随着证券基金经营机构数字化转型,以及网络安全环境日益复杂,证监会为了降低行业信息系统运行风险,提升行业信息管理标准化水平,于2018年12月21日,颁布了《证券基金经营机构信息技术管理办法》(以下简称《管理办法》)在整个证券、基金行业引起了不小的震动。可以预见,伴随着《管理办法》的落地实施,信息技术影响下的证券基金经营机构将迎来一场新的改革与革命。
本文仅就《管理办法》中所重点涉及的IT审计、风险管理系统要求、数据治理三个领域进行详细说明。
IT审计要求
此次颁布的《管理办法》第十六条规定,证券基金经营机构应当定期开展信息技术管理工作专项审计,频率不低于每年一次,确保三年内完成信息技术管理全部事项的审计工作。证券基金经营机构应当委托外部专业机构开展信息技术管理工作的全面审计,频率不低于每三年一次;未能有效实施信息技术管理被采取行政处罚措施、监管措施或者自律管理措施的,应当在三个月内完成对有关事项的专项审计。
由此可见证监会对于各证券基金经营机构IT审计工作的重视程度。
这也难怪,随着互联网的迅速发展以及金融信息化进程的不断推进,现代证券基金等金融机构在组织结构、业务流程、业务开拓以及客户服务等方面,越来越多地依赖于信息技术。信息系统的安全、稳定、高效运行对于证券基金经营机构意义重大,信息系统风险控制已成为证券、基金行业风险管理的重要内容。证券基金经营机构需要通过IT审计来保证和监控全行的信息科技管控对各级监管政策法规的合规性。
IT审计对审计人员的技术能力和业务能力要求很高。但证券基金经营机构面临的实际情况却是IT技术能力强的人,了解业务的能力相对少些,而业务能力强的人员,IT技术能力弱一些,复合人才普遍匮乏。因而在信息系统审计项目中更多的是采用传统的审计方法,这在一定程度上限制了信息系统的审计质量。
北京时代新威信息技术有限公司是国内IT审计领域的领先者,通过全面仔细地分析金融机构的信息系统可能存在的风险,结合国际、国内标准以及银监会的各个指引文件的要求,创建了金融机构的信息系统审计知识库。并为每个审计专项总结出了应该实施的控制措施、审计过程中使用的访谈问卷以及未达到要求所存在的风险和应采取的措施。避免了因审计人员的能力和知识面不足导致审计过程出现偏差,同时极大地提高了审计工作效率。
风险管理系统要求
《管理办法》第十三条规定:在业务系统上线时,应当同步上线与业务活动复杂程度和风险状况相适应的风险管理系统,对业务系统中的风险进行识别、监控、预警和干预。
风险管理系统指的是运用信息技术对风险进行管控的系统,用户可将系统嵌入业务流程,实时收集相关信息,从而对风险进行识别、分析、评估、预警,识别并制定对应的风险管控策略,处理实际或潜在风险,控制并降低风险所带来的不利影响。
时代新威风险管理系统具备风险计量、评估、展示、报告等功能,以支持风险报告生成并辅助管理决策。该系统整合了深度学习、关联分析等多项核心技术,在海量数据分析的基础上,可建立全面精准的规则引擎,通过事前预测,事中监测,事后分析,全程实时监测业务潜在威胁,动态预警业务风险。
数据治理要求
《管理办法》第二十九条规定,证券基金经营机构应当结合公司发展战略,建立全面、科学、有效的数据治理组织架构以及数据全生命周期管理机制,确保数据统一管理、持续可控和安全存储,切实履行数据安全及数据质量管理职责,不断提升数据使用价值。
时代新威研发的审计狮-数据质量审计系统可为证券基金经营机构提供数据治理服务。系统可针对不完整或不符合基准规范的数据,根据系统内置的标准数据或者用户提供的准确数据,通过数据输入建议、数据翻译等方式对数据进行推送补全。另外面对异源或异样的数据,通过精准匹配、模糊匹配、智能匹配筛选结果集系统可实现数据的匹配融合治理。
此外,随着证券基金机构数据的需求与使用的变化,系统检核引擎还可以针对用户持续检核计划的检核任务进行跟踪并智能执行,为证券基金经营机构提供一个准确的、有效的、持续的、完整的数据治理与提升。
公司简介
北京时代新威信息技术有限公司(“时代新威®”),2003年11月成立于北京市海淀中关村科技园区,是我国最早从事网络安全咨询和信息系统审计鉴证的专业服务供应商。时代新威®,以推动和保护数字时代和谐发展和不断创新为愿景,以提供专业网络安全咨询和IT审计服务、网络安全和IT审计工具研发、网络安全和审计教育培训为使命,为使客户的IT基础设施和应用系统有效支撑其业务发展提供保障和推动力量。
“十年磨一剑”,时代新威®在金融、能源、电信等关键信息基础设施领域形成了网络安全咨询与审计服务、培训和工具“一剑三刃”的拳头产品,在网络安全等级保护、网络安全风险评估、ISMS/ITSMS/BCMS建设和认证、关键信息基础设施保护、网络安全标准化、信息系统审计服务及信息系统审计人员和机构资质认证等领域经验丰富、成果显著,赢得了客户信任和政策部门支持。