商业银行操作风险损失数据分析

李志辉   范洪波

（南开大学金融学系，天津 300071）

［摘  要］新巴塞尔资本协议将操作风险纳入风险管理框架，操作风险正日益成为全球银行业风险管理中的一个研究焦点。操作风险的度量与管理由于损失数据的缺乏进展缓慢。本文介绍了国内外银行业操作损失数据的整理和主要的操作损失数据库，并分析了商业银行内、外操作损失数据，以期为中国银行业尽快提高操作风险的管理水平提供些许参考。

［关键词］商业银行；新巴塞尔资本协议；操作风险；数据库

Analysis of Operational Risk Loss Data in Commercial Banks

Li Zhihui  Fan Hongbo

（Department of Finance NanKai University  Tianjin 300071）

Abstract: With being added into risk management framework of the new Basel capital accord, operational risk has increasingly been a research focus in global banking risk management. Management and quantification of operational risk has been impeded by the lack of data on operational losses. This paper introduces the operational risk loss data collection exercises and the main databases, then analysizes internal data and external data on operational risk. The aim is to provide some references for the improvement of operational risk management in Chinese banking industry.

Keywords:Commercial Banks; New Basel Capital Accord; Operational Risk; Database

一、引言

20##年6月26日，新巴塞尔资本协议正式公布，标志着操作风险管理时代的来临，操作风险正日益成为全球银行业风险管理的重要研究领域。国际上一些大银行在操作风险的度量与管理上已经积累了较为丰富的经验，并取得一定的成就。目前，我国商业银行对操作风险的认识尚处于起步阶段，度量方法比较简单，尚未形成成熟的理念和管理工具，商业银行违规、欺诈等各种操作风险事件层出不穷，造成了巨额损失。

新巴塞尔资本协议中提出了操作风险三种基本的度量方法，即基本指标法（BIA）、标准法（SA）和高级计量法（AMA）。其中，基本指标法（BIA）和标准法（SA）着眼于银行的收入指标，虽然简单易行，但操作风险暴露与总收入指标间的相关性是不确定的[1]（Pezier,J.，2002），因而不能作为商业银行操作风险度量的有效方法，而且标准法（SA）会导致“监管套利”[2]（Chapelle，Crama，Hübner and Peters，2004）。高级计量法（AMA）使用商业银行操作风险损失数据计算操作风险资本，风险敏感度大为提高。但运用AMA最大的挑战在于缺乏足够高质量的操作损失数据。根据新巴塞尔资本协议的要求，用于计算监管资本的操作风险高级计量法，必须基于对内部损失数据至少5年的观测数据。银行如果是初次使用高级计量法，也必须使用3年的历史数据。

二、商业银行操作损失数据的搜集进展

虽然如巴林银行、大和银行、国民威斯敏斯特银行和住友银行等各种各样的操作损失事件引起了银行业的注意，但相对于信用风险和市场风险，操作损失数据的搜集显著滞后。

1997年，英国银行家协会（BBA）对其300位会员进行调查发现还未设专人负责银行层面的操作风险，也几乎没有银行系统的报告操作风险损失。1999年，英国银行家协会、国际互换与衍生品协会（ISDA）和罗伯特莫里斯协会联合进行了一次更为广泛的调查，55家主要跨国银行的问卷反馈表明它们逐渐开始对操作风险管理采取行动。

对操作损失数据的搜集和整理最受人关注的是巴塞尔委员会所进行了几次数据搜集：

20##年，巴塞尔委员会下属的风险管理小组（RMG）进行了两次主要的数据搜集，其目的是收集银行内部操作风险资本分配相关的信息。第一次即为QIS2的第一批（Tranche 1）[3]，搜集整个银行层面和业务部门层面的内部操作风险资本分配的数量以及总收入和其它的风险暴露指标。第二次为QIS2的第二批（Tranche 2）[4]，搜集同具体操作风险损失事件相关的信息。这两次数据调查的样本是来自欧洲、北美、亚洲和非洲11个国家的30家银行，但是采集的样本并不代表银行业的整体水平。所有反馈信息的银行除1家外均是第1组的银行（一级资本超过30亿欧元）。而且，数据甚至不一定代表样本银行的水平，其中的19家银行未对报告的详细情况进行说明。

20##年，RMG在前两次数据搜集的基础上进行了更大规模的操作损失数据搜集（LDCE）。这次有89家银行提交了数据，是前两次30家银行的近3倍，89家银行提供的组合数据涵盖了逾4,7000个损失事件。参加银行按照8个标准化业务部门和7个一级损失事件（共56种业务部门／事件组合）对损失事件进行分类，提交其20##年度总损失金额10,000欧元以上事件的信息，包括：事件发生季度、总的损失金额、保险赔偿和“其他”赔偿。下表是对参加银行提交的损失信息按照巴塞尔委员会定义的8种业务部门和7种损失事件类型进行的细化，表中每个小格里上面的数据分别表示损失事件数和在总损失事件中所占比重，下面的数据表示损失程度和在总损失程度中所占比重。

表1  操作风险损失事件及损失程度分布矩阵（单位：次、百万欧元）

来源：Risk Management Group, The 20## Loss Data Collection Exercise for Operational Risk: Summary of the Data Collected, Report to Basel Committee on Banking Supervision, Bank for International Settlements, March 2003.

注：H1－公司财务；H2－交易与销售；H3－零售银行业务；H4－商业银行业务；H5－支付与清算；H6－代理服务；H7－资产管理；H8－零售经纪；H0－无业务部门信息。

由表1可以看到，损失事件并不是按照业务部门和事件类型平均分布的，主要集中于零售银行业务部门（61.10%）、交易与销售部门（10.86%）、商业银行业务（7.22%）和零售经纪（6.91%），这四个部门所占的比重为86.09%。就操作风险事件类型而言，也出现类似的集中化趋势。外部欺诈引起的损失事件占到了总数的42.39%，涉及执行、交割以及交易过程管理的风险事件为35.07%，雇用合同以及工作状况、客户、产品以及商业行为引起的风险事件占比分别为8.52%和7.17%。上述四种事件类型引发的风险事件占到了总数的93.15%。

同损失事件数目的分布相比，损失金额的分布相对更平稳。零售银行业务部门的损失事件发生的频率最高，其损失金额占比也最大（29.36%）。比重略低的是商业银行业务部门（28.95%），但其损失事件数目却只占到了7.22%。在事件类型方面，损失金额主要集中于涉及执行、交割以及交易过程管理（29.41%）、有形资产的损失（24.29%）、外部欺诈（15.54%）和客户、产品以及商业行为引起的风险事件（13.14%）。注意到，商业银行业务、零售经纪部门中由于有形资产的损害而导致的损失金额占到了20.34%；零售银行业务部门中的外部欺诈事件、交易与销售部门和商业银行业务部门中的涉及执行、交割以及交易过程管理事件产生的损失金额占比超过了27%。

三、操作风险损失数据库

（一）操作损失数据库的类型

目前，实际中的操作损失数据库主要有如下类型：

第一类数据库的资料来源于公开披露的操作损失数据，即此类数据库由达到一定金额（阀值）而需向公众披露的损失数据组成。普华永道（PwC）开发的第一版的OpVar^R数据库是这一类数据库的典型代表。截至20##年，OpVar^R数据库包含4700个损失事件，损失金额超过100万美元。

第二类操作损失数据库：近期发展起来的操作损失数据库是建立在银行公会基础上的。在一定的保密原则下，通过签订协定，银行将其内部损失数据提交给银行公会以建立数据库。作为回报，参与其中的银行可利用其中数据补充自身内部数据。英国银行家协会（BBA）于20##年6月建立的全球操作损失数据库（GOLD）数据库是典型的此类数据库。

表2  GOLD数据库中的损失分类

第一类数据库由于只记录公开披露的损失数据，因而其阀值远高于第二类数据库。例如，OpVar^R数据库只记录超过100万美元的损失，而基于银行公会的数据库（如操作风险ORX）对损失额超过25000美元的都进行记录（PEEMOLLER，2002）。而且，这两类数据库不但阀值水平相差悬殊，而且设定的置信水平也不同。

由OpVantage和PwC推行的操作风险ORX（操作风险数据交流）项目是另一类型的数据库，OpVantage是数据库的管理机构（administrative agent），PwC是数据库的托管人（custodian）。ORX是一个非盈利性的社团，位于巴塞尔，其数据收集始于20##年1月，以对现有商业数据专业分析为基础。参与银行[5]按一定标准提交数据；托管人按客户要求将数据匿名化、整理和标准化；管理机构操作风险将数据合并，按客户的需求进行分析并提供报告。之后，经过比例调整或其它的处理后，管理机构提供标准报告。最后，参与银行根据业务部门和／或区域和／或损失事件接收数据（PEEMOLLER，2002）。相对而言，操作风险ORX数据库的运作更为严格，它还需要对数据的调整和校验。如果一家银行想成为操作风险ORXX协会的会员，这家银行必须论证自己有足够的收据搜集能力。

近年来，随着银行对操作风险关注的提高，新的操作损失数据库不断出现。20##年，包括花旗集团、高盛、瑞士信贷第一波士顿、美洲银行、摩根大通、雷曼兄弟、美林、摩根士丹利以及瑞士银行在内的20家全球最大的金融机构已开始组建名为全球监管信息数据库[6]。这个数据库利用了全球2万多个信息来源和数据库，其中包括过去30年美国监管机构所采取的惩戒措施，这些监管机构包括证交会、全美证券交易商协会和纽约证交所等。

（二）数据库的应用

下图是取自OpVantage（www.opvantage.com）网站，给出的是10多年内损失金额大于100万美元的7000多起损失事件的全部损失（总金额达2720亿美元）。在图中按照风险类型进行分组。

图1  按损失事件划分的操作风险损失

可以看到，该例中记录的全部损失70%的部分来自客户、产品以及商业行为的操作，这些损失来自非故意或无意地未满足对特定客户的职业义务，或来自于产品的特性或设计缺陷。另两类显著的损失事件类型是内部欺诈和外部欺诈，分别达到了10%和7%。

Shih等（2000）使用OpVar^R数据库的数据通过OLS和WLS验证了银行规模（资产、业务和员工人数）与操作损失间的相关性，结论发现：三个规模变量同操作损失额都相关，其中以收入相关性最强，取对数后的规模变量间的显著性强于未取对数时的，这表明操作损失额与规模变量的关系是非线性的；T统计量的结果表明通过显著性检验；但R²只有0.05，表明操作损失波动的绝大部分是其他因素导致的。

（三）操作风险损失数据库的局限性

操作风险损失数据库是管理操作风险的有用工具，与单纯依靠银行自身经验相比，数据库增加了事件发生频率的数据和有关损失严重性的数据。但是，就其提供的行业或个别银行的风险状况的准确性来说，数据库存在一定程度的局限。

1．可审计性

首先一个问题是被提供的数据没有经过独立的外部审计。如果这些数据出现在银行财务报表中，那么它们应该是经过审计的，或至少是可以被审计的。但并非所有数据都是如此。一个数据库要想获得较高的预测准确性，就要考虑是否接受未经独立审计的数据。这一问题还涉及到参加银行之间的信任程度。

2．管理标准

数据库中的数据并不总是可比的，因为它是汇集了全行业的数据。银行间管理和监控标准各异，管理质量也不尽相同。出于对成本收益的考虑或竞争目的，某些银行可能对某些特定风险降低了管理标准。无论什么原因，数据库只能显示出这些银行在哪里损失了资金，而不能提供这些类损失的具体情况。

3．起点标准

对于报告起点的选择也会影响数据的数量及其准确性。选择起点时，既要考虑数据库的所有使用者，也要依据数据提供者和损失的不同而不同。有些数据，特别是交易数据唾手可得；而有关非交易损失的数据就不那么容易获得，并且这些数据更多地受到成本收益关系的左右。

四、内、外操作损失数据

到目前为止，多数银行才开始内部操作损失数据的搜集，还未建立起内部操作损失数据库，已经建立起来的数据库中的损失事件多数为高频、低额的。内部操作数据的不足使得各银行难以精确计算操作风险资本要求，尤其是对于高额／低频的事件类型。然而，人们已经认识到高额／低频的损失事件构成了操作风险资本要求的主体（Baud, Frachot and Roncalli，2002）。要提高资本度量的精度，银行需要从公共或者行业数据库中获取外部数据以补充其自身数据。

然而，使用外部数据度量操作风险会产生内外数据的不同质、扩大规模问题和缺乏兼容性等一系列问题。问题的根源在于损失数据的产生过程，而这与数据的搜集途径有关。外部数据库一般只记录极端损失，即损失额最高的部分（公开披露的部分），并且没有经过严格的统计处理。这样综合了内部数据与外部数据进行的损失分布估计会偏向于高额损失，因而计算出来的操作风险资本要求会严重高估。多数案例中，只有超过阀值以上的损失数据才会计入损失数据库，而各家银行内部、行业和公共的损失数据库的阀值水平不一致，公共数据库中损失值往往高于其它两个。

表3 内、外损失数据比较

资料来源：Hoffman, D.G. (1998), “New Trends in Operational Risk Measurement and Management,” Operational Risk and Financial Institutions, Risk Books, 37.

银行广泛使用两种方法来处理外部数据。第一种是定量方法，直接将外部数据导入模型。例如，对于内部数据中很少（或没有）高额损失的损失类型，美国银行（Bank of America）和花旗银行的员工使用外部数据来估计其操作风险暴露[7]。他们使用“relative relationships”[8]技术修正报告偏差和银行控制环境中的差异。其它使用定量法处理外部数据的银行包括瑞典银行、意大利联合商业银行（Banca Intesa）和意大利圣保罗意米银行（Sanpaolo IMI）。

第二种是定性方法，引入外部数据加强讨论。大通曼哈顿银行要求其部门经理评估超过1年期的高额损失的频率[9]。经理拿到其业务部门对应的外部数据来模拟可能的高额损失。可以想象，如果某种高额损失过去10年中在多家银行发生，经理就很难再假定在其部门发生的概率为0.1%。其它银行使用情景分析补时常将外部数据作为可能的情景[10]。

五、我国商业银行操作损失数据搜集进展

近年来，随着我国银行改革的深入，媒体对各类商业银行损失事件曝光的不断增多（见表4），操作风险受到前所未有的关注。

表4  国内银行近年部分操作损失事件

来源：作者整理。

注：*表示案件披露日期。

中国银监会公布的统计数据显示：20##年银监会查出银行业违规资金5800多亿元，处理各类违规金融机构2202个[11]。针对我国银行机构对操作风险的识别与控制能力不能适应业务发展的突出问题，20##年3月27日中国银行业监督管理委员会发布了《关于加大防范操作风险工作力度的通知》，要求银行机构采取切实措施，有效防范和控制操作风险。

由于长期以来我国商业银行不重视操作风险损失历史数据的积累，再加上我国商业银行信息披露制度不健全，银行具有隐藏风险事件的动机，使得我国商业银行操作风险历史数据较难收集。到目前为止，国内学术界和实务界对操作风险的研究主要是对新巴塞尔资本协议中操作风险管理框架的介绍和各类操作风险度量模型的分析，操作损失数据的搜集刚刚起步。

2002～20##年，在银行监管部门的组织下，国家开发银行、中国工商银行、中国银行、中国建设银行和中信实业银行参加了巴塞尔委员会推行的“第三次定量影响测试”（QIS3），向巴塞尔委员会提供了数据，测算了新协议中操作风险对各行资本充足率的影响。QIS3测算的工作量较大，需要各银行提供全面并表的多项数据。在做了大量工作的基础上，5家银行均实现了在全面并表的基础上进行测算。在测算中，各参加银行分别分析了新资本协议对自身的影响，并特别注意将QIS3测算与本银行的工作实际相结合，改进了信息管理系统和风险报告系统。

20##年，中国工商银行出台了《操作风险管理框架》，并将其作为《中国工商银行全面风险管理框架》的一部分，这标志着工商银行在我国金融系统内第一家正式将操作风险的监督管理纳入具体议事日程。操作风险管理分为对七大损失事件的管理，分别是内部欺诈；外部欺诈；雇用合同以及工作状况带来的风险事件；客户、产品以及商业行为引起的风险事件；有形资产的损失；经营中断和系统出错；涉及执行、交割以及交易过程管理的风险事件。20##年开展了全行操作风险情况问卷调查。调查结果显示：信贷、票据、个人金融和会计结算专业将是控制防范操作风险的重点。进一步完善反洗钱内控制度，建立可疑交易报告制度和反洗钱重大事项报告制度，完善可疑交易信息报送程序，加强对可疑交易的分析研究。

中国建设银行于20##年开始构建“风险管理基础平台工程”，通过将国际成熟的标准化管理思想和管理体系标准方法引入到建行风险管理中，以“过程管理模式”和“管理的系统方法”为工具来构建建行的内部控制体系。20##年6月，中国建设银行按照巴塞尔新资本协议对操作风险的定义和分类，在全行开展了1998年至20##年的操作风险损失事件调查。形成了建行操作风险损失事件调查数据分析报告，全面、系统地总结了建行操作风险管理状况并提出相关建议。在此基础上，为加快推进建行操作风险管理体系的建立，实现操作风险管理与风险管理基础平台工程的对接，拟订了《操作风险管理政策》，撰写了操作风险识别、评估、控制、报告等关键程序文件，初步搭建起操作风险管理的框架，为实施系统化的操作风险管理奠定了基础。

20##年，中国银行通过独立稽核体系，针对各级机构的经营状况和风险特点，对14个一级分行（稽核覆盖面44%），219个二级分行（稽核覆盖面77%），821个城区支行（稽核覆盖面54%），625个县支行（稽核覆盖面45%），4个信息中心（稽核覆盖面50%）和22个境外机构（稽核覆盖面81%）进行稽核，完成专项稽核1357个（其中经济责任稽核1070个），个案调查109个。

除了各家商业银行，国内部分学者也着手操作损失数据工作。樊欣、杨晓光（2003）和张新杨（2004）从媒体公开报道和法院案例两个不同方面分别收集了71个和174个银行操作风险损失事件，并以这些数据作为依据，对我国商业银行的操作风险现状进行了定量的概括归纳。

表5  我国商业银行操作风险抽样分布表

来源：张新杨，《我国商业业银行的操作风险研究》，中国期刊网博硕士学位论文全文数据库。

从上表可以看到，我国商业银行操作损失事件主要是银行内部，特别是银行内部人员或内部人员与外部人员相互勾结，所进行的主观的、故意的欺诈行为，这与国际活跃银行操作风险损失事件存在较大差异。

表6  我国商业银行损失事件及损失程度（单位：次、万元）

来源：樊欣，杨晓光，“中国商业银行操作风险分析”，CFEF研究报告，20##年9月。

由上表可以看出我国商业银行操作损失的分布特征：从业务部门角度而言，损失事件主要集中在商业银行业务和零售银行业务；从损失事件类型而言，损失事件主要可以归因于内部欺诈、外部欺诈；从损失金额来看，商业银行业务部门占了绝大部分。

参考文献：

      ［1］     Basel Committee on Banking Supervision, 20## International Convergence of Capital Measurement and Capital Standards: a Revised Framework, Basel Committee Publications, June.

      ［2］     Baud, Nicolas, Antoine Frachot and Thierry Roncalli, 2002, Internal data, external data and consortium data for operational risk measurement: How to pool data properly?, Working paper, Groupe de Recherche Opérationelle, Crédit Lyonnais.

      ［3］     British Bankers’ Association, ISDA, RMA, PricewaterhouseCoopers (1999), Operational Risk, the Next Frontier, RMA, Philadelphia, 1999. Quoted as BBA (1999),29-38.

      ［4］     Carol Alexander, (2003): Operational Risk: Regulation, Analysis, and Management, Published by Financial Times-Prentice Hall, March.

      ［5］     Ebnother, S., P. Vanini, A. McNeil, and P. Antolinez, 2003. “Operational Risk: A Practitioner’s View,” Journal of Risk 5, 1-15.

        ［6］   Fontnouvelle, Patrick, Virginia DeJesus-Rue®, John Jordan, and Eric Rosengreen, 2003, Using loss data to quantify operational risk, Federal Reserve Bank of Boston Working Paper.

      ［7］     Jack L.King, Operational Risk: Measurement and Modelling, Chichester: Wiley, 2001.

      ［8］     Pezier, J.(2002): Operational Risk Management, ISMA Discussion Papers.

---

 本文系教育部人文社会科学研究博士点基金项目（03JB790019）中期成果。

作者简介：李志辉（1959年1月），男，南开大学金融学系教授、博士生导师，研究方向：国际金融、金融风险管理、商业银行管理。范洪波（1977年4月），男，南开大学经济学院金融学系博士生，研究方向：风险管理。

[1] Jimmy Shih, AH Samad-Khan and Pat Medapa（2000）通过使用PwC的OpVar数据库中的数据进行实证，结果显示操作损失同业务收入呈对数线性相关。

[2] 监管套利是指由于存在监管差异，金融机构通过内部业务转换从而全部或部分地规避金融管制，牟取额外利益的行为。此处指由于SA法中巴塞尔委员会设定的各业务部门风险权重不一，银行倾向于发展低权重（β）的业务从而减少操作风险资本的计提。

[3] Basel Committee on Banking Supervision, “Working Paper on the Regulatory Treatment of Operational Risk”, Sep 2001.

[4] Basel Committee on Banking Supervision, “The Quantitative Impact Study for Operational Risk: Overview of Individual Loss Data and Lessons Learned”, Jan 2002.

[5] 首批参与银行包括：德意志银行（Deutsche Bank）、摩根大通（JP M操作风险gan Chase）、荷兰银行（ABN-AMRO）、德国巴伐利亚州银行（Bayerische Landesbank）、法国巴黎银行（BNP-Paribas）、德国商业银行（Commerzbank）、欧洲债券结算系统（Euroclear）、丹麦银行（Danske Bank）、富通银行（F操作风险tis bank）、德国抵押联合银行（HypoVereinsbank）、荷兰国际集团（ING）和意大利圣保罗意米银行（Sanpaolo IMI）。

[6]白芷，“银行巨头拟建犯罪信息数据库”，《金融时报》，2003.11.28。

[7] 美国银行度量操作风险的方法见20##年3月纽约联邦储备银行举行的题为“Leading Edge Issues in Operational Risk Measurement”会议上John Walter所做的“Implementing a Comprehensive LDA”，http://www.ny.frb.操作风险g/newsevents/events/banking/2003/con052903.html。花旗银行所用方法见20##年6月ICBI举行的“Risk Capital 04”年会上所做的“Implementing a Loss Distribution Approach”。

[8] “relative relationships”技术假定：内、外部数据可以用同一类型的损失程度分布（比如，对数正态分布）来建模；不同业务部门和事件类型的内、外部数据参数的关系是固定的。例如，假定对于外部欺诈，都有大量的内部数据和外部数据。银行测定内部数据服从和的对数正态分布，外部数据服从和的对数正态分布。进一步假定对于内部欺诈，有足够多的外部数据，但没有内部数据。银行测定外部数据服从和的对数正态分布，根据“relative relationships”技术，内部数据将服从和的对数正态分布。

[9] 见20##年3月纽约联邦储备银行举行的题为“Leading Edge Issues in Operational Risk Measurement”会议上“Leveraging Scenario Analysis in Operational Risk Management”。

[10]巴克莱银行（Barclays Bank）、意大利联合商业银行（Banca Intesa）、瑞士信贷第一波士顿（Credit Suisse First Boston）、德雷斯顿银行（Dresdner Bank）、富通银行（F操作风险tis Bank）、苏格兰哈利法克斯银行（Halifax Bank of Scotland）、劳氏银行（Lloyds TSB）、苏格兰皇家银行（the Royal Bank of Scotland Group）、日联控投（UFJ Holdings Inc.）、欧洲债券结算系统（Euroclear）起草了“Scenario-Based AMA”，提出了关于情景分析的一般看法，并讨论使用外部数据产生情景。

[11] 孙凌燕，卓尚进：“亡羊补牢：商业银行亟待建立‘正向激励机制’”，《金融时报》，20##年4月5日。