張世鋒

（華龍證券，甘肅 蘭州 730030）

0 引言

互聯(lián)網(wǎng)信息技術(shù)覆蓋的范圍不斷擴大，信息技術(shù)風險也日益復雜化，近年來，信息技術(shù)風險管理也受到了證券行業(yè)的高度關(guān)注。特別是信息技術(shù)風險事件的層出不窮，不僅對企業(yè)造成了嚴重的損失，同時也對整個證券交易市場造成了重大的影響。因此，只有不斷加強對證券公司信息技術(shù)風險的管理與評估，并采取相應的優(yōu)化改進措施，才能夠降低風險事故的發(fā)生幾率，保障我國證券行業(yè)的健康穩(wěn)定發(fā)展。

1 證券公司信息技術(shù)風險管理現(xiàn)狀及存在的問題

1.1 管理現(xiàn)狀

當前大部分的證券公司基本上已經(jīng)逐步建立了信息技術(shù)風險管理相關(guān)制度規(guī)范，同時也對系統(tǒng)的日常運維管理以及具體操作進行了明確規(guī)定。也對部分信息技術(shù)風險相關(guān)事件進行了預測，并完善了相應的應急預案，對以往已經(jīng)發(fā)生過的事件進行綜合性分析，并總結(jié)經(jīng)驗與優(yōu)化方案，記錄到數(shù)據(jù)庫當中，從而有效應對各類突發(fā)事件。為了充分應對短時間內(nèi)不能及時恢復的系統(tǒng)性故障，已經(jīng)在重點區(qū)域建立了信息備份中心，使得證券公司能夠在短時間之內(nèi)將業(yè)務系統(tǒng)轉(zhuǎn)移到備份中心。對于核心業(yè)務采取集中化管理，從而轉(zhuǎn)移了營業(yè)部的技術(shù)風險，相關(guān)制度體系的逐步完善，信息技術(shù)風險能夠有效進行控制，但是技術(shù)與信息數(shù)據(jù)的集中化管理，也使得總部的信息技術(shù)風險成為了管理工作的重點部分[1]。

1.2 當前存在的問題

（1）信息系統(tǒng)風險不斷增加。證券公司業(yè)務拓展的速度不斷加快，也使得信息系統(tǒng)整體規(guī)模不斷增加，同時也越來越復雜化，并且大量的數(shù)據(jù)開始采取集中化管理，也使得證券公司的業(yè)務開展效率不斷提升，也能夠?qū)?shù)據(jù)信息的快速挖掘與管理，不斷提升數(shù)據(jù)信息的利用率，逐步實現(xiàn)利益價值最大化。但是集中化管理是將全部的數(shù)據(jù)信息進行整合集中，并在同一系統(tǒng)中運行與計算，數(shù)據(jù)信息集中運行所產(chǎn)生的風險因素也大大的增加，管理難度更大。

（2）業(yè)務拓展與創(chuàng)新所產(chǎn)生的風險。在信息技術(shù)背景下，證券公司也在不斷探索新的業(yè)務模式，如網(wǎng)上開戶、網(wǎng)絡基金、股票投資等，全新的運營與業(yè)務模式自然也會存在新的風險，由于缺乏管理經(jīng)驗，導致大部分證券公司不具備科學有效的應對管理手段[2]。

（3）不能及時發(fā)現(xiàn)風險管理的不足和缺陷。當前大多數(shù)的證券公司對于信息技術(shù)風險缺乏綜合性評估和預測，同時也無法一些可進行評估與識別的手段與工具，評估體系有待進一步完善，缺乏有效性與科學性。

2 證券公司信息技術(shù)風險管理的具體優(yōu)化改進策略

2.1 全面優(yōu)化公司內(nèi)部組織分工

（1）組織決策分工。證券信息技術(shù)風險管理涉及到多個部門，其中包括管理層、技術(shù)部門、業(yè)務部門、風控部門以及財務審計部門等。信息系統(tǒng)建設過程中的各個階段都會涉及到與信息技術(shù)風險管理相關(guān)的部分，公司高層管理者作為信息化原則制定的主要參與者，其對信息技術(shù)了解并不全面，業(yè)務部門與運營部門雖然對信息技術(shù)的認識與了解也不深入，但是卻和信息技術(shù)密切相關(guān)，因此，在信息化原則制定過程中應當由以上部門共同參與和制定。技術(shù)部門作為信息技術(shù)及設施平臺的主導者與使用者，應當參與到?jīng)Q策環(huán)節(jié)當中，同時也有助于技術(shù)部門全面掌握和了解信息系統(tǒng)狀況以及業(yè)務的實際需求，可提出有針對性的意見，從而滿足實際需求，保障業(yè)務得到相應的技術(shù)支持[3-4]。

（2）監(jiān)督分工。當前，大部分的業(yè)務開展都會應用到信息技術(shù)系統(tǒng)，信息系統(tǒng)的開發(fā)以及運營主要是由技術(shù)部門全權(quán)負責，使得工作相對集中，這樣可能會導致無法進行全面監(jiān)督與管理。證券公司應當充分發(fā)揮審計部門的作用，充分發(fā)揮自身監(jiān)督作用，并對信息技術(shù)風險及管理現(xiàn)狀及時進行反饋，為管理層決策提供數(shù)據(jù)支撐。

（3）執(zhí)行分工。信息技術(shù)系統(tǒng)與管理在實際工作中會涉及到系統(tǒng)開發(fā)、測試、以及日常運維等部分，每一個環(huán)節(jié)都會存在風險管理，如果是由某一個人去負責，這樣不可避免會出現(xiàn)問題，所以，技術(shù)部門內(nèi)部可結(jié)合實際情況，對系統(tǒng)開發(fā)、測試以及運維等環(huán)節(jié)分別設置相應的負責團隊，并嚴格落實相關(guān)工作責任。只有對各個環(huán)節(jié)進行嚴格把控，并落實工作職責，才能夠保障信息技術(shù)風險管理質(zhì)量。

2.2 健全內(nèi)部控制機制

當前公司信息技術(shù)風險的覆蓋范圍主要涵蓋了網(wǎng)絡管理：如信息安全、網(wǎng)絡維護等，設備管理：機房運行管理及規(guī)范，軟件系統(tǒng)管理：安全操作規(guī)范，數(shù)據(jù)管理：數(shù)據(jù)備份以及安全管理，運行管理：日常運行以及系統(tǒng)管理，技術(shù)事故鑒定與處理等方面。以上機制無法全面覆蓋技術(shù)風險因素，所以，企業(yè)應當結(jié)合實際情況，對于突出風險因素加強管理，并且規(guī)范化工作流程以及人員操作等，要從以下方面充分考慮：首先是系統(tǒng)的訪問權(quán)限，要做出相應的規(guī)定，其次，還應當適當增加風險評估的具體標準與相關(guān)制度，完善相應的應急預案，借鑒參考相對成熟的管理經(jīng)驗和規(guī)范，對軟件的開發(fā)與測試等要實施規(guī)范化管理。當出現(xiàn)系統(tǒng)變更時，應當進行綜合性評估，并完善相應的評估標準，還應當保障內(nèi)控機制的高效性與實時性，隨著業(yè)務的快速更新與發(fā)展，信息技術(shù)風險也越來越復雜化，所以，應當對信息技術(shù)系統(tǒng)實時進行綜合性評估與分析，及時識別風險，并采取相應的內(nèi)控措施，從而降低風險概率[5]。

2.3 加大相關(guān)技術(shù)人員的引進與培養(yǎng)

（1）優(yōu)化人員配置。管理層作為證券公司的主導者，必須要具備一定的信息技術(shù)背景，這樣也能夠最大程度上保障證券公司在信息技術(shù)決策以及風險管理過程中的專業(yè)化評估與分析。技術(shù)部門作為信息技術(shù)的主要使用者，必須要確保系統(tǒng)開發(fā)、測試以及日常管理、運維等各個崗位相關(guān)工作人員配置合理到位，對于非常重要的崗位，可綜合考慮配備多名人員。并且應當對工作人員的個人專業(yè)技能、實踐工作經(jīng)驗以及學歷等方面因素進行綜合全面考量。風險管理部門作為主要的管理部門，應當配置熟悉與掌握信息技術(shù)的工作人員，審計部門作為主要的監(jiān)督部門，也應當適當配置信息技術(shù)人員。

（2）加強人員培訓。證券公司應當高度重視信息建設相關(guān)培訓工作，對信息技術(shù)風險管理也有著重要的影響。通過培訓，可不斷提升管理者對信息技術(shù)的理解與掌握，從而保障相關(guān)決策的科學性與高效性。業(yè)務部門作為和信息技術(shù)密切往來的部門，必須要加大培訓力度，能夠積極主動的理解與掌握信息技術(shù)相關(guān)知識，這樣也有助于業(yè)務的穩(wěn)步有序開展，不斷提升風險識別能力。技術(shù)部門作為主要的使用者，其信息技術(shù)的不斷更新有助于提升其整體開發(fā)與運營能力，不斷強化風險的防控能力。審計部門在強化信息技術(shù)的同時，能夠不斷提升自身的監(jiān)督識別能力，從而有效降低信息技術(shù)風險，為企業(yè)創(chuàng)造更大的經(jīng)濟效益[6]。

2.3 對信息技術(shù)的外包風險進行嚴格把控

（1）外包決策。由于信息技術(shù)涉及到的環(huán)節(jié)眾多，大多數(shù)的證券公司自身技術(shù)有限，因此，會將部分項目進行外包，在實際操作過程中，要充分調(diào)研與評估項目外包的風險以及可靠性，并結(jié)合具體的評估分析結(jié)果以及業(yè)務的重要程度，及時采取相應的管理措施。可從以下方面入手，如外包項目的具體金額、數(shù)據(jù)是否保密和敏感，當出現(xiàn)違規(guī)情況時，對企業(yè)信譽是否造成影響等。

（2）合理選擇服務商。對于信息技術(shù)相關(guān)項目外包風險進行綜合評估之后，還應當對服務商的整體能力進行考察，可從以下方面入手：服務商在該類項目中的經(jīng)驗與實際能力，信譽，團隊的技能、經(jīng)驗、對于數(shù)據(jù)信息的保密管理能力，是否熟悉證券行業(yè)，以及服務商自身的財務狀況等。當外包項目非常重要時，可由第三方機構(gòu)對其財務狀況、信息管理安全等方面進行全面調(diào)查，從而保障項目的穩(wěn)步有序開展[7]。

3 結(jié)語

隨著證券公司的業(yè)務規(guī)模不斷擴大，涉及到的數(shù)據(jù)信息也越來越復雜化，與此同時，信息技術(shù)風險事件層出不窮，對證券公司的業(yè)務開展造成了嚴重的影響。因此，證券公司必須要不斷加強對信息技術(shù)風險的管理與把控，積極引進信息技術(shù)人才，全面落實相關(guān)責任，從而不斷提升自身信息技術(shù)水平以及風險管控能力，從而為證券公司的健康穩(wěn)定發(fā)展奠定良好的基礎(chǔ)。