基金管理公司信息技术监管规则全梳理(二)

文摘   2024-11-07 07:06   上海  

在第一篇中,我们全面梳理了基金管理公司信息技术(以下简称IT)法规体系、信息技术治理、信息技术服务机构的合规要求(详情请见往期文章《基金管理公司信息技术监管规则全梳理(一)》)。本篇,我们将进一步探讨梳理IT合规的其他重要方面,包括系统安全、数据治理(系统权限)、应急管理、IT审计等内容。

一、系统安全




(一)系统的测试

《证券基金经营机构信息技术管理办法》(以下简称《IT管理办法》)规定证券基金经营机构应当建立独立于生产环境的专用开发测试环境,避免风险传导;在生产环境开展重要信息系统技术或业务测试的,应对测试流程及结果进行审查。

在基金管理公司重要信息系统上线、变更前,测试环节至关重要。由于一些测试很难在常规测试环境中进行,例如涉及与交易所连接的报盘接口等,必须借用到生产环境的资源,因此一旦发生利用生产环境相关要素的情形,在测试结果完成之后必须进行审查。

2020年,某基金管理公司投资交易系统的系统管理员未按照规定关闭投资交易系统测试环境与交易所交易系统的连接,导致公司在后续进行的异常交易监控测试时,将测试环境的异常数据直接下单交易成交,造成公司管理的公募基金出现拉抬股价的异常交易情形。深圳证监局就该事件对时任系统管理员的公司IT部门副总监采取了公开谴责的行政监管措施。

(二)安全监测

《IT管理办法》规定证券基金经营机构应当建立健全信息系统安全监测机制,设定监测指标并持续监测重要信息系统的运行状况;应当指定专人跟踪监测发现的异常情形,及时处置并定期开展评估分析。对于信息系统开发、测试、上线、变更及运维过程中产生的文档,应当妥善保存,建立与监测工作相适应的日志留痕机制,确保满足应急处置和审计需要。

《证券期货业网络和信息安全管理办法》(以下简称《网信管理办法》)在此基础上提升了安全监测的要求,明确了文档保存期限。该法规规定相关机构应当建立健全网络和信息安全监测预警机制,对监测机制执行效果进行定期评估并持续优化;同时,重要信息系统业务日志应当保存五年以上,系统日志应当保存六个月以上。

监测机制能够保障系统运行的稳定性和信息安全,有助于IT运维人员及时发现并跟进问题,同时进行评估分析。日志留痕机制能够回溯系统操作历史,便于追踪和分析系统问题的原因,精确记录各系统操作人员的具体行为,满足后续处置需求。

(三)压力测试

根据《网信管理办法》规定,基金管理公司作为经营机构,应每年至少开展一次重要信息系统压力测试;同时,应根据市场情况等实际需求开展不定期的压力测试。测试完成后,应编制压力测试报告存档备查,并保存五年以上。

重要信息系统压力测试应与日常系统安全监测相结合,以确保在极端情况下系统仍能稳定运行,满足业务需要。基金管理公司的重要信息系统主要包括内部的投资交易系统、估值系统、注册登记系统等,直接对外服务的主要是销售系统,相较于证券公司,基金管理公司的系统增量压力相对平缓可控。券商因市场成交活跃,报单量暴增,系统无法承载导致宕机故障而受到监管处罚的事件屡见不鲜,基金管理公司也应予以重视。

二、数据治理(系统权限)




基金管理公司数据治理工作是一项系统性、长期性的工程,本节旨在聚焦于基金管理公司系统权限的监管要求,探讨权限分配的原则与实践。

(一)基本原则

《IT管理办法》规定证券基金经营机构应当遵循最少功能以及最小权限等原则分配信息系统管理、操作和访问权限。同时,《基金管理公司风险管理指引(试行)》也规定了信息技术风险管理主要措施包括以权限最小化和集中化为原则,严格公司投研、交易、客户等各类核心数据的管理,防止数据泄露。概而言之,员工只应被授予完成其工作职责所必需的最低权限。

深圳证监局2021年第5期证券期货机构监管通讯中警示了“证券期货经营机构信息技术管理不善风险”,其中风险隐患之一是权限管理需加强,部分公司的外包合同中包含授予外包人员系统最高权限的条款,个别公司系统管理员拥有操作业务权限。上海证监局2019年第1期机构监管情况通报中提出在现场检查中发现的典型问题,就包括投资交易系统权限设置不符合权限最小化原则,例如个别临时账号未及时注销,个别账号用于参与上市公司投票,但拥有下达指令权限,专户部门研究员对公募基金个别产品有操作权限等。

(二)权限管理

《IT管理办法》规定权限分配应当履行审批程序,合规管理和风险管理部门应当对权限管理制度和操作流程进行合规审查及风险控制。

1、权限授权

以投资业务为例,当基金经理因故无法履行职责时,应当安排符合基金经理任职条件的人员实际代为履行基金经理职责,该事项涉及临时授权审批。

在上海证监局2019年第1期机构监管情况通报中,披露的违规案例就涉及了授权流程不规范,部分资管产品的临时授权未按照内部机制要求提前进行流程审批,也未在投资管理系统中提前设置授权权限,且由被授权人直接在授权人电脑登陆授权人账号进行操作。上海证监局2017年第1 期机构监管情况通报也列举了多项投资授权方面的违法违规情形,例如公募基金经理临时授权交易主管或交易员、信息技术部人员等不适格人员代为下单履职;权益类基金产品的固收投资部分长期授权非本基金的基金经理进行操作且无信息披露等。

2、权限变更

当基金管理公司聘请新员工或员工因调岗等安排导致工作职责变动的,应及时提交权限变更申请。该申请需根据公司制度要求,经过相应部门负责人和合规部门的层级审批等,确保所申请的系统权限与员工的新职责相匹配。审批通过后,由IT部门人员负责更新权限。当员工离职时,其权限应当及时注销。此外,所有的权限变更记录都应留痕以便后续审计需要。

(三)权限检查与核对

授权过度或授权流程不规范等权限分配不当问题,极易引发内幕交易、操纵市场等违法行为,不仅损害了基金份额持有人的利益,也扰乱了市场秩序。为了授权不当的情形,《IT管理办法》要求证券基金经营机构应当建立对信息系统权限的定期检查与核对机制,确保用户权限与其工作职责相匹配。

对于基金管理公司而言,系统权限分配和管理是动态且持续的关键任务,系统权限的正确分配与管理对于防范内部风险、保障信息安全至关重要。

三、应急管理




一)应急管理职责

随着基金管理公司对信息技术的依赖程度越来越高,IT风险与业务风险相互交叉,应急管理工作是应对公司IT风险、保证业务连续性的重中之重。公司IT管理部门是IT应急管理的牵头组织部门,负责开展应急预案的制定、演练、评估与改进工作,同时也负责信息系统的应急响应与恢复。各业务部门负责分析其业务条线的IT突发事件相关风险,确定重要业务的恢复目标和恢复策略。风险管理部门负责评估业务条线恢复目标和恢复策略的合理性。各个使用系统的部门都应当主动参与IT应急管理的相关工作。

(二)应急预案的制定与演练

根据《IT管理办法》规定,应急预案应当包括应急管理建设目标、备份信息系统建设和恢复机制、备份数据恢复机制、业务恢复或替代措施、应急联系方式、与客户沟通方式、向监管部门及有关单位的报告路径、应急预案披露与更新机制等内容。简而言之,应急预案是针对所有潜在IT故障的操作手册,应当根据系统变更、业务变化等情况持续更新。《网信管理办法》进一步将应急预案细化至网络安全方面。

应急预案制定完成后,开展演练是验证预案有效性和可操作性的重要步骤。对于基金管理公司而言,监管要求每年至少进行一次应急演练,且两年内合计的应急演练应当覆盖全部重要信息系统。应急演练应当形成报告并妥善保存,保存期限不得少于五年。《网信管理办法》则侧重于根据网络安全应急预案进行应急演练,基金管理公司作为经营机构无需按规定将演练情况报告中国证监会,但应形成应急演练报告存档备查。

(三)备份设施

基金管理公司为了保障业务活动连续,需确保所有系统的备份系统与生产系统具备同等的处理能力,同时保证备份数据与原始数据的一致性。对于系统备份,重要信息系统应当建立故障备份设施和灾难备份设施,其中灾难备份设施应当通过同城或异地灾难备份中心的形式体现;对于数据备份,应当建立本地、同城和异地多重备份,重要信息系统应当每天备份一次,并且每季度至少对数据备份进行一次有效性验证。

2023年12月,某期货公司因信息技术管理不到位,未对相关重要信息系统建立同城或者异地灾难备份中心等其他违规行为受到吉林监管局责令改正的监管措施。实践中,公司应当建立重要信息系统异地应用级灾备中心,以满足《IT管理办法》中监管对于重要信息系统应对灾难及重大灾难能力的等级要求。

四、IT审计




(一)内部审计

2008年《证券期货经营机构信息技术治理工作指引(试行)》(以下简称《IT治理工作指引》)施行,规定公司应建立内部IT审计制度,至少每两年进行一次IT审计。此时IT审计仍处于发展的初级阶段,监管尚未强制要求进行专项审计,因此IT审计通常作为公司整体业务审计的一部分,内嵌于其他审计活动中。随着《IT管理办法》的颁布和生效,IT审计要求得到提升,规定公司应当定期开展信息技术管理工作专项审计,频率不低于每年一次,确保三年内完成信息技术管理全部事项的审计工作,审计内容至少应涵盖IT治理、IT合规与风险管理、IT安全管理、应急管理。

(二)外部审计

在IT审计的早期阶段,《IT治理工作指引》鼓励公司聘请外部有资质的机构对公司进行IT审计和IT风险评估,但未强制要求进行外部审计。随着审计要求的逐步提升,《IT管理办法》对外部审计进行了正式规定,要求公司应当委托外部专业机构开展信息技术管理工作的全面审计,频率不低于每三年一次。若公司因信息技术管理不善而被采取行政处罚措施、监管措施或者自律管理措施的,应当在三个月内完成对有关事项的专项审计。

(三)IT专项报告

基金管理公司应当根据《IT管理办法》要求编制年度信息技术管理专项报告,并与公司年度报告同时报送中国证监会。此外,公司还应当根据《网信管理办法》要求编制网络和信息安全管理年报,在每年4月30日前报送中国证监会,也可与信息技术管理专项报告合并报送。



结 语


通过全面梳理信息技术监管规则并分享实践案例,本篇强调了IT合规在防范IT风险、保障基金管理公司业务连续性、维护信息安全中的重要作用。随着信息技术的不断发展和监管要求的日益严格,基金管理公司需持续关注规则的演变,加强内部控制和风险管理,持续优化IT合规体系,有效应对各类挑战,从而保障投资者的利益和维持市场秩序的稳定。





往期回顾

基金管理公司信息技术监管规则全梳理(一)

基金管理公司投资业务合规要点梳理

《网上基金销售信息系统技术指引》解读

源泰简报│证券期货业网络信息安全合规义务的关注要点——《证券期货业网络和信息安全管理办法》简评

源泰律师|《证券基金经营机构信息技术管理办法》解读





源泰律师
上海源泰律师事务所坚持在基金领域精耕细作,在此为您提供基金的法律法规即时资讯与知识共享。
 最新文章