第一章-案例分析PPT课件.ppt

第一章案例分析 管理学院吕炜Wei lv H 1 一 光大证券简介 光大证券股份有限公司创建于1996年 是由中国光大 集团 总公司投资控股的全国性综合类股份制证券公司 2008年8月18日 公司在上海证券交易所挂牌上市 证券简称为 光大证券 证券代码 601788 公司经营范围 证券 含境内上市外资股 的代理买卖 代理证券的还本付息 分红派息 证券代保管 鉴证 代理登记开户 证券的自营买卖 证券 含境内上市外资股 的承销与保荐 含主承销 证券投资咨询 含财务顾问 客户资产管理 直接投资业务 中国证监会批准的其他业务 2 二 8 16 光大证券乌龙指事件简介 2013年8月16日上午11点06分 光大证券发生交易系统错误 在进行ETF 交易型开放式指数基金 套利下时234亿元最终成交72 7亿元 做量化投资的部门拟购买3000万股50etf 每份约1 64元 错下单为3000万手 交易金额放大了100倍 金额约50亿元 大量买单瞬间推升沪指飙升逾100点 最高冲至2198 85点 沪深300成分股中 总共71只股票瞬间触及涨停 且全部集中在上海交易所市场 其中沪深300权重比例位居前二的民生银行 招商银行均瞬间触及涨停 光大证券18日发布公告 详细披露 8 16 事件过程及原因 称当日钉市损失约为1 94亿元人民币 之后 证监会对光大证券和相关责任人员采取 顶格 行政处罚 光大证券被罚5 23亿元 并对光大证券策略投资部原总经理杨剑波等分别给予警告 罚款60万元并采取终身证券市场禁入措施 3 三 光大证券乌龙指事件处罚原因 该事件触发的是系统缺陷 策略投资部使用的套利策略系统出现了问题 该系统包含订单生成系统和订单执行系统两个部分 核查中发现 订单执行系统针对高频交易在市价委托时 对可用资金额度未能进行有效检验控制 而订单生成系统存在的缺陷 会导致特定情况下生成预期外的订单 本事件中每个下单指令生成为4 6毫秒 传统IT技术开发的风控系统带来巨大延迟 严重影响下单速度 使各环节风控全部 被失效 由于订单生成系统存在的缺陷 导致在11时05分08秒之后的2秒内 瞬间重复生成26082笔预期外的市价委托订单 由于订单执行系统存在的缺陷 上述预期外的巨量市价委托订单被直接发送至交易所 4 问题出自系统的订单重下功能 具体错误是 11点零2分时 第三次180ETF套利下单 交易员发现有24个个股申报不成功 就想使用 重下 的新功能 于是程序员在旁边指导着操作了一番 每想到这个功能没实盘验证过 程序把买入24个成分股写成了24组180ETF成分股 结果生成巨量订单 三 光大证券乌龙指事件处罚原因 5 四 光大证券乌龙指事件深层次原因 光大证券策略投资部门系统完全独立于公司其他系统 甚至未置入公司风控系统监控下 因此深层次原因是多级风险控制 简称风控 体系未发生作用 1 交易员级 对于交易品种 开盘限额 止损限额三种风控 后两种都没发挥作用 2 部门级 部门实盘限额2亿元 当日操作限额8000万元 都没有发挥作用 3 公司级 公司监控系统没有发现234亿元巨额订单 同时 或者动用了公司其他部门的资金来补充所需头寸来完成订单生成和执行 或者根本没有头寸控制机制 4 交易所 上交所对股市异常波动没有自动反应机制 对券商资金越过权限的使用没有风控 对个股的瞬间波动没有熔断机制 上交所声称只能对卖出证券进行前端控制 6 五 内部控制评价报告及其审计报告 2013年3月27日广大证券公布的 内部控制评价报告 中描述自己的信息系统控制为 公司设立信息技术部 统一归口管理公司信息系统规划 建设以及运维 分支机构的技术人员在技术上接受公司信息技术管理部管理 指导 公司根据国家 行业有关IT建设和管理的法规 标准 制定了涵盖公司系统运行 网络安全 数据管理及应急处置等各环节的IT管理制度和IT系统建设标准 同时要求各分支机构结合实际情况 制定本单位信息系统管理制度及操作流程 为保证信息系统安全运行 规避系统运行错误等安全隐患 加强IT系统硬件与网络安全 公司采取了以下控制措施 7 五 内部控制评价报告及其审计报告 1 实施安全测评 公司聘请专业的安全测评机构对公司的信息系统进行安全等级测评 提高安全防护能力 2012年度公司在上海市重要信息系统安全等级保护测评中获得 信息系统安全等级保护工作优秀单位 称号 2 运维规范化管理 公司总部中心机房负责集中交易系统以及自营部门交易系统的运维工作 具有数据库管理员权限的用户密码均分为两段 分别由不同岗位的运维人员掌握 以保护交易数据的安全 3 监控管理和故障处理 公司建成集中管控平台 通过对各主要系统设备集中全面监视和重要环节重点监控相结合的监控管理 及时 有效发现并处理系统故障 8 五 内部控制评价报告及其审计报告 4 软件杀毒防护 公司所有营业部全面部署杀毒产品 对病毒防护进行集中监控 采取统一分发策略等措施 有效降低了网络安全风险 5 持续提升应急处置能力 公司建立健全了网络与信息安全应急预案 完善了两地三中心的灾备技术体系 并每年至少组织两次全公司范围的信息技术系统灾备应急演练 9 五 内部控制评价报告及其审计报告 2013年3月27日广大证券公布的 广大证券股份有限公司2012年度内部控制审计说明 中进一步明确 公司制定并有效执行一系列与信息系统有关的管理制度 操作流程 岗位手册和风险控制制度 重视对信息技术人员 设备 软件 数据 机房安全 病毒防范 防黑客攻击 技术资料 操作安全 事故防范与处理 系统网络等的管理 内部控制审计结论为 我们认为 公司于2012年12月31日按照 企业内部控制基本规范 和相关规定在所有重大方面保持了有效的财务报告内部控制 10 思考 1 对照信息系统一般控制和运用控制分析广大证券乌龙指事件中存在的控制缺陷 2 结合广大证券乌龙指事件讨论计算机信息系统对证券公司以及资本市场的影响 如何规避风险 3 结合广大证券内部控制评价及审计报告 延伸讨论在证券公司年报审计中注册会计师为什么要重视对系统控制测试 如何对证券公司信息系统控制进行测试 11 Q A 12