基于IT的内部控制问题<br/>——以M证券乌龙指事件为例

基于IT的内部控制问题
——以M证券乌龙指事件为例

2015-03-01王培蕾

商 2015年39期

王培蕾

基于IT的内部控制问题
——以M证券乌龙指事件为例

王培蕾

证券公司作为一个重要的中介机构，在证券市场的运作中起着举足轻重的作用。1987年，第一家专业性证券公司——深圳特区证券公司成立，我国证券公司的数目发展迅速，到目前 (根据中国证券监督委员会的2012年统计数据显示)有111家证券公司①，而且总规模和收入水平也都迈上新的台阶。但是，在快速发展的节奏下，我国的证券公司在内部控制方面也都存在着很多的问题。这些问题的存在给我国的证券市场正常运行构成了潜在的威胁。

2013年8月16日，本来应该是个和平常没什么差异的日子，但是却因为M证券的一个“乌龙指”②事件，被载入了A股市场的史册。

一、案例回顾

2013年8月15日，上证指数收于2081点，16日以2075点低开，一直到上午11点都在低位徘徊。

11点05分31秒，多只权重股瞬间出现巨额买单，股价瞬间被拉升。

11点08分，指数被第一波拉升，然后出现阶段性的回落。

11点15分起，上证指数开始第二波拉升，这一次最高摸到2198点。

11点29分，有媒体发布消息:“今天上午的A股暴涨，源于M证券自营盘70亿的乌龙指。”

11点32分，有媒体发布新闻:《A股暴涨:M证券自营盘70亿乌龙指》。

下午13点，M证券公告称因重要事项未公告，临时停牌。

二、事件带来的市场影响

在8月16日上午的乌龙事件中下单金额达到230亿，成交72亿，导致上证指数瞬间飙升超过100点，最高冲至2198.85点，沪深300成分股中，总共71只股票瞬间触及涨停，且全部集中在上海交易所市场。其中沪深300权重比例位居前二的民生银行、招商银行均瞬间触及涨停。从下面的图1－1中我们可以更加清晰的看到上证指数的变化，指数的拉升分为了两波，第一波指数瞬间被拉升，然后稍有回落，随后又被拉升。

图1－1 上证指数2013年8月16日K线图

对股民来讲，中小投资者本来就处于劣势，他们没有专业的知识，往往只会跟风买卖股票，M乌龙指事件给好多投资者带来了惨重的损失。

三、事件产生的原因

(一)IT技术原因。该次乌龙事件问题出自系统的订单重下功能，该系统是M证券策略投资部为了开展自营业务的需要，开发和使用的一套策略交易系统，于2013年6月7日开发完成，7月29日进行实盘运营。

当日上午9点41分，交易员分析判断180ETF出现套利机会，及时通过套利策略订单生成系统发出第一组买入180ETF成分股的订单。10点13分，交易员发出第二组买入部分180ETF成分股的订单。11点02分，交易员发出第三组买入180ETF成分股的订单。11点2分时，第三次180ETF套利下单，交易员发现有24个个股申报不成功，就想使用“重下”的新功能，但是程序把买入24个成分股，写成了买入24组180ETF成分股，结果生成巨量订单。

(二)量化问题上存在的原因。另一个重要的原因是M证券内部控制系统的缺陷，内部控制系统在没有做到量化指标。正常的来说，一笔交易订单从生成到最后完成交易，除了要经过系统的自动审查以外，还应该经过交易员、部门和公司这三个关口的具体审查。

四、M乌龙指事件给我们的启示

(一)利用信息系统，加强内部控制。利用信息系统后，公司的交易效率很大程度的得到了提高，在业务上获得了更高的盈利，这应该是一件好事。此次M乌龙指事件再次引发了人们对公司信息化管理尤其是核心业务的信息系统管理的深入思考。

(二)量化内部控制系统。在此次M乌龙指事件中，在将交易指令从订单生成系统送往订单执行系统的过程中，不仅应该具备额度的校验机制，系统还应该对大额的订单进行再次确认的模式，即在产生大额的订单时，要对这个额度进行明确，在送达交易所系统之前，要交易员对交易的数量和金额再次的确认。除了对交易的数量进行限制外，对交易的金额也可以进行相应的限制。

(三)加强程序开发过程的内部控制。不管一个系统是多么的成熟，也总会出现各种各样的问题，所以必须要经过严格的验收和测试，只有这样才能保证将程序的错误降到最小。首先重要的是在验收环节要做到不相容职务的分离，特别是开发人员和验收人员不能是同一个人担任，防止没有办法发现错误。其次是在开发完成以后，要由业务部门、开发部门和内部风险控制部门，对系统的各个环节进行模拟的测试，将系统里的各个功能全部试用一遍，保证每个功能都是没有错误的，并留存完整的测试记录。最后还要做到对于系统新开发的功能，公司要在开发完成后一段时间，多次进行测试，并且尽量以不同的人员进行测试，产生尽可能多的结果，无明显缺陷，再上线实盘操作。

(四)强化风险控制部门的职能。笔者认为强化风险控制部门在信息系统使用中的作用，也是做好内部控制必不可少的一个方面。风控部门应在交易的下单与执行中，具有一定的监督权，但是现实情况是，相比投资部等为证券公司带来直接收益的部门，风险控制部门往往因为不能带来直接收益而被忽视，而且好多公司投资部门把风险控制部门的监督认为是在浪费下单时间，在很多情况下会降低收益，导致风险控制部门不能很好的被重视，充分的发挥自己的作用，另外，风险控制部门除了关注业务本身外，还应该对信息系统也加强关注，对核心的信息系统更要进行重点的关注，了解系统的关键参数、关键数据库的设置，并定期组织专家对整个信息系统的操作进行检查。