光大证券“乌龙指”事件

 

    2013年8月16日11时5分左右，中国A股市场突发历史罕见的异常事件——上证综指突涨5.96%，中石油、中石化、工商银行和中国银行等71支权重股在2分钟内均触及涨停，这一事件的起因是光大证券策略投资部门自营业务在使用其独立的套利系统时出现问题，因而被市场称为光大证券“乌龙指”事件。

 

    随后的证监会的调查结果和光大证券发布的声明都表明，这一事件的发生原因是光大证券自营业务的策略交易系统存在程序调用错误、额度控制失效等设计缺陷。该策略交易系统包含订单生成系统和订单执行系统两个部分，由于订单生成系统存在程序缺陷，在11时02分发出的180ETF成分股订单150秒内未得到回报反馈的情况下，于11时05分08秒之后大量重复下单，2秒内生成26082笔预期外的市价委托订单；由于订单执行系统额度控制失效，上述预期外的巨量市价委托订单，被直接发送至交易所，累计申报买入234亿元，实际成交72.7亿元。

 

    这一问题的产生不得不令人对光大证券的信息系统内部控制产生质疑。这一案件也足显IT内控对企业经营管理的重要性，把IT内控提高到了一定的高度。

 

    被忽视的IT内控

 

    我们在讨论内控体系建设的规划导图时，经常会提及“管理制度化、制度流程化、流程信息化”，信息化被我们认为是强化内控体系有效落地的最佳管理实践。随着IT的快速发展，IT显然已从生产与管理的辅助手段和工具，上升到影响组织全局的现代企业管理手段，IT的应用已经深化到制度和战略层面。但是我们也不得不承认，在我们日常的内控体系建设中，IT内控建设往往被大家所忽视。什么是IT内控，应该如何建设并开展IT内控审计，都是大家需要认真思考的问题。

 

    COBIT

 

    COBIT(Control Objectives for Information and related Technology) 是目前国际上通用的信息系统审计和评价的标准，由信息系统审计与控制协会在1996年公布。COBIT是一个基于IT治理概念的、面向IT建设过程的IT治理实现指南和审计标准。COBIT通过4个管理域34个控制过程，218个控制活动从IT资源、信息及流程方面规范了IT的控制活动，并提供了大量的应用工具和操作指南。因此，企业要建立合规的IT内部控制，首先要先打造一个以COBIT为核心的合规IT内控体系。其包括的4个管理域是框架的核心，主要包括：
　　⑴规划和组织控制域
　　主要关心如何使IT在实现公司目标中发挥更大的作用。然后对IT战略远景的实现进行规划、交流和管理。最终，搭建适当的组织结构和技术架构。
　　⑵获取和实施控制域
　　为了实现IT战略，必须寻找、开发和获取IT解决方案，同时实施IT方案并将其结合到业务流程中去。此外，对现有系统进行变更和维护，保证系统生命周期的连续性。
　　⑶交付与支持控制域。
　　该领域主要涉及实际交付所需要的服务，范围包括附加的安全服务和连续的培训。为了交付服务，必须建立必要的支持程序。该领域还包括应用程序对数据的处理，这通常被归类为应用程序控制。
　　⑷监控与优化控制域。
　　定期对所有的IT程序进行评估以确保他们的运行性能符合控制的要求。该领域强调管理层对公司控制程序以及内部和外部审计师提供的独立保证进行考察。

http://s13/mw690/d6a869e1gx6D3HihvBy0c&690

 

图1：COBIT管理框架

 

   IT内控建设

 

    IT控制通常分为一般性控制和应用系统控制。IT一般性控制，主要包括信息系统开发流程的控制、程序变更管理控制、计算机运行管理控制、程序与数据访问控制、信息系统安全的控制，还有IT计划等。在一般性控制之外，还有应用系统的控制，包括应用系统中设置的有关业务流程的输入、数据处理和输出控制等。

 

    根据《企业内部控制基本规范》及18号应用指引---信息系统以及解读，结合多年的咨询经验，笔者认为IT内控应当关注一下重点内容的建设。

    1. 信息系统的规划

    缺乏统一的系统规划，容易导致信息孤岛或重复建设，尤其涉及到异地单位的系统管理。因此，信息系统的规划要纳入企业的经营战略，并包含到年度工作计划中，侧重与经营业务的协调与匹配。

   2. 信息系统的开发

    无论是外包开发还是自行开发，都应该强调以需求为基本出发点。因此，充分的需求分析是信息系统开发的必要前提。在开发建设环节，要将企业的业务流程、内控措施、权限配置、预警指标、核算方法等固化到信息系统中，因此开发建设的好坏直接影响信息系统的成败。

    3. 信息系统的运行与维护

    信息系统的运行与维护，需要从以下几个方面考虑：

    （1）建立健全系统变更程序控制

    （2）建立完整的系统操作权限说明书

    （3）建立健全操作权限变更流程

    （4）加强对超级用户的管理

    （5）加强对离职人员及人员内部调动的权限管理

    （6）加强系统岗位责任制建设

    （7）加强系统访问设置

    （8）加强系统后天数据变更管理

    （9）加强操作日志管理

    （10）加强数据备份管理

    （11）加强异地灾难恢复控制

    （12）加强系统运行状态监控

    （13）加强异常现象的监控与分析

    （14）加强系统安全保密管理

    （15）加强防毒软件及防火墙的应用及相关程序控制

 

    IT内控审计

 

    目前的IT内控审计存在诸多难点，比如企业在观念上对IT内审的重视程度不够；企业IT内审的组织架构不清晰，因为IT内审既涉及IT，又包含审计的内容，很多企业不知道该由哪个部门来推动；很多企业的信息化建设不尽如人意，因此IT审计被忽略；IT内审执行需要既了解IT又了解审计的人才，这样的人才比较缺乏。据我所知，目前除了国际四大会计师事务所会在财务报表审计时专门开展IT审计外，国内的大部分会计师事务所亦尚未将IT审计纳入整体的审计范围。以下是某中介机构的IT内控检查清单，仅供参考。

    1. 信息系统安全

   （1）计算机及信息系统的清单

   （2）信息系统安全的安全政策

   （3）计算机及信息系统的用户/登陆权限清单

   （4）系统登陆的记录文件

   （5）离职人员的系统用户账户的管理程序

   2. 应用系统的实施与维护

   （1）应用系统变更及升级的相关程序

   （2）应用系统变更及升级的应用，授权，测试和执行的记录文件

    3. 数据库的实施与维护

   （1）系统备份及恢复的程序步骤

   （2）系统备份及恢复的实际操作记录文件

   （3）异地存放备份磁带的发运记录文件

   （4） 灾难恢复计划

   （5）灾难恢复程序的测试计划及其结果

 

    4. 网络支持

   （1）防毒软件及防火墙的应用及相关程序

   （2）网络IP地址的管理和分配程序

   （3）个别部门需要建设子网的管理程序

    5. 硬件支持

   （1）登记每台计算机内的管理程序(包括系统软件,硬件规格等)

   （2）定期检查硬件保用证,定期机件检查,硬件容量等的制度及程序

   （3） 定期检查机房物理安全的政策及程序

 

作者：范炜琪 杭州博观企业管理咨询有限公司