证券公司信息技术的风险管理研究 ——光大证券信息技术风险控制分析.pdfVIP

摘要 证券市场从来就是一个高风险的市场。伴随着证券公司资本实力不断增强、 资产规模的不断扩大，证券公司的风险事故也频频出现。从2004年1月2日起开 始处置的南方证券算起，到2006年10月13日宣布由招商证券托管的巨田证券， 一共有30家证券公司不复存在，19家已经宣布关闭，9家已撤销，1家未撤销， 1 家破产重整。作者所在的原天一证券有限责任公司，因挪用客户保证金，负债 近 10 亿元远超净资产，被中国证监会列为高风险券商，并于 2006 年 7 月被光大 证券股份有限公司托管。2007年6月，光大证券正式收购天一证券。亲身经历公 司改弦易帜的切肤之痛，是促使作者下决心开始研究证券公司风险控制的原因。 而在证券公司多年从事信息技术工作的体会，帮助作者在信息技术风险控制方面 做一些深入的研究。 证券监管部门从2000年起就迅速加快了市场化、规范化和国际化的步伐，无 论是出台的一系列法规，还是证监会发布的公开信息或是领导人的发言，都贯穿 着加强证券公司风险管理的主导思想，通过对证券公司的组织架构、内控机制、 业务运作等方面的规范，提高对证券公司风险管理的要求。党的十七大报告提出， 要加强和改进金融监管，防范和化解金融风险。2006年7月，中国证监会公布《证 券公司风险控制指标管理办法》，通过以净资本为核心的风控指标进行风险监管， 力求提高证券公司外部监管和内部控制有效性。这使得证券公司的风险控制呈现 前所未有的重要性。 信息技术风险的产生是随着信息技术的飞速发展和应用而产生的，是信息技 术发展到一定阶段的必然产物。信息技术风险是一种技术创新范畴的风险，是经 济主体开展新技术创新带来的副产物。其产生的主要原因是：客观条件变化引起 的不确定性：主观认识的局限性； 控制能力的有限性等等。在信息时代，信息技 术风险正成为企业面临的新风险，同时处于企业风险的核心地位。信息技术风险 与信息或信息技术本身、信息技术的应用等有关，并通过直接或间接地引发企业 的其它风险而存在。因此，我们在研究证券公司面临的风险类型时，除了传统意 义上的市场风险、信用风险、流动性风险、操作风险、法律风险和系统风险等之 外，还应增加现代意义上的风险，即与信息技术有关的风险—— 信息技术风险。 在证券行业，经过了这十多年的发展，信息技术几乎遍及了证券公司的每一个部 门，营销系统、柜台业务系统、广域网通信管理系统、登记结算系统等关键应用 支撑着证券公司每天的运作。可以说，证券行业已经成为中国信息化程度最高的 行业之一。 证券公司一般都十分重视电子信息和网络系统方面的建设和管理。在制度建 设上，实行总公司统一管理，依据中国证监会有关规定建立了各项信息管理制度， 从制度上为信息技术的风险控制提供保证。在人员管理上，根据规定配置足够具 备一定素质的技术人员;在硬件网络设施上，选用或采购的网络安全设备经过国家 信息安全认证:在软件应用环境上，软件的开发环境与生产环境进行分离，软件的 开发维护人员与操作人员实行岗位分离，对各类业务的用户权限规定了管理和分 配规范;在数据管理上，制定了数据修改的审批操作流程，建立了数据安全保密措 施和数据备份制度;在技术事故的防范与处理上，坚持预防为主，及时处理。但是， 目前我国证券公司的信息技术风险控制的整体水平并不高，还存在很多风险，如 部分电脑操作权限控制不严、权限设置不合理、缺少内部控制、易受外部攻击等。 另外一些证券公司因并购重组等原因尚未实现异地营业部的联网，无法对异地下 属营业部的电脑操作实时控制。 光大证券股份有限公司创建于1996年，是由中国光大（集团）总公司投资控 股的全国性综合类股份制证券公司，是中国证监会批准的首批三家创新试点证券 公司之一和首批17家A类A 级证券公司之一，其风险内部控制在业内处于领先水 平。光大证券已经构建了良好的信息系统风险管理体系。在信息系统方面采用数 据备份、系统备份、病毒防范、灾难备份等一系列风险控制措施，较好的保证了 信息系统的安全性；通过强化运行维护，制定异常事件处理预案，经常进行故障 恢复演练等措施，保证了信息体统使用的连续性。在内部控制中，光大证券一是 对系统权限进行严格的管理，将风险发生的可能降至最低；二是建立了一系列与 信息系统配套的风险控制制度：风控专员制度有利于公司及时发现存在的风险， 稽核制度确保风险控制达到预期的效果。 在充分借鉴光大证券的信息技术风险控制经验的基础上，作者认为，我国证 券公司的信息技术风险防范可以采用如下的对策。管理证券公司信息技术风险首 先必须确立其管理的目标，应该制定和定期评估信息技