近年来,期货公司数字化转型步伐显著加快,但网络和信息安全方面的风险点也随之增加。如何在业务发展与合规安全之间找到平衡点,成为期货公司需要直面的挑战。
将系统外部接入管理纳入合规风控体系
据记者统计,截至今年8月底,各地证监局发布的与期货公司相关的处罚中,共有8例涉及与外部软件和信息接入相关的网络和信息安全问题。主要违规情形包括:未对部分外部接入信息系统开展合规评估;未妥善保存外部接入信息系统合规评估材料;客户申请使用交易系统前,未开展必要的核查工作;对部分自然人客户外部接入信息系统存在尽职调查和准入评估不充分、后续管理不到位的情况;对部分客户接入的外部信息系统未开展合规评估、风险评估和技术系统测试;在新上线系统的部署过程中,向开发商提供公司实盘部署环境;交易系统发生交易链路中断等。
据海通期货信息技术管理部总经理赵智鹏介绍,期货公司为市场提供外部接入的模式主要有三种:第一种最为普遍,就是客户使用市面上常见的交易终端软件,期货公司在完成交易终端软件的接入测试后,客户就不必再额外进行接入测试。第二种是针对中低频量化客户,他们策略相对简单,对交易速度和延时性要求不高,客户自研程序或者购买第三方交易平台完成外接测试后,通过互联网接入期货公司的主席或者次席柜台。第三种是高频客户,客户的策略程序会部署在交易所托管机房,对延时性要求较高。“针对不同的接入模式,期货公司通过提供不同的交易柜台来满足相应的市场需求。”赵智鹏说。
北京北金期货信息技术部负责人张志强认为,在有外部接入的情况下,期货公司解决系统稳定性和数据安全性的方式有四种:一是通过技术安全保障,采用先进的加密算法对交易相关的数据进行加密,并建立严格的身份认证机制。二是通过合规措施,期货公司在API接入程序化交易时必须遵循相关的监管要求,同时期货公司内部合规审查团队会对API接入的程序化交易进行全面的审查。三是建立交易风险监控系统,实时监测交易的各项指标,出现异常波动时,监控系统会及时发出警报,以便期货公司能够采取相应的措施。四是对资金安全的保障,包括对账户资金进行严格的管理,设置资金预警机制等。
涉及第三方技术供应商时,张志强表示,期货公司也会对供应商的基本资质文件进行审核,要求供应商提供营业执照、相应生产许可证、产品质量认证等文件;同时评估其技术能力与经验,考察供应商在期货行业或金融领域的技术服务经验,评估供应商的技术团队实力。
张志强介绍,面对外部接入的不可控性,期货公司目前采取的措施主要包括:将系统外部接入管理纳入合规风控体系,建立健全接入测试、交易监测等全流程管理机制;明确系统功能要求,要求程序化交易者使用的技术系统具备有效的异常监测、阈值管理等功能,期货公司使用的交易信息系统须具备有效的验资验仓、权限控制、异常监测等功能;严格准入评估,在客户接入前做好尽职调查和准入评估,避免有潜在风险的客户接入;规范交易行为,明确禁止性行为,从制度上、流程上约束接入方的行为;加强交易监测,重点监控异常交易行为,特别是对高频交易进行重点管理,防范市场风险;建立主机交易托管资源管理制度,对资源使用情况进行监控和管理,对于频繁发生异常交易行为或技术系统出现重大故障的客户,限制其使用主机交易托管资源。
在安全合规的前提下开展相关业务
赵智鹏告诉期货日报记者,目前,期货行业在网络和信息安全方面存在一些难点,一方面是IT投入成本较高,另一方面是面对市场获客竞争的压力。“金融行业的网络和信息安全标准以及监管要求普遍较高,期货行业也不例外,诸如生产运行保障、网络安全、等级保护、流程规范等,这方面的IT投入和人员投入都是不小的成本。同时,期货公司为了赢得客户,还需要考虑客户的体验。”赵智鹏说。
同时,针对网络和信息安全的监管措施也在逐步细化和完善。张志强介绍,期货行业网络和信息安全相关法规陆续出台或修订,比如近期发布的《期货市场程序化交易管理规定(试行)》,还要遵循金融监管部门和国家网络安全相关法规要求,例如《中华人民共和国网络安全法》《中华人民共和国数据安全法》以及金融行业特定的数据保护规定等。
在全面细致做好防范网络和信息安全风险工作的基础上,如何平衡业务发展与风险隔离,无疑对期货公司提出了更高的要求。
赵智鹏说,公司在优先满足监管要求的情况下,尽量优化外部接入流程。这可能会导致一些客户流失,但一旦公司因为合规执行不到位,被监管处罚,就会有更多的客户受到影响。很多客户为了规避这种风险,也会选择流程规范的期货公司,这些客户体量往往较大,也更优质。
张志强建议,期货公司可以建立由风险合规部门、业务部门、信息技术部门、财务部门等人员组成的跨部门决策团队。各部门人员凭借自身专业知识和经验,从不同角度对业务进行评估和分析,并作出决策。在决策过程中,各部门之间可以充分沟通和协作,共同探讨业务方案的可行性和风险,通过协同决策平衡业务需求与风险隔离。另外,制定清晰、规范的决策流程,明确决策的各个环节和责任主体,建立决策后的评估机制,对决策的执行效果进行跟踪和评估,根据评估结果,及时对决策进行调整和优化。
“技术发展无法阻挡,国内金融科技未来还将积极参与国际竞争,而监管合规要求趋严更多强调的是风险管控和风险防范,旨在保障金融市场的稳定健康发展,两者其实并不矛盾。”赵智鹏认为,期货公司要认真领会监管的出发点、了解市场需求,按照监管要求加强流程管控,强化事前、事中、事后各环节风险管理。
在提升网络和信息安全合规能力方面,张志强建议,一是完善制度与流程建设。期货公司可依据相关法规,如《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《期货交易管理条例》《期货公司监督管理办法》等,制定完善涵盖网络信息安全各方面的制度,包括数据保护、访问控制、应急响应等。二是提升合规意识与能力,开展定期培训,内容涵盖最新的安全法规、常见的网络攻击手段及防范方法等;组织演练,通过模拟网络攻击事件,让员工在实践中掌握应对网络安全事件的技能和流程。三是加大技术投入与创新,升级安全防护系统,加大对防火墙、入侵检测系统、加密技术等安全防护系统的投入,积极引入人工智能、区块链等新兴技术,提升安全管理水平。四是优化应急响应机制,建立健全网络安全应急预案,明确应急目标、应急组织和处置流程,应急场景应覆盖网络安全事件、自然灾害、公共卫生事件等多种情况。
行业间的合作与交流同样重要。张志强表示,《证券期货业网络和信息安全管理办法》对期货公司等主体的网络和信息安全提出了明确要求。期货公司应与监管机构保持密切沟通,及时了解最新的法规政策和监管要求,主动配合监管机构的检查和指导。参与行业协会组织的网络和信息安全相关活动,以及行业组织举办的培训、研讨会等活动,了解行业最新动态和技术趋势,提升自身的网络和信息安全管理水平。
