商业银行信息科技治理建设指导意见(V2.51)(征求意见稿)
银监会《商业银行信息科技风险治理指引》[新版]
![银监会《商业银行信息科技风险治理指引》[新版]](https://img.taocdn.com/s3/m/a2e8907226d3240c844769eae009581b6bd9bde4.png)
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行、政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
商业银行信息科技风险管理指引
商业银行信息科技风险管理指引引言当前,信息技术在商业银行中的应用已经成为一个不可避免的趋势。
随着信息技术的广泛应用,商业银行信息系统也逐渐成为商业银行运营的核心系统。
信息系统的故障或者安全问题都将对银行业务的正常运转产生严重影响,甚至会威胁到商业银行的稳定和客户的资产安全。
因此,商业银行必须高度重视信息科技风险管理,制定并执行科学的风险管理政策和措施,全面加强信息科技风险的防范和控制,保障银行系统的正常运转和客户资产的安全。
一、商业银行信息科技风险管理的概念和意义商业银行信息科技风险管理是指商业银行对信息系统在建设、运行、维护中存在的各种风险进行预防、识别、评估、监控、控制和处理的过程。
包括各种技术性、管理性、组织性等原因导致的风险。
商业银行信息科技风险管理的意义在于,其可以保证银行系统的安全运行,防止因为信息技术问题而导致的不可预测的经济损失或者声誉损失,并且提高了银行运营的效率和客户满意度。
二、商业银行信息科技风险管理的基本原则1.全面风险管理商业银行信息科技风险管理必须全面、系统、科学,覆盖银行信息系统存在的所有风险和所有环节,从建设、运维、数据安全、人为操作等方面全面进行防范和控制。
2.风险评估与分类商业银行应该对系统中可能存在的风险进行评估,建立风险分类模型,并对不同等级的风险实施不同的管理控制措施。
例如,对高风险的风险点要进行重点防范和控制。
3.合理的防范和控制措施商业银行应该在原则上坚持从源头上预防风险,同时合理安排多重的防护和控制措施,做到及时发现并应对风险事件。
4.风险应急预案的制定商业银行应该针对系统存在的风险,制定相应的风险应急预案,以便在风险事件发生时可以快速、有效地控制和处理风险事件。
5.科学、全面的监控手段商业银行应该通过建立全面、科学的监控系统来及时发现和预防风险。
同时,应该制定合理的监控指标和阈值,建立预警机制,及时发现风险事件的动态变化,以便对其进行及时的调整和应对。
商业银行信息科技管理评级定量和定性规范标准
-`信息科技风险(Information Technology Risk )(一)信息科技治理(15 分)1.信息科技治理组织架构( 8 分)(1)能否确定董事会、高管层信息科技管理职责。
(2)能否成立完美的信息科技管理制度系统。
(3)能否成立完美合规的信息科技“三道防线”以及信息科技三道防线的实质运作。
(4)能否明确信息科技治理作为重要构成部分归入企业治理。
评分原则:(1)观察董事会、高管层的信息科技治理职责能否完好,信息科技发展战略不经董事会审批,或许今年内董事会会议不形成年度信息科技工作决策的此项最高得分 4 分。
(2)观察能否成立信息科技管理制度的草拟、公布、订正等工作流程,信息科技管理制度能否涵盖系统开发、项目管理、系统运转、信息安全、外担保理、业务连续性等领域。
(3)观察能否明确信息科技管理、信息科技风险管理和信息科技风险监察的“三道防线”职责,“三道防线”部门设置能否合规;能否建立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并按期向高管层报告工作。
(4)观察商业银行能否以正式制度(文件)明确信息科技治理应作为重要构成部分归入企业治理;能否拟订了信息科技治理运作成效查核指标并按期进行评论。
2. 信息科技对业务发展的专业支持和般配度(7 分)(1)信息科技战略与业务发展战略的般配度。
(2)信息科技人员、信息科技投入等与业务发展的般配度(定量)。
(3)董事会、高管层等决策人员能否具备足够的信息科技专业知识能力。
评分原则:(1)观察能否成立明确、可实行的信息科技发展战略;能否认期评论信息科技战略规划实行成效,成立信息科技战略与业务战略的协调一致体制。
(2)观察信息科技人员数目、信息科技人员占比、信息科技投入占比与商业银行发展水平能否般配,低于同质同类商业银行均匀值的此项酌情扣分;观察商业银行信息系统建设与业务发展的支撑与般配程度。
(3)观察拥有信息科技管理经验的高管人员在董事会、决策层能否拥有必定的占比;能否建立首席信息官,直接向行长报告,并参加重要决策,首席信息官能否拥有必定的信息科技专业背景或从业经验。
商业银行信息科技治理制度
商业银行信息科技治理制度商业银行信息科技治理制度第一章总则为规范商业银行(以下简称本行)的信息科技治理,提升信息科技工作和风险管理水平,根据《商业银行信息科技风险管理指引》(XXX〔2009〕19号)及有关文件,制定本制度。
本制度所称信息科技治理是指本行在运用信息技术过程中,为实现信息科技工作既定目标所做出的制度安排,包括组织架构、技术架构、运行机制和激励约束等。
本行信息科技治理的目标是健全信息科技治理组织和技术架构,明确决策和管理职责,优化资源配置,有效控制信息科技风险,确保信息科技战略与业务发展目标相适应,增强核心竞争力和可持续发展能力。
第二章组织架构信息科技治理组织架构:本行建立从董事会、高级管理层,到委员会、领导小组,直至相关部门的信息科技治理组织架构。
本行建立信息科技管理委员会,下设信息安全及其他信息科技具体工作领导小组。
本行建立业务连续性管理委员会,下设信息科技及其他条线的突发事件应急处置领导小组。
本行建立由信息科技部门、风险管理部门以及审计部门构成的信息科技风险三道防线结构。
第三章组织职责董事会是本单位信息科技治理的最高决策机构。
董事会审议批准信息科技工作年度报告,由信息科技管理委员会组织编制,内容包括但不限于治理架构建设、战略规划制定、科技预算和投资等。
董事会审议批准信息科技风险管理年度报告,由业务连续性管理委员会组织编制,内容包括但不限于信息科技风险总体情况、业务连续性管理和外包风险管理等。
董事会每年听取内部审计部门独立有效的信息科技工作及风险管理工作审计报告,要对报告给予确认并落实整改。
董事会授权业务连续性管理委员会及其下设的信息科技应急处置领导小组,根据行业管理机构要求,迅速处置并及时报告信息科技重大突发事件。
或指定人员。
2.成员:信息科技部门负责人、风险管理部门负责人、审计部门负责人等相关部门负责人。
3.外部顾问:可聘请信息安全领域专业人士担任顾问。
二)职责1.制定并正式发布信息安全管理制度,明确信息安全管理的组织架构、责任制、管理流程和控制措施等内容。
银行业信息科技十二五规划指导意见
中国银行业信息科技“十二五”发展规划监管指导意见之大型商业银行和股份制商业银行篇中国银行业监督管理委员会二○一一年六月目录第一章信息科技发展状况 (4)第二章面临的机遇与挑战 (10)第三章信息科技发展的目标、原则、重点与实施策略 (13)第一节总体目标 (13)第二节指导原则 (14)第三节战略重点 (15)第四节实施策略 (18)第四章推进信息科技治理能力建设,加强信息科技战略与企业战略协同 (19)第一节深入开展信息科技治理体系建设 (19)第二节优化信息科技组织架构 (21)第三节加强信息科技队伍建设,提升信息科技核心竞争力 (22)第四节构建信息科技制度框架,有效提高管理水平 (23)第五节建立健全架构管控体系,贯彻落实信息科技战略 (24)第五章打造智能绿色基础设施,提高支持业务发展能力 (25)第一节加强基础设施优化整合,提高基础设施支撑保障能力 (25)第二节提高基础设施管理水平,提升基础设施服务能力 (28)第三节加强技术应用,提高基础设施可持续发展能力 (31)第六章加强信息科技风险管理,完善研发运维体系 (33)第一节建立全面的信息科技风险管理体系与长效管理机制 (33)第二节加强信息安全管理,全面提升信息安全保障能力 (34)第三节强化研发体系建设,掌握信息科技核心能力 (36)第四节强化运维体系建设,提升系统服务水平 (37)第五节建立业务连续性管理体系,保障金融服务持续稳定 (39)第六节建立健全信息科技外包管理机制,防范外包风险 (41)第七章加大应用体系建设力度,提升经营管理能力与客户服务水平 (42)第一节推进核心应用系统建设,打造高效灵活的业务运营平台 (42)第二节加强内部管理系统建设,提高精细化管理水平 (47)第八章加强风险管理基础设施建设,提升风险管理水平 (49)第一节完善信用风险管理系统建设 (49)第二节推进市场风险管理系统建设 (50)第三节加强操作风险管理系统建设 (51)第四节推进资产负债管理信息化建设 (52)第五节加强资本管理信息化建设 (52)第六节建立信息披露和报告体系 (52)第七节构建风险数据环境 (53)第九章发挥科技创新优势,促进电子银行全面发展 (54)第一节推进电子银行技术与业务模式创新,拓展金融服务渠道 (54)第二节推进电子渠道整合,促进电子银行服务多元化发展 (57)第三节深化风险防控,健全电子银行安全保障体系 (58)第十章建立数据治理机制,推进数据标准化和质量建设 (61)第一节提高认识,建立数据治理体系 (61)第二节加快数据标准建设,统一数据规范 (62)第三节加强数据全生命周期管理,提高数据质量 (62)第四节优化数据架构,推动数据信息逻辑整合 (63)第一章信息科技发展状况“十一五”期间,大型商业银行和股份制商业银行(以下简称大中型银行)信息化建设取得了巨大进步,各银行机构围绕自身整体发展战略,推进信息科技规划与信息科技架构设计,开展应用系统与基础设施建设,逐步建立安全高效的信息系统运行平台,开发种类多样、功能丰富的产品体系,为加快业务发展、加强内部管理和推进全面风险管理提供了有力支持,信息科技已成为银行核心竞争力的重要组成。
商业银行信息科技治理建设指导意见(V2.51)(征求意见稿)
商业银行信息科技治理建设指导意见(V2.51)(征求意见稿)第一篇:商业银行信息科技治理建设指导意见(V2.51)(征求意见稿) 商业银行信息科技治理建设指导意见(讨论稿)第一章总则第一条为规范商业银行信息科技治理,提高信息科技工作效率和风险管理水平,确保信息系统安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》,以及其他相关法律、法规,制定本指导意见(以下简称意见)。
第二条信息科技治理是商业银行公司治理的重要组成部分,是商业银行在运用信息技术过程中,为实现信息科技工作既定目标所做出的制度安排,包括组织结构、技术架构、运行机制和激励约束等。
第三条商业银行信息科技治理的目标是健全信息科技治理组织结构和技术架构,明确决策和管理职责,优化资源配臵,有效控制信息科技风险,确保信息科技战略与业务发展目标相适应,增强商业银行核心竞争力和可持续发展能力。
第四条本意见适用于在中华人民共和国境内依法设立的商业银行,包括国有商业银行、股份制商业银行、城市商业银行和外资银行。
1 由中国银行业监督管理委员会(以下简称中国银监会)监督管理的其他金融机构参照执行。
第二章组织结构第五条董事会是商业银行最高决策组织,在信息科技治理中履行以下职责:(一)审查批准本行信息科技治理结构,定期听取高级管理层关于信息科技工作汇报并予以评价;(二)审查批准信息科技战略规划,确保与银行总体业务发展战略规划和重大策略相一致;(三)审查批准信息科技方面的重大项目和投资。
为确保有效履行上述职责,董事会主要成员应对本行信息科技主要活动有所了解。
第六条监事会是商业银行监督机构,在信息科技治理中应履行以下职责:(一)对董事会、高级管理层履行信息科技职责的行为进行监督;(二)对银行信息科技规划、决策、风险管理和内部控制等进行监督;(三)对没有正确履行信息科技职责的高级管理人员,提出处罚建议。
2 第七条董事长是商业银行法定代表,在信息科技治理中履行以下职责:(一)承担本机构信息科技风险管理的最终责任;(二)召集、主持有关信息科技管理、风险防范和审计的董事会会议;(三)督促、检查董事会制定的信息科技工作决议执行情况;(四)落实其他应由董事长承担的信息科技工作。
银行业IT治理与信息科技监管
位, 导致重复建设 、 信息分割和管理滞后的现象 比较普
遍, 系统难 以有效整合 , 建设 投资成本大 、 资源浪费 , 不
能很 好 地 适 应银 行 业 务 发 展 的需 要 。
点 一划 , 确 了 3 5年 的 I 展 和 治 理 工 作 目标 , 步 推 明 ~ T发 逐
进数据 、 应用和技术架构的建设 。
在 组织 架 构 方 面 ,不 少 银行 均 成 立 了以 行 长 为组
郎门必须面对的考验和严峻挑战。建 风险管理机制 ,重点是要解决信息科
阳核 心 竞争 力 问题 。 : 前金 融 危 机 的背 景 下 , 行业 面 临 当 银
长的信息化建设或安全生产领导小组 ,有 的银行还 成 立了信息科技战略管理委员会 ,建立了风险管理 、 、 I T
理结构 、 体系和机制的体现。T治理要解决信息化建设 I
中深层 次 的机 制 问题 ,建 立 一整 套 明确 决 策 权 属 和 责
防范和化解 信
息 科技风 险 ,
任承担 的制度安排 , 在决策 、 执行和监督 三个方面建立
相 互促 进 、 互 制 约 的组 织 框架 , 立起 规范 的 领 导 责 相 建
的管理 水 平来 实 现 。 理水 平 的提 升 , 管 根本 问题还 是 在 于I T治理 机 制 。 I 理 是公 司治 理 的重 要 组 成部 分 ,也是 公 司 治 T治
同 时 ,信 息 科 技 风 险 也 成 为
影 响 银 行 业 稳 健 发展 的关 键
冈 素 。有 效 地
银行业安全 、
稳健 运转 , 使
务支 持 银 行业 可 持续 、 康 发 展 . 断 健 不
,
已经成为当前促进银行业 信息科技
中国银行业监督管理委员会关于应用可控信息技术加强银行业网络安全和信息化建设的指导意见-国家规范性文件
中国银行业监督管理委员会关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见各银监局、各省(自治区、直辖市及计划单列市)发展改革委、科技厅(委、局)、工业和信息化主管部门、各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司、储蓄银行、各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:为进一步贯彻落实创新驱动发展战略,提升银行业网络安全保障能力和信息化建设水平,推动银行业深化改革、发展转型,促进战略新兴产业发展,现就应用安全可控信息技术加强银行业网络安全和信息化建设提出以下指导意见。
一、总体目标建立银行业应用安全可控信息技术的长效机制,制定配套政策,建立推进平台,大力推广使用能够满足银行业信息安全需求,技术风险、外包风险和供应链风险可控的信息技术。
到2019年,掌握银行业信息化的核心知识和关键技术;实现银行业关键网络和信息基础设施的合理分布,关键设施和服务的集中度风险得到有效缓解;安全可控信息技术在银行业总体达到75%左右的使用率,银行业网络安全保障能力不断加强;信息化建设水平稳步提升,更好地保护消费者权益,维护经济社会安全稳定。
二、指导原则(一)坚持开放合作。
兼容并蓄,凝聚各方智慧和力量,优先应用开放性强、透明度高、适用面广的技术和解决方案,优先选择愿意在核心知识和关键技术领域进行合作的机构,避免对单一产品或技术的依赖。
(二)鼓励自主创新。
充分认识创新驱动发展战略的重要意义,鼓励原始创新、集成创新和引进消化吸收再创新,构建高效稳健的共性关键技术供给体系,掌握银行业信息化核心知识和关键技术。
(三)发挥市场作用。
加快建立高效的创新体系,激发各类创新主体的积极性,以银行业信息化需求培育和带动市场,以信息产业发展促进银行业发展转型,主动把握新兴技术发展机遇,推动银行业信息化创新发展,促进信息产业做大做强。
(四)加强协同合作。
统筹规划,加强政、产、学、研协同合作,营造安全可控信息技术研究、发展和应用的良性互动环境,形成“需求拉动、产业推动、科研驱动”的良性循环。
银监会就银行业信息科技“十三五”规划公开征求意见
银 监会 就银 行 业信 息科 技 “十三 五” 规划 公 开征求 意见
日前 ,银监会组 织编制了 《中国银行业信息科技 “十三五”发展规划监管指导意见 (征求意见稿 )》 (以下简称 《指导 意见 》 ),并 向社会公开征求意见 。
2014年 ,银监会着手研究考虑银行业信息科技 “十三五”发展规划编制工作 ,2015年正式启动规划编制 ,组织行业力量 通过深入研讨论证 、调研走访 ,形成 《指导意见 》。
线上线 下支付体 系 ,将 支付产 品无缝嵌入 消费者 购物 、打 融科技联合创新中心”,应科院将 开发创 科技 、系统及平台,
车 、用餐 、娱乐等 各种生活场景 ,通过金融与生活的有机融 中银香港提洪 I 应用概念、场景与方法 ,两者的结合,可以有
合激发不 同业态的消费需求。
到银行的各种业务中。
年消费 额达 2.8万亿 元 ,贷款余 额超过4300亿 元 ,领跑市场 理 ;减少了客 户多次重复拨 打的情况 ,缓解了人工座席接听
同业 ,初步实现 了 “建设全球第一大发卡银行 ,打造中国第 压力 。此外 ,建 设银行 电话银行还 采取 了前置客 户常用菜
— 信用卡品牌 ”的 目标 ,工银信 用卡 的综合实力正源源不断 单 、增 加对公 客户进线入 口等措施 ,合理 调整 自助 语音菜
构Payments Source最新公布的数据 ,工商银行信用卡的发卡 银行 中心着力打造 “e客服”服务平 台和 品牌的重要举措之
量已达1.15亿张 ,成为全球最大的信用卡发卡银行。同时工商 一 , 95533“e进线 ”功能于近期在全行推广上线 。
银行在 行内推出了覆盖线上线下和020支付全场景的二维码
《指导意见 》分为十 四章 ,前三章回顾 “十二五 ”时期银行业信息科技发展成绩 ,分析 “十三五”时期银行业面临的机 遇和挑 战 ,提出 “十三五 ”指导思想 、总体 目标和指导原则 。第四章至第十三章从提升信息科技治理 水平 ,深化科技创新 , 推进互联网 、大数据 、云计算新技术应用 ,增强应 用体 系支撑能力 ,构建绿色 高效数据 中心 ,健 全产 品研发管理机制 ,加强 信 息安全管理 ,提升信息科技风险管理水平 ,推进科技开发协作等方面提 出重 点工作任务 。第十四章从加强组织领导 、加强 资源保障 、加强评价考核和 加强监管指导四个方面提出规划保障措施 。
银行业信息科技十二五规划指导意见
银行业信息科技十二五规划指导意见中国银行业信息科技〝十二五〞开展规划监管指点意见之大型商业银行和股份制商业银行篇中国银行业监视管理委员会二○逐一年六月目录第一章信息科技开展状况 (4)第二章面临的机遇与应战 (10)第三章信息科技开展的目的、原那么、重点与实施战略 (13)第一节总体目的 (13)第二节指点原那么 (14)第三节战略重点 (15)第四节实施战略 (17)第四章推进信息科技管理才干树立,增强信息科技战略与企业战略协同 (18)第一节深化展开信息科技管理体系树立 (19)第二节优化信息科技组织架构 (21)第三节增强信息科技队伍树立,提升信息科技中心竞争力 (21)第四节构建信息科技制度框架,有效提高管理水平 (23)第五节树立健全架构管控体系,贯彻落实信息科技战略 (24)第五章打造智能绿色基础设备,提高支持业务开展才干 (24)第一节增强基础设备优化整合,提高基础设备支撑保证才干 (25)第二节提高基础设备管理水平,提升基础设备效劳才干 (28)第三节增强技术运用,提高基础设备可继续开展才干 (30)第六章增强信息科技风险管理,完善研发运维体系 (32)第一节树立片面的信息科技风险管理体系与长效管理机制 (33)第二节增强信息平安管理,片面提升信息平安保证才干 (34)第三节强化研发体系树立,掌握信息科技中心才干 (35)第四节强化运维体系树立,提升系统效劳水平 (37)第五节树立业务延续性管理体系,保证金融效劳继续动摇 (38)第六节树立健全信息科技外包管理机制,防范外包风险 (40)第七章加大运用体系树立力度,提升运营管理才干与客户效劳水平 (41)第一节推进中心运用系统树立,打造高效灵敏的业务运营平台 (42)第二节增强外部管理系统树立,提高精细化管理水平 (47)第八章增强风险管理基础设备树立,提升风险管理水平 (48)第一节完善信誉风险管理系统树立 (49)第二节推进市场风险管理系统树立 (50)第三节增强操作风险管理系统树立 (50)第四节推进资产负债管理信息化树立 (51)第五节增强资本管理信息化树立 (52)第六节树立信息披露和报告体系 (52)第七节构建风险数据环境 (52)第九章发扬科技创新优势,促进电子银行片面开展 (53)第一节推进电子银行技术与业务形式创新,拓展金融效劳渠道 (53)第二节推进电子渠道整合,促进电子银行效劳多元化开展 (56)第三节深化风险防控,健全电子银行平安保证体系 (57)第十章树立数据管理机制,推进数据规范化和质量树立 (60)第一节提高看法,树立数据管理体系 (60)第二节加快数据规范树立,一致数据规范 (61)第三节增强数据全生命周期管理,提高数据质量 (62)第四节优化数据架构,推进数据信息逻辑整合 (62)第一章信息科技开展状况〝十一五〞时期,大型商业银行和股份制商业银行〔以下简称大中型银行〕信息化树立取得了庞大提高,各银行机构围绕自身全体开展战略,推进信息科技规划与信息科技架构设计,展开运用系统与基础设备树立,逐渐树立平安高效的信息系统运转平台,开发种类多样、功用丰厚的产品体系,为加快业务开展、增强外部管理和推进片面风险管理提供了有力支持,信息科技已成为银行中心竞争力的重要组成。
把握银行业信息化建设与信息科技风险管理关键——《中国银行业实施新监管标准指导意见》出台背景及重要
统作 为支持 。现 代银行 的经营 管理 已经 与 I T紧密融合 ,银 行的数据 要通过 I T系统 收集 、 存储 、处理 , 务的流程 化 、 业 内部控制 的 “ 刚性 ”化要通过 I T系统实现 。没有数据 和 I T
系统 的 支持 ,新 监管 标准 的实施 只能 成 为无源 之水 、无本 来自同, o 高 层 T p ◎
把握银 行业 信息 化 建 设 与信 息 科技 风 险管 理 关键
《 中国银行业实施新监管标准指导意见 》出台背景及重要意义
口 文/ 中国银行业监督管理委 员会副主席 郭利根
入 亚
融 危机 爆 发后 ,全 球银 行界 对 银行 经 营管 理模 式进 行 全 面反 思 ,国际 金融 监管 架 构和 规则 发 生重 大变
深远 的影 响 。
郭 利根 ,现任 中国银行 业监督 管理委 员会 副主 席、 党委 委员。1 8 4年 1 9 2月 ~2 0 0 3年 7月历任 人民
银 行 副 处 长 、 处 长 、 副 司 长 、 司 长 ,2 0 0 3年 7月
~
20 0 5年 6月任银行 业监督管理 委员会人事部主
业 监管 有效 性 的中长期 规划 ,加强 前瞻介 人监 管 ,引领我
国银 行业科 学发展 。
2 1 年 4 ,银 监 会 发 布 《 国银 行 业 实 施新 监 管 01 月 中 标 准指 导 意见 》( 以下 简称 《 导 意见 》 ,确定 了我 国银 指 )
行业 实施 国际新监 管标 准的 总体原则 、主要 目标 、过 渡期 安 排和 工作要 求 ,是 中国银行业 实施 新监 管标 准的纲 领性
任 、党 委 组织部 部长 ,2 0 0 5年 6月 ~2 0 0 5年 1 2 月任银行 业监 督管理 委员会 主席助理 、党委委员 ,
探索FinTech时代商业银行的信息科技治理模式
探索FinTech时代商业银行的信息科技治理模式
作者:暂无
来源:《中国金融电脑》 2018年第6期
当前,以大数据、云计算、人工智能等为代表的新兴技术与金融业的深度融合正推动着银
行业步入转型发展的快车道。
科技引领、科技驱动、协作创新已成银行业的共识,金融与科技
已不仅仅是技术层面的融合,更体现为思维、理念、业务模式、管理模式等全方位的融合。
在
此背景下,银行系金融科技公司应运而生,并成为银行业在信息经济时代探寻灵活、高效科技
发展模式,增强自身科技综合竞争力的重要战略举措。
同时,《中国银行业信息科技“十三五”发展规划监督指导意见》明确提出,要紧密围绕我国银行业发展战略,全面推进信息科技发展
转型升级、提质增效,有条件的银行金融机构可以尝试建立信息科技公司化运作机制。
可以预见,未来将有更多的银行加入信息科技公司化运作模式的研究与实践队伍,推动公司化运作模
式不断走向成熟、完善,为银行业可持续发展提供坚实的基础和支撑。
FinTech 时代,商业银行如何打造更加契合时代趋势及自身发展特点的信息科技发展模式
及管理体系?如何借助公司化运作切实增强自身科技实力,以更好地支持银行业务转型发展?
如何定位公司化的目标和发展路线?如何优化信息科技队伍建设,充分激发研发人员的活力?
本期专题邀请行业相关专家、领导分享各行在信息科技治理方面的宝贵经验;畅想商业银行开
展信息科技公司化运作的前景;探讨商业银行如何通过公司化模式进一步夯实信息科技基础、
推动FinTech 时代银行业务的创新升级。
商业银行信息科技监管评级定量和定性标准【范本模板】
信息科技风险(Information Technology Risk)(一)信息科技治理(15分)1.信息科技治理组织架构(8分)(1)是否确立董事会、高管层信息科技管理职责。
(2)是否建立完善的信息科技管理制度体系.(3)是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。
(4)是否明确信息科技治理作为重要组成部分纳入公司治理。
评分原则:(1)考察董事会、高管层的信息科技治理职责是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。
(2)考察是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。
(3)考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线"职责,“三道防线"部门设置是否合规;是否设立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作。
(4)考察商业银行是否以正式制度(文件)明确信息科技治理应作为重要组成部分纳入公司治理;是否制定了信息科技治理运作效果考核指标并定期进行评价。
2。
信息科技对业务发展的专业支持和匹配度(7分)(1)信息科技战略与业务发展战略的匹配度。
(2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。
(3)董事会、高管层等决策人员是否具备足够的信息科技专业知识能力.评分原则:(1)考察是否建立明确、可实施的信息科技发展战略;是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。
(2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度。
(3)考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比;是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官是否具有一定的信息科技专业背景或从业经验.(二)信息科技风险管理(12分)1.信息科技风险管理体系(6分)(1)是否将信息科技风险纳入全面风险管理体系,建立完善的信息科技风险管理组织架构。
村镇银行信息科技建设与管理指引
村镇银行信息科技建设与管理指引(征求意见稿)第一章总则第一条为提高村镇银行信息科技建设及管理水平,有效防范信息科技风险,促进村镇银行持续、稳健发展,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,参照《商业银行信息科技风险管理指引》要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的村镇银行,村镇银行主发起行(以下简称主发起行)及承担村镇银行信息科技工作的银行业金融机构。
第三条村镇银行信息科技工作目标是通过建立有效的管理机制,科学开展信息科技建设,加强信息科技风险管控,确保信息科技工作目标与业务发展目标一致,增强核心竞争力,促进村镇银行安全、持续、稳健发展。
第四条村镇银行信息科技工作的基本原则是:(一)发展为本:信息科技工作以支持村镇银行业务健康发展为根本要求;(二)风险可控:积极采取措施,防范系统中断、敏感信息泄露和资金损失等风险;(三)资源共享:信息科技工作应统筹规划、适度集中、节约高效,合理利用信息科技资源。
第五条根据信息科技工作的责任主体不同,村镇银行信息科技管理分为自主管理和主发起行管理两种模式。
自主管理是指村镇银行独立承担信息科技规划、建设、运维、风险管理和审计等责任的管理模式,主发起行管理是指村镇银行将信息科技工作委托给主发起行并由其承担村镇银行信息科技规划、建设、运维、风险管理和审计等责任的管理模式。
第六条本指引所称同业机构是指中国银行业监督管理委员会(以下简称中国银监会)监管的银行业金融机构。
第七条本指引所称同业合作是指村镇银行或主发起行将原本由自身完成的信息科技工作委托给同业机构进行持续处理的行为。
第八条本指引所称信息科技外包是指村镇银行或主发起行将原本由自身完成的信息科技工作委托给同业机构以外的其它机构进行持续处理的行为。
第九条村镇银行应根据本行市场定位和业务发展战略,结合本行管理水平和技术能力,自主确定本行信息科技管理模式,并履行本指引第二章关于不同模式下信息科技治理的要求,积极采用自建、同业合作或外包的方式开展信息科技工作。
商业银行优化IT治理机制提升科技创新能力和持续运营能力的建议
商业银行优化IT治理机制提升科技创新能力和持续运营能力的建议优化IT治理机制,提升科技创新能力银行信息科技已经深入银行业务的方方面面,业务稳定运营依赖于信息科技,业务服务效率依赖于信息科技,提升市场竞争力的金融创新也依赖于信息科技的发展,信息科技的管理成熟度深刻地影响着银行的业务模式,行领导也对科技和创新赋予了更高的期望。
在中国银行业高速发展的这二、三十年时间,信息科技对于银行的发展的功劳是不可替代的,然而从另一个角度来看,能让银行瞬间倒闭的也就是信息科技,因此银行信息科技的健壮性是非常重要的,如何在科技创新能力提升的前提下,同时能够通过安全生产的科技保障机制管理业务的持续运营,是当前面临的问题和挑战。
科技部门树立为业务部门服务的意识,为业务部门创造提升业务绩效的IT系统,通过精细化的科技管理保障科技对业务的持续支持能力,目前科技部门在IT治理结构上已经按照责、权、利分离的管理机制来行使各个职能部门的管理职责,然而在信息科技管理上依然存在着工作任务重、要求严、监管要求细、人员配置不足、绩效评估难的现象,这一现象导致银行的业务与技术之间总是存在着一条看不见的鸿沟,信息科技部门忙碌的工作不但得不到认可和科学的评估,而且时常面临信息安全、运行故障、业务需求及时响应的各种压力,对于监管部门严格细致的监管要求也会因为自身的人力资源状况和银行科技投入情况难以做到理想的达标效果,面对某些整改要求也常常是无奈和困惑。
如何实现高效、健壮和适合自身特征的银行科技服务体系成为了银行管理者必须面对和解决的课题。
信息科技部门的管理运营能力是银行发展的核心竞争力的关键因素,必须采取行之有效的手段,我们的信息科技部门应当重点关注三个方面的事项:1.信息科技如何为业务提供标准化、透明化及与业务相融合的服务,做到凡事可跟踪、过程透明、工作可量化;信息科技建立统一服务台为业务部门提供方便、快捷、高效响应的服务入口,并通过建立协同作业机制保障业务故障的快速恢复及业务需求管理的合理性和战略符合;2.考虑内部规划、开发、运营、风险各个管理条线的内部协同工作和条线之间责、权、利及相互协作的问题,权衡在效率、成本及风险容余度之间的关系,建立畅通的沟通反馈和协调机制,持续优化流程做到过程标准、合规、责任可追溯,绩效可度量,最终在风险管控的前提下做到效率最优;3.建立业务连续性管理机制,加强各种风险场景的预案的制定及相关演练计划,一旦遭遇各类重大事故或灾难,科技部门能迅速响应并快速恢复业务功能。
银监会发布《商业银行信息科技风险管理指引》
银监会发布《商业银行信息科技风险管理指引》
佚名
【期刊名称】《中国信用卡》
【年(卷),期】2009(000)014
【摘要】近日,银监会发布《商业银行信息科技风险管理指引》(以下简称《指引》)。
该《指引》特别强调,商业银行应严防客户信息外泄,同时应对有可能造成客户信息外泄的ATM、POS等终端用户设备进行全面的安全检查。
本次《指引》将替代2006年银监会曾下发的《银行业金融机构信息系统风险管理指引》。
新《指引》的最大亮点是,银监会将监管目标直接锁定为商业银行。
《指引》强调,从保护广大储户利益出发,要求商业银行在信息系统开发、测试和维护,以及服务外包过程中加强对客户信息的保护,防止敏感信息泄露,
【总页数】2页(P74-75)
【正文语种】中文
【中图分类】F832.33
【相关文献】
1.银监会发布《商业银行信息科技风险管理指引》 [J],
2.商业银行:突围科技风险管理初级阶段——银监会《商业银行信息科技风险管理
指引》颁布1周年记 [J], 张妙
3.以中国式的监管促进中国式的风险管理——银监会陈文雄处长谈《商业银行信息科技风险管理指引》的落实和检查 [J], 李庆莉
4.中国银监会发布《商业银行表外业务风险管理指引(修订征求意见稿)》 [J],
5.银监会出台商业银行声誉风险管理指引——要求商业银行将声誉风险管理纳入公司治理及全面风险管理体系 [J],
因版权原因,仅展示原文概要,查看原文内容请购买。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
商业银行信息科技治理建设指导意见(讨论稿)第一章总则第一条为规范商业银行信息科技治理,提高信息科技工作效率和风险管理水平,确保信息系统安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》,以及其他相关法律、法规,制定本指导意见(以下简称意见)。
第二条信息科技治理是商业银行公司治理的重要组成部分,是商业银行在运用信息技术过程中,为实现信息科技工作既定目标所做出的制度安排,包括组织结构、技术架构、运行机制和激励约束等。
第三条商业银行信息科技治理的目标是健全信息科技治理组织结构和技术架构,明确决策和管理职责,优化资源配置,有效控制信息科技风险,确保信息科技战略与业务发展目标相适应,增强商业银行核心竞争力和可持续发展能力。
第四条本意见适用于在中华人民共和国境内依法设立的商业银行,包括国有商业银行、股份制商业银行、城市商业银行和外资银行。
由中国银行业监督管理委员会(以下简称中国银监会)监督管理的其他金融机构参照执行。
第二章组织结构第五条董事会是商业银行最高决策组织,在信息科技治理中履行以下职责:(一)审查批准本行信息科技治理结构,定期听取高级管理层关于信息科技工作汇报并予以评价;(二)审查批准信息科技战略规划,确保与银行总体业务发展战略规划和重大策略相一致;(三)审查批准信息科技方面的重大项目和投资。
为确保有效履行上述职责,董事会主要成员应对本行信息科技主要活动有所了解。
第六条监事会是商业银行监督机构,在信息科技治理中应履行以下职责:(一)对董事会、高级管理层履行信息科技职责的行为进行监督;(二)对银行信息科技规划、决策、风险管理和内部控制等进行监督;(三)对没有正确履行信息科技职责的高级管理人员,提出处罚建议。
第七条董事长是商业银行法定代表,在信息科技治理中履行以下职责:(一)承担本机构信息科技风险管理的最终责任;(二)召集、主持有关信息科技管理、风险防范和审计的董事会会议;(三)督促、检查董事会制定的信息科技工作决议执行情况;(四)落实其他应由董事长承担的信息科技工作。
第八条行长依照董事会授权,领导信息科技工作,在信息科技治理中履行以下职责:(一)确保信息科技所需资源投入,统筹信息科技重大项目建设;(二)提请董事会聘任或者解聘首席信息官。
授权首席信息官、相关职能部门从事信息科技管理活动,协调解决信息科技工作中的重大问题;(三)领导、组织、协调信息科技管理委员会工作;(四)在商业银行发生信息科技重大突发事件时,采取紧急措施,并向监管部门报告;(五)负责其他信息科技工作的领导职责。
第九条商业银行应设立由行长担任主任,首席信息官担任副主任的信息科技管理委员会,其成员应包括科技、风险、主要业务部门和相关综合部门负责人,必要时可聘请外部专业人士担任委员或顾问。
信息科技管理委员会下设办事机构,办事机挂靠信息科技部门或单独设立。
商业银行分支机构可参照总行设立相应组织。
第十条信息科技管理委员会组成人员由行长和首席信息官提出具体人选,由管理层集体研究决定成立,相关材料报监管部门备案。
第十一条信息科技管理委员会成员需掌握信息科技政策和流程基本知识,并能够在其负责的领域进行决策。
信息科技管理委员会职责包括但不限于:(一)审议信息科技发展战略规划并提交董事会审批,确保信息科技发展规划和业务发展规划保持一致;(二)审查批准信息科技建设指导原则、技术架构和主要信息科技工作制度;(三)审议信息科技年度工作计划及预算;(四)审议重大科技项目的立项、预算和实施,并确定重大项目的优先级;(五)审查批准重大信息科技运营、安全、业务连续性、应急管理相关事项;(六)审查批准信息科技职业道德行为规范和全体人员信息科技教育事项;(七)检查所拟订和审议事项的落实和执行情况,组织对信息科技重大事项结果进行评估;(八)审阅并向中国银监会及其派出机构报送信息科技风险管理的年度报告;(九)审查其他有关信息科技工作的重大事项。
第十二条商业银行要制定信息科技管理委员会的章程和工作制度,明确信息科技管理委员会的具体职责、议事规则和办事流程,规范管理。
信息科技管理委员会每半年至少召开一次工作会议,有重大事项时要及时召开会。
议审计部门负责人应列席信息科技管理委员会会议并发表独立意见。
第十三条商业银行设立首席信息官,在行长领导下开展工作,其职责包括:(一)组织制定信息科技发展战略规划,确保符合银行总体业务发展战略和风险管理策略;(二)组织制定科技建设指导原则、技术架构和信息科技运行管理机制,确保制定的科技建设指导原则清晰、准确,技术架构科学、合理,信息科技运行机制全面、高效;(三)确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一个内设机构和分支机构;(四)组织制定信息安全目标、策略、方针及实施计划,并组织落实;(五)协助行长主持信息科技管理委员会日常工作,督促落实信息科技管理委员会通过的决议;(六)参与全行业务发展重大事项和需信息技术支撑的重要业务决策;(七)向信息科技管理委员会或受行长委托向董事会汇报信息科技工作,确保信息科技管理委员会、董事会拥有充分的信息做出信息科技领域的重大决策;(八)组织制定信息科技年度工作计划及预算;(九)履行信息科技管理其他管理工作。
第十四条首席信息官拟任人选应符合高管人员任职资格基本条件。
第十五条首席信息官由行长提名,董事会批准,按照中国银监会行政许可事项有关规定报监管部门任职资格许可后,由董事会任命。
第十六条商业银行应建立与业务相适应的信息科技部门,根据工作需要可设立软件开发、运行维护和数据中心等部门,由信息科技部门统一协调和指导。
商业银行分支机构按照职责分离的原则设置相应的信息科技管理部门或岗位。
第十七条信息科技部门的主要职责是:(一)根据全行的发展战略,在首席信息官领导下拟订信息科技发展战略规划、年度工作计划和年度预算;(二)负责建立科技管理制度,确定科技建设标准,规范科技工作流程,明确科技岗位职责;(三)负责科技项目的技术可行性审查和生命周期内的管理和实施,合理配置科技资源,提高项目质量和效率;(四)加强生产运行管理,提高信息系统运行的稳定性和连续性;(五)制定本行信息安全政策、安全制度和安全策略,通过严格内控、加强监督等有效措施,确保本行信息科技工作规范运行、信息资产安全可靠和信息系统持续稳定;(六)制定知识产权保护制度和策略,并组织落实;(七)负责科技队伍建设、管理和业务考核工作;(八)组织对外部技术和设备供应商的资质和服务品质评审,对外包科技人员进行管理;(九)组织对信息科技工作进行自我评估,并采取措施对评估发现的风险隐患和薄弱环节进行改进;(十)配合风险管理、审计和监管部门开展工作,根据风险管理、审计部门提出的风险控制建议和审计建议,制定信息科技风险防控技术方案和整改方案,采取相应的技术措施,将风险降至可接受范围;(十一)其他信息科技相关工作。
第十八条国有商业银行和股份制商业银行信息科技人员总数与员工总人数的比例原则上不低于2.5%,城市商业银行和其他地方法人机构这一比例原则上不低于3%,至少不得少于3人。
科技人员中负责内控和风险防范人员原则上不低于5%。
商业银行分支机构应根据系统开发量、网点数量增配相适应的科技人员。
第十九条信息科技人员应当具备相应的专业从业资格:(一)具备大专以上学历,掌握信息科技相关专业知识,熟悉银行业信息科技工作,对金融知识有一定的了解;(二)主要管理人员和项目负责人要具备银行信息科技工作经验三年以上;(三)具有勤奋、钻研和廉洁的职业操守,且从业以来无不良记录。
第二十条商业银行及其分支机构应在信息科技部门之外指定一个部门负责信息科技风险管理工作,主要职责是:(一)将信息科技风险纳入全行风险管理范围内,负责组织制定信息科技风险管理总体规划;(二)审查各个部门和各个环节的信息科技风险管理制度和控制流程,评价制度的执行情况;(三)识别、评估和检查重要部门和重点环节的信息科技风险状况;(四)对重要科技项目的各个阶段进行科技风险评审;(五)负责本行业务连续性和应急管理组织工作,定期组织相关部门进行业务影响性分析和应急演练,并对应急预案进行完善;(六)对全行员工进行持续的信息科技风险教育;(七)依据有关法律法规的要求,及时披露信息科技风险状况。
第二十一条信息科技风险管理人员数量原则上按照科技人员数量的3%配备,至少不得少于2人。
第二十二条信息科技风险管理人员应当具备相应的专业从业资格:(一)信息科技风险管理人员应具备大专以上学历,掌握信息科技相关专业知识,熟悉金融相关法律、法规和金融风险管理制度;(二)具备两年以上金融信息科技工作从业经验,风险管理项目负责人应同时具备从事风险管理工作两年以上;(三)具有客观、公正和廉洁的职业操守,且从业以来无不良记录。
第二十三条商业银行及其分支机构应在内部审计部门设立负责信息科技风险审计的部门或岗位。
其主要职责是:(一)制定信息科技审计制度、标准、计划;(二)实施信息科技审计计划,检查信息科技内控机制和应用控制的有效性;(三)根据信息科技工作需要,对特殊事项进行专项审计;(四)负责信息科技外部审计相关事宜;(五)根据内外部审计结果,对信息科技工作中的问题提出整改意见,并督促落实。
第二十四条信息科技风险审计人员数量原则上按照科技人员数量的5%配备,至少不得少于2人。
第二十五条信息科技风险审计人员应当具备相应的专业从业资格:(一)信息科技风险审计人员应具备大专以上学历,掌握信息科技相关专业知识,熟悉金融相关法律、法规和金融内部控制制度。
(二)具备两年以上金融信息科技工作从业经验,审计项目负责人应同时具备从事审计工作两年以上。
(三)具有客观、公正和廉洁的职业操守,且从业以来无不良记录。
第二十六条商业银行及其分支机构应对各业务部门的信息科技管理职责进行明确界定,包括但不限于以下内容:(一)根据业务发展计划,提出系统需求计划,并与信息科技部门进行沟通;(二)按标准的业务需求范式编制业务需求;(三)负责本部门申请的科技项目的测试和验收;(四)建立相关制度和流程,加强对信息系统使用管理,严格用户权限和密码管理,加强对应用系统的访问控制;(五)加强本部门员工教育,督促本部门员工遵守信息科技相关制度和操作规程。
第三章规划与架构第二十七条商业银行应根据业务发展战略规划,制定本行信息科技战略规划,明确本行信息科技发展方向,指导本行信息科技工作。
第二十八条信息科技发展战略规划应包含以下内容:(一)信息科技发展战略规划与业务发展战略规划的衔接关系;(二)信息科技发展战略规划的主要内容和具体措施;(三)确保信息科技发展战略规划得到落实的具体工作安排和责任落实;(四)信息科技发展战略规划实施的评估、评价机制与完善措施;(五)其他与信息科技发展规划相关内容。