4.2.1  商业银行研发风险管控组织体系概述

研发风险管控组织是保证研发风险管控工作有效开展的基础。完善的研发风险管控组织有利于商业银行研发风险管控策略的推动落实，有助于研发风险管控要求的贯彻执行，从而全面提升商业银行研发风险管控水平。建立健全研发风险管控组织，开展研发风险管控工作，加强信息系统研发风险管控，是满足外部监管要求和加强内部管理的双重需要。

目前，商业银行普遍建立了信息科技风险管理组织，满足了基本工作需要。但是，多数商业银行的信息科技风险管理组织未能深入到研发风险管理领域，一定程度上制约了研发风险管控工作的开展。当前，在研发风险管控组织建设方面存在的主要问题包括：一是研发风险管控组织机构不完善，缺少专职部门推动研发风险管控工作开展；二是组织职能不完善，现有职能普遍以开展安全检查为主，未能有效履行研发风险管控职责；三是研发风险管控角色不明确，项目研发团队普遍缺少研发风险管控角色。研发风险管控要求难以传导和落地；四是人才队伍问题，研发人员缺乏安全技术、技能，在组织层面缺少安全专家团队对信息系统安全设计开发进行指导和把关。

研发风险管控组织应以建立健全研发风管控体系和推动研发风险管控工作开展为主要工作内容。由于研发风险管控工作涉及领域、层次较多，一方面需要贯彻落实商业银行风险管理战略，做好业务部门和信息科技部门之间的跨部门协调工作；另一方面在信息科技部门内部也涉及机房、网络、主机、应用、数据等多个技术领域和相关部门，涉及项目管理、研发管理、质量管理、运维管理等管理部门，要做好这些部门之间的协调工作，因此完善的研发风险管控组织体系不但要与现有信息科技管理组织相契合，而且要具有高度的灵活性和实效性，以确保研发风险管控策略的有效传导和贯彻落实。因此，构建完善的研发风险管控组织体系，需遵从以下几方面原则[37]：

1.坚持信息科技风险管理领导小组的顶层设计

研发风险是信息科技风险的内容之一，研发风险管控工作涉及多个信息科技管理领域。将研发风险管控组织纳入信息科技风险管理领导小组有利于贯彻信息科技风险管理策略，统筹信息科技各领域风险管理职责落实和资源分配，推动研发风险管控工作持续健康发展。

2.坚持矩阵式管理思路

在当前研发风险管控人才不足的情况下，要做到一才多用和复用，充分发挥不同领域专业人员的优势，取长补短，互通有无，使研发风险管控组织的整体运作效能达到最佳。对具体项目组来说，其研发风险管控的角色来源于不同的部门。他们同时接受项目组和所属部门的管理，也充当着项目组和部门之间联系的纽带，共同推动该项目研发风险管控工作开展。

3.坚持权限分离和相互制约

安全评审是确保研发风险管控工作取得实效的重要手段。商业银行研发风险管控模型的12项安全管理活动中有4项与评审相关。因此，在研发风险管控组织体系设计过程中，必须设置独立的安全专家来担任评审角色，以实现对其他角色权限的制约[37]。