上市银行内部控制实质性漏洞披露现状研究

【摘要】上市银行掌握着国家的金融命脉，承担着一国金融安全与稳定的重任，因此对上市银行内控信息的披露现状，尤其是对内控的实质性漏洞进行研究，具有重要的理论及现实意义。本文以招商银行为例，分析了我国上市银行内部控制中的实质性漏洞信息的披露现状，并在整理分析的基础上，提出了关于提高和改善实质性漏洞信息披露质量的建议。

【关键词】上市银行；内部控制；实质性漏洞；信息披露

1.引言

2008年爆发的全球金融危机，使得金融机构的风险管理成为了人们关注的焦点。其中上市银行掌握着国家的金融命脉，承担着一国金融安全与稳定的重任，因此人们非常关注它的内部控制与风险管理。上市银行内部控制及其实质性漏洞信息的披露，有利于促进管理层发现内部控制存在的缺陷，从而有利于股东等利益相关者了解其内部控制情况，进而对其决策作出正确的判断。因此，对上市银行内部控制信息披露状况进行研究，尤其是对内部控制中的实质性漏洞进行研究，具有重要的理论及现实意义。本文以招商银行为案例，研究其公开披露的实质性漏洞现状。

2.实质性漏洞的概念及其类型

PCAOB的审计准则将“实质性漏洞”定义为“如果一项或若干项缺陷有能致使年度或中期财务报表存在重大错报而不能有效预防或及时察觉的合理可能时，该缺陷就构成实质性漏洞（material weakness）”。与传统理论中的重大缺陷相比，实质性漏洞更强调对内部控制体系稳定性的影响程度，从某种意义上说，实质性漏洞是更为重要的重大缺陷，而且实质性漏洞表现形式多样，每种形式的实质性漏洞中又包含着不同的缺陷形式。

关于实质性漏洞的类型，本文借鉴Ge和McVay（2005）的研究思路并将上市银行漏洞划分为九大类型：账户特定式、培训、期末报告与会计政策、收入确认、职责划分与授权、对账、子公司特定式、高级管理层及技术问题。

3.招商银行内部控制实质性漏洞现状分析

3.1 内部控制信息披露状况分析

由于2000-2010年资本市场对上市公司内控信息的披露规定经历了波段起伏的变化，上市公司内控信息分布比较零散。故本文采取手工统计的方式对招商银行自上市以来8份年度报告中的“公司治理结构”、“股东大会情况简介”、“董事会报告”、“监事会报告”、“重要事项”、“报表附注”以及“附件”等部分披露的内控信息状况进行了统计分析。

3.1.1 内控信息的详略程度

本文对以上8个部分披露的内部控制信息情况采取5级量表进行测量，其中“0”表示没有披露与内部控制有关的信息；“l”表示公司只用一句话概括说明内部控制情况，即只有“本公司内部控制制度合理、完整、有效”或类似语句；“2”表示公司对有关内部控制信息做出简单说明；“3”表示公司对内部控制建立健全的工作计划、董事会对内部控制有关工作的安排、内部控制检查监督部门的设置及运行情况等至少一项做出较为详细说明的情况；“4”表示公司对内部控制的建立健全情况做了详细的说明，包括对内部控制制度体系的构成、对关键领域采取的内部控制措施、公司对内部控制的完善计划及拟采取措施等；

招商银行上市以来的内部控制信息披露情况如表1所示：

表1 招商银行的内部控制信息披露情况

披露

位置 公司

治理 股东大会简介 董事会报告 监事会报告 重要事项 报表附注 内控自评 内控专项说明 审计意见

2002年 2 0 4 1 0 2 4 4 1

2003年 2 0 4 1 0 2 0 0 1

2004年 2 0 4 1 0 2 0 0 1

2005年 2 0 4 1 0 2 0 0 1

2006年 2 0 4 1 0 2 0 0 1

2007年 3 0 2 1 0 2 0 0 1

2008年 3 0 2 1 0 2 4 4 1

2009年 3 0 2 1 0 2 4 4 1

注：内部控制制度说明以及内控自评报告中披露的内控信息都包含在“内控自评”。

会计师事务所对内控出具的报告名称不一致，在2002年出具的报告叫《内部控制评价及评价报告》，而在2008年、2009年出具的报告叫《关于的专项说明》。本文将此类报告统称为“内控专项说明”，并将有关的统计于“内控专项说明”栏中。

注册会计师的审核意见，“1”表示标准无保留意见，“0”表示其他类型审计意见。

3.1.2 内控信息披露的分布状况

从表2可以看出，对内部控制信息的披露主要集中在“公司自理结构”、“董事会报告”、“报表附注”、“内控自我评估报告”、“内控专项说明”等部分：“公司治理结构”部分主要披露了制定的一系列公司治理规则或制度。2002-2006年的年报中，这部分对内控信息的描述比较简单，格式相对固定；但在2007-2009年度的年报中，此部分对原先的相关信息进行了细化，而且较大幅度地增加了之前在“董事会报告”中披露的关于招商银行内部控制制度“三性”的说明以及内部控制方面的信息；“董事会报告”部分比较详尽地披露了公司内控信息，在2002-2006年的年报中，这一部分涵盖了公司可能面临的各类风险以及应对措施、管理情况和内部的“三性”说明等，但从2007年披露的年报开始，“董事会报告”部分对内控相关信息的描述明显减少，更多介绍了新年度公司面临的挑战与机遇、新的经营目标以及为达到目标拟采取的主要措施；“监事会报告”非常笼统地披露了公司的内控信息，基本上都是“报告期内，公司内部控制制度完整、合理、有效”，并且上市以来没什么变化，这也在某种程度上说明监事会对于内控重要性认识不足；“报表附注”部分简单披露了内部控制的一些情况；“内控自评报告”对于内控信息的披露较为详细，特别是2008起借鉴了《企业内控基本规范》规定的五要素来分项介绍；“内控专项说明”是事务所对公司内部控制自评报告进行审核后发表的意见，涉及较详细、完整的内部控制信息；“股东大会情况”与“重要事项”部分自银行上市以来从未披露与内控相关的信息。