一、操作风险的定义
操作风险最初是针对银行业风险管理现状提出来的。操作风险在很大程度上来说是公司所持有的、尚未形成体系的风险。国际清算银行的早期出版物对操作风险的定义可以归纳为[1]以下5种。
(1)其他风险。
(2)除了市场风险和信用风险之外的其他所有风险。
(3)由于人为失误或者是技术上的错误等导致损失发生的风险。
(4)由于人为失误或者技术上的错误所造成的损失(Jorion,2000)。
(5)同公司业务操作活动相关的风险(Grouhy et al,2001)。
早期对操作风险的定义是宽泛和不够精确的,早期的定义将除了市场风险和信用风险之外的所有风险均纳入到了操作风险管理的范畴。因此,操作风险包括内控实效风险、流程失败风险、信誉风险、人力资源风险、法律风险、收购风险、系统和技术风险、税收风险、监管风险等。该定义的优点就在于表述简单,缺点就在于含义上太过模糊,给后续的操作风险的测度和管理带来了极大的不便。一个标准定义是:操作风险是指由不完善或者有问题的内部程序、人员或外部事件所造成损失的风险,本定义包括法律风险[2],但不包括策略风险和声誉风险。
随着金融机构发生了一系列的引人注目的操作风险事故,以及理论和实践方面取得的长足进步,在过去的几年中,无论是理论界还是实务界均倾向于采用更加狭义和精确的操作性风险概念,操作性风险被明确锁定在内部操作失误和内外部事件影响两个层面上。其中英国银行家协会于2001年给出的定义最具有代表性:所谓操作性风险,是指由于内部流程、人员行为和系统失当或失败,以及由于外部事件而导致直接和间接损失的危险。国际清算银行采纳了英国银行家协会给出的操作风险的定义,将操作风险定义为:由于不恰当的或失败的处理方式,由人员或系统以及外部事件等导致直接或间接损失的风险。因缺乏对“直接”和“间接”损失的明确定义,业内对该定义尚持批评态度。在一条修正过的操作风险的定义中省去了这两个术语,因此操作风险被最终定义为:操作风险是指由不恰当或失败的内部处理,由人员或系统以及来自外部的事件导致的风险。至此,业界对操作性风险的理解大体趋于一致。
与银行业相比,保险业对操作风险的研究相对落后。保险企业的风险管理一般比较重视核心业务风险,而且在研究企业面临的风险时多采用营业风险(Business Risk)或运营风险/经营风险(Operating Risk)的概念。《保险公司风险管理指引》中将操作风险定义为由于操作流程不完善、人为过错和信息系统故障等原因导致损失的可能性。保险文献一般描述保险经营风险,是指保险经营过程中所有预期值与实际结果发生偏差而出现异常损失的风险,既包含经营活动和管理过程的内部风险,也包括经济、政治和社会等外部因素引致的风险。这些概念虽然将操作风险隐含地包括在内,但是与新巴塞尔协议的风险分类模型相比明显不够清晰,更重要的是定义模糊无法测度。这种风险的描述和划分是保险企业风险测度和整合风险管理落后的主要原因之一。
二、操作风险的分类
巴塞尔银行监管委员会将操作风险分为7类。
(1)内部欺诈(Internal Fraud)。这一类风险包括企业内部人员的盗窃和欺诈、挪用资产、规避法律条款和规定等未经授权的行为,但是应该排除涉及多元化及多于一名公司内部人员的歧视事件。
(2)外部欺诈(External Fraud)。这一类风险涉及第三方的盗窃和欺诈、挪用资产和规避法律条款等。
(3)雇员制度和工作场所的安全性(Employment Practices and Workplace Safety)。这一类风险主要包括违反雇员协议、没有为雇员创造安全和健康的工作环境导致雇员伤亡的索赔事件,以及涉及多元化及多于一名公司内部人员的差别对待和与歧视有关的索赔事件。
(4)顾客、产品及业务实践(Clients,Products and Business Practices)。这一类风险主要包括适宜性、揭露和信用,不恰当的业务或市场行为,产品缺陷,选择任务和超出客户,风险暴露限制,顾问行为。
(5)实物资产损坏(Damage to Physical Assets)。这一类风险主要包括由于地震、飓风等自然灾害导致的企业实物资产的损坏。
(6)营业中断及系统瘫痪(Business Disruption and System Failures)。这一类风险主要包括由于软件或硬件的实效等原因导致的企业业务中断及系统故障。
(7)交易的执行、传递以及流程管理(Execution,Delivery and Process Management)。这一类风险主要包括与交易对手、客户及供应商有关的交易过程和管理的失败导致的风险。
与银行相类似,可以得到保险公司面临的操作风险也可以分为7类,具体见表4-1。
三、操作风险的经济资本测度方法
操作风险经济资本测度的核心是操作风险分布的估计,这其中有两个分布非常重要,一个是损失频率分布(Loss Frequency Distribution),另一个是损失程度分布(Loss Severity Distribution)。损失频率分布是指在某一时间段(通常是一年)观察到的损失出现的次数,而损失程度分布是指在损失事件出现后损失量的大小,通常假设损失频率分布与损失程度分布是相互独立的。
表4-1保险公司操作风险事件的类型及子类
(一)损失频率分布
经验表明泊松分布(Possion Distribution)和负二项分布(Negative Binomial Distribution)常被用来建立操作风险损失频率模型。
(1)泊松分布。用λ表示泊松分布均值,则泊松分布的概率分布可以表示为:其中,r是损失事件发生的次数。
(2)负二项分布:负二项分布的概率分布可以表示为:其中,频率均值=n(1-p)/p(发生次数r的期望值);频率最大值=n(与二项分布类似,但n不是r的最大值);小写的p表示某事件发生的独立概率。
相对而言,泊松分布在上述两种方法中更为常用,一般的操作风险流程都会假设泊松分布过程。金融机构选择某个频率的概率分布函数后,就确定了针对某事件类型或某特定业务单位损失事件发生次数的可能性框架,但是风险管理分析人员还需要对相关的模型参数进行估算。
(二)损失程度分布
经常使用的损失程度分布函数包括正态分布、Beta分布、对数正态分布、指数分布、Gamma分布、Weibull分布、Logistic分布等。以Gamma分布为例:
假设损失数据样本服从Gamma分布,Gamma分布的密度分布函数为:
其中,Γ(α)是Gamma函数,记为
对应的分布参数α和β可以通过以下方式确定:
样本均值=αβ
样本方差=β2α
获得所需的参数之后,我们可以从该分布函数模拟损失可能的损失严重性,即损失数额。
(三)操作风险的损失分布
对于某个业务而言,损失频率分布与损失程度分布必须结合在一起以产生整体损失分布,计算方法通常是使用Monte Carlo模拟、Panjer算法和快速Fourier变法(Fast Fourier Transforms),其中Monte Carlo模拟方法最常用(Panjer,1981)。由于前面已经假定损失程度与损失频率相互独立,对于每一次模拟抽样,可以进行以下计算:
(1)在频率分布中进行抽样,以决定损失时间(=n)的数量。
(2)在损失程度中进行抽样n次,以决定每次损失事件所对应的损失数量(L1,L2,…,Ln)。
(3)计算整体损失(=L1+L2+…+Ln),进行多次抽样后,可以得到整体损失分布。
四、不同业务线操作风险的整合
前面的工作可以用于估算单个业务线操作风险损失分布和经济资本,但是在实践中还需要对不同业务线操作风险损失分布进行整合,以便产生总体损失分布和估算总体经济资本。通常情况下,根据不同损失业务线操作风险历史数据得到的损失分布函数是不同的,而且不同业务线之间是相互联系、交叉和渗透的,因此简单地认为总体操作风险所需的经济资本就等于各业务线操作风险所需经济资本的和,并不能准确地估算总体的经济资本。在许多情况下,简单的加总处理方式会高估了资本需求,有时也会低估了资本需求。
当前风险管理者和金融机构还在寻找合适的方法解决操作风险的整合问题。目前常见的方法是采用Copula方法自上而下地整合操作风险,但是前面已经分析过Copula方法存在的问题,因此运用Copula方法往往只是一种大致的估计。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。