1、光大證券光大證券8 81616事件事件淺探 01020304目 錄 案情陳述案情分析審計策略陳述總陳述 事件描述 觸發原因 產生影響3一、事件描述一、事件描述 2013年年8月月16日上午日上午11時時05分，上證指數一改死分，上證指數一改死寂沉沉的盤面，指數曲線直線拉起，三分鐘內上寂沉沉的盤面，指數曲線直線拉起，三分鐘內上證指數暴漲超過證指數暴漲超過5%。因為這一天是周五加之是。因為這一天是周五加之是8月股指期貨合約的交割日。一時間，場內月股指期貨合約的交割日。一時間，場內“利好利好消息說消息說”和和“陰謀說陰謀說”傳的紛紛揚揚。傳的紛紛揚揚。“利好消利好消息說息說”有傳優先股政策實施的，有

2、傳藍籌要實行有傳優先股政策實施的，有傳藍籌要實行T+0的，也有傳降低印花稅的。陰謀說有大資金企的，也有傳降低印花稅的。陰謀說有大資金企圖干擾期指交割日結算價的等等。幾分鐘后，有圖干擾期指交割日結算價的等等。幾分鐘后，有媒體指出，指數異動是由于光大證券烏龍指引起媒體指出，指數異動是由于光大證券烏龍指引起的，但市場并不相信，指數繼續上漲。中午，光的，但市場并不相信，指數繼續上漲。中午，光大證券董秘聲稱大證券董秘聲稱“烏龍指烏龍指”子虛烏有，使得該事子虛烏有，使得該事件更加撲朔迷離，這嚴重干擾了市場部分人士的件更加撲朔迷離，這嚴重干擾了市場部分人士的判斷。午后開市，光大證券停牌，同時發布公告判斷。午

3、后開市，光大證券停牌，同時發布公告稱，光大證券策略投資部門自營業務在使用其獨稱，光大證券策略投資部門自營業務在使用其獨立的套利系統時出現問題，公司正在進行相關核立的套利系統時出現問題，公司正在進行相關核查和處置工作。至此，此次指數異常波動被確認查和處置工作。至此，此次指數異常波動被確認為光大證券為光大證券“烏龍指烏龍指”所導致。投資者在得知真所導致。投資者在得知真相后，人氣渙散，指數逐級回落，至收盤，上證相后，人氣渙散，指數逐級回落，至收盤，上證指數收跌指數收跌0.64%01案情陳述020304二、觸發原因二、觸發原因由于訂單生成系統存在的缺陷由于訂單生成系統存在的缺陷，導致在導致在11時時0

4、5分分08秒之后的秒之后的2秒內，瞬間重復生成秒內，瞬間重復生成26082筆筆預期外的市價委托訂單預期外的市價委托訂單;由于由于訂單執行系統存在的缺陷，上訂單執行系統存在的缺陷，上述預期外的巨量市價委托訂單述預期外的巨量市價委托訂單被直接發送至交易所。被直接發送至交易所。策略投資部使用的套利策略策略投資部使用的套利策略系統出現了問題，該系統包系統出現了問題，該系統包含訂單生成系統和訂單執行含訂單生成系統和訂單執行系統兩個部分。核查中發現，系統兩個部分。核查中發現，訂單執行系統針對高頻交易訂單執行系統針對高頻交易在市價委托時，對可用資金在市價委托時，對可用資金額度未能進行有效校驗控制，額度未能進

5、行有效校驗控制，而訂單生成系統存在的缺陷，而訂單生成系統存在的缺陷，會導致特定情況下生成預期會導致特定情況下生成預期外的訂單。外的訂單。01案情陳述案情陳述020304三、產生影響監管機構和交易所被質疑不作為：1、沒有及時采取熔斷措施，導致股指劇烈波動2、沒有及時披露事件真相，引發市場恐慌投資者損失慘重，市場信心低落：現貨市場投資者跟風買入后被套牢IT供應商陷入信任危機：1、銘創公司關閉網站，撤下80家客戶名單，被你競爭對手挖墻角2、競爭對手恒生、金證股價先跌后大漲光大證券受到多重打擊：2013年8月16日上午的烏龍事件中共下單230億，成交72億，涉及150多只股票。按照8月 16日的收盤價

6、，上述交易的當日盯市損失約為1.94億元。01案情陳述案情陳述02030401020304目 錄 案情陳述案情分析審計策略陳述總陳述 內部控制的要素 光大在內控各要素上的制度設計 內控在8.16事件中的表現02 案情分析0304一、內部控制的要素一、內部控制的要素2013年COSO內部控制綜合框架中指出，內部控制的要素主要分為：內部環境、風險評估、控制活動、信息與溝通、內部監督五大方面。按照立信會計師事務所給光大證券出具的2012年度內部控制審計報告，光大證券的內部控制要素也是按照這五大方面設計的。0102 案情分析010304一、內部控制的要素一、內部控制的要素02 案情分析010304二、

7、光大證券在各要素上的內部控制制度設計1 1、內部環境、內部環境內部環境要素是企業內部控制執行的基礎環境，其好壞程度直接影響內部控制的效果。對內部控制的環境主要從公司的治理結構、內部機構設置與職責分工、內部審計、人力資源政策、企業文化和法制環境等方面進行了解。本案例中立信會計師事務所從治理結構、發展戰略、人力資源、社會責任、企業文化來了解光大證券的內部環境要素，對內部控制的環境總體評價良好。在治理結構上，公司三會運作規范，權責明確并互相制衡。成立了董事長牽頭的內控領導小組，獨立董事也發揮了應有的作用。在發展戰略上，公司董事會下設戰略與發展委員會，對戰略與發展委員會的人員組成、職責權限、決策程序、

8、議事規則做出明確規定。在人力資源上，建立了嚴格的職責分工政策，不相容職務相互分離，建立了關鍵崗位員工的強制休假制度。在社會責任和企業文化方面也形成了相關的制度。但是從光大證券的內部環境中沒有體現內部審計的作用。0102 案情分析03041 1、內部環境、內部環境02 案情分析0103042 2、風險評估、風險評估風險評估是企業及時識別、系統分析經營活動中與實現內部控制目標相關的風險，合理確定風險應對策略。在進行內控審計過程中需要了解企業風險評估的框架以及相應的確定風險承受度、識別的風險、風險分析和風險應對的程序。0102 案情分析0304光大證券管理層已認識到風險管理對于公司生存、發展和戰略目

9、標實現的重要性。公司根據設定的控制目標，施行自上而下的矩陣式風險識別與評估，建立了履行風險識別和評估的四層級內部控制組織架構。公司董事會及各下設委員會，主要負責公司整體風險的識別、評估及處置工作；經營管理層及下設各專業委員會，負責經營過程中各業務領域的風險識別和評估工作；風險管理部、稽核部、法律合規部等專職內控監督和檢查部門，負責對公司各類業務風險的事前審核、事中監控和事后審計監督；各業務和職能部門，負責各單位的風險自控。此外，光大證券對于風險排序、風險應對、風險策略調整等都有一套比較科學的制度方法。可以說，光大證券在風險評估這個要素上的內部控制制度設計是比較完善的。但在執行過程中，光大證券的

10、風險評估體系有點流于形式，沒有切實執行，此次事件，合規部門沒有做好事中控制，按理說，至少在訂單生成前，合規部門對于將要發出的訂單，應該進行必要的審核，審核通過才能發往交易所。2 2、風險評估、風險評估0102 案情分析03043 3、控制活動、控制活動控制活動是企業根據風險評估的結果而采用相應的控制措施，將風險控制在可承受的范圍之內。企業在經營過程中會對不同的業務設計不同的控制程序，這就需要在實施內部控制審計時從兩個層次來進行審計。第一個層次是了解內部控制設計的程序是否合理，程序能否對關鍵點實施控制達到預期目標。第二個層次是內部控制是否得到了有效是實施。合理的內部控制若沒有得到有效的實施那內部

11、控制只是留于形式。針對光大證券的控制活動，立信會計師事務所運用詢問、觀察、檢查、問卷調查等方法，從經紀業務、證券投資業務、投行業務、信用業務、資產管理業務、直投業務、資金業務、信息系統、對控股子公司的管理、關聯交易控制、風險控制、公司其他業務、賬戶規范情況等方面了解了光大證券的控制活動，得出了控制總體合理、有效的結論，但在經紀業務、投行業務、資產管理業務、信息系統、對子公司管理等方面存在問題，但都是無可厚非的小問題。 但此次烏龍指事件的爆發，還是說明光大證券在內部控制方面存在比較嚴重的問題的，本次事件，就是公司的獨立套利系統出現了問題，這套系統包含訂單生成系統和訂單執行系統兩個部分，其中訂單生

12、成系統為光大自主研發，訂單執行系統由上海銘創軟件公司為光大證券定制研發。一般情況下，由公司自主研發的系統和由其他機構為公司定制研發、沒有大規模使用的系統，都屬于高風險的信息系統，需要給予格外的關注，但是光大證券對該信息系統沒有給予格外的關注，反而將其置于公司內部控制體系之外，使這一充滿問題的高頻交易系統得以順利上線。訂單執行系統針對高頻交易在市價委托時,對可用資金額度未能進行有效校驗控制,而訂單生成系統存在的缺陷,會導致特定情況下生成預期外的訂單。“程序本身的問題觸發后，自動下單，停都停不住，最后是拔了電源”。這說明該高頻交易系統的上線和管理運行完全沒有按照公司與信息系統有關的管理制度、操作流

13、程和風險控制制度來。0102 案情分析03043 3、控制活動、控制活動在風險控制方面，光大證券已制定信息隔離墻管理辦法，建立明確清晰的內部隔離組織架構，通過采取人員隔離、物理空間隔離、信息隔離、資金隔離、跨墻管理、清單管理以及靜默期管理等有效隔離措施，將內部隔離落實到公司各項業務活動中，從而保障公司合法合規經營管理。但本次烏龍指事件中數百億的大訂單能夠順利發出，還是說明光大證券的信息隔離墻制度沒有嚴格執行。0102 案情分析03043 3、控制活動、控制活動4 4、信息與溝通、信息與溝通0102 案情分析0304信息與溝通是企業及時、準確的收集、傳遞與內部控制相關的信息，確保信息在企業內部、

14、企業與外部之間進行有效的溝通。案例中光大證券制定了信息披露實務管理制度、內幕信息知情人登記制度等規章制度，對信息披露的流程和要求等做了明確規定，并明確了相應信息披露的責任人，而且公司通過電話、電子郵件、網絡平臺、接待來訪、參加投資者見面會等形式與投資者進行交流。但本次烏龍指事件中光大的表現卻說明公司在信息與溝通方面的內部控制是失敗的，在上午系統出現問題，事情發生后，光大集團的董秘仍對外堅稱公司系統沒有問題，從而引發外界對光大虛假陳述的懷疑。5 5、內部監督、內部監督0102 案情分析0304內部監督是企業對內部控制建立與實施情況進行監督檢查，評價內部控制的有效性，發現內部控制缺陷并加以改進。內

15、部監督系統相當于內部控制系統中的糾錯與更新程序其是保證內部控制不斷完善的必要措施。光大證券設計了以監事會為最高監督層，對公司財務以及公司董事、總裁及其他高級管理人員履行職責的合法性進行監督，維護公司及股東的合法權益，對股東大會負責。審計與稽核委員會是董事會的專門工作機構，主要負責公司內、外部審計的溝通、監督和核查工作，確保董事會對管理層的有效監督。法律合規部負責對公司合規風險進行管理，負責新業務、新產品的事前審核。風險管理部對各業務條線和凈資本等風控指標進行實時監控和現場檢查。稽核部通過各種稽核方式對公司各項經營管理活動進行事后的全面審計。該套內部監督的制度設計我認為是比較完善的。02 案情分

16、析010304三、光大證券的內部控制體系在8.16事件中的表現 內控體系在8.16事件中沒有發揮任何作用經查證，光大證券策略投資部門系統完全獨立于公司其他系統，甚至未置于公司風控系統監控下，多級風控體系都未發生作用。交易員級：對于交易品種、開盤限額、止損限額三種風控，后兩種都沒發揮作用。部門級：部門實盤限額2億元，當日操作限額8000萬元，都沒發揮作用。公司級：公司監控系統沒有發現234億元巨額訂單，同時，或者動用了公司其他部門的資金來補充所需頭寸來完成訂單生成和執行，或者根本沒有頭寸控制機制。 內控體系在8.16事件中沒有發揮任何作用的原因0102 案情分析03041操作風險管控嚴重缺失。2

17、光大內控體系未“嵌入”業務層。3證劵交易所以及光大內部制度、管理層也存在嚴重的內控缺陷。4會計師事務所未履行好監管責任。0301020304目 錄 案情陳述案情分析審計策略陳述總陳述內控審計報告內控審計報告忽略的控制風險忽略的控制風險 會計師事務所面臨的審計風險 阻止816事件發生的內控措施內部控制內部環境風險評估控制活動信息與溝通內部監督風險識別風險分析風險應對03審計策略審計策略040201內控審計報告忽略了的控制風險1、企業內部風險信息溝通不暢帶來的風險 證券公司應當在分支機構、業務部門、風險管理部門、經理層、董事會之間建立暢通的風險信息溝通機制,確保相關信息傳遞與反饋的及時、準確、完整

18、。風險管理部門發現風險出現異常情況,應當與業務部門、分支機構及時溝通,了解情況和原因,督促業務部門、分支機構釆取措施在規定時間內予以有效解并及時向首席風險官和負責信息披露人員報告。03審計策略審計策略040201內控審計報告忽略了的控制風險2、交易信息系統的缺陷帶來的風險案例中的證券業務都是通過互聯網計算機系統完成交易的，所以光大烏龍事件產生的直接原因就是光大證券的ETF交易系統設計缺陷，而注冊會計師忽略了有關這一方面的內部控制審計。03審計策略審計策略04020124外部實時交易數據實時市場報價系統統一格式實時交易信息高頻交易策略系統交易指令交易回復交易訂單管理系統交易所交易指令交易回復后臺

19、系統交易數據程序設計存在錯誤交易訂單管理系統交易所03審計策略審計策略040201高頻策略系統處理過程接受處理報價及其他數據根據策略進行計量分析運行持倉、資金等檢查產生并發送交易指令等待并接受回復進行盈虧核算等后續處理”重下“功能中的交易指令錯誤，無法顯示已報送訂單金額內控審計報告忽略了的控制風險3、企業風險管理組織結構設計缺陷帶來的風險 光大證券在風險管理的組織架構上存在不少問題,風控部門的獨立性和權威性不強,風控部門的資金、人力資源投入也不足,難以為公司的風險管理提供必要支撐。03審計策略審計策略040201信用政策委員會操作風險委員會資本委員會金融風險委員會風險管理總部合規稽核部首席風險

20、官經濟業務保薦業務資產管理投資自營投資咨詢融資融券風險委員會審計委員會董事會高層風險管理部門風險管理常設部門業務風險管理部門28 公眾對審計 的認識可能的 準則現在的 準則現在的 執業公眾對執業 的認識準則的期望有必要進行進一步的溝通不合理的期望有必要進行執業上的改進執業的期望合理的期望實際執業的缺陷由于不現實的認識形成執業缺陷ABCDE03審計策略審計策略040102會計師事務所面臨的審計風險1、注冊會計師缺乏執業道德和相關專業勝任能力帶來的審計風險2、社會公眾希望注冊會計師審查每一筆業務，所導致的審計抽樣的風險。3、被審計單位管理層凌駕于被審計單位內部控制之上，導演被審計單位舞弊，故意隱瞞

21、或者誤導注冊會計師審計工作而帶來的審計風險03審計策略審計策略0402016/20/2022假設光大證券的策略投資部門被納入了公司的內部控制假設光大證券的策略投資部門被納入了公司的內部控制體系，那么體系，那么, ,能夠阻止能夠阻止816816事件發生的內部控制措施有事件發生的內部控制措施有以下幾點：以下幾點：第一，四級監督體系應該在策略投資部執行第一，四級監督體系應該在策略投資部執行1、證券公司應當建立由風險管理部門負責的統一的中、證券公司應當建立由風險管理部門負責的統一的中央風控系統央風控系統,承擔對公司整體風險進行實時監控的工承擔對公司整體風險進行實時監控的工作作,在范圍上覆蓋到公司各項業

22、務。在范圍上覆蓋到公司各項業務。 2、 光大證券的四級監督體系的執行范圍應該囊括策略光大證券的四級監督體系的執行范圍應該囊括策略投資部門，而不應該將他們獨立于企業內控之外，投資部門，而不應該將他們獨立于企業內控之外，做做“自治區自治區”。 03審計策略審計策略0402016/20/2022第二，風險管理部應該發揮本部門的職能公司的策略交易屬于創新業務,風險管理部門應當充分了解新業務的運作模式、估值模型及風險管理的基本假設、各主要風險以及壓力情景下的潛在損失,全程參與新產品新業務的研究論證,進行專項的風險評估,制定專門的風險管理方案,提出相應的風險控制措施,形成風險應急預案,進行必要的壓力測試。

23、03審計策略審計策略0402016/20/2022 第三，完善信息溝通途徑第三，完善信息溝通途徑 證券公司全面風險管理規范特別指出建立合理的風險信息溝通機制的必要性,以確保風險信息在業務部門、風險管理部、經理層和董事會之間的傳遞和反饋做到及時、準確和完整。風險管理的有效性基于及時和準確的風險管理信息和對信息的正確解讀。證券公司必須塑造一個高效順暢的風險管理信息傳遞流程,在不違反保密和防火墻的原則下,確保公司風險信息自上而下和自下而上的有效傳遞。證券公司各業務部門和分支機構是風險信息的第一獲取者,并據此對業務部門進行監督、檢查和控制。業務部門的風險信息經由職能部門上報至風險管理總部,匯報路徑應當

24、獨立于業務決策的執行路徑,以提高信息的準確性和可靠性。03審計策略審計策略0402016/20/2022第四，完善風險管理組織結構設計第四，完善風險管理組織結構設計 1 1、設置合理的風險組織架構、設置合理的風險組織架構光大證劵組織結構存在兩點不足：光大證劵組織結構存在兩點不足：風險管理部門級別較低風險管理部門級別較低, ,大部分都是隸屬于公司管理層大部分都是隸屬于公司管理層, ,屬于屬于一般性的職能機構一般性的職能機構是風險管理機構內部專業化分工不夠細致是風險管理機構內部專業化分工不夠細致, ,部門內未設置專門部門內未設置專門針對不同風險種類的管理委員會。針對不同風險種類的管理委員會。 03

25、審計策略審計策略0402016/20/2022董事會審計委員會 風險管理總部 合規稽核部 風險委員會業務部門 (1)制定公司風險管理及內部控制政策;(2)審批風險委員會、審計委員會擬定旳風險管理、內部控制政策和策略;(3)授權審計委員會和風險委員會進行風險管理;(4)督促公司風險管理和內部控制機制的有效運行。 (1)負責擬定公司風險管理戰略、風險管理基本制度;(2)負責審批各類風險監測、評估、預警、和風險控制方法;(3)負責擬定公司年度風險限額,由董事會批準后在限額內審核各項風險管理工作;(4)根據董事會要求對公司重大經營活動進行專項風險評估 審計委員會對公司董事會負責,其工作包括評估公司的風險政策、流程,監督公司內部控制體系建設,對內部控制合理性及有效性進行審查,提出整改方案。 (1)負責擬定完善風險管理體系建設的方案;(2)負責匯總各類風險信息,向風險委員會報告公司總體風險情況;(3)負責擬定公司各類風險監測、評估和控制方法;(4)負責組織評估公司創新業務、產品和重大經營活動的風險狀況,提出風險管理指導意見;(5)負責各部門的風險限額的確定,并對經紀、證券投資、資產管理等業務風險進行實時監控。同時公司成立資本委員會、信用政策委員會、操作風險委員會等專門委員會對部門工作提供專業性支持。 (1)負責對公司