意见反馈 手机随时随地看行情

公司公告

中信证券:2018年度内部控制评价报告2019-03-22  

						公司代码:600030                                                         公司简称:中信证券

                            中信证券股份有限公司
                        2018 年度内部控制评价报告

中信证券股份有限公司全体股东:
    根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求(以下简称“企业内
部控制规范体系”),结合本公司(以下简称“公司”)内部控制制度和评价办法,在内部控制日常监督
和专项监督的基础上,我们对公司2018年12月31日(内部控制评价报告基准日)的内部控制有效性进行
了评价。

一. 重要声明
    按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内
部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织
领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存
在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法
律责任。
    公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提
高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供
合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,
根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。

二. 内部控制评价结论
1.   公司于内部控制评价报告基准日,是否存在财务报告内部控制重大缺陷

     □是 √否

2.   财务报告内部控制评价结论

    √有效 □无效
    根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,不存在财务报告内
部控制重大缺陷,董事会认为,公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保
持了有效的财务报告内部控制。

3.   是否发现非财务报告内部控制重大缺陷

    □是 √否
    根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准日,公司未发现非财务
报告内部控制重大缺陷。

4.   自内部控制评价报告基准日至内部控制评价报告发出日之间影响内部控制有效性评价结论的因素

    □适用 √不适用
    自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论
的因素。




                                             1
5.   内部控制审计意见是否与公司对财务报告内部控制有效性的评价结论一致

     √是 □否

6.   内部控制审计报告对非财务报告内部控制重大缺陷的披露是否与公司内部控制评价报告披露一致

     √是 □否

三. 内部控制评价工作情况
      2011 年以来,公司分别从上市公司角度和证券公司角度开展了内部控制规范试点工作和内部控制
专项治理活动,聘请外部咨询机构予以协助,引入外部咨询机构关于内部控制的最佳实践和方法论,建
立健全了内部控制体系。公司董事会授权内部控制自我评价小组负责内部控制评价的具体组织实施工作,
对纳入评价范围的高风险领域和单位进行评价。
      自 2013 年开始,公司成立了成员相对固定的内部控制自我评价小组。评价小组由合规部牵头,
其他成员分别来自风险管理部、稽核审计部、计划财务部、法律部、董事会办公室和总经理办公室。为
进一步明确职责、提高工作效率,工作小组下设三个执行小组,具体负责公司不同部门、业务线的内部
控制自我评价。公司各部门、业务线行政负责人为本部门内部控制自我评价工作第一责任人,并指定具
体责任人员负责参与和配合工作。
      在此基础上,公司开展了 2018 年度内控自我评价工作。

(一).   内部控制评价范围

    公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。内部控制评价
的范围贯彻全面性原则和重要性原则,包括内部控制的设计和运行,重点关注经纪、期货IB、融资融券、
股票质押、自营、场外金融衍生品、投资银行、新三板、资产管理、研究、资金运营管理、大宗商品、
托管、财务管理以及财务报告编制、清算、关联交易、信息技术、子公司内部控制管理等高风险领域,
围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素对内部控制进行全面评价。

1. 纳入评价范围的主要单位包括:中信证券股份有限公司(以下简称“中信证券”或“公司”)、中
信证券(山东)有限责任公司(以下简称“中信证券(山东)”)、金石投资有限公司(以下简称“金石投
资”)、中信证券投资有限公司(以下简称“中信证券投资”)、中信证券国际有限公司(以下简称“中
信证券国际”)、中信中证投资服务有限责任公司(以下简称“中信中证”)、金通证券有限责任公司六家
全资子公司以及中信期货有限公司(以下简称“中信期货”)、华夏基金管理有限公司(以下简称“华夏
基金”)、新疆股权交易中心有限公司(以下简称“新疆交易中心”)、中信证券海外投资有限公司(以下
简称“中信证券海外投资”)四家非全资子公司。

2.   纳入评价范围的单位占比:

                                 指标                                          占比(%)
纳入评价范围单位的资产总额占公司合并财务报表资产总额之比                                   96.21
纳入评价范围单位的营业收入合计占公司合并财务报表营业收入总额之比                           99.52

3.   纳入评价范围的主要业务和事项包括:
      1、内部环境评价
      (1)治理结构
      公司根据《中华人民共和国公司法》(以下简称“《公司法》”)、《中华人民共和国证券法》(以下简
称“《证券法》”)、《证券公司监督管理条例》、《证券公司治理准则》、《上市公司治理准则》等法律法规
和监管规定,结合公司实际情况,建立了由股东大会、董事会、监事会和经营管理层组成的、符合现代
企业制度的公司治理结构。公司《章程》明确了股东大会、董事会、监事会和经营管理层的职责权限、
议事规则和工作程序等,确保了权力机构、决策机构、执行机构和监督机构之间权责分明、规范运作和

                                               2
有效制衡。
    股东大会是公司的权力机构。公司股东大会充分享有并有效行使《公司法》、公司《章程》赋予的
权利,公司股东大会的召集时间、通知方式、召开方式、表决程序和决议内容等完全符合有关法律法规
和公司《章程》的规定。
    董事会是公司的决策机构。公司董事会下设发展战略委员会、风险管理委员会、审计委员会、提名
委员会、薪酬与考核委员会以及关联交易控制委员会等六个专门委员会,并针对该六个专门委员会分别
制定了议事规则,为充分发挥专门委员会的科学、民主决策职能提供了有效制度保障。公司董事会薪酬
与考核委员会、关联交易控制委员会成员全部由独立非执行董事组成;审计委员会、提名委员会中独立
非执行董事人数超过二分之一;审计委员会、薪酬与考核委员会以及关联交易控制委员会主席均由独立
非执行董事担任。公司制定了《独立董事工作制度》,明确了独立董事的任职资格、职责权限等,对独
立董事依法履行职责予以充分保障。
    监事会是公司的监督机构。公司监事会成员认真履行职责,列席了全部现场董事会会议并向股东大
会汇报工作,对公司财务以及董事会、经营管理层履行职责的合法合规性进行了有效监督。
    (2)发展战略
    公司综合考虑宏观经济政策、国内外市场需求变化、行业发展趋势、竞争对手状况、可利用资源水
平和自身优劣势等影响因素,制定发展战略,定位准确、目标清晰、操作可行。公司依据发展战略制定
并落实年度工作计划,确保了发展战略的有效实施。公司制订各业务线、各部门、各子公司 2018-2020
年战略规划,对经营指标、客户市场、行业地位制订了明确目标,并对保持竞争优势提出实施路径,确
保公司可持续、健康发展。
    公司在资源配置、工作机制等方面对发展战略予以充分保障:在董事会层面,公司设立了发展战略
委员会,同时制定了发展战略委员会专门议事规则,明确了发展战略委员会的人员构成、职责权限、会
议召集及通知程序、议事和表决程序等内容。
    (3)人力资源
    公司重视人力资源体系建设。根据中长期发展战略与年度计划,坚持“责权利对等”的人力资源管
理理念,按照“制度化、数据化、精细化、一体化”的发展方向,明确人力资源发展目标。加强人力资
源规划、管控,系统性建立健全公司人才引进、使用、培养、考核、激励人力资源政策,打造一支积极
向上、主动担当、与公司长期共同发展的员工队伍。
    2018 年,公司通过制度建设持续推进人力资源工作的精细化管理。通过设置更科学的业绩考核体
系,对各级员工进行全面考核与评价,加强对子公司的考核,实现员工的优胜劣汰,进一步完善人力资
源的激励约束机制。
    同时,2018 年公司持续重视员工素质和能力提升,继续加大对中高职级员工的培训和发展力度,
坚持执行中高职级人员领导力项目;不断完善不同岗位职级员工的培训体系与课程设计,通过“中信证
券大讲堂”、E-Learning 在线培训、校园招聘新员工集中培训等多种手段,营造尊重知识、尊重人才和
关心员工职业发展的企业文化氛围,建立了一批优秀的内部讲师队伍,促进了全体员工知识技能的持续
更新与升级。
    (4)社会责任
    公司高度重视履行社会责任,切实做到公司经济效益与社会效益、短期利益与长远利益、自身发展
与社会发展相互协调,努力实现公司与员工、公司与社会、公司与环境的健康和谐发展。
    公司遵纪守法,合规经营;认真履行上市公司法定义务,持续及时披露信息,不断加强与投资者沟
通交流;通过不断完善治理结构,持续加强风险管理和内部控制,努力提升经营业绩;强调以客户为中
心,不断加强客户服务和提升客户满意度,并积极响应国家政策,全心全意为中小企业发展提供良好的
融资和顾问等服务,积极协助中小企业拓宽融资渠道;通过推行公平合理的薪酬制度、安排岗位和职业
技能培训等,保障员工合法权益、做好员工职业发展规划;关心员工身心健康,举办各种文体比赛、设
立各类体育俱乐部,丰富员工业余生活;热心公益慈善事业,持续开展捐资助学、济贫帮困等活动,造


                                             3
福和谐社会。
      (5)企业文化
      公司采取切实有效的措施,积极培育具有自身特色的企业文化。通过举办新老员工培训活动,坚持
向员工输入企业文化的核心理念;为回顾公司历史、传承优良文化、弘扬拼搏精神,公司举办了第十届
运动会,同时积极参与扶贫、植树等公益活动,培养员工践行公司文化的意志和实践能力,使公司具有
自身特色的企业文化深入全员并贯彻到员工的日常行为中。同时,公司董事、监事和高级管理人员在企
业文化建设中自觉发挥主导和示范作用;公司持续将企业文化建设融入到经营管理中,切实做到文化建
设与发展战略有机结合,增强了员工的责任心和使命感,引导和规范了员工行为,形成了团队的整体向
心力,促进了企业的长远发展。
      2、全面风险管理体系
      2018 年,公司基于“并表试点”等外部监管要求和内部管理需要,持续完善风险管理制度体系、
健全风险管理组织架构、加强风险管理信息系统建设、优化风险控制指标体系、加强专业人才队伍建设、
强化风险应对机制,并重点加强对各境内外子公司的风险并表管理,包括深化子公司垂直管理措施、提
升子公司数据频率和数据质量、优化全面风险管理系统功能、建立集团化风险管控机制等,进一步推进
集团风险管理的全覆盖,为各项业务的稳健可持续发展提供保障。
      (1)风险管理组织体系
      公司董事会下属的风险管理委员会、执行委员会下设的风险管理委员会及各专业委员会,相关内控
部门与业务线共同构成了公司风险管理的主要组织架构,形成委员会集体决策、内控部门与业务线密切
配合、相互制衡的三层次风险管理体系,从审议、决策、执行和监督等方面管理风险。
      (2)风险管理制度体系
      2018 年,风险管理部根据外部监管规定变化以及内部风险管理需要,一方面查缺补漏,另一方面
积极提升,制定或修订了一系列文件,完善由基本风险管理制度、专业风险管理政策和重点领域风险管
理办法及具体业务风险管理细则等层次构成的制度体系。
      公司修订了《全面风险管理制度》,将洗钱风险和信息技术风险纳入公司全面风险管理体系,完善
公司风险管理基本框架。
 在各专业风险领域,公司制定或修订《信用风险管理政策》、《风险资产处置管理办法》、《重大风险
事件报告管理办法》、《市场风险限额管理办法》、《流动性风险管理工作小组管理办法》、《估值定价模型
验证制度》、《程序化交易风险管理制度(试行)》、《风险管理考核制度》、《子公司垂直风险管理指引》
等文件。
      在具体业务的风险管理制度方面,公司修订了《债券远期及债券回购业务交易对手风险管理办法》、
《股票质押式回购交易风险管理指引》、《境内场外衍生品协议信用风险管理办法》、《程序化交易风险管
理制度(试行)》、《固定收益类产品投资业务信用风险管理办法》、《投资银行业务信用风险管理制度》、
《投资银行业务债务品种信用风险审核与评估指引》、 投资银行业务发行与承销包销风险控制与管理指
引》、《资产支持证券存续期信用风险管理指引》等。
      (3)风险管理授权与限额体系
      公司进一步健全和完善了公司风险限额管理机制,明确了涵盖风险管理委员会、首席风险官、业务
风险主管、风险管理经理的自上而下的多层次分级授权体系和风险限额管理制度流程。
      (4)风险管理系统
      公司自主开发了全面风险管理信息系统,实现整体风险情况和风险指标集中监测。该系统下设风控
指标监控、集团风险日报、专业风险监控、子公司管理等模块,并可通过该系统进入到信用风险、市场
风险、流动性风险、操作风险等专业风险的监测与管理系统。
      另外,市场风险计量引擎、人行征信管理系统个人征信模块、操作风险管理系统“子公司管理模块”、
投行债券承销存续期管理系统开发完成并已投入使用。
      (5)声誉风险


                                              4
    公司的声誉风险管理已纳入全面风险管理体系,建立了相关制度和管理机制,以防范和识别声誉风
险,主动、有效地应对和处置声誉风险事件,最大程度地减少由此对公司造成的损失和负面影响。
    公司坚持预防为主的管理理念,建立常态、长效的声誉风险管理机制,注重事前评估和日常防范。
通过声誉风险管理流程,发现并解决经营管理中存在的问题,消除影响公司声誉和形象的隐患。同时,
通过事件推动,在实际操作中,对声誉风险的管理和处置机制是否有效、职责是否明确及报告、决策和
执行流程是否有效实施进行评估,注重职能部门的响应与协作,在公司董事会、经营管理层、各职能部
门和分支机构之间实现快速响应和协同应对,提高防范声誉风险和处置声誉事件的能力与效率。
    (6)合规管理
    公司已建立能够满足监管要求和公司合规管理需要的合规管理组织架构。根据公司《章程》和《合
规管理规定》,董事会是公司合规管理的领导机构,决定公司合规管理目标,对合规管理的有效性承担
责任;高级管理人员负责落实合规管理目标,对合规运营承担责任;各部门、各分支机构和各层级子公
司负责人负责落实本单位的合规管理目标,对本单位合规运营承担责任;合规总监负责公司合规管理工
作,实施对公司经营管理活动合法合规性的审查、监督和检查;合规部为公司合规工作日常管理部门,
在合规总监领导下,履行具体合规管理职责;各部门/业务线合规专员分别在各自职权范围内行使合规
管理职责。公司建立健全了以《合规管理规定》为基本制度,以公司《员工合规守则》、《合规咨询与审
核制度》、《合规检查与监测制度》、《客户投诉举报处理制度》、《合规报告制度》、《合规考核制度》、《信
息隔离墙制度》及其配套措施、反洗钱工作制度体系、合规部内部工作制度、相关部门/业务线/分支机
构合规制度等为具体工作制度的合规管理制度体系,使公司的各项合规管理工作有章可循。
    公司各级经营管理部门、业务线和分支机构以及全体员工在开展经营管理活动时,须按相关制度提
交合规咨询审核;合规部组织或者协助业务部门对制度或业务流程进行定期或不定期梳理,评价执行效
果,监测、检查和评估风险情况,对违法违规隐患进行质询或调查,提出具体整改意见并督促落实;公
司重视和大力开展合规宣传和合规培训工作;公司建立畅通的客户投诉举报信息获取机制,协助有关部
门妥善处理涉及公司及员工违法违规行为或重大合规风险隐患的客户投诉举报;公司已建立完善的合规
报告体系,按照监管要求向董事会、监管部门报送定期或临时合规报告;公司定期对各部门、业务线和
分支机构及公司员工合规管理的有效性和执业行为的合规性进行合规考核,并将考核结果纳入公司绩效
考核体系。
    2018 年,在合规管理制度层面,公司制定或修订了《利益冲突管理办法》、《合规专员管理办法》、
《制度管理规定》、《合同管理办法》、《受制裁业务管理规定》等多项基本和配套制度。通过制度建设,
合规管理工作的规范化建设得到进一步加强,合规管理制度体系得以进一步完善,合规管理的独立性得
到进一步保障。公司通过进一步完善信息隔离墙系统、反洗钱系统、客户交易行为监控和管理系统以及
黑名单监测系统,提高合规管理信息化能力,防范违规操作、洗钱、内幕交易、利益冲突等各类风险发
生。
    为了配合公司国际化和一体化战略的推进和海外业务整合,公司依照《全球合规手册》,推进全球
合规文化建设、防范全球合规风险;根据与香港子公司签署的《北京、香港两地合规中央控制室备忘录》,
进一步完善全球中央控制室的协作机制;深化对境外合规团队的垂直管理,就跨境业务的发展和全球监
管规则的变化快速反应。通过上述方式,公司集团化、国际化的合规管理水平显著提高。
    (7)法律风险
    2018 年,公司法律部围绕主责,专注于防范和化解公司法律风险。处理公司诉讼仲裁纠纷案件,
参与公司风险项目处置;为公司重大决策提供法律咨询,提出有利于公司改进经营管理工作的建议;参
与产品风险评估工作;参与采购管理工作;开展知识产权管理;统一管理律所选聘和服务工作;接待国
家有权机关的调查取证等执法工作;组织实施法制宣传教育工作,不断提高全体员工的法律意识,为公
司持续提高依法经营管理水平、实现战略发展目标提供法律保障。
    在组织体系方面,法律部内部分工明确,成立专门的诉讼小组,由具有丰富诉讼实务经验的法律人
员组成,诉讼事务直接向法律部行政负责人汇报。指定专人负责知识产权管理、律所选聘、协助有权机


                                                5
关调查取证、普法等工作,并对相关工作进行绩效考核,确保责任到人、奖惩到位。
    在制度和流程控制方面,法律部依据 2017 年制定或修订的《案件管理办法》、《外聘律师事务所管
理办法》、《商标管理办法(试行)》、《著作权管理办法(试行)》、《关于协助有关国家机关调查取证、冻
结、扣划客户证券和资金的规定》等相关法律风险管理制度,推动相关工作流程规范化。要求业务部门、
分支机构在案件发生后二十四小时内向法律部报告,并在案件管理系统中填报案件信息,每月以书面方
式向公司管理层报告案件进展;在案件处理过程中,起草诉讼文书,参与案件庭审,提出有利于公司的
诉讼主张,加强与司法机关工作联系,推动执行案件尽快回款。要求留存协助执法业务档案,保证过程
留痕。2018 年,公司发布了《VIS 视觉识别系统手册》,统一商标、标识使用。在研究报告的著作权归
属、信息系统开发等方面,要求约定公司享有相关著作权。公司法律部通过上述方式加强法律风险的管
控。
    (8)廉洁从业风险
    妥善处理公司员工违规违纪行为和坚守选人用人廉洁底线是公司廉洁从业风险防范的主要内容。在
员工违规违纪行为处理方面,公司监察部会同合规部、人力资源部制定了《中信证券员工违规违纪处理
办法(试行)》,明确规定了员工违规违纪情形、相应的处理措施及处理程序;在坚守选人用人廉洁底线
方面,监察部根据《选人用人监督管理办法(试行)》对拟任职人员进行廉洁情况审核;在廉洁从业行
为管理方面,监察部和合规部根据证监会发布的《证券期货经营机构及其工作人员廉洁从业规定》、《关
于加强证券公司在投资银行类业务中聘请第三方等廉洁从业风险防控的意见》等制定了《中信证券股份
有限公司廉洁从业规定》,对公司员工廉洁从业提出了具体要求。在此基础上,公司设立了由监察部、
党务工作部、人力资源部、计划财务部、合规部、法律部、风险管理部、稽核审计部组成的廉洁自律监
督工作组,对公司各单位及员工的廉洁从业情况进行监督,并向公司党委、董事会、监事会和高级管理
人员报告。

4.   重点关注的高风险领域主要包括:
     2018 年度内控自我评价工作,在确保覆盖主要核心业务流程的基础上,重点围绕监管检查的关注
重点,以及同业机构发生违规、遭受监管处罚行为的领域进行。
       (1) 经纪业务
     公司针对经纪业务的风险特点,在组织架构、业务与综合运营管理、营销管理、客户服务和母公司
账户规范方面建立了完善的内部控制机制。
     ① 组织架构
     公司建立健全了“三位一体”的经纪业务内部控制体系且有效运行。公司财富管理委员会(原经纪
业务发展与管理委员会)、分公司作为经纪业务直接管理机构,在证券营业部(以下简称“营业部”)的
大力配合下,重点对业务风险进行控制;公司合规部、法律部和风险管理部及时发现、揭示业务风险点,
有效监测并督促后续整改;公司稽核审计部重点对制度和业务流程执行的有效性进行事后稽核,对稽核
中发现的问题提出稽核整改意见及管理建议书,督促被稽核单位进行整改。
     公司对营业部的交易、清算和财务实行集中管理,对营业部财务岗、信息技术岗实行垂直管理。公
司营业部实行前、后台分离的控制机制,营业部运营总监对柜台业务履行一线管理职责。根据《证券公
司和证券投资基金管理公司合规管理办法》、《证券公司合规管理实施指引》等监管要求,员工人数在
15 人以上的营业部设有专职合规管理人员,员工人数在 15 人以下的营业部设有兼职合规管理人员,上
述合规管理人员对营业部进行合规管理。按照监管要求,公司对营业部总经理实施强制轮岗及离任审计。
     ② 业务与综合运营管理
     公司建立了统一的业务操作规程和授权管理制度,明确了营业部后台管理类、账户类、资金股份类、
交易类、客户服务与交易行为管理、金融产品代销等各类业务操作流程。
     ③ 营销管理
     公司建立了统一的营销人员序列,制定了相应的营销管理制度,从人员聘用、岗前培训、执业资格


                                                6
管理、执业行为管理、薪酬与考核、风险监控等方面防范营销人员执业不规范的风险。2018 年,公司
财富管理委员会先后制定或修订了《经纪业务分支机构管理办法》、《经纪业务低起点权益类产品销售业
务指引》、《零售效能工作指引》、《分支机构股票期权经纪业务管理办法》、《经纪业务非现场办理账户业
务规范》、《客户经纪关系确认管理办法》、《经纪业务分支机构费用开支管理实施细则》等制度,对营业
部产品销售、零售客户营销、股票期权经纪业务、非现场业务办理、经纪关系确认、费用开支管理等制
度进行细化和完善。公司合规部有针对性地对营业部客户经理等业务人员进行合规执业和投资者适当性
管理培训,提升合规意识,防范合规风险。
    ④ 客户服务
    公司建立了统一的客户管理和客户服务制度,制定了客户适当性管理、客户交易安全监控、客户回
访和投诉处理等一系列制度。
    ⑤ 母公司账户规范情况
    2018年,监管层继续加大账户监管力度,公司继续加强账户日常管理,开展产品证券账户一码通信
息补录、份额持有人数据报送及产品净值报送,账户实名开立及实名使用情况自查,中国结算账户核查、
账户信息治理等工作;对于行业内新涌现的账户创新业务,制定了完善的制度,以规范相关业务流程;
对公司各分支机构进行专门培训,杜绝不规范账户的开立。
    截至2018年12月31日,公司经纪业务客户共有证券账户11,199,520户,其中:合格证券账户
10,442,074户,占93.24%;休眠证券账户756,181户,占6.75%;不合格证券账户1,067户,占0.01%;司
法冻结证券账户15户;无风险处置证券账户。截至2018年12月31日,公司经纪业务客户共有资金账户
7,237,792户,其中:合格资金账户6,451,085户,占89.13%;休眠资金账户785,247户,占10.85%;不
合格资金账户1,433户,占0.02%;不合格司法冻结资金账户27户,占0.0004%;无风险处置资金账户。
    (2)期货 IB 业务
    2018 年,按照外部监管规则或自律规则的变化,公司修订了《期货 IB 相关制度汇编》,内容涵盖
投资者适当性管理、期货介绍业务营业部及从业人员资格管理、非自然人客户受益所有人信息尽职调查、
优化交易权限管理等方面,对业务开展的事前、事中及后续管理进行规范并定期检查,防范期货 IB 业
务风险。
    (3)融资融券业务
    公司针对融资融券业务的风险特点,在组织体系、决策授权、制度和流程、风险管理等方面建立了
完善的内部控制机制。
    ① 组织架构和决策授权
    公司建立了以“董事会—公司资产负债管理委员会—证券金融业务线—营业部”为主体架构的融资
融券业务决策与授权体系,对融资融券业务实行集中统一管理,并实行业务部门与中后台部门相互分离、
相互制约的组织架构。
    ②制度和流程
    公司根据监管要求建立了完善的、覆盖客户征信授信、客户信用账户管理、担保物管理、逐日盯市
及强制平仓管理、客户回访、客户投诉受理及处理等流程,制定了《融资融券业务管理制度汇编》,更
新了投资者适当性管理的相关要求,修订了融资融券投资者适当性管理办法,严格执行融资融券业务投
资者适当性管理的制度,未因此产生不符合监管要求的事项。
    ③ 风险管理
    主要通过对客户征信和信用额度审批、逐日盯市和及时平仓等方式,实现信用风险控制;通过融资
融券业务规模限制、与净资本的比例限额、担保物的选择、持股集中度监控等方式,对流动性风险加以
控制;通过建立各项制度与流程、人员培训等方式,进行操作风险控制。
    (4)股票质押业务
    公司针对股票质押回购业务特征,制定了全面的业务管理制度,组建了较为完备的组织架构,从客
户适当性管理、交易对手信用风险管理、业务市场风险管理、业务操作风险管理、业务信息系统建设和


                                              7
监管数据报送等多个方面建立了较为完善的业务标准和详细的业务操作流程,确保业务开展合法合规,
形成了健全的内部控制机制。
    (5)自营业务
    公司针对自营业务的风险特点,在风险管理、自有资金交易账户管理、异常交易监测以及业务创新
等方面建立了完善的内部控制机制。
    ① 风险管理
    设置了公司、部门、账户层面的三重限额体系,实现了风险控制指标的实时、动态监控和自动预警。
风险管理委员会负责对公司整体风险限额的制定与调整进行管理和审批;其下设的风险管理工作小组为
协调机构,负责推进落实公司风险管理委员会的各项相关决策;业务部门和风险管理部根据各项业务的
特点,对风险限额进行细化和分配,将部门层面和公司整体主要风险指标控制在限额之内。
    ② 自有资金交易账户管理
    根据《自有资金交易账户管理办法》,公司严格规范自有资金交易账户的维护和使用,从风控、额
度、合规(交易属性)、财务等方面加强自有资金交易账户开销户的管理和审核,控制和防范自有资金
交易的运营风险。同时,对于股权衍生品业务线、权益投资部、另类投资业务线等涉及程序化交易的账
户,公司严格按照上交所《关于加强股票期权程序交易报备管理的通知》要求,对相关程序化交易进行
报备。此外,根据监管要求,合规部就公司场外期权交易专用对冲账户进行了专项报备,并强化交易标
的的监测和管理。
    ③ 异常交易监测
    公司“异常交易监测系统”于2017年4季度试运行,公司所有自营账户已被纳入监测范围,分别就
大额频繁反向交易、大额申报、连续申报、密集申报、单个股票涨跌停大量申报、强化尾市涨跌停趋势
虚假申报等数十种异常交易类型进行分市场、分部门、分账户监测预警。后续将结合监测结果不断优化
对冲交易管理。
    ④ 业务创新
    在每项新业务开展前,由公司风险管理部统筹中后台相关部门根据公司《新业务评估流程》开展评
估,确保创新业务模式和开展范围合法合规,与新业务提案部门共同梳理业务规则,论证风险类型和缓
释方案,明确新业务相关数据与清算、财务、风险管理等中后台系统的对接方式,确定估值定价与风险
计量模型以及所必须遵守的风险限额。
    ⑤ 制度与流程优化
    2018年,监管机构加强了对债券投资交易业务管理,陆续发布了若干规范文件。公司制定了《债券
投资交易业务管理办法(试行)》,从内控治理架构、职责分工、人员管理、风险管理、业务管理和数据
报送等方面提出了规范性要求。债券交易的主要开展部门固定收益部制定了《固定收益部债券交易业务
管理办法》,规定了债券交易操作的具体操作流程,各业务组和中台内控人员通过业务系统实现债券交
易的逐级审批、账户管理以及风险监控等。
    (6)场外金融衍生品业务
    公司针对场外金融衍生品业务特征,制定了全面的业务管理制度,组建了较为完备的组织架构,从
客户适当性管理、交易对手信用风险管理、业务市场风险管理、业务操作风险管理、业务信息系统建设
和监管数据报送等多个方面建立了较为完善的业务标准和详细的业务操作流程。2018年5月,证监会、
证券业协会出台了关于场外期权业务的一系列新规,公司积极落实新规各项要求,对存量场外期权业务
开展了自查,并对不满足新规要求的存续交易进行了清理、整改,确保业务开展合法合规,形成了健全
的内部控制机制;公司于7月31日获得《关于中信证券申请场外期权一级交易商资质的无异议函》(机构
部函〔2018〕1784号)。
      ① 完善制度与管理流程
    一是制度修订。公司及时更新和完善了《场外期权交易业务管理办法及操作规程》、《场外期权业务
客户准入尽职调查操作指引(试行)》、《场外期权业务客户身份识别资料及尽调流程表》、《场外衍生品


                                             8
数据报送规程》等内部制度。
    二是客户准入尽职调查及反洗钱审查。在修订内部制度的基础上,公司进一步强化客户准入尽职调
查工作,加强对客户的交易行为的管控,建立了客户回访机制。
    三是对冲交易管理。公司依托异常交易监测系统强化了交易对冲管理,确保期权对冲交易专户专用;
对冲过程中进一步防范异常交易行为,避免对二级市场造成冲击;同时加强了对交易对手方利用场外期
权交易从事内幕交易、操纵市场等违法违规行为的监测监控。进一步完善对冲交易的内控制度和监控机
制,包括对冲端成交金额占比控制、日内涨跌幅限制、委托价格限制、价格异常波动的开仓限制、市场
敏感时期的对冲交易操作控制、对冲交易额度限制及强化大宗交易审核等。
    四是加强标的管理。根据监管要求,公司制定了《场外期权个股挂钩标的管理规程》,按照要求向
证券业协会报送场外期权挂钩个股标的名单,同时根据证券业协会发布的《关于证券公司场外期权业务
挂钩个股标的名单的公告》,结合公司合规、风控等内控要求,对场外期权挂钩标的进行名单管理。
    五是加强合规审查。对场外期权产品设计等业务流程加强合规审核和管理,更加关注客户交易目的,
并严格按照监管要求明确行权价、期权费等要素。
    六是数据报备。在修订内部制度的基础上,公司采取一系列措施提高报送效率,确保数据报送及时、
准确、完整、规范。
      ② 信息系统建设
    2018年度,公司信息技术中心配合全面风险管理要求,完成了与之配套的相关系统建设。信用风险
管理方面,完成了信用风险管理系统、内部评级系统、人行征信系统建设;市场风险管理方面,完成了
风险数据管理、市场风险计算引擎管理系统、市场风险报表系统建设;流动性风险方面,完成了流动性
风险管理系统建设;操作风险方面,完成了操作风险管理系统建设;合规风险方面,优化了合规管理系
统、反洗钱系统、异常交易监控系统、黑名单系统。同时,信息技术中心还按照监管的要求,完成了风
险控制指标动态监控系统、并表系统的建设,实现了对总部及子公司的各类风控指标的自动计算和及时
监控,覆盖了风险管理方方面面。
    ③ 风险管理
    根据场外期权业务的快速发展,公司制定了有针对性的风险限额体系,以保证对业务风险的有效管
控;制定并完善了《股票期权自营业务合规与风险管理办法》、《股衍业务市场风险指引》、《固定收益业
务市场风险管理办法》、《场外期权业务市场风险指引》等制度。
    (7)投资银行业务
    公司针对投资银行业务的风险特征,在组织架构、制度建设、保荐代表人管理、质量控制、内核、
发行方案设计和发行定价和持续督导等方面建立了完善的内部控制机制。
      ① 组织架构
    投资银行管理委员会(以下简称“投行委”)下设置八个行业组、十个投行分部、人才发展中心、
股票资本市场部、债务资本市场部、债券承销业务线、资产证券化业务线、并购业务线,负责各类客户
潜在全产品投行业务需求的发掘和执行;设置股票资本市场部和债务资本市场部分别负责股权类产品和
债权类产品的发行定价、推介路演和配售;设置运营部负责各类融资业务的内部协调与支持工作。
    公司投行委设置质量控制组,对投资银行业务实施动态跟踪和管理,履行对投资银行类项目质量把
关和事中风险管理等职责。投行业务实施立项委员会制度,对各类项目进行入口管理。质量控制组内部
根据产品类型配置不同的质量审核人员,具体把握项目本身的质量风险。
    公司内核部承担保荐承销项目及财务顾问项目的内部审核工作。内核部完全独立于投行业务部门,
保证了内核工作的独立性和公正性;合规部负责信息隔离墙管理、投行项目利益冲突审查、投行业务独
立性管理与审查、IPO 项目网下禁配对象核查、投行业务反洗钱、未公开信息知情人管理、投行业务有
关合同审核等工作;风险管理部负责对投行业务的操作风险进行监控和定期检视、对债权类品种(证监
会主管公司债券及资产证券化)进行信用风险评估与产品风险审核及对包销持仓进行监控。
    总体上,投行委形成了以行业组、业务线质量控制组、风险管理部、合规部、内核部构成的“三道


                                             9
防线”内部控制架构体系。
    ② 制度建设
    2018 年,《证券公司投资银行类业务内部控制指引》等重要监管规定实施,公司同步制定、更新了
各类适用于投行委的投行业务管理制度 34 项,包括《投资银行管理委员会项目开发和立项管理办法》、
《投资银行管理委员会项目管理办法》、《股权承销与保荐项目尽职调查工作管理办法》、《上市公司并购
重组财务顾问项目尽职调查工作管理办法》等。
    ③ 保荐代表人管理
    为加强保荐代表人管理,公司制定了《保荐代表人管理办法》、《股权承销与保荐项目尽职调查工作
管理办法》、《投资银行管理委员会项目工作底稿管理办法》等制度,要求保荐代表人对所保荐的项目进
行充分的尽职调查,全面参与包括发行方案讨论、申报材料制作、与监管机构的沟通、路演发行等各个
阶段的业务活动,并按照监管要求建立完整的保荐工作日志,详细记录项目实施过程,以确保项目不存
在虚假记载、误导性陈述或者重大遗漏,并建立完备的项目工作底稿。质量控制组对保荐代表人的履职
情况进行全程监督。
    ④ 质量控制
    投行委各部门/业务线在业务运作过程中,负有把控风险和质量的工作职责。质量控制组根据《投
资银行管理委员会质量控制工作管理办法》负责在投行委内部对项目运作全过程进行质量核查及风险控
制的动态跟踪,涵盖了立项管理、项目过程监控、申报文件审核、技术专家支持、经验总结和积累等一
系列完整流程。投行业务根据《投资银行委员会项目开发和立项管理办法》,设立立项委员会,在公司
层面对投行项目进行评估和甄别。立项委员会负责审核各业务线提交的立项申请是否符合相关条件,并
以投票的方式决定项目是否立项,核定项目组负责人及项目组成员,核定项目初步预算,批准撤销因各
种原因已结束工作的项目等工作。立项委员会组成人员除投行委各部门/业务线内部资深人士之外,还
包括内核部等非投行业务部门人员。
    ⑤ 内核
    内核部是投行业务内部控制的重要一环,其主要工作内容包括:依据项目人员前期尽职调查的情况,
参与投资银行项目的立项选择;持续跟踪项目的改制、辅导等中间环节,及时了解项目动态及存在的问
题;对拟提交监管机关的申报材料进行审核;召开内核会议,对投资银行项目进行出口管理;对反馈意
见的答复进行审核;关注项目人员在项目持续督导期间履行持续督导义务的情况,并对重点或异常情况
进行核查。
    ⑥ 发行方案设计和发行定价
    在项目的发行方案设计和发行定价环节,公司建立了严密的风险控制体系。资本市场部门在充分了
解和评估投资者需求的前提下制定发行方案。对于存在包销风险的项目,需经资本承诺委员会事前审批,
有效控制项目的包销风险。
    ⑦ 持续督导
    对于项目持续督导环节,公司制定了《投资银行管理委员会股权和并购项目持续督导工作管理办法》、
《公司债券受托管理人执业行为准则》、《公司债券受托管理业务与信息披露操作规程》、《银行间债券市
场非金融企业债务融资工具主承销商后续管理工作指引》等制度。项目组成员按照该办法督导发行人履
行规范运作、信守承诺、信息披露等义务,及时汇报及披露企业的重大事项,编制持续督导报告。
    (8)新三板业务
    针对新三板业务的特征和风险特点,在制度建设、挂牌和发行股票项目开发与立项、挂牌和发行股
票项目审核与申报、做市与项目维护和管理等方面建立了完善的内部控制机制。
    ① 制度保障
    新三板业务部制定了一系列关于新三板挂牌、发行股票和做市的管理制度及程序,对以上业务进行
全面规范和指引。
    公司已按照《证券公司投资银行类业务内部控制指引》的要求,构建起新三板推荐类业务内部控制


                                             10
组织架构。新三板推荐类业务执行团队为内部控制的第一道防线,新三板运营质控组为内部控制的第二
道防线,内核部、合规部、风险管理部为内部控制的第三道防线。
    ② 项目立项与签约
    《全国中小企业股份转让系统业务立项管理办法》规定设立立项委员会,履行立项审议决策职责,
对新三板推荐类项目是否予以立项做出决议;未经立项审议通过的新三板推荐类项目,不得与客户签订
正式业务合同。
    ③ 项目审核与申报
    所有提交新三板业务部质控团队审核的文件,项目组成员起草文件后,均应先由项目负责人、投行
委行业组及区域分部等部门质量控制岗、投行委行业组及区域分部等部门负责人等进行内部复核并签署
《审核确认函》后,发送质控团队审核。
    对于推荐挂牌项目、涉及发行股份的重大资产重组项目和定向发行股东超过 200 人的定增项目,质
控审核后,经内核委员(包括外聘律师、外聘会计师)组成的内核会议审核通过后报送至主管新三板业
务的领导审批通过后,方能对进行外报送;对于股东不超过 200 人的定向发行项目、不涉及发行股份的
重大资产重组项目,内核部通过网上办公流程进行审核,经主管新三板业务的领导审批通过后,方能对
进行外报送。
    新三板项目上报股转公司之前,正式申报材料及股转反馈回复中需公司盖章的材料应经过项目负责
人审核后提交分支质量控制小组、运营质控组和内核部审核通过后方能进行对外报送。
    ④ 做市
    新三板业务部明确了投资决策的分级授权体系,原则上按照公司管理层——公司资产负债管理委员
会——新三板业务部做市决策委员会——做市业务线的方式进行分级授权。各级相互协调,保证做市业
务的高效进行。
    ⑤ 项目维护与管理
    针对新三板项目,项目组成员对挂牌公司进行持续督导,并能及时汇报及披露挂牌公司的重大事项。
新三板业务部负责保管档案,包括但不限于电子版的全套挂牌相关申报文件、股票发行备案文件等。
    (9)资产管理业务
    针对资产管理业务的特征和风险特点,在研究、投资决策和交易执行、产品设立、投资交易监测、
营销与客户服务等方面建立了完善的内部控制机制。
    ① 研究、投资决策和交易执行
    资产管理部内部实行研究、投资决策、交易执行相分离的机制,分别由不同的团队负责。研究组进
行宏观策略、行业及个股研究,为投资决策提供支持;部门层面设立资产管理业务投资决策委员会,作
为业务最高投资决策机构;投资决策委员会下设固定收益投资部和权益投资部等,资管账户下设投资主
办人及品种经理,投资主办人负责拟定账户对应的品种并总体负责资产配置方案的实施,品种经理在投
资主办人的领导下负责开展部分投资决策工作;投资指令在经系统或内控组进行合规性审查通过后传送
至交易组,交易组按照投资指令进行交易。
    ② 产品设立
    资产管理部设立产品委员会,作为负责资产管理产品开发运作的决策管理机构,对产品进行审批,
并规范管理产品的开发和运作。资产管理部还制定了《资产管理机构业务创新产品评估及决策流程》,
对机构业务产品创新的设计、开发流程予以进一步规范。针对资产支持专项计划的发行,适用公司统一
制定的《中信证券股份有限公司资产支持专项计划管理办法》。项目立项前,资产管理部邀请风险管理
部赴项目现场进行联合尽职调查。资产支持专项计划经资产管理业务信用风险研究组审核通过,并须在
报公司风险管理部审核无异议后,才可安排上资产支持专项计划立项工作小组评审会审议立项事宜。立
项会由内外部委员参加审议。项目审议通过后的尽职调查由项目组牵头,信用研究组配合,质量控制组
对工作底稿出具验收意见。
    ③ 投资交易监控


                                            11
    资产管理部内控组与公司风险管理部共同对投资交易情况进行监控。合同签订后,由内控组制定风
险控制指引书,据此设置合规和风控指标;资产管理部内控组和公司风险管理部运用信息系统进行事中、
事后并行监控,发现异常情况向资产管理部发送风险揭示报告,并定期形成资产管理业务风控报告。此
外,资产管理部还建立了公平交易制度,保证部门内所有客户的投资得到公平对待。
    ④ 营销与客户服务
    公司高度重视营销以及客户服务工作,在客户适当性管理、客户身份识别与反洗钱、投资者教育、
营销管理、客户投诉处理、合同会签管理以及档案管理等各个方面,均建立了完善的管理机制。资产管
理部开发了 CRM 客户管理系统,集中统一管理客户信息,有效地提升了客户服务水平。
    (10)研究业务
    2018 年,公司研究部继续加强内控管理,完善各项内部制度,对《研究业务合规管理制度》、《研
究部质量与风险控制委员会管理办法》、《研究对象覆盖管理制度》、《研究业务调研管理制度》等制度进
行了修订。
      ① 研究报告的生产环节
    研究业务拥有约 150 余人的研究团队,分布于北京、上海和深圳三地,统一遵循国际通行的证券研
究方法,以基本面分析为基础,强调财务模型和估值模型等数量化分析手段,注重实地调研并取得一手
资料,研究覆盖了国民经济所涉及到的几乎所有领域。面对复杂多变和竞争剧烈的市场环境,研究业务
加快了国际化进程,在保持本土优势的同时,努力将这一优势拓展到海外市场,持续推进与里昂证券开
展业务交流、跨境发布报告等工作。
      ② 研究报告的审核环节
    研究员撰写完成的研究报告需通过产品小组的质量审核和合规组的合规审核。对于重要的报告(如
首次评级报告、评级或盈利预测发生较大变化的报告)则需通过质量审核委员会的审核和财务专家的财
务模型审核。对于调研报告则需要提交调研工作底稿备查。
      ③ 研究报告的发布环节
    研究报告电子版的对外发布由研究部产品组负责,产品组确保研究报告电子版在第一时间发布到指
定的报告发布系统,并通过同一个邮件群组向公司内部部门、员工和外部客户同时发送,同时向研报浏
览 WEB 平台同步推送。
      ④ 研究报告的服务环节
    研究报告对外发布后,客户经理可组织研究员为公司相关部门以及基金公司、保险公司等机构投资
者提供上门路演或其他相关的研究咨询服务。
      ⑤ 研究报告的留痕管理
    研究员将调研、路演等信息录入研究业务系统,并将调研工作底稿或个股分析所依据的财务模型等
原始信息资料进行适当保存以备查证。对外公开发布证券研究报告时,产品组对研究报告发布的时间、
方式、内容、对象和审阅过程实行留痕管理。
      ⑥ 研究员对外交流管理
    研究员在就宏观经济、行业、上市公司等业务问题接受媒体采访前,需事先通过内部的审批程序。
媒体管理人员对研究员参加媒体宣传之前提交的信息进行记录并妥善保管备查。媒体管理人员按照监管
部门的相关要求报备参与证券类媒体节目的情况。
      ⑦ 微信管理
    为进一步加强研究业务管理、强化内部风险控制、规范微信使用行为,研究部制定了《研究部业务
相关微信管理暂行办法》。对研究员发布业务相关微信行为纳入研究部统一管理;对建立官方微信公众
号的行为,需经研究部及公司相关管理部门的同意。
      ⑧ 研究员跨墙行为管理
    对于研究员跨墙为投行等部门提供服务的,需遵守《信息隔离墙制度》等公司、研究部部门制度的
规定。跨墙前办理审批手续,对跨墙期间所获取的未公开信息持续履行保密义务;跨墙期间接受相关部


                                             12
门的监控,并履行相应的执业回避要求。
    (11)资金运营管理
    根据公司对部门的定位要求,库务部(原资金运营部)负责公司资金的集中管理与调配,承担资产
负债管理职能,并开展流动性储备池投资,引导资金的合理流向。公司坚持资金的统一管理和运作,公
司执委会和资产负债管理委员会负责对自有资金一级配置进行决策。在资产负债管理委员会审议并经执
委会授权的额度内,公司权益投资部、股权衍生品业务线、固定收益部、另类投资业务线、证券金融业
务线、库务部等部门对自有资金进行二级配置。
    在资金的日常运作管理方面,公司建立健全了资金及头寸管理系统,各部门运用资金需通过该系统
进行预约并通过库务部审核,保证了公司资金的合理运用,激励业务部门提高资金头寸申报的准确度。
公司制定并发布了《资金计价管理机制》,通过价格手段和成本约束引导业务线申请与业务发展需要相
匹配的配置资金额度,提高公司配置资金使用效率。库务部在交易系统中开发了资金报表,动态跟踪每
日公司资金头寸情况;严格依据公司《流动性管理办法》和相关制度规程,执行流动性管理操作,确保
流动性安全。对于境外流动性管理,库务部制定了《境外流动性管理账户管理办法》及《流动性管理账
户风险管理指引》,对管理账户流动性风险、利率风险、信用风险、汇率风险、操作风险及交易对手风
险等进行内部控制。
    自 2016 年起,公司库务部开始承担非标项目投资与管理职责。库务部制定了《资金运营部非标准
化资产投资管理办法》,对非标项目的尽职调查、投资决策、投后管理、风险处置等各个环节的流程均
进行了详细的规范。公司风险管理部制定了《非标资产投资业务风险指引》,从公司层面对非标业务的
投资流程、风险评估、部门协同等进行监督。同时,公司库务部还制定了《资金运营部投资决策会运行
规则》,对部门内部的非标投资业务进行决策审批。通过上述制度和流程安排保障了非标投资项目的规
范有效开展。
    (12)大宗商品业务
    公司作为首批开展大宗商品业务的证券公司之一,在 2018 年对部门业务重新进行了梳理,聚焦于
商品衍生品业务,针对境内外企业和机构投资者客户,提供商品配置、套期保值、风险管理等服务。
    根据大宗商品业务的风险特点,公司在制度建设、风险管理和系统建设等方面建立并进一步完善了
内部控制机制,确保业务行为合法合规,风险可控。大宗商品业务线针对各项业务建立了管理办法与操
作流程,对衍生业务流程进行全面规范。
    ① 制度建设
    2018 年,公司大宗商品业务线制定了《大宗商品业务线跨境商品收益互换交易业务管理办法及操
作规程(试行)》,就大宗商品业务线开展的商品收益互换业务明确公司内部及部门各个岗位职责的分工,
包括客户的准入、交易风险控制、清算管理等各个业务环节,有效加强了收益互换业务的管理。
    ② 风险管理
    在风险管理方面,公司继续巩固完善风险管理与内控流程,涉及业务额度审批、征信与授信、交易
流程、风险监控、清算交割、系统支持等领域。
    ③ 系统建设
    在系统建设方面,公司不断完善大宗商品衍生品交易的系统管理,将交易从衡泰系统逐步迁移到公
司衍生品管理的主要系统——EQD 系统中,实现交易的平稳过渡,提升了业务的风险管理水平和交易效
率。
    (13)托管业务
    针对托管业务的特征和风险特点,在组织架构、人员管理、业务流程、制度建设、风险管理和系统
管理等方面建立了完善的内部控制机制。
    ① 组织架构
    公司设立一级部门托管部,负责公司资产托管业务的承揽、业务推广及营销策划、业务组织实施等
工作,同时根据相关监管规则及基金合同的约定,对托管的基金履行安全保管基金财产、办理清算交割、


                                             13
复核审查资产净值、开展投资监督、召集基金份额持有人大会等职责。
    ② 业务流程
    托管业务流程包括:托管项目论证及准备、托管资产保管、资金清算、会计核算和估值、投资监督、
信息披露、业务保障、销售业务论证及准备以及业务支持与检查等环节。2018 年,托管部修订了《非
标类投资基金托管准入管理办法》,对非标管理人准入标准、非标产品准入标准及《管理人禁入条件和
投资标的负面清单》作出明确规定,对于不符合相关标准的非标管理人或非标产品,不予开展业务合作,
不启动产品合同、托管协议等法律文件的起草和审核,从而保障非标业务的合法合规性,避免产生操作
风险。
    ③ 制度建设
    公司托管部建立了一系列关于托管业务的制度和流程,主要包括:《托管部内部机构设置与岗位职
责规定》、《托管部从业人员管理办法》、《证券投资基金托管业务管理办法》、《证券投资基金托管业务清
算管理办法》、《证券投资基金托管业务投资监督管理办法》、《非标类投资基金托管准入管理办法》等,
对资产托管业务的流程、岗位职责、风险及控制措施进行全面规范。
    ④ 风险管理
    托管业务建立三级内控风险防范体系,有效防范托管业务风险:一级风险防范是公司设立风险管理
委员会。该委员会向公司执行委员会汇报,并在授权范围内,负责托管业务的整体风险监管框架和管控
工作,对涉及风险管理的重要事项及相关制度进行决策和审批;二级风险防范是公司清算部、信息技术
中心、风险管理部、法律部、稽核审计部、合规部等中后台部门各司其职并协调配合,构成对托管业务
全方位的各类风险管理和后台支持体系;三级风险防范是托管部设立风险管理组,负责部门内部风险预
防和控制。
    ⑤ 系统管理
    托管部信息系统建设和运维由托管部总体负责,信息技术中心协助保障。托管业务专用网络与公司
其他业务网络实现强逻辑隔离,除因为网络安全管理、系统运行监控、资讯共享、补丁升级、病毒防护、
通讯链路共享等必须的防火墙跨墙访问以外,均实现与其他业务网络的有效隔离。系统软件由系统维护
岗专人进行维护、调试和保管,有关操作手册、光盘资料按照要求登记保管。应用软件和每天的业务处
理紧密联系,要求使用人员严格按照操作规程进行操作,严格按照个人权限进行登录,个人密码要定期
更换。托管部业务数据保持独立,其备份、使用、传输、销毁和归集等都独立于公司其他业务数据。
    (14)财务管理以及财务报告编制管理
    根据《公司法》、《证券法》、《会计法》以及《企业会计准则》等国家有关法律、法规和公司《章
程》的有关规定,公司制定并颁布了《财务管理制度》、《费用开支管理办法》、《营销费用管理办法》、
《差旅费管理办法》、《固定资产管理制度》等一系列财务管理制度,规范计划财务部的日常财务管理
流程、会计核算流程以及财务报告编制操作流程,确保各个财务岗位分工合理、职责明确,确保各个业
务流程以及财务报告编制环节授权审批制度完整、健全。同时,计划财务部充分利用信息技术,构建了
稳定、可靠的财务核算信息系统,在确保会计工作质量的同时,有效提高了各方面的工作效率,从技术
手段上,确保了会计信息审核制度等一系列内部监督检查流程、制度的有效运行。
    ① 会计核算流程管理
    公司计划财务部对于会计核算的管理控制坚持从源头抓起,财务会计人员依据公司有关制度的规定
全面审核会计原始凭证的正确性和完整性,确保会计原始凭证内容详实,要素齐全,审批单据具备完整
的、有效的有关各方和责任人员的签字或者盖章,对不符合规定的原始凭证不予受理。确保以合法有效
的会计凭证要素为起点,及时准确地完成会计核算以及账务处理工作。同时,依托财务信息系统的权限
管理制度,计划财务部建立了严格的财务人员授权审批流程,财务人员按照各自的职责和权限进行相应
的财务系统操作,以确保原始凭证以及记账凭证均经过相关业务线财务主管以及计划财务部主管的适当
授权审批,保证会计核算的科学性和合理性。
    ② 财务报告编制管理


                                              14
    公司建立了完整的、有效的财务报告编制流程和制度,在财务报表编制工作开始前,计划财务部预
先制定了完整的、全面的合并财务报表编制方案以及工作计划,报请财务负责人审批后逐级下达至所有
下属会计核算主体,以明确合并财务报表的合并范围、合并范围内子公司以及联营公司提交相关财务信
息及其他会计资料的时间、形式等各项内容,确保财务报表编制工作及时有序开展。
    公司计划财务部设置专人关注会计法、税法等相关法律法规、规章制度的变化以及监管机构的最新
监管规定,同步更新、修改与财务管理、会计核算以及财务报告编制有关的流程和制度,确保会计政策
依据最新的会计准则以及相关配套规则制定,符合现行会计法规和最新监管要求。公司计划财务部设立
专人专岗负责按照《企业会计准则》以及相关法律法规的要求完成财务报告的编制工作。在编制财务报
告前,计划财务部协同相关部门完成资产清查、减值测试和债权债务核实等各项前期工作,确保账实相
符。子公司以及联营公司报送的财务信息以及会计资料必须经过各自财务负责人以及子公司及联营公司
相关领导的审批,以保证其财务数据的准确性和可靠性。
    公司计划财务部相关责任岗位人员编制完成财务报表及其附注等财务信息后,必须经过计划财务部
相关主管、计划财务部负责人、公司相关高级管理人员的审批通过后方可按照公司的有关规定、流程和
制度对外报送。
    ③ 财务信息系统管理
    公司计划财务部充分利用信息技术,提高工作效率和工作质量,减少核算差错和人为调整因素,公
司专门设立财务信息系统管理岗位,负责财务信息系统的日常管理与维护,包括:硬件的日常维护、财
务人员权限的设置与变更、服务器数据备份、系统病毒检测等工作,以保证财务信息系统的正常运行及
相关财务数据的及时输入、输出以及保存。
    计划财务部在财务信息系统内按照不同的岗位职责类别分别为每一名财务人员设置了不同的操作
权限,由公司财务信息系统主管岗直接负责财务人员的操作权限设置及变更的审批工作,进一步保证不
相容岗位职责的分离,确保财务会计信息存储安全、管理到位、使用恰当,防止对财务数据的非法修改
和删除。
    ④ 固定资产管理
    公司制定了完善的固定资产管理制度,明确了固定资产的实物管理部门和价值管理部门以及各自相
应的职责,清晰界定了固定资产的确认、分类、计量的标准,并对固定资产的购置、验收、维护、报废
等控制流程进行了明确的规定。公司通过定期盘点确保账实相符及公司资产的安全。
    (15)清算管理
    针对清算业务的特征和风险特点,在组织架构、运营风险管理、信息化建设等方面加强风险管理水
平、完善内部控制机制。
      ① 组织架构
    公司清算部作为公司证券运营支持以及运营解决方案提供者,为公司自营及资本中介、资产管理、
经纪、投行等业务提供全方位综合运营服务。清算部积极推进从按服务对象划分的自营、资管、经纪三
大业务条线支持型运营架构向以账户存管、清算业务、资金结算、估值核算、注册登记和运营支持为单
元的职能型运营架构转变,以实现公司运营资源更加科学合理配置,加强运营质量控制与风险管理能力。
    ② 运营风险管理
    清算部通过对 5 个运营大组、17 个业务小组、41 个业务岗位、1156 个业务动作进行全面梳理,从
数据驱动、系统执行、过程管理三大方面和系统接口、数据质量、流程设计、过程监管等 13 个子项对
业务问题和瓶颈进行分解和整理,发现当前业务运营的痛点和难点,大幅提升业务办理效率和风险控制
能力。
    清算部总结梳理近两年来的风险事件,一方面通过统计数据发现流程疏漏,明确整改措施并落实到
位,不断跟踪回顾,杜绝类似事件再次发生;另一方面总结风险事件处理经验,为后续流程优化打下基
础,在全部门范围内提升业务风险敏感度和风险防范意识。
    针对交易所、结算公司、银行等外部机构颁发的 400 余个 UKEY 建立了 UKEY 项目流程,实现全生命


                                             15
周期管理,用于准确记录 UEKY 信息、权限分配和审批记录,跟踪 UKEY 的办理、登记、维护、变更、注
销,降低因 UKEY 管理不当造成的业务风险。
    ③ 信息化建设
      清算部积极推进电子化运营程度,风险管控能力持续提升。推进自营产品流程电子化工作,涉及
所有自营条线,完成共 18 大类业务、3220 个衍生品合约端客户产品、83 个衍生品对冲端产品及 176
个自营交易产品的全面上线。
    实现自营场内业务精确交收模式改造,同时建立自营交易柜台和法人结算系统核对机制,针对系统
间清算结果进行交叉比对,有效减少自有资金交收中的操作干预。
    股衍 GDMM 系统结算直联推进,优化系统交互机制,实现股权衍生品业务线 GDMM 系统 FLOW 期权业
务和收益互换业务资金结算直联上线。
    针对债券质押式协议回购、三方回购等高风险业务,推动集中交易系统直连,完成业务流程系统迁
移并实现协议回购与三方回购业务 OA 系统与集中交易系统的直连方案。
    (16)关联交易管理
    公司已建立较为完善的关联交易管理内部控制机制。公司《章程》对关联交易决策权限及程序、关
联股东和关联董事在关联交易表决中的回避制度等作出了规范。此外,为加强公司关联交易管理、规范
管理交易行为、明确管理职责和分工,公司还制定了《关联交易管理办法》,对关联交易的决策权限与
程序作出了具体明确的规定。在合同会签程序中内嵌关联方验证环节,对关联交易进行强制验证。
    公司对于日常的且有利于公司发展的关联交易,采取科学高效的审批流程和决策机制,能够严格按
照国家有关法律、法规、规范性文件的要求,履行决策程序,确保交易价格公允,并进行充分及时的披
露。
    (17)信息技术管理
    2018年度,公司进一步推动信息安全防护体系建设和优化,并取得了一定成果,除常态化信息安全
运营外,主要包括“4项体系优化”和“2个平台建设”。
    4项体系优化主要包括:优化全网域控体系,全面推动WINDOWS服务器加入域,完善主机安全管控策
略;优化全网防病毒体系,防病毒覆盖率接近100%,优化防病毒体系可用性;优化全网补丁更新体系,
建设5中心分布式补丁服务架构,实现补丁差异化管理策略;优化全网上网行为管理体系,优化上网行
为管理策略,保障业务稳定运行。
    2个平台建设包括:建设统一身份认证平台,对公司内外网系统提供统一认证接口,解决账号生命
周期管理难题;建设统一日志收集和安全态势感知平台,支持全公司安全日志接入和分析,实现内外网
安全态势感知和预警。
    常态化安全运营主要包括:信息安全预警及意识宣传贯彻;信息系统风险评估,完成10个业务系统
风险评估,发现并整改风险点200余个;应用安全防护,对13个APP、89个WEB应用提供安全监测和防护,
完成87个系统、200余台主机上线安全检查等;推动全网漏洞扫描,共扫描全网资产17348个,整改漏洞
及弱口令近7000个,关机下线资产近400个;密切关注信息安全情报,完成11次信息安全事件应急处置;
配合托管部和公募基金业务等安全管控措施落实等。
    (18)子公司内部控制
    纳入内控自我评价范围的中信证券(山东)、金石投资、中信证券投资、中信证券国际、中信中证、
金通证券等六家全资子公司以及中信期货、华夏基金、新疆交易中心和中信证券海外投资四家控股子公
司均建立了较为完善的法人治理结构和内部控制体系,制定了完备的业务管理制度和流程。报告期内,
上述子公司未发现公司内部控制存在设计和执行方面的重大缺陷和重要缺陷;一般缺陷可能导致的风险
均在可控范围内,未对公司的经营管理活动质量和财务目标的实现造成重大影响。
    4、信息与沟通的评价
    (1)内部信息与沟通
    公司与各部门、业务线以及子公司之间建立了明确的管理和汇报机制。在合规的前提下,各部门、


                                            16
业务线以及子公司之间分别建立了完善的沟通和反馈机制,以保证内部信息及时、有效、准确地传递。
    公司总经理办公室负责收集各业务部门的日常简报、季度分析报告,并对报告进行检查和整理归集;
公司制定了《合规报告制度》,明确定期合规报告、临时合规报告的报送流程、报送范围和主体责任,
以保证与合规风险相关的信息能够有效传递。为配合财务报告的编制,公司制定了《财务管理制度》,
对财务报告的编制及披露工作加以规范,明确财务报告的审批层级;公司制定了《重大事项报告与问责
制度》,明确重大事项的报送范围、审批流程等内容,力求及时发现和防范可能发生的重大风险,保证
公司经营管理活动及各项工作的顺利开展;公司制定了《合同管理办法》,明确因签订、履行合同产生
纠纷的,主办单位应将具体情况书面报公司领导、有关业务主管部门和法律部;决定采取诉讼方式解决
的,法律部、主办单位应将诉讼案件的进展情况及时向公司领导汇报;公司制定了各类风险的定期报告
机制,根据不同风控指标报送各类定期报告。
    公司已建立内部办公自动化系统(OA 系统),有效地将授权控制和流程状态跟踪等功能固化至系统
之中,在加强内部沟通效率的同时,实现了工作留痕。此外,公司还通过电子邮件和内网平台等多种渠
道传递内部信息,有效地加强了内部交流。同时,公司已建立反舞弊举报机制,并制定公司《员工合规
守则》和《客户投诉举报制度》,前者对公司内部违规事项的举报加以规定,后者对公司客户发现公司
及员工违法违规行为和合规风险隐患的举报进行了规定。
    (2)信息披露
    公司已制定《信息披露事务管理制度》,制度明确规定董事会对于信息披露的实施责任和监事会对
于信息披露情况的监督责任,并具体规定信息披露的原则、范围、内容、基本标准及披露流程,同时还
明确了公司各单位在信息披露工作上的主体责任,有效提高了信息披露事务管理水平和信息披露质量,
保护了公司、股东、客户、债权人及其他利益相关人的合法权益,保证了信息披露的及时性、准确性和
完整性。
    为加强公司内幕信息管理,保护广大投资者的合法权益,公司还制定了《内幕信息知情人登记制度》,
规定内幕信息、内幕信息知情人的范围、内幕信息知情人登记备案流程和内幕信息保密管理等内容。
    (3)信息系统
    2018 年,公司信息技术中心进一步增强了对公司运营管理的支撑力度,重点梳理了与适当性、账
户合规监测、股票质押违约处置等方面的流程、数据和关联系统,与各业务部门和风控合规部门密切协
作,完善了相关风险管理和处置的流程和方案。
    5、内部监督评价
    公司建立健全了董事会审计委员会、监事会、内部控制部门等组成的全方位、多层次内部监督体系。
董事会审计委员会协助董事会独立地审查公司财务状况、内部监控制度的执行情况及效果,对公司内部
稽核审计工作结果进行审查和监督。
    监事会负责对公司董事、监事、高级管理人员以及公司经营管理情况、财务状况进行监督,向股东
大会负责并报告工作。同时,公司稽核审计部、合规部、风险管理部和内核部等内部控制部门分工协作,
对各项业务的内部控制情况进行定期和不定期的监督检查。
    为加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护
社会主义市场经济秩序和社会公众利益,公司经营管理层高度重视董事会、内部控制各职能部门的意见
和建议,对于发现的问题采取各种措施及时纠正,最大限度避免业务差错的发生,有效地提高业务规范
化程度,提高公司内部控制管理水平。

5.   上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面,是否存
     在重大遗漏

□是 √否

6.   是否存在法定豁免

     □是 √否

                                             17
7.   其他说明事项

     无

(二).     内部控制评价工作依据及内部控制缺陷认定标准

     公司依据企业内部控制规范体系等,组织开展内部控制评价工作。

1.   内部控制缺陷具体认定标准是否与以前年度存在调整

    □是 √否
  公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规
模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确
定了适用于本公司的内部控制缺陷具体认定标准,并与以前年度保持一致。

2.   财务报告内部控制缺陷认定标准

      如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务
报告中的重大错报,就应将该缺陷认定为重大缺陷。一般缺陷以及重大缺陷亦同理。公司管理层对于“一
般”、“重要”以及“重大”确定的重要性水平如下:
     指标名称          重大缺陷定量标准           重要缺陷定量标准      一般缺陷定量标准
涉及资产、负债的    5%以上(含)            3%-5%(不含)            小于 3%(含)
错报占总资产的
比例
涉及净资产的错      5%以上(含)            3%-5%(不含)            小于 3%(含)
报占净资产的比
例
说明:
无
    公司确定的财务报告内部控制缺陷评价的定性标准如下:
     缺陷性质                                       定性标准
重大缺陷            公司存在下述迹象之一的,通常表明财务报告内部控制存在重大缺陷。
                    1、发现董事、监事和高级管理人员与财务报告相关的舞弊行为;
                    2、监管机构责令公司更正已公布的财务报告;
                    3、注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发
                    现该错报;
                    4、公司董事会审计委员会和内部审计机构对内部控制的监督无效。
重要缺陷            一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现
                    并纠正财务报告中虽然未达到重大缺陷水平,但引起董事会和管理层重视的错报,
                    将该缺陷认定为重要缺陷。
一般缺陷            不构成重大缺陷和重要缺陷的内部控制缺陷,认定为一般缺陷。
说明:
无

3.   非财务报告内部控制缺陷认定标准
     根据单独缺陷或多个缺陷的组合直接导致未能及时防止或发现并避免的财产损失的金额划分:
     指标名称          重大缺陷定量标准           重要缺陷定量标准      一般缺陷定量标准
因内控缺陷造成      5%以上(含)            3%-5%(不含)            小于 3%(含)


                                             18
的损失占总资产
的比例
因内控缺陷造成     5%以上(含)            3%-5%(不含)            小于 3%(含)
的损失占净资产
的比例
说明:
无
    公司确定的非财务报告内部控制缺陷评价的定性标准如下:
     缺陷性质                                      定性标准
重大缺陷           公司存在下述迹象之一的,通常表明非财务报告内部控制存在重大缺陷。
                   1、公司缺乏民主决策程序,如缺乏“三重一大”决策程序;
                   2、公司重大决策程序不科学,已经或可能造成重大损失;
                   3、有关公司的负面消息流传世界各地,政府或监管机构进行调查,引起重大诉讼,
                   对企业声誉造成无法弥补的损害;
                   4、公司被监管部门撤销相关业务许可;
                   5、已经发现并报告给管理层的重大或重要缺陷在合理的时间后未加以改正;
                   6、公司重要业务缺乏制度控制或制度系统性失效。
重要缺陷           公司存在下述迹象之一的,通常表明非财务报告内部控制存在重要缺陷。
                   1、公司被监管部门暂停相关业务许可;
                   2、有关公司的负面消息在全国各地流传,引起公众关注,引发诉讼,对企业声誉
                   造成重大损害;
                   3、公司有关数据的非授权改动会给业务运作带来重大损失或造成财务记录的重大
                   错误,对业务正常运营造成重大影响。
一般缺陷           除重大缺陷和重要缺陷以外的其他缺陷。
说明:
无

(三).     内部控制缺陷认定及整改情况

    公司已经根据基本规范、评价指引及其他相关法律法规的要求,对公司截至 2018 年 12 月 31 日的
内部控制设计与运行的有效性进行了自我评价,结论如下:

1.   财务报告内部控制缺陷认定及整改情况

1.1. 重大缺陷

    报告期内公司是否存在财务报告内部控制重大缺陷
□是 √否

1.2. 重要缺陷

    报告期内公司是否存在财务报告内部控制重要缺陷
□是 √否

1.3. 一般缺陷

     无




                                             19
1.4. 经过上述整改,于内部控制评价报告基准日,公司是否存在未完成整改的财务报告内部控制重大
     缺陷

□是 √否

1.5. 经过上述整改,于内部控制评价报告基准日,公司是否存在未完成整改的财务报告内部控制重要
     缺陷

□是 √否

2.   非财务报告内部控制缺陷认定及整改情况

2.1. 重大缺陷

    报告期内公司是否发现非财务报告内部控制重大缺陷
□是 √否

2.2. 重要缺陷

    报告期内公司是否发现非财务报告内部控制重要缺陷
□是 √否

2.3. 一般缺陷
    一般性缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。根据上述认定标准,结合日常监督和专
项监督情况,报告期内,公司个别部门和分支机构在展业过程中存在一般性缺陷。公司对此高度重视,
深刻总结反思,汲取教训,并严格按照相关监管规则的要求,通过对相关责任人进行问责、修订与完善
公司相关规章制度和流程、进一步加强合规宣传与培训等措施,已及时完成整改。
    报告期内,公司对纳入评价范围的业务与事项均已建立了内部控制,并得以有效执行,达到了公司
内部控制的整体目标。前述一般缺陷可能导致的风险均在可控范围内,未对公司的经营管理活动质量和
财务目标的实现造成重大影响,且已认真落实整改。从内部控制评价报告基准日到内部控制评价报告发
出日之间,没有发生对评价结论产生实质性影响的内部控制重大变化。

2.4. 经过上述整改,于内部控制评价报告基准日,公司是否发现未完成整改的非财务报告内部控制重
     大缺陷

□是 √否

2.5. 经过上述整改,于内部控制评价报告基准日,公司是否发现未完成整改的非财务报告内部控制重
     要缺陷

□是 √否

四. 其他内部控制相关重大事项说明
1.   上一年度内部控制缺陷整改情况

□适用 √不适用

2.   本年度内部控制运行情况及下一年度改进方向

     □适用 √不适用

3.   其他重大事项说明

     □适用 √不适用



                                            20
    我们注意到,内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着情
况的变化及时加以调整。未来期间,公司将继续完善内部控制制度,规范内部控制制度执行,强化内部
控制监督检查,促进公司健康、可持续发展。

                                                          董事长(已经董事会授权):张佑君
                                                                    中信证券股份有限公司
                                                                            2019年3月21日




                                            21