第一创业证券股份有限公司2021年度内部控制自我评价报告
根据《企业内部控制基本规范》及其配套指引、《证券公司内部控制指引》的规定和其他内部控制监管要求(以下简称“企业内部控制规范体系”),结合第一创业证券股份有限公司(以下简称“公司”)内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,公司对2021年12月31日(内部控制自我评价报告基准日)的内部控制有效性进行了自我评价。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制自我评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经营管理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制自我评价结果推测未来内部控制的有效性具有一定的风险。
二、内部控制自我评价结论
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制自我评价报告基准日,公司未发现财务报告内部控制重大缺陷及重要缺陷。董事会认为,公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
根据公司非财务报告内部控制重大缺陷认定情况,于内部控制自我评价报告基准日,公司未发现非财务报告内部控制重大缺陷及重要缺陷。
自内部控制自我评价报告基准日至内部控制自我评价报告发出日之间,未发
生影响内部控制有效性评价结论的因素。
三、内部控制自我评价工作情况
(一)内部控制自我评价范围
公司按照全面覆盖及风险导向原则确定纳入评价范围的单位、业务和职能。纳入评价范围的单位包括公司全部业务与职能部门,4家全资子公司(第一创业证券承销保荐有限责任公司、第一创业期货有限责任公司、第一创业投资管理有限公司、深圳第一创业创新资本管理有限公司)、1家控股子公司(创金合信基金管理有限公司)、10家分公司(北京分公司、上海分公司、河北分公司、深圳分公司、厦门分公司、广州分公司、四川分公司、云南分公司、济南分公司、武汉科技分公司)及45家证券营业部。纳入评价范围单位资产总额占公司合并财务报表资产总额的100%,营业收入合计占公司合并财务报表营业收入总额的100%。
纳入评价范围的主要业务和职能包括:固定收益业务、资产管理业务、证券经纪业务、投资银行类业务、信用类业务、证券自营业务、研究业务、期货经纪业务、基金业务、私募股权投资基金业务、另类投资业务;风险管理、合规管理、财务管理、运营管理、信息系统管理、人力资源管理、控股子公司管理、对外投资活动管理、对外融资活动管理、重大事项管理、信息沟通与披露、内部监督与评价等。
上述纳入评价范围的单位、业务和事项涵盖了公司经营管理的主要方面,不存在重大遗漏。
(二)内部控制自我评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系及公司内部控制制度和评价方法,组织开展内部控制自我评价工作。
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,财务报告内部控制缺陷认定标准和非财务报告内部控制缺陷认定标准均与上一报告期保持一致。具体内容如下:
1. 财务报告内部控制缺陷认定标准
财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。由于财务报告内部控制的目标集中体现为财务报告的可靠性,因而财务报告内部控制的缺陷主要是指不能合理保证财务报告可靠性的内部控制设计和运行缺陷。根据缺
陷可能导致的财务报告错报的重要程度,公司采用定性和定量相结合的方法将缺陷划分确定为重大缺陷、重要缺陷和一般缺陷。
(1)公司确定的财务报告内部控制缺陷评价的定量标准如下:
| 评级 | 1 | 2 | 3 | |
| 一般缺陷 | 重要缺陷 | 重大缺陷 | ||
| 潜在错报金额 | 税前利润 | 0%-1%(不含) | 1%-5%(不含) | 大于5%(含) |
| 总资产 | 0%-0.5%(不含) | 0.5%-1%(不含) | 大于1%(含) | |
(2)公司确定的财务报告内部控制缺陷评价的定性标准如下:
| 评级 | 1 | 2 | 3 |
| 一般缺陷 | 重要缺陷 | 重大缺陷 | |
| 存在情况 | 除重大缺陷、重要缺陷之外的其他控制缺陷。 | ①未依照公认会计准则选择和应用会计政策; ②未建立反舞弊程序和控制措施; ③对于非常规或特殊交易的账务处理没有建立或实施相应的控制机制,且没有相应的补偿性控制; ④对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表达到真实、完整的目标。 | ①董事、监事和高级管理人员舞弊; ②对已经公告的财务报告出现的重大差错进行错报更正; ③注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报; ④监事会、审计委员会以及内部审计部门对财务报告内部控制监督无效。 |
2. 非财务报告内部控制缺陷认定标准
(1)公司确定的非财务报告内部控制缺陷评价的定量标准如下:
| 评级 | 1 | 2 | 3 | |
| 一般缺陷 | 重要缺陷 | 重大缺陷 | ||
| 财务损失 金额 | 税前利润 | 0%-1%(不含) | 1%-5%(不含) | 大于5%(含) |
| 总资产 | 0%-0.5%(不含) | 0.5%-1%(不含) | 大于1%(含) | |
(2)公司确定的非财务报告内部控制缺陷评价的定性标准如下:
| 评级 | 1 | 2 | 3 |
| 一般缺陷 | 重要缺陷 | 重大缺陷 | |
| 业务损失 | 极小影响或轻微影响,例如对收入、客户、市场份额等有轻微影响。 | 有一定影响,但是经过一定的弥补措施仍可能达到营运目标或关键业绩指标。 | 较大影响,无法达到部分营运目标或关键业绩指标。 |
| 信息错报影响 | 对内、外部信息使用者不会产生影响,或对信息准确性有轻微影响,但不会 | 对信息使用者有一定的影响,可能会影响使用者对于事物性质的判断,在一 | 错误信息可能会导致使用者做出重大的错误决策或截然相反的决策,造成不 |
| 影响使用者的判断。 | 定程度上可能导致错误的决策。 | 可挽回的决策损失。 | |
| 信息系统对数据完整性及业务运营的影响 | 对系统数据完整性不会产生影响。对业务正常运营没有产生影响,或对系统数据完整性会产生有限影响,但数据的非授权改动对业务运作及财务数据记录产生损失轻微。对业务正常运营没有直接影响,业务部门及客户没有察觉。 | 对系统数据完整性具有一定影响,数据的非授权改动对业务运作带来一定的损失及对财务数据记录的准确性产生一定的影响。对业务正常运营造成一定影响,致使业务操作效率低下。 | 对系统数据的完整性具有重大影响,数据的非授权改动给业务运作带来重大损失或造成财务记录的重大错误。对业务正常运营造成重大影响,致使业务操作大规模停滞和持续出错。 |
| 营运影响 | 对日常营运没有影响,或仅影响内部效率,不直接影响对外展业。 | 对内外部均造成了一定影响,比如关键员工或客户流失。 | 严重损伤公司核心竞争力,严重损害公司为客户服务的能力。 |
| 监管影响 | 一般反馈,未受到调查和罚款,或被监管者执行初步调查,不必支付罚款。 | 被监管者公开警告和专项调查,支付的罚款对年利润没有较大影响。 | 被监管者持续观察,支付的罚款对年利润有较大的影响。 |
| 声誉影响 | 负面消息在企业内部流传,企业声誉没有受损,或负面消息在当地局部流传,对企业声誉造成轻微损害。 | 负面消息在某区域流传,对企业声誉造成中等损害。 | 负面消息在全国各地流传,引起公众关注,引发诉讼,对企业声誉造成重大损害。 |
(三)内部控制缺陷认定及整改情况
1. 财务报告内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准,报告期内公司未发现财务报告内部控制重大缺陷及重要缺陷。
2. 非财务报告内部控制缺陷认定及整改情况
根据上述非财务报告内部控制缺陷的认定标准,报告期内公司未发现非财务报告内部控制重大缺陷及重要缺陷。
四、其他内部控制相关重大事项说明
(一) 内部控制环境
1. 法人治理结构
公司严格按照《公司法》《证券法》《证券公司监督管理条例》等有关法律、法规以及现代企业制度的要求,建立了以股东大会为最高权力机构,董事会为决策机构,监事会为监督机构的三权制衡的法人治理结构,实现了股东所有权与公
司法人经营权的分离,确保公司股东大会、董事会、监事会等机构的操作规范、运作有效。股东大会为公司的最高权力机构,能够确保所有股东依法合规享有平等地位,并充分行使权利。股东大会每年定期召开年度会议,审议董事会和监事会的工作报告,决定公司的经营方针和发展计划,按照《公司章程》的有关规定发挥职能。
董事会为公司的决策机构,向股东大会负责。董事会负责建立健全内部控制机制,监督内部控制机制的运作,对公司内部控制体系的有效性负责。根据《公司章程》的规定,公司董事会由十三名董事组成,其中独立董事五名,董事会人数及构成符合相关法规的规定。报告期内,公司共召开了九次董事会会议,充分发挥董事会决策作用。董事会下设投资与发展委员会、风险管理委员会、薪酬与考核委员会、提名委员会、审计委员会等五个专门委员会,为董事会科学决策提供保障。监事会是公司的内部监督机构,依法履行《公司法》《公司章程》赋予的权利和义务,对董事、总裁及其他高级管理人员的行为及公司财务进行监督及检查,向股东大会负责并报告工作。监事会由七名监事组成,其中,职工代表监事三名。报告期内,公司共召开了六次监事会会议,对公司财务和内部控制以及公司董事会、经营管理层履行责任的合法合规性进行监督。
公司实行董事会领导下的总裁负责制。总裁在公司的日常经营管理工作中,负责建立健全内部控制和风险管理制度,督促贯彻执行各项规章制度。
2. 内部控制管理组织架构
根据经营特点及内部控制要求,公司建立了由董事会及其专门委员会、监事会、经营管理层及其下设专业委员会、职能管理部门及业务经营部门构成的多层级内部控制管理组织架构,并明确了各自的职责权限,形成部门内分工约束、部门间相互制衡并有效运作的内部控制环境。
3. 内部控制制度体系
公司根据《中华人民共和国证券法》《证券公司内部控制指引》《证券公司和证券投资基金管理公司合规管理办法》及《证券公司全面风险管理规范》等法律法规,建立了覆盖公司经营管理各环节的内部控制制度体系,并结合监管规则变化及业务开展需求,持续对制度进行修订完善并贯彻执行。
4. 企业文化及社会责任
公司倡导“开放、创新、包容、协作”的海洋文化,围绕“成为有固定收益特色的、以资产管理业务为核心的证券公司”的战略定位,贯彻“以客户为中心”的管理理念。公司秉承全员合规、合规从管理层做起、合规创造价值、合规是公司生存基础的理念,倡导合规经营、诚信经营、审慎经营的合规文化。“海洋文化”与合规文化推动公司在不断的自我净化中实现发展与完善。
公司高度重视履行社会责任,将公司自身发展与社会进步紧密相联。2021年1月,公司协办首届中国ESG论坛(China ESG Forum),正式搭建起ESG理论研究与实践结合的产学研交流平台。2021年3月,公司参考气候相关财务信息披露工作组(TCFD)的建议及指导意见进行信息披露,为国内首家支持TCFD并落实披露建议的证券公司。2021年7月,公司成为深圳市绿色金融协会首批会员单位,成为深圳绿色金融制度体系和评估标准制定的参与者之一。
5. 员工道德价值观念及人力资源政策
公司坚定贯彻“合规是底线、诚信是义务、专业是特色、稳健是保证”的证券行业核心价值观,重新梳理并发布了“第一创业证券企业文化内涵”,进一步强化了员工以客户为中心、诚信执业、合规经营、专业为先的理念,为公司可持续发展保驾护航。
公司积极保障内控人员的履职条件,努力提升人员配置、队伍建设、培训组织水平,不断提高公司员工专业能力的同时,强化员工的内控意识和能力,为防范风险夯实基础。
(二) 风险识别与评估
1. 风险识别与评估机制
公司根据战略发展规划和风险偏好,建立健全相应的风险识别及风险评估机制,通过持续收集可能影响公司经营管理的内外部信息,包括行业和公司内部风险事件、风险敞口和风险指标数据,采用定性与定量分析相结合、系统分析与人工分析相补充的方法,及时识别、系统分析、评估经营活动面临的风险,合理确定风险应对策略。
公司建立了较为完善的“董事会及其风险管理委员会、董事会授权的经营管理层及其下设执行委员会、履行专项风险管理职责的相关部门、业务及职能部门”四层风险管理架构,全面履行风险识别及评估等风险管理职责。履行专项风险管理职责的相关部门包括风险管理部、计划财务部、总裁办公室、董事会办公室,
分别对市场风险、信用风险、操作风险、流动性风险、声誉风险等进行识别与评估;法律合规部主要负责对公司可能面临的法律风险、合规风险及洗钱风险进行识别、评估、控制和报告。公司职能部门及业务部门(含分支机构)负责全面识别、评估、应对及报告与其相关的各类风险,并针对主要风险点和风险性质,制订并执行统一的业务流程、操作规范和风险控制措施,对本部门风险进行一线管控。
2. 风险识别及评估措施
公司根据内外部环境的变化以及在判断各项业务流程风险点的基础上,对所面临的市场风险、信用风险、操作风险、流动性风险、声誉风险等进行持续识别。公司通过日常风险监控、压力测试等方式,广泛、持续不断地收集相关信息并识别与实现控制目标有关的风险;通过在各业务部门和主要职能部门设立业务风险管理岗,完善业务风险监控和报告机制;通过在新业务开展之前进行净资本敏感性分析,指导业务部门合理确定业务规模,在风险可控的范围内开展业务。在信用风险管理方面,公司构建了信用风险总量额度管理,强化了事前准入审批评估和限额、舆情监控,加强风险排查、处置及督导,促进风险的事前防控和及时清理化解。
2021年度,公司从制度机制、系统建设等方面持续完善风险识别及评估机制,制定了《内部信用评级和授信管理办法》《同一客户同一业务风险管理细则》等制度,修订了《风险限额管理办法》等;并完成了内部评级系统的一期建设,持续对操作风险管理系统、净资本和流动性风控指标监控系统等优化升级。
(三) 主要业务的控制措施
1. 固定收益业务控制
债券交易业务管理方面,公司制定了《固定收益部债券交易业务管理办法》,明确交易流程及各项风险管理措施。债券交易业务统一归集在债券业务综合管理系统中开展,实现对交易要素录入、业务审批、合规审核、风险监测管理等关键节点的电子化留痕,规范管理要求,防范操作风险。
债券承销销售业务管理方面,公司制定了《固定收益部债券承销销售业务管理办法》,明确了债券承销团参团审批权限、承销销售业务流程,并对债券承销销售业务中可能出现的市场风险、操作风险、信用风险、流动性风险等各类风险制定了相应的控制措施。
做市业务管理方面,公司制定了《全国银行间债券市场做市业务管理办法》和《全国银行间债券市场做市业务操作规程》,明确了做市业务相关人员的工作职责、做市业务操作规范及做市业务风险控制措施。公司严格按照中国人民银行和中国外汇交易中心的相关规定开展做市业务,积极履行做市商义务,为市场提供优质报价,提高市场流动性。在信用风险控制方面,公司建立了债券内部评级体系和债券库,对债券逆回购交易、债券借贷融出交易和债券远期交易实行交易对手方白名单和额度管理制度,对相关债券进行信用分析和跟踪评价。
风险控制与监控部门内分工方面,公司对所有敞口投资品种均设定相应的止盈止损目标,由固定收益相关部门负责对其所有投资品种进行全程跟踪与监控,并对所有持仓头寸进行全面监控和协调,以提高对业务风险的全面控制力。
在异常交易管理方面,公司通过债券业务综合管理系统对价格偏离度进行实时监测,并按照《证券基金经营机构债券投资交易业务内控指引》及中国外汇交易中心、中央国债登记结算有限责任公司的相关规定进行备案。
2. 资产管理业务控制
在产品开发方面,公司制定了《资管产品开发审批管理办法》《资产管理产品审核组议事规则》,规范资产管理业务产品的开发及审批工作。
在产品销售管理方面,公司制定了《资产管理业务营销宣传行为管理实施细则》《资产管理业务投资者适当性管理办法》《资产管理业务销售机构管理实施细则》,规定私募资管业务不得公开宣传、不得虚假宣传、销售误导,销售中应向投资者明确揭示风险,确保销售行为规范合规;需合理评估投资者风险承受能力,禁止向投资者销售风险等级高于其风险承受能力的产品;明确销售机构准入及持续管理标准和程序,规范销售机构销售行为。
在产品投资风险控制方面,公司制定了投资授权管理、股票库和债券库管理、交易对手管理、资产管理业务关联交易管理、资产管理业务异常交易管理等规章制度,规范投资授权管理体系,明确标准品资产入库流程、投资额度、投资流程,关联交易及异常交易等管理要求,合理控制投资风险。
在系统建设方面,公司根据监管规定和业务需求,进一步优化投资交易系统风险管理功能,优化股票打新管理系统(帕拉丁)、资产管理业务适当性管理系统。
3. 证券经纪业务控制
公司设经纪业务发展委员会,统筹管理经纪业务相关工作。经纪业务发展委员会在公司授权范围内,承担拟定业务线经营目标及策略、拟定分支机构基本管理制度、审议重要管理办法及实施细则等工作职责,并通过组织定期例会或不定期专题讨论会,对重大事项进行讨论及决策。
制度建设方面,2021年公司根据北京证券交易所设立及业务开展情况,制定了《第一创业证券股份有限公司北京证券交易所投资者适当性管理细则》,进一步完善了投资者适当性管理要求,同时修订了分支机构柜台业务相关规定。目前公司经纪业务制度覆盖分支机构网点建设和管理、投资者适当性管理、分支机构绩效考核管理、分支机构员工执业行为管理、客户账户和交易管理、客户服务等方面,总部及分支机构严格落实公司制度要求,通过不断完善制度体系,提高业务管理和分支机构运作的规范性,保障证券经纪业务安全稳健运行。
投资者适当性管理方面,根据外部监管要求及业务变化,公司及时更新、优化适当性管理要求,完善相关系统流程,并及时向分支机构传达和指导。2021年度,公司重点对北京证券交易所业务的适当性管理要求进行明确和落实。
在合规监测及风险监控方面,公司通过集中风险监控系统监控员工投资行为、客户异常交易行为、重点监控账户、营销人员执业行为等,并对发现的异常情况及时跟进,对违规行为及时处置,防范各类风险。
分支机构管理方面,公司通过完善合规风控管理制度和流程、加强分支机构合规培训宣导和现场检查等措施,调动分支机构开展自我管理和合规约束;按照证券公司内部控制制度规定和分支机构标准化服务规程,定期梳理分支机构营销展业、投顾业务、销售金融产品、客户账户和交易管理、业务运营、组织运营和行政综合等方面的风险点,不断完善风险管控措施,并持续完善分支机构日常管理工作标准及流程,不断提升分支机构内部控制管理水平。
4. 投资银行业务控制
公司的投资银行业务主要由全资子公司第一创业证券承销保荐有限责任公司(以下简称“一创投行”)经营。
4.1 股票与公司债券(不含中小企业私募债券)承销保荐业务
项目开发与评审方面,一创投行设业务开发委员会,依据公司的总体发展战略,根据市场状况、政策及公司标准,对于需要审批的项目进行综合评估,并确定客户服务及项目执行的资源配置。
项目质量管理方面,一创投行设质量控制部门,作为项目监督执行委员会日常运作的执行机构,通过对投行业务实施贯穿全流程、各环节的动态跟踪和管理,履行对投资银行类项目质量把关和事中风险管理等职能。此外,一创投行同时设立常设和非常设内核机构作为项目的内控机构之一,主要负责对拟向相关监管机构报送的项目申报材料进行全面审核,履行对投资银行业务的内核审议决策职责;设项目监督执行委员会为投资银行业务日常运作的技术咨询机构,主要负责对投资银行部项目的执行过程实施全面的技术咨询支持与质量监督,并就发现的重大问题向内核团队提请关注。制度及机制建设方面,一创投行建立了涵盖项目承揽立项、尽职调查、改制辅导、文件制作、内部审核、发行上市、存续期管理、考核问责等方面的制度;通过建立证券发行中的定价和配售等关键环节的决策机制,完善承销风险评估与处理机制;通过事先评估、在承销协议中明确保护机制、完善资本承诺委员会决策流程和机制等措施,控制包销风险。一创投行根据投资银行业务不同类型,制定了业务执行流程核对表,使投资银行业务规范化和标准化,保障业务的顺利、有序完成。
对于存续期项目管理,一创投行通过建立《投资银行类业务重大风险项目关注池管理指引》,明确入池标准、程序、关注池管理、入池项目相关人员的惩戒措施,对进入重大风险项目关注池内的项目进行动态管理,防范项目重大风险。一创投行制定了风险排查方案,开展了存续期项目风险排查工作,及时发现潜在风险并制定完善措施。
信息技术方面,根据中国证券业协会发布的《证券公司投资银行类业务工作底稿电子化管理系统建设指引》《证券公司投资银行类业务工作底稿数据接口规范》的要求,一创投行完善了底稿系统电子化的相关规章制度,并根据上述指引与规范的要求逐步完善系统功能。根据中国证监会《关于做好新机构监管系统数据报送工作的通知》,一创投行完成中央监管-证券经营机构接口数据报送系统建设。此外,一创投行建设了智能尽调平台,提高投行人员尽调效率,辅助投行人员高效纠正文档中错误信息,提高申报文件质量。
员工管理方面,一创投行不定期组织与投行业务有关的制度指引、案例分享等专业培训,同时在公司内部及时通报新颁布的政策法规,督促员工及时学习、贯彻政策法规。
利益冲突管理方面,公司与一创投行在人员、机构、财务、资产、经营管理、业务运作等方面严格分离,一创投行独立经营、独立核算,不存在股东非法干预经营管理活动的情形。
4.2 资产证券化业务
公司及一创投行建立健全资产证券化业务制度和流程,建立了包括《资产证券化项目尽职调查指引》《资产证券化业务立项准入指引》《资产证券化业务立项委员会议事规则》《资产证券化业务内核工作规则》《资产证券化业务问核工作指引》《资产证券化业务质量控制工作指引》《资产证券化业务投后管理工作指引》《资产证券化业务存续期信用风险管理办法》《投资银行类业务重大风险项目关注池管理指引》《资产证券化业务工作底稿和档案管理工作细则》《资产证券化业务最低报价标准》等制度与流程,覆盖立项、质控、问核、内核、存续期管理等核心业务环节。
公司及一创投行成立资产证券化业务立项委员会、资产证券化业务内核委员会,对立项、内核等重要事项进行集体决策,控制业务风险。
4.3 股转系统推荐业务
一创投行全面梳理和完善了投资银行类业务制度体系,覆盖股转系统推荐业务的全业务流程和产品生命周期,在项目开发与评审、利益冲突审查、项目质量管理、制度及机制建设、存续期项目管理等方面全面纳入一创投行内部控制体系,进一步规范业务标准和提高业务质量,控制业务风险。
5. 信用类业务控制
公司建立了“董事会-总裁办公会及信用业务决策委员会-信用支持部-分支机构或项目发起部门”四级管理机制,对信用类业务实行总部集中管理、集中授信、分级审批、独立运行的业务模式。
公司通过信用类业务交易系统、独立的风险监控系统,实现业务监控、信用账户分类管理、自动预警等功能;建立了实时监控及平仓机制,信用支持部负责对客户账户进行实时监控,逐日盯市,发出追加担保物/质押物指令或强制平仓指令,风险管理部从公司层面独立对业务规模、集中度、异常交易等方面进行监控;建立了信用类业务突发事件应急预案,防控突发风险事件。
融资融券业务方面,公司严格管理融资融券标的证券和可充抵保证金证券,积极防范风险;通过投资者适当性管理、征信、授信审批流程、日常交易监控等,
充分实施信用业务管理措施,合理控制信用风险;不定期对高风险标的证券及可冲抵保证金证券进行排查,及时对其进行调整。2021年根据实际业务发展需求,将风险警示股票、基础设施基金等板块纳入可冲抵保证金证券范围,按要求制定相关业务适当性管理资料。同时修订了《融资融券业务适当性管理办法》等三项制度;更新了融资融券业务资料,优化了开户流程。
股票质押式回购交易业务方面,公司结合监管要求及实际情况调整单个客户的风险敞口、控制单个客户的质押集中度、单只标的证券的集中度等,分散风险;严格审核股票质押标的证券、质押率、融资主体资信情况等,通过尽职调查、质押审批程序、日常交易监控、贷后跟踪等措施,在满足投资者合理融资需求的同时,积极防范投资者的信用风险。2021年按照监管新规要求从融入方、融出方、标的证券、融入资金用途及还款来源、业务持续管理和证券公司内部控制六个方面修订了《股票质押业务回购交易业务管理办法》等四项制度,满足了监管的要求,为业务发展提供了保障。
债券质押式回购交易业务方面,公司对重点客户制定个性化的风险管理方案,每日监控回购融资客户账户变动情况,利用风险管理系统中的业务监控模块,监控标准券使用率、负债率、信用债入库集中度占比、隔日标准券使用率、回购放大倍数等指标,及时识别风险,精准盯市;同时,公司积极完善、更新交易系统,实现了入库质押标的券、信用债入库集中度、回购融资额度等相关前端交易控制,从源头把控风险。2021年根据最新监管要求修订了《债券质押式回购业务管理办法》,按要求整改存量账户,协助新债券系统上线相关工作,债券质押式回购业务平稳运营。
6. 证券自营业务控制
组织架构方面,公司建立了“董事会―投资决策执行委员会―证券自营业务部门”三级投资管理机制,董事会主要确定证券自营业务规模、可承受的风险限额等,投资决策执行委员会确定投资策略、资产配置、投资品种等,证券自营业务部门根据董事会和投资决策执行委员会做出的决策与授权,制定投资计划,选择投资品种。
独立性方面,公司建立了独立的交易系统,使用专用席位,确保证券自营业务与其他经营业务相互分离。
信息隔离方面,公司建立了信息隔离及跨墙工作机制并执行,自营部门员工
分工明确,与资产管理、研究等业务相互独立。
7. 研究业务控制
业务管理方面,公司根据监管要求,对研究员持续进行合规培训,加强研究人员的合规意识;规范研究报告的编写与发布要求,强化对研究报告的质量控制。信息隔离方面,公司通过建立执业回避、信息披露和隔离墙等制度,防止内幕交易和利益冲突;明确禁止未经授权的研究信息传递到公司其他业务部门,在研究报告正式发布前,不得向外部客户和公司其他业务部门提前透露报告内容。
报告发布方面,公司通过落实内部的研究报告审核体系,对于不同类型的研究报告设置了不同的质量审核和合规审核流程,保障研究报告的质量与合规性。2021年度,公司对研究所相关制度进行全面修订,包括《第一创业证券股份有限公司发布证券研究报告业务管理制度》《第一创业证券股份有限公司研究所研究成果数量考核实施细则》《第一创业证券股份有限公司研究业务社会化媒体应用管理细则》和针对新增的投资价值研究报告撰写业务的制度《第一创业证券股份有限公司投资价值研究报告管理细则》。
对外交流管理方面,公司对研究员参与媒体节目进行集中管理和风险控制,向公众提供证券投资咨询服务人员具备证券投资分析师咨询资格,相关活动符合监管要求的报备手续。
8. 期货经纪业务控制
公司的期货经纪业务由全资子公司第一创业期货有限责任公司(以下简称“一创期货”)经营。
一创期货构建较为全面的内部控制机制,涵盖公司治理、财务管理、结算管理、风险控制、保证金安全存管、反洗钱管理、信息披露等方面。
法人治理方面,一创期货股东、董事会、监事均按照公司章程的规定履行职责,一创期货与股东在人员、财务、资产、业务、场所等方面严格分开,独立经营、独立核算,不存在股东非法干预公司经营管理活动的情形。
客户保证金管理方面,一创期货严格按照《客户保证金安全存管制度》,将客户保证金全额存入结算银行,与一创期货自有资金分户存入,封闭管理。
净资本风险监控方面,一创期货建立与风险监管指标相适应的动态风险监控和净资本补充机制,并在业务开展的过程中严格遵守;开展各项重大业务前均对风险监管指标进行敏感性测试,并保证业务开展期间持续符合净资本监管指标要
求。客户交易风险管理方面,一创期货通过客户交易风险监控系统,对交易风险进行统一监管,风险监控人员对客户进行风险提示、追加保证金及强行平仓通知等客户沟通工作。2021年度,一创期货根据业务发展和监管要求,修订了包括《第一创业期货有限责任公司反洗钱保密制度》《第一创业期货有限责任公司结算管理制度》《第一创业期货有限责任公司反洗钱内部控制制度》等十余项制度,新颁布《第一创业期货有限责任公司对外捐赠管理制度》《第一创业期货有限责任公司资管业务从业人员证券投资行为管理办法》《第一创业期货有限责任公司洗钱风险事项应急管理办法》,持续完善内部控制制度体系。
9. 私募股权投资基金业务控制
公司的私募股权投资基金业务由全资子公司第一创业投资管理有限公司(以下简称“一创投资”)经营。
制度建设方面,一创投资建立了内部控制制度、风险管理制度及一系列业务管理制度和流程,涵盖投资决策、风险控制、法律合规以及业务监督。2021年度,一创投资制定或修订5项制度,包括公司层面管理制度及业务实施细则等,制度体系得到持续完善,保障业务规范、有序开展。
投资决策方面,一创投资明确投资需遵循法律法规的要求,符合公司中长期发展规划和战略布局。一创投资设执行委员会,为其贯彻、落实董事会确定的路线和方针而设立的最高经营管理机构。投资决策委员会为执行委员会授权下的投资业务决策组织,负责一创投资管理基金对外股权投资项目的最终决策。项目内审委员会为执行委员会授权的项目评审机构。一创投资明确投资决策体系的议事规则,明确投资业务运作流程规范要求,提高决策效率,防控投资风险。
利益冲突管理方面,除法律法规允许的情形外,一创投资与公司及公司其他子公司在人员、机构、财务、资产、经营管理、业务运作、办公场所等方面相互独立,满足隔离要求。一创投资按照相关法律法规和监管规定制定了《内幕交易防控制度》《利益冲突防范制度》,对一创投资、公司及公司其他子公司进行信息隔离和利益冲突管理。
10. 基金业务控制
公司的基金业务由控股子公司创金合信基金管理有限公司(以下简称“创金
合信”)经营。
组织架构方面,创金合信董事会及下设专门委员会、总经理及风险控制办公会、合规与风险管理部、各业务部门构成了公司风险管理体系。在产品或业务评审方面,创金合信在风险控制办公会下设置了公募基金产品评审小组、私募和投顾业务评审小组,两个小组分别由财务核算、风险控制、法律合规、清算运营、信息技术等领域专业人员组成,并通过现场会议、非现场会议等形式,对产品新设或变更进行分析、论证与评估。会议决议实行一人一票的表决方式,议事规则明确决议需由评审小组成员(或者授权人员)的三分之二以上(含)同意方可通过。交易管理方面,创金合信采用集中交易管理,即投资决策过程和决策执行过程分开,对于场内场外证券买卖活动必须通过交易部集中交易室统一分配、集中交易完成,交易部在实际工作中完善交易记录制度,落实交易风险控制措施,提高对重要业务关键风险点的控制。
信息隔离方面,创金合信严格遵循基金公司内部控制和信息隔离墙机制,将公募业务、私募资产管理业务以及投顾业务的投资管理人员相分离(按照法律法规、监管政策要求,履行适当程序后由公募业务基金经理兼任私募业务投资经理的情形除外),通过严格的系统权限分配,对公募、专户以及投顾等业务所涉及的账户、资金、证券等分开管理,杜绝混合操作,对不同投资组合(包括公募、专户以及投顾)的异常交易行为进行监控和事后分析,通过投资系统前端控制,严格禁止不同投资组合间的对手交易。
合规管理方面,创金合信切实履行合规管理要求,包括评审公司业务、产品,对合同、宣传材料等法律文件进行合规审核;开展公司重要业务的尽职调查工作,对项目存在的风险进行评估分析;设计及评估公司重要项目的产品交易结构、对重要商务条款进行讨论及谈判等。
在风险管控工作落实方面,创金合信建立了全面风险管理体系方案,并逐步将风险管理体系覆盖至各业务和职能条线,包括研究、投资决策、交易、市场、产品设计、运营、IT系统及权限、客户等环节。
11. 另类投资业务控制
公司的另类投资业务由全资子公司深圳第一创业创新资本管理有限公司(以下简称“创新资本”)经营。
尽职调查方面,创新资本要求项目组开展尽职调查,并就可行性、合法性、风险评估、有无关联方交易等方面的情况出具尽职调查报告;尽调报告需经过项目组负责人、投资负责人进行审核。
立项审核方面,创新资本通过制定《投资管理制度》,明确该公司投资的最高决策机构是其董事会,并对项目尽调、审议、表决等事项进行了规定。
关联交易管理方面,创新资本通过设置有关流程,在投资建议书、投资协议的审核中设置节点对关联交易进行审查。
(四) 重要职能的控制措施
1. 财务管理
公司建立了较为完善的财务管理制度体系,通过施行涵盖资金管理、资产营运、费用管理、风险控制、信息披露等方面的一系列财务管理制度,规范日常财务管理工作。
管理体系建立方面,公司通过全面预算管理体系,实行战略预算管理和动态资产负债管理,提高了管理效率;对费用开支实施预算控制,并严格执行费用支出的审批程序。公司注重对表外项目(如担保、抵押、未决诉讼、赔偿责任等)的风险管理,对或有事项进行严密监控;公司通过流动性风险管理系统动态监控流动性风险指标,及时发现、分析流动性风险并做好流动性风险应对措施,保障流动性风险指标持续符合监管要求。
资金管理方面,公司自有资金与客户资金严格分户管理。对于自有资金,公司严格执行自有资金调拨及相关业务权限管理与审批流程的规定。
分支机构管理方面,公司成立财务共享中心,对分支机构的财务、会计及资金收支进行集中管理;建立严格的成本控制和业绩考核制度,并通过定期对分支机构进行财务合规宣讲,加强事前事中管理,保障分支机构财务工作合规开展。
2. 运营管理
客户资金的管理和使用方面,公司严格按照相关规定将客户交易结算资金全额存放于客户交易结算资金专用存款账户和结算备付金账户,并与公司自有资金分离管理。
资金划付与交收方面,公司明确了相关管理制度和审批流程,以及时、准确完成各存管银行客户交易结算资金专用存款账户与登记结算公司及场外交收主体之间清算交收的资金划付。公司通过升级资金结算系统,持续优化资金交收管理
工作,降低操作风险。账户管理方面,公司严格将证券经纪、固定收益、资产管理、投资银行、证券自营业务证券账户相互分开管理,信息予以隔离;对于业务发生的投资明细清算等信息,督促员工按照授权和岗位职责开展工作,要求清算人员严格保密。在参数管理方面,公司制定了各业务系统参数设置操作流程,及时、准确、完整地完成各业务系统参数设置工作,及时做好参数设置跟踪表和参数设置日志的登记工作,确保公司各项业务的顺利开展。为降低运营管理相关风险事件发生概率,保障运营管理工作有序、规范开展,公司在运营管理方面建立了风险损失数据库和风险监控系统,对风险案例实行多维度管理,通过大数据原理对操作风险进行了分析和判断,对风险案例进行总结汇报;构建基于运营质量管理体系PDCA的风险闭环管理体系,不断丰富和完善现有应急安全管理体系;加强金融科技应用,采取多种技术管控手段,全面提升内部控制的自动化、智能化水平。
3. 信息技术管理
规范建立健全方面。公司根据监管机构信息技术治理工作的要求,遵循安全性、实用性、可操作性原则,完善并施行一系列信息系统的管理规章、操作流程、岗位手册、事故认定和风险应对制度,涵盖IT治理与IT规划、组织与人员管理、信息资产管理、网络通信管理、软件开发与项目管理、分支机构IT管理等重要方面,全面规范了公司信息技术各类管理要求。
数据管理方面。在治理层面,构建了公司数据治理持续运营机制,保障数据治理工作常态化有效开展;设定公司数据治理工作绩效考核指标,并将数据治理绩效考核纳入公司组织绩效考核;强化数据管理能力,建立完善的主要系统元数据信息并将已有数据标准项认责确责;通过各部门数据质量问题调研及问题处理,丰富和完善数据质量检核体系;建立完善的数据管理制度体系,为各项数据治理工作提供制度保障;构建公司数据治理文化体系,通过电子宣传期刊及定期培训考试提升相关人员数据治理理念。在数据安全层面,公司建立了数据中心及数据库审计系统,根据数据分类分级管理办法对经营及客户数据按照重要性和敏感性进行差异化管理,部署数据脱敏系统和文件摆渡系统对生产数据外发进行统一管控。同时员工终端涉及到敏感数据访问严格执行内外网隔离,内网终端禁用U盘等文件交互的外设功能,外网终端通过部署数据防泄漏DLP软件对敏感文件的外发进
行记录存档。每月安排两家外部服务商轮流对信息系统进行安全扫描和渗透测试,及时发现并整改系统漏洞风险,部署非法入侵检测等安全保障措施,保护经营数据和客户信息安全,防范信息泄露与损毁。同时,严格遵守相关法律法规及数据存储规定,限制重要信息系统在云端部署,严禁重要数据在境外存储。系统及网络安全方面。公司配备安全管理人员负责计算机病毒防范、补丁更新工作,定期进行更新及修复工作;公司不同网段严格隔离,所有文件交互都需要经过文件交换系统进行异构杀毒软件的查杀,同时部署了数据防泄漏系统,对于敏感信息进行记录,以满足审计的需求。在系统生命周期安全管理方面。公司已初步形成系统在需求(开展安全架构评审)、设计(开展安全部署评审)、开发(开展源代码安全测试)、上线(开展安全评估、漏洞扫描、渗透测试)、运维(开展安全监控、漏洞扫描、渗透测试、应急演练)等环节安全评审和控制,确保信息系统生命周期得到安全管控。
网络安全事件应急处理方面。公司制定并施行《第一创业证券股份有限公司证券交易应急处置管理办法》《第一创业证券应急处置预案(信息技术中心)》及相关各条线应急预案,明确事件处理流程,对于不同级别的事件分级别通报,成立应急小组及时对突发事件进行快速有效处置。公司实施了自动化运维管理系统项目,实现证券交易开闭市自动化操作,有效规避人为风险;将事件管理,问题管理、知识库等功能与OA结合,建立相应流程,持续完善IT工作的规范化、流程化。
4. 人力资源管理
公司梳理明确子公司人力资源授权,并优化更新MD职级、员工试用期管理、员工绩效管理、培训管理相关制度。同时,加大线上培训系统、内容、运营、组织的投入,通过职业化提升、风险合规、党建、专业技能的培训,提升公司员工的风险合规意识、职业素养、专业能力。
2021年公司更新了《第一创业证券股份有限公司培训管理办法》和《第一创业证券股份有限公司员工绩效管理办法》。公司通过建立并持续完善人力资源管理系列制度,明确对员工职业道德规范的要求,规范员工行为,为员工诚信敬业,合规执业,防范道德风险,构建健康和谐的劳动关系提供了制度保障。
在分支机构人力资源管理方面,公司组织开展分支机构人力资源管理赋能项目,通过自主开发系列课程,帮助分支机构涉及人力资源管理的人员强化专业知
识、提升管理能力。另外,公司持续开展年度分支机构人力资源管理工作检查,通过分支机构自查与总部人力资源部抽查的方式,及时检视发现问题,并督促分支机构后续整改,保障分支机构人力资源管理工作合规有序进行。
5. 合规管理
制度建立健全方面,公司颁布了经董事会审议的《合规管理办法》,该办法作为公司合规管理基本制度,对公司合规管理目标、合规管理组织架构与职责分工,合规管理保障机制等进行了明确规定,公司合规管理有章可循。
合规审查方面,公司法律合规部对公司各职能条线及业务条线的制度、项目方案、协议、新产品、新业务及其他日常经营事项进行合规审查并出具专业、审慎的审查意见,覆盖公司经纪业务、自营业务、资产管理、融资融券、风险管理、信息技术、反洗钱、公司治理、中后台职能部门管理等方面,保障公司日常业务、管理事项及各项重大决策的合规性。
合规咨询方面,公司法律合规部严格依照法律法规、监管规定及自律规则的要求,通过书面、口头、即时通讯工具等各种形式为公司各职能条线及业务条线提供专业、及时、全面的合规咨询意见,主要涉及产品流动性管理、关联交易管理、债券投资交易管理、经纪业务、资产管理业务、融资融券业务、异常交易处理、子公司投资项目管理、信息技术规范运作、私募基金服务业务、风险事件处理等,同时及时发布合规工作提示,宣导合规政策,传递合规要求。
合规检查方面,2021年度,公司法律合规部采用现场和非现场相结合的检查方式,对总部部门、子公司和分支机构开展专项合规、反洗钱和适当性相关检查,涉及另类投资业务、投资者适当性管理、分支机构业务开展与经营管理、反洗钱等领域,对于合规检查发现的问题,督促整改;对于分支机构存在的共性问题,安排全体分支机构进行自查、检查,及时查漏补缺,完善内控机制,防范新的风险情况;通过自查、检查、整改、提升,形成合规检查的常规工作机制及流程。
合规人员管理方面,公司法律合规部持续监督各业务部门、分支机构落实专职或兼职合规管理人员配备要求,督导合规管理人员切实发挥合规管理职责;完善分支机构合规管理人员的管理机制,细化其岗位职责,完善分级授权、逐级管理的工作机制,切实发挥分支机构合规管理人员的履职作用,增强对分支机构合规管理的覆盖力度。
6. 控股子公司的管理与控制
为强化对控股子公司的支持与管理,促进控股子公司规范运作,公司制定了《子公司管理办法》《全面稽核管理办法》,密切关注控股子公司的业务经营与内部控制情况,定期收集业务与财务数据,分析经营管理中存在的问题;根据子公司特有的业务风险,通过合法方式督促其健全和完善相关内控和风险管理制度,制定有效的内部控制措施,并依法监督控股子公司的各项制度及控制措施的执行情况。
7. 对外投资活动的内部控制
公司对外投资的内部控制遵循稳健投资原则,合理配置公司资源,控制投资风险,注重投资效益。为促进公司的规范运作和健康发展,规避经营风险,明确公司重大投资、财务决策的批准权限与批准程序,公司在《公司章程》《股东大会议事规则》《董事会议事规则》《对外投资管理制度》中就公司对外投资事项对股东大会、董事会、经营管理层的决定权限进行了明确的规定。
8. 对外融资活动的内部控制
《公司章程》规定,公司股权融资和债权融资的决议和方案需经公司董事会、股东大会审议。在公司资金拆借的控制方面,董事会每年定期对总裁的对外资金拆借额度做出授权决议,总裁在董事会授权范围内行使权力。公司对自有资金实行集中统一管理,计划财务部是自有资金管理的职能部门,在公司授权范围内负责公司资金拆借、资金存放与调拨以及其他资金运作业务。未经公司授权,公司各部门及分支机构不得擅自从事融资活动。
9. 对重大事项的内部控制
根据《深圳证券交易所上市公司规范运作指引》(2022年1月修订并更名为《深圳证券交易所上市公司自律监管指引第1号—主板上市公司规范运作》),公司进一步加强对募集资金存放与使用、对外担保、关联交易、购买和出售资产、对外投资等重大事项的内部控制。2021年度,公司相关工作符合上市公司运作规范等要求。
(五) 信息沟通与披露
公司在各组织、部门、业务线以及子公司之间建立了明晰的信息沟通、汇报及披露管理机制,保证信息沟通及披露的及时、准确、完整。
1. 信息沟通
公司股东大会、董事会、监事会按照《公司法》和《公司章程》的规定召开
会议,听取公司经营管理、风险管理、合规管理及内部控制等情况,保障各类投诉、可疑事件和内部控制缺陷得到妥善处理。
公司建立了安全、实用、高效的内部办公自动化系统,将授权控制、信息跟踪等功能固化至系统中,提高了内部沟通效率,实现了信息沟通的留痕,并为公司内部控制人员履行其职责提供相关信息。
公司通过会议研究经营管理事项、部署经营管理工作;业务部门、职能部门、分支机构、子公司等负责人通过参加经理办公会议,向经营管理层汇报经营管理中的重要事项。
公司根据深圳证监局的要求建立了定期监管信息沟通机制,定期统一就日常业务中遇到的合规及风险管理事项向监管机构进行咨询和沟通。
2. 信息披露
公司建立健全了信息披露统一管理、分工协作的机制,设立了信息披露专岗,明确规定了信息披露的原则、内容、标准、程序、权限与责任划分、档案管理、保密措施、责任追究与处理措施等。
公司严格按照《上市公司信息披露管理办法》和公司《信息披露事务管理制度》等相关规定,持续完善信息披露工作机制,优化信息披露管理流程,履行相关信息披露义务,规范开展信息披露事务管理工作。公司严格通过指定媒体发布相关信息,2021年合计披露定期报告和临时公告151份,保障所有投资者公平获悉同一信息。
公司持续加强内幕信息管理,严格执行相关法律法规及《内幕信息知情人登记管理制度》,内幕信息知情人员履行登记、报送义务,内幕信息登记管理工作规范开展。
(六) 内部监督与评价
1. 监事会工作情况
公司监事会根据《公司章程》规定,通过召开会议,对公司财务和内部控制以及公司董事会、经营管理层履行职责的合法合规性进行有效监督。监事通过列席公司董事会和相关董事会专门委员会,对公司规范运作、内部控制、信息披露、关联交易等重大事项的决策进行监督。
2. 审计委员会工作情况
公司董事会下设审计委员会,主要负责公司内、外部审计的监督、核查和沟
通工作。报告期内,审计委员会通过召开会议、访谈等方式,认真履行审计监督职责,严格按照工作规程参与会计师事务所对公司的年度审计工作,评估内部控制的有效性,指导和监督内部审计制度的建立和实施。审计委员会定期召开会议,审议公司稽核部提交的工作计划和报告,并及时向董事会报告内部审计工作进度、质量以及发现的重大问题,在加强外部审计与内部审计的沟通与交流、公司内部控制等方面发挥了专业的职能和作用。
3. 稽核部工作情况
公司设独立于公司各业务部门和职能部门的稽核部,以风险为导向,按照各项外部监管规定和内部稽核制度的规定开展内部审计工作,针对特殊情况或重大问题,根据需要开展专项审计,并对审计发现的问题进行整改跟踪,确保内部控制机制持续、有效运行。
2021年度,公司稽核部组织开展了6个风险导向类项目,13个总部离任稽核项目,18个分支机构稽核项目以及21个监管要求的审计评估类项目;除上述日常工作外,稽核部完善更新了智慧审计系统和有关制度,并加强内审监督力度,全年开展了多项调查处分问责、出具多份管理建议书及稽核提示函。
公司经营管理层高度重视内部控制各职能部门的报告及建议,对于发现的问题,及时采取有效措施进行纠偏,不断提高业务和管理控制措施的规范性和有效性,持续提高公司内部控制管理水平。
董事长(已经董事会授权):刘学民
第一创业证券股份有限公司二〇二二年三月二十九日