我國證券公司轉型的數字化風險研判及防控對策

中圖分類號：F832 文獻標識碼：A

文章編號：1003-9031（2025）05-0054-11

一、引言

證券公司的數字化轉型具體表現為將業務過程和信息轉化為數字信號和數據，對其進行深度挖掘、數字化存儲、傳輸、加工和處理，進而促進信息的高效獲取和使用。而今，隨著人工智能、區塊鏈、云技術、大數據等數字技術對證券公司產業元素、經營模式的賦能升級，數字化轉型成為證券公司搶占國內、國際金融市場份額的最優選項。然而，由于證券公司產品、業務具有特殊性，運營中因各種因素影響，行業風險隨時可能爆發。依據風險來源，證券公司風險包括經營風險（如信用風險、流動性風險、利率風險、匯率風險、業務風險）行業風險、國家風險、法律政策風險等（黃運成等，1999）。這些風險具有長期性和普遍性、復雜性和突發性、內在脆弱性和后果嚴重性等特性（宋國良等，2014）。2023年3月10日，美國硅谷銀行因資不抵債被美國聯邦存款保險公司宣布關閉并接管，這一事件為數字化轉型中的證券公司敲響了警鐘。證券公司數字化轉型的核心是數字技術在業務端、產品端的廣泛應用，但數字技術猶如一把\"雙刃劍”，在其提高證券公司資本配置效率、提升客戶體驗的同時，不僅會異化證券公司已有的傳統風險，而且必將裹挾著新生的數字化風險，如因數據問題誘發的數據安全風險、網絡安全風險等，加之傳統風險和新生數字化風險可能會累積或者交錯傳染，以及重要機構偶發系統風險，均可能觸發嚴重的金融系統性風險，威脅主權國家金融體系的穩定與安全。

有鑒于此，學者們立足證券公司風險管理現狀，從數字化視角研究證券公司如何防控潛在的業務風險（胡志堅，2021）、流動性風險（李維維，2021）、合規風險（李爽，2019）、財務風險（陳宇，2022）等，取得了一系列兼具理論創新價值和實踐應用價值的研究成果。然而，學者們卻忽略了證券公司轉型中的數據安全風險、網絡安全風險等新生風險及其管控問題。這些潛在的數字化風險一旦爆發，不僅會給證券公司帶來巨大損失，而且還存在隨時威脅主權國家金融穩定與安全的可能性。因此，本文在揭示我國證券公司面臨的潛在數字化風險的基礎上，分析其數字化風險的既有管控措施并提出完善對策，為有效管控證券公司轉型中的數字化風險、加速推進證券公司的數字化轉型建言獻策。

二、我國證券公司轉型中的數字化風險研判

在使用大數據、人工智能等數字技術對證券公司業務營銷、客戶服務持續賦能升級過程中，證券公司面臨著一系列潛在的數字化風險，具體包括數據安全風險、網絡安全風險、算法黑箱風險、技術創新風險以及異化的系統性風險。

（一）數據安全風險

華泰證券課題組和朱有為（2020）研究表明，企業客戶信息泄露的數據安全事件比例高達44% 。其中，數據安全風險主要涵蓋數據泄露、數據篡改、數據濫用、違規傳輸、非法訪問、流量異常以及其他風險信息（見表1）。在證券公司的數字化轉型進程中，由于大數據、模型算法、機器學習等數字技術在證券業務中得到廣泛應用，數據對證券公司的重要性日益凸顯，一旦安全信息訪問控制不到位，將極有可能引發機密數據丟失事件。例如，2021年3月，美國券商Robinhood遭到黑客惡意攻擊，超過700萬用戶的數據被竊取，包括超過500萬用戶的電子郵件地址、200萬用戶的姓名以及310位用戶的個人身份信息。證券公司一旦遭遇此類風險，不僅自身會遭受嚴重損失，還需對重要金融數據外泄引起的損失進行賠償。例如，2019年因數據泄露，接受調查的全球500家券商支付的賠償金高達392億美元。更為嚴重的是，數據泄露不僅會給證券公司帶來高昂的有形財產損失，還會使其面臨無形的聲譽損失，而后者往往難以估量。

隨著生成式人工智能在證券公司產品、業務中得到深度應用，證券公司數據隱私安全風險呈現出進一步加劇的態勢。證券公司需要依托海量客戶數據進行建模和模型訓練，以充分發揮人工智能算法的智能化優勢，服務于市場供需兩端。但這些數據來源廣泛，涵蓋證券公司自有渠道、終端客戶群體以及第三方數據供應商等多個維度，導致數據所有權與訪問權限界定模糊問題日益凸顯。在缺乏明確數據權屬邊界的場域中，生成式人工智能進行大規模數據采集處理時，客戶群體將面臨巨大的隱私安全風險。當前，數據安全風險已成為證券公司核心風險之一（孫國茂等，2022）。未來隨著證券公司數字化轉型向縱深推進，證券公司內部跨業務部門間數據共享需求與系統架構布局將日趨復雜，數據安全事件的發生概率或將持續攀升，亟須建立系統化的風控體系實施有效管控。

（二）網絡安全風險

從網絡金融的視角審視，網絡風險可劃分為網絡信息技術引起的技術風險和網絡業務特征引起的業務風險兩類（張玉喜，2002）。前者包括安全風險和技術選擇風險，后者包括基于業務特性而衍生的信用風險、流動性風險、支付和結算風險、市場風險等。對于處于數字化轉型中的證券公司而言，首當其沖為網絡安全風險。網絡安全風險就是威脅利用系統脆弱性而產生不良影響和危害的可能性，其等式關系即“風險 Σ=Σ 威脅 x 脆弱性”。脆弱性作為系統與生俱來的屬性，可能存在于系統的運行環境、硬件設施、軟件系統以及管理流程等各個方面（王利民，2024）。目前證券公司的數字化服務系統都是集權系統，其中終端集中管理和身份認證系統儲存著大量憑據，具有高權限和資源節點的特性。同時，為實現業務線上交易的自動化、智能化，證券公司會利用如5G等多種新型網絡技術，而且與公有云、私有云、邊緣云搭建互聯互通的數字網絡。可以說，證券公司的產品交易、業務營銷都需要依托數字網絡方能實現，而證券公司的數字化服務系統存儲著海量的數據資源，導致其可能成為攻擊者實施攻擊的目標。例如，2022年10月18日，深圳證監局對某證券公司OA系統遭受注人攻擊所暴露的網絡安全風險發出警示。又如，2024年深圳證監局發布的《證券期貨機構監管通訊》風險警示欄中，通報了證券公司交易系統“宕機”觸發的網絡安全事件。由此可見，證券公司所暴露的網絡安全風險既可能源于外部，也可能源于內部。從主觀視角看，這些風險既有源于行為主體的惡意行為，也有源于故障因素的非惡意行為。JamesEScheuermann（2018）從內部、外部、惡意、非惡意四個維度構建了企業網絡風險分類矩陣，匯總了19種網絡風險。其中，惡意的網絡風險有6種，來源于內部、外部的風險各占3種;非惡意的風險有13種，來源于內部的6種、外部的7種（見表2）。綜上所述，網絡安全風險已然成為證券公司數字化轉型進程中的重大隱患，必須予以高度重視。

（三）算法黑箱風險

早期的人工智能是模擬人類學習、計算、推理、思考等智能行為的人工系統，執行通常依賴于人來完成。隨著人工智能技術迅猛發展，借助計算機模擬、延伸并拓展人類智能，以替代人類實現認知、識別、分析和決策等功能的現代人工智能技術從概念化階段走向成熟應用階段（曾燕，2024）。這使得證券公司的數字化轉型實現了從技術化、自動化向數智化的跨越式升級。而今，生成式人工智能（Generative Artificial Intellgence，GAI）已為證券公司的數智化發展開辟了全新的維度。GAI基于算法、模型、規則等，能夠實現自然語言處理、信息檢索與推薦以及智能語音等功能，主要涵蓋生成式對抗網絡（GenerativeAdversarialNetwork，GAN）和生成式預訓練轉化器（Generative Pre-trained Transformer，GPT）兩類。2022年11月30日，OpenAI公司開發的ChatGPT將證券公司的數字化轉型推上新的發展階段。ChatGPT屬于GPT中的大型語言模型（Large Language Model，LLM）中的一類，目前已經更新至 ChatGPT 4.0。實際上，GPT除了大型語言模型外，還有圖像預訓練模型。證券公司以此為契機，運用大型語言模型和圖像預訓練模型對自身的產品、業務營銷等進行了全面布局和投資，不僅有效提高了資產配置效率，而且大力開拓并豐富了智能化交易場景。

觀察GAI在證券公司數字化轉型中的應用場景，其智能化的實現依賴于算法。然而，算法的實施會帶來“算法黑箱”，進而滋生算法黑箱風險。這一風險具體體現在兩個方面（畢文軒，2023）。一是算法的可解釋風險。從內部視角看，鑒于機器學習本身具有的技術特征，算法通過自我學習生成的規則在技術層面往往難以被自然人觀察并理解；從外部視角看，算法決策的規則常常會被算法開發者隱藏，對被決策主體缺乏透明度，導致被決策主體無法知曉決策過程和邏輯。二是算法偏見或算法歧視風險。如果生成式人工智能前期訓練的數據存在某種程度的偏見或者歧視，那么經由算法機制反饋的結果自然會自帶該偏見或歧視，甚至GAI的應用還會進一步延續并放大該風險的負外部性。

（四）技術創新風險

技術創新風險指創新主體在技術研發過程中，由于技術不成熟、員工失誤等因素導致技術創新成果在應用層面造成產品功能異常、業務中斷等損失的可能性。以區塊鏈、云服務等數字技術應用中暴露的技術創新風險為例，其風險可概括為技術不成熟誘發的潛在風險，具體表現為客戶、產品和業務營銷活動中因應用程序設計、實施和配置上的安全缺陷“暴露\"的技術漏洞和安全漏洞兩類。

首先，就數字技術應用中所暴露的技術漏洞而言，因證券公司應用的數字技術不同，其技術漏洞表現形式不一，典型的如區塊鏈所暴露的“硬分叉\"問題。可見，技術創新具有不確定性，潛在的技術漏洞也將隨著技術的發展而迭代升級，因而因數字技術應用而暴露的技術漏洞風險將成為證券公司數字化轉型中的常態化風險之一。

其次，就數字技術應用中所暴露的安全漏洞而言，目前必須重視的是云服務器的安全漏洞。證券公司實施集中式管理，而且云計算具有不同于傳統網絡的技術結構，如果云服務器“端到端”加密云存儲平臺因密鑰管理和數據傳輸機制存在漏洞，則云服務器暴露的安全漏洞極易引起黑客攻擊，被黑客植人病毒、篡改數據、竊取云資源。可見，云服務器頻現安全漏洞風險來源既源于技術本身的不成熟，又源于外部人員的惡意行為。

數字技術迭代升級呈現\"以技治技\"的定律，即以技術消弭現有風險一出現新風險—再次以技術消弭新風險（郎平，2024）。這種技術演進與風險衍生的動態平衡特性，要求證券公司必須構建覆蓋技術全生命周期的風險管理體系，使技術創新能力與風險治理能力保持同步演進，實現數字化轉型戰略的可持續推進。

（五）異化的系統性風險

系統性風險指一家金融機構的倒閉造成某一市場的崩潰，引發一連串金融機構或市場的倒閉、崩潰或嚴重損失，導致資本成本上升或難以獲得，因而危害實體經濟的風險（韓龍，2014）。國際金融市場上，1995年巴林銀行破產、2008年雷曼兄弟破產觸發的系統性風險，不僅引發所在國金融系統瀕臨崩潰，而且威脅全球金融系統穩定，凸顯系統性風險關聯性強、傳染面廣、負外部性高的特性。證券公司數字化轉型中的系統性風險也具有相同的特性，極具破壞性。一方面，證券公司的業務流程極具關聯性，從客戶開戶、交易、清算的整個鏈條中任一節點出現問題，均可能引發市場信任危機導致流動性不足，嚴重時可能招致系統性風險，最終演變為整個系統的崩潰。同時，數字技術的應用使各證券公司之間業務往來的可及性呈現擴張之勢，這進一步加劇了證券公司間業務的復雜性，客觀上加大了風險爆發的概率。另一方面，加之數字技術賦能，目前證券公司都以建設自己的“信息共享中臺”為重點，依托數字網絡，風險從一個“信息共享中臺\"傳遞到另一個“信息共享中臺\"將變得更為便捷。此外，隨著數字技術的應用，市場與市場之間將跨越地域限制，整個金融市場將以數字技術為紐帶，市場與市場間信息與數據的傳播速度變得更快。一家證券公司出現經營失敗、某一市場部門崩盤或結算系統出現問題中的任一突發性事件都可能影響到其他證券公司，甚至引發整個金融市場的“多米諾骨牌效應”，導致系統性風險的傳染性更高、傳染范圍更廣。

三、證券公司風險“內部控制”的動態演進共性與其運行機理透視

風險的定位、評價和分析，是一切風險管控的基石。實施全面、有效的內部風險管控是證券公司的生存依據和發展保障，貫穿于證券公司運行的全過程。基于此，從證券公司風險管控的動態演進中先行歸納其“共性”，以闡釋內部控制機制作為證券公司風險管理最佳實踐的原因，而后在此基礎上闡述內部控制機制“三道防線\"在證券公司風險管控中的運行機理。

（一）證券公司風險“內部控制”動態演共性

20世紀90年代中期以來，證券公司風險管理基本上是圍繞加強“內部控制”的思路展開的，建立完善的內部控制體系成為風險管理的前提和基礎。“內部控制\"指企業董事會等機構為確保企業財產安全完整、提高會計信息質量、實現經營管理目標、完成受托責任而建立和實施的一系列具有控制職能的措施和程序。“內部控制\"在動態的發展過程中，依次經歷了內部牽制一內部控制制度一內部控制結構一內部控制整合框架四個發展階段（孟焰等，2004）。縱而觀之，呈現出覆蓋面廣、重點突出、科學高效等特性（龐介民，2005）。

首先，覆蓋面廣主要體現在全員參與，要求企業內每一個崗位的員工都有分工明確的風險防范職能和任務，每一位員工的經營管理活動，都必須置于風險監控體系的監管之下，且證券公司的任何一項經營活動和任何一個經營管理部門，都必須納入風險監控體系之中，不能出現風險監控的盲點;故而風險監控貫穿于每一項具體業務的始終，是對每一項業務具體環節進行跟蹤防控的，連續的全過程管理。

其次，重點突出主要以證券公司業務風險的特殊性和高發性為導向，通常把風險防控重點放在風險發生頻率高的部門及運行環節上，聚焦業務則以國際業務和新興業務等高風險業務為重心。

最后，科學高效重在管理技術和管理制度的科學化，由于證券業務中數字技術的應用，面對瞬息萬變的證券市場，更要充分運用數字技術等數字技術賦能，以便及時、全面、準確地對每一瞬間風險運行的整體狀態、具體業務和具體環節所面臨的風險做及時判斷和科學分析，以便迅速作出風控反應，而管理制度的科學化往往決定著風控效果。

（二）證券公司風險“內部控制”的運行機理透視

為實現自我風險的全面管理，我國證監會率先在《證券公司內部控制指引》（2003）第13條明確規定了證券公司風險“內部控制\"的“三道防線”，即“建立重要一線崗位雙人、雙職、雙責的第一道防線”“建立部門、崗位間相互制衡、監督的第二道防線”“建立獨立的監督檢查部門對各項業務、各部門、各分支機構、各方位全面實施監控、檢查、反饋的第三道防線”。實踐中，第一道防線的業務部門通常由專業人員組成，主要職責包括測量、監督所在部門的風險情況并及時向風險管理部門報告;提出針對風險來源的具體預防辦法或提出本部門業務風險管理的改進辦法等。第二道防線主要是建立風險控制部門和合規部門兩大部門，前者主要創制風險識別、度量、監控、報告框架，對風險指標全面監控，及時提供風險管理報告等職責;后者職責包括事前防控法律風險，確保業務流程操作的合規性等。第三道防線則是建立獨立的內部審計部門，對風險管理情況進行事后驗證、監督，對內部存在的風控漏洞進行修訂和完善。

各國證券公司都建立了自己的內部控制機制，審視域外主權國家證券公司“三道防線”的實踐現狀，最佳實踐當屬歐洲風險管理協會聯合會（FER-MA）和歐洲內部審計協會聯合會（ECIIA）創設的\"三道防線”：第一道防線為運營管理部門，由其采取有效的內部控制措施來評估、控制和降低風險。第二道防線是風險管理職能部門，包括風險管理部門、合規部門和其他部門。風險管理部門負責實施公司風險戰略、提供風險管理框架、培育風險管理文化、推行風險管理術語等，合規部門旨在監控公司是否遵循相關法律法規和內部規章制度，其他部門則為一些專項風險管理部門，三類風險部門共同監督運營部門對風險進行有效的管控。第三道防線是內部審計部門，對第一、第二道防線的風險管理工作進行評價（白華，2024）。

“三道防線\"在不同主權國家雖然“各具特色”，卻“殊途同歸”，成為證券公司風險管控的長效機制。“三道防線\"實踐優化進路包括優化治理結構、強化內部控制和遵從合規性、健全風險管理的技術保障體系三大途徑（郎平，2025）。三者的內部運作機理如下：一是根據證券公司全面風險管理目標，立足公司的風險偏好、戰略決策等先行優化公司治理結構，進而搭建起適應公司全面風險管理所需的治理結構，對風險調整績效進行持續監控。二是根據證券公司全面風險管理的既定目標，強化公司內部控制、健全合規管理以確保符合法律法規、內部政策的同時，兼顧各權益方要求，提升風險管理水平。三是為實現風險預警、監控、管理，運用技術工具“以技治技”，在產品、業務營銷中實現對風險的有效跟蹤管理。強化內部控制、合規性、健全風險管理的技術保障體系對證券公司防控數字化風險而言至關重要。

四、我國證券公司IT風控系統的升級共性與其數字化風險的防控“痛點

立足證券公司轉型中的數字化風險，證券公司的合規性、強化內部控制及其技術保障體系實際上是靜態規則遵守、動態風險管理以及數字技術的有機結合，三者有機結合的最佳實踐為證券公司的IT風控系統。

（一）我國證券公司IT風控系統從數字化邁向數智化的共性

證券公司的IT風控系統是“三道防線\"的數字化呈現，該風險監控系統可依次分為前臺、中臺和后臺：前臺業務部門負責對部門整體和投資小組或投資經理的持倉、交易、風險限額指標、損益實施監控，并將有關風險暴露按要求向風險管理總部及時通報。中臺的風險管理部門負責對公司級和部門級整體持倉、交易、風險限額指標、損益實施監控。后臺的存管結算中心、財務總部負責對資金、開戶、交易席位進行監控，并將相關信息及風險暴露按要求向風險管理總部及時通報。風險管理部分、財務總部負責對公司凈資本實施監控。三者“各司其職\"對權限內的持倉、交易、風險限額指標、損益進行監控。

直面證券公司數字化轉型中潛在的數據安全風險、網絡安全風險、技術創新風險等數字化風險，證券公司轉型中的風險來源渠道呈現擴大趨勢，除因數字技術賦能異化的各類傳統風險，還包括新生的數字化風險。這意味著證券公司的IT風險防控任務的擴容，而其防控效果最終將取決于IT風控系統內的數據。此外，由于數字技術的賦能，數字化風險的傳染速度呈現“瞬時性”，加之“數字網絡”的“系統性暴露\"特性，一旦觸發某一風險，這些風險可能會瞬時跨業務、跨市場、跨轄區進行傳染，傳染面大，負外部性強，“太大而不能倒\"將異化為“太關聯而不能倒”“太快而不能倒\"的新形勢。

對此，證券公司升級IT風控系統的“方案\"各具特色。例如，中泰證券在確保風險管理信息技術系統適用性、完備性的同時，持續發力全面風險管理數字化轉型，逐漸探索出以\"IT支撐”為基石，以“底層數據集市” + “上層智能應用”為驅動的創新發展與風險防控兼顧的數字化轉型路徑，其中風險管理系統探索采用以數據集市為底座、N大中臺為支撐，一站式融合門戶為人口的“ 1+N+1 ”的系統架構，功能覆蓋多風險類型、遍及全業務鏈條、囊括各級機構，探索打造一站式風險全景視圖，創新拓寬\"宏—中—微\"全風險視域，以期塑造廣覆蓋、強滲透、深挖掘、快預警智能風險防控系統（中國上市公司協會，2024）。而平安證券則依托大數據、區塊鏈技術、人工智能等數字技術建立了智能大數據平臺、智能風險評審平臺 ，7^*24 小時的智能預警系統三大平臺來管理風險。可見，各具特色的IT風控系統呈現數智化的\"共性”。所謂數智化，即通過數據的收集、分析、挖掘，運用算法對風險進行自動化捕捉、隔離、阻斷，盡管證券公司的IT風控系統從數字化邁向了數智化，但仍需以數據為抓手，依托數據深挖證券公司隱藏的風險，數據是證券公司提升風險防控廣度與深度的必備要素。

綜上，證券公司IT風控系統從數字化邁向數智化，其共性包括如下兩點：一是依附于“內部控制\"\"三道防線\"的前臺、中臺和后臺的風控架構并未發生巨變。二是從數字化邁向數智化，主要因IT風控系統中數字技術的迭代升級所致，但隨著證券公司風險來源廣度的擴張，深度的復雜性加劇，數據將成為證券公司IT風控系統數智化防控風險的關鍵。無論是數字化階段還是數智化階段，數據都是IT風控系統中能夠有效防控風險的必備要素。

（二）我國證券公司IT風控系統防控數字化風險的“痛點\"

立足實踐，我國證券公司IT風控系統防控數字化風險的“痛點\"在宏觀上源于IT風控系統架構對\"數字化風險\"的針對性不足，微觀上表現為IT風控系統中前臺、中臺、后臺中的數據問題。

宏觀上，IT風控系統架構對數字化風險的防控\"痛點\"如下：一是前臺、中臺、后臺的風險防控架構面對證券公司以往的信用風險、市場風險等效果頗佳，但面對新生的技術創新風險、網絡安全風險、數據安全風險等，明顯欠缺對數字化風險的“針對性”。二是由于“三道防線\"呈現的“金字塔狀”的風險管理體系，使得每一層級上的各類數據存在物理意義上的隔離，碎片化的數據暴露數據孤島的“痛點”，導致風險的監測、分析、評估無法形成合力，更遑論有效防

控“瞬時\"爆發的數字化風險。

微觀上，數據在服務于IT風控系統時，存在如下“痛點”：一是數據質量不佳。聚焦IT風控系統，前臺是其獲取數據的關鍵，這些數據包括行為數據、業務數據、交易數據、客戶數據等，如果前臺采集的數據質量不佳，中臺采集的數據覆蓋面有限，如注重業務類、事件類的數據標準的全覆蓋，忽略對產品類、賬戶類的數據標準的全覆蓋;后臺的數據處理標準不一，在不同的數據標準下，同一數據將采用不同算法，使得同一數據存在多重計算、多重加工的情形常態化，最終導致數據難以溯源，故遑論數據質量。存在質量瑕疵的數據，自然無法有效“監測”出系統內潛在的算法黑箱風險、技術創新風險等，導致此類風險在IT系統內的大量積聚，一旦爆發必將給證券公司招致巨大損失。二是由于證券公司IT風控系統需要前臺、中臺、后臺根據需求建立\"數據平臺”，這一平臺的建立必將使重要金融數據成為\"黑客\"的攻擊目標，導致潛在的數據安全風險、網絡安全風險等數字化風險伴隨IT風控系統整個生命周期，時刻影響企業數字化的發展和業務運營，甚至危及企業的生存。

五、證券公司轉型中數字化風險的防控對策

（一）細化防線：鏡鑒域外網絡安全風險的治理范式

直面證券公司轉型中的數字化風險，域外直接針對此類風險的有效舉措當屬歐盟基于“三道防線\"《網絡風險治理報告》所構建的網絡風險治理框架（白華，2024）。具體內容如下：第一道防線負責實施網絡風險管理政策和標準，并對網絡和基礎設施進行日常監督，主要部門有IT部門、人力資源部門、首席數據官和業務單位。第二道防線負責執行與網絡安全有關的風險治理職能，由首席信息安全官領導，風險管理部門、財務控制部門、合規管理部門、數據保護部門等協調配合，以執行第一道防線擬制的政策、標準和技術標準。此外，第二道防線負責評估網絡安全風險的暴露程度，確保其與組織的風險偏好一致，監督新風險，與第一道防線協作運行，以確保風控設計及實施。第三道防線的內部審計部門負責對第一、第二道防線進行獨立客觀的確認，以合理保證其按照設計的職能有效運行，并監督組織整體信息安全計劃的連貫性和一致性。審計部門每年至少一次對該計劃的運行狀況進行健康檢查，并向董事會報告。可見，網絡安全風險治理框架完全沿襲了先前“三道防線\"的布局。

聚焦證券公司轉型中的數字化風險，結合網絡安全風險治理的“三道防線”的有效實踐，基于公司利益相關者之間的關系，可將其進一步升級為“五道防線”，以此實現數據安全風險、網絡安全風險、算法黑箱風險的有效防控。第一道防線由IT職能部門履行企業網絡安全風險、數據安全風險等數字化風險的監控職責。第二道防線主要由合規部門、風險防控部門等履行監督職責，風險防控部門負責制定風險管控政策，監督第一道防線的控制措施。第三道防線則為獨立于管理層的內部審計部門，無須參與管理層決策，只需提供風險管理有效性的客觀、獨立的修改完善建議給董事會即可。這三道防線無須分層運行，實踐中可同步運行。高級管理層可以作為第四道防線，負責管理企業并分配資源以防控各類風險。對此，具有IT專業知識的高管（首席執行官、首席財務官和首席信息官）可以加入高級管理層的風險管理委員會，提升數字化風險管控的有效性。董事會作為第五道防線，識別企業的風險偏好，制定和完善關鍵戰略目標（如設定風險偏好）和風險指標，規定風險評估的嚴格性，監督執行管理層是否遵規履責等。

換言之，所謂“五道防線”是在原有\"三道防線”的基礎上，基于公司利益相關者之間的關系，將高級管理層和董事會也納入進來，將優化公司治理結構這一舉措融人風險防控中，以此提升風險內部控制措施的有效性，實現對數字化風險的有效防控。

（二）以技治險：全方位升級IT風控系統

基于證券公司前臺的“數據集市”，充分利用大數據技術實現數字化風險的監測和預警。大數據技術是一種創新性的信息處理與分析技術體系，其核心目標在于應對并駕馭那些規模龐大、類型繁多且高速生成的數據集（郭小惠等，2024）。海量的結構化和非結構化數據，如交易記錄、客戶行為等，蘊含著豐富的風險信息。通過大數據技術可以實時收集、儲存和處理這些異構數據，進而從大數據中識別異常數據、監測風險信號，實現數字化風險的早期預警和實時監控，大數據驅動的風險監測與預警，將捕捉傳統方法難以發現的隱蔽風險，提高風險管理的前瞻性和敏捷性。

運用區塊鏈技術對數字化風險進行防控。區塊鏈技術是按照時間順序將數據區塊以順序相連的方式組合而成的塊鏈式數據結構，通過密碼學來確保數據的安全性，應用智能合約來保證交易的不可篡改和不可偽造的分布式賬本（宋玉婷等，2025）。根據區塊鏈技術的概念，可以將區塊鏈技術解構為分布式賬本技術、非對稱密碼學技術、智能合約、數據等四大關鍵要素。其中，數據是捕捉風險的基礎要素;分布式賬本技術是維護分布式系統數據庫實現共享的關鍵；智能合約則通過代碼對一系列指令進行設置，在具備特定條件時，會觸發合約自動執行，從而實現風險的自動防控；非對稱密碼學技術下的“公鑰”“私鑰”是證券公司IT風控系統中各職能部門訪問IT系統的必備要素。

嵌入人工智能技術以實現風險監測的智能化。智能化運行機理如下：一是大數據技術的充分利用將有效整合結構化數據、半結構化數據、半結構化半非結構化數據，這將極大增強IT風控系統的監測預警效果。二是基于區塊鏈技術可研發分布式存儲技術、Hodoop 分布式系統架構、MapReduce分布式計算框架、分布式內存計算系統、分布式流計算系統、交互查詢系統等，實現系統間的互聯互通，促進各系統間應對數字化風險的敏捷性與聯動性，進而發揮“一處預警，全員防控\"的效果。三是在大數據技術和區塊鏈技術嵌入的基礎上，研發人工智能技術的深度應用。一方面，可基于大型語言模型和圖像預訓練模型對系統內的數據、圖像進行訓練，尋找最優風險預警模型，實現主動預警、前瞻預警、精準預警、智能預警。另一方面，可打造風險管理的\"數字員工”，運用自然語言處理等人工智能技術，自動分析系統內數據，捕捉異常數據，及時發布風險預警信息;通過情景分析、壓力測試、信用評級等措施將風險類別化，以此實現傳統風險與數字化風險智能防控的全面監測。■

（責任編輯：孟潔）

參考文獻：

[1]黃運成，徐錦文.證券公司風險管理[M].北京：中國財政經濟出版社，1999.

[2]宋國良，潘彥，盧愷，等.證券公司風險管理[M].北京：清華大學出版社，2014

[3]胡志堅.證券公司投資銀行業務風險管理探究[J].投資與創業，2021（15）：10-12.

[4]李維維.證券公司流動性風險管理與風險防范[J].財經界，2021（4）：58-59.

[5]李爽.證券公司分支機構合規風險控制及管理[J].時代金融，2019（25）：80-82+84.

[6]陳宇.證券公司財務管理風險監測與防范研究[J].財會學習，2022（1）：31-33

[7]華泰證券課題組，朱有為.證券公司數字化財富管理發展模式與路徑研究[J].證券市場導報，2020（4）：2-12.

[8]孫國茂，李猛.證券公司數字化轉型與評價研究[J].金融發展研究，2022（9）：40-49.

[9]曾燕.數字金融導論[M].北京：北京大學出版社，2024.

[10]張玉喜.網絡金融的風險管理研究[J].管理世界，2002（10）：139-140.

[11]王利民.大型企業信息系統的網絡安全風險防范體系[J].網絡安全技術與應用，2024（7）：97-99.

[12]James E Scheuermann.Cyber Risks，Systemic Risks，and Cyber Insurances[J]Penn State Law Review，2018，122，3：613-643.

[13]畢文軒.生成式人工智能的風險規制困境及其化解：以ChatGPT的規制為視角[J].比較法研究，2023（3） ：155-172.

[14]郎平.央行數字貨幣跨境支付系統：模式、風險及其治理之探[J].金融監管研究，2024（3）：43-59.

[15]韓龍.防范與化解國際金融風險和危機的制度建構研究[M].北京：人民出版社，2014.

[16]孟焰，孫麗虹.從內部控制理論的發展看如何加強證券公司的內部控制[J].審計研究，2004（3）：15-18.

[17]龐介民.證券公司風險監控研究[M].北京：中國財政經濟出版社，2005.

[18]白華.公司治理的三道防線理論：沿革與探微[J].會計之友，2024（23）：2-10.

[19]郎平.我國證券公司數字化轉型中全面風險管理體系優化進路[J].金融發展研究，2025（2）：59-6

[20]張健，曹洪，林子揚.證券公司風險管理智能化轉型探討[J].金融縱橫，2021（8）：86-91.

[21]Sergeja Slapnicar，Micheal Axelsen，Ivano Bongiovanni，David Stockdale.A Pathway Model to Five Lines of Accountability in Cybersecurity Governance[J].International Journal of Accounting Information Systems，2023，51（12）.

[22]郭小卉，姜銥然.數字化轉型與銀行風險承擔[J].海南金融，2024（9）：32-48.

[23]宋玉婷，黃路楠.區塊鏈金融的應用風險與法律規制探析[J].海南金融，2025（1）：77-86.

[24]郎平.智能合約中理性經濟人的道德風險及監管變革：以契約理念的嬉變為視角[J].征信，2023（10）：18-28.

[25]李金金，雷凌，曾圣鈞.融資融券業務風險監測預警數字化轉型研究：基于大數據和人工智能視角[J].財會通訊，2024（24）：126-130+163.