信息科技风险管理:合规管理、技术防控与数字化
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人
上一章目录下一章

2.3 组织架构设计

金融机构应根据监管规定和自身需要,按照合规、高效的原则,建立和不断完善信息科技风险管理组织架构,确保信息科技风险管理各项措施实施到位,从而有效控制信息科技风险。

2.3.1 信息科技风险防范的三道防线机制

为全面加强信息科技风险管理,金融机构应建立信息科技风险防范三道防线机制,形成完整的信息科技风险防控体系,让三道防线各司其职、分工合作并有效发挥作用。信息科技风险三道防线的各个部门职责不同,应保持独立性,同时又应互相协助、互相监督、互相补充。

第一道防线是指信息科技管理部门。各级信息科技部门(包括研发中心、数据中心、测试中心等二级部门,以及分支机构的信息科技部门)承担信息科技风险的直接管理责任。

第一道防线除了承担信息系统的研发、测试、运维等工作以外,还应开展信息科技风险控制目标的制定、风险控制措施的执行、风险应急处置、风险总结等工作,通常包括不断制定和完善信息科技制度,优化信息科技基础架构,强化网络安全防范体系,及时开展各种风险自查工作等。

信息科技部门的员工应具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时更新,确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求,评估关键岗位信息科技员工流失带来的风险,做好候补员工和岗位接替计划等防范措施。信息科技部门通常向分管信息科技的金融机构领导(如首席信息官)和高级管理层下设的信息科技管理委员会报告。

第二道防线是指信息科技风险管理部门,由风险管理部或内控合规相关部门负责。信息科技风险管理部门对第一道防线进行检查、监督和指导,确保第一道防线控制的有效性,并将信息科技风险纳入全面风险管理体系,建立信息科技风险的控制标准和分类分级标准,对信息科技风险进行全面评估、监测、计量和报告。

风险管理部门通常向分管风险管理的金融机构领导(如首席风险官)和风险管理委员会报告,和第一道防线保持独立。

第三道防线是指信息科技审计部门。审计部门按监管要求和风险状况,以独立的第三方立场开展信息科技审计工作,对整个信息科技风险管理过程进行监督;进行全面、独立、客观的审计和评价,发现问题,提出建议,督促整改,检查评估信息科技部门风险管理、内控合规的充分性和有效性。审计部门通常直接向董事会或其下属的审计管理委员会报告,和信息科技部门及风险管理部门保持独立。

2.3.2 三道防线协同机制

建立信息科技风险防范的三道防线机制,是基于金融机构内部控制的根本要求,将有关自我控制、检查管理和监督评价三类内控保障活动分别交由前台业务部门、中台风险管理部门和后台审计部门分工合作的组织方式。

三道防线机制是全面覆盖组织经营管理各机构、各环节,实现信息共享、合作互动、适当交叉、合理覆盖的内控保障活动机制,基本特点如下。

❑第一道防线强调信息科技部门对信息科技管理工作的实时控制,并开展自我评估、自我整改。

❑第二道防线强调风险管理部门对第一道防线进行指导和检查,督促整改。

❑第三道防线强调内部审计部门对第一道防线和第二道防线进行独立的再监督和再评价,并督促一、二道防线及时整改。

建立信息科技风险防范三道防线机制,实现前台、中台和后台的分离和制衡,形成完整的信息科技风险防控体系,三道防线各司其职、分工合作并有效发挥作用,从而共同防范信息科技风险。

为了更有效地协同信息科技风险防范三道防线工作,金融机构可建立三道防线联席会议机制。

❑参会人员:该会议由分管信息科技风险防范三道防线部门的金融机构领导(如一把手、首席信息官、首席风险官等)、三道防线部门负责人、三道防线业务骨干等参加,会议由金融机构一把手或首席信息官主持召开。

❑议事机制及议事内容:该会议定期(如每半年或每季度)召开,听取和审议信息科技风险相关重大事项、三道防线工作报告,回顾上期会议工作任务落实情况,开展重点问题讨论等。该会议必要时可邀请其他相关业务部门、法律合规部门、办公室、财务部门等相关部门负责人参与。

❑日常工作:可由信息科技部门负责日常的会议组织、会议纪要、会议要求落实督办等工作,并牵头组织三道防线部门之间的沟通协调工作。

2.3.3 其他业务部门

信息科技是为业务发展服务的。金融业已经跨入“互联网+”时代,信息科技对金融机构业务发展的支撑作用越来越显著,自助端、移动端、PC端等新型入口大幅提升了银行的服务能力。

信息科技既取代了大量的手工劳动,降低了运营成本,又为客户提供了更好的体验,并提升了客户黏性。进一步地,信息科技既要服务业务发展,也要起到引领业务发展的作用。科技人员应该积极充分地了解、分析业务需求,减少重复建设,在现有业务模式的基础上、在对风险与效益进行有效平衡的前提下规划系统开发。

系统上线后,科技人员也要主动反思信息系统生产过程中存在的问题,对系统进行改进,更好地帮助业务发展提出建设性的建议。

信息科技风险具有全局性的特点,因为信息技术已经渗透到金融机构的每一个业务部门、业务流程。信息科技要与业务深度融合,信息科技风险不仅是信息科技部门及信息科技二、三道防线的事情,也是金融机构所有业务部门的事情,需要业务部门深度参与信息系统的设计与开发,保证系统需求、用户验收测试(User Acceptance Test, UAT)和系统投产后验证工作的质量,在信息系统上线后,要对信息系统业务使用安全如访问权限控制、网络安全、数据安全等承担责任,切实控制业务用户共用或借用、任意下载客户信息等风险,与信息科技部门一起承担第一道防线职责。此外,要增强业务人员的信息科技风险意识,积极配合信息科技三道防线开展各种信息安全意识提升工作。

综上,信息科技风险管理要贯穿于金融机构的各级机构、各部门和各条线的管理和业务流程之中,信息科技风险防范三道防线要和业务部门相互促进、相互监督、共同发展。

上一章目录下一章