文/湘财证券股份有限公司总裁助理兼信息技术中心总经理 邓纲
湘财证券股份有限公司信息技术中心 杨志洪 杨文琦
证通股份有限公司副总裁 黎峰
证通股份有限公司云网服务事业部副总经理 王晴
项目背景概述
1. 信息技术合规风险管控现状与痛点
随着公司数字化转型的推进及外部监管的全方位升级,监管检查和内部审计颗粒度越来越细、要求越来越严格,信息技术合规管控对象、方式、工具也随之同步发展,面对实时、海量、多元的信息技术管理过程数据,要充分识别技术管理与合规管理中的风险,就需要快速、高效地处理各类信息,集中进行多维分析,整合运用公司数据,嵌入整改闭环流程,扭转以“人工+文档”为主的传统IT合规风险管理方式下乏力和被动的局面。
首先,信息技术管理对象数据整合效率有待提升,数据分析能力需加强。传统管理方式主要依赖人工检查和文档记录,缺乏自动化数据收集与处理能力,尤其是当信息流转在纸质与非结构化文档中,信息检索、共享和交叉验证难度较大,整体管理效率受到严重制约。此外,合规风险的形成通常涉及复杂的因素交互,单一维度的数据分析难以揭示风险关联性,导致一些潜在风险未能得到有效识别,进而影响了对合规风险的整体把握和精准判断。其次,IT合规风险问题整改闭环流程滞后,风险敞口逐步扩大。传统IT合规风险管理整改流程基本以人工跟踪记录为主,需要投入大量管理人员和专业技术人员的精力,还容易造成漏项和信息不对称,过往的整改流程难以进行留痕、回溯,未能形成有效闭环,容易导致同类问题反复出现,影响IT合规管理的持续改进,风险问题无法根治。最后,以应付IT审计为导向的工作模式难以实现数据、知识的共享与传递。信息技术合规风险管控是一项系统化工程,涉及内外部法规制度条款数量多、知识面广,其复杂程度和专业程度不言而喻,不同的人在政策理解和执行上存在偏差进而影响整体合规管理水平。
2. 解决思路及具体建设目标
为解决上述问题,在全面梳理行业IT法律法规知识体系的基础上,利用自然语言处理(NLP)、数据模型、知识图谱及大模型技术,与金融科技服务机构合作共建一套数智化的信息技术合规风险管控系统,以提高信息技术合规审计管理的效率,降低合规风险,实现了IT风险管理三道防线的常态化与全面化构建。
一是助力信创化改造工作,实现自主可控。为响应国家信息技术应用创新战略,系统将采用信创软硬件,与自主可控芯片、操作系统、数据库和中间件进行适配改造,确保平台安全性和自主可控,为行业提供经验借鉴与参考。
二是以支撑公司数字化转型为契机,构建智能化IT合规管理体系。满足公司数字化转型的内在需求,结合湘财证券信息技术规划,建设一个以自动化、智能化、一体化的IT合规风险管控系统,减轻公司在信息技术合规检查审计和测评等填报任务的负担,提升机构IT内审与合规稽核的效率,以支持其高质量发展。
三是以技术创新为试点,促进行业机构与金融科技服务机构的深度整合。湘财证券联合证通股份共同建设,通过整合NLP、数据模型、知识图谱及大语言模型等先进技术,创新性地开发法规标签化、内外规智能对比、审计底稿智能生成等服务,为行业信息技术合规风险管控的智能化转型提供强有力的技术支撑,并推动信息技术合规风险管控领域创新实践。
信息技术合规管控智能应用构建
1. 系统架构设计
信息技术合规风险管控系统致力于将公司内信息技术、合规审核、风险管理、高层管理等各部门各环节的人员协同起来,共同开展合规风险治理工作,提高治理效率与治理质量。系统包含IT合规检查、IT审计管理、IT日常管理、IT数据报送、IT资源调查、IT测评管理六大核心应用功能模块,六大支持中心,两大数据底座。应用架构(如图所示)共分为3层,分别为数据底座、核心应用、统一门户前端。
图 信息技术合规风险管控系统应用架构
为构建一个高效、安全的IT合规风险管控系统,系统采用模块化微服务架构,实现前后端分离,并通过RESTful API通信,以增强系统的可维护性和可扩展性。核心部署利用麒麟服务器集群,通过防火墙和负载均衡器保障网络连通性和安全性。系统内部采用Tengine/TongHttpServer进行流量控制和反向代理,确保高并发下的稳定性。所有应用服务、存储服务和中间件服务均通过双活、主备或集群方式部署,以实现从局部到整体的系统稳定性。
2. 关键创新与新兴技术应用
(1)技术创新多措并举,打造数字化IT合规风险管控核心能力。一是多维度法律法规知识库构建与检索。信息技术合规风险管控系统采用知识标识学习技术构建了涵盖行业信息技术主要法规的本体知识库和知识图谱,通过引入领域知识和规则,实现了法规知识的规范化、结构化和关联化建模,形成了扎实的知识基础。同时,开发了多模态智能检索功能,包括基于法规图谱的关系检索和大语言模型驱动的自然语言问答。关系检索通过标签和实体的关联关系,实现了从单一实体或条款出发的关联探索,支持深度知识发现和分析。自然语言问答则借助大语言模型技术理解语义,结合知识图谱回答复杂推理问题,为用户提供精准、深度的问答服务。
二是法律法规与机构内部制度条目级智能比对。信息技术合规风险管控系统通过语义搜索、命名实体识别和编辑距离算法等技术,实现了法律法规与机构内部规定条款级的智能化对比。这种比对能够有效地识别出内部制度与外部法规之间的冲突和缺失条款,有利于保障公司信息技术制度有效性。首先,新发外规指导内规更新与修订,当新的法律法规发布后,系统能够自动识别与现有内部制度之间的差异和冲突,指导机构对内部规定进行及时更新和修订,确保内部制度与最新法规保持一致。其次,内部制度合规性自动评估,系统能够定期或实时地评估内部制度的合规性,自动发现潜在的合规风险和不足,帮助机构及时调整和优化内部管理制度,提高合规管理水平。
三是检查审计底稿智能生成及智能填报。信息技术合规风险管控系统通过大语言模型技术实现了检查审计底稿的自动生成与智能填报,显著提高了审计工作的效率和质量。系统首先利用大语言模型从法规条款中自动抽取检查类型对应的关键要素,如主题层级、检查重点、检查项和检查步骤等,并将这些要素嵌入预定义模板,生成初步的检查底稿。用户可通过关键词或主题快速生成对应检查底稿,并通过人工辅助标注与模型训练提升生成质量。同时,系统基于语义相似度匹配原理,自动将高相关度运维数据填充到检查底稿中,结合历史数据进一步优化数据填报的准确性和效率。
四是全面数据校验与文档材料统一管理。系统通过构建全面的数据质量检测中心和统一的文档资料管理中心,实现了对IT资源数据和文档信息的高效校验与管理。数据质量检测中心基于法规条文提取的数据质量维度和要求,建立了700余条IT资源调查数据校验规则,包括单指标、表内指标、跨表指标、同指标历史,以及跨监管主体的校验规则,同时支持自定义规则插入,确保系统能适应机构需求和监管变化。文档资料管理方面,系统通过分布式文件系统和元数据服务实现了法规文本、内控制度、检查底稿、技术文档等的统一归集、分类标注、全文检索与关系引用,有助于保持数据一致性、便捷检索和关联性展示,提升用户的信息管理效率。
(2)信创生态全面适配,保障系统兼容与稳定性。随着信创进入快速发展阶段,信创产业“全面开花”,应用系统兼容多种异构技术栈趋势日益凸显,湘财证券全面拥抱信创产业生态,在多品牌、多技术栈中进行深入测试和认证,确保系统的广泛兼容性。信息技术合规风险管控系统支持鲲鹏和海光芯片,部署在麒麟操作系统上,对东方通TongWeb和宝兰德Bes等中间件应用兼容。在数据库方面,系统实现了人大金仓KingBase数据库的全面适配,支持初始化部署、升级、导出和格式转换等多场景,并同时与OceanBase、TDSQL等信创主流数据库进行兼容适配,确保多数据库技术栈的兼容,研发了数据库升级迁移脚本的格式转换工具和表结构对比验证工具,实现数据的无损迁移,保障数据一致性。
项目建设实践成果
1. 数据知识技术融合牵引,助力公司IT合规风险管控提质增效
信息技术合规风险管控系统的成功建设投产,有效支撑了公司科技条线与合规条线每年繁重的IT合规检查、审计等保测评等任务。通过系统的IT日常工作管理、IT合规检查与审计、IT基础资源调查等功能,科技条线可以将部门历史填报数据迁移复用、业务系统数据采集自动化、配置管理数据库动态联动,让数据真正在线上流通起来,替代了原传统人工填报的方式,解决了“找数忙”“用数难”等问题,有效缓解了员工工作压力,显著提升了工作效率。同时,平台还支持自动将检查任务与日常工作任务进行匹配、对基础资源数据进行智能校验与审核,减少人工干预和错误率,确保数据的准确性,大幅降低了人为因素导致的合规风险和人工成本。通过可视化工具,针对合规审计条线和部门管理岗用户,平台提供个性化可视化工具,可按需选择数据和图表显示类型和数据路径,对数据指标监测、统计分析、趋势分析一目了然,实现数据的汇总和下钻,让用户随时查看流程、操作时间、操作人等信息,使得流程的追踪变得更加容易,极大地提高了信息同步和内部管理效率。
在推动数字化转型的过程中,湘财证券不仅注重自主技术的积累和创新,也保持开放态度,通过内部研发结合外部合作的方式,既保持了技术的前瞻性和领先性,又有效控制了研发投入。基于人工智能的IT合规风险管控系统能够迅速适应政策变动,避免了因业务升级、功能改造和运维管理带来的额外成本,大幅节省了开发费用和人力资源成本,实现了科技投入的最大化回报,将“降本增效”的优势转化为公司的核心竞争力。
2. 勇当IT合规管理数字化先行者,促进监管科技发展和标准建设
湘财证券在实施数字化转型的过程中,积极响应监管要求,建立高效、精准的数据处理和报送系统,通过统一不同监管主体的数据口径、基于数据模型的多重数据校验审核机制,确保了数据的完整性、准确性、一致性、规范性、及时性和可访问性,有效支持了监管科技的发展。同时,公司作为行业内探索信息技术合规管理机制规范的先行者,积极推动行业IT合规风险管控指标专题体系构建,梳理法规知识库共计501份文件,包括国务院、证监会、各行业协会发布的法律、部门规章和规范性文件、自律规则、国家及行业标准,对网络和信息安全风险管控指标进行梳理共计172项,探索使用态势感知技术验证IT合规风险管控的有效性。2024年,湘财证券牵头制订的《证券期货业信息技术合规与风险管控业务及技术标准》行业技术标准课题,被证标委评为2024年度证券期货业标准研究优秀课题。该课题建立了证券期货经营机构信息技术合规管理的一整套机制规范,促进了行业金融科技与合规管理的良性发展。
项目总结与展望
信息技术合规风险管控系统的智能应用探索实践立足于行业实际发展需求,积极响应国家信息技术应用创新战略的重要举措,为证券期货行业IT合规风险管控领域共性问题找到了一个切实有效的综合解决方案。项目依托知识图谱、大数据和大语言模型等先进技术,以提升数据准确性、工作效率和跨部门协同为核心,致力于打造智能化的合规管理体系,以应对行业日益严格和快速变化的监管要求。
该系统不仅成为湘财证券合规管理的有力工具,而且已经逐渐成为行业技术风险防控和可持续发展的重要基石。后续将进一步结合DeepSeek等大语言模型,提升系统在金融科技风险管理、内部控制等方面的作用,为湘财证券信息技术合规管理水平提升奠定基础,同时也为行业的合规风险管理应用实践树立新的标杆。
(此文刊发于《金融电子化》2025年5月下半月刊)
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
