的行为,因此应该属于客户、产品及业务操作类事件。要注意的是,贿赂/回扣所花费的费用属于公司(银行)非法成本,不是操作风险损失。只有对这种行为的罚款和处罚才是操作风险损失。若是公司(银行)内部员工受贿而损害公司(银行)利益,则应归入内部欺诈。
对于客户、产品及业务操作类事件,其二级目录下的产品瑕疵(包括产品缺陷和模型误差)应属于执行、交割及流程管理类事件。这些事件中,造成错误的个体并不是有意犯错,因此没有任何一方是目标受益人和目标损失人。如长期资本管理公司巨额亏损案中,其模型存在问题并不是员工故意的行为。
总体上看,使用支付矩阵法对操作风险损失事件分类更符合分类的最优准则。与单纯使用文字描述区别不同类型的操作风险损失事件相比,使用支付矩阵法分析不同损失事件类型更加清晰、易行。这种分析方法有助于加深我国商业银行对不同类型操作风险的认识,从而逐步积累规范的操作风险损失数据,为量化管理操作风险奠定基础。
(张晓朴:中国银行业监督管理委员会政策法规部;罗迅:中央财经大学金融学院;林凌:中国人民大学财政金融学院。)
