1、兴业创新资本管理有限公司内部控制制度第一章 总则第一条 为加强公司内部管理,依法合规经营,防范经营风险,根据证券公司内部控制指引 、 企业内部控制基本规范 、 上海证券交易所上市公司内部控制指引 、 深圳证券交易所上市公司内部控制指引和证券公司直接投资业务监管指引等法律、法规、规章和公司章程有关规定,结合公司业务发展需要和监管要求,制定本制度。第二条 内部控制是公司为防范金融风险,实现战略目标和经营目标,根据经营环境变化,对公司战略制定和经营与管理过程中的风险进行识别、评价和管理的制度安排、组织体系和控制措施的总称。内部控制是由公司董事会、监事、经营管理层和全体员工实施的、旨在实现控制目标的过
2、程。第三条 内部控制目标(一)保证经营的合法合规及公司内部规章制度的贯彻执行。(二)防范经营风险和道德风险。(三)保障客户及公司资产的安全、完整。(四)保证公司业务记录、财务信息和其他信息的可靠、完整、及时。(五)提高公司经营效率和效果。第四条 内部控制的原则(一)全面性原则。内部控制贯穿决策、执行和监督全过程,覆盖公司的各种业务和事项。(二)重要性原则。内部控制在全面控制的基础上,关注重要业务事项和高风险领域。(三)制衡性原则。内部控制在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。(四)适应性原则。内部控制与公司经营规模、业务范围、竞争状况和风险水平
3、等相适应,并随着情况的变化及时加以调整。(五)成本效益原则。内部控制权衡实施成本与预期效益,以适当的成本实现有效控制。第五条 公司在内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面,健全和完善公司内部控制体系。(一)内部环境。内部环境是公司实施内部控制的基础,包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。(二)风险评估。风险评估是公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。(三)控制活动。控制活动是公司根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。(四)信息与沟通。信息与沟通是公司及时、准确地收集、传递
4、与内部控制相关的信息,确保信息在公司内部、公司与外部之间进行有效沟通。(五)内部监督。内部监督是公司对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,及时加以改进。第二章 内部控制的基本要求第一节 内部环境第六条 公司建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。第七条 公司下设立风险管理部,负 责 对 公 司 经 营 管 理 和 投 资 业 务 进 行 合规 性 审 查 。第八条 公司与股东、实际控制人、关联方之间保持资产、财务、人事、业务、机构等方面的独立性,确保公司独立运作。第九条 公司实行法人统一管
5、理,结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。第十条 公 司 照 法 律 、 法 规 和 中 国 证 监 会 的 有 关 规 定 , 建 立 健 全 公 司 的 合规 制 度 , 对 公 司 经 营 管 理 行 为 的 合 规 性 进 行 监 督 和 检 查 。第十一条 公司建立清晰合理的组织结构,依据所处环境和自身经营特点设立严密有效的三道业务监控防线:(一)加强对与资金、有价证券、重要空白凭证、业务合同、印章等直接接触的岗位管理,实行双人负责制。 (二)建立相关部门、相关岗位之间相互制衡、监督的第二道防线。不同部门有明确的职责分工,不相容职务适当分
6、离。(三)建立独立的监督检查部门对各项业务、各部门、各岗位全面实施监控、检查和反馈的第三道防线。第十二条 公司主要业务部门之间建立健全隔离墙制度,确保直接投资和投资顾问等业务相对独立;监督检查部门与业务部门的人员不得相互兼任。第十三条 公司建立健全包括岗位职责、监督检查、考核奖惩等在内的各项内部管理制度;对各类业务等制订统一的业务流程和操作规范,针对业务的主要风险点和风险性质,制定明确的控制措施。第十四条 公司加强审计工作。公司定期或不定期邀请母公司审计部门或者外部审计机构对公司进行审计,对公司内部控制的有效性进行监督检查。第十五条 公司建立畅通、高效的信息交流渠道和重大事项报告制度,以及内部
7、员工和客户的信息反馈机制。第二节 风险评估第十六条 公司根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行合规与风险识别与评估。第十七条 公司对合规与风险进行监测,开展合规与风险评估,准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。风险承受度是公司能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。第十八条 公司采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。第十九条 公司识别和评估与公司经营活动相关的合规风险,包括为新产品和新业务的开发提供必要的合规性审核和测试
8、,识别和评估新业务方式的拓展、新客户关系的建立以及客户关系的性质发生重大变化等所产生的合规风险。第二十条 公司结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。公司根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。第三节 控制活动第二十一条 公司结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。第二十二条 不相容职务隔离控制通过全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的隔离措施,形成各司其职、各负其责、相互制约的工作机制。第二
9、十三条 公司根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。第二十四条 公司建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。 第四节 信息与沟通第二十五条 公司建立信息沟通与反馈机制,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。第二十六条 公司对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。第二十七条 公司将内部控制相关信息在公司内部各管理级次、责任单位、业务环节之间,以及公司
10、与股东、债权人、客户、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,及时报告并加以解决。第二十八条 公司利用信息技术促进信息的集成与共享,充分发挥信息技术在信息沟通中的作用。第二十九条 公司建立违规信息报告制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为公司有效掌握信息的重要途径。第五节 内部监督第三十条 公司结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。第三十一条 董事会定期听取经营管理层对公司内部控制情况的报告,对中国证监会、外部审计机构和母公司监督检查部门等对公司内部控制提出的问
11、题和建议认真研究并督促落实。第三十二条 监事对董 事 和 高 级 管 理 人 员 执 行 公 司 职 务 的 行 为 进 行 监 督 。第三十三条 公司各部门在实施合规管理过程中发现合规风险隐患或违法违规行为,要主动、及时向风险管理部门报告。第三十四条 公司建立违法违规行为责任追究机制,对各部门及公司职员的违法违规行为,进行责任认定,并予以处罚。第三十五条 公司业务部门的负责人负责对其业务范围内的具体业务流程和风险控制措施进行自我检查和评价,并接受监管部门和监督检查部门的业务检查和指导。业务部门的相关人员有义务向公司报告内部控制的缺陷并及时加以纠正。第三章 内部控制的主要内容第三十六条 直接投
12、资业务内部控制主要内容包括:(一)公司建立直接投资项目管理制度,完善直接投资项目的业务流程、作业标准和风险控制措施,加强项目的筛选、立项、尽职调查、内部评审、投资决策、组织实施、后续管理和退出安排等环节的管理,加强项目核算和内部考核,完善项目工作底稿和档案管理制度。(二)公司建立尽职调查的工作流程,加强业务人员的尽职调查管理,贯彻勤勉尽责、诚实信用的原则,明确业务人员对尽职调查报告所承担的责任,并按照有关业务标准、道德规范要求,对业务人员尽职调查情况进行检查。(三)公司加强项目的内核工作和质量控制,公司直接投资业务质量控制与直接投资业务运作适当分离。(四)公司加强直接投资项目协议的管理,明确不
13、同类别协议的签署权限;。(五)公司加强直接投资项目的集中管理和控制,对项目实施合理的项目进度跟踪、项目投入产出核算和项目利润分配等措施。第三十七条 投资顾问业务内部控制主要内容包括:(一)公司投资咨询部统一管理投资顾问业务。投资顾问业务与直接投资业务之间建立严格的隔离墙制度,从组织结构、账户管理、投资运作、信息传递等方面保持相互独立,从而避免直接投资业务和投资顾问业务之间的利益冲突和利益输送。(二)公司建立投资顾问项目管理制度,完善投资顾问项目的业务流程、作业标准和风险控制措施,加强项目的筛选、立项、尽职调查、内部评审和后续管理等环节的管理,加强项目核算和内部考核,完善项目工作底稿和档案管理制
14、度。(三)公司对委托人的资信状况、收益预期、风险承受能力、投资偏好等进行了解,并关注委托人资金来源的合法性。(四)公司不向客户保证其资产本金不受损失或保证最低收益。定期向客户提供准确、完整的资产管理报告,对报告期内客户资产的配置状况、价值变动等情况做出详细说明。第三十八条 合规与风险控制主要内容包括:(一)建立健全公司合规与风险管理的组织体系、制度体系和流程管理体系。(二)风险管理部审核评价各项政策、程序和操作指南的合规性,组织、协调和督促对各项政策、程序和操作指南进行梳理和修订,确保各项政策、程序和操作指南符合法律、规则和准则的要求。(三)风险管理部组织制订公司各项业务风险控制标准,协助各部
15、门建立健全内部控制制度、风险管理措施和风险预警机制。(四)建立健全公司风险识别、风险评估和衡量、风险应对、风险监测、风险报告的循环处理及反馈流程。第三十九条 财务管理内部控制主要内容包括:(一)公司建立健全财务管理制度和资金管理控制制度,明确界定预算编制与执行的责任,建立适当的资金运用绩效考核标准和评价制度。(二)公司加强对自有资金运用风险、效益的监控与考核。公司集中负债管理权限,强化负债风险、成本、规模的控制。(三)公司制定明确的财务制度及资金管理流程,严格执行资金调拨、资金运用的审批程序,加强资金筹集的规模、结构、方式的计划管理;未经公司批准,任何部门不得擅自从事资金拆借、借贷和抵押。(四
16、)公司制定并严格执行全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,加强费用的预算控制,明确费用标准,严格备用金借款管理和费用报销审批程序,强化预算约束。(五)公司建立大额资金筹集和使用的事前风险收益评估制度,重大资金的筹集、分配与运用以及资产抵押、对外投资、重大资产购置等进行集体决策。第四十条 会计系统内部控制主要内容包括:(一)严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。公司确保分支机构会计核算的一致性。(二)公司会计核算合规、及时、准确、完整,变更会计政策经董事会批准
17、。(三)公司真实、全面、及时地记载各项业务,充分发挥会计的核算监督职能,确保信息资料的真实与完整;建立完备的业务台账系统,并通过业务台账系统和会计核算系统交叉印证,防止出现账外经营、账目不清等问题。(四)公司强化会计监督职能,加强会计事前、事中和事后监督,加强对负债项目的管理、大额支出的跟踪考核、重大表外项目(如抵押、托管证券、未决诉讼等)的风险管理以及资产质量的监控。(五)公司建立财产日常管理制度和定期清查制度,强化资产登记保管工作,采用财产记录、定期实物盘点、账实核对、财产保险等措施,确保公司及客户资产的安全完整。(六)公司完善会计信息报告体系,确保提供及时、可靠的财务信息。(七)公司制定
18、完善的会计档案管理和交接制度。第四十一条 电子信息系统内部控制主要内容包括:(一)运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。(二)信息系统操作人员有互不相同的用户名,定期更换操作口令,严禁操作人员泄露自己的操作口令。禁止同一人掌管操作系统口令和数据库管理系统口令。第四十二条 稽核审计内部控制主要内容包括:(一)公司定期或不定期邀请母公司审计部门或专业审计机构,就公司内部控制制度的执行情况,独立地履行检查、评价、报告、建议职能。(二)稽核审计工作报告据实反映发现的内部控制的缺陷及异常事项、对
19、发现的内部控制缺陷及异常事项的处理建议及整改情况等内容。(三)任何部门和人员不得拒绝、阻挠、破坏稽核审计工作。第四十三条 人力资源管理内部控制主要内容包括:(一)制定和实施有利于公司可持续发展的人力资源政策。建立和实施绩效考评制度,科学设置考核指标体系,对公司内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。(二)重视聘用人员的诚信记录,确保其具有与业务岗位要求相适应的专业能力和道德水准,切实加强员工培训和继续教育。聘用人员签订合规与诚信承诺书。(三)关键岗位人员任期届满、工作调动或离职,进行任期经济责任审计及专项审计
20、。(四)培育良好的内部控制文化,建立健全员工持续教育制度,加强对员工的法规及业务培训,确保所有从业人员及时获得充分的法律法规、内部控制和行为规范的最新文件和资料,确保员工书面承诺收到相关资料并理解其内容。(五)加强业务人员的从业资格管理,上岗人员符合相关资格管理的规定。(六)建立合理有效的激励约束机制,建立严格的责任追究制度。 (七)制定严谨、公开、合理的人事选拔制度,任免程序中明确规定任免决定权的归属。人事任免有完备的决策记录。第四章 附则第四十四条 公司可根据新产品、新业务的推出,对本制度进行补充修订。公司可根据本制度的规定和经营管理的需要,制定具体的管理办法或操作规程。第四十五条 本制度属于基本制度,由董事会负责制定、解释与修改。第四十六条 本制度自董事会审议通过并发布之日起实施。