证券公司内部控制指引

1
《证券公司内部控制指引（修订）》
第一章总则
第一条为指导证券公司完善内部控制，提高风险防控
能力和经营管理水平，制定本指引。

第二条证券公司应当按照《企业内部控制基本规范》、
企业内部控制配套指引和本指引的要求，结合自身实际情况，建立与实施有效的内部控制。

第三条本指引所称内部控制，是指公司董事会、监事
会、管理层和全体工作人员实施的、旨在实现下列控制目标的过程：
（一）保证公司及其工作人员的经营管理和执业行为合
规；
（二）保证公司持续稳定经营；
（三）保证公司业务信息、财务信息、管理信息和其他
信息的真实、准确、完整；
（四）保障公司经营的效率和效果，促进发展战略和经
营目标的实现。

第四条证券公司建立与实施内部控制，应当遵循下列
原则：
（一）全面性原则。

内部控制应当覆盖所有业务、各个
部门和分支机构、全体工作人员，贯穿决策、执行、监督全过程，嵌入公司业务流程和操作环节。

2
（二）重要性原则。

内部控制应当在全面控制的基础上，
对重要业务、重大事项、主要操作环节和高风险领域实施重点控制。

（三）制衡性原则。

内部控制应当在组织架构、岗位设
置、权责分配、业务流程等方面，通过适当的职责分工、授权和审批复核等机制，形成相互制约和相互监督，前台业务运作与后台管理支持适当分离。

（四）适应性原则。

内部控制应当与公司业务范围、经
营规模、组织结构和风险状况等相适应，并随着市场、技术和法律环境的变化及时加以调整和完善。

（五）成本效益原则。

内部控制应当权衡实施成本与预
期收益，以适当的成本实现有效控制。

第五条证券公司建立与实施内部控制，应当包括内部
环境、风险评估、控制活动、信息与沟通、内部监督等要素。

第六条证券公司应当树立合规经营的理念，强化风险
控制优先的意识，坚持诚信、勤勉的执业原则，加强体现公司自身特点的企业文化建设，培育高层倡行、全员有责、违规必究的内部控制文化。

第七条证券公司应当明确董事会、管理层、各部门和
分支机构在内部控制建立和执行方面的职责。

证券公司董事会和经营管理的主要负责人对内部控制
的有效性负最终责任。

各部门和分支机构的负责人对本部门和本机构内部控制的有效性承担责任。

3
证券公司的全体工作人员都应当熟知与其执业行为有
关的法律、法规和公司规定，主动识别、评估和控制其执业行为的风险，并对其执业行为的合规性承担责任。

第八条证券公司应当建立健全内部控制的监督、检查
与评价机制，及时发现和解决内部控制中存在的问题。

证券公司应当每年对内部控制的健全性和有效性进行
全面评价，将评价结果作为绩效考核的重要依据，并于每年4 月30 日前向住所地证监局报送上一年度的内部控制全面评价报告。

证券公司应当建立内部控制动态评价机制，在法律法
规和市场环境发生重大变化、公司开展创新业务、出现违
法违规行为或者重大风险时，对相关内部控制的健全性和
有效性进行评价，发现问题的，及时改进、完善和加强。

第九条证券公司应当建立健全内部控制责任追究机
制。

对不执行或者限制、阻挠执行内部控制制度的部门、机构和人员，公司应当按照规定追究责任，并及时向证券监管机构报告。

第二章风险管理
第一节基本要求
第十条证券公司应当建立健全风险管理机制，对公司
在经营管理过程中面临的市场风险、信用风险、流动性风险、4
操作风险等各种风险进行准确识别、全面评估、动态监测、及时应对和有效控制。

第十一条证券公司应当制定风险管理的基本制度，经
董事会审议通过后实施。

风险管理的基本制度应当至少包括以下内容：
（一）风险管理的目标、基本原则；
（二）风险管理的机构设置及其职责；
（三）风险识别、评估、监测、应对和控制的基本程序、
方法和要求；
（四）风险事件的报告、处理和责任追究办法。

第十二条证券公司应当针对不同种类的风险制定相应
的管理制度和程序，对其进行识别、评估、监测、应对和控制。

第十三条证券公司应当指定一名高级管理人员，负责
对公司的风险管理工作进行指导、监督和检查。

证券公司应当设立风险管理部门或指定有关部门（以下
统称“风险管理部门”）负责日常风险管理工作。

风险管理
部门应当与业务部门保持相对独立，承担的其他职责不得与风险管理职责相冲突。

证券公司应当为风险管理部门配备足够的、具备与履行
职责相适应的专业知识和技能的专业人员，并为其履行职责提供必要的物力、财力和技术支持。

5
第十四条证券公司应当对每项业务均制定统一的业务
标准和操作规范，并针对各项业务的主要风险点和风险性质，采取相应的控制措施。

证券公司开展业务或产品创新，应当建立内部评估和审
查机制，对创新业务或产品可能产生的风险进行充分的评估论证，并制定相应的管理制度，明确操作流程、风险控制措施和保护客户利益的措施。

业务或产品创新活动实施后，证券公司应当注重过程控制，及时纠正偏离目标行为。

第二节风险管理方法
第十五条证券公司应当通过流程分析、案例归集和内
部访谈等方法，全面、系统、持续地收集可能影响公司经营管理的内外部信息，并结合公司业务特点，识别公司面临的风险点及其来源、特征和形成条件。

第十六条证券公司应当采取定性与定量相结合的方
法，根据风险发生的可能性及其影响程度对识别的风险进行评估，采取建立风险矩阵、概率模型等方式对各种风险进行分析和排序，确定重点关注和优先控制的风险。

进行风险定性评估，可以采用问卷调查、集体讨论、专
家咨询、流程分析、行业标杆比较等方式，并记录评估过程与结论。

进行风险定量评估，可以统一制定各种风险的度量单位
和计量模型，并定期对风险计量模型的有效性进行检验和评6
价。

风险计量应当考虑风险对冲和分散效应，关注公司的风险总量和风险结构。

第十七条证券公司应当建立风险控制指标动态监控机
制，对风险控制指标进行实时监控和自动预警，并采取有效措施，确保各项风险控制指标在任一时点都符合规定标准。

第十八条证券公司应当根据风险评估的结果，权衡风
险与收益，确定风险规避、风险降低、风险分担和风险承受等风险应对策略。

证券公司应当根据风险识别、评估情况和公司实际情况
的变化，及时调整风险应对策略。

第十九条证券公司应当根据风险应对策略，综合运用
控制措施，将风险控制在可承受范围内。

第二十条证券公司应当建立重大风险和突发事件应急
处理机制，制定并定期修订灾难恢复和应急处理预案，明确责任人员，规范处置程序，确保重大风险和突发事件得到及
时妥善处理。

证券公司应当定期进行隐患排查和应急演练，做好演练
记录。

第三节压力测试
第二十一条证券公司应当建立压力测试机制，采取定
量分析为主的风险分析方法，测算压力情景下净资本等各项风险控制指标和财务指标的变化情况，评估风险承受能力，7
并采取必要应对措施，确保在压力情景下风险可以承受。

压力测试机制应当全面覆盖公司各个业务领域的各种风险。

压力情景包括证券公司内外部经营环境发生极端变化
或出现突发事件，以及开展重大业务等情形。

第二十二条证券公司应当建立和完善压力测试制度，
明确压力测试的决策机制、实施流程及方法、报告路径、结果应用、检查评估等内容。

第二十三条证券公司应当根据市场变化、业务规模和
风险水平情况，定期或不定期开展压力测试。

证券公司在遇到以下情形之一时，应当开展压力测试：（一）可能导致净资本或其他风险控制指标发生明显变
化或接近预警线的情形；
（二）确定重大业务的业务规模和开展重大创新业务；（三）预期或已经出现重大内部风险状况；
（四）预期或已经出现重大外部风险和政策变化事件。

第二十四条证券公司应当对压力测试结果进行分析，
并根据测试结果反映的风险情况，结合自身风险承受能力，采取适当的应对措施，必要时实施应急预案。

证券公司在作出重大经营决策时，应当将压力测试结果
作为必备决策依据。

压力测试结果显示可能存在重大风险的，证券公司应当
及时向住所地证监局报告。

8
第三章合规管理
第一节基本要求
第二十五条证券公司应当按照规定制定和执行合规管
理制度，建立合规管理机制，培育合规文化，防范合规风险。

第二十六条证券公司应当制定合规管理的基本制度、
工作制度和程序、员工合规手册等文件，并定期进行评估、修改和完善，确保其符合合规管理工作的实际需要。

证券公司应当根据法律、法规和准则的变化，及时修改、
完善各项业务的管理制度和操作流程，确保其符合法律、法规和准则的要求。

第二十七条证券公司应当设合规总监。

合规总监是公
司的高级管理人员，对公司及其工作人员的经营管理和执业行为的合规性进行审查、监督和检查。

证券公司应当根据本公司的经营范围、业务规模、组织
结构等情况，设立合规部门或指定有关部门（以下统称“合规部门”）协助合规总监工作。

证券公司应当为合规部门配备足够的、具备与履行内部
控制职责相适应的专业知识和技能的专业人员，并为合规总监和合规部门履行职责提供必要的物力、财力和技术支持。

第二节利益冲突管理
9
第二十八条证券公司应当建立健全管理利益冲突的机
制，采取有效措施，妥善处理公司与客户、工作人员与客户以及不同客户之间的利益冲突。

证券公司在处理公司及其工作人员与客户之间的利益
冲突时，应当遵循客户利益优先的原则，在处理不同客户之间的利益冲突时，应当遵循公平对待客户的原则。

第二十九条证券公司应当建立利益冲突识别机制，及
时、全面地识别公司经营管理过程中可能涉及的利益冲突，并评估其影响范围和程度。

第三十条证券公司应当采取信息隔离措施，对敏感信
息进行隔离、监控和管理，控制敏感信息在相互存在利益冲突的业务之间的不当流动和使用。

采取信息隔离措施难以避免利益冲突的，应当对利益冲
突进行披露；披露难以有效处理利益冲突的，应当采取对相关业务进行限制等措施。

本指引所称敏感信息，是指证券公司在业务经营过程中
掌握或知悉的内幕信息或者可能对投资决策产生重大影响
的尚未公开的其他信息。

第三十一条证券公司应当在存在利益冲突的业务之间
设置信息隔离墙，确保在机构、人员、办公场所、信息系统、资金与账户等方面有效隔离，分开管理。

处于信息隔离墙两侧的业务部门及其工作人员对敏感
信息进行交流的，应当履行跨墙审批程序。

证券公司应当制10
定跨墙管理制度，明确跨墙的审批程序和跨墙人员的行为规范，并对跨墙人员的行为进行监控。

因履行管理职责需要知悉敏感信息的工作人员处于信
息隔离墙的墙上。

证券公司应当建立墙上人员管理制度，明确墙上人员的范围及其行为规范，防止墙上人员不当使用敏感信息。

第三十二条证券公司应当建立观察名单和限制名单制
度，明确设置名单的目的、有关公司或证券进入和退出名单的事由和时点、名单编制和管理的程序及职责分工、掌握名单的工作人员范围、对有关业务活动进行监控或限制的措施以及异常情况的处理办法等内容。

第三十三条证券公司已经或可能掌握敏感信息的，应
当将该敏感信息所涉公司或证券列入观察名单，对有关的业务活动实施监控，发现异常情况，及时调查处理。

证券公司采取信息隔离和披露措施难以有效管理利益
冲突的，应当将敏感信息所涉公司或证券列入限制名单，根据防止内幕交易和避免利益冲突的需要，对有关的一项或多项业务活动实施限制。

第三十四条证券公司从事发布证券研究报告业务，同
时从事证券承销与保荐、上市公司并购重组财务顾问业务的，应当根据有关规定和防范利益冲突的需要确定适当的静默期，并建立健全实施机制。

证券公司担任有关发行人或上
11
市公司的保荐机构、主承销商或者财务顾问的，在静默期内不得发布与该发行人或者上市公司有关的证券研究报告。

第三十五条证券公司应当建立健全保障公平交易的制
度和程序，有效防范利益输送行为，确保公司及其工作人员在研究分析、投资决策、交易执行等各环节公平对待不同业务、产品和客户。

第三节工作人员管理
第三十六条证券公司应当加强对工作人员从业资格的
管理，确保工作人员具有相应的从业资格。

证券公司应当高度重视工作人员的诚信记录，并要求工
作人员以适当形式进行诚信承诺，确保其具有与任职岗位要求相适应的专业能力和道德水准。

第三十七条证券公司应当建立工作人员执业行为管理
制度，明确对工作人员的执业行为进行监控、检查、报告、问责的具体措施和要求，并通过信息技术等方法对工作人员的执业行为进行监控。

第三十八条证券公司应当建立工作人员证券投资行为
管理制度，加强工作人员证券账户管理和投资行为监控，防范工作人员违规从事证券投资或者利用敏感信息谋取不当
利益。

第三十九条证券公司应当加强对高级管理人员、分支
机构及部门负责人、保荐代表人、投资主办人、证券分析师、12
投资顾问、电脑、财务等关键岗位人员的管理，根据法律法规和管理需要，建立垂直管理、定期述职和谈话、强制休假、定期轮岗、任期稽核等制度。

第四十条证券公司应当建立健全工作人员持续教育制
度，加强对员工的合规及业务培训，确保所有从业人员及时掌握并理解与任职岗位职责有关的法律法规、公司制度和内部控制的要求。

第四节产品和服务适当性管理
第四十一条证券公司从事证券经纪、资产管理、融资
融券、证券投资顾问、股指期货中间介绍等业务，销售证券
类金融产品，应当建立健全客户适当性管理制度，包括对所提供服务或产品进行风险评价、对客户风险承受能力进行调查和评价、对所提供服务或产品和客户进行匹配的方式和方法。

第四十二条证券公司对所提供的服务或产品进行风险
评价的结果,应当至少分为高、中、低三个风险等级。

第四十三条证券公司对客户风险承受能力进行调查，
应当制定科学合理的调查方法和清晰有效的工作流程，全面了解客户的身份、年龄、财产与收入状况、证券专业知识、证券投资经验和风险偏好等情况。

证券公司对客户风险承受能力进行评价的结果，应当至
少分为保守型、稳健型、积极性三个类型。

13
第四十四条证券公司对客户进行初次风险承受能力调
查和评价，应当在与客户建立业务关系时或客户首次购买产品前进行。

对已经建立业务关系或购买产品的客户，证券公司也应当追溯调查、评价该客户的风险承受能力。

证券公司应当定期或者不定期地重新对客户进行风险
承受能力调查和评价。

第四十五条证券公司可以采用当面、信函、网络、对
已有的客户信息和客户证券投资情况进行分析等方式对客户的风险承受能力进行调查，并向客户及时反馈评价结果。

采用问卷方式进行调查的，证券公司应当制定统一的问
卷形式，并在问卷的显著位置提示客户在接受服务或购买产品时注意核对自己的风险承受能力和服务或产品风险的匹配情况。

第四十六条证券公司对所提供服务或产品和客户进行
匹配，应当在服务或产品的风险等级和客户的风险承受能力类型之间建立合理的对应关系。

服务或产品风险超越客户风险承受能力的情况属于风险不匹配。

证券公司应当事先明确告知客户所提供服务或者销售
产品的风险特征，并在为客户提供服务或产品前完成产品或服务风险与客户风险承受能力的匹配检验。

证券公司不得违背客户意愿为客户提供与其风险承受
能力不匹配的服务或产品。

某一服务或产品的风险超越某一14
客户的风险承受能力的，证券公司应当将该情形提示客户，由客户选择是否接受该项服务或产品。

第四十七条证券公司所使用的服务或产品的风险评价
方法及其说明、调查和评价客户风险承受能力的方法及其说明应当向客户公开。

调查了解的客户信息、评价结果、服务或产品的风险特征及告知情况、风险不匹配的提示情况及客户的选择应当以书面或者电子方式记载、留存。

第四十八条证券公司应当建立集中交易、集中清算和
客户资料集中管理等机制，采取技术措施对客户交易安全及异常交易行为进行动态监控，保障客户资产的安全和交易记录的完整。

证券公司应当完善客户查询、咨询制度，确保客户能够
及时获知其账户、资金、交易、清算等方面的完整信息。

第四十九条证券公司应当按照规定建立健全反洗钱控
制制度，明确反洗钱的职能机构、岗位职责和报告路线。

证券公司应当建立客户身份识别、客户身份资料和交易
记录保存、大额交易和可疑交易发现和报告等反洗钱内部操作流程，并通过宣传培训、定期演练和检查等方式，确保相关工作人员严格遵守操作流程，及时将可疑信息上报有关机构。

第五十条证券公司应当建立健全投诉处理机制，公示
投诉处理渠道，细化投诉处理流程，建立投诉处理档案，妥善处理客户投诉和与客户的纠纷。

15
第四章信息管理
第五十一条证券公司应当建立健全信息管理机制，明
确公司业务信息、财务信息、管理信息和其他信息的获取、加工、传递、使用、披露和报送的流程，保障公司信息的真实、准确、完整。

第五十二条证券公司应当制定信息管理制度，至少包
括以下内容：
（一）信息管理的目标和基本原则；
（二）信息管理的机构设置与职责分工；
（三）信息管理的程序与方法；
（四）信息的留痕、保密与质量评价；
（五）信息管理的责任追究办法。

第五十三条证券公司应当设立董事会秘书，办理对外
信息报送或者信息披露事项，并组织、协调和监督公司内部信息管理工作。

证券公司应当保障董事会秘书能够充分、及时、畅通地
获取履行职责所需要的信息。

第五十四条证券公司应当建立和股东沟通的有效渠
道，依法及时向股东报送有关信息，确保股东的知情权。

证券公司股东和实际控制人应当按照法律法规和公司
章程的规定履行信息通知义务，将其基本情况变更的信息及16
可能导致所持证券公司股权发生转移的信息及时通知证券公司。

第五十五条证券公司应当根据对外披露、报送信息的
要求和经营管理的需要，建立系统的信息收集机制，合理确定信息来源，选择适当方法多渠道地获取内部和外部信息。

证券公司应当采取核实检验、筛选比较、分类排序和分
析整合等方法，对收集的各种内外部信息进行信息加工，提高信息的可靠性和有用性。

第五十六条证券公司应当建立信息的内部传递和反馈
机制，明确不同信息的报送层级、范围和接收、流转、反馈的程序和时限。

证券公司应当保障信息传递和反馈的及时、通畅、完整，
确保董事会、监事会和高级管理人员及时获取决策所需信息，充分了解公司经营和风险状况，确保各部门、分支机构及其工作人员能够及时获取履行职责所需的信息。

信息传递与沟通中发现的问题，应当按照规定及时报告
并解决。

第五十七条证券公司应当建立信息共享的机制和渠
道，在防范利益冲突的基础上形成有效整合不同信息的信息平台，实现信息的集成共享和高效利用。

证券公司应当建立经营管理信息的分析制度，采取定性
与定量相结合的方法，定期对公司的业务、财务、运营、风17
险等信息进行分析，形成信息报告，为公司经营管理活动提供决策依据。

第五十八条证券公司应当建立健全外部信息沟通机制
和公共关系管理机制，实现公司与证券监管机构、证券服务机构、媒体等有关方面的有效沟通和反馈，及时、妥善地处理和回应质疑。

证券公司对外报送和披露信息，不得有虚假记载、误导
性陈述或者重大遗漏，不得以任何方式违规发布或泄漏敏感信息。

第五十九条证券公司应当建立重大、突发事项的报告
制度，明确重大、突发事项的范围、报告责任人、报告路径、报告时限、报告内容等，妥善处置各种重大、突发事项。

当发生可能影响公司经营管理、财务状况、风险控制指
标、客户资产安全或者公司声誉的重大事件时，公司应当及时向证券监管机构报告。

第六十条证券公司应当建立信息质量的保障机制，利
用信息技术手段，通过信息审核、留痕、质量评价等措施，保障信息质量，优化信息管理工作。

第六十一条证券公司应当制定公司敏感信息、客户资
料和客户信息的保密制度，明确保密内容、判断标准和保密措施，并按照知悉范围最小化的原则确定保密信息知情人，明确其保密责任。

18
第五章其他规定
第六十二条证券公司应当建立健全资金管理、预算管
理、费用管理、银行账户管理等财务管理制度，强化资金的集中管理，确保资金安全，提高资金运用效率。