公司代码：600030公司简称：中信证券

中信证券股份有限公司2025年度内部控制评价报告

中信证券股份有限公司全体股东：

根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求（以下简称企业内部控制规范体系），结合本公司（以下简称公司）内部控制制度和评价办法，在内部控制日常监督和专项监督的基础上，我们对公司2025年12月31日（内部控制评价报告基准日）的内部控制有效性进行了评价。

一.重要声明

按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，并如实披露内部控制评价报告是公司董事会的责任。董事会审计委员会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、董事会审计委员会及董事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。

公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进实现发展战略。由于内部控制存在的固有局限性，故仅能为实现上述目标提供合理保证。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。

二.内部控制评价结论

1.公司于内部控制评价报告基准日，是否存在财务报告内部控制重大缺陷

□是√否

2.财务报告内部控制评价结论

√有效□无效

根据公司财务报告内部控制重大缺陷的认定情况，于内部控制评价报告基准日，不存在财务报告内部控制重大缺陷，董事会认为，公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。

3.是否发现非财务报告内部控制重大缺陷

□是√否

根据公司非财务报告内部控制重大缺陷认定情况，于内部控制评价报告基准日，公司未发现非财务报告内部控制重大缺陷。

4.自内部控制评价报告基准日至内部控制评价报告发出日之间影响内部控制有效性评价结论的因素

□适用√不适用

自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。

5.内部控制审计意见是否与公司对财务报告内部控制有效性的评价结论一致

√是□否

6.内部控制审计报告对非财务报告内部控制重大缺陷的披露是否与公司内部控制评价报告披露一致

√是□否三.内部控制评价工作情况

(一).内部控制评价范围

公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。

1.纳入评价范围的主要单位包括：中信证券股份有限公司（以下简称中信证券或公司）、中信证券（山

东）有限责任公司（以下简称中信证券（山东））、中信证券华南股份有限公司（以下简称中信证券

华南）、中信金石投资有限公司（以下简称金石投资）、中信证券投资有限公司（以下简称中信证券

投资）、中信证券国际有限公司（以下简称中信证券国际）、中信期货有限公司（以下简称中信期货）、

中信中证投资服务有限责任公司（以下简称中信证券投服）、金通证券有限责任公司（以下简称金

通证券）、广证领秀投资有限公司（以下简称广证领秀）、中信证券资产管理有限公司（以下简称中

信资管）以及华夏基金管理有限公司（以下简称华夏基金）。

2.纳入评价范围的单位占比：

3.纳入评价范围的主要业务和事项包括:

1．内部环境评价

（1）治理结构

公司根据《中华人民共和国公司法》（以下简称《公司法》）《中华人民共和国证券法》（以下简称《证券法》）《证券公司监督管理条例》《证券公司治理准则》《上市公司治理准则》等法律法规和监管规定，结合公司实际情况，建立了由股东会、董事会、经营管理层组成的，符合现代企业制度的公司治理结构。公司《章程》明确了股东会、董事会和经营管理层的职责权限、议事规则和工作程序等，确保了权力机构、决策机构、执行机构和监督机构之间权责分明、规范运作和有效制衡。

股东会是公司的最高权力机构。公司股东会充分享有并有效行使《公司法》、公司《章程》赋予的权利，公司股东会的召集时间、通知方式、召开方式、表决程序和决议内容等完全符合有关法律法规和公司《章程》的规定。

董事会是公司的决策机构。公司董事会下设发展战略与ESG委员会、风险管理委员会、审计委员会、提名委员会、薪酬与考核委员会以及关联交易控制委员会等六个专门委员会，分别制定了议事规则，为充分发挥专门委员会的科学、民主决策职能提供了有效制度保障。公司董事会关联交易控制委员会成员全部由独立非执行董事组成；审计委员会、薪酬与考核委员会、提名委员会中独立非执行董事人数超过二分之一；审计委员会、薪酬与考核委员会、提名委员会以及关联交易控制委员会主席均由独立非执行董事担任。公司制定了《独立董事工作制度》，明确了独立董事的任职资格、职责权限等，对独立董事依法履行职责予以充分保障。

（2）发展战略

在董事会层面，公司设立了发展战略与ESG委员会，制定了《董事会发展战略与ESG委员会议事规则》，

明确了发展战略与ESG委员会的人员构成、职责权限、会议召集及通知程序、议事和表决程序等内容。在部门层面，公司建立了战略规划部，研究行业趋势及公司战略重点，协助公司管理层制定并组织实施公司战略。

公司综合考虑国家重大战略、宏观经济政策、国内外市场变化、行业发展趋势、竞争对手状况、可利用资源水平和自身优劣势等影响因素，制定发展战略。2025年度依据发展战略制定了年度工作计划和各业务线、各部门、各子公司的业务计划。战略规划部2025年度制定了《战略规划管理办法》，并牵头对发展战略的实施情况开展回顾及评价。

（3）人力资源

2025年公司制定并修订了《员工离职管理办法》《因私出国（境）管理办法》《请休假管理细则》等管理制度；持续细化员工入职、调配、离职、职级调整等关键环节配套的实施细则，并不断促进全系统人力资源管理的一体化建设。借助信息化手段，完善了员工信息、入职审查与任职资格、劳动合同、实习生管理等信息系统，不断完善数据应用，完善合规管理和防范操作风险。

（4）社会责任

2025年，为践行新发展理念，响应中央定点帮扶和乡村振兴决策部署，巩固拓展结对帮扶成果，促进共同富裕，公司按照中信集团党委工作要求，在公司党委的坚强领导下，立足于发挥专业特长和优势，围绕“产业振兴”“教育振兴”“组织振兴”“消费帮扶”等方面，积极参与乡村振兴、公益助学、消费帮扶、金融绿色债发行等工作，各项工作扎实推进，效果明显。2025年公司积极参与云南元阳县、甘肃积石山县、河北沽源县教育帮扶和社会公益活动。

（5）企业文化

2025年，公司制定了中信证券年度企业文化建设工作计划和年度金融文化工作计划，下发《关于进一步加强企业文化建设的通知》，定期召开企业文化建设工作小组会议，落实中信集团文化践行“九个一”有关要求。公司举办了“弘扬廉洁文化涵养清风正气”主题活动，着力营造风清气正的良好氛围；持续开展“激扬青春逐梦前行”系列活动，引导公司青年员工走进实体企业调研和参与公益帮扶活动；推进文化建设课题研究和案例入库，持续打造公司文化品牌。

2．风险评估评价

（1）全面风险管理体系

公司董事会下设的风险管理委员会、经营管理层下设的风险管理委员会及各专业委员会、相关内部控制部门与业务部门/业务线共同构成公司风险管理的主要组织架构，形成由委员会进行集体决策、内部控制部门与业务部门/业务线密切配合、相互制衡的三层次风险管理体系，从审议、决策、执行和监督等方面管理风险。

制度体系方面，公司建立了由基本风险管理制度、专业风险管理政策和重点领域风险管理办法及具体业务风险管理细则等层次构成的制度体系。2025年，公司落实各项监管新规要求，对《全面风险管理制度》《风险偏好管理办法》等多项制度进行修订完善。管理机制方面，公司建立了境内外一体化的风险管理授权与限额体系，对各类金融风险限额管理的组织架构、授权审批机制、限额调整机制、预警和触限处理机制等进行了明确规范。系统建设方面，公司继续推进风险管理系统建设和完善，研发覆盖境内外业务、满足各类风险管理需求的信息系统及工具。此外，公司建立了与经营发展战略相匹配的全球一体化风险管理体系，并持续强化全球风险管理能力建设，通过完善制度与指标体系、加强同一业务同一客户管理、强化一体化风险监控、优化风险管理系统功能等方式，不断加大一体化管控的力度和深度。

（2）声誉风险管理

公司已将声誉风险管理纳入全面风险管理体系，建立了声誉风险管理制度和工作管理机制，通过事前评估与日常防范主动识别和化解风险。公司在管理中持续优化流程，明确职责，加强部门协同，确保报告、决策与执行机制有效运行，不断提升声誉风险防范与事件处置能力，提高声誉风险管理水平。

（3）合规风险管理

公司目前建立了能够满足监管要求和公司合规管理需要的合规管理组织架构，董事会是公司合规管

理的领导机构，决定公司的合规管理目标，对合规管理的有效性承担责任；高级管理人员负责落实合规管理目标；各部门、分支机构及子公司负责人对本单位合规运营承担责任；合规总监负责公司的合规管理工作，实施对公司经营管理活动合法合规性的审查、监督和检查；合规部为公司合规工作的日常管理部门，履行具体合规管理职责；各部门及业务线设有合规专员，分别在各自职权范围内行使合规管理职责。公司建立了完善的合规管理制度体系，该体系以《合规管理规定》为基本制度，并配套制定了涵盖员工行为准则、咨询审核、检查监测、投诉举报、报告问责、信息隔离墙、反洗钱等多个领域的专项制度，使公司的各项合规管理工作有章可循。

公司合规部负责组织或协助业务部门进行制度流程梳理、合规风险监测、检查及整改督促；开展合规培训与宣传；协助处理涉及公司及员工违法违规行为或重大合规风险隐患的客户投诉举报；按照监管要求向董事会、监管部门报送合规报告；对业务部门和员工开展合规考核并将结果纳入公司绩效考核等。2025年，公司合规部持续完善合规管理体系和制度体系，修订了《诚信从业管理制度》《尽职免责管理规定》《跨墙管理规定》《跨境数据管理办法》和《反洗钱管理规定》等多项合规管理制度；持续推进合规信息化建设，有效防范因信息隔离、员工执业、利益冲突、反洗钱、异常交易等引发的各类风险，合规管理信息化能力得到进一步提升；同时加强对境外子公司的垂直化管理，构建境内外一体化的合规管理体系，通过制度与系统双重升级，提升国际化背景下的整体合规管理效能。

（4）法律风险管理

2025年，公司法律部以防范和化解法律风险为核心职责，全面开展诉讼仲裁处理、风险项目处置、重大决策支持、金融产品风险评估、知识产权管理、外部律所管理、配合执法调查及法治宣传等工作，持续提升公司依法经营水平。组织体系方面，公司法律部设立了案件管理组并按业务线设置了二级职能小组，由专人专责知识产权管理、律所选聘、协助有权机关调查取证、普法等工作。制度和流程控制方面，公司法律部新修订了4条制度：《风险管理委员会专项审议委员会法律评审工作实施细则》《著作权管理办法》《协助有权国家机关查询、冻结、划扣的管理规定》和《参与网络司法拍卖管理办法》。

（5）廉洁从业风险管理

公司已制定并实施《廉洁从业规定》，明确了廉洁从业领导小组与工作小组的职责分工。公司将廉洁从业要求纳入各业务条线及部门的岗位职责，并将廉洁从业情况纳入绩效考核体系，形成了制度约束与激励机制。

根据《廉洁从业规定》，教育培训方面，公司在新员工入职培训、合规专员培训和全员合规培训中均加入廉洁从业相关主题，培训主要采取线上方式，通过公司E-learning平台进行；日常监督方面，通过内部网络平台及企业微信公众号定期发布廉洁从业政策、规范及行业典型案例，进行常态化警示教育；人员管理方面，公司对拟提拔干部及评优候选人实施廉洁情况审查，以防范人员选用过程中的廉洁风险。

3．控制活动评价

（1）财富管理业务

组织架构层面，公司设立了以财富管理委员会为直接管理机构，合规部、法律部、风险管理部为风险监测与揭示主体，稽核审计部为事后审计与整改监督主体的“三位一体”协同防控体系，并对交易、清算、财务及关键岗位（财务岗、信息技术岗、合规专岗）实行集中管理与垂直管控。

制度建设层面，公司已建立《分支机构管理办法》《客户账户业务规定及操作指引》等系列制度，涵盖账户管理、客户适当性、客户交易安全管理、客户回访、客户投诉处理、客户资料管理、营销管理、人员管理、营业部管理、信息技术系统管理等方面。

针对财富管理业务领域业务流程与风险特点，公司构建了覆盖业务与综合运营管理、营销管理、客户服务和账户规范等关键环节的全方位内部控制体系。业务与综合运营方面，公司建立了统一的业务操作规程和授权制度，明确了营业部后台管理类、账户类、资金股份类、交易类、客户服务与交易行为管理、金融产品代销等各类业务操作流程。营销管理方面，公司通过制定涵盖人员聘用、岗前培训、执业资格管理、执业行为管理、薪酬与考核、风险监控的全链条制度，防范营销环节风险。客户服务方面，公司建立了统一的客户管理与服务制度，涵盖适当性管理、交易安全监控、回访及投诉处理等方面。财

富管理委员会持续优化客户分级分类服务体系，构建覆盖全业务、全客户、全资产周期的分级分类服务框架，同时持续开展账户实名核查与信息治理，以保障客户交易安全，并通过规范化的回访与投诉处理机制维护投资者权益。此外，2025年公司通过加强账户日常管理、落实中国结算的账户实名制管理要求、开展专项培训及技术管控，持续跟踪开展产品证券账户一码通信息补录、份额持有人数据报送及产品净值报送、中国结算证券账户信息核查等工作，切实保障业务合规与客户权益。

（2）融资融券业务组织架构层面，公司对融资融券业务实行集中统一管理，并实行业务部门与中后台部门相互分离、相互制约的组织架构。制度建设层面，公司根据监管要求建立了完善的制度和操作流程，如《融资融券业务管理办法》《融资融券业务投资者适当性管理细则》等多项制度和细则，覆盖客户授信、客户信用账户管理、担保物管理、逐日盯市及强制平仓管理、客户回访、客户投诉受理及处理等各关键环节。2025年，公司围绕融资融券业务持续完善制度体系，全年共计新增部门制度1项，修订6项，内容涵盖受益人申报与穿透核查机制、股东会投票流程改进以及各业务系统权限管理强化等方面，进一步提升了业务管理的规范性与有效性。

针对融资融券业务的业务流程和风险特点，公司在流程风控和风险管理等方面建立了完善的内部控制机制。流程风控方面，公司持续开展风险自查，通过日常盯市、压力测试、存量业务风险排查及标的质量评估等多项举措，化解潜在风险，完善业务流程风控。风险管理方面，公司通过信用额度审批、逐日盯市和及时平仓等方式控制信用风险；通过融资规模限制、担保物管理及持仓监控等方式管理流动性风险；通过完善制度流程与人员培训等措施防范操作风险；同时部门积极推进舆情与风险自动化、数据化监测，借助科技平台提升风险统一监控与保障能力。

（3）股票质押业务

组织架构层面，公司明确了股票质押业务的相关部门与职责分工。经营管理委员会为股票质押式回购交易业务的管理决策机构。证券金融业务线仅承做融出方为公司的股票质押式回购项目，负责具体推动业务方案设计并在公司授权范围内对股票质押式回购项目进行集中统一管理。分支机构等承接部门负责投资者教育、尽职调查、适当性核实评估、协助日常运营及通知、资金用途跟踪、贷后管理、承担风险处置等相应工作。

制度建设层面，公司针对股票质押回购业务建立了全面的业务管理制度，覆盖客户准入、信用风险、质押股票管理、市场与操作风险管理以及业务信息系统等多个方面，确保业务开展合法合规，形成了健全的内部控制机制。2025年，公司修订了《证券融资类业务分级审批指引》，明确了业务审批权限。

针对股票质押业务的风险特征，公司通过盯市管理、压力测试、风险排查、上市公司资质及股票流动性的综合评估等业务风险管理举措管控风险，并同步加强业务舆情的自动化管理与数据化监测，确保股票质押回购业务的健康、有序发展。

（4）自营业务

组织架构层面，公司明确了董事会是公司证券投资业务的最高决策机构。经营管理委员会在董事会授权范围内对证券投资业务重大事项进行决策，并在年初审批确定自营业务各相关部门资金限额。风险管理委员会在年初决定风险限额。开展自营业务的部门包括：权益投资部、固定收益部、股权衍生品业务线、库务部，各部门按照《证券公司证券自营投资品种清单》所列品种进行交易，在公司授权范围内从事股票、债券自营交易等业务。

制度建设层面，公司建立了完善的自营业务制度体系，涵盖投资决策与授权、交易管理、资金及账户管理等多个方面。同时，公司持续优化业务管理制度与流程，如2025年权益投资部和固定收益部制定或修订了多个公司或部门级别业务制度，以规范自营交易行为。

针对自营业务的业务流程和风险特点，公司在风险管理、自有资金交易账户管理、异常交易监测以及业务创新等方面建立了完善的内部控制机制。公司设置了公司、部门、策略层面的三重限额体系，实现了风险控制指标的动态监控和预警。严格规范自有资金交易账户的维护和使用，从风控、额度、合规

（交易属性）、财务等方面加强自有资金交易账户开、销户的管理和审核，控制和防范自有资金交易的运营风险。公司异常交易监测系统覆盖所有自营账户，对虚假申报、拉抬打压等数十种异常交易行为进行监测预警和前端控制，并将债券交易监测监控纳入公司异常交易系统，以防范利益输送、冲突和风险传导。业务创新方面，在每项新产品新业务开展前，根据《新产品新业务评估管理办法》完成内控评估，确保业务合规、风险可控、系统衔接明确，并最终提交公司产品委员会审批。

（5）场外金融衍生品业务组织架构层面，公司设立了股权衍生业务线专门负责场外衍生品业务，并明确了其在客户适当性管理、交易结构设计、风险监控及监管报送等方面的职责分工。

制度建设层面，公司已针对场外金融衍生品业务建立了涵盖客户准入、信用风险、市场风险、操作风险及信息系统管理的制度体系，具体包括《收益互换业务管理办法》和《场外期权业务管理办法》等核心制度及各业务部门配套细则。同时，公司持续优化客户准入与反洗钱审查流程，制定了《场外衍生品业务客户尽职调查实施细则》等专项规则。2025年，股权衍生品业务线新增制定了《场外衍生品信息管理与集中度管理操作细则》，以加强场外衍生品信息管理与集中度管理；修订了《场外期权业务管理细则》，加强了场外期权业务的合规管理。

业务操作中，公司对客户尽职调查、交易对冲管理、数据报送等环节实施合规审查，并建立了覆盖市场风险、信用风险的风险限额体系与相关管理办法。异常交易管理方面，公司通过异常交易监测系统对自营账户（含衍生品对冲账户）的交易行为进行监控，并利用可疑交易监测模型加强对交易对手方利用场外期权进行内幕交易、操纵市场等违规行为的监测。标的管理方面，公司依据监管要求建立白名单控制机制，对挂钩标的范围进行动态管理。信息系统建设方面，公司建立了三类业务系统，包括客户系统、业务管理系统和公司公共系统，股权衍生品业务线制定了《股权衍生业务线系统权限管理细则》，以明确系统用户权限开立、维护、注销和删除的具体流程，加强系统权限管理。公司建立了数据报送机制，以确保向监管机构报送信息的及时性、准确性与完整性。

（6）上市证券做市交易业务

公司2022年获批上市证券做市交易业务资格并试点开展科创板做市业务后，建立了风险控制、业务管理、应急预案等相关制度体系，同时加强信息技术安全管理，保障科创板做市交易业务信息系统安全稳定运行，确保该项业务的顺利开展。2023年，经北交所同意，公司开通北交所做市交易业务权限并开展北交所做市交易业务，权益投资部制定了内部管理、风险控制、应急预案、交易室管理等相关制度，同时加强信息技术安全管理，保障北交所做市交易业务信息系统安全稳定运行，确保该项业务的顺利开展。同年，经上交所、深交所同意，公司开通交易所债券做市业务权限并开展交易所做市业务，固定收益部制定了《交易所债券做市业务管理细则》《交易所债券做市业务风险控制细则》等相关制度，同时加强信息技术安全管理，保障交易所债券做市交易业务信息系统安全稳定运行，确保该项业务的顺利开展。

（7）投资银行业务

组织架构层面，公司全面落实《内控指引》要求，形成了以项目组、业务部门为第一道防线，质量控制组为第二道防线，内核部、合规部、风险管理部等部门为第三道防线内控架构体系，明确了各内控部门的职责范围。

制度建设层面，2025年公司根据外部规则变化、业务创新和内部管理需求，制定或修订了《全球投资银行管理委员会客户管理办法》《公开募集基础设施证券投资基金业务管理办法》等十余项制度，涵盖投资银行业务管理、质量控制、绩效考核、中介机构管理及证券发行承销等多个方面。

公司针对投资银行业务（以下简称投行业务）的风险特征，在保代管理、质量控制、内核、发行方案设计和发行定价、后续管理等方面建立了完善的内部控制机制。保代管理方面，公司制定了尽职调查、工作底稿等相关管理办法，要求保代对所保荐的项目进行充分的尽职调查，全面参与各个阶段的业务活动，并按照监管要求建立完整的保荐工作日志，详细记录项目实施过程。质量控制方面，质量控制组对项目运作全过程进行质量核查及风险控制的动态跟踪；立项委员会负责审核各业务线提交的立项申请是

否符合相关条件，并以投票的方式决定项目是否立项，同时负责核定项目组负责人及成员、核定项目初步预算、审核因各种原因而终止项目等工作，在公司层面对投行项目进行评估和甄别。内核方面，主要通过公司层面审核的形式对投资银行类项目进行出口管理和终端风险控制，履行以公司名义对外提交、报送、出具或披露材料和文件的最终审批决策职责。项目的发行方案设计和发行定价方面，公司建立了严密的风险控制体系。针对权益类和债券类发行项目，股票资本市场部和债务资本市场部在充分了解和评估监管口径、市场环境、投资者需求的前提下制定发行方案；对于承销方式为余额包销的发行项目，根据内部制度要求对项目进行定价和配售，权益类发行项目配售结果经资本承诺委员会审批后生效执行；权益类发行项目和债券类发行项目产生的包销证券根据《包销证券处置实施细则》进行处置。项目后续管理方面，公司制定了持续督导、受托管理、存续期管理、应急管理等一系列制度，督导发行人规范履行信息披露等义务。

（8）资产管理业务针对资产管理业务的特性与风险，公司建立了覆盖业务全流程的内部控制体系。投资决策与研究方面，公司资产管理部实行投资决策与交易执行相分离的机制，由养老金投资决策委员会统领，投资经理负责具体账户的资产配置方案与投资决策，投资指令经合规审查后由交易服务大组统一执行，交易室设立特别门禁以确保操作独立；同时通过宏观、策略、行业及标的研究为投资决策提供支持。2025年制定和完善了《养老金投资决策委员会议事规则》和《资产管理部公平交易制度》等制度，进一步规范投资管理。

产品设立环节，依据业务类型分类实施标准化的立项与合规流程。养老金产品立项设计后经内部会签审核，再报人力资源和社会保障部申请备案获批发行。企业年金、职业年金、社保基金及基本养老保险基金等产品在中标或获选为投资管理人后立项，履行投资者适当性管理、客户身份识别及反洗钱调查等程序，确保符合法规与监管要求。

投资交易监控方面，风险管理组根据合同条款、投资政策制作风控指引书并设置合规和风控指标，通过信息系统实现事前、事中、事后实时监控与预警，定期形成风控报告，同时严格执行公平交易制度并对关联交易进行系统监控。

营销与客户服务领域，建立了涵盖投资者适当性管理、客户身份识别与反洗钱、投资者教育、营销管理、客户投诉处理、合同会签管理以及档案管理的完整机制，特别强调营销活动中严禁泄露内幕信息及未公开信息，并依托CRM系统实现客户信息集中管理以提升服务质效。

人员行为管理方面，实施包括内幕信息控制、报告、处理和检查、从业人员投资申报系统留痕、签署保密承诺、通讯工具管控、办公电话录音备查及定期资格检查在内的多重约束机制，着力防范利益冲突与道德风险。

（9）研究业务

公司针对研究业务已建立起较为全面的管理制度体系，包括《研究业务合规管理制度》《研究对象覆盖管理制度》《研究部质量控制与审核委员会管理办法》和《研究部业务相关微信管理暂行办法》等，这些制度明确了研究业务从报告生产、审核、发布到服务各环节的合规管控要求，并将研究员外部交流、跨墙行为及专家服务等纳入统一管理，同时亦能根据外部监管要求和研究业务开展情况进行修订和更新。

在研究业务流程中，研究部设立了产品组、质量控制与审核委员会、合规组等组织架构，各自承担质量审核、合规审查与发布管理的职责。研究报告需通过质量审核、合规审核及特定情形下的特别委员会审核与财务模型审核后方可对外发布。报告对外发布时，由产品组通过研报生产管理平台执行发布操作并进行留痕。研究员在开展客户服务、媒体采访、跨墙参与投行项目及专家服务时，均需遵照相应制度规范与工作流程，并留存相关的工作记录。合规组负责对研究员参加媒体节目等情况进行备案并报告监管部门，同时对发言内容进行审核与存档。

（10）资金运营管理

库务部作为公司资金管理的核心部门，负责资金的集中管理与调配、资产负债管理以及流动性储备

池投资，以引导资金合理配置。公司实行资金统一管理体系，由经营管理委员会和资产负债管理委员会负责自有资金的一级配置决策，公司权益投资部、股权衍生品业务线、固定收益部、证券金融业务线等部门在其授权额度内进行具体的二级配置操作。

在日常资金运作中，公司建立了完备的资金管理相关系统，各部门如有大额资金需求，须提前向库务部预约并通过系统提交付款申请，经审核后方可执行，保证了公司资金的合理运用。库务部通过交易系统内的资金报表实时监控公司日度资金头寸变动，并依据《流动性管理办法》及相关制度严格执行流动性管控，保障资金安全。针对境外流动性管理，部门制定了《境外流动性管理账户管理办法》及《流动性管理账户风险管理指引》，系统管控流动性、利率、信用、汇率、操作及交易对手等多类风险。此外，对于公司外汇敞口风险，库务部出台了《外汇敞口管理办法（暂行）》，按照办法对外汇敞口进行管理，建立相关风险应对机制。

（11）大宗商品业务

公司作为首批开展大宗商品业务的证券公司之一，自2019年对部门业务进行调整后，主要聚焦于商品衍生品业务，针对境内外企业和机构投资者客户，提供以大宗商品为标的的资产配置、套期保值、风险管理等交易服务。根据大宗商品业务的风险特点，公司在制度建设、风险管理和系统建设等方面建立并进一步完善了内部控制机制，确保业务行为合法合规、风险可控。

制度建设方面，公司制定或修订了黄金标准仓单仓库管理、收益互换、场外期权、自营交易及做市业务等一系列业务制度，通过对客户准入、交易风险控制、清算管理等各个业务环节全面把控，强化对收益互换、场外期权、商品做市、黄金现货仓单等业务的内部控制管理。

风险管理方面，公司大宗商品业务线不断完善风险管理与内控流程，涉及新业务审批、业务规模审批、业务合同审批、客户授信管理、参数复核、交易流程控制、风险监控、产品估值、清算交割、系统支持、信息报送等领域。

（12）托管业务

托管业务规范化运营方面，公司已设立一级部门托管部，专门负责资产托管业务的承揽、推广、实施及运营。该部门依据相关监管规定与合同约定，履行对托管基金的安全保管、清算交割、净值复核、投资监督及份额持有人大会召集等职责。公司已建立托管业务专项制度体系，涵盖内部机构设置、人员管理、会计核算、投资监督、内部控制与风险管理等多个方面。2025年，托管部新增制定《托管部收入管理办法》和《资产托管业务客户服务管理办法》，并修订了《资产托管业务客户分级服务实施细则》等既有规章，以加强业务运营及强化数据管理。

托管业务全流程管控方面，公司建立了涵盖项目论证、资产保管、资金清算、会计核算与估值、投资监督、信息披露、销售支持及业务检查等环节的托管业务流程。公司构建了三级内控风险防范体系：

一级由公司风险管理委员会负责整体风险监管框架的决策审批；二级由各中后台部门提供协同风险管控与业务支持；三级由托管部内部设立的风险管理组执行日常风险预防与控制。

系统管理方面，托管业务采用专用网络，与公司其他业务网络实现强逻辑隔离。信息系统由托管部总体负责，信息技术中心提供支持。系统软件由专人维护，规范操作流程，业务数据独立存储、备份与传输，以保障系统安全与数据隔离。

（13）财务管理以及财务报告编制管理

2025年，公司制定和修订了涉及费用管理、采购管理、预算管理等多项制度办法，进一步规范了计划财务部的日常财务管理流程、会计核算流程以及财务报告编制操作流程，旨在确保财务岗位分工与职责界定清晰，业务流程与报告编制的审批环节完整严密。同时，公司构建了财务核算信息系统，以支持会计工作的质量与效率，并通过技术手段保障内部监督检查流程与制度的执行。

会计核算管理方面，会计人员依据公司有关制度对原始凭证的准确性、完整性及审批签字进行审核，对不合规凭证不予受理，并按照《企业会计准则》及公司相关核算办法及时准确完成会计核算工作；通过财务信息系统的权限管理，建立了财务人员操作权限审批流程，以保证凭证处理经过适当审批，从而保证会计核算的准确性、完整性。

财务报告编制方面，公司建立了完整的编制流程与制度，在报表编制前制定合并财务报表编制方案以及工作计划并经财务负责人审批下达至所有下属会计核算主体，明确合并范围、财务信息提交时间及形式要求：编制财务报告前，计划财务部协同相关部门完成资产清查、减值测试与债权债务核实等前期工作，子公司报送的财务信息经核实准确后汇总至总部；编制完成的财务报表及附注需经会计机构负责人及公司相关高级管理人员审批后方可对外报送。财务信息系统管理方面，通过财务信息系统及相关专职岗位（信息技术中心财务技术支持岗、计划财务部数字化建设组）支持财务工作。系统按岗位职责设置不同岗位财务人员的操作权限，由信息技术中心财务技术支持岗依据计划财务部领导审批进行权限配置与变更，以实现不相容岗位分离，保障财务信息存储与使用的安全。信息技术中心负责系统日常维护，包括硬件维护、数据备份及病毒检测等工作；计划财务部数字化建设组配合信息技术中心开展年度财务信息系统灾备演练。

固定资产管理方面，公司制定了完善的固定资产管理制度，明确了实物与价值管理部门职责，对固定资产的确认、分类、计量、购置、验收、维护及报废等标准和流程做出规定，并通过定期盘点确保账实相符和资产安全。

（14）清算管理

2025年，清算部基于职能化的组织架构，规范各项制度与流程，完善业务管理集中监控平台，推进系统平台信息化建设，进一步加强清算运营业务连续性与稳定性。

制度与流程方面，清算部更新了《清算管理细则》《法人结算业务管理细则》及《结算资金管理细则》等制度，旨在全面覆盖现行清算运营工作，明确各职能组及岗位职责，并构建全生命周期的、跨部门岗位的综合业务流程。

集中监控管理方面，清算部持续深化集中监控平台建设，不断完善涵盖运营流程监控、自动化作业监控、结算指令监控及清算过程监控的多维一体化监控体系，以实现对事前操作提醒、事中进程跟踪及事后监督检查的全周期覆盖，并支持对跨业务主体、跨地区运营的实时集中监控。

风险控制方面，清算部建立了定期自查自纠的风险防控长效机制，2025年完成年度例行的重要系统参数、重要系统权限、安全证书（UKEY）、自管印章等关键风险点的定期自查自纠工作，保障内控有效性。

信息化建设方面，清算部通过加强信息化运营基础建设和流程系统自动化水平，推进系统直连与业务融合，实现产品和交易全生命周期运营的系统覆盖以管控操作风险。2025年持续推进相关清结算系统信创改造，优化了投资交易、法人结算及数据报送等相关系统。

业务连续性管理方面，清算部通过落实一体化运营方案，建立了总部与多地运营团队的互备协同运营机制，并以制度、流程、监控统一标准、统一管理实现清算运营的异地互备。同时制定业务应急预案并完成业务连续性计划演练，以应对局部应急及极端场景下的运营风险。

（15）关联交易管理

公司已建立较为完善的关联交易管理内部控制机制，公司《章程》对关联交易决策权限及程序、关联股东和关联董事在关联交易表决中的回避制度等做出了规范。公司董事会下设了关联交易控制委员会，履行公司与关联人进行关联交易的管理职责，对重大关联交易事项进行审核，形成书面意见，提交董事会审议，并报告审计委员会。此外，为加强公司关联交易管理、规范关联交易行为、明确管理职责和分工，公司制定了《关联交易管理办法》，对关联交易的决策权限与程序做出了具体明确的规定。

（16）信息技术管理

在信息技术治理方面，公司持续加强信息技术工作的管理，通过完善信息技术治理结构，提高信息技术治理水平，保障信息系统安全、可靠、高效运行，提升信息技术能力，进而转化为核心竞争力。公司制定了有关信息技术决策权分配和责任承担的框架，制定了完善的信息技术制度体系及有效的工作机制和操作流程，形成了完善的信息技术内部控制机制。针对信息技术管理面临的主要风险，公司从事前、事中和事后整个生命周期建立了完善的防范管控和处置机制，通过建立多层次的运维服务体系，完成一体化智能运维平台的建设，建立集中监控团队，通过ISO20000体系认证和提升信息系统自动化运维程度

等措施，有效提高信息系统运行保障能力，并丰富和完善各项IT服务流程，完善信息系统应急预案并组织应急演练工作。2025年度未发生信息系统安全事件。

在网络安全体系建设方面，公司持续提升网络安全体系化、实战化、常态化能力，提升业务开发运维一体化网络安全运营管理水平，保障公司信息系统安全稳定运行、保障公司重要数据安全，并提升网络安全运营能力、网络安全纵深防御能力、数据安全保护能力和开发安全管控能力。公司按照《证券基金经营机构信息技术管理办法》要求，聘请了外审机构对近三年公司信息技术管理工作进行了全面审计。

（17）子公司内部控制

纳入评价范围的中信证券（山东）、中信证券华南、金石投资、中信证券投资、中信证券国际、中信期货、中信证券投服、金通证券、广证领秀、中信资管十家全资子公司以及华夏基金一家控股子公司均建立了较为完善的法人治理结构和内部控制体系，制定了完备的业务管理制度和流程。报告期内，上述子公司未发现公司内部控制存在设计和执行方面的重大缺陷和重要缺陷；一般缺陷可能导致的风险均在可控范围内，未对公司的经营管理活动质量和财务目标的实现造成重大影响。

4．信息与沟通的评价

（1）内部信息与沟通

制度建设方面，公司已建立涉及合规、财务、重大事项、合同及风险管理的内部报告与沟通制度体系，包括制定《合规报告制度》《财务管理制度》《重大事项报告管理办法》《合同管理办法》及制定相关风险定期报告机制。这些制度明确了跨部门、业务线与子公司之间在信息报送、审批流程、责任主体及纠纷处理等方面的规则与路径，旨在保障信息传递的及时性、有效性与准确性。

根据制度安排，各部门、业务线与子公司在合规框架内建立了相应的沟通与反馈机制。公司设立内部办公自动化系统（OA），将授权审批与流程跟踪功能固化于系统中，在加强内部沟通效率的同时，实现了工作留痕；合规、财务、重大事项、合同纠纷及各类风险信息，均按规定流程通过OA系统、电子邮件及内网平台等渠道进行传递与处理。同时，公司通过《员工合规守则》和《客户投诉举报制度》设立了反舞弊举报机制，分别规范对内部违规行为的员工举报和对外部客户投诉举报的处理程序，以强化内部监督与风险防范。

（2）信息披露

公司已制定《信息披露事务管理制度》，具体规定信息披露的原则、范围、内容、基本标准及披露流程，同时还明确了公司各单位在信息披露工作上的主体责任，有效提高了信息披露事务管理水平和信息披露质量，保护了公司、股东、客户、债权人及其他利益相关人的合法权益。公司董事会认为，公司信息披露事务管理制度有效实施，从而确保公司信息披露的及时性和公平性，以及信息披露内容的真实、准确、完整。为加强公司内幕信息管理，保护广大投资者的合法权益，公司还制定了《内幕信息知情人登记制度》，规定内幕信息、内幕信息知情人的范围、内幕信息知情人登记备案流程和内幕信息保密管理等内容。

（3）信息系统

2025年，公司信息技术中心持续加强信息化建设，新增12项信息技术管理制度，并对现行的16项制度进行了修订，实现流程及业务标准的精细化管理；不断完善信息系统基础平台和企业管理平台，保障了公司网络层面、服务器层面、数据库层面、终端管理方面、风险管理方面、安全监控方面、数据管理方面、供应商管理方面的运营和信息安全管理。信息技术中心持续与业务部门和风控合规部门密切协作，不断提高风险防范和处理的能力与效率。

5．内部监督评价

公司建立健全了董事会审计委员会、内部控制部门等组成的全方位多层次内部监督体系。2025年12月19日，中信证券2025年第一次临时股东大会审议通过了《关于修订公司<章程>及<股东大会议事规则><董事会议事规则>的议案》《关于不再设置监事会的议案》等议案，公司不再设置监事会，由董事会审计委员会按照《公司法》及国家有关部门规定行使监事会职权。董事会审计委员会负责审核公司财务信息及其披露、监督及评估内外部审计工作和内部控制、监督全面风险管理和并表管理。同时，公司合规部、

风险管理部、法律部、稽核审计部等内部控制部门分工协作，对各项业务的内部控制情况进行定期和不定期的监督检查。公司经营管理层高度重视董事会、内部控制各职能部门的意见和建议，对于发现的问题采取各种措施及时纠正，最大限度避免业务差错的发生，有效地提高业务规范化程度，提高公司内部控制管理水平。

4.重点关注的高风险领域主要包括：

财富管理、融资融券、股票质押、自营、场外金融衍生品、上市证券做市交易、投资银行、资产管理、研究、资金运营管理、大宗商品、托管、财务管理以及财务报告编制、清算、关联交易、信息技术、子公司内部控制管理。

5.上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面，是否存

在重大遗漏

□是√否

6.是否存在法定豁免

□是√否

7.其他说明事项

无

(二).内部控制评价工作依据及内部控制缺陷认定标准

公司依据企业内部控制规范体系及其他相关法律法规的要求，组织开展内部控制评价工作。

1.内部控制缺陷具体认定标准是否与以前年度存在调整

□是√否

公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财务报告内部控制，研究确定了适用于本公司的内部控制缺陷具体认定标准，并与以前年度保持一致。

2.财务报告内部控制缺陷认定标准

公司确定的财务报告内部控制缺陷评价的定量标准如下：

说明：无

公司确定的财务报告内部控制缺陷评价的定性标准如下：

说明：无

3.非财务报告内部控制缺陷认定标准公司确定的非财务报告内部控制缺陷评价的定量标准如下：

说明：无

公司确定的非财务报告内部控制缺陷评价的定性标准如下：

说明：无

(三).内部控制缺陷认定及整改情况

1.财务报告内部控制缺陷认定及整改情况

1.1.重大缺陷

报告期内公司是否存在财务报告内部控制重大缺陷

□是√否

1.2.重要缺陷

报告期内公司是否存在财务报告内部控制重要缺陷

□是√否

1.3.一般缺陷无

1.4.经过上述整改，于内部控制评价报告基准日，公司是否存在未完成整改的财务报告内部控制重大

缺陷

□是√否

1.5.经过上述整改，于内部控制评价报告基准日，公司是否存在未完成整改的财务报告内部控制重要

缺陷

□是√否

2.非财务报告内部控制缺陷认定及整改情况

2.1.重大缺陷报告期内公司是否发现非财务报告内部控制重大缺陷

□是√否

2.2.重要缺陷

报告期内公司是否发现非财务报告内部控制重要缺陷

□是√否

2.3.一般缺陷

一般性缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。根据上述认定标准，结合监管部门检查、日常监督和专项监督情况，报告期内，个别业务部门在展业过程中存在一般性缺陷。公司对此高度重视，深刻总结反思，汲取教训，并严格按照相关监管规则和内部控制的要求，通过查找问题成因、优化与完善公司相关规章制度和流程、进一步加强合规宣传与培训等措施，已及时完成整改或制定限期整改方案。

报告期内，公司对纳入评价范围的业务与事项均已建立了内部控制，并得以有效执行，达到了公司内部控制的整体目标。前述一般缺陷可能导致的风险均在可控范围内，未对公司的经营管理活动质量和财务目标的实现造成重大影响，且持续推进落实整改。从内部控制评价报告基准日到内部控制评价报告发出日之间，没有发生对评价结论产生实质性影响的内部控制重大变化。

2.4.经过上述整改，于内部控制评价报告基准日，公司是否发现未完成整改的非财务报告内部控制重

大缺陷

□是√否

2.5.经过上述整改，于内部控制评价报告基准日，公司是否发现未完成整改的非财务报告内部控制重

要缺陷

□是√否四.其他内部控制相关重大事项说明

1.上一年度内部控制缺陷整改情况

√适用□不适用

公司上一年度内部控制评价未发现财务报告及非财务报告内部控制重大缺陷和重要缺陷。截至报告日，上一年度内部控制评价发现的内部控制一般缺陷均已完成整改。

2.本年度内部控制运行情况及下一年度改进方向

□适用√不适用

3.其他重大事项说明

□适用√不适用我们注意到，内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。未来期间，公司将继续完善内部控制制度，规范内部控制制度执行，强化内部控制监督检查，促进公司健康、可持续发展。

董事长（已经董事会授权）：张佑君

中信证券股份有限公司

2026年3月26日