銀行信息科技風險評價體系探討范文

本站小編為你精心準備了銀行信息科技風險評價體系探討參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

1研究現狀

事件研究法綜述

在國外，事件研究法已被廣泛應用于金融經濟領域、會計領域、法律和經濟領域等等。正如Fama所言:“近幾十年來出現的有關事件研究方面的文獻已成為金融經濟文獻中重要的組成部分”。國外學者提供了多種對于信息科技風險及其事件表現形式的視角［4］。Campbell等、Kannan等在其數據和安全漏洞的研究中廣泛應用了機密－完整性－可用性框架(C.I.A.)，該框架已經被大量應用于組織數據和信息資產的風險評估中［5－6］。在此基礎上，Whitman將信息科技風險事件主要歸結為機密性事件、完整性事件及可用性事件，而這些事件大多產生于惡意行為及突發因素導致［7］。Cavusoglu等依靠嚴密的企業資源基礎模型與信息傳遞理論，試圖建立理論模型來分別驗證信息科技風險事件對大型公司和證券公司的影響［8］。Im和Baskerville認為，實際上信息科技風險事件均由人為因素導致［9］。Willison和Si-ponen調查了1280家金融機構，發現絕大多數的風險限于蓄意電腦濫用、數據隱私侵權以及其他一些惡意威脅［10］。Goldstein等利用資源脆弱性理論和聲譽－質量保證理論，闡述了關于信息科技風險事件的戰略問題［11］。

國內方面，缺乏專門研究信息科技風險事件的文章，多數集中于對操作風險事件的研究。盛軍對國內銀行級別和案例類別、損失事件數目和金額的地域分布、損失事件發生年份和案例類別進行了交叉分析，并與國際上的分析結論進行了比較，得出了定性的區別［12］。何茂春將影響信息系統事件級別的影響度、緊急度等關鍵因素的基本屬性進行評估量化分解，以多因子事件等級量化方法，按照加權處理的原理，同預先設定的對應等級數值表對照比較，準確地給出事件等級的定級，為風險計量與控制提供了量化依據［13］。譚諍對商業銀行操作風險事件的時間特征進行了研究，得出如下特征:操作風險損失事件歷年分布頻率呈現先升后降態勢;隱蔽性越強的操作風險損失事件發生頻率相對越低;操作風險事件越隱蔽，損失越大，處理時間越長;操作風險事件管理呈現明顯時滯性［14］。陳平、戴偉光從事件類型、業務類型、地域分布等方面對我國商業銀行操作風險事件的特征進行了分析，揭示了引起我國商業銀行操作風險事件的主要原因以及操作風險易發區域、易發業務線和各業務線的風險易發環節［15］。

由此可見，國外學者對于信息科技風險事件的研究已十分成熟，國內研究尚處于起步階段，多集中于定性分析層面。本文以中國銀監會信息科技風險評價體系為基礎，將其每一個指標看作一個事件，建立了基于風險事件的商業銀行信息科技風險評估模型。

2模型構建

該評估模型從結構上可以分為橫向比較(按照時間先后對商業銀行自身風險狀況進行比較)和縱向比較(按照同一地區對同行業間風險狀況進行比較)兩個維度。風險評估的主要參與者是信息科技管理委員會下屬的商業銀行高級管理層、信息科技部、風險部及審計部。其中，信息科技部處于核心地位，負責調查工作的組織與實施;風險部及審計部的參與能夠最大程度上保證調查結果的客觀性及準確性，從而及時發現問題。風險評估的對象是風險事件，通過一定的風險事件發生頻率來衡量固有風險;通過一定的風險事件控制情況來衡量控制有效性。風險評估的目標在于確定固有風險及控制有效性等級。模型具體描述如下:

首先，商業銀行以中國銀監會信息科技風險試評估體系中的固有風險四級評價指標作為事件，調查其一定時期內(一般為一年)的發生頻率。由于固有風險屬于成本類指標，故風險事件的發生頻率從小到大依次分為五個等級，即從無、偶爾、一般、頻繁及很頻繁。其次，商業銀行以信息科技風險評價體系中的控制有效性四級評價指標作為事件，調查其一定時期內(一般為一年)的控制情況。由于控制有效性屬于收益類指標，故風險事件的發生頻率從大到小依次分為五個等級，即很好、較好、一般、較差及很差。最終，結合前兩步得到的固有風險得分及控制有效性得分，結合中國銀監會給定的指標權重，可以依次得出三級指標殘余風險、二級指標風險等級及一級指標綜合風險水平。通過橫向比較與縱向比較，可以進一步明確商業銀行信息科技風險的動態水平及行業地位。

2.1商業銀行信息科技風險評價體系

商業銀行信息科技風險主要通過固有風險和控制有效性兩個二級指標進行評估。其中，固有風險可以理解為科技基礎的完備性，下設5個三級指標、17個四級指標;控制有效性可以理解為風險管理情況，下設8個三級指標、36個四級指標。

2.2風險指標量化

對于固有風險，發生事件意味著風險增加;對于控制有效性而言，發生事件意味著風險降低。固有風險得分越高，風險越大;控制有效性得分越高，風險越低。根據表2，按照找出問題、發現問題、解決問題的思路，為了能夠最大限度地放大問題，選擇固有風險得分區間的上限作為得分固有風險發生頻率的量化值，選擇控制有效性得分區間的下限作為控制有效性比例的量化值，

3案例分析

問卷的收集與分析

課題組選取了遼寧省某X銀行進行信息科技風險評估。針對該銀行的現狀，課題組采用問卷調查并結合訪談法來獲得風險指標的得分。首先，對該銀行的信息科技部門經理、風險管理部門經理及審計部門經理分別進行了個人訪談。通過訪談，針對商業銀行信息科技風險評價體系中的各項風險指標，得到了信息科技風險評估現狀及目前存在問題，為風險評估的實施提供了組織保障。其次，由調查者根據調查目的，結合新《指引》中的有關規定設計調查問卷，并輔以相關解釋說明。再次，根據概念模型中的要求，由銀行的管理層、信息科技部、風險部、審計部分別獨立完成調查問卷的填寫。最后，調查者通過郵件的方式收集調查問卷樣本，共收集有效調查問卷36份。從統計結果可以歸納出以下特點:

(1)參與本次調研的人員知識結構較為互補。其中，信息科技部有效問卷占到了50%，風險管理部有效問卷占到了16.7%，審計部有效問卷占到了33.3%，后兩個部門合計50%。這說明信息科技部在本次評估中居于核心地位，另外兩個部門處于輔助地位，這與模型描述一致。

(2)參與本次調研的人員經驗較為豐富。其中，10年以上從業人員占到了55.6%，大于50%。這說明參與本次調研的人員具有豐富的業務經驗與行業背景，能夠為本次評估提供較為科學、客觀的樣本數據。

(3)參與本次調研的人員職稱較為分散。其中，中級和其他基層業務人員均占到了33.%，初級、副高級、正高級依次占到了16.7%、11.1%、5.6%。這從一定程度上保證了樣本數據的廣泛性，能夠從各個層級獲取真實有效的數據。

(4)參與本次調研的人員職務較為合理。其中，總經理跟副總經理合計50%，經理占據了另外50%。這從一定程度上說明公司高管對本次調研的重視程度，保證了本次評估的順利實施。

4結論

(1)本文以事件研究法為理論基礎，結合中國銀監會信息科技風險試評估體系，提出了基于風險事件的商業銀行信息科技風險評估模型。本方法適用于沒有建立風險事件分布數據庫的中小商業銀行，能夠為其信息科技風險管理提供有力的決策工具。

(2)通過風險評估，商業銀行既可以從細節上掌握本行存在的殘余風險，從而有針對性地提出改進措施;又可以從整體上把握信息科技風險的可控程度，從而確定本行風險控制的戰略及規劃。

(3)通過商業銀行自身的橫向比較，可以掌握信息科技風險的變化，實現信息科技風險的動態管理;通過地區內同行業間的縱向比較，可以明確商業銀行的信息科技風險所處地位，從而制定風險戰略和目標。

(4)以遼寧省某X銀行為例，實施了信息科技風險評估，驗證了本文構建的評估模型的有效性。

作者：謝威1，趙嵩正1，徐林2    單位：1.西北工業大學管理學院;2.營口沿海銀行