光大证券审计案例

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,光大证券,8,16,事件,浅探,01,02,03,04,目 录,案情陈述,案情分析,审计策略陈述,总陈述,事件描述,触发原因,产生影响,3,一、事件描述,2013,年,8,月,16,日上午,11,时,05,分，上证指数一改死寂沉沉的盘面，指数曲线直线拉起，三分钟内上证指数暴涨超过,5%,。因为这一天是周五加之是,8,月股指期货合约的交割日。一时间，场内,“,利好消息说,”,和,“,阴谋说,”,传的纷纷扬扬。,“,利好消息说,”,有传优先股政策实施的，有传蓝筹要实行,T+0,的，也有传降低印花税的。阴谋说有大资金企图干扰期指交割日结算价的等等。几分钟后，有媒体指出，指数异动是由于光大证券乌龙指引起的，但市场并不相信，指数继续上涨。中午，光大证券董秘声称,“,乌龙指,”,子虚乌有，使得该事件更加扑朔迷离，这严重干扰了市场部分人士的判断。午后开市，光大证券停牌，同时发布公告称，光大证券策略投资部门自营业务在使用其独立的套利系统时出现问题，公司正在进行相关核查和处置工作。至此，此次指数异常波动被确认为光大证券,“,乌龙指,”,所导致。投资者在得知真相后，人气涣散，指数逐级回落，至收盘，上证指数收跌,0.64%,01案情陈述,0,2,0,3,0,4,二、触发原因,由于订单生成系统存在的缺陷,，,导致在11,时,05,分,08,秒之后的,2,秒内，瞬间重复生成,26082,笔预期外的市价委托订单,;,由于订单执行系统存在的缺陷，上述预期外的巨量市价委托订单被直接发送至交易所。,策略投资部使用的套利策略系统出现了问题，该系统包含订单生成系统和订单执行系统两个部分。核查中发现，订单执行系统针对高频交易在市价委托时，对可用资金额度未能进行有效校验控制，而订单生成系统存在的缺陷，会导致特定情况下生成预期外的订单。,01案情陈述,0,2,0,3,0,4,三、产生影响,监管机构和交易所被质疑不作为：,1、没有及时采取熔断措施，导致股指剧烈波动,2、没有及时披露事件真相，引发市场恐慌,投资者损失惨重，市场信心低落：现货市场投资者跟风买入后被套牢,IT供应商陷入信任危机：,1、铭创公司关闭网站，撤下80家客户名单，被你竞争对手挖墙角,2、竞争对手恒生、金证股价先跌后大涨,光大证券受到多重打击：2013年8月16日上午的乌龙事件中共下单230亿，成交72亿，涉及150多只股票。按照8月 16日的收盘价，上述交易的当日盯市损失约为1.94亿元,。,01案情陈述,0,2,0,3,0,4,01,02,03,04,目 录,案情陈述,案情分析,审计策略陈述,总陈述,内部控制的要素,光大在内控各要素上的制度设计,内控在8.16事件中的表现,02,案情分析,03,04,一、内部控制的要素,2013年COSO内部控制综合框架中指出，内部控制的要素主要分为：,内部环境、风险评估、控制活动、信息与沟通、内部监督,五大方面。,按照立信会计师事务所给光大证券出具的2012年度内部控制审计报告，光大证券的内部控制要素也是按照这五大方面设计的。,0,1,02,案情分析,01,03,04,一、内部控制的要素,02,案情分析,01,03,04,二、光大证券在各要素上的内部控制制度设计,1、内部环境,内部环境要素是企业内部控制执行的基础环境，其好坏程度直接影响内部控制的效果。对内部控制的环境主要从,公司的治理结构、内部机构设置与职责分工、内部审计、人力资源政策、企业文化和法制环境,等方面进行了解。,本案例中立信会计师事务所从治理结构、发展战略、人力资源、社会责任、企业文化来了解光大证券的内部环境要素，对内部控制的环境总体评价良好。,在治理结构上，公司三会运作规范，权责明确并互相制衡。成立了董事长牵头的内控领导小组，独立董事也发挥了应有的作用。,在发展战略上，公司董事会下设战略与发展委员会，对战略与发展委员会的人员组成、职责权限、决策程序、议事规则做出明确规定。,在人力资源上，建立了严格的职责分工政策，不相容职务相互分离，建立了关键岗位员工的强制休假制度。,在社会责任和企业文化方面也形成了相关的制度。,但是从光大证券的内部环境中没有体现内部审计的作用。,01,02,案情分析,03,04,1、内部环境,02,案情分析,01,03,04,2、风险评估,风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。在进行内控审计过程中需要了解企业风险评估的框架以及相应的确定,风险承受度、识别的风险、风险分析和风险应对,的程序。,01,02,案情分析,03,04,光大证券管理层已认识到风险管理对于公司生存、发展和战略目标实现的重要性。公司根据设定的控制目标，施行自上而下的矩阵式风险识别与评估，建立了履行风险识别和评估的四层级内部控制组织架构。公司董事会及各下设委员会，主要负责公司整体风险的识别、评估及处置工作；经营管理层及下设各专业委员会，负责经营过程中各业务领域的风险识别和评估工作；风险管理部、稽核部、法律合规部等专职内控监督和检查部门，负责对公司各类业务风险的事前审核、事中监控和事后审计监督；各业务和职能部门，负责各单位的风险自控。,此外，光大证券对于风险排序、风险应对、风险策略调整等都有一套比较科学的制度方法。,可以说，光大证券在风险评估这个要素上的内部控制制度设计是比较完善的。但在执行过程中，光大证券的风险评估体系有点流于形式，没有切实执行，此次事件，合规部门没有做好事中控制，按理说，至少在订单生成前，合规部门对于将要发出的订单，应该进行必要的审核，审核通过才能发往交易所,。,2、风险评估,01,02,案情分析,03,04,3、控制活动,控制活动是企业根据风险评估的结果而采用相应的控制措施，将风险控制在可承受的范围之内。,企业在经营过程中会对不同的业务设计不同的控制程序，这就需要在实施内部控制审计时从两个层次来进行审计。第一个层次是了解内部控制设计的程序是否合理，程序能否对关键点实施控制达到预期目标。第二个层次是内部控制是否得到了有效是实施。合理的内部控制若没有得到有效的实施那内部控制只是留于形式。,针对光大证券的控制活动，立信会计师事务所运用询问、观察、检查、问卷调查等方法，从经纪业务、证券投资业务、投行业务、信用业务、资产管理业务、直投业务、资金业务、信息系统、对控股子公司的管理、关联交易控制、风险控制、公司其他业务、账户规范情况等方面了解了光大证券的控制活动，得出了控制总体合理、有效的结论，但在经纪业务、投行业务、资产管理业务、信息系统、对子公司管理等方面存在问题，但都是无可厚非的小问题。,但此次乌龙指事件的爆发，还是说明光大证券在内部控制方面存在比较严重的问题的，本次事件，就是公司的独立套利系统出现了问题，这套系统包含订单生成系统和订单执行系统两个部分，其中订单生成系统为光大自主研发，订单执行系统由上海铭创软件公司为光大证券定制研发。一般情况下，由公司自主研发的系统和由其他机构为公司定制研发、没有大规模使用的系统，都属于高风险的信息系统，需要给予格外的关注，但是光大证券对该信息系统没有给予格外的关注，反而将其置于公司内部控制体系之外，使这一充满问题的高频交易系统得以顺利上线。订单执行系统针对高频交易在市价委托时,对可用资金额度未能进行有效校验控制,而订单生成系统存在的缺陷,会导致特定情况下生成预期外的订单。“程序本身的问题触发后，自动下单，停都停不住，最后是拔了电源”。这说明该高频交易系统的上线和管理运行完全没有按照公司与信息系统有关的管理制度、操作流程和风险控制制度来。,01,02,案情分析,03,04,3、控制活动,在风险控制方面，光大证券已制定信息隔离墙管理办法，建立明确清晰的内部隔离组织架构，通过采取人员隔离、物理空间隔离、信息隔离、资金隔离、跨墙管理、清单管理以及静默期管理等有效隔离措施，将内部隔离落实到公司各项业务活动中，从而保障公司合法合规经营管理。但本次乌龙指事件中数百亿的大订单能够顺利发出，还是说明光大证券的信息隔离墙制度没有严格执行。,01,02,案情分析,03,04,3、控制活动,4、信息与沟通,01,02,案情分析,03,04,信息与沟通是企业及时、准确的收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效的沟通。,案例中光大证券制定了信息披露实务管理制度、内幕信息知情人登记制度等规章制度，对信息披露的流程和要求等做了明确规定，并明确了相应信息披露的责任人，而且公司通过电话、电子邮件、网络平台、接待来访、参加投资者见面会等形式与投资者进行交流。,但本次乌龙指事件中光大的表现却说明公司在信息与沟通方面的内部控制是失败的，在上午系统出现问题，事情发生后，光大集团的董秘仍对外坚称公司系统没有问题，从而引发外界对光大虚假陈述的怀疑。,5、内部监督,01,02,案情分析,03,04,内部监督是企业对,内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷并加以改进,。内部监督系统相当于内部控制系统中的纠错与更新程序其是保证内部控制不断完善的必要措施。,光大证券设计了以监事会为最高监督层，对公司财务以及公司董事、总裁及其他高级管理人员履行职责的合法性进行监督，维护公司及股东的合法权益，对股东大会负责。审计与稽核委员会是董事会的专门工作机构，主要负责公司内、外部审计的沟通、监督和核查工作，确保董事会对管理层的有效监督。法律合规部负责对公司合规风险进行管理，负责新业务、新产品的事前审核。风险管理部对各业务条线和净资本等风控指标进行实时监控和现场检查。稽核部通过各种稽核方式对公司各项经营管理活动进行事后的全面审计。,该套内部监督的制度设计我认为是比较完善的。,02,案情分析,01,03,04,三、光大证券的内部控制体系在8.16事件中的表现,内控体系在8.16事件中没有发挥任何作用,经查证，光大证券策略投资部门系统完全独立于公司其他系统，甚至未置于公司风控系统监控下，多级风控体系都未发生作用。,交易员级：对于交易品种、开盘限额、止损限额三种风控，后两种都没发挥作用。,部门级：部门实盘限额,2,亿元，当日操作限额,8000,万元，都没发挥作用。,公司级：公司监控系统没有发现,234,亿元巨额订单，同时，或者动用了公司其他部门的资金来补充所需头寸来完成订单生成和执行，或者根本没有头寸控制机制。,内控体系在8.16事件中没有发挥任何作用的原因,01,02,案情分析,03,04,1,操作风险管控严重缺失。,2,光大内控体系未“嵌入”业务层。,3,证劵交易所以及光大内部制度、管理层也存在严重的内控缺陷。,4,会计师事务所未履行好监管责任,。,03,01,02,03,04,目 录,案情陈述,案情分析,审计策略陈述,总陈述,内控审计报告,忽略的控制风险,会计师事务所面临的审计风险,阻止,8,16,事件发生的内控措施,内部控制,内部环境,风险评估,控制活动,信息与沟通,内部监督,风险识别,风险分析,风险应对,03,审计策略,0,4,0,2,0,1,内控审计报告忽略了的控制风险,1、企业内部风险信息沟通不畅带来的风险,证券公司应当在分支机构、业务部门、风险管理部门、经理层、董事会之间建立畅通的风险信息沟通机制,确保相关信息传递与反馈的及时、准确、完整。风险管理部门发现风险出现异常情况,应当与业务部门、分支机构及时沟通,了解情况和原因,督促业务部门、分支机构釆取措施在规定时间内予以有效解并及时向首席风险官和负责信息披露人员报告。,03,审计策略,0,4,0,2,0,1,内控审计报告忽略了的控制风险,2、交易信息系统的缺陷带来的风险,案例中的证券业务都是通过互联网计算机系统完成交易的，所以光大乌龙事件产生的直接原因就是光大证券的ETF交易系统设计缺陷，而注册会计师忽略了有关这一方面的内部控制审计。,03,审计策略,0,4,0,2,0,1,24,外部实时交易数据,实时市场报价系统,统一格式实时交易信息,高频交易策略系统,交易指令交易回复,交易订单管理系统,交易所,交易指令交易回复,后台系统,交易数据,程序设计存在错误,交易订单管理系统,交易所,03,审计策略,0,4,0,2,0,1,高频策略系统处理过程,接受处理报价及其他数据,根据策略进行计量分析,运行持仓、资金等检查,产生并发送交易指令,等待并接受回复,进行盈亏核算等后续处理,”,重下,“,功能中的交易指令错误，,无法显示已报送订单金额,内控审计报告忽略了的控制风险,3、企业风险管理组织结构设计缺陷带来的风险,光大证券在风险管理的组织架构上存在不少问题,风控部门的独立性和权威性不强,风控部门的资金、人力资源投入也不足,难以为公司的风险管理提供必要支撑。,03,审计策略,0,4,0,2,0,1,信用政策委员会,操作风险委员会,资本委员会,金融风险委员会,风险管理总部,合规稽核部,首席风险官,经,济,业,务,保,荐,业,务,资,产,管,理,投,资,自,营,投,资,咨,询,融,资,融,券,风险委员会,审计委员会,董事会,高层,风险,管理,部门,风险,管理,常设,部门,业务,风险,管理,部门,28,公众对审计,的认识,可能的,准则,现在的,准则,现在的,执业,公众对执业,的认识,准则的期望,有必要进行进一步的沟通,不合理的期望,有必要进行执业上的改进,执业的期望,合理的期望,实际执业的缺陷,由于不现实的认识形成执业缺陷,A,B,C,D,E,03,审计策略,0,4,0,1,0,2,会计师事务所面临的审计风险,1、注册会计师缺乏执业道德和相关专业胜任能力带来的审计风险,2、社会公众希望注册会计师审查每一笔业务，所导致的审计抽样的风险。,3、被审计单位管理层凌驾于被审计单位内部控制之上，导演被审计单位舞弊，故意隐瞒或者误导注册会计师审计工作而带来的审计风险,03,审计策略,0,4,0,2,0,1,9/29/2024,假设光大证券的策略投资部门被纳入了公司的内部控制体系，那么,能够阻止,816,事件发生的内部控制措施有以下几点：,第一，四级监督体系应该在策略投资部执行,1,、证券公司应当建立由风险管理部门负责的统一的中央风控系统,承担对公司整体风险进行实时监控的工作,在范围上覆盖到公司各项业务。,2,、 光大证券的四级监督体系的执行范围应该囊括策略投资部门，而不应该将他们独立于企业内控之外，做“自治区”。,03,审计策略,0,4,0,2,0,1,9/29/2024,第二，风险管理部应该发挥本部门的职能,公司的策略交易属于创新业务,风险管理部门应当充分了解新业务的运作模式、估值模型及风险管理的基本假设、各主要风险以及压力情景下的潜在损失,全程参与新产品新业务的研究论证,进行专项的风险评估,制定专门的风险管理方案,提出相应的风险控制措施,形成风险应急预案,进行必要的压力测试,。,03,审计策略,0,4,0,2,0,1,9/29/2024,第三，完善信息沟通途径,证券公司全面风险管理规范特别指出建立合理的风险信息沟通机制的必要性,以确保风险信息在业务部门、风险管理部、经理层和董事会之间的传递和反馈做到及时、准确和完整。风险管理的有效性基于及时和准确的风险管理信息和对信息的正确解读。证券公司必须塑造一个高效顺畅的风险管理信息传递流程,在不违反保密和防火墙的原则下,确保公司风险信息自上而下和自下而上的有效传递。证券公司各业务部门和分支机构是风险信息的第一获取者,并据此对业务部门进行监督、检查和控制。业务部门的风险信息经由职能部门上报至风险管理总部,汇报路径应当独立于业务决策的执行路径,以提高信息的准确性和可靠性。,03,审计策略,0,4,0,2,0,1,9/29/2024,第四，完善风险管理组织结构设计,1,、设置合理的风险组织架构,光大证劵组织结构存在两点不足：,风险管理部门级别较低,大部分都是隶属于公司管理层,属于一般性的职能机构,是风险管理机构内部专业化分工不够细致,部门内未设置专门针对不同风险种类的管理委员会。,03,审计策略,0,4,0,2,0,1,9/29/2024,董事会,审计委员会,风险管理总部,合规稽核部,风险委员会,业务部门,(1),制定公司风险管理及内部控制政策,;(2),审批风险委员会、审计委员会拟定旳风险管理、内部控制政策和策略,;(3),授权审计委员会和风险委员会进行风险管理,;(4),督促公司风险管理和内部控制机制的有效运行。,(1),负责拟定公司风险管理战略、风险管理基本制度,;(2),负责审批各类风险监测、评估、预警、和风险控制方法,;(3),负责拟定公司年度风险限额,由董事会批准后在限额内审核各项风险管理工作,;(4),根据董事会要求对公司重大经营活动进行专项风险评估,审计委员会对公司董事会负责,其工作包括评估公司的风险政策、流程,监督公司内部控制体系建设,对内部控制合理性及有效性进行审查,提出整改方案。,(1),负责拟定完善风险管理体系建设的方案,;(2),负责汇总各类风险信息,向风险委员会报告公司总体风险情况,;(3),负责拟定公司各类风险监测、评估和控制方法,;(4),负责组织评估公司创新业务、产品和重大经营活动的风险状况,提出风险管理指导意见,;(5),负责各部门的风险限额的确定,并对经纪、证券投资、资产管理等业务风险进行实时监控。同时公司成立资本委员会、信用政策委员会、操作风险委员会等专门委员会对部门工作提供专业性支持。,(1),负责对公司各部门开展各项业务提出内部控制建议,对各部门内控实施细则进行审核,;(2),负责对内部控制制度的执行情况实行检查和反馈,将常规审计、专项审计稽核中发现的风险问题报送风险管理总部,;(3),审核公司业务运行中的法律合规问题,对业务部门提出建议。,(1),负责确保本部门经营管理活动在风险管理委员会确定的风险限额之内,;(2),负责贯彻部门内部控制制度建设,加强部门风险管理能力,;(3),负责将本部门各项风险数据的收集和报送相关风险管理部门,;(4),在业务幵展过程中负责业务人员的督导,定期对部门风控工作进行总结,;(5),配合风险管理总部和合规稽核部对新业务风险及控制措施进行评估。,9/29/2024,2,、提高风险管理部门的独立性和权威性,风控部门在证券公司内部缺乏独立性和权威性是造成其无法充分履行职责的原因之一,而风险管理部门的独立性和权威性体现在管理决策和业务执行过程中。为此不仅要从公司组织架构设置上提高风险管理部门的地位,同时也要从制度上对风险管理部门权威性给予保障,进一步完善和强化风险管理在各级决策过程的作用。,03,审计策略,0,4,0,2,0,1,9/29/2024,第五，启动有效的危机应急处理方案,因为软件自身的缺陷，内控部门应在软件检测后，制定有效的应急处理方案，在危机发生时，启动断路开关机制,-,应急处理方案，将危机有效的被遏制在初级阶段，防止其蔓延，尽可能减少各利益方的损失。,03,审计策略,0,1,0,2,0,4,01,02,03,04,目 录,案情陈述,案情分析,审计策略陈述,总陈述,建议,总结,02,六、对光大证券内部控制制度的建议,0,4,总陈述,0,3,坚持全面性原则,建立独立的实时监控系统,完善,信息系统,建立并执行资金控制机制,健全审批制度,加强员工的风险控制意识,01,小组成员分工,PPT,制作和整理,：,材料收集,：,二,案情分析,四,建议与总结,三,审计策略,一,案情陈述,B,组分工,PPT,最后汇总,汇报人,谢,谢,欣,赏,