地址:武汉市武昌区东湖路 169 号众环大厦 2-9 层邮编:430077 电话:027 86770549 传真:027 85424329

内部控制审计报告

众环审字(2013)010381 号

长江证券股份有限公司全体股东:

按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求,我们审计了长江证券股份有限公司(以下简称长江证券)2012 年 12 月 31 日的财务报告内部控制的有效性。

一、企业对内部控制的责任

按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的规定,建立健全和有效实施内部控制,并评价其有效性是企业董事会的责任。

二、注册会计师的责任

我们的责任是在实施审计工作的基础上,对财务报告内部控制的有效性发表审计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露。

三、内部控制的固有局限性

内部控制具有固有局限性,存在不能防止和发现错报的可能性。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制审计结果推测未来内部控制的有效性具有一定风险。

四、财务报告内部控制审计意见

我们认为,长江证券公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。

众环海华会计师事务所有限公司中国注册会计师:刘钧

中国注册会计师:赵文凌

中国武汉 2013 年 4 月 19 日

长江证券股份有限公司

2012 年度内部控制自我评价报告

根据中华人民共和国财政部、证监会等五部委联合发布的《企业内部控制基本规范》(以下简称"基本规范")及相关配套指引、湖北证监局《关于做好2012年上市公司建立健全内部控制规范体系工作的通知》(鄂证监公司字[2012]9号)等法律、法规及文件的具体要求,长江证券股份有限公司(以下简称"公司")董事会开展了内部控制基本规范实施工作,并对公司内部控制的有效性开展了自我评价。

一、董事会声明

公司董事会及全体董事保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带责任。

公司董事会及经营管理层贯彻"健全、合理、制衡、独立"的原则开展内部控制体系建设。公司内部控制的目标是:保证经营的合法合规及公司内部规章制度的贯彻执行;维护全体股东合法权益,保障客户及公司资产的安全、完整;保证公司业务记录、财务报告及相关信息的真实完整; 防范经营风险,提高经营效率和效果,促进公司发展战略的实现。

内部控制存在固有局限性,故仅能对达到上述目标提供合理保证;而且,内部控制的有效性亦可能随公司内、外部环境及经营情况的改变而改变。公司内部控制设有检查监督机制,内控缺陷一经识别,公司将立即采取整改措施。

二、内部控制评价工作的总体情况

2012 年是沪深主板上市公司全面、正式实施基本规范及相关配套指引的第一年,为全面落实监管要求、提升公司内控水平,公司成立了内控工作领导小组及内控工作项目组,通过明确工作原则、制定工作方案、拨付专项工作经费、聘请外部审计机构等措施,从组织、专业、经费、人员等方面确保基本规范实施工作及内控评价工作顺利开展。

(一)组织保障

公司成立了内控工作领导小组,公司董事长任内控工作领导小组组长,是公司实施基本规范工作的第一负责人,全面负责基本规范实施工作。内控工作领导小组是公司内控规范实施工作的领导机构,总体负责内部控制目标的方案制定与决策;指导、监督公司内部控制体系的建立健全并保证其得到有效实施。

在领导小组下设立专门的内控工作项目组,由公司总裁担任组长、合规总监担任副组长,成员涵盖了公司各部门负责人及全资子公司负责人,负责基本规范实施工作方案的制定、实施、实施进展情况报告;开展基本规范培训;与外部审计机构沟通、协调;督促各有关部门和子公司对内控缺陷进行整改;开展内控自我评价工作。

(二)工作原则

1、合规性原则

严格遵照国家的法律、法规,遵照财政部、证监会等五部委制定的基本规范及相关配套指引。

2、全面性和重要性相结合原则

涵盖各级组织、机构和岗位人员的各项业务活动过程,重点加强重大事项、重要业务和重要岗位的风险管理及内部控制。

3、统一性和分级管理相结合原则

根据业务实际,强调建立公司、各部门、各分支机构及各全资子公司相对统一的内部控制体系,实施各层级机构分级管理,统一对公司负责。

4、制衡性和效率相结合原则

按照公司管控定位,兼顾运营效率,在治理结构和内部管理中形成相互制约、相互监督的机制。

5、动态适应原则

适应经营规模、业务范围及面临的风险,并随之作动态调整。

6、独立性原则

相关机构和岗位人员在评价及报告时应当客观、独立。

7、成本效益原则

合理权衡实施成本和预期收益。

(三)内部控制评价的依据

依照并严格遵循《公司法》、《证券法》、基本规范及配套指引、《证券公司内部控制指引》等法律、法规、部门规章和《深圳证券交易所主板上市公司规范运作指引》的相关规定,并根据湖北证监局《关于做好 2012 年上市公司建立健全内部控制规范体系工作的通知》(鄂证监公司字 [2012]9 号)文件要求,公司组织了基本规范实施工作并开展内控自我评价工作,工作中综合考虑

本报告书共 29 页第 2 页

了内部环境、风险评估、控制活动、信息与沟通以及内部监督等基本要素。

公司稽核监察部秉承"风控促发展"理念,认真履行审计、监督、监察等职能,审计工作覆盖了公司各主要业务模块,对所属分支机构、全资子公司的业务、财务、合规管理及其他经营管理活动进行了全面的内部检查和审计,在各个主要方面检验了公司内部控制过程的有效性。

(四)内部控制评价的程序和方法

公司内部控制评价工作在董事会审计委员会的指导下,由稽核监察部组织实施。在评价过程中,严格执行基本规范及评价指引规定的程序,遵循了全面性、重要性和客观性原则,结合内部控制设计与运行的实际情况,组织专门的评价人员,制定详细的评价工作计划,明确相关机构或岗位的职责权限,落实责任制,按照规定的办法、程序和要求,有序的开展内部控制评价工作。

本次公司内部控制自我评价工作,通过专家讲座、专项访谈、专题研讨等工作形式,采用穿行测试、实地查验、抽样和比较分析等方法,广泛收集公司内部控制设计和运行是否有效的证据。以公司各模块业务流程风险的识别为基础,通过流程层面风险评估和梳理的形式确定需要重点关注的流程风险和控制措施。工作中累计梳理各类业务及管理流程 472 个,并制作相应的风险矩阵, 以风险归类、风险打分的形式,通过风险识别、风险分析来确定重点关注的控制节点,并根据风险与控制目标的配比原则,从制度建设、流程执行等方面查找内控缺陷。

评价过程中,评价人员如实填写评价工作底稿,分析、识别内部控制缺陷。董事会相信,所采用的评价程序和证据是充分、适当的,为发表内部控制评价意见提供了基础。

(五)制定内部控制工作方案及落实情况

2012 年度是内部控制规范在沪深主板上市公司全面实施的第一年。公司严格按照法律法规的各项要求,制定并实施了内部控制工作方案:

1、制定内部控制工作方案

公司于2012年3月30日制订了《内部控制规范实施方案》,经董事会审议批准后予以披露。为了落实《实施方案》,公司成立了内控工作领导小组及内控工作项目组,明确了各小组的工作职责,并指定法律事务与合规管理部具体牵头负责公司内部控制实施工作。同时,公司聘请众环海华会计师事务所有限公司(以下简称"众环海华")为公司内控审计的外部审计机构,帮助公司识别内部控制存在的薄弱环节和主要风险,有针对性的设计控制的重点流程和内容并协助公司开展内部控制自我评价工作。

2、确定内控评估和梳理工作对象与范围

公司在《实施方案》中,已经确定了公司内控评估和梳理工作对象覆盖了公司总部及全资子公司,具体范围包括内部环境评估、主要业务的内控评估(含经纪、自营、资管、投行、发布研究报告、投资顾问、融资融券、直接投资和期货等业务)、业务创新的内控评估、信息披露的内控评估、财务管理和会计管理的内控评估、人力资源管理的内控评估、分支机构和子公司的内控评估等。在2012年度的内部控制实施工作中,公司法律事务与合规管理部在合规总监的领导下, 严格按照董事会批准的上述工作对象与范围,组织各部门开展了各项内部控制具体工作。

3、落实内控评估、梳理,制定内控缺陷整改方案

公司根据评估对象和评估内容,组织公司各部门、营业部及子公司全面梳理和分析各条块评估内容中的主要风险类型、重要风险点和风险等级等内容,形成了《长江证券股份有限公司内部控制手册》。

在梳理与评估内控风险的过程中,公司在遵循理论与实践相结合、全面性及操作性相结合、继承性与包容性相结合、满足外部监管与提升内部管理水平相结合等原则的指导下,对公司内部控制组织机构及职责、内部控制执行与考核、内部控制基本框架(含内部环境、风险评估、控制活动、信息与沟通、内部监督)等内容,全面逐一进行了详细梳理,为制定有针对性、较为完善的内控缺陷整改方案提供了坚实的基础。

4、初步完成内控缺陷整改

公司内控项目组结合内控评估、梳理形成的内控缺陷整改方案,以及外部咨询机构出具的内控缺陷整改方案,与公司各部门、各营业部及子公司经多次沟通和协商,协助公司各部门、营业部及子公司就相应内控缺陷组织落实了内控缺陷整改工作。截止2012年12月,公司各部门、营业部以及子公司已经初步完成内控缺陷的整改工作。

5、内部控制的自我评价

在对公司各项内部控制制度、流程、措施进行评估梳理后,公司按照董事会通过的工作方案的安排,还制定了内控自我评价工作计划和内控审计工作计划,以保障公司在前期风险评估、内控梳理和整改工作的基础上实施年度内控自我评价及内控审计工作。

三、内部控制建立与执行情况

(一)内部环境

1、公司治理

公司遵循《公司法》、《证券法》、《证券公司内部控制指引》及《公司章程》的有关规定, 构建了科学、完善的法人治理结构,建立了层次分明、权责清晰的治理结构和运行机制。

本报告书共 29 页第 4 页

(1)依法成立股东大会、董事会和监事会

公司根据《公司法》制定《公司章程》、《股东大会议事规则》、《董事会议事规则》、《监事会议事规则》和《总裁工作细则》,明确了股东大会、董事会、监事会和经营管理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行和监督相互分离,有效制衡。公司股东大会、董事会及监事会的召集、召开符合《公司法》、《公司章程》规定,决议合法有效。公司与股东在资产、财务、人员等方面实现相互独立,公司与股东的关联交易贯彻平等、公开、自愿原则,对中小股东权益采取了必要的保护措施,使中小股东能够和大股东同等条件参加股东大会, 获得与大股东一致的信息。公司董事会独立于经营管理层和大股东,董事会在公司内部建立并实施有效的内部控制,审批公司发展战略和重大决策,并定期检查、评价其执行情况,明确设立公司可接受的风险承受度,并督促经营管理层对内部控制有效性进行监督和评价。公司监事会向股东大会负责,对董事会、经营管理层的权力形成必要的监督和约束机制,维护公司及全体股东的合法权益。董事会、监事会和经营管理层的产生严格按照《公司章程》的规定进行,选任程序合法合规。

(2)建立独立董事制度

公司依照相关法律法规和《公司章程》,制定《独立董事制度》,明确独立董事的任职条件, 建立独立董事的提名、选举和更换机制,规定独立董事的职权和工作条件。公司现任 4 名独立董事均由教授级高级专家等符合要求的人员担任,在任职期间有足够的时间和精力认真履行职责。

(3)设立专门委员会

公司董事会下设发展战略委员会、风险管理委员会、审计委员会、薪酬与提名委员会。董事会的专门委员会成员全部由董事组成,其中审计委员会、薪酬与提名委员会中独立董事占多数并担任召集人,审计委员会中有一名独立董事为会计专业人士。审计委员会负责审查公司内部控制, 监督内部控制的有效实施和内部控制自我评价情况,通过指导和监督内部审计和外部审计工作, 提高内部审计和外部审计的独立性。董事会专门委员会主要职责是为董事会的决策提供支持。各专门委员会对董事会负责,董事会的各项议案一般均由各专门委员会审核后再提交董事会审议表决。

公司经营管理层下设绩效管理委员会、IT 委员会、机构编制委员会、证券自营投资决策委员会、资产管理投资决策委员会、金融产品代销委员会、融资融券业务决策委员会。经营管理层下设的专门委员会由各部门负责人及业务骨干组成,其主要职责是为公司的具体经营活动提供决策支持。

(4)设立董事会秘书室

本报告书共 29 页第 5 页

依据《公司法》、《上市公司董事会秘书工作指引》和《公司章程》,公司明确了董事会秘书的任免条件及任免程序,规定其职责范围及工作要求。公司设立董事会秘书室,以进一步加强与股东、董事会、监事会的沟通工作,并不断完善公司的规范运作。

(5)建立权限清晰、科学制衡的组织架构

公司建立了分工合理、职责明确、报告关系清晰的组织结构,明确内部管理决策机构、管理机构、执行机构和监督机构的责任与义务,确保经营有效运行。公司经营管理实行分级授权、权责统一、逐级负责的多级管理体制。公司建立了子公司管控的基本制度,通过合法有效的形式履行出资人职责、维护出资人权益。公司制定了组织结构图、业务流程图、岗位说明书、绩效考核等内部管理制度,编制了岗位职责说明,使员工了解和掌握组织结构设计及权责分配情况,保障其正确履行职责。

2012 年,公司按照法定程序组织召开股东大会会议 2 次、董事会会议 9 次、监事会会议 4 次、董事会专门委员会会议 15 次,各项会议组织程序规范、决议合法有效。公司注重加强对董事、监事及高管的后续培训,组织董事、监事代表参加中国证券业协会举办的"证券公司董事、监事和股东、实际控制人培训"以及深交所"上市公司独立董事培训班",还组织董事、监事及高管学习贯彻监管层关于严厉打击内幕交易的文件精神,规范公司董事、监事及高管行为,提高公司规范运作水平,截至报告日,公司董事、监事、高管及持股 5%以上股东无违规交易行为发生。公司董事会秘书连续第三次蝉联"新财富金牌董秘"荣誉称号。

2、经营理念与战略管理

公司秉持"追求卓越"的核心价值观,以"诚信经营、规范运作、创新发展"为经营理念,以"客户导向、研究驱动、技术领先、内控先行"为业务发展策略,以实现成为"提供全面理财服务的一流金融企业"的愿景。

公司制定的《三年发展规划(2012-2014)》综合分析了内外部因素对公司发展的影响,并在公司董事会发展战略委员会指导下,组织公司内外部的管理、投资、财务、经济、营销、技术和法律等方面专家进行了专业评审,从公司发展方向、发展速度与质量、发展点和发展能力等方面系统阐述了公司的发展战略。公司依据三年发展规划制定年度工作要点,并分解、落实到各部门、分支机构及子公司,确保发展战略的有效实施。公司对发展战略的制定与实施采取事前、事中和事后评估机制,定期编制年度工作计划,组织进行实施情况评价并根据客观情况的变化进行调整。

3、人力资源

本报告书共 29 页第 6 页

公司奉行"量才适用、绩效为先、公平竞争、长效激励"的人力资源理念,依据公司总体战略编制了包括招聘、培训、考核、薪酬、职务晋升、退出等一系列人力资源管理制度,并适时进行评估和调整,使之能有效地支持公司发展战略的实施。

(1)人才引进机制

公司聘请全球性管理咨询公司 Hay(合益)集团进行岗位评估,明晰人力资源结构层次、明确岗位职责权限、任职条件和工作要求,据以实施分类人才引进机制,并制定《岗位管理办法》等规章制度指导和规范人才引进。公司已建立成熟的招聘程序,在选拔任用或招聘关键岗位人员时,通过核查人事档案、与原任职单位沟通等方式对其诚信与道德价值观、技能资格水平等方面进行综合考察和重点审核。

(2)人力资源开发机制

公司成立培训中心,专司员工技能培训和专业素质提升。公司依据业务发展和员工职业发展的需要,制定了年度公司培训计划,以及多层次的员工培养方案和计划。2012 年,公司共组织各类集中培训 24 场,全年集中培训时长 68 天,直接参训学员 1035 人次。另外,每周均通过"长江金融学院"在线学习平台举办多层次、多类别的专项培训。针对青年员工,制定了青年后备人才培养计划,通过安排挂职锻炼、集中授课、外派学习、导师指导、课题研究、经典书籍阅读等方式全面提升员工业务素养;针对管理人员需求,制定了后备干部培养方案并按年制定年度后备干部培养计划,有针对性地组织业务知识和管理技能培训,培养了一批"懂业务、善管理、会创新" 的后备干部梯队。公司还持续开展有重点的海外培训,以提升关键核心岗位员工业务水平,开阔国际视野,在创新竞争中占据主动。

(3)人力资源的使用

公司严格执行国家《劳动合同法》,建立劳动用工的管理制度,规范劳动合同管理。公司建立完整的新聘人员试用及岗前培训体系,试用期满考核合格方可正式上岗。公司建立了完善的绩效考核体系,对员工履行职责、完成任务的情况实施全面、客观、公正、准确的考核,并以此作为确定员工薪酬、奖惩及任用的依据,营造一个"能者上、平者让、庸者下"的动态用人机制和公平竞争环境。依照《劳动法》和公司《薪酬福利管理办法》,以按劳分配、效率优先、兼顾公平的原则制定薪酬体系,体现公平性和竞争性;按照《董事会薪酬与提名委员会议事规则》的规定, 董事会薪酬与提名委员会负责研究公司的薪酬政策与方案,向董事会提出建议,并对其执行情况进行监督。

(4)人员退出机制

公司遵照《劳动法》相关规定,结合公司管控目标,建立并规范了包含劳动合同终止或解除

4、企业文化

(1)文化建设与品牌维护

公司确定并发布了《企业文化纲要》,明确了公司愿景、使命、核心价值观、经营理念、业务发展策略和人力资源理念。公司对外使用统一的注册品牌商标,并通过网络、广告媒体、培训和宣传册、企业刊物等方式进行公司内外宣导。强调董事、监事、经营管理层在企业文化建设中的责任,发挥其主导和垂范作用,按照"领导即教练,管理即培训,工作即修为"的文化理念,共同营造积极向上的企业文化环境。

在日常工作中,公司企业文化建设具体落实到凝聚人心、增强员工归属感和向心力等方面。 2012 年,公司持续开展员工运动会、司庆拔河比赛、新年晚会等文体活动,营造快乐工作、健康生活的和谐氛围;举办"感动长江人物"和"卓越团队"年度评选活动,表彰先进,弘扬和传播公司核心价值观和经营理念。

(2)合规风控文化

公司倡导诚信与道德价值观,并使其与《公司章程》、《企业文化纲要》一起成为公司全体员工的主要道德准则,建立了企业文化建设相关制度,积极宣传诚信与道德价值观,并对员工遵守诚信与道德价值观规范的情况进行监督和考核。公司注重将合规风控文化融入企业文化中去, 完备员工参与公司风险管理的途径。通过加强法制与典型案例宣教工作来强化员工合规意识、风险防范意识,提升员工守法合规执业意识与水平,从源头上减少违法违规行为的发生;持续开展员工内部控制能力培训工作,2012 年公司依据新的监管政策对《内部控制能力测试大纲》进行了修订,并组织了内控能力测试,提高了员工风险识别、风险评估和风险防范能力。同时,公司还建立内控的评价与考核机制,将合规风控管理的有效性和执业行为的合规性,纳入各部门、分支机构及员工的绩效考核范围,建立了绩效与风险控制并重的激励机制,促进企业风险管理文化的形成。

5、社会责任

为保障持续健康发展、实现价值理念,公司在实践中注重社会责任的履行,将社会责任溶入到企业发展战略和企业文化当中,公司追求与客户、员工、股东和社会携手并进,实现 "服务客户、成就员工、回报股东、反哺社会"的多方共赢局面。

公司建立了社会责任管理体系,围绕着股东和债权人权益保护、职工权益保护、客户和投资

本报告书共 29 页第 8 页

者权益保护、环境保护和可持续发展、公共关系和社会公益事业等方面履行社会责任,并定期发布年度《社会责任报告》,客观论述公司履行社会责任的情况。

公司通过统一规范的公益事业运作开台"长江证券公益慈善基金会",持续开展系列公益事业, 代表公司履行社会责任。2012 年公司公益慈善基金会发布了以"行动让爱心起航"为主题的倡议书,正式启动志愿者活动,志愿者招募首日即有近百名员工报名,其中既有充满朝气的青年员工, 也不乏各条业务线的负责人,更有部分客户也积极参与。志愿者团队成立以来,先后多次举办了 "敬老孝亲"活动和"爱心送书"活动,将爱心送到孤寡老人、留守儿童身边。同时,利用自身专业技能,通过投资者教育、反洗钱等宣传活动,向投资者传输理性理财理念。

公司遵纪守法,合规经营,认真履行上市公司法定义务,持续及时披露信息,不断加强与投资者沟通交流,不断完善治理结构,持续加强风险管理和内部控制。公司始终强调以客户为中心,不断加强客户服务和提升客户服务能力,并积极贯彻"深耕湖北"战略,全心全意为湖北省内企业发展提供良好的融资和财务顾问服务。公司始终秉承"以人为本"的理念,视员工为公司的最大财富,将员工与公司共同成长作为追求目标,"待遇留人、情感留人、事业留人",员工权益得到公司的充分重视和切实维护。公司积极践行"反哺社会",公司及各分支机构与所在地高校创建实习基地,大力支持社会各方培养、锻炼社会需要的应用型人才。

2012 年,公司在"21 世纪华中地区首届企业公民评选"活动中荣获"最佳企业公民大奖",这是公司连续第三次获得同类型奖项。公司还第二次获得湖北省"守合同重信用企业"称号以及 "2012 湖北十佳优质文明服务金融机构"等荣誉称号。公司公益慈善基金会被武汉市见义勇为基金会授予"见义勇为公益事业突出贡献奖"。

6、内控体系与内部审计

(1)内部控制组织架构

公司按照"岗位自控、部门互控、公司监控"的指导思想,建立健全了"董事会、监事会—经营管理层—内部控制职能部门—业务部门及分支机构"四级内部控制体系,并建立了"公司章程—公司治理基本制度—公司基本管理制度—公司具体规章"四个层级、相对完善的内部控制制度体系, 从而在组织架构、运行机制、制度流程、监督评价等方面建立了符合监管要求及自身各项业务发展需要的风险管理和内部控制体系。

公司董事会下设风险管理委员会,负责具体研究和评估公司的风险管理状况,提出完善公司风险管理的建议;设立审计委员会,负责审查公司内部审计制度、内部控制制度的实施情况,加强内、外部审计机构间的沟通。公司监事会对公司财务以及公司董事、经营管理层履行职责的合法合规性进行监督,维护公司及全体股东的合法权益。

公司经营管理层下设风险管理委员会,并依据业务风险管理需要,分别设立了证券自营投资决策委员会、资产管理投资决策委员会、金融产品代销委员会、融资融券业务决策委员会,以协助经营管理层做好风险管理工作。公司已建立并全面实施合规管理制度,设立合规总监,由董事会聘任,负责对公司及员工的经营管理和执业行为的合规性进行审查、监督和检查,对董事会负责并向监管部门报告。

公司设立法律事务与合规管理部、风险管理部、稽核监察部等三个内部控制职能部门,依据国家法律法规、公司章程和公司相关制度的规定和授权,分别履行事前、事中以及事后的内部控制职责。

公司各营运支持部门通过对分支机构的岗位人员委派、专业指导和专业汇报路径,从专业角度对分支机构进行风险控制。同时,在公司法律事务与合规管理部主导下,推行并完善业务部门和分支机构的部门风控合规专员制度,在部门内部对业务进行一线监控。

(2)内部审计

公司制定了《审计委员会工作细则》和《内部审计制度》,以指导和规范内部审计工作。公司董事会下设审计委员会,并由独立董事担任主任委员,同时,公司设置稽核监察部,接受董事会审计委员会的专业指导和检查监督,确保独立性不断加强。稽核监察部根据授权可以参加或列席与内部审计职责有关的各种会议,及时获取公司管理的薄弱环节及重大经营管理活动等方面信息。稽核监察部可对审计中发现的违反国家法律法规和公司规定的事项、公司内部控制缺陷及时提出审计建议,做出审计决定,并对审计建议、审计决定的落实情况进行跟踪监督,必要时还可对责任单位、责任人按规定提出追究责任的建议。

公司在内部审计制度中明确规定内部审计人员应当具有的资质和执业能力,明确内部审计职业道德规范,并在审计人员办理审计事项时得到严格遵守。根据内部审计制度,稽核监察部定期或不定期向董事会及审计委员会、经营管理层报告工作,重要审计发现均得到及时报告并提出处理意见。

2012 年,公司稽核监察部按照公司 2012 年工作要点的总体部署和工作要求,统筹兼顾审计任务与审计资源,在公司健康的审计环境下,独立自主、客观公正地履行职责,有力地保障公司运营管理的合规性和经营的有效性。全年完成各类审计项目 84 个,并对公司 25 次招投标及商务谈判工作进行了监督。

(二)风险评估

本报告书共 29 页第 10 页

为了及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略,公司不断完善风险管理体系,培育"全员参与"的风险管理文化,追求"风险可控、可测、可承受"的风险管理目标,全面提升公司整体风险管理水平。

1、风险评估关注重点

公司根据设定的战略发展目标和风险管理目标,全面、系统、持续地收集相关信息,并结合实际情况,及时进行风险评估,以实现内部控制目标,即经营的合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果、实现公司发展战略。

在控制目标设定的基础上,通过日常和定期的评估程序与方法加以识别公司经营过程中的风险,对各类风险进行分类管理。公司及相关职能部门按照严格规范的程序,在风险识别的基础上, 采用定性与定量相结合、动态监控与静态分析相结合的方式控制风险,并及时地采取适当的风险应对策略,将风险控制在公司可承受的范围内。

2、风险评估活动

公司主要从保障战略目标、经营目标、报告目标、合规性目标及资产安全目标等目标的实现来开展风险评估。

(1)建立风险评估基础

建立健全了完整风险管理体系。公司董事会下设风险管理委员会,负责研究和评估公司风险管理状况,提出完善公司风险管理的建议;公司指定内控职能部门对公司面临的市场风险、信用风险、流动性风险、操作风险及合规风险等证券业主要风险进行专业化管理;公司建立了覆盖全公司范围各项业务的风险管理制度和流程,开发完善风险管理及实时监控系统和压力测试系统, 不断提高风险识别和计量水平,优化风险应对策略,并定期向董事会风险管理委员会及经营管理层提交风险分析报告。2012 年,公司风险管理部共向董事会风险管理委员会提交议案 6 份;进一步完善报告体系,按交易日完成经纪业务和投资业务监控日报,并向经营管理层提交风险管理月报 36 份、专题风险分析报告 29 份。

(2)开展风险识别与分析

公司从业务活动层面即流程层面,通过实时监控系统及其他风险管理辅助系统等技术手段, 动态识别影响公司战略目标及相关目标实现的内部和外部的各种不确定因素。在搭建覆盖公司业务范围的流程体系基础上,以流程活动为主线,识别影响公司目标实现的流程层面风险,采用定性与定量相结合的方法,进而识别和分析公司层面风险。

(3)风险应对措施

公司根据基本规范及相关配套指引,在公司层面风险评估的基础上,确定公司层面重大风险, 并制定重大风险管理策略和解决方案。

定量评估市场风险。公司建立了一套以风险价值、风险限额为主的市场风险管理体系。

加强流动性风险管理。公司建立了净资本实时监控系统,关注公司资产负债变化。建立了压力测试机制,明确各类业务的压力测试触发机制和应急预案,定期评估公司资产的流动性和融资能力,加强自营证券集中度管理和变现能力的监控,同时建立了大额自有资金监控系统,以加强公司流动性管理。

多层次防范操作风险。公司通过采取风险自我评估、关键风险指标等多种方法,对业务开展过程中的各类操作风险进行辨识。同时,关注监管机构、行业发展及市场趋势等变化对业务的影响,全面反映业务面临的各种操作风险。例如:完善新业务流程,加强员工新业务培训,从风险意识、知识水平、工作技能以及工作习惯等方面防范创新业务带来的操作风险;强化内核审核流程,避免因承销质量导致的合规风险和连带责任风险;强化发行审核流程和定价机制和压力测试机制,避免包销风险;加强业务的日常监控,根据监控情况及时发现问题,并以监控月报或专项风险报告等形式向经营管理层提交,保障风险的及时化解。

"三管齐下"规避合规风险。法律事务与合规管理部通过将合规审查节点嵌入主要业务流程, 保障能够及时发现、识别和处理各类业务中的合规风险,通过审查部门业务规章制度、对外合同的合规性,从制度建设和业务前端对各项业务的合规风险进行事前控制;风险管理部通过对业务的实时监控,并对监控中发现的异常事项进行警示、应急处理、上报相关部门等实现对合规风险的事中控制;稽核监察部通过现场稽核、非现场稽核、专项稽核等多种方式对各项业务的合规合法性进行独立的内部审计,对各项业务的风险进行事后控制。

(三)控制活动

1、主要控制措施

(1)不相容职务分离控制

公司贯彻"责任分离、相互制约、不相容岗位分离"的原则,从组织架构、制度建设以及工作机制等方面进行不相容职务分离控制。公司已建立清晰的内部隔离组织架构,采取了人员隔离、物理隔离、信息隔离、资金隔离以及跨墙管理、观察名单管理和限制名单管理等有效隔离措施; 制定颁布了《信息隔离墙管理试行办法》、《敏感信息管理指引》、《跨墙管理指引》和《观察名单及限制名单管理指引》等制度,使不相容职务分离控制做到有章可循;通过全面系统地分析、梳理业务流程中所涉及的不相容职务,并采取相应的分离措施,形成各司其职、各负其责、相互制

本报告书共 29 页第 12 页

约的工作机制,还建立了信息隔离墙管理的相关流程,并在合规管理平台中配置了信息隔离墙管理模块,以信息技术手段加强不相容职务分离控制。

(2)授权审批控制

公司建立健全了逐级授权、分级管理和权责匹配的内部授权管理体系。公司股东大会、董事会、经营管理层实行逐级授权,充分履行各自职责,确保公司各项规章制度的贯彻执行;公司经营实行董事会领导下的总裁负责制。公司的重大决策、重大事项、重要人事任免及大额资金支付等"三重一大"事宜均按照规定的权限和程序实行集体决策、审批,任何个人无权单独进行决策或擅自改变集体决策意见。公司各部门及分支机构在其部门职责及公司制度规定的业务、财务、人事授权范围内行使经营管理职能。公司各项管理和业务操作必须遵循公司管理制度和业务流程, 业务人员的每一项工作必须在其权限范围内进行。公司对已获授权的部门和员工建立了有效的评价和反馈机制,对已不适用的授权能做到及时变更或撤销。

(3)会计系统控制

公司按照《会计法》、《企业会计准则》等有关规定,制定了涵盖固定资产、流动资产、关联交易、会计核算、财务报告的处理程序等统一的会计政策,并得到严格执行。公司设置总会计师,负责组织领导公司的财务管理、成本管理、预算管理、会计核算和会计监督等方面工作,参与公司重要经济问题分析和决策,直接分管财务总部;财务总部各岗位均编制了明晰的岗位说明书,明确岗位任职资格和相关权责,依托 Oracle ERP 财务信息系统大幅提升会计核算工作效率和财务管理有效性。公司建立健全了全面预算、会计记账、结账、财务报表编制与审批、财务报表分析和财务预警管理等业务操作与管理流程,并设置了合理的分工和有效的控制,充分发挥会计的监督职能。

2012 年,公司及时总结前期财务区域集中试点的经验,全面推进公司区域财务集中工作,优化营业部财务组织架构,先后设立 10 个区域财务中心,统筹履行集中区域的会计核算与财务管理职责,助推财务职能转型。

(4)财产保护控制

为加强公司财产安全,公司颁布实施了《固定资产管理办法》、《营业部固定资产配置标准指引》和《营业部装修管理办法》等实物资产保护的制度、流程和控制措施,实施定期盘点、对账等制度,确保财产的安全和记录的完整与真实。同时,对企业品牌、专利技术等无形资产的管理也高度重视,制定颁布了《视觉识别管理办法》和《广告工作管理办法》,规范并推动公司品牌商誉保值增值。继 2011 年为两项自主研发的软件申请并获得软件著作权之后,2012 年"数据魔方"软件再获国家版权局软件著作权。公司还制定了财产使用和处置的授权程序以及对不当行为的处罚规定,严格限制未经授权的人员接触和处置资产。

(5)预算控制

在董事会批准的公司年度财务预算的基础上,公司根据发展战略和年度工作要点,综合考虑经济政策、市场环境等因素,对公司年度经营活动、投资活动、筹资活动等进行全面预算管理。颁布实施了《财务预算管理办法》,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束和预算执行规范性。公司对采购、收入、成本、费用等均实行预算控制,通过目标测定、财务预算、预算执行与调整、预算考核和监察等措施,完善全面预算管理。公司建立了严格的预算执行考核制度,对各预算执行部门和负责人进行考核,并将预算执行情况与各部门考核直接挂钩。

(6)运营分析控制

公司建立了多层级的运营情况分析制度,在公司层面有办公会议、经营工作会议、月度例会; 各部门、分支机构有月会、周会以及晨会等多形式的经营管理活动分析活动。通过这些工作形式, 经营管理层综合运用投资、筹资、经营等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。公司注重对市场状况、行业动态、行业排名等数据和信息的系统化梳理和汇编,以增强公司运营分析的质量与水平。

(7)信息系统控制

公司贯彻"以客户为导向、以业务为中心、以规划为指导,努力打造 IT 核心竞争力,支持公司做大做强"的指导思想,建立健全了信息系统控制体系。公司经营管理层下设 IT 委员会,负责领导公司信息化建设工作,决策信息化建设重大事项;信息技术总部作为公司信息化建设归口管理部门,负责公司信息化建设,指导、监督各部门开展工作,建立纵向汇报、沟通和监控机制。公司信息系统建设重视规划,以公司战略和业务规划为依据,在继承前期 IT 规划的基础上制定了新 IT 规范蓝图,完善了 IT 架构,确定了实施路径和实施计划。公司信息系统控制涵盖了信息系统开发管理、变更管理、日常管理以及系统安全、风险评估等工作。

公司信息系统建设以支持业务发展为目标,紧跟行业创新脚步,密切配合业务的推进和开展。

以满足客户对跨境 ETF、跨市场 ETF、现金产品、约定式购回、转融通等创新业务品种的需求为目标,并充分考虑客户体验。2012 年,公司在多年推行 ITSM 的基础上已经着手实施信息系统运维 ISO 20000 国际认证工作,以加强对业务的服务和支持,推进信息系统运维规范化,提高信息系统运维能力。

2012 年,在由证券时报社和新财富杂志社主办的评选活动中,公司荣获"2012 年度最佳券商网站"和"2012 年度最佳融资融券系统"奖项。

(8)资金管理与清算控制

公司资金管理遵循资金运营的安全性、流动性、效益性有机结合的管理原则。强化资金的集中统一管理,提升资金使用效率,并从源头杜绝分支机构从事资金拆借、借贷、抵押、担保等融资活动。公司建立了严格的资金业务授权审批制度和重大资金投向的集体决策制度,审批流程科学有效。公司建立了科学的资金管理绩效评价指标,并在资金内外部使用中均考核成本与效益。

公司全面实施客户交易结算资金第三方独立存管制度,并建立客户资金余额每日核对检查机制。公司通过法人集中清算系统和柜台交易系统的同时清算、对账,实现了资金三级明细对账和股份二级明细对账,并大力推行技术创新,在行业内率先实现银企直连、估值电子对账等功能, 有效提高资金交收、对账效率,并确保客户资产的完整性和真实性。

(9)绩效考评控制

公司坚持"科学合理、公开透明、激励有效、导向明确"的指导思想,颁布实施了《业务部门绩效考核制度》、《后台部门绩效考核制度》、《营业部绩效管理办法》和《运用绩效考核结果调整员工基本工资的规定》等一系列绩效考核、绩效考核结果运用制度,科学设置考核指标体系,对公司各部门、分支机构和全体员工的业绩进行定期考核和客观评价,并将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。公司制定了高管人员薪酬和考核管理的制度,公司高管向董事会述职,由董事会进行考核,并依据考核结果确定高管人员薪酬。

(10)重大风险预警和突发事件应急处理机制

公司制定《风险限额管理试行办法》,完善公司以净资本为核心的风险控制指标体系,对公司关键风险指标设置限额,实施风险限额管理,提高公司总体风险控制能力。依据有关政策的变动,分析影响并进一步完善压力测试工作,及时修订相关风险限额,优化并升级净资本监控系统, 增强系统的监控和预警功能。

为及时、妥善处置突发事件,维护公司正常的经营秩序和保护公司的合法权益,建立有效应对突发事件的规范基础,公司颁布实施了《突发事件应急处理办法》,发布了《营业部突发事件应急预案模板》并由法律事务与合规管理部督促指导营业部制订、完善相关的应急处理预案,建立健全了公司对各类突发事件的处理机制。公司不定期进行灾备系统测试和线路验证性测试,开展应急处理培训和应急演练等活动,增强风险防范意识并提高应急处置能力,并依据演练情况总结,不断优化、完善应急预案和应急处理流程。

2、业务运行控制

(1)主要业务控制

①证券经纪业务控制

公司建立了较完善的、多层次的证券经纪业务控制组织架构,并得到有效运行。公司对证券营业部的合规、财务等关键岗位人员实行垂直、委派管理,明确营业部总经理对合规和风险管理全面负责,并在营业部设置营运总监、合规风控专员,协助总经理开展合规与风险管理工作;公司设立零售客户总部、营运管理总部分别在业务发展和营运支持等方面对营业部进行专业管理; 公司三个内控职能部门分别在事前、事中及事后对证券经纪业务进行监督。

公司先后颁布实施了数十个有关证券经纪业务管理的规章制度,包括组织架构、业务操作、人员管理、客户管理、绩效考核等方面,涵盖了证券经纪业务所有业务环节,建立了完善的制度体系和相互配合、相互监督、相互制约的工作关系,为证券经纪业务的规范发展保驾护航。

公司证券经纪业务实行集中交易制度,利用集中交易系统平台,对交易权限实现集中管理、分级授权机制,并有效控制系统风险;建立并实施客户交易结算资金第三方存管制度,保证客户资产安全、完整;制定了统一的开户程序和标准化的开户文本格式,建立了统一的经纪业务标准化服务规程、操作规范和具体风险控制措施。

2012 年是证券业创新之年,随着以"放松管制、加强监管"为导向的创新政策陆续出台,证券经纪业务发展面临新的局面。对此,公司采取了一系列控制活动和措施:

一是根据监管形势的变化,及时修订一批经纪业务管理制度,并进一步完善标准化营运规范。对《营业部投资顾问管理办法》、《营业部营销岗位管理办法》进行修订,发布公司"开店手册" 序列之《营业部营运工作管理手册(试行)》、《营业部柜面业务标准化细则》(视频版)、《营业部业务营运检查工作指引》、《新设营业部营运支持工作及流程》、《基金代销营运支持流程》, 修订完善《资产管理业务营运工作指引》等标准化制度规范。

二是加大专项业务辅导与检查。开展营业部创业板业务办理、客户档案管理、IB 业务营运管

本报告书共 29 页第 16 页

理、反洗钱、证券投资顾问业务及日常安全管理等专项业务辅导与检查,并督促整改落实,促进营业部业务规范化水平提高;形成经纪业务监控日报、周报、月报的经纪业务风险分析报告体系, 通过典型案例的剖析,来揭示风险点;对经纪人名下客户的异常交易行为进行监控,并定期对监控结果进行评估和处理;通过实施前端控制,加强对公司大小非客户减持管控工作。

三是依据业务操作风险评估结果,进一步提高业务办理集中度,新增及上收业务操作 8 项, 实现 49 项证券经纪业务集中操作。同时,提升客户服务水平,在武汉、北京、上海、深圳四大片区营业部实施"业务通办"试点,推进业务办理效率提升计划,改进客户初次风险测评业务办理模式,有机整合多类业务并实现网上测评,使得客户业务办理时间缩短 60%以上,大大提高业务办理效率和客户服务质量。

在这些得力措施的支持下,公司证券经纪业务得到了较快发展,股票基金交易市场占有率保持四年连续攀升,净增资产逆势增长,代理买卖业务收入占比持续提升,非通道收入快速增长, 产品销售取得历史性突破。在《金融时报》和中国社会科学院金融研究所共同举办的"2012 中国金融机构金牌榜·金龙奖"评奖活动中,公司被授予"年度最具成长性证券公司"称号,公司还在由新浪财经主办的评奖活动中获得"2012 年度湖北最佳证券公司"荣誉称号。

②证券自营业务控制

公司按照证监会《证券公司证券自营业务指引要求》,建立了相对集中、权责统一的投资决策与授权机制。投资决策按照分级决策、分级授权的原则,建立了"董事会-公司投资决策委员会-自营业务部门"的三级决策机制。

董事会为自营业务最高决策机构,确定全公司自营业务规模、可承受的风险限额;公司办公会议严格遵守监管法规中关于自营业务规模等风险控制指标的规定,同时,根据资产、负债、损益和资本充足等情况确定公司证券自营业务的总规模、可承受风险限额,上报董事会决议通过后执行;公司颁布《证券自营投资决策委员会工作细则》,明确规定投资决策委员会是公司证券自营业务投资运作的管理机构,在董事会授权范围内确定公司证券自营业务的总体规模、投资权限, 审定证券自营业务部门提出的投资组合策略及资产配置方案,监督证券投资的执行情况,决定重大事项投资决策、止盈止损、投资品种范围及业务授权等职责;公司证券自营投资决策委员会设立主任委员一名,由公司分管自营业务的副总裁担任;设立委员若干名,由公司风险管理部负责人、财务负责人、研究部负责人和与投资业务相关的业务部门负责人及主任委员要求参加的人员共计 10 人组成;证券投资总部、资金营运部等部门作为公司证券自营投资部门,依据公司投资决策委员会审议通过的授权及资产配置方案,组织制定具体投资方案并实施。

本报告书共 29 页第 17 页

公司颁布《证券备选池管理细则》,规定自营业务部门在确定的自营规模和可承受风险限额内,从证券备选池内选择证券投资;明确了投资证券进入证券备选池遵循的原则和工作程序;列举了禁止、限制进入证券备选池的种类及解除限制的条件。公司风险管理部通过在恒生 O32 投资管理系统中设置系统风险控制指标来对禁止池证券、限制池证券进行管理,同时,投资人员的投资交易指令亦通过该系统下达,实现对投资业务实时监控。

2012 年,在原有的监控日报、监控月报及专项风险分析报告的三级风险监控报告体系的基础上,通过风险评估,公司进一步完善了对证券自营业务的监控机制。评估公司风险承受能力,统计分析自营投资的历史风险收益状况,进一步细化投资业务监控指标,落实分级管理,完善超限处理机制;梳理投资业务流程,制定公司自营业务操作细则;组织相关部门开展 O32 系统清理工作,明确系统数据维护管理职责和流程,以充分发挥系统控制作用;加强投资交易行为管理,针对交易行为、交易品种进行风险分析和评估,加强风险预警工作;开展对证券自营业务的内部审计工作,查找内控缺陷、提出改进建议并督促整改落实;建立证券自营业务部门的风控合规专员机制,对部门工作进行审查和监督并向风控部门进行汇报。

③资产管理业务控制

监管部门鼓励创新并出台一系列政策,为券商资产管理业务开创出前所未有的良好制度环境和政策空间,业务运作模式也更加多样化。为了抓住这个发展机遇,公司资产管理业务在原有较为健全的资产管理业务四级内控体系的基础上,从组织架构、产品线以及风控合规管理等方面均作出了重大调整。

公司根据业务重点对资产管理总部的部门组织架构进行了再造,实现了人岗的合理调配。构建了投研一体化团队,按产品类型组建了权益类、固定收益类和量化类投资组,有效缩短了研究与投资之间的距离,使研究成果更加及时有效地服务于投资决策;充实产品开发和财富管理团队, 加大产品创新力度,大力拓展定向理财业务,安排专人分别与银行、保险、重点企业进行有效的对接与沟通;建立公司内部更加紧密的交流机制,加强投研团队内部交流,并加强与包括公司研究部在内的内外部研究机构的交流,缩短了与市场的距离。

在产品创新方面,通过内部交流机制,就产品开发思路、需求转化等定期或不定期召开专题研讨会,以期有效推进产品储备和实施进度;同时推行公司理财产品设计协调小组会议,组织公司相关部门、资源和风险控制职能部门的沟通与协调,推进产品和方案的创新力度和合法合规。

进一步梳理资产管理业务流程,加强风控与合规管理。从公司层面提升管理水平和快速反应能力及资源整合能力,进一步优化资产管理业务内部协调机制,理顺工作流程,提升风控、合规、托管、估值清算及运营支持效率;针对资产管理业务建立高效的决策机制和对客户需求的快速响应机制,采取事前共同推进,事中事后跟踪督导、检查并严控风险的模式,在缩短决策链、提高决策效率的同时,进一步强化公司资产管理业务管控。

2012 年,公司在市场环境不佳的情况下,通过调整、加强资产配置和风险管理策略,资产管理业务取得了良好的业绩,成功完成了 2 只新产品的发行与成立,并针对 4 只产品组织了持续营销活动,定向理财业务取得实质性进展,理财规模突破 200 亿元。

④固定收益业务控制

2010 年,证监会文件(证监许可[2010]729 号)核准公司将企业债券承销业务资格由全资子公司长江证券承销保荐有限公司转入公司。依据公司部门职能分工,公司固定收益总部承接了企业债券承销、债券分销业务职能,并赋予其银行间市场的债券交易职能。

为保障固定收益业务健康、有序发展,公司建立健全了固定收益业务内部控制体系,建立了严格的项目风险评估体系和项目责任管理制度、科学的项目质量评价体系和内部审核工作规程以及明晰的债券交易操作细则和监控机制。根据证监会《证券公司监督管理条例》、人民银行《全国银行间市场债券交易管理办法》、《全国银行间债券市场远期交易管理规定》,以及国家发改委对企业债券发行市场的监管规定,公司制定、修订了 14 项业务管理制度,并规范了 11 个业务操作流程,涵盖了固定收益业务的投资决策、债券承销、债券分销、债券交易等方面。公司投资决策委员会是公司固定收益业务最高决策机构,并成立立项委员会、发行委员会和内核委员会,分别对债券立项、债券发行和内核工作进行决策与管理。公司对固定收益类投资规模和持仓规模进行限额管理,并使用恒生 O32 投资管理系统对固定收益总部的债券交易进行操作复核流程控制。风险管理部制定了固定收益业务相关风险监控指标,包括监管类指标及公司内部控制三个层级的指标,并通过在 O32 系统中设置相应的风险预警阈值进行风险的事中监控。公司财务总部对债券业务编制日报表,经由风险管理部复核,以实现对债券业务的事后跟踪。

2012 年,根据证监会机构部部函《关于督促证券公司加强证券承销风险管理的函》有关要求, 公司开展了债券承销专项压力测试工作,通过测算风险控制指标可能发生的变化、分析评估自有资金状况和短期融资能力、制定应急预案,确保公司具有充足、合理、可行的资金准备和净资本补足机制,控制并有效应对债券承销业务风险。同时,为保证债券业务决策和执行的有效分离, 公司根据监管要求,将固定收益总部交易业务指令的执行移交到证券投资总部交易室,固定收益总部业务人员通过 O32 系统完成指令的下达和审批工作,所有涉及固定收益债券承销、分销及交易业务的系统操作均由交易室交易员及复核员完成,并按照风险管理部组织制定的《固定收益总

本报告书共 29 页第 19 页

部投资业务操作细则》对交易操作进行了梳理,基本实现了交易指令的决策和执行相分离。

⑤融资融券业务控制

公司针对融资融券业务的风险特点,在组织体系、决策授权、制度和流程、风险管理等方面建立健全了内部控制机制。

组织体系和决策授权方面,公司对融资融券业务实行"集中管理、资格准入、隔离运行、全程控制"的集中统一管理模式,并建立起"董事会—公司经营管理层及融资融券业务决策委员会— 融资融券业务执行部门—证券营业部"四级融资融券业务决策和管理框架以及以净资本为核心的融资融券业务规模监控和调整机制,并建立了"证券营业部—融资融券部—风险管理部"三级监控体系,严密防范业务风险。

经历两年多的发展,公司融资融券业务从初期高速扩张向受制于客户基础的波动式增长转变,公司相应的对业务进行了调整。2012 年,公司调整融资融券部相关机构与职能,将融资融券部并入零售客户总部,并将其账户管理的相关职责调整至营运管理总部,使其专注于业务发展和风险控制。在继续发挥营业部在做好客户转化、适当性管理以及业务办理等前端作用的基础上, 加强对营业部督导并不断提升总部对客户的影响力和话语权,在严格执行业务制度和规范操作流程保证下,根据行情特点动态调整融资保证金比例、标的证券折算率及授信额计算方法。公司还充分发挥在融资融券业务方面的技术优势和管理优势,研究开发了行业内首款融资融券策略产品 "对对赢",以其低风险、稳定收益的特点受到众多投资者青睐。公司还注重对员工融资融券业务知识和技能培训,持续开展了融资融券业务培训班和营业部融资融券专员资格测试。

2012 年,公司融资融券业务做到了应客户需求放款,到期保量收回,并且未发生一笔客户因维持担保比例过低而平仓,保证了公司资产的安全。

⑥中间介绍业务控制

2012 年,期货行业呈现良好发展势头,新品种陆续上市,新业务不断开闸。为了保障中间介绍业务(即期货 IB 业务)的健康发展,公司进一步完善、健全了中间介绍业务的内部控制体系。

注重客户群体培育和投资者教育,加大了对重点营业部、重点地区的走访辅导力度,协助营业部对重点品种客户进行开发和服务。2012 年联合中国金融期货交易所累计举办 13 场大型投资者教育活动,长江期货 IB 业务专员对公司各营业部进行了 600 多次的走访,进行座谈和培训 300 多次,有力支持了公司营业部 IB 业务的健康发展。

在交易管理业务活动中强化客户开销户资料的真实性、有效性和准确性,以及业务办理流程

本报告书共 29 页第 20 页

的合规性。重点加强新法律法规与业务规则、信息公示、从业人员资格管理与报备等方面的工作, 确保公司期货 IB 业务合规经营。

开展公司相关部门和营业部期货 IB 业务现场合规检查,并组织员工参加合规培训,指导营业部落实监管部门及公司内部的管理要求,强化合规意识,提高各部门、各营业部期货 IB 业务的风险管理水平。

⑦证券投资咨询业务控制

公司通过颁布实施《研究报告发布管理办法》、《证券投资咨询业务管理办法》和《证券分析师管理办法》等规章制度,对公司的证券投资咨询业务进行管控。公司研究部负责研究报告发布及证券分析师投资咨询业务集中统一管理,从防范合规风险、操作风险等风险的目的出发,建立健全了以研究报告撰写与发布、面向公众的投资咨询服务、定制服务、分析师执业资格管理、维权机制等五大类事务为主的业务规范流程。

2012 年,公司采取多项措施,从以下方面来进一步提升研究报告质量。研究制定调研管理细则,包括调研过程管理、调研纪要的撰写和保存等内容,补充相应工作流程;研究制定工作底稿管理细则;研究制定质量审核工作细则,就审核范围、审核标准和审核意见进行规范,对信息来源、分析模型和估值结论等重要内容形成有效的审核方法。同时,研究建立与媒体合作的管控机制,妥善收集和保存参与媒体的咨询内容。公司还按计划完成了研究部的风控合规专员机制建设,合规专员已开始按月向法律事务与合规管理部报告工作情况。

⑧创新业务控制

公司坚持合法合规、审慎经营、制度规范先行的业务创新原则,从政策法规、业务运作、经济效益、业务风险等方面对拟开展的创新业务进行系统论证,合理保证创新业务风险可测、可控、可承受。

2012 年,公司创新业务主要包括约定购回业务、转融通以及持续开展的股份报价转让系统等业务。2012 年 7 月,在上交所组织的约定购回业务专家评审中获得高度认可,9 月获得了证监会批复的《关于长江证券开展约定购回式证券交易业务试点的无异议函》,9 月 26 日公司约定购回业务正式推出,自业务开展以来,业务余额稳居行业前十;2012 年 11 月 8 日,公司收到中国证券金融股份有限公司《关于申请参与转融通业务的复函》和《关于参与转融资业务试点的通知》, 批准公司的转融通业务试点资格,并确定公司参与转融通业务授信额度为 35 亿元整,保证金比例档次为 20%,为同行业最优,2012 年 11 月 12 日公司向证金公司申请了转融资首单交易;公司

本报告书共 29 页第 21 页

的股份报价转让系统业务经过两年发展,已建立了包括项目立项、内核、业务管理等较完善的管理制度和健全的风险评估和控制体系。

公司注重防范创新业务风险,内控职能部门全程参与创新业务的研发、操作过程。法律事务与合规管理部参与创新业务的方案认证、文件起草和合规审查等工作,保障方案合法可行,从源头防范风险;风险管理部全程参与创新业务的风险管理工作,建立相关新业务的风险管理制度、流程、监控指标和监控系统,制作相关风险监控报表并在监控系统中实现,提升创新业务风险管理能力;稽核监察部适时对创新业务进行全面审计,及时发现内控缺陷、提出审计建议并督促整改落实。

(2)子公司控制

公司致力于打造一流的证券类控股集团企业,按照业务线分别设立了长江证券承销保荐有限公司、长江期货有限公司、长江成长资本投资有限公司等三家全资子公司;为拓展国际业务,公司设立了一家境外全资子公司,即长江证券控股(香港)有限公司;公司还持有长信基金管理有限责任公司 49%股权、诺德基金管理有限公司 30%股权。公司对子公司的管理遵循"合法合规、战略协同、控制风险"的基本原则。

各子公司建立了较为完善的法人治理结构和内部控制体系,建立健全科学合理的决策机制和激励约束机制,保证公司法人治理结构的正常运作。公司通过发挥股东大会、董事会和监事会的职能来达到对子公司有效管理的目的,向子公司委派董事、监事和经营管理人员来增加对子公司的控制能力。

公司将子公司的风险管理活动纳入公司风险管理的整体框架,保持风险管理政策和方法的统一;依据战略协同原则制定业务合作机制并建立业务隔离制度,防范合规风险;建立子公司重大事项报告机制,并加强对子公司资金运作、投资决策等重大事项监控。

2012 年,公司继续加强对全资子公司的监督和稽查,在上年对长江资本进行内部审计后,又先后对长江期货、长江承销保荐以及香港子公司进行了内部审计。

(3)其他业务控制

①与公司治理、财务报告相关的其他控制

关联交易:公司已依据国家有关法律法规和深交所《股票上市规则》,在公司《章程》、《关联交易管理制度》、《独立董事制度》等规章制度中对关联交易作出了严格规定,确立了"诚实信用、平等、自愿、公平、公开、公允"的关联交易原则,对关联交易的回避表决、决策权限、决

策程序、信息披露等内容进行了明确规范,确保公司及全体股东合法利益不被侵害。

对外担保:公司严格依据国家法律法规、公司《章程》以及《对外担保管理制度》规定加强对外担保的控制和管理。公司对外担保遵循"合法、审慎、互利、安全"的原则,严格控制担任风险。公司对外担保实行统一管理,非经公司董事会或股东大会批准,任何人无权以公司名义签署对外担保合同、协议或其他类似的法律文件。公司独立董事在年度报告中,对公司累计和当期对外担保情况做出专项说明,并发表独立意见。

募集资金使用:公司依据相关法律法规制定了《募集资金使用管理制度》,规定了严格、规范的募集资金使用和管理流程,最大限度地保障投资者权益。公司按信息披露的募集资金投向和股东大会、董事会决议及审批程序使用募集资金,并按要求披露募集资金的使用情况和使用效果。公司授权的保荐代表人在持续督导期间,对公司募集资金管理事项履行保荐职责,并按有关规定进行公司募集资金管理的持续督导工作。公司稽核监察部按季度对募集资金存放和使用情况进行检查并向董事会汇报,公司聘请会计师事务所进行年度专题审计,并予以披露。

重大投资:公司按照全面预算管理要求对子公司投资、营业网点建设、固定资产投资等重大投资进行规范和管理,以"审慎、严格"的原则对重大投资进行管理,严格控制投资风险、注重投资效益。公司《章程》明确了股东大会、董事会和经营管理层在重大投资决策方面的审批权限与程序,使相关投资符合公司的发展战略和经营目标,确保公司重大投资的合法性、科学性和效益性。

②与金融机构义务相关的其他控制

反洗钱:公司建立了完善的反洗钱组织体系,设立反洗钱工作领导小组负责公司反洗钱工作的组织和部署,日常工作由法律事务与合规管理部承担,统筹组织各部门、分支机构开展反洗钱工作。公司建立了《反洗钱管理办法》及相关配套工作指引和业务规范在内的一整套完善的反洗钱制度体系,制度具备可操作性。公司建立反洗钱内控平台并将其纳入实时监控系统,优化了对证券资金和交易活动的监控、对可疑交易预警信息的甄别以及大额交易和可疑交易报告的报送, 有力保障监管要求得到严格、认真、具体落实。公司还认真落实反洗钱培训与宣传工作,组织编写了反洗钱培训宣传材料。公司反洗钱工作得到人民银行的认可,并获得"全国反洗钱工作先进集体"的荣誉称号。

客户适当性:为建立并完善以了解客户和分类管理为核心的客户管理和服务制度,保护投资者合法权益,公司颁布实施了《投资者适当性管理办法》。公司通过改进客户初次风险测评业务办理模式,有机整合多类业务并实现网上测评,一次操作即可了解客户身份、财产与收入状况、

本报告书共 29 页第 23 页

证券投资经验、风险偏好、投资目标等信息,并实现有针对性的进行风险揭示、客户培训及投资者教育工作。公司通过持续收集整理客户信息、动态监控客户交易行为,对客户进行合理的分级分类并保持动态的评估,及时调整客户类别以及相应的客户服务策略。公司还推行财富管理中心试点,在提升高净值客户服务、优化高级营销服务人员的管理等方面进行积极、有效探索,积累经验。

投资者教育:公司积极贯彻落实监管机构有关投资者教育的各项要求,把投资者教育工作作为公司一项重要任务来抓,采取一系列有效措施构筑了全方位、多层次的投资者教育体系。公司的投资教育活动精彩纷呈,获得客户及交易所认可,2012 年 3 月,公司在上交所举办的"3.15 投资者教育优秀案例"评选活动中荣获优秀组织奖;5 月,公司在引导理性投资培训活动中以优秀的组织工作荣获上交所授予的"蓝筹市场创新业务宣传优秀会员单位"称号,公司十家营业部获得"蓝筹市场创新业务宣传先进营业部"称号。

客户投诉:公司已建立健全客户投诉、纠纷处理机制。制定颁布实施《客户投诉管理办法》、《投诉处理细则》和《客户投诉处理考核细则》等规章制度,明确客户投诉受理、处理基本规范和处理流程,并建立责任追究机制,从制度上保障了客户投诉处理工作顺利开展;在公司网站、分支机构营业场所公示客户投诉电话、邮箱,告知客户投诉途径,并让各级投诉受理机构利用搭建的全国统一客户服务平台 SOME ,履行客户投拆受理、协调处理的职责;加强客户投诉事项总结分析,定期向公司经营管理层提交客户投诉分析报告,通过对投诉原因的归类,依据部门职责确定对应处理责任部门,督促客户投诉得到及时解决,并对典型案例进行剖析,提出提高管理和客户服务水平的建议。

(四)信息与沟通

1、信息收集与沟通

(1)内外部信息收集与传递

公司建立健全了信息收集与处理平台,持续不断地识别、收集、整理与归纳来自内部与外部、经营与管理等方面的各种信息;重视对信息审核与发布的规范,针对不同的信息来源和信息类型, 明确各种信息的收集人员、收集方式、传递程序、报告途径和加工与处理程序,确保经营管理相关信息资源得到及时、准确、完整、可靠收集与传递。

(2)内外部信息沟通

公司依托 OA 办公系统,建立了横向和纵向相互通畅、贯穿整个公司的信息沟通渠道,形成

本报告书共 29 页第 24 页

了管理信息、业务信息以及财务信息三大信息板块,并依据信息收集期间形成了月报、季报、年报以及专题分析报告等四个层次的信息报告体系,确保公司目标、风险策略、风险现状、控制措施、员工职责、经营状况、市场变化以及监管动态等各种信息在公司内部得到有效传递。同时, 公司建立了适当的渠道,与公司相关方如供应商、客户、股东、监管机构、外部审计等,就相关信息进行必要的外部沟通。

公司建立了重大事项报告机制,明确了重大事项报告责任和报告途径,还制定了《突发事件应急处理办法》等制度和办法,形成重大信息传递机制和应急预案。

(3)信息保密

公司颁布实施了《内幕信息及知情人登记管理制度》,规范内幕信息登记和信用管理,加强内幕信息的保密工作,维护信息披露的公平原则。公司颁布实施《保密工作管理办法》,明确保密工作主管部门与职责、划分信息密级、确定秘密知悉范围、制定保密措施和罚则。为维护信息披露的公开、公平、公正原则,公司颁布实施了《非公开信息管理工作细则》,通过明确非公开信息定义、非公开信息处理规范以及对违规行为的处罚程序,并签署《非公开信息保密承诺函》, 旨在加强对非公开信息的保密工作。公司还将与中介机构的合作纳入信息保密工作范畴。

(4)反舞弊机制

公司坚持"惩防并举、重在预防"的原则建立健全了反舞弊机制。董事会及其审计委员会对公司反舞弊工作进行监督,并指定稽核监察部负责开展反舞弊受理与调查工作,在需要时报经批准还可联合公司法律事务与合规管理部等部门组成联合小组进行调查。公司颁布实施了《员工违规行为处分暂行办法》,并开设了违规举报信箱,建立了信访举报处理机制,由稽核监察部负责受理在各个方面的违规和舞弊行为的举报,并进行相应的调查和处理。公司反舞弊工作重点关注以下内容:在财务报告和信息披露方面弄虚作假;未经授权、滥用职权或者采取其他不法方式侵占、挪用公司资产;在开展业务活动中非法使用公司资产牟取不当利益;员工单独或者串通舞弊给公司造成损失等。

2、信息披露

为保证信息披露的真实、准确、完整、及时、公允,保护公司股东利益,确保公司规范运作, 公司制定了《信息披露事务管理制度》,明确重大事项的判定标准和报告程序,确定披露事项的收集、汇总和披露程序,依照《公司法》、证监会、深交所的相关规定及《公司章程》的规定,

本报告书共 29 页第 25 页

及时、公允地向投资者和社会公众公开披露相关信息,符合资本市场监管要求。公司还颁布实施《投资者关系管理制度》,以加强公司与投资者及潜在投资者之间的信息沟通,促进公司与投资者之间建立长期、稳定的良性关系。

2012 年,公司信息披露工作继续保持零差错,并且在深交所对上市公司跨年度(2011 年 5 月 1 日至 2012 年 4 月 30 日)信息披露考核中再次获得"A"(即优秀)的成绩,是湖北省在深市主板上市企业中唯一获此殊荣的公司。

2011 年底,公司被纳入深交所第一批信息披露直通车试点范围,2012 年是公司在此监管环境下完成信息披露的第一个完整年度,也是公司创新业务发展迅速和资本运作频繁的一年,公司通过优化工作流程、持续学习监管规则和创新业务知识,快速掌握针对创新业务和上市公司资本运作等方面的信息披露新规则。

(五)内部监督

1、监督机构及职责

公司始终贯彻"岗位自控、部门互控、公司监控"的风险控制主导思想,进一步建立健全了董事会审计委员会、监事会、内控职能部门等组成的全方位、多层次内部监督体系。董事会审计委员会协助董事会独立地审查公司财务状况,监督内部控制的有效实施和内部控制自我评价情况, 并对公司内部稽核审计工作结果进行审查和监督。监事会负责对公司董事、监事、经营管理层以及公司经营管理情况、财务状况以及建立和实施内部控制进行监督,向股东大会负责并报告工作。公司法律事务与合规管理部、风险管理部和稽核监察部等内控职能部门分工协作,对各项业务分别履行事前、事中和事后监督,并对其内部控制执行情况进行定期和不定期的监督检查。稽核监察部负责组织实施监督评价,根据监管要求和公司管理需要,对公司各业务线实行定期或不定期的稽核检查,负责跟踪检查监督评价中发现缺陷的整改落实情况,并就检查监督情况定期向董事会及其下属审计委员会汇报。

公司经营管理层高度重视董事会、监事会、内控职能部门的意见和建议,并建立了针对建议的协调、督促、落实机制,对于发现的问题及时采取有效措施予以纠正,最大限度避免业务差错的发生,提高业务规范化程度,提升公司内部控制管理水平。

2、监督程序和方法

公司制定《内部控制制度》、《内部控制管理评价办法》、《内部审计制度》、《合规管理制度》等以风险管理为导向的内部控制体系制度规范,明确内部控制监督评价检查的组织架构、

本报告书共 29 页第 26 页

职责权限、内容、程序方法、沟通方式、问题的整改与跟进、报告样本等,并在业务流程中明确风险管理岗位,预防和发现内部控制缺陷,并就内部控制缺陷明确责任单位和整改方案。

公司内部监督的方法分日常监督和专项监督。公司各部门、分支机构在日常经营管理过程中, 由经营管理层、各部门按照公司内控制度要求履行常规、持续监督,包括:内控体系运行与维护管理、获得内部控制执行的证据、外部反映对内部信息的印证、会计记录与实物资产的定期核对、内外部审计建议的响应、经营管理层及有关部门获知内部控制的程度、定期询问员工、内部审计活动的有效性等。当公司发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,公司内控职能部门将对内部控制的某个或某些方面进行有针对性的检查评价。

公司还借助外聘会计师事务所对公司进行内部控制审计,客观、独立地评价公司内部控制及其执行情况,并通过沟通、交流来提升内部监督人员的专业能力。

四、内部控制缺陷认定与改进计划

公司根据基本规范及配套指引对重大缺陷、重要缺陷和一般缺陷的认定要求,结合行业特征、公司发展水平、风险控制能力等因素,采取定性和定量结合的方式,研究制定了适用于公司的内部控制缺陷认定标准。按其影响程度分为重大缺陷、重要缺陷和一般缺陷:按其与财务报告相关性,分为财务报告内部控制缺陷认定标准和非财务报告内部控制缺陷认定标准。

(一)财务报告内部控制缺陷认定标准

财务报告内部控制缺陷是指不能及时防止或发现并纠正财务报告错报的内部控制缺陷。公司从定量管理和定性管理的角度出发,分别制定了定量标准和定性标准。

项目	重大缺陷	重要缺陷	一般缺陷
1、净利润	错报≥	净利润的1%≤	错报<
潜在错报	净利润的3%	错报<净利润的3%	净利润的1%
2、净资产	错报≥	净资产的1‰≤	错报<
潜在错报	净资产的3‰	错报<净资产的3‰	净资产的1‰

1、定量标准:公司围绕净利润和净资产潜在错报,运用数学、统计学、会计学等科学方法对经营管理和内部控制做量化分析,在此基础上制定缺陷认定标准。

2、定性标准:重大缺陷是指具备合理可能性导致不能及时防止或发现并纠正财务报告中的重大错报的一项内部控制缺陷或多个控制缺陷的组合;重要缺陷是指财务报告内部控制中存在的、错报严重程度不及重大缺陷但仍可能导致公司偏离控制目标的缺陷;一般缺陷是指财务报告

本报告书共 29 页第 27 页

控制中存在的、除重大缺陷和重要缺陷之外的其他缺陷。

(二)非财务报告内部控制缺陷认定标准

非财务报告内部控制缺陷是指虽不直接影响财务报告的真实性和完整性,但对公司控制目标的实现存在不利影响的其他控制缺陷。公司根据缺陷潜在负面影响的性质、范围等因素,围绕保障经营合规、运维正常和信息披露零差错等三个方面来确定非财务报告内部控制缺陷认定标准。

重大缺陷包括:公司被证监会及其派出机构采取撤销部分业务许可行政处罚措施或被采取刑事处罚措施;重要信息技术系统在交易时间内发生重大故障,发生大部分客户数据泄露、损毁或者错误等影响系统数据完整性和安全性的异常情况,对公司业务当日或者后续交易日运营造成重大影响,公司业务大规模停滞;公司披露的信息出现错误,可能导致使用者做出重大的错误决策或截然相反的决策,造成不可挽回的决策损失。重要缺陷包括:公司被证监会及其派出机构采取暂停业务许可、没收非法所得等重大行政处罚措施;发生部分客户数据泄露、损毁或者错误等影响系统数据完整性和安全性的异常情况,重要信息技术系统在交易时间内系统性能明显下降,对公司业务运营造成一定影响,公司业务操作效率大幅下降;公司披露的信息出现错误,可能影响使用者对于事物性质的判断,在一定程度上可能导致错误的决策。一般缺陷是指除重大缺陷、重要缺陷之外的其他缺陷。

依据上述标准、并落实评价指引的相关要求,围绕内部控制设计健全性、执行符合性以及管理有效性等方面对公司 2012 年度内部控制开展了自我评价,未发现公司存在内部控制设计或执行方面的重大缺陷和重要缺陷。

公司充分认识到,任何内部控制均有其固有局限,仅能对内控目标的达成提供合理保证,且内部控制的有效性也将随着市场环境和监管政策的改变而改变,鉴于此,公司将不断分析和评估内部控制,严格按照法律法规、公司经营管理以及内部控制工作的需要,进行持续的改进和完善。

(一)进一步健全内部控制制度体系

随着中国证券业创新大会的召开及"创新十一条"措施的推出和落实,中国证券行业进入创新驱动的全新时代。公司顺应变革,锐意创新,各类创新业务及创新金融产品陆续推出,公司的内部控制需要不断得到改进和完善,结合业务开展情况,对创新业务及其管理进行风险再识别,对内部控制制度的有效性及执行的实际效果进行再评估,不断完善内部控制制度体系。

(二)加强人才培养与储备,满足业务发展需要

新的竞争格局下,证券公司管理能力和专业素养的重要性日益凸显,管理干部和员工业务技能是关键因素。公司将整合内外部培训资源,推动和深化管理干部培训,围绕公司业务发展重点, 更新核心业务能力序列,提升关键岗位业务能力,并开展多层次、体系化的后备人才培养,为公

本报告书共 29 页第 28 页

司业务发展提供持续人才支持。

(三)持续开展内部控制信息化建设

内部控制信息化建设是提高公司管理效率、增强风险管理能力和提升内部控制水平的重要手段之一。2013 年,公司将启动审计平台第二期系统建设,优化、完善系统功能;加强风险管理数据积累,逐步完善集中的数据中心;研究并整合目前分散在不同部门和不同系统中的监控措施, 并对部分监控措施进行完善。

(四)建立健全对全资子公司的风险管理机制

为保证整个集团公司的风险理念、风险偏好的一致性,保证整个集团公司的风险可测、可控, 公司将根据全资子公司管理相关要求,结合子公司内部审计情况,督促子公司建立健全风险管理制度、流程和风控队伍,为子公司重大业务活动提供风险管理意见,检查子公司风险管理执行情况。

五、内部控制总体评价

公司根据基本规范及其配套指引等法律法规的要求,对公司 2012 年度的内部控制设计健全性与运行有效性进行了自我评价。报告期内,公司对纳入评价范围的业务与事项均已建立健全了内部控制,并得到有效执行,达到了公司内部控制的目标,未发现公司存在内部控制设计或执行方面的重大缺陷。公司董事会认为,自 2012 年 1 月 1 日起至 2012 年 12 月 31 日止,公司内部控制制度健全、执行有效。

自内部控制评价报告基准日至内部控制评价报告公告日之间公司未发生对评价结论产生实质性影响的内部控制的重大变化。