國有商業銀行技術風險控制測度模型研究

［摘 要］ 金融信息化建設在我國商業銀行界取得了巨大的成功，而隨之而來的銀行技術風險也引起國有商業銀行界的格外關注。商業銀行技術風險是銀行信息化運作過程中所滋生的風險，融于商業銀行的各項傳統風險之中。銀行技術風險控制測度模型的設計是我國商業銀行提高信息化建設績效的前提，同時又可以促進傳統風險控制功能的改進，而URSIT框架對我國銀行業技術風險控制測度模型的建立具有較強的指導意義。探索性因子分析和驗證性因子分析可以為模型的可靠性和有效性提供實證檢驗，并揭示國有商業銀行信息技術風險控制中存在的若干現實性問題。

［關鍵詞］ 金融信息化；技術風險；軟件測試；信度檢驗；因子分析

［中圖分類號］F830.49［文獻標識碼］A［文章編號］1673-0194（2008）17-0066-04

一、銀行技術風險控制測度模型設計的理論基礎

銀行技術風險是指銀行在使用與計算機、網絡等信息技術相關的產品、服務、傳遞渠道和系統時，所產生或引發的銀行經營的不確定性或對銀行管理的不利因素［1］。美國各銀行監管機構和巴塞爾銀行監管委員會普遍認為：銀行技術風險主要存在于基于Internet等開放網絡環境的電子銀行系統中。西方國家商業銀行和監管當局，已經針對銀行技術風險的特點和危害，建立了比較規范的技術風險識別、評估、管理、控制和監管體系。其中，URSIT（Uniform Rating System for Information Technology）是美國聯邦機構金融檢查委員會（Federal Financial Institutions Examination Council，FFIEC）制定的與駱駝群（CAMELS）評級體系相一致的美國金融業統一的技術風險評級體系，主要是為了評估那些需要特別關注的金融機構和IT服務提供商的信息系統環境和運行狀況［2］。URSIT既可以協助檢查人員評估風險、起草檢查報告以抽取檢查過程中發現的問題，也可以掌握和了解金融機構和IT服務提供商對風險監管的重視程度，是否能夠充分認識到實施監管的必要性，又可以使檢查人員系統地評價金融機構和IT服務提供商的整體風險及風險管理情況，從而采取相應的監督政策。

URSIT由單項評級和綜合評級兩部分組成。單項評級是對被檢查機構在審計（Audit）、管理（Management）、開發與獲取（Development and Acquisition）、支持與交付（Support and Delivery）4個方面執行情況的評估［3］。通過單級評定，檢查機構可以評估金融機構或IT服務提供商識別、度量、監督和控制技術風險的能力。FFIEC在制定URSIT的4個評級單項時，參考了COBIT標準的4個域以及相應的IT控制目標，但是將COBIT的監控（M）、組織與規劃（PO）、獲取與實施(AI)、交付與支付（DS）4個域變成審計（A）、管理（M）、開發與獲取（DA）、支持與交付（SD）4個評價單項，縮寫為AMDS。

我國著名金融信息化專家、西安交通大學博士生導師張成虎教授在借鑒美國金融業統一的技術風險評級體系URSIT經驗和方法的基礎上，并參考國際上公認的信息系統安全與技術管理和控制標準COBIT的部分內容，結合我國銀行技術風險的特點，特別是銀行系統信息技術應用的實際水平和存在的問題，首次較全面地設計了我國銀行技術風險評級體系［4］。該體系主要從銀行監管部門的角度對銀行信息化建設中涉及的各種業務、技術流程進行全面測評，為監管部門的監管活動提供有效的平臺。

在這一技術評級體系的基礎上，本研究總結了我國近年來金融信息化建設中新的發展成果、方向及障礙，從銀行信息化管理績效測評的角度設計了能夠反映我國商業銀行技術風險控制效率的結構模型，并結合我國商業銀行信息化建設的現實狀況對模型體系進行實證檢驗，以對我國銀行信息化建設的進一步發展提供有益的借鑒和指導。

二、國有商業銀行技術風險控制測度模型的生成

1． 國有商業銀行技術風險控制測度模型的需求分析

我國商業銀行技術風險控制測度模型的設計除了遵從常規指標設計的相關原則（全面性、獨立性、清晰性、可計量性、可操作性、互補性、適應性、可擴展性）之外，還要考慮如下的幾個問題：

首先，要明確評級主體，確定監管方式。從管理體制上講，我國現行的銀行技術風險評級的主體應當是銀行監管當局［5］。與傳統銀行監管相一致，銀行技術風險的監管可分為現場檢查和非現場監管，而銀行技術風險的評級屬于非現場監管的范疇，通過技術風險評級，可以明確技術風險現場監管的重點和對象。從經營機制上講，評級主體應當是銀行內部的相關職能部門，評級目的是為了提高信息運行的穩定性、安全性和可靠性。通過技術評級可以提高全員的技術風險意識，加強對薄弱技術環節的重點監控，提高系統的整體運行質量。而本測評系統的評級主體確認為我國商業銀行的職能管理部門和決策領導層，同時適當兼顧監管機構。

其次，制定技術背景與測評粒度較均衡的測評體系。對銀行信息技術風險控制的測評和實施不但要求參與人員掌握傳統的業務知識及電子交易、電子認證、電子貨幣等基礎金融信息化知識，還更應該具備一定的計算機、網絡與系統體系結構的專業知識，才能保證測評體系在實施過程中被有效地執行。然而，目前情況下，我國的銀行監管部門與銀行業務部門都缺乏綜合的銀行信息系統測評能力，復合型人才嚴重匱乏，無法做到對專業性較強或較微觀的指標體系的清晰理解與把握，造成嚴重的信息失真，降低調查樣本的信度與效度。所以，測評體系的設計不宜過于微觀，信息技術背景也應保持在適當的范圍之內，否則將使監管評定人員或業務評定人員無所適從。隨著我國銀行技術風險控制經驗的成熟、商業銀行計算機應用水平與能力的改進，以及全體業務人員信息化素質的提高，再逐步細化和完善現有的測度指標體系。

最后，要針對一定范圍的評級對象和系統類型來設計。銀行信息系統是一個涉及計算機技術、通訊技術、網絡技術、金融理論與實務、現代金融管理等多個學科的復雜系統，其信息技術風險隨著信息技術的進步而日益復雜。不同的系統面對的風險復雜程度有很大差別，因此，評價系統的設計一般要以特定類型的系統評價為目標。對于傳統銀行信息系統，包括綜合業務系統、信用卡系統、大額支付系統和小額支付系統，由于其軟硬件環境相對封閉，業務應用相對成熟，已經積累了一定的風險管理和控制經驗，風險相對較低，因此在評價體系設計時可適當降低對傳統信息系統的傾斜度。而對于電子銀行系統，由于其開放性和虛擬性的特點，面臨的技術風險較大，因而評級體系的設計要傾向于電子銀行系統的風險評價。但本研究以包括傳統信息系統和電子銀行系統在內的綜合信息系統為測評對象。

本研究在URSIT框架及其衍生體系的基礎上，借鑒于國內銀行風險評價體系的研究成果，并密切結合于我國商業銀行的信息化實踐，將我國銀行技術風險控制體系劃分為4個要素（即統計學上的因子或構面）：審計（ξ1）、管理（ξ2）、開發與獲取（ξ3）、支付與交付（ξ4）。審計（A）反映了審計人員和審計工作的執行狀況；管理（M）是指管理者面對IT相關活動所作的工作和表現出的風險管理能力，以及與IT相關的法律法規等；開發與獲取（DA）反映了在IT開發、獲取、實施以及變更過程中涉及的質量、管理和技術問題；支付與交付（SD）反映了IT部門或與IT部門所提供的服務等相關的問題，以及業務連續性和IT服務提供商的情況。

審計要素包括銀行內外部審計人員及時發現并向董事會和管理層報告出現風險能力的審計類指標，還應反映出內外部審計人員提高安全性，進行合理、有效經營的能力［6］。管理要素主要反映董事會和管理層對產生IT風險的有關方面實施管理的狀況，包括戰略計劃、質量擔保、項目管理、風險評估、基礎設施建設體系結構、終端用戶的運算能力、第三方服務提供商的合同、機構和人力資源等。開發與獲取要素要能夠反映被評估機構識別、獲取、配置以及維護信息技術解決方案的能力，要根據所使用軟硬件的變動情況，重點管理所有的或部分的業務流程。這些業務包括銀行及其服務提供商所進行的軟硬件購買、系統開發、設計規劃服務以及其中幾項的結合。支付與交付要素反映了被評機構在一個安全的環境下提供技術支持與服務的能力，一般包括如下要素：能否獲取足夠的技術和培訓，管理機構存在的問題，對事故、操作、系統性能、設備和數據管理的能力。銀行信息系統是建立在計算機網絡環境基礎上的，信息技術本身的脆弱性決定了其安全可靠的重要性，這里的安全可靠主要指系統在運行時的信息安全性、系統可靠性和業務連續性等。

2． 國有商業銀行技術風險控制測度模型的確立

根據以上分析，可確立我國國有商業銀行技術風險控制測度模型，如表1所示。

三、模型驗證

1． 數據收集

本文采用七點量表制對16個觀察指標進行行業調查，在全國范圍內的四大國有商業銀行獨立核算單位中選擇樣本201份，調查對象全部為各單位的高層管理人員。這些樣本分布于京、津、滬、陜、豫、渝、皖、甘、新、滇、川、粵、蘇、浙、湘、蒙等16個省市自治區，可以認定在地域上能夠有效地代表我國商業銀行總體的分布情況；其中中國工商銀行44份、中國建設銀行56份、中國農業銀行51份、中國銀行50份，可以認定在結構上能夠代表我國商業銀行的總體分布情況。

通過電子問卷、郵寄問卷、電話采訪、面談等形式，向201家調查對象尋求數據支持。本次調查共收回有效樣本數據201份，有效回收率為100%，滿足調查研究中樣本回收率不低于20%的要求。

2． 探索性因子分析

探索性因子分析的目的是獲得每個測量題項與因子之間（指標與要素之間）的因子負荷量（Factor Loading），因子負荷量越高，表明測量題項與因子之間的關聯性越強。探索性因子分析的結果是將相關性較高即聯系比較緊密的變量分在同一類中，而不同類的變量之間的相關性則較低，那么每一類的變量實際上就代表一個本質因子，或者一個基本結構，而探索性因子分析就是尋找這種類型的結構。

在進行探索性因子分析之前，分別對4個要素進行了KMO測度和Bartlett球體檢驗。KMO值愈大表示變量間的共同因素越多，越適合進行因子分析。Kaise（1974）指出：當KMO值小于0.5時，不適合進行探索性因子分析。同時，Bartlett球形檢驗值的顯著性也是判斷樣本是否適合進行因子分析的條件。本研究結果顯示KMO值在0.732~0.801之間，且相關系數矩陣中存在大量顯著相關關系（α=0.000），因此該樣本符合進行因子分析的條件。

本研究中因子提取方法為主成分法（Principal Component Analysis），旋轉方法為方差最大法（Varimax），因子負荷截取點位0.5，即對于任一因子上負荷都低于0.5或在多個因子上負荷都大于0.5的題項進行刪除。

本研究在總樣本中隨機選取139份樣本數據進行探索性因子分析，因子分析結果如表2（旋轉迭代5次）。研究結果表明：樣本結構的有效性較強，每個指標在相應因子上的負荷量均大于0.5的臨界值。

3． 信度檢驗

信度分析是為了驗證各個觀察指標的可靠性（Reliability）。可靠性是指不同測量者使用同一測量工具的一致性水平，用以反映相同條件下重復測量結果的近似程度。可靠性一般可通過檢驗測量工具的內部一致性（Internal Consistency）來實現。信度檢驗的常用方法是L.J.Cronbach所創的α系數來衡量，α系數值介于0~1之間。一般認為，α系數值大于0.5就是可以接受的，然而對有些探索性研究來說α值在0.5~0.6之間就可以接受（李懷祖，2004）。如果某一構面或因子的信度值非常低，則說明受訪者對這些問題的看法相當不一致。隸屬于各個因子的題項的Item-to-Total相關系數均應大于0.4。由表2可知，本文研究樣本的信度較好。

4． 驗證性因子分析

效度檢驗的目的是衡量一個量表所測量的事物特征是否確是真正要測量的，而本研究中主要運用驗證性因子分析進行效度檢驗。

驗證性因子分析是結構方程模型（SEM）的一種特殊形式［7］。結構方程模型是基于變量的協方差矩陣來分析變量之間關系的一種統計方法，是一個包含面很廣的數學模型，用以分析一些涉及潛變量的復雜關系。當SEM用于驗證某一因子模型是否與數據吻合時，稱為驗證性因子分析。

驗證性因子分析要注意兩點情況：樣本量與指標數之比應大于5∶1；用于驗證性因子分析的樣本集合與用于探索性因子分析的樣本集合的差異性越大，則因子分析的最終效果越好。因此，本研究在樣本集合的選取上嚴格遵從這兩項約束。本文采用了SPSS 11.5和LISREL 8.7進行驗證性因子分析（固定方差法），得因子負荷參數列表如表3。

得因子協方差矩陣如表4（修正后）。

同時得模型擬合指數列表如表5（修正后）。

所以，模型擬合效果較好，具有較高的收斂效度，無需進行繼續進行修正［8］。

四、結 論

（1）從CFA的因子負荷列表可知，指標X₂、X₃、X₉、X₁₂、X₁₄等通過了探索性因子分析的驗證，但沒有通過驗證性因子分析的驗證，再結合我國商業銀行信息技術風險管理中的現狀，可以判斷：我國銀行業技術風險管理過程中對內部審計、外部審計、安全策略沒有高度重視，軟件分發效率較低、客戶服務能力不足。

（2）由因子相關性矩陣可知，各因子之間的相關系數普遍較低（≤0.54），說明我國銀行業信息技術風險控制的整體水平較低，沒有進入各種控制要素高度協調的管理狀態，具有較大的可拓展空間。也就是說，各種控制措施在孤立性地發揮作用，相互之間缺乏促進效應與融合效應，沒有形成有效的合力。

主要參考文獻

［1］ 張成虎，孫景，李淑彪. 銀行技術風險監管［M］. 北京：經濟管理出版社，2005.

［2］ 張成虎，孫景. 我國銀行技術風險評級體系研究［J］. 金融論壇，2006（2）：15－22.

［3］ 張成虎，張峰. 銀行IT外包及其風險控制［J］. 中國金融電腦，2007（4）：4－7.

［4］ 孫景，張佶，張成虎. 我國銀行技術風險指標體系設計［J］. 華南金融電腦，2004（12）：2－7.

［5］ 張愛莉，張成虎，李淑彪. 對我國網絡銀行制度創新的思考［J］. 人文雜志，2004（5）：207－211.

［6］ 張成虎，胡秋靈，楊蓬勃. 金融機構信息技術外包的風險控制策略［J］. 當代經濟科學，2003（3）：8－21.

［7］ 侯杰泰，成子娟，鐘財文. 結構方程式之擬合優度概念及常用指數之比較［J］. 教育心理學報（香港），1996（6）：77－82.

［8］ 侯杰泰，溫忠麟，成子娟. 結構方程模型及其應用［M］. 北京：教育科學出版社，2004.