2.1 董事会履职_信息科技风险管理：合规管理、技术防控与数字化-QQ阅读男生都市网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

2.1 董事会履职

由于董事会对金融机构包括信息科技活动在内的经营活动及其合规性负最终责任，因此董事会的履职情况是信息科技治理工作中的重要一环，也是决定金融机构信息科技风险管理水平的关键要素之一。

2.1.1 董事会的职责

金融机构董事会应当承担信息科技风险管理的最终责任，在公司章程中应明确董事会的信息科技风险管理职责，包括审定风险管理和内部控制政策等。金融行业主要监管要求都对董事会职责做出了明确的规定。

《商业银行信息科技风险管理指引》规定，商业银行的董事会应履行以下信息科技管理职责。

❑遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实银保监会相关监管要求。

❑审查批准信息科技战略，确保其与银行的总体业务战略和重大策略一致。评估信息科技及其风险管理工作的总体效果和效率。

❑掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。

❑规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。

❑设立一个由来自高级管理层、信息科技部门和主要业务部门代表组成的信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行进展、信息科技预算和实际支出、信息科技的整体状况。

❑在信息科技治理过程中，形成分工合理、职责明确、相互制衡、报告关系清晰的组织结构。加强信息科技专业队伍的建设，建立人才激励机制。

❑确保内部审计部门进行独立有效的信息科技风险管理审计，对审计报告进行确认并落实整改。

❑每年向银保监会及其派出机构报送信息科技风险管理年度报告。

❑确保信息科技风险管理工作所需资金。

❑确保所有员工充分理解和遵守信息科技风险管理制度和流程，并安排相关培训。

❑确保涉及客户、账务以及产品等信息的核心系统在中国境内独立运行，并保持最高级别的管理权限，符合银保监会监管和实施现场检查的要求，防范跨境风险。

❑及时向银保监会及其派出机构报告本机构发生的重大信息科技事故或突发事件，并按相关预案快速响应。

❑配合银保监会及其派出机构做好信息科技风险监督检查工作，并按照监管意见进行整改。

❑履行信息科技风险管理其他相关工作。

《商业银行数据中心监管指引》规定，商业银行应充分识别、分析、评估数据中心外包风险，包括信息安全风险、服务中断风险、系统失控风险以及声誉风险、战略风险等，形成风险评估报告并报董事会和高管层审核。

《银行业金融机构外包风险管理指引》规定，银行业金融机构董事会负责审议并批准外包的战略发展规划、风险管理制度、范围及相关安排，并定期审阅本机构外包活动的相关报告。

《银行保险机构信息科技外包风险监管办法》规定如下。

❑银行保险机构董（理）事会或其授权设立的专业委员会应负责推动建立信息科技外包及其风险管理体系，审批信息科技外包战略，审议重大外包决策。

❑外包项目立项前，金融机构应当审慎检查项目与信息科技外包战略的一致性，根据项目内容、范围、性质对其进行风险识别和评估，制定相应的风险处置措施，不因外包活动的引入而增加整体风险。重大外包项目应向董事会、高管层报告。

❑金融机构董事会及高级管理层应审慎检查重大项目的风险评估报告。

《银行业重要信息系统突发事件应急管理规范（试行）》规定如下。

❑董事会应定期听取风险状况分析、信息系统重大突发事件、现有应急管理政策重大修改等汇报。

❑风险管理部门应制定应急管理政策和基本管理制度并报董事会和高级管理层审定。

❑定期分析风险状况和总结信息系统突发事件应急管理成效，并向董事会和高级管理层报告。

❑应急演练结束后，金融机构应撰写应急演练情况总结报告，大型或重要的应急演练总结报告应提交董事会和高管层。

《商业银行业务连续性监管指引》规定董事会应负责如下内容。

❑审核和批准业务连续性管理战略、政策和程序。

❑审批高级管理层业务连续性管理职责，定期听取高级管理层关于业务连续性管理的报告。

❑审批业务连续性管理年度审计报告。

《银行业金融机构重要信息系统投产及变更管理办法》规定金融机构董事会及高级管理层应审慎审议重大项目的风险评估报告。

2.1.2 董事会信息科技管理相关职责

从以上监管要求可以看出，董事会信息科技管理相关职责如下。

❑遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实金融机构监管部门的相关监管要求，包括但不限于及时向监管部门报告本机构发生的重大信息科技事故或突发事件、按相关预案快速响应，配合监管部门做好信息科技风险监督检查工作，并按照监管意见进行整改等。

❑审查批准信息科技战略，确保其与本机构总体业务战略和重大策略一致，评估信息科技及其风险管理工作的总体效果和效率，同时，应确保信息科技风险管理工作所需资金充足。金融机构可在本机构总体战略规划的框架下，结合自身信息科技风险的实际情况，制定本机构的信息科技战略，信息科技战略须经董事会审查批准。董事会通过的信息科技相关决策，可纳入督办事项，明确办结质量、办结标准和办结时间，统一督办，并在中间过程及时进行检查和督促。

❑掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制，确保全机构信息科技风险管理的总体有效性与合规性。董事会应听取和审议信息科技风险管理工作的情况汇报、重大信息科技项目进展及重大信息科技突发事件处理报告，建立信息系统运行风险监控机制、信息科技风险检查及整改机制，有效控制和化解信息科技风险。此外，董事会应确保内部审计部门进行独立有效的信息科技风险管理审计，对审计报告进行确认并落实整改。

❑董事会应具备信息科技治理的专业能力，董事会相关成员应具备信息科技管理、决策所需的能力和经验。同时，在建立良好的公司治理基础上进行信息科技治理，形成分工合理、职责明确、相互制衡、汇报路线清晰的组织结构。加强信息科技专业队伍的建设，建立人才激励机制。此外，董事会应规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识，并确保所有员工充分理解和遵守信息科技风险管理制度和流程，并安排相关培训。