2.3.4 风险控制

　　风险控制是对经过识别和计量的风险采取分散、对冲、转移、规避和补偿等措施，进行有效管理和控制的过程。风险管理/控制措施应当实现以下目标：

　　①风险管理战略和策略符合经营目标的要求;

　　②所采取的具体措施符合风险管理战略和策略的要求，并在成本/收益基础上保持有效性;

　　③通过对风险诱因的分析，发现管理中存在的问题，以完善风险管理程序。

　　按照国际最佳实践，在日常风险管理操作中，具体的风险管理/控制措施可以采取从基层业务单位到业务领域风险管理委员会，最终到达高级管理层的三级管理方式。

　　2.4 商业银行风险管理信息系统

　　风险信息在各业务单元的流动不完全是单向循环，其过程具有多向交互式、智能化的特点。有效的风险管理信息系统应当能够及时整合各种风险类别的信息和数据，提供卓越的风险分析功能，具有很强的备份和恢复能力。

　　2.4.1 数据收集

　　(1)风险信息/数据的种类

　　①内部数据：一般通过商业银行内部的业务数据仓库获得。

　　②外部数据：通过专业数据供应商所获得的数据

　　l 国内市场行情和信息数据

　　l 外部评级数据

　　l 行业统计分析数据

　　l 外部损失数据

　　(2)风险信息的特征及系统结构方面的问题

　　①精确性

　　②及时性

　　③系统结构方面的问题。

　　交易系统的数据信息可能没有记录系统那样精确，需要特别留意。区分系统“真实的”和交易人员“假设的”分析操作。信息系统需要设计远程数据的传输和储存结构。

　　2.4.2 数据处理

　　(1)处理输入数据/信息

　　①中间计量数据。中间计量数据应该存储到数据仓库中，一般采用三维存储方式，例如时间、情景、金融工具。

　　②组合结果数据。组合结果数据根据不同的风险管理目标存储到风险数据仓库中，以便业务人员和风险管理人员通过信息终端获取。

　　(2)信息储存操作

　　信息储存系统应当结合以下能力：

　　①增添最初没有预计到的产品特性(新产品风险技术改进);

　　②以特定的投资组合方式集中并计量风险;

　　③重新定义投资组合，以及如何将不同的产品组合在一起。

　　2.4.3 信息传递

　　有效的风险管理是指在正确的时间将正确的信息传递给正确的人。先进的企业级风险管理信息系统一般采用B/S结构，操作人员通过IE方式实现远程登录，就可以在最短的时间内获得所有相关的风险信息。

　　发布风险分析信息/报告分为两个步骤：

　　①预览

　　②发布

　　2.4.4 信息系统安全管理

　　①针对风险管理组织体系、部门职能、岗位职责等，设置不同的进入级别;

　　②为每个系统用户设置独特的识别标志，并定期更换登录密码或磁卡;

　　③对每次系统登录或使用提供详细笔记，以便为意外事件提供证据;

　　④设置严格的网络安全/加密系统，防止外部非法入侵;

　　⑤随时进行数据信息备份和存档，定期进行检测并形成文件记录;

　　⑥设置灾难恢复以及应急操作程序;

　　⑦建立错误承受程序，以便发生技术困难时，仍然可以在一定时间内保持系统的完整性。