操作风险的分类及其演变_金融操作风险管理真经：来自全球知名银行的实践经验-QQ阅读男生武侠网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

操作风险的分类及其演变

操作风险管理的核心是风险分类法，它对该学科的范围做了定义和进一步的解释。

操作风险分类法

操作风险分类法是一种分类系统，用于定义和区分不同类型的操作风险，有助于公司识别出全部的操作风险。

分类的主要目的是什么？在实践中，它有几种不同的用途，如下所述。

通用语言和重点领域

通过风险分类，我们引入了一种通用的语言，使公司内部能够使用一致的术语。它还使公司能够聚焦特定的风险主题，并具体地将它们划分为不同的类别，从而在风险识别活动中重点关注这些主题。还有一个好处：可以将公司内部的分类法与《巴塞尔协议》的标准分类法对应起来，这也是监管部门要求的，本章后文将进一步介绍。这样做，就意味着公司不仅有内部通用语言，而且还有行业通用语言，可以用于行业基准分析。

风险计量

在早期，分类的主要用途往往是风险计量。它使公司能够将财务损失（可以认为是操作风险的具体化事件，如第4章所讨论的）分配到某个特定的命名类别。这有助于公司分析其财务损失情况，了解损失金额在各种可能类别中的分布，并评估其资本的充足性。

风险识别

随着操作风险学科日趋成熟，为风险管理目的而使用分类的情形逐渐增多。例如，在第5章和第6章所概述的风险评估程序中，风险分类提供了一个有用的清单，提示我们需要处理从欺诈到系统故障等一系列风险主题，确保检查过程中不遗漏任何重大风险。

回溯测试

分类法是重要的黏合剂，可以将操作风险管理框架的各个组件黏合起来。如果后续章节中介绍的工具都采用相同的分类规则，就有可能将它们的输出进行比较，这有助于我们将其贯穿起来，讲述一个连贯的故事。

汇总和报告

在前面工作的基础上，分类法还可以让大量的业务风险数据变得结构化、条理化，进而以有意义的方式进行汇总、分析和报告，还能够突出需要关注的领域。

图1-2 《巴塞尔协议》中操作风险的七大类别

操作风险分类法简介

《巴塞尔协议》分类法由7个类别（或类型）组成，如图1-2所示。（注：“类别”和“类型”这两个词在本章其余部分将交替使用）。

在操作风险学科的早期，《巴塞尔协议》分类法就被许多组织采用，现在已经深深嵌入数据的收集、处理和分析等核心框架工具之中。

每个主要（或一级）类别下面都有进一步细分的分类法，我们可以把这些细分风险类别看作主要风险的子类别（或二级类别）。例如，《巴塞尔协议》将内部欺诈分成更详细的子类别，如未经授权的活动、盗窃、欺诈等（见表1-3）。

表1-3 分类法中的子类别

通常情况下，公司定义的层级结构有两三个层级，有些公司会增加到五个层级，创建更为详细全面的风险目录。然而，超过三个层级的分类法可能会过于细化，使用起来也很麻烦。

操作风险分类法的演变

虽然很多公司都在沿用最初的《巴塞尔协议》分类法，但业内人士普遍认为它已经过时了。越来越多的机构正在利用这个机会，设计一种适合自己的定制化的分类清单。操作风险损失数据交换协会（ORX）发布了一种更新的参考分类法（见图1-3），使一些公司在这方面加快了步伐，采用新的分类系统。[6]

为了创建一个适合自己的分类方法，各公司应该着眼于：

• 使用简单的语言，让公司的各个层面都能理解。

• 适当调整类别，以反映业务中最重大的风险。

• 尽可能地为风险识别和目标管理创造价值。

图1-3 ORX将操作风险分为16个类别

简化语言

由于基层员工可能不太熟悉操作风险这门学科，《巴塞尔协议》中的命名惯例对于他们来说并不直观易懂。虽然执行、交割和流程管理这些术语很容易被大多数风险从业者所理解，但对其他部门来说，其含义却不那么明显。为了提升嵌入性，让风险管理与业务深度融合，更好的做法是用业务人员实际使用的语言构建风险框架。例如，如图1-3所示，雇佣政策和工作场所安全已被ORX重新命名为员工。这样做很有效，对该风险类型的表述更合理、更直观。

反映最新的情况

对《巴塞尔协议》分类法进行更新的另一个理由是：这些年来，操作风险环境发生了明显的变化。比如：

• 外包。鉴于公司对第三方的依赖越来越强，并且考虑到新的监管要求，如欧洲银行管理局的指导方针[7]，外包风险需要被提升为操作风险的一级类别，而不是作为执行、交割和流程管理的一个子类别。

• 网络。金融稳定委员会（FSB）已经为此开发了一整套词汇表，需要用适当的语言来表述。[8]

• 客户、产品和业务活动。该类别范围太广，包括几个不同的主题，比如法律和金融犯罪。如果一家公司正在评估法律风险敞口和偏好——《巴塞尔协议》特意将法律风险列为操作风险的一部分，那么将法律风险作为一个单独的类别是更有帮助的。

• 此外，支票造假（一种未经授权的支票账户活动，被《巴塞尔协议》列为执行、交割和流程管理的第三级子类别）等风险类别在数字时代正变得不那么重要。

为风险管理目的考虑最佳价值

正如本章前面所讨论的，风险分类法让金融公司和操作风险相关从业者有意识地将注意力集中在特定的主题上，因此，它是一个强大的风险管理工具。例如，如果金融公司使用大量复杂的电子表格和终端用户计算（EUC）应用程序，它可以引入模型风险作为一级类别。这样做可以突出该主题的重要性，鼓励终端用户识别和评估模型风险，包括模型设计不正确或实施不当的风险。交易、融资和市场风险等领域通常使用精心设计的模型，有时是电子表格的形式，这些模型接受假设、进行计算并产生用于决策的关键输出。大量的行业案例表明：模型错误会给公司带来巨大的财务损失和声誉损害，这意味着模型风险管理非常重要。

同样，如果公司正在积极开发新产品，它可能觉得应该将产品划分为一级类别，如表1-4所示。

表1-4 分类法实例：产品类别

在《巴塞尔协议》分类法和ORX的分类法中，产品都没有作为一级类别出现；模型在ORX分类法的一级类别中出现了，但《巴塞尔协议》分类法的一级类别中没有。这种差异表明：应该把行业资源作为指南而不是规则，并且可以开发一个定制化分类方案。当然，挑战还在于：商业活动会随着时间的推移而发展变化，该方案不仅在创建时必须是有意义的，还要有灵活性，以适应不同时期的需要。