财通证券:IT治理办法2019-04-27
财通证券股份有限公司
IT 治理办法
第一章 总 则
第一条 为完善公司治理结构,提高公司信息技术(以下
简称“IT”)的治理能力、应用能力和管理水平,促使公司
IT 发展规划与公司战略相匹配,依据《证券基金经营机构信
息技术管理办法》、《证券期货经营机构信息技术治理工作指
引(试行)》,制定本办法。
第二条 IT 治理是规范公司各部门在公司 IT 系统建设、
IT 应用中的责任与权力分配,主要包括 IT 原则、IT 架构、
基础设施、IT 应用、IT 投入等方面,明确责任人以及决策
权力人,以提升工作效率,提高决策的科学性和合理性。
第三条 IT 应用能力是公司的关键能力之一,是公司竞
争力的重要体现。有效的 IT 治理是持续提升公司 IT 应用能
力的基本保证。
第四条 公司 IT 应用活动是面向公司业务的实践过程,
在 IT 应用的各项工作中,IT 部门与业务部门应各司其职、
紧密协作、衔接有序,共同做好 IT 系统的建设、运维等工
作;其中,公司 IT 部门主要负责技术性工作,业务部门主
要负责业务性工作。
第五条 公司应制定明确的 IT 原则。IT 原则是公司为实
现经营目标而运用 IT 的基本思路,对 IT 在公司运营中所起
�的作用和 IT 投入等主要方面做出明确的规定。
第二章 IT 治理目标
第六条 公司应制定和实施IT治理目标,利用IT增强公
司的核心竞争力,使公司从IT投入中获得更大收益。公司IT
治理目标应包括:
(一)明确IT决策的权力分配和责任担当;
(二)实现技术和业务的有效匹配;
(三)实现IT资源的最优配臵;
(四)实现IT风险的可管可控。
第七条 公司应制定公开、可行的IT治理流程,建立公
司业务与IT之间清晰的联系框架,采取有效措施使公司经营
管理层和各相关部门了解并认同公司的IT原则和治理目标。
第八条 公司应制定IT规划,并根据发展需要定期更新。
IT规划应与公司战略保持一致,符合公司经营管理对IT 的
要求。
公司在制定IT规划时,应广泛征求规划发展部、计划财
务部、风险管理部、合规部等部门以及主要业务部门的意见。
第九条 公司在 IT 建设和运维等实践活动中,应建立起
“全程控制、全员参与,持续改进,技术与管理两手抓”的
安全管理体系,在坚守合规风控底线的前提下,紧跟行业一
流券商步伐,采用“全面参照、以点带面、自主研发、以人
为本”的总体方针,达到“高度信息化、高度智能化、高度
�人性化”的应用系统建设目标和“安全、稳定、高效”的运
维保障目标。
第三章 IT 治理组织和工作机制
第十条 公司应建立有效的 IT 治理组织和工作机制,实
现 IT 决策的有效授权和控制,通过制定相关制度来建立 IT
的决策、执行和监督的责任机制。
第十一条 公司董事会是公司 IT 治理最高决策机构,
负责审议本公司的信息技术管理目标,对信息技术管理的
有效性承担责任, 履行下列职责:
(一)审议信息技术战略,确保与本公司的发展战略、
风险管理策略、资本实力相一致;
(二)建立信息技术人力和资金保障方案;
(三)评估年度信息技术管理工作的总体效果和效率;
(四)公司章程规定的其他信息技术管理职责。
第十二条 公司管理层负责落实信息技术管理目标,
对信息技术管理工作承担责任,履行下列职责:
(一)组织实施董事会相关决议;
(二)建立责任明确、程序清晰的信息技术管理组
织架构,明确管理职责、工作程序和协调机制;
(三)完善绩效考核和责任追究机制;
(四)公司章程规定或董事会授权的其他信息技术
管理职责。
� 第十三条 公司管理层下设立 IT 治理委员会负责 IT 治理
工作,信息技术中心是 IT 治理委员会的日常事务处理机构。
IT 治理委员会可根据工作需要下设专门组织负责专项事务
的推进工作。IT 治理委员会履行下列职责:
(一)拟定公司 IT 原则、IT 治理目标和 IT 治理工作计
划,制定公司 IT 治理基本工作制度;
(二)推进公司数据治理、信息安全以及集团 IT 联合
治理工作;
(三)负责制定公司 IT 发展规划和年度 IT 工作计划,IT
发展规划包括但不限于信息技术建设规划、信息安全规划、
数据治理规划等;
(四)审议公司年度 IT 预算及分配方案;
(五)审议符合条件的 IT 项目立项、投入和优先级;
(六)审议重要信息系统建设或重大改造立项、重大变
更方案;
(七)审议公司信息技术应急预案、IT 重要管理制度和
重要流程;
(八)制订与 IT 治理相关的培训和教育工作计划;
(九)检查所拟定、审议和推进事项的落实和执行情况;
(十)组织评估公司 IT 重大事项并提出处臵意见;
(十一)向公司董事会、管理层报告 IT 治理状况;
(十二)公司董事会、管理层授权的其它事项。
� 第十四条 公司应当指定一名熟悉证券业务,具有信
息技术相关专业背景、任职经历、履职能力的高级管理人
员为首席信息官,由其负责信息技术管理工作。
首席信息官的任职条件应符合监管要求。
第十五条 IT 治理委员会的组成。
IT 治理委员会由主任委员和委员组成。主任委员由首席
信息官担任,承担公司 IT 治理的领导责任;委员由公司财
务总监、主要业务部门分管领导或部门负责人、风险管理部
负责人、合规部负责人、稽核审计部负责人、规划发展部负
责人、IT 部门主要负责人以及公司全资子公司 IT 部门负责
人组成。上述成员中有 IT 工作背景的委员比例应在 30%以上。
主任委员可聘请外部专家担任 IT 治理委员会的委员或
顾问。
第十六条 IT 治理委员会应建立明确的工作制度,确保
公司 IT 治理各项决策、执行工作有序、科学、高效。
第十七条 IT 治理委员会每年应至少召开两次会议,并
可根据需要召开临时会议。
第十八条信息技术中心是公司 IT 的归口管理部门,为
公司经营管理和业务发展提供 IT 保障、支持和服务。
信息技术中心应面向业务、面向服务、面向创新,不断
增强对公司业务的支持和引领能力。
第四章 IT 架构和 IT 基础设施
� 第十九条 公司应根据 IT 原则和 IT 治理目标制定相应
的 IT 架构,确定 IT 基础设施、IT 应用系统的整体架构。
第二十条 IT 架构指公司整体信息系统的逻辑结构,包
括业务应用架构、系统平台架构、数据信息架构等,不同架
构的范围和边界应明确定义。
第二十一条 IT 架构应遵循全局、开放、共享的原则,
在保持数据和基础设施相对稳定的前提下,应具备良好的可
扩展性和灵活性以支持不断变化的业务需求和应用。
第二十二条 公司应定期或在有重大变化时对 IT 架构进
行评估,确保 IT 架构的适应性和合理性。
第二十三条 IT 基础设施包括通信网路、安全系统、基
础数据、基础软件、机房物理环境、技术标准、基础组织等。
IT 基础设施应遵循监管部门、自律组织等的有关规定、规范
和相关指导意见。
第二十四条 公司应将 IT 基础设施作为重要资产进行管
理,每年在基础设施方面的投资额度,原则上应根据公司的
经营情况保持一定的增长率,以持续提高公司 IT 系统的安
全运行水平和 IT 应用的基础保障能力。
第二十五条 IT 基础设施建设应遵循统一、安全、可靠、
先进、可管可控、可扩展等原则,能为多种 IT 应用提供支
持和服务。
信息技术中心根据经公司决策的 IT 架构与基础设施的
�规划,总体负责公司 IT 架构和 IT 基础设施的统一设计、建
设和管理。
信息技术中心应会同相关部门定期评估 IT 基础设施的
容量和适应能力。
第五章 IT 预算与 IT 投资
第二十六条 公司应根据IT发展规划,安排合理的IT预
算。公司最近三个财政年度IT 支出平均数额原则上应不少
于最近三个财务年度平均净利润的6%或不少于最近三个财
务年度平均营业收入的3%。
第二十七条信息技术中心每年应根据公司预算管理委
员会的统一安排,汇总并拟定公司IT 年度预算草案,报IT
治理委员会审核后上报。
在制定IT预算时,首先应满足各生产系统的安全稳定运
行需要。
第二十八条 公司各部门及分支机构按照“谁使用、谁
发起”的原则各自承担IT 预算的编制责任;成本独立核算
的业务单元按照“谁使用、谁承担”的原则各自承担业务发
展所需的IT投资成本。
第二十九条IT治理委员会可根据年度IT预算执行情况
适时召开IT 预算调整会议,并将审议意见上报公司预算管
理委员会审批。
第三十条 因公司控制IT投资风险需要,重大IT投资需
�报请公司IT治理委员会审议,并按公司规定的有关决策程序
审批。
第三十一条 IT预算执行的价格形成过程应遵循公开、
透明、公平、公正竞争的原则,并按公司集中采购的有关制
度执行。
第三十二条公司稽核审计部定期对IT 投资行为进行效
用评估。
第六章 IT 应用
第三十三条 信息技术中心应根据公司 IT 治理要求,与
业务需求部门、内部控制部门等明确各自的管理范围、管理
权限和管理职责。
第三十四条 信息技术中心应牵头制定贯穿需求分析、
立项审批、系统建设、系统验收、上线运行等阶段完整的 IT
应用管理原则、工作制度与工作流程,建立技术和业务之间
有效的协调沟通机制。
第三十五条 业务需求部门由于业务发展、业务创新、服
务创新、提高效率、加强风险控制等原因,需要投资新建或
升级 IT 应用的,应承担发起人责任。
业务需求部门需充分开展前期调研、可行性研究分析等
工作,保证 IT 应用价值与公司经营目标的一致性。
第三十六条 公司 IT 应用建设应在确保安全稳定的前提
下平衡技术创新和 IT 架构的一致性。
� 第三十七条 公司重要 IT 应用的建设、管理和运行维护
应满足行业的有关规范并达到安全技术标准要求。没有行业
规范和标准的,应尽可能参照已有的国家或国际相关技术规
范和标准。
第七章 IT 人力资源
第三十八条公司应配臵具备较高素质和专业水平的技
术队伍,建立与完善技术人才配套保障机制。公司IT人员数
量占公司总员工数量应不低于6%。
公司IT人员配臵首先应确保系统安全运行管理的需要。
公司总部IT人员数量应与行业内同等规模的券商相匹配,并
适当超前;分支机构IT人员数量应满足行业监管要求。
第三十九条 公司应在岗位备份、岗位分离、任职和离
职管理、保密管理、人员培训等方面制定相应的制度和流程,
有关内容应满足行业监管要求。
公司应与信息技术管理关键岗位及任职期间涉及敏感
数据的信息技术人员签订保密协议;公司应为IT人员提供履
行其岗位职责所需要的岗位技能培训及业务培训。
第四十条 公司其它业务单元IT相关岗位人员和分支机
构主要IT 管理人员的录用需经信息技术中心参与和把关。
第四十一条 公司应适当加大IT研发人员和中高端人才
的配臵力度,持续增强公司IT应用的自主研发能力,逐步缩
小与行业先进券商的差距。
� 第四十二条公司应建立公平、公开、公正的IT专业职级
升降机制和公平、竞争性的薪酬激励机制,为IT人员提供具
有一定市场竞争力的报酬和职业发展空间。
第八章 IT 安全与风险控制
第四十三条 公司应在组织保障、管理机制、资源投入
等方面采取有效措施,明确责任与分工,利用先进技术手段
实现对公司 IT 安全与风险的综合管控,充分保障业务活动
的连续性,保证重要信息的保密、完整和可用。
第四十四条 公司应设立信息安全与应急处臵机构,建
立信息安全与应急处臵工作制度和流程,以恢复业务连续性
为第一目标实现对信息安全事件的领导、组织、指挥、协调
和具体处臵工作。
第四十五条 公司应设立信息安全等级保护机构,按照
国家有关制度要求,推动信息安全等级保护落实到公司信息
系统规划、建设、运行维护等各个环节,不断提高信息系统
的安全保障能力。
第四十六条 公司应建立完善的安全管理制度,配备足
够的安全管理人员实现对信息安全的日常管理工作。
第四十七条 公司应建立完善的灾难备份措施和应急预
案。灾难备份措施应符合监管要求,应急预案应通过不断组
织演练进行优化。
第四十八条 公司的系统开发、系统运维管理、系统的
�合规检查原则上应实现相互分离。
第四十九条 公司应充分重视客户资料等公司商业信息
安全管理工作,制定相关制度、采取相应措施确保在开放的
市场环境中公司的商业机密和投资者信息安全。
第五十条 公司应对全体员工开展必要的信息安全培训、
教育和考核,对外来服务人员提出明确的信息安全要求。
第五十一条 公司与供应商签订合同应包含保密和诚信
协议,明确各自承担的安全义务和责任,并要求供应商在提
供产品或服务的同时承诺不存在恶意代码或未授权的连接
功能和后门程序,不提供违反法律法规的操作模块、功能和
手段。
第五十二条 公司应制定 IT 风险管控基本策略和相关制
度,建立内部 IT 审计制度。公司稽核审计部应每年组织 IT
专项审计,定期委托外部专业机构开展信息技术管理工作的
全面审计,频率不低于每三年一次;确保三年内完成信息技
术管理全部事项的审计工作,包括但不限于信息技术治理、
信息技术合规与风险管理、信息技术安全管理、应急管理;
并将审计报告提交 IT 治理委员会审议。
第五十三条 公司应按照“尽职免责,失职有责”的原则
追究信息安全事件的责任。
第九章 IT 治理文化
� 第五十四条 IT 治理是公司治理的重要组成部分,公司
各级领导应加大对 IT 治理的参与和支持力度,共同推动、
建立有效的 IT 治理体系。
第五十五条 公司应正确理解 IT 的地位和作用,支持和
参与有利于提升公司 IT 应用的企业文化建设。
第五十六条 IT 治理委员会应在公司内推动 IT 治理的宣
传教育,提高公司全员对 IT 治理的认知度。
第五十七条 IT 治理委员会应以建设集团整体优化的 IT
联合治理体系为目标,积极推进集团层面的 IT 治理文化。
第十章 附 则
第五十八条 本办法经公司董事会审议通过后生效,由
信息技术中心负责解释。
第五十九条 本办法自印发之日起实施,公司各全资子
公司、控股子公司可参照执行,如子公司所在地法律、法规
另有规定的,按照其规定执行,原《财通证券股份有限公司
IT 治理办法》(财券信息字[2018]54 号)废止。
�
