华泰证券股份有限公司2024年度
内部控制评价报告
华泰证券股份有限公司全体股东:
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求(以下简称“企业内部控制规范体系”),结合本公司(以下简称“公司”)内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,我们对公司2024年度内部控制有效性进行了评价(报告基准日2024年12月31日)。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经营管理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二、内部控制评价结论
1.公司于内部控制评价报告基准日,是否存在财务报告内部控制重大缺陷
□是 √否
2.财务报告内部控制评价结论是否有效
√有效 □无效
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,公司不存在财务报告内部控制重大缺陷。董事会认为,公司已按照企业内部控制规范体系和相关规定的要求,在所有重大方面保持了有效的财务报告内部控制。
3.是否发现非财务报告内部控制重大缺陷
□是 √否
根据公司非财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,公司未发现非财务报告内部控制重大缺陷。
4.自内部控制评价报告基准日至内部控制评价报告发出日之间,有无影响内部控制有效性评价结论的因素
□适用 √不适用
自内部控制评价报告基准日至内部控制评价报告发出日之间,未发生影响内部控制有效性评价结论的因素。
5.内部控制审计意见是否与公司对财务报告内部控制有效性的评价结论一致
√是 □否
6.内部控制审计报告对非财务报告内部控制重大缺陷的披露是
否与公司内部控制评价报告披露一致
√是 □否
三、内部控制评价工作情况
(一)内部控制评价的范围
1.纳入评价范围的单位包括:华泰证券股份有限公司各部门及各分公司、华泰联合证券有限责任公司(以下简称“华泰联合”)、华泰期货有限公司(以下简称“华泰期货”)、华泰证券(上海)资产管理有限公司(以下简称“华泰资管”)、华泰紫金投资有限责任公司(以下简称“华泰紫金”)、华泰国际金融控股有限公司(以下简称“华泰国际”)、华泰创新投资有限公司(以下简称“华泰创新”)、江苏股权交易中心有限责任公司、上海盛钜资产经营管理有限公司,所有子公司均涵盖下属公司。纳入评价范围单位的资产总额占公司合并财务报表资产总额的100%,营业收入合计占公司合并财务报表营业收入总额的100%。
2.纳入评价范围的主要业务和事项包括:内部环境、风险评估、控制活动、信息与沟通、内部监督,以及控制活动所涉及的不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考核控制。
(1)内部环境
1)治理结构
作为境内外上市的公众公司,公司按照境内外上市地的法律、法规及规范性文件的要求,规范运作,不断致力于维护和提升公司良好的市场形象。公司依照《公司法》《证券法》《证券公司监督管理条
例》等相关法律法规以及公司《章程》的规定,建立健全公司法人治理机制,形成了股东大会、董事会、监事会和经营管理层相互分离、相互制衡的公司治理结构,设有独立董事、合规总监、首席风险官,并不断健全、完善合规风控制度和内控管理体系,确保了公司的稳健经营和规范运作。2024年度,公司严格按照《公司法》、公司《章程》和《股东大会议事规则》等相关规定要求召集、召开股东大会,股东大会的通知方式、召开方式、表决程序和决议内容符合公司《章程》的规定。公司董事人数和人员构成符合法律、法规的要求,董事会、监事会能够根据公司《章程》,按照法定程序召集、召开,会议决议合法有效。董事会下设合规与风险管理、审计等各专门委员会,能够根据公司《章程》规定职责,对相关议案进行审议并发表意见。公司监事会对公司定期财务报告、关联交易等事项及公司董事、高级管理人员履行职责的合法合规性进行有效的跟踪监督。2)发展战略公司董事会下设发展战略委员会,制定发布相关工作细则,明确发展战略委员会的人员构成、职责权限、会议召开程序、议事和表决方式等内容。战略发展部作为执行部门,参与制定公司中期发展战略规划和年度工作计划,分析战略实施情况,参与战略项目的专题论证及项目执行工作,同时开展公司内外调研,密切关注监管政策和行业发展趋势,保持战略研究的前瞻性、指导性和可操作性。3)人力资源公司坚持以人为本,持续深化人力资源管理体系,不断强化高素
质专业化干部人才队伍建设,引导员工强化规矩意识、恪守职业道德,为公司改革转型和国际化发展提供坚实人才保障。报告期内,公司重视员工管理制度顶层设计,修订发布《员工绩效管理办法》等规范制度,为人员管理奠定基石。适应行业创新转型发展趋势,不断丰富完善多层次、多形式的培训体系,组织管理者、成熟员工、新员工职涯发展系列培训项目,支持员工职业成长;实施财富管理、机构业务、金融科技、合规风控等业务类培训,提升员工专业能力,强化员工职业操守。根据要求,加强管理人员兼职行为、证监会系统离职人员管理,组织开展任职规范与廉洁从业、社会组织兼职专项自查等工作;通过数字化手段定期核查在职员工兼职或持股行为,强化人员合规管理及廉洁从业防控。通过法律法规宣导、职业道德教育、专业技能培训、违规案例警示等方式,持续提升员工的职业操守、合规意识和专业服务能力,保障公司健康平稳高效运行。4)社会责任公司高度重视履行社会责任,发挥自身专业特色,以金融专业能力履行社会责任,持续推动经济价值与社会价值、环境价值互促共进,将环境、社会及公司治理(ESG)理念融入公司发展。公司致力于推动绿色金融发展、共促绿色技术创新,持续为服务实体经济高质量发展贡献力量。报告期内,公司持续完善并发布ESG相关制度,组织召开ESG委员会会议,审议并对外发布公司《环境敏感型行业可持续发展投融资理念》,将ESG和可持续发展理念深植于公司经营管理过程。公司2024年度MSCI ESG评级从AA级跃升至AAA级,实现两年连续进阶,达到全球投资银行业的最高评级。公司坚持将服务实体经济作
为业务发展的出发点和落脚点,满足实体企业发展的多样化金融需求,在服务战略新兴产业、促进区域协调发展、推进高水平对外开放、助力产业转型升级等方面持续贡献力量。有效履行社会责任,深耕乡村振兴、教育医疗、生态保护等公益领域,依托华泰公益基金会,构建公益生态,持续运营“益心华泰 一个长江”生态保护公益项目、“益心华泰 一个明天”乡村教育项目等品牌项目,发挥金融专业优势,创造社会共享价值。5)企业文化公司高度重视文化建设工作,主动践行中国特色金融文化,积极响应中国证监会、中国证券业协会加强行业文化建设的号召和要求,立足以人为本,构建开放包容的文化价值体系及管理体系,健全完善彰显文化导向的制度与机制。制定发布《文化建设工作纲要》,进一步明确文化建设的价值定位、总体目标、重点方向、推进机制和保障措施等,确定董事会、经营管理层和相关部门在文化建设中的职责,充分发挥监事会、合规、风控、稽查及纪检监察部门在文化建设中的监督制衡作用,切实保障公司文化建设与时俱新,强化公司文化建设对公司发展的引领作用,坚持文化建设与公司治理、发展战略、发展方式、行为规范深度融合,与员工的全面发展、历史文化传承、党建工作要求、专业能力建设有机结合,筑牢防范道德风险的篱笆。报告期内,公司持续将“合规、诚信、专业、稳健”的证券行业文化理念与“开放、包容、创新、奋斗、担当”的公司文化内涵相结合推进文化建设;举办企业文化沙龙、风险管理文化宣传月等活动,为员工带来有活力的文化体验;整合公益项目资源,开展儿童探访、自然观察
等志愿服务活动,在公司内部倡导向善的公益文化;与重点业务联动,举办科技金融创新论坛,传递科技创新文化;组织开展面向管理人员、新员工及关键岗位的警示教育活动,深化员工廉洁从业意识、纪律规矩意识;积极推进党建文化、科技文化、诚信文化、合规文化、风险文化等一体化的文化品牌矩阵,为公司高质量发展筑牢文化根基。
(2)全面风险管理体系
公司高度重视风险管理工作,根据监管要求及公司业务发展实际情况,建立包括董事会及合规与风险管理委员会、监事会、经营管理层及风险控制委员会、风险管理部及各风险管理部门、其他各部门、分支机构及子公司多层次的风险管理组织架构;以全员、覆盖、穿透为核心理念,持续健全全面风险管理体系。报告期内,公司以深入穿透业务风险管控、持续夯实全面风险管理体系、推进数字化赋能风险管理为重心,有序推进各项风险管理工作。风险覆盖方面,公司风险管理已经覆盖到子公司、分支机构和各业务条线,涵盖市场风险、信用风险、操作风险、流动性风险和合规风险、信息技术风险、声誉风险、法律风险、洗钱风险、廉洁风险等主要风险类型。风险监测方面,持续深化风险偏好、容忍度、专业风险、业务风险等多层级指标及限额体系,并通过平台化对风险指标进行计算、动态监控和预警。风险计量方面,实现对市场、信用和流动性风险的计量,并持续完善风险计量模型管理。风险分析方面,建立多层级的风险报告体系,明确报告机制和流程要求;持续完善压力测试体系及系统化功能建设,压力测试涵盖了监管资本指标、财务指标、各类风险限额指标等多方面,融入日常风险管理的全过程。风险应对方面,根据风险监测和分析结
果,制定与风险偏好相匹配的风险回避、降低、转移和承受等应对策略,采取资产减值、风险对冲、资本补充、规模调整、资产负债管理等应对措施。
(3)控制活动
公司结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,建立一整套持续完善、行之有效的管理制度体系,将风险控制在可承受度之内。公司各部门、分支机构、子公司以风险点自评为手段,定期回顾内控相关制度建设及管控措施执行有效情况。同时,公司不断加强内控制度建设,健全内部控制机制,提升制度执行成效,确保内部控制满足内外部管理要求,切实服务公司发展。重点关注的高风险领域主要包括:经纪业务、金融产品销售与基金投资顾问业务、融资融券与股票质押业务、权益交易业务、FICC交易业务、场外衍生品交易业务、投资银行业务、基金托管及服务业务、研究业务、财务管理、信息技术、合规法律事务、关联交易、子公司内部控制等关键领域,以及对公司经营管理产生重大影响的流动性风险、市场风险、信用风险、操作风险、声誉风险、信息技术风险、合规风险、法律风险和廉洁风险。
1)经纪业务。公司对经纪业务实施集中统一管理,在客户账户管理、适当性管理、客户交易安全监控、结算交收、客户回访、投诉处理、客户资料保存、业务人员行为管控、分支机构管理等方面建立了较为完善的制度体制和管控措施。报告期内,公司根据业务开展情况制定或修订发布涉及股票期权、债券通用质押式回购、分支机构管
理等多方面的制度规范;加强日常业务管控,优化业务开通流程,各项内控机制有序运行。客户服务及投资教育方面,结合监管要求和热点业务,围绕投资者保护等主题持续开展系列专题投教活动,完善投教内容体系,推进各项投教工作;构建以客户为中心的平台一体化服务体系并持续推进基础服务智能化和数字化转型,通过智能工具的应用及平台赋能,提升咨询、回访等基础服务效率。客户账户管理方面,不断完善账户业务办理流程及规范,对证券账户的使用情况进行监督和管理,对客户交易安全进行管理,确保妥善保管客户档案和资料。人员管控方面,建立对投资顾问和营销人员日常工作预警监控机制,定期或不定期对投顾和营销人员的执业合规情况进行检查,防范投资顾问和营销人员执业违规行为。2)金融产品销售与基金投资顾问业务。公司持续推进金融产品业务和基金投顾业务的内部控制完善工作。报告期内,公司根据最新监管要求及业务发展需要,制定或修订发布《公开募集证券投资基金投资顾问业务管理办法》《公募基金管理公司产品供应商管理办法》等多项制度,对相关业务各环节工作流程标准及合规风险管理要求予以明确完善。金融产品业务方面,公司建立健全覆盖产品供应商管理、产品引入、产品评价及评审、产品销售管理、存续期管理等各业务环节的全流程管理体系,严控业务风险可测、可控和可承受。基金投顾业务方面,公司针对投决会议事规则、组合策略生产与运作、基金池管理、适当性管理、营销推广及宣传推介等方面建立相应的管控措施并持续优化运行机制,防范基金投顾业务风险。3)融资融券与股票质押业务。公司持续健全融资融券及股票质
押业务的内部管理流程和审核复核机制,促进业务各环节内控机制有效运行。融资融券业务方面,事前按照征信授信规则开展日常客户征信调查、信用账户开立及信用额度动态调整工作;事中通过保证金比例、维持担保比例、折算率、集中度、标的券范围等风控指标的动态调节机制,推动融资融券业务发展,适应业务发展的需要;事后按照合同约定和内部管理制度,组织开展业务总分规模监控、风险账户监控、客户追保、到期负债追还、强制平仓以及坏账追索工作。股票质押业务方面,事前强化尽职调查及项目评审,实现评审项目风险可控;事中完善系统前端控制和人工复核的双重机制,确保交易要素和委托申报真实、准确、完整,确保交易符合公司总、分业务规模以及集中度控制指标要求;事后通过系统实时监控,重点落实对到期交易和履约保障比例不足交易的风险提示、客户沟通和风险防范工作,组织落实贷后管理工作,对违约交易进行处置,防范项目违约风险。4)权益交易业务。公司权益投资交易业务在投资决策、投资交易流程、策略上线管理、交易标的管理、合规风险管理等方面建立了相应的管控措施,通过授权、投资建议书审批等方式,明确各投资业务、投资策略的投资规模。建立了权益类证券池,不同的投资业务、投资策略使用不同的证券池品种作为投资标的,通过前端系统设置进行证券买卖控制。持续优化完善业务制度和工作手册,细化明确相关投资业务流程与合规风控要求。推进合规风控数字化,开发优化系统平台,进行全方位穿透式监控;全面梳理交易账户体系以及系统权限情况,加强各项业务的报备和风险自查,强化对员工投资交易和执业行为规范的培训管理,多举措保障证券投资业务平稳运行。
5)FICC交易业务。公司FICC交易业务通过事前风控指标校验,事中授权审批管控,事后跟踪评估等措施控制潜在风险。报告期内,公司根据监管要求及业务需要,修订发布《固定收益部自营投资交易业务管理办法》等业务制度,为业务发展夯实合规基础。投资决策方面,每月召开投资决策会议,对公司FICC交易业务投资规模、重大投资事项以及资产配置策略等作出决议;投资交易方面,采取分级授权管理与逐级审批相结合的模式;持续动态管理固定收益类证券产品池和交易对手池;优化完善交易风险前控指标,提升基础数据质量,防范交易风险。公司定期对业务进行投资绩效分析和风险评估,跟踪授权使用情况、策略执行情况。6)场外衍生品交易业务。公司通过投资决策、业务执行、权限管理、信息隔离墙、人员管理等各方面的管控措施,防范场外衍生品业务风险。重要决策由公司经营管理层、各相关部门进行审批、会签。报告期内,公司持续优化场外衍生品业务流程,在客户管理、项目审批、对冲管理、盯市等业务环节进一步细化完善相关规范要求。对场外衍生品业务的风险状况和交易活动进行动态监控,并定期进行压力测试,动态管理风险指标,控制业务风险在公司承受的范围内。与经纪业务、资产管理业务、投资银行业务建立了隔离机制;同时,通过不定期开展合规、业务培训,增强投资决策和交易活动人员的自律意识,防范道德风险。7)投资银行业务。公司搭建以投行项目为中心,覆盖承揽及立项、尽职调查、内核、申报、发行与承销、存续期管理等投资银行各业务环节的业务流程管理体系,建立较为完善的内部控制制度规范。
在内控组织结构设置上,建立了前、中、后台相分离并相互制衡的三道内部控制防线。投资银行业务项目组为内部控制的第一道防线,对项目和全套发行申请文件的真实性、准确性、完整性、合法合规性负直接责任,通过保证人员配备、加强项目管理等方式强化对投行类业务活动的管理,防范控制业务风险。质量控制作为投资银行业务内部控制第二道防线,与前台业务运作相分离,负责对投资银行业务各环节进行动态跟踪、过程管理和控制,并对项目存续期管理、底稿归集等工作进行监督。内核、合规、风险管理机构共同构成投资银行业务第三道防线,通过介入主要业务环节、关键风险节点,履行业务风险整体管控和单一项目监督职责。8)基金托管及服务业务。公司对基金托管及服务业务进行全流程管控,在产品和管理人引入、业务运作及产品清盘等业务环节上建立了相应控制措施并持续优化完善。报告期内,公司结合监管机构要求及实际业务开展情况,修订发布《基金托管及服务业务引入指引》《基金托管业务估值核算管理办法》等多项制度;强化现场尽调要求,借助大数据获取舆情信息,通过智能化手段加强产品引入管控;结合新规及业务实操,完善合同模板,优化系统逻辑,提高合同审核效率及准确率;推进智能化运营系统及数字化合规风控平台建设,完善业务监控指标体系,降低运营风险;组织基金托管及运营服务业务内部专项自查,开展监管规定解读、执业行为警示教育等合规培训,不断提高内部控制的效率与效果,防范经营风险。9)研究业务。公司针对研究业务涉及的研究报告撰写与发布、信息隔离墙管理、股票池管理、调研业务管理、媒体活动管理、外部
专家使用、人员管理等方面建立了相应的内部管理机制。报告期内,公司从制度建设、岗位设置、系统开发运营等各方面对研究业务管理体系予以保障。由质控审核人员对研究方法、研究结论、信息处理和运用等方面进行审核;由合规审查人员对利益冲突、市场影响评估和信息隔离墙执行等内容进行审核;设立重点报告审核委员会,对重点报告的质量进行评审;建立相应敏感问题讨论机制,设置提高审核层级机制。通过质控、合规及重点报告审核委员会、提级审议委员会立体化运行管控,防范研报发布业务风险,保障业务合规运行。10)财务管理。公司针对会计核算、预算管理、费用管理、资金管理、税务管理、子公司财务管理等方面实施了相应的管控措施。根据内外部要求,制定会计制度和会计核算管理办法,明确根据实际发生的交易和事项,以权责发生制为基础进行会计确认、计量和报告;财务人员通过财务系统进行会计核算操作,并持续推进会计核算由纸质归档向无纸化、数字化转变。公司实施全面预算管理,制定全面预算管理制度,明确预算编制、执行等原则规范,预算方案经经营管理层、董事会批准后下达;建立预算分析和评价体系,通过预算管理系统对预算执行情况进行监控与分析。公司建立费用报销管理制度以及差旅费管理办法,对各类费用的范围、标准和报销流程进行规范;通过费用报销分级授权逐级审批、预算控制确保费用支出合理、真实;公司成本费用管理以厉行节约、降本增效为原则,不断强化费用管控,持续跟踪预算执行进度,落实成本费用管理规范。公司自有资金实行全额管理体制,自有资金与客户交易结算资金分开管理;建立自有资
金管理制度,对自有资金的规划、筹集、运用、调拨、付款等环节工作进行明确规范;定期或不定期进行流动性风险压力测试,分析评估流动性风险水平,提高公司流动性风险抵御能力。公司注重财务管理的信息技术投入,减少人工操作风险。通过平台建设和数据管理,提升财务分析能力,完善内部控制措施,提高内部控制质量。报告期内通过数字化工具,强化报销、付款等自动巡检功能,加强财务事前、事中、事后有效管控;积极推动子公司数字化建设,提高财务核算工作效率,提升集团财务一体化管理能力。11)信息技术管理。公司遵照要求将信息技术活动纳入公司统一的内控管理体系中,建立涵盖IT治理、网络和信息安全、数据治理、开发与测试管理、运维管理、业务连续性与应急管理、外包管理等领域的制度流程框架。报告期内,公司按要求召开IT治理暨数据治理会议,对年度IT建设投入计划、科技赋能重点工作、信息技术专项报告等事项进行集体审议;根据业务发展和技术管理的变化及需求,修订发布《分支机构信息技术管理规范》《终端安全管理规范》等制度,优化制度流程框架,规范IT资源、人员和活动;多次组织网络安全意识和专项技能培训,落实安全保密义务,营造良好的网络和信息安全文化;持续强化系统生命周期内IT需求、开发、测试、上线、变更等活动的规范管理,推进信息技术与业务、合规风控管理深度融合;不定期开展多形式、多级别、多场景应急演练,保障业务连续性,提升应急处理能力;细分外包需求,优化人员绩效评估,强化供应商履约质量管控;组织开展公有云应用系统自查、重要信息系统备份能
力自评、信息系统用户及权限自查、在用设备运行风险自查与评估等专项自查检查,不断加强信息技术风险隐患排查与整治,保障信息系统安全稳定运行。12)合规法律事务。公司建立涵盖董事会、监事会、高级管理人员、合规总监、下属各单位负责人、全体工作人员的多层级合规管理组织架构,并在公司《章程》及基本合规管理制度中明确相关职责。报告期内,公司落实新“国九条”及资本市场“1+N”政策要求,持续完善各项合规管理制度,制定或修订发布《重大事件第一时间报告工作制度》《合同管理制度》《工作人员证券投资行为管理办法》等多项管理规范;建立健全合规审查、合规检查、合规报告、合规监测、合规问责等全方位的合规管理工作运行机制,加强从业人员廉洁从业和合规展业等各项工作,结合合规管理经验不断优化合规管理模式,持续提升合规工作的标准化、规范化、数字化水平,为公司各项合规管控落实到位提供有力保障。
13)关联交易。公司按照上海证券交易所《股票上市规则》、香港联合交易所有限公司《证券上市规则》等现行法律法规及公司《关联交易管理制度》要求,对关联交易进行严格控制。报告期内,公司履行关联交易审批和披露义务,独立董事对日常关联交易发表了独立意见,利益倾斜方的股东、关联董事回避表决,相关关联交易的批准程序符合法律法规、规范性文件规定和公司《章程》及《关联交易管理制度》等要求。
14)子公司内部控制。公司通过华泰联合、华泰期货、华泰资管、华泰紫金、华泰创新、华泰国际及其下设的华泰金融控股(香港)有限
公司、Huatai Securities (USA),Inc.等子公司,分别开展投资银行业务、期货业务、资产管理业务、私募股权基金业务、另类投资业务及国际业务。报告期内,上述子公司均建立较为完善的法人治理结构和内部控制体系,制定较为完备的业务管理制度,未发现公司内部控制存在重大和重要缺陷。
(4)信息与沟通
公司建立信息与沟通反馈机制,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。报告期内,公司主要制度、流程、通知和公告等事项通过办公系统在公司范围内发布,各部门和分支机构可通过办公系统获取相关信息、向经营管理层提交事项请示、工作汇报。公司定期召开经营管理层会议,研究经营管理事项,部署经营管理工作,相关部门负责人可通过参加经营管理层会议了解公司经营管理决策,并在具体工作中贯彻落实。公司修订发布《客户业务投诉处理办法》,持续健全客户投诉处理机制,明确客户受理基本规范、投诉处理流程、责任追究机制等工作要求。公司通过网站、营业场所等渠道公布了投诉电话等信息,并指定专人受理客户投诉,确保客户投诉渠道的畅通。
公司制定发布《信息披露管理办法》《年报信息披露重大差错责任追究制度》《内幕信息知情人登记管理及保密制度》等规章制度,在公司上下建立较为畅通的信息传递和披露流程,确保所有股东享有平等获取公司相关信息的权利,保证公司管理的透明度。报告期内,公司不存在因信息披露不规范而被处理的情形,不存在向大股东、实际控制人提供未公开信息等公司治理不规范情况。
(5)内部监督
公司明确董事会、监事会、内控部门在内部监督、检查和评价方面的职责权限。董事会下设审计委员会,审查公司内部控制,监督内部控制的有效实施和内部控制自我评价情况,对公司内部审计工作进行监督和指导。监事会独立行使监督职权,监督公司董事、高级管理人员依法履行职责。合规法律部、风险管理部和稽查部分别从不同角度分工协作,对公司各业务及管理部门内部控制机制的建立和执行情况进行定期和不定期的检查、评价和汇报。公司经营管理层高度重视内部控制各职能部门的报告及建议,对于发现问题积极采取措施纠正,最大限度避免业务风险及差错的发生,提升内部控制管理成效。
3.上述纳入评价范围的单位、业务和事项以及高风险领域涵盖公司经营管理的主要方面,不存在重大遗漏。内部控制评价程序包括制定评价工作方案、成立评价工作小组、组织测试、汇总评价结果、编报评价报告等;内部控制评价方法包括穿行测试、抽样分析、个别访谈等。
(二)内部控制评价的依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系及中国证监会发布的《证券公司内部控制指引》《公开发行证券的公司信息披露编报规则第21号—年度内部控制评价报告的一般规定》等相关法律、法规和监管规则的要求,组织开展内部控制评价工作。
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确
定适用于本公司的内部控制缺陷具体认定标准,并与以前年度保持一致。公司确定的内部控制缺陷认定标准如下:
重大缺陷是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。重要缺陷是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。一般缺陷是指除重大缺陷、重要缺陷之外的其他缺陷。
1.财务报告和非财务报告内部控制缺陷认定的定量标准如下:
| 评级 | 一般缺陷 | 重要缺陷 | 重大缺陷 |
| 财务损失(占上年税前利润的百分比) | 0%-1%(不含) | 1%-5%(不含) | 大于5%(含) |
| 权益损失(占上年股东权益的百分比) | 0%-0.2%(不含) | 0.2%-1%(不含) | 大于1%(含) |
2.财务报告和非财务报告内部控制缺陷认定的定性标准如下:
| 评级 | 一般缺陷 | 重要缺陷 | 重大缺陷 |
| 业务损失 | 极小影响或轻微影响,例如对收入、客户、市场份额等有轻微影响。 | 有一定影响,但是经过一定的弥补措施仍可能达到营运目标或关键业绩指标。 | 较大影响,无法达到部分营运目标或关键业绩指标。 |
| 信息错报影响 | 对内、外部信息使用者不会产生影响,或对信息准确性有轻微影响,但不会影响使用者的判断。 |
对信息使用者有一定的影响,可能会影响使用者对于事物性质的判断,在一定程度上可能导致错误的决策。
| 错误信息可能会导致使用者做出重大的错误决策或截然相反的决策,造成不可挽回的决策损失。 | |||
| 信息系统对数据完整性及业务运营的影响 | 对系统数据完整性不会产生影响。对业务正常运营没有产生影响,或对系统数据完整性会产生有限影响,但数据的非授权改动对业务运作及财务数据记录产生损失轻微。对业务正常运营没有直接影响,业务部门及客户没有察觉。 | 对系统数据完整性具有一定影响,数据的非授权改动对业务运作带来一定的损失及对财务数据记录的准确性产生一定的影响。对业务正常运营造成一定影响,致使业务操作效率低下。 | 对系统数据的完整性具有重大影响,数据的非授权改动会给业务运作带来重大损失或造成财务记录的重大错误。对业务正常运营造成重大影响,致使业务操作大规模停滞和持续出错。 |
| 营运影响 | 对日常营运没有影响,或仅影响内部效率,不直接影响对外展业。 | 对内外部均造成了一定影响,比如关键员工或客户流失。 | 严重损伤公司核心竞争力,严重损害公司为客户服务的能力。 |
| 监管影响 | 一般反馈,未受到调查和罚款,或被监管者执行初步调查,不必支付罚款。 | 被监管者公开警告和专项调查,支付的罚款对年利润没有较大影响。 | 被监管者持续观察,支付的罚款对年利润有较大的影响。 |
| 声誉影响 | 负面消息在企业内部流传,企业声誉没有受损,或负面 | 负面消息在某区域流传,对企业声誉造成中等损害。 | 负面消息在全国各地流传,引起公众关注,引发诉讼,对企业声誉造成重大损害。 |
消息在当地局部流传,对企业声誉造成轻微损害。
四、内部控制缺陷认定及整改情况
(一)财务报告内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准,报告期内公司不存在财务报告内部控制重大缺陷和重要缺陷。
(二)非财务报告内部控制缺陷认定及整改情况
根据上述非财务报告内部控制缺陷的认定标准,报告期内公司不存在非财务报告内部控制重大缺陷和重要缺陷。报告期内个别单位在业务开展中存在一般性缺陷,但未对公司整体战略和经营目标的实现构成重大影响。公司对此重视,严格按照法律法规和监管机构的要求进行整改落实,优化完善公司相关规章制度和流程、在全公司范围内强化内部审计、合规检查等日常监督和专项监督等措施,按公司相关规定落实整改。
报告期内,公司对纳入评价范围的业务与事项建立了内部控制机制,并得以有效执行,达到了公司内部控制的预期目标。我们注意到,内部控制与公司现有经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。公司将继续完善内部控制,规范内部控制执行,强化内部控制监督检查,促进公司健康、可持续发展。
董事长(已经董事会授权):张伟华泰证券股份有限公司
2025年3月28日