第23章
操作風險

在1999年頒佈的《巴塞爾協議Ⅱ》中，銀行監管機構增加了有關操作風險資本金的內容。這一舉動受到了來自銀行的阻力。某著名國際性銀行的總裁兼CEO曾對監管部門的計劃有這樣一種評述：“這是我看到的最昏頭昏腦的事情。”但是隨著《巴塞爾協議Ⅱ》實施日期的臨近，監管部門並沒有從原有立場上退縮。因為它們知道，過去10年裡，銀行遭受的許多重大損失都是操作風險損失，而不是信用風險損失或市場風險損失。

自1999年協議實施以來，操作風險也導致了一些重大損失。我們在業界事例5-5中討論了法國興業銀行無賴交易員導致的損失以及2011年UBS發生的類似事件。我們將在業界事例25-1中討論2012年摩根大通的倫敦鯨事件。2014年，法國巴黎銀行（BNP Paribas）被迫向美國政府支付90億美元的罰金（約為銀行一年的利潤），該銀行被控代表蘇丹、伊朗、古巴等受美國製裁的國家的客戶，通過美國的銀行進行以美元計價的交易。除此以外，該銀行還被禁止一年內在美國從事某些業務。

對銀行來說，網絡風險變得日趨重要。銀行部署了先進的安全系統防衛網絡攻擊，但攻擊手段也在不斷進化。另外，銀行對計算機和互聯網的使用越來越倚重，這也為網絡欺詐提供了更多機會。銀行的客戶和員工必須不斷地接受教育與培訓，以維護銀行的數據安全。對犯罪分子而言，對銀行發動網絡攻擊是很有吸引力的，因為正如美國著名的銀行搶劫犯Willie Sutton所說，“那裡是錢之所在”（that’s where the money is）。對恐怖分子而言，銀行也是高價值目標，因為攻擊銀行可以破壞一個國家的經濟和社會生活。

一些監管機構已經把操作風險視作銀行面臨的最重要風險。美國貨幣監理署（Office of the Comptroller of the Currency，OCC）署長托馬斯（Thomas J.Curry）在2012年曾說：“面對目前如此複雜的銀行市場以及在底層對其進行支撐的複雜技術，OCC認為操作風險很高並且還在增加是理所當然的。事實上，我們監管下的機構應把它列為事關安全性和穩健性的頭等大事之一。”他進一步認為操作風險的重要性已經超過了信用風險。^[1]大多數銀行原本已經制定了對於操作風險的一些管理框架，但是監管當局對於操作風險資本金新的要求促使銀行加大了對操作風險度量及監督等方面的投入。

同信用風險及市場風險相比，操作風險更加難以量化，風險管理的難度也更大。對於信用風險及市場風險，銀行是有意識地承擔一定量的風險，在市場上有很多產品可以幫助銀行降低這些風險。與市場及信用風險不同的是，操作風險註定是銀行業務運作中的一部分。在操作風險管理過程中最重要的任務就是首先對風險類型進行識別，然後是有的放矢地制定管理措施。在業務操作過程中，我們不可避免地會面臨事先（exante）沒有預見到的某種操作風險，而這些操作風險所帶來的損失也往往是巨大的。

有些人可能認為諸如法國興業銀行遭受的損失（見業界事例5-5）是由市場風險導致的，因為是市場因素的變化使得銀行損失慘重。但是我們應該把這類事件歸咎於操作風險，因為這涉及了內部詐騙（傑洛米·科維爾構造了虛假的交易，以隱瞞自己的豪賭）。假定沒有詐騙行為，如果銀行政策允許自己的交易員承擔巨大風險，那麼此損失可以被歸為市場風險。如果銀行的政策不允許交易員承擔如此巨大的風險，但交易員利用風險控制過程中的漏洞進行交易，那麼這些損失應該被歸類為操作風險。法國興業銀行的例子表明操作風險損失通常與市場變化有關。假如市場變化對科維爾有利，那麼科維爾的交易不會引發損失。科維爾的詐騙行為以及法國興業銀行風險控制中的漏洞也許永遠不會被發現。

操作風險損失與保險公司的損失有某種可比性。保險公司面臨的一些風險事件具備小概率大損失的特性，這些事件包括颱風、地震及其他自然災害。與此類似，銀行面臨的操作風險也具備小概率大損失的特性。但這兩種風險之間有一個很大的不同：當保險公司因為某種自然災害遭受了很大損失時，這一自然災害可能影響了保險業中所有的公司，下一年的保險費可能會飛漲，以彌補損失，而操作風險可能隻影響某一家銀行，因為行業競爭激烈，銀行在下一年度往往不敢增加服務收費以彌補上一年的損失。

[1] 見托馬斯於2012年5月16日在財政俱樂部（Exchequer Club）的演講。