证券IT投资风向渐明

在中国3G商用已经来临、“中国塞班斯法” 《企业内部控制基本规范》即将实施时，证券行业的IT投资将出现哪些新动向？证券行业将面临着怎样的机遇与挑战？针对这些问题， 本报总编辑孙定与申银万国证券公司电脑网络中心总经理郭怡峰展开了深入交流。

今年，申银万国会在无线互联网上有较大的投入。对技术部门而言，要积极抓住客户向手机终端转移的机会，开掘出更加“随身随地、贴身贴心”的服务。

孙定: 现在业内普遍都很看好第三代移动通信，各个电信公司也提倡各种商业的应用，作为这个行业最为资深的CIO之一，您认为证券行业会不会因此出现一些新的变化？

郭怡峰: 证券行业的交易系统已经很成熟了，管理系统也在慢慢地成熟，服务系统还处在大规模的投入阶段。但是，即便是已经成熟了的交易系统，也并不意味着没有进步的余地了。所以您刚才提到的移动服务，譬如手机炒股，我们都很重视。

现在的移动交易跟早期的网上交易很相似，如果参与得晚，早就“没戏”了。早在1998年，我们公司就开始探索在网上交易，我们跟电信合作了“证券之星”。当时互联网很不成熟，都是拨号上网，没有浏览器，用的还是专业终端。所以我们应该提前思考移动终端的下一步该怎么做。

目前，证券公司给客户提供的服务80%是通过电子渠道，20%是通过传统的渠道。在这80%的电子渠道里面，通过PC这个平台的占了80%，通过电话、手机等其他方式的又占了20%。我认为这个情况两三年之内就会有变化，手机这个平台肯定会成为第一终端，这是业界的共识。今年，我们公司会在无线互联网上有较大的投入，会花大力气推广在手机上的服务。

孙定: 那么主要终端的改变会不会使行业在业务模式、管理流程上出现新的调整呢？

郭怡峰: 手机如果仅仅定位于炒股，对我们来说不会有太大的变化，原来是用PC看行情、下单，现在改用手机了，技术差别其实不大，只要把手机炒股的软件做得好一点，再跟3G网络配合好就行了。

但是，如果把手机作为一个客户终端的话，客户就不仅要利用它炒股、下单，还要获得很多的增值服务。这就不能再简单地拷贝PC终端的服务模式，必须从用户的体验角度思考手机终端的特殊性。

我们的业务目前有两个拓展方向，一个是深挖客户服务，要把现有的客户服务做得更好; 再一个就是如何把客户从PC这个渠道迁移到手机渠道上来。

这时候，用户体验就很重要了，苹果靠一款iPhone就能够杀到全球手机销量前列，因为它的用户体验是独特的，我们所提供的服务也应该遵循这个思路。比如说大家现在用的手机炒股软件，都还在触摸屏上点击。这么小的手机上这样输入肯定非常麻烦，怎么办？手机是可以语音识别的呀？为什么不用呢？每个人的讲话声音都是有特征的，如果用语音设置密码，这个体验就会马上得到改善。

信息安全永无止境

申银万国对“信息安全”这一问题一直很关注，认为安全是无止境的。

孙定: 我们知道证券行业高度依赖信息技术，大家都认为，申银万国 在IT理念上上、尤其是在信息安全上有很多经验值得与业界分享。您能否给我们介绍一下呢？

郭怡峰: 我们确实有很多理念走在行业前列。我们的信息基础设施在行业里面很有特色，除了应用软件独立开发以外，网络层、存储、硬件、系统软件都是按照一个多层的模型来进行总体规划的，把各个应用系统嵌在一个总的模型里面。

信息系统建设就像在城市里铺管道，我们不能老是重复挖管道。挖管道的人非常辛苦，要下井作业，夏天太阳暴晒，冬天冰天雪地。可就是这么辛苦，老百姓却不一定说你好，反过来你还得道歉: “对不起，我在这里面施工，给你添麻烦了。”我们信息系统也是一样的，如果反复处在建设状态中，在如此激烈竞争的市场环境中，机会可能就没有了。

我们很早就开始做信息安全了。1997年开始做安全流程时，我们称之为“安全26条”，现在已经形成了一本厚厚的黄皮书 。

我们公司还建立了信息安全领导小组，与信息化建设领导小组平级，两个小组的组长都由公司总裁直接担任，此外还设立了首席安全官（Chief Security Officer），现在的这位CSO是海外招聘的。这个岗位很早就有，前任离职之后，我们坚持宁缺毋滥，这个职位空了一段时间，终于通过海外招聘，物色到这样一个人才。

申银万国的信息安全都是一点一点做，几年如一日，几十年如一日坚持下来。但是我从来不敢说我们的信息安全已经做到最好了，因为安全是无止境的，就像家里面打扫卫生，你可以做到干净、洁净，但细菌、灰尘肯定还是有，它是没有底的。

孙定: 几年前，中办曾推出过信息安全等级保护制度，证券行业信息安全也被列为国家重要信息系统之一，但是这几年好像这方面的声音逐渐弱了下去，给人的感觉好像是安全问题不那么迫切了，您对此怎么看？

郭怡峰: 安全始终是基础，我们公司上下对此还是有共识的，只是没有再大张旗鼓地宣传。我认为表面上不提，并不意味着大家不重视。情况可能恰恰相反，证明已经过了宣传期，过了洗脑的阶段。以前大家不重视的时候，确实需要宣传，现在重视了，就该一件一件去落实。落实的工作很辛苦，却可能没有声音。

申银万国对安全的重视力度实际上是越来越大。任何一个细节，首先要考虑的，就是安全。在安全的前提下，再去创新。业务不断有新的需求，软件上线尽管经常需要修改，但我们一直坚守两道关，第一道关是需求合规不合规，第二道是会不会导致风险增加，特别是技术风险。

可以说，信息安全都已经深入到每一项具体工作流程当中去了。我们所有的系统都是要划分安全等级的，新的系统要上线，先要给它划定安全等级。不同的安全等级有不同的技术配置以及架构上的要求。

孙定: 您刚才所说的安全等级是行业标准还是国家标准呢？

郭怡峰: 证券行业现在还没有统一的信息安全等级标准，但是国家的标准与行业标准其实在安全上大同小异。在我们看来，安全绝不仅仅是为了应付政府的检查。其实最后还是要落到我们的业务上去，如果我们的系统三天两头出问题，客户就会觉得资产在我这儿 不安全，肯定全跑了。

所以安全归根到底是每个公司自己的事情，作为一家有社会责任心的公司，还要明白，如果自己公司出现了安全问题，不光是自己公司的利益受损、股东的利益受损，也同时危害了国家的金融安全， 这里还有一个责任承担的问题。

IT治理决定优势

随着证券市场的发展，信息技术在行业中所发挥的作用越来越重要。IT治理状况已经成为判断一家公司公司治理境况好坏的重要标准之一。

孙定: 我们也知道，正是信息化安全形势的变化，在推动整个国家对企业IT治理的重视。那么，证券行业的IT治理规划在技术方面有哪些特点呢？

郭怡峰: 其实没什么特别的地方。如果说跟别的行业说有区别，证券行业IT治理无非也就是依赖程度高、实效性强。但在使用技术上，确实跟其他行业的IT应用没啥区别。现在所用的都是比较成熟、主流的技术，没什么高新尖的东西。当然可能目前国产的技术还不够，有一些必须要用国外的技术，但这些国外的技术也不算非常先进，都是成熟、商用的东西，够用就可以了。最主要的是要有一个很好的IT治理的结构，然后一点点去完善，不是很难。

证券业采用的技术模式成本比较低，跟银行比，同样的处理能力，我们花的钱肯定要低得多，对我们来说够用就行。因为证券行业发展很快，我们的软件生命期是比较短的。很多软件可能还没到生命周期结束，从业务发展角度就已经不适用的。其他行业软件生命周期一般是10年，而我们这个行业，一套软件三五年基本就该换了。

另外，IT治理一定要有前瞻性，不能总处于一种救火的状态。我有个观点: 公司治理良好的公司，不一定是IT治理良好的公司; 但一个IT治理良好的公司，公司治理则一定良好。

孙定: 作为证券IT专家，您如何看待近两年整个证券行业信息化建设与证券市场发展的关系呢？它呈现出怎样的特征？

郭怡峰: 证券信息技术系统伴随证券市场发展至今，其功能与性能日益齐全和强大，体系日臻完善。特别是2007年和2008年，证券公司和基金公司加大了对信息技术的投入，普遍进行了技术改造和技术升级。信息技术系统为资本市场的快速发展提供了基本保障和有力支持。其特征主要表现在以下几个方面:

信息技术系统已成为行业最重要的基础设施，是各公司核心竞争力的重要组成部分，信息化建设和信息安全也日益受到重视。经过多年的努力，证券公司和基金公司均已建成了全电子化的交易系统，覆盖了投资者开户、订单报送、行情揭示、清算交收、银证转账、资金存管、客户服务等全部交易环节; 同时，信息技术系统也为证券发行与销售、投资研究与分析、市场监察、风险控制、合规稽核等业务、管理和监管等各个方面的业务和工作提供有力的支持。

信息技术风险控制和处置从被动应对走向主动防范，信息系统的功能和性能显著增强，信息安全水平明显提高。高度自动化的信息技术系统风险无处不在。行业信息技术系统曾经历了2000年“千年虫”、2006和2007年开户量和交易量急剧上升事件，2008年又经历了南方冰雪灾害、四川汶川大地震和奥运维稳等重大事件的考验。在度过一次次难关的过程中，也锻炼了证券行业的IT队伍，增强了公司的风险意识，使得行业信息技术风险控制和处置从被动应付走向主动防范，很多公司不仅主动建设了灾备和备份系统，还定期不定期地对信息技术系统进行了安全检查、评估，查漏补缺，普遍制定了相关的应急预案，做到未雨绸缪，防患于未然，力争对风险隐患做到早发现、早处置。

采访手记

守得云开见月明

“郭怡峰是证券业资深的CIO，采访前要多做功课！”临去上海之前，编辑部领导还不忘对我再三叮嘱: 一定要抓住机会，多多学习，这个采访对象可不好约。

早就知道这个创造过证券业数个第一的CIO: 第一个柜台交易系统、第一个财务电算化系统、第一个公司内联网络、第一个技术监控系统。甚至有媒体称他是“中国证券信息化建设的一块活化石，一个值得仔细研读的浓缩版本。”也不止一次听到记者同行抱怨: “采访又被这个牛人给拒了！”

我们的采访在郭怡峰的办公室进行，里面陈设极其简单，其中印象最深刻的是一大堆证券类的书籍、刊物，还有他使用的那台半旧笔记本电脑。那一刻，我突然有种“守得云开见月明”的感觉。

郭怡峰和申银万国的IT团队之所以能够得到证券业和IT业界的双重认同，正是因为他们通过十几年的努力，使技术从“应业务要求存在”最终变成了一种推动业务创新的力量。这正是每一个CIO及一个行业IT团队的生存和发展之道。（文/许磊）