健全证券公司信息技术制度体系研究
一、证券行业信息技术风险管理现状及存在的问题
(一)证券行业信息技术风险管理现状
1.监管法规体系愈加完善
自2018年以来,监管政策出台越来越密集,监管内容越来越精细,信息技术风险监管体系逐渐完善。据中国证监会官网公布信息统计,截至2021年底,证监体系监管机构已发布至少25项法律法规、规范标准,从信息技术基础设施、技术系统、人员配备、制度体系、组织架构等多个方面对信息技术合规、风险管理作出要求。
2.信息技术风险监管处罚趋严
自2018年《证券基金经营机构信息技术管理办法》发布以来,监管机构对证券公司信息技术风险关注度大幅提升,信息技术相关违规处罚数量逐年增多,且处罚力度逐渐加大(见图1)。
图1:2018-2021年信息技术领域监管处罚情况
资料来源:中国证监会及派出机构官网,华锐金融科技研究所统计。
3.重视程度不断提高
随着信息技术与证券业务融合程度加深,证券经营机构对于信息技术风险管理的重视程度不断提高,具体表现在以下四方面:一是形成了信息技术部牵头负责,合规、风控、稽核等相关部门共同参与的组织架构体系;二是明确了信息技术风险管理三道防线并建立了相应的组织机制;三是部分机构围绕系统建设、软件开发、运维、信息安全事件等,建立了相应的评估机制和风险报告机制;四是证券行业11.43%的机构开始将信息技术风险列为独立的重大风险防范事项。
(二)证券公司信息技术风险管理存在的问题
1.信息技术风险主动管理意识仍然薄弱
信息技术风险管理需求不只是来自监管合规要求,更多的是来源于证券公司内部日常工作需要。然而,目前多数机构信息技术风险管理以满足监管合规为主,具有明显的政策指导性,缺乏主动管理意识。
2.现有的信息技术风险管理体系呈现碎片化
根据公开信息统计发现,截至2021年仅有不足5%的证券公司风险管理措施覆盖健全制度、优化流程、完善风险管理机制、培育文化等整个体系的信息技术风险管理,多数证券公司信息技术风险管理从系统运维安全保障、人员岗位分离、严格把控供应商、重视系统建设等方面提出管理措施,整体呈现出碎片化特点,缺少具有战略高度和系统性的方案。
3.信息技术风险管理流程、机制不完善
在2017年-2021年信息技术风险相关的监管处罚中,有26.09%的证券公司是因为信息技术系统建设不完善,部分业务环节、风控环节未纳入系统监管流程,从而受到监管处罚;其余73.91%的证券公司主要是因为信息技术应用过程中相应的管理机制不健全、管理流程缺失等内部合规管理不足造成。
4.多数机构信息技术管理制度体系不健全
目前多数证券公司信息技术管理的制度体系更新较慢,部分机构还停留在几年前的状态,缺乏系统性的梳理完善,制度体系存在结构散乱、逻辑性不足、控制点缺失等问题,对信息技术风险管理造成一定影响。
二、健全制度体系对于证券公司信息技术风险管理的重要性
(一)满足监管合规要求
制度体系是信息技术风险管理的主要依据和管理“抓手”,是证券公司内控成熟度的重要体现。信息技术风险管理是否全面、精细可以从其相关制度体系是否完整、覆盖广度、逻辑结构、是否分类分级等维度体现。所以,关于证券公司信息技术创新应用是否合规、风险管理能力强弱,制度体系是其重要审核点或检查项。此外,行业信息技术监管处罚原因更多的是追溯到信息技术内控管理是否合规、制度体系是否健全的层面。
(二)内部风险管理能力提升需要
1.信息技术制度体系是信息技术治理、风险管控、应用创新的重要依据和信息技术高效管理的重要保障
建立完善的信息技术制度体系,能够助力证券公司明确信息技术相关权责划分,构建权、人、事规范化运行机制,有效调节不同团队、各个环节之间因为职责不清导致的矛盾,建立跨团队、跨部门的高效协同机制和制衡机制,从而使公司信息技术管理有据可循,激励约束有法可依,有效防范信息技术风险。
2.信息技术风险管理是证券公司内控管理的重要部分
目前我国证券行业内控管理仍然主要集中在业务流程、操作合规等层面,但随着信息技术的融入,证券公司业务模式、经营模式、产品种类、相关业务流程不断创新变化,而与之相对应的制度管理体系变更相对较慢。多数公司制度体系处于“应急状态”,而健全信息技术制度体系犹如做了“全面体检”,自上而下,由内而外,全面深入梳理监管全部控制点,同时与公司现有管理需求相结合,从根本上提高公司内部风险管理能力。
3.健全制度体系有助于提升证券公司信息技术管理效率
在信息技术制度体系不健全的情况下,部门之间、岗位之间往往存在沟通衔接问题。健全信息技术制度体系一方面可以在现阶段厘清各部门、各岗位之间的职责,另一方面可以建立高效、灵活的协同机制,形成信息技术安全的制度“防火墙”,使规则前置,减少后期的扯皮和内耗,从而提升信息技术风险管理的效率效能。
三、健全证券公司信息技术制度体系的基本原则
(一)平衡性原则
健全证券公司信息技术制度体系的目的有两个:一是满足合规性要求;二是满足内控管理发展需求。因此,健全制度体系不是盲目建制度,不是盲目满足“合规”要求,建制度应该在满足监管政策前提下,与公司战略目标、发展现状、自身特色、管理特点等相契合,且能够有效落地应用。
(二)控制点优先原则
根据当前证券行业法律法规要求,IT合规及最佳实践要求有200余项控制点,2000余个检查点,总制度框架涉及制度90余项。然而各机构自身业务发展情况不同,所涉及的信息技术不一,存在的风险管理问题、涉及的控制点也各不相同。因此,在构建证券公司信息技术制度体系过程中,需要结合公司自身信息技术发展战略、规模、现状、风险管理成熟度等,将控制点按照优先级、重要程度分类,优先覆盖现阶段所需控制点建设制度。
(三)持续性原则
制度指导并服务于日常工作,其建设不是一劳永逸的事情,现阶段制度满足的是当前监管要求和现阶段内部管理需求,随着监管政策的更新以及公司信息技术发展,制度体系也应随之调整。因此,证券公司信息技术制度体系建设应该遵循先广后精、先粗后细、循序渐进、逐渐完善原则,即先明确制度构建逻辑,再结合公司IT战略、IT成熟度、监管政策等循序渐进地细化、完善。
(四)协调性原则
证券公司信息技术制度体系不是独立存在的,需要与整个公司管理制度相匹配,一般从公司二级制度开始,即《信息技术管理办法》,向上衔接公司章程、内控大纲等一级制度,三级制度、四级制度则是与各个业务领域、合规、风险管理等其他领域制度相结合。因此,健全信息技术制度体系不能单一地从信息技术管理角度出发,需要与业务管理、合规管理、公司其他风险管理相融合,使信息技术风险管理制度体系能很好地嵌入其他制度之中。
(五)落地性原则
证券公司信息技术制度体系建设不只是要满足合规检查,最终目的是要落地应用,依托信息技术制度体系建设,提升自身风险管理能力和内控能力。因此,证券公司信息技术制度体系建设既需要高屋建瓴,指导公司整体信息技术风险管理,同时兼具落地性,特别是三、四级制度,如《项目管理规定》《信息技术安全管理规定》《外包人员管理规定》等,能够较好地应用到证券公司的日常管理之中,使信息技术风险管理有法可依,有据可循。
四、健全证券公司信息技术制度体系“三步走”规划
证券公司信息技术制度体系建设需要较长的过程,且持续更新完善。本文提出证券公司信息技术健全制度体系“三步走”规划,将制度体系建设分为三个步骤,以实现证券公司从“救火”阶段向规范化、“文化”、常态化的转变(见图2)。
图2:信息技术制度体系建设的三个阶段
资料来源:华锐金融科技研究所。
第一步:定期自我评估。
设置定期的自我评估机制,一般以3-5年为一个周期,或者在重大政策发布后,主要分析监管合规要求、风险管理需求与制度体系之间的差距,同时做好该阶段的同业对标,并制定相应的制度体系更新完善规划,确保证券公司信息技术制度体系满足合规要求,并能够较好地指导日常经营管理工作。
第二步:制度体系修订。
制度修订分为小修订和大修订。小修订可以通过设立专岗专员,持续跟踪监管政策,不断优化。大修订一般与定期评估相结合,在评估后,对比现有差距,以满足监管要求为前提并契合公司信息技术战略,强化制度融合管控为目的,对现有制度体系逐一研讨和修订,修订过程中应该严格遵守上述五大基本原则。
第三步:持续落地完善。
制度体系修订后需要将制度传达到相关部门、岗位人员落地实施,这可以通过相关培训考核来传导、深化。如通过线下培训,或者设置相应的题库用于员工不定期考核,以强化员工信息技术风险管理意识。
五、证券公司信息技术制度体系完善建议
(一)顶层设计重点发力
从现阶段监管导向和机构合规风控需求来看,健全制度体系是未来一段时间的重要任务。但信息技术制度体系建设因其存在的价值具有隐蔽性和长期性,经营机构存在积极主动意识不足的情况,想要高质高效完成这一任务,证券公司必须得到顶层设计支持,自上而下贯彻执行。因此,健全制度体系需要得到公司高管的大力支持,建立专项的制度建设小组全权负责,各相关部门联动配合来完成。
(二)各部门共同参与协同作用
信息技术风险管理体系建设不是风险管理部或信息技术部单个部门的任务,信息技术风险管理涉及各个业务条线、中后台运营管理部门以及风险管理部、审计稽核部等多个部门。制度体系构建过程中需要向各个部门调研了解信息技术应用、管理操作流程及问题,需要各个部门协同参与、积极配合,明确日常管理工作中常规管理流程的优劣性,助力制度撰写小组在合规前提下选择最优流程。
(三)借助“外脑”提高效率
制度体系建设涉及范围广、时间长,全公司级信息技术制度体系建设周期一般为6-10个月,其中仅现有制度体系评估就至少需要1-2个月,且耗费的人力相对较多。同时,制度体系建设对相关人员要求较高,其团队成员既需要懂信息技术在各场景下的应用,同时还需深入把握监管政策导向和主要控制点,兼具制度撰写能力。其中,监管政策导向把握能力、信息技术应用管理能力、信息技术安全专业程度、制度规范撰写能力、协同规划能力等各项能力缺一不可,证券公司仅凭内部团队完成如此专业性强、周期性长的工作难度较大,可以借助外部机构协同作用,高效完成制度体系建设。
(四)制定完善的落地实行机制
为了避免制度体系建设后成为应对合规检查的工具,在构建制度体系过程中还应制定相应的落地实施机制,如制度制定过程中要求相关团队参与制定讨论,使其深刻理解制度内容;制度完成下发到相关岗位团队后组织制度宣讲活动或者对各团队开展培训;培训后可设置不定期考试,加强员工对于制度的理解与把控,将信息技术风险意识与全员工作深度融入,形成风险管理文化,助力制度有效落地实施。
(五)建立长效更新完善机制
随着监管部门对证券行业信息技术监管趋严,相关监管政策、规范、指引越来越多,信息技术相关法规不断丰富,同时证券公司信息技术应用范围更加广泛,逐渐覆盖前、中、后台各个环节,面临的风险也越来越多,特别是头部证券公司业务范围广、管理链条长,信息技术管理需求增加,制度体系也必然不断更新变化。因此,需要建立长效制度更新管理机制,如设置制度管理专岗持续跟踪政策,维护制度等。鉴于各家机构规模、信息技术覆盖程度、管理成熟度差异较大,业务种类多、信息技术应用复杂程度高的机构可以设置专岗;而业务相对单一、信息技术应用场景简单的机构可采取一人兼多岗策略,如采用信息技术合规岗、风控岗、供应商管理岗等岗位人员兼职制度管理岗,持续跟踪完善制度体系。
* 课题组简介:课题负责人:曹雷,华锐金融科技研究所负责人,华锐分布式(北京)技术有限公司总经理。课题组成员包括:申晓宇、郭孟暘、蒲红田、叶楠,均供职于华锐金融科技研究所。
