光大证券:光大证券股份有限公司2022年度内部控制评价报告

公司代码：601788公司简称：光大证券

光大证券股份有限公司

2022年度内部控制评价报告

光大证券股份有限公司全体股东：

根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求（以下简称企业内部控制规范体系），结合本公司（以下简称公司）内部控制制度和评价办法，在内部控制日常监督和专项监督的基础上，我们对公司2022年12月31日（内部控制评价报告基准日）的内部控制有效性进行了评价。

一.重要声明

按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。

公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进实现发展战略。由于内部控制存在的固有局限性，故仅能为实现上述目标提供合理保证。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。

二.内部控制评价结论

1.公司于内部控制评价报告基准日，是否存在财务报告内部控制重大缺陷

□是√否

2.财务报告内部控制评价结论

√有效□无效

根据公司财务报告内部控制重大缺陷的认定情况，于内部控制评价报告基准日，不存在财务报告内部控制重大缺陷，董事会认为，公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。

3.是否发现非财务报告内部控制重大缺陷

□是√否

根据公司非财务报告内部控制重大缺陷认定情况，于内部控制评价报告基准日，公司未发现非财务报告内部控制重大缺陷。4.自内部控制评价报告基准日至内部控制评价报告发出日之间影响内部控制有效性评价结论的因素□适用√不适用自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。

5.内部控制审计意见是否与公司对财务报告内部控制有效性的评价结论一致

√是□否

6.内部控制审计报告对非财务报告内部控制重大缺陷的披露是否与公司内部控制评价报告披露一致

√是□否

三.内部控制评价工作情况

(一).内部控制评价范围

公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。

1.纳入评价范围的主要单位包括：光大证券母公司、全资及控股子公司，即光大证券总部部门、下

属分支机构及上海光大证券资产管理有限公司、光大期货有限公司、光大资本投资有限公司、光大富尊

投资有限公司、光大发展投资有限公司、光大证券国际控股有限公司、光大保德信基金管理有限公司和光大幸福国际租赁有限公司。

2.纳入评价范围的单位占比：

指标占比（%）

纳入评价范围单位的资产总额占公司合并财务报表资产总额之比100%

纳入评价范围单位的营业收入合计占公司合并财务报表营业收入总额之比100%

3.纳入评价范围的主要业务和事项包括:

（1）公司层面内部控制，包括公司治理、企业文化、组织架构、发展战略、社会责任、人力资源

管理、全面预算管理、财务管理、运营管理、信息技术管理、关联交易、子公司管理、信息与沟通、合

规管理、风险管理与内控建设、内部审计等方面。

（2）业务及流程层面内部控制，包括投资银行、证券自营、证券经纪、信用业务、财富管理、证

券投资咨询、互联网金融、投资研究、机构交易、基金托管、证券资产管理、期货、私募股权投融资、

融资租赁、海外业务、金融创新业务等业务控制，以及费用管理、采购管理、合同管理、税务管理、印章管理、档案管理等流程控制方面。

4.重点关注的高风险领域主要包括：

2022年度公司内控自我评价工作，在确保覆盖主要核心业务流程的基础上，重点围绕监管检查的

关注要点，以及同业机构发生违规、遭受监管处罚的领域进行。重点关注的高风险领域主要包括：投资银行、证券自营、资产管理业务、期货业务、信用业务、财富管理业务、金融创新业务、海外业务、子

公司管理、信息技术管理、财务管理、反洗钱工作等。

（1）公司内部控制体系建设情况公司评价期内深入贯彻党中央、国务院的决策部署，全面从严扎实推进中央巡视整改工作，持续完

善内控体系建设，落实落细内控主体和监督责任，保障内控机制规范平稳运行。

*持续推进内控制度建设，夯实制度体系基础。公司定期组织重检规章制度，检视补齐制度短板，及时将外部监管及内控要求转化为制度规程，梳理公司重点业务领域和关键业务控制环节的薄弱点，及时填补漏洞、纠正偏差，提高制度的完整性和可操作性，确保制度的有效性和约束力，从而形成持续改进、不断完善的制度运行机制，提升公司价值。

*优化完善授权体系和决策机制，提升公司治理水平。公司严格落实“三重一大”事项的集体决策机制，强化子公司“三重一大”事项管控，规范执行公司治理程序，持续完善授权管理制度体系，加强重点业务及重要事项管控，推进授权管控体系与公司业务发展相适应，提升公司治理能力。

*加强关键领域内控管理，持续完善内控机制。公司以巡视整改为契机，切实推进瘦身健体、金融风险防范化解、廉洁风险防控、费用管控等工作，着力加强战略、风险、合规、财务、人力资源等重点领域的内控管理，针对权力运行需要制约的方面和业务流程中风险点的分布，进一步优化流程防线，形成权责清晰、制衡有效、流程完备、管控有力的内控工作机制。

*建立健全多层次、立体化监督体系，加强监督检查合力。公司加强合规检查、巡察监督、纪律监督和审计监督等相关部门的监督协同、统筹整合，有效落实内控监督责任，加大问题整改督导力度，认真开展内控评价，持续强化执纪问责，提升内控执行有效性。

（2）重点业务及高风险领域主要控制措施

*投资银行业务

公司持续优化投资银行业务部门、质量控制总部、内核办、法律合规部、风险管理与内控部构成的

投行业务“三道防线”内控架构体系，进一步压紧压实内控责任。投资银行业务部门为内部控制的第一道防线，从源头控制业务风险；质量控制总部为第二道防线，及时发现、制止和纠正项目执行过程中的问题；合规、风控、内核部门为第三道防线，通过介入主要业务环节把控关键风险节点，实现公司层面对投资银行类业务风险的整体管控。

2022年公司投行系统对内控制度进行了梳理和完善，新增及修订《光大证券股份有限公司投资银行类业务质量内部控制管理办法》、《光大证券股份有限公司投资银行项目合理信赖流程管理实施细则》

等制度规程80余项，废止制度3项，进一步夯实制度体系，优化业务流程，加强交易审核，强化内部管控。

*证券自营业务

公司进一步细化自营业务投资决策与授权机制，设立了由董事会、总裁办公会及其授权的专业委员会、自营业务部门组成的相对集中、权责统一的三级决策机制。各自营业务部门在公司授权范围内，严格遵循公司相关规章制度、限额及授权，以公司自有资金或依法筹集资金开展自营投资业务，根据市场风险、信用风险等不同类型风险的防控要求，对公司授权及风险指标进行内部细化和运行监控。

2022年根据业务发展和风险管控的需要，公司自营业务部门进一步完善投资业务内控建设。修订

发布《光大证券股份有限公司自营业务管理办法》、《固定收益外汇商品部固定收益投资业务实施细则》、

《权益投资交易部权益类投资管理办法》、《权益投资交易部投资池管理办法》等11项制度；新增《固定收益外汇商品部绿色债券投资池管理细则》、《固定收益外汇商品部投资业务交易账户管理规程》2项制度，细化完善了公司在自营业务中的禁止行为，对各个风险点进行管控。

*资产管理业务公司通过全资子公司上海光大证券资产管理有限公司开展证券资产管理业务。针对资产管理业务及其风险特征，资管子公司在投资研究、投资决策、交易执行、产品设立、交易监控、业务隔离等方面建立了内部控制机制并持续完善。建立信息隔离墙制度与利益冲突防范管理制度，投资决策与交易执行相分离，确保资产管理业务与其他业务在场地、人员、账户、资金、信息等方面相分离，不同投资经理管理的资管计划持仓和交易等重大非公开投资信息相隔离；建立了相对完善的投资决策体系和投资管理日

常风险监控系统，同时密切关注资产管理行业的发展趋势及政策动态，不断完善产品方案设计、论证与创设，有效开展产品存续管理工作。2022年公司对现有制度进行了全面评估和梳理，按照不同层级的制度要求及业务发展需要进行查漏补缺，新增及修订制度50项，保障业务有序推进，切实有效进行风险管控。

*期货业务

公司通过全资子公司光大期货有限公司开展期货业务。期货子公司进一步完善治理结构，加强合规和风险管理文化建设，提升公司治理水平。2022年，新增及修订制度136项，废止制度21项，新增及修订制度涵盖各项业务条线管理制度及操作流程，完善了期货期权经纪业务、资产管理业务、保险+期货业务等业务管理要求，细化了操作流程。合规及风险管理工作已全面纳入并接受母公司的垂直管理，按要求排查梳理各项业务内控流程，补充完善控制措施，防范化解各类风险隐患；高度重视内外部监督检查及整改督导工作，形成有效的监督检查闭环管理运行机制。

*信用业务

公司通过完善信用业务内控工作机制，进一步加强融资融券和股票质押业务风险管控，落实信用业务规模限额管理、担保证券与标的证券跟踪管理、客户准入审核、授信额度审批、风险指标监控、风险

客户预警、业务分级审批、岗位制衡等内部控制措施。2022年公司强化大额授信客户尽职调查机制，并通过完善金仕达融券业务管理相关功能，提高日常交易时效性，降低客户违约风险。根据业务监管规则和内部管理流程变化，修订了《光大证券融资融券业务内部管理制度》、《光大证券股票质押式回购交易业务管理办法》和《光大证券股票质押式回购交易业务内部管理细则》3项制度。

*财富管理业务

2022年公司基金投顾业务正式获准开业，公司发布了配套制度21项，内容涵盖投资决策委员会管

理、业务管理、客户适当性管理、基金备选库及组合策略管理、合规风控管理等各个方面；颁布了证券

投顾业务制度《光大证券股份有限公司证券投资顾问业务管理办法》、《光大证券股份有限公司投资顾问考核实施细则》，同时废止原有制度；PB业务管理方面，修订《光大证券股份有限公司主经纪商业务管理办法》及配套《客户准入实施细则》与《专业交易服务管理实施细则》；针对特定专业交易服务功能，修订了《组合委托文件读取服务管理实施方案》，确保机构经纪各项业务开展有据可依，有规可循。

*金融创新业务

公司不断优化和完善内控机制，建立涵盖主要控制环节和业务流程的制度体系，对场外衍生品、场内期权做市等业务实施统一的风险管理，对于合规风险管控进行持续跟踪及审慎评估。部门相关业务系统已纳入公司统一系统管理体系，严格按照公司要求进行管理。

*海外业务

公司依托全资子公司光大证券国际控股有限公司，并通过其下属经营实体开展海外业务。2022年海外业务子公司进一步完善“三重一大”管控机制，持续提升子公司治理水平，重检优化授权体系；全面梳理海外业务风险管理制度，完善内部控制体系，推进合规文化建设，健全常态化问责工作机制；推进瘦身健体，约束重点风险及业务边界，加强风险资产管理，切实防范经营风险。

*子公司管理

公司持续强化子公司垂直管控与穿透管理，防范新增重大风险。2022年公司进一步优化子公司管理，构建垂直化、穿透式管控机制，形成既有牵头部门统筹协调，又有专业部门条线化对口管理的立体管控模式。同时，采取了系列管控措施，包括：深化子公司治理，持续完善并严格执行“三重一大”决策制度；加强子公司选人用人的指导监督，做好关键岗位人员管理；强化子公司合规风控统一管理，实施合规及风险管理负责人派驻制，强化垂直考核力度；出台境外机构及业务提级管理制度，通过统筹规划境外业务经营、实施重点事项分类提级管理，加强对境外子公司监督管理等。

*信息技术管理

公司聚焦数字化、平台化、智能化的集团科技战略愿景，着重发展安全保障能力、业务支撑能力、科技创新能力和科技运用能力，建立高效率管理机制。2022年公司加强系统运行管理，通过事前系统升级变更管理，事中系统运行实时监控，事后应急处置演练，保障业务连续性及核心生产系统稳定运行；夯实金融科技基础，建设具备资源高效管理、弹性供给、云网联动、多地多活的金融云平台；加强信息安全管理，构建公司信息安全防护体系，推动公司信息安全从被动防御走向主动防御和智能防护；加强信息系统建设，提升公司业务金融科技应用能力，夯实财富业务核心生产基础，推动财富管理转型。

*财务管理

2022年公司3次修订费用管理办法，压降招待费预算，重检业务流程，开展合规检查，加大问责力度，深入贯彻落实中央八项规定精神，形成严的氛围。费用管理方面，预算编制及执行过程严格履行审批程序，成本费用控制以预算为前提，重点控制费用报销开支要求、审批权限以及流程合规性；资金管理方面，严格执行不相容职务分离，资金支付严格履行授权审批程序，资金收付不得由一人办理货币资金全过程业务；筹融资管理方面，对重大筹资方案进行科学论证，严格审批；流动性风险管理方面，实施限额管理、头寸融资安排管理确保公司流动性风险指标持续达标；财务报告编制管理方面，变更会计政策严格履行审批程序，会计报表的编制依托于财务系统以减少或避免编制差错和人为调整因素，财务报告经内部复核后需履行内部分级审批程序并签字确认。

*反洗钱工作

2022年公司加大对各单位反洗钱工作的检查督导力度，开展了分支机构反洗钱数据非现场检查、高风险客户强化尽职调查和可疑交易监测质检、投资银行业务反洗钱专项检查等工作；完成了洗钱和恐怖融资风险自评估，了解公司固有风险、管控有效性和剩余风险；完善制度建设，对公司《光大证券股份有限公司反洗钱工作管理办法》、《光大证券股份有限公司大额交易和可疑交易报告管理办法》进行了修订，并新增了《光大证券股份有限公司反洗钱客户强化尽职调查工作操作细则（试行）》；不断调整和优化反洗钱系统的功能建设，运用金融科技赋能反洗钱工作，提升反洗钱管控效率。

5.上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面，是否存

在重大遗漏

□是√否

6.是否存在法定豁免

□是√否

7.其他说明事项

无

(二).内部控制评价工作依据及内部控制缺陷认定标准

公司依据企业内部控制规范体系及《证券公司内部控制指引》、《上海证券交易所上市公司内部控制指引》要求，结合公司内部控制制度和评价方法，在内部控制日常监督和专项监督的基础上，组织开展内部控制评价工作。

1.内部控制缺陷具体认定标准是否与以前年度存在调整

□是√否

公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财务报告内部控制，研究确定了适用于本公司的内部控制缺陷具体认定标准，并与以前年度保持一致。

2.财务报告内部控制缺陷认定标准

公司确定的财务报告内部控制缺陷评价的定量标准如下：

指标名称重大缺陷定量标准重要缺陷定量标准一般缺陷定量标准

资产潜在错报资产错报＞资产总额的1%资产总额的0.5%＜资产错资产错报≤资产总额的

报≤资产总额的1%0.5%利润潜在错报利润错报＞营业利润的5%营业利润的1%＜利润错报利润错报≤营业利润的1%

≤营业利润的5%

说明:无

公司确定的财务报告内部控制缺陷评价的定性标准如下：

缺陷性质定性标准

重大缺陷1．注册会计师发现董事、监事和高级管理人员舞弊；

2．公司更正已公布的财务报告，以更正由于舞弊或错误导致的重大错报；

3．注册会计师发现当期财务报告存在重大错报而内部控制在运行过程中未能发现

该错报；

4．公司审计委员会和内部审计机构对内部控制的监督无效。

重要缺陷1．未依照公认会计准则选择和应用会计政策的内部控制问题；

2．未建立反舞弊程序和控制措施；

3．对于非常规或特殊交易的账务处理未建立相应的控制措施；

4．期末财务报告过程的控制存在一项或多项缺陷不能合理保证编制的财务报表达

到真实、准确的目标。

一般缺陷公司认为不构成重大或重要缺陷的其他财务相关内部控制缺陷为财务报告内部控制一般缺陷。

说明：

无

3.非财务报告内部控制缺陷认定标准

公司确定的非财务报告内部控制缺陷评价的定量标准如下：

指标名称重大缺陷定量标准重要缺陷定量标准一般缺陷定量标准

财产损失损失＞5000万1000万﹤损失≤5000万损失≤1000万

说明：

无

公司确定的非财务报告内部控制缺陷评价的定性标准如下：

缺陷性质定性标准

重大缺陷1．发生严重违反国家法律、法规事项，受到监管处罚，并对本公司造成严重的负面影响或重大损失；

2．“三重一大”事项未按照公司规定实行民主决策程序。“三重一大”即：重大决

策、重要人事任免、重大项目安排以及大额度资金运作；

3．内、外部内控评价中发现的重大缺陷，经过合理的时间未得到整改；

4．重要业务制度控制系统性失效；

5．因信息系统的安全漏洞、软硬件缺陷、数据的不完整及非授权改动等给业务运

作带来的经济损失符合重大缺陷量化标准；

6．业务操作大规模停滞和持续出错，对业务正常经营造成灾难性影响，致使重要

业务活动长期中断，影响到持续经营能力；

7．其他可能导致公司严重偏离战略目标、资产安全、经营目标、合规目标等控制

目标的一个或多个控制缺陷的组合。

重要缺陷1．重要决策程序出现失误，造成的经济损失符合重要缺陷认定标准；

2．内、外部内控评价发现的重要缺陷，经过合理的时间未得到整改；

3．因信息系统安全漏洞、软硬件缺陷、数据的不完整及非授权改动等给公司业务运营造成较大损失，但未达到重大缺陷水平；

4．业务操作部分停滞，影响公司正常业务运行，且由此引发的经济损失达到重要

缺陷标准；

5．一个或多个控制缺陷的组合导致公司与战略目标产生偏离，对公司战略目标的

实现造成一定影响。

一般缺陷公司认为不构成重大或重要缺陷的其他非财务相关内部控制缺陷为非财务报告内部控制一般缺陷。

说明：

无

(三).内部控制缺陷认定及整改情况

1.财务报告内部控制缺陷认定及整改情况

1.1.重大缺陷

报告期内公司是否存在财务报告内部控制重大缺陷

□是√否

1.2.重要缺陷

报告期内公司是否存在财务报告内部控制重要缺陷

□是√否

1.3.一般缺陷

无

1.4.经过上述整改，于内部控制评价报告基准日，公司是否存在未完成整改的财务报告内部控制重大

缺陷

□是√否

1.5.经过上述整改，于内部控制评价报告基准日，公司是否存在未完成整改的财务报告内部控制重要

缺陷

□是√否

2.非财务报告内部控制缺陷认定及整改情况

2.1.重大缺陷

报告期内公司是否发现非财务报告内部控制重大缺陷

□是√否

2.2.重要缺陷

报告期内公司是否发现非财务报告内部控制重要缺陷

□是√否

2.3.一般缺陷

根据公司内部控制缺陷认定标准，于内部控制评价报告基准日，公司发现非财务报告内部控制一般缺陷3项，上述缺陷可能产生的风险均在可控范围内，对公司不构成重大影响。针对所发现的缺陷，公司高度重视并明确整改责任部门，认真组织推动相应整改。2.4.经过上述整改，于内部控制评价报告基准日，公司是否发现未完成整改的非财务报告内部控制重大缺陷

□是√否

2.5.经过上述整改，于内部控制评价报告基准日，公司是否发现未完成整改的非财务报告内部控制重

要缺陷

□是√否

四.其他内部控制相关重大事项说明

1.上一年度内部控制缺陷整改情况

√适用□不适用

公司上年度内控评价未发现财务报告内部控制缺陷，评价发现存在非财务报告内部控制一般缺陷3项。公司责成相关部门和责任人制定整改计划、督促落实整改并进一步完善内部控制，截至报告日，上一年度内控评价发现的内控一般缺陷已完成整改。

2.本年度内部控制运行情况及下一年度改进方向

√适用□不适用

根据公司2022年度财务报告及非财务报告内部控制重大及重要缺陷的认定情况，于内部控制评价报告基准日，不存在财务报告及非财务报告内部控制重大及重要缺陷。董事会认为，2022年度公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告及非财务报告内部控制。自内部控制评价报告基准日至内部控制评价报告发出日之间公司未发生影响内部控制有效性评价结论的因素。

公司聘请安永华明会计师事务所（特殊普通合伙）对公司财务报告内部控制有效性进行了独立审计，并出具了无保留意见的《光大证券股份有限公司2022年内部控制审计报告》。报告认为公司于2022年

12月31日按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。

2023年是全面贯彻落实党的二十大精神的开局之年，是夯基蓄势、激发潜能的重要一年，公司将以

习近平新时代中国特色社会主义思想为指导，全面贯彻落实党的二十大精神及中央经济工作会议精神，完整、准确、全面贯彻新发展理念，坚持稳中求进工作总基调，坚守金融工作的政治性、人民性，坚定不移走中国特色金融发展之路，进一步聚焦主责主业，更好服务实体经济，有效防范化解风险，推动巡视整改常态化长效化。

公司将持续深入开展内控文化建设，坚持问题导向，优化公司管控。一是不断强化“风险是天线，合规是底线”意识，增强高质量发展的规律性认识，持续深化三道防线全覆盖要求，做到“人人都是第一道防线，人人都是最后一道防线，人人都是唯一一道防线”。二是持续加强基础管理，一方面要理顺管理体系，通过建立有效的授权管理体系，形成明晰的管理规则和制度约束，理顺管理边界，明确管理责任；另一方面要提升管理能力，积极推进精细化管理，加强制度梳理、解读和培训，推行任务清单化、工作图表化、操作手册化、系统控制化的全流程标准化管理，着力提高政策制度的针对性、适用性和可操作性，促进政策制度有效落地。三是强化风险联防联控联检，形成风控、合规、审计、纪检、巡察的多方合力，着力提升全面风险管理能力，持续加强专业队伍建设，突出抓好重点领域、关键环节、核心岗位的风险隐患排查与处置，建立健全与发展策略相适应的风控合规及监督管理体系，加强体系共建、机制共享、监督成果规范共用，持续提升综合监督效能，形成抵御风险冲击的有效屏障。

公司遵循企业内控规范体系的要求，结合公司发展战略和管理的需要，进一步抓好关键业务及高风险领域监督管控，强化内控管理与建设“生命线”意识，全方位、多维度提升公司内部控制管理水平，保护投资者合法权益，为公司长期、健康、稳定地高质量发展保驾护航。

3.其他重大事项说明

□适用√不适用

董事长（已经董事会授权）：赵陵光大证券股份有限公司