公司代码:600030 公司简称:中信证券
中信证券股份有限公司2019年度内部控制评价报告
中信证券股份有限公司全体股东:
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求(以下简称企业内部控制规范体系),结合本公司(以下简称公司)内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,我们对公司2019年12月31日(内部控制评价报告基准日)的内部控制有效性进行了评价。一. 重要声明按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。二. 内部控制评价结论
1. 公司于内部控制评价报告基准日,是否存在财务报告内部控制重大缺陷
□是 √否
2. 财务报告内部控制评价结论
√有效 □无效
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,不存在财务报告内部控制重大缺陷,董事会认为,公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
3. 是否发现非财务报告内部控制重大缺陷
□是 √否
根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准日,公司未发现非财务报告内部控制重大缺陷。
4. 自内部控制评价报告基准日至内部控制评价报告发出日之间影响内部控制有效性评价结论的因素
□适用 √不适用
自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。
5. 内部控制审计意见是否与公司对财务报告内部控制有效性的评价结论一致
√是 □否
6. 内部控制审计报告对非财务报告内部控制重大缺陷的披露是否与公司内部控制评价报告披露一致
√是 □否
三. 内部控制评价工作情况
(一). 内部控制评价范围
公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。
1. 纳入评价范围的主要单位包括:中信证券股份有限公司(以下简称“中信证券”或“公司”)、中
信证券(山东)有限责任公司(以下简称“中信证券(山东)”)、金石投资有限公司(以下简称“金石投资”)、中信证券投资有限公司(以下简称“中信证券投资”)、中信证券国际有限公司(以下简称“中信证券国际”)、中信期货有限公司(以下简称“中信期货”)、中信中证投资服务有限责任公司(以下简称“中信中证”)、金通证券有限责任公司七家全资子公司以及华夏基金管理有限公司(以下简称“华夏基金”)、新疆股权交易中心有限公司(以下简称“新疆交易中心”)、CLSA PremiumLimited(以下简称“CLSA PREMIUM”)三家非全资子公司。
2. 纳入评价范围的单位占比:
| 指标 | 占比(%) |
| 纳入评价范围单位的资产总额占公司合并财务报表资产总额之比 | 97.44 |
| 纳入评价范围单位的营业收入合计占公司合并财务报表营业收入总额之比 | 97.80 |
3. 纳入评价范围的主要业务和事项包括:
1、内部环境评价
(1)治理结构
公司根据《中华人民共和国公司法》(以下简称《公司法》)《中华人民共和国证券法》(以下简称《证券法》)《证券公司监督管理条例》《证券公司治理准则》《上市公司治理准则》等法律法规和监管规定,结合公司实际情况,建立了由股东大会、董事会、监事会和经营管理层组成的、符合现代企业制度的公司治理结构。公司《章程》明确了股东大会、董事会、监事会和经营管理层的职责权限、议事规则和工作程序等,确保了权力机构、决策机构、执行机构和监督机构之间权责分明、规范运作和有效制衡。股东大会是公司的权力机构。公司股东大会充分享有并有效行使《公司法》、公司《章程》赋予的权利,公司股东大会的召集时间、通知方式、召开方式、表决程序和决议内容等完全符合有关法律法规和公司《章程》的规定。董事会是公司的决策机构。公司董事会下设发展战略委员会、风险管理委员会、审计委员会、提名委员会、薪酬与考核委员会以及关联交易控制委员会等六个专门委员会,并针对该六个专门委员会分别制定了议事规则,为充分发挥专门委员会的科学、民主决策职能提供了有效制度保障。公司董事会薪酬与考核委员会、关联交易控制委员会成员全部由独立非执行董事组成;审计委员会、提名委员会中独立非执行董事人数超过二分之一;审计委员会、薪酬与考核委员会以及关联交易控制委员会主席均由独立非执行董事担任。公司制定了《独立董事工作制度》,明确了独立董事的任职资格、职责权限等,对独立董事依法履行职责予以充分保障。监事会是公司的监督机构。公司监事会成员认真履行职责,列席了全部现场董事会会议并向股东大会汇报工作,对公司财务以及董事会、经营管理层履行职责的合法合规性进行了有效监督。
(2)发展战略
公司综合考虑宏观经济政策、国内外市场需求变化、行业发展趋势、竞争对手状况、可利用资源水平和自身优劣势等影响因素,制定发展战略,定位准确、目标清晰、操作可行。公司依据发展战略制定并落实年度工作计划,确保了发展战略的有效实施。公司制订各业务线、各部门、各子公司2020年战略规划,对经营指标、客户市场、行业地位制订了明确目标,并对保持竞争优势提出实施路径,确保公司可持续、健康发展。公司在资源配置、工作机制等方面对发展战略予以充分保障:在董事会层面,公司设立了发展战略委员会,同时制定了发展战略委员会专门议事规则,明确了发展战略委员会的人员构成、职责权限、会议召集及通知程序、议事和表决程序等内容。
(3)人力资源
员工是公司最宝贵的财富。公司注重发挥员工的知识、技能,激发员工的敬业精神,同时通过持续完善管理制度、提升员工能力、加强信息化管理等方式,努力塑造一支积极向上、主动担当、与公司长期共同发展的员工队伍。
2019年,公司持续完善与优化现有制度与流程,提升日常操作的规范化。2019年,公司修订颁布公司《职级管理办法》《绩效管理办法》《离职管理办法》《员工手册》,重新修订《员工奖惩办法》,帮助员工进一步明确管理要求和人力资源激励约束机制。
同时,2019年公司持续重视员工素质和能力提升,关注青年员工成长,优化总部校招新员工培养方案,提升管理人员能力,打造后备干部队伍,实现了课程体系的统一性、组织协调的一致性。公司加强在职管理人员培训,针对部门、分、子公司负责人和营业部总经理开展集中培训,提升其战略思维、经营意识、综合管理水平、国际视野及创新意识。公司建立后备干部库,对后备干部进行管理测评,并组织开展后备干部轮训。公司通过在线学习与面授学习相结合的方式,提升了重点区域HR的组织能力和专业水平。
此外,2019年公司以制度建设、数据管理为抓手,持续夯实公司人力资源管理基础。公司加强人力资源数据管理,不断健全人力资源分析系统,持续完善公司总部与分支机构HR系统员工基础数据准确性,实现各项人力资源业务流程的电子化管理,推动人力资源数据、财务数据、业务数据的整合与分析,以信息化手段提升人员管理的效率和效果。
(4)社会责任
公司高度重视履行社会责任,切实做到公司经济效益与社会效益、短期利益与长远利益、自身发展与社会发展相互协调,努力实现公司与员工、公司与社会、公司与环境的健康和谐发展。
公司遵纪守法,合规经营;认真履行上市公司法定义务,持续及时披露信息,不断加强与投资者沟通交流;通过不断完善治理结构,持续加强风险管理和内部控制,努力提升经营业绩;强调以客户为中心,不断加强客户服务和提升客户满意度,并积极响应国家政策,全心全意为中小企业发展提供良好的融资和顾问等服务,积极协助中小企业拓宽融资渠道;通过推行公平合理的薪酬制度、安排岗位和职业技能培训等,保障员工合法权益、做好员工职业发展规划;关心员工身心健康,举办各种文体比赛、设立各类体育俱乐部,丰富员工业余生活;热心公益慈善事业,持续开展捐资助学、济贫帮困等活动,造福和谐社会。
(5)企业文化
公司采取切实有效的措施,积极培育具有自身特色的企业文化。公司成立企业文化建设领导小组,推进落实公司诚信文化、廉洁文化建设。通过举办新老员工培训活动,坚持向员工输入企业文化的核心理念;积极参与扶贫、植树等公益活动,培养员工践行公司文化的意志和实践能力,使公司具有自身特色的企业文化深入全员并贯彻到员工的日常行为中。同时,公司董事、监事和高级管理人员在企业文化建设中自觉发挥主导和示范作用;公司持续将企业文化建设融入到经营管理中,切实做到文化建设与发展战略有机结合,增强员工的责任心和使命感,引导和规范员工行为,形成团队的整体向心力,促进企业的长远发展。
2、全面风险管理体系
2019年,公司根据业务发展和风险管理需要,从组织架构、制度体系、风险限额、系统建设等多个方面,持续完善公司全面风险管理体系,并重点加强对境外子公司的一体化风险管理。
(1)风险管理组织体系
公司董事会下属的风险管理委员会、执行委员会下设的风险管理委员会及各专业委员会、相关内控部门与业务线共同构成了公司风险管理的主要组织架构,形成委员会集体决策、内控部门与业务线密切配合、相互制衡的三层次风险管理体系,从审议、决策、执行和监督等方面管理风险。
(2)风险管理制度体系
公司建立了由基本风险管理制度、专业风险管理政策和重点领域风险管理办法及具体业务风险管理细则等层次构成的制度体系。
风险管理部建立了制度流程定期评估机制,以确保各项制度符合外部监管规定和内部管理需要,持续保持制度的有效性和适用性。2019年4月,风险管理部启动了本年度规章制度及工作流程的全面梳理与评估工作,针对其中经评估需要更新的制度制定修订计划,并持续推进修订更新工作。截至2019年底,已修订更新20余项制度。
(3)风险管理授权与限额体系
公司制定了《信用风险限额及授权管理办法》《市场风险限额管理办法》《交易类业务止损限额管理办法》《流动性风险指标管理办法》等制度,对各类风险限额管理的组织架构、授权审批机制、限额调整机制、预警和触限处理机制等进行了明确规范。公司对于风险限额采用分级授权审批模式,授权层级包括公司风险管理委员会、首席风险官、风险管理部行政负责人、风险主管及风险经理。依据规模越大、影响越广泛的风险事项需由越高层级的管理人员来评估的原则进行授权。各层级限额管理机构/人员负责其权限范围内限额制定、调整、分配及超限应对措施的审批决策。
(4)风险管理系统
公司继续推动风险管理系统开发建设,开发适应公司业务、落实管理要求、提高工作效率的风险管理信息系统及工具。风险监测项目完成了同一客户的基础功能开发,正在丰富客户管理功能应用;风险处置项目已开发完成;投行风险项目已经上线,并在不断完善功能;个人评级项目按照计划开发中,预计明年可以试运行。
(5)境内外一体化风险管理
对于境外子公司,公司实施更为紧密的一体化风险管理。境内外风险管理团队融合为同一个部门,境外子公司风险管理负责人由母公司风险管理部直接委派。通过打造境内外一体化的风险管理团队,在团队内部明确授权管理范围,对境外子公司风险实现更加直接有效的管理。
(6)声誉风险
公司的声誉风险管理已纳入全面风险管理体系,建立了相关制度和管理机制,以防范和识别声誉风险,主动、有效地应对和处置声誉风险事件,最大程度地减少由此对公司造成的损失和负面影响。
公司坚持预防为主的管理理念,建立常态、长效的声誉风险管理机制,注重事前评估和日常防范。通过声誉风险管理流程,发现并解决经营管理中存在的问题,消除影响公司声誉和形象的隐患。同时,通过事件推动,在实际操作中,对声誉风险的管理和处置机制是否有效、职责是否明确及报告、决策和执行流程是否有效实施进行评估,注重职能部门的响应与协作,在公司董事会、经营管理层、各职能部门和分支机构之间实现快速响应和协同应对,提高防范声誉风险和处置声誉事件的能力与效率。
(7)合规管理
公司高度重视合规管理工作,围绕“全面提升合规管理能力,为公司业务发展提供及时有力的法律、合规支持”这一目标,合规管理体系日趋健全完善并持续有效运行,公司合规风险管控能力不断提高。目前,公司已建立能够满足监管要求和公司合规管理需要的合规管理组织架构。根据公司《章程》和《合规管理规定》,董事会是公司合规管理的领导机构,决定公司合规管理目标,对合规管理的有效性承担责任;高级管理人员负责落实合规管理目标,对合规运营承担责任;各部门、各分支机构和各层级子公
司负责人负责落实本单位的合规管理目标,对本单位合规运营承担责任;合规总监负责公司合规管理工作,实施对公司经营管理活动合法合规性的审查、监督和检查;合规部为公司合规工作日常管理部门,在合规总监领导下,履行具体合规管理职责;各部门/业务线合规专员分别在各自职权范围内行使合规管理职责。公司建立健全了以《合规管理规定》为基本制度,以公司《员工合规守则》《合规咨询与审核制度》《合规检查与监测制度》《客户投诉举报处理制度》《合规报告制度》《合规考核制度》《信息隔离墙制度》及其配套措施、反洗钱工作制度体系、合规部内部工作制度、相关部门/业务线/分支机构合规制度等为具体工作制度的合规管理制度体系,使公司的各项合规管理工作有章可循。
公司各级经营管理部门、业务线和分支机构以及全体员工在开展经营管理活动时,须按相关制度提交合规咨询审核;合规部组织或者协助业务部门对制度或业务流程进行定期或不定期梳理,评价执行效果,监测、检查和评估风险情况,对违法违规隐患进行质询或调查,提出具体整改意见并督促落实;公司重视和大力开展合规宣传和合规培训工作;公司建立畅通的客户投诉举报信息获取机制,协助有关部门妥善处理涉及公司及员工违法违规行为或重大合规风险隐患的客户投诉举报;公司已建立完善的合规报告体系,按照监管要求向董事会、监管部门报送定期或临时合规报告;公司定期对各部门、业务线和分支机构及公司员工合规管理的有效性和执业行为的合规性进行合规考核,并将考核结果纳入公司绩效考核体系。2019年,在合规管理制度层面,公司制定或修订了《全球合规手册》《反洗钱管理办法》《员工从业资格管理规定》《员工兼职管理暂行规定》《员工证券投资行为管理制度》《员工职务通讯行为监测制度》《客户证券交易行为管理和自律监管协同工作制度》等多项基本和配套制度。通过制度建设,合规管理工作的规范化建设得到进一步加强,合规管理制度体系得以进一步完善,合规管理的独立性得到进一步保障。公司通过进一步完善信息隔离墙系统、反洗钱系统、客户交易行为监控和管理系统以及黑名单监测系统,提高合规管理信息化能力,防范违规操作、洗钱、内幕交易、利益冲突等各类风险发生。为了配合公司国际化和一体化战略的推进和海外业务整合,公司依照《全球合规手册》,推进全球合规文化建设、防范全球合规风险;根据与香港子公司签署的《北京、香港两地合规中央控制室备忘录》,进一步完善全球中央控制室的协作机制;公司进一步优化部门职责分工,加强对境外合规团队的垂直管理,优化对境外子公司的管理机制,就跨境业务的发展和全球监管规则的变化快速反应。通过上述方式,公司集团化、国际化的合规管理水平显著提高。
(8)法律风险
2019年,公司法律部围绕主责,专注于防范和化解公司法律风险,具体包括:处理公司诉讼仲裁纠纷案件,参与公司风险项目处置;为公司重大决策提供法律咨询,提出有利于公司改进经营管理工作的建议;参与产品风险评估工作;参与采购管理工作;开展知识产权管理;统一管理律所选聘和服务工作;接待国家有权机关的调查取证等执法工作;组织实施法制宣传教育工作,不断提高全体员工的法律意识。公司法律部为公司持续提高依法经营管理水平、实现战略发展目标提供法律保障。
在组织体系方面,法律部内部分工明确,成立专门的诉讼小组,由具有丰富诉讼实务经验的法律人员组成,诉讼事务直接向法律部行政负责人汇报;指定专人负责知识产权管理、律所选聘、协助有权机关调查取证、普法等工作,并对相关工作进行绩效考核,确保责任到人、奖惩到位。
在制度和流程控制方面,法律部依据2017年制定或修订的《案件管理办法》《外聘律师事务所管理办法》《商标管理办法(试行)》《著作权管理办法(试行)》《关于协助有关国家机关调查取证、冻结、扣划客户证券和资金的规定》等相关法律风险管理制度,推动相关工作流程规范化。法律部要求业务部门、分支机构在案件发生后二十四小时内报告,并在案件管理系统中填报案件信息,每月以书面方式向公司管理层报告案件进展;在案件处理过程中,法律部负责起草诉讼文书,参与案件庭审,提出有利于公司的诉讼主张,加强与司法机关工作联系,推动执行案件尽快回款。法律部要求留存协助执法业务档案,保证过程留痕;要求公司各部门按照2018年发布的《VIS视觉识别系统手册》,严格规范商标和标识的使用;在研究报告的著作权归属、信息系统开发等方面,要求约定公司享有相关著作权。公司法律部通过上述方式加强法律风险的管控。
(9)廉洁从业风险
公司制定并下发了《中信证券股份有限公司廉洁从业规定》,对员工在执业过程中涉及的商业秘密、职业道德、亲属和利益关系人回避、防范商业贿赂、财务纪律等做出了具体要求,明确和细化了在各项经营活动中的禁止行为。在日常宣传方面,公司在内网中设立有“党务纪检团委”栏目,企业微信公众号中设立“纪检专栏”、“合规宣传专栏”。通过上述平台,相关管理部门及时宣传廉洁从业和反腐倡廉的相关政策、规范,并发布行业内有代表性的违纪违法案例,做到日常监督提醒。同时,公司着力发挥党支部纪检委员的功能,在重点节假日督促其通过微信群等方式及时传达反“四风”、廉洁从业等有关要求。
在培训方面,公司在新员工入职培训、年度合规测试、证券从业后续教育等环节加入廉洁从业管理的相关主题,提示员工认真学习监管机关和公司制定的制度规范。结合“不忘初心、牢记使命”主题教育和开展巡察等基层调研的机会,融入金融反腐和廉洁从业的相关要求。
4. 重点关注的高风险领域主要包括:
2019年度内控自我评价工作,在确保覆盖主要核心业务流程的基础上,重点围绕监管检查的关注重点,以及同业机构发生违规、遭受监管处罚的领域进行。
(1)经纪业务
公司针对经纪业务的风险特点,在组织架构、业务与综合运营管理、营销管理、客户服务和账户规范方面建立了完善的内部控制机制。
① 组织架构
公司建立健全了“三位一体”的经纪业务内部控制体系且有效运行。公司财富管理委员会作为经纪业务直接管理机构,在分公司、证券营业部(以下简称“营业部”)的大力配合下,重点对业务风险进行控制;公司合规部、法律部和风险管理部及时发现、揭示业务风险点,有效监测并督促后续整改;公司稽核审计部重点对制度和业务流程执行的有效性进行事后稽核,对稽核中发现的问题提出稽核整改意见及管理建议书,督促被稽核单位进行整改。
公司对分公司和营业部的交易、清算和财务实行集中管理,对分支机构财务岗、信息技术岗、合规专岗实行垂直管理。公司营业部实行前、后台分离的控制机制,营业部运营总监对柜台业务履行一线管理职责。根据《证券公司和证券投资基金管理公司合规管理办法》《证券公司合规管理实施指引》等监管要求,员工人数在15人以上的营业部设有专职合规管理人员(合规专岗),员工人数在15人以下的营业部设有兼职合规管理人员,上述合规管理人员对营业部进行合规管理。按照监管要求,公司对营业部总经理实施强制轮岗及离任审计。
②业务与综合运营管理
公司建立了统一的业务操作规程和授权管理制度,明确了营业部后台管理类、账户类、资金股份类、交易类、客户服务与交易行为管理、金融产品代销等各类业务操作流程。2019年,公司财富管理委员会先后制定或修订了《财富管理委员会代销金融产品业务制度汇编》《科创板投资者适当性管理实施细则》《股票期权经纪业务制度汇编》《财富管理委员会交易单元管理规定》等,对产品销售、科创板股票交易、股票期权经纪业务、交易单元管理等制度根据监管规则进行细化和完善。公司合规部有针对性地对营业部合规及运营管理人员进行执业行为管理、投资者适当性、反洗钱等相关培训,提升合规意识,防范合规风险。
③营销管理
公司建立了统一的营销人员序列,制定了相应的营销管理制度,从人员聘用、岗前培训、执业资格管理、执业行为管理、薪酬与考核、风险监控等方面防范营销人员执业不规范的风险。2019年,公司人力资源部先后制定或修订了《经纪业务分支机构员工绩效考核管理办法》《经纪业务分支机构员工薪酬管理办法》等制度,对营业部客户经理绩效考核内容及各项考核内容的标准、过程管理考核及过程管理考核结果的应用、分支机构员工薪酬管理等进一步规范。公司合规部和财富管理委员会有针对性地对营业部客户经理等业务人员进行合规执业和投资者适当性管理培训,提升合规意识,防范合规风险。
④客户服务
公司建立了统一的客户管理和客户服务制度,制定了客户适当性管理、客户交易安全监控、客户回访和投诉处理等一系列制度。2019年,财富管理委员会持续推动优化和完善客户分级分类服务,制定了面向客户的全业务、全客户、全资产周期的分级分类服务框架,修订完成《中信证券分级分类服务指引2.0版》,客户分级分类服务已于2019年11月15日在信e投客户端上线;持续进行账户实名使用核查、账户信息治理,保护客户交易安全;回访流程和投诉处理规范化,妥善处理客户投诉,维护投资者权益。
⑤账户规范情况
2019年,公司继续加强账户日常管理,落实中国结算账户实名开立及实名使用情况要求,组织分支机构账户实名制业务情况现场检查,继续跟踪开展产品证券账户一码通信息补录、份额持有人数据报送及产品净值报送、中国结算账户核查、账户信息治理等工作;对公司各分支机构进行专门培训,通过技术手段完善开户流程控制,杜绝不规范账户的开立。
截至2019年12月31日,公司经纪业务客户共有证券账户15,782,278户,其中:合格证券账户14,672,390户,占92.97%;休眠证券账户1,108,628户,占7.02%;不合格证券账户1,055户,占0.01%;司法冻结证券账户0户;无风险处置证券账户。截至2019年12月31日,公司经纪业务客户共有资金账户8,664,200户,其中:合格资金账户7,581,210户,占87.50%;休眠资金账户1,080,780户,占12.47%;不合格资金账户1,424户,占0.02%;不合格司法冻结资金账户27户,占0.0003%;无风险处置资金账户。
(2)期货IB业务
①制度修订
2019年,按照外部监管规则或自律规则的变化,公司与中信期货共同修订了《中信证券股份有限公司期货IB相关制度汇编》,对汇编中期货IB业务管理办法、投资者教育、营业部资格管理及操作流程进行修订并更新业务表单,完善中信期货CRM系统中经纪关系和客户回访信息的录入要求以简化网开客户操作,汇编收录《期货从业人员合规执业提示》以防范期货从业人员违规参与期货交易而产生的合规风险。
②配合中信期货落实“看穿式监管要求”计划,组织各IB证券营业部协助中信期货做好IB客户软件更换的通知工作,将看穿式监管相关常见问题排查及解决方案、软件更新情况发送分支机构进行学习以便解答客户咨询。
③开展期货IB权限自查、梳理。
(3)融资融券业务
公司针对融资融券业务的风险特点,在组织体系、决策授权、制度和流程、风险管理等方面建立了完善的内部控制机制。
①组织架构和决策授权
公司建立了以“董事会—执行委员会等业务决策机构—融资融券业务执行部门—分支机构”为主体架构的融资融券业务决策与授权体系,对融资融券业务实行集中统一管理,并实行业务部门与中后台部门相互分离、相互制约的组织架构。
② 制度和流程
公司根据监管要求建立了完善的、覆盖客户征信授信、客户信用账户管理、担保物管理、逐日盯市及强制平仓管理、客户回访、客户投诉受理及处理等流程,制定了《融资融券业务管理制度汇编》《中信证券股份有限公司科创板融资融券业务细则》,强化了投资者适当性管理的相关要求,严格执行融资融券业务(含科创板)投资者适当性管理的制度,未因此产生不符合监管要求的事项。
③ 风险管理
公司主要通过对客户征信和信用额度审批、逐日盯市和及时平仓等方式,实现信用风险控制;通过融资融券业务规模限制、与净资本的比例限额、担保物的选择、持股集中度监控等方式,对流动性风险
加以控制;通过建立各项制度与流程、人员培训等方式,进行操作风险控制。
(4)股票质押业务
公司针对股票质押回购业务特征,制定了全面的业务管理制度,组建了较为完备的组织架构,从客户适当性管理、交易对手信用风险管理、业务市场风险管理、业务操作风险管理、业务信息系统建设和监管数据报送等多个方面建立了较为完善的业务标准和详细的业务操作流程,并于2019年进行了全面的细化修订,确保业务开展合法合规,形成了健全的内部控制机制。
(5)自营业务
公司针对自营业务的风险特点,在风险管理、自有资金交易账户管理、异常交易监测以及业务创新等方面建立了完善的内部控制机制。
①风险管理
公司设置了公司、部门、账户层面的三重限额体系,实现了风险控制指标的实时、动态监控和自动预警。风险管理委员会负责对公司整体风险限额的制定与调整进行管理和审批;其下设的风险管理工作小组为协调机构,负责推进落实公司风险管理委员会的各项决策;业务部门和风险管理部根据各项业务的特点,对风险限额进行细化和分配,将部门层面和公司整体主要风险指标控制在限额之内。
②自有资金交易账户管理
公司严格规范自有资金交易账户的维护和使用,从风控、额度、合规(交易属性)、财务等方面加强自有资金交易账户开、销户的管理和审核,控制和防范自有资金交易的运营风险。同时,对于涉及程序化交易的账户,公司严格按照上交所《关于加强股票期权程序交易报备管理的通知》要求,对相关程序化交易进行报备。此外,根据监管要求,合规部就公司场外期权交易专用对冲账户进行了专项报备,并强化交易标的的监测和管理。
③异常交易监测
公司“异常交易监测系统”于2017年4季度开始运行,公司所有自营账户已被纳入监测范围,分别就大额频繁反向交易、大额申报、连续申报、密集申报、单个股票涨跌停大量申报、强化尾市涨跌停趋势虚假申报等数十种异常交易类型进行分市场、分部门、分账户监测预警。
2019年,根据《深圳证监局关于规范辖区证券基金经营机构债券交易业务的通知》(深证局机构字[2018]3号)的要求,公司为加强债券交易风险监测监控,对自营、资管账户及提供投资顾问服务的账户之间的交易实施监控,以防范利益输送、冲突和风险传导,将债券交易监测监控纳入公司异常交易系统,共设置了13个监测监控模块,目前监测监控功能已正常运行。
④业务创新
在每项新业务开展前,由公司风险管理部统筹中后台相关部门根据公司《新业务评估流程》开展评估,确保创新业务模式和开展合法合规,与新业务提案部门共同梳理业务规则,论证风险类型和缓释方案,明确新业务相关数据与清算、财务、风险管理等中后台系统的对接方式,确定估值定价与风险计量模型以及所必须遵守的风险限额。
⑤制度与流程优化
2019年,证券市场开放A股科创版交易,权益投资部作为公司自营股票交易的主要业务部门,制定相关部门业务管理制度,完善业务操作流程,主要包括《权益投资部科创板投资业务制度(试行)》及《权益投资部证券集中度操作流程及管理办法》。《科创版投资业务制度(试行)》规定了科创版股票研究、投资、交易的具体流程,权益投资部开展科创版投资交易业务,均严格按制度流程合规操作。《证券集中度操作流程及管理办法》明确并细化了权益投资部开展权益自营投资业务应遵循的权益类证券集中度监管指标的相关规定及要求。固定收益部2019年制定了《中信证券固定收益部债券投资交易业务管理实施细则》,就债券投资交易的业务内控要求以及具体业务管理作出了规定。
(6)场外金融衍生品业务
公司针对场外金融衍生品业务特征,制定了全面的业务管理制度,组建了较为完备的组织架构,从客户适当性管理、交易对手信用风险管理、业务市场风险管理、业务操作风险管理、业务信息系统建设
和监管数据报送等多个方面建立了较为完善的业务标准和详细的业务操作流程。2018年7月31日,公司获得《关于中信证券申请场外期权一级交易商资质的无异议函》(机构部函〔2018〕1784号)后,持续推进业务发展,完善内控机制。
①完善制度与管理流程
一是制度制定、修订。公司及时制定了《多空收益互换业务操作细则》,修订了《场外期权个股挂钩标的管理规程》。二是客户准入尽职调查及反洗钱审查的优化。在修订内部制度的基础上,公司于2019年7月和11月进一步强化客户准入尽职调查工作,加强对客户交易行为的管控和关联关系排查,建立了客户回访机制。三是对冲交易管理。公司依托异常交易监测系统强化了交易对冲管理,确保期权对冲交易专户专用;对冲过程中进一步防范异常交易行为,避免对二级市场造成冲击;同时加强了对交易对手方利用场外期权交易从事内幕交易、操纵市场等违法违规行为的监测监控。公司进一步完善对冲交易的内控制度和监控机制,包括对冲端成交金额占比控制、日内涨跌幅限制、委托价格限制、价格异常波动的开仓限制、市场敏感时期的对冲交易操作控制、对冲交易额度限制及强化大宗交易审核等。四是加强标的管理。根据监管要求和公司新修订的《场外期权个股挂钩标的管理规程》,业务部门按照要求向证券业协会报送场外期权挂钩个股标的名单,同时根据证券业协会发布的《关于证券公司场外期权业务挂钩个股标的名单的公告》,结合公司合规、风控等内控要求,对场外期权挂钩标的进行名单管理。五是加强合规审查。对场外期权产品设计等业务流程加强合规审核和管理,关注客户交易目的,并严格按照监管要求明确行权价、期权费等要素。
六是数据报备。在修订内部制度的基础上,公司采取一系列措施提高报送效率,确保数据报送及时、准确、完整、规范。
②信息系统建设
2019年,公司信息技术中心配合全面风险管理要求,完成了与之配套的系统建设。信用风险管理方面,完成了信用风险管理系统、内部评级系统、人行征信系统建设;市场风险管理方面,完成了风险数据管理、市场风险计算引擎管理系统、市场风险报表系统建设;流动性风险方面,完成了流动性风险管理系统建设;操作风险方面,完成了操作风险管理系统建设;合规风险方面,优化了合规管理系统、反洗钱系统、异常交易监控系统、黑名单系统。同时,信息技术中心还按照监管的要求,完成了风险控制指标动态监控系统、并表系统的建设,实现了对总部及子公司各类风控指标的自动计算和及时监控,覆盖了风险管理方方面面。
在业务前端,股权衍生产品业务线针对客户准入,开发了KYC管理系统,全面梳理了KYC流程,明确了各流程节点的业务负责人,清晰地划分了相应权责,降低了因客户准入带来的合规风险。在文档管理方面,股权衍生产品业务线开发了针对客户协议及期权确认书的文档管理系统;该系统以二维码为核心,对文档的生命周期做定向跟踪,后续将对该系统进行持续更新与完善,使其能够覆盖业务线的全文档生命周期的管理,降低相应的操作风险。
③风险管理
根据场外期权业务的快速发展,公司制定了有针对性的风险限额体系,以保证对业务风险的有效管控,并在现有的《股票期权自营业务合规与风险管理办法》《股衍业务市场风险指引》《固定收益业务市场风险管理办法》《场外期权业务市场风险指引》等制度体系下,严格执行操作,确保业务风险可测、可控。
(7)投资银行业务
公司针对投资银行业务的风险特征,在组织架构、制度建设、保荐代表人管理、质量控制、内核、发行方案设计、发行定价和持续督导等方面建立了完善的内部控制机制。
①组织架构
投资银行管理委员会(以下简称“投行委”)下设置十个行业组、十个投行分部、人才发展中心、股票资本市场部、债务资本市场部、债券承销业务线、资产证券化业务线、并购业务线,负责各类客户潜在全产品投行业务需求的发掘和执行;设置股票资本市场部和债务资本市场部分别负责股权类产品和债权类产品的发行定价、推介路演和配售;设置运营部负责各类融资业务的内部协调与支持工作。公司投行委设置质量控制组,对投资银行业务实施动态跟踪和管理,履行对投资银行类项目质量把关和事中风险管理等职责。投行业务实施立项委员会制度,对各类项目进行入口管理。质量控制组内部根据产品类型配置不同的质量审核人员,具体把握项目本身的质量风险。公司内核部承担保荐承销项目及财务顾问项目的内部审核工作。内核部完全独立于投行业务部门,保证了内核工作的独立性和公正性;合规部负责信息隔离墙管理、投行项目利益冲突审查、投行业务独立性管理与审查、IPO项目网下禁配对象核查、投行业务反洗钱、未公开信息知情人管理、投行业务合同审核等工作;风险管理部负责对投行业务的操作风险进行监控和定期检视、对债权类品种(证监会主管公司债券及资产证券化)进行信用风险评估、产品风险审核及对包销持仓进行监控。总体上,投资银行业务形成了以行业组、业务线质量控制组、风险管理部、合规部、内核部构成的“三道防线”内部控制架构体系。
②制度建设
2019年,随着科创板的实施,公司制定、更新了部分投行业务管理制度,包括《投资银行管理委员会项目开发和立项管理办法》《股票资本市场部簿记现场合规性管理规范指引》《中信证券权益类证券发行承销业务规范》等。
③保荐代表人管理
为加强保荐代表人管理,公司制定了《保荐代表人管理办法》《股权承销与保荐项目尽职调查工作管理办法》《投资银行管理委员会项目工作底稿管理办法》等制度,要求保荐代表人对所保荐的项目进行充分的尽职调查,全面参与包括发行方案讨论、申报材料制作、与监管机构的沟通、路演发行等各个阶段的业务活动,并按照监管要求建立完整的保荐工作日志,详细记录项目实施过程,以确保项目不存在虚假记载、误导性陈述或者重大遗漏,并建立完备的项目工作底稿。质量控制组对保荐代表人的履职情况进行全程监督。
④质量控制
投行委各部门/业务线在业务运作过程中,负有把控风险和质量的工作职责。质量控制组根据《投资银行管理委员会质量控制工作管理办法》负责在投行委内部对项目运作全过程进行质量核查及风险控制的动态跟踪,涵盖了立项管理、项目过程监控、申报文件审核、技术专家支持、经验总结和积累等一系列完整流程。投行业务根据《投资银行管理委员会项目开发和立项管理办法》,设立立项委员会,在公司层面对投行项目进行评估和甄别。立项委员会负责审核各业务线提交的立项申请是否符合相关条件,并以投票的方式决定项目是否立项,核定项目组负责人及项目组成员,核定项目初步预算,批准撤销因各种原因已结束工作的项目等工作。立项委员会组成人员除投行委各部门/业务线内部资深人士之外,还包括内核部等非投行业务部门人员。
⑤内核
内核部是投行业务内部控制的重要一环,其主要工作内容包括:依据项目人员前期尽职调查的情况,参与投资银行项目的立项选择;持续跟踪项目的改制、辅导等中间环节,及时了解项目动态及存在的问题;对拟提交监管机关的申报材料进行审核;召开内核会议,对投资银行项目进行出口管理;对反馈意见的答复进行审核;关注项目人员在项目持续督导期间履行持续督导义务的情况,并对重点或异常情况进行核查。
⑥发行方案设计和发行定价
在项目的发行方案设计和发行定价环节,公司建立了严密的风险控制体系。资本市场部门在充分了解和评估投资者需求的前提下制定发行方案。对于存在包销风险的项目,需经资本承诺委员会事前审批,有效控制项目的包销风险。
⑦持续督导
对于项目持续督导环节,公司制定了《投资银行管理委员会股权和并购项目持续督导工作管理办法》《公司债券受托管理人执业行为准则》《公司债券受托管理业务与信息披露操作规程》《银行间债券市场非金融企业债务融资工具主承销商后续管理工作指引》等制度。项目组成员按照前述办法督导发行人履行规范运作、信守承诺、信息披露等义务,及时汇报及披露企业的重大事项,编制持续督导报告。
(8)新三板业务
针对新三板业务的特征和风险特点,在制度建设、挂牌和发行股票项目开发与立项、挂牌和发行股票项目审核与申报、做市与项目维护和管理等方面建立了完善的内部控制机制。
①制度保障
新三板业务部制定了一系列关于新三板挂牌、发行股票和做市的管理制度及程序,对以上业务进行全面规范和指引。
公司已按照《证券公司投资银行类业务内部控制指引》的要求,构建起新三板推荐类业务内部控制组织架构。新三板推荐类业务执行团队为内部控制的第一道防线,新三板运营质控组为内部控制的第二道防线,内核部、合规部、风险管理部为内部控制的第三道防线。
②项目立项与签约
《全国中小企业股份转让系统业务立项管理办法》规定设立立项委员会,履行立项审议决策职责,对新三板推荐类项目是否予以立项做出决议;未经立项审议通过的新三板推荐类项目,不得与客户签订正式业务合同。
③项目审核与申报
所有提交新三板业务部质控团队审核的文件,项目组成员起草文件后,均应先由项目负责人、投行委行业组及区域分部等部门质量控制岗、投行委行业组及区域分部等部门负责人等进行内部复核,部分项目类型签署《审核确认函》后,一并发送质控团队审核。
对于推荐挂牌项目、涉及发行股份的重大资产重组项目和定向发行股东超过200人的定增项目,质控审核后,经内核委员(包括外聘律师、外聘会计师)组成的内核会议审核通过后报送至主管新三板业务的领导审批通过后,方能对进行外报送;对于股东不超过200人的定向发行项目、不涉及发行股份的重大资产重组项目,内核部通过网上办公流程进行审核,经主管新三板业务的领导审批通过后,方能对进行外报送。
新三板项目上报股转公司之前,正式申报材料及股转反馈回复中需公司盖章的材料应经过项目负责人审核后提交新三板执行团队质量控制岗、新三板业务部运营质控组和内核部审核通过后方能进行对外报送。
④做市
新三板业务部明确了投资决策的分级授权体系,原则上按照公司管理层——公司资产负债管理委员会——新三板业务部做市决策委员会——做市业务线的方式进行分级授权。各级相互协调,保证做市业务的高效进行。
⑤项目维护与管理
针对新三板项目,项目组成员对挂牌公司进行持续督导,并及时汇报及披露挂牌公司的重大事项。新三板业务部负责保管档案,包括但不限于电子版的全套挂牌相关申报文件、股票发行备案文件等。
(9)资产管理业务
针对资产管理业务的特征和风险特点,在研究、投资决策和交易执行、产品设立、投资交易监测、营销与客户服务等方面建立了完善的内部控制机制。
①投资决策、交易执行及研究
资产管理部内部实行投资决策与交易执行相分离的机制,分别由不同的团队负责。为适应大集合产品对标公募基金规范整改,资产管理部在2019年新设公募业务投资决策委员会,并将原投资决策委员会更名为私募业务投资决策委员会。公募业务投资决策委员会与私募业务投资决策委员会分别作为大集
合产品以及私募资产管理计划、社保、年金和养老金产品在投资管理和风险控制方面的最高决策机构,实行投资决策委员会领导下的账户投资经理负责制。资管账户层面设置投资经理(投资主办人)及品种经理,投资经理负责拟定账户对应的品种并总体负责资产配置方案的实施;品种经理在投资主办人的领导下负责开展部分投资决策工作。投资指令通过合规性审查后传送至交易组,由交易组完成交易执行。研究组进行宏观策略、行业及个股研究,为投资决策提供支持。
②产品设立
资产管理部设立产品委员会,作为资产管理产品开发运作的决策管理机构,开展以下工作:研究决定部门的产品开发战略和发展方向;批准或修改资产管理产品管理的流程;审核提交的资产管理产品或创新预案;确定产品或创新项目负责人;对前期批准的产品方案执行情况进行评估,根据评估情况审议项目调整预案。此外,资产管理部还制定了《资产管理机构业务创新产品评估及决策流程》,对机构业务产品创新的设计、开发流程予以进一步规范。
③投资交易监控
资产管理部内控组与公司风险管理部共同对投资交易情况进行监控。资产管理合同签订后,内控组根据合同约定制作风险控制指引书,并据此设置合规和风控指标。资产管理部内控组和公司风险管理部运用信息系统进行事中、事后并行监控,发现异常情况向有关岗位发送风险揭示报告,并定期形成资产管理业务风控报告。此外,资产管理部还建立了公平交易制度,保证部门内所有账户的投资得到公平对待。
④ 营销与客户服务
资产管理部高度重视营销以及客户服务工作,在投资者适当性管理、客户身份识别与反洗钱、反避税、投资者教育、营销管理、客户投诉处理、合同会签管理以及档案管理等各个方面,均建立了完善的管理机制。资产管理部开发了CRM客户管理系统,集中统一管理客户信息,有效地提升了客户服务水平。
(10)研究业务
2019年,公司研究部继续加强内控管理,完善各项内部制度,制定了《安排研究员跨墙参与科创板首次公开发行项目相关工作规范》,并对《研究业务合规管理制度》等制度进行了修订。
①研究报告的生产环节
研究业务拥有近200人的研究团队,主要分布于北京、上海和深圳三地,统一遵循国际通行的证券研究方法,以基本面分析为基础,强调财务模型和估值模型等数量化分析手段,注重实地调研并取得一手资料,研究覆盖了国民经济所涉及到的几乎所有领域。面对复杂多变和竞争剧烈的市场环境,研究业务加快了国际化进程,在保持本土优势的同时,努力将这一优势拓展到海外市场,持续推进与里昂证券开展业务交流、跨境发布报告等工作。
②研究报告的审核环节
研究员撰写完成的研究报告需通过产品组的质量审核和合规组的合规审核。对于重要的报告(如首次评级报告、评级或盈利预测发生较大变化的报告)则需通过质量审核委员会的审核和财务专家的财务模型审核。对于调研报告则需要提交调研工作底稿备查。
③研究报告的发布环节
研究报告电子版的对外发布由研究部产品组负责,在研究报告审核通过后产品组通过专门的研报管理系统,按照同一个邮件群组向公司内部部门、员工和外部客户同时发送,同时向研报浏览WEB平台同步推送。
④研究报告的服务环节
研究报告对外发布后,客户经理可组织研究员为公司相关部门以及基金公司、保险公司等机构投资者提供上门路演或其他相关的研究咨询服务。
⑤研究报告的留痕管理
研究员将路演等信息录入研究业务系统,并将调研工作底稿或个股分析所依据的财务模型等原始信
息资料进行适当保存以备查证。对外公开发布证券研究报告时,产品组对研究报告发布的时间、方式、内容、对象和审阅过程实行留痕管理。
⑥研究员对外交流管理
研究员在就宏观经济、行业、上市公司等业务问题接受媒体采访前,需事先通过内部的审批程序。合规组对研究员参加媒体宣传之前提交的信息进行记录并妥善保管备查。合规组按照监管部门的相关要求报备参与媒体节目的情况。
⑦微信管理
为进一步加强研究业务管理、强化内部风险控制、规范微信使用行为,研究部制定了《研究部业务相关微信管理暂行办法》。对研究员发布业务相关微信行为纳入研究部统一管理;对建立官方微信公众号的行为,需经研究部及公司相关管理部门的同意。
⑧研究员跨墙行为管理
对于研究员跨墙为投行等部门提供服务的,需遵守《信息隔离墙制度》等公司、研究部部门制度的规定。跨墙前办理审批手续,对跨墙期间所获取的未公开信息持续履行保密义务;跨墙期间接受相关部门的监控,并履行相应的执业回避要求。
(11)资金运营管理
根据公司对部门的定位要求,库务部负责公司资金的集中管理与调配,承担资产负债管理职能,并开展流动性储备池投资,引导资金的合理流向。公司坚持资金的统一管理和运作,公司执委会和资产负债管理委员会负责对自有资金一级配置进行决策。在资产负债管理委员会审议并经执委会授权的额度内,公司权益投资部、股权衍生品业务线、固定收益部、另类投资业务线、证券金融业务线、库务部等部门对自有资金进行二级配置。
在资金的日常运作管理方面,公司建立健全了资金及头寸管理系统,各部门运用资金需通过该系统进行预约并通过库务部审核,保证了公司资金的合理运用,激励业务部门提高资金头寸申报的准确度。2019年,公司制定并发布了《中信证券股份有限公司资金管理办法》,通过价格手段和成本约束引导业务线申请与业务发展需要相匹配的配置资金额度,提高公司配置资金使用效率。库务部在交易系统中开发了资金报表,动态跟踪每日公司资金头寸情况;严格依据公司《流动性管理办法》和相关制度规程,执行流动性管理操作,确保流动性安全。对于境外流动性管理,库务部制定了《境外流动性管理账户管理办法》及《流动性管理账户风险管理指引》,对管理账户流动性风险、利率风险、信用风险、汇率风险、操作风险及交易对手风险等进行内部控制。
自2016年起,公司库务部开始承担非标项目投资与管理职责。库务部制定了《资金运营部非标准化资产投资管理办法》,对非标项目的尽职调查、投资决策、投后管理、风险处置等各个环节的流程均进行了详细的规范。公司风险管理部制定了《非标资产投资业务风险指引》,从公司层面对非标业务的投资流程、风险评估、部门协同等进行监督。同时,公司库务部还制定了《资金运营部投资决策会运行规则》,对部门内部的非标投资业务进行决策审批。通过上述制度和流程安排保障了非标投资项目的规范有效开展。
(12)大宗商品业务
公司作为首批开展大宗商品业务的证券公司之一,在2019年对部门业务进行了部分调整,聚焦于商品衍生品业务,针对境内外企业和机构投资者客户,提供商品配置、套期保值、风险管理等服务。
根据大宗商品业务的风险特点,公司在制度建设、风险管理和系统建设等方面建立并进一步完善了内部控制机制,确保业务行为合法合规,风险可控。大宗商品业务线针对各项业务建立了管理办法与操作流程,对衍生品业务流程进行全面规范。在重要的风险控制环节如征信与授信、交易、清算等方面设置了严格的内部控制措施。
①制度建设
2019年,公司大宗商品业务线进一步明晰了各个岗位的职责分工,通过对客户准入、交易风险控制、清算管理等各个业务环节全面把控,加强了收益互换业务、黄金期现货业务等的内部控制。
②风险管理
在风险管理方面,公司继续巩固完善风险管理与内控流程,涉及业务额度审批、征信与授信、交易流程、风险监控、清算交割、系统支持等领域。
(13)托管业务
针对托管业务的特征和风险特点,公司在组织架构、人员管理、业务流程、制度建设、风险管理和系统管理等方面建立了完善的内部控制机制。
①组织架构
公司设立一级部门托管部,负责公司资产托管业务的承揽、业务推广及营销策划、业务组织实施等工作,同时根据相关监管规则及基金合同的约定,对托管的基金履行安全保管基金财产、办理清算交割、复核审查资产净值、开展投资监督、召集基金份额持有人大会等职责。
②业务流程
托管业务流程包括:托管项目论证及准备、托管资产保管、资金清算、会计核算和估值、投资监督、信息披露、业务保障、销售业务论证及准备以及业务支持与检查等环节。2019年,托管部进一步修订了《非标投资基金托管准入管理办法》和《私募证券类投资基金托管业务准入办法》,适当提高了管理人和基金产品准入标准,细化和量化了非标管理人、非标产品的准入评估办法、准入流程,对于不符合相关标准的非标管理人或非标产品,不予开展业务合作,不启动产品合同、托管协议等法律文件的起草和审核,从而保障非标业务的合法合规性,避免产生操作风险。
③制度建设
公司托管部建立了一系列关于托管业务的制度和流程,主要包括:《托管部内部机构设置与岗位职责规定》、《托管部从业人员管理办法》、《证券投资基金托管业务管理办法》、《证券投资基金托管业务清算管理办法》、《证券投资基金托管业务投资监督管理办法》、《非标类投资基金托管准入管理办法》等,对资产托管业务的流程、岗位职责、风险控制措施进行全面规范。
④风险管理
托管业务建立三级内控风险防范体系,有效防范托管业务风险:一级风险防范是公司设立风险管理委员会,该委员会向公司执行委员会汇报,并在授权范围内,负责托管业务的整体风险监管框架和管控工作,对涉及风险管理的重要事项及相关制度进行决策和审批;二级风险防范是公司清算部、信息技术中心、风险管理部、法律部、稽核审计部、合规部等中后台部门各司其职并协调配合,构成对托管业务全方位的各类风险管理和后台支持体系;三级风险防范是托管部设立风险管理组,负责部门内部风险预防和控制。
⑤系统管理
托管部信息系统建设和运维由托管部总体负责,信息技术中心协助保障。托管业务专用网络与公司其他业务网络实现强逻辑隔离,除因为网络安全管理、系统运行监控、资讯共享、补丁升级、病毒防护、通讯链路共享等必须的防火墙跨墙访问以外,均实现与其他业务网络的有效隔离。系统软件由系统维护岗专人进行维护、调试和保管,有关操作手册、光盘资料按照要求登记保管。应用软件和每天的业务处理紧密联系,要求使用人员严格按照操作规程进行操作,严格按照个人权限进行登录,个人密码要定期更换。托管部业务数据保持独立,其备份、使用、传输、销毁和归集等都独立于公司其他业务数据。
(14)财务管理以及财务报告编制管理
根据《公司法》、《证券法》、《会计法》以及《企业会计准则》等国家有关法律、法规和公司《章程》的有关规定,公司制定并颁布了《中信证券股份有限公司财务管理制度》、《中信证券股份有限公司费用开支管理办法》、《营销费用管理办法》、《差旅费管理办法》、《中信证券股份有限公司固定资产管理制度》等一系列财务管理制度,规范计划财务部的日常财务管理流程、会计核算流程以及财务报告编制操作流程,确保各个财务岗位分工合理、职责明确,确保各个业务流程以及财务报告编制环节授权审批制度完整、健全。同时,计划财务部充分利用信息技术,构建了稳定、可靠的财务核算信息系统,在确保会计工作质量的同时,有效提高了各方面的工作效率,从技术手段上,确保了会计信息审核制度等一系列内
部监督检查流程、制度的有效运行。
①会计核算流程管理
计划财务部对于会计核算的管理控制坚持从源头抓起,财务会计人员依据公司有关制度的规定全面审核会计原始凭证的正确性和完整性,确保会计原始凭证内容详实、要素齐全、审批单据具备完整的、有效的有关各方和责任人员的签字或者盖章,对不符合规定的原始凭证不予受理。确保以合法有效的会计凭证要素为起点,及时、准确地完成会计核算以及账务处理工作。同时,依托财务信息系统的权限管理制度,计划财务部建立了严格的财务人员授权审批流程,财务人员按照各自的职责和权限进行相应的财务系统操作,以确保原始凭证以及记账凭证均经过相关业务线财务主管以及计划财务部主管的适当授权审批,保证会计核算的科学性和合理性。
②财务报告编制管理
公司建立了完整的、有效的财务报告编制流程和制度,在财务报表编制工作开始前,计划财务部预先制定了完整的、全面的合并财务报表编制方案以及工作计划,报请财务负责人审批后逐级下达至所有下属会计核算主体,以明确合并财务报表的合并范围、合并范围内子公司以及联营公司提交相关财务信息及其他会计资料的时间、形式等各项内容,确保财务报表编制工作及时有序开展。
计划财务部设置专人关注会计法、税法等相关法律法规、规章制度的变化以及监管机构的最新监管规定,同步更新、修改与财务管理、会计核算以及财务报告编制有关的流程和制度,确保会计政策依据最新的会计准则以及相关配套规则制定,符合现行会计法规和最新监管要求。计划财务部设立专人专岗负责按照《企业会计准则》以及相关法律法规的要求完成财务报告的编制工作。在编制财务报告前,计划财务部协同相关部门完成资产清查、减值测试和债权债务核实等各项前期工作,确保账实相符。子公司以及联营公司报送的财务信息以及会计资料必须经过各自财务负责人以及子公司及联营公司相关领导的审批,以保证其财务数据的准确性和可靠性。
计划财务部相关责任岗位人员编制完成财务报表及其附注等财务信息后,必须经过计划财务部相关主管、计划财务部负责人、公司相关高级管理人员的审批通过后方可按照公司的有关规定、流程和制度对外报送。
③财务信息系统管理
计划财务部充分利用信息技术,提高工作效率和工作质量,减少核算差错和人为调整因素,公司专门设立财务信息系统管理岗位,负责财务信息系统的日常管理与维护,包括:硬件的日常维护、财务人员权限的设置与变更、服务器数据备份、系统病毒检测等工作,以保证财务信息系统的正常运行及相关财务数据的及时输入、输出以及保存。
计划财务部在财务信息系统内按照不同的岗位职责类别分别为每一名财务人员设置了不同的操作权限,由公司财务信息系统主管岗直接负责财务人员的操作权限设置及变更的审批工作,进一步保证不相容岗位职责的分离,确保财务会计信息存储安全、管理到位、使用恰当,防止对财务数据的非法修改和删除。
④固定资产管理
公司制定了完善的固定资产管理制度,明确了固定资产的实物管理部门和价值管理部门以及各自相应的职责,清晰界定了固定资产的确认、分类、计量的标准,并对固定资产的购置、验收、维护、报废等控制流程进行了明确的规定。公司通过定期盘点确保账实相符及公司资产的安全。
(15)清算管理
清算部在清算运营方面全面提升规范化水平,做到制度规范化、运营规范化,及时跟进市场法规与业务变化,综合考虑前台业务节点,做到相关制度、运营规程覆盖全面、执行合理,协助业务部门提升业务整体的内控水平,支持业务长远稳定发展。在日常运营工作中重视流程化、信息化、一体化建设,构建产品化、生命周期化流程体系,形成全生命周期的、跨部门岗位的综合业务流程,结合信息化、自动化水平的提升,搭建业务监控层,做到事前操作提示、事中进程跟踪、事后监督检查,保障各项业务安全运营。
针对清算业务,持续加强各系统清算工作风险管控,组织全员对清算日志、操作手册、操作指引进行及时更新,完善业务规则说明,整理、识别、分析清算业务工作内容,完成清算风险梳理,识别清算操作风险点,通过完成清算监控系统建设对清算结果进行有效监控,确保清算工作能够合规、有序、可控地开展,降低操作风险。2019年,清算业务内控管理主要完成:
①持续优化结算业务运营,推进OA流程建设:实现股票质押式回购违约处置业务系统化、OA流程化;实现代销金融产品相关OA流程正式上线;实现法人结算系统交收指令迁移;完成Xir系统重新清算OA流程优化及清算优化;完成客户资金存管银行协议更新工作。
②推进清算数据运营自动化工作:完成《结算任务系统发送任务性能监控报表》上线;完成机器人自动化项目需求上线;完成结算任务管理系统托管业务拆分。
③加强业务系统用户权限管理工作:实现公司结售汇业务系统用户权限支持;完成对所有27套在管业务系统用户权限进行逐一自查和清理;完成业务系统管理员用户集中变更工作。
(16)关联交易管理
公司已建立较为完善的关联交易管理内部控制机制。公司《章程》对关联交易决策权限及程序、关联股东和关联董事在关联交易表决中的回避制度等作出了规范。此外,为加强公司关联交易管理、规范管理交易行为、明确管理职责和分工,公司还制定了《关联交易管理办法》,对关联交易的决策权限与程序作出了具体明确的规定。在合同会签程序中内嵌关联方验证环节,对关联交易进行强制验证。
公司对于日常的且有利于公司发展的关联交易,采取科学高效的审批流程和决策机制,能够严格按照国家有关法律、法规、规范性文件的要求,履行决策程序,确保交易价格公允,并进行充分及时的披露。
(17)信息技术管理
2019年度,公司在坚持“全面覆盖,预防为主,分级保护,共同参与,持续改进”信息安全方针的前提下,进一步推动信息安全防护体系建设和优化,并取得了一定成果。在继续推进常态化信息安全运营外,主要包括“4项体系优化”和“2个平台建设”。
4项体系优化主要包括:优化网络监控体系,全面部署主机入侵检测系统,完善主机安全管控策略;优化职务通讯监测体系,满足合规员工职务通讯监控需求,编写合规监控系统测评功能项;优化全网防病毒体系,增加部署防病毒管理节点,提升防病毒系统的性能;优化源代码安全管控体系,制定代码安全整改方案,编制《代码安全评估报告》。
2个平台建设包括:建设新漏洞检查平台,更好的提供系统漏扫、弱口令检测和基线核查服务,制定安全检查平台对接营业部自动化运维平台的实施方案,完成安全检查平台侧的部署和相关配置,实现定时扫描生成指定模板报告并自动发送到指定邮箱的功能;建设统一日志收集和安全态势感知平台,支持全公司安全日志接入和分析,实现内外网安全态势感知和预警,对接威胁情报平台,增强日志安全分析能力,做到更为准确有效的信息安全威胁识别与处置。
常态化安全运营主要包括:完成ISO27001认证工作,制定信息安全KPI和KRI指标体系,为后续信息安全工作和风险量化提供依据;信息安全预警及意识宣传贯彻;顺利完成2019年护网行动,完成公司11款移动APP的评估及加固,完成域控安全加固,包括400余项CIS安全控制项的加固等;持续加强应用安全管控,对互联网侧的89个应用进行月度监控与扫描,发现并处置高危端口17个;完成新WEB应用防火墙的部署上线,处置恶意IP共计203个;完成应用系统上线安全检查合计140次、326台服务器;推动全年网络监控体系组件的部署和优化,完成全网互联网出口、内部网络共计19个攻击捕获探针的部署,进一步提升了全网安全监控能力;推进广州证券安全执行与整合工作,整合常规信息安全管理及运维工作,包括安全制度的完善与落实、应急预案的制定和演练等。
(18)子公司内部控制
纳入内控自我评价范围的中信证券(山东)、金石投资、中信证券投资、中信证券国际、中信期货、中信中证、金通证券等七家全资子公司以及华夏基金、新疆交易中心和CLSA PREMIUM三家控股子公司均建立了较为完善的法人治理结构和内部控制体系,制定了完备的业务管理制度和流程。报告期内,上
述子公司未发现公司内部控制存在设计和执行方面的重大缺陷和重要缺陷;一般缺陷可能导致的风险均在可控范围内,未对公司的经营管理活动质量和财务目标的实现造成重大影响。
4、信息与沟通的评价
(1)内部信息与沟通
公司与各部门、业务线以及子公司之间建立了明确的管理和汇报机制。在合规的前提下,各部门、业务线以及子公司之间分别建立了完善的沟通和反馈机制,以保证内部信息及时、有效、准确地传递。公司总经理办公室负责收集各业务部门的日常简报、季度分析报告,并对报告进行检查和整理归集;公司制定了《合规报告制度》,明确定期合规报告、临时合规报告的报送流程、报送范围和主体责任,以保证与合规风险相关的信息能够有效传递。为配合财务报告的编制,公司制定了《财务管理制度》,对财务报告的编制及披露工作加以规范,明确财务报告的审批层级;公司制定了《重大事项报告与问责制度》,明确重大事项的报送范围、审批流程等内容,力求及时发现和防范可能发生的重大风险,保证公司经营管理活动及各项工作的顺利开展;公司制定了《合同管理办法》,明确因签订、履行合同产生纠纷的,主办单位应将具体情况书面报公司领导、有关业务主管部门和法律部;决定采取诉讼方式解决的,法律部、主办单位应将诉讼案件的进展情况及时向公司领导汇报;公司制定了各类风险的定期报告机制,根据不同风控指标报送各类定期报告。
公司已建立内部办公自动化系统(OA系统),有效地将授权控制和流程状态跟踪等功能固化至系统之中,在加强内部沟通效率的同时,实现了工作留痕。此外,公司还通过电子邮件和内网平台等多种渠道传递内部信息,有效地加强了内部交流。同时,公司已建立反舞弊举报机制,并制定公司《员工合规守则》和《客户投诉举报制度》,前者对公司内部违规事项的举报加以规定,后者对公司客户发现公司及员工违法违规行为和合规风险隐患的举报进行了规定。
(2)信息披露
公司已制定《信息披露事务管理制度》,制度明确规定董事会对于信息披露的实施责任和监事会对于信息披露情况的监督责任,并具体规定信息披露的原则、范围、内容、基本标准及披露流程,同时还明确了公司各单位在信息披露工作上的主体责任,有效提高了信息披露事务管理水平和信息披露质量,保护了公司、股东、客户、债权人及其他利益相关人的合法权益,保证了信息披露的及时性、准确性和完整性。
为加强公司内幕信息管理,保护广大投资者的合法权益,公司还制定了《内幕信息知情人登记制度》,规定内幕信息、内幕信息知情人的范围、内幕信息知情人登记备案流程和内幕信息保密管理等内容。
(3)信息系统
2019年,公司信息技术中心进一步增强了对公司运营管理的支撑力度,重点梳理了与投资者动态适当性评估、账户合规监测和重点账户监控、股票质押违约预警与处置相关的流程、数据和关联系统,与各业务部门和风控合规部门密切协作,完善了相关风险管理和处置的流程和方案。
5、内部监督评价
公司建立健全了董事会审计委员会、监事会、内部控制部门等组成的全方位多层次内部监督体系。董事会审计委员会协助董事会独立地审查公司财务状况、内部监控制度的执行情况及效果,对公司内部稽核审计工作结果进行审查和监督。
监事会负责对公司董事、监事、高级管理人员以及公司经营管理情况、财务状况进行监督,向股东大会负责并报告工作。同时,公司稽核审计部、合规部、风险管理部和法律部等内部控制部门分工协作,对各项业务的内部控制情况进行定期和不定期的监督检查。
为加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,公司经营管理层高度重视董事会、内部控制各职能部门的意见和建议,对于发现的问题采取各种措施及时纠正,最大限度避免业务差错的发生,有效地提高业务规范化程度,提高公司内部控制管理水平。
5. 上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面,是否存在重大遗漏
□是 √否
6. 是否存在法定豁免
□是 √否
7. 其他说明事项
无
(二). 内部控制评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系等,组织开展内部控制评价工作。
1. 内部控制缺陷具体认定标准是否与以前年度存在调整
□是 √否
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确定了适用于本公司的内部控制缺陷具体认定标准,并与以前年度保持一致。
2. 财务报告内部控制缺陷认定标准
公司确定的财务报告内部控制缺陷评价的定量标准如下:
| 指标名称 | 重大缺陷定量标准 | 重要缺陷定量标准 | 一般缺陷定量标准 |
| 涉及资产、负债的错报占总资产的比例 | 5%以上(含) | 3%-5%(不含) | 小于3%(含) |
| 涉及净资产的错报占净资产的比例 | 5%以上(含) | 3%-5%(不含) | 小于3%(含) |
说明:
无
公司确定的财务报告内部控制缺陷评价的定性标准如下:
| 缺陷性质 | 定性标准 |
| 重大缺陷 | 公司存在下述迹象之一的,通常表明财务报告内部控制存在重大缺陷。 1、发现董事、监事和高级管理人员与财务报告相关的舞弊行为; 2、监管机构责令公司更正已公布的财务报告; 3、注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报; 4、公司董事会审计委员会和内部审计机构对内部控制的监督无效。 |
| 重要缺陷 | 一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中虽然未达到重大缺陷水平,但引起董事会和管理层重视的错报,将该缺陷认定为重要缺陷。 |
| 一般缺陷 | 不构成重大缺陷和重要缺陷的内部控制缺陷,认定为一般缺陷。 |
说明:
无
3. 非财务报告内部控制缺陷认定标准
公司确定的非财务报告内部控制缺陷评价的定量标准如下:
| 指标名称 | 重大缺陷定量标准 | 重要缺陷定量标准 | 一般缺陷定量标准 |
| 因内控缺陷造成的损失占总资产的比例 | 5%以上(含) | 3%-5%(不含) | 小于3%(含) |
| 因内控缺陷造成的损失占净资产的比例 | 5%以上(含) | 3%-5%(不含) | 小于3%(含) |
说明:
无
公司确定的非财务报告内部控制缺陷评价的定性标准如下:
| 缺陷性质 | 定性标准 |
| 重大缺陷 | 公司存在下述迹象之一的,通常表明非财务报告内部控制存在重大缺陷。 1、公司缺乏民主决策程序,如缺乏“三重一大”决策程序; 2、公司重大决策程序不科学,已经或可能造成重大损失; 3、有关公司的负面消息流传世界各地,政府或监管机构进行调查,引起重大诉讼,对企业声誉造成无法弥补的损害; 4、公司被监管部门撤销相关业务许可; 5、已经发现并报告给管理层的重大或重要缺陷在合理的时间后未加以改正; 6、公司重要业务缺乏制度控制或制度系统性失效。 |
| 重要缺陷 | 公司存在下述迹象之一的,通常表明非财务报告内部控制存在重要缺陷。 1、公司被监管部门暂停相关业务许可; 2、有关公司的负面消息在全国各地流传,引起公众关注,引发诉讼,对企业声誉造成重大损害; 3、公司有关数据的非授权改动会给业务运作带来重大损失或造成财务记录的重大错误,对业务正常运营造成重大影响。 |
| 一般缺陷 | 除重大缺陷和重要缺陷以外的其他缺陷。 |
说明:
无
(三). 内部控制缺陷认定及整改情况
公司已经根据基本规范、评价指引及其他相关法律法规的要求,对公司截至2019年12月31日的内部控制设计与运行的有效性进行了自我评价,结论如下:
1. 财务报告内部控制缺陷认定及整改情况
1.1. 重大缺陷
报告期内公司是否存在财务报告内部控制重大缺陷
□是 √否
1.2. 重要缺陷
报告期内公司是否存在财务报告内部控制重要缺陷
□是 √否
1.3. 一般缺陷
无
1.4. 经过上述整改,于内部控制评价报告基准日,公司是否存在未完成整改的财务报告内部控制重大
缺陷
□是 √否
1.5. 经过上述整改,于内部控制评价报告基准日,公司是否存在未完成整改的财务报告内部控制重要
缺陷
□是 √否
2. 非财务报告内部控制缺陷认定及整改情况
2.1. 重大缺陷
报告期内公司是否发现非财务报告内部控制重大缺陷
□是 √否
2.2. 重要缺陷
报告期内公司是否发现非财务报告内部控制重要缺陷
□是 √否
2.3. 一般缺陷
一般性缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。根据上述认定标准,结合日常监督和专项监督情况,报告期内,公司个别部门和分支机构在展业过程中存在一般性缺陷。公司对此高度重视,深刻总结反思,汲取教训,并严格按照相关监管规则的要求,通过对相关责任人进行问责、修订与完善公司相关规章制度和流程、进一步加强合规宣传与培训等措施,已及时完成整改。报告期内,公司对纳入评价范围的业务与事项均已建立了内部控制,并得以有效执行,达到了公司内部控制的整体目标。前述一般缺陷可能导致的风险均在可控范围内,未对公司的经营管理活动质量和财务目标的实现造成重大影响,且已认真落实整改。从内部控制评价报告基准日到内部控制评价报告发出日之间,没有发生对评价结论产生实质性影响的内部控制重大变化。
2.4. 经过上述整改,于内部控制评价报告基准日,公司是否发现未完成整改的非财务报告内部控制重
大缺陷
□是 √否
2.5. 经过上述整改,于内部控制评价报告基准日,公司是否发现未完成整改的非财务报告内部控制重
要缺陷
□是 √否
四. 其他内部控制相关重大事项说明
1. 上一年度内部控制缺陷整改情况
□适用 √不适用
2. 本年度内部控制运行情况及下一年度改进方向
□适用 √不适用
3. 其他重大事项说明
□适用 √不适用
我们注意到,内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。未来期间,公司将继续完善内部控制制度,规范内部控制制度执行,强化内部控制监督检查,促进公司健康、可持续发展。
董事长(已经董事会授权):张佑君
中信证券股份有限公司
2020年3月19日