金融领域的操作风险（Operational Risk） 外汇期货的应用领域包括

一、什么是操作风险（Operational Risk）

根据巴塞尔协议（Basel II/III）的规定，操作风险是因内部流程、人员和系统不足及故障或外部事件造成损失的风险。风险类型包含法律风险但不包括战略风险或声誉风险（在我个人工作当中，声誉风险有过被包含在操作风险之中的案例，只是声誉风险非常难被量化）。

按照巴塞尔协议的规定，操作风险造成的损失可以分为七大类：

1. 内部欺诈（internal fraud）

2. 外部欺诈（external fraud）

3. 就业实践和工作场所安全（EPWS - Employment Practices and Workplace Safety）

4. 客户、产品和商业实践 （CPBP - Clients, Products, and Business Practice）

5. 物理资产损坏 （DPA - Damage to Physical Assets）

6. 业务中断和系统故障 （BDSF - Business Disruption and Systems Failures）

7. 执行、交付和过程管理 （EDPM - Execution, Delivery, and Process Management）

为了方便管理和统计数据，这七类一级风险（Level I）还进一步细分了二级（Level II）和三级（Level III）风险，便于日后基于损失数据进行分析和建模，保险公司常用的损失覆盖率（Probability of Insurance Recovery Rate - PoIR）就是基于三级数据进行计算得到的。数据越详细，越有助于金融机构从公司整体层面进行风险评估。在现实生活中，金融机构会根据自身的数据对风险的分级进行适度的调整，并不会完全遵从巴赛尔协议的划分方式，风险的划分大体上会更偏向于实用性而不是理论性。这七类一级风险，在整合分析的过程中会被分为五大类，使公司更容易建模的同时也帮助保险公司更方便对其进行承保，其中包括：

1. 欺诈风险（Fraud/Crime Risk），包含内部欺诈和外部欺诈，比如巴林银行的尼克·李森（Nick Leeson），从1992年开始隐瞒亏损，伪造买卖纪录，造假交易，仅私下留存粗略的真实交易，总计造成了14亿美元的损失，直接导致了巴林银行随后不得不宣布破产。这种行为就是非常典型的内部欺诈风险（Internal Fraud），也被称为野蛮交易Rogue Trading （RT）。

2. 网络风险（Cyber Risk），主要包括系统故障风险（BDSF）和一部分的内部，外部欺诈风险（IF & EF）。网络犯罪包括数据破坏、资金盗窃、知识产权盗窃、个人和金融数据盗窃、贪污、诈骗等。网络钓鱼是一种常见的黑客攻击形式。虽然网络钓鱼可以采取多种形式，但一种常见的情况是黑客通过电子邮件向金融机构的客户发送电子邮件，要求他们确认账户信息。当前火爆的虚拟货币市场不仅蕴含了市场风险，同时也蕴含了巨大的网络风险，交易平台的损失报告层出不穷。

3. 合规风险（Liability Risk），主要包含客户、产品和商业实践（CPBP）和执行、交付和过程管理（EDPM）。由于故意或无意地没有按照行业法律法规、内部政策或规定的最佳做法行事而招致罚款或其他处罚的风险。比如洗钱、恐怖主义融资和帮助客户逃税。值得注意的是，由于合规风险的特殊性，银行因自身过失（涉及洗钱，或者因为违反市场规范被监管机构处罚）等行为造成的损失是不可保的，属于不可减轻或转移的损失类型。

4. 就业风险（EPL - Employment practices liability Risk），主要覆盖就业实践和工作场所安全（EPWS）和部分执行、交付和过程管理（EDPM）。比较典型的例子有职场性骚扰（沸沸扬扬的Me Too），或者歧视（黑命贵）。同时，声誉风险造成的损失，偶尔也会被包含在此类风险当中，只是因为无法量化，所以无论是模型，还是保险公司，都不会特意考虑声誉风险。早些年的三星手机爆炸事件，及最近沸沸扬扬的特斯拉事故和后续的处理方式，都是典型的声誉风险，对公司的利益造成了潜在的损害。

5. 资产风险（Property Risk），主要覆盖物理资产损坏 （DPA - Damage to Physical Assets）。比如由于自然灾害造成的损失，2023年的日本海啸造成了接近900亿美元的损失，引起了保险市场极其巨大的震动。遗憾的是，当前我国公司在这方面仍然比较保守，很少选择通过购买灾害保险来应对未来可能的损失。2018年和2023年山东寿光连续两年爆发洪水，对当地的大棚种植业造成了巨大的损失，但是最后绝大部分损失都不得不由受害者自行承担。

二、巴塞尔协议的监管要求

巴塞尔协议（Basel Accord），全名是资本充足协定（Capital Accord），是巴塞尔银行监理委员会成员，为了维持资本市场稳定、减少国际银行间的不公平竞争、降低银行系统信用风险和市场风险，推出的资本充足比率要求。在1988年首次订立，2003年作出了第二次的修订，在2008年金融危机之后的2010年进行了第三次修订，协议强化了资本充足率要求，并新增了关于流动性与杠杆比率的要求。通过设定关于资本充足率、压力测试、市场流动性风险考量等方面的标准，来应对在2008年的金融危机中所显露的金融体系对信贷和其它信用资产风险的监管不足。

为了更好的量化操作风险，协议一共发布了三种不同的操作风险计量方式，并在过去的二十年持续不断的进行了修正。

1. 基本指标法（BIA）

在基本指标法（BIA）中，银行的操作风险资本要求是其过去三年每年总收入平均值(按照剔除年总收入为零或负值的年份来计算平均值)的一个固定比例值。目前巴塞尔委员会设定的该固定比例值为15%。基本指标法使用银行的年总收入作为该银行的风险指标。这一方法假设银行的收入越高，规模就越大，其操作风险也就越大。然而，总体来说，对于衡量操作风险的大小，这种方法只是一个较差的选择，因为银行可能为防范操作风险而保留过多不必要的资本。

2.标准法（SA）

银行的业务如表格所示被分为八条业务线。过去三年中，每条业务线的平均总收入乘以该业务线的系数（分别对应12%，15%，18%，风险越高系数越高），并求和得出总资本。BIA和SA两种量化方式简单而直接，更适合于中小型银行满足监管机构的需求。

公司金融 Corporate Finance18%交易和销售 Trading and Sales18%支付和结算 Payment and Settlement18%商业银行 Commercial Banking15%代理服务 Agency Services15%资产管理 Asset Management12%零售银行 Retail Banking12%零售经纪 Retail Brokerage12%

3. 高级计量法(AMA)

巴塞尔协议中的AMA模型相比于以上两种方法要复杂得多。它要求银行对待操作风险建立类似于信用风险计量经济资本的方法，计量资本等于99.9%的预期损失分布减去预期操作风险损失。具体如下图，

损失严重程度分布曲线

在AMA方法下，银行需要采用99.9%的分位数来进行1年内的损失估计。将每一个业务条线（前面提到的七类风险分布）的资本估值加权至总的经济资本需求上（多数情况下，因为不同的风险类型直接会相互关联，student t copula函数会被考虑作为风险分散化的主要方式，当然偶尔为了加大风险分散化的效果，有些金融机构也会选择更激进的函数比如非线性的阿基米德copula）。当前，AMA是在大型银行中应用最为广泛的模型，尤其是对于全球系统性重要机构（G-Sib，四大国有银行已连续多年位列全球三十家系统性重要机构），AMA是量化操作风险并制定资本准备金的重要手段。同时，由于AMA模型方法的过于复杂，造成了不同的银行经常会根据自身情况对模型进行符合自身利益的解读，巴塞尔委员会于2016年3月宣布，计划用一种新的方法取代以往所有确定操作风险的方法：标准化计量方法（SMA - standardised measurement approach），然而，大量批评者认为该模型过于模糊且保守落后，因此该模型被延后批准。

三、损失分布的确定

操作风险可以通过两个方面数据的结合来定义，即损失频率（Frequency）和损失严重程度（Severity）。

1. 平均损失频率（Frequency）：一年内发生重大损失的平均次数，通常模型中会采用泊松分布（Poisson Distribution）进行扩展。

2. 损失严重程度（Severity）：每次损失大小的概率分布。大部分情况下，金融机构会选择对数正态分布作为损失严重程度的分布曲线，原因除了对数正态分布可以更好地拟合大部分损失数据之外，还因为对数正态分布的尾部（Tail）即超大额损失通常情况下相比于其他分布曲线更小，可以减少准备金。

在确定了损失频率和严重程度后，蒙特卡洛模拟通常被用于确定损失概率分布。步骤如下。

步骤1：从泊松分布中抽样，以确定每一年中损失事件的数量。

步骤2：每个损失事件会根据损失程度的分布曲线随机产生损失数据。

步骤3：将当年产生的所有损失大小相加，以确定这一年的总损失。

步骤4：重复步骤1~3多次，直到数据拟合。

步骤5：通过蒙特卡洛模拟产生的数据计算不同程度的风险价值（Value at Risk，资产组合在持有期间以及给定的置信区间内由于市场价格变动所导致的最大预期损失数值），较常使用的置信区间有80%（五年一遇），90%（十年一遇），98%（五十年一遇），99%（百年一遇）和99.9%（千年一遇）。

损失频率和损失严重程度一般是由银行内部损失数据得到的。值得注意的是，由于操作风险的规划时间比较短，且发生损失的频率远远低于信用风险和市场风险，很多银行都面临数据不足的问题。部分银行也会参考来自数据供应商的外部数据，结合银行内部数据进行整体评估。外部数据的来源多种多样，部分来源于市场公开数据（比如公司财报），部分来源于监管机构的披露（比如对某些公司的行政处罚），还有一些来源于保险公司的赔付数据。然而，来自数据供应商的数据可能会有偏差，因为通常各方机构都只报告大的损失。如果供应商的数据直接用于确定损失严重性分布，则分布可能偏向于大损失，对于中小型银行并不合理。如果数据仅用于确定相对损失严重程度，则可以适当的减小这种偏差。

如果供应商的数据表明一类损失（银行没有数据）平均是二类损失（银行有数据）的两倍，银行可以假设一类损失的平均损失是使用自己的二类损失数据计算得出的两倍。同样，如果供应商数据表明一类损失的标准差比二类损失的标准差大50%，银行可以假设一类损失的标准差比使用自己的数据计算的二类损失的标准差大50%。另一个潜在的偏见是损失的大小。假设A银行收入200亿美元，亏损3亿美元。收入为100亿美元的B银行正利用这一损失事件来估计其可能遭受的类似损失的严重程度。B银行的损失很可能没有3亿美元那么大，因为它是一家比A银行小的银行。但它可能过于乐观，估计其损失只有A银行的一半（1.5亿美元），而通常情况下损失并不和营业额成正比。

此外，通货膨胀和汇率的变化也经常需要被考虑到模型当中。举个简单的例子，土耳其的银行为了融入欧盟的价值体系，普遍接受欧盟金融机构的监管，因此需要对标美元建模。在过去的五年间，因为各种不可控因素，土耳其的货币对美元从最高的一美元兑换2.96土耳其里拉跌到了现在的8.45，相应的模型和准备金也必须做出对应的变化。

同时，金融机构也使用情景分析（Scenario Analysis）来估计损失频率和损失严重程度。它特别适用于频率低但严重性高的损失事件。这些重要的损失事件，一般都会分布于损失分布的极端尾部。这时候则需要结合银行内部的专家给出客观的意见，比较常见的方式是多名专家共同就银行在未来5年，50年及100年可能产生的损失进行评估并量化。对于每种情况，都会对损失频率和损失严重程度进行估计。蒙特卡罗模拟用于确定不同类别损失的总损失概率分布。这些估计通常由操作风险专家委员会给出。损失频率估计应反映金融机构的控制措施及其所做业务的类型。这里的关键点是，情景分析考虑的是金融机构从未经历过的未来可能发生的损失。管理判断用于评估损失频率和损失严重程度。情景分析可以帮助企业形成应对损失事件和/或降低损失事件发生的可能性的策略。然而现实则是，由于专家普遍来自于各个不同的部门，且对于风险的认知不尽相同，情景分析的数据常常和真实损失数据相差甚远，在建模的过程中经常会得到和监管机构预期完全不符的结果。因此越来越多的金融机构开始结合内部和外部数据考虑情景分析的应用。

模型得到的经济资本会分配给不同的业务条线，以便计算资本回报率。操作风险资本的分配可以用来激励业务部门经理降低操作风险。如果业务部门经理能够证明他们成功地降低了损失频率或损失严重程度，那么该业务部门则可以准备较少的储蓄金。因此，该部门的资本回报率将得到提高，经理可以有机会获得