|
《证券期货经营机构信息技术治理工作指引(试行)》于2008年9月3日公布,自公布之日起施行。
中国证券业协会
中国期货业协会
第一章 总则
第一条 为加强证券期货经营机构信息技术管理与规范,完善各机构的治理结构,提高证券期货经营机构信息技术治理水平,保障信息系统安全运行,特制定本指引。
第二条 信息技术治理(IT治理)是指公司在运用信息技术(以下简称IT)过程中,制定的有关IT决策权分配和责任承担的框架,主要包括在IT原则、IT架构、IT基础设施、IT应用和IT投入5个方面制定相关制度并建立有效的工作机制,实现IT决策的责任和权力的有效分配与控制,提高IT资源的有效性、可用性和安全性。
第三条 IT治理是公司治理的重要组成部分,IT能力是证券期货经营机构的核心竞争力之一,有效的IT治理可以持续巩固和提升IT能力。各证券期货经营机构应建立有效的IT治理机制,保持IT与业务目标一致,合理利用IT资源,有效管理IT风险,确保信息系统的建设和运行安全、高效、稳定。
第四条 本指引适用于各证券期货经营机构,包括证券公司、基金管理公司和期货公司(以下简称公司)。全资子公司的IT治理工作可纳入母公司统筹实施。
第二章 IT原则和治理目标
第五条 公司应制定明确的IT原则。IT原则是指公司为实现经营目标而运用IT的基本思路,对IT在公司运营中所起的作用和IT投入等主要方面做出明确的规定。
第六条 公司应根据其经营规划制定IT治理目标,利用IT增强公司的核心竞争力,使公司从IT投入中获得更大收益。IT治理目标应包括:
(一)明确IT决策的权力和责任;
(二)实现技术和业务的有效匹配;
(三)实现IT资源的最优配置;
(四)实现IT风险的可管可控。
第七条 公司应制定公开、可行的IT治理流程,建立公司业务与IT之间清晰的联系框架,采取有效措施,使公司管理层和各相关部门的人员了解并认同公司的IT原则和治理目标。
第八条 公司应根据其发展需要制定IT规划。IT规划应与公司发展保持一致,符合公司经营对IT的要求,并使技术和业务部门能正确地理解和把握公司对IT的要求。
第九条 公司在制定IT规划时,应征求相关业务部门、财务管理部门和内部控制部门的意见,并报公司管理层批准实施。
第十条 IT规划在有效性、可用性和安全性方面应满足行业和公司可预见的业务发展要求,在容量、性能和安全保障方面做出规定。
第三章 IT治理组织和工作机制
第十一条 公司是IT系统建设、管理及安全运营的责任主体,公司应建立有效的IT治理组织和工作机制,实现IT决策的有效授权和控制,通过制定相关制度来建立IT的决策、执行和监督的责任机制。
第十二条 公司应在总公司、分支机构和全资子公司建立统一协调的IT治理机制,较低层级服从于较高层级。
第十三条 公司总经理对IT治理的有效性及IT安全负有最终责任,公司应指定具有IT专业工作经验的高级管理人员作为公司IT治理的直接责任人,并设立IT总监或其它类似职位的IT专职负责人。
第十四条 公司应设立IT治理委员会或类似机构,负责公司IT治理工作。IT治理委员会向公司管理层负责,公司管理层应为IT治理委员会履行职责和行使职权提供必要的制度和机制保障。
第十五条 IT治理委员会应由公司IT治理直接责任人、IT总监、IT部门负责人、相关业务负责人、财务负责人、内部控制负责人以及部分技术骨干等人员组成,其中IT人员的比例应在30%以上。公司可聘请外部专业人士担任委员或顾问。
第十六条 IT治理委员会应建立明确的工作制度,应至少每季度召开一次例会或根据需要召开临时委员会会议。
第十七条 IT治理委员会应履行以下职责:
(一)拟订公司IT治理目标和IT治理工作计划;
(二)审议公司IT发展规划;
(三)审议公司年度IT工作计划和IT预算;
(四)审议公司重大IT项目立项、投入和优先级;
(五)审议公司IT管理制度和重要流程;
(六)制订与IT治理相关的培训和教育工作计划;
(七)检查所拟订和审议事项的落实和执行情况;
(八)组织评估公司IT重大事项并提出处置意见;
(九)向公司管理层报告IT治理状况。
第十八条 IT总监的职责包括但不限于:
(一)组织拟定公司中长期IT发展规划;
(二)组织拟定公司年度IT工作计划及预算;
(三)组织拟定公司信息系统安全目标、策略、方针及实施计划;
(四)组织对公司IT的风险进行评估及控制;
(五)组织并协调公司信息化建设工作;
(六)组织拟定IT管理制度、IT建设标准;
(七)组织落实IT治理委员会所制定和审议的有关事项;
(八)向公司管理层和IT治理委员会报告IT重大事项,并对上报事项的真实性、准确性、完整性、及时性负责;
(九)对公司信息系统的安全管理体系的有效性负技术责任。
第十九条 公司应建立对IT管理和IT运行维护的考核机制。
| 
