上市商业银行内部控制披露研究

引言

2006年的中国银行黑龙江双鸭山支行票据案，2007年的建设银行平原支行刁娜案件，到2011年齐鲁银行卷入巨额骗贷案，2013年银行涉入债市丑闻，债市扫黑拉响银行内控警报等，频发的银行舞弊案件反映出我国目前的实践中存在诸多不足，使得社会强烈要求加大对内部控制信息的披露，来改善银行与利益相关者之间信息不对称的局面。面对国内纷繁复杂的经济环境以及频发的银行舞弊案件，如何遵循规范提升上市商业银行内部控制信息披露质量成为了国家和公司所面对的一项重大而迫切的话题。

本文在我国目前有关上市商业银行内部控制披露规范和相关文献综述的基础上，对16家上市商业银行2012年内部控制自我评价报告及附件、监事会报告、内部控制审计报告、年报中关于内部控制信息披露展开的分析，以期发现存在的问题，提出改进建议和对策。

一、我国关于上市商业银行内控披露的相关法规及主要关注点

（一）上海和深圳证券交易所的相关规定

《上海证券交易所上市公司内部控制指引》中规定：公司在内部控制的检查监督中如发现内控存在重大缺陷或重大风险，应及时向董事会报告，并由董事会及时向上海证券交易所报告该事项，经该所认定后，公司董事会应及时公告。董事会应根据公司内控的情况形成内部控制自我评价报告，并在年度报告披露的同时披露年度内部控制自我评价报告，并披露事务所对内部控制自我评价报告的核实评价意见。

《深圳证券交易所上市公司内部控制指引》规定：公司董事会应依据公司内部审计报告，对公司内部控制情况进行审议评估，形成内部控制自我评价报告。公司监事会和独立董事应对此报告发表意见。如注册会计师对公司内部控制有效性表示异议的，公司董事会、监事会应针对该审核意见涉及事项做出专项说明。公司应于每个会计年度结束后四个月内将内部控制自我评价报告和注册会计师评价意见报送本所，与公司年度报告同时对外披露。

（二）《企业内部控制基本规范》的相关规定

《企业内部控制基本规范》规定：执行该规范的上市公司应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效行进行审计，出具审计报告。

（三）中国证券监督管理委员会的相关规定

《公开发行证券的公司信息披露编报规则第26号―商业银行信息披露的特别规定》第十七条规定：商业银行董事会应在定期报告中对内部控制制度的完整性、合理性与有效性和内部控制制度的执行情况作出说明。监事会应就董事会所作的说明明确表示意见，并分别予以披露。

《公开发行证券的公司信息披露内容与格式准则第2号―年度报告的内容与格式（2012年修订）》中第五十一条与五十二条分别规定：公司应当披露董事会关于内部控制责任的声明，并披露建立财务报告内部控制的依据以及内部控制制度建设情况。主板（不含中小企业板）上市公司应当按照规定的实施范围披露董事会审议通过的内部控制自我评价报告，披露报告期内发现的内部控制重大缺陷的具体情况，包括缺陷发生的时间、对缺陷的具体描述、缺陷对财务报告的潜在影响，已实施或拟实施的整改措施、整改时间、整改责任人及整改效果。鼓励中小企业板上市公司披露董事会审议通过的内部控制自我评价报告。按照规定要求对内部控制进行审计的公司，应当披露会计师事务所出具的内部控制审计报告。若会计师事务所出具非标准意见的内部控制审计报告或者内部控制审计报告与董事会的自我评价报告意见不一致的，公司应当解释原因。

仔细分析以上法规，可以发现：我国相关监管部门对于上市银行信息披露的主要关注点为以下三个方面：第一：商业银行董事会需在定期报告中对内部控制制度的完整性、合理性与有效性作出说明，同时监事会要对此发表独立意见，并分别予以披露；第二：公司董事会应针对公司内部控制情况形成自我评价报告，并由注册会计师作出评价意见之后，与公司年度报告同时对外披露；第三：当内部控制存在重大缺陷或重大风险时，经证券交易所认定后，公司需临时内控公告。

二、2012年16家上市银行内部控制披露现状及问题分析

目前，我国上市的商业银行包括平安银行（000001）、宁波银行（002142）、浦发银行（600000）、华夏银行（600015）、民生银行（600016）、招商银行（600036）、南京银行（601009）、兴业银行（601166）、北京银行（601169）、农业银行（601288）、交通银行（601328）、工商银行（601398）光大银行（601818）、建设银行（601939）、中国银行（601988）和中信银行（601998），共16家。

纵观2012年，16家上市银行都对内部控制情况做了不同程度的披露，有粗有细，有详有略。通过研究发现，我国上市银行内部控制信息披露是基于法律法规要求的强制性披露，流于形式化现象严重。下面，本文从形式、内容和依据三个方面展开详细分析：

（一）形式方面

16家银行均通过内部控制自我评价报告及附件、监事会报告、内部控制审计报告、年报四种形式进行披露，如表1所示。

进一步研究发现：

1.自我评价报告是董事会对内部控制发表的责任说明，只有浦发银行、交通银行披露了存在有待完善的事项，其余的银行董事会都得出“本公司内部控制自我评价过程中未发现重大内部控制缺陷。”附件则是对2012年度内部控制评价相关情况的介绍，除了兴业银行将报告与附件合二为一外，其余的银行都单独进行了披露。

2.监事会报告是监事会对董事会做出的内部控制评价报告发表独立意见。但除了平安银行另发表公告外，其余银行都在年报中进行披露。在年报中，宁波银行、浦发银行、华夏银行、北京银行、农业银行、工商银行、光大银行、中国银行8家银行仅仅发表了对报告期内监督事项无异议，并无特指内部控制情况；而其余银行监事会就内部控制情况发表独立意见。

3.审计报告格式因为已经进行了规定，所以16家银行的内部控制审计报告形式一致。

4.年报对于内部控制披露的位置也不尽相同。建设银行和交通银行在公司治理下设内部控制小标题，对内部控制信息进行了披露；中国银行只对与公允价值计量相关的内部控制制度进行了说明，但没有再在年报中对内部控制进行其他说明；其余银行均在年报中单独以内部控制为大标题，对内部控制进行详尽说明。

通过分析可知，形式、位置上的不一致性，需要投资者花费更长的时间搜集数据、查找信息，这样时间价值和机会成本过大，投资者不能有效进行分析比较。

（二）内容方面

1.内部控制自我评价结果比较

16家银行在2013年都了2012年内部控制自我评价报告，报告的结果如表2所示。

披露结果显示，16家银行均不存在重大缺陷，其中12家银行存在部分一般缺陷或重要缺陷，但是只有4家银行详细披露了缺陷以及整改方案，其余的8家只披露了现状但没有披露明细。

通过分析可知，内部控制自我评价报告信息量大，是银行提供内控信息的主要载体，也是投资者获取内控信息的主要来源，由于内部控制自我评价报告的格式并不统一，导致16家银行的披露内容各有差异，而披露不一则进一步影响了银行间的可比性。

2.内部控制缺陷认定标准的比较

16家银行都将缺陷分为重大缺陷、重要缺陷和一般缺陷。但是，对于每类缺陷认定的标准却不统一，如中国银行、中信银行就详细披露了该行各类别内部控制缺陷认定标准；华夏银行和民生银行分别制定了财务报告内控缺陷的定性和定量标准以及非财务报告内控缺陷的定性标准，但没有具体披露；浦发银行和建设银行则直接参照定义，没有详细叙述；平安银行和农业银行则根本没有披露与内部控制缺陷认定的相关标准；除上述银行外，其余银行都是粗略提出认定标准由定性指标和定量指标两方面构成，列示了一些指标，但没有具体的判断标准。

缺陷的认定关乎最终的报告结果以及意见的发表。通过分析可知，银行之间的认定标准不统一，所以使结果缺乏可比性，例如该银行按照本行标准认定为一般缺陷，可是按照其他银行标准则会认定为重大缺陷，继而导致结果缺乏可信度。

3.内部控制审计意见比较

注册会计师审核意见是对财务报告内部控制有效性发表审计意见，并对注意到的非财务报告内部控制的重大缺陷进行披露，但没有对所有内部控制发表有效意见。

对于2012会计年度，所有的审计报告都对被审计单位的内部控制自我评估报告发表了肯定意见，在所有重大方面保持了有效的财务报告内部控制。审计意见可以看作是事务所对被审计银行内部控制有效性的一个保证，但完全一致的审计意见，并没有有效传达出银行内部控制的具体信息。

4.内部控制审计单位的选择比较

16家银行都选择了“四大”会计师事务所进行相关内部控制有效性的审计。“四大”的选择是为了增强投资者对被审计银行的信心，这样也从侧面表现出随着经济社会的发展，银行愈发注重内部控制，愈发注重投资者，愈发注重向市场传达出有利的信息。

5.内部控制措施披露的比较

16家银行在内部控制自我评价报告中不同程度地披露了2012年度内部控制基本框架的建设情况，如表3所示。

通过分析可以看出，由于内部控制自我评价报告的格式并不统一，每个银行披露的内容不尽相同，有些银行详尽地披露了内控建设状况，有些银行则根本未涉及，这样就导致投资者不能很好地进行比较分析。

另一方面，16家银行的自我评价报告中都没有对上年内部控制缺陷的整改措施以及效果进行披露，披露缺乏连续性。

（三）依据方面

国家法律法规和监管要求使内部控制披露具有强制性，但16家银行各自参照的依据有所不同，如表4所示。

根据上表可知，16家银行都依据《企业内部控制基本规范》和《企业内部控制应用指引、评价指引》以及本行内部控制基本指引的要求进行了披露。但是，在《商业银行内部控制指引》和《中华人民共和国商业银行法》的选择上，却出现了不一致性，有的银行参照了该法律法规，有的银行则没有，再加上在深交所、上交所上市的银行，所参照的内部控制指引文件不同，也会导致最后披露结果的不一致性。

通过分析可知，由于16家银行所参照的依据不一致，导致了银行披露的形式、内容、标准差异较大，这也是上市银行内部控制披露存在的问题之一。

三、提高上市商业银行内部控制信息披露质量的相关建议

（一）明确形式，提高质量

结合我国实际情况，并适当借鉴国外经验，在相关规范中明确规定上市银行内部控制报告的具体披露形式以及在报告的具体部分披露哪些具体内容。一方面，投资者可以更好地使用各种内部控制信息文件，明确查阅哪些部分，就可以获取信息，节约时间、节约成本；另一方面，提高了上市商业银行内部控制信息披露质量，增加其可比性，避免分歧和意见。

（二）完善内容，提高透明度

随着将市场经济的发展，商业银行数量不断增加，竞争日益激烈，潜在的风险也随之加大。所以需要完善内部控制披露的内容，以提高透明度。

1.加大对内部控制自我评价结果的披露。详细披露是否存在内控缺陷，存在怎样的缺陷以及将要采取的整改方案，提高透明度。

2.统一对内部控制缺陷的认定标准。国家的法律法规虽然对相关缺陷做出了定义，但这是共性的；银行作为特殊的行业，需要对缺陷认定标准做出特别的规定，且每个银行各自的规模、风险是不尽相同的，所以也需对标准进行规定并予以公布，并与其他行的不同之处做出注释，以方便投资者了解。

3.增大对内部控制建设状况的披露。国家应出台相应的规定，要求银行从内部控制五个基本要素方面详细披露内部控制建设情况，可以使利益相关者了解上市银行在过去一年所做的努力；另外，在探索建立上市商业银行的内部控制评级体系的道路上，不遗余力地运用市场手段，逐步建立并完善针对上市商业银行内部控制信息披露的评价指标或评价体系。同时，要求披露对上年内部控制缺陷的整改以及效果，保持连续性，使得投资者明确缺陷是否真的不存在了，措施是否发挥应有的作用了。

（三）统一依据，提高可比性

16家银行都选择了基本规范及配套指引作为依据，这是国家明文规定的。但是，由于国家没有说明还应根据哪些法律法规进行披露，导致各银行披露的标准差异较大。有鉴于此，国家或者行业协会应该明文规定上市商业银行必须按照哪些文件进行披露，以统一依据，提高最终披露结果的一致性与可比性。

作者单位：中南财经政法大学会计学院