定义操作风险

操作风险的定义及其演变

众所周知，《巴塞尔协议》给出的操作风险定义是“由于不完善或有问题的内部程序、员工、信息科技系统以及外部事件造成损失的风险”。[1]简而言之，监管部门的结论是：金融机构可能会因信用风险和市场风险以外的风险而遭受重大损失。因此，如图1-1所示，一系列的威胁被归入操作风险的范畴，并且金融机构首次被要求预留资本以抵御此类损失。

按照这个定义，操作风险学科的范围当然是非常广泛的，包括员工的故意或意外行为、技术系统故障和有缺陷的业务流程。这一定义涵盖了不同的风险类别，其性质各不相同，管理这些风险需要庞杂的专业知识。这就出现了一个有趣的现象：人们常常疑惑操作风险从业者到底是个什么身份，因为他们几乎需要精通所有行业的知识。

然而，这种宽广的范围应该被视为操作风险学科的最大优势：在金融服务行业，没有哪个学科有如此宽泛的范围，如此包罗万象。再加上操作风险仍然是一门相对年轻、正在不断发展的学科，对于要探索和建立职业生涯的从业者来说，操作风险可能是最激动人心、最充满乐趣的领域。

操作风险不等于运营风险

“操作风险”这个名字并不恰当，无论在英语还是其他语言中，它都经常被错误地与运营部门以及运营过程中产生的潜在错误和失败联系起来。当我的培训幻灯片被翻译成各种语言时，我总是反复检查定义，经常发现这个词被翻译成“运营风险”，我不得不进行纠正。10年前令人困惑的事情，今天仍然如此。所以，强调一下，这是很重要的：

操作风险 ≠运营风险

无论是在金融服务公司内部还是在监管部门内部，教育之旅都远未完成。2017年，欧洲证券和市场管理局（ESMA）发布了一份开创性文件，是关于分布式账本技术在证券市场的应用。[2]然而，在“关键风险”部分，操作风险仍然只包括错误和故障；而操作风险的其他子部分，如网络、欺诈和洗钱（本应在同一标题下提及）出现在其他标题下。

近年来，“行为风险”概念被毫无益处地引入，并被许多公司作为有别于操作风险的一类新的风险来处理，这在一定程度上加剧了思维混乱。重申一下，在本书中，操作风险是含义最广泛的一类风险，它包罗万象。在一些公司中，操作风险甚至被重新命名为“非财务风险”，以强调其广泛性，同时避免与运营风险混淆。

仅仅财务损失还不够

操作风险这门学科源于《巴塞尔资本协议》（简称《巴塞尔协议》）；“资本”一词体现了审慎监管要求，主要是关注风险计量和资本充足性。巴塞尔银行监管委员会（简称“巴塞尔委员会”）在对30家主要银行的研究中披露：1998～2000年，因操作风险管理失败而损失的金额高达26亿欧元。[3]因此，操作风险已经成为一个重要的问题，完全有必要增加资本成本。

在现实中，除了公司本身的财务损失，操作风险事件（ORE）还带来其他重要影响。这些影响包括客户侵害、声誉损害和市场冲击。随着大量不当销售丑闻和重大技术故障的出现，今天的公司和监管机构都在密切关注经营方式和运营韧性。虽然《巴塞尔协议》本身主要关注公司的财务资源，但世界各地的监管者都认为，公司也需要有一个外部视角：考虑它们的不当行为可能给客户和市场造成的伤害。越来越多的公司认为，只包含损失的操作风险定义已经不能完全适应今天的环境了。因此，通过修改《巴塞尔协议》中操作风险标准定义的第一部分，操作风险的范围得到了扩展：

• 因……而造成直接或间接损失的风险。

• 因……而造成实际或潜在经济损失或客户侵害的风险。

• 或者更广泛地说：因内部程序、员工和信息科技系统的不当或失误，或者因外部事件造成无法实现战略目标的风险。

与战略以及价值主张的联系

操作风险管理作为一种商业价值主张，有着明确的目的。它的主要目标是为一线业务单元提供管理工具，使它们能够做出明智而审慎的决策。尽管《巴塞尔协议》明确地将战略风险排除在操作风险范围之外，但将操作风险的定义扩展到更宏观的整个公司层面，并明确地将其与商业目标联系起来，这是非常有意义的，并能立即产生积极效果。与首席执行官或高级管理人员讨论究竟是什么让他们夜不能寐，必然会带来更多战略方面的讨论。此外，定义的范围过小会给自由对话制造障碍，这意味着与商业相关的问题被明确划分出来，操作风险的重点仅限于“操作”层面的问题，例如欺诈等。

国际标准化组织（I S O）对风险的传统定义是“不确定因素对目标的影响”。[4]这个定义特别关注目标；不是整个领域的不确定性，而是它们对目标的具体影响。同样，特雷德韦委员会赞助组织委员会（COSO）也强调了风险与使命以及战略的关系。[5]

操作风险与其他学科相比，可能有个缺失环节。在操作风险领域有一种倾向，即按照自己的方式创建一个详细的列表，包含所有可能由于程序、员工或系统而出错的事件。但是，在列表里总是看不到最重要的东西：公司的商业目标。

拓展操作风险的定义，将它与商业目标联系起来，可以提升操作风险管理部门的地位，让操作风险从业者直接参与公司的战略制定。

2018年，我进行了一项调查研究来了解操作风险定义的行业实践，其结果如表1-1所示。结果表明：虽然大多数从业者仍在使用《巴塞尔协议》的初始定义，但我们也看到行业正在积极转变，重新定位操作风险以帮助公司创造尽可能多的商业价值。

作为该项研究的一部分，操作风险专业人员就他们是否参与战略制定进行了投票。从表1-2中的结果可以看出：从业者普遍抱怨，操作风险管理部门并没有参与公司的重大讨论和战略决策。这一研究结果给大家提供了动力，那就是要进一步扩展操作风险的定义，进而提升该学科的地位。