4.3尝试运用经典方法度量银行信息科技风险
    由于银行面对性质、来源、程度等各有不同的信息科技内部风险和外部风险，故不得不进行包括硬件、软件、人力资本、制度建设等多元化风险投资组合，已通过投资组合分散风险。面对这种资产管理现实，可考虑用美国经济金融学家、诺贝尔经济学奖得主马克维茨(Harry•M•Markowitz)于1952年提出的投资组合理论的均值方差模型和另一位美国经济学家、诺贝尔奖获得者威廉夏普（William•F•Sharpe）于1964年提出的资本资产定价模型（Capital Asset Pricing Model,缩写为CAPM）来度量银行信息科技风险。这两个理论提出的背景虽均集中于证券投资领域，但在保险、固定资产投资、企业并购、资产估价等多个领域都得到广泛应用，银行信息科技投资作为一种长期投资，其风险理应也可用以度量。
    4.3.1用均值方差模型度量银行信息科技风险的尝试
    投资组合理论提出的风险度量方法被称为概率方法或均值方差模型。可按两种思路计量银行信息科技风险。
思路1：将信息科技投资区分成设备投资（I1）、系统软件投资（I2）、人力资本投资（I3）等n项投资，设定信息科技投资总额为∑Ii，各项投资在投资总额中占比为Wi，则∑Wi=1。若各项投资的可能投资收益率为Ei（以上各式中，i=1,2,3,…n），则银行信息科技投资的期望投资收益率 =∑Ei•Wi。这时，信息科技投资风险就表现为可能收益和期望收益之间的偏离程度，可用期望收益的方差 （见公式1）或标准差 来度量，其中，标准差是方差的平方根：
               =∑ •Wi                 （公式1）
在期望投资收益率一定情况下，能使方差 最小的投资组合即为最佳投资组合；在期望收益一定情况下，能使方差最小的投资组合为最佳投资组合。
思路2：将银行信息科技投资当成单一投资，单一投资项目常被视为特殊投资组合。这时可将银行信息科技投资视为一个整体度量其风险程度。
    假设银行信息科技投资总额为I，由于市场因素、管理因素等影响，投资可能获得的收益存在多种可能性，设为Ei(i=1,2,3,…,n),假定对应出现各种可能收益的概率为Pi(i=1,2,3,…,n)，则很容易以概率为权数测算期望投资收益率 ， =∑Ei•Pi。这时，作为一个投资整体，银行信息科技项目的投资风险反映了各种可能收益和期望收益之间的偏离程度，也可用方差 和标准差 表示，其中标准差用公式2表示：
       =                （公式2）
   若同一投资项目有多个投资方案，则在期望收益相同时，标准差最小的方案为最优投资选择；在标准差相同的多个投资方案中，期望收益最大的方案必为最佳选择。若期望收益和标准差都不相同，则可进一步用标准离差率 （或称变异系数）度量相对风险。标准离差率反映了每获得1%的期望收益需要承担的风险大小，在多个信息科技投资方案中，标准离差率越小的方案，安全性越强。如公式3所示：
            = /                    (公式3)
概率方法虽是测度风险的一般方法，但将信息科技投资视为项目投资时，也可运用其测度银行信息科技风险。与前述评分的几种方法比，除估计概率分布需要一定经验积累包含主观判断外，其他数值均为对客观存在的反映；比较而言，前述评分方法不管是指标选取、指标赋权、还是专家给每一指标打分，无不包含着主观判断，因而，综合分值的可靠性也必大打折扣。
    4.3.2用资本资产定价模型（CAPM）度量银行信息科技风险的尝试
    假定信息科技投资也经过较充分的投资组合，则大部分乃至全部非系统风险都被分散。这时信息科技投资需要补偿的除这笔投资起码应获得的无风险报酬外，还应补偿诸如经济周期性变化、宏观政策变化、政治环境变化、战争及自然灾害等因素引起的系统性风险。于是，银行信息科技投资应获得的必要报酬Rj应由无风险报酬Rf和因冒系统性风险要求得到的风险报酬两部分组成。其中风险报酬是这项投资相对于市场同类投资的风险系数 j（ j可能大于1、等于1，也可能小于1）与市场平均风险报酬的乘积。如公式4所示：
Rj=Rf+ j（ - Rf）             （公式4）
    式中 表示市场同类投资要求得到的平均报酬率水平，Rf作为无风险报酬，可用商业银行投资于国债能够得到的年收益率测算。只有一项信息科技投资的实际报酬率，高于必要投资报酬率Rj，投资才具可行性。
    4.3.3运用经典方法度量信息科技风险可能存在的不足
    正如没有包治百病的良药，即便经典的风险测度方法也包含不足之处。其一，不管是均值方差模型，还是CAPM，也都包含一些主观判断，如均值方差模型中需要对概率分布加以估计，CAPM需要对投资项目的 值作出估计，虽然相对于评分方法主观估计成分已大为减少。其二，毕竟银行信息科技投资无法像证券投资那样有一个充分竞争的市场，因而，得到的期望收益 和必要投资收益率Rj也难以是真正的均衡价格（均衡收益率）。因此，在运用经典方法同时，有必要参考其他方法（如前述评分方法）的风险度量结果，做出更周全、更理性的信息科技投资决策。
    5.强化信息科技风险管理，提升银行信誉
    5.1我国商业银行信息科技风险管理存在的主要问题
2009年颁布的《商业银行信息科技风险管理指引》，对强化并规范我国银行信息科技风险管理将发挥里程碑式的作用。新《指引》明确界定了商业银行的法定代表人是所在机构信息科技风险管理的第一责任人，并对商业银行信息科技治理、信息科技风险管理、信息安全、信息系统开发、测试与维护、信息科技运行、业务连续性管理、外包、内部审计、外部审计提供了原则性规范。然而，不可否认，我国银行管理者对信息科技风险口头重视实际忽视现象十分普遍。
    首先，信息科技风险仍被视为技术风险，未上升到管理风险高度来认识。大多银行不是由“一把手”亲自抓信息科技风险管理，甚至不由技术总监而是有技术部门经理来负责。

(责任编辑：)