完善我国上市银行内部控制实质性漏洞披露的建议

摘要：2008年金融危机的爆发，将全球目光吸引至金融机构的风险管理和内部控制上。银行的内控机制是否完善不仅关乎其自身的生存发展，更关乎国家甚至全球的金融安全与稳定。我国对上市银行内控的监管起步较晚，对于内控中“实质性漏洞”的披露要求甚少，而实质性漏洞有助于上市银行管理层对内控缺陷的发现，完善内控，从而预防风险，也为利益相关者提供更可靠的信息。本文以中信银行为例，对其上市以来的5份年报进行整理分析，根据其实质性漏洞披露的现状，提出我国上市银行内部控制实质性漏洞披露的完善建议。

关键词：上市银行；内部控制；实质性漏洞

中图分类号：F832.2 文献标识码：A 文章编号：1001-828X（2012）09-0-01

一、实质性漏洞的概念

PCAOB将实质性漏洞（Material Weakness）定义为会导致上市公司年度或中期财务报表出现重大错报风险，并且这个风险难以被发觉及有效预防的一个或多个缺陷。Ge和McVay（2005）将实质性漏洞分为九类：账户式、人员培训，期末报告与会计政策，收入确认，职责划分与授权，对账，子公司式，高管层和技术方面。以下中信银行的案例分析参照此分类标准。

二、中信银行内部控制实质性漏洞披露状况

中信银行于1987年建立，2007年实现A+H同步上市，已成长为一家具强大增长势头和竞争力的全国性商业银行。

（一）中信银行内部控制信息披露状况

1.内部控制信息披露的分布

通过对中信银行上市以来的5份年报、内控自我评估报告和内控审核报告进行整理分析，我们发现其公开披露的内控信息主要集中于年报中的监事会报告，公司治理报告、年终审计报告以及内控自评报告和内控审核报告里。监事会报告对内控的披露较简单，主要是对内控自评报告的审阅意见，上市五年均无异议。公司治理报告主要是对本年度内控的建立健全情况和内控的自评情况进行披露，内容较详尽。内控自评报告逐年有统一格式，包括本年度内控的基本情况，内控存在的不足、下年度的改善措施及内控自评。董事会报告和重要事项未对内控进行披露。

2.内部控制信息披露的连续性

中信银行2007-2011年内控披露的位置是一致的，并且没有间断，这得益于我国在上市公司内部控制信息披露方面的监管制度逐渐完善，2006年颁布了有“中国萨班斯法案”之称的《上市公司内部控制指引》（下称《指引》），2007年颁布了《商业银行信息披露办法》（下称《办法》）。2007年上市的中信银行，对相关监管制度的把握是较充分的。

（二）中信银行实质性漏洞披露状况

1.实质性漏洞披露的数量

2007年未披露实质性漏洞可能因为上市首年想给各利益相关者一个好印象，同时《指引》和《办法》刚颁布不久，中信银行可能还没能力马上建立完善的内控体系。如下表所示，中信银行于2008和2009年各披露了4项和3项实质性漏洞，均披露于内控自评报告。2010和2011年未披露，这体现了其通过对实质性漏洞的识别、分析和弥补，建立起较完善的内控体系，相对有效的预防了风险。

中信银行2007-2011年间披露的实质性漏洞

2.实质性漏洞披露的类别

中信银行披露的实质性漏洞类别各异，说明其面对的内控问题是复杂和严峻的。其中出现较多的是高管层和职责划分与授权两类，也表明其管理层的风险控制能力还存在不足，同时操作不规范的情况还难以杜绝。

三、结论及建议

分析表明，中信银行实质性漏洞的披露主要集中于内控自评报告，内控审核报告流于形式，未涉及公司内控的具体内容。对于实质性漏洞的披露，管理层不够重视，没有逐年披露也没有分类别披露。

据此，本文对我国上市银行完善其内控实质性漏洞的披露提出建议：第一，上市银行董事会提高对实质性漏洞披露的重视。实质性漏洞的识别和披露不仅涉及上市银行自身的持续发展，也涉及各利益相关者是否能取得可靠信息作出有效决策；第二，建立统一的实质性漏洞评价标准体系。目前我国对实质性漏洞的评价还缺乏一致的标准，使实质性漏洞的识别较难，建议有关部门尽快建立统一的评价标准体系。另外董事会在利用评价标准体系时，要与本行的具体控制环境结合，更准确的识别本行的实质性漏洞；第三，完善内控相关监管制度，加强处罚力度。对于内控的相关监管制度应增加与实质性漏洞披露相关的要求，对于信息披露方面的强制性要求，有关部门应加强对不遵循公司的处罚力度，并追究相关人员责任。

作者简介：余雅婷（1989-），女，湖北咸宁人，从事内部控制、银行管理、公司金融等方向的研究。

陆 炫（1988-），男，湖北咸宁人，从事银行管理、公司金融、证券投资等方向的研究。