2.2 高管層履職

董事會是金融機構最高決策層，高管層（即高級管理層）由董事會任命，向董事會匯報工作。金融機構高管層根據董事會授權，負責落實和監控本機構的信息科技風險管理職責。

2.2.1 監管對高級管理層的要求

金融機構高級管理層負責落實和監控本機構的信息科技風險管理政策。金融行業主要監管部門對高級管理層的職責做出如下明確要求。

《商業銀行信息科技風險管理指引》規定如下。

商業銀行應設立首席信息官，直接向行長匯報，并參與決策。首席信息官的職責如下。

?直接參與本銀行與信息科技運用有關的業務發展決策。

?確保信息科技戰略，尤其是信息系統開發戰略，符合本銀行的總體業務戰略和信息科技風險管理策略。

?負責建立一個切實有效的信息科技部門，承擔本銀行的信息科技職責。確保履行信息科技預算和支出、信息科技策略、標準和流程、信息科技內部控制、專業化研發、信息科技項目發起和管理、信息系統和信息科技基礎設施的運行、維護和升級、信息安全管理、災難恢復計劃、信息科技外包和信息系統退出等職責。

?確保信息科技風險管理的有效性，并使有關管理措施落實到相關的每一個內設機構和分支機構。

?組織專業培訓，提高人才隊伍的專業技能。

?履行信息科技風險管理的其他相關工作。

應設立一個由來自高級管理層、信息科技部門、風險管理部門、法律合規部門、審計部門和主要業務部門的代表組成的專門信息科技管理委員會，負責監督各項職責的落實，定期向董事會和高級管理層匯報信息科技戰略規劃的執行進展、信息科技預算和實際支出、信息科技管理的整體狀況。

《銀行保險機構信息科技外包風險監管辦法》規定如下。

?銀行保險業金融機構高級管理層應負責制定信息科技外包戰略，明確信息科技外包風險主管部門和信息科技外包執行團隊，明確信息科技外包及其風險管理職責，審議信息科技外包管理流程及制度，監控信息科技外包及其風險管理成效。

?外包項目立項前，金融機構應當審慎檢查項目與信息科技外包戰略的一致性，根據項目內容、范圍、性質對其進行風險識別和評估，制定相應的風險處置措施，不因外包活動的引入而增加整體風險。重大外包項目應向董事會、高管層報告。

?銀行業金融機構董事會及高級管理層應審慎審查重大項目的風險評估報告。

《銀行業重要信息系統突發事件應急管理規范（試行）》規定如下。

?風險管理部門應制定應急管理政策和基本管理制度并報董事會和高級管理層審定。

?應定期分析風險狀況和總結信息系統突發事件應急管理成效，履行向董事會和高級管理層報告的職責。

?應急演練結束后，金融機構應撰寫應急演練情況總結報告，大型或重要的應急演練總結報告應提交董事會和高管層。

2.2.2 高級管理層的職責

金融機構高級管理層負責落實和監控本機構的信息科技風險管理政策。

金融行業主要監管要求都對高級管理層職責做出了明確要求。

?負責本機構重大IT項目的審定，聽取信息科技風險評估報告和監督風險政策執行情況，負責監督各項職責的落實。

?在內審部門設立專門的負責信息科技內部審計的崗位。

?建立與業務相適應的信息科技管理部門，配備足夠的信息科技人員，以支持業務的發展和信息系統運行。

?設立或指定部門承擔信息科技風險管理責任，負責開展信息科技風險的識別、評估、監督和報告，該部門的信息科技風險管理報告路線應獨立于日常信息科技管理工作。

?貫徹落實總行信息科技戰略規劃及規章制度，按照監管部門及總行要求建立信息科技管理制度。對信息科技崗位進行規范化，運用崗位分析、崗位評價來設計合理的級別體系。

?高級管理層應具備信息科技治理的專業能力，分管信息科技的成員如首席信息官應具備信息科技管理、決策所需的能力和經驗。

2.2.3 信息科技管理委員會和首席信息官

信息科技管理委員會可制定《議事規則》等相關章程，設立一名主任委員，由分管信息科技的金融機構領導如首席信息官擔任。由于信息科技涉及面廣，建議主任委員最好由金融機構一把手擔任。若干名委員則由相關部門負責人擔任，并可設立秘書和辦公室，負責日常工作。該委員會定期（如每季度）或不定期（如按需）召開會議，由專人將相關決策納入督辦事項，明確辦結質量、辦結標準和辦結時間，統一進行督辦，并及時檢查和督促。

首席信息官應處于金融機構高級管理層序列，由金融機構具有豐富的信息科技工作經驗的資深專業人士擔任。首席信息官直接參與本機構與信息科技運用有關的業務發展決策，確保信息科技戰略符合本機構總體業務戰略和信息科技風險管理策略，并負責建立一個切實有效的信息科技部門，承擔本行信息科技職責，確保信息科技風險管理的有效性，并使有關管理措施落實到相關的每一個內設機構和分支機構。金融機構應根據本機構業務和信息科技的發展階段、戰略重點等，適時調整并完善首席信息官的職能及工作流程，保障首席信息官履行職責所需的授權和資源。