謝麗霞　孫偉博

(中國(guó)民航大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院　天津 300300)

?

B2C電子商務(wù)信息系統(tǒng)操作風(fēng)險(xiǎn)評(píng)估方法研究

謝麗霞孫偉博

(中國(guó)民航大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院天津 300300)

針對(duì)B2C電子商務(wù)系統(tǒng)操作風(fēng)險(xiǎn)評(píng)估問(wèn)題，提出一種基于極值理論EVT(Extreme Value Theory)的安全風(fēng)險(xiǎn)評(píng)估方法。首先，根據(jù)操作風(fēng)險(xiǎn)定義和系統(tǒng)風(fēng)險(xiǎn)類(lèi)型構(gòu)造出操作風(fēng)險(xiǎn)的量化方法。其次，以計(jì)算結(jié)果為樣本數(shù)據(jù)，基于極值理論塊極大值模型BMM(Block Maxima Method)對(duì)風(fēng)險(xiǎn)價(jià)值VaR(Value at Risk)方法進(jìn)行改進(jìn)，通過(guò)量化計(jì)算和綜合分析得到系統(tǒng)的操作風(fēng)險(xiǎn)評(píng)估結(jié)果。實(shí)驗(yàn)結(jié)果表明，通過(guò)該方法獲得的風(fēng)險(xiǎn)值和系統(tǒng)自身承受能力對(duì)比，可以解決電子商務(wù)系統(tǒng)的操作風(fēng)險(xiǎn)問(wèn)題，并為管控電子商務(wù)操作風(fēng)險(xiǎn)提供重要依據(jù)。

電子商務(wù)操作風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)估極值理論風(fēng)險(xiǎn)價(jià)值

0　引　言

當(dāng)今，互聯(lián)網(wǎng)不再是單純提供資訊的平臺(tái)，它已成為社會(huì)生活工作不可或缺的工具，電子商務(wù)是在互聯(lián)網(wǎng)之上發(fā)展出來(lái)的新一代交易模式。2013年國(guó)務(wù)院出臺(tái)的《關(guān)于促進(jìn)信息消費(fèi)擴(kuò)大內(nèi)需的若干意見(jiàn)》明確提出，要拓寬電子商務(wù)發(fā)展空間，培育信息消費(fèi)需求，加速電子商務(wù)發(fā)展。

在過(guò)去的數(shù)年間，京東、淘寶、阿里巴巴、百度、當(dāng)當(dāng)?shù)然ヂ?lián)網(wǎng)的先驅(qū)者為當(dāng)代電子商務(wù)的發(fā)展奠定了穩(wěn)定的基礎(chǔ)，同時(shí)也刺激了B2C模式的發(fā)展。大量的B2C企業(yè)開(kāi)始涌現(xiàn)，相比B2B、C2C等模式，B2C模式已經(jīng)成為電子商務(wù)市場(chǎng)的主流力量。

國(guó)家經(jīng)濟(jì)的進(jìn)步和電子商務(wù)發(fā)展的不斷前進(jìn)、網(wǎng)民網(wǎng)絡(luò)購(gòu)物意愿不斷地增強(qiáng)，在給市場(chǎng)帶來(lái)機(jī)會(huì)的同時(shí)也給不法分子以可趁之機(jī)，致使B2C模式自身存在的風(fēng)險(xiǎn)問(wèn)題暴漏出來(lái)。其中，信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)是電子商務(wù)企業(yè)面臨的主要風(fēng)險(xiǎn)[1]。操作風(fēng)險(xiǎn)以它的低頻高危特性可能對(duì)電子商務(wù)企業(yè)造成災(zāi)難性的后果。

操作風(fēng)險(xiǎn)在金融和保險(xiǎn)領(lǐng)域已經(jīng)有了較為成熟的風(fēng)險(xiǎn)管控方法，而在電子商務(wù)領(lǐng)域的研究和關(guān)注相對(duì)滯后。針對(duì)B2C信息系統(tǒng)操作風(fēng)險(xiǎn)評(píng)估問(wèn)題，本文對(duì)系統(tǒng)操作風(fēng)險(xiǎn)的量化方法做出研究。并結(jié)合極值理論EVT和風(fēng)險(xiǎn)價(jià)值VaR方法，給定系統(tǒng)未來(lái)一段時(shí)間內(nèi)可能出現(xiàn)的最大操作風(fēng)險(xiǎn)。實(shí)驗(yàn)表明這種方法可為中小型電子商務(wù)企業(yè)進(jìn)行風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)控制和內(nèi)部審計(jì)評(píng)估提供衡量依據(jù)。

1　相關(guān)工作

隨著操作風(fēng)險(xiǎn)在風(fēng)險(xiǎn)管理工作中的重要性與日俱增，對(duì)操作風(fēng)險(xiǎn)的理解不能僅僅停留在“操作風(fēng)險(xiǎn)”的字面意義上，需對(duì)其背后隱藏的問(wèn)題進(jìn)行研究，比如自然災(zāi)害造成系統(tǒng)停止運(yùn)轉(zhuǎn)、業(yè)務(wù)流程上的操作不當(dāng)和員工內(nèi)部管理等問(wèn)題都可能為系統(tǒng)帶來(lái)操作風(fēng)險(xiǎn)。

英國(guó)銀行協(xié)會(huì)BBA(British Bankers Assoeiation)[2]從內(nèi)部程序、人員、系統(tǒng)等方面對(duì)操作風(fēng)險(xiǎn)進(jìn)行了初步定義。Laycock等人[3]主要從顧客和內(nèi)部控制兩個(gè)方面著手，將一些不可控因素和顧客行為作為衡量重點(diǎn)，更具有合理性。Slater等人從人為因素和系統(tǒng)錯(cuò)誤兩個(gè)方面定義操作風(fēng)險(xiǎn)，這同Laycock等人提出的定義基本一致，令操作風(fēng)險(xiǎn)的定義更加完善。

目前，基于極值理論的操作風(fēng)險(xiǎn)度量模型主要應(yīng)用在金融和保險(xiǎn)領(lǐng)域。Embrechts等人[4]對(duì)金融組織發(fā)生的極端事件建模問(wèn)題展開(kāi)了深入研究，并運(yùn)用極值理論對(duì)度量模型進(jìn)行構(gòu)建。Demoulin和Embrechts[5]認(rèn)為考慮極值方法的非平穩(wěn)性和相關(guān)性可以更好地度量操作風(fēng)險(xiǎn)。巴曙松[6]對(duì)操作風(fēng)險(xiǎn)進(jìn)行細(xì)分，并分析了操作風(fēng)險(xiǎn)管理框架的建立流程。陳倩[7]應(yīng)用極值理論度量操作風(fēng)險(xiǎn)，并認(rèn)為只要以真實(shí)數(shù)據(jù)為向?qū)?，評(píng)估的準(zhǔn)確性比較可信。陳寶東等人[8]在數(shù)據(jù)不足的情況下應(yīng)用極值理論，有效地解決了如何計(jì)量操作風(fēng)險(xiǎn)的難題。

電子商務(wù)系統(tǒng)較大的操作風(fēng)險(xiǎn)通常出現(xiàn)在極端事件發(fā)生的情況下，如員工的非誠(chéng)實(shí)操作、網(wǎng)絡(luò)的惡意攻擊、自然災(zāi)害導(dǎo)致的設(shè)備中斷等。因此，極值理論十分適合作為管理操作風(fēng)險(xiǎn)的特定工具。

2　操作風(fēng)險(xiǎn)評(píng)估

2.1信息系統(tǒng)操作風(fēng)險(xiǎn)分析

根據(jù)相關(guān)工作中操作風(fēng)險(xiǎn)定義的研究和B2C模式的主要業(yè)務(wù)模塊，如表1所示，可分析出系統(tǒng)中存在的主要操作風(fēng)險(xiǎn)。

表1　B2C系統(tǒng)主要業(yè)務(wù)模塊

系統(tǒng)中存在的主要操作風(fēng)險(xiǎn)如下：

(1) 系統(tǒng)安全性風(fēng)險(xiǎn)

電子商務(wù)是建立在Internet之上的交易模式，由于互聯(lián)網(wǎng)的開(kāi)放性系統(tǒng)可能會(huì)受到內(nèi)部或外部的攻擊。系統(tǒng)的癱瘓可能會(huì)導(dǎo)致整個(gè)電子商務(wù)系統(tǒng)的運(yùn)行中斷、客戶無(wú)法進(jìn)行交易、企業(yè)無(wú)法運(yùn)營(yíng)，將會(huì)給客戶和企業(yè)帶來(lái)不可預(yù)計(jì)的損失。

(2) 客戶誤操作風(fēng)險(xiǎn)

大部分客戶的安全意識(shí)相對(duì)比較弱，他們過(guò)分地依賴(lài)信息安全產(chǎn)品，對(duì)自己的操作缺少警惕性?？蛻艉芸赡軙?huì)在不確定是否安全的環(huán)境下使用個(gè)人信息(認(rèn)證信息、銀行卡號(hào)、支付密碼等)，這將會(huì)造成個(gè)人信息的泄露。黑客可以非常輕松地訪問(wèn)到客戶賬號(hào)，進(jìn)行違法操作。

(3) 內(nèi)部管理風(fēng)險(xiǎn)

與傳統(tǒng)的交易模式不同，B2C企業(yè)需要員工對(duì)業(yè)務(wù)和系統(tǒng)進(jìn)行大批量的業(yè)務(wù)操作處理。在這期間，員工不免會(huì)出現(xiàn)錯(cuò)誤操作，故意操作和非故意操作是兩種常見(jiàn)類(lèi)型。其中，非誠(chéng)實(shí)員工的未授權(quán)處理是最為嚴(yán)重的問(wèn)題，它會(huì)給企業(yè)和客戶都帶來(lái)災(zāi)難性的損失。

2.2操作風(fēng)險(xiǎn)量化公式

目前，國(guó)內(nèi)外對(duì)信息安全風(fēng)險(xiǎn)量化方法主要分為三類(lèi)：基于概率論的量化方法；基于專(zhuān)家知識(shí)的量化方法；模糊邏輯法；本文應(yīng)用的是基于概率論和專(zhuān)家知識(shí)相結(jié)合的量化方法。

風(fēng)險(xiǎn)是威脅發(fā)生概率的潛在函數(shù)，預(yù)期損失概率是判斷威脅發(fā)生概率的參數(shù)，預(yù)期損失程度是評(píng)估造成損失大小的衡量標(biāo)準(zhǔn)?；谶@兩個(gè)評(píng)估風(fēng)險(xiǎn)的重要因素，構(gòu)造出的操作風(fēng)險(xiǎn)量化公式為：

(1)

其中，R為操作風(fēng)險(xiǎn)值；i表示系統(tǒng)業(yè)務(wù)類(lèi)別；j表示造成損失的事件類(lèi)別；E為事件預(yù)期損失的概率，L為事件預(yù)期損失程度。

系統(tǒng)的主要業(yè)務(wù)類(lèi)別i(i=1,2,3)包括賬戶管理、訂單處理、電子支付等三個(gè)模塊，如表1描述。

其中，每個(gè)業(yè)務(wù)模塊的損失事件j(j=1,2,…,5)主要包括：

(1) 非人為事故(自然災(zāi)害)對(duì)系統(tǒng)的破壞；

(2) 電腦黑客、計(jì)算機(jī)病毒和惡意木馬等侵入系統(tǒng)；

(3) 誠(chéng)實(shí)員工的非故意操作；

(4) 非誠(chéng)實(shí)員工對(duì)系統(tǒng)的未授權(quán)處理；

(5) 客戶的不安全操作行為。

其中，預(yù)期損失概率E根據(jù)電子商務(wù)內(nèi)外部環(huán)境的變化程度、各部門(mén)工作的有效性和員工職業(yè)道德操守進(jìn)行評(píng)價(jià)。預(yù)期損失程度L根據(jù)專(zhuān)家知識(shí)和損失的補(bǔ)償程度進(jìn)行評(píng)價(jià)。具體步驟見(jiàn)4.1節(jié)操作風(fēng)險(xiǎn)計(jì)算流程。

3　基于極值理論的風(fēng)險(xiǎn)評(píng)估

3.1VaR方法

風(fēng)險(xiǎn)價(jià)值VaR[9]指在一定的置信水平下，某組織在未來(lái)特定的一段時(shí)間內(nèi)可能造成的最大損失。它是一種準(zhǔn)確的風(fēng)險(xiǎn)計(jì)算方法，已經(jīng)被廣泛應(yīng)用于市場(chǎng)風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)計(jì)算。VaR方法在風(fēng)險(xiǎn)控制、業(yè)績(jī)?cè)u(píng)估,監(jiān)管信息披露等領(lǐng)域已經(jīng)獲得了重要應(yīng)用。它自身具有信息披露、資源配置、績(jī)效評(píng)價(jià)等功能。

其數(shù)學(xué)模型如下：

假設(shè)存在連續(xù)型隨機(jī)變量X為資產(chǎn)在特定持有期間的對(duì)數(shù)收益率, 給定(0,1)之間一個(gè)概率p，則置信水平為1-p的VaR表示如下：

VaRp=-inf{u：P(X≤u)≥p}

(2)

VaR的計(jì)算方法[10]主要包括方差-協(xié)方差方法、蒙特卡羅模擬法和歷史模擬法。這三種傳統(tǒng)的計(jì)算方法非常簡(jiǎn)單實(shí)用，其中方差-協(xié)方差方法應(yīng)用最為廣泛，但是計(jì)算結(jié)果的精準(zhǔn)性存在明顯的不足。接下來(lái)工作的重點(diǎn)是如何改進(jìn)VaR的計(jì)算模型，保證計(jì)算結(jié)果的準(zhǔn)確性。

3.2改進(jìn)的VaR計(jì)算模型

傳統(tǒng)的方差協(xié)方差法計(jì)算需要擬合正態(tài)分布，如果數(shù)據(jù)分布不符合正態(tài)分布會(huì)降低計(jì)算結(jié)果的準(zhǔn)確性。采用基于極值理論改進(jìn)的方差協(xié)方差法不僅有效的解決了上述問(wèn)題，而且可以更加精確地刻畫(huà)分布的尾部特征，方便觀察分布情況。

研究次序統(tǒng)計(jì)量極值的分布特性的理論叫作極值理論EVT。它是處理與概率分布的中值相離極大的情況的理論，常用來(lái)分析罕見(jiàn)事件的概率情況，比如百年一遇的洪水、地震等，經(jīng)常應(yīng)用于風(fēng)險(xiǎn)管理和可靠性研究。

極值理論主要有兩種計(jì)算模型：塊極大值法BMM[11]和高限峰值法POT(Peaks over Threshold)。通常情況下，BMM模型采用廣義極值GEV(Generalized Extreme Value)分布進(jìn)行描述，POT模型采用廣義帕累托分布GPD(Generalized Pareto Distribution)進(jìn)行描述。本文采用的是BMM模型計(jì)算VaR，所以POT模型不再贅述，主要介紹BMM模型采用的廣義極值分布。

假定Xi(i= 1,2，…,n)是符合獨(dú)立同分布特征 (i.i.d.)的隨機(jī)變量序列，它們是取自分布函數(shù)F(x)中的樣本數(shù)據(jù)，將這些樣本序列進(jìn)行大小排序:

x1≥x2≥…≥xn

此時(shí)，則稱(chēng)它們?yōu)榇涡蚪y(tǒng)計(jì)量，令Mn=max{x1,x2,…, xn}。根據(jù)Fisher-Tippett中心極限定理，若存在常數(shù)an,bn(其中an>0,bn>0)則：

(3)

該極值分布存在三種形式，分別為Frechet，Weibull，Gumbel分布，即：

Frechet：

(4)

Weibull：

(5)

Gumbel：

Λ(x)=exp(-e-x)-∞

(6)

將三種分布統(tǒng)一形式(GEV)進(jìn)行表達(dá)，即：

(7)

其中，μ,ξ∈R，σ> 0，ξ是形狀參數(shù)，μ是位置參數(shù)，σ是尺度參數(shù)。當(dāng)ξ> 0時(shí)，為Frechet分布。當(dāng)ξ< 0時(shí)，為Weibull分布。僅當(dāng)ξ=0時(shí)，為Gumbel分布。

3.3基于BMM模型的VaR計(jì)算

由于BMM模型采用GEV分布進(jìn)行描述，根據(jù)廣義極值分布式(7)和VaR的數(shù)學(xué)模型即可給出P值下的VaR公式：

(8)

采用BMM模型處理數(shù)據(jù)需將樣本按照一定的標(biāo)準(zhǔn)進(jìn)行分塊處理，然后在每個(gè)模塊中挑選出最大值，再選取最大值作為最終的極值。處理數(shù)據(jù)的具體步驟如下：

(1) 將樣本值分成若干等區(qū)間；

(2) 篩選區(qū)間最大值作為最終極值；

(3) 對(duì)模型參數(shù)進(jìn)行估計(jì)。

其中，參數(shù)估計(jì)采用極大似然估計(jì)法，根據(jù)式(7)可以得出其對(duì)數(shù)似然函數(shù)，即可對(duì)參數(shù)進(jìn)行極大似然估計(jì)。

4　模擬實(shí)驗(yàn)與分析

4.1操作風(fēng)險(xiǎn)計(jì)算流程

根據(jù)前文五種主要損失事件，專(zhuān)家可憑借經(jīng)驗(yàn)和歷史數(shù)據(jù)建立適合特定損失事件操作風(fēng)險(xiǎn)的關(guān)鍵控制點(diǎn)[12,13]來(lái)評(píng)價(jià)式(1)中的E和L矩陣：

A1：恢復(fù)非人為事故(自然災(zāi)害)對(duì)系統(tǒng)的破壞的工作由D1部門(mén)負(fù)責(zé)；

A2：防范電腦黑客、計(jì)算機(jī)病毒和木馬程序等侵入系統(tǒng)內(nèi)部的工作由D2部門(mén)負(fù)責(zé)；

A3：防范誠(chéng)實(shí)員工的非故意操作由D3部門(mén)負(fù)責(zé)；

A4：阻止非誠(chéng)實(shí)員工對(duì)系統(tǒng)的未授權(quán)處理由D3部門(mén)負(fù)責(zé)；

A5：防范客戶誤操作行為所帶來(lái)?yè)p失由D4部門(mén)負(fù)責(zé)。

對(duì)賬戶管理業(yè)務(wù)損失概率和程度做評(píng)價(jià)時(shí)的判斷實(shí)例如下：

(1) D1部門(mén)在出現(xiàn)自然災(zāi)害后，做出及時(shí)處理故障，并恢復(fù)設(shè)備，在控制此類(lèi)事件中從未出現(xiàn)過(guò)失誤，判定此類(lèi)事件預(yù)期損失概率為E(1,1)=0；

(2) D2部門(mén)在防范電腦黑客、計(jì)算機(jī)病毒和木馬程序等侵入系統(tǒng)的工作上未出現(xiàn)過(guò)失誤，判定類(lèi)事件預(yù)期損失概率為E(1,2)=0；

(3) D3部門(mén)負(fù)責(zé)在防范誠(chéng)實(shí)員工的非故意操作工作上偶爾疏忽，則判定E(1,3)=0.3；

(4) 在進(jìn)行訂單處理時(shí)，D3部門(mén)阻止未授權(quán)員工進(jìn)入信息系統(tǒng)的管理方面缺乏足夠經(jīng)驗(yàn)，并有相關(guān)損失記錄，則判定E(1,4)=0.7；

(5) D4部門(mén)有明確的提示信息和阻止違法操作程序，能夠有效地避免由于客戶的錯(cuò)誤行為導(dǎo)致業(yè)務(wù)中斷，判定E(1,5)=0.2。

結(jié)合Kratchman等人[14]的研究對(duì)L矩陣進(jìn)行評(píng)價(jià)，系統(tǒng)在A1、A2和A5控制點(diǎn)的失控對(duì)信息系統(tǒng)的影響較小，企業(yè)可以通過(guò)保險(xiǎn)和免責(zé)條款對(duì)損失進(jìn)行彌補(bǔ)工作。系統(tǒng)在A3和A4控制點(diǎn)失控可能給企業(yè)帶來(lái)不可估計(jì)的損失，由于企業(yè)形象和聲譽(yù)非常不容易重新塑造，所以A3和A4破壞性強(qiáng)，且損失程度占的比例高。最終得出5個(gè)控制點(diǎn)的預(yù)期損失程度比例分別為0.1，0.1，,0,5，0.2，0.1。

分別對(duì)三個(gè)業(yè)務(wù)模塊的五個(gè)控制點(diǎn)進(jìn)行評(píng)價(jià)工作，即可得到E矩陣和L矩陣，對(duì)這兩個(gè)二維矩陣進(jìn)行相乘計(jì)算，即得出最終R值。

4.2實(shí)驗(yàn)參數(shù)計(jì)算與結(jié)果分析

根據(jù)某B2C網(wǎng)站一年內(nèi)發(fā)生的損失事件的歷史記錄，作為分析實(shí)驗(yàn)的數(shù)據(jù)源。參照BMM模型處理數(shù)據(jù)的具體步驟，擬設(shè)定分塊時(shí)長(zhǎng)為兩周，每?jī)芍軐?duì)系統(tǒng)的分塊區(qū)間進(jìn)行一次最大值篩選，一年內(nèi)可得到24個(gè)樣本極值。如圖1為半年樣本數(shù)據(jù)展示。

圖1　一月到六月的樣本數(shù)據(jù)

根據(jù)處理好的實(shí)驗(yàn)數(shù)據(jù)，利用極大似然估計(jì)法[15]的Matlab設(shè)計(jì)程序，對(duì)參數(shù)進(jìn)行估計(jì)。結(jié)果如下：

根據(jù)參數(shù)結(jié)果可以給出P概率下的VaR值，給定0.95和0.99下的VaR值：

VaR0.95=0.439VaR0.99=0.741結(jié)果表示根據(jù)過(guò)去一年的歷史數(shù)據(jù)得出未來(lái)系統(tǒng)可能發(fā)生的最大操作風(fēng)險(xiǎn)為0.7。根據(jù)專(zhuān)家知識(shí)和B2C企業(yè)歷史經(jīng)驗(yàn)，該系統(tǒng)的操作風(fēng)險(xiǎn)處于高風(fēng)險(xiǎn)狀態(tài)范圍內(nèi)。部門(mén)可以從5個(gè)控制點(diǎn)入手進(jìn)行管理工作，使信息系統(tǒng)適應(yīng)B2C模式的外部變化環(huán)境，對(duì)系統(tǒng)進(jìn)行學(xué)習(xí)和升級(jí)。從而降低信息系統(tǒng)的操作風(fēng)險(xiǎn)，控制在理想狀態(tài)。

通過(guò)實(shí)驗(yàn)結(jié)果調(diào)查，應(yīng)用極值理論對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)管理可以使企業(yè)確切地估計(jì)出系統(tǒng)存在的最大操作風(fēng)險(xiǎn)，管理部門(mén)可以為每個(gè)員工或部門(mén)設(shè)置VaR限額來(lái)防止各部門(mén)出現(xiàn)過(guò)度的投機(jī)行為。如果執(zhí)行嚴(yán)格的VaR評(píng)估管理,可以避免一些重大操作風(fēng)險(xiǎn)事件的發(fā)生。

將計(jì)算出的風(fēng)險(xiǎn)值和自身的承受能力做對(duì)比，可以解決系統(tǒng)的操作風(fēng)險(xiǎn)難題。為管理者的企業(yè)控制、管理操作風(fēng)險(xiǎn)提供重要依據(jù)，它是管理者做決策的有力分析工具。

5　結(jié)　語(yǔ)

操作風(fēng)險(xiǎn)對(duì)于電子商務(wù)系統(tǒng)的威脅正逐漸被人們所重視。由于缺乏歷史數(shù)據(jù)和經(jīng)驗(yàn)，應(yīng)用于金融和保險(xiǎn)領(lǐng)域的傳統(tǒng)操作風(fēng)險(xiǎn)評(píng)估方法并不能直接嫁接于電子商務(wù)系統(tǒng)的操作風(fēng)險(xiǎn)評(píng)估。本文通過(guò)分析操作風(fēng)險(xiǎn)的定義和B2C模式的業(yè)務(wù)特點(diǎn)，構(gòu)建出基于VaR方法和極值理論的評(píng)估模型。

實(shí)驗(yàn)結(jié)果表明，通過(guò)本文方法獲得的風(fēng)險(xiǎn)值和系統(tǒng)自身承受能力對(duì)比，可以解決電子商務(wù)系統(tǒng)的操作風(fēng)險(xiǎn)問(wèn)題，并為管控電子商務(wù)操作風(fēng)險(xiǎn)提供重要依據(jù)。

未來(lái)研究工作的重點(diǎn)是進(jìn)一步完善電子商務(wù)系統(tǒng)的操作風(fēng)險(xiǎn)評(píng)估模型，包括改進(jìn)VaR方法的其他模型(POT模型的運(yùn)用)、風(fēng)險(xiǎn)量化分析表構(gòu)建和設(shè)置更加有效關(guān)鍵內(nèi)部控制點(diǎn)等，為中小型電子商務(wù)企業(yè)的風(fēng)險(xiǎn)管理提供更可靠的衡量依據(jù)。

[1] Rahim N A, Tafri F H. Operational risk measurement[C]//Langkawi: Statistics in Science, Business, and Engineering. 2012(7):1-4.

[2] British Bankers Association. International Swaps and Derivatives Association and Robertrris Association. Operational Risk-The Next Frontier[J]. The Journal of Lending & Risk Management, 2000(3):38-44.

[3] Laycock M. Analysis of Mishandling Losses and Processing Errors[M]. Operational Risk and Financial Institutions, 1998:131-145.

[4] Embrechts P, Resnick I, Gennady S. Extreme value Theory as a Risk management Tool[J]. North American Actuarial Journal,1999,3(2):30-41.

[5] Demoulin C, Embrechts P, NeSlehova J. Quantitative Models for Operational Risk:Extremes, Dependence and Aggregation[J]. Journal of Banking and Finance,2006, 30(10):2635-2658.

[6] 巴曙松．巴塞爾新資本協(xié)議框架下的操作風(fēng)險(xiǎn)衡量與資本金約束[J]．經(jīng)濟(jì)理論與經(jīng)濟(jì)管理，2003(2):17- 24.

[7] 陳倩. 基于極值理論的商業(yè)銀行操作風(fēng)險(xiǎn)度量研究[J]. 中國(guó)管理科學(xué), 2012(S1)：332-339.

[8] 陳寶強(qiáng)，劉學(xué)娟．基于極值理論與蒙特卡洛模擬的商業(yè)銀行操作風(fēng)險(xiǎn)度量研究[J]．中國(guó)管理信息化，2014，17(6):70-73.

[9] Saul I, Michael C. Encyclopedia of Operations Research and Management Science[M]. New York: Springer US, 2013.

[10] 風(fēng)險(xiǎn)價(jià)值VaR的計(jì)算方法研究重慶[D]．重慶大學(xué)，2013.

[11] Imamverdiyev Y. An application of extreme value theory to e-government information security risk assessment [C]//Baku: Application of Information and Communication Technologies,2013(7):1-4.

[12] 樊陳．基于風(fēng)險(xiǎn)管理整合框架下的電子商務(wù)系統(tǒng)內(nèi)部控制研究[D]．首都經(jīng)濟(jì)貿(mào)易大學(xué),2013.

[13] 黃錫遠(yuǎn). 基于“18號(hào)指引”構(gòu)建會(huì)計(jì)信息系統(tǒng)內(nèi)部控制體系[J]. 財(cái)會(huì)月刊：會(huì)計(jì)版, 2011(9):59-61.

[14] Kratchman, S H， Smith J L， Smith L M. Perpetration and Prevention of Cyber Crimes[J]. Internal Auditing, 2008，23(2):3-12.

[15] 穆?lián)P眉．極大似然估計(jì)的幾種求法[J]．科技信息，2011(29):30-72.

ON OPERATIONAL RISK ASSESSMENT OF B2C E-COMMERCE INFORMATION SYSTEM

Xie LixiaSun Weibo

(School of Computer Science and Technology, Civil Aviation University of China, Tianjin 300300, China)

Aiming at the problem of B2C e-commerce operational risk assessment, we proposed an EVT-based security evaluation method. First, we constructed a quantification method of operational risk according to the operational risk definition and risk types. Then, we improved the value at risk (VaR) method based on block maxima method (BMM) of EVT by adopting calculation results as the sample data. Consequently, we obtained the operational risk assessment results of e-commerce system by quantitative calculation and comprehensive analysis. Experimental results indicated that by comparing the risk values obtained with our method and the bearing capacity of system its own can solve the problem of operational risk of e-commerce system, and it can provide the important basis for controlling the operational risk of e-commerce as well.

E-commerceOperational riskRisk assessmentExtreme value theory (EVT)Value at risk

2015-06-08。國(guó)家自然科學(xué)基金項(xiàng)目(60776807，6117 9045);國(guó)家科技重大專(zhuān)項(xiàng)(2012ZX03002002);天津市科技計(jì)劃重點(diǎn)項(xiàng)目(09JCZDJC16800)。謝麗霞，副教授，主研領(lǐng)域：網(wǎng)絡(luò)與信息安全。孫偉博，碩士生。

TP393.08

A

10.3969/j.issn.1000-386x.2016.09.010