山西证券：2010年度内部控制自我评价报告 2011-04-15

山西证券股份有限公司（以下简称“公司”）董事会根据《证券法》、《公司法》、《企业内部控制基本规范》、《证券公司内部控制指引》和《深圳证券交易所中小企业板上市公司规范运作指引》等法律、法规、规章和规范性文件的要求，对2010 年内部控制及运行情况进行了自我评价，形成本报告。

一、内部控制综述

（一）法人治理结构

公司严格按照《公司法》、《证券法》和中国有关法律法规和规范性文件的要求，建立了由股东大会、董事会、监事会和高级管理人员组成的健全、完善的法人治理结构，形成了权力机构、决策机构、监督机构和管理层之间职责明确、运作规范的相互协调和制衡机制。

1、公司制定了《公司章程》、《股东大会议事规则》、《董事会议事规则》、《监事会议事规则》、《董事会战略发展委员会实施细则》、《董事会审计委员会实施细则》、《董事会薪酬、考核与提名委员会实施细则》、《董事会风险管理委员会实施细则》、《董事制度》等规章制度，为公司法人治理结构的规范化运行提供了制度保证。

2、公司股东大会是公司的最高权力机构，确保所有股东能够充分行使权利。

3、董事会是公司的常设决策机构，对股东大会负责。公司董事会下设审计委员会、风险管理委员会、战略发展委员会、薪酬、考核与提名委员会等四个专门委员会，负责相关范围内的重大决策。战略发展委员会主要负责对公司中长期发展规划、公司发展战略、重大投资融资方案进行审查并提出建议等；风险管理委员会负责对公司的总体风险管理进行监督，并将风险控制在合理范围内，组织评估公司新产品、新业务中所包含的市场风险，审核相应的风险管理程序等，以确保公司能够对与公司经营活动相关联的各种风险实施有效管理；审计委员会主要负责提议聘请或更换外部审计机构、监督公司的内部审计制度及其实施、审查

公司的内控制度等；薪酬、考核与提名委员会主要负责制定适合市场环境变化的绩效评价体系、具备竞争优势的薪酬方案以及与经营业绩相关联的奖惩激励措施制定、审查公司董事及高级管理人员的薪酬与方案等。各专门委员会对董事会负责，向董事会报告工作。其中审计委员会、薪酬、考核与提名委员会中董事占多数，并由董事担任主任委员，审计委员会中目前有1名董事是会计专业人士。

4、监事会是公司的内部监督机构，负责对公司董事、高级管理人员的行为及公司财务进行监督，向股东大会负责并报告工作。

5、2010年度，公司共召开股东大会会议1次，通过决议13项；监事会会议1次，通过决议4项；召开董事会会议6次，通过决议36项；有效地行使了股东大会、董事会、监事会的权力。

6、公司的股东大会、董事会、监事会和高级管理人员各司其职，不存在大股东直接干预公司日常经营活动的情况，公司与大股东在资产、财务、人员、业务和机构方面均分开经营、管理，实现了股东所有权与公司法人经营权的分离，确保了公司运作。

(二) 内部控制架构

1、公司管理层对内部控制制度的制定和有效执行负责，通过指挥、协调、管理、监督各控股子公司和职能部门行使经营管理权力，保证公司的正常经营运转。各控股子公司和职能部门实施具体经营业务，管理公司日常事务。为更好地对公司日常事务进行管理和协调，公司管理层设立了经纪业务决策委员会、投资管理业务决策委员会、资产管理业务决策委员会、创新业务决策委员会、风险管理执行委员会、企业融资业务决策委员会、信息技术治理委员会等7个专门委员会，对关键业务的内部控制进行设计、管理与监督。

2、公司根据内部控制有关规章、文件和自律规则的要求，结合公司自身具体情况，已建立起了一套较为完善的内部授权体系。公司制定《山西证券股份有限公司授权办法》，授权体系遵循审慎授权，适时调整，有效监控，制衡与效率兼顾的原则，以保证公司治理层及管理层能够有效地行使职权和履行职责，完善

公司治理，从而在机制上确保公司的正常经营，确保公司各项规章制度的贯彻落实。

3、公司按照主营业务线和职责分工，明确划分前、中、后台部门。前台部门通过各项制度隔离及办公场所适当隔离等措施建立起业务防火墙，使业务相互隔离；中台部门在为前台部门提供必要支持的同时，通过制度规范、流程约束和系统控制对前台业务进行全程监控和管理；后台部门为前、中台部门的稳定运行提供保障和支撑，通过对制度设计是否合理进行评估、执行是否有效进行稽核审计，及时发现公司经营活动中的潜在风险，提出风险防范对策，为公司各项业务的推进提供保障。

(三) 风险管理

1、公司在业务决策和拓展的过程中，坚守风险“可测、可控、可承受”的基本原则，建立了包括风险管理委员会、风险管理执行委员会、合规管理部、风险控制部、稽核考核部、总部相关部门及各营业部监理、各部门合规风控联络人在内的全方位、多层次的风险管理体系，对各项业务的事前、事中和事后风险进行统一识别、评估、控制、管理，对公司所有业务进行合规审查，并由的稽核考核部门履行稽核检查职能。

2、公司建立和完善了以《公司章程》和基本制度为基础的风险管理制度体系、以净资本为核心的风险控制指标体系和风控、稽核、合规三部门加强联动的风险管理协作机制，将中国对证券公司的监管思想、公司的风险管理理念贯穿在整个风险管理运行体系中，使风险防控成为公司经营管理的前提，成为员工日常工作的指引。

3、公司设立风险控制部，主要履行风险评估、风险监督和风险量化分析的职责，协助公司各级管理人员对业务经营的各类风险进行识别、评估和管理控制，并提出相应的风险控制措施，主要监管市场风险、操作风险和流动性风险。

4、公司设立合规总监及合规管理部，依据相关法律、法规和准则的规定，结合公司实际情况，制订《合规管理制度(试行)》，明确了合规管理的目标、基本原则、机构设置及其职责，以及违规事项的报告、处理和责任追究等，形成了

较为完整、规范的合规管理体系。在日常合规工作以及其他专项工作中，合规部门根据法律法规的变化，参考行业内做法，不断更新和深化公司的制度体系。同时在日常工作中，不断识别风险、发现问题，采取控制措施，在规避风险，保障公司业务稳健运行方面起到了积极的作用。

5、公司设立稽核考核部，根据《山西证券股份有限公司内部稽核审计制度》，对总部各个业务部门和营业部进行例行或专项稽核审计，对公司内控机制、内控制度的建立和执行情况进行定期的事后稽核检查与评价，提出内部控制缺陷的改进建议，督促有关责任部门及时改进。稽核考核部严格按照各项内部审计制度的规定在公司的授权下开展审计工作，审计范围全面覆盖公司的财务会计业务、经纪业务、证券自营业务、资产管理业务等。所有审计项目最终都形成的审计报告，并按照规定下发给被审计单位，严格督促被审计单位整改存在的问题。

6、公司各业务部门和分支机构在授权范围内履行直接的风险监控与风险管理职能，负有直接和基础的风险管理责任。

7、为有效落实反洗钱工作，在巩固反洗钱内控制度的基础上，公司于2010年进一步升级了风控平台反洗钱监控相关模块，利用系统自动检测可疑交易，落实了客户账户反洗钱风险等级划分工作。

8、公司于2010年进一步落实隔离墙管理相关制度，实现了公司各项业务部门在场所、人员、账户、信息等方面的有效隔离，初步建立了规范信息流动、防范内幕交易和利益冲突的机制。公司经纪业务、自营业务、资产管理业务、投资银行业务、研究所等业务部门均拥有各自的办公场地，配有的专业人员，并不得相互交叉兼职。公司将客户资金与自有资金严格分开，严格按照法律法规和公司规章制度的要求强化资金管理。公司自营业务、经纪业务、资产管理业务使用各自完全的交易单元，通过的交易系统进行交易，再由清算交收部集中办理清算交收，实现了各项业务之间的完全隔离。

（四）内审部门的设立与工作开展

1、公司设立稽核考核部，承担公司内部审计职能。根据《山西证券股份有

限公司内部稽核审计制度》，对公司内部控制制度的建立和实施、公司财务信息的真实性和完整性等情况进行检查监督。

2、公司稽核考核部作为公司内部审计部门对公司审计委员会负责，按规定向审计委员会报告工作。稽核考核部设置、依照法律和公司规定行使审计监督权。

3、稽核考核部负责人为专职，部门配备5名专职从事内部审计工作的人员。

4、稽核考核部对公司各职能管理部门、业务部门、分支机构进行稽核审计，稽核的范围包括但不限于以下方面：内部控制制度的建立、健全和执行情况；财务稽核审计；业务稽核审计；客户保证金存管稽核审计；管理稽核审计；反洗钱工作审计；经济责任审计、离任审计和强制离岗审计；重大工程项目；IT审计；其他专项事务审计。

5、2010年公司稽核考核部按董事会审议通过的2010年稽核审计计划，组织内审工作，全年共组织开展分支机构常规审计16项；部门负责人离任审计29项；公司业务审计1项；公司职能部门管理审计2项；计划外专项审计。审计范围覆盖了经纪业务、投资管理业务、总部职能部门管理等多条业务线。通过对被审计单位业务流程和制度执行的合规性、内部控制系统的有效性、涉及财务信息的真实性和完整性进行审计，客观公正地揭示了发现的问题及风险隐患，提出处理意见和改进建议，并通过建立限期整改跟踪、考核奖惩同步兑现、问题逐级升级反馈机制，协助管理层有效履行其责任，强化审计与查漏防弊职能。

二、关键业务内部控制

公司高度重视业务的内部控制和风险管理，从制度建设、组织架构、监督检查等多方面不断完善各项业务的内部控制和风险管理工作。公司在证券经纪业务、自营业务、投资银行业务、期货经纪业务、资产管理业务、货币资金、费用管理、信息技术等方面均已建立起较为完善的规章制度。公司采用多种方式由的部门及人员开展内部控制的监督检查工作，通过对内部控制制度的执行情况进行监督和检查，确保内部控制制度得到贯彻实施。通过开展风险监控和定期审计、不定期审计、会计核算及会计基础工作考核等，切实保障规章制度的贯彻执

行，降低经营风险，强化内部控制，优化资源配置，完善经营管理工作。

(一) 经纪业务

1、经纪业务是公司的重要业务。公司2010年度将原经纪业务总部更名为经纪业务管理总部，进一步显示其在管理上的定位。将原先八个二级部门整合为四个一级部门，分别是规划发展部、营销管理部、投资顾问部、新业务拓展部，对部门职能、岗位职责分工进行了更明确的规定。规划发展部，主要完成业务规划和网点规划的职能，协作协调各部门和营业部，推动各项工作的开展；营销管理部主要负责营销队伍和渠道的整合和管理工作，按照专业化的要求和方向，着力提升经纪业务的市场拓展能力；投资顾问部依托投资顾问队伍的建设，着力提升经纪业务的服务形象和内涵；新业务拓展部统筹IB、融资融券以及销售交易等新业务，主要负责拟定业务规则、开展业务培训等职能。

2、规章制度方面，公司已制定与经纪业务相关的规章制度，包括《经纪业务管理办法》、《营业部标准化指引》、《营业部主要风险点及其防范措施指引》、《营业部客户档案管理细则(试行)》、《经纪业务操作规程》、《经纪业务交易系统操作权限管理办法》、《经纪业务差错处理办法》、《经纪业务突发危机事件的预防与处理方法》、《重要客户管理办法》、《不合格账户管理细则》、《不合格账户应对诉讼预案(试行)》、《误报不合格账户恢复交易应急预案(试行)》、《小额休眠账户管理细则(试行)》、《小额休眠账户激活应急预案》、《开户管理规范》、《经纪人管理办法(试行)》等，对经纪业务各项流程的具体内容进行了明确规定。

3、职责分工和权限管理方面，公司对经纪业务相关的部门职责职能、岗位职责分工进行了明确规定，所有营业部均按照统一标准执行，岗位对应权限已在经纪业务系统，即恒生交易系统中设置，确保不相容权限赋予不同岗位。恒生交易系统操作权限管理实行“集中管理、统一分配、分级授权、分离制衡、实时监控”的原则，并由运营管理部进行权限的统一分配与授权管理。

4、账户管理方面，客户于公司开立证券账户和资金账户需要提交规定的完整开户资料，由经办人、复核人办理。客户办理重要资料修改需要提交身份证明等材料，由经办人、复核人办理。公司对客户保证金利率设置和交易佣金率设置

制定了相应规则。客户保证金（人民币）实行第三方存管，公司开设客户交易结算资金专用存款账户(人民币)进行客户资金的管理。对于客户保证金(外币)，公司开立客户交易结算资金专用存款账户(外币)进行管理。

5、在客户服务方面，公司适应业务发展需要，贯彻适当性服务和符合新的监管要求，草拟修订了《客户适当性管理办法》、《客户回访管理办法》、《产品标准化管理指引》等11个公司制度，并指导证券营业部根据客户的身份、财产与收入状况、证券投资经验、风险偏好及其他相关信息，有针对性的进行风险揭示、客户培训、投资者教育等工作。

6、在新业务拓展方面，公司高度重视创新业务的内部控制。在IB业务方面，公司于2010年与控股子公司大华期货有限公司(以下简称“大华期货”)签订了《中间介绍业务委托协议》、《山西证券和大华期货开展中间介绍业务联合实施办法》等相关制度，与大华期货对双方总部进行了两次联合自查，并对营业部员工进行了多次培训，对信息系统进行了多次测试，对投资者进行了多场教育。在融资融券业务方面，公司成立部门并招聘人员组建融资融券业务筹备组，草拟了《山西证券股份有限公司融资融券业务管理办法》、《山西证券融资融券业务决策委员会工作细则》等十二个制度，对营业部员工组织了4次视频培训，对融资融券系统开展了全网测试。

7、2010年度公司分别获得上海证券报评选的“最快进步证券经纪商奖”，证券时报评选的“中国最佳区域证券经纪商”等荣誉称号，“汇通启富”客服品牌获证券时报评选的“中国最佳经纪业务服务品牌新星”。

8、此外，公司对于经纪业务过程中涉及的清算、交易佣金收款、银行账户管理、银行账户和结算备付金账户核对、资金划付审批等事项均制定了相应规定、明晰了操作流程。

(二) 自营业务

1、自营业务是公司的重要业务之一。公司已建立董事会(下设风险管理委员会)、总经理办公会(下设投资管理决策委员会、风险管理执行委员会)、投资管理总部和金融衍生产品部的三级授权机制。董事会是公司自营业务的最高决策机

构，确定自营业务规模、可承受的风险限额。董事会风险管理委员会和风险管理执行委员会、风险控制部是自营业务的风险控制和监督机构，风险管理委员会负责控制投资规模、风险限额和合法合规性等重大风险。总经理办公会是自营业务的最高管理运作机构，依据董事会批准的公司年度经营计划，负责自营业务的投资决策工作，审核和批准年度投资策略。投资管理决策委员会履行审议自营证券库、自营业务投资策略、自营业务投资方案建议书等职责。投资管理总部和金融衍生品部是自营业务的执行机构，负责在授权范围内执行具体操作。

2、规章制度方面，公司已制定与自营业务相关的规章制度，包括：《证券自营业务管理办法》规定了自营业务应遵循的原则、机构设置、职责分工、运作机制、资金、账户和人员管理以及保密和禁止行为等框架性内容；《自营业务操作规程》规范了自营业务决策、执行、风险控制、资金划拨等流程，并对自营业务的绩效评估和档案管理等内容做了规定；《证券自营业务风险控制规范》对自营业务风险控制组织体系、风险种类的识别、评估以及相应的风险管理和控制措施做了规定；《证券投资授权管理办法》对证券投资授权的原则、主体以及董事会、管理层、自营业务部门的分级授权和授权的执行与监督等内容进行了规定；《自营证券库管理办法》和《自营证券库管理办法实施细则》规定了自营证券品种的选择范围、证券入选与淘汰程序以及证券库的维护和保密要求。《金融衍生产品自营业务管理办法》规定了金融衍生产品业务应遵循的原则、机构设置、职责分工、运作机制、资金、账户和人员管理以及保密和禁止行为等框架性内容；《金融衍生产品自营业务操作规程》规范了金融衍生产品业务决策、执行、风险控制、资金划拨等流程，并对金融衍生产品业务的绩效评估和档案管理等内容做了规定；《金融衍生产品自营业务风险控制规范》对金融衍生产品业务风险控制组织体系、风险种类的识别、评估以及相应的风险管理和控制措施做了规定；《自营衍生产品库管理办法》规定了自营证券品种的选择范围、证券入选与淘汰程序以及证券库的维护和保密要求。

3、权限管理方面，自营业务在投资管理综合业务平台内进行，金融衍生产品业务在根网系统以及衡泰股指期货套利系统内进行；系统权限的新设、变更和

注销，需要填写申请表，经投资管理总部或金融衍生产品部、风险控制部、公司分管副总经理批准后，交由风险控制部备案。自营及金融衍生产品部门综合岗和合规专员依据经过审批的申请表联合授权操作员在投资管理业务综合平台中进行相应的设置操作，风控专员通过系统实时监控。未经授权人员无法在交易系统内操作。

4、公司建立自营证券库制度。由投资管理总部或金融衍生产品部提出证券库调整建议，通过履行证券入选和淘汰程序，经投资管理决策委员会审批通过后，由风控专员实施调整。

5、公司制定《内控平台阀值设置管理办法》，授权风险控制部在交易系统中设定各种风险控制阀值，限定自营业务的交易品种、交易规模、资产配置比例等各种交易风险控制指标。

6、董事会风险管理委员会和风险控制部是自营业务主要的风险控制和监督机构，风险管理委员会负责控制投资规模、风险限额和合法合规性等重大风险。风险控制部负责对投资管理总部提交的投资策略报告、投资建议书、拟入选证券库品种建议报告等研究报告的风险进行评估，并将风险评估报告上报总经理办公会审定。

(三) 投资银行业务

1、公司控股子公司中德证券有限责任公司(以下简称“中德证券”)主要负责投资银行业务。中德证券设立投资银行部负责投资银行业务。投资银行部制订了《业务规程制度》，该制度针对不同的产品和市场对业务操作流程进行规范和描述，对业务操作流程中相关部门或委员会的职责分工进行说明，描述了业务操作流程的内部控制程序，涵盖了承接立项环节、尽职调查环节、辅导环节、文件制作归档环节、内部审核环节、发行上市环节、保荐回访环节。

2、职责分工方面，投资银行部下设大项目发起部、中小项目发起部、股本资本市场部、债券资本市场部和企业融资部，中德证券对各部门岗位的职责进行了明确规定。中德证券通过制定《信息隔离墙管理制度及流程》，对各部门在业务及人员的隔离、信息隔离及风险控制等方面做出明确规定。

3、中德证券通过各专门委员会对投行业务交易录入与冲突消除、立项批准、客户接纳等流程进行控制与管理。合规部门列席投行业务各专门委员会的会议，对业务流程进行合规性审核并定期审阅承销、保荐总结报告及持续督导报告等。冲突消除委员会管理和解决由于中德证券参与不同客户之间的竞争交易在内部产生的潜在利益冲突，以便在保证中德证券和客户利益的前提下，采取恰当的行动和措施来规避可能的风险。立项评审委员会在客户接纳前，通过对立项过程中的客户及业务信息进行了解与评估，对新业务是否立项予以审核与批准，以提高业务质量、合理分配内部资源。内核委员会对尽职调查结果进行审阅和批准，并对交易及与交易相关的风险进行评估。股本承诺委员会对拟公布和发行的交易进行审阅与批准，并对定价范围予以批准，以确保审核有关交易的法律风险、市场风险、流动性风险及合规性风险等。

4、根据投资银行业务不同类型，中德证券对证券发行、收购兼并、财务顾问等业务建立了操作流程、作业标准和风险防范措施，使投资银行业务规范化和标准化，以确保业务的顺利、有序完成。

5、合规管理方面，中德证券制定了《公司合规管理制度》，新组建了合规专员队伍，以配合公司合规工作的开展；2010年度举办了5次合规培训，包括新员工合规培训、研究部流程培训等；中德证券还根据证券业协会的要求，组织员工开展了执业准则自查自纠工作，并安排了自查考试；在合规风险防范方面，公司密切跟踪监管动态，下发了80份《监管动态》、26份《合规提示》，达到合规风险预先防范、预先警示的目的。

(四) 期货经纪业务

1、期货经纪业务由大华期货负责开展。大华期货已制定并严格执行与期货经纪业务相关的规章制度，以建立期货经纪业务内部控制体系，规范各项业务流程，保障公司期货经纪业务安全稳健运行。

2、规章制度方面，大华期货已制定与期货经纪业务相关的规章制度，对相关部门职能和岗位职责、期货营业部整体管理、业务流程及操作规范、权限管理、差错处理办法、交易应急预案、突发事件预防和处置、重要客户管理、客户投诉

处理等证券期货业务各项流程的具体内容进行了明确规定。于2010年发布或修订了《交易管理制度》、《开户管理办法》、《期货经纪合同管理办法》、《股指期货投资者适当性综合评估实施办法(试行)》、《股指期货适当性制度具体指标操作标准(试行)》、《股指期货客户开发责任追究制度》、《错单处理办法》、《交割及标准仓单业务管理办法》、《大华期货有限公司客户服务管理制度(试行)》、《期货投资者教育制度》、《大华期货有限公司重大风险预警制度》、《反洗钱客户风险等级划分及管理办法》、《山西证券和大华期货开展中间介绍业务联合实施办法(修订)》等文件。

3、营业部管理方面，大华期货制定《营业部管理制度》等相关制度，规范与客户相关相关的内部控制流程，营业部必须接受公司的统一管理、统一风险控制、统一资金调拨、统一财务管理和会计核算。营业部的主要职责是拓展期货经纪业务、进行市场信息研发、维护服务客户和配合总部进行交易风险控制。

4、职责分工和权限管理方面，大华期货制定岗位职责制度和营业部管理制度，对职能部门及营业部的职责分工进行明确规定，不同岗位对应的权限在期货经纪业务系统(即金仕达交易系统，以下简称“金仕达系统”)中设置，确保不相容权限赋予不同岗位，不同岗位由不同人员担任。金仕达系统操作权限管理实行“集中管理、统一分配、分级授权、分离制衡、实时监控”的原则，并由合规与风险管理部进行权限的统一分配与授权管理。

5、对于客户保证金出入金业务(即客户存取款业务)，属于银期客户的，客户通过银期转账自主操作，财务部门每日根据金仕达系统客户资金情况表，对银期转帐汇总结果进行入账；非银期客户出入金，客户通过营业部办理保证金出入金申请并提交身份证明文件，履行营业部和总部审批和复核程序后，由总部和营业部相关岗位办理。

6、公司设置结算交割部负责结算工作。结算交割部设置了资金划拨岗、结算清收岗、交割业务岗，使结算、复核以及资金操作分离，做到各岗位之间分工严格，责任明确。针对结算交割各环节可能出现的风险，制定了具体的业务流程和操作细则，确保向保证金监控中心报送的数据真实、准确、完整，且能够按规

定及时报送.

7、风险监控方面，大华期货建立计算机辅助风险预警系统，由合规与风险管理部负责交易风险的统一监管和强行平仓的执行工作，营业部风险监控人员负责对本营业部客户进行风险提示、追加保证金及强行平仓通知等客户沟通工作。

(五) 资产管理业务

1、公司设立资产管理总部，负责资产管理业务的运作和管理，具备完备的资产管理业务内部控制机制。资产管理业务制度体系主要包括投资决策、公平交易、会计核算、风险控制、合规管理、档案管理、账户管理等各项制度，以及集合资产管理业务操作流程、员工岗位职责等，覆盖了集合资产管理业务的产品设计、推广、研究、投资、交易、清算、会计核算、信息披露、客户服务等环节。

2、规章制度方面，公司已制定《资产管理业务管理办法》、《资产管理业务投资管理办法》、《资产管理业务会计核算操作细则》、《集合资产管理业务操作规范》、《资产管理业务风险控制规范》、《资产管理业务信息披露操作细则》、《汇通启富1号投资运作规则》、《汇通启富1号股票二级市场投资运作规则》，对资产管理业务的业务流程和操作规范进行了明确规定。

3、在产品销售和客户服务方面，公司制定了清晰、科学的客户评价流程和方法，严格按照相关法律法规、监管规定和公司制度开展销售活动，并与投资者积极进行持续沟通与交流。

4、在投资运作方面，公司严格按照集合资产管理合同规定的投资范围和投资比例进行操作，保障资金安全性和提高整体投资收益率。

5、在信息披露方面，公司严格按照相关监管要求，定期在公司网站公开披露产品单位净值、集合计划管理报告和托管报告，并且按时向监管部门报送监管报表。

6、风险监控方面，资产管理业务风险控制工作主要通过两级监控模式，第一级为资产管理总部风控联络人对本部门操作业务进行全面监控和现场风险控制，即履行“监督与控制”的双重职能；第二级为风险控制部采用业务授权管理、日常交易监控及重大事项风险评估等多种方法对集合计划的管理运作进行风险

监控。风险控制部监控专人对业务部门操作业务通过资产管理综合业务平台进行非现场的实时监控，对监控中发现的异常情况及时向业务部门进行风险揭示，并要求业务部门及时反馈其处理结果。根据发生业务风险程度大小进行风险揭示的书面报告主要包括风险提示书、风控警示书、监控揭示书或风险告示书等。另外，风险控制部与相关部门之间通过“工作联动卡”建立起风险事项的通报与沟通协作处理机制。

(六) 财务报告

1、公司建立了完善的财务报告相关内部控制体系和操作流程规范，并将财务报告相关的流程与各业务环节相关流程进行充分和有效衔接，确保财务报告内部控制在制度层面的完整性和运行层面的有效性。

2、公司按照《企业会计准则》等相关规定以及对于财务会计制度的相关规范要求，建立了相应的财务会计制度，制定了包括《财务管理制度》、《自有资金管理办法》、《费用支出管理办法》等文件在内的一系列财务会计规章制度，保证会计信息真实可靠，防范不正当编制行为可能对财务报告产生的重大影响。

3、公司财务系统采用用友财务系统，在用友系统中按照业务岗位分配用户权限，设置系统管理员、查询组、资金管理岗、资金岗、自有业务核算组、清算业务组、薪资管理岗、经纪业务核算组、资产管理组、预算管理组和营业部财务组。各业务组的人员有明确的职责权限，确保不存在职责冲突的情况。

4、公司建立了有效的期末关账流程和报告编制流程。每年制定年度财务决算工作安排，经公司总经理批准后就决算有关事项进行布置，安排各部门、子公司的报表上报时间，检查会计科目勾稽关系、核对货币资金、清理往来款项、确定公允价值、盘点财产、资产减值测试、计算税金等工作。次年初，公司制定年度报告编制工作安排，经公司总经理批准后就年度报告有关事项进行布置，安排各部门的配合内容。公司严格遵守财政部及其他监管机构关于财务报告编制方法、披露及时间要求相关规定，并履行必要的审批程序。财务报告必须履行完毕公司规定的审批流程后，方可对外报出。

(七) 货币资金

1、公司对自有资金和客户资金分别管理，自有资金主要通过货币资金相关内部控制进行管理，客户资金主要通过证券经纪业务和期货经纪业务相关内部控制进行管理。公司对货币资金实行严格管理，制定了一系列规章制度以规范货币资金业务流程；对办理货币资金业务的出纳、制证、记账、审核、财务主管等，实行不相容岗位相互分离、制约和监督；并建立了严格的授权审批制度。

2、为规范自有资金的管理和运用，公司制定了《自有资金管理办法》、《费用支出管理办法》。

3、职责分工方面，公司在《计划财务部部门职能与岗位说明》中明确规定了财务人员的职责分工，其中包括货币资金相关的岗位设置和职责分工。出纳人员不兼任会计档案保管及与出纳岗位不相容的会计科目登记工作(例如收入、支出、费用、债权债务等会计科目)；会计凭证的制证和复核为不同会计人员；对资金划转和费用报销的审批进行了明确职责分工。

4、审批授权方面，公司根据业务情况分别规定了货币资金划付的审批标准，建立了分级审批体系并明确相应的审批权限。业务部门、职能部门及分支机构对外付款时，需按照相应规章制度履行分级审批手续后，由财务部复核并办理资金划款手续。

5、银行账户核对方面，财务部门指定岗位负责每月与银行对账，编制自有资金账户的银行存款余额调节表，并由不相容岗位进行复核。

(八) 费用管理

1、公司制定了相关规章制度，对费用的职责分离、预算制度、费用支付和报销、费用核算以及对费用的监督等具体业务流程进行规定。

2、职责分工方面，公司明确规定了成本费用相关的岗位设置和职责分工，不相容职责由不同岗位负责。财务部门对预算管理、费用审批与支付、成本费用核算等设置相关的岗位进行业务操作。

3、费用预算方面，由财务部门统筹编制，经公司管理层审批后下发，各部门须严格执行经批准的费用预算，重大调整需按照公司相关规定履行授权审批程序。

4、费用报销方面，根据公司业务情况制定了费用报销分级审批流程。申请人提交费用报销申请，按照公司规定履行相应审批程序后，由财务部门具有相应权限岗位进行复核及审核原始单据和凭证，并进行入账。费用报销实行银行转账支付方式，由财务部门相应岗位根据复核后的会计凭证制作银行支付单据，另一指定岗位对会计凭证、原始凭证和银行支付单据进行复核，确认银行支付单据与会计凭证、原始凭证的金额一致后，办理银行转账支付手续。

(九) 信息技术

1、公司针对信息技术的安全管理和运行维护，建立了相应的规章制度和控制程序。其中包括以下方面的制度和流程：信息系统安全管理制度、信息系统变更管理流程、信息系统日常操作规范、信息系统应急方案、数据库管理流程、信息系统技术事故应急管理流程、信息中心机房管理流程以及信息中心机房数据备份管理流程等。

2、职责分离方面，公司管理层进行风险评估，并参照行业普遍实践，将IT 员工的职权根据运维职责的不同进行了适当、有效的划分。制定了明确的组织结构图和岗位职责说明书，并在发生变更时予以及时更新。就职责可能存在潜在冲突的岗位及管理方面，结合“必要性”、“不相容”等原则予以考虑，实行适当的职责分离。

3、系统变更管理方面，信息技术部门制定并实施了信息系统变更管理流程，管理和防范由于系统程序变更带来的风险。该流程包括：程序变更的申请审批、变更程序与数据的备份、用户接受测试、程序上线的授权等方面的管理控制。

4、程序及数据安全管理方面，信息技术部门制定并实施了信息系统安全管理制度、数据库管理流程以及机房管理流程等。这些制度及流程规定了操作系统以及数据库配置需要符合安全配置原则。同时，信息技术部门严格控制在数据库层面进行直接数据修改：对于大部分系统的数据库严禁直接数据修改；对于允许直接数据修改的系统，必须按照相关规定履行审批流程。信息技术部门实行对网络的集中化管理，使用VLAN对其内部网络进行划分，并且严格业务系统主机对于互联网进行访问。信息技术部门实行的机房管理流程中，只有经授权的技

术部人员具有进入生产中心机房的权限；如其他人员需要进入生产中心机房，需获得相关管理人员的批准。

5、系统备份与应急演练测试方面，信息技术部门制定并实施了信息中心机房数据备份管理办法。该办法包括了主要应用系统的备份策略以及备份实施细则，适当考虑了各系统的数据完整性和可用性。同时，信息技术部门对各系统制定了详细的应急演练测试方案，并根据方案，完成了应急演练，并做相关记录。

6、2010年度公司进行的信息系统建设包括：集中帐户管理系统建设、网上交易安全体系建设、集合理财业务相关系统建设、新意证券综合管理平台 6.0系统建设、集中财务管理系统升级、内控平台优化、防病毒系统升级改造、营业部网络架构调整和营业部信息系统建设等。

7、为帮助公司员工在日常办公、业务操作方面自觉融入安全元素，主动防范风险，逐步了解日常工作所需的安全防护基本知识，学会有效保护个人和企业信息，信息技术部于2010年度组织编写了《山西证券员工信息安全手册》，主要内容分为六个部分：认知我的电脑、用户权限管理、安全使用互联网、安全使用电子邮件、信息安全保护和安全技术求援。

(十) 对控股子公司的管理与控制

1、截止至2010年12月31日，公司控股子公司情况如下：

2、子公司均严格依据《公司法》、《证券法》等法律法规的规定建立了健全、有效的内部控制组织体系和规章制度体系，严格依法合规经营。

3、公司通过股东会、董事会等合法方式选任、选派控股子公司的董事、监事、高级管理层人员，加强对控股子公司绩效考核等内控制度健全和执行情况的监督。子公司定期将经营成果汇报给公司。

4、中德证券董事会、股东会、监事会及各专业委员会有效运转。股东会于2010年度举行了两次会议；董事会于2010年度举行了五次会议，董事会下设的

人事与薪酬委员会、审计委员会、战略委员会也分别举行会议，对提交董事会的相关议案进行了审议；监事会于2010年度举行了一次会议。

5、大华期货董事会于2010年度共召开股东会2次，形成11项股东会决议；董事会5次，形成21项董事会决议；监事会3次，形成10项监事会决议，股东会、董事会和监事会的工作有效开展。

(十一) 关联交易和对外担保的控制

公司已制订了《关联交易制度》，对关联方和关联交易、关联交易的授权体系、信息披露等内容作出了具体规定。公司董事会每年制定本年的关联交易计划，公司管理层严格履行关联交易事项的审批程序，并按照有关规定履行信息披露义务，未发生违反有关规定的情况。公司于2010年度未发生对外担保。

(十二) 募集资金使用

公司根据相关法律规定制定了《募集资金管理办法》，开设募集资金使用专户，根据有关法律法规和上市规则，与开户银行和保荐机构签订《募集资金三方监管协议》，对募集资金进行严格管理。截至2010年12月31日止，募集资金尚未使用。

(十三) 重大投资的控制

公司对重大投资进行严格管理，按照全面预算化管理要求对子公司投资、营业网点建设、固定资产投资等重大投资进行规范，按照《公司章程》及相关规章制度管理公司重大投资行为，使相关投资符合公司的发展战略、长远规划和经营目标，确保重大投资的合法性、科学性和合理性。

(十四) 信息披露

根据《公司法》、《证券法》、《上市规则》和《上市公司信息披露管理办法》等法律、法规及部门规章的有关规定，公司已制订了《信息披露事务管理制度》。公司董事会秘书负责信息披露事务及投资者关系管理工作。公司指定信息披露媒体包括中国证券报、上海证券报、证券时报、巨潮网等。2010年度公司在深圳交易所上市后，信息披露严格遵循了相关法律法规和规范性文件规定，披露信息真实、准确、完整、及时。

三、问题及改进计划

公司按照法律法规的要求，结合证券市场的业务特点，注重加强风险管理机制、内部控制体系和内部控制制度建设，取得良好成效。但公司也充分认识到，内部控制具有固有存在错报发生和未被发现的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或降低对控制、程序遵循的程度，因此公司将严格按照相关法律法规和公司各项规章制度，从以下几个方面出发，进一步完善内部控制。

(一) 持续完善内部控制

随着法律法规的不断完善和更新，证券市场和公司各项业务的不断发展，公司内部控制体系建设仍需要长期持续不断的改进和完善。公司将不断分析和评估内部控制体系和各项规章制度的有效性以及执行的实际效果，进行持续的改进和完善。同时，公司将加大监督检查力度，加强风险管理文化的宣传和培训，加强员工职业道德教育，促进内控工作的有效开展。

(二) 加强人才储备，为业务发展做好准备

随着公司各项业务的发展，现有的人才储备可能不能很好满足未来业务发展的需要。因此公司将进一步完善人才战略，继续开展优秀人才的招募，同时加强员工的各项业务培训提升专业技能，使公司的人才储备与公司的战略发展目标相契合，保障公司中长期发展目标的实现。

(三) 继续推动信息系统建设

公司于2010年制定了《山西证券股份有限公司信息技术治理委员会工作条例》以及公司IT治理的未来三年规划，保障了公司IT治理工作的有效进行，加强了IT管理与规范。因此，公司将继续推动信息系统建设，进一步加大信息技术投入，充分发挥信息技术对内部控制的支持作用，增强内部控制的有效性，提升公司经营效率。

四、内部控制总体评价

通过对公司2010年度内部控制情况的综合评价，公司董事会认为公司高度重视内部控制体系和各项业务流程及操作规范的建立、完善和执行，严格按照《证

2010年度内部控制自我评价报告

19 券法》、《公司法》、《企业内部控制基本规范》、《证券公司内部控制指引》和《深圳证券交易所中小企业板上市公司规范运作指引》等法律、法规、规章和规范性文件的要求，建立了规范的法人治理结构，建立健全了符合公司实际情况、适应公司业务发展和风险控制需要的有效的内部控制体系和各项规章制度，并实现了内部控制体系的有效运作。公司的内部控制体系已覆盖了公司所有业务流程、子公司、各部门以及分支机构，涵盖了事前防范、事中监控、事后检查的环节。公司已逐步建立了与自身发展相适应的“风险全面评估、管理同步监督、经营逐级控制”的风控原则，以“风控比盈利更重要”、“规则比权力更重要”、“合规比创新更重要”、“防范比治理更重要”、“安全比速度更重要”为核心的风险管理文化逐步成熟。公司内部控制体系和内部控制机制不存在重大缺陷，实际执行过程中也未出现重大偏差。公司的内部控制在所有重大方面是有效的，为保障公司合法合规经营、提高公司经营效率和效果，促进公司发展战略的实现和持续健康发展提供了坚实保障。