Huatai Securities Co., Ltd — Audit Report / Information 2016

Mar 30, 2017

华泰证券股份有限公司 2016 年度 内部控制评价报告

华泰证券股份有限公司全体股东:

根据《企业内部控制基本规范》及其配套指引的规定和其他内部 控制监管要求(以下简称企业内部控制规范体系),结合本公司(以 下简称公司)内部控制制度和评价办法,在内部控制日常监督和专项 监督的基础上,我们对公司 2016 年 12 月 31 日(内部控制评价报告 基准日)的内部控制有效性进行了评价。

一、重要声明

按照企业内部控制规范体系的规定,建立健全和有效实施内部控 制,评价其有效性,并如实披露内部控制评价报告是公司董事会的责 任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织 领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、 高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重 大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法 律责任。

公司内部控制的目标是合理保证经营管理合法合规、资产安全、 财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展 战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供 合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或 对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来

内部控制的有效性具有一定的风险。

二、内部控制评价结论

根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评 价报告基准日,公司不存在财务报告内部控制重大缺陷。董事会认为, 公司已按照企业内部控制规范体系和相关规定的要求在所有重大方 面保持了有效的财务报告内部控制。

根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评 价报告基准日,公司未发现非财务报告内部控制重大缺陷。

自内部控制评价报告基准日至内部控制评价报告发出日之间未 发生影响内部控制有效性评价结论的因素。

三、内部控制评价工作情况

根据《企业内部控制基本规范》及其配套指引和公司内部控制制 度要求,公司按照风险导向原则确定纳入评价范围的主要单位、业务 事项及高风险领域。

(一)内部控制评价的范围

纳入评价范围的主要单位包括:公司各部门,全资子公司—华泰 证券(上海)资产管理有限公司、华泰紫金投资有限责任公司、华泰 金融控股(香港)有限公司、华泰创新投资有限公司,控股子公司—华 泰联合证券有限责任公司、华泰期货有限公司、江苏股权交易中心有 限责任公司。纳入评价范围单位的资产总额占公司合并财务报表资产 总额的 100%,营业收入合计占公司合并财务报表营业收入总额的 100%。

(二)纳入评价范围的业务和事项

纳入评价范围的主要业务和事项包括: 公司治理、内部环境、风 险评估、控制活动、信息与沟通、内部监督,以及控制活动所涉及的 不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、 预算控制、运营分析控制、绩效考核控制;重点关注的高风险领域主 要包括:经纪业务、创新业务、证券自营、证券承销、资产管理、投 资研究、融资融券、期货业务、直接投资及信息系统控制等,以及对 公司经营管理产生重大影响的市场风险、信用风险、流动性风险、操 作风险、合规风险、法律风险。

上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公 司经营管理的主要方面,不存在重大遗漏。

(三)公司内部控制建设

为加强和规范公司内部控制,提高公司经营管理水平和风险防范 能力,促进公司可持续发展,公司经营管理层高度重视董事会、内部 控制各职能部门的意见和建议,对于发现的问题采取各种措施及时纠 正,最大限度避免业务差错的发生,有效地提高业务规范化程度,促 进公司内部控制管理水平的提高。

1.法人治理结构

作为在中国大陆和香港两地上市的公众公司,公司严格按照境内 外上市地法律、法规及规范性文件的要求,规范运作,并致力于维护 和提升公司良好的市场形象。公司严格依照《公司法》、《证券法》、 《证券公司监督管理条例》、《证券公司治理准则》、《上市公司治

理准则》、《香港联合交易所有限公司证券上市规则》附录十四《企 业管治守则》及《企业管治报告》等相关法律法规以及公司《章程》 的规定,按照建立现代企业制度,健全和完善公司法人治理结构、合 规风控制度和内控管理体系为目标,形成了股东大会、董事会、监事 会和经营管理层相互分离、相互制衡的公司治理结构,使各层次在各 自的职责、权限范围内,各司其职,各负其责,确保了公司的稳健经 营和规范运作。

1. 关联交易控制

公司严格按照上海证券交易所《股票上市规则》、香港联合交易 所有限公司《证券上市规则》及公司《关联交易决策制度》,对关联 交易进行严格控制,关联交易的批准程序符合法律法规、规范性文件 的规定以及公司《章程》、《关联交易决策制度》等要求。

1. 内部控制执行

公司根据自身的经营目标和运营状况,建立了全面有效的内部控 制机制和内部控制制度。在内控制度方面,以审慎经营、防范和化解 风险为出发点,针对各项业务包括创新业务,制定了统一的管理规定、 业务流程及操作规范等,针对业务的主要风险点和风险性质,制定明 确的控制措施。内控制度涵盖了公司经营管理的各项业务和各个操作 环节,全面覆盖了所有业务、部门和岗位。公司各部门结合业务运行 情况定期对各项制度、流程进行全面梳理与完善,重点对创新业务相 关制度流程进行更新及细化,确保制度流程符合全面性、审慎性、有 效性、适时性等原则,避免出现制度流程上的空白或漏洞。

(1)风险识别。公司风险管理部、专业风险管理部门和各相关 部门风险控制人员,根据各项业务特点、业务进展状况、市场变化情 况,及时对各自业务的风险因素、风险源、风险点进行甄别、统计和 分析。

(2)风险评估。公司根据设定的控制目标,持续地收集相关信 息,结合实际情况,及时进行风险评估,仔细分析公司面临的市场风 险、信用风险、操作风险、流动性风险、合规风险、法律风险等,为 公司进行风险决策提供重要的决策支持,为政策及应对措施制订提供 良好的基础。

(3)风险监控。风险监控主要利用技术手段,通过监控系统实 现,各业务部门风控人员通过公司综合业务管理平台、自营交易监控 系统、净资本动态监控系统、基金托管外包系统、法人结算系统、集 中财务管理系统等监控系统,实现公司在交易过程中对各业务进行实 时跟踪监控。

(4)风险对策。公司风险管理部及各专业风险管理部门根据业 务风险情况,在评估分析和监控的基础上,根据风险管理政策及承受 度,提出相应的风险管理措施,经公司审定后,反馈至各业务部门并 监督有效落实执行。

(5)风险报告。公司建立了风险报告制度,风险控制人员按规 定的路径和程序上报风险报告。

(四)内部控制评价的依据及内部控制缺陷认定标准

公司依据企业内部控制规范体系及中国证监会发布的《证券公司

内部控制指引》、《公开发行证券的公司信息披露编报规则第 21 号 —年度内部控制评价报告的一般规定》和上海证券交易所发布的《上 海证券交易所上市公司内部控制指引》等相关法律、法规和监管规则 的要求,组织开展内部控制评价工作。

公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和 一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承 受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确 定了适用于本公司的内部控制缺陷具体认定标准,并与以前年度保持 一致。公司确定的内部控制缺陷认定标准如下:

重大缺陷是指一个或多个控制缺陷的组合,可能导致企业严重偏 离控制目标。重要缺陷是指一个或多个控制缺陷的组合,其严重程度 和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。一般 缺陷是指除重大缺陷、重要缺陷之外的其他缺陷。

评级	一般缺陷	重要缺陷	重大缺陷
财务损失(占上年
税 前 利 润 的 百 分	0%-1%(不含)	1%-5%(不含)	大于 5%(含)
比)
权益损失(占上年
股 东 权 益 的 百 分	0%-0.2%(不含)	0.2﹪-1%(不含)	大于 1%(含)
比)

1.财务报告和非财务报告内部控制缺陷认定的定量标准如下:

2.财务报告和非财务报告内部控制缺陷认定的定性标准如下:

评级	一般缺陷	重要缺陷	重大缺陷
业务损失	极小影响或轻微影响,例如对收入、客户、市场份额等有轻微影响。	有一定影响,但是经过一定的弥补措施仍可能达到营运目标或关键业绩指标。	较大影响,无法达到部分营运目标或关键业绩指标。

信息错报影响	对内、外部信息使用者不会产生影响,或对信息准确性有轻微影响,但不会影响使用者的判断。	对信息使用者有一定的影响,可能会影响使用者对于事物性质的判断,在一定程度上可能导致错误的决策。	错误信息可能会导致使用者做出重大的错误决策或截然相反的决策,造成不可挽回的决策损失。
信息系统对数据完整性及业务运营的影响	对系统数据完整性不会产生影响。对业务正常运营没有产生影响,或对系统数据完整性会产生有限影响,但数据的非授权改动对业务运作及财务数据记录产生损失轻微。对业务正常运营没有直接影响,业务部门及客户没有察觉。	对系统数据完整性具有一定影响,数据的非授权改动对业务运作带来一定的损失及对财务数据记录的准确性产生一定的影响。对业务正常运营造成一定影响,致使业务操作效率低下。	对系统数据的完整性具有重大影响,数据的非授权改动会给业务运作带来重大损失或造成财务记录的重大错误。对业务正常运营造成重大影响,致使业务操作大规模停滞和持续出错。
营运影响	对日常营运没有影响,或仅影响内部效率,不直接影响对外展业。	对内外部均造成了一定影响,比如关键员工或客户流失。	严重损伤公司核心竞争力,严重损害公司为客户服务的能力。
监管影响	一般反馈,未受到调查和罚款,或被监管者执行初步调查,不必支付罚款。	被监管者公开警告和专项调查,支付的罚款对年利润没有较大影响。	被监管者持续观察,支付的罚款对年利润有较大的影响。
声誉影响	负面消息在企业内部流传,企业声誉没有受损,或负面消息在当地局部流传,对企业声誉造成轻微损害。	负面消息在某区域流传,对企业声誉造成中等损害。	负面消息在全国各地流传,引起公众关注,引发诉讼,对企业声誉造成重大损害。

报告期内,公司对纳入评价范围的业务与事项均已建立了内部控 制机制,并得以有效执行,达到了公司内部控制的目标。我们注意到, 内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相 适应,并随着情况的变化及时加以调整。公司将继续完善内部控制, 规范内部控制执行,强化内部控制监督检查,促进公司健康、可持续 发展。

四、内部控制缺陷认定及整改情况

1.财务报告内部控制缺陷认定及整改情况

根据上述财务报告内部控制缺陷的认定标准,报告期内公司不存 在财务报告内部控制重大缺陷和重要缺陷。

2.非财务报告内部控制缺陷认定及整改情况

根据上述非财务报告内部控制缺陷的认定标准,报告期内公司不 存在非财务报告内部控制重大缺陷和重要缺陷。

附件:毕马威华振会计师事务所《华泰证券股份有限公司内部控 制审计报告》

董事长(已经董事会授权):周易

华泰证券股份有限公司

2017年3月30日