3.3 操作风险的分类

基于不同的角度，操作风险可以作如下分类：

(1)根据损失的本质，分为内部损失和外部损失；

(2)根据损失的影响，分为直接损失和间接损失；

(3)根据期望的程度，分为预期损失和非预期损失；

(4)根据风险类型，分为事件类型和损失类型；

(5)根据损失的规模(或是严重性)和损失的频率，可以分为四种类型：低频率和低损失；高频率和低损失；高频率和高损失；低频率和高损失。

3.3.1 内部和外部操作风险损失

操作风险损失可能是由内部因素引起的，也可能是由外部原因引起的。已有的研究表明，大部分损失由内部资源所引起，原因可能是人员、操作过程或技术失误，例如由于人员错误、内部欺诈、未授权的交易、伤害、计算机失败或是通信问题引起的业务延迟等。外部资源包括人为事件(例如外部欺诈、偷盗、黑客攻击和恐怖活动等)和由于台风、洪水、火灾等自然灾害对实体资产的破坏。

有效的内部管理措施可以防止大部分内部操作风险的发生。如加强对员工的控制和管理可以阻止一些雇员错误操作和内部欺诈，同时，改进通信网络可以防止一些技术性错误事件的发生。

与内部损失相比，外部损失很难被阻止。然而，可以使用保险或是其他防护策略来减少或消除外部原因引起的损失。

3.3.2 直接和间接操作风险损失

直接损失是由与损失有关的事件直接引起的损失。例如，当面临汇率的不利波动时，经验不足的外汇交易员可能给银行带来损失。此外，当客户要支取200元，而银行柜员错误地支付了2000元，则给银行带来了1800元的损失。

间接损失一般是指机会成本和由于处理操作风险事件带来的成本，例如未遂风险损失、潜在损失或是意外损失。

未遂风险损失(或未遂损失(near miss))是用来估计可能发生的但被成功阻止的事件带来的损失。有学者(Muermann and Oktem，2002)认为，商业银行的操作风险数据库应该包括未遂损失事件，因为风险数据不应该仅仅基于过去的历史事件，而应该包括真实的和潜在的事件，这些事件可能带来未来的损失。事实上，过去被成功地阻止了的损失(不管它是由于幸运还是有意识的管理活动)并不能保证在将来它也可能被阻止。这样，银行内部发生的未遂风险事件应该在内部计量模型中被考虑进去。另一方面，在损失未发生之前就阻止它们的能力表明银行具有一定的有效地阻止操作风险事件的能力。

Muermann和Oktem(2002)建议为未遂事件管理系统建立三个层次的金字塔形结构：总行层面；分支行层面；员工层面。

在总行层面，应该建立未遂风险事件管理委员会，其主要功能包括：为公司和现场未遂事件提供管理指导；为未遂事件的分类建立标准；为每一类未遂事件建立不同的优先处理程序；建立未遂事件的审查系统；将质量管理和其他管理工具应用于未遂事件管理；对超过未遂损失的事故进行分析并采取纠正措施；为未遂事件现场管理和人员培训建立指导原则。

在分支行层面，他们建议为每一个业务单元建立一个未遂事件管理委员会。委员会的主要责任包括：将未遂风险事件管理委员会的准则细化为可操作的策略；监督未遂事件的现场管理；推动未遂风险事件管理流程；确保对未遂事件特别是对发生概率很高的未遂事件的分析和纠正工作能够获得必要的资源；定期分析未遂事件报告以进一步改进管理系统；为未遂事件管理的执行培训员工。

在员工层面，应使管理者、监督者和所有雇员都清醒地认识到他们都是未遂风险事件管理体系成功运行的决定性力量；对所有员工进行恰当的培训，以便使未遂风险事件演变成严重问题并导致损失前，使员工们意识到该类事件的重要性。

显然，一个成功的未遂事件管理系统依赖于管理者、监管人员和雇员的个体行动。在它成为主要问题并发展成为银行的操作损失之前进行适当的培训来避免操作问题是必要的。

3.3.3 预期和未预期操作风险损失

有些操作损失是可以预期的，而有一些则不可以。预期损失一般是定期(如每天)发生的，例如银行员工发生的小错误和微不足道的信用卡欺诈。未预期损失一般是那些不容易被预见到的损失，例如恐怖袭击、自然灾害和大规模的内部欺诈。就现代大型银行而言，未预期损失是操作风险管理的重中之重，因为预期损失一般可以被自有资本所弥补或覆盖，而极端情况下的未预期损失则是银行的灭顶之灾。

3.3.4 操作风险事件类型和操作风险损失类型

尽管巴塞尔协议Ⅱ没有明确区分事件类型和损失类型，但明确区分这两个概念还是比较重要的。毕竟，银行在记录操作风险损失时，根据事件类型和损失类型，正确地区分上述两种风险类型是很关键的。至于操作风险危害因素、操作风险事件类型和操作风险损失类型三者之间的区别，则可以根据引起它们的原因和效果来分析：

危害指导致某个事件发生的概率增加的一个或多个因素；

事件指直接导致一个或多个结果(如财产损失)的某个事故；

损失指由于某个事件导致的财务赔偿的数额。

这样，危害可能导致事件，而事件则是损失的直接原因。因此，事件是危害的结果，而损失是事件的结果。

Mori和Harada(2001)提出了如何判断某个特定损失类型属于市场风险、信用风险还是操作风险的例子：

市场风险：由于市场价格的变化导致债券价值的减少；

信用风险：由于债券发行人破产导致的债券价值的减少；

操作风险：由于交割失败导致的债券价值的减少。

这里，债券减值(损失类型)就分别属于市场风险、信用风险和操作风险的范畴。因此，准确地区别危害、事件和损失类型对于正确理解操作风险是非常重要的。不过，由于中国企业的资金主要不是通过发行债券筹集的，而是来自银行贷款，所以对于中国商业银行而言，借款人的信贷违约是银行面临的主要信用风险。

Chernobai等(2007)则提出了如何区别危害类型、事件类型和损失类型的示例(见图3—1)。假定某个操作风险案例：雇员管理不善导致了交割失败，而交割失败导致了资产减记。雇员管理不善就是危害，交割失败和资产减记分别是事件类型与损失类型。巴塞尔协议Ⅱ将操作风险分为七种类型事件(见表3—2)，并对每一类事件作了具体的定义和详细分类。

图3—1 导致操作风险损失的过程

资料来源：Chernobai，Anna S.I.，Svetlozar T.Rachev，and Frank J.Fabozzi. Operational Risk: A Guide to Basel Ⅱ Capital Requirements，Models，and Analysis. John Wiley & Sons，Inc. 2007.

表3—2 损失事件分类详表

续前表

续前表

资料来源：《巴塞尔新资本协议》，国际清算银行，2004-06。

3.3.5 操作风险损失强度和频率

根据操作风险损失的强度(即损失金额大小)和发生操作风险事件的频率，可以构造四个组合(见图3—2)：低频率和低损失；高频率和低损失；高频率和高损失；低频率和高损失。

图3—2 根据损失强度和发生频率对操作风险分类

图3—2中，第2组和第3组不是银行风险管理的主要对象，因为低频率/低损失对银行正常经营和发展没有多大影响，而高频率/高损失显然不符合实际情况，我们很难想象某银行每年都发生数百次操作风险事件，且每次都遭受数十亿美元的损失。要真是那样的话，该银行早已破产了。真正需要银行管理和防范的是第1组和第4组，特别是低频率/高损失的第1组。这类极端风险事件很少发生，而一旦发生，对银行来说则是灾难性的(如巴林银行)。所以，操作风险管理和预警的重点也在第1组。