在數字化和信息技術高度依賴的時代，網絡攻擊、數據洩露等事件頻發，企業面臨巨大的運營風險。傳統風險管理方法難以應對網絡風險的動态性和相關性，同時企業在有限預算下如何分配資本以降低風險，成為亟需解決的問題。企業如何科學評估網絡風險，并在預算約束下實現網絡安全防禦投資、網絡安全保險和風險準備金的最優配置？傳統方法通常無法将這個問題的經濟性分析與網絡系統的結構性信息有效結合起來，導緻決策不夠精細。

針對這一問題，beat365金融系教授馮潤桓與其合作者香港大學副教授莊榮峰（Wing Fung Chong）、康奈爾大學博士生胡兆軒和俄亥俄州立大學助理教授張臨風，在保險與風險管理領域國際頂級期刊《風險與保險期刊》（Journal of Risk and Insurance）上發表研究論文Cyber Risk Assessment for Capital Management。研究提出了“雙支柱”框架，旨在幫助企業在預算約束下，利用網絡系統的結構性信息實現網絡風險管理的最優策略。

該框架的第一個支柱是基于級聯模型（Cascade Model）的網絡風險評估。其整合了外在網絡威脅、系統漏洞、網絡安全控制措施、企業資産及安全事故影響，構建張量化損失模型來量化企業在預算期内的潛在損失。第二支柱是資本管理優化。通過設計整體優化模型來平衡事前投資（風險降低）、保險（風險轉移）、準備金（風險保留） 三類資本。該模型采用加權目标函數和帕累托優化，并綜合考慮機會成本、預算約束及風險偏好，以實現綜合财務影響的最小化。

研究在此框架下對曆史上的網絡安全事故數據進行分析。研究表明，在無預算限制的情況下，企業采用投資、保險和準備金的綜合策略能夠實現财務影響最小化。然而，當預算受限時，雖然直接成本有所下降，但由于準備金不足導緻風險暴露，财務影響會急劇上升。此外，安全解決方案價格、保險保費、機會成本以及管理偏好等參數對最優策略具有顯著影響。行業層面，小企業因預算緊張通常依賴準備金，而大型企業更傾向于采取多元化策略；同時，風險評估需結合主動掃描，以避免低估潛在攻擊路徑。

該框架首次将網絡系統的結構性信息與精算風險建模融合，提供了科學的資本分配方案，兼顧經濟性與安全性。研究為企業制定網絡風險管理策略、網絡安全保險設計及監管标準提供理論依據，并可擴展至多組織協同管理和動态多期模型。

供稿：金融系

編輯：張曉雪

審核：衛敏麗