中信建投证券股份有限公司关于长城证券股份有限公司
2022年度内部控制自我评价报告的核查意见中信建投证券股份有限公司(以下简称“中信建投证券”或“保荐机构”)作为长城证券股份有限公司(以下简称“长城证券”或“公司”)非公开发行股票的保荐机构,根据《证券发行上市保荐业务管理办法》、《深圳证券交易所股票上市规则》、《深圳证券交易所上市公司自律监管指引第1号——主板上市公司规范运作》和《深圳证券交易所上市公司自律监管指引第13号——保荐业务》等有关规定,对《长城证券股份有限公司2022年度内部控制自我评价报告》进行了核查,核查情况与意见如下:
一、内部控制评价结论根据公司财务报告内部控制重大缺陷及重要缺陷的认定情况,于内部控制评价报告基准日,公司不存在财务报告内部控制重大缺陷及重要缺陷。根据公司非财务报告内部控制重大缺陷及重要缺陷的认定情况,于内部控制评价报告基准日,公司未发现非财务报告内部控制重大缺陷及重要缺陷。自内部控制评价报告基准日至内部控制评价报告发出日之间,公司没有发生影响内部控制有效性评价结论的情况。
二、内部控制评价工作情况
(一)内部控制评价的程序和方法公司内部控制评价工作严格遵循《企业内部控制基本规范》《企业内部控制评价指引》和公司内部控制评价相关办法规定的程序执行,主要包括以下几个步骤:制定内部控制评价方案、成立内部控制评价工作组、现场实施与评价、认定内部控制缺陷、复核确认并出具现场评价结论、汇总分析检查评价结果、编制内部控制评价报告。在内部控制自我评价过程中,公司紧密围绕内部控制目标,遵循评价原则,力求达到全面梳理、不断优化公司内部控制整体状况的评价目标。
评价过程中,评价工作组综合运用制度审阅、关键岗位访谈、重要发现专题讨论、关键流程穿行测试、实地查验、数据抽样比对分析等适当方法,广泛收集公司内部控制设计和运行是否有效的证据,分析、识别内部控制缺陷。根据问题的实际情况,分别单独或组合运用各种检查方法,形成对公司内部控制全面、客
观、准确的评价。评价过程充分留痕,评价证据符合充分性、相关性、真实性和客观性等要求。
(二)内部控制评价范围公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。纳入评价范围的主要单位包括公司总部各职能部门和经纪业务条线、投资银行业务条线、自营投资业务条线、资产管理业务条线、基金托管和运营外包业务条线等,以及控股子公司宝城期货有限责任公司、全资子公司深圳市长城长富投资管理有限公司和深圳市长城证券投资有限公司。
纳入评价范围的单位资产总额占公司合并财务报表资产总额的100%,营业收入合计占公司合并财务报表营业收入总额的100%。上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面,不存在重大遗漏。
(三)内部控制评价工作依据及内部控制缺陷认定标准根据《公司法》《证券法》《企业内部控制基本规范》《企业内部控制应用指引》《企业内部控制评价指引》《证券公司治理准则》及《证券公司内部控制指引》等法律法规以及《公司章程》的规定,公司从控制环境、风险控制、控制活动、信息与沟通、内部监督等方面对公司2022年的内部控制机制和运作情况进行了评价。根据《企业内部控制评价指引》的有关规定,结合公司规模、行业特征、风险偏好和风险承受度等因素,制定了内部控制缺陷认定标准,认定标准与上一年度保持一致。
1.财务报告内部控制缺陷的认定标准(
)公司确定的财务报告内部控制缺陷评价的定量标准以营业收入、利润总额和资产总额作为衡量指标。定量标准如下:
项目
| 项目 | 重大缺陷 | 重要缺陷 | 一般缺陷 | |
| 潜在报错金额 | 营业收入总额 | 大于2%(含) | 1%(含)-2%(不含) | 0%-1%(不含) |
| 利润总额 | 大于10%(含) | 5%(含)-10%(不含) | 0%-5%(不含) | |
| 资产总额 | 大于2%(含) | 1%(含)-2%(不含) | 0%-1%(不含) | |
(2)公司确定的财务报告内部控制缺陷评价的定性标准如下:
重大缺陷:业务损失方面产生较大影响,无法达到部分营运目标或关键业绩指标;信息错报影响方面,错误信息可能会导致使用者做出重大的错误决策或截然相反的决策,造成不可挽回的决策损失;信息系统对数据完整性及业务运营的影响方面,对系统数据完整性具有重大影响,数据的非授权改动对业务运作带来
重大损失或造成财务数据记录的重大错误。对业务正常运营造成重大影响,致使业务操作大规模停滞和持续出错。
重要缺陷:业务损失方面有一定影响,但是经过一定的弥补措施仍可能达到营运目标或关键业绩指标;信息错报影响方面,对信息使用者有一定的影响,可能会影响使用者对于事物性质的判断,在一定程度上可能导致错误的决策;信息系统对数据完整性及业务运营的影响方面,对系统数据完整性具有一定影响,数据的非授权改动对业务运作带来一定的损失及对财务数据记录的准确性产生一定的影响。对业务正常运营造成一定影响,致使业务操作效率低下。
一般缺陷:业务损失方面有极小影响或轻微影响,例如对收入、客户、市场份额等有轻微影响;信息错报影响方面,对内、外部信息使用者不会产生影响,或对信息准确性有轻微影响,但不会影响使用者的判断;信息系统对数据完整性及业务运营的影响方面,对系统数据完整性不会产生影响。对业务正常运营没有产生影响,或对系统数据完整性会产生有限影响,数据的非授权改动对业务运作及财务数据记录产生损失轻微。对业务正常运营没有直接影响,业务部门及客户没有察觉。
2.非财务报告内部控制缺陷的认定标准
(
)公司确定的非财务报告内部控制缺陷评价的定量标准如下:
项目
| 项目 | 重大缺陷 | 重要缺陷 | 一般缺陷 | |
| 财务损失金额 | 利润总额 | 大于10%(含) | 5%(含)-10%(不含) | 0%-5%(不含) |
| 资产总额 | 大于2%(含) | 1%(含)-2%(不含) | 0%-1%(不含) | |
(2)公司确定的非财务报告内部控制缺陷评价的定性标准如下:
重大缺陷:营运影响方面,严重损伤公司核心竞争力,严重损害公司为客户服务的能力;监管影响方面,公司被监管部门撤销相关业务许可;声誉影响方面,负面消息在全国各地流传,引起公众关注,引发诉讼,对公司声誉造成重大损害。
重要缺陷:营运影响方面,对内外部均造成了一定影响,比如关键员工或客户流失;监管影响方面,公司被监管部门暂停相关业务许可;声誉影响方面,负面消息在某区域流传,对公司声誉造成中等损害。
一般缺陷:营运影响方面,对日常营运没有影响,或仅影响内部效率,不直接影响对外展业;监管影响方面,除被监管部门撤销或暂停相关业务许可以外的其他监管影响;声誉影响方面,负面消息在公司内部流传,公司声誉没有受损,
或负面消息在当地局部流传,对公司声誉造成轻微损害。
三、内部控制内容和执行情况
(一)控制环境1.组织架构公司已按照《公司法》《证券公司治理准则》《证券公司内部控制指引》《企业内部控制应用指引》等法律法规及《公司章程》的要求,建立了规范的组织结构,具体如下:
(1)法人治理结构公司已按《公司法》和中国证监会的有关规定建立了规范的法人治理结构:
股东大会是公司的权力机构;董事会是公司的常设决策机构,对股东大会负责;董事会下设战略与发展委员会、风险控制与合规委员会、审计委员会、薪酬考核与提名委员会四个专门委员会,各专门委员会对董事会负责,其职责权限、委员任职资格和议事规则等明确;监事会是公司的监督机构,对公司财务以及董事、高级管理人员履行职责的合法合规性进行监督及检查,向股东大会负责并报告工作;总裁办公会具体研究和部署公司日常经营管理活动,对董事会负责。公司设信用业务审核委员会、预算管理委员会、资产负债管理委员会、风险控制与安全运营委员会、股票期权经纪业务审核委员会、信息技术治理委员会、客户发展委员会7个专业委员会和自营业务执行委员会、财富管理委员会、投资银行业务执行委员会
个业务执行委员会,强化了经营管理层决策的专业性、合规性和科学性。报告期内公司法人治理结构未发生重大变化,公司法人治理结构规范,股东大会、董事会、监事会和经营管理层的职责明确,运作规范,相关会议的召集、召开符合《公司法》和《公司章程》的规定,决议合法有效。公司经营决策、执行和监督相互分离,相互制衡。
(2)职能机构设置及权责分配公司按照“健全、合理、制衡、独立”的原则,建立健全了董事会、经营管理层及合规负责人、内控管理部门、业务管理部门和业务分支机构等多层级的内部控制组织架构,并明确了各级机构应当承担的内部控制职责。根据公司业务性质、发展战略、文化理念和管理要求等因素,公司已按照科学、高效、制衡的原则合理设置内部职能机构,明确各机构的职责权限、部门内部岗位名称、职责等,
部门之间、岗位之间、业务之间依照合规和风控要求,建立起相互制衡、信息沟通、隔离墙等内部控制机制,各部门及部门内部各岗位各司其职、各负其责、相互制约、相互协调。公司各职能部门负责本部门所管辖业务涉及的内部控制工作,为内部控制工作的职能管理部门,对业务内部控制的建设、实施、维护及监督进行自上而下的纵向管理。公司高级管理人员按照“不相容岗位不兼职”的原则进行分工,实行垂直管理。
2.发展战略面对百年未有之大变局,站在“两个一百年”的历史交汇点,公司深入学习贯彻中央“十四五”规划精神,立足新起点、新形势、新格局,高标准编制了公司《“十四五”战略规划》。“十四五”期间,公司将以“安全”“领先”为战略指导思想,打造以“数字券商、智慧投资、科创金融”为目标的综合型现代投资银行,坚持转型和创新双轨驱动,实现本质安全和高质量发展,奋力创建精于电力、能源领域的特色化一流证券公司。
在公司“十四五”战略规划指引下,公司将坚持贯彻“安全”“领先”指导思想,完整、准确、全面贯彻新发展理念,以结伴实体,让金融更有责任和价值为核心使命,发扬“三大三多”的务实作风,奋力推进公司“十四五”战略规划各项目标及工作任务,深化组织模式变革,构建“一平台三中心”创新发展格局,不断推动公司向以客户为中心转型,以科创金融、绿色金融、产业金融为主要特色,聚焦数字券商、智慧投资、科创金融,全面推动质量变革、效率变革、动力变革,全面增强公司竞争力、创新力和抗风险能力,向“打造精于电力、能源领域的特色化一流证券公司”愿景目标奋勇前进。
3.社会责任
为积极贯彻落实党中央关于金融服务实体经济、金融助力乡村振兴方面的要求,弘扬华能集团“三色”文化,发挥公司作为“中央企业、上市公司、金融机构”的责任担当,根据党中央、国务院《关于实现巩固拓展脱贫攻坚成果同乡村振兴有效衔接的意见》,中国人民银行等六部委《关于金融支持巩固拓展脱贫攻坚成果全面推进乡村振兴的意见》以及中国证监会《巩固拓展结对帮扶成果担当推进乡村振兴新使命倡议书》精神,公司保持主要帮扶政策总体稳定,过渡期内严格落实“四个不摘”,现有帮扶政策该延续的延续,该优化的优化、该调整的调整,确保政策连续性。公司继续对“一司一县”结对帮扶脱贫县江西遂川、
湖北团风、湖南新化、宁夏盐池和新疆尼勒克进行常态帮扶,同时还延伸了对陕西榆林、新疆阿合奇和青海尖扎等国家重点帮扶地区的乡村振兴帮扶工作,帮助上述脱贫地区巩固脱贫攻坚成果。
2022年公司主要在消费帮扶、公益帮扶、文化帮扶、智力帮扶、组织帮扶、生态帮扶等方面开展乡村振兴工作,累计投入资金近千万元。其中,消费帮扶方面,为提高农民致富能力,促进农民增收,公司扎实开展消费帮扶工作,积极采购脱贫地区特色农产品。公益帮扶方面,公司(含宝城期货)累计捐赠支出数百万元,用于结对帮扶地区及脱贫地区开展乡村学校助学活动、改善乡村基础教育设施、提升脱贫地区教师教育教学能力及参与证券业协会公益行动等公益活动。通过开展建设乡村爱心书屋项目,捐赠爱心桌椅、书柜、书籍,以及开展修路活动等方式大力推动文化帮扶、生态帮扶工作,并通过开展金融知识培训和联学联建活动等方式深入落实智力帮扶和组织帮扶。另外,公司积极响应证券业协会公益行动号召,捐赠资金用于提升脱贫地区教师教育教学能力和援助遂川县汤湖镇优质茶产业狗牯脑茶提质增效,多渠道巩固脱贫攻坚成果。
4.企业文化公司高度重视文化建设工作,坚持文化建设与公司治理、发展战略、发展方式、行为规范深度融合,不断清晰“具有红色基因的中央企业、具备规范机制的上市公司、拥有特许资质的金融机构”三大基本属性,进一步明晰了公司党委领导、董事会决策、经营管理层落实的文化领导和执行落实体系。结合证券行业“合规、诚信、专业、稳健”的文化建设要求和华能集团“三色文化”内涵,制定了以“安全”“领先”为主旨的公司文化理念体系。重视职业道德、风控合规、选人用人等方面的制度建设,将文化制度建设作为管理制度的重要组成部分,同时不断完善公司文化建设制度体系,使文化建设与公司中心工作充分融合。加强舆论宣传,将宣传引导作为文化建设主要抓手。同时,公司董事、监事和高级管理人员在企业文化建设中自觉发挥主导和示范作用。全面推进文化建设各项重点工作的开展、提质。公司持续将企业文化建设融入到经营管理中,切实做到文化建设与发展战略有机结合,增强了员工的责任心和使命感,引导和规范了员工行为,将企业文化建设作为公司提升竞争力、提升员工的精神追求、统一员工执业行为的重要保障。
5.内部控制制度建设
公司根据内部控制建设需要,制定了一系列较为完整的制度、条例、办法及工作流程等,并根据外部监管要求、业务发展及管理需求及时修订完善。2022年为支撑各项战略任务有效落地,强化制度体系建设,全面梳理、评审和修订各项规章制度,覆盖公司前中后台多个部门的
余项规章制度,涉及公司治理、人事、财务、行政及各大业务条线。通过进一步建立健全制度体系,为公司法人治理结构的完善、决策体系的规范运作等工作和活动提供根本依据,助力公司在两个“一以贯之”基础上践行现代公司治理,规范、完善股东大会、董事会、监事会及经营管理层运作,保障公司高质量发展。公司现行制度及工作流程与国家法律法规、监管规章要求及公司实际工作情况相符,各部门现行制度及工作流程设计合理,覆盖全面。
6.内部授权体系根据《公司法》《证券法》《证券公司监督管理条例》《证券公司治理准则》及《公司章程》等规定,公司制定了《授权管理办法》,规定了授权的原则、范围、方式与程序、有效期限、调整、终止、授权管理工作的机构和职责等。公司法定代表人在法定经营管理范围内,依据《公司章程》规定的权限对公司总裁及公司其他高级管理人员和所分管部门负责人进行授权;总裁依据《公司章程》所规定的权限及法定代表人授权权限对公司副总裁及其他高级管理人员和所分管部门负责人进行授权;副总裁根据总裁授权权限对所分管部门的负责人进行转授权;被授权人员应在被授予的权限范围内开展业务活动,禁止越权;同时,根据《证券公司和证券投资基金管理公司合规管理办法》要求,公司合规负责人缺位或不能履行职务时,应当由董事长或总裁代行职务,不得进行其他授权。报告期内,公司授权机制未发生变化,公司法定代表人、总裁、副总裁及其他具备高级管理人员资格的人员、各职能管理部门、业务部门和分支机构未发生超越授权开展业务活动的情形。
7.人力资源管理体系深入推进干部人事、劳动用工和收入分配三项制度改革是国企改革三年行动中至关重要的攻坚环节,公司作为赓续红色血脉的央企控股公司,坚持以习近平新时代中国特色社会主义思想为指导,认真贯彻落实华能集团改革三年行动决策部署,紧紧围绕激发活力、提高效率,按照“战略导向、统筹谋划、高效决策、有序推进”的原则,解放思想、动真碰硬,扎实开展三项制度改革工作,着力解
决管理人员能下、员工能出、收入能降等改革难题,做实市场化公司治理,全面提升公司管理效率和组织活力,不断激发企业高质量发展活力,坚定拆除困扰三项制度改革前行的思想藩篱、制度藩篱、能力藩篱。
公司以“安全”“领先”战略指导思想,结合人力资源现状和未来需求预测,统筹规划相关改革措施,强调顶层设计先行,明确人力资源发展目标,坚持目标导向、问题导向、结果导向,以扩大市场化选聘范围、加强员工市场化流动、实行高效灵活分配、强化考核结果运用为重点,不断将改革引向深入,并从薪酬管理、人才开发、机构管理、人才培养、员工关系管理等五个方面建设人力资源管理体系,建立健全科学的人才引进、使用、培养、考核、激励、内部调配及退出等制度,整体布局公司人力资源配置,不断提升人均效能,提高公司核心竞争力。
8.合规管理
公司通过《合规管理办法》明确公司各层级合规职责,分层落实了董事会、监事会、经营管理层、各部门及子公司与分支机构负责人以及公司全体工作人员的合规责任。公司建立健全了董事会风险控制与合规委员会、合规总监、法律合规部、各部门及子公司与分支机构合规岗位四个层级的合规管理组织体系,并相应明确了各层级的合规管理职责。
公司董事会是公司合规管理的最高决策机构,负责确定公司合规管理的基本制度,对公司的合规管理负有最终责任。公司在董事会下设风险控制与合规委员会,对董事会负责并报告,在董事会授权范围内对重大合规事项进行集体评议。公司董事会风险控制与合规委员会由三名董事组成,根据需要可以聘请相关专业人士提供顾问支持。公司监事会依据法律、法规及《公司章程》对公司董事会、经营管理层和合规负责人履行合规职责的情况进行监督。
合规总监是公司的合规负责人,协助公司经营管理层履行合规管理职责,负责对公司及工作人员的经营管理行为和执业行为的合规性进行审查、监督和检查,合规总监对内直接向董事会负责,向董事长、董事会风险控制与合规委员会及总裁报告公司经营管理合法合规情况和合规管理工作开展情况,对外向监管部门负责并报告工作。
法律合规部是公司合规工作日常管理部门,向合规总监负责并报告工作。法律合规部承担的其他职责不与合规管理职责相冲突。公司为法律合规部配备了充足的合规管理人员,在总部投行、资管、自营、产业金融研究院等业务部门及人
数在15人及以上的分支机构设置了专职合规经理,在总部其他业务部门及人数在
人以内的分支机构设置了兼(专)职合规经理,负责各单位合规管理的具体事务工作,实现了合规全覆盖。合规经理就合规管理工作向法律合规部负责并报告工作,是公司合规管理在各单位的有效延伸。
2022年,公司为进一步提升分支机构合规管理工作效能,在有效防控合规风险的同时更好地服务业务发展,践行“合规创造价值”理念基础上,以公司“安全”“领先”战略为指导思想,坚持转型和创新双轨驱动,实现本质安全和高质量发展,坚持“稳中快进”的原则推进“总部—分公司—营业部”的分支机构三级合规管理体系建设,完成了第一批分公司的试点工作。公司在第一批分公司的试点工作基础上,通过实地调研、走访,总结经验、解决问题,并对三级合规管理体系运行效果进行了半年度及年度评估,形成了工作评估报告,同时创新开展“以岗代训”工作,以及持续修订完善三级合规管理配套制度。
9.内部审计
审计部为公司独立的监督检查部门,依据国家有关法律法规及公司的规章制度,对公司各部门、各分支机构及子公司的财务、业务及经营管理等各项活动进行监督、评价和建议。审计部向公司董事会审计委员会负责,定期或不定期向董事会审计委员会汇报工作,各项工作接受监事会的检查和监督。审计范围覆盖主要业务条线、子公司及职能部门。公司内部审计人员的任职资格明确,目前审计部已配备了会计、审计、信息技术等必要的专业技术人才。
公司制定了较规范的审计制度及工作流程,并建立了审计管理系统,审计管理系统对提高审计质量与效率有较好的促进作用。审计人员严格按照各项内部审计制度规定在公司的授权下独立开展审计工作。
报告期内,公司各项审计监督工作有序开展,内部审计环境未发生重大变化。内部审计事项主要包括发展规划、战略决策、重大措施以及年度业务计划执行情况、领导干部履行经济责任情况、投资项目情况、经营管理和效益情况、内部控制及风险管理情况等内容。
10.纪律检查
纪律检查部负责落实公司党委、纪委关于开展全面从严治党、党风廉政建设和反腐败的工作部署。督促、检查公司内部落实全面从严治党、党风廉政建设责任落实情况;对公司政治生态、全面从严治党、党风廉政建设情况进行调查和分
析,及时向公司党委、纪委提出推进全面从严治党、加强党风廉政建设的工作建议。负责监督落实巡察整改,做好巡察“后半篇文章”;对公司各级党组织、党员领导干部履行职责、行使权力的情况进行监督、检查;对党的路线、方针、政策、决议的执行情况,对上级单位决策部署的执行情况进行监督、检查。负责监督党员干部学习关于全面从严治党、党风廉政建设和反腐败等方面的方针政策和法律法规,对党员干部开展经常性的党风党纪教育。负责拟定公司纪律检查工作发展规划、年度工作计划、部门规章制度,并制定公司全面从严治党、党风廉政建设相关工作的各项规章制度。负责监督各监督部门履行相关职能,推动各类监督有机贯通、相互协调,形成监督合力,不断提高监督效能。负责受理关于公司各级党组织、党员干部执行党风党纪和规章制度、工作作风、廉洁从业等方面的来信来电来访,按程序及时予以处置。负责对问题线索开展组织调查,进行问责处理或提出问责处理的建议;开展“四种形态”下的谈话提醒、约谈函询,维护党的纪律。负责受理公司党员的申诉和控告,维护党员的合法权利。协助配合上级单位调查问题线索和违法犯罪案件。对控股子公司纪检工作进行管理,负责对控股子公司纪检人员的指导和培训工作。完成公司党委、纪委交办的其他工作。
报告期内,公司各项纪律检查工作有序开展,按要求落实公司党委、纪委关于开展全面从严治党、党风廉政建设和反腐败的工作部署。
(二)风险控制
1.风险控制组织体系
公司建立自上而下的四级风控体系,负责对各项业务的事前、事中及事后风险进行统一管理。第一层是风险控制与合规委员会,是公司董事会下设的专门委员会,全面领导公司风险控制工作。第二层是风险控制与安全运营委员会,是公司总裁办公会下设的专业委员会,为公司风险高级管理机构,负责公司整体和重大风险的评估、控制。第三层是风险管理相关职能部门,负责公司经营管理活动中风险事项的识别、评估、分析与控制,并负责指导、监督各部门、子公司、分支机构的风险管理工作。第四层是各部门、分支机构风控经理和子公司风险管理负责人,负责落实公司及各类专业风险牵头管理部门制定的各项政策、流程和措施,接受各类风险牵头管理部门的指导以及对各类风险管理、执行责任的分解。
公司全面风险管理框架已相对完善,四级风控体系的权威性和专业性得到加强。在新的市场及监管环境下,围绕公司的战略发展规划,公司的风险管理模式
已由原业务模块变更为按风险类型进行风险监控。通过对各业务的风险分类监控,从而实现对市场风险、流动性风险、信用风险、操作风险等风险类型的准确识别、审慎评估、动态监控,并达到评估公司整体经营风险的目的。
2.风险识别与风险评估公司已建立统一的、以净资本和流动性风险为核心的全面风险管理体系以及公司风险因素分析平台,全面、系统、持续地收集与公司风险和风险管理相关的内部、外部初始信息,包括历史数据和未来预测,作为风险分析依据。
公司在风险识别和评估的过程中,主要采用集体讨论、流程分析、趋势分析、案例分析、情景分析、概率统计、监管沟通等方法。针对各类新业务,在执行之前,集体或小组讨论业务可能涉及的风险,制定相应的业务流程,并在业务开展后不断完善。
(1)风险识别
通过不同的风险类型对业务流程进行梳理、定性及定量分析,找出风险点,对公司经营活动中存在的内部及外部风险进行辨别和分析,找出风险来源。同时,实行风险动态管理,定期或不定期进行风险调整,以便对新的风险和原有风险的变化重新评估。
(
)风险评估
针对风险的严重性、发生的可能性及其影响进行测定和度量,计算每个风险点可能导致的损失。根据风险发生可能性的高低和对目标影响程度的度量结果划分等级,并预设相应的防范、预警、监控和处置措施。
公司风险管理部根据内外部环境的变化以及在判断各项业务流程风险点的基础上,对公司所面临的市场风险、信用风险、流动性风险、操作风险等进行识别;通过制定风险容忍度、风险限额,建立逐日盯市等机制及定期或不定期采用压力测试、敏感性分析等方法或模型,对有关业务数据进行风险计量,根据监控及测量结果对上述业务风险发生的概率及其产生结果的影响程度进行评估。
3.主要风险控制情况
公司已建立以净资本和流动性风险等风控指标为核心的全面风险管理体系,建成了以净资本、流动性覆盖率、净稳定资金率等风控指标为衡量的三级动态监控体系,根据风险控制综合信息框架对市场风险、信用风险、流动性风险和操作风险进行事前、事中及事后的全面控制,并通过逐日盯市等监控和预警机制的有
效运行,有效防范公司整体经营风险。(
)市场风险公司涉及市场风险的业务主要包括权益类证券投资、固定收益类证券投资、衍生品投资等业务模块,为加强公司市场风险管理工作,公司制定了《市场风险管理办法》,使用RiskMetrics市场风险管理系统,建立了以风险价值(VaR)模型为核心的量化指标体系,科学有效地计量投资组合市场风险,范围涵盖全资产全品种,包括股票、债券、期货、基金、大宗商品和场内外衍生品等。综合来看,公司业务市场风险可控。
(
)信用风险管理公司面临的信用风险主要集中在债券投资、融资融券、股票质押式回购、衍生品交易等业务领域。为加强公司信用风险管理工作,公司制定了《信用风险管理办法》,建立统一的信用风险管理政策,实行公司信用风险的统一管理。公司在总体和各业务层面分别设置了信用风险限额指标,包括业务规模、个券限额、集中度限额等,并通过风险量化模型对信用风险敞口、信用类预期损失等指标进行测算,评估和监测信用风险情况,为公司决策提供依据。公司已完成信用风险管理系统的开发,其中,内部评级系统已投入使用,通过模型及专家认定的方式实现对固定收益自营、资管、投顾等业务的信用风险评估,并开展了同一客户同一业务风险管理的建设。根据市场经济环境的变化及业务开展的实际需要,公司在各业务日常监控的基础上增加了舆情监控工作,及时收集宏观产经、各主体及债项信息,向相关部门进行风险提示。综合来看,公司信用风险可控。
(
)流动性风险管理为防范流动性风险,公司制定了《流动性风险管理办法》和《流动性风险应急处理实施细则》,建立了流动性风险管理和应急处置机制,明确了流动性风险应急情形、组织体系、应急措施等相关操作细节。流动性风险由公司风险管理部与财务部联合管理,风险管理部定期计算公司流动性指标,并进行持续监控,确保指标符合监管标准。公司对流动性风险主要采取实施流动性限额管理、建立现金流测算和分析框架、建立健全流动性风险压力测试机制、持有充足的优质流动性资产、制定流动性突发事件的应急计划和处置方案、积极提升信息化管理水平实现流动性风险的实时动态监测等管理措施。综合来看,公司流动性风险可控。
(
)操作风险管理
为有效防控操作风险,公司制定了《操作风险管理办法》,在组织体系内建立风险管理“三道防线”,三道防线职责明确,在公司各项规章及授权范围内尽责履职,不断完善业务流程,建立健全内部控制制度体系。公司已建立操作风险管理系统,实现了操作风险工具的系统化实施落地。风险管理部牵头落实操作风险管理工具的应用,组织识别、评估、报告公司操作风险管理情况,确保操作风险管理制度和措施得到贯彻落实;对于出现的风险事项,通过系统进行操作风险事件的上报和归集,并及时制定缓释行动计划进行改进;重要的风险事项将向相关部门出示预警提示书,通知其及时作出风险处理,并跟踪风险事件处理进展和结果,向公司汇报。公司实行分级授权管理体制,加强内部控制,强化信息系统安全管理,提高应急处理能力,强化风险管理文化培训和考核机制;充分应用风险与控制自我评估、关键风险指标监控预警、风险损失数据收集工具管理;通过操作风险识别、计量、监测、报告、应急处置等各项措施,不断提高操作风险管理水平。综合来看,公司操作风险可控。
4.风险报告情况
公司风险管理部与分支机构、业务部门、子公司、各专业风险牵头管理部门、经营管理层、董事会之间建立了畅通的风险信息沟通机制,确保相关信息传递与反馈的及时、准确、完整,并向经营管理层提交风险管理日报、月报等定期报告,反映风险识别、评估结果和应对方案,对重大风险提供专项评估报告,确保经营管理层及时、充分了解公司风险状况。每年末,公司风险管理部将对公司总体风险进行评估,分析风险点以及对应控制措施等方面内容,形成年度风险管理报告,向经营管理层和董事会报告,为公司经营决策提供支持。
(三)重要活动内部控制评价
1.经纪业务内部控制
公司经纪业务已经建立较完善的风险控制与合规管理职责体系,公司总部各相关职能部门在职责范围内对经纪业务履行管理职责,各分支机构依法开展经纪业务活动。公司财富管理总部负责经纪业务综合管理和相关风控与合规培训,并设立合规岗对经纪业务进行合规审核;公司法律合规部对接各分支机构的合规管理工作,为分支机构提供日常合规咨询、审核、检查、反洗钱工作指导与监督,并对经纪业务中客户异常交易等行为进行实时监控;审计部对经纪业务进行审计检查,提出改进建议并督导落实整改方案。
(1)运营管理财富管理总部下设金融产品团队、投顾服务团队、衍生品业务团队、综合管理团队、高净值客户团队,各团队人员岗位职能划分清晰,流程通顺。报告期内,公司除注重业务专业角度的培训外,还特别针对风险控制、合规管理、反洗钱等方面开展线下线上重点专题培训,加强全员风控与合规意识思维,并将风控与合规意识融入到业务的操作流程与细节中,保障风险控制与合规管理的落地。
(2)交易管理公司分支机构柜台业务、证券交易业务实行集中化管理。公司设立营运管理部负责对分支机构的交易活动进行统一管理,制定相关规章制度、集中交易权限分配标准,并按期实施统一分配与授权。分支机构的日常经营活动由分支机构总经理直接负责。
公司柜台业务由营运管理部负责组织和管理,统一执行各类业务的资金清算、交收和股份托管,集中管理柜台业务、交易运行、客户交易结算资金、公司清算和资金核算、银行间债券市场的债券托管、经纪业务客户相关账户(资金账户、证券账户、理财账户等)、公司席位(交易单元)等。公司制定并不断完善控制机制,在营运管理部内部实行岗位隔离机制,并严格规定柜台业务、交易运行、客户交易结算资金交收和清算的运作流程。
2.代销金融产品业务内部控制
(
)代销金融产品业务
为有效防范代销金融产品业务风险,公司制定了一系列管理制度及业务操作规程,包括代销合同、资料报备、信息披露、投资者适当性管理、客户回访以及产品持续跟踪等各关键环节。为持续优化公募基金公司评价体系,公司精心筛选了一批重点合作基金公司,提升金融产品销售业务精细度、客观性和严谨性。
公司针对相关金融产品销售业务已实施双录制度,并实现系统控制,进一步防范和控制业务风险。
(2)代销金融产品风险评估
公司代销金融产品,要求销售人员应尽可能了解客户的身份、财产与收入状况、金融知识与投资经验、投资目标、风险偏好等情况,并对客户风险承受测评结果进行查询。对于未有风险承受能力测评结果的客户,要求客户进行测评后再行购买;对于主动要求购买与风险承受能力不匹配产品的普通投资者,对其进行
审核并再次充分揭示风险,提示其审慎决策,若投资者仍坚持购买,须签署确认《产品不适当警示及投资确认书》后方可购买,同时分支机构保存相关提示记录和确认文件,做好“双录”工作。(
)金融产品销售公司金融产品销售过程中遵循投资者利益优先、客观性、有效性、差异性等四项原则,通过销售流程及投资者风险评测等一系列控制程序,根据投资者风险承受能力销售不同风险等级产品,把合适的产品销售给合适的投资者,有效控制销售过程中产生的风险。
(
)金融产品销售资金管理金融产品销售和代销合同签订只能以“总对总”的方式进行,通过金融产品销售进度报表和代销金融产品客户回访等手段控制资金风险。
(5)金融产品售后管理财富管理总部负责金融产品代销业务的总部层面售后工作,主要包括产品销售总结、战报发布、产品业绩跟踪、稽核检查等。金融产品正式上线销售后,金融产品团队通过但不限于数据统计分析、电话征询、视频会议交流、实地督导等办法跟踪、管理整个销售过程。
3.融资类业务内部控制公司融资融券、股票质押等类贷款业务实行前、中、后台相互分离、相互制约机制,各主要环节由不同部门和岗位负责。信用业务部是公司融资融券、股票质押式回购业务的具体管理和运作部门。公司已根据监管部门颁布的《证券公司融资融券业务管理办法》《证券公司融资融券业务内部控制指引》《证券期货投资者适当性管理办法》以及交易所股票质押业务系列制度等相关规定,针对融资融券业务制定了专门制度,涵盖客户适当性、征信授信、保证金管理、投资者教育、可融资金和证券管理、账户管理、盯市与平仓、风险管理、清算交收、技术系统、利益冲突防范、突发处理机制等环节。此外,公司还按照监管机构要求,制定了标准业务相关合同与风险揭示书。
公司对融资融券业务及类融资业务实行总部集中管理,业务审批权和主要管理职责由总部承担,分支机构按制度及总部指令开展相关业务,未经总部批准禁止向客户办理融资融券、股票质押式回购等业务,或自行决定与客户签约、开户、授信、保证金收取等应当由总部决定的事项。公司按照监管要求及行业特点对融
资融券业务设定了各项风险控制指标和业务指标,对融资融券账户实行集中监控,提前预警,以防范违约风险。公司根据市场变化和业务发展对可充抵保证金证券范围和折算率进行定期调整、动态管理,并安排专人监控资金和证券的使用情况,确保顺利进行交易结算与提高资金使用效率。
4.股票期权业务内部控制公司对股票期权业务实行总部集中管理,从规则制定、客户账户管理、保证金比率管理、交易、集中监控,到清算交收等工作均由总部集中负责。股票期权业务的决策和主要管理职责由总部承担,总部设立独立的衍生品业务团队负责股票期权业务的具体管理和风险控制,分支机构按制度及总部指令开展相关业务。公司遵循利益冲突防范和业务隔离原则,股票期权经纪业务与证券自营投资业务、资产管理业务及投资银行业务等在业务、场地、人员、信息、资金与账户等方面相互分离。股票期权经纪业务的前、中、后台相互分离、相互制约,各主要环节分别由不同的部门和岗位负责。
5.证券投资咨询业务内部控制(
)发布研究报告业务为规范发布研究报告业务,保证分析师独立、客观、公正,禁止内幕信息不适当流转,有效防范传播虚假信息、误导投资者等风险,公司针对发布研究报告业务制定了较为完善的内部管理制度。
公司根据制定的《研究管理办法》,对研究人员的招聘、工作岗位职责等方面进行规范化管理,对各类型研究的工作流程及质量标准进行了明确,有效提升了证券研究报告质量;根据《研究报告业务管理办法》对研究人员资质、研究报告信息管理、研究报告合规与质量审核、研报发布与转发、调研规范、信息隔离墙管理等进行了系统性规范。报告期内,公司投研平台为研究工作的流程化管理和研究报告质量的系统性提升提供了有效的支持。
与此同时,法律合规部对公司类研究报告和晨会报告发布流程实行嵌入式管理,增强了内部控制的有效性。
公司严格按照《证券法》《证券、期货投资咨询管理暂行办法》《发布证券研究报告执业规范》以及相关监管规定开展发布研究报告业务,落实研究人员资质管理,严格执行调研质量管理程序,保证研究报告质量,认真执行信息隔离墙制度。
(2)证券投资顾问业务证券投资顾问业务由公司财富管理总部统一组织管理,下设投顾服务团队,负责证券投资顾问业务。公司建立严格的信息隔离墙管理制度,制定了投资顾问人员管理、资格注册、签约管理、投资顾问服务、绩效考核、客户回访、适当性管理等管理制度,规范了业务流程。公司对投资顾问业务建立了合规检查机制,对投资顾问业务进行定期或不定期的合规检查和内部审计。
6.IB业务内部控制公司具有IB业务资格,建立了完善的IB业务相关制度和业务流程系统。公司接受宝城期货委托,为宝城期货介绍客户参与期货交易并提供其他相关服务。公司与宝城期货在财务、人员、经营场所等方面均有效隔离。公司从事IB业务的部门与从事证券自营、资产管理及投资银行业务等业务部门做到了业务、人员、场所隔离;IB业务专职人员严格按照相关制度和业务流程完成相关工作。公司针对IB业务制定了管理办法,在IB业务信息系统对岗位隔离、信息隔离、权限隔离等进行了设置,并就双方职责作出规定。目前公司与宝城期货合作顺畅。7.分支机构内部控制公司建立了“总部—分公司—营业部”的三级管理经营体制。目前,公司已设立
家分公司,
余家证券营业部。财富管理总部下设综合管理团队,负责分支机构的筹建与日常管理工作。分支机构的设立由公司经营管理层根据公司业务战略规划决定,在授权的业务范围内合法合规开展业务。财务部、信息技术与金融科技部、人力资源部、营运管理部、财富管理总部分别对分支机构的财务事项、信息技术、人力资源、客户交易与结算、营销活动等进行管理;法律合规部和风险管理部对分支机构合规有效性及风险事项进行管理。公司制定了一系列分支机构管理制度,重点防范分支机构越权经营和道德风险。法律合规部、风险管理部和审计部负责对分支机构的合法合规运作、各项风险防范、效益业绩审定等进行各自维度的监控管理。
8.投资银行类业务内部控制自《证券公司投资银行类业务内部控制指引》(以下简称《内控指引》)正式实施以来,公司全面落实《内控指引》的要求,调整内控组织架构,建立以项目组和业务部门、质量控制、内核和合规风控为主的“三道防线”基本架构,以构建分工合理、权责明确、相互制衡、有效监督的投行类业务内部控制体系;明确
了各内部控制职能部门的职责范围,通过强调项目组和业务部门加强一线执业和管理,质量控制实施全过程管控,内核严把公司层面出口管理,合规风控加强外部监督等措施,督促各方勤勉履职、归位尽责。公司对于投资银行业务的内部控制贯穿了承揽、立项、报送、发行上市、持续督导或存续期管理全流程。
(1)承揽至立项阶段公司建立了全套投行类业务立项制度,设立了保荐承销及并购重组、推荐挂牌、债券承销与受托管理及资产证券化业务等各专业立项评审委员会,明确了立项标准和程序,包括委员利益冲突回避机制、表决方式等,且对同类投行业务执行统一的立项标准和程序。
(
)立项至报送阶段公司建立了项目管理制度和业务人员资格、流动管理制度,并为每个投行类项目配备具备相关专业知识和履职能力、数量适当的业务人员,保证投行类项目的执业质量。同时,公司根据《内控指引》的要求建立了投行业务的尽职调查、质量控制、内核相关制度。
(
)报送至发行上市阶段公司通过《投资银行业务质量控制制度》明确了投行类项目跟踪管理机制。质控部门应对在审项目进行持续的跟踪管理,督促项目组对项目有关情况进行持续关注、尽职调查和报告。项目组应将项目材料和文件对外提交、报送、出具或披露后出现的新情况、新问题向质控部门报告。
公司根据《内控指引》要求制定了《投资银行业务反馈意见报告制度》,项目组应在收到反馈意见后及时向相关业务部门负责人、业务负责人、质量控制部门和内核部报告。质控部门应对反馈意见的问题进行审阅,如发现项目存在重大风险的,应向相关业务负责人、相关业务部门负责人、内核负责人及时汇报。
对于在审项目的审核,公司根据《内控指引》要求制定了《投资银行业务内核制度》,明确内核部作为常设内核机构,履行相关职责。
(4)持续督导或存续期管理
质控部门对保荐承销及并购重组项目、新三板项目的持续督导工作、债券和资产证券化的存续期管理工作进行监督。内核部作为常设内核机构,对持续督导或存续期文件的对外披露履行内核程序。
风险管理部对处于后续管理阶段项目的风险履行持续风险管理的职责,建立
了后续管理阶段重大风险项目关注池制度并明确了入池标准、程序等。业务部门指定专人及时将风险项目名单上报风险管理部,风险管理部将入池名单定期提交投行业务负责人、首席风险官和合规总监。
9.新三板做市业务内部控制公司已建立完备的新三板做市业务内部控制体系,实行多级决策机制与管理体系。公司做市业务组织架构采取“董事会-总裁办公会-做市业务决策小组-做市业务部门”形式建立,同时,公司各相关部门为做市业务提供业务支持。董事会为公司开展做市业务的最高决策机构,总裁办公会为做市业务日常决策机构,做市业务决策小组负责做市业务具体的投资决策和管理工作,做市业务部门负责具体开展做市业务,履行做市义务,不断优化做市业务模式和流程,管理做市业务过程中出现的风险。
公司做市业务与公司自营、资管、投行等业务部门之间实行机构独立、人员独立,并按规定实行严格的信息隔离制度。公司已建立完善的新三板做市业务内控管理体系,对做市项目的选取原则和主要标准做了明确规定,对做市业务的交易管理、投资决策、账户、资金与清算管理、风险监控、会计核算、信息报告等制定了相对完善的管理制度。公司风险管理部对做市业务实施嵌入式实时风险监控;法律合规部对做市业务实施信息隔离等合规核查;财务部负责资金划付与会计核算;审计部负责做市业务内部审计工作。
10.证券投资业务内部控制
公司建立了证券投资业务的内部控制体系,实行多级决策机制与管理体系,公司证券投资部负责管理证券投资业务具体经营活动。
(1)证券投资业务投资决策
公司已建立较合理的证券投资业务投资决策体系,证券投资业务决策机构包括董事会、总裁办公会、证券投资决策小组。董事会是公司股东大会授权的投资业务最高决策机构,决定公司年度内证券投资业务规模和可承受的风险限额,并授权总裁办公会决定证券投资业务的相关事宜。总裁办公会根据董事会授权决定证券投资部全年的自营投入规模。证券投资决策小组审定证券投资部提交的投资方案。公司决策与授权过程清晰,权限设定、授权审核和交易能够得到有效控制。
(2)投资决策内控管理流程
公司已建立较合理的投资决策内控管理流程,对证券投资业务的授权管理、
投资决策、账户及资金管理、投资操作、风险监控、会计核算、信息报告等制定了相对完善的管理制度。公司风险管理部对证券投资业务实施嵌入式实时风险监控,在证券投资部设置一线部门风控经理,配合公司风险管理部进行内部风险监控;法律合规部根据隔离墙等相关合规制度对证券投资业务进行合规管理,同时证券投资部设置部门合规经理,配合法律合规部开展合规管理工作;财务部负责资金划付与会计核算;营运管理部负责证券清算与交收;审计部负责证券投资业务内部审计工作。
11.资产管理业务内部控制公司按照监管要求对资产管理业务实行总部集中管理。公司总裁办公会是资产管理业务的最高投资决策机构,和风险控制与安全运营委员会审核决定资产管理业务的规模与风险限额。
在资产管理部内部对客户资产管理业务实行投资研究、交易执行相互分离的机制。公司针对客户资产管理业务建立了完备的制度体系,涵盖了市场推广及客户服务、投资决策及交易、会计估值与登记结算、风控与信评、合规与审计、信息披露、档案管理、投资交易人员资质等内容,进一步健全了资产管理业务内部控制。
公司资产管理业务的内控管理遵照全面性、审慎性、有效性、定性与定量相结合原则。资产管理的产品研发设计、合同格式内容、投资运作、核算及风控、合规管理等集中于公司总部,对客户资产管理业务与证券自营业务及其他可能存在利益冲突的业务实行严格的信息隔离。资产管理业务操作严格按照股票、债券、基金授信领用的范围进行投资运作,各类股票、债券、基金实行严格的准入与退出机制。资产管理部内控部与公司风险管理部负责对资产管理的日常交易活动进行实时嵌入式风险监控;资产管理部内控部、法律合规部负责资产管理业务的合规管理和法律审核;审计部负责资产管理业务内部审计工作。
12.基金托管及外包服务业务内部控制
根据相关法律法规及监管要求,公司基金托管及外包服务业务由一级部门资产托管部全面负责,并按要求在部门组织结构设置、从业人员配置、业务系统配置及办公场所安排等方面进行了严格隔离,保证资产托管部与其他业务部门保持独立,保证基金托管业务与外包服务业务保持独立。公司法律合规部负责对基金托管及外包服务业务合同内容的合规性、条款的完备性、约定权利义务等事项进
行审核,负责按规定开展合规检查工作,风险管理部制定能够有效识别、控制和防范业务经营风险和内部管理风险的风险控制机制。
为合规开展基金托管及外包服务业务、有效防范业务风险、保障基金财产及投资者财产安全,公司制定了相关业务制度,涵盖了份额登记、估值核算、资金清算、信息披露、产品立项、账户管理、内控稽核、权限管理、档案管理、风险管理、应急管理等各个方面,内部控制有效覆盖基金托管及外包服务业务的各个环节,为相关业务日常风险管理工作提供了明确的依据。资产托管部通过业务流程审批系统,按产品的生命周期设置了产品立项、合同签订、账户开立、认购、申购、赎回、分红、清算、份额转让、资金清算、投资划拨、产品清盘等业务节点,对不同业务节点设置审批流程,提交相关文件资料,分别经产品运营岗、账户管理岗、份额登记岗、估值核算岗、资金清算岗、投资监督岗、内控监督岗审核并经相关负责人审批同意后执行相关操作,对相关业务全流程进行风险控制,有效地控制经营过程中可能产生的各类风险,保证基金托管及外包服务业务的合规开展。
13.量化投资与OTC业务内部控制
公司设立一级部门量化投资与OTC业务部负责对量化投资与OTC业务进行统一管理。目前开展的业务包括量化投资、收益凭证、种子基金投资、资本中介以及收益互换等业务。公司针对量化投资与OTC业务建立了较完善的内部控制体系,实行多级投资决策机制,公司董事会决定公司年度总体投资规模以及总体风险承受度;总裁办公会负责领导和协调量化投资与OTC业务,审核确定相应业务规模额度、业务相关管理办法、产品的发行等;量化投资与OTC业务部负责量化投资与OTC产品投资者管理、OTC产品设计和定价、OTC产品推广、OTC产品避险以及信息披露等具体业务的执行工作。公司建立了较合理的量化投资与OTC业务投资决策体系,根据公司现有业务开展情况,分别对量化投资业务、收益互换业务、种子基金、收益凭证业务的授权管理、投资决策、风险监控、信息报告等方面制定了相对完善的管理制度。风险管理部在量化投资与OTC业务部设置一线风控经理,对量化投资与OTC业务进行实时监控,及时提示风险,以保证各项业务指标均在可控范围内。法律合规部在量化投资与OTC业务部设置专职合规经理,根据隔离墙等相关合规制度对OTC业务进行合规管理;财务部负责量化投资与OTC业务资金划付与会计核算;营运管理部负责相关证
券和资金清算与交收;审计部负责量化投资与OTC业务内部审计工作。各部门均依据公司制度履行部门职责,确保量化投资与OTC业务平稳开展。公司量化投资与OTC业务投资决策体系清晰,各层级权责明确。
14.固定收益业务内部控制公司建立了固定收益业务的内部控制体系,实行多级决策机制与管理体系,董事会研究决定公司年度内投资业务规模和可承受的风险限额,并授权总裁办公会决定固定收益业务的相关事宜,总裁办公会根据董事会授权决定固定收益部全年的自有资金投入规模。公司不断积极探索新的投资策略与投资工具,力争在分散投资风险的同时实现投资收益的提升。
公司固定收益部为债券自营交易、利率衍生品投资和资本中介服务的专业化部门,制定了较为完善的内控制度体系,涵盖了业务授权、投资决策、交易操作、风险管理等方面内容。公司固定收益业务内部实行严格的权限管理与岗位分工,投资决策与交易执行严格分离,交易员在集中交易室内执行交易指令,交易审批按照规定流程执行。公司固定收益部根据相关规定确定债券库,固定收益部所有投资品种均需在债券库内选择,并按要求履行入库流程。
公司风险管理部对固定收益业务实施嵌入式管理,通过电子化流程进行审批,在系统中强制留痕。公司风险管理部监控人员每日对债券自营业务的配置管理指标、权限管理指标、市场风险指标、流动性风险指标、信用风险指标等进行分析,编制风控日报。公司法律合规部负责对固定收益业务进行定期或不定期合规检查,监督固定收益业务运作的合规性。审计部负责固定收益业务内部审计工作。
15.互联网金融业务内部控制
公司成立网络金融部,对互联网金融业务实行专业的管理机制,配备了独立完整的组织架构,制定了较为齐全的服务于互联网金融业务的制度体系,明确了公司互联网金融业务定位以及各相关部门需要履行的职能,各岗位之间严格按照公司隔离墙制度相关规定,设置专人专岗。公司法律合规部负责对互联网金融业务进行合规检查,审计部负责互联网金融业务内部审计工作。
16.会计内部控制
根据《企业会计准则》等规定,公司制定了《财务制度》《会计制度》《全面预算管理办法》等制度,形成了较为完整的财务管理和会计控制体系。财务部是公司会计核算、财务管理的职能机构,严格执行会计政策与相关制度。
公司财务部在财务信息系统控制、组织与岗位控制、财务预算控制及会计档案管理等财务会计工作的各个方面,有效实施了相关会计管理与控制活动。2022年财务部持续推动业财深度融合和精益闭环管理,将业务流、核算流、管控流、资金流、实物流有机融合,构建了交易驱动的金融工具管理平台,并在资产负债管理、预算管控策略、业财协同效应及财务智能化建设等方面取得新突破,进一步保障财务管理及内控流程的标准性、规范性、有效性。
17.资金管理内部控制
公司制定了《财务制度》《自有资金管理办法》《银行账户管理办法》等制度,严格规范了资金运作流转的操作程序,明确了各资金岗位的权限和职责。财务部对公司自有资金实行集中统一管理,涵盖公司总部及下属各单位的人民币和外币自有资金。
财务部严格执行《自有资金管理办法》,在自有资金预算管理、账户管理、资金存放与调拨管理、融资管理、资金运用管理以及风险评估与监测等方面实施了有效控制,严格防范资金流动性风险,有效保障了公司自有资金安全,并支持公司业务发展。
18.信息系统内部控制
(
)信息系统管理
公司设立信息技术治理委员会,为总裁办公会下设的专业委员会之一,负责制定信息技术战略,并审议包括信息技术规划、投入预算及分配方案、重要信息系统建设或改造方案、信息技术应急预案及其他重大信息技术事项。公司已聘任首席信息官,负责公司信息技术整体工作的协调把控,组织制定信息技术战略规划,推动完善信息技术治理架构和信息系统总体技术架构,组织制定信息技术风险管理策略、预算和支出等。公司成立信息技术与金融科技部,负责实施信息技术规划、信息系统建设、信息技术质量控制、信息安全保障、运维管理等工作。公司风险管理部、法律合规部和审计部对公司信息技术安全等方面进行监督和检查。同时,公司还成立了数字证券领导小组,行使金融科技及数字化转型相关的战略绩效协调督导、项目立项审议决策、数据治理审议决策等职能,以提高金融科技的决策效率。公司目前已形成了以信息技术治理委员会、数字证券领导小组为信息技术决策审议机构,以首席信息官负责信息技术整体管理工作、以信息技术与金融科技部为执行机构的层次完整清晰的信息技术组织架构,各层级之间互
相协调、各司其职、有机互动,保证了公司金融科技整体战略规划得到合理有效的推进实施,信息系统的安全运行有效支持了公司经营管理工作的开展。
(2)交易系统管理公司集中交易系统机房按照国际T3类机房标准建设,具有完备的消防、防雷接地和温湿度控制系统,保证了交易系统核心资金服务器的安全、稳定、可靠运行。机房内使用的主交换机与路由器,均采用双机热备模式,实现双链路、双冗余备份,保证网络系统的正常稳定运行。公司建立了完善的运行监控系统,对系统(包括服务器、报盘系统、数据库、存储系统、网络和通信线路等)的运行环境、运行状况进行实时监控;公司对监控系统记录进行定期分析,有效实施运行监控的内部控制。公司在深证通南方数据中心机房建设有集中交易异地灾难备份中心,在主机房遇到灾难或重大灾难等紧急情况时可完成交易系统业务接管,恢复公司的证券交易业务,保障客户业务连续。为保证集中交易灾难备份系统的安全使用,确保集中交易灾难备份系统启动时机正确及时,公司制定的《网络安全事件应急与处理管理办法》《集中交易系统灾备切换应急预案》规定了集中交易灾难备份系统启用条件及具体操作规程。公司已建立起较为完善的广域网体系,各分支机构与集中交易运行中心、灾备中心通过SDH专线或基于互联网的VPN线路实现互联,分支机构均采用两条不同运营商的地面线路实现热备份,有效防范线路风险,避免单点故障的发生。同时公司已建立科技园数据中心机房,深证通南方数据中心双中心架构,机房之间互联通过租用电信、联通等多家运营商裸光纤线路实现互联,带宽达到万兆级别,能较好满足公司各类业务的需要。
19.反洗钱内部控制公司建立了健全的反洗钱组织体系,形成了包括反洗钱工作领导小组、合规总监、法律合规部、总部各部门及各分支机构在内的多层次组织架构,保障了反洗钱工作的有序开展。公司反洗钱工作领导小组是公司反洗钱工作的决策机构,负责统一领导、协调公司各项业务涉及的反洗钱工作;公司总裁担任反洗钱工作领导小组组长,合规总监为公司反洗钱和反恐怖融资工作的总协调人,负责公司反洗钱和反恐怖融资工作的内部协调和外部沟通工作;法律合规部负责组织实施公司的反洗钱和反恐怖融资工作。公司各单位及全体员工均负有反洗钱工作义务,各单位负责人为反洗钱第一责任人;总部各部门、各分支机构、各子公司反洗钱人员负责协调和监督所在单位切实履行反洗钱工作职责。公司对分支机构现场审
计中同步开展反洗钱工作现场审计,法律合规部和审计部积极开展反洗钱现场专项检查、审计工作,进一步促进反洗钱工作的有效开展。公司已建立较为完善的反洗钱内控管理体系,针对不同业务制定了相应的反洗钱管理办法。公司持续性强化对自然人客户、非自然人客户、特定自然人客户等的身份识别工作,并由法律合规部负责督促实施。公司严格按照人民银行要求做好客户风险等级管理、大额交易和可疑交易监测与报告工作。公司已开展客户身份信息数据治理工作,通过优化业务系统、增加交易系统弹窗提示功能深入开展客户身份信息的完善工作。公司通过风险监控管理平台开展反洗钱工作,并严格按照相关法律法规等要求完成反洗钱制度建设、客户身份识别、大额交易与可疑交易报告、名单监测、客户资料保存、宣传与培训等工作。公司聘请外部咨询机构提供反洗钱工作咨询建议,积极提升整体反洗钱工作水平及能力。
20.信息隔离墙内部控制为防范内幕交易,防止公司和客户之间、客户与客户之间以及员工与公司、客户之间的利益冲突,公司建立了完善的信息隔离制度和机制,明确公司董事会、经营管理层全面实施信息隔离制度。公司各单位负责人是执行信息隔离制度的第一责任人,确保本单位在经营管理中有效执行信息隔离制度。公司总部各业务部门合规经理、各分支机构合规经理、各子公司合规管理负责人协助本单位负责人实施信息隔离制度并检查信息隔离的执行情况。公司严格按照监管要求开展信息隔离工作,建立了信息隔离墙合规管理系统,制定了《业务信息隔离墙管理办法》,规定了业务信息隔离的原则和基本要求,并针对各项业务的特点,制定相应的业务隔离墙机制,包括《投资银行类业务信息隔离墙管理办法》《融资融券业务隔离墙管理办法》《场外期权交易业务隔离墙管理办法》等。同时,公司在各项业务的合规要求中明确了业务及信息隔离的规定,确保投资银行业务、证券投资咨询业务、经纪业务、证券自营业务、资产管理业务相对独立,相关业务人员严格分离,禁止相互兼职,实现了上述业务所涉及部门在业务、人员、物理、资金与账户管理等方面的隔离。公司合规总监领导公司法律合规部开展隔离墙名单管理、跨回墙审批、利益冲突识别、合规检查、合规培训等,并对上述业务进行信息隔离风险监测。
21.对控股子公司的管理与内部控制为进一步规范控参股企业股权管理相关工作,强化专业分工,推动控参股企
业快速有效贯彻落实公司战略规划,实现控参股企业高质量发展,由规划发展部负责控参股企业“三会”议案管理工作,推进公司战略规划在控参股企业的贯彻执行,负责控参股企业的设立、变更等规划、研究与管理工作,实施对控参股企业绩效考核;人力资源部负责控参股企业董监事推荐(委派)事项管理工作,控参股企业高级管理人员任免、考核、薪酬激励等事项管理工作,负责控参股企业干部任用、薪酬激励、人员编制等人力资源事项的归口管理。
公司全资子公司长城长富和长城投资,及控股子公司宝城期货均按照法律法规与监管要求建立了较为完善的法人治理结构和健全的内部控制组织体系与规章制度体系,并规范运作,依法合规经营。在对控股子公司重大项目管理方面,公司风险管理部安排专人对接,了解业务开展情况,跟踪投资项目进展,对重大项目进行初审,定期收集和分析控股子公司的风控月报及年度报告。公司法律合规部安排专人负责对接控股子公司,并及时将合规事项按照公司制度规定履行报告程序,采取有效措施,保障公司合法权益。
(四)信息与沟通
公司办公室为负责各类信息传递的主要职能部门,已制定有关公文处理、信息披露等制度。公司信息与沟通渠道包括办公自动化系统(OA)、电话、视频会议、传真、内部刊物、网络邮件、面谈等,其中OA系统是公司发文、收文、公告、请示等信息快速传递的主要平台。公司内部信息沟通顺畅,各类内外部信息按照规定程序有效流转。
1.内部信息
公司根据业务发展及管理需要,不断完善和拓展原有OA系统功能,目前公司OA系统共包括100多个功能模块,包括个人办公、协同办公、通用办公、信息服务、公用资料、财务系统、投资银行管理系统、研究所投研平台、审计管理系统、E-learning培训系统、HR系统、供应链平台、各部门OA子系统等。公司通过OA系统颁布各类文件、通知公告等,各职能部门和分支机构通过OA系统向经营管理层提交各种事项请示、工作汇报,经营管理层通过OA系统及时审批、授权,公司全体人员根据各自在OA系统中的权限查阅公司各类经营管理信息、处理职责内的工作事宜。在此基础上,公司推广使用的移动办公APP具有可靠的系统架构、良好的运行效率和稳定性及安全性,是公司移动办公的重要工具,极大提高内部信息与沟通的效率。
2.外部信息公司法律合规部负责与监管部门、自律组织之间的沟通协调,及时向监管部门了解监管政策和监管要求及变化。法律合规部切实履行合规报告职责,做好监管配合工作,确保公司信息沟通、反馈机制畅通,提高了公司合规风险识别能力,及时将经营管理情况、风险评估情况、合规报告等报送监管部门。
公司制定了《信息披露管理制度》,信息披露工作由董事会统一领导,董事长是公司信息披露工作第一责任人,董事会秘书是公司信息披露工作的主要责任人。董事会办公室作为信息披露的日常工作部门,在董事会秘书直接领导下,对需披露的信息进行搜集和整理,负责公司的信息披露事务。公司严格按照《信息披露管理制度》进行信息披露。
公司财务部主要负责与外部注册会计师的沟通工作,公司经营管理层及各职能部门积极配合年报审计及各项专项审计工作,并注重与会计师沟通审计中发现的问题,听取有关改善公司经营管理、内部控制等建议。经注册会计师审计后的财务报告按照公司规定及时对外披露或报送。
与投资者沟通方面,公司主要通过各分支机构现场、公司网站、客户端、客服中心等多种渠道,综合运用现场张贴公告、各种媒体、培训讲座等多种方式,进行投资者教育。各分支机构定期开展投资大讲堂活动,分支机构、客服中心的客服人员按规定对客户进行回访。公司已建立了客户投诉、纠纷处理机制,公司总部、各分支机构均设立了投诉专员,投诉电话、电子信箱在营业场所或公司网站公布,客户可通过电话、电子邮件、信函等方式进行投诉。
(五)内部监督
公司已形成多层次的内部监督体系,监督机构依据相关工作制度及条例履行监督职责。监事会依据法律、行政法规、《公司章程》,履行监督职责,每年向股东大会提交监事会工作报告,对公司业务经营、财务状况等进行监督。合规监督方面,公司董事会风险控制与合规委员会、合规总监、法律合规部、各部门、子公司与分支机构合规管理人员根据公司有关制度与条例规定履行合规监督职责。风险监督方面,公司已建立包括董事会风险控制与合规委员会、风险控制与安全运营委员会、风险管理部、各部门和分支机构风控经理、子公司风险管理负责人的四级风险管理体系,该体系形成自上而下垂直型风险控制机构,负责对公司各项业务的事前、事中、事后风险进行统一管理和监督。审计监督方面,董事会审
计委员会对公司内部审计工作进行指导、评价和监督,对外部审计与内部审计发现的重大问题整改落实情况进行监督。公司每年对内部控制执行情况进行全面评价,并将评价工作情况向公司董事会汇报。公司营运管理部、信息技术与金融科技部、财务部、人力资源部等职能部门,在各自分管范围内对分支机构的运营、信息技术、财务、人力资源等方面的执行过程进行监督,发现问题责成相关部门积极落实整改。
四、报告期内部控制缺陷认定及整改情况报告期内,公司不存在财务报告内部控制重大缺陷和重要缺陷,也不存在非财务报告内部控制重大缺陷和重要缺陷,存在少数非财务报告内部控制一般缺陷,公司已采取相应的整改措施加强内部控制管理,提升内部控制水平。
针对上一年度内部控制评价反映的一般缺陷,公司按照整改方案严格落实。本次评价中,对整改情况进行检查,相关整改工作已全部完成。
五、内部控制自我评价结论
报告期内,公司对纳入评价范围的业务与事项均已建立了内部控制,公司的内部控制机制和风险管理架构健全,公司的内部控制制度能够贯彻落实执行,在内部控制环境、风险评估、控制活动、信息与沟通、内部监督等方面发挥了较好的管理控制作用。实际执行过程中亦不存在重大偏差,达到了公司内部控制的目标,不存在影响财务报告和非财务报告的重大缺陷和重要缺陷,能够为实现业务合法合规地开展、发现和控制风险及提高经营效率和效果等目标提供合理的保证。未来公司将继续完善内部控制体系的构建,规范内部控制制度的执行,强化内部控制监督检查,促进公司健康、可持续发展。
六、保荐机构核查意见
经核查,保荐机构认为,长城证券现有的内部控制制度符合我国有关法律和证券监管部门的要求,在所有重大方面保持了与企业业务及管理有效的内部控制,长城证券关于内部控制的评价报告真实、客观地反映了公司内部控制制度的建设及运行情况。
(以下无正文)
(本页无正文,为《中信建投证券股份有限公司关于长城证券股份有限公司2022年度内部控制自我评价报告的核查意见》之签字盖章页)
保荐代表人签名:____________________________
逯金才赵凤滨
中信建投证券股份有限公司
年月日