我国电子银行的风险评估研究

1、我国电子银行风险评价研究摘要: 针对我国电子银行风险评价这一复杂系统问题，在综合分析我国电子银行风险特征的基础上，从董事会/管理层风险、关键技术风险、客户层风险及固有风险四个方面，构建了我国电子银行风险评价指标体系。并进一步，基于层次分析法，提出一种我国电子银行风险综合评价模型，解决了对指标得分简单累加而导致的结果不合理的问题。关键词:电子银行；风险评价；指标体系；层次分析法；1 引言随着计算机网络技术和电子信息技术的高速发展，家用计算机的广泛使用，电话、手机的普及，电子商务的兴起奚振斐. 电子银行学M. 西安: 西安电子科技大学出版社. 2006.，信息化革命浪潮给传统商业银行的经营模式和服

2、务方式带来了巨大的变化，商业银行的发展更加依赖于科技在金融领域的应用和金融产品自身的创新。在这种大背景下，电子银行的诞生无疑为银行业增添了一道独特的风景线。电子银行改变了传统银行的手工作业方式，并逐渐形成了银行业务处理自动化、服务电子化、管理信息化的新兴银行体系；电子银行极大地降低了经营服务成本，创造出巨大的利润空间；它可以超越时空限制，提供“AAA”式服务，能为客户提供方便快捷的个性化服务；它还能使资金流速激增，减少在途资金损失谢平,尹龙.网上银行：21世纪金融领域的一场革命J. 财经科学. 2000,(4):11-15.。西方发达国家的电子银行业已经有了十几年的发展历史。1995年，美国安

3、全第一网络银行(SFNB)成立后，发达国家电子银行业务在经历一段非常短暂的观察期后得到了迅速的发展。预计到2010年，美国电子银行业务量将占银行业务总量的近70%。在欧洲，已经有1200家金融机构提供电子银行服务。现在全球至少有超过3000家银行提供基于电子渠道的金融服务翟冀.电子银行价值有待深度挖掘N. 金融时报. 2006.11.22第10版.。我国的电子银行业务始于90年代后期，经历了从无到有、从小到大的发展历程，目前已初步建成一套较为完整的包括网上银行、电话银行、手机银行、自助银行等渠道在内的电子银行服务体系。我国电子银行业务虽然近几年得到了迅速发展，但是较之国外同行，电子银行在产品特

4、色，经营理念以及管理水平上都还存在较大差距，存在的风险难以评估。随着我国加入WTO，外资银行将全面进军国内市场，在经营地域、业务范围和客户市场上与中资银行开展全面竞争，各银行的风险的把握是极其必要的。因此，对我国电子银行进行风险评估就成为国内商业银行把握机遇，降低风险的首要途径。本文在分析我国电子银行风险的基础上，建立了包括董事会/管理层风险、关键技术风险、客户层风险及固有风险四类51项评价指标，并提出一种我国电子银行风险综合评价模型，帮助我国电子银行规避风险，提高国际竞争力。2 电子银行风险分析风险是损失发生的不确定性。银行风险是指在金融领域，由于风险因素诱发风险事件而导致银行损失的可能性。

5、关于银行风险的分类，普遍为学术界所接受的是巴塞尔银行监管委员会在1997年9月颁布的有效银行监管的核心原则中对银行风险的分类，即：信用风险、国家风险、市场风险、利率风险、流动性风险、操作风险、法律风险和声誉风险这八类风险。提出通过评估风险、管理与控制风险、监测风险来进行风险管理。关于电子银行的风险，巴塞尔委员会认为，在电子银行业中，因特网及其它各种电子传送渠道仅是作为一种产品和服务的提供途径，当银行借助其开展业务时，并不产生新的风险类型，但给银行业经营风险带来了新的内容，引发风险的因素更多地与技术操作联系在一起。2001年，巴塞尔委员会发表了电子银行风险管理原则(Risk Management

6、 Principle for Electronic Banking)，将电子银行中与技术相关的风险归结为：操作风险、声誉风险、法律风险和其他风险。美国财政部货币监理署在1999年10月发布的总监手册一互联网银行业务中将电子银行的风险概括为九大类，即：信誉风险、信用风险、流动性风险、价格风险、合规性风险、利率风险、汇率风险、交易风险和战略风险。我国电子银行监管机构中国银监会则认为，电子银行业务主要存在两类风险，一类是系统安全风险，主要是数据传输风险、应用系统设计的缺陷、计算机病毒攻击等；另一类是传统银行业务所固有的风险，如信用风险、利率和汇率风险、操作风险等，但这些风险又具有新的内涵。从不同的角

7、度对电子银行风险的分类不尽相同，一般而言，电子银行的风险可以分为两大类：电子银行的一般风险和特殊风险。2.1 电子银行风险的特征分析电子银行的技术方式及手段决定了其风险的特征。由于电子银行在提供产品和服务时，必须以计算机为手段、以网络技术及其他各种电子传送渠道为途径，这就造成了电子银行的虚拟性。电子银行的风险在于，其虚拟的特性使其能够突破现有的银行监管体系，增加金融风险的放大效应。电子银行的风险主要表现为以下几个方面的特征：1.风险的扩散快、破坏力强高科技的网络技术所具有的快速远程处理功能，为便捷快速的金融服务提供了强大的技术支持，同时也加快了支付清算风险的扩散速度。相比传统银行，在电子银行中

8、流动的更多的是数字化信息与电子货币，一旦风险在非常短的时间内爆发时，风险的化解就很困难，也难以预防。在传统银行的“纸质”结算中，对于出现的偶然性差错或失误有一定的时间进行纠正，而在电子银行中出现这种错误则可以立即会引起巨大的风险和损失，加大了风险的扩散面和补救成本。2.风险交叉传染强传统金融监管可以通过分业经营、提高市场准入规则、设置市场屏障或特许方式，将风险隔离在相对独立的领域，而电子银行削弱了传统银行金融监管的这些属性，使得监管的物理隔离有效性大大减弱。银行、证券、保险的业务不断交叉，同时也使得风险极易在这三个领域里交叉传染，而且金融业客户的相互渗透和交叉，使金融机构间、国家间的风险相关性

9、日益加强。3.风险的责任难以区分随着信息技术不断融入银行业，电子银行业系统建设、运行和管理中常常会涉及到电信、电力、产品提供商、外包技术服务商等多个行为主体，有些则直接参与其中，因此，一旦发生如服务中断、系统崩溃、客户信息外泄等的情况时，往往难以区分事故的责任方。4.风险监管的难度高电子银行的交易过程是在网络上完成的，交易的虚拟化使金融业务失去了时间和地理限制，交易对象变得模糊，交易过程更加不透明，金融风险产生的形式更加多样化。由于被监管者和监管者之间信息不对称，金融监管机构难以准确了解金融机构资产负债的实际情况，难以针对可能的金融风险采取切实有效的金融监管手段，最终使得金融监管难度高、复杂化

10、。2.2 电子银行的风险电子银行的风险是指银行在提供电子银行的过程中服务过程中，由于不确定因素给银行带来损失的可能性。电子银行的风险划分可以由不同的标准。按照风险产生的原因按照风险产生的原因，对电子银行风险的可以做如下划分：2.2.1 电子银行的传统风险电子银行的传统风险是指银行所固有的风险，是最基本的风险。这类的风险在电子银行和传统银行中并没有本质上的区别。电子银行的一般风险主要包括以下几种：(1)信用风险信用风险是指债务人不履行合约而给债权人造成损失的可能性。在银行业中，信用风险是指由于借款人在到期日不能完全履行其还款义务或按约定行事而给银行带来的损失的可能性。与传统银行相同，电子银行也面

11、临着贷款业务所带来的信用风险，并且由于电子银行的特殊性，其所面临的信用风险将会更大。比如，当电子银行在通过各种电子通道实现了跨地域跨国界的信贷时，银行和客户不再是面对面的交流，使得银行更加难以判断借款人身份真实性、评判其信用评级、核实借款担保抵押等方面的信息。另外，相对于传统的银行信贷，电子银行的信贷业务中除了银行和客户两个基本的当事人外，还常常包括网络运营商、网络设备提供商等主体，当发生信贷风险时，往往会因为责任方难以明确辨别而产生经济纠纷，这些都会使信用风险大大增加。(2)流动性风险银行的流动性是指银行的某种资产不受损失的变现能力。流动性风险对于任何商业银行都是客观存在的，对于从事电子货币

12、和电子支付运作的电子银行而言，如果在电子货币的投资和电子支付业务中，电子银行本身没有足够的资金来满足偿还或支付，则将遭受流动性风险，如果情况严重的话，还将连锁引发信誉风险，甚至导致电子银行的破产和倒闭。(3)市场风险市场风险是指由于市场价格的变化，使得银行的资产负债表中的表内和表外头寸面临损失的风险。电子银行在存贷款业务、证券业务及电子货币支付中进行外币交易时，无疑将面临着较大的市场风险。(4)利率风险利率风险是指由于利率出现不利的变动而使银行蒙受损失的可能性。利率的不利变化，同样会使电子银行的资产相对其负债发生可能的贬值。另外，在开放的网络环境下，国际资金特别是国际游资的流动速度将更加迅速，

13、而这种期限较短、规模较大、流动性较强的资金在利率的变化下更容易对电子银行产生巨大的冲击，使电子银行面临较大的利率风险，进而对该国的国际收支和金融市场的稳定产生极大的不利影响。2.2.2 电子银行的特殊风险电子银行的特殊风险并不是电子银行所特有的风险。这类风险，如操作风险、法律风险、声誉风险等龙海燕,奚振斐,宋国乡. 基于模糊综合评判防范的电子银行内部风险分析J. 计算机应用技术. 2008, 24:151-157，在传统银行环境中也都存在，只是在电子银行环境中，这些风险更具特殊性。电子银行的特殊风险主要有以下几种风险：(1)技术风险技术风险是指电子银行由于技术采用不当，或是采用的技术相对落后所

14、造成的安全性风险或系统性风险。电子银行，特别是纯电子银行主要依靠信息技术作为其技术的支撑，无论是在构建初期、正常运行还是后期日常维护，电子银行都会因其所选择的相关技术而面临风险。在构建初期，电子银行机构决策层在制定银行战略发展计划时，如果选择实施此计划的相关技术有误或不当，将会面临严重的技术决策风险；当电子银行正常运行和维护时，如果采用的技术有缺陷或者相对落后，可能会因为某一个技术环节出现问题而使整个电子银行系统出现故障，甚至停止运行；或者因为技术上的原因而使得网络黑客得以入侵电子银行系统，这些都会给电子银行带来非常严重的安全性风险和系统性险，并且会连锁引发声誉风险和法律风险。(2)操作风险操

15、作风险是指由于系统可靠性、稳定性和安全性的重大缺陷而导致的风险。它可能是由于电子银行客户的疏忽，也可能是由于电子银行安全系统和产品的设计缺陷及操作失误潘春雄. 电子银行的风险分析与识别J. 云南财贸学院学报:社会科学版. 2005, 20 (4):81-82.。操作风险主要涉及电子银行账户的授权使用、电子银行的风险管理系统、电子银行与其他银行和客户之间的信息交流等。如在使用电子货币期间，网络安全系统的缺陷会令客户误认为是电子银行的欺诈行为，从而引发纠纷和风险；银行职员对业务的漫不经心，也有可能导致电子银行严重的操作风险，从而危及电子银行的总体安全。客户的疏忽也是造成操作风险的另一个主要原因。电

16、子银行会因为客户欠缺网络安全方面的知识而面临相当高的操作风险。例如，客户在某些没有安全防护措施的场合使用私人信息，如身份鉴定、银行账号等，容易被他人窃取而导致账号泄密，使客户和银行双方都蒙受损失。此外，如果银行职员和客户不能充分理解电子银行采用的不断更新的软件，进行误操作也会给银行或客户自身带来操作风险。当网上支付系统建成后，使用电子支票支付账目时，电子银行将摆脱物理状态(如各种建筑、柜台等)而存在。面对这一情况，会有客户因为没有了物理存在的银行而产生不安全感，进而对网络的信用产生怀疑。这种怀疑一旦蔓延开来，将会给电子银行带来另一种形式的操作风险。(3)法律风险法律风险是指违反或不遵从法律、法

17、规、规章、惯例、伦理标准而给电子银行造成的风险。银行本身所具有的高风险特征要求银行在运营中必须遵从相关的法律法规等方面的规定，而电子银行的创新性所产生的风险则对与其相适应的法律法规提出了更高的要求王莹. 浅析我国电子银行业务的发展J. 辽宁广播电视大学学报. 2008, 3:63-64。与迅猛发展的电子银行相比，法律环境显得不尽完善，各国在电子银行相关法律法规的制定上步伐不一，从而使得法律风险凸显。法律风险主要表现在以下几个方面：法律法规欠缺或不明确。例如，开展电子银行业务的金融机构中，越来越多的交易是电子交易形式，而由于这类新技术所依据的法律尚未制定或者不够完善，会使银行面临越来越多的法律风

18、险。网络洗钱。因犯罪分子利用银行的电子银行业务和电子货币系统从事犯罪活动，而使银行可能因此而违反洗钱等有关法律胡颖. 试析电子银行业务反洗钱监管难点及对策J. 金融与经济. 2007, 7:83-84，从而产生法律风险。证书授权风险。如电子银行机构的CA认证，电子银行机构可能会由于充当中介角色而被拖入各种法律纠纷中，从而产生法律风险。(4)战略风险美国财政部货币监理署OCC将战略风险定义为因决策失误、决策的实施不当或对行业变化缺乏响应而对银行造成的不确定性(1998)。为实现战略目标，一般需相关的IT资源来配套，包括有形资源(如计算机硬件、软件、传输网络等)和无形资源(如管理能力和才能等)，当

19、银行管理部门未能恰当的计划、管理和监督与信息技术相关的产品、服务、过程和传送渠道时，信息技术的应用就会产生战略风险。另外，如果管理部门没有理解、支持或应用Internet技术，而该技术对银行的竞争能力又是至关重要时，或银行使用了某项不可靠的技术时，也会产生战略风险。(5)声誉风险声誉风险是指负面的公众舆论而导致银行资金或客户流失的风险杨宏伟. 电子银行的风险环节与风险防范J. 中金融电脑. 2008, 3: 34-36 。与传统银行相比，电子银行的声誉风险更具特殊性：负面的公众舆论会借助网络迅速的扩散而使声誉风险迅速增加。声誉风险几乎和其它所有的风险相关联，只要是由于某种或某些风险所带来的不利

20、或损失情况被公众所获知，则无疑会连锁引发声誉风险。声誉风险可以表现为不同的轻重程度：因电子银行本身的原因而给客户带来短暂的不便，如银行系统故障导致客户短期内无法登录、支付等，使客户不满度增加，则或多或少会产生声誉风险（尽管程度可能比较轻微）。如果出现问题后银行解决不力，则声誉风险将会加大，如果因为银行系统严重故障甚至系统崩溃等情况而给客户带来损失，则会引起严重的声誉风险，甚至将引起客户集体退出的严重后果，从而使银行蒙受巨大的损失。(6)外包风险外包风险是指金融机构在技术上依靠外部的技术提供商等机构而产生的风险。金融机构在选择不同的外包商时会面临不同的外包风险；金融机构在与外包商合作时，因为沟通

21、不力而导致外包商设计错误，也会给金融机构带来外包风险；外包商将与金融机构合作中所掌握的如客户隐私等方面的信息有意无意泄露给他人，可能会给银行带来另一种类型的外包风险，如连锁产生法律风险。(7)跨境风险跨境风险指金融机构在开展跨境业务后因面临不同的法律法规而产生的风险。跨境风险可能会产生综合风险，包括法律风险、信用风险及国家风险等。例如，当银行处理跨国界的客户交易时，它可能面临着不同的法律法规要求，常常会因为违反了法律而产生法律风险：通过电子银行接受来自其他国家客户的贷款申请，而使用国内客户信用评估系统，会面临信用风险；当银行与国外服务提供商或外国参与者发生业务时，因外方可能由于经济、社会和政治

22、因素而无法履行其义务，从而可能会面临国家风险。2.2.3 电子银行的风险内容和管理措施总之，在网络环境下，网络银行仍然存在传统银行所具有的各种风险，也仍然可能发生传统银行所具有的危机或灾难。但是，在网络环境下，电子银行因其信息服务性、数字性、技术性等特点，因而可能具有比非网络环境下的银行更大的风险，可能遭受更大的损失。根据巴塞尔银行监管委员会，Risk Management for Electronic Banking and Electronic Money Activities，March 1993.规定，电子银行风险的类型、内容、表现、影响及风险管理措施如下：操作风险：未经授权的访问;雇

23、员欺诈;伪造电子货币;服务提供商风险; 系统退化;职员及其管理技能落伍; 客户安全经验不足;客户对交易抵赖。l 可能的表现形式：黑客进入银行内部系统；第三方未经授权截取客户信息；使银行系统感染病毒；故意破坏银行的系统和数据；雇员修改数据、从银行账户中提取资金、从记录中获取信息；窃取智能卡；犯罪人篡改或复制电子货币，不支付而获取物品或资金；服务提供商没能提供银行所希望服务；在系统、数据完整性或可靠性方面存在缺陷；交易过程的迟滞或中断；在系统、数据完整性或可靠性方面存在缺陷；快速的技术变化使管理层和职员不能完全理解所采用的新技术或技术升级的特点；在非安全电子传输渠道中使用个人信息犯罪者利用客户泄密

24、访问客户账户；客户否认自己完成的交易，要求退款。l 对银行的潜在影响：丢失数据；客户信息被窃取或篡改；内部计算机系统主体失效；系统修复费用开支；对外界形成不安全的印象；补偿客户损失开支、重构客户数据库的开支；未收到预付资金而兑现电子货币可能造成损失；客户对银行失去信任；法律制裁和负面宣传；银行为伪造的电子货币承担责任；修复受损系统的开支；客户认为银行应为服务提供商风险负责；负面的公众反应；错误的交易导致法律问题，如诉讼；解决问题的开支；新技术实施差；无法提供后续支持；在系统、完整性或可靠性性存在不足；未经授权的交易造成资金损失；为证明客户授权了该笔交易而发生的开支；不能提供证明而造成的资金损失

25、。l 可行的风险管理措施：侵入测试；监视系统发现使用中的异常；通讯安全措施(防火墙、口令管理、加密技术、对终端用户的正确授权)；内部系统病毒检测，不间断监控；适当监督新员工的策略；设定内部控制和责任制；雇员业绩的外部审计；适当控制智能卡的生产、存放；监视跟踪个人交易，在中央数据库中维持连续记录，在储值卡和商户硬件中嵌入防篡改设备，实施审计记录；降低装载，减少伪造货币对犯罪人的吸引力；与服务提供商签合同之前，充分考虑风险；在服务提供尚合同中明确性能标准、应急方案、审计、检查条款；与服务提供商一起制定备份计划，与其他备选的提供商签订合同，制定应急计划；定期审查现有软硬件性能；制定责任制，明确系统和

26、设备的更新职责；向客户说明在非安全的交易中保护个人信息的重要性；在产品和服务中采取安全措施；实施安全措施(比如个人识别密码)，提高客户鉴别能力；对交易实施审计记录。声誉风险：重大的，普遍的系统缺陷; 对安全性的重大破坏; 与另一机构相同或类似系统或产品中问题或误用。l 可能的表现形式：妨碍客户访问其资金信息或账户信息；把病毒带入计算机系统；黑客进入银行内容系统；由于另一银行的问题，客户怀疑本银行的电子货币真实性。l 对银行的潜在影响：客户停止使用该产品或服务；客户与银行中断业务往来，如果问题被公开，其他客户可能效仿；客户终止与银行的往来。l 可行的风险管理措施：在推出系统之前经过测试；制定备份

27、和应急计日，包括在系统中断期间解决客户问题的计划；侵入测试应急计划病毒检测；制定应急计划。法律风险：不确定或不明确的法律规定；洗钱；向客户披露的信息不充分；没能保护客户隐私；与银行互联的站点出现问题；发证机构风险；跨境经营带来的风险。l 可能的表现形式：银行因疏忽违反法律既定的消费者保护、反洗钱、数字签名法应用的不确定性；客户滥用银行的电子全良行系统或电子货币系统从事洗钱或犯罪活动；客户未完全理解其权利义务和争一议解决程序，使用中没有采取足够的预防措施；未经客户授权发布有关客户金融交易模式的信息；当银行网址与提供互补性产品的机构互联时，后者可能令银行客户失望或欺骗银行客户；以银行名义伪造证书；

28、未进行身份确定下向伪装成银行客户的个人发放证书；电子银行吸引外国客户，银行面临不同国家的法律要求；不同国家间的司法管辖权责任不清；银行发行或分销的电子货币可能在本土以外使用。l 对银行的潜在影响：银行法律方面的开支，或受到法律制裁；因未遵守“了解你的客户”法则而受到法律制裁；客户诉诸法庭，银行面临法律制裁；如果客户诉诸法庭，银行面临应诉开支；可能面临法律制裁风险；银行面临客户的诉讼；与撤销和重发证书相关的成本声誉受到负面影响；第三方信任伪造证书或以欺骗方式获得的证书，可能将银行告上法庭；银行未遵守本国以外的法律或法规；银行面临不可预测的法律事务开支。l 可行的风险管理措施：开展电子银行业务前，

29、确定哪些领域存在法律不确定性；对法律不确定性风险承受能力做出细致的判断；定期审查守法合规情况向立法机关请求解释；更新守法合规培训制定应急计划；设计客户鉴别和监视技术实施审计记录；设计策略和程序，发现并报告可疑行为；降低电子货币装载限额，减少洗钱吸引力；定期审查守法合规情况更新守法合规培训制定应急计划；恰当披露信息向公众分发产品说明制定一定程序以定期审查立法要求；培训员工理解客户困难。在可能产生风险的领域，仔细权衡走出法律底限之外的信息披露的成本收益；审查隐私权保护策略培训员工隐私权保护程序实施安全性措施；定期审查守法合规情况更新守法合规培训；全面理解互联其他站点的法律环境和安全性风险；恰当的消

30、费者信息披露；不在银行网站上对互联站点的产品和服务做出质量说明；实施恰当的安全措施和控制；确定跨国使用程度，就银行对司法权不确定性的反应能力做出判断；培训工作人员了解不同国家的法律环境。信用风险：远程贷款客户违约；电子货币发行违约。l 可能的表现形式：银行把授信扩大到常规市场以外的客户，无法获取数据或获取数据成本很高；银行拥有电子货币，但发行人破产。l 对银行的潜在影响：防备出现贷款违约的开支；银行须以自有资金保证支付。l 可行的风险管理措施：确保对远程客户放款的信用评估与传统客户要求一致；审计贷款决策及其程序；参与电子货币分销之前对发行机构适当评价；监控发行者的财务状况制定违约应急计划。流动

31、性风险：电子货币发行者流动性不足银行无法履行到期付款责任l 可能的表现形式：兑现电了货币需求突然增加。l 对银行的潜在影响：当银行寻求更高成本资金来源时造成损失；公众因流动性问题挤提或兑现电子货币；未满足兑现需求声誉受损。l 可行的风险管理措施：投资流动性资产，备有足额流动资金，应付巨额转账；开发应用监控系统；定期的、全面的审计。利率风险：金融工具利率变化不可预期；电子货币支付中接收外币产生的汇率风险。l 可能的表现形式：利率不利变化降低资产价值；专门从事电子货币业务银行发生问题；针对汇率小利变化，银行必须弥补损失。l 对银行的潜在影响：资产减值小可预期，导致银行不符合相关规定；流动性问题；对

32、收益造成负面影响。l 可行的风险管理措施：制定与银行风险协调的利率风险对冲等管理措施；制定汇率风险管理方案或对冲方案。市场风险：电子货币发行者流动性不足银行无法履行到期付款责任。l 可能的表现形式：兑现电了货币需求突然增加。l 对银行的潜在影响：当银行寻求更高成本资金来源时造成损失；公众因流动性问题挤提或兑现电子货币；未满足兑现需求声誉受损。l 可行的风险管理措施：投资流动性资产，备有足额流动资金，应付巨额转账；开发应用监控系统；定期的、全面的审计。在上述风险中，信用风险、流动性风险、利率风险和市场风险这四种风险对网络银行来说，同传统业务面临的这四种风险差别不是很大。差别比较大的主要是操作风险

33、和法律风险。其主要原因是网络银行依赖于现代网络技术及其运用，同时相关法律制度还不够健全。3 我国电子银行风险指标体系3.1 指标体系构建原则在电子银行实际运行过程中，有很多指标可以作为评价指标。而选择哪一种指标则取决于对风险类型的了解和识别，以及对风险最新决定因素的获得。可以信赖的风险指标不会传达错误的信号。根据国外电子银行技术风险监管的实践和我国电子银行技术风险的具体状况，综合考虑电子银行的复杂性及对安全性和可靠性等各方面的要求，在电子银行技术风险监管指标体系中要建立一套高效的指标体系，应遵循以下设计原则：1. 全面性原则技术风险监管指标体系必须对被检查机构的技术风险及其管理活动进行全面的、

34、毫无遗漏的反映。电子银行信息系统是一个由多层次、多部门组成的复杂系统，因此，所设计的指标体系应反映系统的层次性，既有反映系统层次间纵向联系的指标，也有反映同一层次的横向联系指标。2. 可计量性原则指标体系中的指标的计算方法应当明确，不应过于复杂。量化的指标体系使得不同金融机构的各级指标值能够相互比较，同一金融机构的各级指标值在不同时期之间也能相互比较。3. 可操作性原则指标体系应具有可操作性和实用价值，数据的获得应尽可能和技术风险现场检查同步，将指标体系的简明性和复杂性很好地结合起来。4. 互补性原则作为指标体系，单一指标的意义并不十分重要，重要的是整体指标的综合运用。只有各指标相互依存、互为

35、补充，才能客观、全面反映电子银行的风险状况。3.2 指标体系基于上述原则，我国电子银行风险评估指标体系共分三级指标，一级指标体现我国电子银行的风险的基本特征，共4项指标；二级指标是反映一级指标的关键要素，共12项指标；三级指标是反映二级指标的主要观测点（测度值），共51项指标，评价时只需测度和使用各三级指标的实际测度值。如图1所示。图1我国电子银行的风险评估指标体系考虑到评级指标有多个类别和多个层次的特性，我国电子银行风险指标体系结构可以采用多级指标形式，即在每一父类指标下又包含若干个子类指标。按照从属关系依次分为一级指标、二级指标、三级指标。我们把综合评级中的4个评级单项指标称为“一级指标”

36、。综合评级的分值由4个“一级指标”分值加权汇总求得。从单项评级模型上看，每个单项评级指标（一级指标）的分值又由其下的多个指标（二级指标）分值加权汇总得出。“三级指标”分值加权汇总得出“二级指标”的分值。4 指标权重的确定方法由于不同指标在风险评价中的重要程度不尽相同，因此应该根据具体情况考虑给不同的指标赋予适当的权重，以表明其重要性，指标越重要，其权重就越大。权重进行归一化处理，使之介于01之间，同一父类指标下的所有指标权重之和等于1；另外，所有一级指标的权重之和也要等于1。其中，一级指标、二级指标、三级指标的权重分别由权重1、权重2、权重3来表示。应该说明的是，随着我国对电子银行风险评估的加

37、强和重视，不同指标的权重大小应随着电子银行风险评估的变化情况和监管的重点与难点的变化而适时做出调整。成对比较是AHP的基石，在AHP给指标建立优先级时，每次必须成对比较两个指标的重要性程度姜启源,谢金星,叶俊. 数学模型M. 北京: 高等教育出版社. 2003。两个指标之间重要程度的标度采用19来测量，见表2。表2 重要性程度的标度含义标度含义1表示两个元素项比，具有同样的重要性3表示两个元素项比，前者比后者稍重要5表示两个元素项比，前者比后者明显重要7表示两个元素项比，前者比后者强烈重要9表示两个元素项比，前者比后者极端重要2，4，6，8表示上面相邻判断的中间值利用特征根法计算一级准则层对目标层的相对权重GUAN BAOCHYUAN, LO CHICHUN,WANG PING.Evaluation of information security related risks of an organization - The application of