搜索
光大证券8•16事件浅探01020304目录案情陈述案情分析审计策略陈述总陈述——事件描述——触发原因——产生影响3一、事件描述2013年8月16日上午11时05分,上证指数一改死寂沉沉的盘面,指数曲线直线拉起,三分钟内上证指数暴涨超过5%。因为这一天是周五加之是8月股指期货合约的交割日。一时间,场内“利好消息说”和“阴谋说”传的纷纷扬扬。“利好消息说”有传优先股政策实施的,有传蓝筹要实行T+0的,也有传降低印花税的。阴谋说有大资金企图干扰期指交割日结算价的等等。几分钟后,有媒体指出,指数异动是由于光大证券乌龙指引起的,但市场并不相信,指数继续上涨。中午,光大证券董秘声称“乌龙指”子虚乌有,使得该事件更加扑朔迷离,这严重干扰了市场部分人士的判断。午后开市,光大证券停牌,同时发布公告称,光大证券策略投资部门自营业务在使用其独立的套利系统时出现问题,公司正在进行相关核查和处置工作。至此,此次指数异常波动被确认为光大证券“乌龙指”所导致。投资者在得知真相后,人气涣散,指数逐级回落,至收盘,上证指数收跌0.64%二、触发原因三、产生影响监管机构和交易所被质疑不作为:1、没有及时采取熔断措施,导致股指剧烈波动2、没有及时披露事件真相,引发市场恐慌投资者损失惨重,市场信心低落:现货市场投资者跟风买入后被套牢IT供应商陷入信任危机:1、铭创公司关闭网站,撤下80家客户名单,被你竞争对手挖墙角2、竞争对手恒生、金证股价先跌后大涨光大证券受到多重打击:2013年8月16日上午的乌龙事件中共下单230亿,成交72亿,涉及150多只股票。按照8月16日的收盘价,上述交易的当日盯市损失约为1.94亿元。01020304目录案情陈述案情分析审计策略陈述总陈述——内部控制的要素——光大在内控各要素上的制度设计——内控在8.16事件中的表现一、内部控制的要素2013年COSO《内部控制综合框架》中指出,内部控制的要素主要分为:内部环境、风险评估、控制活动、信息与沟通、内部监督五大方面。按照立信会计师事务所给光大证券出具的2012年度《内部控制审计报告》,光大证券的内部控制要素也是按照这五大方面设计的。一、内部控制的要素二、光大证券在各要素上的内部控制制度设计1、内部环境内部环境要素是企业内部控制执行的基础环境,其好坏程度直接影响内部控制的效果。对内部控制的环境主要从公司的治理结构、内部机构设置与职责分工、内部审计、人力资源政策、企业文化和法制环境等方面进行了解。本案例中立信会计师事务所从治理结构、发展战略、人力资源、社会责任、企业文化来了解光大证券的内部环境要素,对内部控制的环境总体评价良好。在治理结构上,公司三会运作规范,权责明确并互相制衡。成立了董事长牵头的内控领导小组,独立董事也发挥了应有的作用。在发展战略上,公司董事会下设战略与发展委员会,对战略与发展委员会的人员组成、职责权限、决策程序、议事规则做出明确规定。在人力资源上,建立了严格的职责分工政策,不相容职务相互分离,建立了关键岗位员工的强制休假制度。在社会责任和企业文化方面也形成了相关的制度。但是从光大证券的内部环境中没有体现内部审计的作用。1、内部环境2、风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。在进行内控审计过程中需要了解企业风险评估的框架以及相应的确定风险承受度、识别的风险、风险分析和风险应对的程序。光大证券管理层已认识到风险管理对于公司生存、发展和战略目标实现的重要性。公司根据设定的控制目标,施行自上而下的矩阵式风险识别与评估,建立了履行风险识别和评估的四层级内部控制组织架构。公司董事会及各下设委员会,主要负责公司整体风险的识别、评估及处置工作;经营管理层及下设各专业委员会,负责经营过程中各业务领域的风险识别和评估工作;风险管理部、稽核部、法律合规部等专职内控监督和检查部门,负责对公司各类业务风险的事前审核、事中监控和事后审计监督;各业务和职能部门,负责各单位的风险自控。此外,光大证券对于风险排序、风险应对、风险策略调整等都有一套比较科学的制度方法。可以说,光大证券在风险评估这个要素上的内部控制制度设计是比较完善的。但在执行过程中,光大证券的风险评估体系有点流于形式,没有切实执行,此次事件,合规部门没有做好事中控制,按理说,至少在订单生成前,合规部门对于将要发出的订单,应该进行必要的审核,审核通过才能发往交易所。2、风险评估3、控制活动控制活动是企业根据风险评估的结果而采用相应的控制措施,将风险控制在可承受的范围之内。企业在经营过程中会对不同的业务设计不同的控制程序,这就需要在实施内部控制审计时从两个层次来进行审计。第一个层次是了解内部控制设计的程序是否合理,程序能否对关键点实施控制达到预期目标。第二个层次是内部控制是否得到了有效是实施。合理的内部控制若没有得到有效的实施那内部控制只是留于形式。针对光大证券的控制活动,立信会计师事务所运用询问、观察、检查、问卷调查等方法,从经纪业务、证券投资业务、投行业务、信用业务、资产管理业务、直投业务、资金业务、信息系统、对控股子公司的管理、关联交易控制、风险控制、公司其他业务、账户规范情况等方面了解了光大证券的控制活动,得出了控制总体合理、有效的结论,但在经纪业务、投行业务、资产管理业务、信息系统、对子公司管理等方面存在问题,但都是无可厚非的小问题。但此次乌龙指事件的爆发,还是说明光大证券在内部控制方面存在比较严重的问题的,本次事件,就是公司的独立套利系统出现了问题,这套系统包含订单生成系统和订单执行系统两个部分,其中订单生成系统为光大自主研发,订单执行系统由上海铭创软件公司为光大证券定制研发。一般情况下,由公司自主研发的系统和由其他机构为公司定制研发、没有大规模使用的系统,都属于高风险的信息系统,需要给予格外的关注,但是光大证券对该信息系统没有给予格外的关注,反而将其置于公司内部控制体系之外,使这一充满问题的高频交易系统得以顺利上线。订单执行系统针对高频交易在市价委托时,对可用资金额度未能进行有效校验控制,而订单生成系统存在的缺陷,会导致特定情况下生成预期外的订单。“程序本身的问题触发后,自动下单,停都停不住,最后是拔了电源”。这说明该高频交易系统的上线和管理运行完全没有按照公司与信息系统有关的管理制度、操作流程和风险控制制度来。3、控制活动在风险控制方面,光大证券已制定《信息隔离墙管理办法》,建立明确清晰的内部隔离组织架构,通过采取人员隔离、物理空间隔离、信息隔离、资金隔离、跨墙管理、清单管理以及静默期管理等有效隔离措施,将内部隔离落实到公司各项业务活动中,从而保障公司合法合规经营管理。但本次乌龙指事件中数百亿的大订单能够顺利发出,还是说明光大证券的信息隔离墙制度没有严格执行。3、控制活动4、信息与沟通信息与沟通是企业及时、准确的收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效的沟通。案例中光大证券制定了《信息披露实务管理制度》、《内幕信息知情人登记制度》等规章制度,对信息披露的流程和要求等做了明确规定,并明确了相应信息披露的责任人,而且公司通过电话、电子邮件、网络平台、接待来访、参加投资者见面会等形式与投资者进行交流。但本次乌龙指事件中光大的表现却说明公司在信息与沟通方面的内部控制是失败的,在上午系统出现问题,事情发生后,光大集团的董秘仍对外坚称公司系统没有问题,从而引发外界对光大虚假陈述的怀疑。5、内部监督内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷并加以改进。内部监督系统相当于内部控制系统中的纠错与更新程序其是保证内部控制不断完善的必要措施。光大证券设计了以监事会为最高监督层,对公司财务以及公司董事、总裁及其他高级管理人员履行职责的合法性进行监督,维护公司及股东的合法权益,对股东大会负责。审计与稽核委员会是董事会的专门工作机构,主要负责公司内、外部审计的沟通、监督和核查工作,确保董事会对管理层的有效监督。法律合规部负责对公司合规风险进行管理,负责新业务、新产品的事前审核。风险管理部对各业务条线和净资本等风控指标进行实时监控和现场检查。稽核部通过各种稽核方式对公司各项经营管理活动进行事后的全面审计。该套内部监督的制度设计我认为是比较完善的。三、光大证券的内部控制体系在8.16事件中的表现内控体系在8.16事件中没有发挥任何作用经查证,光大证券策略投资部门系统完全独立于公司其他系统,甚至未置于公司风控系统监控下,多级风控体系都未发生作用。交易员级:对于交易品种、开盘限额、止损限额三种风控,后两种都没发挥作用。部门级:部门实盘限额2亿元,当日操作限额8000万元,都没发挥作用。公司级:公司监控系统没有发现234亿元巨额订单,同时,或者动用了公司其他部门的资金来补充所需头寸来完成订单生成和执行,或者根本没有头寸控制机制。内控体系在8.16事件中没有发挥任何作用的原因1操作风险管控严重缺失。2光大内控体系未“嵌入”业务层。3证劵交易所以及光大内部制度、管理层也存在严重的内控缺陷。4会计师事务所未履行好监管责任。01020304目录案情陈述案情分析审计策略陈述总陈述——《内控审计报告》忽略的控制风险——会计师事务所面临的审计风险——阻止8·16事件发生的内控措施内部控制内部环境风险评估控制活动信息与沟通内部监督风险识别风险分析风险应对《内控审计报告》忽略了的控制风险1、企业内部风险信息沟通不畅带来的风险证券公司应当在分支机构、业务部门、风险管理部门、经理层、董事会之间建立畅通的风险信息沟通机制,确保相关信息传递与反馈的及时、准确、完整。风险管理部门发现风险出现异常情况,应当与业务部门、分支机构及时沟通,了解情况和原因,督促业务部门、分支机构釆取措施在规定时间内予以有效解并及时向首席风险官和负责信息披露人员报告。《内控审计报告》忽略了的控制风险2、交易信息系统的缺陷带来的风险案例中的证券业务都是通过互联网计算机系统完成交易的,所以光大乌龙事件产生的直接原因就是光大证券的ETF交易系统设计缺陷,而注册会计师忽略了有关这一方面的内部控制审计。24外部实时交易数据实时市场报价系统统一格式实时交易信息高频交易策略系统交易指令交易回复交易订单管理系统交易所交易指令交易回复后台系统交易数据程序设计存在错误交易订单管理系统交易所高频策略系统处理过程接受处理报价及其他数据根据策略进行计量分析运行持仓、资金等检查产生并发送交易指令等待并接受回复进行盈亏核算等后续处理”重下“功能中的交易指令错误,无法显示已报送订单金额《内控审计报告》忽略了的控制风险3、企业风险管理组织结构设计缺陷带来的风险光大证券在风险管理的组织架构上存在不少问题,风控部门的独立性和权威性不强,风控部门的资金、人力资源投入也不足,难以为公司的风险管理提供必要支撑。信用政策委员会操作风险委员会资本委员会金融风险委员会风险管理总部合规稽核部首席风险官经济业务保荐业务资产管理投资自营投资咨询融资融券风险委员会审计委员会董事会高层风险管理部门风险管理常设部门业务风险管理部门28公众对审计的认识可能的准则现在的准则现在的执业公众对执业的认识准则的期望有必要进行进一步的沟通不合理的期望有必要进行执业上的改进执业的期望合理的期望实际执业的缺陷由于不现实的认识形成执业缺陷ABCDE会计师事务所面临的审计风险1、注册会计师缺乏执业道德和相关专业胜任能力带来的审计风险2、社会公众希望注册会计师审查每一笔业务,所导致的审计抽样的风险。3、被审计单位管理层凌驾于被审计单位内部控制之上,导演被审计单位舞弊,故意隐瞒或者误导注册会计师审计工作而带来的审计风险9/25/2019假设光大证券的策略投资部门被纳入了公司的内部控制体系,那么,能够阻止8·16事件发生的内部控制措施有以下几点:第一,四级监督体系应该在策略投资部执行1、证券公司应当建立由风险管理部门负责的统一的中央风控系统,承担对公司整体风险进行实时监控的工作,在范围上覆盖到