基本要求：（1）商业银行应建立首席信息官制度，明确其工作职责及报告路线。
1.判断是否设立了首席信息官：可专职，可兼职；
2.是否可从人力资源部获取首席信息官的岗位职责以及汇报路线。
3.访谈首席信息官，了解其汇报的频率，并验证汇报材料，是否与汇报路线一致。
（2）首席信息官应了解并参与本行业务发展决策。
1.查阅其他委员会的会议纪要，验证是否有首席信息官参与。
2.访谈首席信息官，了解其对本行业的业务风险是否清晰。
（3）首席信息官应负责制定和及时更新信息科技战略,确保信息科技战略与业务战略保持一致。
1.访谈首席信息官了解其对本行信息科技风险的状况，以及应对措施。
2.翻阅其他委员会的会议纪要，获取业务战略的更新情况和次数，与信息科技战略更新情况对比，验证是否信息科技战略与业务战略是否同步更新。
3.分析信息科技战略与业务战略的一致性，请参考cobit的分析方法。
（4）首席信息官应确保信息科技职能的规范和有效运作。
1.以信息科技职能为线索，检查每项职能都制订了明确的制度规范，指导运作。
（5）首席信息官应领导和协调信息科技部门做好以下工作：信息科技预算和支出，信息科技政策、标准和流程制定及执行，信息科技内部控制、专业化研发，信息科技项目管理，信息系统和科技基础设施的建设、维护和运行管理，信息安全管理，应急管理和灾难恢复计划，信息科技外包和信息系统退出等。
1.获取上述相关内容制度规范；
2.通过后续的测试验证CIO是否参与上述工作。
（6）首席信息官应确保信息科技人才队伍具备充分的专业技能。
1.根据人力资源提供的信息科技人员岗位以及任职条件，抽取现任岗位人员的材料，验证学历、专业、相关经验、相关经验年限，如有入职考试或任中测试也应查验。
2.从人力资源查阅上述岗位人员参与培训的状况，是否具有针对其岗位需求的培训。
从风险防范的角度看，如果第一道关，选人这一关防范无效的话，通过第二道关培训，可以削弱这一风险。如果两道关都防范有效的话则锦上添花。