Changjiang Securities Co., LTD — Audit Report / Information 2009

Apr 3, 2010

地址:武汉国际大厦 B 座 16-18 层 邮编:430022 电话:027 85826771 传真:027 85424329

长江证券股份有限公司

2009年度内部控制自我评价报告

一、内部控制环境及基本控制情况

公司已建立了健全的内部控制组织架构和制度规范,形成了涵盖董事会和监事会、经营管 理层、内部控制职能部门、业务部门及分支机构等多层次内部控制组织体系,在业务系统、会 计系统、电子信息系统、人力资源以及风险控制等方面形成了较为完整的内部控制体系。

同时,公司高度重视强化对控股子公司的支持与管理。通过向控股子公司选派董事、监事、 以合法方式委派经营及合规负责人等方式督促控股子公司健全法人治理结构;督促控股子公司 建立健全内部控制机制,促进控股子公司的规范运作;明确控股子公司重大事项报告制度,重 大事项必须向公司报告;加强与控股子公司联系,及时了解控股子公司业务动态和财务数据, 以保障公司权益,提高投资效益。

(一)法人治理结构

公司根据《公司法》及证监会相关规定,建立了规范的公司治理结构和三会议事规则,形 成了科学有效的职责分工和制衡机制。股东大会是公司最高权力机构;董事会对股东大会负责, 依法行使经营决策权,董事会下设发展战略委员会、风险管理委员会、审计委员会及薪酬与提 名委员会等四个专门委员会;监事会对股东大会负责,监督董事、高级管理人员依法履行职责; 高级管理人员负责组织实施股东大会、董事会决议事项,主持公司的经营管理工作。

(二)内部控制体系

1、董事会和监事会

董事会下设风险管理委员会和审计委员会,风险管理委员会主要负责研究和评估公司的风 险管理状况,提出改善公司风险管理和内部控制的建议。审计委员会由独立董事担任主任委员, 其职责主要是:提议聘请或更换外部审计机构、监督公司内部审计制度及其实施、内外部审计 之间的沟通、审核公司的财务信息及披露、审查公司内控制度等。风险管理委员会和审计委员 会分别根据《长江证券股份有限公司董事会风险管理委员会工作细则》和《长江证券股份有限 公司董事会审计委员会工作细则》开展工作,向董事会报告,对董事会负责。公司监事会依法 合规履行职责,对公司财务状况、公司董事及高级管理人员的行为实施评价监督,维护公司整 体利益。

2、经营管理层

公司在经营管理层设立专门的风险管理委员会,由公司董事长担任风险管理委员会主任委 员。公司设合规总监,由董事会聘任,是公司的合规负责人,负责对公司及其工作人员的经营 管理和执业行为的合规性进行审查、监督和检查。

3、内部控制职能部门

合规总监分管法律事务与合规管理部、风险管理部及稽核监察部等三个专门机构具体负责 组织协调内部控制的建立实施与日常工作。

法律事务与合规管理部(以下简称"法律合规部")负责合规风险的控制,为公司决策和 日常经营管理提供法律服务支持和合规监督保障;负责公司相关规章制度、业务办法的合规性 管理;对公司重大决策、业务发展及新产品设计提供法律支持及合规性审查,防范合规风险。

风险管理部负责制定公司风险管理制度与流程,建立健全公司风险防范、监控体系;负责 公司风险管理制度建设,并监督执行情况;提高风险管理的专业化和规范化水平,履行全公司 规划性、综合性、监督性的风险管理职能。

稽核监察部主要负责内部审计和员工监察,对国家法律法规、公司制度的执行情况、经营 管理情况及业务经营是否符合授权职责等进行稽核,履行检查与评价、咨询与服务的职能。

4、业务部门及分支机构

公司各业务部门和分支机构在授权业务范围内履行直接的风险管理、监督职能,负有直接 的、基础性的、流程化的风险管理责任。法律合规部根据《长江证券股份有限公司规章制度制 定试行办法》的规定,对各业务部门的年度规章制度制定的工作计划进行立项审核,对其拟定 的业务制度进行合规性修订,以保障业务在合规的前提下开展。同时,公司营运管理总部向各 营业部派遣营运总监,对营业部业务通过日终稽核等方式进行常态化监控,主动识别、评估风 险,并采取必要的预防措施和应对措施;财务总部向营业部派遣财务经理,对营业部财务核算、 资金调拨、费用列支进行集中管理。

(三)风险评估与风险对策

根据市场环境和公司的业务开展情况,公司已建立了完整的风险评估体系,对经营风险、 市场风险、流动性风险、操作风险等进行持续监控,及时发现、评估公司面临的各类风险,并 采取必要的控制措施。

对于经营风险,公司建立了完善的法人治理结构,搭建了完备的多层次内部控制体系;以 信息技术为手段,辅以一系列风险监控制度,确保公司经营层能实时地对经营过程进行监控。

对于市场风险,公司已经建立以投资规模限额、总体最大风险限额、单个业务和品种最大 风险限额为核心的风险限额控制指标体系。通过对有关风险指标的跟踪测量,将绩效归因分析、 业绩比较分析、股票流动性分析等方法运用到风险监控工作中来,提升对投资组合市值变动的 趋势及公司承担的市场风险状况的认识,以限额管理的方式将市场风险控制在公司可控、可测、 可承受的范围内。

对于流动性风险,公司已经建立以净资本为核心的风险控制指标体系。公司通过完善风险 控制指标管理制度和流程,升级净资本监控系统,实施限额管理,建立压力测试机制,对净资 本等风险控制指标进行日常监控。

对于操作风险,公司已建立事前评估、事中实时监控、事后稽核的风险管理体系。 公司法 律合规部以"合规创造价值"为理念,在业务规划过程中就投入其中,对其合规、合法性进行 贴身服务支持;风险管理部根据可控、可测、可承受的原则,实时对业务操作进行监控,对业 务开展进行了风险评估;稽核监察部加大监督力度,实施了对营业部一年一次一周的现场审计, 持续对业务开展过程进行事后的合规性检查和评价。

(四)授权控制

公司的授权控制主要包括三个层次:在法人治理层面,公司股东大会、董事会和监事会根 据《公司章程》的规定履行职权,建立公司的内部授权制度,确保公司各项规章制度得以贯彻 实施。在经营层面,公司在法定经营范围内,对经批准开展经营的各业务部门和分支机构的业 务权限实行授权管理制度,公司办公会议负责制订和修改授权管理制度,各业务部门和分支机 构在规定的业务、财务和人事等授权范围内行使相应的职权,严禁越权从事业务活动。各部门 在开展新业务、新产品之前,需将创新项目材料提交风险管理职能部门进行风险评估,公司办 公会议审核通过后方能实施。各业务部门及分支机构定期对自身及所属关键业务岗位的授权执 行情况进行检查,并将授权执行的检查情况向风险管理部报备。在员工层面,各业务人员以明 晰的岗位职责为基础,在授权范围内进行工作,各项业务和管理程序遵从公司制定的各项操作 规程。

(五)内部控制制度建设

内部控制制度是内部控制的载体,公司一贯对其高度重视,在业务开展的过程中坚持制度、 流程先行的原则。近年来,公司制定并颁布了《长江证券股份有限公司规章制度制定试行办法》, 对制度的立项、起草、审查、决定、公布、解释、修订和废止等事项进行规范化管理。2009年, 依据该办法的规定,完善了动态的制度管理机制,制定了公司2009年度规章制度制定规划,督 促和协助各部门完成制度起草和完善工作。公司颁布了《员工违规行为处分暂行办法》,以规 范员工行为,保证员工依法合规执业。

截止2009年底,公司制定、颁布实施了80多项制度,基本建立健全了公司制度体系。按照

本报告书共 14 页第 4 页

制度的规范目标和作用的不同,公司内部控制制度可以划分为完善管理制度类、规范业务流程 类和明确部门岗位职责类等三个类别。完善管理制度类,对业务决策、管理关系、考核标准等 进行规范;规范业务流程类,对业务风险点进行揭示、制定业务操作标准;明确部门岗位职责 类,对部门职责、岗位职责等进行管理。内部控制制度建设工作有力地促进了公司员工制度意 识的提升。

(六)隔离墙

公司根据已经颁布的《长江证券股份有限公司信息隔离管理试行办法》(以下简称《信息 隔离试行办法》),有针对性地采取了多项措施,实现了公司及公司子公司各项业务在场所、 人员、账户、信息等方面的有效隔离,建立了兼职审核、跨墙审核、静默期名单和限制交易名 单等信息隔离的控制流程,初步建立了规范信息流动、防范内幕交易和利益冲突的机制。

公司从事经纪业务、自营业务、客户资产管理业务、证券承销与保荐、研究和期货经纪等 业务的部门和子公司均拥有各自独立的办公场地,配有独立的专业人员,并不得相互交叉兼职。 公司将客户资金与自有资金严格分开,严格按照法律法规和监管部门的要求强化资金的集中管 理。公司自营业务、经纪业务、资产管理业务使用各自完全独立的交易单元,通过独立的交易 系统进行交易,再由清算交收部集中办理清算交收,实现了各业务之间的全程隔离。

(七)人力资源政策

公司制定和实施了可持续发展人力资源政策,建立了科学的聘用、培训、轮岗、考评、淘 汰等人事管理规章制度。

公司重视员工持续教育和业务培训工作,采用现场、网络、视频等多种方式对员工进行不 同层级、不同内容的专业技术、专项业务培训,建立了较为完善的培训体系。2009 年度,公司 对员工进行各种现场及网络培训,建立培训效果评估体系,及时对培训方式、培训内容等进行 改进。各业务部门根据自身需要,也规划和组织了不同形式、不同内容的培训。同时,公司关 注员工职业发展规划,开办了后备管理干部培训班,对一批有潜质员工进行有针对性的管理能 力培训。

公司高度重视对员工合规经营意识、风险防范意识的培养,建立全员参与风险管理的企业 文化,促进公司风险管理水平不断提升;建立风险管理培训机制,对管理岗位员工进行风险识 别、风险评估等风险管理能力培训,对业务人员进行内控能力培训和测试;通过加强员工的职 业道德教育,规范员工执业行为、防范员工道德风险。公司对营业部总经理、营运总监、财务 主管实行定期轮岗;对高级管理人员实行离任审计制度,审计报告向监管部门报备,2009 年对 外提供离任审计报告 13 份。公司风险管理委员会对各部门进行年度内控考核评分,并将内控考

本报告书共 14 页第 5 页

核评分结果作为部门绩效考核指标之一,纳入绩效考核体系,建立绩效和风险控制并重的激励 机制,促进公司风险管理文化的提升。

(八)信息披露与沟通

公司确定董事会秘书为公司信息披露负责人,下设董事会秘书室对信息披露的日常工作进 行管理。信息披露的公告文稿由董事会秘书室拟定、经董事会秘书审核,履行规定审批程序后 予以披露。《中国证券报》、《证券时报》、《上海证券报》、《证券日报》和巨潮资讯网为 公司公开信息披露的指定媒体,所披露的任何信息均首先在上述指定媒体披露。作为一家以诚 信经营为理念的上市公司,为了保障公司股东、客户、债权人及其他利益相关人的合法权益, 公司积极采取各种措施规范信息披露工作,提高信息披露事务管理水平和信息披露质量,同时 注重信息披露保密工作。实现了 2008 年年报及 2009 年季报、半年报及其他 37 次重大事件临时 公告披露零差错,使投资者及利益相关人及时、准确、公平获得公司信息。

公司注重处理与股东、投资者及媒体关系,通过接待投资者来访、组织网上路演和投资策 略报告会等方式,促进和提升公司投资者关系和媒体关系管理水平。2009 年,公司在由《证券 时报》主办的 "中国上市公司价值百强"评选活动中入选"价值百强上市公司",公司董事会 秘书当选"百佳董秘";在"中国首届上市公司优秀网站"的评选中,公司门户网站荣获"最 受投资者欢迎上市公司网站"的荣誉。

公司搭建了完善的内部办公自动化平台,不仅实现了公司业务部门与营运支持部门之间信 息的互联互通,而且通过网络将公司与分支机构、公司与控股子公司紧密的联系在一起,修筑 了一条通畅、及时的内部信息沟通交流渠道。同时,通过举办管理干部述职会议、公司经营工 作会议、定期发行内部刊物等形式,促进公司与控股子公司的信息沟通机制健康发展。

二、主要内部控制活动与控制措施

公司高度重视风险控制,以"诚信经营、规范运作、创新发展"为经营理念,以"内控先 行"为业务发展策略之一,从组织体系、制度建设等多方面来巩固和完善公司的风险控制工作。 加强合规管理基础性工作,颁布了《长江证券股份有限公司合规风险目录》,涵盖经纪、自营、 资产管理、固定收益、投资咨询和结算存管等各项业务,总结了近千个合规风险点和相应依据, 为指导各部门合规经营提供了重要支持和有益参考。

(一)经纪业务控制

公司设立零售客户总部、公司客户部、机构客户部,分别对零售客户管理、公司客户开发 以及机构客户开发等工作进行专业管理;同时,营运管理总部、法律合规部、风险管理部及稽 核监察部等部门建立多层风险防范体系。营运管理总部将营业部特殊业务操作集中至总部集中 操作岗进行处理,向营业部派驻营运总监进行日常风险管理;法律合规部为营业部业务发展提 供合规支持、风险管理部负责日常业务的实时监控、稽核监察部负责定期和不定期的现场审计, 从而形成了决策管理、业务操作、监督检查相结合的管理体系。集中交易系统、银证资金往来 系统、法人结算系统、财务信息系统、风险监控系统的建立,实现了交易、清算、核算、划付 等职能及系统权限的集中运作和集中管理,在独立数据源的基础上,建立了有效的集中监控体 系,保证了经纪业务的健康有序发展。公司财务总部、信息技术总部分别对营业部派驻财务经 理和 IT 经理,对其业务进行垂直管理。公司具有统一的营业部标准化服务流程和岗位职责、业 务流程和业务操作规范,制定了标准化开户文本和统一的开户程序。

报告期内,公司进一步完善了经纪业务控制。颁布实施多项经纪业务管理制度,包括《证 券经纪业务差错管理试行办法》、《客户账户管理试行办法》、《营业部期货 IB 业务操作细则》、 《会籍业务管理办法》及《代理开户业务管理办法》,根据业务创新需要,及时修订了《证券 经纪业务操作细则》,为营业部业务操作提供规范和标准。加强经纪业务实时监控,对大小非 减持、客户交易行为以及创业板客户交易行为等监管敏感业务监控予以高度重视,采取了诸如 前端控制措施、下达风险提示函等方法,取得了良好效果,有效避免了公司因监控失职而遭受 监管机构处罚的风险。强化内控执行情况的监督检查,2009 年稽核监察部对经营年限在一年以 上的 56 家营业部开展了常规审计工作,将投资者教育、客户适当性管理、营销管理、账户管理、 佣金管理、财务管理、行政管理及执业资格管理等作为营业部内控审计重点领域。另外,对 9 家营业部离任总经理进行了离任经济责任审计,明确其任期内的经济责任并对存在的问题提出 了整改意见。同时,通过审计报告、审计工作联系函、专题情况通报等方式,加强审计信息的 综合运用,促进及时整改。

报告期内,公司还加强了对经纪业务客户服务的管理,制订了一系列客户服务管理制度, 定期检查、督导营业部的客户服务工作,并加强增值业务等新型服务模式的研究与落实;进一 步完善了客户查询、咨询和投诉管理;加强投资者教育工作和客户适当性管理,推动公司客户 服务质量的进一步提升。

(二)自营投资业务控制

公司以《证券公司证券自营业务指引》、《证券公司风险控制指标管理办法》等相关法律 法规为基础,结合公司自营业务实际情况建立了多层次的自营投资决策机构。在公司经营层建 立证券投资决策委员会,对公司证券投资资产配置、业务运作进行决策;证券投资总部、资金 营运部在公司证券投资决策委员会确定的投资限额内进行投资操作;证券投资总部、资金营运

本报告书共 14 页第 7 页

部部门内均设置了投资决策小组和风险控制小组,分别履行确定战术资产配置和投资时机选择、 监督投资经理、监督投资业务流程、制定业务操作风险管理制度并监督执行等职责。

公司对自营投资业务进行限额管理,确保将公司自营损失额控制在公司可承受范围内。风 险管理部对自营投资业务进行逐日盯市和全程实时风险监控,当自营投资业务部门发生超出风 险监控指标的情况时,要求其立即根据监控要求采取整改措施。风险管理部加强对股票池管理, 根据交易所监管信息,及时将受到交易所监控的异常股票纳入自营投资业务的股票禁止池,以 保证公司自营投资业务合规运营;对自营投资部门执行风险控制指标的情况进行评估,将其执 行风险控制指标的情况纳入公司内部控制评价体系。稽核监察部定期对自营投资业务进行专项 稽核;公司自营投资业务部门使用专门席位和自营账户进行交易和结算;财务总部设立了专门 岗位对自营投资业务的资金进行调度管理,并设专人对自营投资业务进行会计核算。公司自营 投资业务在岗位设置上实现了账户管理、财务核算、日常操作、日常监控等环节的相互独立, 相互制衡。

(三)资产管理业务控制

公司建立了多层次的客户资产投资决策机构,自上而下分别是:公司资产管理投资决策委 员会、资产管理总部内部的投资决策小组以及投资经理。资产管理投资决策委员会,负责确定 战略性资产配置、制定重大突发事件的应对措施,同时对投资经理进行授权;部门投资决策小 组根据投资决策委员会的决议进行战术性资产配置,决定重点投资行业及比例,并对投资经理 进行监督;投资经理则负责选择股票和决定个股的投资比例和管理组合。

公司资产管理业务通过多个不同的业务管理系统,全面覆盖资产管理业务的客户服务、投 资运作、清算估值、风险控制等各业务运作环节。通过系统管理、系统控制加强对资产管理业 务的内部控制力度。

法律合规部参与到产品创设过程中去,为资产管理产品设计、产品资产管理计划书等进行 合规性审核;风险管理部通过设置风险监控阀值、系统监控等手段对公司资产管理产品进行风 险监控工作;稽核监察部对部门各专职岗位执行规章制度和业务操作流程的情况进行定期检查, 从而形成对公司资产管理业务的事前、事中及事后的控制和检查。

(四)创新业务控制

公司设立金融衍生产品部,在公司证券投资决策委员会的领导下对金融衍生产品进行专门 研究、运作管理。公司证券投资决策委员会对衍生品投资进行投资目标、投资限额、止损及分 散化投资等控制,并对投资运作计划进行审批,将业务规模严格控制在风险可测、可控、可承 受的范围内。

对于创新业务,公司依照内控管理的要求,在创新业务与传统业务之间,从部门设置、人 员配备、交易系统、账户管理、交易操作、风险监控等方面设立了隔离墙;公司从政策法律、 业务运作、经济效益、信息技术系统、业务风险等方面对开展创新业务进行严格、细致的系统 论证,设计出符合市场需求、风险与收益相匹配的创新产品。

风险管理部加强金融衍生业务新产品的风险评估工作,对金融衍生产品部开展的业务进行 事前风险评估,确定业务的风险控制指标并运用到实时监控工作。

(五)投资银行业务控制

公司全资子公司—长江证券承销保荐有限公司承担了公司的投资银行业务,并成为国内唯 一一家经中国证监会批准的由上市证券公司控股的专业投资银行子公司。确立了打造"精品投 行、特色投行"的公司业务定位,拥有规范、严谨的公司治理架构和资深、专业的精英团队。 子公司设立了立项委员会、发行委员会和证券发行内核小组:立项委员会对项目的立项进行审 核、批准;证券发行内核小组对项目是否符合发行上市条件、是否存在重大法律或政策障碍等 进行评估;发行委员会由子公司主要领导、业务管理部和财务部负责人组成,负责发行时机、 发行方案及销售风险的评估和决策。子公司制定并颁布实施了一系列内部控制制度,包括《合 规管理制度》、《风险控制指标管理办法》、《项目考核与奖励试行办法》、《项目立项管理 规定》、《证券发行上市内核工作规则》等,从业务流程的各个环节进行业务规范和风险控制, 对项目的承揽、立项、承做质量、承销风险等进行全流程控制,以达到保障业务质量并控制业 务风险的目标。子公司还建立了完善的内部控制组织体系,设立了合规总监以及专门的合规管 理部门,包括业务管理部、法律合规部和稽核部,对投资银行业务流程进行统一管理,对投资 银行业务风险进行统一控制和业务指导。

(六)期货业务控制

公司期货经纪业务由全资子公司—长江期货有限公司承担,该子公司立足华中,面向全国, 努力打造"期货理财专家"的品牌。子公司建立健全了完备的内部控制管理体系。在管理架构 上,成立了以总经理为组长的风险控制领导小组,设置了风险控制总监、合规管理部以及稽核 监察岗,对公司经营及业务发展进行事前、事中以及事后控制。在制度建设方面,制定了《合 规管理制度》、《风险控制业务操作规程》等一系列内部控制制度,将交易风险、结算风险、 财务风险以及计算机系统风险等主要风险全部纳入风险管理体系。同时,加大风险控制系统建 设,组织研发了业务合规监控系统,为公司加强事前风险控制和合规经营提供技术支持和保障。

(七)直接投资业务控制

为充分发挥公司的专业优势,拓宽公司盈利渠道,在控制风险的前提下,公司积极、稳健 地开展了直接投资业务工作。2009 年 8 月 10 日,中国证监会下发《关于对长江证券股份有限 公司开展直接投资业务试点的无异议函》,正式批准公司设立全资子公司开展直接投资业务。 2009 年 12 月 8 日,长江成长资本投资有限公司正式成立,标志着公司直接投资业务正式启动。 长江成长资本投资有限公司已按《公司法》等国家法律法规建立了法人治理结构和内部控制体 系,成立了投资决策委员会,制定并颁布了《直接投资业务管理办法》、《风险管理办法》等 系列管理制度,为公司直接投资业务发展奠定了较坚实的基础。

(八)资金管理控制

公司坚持资金运营安全性、流动性和效益性相统一的经营原则,强化资金的集中统一管理, 自有资金和客户资金在管理上严格分离。公司由财务总部负责自有资金管理并对各分支机构实 行收支两条线管理模式,分支机构的经营收入缴存于专门的银行账户并统一上缴,日常支出由 公司每月初按照年初预算和当月资金需求实行统一划拨。各分支机构一律不从事资金的拆借、 借贷、抵押、担保等融资活动;公司建立了严格的资金业务授权批准制度和重大资金投向的集 体决策制度,审批流程科学有效。公司实施了客户交易结算资金第三方独立存管,制定了《客 户交易结算资金管理办法》、《客户交易结算资金银行账户管理办法》,对客户资金银行账户 的开立、使用实行审批制度;对客户交易结算资金的划拨建立了严格的审批机制,除正常的佣 金划拨外,客户交易结算资金只能在客户银行账户之间或客户银行账户与证券登记公司的清算 账户之间划转;客户资金由清算交收部负责管理,同时由财务总部进行核对、核算;风险管理 部负责对客户资金日常业务的业务流程、风险点以及业务制度进行监控,并提出整改建议;稽 核监察部负责定期或不定期,以现场或非现场方式对公司客户资金业务的合规性、合法性进行 核查,并提出整改建议。

(九)会计系统控制

公司已建立较完整的财务管理和会计系统控制。设置财务总部,行使财务会计部门职能, 履行会计核算、会计监督及财务管理等职责。依据《会计法》、《企业会计准则》、《企业会 计准则-应用指南》等法律法规制定了适应公司实际情况的财务会计制度、会计工作操作流程, 并针对各个风险控制点建立严密的会计控制系统。公司对分支机构财务管理实行垂直管理,各 营业部的财务人员由财务总部派驻、接受财务总部管理并在薪酬上与营业部隔离。公司建立了 Oracle财务信息系统,强化预算管理体系和会计的事前、事中控制并提升其科学性。公司制定 了财务收支审批制度和费用报销管理办法,开发运用OA网上费用报销系统,做到自觉遵守国家 相关财税制度和财经纪律,提高了工作效率。

本报告书共 14 页第 10 页

(十)信息系统控制

公司高度重视信息系统风险控制,在"技术领先"的业务发展策略指导下,公司在信息系 统管理制度建设、组织架构、专业能力、风险控制等方面均以高标准严格要求,为信息系统安 全、风险规避提供了坚实保障。《信息系统运维管理办法》、《信息系统项目管理办法》、《信 息系统安全管理办法》和《信息技术文档管理办法》,进一步明确了运维管理,对信息系统运 维实行了前、后台管理,对重要岗位实行双人双岗制度,严格技术开发与运营管理之间的相互 隔离;进一步明确项目管理,加强信息系统建设的安全、可行;进一步明确信息安全管理,在 公司全面部署了防病毒和补丁升级系统,启用了桌面管理系统,对接入计算机实行准入验证制 度;进一步加强技术文档管理,保障信息技术文档实时、完整;公司分支机构的信息技术人员 在技术上接受公司信息技术总部管理、指导;公司对信息技术人员上岗进行资格管理,必须达 到相关专业能力方能上岗,不定期组织信息技术人员进行业务和技术培训,保证信息技术人员 的业务和技术素质不断提高,保障信息技术系统的安全运行;建立了切实可行的信息技术应急 预案,同时在上海建立异地灾备中心,有效提高了信息系统抵抗风险的能力。

(十一)研究业务控制

公司制定了"研究驱动"的业务发展策略。在高度重视研究咨询业务的同时,也非常注重 研究咨询业务的风险控制。着力加强研究业务的相关制度建设,建立了研究业务管理制度体系, 统一对业务、人员及风险进行规范管理。制定并颁布实施了《信息隔离管理试行办法》,制定 了信息隔离管理方案和流程,对研究业务与公司自营业务、资产管理业务等业务进行严格的隔 离。

此外,公司非常重视与客户的交流与沟通,通过《证券投资咨询业务管理办法》严格规范 投资咨询业务人员行为,根据市场发展变化,以定期与不定期举办投资者报告会等形式,适时 为客户提供有针对性的投资咨询服务,加强了客户联系。

(十二)对控股子公司、关联交易、对外担保、募集资金使用和重大投资的管理控制

1、控股子公司

公司的子公司均严格依据《公司法》、《证券法》等法律法规的规定建立了健全、有效的 内部控制组织体系和规章制度体系,严格依法合规经营。2009 年,公司对全资子公司长江证券 承销保荐有限公司及长江期货有限公司实施了现场稽核审计,就其经营的合规性、内控建设及 有效性、经营效果等出具审计报告并提交公司经营层。

2、关联交易

公司严格按照深圳证券交易所《股票上市规则》和公司《章程》、《关联交易管理制度》

规定对关联交易进行认定和审议。能够保证所有关联交易不损害公司及客户的合法权益,并按 照监管要求及时对关联交易情况进行披露。

3、对外担保

公司严格依据国家法律法规及公司《章程》、《对外担保管理制度》规定加强对外担保的 控制和管理。经公司五届八次董事会及2008年第二次临时股东大会形成的决议《关于为长江证 券承销保荐有限公司提供担保承诺的议案》,同意为公司全资子公司长江证券承销保荐有限公 司提供最高不超过4亿元的净资本担保。经长江保荐申请,长江证券同意为其提供2亿元的净资 本担保,2009年9月8日,中国证监会下发《关于将母公司提供的担保承诺计入净资本有关问题 的函》(机构部部函(2009)405号),同意公司出具净资本担保承诺书并在获得上海证监局无 异议函后,将公司实际提供的担保承诺金额计入长江证券承销保荐有限公司的净资本。上海证 监局于2010年1月26日出具无异议函后,公司对长江保荐提供的额度为2亿元的净资本担保正式 生效,故2009年度内公司未实际发生对外担保事项。

4、募集资金使用

为规范公司募集资金的管理和使用,公司依据相关法律法规制定了《募集资金使用管理制 度》,对募集资金的存放、使用、管理与监督等进行了明确规定,能够保证依法使用募集资金 并提升使用效率和效益,保护投资者合法权益。经中国证券监督管理委员会证监许可[2009]1080 号文核准,公司向截至 2009 年 11 月 6 日下午深圳证券交易所收市后,在中国证券登记结算有 限责任公司深圳分公司登记在册的长江证券全体股东按 10:3 的比例配售股份,配股认购缴款工 作已于 2009 年 11 月 13 日结束并于 2009 年 11 月 25 日在深圳证券交易所上市。2009 年 12 月 14 日,公司分别与中国农业银行股份有限公司武汉江南支行、安信证券股份有限公司和长江证 券承销保荐有限公司签订《募集资金四方监管协议》,以保障募集资金合法合规使用。

5、重大投资的管理

公司严格按照全面预算化管理要求规范和管理公司营业网点建设及固定资产等重大投资行 为,按照公司《章程》管理公司对外重大投资行为,报告期内,未有违反《深圳证券交易所上 市公司内部控制指引》的情形发生。

三、内部控制监督检查

公司明确了董事会、监事会和经理层人员的内部控制责任。董事会负责督促、检查和评价 公司内部控制制度的建立与执行情况,对内部控制的有效性负最终责任;监事会负责对内部控 制制度建设及执行情况进行必要的检查,督促董事会、经营管理层及时纠正内部控制缺陷;经

本报告书共 14 页第 12 页

营管理层负责建立健全责任明确、程序清晰的组织结构,组织实施各类风险的识别与评估,建 立健全有效的内部控制机制和内部控制制度及时纠正内部控制缺陷。公司设立了稽核监察部, 独立履行合规检查、财务稽核、业务稽核。稽核监察部由合规总监分管。公司建立了以《长江 证券股份有限公司内部审计制度》为核心的内部审计制度体系,明确了内部审计部门的独立地 位和对被审计对象的要求,保证了内部审计部门的独立性和权威性。稽核监察部按照年度审计 计划实施对公司相关部门或业务的常规审计、专项审计和离职人员的离任审计。针对审计发现 的问题提出整改建议,对有效防范和化解潜在的风险,改善和加强公司的经营管理起到了有效 的保证和促进作用。公司形成了以合规总监统领的,以法律合规部、风险管理部、稽核监察部 为主体的风险控制组织体系,共同负责公司内部控制的事前、事中和事后监督检查职能。

四、问题与改进计划

公司充分认识到,任何内部控制均有其固有的限制,不论设计如何完善,有效的内部控制 制度也仅能对上述目标的达成提供合理的保证;而且由于环境、情况的改变,内部控制的有效 性可能随之改变。

为了保证公司的合规经营和持续健康发展,公司已经建立了较为完善和健全的规章制度体 系,但随着内外环境的变化或技术的进步,可能存在少数制度没有及时修订或完善,存在时效 性不够或操作性不强问题,制度的贯彻和执行也需要进一步加强。对此,公司将严格按照国家 法律法规和公司经营管理以及风险控制工作的实际需要,采取以下措施,以进一步健全和完善 内部控制。

1、重视并增强内部控制制度的时效性和操作性,切实加强对制度的宣传和培训工作,加大 对制度贯彻和执行情况的监督检查力度,推动和促进制度体系的完善和有效执行。

2、加强内部审计监督职能,在确保审计内容尽可能覆盖所有风险点的前提下,根据行业及 公司业务发展方向、管理层监管新动向等及时调整审计内容。

3、在内部审计技术手段上进行革新,利用信息技术手段提高审计作业的管理水平,以提升 审计工作效率和降低审计成本。

4、进一步加强公司员工合规经营意识和风险防范意识的培养,强化全员参与风险管理的企 业文化建设工作,加强员工的职业道德教育,规范员工执业行为、防范员工道德风险。

五、内部控制的总体评价

公司内部控制遵循"健全、合理、制衡、独立"的原则。目标是在所有重大方面能够合理

本报告书共 14 页第 13 页

保证公司董事会、监事会、高级管理人员及其他相关人员严格遵守国家法律、法规、规章和其 他相关规定履行职责;维护全体股东合法利益;保障客户及公司资产的安全、完整;财务报告 及相关信息真实完整,信息披露真实、准确、完整、及时和公平;防范经营风险,提高公司经 营效率和效果,促进公司实现发展战略。

通过对公司 2009 年度内部控制情况的综合评价,公司董事会认为:公司严格按照《公司法》、 《证券法》、《企业内部控制基本规范》、《证券公司内部控制指引》和《深圳证券交易所上 市公司内部控制指引》等法律、法规、规章和规范性文件以及中国证监会、深圳证券交易所相 关规章制度的要求,建立了规范的法人治理结构,形成了职责分明、相互制衡且符合公司实际 经营情况、适应公司业务发展和风险控制需要的、健全的内部控制体系。公司已建立健全了全 方位、系统性的内部控制制度。内部控制流程已覆盖了公司各项业务的事前防范、事中监控和 事后检查的环节,重点控制活动形成了有效的制度约束。公司内部控制机制和内部控制制度方 面不存在重大缺陷,实际执行中亦不存在重大偏差。公司的内部控制在所有重大方面是有效的, 为公司防范风险、规范运作提供了强有力的保障,推动了公司持续健康的发展。