——深圳证监局组织召开辖区证券公司信息技术治理总结交流会
近期,深圳证监局组织召开了辖区证券公司第四次信息技术治理工作研讨会,对信息技术治理年度工作进行了总结,并对09年的信息技术治理工作进行了研讨。2008年是深圳辖区证券公司信息技术治理工作全面开展的一年,在深圳证监局的积极倡导和大力推动下,辖区证券公司信息技术治理工作取得了一定成果,现将部分证券公司信息技术治理工作的成果和经验介绍如下:
一、招商证券制定信息技术治理规划
招商证券根据公司发展及信息技术未来发展趋势制定信息技术中长期规划,并定期进行补充调整和完善。
为保证信息技术治理规划切实可行,招商证券聘请欧洲专业咨询公司协助制定和完善公司第二个信息技术中长期规划。在规划的制定过程中,招商证券充分借鉴国外专业咨询公司的经验,公司各部门认真研究证券市场的发展趋势,确定了公司信息技术整体发展战略。
招商证券重视需求规划的制定与落实。在稳步推进信息技术建设的同时,公司大力推动公司前、中、后台的信息技术需求规划,加强业务需求与信息技术开发之间的协同,建立有效的供需融合机制,避免大量未经充分论证的需求进入生产开发环境。
二、国信证券明确信息技术治理框架和实施策略
国信证券重视对信息技术治理理论和体系架构的探索和研究,在结合公司前期信息技术管理经验的基础上,公司确立了信息技术治理基础框架和相关策略。
(一)明确信息技术治理的基础框架
公司认为,信息技术治理可以分为五个领域:战略一致性、价值提供、风险管理、资源管理和绩效测量,其中包括两个核心,一是信息技术要支撑业务发展,二是降低风险。前者由信息技术与业务的战略一致性驱动,后者由公司内部建立的责任驱动;这两者都需要获得足够的资源并进行绩效测量,以保证获得预期的结果。
(二)明确信息技术治理实施策略
1、信息技术战略与公司整体战略一致。国信证券确保信息技术的重大决策进入公司的最高管理层,通过建立信息技术治理委员会,有效地管理信息技术原则、框架、基础设施、应用需求及信息技术投资五个方面的决策。
2、加强信息技术内部管理和资源优化。国信证券侧重于“风险管理”、“绩效管理”、“资源管理”等。通过信息安全管理体系、信息技术运行维护服务体系、信息技术审计体系等,逐步对信息技术治理的具体工作进行落实完善和不断优化。
(三)引入成熟标准作为信息技术治理重要策略
国信证券认为在信息技术治理各环节的落实工作中,借助国际、国家、行业成熟的标准和指引尤为重要。以此为标杆,结合公司实际进行差距分析、寻找切入点、分步改进,系统化地解决实际工作中遇到的最重要和最迫切的问题;同时,实现阶梯式跨越、逐步接近并达到规范和标准的要求。
三、中投证券明确信息技术定位,体现信息技术价值
中投证券不仅将信息技术定位为正常开展证券业务的保障,更将信息技术视为推动公司业务创新、服务变革和规范管理的重要手段。
中投证券意识到公司经营管理模式的转变离不开信息技术的创新和发展,信息技术已从传统的后台业务支撑功能转变为业务创新的直接驱动力,信息技术规划与建设是以支持和推动公司经营管理实现“控制成本与集约化经营、建立营销服务新模式和培育核心竞争能力”的目标为准则。
信息技术系统的高效稳定给中投证券经纪业务的快速发展带来实效,公司银行渠道营销和权证业务得到了快速提升。
四、平安证券建立并完善信息技术服务支持体系
平安证券2008年建立实施了事件管理、问题管理流程,明确了流程中各角色的职责、处理规范,以及相应的绩效目标,提升了整体技术支持与响应能力。
(一)建立事件响应机制
平安证券建立了统一的运营事件响应小组,面向用户接收、处理和反馈信息系统突发事件,并协调基础架构、研发和信息安全人员处理事件。运营部门每日向用户通报信息系统事件及故障处理情况,每月对事件和故障恢复时效、进展等情况进行分析汇总。对于各类系统事件,平安证券参照协会对信息系统事故定义级别分为P1至P4,恢复时效指标分别为15、30、120、180分钟。对于问题管理,公司设定了问题主动发现量、问题解决量、解决时效三个绩效指标。下一步,平安证券将引入ITSM工具对上述流程进行管理,提升工作效率。
(二)建立系统可用率指标体系
平安证券2008年初步建立了业务系统可用率指标体系,包括交易系统安全运行率、关键业务系统可用率、基础架构可用率等多项指标,量化流程执行情况。通过对指标的完善和调整,促进运营流程的不断优化,提升内部管理。交易系统安全运行率作为平安证券信息技术部门的KPI指标,2008年实现安全运行率99.999%,其它业务系统可用率平均为99.87%,系统表现优异,创历年最好水平。
五、安信证券在公司治理框架下开展信息技术治理工作,通过信息技术完善公司的内控管理
安信证券立足公司战略目标的实现,将信息技术治理框架融入公司治理框架之中,确保信息技术治理与公司治理的发展相一致,并通过信息技术不断完善公司的内控管理。
安信证券认为将信息技术治理框架融入公司治理框架之中,成为公司治理框架的有机组成部分,必须立足于实现公司的战略目标。信息技术治理的最终目标是为公司战略目标服务,并通过战略联盟、价值交付、风险管理、资源管理以及绩效评测等方式及一系列内控流程,为公司战略目标实现提供符合安全标准的一系列信息资源,在达成信息技术目标的同时完成公司战略目标。
安信证券通过信息技术加强公司的内控管理。公司信息技术部下设安全组,有针对性地组织内部审核与检查工作,定期或不定期、自查与互查及抽查与全面检查相结合的形式,保障各项内控措施能够得到有效执行与落实。安信证券信息技术部与风险管理部有计划地开展信息安全自我评估工作,及时发现安全隐患,并限期整改。公司每年至少开展一次内部信息技术稽核审计工作,并按要求提供相应的审计报告。
六、联合证券建立专业技术职称体系,完善技术人员管理
联合证券针对公司技术人员众多,行政职位有限的现状,在2008年尝试建立了信息技术专业职称体系,完成了信息技术人员职级的首次评定工作,并建立了关键人员背景验证机制、信息技术定期审计制度等,同时结合公司流程再造,建立了覆盖完整信息技术业务领域的48个流程,完成了重点流程的信息技术固化,并投入使用。
联合证券对营业部电脑人员实行垂直管理。针对多数营业部只有一名电脑人员的状况,2008年公司制订并推行营业部配备兼职电脑人员的制度,以达到每个营业部配备两名电脑人员的要求,截至2008年12月底,公司37家营业部共有专职电脑人员43人,兼职电脑人员27人,基本完成了人员配备。
七、第一创业证券建立信息技术风险控制体系
第一创业证券针对公司信息技术风险控制薄弱的问题,在公司层面,形成了以信息技术委员会为主导的,由法律合规部、稽核部、总裁办共同参与的信息技术风险控制体系。
信息技术委员会负责确保信息技术工作符合公司经营管理的目标要求;法律合规部负责确保信息技术工作的合规合法性,确保信息系统的功能合规合法,确保信息技术管理制度的合规合法性;稽核部负责检查信息技术工作是否按照有关规章制度和法律法规执行,负责检查信息技术中心的风险控制工作,负责对信息技术工作进行审计;总裁办与稽核部、信息技术中心共同组建采购小组,负责信息系统的采购工作,控制采购过程风险。部门之间各司其职、相互配合,共同建立信息技术风险防范体系。
八、世纪证券实施信息技术治理第三方审计
世纪证券2008年开展了信息技术治理独立第三方审计工作。公司专门聘请中国惠普有限公司,采用人员访谈、文档检查、现场走访、信息系统检查和问卷调查等审计手段,从人员、管理制度、办公场地和机房、网络、主机、应用系统、办公终端、运维流程及记录等方面,对总部涉及的9个部门、5家营业部实施了独立第三方信息技术治理审计。在审计过程中,惠普公司根据深圳证监局《深圳辖区证券公司信息技术治理工作指引(试行)》总计104条中适用于审计的91项条款,逐项检验公司的达标情况,结果显示,公司未达到《指引》要求的共计19条,为公司下一步完善信息技术治理明确了方向。
九、中信证券完善公司信息安全管理
中信证券在投资者信息及数据保护、公司信息系统安全、公司重要信息保密等方面做了大量的工作,形成了一套较为完善的信息安全体系。
(一)针对安全评估情况,建立安全体系
中信证券在2007年信息系统安全评估的基础上,结合外部审计和内部审计中发现的问题,完成了信息系统等级保护试点工作,建立了信息系统安全体系,并聘请外部机构定期评估信息安全弱点。
(二)落实安全准则与安全机制
中信证券已初步建立起了信息安全行为准则和信息安全机制:保护信息技术设备终端安全,保护核心信息资产安全,保护公司内部资料安全;加强网络设备管理和网络准入控制,对网络异常行为进行监控。中信证券对公司整体网络安全进行规划,对公司员工计算机实行桌面管理系统和准入管理,在人员离职或岗位发生变化时,移除相关系统的访问权限或根据变动情况进行权限调整。
(三)引入信息安全管理系统,加强流程控制
中信证券现已逐步上线桌面管理和准入管理系统,结合这一系统,公司信息技术中心制定了总部和营业部员工入职、转岗和离职的信息技术内部处理流程。当正式员工发生入职、转岗或离职时,岗位发生了变动,随之桌面管理系统中的注册信息以及在相关交易系统中的权限也会发生变动。具体方式为:在员工发生岗位变动或离职手续时,信息技术中心经办人启动信息技术内部流程,向相关系统负责人发出提醒邮件,相关系统负责人在收到该邮件后立即移除岗位变动或离职员工的相应账户和权限。
十、英大证券通过信息技术推进基础性制度建设工作
英大证券借助信息技术手段,推进客户交易结算资金第三方存管和账户规范清理工作。为达到提前举手的目标,英大证券专门成立了包括信息技术部门在内的工作小组开展此项工作。在账户清理规范工作初期,公司技术人员通过从柜台、数据仓库系统比对数据,形成清理规范的底稿数据;账户清理规范过程中,每日清算之后加班完成对数据的筛选,形成次日的账户清理规范检查数据,供公司与营业部核查;账户清理规范后期,每日生成报送登记公司的不合格证券账户。
信息技术在公司的账户规范清理专项工作中充分体现了重要价值,信息技术部被公司评为账户规范工作先进集体。
十一、众成证券加强系统整合,实现集中交易
众成证券2008年全面推进、稳步实施柜台系统集中交易工作。公司根据《深圳辖区证券公司信息技术治理工作指引(试行)》等各项要求,从技术、组织、操作流程等方面,全面规范公司的信息技术管理工作。
为确保顺利实施,众成证券制定了集中交易的详细预案,反复进行测试。在每家营业部上线时,公司进行“回退”演练,同时按照《指引》对人员进行合理调配,做到执行有备岗、有复核,全部营业部均顺利实现集中交易。 |
.gif)
