商业银行监管评级定量和定性评价标准

治理应作为重要组成部分纳入公司治理；是否制定了信息科技治理运作效果考核指标并定期进行评价。

2.信息科技对业务发展的专业支持和匹配度（7分） （1）信息科技战略与业务发展战略的匹配度。

（2）信息科技人员、信息科技投入等与业务发展的匹配度（定量）。

（3）董事会、高管层等决策人员是否具备足够的信息科技专业知识能力。

评分原则：（1）考察是否建立明确、可实施的信息科技发展战略；是否定期评价信息科技战略规划实施效果，建立信息科技战略与业务战略的协调一致机制。

（2）考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配，低于同质同类商业银行平均值的此项酌情扣分；考察商业银行信息系统建设与业务发展的支撑与匹配程度。

（3）考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比；是否设立首席信息官，直接向行长汇报，并参与重大决策，首席信息官是否具有一定的信息科技专业背景或从业经验。

49

（二）信息科技风险管理（12分） 1.信息科技风险管理体系（6分）

（1）是否将信息科技风险纳入全面风险管理体系，建立完善的信息科技风险管理组织架构。

（2）是否建立信息科技风险管理策略和管理制度。 评分原则：（1）考察是否将信息科技风险纳入全面风险管理，明确风险管理部门统一负责信息科技风险管理。信息科技风险管理职责仍在信息科技部门的此项得分不超过3分。

（2）考察风险管理部门中是否配备一定数量专职信息科技风险管理人员，信息科技风险管理人员是否具备相关专业背景和技能。

（3）考察是否建立信息科技风险管理策略和管理制度，管理制度是否完善，覆盖是否全面。

2.信息科技风险管理日常运作（6分） （1）信息科技风险评估流程和方法是否完善。 （2）是否建立常态化的风险识别和监测机制。 （3）信息科技风险评估结果是否得到合理运用。

评分原则：（1）考察是否建立信息科技风险识别、风险分析、风险处臵等工作机制；信息科技风险评级和风险分析工作中是否开展业务影响分析工作，是否进行风险级别划分，并有风险级别

50