由于企业电子商务操作风险不同于商业银行业务操作风险所面临的监管环境,不需要考虑预期损失转化监管资本的参数要求,为此本文构建的电子商务操作风险度量模型将?酌参数去除,具体如下: 模型(2)中i分别表示企业采用B2B和B2C电了商务业务类别;j为自然灾害损失事故、非诚实员工未经授权处理系统的损失事故、未经授权的外部人士入侵计算机系统损失事故、员工的非故意错误操作损失事故;其他变量含义与模型(1)相同。模型(2)中的风险暴露指数EI,可按不同电子商务业务与损失事故类别特点,以单位时间平均交易金额,乘以特定业务损失事故操作风险的定期评估周期与发现损失事故的时间长度两者之间的最大值,并适度调整估算操作风险暴露的规模(金额);预期损失的概率PE和预期损失程度LEG可根据历史信息、现有环境变化与短期预期变化等进行专家评分估计。考虑到目前我国企业的电子商务主要采用B2B或B2C模式中的一种,而较少同时使B2B和B2C,且风险暴露指数EI的估计难度较大,不利于历史信息收集不完整、业务金额波动较大的中小企业使用电子商务操作风险度量模型(2),本文进一步对度量模型予以简化,对使用单一电子商务模式的操作风险进行计量,简化的电子商务操作风险度量模型如下: 由于仅对企业单一模式的电子商务操作风险进行度量,不需考虑不同业务类别的风险暴露权重因素,故简化的操作风险度量模型(3)删除风险暴露指数。进一步根据历史数据和现有企业电子商务所处环境及其变化,设置各个损失事故类别对预期总损失影响的严重程度,得出各个损失事故的损失程度权重W,并直接使用预期损失概率与损失程度权重乘积数得出操作风险的相对数。操作风险的相对数取值范围为0-1之间,取值大风险越高。操作风险的相对数取值依然有助于企业对单一模式电子商务操作风险进行纵向评价及实施PDCA推进管理,控制操作风险,而对操作风险的评价效果不产生实质性的负面影响,有助于中小企业的运用。 四、企业电子商务操作风险度量的评价流程 根据上述构建的电子商务操作风险度量模型,企业在分析电子商务操作风险时,应在表1所示的方面进行专家评价。 五、案例分析 以某B2C企业为例,该企业在对B2C电子商务系统进行损失事故类别认定中,认定存在如下的损失事故:(1)非人为风险(如自然灾害);(2)员工的非诚实操作风险;(3)外部人士非授权入侵风险;(4)员工的非故意操作错误风险。因此企业可根据过去的经验、现有和未来可能的内外部环境、计算机与网络控制系统的内部控制等,建立针对上述损失事故类别的操作风险关键内部控制点: S1:非人为灾害引起的数据恢复程序控制点,由A1员工控制; S2:阻止非诚实员工的未经授权对数据进行操作的控制点,由A2员工控制; S3:阻止外部非授权人士进行计算机系统的控制点,由A3员工控制; S4:阻止或纠正员工非故意操作的控制点,由A4员工控制。 由于该企业仅拥有B2C这一单一模式的电子商务系统,故在对企业电子商务操作风险的评价中,可选择简化的电子商务操作风险度量模型,省略了特定业务损失事故的风险暴露指数评价环节。 企业对特定业务损失事故的预期损失概率评价时,作出如下判断:(1)员工A1在负责非人为灾害恢复程序方面未有过失误,即PE(1)为0;(2)员工A2在阻止非诚实员工的未经授权进入计算机系统的工作岗位上缺乏足够的经验,设定PE(2)为0.7;(3)员工A3的工作能力和工作业绩较强,但其缺乏对黑客技术的最新动态进行跟综学习,因此设定PE(3)为0.2;(4)员工A4是阻止或纠正员工非故意操作的内控点方面专家,但最近其被个人财务问题所困惑,设定PE(4)为0.1。 各损失事故的损失程度权重评价方面,企业根据历史经验数据,经过专家评分,分别对W(1)、W(2)、W(3)和W(4)赋值为0.1、0.2、0.3、0.4。具体原因如下:首先,员工的非故意操作失误对企业造成的损失最大(如考虑到企业的声誉与影响,电子商务系统中对顾客的订单系统操作失误,主要由企业承担损失);其次,是外部非授权人士进行电子商务系统产生的损失(外部非授权人士对电子商务系统的破坏性更具有专业性,破坏程度较大,且索赔损失的可能性较少),企业非诚实员工的未经授权进入电子商务系统的破坏程度亦较大,但索赔损失的可能性较大;最后,非人为失误产生的损失,可通过保险或免责条款予以部分补偿。因此,根据简化的电子商务操作风险度量模型,该公司的电子商务系统操作风险度量如下: 企业可根据设定的操作风险可控范围值,判断电子商务操作风险相对值0.24是否过高。同时,根据以往对操作风险度量值,分析现有的损失事故内部控制关键点是否得到有效的改进,在哪些方面还需要进一步完善。 【参考文献】 [1]财政部,证监会,审计署,银监会,保监会.企业内部控制应用指引[S].2010. [2]范洪波.商业银行操作风险高级计量模型的分析与应用[J].金融论坛,2009(5):32-37. [3]工业和信息化部.电子商务"十二五"发展规划[R].2012. [4]徐子尧,孔祥杰,王晓东.我国银行业操作风险高级计量法应用研究[J].四川大学学报(哲学社会科学版),2011(3):57-62. |