长城证券:2018年度内部控制自我评价报告2019-04-23
长城证券股份有限公司
2018 年度内部控制自我评价报告
长城证券股份有限公司全体股东:
根据《企业内部控制基本规范》及其配套指引,《证券公司内部控制指引》等法律法规
和规范性文件的要求,以及公司内部控制制度和评价办法的规定,公司对截至 2018 年 12 月
31 日的内部控制进行了自我评价。
本次评价遵循全面性、重要性及客观性原则,评价的对象为与实现整体控制目标相关的
内部控制环境、风险评估、控制活动、信息与沟通、内部监督等要素。
本次内部控制评价的目的是在了解公司内部控制体系设计的基础上,掌握公司内部控制
的运行情况,了解内部控制措施是否持续有效,是否存在重大缺陷和风险,以便公司有针对
性地加强和改进内部控制和风险管理措施,优化内部控制环境,不断提高内部控制水平。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并
如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行
监督,经营管理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监
事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告
内容的真实性、准确性和完整性承担个别及连带法律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真
实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅
能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或
对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有
一定的风险。
二、内部控制评价结论
根据公司财务报告内部控制重大缺陷及重要缺陷的认定情况,于内部控制评价报告基准
日,公司不存在财务报告内部控制重大缺陷及重要缺陷。
根据公司非财务报告内部控制重大缺陷及重要缺陷的认定情况,于内部控制评价报告基
准日,公司未发现非财务报告内部控制重大缺陷及重要缺陷。
1
� 自内部控制评价报告基准日至内部控制评价报告发出日之间,公司没有发生影响内部控
制有效性评价结论的情况。
三、内部控制评价工作情况
(一)内部控制评价的程序和方法
公司内部控制评价工作严格遵循《企业内部控制基本规范》、《企业内部控制评价指引》
和公司内部控制评价相关办法规定的程序执行,主要包括以下几个步骤:制定内部控制评价
方案、成立内部控制评价工作组、现场实施与评价、认定内部控制缺陷、复核确认并出具现
场评价结论、汇总分析检查评价结果、编制内部控制评价报告。在内部控制自我评价过程中,
公司紧密围绕内部控制目标,遵循评价原则,力求达到全面梳理、不断优化公司内部控制整
体状况的评价目标。
评价过程中,评价工作组综合运用制度审阅、关键岗位访谈、重要发现专题讨论、关键
流程穿行测试、实地查验、数据抽样比对分析等适当方法,广泛收集公司内部控制设计和运
行是否有效的证据,分析、识别内部控制缺陷。根据问题的实际情况,分别单独或组合运用
各种检查方法,形成对公司内部控制全面、客观、准确的评价。评价过程充分留痕,评价证
据符合充分性、相关性、真实性和客观性等要求。
(二)内部控制评价范围
公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。纳
入评价范围的主要单位包括公司总部各职能部门和经纪业务线条、投资银行业务线条、自营
权益投资业务线条、资产管理业务线条等,以及控股的宝城期货有限责任公司、全资子公司
深圳市长城长富投资管理有限公司和深圳市长城证券投资有限公司。
纳入评价范围的单位资产总额占公司合并财务报表资产总额的 100%,营业收入合计占
公司合并财务报表营业收入总额的 100%。上述纳入评价范围的单位、业务和事项以及高风
险领域涵盖了公司经营管理的主要方面,不存在重大遗漏。
(三)内部控制评价工作依据及内部控制缺陷认定标准
根据《公司法》、《证券法》、《企业内部控制基本规范》、《企业内部控制应用指引》、
《企业内部控制评价指引》、《证券公司治理准则》及《证券公司内部控制指引》等法律法
规以及《公司章程》的规定,公司从控制环境、风险控制、控制活动、信息与沟通、内部监
督等方面对公司 2018 年的内部控制机制和运作情况进行了评价。根据《企业内部控制评价
2
�指引》的有关规定,结合公司规模、行业特征、风险偏好和风险承受度等因素,制定了内部
控制缺陷认定标准。
1、财务报告内部控制缺陷的认定标准
(1)公司确定的财务报告内部控制缺陷评价的定量标准以营业收入、利润总额和资产
总额作为衡量指标。定量标准如下:
项 目 重大缺陷 重要缺陷 一般缺陷
营业收入总额 大于 2%(含) 1%-2%(不含) 0%-1%(不含)
潜在报错金额 利润总额 大于 10%(含) 5%-10%(不含) 0%-5%(不含)
资产总额 大于 2%(含) 1%-2%(不含) 0%-1%(不含)
(2)公司确定的财务报告内部控制缺陷评价的定性标准如下:
重大缺陷:业务损失方面产生较大影响,无法达到部分营运目标或关键业绩指标;信息
错报影响方面,错误信息可能会导致使用者做出重大的错误决策或截然相反的决策,造成不
可挽回的决策损失;信息系统对数据完整性及业务运营的影响方面,对系统数据的完整性具
有重大影响,数据的非授权改动会给业务运作带来重大损失或造成财务记录的重大错误。对
业务正常运营造成重大影响,致使业务操作大规模停滞和持续出错。
重要缺陷:业务损失方面有一定影响,但是经过一定的弥补措施仍可能达到营运目标或
关键业绩指标;信息错报影响方面对信息使用者有一定的影响,可能会影响使用者对于事物
性质的判断,在一定程度上可能导致错误的决策;信息系统对数据完整性及业务运营的影响
方面,对系统数据完整性具有一定影响,数据的非授权改动对业务运作带来一定的损失及对
财务数据记录的准确性产生一定的影响。对业务正常运营造成一定影响,致使业务操作效率
低下。
一般缺陷:业务损失方面有极小影响或轻微影响,例如对收入、客户、市场份额等有轻
微影响;信息错报影响方面,对内、外部信息使用者不会产生影响,或对信息准确性有轻微
影响,但不会影响使用者的判断;信息系统对数据完整性及业务运营的影响方面,对系统数
据完整性不会产生影响。对业务正常运营没有产生影响,或对系统数据完整性会产生有限影
响,但数据的非授权改动对业务运作及财务数据记录产生损失轻微。对业务正常运营没有直
接影响,业务部门及客户没有察觉。
2、非财务报告内部控制缺陷的认定标准
3
� (1)公司确定的非财务报告内部控制缺陷评价的定量标准如下:
项 目 重大缺陷 重要缺陷 一般缺陷
利润总额 大于 10%(含) 5%-10%(不含) 0%-5%(不含)
财务损失金额
资产总额 大于 2%(含) 1%-2%(不含) 0%-1%(不含)
(2)公司确定的非财务报告内部控制缺陷评价的定性标准如下:
重大缺陷:营运影响方面,严重损伤公司核心竞争力,严重损害公司为客户服务的能力;
监管影响方面,公司被监管部门撤销相关业务许可;声誉影响方面,负面消息在全国各地流
传,引起公众关注,引发诉讼,对企业声誉造成重大损害。
重要缺陷:营运影响方面,对内外部均造成了一定影响,比如关键员工或客户流失;监
管影响方面,公司被监管部门暂停相关业务许可;声誉影响方面,负面消息在某区域流传,
对企业声誉造成中等损害。
一般缺陷:营运影响方面,对日常营运没有影响,或仅影响内部效率,不直接影响对外
展业;监管影响方面,除被监管部门撤销或暂停相关业务许可以外的其他监管影响;声誉影
响方面,负面消息在企业内部流传,企业声誉没有受损,或负面消息在当地局部流传,对企
业声誉造成轻微损害。
四、内部控制内容和执行情况
(一)控制环境
1、组织架构
公司已按照《公司法》、《证券公司治理准则》、《证券公司内部控制指引》、《企业内部控
制应用指引》等法律法规及《公司章程》的要求,建立了规范的组织结构,具体如下:
(1)法人治理结构
公司已按《公司法》和中国证监会的有关规定建立了规范的法人治理结构:公司股东大
会是公司的权力机构;董事会是公司的经营决策机构,依法行使公司的经营决策权,负责内
部控制的建立健全和有效实施,对股东大会负责;董事会下设战略与发展委员会、风险控制
与合规委员会、审计委员会、薪酬考核与提名委员会四个专门委员会,各专门委员会对董事
会负责,其职责权限、委员任职资格和议事规则等明确;监事会是公司的监督机构,对公司
财务以及公司董事、高级管理人员履行职责的合法合规性进行监督及检查,向股东大会负责
并报告工作;总裁办公会具体研究和部署公司日常经营管理活动,对董事会负责,总裁办公
4
�会下设预算管理委员会、投资决策委员会、风险控制与安全运营委员会、IT 治理委员会、
融资融券业务审核委员会、投资银行委员会、经纪业务委员会七个专业委员会,分别对公司
预算管理、投资决策、风险控制与安全运营、信息技术、融资融券业务、投行业务、经纪业
务等日常工作进行讨论决策。
2018 年,公司法人治理结构未发生重大变化,公司法人治理结构规范,股东大会、董
事会、监事会和经理层的职责明确,运作规范,相关会议的召集、召开符合《公司法》和《公
司章程》的规定,决议合法有效。公司经营决策、执行和监督相互分离,相互制衡。
(2)职能机构设置及权责分配
公司按照“健全、合理、制衡、独立”的原则,建立健全了董事会、经营管理层及合规
负责人、内控管理部门、业务管理部门和业务分支机构等多层级的内部控制组织架构,并明
确了各级机构应当承担的内部控制职责。根据公司业务性质、发展战略、文化理念和管理要
求等因素,公司已按照科学、高效、制衡的原则合理设置内部职能机构,明确各机构的职责
权限、部门内部岗位名称、职责等,部门之间、岗位之间、业务之间依照合规和风控要求,
建立起相互制衡、信息沟通、隔离墙等内部控制机制,各部门及部门内部各岗位各司其职、
各负其责、相互制约、相互协调。公司各职能部门负责本部门所管辖业务涉及的内部控制工
作,为内部控制工作的职能管理部门,对本业务内部控制的建设、实施、维护及监督进行自
上而下的纵向管理。公司高级管理人员按照“不相容岗位不兼职”的原则进行分工、实行垂
直管理。公司已在广东、北京、杭州、江西、上海等地开设 13 家分公司,公司将逐步落实
设立分支机构扩大业务影响力的战略布局。2018 年,公司获监管单位批复获准建立 4 家营
业部,分别位于广东东莞、广东惠州、浙江嘉兴、浙江绍兴,目前正在稳步筹建中。
2、发展战略
公司综合考虑宏观经济政策、国内外市场需求变化、行业发展趋势、竞争对手状况、可
利用资源水平和自身优劣势等影响因素,制定发展战略,定位准确、目标清晰、操作可行。
公司在资源配置、工作机制等方面对发展战略予以充分保障,设立了战略与发展委员会,同
时制定了议事规则,明确了人员构成、权限职责、会议召集及通知程序、议事和表决程序等
内容。
3、社会责任
公司高度重视履行社会责任,切实做到公司经济效益与社会效益、短期利益与长远利益、
5
�自身发展与社会发展相互协调,努力实现公司与员工、公司与社会、公司与环境的健康和谐
发展。公司遵纪守法,合规经营;认真履行上市公司法定义务,持续及时披露信息,不断加
强与投资者沟通交流;通过不断完善治理结构,持续加强风险管理和内部控制,努力提升经
营业绩;强调以客户为中心,不断加强客户服务和提升客户满意度,并积极响应国家政策,
全心全意为中小企业发展提供良好的融资和顾问等服务,积极协助中小企业拓宽融资渠道;
通过推行公平合理的薪酬制度、安排岗位和职业技能培训等,保障员工合法权益、做好员工
职业发展规划。公司积极响应证监会以及证券业协会关于“一司一县”结对扶贫国家级贫困
县的号召,按照证监会和证券业协会的要求,对湖北团风县、江西遂川县、新疆尼勒克县、
宁夏盐池县、湖南新化县 5 个贫困县在产业扶贫、消费扶贫、公益扶贫、资本市场知识教育
等四个方面进行了帮扶工作。产业扶贫方面,帮助江西遂川县群鑫强磁新材料有限公司挂牌
新三板;对宁夏盐池县的上陵牧业有限公司、新疆尼勒克县的南方矿业有限公司、湖南新化
县的碧野生态农业科技有限公司继续进行上市辅导;帮助团风县引进湖北德上股权投资基金
管理有限公司,双方设立团风县产业发展投资基金。消费扶贫方面,帮扶销售遂川狗牯脑茶、
盐池滩羊、宁夏枸杞、新化黑茶等扶贫县特色农产,共计金额 100 余万元,帮助当地相关产
业农户脱贫。公益扶贫方面,公司 2018 年公益性支出 66.4 万元,帮扶资助遂川上坑中心学
校、团风杜皮乡三庙河小学、新化金凤中心学校共 68 名建档立卡贫困学生,并向遂川上坑
中心学校、新化县金凤乡中心学校捐助电教室、图书角、体育器材等设施。资本市场知识教
育方面,扶贫先扶智,公司非常重视在贫困县的资本市场知识教育和投资者教育活动,2018
年在湖南新化县、湖北团风县、江西遂川县共举办了 4 期资本市场知识教育活动,提升贫困
县群众的金融知识,防范金融诈骗。
4、企业文化
公司采取切实有效的措施,积极培育具有自身特色的企业文化。通过举办新老员工培训
活动,坚持向员工输入企业文化的核心理念;培养员工践行企业文化的意志和实践能力,使
公司具有自身特色的企业文化深入全员并贯彻到员工的日常行为中。同时,公司董事、监事
和高级管理人员在企业文化建设中自觉发挥主导和示范作用;公司持续将企业文化建设融入
到经营管理中,切实做到文化建设与发展战略有机结合,增强了员工的责任心和使命感,引
导和规范了员工行为,形成了团队的整体向心力,促进了公司的长远发展。
5、内部控制制度建设
6
� 公司根据内部控制建设需要,制定了一系列较为完整的制度、条例、办法及工作流程等,
并根据外部监管要求、业务发展及管理需求及时修订完善。目前公司内部控制制度基本涵盖
公司主要营运环节,具有较强的操作性,有关内部控制制度能有效传递给各级单位和各级员
工。公司持续有效地完善了内部控制制度,2018 年共制定或修订制度、细则等 176 项。目
前,公司制度涵盖了投资银行业务、资产管理业务、经纪业务、固定收益业务、场外期权业
务、分支机构管理、合规管理、风险管理、信息技术管理、营运管理、人力资源管理、财务
管理等。公司现行制度及工作流程与国家法律法规、监管规章要求及公司实际工作情况相符,
各部门现行制度及工作流程设计合理,覆盖全面,涵盖各项业务涉及的各个环节及参与部门,
对业务环节执行及参与部门职责进行了明确规定。
6、内部授权体系
根据《公司法》、《证券法》、《证券公司监督管理条例》、《证券公司治理准则》及《公司
章程》等规定,公司制定了《授权管理办法》,规定了授权的原则、范围、方式与程序、有
效期限、调整、终止、授权管理工作的机构和职责等。公司法定代表人在法定经营管理范围
内依据《公司章程》规定的权限对公司总裁及公司其他具备高级管理人员资格的人员和其分
管部门负责人进行授权,总裁依据《公司章程》所规定的权限及法定代表人授权权限对公司
副总裁及其他具备高级管理人员资格的人员和其分管部门负责人进行授权,副总裁根据总裁
授权权限对其分管部门的负责人进行转授权。被授权人员应在被授予的权限范围内开展业务
活动,禁止越权。公司授权工作由董事会办公室、总裁办公室和法律合规部负责管理,审计
监察部等部门对公司授权执行情况进行检查与监督。报告期内,公司授权机制未发生变化,
公司法定代表人、总裁、副总裁及其他具备高级管理人员资格的人员、各职能管理部门、业
务部门和分支机构未发生超越授权开展业务活动的情形。
7、人力资源管理体系
公司重视人力资源体系建设。根据发展战略,结合人力资源现状和未来需求预测,明确
人力资源发展目标。为提升公司人力资源精细化、专业化管理水平,建立市场化的人力资源
管理机制,公司主要从薪酬管理、人才开发、机构管理、人才培养、员工关系管理等五个方
面建设人力资源管理体系。建立健全了科学的人才引进、使用、培养、考核、激励、内部调
配及退出等制度,整体布局公司的人力资源配置,不断提升人均效能,提高公司核心竞争力。
8、合规管理
7
� 公司制定的《合规管理暂行办法》明确了公司各层级合规职责,分层落实了董事会、监
事会、经营管理层、各部门或各分支机构负责人以及公司全体工作人员的合规责任。公司建
立健全了董事会风险控制与合规委员会、合规总监、法律合规部、各部门及子公司与分支机
构合规岗位四个层级的合规管理组织体系,并相应明确了各层级的合规管理职责。
公司董事会是公司合规管理的最高决策机构,确定公司合规管理的基本制度,对公司的
合规管理负有最终责任。公司监事会依据法律、法规及公司章程对公司董事会、经营管理层
和合规负责人履行合规职责的情况进行监督。公司在董事会下设风险控制与合规委员会,对
董事会负责并报告,在董事会授权范围内对重大合规事项进行集体评议。公司风险控制与合
规委员会由三名董事组成,根据需要可以聘请相关专业人士提供顾问支持。
合规总监是公司的合规负责人,协助公司经营管理层履行合规管理职责,负责对公司及
工作人员的经营管理行为和执业行为的合规性进行审查、监督和检查,合规总监对内直接向
董事会负责,向董事长、董事会风险控制与合规委员会及总裁报告工作,对外向监管部门负
责并报告工作。
法律合规部是公司合规工作日常管理部门,向合规总监负责并报告工作。法律合规部承
担的其他职责不与合规管理职责相冲突。公司为法律合规部配备了充足的合规管理人员,并
且设置了隶属于法律合规部的区域合规专员岗位,将合规静态管理转变为动态管理。同时,
公司在投行、资管、自营、金融研究所等业务部门及人数在 15 人及以上的分支机构设置了
专职合规经理,在总部其他部门及人数在 15 人以内的分支机构设置了兼职合规经理,负责
各单位合规管理的具体事务工作,实现了合规全覆盖。合规经理就合规管理工作向法律合规
部负责并报告工作,是公司合规管理在各单位的有效延伸。
公司各级合规管理组织各司其职,制度完善、履职保障、日常合规管理工作均能按照公
司发展战略稳步推进,公司合规管理情况良好。
9、内部审计
审计监察部为公司独立的监督检查部门,依据国家有关法律法规及本公司的规章制度,
对公司各部门(包括公司总部各业务部门、职能部门、各分支机构)的财务、业务及经营管
理等各项活动进行监督、评价和建议。审计监察部在公司总裁办公会的统一领导下工作,向
公司董事会负责,定期或不定期向董事会汇报工作,各项工作接受监事会的检查和监督。审
计范围已覆盖经纪业务、自营业务、资产管理业务、融资融券业务、投资银行业务、金融研
8
�究、信息技术系统、营运管理、财务管理等业务或部门。公司内部审计人员的任职资格明确,
目前审计监察部已配备了会计、审计、信息技术等必要的专业技术人才。
公司制定了较规范的审计制度及工作流程,并建立和完善了审计管理系统,审计流程较
规范,审计管理系统对提高审计质量与效率有较好的促进作用。审计人员严格按照各项内部
审计制度规定在公司的授权下独立开展审计工作,审计监察部通过部门三层级复核进行审计
项目质量控制。
报告期内,公司各项审计监督工作有序开展,内部审计环境未发生重大变化。公司内部
审计包括专项审计、离任审计及离岗审计,离任与离岗审计涵盖各区域的重点营业部,专项
审计涵盖监管的重点领域。
(二)风险控制
1、风险控制组织体系
公司建立自上而下的四级风控体系,负责对各项业务的事前、事中及事后风险进行统一
管理。第一层是风险控制与合规委员会,是公司董事会下设的专门委员会,全面领导公司风
险控制工作。第二层是风险控制与安全运营委员会,是公司总裁办公会下设的专业委员会,
为公司风险高级管理机构,负责公司整体和重大风险的评估、控制。第三层是风险管理部,
是公司风险控制的职能管理部门及风险控制与安全运营委员会的日常办事机构,负责公司经
营管理活动中风险事项的识别、评估、分析与控制,并负责指导、监督各部门、子公司、分
支机构的风险管理工作。第四层是各部门、分支机构风控经理,负责落实公司及各类专业风
险牵头管理部门制定的各项政策、流程和措施,接受各类风险牵头管理部门的指导以及对各
类风险管理、执行责任的分解。
公司全面风险管理框架已相对完善,四级风控体系的权威性和专业性得到加强。在新的
市场及监管环境下,围绕公司的战略发展规划,公司的风险管理模式已由原业务模块变革为
按风险类型进行风险监控。通过对各业务的风险分类监控,从而实现对市场风险、流动性风
险、信用风险、操作风险等风险类型的准确识别、审慎评估、动态监控,并达到评估公司整
体经营风险的目的。
2、风险识别与风险评估
公司已建立统一的、以净资本和流动性风险为核心的全面风险管理体系以及公司风险因
素分析平台,全面、系统、持续地收集与公司风险和风险管理相关的内部、外部初始信息,
9
�包括历史数据和未来预测,作为风险分析依据。
公司在风险识别和评估的过程中,主要采用集体讨论、流程分析、趋势分析、案例分析、
情景分析、概率统计、监管沟通等方法。针对各类新业务,在执行之前,集体或小组讨论业
务可能涉及的风险,制定相应的业务流程,并在业务开展后不断修正。
(1)风险识别
通过不同的风险类型对业务流程进行梳理、定性及定量分析,找出风险点,对公司经营
活动中存在的内部及外部风险进行辨别和分析,找出风险来源。同时,实行风险动态管理,
定期或不定期进行风险调整,以便对新的风险和原有风险的变化重新评估。
(2)风险评估
针对风险的严重性、发生的可能性及其影响进行测定和度量,计算每个风险点可能导致
的损失。根据风险发生可能性的高低和对目标影响程度的度量结果划分等级,并预设相应的
防范、预警、监控和处置措施。
公司风险管理部根据内外部环境的变化以及在判断各项业务流程风险点的基础上,对公
司所面临的市场风险、信用风险、流动性风险、操作风险等进行识别;通过制定风险容忍度、
风险限额,建立逐日盯市等机制及定期或不定期采用压力测试、敏感性分析等方法或模型,
对有关业务数据进行风险计量,根据监控及测量结果对上述业务风险发生的概率及其产生结
果的影响程度进行评估。
3、主要风险控制情况
公司已建立以净资本和流动性风险等风控指标为核心的全面风险管理体系,建成了以净
资本、流动性覆盖率、净稳定资金率等风控指标为衡量的三级动态监控体系,根据风险控制
综合信息框架对市场风险、信用风险、流动性风险和操作风险进行事前、事中及事后的全面
控制,并通过逐日盯市等监控和预警机制的有效运行,有效防范公司整体经营风险。
(1)市场风险
公司涉及市场风险的业务主要包括权益类证券投资、固定收益类证券投资、衍生品投资
等业务模块,为加强公司市场风险管理工作,公司制订了《市场风险管理办法》,使用
RiskMetrics 市场风险管理系统,建立了以风险价值(VaR)模型为核心的量化指标体系,
科学有效的计量投资组合市场风险,范围涵盖全资产全品种,包括股票、债券、期货、基金、
大宗商品和场内外衍生品等。综合来看,公司业务市场风险可控。
10
� (2)信用风险管理
公司面临的信用风险主要集中在债券投资、融资融券、股票质押式回购、约定购回、衍
生品交易及非标资管等业务领域。为加强公司信用风险管理工作,公司制订了《信用风险管
理办法》,建立统一的信用风险管理政策,实行公司信用风险的统一管理。公司在总体和各
业务层面分别设置了信用风险限额指标,包括业务规模、行业限额、个券限额、损失率限额、
集中度限额等,并通过风险量化模型对信用风险敞口、信用类预期损失、信用 VaR 值等指标
进行测算,评估和监测信用风险情况,为公司决策提供依据。公司已完成信用风险管理系统
的开发,其中,内部评级模型已投入使用,通过业务嵌入的方式实现对固定收益自营、资管、
投顾等业务的信用风险评估。根据市场经济环境的变化及业务开展的实际需要,公司在各业
务日常监控的基础上增加了舆情监控工作,及时收集宏观产经、各主体及债项信息,向相关
部门进行风险提示。综合来看,公司信用风险可控。
(3)流动性风险管理
为防范流动性风险,公司制订了《流动性风险管理办法》和《流动性风险应急处理实施
细则》,建立了流动性风险管理和应急处置机制,明确了流动性风险应急情形、组织体系、
应急措施等相关操作细节。流动性风险由公司风险管理部与财务部联合管理,风险管理部定
期计算公司流动性指标,并进行持续监控,确保指标符合监管标准。公司对流动性风险主要
采取实施流动性限额管理、建立现金流测算和分析框架、建立健全流动性风险压力测试机制、
持有充足的优质流动性资产、制定流动性突发事件的应急计划和处置方案、积极提升信息化
管理水平实现流动性风险的实时动态监测等管理措施。综合来看,公司流动性风险可控。
(4)操作风险管理
为有效防控操作风险,公司制订了《操作风险管理办法》,各业务及管理部门建立健全
部门内部控制机制,完善业务流程,建立健全内部控制制度体系。公司风险管理部对公司操
作风险事项进行统筹,严格履行日常操作风险监控职责,定期检查并分析各部门操作风险的
管理情况,确保操作风险制度和措施得到贯彻落实;对于出现的风险事项,及时向相关部门
出示预警提示书,通知其及时作出风险处理,并跟踪风险事件处理进展和结果,以风险月报
的形式向公司领导汇报。公司对操作风险主要采取实行集中领导分级管理的授权体制;采取
风险与控制自我评估、关键点控制、授权管理等多项措施;建立操作风险事件监测、汇报和
分析机制的管理措施。综合来看,公司操作风险可控。
11
� 4、风险报告情况
公司风险管理部与分支机构、业务部门、各专业风险牵头管理部门、经理层、董事会之
间建立了畅通的风险信息沟通机制,确保相关信息传递与反馈的及时、准确、完整,并向经
理层提交风险管理日报、月报等定期报告,反映风险识别、评估结果和应对方案,对重大风
险提供专项评估报告,确保经理层及时、充分了解公司风险状况。每年末,公司风险管理部
将对公司总体风险进行评估,分析风险点及对应控制措施等方面内容,形成年度风险评估报
告,向管理层和董事会报告,为公司经营决策提供支持。
(三)重要活动内部控制评价
1、经纪业务内部控制
公司经纪业务已经建立较完善的风险控制与合规管理职责体系,公司总部各相关职能部
门在职责范围内对经纪业务履行管理职责,各分支机构依法开展经纪业务活动。分支机构各
项业务均按照双岗复核及部分重要业务三级审批的原则规范执行,并实行业务环节的自我风
险控制。公司经纪业务总部负责经纪业务总体营销规划、综合管理和相关风控与合规培训,
并设立兼职合规经理岗对经纪业务进行合规审核;公司法律合规部对接各分支机构及经纪业
务总部的合规管理工作,为分支机构提供日常合规咨询、审核、检查、反洗钱工作指导与监
督;风险管理部设立风控岗,利用风控管理信息系统对经纪业务中客户异常交易等行为进行
实时监控;审计监察部按审计指引及公司审计计划每年对经纪业务进行审计检查,提出改进
建议并督导落实整改方案。
(1)运营管理
经纪业务总部下辖融资融券部、金融产品部、投顾服务部、股票期权部、营销策划部、
综合部、培训部、客服中心等八个部门,各部门人员岗位职能划分清晰,流程通顺流畅。报
告期内,公司针对新开户和金融产品销售开展了多种竞赛活动。同时,针对分支机构负责人、
中层干部、投顾理顾、新员工、内训师及经纪人等开展了系列培训。公司不仅注重业务专业
角度的培训,还特别针对风险控制、合规管理、反洗钱等方面进行了专题重点的线下线上培
训,加强风控与合规的全员意识思维,并将风控与合规意识融入到业务的操作流程与细节中,
保障了风险控制与合规管理的落地。
(2)交易管理
公司分支机构柜台业务、证券交易业务实行集中化管理。公司设立营运管理部负责对分
12
�支机构的交易活动进行统一管理,制定经纪业务交易管理的规章制度,指导、监督分支机构
的经营活动,制定集中交易权限分配标准,并按其实施统一分配与授权。分支机构的日常经
营活动由分支机构总经理直接负责。
公司实行集中柜台业务管理、交易、清算、交收和核算,由营运管理部负责组织和管理,
统一执行各类业务的资金清算、交收和股份托管,集中管理柜台业务、交易运行、客户交易
结算资金、公司清算和资金核算,集中管理银行间债券市场的债券托管,集中管理经纪业务
客户相关账户(资金账户、证券账户、理财账户等)、集中管理公司席位(交易单元)等。
公司制定并不断完善控制机制,在营运管理部内部实行岗位隔离机制,并严格规定柜台业务、
交易运行、客户交易结算资金交收和清算的运作流程。
2、代销金融产品内部控制
公司对金融产品代销业务实行总部集中管理,公司经纪业务总部下设金融产品部负责金
融产品代销工作。金融产品代销实行三级审核机制,发起部门内部审批通过后,提交经纪业
务总部进行初审,初审通过后将初审意见反馈至公司金融产品评审委员会,金融产品评审委
员会作为公司金融产品代销的决策机构,负责对初审通过的金融产品其相关特征、风险及防
范、客户适当性、管理人的信用和能力等质量事项进行评审。
(1)代销金融产品业务
为有效防范代销金融产品业务风险,公司制定了一系列代销金融产品业务管理制度及业
务操作规程,对代销合同、资料报备、信息披露、投资者适当性管理、客户回访以及产品持
续跟踪等各关键环节的管理进行了规范。为持续优化公募基金公司评价体系,2018 年公司
精心筛选 35 家重点合作基金公司,提升金融产品销售业务精细度、客观性和严谨性。
为了防范和化解代销业务的合规风险,将客户适当性管理工作落到实处,公司代销金融
产品业务推行电子合同签约模式,目前阳光私募产品均已采用电子合同签约。同时,公司还
上线了合格投资者系统控制功能,实现了通过系统对客户信息采集以及交易下单控制。
公司针对相关金融产品销售业务已实施双录制度,并实现系统控制,更彻底的防范和控
制业务风险。
(2)代销金融产品风险评估
公司代销金融产品风险评估由金融产品评审小组按照制度化流程执行,公司各部门、分
支机构按照“职能归属、条线负责”的原则组织实施金融产品的评估与分级工作。经纪业务
13
�总部金融产品部依据公司《金融产品与服务风险等级评估管理办法》对拟代销金融产品的风
险等级进行初步评价,填写《评估表》,由金融产品部负责人进行确认,再提交金融产品评
审委员会复核,复核通过后对产品风险等级做最终评定。公司禁止各级单位或部门代销没有
通过有效风险评估的金融产品。
(3)金融产品销售
公司金融产品销售过程中遵循投资者利益优先、客观性、有效性、差异性等四项原则,
通过销售流程及投资者风险评测等一系列控制程序,根据投资者的风险承受能力销售不同风
险等级的产品,把合适的产品销售给合适的投资者,有效地控制销售过程中产生的风险。
(4)金融产品销售资金管理
金融产品销售和代销合同签订只能以“总对总”的方式进行,通过金融产品销售进度报
表和代销金融产品客户回访等手段控制资金风险。
(5)金融产品售后管理
公司每周播报代销的公募基金、资管产品、阳光私募及基金专户产品净值,监控净值波
动;公司经纪业务总部与分支机构保持密切联系,及时了解舆情,分析舆情风险,每月形成
舆情风险情况月度报告,并持续推动问题解决,跟踪舆情动态。
3、融资融券业务内部控制
公司融资融券、股票质押等类贷款业务实行前、中、后台相互分离、相互制约的机制,
各主要环节由不同的部门和岗位负责。融资融券部是公司融资融券、股票质押式回购、约定
购回业务的具体管理和运作部门,下设征信授信部、客户信用管理部、交易监控部三个二级
部门。融资融券部归口经纪业务总部管理,经纪业务总部负责人对公司分管领导负责。根据
监管部门颁布的《证券公司融资融券业务管理办法》、《证券公司融资融券业务内部控制指
引》、《证券期货投资者适当性管理办法》、交易所股票质押业务系列制度等相关规定,公司
针对融资融券业务制定了专门制度,涵盖了客户适当性、征信授信、保证金管理、投资者教
育、可融资金和证券管理、账户管理、盯市与平仓、风险管理、清算交收、技术系统、利益
冲突防范、突发处理机制等各环节。此外,公司还按照监管机构要求,制定了标准业务相关
合同与风险揭示书。
公司对融资融券业务及类融资业务实行总部集中管理,业务的审批权和主要管理职责由
总部承担,分支机构按制度及总部指令开展相关业务。禁止分支机构未经总部批准向客户融
14
�资融券、办理股票质押式回购、约定购回等业务,或自行决定与客户签约、开户、授信、保
证金收取等应当由总部决定的事项。公司按照监管要求及行业特点对融资融券业务设定了各
项风险控制指标和业务指标,对融资融券账户实行集中监控,提前预警,防范客户违约风险。
公司根据市场变化和业务发展对可充抵保证金证券范围和折算率进行定期调整、动态管理,
并安排专人监控资金和证券的使用情况,确保交易结算的顺利进行和资金使用效率的提高。
4、股票期权业务内部控制
公司对股票期权业务实行总部集中管理,从规则制定、客户账户管理、保证金比率管理、
交易、集中监控,到清算交收等工作均由总部集中负责。股票期权业务的决策和主要管理职
责由总部承担,总部设立独立的股票期权部负责股票期权业务的具体管理和风险控制,分支
机构按制度及总部指令开展相关业务。公司遵循利益冲突防范和业务隔离原则,股票期权经
纪业务与证券经纪业务、证券自营投资业务、融资融券业务、资产管理业务及投资银行业务
等在业务、场地、人员、信息、资金与账户等方面相互分离。股票期权经纪业务的前、中、
后台相互分离、相互制约,各主要环节分别由不同的部门和岗位负责。
5、证券投资咨询业务内部控制
(1)研究所业务
为规范研究咨询业务,保证分析师独立、客观、公正,禁止内幕信息不适当流转,有效
防范传播虚假信息、误导投资者等风险,公司针对研究咨询业务制定了较为完善的内部管理
制度。
公司根据制定的《研究所研究管理办法》,对人员的招聘、工作岗位职责等方面进行规
范化管理;根据《研究工作质量控制手册》以及《研究所研究管理办法》对各类型研究的工
作流程及质量标准进行了明确,公司对研究报告实行多级审核机制,对于深度研究报告应在
研究团队内部讨论或者在金融研究所内部提前路演讨论后再正式发布,有效提升了证券研究
报告质量;根据《研究报告业务管理暂行办法》对研究报告业务规范、研究人员管理、研究
报告信息管理等进行了系统性规范。报告期内,公司投研平台运行良好,为研究工作的流程
化管理和研究报告质量的系统性提升提供了有效的支持。与此同时,法律合规部对公司类研
究报告和晨会报告发布流程实行嵌入式管理,增强了内部控制的有效性。
公司严格按照《证券法》、《证券、期货投资咨询管理暂行办法》、《关于规范面向公众开
展的证券投资咨询业务行为若干问题的通知》、《证券投资顾问业务暂行规定》、《发布证券研
15
�究报告暂行规定》以及相关的监管规定开展研究咨询业务,落实研究人员资质管理,严格执
行调研质量管理程序,保证研究报告质量,认真执行隔离墙制度。
(2)证券投资顾问业务
证券投资顾问业务由公司经纪业务总部统一组织及管理,经纪业务总部下设投顾服务
部,负责证券投资顾问业务。公司建立了严格的“隔离墙”制度,制定了投资顾问人员管理、
资格注册、签约管理、投资顾问服务、绩效考核、客户回访、适当性管理等环节的管理制度,
规范了业务流程。公司对投资顾问业务建立了合规检查机制,对投资顾问业务进行定期或不
定期的合规检查和内部审计检查。
6、IB 业务内部控制
公司具有 IB 业务资格,建立了完善的 IB 业务相关制度和业务流程系统。公司接受宝城
期货有限责任公司(以下简称“宝城期货”)委托,为宝城期货介绍客户参与期货交易并提
供其他相关服务的业务活动。公司与宝城期货在财务、人员、经营场所等方面均有效隔离。
公司从事 IB 业务的部门与从事证券自营、资产管理及投资银行业务等其他业务的部门做到
了业务、人员、场所隔离;IB 业务专职人员严格按照相关制度和业务流程完成相关工作。
公司针对 IB 业务制定了为宝城期货提供中间介绍业务的管理办法,在 IB 业务信息系统对岗
位隔离、信息隔离、权限隔离等进行了设置,并就双方职责作出规定。目前公司与宝城期货
合作顺畅。
7、分支机构内部控制
公司建立了“公司—分公司—营业部”三级经营、三级核算、三级管理的经营体制。目
前,公司已设立 13 家分公司,108 家营业部。经纪业务总部下设综合部,负责分支机构的
筹建与日常管理工作。分支机构的设立由公司总部根据公司业务战略规划决定,在授权的业
务范围内合法合规开展业务经营。财务部、信息技术部、人力资源部、营运管理部、经纪业
务总部分别对分支机构的财务事项、信息技术、人力资源、客户交易与结算、营销活动等进
行管理;法律合规部和风险管理部对分支机构合规有效性及风险事项进行管理。
公司制定了一系列分支机构管理制度,重点防范分支机构越权经营和道德风险。法律合
规部、风险管理部和审计监察部负责对分支机构的合法合规运作、各项风险防范、效益业绩
审定等进行各自维度的监控管理,在贯彻健全、合理、制衡、独立的原则下,公司完善的管
理制度保证了法律合规部、风险管理部和审计监察部的独立性。在监管部门“放松管制、加
16
�强监管”的精神下,法律合规部持续对分支机构进行合规监测、合规检查。审计监察部负责
对分支机构进行现场或非现场稽核,履行事后监督职责。对在工作中发现的触发公司问责程
序的违规违纪问题,依据公司《风控合规问责管理办法》予以问责,保障了分支机构规范、
安全运营。
8、投资银行业务内部控制
公司建立了对投资银行业务从项目尽职调查、立项、项目内核、在审项目跟踪、持续督
导及工作底稿的全过程内控机制,管理制度覆盖全面。公司设内核部,独立于投行业务部门,
负责公司保荐承销、并购重组、债券承销和推荐挂牌等业务的内核工作。
中国证监会于 2018 年 3 月 23 日下发《证券公司投资银行业务内部控制指引》,并于 2018
年 7 月 1 日起施行。公司根据《证券公司投资银行业务内部控制指引》的具体规定对投资银
行业务的内部控制组织架构进行了调整,并对投资银行业务相关的内控制度进行一系列的制
定、修订和完善,并于 2018 年 7 月 1 日正式施行,符合《证券公司投资银行业务内部控制
指引》的要求。
(1)尽职调查
公司制定了针对保荐承销、并购重组、债券承销、推荐挂牌业务尽职调查的一系列制度
和配套文件,投资银行事业部、中小企业融资业务总部等相关单位按要求执行。质量控制部
门负责建立投行业务尽职调查指引,并负责对项目组尽职调查工作进行监督指导。
(2)立项
公司设立保荐承销及并购重组立项评审委员会、推荐挂牌立项评审委员会作为评审机
构,对保荐承销、资产重组、上市公司收购、推荐挂牌转让、挂牌公司发行股票、挂牌公司
重大资产重组项目履行立项审议决策职责。公司设立债券承销及受托管理立项评审委员会作
为评审机构,对债券承销、受托管理项目履行立项审议决策职责。投行质控部是上述立项评
审委员会的执行机构,负责安排召集立项会议、汇总立项评审表决意见、制作立项决议以及
对相关立项材料进行存档管理等工作。公司设立资产证券化业务立项评审委员会作为立项审
议机构,对资产证券化项目履行立项审议决策职责。质量控制部门是该立项评审委员会的执
行机构,负责安排召集立项会议、汇总立项评审表决意见、制作立项决议以及对相关立项材
料进行存档管理等工作。
(3)项目内核
17
� 公司设立内核部和各专业内核委员会作为常设和非常设内核机构分别履行对投资银行
类业务的内核决策职责。除必须由内核委员会审议的事项外,内核部从公司层面履行对投资
银行业务的审批决策职责。公司根据投资银行业务类型分别设立保荐承销及并购重组内核委
员会、推荐挂牌业务内核委员会、债券承销及受托管理业务内核委员会、资产证券化业务内
核委员会分别对保荐承销及并购重组业务、新三板推荐挂牌业务、债券承销及受托管理业务、
资产证券化业务履行审议决策职责,内核部根据不同业务特点拟定各专业委员会工作规则。
(4)在审项目跟踪
公司内核会议结束后,内核部汇总委员意见发送项目组,项目组落实内核委员意见并经
投行质控部、内核部审核后方可对外报送申报文件。所有申报文件盖章前必须履行网上签批
流程,业务部门负责人、投行质控部负责人、投行业务负责人、内核负责人均需在流程中签
署明确意见。公司制订了《投资银行业务反馈意见报告制度》,所有保荐承销、资产重组、
上市公司收购、债券、新三板项目在监管部门审核期间出具的书面反馈意见回复、专项核查
意见等文件均需投行质控部、内核部审核后方看对外报送。
(5)持续督导及期后工作
公司制定了《投资银行业务持续督导工作管理办法》、 推荐挂牌业务持续督导管理办法》
等制度,明晰持续督导的工作规程和职责。保荐承销、资产重组、上市公司收购的持续督导
工作由投行质控部牵头制定相关制度、配套文件,项目组具体实施,投行质控部对项目组持
续督导工作的实施情况进行监督。债券业务存续期的受托管理工作由投行质控部牵头制定相
关制度、配套文件,项目组具体实施,投行质控部对项目组持续督导工作的实施情况进行监
督。新三板推荐挂牌项目的持续督导工作由持续督导质量控制部牵头制定相关制度、配套文
件,项目组具体实施,持续督导质量控制部对项目组持续督导工作的实施情况进行监督。公
司专业部门对保荐承销、资产重组、上市公司收购、债券、推荐挂牌的期后工作进行统一管
理,极大降低了上述业务期后运作风险,尤其是债券和推荐挂牌业务,项目数量较多,期后
事务繁杂,统一组织管理提高了项目组工作的有序性和有效性。
(6)工作底稿管理
公司制订了《投资银行业务工作底稿管理办法》、《尽职调查工作日志制度》等制度,加
强对工作底稿的管理。投行业务的各类项目底稿管理均按照制度规定有序开展。
9、新三板做市业务内部控制
18
� 公司制定了《新三板做市业务指引》,对选取做市项目的原则和主要标准进行了明确规
定,中小企业融资业务总部做市商业务部按照要求,通过部门研究员初选、投资经理会议审
议及现场尽职调查等程序对拟做市项目进行筛选,将有做市价值的项目上报公司做市业务决
策小组会议审核,从源头上对做市项目质量和风险进行控制。与此同时,部门还安排了做市
项目的管理工作,在做市标的完成初始库存股建立后,从做市项目跟踪与研究的角度进行风
险追踪。公司做市项目从建仓到日常交易,涉及的库存和资金管理、日常报价、风险合规、
内部报告与留痕、隔离问题以及做市异常情况处理等建立了相关管理措施,在做市日常业务
过程中严格执行。每笔资金都履行申请程序,由公司相关领导共同核准,库存股也区别于公
司自营部门单独管理。
公司做市业务日常交易严格按照股转公司要求执行,并对交易报单、交易环境安全性、
交易风险揭示等提出了细致的要求,公司每个做市项目均有交易员盯盘和专门人员负责管
理,对项目产生的问题和风险及时进行检查、汇总和分析建议,确保在符合监管要求的基础
上,提高做市股票流动性,积极履行做市义务。
公司做市业务部设有专门风控合规人员,对日常交易进行合规和风控检查。严格按照股
转公司要求履行调阅资料、递交情况说明、主动向全国股转公司报告等职责。同时,公司做
市商业务已纳入公司整体的风控合规监测体系,使用恒生投资管理系统对新三板做市业务实
施嵌入式风险监控,每日对做市交易情况、市值情况、持仓规模、盈亏情况等进行统计,编
制监控日报,及时提示风险。2018 年,公司对《新三板做市业务指引》进行了修订,并于
发布之日起开始实施。
10、自营权益投资业务内部控制
公司建立了统一的自营权益投资策略,量化投资部和证券投资部负责公司自营权益投资
经营活动,并设立了自营权益投资决策小组,在公司投资决策委员会授权范围内对自营权益
投资业务进行决策。
(1)自营权益投资业务投资决策
公司已建立较合理的自营权益投资业务投资决策体系,对自营权益投资业务的授权管
理、投资决策、账户及资金管理、投资操作、风险监控、会计核算、信息报告等制定了相对
完善的管理制度。公司风险管理部对自营权益投资业务实施嵌入式实时风险监控;法律合规
部根据隔离墙制度对自营权益投资业务进行合规管理;财务部负责资金划付与会计核算;营
19
�运管理部负责证券清算与交收;审计监察部负责对自营权益投资业务进行内部审计。
(2)投资决策流程内控管理工作
自营权益投资业务决策机构建立了包括董事会、总裁办公会及投资决策委员会、投资决
策小组和量化投资部四级决策与管理体系。董事会是公司股东大会授权的投资业务最高决策
机构,决定公司年度内自营权益投资业务规模和可承受的风险限额,并授权总裁办公会决定
自营权益投资业务的相关事宜。总裁办公会根据董事会授权决定量化投资部全年的自营投入
规模,并授权投资决策委员会管理量化投资部的相关事宜,投资决策委员会授权投资决策小
组审定量化投资部提交的投资方案。公司决策与授权过程清晰,权限设定、授权审核和交易
控制能够得到有效控制。
11、资产管理业务内部控制
公司对资产管理业务实行四级决策审批机制,董事会是公司客户资产管理业务的最高决
策机构,决定客户资产管理业务规模、自有资金参与金额,并授权总裁办公会和投资决策委
员会决定客户资产管理业务的其他具体事项。总裁办公会根据董事会授权,具体审核单支资
产管理计划规模、单支资产管理计划自有资金参与金额,并授权投资决策委员会决定客户资
产管理业务的投资决策事宜。投资决策委员会根据客户资产管理合同的约定和总裁办公会的
授权,决定客户资产管理业务的投资目标、投资范围、投资策略和投资限制等事项。风险控
制与安全运营委员会将通道型资产管理业务以及一定标准内的主动管理型资产管理业务审
批权限授权与资产管理部下的质量控制与运营部。风险控制与安全运营委员负责对超出以上
审批权限的资产管理业务进行审批。在资产管理部内部对客户资产管理业务实行研究、投资
决策、交易执行相互分离的机制。公司针对客户资产管理业务建立了完备的制度体系,涵盖
了市场推广及客户服务、投资决策及交易、会计估值与登记结算、合规风控与审计、信息披
露、档案管理、资格审批与财务管理等内容,进一步健全了资产管理业务内部控制。
资产管理的产品研发设计、合同格式内容、投资运作、核算及风控、合规管理等集中于
公司总部,对客户资产管理业务与证券自营业务及其他可能存在利益冲突的业务实行严格的
信息隔离。资产管理业务操作严格按照股票库、债券库、基金库的范围进行投资运作,各类
股票、债券、基金实行严格的准入与退出机制。公司风险管理部负责对资产管理的日常交易
活动进行实时嵌入式风险监控;法律合规部负责对各项投资指令进行合规审查;审计监察部
负责对资产管理业务进行专项审计。
20
� 12、私募基金综合服务及外包服务业务内部控制
根据相关法律法规及监管要求,公司于 2015 年 12 月 31 日成立了一级部门资产托管部,
并按要求在部门组织结构设置、从业人员配置、业务系统配置及办公场所安排等方面进行了
严格隔离,保证资产托管部与其他业务部门保持独立,保证私募基金综合服务业务与外包服
务业务保持独立。根据业务特点,资产托管部下设市场推广部、产品管理部、托管业务部、
外包服务部、综合管理部,全面负责公司私募基金综合服务及外包服务业务的开展和管理工
作。法律合规部负责对基金综合服务及外包服务业务合同内容的合规性、条款的完备性、约
定权利义务等法律事项进行审核,并提供合规咨询,负责按规定开展合规检查工作,风险管
理部制定能够有效识别、控制和防范业务经营风险和内部管理风险的风险控制机制。
为合规开展私募基金综合服务及外包服务业务、有效防范业务风险、保障基金财产及投
资者财产安全,公司制定了相关业务制度及操作规程,涵盖了份额登记、估值核算、资金清
算、信息披露、产品立项、账户管理、内控稽核、权限管理、档案管理、风险管理、应急管
理等各个方面,内部控制有效覆盖私募基金综合服务及外包服务业务的各个环节,为相关业
务日常风险管理工作提供了明确的依据。
资产托管部通过业务流程审批系统,按产品的生命周期设置了产品立项、合同签订、账
户开立、认购、申购、赎回、分红、清算、份额转让、资金清算、投资划拨、产品清盘等业
务节点,对不同业务节点设置审批流程,分别提交相关文件资料,分别经产品运营岗、账户
管理岗、份额登记岗、估值核算岗、资金清算岗、投资监督岗、内控监督岗审核并经领导审
批同意后执行相关操作,在相关业务全流程进行风险控制,有效地控制经营过程中可能产生
的各类风险,保证私募基金综合服务及外包服务业务的合规开展。
13、OTC 业务内部控制
公司设立 OTC 市场部负责对 OTC 业务进行统一管理。目前开展的业务包括收益凭证、种
子基金投资、资本中介、场外期权以及存量的收益互换业务。公司针对 OTC 业务建立较完善
的内部控制体系,实行多级投资决策机制,公司董事会决定公司年度总体投资规模以及总体
风险承受度;总裁办公会下设的投资决策委员会负责领导和协调 OTC 业务,审核确定相应业
务规模额度、业务相关管理办法、产品的发行等;OTC 市场部负责投资者管理、产品设计和
定价、产品推广、产品避险以及信息披露等具体业务的执行工作。公司建立了较合理的 OTC
业务投资决策体系,根据公司现有业务开展情况,分别对收益互换业务、场外期权业务、收
21
�益凭证业务的授权管理、投资决策、风险监控、信息报告等方面制定了相对完善的管理制度。
风险管理部对 OTC 业务进行实时监控,每日对各账户的持仓规模、客户权益比例、对冲偏离
度等进行统计,并与相应的警戒比例、强平比例、对冲比例进行比较,及时向业务部门提示
风险,以保证各项业务指标均在可控范围内。OTC 市场部须在 1 个工作日内对风险管理部出
具的强制性预警提示书做出反馈。法律合规部根据隔离墙等相关合规制度对 OTC 业务进行合
规管理;财务部负责 OTC 业务资金划付与会计核算;营运管理部负责相关证券清算与交收;
审计监察部负责对 OTC 业务进行内部审计。各部门均依据公司制度履行部门职责,确保 OTC
业务平稳开展。公司 OTC 业务投资决策体系清晰,各层级权责明确。
14、固定收益业务内部控制
公司建立了固定收益业务的内部控制体系,实行多级决策机制与管理体系,董事会研究
决定公司年度内投资业务规模和可承受的风险限额,并授权总裁办公会决定固定收益业务的
相关事宜,总裁办公会根据董事会授权决定固定收益部全年的自有资金投入规模,并授权投
资决策委员会管理固定收益业务的相关事宜,投资决策委员会授权固定收益投资决策小组审
定固定收益自营业务阶段性的投资方案。公司不断积极探索新的投资策略与投资工具,力争
在分散投资风险的同时实现投资收益的提升。
公司固定收益部为债券自营交易、利率衍生品投资和资本中介服务的专业化部门,制定
了较为完善的固定收益业务内控制度体系。固定收益业务内控制度体系涵盖了固定收益业务
授权、投资决策、交易操作、风险管理等方面内容。公司固定收益业务内部实行严格的权限
管理与岗位分工,交易审批按照固定收益部交易员、固定收益部风控经理、固定收益部总经
理、风险管理部、固定收益投资决策小组的审批流程执行。交易执行与交易审批严格分离,
交易员在单独的交易室内执行交易指令。公司固定收益部根据相关规定确定债券库,固定收
益部所有投资品种均需在债券库内选择,并按要求向风险管理部提交入库建议书、投资价值
分析报告以及内部评级报告。风险管理部负责债券库的维护工作,对债券出、入库手续进行
合规性审核。
公司风险管理部对固定收益业务实施嵌入式管理,通过电子化流程进行审批,在系统中
强制留痕。公司风险管理部监控人员每日对债券自营业务的合规性指标、配置管理指标、权
限管理指标、市场风险指标、流动性风险指标、信用风险指标等进行分析,编制风控日报。
公司法律合规部负责对固定收益业务流程进行合规审核,监督固定收益业务运作的合规性;
22
�审计监察部负责对固定收益业务进行专项检查,及时发现风险并督促整改。
15、互联网金融业务内部控制
公司对互联网金融业务实行专业的分公司管理机制,配备了独立完整的组织架构,制定
了较为齐全的服务于互联网金融业务的制度体系,包括但不限于《互联网金融业务相关产品
销售适当性管理办法》、《网上商城管理办法》、《互联网合作管理办法》,明确了公司互联网
金融业务定位以及各相关部门需要履行的职能,各岗位之间严格按照公司有关隔离墙制度规
定,设置专人专岗。公司法律合规部不定期对互联网金融业务进行合规检查,审计监察部不
定期对互联网金融业务进行审计检查。
16、会计内部控制
根据《企业会计准则》等规定,公司制定了《财务制度》、《会计制度》、《预算管理办法》
等制度,形成了较为完整的财务管理和会计控制体系。财务部是公司会计核算、财务管理的
职能机构,严格执行会计政策与相关制度。
公司根据国家政策的变化,已完成“营改增”的会计操作流程信息系统的更新;公司一
直坚持推进财务管理综合平台建设,目前公司财务信息系统完善,运行正常。公司一直致力
于跟随新业务的发生进行核算系统化的二次开发,为适应更高层次管理需求,公司已启动了
财务系统升级工作。公司财务部作为会计系统控制的执行部门,在会计核算系统控制、组织
与岗位控制、财务预算控制及会计档案管理等方面,有效实施了相关会计管理与控制活动。
17、资金管理内部控制
公司制定了《财务制度》、《自有资金管理办法》、《银行账户管理办法》等制度,严格规
范了资金运作流转的操作程序,明确了各资金岗位的权限和职责。财务部对公司自有资金实
行集中统一管理,统一管理公司总部及下属各单位的人民币和外币自有资金。
财务部严格执行《自有资金管理办法》,在自有资金预算管理、账户管理、资金调拨管
理、融资管理、资金运用管理以及风险评估与监测等方面实施了有效控制,严格控制资金流
动性风险,有效保障了公司自有资金安全,并支持公司业务发展。
18、信息系统内部控制
(1)信息系统管理
公司信息技术治理委员会负责统一领导、协调公司经营管理活动中的信息技术工作。信
息技术部是公司信息系统规划、建设、运行、管理与维护的主管部门,负责拟定公司信息系
23
�统整体规划、负责公司信息系统项目的建设和管理,维护和保障系统的安全和稳定运行、负
责制定公司内部信息系统的管理规章、操作流程、岗位手册、应急预案和风险控制制度等。
信息技术部总经理负责信息技术部的整体管理工作,风险管理部、法律合规部和审计监察部
对公司信息技术安全等方面进行监督和检查。IT 治理委员成立外部专家库,负责组织外部
专家对信息技术部或 IT 治理委员会认为有必要的重大项目进行评审。公司信息技术系统的
安全运行有效支持了公司经营管理工作的开展。
(2)交易系统管理
公司集中交易系统机房按照国际 T3 类机房标准建设,具有完备的消防、防雷接地和温
湿度控制系统,保证了交易系统核心资金服务器的安全、稳定、可靠运行。机房内使用的主
交换机与路由器,均采用双机主、备模式,实现双链路、双冗余备份,保证网络系统的正常
稳定运行。公司建立了完善的运行监控系统,通过金证统一监控系统对集中交易系统(包括
服务器、报盘系统、数据库、存储系统、网络和通信线路等)的运行环境、运行状况进行实
时监控;公司对监控系统记录进行定期分析,有效实施运行监控的内部控制。公司在深证通
南方数据中心机房建设有集中交易异地灾难备份中心,在紧急情况下可用 10 分钟左右完成
灾备信息系统业务接管,恢复公司的证券交易业务,保障客户业务连续。为保证集中交易灾
难备份系统的安全使用,确保集中交易灾难备份系统启动时机正确及时,公司制定的《信息
系统技术事故应急处理管理办法》、《集中交易系统应急预案》规定了集中交易灾难备份系统
启用条件及具体操作规程。公司已建立起较为完善的广域网体系,各分支机构与集中交易运
行中心、灾备中心通过 SDH 专线或基于互联网的 VPN 线路实现互联,分支机构均采用两条不
同运营商的地面线路较好的实现了线路的热备份,能有效防范线路风险,避免单点故障的发
生。同时,在完善信息系统大集中的建设过程中,公司已建立科技园数据中心机房,深证通
南方数据中心双中心架构,机房之间互联通过租用电信、联通、深证通公司裸光纤线路实现
互联,带宽达到万兆级别,能较好满足公司各类业务的带宽需要。
19、反洗钱内部控制
公司建立了健全的反洗钱组织体系,形成了包括反洗钱工作领导小组、合规总监、法律
合规部、总部各部门合规经理、各分支机构合规经理在内的多层次组织架构,保障了反洗钱
工作的有序开展。公司反洗钱工作领导小组是公司反洗钱工作的决策机构,负责统一领导、
协调公司各项业务涉及的反洗钱工作;公司合规总监担任公司反洗钱和反恐怖融资工作的总
24
�协调人,负责公司反洗钱和反恐怖融资工作的内部协调和外部沟通工作;法律合规部负责组
织实施公司的反洗钱和反恐怖融资工作。公司各单位及全体员工均负有反洗钱的义务,各单
位负责人为反洗钱第一责任人;总部各部门合规经理、各分支机构合规经理负责协调和监督
所在单位切实履行反洗钱工作职责。公司对分支机构现场审计中同步开展了反洗钱工作现场
审计,法律合规部和审计监察部积极开展反洗钱现场专项审计工作,进一步促进反洗钱工作
的有效开展。
公司已建立较为完善的反洗钱内控管理体系,制定了一系列管理制度,针对不同业务公
司制定了相应的反洗钱管理办法。为健全反洗钱制度体系,公司及时发布了《关于落实中国
人民银行关于加强反洗钱客户身份识别有关工作的通知》,强化对非自然人客户、特定自然
人客户等的身份识别工作,并由法律合规部负责督促实施。公司严格按照人民银行要求报送
大额和可疑交易报告,通过证券监控管理平台反洗钱模块开展反洗钱工作。公司严格按照相
关法律法规等要求完成反洗钱制度建设、客户身份识别、大额交易与可疑交易报告、黑名单
监测、客户资料保存、宣传与培训等工作。
20、信息隔离墙内部控制
防范内幕交易,防止公司和客户之间、客户与客户之间以及员工与公司、客户之间的利
益冲突,公司建立了完善的信息隔离制度和机制,明确公司董事会、管理层全面实施信息隔
离制度。公司各单位负责人是执行信息隔离制度的第一责任人,确保本单位在经营管理中有
效执行信息隔离制度。公司总部各部门合规经理、各分支机构合规经理协助本单位负责人实
施信息隔离制度并检查信息隔离的执行情况。公司严格按照监管要求开展信息隔离工作,制
定了《业务信息隔离墙管理办法》及《分支机构业务信息隔离墙管理规定》,规定了业务信
息隔离的原则和基本要求,并针对各项业务的特点,制定相应的业务隔离墙机制,包括《投
资银行类业务信息隔离墙管理办法》、《融资融券业务隔离墙管理办法》、《场外期权交易业务
隔离墙规定》、《股票收益互换交易业务隔离墙规定》等。同时,公司在各项业务的合规要求
中明确了业务及信息隔离的规定,确保投资银行业务、证券投资咨询业务、经纪业务、证券
自营业务、资产管理业务相对独立,相关业务人员严格分离,禁止相互兼职,实现了上述业
务所涉及部门在业务、人员、物理、资金与账户管理等方面的隔离。公司合规总监领导公司
法律合规部建立了合规检查、名单管理、跨墙审批等制度,对上述业务所涉及部门进行信息
隔离风险监测。
25
� 21、对控股子公司的管理与内部控制
公司制定了《长城证券股份有限公司控参股公司管理办法》,通过对控股子公司委派董
事、监事、提名风控合规负责人的方式,完善控股子公司的公司治理情况,健全控股子公司
内部控制机制,切实防范母公司与控股子公司之间的风险传递和利益冲突。公司修订了《对
控股子公司风险管理办法》,从制度上明确了控股子公司纳入全面风险管理体系的各项要求,
包括对控股子公司风险管理负责人的垂直管理、对控股子公司重大项目、创新项目的风控前
置审核,对控股子公司风险管理工作日常监控等。公司已在年度风险偏好、风险容忍度等指
标设定中将控股子公司业务纳入,并进行统一管理,并在业务管控方式上做了相应的规范,
明确了控股子公司业务风险评估机制、报告机制及风险管理负责人考核管理机制。
公司控股的宝城期货有限责任公司、全资子公司深圳市长城长富投资管理有限公司和深
圳市长城证券投资有限公司均按照法律法规与监管要求建立了较为完善的法人治理结构和
健全的内部控制组织体系和规章制度体系,规范运作,依法合规经营。公司风险管理部和财
务部设置专人负责与控股子公司对接沟通。公司财务部作为控股子公司“三会”议案的接收
和联络单位负责与控股子公司的日常对接和“三会”议案的上传下达工作。在对控股子公司
重大项目管理方面,公司风险管理部安排专人对接控股子公司,了解业务开展情况,跟踪投
资项目进展;对控股子公司上报的需母公司审议的重大项目,根据公司《对控股子公司风险
管理办法》,由风险管理部初审后报公司风险控制与安全运营委员会、总裁办公会审议。定
期收集和分析控股子公司的风控月报及年度报告,对发现的风险隐患及时预警;发生风险事
件的,将及时报告公司领导,采取措施妥善处置,以保障公司权益,提高投资效益。
(四)信息与沟通
公司董事会办公室、总裁办公室为负责各类信息传递的主要职能部门,已制定有关公文
处理、信息披露等制度。公司信息与沟通渠道包括办公自动化系统(OA)、电话、视频会议、
传真、内部刊物、网络邮件、面谈等,其中 OA 系统是公司发文、收文、公告、请示等信息
快速传递的主要平台。公司内部信息沟通顺畅,各类内外部信息按照规定程序有效流转。
1、内部信息
公司股东大会、董事会、监事会按照《公司法》、《公司章程》等规定召开会议,听取公
司经营管理状况的工作汇报,对相关议案进行表决。总裁办公会根据会议议题的提交情况及
时召开,遵循“提高会议效率,少开会”的原则。总裁办公会的主要议题包括:传达、贯彻
26
�落实监管部门、上级单位、股东大会、董事会的有关指示、精神,督促检查相关工作落实情
况;听取公司总裁办公会成员及部门负责人的工作汇报,研究决定公司经营管理事项;研究
决定在董事会授权范围内超出公司投资决策委员会权限的有关事项;研究与应对涉及公司重
大事项(含重大决策、重大合规性、重大风险性事项等)及研究决定公司级制度、办法、规
定、规则、条例等的制订及修订等事宜。总裁办公会会议方式分为现场会议与 OA 会签。其
中涉及“三重一大”事项的必须以现场会议方式召开;其他涉及有关指示、精神传达,重要
工作情况汇报等事项的,原则上需以现场会议方式召开,除外可选择 OA 会签方式。
公司根据业务发展及管理需要,不断完善和拓展原有 OA 系统功能,目前公司 OA 系统共
包括 100 多个功能模块,包括个人办公、协同办公、通用办公、信息服务、研究报告与资讯、
公用资料、财务系统、投资银行管理系统、研究所信息管理系统、审计管理系统、E-learning
培训系统、HR 系统、少将班长、各部门 OA 子系统等。公司通过 OA 系统颁布各类文件、通
知公告等,各职能部门和分支机构通过 OA 系统向管理层提交各种事项请示、工作汇报,管
理层通过 OA 系统及时审批、授权,公司全体人员根据各自在 OA 系统中的权限查阅公司各类
经营管理信息、处理职责内的工作事宜。在此基础上,公司推广使用的移动办公 APP 具有可
靠的系统架构,良好的运行效率和稳定性及安全性,是公司移动办公的重要工具,极大提高
内部信息与沟通的效率。
公司推行“扁平化”管理,缩短管理链条,提升快速反应能力,公司在 OA 系统首页设
置“总裁信箱”,加强公司各业务条线与公司总裁及经营班子的直接对话,有利于公司有针
对性地从业务、管理、服务、制度等各个方面进行及时反应和调整。
2、外部信息
公司法律合规部负责与监管部门、自律组织之间的沟通协调,及时向监管部门了解监管
政策和监管要求及变化。法律合规部切实履行合规报告职责,做好监管配合工作,确保公司
信息沟通、反馈机制畅通,提高了公司合规风险识别能力,及时将经营管理情况、风险评估
情况、合规报告等报送监管部门。
公司制定了《信息披露管理制度》,信息披露工作由董事会统一领导,董事长是公司信
息披露工作第一责任人,董事会秘书是公司信息披露工作的主要责任人,证券事务代表协助
董事会秘书工作。董事会办公室作为信息披露的日常工作部门,在董事会秘书直接领导下,
对需披露的信息进行搜集和整理,负责公司的信息披露事务。公司严格按照《信息披露管理
27
�制度》进行信息披露。
公司财务部、审计监察部主要负责与外部注册会计师的沟通工作,公司管理层及各职能
部门积极配合年报审计及各项专项审计工作,并注重与会计师沟通审计中发现的问题,听取
有关改善公司经营管理、内部控制等建议。经注册会计师审计后的财务报告按照公司规定及
时对外披露或报送。
与投资者沟通方面,公司主要通过各分支机构现场、公司网站、交易委托系统、客服中
心等多种渠道,综合运用现场张贴公告、各种媒体、培训讲座等多种方式,进行投资者教育。
各分支机构定期开展投资大讲堂活动,分支机构、客服中心的客服人员按规定对客户进行回
访。公司已建立了客户投诉、纠纷处理机制,公司总部、各分支机构均设立了投诉专员,投
诉电话、电子信箱在营业场所或公司网站公布,客户可通过电话、电子邮件、信函等方式进
行投诉。
(五)内部监督
公司已形成多层次的内部监督体系,监督机构依据相关工作制度及条例履行监督职责。
监事会依据法律、行政法规、《公司章程》,履行监督职责,每年向股东大会至少提交一份全
面的监事会工作报告,对公司业务经营、财务状况等进行监督。合规监督方面,公司董事会
风险控制与合规委员会、合规总监、法律合规部、各部门、子公司与分支机构合规经理根据
公司有关制度与条例规定履行合规监督职责。风险监督方面,公司已建立包括风险控制与合
规委员会、风险控制与安全运营委员会、风险管理部、各业务部门及管理支持部门兼职风控
经理的四级风险管理体系,该体系形成自上而下垂直型风险控制机构,负责对公司各项业务
的事前、事中、事后风险进行统一管理和监督。审计监督方面,董事会审计委员会对公司内
部审计工作进行指导、评价和监督,对外部审计与内部审计发现的重大问题整改落实情况进
行监督。公司每年对内部控制执行情况进行全面审计检查,由审计监察部监督被审计单位或
部门进行整改落实,并及时将审计工作情况向公司董事会、经营管理层汇报。公司经纪业务
总部、营运管理部、信息技术部、财务部、人力资源部等职能部门,在各自分管范围内对分
支机构的营销、运营、信息技术、财务、人力资源等方面进行执行过程中的监督,发现问题
责成就地整改。
五、报告期内部控制缺陷认定及整改情况
报告期内,公司不存在财务报告内部控制重大缺陷和重要缺陷,也不存在非财务报告内
28
�部控制重大缺陷和重要缺陷,存在少数非财务报告内部控制一般缺陷,例如合同要素的完善
需进一步加强、资管正回购业务的应急备案机制需进一步完善、子公司投资业务制度有待修
订完善、信息系统建设需进一步加强等,公司已采取相应的整改措施加强内部控制管理,提
升内部控制水平。
六、内部控制自我评价结论
报告期内,公司对纳入评价范围的业务与事项均已建立了内部控制,公司的内部控制机
制和风险管理架构较为健全,公司的内部控制制度能够贯彻落实执行,在内部控制环境、风
险评估、控制活动、信息与沟通、内部监督等方面发挥了较好的管理控制作用。实际执行过
程中亦不存在重大偏差,达到了公司内部控制的目标,不存在影响财务报告和非财务报告的
重大缺陷和重要缺陷。能够为实现业务合法合规的开展、发现和控制风险及提高经营效率和
效果等目标提供合理的保证。
未来期间,公司将继续完善内部控制体系的构建,规范内部控制制度的执行,强化内部
控制监督检查,促进公司健康、可持续发展。
董事长:曹宏
长城证券股份有限公司
2019 年 4 月 19 日
29
�
