证券公司内部控制指引(修订)

1《证券公司内部控制指引（修订）》第一章第一章第一章第一章总则总则总则总则第一条第一条第一条第一条为指导证券公司完善内部控制，提高风险防控能力和经营管理水平，制定本指引。第二条第二条第二条第二条证券公司应当按照《企业内部控制基本规范》、企业内部控制配套指引和本指引的要求，结合自身实际情况，建立与实施有效的内部控制。第三条第三条第三条第三条本指引所称内部控制，是指公司董事会、监事会、管理层和全体工作人员实施的、旨在实现下列控制目标的过程：（一）保证公司及其工作人员的经营管理和执业行为合规；（二）保证公司持续稳定经营；（三）保证公司业务信息、财务信息、管理信息和其他信息的真实、准确、完整；（四）保障公司经营的效率和效果，促进发展战略和经营目标的实现。第四条第四条第四条第四条证券公司建立与实施内部控制，应当遵循下列原则：（一）全面性原则。内部控制应当覆盖所有业务、各个部门和分支机构、全体工作人员，贯穿决策、执行、监督全过程，嵌入公司业务流程和操作环节。2（二）重要性原则。内部控制应当在全面控制的基础上，对重要业务、重大事项、主要操作环节和高风险领域实施重点控制。（三）制衡性原则。内部控制应当在组织架构、岗位设置、权责分配、业务流程等方面，通过适当的职责分工、授权和审批复核等机制，形成相互制约和相互监督，前台业务运作与后台管理支持适当分离。（四）适应性原则。内部控制应当与公司业务范围、经营规模、组织结构和风险状况等相适应，并随着市场、技术和法律环境的变化及时加以调整和完善。（五）成本效益原则。内部控制应当权衡实施成本与预期收益，以适当的成本实现有效控制。第五条第五条第五条第五条证券公司建立与实施内部控制，应当包括内部环境、风险评估、控制活动、信息与沟通、内部监督等要素。第六条第六条第六条第六条证券公司应当树立合规经营的理念，强化风险控制优先的意识，坚持诚信、勤勉的执业原则，加强体现公司自身特点的企业文化建设，培育高层倡行、全员有责、违规必究的内部控制文化。第第第第七七七七条条条条证券公司应当明确董事会、管理层、各部门和分支机构在内部控制建立和执行方面的职责。证券公司董事会和经营管理的主要负责人对内部控制的有效性负最终责任。各部门和分支机构的负责人对本部门和本机构内部控制的有效性承担责任。3证券公司的全体工作人员都应当熟知与其执业行为有关的法律、法规和公司规定，主动识别、评估和控制其执业行为的风险，并对其执业行为的合规性承担责任。第第第第八八八八条条条条证券公司应当建立健全内部控制的监督、检查与评价机制，及时发现和解决内部控制中存在的问题。证券公司应当每年对内部控制的健全性和有效性进行全面评价，将评价结果作为绩效考核的重要依据，并于每年4月30日前向住所地证监局报送上一年度的内部控制全面评价报告。证券公司应当建立内部控制动态评价机制，在法律法规和市场环境发生重大变化、公司开展创新业务、出现违法违规行为或者重大风险时，对相关内部控制的健全性和有效性进行评价，发现问题的，及时改进、完善和加强。第第第第九九九九条条条条证券公司应当建立健全内部控制责任追究机制。对不执行或者限制、阻挠执行内部控制制度的部门、机构和人员，公司应当按照规定追究责任，并及时向证券监管机构报告。第第第第二二二二章章章章风险风险风险风险管理管理管理管理第一节第一节第一节第一节基本要求基本要求基本要求基本要求第十条第十条第十条第十条证券公司应当建立健全风险管理机制，对公司在经营管理过程中面临的市场风险、信用风险、流动性风险、4操作风险等各种风险进行准确识别、全面评估、动态监测、及时应对和有效控制。第十第十第十第十一一一一条条条条证券公司应当制定风险管理的基本制度，经董事会审议通过后实施。风险管理的基本制度应当至少包括以下内容：（一）风险管理的目标、基本原则；（二）风险管理的机构设置及其职责；（三）风险识别、评估、监测、应对和控制的基本程序、方法和要求；（四）风险事件的报告、处理和责任追究办法。第十第十第十第十二二二二条条条条证券公司应当针对不同种类的风险制定相应的管理制度和程序，对其进行识别、评估、监测、应对和控制。第十第十第十第十三三三三条条条条证券公司应当指定一名高级管理人员，负责对公司的风险管理工作进行指导、监督和检查。证券公司应当设立风险管理部门或指定有关部门（以下统称“风险管理部门”）负责日常风险管理工作。风险管理部门应当与业务部门保持相对独立，承担的其他职责不得与风险管理职责相冲突。证券公司应当为风险管理部门配备足够的、具备与履行职责相适应的专业知识和技能的专业人员，并为其履行职责提供必要的物力、财力和技术支持。5第第第第十四十四十四十四条条条条证券公司应当对每项业务均制定统一的业务标准和操作规范，并针对各项业务的主要风险点和风险性质，采取相应的控制措施。证券公司开展业务或产品创新，应当建立内部评估和审查机制，对创新业务或产品可能产生的风险进行充分的评估论证，并制定相应的管理制度，明确操作流程、风险控制措施和保护客户利益的措施。业务或产品创新活动实施后，证券公司应当注重过程控制，及时纠正偏离目标行为。第二节第二节第二节第二节风险管理方法风险管理方法风险管理方法风险管理方法第十第十第十第十五五五五条条条条证券公司应当通过流程分析、案例归集和内部访谈等方法，全面、系统、持续地收集可能影响公司经营管理的内外部信息，并结合公司业务特点，识别公司面临的风险点及其来源、特征和形成条件。第第第第十六十六十六十六条条条条证券公司应当采取定性与定量相结合的方法，根据风险发生的可能性及其影响程度对识别的风险进行评估，采取建立风险矩阵、概率模型等方式对各种风险进行分析和排序，确定重点关注和优先控制的风险。进行风险定性评估，可以采用问卷调查、集体讨论、专家咨询、流程分析、行业标杆比较等方式，并记录评估过程与结论。进行风险定量评估，可以统一制定各种风险的度量单位和计量模型，并定期对风险计量模型的有效性进行检验和评6价。风险计量应当考虑风险对冲和分散效应，关注公司的风险总量和风险结构。第第第第十七十七十七十七条条条条证券公司应当建立风险控制指标动态监控机制，对风险控制指标进行实时监控和自动预警，并采取有效措施，确保各项风险控制指标在任一时点都符合规定标准。第第第第十八十八十八十八条条条条证券公司应当根据风险评估的结果，权衡风险与收益，确定风险规避、风险降低、风险分担和风险承受等风险应对策略。证券公司应当根据风险识别、评估情况和公司实际情况的变化，及时调整风险应对策略。第第第第十九十九十九十九条条条条证券公司应当根据风险应对策略，综合运用控制措施，将风险控制在可承受范围内。第第第第二十二十二十二十条条条条证券公司应当建立重大风险和突发事件应急处理机制，制定并定期修订灾难恢复和应急处理预案，明确责任人员，规范处置程序，确保重大风险和突发事件得到及时妥善处理。证券公司应当定期进行隐患排查和应急演练，做好演练记录。第三节第三节第三节第三节压力测试压力测试压力测试压力测试第第第第二十一二十一二十一二十一条条条条证券公司应当建立压力测试机制，采取定量分析为主的风险分析方法，测算压力情景下净资本等各项风险控制指标和财务指标的变化情况，评估风险承受能力，7并采取必要应对措施，确保在压力情景下风险可以承受。压力测试机制应当全面覆盖公司各个业务领域的各种风险。压力情景包括证券公司内外部经营环境发生极端变化或出现突发事件，以及开展重大业务等情形。第第第第二十二十二十二十二二二二条条条条证券公司应当建立和完善压力测试制度，明确压力测试的决策机制、实施流程及方法、报告路径、结果应用、检查评估等内容。第第第第二十二十二十二十三三三三条条条条证券公司应当根据市场变化、业务规模和风险水平情况，定期或不定期开展压力测试。证券公司在遇到以下情形之一时，应当开展压力测试：（一）可能导致净资本或其他风险控制指标发生明显变化或接近预警线的情形；（二）确定重大业务的业务规模和开展重大创新业务；（三）预期或已经出现重大内部风险状况；（四）预期或已经出现重大外部风险和政策变化事件。第二十第二十第二十第二十四四四四条条条条证券公司应当对压力测试结果进行分析，并根据测试结果反映的风险情况，结合自身风险承受能力，采取适当的应对措施，必要时实施应急预案。证券公司在作出重大经营决策时，应当将压力测试结果作为必备决策依据。压力测试结果显示可能存在重大风险的，证券公司应当及时向住所地证监局报告。8第第第第三三三三章章章章合规合规合规合规管理管理管理管理第一节第一节第一节第一节基本要求基本要求基本要求基本要求第第第第二十二十二十二十五五五五条条条条证券公司应当按照规定制定和执行合规管理制度，建立合规管理机制，培育合规文化，防范合规风险。第第第第二十二十二十二十六六六六条条条条证券公司应当制定合规管理的基本制度、工作制度和程序、员工合规手册等文件，并定期进行评估、修改和完善，确保其符合合规管理工作的实际需要。证券公司应当根据法律、法规和准则的变化，及时修改、完善各项业务的管理制度和操作流程，确保其符合法律、法规和准则的要求。第第第第二十二十二十二十七七七七条条条条证券公司应当设合规总监。合规总监是公司的高级管理人员，对公司及其工作人员的经营管理和执业行为的合规性进行审查、监督和检查。证券公司应当根据本公司的经营范围、业务规模、组织结构等情况，设立合规部门或指定有关部门（以下统称“合规部门”）协助合规总监工作。证券公司应当为合规部门配备足够的、具备与履行内部控制职责相适应的专业知识和技能的专业人员，并为合规总监和合规部门履行职责提供必要的物力、财力和技术支持。第二节第二节第二节第二节利益冲突管理利益冲突管理利益冲突管理利益冲突管理9第第第第二十八二十八二十八二十八条条条条证券公司应当建立健全管理利益冲突的机制，采取有效措施，妥善处理公司与客户、工作人员与客户以及不同客户之间的利益冲突。证券公司在处理公司及其工作人员与客户之间的利益冲突时，应当遵循客户利益优先的原则，在处理不同客户之间的利益冲突时，应当遵循公平对待客户的原则。第第第第二十九二十九二十九二十九条条条条证券公司应当建立利益冲突识别机制，及时、全面地识别公司经营管理过程中可能涉及的利益冲突，并评估其影响范围和程度。第三十条第三十条第三十条第三十条证券公司应当采取信息隔离措施，对敏感信息进行隔离、监控和管理，控制敏感信息在相互存在利益冲突的业务之间的不当流动和使用。采取信息隔离措施难以避免利益冲突的，应当对利益冲突进行披露；披露难以有效处理利益冲突的，应当采取对相关业务进行限制等措施。本指引所称敏感信息，是指证券公司在业务经营过程中掌握或知悉的内幕信息或者可能对投资决策产生重大影响的尚未公开的其他信息。第第第第三十三十三十三十一一一一条条条条证券公司应当在存在利益冲突的业务之间设置信息隔离墙，确保在机构、人员、办公场所、信息系统、资金与账户等方面有效隔离，分开管理。处于信息隔离墙两侧的业务部门及其工作人员对敏感信息进行交流的，应当履行跨墙审批程序。证券公司应当制10定跨墙管理制度，明确跨墙的审批程序和跨墙人员的行为规范，并对跨墙人员的行为进行监控。因履行管理职责需要知悉敏感信息的工作人员处于信息隔离墙的墙上。证券公司应当建立墙上人员管理制度，明确墙上人员的范围及其行为规范，防止墙上人员不当使用敏感信息。第第第第三十三十三十三十二二二二条条条条证券公司应当建立观察名单和限制名单制度，明确设置名单的目的、有关公司或证券进入和退出名单的事由和时点、名单编制和管理的程序及职责分工、掌握名单的工作人员范围、对有关业务活动进行监控或限制的措施以及异常情况的处理办法等内容。第第第第三十三十三十三十三三三三条条条条证券公司已经或可能掌握敏感信息的，应当将该敏感信息所涉公司或证券列入观察名单，对有关的业务活动实施监控，发现异常情况，及时调查处理。证券公司采取信息隔离和披露措施难以有效管理利益冲突的，应当将敏感信息所涉公司或证券列入限制名单，根据防止内幕交易和避免利益冲突的需要，对有关的一项或多项业务