上市银行内部控制实质性漏洞披露机制探讨

一、实质性漏洞概述

美国公众公司会计监管委员会（PCAOB）的审计准则将“实质性漏洞”定义为“如果一项或若干项缺陷有能致使年度或中期财务报表存在重大错报而不能有效预防或及时察觉的合理可能时，该缺陷就构成实质性漏洞（materialweakness）”。内部控制体系的运行需要有效的设计和有力的执行。根据内控缺陷的影响程度和重要性将缺陷划分为：一般缺陷、重要缺陷和实质性漏洞。鉴于实质性漏洞是更为严重的重要缺陷，识别实质性漏洞并进行分析至关重要。Ge和Mcvay（2005））将内部控制实质性漏洞划分为九大类型：账户特定式、培训、期末报告与会计政策、收入确认、职责划分与授权、对账、子公司特定式、高级管理层及技术问题，对兴业银行的后续研究，将以此9种类型作为标准。本文以兴业银行为例，通过对披露的审计报告进行手工整理，研究公开披露的实质性漏洞的现状，并对改进相关问题提出对策。

二、兴业银行内部控制实质性漏洞披露现状分析

（一）内部控制信息披露状况分析 具体如下：

（1）内部控制信息披露分布状况。兴业银行（股票代码：601166）成立于1988年8月20日，2007年2月5日正式在上海证券交易所挂牌上市。由于内部控制的信息比较分散，本文对兴业银行自上市以来的5份报告进行整理，并对年报的“公司治理结构”，“董事会报告”，“监事会报告”，“重要事项”，“报表附注”，以及“附件”部分进行统计和分析。

本文采取5级量表对年报中披露的内部控制信息进行衡量，其中：“0”表示没有披露与内部控制有关的信息，“1”表示公司只用一句话概括说明内部控制情况，“2”表示公司对有关内部控制信息仅仅做出简单的说明，“3”表示公司对内部控制建立健全的工作计划、董事会对内部控制有关工作的安排、内部控制检查监督部门的设置及运行情况等至少一项做出较为详细说明的情况，“4”表示公司对内部控制的建立健全情况做出详细的说明。包括内部控制制度体系的构成、对关键领域采取的内部控制措施、公司对内部控制的完善计划及拟采取措施等。

表1是兴业银行自上市以来披露的内部控制信息分布情况。从表1可以看出，兴业银行披露的年报中“公司治理结构”部分，对内控信息的描述比较简单。这部分对内控的描述从简单到复杂，说明公司结合不断变化的内部和外部环境，有针对性地进行调整，探索适合公司发展和完善的内控机制。

“董事会报告”部分详细披露了公司的内部控制情况。2007年的董事会报告中，单独列示了对内部控制的完整性合理性以及有效性的说明，自我评价报告，审计机构的核实评价意见。从2008年开始，审计报告增加了与公允价值计量相关的内部控制制度情况，可能是由于2007年新增加了“交易性金融资产”这一科目，为了适应现在的股票、债券、基金等出现的市场交易，董事会根据宏观政策和经营环境的变化，调整了应对风险的管理机制和对策。“监事会报告”简单披露了公司的内部控制信息，这在某种程度上反映了监事会对公司内控不予重视。公司在境内审计报告和境外审计报告的“报表附注”部分笼统地披露了内部控制的一些情况，包括各类风险的管理措施，金融工具的使用和管理情况，资本管理情况。自上市以来，“股东大会情况简介”及“重要事项”部分一直没有披露公司的内部控制情况。公司的内部控制“三性”说明书和内部控制自我评估报告，详细地说明了内控制度的现状，以及公司为完善内控所采取的措施。从2008年开始，公司的内控自评报告更趋规范，评价范围从内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素和公司层面、业务流程、信息系统三个层面展开。公司聘请的事务所出具的“内部控制的审计报告”只是简单地对财务报表审计的内部控制情况做了说明，主要针对内部控制自我评价报告发表意见。

（2）内部控制信息披露连续性。兴业银行自2006年上市以来，不间断地披露公司的内部控制自我评估报告和内部控制审计报告。2010年，财政部制定的《企业内部控制应用指引第1号――组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》出台，要求自2012年1月1日起在上海和深圳证券交易所主板上市的公司对内部控制的有效性进行自我评价，同时披露年度自我评价报告，聘请具有证券、期货业务资格的会计师事务所对财务报告内部控制有效性进行审计并出具审计报告。根据此规定的要求，兴业银行2011年出具的审计报告内容更为全面和完善。可以看出，上市后的兴业银行按照国家的政策法规及相关部门的要求，积极对内部控制信息进行披露，良好的行业形象得以树立。

（二）实质性漏洞披露情况分析 银行作为高风险的行业，对实质性漏洞应给予格外关注。根据实质性漏洞概念和类型的划分，笔者发现兴业银行披露的内部控制缺陷集中在内控“三性”说明书，内部控制自我评价报告和内部控制审计报告中，之后通过对这些缺陷进行鉴别，识别出属于内部控制的实质性漏洞。

（1）实质性漏洞披露的数量。表2是兴业银行披露的实质性漏洞情况。通过表2可以看出，董事会在2007年没有披露任何内部控制缺陷，2008年到2010年对实质性漏洞的披露及表述都比较模糊，在2011年披露了4种不同类型。由此可见，兴业银行披露的实质性漏洞的数量越来越多，这似乎说明兴业银行面对的内部控制问题也越来越突出。2007年年报是兴业银行上市后的第一份报告，其内部控制自我评估报告中只是对内部控制制度的建立和健全机制做了陈述，并未提到相关的内部控制不足。这可能是上市第一年，兴业银行要给监管机构和投资者留下较好的印象。随着经营环境的不断变化，企业业务的不断拓展，2008年到2010年的内控自我评估报告中，公司的内控体系不断完善，但对具体的内控缺陷并未做出明确说明。然而，这并不能说明公司的内控是完美的。2011年，财政部出台的关于企业内部控制的相关规定，兴业银行才开始披露了一系列的实质性漏洞，通过对这些漏洞分析，可以发现兴业银行的内控问题由来已久，但是可能由于相关法规的要求不够严格、违规成本比较低由此造成了其对此类问题不够重视也就未进行披露。随着严厉的监管制度的实行，上市银行从违规成本角度和投资者对内控信息的重视角度考虑，开始披露更多的内部控制信息并报告所发现的问题。

（2）实质性漏洞披露载体。兴业银行实质性漏洞的披露完全集中在“内部控制自我评估报告”，共披露了13项实质性漏洞，并且2007年到2010年对实质性漏洞的描述比较模糊，可见，从某种角度上说，董事会有避重就轻之嫌。在2011年国家内控规范出台后，董事会详细披露了内部控制存在的缺陷和整改情况，更加积极地对公司的内部控制信息进行披露。而事务所披露的内部控制审计报告，仅仅流于形式，既没有对内控的情况做过多说明，也没有对内控的实质性漏洞进行披露，只是对财务报告内部控制有效性做了说明。

（3）实质性漏洞披露类型。关于实质性漏洞的9种分类，兴业银行披露了其中的5种类型：职责划分与授权，子公司特定式，高级管理层，技术问题和培训。职责划分与授权类缺陷达4项，2008年和2010年各披露了1项，20111年披露了2项。职责划分与授权是有效内部控制的一个关键组成部分，从披露的实质性漏洞中可以发现，由于近几年金融行业的快速发展，银行业之间的竞争日趋激烈，为了抢占某些客户，获得高利润，银行职员对某些放款检查不够审慎，除了职责划分的缺失和不恰当的授权有关外，也可能是由于员工的数量和素质的缺乏，不足以关注到业务的方方面面。加之各种新兴业务的不断涌现，兴业银行内控的修订和执行速度赶不上新业务的变化，导致公司新的内控问题不断显现。但董事会根据经营环境及宏观政策法规变化，不断完善公司的内部控制体系。

子公司特定式这一实质性漏洞缺陷的披露出现在2009年和2011年，说明总行制定的内控制度以及业务规范落实程度差，从而导致了信用风险。这里要特别说明的是，国家相关政策规定，银行业金融机构从2011年7月1日起取消人民币个人账户密码挂失费，但兴业银行呼和浩特分行个别柜面人员在具体业务办理过程中仍继续收取密码挂失手续费，给客户造成了不便和额外的密码挂失费支出。2011年8月2日国家发改委通报兴业银行呼和浩特分行，并对兴业银行总行做出罚款200万元的行政处罚。董事会的内控自评报告中，只是简单地说个别机构授权操作存在不规范环节，也并没有对这一行政处罚进行披露，事务所的内部审计报告更是丝毫未提及。可见，兴业银行分支行控制信用风险力度不够，事务所对内部控制审计报告的重要性认识不到位，流于形式。

高级管理层问题出现在2008年，2010年和2011年。董事会对内控的建设高度重视，努力识别可能存在的问题和漏洞不断的完善，显示了其在内部控制中的主体和决定作用。技术问题分别出现在2010年和2011年，反映了科技的高速发展，银行信息系统已经不能有效满足业务和管理的要求，银行需要进行不断的后期运行维护。2009年出现的培训实质性漏洞，说明随着银行业务的发展和网点扩张速度的加剧，需要大量的新职员加入，这同时就面临培训力度不够和执行力出现偏差的问题。可见任何公司的内部控制体系都不是无懈可击的，董事会应根据实质性漏洞的情况，加强内部控制管理，及时采取补救措施，才能保证企业的各项经营活动持续有效地进行。

三、结论与建议

通过上文的论述，兴业银行对内部控制的描述主要集中在内控“三性”说明书，内控自评报告和内控审计报告，而内控自评报告是实质性漏洞披露的载体。兴业银行的内部控制实质性漏洞集中在职责授权与划分，子公司特定式，高级管理层，技术问题，培训五大类型上。从2007到2011年的年报来看，董事会积极披露公司的内部控制自我评价报告，没有中断，并针对经营中的缺陷不断完善企业内部控制体系。而监事会对内控的评价和事务所出具的内部控制审计报告形式主义严重。鉴于此，对完善内控实质性漏洞信息披露做出如下几点建议：

第一，企业自身应构建完善的内部控制实质性漏洞披露机制。上市银行通过风险获取收益，实质性漏洞作为公司最为重要的内部控制缺陷，直接影响到公司的经营状况。2011年财政部颁布的《企业内部控制基本规范》和《企业内部控制配套指引》，对上市公司内控的披露要求更为严格，但是我国对实质性漏洞披露机制并没有做出相应的规范，所以认定和评估实质性漏洞，建立财务报告内部控制审核的统一标准就显得格外重要。外部宏观经济、法律和监管环境不断变化，对公司业务和内部管理提出了更高的要求，董事会应根据不断变化的情况，及时修订和完善内控制度，采取相应的内控措施。好的内部控制制度离不开公司员工的配合和参与，要加大对员工的培训力度，增强员工对实质性漏洞的重视。监事会对董事会建立与实施内部控制进行监督，不应仅仅流于形式。监事会应对企业经营过程中发现的实质性漏洞进行更为严格的处罚，促使全行采取更有力的整改措施。

第二，转变内部控制报告对实质性漏洞披露方式，明确注册会计师在内控控制审计报告中的责任。上市公司的内部控制审计是审计工作中的重要一环。虽然审计师不是万能的，不能保证查出企业内部控制中存在的任何漏洞，但审计质量的高低直接影响到投资者对该公司财务状况的判断。所以，注册会计师有责任也有义务对内控中的漏洞进行披露。然而事务所出具的内部控制审计报告表明，注册会计师执行的了解内部控制和控制测试程序是以财务报表审计为目的进行的，而不是对内部控制的专门审核，其披露的报告既没有对内控的情况做过多说明，也没有对内控的实质性漏洞进行披露，仅仅对财务报告内部控制有效性做了说明。企业内部控制的有效性与财务报表的真实性和可靠性不是独立的，实质性漏洞的存在会对财务报表产生重大影响。所以，应明确对注册会计师内部审计报告责任的确定，强制其对内部控制的实质性漏洞进行披露。

第三，科学合理的内部控制实质性漏洞信息披露离不开强有力的外部监管。首先，企业内部控制披露的过程，离不开政府及有关部门的大力推动，同样，企业内部控制信息披露的质量，也需要政府发挥其权威性和监督作用。政府应加强对内部控制实质性漏洞信息披露的监管，建立健全相关的处罚机制，从而有效防范管理层的道德风险，更好地保护投资者的利益。其次，由于我国缺乏统一的内部控制的规范，导致各载体所披露的内部控制信息各异，披露内容散乱且缺乏系统性，所以，相关部门应尽快对内控实质性漏洞披露的内容做出规范，强制上市银行公开披露内控中的实质性漏洞。

参考文献：

[1]瞿旭、李明、杨丹、叶建明：《上市银行内部控制实质性漏洞披露现状研究――基于民生银行的案例分析》，《会计研究》2009年第4期。

[2]黄秋敏：《上市银行内控信息披露状况分析》，《审计研究》2008年第1期。

[3]何芹：《上市银行内部控制自我评价报告和审计报告分析――基于2006-2011年的时间序列数据》，《证券市场导报》2012年第12期。（编辑 向玉章）