张世锋

（华龙证券，甘肃 兰州 730030）

0 引言

互联网信息技术覆盖的范围不断扩大，信息技术风险也日益复杂化，近年来，信息技术风险管理也受到了证券行业的高度关注。特别是信息技术风险事件的层出不穷，不仅对企业造成了严重的损失，同时也对整个证券交易市场造成了重大的影响。因此，只有不断加强对证券公司信息技术风险的管理与评估，并采取相应的优化改进措施，才能够降低风险事故的发生几率，保障我国证券行业的健康稳定发展。

1 证券公司信息技术风险管理现状及存在的问题

1.1 管理现状

当前大部分的证券公司基本上已经逐步建立了信息技术风险管理相关制度规范，同时也对系统的日常运维管理以及具体操作进行了明确规定。也对部分信息技术风险相关事件进行了预测，并完善了相应的应急预案，对以往已经发生过的事件进行综合性分析，并总结经验与优化方案，记录到数据库当中，从而有效应对各类突发事件。为了充分应对短时间内不能及时恢复的系统性故障，已经在重点区域建立了信息备份中心，使得证券公司能够在短时间之内将业务系统转移到备份中心。对于核心业务采取集中化管理，从而转移了营业部的技术风险，相关制度体系的逐步完善，信息技术风险能够有效进行控制，但是技术与信息数据的集中化管理，也使得总部的信息技术风险成为了管理工作的重点部分[1]。

1.2 当前存在的问题

（1）信息系统风险不断增加。证券公司业务拓展的速度不断加快，也使得信息系统整体规模不断增加，同时也越来越复杂化，并且大量的数据开始采取集中化管理，也使得证券公司的业务开展效率不断提升，也能够对数据信息的快速挖掘与管理，不断提升数据信息的利用率，逐步实现利益价值最大化。但是集中化管理是将全部的数据信息进行整合集中，并在同一系统中运行与计算，数据信息集中运行所产生的风险因素也大大的增加，管理难度更大。

（2）业务拓展与创新所产生的风险。在信息技术背景下，证券公司也在不断探索新的业务模式，如网上开户、网络基金、股票投资等，全新的运营与业务模式自然也会存在新的风险，由于缺乏管理经验，导致大部分证券公司不具备科学有效的应对管理手段[2]。

（3）不能及时发现风险管理的不足和缺陷。当前大多数的证券公司对于信息技术风险缺乏综合性评估和预测，同时也无法一些可进行评估与识别的手段与工具，评估体系有待进一步完善，缺乏有效性与科学性。

2 证券公司信息技术风险管理的具体优化改进策略

2.1 全面优化公司内部组织分工

（1）组织决策分工。证券信息技术风险管理涉及到多个部门，其中包括管理层、技术部门、业务部门、风控部门以及财务审计部门等。信息系统建设过程中的各个阶段都会涉及到与信息技术风险管理相关的部分，公司高层管理者作为信息化原则制定的主要参与者，其对信息技术了解并不全面，业务部门与运营部门虽然对信息技术的认识与了解也不深入，但是却和信息技术密切相关，因此，在信息化原则制定过程中应当由以上部门共同参与和制定。技术部门作为信息技术及设施平台的主导者与使用者，应当参与到决策环节当中，同时也有助于技术部门全面掌握和了解信息系统状况以及业务的实际需求，可提出有针对性的意见，从而满足实际需求，保障业务得到相应的技术支持[3-4]。

（2）监督分工。当前，大部分的业务开展都会应用到信息技术系统，信息系统的开发以及运营主要是由技术部门全权负责，使得工作相对集中，这样可能会导致无法进行全面监督与管理。证券公司应当充分发挥审计部门的作用，充分发挥自身监督作用，并对信息技术风险及管理现状及时进行反馈，为管理层决策提供数据支撑。

（3）执行分工。信息技术系统与管理在实际工作中会涉及到系统开发、测试、以及日常运维等部分，每一个环节都会存在风险管理，如果是由某一个人去负责，这样不可避免会出现问题，所以，技术部门内部可结合实际情况，对系统开发、测试以及运维等环节分别设置相应的负责团队，并严格落实相关工作责任。只有对各个环节进行严格把控，并落实工作职责，才能够保障信息技术风险管理质量。

2.2 健全内部控制机制

当前公司信息技术风险的覆盖范围主要涵盖了网络管理：如信息安全、网络维护等，设备管理：机房运行管理及规范，软件系统管理：安全操作规范，数据管理：数据备份以及安全管理，运行管理：日常运行以及系统管理，技术事故鉴定与处理等方面。以上机制无法全面覆盖技术风险因素，所以，企业应当结合实际情况，对于突出风险因素加强管理，并且规范化工作流程以及人员操作等，要从以下方面充分考虑：首先是系统的访问权限，要做出相应的规定，其次，还应当适当增加风险评估的具体标准与相关制度，完善相应的应急预案，借鉴参考相对成熟的管理经验和规范，对软件的开发与测试等要实施规范化管理。当出现系统变更时，应当进行综合性评估，并完善相应的评估标准，还应当保障内控机制的高效性与实时性，随着业务的快速更新与发展，信息技术风险也越来越复杂化，所以，应当对信息技术系统实时进行综合性评估与分析，及时识别风险，并采取相应的内控措施，从而降低风险概率[5]。

2.3 加大相关技术人员的引进与培养

（1）优化人员配置。管理层作为证券公司的主导者，必须要具备一定的信息技术背景，这样也能够最大程度上保障证券公司在信息技术决策以及风险管理过程中的专业化评估与分析。技术部门作为信息技术的主要使用者，必须要确保系统开发、测试以及日常管理、运维等各个岗位相关工作人员配置合理到位，对于非常重要的岗位，可综合考虑配备多名人员。并且应当对工作人员的个人专业技能、实践工作经验以及学历等方面因素进行综合全面考量。风险管理部门作为主要的管理部门，应当配置熟悉与掌握信息技术的工作人员，审计部门作为主要的监督部门，也应当适当配置信息技术人员。

（2）加强人员培训。证券公司应当高度重视信息建设相关培训工作，对信息技术风险管理也有着重要的影响。通过培训，可不断提升管理者对信息技术的理解与掌握，从而保障相关决策的科学性与高效性。业务部门作为和信息技术密切往来的部门，必须要加大培训力度，能够积极主动的理解与掌握信息技术相关知识，这样也有助于业务的稳步有序开展，不断提升风险识别能力。技术部门作为主要的使用者，其信息技术的不断更新有助于提升其整体开发与运营能力，不断强化风险的防控能力。审计部门在强化信息技术的同时，能够不断提升自身的监督识别能力，从而有效降低信息技术风险，为企业创造更大的经济效益[6]。

2.3 对信息技术的外包风险进行严格把控

（1）外包决策。由于信息技术涉及到的环节众多，大多数的证券公司自身技术有限，因此，会将部分项目进行外包，在实际操作过程中，要充分调研与评估项目外包的风险以及可靠性，并结合具体的评估分析结果以及业务的重要程度，及时采取相应的管理措施。可从以下方面入手，如外包项目的具体金额、数据是否保密和敏感，当出现违规情况时，对企业信誉是否造成影响等。

（2）合理选择服务商。对于信息技术相关项目外包风险进行综合评估之后，还应当对服务商的整体能力进行考察，可从以下方面入手：服务商在该类项目中的经验与实际能力，信誉，团队的技能、经验、对于数据信息的保密管理能力，是否熟悉证券行业，以及服务商自身的财务状况等。当外包项目非常重要时，可由第三方机构对其财务状况、信息管理安全等方面进行全面调查，从而保障项目的稳步有序开展[7]。

3 结语

随着证券公司的业务规模不断扩大，涉及到的数据信息也越来越复杂化，与此同时，信息技术风险事件层出不穷，对证券公司的业务开展造成了严重的影响。因此，证券公司必须要不断加强对信息技术风险的管理与把控，积极引进信息技术人才，全面落实相关责任，从而不断提升自身信息技术水平以及风险管控能力，从而为证券公司的健康稳定发展奠定良好的基础。