操作风险管理案例 从光大乌龙事件看金融企业的风险控制

案例7 从光大乌龙事件看金融企业的风险控制

【事件背景】

2013年8月16日，在中国证券市场上发生了堪称载入史册的重大乌龙事件，

光大证券策略投资部开展ETF套利交易出现严重失误，先后下单234亿，成交

72.7亿，涉及150多只股票。上述交易的当日盯市损失约为1.94亿元(以当日收

盘价计算)。致使当日上午整个A股市场瞬间增加了3400亿的市值，仅两分钟后，

指数又直线坠落，收盘时以下跌终场。

中国证监会8月18日发布通报，认定8月16日全天股市交易成交有效，能

够顺利交收，整个结算体系运行正常。因光大证券该项业务内部控制存在明显缺

陷，信息系统管理问题较多，上海证监局已决定先行采取行政监管措施，暂停相

关业务，责成公司进行整改和内部责任追究。同时，中国证监会决定对光大证券

正式立案调查。

此次事件是我国资本市场建立以来的首例，虽然是一起极端个别事件，但暴

露出的风险足以震动整个金融行业。

从事件过程可以看出，光大证券在高频套利业务的运营方面出现了严重的风

险漏洞：信息系统安全风险是造成乌龙事件发生的最直接原因。从公开的信息披

露看，高频套利系统的风险漏洞主要是以下四个方面。一是可用资金额度控制缺

陷。当日预设的8000万元当日现货交易额度没有起到控制作用，导致26082笔

预期外的市价委托订单生成。二是订单生成系统缺陷，完全依据预设模型的设定

生成订单，在11时5分8秒之后的2秒内，瞬间生成巨量市价委托订单。三是

订单执行系统存在的缺陷，上述预期外的巨量市价委托订单被直接发送至交易所。

四是监控系统缺陷。交易员不能通过系统监控模块查看交易情况，在发生预期外

的市价委托订单后2分钟才发现成交金额异常，监控系统缺乏必要的预警。

人员操作方面存有严重失误是事件发生的根本原因。光大证券采用的套利信

息系统是一种高频交易软件，需要内部团队在每天盘后进行数据实时量化分析，

并对系统的预设核心技术模型进行修正，以期更加准确、迅速地捕捉盘中随时出

现的获利机会。有理由推断，应当是前一天内部团队对订单生成系统核心参数修

改，恰恰是在参数修改时发生了原本不该出现的错误。而8月19日光大债券交

易再现乌龙，导致其以超低价卖出10年期国债。尽管经协商，误操作债券并不

进行交割，但光大证券的内控机制缺陷已暴露无遗。

交易所对券商自营账户监管及股票交割结算的制度漏洞，也在客观上成了光

大乌龙风波放大的推手。交易当日，光大证券自营账户上只有8000万元保证金，

但是因为交易所对券商自营账户并不需要验证保证金的具体数额，只在清算时券

商把钱凑齐即可，然而最终成交金额7.72亿元，为保证金的90多倍。

光大证券的危机公关管理也略有缺陷。当光大证券交易员通过系统监控模块

发现成交金额异常，同时，接到上海证券交易所的问询电话，迅速批量撤单，并

终止套利策略订单生成系统的运行，同时启动核查流程并报告部门领导，为光大

减少了不必要的损失。光大证券于当日下午暂停交易，并于下午14时25分发布

公告。但在午盘时，光大证券董事会秘书未及时披露有关事实，矢口否认乌龙情

况，对广大投资者造成了误导。

依据中国证监会的通报看，尽管“8·16光大乌龙事件”被定性为极端个别

事件，但光大证券由于自营业务风险控制方面的严重问题，不但自营业务遭受到

巨大的损失，且必将遭受监管机构的严厉处罚。各金融企业当引以为鉴，加强对

信息系统安全、内控制度完善、监管政策执行方面的风险控制就显得尤为重要。

资料来源：张宗旺.从光大乌龙事件看金融企业的风险控制.

2013年8月30日《光明日报》

【原因分析】

1.光大证券816事件中，因光大证券的策略投资部长期没有纳入公司的风控

体系；技术系统和交易控制缺乏有效管理等原因，导致光大证券在高频套利业务

的运营方面出现了严重的风险漏洞，其中，信息系统安全风险是造成乌龙事件发

生的最直接原因。从公开的信息披露看，高频套利系统的风险漏洞主要是可用资

金额度校验控制缺陷、订单生成系统缺陷、订单执行系统缺陷、监控系统缺陷四

个方面。

2.人员操作方面存有严重失误是事件发生的根本原因，据介绍，订单生成系

统中ETF套利模块的设计由策略投资部交易员提出需求，程序员一人开发和测

试。策略交易系统于3013年6月至7月开发完成，7月29日实盘运行，至8月

16日发生异常时实际运行不足15个交易日。光大证券的策略交易系统很多功能

此前并没有被测试过，也没有应用过。而当日直接引发“乌龙”买单的“重下”

功能更是从未实盘启用，严重的程序错误未被发现。

3.“8.16”事发当时，梅键身为上市公司履行信息披露义务的直接负责人员

及证券公司从业人员，在相关信息尚未披露、市场猜测众多的情况下，未做任何

核实即以个人猜测对外发表言论，并被媒体纷纷转载，此举加剧了市场波动，对

投资者造成了严重误导。

4.交易所对券商自营账户监管及股票交割结算的制度漏洞，也在客观上成了

光大乌龙风波放大的推手。交易当日，光大证券自营账户上只有8000万元保证

金，但是因为交易所对券商自营账户信用保证金杠杆比率没有明确规定，交易时

可任其下单，只要收盘后结算把资金凑齐就行，然而最终成交金额7.72亿元，

为保证金的90多倍。

【启示】

1.企业应当建立全面的风险管理体系，加强对信息系统的风险评估及风险的

全面认识，充分挖掘认识潜在的各种风险、威胁及弱点，以便于及时进行风险处

理。根据实际情况后，选择适合自身的风险控制方法，可以对同类的风险因素采

用相同的基线控制，这样有助于在保证效果的前提下降低风险事件发生的可能性。

光大证券自营的策略交易系统存在程序调用错误，额度设定失灵等问题，正是导

致事件发生的直接原因。基于信息安全的角度，对信息管理系统所面临的威胁、

存在的，弱点、造成的影响进行全面科学地风险评估十分必要。

2.企业应加强法律法规意识，严格按法规精神执行，强化危机处理，控制危

机蔓延，减少各种损失，降低风险系数。我国目前正处于经济转轨、社会转型的

关键时刻，社会不稳定因素增强，突发性危机事件发生频率加大，尤其是对金融

企业而言，及时有效地应对各种危机事件已成为金融企业必须面对的重大挑战。

适时、正确的决策至关重要，直接决定着危机处理的成败；完善的内部控制流程

亦是金融企业面对危机时快速高效做出决策的必要保障。同时应加强监管部门的

监管力度及惩罚强度以使类似事件少发生甚至不发生，保证我国金融市场的发展

有一个良好的法制环境。

3.信息系统的内控对企业的风险防范，影响越来越显著，尤其是金融证券企

业。企业的信息系统的立项审批和开发、运行与维护、开发测试与日常运转，应

贯彻“不相容职责相分离”的原则，并严格做好数据迁移和上线测试等工作，定

期进行信息系统审计。加强内部操作环节的风险控制。建立并完善职责明晰、各

司其职的现代金融企业法人治理结构，制定符合风险管理要求的业务运营、风险

控制、审计检查三方面相互独立又深度结合的内控制度体系，切实将外部监管的

法律、法规、要求进一步细化，并内化到内控制度体系中。不断完善风险管理的

手段，采用专门的技术和方法对风险点进行识别，评估其影响，制订相应的措施，

通过监控检查等活动确保措施的执行，实现事前、事中、事后的全程风险管理。

强化责任追究，制定并完善针对工作失职或违规操作的工作人员的纪律处分规定

和规章制度，明确直接责任人。严肃查处各类违规违纪行为，不以补代罚、以罚

代刑，坚决追究相关责任人的责任。加强风险文化管理，树立风险防范理念，提

高金融机构工作人员的责任意识。