國有商業銀行內部控制實質性漏洞披露問題研究*——基于工商銀行的案例分析

首都經濟貿易大學 欒甫貴 田麗媛

一、引言

從2008年全球金融危機的爆發到現如今一直持續中的歐債危機，金融機構的風險管理再次成為了人們關注的焦點。實質性漏洞的概念源于美國安然公司破產案，之后美國政府決定對資本市場進行嚴格監管，從而促成了美國公眾公司會計監督委員會（PCAOB）的設立。此后PCAOB通過發布審計準則2號（AS2），對實質性漏洞（material weakness）這一概念進行了具體定義，認為“假如存在某一個或若干個缺陷，而這些缺陷有可能致使公司的年度或中期財務報告出現重大錯報，從而不能被有效的預防或及時的察覺到，那么該缺陷就構成所謂的實質性漏洞”。與傳統重大缺陷的不同之處在于，實質性漏洞強調了其對內控整個體系的影響程度，它所造成的危害比重大缺陷更為嚴重，它的存在極大的扭曲了財務報告信息，對投資者的決策行為造成了誤導。本文選取國有商業銀行的典型代表——中國工商銀行，并對其2007-2013年內控實質性漏洞的披露情況進行了跟蹤研究，從中發現問題解決問題，以期為我國國有商業銀行內控信息披露制度的健全與完善提供一些參考。

二、工商銀行內部控制實質性漏洞披露現狀分析

（一）樣本選取 工商銀行（股票代碼601398），成立于1984年，于2006年10月27日在上海證券交易所上市交易，是我國五大國有商業銀行之首，世界五百強企業之一，同時擁有中國最大的客戶群，也是中國最大的商業銀行。工商銀行連續三年（2011-2013）在“迪博·中國上市公司內部控制指數排名”中位列百強，穩居我國上市商業銀行的榜首，可謂是我國銀行界內控最優的代表，這也是本文選取工商銀行作為研究對象的重要原因。

（二）工商銀行內部控制信息披露現狀分析 2008年，學者楊有紅和汪薇按照各個企業的內控信息披露的詳略程度的不同，對其進行了具體的分類，分為“詳細說明”、“一般陳述”、“簡單披露”三個檔次。為了便于比較和研究，本文根據披露內容的詳細程度進行量化分類，將其細分為5個層次，分別用數字0、1、2、3、4來表示。“0”代表沒有對內控信息做任何披露，“1”代表僅用一句話概括性的語句對內控信息進行披露，“2”代表對內控信息做出了一些簡單的說明，“3”代表對內控工作計劃、機構設置與安排、實際運行情況等至少一條進行了較為具體的說明，“4”代表對公司的內部控制的設置和實施情況做出了全面詳盡的解釋和說明。另外，審計意見一欄表示注冊會計師對企業內部控制披露情況的審計意見，如果注冊會計師出具了標準無保留意見，則用數字“1”表示；如果注冊會計師出具的是其他的審計意見，則用數字“0”表示。通過上海證券交易所網站、企業官方網站等途徑收集了工商銀行2007-2013年這七年的企業年度報告、內部控制自我評價報告等定期報告進行分析，并按照上述5級量化標準進行測量，經研究得出工商銀行從上市初期到現在內部控制信息披露情況如表1所示。

表1 工商銀行近7年來的內部控制信息披露情況

（1）內控信息披露概況。從表1中可以看到,自工商銀行上市以來，其內控信息披露的分布主要體現在“公司治理”、“董事會報告”、“監事會報告”、“報表附注”、“內控自評報告”、“內控審核報告”這些方面。總的來說，“公司治理”、“董事會報告”和“報表附注”中的有關內部控制信息的內容披露的相對較為詳細，并且包含的信息量也很一致很穩定；而“監事會報告”以及“內控自評報告”中的內控信息含量在不同的年份中所披露的內容的詳細程度有著很大的區別。就其信息披露的連續性來說，依據表1所反映的情況來看，總的來說，工商銀行在2007-2013年對其內部控制信息的披露較為完整和連續。在這連續的七年中，工商銀行每年的年度報告中的各個部分對本公司的內部控制體系的設置與執行情況都做了一定程度的說明，在披露內容上也可以算得上是存在著較為良好的連續性。

（2）法規政策對披露的影響。通過對表1的繼續深入研究還發現：不同年份工商銀行披露的內控信息的詳略程度有所差異。通過對工商銀行2007年和2008年的內部控制自我評價報告的分析，不難發現，其披露內容十分詳盡，分別從控制環境、風險識別與評估、內部控制活動、信息與溝通、內部監督等內部控制五要素和內部控制缺陷及整改工作計劃這些方面對其內控制度進行了十分詳盡地披露。而2009-2013年這五年對其內控的評價，只是以一句話概括“未發現存在內部控制設計或執行方面的重大缺陷；一般缺陷所能導致的風險均在可控范圍之內，并且已經和正在認真落實整改，對本行經營活動的質量和財務報告目標的實現不構成實質性影響。”其中，雖然工商銀行在2012、2013年的年報中增設了“內部控制”模塊（位置安排在“公司治理報告”與“董事會報告”之間），分別從內部環境、風險評估、控制活動，信息與溝通以及內部監督這五個方面進行闡述，但披露內容極其有限，顯得流于形式，并不能提供足夠的實質性信息。

（3）內控信息披露簡析。同樣是內部控制自我評價報告，為什么不同年份發布的報告在披露形式和披露內容方面有如此大的差別呢？工商銀行對其內控制度的落實情況以及實施效果究竟會是怎么樣的？根據分析，并結合相關法規政策的頒布與實施的實際情況，我們有理由做出以下推論：（1）工商銀行在2006年10月成為上市，2007年是其第一個完整的報告年度，而證券交易所在2006年頒布《上市公司內部控制指引》，這在一定程度上對其造成了約束，所以工行2007年披露的內控信息不論是形式還是內容都十分完整詳盡，其目的很可能是為了給利益相關者留下一個較為良好的公司形象，避免在上市初期就被監管者批評處罰。但過一段時間，2009年之后，由于考慮到減少內控信息的披露有利于隱藏自身不利消息，并且能夠節約披露成本，所以內控信息的披露內容明顯趨于簡單和形式化；（2）從外部監管來看，我國的內控披露制度規定不論是從形式上還是內容上來說都還不是很規范，由于相關法律并沒有嚴格地執行，導致違法成本相對較低，這項政策上的漏洞致使工商銀行也放松了對其內控披露的重視程度，造成了內控信息披露存在一定的形式主義。我國現有的法律法規在制度設計上的不完善，加之法律的強制執行力度不夠，導致工商銀行也報了僥幸心理，在披露內控信息時存在較大的主觀性和隨意性。

（三）工商銀行內部控制實質性漏洞披露現狀分析 關于實質性漏洞的定義與特點，國外學者Ge和Mcvay早在2005年就將其劃分為會計類、培訓類、期末報告和會計政策類、收入確認類、職務分離類、賬戶核對類、子公司類、高管類和技術類這九大類。我國學者瞿旭、李明、楊丹、葉建明（2009）提出了符合我國上市商業銀行特點的內部控制實質性漏洞的分類標準。結合我國的實際情況，尤其是國有上市銀行的特點，基于前人的研究成果，通過對Ge（葛）和Mcvay（麥克威）以及瞿旭的借鑒，本文按照會計核算工作的一般流程及特點，將實質性漏洞做了如下分類：人員培訓、權責劃分、會計政策、收入確認、會計處理、對賬結賬、子公司、高管層以及技術漏洞。下面將對上述提到的每種實質性漏洞的含義進行簡單的解釋和介紹。人員培訓：由于會計人員的專業素質達不到既定要求而導致對某些會計事項的處理不恰當，沒有達到披露要求，或未能實施必要及時的檢查等。權責劃分：與職責劃分有關的薄弱內控和程序，或因授權不當所引起的內控缺陷等。會計政策：對會計政策的選擇或執行過程中存在缺陷，對新準則的運用不當而產生的內控缺陷等。收入確認：與收入確認政策的設計及檢查相關的內控缺陷、與合約實務相關的內控缺陷等。會計處理：對某些具體項目（如應計項目、權益投資、資產減值測試等）的會計處理不當而導致的內部控制不充分，相關項目的風險預警、風險管理和風險控制存在明顯漏洞。對賬結賬：有關某些對賬、結賬及檢查程序的內控問題。子公司：有關子公司的一些內控缺陷，例如子公司雇員違規操作、發現子公司所簽訂的重大合同相關的缺陷、分支機構與公司總部對政策運用的不一致等。高管層：無效的控制環境、內部控制被高級管理層凌駕、CFO的風險控制能力不足等。技術漏洞：會計信息系統本身有漏洞、會計檔案資料的管理有漏洞、會計電算化崗位人員權限設置缺乏正式文件等。上述分類方法也同樣適用于對工商銀行的內控信息披露問題的研究，因此本文也選用這種實質性漏洞的分類標準對工商銀行2007-2013年內部控制自我評價報告進行評價分析，得出結果如表2所示。

表2 工商銀行內部控制實質性漏洞披露情況

（1）內控實質性漏洞披露的數量及類型。由表2可以看出，工商銀行在2007年總共針對5項內部控制實質性漏洞進行了詳細的披露，2008年公布了6項實質性漏洞。根據他們的類型看，2007年公布了4種實質性漏洞，2008年則是對5種不同的實質性漏洞進行了說明。工商銀行的內部控制問題似乎顯得越來越嚴重，但實際情況很可能并非如此，因為很有可能是這些漏洞一開始就一直存在，只是由于制度的不健全所以一直沒有進行披露從而不能被人們及時的發現。但在2009年以后，工商銀行的《公司內部控制自我評估報告》都只是出具了一份內容很簡單的報告，并未按照《企業內部控制基本規范》的內控五要素分類進行詳細分類和說明，也沒有對內控缺陷進行描述，只是做了如下的披露：“本行董事會已按照《企業內部控制基本規范》等法律法規的要求對內部控制進行了評價，未發現存在內部控制設計或執行方面的重大缺陷和重要缺陷。一般缺陷可能導致的風險均在可控范圍之內，并已經和正在認真落實整改，對本行經營活動的質量和財務報告目標的實現不構成實質性影響。”然而這種空洞的描述也是當前上市銀行業內控信息披露存在的普遍現象，這對監管者和投資者是極其不利的，嚴重侵害了他們對其內部控制缺陷的知情權。

（2）對前期披露的實質性漏洞的修正情況。將工商銀行2008年對2007年所披露的內控信息實質性漏洞的修正與改進情況進行簡要的說明：第一，信用風險預警方面。2007年工行信貸管理系統風險預警模塊中雖然有風險預警功能，但需進一步加以整合并逐步完善，以保證其充分發揮作用。工行在2008年針對評級、授信業務進行整合，建立起關于法人客戶、債項二維內部評級體系，從定量和定性不同角度對客戶信用風險進行綜合評估；通過對債項評級系統的整體實施，基本實現了對170多個信貸產品和100多萬筆債項違約損失率的計量，同時構建了組合風險計量體系，并對組合評級管理系統進行了試運行；對于零售內部評級法，對個人客戶信用評分體系進行了初步構建，還全面啟動了針對個人客戶內部評級系統的建設工作；對《中長期項目評估管理辦法》進行了修訂并試運行，在一定程度上優化了項目貸款風險量化與區分管理工作，制定《中長期項目貸款償債能力評價細則》，提升了項目風險評估工作標準化水平。第二，交易賬戶衍生產品的市值評估方面。關于交易賬戶衍生產品的市值評估頻率，工行在2007年尚未達到逐日評估的要求。工行在2008年制定了《市場風險計量方法》與《金融市場業務市值評估方法》，同時配套建立起了統一的市場風險計量方法；通過市場風險核心系統（KGR一期）的實施，已經實現了在市場風險識別、計量和監測報告集中化規范化管理；通過完善以風險價值(VaR)為核心的市場風險評估方法，從而使交易賬戶本外幣債券基本實現了每日市值評估，并第一次對外進行披露。第三，財務報表編制方面。2007年工行在對財務報表附注的相關基本信息的搜集方面，傳統的手工統計方式已不再適用，尤其是與T+1的財報自動生成系統產生了嚴重的矛盾與沖突。這種編報形式會延遲完成財務報告的時間，還可能產生一些的錯誤，致使數據的準確性也不能得到良好的保證。工行在2008年關于會計系統方面，依據會計核算和管理辦法的要求專門設置會計機構，配套建立崗位責任制度。制定了《運行管理基本制度》，規范相關業務核算行為，提高業務運行的管理質量和效率，并以會計信息質量為核心，完善會計核算與財務信息披露體系，開發年報管理系統，從而實現報表附注數據源的方便提取與核對功能，這樣可以在一定程度上提高財務報告編制的效率和質量，從而有效實現合并會計報表披露準確性和時效性的目標。第四，合規性檢查方面。2007年工商銀行尚未建立起合乎規范的檢查工作的規則，影響了合規性檢查工作的質量。2008年工行進一步強化制度流程的合規性審核工作，重點做好對新產品、新業務規章制度的合規性審核，加強境外機構的合規風險管理；積極開展合規檢查，關注重點業務和重點領域，不斷擴大檢查的覆蓋面；進一步強化合規問責，健全不良貸款責任認定機制，統一員工違規行為處理規定；通過實施扎實有效的監督檢查與合規管理工作，以達到提高全體員工的內部控制意識，從而營造出良好的氛圍，只有這樣才能真正保障各項業務依法合規穩健經營，從各個方面健全合規檢查工作機制與流程，使得合規檢查更加標準化，管理更加規范化。第五，員工行為守則方面。2007年還沒有更新《員工行為守則》，在一定程度上可能會影響到內部控制環境的完整性。工行在股份制改造和上市之后并未重新制定或者更新原來的《員工行為守則》，所以在內容上并未包括禁止內幕交易、處理利益沖突以及相關不良行為的懲罰措施。依照2008年國務院新出臺的《勞動合同法實施條例》，工行已對《員工行為守則》進行了修訂和完善，使之更符合企業的實際情況，為企業和企業員工搭建好溝通和交流的平臺，同時也促進了企業內部控制的健康發展。綜合上述內容，依據工行2008年發布的《公司內部控制自我評估報告》，可以得出下列結論：工行認真整改落實了2007年度內部控制自我評估報告所披露的內控實質性漏洞，同時對資產管理系統中的信用風險預警功能實施了優化；并通過制定《金融市場業務市值評估辦法》，從而對評估系統徹底進行了改進；通過財務會計報告管理系統的開發，使得財務報告附注大部分報表內容能夠自動生成；加強了合規檢查工作的規范化建設；依據國務院新頒布的《勞動合同法實施條例》，對《員工行為守則》進行了修訂和完善。由于2009-2013年工行的《公司內部控制自我評估報告》對內控信息的披露只進行了簡單的描述，根據這些簡單描述，難以得知2008年《公司內部控制自我評估報告》所列示的內控信息實質性漏洞是否已得到了解決。并且2009-2013年工行是否存在內控實質性漏洞以及漏洞的形式和數量也不能被信息使用者及時了解到。

（3）法律法規對內控實質性漏洞披露的影響。中國證監會于2000年12月發布《公開發行證券公司信息披露編報規則第7號——商業銀行年度報告內容與格式特別規定》；緊接著證監會又在2003年3月發布《公開發行證券公司信息披露編報規則第18號——商業銀行信息披露特別規定》；中國銀監會于2004年12月頒布《商業銀行內部控制評價試行辦法》；上海證券交易所和深圳證券交易所分別在2006年6月和9月發布了《上市公司內部控制指引》；銀監會于2007年7月頒布《商業銀行內部控制指引》，同期銀監會又頒布《商業銀行信息披露辦法》；2008年6月28日，財政部、證監會、審計署、銀監會、保監會五部委聯合發布了《企業內部控制基本規范》。其中《上市公司內部控制指引》和《企業內部控制基本規范》是對上市商業銀行內部控制信息披露最為重要的兩部法律法規。通過研究不難發現，21世紀初期是企業內部控制的萌芽和塑形期，而2006-2008年是我國內部控制最蓬勃發展的時期。在政策出臺初期，監管方面也會相對更加的嚴格，結合工商銀行的案例分析，工行在2007年和2008年的內控信息披露在內容上也是最為詳盡和完整的。而2009年以后，由于沒有新的法律法規出臺頒布，之前頒布的法律法規熱度也相對降低，加之法律法規的執行力度不嚴格，相關執法監督部門的懲罰機制不完善，從而導致部分上市公司不注重其內控信息披露的詳細程度，工商銀行也不例外，披露內容大幅度減少，也省去了對內控信息漏洞的具體評估。

三、結論與建議

本文通過對工商銀行內部控制信息披露的詳細分析，發現問題主要集中在以下幾個方面：（1）年報中不同項目所披露的內控信息量存在較大差異。內控信息的披露主要集中在“內控自評報告”中，而董事會和監事會在報告中并未對企業的內控情況做出具體的評價與說明，披露載體過于單一；（2）披露形式主義現象嚴重。“監事會報告”、“內部審計報告”、“審核意見”等項目對內控信息的披露不充分，并存在某些不同的年份披露的內容類似甚至是完全相同。例如“監事會報告”一般表述為“本公司內部控制制度完整、合理、有效”,這在一定程度上表明公司監事會沒有發揮應有的監督檢查等作用，存在一定的形式主義。“內控審核報告”以及“審核意見”大都也流于形式，并未真正指出內控的不足及改進方法；（3）披露情況受法規政策影響較為明顯，違法成本較低。2007年和2008年的內部控制自我評價報告的披露內容十分詳細，但2009-2013年對其內控的評價只是以一句話概括“未發現存在內部控制設計或執行方面的重大缺陷；一般缺陷所能導致的風險均在可控范圍之內，并且已經和正在認真落實整改，對本行經營活動的質量和財務報告目標的實現不構成實質性影響。”因此可總結為在法規嚴格的時候披露內容較為詳細，其他情況下披露存在偷工減料的行為。

依據上述結論，可以從內部和外部這兩個方面來對相關問題進行具體的改進。第一，外部監管方面：進一步建立健全實質性漏洞披露機制。建議政府立法部門應出臺相關法律，同時制定相關的準則與操作性較強的具體規章制度，規范和統一內部控制各類缺陷尤其是實質性漏洞的認定標準和披露方式，明確年報中各項目對內控信息的披露要求。同時也使得注冊會計師對內部控制自我評價報告的審核可以有章可循；增加對前期內控漏洞缺陷的改進說明。要以法律法規的強力要求企業重視對前期所披露的內部控制實質性漏洞的改進工作，并在下一個報告期內進行詳細的說明，使得監管者和投資者等信息使用者更加清楚詳細的了解企業內部控制的實施與改進情況，披露要以實際進行工作為基礎，避免披露的形式主義；健全相關的處罰機制。應嚴格認真的按照法律的要求去執行，對于違反信息披露規定的企業，要加大懲罰力度，同時追究相關責任人的責任，提高企業的違法成本。外部監督機構如中國人民銀行、證監會、銀監會等應定期對上市公司的內部控制自我評估報告以及中介機構的鑒定意見進行嚴格的檢查，從本質上提高內控監管力度。第二，企業內部方面：明確上市銀行內部控制中實質性漏洞信息披露相關主體的職責。公司高管層應該明確各自對財務報告中的內部控制信息披露所承擔的責任,保證所披露信息的真實性、準確性、完整性。上市銀行要在按要求披露內部控制自我評價報告以及內部控制審核報告；增強企業管理層的經營理念，提高披露意識。企業的高管層應該轉變觀念，應正確看待披露內部控制實質性漏洞這個問題，自覺嚴格按照我國法律法規的要求對內控實質性漏洞進行詳細的披露，這不僅有助于改善企業自身的內控壞境，還可以提升企業的社會形象，對企業尤其是國有商業銀行來講，是一個多贏的選擇。

［1］瞿旭、李明、楊丹、葉建明：《上市銀行內部控制實質性漏洞披露現狀研究——基于民生銀行的案例分析》，《會計研究》2009年第4期。

［2］齊保壘、田高良：《財務報告內部控制缺陷披露影響因素研究》，《財務與會計》2010年第4期。

［3］唐紅娟：《上市銀行內部控制信息披露的缺陷與改進》，《財會月刊》2010年第4期。

［4］王慧芳：《內部控制缺陷認定：現狀、困境及基本框架重構》，《會計研究》2011年第8期。

［5］Andrew J.Leone.Factors Related to Internal Control Disclosure:A Discussion of Ashbaugh,Collins,and Kinney（2007）and Doyle,Ge and McVay（2007）.Journal of Accounting and Economics,2007.

［6］W.Ge and S.McVay.The Disclosure of Material Weakness in Internal Control after the Sarbanes-Oxley Act.Accounting Horizons,2005.