運用層次分析法評價電子銀行的主要風險

摘 要：為了規避電子銀行風險，盡量使風險降到最低。通過對電子銀行的幾個主要風險的分析，從電子銀行操作風險事件中的外部欺詐、內部管理與監控和內部員工欺詐三個方面，建立一個電子銀行風險模型，再運用層次分析法對電子銀行的這三個方面進行評價研究。結果表明內部管理與監控中的明確職責和定期核查，還有員工的知識技能和忠誠度，對電子銀行的風險影響最大。

關鍵詞：層次分析法；電子銀行；風險評估；安全模型

中圖分類號：TN918 文獻標識碼：B 文章編號：1004373X(2008)1707204

Evaluation of the Main Risks of E-Banking Using AHP

TAO Dajun1，XI Zhenfei2，SONG Guoxiang1

(1.College of Science，Xidian University，Xi′an，710071，China;2.College of Economics Management，Xidian University，Xi′an，710071，China)

Abstract：In order to avoid electronic banking risks，the risks are minimized as far as possible.Through the analysis of several main risks of electronic banking，an electronic banking risk model is established by the electronic bank operation risk event′s exterior cheat，the internal management and monitoring，the internal staff cheats，then these three aspects of electronic bank are evaluated using AHP.The results show that not only the explicit responsibility and the regular investigation in the internal management and the monitoring，but also staff′s knowledge skill and the loyalty，influence the electronic bank′s risk greatly.

Keywords：AHP;electronic bank;risk evaluation;security model

1 電子銀行的主要風險

根據巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》^［1］，和電子銀行相關的主要風險，就是戰略風險、信譽風險、操作風險(包括安全和法律風險)、信用風險、市場風險和流動性風險。電子銀行業務雖然沒有增加一些以前我們沒有識別的新風險類別，但是電子銀行增加和改變了部分傳統的風險，并且影響到整個銀行風險體系。特別地，戰略風險、操作風險和信譽風險由于電子銀行的快速發展和潛在技術的復雜性而顯得尤為顯著。

根據對電子銀行風險所做的分析，本文從電子銀行操作風險事件中的外部欺詐、內部管理與監控和內部員工欺詐著手，對電子銀行風險進行評價。

1.1 外部欺詐

外部欺詐評價有以下幾個安全假定：電子銀行的系統是安全的；SSL加密技術是安全的；客戶證書系統是安全的；電子銀行口令卡密碼算法難以攻破；所有專業通用的業務做法是安全的，其他專業的業務做法不會導致電子銀行的安全。

本文主要對電子銀行用戶登陸及交易環節方面^［2-9］進行評價，包括以下七點:卡號+密碼；卡號+密碼+動態軟鍵盤；卡號+密碼+動態軟鍵盤+圖形驗證碼；卡號+密碼+動態軟鍵盤+圖形驗證碼+CA認證；卡號+密碼+動態軟鍵盤+圖形驗證碼+ CA認證+靜態口令卡；卡號+密碼+動態軟鍵盤+圖形驗證碼+ CA認證+動態口令卡；卡號+密碼+動態軟鍵盤+圖形驗證碼+ CA認證+需要有獨立物理介質才能進行交易。

1.2 內部管理與監控

內部管理與監控^{［10，11］}從電子銀行采取的管理和監控措施來評價，包括以下8點：明確各管理和監控部門的職責，定期核查風險和控制戰略；建立權限與責任相互匹配的授權管理模式，增強權力的有效控制和約束，建立科學的激勵和考核制度；對敏感崗位進行識別和標識，并進行重點監控和考核；對可疑操作及手工指令進行重點監控和跟蹤，并審核報批報表手續，對違規操作進行整改；加大對程序技術和信息技術安全投入的資金和力度，對軟件或硬件錯誤和通信問題的糾正以及設備老化的維護和更新；未發生業務中斷事件之前，做好應急預案和事故反應計劃，確保業務正常運行和降低損失；從事開發新業務和新產品、進入不熟悉的市場時，對相關資料的持有和已有經驗教訓的認識，保證風險管理控制系統跟得上業務活動的發展需要；各級部門之間信息溝通的及時、有效、完整，保證業務準確無誤開展。

1.3 內部員工欺詐

在對內部員工欺詐^［6，11］進行評價之前也有對員工的基本要求：具有良好的職業道德和健康狀況以及大專以上的文化水平。員工欺詐從員工的知識技能和忠誠度著手，包括以下七個級別：

(1) 經過簡單的培訓，基本滿足所在崗位的要求，即初級程度；

(2) 經過短期的專業培訓，對電子銀行的相應工作基本了解，應變能力強，在短期內能迅速掌握相關工作技能，達到熟練的水平，即中級程度；

(3) 具有銀行或電子銀行相關工作經驗及相應資格認證，熟練操作各項流程和程序，即高級程度；

(4) 具有多年工作經驗，適應新生事物能力強，能將已有經驗知識迅速移植到新生事物中，對電子銀行相關操作相當熟練，擁有預測風險的意識和能力，即高級職業技術程度；

(5) 具有足夠的專業領域知識，理解概念和原理并在日常工作中熟練應用，擁有應對風險的能力，即基本專業程度；

(6) 熟練掌握專業領域知識，并能在日常生活中融會貫通，這些知識通過在掌握各種原理基礎上的廣泛深入實踐獲得，或通過廣泛接觸國際先進知識中獲得，擁有控制風險的能力，即豐富的專業程度；

(7) 確實精通掌握各種概念、原理和業務知識，這種知識通過在電子銀行及計算機網絡領域的深入發展，或是通過全面的業務經驗及對國外的經驗總結、創新，且富有創新能力，具有駕馭風險的能力，即達到專家程度。

2 電子銀行風險評價

2.1 評價方法的選擇

由于要評價的電子銀行風險指標體系是多層次的，各指標之間存在著并列關系、包含關系等，給各指標的權重的確定帶來了困難。因此，注意到了層次分析法(AHP)的作用。層次分析法是一種定性和定量相結合的、系統化、層次化的分析方法。電子銀行的風險指標體系正是層次分析法能有效處理的，通過層次分析法的分層和比較過程，可以確定各個指標權重，因此選用它來解決電子銀行的風險問題。

2.2 層次分析法的數學基礎介紹^［12］

2.2.1 成對比較陣

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文