上市商業銀行內部控制自我評價報告分析

【摘 要】 商業銀行由于其特殊的行業性特點，具有較高的風險性，這就決定了必須要有完善而健全的內部控制與之相對應。完善內部控制評價體系對于商業銀行加強銀行體系風險管理、提高管理效率、完善內部審計程序等有著積極的作用。考慮到銀行業的監管特殊性和信息披露可獲得性，文章選取我國上市商業銀行為研究對象，通過對2009—2011年間內部控制自我評價報告進行統計分析，找出內部控制評價進程中存在的問題及缺陷，并據此提出相應的建議。

【關鍵詞】 上市銀行； 內部控制； 自我評價； 信息披露

一、引言

內部控制自我評價是目前我國上市公司的法定責任，按規定實施內部控制自我評價是上市公司審計監管的必然要求，同時也是有效防范風險，提高經營管理效率的重要方法。

中國人民銀行早在2002年4月就頒布了《商業銀行內部控制指引》，2008年6月，財政部同證監會、審計署、銀監會和保監會五部門聯合發布了《企業內部控制基本規范》，2010年4月，五部委又聯合發布了《企業內部控制配套指引》。該配套指引包括《企業內部控制應用指引》、《企業內部控制評價指引》和《企業內部控制審計指引》，至此，我國基本建立了內部控制制度體系，而內部控制信息披露也由自愿性披露變為了強制性披露。這一規范明確要求上市公司應當對本公司內部控制的有效性進行自我評價，披露年度自我評價報告，并可聘請具有證券、期貨業務資格的會計師事務所對內部控制的有效性進行審計。

良好的內部控制信息披露不僅提升財務報告決策的有用性，而且還影響利益相關者的利益。商業銀行內部控制制度的基本建立是否意味著上市商業銀行具有高質量的內部控制信息披露呢？本文選取了16家上市銀行2009—2011年內部控制信息披露情況進行分析，通過比較《內部控制評價指引》出臺前后上市商業銀行實施內部控制自我評價的總體狀況、具體內容、評價依據等方面的變化，來檢驗相關法律法規的實施效果和力度，找出上市商業銀行內部控制信息披露存在的問題，并提出相應的改進建議。

二、我國上市商業銀行內部控制自我評價現狀分析

（一）報告披露的總體狀況

截至目前，我國共有16家上市商業銀行，涵蓋了銀行的主要類別，包括5家國有商業銀行（工、農、建、中、交）、3家城市商業銀行（北京、南京、寧波）和8家股份制銀行（民生、浦發、平安（深發）、招商、興業、華夏、中信、光大）。近三年上市商業銀行內部控制自我評價的總體披露情況如表1。

2009年我國上市商業銀行共有14家，均披露了相關內部控制自我評價信息，但其中只有2家（深發和寧波）正式發布了內部控制自我評價報告；出具外部審核意見和內部審核意見的銀行數量也僅為2家和1家，其他12家僅在年報中簡要說明了內部控制自我評價信息。2010年和2011年，16家上市商業銀行均正式發布了內部控制自我評價報告，大多請專業機構進行了審核并出具評價意見報告。但出具監事會或獨立董事會意見的銀行仍然較少。由此看出，在《內部控制評價指引出臺》之前，我國上市商業銀行自愿披露內部控制評價報告的積極性普遍不高。從2010年開始，正式發布內部控制自我評價報告已成為一種必然趨勢。披露狀態得到極大改善，但仍然缺乏要求監事會或獨立董事出具相關意見的意識。

（二）報告內容的具體分析

2009年有14家上市商業銀行，2010年、2011年分別有16家上市商業銀行，正式公布了內部控制自我評價報告共34份，具體內容如表2。

在責任主體方面，2009年正式發布內部控制自我評價報告的銀行僅為深圳發展銀行和寧波銀行。寧波銀行表述是將董事會作為決策層，并沒有明確說明內部控制自我評價的責任主體，深發展的報告中也沒有相關責任主體的表述內容。而2010年有13家銀行明確說明了以董事會作為內部控制評價的責任主體，直至2011年，16家上市銀行均明確表明了以董事會為責任主體。

在評價范圍和評價依據方面，2009年明確披露內部控制評價范圍和依據的銀行分別有10家和13家，2010年增加到14家披露了內部控制評價范圍、16家全部披露了內部控制評價依據，到2011年15家披露了內部控制評價范圍、16家全部披露內部控制評價依據。

在評價程序和方法方面，2009年各大銀行均未披露具體的內部控制自我評價程序和方法，2010年也僅有1家銀行對此進行了披露，至2011年，披露的銀行增加到13家，占比為81.3%，說明在2010年內部控制評價指引頒布之后，各大銀行開始嘗試采用具體的評價程序和方法，并對此進行了披露，但仍有部分銀行缺乏對此的披露。

《企業內部控制基本規范》及配套指引明確指出各企業的內部控制應當包括五大要素：（1）內部環境；（2）風險評估；（3）控制活動；（4）信息與溝通；（5）內部監督。上市商業銀行的內部控制自我評價也理應按這五個基本要素進行評價。2011年具體披露了五要素的銀行數由2010年的8家增加到了11家，各大銀行雖然在內部控制自我評價具體內容上越來越趨向于統一按照基本規范的要求，但仍有部分銀行沒有對內部控制五要素進行披露。

在董事會對內部控制真實性聲明方面，2009年僅有10家銀行披露了相關信息，2010年有14家銀行對董事會聲明作了相應表述，2011年所有上市銀行均發表董事會聲明。

在缺陷認定方面，2009年各銀行均未詳細披露各項缺陷及認定情況，2010年僅有2家披露了缺陷認定情況，2011年上升到13家，仍有部分銀行未對其具體缺陷認定情況進行說明。

首先，從總體上來看，自2010年內部控制評價指引出臺之后，各上市銀行對內部控制自我評價報告的披露內容更加完善、詳細和具體，并表現出越來越統一的趨勢。從近三年的自我評價報告對比可以發現，2009年和2010年各銀行發布的內部控制自我評價報告內容不盡相同，有的對五要素進行了詳盡的披露，而有的根本沒有提及。至2011年，各大銀行出具的報告內容表現出逐漸統一的趨勢，大部分報告中完整地包括了責任主體、評價范圍、評價依據、評價程序及方法、董事會聲明、缺陷認定等。

其次，各銀行內部控制自我評價報告的格式越來越規范。在2010年披露的16家報告中，僅有4家報告的格式具有可比性；在2011年披露的16家報告中，僅有8家報告是嚴格按照《內部控制評價指引》的要求來披露相關評價信息，即分別按照董事會聲明、評價工作的總體情況、評價范圍、程序和方法、內部控制措施、缺陷及認定、整改情況、有效性認定這8個部分進行說明，并附有相關簽章及日期。

此外，16家銀行披露的內部控制評價報告中無一例外都得出了內部控制設計和運行有效的結論，雖然有少數銀行提到存在一些缺陷，但由于認為構成實質影響而沒有詳細披露。可以看出，上市商業銀行在自愿披露內部控制評價信息時，都會盡可能選擇對其有利的信息進行披露，且大多內部控制評價報告流于形式，缺乏實質性內容。

（三）內部控制評價依據的比較

如何去判斷一個企業的內部控制是否有效，在關鍵控制點是否存在重大風險或者控制缺陷，是內部控制自我評價依據應該考慮的事情。如何合理、準確、全面地去判斷一個企業的內部控制是否健全有效，需要一個恰當的依據。目前我國上市商業銀行進行內部控制自我評價依據的標準眾多。如圖1所示。

其中：A表示《內部控制基本規范》；B表示《商業銀行內部控制評價指引》；C表示《內部控制評價指引》；D表示《上交所、深交所內部控制指引》；E表示其他相關法規。

從圖1看出，各銀行的內部控制自評依據眾多，導致內部控制的自我評價工作以及出具的報告更是千差萬別，缺乏統一的標準。這樣，一方面會使得上市銀行出具的內部控制自我評價報告缺乏橫向可比性；另一方面，不同評價依據對企業內部控制的關鍵控制點認定會有所區別，由此可能導致同一個企業的內部控制運用不同的評價依據會產生不同的評價結論。在統計中甚至還發現個別銀行沒有說明其具體的評價依據，這也影響了其內控自評報告的可信賴性。

三、存在問題的成因分析

通過對近三年我國上市商業銀行發布的內部控制自我評價報告的比較分析可以發現，2010年作為一個分水嶺，在此之前，大部分銀行并沒有獨立公布內部控制自我評價報告，而是作為年度財務報告的一部分進行披露，且大部分內部控制自評報告名稱不一致，缺乏較為統一的格式和規范，評價內容較為單一，各銀行均未披露自評工作的程序和方法，也沒有對相應的缺陷認定進行描述。此外，評價工作依據的法律法規眾多，缺乏較為統一的標準。

（一）上市商業銀行自愿如實披露評價信息的動力不足

一方面，根據《評價指引》的規定，上市商業銀行應該積極主動出具符合規定的內部控制評價報告，并如實描述存在的相關內部控制缺陷，同時提出切實可行的整改措施，但是從上面的近三年各銀行出具的內部控制自我評價報告來看，當前各銀行都盡可能選擇對其有利的信息進行披露，普遍得出了其內部控制設計和運行有效的結論，報告明顯缺乏實質性價值。同時，其提出的整改措施大多數情況下只是為了滿足證監會和證券交易所的要求，流于形式，缺乏實際執行效用。另一方面，在評價內容上，很多銀行都只是將前一年的報告進行簡單更新，明顯表現出比披露財務信息更加缺乏自愿性和主動性。

（二）各上市商業銀行間內部控制自我評價信息缺乏可比性

1.評價依據不統一

內部控制評價依據是判斷內部控制是否存在不足和缺陷的標準，評價依據的選擇對自我評價報告的結論的形成具有直接影響。從近三年各上市銀行的自評報告情況來看，其對評價的法律依據的選擇仍然存在很大差異。

2.評價內容不統一

頒布《內部控制評價指引》的目的之一就是要建立一個統一的標準，便于各企業統一實施內部控制自我評價工作，為各利益相關者作出決策提供準確及時的內部控制信息。但通過上面分析內容來看，雖然《內部控制評價指引》出臺已有三年，但各銀行的評價內容仍然表現出明顯的差異。2011年未披露評價程序和方法的銀行占比為18.8%，未按照五要素標準進行披露的銀行占比為31.25%，未披露相應整改措施的銀行比例更是高達75%。這種披露狀況明顯與《評價指引》的規定相去甚遠，導致當前銀行間的內部控制自我評價信息缺乏可比性，利益相關者很難據此判斷其內部控制的真實狀況。

3.報告格式不規范

目前我國上市商業銀行內部控制自我評價報告的隨意性比較大，報告名稱不統一，披露形式不一致，有的詳細按照各點分類說明，有的簡略地以幾段話進行概括說明，既有參照《評價指引》的要求進行全面披露，也有按照自己特有的評價體系進行說明。各銀行內部控制自我評價報告格式的混亂必然加劇了內部信息可比性的缺乏。

（三）內部控制自我評價的有效性缺乏實質性關注

《評價指引》要求各企業及時準確地對內部控制情況進行評價的最終目的一方面是為了根據已發現的不足和缺陷持續改進，提高企業經營管理效率；另一方面為外部利益相關者投資決策等提供及時可靠的依據。通過以上的比較分析可以發現，上市銀行內部控制自我評價的有效性即評價結果的利用效率缺乏內外部的持續關注。

從內部來看，各銀行普遍選擇迎合監管部門形式上的披露形式為主，極少或不披露其缺陷，且縱觀各銀行的整改措施基本上都缺乏實踐意義的建議，導致內部控制自我評價與整改措施脫節，缺乏整改與完善的長效機制，大大降低了內部控制自我評價的有效性。2011年僅有3家銀行在其內部控制評價報告中披露如何有效利用內部控制評價過程與評價結果，因而其內部管理層首先對內部控制自我評價的效果缺乏實質上的關注。從外部市場來看，包括機構投資者、個人投資者、債權人等在內的各方利益相關者由于受其自身知識結構與周圍大環境的影響，對內部控制評價信息是否真實有效的需求遠遠小于對財務指標業績的需求。

（四）對上市商業銀行內部控制的內外部監管不夠充分

從銀行內部來說，監事會及其下設機構是對內部控制及其信息披露負有監督責任的職能部門，而在當前情況下，監事會實際上往往只是簡單地評價了內部控制的三性，2011年只有1家銀行單獨出具了監事會和獨立董事會對內部控制評價的意見，監事會和獨立董事的內部監督職能未能充分發揮；從外部市場監管來說，強有力的外部監管力度可以在很大程度上保證公司所披露信息的真實性，促使公司提高所披露的內部控制信息質量，但在我國當前狀況下，各銀行的內部控制自我評價工作流于形式的背后充分反映了市場監管中存在的問題。到目前為止，關于違反內部控制信息規定行為的處理各監管部門也沒有給予明確的規定。

四、相應的對策及建議

內部控制自我評價在我國還處于起步階段，企業對其運用還處于探索時期，加之內部控制自我評價存在固有缺陷，企業在運用過程中暴露出很多問題。根據前文第三部分對現存問題的分析，以及第四部分實證檢驗中對內部控制自我評價報告有效性水平影響因素的回歸分析，本文提出以下建議：

（一）完善相關制度規定，統一內部控制評價標準

涉及上市商業銀行內部控制評價的規定很多，諸如《商業銀行內部控制指引》、《內部控制基本規范》、《內部控制評價指引》、《上交所內部控制指引》和《深交所內部控制指引》等等，但對內部控制各個方面的規定都不盡一致。這種不一致一方面會造成上市公司選擇上的困擾；另一方面上市公司可能會根據其自身的情況，選擇對自己有利的規定來評價披露內部控制實施情況，而規避一些不利的披露規定，不利于投資者對企業內部控制狀況真實全面地了解，而且，這種多選擇的情況必然導致企業出具的內部控制自我評價報告形式與內容也各不相同，缺乏可比性。利益相關者尤其是其中的投資者將無法判定企業內部控制質量的真實性，從而不利于投資的有效決策。因此，應該進一步完善各項法規制度規定，統一評價標準，建立一套適合我國資本市場的內部控制信息披露指標評價體系。

（二）完善內部控制信息系統，建立有效的內控考核機制

為了內部控制信息披露各項工作的順利開展，各上市銀行應盡快完善內部控制信息系統。內部控制是一系列的過程，貫穿了銀行業務的整個過程，隨著業務的日益復雜化，加上信息技術的飛速發展，內部控制的目標和范圍都發生了巨大的變化，上市銀行要充分利用現代化的信息處理程序，加強信息的收集、加工和處理過程，使銀行的各項業務都能得到信息系統的充分支持。同時，銀行還要建立一套合理有效的激勵考核機制，嚴格考核，獎懲分明，為內控能有效地實施建立一個良好的環境。

（三）明確和加強董事會、監事會對內部控制自我評價報告實質上的責任

從公司治理結構來看，董事會是決策和評價機構，經理層是執行機構，監事會是監督機構，核心是董事會、經理層和監事會的定位、分工和職權劃分問題。盡管在《上市公司內部控制評價指引》中規定公司監事會和獨立董事對內部控制自我評價報告發表意見，且董事會及其全體成員是企業內部控制的責任主體，對內部控制制度的建立、實施、監督完善負責，應保證內部控制自我評價報告披露信息的真實完整。長期以來，上市商業銀行在實施內部控制自我評價的過程中，對內部控制責任主體的概念實際上比較模糊，呈現出各種不同的責任主體。此外，董事會、監事會的勤勉程度也沒有像預期理論那樣與內部控制自我評價質量呈正相關，這些都表明當前我國上市商業銀行的董事會、監事會或類似機構對內部控制自我評價質量并沒有負擔起應有的實質上的責任。

（四）規范缺陷及改進措施的披露，加強信息與溝通機制建設

信息與溝通是準確、及時、完整地收集與企業相關的經營管理信息，在企業各級層次之間進行有效傳遞的過程，是良好內部控制的重要條件。信息與溝通主要包括信息的收集機制以及在企業內部與企業外部有關方面的溝通機制等。一個良好的信息系統可以幫助實現準確流暢的信息與溝通，提高內部控制的效率和效果。企業不僅要建立向下的溝通渠道，還應該有向上的、橫向的以及對外界的信息溝通渠道。

內部控制缺陷信息，往往是上市公司獨自掌握而投資者不了解的信息，并且這部分信息投資者很難從其他途徑獲得，主要依賴于上市公司的公開披露，對于我國上市商業銀行來說，披露真實完整的內部控制缺陷及整改信息，有助于投資者和其他利益相關者作出正確決策，穩定和提升投資者的信心，應當受到高度重視。

具體來說，一方面，銀行內部應該提高對內部控制自我評價結果實質上的關注，除了披露內部控制缺陷及相應整改意見外，還應提及其固有缺陷，提升報告的嚴謹性與有效性；另一方面，進一步完善相關法律法規，繼續細化內部控制缺陷分級的具體標準，同時應盡量進行定量衡量。只有將強制性的外部監管與自身的重視雙向結合，建立穩固的內部控制整改與完善的長效機制，才能真正達到內部控制自我評價的實施目的。

【參考文獻】

[1] COSO.Internal Control-Integrated Framework[S].1992.

[2] COSO.Enterprise Risk Management-Integrated Frame

-work[S].2004.

[3] Jeffrey Doyle，Weili Ge，Sarah McVay.Determinant of weakness on internal control over financial reporting[J].Working Paper，SSRN，2006.

[4] Jayanthi Krishnan，Audit Committee Quality financial expertise and Internal ontrol：An mpirical Analysis[J]. The Accounting Review，2008：649-675.

[5] 朱榮恩，應唯，袁敏.美國財務報告內部控制評價的發展對我國的啟示[J].會計研究，2003（8）：48-53.

[6] 林朝華，唐予華.CSA：內部控制評價的新觀念和新方法[J].上海會計，2003（l）.

[7] 陳自力，李尊衛.離差最大化在商業銀行內部控制評價中的應用[J].重慶大學學報，2005（10）.

[8] 王立勇.內部控制系統評價的定量分析模型[J].財經研究，2004（9）.

[9] 李軍訓，陳靜.上市公司內部控制評價指標體系的構建及應用[J].西安財經學院學報，2010（2）：55-56.

[10] 財政部，證監會，審計署，銀監會，保監會.企業內部控制基本規范[S].2008.

[11] 陳漢文，張宜霞.企業內部控制的有效性及其評價方法[J].審計研究，2008（3）.

[12] 楊有紅，陳凌云.2007年滬市公司內部控制的自我評價研究——數據分析與政策建議[J].會計研究，2009（6）.

[13] 劉逢春.我國上市銀行內部控制信息披露研究——以2007—2009年上市公司年報為研究對象[D].東北財經大學，2010.