近年來��,期貨公司數(shù)字化轉(zhuǎn)型步伐顯著加快��,但網(wǎng)絡(luò)和信息安全方面的風(fēng)險點(diǎn)也隨之增加����。如何在業(yè)務(wù)發(fā)展與合規(guī)安全之間找到平衡點(diǎn),成為期貨公司需要直面的挑戰(zhàn)��。
將系統(tǒng)外部接入管理納入合規(guī)風(fēng)控體系
據(jù)記者統(tǒng)計���,截至今年8月底�����,各地證監(jiān)局發(fā)布的與期貨公司相關(guān)的處罰中��,共有8例涉及與外部軟件和信息接入相關(guān)的網(wǎng)絡(luò)和信息安全問題��。主要違規(guī)情形包括:未對部分外部接入信息系統(tǒng)開展合規(guī)評估�;未妥善保存外部接入信息系統(tǒng)合規(guī)評估材料����;客戶申請使用交易系統(tǒng)前,未開展必要的核查工作�;對部分自然人客戶外部接入信息系統(tǒng)存在盡職調(diào)查和準(zhǔn)入評估不充分、后續(xù)管理不到位的情況�;對部分客戶接入的外部信息系統(tǒng)未開展合規(guī)評估、風(fēng)險評估和技術(shù)系統(tǒng)測試��;在新上線系統(tǒng)的部署過程中,向開發(fā)商提供公司實(shí)盤部署環(huán)境��;交易系統(tǒng)發(fā)生交易鏈路中斷等�。
據(jù)海通期貨信息技術(shù)管理部總經(jīng)理趙智鵬介紹,期貨公司為市場提供外部接入的模式主要有三種:第一種最為普遍���,就是客戶使用市面上常見的交易終端軟件�����,期貨公司在完成交易終端軟件的接入測試后��,客戶就不必再額外進(jìn)行接入測試���。第二種是針對中低頻量化客戶,他們策略相對簡單��,對交易速度和延時性要求不高���,客戶自研程序或者購買第三方交易平臺完成外接測試后�����,通過互聯(lián)網(wǎng)接入期貨公司的主席或者次席柜臺�����。第三種是高頻客戶���,客戶的策略程序會部署在交易所托管機(jī)房,對延時性要求較高�。“針對不同的接入模式���,期貨公司通過提供不同的交易柜臺來滿足相應(yīng)的市場需求���。”趙智鵬說���。
北京北金期貨信息技術(shù)部負(fù)責(zé)人張志強(qiáng)認(rèn)為���,在有外部接入的情況下,期貨公司解決系統(tǒng)穩(wěn)定性和數(shù)據(jù)安全性的方式有四種:一是通過技術(shù)安全保障�,采用先進(jìn)的加密算法對交易相關(guān)的數(shù)據(jù)進(jìn)行加密,并建立嚴(yán)格的身份認(rèn)證機(jī)制�����。二是通過合規(guī)措施,期貨公司在API接入程序化交易時必須遵循相關(guān)的監(jiān)管要求���,同時期貨公司內(nèi)部合規(guī)審查團(tuán)隊會對API接入的程序化交易進(jìn)行全面的審查���。三是建立交易風(fēng)險監(jiān)控系統(tǒng),實(shí)時監(jiān)測交易的各項指標(biāo)���,出現(xiàn)異常波動時�,監(jiān)控系統(tǒng)會及時發(fā)出警報���,以便期貨公司能夠采取相應(yīng)的措施�。四是對資金安全的保障�,包括對賬戶資金進(jìn)行嚴(yán)格的管理,設(shè)置資金預(yù)警機(jī)制等����。
涉及第三方技術(shù)供應(yīng)商時,張志強(qiáng)表示����,期貨公司也會對供應(yīng)商的基本資質(zhì)文件進(jìn)行審核,要求供應(yīng)商提供營業(yè)執(zhí)照、相應(yīng)生產(chǎn)許可證����、產(chǎn)品質(zhì)量認(rèn)證等文件;同時評估其技術(shù)能力與經(jīng)驗(yàn)��,考察供應(yīng)商在期貨行業(yè)或金融領(lǐng)域的技術(shù)服務(wù)經(jīng)驗(yàn)����,評估供應(yīng)商的技術(shù)團(tuán)隊實(shí)力����。
張志強(qiáng)介紹,面對外部接入的不可控性����,期貨公司目前采取的措施主要包括:將系統(tǒng)外部接入管理納入合規(guī)風(fēng)控體系,建立健全接入測試�、交易監(jiān)測等全流程管理機(jī)制;明確系統(tǒng)功能要求�,要求程序化交易者使用的技術(shù)系統(tǒng)具備有效的異常監(jiān)測、閾值管理等功能���,期貨公司使用的交易信息系統(tǒng)須具備有效的驗(yàn)資驗(yàn)倉�����、權(quán)限控制���、異常監(jiān)測等功能��;嚴(yán)格準(zhǔn)入評估���,在客戶接入前做好盡職調(diào)查和準(zhǔn)入評估,避免有潛在風(fēng)險的客戶接入����;規(guī)范交易行為,明確禁止性行為����,從制度上、流程上約束接入方的行為�;加強(qiáng)交易監(jiān)測,重點(diǎn)監(jiān)控異常交易行為�,特別是對高頻交易進(jìn)行重點(diǎn)管理,防范市場風(fēng)險��;建立主機(jī)交易托管資源管理制度���,對資源使用情況進(jìn)行監(jiān)控和管理����,對于頻繁發(fā)生異常交易行為或技術(shù)系統(tǒng)出現(xiàn)重大故障的客戶,限制其使用主機(jī)交易托管資源��。
在安全合規(guī)的前提下開展相關(guān)業(yè)務(wù)
趙智鵬告訴期貨日報記者��,目前����,期貨行業(yè)在網(wǎng)絡(luò)和信息安全方面存在一些難點(diǎn)�,一方面是IT投入成本較高,另一方面是面對市場獲客競爭的壓力�。“金融行業(yè)的網(wǎng)絡(luò)和信息安全標(biāo)準(zhǔn)以及監(jiān)管要求普遍較高���,期貨行業(yè)也不例外�����,諸如生產(chǎn)運(yùn)行保障��、網(wǎng)絡(luò)安全�、等級保護(hù)、流程規(guī)范等�,這方面的IT投入和人員投入都是不小的成本。同時�����,期貨公司為了贏得客戶�,還需要考慮客戶的體驗(yàn)?�!壁w智鵬說�����。
同時����,針對網(wǎng)絡(luò)和信息安全的監(jiān)管措施也在逐步細(xì)化和完善。張志強(qiáng)介紹��,期貨行業(yè)網(wǎng)絡(luò)和信息安全相關(guān)法規(guī)陸續(xù)出臺或修訂�,比如近期發(fā)布的《期貨市場程序化交易管理規(guī)定(試行)》,還要遵循金融監(jiān)管部門和國家網(wǎng)絡(luò)安全相關(guān)法規(guī)要求����,例如《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》以及金融行業(yè)特定的數(shù)據(jù)保護(hù)規(guī)定等�。
在全面細(xì)致做好防范網(wǎng)絡(luò)和信息安全風(fēng)險工作的基礎(chǔ)上�,如何平衡業(yè)務(wù)發(fā)展與風(fēng)險隔離,無疑對期貨公司提出了更高的要求���。
趙智鵬說����,公司在優(yōu)先滿足監(jiān)管要求的情況下��,盡量優(yōu)化外部接入流程���。這可能會導(dǎo)致一些客戶流失,但一旦公司因?yàn)楹弦?guī)執(zhí)行不到位�����,被監(jiān)管處罰����,就會有更多的客戶受到影響。很多客戶為了規(guī)避這種風(fēng)險�,也會選擇流程規(guī)范的期貨公司,這些客戶體量往往較大�����,也更優(yōu)質(zhì)。
張志強(qiáng)建議����,期貨公司可以建立由風(fēng)險合規(guī)部門、業(yè)務(wù)部門��、信息技術(shù)部門����、財務(wù)部門等人員組成的跨部門決策團(tuán)隊。各部門人員憑借自身專業(yè)知識和經(jīng)驗(yàn)����,從不同角度對業(yè)務(wù)進(jìn)行評估和分析,并作出決策�����。在決策過程中�,各部門之間可以充分溝通和協(xié)作,共同探討業(yè)務(wù)方案的可行性和風(fēng)險��,通過協(xié)同決策平衡業(yè)務(wù)需求與風(fēng)險隔離�。另外�����,制定清晰��、規(guī)范的決策流程���,明確決策的各個環(huán)節(jié)和責(zé)任主體,建立決策后的評估機(jī)制�,對決策的執(zhí)行效果進(jìn)行跟蹤和評估,根據(jù)評估結(jié)果�,及時對決策進(jìn)行調(diào)整和優(yōu)化。
“技術(shù)發(fā)展無法阻擋����,國內(nèi)金融科技未來還將積極參與國際競爭,而監(jiān)管合規(guī)要求趨嚴(yán)更多強(qiáng)調(diào)的是風(fēng)險管控和風(fēng)險防范���,旨在保障金融市場的穩(wěn)定健康發(fā)展,兩者其實(shí)并不矛盾���?���!壁w智鵬認(rèn)為,期貨公司要認(rèn)真領(lǐng)會監(jiān)管的出發(fā)點(diǎn)����、了解市場需求,按照監(jiān)管要求加強(qiáng)流程管控�,強(qiáng)化事前、事中����、事后各環(huán)節(jié)風(fēng)險管理。
在提升網(wǎng)絡(luò)和信息安全合規(guī)能力方面���,張志強(qiáng)建議�,一是完善制度與流程建設(shè)����。期貨公司可依據(jù)相關(guān)法規(guī),如《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《期貨交易管理條例》《期貨公司監(jiān)督管理辦法》等���,制定完善涵蓋網(wǎng)絡(luò)信息安全各方面的制度���,包括數(shù)據(jù)保護(hù)、訪問控制����、應(yīng)急響應(yīng)等�。二是提升合規(guī)意識與能力�����,開展定期培訓(xùn)����,內(nèi)容涵蓋最新的安全法規(guī)、常見的網(wǎng)絡(luò)攻擊手段及防范方法等�����;組織演練��,通過模擬網(wǎng)絡(luò)攻擊事件����,讓員工在實(shí)踐中掌握應(yīng)對網(wǎng)絡(luò)安全事件的技能和流程。三是加大技術(shù)投入與創(chuàng)新�,升級安全防護(hù)系統(tǒng)�,加大對防火墻、入侵檢測系統(tǒng)����、加密技術(shù)等安全防護(hù)系統(tǒng)的投入���,積極引入人工智能、區(qū)塊鏈等新興技術(shù)����,提升安全管理水平。四是優(yōu)化應(yīng)急響應(yīng)機(jī)制�����,建立健全網(wǎng)絡(luò)安全應(yīng)急預(yù)案���,明確應(yīng)急目標(biāo)��、應(yīng)急組織和處置流程�,應(yīng)急場景應(yīng)覆蓋網(wǎng)絡(luò)安全事件�����、自然災(zāi)害����、公共衛(wèi)生事件等多種情況���。
行業(yè)間的合作與交流同樣重要。張志強(qiáng)表示��,《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》對期貨公司等主體的網(wǎng)絡(luò)和信息安全提出了明確要求�。期貨公司應(yīng)與監(jiān)管機(jī)構(gòu)保持密切溝通,及時了解最新的法規(guī)政策和監(jiān)管要求���,主動配合監(jiān)管機(jī)構(gòu)的檢查和指導(dǎo)����。參與行業(yè)協(xié)會組織的網(wǎng)絡(luò)和信息安全相關(guān)活動��,以及行業(yè)組織舉辦的培訓(xùn)��、研討會等活動��,了解行業(yè)最新動態(tài)和技術(shù)趨勢��,提升自身的網(wǎng)絡(luò)和信息安全管理水平�����。
聲明:證券時報力求信息真實(shí)、準(zhǔn)確,文章提及內(nèi)容僅供參考�����,不構(gòu)成實(shí)質(zhì)性投資建議�����,據(jù)此操作風(fēng)險自擔(dān)
下載“證券時報”官方APP�����,或關(guān)注官方微信公眾號���,即可隨時了解股市動態(tài),洞察政策信息����,把握財富機(jī)會。
