基于多家头部机构案例谈：落实监管领导最新讲话精神

11月22日，中国证监会科技监管局姚前局长在“2022金融街论坛年会”上指出，资本市场金融科技创新发展仍存在信息技术管控能力未能充分匹配信息技术发展水平的问题，监管部门后续将着力引导行业机构提升信息技术管控水平，持续增强行业机构风险防控能力。

行业数据显示，自“152号令”发布以来，监管对证券公司信息技术风险关注度大幅提升，信息技术相关违规处罚数量增多（见图1），且处罚力度加大。

在近5年信息技术风险相关的监管处罚中，71.7%主要是因为信息技术应用过程中相应的管理机制或制度不健全、管理流程缺失等内部合规管理不足造成（见图2）。

信息技术的稳健、合规发展离不开科学严谨的配套制度，制度的有效执行也是信息技术科学、有效管理的重要保障。制度体系建设情况直观反映了经营机构信息技术管控的成熟度。新设经营机构、牌照申请、资质审批乃至各类专项检查，都会要求经营机构提供配套制度体系，并将其作为重点审核或检查项。行业很多监管处罚也往往会回溯到违规经营机构内控缺失、相关制度体系不健全层面。健全信息技术制度体系，对于提升经营机构IT治理、管控、创新能力，有效防范信息技术相关风险隐患具有重要意义；也是提高IT风险管控能力与治理水平的重要抓手。

近年来，随着金融科技在资本市场应用深度及广度的增加，证券经营机构信息技术资金投入规模、人员规模快速膨胀，信息系统规模、复杂度显著提升，行业信息技术制度体系建设不完善、不健全、指导性不强等问题渐趋凸显，制约着经营机构信息技术风险管控能力与治理水平的提升。主要问题包括：

（一）信息技术制度体系化不足。为满足新推出的某项监管要求，对应编制一份信息技术制度，是当前行业机构的普遍做法，这易导致制度体系缺乏规划、结构散乱、分类分级不合理，制度间关系不清晰、逻辑性不强，制度控制点冗余或要求不一致等问题，使得制度体系无法有机呈现经营机构信息技术管控严谨性。

（二）信息技术制度覆盖度有缺失。随着金融科技应用深入、法规要求更新、组织结构变革，信息技术管理要求和职责发生变化，很多经营机构的制度体系还停留在几年前的状态，更新频次较低，控制点缺失，对于数据、信息技术服务机构管理等多个领域较少涉及或没有根据最新监管要求及时修正，难以满足基本的合规要求。

（三）制度落实不足。目前，行业信息技术领域重工作任务实施、轻制度落实的现象较为普遍，很多制度重责任、重措施但轻授权、轻处罚，难以实际落地实施，制度的策划与执行存在差距。

（四）工作开展被动，疲于应对。制度体系整体缺乏规划、制度覆盖有缺失、制度落实不足也大概率伴随着内外部审计发现的大量问题，监管牵引、被动整改下开展制度体系建设一方面占据大量人力及物力，信息技术工作正常运行承压；另一方面，也容易导致应付式的整改结果。

针对前述问题及痛点，自2020年以来（见文末链接），华锐金融科技研究所创新性推出行业信息技术制度体系建设服务，通过全面的评估、规划、建设和维护，助力经营机构建立健全信息技术制度体系，提升信息技术风险管控能力与治理水平。截至目前，已在多家头部证券、基金经营机构大型项目实践中取得良好成效，并深受客户好评。

未来，研究所将继续基于前瞻视野及深厚业内实践积淀，助力经营机构提高信息技术风险管控能力与治理水平，为行业数字化转型保驾护航。