4.3　IT治理的組織架構

下面，我們針對中國銀行業，就IT治理的相關問題進行研討。

在當前的社會發展歷史時期，IT無疑是銀行非常重要的核心競爭力，銀行擁有的IT資源無疑是銀行的戰略資源。對于戰略資源，銀行最高管理層（董事會）的直接監管至關重要。另外，當前銀行的信息化已經帶來新的商業模式和業務流程的重組，這些改變會引起銀行內部責權與利益的再分配。在這種情況下，IT治理已經遠遠超出信息化部門的職責和權力范圍。銀行必須建立起強有力的IT治理組織架構，這樣才能有效推進IT的發展，實現業務戰略目標。

IT治理的組織架構主要包括如下內容。

1. IT治理委員會

IT治理的組織架構要求在董事會下設立一個由相關董事、高級管理層、IT部門和主要業務部門代表組成的IT治理委員會，即信息科技管理委員會，由該委員會具體承擔董事會在IT治理方面的工作。同時，委員會會在董事會和高級管理層需要做IT決策時提供支持，使投資巨大的IT項目處于可控狀態，使銀行通過其IT能力獲得更大的競爭優勢。

信息科技管理委員會的職責包括以下幾個方面。

● 遵守并貫徹執行國家有關信息科技管理的法律法規和技術標準，貫徹各監管部門的相關監管要求。

● 審定、批準銀行信息化戰略與規劃，確保其與銀行戰略和重大業務策略相一致。

● 確保IT治理工作所需資源的充分配備與合理配置，這些資源主要包括資金資源與人力資源。

● 在建立良好的公司治理的基礎上進行IT治理，形成分工合理、職責明確、相互制衡、報告關系清晰的IT治理組織架構，并由該組織架構負責監督各項職責的落實。

● 監管并定期向董事會和高級管理層匯報信息科技戰略規劃的執行、信息科技預算和實際支出、IT治理的整體狀況。

● 掌握主要的信息技術風險，確定可接受的風險級別，確保相關風險能夠被識別、計量、監測和控制。評估信息技術及其風險管理工作的總體效果和效率。

● 確保內部審計部門進行獨立有效的信息技術風險管理審計，對審計報告進行確認并落實整改。

● 配合監管部門做好信息技術風險監督檢查工作，及時向監管部門報告本機構發生的重大信息技術事故或突發事件。每年審閱并向監管部門報送IT治理的年度報告，并按照監管意見進行整改。

● 促進信息化專業隊伍的建設，建立人才激勵機制。

● 確保本法人機構所涉及的客戶信息、賬務信息以及產品信息等核心信息資產的安全。

● 審理重大的IT工程與研發項目。

● 履行IT治理的其他相關工作。

信息科技管理委員會通常由主任委員、主管科技的行領導、各科技部門的主要負責人以及與科技密切相關的部門負責人組成。主任委員通常可由獨立董事擔任。信息科技管理委員會應該至少每季度舉行一次全體委員參加的會議。

2. 首席信息官

銀行的IT治理要求銀行設立首席信息官（Chief Information Officer, CIO），并作為銀行高管加入信息科技管理委員會，直接參與IT決策。中國銀行業監督管理委員會[1]（以下簡稱“銀監會”）在《中國銀行業信息科技“十二五”發展規劃監管指導意見（征求意見稿）》和《中國銀行業信息科技“十三五”發展規劃監管指導意見（征求意見稿）》中，也提出了銀行設立CIO的要求。

---

[1]　中國銀行業監督管理委員會設立于2003年3月，撤銷于2018年3月。與此同時，我國將中國銀行業監督管理委員會和中國保險監督管理委員會的職責整合，組建中國銀行保險監督管理委員會（簡稱“銀保監會”）。

CIO的職責包括以下幾個方面。

● 確保本銀行的信息科技戰略和信息系統開發戰略符合本銀行的總體業務戰略和信息科技風險管理策略。

● 參與本銀行與信息科技密切相關的業務發展決策。

● 參與構建銀行信息科技組織架構的決策。

● 代表銀行管理層具體管理本銀行信息科技中所有與技術相關的工作，確保銀行信息科技按要求履行信息科技預算和支出，信息科技策略、標準和流程，信息科技內部控制，信息科技項目研發和管理，信息系統和信息科技基礎設施的運行、維護和升級，信息安全管理，災難恢復計劃，信息科技外包和信息系統退出等職責。

● 確保信息科技風險管理的有效性，并使有關管理措施落實到每一個相關內設機構和分支機構。

● 組織專業培訓，提高人才隊伍的專業技能水平。

3. 其他IT治理的組織

銀行應該設立IT風險管理組織，負責協調和制定有關信息科技風險管理的策略。尤其是在涉及信息安全、業務連續性計劃和合規性風險等方面時，該組織要為業務部門和信息科技部門提供建議及相關合規性信息，實施持續性的信息科技風險評估，跟蹤整改意見的落實，監控信息安全威脅和不合規事件。

銀行還應該設立IT審計組織，負責制定信息科技審計制度和信息科技審計計劃，對信息科技的整個生命周期和重大事件實施審計。