3.3管理风险的外在表现是信誉风险
    因信息科技引发的银行声誉下降、软实力下降的可能性，即银行的信誉风险。这一风险表现在客户和股东两个层面。
    3.2.1基于客户层面的分析
信息科技系统是一把双刃剑，既可能使银行运行成本降低、效率提高，同时也在增加投入和费用，可能使客户负担的费用提高，甚至因系统堵塞或故障，导致服务效率下降或业务中断，银行信誉因此存在受损的可能性。尤其当信息系统安全可能危及客户资金安全时，一些客户可能会选择拒绝电子银行业务，银行信誉风险甚至演化成现实的经济损失。近年来，网上银行发生的安全事件，增加了人们对电子银行安全性的担心，英国破获黑客盗划2.2亿英镑的事件，让客户疑虑自己的财富是否会在眨眼间化为乌有，所以不少客户选择小规模、低频率使用网上银行业务的下策[23]。银行因信息系统设计和控制不符合监管部门要求，存在合规风险，也可能导致银行信誉损失；因计算机或互联网系统故障、操作失误不能给客户提供合适金融服务甚或造成客户损失时，银行不仅面临信誉损失还可能面对被诉讼的法律风险，也会使银行形象受损。
    3.2.2基于股东层面的信誉风险
    应该说，现代信息系统对银行应发挥的作用不止加速清算、方便存取款和客户查询、帐户管理，更应在资产管理、负债管理、资产与负债的匹配管理、客户群管理、中间业务管理、表外业务管理、风险管理诸领域发挥应有作用，理应是一种全方位、全流程、全员范围的全面信息管理。现实情况是，信息科技管理只涉及局部业务流程、个别部门、部分员工，在动态监控账龄结构反映贷款质量，即时分析银行报表、即时经营诊断等方面几乎无所作为。庞大的信息科技系统建设与运营投入，如果只发挥有限作用而几乎处于闲置状态，当然不会高产出。对管理层而言，资产报酬率难以达到最大化，对股东而言，资本收益率难以随信息科技投入增加而提高，进而导致股东对管理层的信任感下降。
    3.4商业银行信息科技风险的其他特征
    除过本质上是可防可控的管理风险，外在表现为信誉受损的可能性外，商业银行信息科技风险和一般风险相比还具有如下特征：
    第一，难度量。可能因为信息科技风险的不确定性更强，到目前为止，针对信息科技风险度量的研究文献都甚少，更不用说有无专门评价指标和评级体系。虽然有一些存储厂商能帮助客户建立业务中断方面的损失计量，但在这之外的许多信息科技风险却存在着计量缺失的问题[24]。
    第二，易扩散。现代信息技术的发展，使银行不可能只通过内部网开展业务，而必须借助互联网。这种内外交互，使银行在享受便捷的信息服务的同时，也会使那怕因操作失误造成的业务中断波及整个经营网络，损失迅速放大，这时对银行形象、声誉影响造成的损失可能远超出有意无意误操作本身产生的损失。
    第三，影响大。一旦离开因特网，银行系统就会瘫痪，全社会的交易秩序会因此错乱，弄不好，甚至会危及国家安全。
    4.关于银行信息科技风险的计量
    固然银行信息风险难以度量，人们还是设法对其度量。目前，以美国为代表的发达国家已建立起以评分方法为特征的风险评级体系，我国学者也循着这一思路展开对我国银行信息科技风险评估。然而，评分方法最大的缺陷是主观性太强，故本文提出还是回归到用经典的均值方差模型和资本资产定价模型度量银行信息科技风险。
    4.1国外对银行信息科技风险的计量
    关于商业银行信息科技风险计量，发达国家已经建立起较为成熟的银行科技风险评级体系。最具代表性的是美国联邦金融机构监察委员会（Federral Financial Institutions Examination Council,简称FFIEC）制定的美国金融业统一的科技风险评级系统URSIT（Uniform Rating System for Information Technology）。URSIT由综合评级和单项评级两部分组成。单项评级是对被检查金融机构在审计（Audit）、管理（Management）、开发与获取（Development and Acquisition）、支持与交付（Support and Delivery）四大方面执行情况的评估，缩写为AMDS。综合评级根据金融机构和IT服务商在单项评级中的表现，从总体印象、管理纠错能力、风险管理程序、战略计划、管理者水平和服务提供商状况等方面对其划分等级。综合评级结果能反映被检查金融机构总体信息科技风险防范能力。
    4.2我国学者对银行信息科技风险度量的研究进展
    我国银行业目前既无专门的信息科技风险量化指标，更无信息科技风险评级体系。较早涉入该研究的张成虎借鉴美国URSIT，结合我国商业银行信息科技风险特点，先通过审计（A）、管理（M）、开发与获取（DA）与支持与交付（SD）四个变量进行单项评分，然后根据各变量得分乘各自权重，得出下列综合评级（评分）模型：
    R=A×WA+M×WM+DA×WDA+SD×WSD
    式中WA 、WM 、WDA、WSD分别表示A、M、DA、SD在综合评级时的重要性程度，即权重，且权重之和等于1。该模型根据综合评分高低，将商业银行分为5个等级：85分以上为正常机构，75-85分为基本正常机构，60-75分为关注类机构，50-60分为严重关注类机构，50分以下为问题机构[25]。
    之后张同健的研究则将A、M、DA、SD四大变量细化成审计准备、内部审计、外部审计、对服务商控制、战略计划制定、IT管理能力、人力资源管理、内部监控能力、安全策略、系统开发、系统测试、软件分发、安全可靠性、客户管理、运行管理以及服务商能力等16个因子（二级指标），这16个因子分别用X1，X2，…,X16表示，并以此4大变量16个因子构建技术风险控制绩效测评模型，通过对16个省区四大国有商业银行独立核算单位中选择的201份样本单位的电子问卷调查、现场调查验证模型。研究结果发现，我国银行业技术风险管理中对内部审计、外部审计、安全策略等风险控制措施未给予高度重视，软件分发效率较低，客户服务能力不足；各风险控制因子之间相关系数较低（0.54），而按FFIEC的经验数据，各因子之间的相关系数如能在0.6以上，才说明银行技术风险控制已进入高效运行状态，意味着我国银行业信息科技风险控制的整体水平较低，未进入各种控制要素高度协调的管理状态（印证了本文所指“信息孤岛效应”），故管理层不可为单项措施（如数据库建设、高级人才引进）的表面成熟与短期成功所迷惑，而应长期充分重视每一项风险控制措施[26]。
    一项较新的研究，将影响银行信息系统事件级别的影响度、紧急度等关键因素等基本因素进行评估量化分解，以多因子事件等级量化方法，按照加权处理的原理，同预先设定的对应等级数值表对照比较，量化确定相应的事件级别。该研究将银行风险事件由1级到5级分别确定为特别重大事件、重大事件、较大事件、关注事件和一般事件[27]。
    上述研究有一个共同特征，即以评分方法来量化银行信息科技风险。评分方法较为简明、易懂、易推广，甚至还可随评价对象、评估环境的改变对指标构成及权重作出调整，因而，我国学者的上述研究无疑有重要的应用价值。但不足之处在于：其一，选取的量化指标、二级指标能否反映信息科技风险，还有无其他更能反应信息科技风险的指标、二级指标甚至进一步细化指标，尚不确定。如上述研究几乎均未突破URSIT对银行信息科技风险从AMDS四个角度的评估，几乎没有一项研究关注对银行信息系统内部风险可能引发的外部信誉风险、法律风险的评估；其二，各个指标权重的赋予，是否准确，实难把握；其三，不同的评分者，由于知识素养不同、风险态度不同、对风险事件的认知度不同，等等，对同一风险事件的评分往往差异巨大。因此，上述各种量化方法归根到底还是以主观评判为基础，着力于内部风险评估，其科学性、严密性、普适性、可靠性，都值得怀疑。

(责任编辑：)