...信息技術風險管理——剖析《證券基金經營機構信息技術管理辦法》

本文共字，預計閱讀時間。

前言

圍繞《證券基金經營機構信息技術管理辦法》（以下簡稱《辦法》），上兩篇分別講了「CIO」、「信息技術合規」關鍵詞，收到不少讀者來信，在此對認可和支持深表感謝！需要說明的是，信息技術合規是個大命題，一篇文章肯定難以言透，這也只是研究成果的一小部分，本系列亦然。這就好比《證券基金經營機構信息技術管理辦法》雖短短64條，10016字，但作為行業信息技術領域權威部門規章，其每個字每個標點都經過長期打磨，作者雖嘗試逐一圍繞單個關鍵詞去講，但仍感未講透、意猶未盡。其實，任何法規都不能只是簡單的根據表面文字去解讀，都值得我們掰開揉碎了去理解和體會。本篇圍繞「信息技術風險」展開，這也是行業目前很具挑戰的領域，拋磚引玉。需要說明兩點，一是本文不打算陷入具體措施或技術，而重在結合行業去談；二是信息技術風險不是孤立的，儘量嘗試結合合規、內控、全面風控去談。

一、行業信息技術風險定義

名不正則言不順。不同行業，不同角度甚至不同時期均對信息技術風險賦予了不同的定義和內涵。目前證券基金行業暫無官方統一定義，摩根史坦利公司將技術風險（Technology Risk）定義為公司信息、系統和基礎設施受到網絡和內部威脅；《巴塞爾協議》將其定義為「任何由於使用計算機硬體、軟體、網絡等系統所引發的不利情況，包括程序錯誤、系統宕機、軟體缺陷、操作失誤、硬體故障、容量不足、網絡漏洞及故障恢復等」，該表述更多的是從技術的角度去定義，對技術進行分類；2009年銀監會發布的《商業銀行信息科技風險管理指引》（以下簡稱《管理指引》）將信息技術風險定義為「是指信息科技在商業銀行運用過程中，由於自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險」，該表述更多的是從風險的角度去定義，用其他風險定義該風險。由於上述定義已很久，作者嘗試結合證券基金行業實際進行如下剖析和定義。

「信息技術風險」表面上就有3個關鍵詞：風險、信息、（信息）技術。詞典中，「風險」是指遭受損失、傷害、不利或毀滅的可能性，也即不幸事件發生的概率（^*不是純學術，這裡不考慮超過預期的正面影響）；理論上講，只要不是唯一結果就會有概率，就存在風險。「信息」，除了資訊理論創始人香農的拗口定義外，經濟學家認為「信息是提供決策的有效數據」；「（信息）技術」是指用於管理和處理信息所採用的各種技術的總稱，包括但不限於：信息系統、硬體、基礎設施、網絡、研發工具、測試工具、管理工具等等；在公司治理層面，結合麻省理工學院斯隆管理學院比較出名的研究成果，將上述要素歸納統稱為公司6大關鍵資產的「信息和IT資產」類（未來在聊IT治理時會講）。 至此，再結合證券基金行業實際（比如聲譽風險、合規風險、後續分類評級影響等），作者將「信息技術風險」初步定義為「在信息技術運用過程中，信息和IT資產遭受到損失、傷害、不利或毀滅，進而給公司帶來負面影響的可能性」。

需要指出的，信息技術風險，在國內外行業全面風險管理體系建設中通常屬於操作風險範疇，由於其內涵、複雜性和重要性的不斷提升，近些年，證券行業逐漸將其從操作風險中剝離出來予以重點關注。這類似市場風險中的利率風險（銀行帳戶利率風險）被銀行業拿出來作為9大風險之一進行重點強調。

雖然行業2014年協會發布的《證券行業全面風險管理規範》暫未明確將信息科技風險單獨拉出來講，但早在2003年，證監會發布的《證券公司內部控制指引》第十八條就已經要求經營機構要「建立業務風險識別、評估和控制的完成體系……對操作風險、技術風險……進行持續監控」；2016年銀監會發布的《銀行業金融機構全面風險管理指引》也已明確將信息科技風險作為9大重點風險項之一。高盛、摩根史坦利、國內少數經營機構也早已將信息技術風險（或網絡安全風險）作為公司層面重點風險關注項。需要指出的是，有些金融機構也會將網絡安全風險和信息技術風險並列，這有其歷史、內部管理或響應特定監管要求的原因，畢竟網絡安全的概念由來更久。

二、行業常見信息技術風險分類

弄清楚了信息技術風險的定義，信息技術風險分類就比較簡單些了。從關聯主體、過程、生命周期、範圍等，結合行業實際，作者列舉行業常見將信息技術風險如下（因角度不同，有的有重疊，沒有清晰界限；且儘量用通俗詞代替專業詞），需要指出的是信息技術風險的細分類別也不是一成不變的，它隨著信息技術、應用發展而不斷擴充。

摩根史坦利重點關注的技術風險包括信息安全風險、欺詐風險、供應商風險、數據保護風險、業務連續性風險、網絡安全風險、信息技術合規風險等;高盛重點關注客戶及業務數據風險、業務連續性風險、信息安全（包括網絡安全）風險、合規風險等。

三、行業信息技術風險特點

信息技術風險特點有很多，比如複雜性、廣泛性、變化性等等，類似文章也很多，這裡只從行業角度聊聊幾類。

（一）風險疊加共振讓信息技術風險更突出，後果更嚴重

風險是金融市場的內在屬性，證券基金業務本身就遊走在各類風險中。而技術本身就是個放大器，可以極速放大各類業務風險，帶來的後果之一就是信息技術相關部門更容易「被當」背鍋俠，一點小的程序缺陷甚至能影響整個市場。2013年8月16日的烏龍指事件，其背後不是單純的系統缺陷問題，但信息技術風險在該事件中異常扎眼。

（二）突發性強，風險處置極具挑戰

經營機構所有業務系統都由總部集中部署管控，好處不講，壞處就是一旦出問題，就是公司級別的大問題，是關係到功能能否正常營業的問題。而信息技術發生故障事後，給與處置的時間窗口極少，需要快速的決策應對，時間越往後延，信息安全事件級別就會越大，經營機構損失也就會越大，當事人處在極度高壓下，有種在玩「俄羅斯轉盤」的感覺。

（三）影響範圍更廣、持續時間更遠、更難以量化

信息安全事件視嚴重程度、發生次數等會對經營機構分類評級帶來不同程度的影響，也可能面臨更嚴格的合規檢查，分類評級又會影響到經營機構投資者保護基金的繳納金額，還可能影響新業務資質的申請，銀行貸款授信、券商債券業務、新業務申請等等。所以信息技術風險處置不當後果不是能即時完全反映出來的、也讓本來就難以量化的技術風險更加難以量化。

（四）隱蔽性太強

即便測試萬千遍，每輪牛市都或多或少暴露出一些系統缺陷。此外，證券基金行業門檻高的原因之一是細分業務種類太多，有些業務未必持續存在，比如公開增發業務在2015-2019沒發生過，2019拓斯達公開增發案例中，就暴露了個別經營機構的系統缺陷。

（五）很少單獨存在

信息技術風險往往背後還緊緊跟著聲譽風險、合規風險、法律風險等。各種系統問題導致經營機構客戶投訴、索賠的事件在業內也不少見。

四、《辦法》對信息技術風險管控的內在要求

我們對《辦法》的理解應從逐條到全局再到結合行業現狀、發展趨勢、監管導向展開，《辦法》第三章「信息技術合規與風險管理」對信息技術風險管控做了明確要求，但《辦法》對信息技術風險管控的要求貫穿全文。

（一）  從內控層面，構建信息技術風險管控三道防線

《辦法》發布前，監管公開數據顯示，2018年，行業90%以上的證券公司將信息技術風險管理的牽頭部門設在信息技術相關部門，10%以下證券公司設在運營管理部門或風險管理部門。

雖沒具體字眼，從內控角度，《辦法》全文其實提出了構建信息技術風險管控三道防線的要求，比如第二章信息技術治理章節屬於第一道防線範疇；第三十二、三十七條屬於第二道防線範疇；第十六條屬於第三道防線範疇。信息技術管理部門，有對信息、（信息）技術的天然優勢，風險管理部有對風險管控邏輯和方法的專業優勢，稽核/審計部有其獨立性、客觀性的審查和評估優勢，三道防線有效分工、信息共享、協同開展，在組織架構層，也符合行業內控要求（比如《內控指引》第十三條）。

如何協同？稽核/審計相對獨立和清晰，一般直接向董事會匯報和負責，保持獨立性，這裡不談，主要從組織架構和職責上，談談需要加強協同，定期溝通的一二道防線。國際經驗看，摩根史坦利、高盛等均在公司層面成立了技術風險委員會的類似組織。

摩根史坦利，成立操作和技術委員會（BOTC），BOTC定期向董事會匯報工作。從技術角度，主要負責把控信息技術戰略、信息技術發展趨勢，審批信息技術預算和投資；把控技術風險管理和技術風險評估的體系和方法論；審查公司主要技術風險敞口，包括信息安全風險、網絡安全風險等；審查管理層為監控和控制這些風險敞口所採取的措施；審查業務連續性計劃；技術部門下設技術風險部作為信息技術風險第一道防線。

高盛，在公司級企業風險管理委員會下設公司級技術風險委員會，該委員會負責審查與技術設計、開發、部署、使用有關的事項；審查各類網絡安全事件、技術風險管理框架和方法並監測其有效性；核心成員包括兩位CIO（高盛是聯席制）、首席操作風險官、全球投資研究負責人等，其中CIO和全球投資研究負責人共同擔任委員會主席。

基於上述國際投行運作經驗，結合行業實際現狀，作者認為，當前可以將信息技術風險管控的主要領導和管控職能明確放在《辦法》中提及的信息技術管理委員會。

（二）  從全面風險管理層面，將信息技術風險納入公司全面風險管理體系

《辦法》第十二條明確要求經營機構應當將信息技術運用情況納入風險管理體系。

這一句話最簡單但其實最難。因為背後直接銜接了另外一個重要法規和體系。本文篇幅有限，擇機再展開。需要指出的是，經營機構全面風險管理內涵不斷豐富，華銳金融科技研究所統計了國際投行和國內幾家經營機構全面風險管理重點項的變化圖如下，對比也可看出，B顯然在風險管理領域在行業領先。隨著現代信息技術的發展，金融和科技的融合，比如與建模有關的模型風險、危機蔓延風險或更細分的風險也在不斷湧現。

風險管理有其成熟的方法論和體系框架，這裡不贅述。結合行業全面風險管理規範要求，信息技術風險防控，需要從管理制度、組織架構、評估體系、指標體系、人才隊伍、信息共享、分類分級、應急處置等方面入手，結合經營機構現狀，並不斷完善。

（三）  從生態層面，藉助借外力

《辦法》第九條、第十六條分別在IT治理（第一道防線）、IT審計（第二道防線）做了相關說明。借外力（外腦）這事，不是因為華銳金融科技研究院、技術實驗室在與經營機構開展「外腦」合作，才提起這事，其實很多相關政策文件也都有許可性說明。作者認為，對於絕大多數經營機構，尤其是中小經營機構，隨著金融科技的快速發展，很多細分領域的事務越來越多，內部人員和資源缺少的問題更加突出。其實，很多細分專業事務在合規的前提下不需要親力親為亦或親力親為代價更大，重心應該是把各個細小事項拆分出來，藉助外力，然後做好整合。善於藉助各細分領域專業的外腦（外力）是快速發展「捷徑」之一，也能更好的節省成本。金融科技發展的今天，我們都在講生態，構建生態，其實也在借勢、在進行各類資源整合，比如不少經營機構也聘請了外部安全廠商對公司重要系統進行安全評估和滲透測試，採購了專業測試報告來彌補內部測試環境缺失，測試人員不足難題；積極做好專業第一道防線。也有經營機構聘請專業諮詢機構做好信息技術風險防控體系建設；聘請專業信息技術外部審計機構協助做好第三道防線等等。需要指出的是，《辦法》之後，信息技術風險防控的第三道防線與之前服務財審為目的的信息技術審計完全不同，以往的信息技術審計交付物也無法滿足監管要求。第三道防線，應避免「走過場」，滿足監管要求是底線，應以發現問題為導向，為最終完善管控為目標，只有這樣才能將三道防線形成良好閉環。當然，這同時也對外部專業服務機構也提出了更高要求。

（四）  從公司風險文化方面，加強一二級防線協同

做好信息技術風險防控，需要一二級防線加強協同。由於之前所在戰壕不一樣，需要另個部門都朝對方伸伸手。對信息技術部來講，信息技術風險管控措施和理念應該融合、內嵌到信息技術相關的各類日常工作及活動中，比如制度建設、系統建設、系統運維、信息安全保障等等，定期開展信息技術風險自查。一定體量的機構，也可以考慮設置信息技術風險崗（團隊，不單純是網絡安全），全職負責相關工作。以高盛為例,工程部（Engineering）是公司一級部門，下面設有技術部二級部門（Technology Dvision），再下面設有金融和風險工程部三級部門，再下面設有技術風險部（四級部門），該部門由公司首席信息安全官管理(CISO),技術風險部下面設有技術風險治理團隊、技術風險監督和審計協調團隊、監管政策和戰略團隊等。風險管理部一方面應該積極從事後走向事前（比如參與到系統建設前的風險評審）、事中（參與到應急處置）；另一方面，也要擇機配置有信息技術工作經驗的人才，保持獨立性的同時更好協同信息技術管理部。目前，業內部分經營機構風險管理部已在招聘信息技術風險管理相關專業人才。

《辦法》雖沒有明確提出將信息科技風險納入公司文化，但全面風險管理規範對風險文化有了明確要求，應結合自身稟賦在全公司推行合規、穩健的信息技術風險文化，兩部門聯合、協同開展信息技術風險文化宣傳工作，定期藉助內外部資源開展相關培訓，更新信息科技風險領域專業知識。

[Source]

本文系未央網專欄作者發表，屬作者個人觀點，不代表網站觀點，未經許可嚴禁轉載，違者必究！首圖來自圖蟲創意。

本文為作者授權未央網發表，屬作者個人觀點，不代表網站觀點，未經許可嚴禁轉載，違者必究！首圖來自圖蟲創意。

本文版權歸原作者所有，如有侵權，請聯繫刪除。首圖來自圖蟲創意。