一、引言 电子商务是交易当事人利用信息技术和计算机网络进行的商业活动,包括B2B和B2C等业务模式。由于电子商务有助于降低企业的运营成本,推动了企业特别是中小企业国际贸易业务的拓展,因而得以迅速发展。根据艾瑞咨询统计数据显示,2012年我国电子商务市场交易规模达到8.1万亿元,较之上年增长27.9%。我国《电子商务"十二五"发展规划》更是明确提出,企业间电子商务交易规模在2015年预期超过15万亿元,经常性应用电子商务的中小企业达到中小企业总数的60%以上;网络零售交易额将突破3万亿元,占社会消费品零售总额的比例超过9%(工业和信息化部,2012)。 操作风险是企业在进行基本业务操作时,因不恰当或错误的内部处理、人员或系统等引发的风险(Lockamy,2011)。企业电子商务的应用改变了企业所处的技术、经济、行业和监管等环境,随之而来的是企业电子商务操作风险问题。根据我国2010年《企业内部控制应用指引第18号--信息系统》要求,企业应建立相应的内部控制系统,以防范包括电子商务操作风险在内的各类风险。因此,如何评估度量电子商务的操作风险有着重要的现实意义。本文通过借鉴巴赛尔委员会(2006)的商业银行操作风险度量模型,设计出企业电子商务操作风险的简化度量模型,以供企业特别是中小企业风险管理决策、风险控制和内部审计评估所参考。 二、企业电子商务操作风险的关键内部控制点识别 设计有效的内部控制有助于企业降低电子商务操作风险。我国《企业内部控制应用指引第18号--信息系统》规定,企业利用信息系统实施内部控制至少应当关注下列风险:(1)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;(2)系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;(3)系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行(财政部等,2010)。第(3)条即直接涉及到企业电子商务的操作风险控制。值得注意的是,企业针对包括电子商务在内的信息系统内部控制建设并非一劳永逸,需遵循PDCA的管理模式,定期对电子商务内部操作风险进行评估,不断改进完善,从内控制角度降低电子商务操作风险。 Kratchman等(2008)的调查研究表明,企业应用电子商务的计算机网络系统安全主要存在如下损失事故类别:(1)非人为事项(如自然灾害)对系统的破坏,此类问题占总问题的比例为8%;(2)非诚实员工的未经授权处理系统的行为,占总问题的比例为20%;(3)未经授权的外部人士入侵计算机系统,占总问题的比例为5%;(4)员工的非故意错误操作行为,占总问题的比例为67%。根据Kratchman等(2008)的研究结论,开展电子商务的企业,可根据电子商务的预期交易规模、交易类别、行业特征、交易方的物理距离等因素,针对上述四种事故类别设计相应的关键控制点,并推进关键控制点有效运行。具体在关键控点的设计上,对自然灾害引发的操作风险,可设置第三方保险机制、交易免责条款和数据恢复程序等;对非诚实员工的未经授权行为,可将业务流程进行分割,建立不相容岗位、岗位轮换和内部审计制度等;对外部(如黑客)的行为,建立定期与不定期的电子商务信息系统安全评估测试,升级远程监控软件和更新安全防范策略等;对于员工的非故意操作错误,可对重点环节和业务实现人工与机器自动数据复核纠正双重机制。 三、企业电子商务操作风险度量模型的构建 企业针对电子商务操作风险所建立的内部控制,并不能完全防范电子商务操作风险。企业需定期或不定期对电子商务操作风险进行评价度量并加以改进,以使风险处于企业可控范围之内。 目前对操作风险度量较为成熟的行业为商业银行业。自1995年巴林银行事件爆发后,商业银行的操作风险被引起高度的重视。巴赛尔委员会在巴赛尔协议Ⅱ中提出了操作风险的三种度量方法,其中高级计量法得到了业界的广泛认同(范洪波,2009)。下面以商业银行操作风险高级计量法中的内部衡量法度量模型(BaselCommittee,2005)为例: 模型(1)中的OR为操作风险;i表示业务类别;j为损失事故类别(风险类别);?酌为预期损失转化为监管资本的参数,由巴塞尔委员会根据行业整体数据在一定置信水平一定期间确定;EI为风险暴露指数,表示业务类型操作风险暴露的规模或数量;PE为预期损失的概率;LEG为预期损失的程度。PE和LEG由银行根据内部损失数据进行估算。 内部衡量法的特点在于首先对每个业务类别划分为7个损失事故类型,然后根据历史数据估计损失概率分布与程度(徐子尧等,2011),而这些特点与企业内部控制审计的要求相吻合。因此,本文借鉴巴赛尔委员会(2006)的商业银行操作风险内部衡量法度量模型,对企业电子商务操作风险进行度量。 |