商业银行信息科技监管评级定量和定性标准-精选版.pdfVIP

信息科技风险（InformationTechnologyRisk

（一）信息科技治理（分）

15

信息科技治理组织架构（分）

1.8

（1）是否确立董事会、高管层信息科技管理职责。

（2）是否建立完善的信息科技管理制度体系。

（3）

是否建立完善合规的信息科技“三道防线”以及信息科技三

道防线的实际运作。

（4）是否明确信息科技治理作为重要组成部分纳入公司治理。

1）

评分原则：（考察董事会、高管层的信息科技治理职责是否完

整，信息科技发展战略不经董事会审批，或者本年内董事会会议不形

成年度信息科技工作决议的此项最高得分4分。

（2）考察是否建立信息科技管理制度的起草、发布、修订等工作

流程，信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信

息安全、外包管理、业务连续性等领域。

（3）考察是否明确信息科技管理、信息科技风险管理和信息科技

风险监督的“三道防线”职责，“三道防线”部门设置是否合规；是

否设立信息科技管理委员会，成员来自高管层、信息科技部门和主要

业务部门，并定期向高管层汇报工作。

（4）考察商业银行是否以正式制度（文件）明确信息科技

治理应作为重要组成部分纳入公司治理；是否制定了信息科技治理运

作效果考核指标并定期进行评价。

信息科技对业务发展的专业支持和匹配度（分）

2.7

（1）信息科技战略与业务发展战略的匹配度。

（2）

信息科技人员、信息科技投入等与业务发展的匹配度（定量）。

（3）董事会、高管层等决策人员是否具备足够的信息科技专业知

识能力。

1）

评分原则：（考察是否建立明确、可实施的信息科技发展战略；

是否定期评价信息科技战略规划实施效果，建立信息科技战略与业务

战略的协调一致机制。

（2）考察信息科技人员数量、信息科技人员占比、信息科技投入

占比与商业银行发展水平是否匹配，低于同质同类商业银行平均值的

此项酌情扣分；考察商业银行信息系统建设与业务发展的支撑与匹配

程度。

（3）考察具有信息科技管理经验的高管人员在董事会、决策层是

否具有一定的占比；是否设立首席信息官，直接向行长汇报，并参与

重大决策，首席信息官是否具有一定的信息科技专业背景或从业经验。

（二）信息科技风险管理（12分）

信息科技风险管理体系（分）

1.6

（1）是否将信息科技风险纳入全面风险管理体系，建立完善的

信息科技风险管理组织架构。

（2）是否建立信息科技风险管理策略和管理制度。

评分原则：（1）考察是否将信息科技风险纳入全面风险管理，

明确风险管理部门统一负责信息科技风险管理。信息科技风险管理职

责仍在信息科技部门的此项得分不超过3分。

（2）考察风险管理部门中是否配备一定数量专职信息科技风险

管理人员，信息科技风险管理人员是否具备相关专业背景和技能。

（3）考察是否建立信息科技风险管理策略和管理制度，管理制

度是否完善，覆盖是否全面。

信息科技风险管理日常运作（分）

2.6

（1）信息科技风险评估流程和方法是否完善。

（2）是否建立常态化的风险识别和监测机制。

（3）信息科技风险评估结果是否得到合理运用。

评分原则：（1）考察是否建立信息科技风险识别、风险分析、风

险处置等工作机制；信息科技风险评级和风险分析工作中是否开展业

务影响分析工作，是否进行风险级别划分，并有风险级别划分标准。

（2）是否建立信息科技风险监测关键风险点指标，风险监测指标

是否定期