公司代码:601990 公司简称:南京证券
南京证券股份有限公司2019年度内部控制评价报告
南京证券股份有限公司全体股东:
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求(以下简称企业内部控制规范体系),结合本公司(以下简称公司)内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,我们对公司2019年12月31日(内部控制评价报告基准日)的内部控制有效性进行了评价。
一. 重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二. 内部控制评价结论
1. 公司于内部控制评价报告基准日,是否存在财务报告内部控制重大缺陷
□是 √否
2. 财务报告内部控制评价结论
√有效 □无效
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,不存在财务报告内部控制重大缺陷,董事会认为,公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
3. 是否发现非财务报告内部控制重大缺陷
□是 √否
根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准日,公司未发现非财务报告内部控制重大缺陷。
4. 自内部控制评价报告基准日至内部控制评价报告发出日之间影响内部控制有效性评价结论的因素
□适用 √不适用
自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。
5. 内部控制审计意见是否与公司对财务报告内部控制有效性的评价结论一致
√是 □否
6. 内部控制审计报告对非财务报告内部控制重大缺陷的披露是否与公司内部控制评价报告披露一致
√是 □否
三. 内部控制评价工作情况
(一). 内部控制评价范围
公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。
1. 纳入评价范围的主要单位包括:南京证券股份有限公司;宁证期货有限责任公司(以下简称“宁证期货”);南京巨石创业投资有限公司(以下简称“巨石创投”);南京蓝天投资有限公司(以下简称“蓝天投资”);宁夏股权托管交易中心(以下简称“股交中心”)。
2. 纳入评价范围的单位占比:
| 指标 | 占比(%) |
| 纳入评价范围单位的资产总额占公司合并财务报表资产总额之比 | 100 |
| 纳入评价范围单位的营业收入合计占公司合并财务报表营业收入总额之比 | 100 |
3. 纳入评价范围的主要业务和事项包括:
(1)内部环境
1)治理结构
公司根据《公司法》、《证券法》、《证券公司监督管理条例》、《证券公司治理准则》及《上市公司治理准则》等法律法规和规范性文件的规定,建立了由股东大会、党委、董事会、监事会和管理层组成的健全、清晰、有效的公司治理架构,形成了权力机构、决策机构、监督机构和管理层之间权责明确、运转规范、相互制衡的公司治理机制。公司根据相关法律法规和规范性文件的规定,制定了《公司章程》、《股东大会议事规则》、《董事会议事规则》、《监事会议事规则》、董事会各专门委员会实施细则、《独立董事制度》、《总裁工作细则》和《董事会秘书工作制度》等规章制度,明确了相关机构和人员的职责权限、工作程序等事项。在此基础上,公司还就信息披露、重大信息内部报告、投资者关系管理、关联交易、对外投资、对外担保等事项制定了专项制度,为公司治理规范运行、业务开展合法合规提供了制度保障。
股东大会是公司最高权力机构。公司股东大会的召集、提案及通知、召开、表决以及决议内容等均合法合规;公司党委根据《党章》等党内法规履行职责,发挥领导核心和政治核心作用,负责把方向、管大局、保落实。公司党委议事通过召开党委会的方式,坚持集体领导、民主集中,依法科学决策;董事会是公司的决策机构,向股东大会负责并报告工作。董事会由15名董事组成(其中包括5名独立董事),全体董事均具备相关任职资格,董事会的人员及组成符合法律法规规定。董事会下设发展战略委员会、薪酬与提名委员会、合规与风险管理委员会、审计委员会等4个专门委员会,其中薪酬与提名委员会、审计委员会主任委员均由独立董事担任,且独立董事占委员会人数1/2以上。公司董事会严格依
法运作,对重大事项作出决策;监事会是公司的监督机构,向股东大会负责并报告工作。监事会由7名监事组成(其中包括3名职工代表监事),全体监事均具备相关任职资格,监事会的人员及组成符合法律法规规定。监事会依法履行职责,通过监督检查公司依法运作情况、公司董事和高级管理人员履职合规性、公司重大决策及重大经营情况、公司财务情况及合规管理情况,积极维护公司和股东的合法权益。公司管理层严格按照法律法规、《公司章程》规定,在董事会授权范围内从事公司经营管理工作,认真组织落实股东大会和董事会决议,有效履行经营管理职责。2)发展战略公司坚持把握新时代机遇,努力探寻高质量发展的路径,力求走出一条特色化、可持续的创新发展之路。结合自身特点和现阶段发展情况,公司明确了建设成为“国内一流的现代投资银行”的战略目标,提出了当前阶段“转型”和“突破”的核心发展思路,即严格贯彻监管要求,积极推进渠道、产品、服务和运营模式的转型,推动大零售业务、大投行业务、投资业务和资产管理业务开展,深入稳妥探索实施各项改革创新工作,推动公司加快构建“集团化、国际化、信息化”发展新格局,不断增强市场竞争力、抗风险能力和可持续发展能力。
同时,公司将进一步完善金融板块布局,加强对控股和全资子公司的管理,发挥母子公司、子公司之间的协同效应,形成整体合力,努力提升经营业绩;重点推进深化改革与组织转型、扩充资本实力、强化团队建设、提升信息化水平等工作,加快公司转型发展。3)人力资源公司在人力资源管理中不断完善符合公司实际的招聘、录用、考核、晋升等劳动人事管理制度,制定了劳动合同制实施办法、员工招录管理办法、员工证券业执业资格管理办法、员工休假、考勤管理办法、员工培训实施办法等一系列制度,并结合市场情况不断完善薪酬激励机制,吸引、留住优秀人才。为提升员工的工作能力和职业素养,公司不断完善员工培训体系,加强对员工的专业技能培训、职业道德教育以及合规知识培训。为防范人为操作风险和道德风险,公司对风险较高的岗位,采取垂直管理、强制休假、轮岗、离任稽核等管理措施,控制和防范风险。
同时,公司及时进行组织架构调整,做好三级职责分解,完善岗位设置,开展定岗定编工作,进一步夯实人力资源管理基础,有效支撑公司战略实现及各项业务的有效开展。
4)社会责任
公司遵纪守法,合规经营,高度重视社会责任,以做到经济效益与社会效益、短期利益与长远利益、自身发展与社会发展相互协调为企业发展目标,力争实现客户信赖、员工自豪、股东满意、社会尊重。
2019年,公司围绕全市工作部署,协办南京“创新周”活动、海峡两岸中学生篮球邀请赛,取得良好反响。公司积极投身扶贫攻坚工作,向贫困地区捐款捐物,按照中国证监会工作要求,加大对公司“一司一县”结对帮扶县宁夏同心县的帮扶力度,向宁夏同心县兴隆乡最大贫困村李堡村捐建就业扶贫服装加工车间和现代高效设施农业蔬菜大棚;向宁夏总工会捐赠资金用于帮助宁夏困难职工解困脱困;公司荣获中国证券业协会和中国扶贫基金会颁发的荣誉证书及宁夏扶贫开发领导小组颁发的“驻村帮扶工作先进单位”荣誉称号。公司与国家级贫困县贵州省从江县签署脱贫攻坚战略合作协议,并向当地贫困村秋新村捐赠帮扶资金;认真做好对西宁市对口帮扶工作,荣获南京市对口帮扶西宁市工作组颁发的荣誉证书;积极对江宁横山社区进行结对帮扶,向南京六合区竹镇镇侯桥村、高淳区永成村捐赠资金用于村庄改造建设;作为全国文明单位,与淮安市花桥村开展“城乡结对、文明共建”活动。积极投身公益慈善事业,向南京市慈善总会捐赠资金设立“南京证券慈善基金”,用于助学、助老、助幼、助医、助困、助残等慈善项目;向南京市总工会、江苏省红十字会、江苏省妇女儿童福利基金会、南京市妇联、南京见义勇为基金会、南京市玄武区慈善协会等捐赠资金,组织全体员工开展“南京证券与爱同行”慈善一日捐活动,形成良好社会反响。公司每年组织开展志愿献血活动,2019年组织234名员工总计献血近7万毫升。与此同时,积极开展关爱老人、环境保护、义务植树等各类公益活动,建成江苏第一家证券博物馆,使“正统、正规、正道”企业文化不断彰显。
5)企业文化
公司认真贯彻落实证券基金行业文化建设动员大会精神,积极响应《证券行业文化建设倡议书》号召,深入践行“合规、诚信、专业、稳健”的行业核心文化价值观,持续打造“正统、正规、正道”的企业文化品牌。进一步丰富和完善“三正”企业文化内涵,成立专门文化建设工作领导小组,形成进一步加强文化建设的配套制度和改进计划,推动公司上下坚守服务人民美好生活向往的初心使命、服务实体经济的天职宗旨,坚持职业操守,体现专业精神,筑牢合规底线,履行社会责任,推动企业文化建设与公司经营发展双向融合、互促并进。
(2)风险评估
2019年,公司不断完善与公司战略发展相适应的全面风险管理体系,根据董事会确定的风险偏好实施风险控制,持续改进风险管理措施和流程,加强风险的识别、计量、监测、控制和报告各环节,塑造稳健审慎的风险管理文化。
1)市场风险公司根据内外部环境变化拟定市场风险管理政策和制度,对公司债券、股票、衍生品等各类投资品种的市场风险进行识别、评估,并通过建立风险价值 VAR、敏感性分析、情景分析和压力测试计量、评估和管理风险。报告期内,公司进一步加强市场风险管理,完善市场风险监控指标,采取敏感性分析和压力测试等方式,定期或不定期对公司的业务规模、市场风险承受能力进行测试,确保公司在风险可控的情况下开展相应业务。2)信用风险
公司董事会、经营管理层及风险控制委员会、风险管理职能部门、业务部门在各自的权限范围内履行相应的信用风险管理职责。公司主要采取加强客户征信管理、强化发行人信用评估、实施交易对手限额管理、严格合同审批流程管理、利用信用风险监控系统等方式控制信用风险。通过建立交易对手评级、授信管理、限额管理、压力测试等管理机制,对股票质押回购业务重点关注和评估质押证券的折扣率、融资方还款能力及信誉。通过建立债券内部评级系统,加强对债券标的内部评级,并上线慧眼舆情监控和元素征信系统,跟踪标的债券、发行人、上市公司以及非上市企业的负面舆情,加强对固定收益、信用等业务的风险管控。通过业务有效的事前评估、及时提醒、强化审核等多种形式,加强与业务部门沟通,以确保信用风险的可控。
3)操作风险
公司通过健全的授权机制和岗位职责、规范化的制度流程、前中后台的有效牵制、员工持续培训、IT 系统建设和事后监督检查等手段综合管理操作风险。公司建立了操作风险管理系统,实现对操作风险事件及损失数据的收集与分析、风险与控制自我评估、关键风险指标建设等工作。
4)流动性风险
公司主要通过完善财务资金管理制度、建立净资本预警机制、动态监控等措施控制流动性风险。公司建立了以净资本为核心的风险控制指标预警机制,严格按照风险控制指标规定比例开展有关业务,并定期开展流动性风险的压力测试,确保风险控制指标及有关财务指标持续符合相关监管规定。风险管理部作为公司流动性风险管理的职能部门,对流动性风险进行独立识别、评估、计量和监控,拟定公司流动性风险限额要求,开展流动性压力测试,对创新业务进行流动性风险评估。此外,计划财务部实行全面预算管理,加强资金筹集的计划管理,拓展多元化的融资渠道,配合公司实施优质流动性资产管理,共同建立应急计划与措施。
5)合规与法律风险
公司建立董事会—总裁室及其下设的合规与风险管理委员会—合规总监—合规管理部—各部门、各分支机构、各子公司的五级合规管理组织体系,在各自职责范围内履行合规管理职责。在合规咨询与审核、合规检查与监测、反洗钱、隔离墙管理、合规风险处置及监管配合等方面开展工作,对公司经营管理中的相关风险进行识别、评估和监控,有效防范合规风险。
公司每年均聘请会计师事务所作为第三方机构,对公司内部控制机制的建立和执行情况进行审核,对公司的风险因素及风险防范措施的有效性和健全性进行分析和评估,推动公司持续完善内部控制机制。
6)风险控制指标动态监控系统公司建立了完备的风险控制指标动态监控系统。系统包含操作风险、信用风险、市场风险、净资本及压力测试等模块,同时根据监管要求设置了覆盖各项业务风险的监测指标,并进行动态调整。系统可实现对各项风险控制指标的动态计算,并进行自动预警,风险管理部门设置专员专岗每日查看,每月比对。报告期内,公司进一步升级系统功能,对已上线模块的功能及数据进行梳理及核对,强化系统在风险管理实践中的应用;开展操作风险管理模块的流程梳理及损失数据收集工作,同时对系统数据治理进行规划和初步实践。经评估,公司风险控制指标动态监控系统能够满足监管部门的相关要求,系统运行稳定、有效,具备及时预警风险事项的功能。
(3)控制活动
1)经纪业务公司持续完善经纪业务内控管理架构,夯实各层级管理职能,形成健全、有效的内部控制体系。总部管理层面,经纪业务管理总部、信用交易管理部、营销管理中心等业务部门在相关业务领域,对分支机构进行归口管理,制定及明确业务办理规程和标准,监督、检查业务规范开展情况,及时评估、发现和报告业务风险事项。此外,合规管理部、风险管理部、稽核部等内控部门,通过常态化沟通机制,对业务实施风险评估和专业支持,定期开展检查和审计,在事前、事中、事后等各环节管控业务风险。分支机构层面,公司实行分公司—营业部的两层管理模式,分公司对所辖营业部的内控管理进行统一指导、管控,各分支机构均设置风控合规专员,其中15人及以上分支机构均设置专职风控合规专员,在合规负责人的集中领导下开展工作。
公司经纪业务管理制度体系健全,能够满足业务开展及内控管理的要求。报告期内,公司根据监管规则变化以及业务管理的实际需要,制定及修订了股票期权业务、运营管理、营销人员管理等16项制度;为配合公司集中运营业务的上线运行,方便分支机构人员熟悉掌握业务办理规则,编写完善了《经纪业务集中复核操作手册试行》,更新了《经纪业务操作手册》。控制活动方面,公司建立了经纪业务定期检查机制,归口管理部门采取现场和非现场相结合的方式,对分支机构柜面操作、适当性管理、员工及经纪人执行行为进行检查;内控部门亦实施一定覆盖面的定期现场检查。建立了业务培训常态化机制,报告期内,经纪业务管理总部组织全国中小企业股份转让系统指数优化培训、特殊机构及产品账户业务介绍、非现场销户、科创板股票业务投资者适当性管理和交易规则介绍、集中复核业务的内容培训,共计20余场。推广、实施经纪业务集中运营模式,实现业务的集中复核和业务办理无纸化,进一步强化总部部门对分支机构业务开展的督导力度。持续落实中国结算实名制管理要求,组织分支机构对投资者证券账户使用情况进行全面核查。严格落实反洗钱工作要求,梳理经纪业务反洗钱业务中的不足点,完善客户开户、身份信息、受益所有人、身份证件有效期等方面的具体措施。此外,公司在数据分析、监管报送、印章管理、凭证管理、权限管理、账户管理等经纪业务内部控制基本方面,均建立了相应的内控措施,以防范相关风险。2)投资银行类业务公司依据《证券公司投资银行业务内部控制指引》的要求,建立了架构完备、功能齐全的投资银行业务组织架构。投行项目组、各业务部门为内部控制的第一道防线,项目组根据法律法规、规章及其他规范性文件、行业规范和自律规则、公司内部规章制度开展执业活动,业务部门对业务人员进行管理,确保其规范执业。质量控制部为内部控制的第二道防线,对投资银行类业务风险实施过程管理和控制,及时发现、制止和纠正项目执行过程中的问题。内核、合规、风险管理等部门为内部控制的第三道防线,通过介入主要业务环节、把控关键风险节点,实现公司层面对投资银行类业务风险的整体管控。其中,公司内核部对投资银行类项目进行出口管理和终端风险控制,履行以公司名义对外提交、报送、出具或披露材料和文件的最终审批决策职责。合规管理部通过进行合规审查、管控敏感信息流动、实施合规检查和整改督导、开展合规培训、参加内核会议及项目现场核查,对项目运作情况进行监督。风险管理部门在正式开展业务前按规定对风险控制指标进行敏感性分析和压力测试,通过实施风险监测和评估、开展风险排查、进行风险提示等措施,履行对投资银行类业务信用、流动性、操作等风险的控制职责。
公司投资银行类业务制度体系健全,建立了覆盖立项、内核、发行上市等主要业务流程的内部控制标准。报告期内,公司投资银行类业务制定及修订制度16项,进一步明确及强化了项目内核规则以及问核工作要求,完善了项目定价、发行、配售、承销、关联关系核查等方面的管控措施。控制活动方面,公司从立项、承做、内核、发行与上市、存续期项目管理等方面,对投资银行类业务实施内部控制。立项与承做环节,公司制定了立项标准和工作指引,由公司层面投资银行业务立项小组进行统一的过程管理和质量控制。内核环节,公司设立投行业务内核委员会,内核委员由内核部门、合规、风险管理等内控部门人员组成,履行对投资银行类项目进出口管理和终端风险控制。发行与上市环节,公司建立了决策机构、组织分工和相应配售制度等内部控制机制。存续期项目管理环节,公司建立了持续督导工作制度,配备专人从事项目后续管理,建立风险关注池,明确了入池标准和程序等内容。此外,公司在投行人员执业行为管理、工作底稿电子化、未公开信息管理等方面,均建立了相应的控制机制。
3)证券自营业务
公司建立了相对集中、权责统一的自营投资决策与授权体系。公司董事会在严格遵守监管法规关于业务规模、风险容忍度、风险限额等风险控制指标的基础上确定自营业务规模、可承受风险限额,公司自营投资业务规模由公司股东大会审议批准。投资决策委员会是投资运作的决策管理机构,确定具体的资产配置策略、投资事项、投资品种等,审议超过特定额度的投资事项。公司设立投资管理总部、固定收益总部、金融衍生品部作为自营业务的常设部门,负责在董事会授权范围内,根据投资决策委员会的决策,从公司证券池中选择标的证券构建投资组合。
公司建立了覆盖自营投资决策、交易、销售、风控等环节的完备制度体系。报告期内,为深入贯彻落实最新监管要求,公司制定及修订自营业务相关制度14项,进一步明确了头寸管理及相关操作风险防控的要求和流程,加强针对固定收益类产品交易对手的风险及额度管理,强化员工询价、交易等执业行为的管理。
公司证券自营业务在投资研究、投资决策和交易执行等方面建立了严格的控制活动。授权管理方面,公司建立了层级分明、体系严谨的授权体系,自营业务部门根据董事会授权以及投资决策委员会决议,执行投资操作,部门负责人对投资经理的投资额度进行授权。公司自营业务与其他业务有效隔离,建立了独立的交易系统,使用专用席位,实行严格的岗位分工和权限管理;可能存在利益冲突的二级部门在场所、人员、系统、账号等方面严格实施隔离。交易管理方面,自营业务投资决策和交易执行有效分离,通过信息系统控制交易指令的下达和执行,交易流程均进行有效留痕。资金管理方面,公司建立并执行自营业务独立的资金调拨、管理机制。风险管理方面,公司建立并执行了证券池机制,证券出入池需履行规定的审批程序;针对不同种类的投资品种,制定了不同的投资、持有策略,对于单个投资品种累计投资规模超过特定限额的,需提交投资决策委员会集体审议。风险管控方面,公司上线了O32系统,将投资交易纳入系统管理,审慎设置了规模、杠杆、集中度及价格偏离度等指标,实现阈值控制和全程留痕。
4)资产管理业务
公司建立了“资产管理业务投资决策委员会—投资总监—投资经理”三级投资决策授权体系。总裁室是资产管理业务最高决策机构,资产管理业务投资决策委员会(以下简称“投决会”)是总裁室的非常设机构,负责资产管理业务的日常投资决策。资产管理部门投资总监负责领导落实资产管理业务投资决策委员会的各项投资决策;投资经理在授权范围内独立、客观地履行职责。公司研究所以及资产管理总部研究岗位人员负责为公司私募资产管理业务的日常投资决策提供研究报告和风险分析支持。
公司建立了完善的资产管理业务管理制度体系,覆盖产品设计、推广、研究、投资、信息披露、客户服务等环节。报告期内,为落实私募资管新规,公司制定及修订制度共计13项,包括《私募资产管理业务管理办法》、《资产管理业务投资管理办法》、《资产管理业务募集销售管理办法》、《资产管理业务投资决策委员会议事规则》、《资产管理总部投资顾问业务管理办法(试行)》,《资产管理总部票据交易业务管理办法》、《资产管理总部非标准化债权资产尽职调查工作制度(试行)》等,进一步明确和规范
了相关业务流程和要求。控制活动方面,公司资产管理业务,在研究、投资决策和交易执行、产品设立、投资交易监测、营销与客户服务等方面建立了完善的内部控制机制。岗位制衡方面,资产管理总部内部实行研究、投资决策、交易执行相分离的机制,分别由不同的团队负责。新业务开展方面,均依据《新业务合规与风险管理办法》合规、有序开展,业务部门针对新业务开展前期调研及合法合规性论证,并履行公司审批流程。风险监控方面,风险管理部对资产管理业务各产品的风险控制情况进行监测,协助资产管理总部识别和控制业务运作过程中面临的各项风险。营销与客户服务方面,公司在客户适当性管理、客户身份识别与反洗钱、投资者教育、客户投诉、客户管理及档案管理等方面,均建立了完善的管理机制。5)投资咨询业务公司设立研究所,负责宏观经济与投资策略研究、行业与上市公司研究、固定收益研究及其他专题研究,并对内提供服务支持。公司对证券研究报告发布业务进行集中统一管理,研究所为公司发布证券研究报告业务的独立部门。公司建立了完善的投资咨询业务制度体系,涵盖研究报告发布、审核、质控、投资顾问管理等方面。报告期内,公司制定及修订了4项制度,分别是《销售产品和服务风险评估管理办法(试行)》、《证券池管理制度》、《科创板投资价值研究报告质量与风险控制制度》和《融资融券业务标的证券及担保物管理办法》,进一步完善了现有产品和服务的风险评估体系,优化了对融资融券业务标的证券及担保物的评估方法,补充了针对科创板股票投研报告的质控机制。公司建立了严谨的研究报告发布内部控制机制。公司投资咨询部门对外发布研究报告,须履行行业组组长—部门风控合规岗位—研究所负责人—合规管理部的审核流程,审核内容涵盖人员资质、研究对象覆盖、调研、研究报告制作、质量控制、合规审查等关键业务环节。公司将证券研究报告制作发布环节与销售服务环节分开管理,保障了证券研究报告制作发布的独立性。公司将投资咨询业务纳入客户适当性管理的统一范畴,在服务提供过程中,严格履行客户分类、产品评级、风险匹配等流程。公司建立信息系统,对证券研究报告的质控流程、工作底稿、研究报告发布时间、内容、对象等全过程实施留痕。公司建立了证券分析师和投资顾问与媒体合作的审查与管理机制,通过事前审查与备案,对人员资质、信息来源、风险揭示、转载及转发的合规性等方面进行把控。6)信用交易业务公司构建了完善的信用交易业务管理组织体系。公司建立了董事会—信用交易业务决策委员会—业务执行部门和业务监督部门—分支机构四个层级的信用交易业务决策授权体系。董事会负责审批信用交易业务总规模;信用交易业务决策委员会负责制订业务操作流程,选择可从事该业务的营业部,确定相关业务标准;信用交易管理部负责信用交易业务的具体管理和运作,确定对具体客户的授信额度,对营业部的业务操作进行审批、复核和监督;合规管理部、风险管理部、稽核部对业务合规运作和风险有效把控进行事前审核、事中监测以及事后审计。公司建立了完善的信用交易业务体系,覆盖客户征信授信、客户信用账户管理、担保物管理、逐日盯市及强制平仓管理、客户回访等环节。报告期内,公司依据最新监管要求,制定及修订了《融资融券业务操作指引》、《客户信用账户管理办法》、《融资融券业务客户信用评级与授信管理办法》、《融资融券业务逐日盯市、强制平仓与通知服务指引》等制度。公司在信用交易业务与资产管理、自营以及投资银行等业务之间建立隔离机制,防范利益冲突;对信用交易业务实行由总部集中管理的业务模式,实行集中交易、集中清算,客户信用资金账户由存管银行第三方存管;实施严格的投资者适当性管理制度以及征信审批程序,营业部在对客户进行征信调查、风险揭示等必要程序,并经审核确定其符合标准后,方为客户办理开户手续;持续优化信用交易业务交易系统,设置有关监控指标和阀值,对客户信用交易进行监控和预警;风险管理部通过独立的信用交易业务风险监控系统地对信用交易业务各项指标及客户风险状况、客户异常交易等进行实时监控,发现异常及时进行风险预警,确保业务风险可控。7)代销金融产品业务
公司成立分支机构金融产品销售业务决策委员会履行决策职能,场外业务管理总部为委员会常设机构,委员由风险管理部、研究所、各相关业务部门负责人及外聘专家组成,合规管理部列席会议,并享有一票否决权。公司制定了《代销金融产品适当性管理工作指引》、《销售产品和服务风险评估管理办法(试行)》、《代销金融产品业务委托人资格审核办法》等制度,对代销金融产品业务适当性管理、产品准入、委托人资质等方面进行管控。控制活动方面,公司代销金融产品业务严格贯彻适当性管理要求,制定投资者和金融产品的评估标准、程序和方法,在充分了解投资者信息和金融产品信息的基础上,对投资者风险承受能力和金融产品的风险等级进行评估;要求业务部门及分支机构对投资者风险承受能力评估过程、金融产品分类、推介与销售过程、风险揭示等,进行强制留痕;适当性管理的内容、形式、标准,根据监管要求及公司管理实际进行及时、动态调整。公司建立对代销产品及服务的风险评估机制,由产品和服务发起部门进行可行性分析和尽职调查,研究所对代销产品及服务进行初评,出具初评报告,风险管理部对研究所出具的评估报告进行审核备案。公司建立对代销金融产品业务委托人资格准入审核机制,由场外业务管理总部、合规管理部、风险管理部及分支机构金融产品销售业务决策委员会按各自分工履行审核职能。
(4)信息与沟通
公司建立了内部沟通、汇报及反馈机制,确保信息及时准确传递。公司内控部门、各业务及管理部门定期或不定期通过风险报告、财务报告、业务报告等形式,总结、沟通和汇报业务运营及风险状况,确保公司管理层及时掌握公司经营状况和风险管控情况。公司制定了《重大信息内部报告制度》、《重大事项报告制度》、《重大风险报告和应急处置管理办法》等规章制度,对重要信息和重大事项的报告路径、层级、范围进行了明确规定,确保信息能够及时有效的传递。公司通过内部办公自动化系统、电子邮件等多种信息工作平台,传递和留存内部信息。
公司定期召开党委会,对重大经营事项进行研究决策;公司定期召开经营分析会议,通报公司经营状况和经营举措,部署工作安排;相关业务部门定期向管理层提交业务经营数据或报表,使管理层能够及时了解公司的经营状况;公司创新发展办公室每月统计各部门重点业务完成情况,使公司管理层及时了解各部门工作的完成情况;合规总监对公司合规经营情况进行监督,定期或不定期向董事会、监管部门报告公司的合规经营情况;首席风险官负责公司的全面风险管理工作,就公司的风险控制情况定期向公司董事会和监管部门报告;稽核部门按规定向管理层报送稽核报告,使管理层及监管部门及时了解稽核所发现问题。
公司建立了客户投诉、纠纷处理机制。通过公司官网、营业部现场公示等形式向客户披露投诉渠道,方便客户通过多种途径进行投诉。针对投诉事项,公司建立了完备的内部处理流程,对客户投诉实行分级管理,明确相关部门具体职责,有效防范投诉引发的重大风险事项。
公司委任专人担任董事会秘书,负责信息披露的相关事项。公司根据《公司法》、《证券法》及中国证监会相关监管规定,按期编制年度报告、合规报告及有关监管报表等文件,依法办理信息披露、报送等相关事宜。
(5)内部监督
公司董事会下设合规与风险管理委员会、薪酬与提名委员会及审计委员会,各专门委员会定期召开会议,对公司的合规管理与风险控制情况、薪酬水平及内部审计等事项进行监督。公司监事会根据公司章程的规定履行监督职责。监事会通过召开会议审议公司年度财务报告,履行财务监督职责;监事出席公司股东大会会议,列席董事会会议,对公司重大事项的决策进行监督。
公司合规总监对合规经营情况进行监督,就公司合规情况定期向公司董事会和监管部门报告。公司设合规管理部履行合规咨询、合规审查、合规检查、合规监测、合规培训等管理职责,就合规管理过程中发现的问题或风险督促有关部门或分支机构予以整改,并定期提交报告。
公司首席风险官负责公司的全面风险管理工作,向经理层提交风险管理定期报告,反映风险识别、评估结果和应对方案,对重大风险提供专项评估报告,确保董事会、经理层及时、充分了解公司风险状况。公司设立风险管理部,由专人对经纪业务、自营业务、资产管理业务、融资融券业务、投行业务、
净资本及风险控制指标等进行实时监控,做到及时发现问题,及时督导有关部门或分支机构予以整改。稽核部门通过实施现场稽核、离任稽核等方式,对业务开展的规范情况进行检查,发现和披露业务风险并向管理层提交有关报告,督促业务部门或分支机构改进不足,确保内部控制机制的有效运转。
4. 重点关注的高风险领域主要包括:
(1)信息技术
公司建立了完善的信息技术管理组织体系,从组织架构、制度、管理等方面,采取各种措施不断加强。公司设立信息技术总部,行使信息技术支持和管理等职能,负责公司信息系统的规划建设、运维开发、网络安全、金融科技、日常运行管理与技术支持等工作。分支机构按规范配备技术人员,负责分支机构信息系统日常维护,在技术上服从信息技术总部管理,从而加强总部对分支机构技术工作的管理。
公司遵循安全、稳定、合规的原则,制定了信息系统的管理规章、操作流程、岗位手册和风险控制等各项制度,并根据实际情况不断修订完善。公司设立了首席信息官,成立了公司信息技术治理委员会,对IT治理、网络安全管理、人员管理、设备管理、软件管理、数据管理、信息系统运维管理、机房安全、操作安全、病毒防范、信息安全事故防范与应急处理、办公信息系统管理、电子邮箱管理、技术资料管理等各个方面不断规范和加强,全面落实监管部门对信息技术的管理要求。
公司持续加大对信息系统建设和运行管理及信息安全方面的各项投入。2019年,信息技术总部根据公司IT规划及业务需求,有计划地开展相关信息系统开发、建设、测试和升级等工作,进一步优化调整公司技术系统的整体布局,夯实公司的信息基础设施,不断提高信息技术水平和现代化管理水平,保证公司业务长远发展。报告期内,先后完成了科创板系统、大数据平台一期、经纪业务集中运营项目、O32二期系统、智能账户系统、营销服务综合平台等项目的建设与升级工作。全年,各业务系统根据业务条线的发展需求,按照轻重缓急稳妥完成升级和优化调整,确保公司全年各项业务顺利开展,无重大信息安全事件发生。
公司高度重视信息安全,不断加大信息安全方面投入,持续深入的推进网络及信息系统安全服务、防病毒、漏洞扫描、渗透测试、网络安全攻防演习、等保测评、安全加固等工作。公司严格落实权限管理规定,实行技术与业务权限分离,全面落实系统权限管理、人员管理与数据管理等监管要求。在系统测试、软件开发,生产运维等环节,技术人员与业务操作人员相互独立,避免一人同时掌管不相容系统权限的情况。所有应用系统操作柜员均采用实名制并按最小化原则赋予权限,赋权经复核后才生效。公司对业务数据有严格的安全管理措施,建立起符合监管要求的数据安全保管和备份体系,技术人员全面落实信息数据备份和定期查验等相关制度。
(2)财务会计
公司根据监管和内控要求,加强会计系统控制、资金管理体系建设,确保会计、资金管理体系有效运行。组织体系方面,按照统一规划、逐级管理、分层负责的原则完善会计、资金管理体系;制度建设方面,依据会计法、会计准则及内部控制制度要求,完善会计核算、财务管理、资金管理相关制度;岗位设置和流程管理方面,依据《企业内部控制基本规范》、《企业内部控制应用指引》规定,严格按照不相容岗位相分离原则设置工作岗位、明确岗位职责,并对业务流程进行梳理、优化和完善。
控制活动方面,公司加强财务信息披露管理,明确财务报告编制管理规范,建立完善的财务报告编制流程,以保证公司对外披露的财务信息内容完整、数字准确、披露及时。公司制定与实施新金融工具准则相关的《金融资产分类管理办法》、《金融工具估值管理办法》、《金融工具减值管理办法》等制度,修订《会计核算管理办法》,强化母子公司在会计政策执行方面的一致性,确保公司财务报告符合会计准则的要求,真实、准确、完整地反映公司财务状况、经营成果和现金流量信息。建立、完善财务信息系统,对硬件的日常维护、财务人员权限的设置与变更、服务器数据备份、系统病毒检测等工作进行持续性规范管理,确保财务信息系统的运行安全性和稳定性。推行全面预算管理,制定《财务预算管理办法(试行)》,对未来经营环境进行分析预测,以价值形式确定预算期内经营目标,并分解下达。加强财务事项的过程控制,通过制定并运行《财务制度》、《费用管理暂行办法》、《固定资产管理制度》等财务管理制度,对公司的预算执行和费用列支管理标准、流程进行规范。依法合规履行纳税义务,根据税务
管理要求,设立税务专岗,配备专职人员负责税收管理工作,根据税收法律法规变化,进一步完善企业所得税、增值税等税种工作规范,制定《增值税管理制度》、《增值税会计核算办法》等税务管理制度,有效防范涉税风险。
公司建立了资金管理内部控制体系。报告期内,公司不断完善资金管理制度体系,建立完善自有资金管理、自有资金头寸管理、业务资金结算管理、大额资金支付管理、债务融资管理、同业拆借业务管理、网上银行划款管理等方面的规章制度和流程,明确自有资金计划、筹集、使用、定价、银行账户等管理要求,规范业务资金、大额资金结算、划款流程及授权权限,有效保障资金安全,提升资金使用效益。控制活动层面,公司资金实行集中管理、统一调度、分级控制,经营管理层在董事会授权范围内对公司重大资金事项进行决策与审批。各业务部门在董事会批准的业务规模范围内负责本单位的使用资金计划、使用与管理。计划财务部根据“不相容权限相分离”的原则设置资金岗位,对自有资金实行集中管理。风险管理部负责公司流动性风险管理;公司加强资金头寸管理,对大额资金需求实行日、周、月预报,在考虑业务资金实际使用需求的基础上,充分预计和测算未来现金流入、流出量以及流动性风险监管指标压力,合理安排资金头寸,确保日常流动性充足,满足支付需求;公司加强流动性流动性风险监管指标的压力测试和风险应对,成立流动性风险应急小组,明确流动性风险事件的应急处置原则、程序、措施;公司积极拓宽融资渠道,可通过股权融资,或发行公司债、次级债、短期融资券、收益凭证、进行两融收益权转让、转融通、同业拆借等方式获得业务发展所需资金,并确保资金流动性指标符合监管规定。
(3)子公司管理
公司按照“事前预防、事中监控、事后监督”的原则,将子公司纳入公司合规管理与风险管理体系。制度依据方面,公司针对子公司管理制定了《子公司管理办法(试行)》、《子公司合规与风险管理办法(试行)》、《子公司干部选拔任用规定》等制度,从治理结构、人事管理、业务管理、财务管理、合规风控管理等方面实现对子公司的管理、指导和监督。管理架构方面,公司向子公司推荐或委派董事、监事、高级管理人员,参与子公司重大事项的决策与监督。子公司合规风控负责人根据公司《干部选拔任用工作制度》、《“三重一大”决策制度实施办法》产生,并授权合规总监和首席风险官提名,由子公司董事会聘任,在公司合规总监和首席风险官的指导下开展工作,并由合规总监和首席风险官进行考核,考核权重为100%。
公司与各层级子公司之间建立规范、长效的沟通机制。合规管理方面,合规总监和合规管理部对子公司的合规管理制度、重要合同等重要文件进行审核;公司内控部门通过现场检查和非现场检查方式,对子公司经营运作和风险状况进行审查和评估,并持续监督子公司后续整改;将子公司信息隔离墙、利益冲突管理、员工执业行为管理等风险纳入公司管理范围;子公司重要事项需要向公司相关部门定期报备。风险控制与资本约束方面,公司将子公司纳入全面风险管理体系,对子公司的交易行为进行日常监控,要求子公司定期报送风控指标体系执行情况报告。报告机制方面,公司建立并完善子公司定期合规报告、重大风险事项报告和突发事件应急处置制度,要求各子公司依照监管要求,就履行合规管理的具体情况以及处置突发、专项风险的情况,向母公司履行合规与风险报告义务。
(4)关联交易
公司已建立完善的关联交易内部控制机制。公司已根据相关法律法规和规范性文件的规定,在《公司章程》、公司《关联交易管理办法》、《<关联交易管理办法>实施细则(试行)》中对关联人、关联关系、关联交易进行了明确界定,对关联交易的决策权限和程序、表决回避制度、关联交易合同的签署和执行、关联交易的统计与信息披露进行了规范,确保关联交易价格公允,并给予充分、及时的披露。一是严格按照《公司章程》及公司相关制度规定的权限,将关联交易事项提交董事会或股东大会会议审议;二是对于日常关联交易预计、重大关联交易等事项,按规定提交独立董事审查并提请其发表相关独立意见;三是严格执行关联交易回避表决机制。公司董事会、股东大会审议关联交易事项时,关联董事、关联股东回避表决,也不得代理其他董事、股东行使表决权;四是严格按照中国证监会、上海证券交易所
相关监管要求,及时履行关联交易报告、信息披露等义务。报告期内,公司相关关联交易的审议程序、信息披露等事宜符合相关法律法规、规范性文件及《公司章程》规定,交易定价公允,未发生损害公司及股东整体利益的情况。
(5)对外担保
公司严格按照外部法律法规、规范性文件及《公司章程》、公司相关制度规定进行对外担保的控制和管理。为规范对外担保行为,公司在《公司章程》中明确规定了股东大会、董事会关于对外担保事项的决策权限,并制定了《对外担保管理制度》,对对外担保的条件、审批程序、管理分工及信息披露等事项进行了细化。报告期内,公司未发生对外担保。
5. 上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面,是否存
在重大遗漏
□是 √否
6. 是否存在法定豁免
□是 √否
7. 其他说明事项
无
(二). 内部控制评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系及其他相关规章制度,组织开展内部控制评价工作。
1. 内部控制缺陷具体认定标准是否与以前年度存在调整
□是 √否
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确定了适用于本公司的内部控制缺陷具体认定标准,并与以前年度保持一致。
2. 财务报告内部控制缺陷认定标准
公司确定的财务报告内部控制缺陷评价的定量标准如下:
| 指标名称 | 重大缺陷定量标准 | 重要缺陷定量标准 | 一般缺陷定量标准 |
| 财务报告内部控制缺陷定量标准 | 财务报告错报金额占公司净资产比值大于或等于1% | 财务报告错报金额占公司净资产比值大于或等于5‰,且小于1% | 财务报告错报金额占公司净资产比值小于5‰ |
说明:无
公司确定的财务报告内部控制缺陷评价的定性标准如下:
| 缺陷性质 | 定性标准 |
| 重大缺陷 | 下列迹象通常表明财务报告内部控制可能存在重大缺陷:①董事、监事和高级管理人员舞弊;②企业更正已公布的财务报告;③注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报;④企业审计委员会或内部审计机构对内部控制的监督无效。 |
| 重要缺陷 | 具备合理可能性导致不能及时防止或发现并纠正财务报告中虽然未达到和超过重要性水平、但仍应引起董事会和管理层重视的错报的一项内部控制缺陷单独或连同其他缺陷。 |
| 一般缺陷 | 财务报告控制中存在的、不构成重大缺陷和重要缺陷的其他缺陷。 |
说明:无
3. 非财务报告内部控制缺陷认定标准
公司确定的非财务报告内部控制缺陷评价的定量标准如下:
| 指标名称 | 重大缺陷定量标准 | 重要缺陷定量标准 | 一般缺陷定量标准 |
| 非财务报告内部控制缺陷定量标准 | 直接损失占公司净资产比值大于或等于1% | 直接损失占公司净资产比值大于或等于5‰,且小于1% | 直接损失占公司净资产比值小于5‰ |
说明:无公司确定的非财务报告内部控制缺陷评价的定性标准如下:
| 缺陷性质 | 定性标准 |
| 重大缺陷 | 严重损伤公司核心竞争力,严重损害公司为客户服务的能力;公司被监管部门撤销相关业务许可;负面消息在全国各地流传,引起公众关注,引发诉讼,对企业声誉造成重大损害 |
| 重要缺陷 | 对内外部均造成了一定影响,比如关键员工或客户流失;公司被监管部门暂停相关业务许可;负面消息在某区域流传,对企业声誉造成中等损害 |
| 一般缺陷 | 对日常营运没有影响,或仅影响内部效率,不直接影响对外展业;除被监管部门撤销或暂停相关业务许可以外的其他监管影响;负面消息在企业内部流传,企业声誉没有受损,或负面消息在当地局部流传,对企业声誉造成轻微损害 |
说明:无
(三). 内部控制缺陷认定及整改情况
1. 财务报告内部控制缺陷认定及整改情况
1.1. 重大缺陷
报告期内公司是否存在财务报告内部控制重大缺陷
□是 √否
1.2. 重要缺陷
报告期内公司是否存在财务报告内部控制重要缺陷
□是 √否
1.3. 一般缺陷
无
1.4. 经过上述整改,于内部控制评价报告基准日,公司是否存在未完成整改的财务报告内部控制重大
缺陷
□是 √否
1.5. 经过上述整改,于内部控制评价报告基准日,公司是否存在未完成整改的财务报告内部控制重要
缺陷
□是 √否
2. 非财务报告内部控制缺陷认定及整改情况
2.1. 重大缺陷
报告期内公司是否发现非财务报告内部控制重大缺陷
□是 √否
2.2. 重要缺陷
报告期内公司是否发现非财务报告内部控制重要缺陷
□是 √否
2.3. 一般缺陷
依据公司非财务报告内部控制一般缺陷的认定标准,截至内部控制评价报告基准日,公司发现下列非财务报告内部控制一般缺陷:
(1)股票质押式回购业务融入方尽职调查及融出资金管理不够完善。江苏证监局于2019年9月针对前述问题,向公司出具了警示函的行政监管措施。
对此,公司持续健全、完善对融入方的尽职调查制度,强化尽职调查的人员管理、规范尽职调查的程序和标准;加强对融出资金的持续跟踪,完善跟踪手段,确保融出资金使用符合监管要求。
(2)反洗钱履行客户身份识别义务不够充分。中国人民银行南京分行营业管理部于2019年12月针对前述问题,向公司南京分公司下达了《行政处罚决定书》,对南京分公司处以30万元罚款,对负有管理责任和直接责任的人员分别处以2.5万元罚款。
对此,公司从完善反洗钱内控制度建设、强化客户身份识别管理、加强客户风险等级划分等方面落实整改要求。
公司在评价过程中发现的内部控制一般缺陷,其可能导致的风险均在可控范围之内,公司已安排落实整改。
2.4. 经过上述整改,于内部控制评价报告基准日,公司是否发现未完成整改的非财务报告内部控制重
大缺陷
□是 √否
2.5. 经过上述整改,于内部控制评价报告基准日,公司是否发现未完成整改的非财务报告内部控制重
要缺陷
□是 √否
四. 其他内部控制相关重大事项说明
1. 上一年度内部控制缺陷整改情况
□适用 √不适用
2. 本年度内部控制运行情况及下一年度改进方向
√适用 □不适用
报告期内,外部注册会计师对公司内部控制体系建设及执行情况进行了独立审计,认为公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。未发现非财务报告内部控制的重大缺陷。
2020年,公司内部控制工作计划主要包括:持续推进内部控制体系建设,关注重点领域和关键环节,不断完善各项制度、政策与流程,确保不存在制度设计缺陷和执行中的管控盲点;持续加强对制度执行情况的监督检查、日常监控及信息报告;评估各方面内控机制的有效性,针对存在问题及时完善和
改进风险控制和管理策略;继续加强内部控制规范的宣传与培训,提升公司内部控制及风险管理水平。
3. 其他重大事项说明
□适用 √不适用
董事长(已经董事会授权):李剑锋
南京证券股份有限公司
2020年4月1日