推动首席信息官进入银行决策层，建立与产业、行业对标的市场化动态薪酬调整机制，尝试信息科技信息化建设；缓解银行业信息科技关键基础设施的外包风险、供应链风险等

【财新网】（记者 吴红毓然）同样是“IT民工”，在互联网公司的和在银行的，为啥差距那么大？对于这样的码农心声，咱们监管层放话了：“放心吧！未来妥妥滴！”

历经一年半时间，在银监会信息科技监管部牵头下，《中国银行业信息科技“十三五”发展规划监管指导意见（征求意见稿）》（下称《意见》）于7月15日公开征求意见。

《意见》的重点内容之一，就是建立信息科技治理体系的有效性，创造银行业科技创新的文化环境。

从公司治理架构而言，《意见》指出，银行业董事会、高管层要充分认识信息科技在总体战略和科学决策中的重要性，完善首席信息官（CIO）制度，推动首席信息官进入决策层，提升决策质量。这就对了，此前互联网公司有个不成文规定，一个公司靠不靠谱，得看公司前三大高管中，有木有CIO！

其实这不是银监会第一次提出该意见了。2009年6月，银监会发布《商业银行信息科技管理指引》要求，银行应设立CIO。但到了2016年1季末，财新记者查询上市银行信息发现，CIO在高管层的寥寥无几呀。不过，也还是有进步，这不前不久，工商银行CIO林晓轩就去农业银行当副行长了吗？

尝试信息科技公司化运作

《意见》还要求，改进人力资源招募模式，尝试赋予信息科技部门相对独立的人员招募和薪酬决策权。加强信息科技人力资源保障，原则上，大中型银行信息科技人员占比应不低于4%，城市商业银行、具有独立系统的农村商业银行信息科技人员占比应不低于3.5%，省级农村信用联社信息科技人员占服务机构总人数比例不低于3%。

同时，银行业应完善考核激励机制，建立行政、专业双线的科技人员职业生涯体系，建立与产业、行业对标的市场化动态薪酬调整机制，加大对关键岗位和创新型员工的激励力度。加强对创新性、复合型人才的培养力度，充实中高级人才队伍，优化信息科技人力资源结构。

《意见》还要求，增加信息科技工作透明度，建立信息科技价值评估体系，推动实施内部成本核算、成本分摊与内部服务定价机制，尝试信息科技公司化运作。

上述《意见》内容，是银监会调研了大半年发现，目前信息科技治理体系的有效性还不充分。银监会指出，目前银行业信息科技治理体系的自我完善机制还不健全，不能快速适应经济形势和技术环境的变化。业务战略与科技战略联动不足，业务部门与科技部门的协调互动还不够顺畅。对信息科技的认识和重视还不充分，对信息科技部门的定位仍不清晰，科技人员的职业生涯、绩效薪酬与他们所发挥的作用、价值和贡献度还不匹配。

银监会认为，这是因为银行业对科技创新的认识和重视程度有待提高，运用科技创新的主动性还不足。固守成规，还缺乏有利于科技创新的激励机制。人才储备不足，人才结构有待优化，有利于科技创新的人才招募和培育机制还不完善。

除了人工成本，还有科研投入成本。《意见》要求，原则上，年度信息化投入中用于创新性探索研究和应用的投入比例不低于科技总投入的5%，对科技创新投入要建立专门账册。紧跟新技术发展趋势，加强前瞻性研究，进一步深入开展虚拟化、云计算、大数据、移动互联领域的创新，积极尝试开展量子通信、生物特征识别、人工智能等技术的应用。

防范信息科技风险管理

给钱了得干活呀！银监会认为，信息科技风险管理能力仍有较大提升空间。信息科技风险评估仍然缺乏系统性的方法和工具，评估结果不完备的情况还比较普遍，风险监测的动态性、及时性有待提高。第一道防线和第二道防线的界面不够清晰，重叠和缺位的现象同时存在。科技风险的计量、科技风险与资本管理的联动机制仍然需要进一步探索。

同时，信息安全也需要升级。《意见》指出，银行业面临着更加复杂的网络和信息安全威胁，常规攻击不断衍变，分布式拒绝服务（DDoS）、高级持续威胁（APT）等攻击手段花样翻新，钓鱼、伪基站等欺诈手段对客户信息安全和资金安全的威胁进一步加大，新技术迅速应用带来的潜在风险隐患也不容忽视。信息科技风险的传导性进一步加强，个人信息的全面互联网化、移动化使得第三方机构的信息科技风险向银行传导的机率大幅度提高。同时，银行业信息科技关键基础设施的集中度高、依赖性强，关键基础设施的外包风险、供应链风险尚未得到有效缓解。

此前一位大行高管对财新记者表示，信用风险几个亿不算啥，要是某家分支行宕机个一天半天的，银行行长估计会一夜白头——可见信息安全的问题多么重要。

因此，《意见》要求，掌握信息技术的选择权，鼓励加大在核心系统和关键技术方面研发创新投入，积极研究开源软件在银行重要信息系统的应用。关键网络和信息基础设施应逐步采用异构冗余技术，对重要业务系统，应逐步掌握独立变更升级的能力，保持业务连续性。

同时，健全信息安全防御机制，建立全方位的安全态势感知和预警体系，组织开展网络攻防演练，增强重大网络攻击的发现、分析和处置能力，积极应用量子保密通信等前沿技术提升网络安全防护能力。推进信息资产分类分级管理，加大敏感信息保护力度切实防范敏感数据泄露、篡改、丢失和非授权访问等风险。

还有一点，《意见》要求，要持续推进软件正版化工作，加强正版化意识教育，运用软件资产管理标准、方法和实践提升软件正版化工作水平，防范因盗版软件引发的各类风险。

在外包方面，规范信息科技外包服务交付及知识转移，确保拥有以适当自有资源掌握关键要素的能力，避免过度依赖外包服务。进一步健全信息科技外包管理组织架构，完善信息科技外包事前预防、事中控制、事后评价的外包风险管控模式，建立外包商准入考察机制，切实开展外包项目风险评估和尽职调查，对接触敏感数据和承担关键基础设施外包服务的第三方机构，要从国别风险、技术风险、供应链风险、经营风险等方面予以全方位评估。

此前也有一些互联网金融公司，突然光缆被挖断，导致支付出故障。这次《意见》指出，要优化数据中心布局，新建数据中心选址应充分考虑选址过于集中带来的区域性风险，配合国家“一带一路”的战略部署，优先考虑其他信息化服务的节点城市，并倾向气候适宜、通讯、电力、水资源充沛的地区，逐步缓解数据中心区域性集中风险。加强数据中心运营管理能力建设，开展数据中心管理能力成熟度评价，到“十三五”末期，按照相关标准，大中型银行数据中心服务能力成熟度不低于III级，其他机构数据中心服务能力成熟度不低于II级。

话又说回来，银行向信息科技领域加大投入，但现在银行盈利收窄，哪来的钱呢？《意见》表示，银行要积极实施网点转型，推动网点向营销型、体验型智慧网点转变，大力推动网点无纸化办公，运用新技术减少客户网点等待时间，积极运用无线服务、移动办公等技术改善客户网点体验。

所以嘛，未来IT民工们笑了，银行柜员可就得哭了。