光大证券“乌龙指”事件凸显信息系统内部控制审计重要性
李晓亮 (审计署武汉办)
2013年8月16日11时5分左右,中国A股市场突发历史罕见的异常事件——上证综指突涨5.96%,中石油、中石化、工商银行和中国银行等71支权重股在2分钟内均触及涨停,这一事件的起因是光大证券策略投资部门自营业务在使用其独立的套利系统时出现问题,因而被市场称为光大证券“乌龙指”事件。
随后的证监会的调查结果和光大证券发布的声明都表明,这一事件的发生原因是光大证券自营业务的策略交易系统存在程序调用错误、额度控制失效等设计缺陷。该策略交易系统包含订单生成系统和订单执行系统两个部分,由于订单生成系统存在程序缺陷,在11时02分发出的180ETF成分股订单150秒内未得到回报反馈的情况下,于11时05分08秒之后大量重复下单,2秒内生成26082笔预期外的市价委托订单;由于订单执行系统额度控制失效,上述预期外的巨量市价委托订单,被直接发送至交易所,累计申报买入234亿元,实际成交72.7亿元。
这一问题的产生不得不令人对光大证券的信息系统内部控制产生质疑,同时也给外部和内部的审计部门一个重要的警醒——在依赖信息系统开展业务的情况下,信息系统内部控制审计可能关乎全局成败。那么信息系统内部控制审计应当重点关注哪些内容,在调查了解、控制测试和实质性分析阶段分别可以使用什么方法?笔者从审计实践对依赖信息系统开展业务的合规控制作用角度,简单地谈几点看法。
一是通过信息系统内部控制审计发现信息系统的程序或功能缺陷。被审计单位信息系统的程序和功能缺陷直接影响业务活动的真实性、可靠性、合法性。光大证券自营业务的策略交易系统的订单生成子系统因回报反馈超时而产生大量预期外的市价委托订单,就是信息系统的程序缺陷所致,而有的时候,还可能存在信息系统功能设计直接违反有关法规制度的问题。在审计实践中针对该项审计内容,调查了解阶段可以获取信息系统的需求规格说明书和各项设计文档,了解系统功能用例,控制测试阶段可以采用检查和穿行测试程序,验证功能的合规性和分支流程逻辑的正确性,实质性分析阶段可以再结合测试用例法、数据式分析方法或利用专门的嵌入监控程序,进而发现程序或功能缺陷。
二是通过信息系统内部控制审计发现信息系统的控制缺陷。信息系统的系统控制是被审计单位内部控制实现的重要方面,对于完全依赖信息系统开展的业务,信息系统的系统控制几乎已取代传统的业务控制机制。光大证券自营业务的策略交易系统的订单执行子系统额度控制失效,最终导致巨量市价委托订单被执行,是导致该事件发生的关键,产生了巨大的损失和恶劣的后果。在审计实践中针对该项审计内容,调查了解阶段可以获取该信息系统实现的业务控制机制,了解各项控制内容和参数,在控制测试阶段可以采用检查和重新执行程序,检验控制运行是否有效,在实质性分析阶段可以再结合测试用例法和数据式分析方法,尤其是可以设计无效或非法的数据或异常的执行过程作为测试用例,进而发现系统的控制缺陷。
三是通过信息系统内部控制审计发现信息系统的不恰当权限设置。合理的信息系统权限设置是被审计单位内部控制实现的重要保障,如果系统用户的权限设置违反了不相容职责应分离的内部控制原则,可能影响内部控制的有效性。在审计实践中针对该项审计内容,调查了解阶段可以获取被审计单位的不相容职责分离的相关要求及其对应到信息系统的主要权限、角色设置,了解不相容的信息系统权限,控制测试阶段可以导出系统各用户权限列表进行分析或使用专用的不相容权限检查工具,发现存在的不恰当权限设置,实质性分析阶段可以再开展数据分析,重点发现在信息系统流程断点中存在的异常或例外事件,分析不恰当权限设置导致的后果和可能存在的舞弊行为。
四是通过信息系统内部控制审计发现信息系统的不可靠依赖环境。信息系统的依赖环境对信息系统控制的实现有着重要影响,信息系统依赖的各种设备、仪器、传感器甚至人工如果不稳定,会产生信息系统执行中重大错误风险,而这些风险不一定是信息系统本身缺陷导致。光大证券自营业务的策略交易系统导致的“乌龙指”事件,其起因正是发出的订单未在规定时间内接收到回报反馈,且极有可能是缘于通讯故障。在审计实践中针对该项审计内容,调查了解阶段可以通过观察、询问了解信息系统所需依赖的各项外部环境情况,控制测试阶段可以对信息系统依赖环境进行检查、调试,如查看系统运行记录、调试相关设备等,从而发现依赖环境中的不可靠因素,实质性分析阶段可以根据发现的不可靠因素,对有关数据进行分析,确定哪些不可靠依赖环境对信息系统运行可能产生重大错误风险等。
从以上内容可以看出,在被审计单位依赖信息系统开展业务的情况下,通过对信息系统开展内部控制审计,有利于发现内部控制中可能存在的问题,进而揭示经营管理风险,增强合规控制能力。而随着未来信息系统审计理念、技术与方法的进步,专门化、智能化的内部控制审计辅助工具将逐步得到发展,无论是对外部审计还是对内部审计,信息系统内部控制审计的作用也必将进一步加强。(李晓亮)
| 【关闭】 【打印】 |
