东北证券股份有限公司2021年度内部控制评价报告
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求(以下简称企业内部控制规范体系),结合本公司(以下简称公司)内部控制制度和评价工作指引,在内部控制日常监督和专项监督的基础上,我们对公司2021年12月31日(内部控制评价报告基准日)的内部控制有效性进行了评价。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导公司内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。
公司内部控制的目标是提高公司经营管理水平和风险防范能力,合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进公司实现发展战略。由于内部控制存在固有局限性,故仅能对达到上述目标提供合理保证。此外,由于情况的变化可能导致内部控制
变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二、内部控制评价结论
1.公司于内部控制评价报告基准日,是否存在财务报告内部控制重大缺陷
□是 √否
2.财务报告内部控制评价结论是否有效
√有效 □无效
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,公司不存在财务报告内部控制重大缺陷。董事会认为,公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
3.是否发现非财务报告内部控制重大缺陷
□是 √否
根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准日,公司不存在非财务报告内部控制重大缺陷。
4.自内部控制评价报告基准日至内部控制评价报告发出日之间有无影响内部控制有效性评价结论的因素
□适用 √不适用
自内部控制评价报告基准日至内部控制评价报告发出日之间,未发生影响内部控制有效性评价结论的因素。
5.内部控制审计意见是否与公司对财务报告内部控制有
效性的评价结论一致
√是 □否
6.内部控制审计报告对非财务报告内部控制重大缺陷的披露是否与公司内部控制评价报告披露一致
√是 □否
三、内部控制评价工作情况
(一)内部控制评价的范围
2021年,公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域,围绕内部环境、风险评估、控制活动、信息与沟通和内部监督等要素对公司内部控制进行全面评价。
1. 纳入评价范围的主要单位包括:
公司各部门、各分公司、各营业网点、东证融通投资管理有限公司、东证融达投资有限公司、东证融汇证券资产管理有限公司、渤海期货股份有限公司。
2.纳入评价范围的单位占比:
| 指标 | 占比 |
| 纳入评价范围单位的资产总额占公司合并财务报表资产总额之比 | 98.36% |
| 纳入评价范围单位的营业收入合计占公司合并财务报表营业收入总额之比 | 90.69% |
3.纳入评价范围的主要业务和事项包括:
(1)内部环境:治理结构、发展战略、人力资源政策、社会责任、企业文化;
(2)全面风险管理体系:风险管理组织体系、风险管理
制度体系、风险管理信息系统、信用风险管理、操作风险管理、流动性风险管理、声誉风险管理、市场风险管理、法律风险、廉洁从业风险;
(3)控制活动:证券经纪业务、证券自营业务、投资银行业务、做市业务、证券资产管理业务、证券研究咨询业务、私募基金业务、另类投资业务、期货业务、资金资产活动、财务管理及财务报告编制管理、合规管理、信息技术管理、关联交易、对外担保、重大投资、对控股子公司的管理与控制;
(4)信息沟通与披露:内部信息传递、信息披露;
(5)内部监督:内部监督组织体系。
4.重点关注的高风险领域主要包括:
证券经纪业务、证券自营业务、投资银行业务、证券资产管理业务、私募基金业务、另类投资业务、研究咨询业务、信用交易业务、投资顾问业务、信息技术管理。
5.上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面,是否存在重大遗漏
□是 √否
(二)内部控制评价的程序和方法
1.内部控制评价的程序
公司内部控制评价程序包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编制评价报告等环节。
2.内部控制评价的方法
内部控制评价工作组综合运用审阅相关制度流程、个别访谈、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
(三)内部控制评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系及《证券公司内部控制指引》等相关法律法规和自律性规则,以及公司的内部控制制度,组织开展内部控制评价工作。
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确定了适用于本公司的内部控制缺陷具体认定标准,并与上年度保持一致。内部控制缺陷同时适用于两个或两个以上认定标准的,按从严原则认定。公司确定的内部控制缺陷认定标准如下:
1.财务报告内部控制缺陷认定标准
财务报告内部控制缺陷是指不能及时防止或发现并纠正财务报告错报的内部控制缺陷。
(1)定量标准
公司根据错报金额占年度净利润或年末净资产的大小确定财务报告内部控制缺陷的定量标准。公司确定的定量标准如下:
①重大缺陷:错报金额在年度净利润的5%(含)以上;或在年末净资产的0.5%(含)以上;
②重要缺陷:错报金额在年度净利润的3%(含)以上5%(不含)以下;或在年末净资产的0.3%(含)以上0.5%(不含)以下;
③一般缺陷:错报金额在年度净利润的3%(不含)以下;或在年末净资产的0.3%(不含)以下。
(2)定性标准
出现下列事件或迹象的,公司认为财务报告内部控制存在重大缺陷:
①董事、监事或高级管理人员发生与财务报表相关的舞弊行为;
②由于舞弊或错误造成重大错报,公司更正已公布的财务报告;
③注册会计师发现当期财务报告存在重大错报而内部控制在运行过程中未能发现该错报;
④公司审计委员会和内部审计机构对内部控制的监督无效。
公司认为财务报告内部控制存在重要缺陷的事项包括:
①未依照公认会计准则选择和应用会计政策;
②对于非常规或特殊交易的账务处理没有建立相应的控制机制或控制措施 ;
③对于期末财务报告过程的控制存在一项或多项缺陷且
不能合理保证编制的财务报表达到真实、准确的目标。
一般缺陷是指除重大缺陷、重要缺陷之外的其他财务报告内部控制缺陷。
2.非财务报告内部控制缺陷认定标准
非财务报告内部控制缺陷是指虽不直接影响财务报告的真实性和完整性,但对公司控制目标的实现存在不利影响的其他控制缺陷。
(1)定量标准
公司根据内部控制缺陷可能导致的财产损失占净资产金额的大小确定非财务报告内部控制缺陷的定量标准,公司确定的定量标准如下:
①重大缺陷:财产损失金额达到公司净资产的0.5%(含)以上;
②重要缺陷:财产损失金额达到公司净资产的0.3%(含)以上0.5%(不含)以下;
③一般缺陷:财产损失金额达到净资产的0.3%(不含)以下。
(2)定性标准
评价年度出现下列事件或迹象的,公司认为非财务报告内部控制存在重大缺陷:
①公司被采取撤销部分业务许可行政处罚措施或被采取刑事处罚措施;
②重要信息技术系统在交易时间内发生重大故障,发生大
部分客户数据泄露、损毁或者错误等影响系统数据完整性和安全性的异常情况,对公司业务当日或者后续交易日运营造成重大影响,公司业务大规模停滞;
③公司披露的信息出现错误,可能导致使用者做出重大的错误决策或截然相反的决策,造成不可挽回的决策损失;
④重要业务缺乏控制制度或控制制度系统性失效;
⑤内部控制评价的结果是重大缺陷但未得到整改;
⑥其他可能导致公司严重偏离战略目标、资产安全、经营目标、合规目标等控制目标的一个或多个控制缺陷的组合。
公司认为非财务报告内部控制重要缺陷的事项包括:
①公司被采取暂停业务许可、没收违法所得等重大行政处罚措施;
②发生部分客户数据泄露、损毁或者错误等影响系统数据完整性和安全性的异常情况;重要信息技术系统在交易时间内系统性能明显下降,对公司业务运营造成一定影响,公司业务操作效率大幅下降;
③公司披露的信息出现错误,可能影响使用者对于事物性质的判断,在一定程度上可能导致错误的决策;
④内部控制评价的结果是重要缺陷但未得到整改。
一般缺陷是指除重大缺陷、重要缺陷之外的其他非财务报告内部控制缺陷。
(四)内部控制缺陷认定及整改情况
1.财务报告内部控制缺陷认定及整改情况
1.1 重大缺陷
报告期内公司是否存在财务报告内部控制重大缺陷
□是 √否
1.2 重要缺陷
报告期内公司是否存在财务报告内部控制重要缺陷
□是 √否
1.3 于内部控制评价报告基准日,公司是否存在未完成整改的财务报告内部控制重大缺陷
□是 √否
1.4 于内部控制评价报告基准日,公司是否存在未完成整改的财务报告内部控制重要缺陷
□是 √否
2.非财务报告内部控制缺陷认定及整改情况
2.1 重大缺陷
报告期内公司是否发现非财务报告内部控制重大缺陷
□是 √否
2.2 重要缺陷
报告期内公司是否发现非财务报告内部控制重要缺陷
□是 √否
2.3 于内部控制评价报告基准日,公司是否发现未完成整改的非财务报告内部控制重大缺陷
□是 √否
2.4 于内部控制评价报告基准日,公司是否发现未完成整
改的非财务报告内部控制重要缺陷
□是 √否
四、其他内部控制相关重大事项说明
(一)2021年12月29日,公司非现场交易系统在交易期间发生客户登录异常故障。故障发生后,公司运维人员通过重启中间件的方式在30分钟之内完成应急处置,系统恢复正常运行。公司根据《证券期货业网络安全事件报告与调查处理办法》及《东北证券股份有限公司网络安全事件应急预案》,认定本次事件级别为“一般事件”。通过事后启动调查分析程序发现,故障的根本原因是系统供应商恒生电子股份有限公司(以下简称恒生公司)于12月24日提供的系统升级补丁包中代码逻辑存在缺陷,恒生公司紧急修改程序,并于12月30日提供修复补丁修复此问题。针对本次由于程序修改不当引发的问题,恒生公司于2021年12月29日提供了问题说明并致歉,表明后续将持续加强程序治理,避免出现同类问题。
(二)2021年12月27日,公司控股子公司渤海期货股份有限公司之孙公司渤海融幸(上海)商贸有限公司因涉嫌操纵期货合约被中国证监会出具《立案告知书》(证监立案字0062021047号),截至内部控制评价报告披露日,案件尚在调查中。
董事长:李福春东北证券股份有限公司二〇二二年四月十三日