(2013 年修订 ) 第一章总则 第一条 为了公司的规范发展, 有效防范和化解金融风险, 维护证券市场的 安全与稳定, 依据中国证券监督管理委员会颁布的 证券公司内部控制指引 深 圳证监局制定的 上市公司内部控制工作指引 等法规, 特制定本制度 第二条 内部控制制度是公司为防范金融风险, 保护资产的安全与完整, 促 进各项经营活动的有效实施而制定的各种业务操作程序 管理方法与控制措施的总称 第二章内部控制的目标和原则第三条公司内部控制的目标 : ( 一 ) 保证经营的合法合规及公司内部规章制度的贯彻执行 ( 二 ) 防范经营风险和道德风险 ( 三 ) 保障客户及公司资产的安全 完整 ( 四 ) 保证公司业务记录 财务信息和其他信息的可靠 完整 及时 ( 五 ) 提高公司经营效率和效果 第四条公司内部控制制度的原则 : ( 一 ) 健全性 : 内部控制应当做到事前 事中 事后控制相统一 ; 覆盖公司的所有业务 部门和人员, 渗透到决策 执行 监督 反馈等各个环节, 确保不存在内部控制的空白或漏洞 ( 二 ) 合理性 : 内部控制应当符合国家有关法律法规和中国证监会的有关规定, 与公司经营规模 业务范围 风险状况及公司所处的环境相适应, 以合理的成本实现内部控制目标 ( 三 ) 制衡性 : 公司部门和岗位的设置应当权责分明 相互牵制 ; 前台业务运作与后台管理支持适当分离 ( 四 ) 独立性 : 承担内部控制监督检查职能的部门应当独立于公司其他部门 第三章内部控制的主要内容 1
第五条公司内部控制主要内容包括 : 环境控制 业务控制 会计系统控制 电子信息系统控制 信息传递控制 内部审计控制等 第一节环境控制第六条环境控制包括授权控制和员工素质控制两个方面 第七条授权控制的主要内容包括 : ( 一 ) 股东大会是公司的权力机构 董事会是公司的常设决策机构, 向股东大会负责 监事会是公司的内部监督机构, 负责对公司董事 经理的行为及公司财务进行监督 公司总经理由董事会聘任, 对董事会负责, 主持公司的经营管理工作, 组织实施董事会决议 ( 二 ) 公司作为法人实体独立承担民事责任, 各业务部门 各分支机构在规定的业务 财务和人事等授权范围内行使相应的职权 ; 各项业务和管理程序都制定了操作规程, 各业务人员在授权范围内进行工作, 各项业务和管理程序遵照公司制定的各项操作规程运行 ; 公司对授权部门和人员建立了相应的评价和反馈机制, 授权期限不超过一年, 对不适用的授权及时修改或取消授权 第八条 员工素质控制贯彻在人力资源管理体系的各个环节 公司应当制定 连贯 可行的制度和操作流程, 涵盖于员工招聘 培训 轮岗 考核 晋升 淘汰等环节 在投资银行业务方面的员工素质控制上, 通过员工能力素质模型, 要求相关员工必须具备七项核心能力素质和与岗位相应的专业能力素质 这些素质要求同样适用于招聘 晋升 培训和考核等方面 经纪业务领域的员工素质控制上, 应针对风险较高的岗位 ( 如证券营业部负责人 财务主管和电脑主管等 ) 实行总部垂直管理和定期轮换制, 从人力资源管理制度上控制管理风险 同时, 公司应当通过有效的员工激励制度, 鼓励员工努力提高核心与专业素质, 打造个人 团队乃至公司的竞争优势 第二节业务控制 第九条 业务控制包括经纪业务控制 投资银行业务控制 自营业务控制 受托投资管理业务控制 金融创新业务控制等 2
第十条经纪业务控制主要内容包括 : ( 一 ) 经纪业务内部控制重点是防范挪用客户交易结算资金及其他客户资产 非法融入融出资金以及结算风险等 ( 二 ) 统一制订营业部业务规程 管理制度和主要业务流程 建立完善的营业部岗位责任制度, 按不同岗位赋予相应的责任和职权, 各岗位间相互配合 相互监督 相互制约 ( 三 ) 制定统一的股东帐户和资金帐户管理制度, 妥善保管客户的开户资料, 严格客户资金的存取程序和授权审批制度 ( 四 ) 严格遵守保密原则, 如实记录证券交易情况, 并妥善保存委托记录 妥善保管客户开户 交易及其他资料, 严禁非法修改客户资料 ( 五 ) 实行法人集中清算制度及客户交易结算资金集中管理制度, 营业部 70% 的客户保证金上划到公司总部集中管理 ( 六 ) 建立证券交易的实时监控系统, 对每日交易活动进行实时监控, 并对异常资金流转 异常证券转移 异常交易及违规行为及时进行问询, 必要时要求当事人写出书面说明 第十一条投资银行业务控制主要内容包括 : ( 一 ) 投资银行项目管理制度化 制定了各类投资银行业务的业务流程 作业标准和风险控制措施, 加强项目的承揽立项 尽职调查 改制辅导 文件制作 内部审核 发行上市和保荐回访等环节的管理, 加强项目核算和内部考核, 完善项目工作底稿和档案管理制度 ( 二 ) 企业融资委员会负责公司的证券承销业务, 公司对承销业务的质量控制及风险防范重点在项目立项 申报材料内核 发行方案与定价等三个方面 ( 三 ) 通过 立项管理办法, 严格按照质量评价体系对项目进行筛选 项目小组必须先向企业融资委员会提出立项申请, 并按要求报送详细的申请材料 是否立项由企业融资委员会立项审核会议讨论决定 ( 四 ) 项目小组制作的申报材料, 应由公司证券发行内核小组进行内核 内核工作包括内核申报 项目预审 项目复审 内核会议 项目跟踪及回访等内容 ( 五 ) 发行承销项目的定价工作由发行定价联席会负责 公司发行定价联席会由企业融资委员会召集, 资金运营部 计划财务部 清算部等部门联席参加 发行价格由联席会集体讨论 研究确定, 公司任何个人和分支机构均不得自行向 3
企业承诺发行价格 第十二条自营业务控制主要内容包括 : ( 一 ) 公司自营业务由交易部统一操作, 其他任何部门和分支机构均无权擅自从事自营业务 清算部负责公司自营的清算工作及资金划拨 计划财务部负责自营核算 ( 二 ) 自营规模由交易部提出申请, 公司领导核定 ( 三 ) 交易部的组织构架分为投资决策委员会 研究组 投资执行组和风险控制组 投资决策委员会由与交易业务有关的领导和特邀专家组成, 负责对交易部所有自营项目的操作做出方案和下达指令, 具体执行由交易部总经理负责 ; 研究组负责调研上市公司并做出投资价值分析报告提供给其他各组 ; 投资执行组负责执行投资决策委员会下达的交易指令, 并提供交易台帐和项目收益情况表 ; 风险控制组负责监控交易过程中的所有风险并及时汇报投资决策委员会 ( 四 ) 公司所有的自营帐户, 由清算部办理 保管, 开户中所有的原始材料必须在清算部保存 自营业务必须与代理客户交易业务严格分开 ( 五 ) 严守商业机密, 禁止无意或故意对外泄露本公司投资结构 投资计划及盈亏状况等 严禁交易人员为自己 亲属及他人进行有价证券的买卖活动 第十三条受托投资管理业务内部控制 : ( 一 ) 公司资产管理部统一管理受托投资管理业务 受托投资管理业务与自营业务 经纪业务之间应当建立严格的防火墙制度, 从组织结构 账户管理 投资运作 信息传递等方面保持相互独立, 从而保证客户资产与公司资产的完全分离和安全 ( 二 ) 公司应当针对产品设计 客户开发 业务受理 投资运作 资金清算 财务核算等环节制定规范的业务流程 操作规范和严格的授权管理制度 ( 三 ) 严格执行监管部门对客户资产管理业务受托资金来源的要求, 认真审查每一笔客户资金的合规性, 并在合同中要求客户承诺其委托资金来源的合规和合法性, ( 四 ) 不向客户保证其资产本金不受损失或保证最低收益 定期向客户提供准确 完整的资产管理报告, 对报告期内客户资产的配置状况 价值变动等情况做出详细说明 ( 五 ) 公司风险管理部和稽核部协作配合, 共同负责公司范围的独立内部稽 4
核和业务合规性检查, 对资产管理业务进行定期或不定期的检查与评价 第十四条研究咨询业务内部控制 : ( 一 ) 研究人员在对外路演 咨询及利用媒体开展公开咨询 ( 含报纸 杂志 网站 电台 电视台和声讯台等 ), 必须严格执行政府和管理部门的相关法律法规 ( 二 ) 研究人员对公司承销的股票 争取的项目所涉及的公司, 自进入项目小组开始至项目发行之后六个月内保持静默, 一律不得对本项目所涉及的公司对外进行公开咨询或发表意见 ( 三 ) 研究人员在任何时候不得对公司及关联公司股票及其市场走势在媒体上进行点评 ( 四 ) 不具备证券投资咨询执业资格的人员一律不得以公司 个人名义在媒体上发布与股票指数和股价涨跌相关的分析意见与投资建议 第十五条业务创新的内部控制 : ( 一 ) 公司业务创新应当坚持合法合规 审慎经营的原则, 加强集中管理和风险控制 ( 二 ) 公司开展业务创新工作必须严格按照内部审批程序进行 并及时与监管部门沟通, 履行创新业务的报备 ( 报批 ) 程序 ( 三 ) 公司对业务创新必须全程监控, 及时纠正偏离目标行为 第三节会计系统控制 第十六条 会计系统控制可分为会计核算控制和财务管理控制, 主要内容包 括 : ( 一 ) 公司依据会计法 会计准则 财务通则 会计基础工作规范 证券公司会计制度和财务制度等制订公司会计制度 财务制度 会计工作操作流程和会计岗位工作手册, 作为公司财务管理和会计核算工作的依据 ( 二 ) 公司计划财务内控组织体系以会计核算组织体系为基本依托, 以各会计岗位为基本风险控制点 公司设总会计师, 分管全公司计划财务工作 公司本部和下属营业部等非独立法人的经营核算单位均单独设置计划财务部, 该部门至少要配备两名具有会计专业知识 取得会计上岗证的会计人员, 该会计人员为本单位正式员工, 其中一人为现金出纳员 ( 三 ) 各级会计人员行政隶属于所在级次的核算单位, 受上级计划财务部门的业务领导 主要会计人员的任免 调动, 需商得上一级会计部门的同意 一般 5
会计人员的调动, 需商得本单位会计主管的同意 会计人员工作岗位应当有计划 有步骤地进行轮换 ( 四 ) 公司制订了完善的会计档案保管和财务交接制度 会计档案管理工作由专人负责 公司内部调阅会计档案应由会计主管人员批准, 并指定专人协同查阅 司法部门及证监会认可的部门因特殊需要查阅会计档案时, 须持有县级以上主管部门的正式公函, 经公司负责人批准, 并指定专人负责陪同查阅, 需要复制时, 须经会计主管人员同意 公司负责人批准方可复制, 并做登记 ( 五 ) 公司在强化会计核算的同时, 建立了预算管理体系, 强化会计的事前控制 ( 六 ) 公司自有资金与客户资金实行分户管理, 在管理 使用和财务核算上完全分开 客户资金实行集中管理和监控, 客户资金划付的授权 指令录入 审核 执行及与银行对帐等适当分离, 任何个人无权单独调动资金 ( 七 ) 公司各级单位固定资产的购置 更新 转移和报废, 首先要在年度经营计划中列出计划, 购置前有书面申请报告, 报上一级主管部门审查, 经公司批准, 由公司计划财务部下达公司批复后, 方可办理有关购买手续 每年结帐日之前, 要由固定资产管理部门 使用部门和财务部门统一进行清查, 填写固定资产盘点表, 交财务部门进行帐实核对, 做到帐帐相符, 帐实相符 盘点时发现盘盈 ( 亏 ), 应及时查明原因, 并编制固定资产盘盈 ( 亏 ) 表, 报经公司计划财务部确认后, 做账务处理 第四节电子信息系统控制第十七条电子信息系统控制主要内容包括 : ( 一 ) 根据 中华人民共和国计算机信息系统安全保护条例 计算机信息网络国际联网安全保护管理办法 中国证券经营机构营业部信息系统技术管理规范 等有关法律 法规, 结合公司信息系统的具体情况, 制定了电子信息系统的管理规章 操作流程 岗位手册和风险控制制度 ( 二 ) 数据库管理系统的口令必须由信息技术中心专人掌握, 并定期更换 操作人员应有互不相同的用户名, 定期更换操作口令, 严禁操作人员泄露自己的操作口令 禁止同一人掌管操作系统口令和数据库管理系统口令 ( 三 ) 建立和完善技术监管系统, 定期进行独立的对帐, 核对交易数据 清算数据 保证金数据 证券托管数据以及会计数据的一致性和连续性 离岗人员 6
必须严格办理离岗手续, 明确其离岗后的保密义务, 退还全部技术资料 同时其负责的信息系统的口令必须立即更换 ( 四 ) 对交易业务数据实施严格的安全保密管理, 交易业务数据不得随意更改 总部电脑部建立营业部交易业务数据映象并定期和不定期与营业部交易业务数据进行核对, 防止使用过程中产生误操作或被非法篡改 每个工作日结束后必须及时对交易业务数据进行备份 ( 五 ) 指定专人负责计算机病毒防范工作, 配置经国家认可的计算机病毒检测 清除工具, 定期进行病毒检测 第五节信息传递控制第十八条信息传递控制主要内容包括 : ( 一 ) 总经理办公室为公司内部信息收集和处理部门, 应指定专人负责业务信息的收集 再整理 存档工作 ( 二 ) 各部门 分支机构主要领导作为业务信息资源的负责人, 负责本单位信息报送的组织和审核工作 各部门 分支机构的业务秘书 ( 或指定专门信息员 ) 作为业务信息的责任人, 负责本单位的信息收集和报送工作 ( 三 ) 董事会办公室为公司对外公开信息披露的指定部门, 负责统一办理公司应公开披露信息的公告 披露和监管部门备案工作 公司其他部门和人员不得擅自以公司或董事会办公室的名义向外披露公司信息 ( 四 ) 为掌握公司日常经营情况, 保证信息披露的及时 准确, 公司业务部门应当及时与董事会办公室沟通反馈日常经营情况 由董事会办公室根据相关法律 法规决定需要具体披露事宜 ( 五 ) 所有内部知情人在信息公开披露之前负有保守秘密的义务 第六节内部审计控制第十九条内部审计控制主要内容包括 : ( 一 ) 稽核部负责公司内部审计, 直接接受董事会领导 稽核部独立于公司各业务部门和各分支机构之外, 就内部控制制度的执行情况, 独立地履行检查 评价 报告 建议职能, 并对董事会负责 ( 二 ) 稽核部负责人任免由董事会决定 ( 三 ) 稽核部应于每年四月底前向董事会提交上一年度稽核工作报告, 稽核工作报告应据实反映内部审计部门在上一年度中所发现的内部控制的缺陷及异常 7
事项 对发现的内部控制缺陷及异常事项的处理建议及整改情况等内容 ( 四 ) 稽核部通过定期或不定期检查内部控制制度的执行情况, 确保公司各项经营管理活动的有效运行 ( 五 ) 任何部门和人员不得拒绝 阻挠 破坏内部稽核工作, 对打击 报复 陷害稽核工作人员的行为必须制定严厉的处罚制度 ( 六 ) 严格稽核人员奖惩制度, 对滥用职权 徇私舞弊 玩忽职守的, 应追究有关部门和人员的责任 ; 对在稽核工作中表现突出的, 应予以适当的表彰与奖励 第四章内部控制效果的检查和评估 第二十条 董事会负责督促 检查和评价证券公司各项内部控制制度的建立 与执行情况, 对内部控制的有效性负最终责任 ; 每年至少进行一次全面的内部控制检查评价工作, 并形成相应的专门报告 董事会应对中国证监会 外部审计机构和证券公司监督检查部门等对证券公司内部控制提出的问题和建议认真研究并督促落实 第二十一条 监事会应对董事会 经理人员履行职责的情况进行监督, 对证 券公司财务情况和内部控制建设及执行情况实施必要的检查, 督促董事会 经理 人员及时纠正内部控制缺陷, 并对督促检查不力等情况承担相应责任 第二十二条 风险管理部和稽核部应从以下几个方面, 对公司总体内部控制 的有效性进行评估 : ( 一 ) 控制环境 指影响内部控制效果的各种综合因素 控制环境是其他控制要素发挥作用的基础, 直接影响到内部控制的贯彻执行及内部控制目标的实现 主要包括 : 董事会的结构 ; 经理层的职业道德 诚信及能力 ; 经理层的管理哲学及经营风格 ; 聘雇 培训 管理员工及划分员工权责的方式 ; 信息沟通体系等 ( 二 ) 风险评估 指上市公司对可能导致内部控制目标无法实现的内 外部因素进行评估, 以确认这些因素的影响程度及发生的可能性, 其评估结果可协助公司制定必要的内部控制制度 ( 三 ) 控制活动 指协助经理层确保其指令已被执行的政策或程序, 主要包括核准 验证 调节 复核 定期盘点 记录核对 职能分工 保障资产安全 8
及与计划 预算 与前期效果的比较等内容 ( 四 ) 信息及沟通 内部控制必须能产生规划 监督等所需的信息, 并使信息需求者能适时取得相关信息, 主要包括与内部控制目标有关的财务及非财务信息在公司内部的传递及向外传递 ( 五 ) 监督 指对内部控制的效果进行评估的过程, 包括评估控制环境是否良好, 风险评估是否及时 准确, 内部控制活动是否适当 确实, 信息及沟通系统是否良好顺畅等 监督可分为持续性监督及专项监督, 持续性监督是经营过程中的例行监督, 包括经理层的日常管理与监督, 员工履行其职务时所采取的监督等 ; 专项监督是由公司内部相关人员或外部相关机构就某一特定目标进行的监督 第二十三条 风险管理部和稽核部应于每年四月底前完成对上一年度内部控 制的评估工作并向董事会提交内部控制评估报告和稽核工作报告, 向监事会报送 稽核工作报告 上述报告至少应包括对第二十二条所列五个方面的评价及对公司 内部控制总体效果的结论性意见 第二十四条 董事会应就上述内部控制报告召开专门的董事会会议并形成决 议 第五章附则 第二十五条本制度的解释权归公司董事会 第二十六条本制度自董事会通过之日起实施 中信证券股份有限公司 第五届董事会第十一次会议修订 2013 年 3 月 27 日 9