數智化轉型催生屬性變革，券商信息技術領域合規管理如何破局？

財聯社12月28日訊（記者 王晨）隨著數字化轉型與金融科技的深度融合，證券行業正經歷一場深刻的變革。科技不再僅僅是后臺支撐，已成為驅動業務創新、提升客戶體驗的核心力量。

然而，在券商加大信創改造與業技融合投入的同時，信息技術領域的合規風險與安全隱患也日益凸顯，交易系統故障、IT人員“老鼠倉”、信息安全事件遲報、技術服務商運維疏漏等問題頻發。

值得關注的是，近期出臺的中小投資者保護23條中，第六條和第七條專門針對程序化交易監管與證券期貨經紀業務監管作出明確要求，折射出監管層對券商信息技術領域風險防控的高度關注。

而自2020年證監會成立科技監管司以來，一系列配套法規相繼落地，形成對券商信息技術領域的多層次監管體系，罰單數量自2022年后持續增長，監管焦點覆蓋系統安全、人員管理、責任落實及全產業鏈延伸，處罰力度不斷升級。

實際上，證券行業的數字化、智能化轉型正推動信息技術條線的定位發生根本性轉變，從傳統運維屬性向業務屬性深刻轉型。如何在擁抱技術創新的同時筑牢合規防線，實現發展與風控的平衡，如何轉變思維，用業務管理和業務支持部門的角度進行合規管理，成為全行業亟待破解的命題。

證券行業信息技術監管體系日趨完善，處罰力度持續升級

自2020年證監會成立科技監管司以來，證券行業信息技術監管框架不斷健全。《證券基金經營機構信息技術管理辦法》《證券期貨業網絡和信息安全管理辦法》等一系列法規相繼修訂實施，中國證券業協會更是于2023年推出《證券公司網絡和信息安全三年提升計劃（2023-2025）》，構建起多層次監管體系。

監管力度的提升直接體現在罰單數量的變化上，統計數據顯示，2014年至2024年，監管部門累計出具信息技術罰單49張，其中2022年后罰單數量呈現明顯增長態勢。而近幾年監管層的關注焦點也呈現出導向性，幾乎形成了覆蓋系統安全、人員管理、責任落實和產業鏈延伸的全方位監管。

系統安全與穩定是監管底線，2023年中信證券因機房UPS電源問題導致交易系統異常，部分客戶交易受影響，公司及首席信息官等3人被深圳證監局出具警示函，滬深交易所也同步發出書面警示。東北證券則因信息系統故障未及時報告遭到處罰。這些案例表明，監管層對直接影響投資者權益的交易系統宕機、APP故障等問題采取零容忍態度，強調應急報告的及時性和系統測試的充分性。

今年以來，嚴打IT“老鼠倉”成為監管重點。2025年，中信證券信息技術中心高級經理李海鵬利用CRM系統權限獲取私募基金持倉信息進行趨同交易，獲利約213萬元，被安徽證監局沒收違法所得并罰款一倍，合計罰沒426萬元。

同年，華泰證券分管投研系統建設的負責人邵某利用系統權限獲取自營賬戶信息進行交易，被吉林證監局沒收違法所得并罰款三倍，合計罰沒108萬元。此類案例顯示，監管部門已明確將IT相關人員列為防范老鼠倉的重點核查對象，處罰力度從“沒一罰一”升級至“沒一罰三”，形成強力震懾。

從處罰主體來看，機構與個人責任雙重壓實。監管處罰不再局限于機構層面，而是逐步延伸至具體責任人。中信證券交易系統故障案中，首席信息官、運維負責人、機房負責人均被單獨出具警示函；多家券商罰單中明確要求“追究相關人員責任”或“強化CIO第一責任人意識”。這種雙追責模式督促券商建立從上到下的責任體系，切實重視IT治理工作。

值得注意的是，對于信息技術技術的監管范圍延伸至全產業鏈。2024年，作為關鍵金融數據服務商的萬得信息因金融終端服務異常對市場造成較大影響，被上海證監局出具警示函。這一案例標志著監管視野已覆蓋券商業務全鏈條，要求包括技術服務商在內的所有參與主體都必須承擔安全保障責任。

券商信息技術條線定位發生根本性轉變

證券行業的數字化轉型正推動信息技術條線的定位發生根本性轉變。傳統意義上，IT部門主要承擔運維職能，核心職責是保障交易系統穩定運行。如今，隨著券商與一線客戶需求對接日益緊密，IT部門已深度參與軟件系統開發，成為直接支撐業務發展的核心力量，其業務屬性愈發凸顯。

這種轉型意味著IT部門不再是單純的后臺支持單元，而是成為業務創新的重要參與者和推動者。券商每年在信創改造和業技融合方面的投入持續增加，技術驅動業務已成為行業共識。但屬性轉變也帶來了新的管理挑戰，如何用業務管理的思維對IT部門進行日常管理和合規監管，成為行業面臨的全新課題。

信息技術的專業性為合規監管帶來了不小的挑戰，無論是系統開發、權限管理還是數據安全，都涉及復雜的技術原理和業務邏輯，傳統合規人員往往難以全面理解其中的風險點。處罰案例顯示，部分券商出現員工賬號權限過高且無定期復核、缺乏有效日志審計機制、安全漏洞長期未整改等問題，這些都與合規監管未能有效穿透技術層面密切相關。

IT領域的合規風險呈現出隱蔽性強、傳播速度快、影響范圍廣的特點。IT人員利用系統權限進行利益輸送、為個別投資者提供特殊交易便利等行為，若缺乏專業的技術監測手段，很難及時發現。這就對券商合規部門提出了更高要求，亟需培養或引進既懂IT技術、又熟悉業務流程和監管規則的復合型人才，構建專業化的合規監管體系。

如何破局信息技術合規與創新的協同發展

證券行業的數字化、智能化轉型是不可逆轉的趨勢，科技賦能為行業發展帶來了新的機遇，也提出了更高的合規要求。監管實踐表明，信息技術領域的合規管理已成為券商穩健經營的重要基石，也是監管部門維護市場秩序、保護投資者權益的關鍵抓手。

如何破局信息技術合規與創新的協同發展？從業內實踐和建議來看，可以通過完善信息技術合規治理體系、加強技術防控、培養專業人才、優化應急處置等一系列舉措，實現合規管理與業務創新的協同發展。

制度建設上，面對日益嚴格的監管要求，券商首先需要構建健全的信息技術管理制度體系。應全面梳理《證券期貨業網絡和信息安全管理辦法》等監管新規的核心要求，結合自身業務特點和技術架構，搭建貼合需求的信息技術管理制度體系。制度不僅要覆蓋系統開發、運維保障、權限管理、數據安全等全環節，更要注重可操作性，避免流于形式。

在治理架構上，不妨明確“一把手”牽頭的責任機制，保障首席信息官充分履職，避免核心管理崗位長期空缺。可以嘗試建立跨部門的信息技術管理小組，讓業務和技術人員常態化溝通，把合規要求自然融入業務流程和技術開發的每一個環節。同時，定期開展制度執行情況的自查自糾，發現偏差及時調整，讓制度真正發揮作用而非停留在紙面。

技術風險的防范，最終還是要靠技術創新來支撐。券商可以根據自身資源情況，加大網絡安全、智能風控等領域投入，提升系統自主可控能力，減少對單一供應商依賴。核心交易系統控制過度個性化改造，降低安全隱患。運用大數據、人工智能搭建實時監控平臺，對交易、權限等動態跟蹤。

針對IT人員“老鼠倉”這類高發風險，可以共同借鑒好的做法，推行最小權限原則，加強高權限人員行為監控和親屬賬戶核查，確保所有操作可追溯、可核查。另外，定期開展系統壓力測試和安全漏洞掃描，也是提升系統抗風險能力的有效途徑。

在專業合規人才的培養上，可以通過內部培訓、行業交流、校企合作等方式，培養既懂IT又熟悉業務與監管規則的復合型人才。對合規人員開展技術培訓，對IT人員加強合規教育，通過案例分享強化風險意識。建立合規與薪酬、晉升掛鉤的考核機制，開展全員信息安全普及。