美章网 资料文库 银行信息科技风险评价体系探讨范文

银行信息科技风险评价体系探讨范文

时间:2022-09-23 09:15:25

银行信息科技风险评价体系探讨

1研究现状

事件研究法综述

在国外,事件研究法已被广泛应用于金融经济领域、会计领域、法律和经济领域等等。正如Fama所言:“近几十年来出现的有关事件研究方面的文献已成为金融经济文献中重要的组成部分”。国外学者提供了多种对于信息科技风险及其事件表现形式的视角[4]。Campbell等、Kannan等在其数据和安全漏洞的研究中广泛应用了机密-完整性-可用性框架(C.I.A.),该框架已经被大量应用于组织数据和信息资产的风险评估中[5-6]。在此基础上,Whitman将信息科技风险事件主要归结为机密性事件、完整性事件及可用性事件,而这些事件大多产生于恶意行为及突发因素导致[7]。Cavusoglu等依靠严密的企业资源基础模型与信息传递理论,试图建立理论模型来分别验证信息科技风险事件对大型公司和证券公司的影响[8]。Im和Baskerville认为,实际上信息科技风险事件均由人为因素导致[9]。Willison和Si-ponen调查了1280家金融机构,发现绝大多数的风险限于蓄意电脑滥用、数据隐私侵权以及其他一些恶意威胁[10]。Goldstein等利用资源脆弱性理论和声誉-质量保证理论,阐述了关于信息科技风险事件的战略问题[11]。

国内方面,缺乏专门研究信息科技风险事件的文章,多数集中于对操作风险事件的研究。盛军对国内银行级别和案例类别、损失事件数目和金额的地域分布、损失事件发生年份和案例类别进行了交叉分析,并与国际上的分析结论进行了比较,得出了定性的区别[12]。何茂春将影响信息系统事件级别的影响度、紧急度等关键因素的基本属性进行评估量化分解,以多因子事件等级量化方法,按照加权处理的原理,同预先设定的对应等级数值表对照比较,准确地给出事件等级的定级,为风险计量与控制提供了量化依据[13]。谭诤对商业银行操作风险事件的时间特征进行了研究,得出如下特征:操作风险损失事件历年分布频率呈现先升后降态势;隐蔽性越强的操作风险损失事件发生频率相对越低;操作风险事件越隐蔽,损失越大,处理时间越长;操作风险事件管理呈现明显时滞性[14]。陈平、戴伟光从事件类型、业务类型、地域分布等方面对我国商业银行操作风险事件的特征进行了分析,揭示了引起我国商业银行操作风险事件的主要原因以及操作风险易发区域、易发业务线和各业务线的风险易发环节[15]。

由此可见,国外学者对于信息科技风险事件的研究已十分成熟,国内研究尚处于起步阶段,多集中于定性分析层面。本文以中国银监会信息科技风险评价体系为基础,将其每一个指标看作一个事件,建立了基于风险事件的商业银行信息科技风险评估模型。

2模型构建

该评估模型从结构上可以分为横向比较(按照时间先后对商业银行自身风险状况进行比较)和纵向比较(按照同一地区对同行业间风险状况进行比较)两个维度。风险评估的主要参与者是信息科技管理委员会下属的商业银行高级管理层、信息科技部、风险部及审计部。其中,信息科技部处于核心地位,负责调查工作的组织与实施;风险部及审计部的参与能够最大程度上保证调查结果的客观性及准确性,从而及时发现问题。风险评估的对象是风险事件,通过一定的风险事件发生频率来衡量固有风险;通过一定的风险事件控制情况来衡量控制有效性。风险评估的目标在于确定固有风险及控制有效性等级。模型具体描述如下:

首先,商业银行以中国银监会信息科技风险试评估体系中的固有风险四级评价指标作为事件,调查其一定时期内(一般为一年)的发生频率。由于固有风险属于成本类指标,故风险事件的发生频率从小到大依次分为五个等级,即从无、偶尔、一般、频繁及很频繁。其次,商业银行以信息科技风险评价体系中的控制有效性四级评价指标作为事件,调查其一定时期内(一般为一年)的控制情况。由于控制有效性属于收益类指标,故风险事件的发生频率从大到小依次分为五个等级,即很好、较好、一般、较差及很差。最终,结合前两步得到的固有风险得分及控制有效性得分,结合中国银监会给定的指标权重,可以依次得出三级指标残余风险、二级指标风险等级及一级指标综合风险水平。通过横向比较与纵向比较,可以进一步明确商业银行信息科技风险的动态水平及行业地位。

2.1商业银行信息科技风险评价体系

商业银行信息科技风险主要通过固有风险和控制有效性两个二级指标进行评估。其中,固有风险可以理解为科技基础的完备性,下设5个三级指标、17个四级指标;控制有效性可以理解为风险管理情况,下设8个三级指标、36个四级指标。

2.2风险指标量化

对于固有风险,发生事件意味着风险增加;对于控制有效性而言,发生事件意味着风险降低。固有风险得分越高,风险越大;控制有效性得分越高,风险越低。根据表2,按照找出问题、发现问题、解决问题的思路,为了能够最大限度地放大问题,选择固有风险得分区间的上限作为得分固有风险发生频率的量化值,选择控制有效性得分区间的下限作为控制有效性比例的量化值,

3案例分析

问卷的收集与分析

课题组选取了辽宁省某X银行进行信息科技风险评估。针对该银行的现状,课题组采用问卷调查并结合访谈法来获得风险指标的得分。首先,对该银行的信息科技部门经理、风险管理部门经理及审计部门经理分别进行了个人访谈。通过访谈,针对商业银行信息科技风险评价体系中的各项风险指标,得到了信息科技风险评估现状及目前存在问题,为风险评估的实施提供了组织保障。其次,由调查者根据调查目的,结合新《指引》中的有关规定设计调查问卷,并辅以相关解释说明。再次,根据概念模型中的要求,由银行的管理层、信息科技部、风险部、审计部分别独立完成调查问卷的填写。最后,调查者通过邮件的方式收集调查问卷样本,共收集有效调查问卷36份。从统计结果可以归纳出以下特点:

(1)参与本次调研的人员知识结构较为互补。其中,信息科技部有效问卷占到了50%,风险管理部有效问卷占到了16.7%,审计部有效问卷占到了33.3%,后两个部门合计50%。这说明信息科技部在本次评估中居于核心地位,另外两个部门处于辅助地位,这与模型描述一致。

(2)参与本次调研的人员经验较为丰富。其中,10年以上从业人员占到了55.6%,大于50%。这说明参与本次调研的人员具有丰富的业务经验与行业背景,能够为本次评估提供较为科学、客观的样本数据。

(3)参与本次调研的人员职称较为分散。其中,中级和其他基层业务人员均占到了33.%,初级、副高级、正高级依次占到了16.7%、11.1%、5.6%。这从一定程度上保证了样本数据的广泛性,能够从各个层级获取真实有效的数据。

(4)参与本次调研的人员职务较为合理。其中,总经理跟副总经理合计50%,经理占据了另外50%。这从一定程度上说明公司高管对本次调研的重视程度,保证了本次评估的顺利实施。

4结论

(1)本文以事件研究法为理论基础,结合中国银监会信息科技风险试评估体系,提出了基于风险事件的商业银行信息科技风险评估模型。本方法适用于没有建立风险事件分布数据库的中小商业银行,能够为其信息科技风险管理提供有力的决策工具。

(2)通过风险评估,商业银行既可以从细节上掌握本行存在的残余风险,从而有针对性地提出改进措施;又可以从整体上把握信息科技风险的可控程度,从而确定本行风险控制的战略及规划。

(3)通过商业银行自身的横向比较,可以掌握信息科技风险的变化,实现信息科技风险的动态管理;通过地区内同行业间的纵向比较,可以明确商业银行的信息科技风险所处地位,从而制定风险战略和目标。

(4)以辽宁省某X银行为例,实施了信息科技风险评估,验证了本文构建的评估模型的有效性。

作者:谢威1,赵嵩正1,徐林2    单位:1.西北工业大学管理学院;2.营口沿海银行

被举报文档标题:银行信息科技风险评价体系探讨

举报类型:

非法(文档涉及政治、宗教、色情或其他违反国家法律法规的内容)

侵权

其他

验证码:

点击换图

举报理由:
   (必填)