光大乌龙事件的风控思考

　　内控体系方面的问题

　　此次事件是一个经典的操作风险事故。操作风险事故考验的是一个机构的管理是否到位，是否精细，基础工作做得是否扎实。但操作风险也最难防范。让我们回到内控体系建设的两个基本问题：内控体系设计的合理性，内控体系运行的有效性。

　　看到事件报道的第一反应是，难道交易下单没有复核环节吗？系统难道没有限额控制吗？

　　一般的交易下单，正确的流程应该包括A角下单，B角复核，如果金额达到一定阀值，应该由更高级别的负责人复核。高频交易往往由于时效性，而取消了对交易的审核。我觉得这一般是个借口。市场是随机波动，如果是手工审核比较费时间，系统中的实时限额和阀值是几乎不占时间的。退一步，如果连审核的1-2分钟都等不起，怎么保证以后的交易策略执行的有效性。对时间要求如此敏感的交易产品是否适合公司整体的风险承受能力，这是要管理层慎重决定的事。

　　交易系统中一般应该设立实时的限额控制，往往和交易员绑定，包括单笔限额，和当日累计限额，也可以更细，按不同产品设立不同限额。这是简单但有效的控制手段，这些控制模块的设计及有效性一般在UAT测试阶段要被反复测试。而且，按照内控设计的职责分离原则，实际设立限额的部门应该是中台控制部门，不能是交易部门自己。

　　据公告称，光大证券当日设定了8000万的额度。但不知当时这个额度是否设置在系统中。如果没设，则违反了正确的控制流程；如果设了，但无效，这个系统的Bug是够大的，它怎么能从UAT环境部署到生成环境呢？

　　另外，以最后70亿的成交额估算，买50支股票，每支平均累计下单1.4亿，考虑到不同的权重，估计单支股票的下单额在几千万到4-5亿的区间。这足以触及一般的限额。可见限额的控制在此次事件中是失灵的。

　　第二个反应是：这个“策略投资部”可动用的现金额有那么大吗？

　　当日增加持仓成交72.7亿！一个新成立的部门的交易账户上有这么多现金可以动用，足以惊人。很可能是和自营共用资金账户，券商自营的资金账户可能有融资能耐。打个对折，算36亿真实资金，再加上往股指期货保证金帐户加的资金（49*12%=6亿），当天动用的资金为42亿左右。

　　这个事故提醒我们，不同的交易部门最好有自己独立的资金账户，而且在测试阶段，最好不要在账户上放太多资金，账上没资金是对下单事故的最直接有效的控制。

　　第三个反应是暴露出系统建设的问题：金融基础设施的建设是无人喝彩的事业。支付体系、结算体系、交易系统的建设，这些是一个国家金融发展的基础设施。但这些基础设施体系的建设往往为人们忽视，而且涉及的技能比较专门，知道了也不能帮助你赚钱，往往被人忽视。这在机构中也是如此。

　　交易所的交易控制系统是否也有问题？一个机构一天72.7亿顺利成交， 在事中没有交易所的核查和审核机制。这样的基础设施，怎么敢对海外如狼似虎的对冲基金开放。

　　其实我们的债券市场的基础设施水平更成问题。但因为往往是大机构之间的OTC交易，市场准入等等原因掩盖了问题。比如，银行间CFETS系统和其他系统的不能连接，就像一根香烟不能接到烟嘴上，总会有人会被烟屁股烫伤。

　　第四个反应是人的问题：风控合规跟不上的原因是相对前台交易，风控所需的知识和技能几乎是同样的，甚至要求更高，因为只有高超的侦察员才有高超的反侦察能力。但是既然如此，人家为什么要呆在后台？ 在金融机构里，风控往往没有介入新产品开发的能力，普遍存在的问题就是后台被前台拖着走。所以即使内控体系的设计和制度是合理的，但控制体系的运行往往是缺少有效性的。

　　另外也有人性的因素。操作风险高发的时候，往往是一个产品开始赚钱的时候，这次也不例外。赚钱的兴奋让人浮躁，忽视具体的工作，当大家开始仰望长空时，往往被脚下的石块绊倒。