广发证券:内部控制自我评价报告

广发证券股份有限公司
2022年度内部控制评价报告
广发证券股份有限公司全体股东：
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求（以下简称“企业内部控制规范体系”），结合本公司（以下简称“公司”）内部控制制度和评价办法，在内部控制日常监督和专项监督的基础上，我们对公司2022年12月31日（内部控制评价报告基准日）的内部控制有效性进行了评价。
一、重要声明
按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，并如实披露内部控制评价报告是公司董事会的责任；监事会对董事会建立和实施内部控制进行监督；经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假
记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及
相关信息真实完整，提高经营效率和效果，促进实现发展战略。由于内部控制存在的固有局限性，故仅能为实现上述目标提供合理保证。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二、内部控制评价结论
1.公司于内部控制评价报告基准日，是否存在财务报告内部控制重大缺陷
□是√否
2.财务报告内部控制评价结论
√有效□无效
1根据公司财务报告内部控制重大缺陷的认定标准，于内部控制评价报告基准日，公司不存在财务报告内部控制重大缺陷。董事会认为，公司已按照企业内部控制规范体系和相关规定的要求，在所有重大方面保持了有效的财务报告内部控制。
3.是否发现非财务报告内部控制重大缺陷
□是√否
根据公司非财务报告内部控制重大缺陷的认定标准，于内部控制评价报告基准日，公司未发现非财务报告内部控制重大缺陷。
4.自内部控制评价报告基准日至内部控制评价报告发出日之间影响内部控
制有效性评价结论的因素
□适用√不适用自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。
三、内部控制评价工作情况
（一）内部控制评价范围
公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。
纳入评价范围的主要单位包括：广发证券股份有限公司；全资子公司——广
发证券资产管理（广东）有限公司、广发期货有限公司、广发乾和投资有限公司、
广发控股（香港）有限公司、广发信德投资管理有限公司、广发融资租赁（广东）
有限公司；控股子公司——广发基金管理有限公司。
纳入评价范围的主要业务和事项包括：经纪业务、证券金融、证券投资、资
金管理、柜台交易、研究咨询、资产托管、投资银行等业务经营领域；治理结构、
发展战略、人力资源、社会责任、企业文化等内部控制环境；风险管理、合规管
理、内部审计等内部监督体系；财务会计、信息技术、子公司管理等职能管理工作；采购与固定资产管理、关联交易、对外担保、信息披露等重要事项。
重点关注的高风险领域主要包括：子公司管理、经纪业务、证券投资业务、
证券金融业务、投资银行业务。
2纳入评价范围各单位的资产总额达到公司合并财务报表资产总额的100%，
营业收入总额达到公司合并财务报表营业收入总额的100%。
根据财政部、证监会发布的《关于进一步提升上市公司财务报告内部控制有效性的通知》的要求，在年度全面内控评价工作的基础上，公司重点对资金资产活动、收入、成本费用、投资活动、关联交易、重要风险业务和重大风险事件、
财务报告编制7个领域的财务报告内部控制有效性进行评价，包括相关舞弊、错报风险及其控制情况。
公司认为，纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面，不存在重大遗漏。
（二）内部控制评价程序和方法
公司内部控制评价工作遵循企业内部控制规范体系要求，根据公司内部控制评价办法规定的程序，制定评价工作方案、成立评价工作组、组织测试、认定控制缺陷、汇总评价结果并编报评价报告。
公司在内部控制日常监督和专项监督的基础上，综合运用调查问卷、穿行测试、抽样和比较分析等方法，广泛收集公司内部控制设计和运行是否有效的证据，对公司内部控制的有效性进行全面评价；在对内部控制缺陷进行认定时，与相关单位进行沟通及核实，并形成工作底稿。
（三）纳入评价范围的主要业务和事项
1.内部环境
（1）治理结构
根据《公司法》《证券法》《证券公司监督管理条例》《证券公司治理准则》
《上市公司治理准则》等法律法规和监管规则的规定，公司建立了由股东大会、董事会、监事会和经营管理层组成的法人治理结构。《公司章程》明确了股东大会、董事会、监事会和经营管理层的职责权限、议事规则和工作程序等，确保了权利机构、决策机构、执行机构和监督机构之间权责分明、规范运作和制衡。
公司董事会设立审计委员会、风险管理委员会、提名委员会、薪酬与考核委
员会、战略委员会五个专门委员会，并制定了相关议事规则，为充分发挥专门委
3员会科学、民主决策职能提供了有效制度保障。公司现任董事会成员中有四名独立董事，并制定了独立董事工作规则。
（2）发展战略
公司董事会设立战略委员会，制定相关的议事规则，明确了其人员构成、职责权限、会议召集及通知、议事和表决程序等内容。公司设战略发展部，负责战略研究与业务策略研究、战略分解和督导、创新管理和支持，各部门、分支机构及子公司在各自职责范围内推动公司战略的实施。
2022年，公司围绕国家战略以及资本市场深化改革系列部署，结合“保持定力，积极变革，奋力开创公司高质量发展新局面”的年度工作重点，通过聚焦主责主业、优化业务结构以及强化自我革新，全面推进业务的战略转型和升级。
公司年内启动了新一轮战略规划编制工作，为中长期发展谋篇布局。
（3）人力资源
公司建立了科学的人力资源管理体系，以及覆盖聘用、培训、考核、晋升、淘汰和薪酬福利等各个环节的科学的人事管理政策。公司重视人才的选拔和培养，建立了公开、公平、公正的评价体系，实行优胜劣汰的人力资源政策，通过合理的利益分享机制促进有效的分工与协作；形成了完善的薪酬机制，建立了全面的福利保障体系，包括社会保险、企业年金、住房补贴、住房公积金、补充医疗保险、福利假、工会福利、女员工福利等。
2022年，公司通过深化雇主品牌建设以及优化干部能上能下机制等举措，
提升人才队伍质量及活力；通过优化薪酬体系和结构、完善绩效考核及薪酬分配
方案、调整薪酬递延支付政策等举措，强化稳健经营的理念和文化；公司持续完善培训和学习项目运营方式，通过线上和线下相结合方式开展培训，赋能重点业务和关键人群，促进公司跨业务协同以及人员专业能力的提升。
（4）社会责任
公司自觉融入国家发展大局，在服务经济高质量发展的过程中，实现自身的高质量发展，切实做到公司经济效益与社会效益、自身发展与社会发展相互协调。
公司坚持“客户中心导向”，为客户提供专业优质的金融服务，努力提升客户的4服务体验和综合满意度，并保障投资者利益；持续提升公司治理水平及变革能力，
坚持稳健经营、合规经营，推动各业务板块竞争力持续提升，为股东贡献价值；
公司坚持以员工为本，关注员工健康安全及职业发展，建立健全职工权益保障制度体系，促进员工成长；公司持续推行绿色运营，服务绿色金融，助力生态文明建设；发挥专业优势，聚焦金融服务实体经济的本源，促进实体经济发展，巩固乡村振兴成果，热心社会公益活动，用实际行动回馈社会。
（5）企业文化
公司制定企业文化纲要，引领公司发展。“以价值创造成就金融报国之梦”是公司的使命，“成为具有国际竞争力、品牌影响力和系统重要性的现代投资银行”是公司的愿景，“知识图强，求实奉献；客户至上，合作共赢”是公司的核心价值观，“稳健经营，持续创新；绩效导向，协同高效”是公司的经营管理理念。公司倡导稳健经营、协同高效、全员参与的风险管理文化，并将风险管理文化建设作为公司发展战略的重要组成部分。
公司积极响应证券基金行业文化建设倡议，认真落实相关要求，推进文化建设工作。公司坚持以党建引领文化建设，完善公司治理，加强合规风控文化建设，优化文化建设体制机制，加强文化宣贯与培养，持续推动公司企业文化与战略、业务协同发展。2022年，公司将文化建设相关内容纳入《公司章程》，明确公司持续开展企业文化建设以及相关工作的职责分工；完成首次文化建设实践年度报
告的编写发布，讲授面向全行业的文化建设课程，在行业内充分展示公司文化建设的价值内涵、特色做法、典型案例以及重要成果。
2.全面风险管理
公司倡导稳健经营、协同高效、全员参与的风险管理文化，通过坚守合规底线、有效管理风险、科学经营风险，实现公司长期、可持续发展。公司风险管理组织架构由董事会及下设的风险管理委员会、高级管理层及相关专业委员会（风险控制委员会、投资银行业务内核管理委员会及资产配置委员会）、各控制与支
持部门、各业务部门四个层级构成。董事会是公司风险管理的最高决策机构，高级管理层在董事会确定的公司整体风险偏好、风险容忍度以及重大风险限额框架下，在授权范围内全面负责经营管理层面的风险管理工作，管理公司面临的各类
5风险；各业务部门、合规与法律事务部及风险管理部等控制与支持部门、稽核部
构成公司风险管理的三道防线，共同发挥事前识别与防范、事中监测与控制、事后监督与评价功能，相互协作，分层次、多方面、持续性地监控和管理公司面临的各类风险。
公司在风险管理工作中遵循风险识别、评估、计量、监测、报告、应对与处
置等基本流程，持续完善风险管理制度及机制，确保各类风险隐患得以妥善及时处理。公司综合运用多种工具与方法，对各类业务面临的潜在风险因素进行辩识与分析，确定风险及其性质、评估变化趋势，并建立相应的风险管理措施；根据业务风险类型与特征，选取适宜的模型和方法计量、评估风险，并对模型和方法进行定期回测、完善；对业务及整体风险进行监控，建立前、中、后台部门风险监控的分工协作机制；根据风险计量、评估、监控及预警情况，建立合理有效的风险报告、应对与处置机制，保障公司持续运营和符合监管要求；充分运用压力测试工具，评估公司整体风险承受能力，确保公司在压力情景下的风险可控、可承受；对创新业务进行严格的事前审批，充分识别与评估潜在风险，并配备必要的制度保障、流程准备、人员配备与系统支持。公司根据业务发展和风险管理的需要，持续建设、维护与完善风险管理信息系统，以有效计量、监控和报告公司整体风险和各类风险，并建立风险管理的监督及考核机制，提升整体风险管理水平。
（1）市场风险
市场风险是指因市场价格（利率、汇率、股票价格和商品价格等）的不利变
动使公司各项业务发生损失的风险。公司遵循主动管理、量化导向和系统管理的原则，对市场风险实行限额管理。公司针对不同类别和性质的市场风险，建立敏感性分析、情景分析、风险价值、压力测试和市场风险经济资本等计量方法和模型，用于对风险的计量和评估。公司对市场风险进行监控，制定风险缓释与防范措施、建立风险报告及应急处置机制，将市场风险控制在公司容忍度范围内。公司持续自主研发风险管理系统，对公司各类投资业务、品种、头寸的市场风险实现统一管理，实现风险指标限额系统化的日常监控及预警、报警，提升监控效率。
2022年，公司持续完善市场风险管理限额体系，提升市场风险系统化管理水平，并加强对复杂创新业务的限额管理以及重点投资业务的监控，以应对各类市
6场风险。
（2）信用风险
信用风险是指融资方、发行人、交易对手未能履行合同所规定的义务，或由于信用评级的变动、履约能力的变化导致债务的市场价值变动，从而造成公司损失的风险。公司遵循逐级授权、全流程管理、持续审慎、内部制衡和定量分析与定性分析相结合的原则，对信用风险实行限额管理。公司制定信用类业务同一客户认定标准及建立尽职调查机制，结合定量与定性分析，对客户内部信用评级做出评价，结合风险偏好等因素，核定客户授信额度，并对客户信用风险敞口进行统一管控；建立信用风险模型，实现对交易对手违约率、预期损失、经济资本等的计量；制定信用风险限额指标和相应分级审批机制，通过限额控制信用风险暴露和水平，并建立常态化的压力测试机制。公司对信用风险进行监控，并建立风险缓释与防范措施、风险报告及应急处置机制，以有效防范或避免风险事件的发生、降低风险事件对公司造成的损失，并在信用风险可接受范围内实现风险调整后的收益最大化。公司建立了信息系统和分析工具，衡量信用风险敞口并对风险资产组合进行划分评估。
2022年，公司持续完善交易对手内部评级与授信管理体系，加强对交易对手
主体信用风险的管控，强化信用类业务事前、事中以及事后的全流程风险管理，提升风险管理能力。
（3）流动性风险
流动性风险是指公司无法以合理成本及时获得充足资金，以偿付到期债务、履行其他支付义务和满足正常业务开展的资金需求的风险。公司遵循全面性、审慎性和预见性的原则，实施稳健的流动性偏好管理策略。公司通过对优质流动性资产规模、结构进行持续跟踪、监控及择机调整，确保公司持有充足的优质流动性资产；对流动性储备规模、结构进行持续跟踪与监控，确保流动性储备规模与公司资产规模及资本实力相匹配；制定流动性风险指标及限额，对流动性风险进行计量、持续监控及报告；基于公司资产端及负债端在未来一定期限内所产生的
现金流分析，对公司的现金流缺口及流动性风险指标进行评估；定期或不定期开展流动性风险压力测试，分析评估压力情景下应对流动性风险的能力；制定流动
7性风险应急计划、明确应急处置机制，并适时开展应急演练。公司建立并不断完
善信息系统建设，有效支持流动性风险管理工作。
2022年，公司持续保持合适的流动性储备规模，维持有效的融资来源，保障
了流动性供给，流动性覆盖率和净稳定资金率两项流动性风险监管指标持续符合监管要求，并保有合理安全边际。
（4）操作风险
操作风险是指由不完善或有问题的内部程序、人员、信息技术系统以及外部
事件造成公司直接或间接损失的风险。公司遵循审慎管理、全面覆盖、全员参与、主动管理和持续改进的原则，建立健全操作风险管理体系，主要应用流程梳理、风险与控制自我评估、关键风险指标、损失数据收集等工具开展操作风险的日常管理。公司对各项业务与管理活动持续开展流程梳理，识别和发现其中的薄弱环节及潜在操作风险，逐步建立和完善操作风险监测体系和手段，监测可能造成公司损失的各项操作风险及其控制的有效性。公司建立风险缓释与防范措施、风险报告及应急处置机制，最大程度的减少操作风险损失。公司建立风险管理系统，支持操作风险管理的开展。
2022年，公司持续强化嵌入式的操作风险管理，以操作风险监测指标建设作
为核心内容，推进流程梳理及风险评估工作，完善操作风险监控机制，以提升风险管控效果。
（5）合规风险
合规风险是指因公司的经营管理活动或工作人员的执业行为违反法律法规、
准则和公司内部规章制度，而使公司受到被依法追究法律责任、采取监管措施、给予纪律处分、出现财产损失或商业信誉损失的风险。公司合规管理工作遵循全员参与、全面性、独立性、有效性和前瞻性的原则，倡导和推动合规文化建设、建立健全合规管理组织架构与制度体系，通过合规审查、合规检查、合规咨询、合规培训、合规监测、合规考核、合规问责以及合规报告等手段，对合规风险进行管控。公司建立违规投诉举报制度，鼓励员工发现违法违规行为或犯罪嫌疑线索时，主动及时投诉或举报；推进反洗钱、投资者权益保护、信息隔离墙管理、廉洁从业管理等工作，持续完善内控制度，强化宣导培训，督促落地执行；将合
8规管理的有效性、经营管理活动和员工执业行为的合规性纳入各单位及员工的绩效考核，对违规主体实施责任追究。
2022年，公司持续完善合规相关内控制度体系及管理机制，通过制度制定
和修订进一步规范相关领域工作；加大对重要业务的合规管控力度，提高合规管理效能，防范重大合规风险；开展合规文化建设及培训宣导，完善信息系统建设，加强合规人才队伍培养，提升合规履职能力以及风险管控水平。
（6）声誉风险
声誉风险是指由公司行为或外部事件、及其工作人员相关行为等导致利益相关方对公司负面评价的风险。公司定期分析声誉风险事件的可能发生因素和传导途径，制定和完善相应的应急预案，并定期组织开展声誉风险管理培训；建立声誉风险信息预警机制，对媒体舆情进行7*24小时监测，利用第三方专业资源协助舆情监测工作的开展；对声誉风险实行分类分级管理机制，明确权限职责、处理流程和报告路径，并建立统一的对外沟通机制；建立声誉风险信息管理收集机制，搭建声誉风险损失事件数据库，完整、准确地记录、存储与声誉风险管理相关的数据和信息。公司安排声誉风险管理事中事后评价，对声誉事件应对措施的有效性进行评估，并建立责任追究机制。
2022年，公司修订《声誉风险管理办法》，进一步明确声誉风险管理的原则
以及职责分工，优化公司内部协同的声誉风险管理机制，提升全体工作人员的声誉风险防范意识。
3.控制活动
（1）经纪业务
公司零售业务建立了风险管控的三道防线：零售业务管理总部作为第一道防线，负责业务风险的识别、评估、应对及报告；合规风控部门作为第二道防线，通过常态化沟通机制，对业务实施风险评估和专业支持、定期检查和报告；稽核部作为第三道防线，开展事后监督和检查工作，提出改进意见并督促整改落实。
公司零售业务遵循“后台集中化、前台专业化及前后台分离”的管理原则，前台业务实行专业化条线管理，与交易清算、风险监控等后台管理分离。分支机构实
9行总经理负责制，按照监督、制衡的原则进行岗位设置和职责划分，公司财务、信息技术、合规管理部门分别对分公司财务经理、电脑负责人、分支机构合规风控人员等关键岗位进行垂直管理。
公司建立了授权管理机制，定期根据经营管理需要更新授权手册，审批事项覆盖人事、财务、业务、运营等方面。公司建立经纪业务营销管理、客户服务及运营管理相关制度；建立人员管理、业务管理相关控制机制，从人员聘用、合规谈话、员工培训、执业资格管理、执业行为管理、业绩考核、执业行为监控等方
面防范各类风险；建立统一的业务规程，规范账户、各类业务权限开立等柜台业务操作流程；建立客户适当性管理体系，对客户进行分类并提供与之适配的金融产品和服务；建立客户交易行为管理制度，主动加强客户交易行为管理，引导客户合规交易，维护市场交易秩序，识别和报告洗钱风险；建立客户回访和投诉处理机制，明确投诉受理登记、转办、报告以及跟踪的流程要求，及时发现并处理员工的不规范行为及客户纠纷。公司建立了金融产品代销管理制度，实行产品立项会、评审会、销管会的决策机制，建立了产品分类、尽职调查、决策机制、合同协议管理、信息披露、客户适当性、客户回访以及售后跟踪等关键控制环节的管控流程。公司实行交易数据、清算数据、核算数据、监控数据集中存放，各系统数据权限由总部统一分配和授予。分支机构建立了信息系统安全事件应急处置流程，防范系统风险。
2022年，公司根据监管法规变化及财富管理转型需要，对相关业务管理、产
品销售、网点运营、反洗钱管理以及客户投诉处理等方面的制度予以细化完善，积极参与个人养老金基金产品代销业务，开展宣传推广，落实各项管控要求，并持续完善分支机构合规考核指标，保障业务合规经营。
（2）证券金融业务
公司证券金融业务包括融资融券、回购交易业务等。公司对证券金融业务实行集中统一管理，建立了相应的授权机制，决策与授权体系按照董事会—经营班子（或其下设的风险控制委员会、资产配置委员会）—风控会授权执行委员—证
券金融部—业务主办部门、分支机构的架构设立和运行。证券金融业务的主要业务环节由不同部门、不同岗位负责，前、中、后台相互协同、相互制约。
公司建立了完善的管理机制，包括业务开展前的资信调查、客户和标的证券
10准入、授信分级审批管理、集中度和业务限额管理，业务开展后的定期跟踪及回
访、舆情监控、风险事件报告和处置机制等。分支机构在公司的统一管理下，按照公司授权和规定，具体负责投资者教育与风险揭示、客户开发与服务、客户资信调查、账户或权限开立、反洗钱身份识别以及通知提醒、客户回访等工作。
2022年，公司持续完善证券金融制度和管理体系，制定修订了《融资融券业务管理制度》《股票质押式回购业务管理办法》《证券金融业务反洗钱工作指引》等制度，进一步优化对如高龄客户等特定客户群体的管理，提升管控机制及业务流程的规范性。
（3）证券投资业务
公司证券投资业务建立了相对集中、权责统一的三级投资决策与授权体系。
董事会层面设立风险管理委员会，负责审定公司的自营投资业务规模、风险限额和重大风险处置方案；经营班子层面设立资产配置委员会和风险控制委员会，分别负责审定各类自营业务的资金规模额度和制定自营业务的风险限额及重要业
务权限等；投资业务部门在董事会和经营层制定的限额范围内进行具体业务决策，实行授权体系内的集体决策机制。公司设立证券投资业务管理总部，对证券投资业务进行统筹管理，下设权益及衍生品投资部、固定收益投资部、资本中介部。
公司证券投资业务流程包括研究、投资决策、交易执行、风险监控和绩效评估。公司建立投资研究工作流程，实施证券池管理，证券出入池需履行规定的审批程序。投资决策环节，实施授权体系内的集体决策机制；各投资业务部门设置投资经理岗，在授权范围内拟定具体的投资策略，下达交易指令。交易执行环节，设置专门的交易员将交易与投资决策有效分离，通过信息系统控制交易指令的下达和执行。风险控制环节，从操作合规性、组合风险敞口方面对投资组合的执行进行日常监督和风险控制，并进行风险信息沟通反馈。绩效评估环节，进行风险收益评估和归因分析，不断提高投资水平。
公司证券投资业务与经纪、资产管理、投资银行等业务在人员、信息、账户、
资金、会计核算上严格分离。公司证券投资业务以公司名义，使用专用自营交易单元进行交易，并执行严格的资金管理要求，禁止以个人名义进行资金调出。证券投资部门在开展自营业务过程中，执行风险限额管理。合规与法律事务部负责隔离墙管理、合规监控和检查；风险管理部负责风险控制指标设计、风险监控和
11报告。稽核部按规定开展内部审计，对发现问题督促整改。资金管理部负责资金
调拨结算、财务部负责会计核算、结算与交易管理部负责自营账户管理及交易结算工作。
2022年，公司持续推动完善证券投资业务制度体系，修订了《资本中介部业务管理办法》《权益类证券自营业务投资管理办法》《权益类证券自营业务证券池管理规定》等制度，以及进一步梳理债权类收益互换、交易所做市业务、银行间市场利率衍生品业务等方面的流程规范，提升内部管理精细化水平，并根据业务发展需要，对职能及组织架构进行了优化调整。
（4）资金管理业务
公司自有资金管理的组织架构包括三个层级：董事会—经营管理层及其下设
的资产配置委员会—资金管理部等职能部门及各业务部门、分支机构。董事会负责确定公司自有资金管理框架，确保公司建立健全自有资金管理体系，支持公司战略实施；经营管理层在董事会授权范围内，负责制定公司自有资金的各项规章制度、政策、流程；经营管理层下设资产配置委员会，负责确定公司资产配置的原则、方针及政策，核定自有资金配置额度，回顾、评估配置执行情况，调整配置策略；资金管理部是自有资金管理的主办部门，负责资产负债管理、资金调拨、流动性管理、资金定价管理、创新业务中的资金管理等；各业务部门、分支机构
是自有资金的使用单位，在公司资产配置委员会核准的额度内按照规定流程使用自有资金。
公司建立自有资金管理制度，对自有资金的筹集、运用、存放、清算、调拨和定价流程进行了规范。公司自有资金账户实行统一管理，分支机构银行账户的开立和撤销等需总部审批。除分支机构在授权限额内保留的自有资金备付外，公司自有资金集中存放在公司总部资金账户，与客户交易结算资金严格分开。公司各业务单位使用自有资金须履行必要的审批程序，向资金管理部提交用资申请和划款凭证，资金管理部复核确认审批程序的有效性，办理自有资金调拨。
2022年，公司修订《自有资金账户管理办法》《流动性储备管理规定》等制度，推进系统平台升级以及业务流程优化，进一步加强自有资金相关管理工作。
12（5）柜台交易业务
公司开展的柜台交易业务，包括柜台市场业务、收益凭证业务和场外衍生品业务等。公司柜台交易业务的决策与授权体系按照董事会（或其下设的风险管理委员会）—经营班子（或其下设的风险控制委员会以及资产配置委员会）—中后
台职能部门—柜台交易市场部门的架构设立和运行。公司建立了较完备的柜台交易业务制度体系，对柜台交易业务组织架构、业务规则、内部控制、合规与风险管理等进行了规范。
柜台交易市场部是公司柜台交易业务的主办部门，负责柜台交易业务的具体管理和运作。柜台市场业务方面，上柜产品需进行准入审核，公司通过建立内控机制和信息系统保障投资者适当性管理、产品持续管理以及合规及风险管理方面
工作要求的落实。公司在交易模式、流程管理、信息披露、投资者适当性管理、合规及风险管理方面建立了对收益凭证业务、场外衍生品业务的管控机制。公司建立柜台交易业务风险监控系统，持续强化业务数据集中监控管理，通过系统预警及时揭示业务风险。
2022年，公司持续完善柜台交易业务的制度体系及内控机制，涉及业务管理、客户准入及分级管理、标的管理、风险对冲、廉洁从业、反洗钱以及敏感信息管
理等方面，并对场外衍生品准入流程进行了优化，推动业务持续发展。
（6）研究咨询业务
公司对证券研究报告发布业务进行集中统一管理，发展研究中心为公司发布证券研究报告业务的独立部门。公司从组织设置、人员职责上，将证券研究报告制作发布环节与销售服务环节分开管理，保障了证券研究报告制作发布的独立性。
公司建立了包括人员资格、研究对象覆盖、调研、研究报告制作、质量控制、合
规审查、报告发布等关键环节的管控制度和流程，规范业务运作。
公司建立信息隔离墙管理体系，研究业务的办公场所、人员及信息系统与其他业务板块有效隔离。公司合规与法律事务部、发展研究中心合规管理人员对研究报告发布的隔离墙及利益冲突等进行管控。公司制定了包括了解客户、客户分类、向适配客户销售和客户回访在内的销售适当性管理规定，并定期开展适当性管理的自查工作。
132022年，公司制定了《发展研究中心声誉风险管理指引》，根据业务特点细
化声誉风险管理有关工作职责及处理流程，加强数字化建设，促进业务稳健发展。
公司年内设立产业研究院，加强研究对公司核心业务的推动和支持。
（7）资产托管业务
公司设立资产托管部，统一开展资产托管和基金服务等业务。资产托管部经营场所配备了门禁、录像监控和电话录音等安全防范系统，在人员设置、经营场所、业务系统、业务资料、资产保管、账务管理等方面与公司其他业务部门保持隔离，基金托管业务团队与基金服务业务团队之间建立业务隔离。
公司建立了资产托管及基金服务业务管理制度体系，涵盖了基金管理人和基金准入、账户管理、投资监督、资金清算、估值核算、信息披露、印章管理及资
料归档等业务和管理环节，保障业务规范运作。公司建立管理人分级管理和产品管理相关制度，明确客户分级标准、业务管理政策和审批程序，明确托管产品的准入标准、产品合同审批程序、产品合同签署和回收管理规范等；建立托管业务
应急管理制度、突发事件应急处理预案，以及重大风险事件汇报机制；建立业务数据备份系统和应急处理方案，以及重要数据异地备份保存机制。
2022年，公司修订了《资产托管业务管理办法》《资产托管部从业人员管理规定》《资产托管业务账户管理规定》等制度，对业务流程进行持续的优化迭代，并通过强化系统平台建设及人员管理工作，促进提升业务运营效能及风险管控水平。
（8）投资银行业务
公司设立投行业务管理委员会，作为投行业务条线最高的行政管理和业务管理机构，建立集体议事和决策管理机制，对投行业务进行统筹管理。公司投资银行类业务的内部控制组织体系，由项目组、各投行业务部门—投行质量控制部—投行业务内核委员会和投行内核部、合规管理部门、风险管理部门等组成的三道
内部控制防线构成，通过三道防线的工作分工、明确职责，建立相互制衡的运行机制，管理项目运作，控制业务风险。
承揽至立项前阶段，公司持续完善利益冲突管理流程，细化利益冲突管理要求。公司明确立项审议组织架构及职责、审议流程及不同业务的具体要求。公司
14设立投行业务立项委员会，履行立项审议决策等相关职责。
立项至报送阶段，公司质量控制部门通过建立风险识别、评估与核查机制，对投资银行类项目进行质量控制与管理，持续督促一线业务团队在执业时勤勉尽责，落实尽职调查环节的相关程序要求。公司设立投行业务内核委员会，对应当履行内核会议审议程序的事项进行内核审议决策。投行内核部为常设内核机构，负责组织制定和实施内核制度；对应当履行内核会议审议程序的项目进行初审并出具初审意见；执行书面审核的内核程序；对投行业务相关部门的执业质量进行监督评价等工作。
报送至发行上市或挂牌阶段，公司制定内核工作办法，明确项目材料和文件对外提交、报送、出具或披露时，均须履行内核程序后方可报出。公司建立集体决策机制，对发行上市中的重要事项进行集体决策。公司指定专门部门开展发行簿记工作，并对发行簿记过程采取视频监控、关键岗位电话录音等措施，加强对发行簿记过程的监督管理。
后续管理阶段，公司明确项目组为项目后续管理工作的第一责任主体，相关内控部门按职责分工参与处于后续管理阶段项目的管理工作，对存续期项目风险实行动态监测，负责重大风险项目关注池的日常管理和维护，组织业务部门对入池项目开展风险排查，对重大风险事件进行评估并参与处置，并持续完善持续督导、风险事件应急管理等工作机制和流程。质量控制部门监督项目组按照相关要求完成工作底稿的整理归档，并对归档工作进行验收。
2022年，公司持续建立健全投资银行类业务内控制度，修订了《投资银行业务后续管理工作办法》《投资银行业务聘请第三方管理规定》《投资银行业务反洗钱工作指引》等制度，进一步细化规范相关领域的管控要求；同时，公司通过开展员工执业能力专项培训、加强项目质量控制、提升业务流程管控、强化三道
防线风险防控以及推动系统数字化管理等举措，持续优化完善投行类业务内部控制体系。
（9）子公司管理
公司制定《子公司管理办法》，明确了子公司事务归口管理部门与职责、子公司设立、变更与终止、委派人员的选任和职责、重大运营决策程序、年度预算
及绩效考核、信息披露与重大事件报告、母子公司战略协同、风险控制和检查监
15督等方面的程序和要求。公司制定子公司人力资源、财务、风险管理、合规、稽
核、信息技术和品牌宣传等方面的管理制度，公司对应职能部门在各自业务范围内对子公司进行指导和约束。公司依法向子公司委派、推荐或者更换董事、监事，并通过董事、监事就子公司重要岗位人员的任免发表意见，定期对委派人员进行综合考核。公司建立子公司重大事项报告机制，保障公司及时掌握子公司重大经营和风险事项。
2022年，公司持续优化子公司管理机制，促进子公司完善业务流程，提升内控水平，保障内部控制有效运行。公司制定《子公司信息技术管理规定（试行）》，规范和完善对子公司的信息技术管理，提升公司整体科技管理水平，保障信息系统的安全、合规运行，防范信息技术风险。
（10）交易结算管理
公司设立结算与交易管理部，作为公司证券登记结算业务的主管部门，对公司各业务部门、各分支机构、被代理机构和各类投资者的证券交易结算进行统一管理，通过公司经纪业务柜台系统、法人结算系统等结算平台对各类投资者的场内外证券交易和资金进行集中式的交易清算和法人结算。公司在人员和岗位设置上实行适当分离，登记存管、交易清算、法人结算、资金交收、会计核算等职能适当分离，相互制衡。
公司根据登记结算机构的有关数据技术标准和规范，建立结算技术系统，实施严密的安全保密措施，防止数据丢失、泄密和被篡改，保证结算系统的安全运行。公司对集中清算数据建立多维度核对机制，通过法人结算系统、经纪业务柜台系统、财务核算系统等不同系统的交叉核对保证清算结果准确。
公司对场内业务的资金实行分级结算原则。客户证券交易的清算交收与自营证券交易的清算交收相互独立。公司根据结算业务规则，及时足额履行场内证券和资金的交收义务；公司场外证券的登记托管与结算业务实行总部集中管理模式。
公司自主建立注册登记系统，为场外证券提供注册登记服务。根据业务分离原则，公司对客户证券及自有证券实行分户管理。
公司对客户交易结算资金、资产管理业务资金、资产托管业务受托客户资金
和公司自营证券业务资金分开管理，资金账户完全分离。客户交易结算资金只能用于客户的证券交易结算、司法等有权机关划扣和客户提款，严禁挪用。客户交
16易结算资金全额存放于公司在存管银行开立的客户交易结算资金专用存款账户
和在登记结算机构开立的客户清算备付金账户。公司的客户交易结算资金按照存管模式及业务性质进行分类管理，不同类别的客户交易结算资金单独立户管理，并与其他账户相互隔离。
2022年，公司修订了《证券账户业务管理办法》《客户交易结算资金管理办法》《代理投资者证券登记业务管理办法》等制度，推动货银对付业务、综合账户管理服务业务以及个人养老金基金产品代销业务落地实施；持续优化业务支撑平台，完善应急处置预案，保障业务平稳有序开展。
（11）财务会计
公司设置财务部行使财务会计职能，依据《会计法》《企业会计准则》以及《公司章程》等制定财务会计各项制度。公司制定了涵盖预算管理、会计核算、费用开支管理、税务管理、子公司及分支机构财务管理等方面的财务制度。公司财务部统一领导分支机构的财务工作，公司对分支机构实行统一核算、集中清算、统一资金管理。
公司实施全面预算管理，建立了涵盖经营管理层、财务部、专业归口预算管理部门和预算执行单位的全面预算组织体系。公司对费用开支、资产采购等事项进行事前预算控制，对预算执行情况进行监控与动态调整，并将预算考核作为业绩评价体系的重要组成部分。
公司成本管理注重支出与经济效益配比，强化成本费用的预算约束，实行成本费用的全员和全过程管理。公司制定《费用开支管理办法》和费用审批流程，实行费用归口、分级管理和预算控制，并针对差旅费、会议费等建立单独制度，规范费用开支，合理利用资源。公司通过优化完全成本定价分配方案，提升了成本分配的稳定性。
公司以权责发生制为基础进行会计确认、计量和报告，按照交易或事项的经济特征确定会计要素，财务人员按照各自职责和权限在ERP系统中进行会计核算操作，确保相关财务事项经过适当授权审批。公司会计政策遵循一贯性原则，不得随意变更。如需变更，需经董事会批准。公司制定了金融工具估值减值的工作机制及流程，并建立了完善的财务报告编制流程，配备必要人员负责财务报表的编制及财务信息的披露工作，确保真实、准确、完整地反映公司资产状况和经营
17成果。
2022年，公司制定《待摊费用核算操作指引》等制度，加强对待摊费用资产
信息的管理，并稳步推进分支机构财务集中管理，持续完善系统平台建设，优化估值减值模型，提升会计信息质量。
（12）信息技术
公司建立董事会—经营管理层（信息技术治理委员会、首席信息官）—信息
技术管理部门—各部门、各分公司信息技术人员的四级信息技术管理组织体系。
公司根据业务发展和战略目标制定信息技术规划，并进行后续的评估和完善。公司根据规划及业务需要开展信息系统建设，明确系统上线及升级改造方面的工作要求，并对重要信息系统的开发、测试、运维岗位实施必要分离，保证岗位的相互制衡。
公司建立信息技术质量控制体系，包括信息系统项目建设质量控制、软件质量控制、采购质量控制和数据质量控制等。公司建立信息系统项目建设管理制度，规范项目立项、实施、变更、投产、验收及项目文档管理等方面质控要求。公司建立软件开发和测试管理制度，设立软件测试管理团队，提升软件交付质量。公司建立供应商管理制度，对供应商交付物及服务质量进行监督管理。
公司将经营数据及客户数据按照重要性和敏感性进行分类分级，制定实施差异化数据管理制度。公司建立网络隔离、用户认证、访问控制、数据加密、数据备份、数据销毁、日志记录、病毒防范和非法入侵检测等安全保障措施，保护经营数据和客户信息安全。公司遵循最少功能及最小权限的原则分配信息系统管理、操作和访问权限，并建立内部审批流程。公司对系统权限建立定期检查和核对机制，确保用户权限与工作职责相匹配。公司建立经营数据和客户信息使用记录机制，对数据合作行为进行规范约束。
公司建立信息系统运维管理制度，规范值班管理、系统配置、变更操作、异常处置等运维操作，防范系统运维操作风险。公司建立健全信息系统安全运行监控和预警体系，持续监测信息系统的运行状况。公司建立信息技术应急管理制度，定期组织关键岗位开展应急演练。
公司将信息技术应用情况纳入合规与风险管理体系，并建立了相应的审查、监测和检查机制，合规与风险管理覆盖了信息技术应用的各主要环节。
182022年，公司制定修订了《软件正版化管理办法》《网络安全管理实施细则》
《信息系统变更处理流程管理规定》等制度，细化相关方面的管控要求，保障系统安全运行。
（13）合同管理
公司建立了由合同经办部门、审核部门以及监督部门共同组成的合同管理体系。经办部门是指合同的实际使用部门，包括公司总部各部门和各分支机构，经办部门负责合同的谈判与拟定，合同报批、归档及履行等；审核部门是指对合同的签订、变更、解除、终止等环节负有相应审核职责的业务部门及职能部门；监
督部门是指对合同的拟定、审批、履行等环节承担相应监督职责的职能部门。
公司建立了《合同管理办法》，明确了合同拟定、合同审批、合同签署、合同履行、合同变更、解除与终止、合同纠纷、合同存档等环节的具体要求，提升了合同管理的合规性。合同拟定环节建立合同相对方管理机制，通过名单管理等手段，防范与不适当的相对方签订合同。各部门针对业务开展情况拟定公司标准合同文本及示范合同文本，建立了内部审批、发布流程。公司对合同签署建立了明确的授权管控机制，通过系统对流程进行固化，并结合业务发展及管理需要适时对系统功能进行优化完善。
（14）采购与固定资产管理
公司建立规范化、制度化的采购管理体系。公司制定《采购管理制度》《集中采购管理办法》《集中采购评委管理规定》《集中采购供应商管理规定》《集中采购实施细则》《非集中采购操作指引》等制度，并通过授权手册明确各采购事项、金额的审批层级。公司采购实行集中采购和非集中采购相结合的方式，明确采购流程，建立供应商评估、准入和评价机制，确定合格供应商清单，并对清单进行动态管理；重视采购付款的过程控制和跟踪管理，建立采购验收和付款控制流程。
公司制定固定资产管理相关制度，对固定资产管理要求和流程进行了规范。
公司在各部门、各分支机构设立资产管理员岗位；建立固定资产管理系统，详细记录固定资产编号、型号、责任单位、责任人、资产状态、存放地点、启用日期、
资产原值、折旧年限、净值等；要求各部门和分支机构落实固定资产的维护和保
19养，使其保持良好使用状态，延长使用寿命；在自有物业的维修、更新改造、固
定资产的转让、报废、出售、出租、抵押方面，建立了审批机制和流程，并定期组织全公司范围的固定资产盘点工作，对闲置固定资产进行合理调配和使用，提高公司资产使用效率。
（15）关联交易
公司建立了关联交易管理内部控制机制。《公司章程》规范了关联交易决策权限及程序、关联股东和关联董事在关联交易表决中的回避机制。公司根据相关法律、法规、规范性文件和《公司章程》的规定，制定《关联交易管理制度》《关联交易管理规定》，对关联交易的定义、管理职责和分工、决策程序、信息披露和监督做出了具体明确的规定；制定《重大关联交易审计实施规定》，建立重大关联交易审计机制。公司按照有关法律、法规、规范性文件及《公司章程》等有关规定对关联交易履行决策程序，确保交易价格公允，并给予充分、及时的披露。
（16）对外担保
公司严格依据国家法律法规及《公司章程》进行对外担保的控制和管理。为规范公司对外担保行为，《公司章程》明确规定了股东大会、董事会关于对外担保事项的决策权限，并按照要求将担保事项及时披露。
4.信息与沟通
公司建立内部沟通、汇报及反馈机制，确保信息及时准确传递。公司内控部门、各业务及管理部门定期或不定期通过合规风控报告、财务报告、业务报告等形式，总结、沟通和讨论业务运营及风险状况，使公司能及时掌握各业务及分支机构经营状况。公司通过制度形式对各层级的报告路径、范围进行了明确规定，确保信息得到及时有效的传递。公司通过内部办公自动化系统、电子邮件等多种信息工作平台，传递和留存内部信息。
公司制定《信息披露事务管理制度》，规范公司信息披露工作。对信息披露的组织架构、基本原则、范围和具体内容、管理程序、保密措施和责任追究做出明确规定。公司建立《外部信息使用人管理办法》，加强公司定期报告及重大事项在编制、审议和披露期间的外部信息使用人管理。公司建立信息披露重大差错
20责任追究机制，明确了信息披露差错的认定、处理程序和责任追究。2022年，公
司严格按照内外部规定履行了信息披露义务。
公司制定《内幕信息知情人管理办法》，加强内幕信息保密工作，规范了内幕信息及知情人的界定与范围，加强知情人的登记备案管理。公司制定《自有媒体平台管理规定》，对自有媒体平台的申请、报备、发布内容及流程建立了管控机制。2022年，公司制定《新闻发布管理办法》，进一步规范公司的新闻发布管理工作，建立统一、高效的信息传播机制，保障公司对外信息传播的严谨性、及时性和准确性。
5.内部监督
公司明确了董事会、监事会、内控部门及业务管理部门在内部监督、检查和
评价方面的职责权限。董事会下设审计委员会，负责审查公司内部控制及实施情况的有效性，对公司内部审计工作进行指导和监督；监事会独立行使监督职权，向股东大会负责，监督公司董事、高级管理人员依法履行职责；业务管理部门从经营管理和合规管理的角度对各项业务开展情况进行督导；合规与法律事务部、
风险管理部和稽核部分别从不同角度分工协作，对公司各业务及管理部门内部控制制度的建立和执行情况进行定期和不定期的检查、评价和汇报。公司管理层高度重视内部控制各职能部门的报告及建议，对于发现问题积极采取措施纠正，最大限度避免业务风险及差错的发生，提升内部控制管理成效。
（四）内部控制评价制度依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系等，组织开展内部控制评价工作。公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财务报告内部控制，研究确定了适用于本公司的内部控制缺陷具体认定标准，并且与上期内部控制评价报告的标准保持一致。
1.财务报告内部控制缺陷认定标准
公司确定的财务报告内部控制缺陷评价的定量标准如下：以年度净利润的5%
为重要性水平（以下简称为M），“重大缺陷”指该内部控制缺陷导致错报的影
21响金额大于或者等于M，“重要缺陷”指影响金额介于20%*M与M之间，“一般缺陷”是指影响金额小于20%*M。
公司确定的财务报告内部控制缺陷评价的定性标准如下：财务报告相关内部
控制存在重大缺陷的事件或迹象包括：一是董事、监事和高级管理人员存在舞弊行为；二是更正已经公布的财务报表；三是注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现；四是财务报告被注册会计师出具非标准无保留意见；五是公司审计委员会和内部审计机构对内部控制的监督无效。
内部控制缺陷单独或连同其他缺陷，不能及时防止或发现并纠正财务报告，虽然未达到重大缺陷水平，但引起董事会和管理层重视的，认定为重要缺陷。不构成重大缺陷和重要缺陷的内部控制缺陷，认定为一般缺陷。
2.非财务报告内部控制缺陷认定标准
非财务报告相关内部控制的具体缺陷认定，应综合考虑造成的直接财产损失金额以及造成直接或间接影响的性质、影响的范围等因素确定。公司确定非财务报告内部控制缺陷评价的定量标准，同财务报告相关内部控制缺陷。
公司确定的非财务报告内部控制缺陷评价的定性标准：公司非财务报告相关
内部控制可能存在重大缺陷的迹象包括：一是“三重一大”事项未经过集体决策程序；二是关键岗位管理人员和技术人员流失严重，影响业务正常开展；三是重要业务内部控制系统性失效；四是因内控缺陷致使公司受到严重法律风险；五是因内控缺陷致使商誉受到重大影响；六是因内部控制缺陷致使公司受到严重行政处罚；七是除政策性亏损原因外，公司连年亏损，持续经营受到挑战，未达到上市公司要求，可能面临退市或二级市场并购的风险；八是重大并购重组失败，或新扩充重大影响下属单位经营难以为继。内部控制缺陷单独或连同其他缺陷，虽然未达到重大缺陷水平，但引起董事会和管理层重视的，认定为重要缺陷。除上述重大缺陷和重要缺陷之外的，即为一般缺陷。
（五）内部控制缺陷认定及整改情况
1.财务报告内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准，报告期内公司未发现财务报告
22内部控制重大缺陷及重要缺陷。于内部控制评价报告基准日，公司不存在财务报
告内部控制重大缺陷及重要缺陷。
2.非财务报告内部控制缺陷认定及整改情况
根据上述非财务报告内部控制缺陷的认定标准，报告期内公司未发现非财务报告内部控制重大缺陷及重要缺陷。于内部控制评价报告基准日，公司不存在非财务报告内部控制重大缺陷及重要缺陷。
内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。2023年公司将根据企业内部控制规范体系的相关要求，进一步完善内部控制制度体系，规范内部控制制度执行，强化内部控制监督检查，提高公司管理水平和风险管理能力，保护投资者合法权益，促进公司健康、可持续发展。
广发证券股份有限公司
二〇二三年三月三十日
23