发布背景

发布背景中的关键词：投入不足、架构落后和管理能力欠缺。

也就是说要：投钱、重构、管理提升。

投钱容易，监管方给了说法，投钱就有了一个理由。能用钱解决的都不是问题。

重构也不是新鲜事，一些头部券商已经做出了表率，其它券商可以根据自己的情况开展重构工作。只有甲方想不到的重构，没有厂商做不了的重构。能用技术解决的都不是问题。

最难的是管理提升。这是涉及到文化、组织和人。提升起来需要时间，需要窗口，甚至需要一些伤痛

“科技治理能力主要包括完善科技战略发展规划，健全科技治理架构，推动信息科技管理体系建设，增强合规风控内部审查，完善供应商管理机制等五方面具体要求。”

科技治理能力的要求对于券商来说，最大的挑战是管理体系建设。券商和银行不同地方是，银行从2004年开始就按照ITIL标准框架搭建自己的运维体系，近20年的建设已经做到“由规范到习惯，由习惯到自然”。券商在管理体系建设方面要弱于银行。所以，往往是反过来“由习惯成自然，自然尚未形成规范”。

几十年的习惯要扭转难度很大，而且也没必要冒风险去刻意扭转。有时候顺其自然是最佳选择。所以，对管理体系建设需要一个“破”的时机出现。可能是外部的，也可能是内容的。看哪一个先到。

我把合规单独拿出来讲，主要是看到近些年合规的要求逐步在提升、加强，但券商在应对合规方面还有很大的提升空间。2021年我们在某基金做了合规平台化管理，同期在某证券梳理了1000多个合规控制点。另外还在和几家券商沟通合规管理需求。

此次三年提升计划将“增强合规封控内部审查”作为重点提出，这和我们对合规管理的判断相吻合。合规管理很重要，但券商还没有在内部建立起必要和高效的合规管理手段。

“科技投入机制主要包括加大科技资金投入，加强科技人才队伍建设。”；“鼓励有条件的公司2023-2025三个年度信息科技平均投入金额不少于上述三个年度平均净利润的8%或平均营业收入的6%。”

加强科技人才队伍建设的要求不应只关注在技术人才的建设，也要关注管理软技能培养。管理和技术两手都要抓，两手都要硬。

科技资金投入在哪里？投在技术建设上，有成效，容易看到结果。投在培训和管理上，不是即时见效，有周期，这个就看券商如何来看待这个事情。勉强不了，全凭认知。

“系统研发测试管理能力主要包括建立及完善需求设计及分析机制，提升代码开发效率及安全，制定并落实信息系统代码审计规范，加强信息系统测试质量管控，提升第三方合作业务风险管控能力.”

研发测试管理能力提升的背后是对质量的追求。金融机构对质量的要求大于效率。虽然有时候用“质效”感觉很酷，但现实的监管让效率打了不少折扣。

CMMI和TMMi是过程管控体系，它们构建起组织级的质量保障能力。测试敏捷化成熟度是对组织级测试敏捷化的实践评价。从实践来看，缺少组织级质量保障的敏捷更多依靠自己团队的力量来完成敏捷转型。

没有组织级质量保障，靠自己是没办法。有组织级保障，靠组织才更有效率。可能有人不赞同，限于篇幅，不在这里多讨论。这个是谁建设谁知道。

“系统运行保障能力主要包括加强信息系统上下线管理，管控信息系统变更风险，提升信息系统故障发现能力，提高事件预警及处置效率，健全组织级应急响应管理机制，做好信息系统容量与性能管理，完善重要信息系统备份能力。”

运行保障这四个字表明我们首要目标是做好保障。如何做好保障，三年提升计划提到了几个方面。有一个问题需要思考：是不是把关注点放在这几个方面就可以了？

做好这几个方面是不是就做到了管理提升？如果只盯着这几个方面做改进优化提升，那么依然是局部优化。管理提升要解决的是整体管理能力的提升，而非局部的改进。

 运行保障能力是管理保障+技术保障的建设。

“网络和信息安全防护体系主要包括深化漏洞全生命周期管控，提升安全攻击防控能力，加强网络安全态势感知和通报预警，加强数据安全管理体系建设，持续加强安全意识培训，做好安全全局性建设。”

网络和信息安全防护加强技术手段的同时可以考虑DSMM。DSMM是Data Security capability MaturityModel的缩写，中文名为数据安全能力成熟度模型。是以2020-03-01 实施的GB/T 37988-2019 《信息安全技术数据安全能力成熟度模型》为依据的数据安全保护体系。

管理和技术依然是两手抓，全方面，无死角地整体加强。