信息科技風險管理組織機構及職責

良好的信息科技治理應形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結構，為信息科技的發展提供戰略方向和資源保障，并保證信息科技的戰略與業務戰略目標相一致。

董事會的管理職責

董事會為信息科技風險管理最高決策機構，董事會履行以下信息科技風險管理職責：

（一）遵守并貫徹執行國家有關信息科技管理的法律、法規和技術標準，落實相關監管要求。

（二）審查批準信息科技戰略，確保其與總體業務戰略和重大策略相一致。評估信息科技及其風險管理工作的總體效果和效率。

（三）掌握主要的信息科技風險，確定可接受的風險級別，確保相關風險能夠被識別、計量、監測和控制。

（四）規范職業道德行為和廉潔標準，增強內部文化建設，提高人員對信息科技風險管理重要性的認識。

（五）在建立良好的公司治理的基礎上進行信息科技治理，形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結構。加強信息科技專業隊伍的建設，建立人才激勵機制。

（六）確保內部審計部門進行獨立有效的信息科技風險管理審計，對審計報告進行確認并督促落實整改。

（七）每年審閱高級管理層報送的信息科技風險管理年度報告。

（八）確保信息科技風險管理工作所需資金。

（九）確保所有員工充分理解和遵守經其批準的信息科技風險管理制度和流程，并安排相關培訓。

（十）確保涉及客戶信息、賬務信息以及產品信息等的核心系統在中國境內獨立運行，并保持最高的管理權限，符合銀監會監管和實施現場檢查的要求，防范跨境風險。

（十一）及時獲悉高級管理層報告的發生的重大信息科技事故或突發事件。

（十二）配合監管機關做好信息科技風險監督檢查工作，并按照監管意見進行整改。

（十三）履行信息科技風險管理其他相關工作。

高級管理層的管理職責

高級管理層履行以下信息科技風險管理職責：

（一）負責制定和組織實施信息科技戰略，確保其符合總體業務戰略。

（二）負責審核批準信息科技風險管理方面的制度和規范，以確保信息系統安全運行。

（三）聽取信息科技風險管理工作匯報，審議重大信息科技風險的解決方案，協調信息科技風險管理所需資源，保證風險管理措施得到全面落實，保障信息科技風險管理的有效性。

（四）負責審議信息安全策略及信息系統業務連續性方案，并保證信息系統業務連續性方案得到定期演練。

（五）負責審議報送監管機構的信息科技相關風險報告，及時向監管機關報告發生的重大信息科技事故或突發事件，按相關預案組織快速響應。

（六）負責審議信息科技風險管理的其他重大事項。

信息科技部門的管理職責

信息科技部門是信息科技風險管理的執行部門，按照各自工作職責范圍履行以下信息科技風險管理職責：

（一）負責信息科技風險管理體系的建設和落實，建立信息科技風險識別、分析和評估、控制、監測和報告工作程序，并組織實施。

（二）負責建立健全信息科技管理工作制度、規范和流程。

（三）負責業務需求的統籌管理，運用風險管理手段，控制相關的風險。

（四）負責信息系統的規劃、設計、開發、測試和運行，運用風險管理手段，控制相關的風險。

（五）負責信息系統高可用和容災建設，支持業務持續運行。

（六）負責向風險管理部門提供信息科技風險狀況報告，及時報告重大信息科技事故或突發事件。

（七）與其他部門協作，共同完成信息科技風險管理的其他工作。

風險管理部門的管理職責

風險管理部門是信息科技風險管理的總體協調及督導部門，履行以下信息科技風險管理職責：

（一）對信息技術部門制定的與信息科技風險管理相關的制度及實施細則進行審查并加簽意見。

（二）建立操作風險識別、評估、計量、控制/緩釋和監測方法并組織實施，協助信息科技部門識別、評估、計量、控制/緩釋和監測信息科技風險。

（三）建立操作風險損失數據收集機制，負責組織信息科技部門和其他相關部門收集和分析信息科技風險事件和損失數據。

（四）定期檢查、分析、評估和考核信息科技風險的管理情況。

（五）為信息科技部門提供風險管理方面的培訓，協助信息科技部門提高風險管理水平。

審計部門的管理職責

審計部門履行以下信息科技風險管理職責：

（一）負責對信息科技系統和內控機制的充分性和有效性進行審計和評價。

（二）負責制定和執行信息科技審計計劃，對信息科技風險管理工作和重大事件等進行審計。