华泰证券股份有限公司 2017 年度

　　内部控制评价报告

　　华泰证券股份有限公司全体股东：

　　根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求(以下简称“企业内部控制规范体系”)，结合本公司(以下简称“公司”)内部控制制度和评价办法，在内部控制日常监督和专项监督的基础上，我们对公司 2017 年 12 月 31 日(内部控制评价报告基准日)的内部控制有效性进行了评价。

　　一、重要声明

　　按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，并如实披露内部控制评价报告是公司董事会的责任。在公司董事会领导下，公司建立了由董事会及其专业委员会、监事会、管理层及其专业委员会、内控职能管理部门、业务经营部门等五个层级组成的内部控制组织体系，职责明确、清晰。各层级职责如

　　下：各专业委员会在董事会授权下开展工作，为董事会决策提供咨询意见，其中，合规与风险管理委员会负责拟定公司内部控制方针政策，对公司内部控制的重大决策及主要活动进行审核；审计委员会负责审查公司内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。监事会负责对董事会建立与实施内部控制进行监督。管理层下设风险控制委员会、信息技术治理委员会等各专门委员会，是各相关业务的决策支持和执行机构，负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。

　　公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进实现发展战略。由于内部控制存在的固有局限性，故仅能为实现上述目标提供合理保证。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。

　　二、内部控制评价结论

　　根据公司财务报告内部控制重大缺陷的认定情况，于内部控制评价报告基准日，公司不存在财务报告内部控制重大缺陷。董事会认为，公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。

　　根据公司非财务报告内部控制重大缺陷认定情况，于内部控制评价报告基准日，公司未发现非财务报告内部控制重大缺陷。

　　自内部控制评价报告基准日至内部控制评价报告发出日之间，未发生影响内部控制有效性评价结论的因素。

　　三、内部控制评价工作情况

　　根据《企业内部控制基本规范》及其配套指引和公司内部控制制度要求，公司按照风险导向原则确定纳入评价范围的主要单位、业务事项及高风险领域。

　　(一)内部控制评价的范围

　　纳入评价范围的主要单位包括：华泰证券股份有限公司各部门、华泰联合证券有限责任公司、华泰期货有限公司、华泰证券(上海)资产管理有限公司、华泰紫金投资有限责任公司、华泰金融控股(香港)有限公司、江苏股权交易中心有限责任公司、华泰创新投资有限公司，所有子公司均涵盖下属公司。纳入评价范围单位的资产总额占公司合并财务报表资产总额的 100%，营业收入合计占公司合并财务报表营业收入总额的 100%。

　　(二)纳入评价范围的业务和事项

　　纳入评价范围的主要业务和事项包括：公司治理、内部环境、风险评估、控制活动、信息与沟通、内部监督，以及控制活动所涉及的不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考核控制；重点关注的高风险领域主要包括：现行各主要业务及基础职能管理，即经纪与财富管理业务、自营业务、研究咨询业务、资产管理业务、投资银行业务、直投业务、期货业务、创新业务以及财务与会计、运营支持、人力资源管理、客户关系管理、信息技术、合规及法律事务、风险管理等领域，以及对公司经营管理产生重大影响的流动性风险、市场风险、信用风险、操作风险、声誉风险、信息技术风险、合规风险、法律风险和廉洁风险。

　　上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面，不存在重大遗漏。

　　(三)公司内部控制建设

　　为加强和规范公司内部控制，提高公司经营管理水平和风险防范能力，促进公司可持续发展，公司经营管理层高度重视董事会、内部控制各职能部门的意见和建议，持续进行内部控制自评，对于发现的问题采取各种措施及时纠正，最大限度避免偏离控制目标，保障相关业务及管理的经营效率和效果，促进公司内部控制管理水平的提高，达成公司发展战略和经营目标。

　　1.法人治理结构

　　作为在中国大陆和香港两地上市的公众公司，公司严格按照境内外上市地法律、法规及规范性文件的要求，规范运作，并致力于维护和提升公司良好的市场形象。公司严格依照《公司法》、《证券法》、《证券公司监督管理条例》、《证券公司治理准则》、《上市公司治理准则》、《香港联合交易所有限公司证券上市规则》附录十四《企业管治守则》及《企业管治报告》等相关法律法规以及公司《章程》(2017 年修订)的规定，按照建立现代企业制度，健全和完善公司法人治理结构、合规风控制度和内控管理体系，形成了股东大会、董事会、监事会和管理层相互分离、相互制衡的公司治理结构，各层次在各自的职责、权限范围内，各司其职，各负其责，确保了公司稳健经营和规范运作。

　　2.关联交易控制

　　公司严格按照上海证券交易所《股票上市规则》、香港联合交易所有限公司《证券上市规则》及公司《关联交易决策制度》，对关联交易进行严格控制，关联交易的批准程序符合法律法规、规范性文件的规定以及公司《章程》(2017 年修订)、《关联交易决策制度》等要求。

　　3.内部控制执行

　　公司根据自身的经营目标和运营状况，建立了全面有效的内部控制制度和机制，以审慎经营、防范和化解风险为出发点，针对各项传统及创新业务，制定了统一的管理规定、业务流程及操作规范，针对业务的主要风险点和风险性质，制定了明确的控制措施。内控制度涵盖了公司经营管理的各项业务和各个操作环节，全面覆盖了所有业务、部门和岗位。公司各部门结合业务运行情况定期对各项制度、流程进行全面梳理与完善，重点对创新业务相关制度流程进行更新及细化，确保制度流程符合全面性、审慎性、有效性、适时性等原则，避免出现制度流程上的空白或漏洞。

　　(1)风险识别。公司各部门、分支机构、子公司根据各业务特

　　点、业务开展状况、管理实际及市场变化情况，定期或不定期对各自业务和管理过程中的风险因素、风险来源进行识别、统计和分析。公司各类专业风险牵头管理部门从专业风险管控角度，识别各类专业风险的具体情况。

　　(2)风险评估。公司建立了风险与控制的自我评估机制，通过开展风险与控制的自我评估，梳理完善风险点，从风险发生的可能性和影响程度两个维度进行固有风险评估，划分不同的风险等级；梳理优化业务流程、完善控制措施，并进行设计和执行有效性测试，评估控制的有效性。同时，根据固有风险等级和控制评估的结果评估剩余风险，关注并持续推进高剩余风险等级控制措施的优化完善。公司各类专业风险牵头管理部门从专业风险管控角度，采取定量和定性相结合的方法评估各专业风险的具体情况和影响。风险管理部牵头重点关注风险的关联性，审慎评估公司面临的总体风险水平。

　　(3)风险监控。公司建立了多层级风险指标体系及分级监控机制。各部门、分支机构、子公司负责对各自业务及管理条线的风险指标进行一线监控；各专业风险管理部门重点从公司总体风险及各专业风险角度进行风险指标监控，并对各单位一线监控工作进行监督。公司建立了对关键风险指标的逐日盯市机制，通过系统化手段动态监控关键风险指标情况，判断风险指标的变化，对超过风险指标限额的情况，及时预警、报告和处置。

　　(4)风险应对。公司根据风险评估和预警结果，制定了与风险偏好相匹配的风险回避、降低、转移和承受等应对策略，采取资产减值、风险对冲、资本补充、规模调整、资产负债管理等应对措施。针对流动性危机、交易系统事故等重大风险和突发事件，建立风险应急机制和程序，制定了应急措施和预案，明确应急触发条件、风险处置的组织体系、措施、方法和程序，并通过压力测试、应急演练等机制进行持续改进。

　　(5)风险报告。公司建立了多层级的风险报告体系，及时、全面和真实地反映公司各单位的风险状况，保障风险信息在上下层级、各单位之间进行有效传递。公司建立了日报、月报、年报等定期风险报告机制。各部门、子公司在日常经营中及时向各专业风险管理部门报告业务及风险情况；风险管理部门定期或不定期向首席风险官和总裁室报告公司总体风险状况。公司建立了突发风险事件、重大风险事件的专项报告机制，保障风险事件报告的及时性和风险管理的有效性。

　　(四)内部控制评价的依据及内部控制缺陷认定标准公司依据企业内部控制规范体系及中国证监会发布的《证券公司内部控制指引》、《公开发行证券的公司信息披露编报规则第 21 号—年度内部控制评价报告的一般规定》和上海证券交易所发布的《上海证券交易所上市公司内部控制指引》等相关法律、法规和监管规则的要求，组织开展内部控制评价工作。

　　公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财务报告内部控制，研究确定了适用于本公司的内部控制缺陷具体认定标准，并与以前年度保持一致。公司确定的内部控制缺陷认定标准如下：

　　重大缺陷是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。重要缺陷是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。一般缺陷是指除重大缺陷、重要缺陷之外的其他缺陷。

　　1.财务报告和非财务报告内部控制缺陷认定的定量标准如下：

　　评级 一般缺陷 重要缺陷 重大缺陷

　　财务损失(占上年税前利润的百分比) 0%-1%(不含) 1%-5%(不含) 大于 5%(含)

　　权益损失(占上年股东权益的百分比) 0%-0.2%(不含) 0.2%-1%(不含) 大于 1%(含)

　　2.财务报告和非财务报告内部控制缺陷认定的定性标准如下：

　　评级 一般缺陷 重要缺陷 重大缺陷业务损失

　　极小影响或轻微影响，例如对收入、客户、市场份额等有轻微影响。

　　有一定影响，但是经过一定的弥补措施仍可能达到营运目标或关键业绩指标。

　　较大影响，无法达到部分营运目标或关键业绩指标。

　　信息错报影响

　　对内、外部信息使用者不会产生影响，或对信息准确性有轻微影响，但不会影响使用者的判断。

　　对信息使用者有一定的影响，可能会影响使用者对于事物

　　性质的判断，在一定程度上可能导致错误的决策。

　　错误信息可能会导致使用者做出重大的错误决策或截然相反的决策，造成不可挽回的决策损失。

　　信息系统对数据完整性及业务运营的影响对系统数据完整性不会产生影响。

　　对业务正常运营没有产生影响，或对系统数据完整性会产生有限影响，但数据的非授权改动对业务运作及财务数据记录产生损失轻微。

　　对业务正常运营没有直接影响，业务部门及客户没有察觉。

　　对系统数据完整性具有一定影响，数据的非授权改动对业务运作带来一定的损失及对财务数据记录的准确性产生

　　一定的影响。对业务正常运营

　　造成一定影响，致使业务操作效率低下。

　　对系统数据的完整性具有重大影响，数据的非授权改动会给业务运作带来重大损失或造成财务记录的重大错误。对业务正常运营造成重大影响，致使业务操作大规模停滞和持续出错。

　　营运影响

　　对日常营运没有影响，或仅影响内部效率，不直接影响对外展业。

　　对内外部均造成了一定影响，比如关键员工或客户流失。

　　严重损伤公司核心竞争力，严重损害公司为客户服务的能力。

　　监管影响

　　一般反馈，未受到调查和罚款，或

　　被监管者执行初步调查，不必支付罚款。

　　被监管者公开警告和专项调查，支付的罚款对年利润没有较大影响。

　　被监管者持续观察，支付的罚款对年利润有较大的影响。

　　声誉影响

　　负面消息在企业内部流传，企业声誉没有受损，或负面消息在当地局部流传，对企业声誉造成轻微损害。

　　负面消息在某区域流传，对企业声誉造成中等损害。

　　负面消息在全国各地流传，引起公众关注，引发诉讼，对企业声誉造成重大损害。

　　报告期内，公司对纳入评价范围的业务与事项均已建立了内部控制机制，并得以有效执行，达到了公司内部控制的目标。我们注意到，内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。公司将继续完善内部控制，规范内部控制执行，强化内部控制监督检查，促进公司健康、可持续发展。

　　四、内部控制缺陷认定及整改情况

　　1.财务报告内部控制缺陷认定及整改情况

　　根据上述财务报告内部控制缺陷的认定标准，报告期内公司不存在财务报告内部控制重大缺陷和重要缺陷。

　　2.非财务报告内部控制缺陷认定及整改情况

　　根据上述非财务报告内部控制缺陷的认定标准，报告期内公司不存在非财务报告内部控制重大缺陷和重要缺陷。

　　附件：毕马威华振会计师事务所《华泰证券股份有限公司内部控制审计报告》

　　董事长(已经董事会授权)：周易华泰证券股份有限公司

　　2018年3月28日