2.2 高管层履职

董事会是金融机构最高决策层，高管层（即高级管理层）由董事会任命，向董事会汇报工作。金融机构高管层根据董事会授权，负责落实和监控本机构的信息科技风险管理职责。

2.2.1 监管对高级管理层的要求

金融机构高级管理层负责落实和监控本机构的信息科技风险管理政策。金融行业主要监管部门对高级管理层的职责做出如下明确要求。

《商业银行信息科技风险管理指引》规定如下。

商业银行应设立首席信息官，直接向行长汇报，并参与决策。首席信息官的职责如下。

❑直接参与本银行与信息科技运用有关的业务发展决策。

❑确保信息科技战略，尤其是信息系统开发战略，符合本银行的总体业务战略和信息科技风险管理策略。

❑负责建立一个切实有效的信息科技部门，承担本银行的信息科技职责。确保履行信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。

❑确保信息科技风险管理的有效性，并使有关管理措施落实到相关的每一个内设机构和分支机构。

❑组织专业培训，提高人才队伍的专业技能。

❑履行信息科技风险管理的其他相关工作。

应设立一个由来自高级管理层、信息科技部门、风险管理部门、法律合规部门、审计部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行进展、信息科技预算和实际支出、信息科技管理的整体状况。

《银行保险机构信息科技外包风险监管办法》规定如下。

❑银行保险业金融机构高级管理层应负责制定信息科技外包战略，明确信息科技外包风险主管部门和信息科技外包执行团队，明确信息科技外包及其风险管理职责，审议信息科技外包管理流程及制度，监控信息科技外包及其风险管理成效。

❑外包项目立项前，金融机构应当审慎检查项目与信息科技外包战略的一致性，根据项目内容、范围、性质对其进行风险识别和评估，制定相应的风险处置措施，不因外包活动的引入而增加整体风险。重大外包项目应向董事会、高管层报告。

❑银行业金融机构董事会及高级管理层应审慎审查重大项目的风险评估报告。

《银行业重要信息系统突发事件应急管理规范（试行）》规定如下。

❑风险管理部门应制定应急管理政策和基本管理制度并报董事会和高级管理层审定。

❑应定期分析风险状况和总结信息系统突发事件应急管理成效，履行向董事会和高级管理层报告的职责。

❑应急演练结束后，金融机构应撰写应急演练情况总结报告，大型或重要的应急演练总结报告应提交董事会和高管层。

2.2.2 高级管理层的职责

金融机构高级管理层负责落实和监控本机构的信息科技风险管理政策。

金融行业主要监管要求都对高级管理层职责做出了明确要求。

❑负责本机构重大IT项目的审定，听取信息科技风险评估报告和监督风险政策执行情况，负责监督各项职责的落实。

❑在内审部门设立专门的负责信息科技内部审计的岗位。

❑建立与业务相适应的信息科技管理部门，配备足够的信息科技人员，以支持业务的发展和信息系统运行。

❑设立或指定部门承担信息科技风险管理责任，负责开展信息科技风险的识别、评估、监督和报告，该部门的信息科技风险管理报告路线应独立于日常信息科技管理工作。

❑贯彻落实总行信息科技战略规划及规章制度，按照监管部门及总行要求建立信息科技管理制度。对信息科技岗位进行规范化，运用岗位分析、岗位评价来设计合理的级别体系。

❑高级管理层应具备信息科技治理的专业能力，分管信息科技的成员如首席信息官应具备信息科技管理、决策所需的能力和经验。

2.2.3 信息科技管理委员会和首席信息官

信息科技管理委员会可制定《议事规则》等相关章程，设立一名主任委员，由分管信息科技的金融机构领导如首席信息官担任。由于信息科技涉及面广，建议主任委员最好由金融机构一把手担任。若干名委员则由相关部门负责人担任，并可设立秘书和办公室，负责日常工作。该委员会定期（如每季度）或不定期（如按需）召开会议，由专人将相关决策纳入督办事项，明确办结质量、办结标准和办结时间，统一进行督办，并及时检查和督促。

首席信息官应处于金融机构高级管理层序列，由金融机构具有丰富的信息科技工作经验的资深专业人士担任。首席信息官直接参与本机构与信息科技运用有关的业务发展决策，确保信息科技战略符合本机构总体业务战略和信息科技风险管理策略，并负责建立一个切实有效的信息科技部门，承担本行信息科技职责，确保信息科技风险管理的有效性，并使有关管理措施落实到相关的每一个内设机构和分支机构。金融机构应根据本机构业务和信息科技的发展阶段、战略重点等，适时调整并完善首席信息官的职能及工作流程，保障首席信息官履行职责所需的授权和资源。