1. 金融業資訊風險與控制管理之發展趨勢
The Development Trend of IT Risk and Control Management in Financial Industry
Prometheus Yang，CFE，CISA，CRISC
國際電腦稽核協會(ISACA)會員
mail: Prometheus.yang@gmail.com
摘要
在歷經金融風暴與金融海嘯的衝擊後，金融機構對於法令遵循及風險管理與控制
更加重視，又因資訊系統大量用來處理金融單位的交易、財務、信用與客戶資料，
資訊風險與控制成為金融機構積極管理的一環。本文以行政院金融監督管理委員
會所提出之金融業內部控制三道防線為出發點，介紹資訊風險與控制的使命、責
任、與實務，作為金融產業未來在規劃資訊風險與控制管理之參考依據。
Abstract
Driven by increased demands from regulatory agencies, compliance and risk
management become more and more important in financial industry. In addition, the
information systems are widely used to process transaction, financial, credit, and
customer data. How to management the IT Risk and Control also becomes one of the
biggest challenges for financial institutions. Except for introducing the development
trend of IT Risk and Control management in financial industry, this article will also
introduce the IT Risk and Control management’s missions, responsibilities, and
practices which can be used as reference when design and implement the IT Risk and
Control Function in the financial institutions.
關鍵詞
金融業 資訊風險與控制 三道防線 IT Risk & Control
壹、前言 Preface
隨著資訊科技的發展，金融業相關業務由人工紙本作業改為透過資訊系統蒐集、
處理、及利用，以求增進營運效益並降低成本。然而，2001 年與 2002 年間，美
國安隆（Enron）與世界通訊（WorldCom）相繼爆發的會計財務醜聞，動搖了投
資人對資本市場投資的信心，為提升投資人對資本市場投資的信心，美國國會於
2002 年 10 月通過對美國沙賓法案（Sarbanes-Oxley Act），除促使企業營運及財
務資訊透明化，並透過建立相關規範來確保財務資料正確及可靠性來，加強監督
與強化公司治理，由於資訊系統大量運用於財務與會計流程中，因此，資訊系統
內控制度之建立，一夕之間變成法律上的要求。另於 2008 年由次級房貸所引發
的金融海嘯，起因於經營階層僅追求短期利益，導致企業面臨極大的潛在危機，
凸顯了在公司治理中管理階層對風險控管不足的問題，因此，風險管理成為在金

2. 融海嘯後，金融業所要面臨的一大課題。上述兩大事件除影響公司治理外，對金
融業資訊管理也產生重大的變革，傳統上透過資訊單位主管與內部稽核來確保資
訊風險管理與內部控制的有效性已無法滿足主管機關及社會大眾對金融業公司
治理的要求，所以，國外金融機構開始設立獨立於資訊業務單位與內部稽核單位
外的部門，專責於資訊風險管理與控制以符合法令遵循與內部控制的需求。本文
目的即在介紹風險與控制(IT Risk and Control)管理的發展趨勢及資訊風險與控
制管理的使命、責任、及實務。
貳、金融業資訊風險與控制管理的演變 The Change of IT Risk and Control
Management in Financial Industry
在沙賓法案及金融海嘯等事件後，金融主管機關與社會大眾對於金融業風險管理
及控制的要求與日俱增，為滿足公司治理與法令遵循的要求，金融業開始採用「三
道防線 (Three Lines of Defense)」的風險管理架構來加強並確保內部控制管理。
而在台灣，金融監督管理委員會(以下簡稱「金管會」)銀行局(以下簡稱「銀行局」)
為強化法令遵循及風險管理等第二道防線功能，以確保內部控制制度之有效性，
也於 2013 年 04 月 02 日發函中華民國信託業商業同業公會說明銀行內部控制三
道防線。根據銀行局的定義，自行查核為第一道防線，法令遵循與風險管理為第
二道防線，內部稽核為第三道防線，為使內部控制制度能有效及適當的運作，由
第一道、第二道防線進行風險監控，第三道防線進行獨立監督，三道防線各司其
職。(陳姸沂，2013)
根據上述定義，資訊業務單位在「三道防線」的風險管理架構下屬於第一道防線。
資訊單位除負責組織的系統開發、監控、及維護等業務外，同時也兼負資訊系統
專案管理、變更管理、效能管理、事故管理、及營運持續管理等工作。而資訊風
險與控制管理僅是資訊單位眾多工作項目之一。在過去，資訊系統內部控制管理
的責任通常是由資訊單位主管擔任或者資訊單位資深人員兼任，隨著法令遵循、
內部控制、及風險管理的要求增加，部份金融機構開始思考如何強化第一道防線，
於是出現分工機制，成立「資訊風險與控制」單位或專責人員來協助資訊業務單
位滿足主管機關與組織對資訊作業流程管理的要求。
參、願景與使命 Vision & Mission
為有效發揮資訊風險與控制的功能，需要定義清楚此功能的願景與使命，透過與
相關單位的溝通與宣導，確保與資訊風險與控制管理作業相關的單位與成員能形
塑共同的願景與一致的方向，以達成企業資訊風險與控制管理的目標。
一、願景 Vision
資訊風險與控制管理功能的願景，旨在協助企業追求資訊作業營運與策
略目標的同時，同時能降低資訊作業風險、確保資訊控制有效性、及兼
顧法令遵循要求。

3. 二、使命 Mission
資訊風險與控制管理應提供安全感及信賴感予資訊作業相關的利害關
係人1
，為達成上述使命，資訊風險與控制管理功能應
1. 透過合作與參與來管理風險及內部控制
2. 創造價值與差異
3. 為利害關係人提供保障與服務
(一) 透過合作與參與來管理風險及內部控制
資訊業務單位與內部稽核單位之間，由於權責不同的關係，為避免
自曝其短而引起可能的稽核缺失，多數的資訊業務單位在面對內部
控制的弱點或問題時，並不會主動與內部稽核單位討論，因而容易
錯過改善內部控制並降低風險的機會。當資訊風險與控制單位剛在
組織出現時，也時常遭遇資訊業務單位拒絕配合的情況，這是因為
資訊業務單位成員不瞭解資訊風險與控制單位的角色及功能，錯將
資訊風險與控制單位及內部稽核單位劃上等號而不願意配合。因此，
需要經過一段過渡期，讓資訊業務單位瞭解資訊風險與控制單位的
出現，並非以發現控制缺失為目的，而是希望透過與資訊業務單位
合作一同達到內部控制目標。經驗告訴我們，需要在雙方經歷幾次
合作且看到成效後，才會讓資訊業務單位從觀望轉為願意配合資訊
風險與控制單位的各項活動。
在實務上我們也發現，有效的資訊風險與控制，不能單靠資訊單位
主管擔任或者少數資訊單位同仁，而是要透過全員參與的方式，才
能在組織內落實風險與控制管理文化，因此，資訊風險與控制單位
應透過教育訓練與宣導的方式，協助資訊業務單位所有同仁瞭解資
訊風險與控制管理的要求，讓所有資訊單位同仁透過參與負起資訊
風險與控制的責任。
另外，在面對金融主管機關法令遵循要求時，部門間由於職掌不同，
影響對事情的看法，因而時有各部門解讀與處理主管機關要求方式
不同調的情形出現。為滿足主管機關對內部控制的要求，各單位應
透過合作來管理風險與內部控制。由於資訊風險與控制單位負責資
訊單位的風險與內部控制作業，可居中扮演協調者與溝通者的角色，
協助跨部門間溝通與合作，共同完成資訊風險與控制管理的目標。
(二) 創造價值與差異
1
是指組織內外受資訊風險與控制活動而影響其利害的個人或團體。

4. 過去的資訊風險與控制，旨在滿足主管機關與內部稽核單位對資訊
治理的要求。而在今日，金融業除了希望滿足上述目標外，更希望
透過資訊風險與控制管理來為組織創造價值並提升競爭力。首先，
可以透過作業流程分析(Business Process Analysis)、風險控制矩陣
(Risk Control Matrix; RCM) 或稱風險控制評估 (Risk Control
Assessment; RCA)、與風險評鑑(Risk Assessment)等方式，瞭解資訊
作業流程中所面臨的風險，接著除了針對高風險活動進行風險處理
(Risk Treatment)外，在控制活動的設計上，採適當比例原則來尋求
最適當的控管措施，以期在風險與控管找到平衡點，透過降低風險、
簡化流程、並增加效率來為組織創造價值。
再者，資訊風險與控制單位負責監控資訊單位的高或潛在風險事項
(Top / Emerging Risk) 、事故與處理情形 (Issue & Action) 、營運
損 失 (Operational Loss) 、 及 法 令 遵 循 要 求 (Compliance
Requirements)等項目，可提供管理報表供管理階層有效掌握資訊業
務單位所面臨的風險與挑戰，並即時採取行動以增加資訊管理效
率。
透過上述的兩項工作，資訊風險與控制不僅可以為組織創造價值，
也可以透過比競爭對手更有效的資訊風險與控制管理來取得差異
化。
(三) 為利害關係人提供保障與服務
金融業資訊風險與控制單位所面臨的利害關係人可分為內部與外
部。外部利害關係人包含主管機關、客戶、投資大眾等。資訊風險
與控制單位的目標，旨在強化組織內部控制並降低資訊作業風險，
除滿足主管機關對公司治理的要求外，也提供客戶及投資大眾資訊
系統管理上的保障。而內部利害關係人則包含資訊業務單位，業務
單位，稽核單位及法務單位等。資訊風險與控制單位扮演著組織內
部顧問的角色，確保內部單位對資訊風險與控制的需求，能取得適
切的建議與諮詢服務，以滿足資訊風險與控制有效性，為不同利害
關係人提供保障與服務。
肆、資 訊 風 險 與 控 制 的 架 構 與 執 掌 IT Risk & Control Framework and
Responsibilities
本章以金管會銀行內部控制三道防線為藍圖，建立資訊風險與控制架構，說明不
同單位間所扮演的角色與執掌，並介紹跨部門組織的合作模式，作為組織資訊風
險與控制管理的遵循依據。

5. 資訊風險與控制架構可分為三層，第一層由資訊業務單位及資訊風險與控制單位
所組成，第二層由主要由法令遵循單位，風險控制管理單位，法務單位及銀行風
險控制相關之主題專家(Subject Matter Expert，SME)所組成，第三層為內部稽核
單位。在此架構之下，由資訊風險與控制單位負責資訊風險與控制管理的推動者，
整合者與溝通者的角色，協調跨不同領域的專家一同合作，以滿足主管機關及組
織內部對資訊風險與控制管理的要求。(如圖 1 所示)
茲將資訊風險與控制架構中，各層內相關單位之職掌說明如下:
一、資訊業務單位 (第一道防線)
資訊業務單位主要負責系統的開發，監控，與維護，其主要任務為確保
資訊系統維運滿足組織營運與策略目標。此外，資訊業務單位為資訊控
制活動的實際執行者，對資訊作業流程中各項控制活動性的執行有效性
負責，因此，擔任資訊風險與控制流程的子流程負責人(Sub-Process
Owner，SPO)。除上述工作外，在與資訊風險與控制單位合作上，資訊
業務單位應
- 提供資訊風險與控制執行現況 (如自行查核結果、事故報告、及矯
正預防措施進度等相關作業)
- 配合資訊風險與控制相關作業 (如資訊作業稽核、自行查核、及法
令遵循等相關作業)

6. - 尋求資訊風險與控制管理諮詢
二、資訊風險與控制單位
資訊風險與控制單位主要負責資訊作業法令遵循、資訊風險與控制、資
訊作業稽核窗口，其主要任務為確保資訊作業風險與控制符合法令要求，
並滿足組織營運與策略目標。此外，資訊業務單位為資訊控制活動的實
際設計者，對資訊作業流程中各項控制活動性的設計有效性負責，因此，
擔任資訊風險與控制流程的主要流程負責人(Mega Process Owner，
MPO)。除上述工作外， 資訊風險與控制單位也負責與其他單位進行資
訊風險與控制相關的溝通與協調工作。
1. 在與資訊業務單位的溝通上，資訊風險與控制單位應
- 提供資訊風險與控制建議，確保資訊業務單位確實瞭解資訊控
制活動的目的(Objective)，風險 (Risk)，控制活動(Control
Activities)。
- 監督資訊風險與控制管理，透過執行或檢視自行查核報告，來
瞭解資訊控制活動的執行結果，以確保控制活動的執行有效
性。
- 追蹤資訊風險與控制相關活動，對於自行發現缺失，事故，法
令遵循要求或其他資訊風險與控管相關活動， 資訊風險與控制
單位應負責追蹤，以確保風險被適當的管理。
2. 在與營運長或資訊長的溝通上，資訊風險與控制單位應
- 提供資訊風險與控制管理現況報告，確保營運長或資訊長瞭解資
訊單位所面臨的風險與控管狀況。
- 報告資訊稽核作業相關事項，協助營運長或資訊長瞭解稽核執行
狀況，如有稽核缺失，亦應協助營運長或資訊長瞭解缺失發生原
因與矯正預防措施。
- 說明資訊風險或控制事故與處理情形，供營運長或資訊長瞭解事
故成因，影響及矯正預防措施。
- 提報其他可能影響資訊風險與控制管理事項，確認營運長或資訊
長瞭解資訊風險與控制相關的事項，並進行後續相關風險處理措
施。
3. 在與法令遵循單位，風險控制管理單位，法務單位及銀行風險控制
相關之主題專家等(第二道防線)的溝通上，資訊風險與控制單位應
- 瞭解第二道防線中，法令遵循單位，風險控制管理單位，法務單
位及銀行風險控制相關之主題專家等對資訊作業適法性風險與

7. 營運風險之要求，並配合共同設計相關之資訊風險與控制管理措
施。
- 追蹤並回覆法令遵循單位，風險控制管理單位，法務單位及銀行
風險控制相關之主題專家有關上述資訊風險與控制管理措施之
設計與執行狀況。
- 諮詢法令遵循單位，風險控制管理單位，法務單位及銀行風險控
制相關之主題專家對與資訊風險與控制相關的法令，規範，政策
中的疑慮之處進行說明。
4. 在與稽核單位(第三道防線)的溝通上，資訊風險與控制單位應
- 於內外部稽核期間，擔任稽核單位與資訊業務單位的聯絡窗口。
- 與稽核單位討論稽核的範圍，時程，資料調閱清單並協調資訊業
務單位提供協助。
- 與資訊業務單位共同參與訪談，以掌握稽核進度。
- 確定資訊業務單位所提供稽核調閱資料的正確性及完整性。
- 討論稽核報告內容及矯正預防措施處理情形。
三、法令遵循單位，風險控制管理單位，法務單位及銀行風險控制相關之主
題專家等(第二道防線)
對於資訊風險與控制管理，第二道防線的相關部門應協助資訊相關單位
(含資訊風險與控制單位)瞭解並落實主管機關與組織對於風險與控制
的要求。因此，必須要與業務單位密切合作，完成下列事項
- 協助決定經營策略
- 執行銀行政策與程序
- 蒐集資訊以呈現整體銀行風險輪廓
(陳姸沂，2013)
四、稽核單位 (第三道防線)
對資訊風險與控制管理，內部稽核單位應該對資訊作業流程進行定期或
不定期的稽核，追蹤缺失改善狀況，並向審計委員會呈報各項稽核(內
部，外部，主管機關稽核)執行情況，以協助了解資訊風險控管狀況。
因此，必須要與業務單位密切合作，完成下列事項
- 獨立評估第一道與第二道防線所設計程序之有效性
- 對控制制度與程序之有效性提供保證
(陳姸沂，2013)
伍、資訊風險與控制的實務 IT Risk and Control Practice
一、尋求最適解而非最佳解

8. 在風險與控制活動的設計上，常常會因為成本、資源、或時間而限制可
行解決方案的選擇。因此，在實務上，往往我們需要在成本、資源、或
時間等限制因素上取得妥協，來選擇最合適的解決方案。下面的例子，
正可說明控制活動的設計者在面對現實限制因素的挑戰。
電子郵件的便利性，廣泛被使用在組織之中。在電子郵件傳遞的使用上，
不免涉及到決策、財務、客戶個人資料、交易等資訊，若未能妥善進行
電子郵件歸檔管理，除了可能違反法令遵循對資料保存的要求，更可能
面對主管機關的裁罰。例如美國某金融機構曾因未妥善建制電子郵件歸
檔管理機制，遭主管機關高額罰款就是個例子。針對電子郵件歸檔管理
要求，最佳的解決方案當然是備份組織內所員工的所有郵件，不過，在
實務上，備份所有員工的所有郵件並不是最適當的解決方案，主要來自
於成本的考量。雖然現在硬碟設備費用低廉，不過，電子郵件數量成長
速度太快，若備份所有人的電子郵件，將會大幅提高備份成本。若要解
決電子郵件歸檔管理問題，應在考量風險、成本、與價值下，找出最符
合組織利益的解決方法。
從上述例子，可以得知在風險與控制活動的設計上，應從眾多可行方案
中，找出最適合的方式，而如何判是否為最合適，則要透過分析風險、
成本、與價值之間的關係，可避免陷入尋求最佳解的迷思，協助資訊業
務單位找出可執行且又能符合主管機關與公司治理要求的最適合解。
二、少即是多
每一項控制活動的設計與執行，背後都包涵有形與無形的成本，因此，
設計資訊作業控制活動時，首先應從控制目的(Control Objective)與控制
風險(Control Risk)來考量，而非是盲目的設計並執行各項控制活動。
舉例來說，風險控制矩陣(Risk Control Matrix，RCM)或稱風險控制評估
(Risk Control Assessment，RCA)常被用來作為組織瞭解內部作業流程、
控制目的、控制風險進而作為控制活動設計的工具。但是在實務上我們
發現由於沒有正確的使用，反而沒有讓上述的工具發揮應有的功效。最
常見的問題就是，當在準備風險控制矩陣或風險控制評估時，填表人往
往擔心漏列控制活動，因而花很多時間在條列控制活動，而未確實進行
風險評估，覺得列越多風險項目及控制活動就是好的，風險控制矩陣表
或風險控制評估表淪為記載控制活動的工具。
事實上，由於每個控制活動都需要使用組織的有形或無形成本來執行，
為使公司資源有效運用，在進行風險評估與控制活動設計時，不宜使用

9. 齊頭式的控管方式，而應秉持少就是多(Less is More)的原則，透過風險
控制矩陣或風險控制評估來辨識高風險活動，對於高風險活動進行風險
處理，而對於非高風險活動，依風險等級分配適當比例的資源進行控
制。
三、分工合作、各盡其職
隨著資訊科技的演進與主管機關法令遵循的要求，金融業資訊風險管理
所面臨的挑戰比以往艱鉅，需要透過不同領域的專家(如資訊作業、內
部稽核、風險與內部控制、資訊安全、與舞弊偵防等)一同合作來協助
組織管理所面臨的風險。例如:
今日資訊業務單位面臨的最大挑戰在於對系統效能、法令要求、風險判
斷等來自不同利害關係人的要求是否能正確解讀，並採取適當措施。例
如，在 2012 年施行的個人資料保護法施行細則第 12 條中提到「使用紀
錄、軌跡資料及證據保存」一項。一般的資訊業務單位在面對此項要求
時，可透過啟動系統稽核機制來滿足使用紀錄及軌跡資料保存的要求。
不過，常發現資訊業務單位忽略考量使用紀錄及軌跡資料可能因存取權
限與儲存地點的設計不當，無法滿足證據保存中的正確性及完整性要求。
這樣的盲點，說明資訊業務單位雖然能滿足科技技術上的要求，但仍需
要與不同領域的專家(如法令遵循、風險管理、舞弊偵防等)分工合作，
才能滿足法令遵循或公司治理的要求。
上述的例子，正可說明資訊作業控制活動的設計者在面對科技演進與法
令遵循要求時所面臨的挑戰，得需要諮詢不同領域的專家，才能找到適
當的處理方式。由於不同領域的專家，所受的訓練與溝通方式均不相同，
為求有效溝通，透過具有資訊、風險管理、稽核、及法令遵循訓練的資
訊風險與控制單位成員，可擔任不同部門間協調者與溝通者的角色，讓
各部門間分工合作、各盡其職以滿足法令遵循與公司治理的要求。
陸、結語
在歷經金融風暴與金融海嘯的衝擊後，跨國金融機構對於法令遵循及風險管理與
控制更加重視，又因資訊系統大量用來處理金融單位的交易、財務、信用與客戶
資料，資訊風險與控制成為金融機構積極管理的一環。因此，越來越多的跨國金
融機構在既有的資訊業務、法令遵循、內部稽核單位外，設置專責組織或人員擔
任資訊風險與控制管理的工作。而目前國內也有多家金融機構設置資訊風險與控
制管理單位或專責人員。如何讓資訊風險與控制單位協助組織滿足法令遵循及公
司治理的要求，並為組織創造價值，是組織管理階層及資訊風險與控制負責人員
的當務之急。本文以金融業內部控制的三道防線為出發點，介紹資訊風險與控制

10. 的使命、責任、與實務，可作為金融產業未來在規劃資訊風險與控制管理之參考
依據。此外，由於本文旨在說明金融業資訊風險與控制管理之發展趨勢，建議後
續研究者可針對 ISACA 資訊系統風險架構、資訊風險評估方法論、或資訊風險
與控制管理的價值，提供有系統的介紹，作為組織管理階層及資訊風險與控制負
責人員的建置或維護資訊風險與控制體系之用。
參考文獻
陳姸沂(2013)，銀行內部控制三道防線，http:// www.ba.org.tw/News_File/銀行三
道防線-陳妍沂 102.6.19pdf.pdf