內部控制——一個案例重溫《企業內部控制應用指引之信息系統》

內部控制——一個案例重溫《企業內部控制應用指引之信息系統》

2013年8月16日,註定是不平凡的一天,11時05分,上證綜指突然上漲5.96%,50多隻權重股均觸及漲停。造成當天市場異動的主要原因是光大證券自營賬戶大額買入。經核查,光大證券自營的策略交易系統存在設計缺陷,連鎖觸發後生成鉅額訂單。這是中國A股市場上至今為止最大的烏龍事件。

事 件 簡 述:

9:30分開盤後,交易員鄭東雲如以往的操作,先打開下單程序,然後打開訂單生成系統,系統計算得出需要買入的股票以及數量,鄭東雲點擊“買”按鈕,接著打開訂單執行系統,點擊“執行”

在平常,鄭東雲的委託基本都能成交完成,未能完成時,他會手動撤單再重新買入。但這一天早上未成交訂單的筆數比較多,鄭東雲想起曾經讓“老”IT崔運釧設計過一個“重下”功能,這個功能可以把未成交部分重新委託。

崔運釧正好從會議室裡走出來,鄭東雲把他拉到電腦跟前,問他買賣功能中的“重下”能不能用。崔運釧說能用,每次鄭東雲要使用新功能,都會要求他先演示一遍,崔運釧就點擊了一下“重下”給鄭東雲看。

此時大約11:05分,兩人在電腦跟前發現指數開始上漲,現貨數據開始亂跳。鄭東雲連忙撤單,一邊撤單一邊不肯相信系統竟然出現bug,跑到“新”IT邵子博電腦前確認,讓他看一眼資金,邵子博一看,資金顯示“-72億元”,大概幾秒鐘時間系統買入了72億元的股票。


內部控制——一個案例重溫《企業內部控制應用指引之信息系統》

三個人都慌亂了起來,不停撤單,鄭東雲讓邵子博快去和老大楊劍波彙報。

注:策略投資部新設不到一年,總共有16個員工,其中有兩名IT員工,部門領導為楊劍波。邵子博剛剛加入半年多,屬於部門新人,更多的技術工作由資歷較深的崔運釧帶領操作。

……

原因分析

光大證券緊急成立由風險管理部牽頭組成調查小組,召開高管會議,楊劍波把“銘創”公司的高管帶到了會議現場,有人向“銘創”公司提出:“賬戶資金為負數後,銘創系統應該終止繼續報單。策略投資部並沒有要求銘創系統不校驗資金。”“銘創”公司現場就承認了系統的問題。

調查小組調查時發現交易員鄭東雲的下單程序打不開,程序的最近修改時間是13:22分,“老”IT崔運釧解釋是中午為了統計出錯數據才修改的。風險管理部負責人建議還原當日事故發生前的狀態,不要做任何修改。

調查小組走後,崔運釧坐下來開始認真分析代碼,找到了程序的問題。他找到楊劍波,告訴他,是我們的程序下錯單子了,楊劍波問,你之前有沒有測試過嗎?崔運釧老實回答說,有可能是後面增加新功能的時候改錯了。

注:

在半個多月前,崔運釧剛剛依據交易員鄭東雲的要求,趕工開發了一套新系統。交易員鄭東雲負責的是ETF流動性策略交易(Exchange-Traded Funds,交易型開放式指數基金),他一筆買賣的完成,從系統操作上需要兩個程序:訂單生成系統和訂單執行系統,前者就是崔運釧新開發的,後者由一家叫“銘創”的公司開發。

崔運釧的這套系統上線並不需要部門老大楊劍波的審核,老大從不盯著IT員工的工作。

……


內部控制——一個案例重溫《企業內部控制應用指引之信息系統》

在證監會的調查中,光大證券相關人員均承認,是由於內部研發的程序錯誤以及“銘創”程序未校驗資金導致“烏龍指”事件發生,並承認在事發後多次修改過程序。

證監會認定8月16日13時開市至14時22分,光大證券通過賣空股指期貨、賣出EFT基金對沖風險為內幕交易,這也就是策略投資部盡力彌補公司損失的時間。光大證券在這段時間內獲利和規避損失

共5億多元全部被罰沒外,還另外處以5倍罰款。

徐浩明(總裁)、沈詩光(財務總監)、楊赤忠(分管領導)、楊劍波(部門領導)分別為內幕交易的直接負責人和其他直接責任人均被處以60萬元罰款,四人為終身證券市場禁入者,終身不得從事證券業務或者擔任上市公司董事、監事、高級管理人員職務,同時為期貨市場禁止進入者。梅鍵(董秘)被責令改正,處以20萬元罰款。

小 結:

光大證券的投資交易相關的信息系統,存在嚴重的內控缺陷:

1、ETF流動性策略交易訂單生成系統和訂單執行系統,均存在設計缺陷,其中,訂單生成系統中 “重下”功能,在設計時錯誤地將“買入個股函數”寫成“買入ETF一籃子股票函數”。訂單執行系統對市價委託訂單是否超出賬戶授信額度不能進行正確校驗

2、重要信息系統上線未經審核、運行測試、驗收等程序,比如系統上線並不需要部門領導(楊劍波)的審核,楊劍波從不“關注”IT員工的工作;半個多月趕工開發的系統,沒有驗收就運用,新增功能更沒有進行測試,真是奇葩!

3、外包業務缺乏外包服務跟蹤評價機制或跟蹤評價不到位,導致出現重大問題,1月份光大期貨系統出現故障也是“銘創”公司的責任。

……

現代企業的運營越來越依賴於信息系統,沒有信息系統的支撐,業務開展就舉步維艱、難以為繼,企業經營就很可能陷入癱瘓狀態。同時,企業信息系統內部控制以及利用信息系統實施內部控制也面臨諸多風險,比如上述“烏龍指”事件,光大證券可謂損失慘重!

鑑於信息系統本身的複雜性和高風險特徵,要求企業必須重視信息系統在內部控制中的作用,制定信息系統建設總體規劃,有序組織信息系統開發、運行與維護,優化管理流程,防範經營風險,全面提升企業現代化管理水平。


重溫一下《企業內部控制應用指引第18號—信息系統》。


內部控制——一個案例重溫《企業內部控制應用指引之信息系統》




內部控制——一個案例重溫《企業內部控制應用指引之信息系統》




內部控制——一個案例重溫《企業內部控制應用指引之信息系統》




內部控制——一個案例重溫《企業內部控制應用指引之信息系統》



內部控制——一個案例重溫《企業內部控制應用指引之信息系統》


作 者:中國註冊會計師(CPA),美國註冊管理會計師(CMA),高級會計師,稅務師(TA);長期從事財稅研究與實踐工作,在財務變革轉型、管理會計實踐、企業數據管理平臺的搭建及大數據應用、稅收籌劃、資本市場方面有獨特見解及積累了大量實踐應用案例。


分享到:


相關文章: