聊聊行业信息技术风险管理——剖析《证券基金经营机构信息技术管理办法》

扫描分享

本文共字，预计阅读时间。

前言

围绕《证券基金经营机构信息技术管理办法》（以下简称《办法》），上两篇分别讲了“CIO”、“信息技术合规”关键词，收到不少读者来信，在此对认可和支持深表感谢！需要说明的是，信息技术合规是个大命题，一篇文章肯定难以言透，这也只是研究成果的一小部分，本系列亦然。这就好比《证券基金经营机构信息技术管理办法》虽短短64条，10016字，但作为行业信息技术领域权威部门规章，其每个字每个标点都经过长期打磨，作者虽尝试逐一围绕单个关键词去讲，但仍感未讲透、意犹未尽。其实，任何法规都不能只是简单的根据表面文字去解读，都值得我们掰开揉碎了去理解和体会。本篇围绕“信息技术风险”展开，这也是行业目前很具挑战的领域，抛砖引玉。需要说明两点，一是本文不打算陷入具体措施或技术，而重在结合行业去谈；二是信息技术风险不是孤立的，尽量尝试结合合规、内控、全面风控去谈。

一、行业信息技术风险定义

名不正则言不顺。不同行业，不同角度甚至不同时期均对信息技术风险赋予了不同的定义和内涵。目前证券基金行业暂无官方统一定义，摩根士丹利公司将技术风险（Technology Risk）定义为公司信息、系统和基础设施受到网络和内部威胁；《巴塞尔协议》将其定义为“任何由于使用计算机硬件、软件、网络等系统所引发的不利情况，包括程序错误、系统宕机、软件缺陷、操作失误、硬件故障、容量不足、网络漏洞及故障恢复等”，该表述更多的是从技术的角度去定义，对技术进行分类；2009年银监会发布的《商业银行信息科技风险管理指引》（以下简称《管理指引》）将信息技术风险定义为“是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险”，该表述更多的是从风险的角度去定义，用其他风险定义该风险。由于上述定义已很久，作者尝试结合证券基金行业实际进行如下剖析和定义。

“信息技术风险”表面上就有3个关键词：风险、信息、（信息）技术。词典中，“风险”是指遭受损失、伤害、不利或毁灭的可能性，也即不幸事件发生的概率（^*不是纯学术，这里不考虑超过预期的正面影响）；理论上讲，只要不是唯一结果就会有概率，就存在风险。“信息”，除了信息论创始人香农的拗口定义外，经济学家认为“信息是提供决策的有效数据”；“（信息）技术”是指用于管理和处理信息所采用的各种技术的总称，包括但不限于：信息系统、硬件、基础设施、网络、研发工具、测试工具、管理工具等等；在公司治理层面，结合麻省理工学院斯隆管理学院比较出名的研究成果，将上述要素归纳统称为公司6大关键资产的“信息和IT资产”类（未来在聊IT治理时会讲）。至此，再结合证券基金行业实际（比如声誉风险、合规风险、后续分类评级影响等），作者将“信息技术风险”初步定义为“在信息技术运用过程中，信息和IT资产遭受到损失、伤害、不利或毁灭，进而给公司带来负面影响的可能性”。

需要指出的，信息技术风险，在国内外行业全面风险管理体系建设中通常属于操作风险范畴，由于其内涵、复杂性和重要性的不断提升，近些年，证券行业逐渐将其从操作风险中剥离出来予以重点关注。这类似市场风险中的利率风险（银行账户利率风险）被银行业拿出来作为9大风险之一进行重点强调。

虽然行业2014年协会发布的《证券行业全面风险管理规范》暂未明确将信息科技风险单独拉出来讲，但早在2003年，证监会发布的《证券公司内部控制指引》第十八条就已经要求经营机构要“建立业务风险识别、评估和控制的完成体系……对操作风险、技术风险……进行持续监控”；2016年银监会发布的《银行业金融机构全面风险管理指引》也已明确将信息科技风险作为9大重点风险项之一。高盛、摩根士丹利、国内少数经营机构也早已将信息技术风险（或网络安全风险）作为公司层面重点风险关注项。需要指出的是，有些金融机构也会将网络安全风险和信息技术风险并列，这有其历史、内部管理或响应特定监管要求的原因，毕竟网络安全的概念由来更久。

二、行业常见信息技术风险分类

弄清楚了信息技术风险的定义，信息技术风险分类就比较简单些了。从关联主体、过程、生命周期、范围等，结合行业实际，作者列举行业常见将信息技术风险如下（因角度不同，有的有重叠，没有清晰界限；且尽量用通俗词代替专业词），需要指出的是信息技术风险的细分类别也不是一成不变的，它随着信息技术、应用发展而不断扩充。

摩根士丹利重点关注的技术风险包括信息安全风险、欺诈风险、供应商风险、数据保护风险、业务连续性风险、网络安全风险、信息技术合规风险等;高盛重点关注客户及业务数据风险、业务连续性风险、信息安全（包括网络安全）风险、合规风险等。

三、行业信息技术风险特点

信息技术风险特点有很多，比如复杂性、广泛性、变化性等等，类似文章也很多，这里只从行业角度聊聊几类。

（一）风险叠加共振让信息技术风险更突出，后果更严重

风险是金融市场的内在属性，证券基金业务本身就游走在各类风险中。而技术本身就是个放大器，可以极速放大各类业务风险，带来的后果之一就是信息技术相关部门更容易“被当”背锅侠，一点小的程序缺陷甚至能影响整个市场。2013年8月16日的乌龙指事件，其背后不是单纯的系统缺陷问题，但信息技术风险在该事件中异常扎眼。

（二）突发性强，风险处置极具挑战

经营机构所有业务系统都由总部集中部署管控，好处不讲，坏处就是一旦出问题，就是公司级别的大问题，是关系到功能能否正常营业的问题。而信息技术发生故障事后，给与处置的时间窗口极少，需要快速的决策应对，时间越往后延，信息安全事件级别就会越大，经营机构损失也就会越大，当事人处在极度高压下，有种在玩“俄罗斯转盘”的感觉。

（三）影响范围更广、持续时间更远、更难以量化

信息安全事件视严重程度、发生次数等会对经营机构分类评级带来不同程度的影响，也可能面临更严格的合规检查，分类评级又会影响到经营机构投资者保护基金的缴纳金额，还可能影响新业务资质的申请，银行贷款授信、券商债券业务、新业务申请等等。所以信息技术风险处置不当后果不是能即时完全反映出来的、也让本来就难以量化的技术风险更加难以量化。

（四）隐蔽性太强

即便测试万千遍，每轮牛市都或多或少暴露出一些系统缺陷。此外，证券基金行业门槛高的原因之一是细分业务种类太多，有些业务未必持续存在，比如公开增发业务在2015-2019没发生过，2019拓斯达公开增发案例中，就暴露了个别经营机构的系统缺陷。

（五）很少单独存在

信息技术风险往往背后还紧紧跟着声誉风险、合规风险、法律风险等。各种系统问题导致经营机构客户投诉、索赔的事件在业内也不少见。

四、《办法》对信息技术风险管控的内在要求

我们对《办法》的理解应从逐条到全局再到结合行业现状、发展趋势、监管导向展开，《办法》第三章“信息技术合规与风险管理”对信息技术风险管控做了明确要求，但《办法》对信息技术风险管控的要求贯穿全文。

（一）从内控层面，构建信息技术风险管控三道防线

《办法》发布前，监管公开数据显示，2018年，行业90%以上的证券公司将信息技术风险管理的牵头部门设在信息技术相关部门，10%以下证券公司设在运营管理部门或风险管理部门。

虽没具体字眼，从内控角度，《办法》全文其实提出了构建信息技术风险管控三道防线的要求，比如第二章信息技术治理章节属于第一道防线范畴；第三十二、三十七条属于第二道防线范畴；第十六条属于第三道防线范畴。信息技术管理部门，有对信息、（信息）技术的天然优势，风险管理部有对风险管控逻辑和方法的专业优势，稽核/审计部有其独立性、客观性的审查和评估优势，三道防线有效分工、信息共享、协同开展，在组织架构层，也符合行业内控要求（比如《内控指引》第十三条）。

如何协同？稽核/审计相对独立和清晰，一般直接向董事会汇报和负责，保持独立性，这里不谈，主要从组织架构和职责上，谈谈需要加强协同，定期沟通的一二道防线。国际经验看，摩根士丹利、高盛等均在公司层面成立了技术风险委员会的类似组织。

摩根士丹利，成立操作和技术委员会（BOTC），BOTC定期向董事会汇报工作。从技术角度，主要负责把控信息技术战略、信息技术发展趋势，审批信息技术预算和投资；把控技术风险管理和技术风险评估的体系和方法论；审查公司主要技术风险敞口，包括信息安全风险、网络安全风险等；审查管理层为监控和控制这些风险敞口所采取的措施；审查业务连续性计划；技术部门下设技术风险部作为信息技术风险第一道防线。

高盛，在公司级企业风险管理委员会下设公司级技术风险委员会，该委员会负责审查与技术设计、开发、部署、使用有关的事项；审查各类网络安全事件、技术风险管理框架和方法并监测其有效性；核心成员包括两位CIO（高盛是联席制）、首席操作风险官、全球投资研究负责人等，其中CIO和全球投资研究负责人共同担任委员会主席。

基于上述国际投行运作经验，结合行业实际现状，作者认为，当前可以将信息技术风险管控的主要领导和管控职能明确放在《办法》中提及的信息技术管理委员会。

（二）从全面风险管理层面，将信息技术风险纳入公司全面风险管理体系

《办法》第十二条明确要求经营机构应当将信息技术运用情况纳入风险管理体系。

这一句话最简单但其实最难。因为背后直接衔接了另外一个重要法规和体系。本文篇幅有限，择机再展开。需要指出的是，经营机构全面风险管理内涵不断丰富，华锐金融科技研究所统计了国际投行和国内几家经营机构全面风险管理重点项的变化图如下，对比也可看出，B显然在风险管理领域在行业领先。随着现代信息技术的发展，金融和科技的融合，比如与建模有关的模型风险、危机蔓延风险或更细分的风险也在不断涌现。

风险管理有其成熟的方法论和体系框架，这里不赘述。结合行业全面风险管理规范要求，信息技术风险防控，需要从管理制度、组织架构、评估体系、指标体系、人才队伍、信息共享、分类分级、应急处置等方面入手，结合经营机构现状，并不断完善。

（三）从生态层面，借助借外力

《办法》第九条、第十六条分别在IT治理（第一道防线）、IT审计（第二道防线）做了相关说明。借外力（外脑）这事，不是因为华锐金融科技研究院、技术实验室在与经营机构开展“外脑”合作，才提起这事，其实很多相关政策文件也都有许可性说明。作者认为，对于绝大多数经营机构，尤其是中小经营机构，随着金融科技的快速发展，很多细分领域的事务越来越多，内部人员和资源缺少的问题更加突出。其实，很多细分专业事务在合规的前提下不需要亲力亲为亦或亲力亲为代价更大，重心应该是把各个细小事项拆分出来，借助外力，然后做好整合。善于借助各细分领域专业的外脑（外力）是快速发展“捷径”之一，也能更好的节省成本。金融科技发展的今天，我们都在讲生态，构建生态，其实也在借势、在进行各类资源整合，比如不少经营机构也聘请了外部安全厂商对公司重要系统进行安全评估和渗透测试，采购了专业测试报告来弥补内部测试环境缺失，测试人员不足难题；积极做好专业第一道防线。也有经营机构聘请专业咨询机构做好信息技术风险防控体系建设；聘请专业信息技术外部审计机构协助做好第三道防线等等。需要指出的是，《办法》之后，信息技术风险防控的第三道防线与之前服务财审为目的的信息技术审计完全不同，以往的信息技术审计交付物也无法满足监管要求。第三道防线，应避免“走过场”，满足监管要求是底线，应以发现问题为导向，为最终完善管控为目标，只有这样才能将三道防线形成良好闭环。当然，这同时也对外部专业服务机构也提出了更高要求。

（四）从公司风险文化方面，加强一二级防线协同

做好信息技术风险防控，需要一二级防线加强协同。由于之前所在战壕不一样，需要另个部门都朝对方伸伸手。对信息技术部来讲，信息技术风险管控措施和理念应该融合、内嵌到信息技术相关的各类日常工作及活动中，比如制度建设、系统建设、系统运维、信息安全保障等等，定期开展信息技术风险自查。一定体量的机构，也可以考虑设置信息技术风险岗（团队，不单纯是网络安全），全职负责相关工作。以高盛为例,工程部（Engineering）是公司一级部门，下面设有技术部二级部门（Technology Dvision），再下面设有金融和风险工程部三级部门，再下面设有技术风险部（四级部门），该部门由公司首席信息安全官管理(CISO),技术风险部下面设有技术风险治理团队、技术风险监督和审计协调团队、监管政策和战略团队等。风险管理部一方面应该积极从事后走向事前（比如参与到系统建设前的风险评审）、事中（参与到应急处置）；另一方面，也要择机配置有信息技术工作经验的人才，保持独立性的同时更好协同信息技术管理部。目前，业内部分经营机构风险管理部已在招聘信息技术风险管理相关专业人才。

《办法》虽没有明确提出将信息科技风险纳入公司文化，但全面风险管理规范对风险文化有了明确要求，应结合自身禀赋在全公司推行合规、稳健的信息技术风险文化，两部门联合、协同开展信息技术风险文化宣传工作，定期借助内外部资源开展相关培训，更新信息科技风险领域专业知识。

[Source]

本文系未央网专栏作者发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文为作者授权未央网发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文版权归原作者所有，如有侵权，请联系删除。首图来自图虫创意。