上市银行内部控制实质性漏洞披露机制的路径探究

上市银行承担着一国金融安全与稳定的重任，对上市银行内控信息披露现状，尤其是对内控的实质性漏洞(material Wcakhess)进行研究具有重要的理论及现实意义。目前国内这方面的研究基本处于空白状态，本文以上海浦发银行为例，通过对其披露的年报进行手工整理。研究其公开披露的实质性漏洞现状，以期对后文的研究有所贡献。

一　实质性漏洞的概念及其类型

PCAOB的审计准则将“实质性漏洞”定义为：“如果一项或若干项缺陷有能致使年度或中期财务报表存在重大错报而不能有效预防或及时察觉的合理可能时，该缺陷就构成实质性漏洞(material weakness)”。

关于实质性漏洞的类型，本文借鉴Ge和McVay(2005)的研究思路并将上市银行漏洞划分为九大类型，为了便于读者理解实质性漏洞的概念及其具体表现形式，本文列举了每一类型实质性漏洞缺陷的表现形式(具体见表1)。

二　浦发银行内控实质性漏洞信息披露状况分析

(一)内控信息披露状况分析

由于2000-2010年资本市场对上市公司内控信息的披露规定经历了波段起伏的变化，故上市公司内控信息分布比较零散。本文采取手工统计的方式对浦发银行自上市以来10份年度报告中的“银行业务信息与数据”、“公司治理结构”、“股东大会情况简介”、“董事会报告”，“监事会报告”、“重要事项”、“报表附注”以及“附件”等部分披露的内控信息状况进行统计分析。

1　内控信息披露的分布状况

2006年6月5日《上海证监交易所上市公司内部控制指引》(简称《上交所指引》)的出台旨在引导上市公司定期披露内控信息以增强公司信息透明度以及提高内控信息披露的可靠性来增强公司抵御风险的能力，进而提升公司的价值。但考虑到时间上的仓促以及高额的执行成本，上交所于2006年12月29日了《关于做好上市公司2006年年度报告工作的通知》，强制要求上市公司在披露的年报中的“重要事项”部分披露内控信息。本文对以上8个部分内控披露状况。按照5级量表进行衡量，具体含义见表2。

浦发银行自上市以来的内控信息披露状况如表3所示。

从表3可以看出启浦发银行上市之初，披露的公司年报中对于银行业务信息与数据披露较为简单，主要是摘录近几年的关键会计数据以及财务指标、对境内外的审计差异予以解释说明，几乎没有涉及到内控方面的信息。从2001～2006年公布的年报可以看出，虽然2001年年报中新增了一项特别提示，可视为对内控信息的补充，但是很显然这一举措只是出于公司刚上市，迎合监管的需要而采取的补救措施，并非本意上建立完善内控机制，随着2006年6月5日《上交所指引》的与实施，公司对控的建立完善给予了充分的重视，表现在年报编排体例上发生了重大变化，将以往年报中披露的会计数据与业务数据部分分拆为主要会计数据指标与银行业务信息与数据两部分，第一部分实质上与以往年报披露的会计数据与业务数据相似，但第二部分则更偏向于对银行各类风险的大致介绍和管理情况，表述中多处提及内控字句，其中更有一段内容是对公司的内控制度的完整性、合理性与有效性的说明。“公司治理结构”从无到有，主要披露了公司治理结构，对内控信息的描述比较简单，格式相对固定；“董事会报告”比较详尽地披露了公司内控信息，从2000-2006年的年报中，我们发现这一部分涵盖了公司可能面临的各类风险以及应对措施、公司对不良贷款的分类以及管理情况等，但自2007年披露的年报开始，“董事会报告”部分对内控相关信息的描述显然减少了，更多介绍了新年度公司面临的挑战与机遇、新的经营目标以及为达到目标拟采取的主要措施。笔者认为公司此举凸显了董事会的职能，一方面，董事会对于内控体系的建立和完善负有不可推卸的责任，但另一方面，董事会更应该站在一个新的高度为公司发展制定战略计划，而对于风险的防范内控的建立等职能可以授权给其下属的审计委员会以及其他部门，“监事会报告”非常笼统地披露了公司的内控信息，说明监事会对于内控重要性认识不足，形式主义严重，“报表附注’简要披露了对金融资产的使用以及管理情况、各类风险应对措施等，公司的内控“三性”说明书以及内控自我评价报告详细说明了内控体系的建立与完善、公司下一年度内控有关工作计划，其中我们发现自2008年起年报披露的内控自评报告对于内控信息的披露更加规范，借鉴了《企业内控基本规范》规定的五要素来分项介绍，会计师事务所在2000年,2001年出具的“内控评价报告”中提及对公司内控关键领域审核，而在2007年,2008年,2009年的“内控审核报告”中，按照《内部会计控制规范一基本规范(试行)》的有关标准对公司管理层披露的自评报告进行了审核并发表了意见，“股东大会情况”与“重要事项”部分自银行上市以来从未披露与内控相关的信息。

2　内控信息披露的连续性

根据表3我们注意到公司并非每年都披露内控信息报告,2000年、2001年的年报中公司披露了内控“三性”说明书，而在2002―2006年报中虽然其他部分披露了与内控相关的信息，但是井未披露内控自评报告，从2007年的年报起公司又开始披露内控自评报告，内控信息的披露作为一项既定的制度安排，理应得到连续的执行，可是为什么在2002-2006年的年报中未披露类似的报告?证监会于2000年12月21日了《第7号编报规则》，其中第六条明确要求商业银行应对内控制度的完整性、合理性与有效性作出说明，并委托所聘请的会计师事务所对其内控制度进行评价，出具评价报告。浦发银行于1999年11月上市交易，可能是为了给监管机构和广大投资者留下良好的印象，公司在年报中主动披露了内控“三性”说明书及审核报告，公司在披露2001年的年报时正值证监会了关于内控信息披露的最新规定，基于避免遭受违规所带来的严厉处罚以及继续树立公司良好形象的考虑，公司继续选择披露内控“三性”说明书及审核报告。之后虽然证监会与银监会陆续出台丁关于内控信息披露的规定，但可能由于该项制度还不完善及对高执行成本的顾忌，浦发银行出于自利的动机停止了披露行为。2006年6月上交所颁布了《上市公司内控指引》，要求董事会对内控的建立和实施情况作出评价，并随年度报告一起披露内控自评报告及注册会计师的审核意见。但浦发银行公布的2006年年报中仍未披露内控的自评报告及审核意见，这大概是浦发银行主观上认为指引是非强制性的，即使违规也不会遭受谴责，对该指引的可行性持观望态度。2006年7月Ⅱ5日，财政部会同有关部门成立了企业内部控制标准委

员会，旨在构建内控标准体系，推动企业完善治理结构和内部约束机制，考虑到监管部门的系列举措以及违约成本的不断加大。浦发银行自2008年起积极披露内控自评报告及审核意见。由浦发银行披露内控信息的时间分布我们可以发现，要使内控制度在上市公司得到连贯执行，就应该对上市公司内控自评报告采用强制披露与分部走相结合的做法，而对于内控审核报告应采用强制性披露与鼓励性披露相结合的做法(杨有红，汪薇,2008)。

(二)实质性漏洞披露状况分析

实质性漏洞作为特别风险理应受到银行的关注，我们根据表1对实质性漏洞概念的明确以及类型的划分，通过对浦发银行公布的内控“三性”说明书内控自评报告以及审核报告进行研究，对披露的内控“缺陷”进行鉴别，来识别内控实质性漏洞(见表4)。

1　实质性漏洞数量分析

由表4我们发现浦发银行在2000年与2001年的年报中分别披露了4项实质性漏洞，而在2007年的年报中隐约披露了一项实质性漏洞，2008年与2009年则大量披露了实质性漏洞。由此可见，实质性漏洞披露的数量呈现越来越多的趋势，似乎表明浦发银行面临的内控问题越来越突出。2006年6月上交所《上市公司内控指引》后，浦发银行随后公布的2007年年报中的自评报告中虽然对公司内控建设做了大量的陈述，但是未见公司明确披露内控建设中遇到的难题。而2008年以及2009年的年报显示浦发银行的内控建设并非如2007年年报披露的如此无懈可击，多家分行因为业务违规处理遭受了相关部门的处罚，信息系统运行与维护存在问题，而管理者在向外部市场披露相关信息时，有很强的利己主义倾向(何进日，武丽,2006)，而且鉴于指引刚不久，需要一个过渡期，很多上市银行当时并未有足够的能力构建起标准的内控体系，监管机构处罚力度并不会非常大，所以公司在2007年的年报中井未明确披露实质性漏洞。而到了2008年，2009年的年报中，由于违规行为遭到了相关部门的处罚，公司意识到了内控不完善给自身带来的危害，才披露了一系列实质性漏洞。因此我们可以推测浦发银行的内控问题由来已久，只是因为我国相关法规不完善，违规成本比较低，所以并未披露实质性漏洞。但随着监管力度的不断加大，违规成本越来越高，上市银行才开始致力于内控体系的建设与完善，积极披露实质性漏洞。

2　实质性漏洞披露载体与类型分析

浦发银行实质性漏洞的载体主要有内控“三性”说明书内控自评报告，其中，内控“三性”说明书披露了8项实质性漏洞，内控自评报告披露了12项。从实质性漏洞信息披露所占披露载体整体篇幅而言，占了较小的比例，这从侧面反映出公司有避重就轻、多报喜少报忧之嫌，责任方对于出现的内控实质性漏洞问题有所重视。但重视程度不够。内控审核报告作为对内控“三性”说明书和自评报告的审核报告，只是遵照固定的格式对这两者发表了意见，没有指出公司内控的实质性漏洞。由此可见，公司董事会对内控信息披露表明了积极主动的态度，努力改进内控中存在的实质性漏洞，而事务所对内控信息披露的审核却似流于形式，笔者推测注册会计师披露内控审核报告中未披露实质性漏洞有几大可能性：第一，注册会计师面对巨大的经济利益诱惑，存在与管理层合谋的动机，与上市公司勾结以虚假信息欺骗投资者(何进日，武丽,2006)，第二，注册会计师自身存在专业胜任能力不足的问题，不能胜任内控审核业务；第三，注册会计师缺乏勤勉尽责的职业态度。从2008～2009年披露的内控审核报告可以发现，在公司自评报告已经披露实质性漏洞的情况下，事务所依然出具无保留意见，可推测出注册会计师缺乏勤勉尽责的态度，对内控审核的重要性认识不足。虽然财务报告内控审核的对象有其特殊性，对注册会计师的要求不能太高(张龙平，陈作习，2009)，但是笔者认为注册会计师应注重自身业务能力的提高，以更好应对新业务带来的挑战，特别是配套指引的颁布，为注册会计师实施内控审计提供了方向及具体标准，故更应以勤勉尽责的态度对待新业务。

由表4我们发现浦发银行一共披露了表1中九类实质性漏洞的七类，占漏洞总类的77.78％。其中职责划分与授权这一类达到了7项,2000年、2001年的内控“三性”说明书中各披露了2项，2008年的内控自评报告中披露了3项。可见职责划分与授权是最为常见的缺陷，这在银行业中是普遍存在的，也与我国银行业竞争激烈的现状相关，一些银行以“存款第一”为衡量银行工作业绩的唯一标准，重业务轻管理，致使分支机构网点对雇员的违规操作熟视无睹，结果酿成了一系列的恶性案件。技术问题、培训、子公司特定式与高级管理层是另外比较常见的缺陷，其中高级管理层这一项分别出现在2000年与2001年的内控“三性”说明书中各一次，2007―2009年未再出现过，这说明随着内控重要性的不断提升，公司高级管理层逐渐认识到内控制度建设与运行的急迫性，井表明了加强内控体系建设的决心与态度，也付出了巨大的努力。技术问题分别出现在了2000年、2001年、2008年的报告中，说明构建规范的内控体系对于上市公司而言确实是一个巨大的挑战。需要公司付出高昂的设计成本以及曰后的运行与维护成本。培训问题一方面与银行之间竞争过度导致大量招聘人员而培训不到位有关，另一方面在于内控体系的实施与完善需要公司各级员工的参与。这需要公司不仅重视内控体系的设计与建立，更应该重视执行人的专业理解能力与操作能力，应加强内控文化理念的推广及实施全员培训体系。子公司特定式主要反映了分支银行对信用风险的控制力度不够，期末报告与会计政策与账户特定式都出现在了2009年的报告中，这在以前的年度中均未出现过，反映出公司的内控缺陷存在多样性、扩散性的特征，需要公司对内控体系进行完整的排查，扫除一切可能存在的漏洞，浦发银行对于披露的实质性漏洞提出了相应的整改措施及达标时间表，反映出公司内部良好的内控环境与高管坚决的执行力。

三　结论与政策建议

经过研究我们发现：内控“三性”说明书内控自评报告及内控审核报告是披露公司内控状况的主要载体，而内控实质性漏洞的披露主要集中于内控“三性”说明书及内控自评报告中，董事会承担了维持完善内控系统的责任，而监事会和审计师对内控信息的监督流于形式，公司年报没有完整连续的披露公司内控信息，在特定年份未披露内控报告，存在应付监管机构、避免遭受处罚之嫌。在《企业内控基本规范》颁布后，公司披露的自评报告遵循基本规范中规定的基本要素分类进行披露。形成了较为固定的披露模式内控实质性漏洞主要与职责划分与授权、技术问题、培训子公司特定式与高级管理层有

关，实质性漏洞信息的披露并非公司的自愿行为，而是在遭到监管部门的处罚后被迫披露的。

鉴于此，笔者对完善内控实质性漏洞信息披露作出如下几点建议：

第一，建立健全实质性漏洞披露机制。银行专注于实质性漏洞的防范与纠正，可以为投资者提供更可靠、更透明、更有质量的银行内部信息，从而提升银行价值，注册会计师专注于银行实质性漏洞问题有利于降低审核成本、提高审核效率、降低审核风险，所以建立上市银行实质性漏洞评价与审核的统一标准，并建立完善实质性漏洞信息披露机制是当务之急，笔者认为，首先应明确实质性漏洞披露的责任主体，现今银行董事会是内控自评报告披露责任主体，则实质性漏洞的披露责任也应由董事会承担，以从制度上保证银行全员对实质性漏洞披露问题的重视，其次。应明确对实质性漏洞的定义、类型等概念性问题。并要求银行披露识别漏洞的程序、漏洞拟被利用的可能性、产生的严重后果及应采取的措施，后续应披露公司的处理效果，本文所提的“实质性漏洞”与《内控审计指引》中的“重大缺陷”概念存在一定程度上重叠，但作为上市银行特有概念以及自身业务的特殊性，决定了这两者之间存在差异，这也值得后续的探讨。

第二，明确对注册会计师审核评价内控自评报告的责任界定。我们研究发现，上交所的《上市公司内控指引》，要求董事会应按照广义的内控概念(本文将与财务报告相关的内控称为狭义内控，而将包括财务、经营、遵循风险及其他风险管理的控制称为广义内控)披露内控自评报告，审计师出具核实评价意见。但在实际执业过程中，注册会计师主要按狭义的内控概念进行审核并发表意见，概念不清晰导致内控指引要求与注册会计师实际职业行为相脱节。注册会计师对与财务报告相关的内控进行审核并出具报告是法定责任，引导度鼓励注册会计师专注于内控实质性漏洞，以降低审核成本。同时我们应该看到，财务报告的可靠性作为内控的一大目标不是孤立存在的，与其他目标之间存在着紧密的联系，所以对基于其他目标的内控，应鼓励注册会计师进行审核，以使注册会计师的履职行为不再偏离制度的要求。

第三，对实质性漏洞信息披露应坚持监督与引导井举的原则。美国的SOX法案之严厉及高执行成本至今仍充满争议，但属同一法系的英国对于内控信息的披露采取的却是“遵循或解释”的做法，以规则为导向的监管原则与以原则为导向的监管原则孰优孰劣是值得我们思考的。一方面，银行整体作为理性人，存在掩藏自身不利消息的动机，而实质性漏洞信息对于投资者决策意义重大，因此，基于保护投资者利益及提高资本市场信息披露质量的考虑，监管机构应健全处罚机制，加强对实质性漏洞信息披露的监管，对相关责任人的违约行为进行严厉惩罚，当然，对于经审核无重大漏洞的上市银行允许隔年披露内控自评报告，这主要是基于从降低执行内控体系成本的角度来鼓励上市银行更积极披露反映自身真实情况的自评报告；另一方面，相关部门应对内控实质性漏洞信息披露的内容与格式作出具有可操作性的规范，使公司有章可循，敦促注册会计师切实提高风险意识，以更有效的发现被审计单位的实质性漏洞。