文章

证券基金行业热点聚焦（第二期）

《证券基金经营机构信息技术管理办法》深度解析

2018年12月19日，证监会发布了证监会令【第152号】《证券基金经营机构信息技术管理办法》（以下简称《管理办法》），共7章64条，包括了对于证券基金行业对于信息技术的责任定义，明确在信息技术治理、信息技术合规与风险管理、信息技术安全等三大领域的管理要求，并制定了相关罚则。其中治理、合规与风险管理、安全与数据治理的新要求给证券基金行业带来相当大的挑战，引起行业高度重视。

1. 证券基金行业信息技术管理沿革

证监会对于证券基金行业的信息技术管理一直保持高度关注，自2005年《证券公司信息技术管理规范》出台以来，持续发布了许多信息技术管理的法规，加强对于证券基金行业的信息技术管理要求。尤其自2012年起，平均每年至少有一个相关规范出台，2016年至2018年更是发布了超过五个推荐性行业标准及强制性要求，证监会对于行业信息技术管理监管提升到了新高度。

图1 信息科技管理相关发文时间轴（*绿色部分为近3年的重点发文）

其中，证券基金行业信息科技管理相关的重要发文概要如下图所示。

表1 信息科技管理重要发文概要

2. 证监会对信息技术管理要求趋于完整

在2018年12月《证券基金经营机构信息技术管理办法》（证监会令【第152号】，以下简称《管理办法》）出台前，信息技术管理相关法规多为推荐性行业标准，强制性的要求较为零散，尚未有覆盖全面信息技术管理的强制性规范。因此《管理办法》极具其代表意义，其中内容全面覆盖了证券基金行业信息技术的各类主体，明确了信息技术治理、信息技术合规与风险管理、及信息技术安全三条主线、强化信息技术管理的主体责任、并设定了相应处罚措施，最严重可处暂停部分或全部业务、责令更换董事、监事、高级管理人员或者限制其权利等行政监管措施，对于证券基金行业有强制的约束性。

图2 信息科技管理规范的变化（*蓝色部分为新增领域）

3.《管理办法》重点解读

详细定义各类主体责任

《管理办法》中首先定义了主体的责任，明确证券基金经营机构是从事证券基金业务活动的责任主体，应当保障充足的信息技术投入，在依法合规、有效防范风险的前提下，充分利用现代信息技术手段完善客户服务体系、改进业务运营模式、提升内部管理水平、增强合规风控能力，持续强化现代信息技术对证券基金业务活动的支撑作用。并表明证券基金经营机构应当清晰、准确、完整的掌握重要信息系统的技术架构、业务逻辑和操作流程等内容，确保重要信息系统运行始终处于自身控制范围，不得将重要信息系统的运维、日常安全管理交由信息技术服务机构独立实施。

表2 主体及术语定义表格

适用行业范围扩大

《管理办法》适用范围包括了证券基金经营机构及信息技术服务机构，还明确了证券基金专项业务服务机构、从事证券公司客户交易结算资金存管活动的商业银行、从事公开募集基金的基金托管机构、证券基金经营机构在境内依法设立的子公司及其下设机构借助信息技术手段从事相关证券基金业务活动的都包括在内，皆需按照《管理办法》执行。

明确责任主体与罚则

《管理办法》中清楚明确了证券基金经营机构及信息技术服务机构的相关罚则，对于证券基金经营机构可采取责令改正、暂停业务、出具警示函、责令定期报告、责令增加合规检查次数、公开谴责等行政监管措施；对直接负责的主管人员和其他责任人员采取责令改正、监管谈话、出具警示函、公开谴责等行政监管措施；若情况严重者将采取责令暂停部分或全部业务、责令更换董事、监事、高级管理人员或者限制其权利等行政监管措施。

表3《管理办法》中相关罚则

信息技术管理领域划分

与以往的规范和发文不同，本次《管理办法》中对信息技术管理领域有了新的划分，具体分为信息技术治理、信息技术合规与风险管理、信息技术安全及其三个子领域信息系统安全、数据治理、应急管理、以及信息技术服务机构。下列将依照各模块提出的新要求进行说明。

首席信息官

办法中第十条，是证监会首次明文规定证券基金经营机构应当指定一名熟悉证券、基金业务，具有信息技术相关专业背景、任职经历、履职能力的高级管理人员为首席信息官，由其负责信息技术管理工作。

信息技术合规与风险管理

办法中明确了合规管理部和风险管理部的职责，要求证券基金经营机构为合规管理部门和风险管理部门配备与业务活动规模、复杂程度相适应的信息技术资源，建立相应的审查、监测和检查机制，确保合规与风险管理能够覆盖信息技术运用的各个环节。

风险管理系统要求

办法规定在业务系统上线时，应当同步上线与业务活动复杂程度和风险状况相适应的风险管理系统，对业务系统中的风险进行识别、监控、预警和干预。

全面审计要求

建议证券基金经营机构应当委托外部专业机构开展信息技术管理工作的全面审计，不低于每三年一次。

子公司管理要求

证券基金经营机构可以在安全、合规的前提下为子公司提供机房、通信网络及其他信息技术基础设施，并协助开展相关运维工作。
证券基金经营机构可以设立信息技术专业子公司，为母公司提供信息技术服务。信息技术专业子公司经中国证监会备案后可为其他金融机构提供信息技术服务。

数据治理要求

证券基金经营机构应当结合公司发展战略，建立全面、科学、有效的数据治理组织架构以及数据全生命周期管理机制，确保数据统一管理、持续可控和安全存储，切实履行数据安全及数据质量管理职责，不断提升数据使用价值。
将经营及客户数据按照重要性和敏感性进行分类分级，并根据不同类别和级别作出差异化数据管理制度安排。
证券基金经营机构应当充分挖掘、梳理和分析数据内容，提高管理精细化程度，在业务经营、风险管理与内部控制中加强数据应用，实现同一客户、同类业务统一管理，充分发挥数据价值。

应急管理

办法中明确了各部门在应急管理中的职责，其中信息技术管理部门为信息技术应急管理的牵头组织部门，负责组织开展信息技术应急预案的制定、演练、评估与改进工作，并负责信息系统的应急响应与恢复。
各业务部门则负责评估本业务条线信息技术突发事件相关风险，开展业务影响分析，确定并实施重要业务恢复目标和恢复策略。
风险管理部门负责评估信息系统与相关业务恢复目标和恢复策略制定的合理性，确保与公司整体风险管理策略保持一致。
证券基金经营机构应当在公司网站、客户交易终端等渠道公示信息技术突发事件发生时客户可采取的替代交易方式等信息，提示客户防范和应对可能出现的风险。
重要信息系统应当符合下表的信息系统备份能力等级要求：

表4 信息系统备份能力等级要求

信息技术服务机构要求

证券基金经营机构应当在选择信息技术服务机构之前，制定更换服务提供方的流程及预案，确保在特定情况下可更换服务提供方。

结语

随着证券基金经营机构数字化转型，信息系统环境日新月异，证监会为降低行业信息系统运行风险，提升行业信息管理标准化水平，持续发布信息技术管理规范及要求。本次《管理办法》为证券基金经营机构带来巨大挑战，其中包括合规及风险管理的信息技术配备不足、信息技术的资源不足、信息技术服务机构管理不足以及数据治理的缺乏。证券基金经营机构应当积极对标新规要求，适时完善信息技术管理水平。