企业风险控制，从IT系统与企业风险控制的角度来讲又可以分为两方面：一是IT怎样在企业风险控制中发挥作用，二是IT风险是怎样控制的。IT风险管控问题前期已经讨论较多，本文主要分享IT怎样在企业控制中发挥作用。

　　从银行角度来讲，正在根据银监会要求实施新资本协议，由于金融危机之后国际监管机构对银行风险控制有了更高的要求，巴塞尔III在巴塞尔II的基础上增加了一些内容。银监会新的监管要求参照巴塞尔III，并结合中国实际进行了改进。

　　在巴塞尔委员会《新资本协议框架完善建议》与银监会印发的《商业银行资本充足率监督检查指引》（银监发〔2009〕109号）中，提出了全面风险管理的总体原则和评估标准。全面风险管理框架应当包括以下要素：有效的董事会和高级管理层监督；适当的政策、程序和限额；全面、及时的识别、计量、监测、缓释和控制风险；良好的管理信息系统；全面的内部控制。

　　工商银行对风险管理非常重视，董事会下面设有专门的风险管理委员会。在高管层也专门设有风险管理委员会，并设立了首席风险官。工商银行的风险管理思路遵循标准化、集中化、独立性、问责制四大原则。按照COSO、巴塞尔要求和管理标准，工商银行十分重视标准化，提出了精细的十二级贷款分类以及客户信用评级体系。工商银行的信息系统是集中的，全球所有的数据都集中在数据中心。独立性强调的是权利的分割，包括前后台的分割，审计和相关部门的分离。工商银行在2002年就开始实行员工问责制的政策与程序。

　　为了适应巴塞尔III的需要，信息系统要具备很多功能：支持各业务条线的风险计量和全行风险加总；识别全行范围的集中度风险，包括信用风险与市场风险、流动性风险、声誉风险等各类风险相互作用产生的风险；分析各类风险缓释工具在不同市场环境的作用和效果；支持全行层面的压力测试工作，评估各种内外部冲击对全行及主要业务条线的影响；具有适当的灵活性，及时反映风险假设变化对风险评估和资本评估的影响。

　　全面风险管理覆盖全面风险识别、评估、分析、监测报告、风险控制的全流程。风险的识别中第一支柱的风险包括了信用、市场和操作风险。第二支柱的风险包括集中度风险、流动性风险、银行账户利率风险、战略风险、声誉风险。

　　工商银行完成全面风险管理体系业务架构及应用架构规划，包括全面风险管理体系的建设目标，各类风险之间的关系、风险管理系统建设与业务经营及新资本协议实施之间的关系等以及实施路线图等，为后续建设工作提供了实施蓝图。

　　在信用风险方面：建设完成全行对公、个人客户的统一信用风险评价及模型验证体系，提高我行信用风险管理水平。已达到信用风险内部评级法达标的要求。

　　主要包括：信贷管理系统(包括零售和非零售)：工行建设全行统一、集中的法人信贷管理系统、个人信贷管理系统。通过全行信贷业务数据集中，实现对信贷业务全流程自动化、规范化管理，逐步建立起贷前风险评估、贷中风险监测控制、贷后风险处置等信用风险管理功能，提高全行业务集约化经营管理水平及风险控制能力。

　　内部评级法系统：根据巴塞尔新资本协议实施要求，启动内部评级法系统建设，引入国际先进银行的建模方法，实现对客户违约概率、违约损失率的科学计量，并稳步推进内部评级体系在信贷业务、风险管理、内部资本配置和公司治理等方面的量化决策支持应用。

　　客户信用风险管理系统：从人民银行、银监会各类征信系统、黑名单系统获取行外信用数据，纳入行内信贷业务办理流程进行统一核查、控制，从而提升防范信用风险，尤其是跨商业银行信用风险的能力，有效甄别不良客户，降低信用风险产生的损失。

　　在市场风险方面：自主研发建立了市场风险系统基础平台，预计年内可达到市场风险内部模型法要求。主要包括：

　　金融市场交易管理系统群：包括自主研发的金融市场交易管理平台、人民币债券及资金交易系统，以及外购的BTS、Summit系统，覆盖了外汇交易、本外币债券、资金市场、衍生产品等业务品种，实现全行金融市场业务的交易管理及前台控制功能。

　　产品控制系统：借鉴国际先进银行的领先实践，2010年正式投产产品控制系统平台，以中台风险管理的独立视角承担我行金融市场交易头寸、价格、市值及其损益（即金融市场产品）的质量保证职责，构建了金融市场业务的质量测试和保证平台。

　　全球市场风险管理系统：按照巴塞尔新资本协议内部模型法的要求，2010年自主研发建设了市场风险管理系统，涵盖人民币债券、外币债券、外汇交易、衍生产品交易等产品，对全行资金业务市场风险VaR值进行统一计量和分析，实现了市场风险的数据集中、计量集中、监控集中和管理集中。

　　在操作风险方面：建立了操作风险管理系统，预计到年底可达到操作风险高级计量法（AMA）达标要求。主要包括：

　　搭建了集中统一的业务运营风险管理系统，取代现有后督和会计风险监控系统，丰富业务监控模型和监控范围，有效降低前台业务操作风险。支持灵活多样的监督机构体系设置

　　操作风险高级计量法系统：根据巴塞尔新资本协议实施要求，启动操作风险高级计量法系统建设，建立了内部损失数据收集系统、风险控制和自我评估系统、情景分析管理系统、关键风险指标系统、以及资本计量系统，基本实现操作风险的高级计量和管理。

　　流动性风险：建立了包括监管资本和经济资本在内的资本管理体系，实现了风险加权资产、资本充足率的计量，以及经济资本的计划、配置、计量、监控、考核等管理功能。主要包括：

　　新资本协议风险加权资产系统：根据银监会《商业银行实施新资本协议申请和审批指引》、《商业银行资本充足率披露指引及模板》的规定，投产新资本协议风险加权资产计量系统。通过系统自动化平台，采集行内各风险系统的统计数据，清晰合规地实现信用、风险、操作三大风险的风险加权资产计量，据此测算资本充足率，满足监管报送要求。

　　内部资本充足评估程序（ICAAP）：针对新资本协议第二支柱包括的第一支柱未完全覆盖或未涉及的银行实质性风险（如利率风险、流动性风险、集中度风险、战略风险、声誉风险等）进行识别和评估，通过整合性压力测试评估资本需求，定期向高管层、董事会及监管机构报送，以全面提升我行资本管理和风险计量水平。