Huatai Securities Co., Ltd — Audit Report / Information 2011

Apr 21, 2012

华泰证券股份有限公司

董事会关于公司2011年度内部控制的自我评价报告

董事会全体成员保证本报告内容真实、准确和完整,没有虚假记 载、误导性陈述或者重大遗漏。

华泰证券股份有限公司全体股东:

华泰证券股份有限公司董事会(以下简称"董事会")对建立和 维护充分的财务报告相关内部控制制度负责。

财务报告相关内部控制的目标是保证财务报告信息真实完整和 可靠、防范重大错报风险。由于内部控制存在固有局限性,因此仅能 对上述目标提供合理保证。

董事会已按照《企业内部控制基本规范》要求对财务报告相关内 部控制进行了评价,并认为其在 2011 年 12 月 31 日有效。

我公司在内部控制自我评价过程中未发现与非财务报告相关的 内部控制缺陷。

我公司聘请的天健正信会计师事务所有限公司已对公司财务报 告相关内部控制有效性进行了鉴证,出具了《内部控制鉴证报告》(天 健正信审(2012)专字第 150045 号)。

华泰证券股份有限公司

董事长:吴万善

二○一二年四月十九日

附件:华泰证券董事会关于公司2011年度内部控制的自我评价报告

华泰证券董事会关于公司 2011 年度 内部控制的自我评价报告

公司一贯秉持"高效、诚信、稳健、创新"的核心价值观和"做 最具责任感的理财专家"的品牌精神,始终高度重视内部控制体系建 设。报告期内,根据《公司法》、《证券公司监督管理条例》、《企业内 部控制基本规范》、《证券公司内部控制指引》及《上海证券交易所上 市公司内部控制指引》的有关要求,公司不断完善内部控制制度,健 全内部控制体系,进一步强化风险识别、风险评估、风险监控及风险 报告等管理,保障客户和公司资产的安全,保证公司各项业务的可持 续发展。公司在 2011 年证券公司分类监管评级中被评为 A 类 AA 级。

一、内部控制组织体系及制度建设

(1)内部控制组织体系建设

公司历来注重内部控制组织体系建设,依照《证券公司监督管理 条例》、《证券公司内部控制指引》、《证券公司治理准则(试行)》等 法律法规及规章制度的要求,结合自身的业务情况、财务情况和管理 水平,在组织架构、运行机制、制度流程、监督评价等方面建立了符 合监管要求及各项业务发展需要的风险管理及内部控制体系。

公司建立并逐步完善了内部控制组织架构,按照"健全、合理、 制衡、独立"的原则,有效发挥了各层面的职能。

①董事会及其专门委员会。董事会负责公司内部控制、合规管理 基本政策的审批、评估和监督实施,对公司合规管理的有效性承担责 任。董事会下设合规与风险管理委员会、审计委员会等专门委员会,

其中合规与风险管理委员会主要负责对公司的总体合规与风险管理 进行监督,并将之控制在合理的范围内;审计委员会主要负责对公司 经营管理和投资业务进行合规性控制,对公司内部稽核审计工作结果 进行审查和监督。

②公司经营管理层及合规总监。公司总裁对董事会负责,组织实 施董事会决议,主持公司经营管理工作;副总裁协助总裁工作,并根 据分工的业务范围履行相关职责。合规总监是公司的合规负责人,对 公司及其工作人员的经营管理和执业行为的合规性进行审查、监督和 检查,协助经营管理层有效识别和管理风险。

③专职内控部门。合规与风险管理部,在合规总监的领导下全面 负责公司各项业务的合规与风险管理,对风险进行事前、事中、事后 全程管理。稽查部通过现场稽核、非现场稽核、专项稽核、全面稽核 等多种稽核方式对公司各项业务的合规合法性、内部控制的完整性进 行了独立的内部审计,确保事后监督和控制的有效性。

④业务管理职能部门。运营中心、计划财务部、信息技术部等部 门从专业化的角度分别对公司运营、客户资金、财务及信息技术等风 险进行控制。

⑤公司各业务系统/分支机构风险控制组织或风控岗位。公司固 定收益部、证券投资部、金融创新部、资产管理总部等业务部门,均 设立风险控制小组,配置专人专职负责本部门风险管理制度的制定和 落实工作,并对规章制度执行情况进行检查,在部门内部对风险进行 一线监控。公司各分公司及营业部均设立风险控制小组,配置合规风 控人员,负责本单位的合规风控工作,对本单位及其工作人员执行合 规政策和程序的状况进行及时有效的监督、检查、评价和报告。

(2)内部控制制度建设

公司高度重视规章制度体系的建设工作,依据审批机构的不同和 制度效力的不同,对规章制度的制订、修改及废止进行了规定。

公司目前已经初步建立了较为健全的内部控制制度体系,公司 《章程》、《股东大会议事规则》、《董事会议事规则》、《监事会议事规 则》、《独立董事工作制度》、《董事会专门委员会工作细则》、《总裁工 作细则》明确了各机构的职责权限及议事规则,确保了公司的规范运 作;《内部控制纲要》为公司内部控制的纲领性文件,明确了内部控 制的定义、内部控制的若干概念、内部控制的基本要求、内部控制的 主要内容、内部控制的监督检查等内容;《合规管理制度》为公司合 规管理的基本制度,明确了合规管理的目标和基本原则、相关组织及 人员的合规职责,以及合规管理的检查、评估、考核等内容;《稽查、 审计管理办法》为公司稽查审计的基本制度,明确了稽查审计的工作 内容、工作方式和程序、稽查审计人员的职责与权限、本稽查审计单 位的职责和权利以及稽查审计工作纪律;《信息隔离墙管理制度(试 行)》建立了公司的信息隔离机制,实现敏感信息在公司与子公司、 公司内部各部门之间的有效隔离,预防内幕交易的发生,避免公司及 员工与客户之间、客户与客户之间以及公司各业务之间的利益冲突; 《反洗钱内部控制制度(试行)》建立了公司反洗钱体系,规范公司 反洗钱工作,防止违法犯罪分子通过证券交易领域进行洗钱等违法犯 罪活动,维护正常的金融秩序和金融安全。

报告期内,公司在法人治理方面制订或修订完善了《章程》、《薪 酬管理制度》、《董事会秘书工作细则》和《董事会审计委员会年报工 作规程》等规章制度;在业务控制方面制订或修订完善了《固定收益

证券自营业务管理细则》、《固定收益证券投资自营业务流程》、《理财 师日常工作指引(试行)》、《不规范账户管理规定》、《单客户多银行 服务客户管理规范》、《华泰紫金集合理财产品合同集中管理办法》等 规章制度;在合规与风险管理方面制订或修订完善了《合规联系人日 常工作办法》、《风险控制指标管理办法》、《分公司及营业部风险控制 小组管理办法》、《证券研究报告合规审查标准》、《反洗钱保密制度》、

《定期合规报告编制管理办法》、《直接投资业务风险控制办法(试 行)》等规章制度;在信息系统控制方面制订或修订完善了《信息系 统等级保护管理制度》、《网络与信息安全事件应急处置流程》、《非现 场交易营业部信息系统运行管理标准规范》、《信息系统测试管理办法 (试行)》等规章制度;在资金管理方面制订或修订完善了《自有资 金管理制度》、《A 股清算资金交收流程》、《B 股清算资金交收流程》 等规章制度。

二、环境控制

1、法人治理结构

公司自成立以来,严格按照《公司法》、《证券法》、《证券公司监 督管理条例》、《证券公司治理准则》、《上市公司治理准则》等相关法 律法规及《公司章程》的规定,稳健经营、规范运作,按照建立现代 企业制度的目标,健全和完善公司法人治理结构,形成了股东大会、 董事会、监事会和经营层相互分离、相互制衡的公司法人治理结构, 使各层次在各自的职责、权限范围内,各司其职,各负其责,确保了 公司的规范运作。

公司按照上市公司及证券公司的相关治理和监管要求制订并完

善了公司《章程》、《股东大会议事规则》、《董事会议事规则》、《董事 会专门委员会工作细则》、《独立董事工作制度》、《监事会议事规则》、 《总裁工作细则》、《董事会秘书工作细则》、《对外担保决策制度》、 《募集资金管理制度》、《关联交易决策制度》、《投资者关系管理制 度》、《信息披露管理办法》、《年报信息披露重大差错责任追究制度》、 《重大信息内部报告制度》、《内幕信息知情人登记管理及保密制度》 等规章制度。公司相关制度明确了公司股东大会、董事会、监事会和 经营层在公司治理规范运作、重大资产运用、合同签订、关联交易以 及融资等重大经营决策事项方面的分权制衡关系和决策程序,有效防 范和控制了决策风险。报告期内,公司根据相关规定制订了《董事会 审计委员会年报工作规程》,修订了公司《章程》、《薪酬管理制度》、 《董事会秘书工作细则》和《内幕信息知情人登记管理及保密制度》, 并得到股东大会或董事会的批准。这些制度充分体现并符合相关法 律、法规和部门规章的要求,从而确保公司能稳健经营、规范运作。

报告期内,公司严格按照规定召集、召开股东大会,股东大会的 通知方式、召开方式、表决程序和决议内容符合《公司法》和《公司 章程》的规定。公司上市后的股东大会聘请了律师事务所律师进行现 场见证并出具专项的股东大会法律意见书,该等法律意见书与股东大 会会议决议一起进行了信息披露。同时,公司严格履行信息披露义务, 保障全体股东的知情权,确保股东大会运作的规范与透明。

公司董事会下设发展战略委员会、薪酬与考核委员会、提名委员 会、审计委员会、合规与风险管理委员会等五个专业委员会,其中审 计委员会、薪酬与考核委员会和提名委员会等三个专业委员会主任委 员由独立董事担任,以便于更好地发挥独立董事的作用。董事人数和

人员构成符合法律、法规的要求,董事会会议能够按照《公司章程》 的规定,按照法定程序进行召集、召开,会议决议合法有效。公司建 立了董事会秘书制度,董事会秘书负责公司股东大会、董事会、董事 会专门委员会会议的筹备、会议记录和会议文件的保管、信息披露及 投资者关系管理等事务,并负责根据法律法规或者中国证监会、股东 等有关单位或者个人的要求,依法提供有关资料,办理信息报送或者 信息披露事务等事宜。

报告期内,监事会按照法律、法规及《公司章程》规定履行自己 的职责,对公司财务、公司董事会和公司高级管理人员履行职责的合 法合规性进行监督,维护公司及股东的合法权益。监事会会议能够按 照《公司章程》的规定,按照法定程序召集、召开,会议决议合法有 效。公司监事会向股东大会负责,本着对全体股东负责的精神,对公 司定期财务报告、关联交易等事项及公司董事会、管理层和其他高级 管理人员履行职责的合法合规性进行有效的跟踪监督,公司内控部门 定期或不定期就公司内控情况向监事会报告。

报告期内,公司高级管理层的产生程序符合《公司法》和《公司 章程》有关规定,公司总裁由董事会聘任,对董事会负责,主持公司 的经营管理工作,组织实施董事会决议。公司制定了《总裁工作细则》, 并修订完善了《董事会秘书工作细则》等规章制度,公司高级管理层 能够依照法律、法规和董事会的授权,依法合规经营,勤勉工作,努 力实现股东利益和社会效益的最大化,没有出现违规买卖本公司股票 行为。公司的经营管理实行总裁负责制,公司总裁对董事会负责,副 总裁及其他高级管理人员对总裁负责,副总裁及其他高级管理人员根 据总裁授权协助总裁工作。

报告期内,公司严格规范与股东、实际控制人、关联方关系,确 保公司经营独立性。针对公司股权较为分散、股东众多的特点,公司 强调规范与股东之间的关系,坚决防止股东虚假出资、抽逃出资或占 用公司资金的行为。在公司《章程》、《对外担保决策制度》、《募集资 金管理制度》、《关联交易决策制度》等规章制度中,对公司对外融资、 担保及关联交易等行为有明确的规范,严格控制公司与股东、实际控 制人及关联方公司关系及商业往来,坚决杜绝为股东或者股东的关联 人提供融资或者担保的情况,确保公司在业务经营、资产、财务、人 员、机构等方面的独立性。

报告期内,根据中国证监会《关于开展加强上市公司治理专项活 动有关事项的通知》(证监公司字[2007]28 号)等文件要求和江苏证 监局、上海证券交易所的要求,针对自查发现以及监管部门现场检查 提出的问题,公司积极采取有效措施进行整改,形成了《关于公司治 理专项活动的整改报告》,并逐步落实,不断促进公司法人治理结构 科学、规范、有效。

2、合规管理组织架构

公司已建立了董事会及董事会下设的合规与风险管理委员会、合 规总监、合规与风险管理部、各部门及各分支机构合规风控人员等多 个层级的合规管理组织架构体系。报告期内,公司根据市场环境、监 管要求的变化及业务发展需要,不断调整、完善以合规总监为核心的 合规管理组织架构体系,强化合规人员职责,不断提高合规管理有效 性。

报告期内,公司指导分公司、华泰联合证券被收购营业部和新设 营业部根据相关制度规定建立风险控制小组,强化分支机构风控组织

建设,建立了公司总部与分公司之间、分公司与辖区营业部之间、营 业部与营业部之间的合规风控工作传导机制。同时,固化分公司及营 业部风控人员调岗审批流程,强化对风控人员任职资格的审核,并通 过制订绩效目标、建立例会制度、开展交互检查、举办专项培训等多 种途径,不断提升分公司及营业部合规风控人员业务能力,督促其充 分履行合规管理职责。

3、信息隔离墙

报告期内,公司在总结 2010 年信息隔离墙制度运作实践的基础 上,根据《证券公司信息隔离墙制度指引》(以下简称"指引")制订 了 2011 年落实信息隔离墙制度的具体方案,将细化完善并严格落实 信息隔离墙制度、进一步强化信息隔离基础措施、加大信息隔离墙制 度培训力度、完善信息隔离墙监控系统、开展信息隔离墙制度执行情 况检查和评估作为信息隔离墙机制建设的工作重点,并不断提高制度 的可操作性,切实防范公司与客户、客户与客户之间的利益冲突和内 幕交易。

4、授权控制

报告期内,依照"分级授权、分级管理、分级决策、分级负责" 的授权原则,建立健全内部授权管理体系。公司股东大会授权董事会, 董事会(董事长)授权总裁,总裁授权副总裁、部门经理,部门经理 授权部门成员,上述授权均符合相关法律法规和内部制度。

公司的授权主要通过部门(或岗位)职责、规章制度及管理措施、 直接授权等三种方式实现:一是公司根据经营管理的需要,设置了相 应的业务部门和管理部门,实现对不同部门或岗位职责的授权。二是 公司建立包括经纪业务管理制度、投资银行业务管理制度、自营业务

管理制度等组成的制度体系,实现在业务开展过程中,对各岗位操作 权限的授权。三是公司通过直接授权的方式,实现对特定业务的授权。

5、合规经营及合规文化

报告期内,公司牢固树立"合规经营、全员合规、合规创造价值、 合规从高层做起"的理念,将合规文化建设作为一项重点工作来抓, 着力提升员工自律管理意识,组织开展了全方位、多层次、有重点的 合规风控培训,内容涵盖合规与风险管理的各个方面。报告期内,公 司未发生重大违法违规事项,各部门、各分支机构在日常经营管理活 动中和业务开展过程中均能够严格贯彻落实相关法律法规和公司合 规管理制度及相关配套制度。

6、员工素质控制

公司重视人力资源工作,报告期内,公司不断提升员工素质,进 一步建立完善了人力资源的聘用、轮岗、培训、离任审计制度和绩效 考核制度,并得到有效实施。公司已经建立了较为完善的培训体系, 对新员工开展入职培训,积极派遣高管人员和业务骨干参加监管部 门、行业协会等举办的外部培训,并利用网络学院和内部讲师开展内 部培训,不断提高员工专业能力和素质。报告期内,公司进一步强化 从业人员职业操守,重申严格遵守证券从业人员执业行为准则、禁止 买卖股票相关规定,采取有效措施规范员工执业行为,努力形成合规 执业的良好氛围。

三、风险评估

公司根据设定的控制目标,持续地收集相关信息,结合实际情况, 及时进行风险评估,仔细分析公司面临的合规风险、市场风险、信用

风险、操作风险、法律风险等,为公司进行风险决策提供重要的决策 支持,为政策及应对措施制订提供良好的基础。

公司风险评估可分为公司内部风险评估和外部风险评估两类。

公司内部风险评估包括以下层次:一是分支机构、业务部门的自 我评价。公司营业部根据公司制定的《营业部风险控制小组管理办 法》,定期进行自我风险评估。自营部门、资产管理部门每月对投资 组合进行风险评估。二是公司合规与风险管理部对营业部、业务部门 的风险评估。合规与风险管理部每月分析汇总营业部风控小组报送的 风控情况报告,不定期地会同经纪业务主管部门对营业部进行风险评 估,每季对营业部实行风险管理考核打分;引入各项风险评估指标每 月对自营业务、资产管理业务的投资组合进行风险绩效评估,向管理 层提交风险评估报告。三是稽查部采用现场稽核、非现场稽核、全面 稽核、专项稽核等多种方式对公司各业务部门、管理部门履职情况进 行内部审计,对各项业务的风险管理情况进行评估。报告期内,稽查 部根据公司合规管理制度规定对公司合规管理的有效性进行了评估, 及时发现和督促解决合规管理中存在的问题。

外部评估。公司每年聘请会计师事务所对公司内部控制情况进行 鉴证评价。同时,根据公司合规管理制度规定,在必要时,公司也可 委托外部专业机构对公司合规管理的有效性进行评估。外部专业机构 作为独立第三方,将会更加客观、全面、系统地分析公司内控体系的 有效性。

四、控制活动

(一)业务控制

公司高度重视对各个业务的风险控制,从组织体系、制度流程、 技术固化等方面不断加强风险控制工作。目前,公司经纪业务、投行 业务、资产管理业务及自营业务等均建立了较为完善的规章制度和操 作规范,并有效实施。

1、经纪业务

公司严格按照法律法规及监管要求,深化经纪业务管理转型,夯 实过程化管理基础,从制度流程标准化及业务操作规范化等方面持续 进行合规管理,确保经纪业务各环节合规运行。报告期内,公司制定 并完善了《常态化管理工作方案》、《营业部日常管理工作要点》等 经纪业务相关规章制度,组织经纪业务分支机构开展了加强经纪人入 职管理、营业部安全管理、期货账户规范、反洗钱集中宣传活动、开 户代理业务自查、江苏辖区营业部证券经纪人制度落实情况检查等专 项活动。

报告期内,公司建立了经纪业务常态化跟踪管理的全面绩效评估 体系,完善和修订了营业部日常管理要点,突出、强化了考核管理体 系,改造、升级常态化管理系统,对常态化考核要点从营业部前、中、 后台三个方面的岗位规范化职责角度进行考核,实现以岗定责,确保 各项合规管理要求实现到岗到人。同时进一步细化了营业部、分公司、 公司总部三级管理层级的主要职能、工作流程;突出了各营业部"前 中后台"各总监管理职责、管理责任;明确要求各分公司建立常态化 的检查督导机制,指定具体岗位负责具体实施工作,定期通过现场检 查和非现场检查方式考核、评估,并按季度报送常态化管理执行情况 报告。

在具体管理方式方面,公司不断探索优化管理方式,将营业部常 态化管理考核、合规风控考核纳入对营业部经营管理水平的全面评 估,切实推动经纪业务实现向"过程与结果并重"管理模式的转变, 更加有效实现对营业网点的常态化工作管理和业绩督导管理,强化合 规管理工作,深入业务环节,强化风险的事前事中控制,有效防止风 险事项发生。

报告期内,公司完成了 2010 年 9 月至 2011 年 5 月的合规自查整 改工作,落实中国证监会 11 号文件和公司的"十大经纪业务经营禁 令"的相关要求以现场检查及系统全面排查筛选的方式对合规自查整 改工作成效进行全方面梳理,并将自查整改结果报证券监管机构。

报告期内,公司平稳有序推进与华泰联合证券经纪业务整合工 作,初步实现业务稳定、人员稳定、客户稳定的既定目标。通过自查、 检查相结合方式,确保在整合期间合规风控工作落实到位、常抓不懈。 制订并进一步细化了整合相关工作的应急预案,模拟多个场景进行从 总部到营业部的全面应急演练,做到了有效组织、快速响应,提高突 发事件应急报告的有效性、及时性,强化了各种突发事件的应急处置 能力。整合工作启动以来,经纪业务系统运行正常、客户交易正常、 银证转账正常,未发生应急处置风险事项,为后一阶段整合向纵深方 向推进奠定基础。

2、投资银行业务

2011 年,公司遵照证监会行政许可要求,继续进行业务整合, 投资银行业务由公司子公司--华泰联合证券有限责任公司(以下简称 华泰联合证券)具体经营。公司结合母、子公司投资银行业务管理特 点及监管要求,对现行投行制度进行了全面梳理及修订。

投资银行部门坚持"项目质量为核心"的项目筛选原则,实行 "项 目组、保荐代表人、审核部与市场部、专业内核评审机构"的多层次 风险控制体系。为加强项目的信息管理,开发了 OA 投行项目信息管 理系统,对项目的基本信息、立项、项目进度、内核、证监会审核、 发行、持续督导等工作过程资料予以留痕;该系统的启用有效地保证 了投行项目重要环节更为规范及过程留痕。

报告期内,华泰联合证券按照监管要求开展投行专项治理活动, 从投行项目、制度流程、从业人员行为管理三方面进行深入检查,认 真查找、整改投行业务内部控制中的不足。通过该活动,投行业务人 员的执业规范及自律意识得到明显提升,投行业务制度及流程更为合 理、有效。

3、自营业务

报告期内,公司按期筹备证券投资决策委员会季度例会,提交证 券投资业务的规模以及各类资产配置的规划,并按照证券投资决策委 员会批准的投资额度上限进行投资操作。投资决策小组、合规与风险 控制小组每月召开一次会议,讨论投资规模的额度使用、投资策略等, 会后讨论要点进行会议记录。

公司股票自营业务实行股票池管理制度,所投股票全部选自股票 池,并严格执行止盈止损制度,当个股出现预警、止盈、止损等情况 时,部门风控人员及时向投资经理发出风险预警与止盈止损通知,经 投资经理确认后按流程执行止盈止损程序。

报告期内,公司制订完善了《证券投资决策委员会工作条例》和 《自营业务止盈止损管理办法》、《固定收益证券自营业务管理细则》、 《固定收益证券投资自营业务流程》等规章制度。

4、资产管理业务

报告期内,公司资产管理业务投资管理全面贯彻从投资研究、投 资决策、投资执行到投资跟踪全过程的风险控制措施。不断完善投资 决策体系以及投资授权机制,按期召开季度客户资产管理投资决策委 员会会议和月度部门投资决策小组决策会议,确定投资策略。投资主 办按照确定的投资策略和授权的投资权限进行操作。投资交易通过集 中交易室统一执行,投资交易系统内设置了相应阀值,保证集合计划 和定向账户的投资范围、投资比例等符合证监会有关文件和计划说明 书的规定。风险控制小组与公司风险控制部门相互协作,对投资交易 行为进行监控与核查,遇到问题及时反馈,确保投资、交易过程和结 果的合规性,取得了较好的效果。

报告期内,公司进一步完善了资产管理业务风险分析绩效评估系 统,从制度流程方面加强了投资业务风险管控。根据《证券公司客户 资产管理业务试行办法》等法律法规的有关规定,公司完善了《华泰 紫金 1 号集合资产管理计划投资授权方案》等相关产品的授权方案, 对各类投资品种的分级授权比例及授权机制做出详细规定,较充分地 体现出对各类市场的风险防范意识,确保了投资业务规范、有序地开 展;制订了《华泰证券股份有限公司资产管理总部投资决策小组工作 办法(试行)》等制度文件,强化了客户资产投资业务工作框架体系 建设,完善了客户资产投资决策流程,实现了在合规前提下灵活、高 效地进行投资决策。

5、研究咨询业务

公司严格遵守《证券法》、《证券、期货投资咨询管理暂行办法》 等法律法规,在此基础上规范开展研究咨询业务。研究报告发布方面,

公司制定了严格的审批流程,由研究员以上级别的员工、团队负责人、 合规监控人层层审批,层层控制,确保所发研究报告的质量及合规; 信息隔离方面,研究员在对投行项目予以协助的过程中,严格履行项 目保密承诺及其他行为规范,重点防范虚假信息传播、误导投资者、 以及利益冲突等风险;接受媒体采访方面,公司严格按照《参与广播 电视证券节目管理办法》等规定进行管理,防范风险。

6、直投业务

报告期内,为进一步规范开展直投业务,公司修订了《防范与华 泰紫金投资有限责任公司利益冲突办法(试行)》,禁止直投子公司 投资于公司已担任辅导机构、财务顾问、保荐机构或者主承销商的拟 上市企业;制订了《直接投资业务风险控制办法(试行)》,通过信 息隔离、业务规范、报告与信息披露、信息传递、舆论引导等措施, 加强直接投资业务的风险控制和合规管理。公司持续加强人员管理, 要求保荐代表人及其他投行人员签订了书面承诺书:承诺在项目承做 期间将勤勉尽责,不向发行人提出不正当要求,不利用工作之便为个 人或者他人谋取不正当利益;在公司履职期间,不违规从事直投业务。

直投子公司已经制订了《直接投资管理办法》、《直接投资风险 管理办法》、《投资决策委员会工作细则》、《风险控制委员会工作 细则》、《档案管理制度》、《防范利益冲突管理暂行办法》、《信 息披露管理制度》以及《投资后管理办法》等各项管理制度。其中《直 接投资管理办法》对投资决策机制、投资标准、投资比例、规模、期 限、业务流程等作出明确规范,防范和控制决策风险;《直接投资风 险管理办法》、《风险控制委员会工作细则》及《防范利益冲突管理 暂行办法》等风险控制制度,旨在建立完善的风险控制机制,防范和

控制项目运作风险;《档案管理制度》要求各个项目均需建立存档资 料目录,对各项目各阶段存档资料作出明确记录,并妥善保管。同时, 《指引》发布后,直投子公司在《防范利益冲突暂行办法》中增加了 不得投资于公司已担任辅导机构、财务顾问、保荐机构或主承销商的 拟上市企业的要求。

此外,直投子公司还结合业务运作实践,先后制订了《项目流程 指引(试行)》、《项目归档材料目录》、《财务分析报告模板(试 行)》、《备案立项尽职调查指引(试行)》以及《备案立项尽职调 查报告模板(试行)》等文件,形成了标准化的投资协议文本,促进 各项工作的逐步规范化和标准化。

7、创新业务

公司一直注重业务创新,坚持"以客户服务为中心、以客户需求 为导向",全面深化业务模式转型和管理模式创新;公司各相关部门 组成创新业务专项小组开展研发,建立完善的内部评估和审查机制, 对创新业务的合规性、可行性和可能产生的风险进行充分的评估论 证,通过进行压力测试、敏感性分析等手段,分析并控制各创新业务 的风险,制订完善的业务管理制度与操作流程,明确风险控制措施和 客户合法权益的保护措施,确保各项创新业务有序、平稳推进,风险 可测、可控、可承受。同时,根据创新试点的不同阶段和进展情况, 适时关注风险控制指标,调整可利用净资本,在充分发挥风险监控作 用的前提下,适应证券公司创新需要。

报告期内,公司顺利通过了债券质押式报价回购业务的评审,积 极组织开展债券质押式报价回购业务试点工作,并根据监管部门、自 律组织的专业评价及现场检查反馈意见,不断完善试点方案及内部准

备。在取得债券质押式报价回购业务试点资格后,严格按照业务资格 批复,推进各项试点启动准备工作,指导营业部有序开展业务推广, 报告期内各项工作持续满足合规性要求。报告期,公司制订了《债券 质押式报价回购业务管理办法(试行)》、《债券质押式报价回购业 务质押券管理办法(试行)》、《债券质押式报价回购业务融入资金 运作管理办法(试行)》、《债券质押式报价回购业务客户交易规则 (试行)》、《债券质押式报价回购业务结算管理办法(试行)》、 《债券质押式报价回购业务合规及风险管理办法》等相应 18 项规章 制度。

报告期内,公司组织研发了华泰紫金创新现金集合资产管理计 划,建立完善的内部评估、审查和风险控制机制,对该产品的合规性、 可行性和可能产生的风险进行充分的评估论证,制定完善、可行的风 险控制措施和客户权益保护措施,确保创新产品风险可测、可控、可 承受,形成了切实可行的业务方案。公司多次参加证监会、上交所组 织召开的证券公司创新业务研讨会,并进行创新产品汇报,根据监管 部门的反馈意见不断完善产品方案及内部准备工作,确保风险可测、 可控、可承受。截止报告期末,华泰紫金创新现金集合资产管理计划 已顺利通过了深圳证券交易所现场评审工作。

报告期内,公司积极筹备转融通业务,建立层次分明、权责明确 的转融通业务风险控制机制;完善转融通业务的风险控制流程;制订 详细、可行的风险控制措施和报告制度;建立健全内控制度的评价、 检查机制,保障风险管理制度的持续性和有效性。

(二)资金管理

公司客户资金与自有资金实施严格分离管理制度。客户资金和自 有资金分账设立、分离操作、分开管理。公司所有合格账户人民币客 户资金已经全部实施了第三方存管;外币客户资金,除分支机构根据 规定在经批准的当地银行账户保留必要的资金外,其余资金总部集中 管理、统一核算。公司对自有资金实行预算管理、统一调度,有偿使 用,保证了资金的流动性,提高了资金使用效益。对上市募集资金, 采取专户存储,严格按照发行申请文件中的承诺专项使用,确保募集 资金使用的真实和公允。在重大投资或大额资金划付前均开展敏感性 测试工作,分析其对公司净资本的影响程度。公司以净资本为核心的 各项风险控制指标持续达标,具有较为健全的资金管理风险评估与监 测制度。报告期内,公司强化财务管理,推行全面预算管理,利用费 用管控系统对资金的支出执行严格的预算。制订完善了《自有资金管 理制度》《融资融券资金交收流程》、《A 股清算资金交收流程》、 《B 股清算资金交收流程》、《开放式基金资金交收流程》等规章制 度,进一步防范资金使用风险。

(三)会计控制

公司严格按照国家有关的会计制度和会计准则,制定了公司的会 计制度、会计核算办法、会计核算流程和会计岗位职责要求,对各个 风险点建立了严密的会计控制系统。在会计核算工作中,严格执行新 会计准则和公司会计制度,审慎计量资产负债,合理确认收入利润, 准确归集成本费用,确保会计信息的及时、准确、合规。对分支机构 的会计工作实行垂直管理及严格的成本控制和业绩考核制度,强化会 计的事前、事中和事后监督管理职能。报告期内,进一步完善了财务 会计信息系统,加强了会计信息系统和业务系统的核对关系,及时跟

踪业务发展,制订了《融资融券会计核算办法》和《股指期货会计核 算办法》,对新业务的发展进行规范指导。

(四)信息系统控制

公司信息系统管理包含公司本部及各分支机构的广域网络通讯、 网络安全及病毒防范、硬件设备的配置及维护、各类应用软件系统的 日常操作及维护、新业务系统的项目开发等内容。报告期内,公司信 息技术部严格按照相关法律、法规和其他规范性文件开展各项工作, 并通过制订或完善一系列配套的内部规章制度,规范信息系统的日常 运行维护操作流程、规范新业务系统的开发流程、规范突发故障的应 急处理流程,有效防范各类风险的发生。针对工作中遇到的突发合规 风险事件,严格按照公司合规制度相关要求,及时报告并按流程妥善 处理。

报告期内,公司信息技术部重点加强了业务网络安全保障和经纪 业务运营平台运维保障,完成了信息系统安全等级保护测评工作。工 作中重视信息系统制度化建设和规范化管理。对营业部新聘任电脑主 岗人员进行集中、统一的岗前培训,确保营业部信息系统的安全、稳 定运行。

(五)子公司管理

报告期内,在保障子公司独立运作的前提下,公司继续强化对子 公司的支持、指导,促进子公司健全内部控制机制和内控管理制度; 通过对子公司派遣董事、监事,促进子公司完善公司治理,健全内部 控制机制,切实防范母公司与子公司之间的风险传递和利益冲突。

报告期内,公司子公司自主经营,独立核算,独立面对市场参与 竞争,独立承担责任和风险。子公司董事、监事及高级管理人员严格

按照《公司法》、《证券法》和子公司《章程》的规定,通过合法程 序产生及开展工作;子公司资产完整、独立,与母公司关系明确,产 权界定清晰。

(六)关联交易控制

报告期内,公司严格按照上海证券交易所《股票上市规则》及公 司《关联交易决策制度》,对关联交易进行严格控制。

1、公司独立董事对重大关联交易发表独立意见,并在必要时有 权向公司注册地及主要办事机构所在地中国证监会派出机构报告,重 大关联交易经独立董事认可后,提交董事会讨论。

2、公司与关联自然人发生的交易金额在 30 万元以上的关联交 易,或者与关联法人发生的交易金额在 300 万元以上,且占公司最近 一期经审计净资产绝对值 0.5%以上的关联交易,应经董事会批准。 公司与关联人发生的交易(公司获赠现金资产和提供担保除外)金额 在 3,000 万元以上,且占公司最近一期经审计净资产绝对值 5%以上 的关联交易,须经股东大会审议。

3、公司建立关联交易回避表决机制。股东大会在审议关联交易 事项时,可能造成公司对其利益倾斜的股东应当回避表决;公司董事 会在审议关联交易事项时,关联董事应当回避表决,也不得代理其他 董事行使表决权。

报告期内,公司独立董事对日常关联交易发表了独立意见,相关 关联交易的批准程序符合法律法规、规范性文件的规定以及公司《章 程》、《关联交易决策制度》等要求。

五、信息与沟通

1、信息沟通

公司主要制度与流程、通知公告等事项均通过 OA 办公系统在公 司范围内发布,各部门和分支机构均可通过 OA 办公系统获取相关信 息,大大提高了信息传递效率。

公司定期召开总裁例会,研究经营管理事项,部署经营管理工作, 相关部门负责人可通过参加总裁例会了解公司经营管理决策,并在具 体工作中贯彻落实。

公司各部门和分支机构均可通过 OA 办公系统向管理层提交各种 事项请示、工作汇报,公司管理层可以通过 OA 办公系统及时了解各 部门及分支机构落实经营管理事项的情况,掌握经营管理中的重大事 项。合规与风险管理部每月编制合规风控简报、相关业务风险分析月 报,使经营层及相关部门、分支机构了解公司总体合规与风险情况。

公司建立健全了客户投诉处理机制,制订了《华泰证券客户投诉 处理制度》、《华泰证券营业部客户投诉处理规范》、《"95597" 电话投诉处理流程》、《呼叫中心投诉处理备案流程》等制度、规程, 明确了客户受理基本规范、投诉处理流程、责任追究机制等,从制度 源头上保障了投诉处理工作顺利开展。公司总部和营业部分别通过网 站、营业场所等渠道公布了投诉电话、邮箱、传真等,并指定专门人 员受理客户投诉,确保客户投诉渠道的畅通。

2、信息披露

公司根据中国证监会《上市公司信息披露管理办法》和上海证券 交易所《上市公司信息披露事务管理制度指引》等相关规定要求,制 定了《信息披露管理办法》、《年报信息披露重大差错责任追究制度》、 《重大信息内部报告制度》及《内幕信息知情人登记管理及保密制度》 等规章制度。报告期内,公司根据相关规定制定了《董事会审计委员

会年报工作规程》,修订了《内幕信息知情人登记管理及保密制度》, 并得到董事会的批准。这些制度充分体现并符合相关法律、法规和部 门规章的要求,对公司信息披露的管理流程与规范都作了明确的规 定,全面规范了公司信息披露事务。报告期内,公司能够严格按照法 律、法规和相关规定的要求,在公司上下建立较为畅通的信息传递和 披露流程,并能真实、准确、完整、及时地披露各项信息,确保所有 股东享有平等获取公司相关信息的权利,保证公司的透明度。报告期 内,公司不存在因信息披露不规范而被处理的情形,不存在向大股东、 实际控制人提供未公开信息等公司治理非规范情况。

六、内部监督检查

公司坚持对内部控制的制度、流程、执行情况进行定期监督检查、 分析评估,总结经验、查找问题、修订完善。公司内部监督检查包括 以下层面:

董事会、监事会的监督检查。董事会对公司的总体内部控制及合 规管理进行检查评价,并将风险控制在合理范围内。董事会设立合规 与风险管理委员会、审计委员会、发展战略委员会、提名委员会、薪 酬与考核委员会,各专门委员会定期召开会议,对公司的经营管理、 风险状况、薪酬水平、发展战略等进行监督。公司监事会根据《公司 章程》的规定,检查公司财务,对董事会编制的公司定期报告进行审 核并提出书面审核意见,对董事、高级管理人员执行公司职务的行为 进行监督,对违反法律、行政法规、公司章程或者股东大会决议的董 事、高级管理人员提出罢免的建议,发现公司经营情况异常时,可以 进行调查,并在必要时聘请会计师事务所、律师事务所等专业机构协 助其工作。

合规与风险管理部等职能管理部门以及各业务部门内控人员进 行的监督检查。合规与风险管理部及各业务管理部门风控人员通过公 司集中化的合规与风险管理平台实现对各项业务、各项风险控制指标 和合规风险的监控,计划财务部及运营中心通过法人结算系统实现对 客户资金、客户证券、银行账户的监控,通过集中财务管理系统实现 对财务的集中管理及对营业部、各业务部门财务状况的监控。各营业 部风控人员通过公司合规与风险管理平台对交易行为进行实时跟踪 监控。此外,合规与风险管理部每年单独或联合其他部门对各业务部 门和营业部开展规章制度执行情况检查。

稽查部的监督检查。稽查部对公司资产(含控股子公司)的安全 性和收益性、业务的合法合规性、内部控制的完整性等情况进行独立 的内部审计、监督检查。稽查部目前有 26 人,大多数具有财务、企 业管理专业背景,从业经验丰富,人员配备充足。

分支机构、业务部门的自我监督检查。对于经纪业务,明晰运行 总监、营业部总经理职责,强化事前的自律性监控。运行总监在营业 部的业务主管、财务主管、信息技术主管的支持下,对业务操作进行 实时复核、审核,履行事前风险监控的职责。营业部总经理是营业部 风险控制和合规经营的直接责任人。公司总部通过工作述职、定期考 核、岗位轮换等管理手段,加强对营业部总经理和运行总监的管理, 使其勤勉地履行职责。对于自营业务、资产管理业务及证券承销业务, 专门设置了合规与风险管理岗位,明确岗位职责,指定专人负责本部 门业务的风险管理工作,承担一线事前和事中自律性监控职责。营业 部、自营部门、资产管理部门定期进行风控执行情况检查,并向合规 与风险管理部提交相关报告。

报告期内,公司对业务部门、分支机构的内控检查未发现重大违 规事项,业务部门及分支机构总体上能够严格执行既定的规章制度, 较好的控制了风险。

七、内部控制总体评价 内部控制总体评价

公司董事会认为,公司已根据实际情况和管理需要,建立健全了 完整、合理的内部控制。公司的内部控制覆盖了所有业务、各个部门 和分支机构、全体人员,贯穿决策、执行、监督、反馈等各个环节。 公司内部控制机制已遵循了健全性、合理性、制衡性、独立性等原则, 公司内部控制组织架构健全,有效发挥了各自的职能。公司内部控制 制度基本遵循了全面性、审慎性、有效性及及时性原则,不存在重大 缺陷,实际执行过程中也未出现重大偏差。公司的内部控制在整体上 是有效的,为公司防范风险、规范运作提供了坚实有力的保障,确保 了公司的稳健发展。

公司聘请天健正信会计师事务所有限公司为公司及控股子公司 2011 年度会计报表审计服务机构,对本公司内部控制进行鉴证,出 具了《内部控制鉴证报告》(天健正信审(2012)专字第 150045 号)。 该报告认为,本公司于 2011 年 12 月 31 日按照《企业内部控制基本 规范》(财会[2008]7 号)在所有重大方面保持了与财务报表相关的 有效的内部控制。