村镇银行信息科技建设与管理指引

村镇银行信息科技建设与管理指引

（征求意见稿）

第一章总则

第一条为提高村镇银行信息科技建设及管理水平，有效防范信息科技风险，促进村镇银行持续、稳健发展，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，参照《商业银行信息科技风险管理指引》要求，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的村镇银行，村镇银行主发起行（以下简称主发起行）及承担村镇银行信息科技工作的银行业金融机构。

第三条村镇银行信息科技工作目标是通过建立有效的管理机制，科学开展信息科技建设，加强信息科技风险管控，确保信息科技工作目标与业务发展目标一致，增强核心竞争力，促进村镇银行安全、持续、稳健发展。

第四条村镇银行信息科技工作的基本原则是：

（一）发展为本：信息科技工作以支持村镇银行业务健康发展为根本要求；

（二）风险可控：积极采取措施，防范系统中断、敏感信息泄露和资金损失等风险；

（三）资源共享：信息科技工作应统筹规划、适度集中、节约高效，合理利用信息科技资源。

第五条根据信息科技工作的责任主体不同，村镇银行信息科技管理分为自主管理和主发起行管理两种模式。自主管理是指村镇银行独立承担信息科技规划、建设、运维、风险管理和审计等责任的管理模式，主发起行管理是指村镇银行将信息科技工作委托给主发起行并由其承担村镇银行信息科技规划、建设、运维、风险管理和审计等责任的管理模式。

第六条本指引所称同业机构是指中国银行业监督管理委员会（以下简称中国银监会）监管的银行业金融机构。

第七条本指引所称同业合作是指村镇银行或主发起行将原本由自身完成的信息科技工作委托给同业机构进行持续处理的行为。

第八条本指引所称信息科技外包是指村镇银行或主发起行将原本由自身完成的信息科技工作委托给同业机构以外的其它机构进行持续处理的行为。

第九条村镇银行应根据本行市场定位和业务发展战略，结合本行管理水平和技术能力，自主确定本行信息科技管理模式，并履行本指引第二章关于不同模式下信息科技治理的要求，积极采用自建、同业合作或外包的方式开展信息科技工作。

第二章信息科技治理

第一节自主管理模式

第十条村镇银行法定代表人对村镇银行信息科技工作负最终责任。

第十一条村镇银行董事会应履行以下职责，不设董事会的，应设立由高级管理层组成的组织机构（以下简称履职机构）履行下述职责：

(一)负责审批信息科技战略规划，确保与本行的总体发展战略相一致；

(二)负责建立适合业务发展的信息科技治理架构，确保责任明确、分工合理；

(三)为信息科技工作的开展提供资源保障；

(四)建立信息科技工作激励和考核机制；

(五)掌握主要的信息科技风险，确保可接受的风险级别；

(六)确保信息科技审计独立有效开展；

(七)贯彻有关信息科技工作的法律法规，落实中国银监会及其派出机构监管要求；

(八)向中国银监会及其派出机构报告本行重大信息科技突发事件。

第十二条村镇银行高级管理层应履行以下职责：

(一)组织制定信息科技战略规划；

(二)建立信息科技部门或指派一个部门，承担本行信息科技工作职责，确保履行：信息科技预算和支出、信息科技策略、标准和流程、信息科技项目研发和运行管理、信息安全管理、灾难恢复计划、信息科技外包等职责。

(三)负责对信息科技工作中的重大事项进行决策；

(四)组织开展信息科技建设，建立信息科技工作制度和流程；

(五)组织评估本行信息科技风险并采取相应的风险控制措施；

(六)组织开展信息科技专业培训，开展信息科技人才队伍建设；

(七)向董事会或履职机构报告本行重大信息科技突发事件。

第十三条村镇银行应将信息科技风险纳入全面风险管理框架，明确信息科技风险管理工作的主管部门，建立与业务发展规划、经营目标、管理职责相适应的信息科技风险管理策略，有效识别、计量、监测和控制信息科技风险。

第十四条村镇银行应定期开展信息科技审计，至少每三年覆盖全部信息科技风险领域，并根据审计结果及时整改。

第十五条主发起行应发挥自身在信息科技工作方面的经验与优势，对村镇银行的信息科技工作进行指导和帮助，并履行以下职责：

(一)协助村镇银行制定信息科技战略规划；

(二)为村镇银行信息科技重大事项和决策提供专业建议；

(三)协助村镇银行开展信息科技建设及风险管理；

(四)指导村镇银行落实本指引第三、四、五章中对于村镇银行的监管要求。

第二节主发起行管理模式

第十六条主发起行法定代表人对村镇银行信息科技工作负最终责任。

第十七条主发起行董事会应履行以下职责：

(一)审批村镇银行信息科技战略规划；

(二)负责建立与村镇银行规模、业务相适应的信息科技治理架构；

(三)为村镇银行信息科技工作的开展提供资源保障。

(四)建立村镇银行信息科技工作激励和考核机制；

(五)掌握主要的信息科技风险，确保可接受的风险级别；

(六)确保村镇银行信息科技审计独立有效；

(七)贯彻有关村镇银行信息科技工作的法律法规，落实中国银监会及其派出机构监管要求；

(八)向中国银监会及其派出机构报告村镇银行重大信息科技突发事件。

第十八条主发起行应设立一个由主发起行高级管理层、多家村镇银行的高级管理层代表，及主发起行负责村镇银行业务、科技管理等部门组成的村镇银行信息科技管理委员会，并履行以下职责：

(一)组织协商制定村镇银行信息科技战略规划；

(二)负责村镇银行信息科技重大事项的决策，组织开展村镇银行信息科技建设，建立村镇银行信息科技工作制度和流程；

(三)组织评估村镇银行信息科技风险并采取相应的风险控制措施；

(四)定期听取村镇银行对主发起行信息科技工作情况的反馈，持续改进村镇银行信息科技服务；

(五)向主发起行董事会报告、向村镇银行董事会或履职机构通报村镇银行重大信息科技突发事件。

第十九条主发起行应建立村镇银行信息科技工作组织体系，包括：

(一)指派一个部门负责主发起行与村镇银行的信息科技工作统筹协调。