长江证券股份有限公司2008年度内部控制自我评价报告一、内部控制现状综述长江证券股份有限公司(以下简称“公司”或“本公司”)内部控制遵循健全、合理、制衡、独立的原则,目标是保证经营的合法合规及公司内部规章制度的贯彻执行,维护全体股东利益,保障客户及公司资产的安全、完整,保证公司业务记录、财务信息和其他信息的可靠、完整、及时,防范经营风险和道德风险,促进公司各项经营活动的有效实施,提高公司经营效率和效果。目前,公司已在业务系统、会计系统、电子信息系统,人力资源和内部审计等方面形成了较完整的内部控制体系。1、内部控制体系建设公司内部控制的组织机构主要包括五个层次:董事会——经营层——相关监控部门(风险管理部、稽核监察部、法律事务与合规管理部)——业务管理职能部门——业务部门。开展风险业务的部门内部都建立了部门制度和跨部门业务流程,为强化内部控制和防范风险起到了组织保障作用。各部门都建立了体系完备、制度规章健全的业务控制子系统,涉及业务流程、岗位职责、风险防范等方面,在授权范围内开展经营管理活动。董事会负责制定公司的风险管理战略,每半年审议公司风险管理工作情况和净资本等风险控制指标的达标情况。经营层风险管理委员会负责提出公司业务经营管理过程中防范风险的指导意见,审定公司业务风险控制制度;确定公司所能承受的年度总体风险水平及风险偏好,审议公司总体风险限额和各自营投资部门风险限额。风险管理部负责制定风险管理制度与流程,建立健全公司风险防范、监控体系,负责公司风险管理制度建设,并监督执行情况;提高风险管理的专业化和规范化水平,履行全公司规划性、综合性、监督性的风险管理职能。法律事务与合规管理部负责合规风险的控制,为公司决策和日常经营管理提供法律服务支持和合规监督保障。负责公司相关规章制度、业务办法的合规性,对公司重大决策和业务发展及新产品设计提供法律支持及合规性审查,防范合规风险。稽核监察部主要负责内部审计和员工监察,对公司各部门制度的执行情况、经营管理情况及业务经营是否符合授权职责进行稽核,履行检查与评价、咨询与服务的职能。财务总部负责公司财务、预算、核算、资金等方面的管理工作。公司对营业部的财务会计工作实行垂直管理,制定了严格的成本控制和业绩考核制度,营业部的财务人员均由财务总部派出并向财务总部负责。信息技术总部负责建立和维护公司的电子信息系统,负责信息技术研发、网络规划、系统维护、技术管理等工作,保障公司电子信息系统的安全运行。人力资源部负责公司人力资源开发与管理,薪酬福利、人员招聘引进、培训发展、绩效管理等工作。公司各业务部门在授权业务范围内履行直接的风险管理、监督职能,负有直接的、基础性的、流程化的风险管理责任。2、内部控制制度建设公司高度重视规章制度体系的建设工作,2008年,由合规总监负责组织专班,全面启动了制度和流程清理工作,逐步梳理、审查、规范和完善了公司的规章制度和业务流程。公司修订了《规章制度制定试行办法》,明确了公司规章制度立项、起草、审查、决定、公布、解释、修改和废止的相关部门职责和操作流程。根据审批机构和制度效力的不同,公司的规章制度依次包括三个层次,即涉及公司治理的基本制度、公司基本管理制度和公司的具体规章,并按照重要性和适用范围制定了严格的审核程序。其中,关于公司治理的基本制度,由股东大会制定、修订和废止;公司的基本管理制度,由董事会制定、修订和废止;涉及公司各部门或跨部门的经营管理方面的具体规章,由公司办公会议制定、修订和废止。目前,公司已经初步建立健全了合规管理和内部控制的制度体系。《合规管理制度》及《合规管理实施细则》作为公司合规管理的基本制度,明确了合规管理的目标、基本原则、机构设置及其职责,以及违规事项的报告、处理和责任追究办法等重要内容;《内部控制制度》作为公司内部控制的纲领性制度,明确了内部控制的目标和原则,主要业务的内部控制,内部控制的检查和评估等重要内容;《反洗钱管理办法》建立了公司反洗钱管理的组织体系、规定了客户身份识别、大额和可疑交易报告等重要内容;《信息隔离试行办法》初步建立了公司的隔离墙机制,规范不同业务部门之间的信息流动,以防止利益冲突和内幕交易的发生;《合同管理办法》规范了合同审核、合同用印和合同检查等合同管理行为;《员工行为守则》全面规定了员工的各项行为准则,指引和要求员工依法合规执业;《长江证券股份有限公司内部控制管理评价办法(试行)》则根据中国证监会颁布的《证券公司分类监管指引(试行)》的相关规定,将其各项指标分解和量化到各部门,建立了相应的评分体系和指标,以作为评价各部门和全体员工行为的标准并与绩效考核结果挂钩;公司制定了《风险限额管理试行办法》等风险管理的具体规章,规定了公司的内部审计机构、内审机构的职责和权限、内审机构的工作内容和程序等基本内容。3、风险管理①风险评估根据市场环境和公司的业务开展情况,目前公司经营中面临的风险主要为:市场风险、流动性风险和操作风险。关于市场风险,公司已经建立以投资规模、总体最大损失限额、单个业务和品种最大损失限额为核心的风险控制指标体系。通过对有关风险指标的跟踪测量,了解投资组合市值变动的趋势及公司承担的市场风险状况,并采取限额管理的方式将市场风险控制在合理的范围内。关于流动性风险,公司已经建立以净资本为核心的风险控制指标体系。关于操作风险,公司已建立事前评估制度流程,事中实时监控业务操作,事后稽核的风险管理体系。公司风险管理部根据可控、可测、可承受的原则,评估各项业务的管理制度、业务流程和操作规范的科学性和有效性,督促业务部门根据评估报告修改后实施。2008年,风险管理部已对营运管理总部、机构客户部、固定收益总部、证券投资总部和资产管理总部提交的各项业务办法和流程提供评估意见;对金融衍生产品部的各项创新业务进行了风险评估。②建立授权管理体系公司在法定经营范围内,对经批准开展经营的各业务部门和分支机构的业务权限实行授权管理制度。公司办公会负责制订和修改授权管理制度;各业务部门和分支机构必须在被授权范围内办理业务,严禁越权从事业务活动。各部门在开展新业务、新产品之前,应将创新项目材料提交风险管理职能部门进行风险评估,公司办公会审核通过后方能实施。各业务部门及分支机构定期对自身及所属关键业务岗位的授权执行情况进行检查,并将授权执行的检查情况向风险管理部报备。③风险管理文化公司高度重视内部控制和风险管理,建立全员参与风险管理的企业文化,促进公司风险管理水平、员工风险管理素质的提升,保障公司风险管理目标的实现。通过建立风险管理培训机制,采取多种途径和形式,加强对风险管理理念、知识、流程、风险管理核心内容的培训,培养风险管理人才,培育风险管理文化。公司对各业务及相关部门的风险管理绩效进行定期评分,并将风险管理评分作为公司对各业务绩效评估的评分指标之一,纳入绩效考核体系,建立绩效和风险控制并重的激励机制,促进企业风险管理文化的形成。4、业务控制方面公司高度重视业务风险控制,从组织体系、制度建设等多方面不断巩固和完善业务的风险控制工作。公司利用规章制度、操作规程规范,对各种政策风险、法律风险、操作风险等进行有效防范和控制。目前,公司在经纪业务、自营投资业务、资产管理业务以及创新业务等方面均已建立起较完善的规章制度,日常风险监控和预警提示也已形成规范的操作流程。①经纪业务控制营业部遵从的风险控制制度由公司管理部门制定,营业部按制度开展工作。风险控制相关的制度主要包括:内部控制管理评价办法、经纪业务操作规程、经纪业务差错管理办法、外部监管信息处置试行办法、客户交易行为管理试行办法等。长江证券经纪业务风险控制的总体原则为:建立严密有效的三级风险控制体系,即岗位自控、部门互控和公司监控。在营业部层面,营业部实行总经理负责制,营业部总经理是营业部经营管理、风险控制和团队建设的第一责任人。营业部实行“前后台”分离,分为营运体系和营销体系两个部分,营销体系由总经理负责管理,营运体系由营运总监负责管理,由柜面业务操作人员、财务人员、IT人员、行政人员组成。营业部的财务人员由财务总部派出、营运总监由营运管理总部派出,由派出部门对其考核。在总部层面,营运管理总部下设交易管理部,负责对营业部的日常风险控制进行监督与指导。公司风险管理职能部门全面负责营业部各项业务的合规审核及经营风险的管理,全程控制事前、事中、事后的风险,对营业部的各项经营活动进行监控和稽核,发现问题及时上报公司领导,责令营业部整改直到消除风险隐患,并根据《内部控制管理评价办法》对营业部的风险管理能力进行考核。业务操作方面,形成了分层次的集中业务操作体系:一方面,简单业务操作由公司总部设计标准化的业务操作流程并督导营业部严格按流程执行,确保营业部按规范开展业务;另一方面,复杂业务操作由营业部受理客户申请,系统自动提交至公司总部操作。目前,公司不合格账户激活、小额休眠账户激活、司法冻结、大宗交易、资产冻结解冻、红冲蓝补、交易岗员工权限设置、费率设置等多项业务已经集中于营运管理总部集中操作岗执行,大大降低了操作风险。公司建立了经纪业务风险实时监控系统,该系统能实时监控营业部的资金动向、买卖动向和其他业务操作行为,便于公司及时发现和有效处置营业部的各类风险;公司根据《反洗钱法》等法律法规的要求,制定了反洗钱管理制度和流程,并建成反洗钱监控系统,按要求向中国反洗钱监测中心报送相关数据。按照监管机构的要求,2008年公司加强了客户交易行为及大小非减持的监控。公司发布了《客户交易行为管理办法》和《关于冻结“大小非”账户部分股份的通知》,规范了公司在客户交易行为及大小非减持方面的管理体系,并按交易所要求,对大小非客户实施严密监控,及时提醒、警示异常交易,认真做好前端控制工作,有效防范和制止违规减持行为,发现异常情况及时向交易所报告。②自营投资业务控制公司根据《证券公司证券自营业务指引》等规定的要求,制定了《证券投资决策委员会工作程序》、《证券投资股票备选池管理办法》等规章制度,对自营决策程序、信息管理、交易实施、会计核算及风险监控等进行详细规定,通过事前防范、事中监督和事后检查弥补相结合,有效防范和化解自营业务中可能存在的潜在风险。公司建立了多层次的投资决策机构,公司证券投资决策委员会是公司证券投资资产配置、业务运作的决策机构,证券投资业务部门内也设立了投资决策小组和风险控制小组。证券投资决策委员会每月根据证券投资情况决定自营证券投资规模、投资事项和资产配置等。证券投资业务部门内设投资决策小组和风险控制小组,投资决策小组根据公司投资决策委员会提出的对市场的判断、阶段性投资策略,确定战术资产配置和时机选择等,并对投资经理进行监督;风险控制小组通过作业流程及风险管理制度的制定和执行,对合规性风险、营运风险和道德风险进行管理和控制。公司风险管理部进行逐日盯市,全程实时风险监控;稽核监察部定期对自营投资业务进行专项稽核,财务总部进行账务核算和资金划拨;清算交收部负责证券清算。形成各司其职、相互配合和支持的营运和管理系统,实现了在决策、执行和监督三个层面的相互独立、相互制衡,有效地控制了风险。公司实施的限额管理对自营投资业务起到了良好的风险控制作用,一方面通过限额管理并结合敏感性分析等手段,有效的将公司自营的损失额控制在公司的可承受范围内;另一方面限额管理在一定程度上约束了证券投资部门的操作行为,确保在触及损失限额时证券投资部门不会盲目加仓,而是通过召开临时投资决策委员会的形式对后续投资计划进行决策。公司在投资规模管理、权限管理、交易行为控制、证券池控制管理等方面进行了进一步规范,投资部门在投资操作中实行自律管理,加强岗位自控。2008年公司各项投资业务没有收到因违反监管要求而被下达的处罚函件。③资产管理业务控制公司设立资产管理总部,统一管理客户资产管理业务。根据《证券公司客户资产管理业务试行办法》等有关规定,公司制定了《资产管理投资决策委员会工作程序》、《客户资产管理业务投资管理制度》、《客户资产管理业务营销管理制度》、《客户资产管理业务风险控制制度》等一系列制度规章,对信息管理、决策程序、交易实施、会计核算