操作風險的分類及其演變

操作風險管理的核心是風險分類法，它對該學科的范圍做了定義和進一步的解釋。

操作風險分類法

操作風險分類法是一種分類系統，用于定義和區分不同類型的操作風險，有助于公司識別出全部的操作風險。

分類的主要目的是什么？在實踐中，它有幾種不同的用途，如下所述。

通用語言和重點領域

通過風險分類，我們引入了一種通用的語言，使公司內部能夠使用一致的術語。它還使公司能夠聚焦特定的風險主題，并具體地將它們劃分為不同的類別，從而在風險識別活動中重點關注這些主題。還有一個好處：可以將公司內部的分類法與《巴塞爾協議》的標準分類法對應起來，這也是監管部門要求的，本章后文將進一步介紹。這樣做，就意味著公司不僅有內部通用語言，而且還有行業通用語言，可以用于行業基準分析。

風險計量

在早期，分類的主要用途往往是風險計量。它使公司能夠將財務損失（可以認為是操作風險的具體化事件，如第4章所討論的）分配到某個特定的命名類別。這有助于公司分析其財務損失情況，了解損失金額在各種可能類別中的分布，并評估其資本的充足性。

風險識別

隨著操作風險學科日趨成熟，為風險管理目的而使用分類的情形逐漸增多。例如，在第5章和第6章所概述的風險評估程序中，風險分類提供了一個有用的清單，提示我們需要處理從欺詐到系統故障等一系列風險主題，確保檢查過程中不遺漏任何重大風險。

回溯測試

分類法是重要的黏合劑，可以將操作風險管理框架的各個組件黏合起來。如果后續章節中介紹的工具都采用相同的分類規則，就有可能將它們的輸出進行比較，這有助于我們將其貫穿起來，講述一個連貫的故事。

匯總和報告

在前面工作的基礎上，分類法還可以讓大量的業務風險數據變得結構化、條理化，進而以有意義的方式進行匯總、分析和報告，還能夠突出需要關注的領域。

操作風險分類法簡介

《巴塞爾協議》分類法由7個類別（或類型）組成，如圖1-2所示。（注：“類別”和“類型”這兩個詞在本章其余部分將交替使用）。

在操作風險學科的早期，《巴塞爾協議》分類法就被許多組織采用，現在已經深深嵌入數據的收集、處理和分析等核心框架工具之中。

每個主要（或一級）類別下面都有進一步細分的分類法，我們可以把這些細分風險類別看作主要風險的子類別（或二級類別）。例如，《巴塞爾協議》將內部欺詐分成更詳細的子類別，如未經授權的活動、盜竊、欺詐等（見表1-3）。

通常情況下，公司定義的層級結構有兩三個層級，有些公司會增加到五個層級，創建更為詳細全面的風險目錄。然而，超過三個層級的分類法可能會過于細化，使用起來也很麻煩。

操作風險分類法的演變

雖然很多公司都在沿用最初的《巴塞爾協議》分類法，但業內人士普遍認為它已經過時了。越來越多的機構正在利用這個機會，設計一種適合自己的定制化的分類清單。操作風險損失數據交換協會（ORX）發布了一種更新的參考分類法（見圖1-3），使一些公司在這方面加快了步伐，采用新的分類系統。[6]

為了創建一個適合自己的分類方法，各公司應該著眼于：

? 使用簡單的語言，讓公司的各個層面都能理解。

? 適當調整類別，以反映業務中最重大的風險。

? 盡可能地為風險識別和目標管理創造價值。

簡化語言

由于基層員工可能不太熟悉操作風險這門學科，《巴塞爾協議》中的命名慣例對于他們來說并不直觀易懂。雖然執行、交割和流程管理這些術語很容易被大多數風險從業者所理解，但對其他部門來說，其含義卻不那么明顯。為了提升嵌入性，讓風險管理與業務深度融合，更好的做法是用業務人員實際使用的語言構建風險框架。例如，如圖1-3所示，雇傭政策和工作場所安全已被ORX重新命名為員工。這樣做很有效，對該風險類型的表述更合理、更直觀。

反映最新的情況

對《巴塞爾協議》分類法進行更新的另一個理由是：這些年來，操作風險環境發生了明顯的變化。比如：

? 外包。鑒于公司對第三方的依賴越來越強，并且考慮到新的監管要求，如歐洲銀行管理局的指導方針[7]，外包風險需要被提升為操作風險的一級類別，而不是作為執行、交割和流程管理的一個子類別。

? 網絡。金融穩定委員會（FSB）已經為此開發了一整套詞匯表，需要用適當的語言來表述。[8]

? 客戶、產品和業務活動。該類別范圍太廣，包括幾個不同的主題，比如法律和金融犯罪。如果一家公司正在評估法律風險敞口和偏好——《巴塞爾協議》特意將法律風險列為操作風險的一部分，那么將法律風險作為一個單獨的類別是更有幫助的。

? 此外，支票造假（一種未經授權的支票賬戶活動，被《巴塞爾協議》列為執行、交割和流程管理的第三級子類別）等風險類別在數字時代正變得不那么重要。

為風險管理目的考慮最佳價值

正如本章前面所討論的，風險分類法讓金融公司和操作風險相關從業者有意識地將注意力集中在特定的主題上，因此，它是一個強大的風險管理工具。例如，如果金融公司使用大量復雜的電子表格和終端用戶計算（EUC）應用程序，它可以引入模型風險作為一級類別。這樣做可以突出該主題的重要性，鼓勵終端用戶識別和評估模型風險，包括模型設計不正確或實施不當的風險。交易、融資和市場風險等領域通常使用精心設計的模型，有時是電子表格的形式，這些模型接受假設、進行計算并產生用于決策的關鍵輸出。大量的行業案例表明：模型錯誤會給公司帶來巨大的財務損失和聲譽損害，這意味著模型風險管理非常重要。

同樣，如果公司正在積極開發新產品，它可能覺得應該將產品劃分為一級類別，如表1-4所示。

在《巴塞爾協議》分類法和ORX的分類法中，產品都沒有作為一級類別出現；模型在ORX分類法的一級類別中出現了，但《巴塞爾協議》分類法的一級類別中沒有。這種差異表明：應該把行業資源作為指南而不是規則，并且可以開發一個定制化分類方案。當然，挑戰還在于：商業活動會隨著時間的推移而發展變化，該方案不僅在創建時必須是有意義的，還要有靈活性，以適應不同時期的需要。