華泰證券股份有限公司 2017 年度

　　內部控制評價報告

　　華泰證券股份有限公司全體股東：

　　根據《企業內部控制基本規范》及其配套指引的規定和其他內部控制監管要求(以下簡稱“企業內部控制規范體系”)，結合本公司(以下簡稱“公司”)內部控制制度和評價辦法，在內部控制日常監督和專項監督的基礎上，我們對公司 2017 年 12 月 31 日(內部控制評價報告基準日)的內部控制有效性進行了評價。

　　一、重要聲明

　　按照企業內部控制規范體系的規定，建立健全和有效實施內部控制，評價其有效性，并如實披露內部控制評價報告是公司董事會的責任。在公司董事會領導下，公司建立了由董事會及其專業委員會、監事會、管理層及其專業委員會、內控職能管理部門、業務經營部門等五個層級組成的內部控制組織體系，職責明確、清晰。各層級職責如

　　下：各專業委員會在董事會授權下開展工作，為董事會決策提供咨詢意見，其中，合規與風險管理委員會負責擬定公司內部控制方針政策，對公司內部控制的重大決策及主要活動進行審核；審計委員會負責審查公司內部控制，監督內部控制的有效實施和內部控制自我評價情況，協調內部控制審計及其他相關事宜等。監事會負責對董事會建立與實施內部控制進行監督。管理層下設風險控制委員會、信息技術治理委員會等各專門委員會，是各相關業務的決策支持和執行機構，負責組織領導企業內部控制的日常運行。公司董事會、監事會及董事、監事、高級管理人員保證本報告內容不存在任何虛假記載、誤導性陳述或重大遺漏，并對報告內容的真實性、準確性和完整性承擔個別及連帶法律責任。

　　公司內部控制的目標是合理保證經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進實現發展戰略。由于內部控制存在的固有局限性，故僅能為實現上述目標提供合理保證。此外，由于情況的變化可能導致內部控制變得不恰當，或對控制政策和程序遵循的程度降低，根據內部控制評價結果推測未來內部控制的有效性具有一定的風險。

　　二、內部控制評價結論

　　根據公司財務報告內部控制重大缺陷的認定情況，于內部控制評價報告基準日，公司不存在財務報告內部控制重大缺陷。董事會認為，公司已按照企業內部控制規范體系和相關規定的要求在所有重大方面保持了有效的財務報告內部控制。

　　根據公司非財務報告內部控制重大缺陷認定情況，于內部控制評價報告基準日，公司未發現非財務報告內部控制重大缺陷。

　　自內部控制評價報告基準日至內部控制評價報告發出日之間，未發生影響內部控制有效性評價結論的因素。

　　三、內部控制評價工作情況

　　根據《企業內部控制基本規范》及其配套指引和公司內部控制制度要求，公司按照風險導向原則確定納入評價范圍的主要單位、業務事項及高風險領域。

　　(一)內部控制評價的范圍

　　納入評價范圍的主要單位包括：華泰證券股份有限公司各部門、華泰聯合證券有限責任公司、華泰期貨有限公司、華泰證券(上海)資產管理有限公司、華泰紫金投資有限責任公司、華泰金融控股(香港)有限公司、江蘇股權交易中心有限責任公司、華泰創新投資有限公司，所有子公司均涵蓋下屬公司。納入評價范圍單位的資產總額占公司合并財務報表資產總額的 100%，營業收入合計占公司合并財務報表營業收入總額的 100%。

　　(二)納入評價范圍的業務和事項

　　納入評價范圍的主要業務和事項包括：公司治理、內部環境、風險評估、控制活動、信息與溝通、內部監督，以及控制活動所涉及的不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制、績效考核控制；重點關注的高風險領域主要包括：現行各主要業務及基礎職能管理，即經紀與財富管理業務、自營業務、研究咨詢業務、資產管理業務、投資銀行業務、直投業務、期貨業務、創新業務以及財務與會計、運營支持、人力資源管理、客戶關系管理、信息技術、合規及法律事務、風險管理等領域，以及對公司經營管理產生重大影響的流動性風險、市場風險、信用風險、操作風險、聲譽風險、信息技術風險、合規風險、法律風險和廉潔風險。

　　上述納入評價范圍的單位、業務和事項以及高風險領域涵蓋了公司經營管理的主要方面，不存在重大遺漏。

　　(三)公司內部控制建設

　　為加強和規范公司內部控制，提高公司經營管理水平和風險防范能力，促進公司可持續發展，公司經營管理層高度重視董事會、內部控制各職能部門的意見和建議，持續進行內部控制自評，對于發現的問題采取各種措施及時糾正，最大限度避免偏離控制目標，保障相關業務及管理的經營效率和效果，促進公司內部控制管理水平的提高，達成公司發展戰略和經營目標。

　　1.法人治理結構

　　作為在中國大陸和香港兩地上市的公眾公司，公司嚴格按照境內外上市地法律、法規及規范性文件的要求，規范運作，并致力于維護和提升公司良好的市場形象。公司嚴格依照《公司法》、《證券法》、《證券公司監督管理條例》、《證券公司治理準則》、《上市公司治理準則》、《香港聯合交易所有限公司證券上市規則》附錄十四《企業管治守則》及《企業管治報告》等相關法律法規以及公司《章程》(2017 年修訂)的規定，按照建立現代企業制度，健全和完善公司法人治理結構、合規風控制度和內控管理體系，形成了股東大會、董事會、監事會和管理層相互分離、相互制衡的公司治理結構，各層次在各自的職責、權限范圍內，各司其職，各負其責，確保了公司穩健經營和規范運作。

　　2.關聯交易控制

　　公司嚴格按照上海證券交易所《股票上市規則》、香港聯合交易所有限公司《證券上市規則》及公司《關聯交易決策制度》，對關聯交易進行嚴格控制，關聯交易的批準程序符合法律法規、規范性文件的規定以及公司《章程》(2017 年修訂)、《關聯交易決策制度》等要求。

　　3.內部控制執行

　　公司根據自身的經營目標和運營狀況，建立了全面有效的內部控制制度和機制，以審慎經營、防范和化解風險為出發點，針對各項傳統及創新業務，制定了統一的管理規定、業務流程及操作規范，針對業務的主要風險點和風險性質，制定了明確的控制措施。內控制度涵蓋了公司經營管理的各項業務和各個操作環節，全面覆蓋了所有業務、部門和崗位。公司各部門結合業務運行情況定期對各項制度、流程進行全面梳理與完善，重點對創新業務相關制度流程進行更新及細化，確保制度流程符合全面性、審慎性、有效性、適時性等原則，避免出現制度流程上的空白或漏洞。

　　(1)風險識別。公司各部門、分支機構、子公司根據各業務特

　　點、業務開展狀況、管理實際及市場變化情況，定期或不定期對各自業務和管理過程中的風險因素、風險來源進行識別、統計和分析。公司各類專業風險牽頭管理部門從專業風險管控角度，識別各類專業風險的具體情況。

　　(2)風險評估。公司建立了風險與控制的自我評估機制，通過開展風險與控制的自我評估，梳理完善風險點，從風險發生的可能性和影響程度兩個維度進行固有風險評估，劃分不同的風險等級；梳理優化業務流程、完善控制措施，并進行設計和執行有效性測試，評估控制的有效性。同時，根據固有風險等級和控制評估的結果評估剩余風險，關注并持續推進高剩余風險等級控制措施的優化完善。公司各類專業風險牽頭管理部門從專業風險管控角度，采取定量和定性相結合的方法評估各專業風險的具體情況和影響。風險管理部牽頭重點關注風險的關聯性，審慎評估公司面臨的總體風險水平。

　　(3)風險監控。公司建立了多層級風險指標體系及分級監控機制。各部門、分支機構、子公司負責對各自業務及管理條線的風險指標進行一線監控；各專業風險管理部門重點從公司總體風險及各專業風險角度進行風險指標監控，并對各單位一線監控工作進行監督。公司建立了對關鍵風險指標的逐日盯市機制，通過系統化手段動態監控關鍵風險指標情況，判斷風險指標的變化，對超過風險指標限額的情況，及時預警、報告和處置。

　　(4)風險應對。公司根據風險評估和預警結果，制定了與風險偏好相匹配的風險回避、降低、轉移和承受等應對策略，采取資產減值、風險對沖、資本補充、規模調整、資產負債管理等應對措施。針對流動性危機、交易系統事故等重大風險和突發事件，建立風險應急機制和程序，制定了應急措施和預案，明確應急觸發條件、風險處置的組織體系、措施、方法和程序，并通過壓力測試、應急演練等機制進行持續改進。

　　(5)風險報告。公司建立了多層級的風險報告體系，及時、全面和真實地反映公司各單位的風險狀況，保障風險信息在上下層級、各單位之間進行有效傳遞。公司建立了日報、月報、年報等定期風險報告機制。各部門、子公司在日常經營中及時向各專業風險管理部門報告業務及風險情況；風險管理部門定期或不定期向首席風險官和總裁室報告公司總體風險狀況。公司建立了突發風險事件、重大風險事件的專項報告機制，保障風險事件報告的及時性和風險管理的有效性。

　　(四)內部控制評價的依據及內部控制缺陷認定標準公司依據企業內部控制規范體系及中國證監會發布的《證券公司內部控制指引》、《公開發行證券的公司信息披露編報規則第 21 號—年度內部控制評價報告的一般規定》和上海證券交易所發布的《上海證券交易所上市公司內部控制指引》等相關法律、法規和監管規則的要求，組織開展內部控制評價工作。

　　公司董事會根據企業內部控制規范體系對重大缺陷、重要缺陷和一般缺陷的認定要求，結合公司規模、行業特征、風險偏好和風險承受度等因素，區分財務報告內部控制和非財務報告內部控制，研究確定了適用于本公司的內部控制缺陷具體認定標準，并與以前年度保持一致。公司確定的內部控制缺陷認定標準如下：

　　重大缺陷是指一個或多個控制缺陷的組合，可能導致企業嚴重偏離控制目標。重要缺陷是指一個或多個控制缺陷的組合，其嚴重程度和經濟后果低于重大缺陷，但仍有可能導致企業偏離控制目標。一般缺陷是指除重大缺陷、重要缺陷之外的其他缺陷。

　　1.財務報告和非財務報告內部控制缺陷認定的定量標準如下：

　　評級 一般缺陷 重要缺陷 重大缺陷

　　財務損失(占上年稅前利潤的百分比) 0%-1%(不含) 1%-5%(不含) 大于 5%(含)

　　權益損失(占上年股東權益的百分比) 0%-0.2%(不含) 0.2%-1%(不含) 大于 1%(含)

　　2.財務報告和非財務報告內部控制缺陷認定的定性標準如下：

　　評級 一般缺陷 重要缺陷 重大缺陷業務損失

　　極小影響或輕微影響，例如對收入、客戶、市場份額等有輕微影響。

　　有一定影響，但是經過一定的彌補措施仍可能達到營運目標或關鍵業績指標。

　　較大影響，無法達到部分營運目標或關鍵業績指標。

　　信息錯報影響

　　對內、外部信息使用者不會產生影響，或對信息準確性有輕微影響，但不會影響使用者的判斷。

　　對信息使用者有一定的影響，可能會影響使用者對于事物

　　性質的判斷，在一定程度上可能導致錯誤的決策。

　　錯誤信息可能會導致使用者做出重大的錯誤決策或截然相反的決策，造成不可挽回的決策損失。

　　信息系統對數據完整性及業務運營的影響對系統數據完整性不會產生影響。

　　對業務正常運營沒有產生影響，或對系統數據完整性會產生有限影響，但數據的非授權改動對業務運作及財務數據記錄產生損失輕微。

　　對業務正常運營沒有直接影響，業務部門及客戶沒有察覺。

　　對系統數據完整性具有一定影響，數據的非授權改動對業務運作帶來一定的損失及對財務數據記錄的準確性產生

　　一定的影響。對業務正常運營

　　造成一定影響，致使業務操作效率低下。

　　對系統數據的完整性具有重大影響，數據的非授權改動會給業務運作帶來重大損失或造成財務記錄的重大錯誤。對業務正常運營造成重大影響，致使業務操作大規模停滯和持續出錯。

　　營運影響

　　對日常營運沒有影響，或僅影響內部效率，不直接影響對外展業。

　　對內外部均造成了一定影響，比如關鍵員工或客戶流失。

　　嚴重損傷公司核心競爭力，嚴重損害公司為客戶服務的能力。

　　監管影響

　　一般反饋，未受到調查和罰款，或

　　被監管者執行初步調查，不必支付罰款。

　　被監管者公開警告和專項調查，支付的罰款對年利潤沒有較大影響。

　　被監管者持續觀察，支付的罰款對年利潤有較大的影響。

　　聲譽影響

　　負面消息在企業內部流傳，企業聲譽沒有受損，或負面消息在當地局部流傳，對企業聲譽造成輕微損害。

　　負面消息在某區域流傳，對企業聲譽造成中等損害。

　　負面消息在全國各地流傳，引起公眾關注，引發訴訟，對企業聲譽造成重大損害。

　　報告期內，公司對納入評價范圍的業務與事項均已建立了內部控制機制，并得以有效執行，達到了公司內部控制的目標。我們注意到，內部控制應當與公司經營規模、業務范圍、競爭狀況和風險水平等相適應，并隨著情況的變化及時加以調整。公司將繼續完善內部控制，規范內部控制執行，強化內部控制監督檢查，促進公司健康、可持續發展。

　　四、內部控制缺陷認定及整改情況

　　1.財務報告內部控制缺陷認定及整改情況

　　根據上述財務報告內部控制缺陷的認定標準，報告期內公司不存在財務報告內部控制重大缺陷和重要缺陷。

　　2.非財務報告內部控制缺陷認定及整改情況

　　根據上述非財務報告內部控制缺陷的認定標準，報告期內公司不存在非財務報告內部控制重大缺陷和重要缺陷。

　　附件：畢馬威華振會計師事務所《華泰證券股份有限公司內部控制審計報告》

　　董事長(已經董事會授權)：周易華泰證券股份有限公司

　　2018年3月28日