2.3 組織架構設計

金融機構應根據監管規定和自身需要，按照合規、高效的原則，建立和不斷完善信息科技風險管理組織架構，確保信息科技風險管理各項措施實施到位，從而有效控制信息科技風險。

2.3.1 信息科技風險防范的三道防線機制

為全面加強信息科技風險管理，金融機構應建立信息科技風險防范三道防線機制，形成完整的信息科技風險防控體系，讓三道防線各司其職、分工合作并有效發揮作用。信息科技風險三道防線的各個部門職責不同，應保持獨立性，同時又應互相協助、互相監督、互相補充。

第一道防線是指信息科技管理部門。各級信息科技部門（包括研發中心、數據中心、測試中心等二級部門，以及分支機構的信息科技部門）承擔信息科技風險的直接管理責任。

第一道防線除了承擔信息系統的研發、測試、運維等工作以外，還應開展信息科技風險控制目標的制定、風險控制措施的執行、風險應急處置、風險總結等工作，通常包括不斷制定和完善信息科技制度，優化信息科技基礎架構，強化網絡安全防范體系，及時開展各種風險自查工作等。

信息科技部門的員工應具有相應的專業知識和技能，重要崗位應制定詳細完整的工作手冊并適時更新，確保員工了解、遵守信息科技策略、指導原則、信息保密、授權使用信息系統、信息科技管理制度和流程等要求，評估關鍵崗位信息科技員工流失帶來的風險，做好候補員工和崗位接替計劃等防范措施。信息科技部門通常向分管信息科技的金融機構領導（如首席信息官）和高級管理層下設的信息科技管理委員會報告。

第二道防線是指信息科技風險管理部門，由風險管理部或內控合規相關部門負責。信息科技風險管理部門對第一道防線進行檢查、監督和指導，確保第一道防線控制的有效性，并將信息科技風險納入全面風險管理體系，建立信息科技風險的控制標準和分類分級標準，對信息科技風險進行全面評估、監測、計量和報告。

風險管理部門通常向分管風險管理的金融機構領導（如首席風險官）和風險管理委員會報告，和第一道防線保持獨立。

第三道防線是指信息科技審計部門。審計部門按監管要求和風險狀況，以獨立的第三方立場開展信息科技審計工作，對整個信息科技風險管理過程進行監督；進行全面、獨立、客觀的審計和評價，發現問題，提出建議，督促整改，檢查評估信息科技部門風險管理、內控合規的充分性和有效性。審計部門通常直接向董事會或其下屬的審計管理委員會報告，和信息科技部門及風險管理部門保持獨立。

2.3.2 三道防線協同機制

建立信息科技風險防范的三道防線機制，是基于金融機構內部控制的根本要求，將有關自我控制、檢查管理和監督評價三類內控保障活動分別交由前臺業務部門、中臺風險管理部門和后臺審計部門分工合作的組織方式。

三道防線機制是全面覆蓋組織經營管理各機構、各環節，實現信息共享、合作互動、適當交叉、合理覆蓋的內控保障活動機制，基本特點如下。

?第一道防線強調信息科技部門對信息科技管理工作的實時控制，并開展自我評估、自我整改。

?第二道防線強調風險管理部門對第一道防線進行指導和檢查，督促整改。

?第三道防線強調內部審計部門對第一道防線和第二道防線進行獨立的再監督和再評價，并督促一、二道防線及時整改。

建立信息科技風險防范三道防線機制，實現前臺、中臺和后臺的分離和制衡，形成完整的信息科技風險防控體系，三道防線各司其職、分工合作并有效發揮作用，從而共同防范信息科技風險。

為了更有效地協同信息科技風險防范三道防線工作，金融機構可建立三道防線聯席會議機制。

?參會人員：該會議由分管信息科技風險防范三道防線部門的金融機構領導（如一把手、首席信息官、首席風險官等）、三道防線部門負責人、三道防線業務骨干等參加，會議由金融機構一把手或首席信息官主持召開。

?議事機制及議事內容：該會議定期（如每半年或每季度）召開，聽取和審議信息科技風險相關重大事項、三道防線工作報告，回顧上期會議工作任務落實情況，開展重點問題討論等。該會議必要時可邀請其他相關業務部門、法律合規部門、辦公室、財務部門等相關部門負責人參與。

?日常工作：可由信息科技部門負責日常的會議組織、會議紀要、會議要求落實督辦等工作，并牽頭組織三道防線部門之間的溝通協調工作。

2.3.3 其他業務部門

信息科技是為業務發展服務的。金融業已經跨入“互聯網+”時代，信息科技對金融機構業務發展的支撐作用越來越顯著，自助端、移動端、PC端等新型入口大幅提升了銀行的服務能力。

信息科技既取代了大量的手工勞動，降低了運營成本，又為客戶提供了更好的體驗，并提升了客戶黏性。進一步地，信息科技既要服務業務發展，也要起到引領業務發展的作用。科技人員應該積極充分地了解、分析業務需求，減少重復建設，在現有業務模式的基礎上、在對風險與效益進行有效平衡的前提下規劃系統開發。

系統上線后，科技人員也要主動反思信息系統生產過程中存在的問題，對系統進行改進，更好地幫助業務發展提出建設性的建議。

信息科技風險具有全局性的特點，因為信息技術已經滲透到金融機構的每一個業務部門、業務流程。信息科技要與業務深度融合，信息科技風險不僅是信息科技部門及信息科技二、三道防線的事情，也是金融機構所有業務部門的事情，需要業務部門深度參與信息系統的設計與開發，保證系統需求、用戶驗收測試（User Acceptance Test, UAT）和系統投產后驗證工作的質量，在信息系統上線后，要對信息系統業務使用安全如訪問權限控制、網絡安全、數據安全等承擔責任，切實控制業務用戶共用或借用、任意下載客戶信息等風險，與信息科技部門一起承擔第一道防線職責。此外，要增強業務人員的信息科技風險意識，積極配合信息科技三道防線開展各種信息安全意識提升工作。

綜上，信息科技風險管理要貫穿于金融機構的各級機構、各部門和各條線的管理和業務流程之中，信息科技風險防范三道防線要和業務部門相互促進、相互監督、共同發展。