因今年6月发生的交易系统宕机事件,“券商一哥”中信证券又收警示。日前,深交所发布了对中信证券的警示函,决定对中信证券及相关负责人采取书面警示的自律监管措施。此前,中信证券还因此收到了来自上交所的警示函以及深圳证监局的处罚。
除中信证券外,今年以来广发证券等多家券商均发生了交易平台异常。业内人士表示,资本市场新业务正不断涌现,在此背景下,券商机构更需要健全信息安全管理体系,优化交易系统,拓展测试覆盖,落实应急处理机制,不断提升数字化管理能力和水平。
监管接连警示
在警示函中,深交所指出,2023年6月19日,中信证券集中交易系统出现异常,导致部分客户交易受到影响。经查,中信证券存在机房基础设施建设安全性不足,信息系统设备可靠性管理疏漏等问题。因此,深交所对中信证券及相关负责人采取书面警示的自律监管措施。
此前,中信证券还因此次事件被上交所警示及受到深圳证监局处罚。
上交所认为,中信证券本次事件系统服务能力异常时间为10点7分至10点26分,达到《证券期货业网络安全事件报告与调查处理办法》规定的较大事件标准。反映出中信证券在交易及相关系统管理方面存在信息系统设备可靠性管理疏漏、安全运行管理制度执行不到位等问题。鉴于上述违规事实和情节,上交所决定对中信证券和首席信息官兼信息技术中心行政负责人方兴采取书面警示的监管措施。
而深圳证监局则分别对中信证券和三位相关负责人出具了警示函。深圳证监局表示,方兴作为中信证券首席信息官兼信息技术中心行政负责人,全面负责该公司信息技术工作,侯敏作为信息技术中心分管运维负责人,何涛作为信息技术中心机房与网络负责人,对相关问题负有责任。依据有关规定,决定对他们采取出具警示函的行政监管措施。
“近期对于券商机构系统安全方面的监管举措,说明监管部门高度关注交易规范和市场正常运营。不同监管部门的多份‘罚单’是根据各自监管权责来表明问题的严重程度,这有助于切实督促警诫相关券商,促进行业规范发展,增强投资者对于监管和市场主体机构的信心。”广西大学副校长、南开大学金融发展研究院院长田利辉告诉《经济参考报》记者。
浙江大学国际联合商学院数字经济与金融创新研究中心联席主任、研究员盘和林对《经济参考报》记者表示,上述“穿透”券商机构内部信息化安全体系的监管举措,一方面可以督促券商及时更新网络安全相关软硬件,有助于提升券商行业网络安全管理水平,另一方面有助于防范化解行业风险,防患于未然。
券商交易平台“宕机”频现
实际上,今年以来已有多家券商交易平台出现异常,并因此受到监管处罚。6月26日,广发证券旗下综合金融服务平台App“广发易淘金”出现“宕机”。3月下旬,东方财富App也曾多次出现无法登陆、无法交易等故障。此外,2022年还有招商证券、华西证券、国元证券、首创证券、国信证券等均出现交易平台故障。
盘和林称,交易系统本身是高频次使用的系统,又涉及金钱交易,其稳定性至关重要。今年以来,券商交易系统故障多次发生,一方面是部分券商在系统运行稳定性上投入不足,另一方面是当前交易量放大,券商交易系统承载力不够。
而在田利辉看来,券商交易系统故障事件频发,表层原因是技术故障和网络问题,背后原因是交易系统历史技术债务沉重、交易业务复杂度不断增大,造成IT架构日益复杂,而深层次原因则是券商数字化建设不达标和管理不到位。“不少券商交易系统为10多年前研发的产品,架构耦合度不足,系统隐患较多。”他表示。
数字化管理水平亟待提升
针对券商机构信息安全建设,2023年6月9日,中证协印发《证券公司网络和信息安全三年提升计划(2023-2025)》(简称《安全提升计划》),阐明未来三年全面提升证券公司网络和信息安全的指导思想、基本原则、总体目标、主要任务及实施路径。
《安全提升计划》提出,有条件的券商2023年至2025年三个年度的信息科技平均投入金额不少于2023年至2025年平均净利润的10%或平均营业收入的7%,信息科技专业人员不低于企业员工总数的7%,其中信息安全专业人员比例不低于信息科技专业人员总数的3%并且不少于2人。
从2022年年报披露数据来看,部分券商机构信息技术投入已达到了《安全提升计划》的要求,例如,华泰证券年报显示,按照母公司口径,2022年公司信息技术投入总额为27.24亿元,约占归母净利润122.10亿元(同为母公司口径)的22%。国泰君安2022年信息技术投入为17.99亿元,约占同期归母净利润115.07亿元的16%。广发证券2022年信息技术投入为12.27亿元,约占同期归母净利润45.38亿元的27%。
不过,也有券商机构距离《安全提升计划》的要求尚有差距,如中信证券2022年年报并未披露信息投入总额,但显示公司信息技术人员1572名,占员工总量的6%。
“随着资本市场新业务的涌现,券商机构需要提升数字化管理水平,健全信息安全管理体系,不断优化交易系统,拓展测试覆盖,落实应急处理机制,提升数字化管理能力和水平。”田利辉表示,券商董事会和高管也应该高度重视网络和信息安全建设,及时引进和培养网络和信息安全人才,建立健全包括信息安全策略、管理制度、应急预案等在内的信息安全管理体系,同时借助和推动行业协会发挥规范引导和技术传播作用。