山西证券:中信建投证券股份有限公司关于公司《2017年度内部控制自我评价报告》的核查意见2018-04-03
中信建投证券股份有限公司关于山西证券股份有限公司
《2017年度内部控制自我评价报告》的核查意见
中信建投证券股份有限公司(以下简称“中信建投证券”)作为山西证券股
份有限公司(以下简称“山西证券”或“公司”)非公开发行股票并上市的保荐
机构,根据《证券发行上市保荐业务管理办法》、《深圳证券交易所中小企业板
上市公司规范运作指引》等有关法律法规的要求,履行对山西证券的持续督导职
责,对山西证券《2017 年度内部控制自我评价报告》进行了核查,并出具本核
查意见(以下简称“本意见”或“本核查意见”)。
一、山西证券内部控制的基本情况
(一)内部控制评价范围
公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风
险领域。内部控制评价的范围贯彻全面性和重要性原则,包括内部控制的设计和
运行,围绕内部控制环境、风险评估、控制活动、信息与沟通、内部监督对内部
控制进行全面评价。
1、纳入评价范围的主要单位包括:母公司及 4 家控股或全资子公司----中德
证券有限责任公司、龙华启富投资有限责任公司、格林大华期货有限公司、山证
国际金融控股有限公司,纳入评价范围的单位资产总额占公司合并报表资产总额
的 99%,营业收入合计占公司合并财务报表总额的 99%。上述纳入评价范围的
单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面,不存在重大
遗漏。
2、纳入评价范围的主要业务和事项包括:母公司包括组织架构、战略及经营
管理、人力资源、财务管理、法律合规管理、风险管理、稽核审计、行政管理、
柜台交易、经纪业务、资产管理、自营业务、信用交易、场外业务、财务顾问、
投资咨询、信息系统管理、投行业务、公募基金业务、机构业务、衍生品经纪业
务;子公司包括投资银行、直投业务、期货业务、国际业务。
(1)组织架构
1
� 公司根据《公司法》、《证券法》、《证券公司治理准则(试行)》、《上
市公司治理准则》、《证券公司监督管理条例》等法律法规的规定,建立了由股
东大会、董事会、监事会和经营管理层组成的公司治理结构,形成了权力机构、
决策机构、监督机构和管理层之间权责明确、运作规范的相互协调和相互制衡的
治理机制。股东大会是公司的最高权力机构;董事会是公司的常设决策机构,对
股东大会负责;监事会是公司的内部监督机构,对公司财务以及公司董事、高级
管理人员履行职责的合法合规性进行监督,对股东大会负责;经理层由董事会聘
任,组织公司的日常经营管理工作。
公司董事会下设战略发展委员会、风险管理委员会、审计委员会及薪酬、考
核与提名委员会等四个专门委员会,负责各自职责范围内的重大决策。战略发展
委员会主要负责对公司中长期发展规划、发展战略、重大投资融资方案进行审查
并提出建议等;风险管理委员会负责对公司的总体风险管理进行监督,并将风险
控制在合理范围内,组织评估公司新产品、新业务中所包含的市场风险,审核相
应的风险管理程序等,以确保公司能够对与公司经营活动相关联的各种风险实施
有效管理;审计委员会主要负责提议聘请或更换外部审计机构、监督公司的内部
审计制度及其实施、审查公司的内控制度等;薪酬、考核与提名委员会主要负责
制定适合市场环境变化的绩效评价体系、具备竞争优势的薪酬方案以及与经营业
绩相关联的奖惩激励措施,制定、研究公司董事及高级管理人员的选择标准和程
序,对公司董事候选人及高级管理人员人选进行审查等。各专门委员会对董事会
负责,向董事会报告工作。其中,审计委员会及薪酬、考核与提名委员会组成中,
独立董事均占 2/3,由独立董事担任主任委员,且审计委员会主任委员由会计专
业的独立董事担任。
(2)战略及经营管理
公司根据《公司法》、《证券法》等相关法律法规、规范性文件和《山西证
券股份有限公司章程》的规定,在董事会下设战略发展委员会,并制定《山西证
券有限公司董事会战略发展委员会实施细则》;该细则明确了人员组成、职责权
限、决策程序以及议事规则等事项。战略发展委员会下设专门工作机构。专门工
作机构与公司研究机构合署办公。负责做好委员会决策的前期准备和服务工作,
2
�包括收集提供相关资料、制作相关议题的研究报告、初审相关议题和起草委员会
议案等。
(3)人力资源政策
公司建立了较为完善的人力资源管理制度,包括聘用、培训、考核、晋升、
薪酬等,为公司人力资源管理和各项业务的正常开展提供了制度保障。
为进一步促进人力资源管理工作的规范化和前沿化,满足公司业务管理与发
展的需求,公司于 2017 年 3 月 1 日正式上线用友 NC6.33 人力资源管理系统。
模块包含人事管理、薪酬管理、社保福利、时间管理等。薪酬发放由人力资源部
统一承接。在管理统一化、数据电子化、流程高效化、数据精准化、管理职能转
化 5 大方面进行了优化,提升了工作效率。如开发薪酬社保申报单据,数据直接
进入发放系统,减少人为录入的错误;社保公积金教案数据直接导入系统,永久
保留;住房公积金缴纳由人力资源部统一管理;解决了市场化团队一线城市代发
工资代缴社保的问题。
公司根据经批准的招聘计划,按照人事制度相关规定安排招聘流程。拟录用
人员通过相关审批流程后办理录用手续,人力资源部门组织签订劳动合同。为持
续提升公司盈利能力和可持续发展能力,组织完成总部、省内分支机构的校园、
社会招聘。通过猎头公司为公司中小企业金融业务部、固定收益部等推荐引进优
秀人才。
公司重视员工持续教育工作,人力资源部采用现场、网络、视频等多种形式
对员工进行不同层级、不同内容的业务培训。
公司重视对董事、监事和高级管理人员的任职资格管理和员工的执业资格管
理,注重培养员工树立合法合规经营理念和全面风险管理优先意识,通过加强员
工的职业道德教育和开展合规培训,防范员工道德风险和违规执业风险。
(4)财务管理
①资金管理
公司对客户资金和自有资金管理实施了严格分离,通过计划财务部不同岗位
3
�的人员独立管理、独立核算,进行规范的证券交易结算资金管理,有效地保护了
投资者资金安全。
②职责分离
公司及其合并子公司根据不同业务流程及财务管理的要求,分别设置相关的
会计核算岗位明确职责权限,确保不存在职责冲突的情况。
③会计核算
公司建立了统一的会计核算和财务管理体系,严格控制财务风险。公司实现
了财务集中化管理,加强了全公司财务管理与监控,建立了科学合理的财务核算
流程,完善了公司财务管理及会计系统内部控制制度,能够在公司本部实现所有
会计核算主体账务的查询、统计工作。
④财务报告
公司及其合并子公司严格遵循法律法规和监管机构关于财务报告编制、会计
政策和会计估计变更、披露政策及报告报送时间等方面的规定和要求,由计划财
务部负责年度财务报告的编制。年度财务报告履行必要的复核和审批程序后,报
送公司董事会审核。经董事会决议书面批准后,年度财务报告方可对外报送。
(5)法律合规管理
公司设立了合规总监和合规部门,对公司及员工的经营管理和执业行为的合
规性进行审查、监督和检查,履行合规监督检查、审查、咨询、教育培训等合规
支持和合规控制职能。通过合规管理信息系统的使用,实现了对主要合规信息的
归集、分析,同时采用内网与外网隔离手段来确保合规管理信息的安全。合规部
门按照《证券公司合规管理试行规定》的相关要求,将履行咨询审查、监督检查、
合规文化建设、反洗钱、信息隔离、处理投诉举报、法律事务等职责情况向监管
局提交公司中期合规报告和年度合规报告。
2017 年度,公司修订了《合规管理制度》、《合规管理工作实施办法》等制
度,进一步对合规咨询、合规审查、合规检查、合规监测、合规培训、合规报告、
监管沟通与配合、信息隔离墙管理、反洗钱等合规管理制度和流程进行了规范,
4
�完善了合规制度体系。
公司制定有《合规手册》,规定了合规管理的组织体系、部门职能、运行机
制、员工职业行为、主要业务操作规范及风险点等内容。公司高层参与了合规文
化的宣导工作,在日常工作中公司员工以《合规手册》指导执业行为,各级管理
层在落实各项合规管理要求、健全合规管理制度、提供合规管理的履职保障等方
面履职到位。
(6)风险管理
根据《证券法》、《证券公司监督管理条例》、《证券公司内部控制指引》、
《证券公司全面风险管理规范》的要求,公司建立健全了与公司自身发展战略相
适应的全面风险管理体系:包括可操作的管理制度、健全的组织架构、可靠的信
息技术系统、量化的风险指标体系、专业的人才队伍、有效的风险应对机制以及
良好的风险管理文化。
董事会是公司风险管理的最高决策机构,董事会下设的风险管理委员会负责
设计公司的风险管理体系;经理层在董事会授权范围内负责公司经营层面的全面
风险管理,执行董事会制定的风险战略,组织落实风险政策,对全面风险管理架
构的建立及有效实施负责;公司设立首席风险官,负责组织、协调、落实全面风
险管理工作。
公司风险管理部门各司其职:
风险管理部在首席风险官的领导下推动公司全面风险管理工作,监测、评估、
报告公司整体风险水平,并为公司业务决策提供风险管理建议,协助、指导和检
查各业务部门的全面风险管理工作。
计划财务部负责建立、健全公司流动性风险管理体系及制度,对流动性风险
实施有效识别、计量、评估、监测和报告,确保公司的流动性需求能够及时以合
理成本得到满足。
董事会办公室负责建立和制定公司声誉风险管理体系及制度,负责对声誉风
险进行识别、评估、监控和报告,协调公司相关部门应对声誉风险事件,最大程度
地减少对公司声誉造成的负面影响。
5
� 合规管理部负责公司法律与合规风险的相关事项;负责风险管理相关的合规
咨询与合规问责;协同各部处理公司因各类风险引发的法律事项。
人力资源部负责完成对各部门与风险管理效果挂钩的绩效考核。
稽核审计部定期对各部门贯彻公司风险政策、落实全面风险管理工作的情况
进行稽核、检查,具体负责对公司全面风险管理的有效性进行评估。
公司在各部门设置监理或风控联络人,监理或风控联络人依据公司制度开展
风险管理工作,对部门业务履行一线的监督、控制工作,并定期向风险管理部报
送风险管理工作报告。公司的全面风险管理覆盖了公司的各项业务、各个部门和
各级员工,并渗透到决策、执行、监督、反馈各个经营环节,贯穿于各项业务过
程和各个操作环节。
(7)稽核审计
2017 年公司稽核审计部根据《2017 年度内部审计工作计划》开展审计工作。
审计范围覆盖了经纪业务、资产管理业务、固定收益业务、公募基金业务等多条
业务线及计划财务部、运营管理部等总部职能管理部门。按时向公司管理层和董
事会审计委员会提交公司内部审计报告及审计工作计划,定期报告工作进度、工
作质量及发现的重要问题(如经纪业务审计存在基础管理、执业资格管理和客户
适当性的问题,总部职能部门和业务部门审计存在授权管理、合同管理、档案管
理及风险管理等方面的问题),稽核审计部对发现的问题及时跟进整改情况;配
合公司信息披露工作,完成季度、半年度及年度募集资金使用情况的核查及公司
拟披露业绩快报的内部审计工作等。
(8)行政管理
公司在行政管理流程中分别对消防、安全保卫、固定资产管理、项目管理、
印章管理、档案管理等内容进行了管理,建有《消防及安全保卫制度》、《实物
资产管理办法》、《项目开发管理办法》、《山西证券股份有限公司档案管理办
法》等制度。公司按制度履行对公司及分支机构的印章、档案的管理,通过定期
盘点实物资产确保账实相符及公司资产的安全,通过招标形式完成大宗设备的采
购管理等。
6
� (9)战略及经营管理
公司从对股东、客户、员工、环境和社会公益四个方面履行其社会责任:
①股东:公司重视利润分配,立足公司长远、可持续发展,兼顾对股东的合
理价值回报,并严格履行决策程序,有效保障广大投资者合法权益。
②员工:公司注重对员工利益的保障。公司与员工签订的《劳动合同》切实
保障员工利益。公司建立了与核心价值观、战略目标、企业文化相匹配的薪酬体
系。公司持续完善考核激励机制、人才选聘机制,不断提升考核工作的全面性、
透明度,为公司人才的有效配置提供保障,增强公司对优秀人才的吸引力;并关
注员工的健康与安全,提供良好的学习环境和工作氛围。
③客户:提升客户服务效率和客户服务品质,关注投资者教育;加强营业
网点及业务资格建设,提升客户服务能力;公司各项业务协同发展,为企业客户
提供综合金融服务。
④环境与社会公益活动:公司注重履行社会责任,深入学习贯彻落实党中
央、山西省委扶贫工作精神,在中国证监会、行业协会的指导下,紧紧围绕“四
个全面”精准扶贫方略,深入聚焦定点扶贫地区的实际需求,更加注重精准落实
落地,更加注重综合分类施策帮扶,凝心聚力攻坚克难、较真过硬考核评估。以
“一司一县”定点帮扶地区为重心,结合扶贫对象的实际情况,认真开展扶贫济
困活动,积极发挥资本市场在扶贫工作中的服务功能和促进作用。“爱国济民”
的晋商精神,已深入山西证券企业文化之中,“天灾无情,山证有义,一方有难,
八方支援”九寨沟的地震灾情,牵动了山证人的心,公司第一时间捐资 20 万元
用于灾后重建,同时通过公益平台,动员员工为灾区筹款。经中国扶贫基金会协
调,此次善款,将为灾区小学筹建五所爱心厨房,为灾区孩子的生活及供给本保
障。为此,山西证券获得中国扶贫基金会颁发的“2017 社会力量参与救灾先进
单位”荣誉称号。
公司形成了“诚信、稳健、规范、创新、高效”的经营宗旨,营造和谐宽松、
风清气正的公司氛围,打造公司与客户共同发展的平台,并通过员工入职培训、
后续合规培训以及员工手册对员工进行企业文化的传播。
7
� (10)经纪业务
为建立和健全证券经纪业务内部控制,防范营运风险,保障证券经纪业务体
系安全稳健运行,公司制定了与证券经纪业务流程相关的规章制度,规范业务流
程,其中对相关部门职能和岗位职责、证券分支机构整体管理、业务流程及操作
规范、反洗钱管理、权限管理、限制性业务管理、差错处理办法、重大或突发事
件预防和处理、客户投诉处理、投资者教育、客户分类及适当性管理、客户回访、
交易安全管理、佣金管理等证券经纪业务各项流程的具体内容进行了明确规定。
公司对分支机构的交易、清算和财务实行集中管理,分支机构实行前后台分
离的控制机制,设有合规联络人,对分支机构进行合规管理,由公司合规管理部
负责考核。公司合规管理部、风险管理部对制度和业务流程进行事前事中的监督,
稽核审计部通过对分支机构负责人的强制离岗及离任审计提出整改意见及管理
建议,督促被稽核单位进行整改。
(11)信用交易
公司设立信用交易管理部负责融资融券业务、约定购回式证券交易业务、股
票质押式回购交易业务和转融通业务,建立了独立的融资融券业务管理系统,与
自营业务、资产管理等业务相对分离、独立决策、独立运作。
公司根据信用交易业务的监管政策及公司的业务开展,适时制定了《山西证
券转融通业务试点实施方案》、《股票质押式回购交易登记结算业务实施细则》、
《股票质押式回购交易操作指引》、《股票质押式回购交易管理办法》、《约定
购回式证券交易操作指引》、《融资融券业务操作指引》、《融资融券业务系统
操作规程》等制度,确保了信用交易业务的顺利开展。
在风险管理方面,信用风险控制主要通过对客户征信和信用额度审批、以及
逐日盯市和及时平仓等实现;流动性风险控制通过融资融券业务规模限制、担保
物的选择、持股集中度监控等加以控制;操作风险通过各项制度与流程的建立与
规范、人员的培训等进行控制。公司在信用交易业务开展过程中,按照外部监管
规定和公司制度,在风险管理、制度流程的执行情况等方面运行良好。
(12)自营业务
8
� 公司秉承规范、稳健的风格从事自营业务,根据国家有关法律法规并结合自
营业务特点,制定一系列与自营业务相关的管理办法和业务操作流程。
公司明确了自营业务的组织架构、授权管理体系、投资决策和执行体系以及
风险控制体系,制定了投资管理、投资操作、证券库构建及维护、风险监控和绩
效评估等各项业务流程规范,建立起规范有效的自营业务内部控制体系。
公司对自营业务的风险控制体系由三个层次组成:分别是风险控制委员会,
负责监督公司各项风险控制制度的执行情况,并通过确定证券自营业务投资规模、
风险限额等指标,实现自营业务风险的可控与可承受;公司风险管理部,负责对
自营业务风险进行事前、事中、事后的全程监控与防范;投资管理部门,通过部
门、岗位设置对各项业务的操作流程和操作结果进行持续控制。
(13)资产管理业务
经 2017 年 7 月公司第三届董事会第二十次会议审议通过,新设上海资产管
理分公司,统一归口管理公司资产管理业务,在公司授权范围内,全面负责公司
资产管理业务经营和管理。下设资产管理(北京)部、资产管理固定收益部(筹)、
资产管理(太原)部、资产管理投资部、资产管理金融市场部、资产管理运营保
障部六个一级部门,主要是进行实体融资类业务、固定收益类业务、资产证券化
业务、私募新三板业务及定向投资等资产管理业务的运作和管理。
资产管理业务制度体系主要包括投资决策、公平交易、会计核算、风险控制、
合规管理、档案管理、账户管理等各项制度,以及集合计划和定向计划产品的业
务操作流程、员工岗位职责等,覆盖了集合计划和定向计划的产品设计、推广、
研究、投资、交易、清算、会计核算、信息披露、客户服务等环节。
在业务管理方面,设立有资产管理业务委员会,负责对资管产品的设立、运
作进行审批并规范;在投资监控方面,公司合规管理部、风险管理部负责对资管
业务的事前事中控制,资产管理部门内部通过岗位设置、合规专人的全程风险监
测实现了对资产管理业务的监控和管理。
(14)中小企业融资业务
公司设立中小企业融资业务部对新三板推荐挂牌、质量控制、以及挂牌后的
9
�定增、并购及督导等业务进行管理,根据相关规章制度、操作流程及作业指导书
进行规范操作。
中小企业融资业务部根据监管部门规定制定有《山西证券股份有限公司推荐
业务管理办法》 、《山西证券股份有限公司推荐业务尽职调查实施办法》、《山
西证券股份有限公司推荐业务工作底稿实施办法》、《山西证券股份有限公司推
荐业务内核委员会工作条例》等制度。
中小企业融资业务的风险监控由质控督导部质量控制岗、立项评审人员、内
核委员会和公司风险管理部共同完成。针对各项业务的风险特点,部门从制度、
项目开发与立项,项目审核与申报和项目档案管理等方面建立了较为完善的内部
控制机制:项目人员将立项申请材料提交立项委员会进行审核;内核委员会负责
对中小企业融资业务所涉及的各个项目主体进行质量评价,对各项业务所涉及的
材料进行核查,审议项目组是否对拟推荐挂牌项目进行了尽职调查等;质量控制
岗在新三板推荐挂牌项目的立项、尽职调查、内核、项目申报及持续督导等阶段,
以及定增及重组等财务顾问项目的立项环节及对挂牌公司发生重大事项时进行
现场检查、项目档案的管理等方面均履行了审核审查职责。
(15)投资咨询
公司建立了证券研究咨询业务管理体系,制定了《山西证券股份有限公司证
券研究业务管理办法》、《山西证券股份有限公司证券研究报告合规审查管理办
法》、《山西证券股份有限公司研究产品质量评价细则》和《山西证券股份有限
公司研究所分析师考核实施细则》等一系列规章制度,随着研究制度的完善,保
障了公司研究业务合规有序开展,研究水平和服务水平进一步得到提高;建立了
有效的信息隔离机制,能够有效防范虚假信息传播、误导投资者、无投资咨询执
业资格执业、利益冲突等风险事件的发生。
公司对研究咨询业务的控制活动包括对研究人员进行资格管理和研究报告
的提交及发送进行管理等,合规管理部利用合规信息系统对研究报告和咨询信息
发布进行隔离墙管理和监控。
(16)柜台交易业务
10
� 公司在柜台交易业务方面,制定了《柜台交易业务管理办法(试行)》、《柜
台交易业务客户服务管理实施细则》、《柜台交易业务投资者适当性管理实施细
则》、《报价系统用户权限管理细则》、《柜台交易业务市场交易规则》等规章
制度,公司对进入柜台交易市场的产品实施严格的准入管理,对上柜产品的申请
与退出、信息披露情况进行管理,保障了柜台交易业务的顺利实施。
(17)公募基金业务
公司在公募基金业务方面制定了《公募基金管理业务基本制度》、《公募基
金投资管理办法》、《公募基金管理业务投资库管理细则》等制度,按照“董事
会-总经理办公会-公募基金管理业务决策委员会-公募基金部门”四个层级的公募
基金管理业务决策与授权体系,对公募基金管理业务进行分级授权、分级管理。
2017 年公募基金部新发行基金产品 1 只,保有产品 4 只,管理资产总规模约为
40 亿,分别为保本混合型、债券型、灵活配置混合型。
公司根据公募基金管理业务特点建立并逐步完善了内部控制体系,合规管理
部、风险管理部、稽核审计部,分别开展合规管理、风险控制、监察稽核等工作,
通过定期或不定期检查内部控制制度的执行情况,确保公募基金管理业务合规运
行。通过对公募基金管理业务的检查与分析,内部控制的设计是合理的,执行是
有效的,能够适应业务管理的要求和业务发展的需要,能够对各业务流程的健康
运行及国家有关法律法规和单位内部规章制度的贯彻执行提供保证。
(18)机构业务
公司在私募基金业务服务方面制定有《基金服务业务管理办法》、《基金服
务业务风险控制实施细则》、《私募基金服务业务客户适当性管理实施细则》、
《代销私募产品实施细则》、《PB 交易系统客户适当性管理实施细则》等制度,
机构业务部负责私募基金业务的管理,并且作为公司资源与外部客户需求的连接
载体,通过业务协同会议等形式,在股权质押业务、融资业务债权收益权转让等
业务方面,实现了公司内部业务与外部资源的对接。
(19)衍生品经纪业务
公司在衍生品经纪业务方面制定了《中间介绍业务管理办法》、《中间介绍
11
�业务联合实施办法》、《股票期权经纪业务管理办法》等制度,衍生品经纪业务
部负责股票期权、量化交易及期货中间介绍业务的整合和管理,遵循以客户为中
心,以客户需求为导向的工作思路,通过了深交所股票期权业务的现场验收工作,
平稳推进上交所股票期权业务及 IB 业务,积极开发推广程序化交易新策略,为
投资者提供优质的衍生品服务。
(20)固定收益业务
公司固定收益业务方面制定有《固定收益业务管理办法》、《固定收益债券
交易管理细则》、《固定收益自营业务操作细则》、《固定收益投资顾问业务管
理细则》和《固定收益业务国债期货交易管理细则》,在年初董事会核定的投资
规模之内开展固定收益自营业务、投顾业务和中间业务,涉及的投资品种包括债
券现货、国债期货、可转债等固定收益类产品,针对信用债的发行人建立了内部
信用评级体系。2017 年部门较好地调整了业务方向,在投资交易方面采用了多
元交易策略,实现了较好的盈利状况,年化收益率均高于市场同类指标。
公司建立了董事会下设的风险管理委员会、总裁办公会下设的风险管理执行
委员会及首席风险官、风险管理部门、固定收益部及其监理和风险联络人的固定
收益业务风险分级控制体系,对固定收益业务进行全面的风险评估、监控与控制。
合规管理部、风险管理部和稽核考核部对固定收益业务合规审查、风险监控和业
务稽核的范围应涵盖固定收益业务开展的全过程,覆盖事前、事中、事后的各个
环节。
(21)贸易金融业务
2017 年贸易金融部成立伊始,陆续推出新业务模式,并逐一上线。先后制
定《山西证券股份有限公司贸易金融业务管理办法》、《山西证券股份有限公司
票据交易业务操作细则》、《山西证券股份有限公司中国票据交易系统管理细则
(试行)》等制度,并报合规管理部审核通过后进行下发,指导业务的全面开展。
贸易金融部年内进行了如下创新业务:指导子公司开展贸易融资业务、票据
交易业务及海亮集团“准银承”业务,其中票据交易及准银承业务的首例首单业
务逐一经过了贸易金融决策委员会、风执委、总裁办公会议得以实施,并报合规
12
�管理部审查项目方案、出席会议由其提出合规建议,及时评估、化解新业务开展
过程中产生的合规性风险。
(22)信息系统管理
公司针对信息技术的安全管理和运行维护,建立了相应的规章制度和控制程
序。其中包括以下制度和流程:信息系统安全管理制度、信息系统变更管理流程、
信息系统日常操作规范、信息系统应急方案、数据库管理流程、信息系统技术事
故应急管理流程、信息中心机房管理流程以及信息中心机房数据备份管理流程等;
其中信息系统变更管理流程、信息系统安全管理制度、数据库管理流程以及机房
管理流程等制度及流程规范了操作系统以及数据库配置需要符合安全配置原则;
信息中心机房数据备份管理办法包括了主要应用系统的备份策略以及备份实施
细则,适当考虑了各系统的数据完整性和可用性。同时,信息技术部门对各系统
制定了详细的应急演练测试方案,根据方案,完成了应急演练,并做好相关记录。
公司建立了“办公自动化”平台,业务部门能通过平台提交信息系统需求和
运行故障提示。
2017 年同城数据中心一期上线试运行,同城数据中心系按照主中心标准进
行规划设计,经过广泛调研,充分听取行业内专家的技术评估建议,在“安全优
先”前提下,既有沿袭又有创新,采用先进的网络架构,整合相关应用系统,合
理使用虚拟化技术,提高机柜利用率,缩短同城双中心切换时间,解决目前国贸
中心的各种瓶颈局限,满足未来公司业务快速发展对 IT 基础设施的需求。2017
年末联通数据中心一期各类系统已安装调试就绪,根据内部测试和仿真测试结果,
联通数据中心各项应用系统已具备上线试运行条件,并且联通数据中心恒生手机、
通达信和同花顺网上交易系统也于 12 月 22 日上线试运行。
(23)子公司内控管理
①中德证券子公司
公司投资银行业务主要由公司股权占 66.7%的控股子公司中德证券有限责
任公司(以下简称“中德证券”)开展。中德证券根据国家相关法律法规和投资银
行业务的具体情况,建立了适合业务特点和管理要求的投资银行业务内部控制体
13
�系。
中德证券建立起了投行业务相关的内部控制,制订了《业务规程制度》、《业
务委员会工作流程》、《持续督导专员工作制度(试行)》等相关投行制度。流
程控制方面,根据项目的性质及需要,项目从发起到执行,一般依次经过新产品
审批、交易录入与冲突消除、立项委员会、客户接纳、现场检查(如需)、内核
委员会、股本承诺委员会等六个控制环节。通过 BMS 系统(“投行业务管理系
统”)进行记录备案,并根据《业务规程制度》和《业务委员会工作流程》中的
关键控制点在系统中进行了设置,使投资银行业务规范化和标准化,以确保业务
的顺利、有序完成。为进一步完善业务管理与质量控制工作,中德证券于 2017
年 12 月 25 日正式启用了新投行业务管理系统——NMS 系统,新系统增加了现
场检查、工作底稿电子化、技术支持委员会、业务快报等方面的内容。
中德证券负责内控管理的有合规部、风险管理部、内审部、业务管理与质量
控制部及法律部。2017 年,中德证券合规部根据上年度合规管理评估结果,对
有待改进的方面进一步强化,明确责任部门,设定整改时限,提升了内控精细化
管理程度,起到了防控风险的良好成效;风险管理部按照国际最佳实践标准持续
完善公司风险管理工作,及时识别、确认公司在实现经营目标过程中的市场、流
动性、信用和操作等风险,并通过合理的制度安排和风险度量方法对经营环境持
续变化所产生的风险及其承受能力进行适时监督、计量、评估和管理;内审部针
对审计发现事项,进行月度跟进和向管理层汇报进展情况,提高了公司相关部门
和员工的内控意识,推动了公司内控水平的提高;业务管理与质量控制部质量控
制岗在项目的立项、尽职调查、项目申报及持续督导等阶段均履行了审核审查职
责;法律部在法律风险识别,合同审核和签署等方面为中德证券投行业务履行了
法律审查职责。
②龙华启富子公司
公司的全资子公司龙华启富投资有限责任公司(以下简称龙华启富),负责
开展私募基金业务。
2016 年 12 月,中国证券业协会发布《证券公司私募投资基金子公司管理规
范》(“规范”)等业务新规,要求原券商直投子公司进行整改。按照协会上述
14
�要求,龙华启富由直投子公司整改为私募基金子公司,从事私募投资基金业务,
将龙华启富合规风控管理全面纳入山西证券管理体系,山西证券及龙华启富在制
度建设、流程设置、汇报机制、人员管理等方面均作为相应调整,并任命首席风
险官负责龙华启富全面风险管理工作。
按照新规要求,龙华启富新设基金均按照自有资金出资不超过 20%进行设计;
存量不符合新规的基金不再扩大规模,到期后将不再续期;在从事实体业务、闲
置资金投资、对外担保等方面也均按照新规开展业务。
③格林大华期货子公司
公司全资子公司-格林大华期货有限公司(以下简称格林大华),专门从事
期货业务,制定有较为完备的《格林大华期货有限公司财务管理制度》、《格林
大华期货有限公司人力资源管理制度》、《格林大华期货有限公司 IB 业务管理
办法》、《格林大华期货有限公司 IB 业务合规管理办法》、《格林大华期货有
限公司交易管理制度》等管理制度。
格林大华建有完善的法人治理结构和“风险全面防控、管理同步监督、经营
逐级控制”的风险管理运行机制,保障了期货业务正常有序地开展。
格林大华的风险管理架构是:董事会是格林大华风险管理的最高决策机构,
对格林大华经营行为的合规性和风险管理结果承担最终责任;下设首席风险官,
负责对格林大华经营管理行为的合法、合规和风险管理状况进行监督检查;同时
设有首席风险官主管的合规风控与稽核部,负责督导和协助经营层管理合规风险,
对格林大华及员工的经营管理和执业行为的合规性进行审查、监督和检查;其他
各部门履行风险管理的监督、管理职责,制定有严格、完善的内部管理办法和严
密、标准的业务操作和服务流程,并通过在业务操作系统固化内部控制和风险管
理阀值,实现对本部门和业务一线的风险管理,有效防范操作风险的发生。
④山证国际金融控股公司
公司全资子公司--山证国际金融控股公司(以下简称山证国际),山证国际
下设七个专业子公司,分别开展了证券交易业务(含一、二级市场股票、债券配
售,融资资格)、期货合约交易业务、资产管理(包括证券、期货研究)业务及
15
�投行业务(有条件限制),自营(证券、债券),还有商品业务。各业务建有相
应的制度,有《交易制度》,《结算规章》,《财务管理办法》,《客户服务规
章守则》,《资讯科技管理制度》,《反洗钱手册》,《员工交易制度》,《投
资银行业务实施管理办法》,《资管运作手则》,《资管投资管理办法》,《债
券自营投资管理制度》,《股票自营投资方案》,《国际商品现货交易管理办法》,
《汇通商品业务决策委员会工作条例》等。
山证国际已纳入母公司全面风险管理体系,母公司对山证国际实行垂直管理,
山证国际在公司整体风险偏好和风险管理制度框架下,建立了董事会——执行委
员会——风控总监及合规风控部——专业子公司持牌负责人员及业务风控岗的
风险管理组织体系。风控总监由母公司任命,在母公司首席风险官指导下开展风
险管理工作,并向其履行风险报告义务。合规风控部负责全面统筹监督专业子公
司合规经营和风险管理。专业子公司持牌负责人员对子公司具体业务的合规经营
和风险管理直接负责(根据香港《证券及期货条例》,香港持牌负责人员职责是
监督其所隶属的持牌法团的受规管活动)。专业子公司业务风控岗负责具体业务
的风险监控和报告。
3.重点关注的高风险领域:公司在内部控制评价过程中重点关注的高风险领
域有母公司的经纪业务、柜台交易、信用交易、资产管理业务、新三板业务、投
资咨询、自营业务、公募基金业务、机构业务、衍生品经纪业务、固定收益业务、
贸易金融业务及信息系统管理,以及子公司的投资银行、私募基金业务、期货业
务、国际业务等领域。
(二)内部控制评价工作依据及内部控制缺陷认定标准
公司依据《企业内部控制基本规范》及其配套指引、《证券公司内部控制指
引》、《上市公司内部控制指引》的规定组织开展内部控制评价工作。
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的
认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务
报告内部控制和非财务报告内部控制,研究确定了适用于公司的内部控制缺陷具
体认定标准。为了适应市场监管环境的需要,同时使相应的缺陷认定标准更加合
理、清晰,经公司董事会审议通过,公司对缺陷认定标准进行了部分修订。
16
� 重大缺陷指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。
重要缺陷指一个或多个控制缺陷的组合,其严重程度和经济后果低 于重大缺陷,
但仍有可能导致企业偏离控制目标。一般缺陷指除重大缺陷、 重要缺陷之外的
其他缺陷。
公司确定的内部控制缺陷认定标准具体如下:
1.财务报告内部控制缺陷认定标准
(1)定量标准是:
①重大缺陷:错报金额达到年末净资产的 5%(含)以上。
②重要缺陷:错报金额达到年末净资产的 3%-5%(不含)。
③一般缺陷:错报金额小于年末净资产的 3%(含) 。
(2)定性标准是:
①重大缺陷:
a、董事、监事和高级管理人员发生与财务报表相关的舞弊行为;
b、由于舞弊或错误造成重大错报,企业更正已公布的财务报告;
c、注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中
未能发现该错报;
d、企业对内部控制的监督无效。
②重要缺陷:
a、未依照公认会计准则选择和应用会计政策的内部控制问题;
b、对于非常规或特殊交易的账务处理未建立相应的控制措施;
c、期末财务报告过程的控制存在一项或多项缺陷不能合理保证编制的财务
报表达到真实、准确的目标。
③一般缺陷:除重大缺陷、重要缺陷之外的其他控制缺陷。
17
� 2.非财务报告内部控制缺陷认定标准
(1)定量标准是:
①重大缺陷:因内控缺陷造成的损失占净资产的比例达到 2%(含)以上。
②重要缺陷:因内控缺陷造成的损失占净资产的比例为 1%-2%(不含)。
③一般缺陷:因内控缺陷造成的损失占净资产的比例小于 1%(含)。
(2)定性标准是:
①重大缺陷:
a、公司重大决策缺乏决策程序或程序违规且造成重大损失;
b、已经发现并报告给管理层的重大或重要缺陷在合理的时间后未加以改正;
c、公司被监管部门撤销相关业务许可;
d、重要业务长期缺乏制度控制或制度系统性严重失效;
②重要缺陷:
a、重要决策程序出现程序失误且造成较大损失;
b、公司人员已经或者涉嫌舞弊并给公司造成重大损失;
c、公司被监管部门暂停相关业务许可。
③一般缺陷:一般缺陷是指除重大缺陷、重要缺陷之外的其他非财务内部控
制缺陷。
(三)内部控制缺陷认定及整改情况
1.财务报告内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准,报告期内公司不存在财务报告
内部控制重要缺陷和重大缺陷。
2.非财务报告内部控制缺陷认定及整改情况
根据上述非财务报告内部控制缺陷的认定标准,报告期内公司不存在非财务
18
�报告内部控制重要缺陷和重大缺陷。
3.公司一般缺陷认定及整改情况
公司在评价过程中发现内部控制方面的一般缺陷涉及流程和制度的执行层
面,主要有:
(1)因公司控股的山证国际金融控股集团决策流程不完善,合规风险管理
不到位,导致孖展融资业务涉及辉山乳业事件出现风险。
2017 年 3 月 24 日,香港上市公司辉山乳业股价快速大幅下跌,在当日下午
开始停牌至今。截止 2017 年 12 月 31 日,山证国际有 3 名融资客户合计质押辉
山乳业 13140 万股,融资负债 1.07 亿港币,其中山证国际向辉山乳业大股东冠
丰有限公司授予 1 亿元的信贷申请。
停牌事件发生后,经山证国际证券子公司董事会审议,山证国际分别在 2017
年 3 月 31 日和 2017 年 6 月 30 日对辉山乳业孖展业务计提减值准备共计港币
5111.43 万元(按 2017 年 12 月末汇率计算,约合人民币 4422.46 万元),同步
计入山西证券母公司合并报表。
(2)因计财部核算岗对公司自有资金参与的集合理财产品记账不及时,造
成流动性风险指标数据来源不准确。
2017 年 11 月 9 日公司购入资管产品 7500 万元,但资产管理核算岗未及时
记账(于 11 月 13 日补记),造成流动性风险指标中银行存款数据不准确,影响
了相关风险指标测算的准确性。
报告期内,公司对纳入评价范围的业务与事项均已建立了内部控制,并得以
有效执行,达到了公司内部控制的整体目标。公司发现的一般缺陷可能导致的风
险均在可控范围内,未对公司的经营管理活动质量和财务目标的实现造成重大影
响,且已认真落实整改。自内部控制评价报告基准日至内部控制评价报告发出日
之间没有发生对评价结论产生实质性影响的内部控制的重大变化。
二、公司对2017年风险控制指标动态监控系统有效性评估情况
根据中国证券业协会 2016 年 12 月 30 日下发的《证券公司风险控制指标动
19
�态监控系统指引(修订稿)》的要求,对公司 2017 年度风控指标动态监控系统
做出评价:
(一)评价情况
1、组织与制度保障
公司制定了《山西证券股份有限公司风险控制指标管理办法(修订稿)》和
《动态监控管理细则》,建立健全风险监控工作的组织体系,指定公司合规总监
(首席风险官)分管动态监控系统的建设与运行,指定风险管理部负责动态监控
系统的运行管理,指定信息技术部负责系统维护等工作;明确了相关部门的职责、
操作流程、报告要求;实行岗位分离制,达到有效的监督制约;在制度中明确人
工维护数据的录入部门、录入依据、录入口径、复核流程;执行对不同风险信息
分级预警、跟踪制度、报告制度;于每月进行监控系统数据的核对工作,并对发
现的问题进行及时处理。
2、运行维护及升级完善
(1)系统相对安全、稳定地运行,未出现系统故障
对动态监控系统用户实行不同岗位、不同权限的授权管理办法,用户权限的
设置、变动以及密码的修改应有严格的控制措施并保留完整的记录;系统在设计
初期,对各种报表、计算表及其项目的调整预留空间,以便能够做到根据监管部
门发布的最新规定及时调整更新。公司通过专线连接,为监管部门开放系统接口,
设置监管专用账户,使监管部门能及时动态了解我公司净资本变化情况。
(2)数据采集及报表生成
风险控制指标动态监控系统是 V4.0,监控系统可自动采集财务数据、交易
数据、清算数据、资讯数据等相关数据,系统开启留痕功能,每日形成系统日志,
并完整记录;对于不能够自动采集的数据,由业务部门负责手工录入。系统能够
对净资本等风控指标进行动态测算且每日形成相关报表;能够根据系统中预设的
风险监控阀值分级预警,自动显示风险监控指标的变化,在 T+1 日形成报表并
打印。
20
� 3、指标预警与风险报告
按照修订后的《证券公司风险控制指标管理办法》和修订后的《山西证券股
份有限公司风险控制指标管理办法》,风险控制指标动态监控系统将预警标准分
为三级,即监管标准、监管预警标准和公司预警标准,并按照规定设置了相应阀
值,在风险控制指标达到报告要求时,及时履行报告程序,分别向中国证监会、
山西证监局和公司领导层报告。
4、问题与建议
系统基本能实现自动取数,对于系统无法自动分解或不能自动取数的部分设
置为手工录入,并增加复核环节。虽存在一定瑕疵,但不影响系统的正常运行和
风险控制指标的动态监控。
(二)综合评价结论
风险控制指标动态监控系统能基本覆盖影响净资本及其他风险控制指标的
业务活动环节,动态计算净资本等各项风险控制指标,及时反映有关业务和市场
变化对公司风险控制指标的影响;能够根据各项业务特点实施实时监控,按照预
先设定的阀值和监控标准对净资本等风险控制指标进行自动预警;能够生成净资
本等风险控制指标动态监控报表。根据市场、业务发展、技术、监管环境的变化
适时调整和完善,确保系统运行正常、数据准确、完整。
三、公司对内部控制情况的自我评价
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准
日,不存在财务报告内部控制重大缺陷,董事会认为,公司已按照企业内部控制
规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准
日,公司未发现非财务报告内部控制重大缺陷。
自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内
部控制有效性评价结论的因素。
四、其他内部控制相关重大事项说明
21
� 根据相关法规要求,公司聘请了毕马威华振会计师事务所(特殊普通合伙)
对公司财务报告内部控制有效性进行了独立审计,并于 2018 年 3 月 30 日出具了
无保留意见的《山西证券股份有限公司 2017 年内部控制审计报告》(毕马威华
振审字第 1801863 号),认为公司于 2017 年 12 月 31 日按照《企业内部控制基
本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。
五、保荐机构的核查工作和核查意见
(一)保荐机构的核查工作
在 2017 年持续督导期间,保荐代表人主要通过查阅公司主要业务和管理制
度、内控制度;询问募集资金使用情况;查阅主要的信息披露文件;与董事、监
事、高级管理人员、会计师、律师等通过面谈、电话等方式持续沟通;核查募集
资金存放和使用情况;了解内部审计工作情况等多种方式,从内部控制的环境、
内部控制制度的建立和实施、内部控制的监督等多方面对公司内部控制的合规性
和有效性进行了核查。
(二)保荐机构的核查意见
通过对山西证券 2017 年度内部控制制度的建立和实施情况的核查,保荐机
构认为:山西证券现有的内部控制制度符合有关法规和证券监管部门的要求,在
所有重大方面保持了与企业业务及管理相关的有效的内部控制;公司的《2017
年度内部控制自我评价报告》真实、客观地反映了其内部控制制度的建设及运行
情况。
22
�23
�
