4.3　IT治理的组织架构

下面，我们针对中国银行业，就IT治理的相关问题进行研讨。

在当前的社会发展历史时期，IT无疑是银行非常重要的核心竞争力，银行拥有的IT资源无疑是银行的战略资源。对于战略资源，银行最高管理层（董事会）的直接监管至关重要。另外，当前银行的信息化已经带来新的商业模式和业务流程的重组，这些改变会引起银行内部责权与利益的再分配。在这种情况下，IT治理已经远远超出信息化部门的职责和权力范围。银行必须建立起强有力的IT治理组织架构，这样才能有效推进IT的发展，实现业务战略目标。

IT治理的组织架构主要包括如下内容。

1. IT治理委员会

IT治理的组织架构要求在董事会下设立一个由相关董事、高级管理层、IT部门和主要业务部门代表组成的IT治理委员会，即信息科技管理委员会，由该委员会具体承担董事会在IT治理方面的工作。同时，委员会会在董事会和高级管理层需要做IT决策时提供支持，使投资巨大的IT项目处于可控状态，使银行通过其IT能力获得更大的竞争优势。

信息科技管理委员会的职责包括以下几个方面。

● 遵守并贯彻执行国家有关信息科技管理的法律法规和技术标准，贯彻各监管部门的相关监管要求。

● 审定、批准银行信息化战略与规划，确保其与银行战略和重大业务策略相一致。

● 确保IT治理工作所需资源的充分配备与合理配置，这些资源主要包括资金资源与人力资源。

● 在建立良好的公司治理的基础上进行IT治理，形成分工合理、职责明确、相互制衡、报告关系清晰的IT治理组织架构，并由该组织架构负责监督各项职责的落实。

● 监管并定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、IT治理的整体状况。

● 掌握主要的信息技术风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。评估信息技术及其风险管理工作的总体效果和效率。

● 确保内部审计部门进行独立有效的信息技术风险管理审计，对审计报告进行确认并落实整改。

● 配合监管部门做好信息技术风险监督检查工作，及时向监管部门报告本机构发生的重大信息技术事故或突发事件。每年审阅并向监管部门报送IT治理的年度报告，并按照监管意见进行整改。

● 促进信息化专业队伍的建设，建立人才激励机制。

● 确保本法人机构所涉及的客户信息、账务信息以及产品信息等核心信息资产的安全。

● 审理重大的IT工程与研发项目。

● 履行IT治理的其他相关工作。

信息科技管理委员会通常由主任委员、主管科技的行领导、各科技部门的主要负责人以及与科技密切相关的部门负责人组成。主任委员通常可由独立董事担任。信息科技管理委员会应该至少每季度举行一次全体委员参加的会议。

2. 首席信息官

银行的IT治理要求银行设立首席信息官（Chief Information Officer, CIO），并作为银行高管加入信息科技管理委员会，直接参与IT决策。中国银行业监督管理委员会[1]（以下简称“银监会”）在《中国银行业信息科技“十二五”发展规划监管指导意见（征求意见稿）》和《中国银行业信息科技“十三五”发展规划监管指导意见（征求意见稿）》中，也提出了银行设立CIO的要求。

---

[1]　中国银行业监督管理委员会设立于2003年3月，撤销于2018年3月。与此同时，我国将中国银行业监督管理委员会和中国保险监督管理委员会的职责整合，组建中国银行保险监督管理委员会（简称“银保监会”）。

CIO的职责包括以下几个方面。

● 确保本银行的信息科技战略和信息系统开发战略符合本银行的总体业务战略和信息科技风险管理策略。

● 参与本银行与信息科技密切相关的业务发展决策。

● 参与构建银行信息科技组织架构的决策。

● 代表银行管理层具体管理本银行信息科技中所有与技术相关的工作，确保银行信息科技按要求履行信息科技预算和支出，信息科技策略、标准和流程，信息科技内部控制，信息科技项目研发和管理，信息系统和信息科技基础设施的运行、维护和升级，信息安全管理，灾难恢复计划，信息科技外包和信息系统退出等职责。

● 确保信息科技风险管理的有效性，并使有关管理措施落实到每一个相关内设机构和分支机构。

● 组织专业培训，提高人才队伍的专业技能水平。

3. 其他IT治理的组织

银行应该设立IT风险管理组织，负责协调和制定有关信息科技风险管理的策略。尤其是在涉及信息安全、业务连续性计划和合规性风险等方面时，该组织要为业务部门和信息科技部门提供建议及相关合规性信息，实施持续性的信息科技风险评估，跟踪整改意见的落实，监控信息安全威胁和不合规事件。

银行还应该设立IT审计组织，负责制定信息科技审计制度和信息科技审计计划，对信息科技的整个生命周期和重大事件实施审计。