华泰证券:2018年度内部控制评价报告2019-03-30
华泰证券股份有限公司 2018 年度
内部控制评价报告
华泰证券股份有限公司全体股东:
根据《企业内部控制基本规范》及其配套指引的规定和其他内部
控制监管要求(以下简称“企业内部控制规范体系”),结合本公司
(以下简称“公司”)内部控制制度和评价办法,在内部控制日常监
督和专项监督的基础上,我们对公司 2018 年 12 月 31 日(内部控制
评价报告基准日)的内部控制有效性进行了评价。
一、重要声明
按照企业内部控制规范体系的规定,公司健全和完善了法人治理
结构、合规风控制度和内控管理体系,形成了股东大会、董事会、监
事会和经营管理层相互分离、相互制衡的公司治理结构,使各管理层
在各自的职责、权限范围内,各司其职,各负其责,确保了公司的稳
健经营和规范运作。公司董事会下设合规与风险管理委员会、审计委
员会、发展战略委员会、提名委员会、薪酬与考核委员会等五个专门
委员会,其中审计委员会、提名委员会和薪酬与考核委员会等三个专
门委员会主任委员由独立董事担任,以便于更好地发挥独立董事的作
用。公司经营和管理规范有序,能够严格按照上市公司及证券公司的
相关治理和监管要求,制定并完善了公司《章程》、《股东大会议事
规则》、《董事会议事规则》、《董事会专门委员会工作细则》、《独
立董事工作制度》、《监事会议事规则》、《总裁工作细则》、《董
1
�事会秘书工作细则》等各项规章制度。公司相关制度明确了公司股东
大会、董事会、监事会和经营管理层在公司治理规范运作、重大资产
运用、合同签订、关联交易以及融资等重大经营决策事项方面的分权
制衡关系和决策程序,有效防范和控制了决策风险,为进一步规范公
司关联交易决策事宜,实现公司内部关联交易管理的完善与优化,提
高公司规范运作水平,保护广大投资者的合法权益,公司修订完善了
《关联交易管理制度》,通过上述制度的健全完善及充分落实和执行,
公司治理结构不断规范,公司治理水平不断提高,从而确保公司稳健
经营、规范运作。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、
财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展
战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供
合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或
对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来
内部控制的有效性具有一定的风险。
二、内部控制评价结论
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评
价报告基准日,公司不存在财务报告内部控制重大缺陷。董事会认为,
公司已按照企业内部控制规范体系和相关规定的要求在所有重大方
面保持了有效的财务报告内部控制。
根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评
价报告基准日,公司不存在非财务报告内部控制重大缺陷。
2
� 自内部控制评价报告基准日至内部控制评价报告发出日之间,未
发生影响内部控制有效性评价结论的因素。
三、内部控制评价工作情况
根据《企业内部控制基本规范》及其配套指引和公司内部控制制
度要求,公司按照风险导向原则确定纳入评价范围的主要单位、业务
事项及高风险领域。
(一)内部控制评价的范围
纳入评价范围的主要单位包括:华泰证券股份有限公司各部门、
华泰联合证券有限责任公司、华泰期货有限公司、华泰证券(上海)
资产管理有限公司、华泰紫金投资有限责任公司、华泰国际金融控股
有限公司、江苏股权交易中心有限责任公司、华泰创新投资有限公司,
所有子公司均涵盖下属公司。纳入评价范围单位的资产总额占公司合
并财务报表资产总额的 100%,营业收入合计占公司合并财务报表营
业收入总额的 100%。
(二)纳入评价范围的业务和事项
纳入评价范围的主要业务和事项包括:公司治理、内部环境、风
险评估、控制活动、信息与沟通、内部监督,以及控制活动所涉及的
不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、
预算控制、运营分析控制、绩效考核控制;重点关注的高风险领域主
要包括:现行各主要业务及基础职能管理,即经纪与财富管理业务、
自营业务、研究咨询业务、资产管理业务、投资银行业务、债券融资
业务、直投业务、期货业务、资产托管业务、网络金融业务、销售交
3
�易业务、创新业务以及财务与会计、运营支持、战略发展、人力资源、
客户关系、信息技术、合规及法律事务、风险管理等领域,以及对公
司经营管理产生重大影响的流动性风险、市场风险、信用风险、操作
风险、声誉风险、信息技术风险、合规风险、法律风险和廉洁风险。
上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公
司经营管理的主要方面,不存在重大遗漏。
(三)公司内部控制建设
为加强和规范公司合规风险控制,提高公司内部控制风险防范能
力,促进公司可持续发展,公司经营管理层高度重视董事会、内部控
制各职能部门的意见和建议,持续进行内部控制自评,对于发现的问
题及时采取措施纠正,最大限度避免偏离内部控制管理目标,保障相
关业务稳健发展,促进公司内部控制管理水平提高和达成公司合规管
理目标及战略发展目标。
1.法人治理结构
作为在中国大陆和香港两地上市的公众公司,公司严格按照境内
外上市地的法律、法规及规范性文件的要求,规范运作,不断致力于
维护和提升公司良好的市场形象。公司严格依照《公司法》、《证券
法》、《证券公司监督管理条例》、《证券公司治理准则》、《上市
公司治理准则》、《香港联合交易所有限公司证券上市规则》附录十
四《企业管治守则》及《企业管治报告》等相关法律法规以及公司《章
程》的规定,按照建立现代企业制度的目标,健全和完善公司法人治
理结构、合规风控制度和内控管理体系,形成了股东大会、董事会、
4
�监事会和经营管理层相互分离、相互制衡的公司治理结构,使各管理
层在各自的职责、权限范围内,各司其职,各负其责,确保了公司的
稳健经营和规范运作。
2.关联交易控制
公司严格按照上海证券交易所《股票上市规则》、香港联合交易
所有限公司《证券上市规则》及公司《关联交易管理制度》,对关联
交易进行严格控制。公司独立董事对日常关联交易发表了独立意见,
相关关联交易的批准程序符合法律法规、规范性文件的规定以及公司
《章程》、《关联交易管理制度》等要求。
3. 信息与沟通
公司主要制度、流程、通知和公告等事项均通过办公系统在公司
范围内发布,各部门、各子公司和分支机构均可通过办公系统获取相
关信息,大大提高了信息传递效率。公司定期召开总裁例会,研究经
营管理事项,部署经营管理工作,相关部门负责人可通过参加总裁例
会了解公司经营管理决策,并在具体工作中贯彻落实。
4.内部控制执行
公司建立了一整套持续完善、行之有效的管理制度体系,有效保
障了公司各项业务稳健运行。风险管理部牵头印发《2018 年内控自
评持续优化工作方案》,明确了内控自评工作重点,推动各单位持续
做好风险识别、评估、监控和缓释。为保障公司各项制度与当前业务
开展和管理架构相适应,公司组织各部门全面梳理制度,召集讨论、
协调沟通,明确相关制度修订计划,完善公司整体制度体系,确保制
5
�度流程符合全面性、审慎性、有效性、适时性等原则,避免出现制度
流程上的空白或漏洞。
(1)风险识别。公司各部门、分支机构、子公司及时发现和提
示相关风险意识,提出审查和咨询意见,助力其防范和化解风险,确
保公司经营发展的合法合规。
(2)风险评估。公司建立了内部控制的自我评估机制,建立了
事前风险识别与评估、事中风险应对与控制、事后风险处理与反馈的
风险管理机制,以客户权益为中心、以维护社会稳定为基准,全面评
估重大风险事件和投诉纠纷的法律风险;对新业务方案、新业务模式
开展评估论证,全面评估内在风险,为公司创新业务发展积极提供合
规支持。
(3)风险监控。公司建立了多层级风险指标体系及分级监控机
制。各部门、分支机构、子公司建立并持续优化相关管理制度、信息
系统、内部流程等各项监测机制,强化事前预防、事中控制,不断提
高风险预警能力和监测能力。公司建立了对关键风险指标的逐日盯市
机制,通过系统化手段动态监控关键风险指标情况,判断风险指标的
变化,对超过风险指标限额的情况,及时预警、报告和处置。
(4)风险应对。公司切实推动各类风险事件及客户投诉纠纷的
处置和化解。针对监管机构在日常监控、现场检查中指出的问题和采
取的行政处罚措施、行政监管措施、自律措施等,积极组织、跟踪、
督促相关单位进行有效整改;针对重大客户投诉纠纷事件,保持密切
关注、主动沟通协商,积极向监管部门汇报,争取监管部门的理解和
6
�支持,避免事件升级,维护公司合法权益。同时,加强公司的风险覆
盖和穿透管理。从公司层面制定了差异化的子公司风险管理细则,强
化对子公司管理。
(5)风险报告。公司建立了多层级的风险报告体系,及时、全
面和真实地反映公司各单位的风险状况,保障风险信息在上下层级、
各单位之间进行有效传递。公司建立了日报、月报、年报等定期风险
报告机制。各部门、分支机构、子公司在日常经营中及时向各专业风
险管理部门报告业务及风险重大事项。公司各单位的风险状况能够得
到及时、全面和真实地反映,为经营管理层的战略决策提供了依据。
(四)内部控制评价的依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系及中国证监会发布的《证券公司
内部控制指引》、《公开发行证券的公司信息披露编报规则第 21 号
—年度内部控制评价报告的一般规定》和上海证券交易所发布的《上
海证券交易所上市公司内部控制指引》等相关法律、法规和监管规则
的要求,组织开展内部控制评价工作。
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和
一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承
受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确
定了适用于本公司的内部控制缺陷具体认定标准,并与以前年度保持
一致。公司确定的内部控制缺陷认定标准如下:
重大缺陷是指一个或多个控制缺陷的组合,可能导致企业严重偏
离控制目标。重要缺陷是指一个或多个控制缺陷的组合,其严重程度
7
� 和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。一般
缺陷是指除重大缺陷、重要缺陷之外的其他缺陷。
1.财务报告和非财务报告内部控制缺陷认定的定量标准如下:
评级 一般缺陷 重要缺陷 重大缺陷
财务损失(占上年
税前利润的百分 0%-1%(不含) 1%-5%(不含) 大于 5%(含)
比)
权益损失(占上年
股东权益的百分 0%-0.2%(不含) 0.2%-1%(不含) 大于 1%(含)
比)
2.财务报告和非财务报告内部控制缺陷认定的定性标准如下:
评级 一般缺陷 重要缺陷 重大缺陷
有一定影响,但是经过一定的
极小影响或轻微影响,例如对收 较大影响,无法达到部分营运目
业务损失 弥补措施仍可能达到营运目
入、客户、市场份额等有轻微影响。 标或关键业绩指标。
标或关键业绩指标。
对信息使用者有一定的影响, 错误信息可能会导致使用者做
对内、外部信息使用者不会产生影
可能会影响使用者对于事物 出重大的错误决策或截然相反
信息错报影响 响,或对信息准确性有轻微影响,
性质的判断,在一定程度上可 的决策,造成不可挽回的决策损
但不会影响使用者的判断。
能导致错误的决策。 失。
对系统数据完整性不会产生影响。 对系统数据完整性具有一定
对系统数据的完整性具有重大
对业务正常运营没有产生影响,或 影响,数据的非授权改动对业
影响,数据的非授权改动会给业
信息系统对数据完 对系统数据完整性会产生有限影 务运作带来一定的损失及对
务运作带来重大损失或造成财
整性及业务运营的 响,但数据的非授权改动对业务运 财务数据记录的准确性产生
务记录的重大错误。对业务正常
影响 作及财务数据记录产生损失轻微。 一定的影响。对业务正常运营
运营造成重大影响,致使业务操
对业务正常运营没有直接影响,业 造成一定影响,致使业务操作
作大规模停滞和持续出错。
务部门及客户没有察觉。 效率低下。
对日常营运没有影响,或仅影响内 对内外部均造成了一定影响, 严重损伤公司核心竞争力,严重
营运影响
部效率,不直接影响对外展业。 比如关键员工或客户流失。 损害公司为客户服务的能力。
一般反馈,未受到调查和罚款,或 被监管者公开警告和专项调
被监管者持续观察,支付的罚款
监管影响 被监管者执行初步调查,不必支付 查,支付的罚款对年利润没有
对年利润有较大的影响。
罚款。 较大影响。
负面消息在企业内部流传,企业声 负面消息在全国各地流传,引起
负面消息在某区域流传,对企
声誉影响 誉没有受损,或负面消息在当地局 公众关注,引发诉讼,对企业声
业声誉造成中等损害。
部流传,对企业声誉造成轻微损 誉造成重大损害。
8
� 害。
报告期内,公司对纳入评价范围的业务与事项已建立了内部控制
机制,并得以有效执行,达到了公司内部控制的目标。我们注意到,
内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相
适应,并随着情况的变化及时加以调整。公司将继续完善内部控制,
规范内部控制执行,强化内部控制监督检查,促进公司健康、可持续
发展。
四、内部控制缺陷认定及整改情况
1.财务报告内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准,报告期内公司不存
在财务报告内部控制重大缺陷和重要缺陷。
2.非财务报告内部控制缺陷认定及整改情况
根据上述非财务报告内部控制缺陷的认定标准,报告期内公司不
存在非财务报告内部控制重大缺陷和重要缺陷。
附件:毕马威华振会计师事务所《华泰证券股份有限公司内部控
制审计报告》
董事长(已经董事会授权):周易
华泰证券股份有限公司
2019年3月29日
9
�
