本文共字，预计阅读时间。

《证券基金经营机构信息技术管理办法》（以下简称《办法》或152号令）是行业信息技术领域法规的分水岭。《办法》之前，行业所发布的信息技术相关部门规章（比如2012年9月发布的82号令）、规范性文件（比如2012年12月发布的46号公告）等主要围绕信息技术安全、治理展开，基本没有合规字眼出现。2019年6月1日正式实施的《办法》用一整章9条内容对信息技术合规与风险管理作了要求，可见重要性之高。《办法》对信息技术合规与风险管理的高要求也与当前行业信息技术发展所处的阶段、面临的突出问题以及快速发展的金融科技相呼应。所以，有理由相信，信息技术合规要求（精神）也将直接或间接贯穿于未来《办法》各类相关下位法甚至相关业务规则中。

技术是把双刃剑，不管是信息技术合规要求还是风险管理能力要求，归根到底都是为了提高行业对信息技术这把利剑的驾驭能力，避免伤害自我！本篇，应读者要求，重点讲讲信息技术合规。如果没统计错，本篇应该是行业公开介绍信息技术合规的首篇。

《办法》对信息技术合规的明确要求

《办法》明确的关键点如下所示，需要指出的是，落实法规要理解立法精神、立法本意，已明确的这些点也只是信息技术合规要求的一部分。

（一）若违规，会进一步增加后续合规成本

作者看来，你大概率不会为一次违规只买一次单！合规成本视事件严重程度，包括合规检查次数、相关责任人职业生涯、券商分类评级、特定资质申请等等。当然，如果做好了，按照《证券公司合规管理实施指引》，有效防范并化解合规风险，也自然能为机构自身创造价值。合规创造价值，不仅是口号，如果非要去衡量有多大，可以参考行业以往因信息技术不合规场景导致的损失去衡量。

（二）业务系统的设计、功能设置、参数配置和技术实现应当遵循业务合规

行业的系统开发、部署、配置有其特殊性，不能单纯的站在业务需求、技术实现角度评判，合规是上述一切的前提。但这部分要求对合规的确很是挑战，之前某业务通过“步步合规，整体违规”的取巧需求和技术实现的场景大概率在未来还会存在，这种将合规作为对立面的展业行为，中长期看，大概率会给公司带来灾难。

（三）新建或更换重要信息系统所在机房、交易相关系统，要配对相应的合规管理制度；年度信息技术管理专项报告要包括对信息技术合规管理情况

作者看来，行业信息技术领域也有“三重一大”，重要信息系统（详见《办法》第六十三条）、重大变更、重要数据（尤其是客户、业务相关数据）和大额项目建设，这也是信息技术合规管理内容中的重中之重。

（四）信息技术合规管理也是审计的重要内容之一

信息技术合规管理为二道防线，审计为第三道。

（五）保障信息系统合规运行、满足信息技术资源合规性要求

信息技术资源不仅包括人力、信息技术投入，还包括灾备能力及环境等。既然《证券期货经营机构信息系统备份能力标准》（JR/T 0059-2010）被《办法》引用，需要遵守。

（六）信息技术合规，同时也鼓励借助信息技术手段提升合规能力

合规要求不是制约技术的应用，合规要求也需要技术赋能，双向提升。将合规作为队友，而不是对手。

（七）母公司为子公司提供基础设施并协助开展运维工作以合规为前提

虽是一家人，但权责还是要厘清。如果子公司为经营机构，此时母公司的角色类似特殊的信息技术服务公司，应满足相关的要求，遵守相关的规定。

行业信息技术合规面临较大挑战

众所周知，行业所有业务运转、创新均离不开信息技术，信息技术作为公司经营所依赖的底座，如果管理不当或方向走偏，上面楼层很容易发生倾斜甚至倒塌。《办法》之前，行业合规管理主要围绕员工行为规范比如保密管理、内幕信息管理、投资行为管理等，业务合规比如自营业务、两融业务等，公司治理比如“三重一大”事项、制度等，分支机构及营业部管理比如用章用印管理、投资者教育、客户投诉管理等，极少将信息技术作为专题或维度去要求。从行业现状看，预计在较长时间范围，信息技术合规将对当前行业合规管理带来较大挑战，原因至少有以下几点：

一是，这事较新且有持续性。上述讲了，信息技术合规是《办法》中首次以部门规章的形式提出的重点要求项，也是对经营机构落实合规管理全覆盖内容的细化，之前部门规章、自律规则等基本没有该类要求。除此之外，从金融科技发展的角度看，后期对信息技术合规的高要求会持续且会提高。需要指出的，种种统计数据显示，即便《办法》已正式提出且已生效，已将信息技术合规列在工作重点事项的经营机构还不多，这似乎还需要一个过程或催化剂。

二是，这事比较大。因信息技术使用不合规给公司带来重大影响甚至灾难的场景和实例在金融行业不是什么新鲜事，信息技术很容易导致极端情况出现，稍有不慎很容易出现“随时死给你看”的后果，后续合规成本较高。

三是，这事涉及的内容很多，且较为分散、容易疏漏，目前还没有形成体系。为提升行业信息技术合规水平，帮助经营机构落实各类信息技术合规要求，华锐金融科技研究所基于公司在交易、风控领域多年核心业务系统研发优势，借助较强的业务积累和专业研究能力，已投入大量人力，构建了成熟体系，其中信息技术方面合规点就以千计。

四是，缺少相关人才。行业合规管理部目前以金融、法律背景人员居多。信息技术合规是个横跨理工科、文科领域的复合背景岗位，是一个专业性特强的领域，虽然《证券公司合规管理实施指引》第二十七条要求经营机构“具备3年以上证券、金融、法律、会计、信息技术等有关领域工作经历的合规管理人数占人员比例比低于1.5%，且不得少于5人”，但合规管理人员履职保证欠缺，人才流失大（监管数据显示，2018年约13%公司合规部门人数在减少）、人员少、职责重、人才培养机制不健全等是行业合规领域面临的挑战之一。在此背景下，行业合规部缺少经验丰富的信息技术背景复合人才的问题更是突出，这也就使得很多经营机构在落实信息技术合规时面临较大挑战。

如何做好信息技术合规工作

既然存在较大挑战，且又那么重要，那如何应对该项工作呢？参照《证券公司和证券投资基金管理公司合规管理办法》第二条，合规是指经营机构及其工作人员的经营管理和执业行为符合法律、法规、规章及规范性文件、行业规范和自律规则、公司内部规章制度，以及行业普遍遵守的职业道德和行为准则；合规管理是指经营机构制定和执行合规管理制度，建立合规管理机制的行为。 《办法》第十二条指出，经营机构应当将信息技术运用情况纳入合规管理体系，为合规管理部门配备与业务活动规模、复杂程度相适应的信息技术资源，并建立相应的审查、监测和检查机制，确保合规覆盖信息技术运用的各个环节。基于上述规定，结合以往经验，作者建议做好以下工作积极应对信息技术合规管理。

一是高度重视并积极参加信息技术治理委员会相关会议。信息技术治理委员会负责制定信息技术战略并审议与信息技术相关的重大或关键事项，因参会人员背景，所讨论的议题一般有一定高度，类似上述提及的信息技术领域“三重一大”或与业务密切相关，也不会陷入技术细节。《办法》要求信息技术治理委员会成员包括合规管理部门负责人，这不仅有利于公司信息技术管理工作，也有利于合规管理部门在信息技术合规管理方面从源头抓起、从重点抓起，尽可能防范未来潜在的信息技术合规风险。

二是将信息技术合规管理纳入公司整体合规体系，深入落实信息技术合规管理内容全覆盖。公司合规管理体系应该依据信息技术合规管理要求予以及时梳理或针对性修正。覆盖的内容包括但不限于1）覆盖并落实相关法律法规准则规则，包括行业内的，比如上述提及的部门规章；行业外的，比如《网络安全法》、《等保2.0》等；公司内部的，比如各类规章制度等。2）系统全生命周期层面，首先，建立对各类信息技术运用尤其是各类重要信息系统，开展事前审查、事中监测、事后评估审计的信息技术合规管理机制；其次，围绕信息技术上承载的业务的规则，确保业务合规点要求在系统设计中落实；最后，重要信息系统变更、安全保障、业务连续性等。3）数据全生命周期层面，尤其是涉及业务、客户敏感数据的流动。4）权限层面，各类管理权限、操作权限、访问权限，遵守最少功能最小原则。5）制度流程层面，制度是否健全，操作流程是否完善、是否已经做合规性评估，是否落实到位等。6）企业文化层面，根据《证券公司和证券投资基金管理公司合规管理办法》《证券公司合规管理实施指引》的要求，将信息技术合规融合到员工行为守则及合规手册制定、合规宣导与培训等合规文化建设中去。

三是持续关注信息技术合规相关要求，积极评估落实。上文提及，信息技术合规要求（精神）会在未来很多规章规则，甚至业务规则中体现，较为分散，需要持续关注，如果受限于精力或人力，可通过华锐金融科技研究所获得及时信息。除评估、审查、监测、检查外，信息技术合规管理也要承担为公司信息技术相关活动提供合规咨询和建议的职责，积极配合监管检查等。

四是内力不足时借助外脑。对于大多数经营机构来讲，较长时期，合规部（有公司称法律（务）合规部、合规法务部、风险合规部）不可能为信息技术合规岗招聘多人，但工作又很重要。《办法》在要求信息技术治理委员会时提及，必要时可以请外脑协助，作为日益复杂的信息技术合规，如果人力、资源不足时，可借助外脑予以解决，这也是《证券公司和证券投资基金管理公司合规管理办法》第二十五条“合规负责人认为必要时，可以证券基金经营机构名义直接聘请外部专业机构或人员协助其工作，费用由公司承担”以及《办法》十二条“为合规管理部门配备与业务活动规模、复杂度相适应的信息技术资源”支持的。这不仅节省了投入，也能获得更专业的持续支持，符合行业发展趋势。当然，外脑的专业性很关键，没有行业沉淀、对照规则照本宣科、浮于表面的大概率适得其反。

总之，金融科技发展所带来的融合，不单纯体现在业务层面与技术融合，经营机构的合规、风控管理能力也应该与技术融合。一方面，合规的前提下应用技术，将合规作为队友；另一方面，通过技术提升经营机构合规能力，为合规赋能。（文/曹雷）

[Source]

本文系未央网专栏作者发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文为作者授权未央网发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文版权归原作者所有，如有侵权，请联系删除。首图来自图虫创意。