商业银行操作风险管理

第十二章商业银行操作风险管理南开大学经济学院财金研究所李志辉第一节

商业银行操作风险概述一、操作风险的定义二、操作风险的分类三、操作风险的特点一、操作风险的定义传统上，操作风险的定义方法存在着广义和狭义两种。广义的观点认为，市场风险和信用风险以外的所有风险均视为操作风险。这种定义最大的优势在于涵盖了所有除市场和信用风险以外的剩余风险，但如此广泛的定义使很多银行认为对操作风险的管理和计量存在很大的困难。

狭义的观点认为，只有与金融机构中运营部门相关的风险才是操作风险，即由于控制、系统及运营过程中的错误或疏忽而可能引致的潜在损失的风险，声誉、法律、人力资源等方面的风险不属于操作风险范畴。狭义操作风险定义的优点在于能够较好地识别操作风险，从而将管理重点集中到所面临的主要风险上，缺点是未能将狭义界定意外的细分风险纳入管理框架，从而遭受到一些不可预见的损失。近年来，广义的定义和狭义的定义出现了相互融合的趋势。介于广义与狭义之间的操作风险观念：这种界定首先区分了可控制事件和由于外部如监管机构、竞争对手的影响而难以控制的事件，进而将可控制事件的风险定义为操作风险。

其中最具代表性的是英国银行家协会（BBA）和巴塞尔委员会(BCBS)对操作风险的界定。（1）英国银行家协会（TheBritishBankers’Association）对操作风险的界定

根据英国银行业实际，从操作风险的主要来源，即人的因素、流程、系统和外部事件四方面将操作风险定义为“由于内部程序、人员、系统的不完善或失误，或外部事件造成直接或间接损失的风险”，此定义被巴塞尔委员会在修订新资本协议时所采用。（2）巴塞尔委员会对操作风险的界定①巴塞尔委员会最早在1997年9月发布的《有效银行监管的核心原则》中对操作风险进行简单定义：“操作风险是银行在日常经营中因各种认为的失误、欺诈及自然灾害、意外事故引起的风险。”②2004年，巴塞尔协议委员会公布的新资本协议中（巴塞尔资本协议II）对操作风险的进行了明确界定：“操作风险是指由于有缺陷的或失效的内部程序、人员和系统或外部事件所造成的损失风险。”。巴塞尔委员会同时指出，这一界定包括法律风险，但不包括策略风险和声誉风险。图12-1巴塞尔协议发展与操作风险2007年，原银监会出台了《商业银行操作风险管理指引》，给出了操作风险的定义：“操作风险是指由于不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括战略风险和声誉风险。”

此定义与巴塞尔委员会的定义基本一致。具体而言，对操作风险的界定可以从三个不同的角度进行：引起操作损失的原因、导致损失的事件和损失所对应的法律与会计形式。图12-2通过原因、事件和效果界定操作风险二、操作风险的分类巴塞尔委员会在2004年发布的新资本协议中对操作风险按照事件类型和业务性质两方面进行了分类。在此基础上，通过对损失事件类型和业务线条类型的组合将操作风险进一步分为63个类别。①内部欺诈指有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为。如内部人员虚报头寸、内部人员偷盗、在职员的账户上进行内部交易等。②外部欺诈指第三方的诈骗、盗用资产、违犯法律的行为。如抢劫、伪造、开具空头支票以及黑客行为对计算机系统的损坏。③就业政策和工作场所安全性违反就业、健康或安全方面的法律或协议，个人工伤赔付或者因性别/种族歧视事件导致的损有组织的劳工行动、一般责任（滑倒和坠落等）、违反员工健康及安全规定事件、所有涉及歧视的事件等。④客户、产品以及商业行为引起的风险事件指有意或无意造成的无法满足某一顾客的特定需求，或者是由于产品的性质、设计问题造成的失误。如受托人违约、滥用客户的秘密信息、银行账户上的不正确的交易行为、洗钱、销售未授权产品等。

1.按照损失事件类型将操作风险分为七类：⑤实体资产损坏实体资产因自然灾害或其他事件丢失或毁坏导致的损失。如自然灾害损失、外部原因（恐怖袭击、故意破坏）造成的人员伤亡等。⑥经营中断和系统出错指如软件或者硬件错误、通信问题以及设备老化造成的损失。⑦执行、交割及流程管理指由于交易失败或对交易过程的管理失效造成的损失。如错误传达信息；数据录入、维护或登载错误；超过最后期限或未履行义务；模型/系统误操作等。

2.按照操作风险的业务部门或业务流程环节将操作风险分为九类：自20世纪90年代以来，各类由于未能妥善管理操作风险，而导致重大损失的事件不胜枚举。表12-2国外银行部分操作损失时间表12-3国内银行近年部分操作事件三、操作风险的特点1.风险与报酬不对称性。即风险与收益不能一一对应。商业银行操作风险一般只带来损失而不产生收益，而且在大多数情况下操作风险损失与收益的产生没有必然关系。2.风险内生性。即操作风险主要来源于商业银行的日常运营中，其中人为因素是诱发操作风险最直接、最重要的因素。3.操作风险具有多样性。操作风险与其他风险不同之处在于信用风险主要来源于客户和交易对手，市场风险主要来源于市场价格的波动，而操作风险可能出现在商业银行的各条产品线和整个运营过程中。4.计量困难性。与市场风险和信用风险大多数情况下只计量直接损失不同，操作风险在评估时，除考虑直接损失外还应考虑诸如经营中断、法律成本等造成的间接损失，有时甚至会遭遇无法计量的损失，因此操作风险的计量难度较大。5.

来源多样性。一般来说，信用风险主要来源于客户和交易对手，市场风险主要来源于市场价格的波动，而操作风险可能发生在商业银行的各业务条线和整个运营过程中，涉及范围广，来源无处不在。一、风险与控制自我评估二、关键风险指标法三、损失数据收集第二节商业银行操作风险的管理工具一、风险与控制自我评估风险与控制自我评估（RCSA）是指商业银行通过评判现有风险控制措施的有效性、识别和评估自身业务环节是否存在潜在风险，从而进行操作风险管理的工具。风险与控制自我评估主要通过建立责任制度，组织银行内部各部门参与投入，由自评单位主动辨识各种营运活动中的操作风险，对风险暴露加以评估、衡量及监控，并提出应对措施，从而降低操作风险。第二节商业银行操作风险的管理工具一、风险与控制自我评估风险与控制自我评估一般分为四个步骤：措施与流程分析、问卷设计、问卷调查、结果分析与应对措施。（一）措施与流程分析1．措施分类并建立操作风险与控制字典库。首先根据监管要求和银行管理的需要，对操作风险管理相关措施以不同维度进行分类，如风险影响因子、风险损失事件、影响结果等。其次，建立操作风险与控制字典库，对操作风险及其控制进行定义。2．建立措施与流程分析模板。对于措施与业务流程的分析，必须采取点对点的原则，要严格确立风险点与责任人的关联性，也就是说，风险点和责任人要有一一对应的关系。分析模板可采取以下形式（表12-4）。第二节商业银行操作风险的管理工具一、风险与控制自我评估表12-4操作风险业务流程RCSA分析模板（以对公业务为例）第二节商业银行操作风险的管理工具一、风险与控制自我评估（二）问卷设计设计问卷模板。根据监管部门对操作风险管理的要求，设定相关字段，形成问卷模板。以下作为模板设计的参考（表12-5）。2.人员访谈。操作风险管理团队组织对银行各部门领导和关键岗位员工进行访谈，主要分析各业务环节发生操作风险的风险点，了解全行操作风险管理的状况。第二节商业银行操作风险的管理工具一、风险与控制自我评估（三）问卷填报与风险评价1．问卷填报。问卷的填报由操作风险管理团队和被访谈人员共同完成，其中管理团队填报业务流程、可能的风险、原因分类、事件分类、KRI等内容，被访谈人员填报风险定义、固有风险、控制效果、剩余风险等内容。2．风险评价。风险评价的基本步骤是：首先，计算固有风险暴露。风险暴露的计算公式为：风险暴露=某类型操作风险事件发生的频率×风险损失额度；其次，风险控制措施的实施可以在一定程度上减少固有风险暴露，从而求出剩余风险暴露；最后，根据剩余风险暴露（损失程度）和发生频次制作风险地图。第二节商业银行操作风险的管理工具一、风险与控制自我评估（三）问卷填报与风险评价剩余风险暴露和发生频次如表12-6所示。

表12-6不同的风险因素的剩余风险暴露和发生频次（举例说明）第二节商业银行操作风险的管理工具一、风险与控制自我评估（三）问卷填报与风险评价以剩余风险暴露和发生频次为两个维度做风险地图，并将风险因素A、B、C、D、E、F、G、H、I以对应的分值为准标在风险地图中，如图12-3所示。图12-3风险地图第二节商业银行操作风险的管理工具一、风险与控制自我评估（四）结果分析与应对措施从图中可以看出，D、H两个风险因素都在红色区域，说明发生的频次和损失程度都比较大，需要重点关注并加强风险管理，使其向棕色区域迁徙；C、B、I点处于棕色区域，需要通过风险管理向橙色区域转移；E、G两个风险因素都在橙色区域，可以维持或向更好的方向迁徙；A、F处于风险很低的区域，可以继续保持。特别是处于红色区域的两个风险因素，需要立即采取有效措施，制定行动方案，避免操作风险的发生。图12-3风险地图第二节商业银行操作风险的管理工具二、关键风险指标法（KeyRiskIndicators，KRI）关键风险指标法主要是指表示某个业务环节或风险领域变化情况并可以定期进行监测的统计指标，如交易失败的次数、人员流动比率、柜员加班次数、错误或遗漏的频率、业务交易量、客户投诉的次数等。关键风险指标应该具有可监测性和前瞻性。（一）关键风险指标设定的原则关键风险指标的设定主要遵循四个原则：重要性可测性3.可控性4.前瞻性图12-3风险地图第二节商业银行操作风险的管理工具二、关键风险指标法（KeyRiskIndicators，KRI）（二）关键风险指标法的步骤1.搭建KRI管理架构。明确KRI指标管理组织架构，负债KRI的遴选、风险层级分类，根据指标的结果对业务流程进行优化，最终提交KRI管理报告。2.建立KRI项目表单。KRI项目主要由两部分组成：一是根据操作风险损失数据库字典，按损失数据字段收集KRI项目；二是根据RCSA的结果确认的KRI项目，再加上一些日常管理中额外需要增加的项目。KRI项目表单要全面，不能遗漏。KRI项目表单如表12-7所示。图12-3风险地图第二节商业银行操作风险的管理工具二、关键风险指标法（KeyRiskIndicators，KRI）（二）关键风险指标法的步骤表12-7KRI项目表单（举例说明）第二节商业银行操作风险的管理工具二、关键风险指标法（KeyRiskIndicators，KRI）（二）关键风险指标法的步骤3.进行KRI项目筛选和层级分类。关键风险指标的选取主要遵循前述的四个原则，并参考专家意见。从KRI候选项目表单中遴选出的指标主要有以下特点：数据容易获得、收集成本低、更新频率高以及参考价值高等。表12-8是KRI项目筛选结果。表12-8关键风险指标筛选结果（举例说明）第二节商业银行操作风险的管理工具二、关键风险指标法（KeyRiskIndicators，KRI）（二）关键风险指标法的步骤3对于遴选出的关键风险指标，需要进行分类管理。指标一般可分为三类：一是先行指标，表示指标变化先于实际风险发生，如员工的辞职的比率、突破交易限额的次数等；二是同步指标，表示指标变化和风险事件发生时间一致，如未确认交易的比率、客户投诉的数量、因账务不符导致挂账的比率等；三是滞后指标，表示指标值变化时间是在风险发生之后，如客户诉讼的数量等。同步指标和滞后指标能够呈现风险发生的演变趋势。关键风险指标的分类管理有助于识别风险因素和风险结果之间的关系，从而准确防控风险。第二节商业银行操作风险的管理工具二、关键风险指标法（KeyRiskIndicators，KRI）（二）关键风险指标法的步骤同时，需要通过对历史数据的分析和专家意见，确定KRI的最大容忍值或阈值范围。如柜面业务差错率阈值范围可以设定为：对于指标小于0.1%，属于合理范围（标识为绿色），继续保持现有状态；对于指标在01.%和1%之间，显示指标预警（标识为黄色），需要分析差错率上升的原因，提出解决措施；对于指标超过1%，表明指标超过最大容忍度（标识为红色），需立即进行整改，加强对柜员的培训和监管，降低差错率。4.KRI报告与应用。最后，利用KRI进行操作风险管理的过程，形成KRI报告。报告可以是对某一事项的专项报告，或者是全行的总体报告。报告内容包括但不限于数据收集和监测、KRI指标的选择和阈值设定、预警方案的制定、风险防控措施等。第二节商业银行操作风险的管理工具三、损失数据收集（LossDataCollection，简称LDC）损失数据收集是指银行按照一定的操作流程，对历史数据信息进行收集、整理和分析，建立操作风险损失数据库，从而对操作风险进行识别、监测和控制的过程。损失数据收集的目的旨在通过对损失数据的收集和分析，反映操作风险暴露和损失情况，判断操作风险发展趋势（连续性数据观察），并依此制定应对措施，实现对操作风险的识别、评估、监测与控制。损失数据收集要遵循重要性、及时性、统一性和谨慎性原则。损失数据收集一般采取以下步骤：一是确定损失数据收集范围；二是建立损失数据收集的管理机制；三是制定损失数据字段和模板；四是损失数据的收集和认定。第二节商业银行操作风险的管理工具三、损失数据收集（LossDataCollection，简称LDC）1．确定损失数据收集范围。损失数据收集的范围取决于银行对损失事件的定义和认定的规则，并要描述事件发生的原因和造成的影响，以生命周期的形式记录发生的过程。需要指出的是，对于操作风险事件已发生但没有造成损失的，也需要进行收集，因为此类事件是潜在风险的诱因。2．建立损失数据收集管理机制。损失数据的收集需要准确、及时且全面，但在银行此项工作并不易开展。根本原因是，数据收集部门对损失事件的发生可能承担责任，因此，相关部门对损失事件往往瞒报。鉴于此，需要对损失数据的收集制定严格的管理规则，通过明确责任部门和岗位、事件认定流程，建立激励考核机制，加强对损失数据的收集和管理。第二节商业银行操作风险的管理工具三、损失数据收集（LossDataCollection，简称LDC）3．制定损失数据字段和模板。按照《商业银行资本管理办法》的要求，损失数据字段包括但不限于以下内容：业务条线名称、事件类型、风险点、发生时间、发现时间、确认时间、损失金额、对银行的影响、发生的原因分析等。4．损失数据的收集和认定。损失数据的收集的流程包括识别、录入、审核和认定。首先由事件发生部门损失数据收集管理岗初步判断是否是操作风险损失事件，若初步认定则将其相关信息录入损失数据收集系统，然后部门负责人对信息进行审核确认提交，最后上级操作风险管理部门对损失数据相关信息进行验证并最终认定。第二节商业银行操作风险的管理工具一、操作风险的度量方法二、操作风险资本的计量第三节商业银行操作风险的度量方法一、操作风险的度量方法根据着眼点的不同，度量模型大体可以分为自上而下法(Top-downApproaches)和自下而上法(Bottom-upApproaches)。

（一）自上而下法采取自上而下法的模型，一般的步骤是：1.确定目标变量。2.确定可以影响目标变量的因素和事件。3.建立模型，反映目标变量和因素、事件的关系。4.计算变量的方差，将其中不能被外部因素解释的部分或者能被风险因素解释的部分作为操作风险。（一）自上而下法目前，自上而下的方法主要包括基本指标法、标准法、CAPM法等。其中，基本指标法和标准法在后面的章节介绍，此节只介绍CAPM法。CAPM法类似于金融领域广泛使用的资本资产定价模型，考虑各个风险因素对目标变量的影响，计算目标变量的方差，然后剔除因市场风险、信用风险因素所造成的方差，剩余的方差即为操作风险值。按选取的目标变量的不同，CAPM法又分为证券因素法、收入法和支出法。这三种方法分别将银行的市值波动率、净利润波动率和历史支出波动率作为操作风险值来度量操作风险。以收入法为例，收入法度量的是广义的操作风险，即除市场风险和信用风险外的所有风险视为操作风险。在线性回归模型中可决系数R2为回归平方和与离差平方和之比，主要反映目标变量的波动在多大程度上能够被解释变量所解释。

模型假设银行净利润为目标变量，解释变量是市场风险和信用风险，不能被解释变量解释的部分视为由操作风险引起的银行净利润的波动。

由操作风险引起的银行净利润的波动:其中σt2表示银行净利润总的波动。如果银行净利润服从正态分布，则在一定的置信水平ɑ下，正态分布的分位数为Zɑ，那么统计期间操作风险引起的未预期损失为：其中σ0为操作风险引起的银行净利润的标准差。（二）自下而上法首先考虑企业运转的一些基本要素（例如资产、负债、重要的经营过程、重要的资源等），然后考虑这些因素的潜在变化可能会对目标变量（以市场方式标价的资产价值、净收入等）带来怎样的影响。模型中一般使用风险因素或特定的损失事件来代表潜在的变化。建立自下而上模型的步骤包括：1.确定目标变量，一般为损益值、成本、净资产价值。2.确定一些重要的过程和资源或者一些重要的资产和负债。在此过程中，需要牢记：往往大部分的风险蕴含在很少的几个重要过程和资源中。（二）自下而上法3.将这些过程和资源映射到一系列我们已经掌握了历史数据的风险因素和损失事件。4.模拟一定时间范围内的风险因素和损失事件的可能变化，同时也要考虑这些因素和事件之间的依赖关系。对于它们的统计分布，可以使用参数估计，也可以使用蒙特卡罗模拟。5.使用模拟得出的分布和前面使用的映射关系，给出对目标变量的可能影响。经常使用的自下而上的方法主要有：极值理论法、贝叶斯网络法、自我评估法等。二、操作风险资本计量方法（一）基本指标法（二）标准法（三）高级计量法（一）基本指标法（BIA）采用基本指标法银行持有的操作风险资本应等于前三年正的总收入的平均值乘上一个固定比例(用α表示)。任何一年的总收入为负值或零时，将不纳入计算平均值的分子和分母之中。资本计算公式如下：KBIA=GI*α

其中，KBIA=基本指标法需要的资本，GI=前三年总收入（净利息收入与非利息收入之和）的平均值，α=15%，由巴塞尔委员会按照整个银行业的操作风险监管资本要求水平来设定。基本指标法的前提是操作风险暴露与收入存在线性关系，通过一个固定的百分率ɑ可直接将操作风险资本同商业银行的业务指标加以联系，而不考虑银行的具体业务范畴，因而不能将银行中不同业务的操作风险区分出来。

新巴塞尔协议中选定的业务指标是总收入，总收入反映的是商业银行的业务规模，后者与操作风险暴露相关，但二者之间的相关性是不确定的。总收入是反映商业银行历史的经营指标，风险反映的是未来的不确定性。总收入并不反映操作风险管理的质量，设想两个具有相同收益的商业银行，其中总收入大的商业银行利润率低，但按基本指标法，其提取的操作风险资本要高。这样，银行会选择通过减小成本支出来提高收益，而不会通过提高总收入，但减小成本往往会削减风险储备和风险缓释工具。巴塞尔委员会对基本标准法没有设定具体的准入标准，但鼓励采用此法的银行应遵循操作风险管理原则。由于上述缺陷的存在，巴塞尔委员会要求具有显著操作风险暴露的国际大银行采用更为复杂准确的操作风险度量模型。（二）标准法(TheStandardizedApproach，SA)在标准法中，银行的业务分为9个业务条线：公司金融(corporatefinance)、交易和销售(trading&sales)、零售银行业务(retailbanking)、商业银行业务(commercialbanking)、支付和清算(payment&settlement)、代理服务(agencyservices)、资产管理(assetmanagement)、零售经纪(retailbrokerage)，其他业务。在各业务部门中，总收入是个广义的指标，代表业务经营规模，因此也大致代表各业务部门的操作风险暴露。计算各业务条线资本要求的方法是，用银行的总收入乘以一个该业务部门适用的系数(用β值表示)。β值代表整个银行业在特定业务部门的操作风险损失经验值与该业务部门总收入之间的关系。应注意到，标准法是按各业务部门计算总收入，而非在整个机构层面计算，即在公司金融部门中，指标是公司金融部门产生的总收入。总资本要求是各业务部门前三年平均监管资本的简单加总。在任一年里，一个业务部门的负的资本要求（由负的业务总收入产生）可以不受限制地用其他业务部门的正的资本要求所抵消。但是如果某一年各业务部门的总的资本要求为负，则该年计入分子的数值应为零。总资本要求如下所示：其中：KTSA=用标准法计算的资本要求；GI1-8=各业务部门当年的总收入；β1-8=由委员会设定的各业务部门对应的固定百分数。表12-9操作风险业务部门与系数巴塞尔委员会初衷是根据全行业情况来确定系数值，但目前阶段并没有给出具体建议，仅在其工作文件中提到“按照α水平确定系数值”。同基本指标法相比，标准法细化了银行的业务部门，不同的业务部门赋予不同的风险权重，但并不意味着标准法就具有更高的风险敏感度。（三）高级计量法(AdvancedMeasurementApproaches，AMA)高级计量法是指银行在遵循巴塞尔委员会规定一系列定性和定量标准的条件下，通过建立银行内部操作风险计量模型计算监管资本要求。

高级计量法是目前为止对操作风险最为敏感的一种资本计量方法。巴塞尔委员会建议规模较大、业务组合较为复杂的国际大银行使用高级计量法。从目前国际同业操作风险度量的实践看，主要包括：内部计量法、损失分布法、极值理论模型和记分卡法。1.内部计量法（internalmeasurementapproach,IMA）

在标准法的基础上，商业银行采用监管当局规定的方法将每个业务类型进一步细分为7个损失事件类型，商业银行根据自己搜集、整理的损失数据对每个业务类型和事件类型的组合（共56个组合）计算期望损失值（EL）并估算操作风险资本的一种方法。具体步骤如下：第一步：对银行的每个业务类型（i）界定出不同的损失事件类型（j）；第二步：对每个业务和事件类型的组合（ij），银行根据自己的内部数据计算风险暴露指标（EIij）、参数损失概率（PEij）和给定事件发生概率下的损失（LGEij）。此时，该业务部门和事件组合的期望损失为：

第三步：监管当局根据行业整体的操作风险状况对每一个业务类型和损失事件的组合赋予一个风险系数rij，这样操作风险的资本要求（K）计算公式为：由于每个银行的操作风险损失分布与行业整体的状况存在一定的差异，因此新巴塞尔资本协议引入了风险特征指数（RiskProfileIndex,RPI）来调整操作风险资本要求。

当RPI=1时，表示特定银行的操作风险损失分布与全行业一致；当RPI<1时，表示特定银行的操作风险小于行业水平；当RPI﹥1时，表示特定银行的操作风险大于行业水平。因此，调整后的银行操作风险资本要求Kɑ计算公式为：该模型与基本指标法和标准法相比，银行可以利用自己的内部损失数据来计算操作风险的资本要求，在一定程度上提高了计量的科学性和准确性。但很多银行缺乏内部损失数据，阻碍了此方法的推广。同时，风险系数是监管当局根据行业整体的操作风险状况制定的标准，与特定银行和业务部门的操作风险状况不一定相符。2.损失分布法（LossDistributionApproach,LDA）

①利用银行过去的内部数据计算每个业务部门或事件类型的两个概率分布函数（单一事件冲击下的条件概率和下一年度事件频率的条件概率）；

②银行基于这两个概率分布，以操作VaR方法为基础，给定一个置信水平ɑ和持有期（一般是1年），计算操作损失（非预期损失（ULij）与预期损失（ELij））；

③计算出累计操作损失的概率分布函数。对每个业务部门或事件类型的操作风险值（VaR）加总即为商业银行最终的操作风险资本要求。LDA是目前商业银行度量操作风险最具风险敏感性的方法，其优点在于：

第一，LDA是直接计算出非预期损失，而不是通过估计预期损失与非预期损失之间的关系间接计算；

第二，LDA方法中每个业务类型和事件类型组合的风险系数（rij）由商业银行自主决定，而不是由监管当局确定，因此更能较为准确地反映每个商业银行操作风险的特征。

缺点在于：对低频、巨额损失事件的度量误差较大。LDA运用VaR计算风险值，但VaR本身存在诸多缺陷，即忽略了临界值以上操作损失二维分布中的低频、巨额的尾部损失分布，因此对其度量的误差较大，但这应该是商业银行操作风险防范和管理的重点。3.极值理论（ExtremeValueTheory，EVT）

极值理论专门研究操作风险极端值的分布状况，是对损失分布法的补充。EVT通过模拟操作风险损失的厚尾部分，根据极端值的样本数据，在总体分布未知的情况下，度量在一定置信水平下超过临界值水平的极端损失。目前，该方法被认为是具有较好适用性的方法，在理论界得到了广泛认可。EVT模型的优点在于：

第一，EVT只关注损失分布的尾部，而并没有事先预测总体的分布，依靠样本来估计总体中极值的分布，具有超越样本的估计能力。

第二，EVT的度量范围涵盖了商业银行运营中可能出现的诸如内控失效和外部冲击等小概率事件造成大损失的情况，一定程度上弥补了LDA方法下VaR模型忽略低频、高额尾部损失分布造成估计误差较大的缺陷。其缺点在于临界值的设定问题难度较大，且对损失数据的要求比较高。4.记分卡法（ScoreCardApproach，SCA）记分卡（平衡计分卡）是一个管理系统，它能清晰地阐明金融机构的愿景和战略目标并将其有效地转化为行动。记分卡的优势在于把结果指标和动因指标相结合,综合平衡各类目标，促进内部沟通、学习和激励，并能够对战略管理中的因果关系进行假设和验证。记分卡法计量操作风险，不仅依赖历史损失数据，而且建立一套将定性评估与定量分析结合的风险识别、量度系统，既考虑已发生的风险，也考虑未来不确定因素可能造成的风险损失，激励员工预防风险。4.记分卡法（ScoreCardApproach，SCA）计分卡法的基本步骤如下：首先，自上而下制定战略目标，并且自下而上设定绩效指标，对每个指标设定目标值；其次，计算风险资本，进行资本分配并用历史损失数据加以验证；最后，对风险控制进行模拟并进行因果分析，持续改进和调整。具体操作风险计分卡模型如图12-4所示。表12-6不同的操作风险计量方法第四节商业银行操作风险管理体系一、操作风险管理的组织架构

二、操作风险管理的流程

三、操作风险管理的原则四、操作风险的缓释技术

一、操作风险管理的组织架构基于公司文化的不同，国际大型银行操作风险管理的组织架构可分为三种模式：集权式、分权式和内部审计功能引导式。1.集权式集权式管理模式是指总行设有专职单位与人员，负责拟定操作风险的管理架构与政策，如操作风险管理主管综合处理操作风险管理相关事宜，操作风险管理人员提供银行或个别业务部门必要性支持，并向首席风险官呈报。

业务部门的操作风险管理人员负责执行总行政策。其它业务功能，如合规、人事和信息技术等，因与操作风险管理的完善与否息息相关，因此也需要纳入操作风险管理组织架构中。从银行业实践看，国外商业银行操作风险管理组织架构逐步向这一模式发展。图12-4集权式操作风险组织架构图2.分权式分权式的管理模式则是指总行并无设置专职操作风险管理单位与人员，而是由一个或多个以上的部门负责执行操作风险管理，这种模式能维持独立运作，有助于作业风险自我评估的进行及风险指标的监控。3.内部审计功能引导式内部审计功能引导模式则是指由审计部门执行操作风险管理职能，此种模式可能隐含潜在利益冲突及内部审计独立性与客观性不易维持的问题。为确保操作风险管理活动被很好地理解和执行，银行管理层应该为操作风险管理设计一个完整的治理结构，安排个人在风险管理过程中的任务和责任，并使每个人清楚地了解自己的任务和责任。

第一，关于高级管理层的任务。操作风险管理的最终责任应由高级管理层（董事会，或同等的机构）承担，这种责任要求高级管理层对本银行的产品、业务过程和相关风险有全面的了解。实践表明高级管理层应该设立一个委员会（或适当的机制），负责操作风险管理实施过程中的授权和日常决策工作，同时确保操作风险管理过程正常运行。管理层还应定期检查操作风险报告，以确定其对操作风险管理的要求得到了满足。

第二，关于操作风险管理职能部门。应建立独立的操作风险管理职能部门，其任务是辅助高级管理层完成其操作风险管理责任。这一任务将通过两方面活动完成，一方面是评估、监控和报告银行整体的操作风险，另一方面是评定风险管理活动是否按照操作风险管理战略和政策执行。

操作风险管理职能部门的工作包括：建立特定的政策和标准、协调风险管理活动、创建结构化的风险评估方法、监控和事故处理、向管理层报告风险状态等。二、操作风险管理的流程1.操作风险识别2.操作风险映射3.操作风险评估4.操作风险缓释5.风险报告1.操作风险识别从分类学的角度，以损失原因—产品线的矩阵组合方式对操作风险进行细分：

第一层次按损失原因分类，将操作风险分为人为风险、程序风险、系统风险和外部风险。

①人为风险(people/relationshiprisk)包括三类：

一是内部人为风险，如内部盗窃与欺诈等；

二是与雇用和工作相关的风险，如雇用中的年龄歧视、雇员的安全和福利等；

三是与产品、业务以及顾客有关的风险，如产品的适当性、不当的市场行为等。

②程序风险(processrisk)主要指在执行、发送以及程序管理过程中发生的风险事故，如在业务交易过程、执行与维护过程、监督与报告过程、客户账户管理等过程遇到的风险。

③系统风险(systemrisk)主要指以信息技术或信息系统引起的风险事故，包括软/硬件崩溃、程序错误、电脑病毒等原因造成的损失。

④外部风险(external/physicalrisk)是指因外部事件导致物质资产损失的风险，主要包括两类：

一是引起资产毁损的外部物质风险因素，如火灾、洪水等引起的损失；

二是因外部人为行为导致损失的风险因素，如外部偷盗、抢劫、伪造等，也包括外部人员的计算机犯罪。第二层次按损失发生的产品线分类，操作风险发生于商业银行八类主营业务：公司金融业务、交易和零售业务、零售银行业务、商业银行业务、支付和清算业务、代理业务、资产管理业务以及零售经纪业务。

依据以上方法，我们可以对商业银行操作风险进行矩阵式分类，识别所有当前和未来潜在的操作风险及其性质。可以说，识别风险既是衡量操作风险大小的基础，又是选择适当风险管理工具的重要前提。2.操作风险映射该步骤是要灵活运用前一过程的分析结果，将每个业务部门和损失事件类型中潜藏了多大程度的操作风险一一对应起来，从而把握银行内各种风险的分布状况和整体风险暴露程度，以决定管理对策实施的优先顺序。3.操作风险评估操作风险被识别出来后，就应该加以评估，决定哪些风险具有不可接受的性质，应该作为风险缓解的目标。进行这一步骤时，通常需要通过考察一项操作风险的驱动者和原因，估计该项风险可能发生的概率；此外，还应在不考虑控制战略影响的情况下，评估一项操作风险可能的影响。

这里对风险可能影响的评估，不仅要考虑经济上的直接影响，还应该更广泛地考虑风险对公司目标实现的影响。银行应该选择或开发适当的模型，以适应每一种风险的度量需要。4.操作风险缓释银行应该设计并实施具有成本效益的风险缓释工具，使操作风险降低到能够接受的水平。在风险控制和缓释的步骤中，重要的一点是要将实施措施的责任明确地分配下去，并确保责任人有实施措施的动力。风险管理和内部控制程序应该由各个业务单元建立，但可能需要风险管理职能部门的指导。5.风险报告操作风险报告过程应该涵盖诸如银行面临的关键操作风险或潜在操作风险、风险事件以及有意识的补救措施、已实施的措施的有效性、管理风险暴露的详细计划、操作风险即将明确发生的压力领域、为管理操作风险而采取步骤的状态等方面的信息。三、操作风险管理的原则尽管不同银行管理操作风险的方法是由多种因素决定的，包括其自身的规模和经验、业务的特性和复杂程度。但是，有一些因素，如董事会和高级管理层的明确战略和监督、健康的操作风险文化和内部控制文化、有效的内部报告和应急方案，对规模和业务范围不同的各类银行来说，都是建立有效的操作风险管理框架的关键方面。

因此，巴塞尔银行监管委员会在对2003年的“操作风险管理与监管的良好实践”重新修订的基础上，结合业界的良好经验，在2011年发布了《健全的操作风险管理原则》。该原则详细列出了11条操作风险管理原则，覆盖了治理结构、风险管理环境等方面的内容。（一）操作风险管理的基本原则一方面，董事会应该在建立强大的风险管理文化方面发挥主导作用。董事会和高级管理层应该建立一个由强大的风险管理所引导，且能为员工的专业能力和责任心提供支持、激励和恰当标准的公司文化。在这方面，董事会由责任确保在整个组织内部建立起强大的操作风险管理文化。

另一反面，银行应该建立、实施和保持一个完全融入银行整体风险管理程序中的操作风险制度方法。每家银行所选择的这个管理制度框架应基于一系列因素，包括银行自身的特点、规模、复杂性和风险状况。（二）治理在银行治理方面，首先，银行的董事会应该建立、审批和定期检查操作风险管理办法。董事会应监督高级管理层确保这些政策、程序和系统在所有决策层级都得到有效的执行。

其次，董事会应该审批和检查操作风险的风险偏好和容忍度声明，这种生命清晰地表述了银行愿意承担的操作风险特征、类型和水平。

最后，高级管理层应该建立一套须报经董事会批准的清晰、有效、健