2017年监管评级评分表.docx

1、信息科技治理组织架构 评价要点： （1）信息科技管理委员会的设立情况（关键要点，2分）； （2）信息科技管理委员会的履职情况（1分）； （3）董事会、高管层信息科技治理的履职情况（0.5分）； （4）信息科技组织架构及岗位的合理性，首席信息官的设立及履职情况（1分）； （5）董事会、高管层信息科技治理的专业能力（0.5分）。 评价原则： （1）考察是否设立信息科技管理委员会；（项目组） （2）考察信息科技管理委员是否有效履职；（项目组） （3）考察董事会、高管层是否有效履行信息科技治理职责；（项目组） （4）考察信息科技组织架构的设置是否合理，岗位设置是否合理；考察是否设立首席信息官，首席信息管是否纳入高管层，首席信息官是否有效履职并参与高管层重大决策；（项目组） （5）考察董事会、高管层（包括分管行长和首席信息官）是否具备信息科技管理、决策所需的能力和经验。（项目组） 银行现状： （1） （2） （3） （4） （5） 扣分原因： （1） （2） （3） （4） （5） 2、信息科技对业务发展的专业支持和匹配度 评价要点： （1）信息科技战略规划的制定情况，信息科技战略与业务战略的匹配度（1分）； （2）信息科技人力资源投入、稳定性、专业能力（2分）； （3）信息科技资金投入与业务发展的匹配度（1分）。 评价原则： （1）考察是否建立明确、可实施的信息科技发展战略规划，是否定期评价信息科技战略规划实施效果，是否确保信息科技战略与业务战略的协调一致；（项目组） （2）信息科技正式员工占比、信息科技人员稳定性、专业能力水平；（内控组） （3）信息科技资金投入占比是否满足信息科技发展的需要。（综合组） 银行现状： （1） （2） （3） 扣分原因： （1） （2） （3） 3、信息科技风险管理体系（风险管理部） 评价要点： （1）将信息科技风险纳入全面风险管理体系，并有效落实信息科技风险管理职责（关键要点，1分）； （2）信息科技风险管理的组织架构和人员配备情况（1分）； （3）信息科技风险管理策略和管理制度的完备性（1分）。 评价原则： （1）考察是否将信息科技风险纳入全面风险管理，是否明确风险管理部门统一负责信息科技风险管理； （2）考察信息科技风险管理的组织架构是否完善，是否向董事会汇报风险报告，风险管理部门是否配备一定数量的专职信息科技风险管理人员，信息科技风险管理人员是否具备相关的专业背景和技能； （3）考察是否建立信息科技风险管理策略和管理制度，管理策略和管理制度是否完备。 银行现状： （1） （2） （3） 扣分原因： （1） （2） （3） 4、信息科技风险管理日常运作（风险管理部） 评价要点： （1）信息科技风险识别和监测机制的有效性（1分）； （2）信息科技风险评估及风险处置机制、流程和方法的建立情况（1分）； （3）信息科技风险评估及处置情况（2分）。 评价原则： （1）考察是否开展信息科技风险识别工作，是否建立信息科技风险监测关键风险点指标，风险监测关键点指标是否定期评审、改进，风险监测结果是否及时向有关部门及高管层报告等； （2）考察是否建立信息科技风险评估及风险处置工作机制、流程、方法； （3）考察是否开展信息科技风险评估工作，并开展风险处置工作。 银行现状： （1） （2） （3） 扣分原因： （1） （2） （3） 5、信息科技审计管理体系（内审部） 评价要点： （1）信息科技审计职责的落实情况（关键要点，1分）； （2）信息科技审计制度的完备性（0.5分）； （3）信息科技审计资源与岗位的合理性（1分）； （4）信息科技审计的独立性和合理性（0.5分）。 评价原则： （1）考察是否将信息科技审计职责落实到审计部门； （2）考察审计制度是否涵盖信息科技审计相关内容； （3）考察信息科技审计岗位的设置是否合理，信息科技审计人员是否具备足够的能力水平； （4）考察信息科技审计工作的独立性和汇报路线的合理性。  6、信息科技内外部审计活动（内审部） 评价要点： （1）信息科技审计覆盖率（1分）； （2）信息科技审计整改率（2分）； （3）信息科技专项审计占比（1分）。 评价原则： （1）考察近三年重要信息系统的审计覆盖率； 【重要信息系统审计覆盖率】=【已开展信息科技审计的重要信息系统数】/【重要信息系统数】*100%； 【数据中心审计覆盖率】=【已开展信息科技审计的数据中心数】/【数据中心数】*100%； 【重大项目审计覆盖率】=【已开展信息科技审计的重大项目数】/【重大项目数】*100%； （2）考察近两年信息科技内审整改率和外审整改率； 【信息科技内审整改率】=【信息科技内审报告中发现问题中已完成整改的问题数量】/【信息科技内审报告中发现问题总数】*100%； 【信息科技外审整改率】=【信息