近年來��,期貨公司數(shù)字化轉(zhuǎn)型步伐顯著加快���,但網(wǎng)絡和信息安全方面的風險點也隨之增加���。如何在業(yè)務發(fā)展與合規(guī)安全之間找到平衡點,成為期貨公司需要直面的挑戰(zhàn)���。
將系統(tǒng)外部接入管理納入合規(guī)風控體系
據(jù)記者統(tǒng)計,截至今年8月底���,各地證監(jiān)局發(fā)布的與期貨公司相關的處罰中��,共有8例涉及與外部軟件和信息接入相關的網(wǎng)絡和信息安全問題��。主要違規(guī)情形包括:未對部分外部接入信息系統(tǒng)開展合規(guī)評估���;未妥善保存外部接入信息系統(tǒng)合規(guī)評估材料;客戶申請使用交易系統(tǒng)前���,未開展必要的核查工作��;對部分自然人客戶外部接入信息系統(tǒng)存在盡職調(diào)查和準入評估不充分��、后續(xù)管理不到位的情況��;對部分客戶接入的外部信息系統(tǒng)未開展合規(guī)評估��、風險評估和技術(shù)系統(tǒng)測試��;在新上線系統(tǒng)的部署過程中���,向開發(fā)商提供公司實盤部署環(huán)境��;交易系統(tǒng)發(fā)生交易鏈路中斷等���。
據(jù)海通期貨信息技術(shù)管理部總經(jīng)理趙智鵬介紹,期貨公司為市場提供外部接入的模式主要有三種:第一種最為普遍���,就是客戶使用市面上常見的交易終端軟件���,期貨公司在完成交易終端軟件的接入測試后,客戶就不必再額外進行接入測試��。第二種是針對中低頻量化客戶���,他們策略相對簡單��,對交易速度和延時性要求不高���,客戶自研程序或者購買第三方交易平臺完成外接測試后���,通過互聯(lián)網(wǎng)接入期貨公司的主席或者次席柜臺。第三種是高頻客戶��,客戶的策略程序會部署在交易所托管機房���,對延時性要求較高?�!搬槍Σ煌慕尤肽J?�,期貨公司通過提供不同的交易柜臺來滿足相應的市場需求��?��!壁w智鵬說��。
北京北金期貨信息技術(shù)部負責人張志強認為���,在有外部接入的情況下,期貨公司解決系統(tǒng)穩(wěn)定性和數(shù)據(jù)安全性的方式有四種:一是通過技術(shù)安全保障���,采用先進的加密算法對交易相關的數(shù)據(jù)進行加密��,并建立嚴格的身份認證機制���。二是通過合規(guī)措施���,期貨公司在API接入程序化交易時必須遵循相關的監(jiān)管要求,同時期貨公司內(nèi)部合規(guī)審查團隊會對API接入的程序化交易進行全面的審查���。三是建立交易風險監(jiān)控系統(tǒng)���,實時監(jiān)測交易的各項指標,出現(xiàn)異常波動時���,監(jiān)控系統(tǒng)會及時發(fā)出警報���,以便期貨公司能夠采取相應的措施。四是對資金安全的保障���,包括對賬戶資金進行嚴格的管理��,設置資金預警機制等��。
涉及第三方技術(shù)供應商時��,張志強表示���,期貨公司也會對供應商的基本資質(zhì)文件進行審核��,要求供應商提供營業(yè)執(zhí)照���、相應生產(chǎn)許可證、產(chǎn)品質(zhì)量認證等文件���;同時評估其技術(shù)能力與經(jīng)驗���,考察供應商在期貨行業(yè)或金融領域的技術(shù)服務經(jīng)驗��,評估供應商的技術(shù)團隊實力��。
張志強介紹���,面對外部接入的不可控性���,期貨公司目前采取的措施主要包括:將系統(tǒng)外部接入管理納入合規(guī)風控體系,建立健全接入測試、交易監(jiān)測等全流程管理機制��;明確系統(tǒng)功能要求���,要求程序化交易者使用的技術(shù)系統(tǒng)具備有效的異常監(jiān)測���、閾值管理等功能,期貨公司使用的交易信息系統(tǒng)須具備有效的驗資驗倉���、權(quán)限控制��、異常監(jiān)測等功能��;嚴格準入評估��,在客戶接入前做好盡職調(diào)查和準入評估��,避免有潛在風險的客戶接入��;規(guī)范交易行為���,明確禁止性行為,從制度上��、流程上約束接入方的行為;加強交易監(jiān)測��,重點監(jiān)控異常交易行為���,特別是對高頻交易進行重點管理��,防范市場風險���;建立主機交易托管資源管理制度,對資源使用情況進行監(jiān)控和管理��,對于頻繁發(fā)生異常交易行為或技術(shù)系統(tǒng)出現(xiàn)重大故障的客戶���,限制其使用主機交易托管資源���。
在安全合規(guī)的前提下開展相關業(yè)務
趙智鵬告訴期貨日報記者���,目前��,期貨行業(yè)在網(wǎng)絡和信息安全方面存在一些難點���,一方面是IT投入成本較高��,另一方面是面對市場獲客競爭的壓力��?��!敖鹑谛袠I(yè)的網(wǎng)絡和信息安全標準以及監(jiān)管要求普遍較高,期貨行業(yè)也不例外���,諸如生產(chǎn)運行保障���、網(wǎng)絡安全、等級保護���、流程規(guī)范等���,這方面的IT投入和人員投入都是不小的成本。同時���,期貨公司為了贏得客戶��,還需要考慮客戶的體驗��?�!壁w智鵬說���。
同時���,針對網(wǎng)絡和信息安全的監(jiān)管措施也在逐步細化和完善。張志強介紹��,期貨行業(yè)網(wǎng)絡和信息安全相關法規(guī)陸續(xù)出臺或修訂��,比如近期發(fā)布的《期貨市場程序化交易管理規(guī)定(試行)》���,還要遵循金融監(jiān)管部門和國家網(wǎng)絡安全相關法規(guī)要求��,例如《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》以及金融行業(yè)特定的數(shù)據(jù)保護規(guī)定等���。
在全面細致做好防范網(wǎng)絡和信息安全風險工作的基礎上,如何平衡業(yè)務發(fā)展與風險隔離��,無疑對期貨公司提出了更高的要求��。
趙智鵬說��,公司在優(yōu)先滿足監(jiān)管要求的情況下��,盡量優(yōu)化外部接入流程���。這可能會導致一些客戶流失���,但一旦公司因為合規(guī)執(zhí)行不到位,被監(jiān)管處罰��,就會有更多的客戶受到影響���。很多客戶為了規(guī)避這種風險��,也會選擇流程規(guī)范的期貨公司��,這些客戶體量往往較大���,也更優(yōu)質(zhì)。
張志強建議���,期貨公司可以建立由風險合規(guī)部門���、業(yè)務部門、信息技術(shù)部門��、財務部門等人員組成的跨部門決策團隊。各部門人員憑借自身專業(yè)知識和經(jīng)驗��,從不同角度對業(yè)務進行評估和分析��,并作出決策���。在決策過程中��,各部門之間可以充分溝通和協(xié)作��,共同探討業(yè)務方案的可行性和風險���,通過協(xié)同決策平衡業(yè)務需求與風險隔離。另外���,制定清晰���、規(guī)范的決策流程,明確決策的各個環(huán)節(jié)和責任主體���,建立決策后的評估機制���,對決策的執(zhí)行效果進行跟蹤和評估���,根據(jù)評估結(jié)果��,及時對決策進行調(diào)整和優(yōu)化���。
“技術(shù)發(fā)展無法阻擋���,國內(nèi)金融科技未來還將積極參與國際競爭,而監(jiān)管合規(guī)要求趨嚴更多強調(diào)的是風險管控和風險防范��,旨在保障金融市場的穩(wěn)定健康發(fā)展���,兩者其實并不矛盾���。”趙智鵬認為���,期貨公司要認真領會監(jiān)管的出發(fā)點��、了解市場需求��,按照監(jiān)管要求加強流程管控���,強化事前��、事中���、事后各環(huán)節(jié)風險管理。
在提升網(wǎng)絡和信息安全合規(guī)能力方面��,張志強建議��,一是完善制度與流程建設���。期貨公司可依據(jù)相關法規(guī)��,如《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《期貨交易管理條例》《期貨公司監(jiān)督管理辦法》等��,制定完善涵蓋網(wǎng)絡信息安全各方面的制度���,包括數(shù)據(jù)保護、訪問控制���、應急響應等��。二是提升合規(guī)意識與能力��,開展定期培訓��,內(nèi)容涵蓋最新的安全法規(guī)��、常見的網(wǎng)絡攻擊手段及防范方法等��;組織演練��,通過模擬網(wǎng)絡攻擊事件��,讓員工在實踐中掌握應對網(wǎng)絡安全事件的技能和流程���。三是加大技術(shù)投入與創(chuàng)新,升級安全防護系統(tǒng)��,加大對防火墻���、入侵檢測系統(tǒng)���、加密技術(shù)等安全防護系統(tǒng)的投入,積極引入人工智能��、區(qū)塊鏈等新興技術(shù),提升安全管理水平���。四是優(yōu)化應急響應機制��,建立健全網(wǎng)絡安全應急預案���,明確應急目標、應急組織和處置流程���,應急場景應覆蓋網(wǎng)絡安全事件���、自然災害、公共衛(wèi)生事件等多種情況��。
行業(yè)間的合作與交流同樣重要���。張志強表示���,《證券期貨業(yè)網(wǎng)絡和信息安全管理辦法》對期貨公司等主體的網(wǎng)絡和信息安全提出了明確要求。期貨公司應與監(jiān)管機構(gòu)保持密切溝通���,及時了解最新的法規(guī)政策和監(jiān)管要求��,主動配合監(jiān)管機構(gòu)的檢查和指導���。參與行業(yè)協(xié)會組織的網(wǎng)絡和信息安全相關活動��,以及行業(yè)組織舉辦的培訓��、研討會等活動���,了解行業(yè)最新動態(tài)和技術(shù)趨勢���,提升自身的網(wǎng)絡和信息安全管理水平���。
聲明:證券時報力求信息真實、準確��,文章提及內(nèi)容僅供參考��,不構(gòu)成實質(zhì)性投資建議��,據(jù)此操作風險自擔
下載“證券時報”官方APP���,或關注官方微信公眾號��,即可隨時了解股市動態(tài)��,洞察政策信息���,把握財富機會��。
