第一创业证券股份有限公司2023年度内部控制自我评价报告根据《企业内部控制基本规范》及其配套指引、《证券公司内部控制指引》的规定和其他内部控制监管要求(以下简称“企业内部控制规范体系”),结合第一创业证券股份有限公司(以下简称“公司”)内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,公司对2023年12月31日(内部控制自我评价报告基准日)的内部控制有效性进行了自我评价。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制自我评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经营管理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性依法承担个别及连带法律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制自我评价结果推测未来内部控制的有效性具有一定的风险。
二、内部控制自我评价结论
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制自我评价报告基准日,公司未发现财务报告内部控制重大缺陷及重要缺陷。董事会认为,公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。根据公司非财务报告内部控制重大缺陷认定情况,于内部控制自我评价报告基准日,公司未发现非财务报告内部控制重大缺陷及重要缺陷。
自内部控制自我评价报告基准日至内部控制自我评价报告发出日之间,未发生影响内部控制有效性评价结论的因素。
三、内部控制自我评价工作情况
(一)内部控制自我评价范围
公司按照全面覆盖及风险导向原则确定纳入评价范围的单位、业务和职能。纳入评价范围的单位包括公司全部业务与职能部门、证券营业部、分公司及全资子公司、控股子公司。纳入评价范围单位资产总额占公司合并财务报表资产总额的100%,营业收入合计占公司合并财务报表营业收入总额的100%。
纳入评价范围的主要业务和职能包括:公司固定收益业务、资产管理业务、证券经纪业务、投资银行业务、信用业务、证券自营业务、研究业务、期货经纪业务、公募基金业务、私募股权投资基金业务、另类投资业务;风险管理、合规管理、财务管理、运营管理、信息系统管理、人力资源管理、控股子公司管理、对外投资活动管理、对外融资活动管理、信息沟通与披露、内部监督与评价等。
上述纳入评价范围的单位、业务和事项涵盖了公司经营管理的主要方面,不存在重大遗漏。
(二)内部控制自我评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系及公司内部控制制度和评价方法,组织开展内部控制自我评价工作。
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,财务报告内部控制缺陷认定标准和非财务报告内部控制缺陷认定标准均与上一报告期保持一致。具体内容如下:
1.财务报告内部控制缺陷认定标准
财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。由于财务报告内部控制的目标集中体现为财务报告的可靠性,因而财务报告内部控制的缺陷主要是指不能合理保证财务报告可靠性的内部控制设计和运行缺陷。根据缺陷可能导致的财务报告错报的重要程度,公司采用定性和定量相结合的方法将缺陷划分确定为重大缺陷、重要缺陷和一般缺陷。
(1)公司确定的财务报告内部控制缺陷评价的定量标准如下:
| 评级 | 1 | 2 | 3 | |
| 一般缺陷 | 重要缺陷 | 重大缺陷 | ||
| 潜在错报金额 | 税前利润 | 0%-1%(不含) | 1%-5%(不含) | 大于5%(含) |
| 总资产 | 0%-0.5%(不含) | 0.5%-1%(不含) | 大于1%(含) | |
(2)公司确定的财务报告内部控制缺陷评价的定性标准如下:
| 评级 | 1 | 2 | 3 |
| 一般缺陷 | 重要缺陷 | 重大缺陷 | |
| 存在情况 | 除重大缺陷、重要缺陷之外的其他控制缺陷。 | ①未依照公认会计准则选择和应用会计政策; ②未建立反舞弊程序和控制措施; ③对于非常规或特殊交易的账务处理没有建立或实施相应的控制机制,且没有相应的补偿性控制; ④对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表达到真实、完整的目标。 | ①董事、监事和高级管理人员舞弊; ②对已经公告的财务报告出现的重大差错进行错报更正; ③注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报; ④监事会、审计委员会以及内部审计部门对财务报告内部控制监督无效。 |
2.非财务报告内部控制缺陷认定标准
(1)公司确定的非财务报告内部控制缺陷评价的定量标准如下:
| 评级 | 1 | 2 | 3 | |
| 一般缺陷 | 重要缺陷 | 重大缺陷 | ||
| 财务损失 金额 | 税前利润 | 0%-1%(不含) | 1%-5%(不含) | 大于5%(含) |
| 总资产 | 0%-0.5%(不含) | 0.5%-1%(不含) | 大于1%(含) | |
(2)公司确定的非财务报告内部控制缺陷评价的定性标准如下:
| 评级 | 1 | 2 | 3 |
| 一般缺陷 | 重要缺陷 | 重大缺陷 | |
| 业务损失 | 极小影响或轻微影响,例如对收入、客户、市场份额等有轻微影响。 | 有一定影响,但是经过一定的弥补措施仍可能达到营运目标或关键业绩指标。 | 较大影响,无法达到部分营运目标或关键业绩指标。 |
| 信息错报影响 | 对内、外部信息使用者不会产生影响,或对信息准确性有轻微影响,但不会影响使用者的判断。 |
对信息使用者有一定的影响,可能会影响使用者对于事物性质的判断,在一定程度上可能导致错误的决策。
| 错误信息可能会导致使用者做出重大的错误决策或截然相反的决策,造成不可挽回的决策损失。 | |||
| 信息系统对数据完整性及业务运营的影响 | 对系统数据完整性不会产生影响。对业务正常运营没有产生影响,或对系 | 对系统数据完整性具有一定影响,数据的非授权改动对业务运作带来一定的 | 对系统数据的完整性具有重大影响,数据的非授权改动给业务运作带来重大 |
统数据完整性会产生有限影响,但数据的非授权改动对业务运作及财务数据记录产生损失轻微。对业务正常运营没有直接影响,业务部门及客户没有察觉。
损失及对财务数据记录的准确性产生一定的影响。对业务正常运营造成一定影响,致使业务操作效率低下。
| 损失或造成财务记录的重大错误。对业务正常运营造成重大影响,致使业务操作大规模停滞和持续出错。 | |||
| 营运影响 | 对日常营运没有影响,或仅影响内部效率,不直接影响对外展业。 | 对内外部均造成了一定影响,比如关键员工或客户流失。 | 严重损伤公司核心竞争力,严重损害公司为客户服务的能力。 |
| 监管影响 | 一般反馈,未受到调查和罚款,或被监管者执行初步调查,不必支付罚款。 | 被监管者公开警告和专项调查,支付的罚款对年利润没有较大影响。 | 被监管者持续观察,支付的罚款对年利润有较大的影响。 |
| 声誉影响 | 负面消息在企业内部流传,企业声誉没有受损,或负面消息在当地局部流传,对企业声誉造成轻微损害。 | 负面消息在某区域流传,对企业声誉造成中等损害。 | 负面消息在全国各地流传,引起公众关注,引发诉讼,对企业声誉造成重大损害。 |
(三)内部控制缺陷认定及整改情况
1.财务报告内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准,报告期内公司未发现财务报告内部控制重大缺陷及重要缺陷。
2.非财务报告内部控制缺陷认定及整改情况
根据上述非财务报告内部控制缺陷的认定标准,报告期内公司未发现非财务报告内部控制重大缺陷及重要缺陷。
四、其他内部控制相关重大事项说明
(一) 内部控制环境
1.法人治理结构
公司严格按照《公司法》《证券法》《证券公司监督管理条例》等有关法律、法规以及现代企业制度的要求,建立了以股东大会为最高权力机构,董事会为决策机构,监事会为监督机构的三权制衡的法人治理结构,实现了股东所有权与公司法人经营权的分离,保障公司股东大会、董事会、监事会等机构的 操作规范、运作有效。
股东大会为公司的最高权力机构,能够保障所有股东依法合规享有平等地位,并充分行使权利。股东大会每年定期召开年度会议,审议董事会和监事会的工作
报告,决定公司的经营方针和发展计划,按照《公司章程》的有关规定发挥职能。董事会为公司的决策机构,对股东大会负责。董事会负责建立健全内部控制机制,监督内部控制机制的运作,对公司内部控制体系的有效性负责。根据《公司章程》的规定,公司董事会由十一名董事组成,其中独立董事五名,董事会人数及构成符合相关法规的规定。2023年度(报告期内),公司共召开了七次董事会会议,充分发挥董事会决策作用。
董事会下设投资与发展委员会、风险管理委员会、薪酬与考核委员会、提名委员会、审计委员会等五个专门委员会,为董事会科学决策提供保障。
监事会是公司的内部监督机构,依法履行《公司法》《公司章程》赋予的权利和义务,对董事、总裁及其他高级管理人员的行为及公司财务进行监督及检查,对股东大会负责并报告工作。监事会由五名监事组成,其中,职工代表监事三名。报告期内,公司共召开了五次监事会会议,对公司财务和内部控制以及公司董事会、经营管理层履行责任的合法合规性进行监督。
公司实行董事会领导下的总裁负责制。总裁在公司的日常经营管理工作中,负责建立健全内部控制和风险管理制度,督促贯彻执行各项规章制度。
2.内部控制管理组织架构
根据经营特点及内部控制要求,公司建立了由董事会及其专门委员会、监事会、经营管理层及其下设专业委员会、职能管理与业务经营部门构成的多层级内部控制管理组织架构,并明确各自的职责权限,形成部门内分工约束、部门间相互制衡并有效运作的内部控制环境。
3.内部控制制度体系
公司根据《证券法》《证券公司内部控制指引》《证券公司和证券投资基金管理公司合规管理办法》《证券公司全面风险管理规范》等法律法规,建立了覆盖公司经营管理各环节的内部控制制度体系,结合监管规则变化及业务开展需求,持续对制度进行更新完善并贯彻执行。
4.企业文化及社会责任
公司秉持“成就企业家和投资者的梦想”这一使命,致力于“追求持续发展,做受人尊敬的一流投资银行”这一愿景,坚持“诚信、进取、创新”的核心价值观。
公司高度重视履行社会责任,将公司自身发展与社会进步紧密相联。公司将
ESG理念与公司战略深度融合,主动服务国家战略,从战略高度全面推进ESG实践,并积极参与ESG生态系统建设,输出ESG先行先试经验。2023年,公司作为深圳地方标准《金融机构绿色投融资环境效益信息披露指标要求》的起草人,积极参与相关标准的起草及反馈工作,为标准的制定提供来自证券行业的实践经验。2023年6月,公司申报的《ESG理念在信息披露方面的应用》和《ESG理论与实践》两门课程在中国证券业协会远程培训课程中上线。2023年9月,公司申报的《构建具有中国特色的上市公司ESG信息披露框架和评价体系研究》作为中国证券业协会2023年重点课题立项。2023年9月,受深圳证券业协会邀请,公司作为深圳证券业代表出席深圳市证券业协会联合香港证券及投资学会举办深港证券交流活动“思享会”第9期——“证券公司的ESG路径探索”,并作ESG实践分享,公司的ESG实践获得了香港金融业参访团的高度评价。2023年11月,公司荣获中国上市公司协会“2023年上市公司董事会最佳实践案例”、“2023年上市公司ESG最佳实践案例”和“2023年中国上市公司ESG优秀实践案例”三项殊荣。
公司深化推进文化建设的四个“深度融合”和四个“有机结合”,以“合规、诚信、专业、稳健”的证券行业核心价值观为重心,为公司的治理、战略、发展提供助力,为公司的行为规范提供指引,以党建为引领、历史文化传承为根基、专业能力建设为支撑、人才全面发展为动能,强化合规底线,以客户为中心,持续打造公司文化核心竞争力。
5.员工道德价值观念及人力资源政策
公司制定了《廉洁从业管理办法》等制度,齐抓共管推进公司廉洁从业管理工作,培育全员廉洁从业文化,支持公司可持续发展。公司积极保障内控人员的履职条件,不断提高公司员工专业能力的同时,强化员工的内控意识和能力,为防范风险夯实基础。
(二) 风险识别与评估
1.风险识别与评估机制
公司建立了较为完善的“董事会及其风险管理委员会、董事会授权的经营管理层及其下设执行委员会、履行专项风险管理职责的相关部门、业务及职能部门”四层风险管理架构,全面履行风险识别及评估等风险管理职责。公司根据战略发展规划和风险偏好,建立健全相应的风险识别及风险评估机制,通过持续收集可能影响公司经营管理的内外部信息,包括行业和公司内部风险事件、风险敞口和
风险指标数据,采用定性与定量分析相结合、系统分析与人工分析相补充的方法,及时识别、系统分析、评估经营活动面临的风险,合理确定风险应对策略。
2.风险识别及评估措施
公司根据内外部环境的变化以及在判断各项业务流程风险点的基础上,对所面临的市场风险、信用风险、操作风险、流动性风险、声誉风险等进行持续识别。公司通过日常风险监控、压力测试等方式,广泛持续收集相关信息并识别与实现控制目标有关的风险;通过在各业务部门和主要职能部门设立业务风险管理岗,完善业务风险监控和报告机制;通过在新业务开展之前进行净资本敏感性分析,指导业务部门合理确定业务规模,在风险可控的范围内开展业务。2023年,公司从制度机制、系统建设等方面持续完善风险识别及评估机制,修订《市场风险管理办法》《压力测试管理办法》等制度;推动数据集市、市场风险、信用风险等系统的需求制定和建设工作。
(三) 主要业务的控制措施
1.固定收益业务控制
债券交易业务管理方面,公司制定了《固定收益业务线债券交易业务管理办法》,明确交易流程及各项风险管理措施。债券交易业务统一归集在债券业务综合管理系统中开展,实现对交易要素录入、业务审批、合规审核、风险监测管理等关键节点的电子化留痕,规范管理要求,防范操作风险。
债券承销销售业务管理方面,公司制定了《固定收益业务线债券承销销售业务管理办法》,明确了债券承销团参团审批权限、承销销售业务流程,并对债券承销销售业务中可能出现的市场风险、操作风险、信用风险、流动性风险等各类风险制定了相应的控制措施。
做市业务管理方面,公司制定了《全国银行间债券市场做市业务管理办法》和《全国银行间债券市场做市业务操作规程》,明确了做市业务相关人员的工作职责、做市业务操作规范及做市业务风险控制措施。公司严格按照中国人民银行和中国外汇交易中心的相关规定开展做市业务,积极履行做市商义务。
信用风险控制方面,为控制投资标的信用风险,公司建立了债券内部评级体系和债券库,对相关债券进行信用分析和跟踪评价;为控制交易对手方信用风险,公司对债券逆回购交易、债券借贷融出交易和债券远期交易实行交易对手方白名单和额度管理制度。
风险控制与监控方面,公司对敞口投资品种均设定相应的止盈止损目标,由固定收益相关部门负责对其投资品种进行全程跟踪与监控,并对持仓头寸进行全面监控,提高对业务风险的全面控制。异常交易管理方面,公司通过债券业务综合管理系统对价格偏离度进行实时监测,并按照《证券基金经营机构债券投资交易业务内控指引》及中国外汇交易中心、中央国债登记结算有限责任公司的相关规定进行备案。
2.资产管理业务控制
产品开发方面,公司制定了《资管产品开发审批管理办法》《资产管理产品审核组议事规则》等,规范资产管理业务的产品开发及审批工作。
产品销售管理方面,公司制定了《资产管理业务营销宣传行为管理实施细则》《资产管理业务投资者适当性管理办法》《资产管理业务销售机构管理实施细则》等,规定私募资管业务不得公开宣传、不得虚假宣传、销售误导,销售中应向投资者明确揭示风险,保障销售行为规范合规;需合理评估投资者风险承受能力并做好适当性匹配,禁止向投资者销售风险等级高于其风险承受能力的产品;明确销售机构准入及持续管理标准和程序,规范销售机构销售行为。
产品投资风险控制方面,公司制定了投资授权管理、股票库和债券库管理、交易对手管理、资产管理业务关联交易管理、资产管理业务异常交易管理等规章制度,规范投资授权管理体系,明确标准品资产入库流程、投资额度、投资流程,关联交易及异常交易等管理要求,合理控制投资风险。
系统建设方面,公司根据监管规定和业务需求,进一步完善投研和交易系统、优化投资交易系统风险管理功能和资产管理业务适当性管理系统功能。
3.证券经纪业务控制
公司设立经纪业务发展委员会,统筹管理经纪业务相关工作。经纪业务发展委员会在公司授权范围内,承担拟定业务线经营目标及策略、拟定分支机构基本管理制度、审议重要管理办法及实施细则等工作职责,并通过组织定期例会或不定期专题讨论会,对重大事项进行讨论及决策。
制度建设方面,2023年,公司根据监管规定并结合业务管理要求,制定《经纪业务客户账户管理办法》及修订《经纪业务投资者适当性管理办法》等。公司经纪业务制度覆盖分支机构网点建设和管理、投资者适当性管理、分支机构绩效考核管理、分支机构员工执业行为管理、客户账户和交易管理、客户服务等方面。
公司总部及分支机构严格落实公司制度要求,通过不断完善制度体系,提高业务管理和分支机构运作的规范性,保障证券经纪业务安全稳健运行。合规监测及风险监控方面,公司通过合规管理系统监测员工投资行为,通过风险监控系统监测客户异常交易行为、重点监控账户、营销人员执业行为等,并对发现的异常情况及时跟进,对涉嫌违规行为及时处置,防范各类风险。分支机构管理方面,公司通过完善合规风控管理制度和流程、加强分支机构合规培训宣导、开展现场和非现场检查等措施,推动分支机构加强管理和合规约束;按照证券公司内部控制制度规定和分支机构标准化服务规程,定期对分支机构员工执业行为、营销展业、账户及适当性管理、投顾业务、佣金管理、金融产品销售、反洗钱管理、客户异常交易行为管理等方面的风险点开展自查,持续完善分支机构日常管理工作标准及流程,不断提升分支机构内部控制管理水平。
4.投资银行业务控制
公司的投资银行业务主要由全资子公司第一创业证券承销保荐有限责任公司(以下简称“一创投行”)经营。
4.1 股票与公司债券(不含中小企业私募债券)承销保荐业务
项目开发与评审方面,一创投行设立业务开发委员会作为立项审议机构,依据公司的总体发展战略、市场状况、监管政策制定立项标准,对于投资银行类项目均履行立项审议职责,并确定客户服务及项目执行的资源配置。
项目质量管理方面,一创投行设立项目监督执行委员会作为投资银行业务日常运作的技术咨询机构,主要负责对投资银行部门项目的执行过程实施全面的技术咨询支持与质量监督,并就发现的重大问题向内核团队提请关注。此外,一创投行设立质量控制部门,作为项目监督执行委员会日常运作的执行机构,通过对投行业务实施贯穿全流程、各环节的动态跟踪和管理,履行对投资银行类项目质量把关和事中风险管理等职能。一创投行设立了专门的内核机构,主要负责对拟向相关监管机构报送的项目申报材料进行全面审核,履行对投资银行业务的内核审议决策职责。
制度及机制建设方面,一创投行建立了涵盖项目承揽立项、尽职调查、改制辅导、文件制作、内部审核、发行上市、存续期管理、考核问责等方面的制度;通过建立健全证券发行中的定价和配售等关键环节的决策机制,控制承销业务风险;通过事先评估、在承销协议中明确保护机制、完善资本承诺委员会决策流程
和机制等措施,控制包销风险。一创投行根据投资银行业务不同类型,制定了业务执行流程表,使投资银行业务规范化和标准化,保障业务的顺利有序完成。对于存续期项目管理,一创投行通过建立《投资银行类业务重大风险项目关注池管理指引》,明确入池标准、程序、关注池管理、入池项目相关人员的惩戒措施,对进入重大风险项目关注池内的项目进行动态管理,防范项目重大风险。一创投行制定了风险排查方案,开展了存续期项目风险排查工作,及时发现潜在风险并制定完善措施。
信息技术方面,一创投行根据各部门需求,建设投行业务管理系统,有效提升投行数字化能力,加强内控,降低风险,提升工作效率。
教育培训方面,一创投行充分利用外部监管案例,统筹安排员工积极参与学习,同时在内部通报新颁布的政策法规,并不定期开展与投行业务有关的制度指引、案例分享等专业培训,督促员工学习贯彻政策法规相关要求。
利益冲突管理方面,公司与一创投行严格遵守信息隔离墙相关规定,控制内幕信息及其他未公开信息的不当流动和使用,一创投行的承销保荐业务与公司及其他子公司的业务在人员、机构、信息、账户、系统等方面不存在混合操作的情形。
4.2 资产证券化业务
公司及一创投行建立健全资产证券化业务制度和流程,建立了包括《资产证券化项目尽职调查指引》《资产证券化业务立项准入指引》《资产证券化业务内核工作规则》等制度与流程,覆盖立项、质控、问核、内核、存续期管理等核心业务环节。公司及一创投行成立资产证券化业务立项委员会、资产证券化业务内核委员会,对立项、内核等重要事项进行集体决策,控制业务风险。
4.3 股转系统推荐业务
一创投行的制度体系,覆盖股转系统推荐业务的全业务流程和产品生命周期,在项目开发与评审、利益冲突审查、项目质量管理、制度及机制建设、存续期项目管理等方面全面纳入一创投行内部控制体系,进一步规范业务标准和提高业务质量,控制业务风险。
5.信用类业务控制
公司建立了“董事会-总裁办公会及信用业务决策委员会-信用支持部-分支机构或项目发起部门”四级管理机制,对信用类业务实行总部集中管理、集中授信、
分级审批、独立运行的业务模式。公司通过信用类业务交易系统、独立的风险监控系统,实现业务监控、信用账户分类管理、自动预警等功能;建立了实时监控及平仓机制,信用支持部负责对客户账户进行实时监控,逐日盯市,发出追加担保物/质押物指令或强制平仓指令,风险管理部从公司层面独立对业务规模、集中度、异常交易等方面进行监控;建立了信用类业务突发事件应急预案,防控突发风险事件。融资融券业务方面,2023年,公司根据《深圳证券交易所融资融券交易实施细则(2023年修订)》等,落实了融资融券业务风险管理、系统改造、适当性改造等要求;根据公司业务管理要求,调整了信用业务的匹配规则,同步更新适当性制度、系统等。报告期内,公司新获批北交所两融业务资格,相应对公司两融业务各项管理环节进行梳理。根据监管要求及业务需要,公司修订了《融资融券业务标的证券管理办法》等制度,制定了《北京证券交易所融资融券业务操作指引》,进一步提升了制度的规范性和指导性。股票质押式回购交易业务方面,2023年,公司对《股票质押式回购交易业务操作流程》进行修订,完善质押股票违约处置流程,落实监管要求。
6.证券自营业务控制
组织架构方面,公司建立了“董事会―投资决策执行委员会―证券自营业务部门”三级投资管理机制,董事会主要确定证券自营业务规模、可承受的风险限额等,投资决策执行委员会确定投资策略、资产配置、投资品种等,证券自营业务部门根据董事会和投资决策执行委员会做出的决策与授权,制定投资计划,选择投资品种。
独立性方面,公司建立了独立的交易系统,使用专用席位,保证证券自营业务与其他经营业务相互分离。
信息隔离方面,公司建立并执行信息隔离及跨墙工作机制,自营部门员工分工明确,与资产管理等业务相互独立。
7.研究业务控制
业务管理方面,公司不定期对研究人员进行合规培训,加强研究人员的合规意识;公司制定了《发布证券研究报告业务管理制度》《投资价值研究报告管理细则》,规范研究报告的编写、审核与发布,明确研究对象覆盖、信息来源、调研、利益冲突防范等关键环节的内部管理要求。
信息隔离方面,公司建立了隔离墙、利益冲突管理等制度,并严格执行制度要求,履行分析师跨墙审批及分析师跨墙后业务活动的跟踪管理,落实各项利益冲突防范措施,防范内幕交易和利益冲突。
对外交流管理方面,公司对分析师参与媒体节目进行集中管理和风险控制,相关活动需符合监管要求的报备手续。
8.期货经纪业务控制
公司的期货经纪业务由全资子公司第一创业期货有限责任公司(以下简称“一创期货”)经营。
一创期货构建了较为全面的内部控制机制,涵盖公司治理、财务管理、结算管理、风险控制、保证金安全存管、反洗钱管理、信息披露等方面。
法人治理方面,一创期货股东、董事会、监事均按照公司章程的规定履行职责,一创期货与股东在人员、财务、资产、业务、场所等方面严格分开,独立经营、独立核算,不存在股东非法干预公司经营管理活动的情形。
客户保证金管理方面,一创期货严格按照《客户保证金安全存管制度》,将客户保证金全额存入结算银行,与一创期货自有资金分户存入,封闭管理。
净资本风险监控方面,一创期货建立与风险监管指标相适应的动态风险监控和净资本补充机制,并在业务开展的过程中严格遵守;开展各项重大业务前均对风险监管指标进行敏感性测试,并保证业务开展期间持续符合净资本监管指标要求。
客户交易风险管理方面,一创期货通过客户交易风险监控系统,对交易风险进行统一监管,风险监控人员落实对客户进行风险提示、追加保证金及强行平仓通知等客户沟通工作。
2023年,一创期货根据业务发展和监管要求,修订《从业人员廉洁从业管理办法》《居间人管理制度》《反洗钱内部控制制度》等制度,制定了《内部信息管理制度(试行)》《数据分类分级管理办法》《技术人员培训管理办法》等,持续完善内部控制制度体系。
9.私募股权投资基金业务控制
公司的私募股权投资基金业务由全资子公司第一创业投资管理有限公司(以下简称“一创投资”)经营。
制度建设方面,一创投资建立了内部控制制度、风险管理制度及一系列业务
管理制度和流程,涵盖投资决策、风险控制、法律合规以及业务监督。2023年,一创投资制定、修订多项制度,包括公司层面的管理制度及具体业务实施细则等,保障业务规范有序开展。
投资决策方面,一创投资明确投资需遵循法律法规的要求,符合公司中长期发展规划和战略布局。一创投资实行董事会领导下的总经理负责制。总经理下设总经理办公会,作为总经理贯彻落实董事会确定的路线和方针的经营管理机构。一创投资设立投资决策委员会,由总经理办公会授权,负责对私募股权投资基金投资业务进行前置评审和投资决策,并对协同项目进行咨询建议。利益冲突管理方面,除法律法规允许的情形外,一创投资与公司及公司其他子公司在机构、财务、资产、经营管理、业务运作等方面相互独立,满足隔离要求。
10.公募基金业务控制
公司的公募基金业务由控股子公司创金合信基金管理有限公司(以下简称“创金合信”)经营。
组织架构方面,创金合信董事会及下设的风控与审计委员会、薪酬委员会等专门委员会、总经理、风险控制办公会、合规与风险管理部、各业务部门构成了公司内部控制及风险管理体系。
在产品/业务评审方面,创金合信在风险控制办公会下设了公募基金产品评审小组、私募产品评审小组。公募基金产品评审小组由基金产品研发部、综合部、合规与风险管理部、科技服务部等部门的专业人士组成;私募产品评审小组由机构业务综合服务部、合规与风险管理部、综合部、基金运营部等部门的专业人士组成。两个小组负责接受产品的新设、变更评审申请,召开评审会议;对产品方案的可行性出具意见,如涉及重大风险事项将向风险控制办公会汇报。
交易管理方面,创金合信采用集中交易管理,即投资决策过程和决策执行过程分开,场内场外证券买卖活动必须通过交易部集中交易室统一分配、集中交易完成,交易部在实际工作中完善交易记录制度,落实交易风险控制措施,提高对重要业务关键风险点的控制。
信息隔离方面,创金合信严格遵循基金公司内部控制和信息隔离墙机制,将公募业务、私募资产管理业务以及投顾业务的投资管理人员相分离(按照法律法规、监管政策要求,履行适当程序后由公募业务基金经理兼任私募业务投资经理
的情形除外),通过严格的系统权限分配,对公募、私募资产管理以及投顾等业务所涉及的账户、资金、证券等分开管理,杜绝混合操作,对不同投资组合(包括公募业务、私募资产管理业务以及投顾业务)的异常交易行为进行监控和事后分析,通过投资系统前端控制,严格禁止不同投资组合间的对手交易。合规管理方面,创金合信切实履行合规管理要求,包括对公司业务、产品进行评审,对合同、宣传材料等法律文件进行合规审核;开展公司重要业务的尽职调查工作,对项目存在的风险进行评估分析;对公司重要项目的产品交易结构进行合规论证等。
在风险管控工作落实方面,创金合信建立了全面风险管理体系方案,并逐步将风险管理体系覆盖至各业务和职能条线,包括研究、投资决策、交易、市场、产品设计、运营、IT系统及权限、客户等环节。
11.另类投资业务控制
公司的另类投资业务由全资子公司深圳第一创业创新资本管理有限公司(以下简称“创新资本”)经营。
制度建设方面,创新资本建立了《内部控制制度》《廉洁从业管理办法》《风险管理制度》《合规管理制度》等制度和流程,涵盖投资决策、风险控制、法律合规以及业务监督。2023年,创新资本持续完善制度体系,保障业务规范有序开展。
投资管理方面,创新资本通过《投资管理制度》明确投资的最高决策机构是董事会,对投资对象、投资原则和投资标准、运作流程和审批程序等进行了明确规定,并通过《投后管理实施办法》对投后管理及退出的管理要求进行了明确规定。
信息隔离方面,除法律法规允许的情形外,创新资本与公司及其他子公司在机构、财务、资产、经营管理、业务运作等方面相互独立,满足隔离要求。关联交易管理方面,创新资本通过流程设置,在投资建议书、投资协议的审核流程中设置节点对关联交易进行审查。
(四) 重要职能的控制措施
1.财务管理
公司建立了较为完善的财务管理制度体系,通过施行涵盖资金管理、资产营运、费用管理、风险控制、信息披露等方面的财务管理制度,规范日常财务管理
工作。管理体系建立方面,公司通过全面预算管理体系,实行战略预算管理和动态资产负债管理;对费用开支实施预算控制,并严格执行费用支出的审批程序。公司注重对表外项目(如担保、抵押、未决诉讼、赔偿责任等)的风险管理,对或有事项进行严密监控;公司通过流动性风险管理系统动态监控流动性风险指标,及时发现、分析流动性风险并做好应对措施,保障流动性风险指标持续符合监管要求。
资金管理方面,公司自有资金与客户资金严格分户管理。对于自有资金,公司严格执行自有资金调拨及相关业务权限管理与审批流程的规定。分支机构管理方面,公司成立财务共享中心,对分支机构的财务、会计及资金收支进行集中管理;建立严格的成本控制和业绩考核制度,并不定期对分支机构进行财务合规宣讲,加强事前事中管理,保障分支机构财务工作合规开展。
2.运营管理
客户资金的管理和使用方面,公司严格按照相关规定将客户交易结算资金全额存放于客户交易结算资金专用存款账户和结算备付金账户,并与公司自有资金分离管理。
资金划付与交收方面,公司明确了相关管理制度和审批流程,以及时准确完成各存管银行客户交易结算资金专用存款账户与登记结算公司及场外交收主体之间清算交收的资金划付。公司通过升级资金结算系统,持续优化资金交收管理工作,防范操作风险。
账户管理方面,公司严格将证券经纪、固定收益、资产管理、投资银行、证券自营业务的证券账户分开管理,信息予以隔离;对于业务发生的投资明细清算等信息,督促员工按照授权和岗位职责开展工作,要求清算人员严格保密。
交易管理方面,公司将资管及自营交易纳入集中管理,制定并发布交易管理制度以及相关操作指引,明确交易执行人员岗位职责和操作流程,加强交易规范。
参数管理方面,公司制定了各业务系统参数设置操作流程,及时、准确、完整地完成各业务系统参数设置工作,及时做好参数设置跟踪表和参数设置日志的登记工作,保障公司各项业务的顺利开展。
3.信息技术管理
制度建设方面,公司遵循安全性、实用性、可操作性原则,完善并施行一系
列信息系统的管理规章、操作流程、岗位手册、事故认定和风险应对制度,涵盖IT治理与IT规划、组织与人员管理、信息资产管理、网络通信管理、软件开发与项目管理、分支机构IT管理等方面。2023年,公司根据《证券期货业网络和信息安全管理办法》修订了《信息安全管理总则》等制度,进一步完善了信息技术制度体系。
数据管理方面,公司在数据治理持续运营机制基础上,切实推动各项数据治理工作落地执行。2023年,公司开展了主数据管理探索研究,寻求主数据管理落地方案;优化指标标准管理,切实为业务部门解决数据使用问题,寻求数据治理工作方法及方向上的突破;在深圳证券交易所申报数据安全课题并在《中国证券》期刊发表数据安全体系建设相关文章。
信息安全方面,公司配备安全管理人员负责统筹计算机病毒防范、补丁升级等相关安全管理工作,定期开展系统漏洞扫描与修复、安全攻防评估等工作;建立了数据中心及数据库审计系统,根据数据分类分级管理办法对经营及客户数据按照重要性和敏感性进行差异化管理,部署数据脱敏系统对生产数据外发进行统一管控。公司不同网段严格隔离,可网络互访的网段按照最小化权限原则予以开通,文件交互都需要经过文件摆渡系统进行异构杀毒软件的查杀,相关交互的文件保留1年以上,以满足审计的需求。公司终端实行严格的网络准入策略,启用明文水印以起到数据泄密行为震慑以及反查的作用。
系统建设方面,公司通过制度修订、流程优化、管理系统开发等方式优化各环节的流转和控制,强化了立项评审、效益评审等,通过优化项目效果的公司级评审,以评估IT项目对于公司的价值体现,落实降本增效的经营目标。
网络与信息安全事件应急处置方面,公司制定并施行《网络安全应急处置管理办法》《网络安全事件分级和处置管理办法》《网络安全应急处置预案(信息技术中心)》及应急联络手册,明确安全事件处理流程,对于不同级别的事件分级通报,成立应急处置小组对突发事件(如有)进行快速有效处置。
4.人力资源管理
公司定期梳理明确人力资源授权,根据外部法律法规及监管要求优化更新人力资源相关管理制度。2023年,公司新制定了《执业声誉信息报送管理细则》《企业文化建设工作管理办法》等制度,修订并面向全员发布了《员工手册》《从业人员资格管理办法》等多个制度。公司通过建立并持续完善人力资源管理系列制
度,明确对员工职业道德规范的要求,规范员工行为,为员工诚信敬业,合规执业,防范道德风险,构建健康和谐的劳动关系提供了制度保障。公司通过职业化提升、风险合规、党建、专业技能等培训,提升员工的风险合规意识、职业素养、专业能力。分支机构人力资源管理方面,公司不断完善分支机构人力资源管理体系,帮助分支机构建立规范高效的人力资源管理流程;通过组织多样化的分支机构人力资源管理赋能项目,帮助分支机构相关人员强化专业知识、提升专业能力。公司持续开展年度分支机构人力资源管理工作检查,保障相关工作合规有序进行。
5.合规管理
制度建立健全方面,公司制定《合规管理办法》并经公司董事会审议通过后实施,对公司合规管理目标、合规管理组织架构与职责分工,合规管理保障机制等进行了明确规定,使合规管理有章可循。
合规审查方面,公司安排法律合规部门对公司各职能条线及业务条线的制度、项目方案、协议、新产品、新业务及其他日常经营事项进行合规审查并出具专业、审慎的审查意见,覆盖公司证券经纪业务、自营业务、资产管理业务、融资融券业务、风险管理、信息技术、反洗钱、公司治理、中后台职能部门管理等方面,保障公司日常业务、管理事项及各项重大决策的合规性。
合规咨询方面,公司安排法律合规部门严格依照法律法规、监管规定及自律规则的要求,通过书面、口头、即时通讯工具等各种形式为公司各职能条线及业务条线提供专业、及时、全面的合规咨询意见,2023年重大的合规咨询事项主要涉及产品流动性管理、关联交易管理、债券投资交易管理、证券经纪业务、资产管理业务、融资融券业务、异常交易处理、子公司投资项目管理、信息技术规范运作、私募股权投资基金业务等。法律合规部门及时发布合规工作提示,宣导合规政策,传递合规要求。
合规检查方面,2023年,公司安排法律合规部门采用现场和非现场相结合的检查方式,对总部部门和分支机构开展专项合规、反洗钱和适当性相关检查,涉及投资者适当性管理、分支机构业务开展与经营管理、反洗钱等领域,对于合规检查发现的问题,积极督促整改;对于分支机构存在的共性问题,安排全体分支机构进行自查、检查,及时查漏补缺,完善内控机制,防范新的风险情况;通过自查、检查、整改、提升,形成合规检查的常规工作机制及流程。
合规人员管理方面,公司各业务部门、分支机构落实专职或兼职合规管理人员配备要求,督导合规管理人员切实履行职责。
6.控股子公司的管理与控制
公司制定了《子公司管理办法》《全面稽核工作管理办法》等,密切关注控股子公司的业务经营与内部控制情况,定期收集业务与财务数据,分析经营管理中存在的问题;根据子公司特有的业务风险,通过合法方式督促其健全和完善相关内控和风险管理制度,制定有效的内部控制措施,并依法监督控股子公司的各项制度及控制措施的执行情况。
7.对外投资活动的内部控制
公司对外投资的内部控制遵循稳健投资原则,合理配置公司资源,控制投资风险,注重投资效益。为促进公司的规范运作和健康发展,规避经营风险,公司明确了重大投资决策的批准权限与批准程序。通过制定并及时修订《公司章程》《股东大会议事规则》《董事会议事规则》《对外投资管理制度》等制度,公司就对外投资事项明确规定了股东大会、董事会、经营管理层的决定权限。
8.对外融资活动的内部控制
《公司章程》规定,公司股权融资和债权融资方案需经公司董事会、股东大会审议。公司对自有资金实行集中统一管理,计划财务部是自有资金管理的职能部门,在公司授权范围内负责公司资金拆借、资金存放与调拨以及其他资金运作业务。未经公司授权,公司各部门及分支机构不得擅自从事融资活动。
9.对重大事项的内部控制
根据《深圳证券交易所上市公司自律监管指引第1号——主板上市公司规范运作》,公司进一步加强对募集资金存放与使用、对外担保、关联交易、购买和出售资产、对外投资等重大事项的内部控制。
(五) 信息沟通与披露
公司在各组织、部门、业务线以及子公司之间建立了信息沟通、汇报及披露管理机制,保障信息沟通与披露的及时准确完整。
1.信息沟通
公司股东大会、董事会、监事会按照《公司法》和《公司章程》的规定召开会议,听取公司经营管理、风险管理、合规管理及内部控制等情况,保障各类事件和内部控制缺陷得到妥善处理。
公司建立了内部办公自动化系统,将授权控制、信息跟踪等功能固化至系统中,提高了内部沟通效率,实现了信息沟通的留痕,并为公司内部控制人员履行职责提供相关信息。公司定期研究经营管理事项、部署经营管理工作;业务部门、职能部门、分支机构、子公司等负责人参加相关会议,向经营管理层汇报重要事项。
公司根据深圳证监局的要求建立了定期监管信息沟通机制,就日常业务中遇到的合规及风险管理事项向监管机构进行咨询和沟通。
2.信息披露
公司建立健全了信息披露统一管理、分工协作的机制,设立了信息披露专岗,明确规定了信息披露的原则、内容、标准、程序、权限与责任划分、档案管理、保密措施、责任追究与处理措施等。
公司严格按照《上市公司信息披露管理办法》和公司《信息披露事务管理制度》等相关规定,持续完善信息披露工作机制,优化信息披露管理流程,履行相关信息披露义务,规范开展信息披露事务管理工作。公司严格通过指定媒体发布相关信息,2023年合计披露定期报告和临时公告113份,保障所有投资者公平获悉同一信息。
公司持续加强内幕信息管理,严格执行相关法律法规及《内幕信息知情人登记管理制度》,内幕信息知情人员履行登记、报送义务,内幕信息登记管理工作规范开展。
(六) 内部监督与评价
1.监事会工作情况
公司监事会根据《公司章程》规定,通过召开会议,对公司财务和内部控制以及公司董事会、经营管理层履行职责的合法合规性进行有效监督。公司监事通过列席公司董事会和相关董事会专门委员会会议,对公司规范运作、内部控制、信息披露、关联交易等重大事项的决策进行监督。
2.审计委员会工作情况
公司董事会下设审计委员会,主要负责公司内、外部审计的监督、核查和沟通工作。报告期内,审计委员会通过召开会议、访谈等方式,认真履行审计监督职责,严格按照工作规程参与会计师事务所对公司的年度审计工作,评估内部控制的有效性,指导和监督内部审计制度的建立和实施。
审计委员会定期召开会议,审议公司稽核部提交的公司稽核内审工作计划和报告,并及时向董事会报告公司内部审计工作,在加强外部审计与内部审计的沟通与交流、公司内部控制有效性提升等方面发挥了专业职能和作用。
3.稽核部工作情况
公司设立独立于公司各业务部门和职能部门的稽核部,以风险为导向,按照各项外部监管规定和内部稽核制度开展内部审计工作,针对特殊情况或重大问题,根据需要开展专项审计,并对审计发现的问题进行整改跟踪,保障内部控制机制持续、有效运行。
2023年度,公司安排稽核部组织开展4个风险导向类稽核项目、9个总部离任稽核项目、19个监管要求的审计评估类项目、20个分支机构稽核项目等;同时,稽核部优化更新了智慧审计系统,加强内审监督力度,按制度规定开展违规事项调查处分问责,全年出具了多份管理建议书及稽核提示函。
公司经营管理层高度重视公司内部控制各职能部门的报告及建议,对于发现的问题,及时采取有效措施进行纠偏,不断提高业务和管理控制措施的规范性和有效性,持续提高公司内部控制管理水平。
董事长(已经董事会授权):吴礼顺
第一创业证券股份有限公司
二〇二四年四月二十七日