我国银行技术风险评级指标体系

（三）我国银行技术风险评级指标体系

1.指标的设计原则

实际中有很多指标可以作为脆弱性指标。而选择哪一种指标则取决于对风险类型的了解和识别，以及对风险最新决定因素的获得。可以信赖的风险指标不会传达错误的信号。根据国外银行技术风险监管的实践和我国银行技术风险的具体状况，综合考虑银行信息系统的复杂性和对安全性等各方面的要求，在银行技术风险监管指标体系中要建立一套高效的指标体系，应遵循以下设计原则：

（1）全面性原则。技术风险监管指标体系必须对被检查机构的技术风险及其管理活动进行全面的、毫无遗漏的反映。信息系统是一个由多层次、多部门组成的复杂系统，因此，所设计的指标体系应反映系统的层次性，即有反映系统层次间纵向联系的指标，也有反映同一层次的横向联系指标。

（2）独立性原则。指标体系中同一层次的指标间必须相互独立，指标间的相互重叠和包含应尽可能地少，不能存在因果关系，不能从一项指标导出另一项指标。

（3）可计量性原则。指标体系中的指标的计算方法应当明确，不应过于复杂。量化的指标体系使得不同金融机构的各级指标值能够相互比较，同一金融机构的各级指标值在不同时期之间也能相互比较。

（4）可操作性原则。指标体系应具有可操作性和实用价值，数据的获得应尽可能和技术风险现场检查同步，将指标体系的简明性和复杂性很好地结合起来。

（5）互补性原则。作为指标体系，单一指标的意义并不十分重要，重要的是整体指标的综合运用。只有各指标相互依存，互为补充，才能客观全面反映金融机构等的风险状况。

（6）适应性原则。由于技术风险在不同的技术环境、不同的国家地区、不同时期的成因和表现不同，因此，指标必须依据具体情况制定。

2.我国银行技术风险评级指标需求分析

参考COBIT标准，借鉴美国URSIT的设计思想和内容，结合我国银行技术风险的特点和现状，我国银行技术风险指标体系应该满足以下风险管理要求。

（1）应该包括反映银行整体信息技术审计工作充分程度的指标。其中包括内、外部审计人员及时发现并向管理层和董事会报告出现风险能力的审计类指标。还应该反映出内外部审计人员提高整体运作安全性、稳健性和有效经营的能力。

（2）银行管理水平始终是银行信息系统得以成功开发和安全可靠运行的关键。在技术风险评估中应该检查被评级机构董事会和管理层负责IT的获取、开发及运行时所表现出来的管理能力。董事会和管理层应该对产生IT风险的有关方面实施有效的管理，包括战略计划、质量担保、项目管理、风险评估、基础设施建设体系结构、终端用户的运算能力、与第三方服务提供商的合同、机构和人力资源等。

银行技术风险包括法律风险。参考COBIT框架，在管理大类中应该包括法律风险控制指标：法律法规意识及执行情况、与第三方的合同与协议签署情况。根据我国目前的现状，与电子银行相关的法律法规还不够完善，合规性检查的重要程度相对要低一些。因此，设计被评级机构的法律指标时可以给予较小的权重。随着相关法律法规的不断完善，合规性检查的重要性会不断提高，在必要时可调整其权重。

（3）开发与获取类指标要能够反映被评级机构识别、获取、配置以及维护信息技术解决方案的能力。要根据所使用软、硬件的变动情况，重点管理所有的或部分业务流程。这些业务包括由银行及其服务提供商所进行的软硬件的购买、系统开发、设计规划服务以及其中几项的结合。这部分评级不仅反映了银行的系统开发水平、掌握与开发信息技术相关的风险管理的能力，还反映出董事会和管理层更新信息技术的能力。

（4）应包括反映被评级机构在一个安全的环境下提供技术支持与服务能力的指标。这些因素包括：是否获取足够的技术支持和培训，还包括管理机构存在的问题及对事故、操作、系统性能、设备和数据管理的能力。

银行信息系统是建立在计算机网络环境基础上的，信息技术本身的脆弱性决定了其安全可靠性的重要性。这里的安全可靠性主要指系统在运行时的信息安全性、系统可靠性、业务连续性等。根据我国银行系统目前的技术风险状况，我们认为，现阶段我国银行信息系统的风险主要表现为安全性风险。因此在考虑监管指标时，首先应该将安全可靠性指标放在十分重要的位置，给予较大的权重。根据URSIT体系，我们将系统安全可靠性指标仍然放在了支持与交付评级单项中。如果需要强调其重要性，可以考虑将安全性单独列出作为一单项指标。

3.银行技术风险评级指标体系结构

（1）多级指标结构。考虑到评级指标有多个类别和多个层次的特性，我国银行技术风险指标体系结构可以采用多级指标形式，即在每一父类指标下又包含若干个子类指标。按照从属关系依次分为一级指标、二级指标、三级指标、四级指标等。如果一个指标下又包含多个指标，则该指标称为一个指标项，否则称为一个指标。

我们把综合评级中的4个评级单项指标称为“一级指标”。综合评级的分值由“一级指标”指标加权汇总求得。从单项评级模型上看，每个单项评级指标（一级指标）的分值又由其下的多个指标（二级指标）加权汇总得出。“三级指标”加权汇总得出“二级指标”的分值。如果“三级指标”仍不能独立说明情况，还需要其他多个指标来辅助，那么就需要制定“四级指标”。单项评级模型中的指标级数可根据需要来定。我国银行技术风险评级指标体系如表5－6所示。表5－6中的指标可根据我国银行发展过程中的具体情况做相应的增减。

（2）指标权重的确定。由于不同指标在技术风险监管中的重要程度不尽相同，因此应该根据具体情况考虑给不同的指标赋予适当的权重，以表明其重要性。同一父类指标下的所有子指标权重之和等于1。另外，所有一级指标的权重之和也要等于1。在表5－6中，一级指标、二级指标、三级指标、四级指标的权重分别由权重1、权重2、权重3、权重4来表示。应该说明的是，随着我国对银行技术风险监管的加强和重视，不同指标的权重大小应随着银行技术风险的变化情况和监管的重点与难点的变化而适时做出调整。

指标权重的确定对最终的评级结果很重要，表5－6中所给出的指标权重仅供参考。如果一个权重大小选择不恰当，可能对整个评级产生很大的负面影响。例如，如果对某三项指标的分值评为0、50、100，同时主观设定三项权重分别为0、2/3、1/3，加权汇总后为50。但实际上该领域可能为高风险区域，原因在于第三项指标的潜在危害较大，应赋予较大权重，比如说：0、1/3、2/3，加权平均后为83.33。可见，这种完全由主观从总体上设定指标的方法是存在缺陷的。以下引入层次分析模型和熵值法来解决指标的权重选择问题。

①层次分析法

第一，层次分析法原理。对诸多不易定量测量的指标，人的主观选择（当然要根据客观实际）会起着相当重要的作用。他们凭经验和知识进行判断，但当指标较多时给出的结果往往是不全面和不准确的。如果只是定性的结果，那么又不容易让人接受。T.L.Saaty等人在20世纪70年代提出了层次分析法（Analytic Hierarchy Process，AHP），这是一种定性和定量结合、系统化的、层次化的分析方法。

针对某层次结构模型，层次分析法的基本步骤如图5－4所示。

层次分析法不是把所有指标放在一起比较，而是运用专家的知识、经验、信息和价值观对同一层次有关因素的相对重要性进行两两相互对比，反映的是人们对定性因素的比较判断。且对比时采用相对尺度，以尽可能减少性质不同的指标相互比较的困难，提高准确度。

图5－4　层次分析法的基本步骤

令A为成对比较矩阵：

1～9比较尺度见表5－7所示。

表5－7　1～9尺度a_ij的含义

第二，层次分析法的权重计算方法。此处采用的方法实际上是将A的列向量归一后取平均值，作为A的特征向量，即权向量。步骤如下：

步骤一：将A的每一列向量归一化得：

步骤二：对按行求和得：

步骤三：将归一化，其中，则W=（w₁，w₂…，w_n）^T即为近似特征向量。

步骤四：计算，作为最大特征根的近似值。

步骤五：一致性检验。

Saaty将将定义为一致性指标。CI =0时A为一致阵; CI越大A的不一致程度越严重。为了确定A的不一致程度的允许范围，Saaty引入所谓随机一致性指标RI作为衡量A的一致性指标CI的标准。RI的数值见表5－8。

表5－8　随机一致性指标RI的数值

对于n≥3的成对比较阵A，将它的一致性指标CI与同阶（指n相同）的随机一致性指标RI之比称为一致性比率CR。当时认为A的不一致程度在允许范围之内，可用其特征向量作为权向量。

第三，层次分析法权重计算实例。设某二级指标下3个三级指标的相对重要性构成的成对比较矩阵如下A：

因为

所以，通过一致性检验，特征向量w = ［ 0.5870.3240.089］^T即为所求的权向量。

②熵值法

第一，熵值法原理。在信息论中的信息熵是表示信息无序度的度量，信息熵越大，信息的无序化程度越高，其信息的效用越小;反之，信息的熵越小，信息的无序化程度越小，信息的效用值越大。

将熵值法的基本原理应用到指标确定则可以为单项指标所形成的时间序列数据指标值的差异程度越大，则提供的信息量越大，那么在综合评价中就应赋予较大的权重，如果某项指标的指标值全部相等，则该指标在综合评价中不起作用。所以，可以根据各项指标值的变异程度，利用信息熵这个工具，计算各指标权重，为多指标综合评价提供依据。

就风险评级体系而言，如果某一风险指标对于同一级其他指标其差异程度较小，这说明该风险指标评价银行风险状况或风险管理能力的作用也较小，而对应的信息熵较大;如果某一风险指标对于同一级其他指标其差异程度较大，这说明该风险指标评价银行风险状况或风险管理能力的作用也较大，而对应的信息熵较小。也就是说，风险指标差异程度的大小反映了该指标在整个风险评级指标体系中的评价地位，而风险指标差异程度的大小又完全可以用“信息熵”反向度量。因此，完全可以根据风险指标差异程度，以信息熵为工具，给各风险指标赋予恰当的权重，从而进行多指标的风险评级。熵值法的基本步骤如图5－5所示。

第二，权重计算方法。设某组最底层指标评分为x_ij，i表示该指标上一级指标的序号，j表示该指标在该组中的序号。例如，若给指标“软硬件购买计划”评分，由于它是二级指标“确定技术方向”下的第二个三级指标，那么评出的分值就可记为M₁₂。

图5－5　熵值法确定权重的基本步骤

第一步，由于各指标的优劣存在差异，所以必须对原始数据做x_ij归一化处理，计算比重p_ij。 m是上一级指标的总数目，n是第i个指标下的指标总数。

第二步，计算第i项指标的熵值e_i。

其中，k＞0。如果x_ij对于给定的i全部相等，那么，p_ij= 1/n。此时，e_i取得极大值，即= kln n（i = 1，2，…，n）。若设k = 1/ln n，则0≤e_i≤1。

第三步，计算第i项指标的偏差度g_i。

对于给定的i，指标在评级体系中的作用越小，越接近完全无序状态， e_i越大，指标值的偏差度应越小，因此定义g_i= 1－ e_i（i = 1， 2， …， m）

第四步，定义权重值。

举例：假设现在计算M₁的权重（M₁是指“管理”单项的第一个二级指标），那么，参与计算的原始数据就是该二级指标下属的各三级指标M₁₁，M₁₂， M₁₃。通过这三个数据分别算出p₁₁， p₁₂， p₁₃，然后分别计算e₁、g₁，最后得出w_M1。这就是“管理”域的第一个二级指标的权重。根据此方法依次算出w_M2、w_M3，再加权汇总，即得出“管理”单项的评级分值。

③两种权重计算方法比较

层次分析法基于专家群体的知识、经验和价值判断，并且对专家的主观判断做了进一步数学处理，具有一定科学性，但专家经验、知识的局限性等主观因素仍未被消除。它确定的是指标自身的权重。

熵值法的优点在于该方法最大限度地利用了样本数据自身的信息特征来计算各目标的权系数，克服了目前风险评级价中的风险指标主观赋权的局限性，因而是较为客观的权系数赋权方法，但缺乏各指标间的横向比较。且计算出的是上一级指标的权重，即如果想确定哪级指标的权重，就必须在该指标下再设计一级指标。

因此，建议在具备完整样本数据时，采用熵值法，并将其结果通过指标之间的横向比较做适当修正。当指标体系含有大量定性指标时，建议采用层次分析法。

（3）评级方法。监管人员在进行检查时，可根据被检查机构对每一个指标的执行情况逐项打分。打分的范围是0～100分。85分以上表示执行情况好;75～85分表示执行情况良好;60～75分表示执行情况中等;50～60分表示执行情况较差;50分以下表示执行情况差。父类指标的分值是其所有子类指标的加权汇总值。例如，一个二级指标的分值=Σ（权重3×分值3）。必须强调的是，Σ的求和范围只是该二级指标类下的所有指标。

综合评分=Σ（权重1×分值1）。即4个一级指标的加权汇总值。综合评级是在综合评分的结果得出的。综合评级的1～5级分别代表银行风险状况或风险管理状况良好、一般、关注、欠佳、差。综合评级的标准为：得分在85分以上为正常机构，评为1级;75～85分为基本正常机构，评为2级;60 ～75分为关注类机构，评为3级;50～60分为严重关注类机构，评为4级;50分以下者为问题机构，评为5级。

（4）指标说明。必要时可在指标项说明栏内对相应的指标项加以解释说明。

这一指标体系结构的优点在于它不仅可以得到综合评级结果，而且可以具体得到任何一类指标的得分情况。这将有利于识别不同类型、不同级别的风险，有利于更好地监管风险。

本节我们仅仅给出了我国银行技术风险评级体系的一个框架，在具体实施时还有许多需要考虑的细节问题。例如，需要明确监管主体、确定检查周期、细化评级操作步骤;要考虑如何将现场检查与非现场检查合理地应用到技术风险评级中;要根据信息技术发展的情况及时修订评级指标;要根据监管人员的数量及其技术背景灵活调整指标的级别和内容，使其更具有可操作性。我们相信在不久的将来，随着银行管理者及监管部门对IT治理和技术风险管理的日益关注，我国银行技术风险评级体系一定会得到进一步的完善，使我国银行技术风险评级体系最终走向具体的实施阶段。

【注释】

[1]本小节中“IT规划与组织的控制、IT获取与实施过程和IT交付与支持的控制”，参见陆培炜：《COBIT系列讲座》，《中国计算机用户》，2003年第37、38、39期。