毕业论文上市证券公司内部控制.doc

湖 南 农 业 大 学全日制普通本科生毕业论文证券类上市公司内部控制问题研究 Study on internal control issues of securities of listed companies学生姓名：刘权学 号：201041739204年级专业及班级：2010级会计学（3）班指导老师及职称：卿惠 高级会计师学 院：商学院 湖南长沙 提交日期：2014年05月湖南农业大学全日制普通本科生毕业论文诚 信 声 明本人郑重声明：所呈交的本科毕业论文（设计）是本人在指导老师的指导下，进行研究工作所取得的成果，成果不存在知识产权争议。除文中已经注明引用的内容外，本论文不含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体在文中均作了明确的说明并表示了谢意。本人完全意识到本声明的法律结果由本人承担。 毕业论文（设计）作者签名： 年 月 日目 录摘要6关键字6一、绪论7（一）研究背景及意义7（二）国内外研究现状81、国外研究现状82、国内研究现状83、文献述评11（三）研究思路与研究方法111、研究思路112、研究方法12二、当前我国上市证券公司内部控制存在的问题12（一）内部控制环境不够健全、内控缺乏执行力12（二）风险控制管理水平较低13（三）风险评价监测管理落后13三、分析我国上市证券公司出现内部控制问题的原因14（一）关于证券上市公司的内部控制法律法规不够完善14（二）内部控制制度设计存在缺陷14（三）过于依赖信息交易系统,缺乏与时俱进的的评估指标15（四）内部审计的监控流于形式15四、完善我国上市证券公司内部控制的建议16（一）强化我国上市证券公司内部控制环境及法律法规的建设16（二）健全上市证券公司内部控制制度16（三）规范证券公司智能信息交易系统的使用16（四）加强内部审计控制，强化公司文化建设17（五）加大对电子信息系统全流程的监控管理17五、结束语18参考文献18致 谢20证券类上市公司内部控制问题研究（学 生：刘权）指导老师：卿惠(湖南农业大学商学院，长沙 410128) 摘要:近年来，随着我国现代化社会经济的快速发展，我国上市证券公司得到了快速的发展壮大。上市证券公司作为具有特殊行业背景的现代金融企业，其内部控制问题比一般企业更加突出，在很大程度上是决定上市证券公司能否经营成功的关键因素。2013年的中国证券市场是不平静的一年，A股上演了史上最大的“乌龙”事件, 该事件尚未平息，光大证券重蹈覆辙，在8月19日又陷入债券交易失误，这些事件绝非偶然，种种迹象表明我国上市证券公司内控机制存在着很多问题，昭示了我国需加强上市证券公司内部控制建设的必要性和紧迫性。因此，本文在探究我国上市证券公司内部控制问题时，通过分析我国上市证券公司的暴露出的问题，探寻上市证券公司内部控制问题的发生的原因，在关注我国的国情、经济环境以及行业特点,同时顺应时代特点的基础上,采取相应的措施和制定相适应的规则制度，并提出有效解决问题的办法，以期帮助中国上市证券公司实现平稳健康的发展，进而促进整个国民经济的稳定和持续健康发展。 关键字：证券公司 内部控制 风险管理 信息系统Study on internal control issues of securities of listed companiesStudent:LIU QuanTutor:QING Hui(College of Business, Hunan Agricultural University, Changsha 410128, China)Abstract : In recent years , with the rapid development of Chinas social and economic modernization , Chinas listed securities company has achieved rapid development and growth. Listed securities company as a modern financial enterprise with special industry background , its internal control issues become more prominent than the general business , in large part determine whether the listed securities companies operating critical success factors . 2013 The Chinese stock market is not a quiet year , A shares staged the largest in the history of own event, which has not yet subsided, everbright Securities same mistakes Aug. 19 fell into bond trading mistakes, these incidents by no means occasionally , there are indications that Chinas listed securities company internal control mechanisms exist many problems, has demonstrated the need to strengthen our internal control of listed securities company building the necessity and urgency. Therefore, this time in exploring our internal control issues listed securities company , listed securities through the analysis of the problems exposed the company to explore the reasons listed securities company internal control problems occur in concern Chinas national conditions , the economic environment and industry characteristics, Meanwhile , based on the characteristics of the times conform to take appropriate measures to adapt to the rules and the development of the system , and propose effective solutions to problems in order to help Chinese companies listed securities to achieve a stable and healthy development , thus contributing to the stability and health of the entire national economy continued development.Keywords: Securities companies; Internal Control; Risk Management; Information system.一、绪论（一）研究背景及意义中国证券公司诞生于中国经济的转轨时期，是国有企业和中国式股份制企业的“混血儿”,包括风险控制制度在内的制度体系均不同程度地带有双重体制的烙印。近些年来，中国证券公司的制度体系特别是其风险控制制度暴露了诸多缺陷和问题。2013年8月16日,A股上演了史上最大的“乌龙”事件。光大证券因订单系统缺陷导致瞬间生成26082笔意外订单。导致的72亿元天量成交。该事件尚未平息。光大证券8月19日又陷入债券交易失误,将“12附息国债15”债券卖价收益率误报为4.20,高于前一日中债估值约25个基点，债券面额为1000万元，后被交易对手点击成交。短短两个交易日内连续出现“乌龙”事件,从中可以看出光大证券的内部控制漏洞百出，风险控制系统根本没有发挥应有的作用。此次“乌龙”事件，在轻易归咎于高频交易模式或系统失误的背后，同样不应忽略的是上市证券公司操作风险管理缺陷和违规交易以及大机构行为监管等内部控制的缺失。中国上市证券公司理应顺应形势，积极完善风险控制制度,为中国证券市场构筑前进的桥梁和防范风险的防火墙,在分析我国证券公司内部控制的基本要素的基础上，结合我国证券公司内部控制存在的问题,提出了相应的改进措施，促进我国证券类公司持续健康稳健的发展。因此加强研究证券公司的内控机制不仅对于证券公司自身具有生存发展的微观价值,而且对我国证券市场的平稳运行以及金融安全乃至整个国民经济的稳定和持续健康发展具有重要的宏观意义。（二）国内外研究现状 1、国外研究现状 尼尔森、欧文 (2001) 认为：2001年，尼尔森和欧文在多业务公司的内部控制系统中提出按照事前、事中和事后将内部控制要素的权变分为战略管理控制、价值管理控制和业绩管理控制。从横向关联上看，内部控制渗透在公司的各个部门的工作中。按照部门的运作特点，内部控制分为正式控制和非正式控制1。 Dechow、Mouritsen (2005) 通过研究认为：他们在编写了企业资源规划系统，管理控制和实施一体化的追求中认为，推行ERP（企业资源计划系统）的企业需要一体化管理控制系统，应将财务和非财务控制充分结合起来一起发挥作用，以克服内部控制中的盲点和避免内部控制漏洞的出现2。 史蒂文J鲁特 (2000) 认为：2000年11月，史蒂文J鲁特编写的超越COSO。一书出版，在这本书中，作者的对繁琐的科索报告和其要求做了明确阐述，以及通过其他内部控制标准相对比，提出了更全面的内部控制体系。并指出：管理当局不能缺少诚实和正直，必须有管理能力、内部控制要与公司治理相协调，侧重于监督的内部控制过程序3。 2、国内研究现状 刘介星、赵汪金（2010）认为：内部控制是一个企业为了保证财务信息质量，保护资产的安全、完整以及确保对相关法律法规的遵守在企业内部建立的一种控制系统，我国证券公司内部控制的基本要素包括：控制环境，风险评估，控制活动，信息与沟通，监督五个方面，证券公司存在内部控制体系设置不合理、缺乏执行力，违规经营现象普遍，风险控制意识薄弱、法人治理结构形同虚设，未能真正发挥作用等问题。我国证券公司应该加强内部控制环境的建设，培育良好的企业文化、强化内部审计工作，加强对内部控制的监督、完善法人治理结构，保证权力制衡机制的有效运行4。吕娅薇（2013）认为：当前，内部控制管理已成为决定企业命运的“大动脉”。企业，特别是上市公司为维持平稳发展、实现防范风险的战略目标，内部控制体系的建立、维护、评价和报告是经营者的重要责任。我国13家上市证券公司在内部控制制度的制定和执行方面还有很多不足之处，主要表现为控制环境不健全，会计系统控制有漏洞，内部信息披露制度不健全，内部控制制度的制定不完善几个方面5。吴秋莹（2013）认为：我国上市证券公司内部控制信息披露形式呈现多样化。董事会和监事会对内控信息披露的独立意见的披露存在很大差异，有的证券公司单独出具了董事会、监事会对内部控制自我评价信息披露的独立意见，有的证券公司是在董事会报告和监事会报告中提出了对上市证券公司内部控制信息披露的意见，上市证券公司在处理内部控制信息披露时披露主体不明确、随意性比较大，缺乏统一性，缺乏统一性最大的弊病就是公司之间的比较6。李华（2004）认为：证券公司的内部人控制包括股东大会、董事会、监事会、高级管理层在组织设置及相应关系的界定上有很大随意性，且分工不明确。主要原因是超额垄断利润的诱惑，法律体系不完善、制裁手段有限，市场竞争机制不健全。针对这些问题，证券公司应当完善竞争激励机制，健全内外监督约束机制，明确法律责任，畅通救济渠道7。马广奇（2006）认为：证券公司作为具有特殊行业背景的现代金融企业，其内部控制问题比一般企业更突出，近年来我国一系列证券公司的关闭、破产事件的发生昭示了证券公司内控机制建设的重要性和紧迫性。结合内部控制的国际惯例和我国证券公司的实际，对证券公司内部控制的内涵、目标、构成要素与整体框架、控制主体与层级、控制客体与范围等进行了分析，从而形成了证券公司完整的内部控制机制8。 宋婷（2013）认为：光大证券“乌龙指”事件暴露了光大证券内部控制中的多个漏洞。证券公司对环境的控制存在缺陷，风险意识不够，内部审计等监控流于形式，风险应对处理不当，信息系统与沟通失败，在企业的内部控制中，信息系统与沟通的作用是不叮替代的9。 康宁（2013）认为：证券公司应根据自身的情况和市场经济情况建立健全风险管理和内部控制机制,使风险管理和内部控制有据可依;其次是证券公司应完善公司治理构,可以建立多项专业委员会,以实现对各种风险的集体决策、防范和化解;最后是通过建立风险管理组织体系,通过完善各种风险指标和管理制度、加强审计等环节, 从而加强风险管理和内部控制10。 林楠（2013）认为：我国多数证券公司制度体系内只有少量成文的内部控制相关措施，这些措施主要存在于业务管理制度中，明确独立的内控制度体系在多数证券公司都没有得到有效建立。证券公司应当从以下几个方面再造和完善内部控制：第一，建立严密化的环境控制制度, 第二，建立严密化的内部会计控制制度, 第三，建立严密化的内部管理控制制度, 第四，应建立严密化的风险控制制度11。 上官晓文（2009）认为：我国证券公司需要加强的软件方面的控制，要对证券公司掌管电脑操作的人员进行有效的监控，加强他们的职业操守，防范道德风险的发生。同时保证各个营业部交易信息的及时传送、做好公司数据的保存与备份、认真做好计算机病毒的防范工作、保证本公司各项数据严格保密不对外泄露12。李晓辉、陈友好（2010）认为：证券监管部门应该强制要求上市证券公司对内部控制信息进行披露，并明确董事会内部控制信息披露的相关责任，将内部控制置于公众监督之下，从而有效提高上市证券公司对内部控制的重视程度，真正发挥内部控制的作用。同时，上市证券公司要重视运用IT系统披露信息以避免判断失误，并尽快建立一套完善的、符合实际并具有可操作性的内部控制评价指标体系，定期开展内部控制的自我评价，同时将评价结果报告给投资者、证监会等相关信息需求者13。 李苏（2009）认为：证券公司可成立风险控制管理委员会，下设风险控制部专门从事公司内部控制、风险管理的研究和量化分析工作。设立稽核部全面负责公司的内部稽棱。稽核部独立于各业务部门和各分支机机构，负责对公司各部门的内部控制执行情况进行全面的检查和评价，并向董事会负责14。王常青、王石（2008）通过研究得出：证券公司应遵循安全性、实用性、可操作性原则，严格制定电子信息系统的管理规章、操作流程、岗位手册和内部控制制度。对电子信息系统的项目的整个过程实施明确的责任管理，严格划分软件设计、业务操作和技术维护等方面的职责。强化电子信息系统的相互牵制制度，系统设计、软件开发等技术人员与实际业务操作严格计算机交易数据的授权修改程序，建立电子信息数据的即时保存和备份制度，并坚持电子信息数据的定期查验制度15。刘晓艳、王小红（2006）认为：我国证券公司的内部控制制度大多是对国家相关法律法规的简单复制，缺乏与自身经营状况相适应的个性化规定，从而导致这些制度在执行与维护过程中与实际情况相脱节，缺乏可操作性，难以对风险进行有效的防范和控制。证券公司应培育具有风险控制意识的企业文化，风险内部控制应根植于证券公司的经营管理之中，并成为证券公司企业文化的一部分16。韦玮、高晨雨（2010）认为：证券公司依靠传统的人工方式进行内部控制容易导致乏可操作性和控制力，且针对内部控制五个要素进行控制不仅复杂而且容易产生疏漏，而信息系统的运用使得内部控糊变得有力和高效，借助信息系统则会使内部控制变得规范而有效率，利用集中交易系统对经纪业务进行集中统一规范管理，有效控制了非集中交易在信息系统和合规经营上的风险，同时借助信息系统的权限划分可以在主要业务部门之间建立隔离墙17。袁磊（2005）认为：证券公司总部可以根据目前营业部集中交易的基础上实现数据集中，建立公司统一的风险监控平台，公司相关职能部门通过交易平台对备业务部门的业务实行实时监控公司稽核审计部非现场稽核系统对公司各营业部的经济业务进行实时和阶段性的监控，并根据预先故定的指标自动生成业务报告18。谭熙熙（2012）认为：证券公司要建立与公司发展方向和经营模式相匹配的规定, 从制度上巩固内控监督机制。要对各项业务的规章制度不断进行调整,并相应调整操作规程, 保证其及时性和完备性；监督检查部门要明确其具体职责, 选取有能力的人员担任监督工作。在检查频率及检查方法上面,需根据实际情况不断进行调整,有针对性的加强内部控制的执行力度。最后,对内控监督部门也要实施考核,制定相应的奖惩措施,以确保监督工作的有效执行19。李光宇（2013）认为：我国上市证券公司的内部控存在缺乏社会多方主体参与，上立法上注重政府和监管部门的权力赋予，因而往往对政府和监管部门的社会性义务和责任配置模糊，证券利益相关者的知情权被淡化，同时现行的上市证券公司内部控制救济机制存在着诸多缺陷。我国的上市证券公司内部控制法律制度必须从多元路径进行变革、创新、规制与完善。(一)构建上市公司内部控制多元主体协同规制制度，(二)强化和明确政府与企业的社会性义务和责任，(三)赋予和保障广大证券利益相关者的法律权利，(四)加强上市公司内部控制法律法规的执行力20。 3、文献述评通过对国内外相关研究成果进行阅读分析，我们可以了解到，近年来随着人类社会经济的快速发展，各国金融证券行业有了比较好的发展，但发展的过程中也暴露了不少内部控制问题，使得关于证券公司内部控制问题一度成为国内外金融界的热门话题，然而，对上市证券公司的内部控制问题的研究国内外学者和专家尚未达成统一的意见，各有千秋，对内部控制的要素的界定各不相同，这与研究所处的时期和背景有着密切的关系。一些研究缺乏对具体环境和背景下的内部控制的考虑和研究，尤其是在高度信息化，计算机运用广泛的现在，针对信息系统对内部控制的作用和影响的研究不够深入全面。另外，有一些学者在研究证券公司内部控制时，忽略了具体结合证券行业特点、运作模式和我国内部控制环境。因此，在探究我国上市证券公司内部控制问题时，应当注重关注我国的国情、经济环境以及行业特点,综合考虑,同时顺应时代特点,采取相应的措施和制定相适应的规则制度，并提出有效解决问题的办法。（三）研究思路与研究方法 1、研究思路 本文通过对国内外文献的研究与总结，对理论基础的学习与思考，针对我国证券行业实际，探究出适合我国上市证券行业发展的思路，以期对证券上市公司行业的运行发展产生积极有益的影响，本文大体可分为以下几个部分。第一部分，绪论；第二部分,当前我国上市证券公司内部控制存在的问题；第三部分，分析我国上市证券公司出现内部控制的原因；第四部分,提出完善我国上市证券公司内部控制的具体措施。结论部分主要是对全文的总结，概括本文的创新性成果和不足，并对我国证券上市公司发展作出预测和评价，以及对将来的研究方向及成果的展望；第五部分，结束语。 2、研究方法 第一，文献调查法。通过上网、阅读期刊、著作等搜集大量相关资料。第二，实证分析法。通过对典型例子的分析，发现问题，深入研究，对症下药，找到完善内部控制的方法。第三，对比分析法。通过对国外、国内文献的阅读学习，比较分析各专家、学者的观点，认真研究理论、总结其特点，吸收其优点，并结合我国上市证券公司行业特点及我国国情现状，重视对电子信息系统的运用分析，提出自己关于加强和完善证券上市公司的观点和建议，以期有助于我国证券市场能规范有序的发展，促进国民经济的和谐稳定。二、当前我国上市证券公司内部控制存在的问题（一）内部控制环境不够健全、内控缺乏执行力 一方面，“内部人控制”现象、“一股独大”的现象不仅是我国上市公司所具的特点，上市证券公司作为提供证券中介服务的上市公司也不例外。在我国的上市证券公司中，董事会中绝大多数为内部董事，而非独立董事，很多证券公司的独立董事人数均是按照我国公司法的最低标准。更加恶劣的是，上市证券公司中的独立董事不仅人数较少，而且大多与公司大股东、管理层存在千丝万缕的关系，使之缺乏必备的独立性，无法发挥独立董事对上市证券公司管理层进行监督管理的职能。由此，董事会投票制度亦无法发挥其作用。“一股独大” 现象使上市证券公司的第一大股东倾向于聘任维护自身利益的管理层，从而达到维护自身利益、促使自身利益最大化的目的。这样的聘任机制使得大股东等公司内部人凌驾于内部控制制度之上，根本无法完成内部风险控制的目标。另外，对于我国上市证券公司的监督机构-监事会，我国的公司法也并未对监事赋予独立监督权，使得上市证券公司的监事会职能被大大弱化了，进而使得监事会的地位较低，甚至名存实亡。所以在上市证券公司的实际运作中，无论从人力、物力还是财力方面，监事会均无法发挥独立的职能。即无法为上市公司的内部控制提供有效的保证。另一方面，我国绝大多数上市证券公司都已经按照证监会的要求建立了由股东大会、监事会、董事会和经理层组成的法人治理结构，但是在实际经营管理中，一些证券公司由于内部治理机制设置不完善，管理层权责划分不清晰，股权结构混乱，导致证券公司的内部控制治理并没有真正地发挥其应有的作用。虽然他们都建立了比较严格的内部制制度，但是许多上市证券公司并没有对其内部控制予以重视，没有进行准确合理的定位，内部控制制度也过于形式化和大众化。从光大乌龙事件就可见一斑，试想一下，如果光大证券内部控制体系设置合理，金额如此大的委托订单也就不会迅速成交。很多的内部控制制度能够真正得到执行的会很有限，执行力也就不会强。（二）风险控制管理水平较低 目前我国上市的19家证券公司中，每家公司都能够按照国家的相关内控指引相应的建立了自己的内部控制制度。尽管如此，一些上市证券公司存在着整体风险控制管理水平还不够完善的问题。主要表现在一下三个方面：一是风险防范意识不够。如光大证券乌龙事件的发生，就突出显示了我国证券上市公司风险防范意识薄弱的问题，根据有关资料，以前就有很多人网民指出光大的交易系统、内部控制有问题，而且在2013年1月初，也曾经有不少网友反映光大期货交易系统出现重大故障，客户使用的金仕达交易系统在客户没有操作的情况下，会自动发出报单并成交。可是这些事件的发生却没有得到光大证券足够的重视，没有采取有效的应对措施弥补系统缺陷，没能及时防范风险，所以此次乌龙事件的发生都要归因于光大证券公司风险防范意识薄弱。二是缺乏对智能交易系统的有效控制。近年来随着互联网的快速发展，信息技术的不断进步,信息技术被广泛运用到上市证券公司的证券交易中。与此同时，网络安全问题也给企业带来了不可忽视的风险，尤其是对证券上市公司这种高虚拟性，高风险性，比较依赖信息交易系统的证券行业来说，其带来的风险时相当大的。然而针对智能交易系统的风险，中国上市证券公司缺乏全面系统、有效的防控体系，还存在着经验不足，防控手段不够完善等问题，光大此次事件的导火索正是网络操作系统出了问题。三是应对机制不完善。虽然我国的上市证券公司都建立了内部控制制度。但是很多内部控制制度都过于形式化，在发生风险事件时内部控制并没有起到应有的作用，缺乏针对问题相应的快速准确的内部风险预警机制，面对危机时不能快速有效作出反应,所谓的内部控制往往是形同虚设,难以发挥重要作用。光大发生的”乌龙指”事件虽然只是因为系统出错，而无人为原因，但在追究客观问题的同时，我们也能够发现光大证券在考虑对冲风险、凋剂头寸，降低可能的结算风险时，采取了错误的应对措施，最终构成了内幕交易、信息误导、违法证券公司内控管理规定等多项违法违规行为。这些都是其在风险管理方面能力不足所导致。（三）风险评价监测管理落后我国的一些上市证券公司甚至在监测评价和控制方面尚处于探索阶段，对风险管理的定性研究多定量研究少，没有对风险进行量化，也没有建立切合实际的风险衡量、评估模型和比较系统、科学的风险监测指标体系。在高度信息化的现在，一些上市证券公司的内部评价监测管理依旧还停留在以前的管理模式上，没能做到与时俱进和结合实际的技术环境，因此其内部风险控制管理也相对落后，难以满足现在信息化时代背景下的内部风险控制的实际需要。传统证券交易中的监测系统交易响应最快以秒计，但也远远不能适应当前高频套利交易的要求。光大乌龙事件中每个下单指令生成为4.6毫秒，传统IT技术开发的风控系统将带来巨大延迟，严重影响下单速度，这可能也是各内控环节全部“被失效”的真实原因。三、分析我国上市证券公司出现内部控制问题的原因（一）关于证券上市公司的内部控制法律法规不够完善 虽然我国出台了证券法、公司法、证券公司内部控制指引等法律、法规来规范证券市场，证券上市公司也能按照相关要求进行实际操作。但在实际应用中，这些法律法规还是还有一些不完善的地方。例如：未对上市证券公司内部控制信息披露提出强制性要求，仅仅是要求上市公司的监事会对内部控制信息披露的完整性与真实性发表独立的意见，除此之外，没有其他的要求。同时，我国关于证券公司的证券法、公司法等法律、法规也未对上市证券公司的内部控制信息披露的责任主体、信息披露的内容进行明确的规定。根据相关规定，监事会报告是上市公司内部控制信息披露的主要载体，这就导致董事会不对上市公司内部控制信息披露负有任何责任。并且，大多数的上市证券公司内部控制信报告均采用格式化的内容和语句，即“本公司将建立与完善内部控制制度作为本公司的目标之一”，而较少涉及内部控制具体项目。如监管部门对证券公司的银行资金无查封权，对证券公司违规行为做出的行政处罚决定多数时候由于人去楼空而只能成为空文。在日常监管方面，虽然监管部门加大了对证券公司的日常监管，建立了客户保证金监控系统，通过监控证券公司客户保证金每周五的数据平衡情况，查找证券公司是否存在挪用风险。存在证券公司通过少报、瞒报、虚报等方式掩盖挪用客户保证金行为。同时，对证券公司自营、资产管理等相关业务的监管，难以做到事中、事前监管，往往只能做到事后监管，这使得证券公司的风险管理难以发挥实质作用。同时，外部环境中缺乏对证券公司信用评级的机构，证券公司的信息披露不透明，社会外界对证券公司缺乏有效的判断，也是导致上市证券公司内控执行力低下的重要原因。（二）内部控制制度设计存在缺陷 正如上市证券公司的发展一定程度上依赖于所处的经济环境一样，对于其内部控制问题，外部环境的影响也是不容忽视且是相当重要的一个因素，由于不同的证券公司面临的经营环境和风险是不同的，因此在制定设计内部控制制度时，证券公司要充分考虑到自身的具体情况以及具体的经营环境，不能一味地采用模板化、没针对性的风险控制方式。然而在我国上市证券公司的内部控制制度大多数却是对有关内部控制法律法规和行业制度的简单的应用，缺乏与自身经营情况相适应的特殊管理手段和针对我国证券交易模式的内部控制制度，导致内控制度难以得到真正落实，另一方面，由于上市证券公司制定内部控制制度大部分都是基于应急的需要，从而使得内部控制制度很难得到有效实施。（三）过于依赖信息交易系统,缺乏与时俱进的的评估指标 现今的上市证券公司的经营管理，几乎少不了对信息系统的应用。而对于信息系统的应用，由于大量的使用以及运用广泛，往往会给上市证券公司的内部控制带来巨大风险。光大事件发生主要原因是由于光大自营策略交易系统存在程序调用错误和额度控制失效等设计缺陷，并被交易系统连锁触发，导致生成巨量市价委托订单，直接发送至上交所。任何操作系统都可能有漏洞，虽然智能系统可以迅速把握市场行情作出判断，如果是正确的判断固然好，但如果是错误的判断则会带来连锁损失。这种过度依赖信息系统的模式很容易造成上市证券原有的内控措施难以达到应有的效果。此外，上市证券公司还缺乏有效的风险评估系统,以往上市证券公司在风险管理过程中是靠定性分析来识别风险,这使得证券公司不能正确认识并防范可能发生的风险。（四）内部审计的监控流于形式 按照相关法规的要求我国上市证券公司应当设立自己内部审计部门，现实中我国的上市证券公司也确实能够做到。如一些证券公司的稽核部等。通常审计部门肩负着对公司各个部门的行为和控制环境加以确定包括其是否符合公司的内部政策程序和外部的法律、财务会计和报告要求在内的事项，评估控制系统的效率和资源配置是是否合理的任务。审计部门有效审计能够及时发现的信息将助于高级管理人员评估制度和完善政策程序的设计以补足缺陷。内部审计部门应直接向董事会(或其审计委员会)和高级管理人员报告。而在实际操作中，其内部审计人员的对于工作往往是流于形式，应付了事，缺乏深入细致的、实质性的对各类业务的审计，审计工作缺乏独立性，很多时候往往是按照上级的意愿，这样造成审计独立性消失殆尽，难以发挥其真正的职能作用。不能对公司的各类风险防范及时发现和采取行动。光大事件就是一个鲜活的例子。光大证券曾于2013年3月发布2013年内部控制评价报告。在万余字的报告中，光大证证券表示对纳入评价范围的业务及事项均已建立了相应的内部控制，并得到有效执行，达到了公司内部控制的标准，”不存在重大缺陷和重要缺陷”。且在与此次”乌龙事件有密切相关的”操作风险”管理方面，光大证券称”通过严格论证及公司审批，保证制度及流程的全面性、合理性与可执行性。”这些所谓的审计结果与其后所发生的乌龙事件对比起来让人们感到痛心的同时，更多的折射出光大证券的内部审计的失当和流于形式。四、完善我国上市证券公司内部控制的建议（一）完善我国上市证券公司内部控制环境，加强对法律法规的建设健全的内部控制环境是上市证券公司内部控制制度得以顺利运行的重要前提与关键内容。为优化上市证券公司的控制环境，努力健全法人治理结构、组织结构。可以从完善董事会制度、增强监事会职权两方面做出努力。要促使董事会的构成更趋合理，使董事会能够充分代表股东，尤其是广大中小股东的利益。为完善董事会制度，第一步要做的就是独立董事制度的完善，努力提高董事会中独立董事的人数，切实发挥独立董事的作用。为了增强和保障监事会的职权，有关部门应对公司法、证券公司内部控制指引、证券法进行等相关法律法规进行完善，必要的话，根据实际需要还可以出台新的法律法规对内部控制加以规范。切实赋予和保障监事会应有的职权，使其获取相对独立的法律地位。善于借鉴国外的做法，博采众长，适当引入外部监事的人事制度，这将会是一个很好的选择。(二)健全上市证券公司内部控制制度 要健全和完善上市证券公司的内部控制制度，一方面上市证券公司要立足实际、全面思考、统筹设计规划，同时也要结合自身操作流程、业务特点、国家宏观政策、不断加强有针对性的内部控制制度建设，有重点的进行考核监控，善于发现问题，努力完善法人治理控制机制；不盲目地模仿证监会、上交所、深交所发布的相关指引、法令。另一方面证券上市公司应注重于建立个动态的管理系统，以对本公司的自营业务、投行业务、经纪业务、资产管理业务等业务，以及资金、会计、财务管理方面的制度进行不断的修订与完善完善公司内部防火墙机制，将自营业务与经济业务严格区分；其次上市证券公司管理层应根据资金的流向进行层层审批，严格资金业务的授权审批制度，强化重大资金投向的集体决策制度。（三）规范证券公司智能信息交易系统的使用 光大事件发生之后，据光大证券指出自身使用的那套导致本次事件发生的系统共使用1O个月，其中模拟6个月，使用4个月都没有出现问题。但是这10个月中到底使用频率如何，排查问题是否全面，是否有相应的考核标准等我们都不得而知。而错误的系统是禁止使用的，有缺陷的系统是可以使用的。但是又该如何界定到底是“错误”还是“缺陷”，这些都无据可依。因此，对于即将面世的交易系统。我们的相关监管相关部门要有所作为，应该制定明确的规定和标准，规定需要模拟时间，标示需要各项需要考察的各种指标，只有那些经过全面系统，严标准的考核的系统，全部合标之后才可以颁发使用许可。如果经历这样的程序，便可以有效减少“错误”的系统混入“有缺陷”的系统之中，规范智能系统的审查和使用，有效的减少由于电子系统问题而发生的风险事件。（四）加强内部审计控制，强化公司文化建设 一方面，我国上市证券公司要确保其内部控制得到切实的执行和良好的效果、能够随时适应新情况等，其内部控制就必须被监督。而内部审计工作便是其实现内部监督重要方面，因此为了使内部审计在内部控制与公司治理中更好地发挥作用，最基本的就是要健全机构的设置，为内部审计作一个有利的制度安排。在企业组织结构中，证券公司应将内部审计部门置于相对独立的地位，减少经营者或企业经营具体环境对内部审计的干扰，在治理结构中设置审计委员会领导内部审计工作。 另一方面，一切的内部控制都离不开人的参与，其有效与否很大程度上受人的因素影响。证券公司的全部员工的道德水准和价值观念是其内部控制环境的重要因素。保证公司所有成员具有一定水准的诚信，道德观和能力是内部控制有效的关键因素之一，要做到这一点就必须关注和培育良好的企业文化。企业文化作为一种理性文化，集中反映企业员工共同的价值观念，理想信念和共同利益，对企业中的每一位员工都具有无形的巨大感召力，是公司内部管理制度得到落实的重要保证，上市证券公司要通过确立以人为本的思想，制定和完善内部控制制度，明确提出各个层次的人员在企业经营中的诚信要求与责任，建立具有可操作性的道德规范与行为准则，使每一位员工理解他们在内控程序中的作用，使其都具有一定的控制觉悟和自觉的控制态度，在一般和特定环境下能够保持正确的判断从而把外在的制度约束转化为自觉的行为，真正达到规范约束的目的。证券公司在培养自身文化时，要考虑员工的道德水准和价值观念的承接性，同时避免只注重内部和短期的企业文化的现象，要创造良好的企业文化氛围，使其与公司的战略目标趋于一致。（五）加大对电子信息系统全流程的监控管理 （1）严格按照国家法律法规的要求，遵循安全性、有针对性、实用性、可操作性原则，制定对电子信息系统的管理规章、操作、岗位手册及风险控制制度。 （2）加强对电子信息系统的立项、设计、开发、测试、运行和维护整个过程实施严格的责任管理，设立专门的责任小组，进行决策并监督执行情况，同时严格划分软件设计、业务操作和技术维护等方面的职责。 （3）公司信息中心对公司汁算机信息系统集中统一管理，管理内容包括：人员管理、系统管理、设备管理、操作权限管理，同时强化电子信息系统的相互牵制制度，保持系统设计、软件开发等技术人员与实际业务操作人员必须相互独立。 （4）加强公司计算机信息系统的安全防范管理，电子信息管理部门系统管理员应保管网络操作系统超级管理员密码和负责操作系统管理及相关数据库系统的维护，并定期更换密码。 （5）严格制定电子信息系统的安全和保密标准，保证电子信息数据的安全、真实和完整，势能及时、准确地传递到会计、稽核、经纪业务等各职能部。另外对网上交易进行严格的安全认证。 （6）严格计算机交易数据的授权、修改程序建立电子信息数据的即时保存和备份制度及定期查验制度。建立电子信息数据的即时保存和备份制度，并坚持电子信息数据的定期查验制度。 （7）电子信息管理部门应指定专人负责对电子信息系统进行病毒防范工作，实行定期检查。五、结束语 本文主要是在对2013年光大证券乌龙事件的实证做分析研究的基础上，对我国上市证券公司内部控制问题做了初步的探讨，具体结合了我国当前的经济环境，行业特点，分析了我国上市证券公司的内部控制问题，充分考虑了被广泛运用到证券交易的电子信息系统的作用及其操作风险，并提出了相应的防范风险的建议和措施，这些正是本文的创新所在，虽然如此，由于本文的研究是建立在对光大证券这一特殊案例的基础上，在范围角度上存在着一定的局限性，因此，本文在分析研究我国上市证券公司内部控制问题中可能有些方面没有涉及涵盖到，而关于我国上市证券公司内部控制研究是一项长期而艰巨的任务，但我相信随着时代的进步和信息技术的不断发展，关于上市证券内部控制的研究也将更加深入，全面系统，并不断得到完善，也将为我国上市证券公司内部控制提供