3.3 操作風險的分類

基于不同的角度，操作風險可以作如下分類：

(1)根據損失的本質，分為內部損失和外部損失；

(2)根據損失的影響，分為直接損失和間接損失；

(3)根據期望的程度，分為預期損失和非預期損失；

(4)根據風險類型，分為事件類型和損失類型；

(5)根據損失的規模(或是嚴重性)和損失的頻率，可以分為四種類型：低頻率和低損失；高頻率和低損失；高頻率和高損失；低頻率和高損失。

3.3.1 內部和外部操作風險損失

操作風險損失可能是由內部因素引起的，也可能是由外部原因引起的。已有的研究表明，大部分損失由內部資源所引起，原因可能是人員、操作過程或技術失誤，例如由于人員錯誤、內部欺詐、未授權的交易、傷害、計算機失敗或是通信問題引起的業務延遲等。外部資源包括人為事件(例如外部欺詐、偷盜、黑客攻擊和恐怖活動等)和由于臺風、洪水、火災等自然災害對實體資產的破壞。

有效的內部管理措施可以防止大部分內部操作風險的發生。如加強對員工的控制和管理可以阻止一些雇員錯誤操作和內部欺詐，同時，改進通信網絡可以防止一些技術性錯誤事件的發生。

與內部損失相比，外部損失很難被阻止。然而，可以使用保險或是其他防護策略來減少或消除外部原因引起的損失。

3.3.2 直接和間接操作風險損失

直接損失是由與損失有關的事件直接引起的損失。例如，當面臨匯率的不利波動時，經驗不足的外匯交易員可能給銀行帶來損失。此外，當客戶要支取200元，而銀行柜員錯誤地支付了2000元，則給銀行帶來了1800元的損失。

間接損失一般是指機會成本和由于處理操作風險事件帶來的成本，例如未遂風險損失、潛在損失或是意外損失。

未遂風險損失(或未遂損失(near miss))是用來估計可能發生的但被成功阻止的事件帶來的損失。有學者(Muermann and Oktem，2002)認為，商業銀行的操作風險數據庫應該包括未遂損失事件，因為風險數據不應該僅僅基于過去的歷史事件，而應該包括真實的和潛在的事件，這些事件可能帶來未來的損失。事實上，過去被成功地阻止了的損失(不管它是由于幸運還是有意識的管理活動)并不能保證在將來它也可能被阻止。這樣，銀行內部發生的未遂風險事件應該在內部計量模型中被考慮進去。另一方面，在損失未發生之前就阻止它們的能力表明銀行具有一定的有效地阻止操作風險事件的能力。

Muermann和Oktem(2002)建議為未遂事件管理系統建立三個層次的金字塔形結構：總行層面；分支行層面；員工層面。

在總行層面，應該建立未遂風險事件管理委員會，其主要功能包括：為公司和現場未遂事件提供管理指導；為未遂事件的分類建立標準；為每一類未遂事件建立不同的優先處理程序；建立未遂事件的審查系統；將質量管理和其他管理工具應用于未遂事件管理；對超過未遂損失的事故進行分析并采取糾正措施；為未遂事件現場管理和人員培訓建立指導原則。

在分支行層面，他們建議為每一個業務單元建立一個未遂事件管理委員會。委員會的主要責任包括：將未遂風險事件管理委員會的準則細化為可操作的策略；監督未遂事件的現場管理；推動未遂風險事件管理流程；確保對未遂事件特別是對發生概率很高的未遂事件的分析和糾正工作能夠獲得必要的資源；定期分析未遂事件報告以進一步改進管理系統；為未遂事件管理的執行培訓員工。

在員工層面，應使管理者、監督者和所有雇員都清醒地認識到他們都是未遂風險事件管理體系成功運行的決定性力量；對所有員工進行恰當的培訓，以便使未遂風險事件演變成嚴重問題并導致損失前，使員工們意識到該類事件的重要性。

顯然，一個成功的未遂事件管理系統依賴于管理者、監管人員和雇員的個體行動。在它成為主要問題并發展成為銀行的操作損失之前進行適當的培訓來避免操作問題是必要的。

3.3.3 預期和未預期操作風險損失

有些操作損失是可以預期的，而有一些則不可以。預期損失一般是定期(如每天)發生的，例如銀行員工發生的小錯誤和微不足道的信用卡欺詐。未預期損失一般是那些不容易被預見到的損失，例如恐怖襲擊、自然災害和大規模的內部欺詐。就現代大型銀行而言，未預期損失是操作風險管理的重中之重，因為預期損失一般可以被自有資本所彌補或覆蓋，而極端情況下的未預期損失則是銀行的滅頂之災。

3.3.4 操作風險事件類型和操作風險損失類型

盡管巴塞爾協議Ⅱ沒有明確區分事件類型和損失類型，但明確區分這兩個概念還是比較重要的。畢竟，銀行在記錄操作風險損失時，根據事件類型和損失類型，正確地區分上述兩種風險類型是很關鍵的。至于操作風險危害因素、操作風險事件類型和操作風險損失類型三者之間的區別，則可以根據引起它們的原因和效果來分析：

危害指導致某個事件發生的概率增加的一個或多個因素；

事件指直接導致一個或多個結果(如財產損失)的某個事故；

損失指由于某個事件導致的財務賠償的數額。

這樣，危害可能導致事件，而事件則是損失的直接原因。因此，事件是危害的結果，而損失是事件的結果。

Mori和Harada(2001)提出了如何判斷某個特定損失類型屬于市場風險、信用風險還是操作風險的例子：

市場風險：由于市場價格的變化導致債券價值的減少；

信用風險：由于債券發行人破產導致的債券價值的減少；

操作風險：由于交割失敗導致的債券價值的減少。

這里，債券減值(損失類型)就分別屬于市場風險、信用風險和操作風險的范疇。因此，準確地區別危害、事件和損失類型對于正確理解操作風險是非常重要的。不過，由于中國企業的資金主要不是通過發行債券籌集的，而是來自銀行貸款，所以對于中國商業銀行而言，借款人的信貸違約是銀行面臨的主要信用風險。

Chernobai等(2007)則提出了如何區別危害類型、事件類型和損失類型的示例(見圖3—1)。假定某個操作風險案例：雇員管理不善導致了交割失敗，而交割失敗導致了資產減記。雇員管理不善就是危害，交割失敗和資產減記分別是事件類型與損失類型。巴塞爾協議Ⅱ將操作風險分為七種類型事件(見表3—2)，并對每一類事件作了具體的定義和詳細分類。

圖3—1 導致操作風險損失的過程

資料來源：Chernobai，Anna S.I.，Svetlozar T.Rachev，and Frank J.Fabozzi. Operational Risk: A Guide to Basel Ⅱ Capital Requirements，Models，and Analysis. John Wiley & Sons，Inc. 2007.

表3—2 損失事件分類詳表

續前表

續前表

資料來源：《巴塞爾新資本協議》，國際清算銀行，2004-06。

3.3.5 操作風險損失強度和頻率

根據操作風險損失的強度(即損失金額大小)和發生操作風險事件的頻率，可以構造四個組合(見圖3—2)：低頻率和低損失；高頻率和低損失；高頻率和高損失；低頻率和高損失。

圖3—2 根據損失強度和發生頻率對操作風險分類

圖3—2中，第2組和第3組不是銀行風險管理的主要對象，因為低頻率/低損失對銀行正常經營和發展沒有多大影響，而高頻率/高損失顯然不符合實際情況，我們很難想象某銀行每年都發生數百次操作風險事件，且每次都遭受數十億美元的損失。要真是那樣的話，該銀行早已破產了。真正需要銀行管理和防范的是第1組和第4組，特別是低頻率/高損失的第1組。這類極端風險事件很少發生，而一旦發生，對銀行來說則是災難性的(如巴林銀行)。所以，操作風險管理和預警的重點也在第1組。