风险管理操作风险培训课件

第十章：风险管理—操作风险房勇2012年12月1第十章：风险管理—操作风险房勇1巴塞尔委员会调查结果2巴塞尔委员会调查结果2银行业务越来越依赖于集成的自动系统。广泛的自动化系统的使用将会把人为处理过程中的错误转化为系统出错的风险。电子商务蓬勃发展，所蕴涵的风险还没有被很好的理解。大规模的银行业的兼并、收购、分拆会带来新旧管理系统衔接的问题。银行需要为商业提供大规模的交易，这对高级的内部控制和后备系统的持续维护提出了很高的要求。银行使用了各种风险缓解技术（例如资产证券化、信用衍生产品的使用）来将风险转化为信用风险和市场风险，但是带来了新的风险，例如法律风险。更多的业务采用外包的形式，虽然减少了某些风险，但带来了新的风险。操作风险引起重视的背景3银行业务越来越依赖于集成的自动系统。广泛的自动化系统的使用将操作风险引起重视的背景社会转型法制的不健全社会道德体系社会流动性增加（国际、国内）腐败IT技术的快速发展与人员素质4操作风险引起重视的背景社会转型4操作风险的定义巴塞尔委员会在2001年的银行操作风险管理文献中给出了操作风险的定义：源于不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。这个定义包括了法律风险，但是将策略风险、信誉风险和系统风险排除在外。

巴塞尔委员会允许银行在实践中使用不同的操作风险的定义，但是无论定义的形式如何，都应该能够涵盖以下这些风险：内部欺诈：有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为。例如内部人员虚报头寸、内部人员偷盗、在职员的账户上进行内部交易等等。

5操作风险的定义巴塞尔委员会在2001年的银行操作风险管理文献外部欺诈：第三方的诈骗、盗用资产、违犯法律的行为。例如抢劫、伪造、开具空头支票以及黑客行为对计算机系统的损坏。雇用合同以及工作状况带来的风险事件：由于不履行合同、或者不符合劳动健康、安全法规所引起的赔偿要求。例如，工人赔偿要求、违犯雇员的健康安全规定、有组织的罢工以及各种应对顾客负有的责任。客户、产品以及商业行为引起的风险事件：有意或无意造成的无法满足某一顾客的特定需求，或者是由于产品的性质、设计问题造成的失误。例如受托人违约、滥用秘密的客户信息、银行账户上的不正确的交易行为、洗钱、销售未授权产品等。操作风险的定义6外部欺诈：第三方的诈骗、盗用资产、违犯法律的行为。例如抢劫、操作风险的定义有形资产的损失：由于灾难性事件或其他事件引起的有形资产的损坏或损失。例如恐怖事件、地震、火灾、洪灾等。经营中断和系统出错：例如软件或者硬件错误、通信问题以及设备老化。涉及执行、交割以及交易过程管理的风险事件：交易失败、过程管理出错、与合作伙伴、卖方的合作失败。例如交易数据输入错误、间接的管理失误、不完备的法律文件、未经批准访问客户账户、合作伙伴的不当操作以及卖方纠纷等。7操作风险的定义有形资产的损失：由于灾难性事件或其他事件引起的操作风险导致的损失事件的特点导致损失事件发生的原因非常复杂，可能是人为造成的（如欺诈），也可能是由客观条件造成的（如信息系统崩溃、灾害等）；可能是来自于金融内部的（内部人员舞弊），也可能是来自于金融机构外部的（外部人员欺诈），可能是由于主观蓄意造成的，也可能是无意的失误。

损失事件造成的损失分布范围非常广。小至由于银行自动提款机错误发生的几百元的损失，大到由于内外部人员勾结进行欺诈造成数十亿元的损失。8操作风险导致的损失事件的特点导致损失事件发生的原因非常复杂，操作风险导致的损失事件的特点损失事件发生的频率具有很大的差别。一些在清算过程中的错误以及信用卡业务中的欺诈行为，在单个商业银行中每年发生的次数可能成百上千。但是一些极端的损失事件在很长事件内都没有先例可循。

一般而言，金额巨大的损失事件发生频率较低，发生频率较大的损失事件损失金额一般较小。9操作风险导致的损失事件的特点损失事件发生的频率具有很大的差别操作风险损失数据的统计分类

业务部门分类（1）1级目录2级目录业务群组公司财务公司财务兼并与收购，承销、私有化，证券化，研究，债务（政府、高收益），股本，银团，首次公开发行上市，配股市政/政府金融商人银行咨询服务交易和销售销售固定收入，股权，外汇，商品，信贷，融资，自营证券头寸，贷款和回购，经纪，债务，经纪人业务做市自营头寸资金业务私人银行业务私人贷款和存款，银行服务，信托和不动产，投资咨询银行卡服务商户/商业/公司卡,零售店品牌(privatelabels)和零售业务10操作风险损失数据的统计分类业务部门分类（1）1级目录2级目操作风险损失数据的统计分类业务部门分类（2）1级目录2级目录业务群组零售银行业务零售银行业务零售贷款和存款，银行服务，信托和不动产私人银行业务私人贷款和存款，银行服务，信托和不动产，投资咨询银行卡服务商户/商业/公司卡,零售店品牌(privatelabels)和零售业务商业银行业务商业银行业务项目融资，不动产，出口融资，贸易融资，保理，租赁，贷款，担保，汇票支付和结算外部客户支付和托收，资金转账，清算和结算11操作风险损失数据的统计分类业务部门分类（2）1级目录2级目录操作风险损失数据的统计分类业务部门分类（3）1级目录2级目录业务群组代理服务托管第三方账户托管，存托凭证，证券贷出（消费者），公司行为（Corporateactions）公司代理发行和支付代理公司信托

资产管理可支配基金管理集合，分散，零售，机构，封闭式，开放式，私募基金非可支配基金管理集合，分散，零售，机构，封闭式，开放式零售经纪零售经纪业务执行指令等全套服务12操作风险损失数据的统计分类业务部门分类（3）1级目录2级目录操作风险损失数据的统计分类损失事件类型定义业务举例内部欺诈故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失，此类事件至少涉及内部一方，但不包括性别/种族歧视事件交易不报告（故意）交易品种未经授权（存在资金损失）头寸计价错误（故意）欺诈/信贷欺诈/假存款盗窃/勒索/挪用公款/抢劫盗用资产恶意损毁资产伪造多户头支票欺诈走私窃取账户资金/假冒开户人/等等违规纳税/逃税（故意）贿赂/回扣内幕交易（不用企业的账户）13操作风险损失数据的统计分类损失事件类型定义业务举例内部欺诈故操作风险损失数据的统计分类外部欺诈第三方故意骗取、盗用财产或逃避法律导致的损失，盗窃/抢劫伪造多户头支票欺诈

黑客攻击损失盗窃信息（存在资金损失）就业政策和工作场所安全性违反就业、健康或安全方面的法律或协议，个人工伤赔付或者因性别/种族歧视事件导致的损失薪酬，福利，雇佣合同终止后的安排有组织的劳工行动一般责任（滑倒和坠落，等等）违反员工健康及安全规定事件的工人的劳保开支所有涉及歧视的事件14操作风险损失数据的统计分类外部欺诈第三方故意骗取、盗用财产或操作风险损失数据的统计分类

客户，产品以及商业行为

因疏忽未对特定客户履行份内义务（如信托责任和适当性要求）或产品性质或设计缺陷导致的损失违背信托责任/违反规章制度适当性/披露问题（违规披露零售客户信息,泄露私密\冒险销售为多收手续费反复操作客户账户保密信息使用不当贷款人责任（LenderLiability）

反垄断不良交易/市场行为操纵市场内幕交易（不用企业的账户）未经当局批准的业务活动洗钱

产品缺陷（未经授权等）模型误差

未按规定审查客户超过客户的风险限额

咨询业务产生的纠纷15操作风险损失数据的统计分类

客户，产品以及商业行为因疏忽未对操作风险损失数据的统计分类实体资产损坏实体资产因自然灾害或其他事件丢失或毁坏导致的损失自然灾害损失外部原因（恐怖袭击、故意破坏）造成的人员伤亡经营中断和系统出错

经营中断或系统出错导致的损失硬件软件电信动力输送损耗/中断16操作风险损失数据的统计分类实体资产损坏实体资产因自然灾害或其操作风险损失数据的统计分类执行，交割以及交易过程交易处理或流程管理失败和因交易对手方及外部销售商关系导致的损失错误传达信息数据录入、维护或登载错误超过最后期限或未履行义务模型/系统误操作会计错误/交易方认定记录错误其他任务履行失误,交割失败担保品管理失败交易相关数据维护

未履行强制报告职责外部报告失准（导致损失）

客户许可/免责声明缺失法律文件缺失/不完备

未经批准登录账户客户记录错误（导致损失）（客户资产因疏忽导致的损失或毁坏）

非客户合作方的失误与非客户合作方的纠纷

外包与外部销售商的纠纷17操作风险损失数据的统计分类执行，交割以及交易过程交易处理或流损失事件对应到业务部门的原则(a) 所有业务活动必须按1级目录规定的8个业务部门对应归类，相互不重合，列举要达到穷尽；(b) 对业务部门框架内业务起辅助作用的银行业务或非银行业务，如果无法按业务部门直接对应归类，必须归入其所辅助的业务部门。如果辅助多个业务部门，则必须采用客观标准归类；(c) 在将总收入归类时，如果此业务无法与某一特定业务部门对应，则适用资本要求最高的业务部门。此业务部门也同样适用于任何相关的辅助业务；(d) 如果银行总收入（按基本指标法计算）仍等于8个业务部门的总收入之和，银行可以使用内部定价方法在各业务部门间分配总收入；18损失事件对应到业务部门的原则(a) 所有业务活动必须按1级目(e) 因计算操作风险将业务按业务部门归类时采用的定义，必须与计算其他类风险（如信用风险、操作风险）监管资本所采用的定义相同。一旦背离此原则，则需引起异议并明确记录；(f) 银行采用的对应流程应当有明确的文字说明。尤其是业务部门的书面定义应清晰、详尽，使第三方可以复制业务部门对应的做法。文字说明中必须规定对违反情况应引起异议并保持记录；(g) 必须制定新业务或产品对应的流程；(h) 高级管理层负责制定业务部门对应政策（经董事会批准）；(i) 业务部门对应流程必须接受独立审查。损失事件对应到业务部门的原则19(e) 因计算操作风险将业务按业务部门归类时采用的定义，必须操作风险管理的一般步骤

1.

确定风险管理的范围和目标：高层管理人员在咨询董事会后应当结合企业的经营策略、风险偏好为操作风险管理制定明确的范围和目标。另外，还应当制定一些具体、短期的目标，以保证风险管理工作稳步朝既定目标发展。这些短期目标可以是：l

准确地定义一些重要的损失事件并为其命名，这样可以保证在以后的管理工作中更方便地讨论、分析这些风险。l

建立一个损失事件日志，为建立定量分析操作风险的模型积累数据。l

建立统计模型分析特定损失事件的成因以及它们之间的联系。l

进行基于风险的资源配置以及情景分析。建立一个专门的操作风险管理组织，给予其充分的授权和资源支持。所有的规定、决议、模型应当以文本模式记录下来，并且保证相关人员可以方便地获得。

20操作风险管理的一般步骤1.

确定风险管理的范围和目标：高层操作风险管理的一般步骤

2、确定重要的风险：职员在高级管理人员的支持下必须确定哪些是重要的过程、资源和损失事件。操作风险管理的失败在很多情况下是由于包括的内容太广泛，因此在确定的时候需要严格按照高层制定的精确的目标。首先必须对经营中重要的过程和资源有清楚的了解，然后再试图找出可能影响它们的操作风险。查找风险因素一方面可以直接向部门经理调查，另一方面可以通过研究企业内部、外部的损失数据，使用策略框架和与行业内运行较好的企业进行比较。需要特别关注的风险因素包括：操作杠杆、交易范围以及交易量、利率、金融产品和服务的复杂性、日期效应、操作中的变化以及管理中的自满情绪。最后应当确定存在哪些重要的损失事件。

21操作风险管理的一般步骤

2、确定重要的风险：职员在高级管理操作风险管理的一般步骤3、对风险进行估计：使用从各种途径得到的数据估计那些重要的过程、资源中的操作风险，估计的内容不但包括风险导致的冲击的大小，还包括损失事件发生的概率。对于不能定量分析的风险，必须找出这些风险的起因以及可以采取什么样的措施。另外，如果不同风险之间具有重要的依赖关系，还需要对它们的相关性进行估计。用来估计损失事件的频率以及严重程度的有三类方法：历史数据分析、主观风险评价以及根据依赖关系对风险进行估计。更进一步，可以使用统计方法来估计风险因素的频率以及损失程度的分布函数，常用的分布函数有三类：经验分布（EmpiricalDistribution）、形状分布（ShapeDistribution）、参数分布（ParametricDistribution）。最后建立操作风险数据库存储对于损失事件的确认和度量结果，以供后面的风险分析和资源分配使用。

22操作风险管理的一般步骤3、对风险进行估计：使用从各种途径得到操作风险管理的一般步骤4、深度分析，步骤如下：（1）将这些风险加总：将风险按照事件或者因素加总，可以区分不同风险的先后次序，有效地进行资源配置，评价操作风险管理的执行情况。如果分析的目标是降低收入的波动性，那么只需要将本期的风险加总。如果分析的目标是保护资产负债表或者估计VaR的值，那么加总的范围将涉及到多个时期。（2）在确定了损失事件的风险以及损失事件所处的经营过程后，负责该过程的风险管理人员就要考虑可行的风险管理措施。

23操作风险管理的一般步骤4、深度分析，步骤如下：23操作风险管理的一般步骤（3）分析单个损失事件：a)

了解引起损失的风险因素的发生概率、冲击大小。b)

了解损失事件发生的先后顺序。c)

确定该损失事件的发生次数随时间变化的趋势。d)

确定可能引发该损失事件的其他事件。e)

对比同类损失事件，以找出共同的风险因素。f)

考虑企业可以在多大程度上控制该损失事件（可控制、可影响、不可控制），然后考虑可行的措施。24操作风险管理的一般步骤（3）分析单个损失事件：24（4）分析具有风险的过程和资源：从整个企业的角度考虑操作风险和资源的分配。（5）分析重要的风险因素：分析风险因素是否在企业的控制范围之内，如果在企业的控制之下，企业应当设法预报风险、降低风险水平、改变风险因素的分布（例如降低它的方差）或者设法在企业内部抵消这种风险。如果风险因素在企业控制范围之外，那么可以借助保险等手段，将风险转移给一些可以更好处理这种风险的机构。（6）对风险管理措施进行评价：大多数风险管理措施都具有成本以及副作用。了解它们的成本并且权衡这种成本与管理带来的收益，最后决定是否有必要采取干涉措施。操作风险管理的一般步骤25（4）分析具有风险的过程和资源：从整个企业的角度考虑操作风险操作风险管理的一般步骤5、采取措施消除处于经营过程和资源中的风险。一般采取的措施可以分为：(1)风险回避和风险因素管理（RiskAvoidanceandFactorManagement）：风险回避是指企业回避某些具有风险的经营活动甚至完全退出行业。风险因素管理通过降低风险因素水平、改变风险因素分布情况或者改变企业对风险因素的敏感程度来改善经营环境。(2)损失预报（LossPrediction）：损失预报的目标在于减少损失的不确定性，具体表现就是灾难性损失和未预期损失的降低。损失预报技术使得管理人员可以更好地估计未来的损失的频率和大小，改善对于重要风险因素的估计，了解哪些事件使得错误更可能发生。26操作风险管理的一般步骤5、采取措施消除处于经营过程和资源中的操作风险管理的一般步骤(3)损失预防（LossPrevention）：损失预防的主要目的是减少损失事件发生的可能性。可以采用的措施包括：重新设计经营过程、重新设计工作、重新设计产品和服务、功能自动化、人体工程学、欺诈的预防与侦测、企业资源规划、基于可靠性的维护。(4)损失控制（LossControl）：损失控制的主要作用是降低一些主要损失事件对企业的冲击，而在降低发生频率方面的效果则很有限。因此损失控制对一些发生频率较低、但一旦发生会对企业产生较大冲击的损失事件较为有效，而对那些发生频繁的损失事件作用不大。可以采用的措施包括：存货管理和缓冲、冗余系统、诊断控制、系统内部限制、遵守规章制度、财产安全管理、计算机安全管理、内部外部审计、质量控制。27操作风险管理的一般步骤(3)损失预防（LossPreve操作风险管理的一般步骤(5)降低损失以及应急措施（LossReductionandContingencyManagement）：降低损失是指能够降低损失的严重程度但是并不影响损失发生频率的风险管理措施。损失降低一般适用于一些难于预测的外部事件。降低损失的具体措施可以分为两类：一类是在损失事件发生前，制定各种紧急情况下的应急措施（ContingencyManagement）；另一种是在损失事件发生后通过危机管理（CrisisManagement）减轻损失。(6)风险融资（RiskFinancing）：风险融资是指企业将损失事件以一定的费用转移给外部团体或者通过改变资本结构来抵御风险。风险转移的具体形式包括对冲、保险、担保、合约、证券化和项目融资。改变资本结构的具体措施可以是提供更多的资本、降低债务水平、降低操作杠杆、经营分散化、自我保险。28操作风险管理的一般步骤(5)降低损失以及应急措施（Loss6、对操作风险的监测和报告：良好、规范的报告制度是风险管理成功的重要前提。对风险进行连续的监测，定期的报告循环机制可以周期性地考察操作风险管理的需求、不断提高管理的有效性。操作风险管理的一般步骤296、对操作风险的监测和报告：良好、规范的报告制度是风险管理成操作风险的度量模型

由上至下法（Top-downApproaches）：

由上至下法着眼点在于总体的目标（例如净收入、净资产），然后考虑风险因素和损失事件对其造成的影响。一般的步骤是：1．确定目标变量。2．确定可以影响目标变量的因素和事件。3．建立模型，反映目标变量和因素、事件的关系4.计算变量的方差，将其中不能被外部因素解释的部分作为操作风险。30操作风险的度量模型由上至下法（Top-downAppro由上至下法举例：证券因素模型:（StockFactorModel）可以用来分析上市公司的操作风险。选取的目标变量是股票的市值，解释变量是一些影响股票市值的因素。

其中，是公司的股票的收益率，是第个风险因素的收益率，代表了对这些因素的敏感程度。我们在确定了影响股票收益的因素以后，可以通过数据回归出模型。然后将股票收益率的方差中不能被模型解释的部分作为由于企业内部管理因素而导致的风险，即操作风险。31由上至下法举例：证券因素模型:（StockFactorM由上至下法举例：收入模型（Income-basedModels）的着眼点在于企业的收入。它将企业的历史收入作为目标变量，将企业外部的一些风险因素作为解释变量。这些因素可以是市场因素、行业因素以及信用因素等。与前面的证券模型相同，将这些外部因素不能解释的收入的方差值作为企业的操作风险。在很多情况下，历史数据可能不足，这时可以选取季度、甚至月份的收入数据。

开支模型（Expense-basedModels）将企业的历史开支和操作风险联系起来。首先收集企业历史上的开支数据，然后调整这些数据以反映企业内部发生的结构性变化，最后将这些开支数据的波动率作为操作风险值。因为开支的波动可能来自于操作失误、罚款、经营中的损失。开支模型的特点是简单易行，但是它只能反映部分操作风险，对于信誉风险、机会成本以及影响收入的损失则没有考虑。32由上至下法举例：收入模型（Income-basedMode自下而上的方法（Bottom-upApproaches）：由下至上法则将总体目标分解成若干子目标，然后分别考虑风险因素和损失事件对它们的影响。一般地先选择企业运转的一些基本要素（例如资产、负债、重要的经营过程、重要的资源等），然后考虑这些因素的潜在的变化可能会对目标变量（以市场方式标价的资产价值、净收入等）带来怎样的影响。模型中一般使用风险因素或特定的损失事件来代表潜在的变化。

操作风险的度量模型33自下而上的方法（Bottom-upApproaches）：由下至上法一般步骤1.

确定目标变量，一般为损益值、成本、净资产价值。2.确定一些重要的过程和资源或者一些重要的资产和负债。在此过程中，需要牢记：往往大部分的风险蕴含在很少的几个重要过程和资源中。3.

将这些过程和资源映射到一系列已经掌握了历史数据的风险因素和损失事件。4.

模拟一定时间范围内的风险因素和损失事件的可能变化，同时也要考虑这些因素和事件之间的依赖关系。对于它们的统计分布，可以使用参数估计，也可以使用蒙特卡罗模拟（MonteCarloSimulation）。5.

使用模拟得出的分布和前面使用的映射关系，给出对目标变量的可能影响。34由下至上法一般步骤1.

确定目标变量，一般为损益值、成本、净由下至上法举例市场因素模型（MarketFactorModels）主要用来衡量可在市场交易的资产的风险，这些资产的价值在很大程度上受到连续的市场因素的影响。在计算出这些市场因素的分布情况后，就可以得出资产的价值分布情况。VaR模型就是一个很好的例子。

精算损失模型（ActuarialLossModel）主要被保险公司采用，用来估计现金的流入和流出。保险公司根据自己丰富的客户损失记录，可以计算出很多特定的损失事件的频率以及损失程度的分布。然后利用这些数据，估计未来的保费收入以及赔偿支出。35由下至上法举例市场因素模型（MarketFactorMo由下至上法举例因果模型（CausalModel）把历史的损失数据和主观的对损失事件的因果关系假设结合起来，来估计当某一事件发生时特定损失事件发生的条件概率。一般的因果模型包括过错树（FaultTree）、事件树（EventTree）、事件模拟（EventSimulation）等。

压力测试（StressTest）是一种极端的测试方法，它通过对风险因素或者损失事件的值给定某个极端的值，然后考察在这样的压力下公司的操作风险管理会出现什么样的问题，以检验管理中可能存在的不足。在检验过程中，通常可以忽略风险因素之间的相关性。

36由下至上法举例因果模型（CausalModel）把历史巴塞尔委员会的渐进度量模型Basel委员会按照银行的风险管理水平由低到高以及对操作风险的认识逐渐提升，提出了三种方法度量操作风险，这些方法由低级到高级依次是：基本指标法、标准化方法和内部度量法。度量的方法越高级，需要的损失事件的信息越多，作为回报，最后计算出的商业银行需要为操作风险分配的资本就越少。37巴塞尔委员会的渐进度量模型Basel委员会按照银行的风险管巴塞尔委员会的渐进度量模型基本指标法（BasicIndicatorApproach）基本指标法选取一个反映银行经营规模的指标（例如总收入），乘以一个由监管当局确定的系数，这样就得出了需要分配的资本。计算公式KBIA=GI×αKBIA是基本指标法需要的资本，GI是前三年总收入的平均值,α=15%，由巴塞尔委员会设定。总收入定义为：净利息收入加上非利息收入。基本指标法适用于内部控制尚不完善、而且也没有对历史的操作风险损失事件记录的银行。38巴塞尔委员会的渐进度量模型基本指标法（BasicIndi巴塞尔委员会的渐进度量模型标准化方法（StandardizedApproach）标准化方法将银行业务分为8个业务部门：公司金融、交易和销售、零售银行业务、商业银行业务、支付和清算、代理服务、资产管理和零售经纪；每个部门确定了不同的指标，而针对每个部门的系数也是由监管部门制定的。标准法的计算公式KSA=∑GIi×βi

KSA是基本指标法需要的资本，GIi是对应部门前三年总收入的平均值,βi是对应部门由巴塞尔委员会设定的固定百分数。39巴塞尔委员会的渐进度量模型标准化方法（Standardiz标准化各业务部门值

业务部门系数公司金融(1)18%交易和销售(2)18%零售银行业务(3)12%商业银行业务(4)15%支付和清算(5)18%代理服务(6)15%资产管理(7)12%零售经纪(8)12%巴塞尔委员会的渐进度量模型40标准化各业务部门值业务部门系数公司金融(1)18巴塞尔委员会的渐进度量模型高级度量法（AdvancedMeasurementApproach）高级度量法的是依赖于银行自身的损失数据，由银行自身开发操作风险的度量模型，需要监管部门的批准。高级度量法包含三种方法：内部度量法、损失分布法损失分布法、打分卡方法。41巴塞尔委员会的渐进度量模型高级度量法（AdvancedM内部度量法（InternalMeasurementApproach）

内部度量法的基础是将银行业务分为若干个业务部门、损失事件分为若干类型，对每种类型度量操作风险的预期损失，进而来估计操作风险的监管资本。l

KIMA=∑Kij=∑γij×ELij=∑γij×PEij×LGEij

PE：在给定的时间段内，某种操作风险损失事件的发生概率；LGE：损失事件发生时可能导致的损失金额的大小；EL：预期损失。γij值可以由银行自己确定，但需要得到监管部门的批准。巴塞尔委员会的渐进度量模型42内部度量法（InternalMeasurementApp巴塞尔委员会的渐进度量模型损失分布法（LossDistributionApproach）

损失分布法利用历史损失数据来估计每一个业务部门、损失事件类型组合在未来某个时间段中的损失分布情况,然后利用损失分布的分位数来确定监管资本。损失分布法需要估计损失事件发生频率（frequency）和损失金额（lossamount），并且给出二者的具体分布。

发生频率描述在一定的时间长度内损失事件可以发生的次数，而损失金额则描述一次损失事件可能带给金融机构的损失大小。43巴塞尔委员会的渐进度量模型损失分布法（LossDistr巴塞尔委员会的渐进度量模型描述损失强度的分布对数正态分布（高频率风险类型）g(x)=（1/σx）(2∏)-1/2exp(-((lnx-u)/2σ)2/),x>0。Possion分布：Γ(α)是GAMMA函数，g(x)=(xα-1exp(-x/β))/(βα

Γ(α)),x>0。双参数双曲线分布：B(α)是Bessel函数,g(x)=exp(-α（β2+x2)1/2)/(2βαB(αβ)),x>0。44巴塞尔委员会的渐进度量模型描述损失强度的分布44巴塞尔委员会的渐进度量模型描述损失事件发生频率分布：

二项分布B(N,p),p损失事件发生频率,N是所有事件总数b(n)=（N/n）pn(1-p)N-n,n=0,1,…,N(严重缺点：需要知道N)。Possion分布：λ是损失事件发生期望频率b(n)=λnexp(-λ)/n!,n=0,1,2,…负二项分布：b(n)=（α+n-1/n）(1/1+β)α(β/1+β)n,n=0,1,2,…45巴塞尔委员会的渐进度量模型描述损失事件发生频率分布：45巴塞尔委员会的渐进度量模型假设一定时间内损失事件数量是随机变量N，每个事件的损失强度是随机变量L且独立同分布，则这个时间内操作风险损失X的波动性为：Var(X)=E(N)Var(L)+Var(N)E(L)2假设N服从泊松分布，L服从指数分布，则有Var(N)=E(N),Var(L)=E(L)2于是Var(X)=2E(N)E(L)246巴塞尔委员会的渐进度量模型假设一定时间内损失事件数量是随机巴塞尔委员会的渐进度量模型记分卡方法（ScorecardApproach）

在记分卡方法中，银行（也可以是一个业务部门）首先设定一个初始的资本值，然后利用对风险控制环境打分的方法来对这个值进行调整。这种方法旨在计算资本需求时加入对未来的风险控制改善的考虑。打分标准可以建立在对实际风险度量的基础上，但通常都是使用一些可以反映风险的指标。记分卡方法与前面的两种方法不同，它更多的使用了定性的方法。47巴塞尔委员会的渐进度量模型记分卡方法（Scorecard巴塞尔委员会的渐进度量模型记分卡方法是银行对风险和内控的一个自我评估。评估的内容主要有；风险事件、风险事件发生的可能性、风险事件造成的损失强度、风险控制的有效性、风险控制的成效。需要主观给出：风险事件发生的概率、风险时间可能造成的损失额度、风险控制成功的百分比、实施风险控制前后风险减少的比例。48巴塞尔委员会的渐进度量模型记分卡方法是银行对风险和内控的一极值模型（ExtremeValueModel）

操作风险有很大的厚尾特性，通过简单的损失分布方法无法准确地估计发生在分布尾部的极端的损失值，而利用极值理论则可以较好地对损失分布的尾部进行估计。极值模型将损失事件按照损失金额的大小分为两个部分来考虑，位于分界值u以上的利用极值理论来拟合分布，位于分界值u以下的部分，则通过一般的损失分布法来拟合分布。最后将分布的两个部分结合在一起，就得到了极值模型下的损失分布。通常u的值都很大，损失金额大于u的损失事件可以被认为是极端的损失事件。49极值模型（ExtremeValueModel）操作风险极值模型（ExtremeValueModel）

在一般假设下，随机变量超出u的部分的极限分布是次帕累托分布（SecondParetoDistribution）或指数分布（ExponentialDistribution）。50极值模型（ExtremeValueModel）在一般假极值模型（ExtremeValueModel）

利用大于分界值的损失数据拟合次帕累托分布或者指数分布，然后利用如下的等式可以得到超出分界值u的尾部分布（x>u）：尾部损失事件的频率分布用插值的方式得到:N是损失金额小于u部分的频率分布。51极值模型（ExtremeValueModel）利用大于极值模型（ExtremeValueModel）

记损失金额小于u的部分的损失金额分布为F，损失金额大于u的部分损失金额分布为Fu，频率分布为Nu。将分界值u两边的分布叠加起来，就得到了整体的分布情况：52极值模型（ExtremeValueModel）记损失金保险对操作风险的缓释与市场风险、信用风险不同，操作风险尚无金融衍生产品进行风险对冲，但是对于金融机构，可以通过保险合同来转移风险。尽管不存在一种保险产品能够覆盖所有的操作风险，但许多次级的风险种类可以被特定的保险产品所覆盖。国际上，只要金融机构愿意付保险费，目前存在的许多操作风险是可以获得较高保护的。53保险对操作风险的缓释与市场风险、信用风险不同，操作风险尚无保险对操作风险的缓释责任保险对法律风险的缓释：民事责任保险、职业赔偿保险对某些特定形式的法律风险提供保护。这些保险合同中，保险公司同意如果被保险银行由于某种金融服务的条款使得银行面临法律责任需要向第三方进行补偿时，将对被保险银行进行赔偿。这些责任包括无意的侵权行为、不履行条约所规定的义务、对信托条款的破坏。54保险对操作风险的缓释责任保险对法律风险的缓释：民事责任保险保险对操作风险的缓释“职员忠诚”保险对欺诈风险的缓释：该保险针对银行雇员单独或者与他人合谋犯下的不诚实、欺诈性的行为，给银行造成的财产损失和毁坏。这些责任包括欺诈行为，暴力犯罪，、不可解释的失踪、伪造和调换支票、票据、股票、债券，印制假钞。这一保险涵盖了为应对法律诉讼而要承担的风险。55保险对操作风险的缓释“职员忠诚”保险对欺诈风险的缓释：该保保险对操作风险的缓释安龙（Aon）和瑞士再保险（SwissRe）的“金融机构操作风险保险”的覆盖范围：

有形财产保险：火灾、地震、。。技术风险保险：IT技术、。。关系风险保险：由于客户和同业的失误带来的损失；人员风险保险：内部欺诈和员工不恰当行为带来的损失；外部欺诈保险：该产品只有在承保金融超过10亿美元才向银行提供。56保险对操作风险的缓释安龙（Aon）和瑞士再保险（Swiss演讲完毕，谢谢观看！演讲完毕，谢谢观看！第十章：风险管理—操作风险房勇2012年12月58第十章：风险管理—操作风险房勇1巴塞尔委员会调查结果59巴塞尔委员会调查结果2银行业务越来越依赖于集成的自动系统。广泛的自动化系统的使用将会把人为处理过程中的错误转化为系统出错的风险。电子商务蓬勃发展，所蕴涵的风险还没有被很好的理解。大规模的银行业的兼并、收购、分拆会带来新旧管理系统衔接的问题。银行需要为商业提供大规模的交易，这对高级的内部控制和后备系统的持续维护提出了很高的要求。银行使用了各种风险缓解技术（例如资产证券化、信用衍生产品的使用）来将风险转化为信用风险和市场风险，但是带来了新的风险，例如法律风险。更多的业务采用外包的形式，虽然减少了某些风险，但带来了新的风险。操作风险引起重视的背景60银行业务越来越依赖于集成的自动系统。广泛的自动化系统的使用将操作风险引起重视的背景社会转型法制的不健全社会道德体系社会流动性增加（国际、国内）腐败IT技术的快速发展与人员素质61操作风险引起重视的背景社会转型4操作风险的定义巴塞尔委员会在2001年的银行操作风险管理文献中给出了操作风险的定义：源于不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。这个定义包括了法律风险，但是将策略风险、信誉风险和系统风险排除在外。

巴塞尔委员会允许银行在实践中使用不同的操作风险的定义，但是无论定义的形式如何，都应该能够涵盖以下这些风险：内部欺诈：有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为。例如内部人员虚报头寸、内部人员偷盗、在职员的账户上进行内部交易等等。

62操作风险的定义巴塞尔委员会在2001年的银行操作风险管理文献外部欺诈：第三方的诈骗、盗用资产、违犯法律的行为。例如抢劫、伪造、开具空头支票以及黑客行为对计算机系统的损坏。雇用合同以及工作状况带来的风险事件：由于不履行合同、或者不符合劳动健康、安全法规所引起的赔偿要求。例如，工人赔偿要求、违犯雇员的健康安全规定、有组织的罢工以及各种应对顾客负有的责任。客户、产品以及商业行为引起的风险事件：有意或无意造成的无法满足某一顾客的特定需求，或者是由于产品的性质、设计问题造成的失误。例如受托人违约、滥用秘密的客户信息、银行账户上的不正确的交易行为、洗钱、销售未授权产品等。操作风险的定义63外部欺诈：第三方的诈骗、盗用资产、违犯法律的行为。例如抢劫、操作风险的定义有形资产的损失：由于灾难性事件或其他事件引起的有形资产的损坏或损失。例如恐怖事件、地震、火灾、洪灾等。经营中断和系统出错：例如软件或者硬件错误、通信问题以及设备老化。涉及执行、交割以及交易过程管理的风险事件：交易失败、过程管理出错、与合作伙伴、卖方的合作失败。例如交易数据输入错误、间接的管理失误、不完备的法律文件、未经批准访问客户账户、合作伙伴的不当操作以及卖方纠纷等。64操作风险的定义有形资产的损失：由于灾难性事件或其他事件引起的操作风险导致的损失事件的特点导致损失事件发生的原因非常复杂，可能是人为造成的（如欺诈），也可能是由客观条件造成的（如信息系统崩溃、灾害等）；可能是来自于金融内部的（内部人员舞弊），也可能是来自于金融机构外部的（外部人员欺诈），可能是由于主观蓄意造成的，也可能是无意的失误。

损失事件造成的损失分布范围非常广。小至由于银行自动提款机错误发生的几百元的损失，大到由于内外部人员勾结进行欺诈造成数十亿元的损失。65操作风险导致的损失事件的特点导致损失事件发生的原因非常复杂，操作风险导致的损失事件的特点损失事件发生的频率具有很大的差别。一些在清算过程中的错误以及信用卡业务中的欺诈行为，在单个商业银行中每年发生的次数可能成百上千。但是一些极端的损失事件在很长事件内都没有先例可循。

一般而言，金额巨大的损失事件发生频率较低，发生频率较大的损失事件损失金额一般较小。66操作风险导致的损失事件的特点损失事件发生的频率具有很大的差别操作风险损失数据的统计分类

业务部门分类（1）1级目录2级目录业务群组公司财务公司财务兼并与收购，承销、私有化，证券化，研究，债务（政府、高收益），股本，银团，首次公开发行上市，配股市政/政府金融商人银行咨询服务交易和销售销售固定收入，股权，外汇，商品，信贷，融资，自营证券头寸，贷款和回购，经纪，债务，经纪人业务做市自营头寸资金业务私人银行业务私人贷款和存款，银行服务，信托和不动产，投资咨询银行卡服务商户/商业/公司卡,零售店品牌(privatelabels)和零售业务67操作风险损失数据的统计分类业务部门分类（1）1级目录2级目操作风险损失数据的统计分类业务部门分类（2）1级目录2级目录业务群组零售银行业务零售银行业务零售贷款和存款，银行服务，信托和不动产私人银行业务私人贷款和存款，银行服务，信托和不动产，投资咨询银行卡服务商户/商业/公司卡,零售店品牌(privatelabels)和零售业务商业银行业务商业银行业务项目融资，不动产，出口融资，贸易融资，保理，租赁，贷款，担保，汇票支付和结算外部客户支付和托收，资金转账，清算和结算68操作风险损失数据的统计分类业务部门分类（2）1级目录2级目录操作风险损失数据的统计分类业务部门分类（3）1级目录2级目录业务群组代理服务托管第三方账户托管，存托凭证，证券贷出（消费者），公司行为（Corporateactions）公司代理发行和支付代理公司信托

资产管理可支配基金管理集合，分散，零售，机构，封闭式，开放式，私募基金非可支配基金管理集合，分散，零售，机构，封闭式，开放式零售经纪零售经纪业务执行指令等全套服务69操作风险损失数据的统计分类业务部门分类（3）1级目录2级目录操作风险损失数据的统计分类损失事件类型定义业务举例内部欺诈故意骗取、盗用财产或违反监管规章、法律或公司政策导致的损失，此类事件至少涉及内部一方，但不包括性别/种族歧视事件交易不报告（故意）交易品种未经授权（存在资金损失）头寸计价错误（故意）欺诈/信贷欺诈/假存款盗窃/勒索/挪用公款/抢劫盗用资产恶意损毁资产伪造多户头支票欺诈走私窃取账户资金/假冒开户人/等等违规纳税/逃税（故意）贿赂/回扣内幕交易（不用企业的账户）70操作风险损失数据的统计分类损失事件类型定义业务举例内部欺诈故操作风险损失数据的统计分类外部欺诈第三方故意骗取、盗用财产或逃避法律导致的损失，盗窃/抢劫伪造多户头支票欺诈

黑客攻击损失盗窃信息（存在资金损失）就业政策和工作场所安全性违反就业、健康或安全方面的法律或协议，个人工伤赔付或者因性别/种族歧视事件导致的损失薪酬，福利，雇佣合同终止后的安排有组织的劳工行动一般责任（滑倒和坠落，等等）违反员工健康及安全规定事件的工人的劳保开支所有涉及歧视的事件71操作风险损失数据的统计分类外部欺诈第三方故意骗取、盗用财产或操作风险损失数据的统计分类

客户，产品以及商业行为

因疏忽未对特定客户履行份内义务（如信托责任和适当性要求）或产品性质或设计缺陷导致的损失违背信托责任/违反规章制度适当性/披露问题（违规披露零售客户信息,泄露私密\冒险销售为多收手续费反复操作客户账户保密信息使用不当贷款人责任（LenderLiability）

反垄断不良交易/市场行为操纵市场内幕交易（不用企业的账户）未经当局批准的业务活动洗钱

产品缺陷（未经授权等）模型误差

未按规定审查客户超过客户的风险限额

咨询业务产生的纠纷72操作风险损失数据的统计分类

客户，产品以及商业行为因疏忽未对操作风险损失数据的统计分类实体资产损坏实体资产因自然灾害或其他事件丢失或毁坏导致的损失自然灾害损失外部原因（恐怖袭击、故意破坏）造成的人员伤亡经营中断和系统出错

经营中断或系统出错导致的损失硬件软件电信动力输送损耗/中断73操作风险损失数据的统计分类实体资产损坏实体资产因自然灾害或其操作风险损失数据的统计分类执行，交割以及交易过程交易处理或流程管理失败和因交易对手方及外部销售商关系导致的损失错误传达信息数据录入、维护或登载错误超过最后期限或未履行义务模型/系统误操作会计错误/交易方认定记录错误其他任务履行失误,交割失败担保品管理失败交易相关数据维护

未履行强制报告职责外部报告失准（导致损失）

客户许可/免责声明缺失法律文件缺失/不完备

未经批准登录账户客户记录错误（导致损失）（客户资产因疏忽导致的损失或毁坏）

非客户合作方的失误与非客户合作方的纠纷

外包与外部销售商的纠纷74操作风险损失数据的统计分类执行，交割以及交易过程交易处理或流损失事件对应到业务部门的原则(a) 所有业务活动必须按1级目录规定的8个业务部门对应归类，相互不重合，列举要达到穷尽；(b) 对业务部门框架内业务起辅助作用的银行业务或非银行业务，如果无法按业务部门直接对应归类，必须归入其所辅助的业务部门。如果辅助多个业务部门，则必须采用客观标准归类；(c) 在将总收入归类时，如果此业务无法与某一特定业务部门对应，则适用资本要求最高的业务部门。此业务部门也同样适用于任何相关的辅助业务；(d) 如果银行总收入（按基本指标法计算）仍等于8个业务部门的总收入之和，银行可以使用内部定价方法在各业务部门间分配总收入；75损失事件对应到业务部门的原则(a) 所有业务活动必须按1级目(e) 因计算操作风险将业务按业务部门归类时采用的定义，必须与计算其他类风险（如信用风险、操作风险）监管资本所采用的定义相同。一旦背离此原则，则需引起异议并明确记录；(f) 银行采用的对应流程应当有明确的文字说明。尤其是业务部门的书面定义应清晰、详尽，使第三方可以复制业务部门对应的做法。文字说明中必须规定对违反情况应引起异议并保持记录；(g) 必须制定新业务或产品对应的流程；(h) 高级管理层负责制定业务部门对应政策（经董事会批准）；(i) 业务部门对应流程必须接受独立审查。损失事件对应到业务部门的原则76(e) 因计算操作风险将业务按业务部门归类时采用的定义，必须操作风险管理的一般步骤

1.

确定风险管理的范围和目标：高层管理人员在咨询董事会后应当结合企业的经营策略、风险偏好为操作风险管理制定明确的范围和目标。另外，还应当制定一些具体、短期的目标，以保证风险管理工作稳步朝既定目标发展。这些短期目标可以是：l

准确地定义一些重要的损失事件并为其命名，这样可以保证在以后的管理工作中更方便地讨论、分析这些风险。l

建立一个损失事件日志，为建立定量分析操作风险的模型积累数据。l

建立统计模型分析特定损失事件的成因以及它们之间的联系。l

进行基于风险的资源配置以及情景分析。建立一个专门的操作风险管理组织，给予其充分的授权和资源支持。所有的规定、决议、模型应当以文本模式记录下来，并且保证相关人员可以方便地获得。

77操作风险管理的一般步骤1.

确定风险管理的范围和目标：高层操作风险管理的一般步骤

2、确定重要的风险：职员在高级管理人员的支持下必须确定哪些是重要的过程、资源和损失事件。操作风险管理的失败在很多情况下是由于包括的内容太广泛，因此在确定的时候需要严格按照高层制定的精确的目标。首先必须对经营中重要的过程和资源有清楚的了解，然后再试图找出可能影响它们的操作风险。查找风险因素一方面可以直接向部门经理调查，另一方面可以通过研究企业内部、外部的损失数据，使用策略框架和与行业内运行较好的企业进行比较。需要特别关注的风险因素包括：操作杠杆、交易范围以及交易量、利率、金融产品和服务的复杂性、日期效应、操作中的变化以及管理中的自满情绪。最后应当确定存在哪些重要的损失事件。

78操作风险管理的一般步骤

2、确定重要的风险：职员在高级管理操作风险管理的一般步骤3、对风险进行估计：使用从各种途径得到的数据估计那些重要的过程、资源中的操作风险，估计的内容不但包括风险导致的冲击的大小，还包括损失事件发生的概率。对于不能定量分析的风险，必须找出这些风险的起因以及可以采取什么样的措施。另外，如果不同风险之间具有重要的依赖关系，还需要对它们的相关性进行估计。用来估计损失事件的频率以及严重程度的有三类方法：历史数据分析、主观风险评价以及根据依赖关系对风险进行估计。更进一步，可以使用统计方法来估计风险因素的频率以及损失程度的分布函数，常用的分布函数有三类：经验分布（EmpiricalDistribution）、形状分布（ShapeDistribution）、参数分布（ParametricDistribution）。最后建立操作风险数据库存储对于损失事件的确认和度量结果，以供后面的风险分析和资源分配使用。

79操作风险管理的一般步骤3、对风险进行估计：使用从各种途径得到操作风险管理的一般步骤4、深度分析，步骤如下：（1）将这些风险加总：将风险按照事件或者因素加总，可以区分不同风险的先后次序，有效地进行资源配置，评价操作风险管理的执行情况。如果分析的目标是降低收入的波动性，那么只需要将本期的风险加总。如果分析的目标是保护资产负债表或者估计VaR的值，那么加总的范围将涉及到多个时期。（2）在确定了损失事件的风险以及损失事件所处的经营过程后，负责该过程的风险管理人员就要考虑可行的风险管理措施。

80操作风险管理的一般步骤4、深度分析，步骤如下：23操作风险管理的一般步骤（3）分析单个损失事件：a)

了解引起损失的风险因素的发生概率、冲击大小。b)

了解损失事件发生的先后顺序。c)

确定该损失事件的发生次数随时间变化的趋势。d)

确定可能引发该损失事件的其他事件。e)

对比同类损失事件，以找出共同的风险因素。f)

考虑企业可以在多大程度上控制该损失事件（可控制、可影响、不可控制），然后考虑可行的措施。81操作风险管理的一般步骤（3）分析单个损失事件：24（4）分析具有风险的过程和资源：从整个企业的角度考虑操作风险和资源的分配。（5）分析重要的风险因素：分析风险因素是否在企业的控制范围之内，如果在企业的控制之下，企业应当设法预报风险、降低风险水平、改变风险因素的分布（例如降低它的方差）或者设法在企业内部抵消这种风险。如果风险因素在企业控制范围之外，那么可以借助保险等手段，将风险转移给一些可以更好处理这种风险的机构。（6）对风险管理措施进行评价：大多数风险管理措施都具有成本以及副作用。了解它们的成本并且权衡这种成本与管理带来的收益，最后决定是否有必要采取干涉措施。操作风险管理的一般步骤82（4）分析具有风险的过程和资源：从整个企业的角度考虑操作风险操作风险管理的一般步骤5、采取措施消除处于经营过程和资源中的风险。一般采取的措施可以分为：(1)风险回避和风险因素管理（RiskAvoidanceandFactorManagement）：风险回避是指企业回避某些具有风险的经营活动甚至完全退出行业。风险因素管理通过降低风险因素水平、改变风险因素分布情况或者改变企业对风险因素的敏感程度来改善经营环境。(2)损失预报（LossPrediction）：损失预报的目标在于减少损失的不确定性，具体表现就是灾难性损失和未预期损失的降低。损失预报技术使得管理人员可以更好地估计未来的损失的频率和大小，改善对于重要风险因素的估计，了解哪些事件使得错误更可能发生。83操作风险管理的一般步骤5、采取措施消除处于经营过程和资源中的操作风险管理的一般步骤(3)损失预防（LossPrevention）：损失预防的主要目的是减少损失事件发生的可能性。可以采用的措施包括：重新设计经营过程、重新设计工作、重新设计产品和服务、功能自动化、人体工程学、欺诈的预防与侦测、企业资源规划、基于可靠性的维护。(4)损失控制（LossControl）：损失控制的主要作用是降低一些主要损失事件对企业的冲击，而在降低发生频率方面的效果则很有限。因此损失控制对一些发生频率较低、但一旦发生会对企业产生较大冲击的损失事件较为有效，而对那些发生频繁的损失事件作用不大。可以采用的措施包括：存货管理和缓冲、冗余系统、诊断控制、系统内部限制、遵守规章制度、财产安全管理、计算机安全管理、内部外部审计、质量控制。84操作风险管理的一般步骤(3)损失预防（LossPreve操作风险管理的一般步骤(5)降低损失以及应急措施（LossReductionandContingencyManagement）：降低损失是指能够降低损失的严重程度但是并不影响损失发生频率的风险管理措施。损失降低一般适用于一些难于预测的外部事件。降低损失的具体措施可以分为两类：一类是在损失事件发生前，制定各种紧急情况下的应急措施（ContingencyManagement）；另一种是在损失事件发生后通过危机管理（CrisisManagement）减轻损失。(6)风险融资（RiskFinancing）：风险融资是指企业将损失事件以一定的费用转移给外部团体或者通过改变资本结构来抵御风险。风险转移的具体形式包括对冲、保险、担保、合约、证券化和项目融资。改变资本结构的具体措施可以是提供更多的资本、降低债务水平、降低操作杠杆、经营分散化、自我保险。85操作风险管理的一般步骤(5)降低损失以及应急措施（Loss6、对操作风险的监测和报告：良好、规范的报告制度是风险管理成功的重要前提。对风险进行连续的监测，定期的报告循环机制可以周期性地考察操作风险管理的需求、不断提高管理的有效性。操作风险管理的一般步骤866、对操作风险的监测和报告：良好、规范的报告制度是风险管理成操作风险的度量模型

由上至下法（Top-downApproaches）：

由上至下法着眼点在于总体的目标（例如净收入、净资产），然后考虑风险因素和损失事件对其造成的影响。一般的步骤是：1．确定目标变量。2．确定可以影响目标变量的因素和事件。3．建立模型，反映目标变量和因素、事件的关系4.计算变量的方差，将其中不能被外部因素解释的部分作为操作风险。87操作风险的度量模型由上至下法（Top-downAppro由上至下法举例：证券因素模型:（StockFactorModel）可以用来分析上市公司的操作风险。选取的目标变量是股票的市值，解释变量是一些影响股票市值的因素。

其中，是公司的股票的收益率，是第个风险因素的收益率，代表了对这些因素的敏感程度。我们在确定了影响股票收益的因素以后，可以通过数据回归出模型。然后将股票收益率的方差中不能被模型解释的部分作为由于企业内部管理因素而导致的风险，即操作风险。88由上至下法举例：证券因素模型:（StockFactorM由上至下法举例：收入模型（Income-basedModels）的着眼点在于企业的收入。它将企业的历史收入作为目标变量，将企业外部的一些风险因素作为解释变量。这些因素可以是市场因素、行业因素以及信用因素等。与前面的证券模型相同，将这些外部因素不能解释的收入的方差值作为企业的操作风险。在很多情况下，历史数据可能不足，这时可以选取季度、甚至月份的收入数据。

开支模型（Expense-basedModels）将企业的历史开支和操作风险联系起来。首先收集企业历史上的开支数据，然后调整这些数据以反映企业内部发生的结构性变化，最后将这些开支数据的波动率作为操作风险值。因为开支的波动可能来自于操作失误、罚款、经营中的损失。开支模型的特点是简单易行，但是它只能反映部分操作风险，对于信誉风险、机会成本以及影响收入的损失则没有考虑。89由上至下法举例：收入模型（Income-basedMode自下而上的方法（Bottom-upApproaches）：由下至上法则将总体目标分解成若干子目标，然后分别考虑风险因素和损失事件对它们的影响。一般地先选择企业运转的一些基本要素（例如资产、负债、重要的经营过程、重要的资源等），然后考虑这些因素的潜在的变化可能会对目标变量（以市场方式标价的资产价值、净收入等）带来怎样的影响。模型中一般使用风险因素或特定的损失事件来代表潜在的变化。

操作风险的度量模型90自下而上的方法（Bottom-upApproaches）：由下至上法一般步骤1.

确定目标变量，一般为损益值、成本、净资产价值。2.确定一些重要的过程和资源或者一些重要的资产和负债。在此过程中，需要牢记：往往大部分的风险蕴含在很少的几个重要过程和资源中。3.

将这些过程和资源映射到一系列已经掌握了历史数据的风险因素和损失事件。4.

模拟一定时间范围内的风险因素和损失事件的可能变化，同时也要考虑这些因素和事件之间的依赖关系。对于它们的统计分布，可以使用参数估计，也可以使用蒙特卡罗模拟（MonteCarloSimulation）。5.

使用模拟得出的分布和前面使用的映射关系，给出对目标变量的可能影响。91由下至上法一般步骤1.

确定目标变量，一般为损益值、成本、净由下至上法举例市场因素模型（MarketFactorModels）主要用来衡量可在市场交易的资产的风险，这些资产的价值在很大程度上受到连续的市场因素的影响。在计算出这些市场因素的分布情况后，就可以得出资产的价值分布情况。VaR模型就是一个很好的例子。

精算损失模型（ActuarialLossModel）主要被保险公司采用，用来估计现金的流入和流出。保险公司根据自己丰富的客户损失记录，可以计算出很多特定的损失事件的频率以及损失程度的分布。然后利用这些数据，估计未来的保费收入以及赔偿支出。92由下至上法举例市场因素模型（MarketFactorMo由下至上法举例因果模型（CausalModel）把历史的损失数据和主观的对损失事件的因果关系假设结合起来，来估计当某一事件发生时特定损失事件发生的条件概率。一般的因果模型包括过错树（FaultTree）、事件树（EventTree）、事件模拟（EventSimulation）等。

压力测试（StressTest）是一种极端的测试方法，它通过对风险因素或者损失事件的值给定某个极端的值，然后考察在这样的压力下公司的操作风险管理会出现什么样的问题，以检验管理中可能存在的不足。在检验过程中，通常可以忽略风险因素之间的相关性。

93由下至上法举例因果模型（CausalModel）把历史巴塞尔委员会的渐进度量模型Basel委员会按照银行的风险管理水平由低到高以及对操作风险的认识逐渐提升，提出了三种方法度量操作风险，这些方法由低级到高级依次是：基本指标法、标准化方法和内部度量法。度量的方法越高级，需要的损失事件的信息越多，作为回报，最后计算出的商业银行需要为操作风险分配的资本就越少。94巴塞尔委员会的渐进度量模型Basel委员会按照银行的风险管巴塞尔委员会的渐进度量模型基本指标法（BasicIndicatorApproach）基本指标法选取一个反映银行经营规模的指标（例如总收入），乘以一个由监管当局确定的系数，这样就得出了需要分配的资本。计算公式KBIA=GI×αKBIA是基本指标法需要的资本，GI是前三年总收入的平均值,α=15%，由巴塞尔委员会设定。总收入定义为：净利息收入加上非利息收入。基本指标法适用于内部控制尚不完善、而且也没有对历史的操作风险损失事件记录的银行。95巴塞尔委员会的渐进度量模型基本指标法（BasicIndi巴塞尔委员会的渐进度量模型标准化方法（StandardizedApproach）标准化方法将银行业务分为8个业务部门：公司金融、交易和销售、零售银行业务、商业银行业务、支付和清算、代理服务、资产管理和零售经纪；每个部门确定了不同的指标，而针对每个部门的系数也是由监管部门制定的。标准法的计算公式KSA=∑GIi×βi

KSA是基本指标法需要的资本，GIi是对应部门前三年总收入的平均值,βi是对应部门由巴塞尔委员会设定的固定百分数。96巴塞尔委员会的渐进度量模型标准化方法（Standardiz标准化各业务部门值

业务部门系数公司金融(1)18%交易和销售(2)18%零售银行业务(3)12%商业银行业务(4)15%支付和清算(5)18%代理服务(6)15%资产管理(7)12%零售经纪(8)12%巴塞尔委员会的渐进度量模型97标准化各业务部门值业务部门系数公司金融(1)18巴塞尔委员会的渐进度量模型高级度量法（AdvancedMeasurementApproach）高级度量法的是依赖于银行自身的损失数据，由银行自身开发操作风险的度量模型，需要监管部门的批准。高级度量法包含三种方法：内部度量法、损失分布法损失分布法、打分卡方法。98巴塞尔委员会的渐进度量模型高级度量法（AdvancedM内部度量法（InternalMeasurementApproach）

内部度量法的基础是将银行业务分为若干个业务部门、损失事件分为若干类型，对每种类型度量操作风险的预期损失，进而来估计操作风险的监管资本。l

KIMA=∑Kij=∑γij×ELij=∑γij×PEij×LGEij

PE：在给定的时间段内，某种操作风险损失事件的发生概率；LGE：损失事件发生时可能导致的损失金额的大小；EL：预期损失。γij值可以由银行自己确定，但需要得到监管部门的批准。巴塞尔委员会的渐进度量模型99内部度量法（InternalMeasurementApp巴塞尔委员会的渐进度量模型损失分布法（LossDistributionApproach）

损失分布法利用历史损失数据来估计每一个业务部门、损失事件类型组合在未来某个时间段中的损失分布情况,然后利用损失分布的分位数来确定监管资本。损失分布法需要估计损失事件发生频率（frequency）和损失金额（lossamount），并且给出二者的具体分布。

发生频率描述在一定的时间长度内损失事件可以发生的次数，而损失金额则描述一次损失事件可能带给金融机