英国银行家协会(British Banker Association, BBA,1997)最早给出了操作风险的定义,他们认为:操作风险与人为失误、不完备的程序控制、欺诈和犯罪活动相联系,它是由技术缺陷和系统崩溃引起的。经过广泛的讨论和争论,1998年5月,IBM(英国)公司发起设立了第一个行业先进思想管理论坛----操作风险论坛,在这个论坛上,将操作风险定义为:操作风险是遭受潜在损失的可能,是指由于客户、设计不当的控制体系、控制系统失灵以及不可控事件导致的各类风险。损失可能来自于内部或外部事件、宏观趋势以及不能为公司决策机构和内部控制体系、信息系统、行政机构组织、道德准则或其他主要控制手段和标准所洞悉并组织的变动。它不包括已经存在的其他风险种类如市场风险、信用风险及决策风险。通过这次会议,上述结论性的定义开始为多数银行所接受。巴塞尔委员会关于操作风险的定义也是建立在这个基础之上的。根据《巴塞尔新资本协议》,操作风险可以分为由人员、系统、流程和外部事件所引发的四类风险,并由此分为七种表现形式:内部欺诈,外部欺诈,聘用员工做法和工作场所安全性,客户、产品及业务做法,实物资产损坏,业务中断和系统失灵,交割及流程管理。操作风险受到国际银行业界的高度重视。这主要是因为,银行机构越来越庞大,它们的产品越来越多样化和复杂化,银行业务对以计算机为代表的IT技术的高度依赖,还有金融业和金融市场的全球化的趋势,使得一些“操作”上的失误,可能带来很大的甚至是极其严重的后果。过去一二十年里,这方面已经有许多惨痛的教训。巴林银行的倒闭就是一个令人怵目惊心的例子。
