财联社 12 月 28 日讯 (记者 王晨)随着数字化转型与金融科技的深度融合,证券行业正经历一场深刻的变革。科技不再仅仅是后台支撑,已成为驱动业务创新、提升客户体验的核心力量。
然而,在券商加大信创改造与业技融合投入的同时,信息技术领域的合规风险与安全隐患也日益凸显,交易系统故障、IT 人员 「老鼠仓」、信息安全事件迟报、技术服务商运维疏漏等问题频发。
值得关注的是,近期出台的中小投资者保护 23 条中,第六条和第七条专门针对程序化交易监管与证券期货经纪业务监管作出明确要求,折射出监管层对券商信息技术领域风险防控的高度关注。
而自 2020 年证监会成立科技监管司以来,一系列配套法规相继落地,形成对券商信息技术领域的多层次监管体系,罚单数量自 2022 年后持续增长,监管焦点覆盖系统安全、人员管理、责任落实及全产业链延伸,处罚力度不断升级。
实际上,证券行业的数字化、智能化转型正推动信息技术条线的定位发生根本性转变,从传统运维属性向业务属性深刻转型。如何在拥抱技术创新的同时筑牢合规防线,实现发展与风控的平衡,如何转变思维,用业务管理和业务支持部门的角度进行合规管理,成为全行业亟待破解的命题。
证券行业信息技术监管体系日趋完善,处罚力度持续升级
自 2020 年证监会成立科技监管司以来,证券行业信息技术监管框架不断健全。《证券基金经营机构信息技术管理办法》《证券期货业网络和信息安全管理办法》 等一系列法规相继修订实施,中国证券业协会更是于 2023 年推出 《证券公司网络和信息安全三年提升计划 (2023-2025)》,构建起多层次监管体系。
监管力度的提升直接体现在罚单数量的变化上,统计数据显示,2014 年至 2024 年,监管部门累计出具信息技术罚单 49 张,其中 2022 年后罚单数量呈现明显增长态势。而近几年监管层的关注焦点也呈现出导向性,几乎形成了覆盖系统安全、人员管理、责任落实和产业链延伸的全方位监管。
系统安全与稳定是监管底线,2023 年中信证券因机房 UPS 电源问题导致交易系统异常,部分客户交易受影响,公司及首席信息官等 3 人被深圳证监局出具警示函,沪深交易所也同步发出书面警示。东北证券则因信息系统故障未及时报告遭到处罚。这些案例表明,监管层对直接影响投资者权益的交易系统宕机、APP 故障等问题采取零容忍态度,强调应急报告的及时性和系统测试的充分性。
今年以来,严打 IT「老鼠仓」 成为监管重点。2025 年,中信证券信息技术中心高级经理李海鹏利用 CRM 系统权限获取私募基金持仓信息进行趋同交易,获利约 213 万元,被安徽证监局没收违法所得并罚款一倍,合计罚没 426 万元。
同年,华泰证券分管投研系统建设的负责人邵某利用系统权限获取自营账户信息进行交易,被吉林证监局没收违法所得并罚款三倍,合计罚没 108 万元。此类案例显示,监管部门已明确将 IT 相关人员列为防范老鼠仓的重点核查对象,处罚力度从 「没一罚一」 升级至 「没一罚三」,形成强力震慑。
从处罚主体来看,机构与个人责任双重压实。监管处罚不再局限于机构层面,而是逐步延伸至具体责任人。中信证券交易系统故障案中,首席信息官、运维负责人、机房负责人均被单独出具警示函;多家券商罚单中明确要求 「追究相关人员责任」 或 「强化 CIO 第一责任人意识」。这种双追责模式督促券商建立从上到下的责任体系,切实重视 IT 治理工作。
值得注意的是,对于信息技术技术的监管范围延伸至全产业链。2024 年,作为关键金融数据服务商的万得信息因金融终端服务异常对市场造成较大影响,被上海证监局出具警示函。这一案例标志着监管视野已覆盖券商业务全链条,要求包括技术服务商在内的所有参与主体都必须承担安全保障责任。
券商信息技术条线定位发生根本性转变
证券行业的数字化转型正推动信息技术条线的定位发生根本性转变。传统意义上,IT 部门主要承担运维职能,核心职责是保障交易系统稳定运行。如今,随着券商与一线客户需求对接日益紧密,IT 部门已深度参与软件系统开发,成为直接支撑业务发展的核心力量,其业务属性愈发凸显。
这种转型意味着 IT 部门不再是单纯的后台支持单元,而是成为业务创新的重要参与者和推动者。券商每年在信创改造和业技融合方面的投入持续增加,技术驱动业务已成为行业共识。但属性转变也带来了新的管理挑战,如何用业务管理的思维对 IT 部门进行日常管理和合规监管,成为行业面临的全新课题。
信息技术的专业性为合规监管带来了不小的挑战,无论是系统开发、权限管理还是数据安全,都涉及复杂的技术原理和业务逻辑,传统合规人员往往难以全面理解其中的风险点。处罚案例显示,部分券商出现员工账号权限过高且无定期复核、缺乏有效日志审计机制、安全漏洞长期未整改等问题,这些都与合规监管未能有效穿透技术层面密切相关。
IT 领域的合规风险呈现出隐蔽性强、传播速度快、影响范围广的特点。IT 人员利用系统权限进行利益输送、为个别投资者提供特殊交易便利等行为,若缺乏专业的技术监测手段,很难及时发现。这就对券商合规部门提出了更高要求,亟需培养或引进既懂 IT 技术、又熟悉业务流程和监管规则的复合型人才,构建专业化的合规监管体系。
如何破局信息技术合规与创新的协同发展
证券行业的数字化、智能化转型是不可逆转的趋势,科技赋能为行业发展带来了新的机遇,也提出了更高的合规要求。监管实践表明,信息技术领域的合规管理已成为券商稳健经营的重要基石,也是监管部门维护市场秩序、保护投资者权益的关键抓手。
如何破局信息技术合规与创新的协同发展?从业内实践和建议来看,可以通过完善信息技术合规治理体系、加强技术防控、培养专业人才、优化应急处置等一系列举措,实现合规管理与业务创新的协同发展。
制度建设上,面对日益严格的监管要求,券商首先需要构建健全的信息技术管理制度体系。应全面梳理 《证券期货业网络和信息安全管理办法》 等监管新规的核心要求,结合自身业务特点和技术架构,搭建贴合需求的信息技术管理制度体系。制度不仅要覆盖系统开发、运维保障、权限管理、数据安全等全环节,更要注重可操作性,避免流于形式。
在治理架构上,不妨明确 「一把手」 牵头的责任机制,保障首席信息官充分履职,避免核心管理岗位长期空缺。可以尝试建立跨部门的信息技术管理小组,让业务和技术人员常态化沟通,把合规要求自然融入业务流程和技术开发的每一个环节。同时,定期开展制度执行情况的自查自纠,发现偏差及时调整,让制度真正发挥作用而非停留在纸面。
技术风险的防范,最终还是要靠技术创新来支撑。券商可以根据自身资源情况,加大网络安全、智能风控等领域投入,提升系统自主可控能力,减少对单一供应商依赖。核心交易系统控制过度个性化改造,降低安全隐患。运用大数据、人工智能搭建实时监控平台,对交易、权限等动态跟踪。
针对 IT 人员 「老鼠仓」 这类高发风险,可以共同借鉴好的做法,推行最小权限原则,加强高权限人员行为监控和亲属账户核查,确保所有操作可追溯、可核查。另外,定期开展系统压力测试和安全漏洞扫描,也是提升系统抗风险能力的有效途径。
在专业合规人才的培养上,可以通过内部培训、行业交流、校企合作等方式,培养既懂 IT 又熟悉业务与监管规则的复合型人才。对合规人员开展技术培训,对 IT 人员加强合规教育,通过案例分享强化风险意识。建立合规与薪酬、晋升挂钩的考核机制,开展全员信息安全普及。