从光大乌龙事件看金融企业的风险控制

    8月16日，在中国证券市场上发生了堪能载入史册的重大乌龙事件，光大证券策略投资部开展ETF套利交易出现严重失误，先后下单234亿，成交72.7亿，涉及150多只股票。上述交易的当日盯市损失约为1.94亿元（以当日收盘价计算）。致使当日上午整个A股市场瞬间增加了3400亿的市值，仅两分钟后，指数又直线坠落，收盘时以下跌终场。

    中国证监会8月18日发布通报，认定8月16日全天股市交易成交有效，能够顺利交收，整个结算体系运行正常。因光大证券该项业务内部控制存在明显缺陷，信息系统管理问题较多，上海证监局已决定先行采取行政监管措施，暂停相关业务，责成公司进行整改和内部责任追究。同时，中国证监会决定对光大证券正式立案调查。

    此次事件是我国资本市场建立以来的首例，虽然是一起极端个别事件，但暴露出的风险足以震动整个金融行业。

    从事件过程可以看出，光大证券在高频套利业务的运营方面出现了严重的风险漏洞：信息系统安全风险是造成乌龙事件发生的最直接原因。从公开的信息披露看，高频套利系统的风险漏洞主要是可用资金额度校验控制缺陷、订单生成系统缺陷、订单执行系统缺陷、监控系统缺陷四个方面。一是可用资金额度控制缺陷。当日预设的8000万元当日现货交易额度没有起到控制作用，导致26082笔预期外的市价委托订单生成。二是订单生成系统缺陷，完全依据预设模型的设定生成订单，在11时05分08秒之后的2秒内，瞬间生成巨量市价委托订单；三是订单执行系统存在的缺陷，上述预期外的巨量市价委托订单被直接发送至交易所。四是监控系统缺陷。交易员不能通过系统监控模块查看交易情况，在发生预期外的市价委托订单后2分钟才发现成交金额异常，监控系统缺乏必要的预警。

    人员操作方面存有严重失误是事件发生的根本原因。光大证券采用的套利信息系统是一种高频交易软件，需要内部团队在每天盘后进行数据实时量化分析，并对系统的预设核心技术模型进行修正，以期更加准确、迅速地捕捉盘中随时出现的获利机会。有理由推断，应当是前一天内部团队对订单生成系统核心参数修改，恰恰是在参数修改时发生了原本不该出现的错误。而8月19日光大债券交易再现乌龙，导致其以超低价卖出10年期国债。尽管经协商，误操作债券并不进行交割，但光大证券的内控机制缺陷已暴露无遗。

    交易所对券商自营账户监管及股票交割结算的制度漏洞，也在客观上成了光大乌龙风波放大的推手。交易当日，光大证券自营账户上只有8000万元保证金，但是因为交易所对券商自营账户并不需要验证保证金的具体数额，只在清算时券商把钱凑齐即可，然而最终成交金额7.72亿元，为保证金的90多倍。

    光大证券的危机公关管理也略有缺陷。当光大证券交易员通过系统监控模块发现成交金额异常，同时，接到上海证券交易所的问询电话，迅速批量撤单，并终止套利策略订单生成系统的运行，同时启动核查流程并报告部门领导，为光大减少了不必要的损失。光大证券于当日下午暂停交易，并于下午14时25分发布公告。但在午盘时，光大证券董事会秘书未及时披露有关事实，矢口否认乌龙情况，对广大投资者造成了误导。

    依据中国证监会的通报看，尽管“8·16光大乌龙事件”被定性为极端个别事件，但光大证券由于自营业务风险控制方面的严重问题，不但自营业务遭受到巨大的损失，且必将遭受监管机构的严厉处罚。各金融企业当引以为鉴，加强对信息系统安全、内控制度完善、监管政策执行方面的风险控制就显得尤为重要。

    首先，应当加强对信息系统的风险评估。光大证券自营的策略交易系统存在程序调用错误，额度设定失灵等问题，正是导致事件发生的直接原因。基于信息安全的角度，对信息管理系统所面临的威胁、存在的弱点、造成的影响进行全面科学地风险评估十分必要。

    风险评估的意义在于对风险的全面认识，充分挖掘认识潜在的各种风险、威胁及弱点，以便于及时进行风险处理。在考虑了金融企业的实际情况后，选择适合自身的风险控制方法，可以对同类的风险因素采用相同的基线控制，这样有助于在保证效果的前提下降低风险事件发生的可能性。

    其次，加强内部操作环节的风险控制。建立并完善职责明晰、各司其职的现代金融企业法人治理结构，制定符合风险管理要求的业务运营、风险控制、审计检查三方面相互独立又深度结合的内控制度体系，切实将外部监管的法律、法规、要求进一步细化，并内化到内控制度体系中。不断完善风险管理的手段，采用专门的技术和方法对风险点进行识别，评估其影响，制订相应的措施，通过监控检查等活动确保措施的执行，实现事前、事中、事后的全程风险管理。强化责任追究，制定并完善针对工作失职或违规操作的工作人员的纪律处分规定和规章制度，明确直接责任人。严肃查处各类违规违纪行为，不以补代罚、以罚代刑，坚决追究相关责任人的责任。加强风险文化管理，树立风险防范理念，提高金融机构工作人员的责任意识。

    再次，强化危机处理。我国目前正处于经济转轨、社会转型的关键时刻，社会不稳定因素增强，突发性危机事件发生频率加大，尤其是对金融企业而言，及时有效地应对各种危机事件已成为金融企业必须面对的重大挑战。适时、正确的决策至关重要，直接决定着危机处理的成败；完善的内部控制流程亦是金融企业面对危机时快速高效做出决策的必要保障。

    由于各个突发性风险事件导致的金融性危机具有突发性和紧急性的特点，同时又可能对金融企业存在一定的冲击力和破坏力，如果不加以及时有效地控制与处理，容易造成风险事件的升级，带来难以预料的严重后果。因而，强化危机处理，控制危机蔓延，减少各种损失，降低风险系数，是风险事件发生后的必然选择。

    总而言之，风险管理以及内部控制应当成为现代企业尤其是风险系数相对较高的金融企业必须解决的问题。对风险的控制不仅面向过去，而且也面向未来；风险管理不仅贯穿于业务层次也贯穿于管理层次；不仅贯穿于战术层次也贯穿于战略层次；不仅贯穿于执行层次也贯穿于决策层次。金融企业风险管理涉及全要素、全过程、全层次、各方面的风险控制，机构必须降低风险发生的频率，减少风险危机带来的损失，严格控制风险事件的发生。

    （作者单位：西北大学经济管理学院）