服务热线
400 180 8892
肖 笔
在我国,上市银行在经济运行中起着重要的作用,其经营的好坏将对经济产生直接影响。因此越来越多的研究开始关注上市银行经营过程中时面临的风险,尤其是金融危机后,由于内部控制能降低上市银行面临的风险,更多的研究开始转移到上市银行的内部控制上。由于上市银行内部控制信息披露是人们了解其内部控制情况的一个渠道,内部控制自我评估报告又是内部控制信息披露的载体,所以研究上市银行的内部控制自我评价报告不仅可以更好地了解上市银行内部控制信息披露的现状,也可以对上市银行在内部控制信息披露方面起到监督作用。目前国内较少针对上市银行内部控制自我评估报告进行研究。本文以兴业银行为例,对其公开披露的内部控制自我评价报告进行专门研究,以期对后续的研究有所贡献。
一、文献述评
(一)国外文献综述
2002年SOX法案出台之前, 内部控制的研究文献主要集中于财务报表审计中内部控制评价和财务报告内部控制审核的研究, 只有少数研究关注管理层自愿披露的内部控制自我评价报告。2002 年SOX法案的实施,标志着公司管理层的内部控制自我评价报告由以前自愿性披露改为强制性披露,审计师对内部控制的评价和审核已经转变为独立的内部控制审计业务,因此,更多的研究开始关注管理层内部控制自我评价和审计。Bronson(2006)研究发现,公司规模越大、净利润增长越快、销售增长越慢、审计委员越勤勉、机构持股比例越高,管理层越有可能自愿披露内部控制自我评价报告。Ashbaugh-Skaife等(2007)研究认为,内部控制缺陷的披露带有自愿性质,必须同时满足三个条件某项内部控制缺陷才会得以披露:一是内部控制缺陷存在,二是内部控制缺陷被管理层或独立审计师发现,三是管理层断定缺陷应当公开披露。Mitch Deacon(2008)研究认为,SOX法案将会使小企业受到各项规定的冲击, 并建议SEC 应针对小企业另设内部控制准则。 SongTao Mo(2009)研究发现,“只经过财务报表审计”的上市公司与“只经过内部控制审计”的上市公司相比较,市场和投资者的反应存在差异。
(二)国内文献综述
2006 年以后,随着上交所和深交所《上市公司内部控制指引》的颁布,尤其是2008年《基本规范》及2010年配套指引的颁布,这意味着内部控制自我评价报告和审计报告与财务报表及其审计报告一样,将作为一种常态出现在上市公司的定期公告中, 因此出现了大量的研究开始关注管理层内部控制自我评价和审计。黄秋敏(2008)分析上市银行2001年至 2006年的内部控制信息发现,上市银行对内部控制信息披露的形式、披露的内容及自我评价和审计方面都存在很多的问题。杨有红和汪薇 (2008)以及杨有红和陈凌云 (2009)分别对2006年和 2007 年沪市公司内部控制信息披露进行了研究,结果发现,上市公司存在内部控制信息自愿性披露动机不足、内部控制评价成本过高以及评价标准不统一等问题。王玲(2009)对2008年中小板上市公司研究发现,中小板公司内部控制信息披露存在选择性信息披露以及自愿性信息披露意愿不足等问题。林斌和饶静(2009)以2007年主板上市公司为研究对象,基于信号传递理论对上市公司为什么自愿披露内部控制鉴证报告进行了研究,结果发现,为了向市场传递真实价值的信号,内部控制质量好的公司更愿意披露内部控制鉴证报告。刘逢春、池国华、占军华(2010)根据COSO报告中关于内部控制五要素的分类,将内部控制重大缺陷分为五类,并收集了工商银行2007年至2009年年报中的相关信息,认为工商银行在这方面披露较完善,但是仍然存在改进的空间,提出要完善法律法规、加强监管力度和增强披露意识的政策建议。崔志娟(2011)认为管理层有向外部利益相关者披露内部控制信息的动机,但是动机的类型决定了披露内部控制信息质量的好坏,为了实现内部控制目标,需要强化大股东权力制约、制定内控缺陷衡量标准、增强管理层披露内控缺陷的动机和建立内控缺陷未披露处罚机制。
(三)文献评述
从以上文献综述可以看出,国外文献主要研究了影响内部控制信息披露的因素,比如公司规模越大、净利润增长越快等因素对管理层自愿披露内部控制自我评价报告有正面影响等。国内主要研究内部控制信息披露存在的问题,比如自愿性披露动机不足、披露的形式和披露的内容存在问题等,并针对问题提出相应的解决方法,比如强化大股东权力制约、制定内控缺陷衡量标准、增强管理层披露内控缺陷的动机和建立内控缺陷未披露处罚机制等措施。但是,针对具体一家做案例分析的文章较少。本文在借鉴其他学者研究的基础上,对兴业银行内部控制自我评估报告进行案例研究。
二、案例分析
兴业银行从2007起,开始披露内部控制自我评价报告和内部控制的审计报告。2007年至2012年每年都有披露上述两份报告。其他部分银行,有的初次披露时间稍晚,有的在后续年度里偶尔没有披露内部控制审计报告。可以看出,在信息披露方面,兴业银行在所有上市银行中的表现值得肯定。但是,值得肯定并不代表完善,本文将从纵向和横向两个方面对兴业银行的内部控制自我评价情况进行分析。
(一)纵向分析
1. 内部控制自我评价报告具体内容
《企业内部控制评价指引》于2010年4月颁布,但其并没有对内部控制自我评价报告的具体内容作出详细规定,但是要求报告至少应当披露下列内容:(1)董事会对内部控制报告真实性的声明;(2)内部控制评价工作的总体情况;(3)内部控制评价的依据;(4)内部控制评价的范围;(5)内部控制评价的程序和方法;(6)内部控制缺陷及其认定情况;(7)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;(8)内部控制有效性的结论。
表1是针对兴业银行2007年-2012年的内部控制自我评价报告具体内容所做的统计分析
表1 2007年-2012年兴业银行内部控制自我评价报告具体内容
披露内容 年份 | (1) | (2) | (3) | (4) | (5) | (6) | (7) | (8) |
2012 | √ | √ | √ | √ | √ | √ | √ | √ |
2011 | √ | √ | √ | √ | √ | √ | √ | √ |
2010 | √ | √ | √ | | | | | √ |
2009 | √ | √ | √ | | | | | √ |
2008 | √ | √ | √ | | | | | √ |
2007 | √ | √ | √ | | | | | √ |
从表1可以看出,2007年-2010年间,兴业银行的内部控制自我评价报告中并没有包含内部控制评价的范围、内部控制评价的程序和方法、内部控制缺陷及其认定情况和内部控制缺陷的整改情况及重大缺陷拟采取的整改措施这四个项目。从2011年开始,兴业银行的内部控制自我评价报告变得更加规范,有了内部控制评价的范围、内部控制评价的程序和方法、内部控制缺陷及其认定情况和内部控制缺陷的整改情况及重大缺陷拟采取的整改措施这四个项目。
2. 内部控制主要缺陷和具体描述
兴业银行2011年与2012年内部控制主要缺陷和具体描述见表2
表2 2011年-2012年兴业银行内部控制主要缺陷和具体描述
披露内容 年份 | 内部控制缺陷 | 具体描述 |
2012 | 制度管理体系有待进一步完善和更新 | 1.部分岗位说明书及工作程序手册还未及时更新、描述与实际不完全相符 |
岗位轮换和强制休假制度执行不够到位 | 1.管理岗位的强制休假覆盖面和执行力度存在不足 | |
零售信贷贷前调查需进一步规范 | 1.贷前调查双人面签、访谈落实等环节执行不够到位 2.征信报告填写较为简单,材料完整性、真实性审查存在一定欠缺 | |
IT 变更管理存在薄弱环节 | 1.操作与复核人员未同时签字确认、变更内容记录不够完善 2.紧急变更完成后未按管理流程要求及时补齐审批手续的问题 | |
数据管理的规范性尚需进一步提高 | 1.个别业务品种存在部分信息通过手工台账辅助记载、或信息补录到 IT 系统不及时的现象 | |
2011 | 授信尽职工作有待进一步强化 | 1.贷前调查不够细致,对异常信息关注不够到位 2.部分授信放款不够审慎 3.贷后检查资料收集不到位、贷后检查报告较为简单 |
应更加注重会计基础工作 | 1.个别机构在会计科目使用、账户开户审核、错账处理和授权操作、印章与重要空白凭证管理、对账管理等方面存在不规范 | |
需持续提高新兴业务风险管理水平 | 1.个别新兴业务存在制度修订不及时、 对应的基础资产贷后管理不够规范 | |
应进一步加强 IT风险管理 | 1.个别系统存在未建立定期的用户及权限复核机制、 用户及权限不定期 2.抽查的频率过低、部分系统备份介质未定期开展可恢复性测试 | |
进一步完善内控缺陷的量化管理 | 1.内部控制管理,发现内部控制缺陷,评价内控有效性方的工作流程不够完善 |
对表2进行分析,我们发现:
第一,兴业银行没有对上一年的缺陷整改情况作具体说明和评价,上一年度整改执行情况和整改结果并不知道。2011年提到的五个方面的内部控制缺陷中,在2012年中,只有IT风险有关的内部控制缺陷被再次提到,其他四项全部没有再提到。第二,2011年和2012年兴业银行对内部控制缺陷具体描述的方式没有变化,措辞都非常模糊,不能清晰明确地让报告使用者了解其内部控制缺陷的情况。第三,在具体描述中,与IT相关的缺陷和与贷款业务相关的缺陷在2011年和2012年都被提到,说明兴业银行在这两个方面存在问题较多,需要持续关注。
(二)横向比较
为了更好的了解兴业银行内部控制自我评价在行业内的状况,本文以2012年上市银行自我评价报告的信息为横截面数据进行了分析。表3中的“(1)”-“(8)”序号表示的含义与表1中相同。
表3 2012上市银行内部控制自我评价报告具体内容
序号 | 银行名称 | 内部控制自我评价报告具体内容 | |||||||
(1) | (2) | (3) | (4) | (5) | (6) | (7) | (8) | ||
1 | 兴业银行 | √ | √ | √ | √ | √ | √ | √ | √ |
2 | 北京银行 | √ | √ | √ | √ | √ | √ | √ | √ |
3 | 南京银行 | √ | √ | √ | √ | √ | √ | | √ |
4 | 光大银行 | √ | √ | √ | √ | √ | √ | √ | √ |
5 | 宁波银行 | √ | √ | √ | √ | √ | | | √ |
6 | 浦发银行 | √ | √ | √ | | | | | |
7 | 华夏银行 | √ | √ | √ | √ | √ | √ | | √ |
8 | 交通银行 | √ | √ | √ | √ | √ | √ | √ | √ |
9 | 招商银行 | √ | √ | √ | √ | √ | √ | | √ |
10 | 建设银行 | √ | √ | √ | √ | √ | | | √ |
11 | 平安银行 | √ | √ | √ | √ | √ | √ | √ | √ |
12 | 中信银行 | √ | √ | √ | √ | √ | √ | | √ |
13 | 工商银行 | √ | √ | √ | √ | √ | | | √ |
14 | 农业银行 | √ | √ | √ | √ | √ | √ | | √ |
15 | 中国银行 | √ | √ | √ | √ | √ | √ | √ | √ |
16 | 民生银行 | √ | √ | √ | √ | √ | √ | | √ |
针对表3进行分析,可以得出以下结论:
1.从“内部控制评价工作的总体情况”看,虽然所有银行的评价报告都涵盖总体情况描述的内容,但是具体表述却存在差异。2012年,兴业银行在内部控制自我评价报告中评价对象是 “本行内部控制”,这与中国银行的表述一致,而其他大部分银行的评价对象则是“财务报告内部控制”。同时,兴业银行并未提及是否注意到非财务报告内部控制的重大缺陷,其他大部分银行则提及否注意到非财务报告内部控制的重大缺陷。
2.从“内部控制评价的依据”看,2012年上市银行内部控制自我评价的依据则主要是 《企业内部控制基本规范》 、《商业银行内部控制指引》 、《企业内部控制评价指引》,少数银行也同时选择了《上海证券交易所上市公司内部控制指引》或者《企业内部控制应用指引》作为评价依据。兴业银行的评价依据则是《企业内部控制基本规范》、《商业银行内部控制指引》、《企业内部控制应用指引》和《上海证券交易所上市公司内部控制指引》。
3.从“内部控制评价的范围”看,2012年,除了浦发银行以外,其他银行都披露了评价范围,评价范围大多数是从五个要素(内部环境、风险评估、控制活动、信息与沟通、内部监督)和三个层面(公司层面、业务流程、信息系统)展开,兴业银行等个别银行详细披露了业务层面的内部控制。
4.从“内部控制评价的程序和方法”看,2012年兴业银行同其他所有银行一样,都披露了“内部控制评价的程序和方法”。
5.在“内部控制自我评价报告”所有的披露内容中,“内部控制缺陷及其认定情况”和“内部控制缺陷的整改情况及重大缺陷拟采取的整改措施”的信息披露是最为欠缺的。但是兴业银行披露了以上信息,这体现了兴业银行对投资者负责的意识。在对内部控制缺陷的认定方面,兴业银行则是对将《内部控制缺陷评价指引》中的三类缺陷重复定义一遍,除此之外,披露的信息非常有限。当然这也是整个上市银行普遍存在的问题。
(三)分析结论
从以上分析可知,在内部控制自我评价和信息披露方面,兴业银行在所有上市银行中已经走在前列,并且披露的信息相对较为全面。具体表现在,一是对“内部控制缺陷及其认定情况”和“内部控制缺陷的整改情况及重大缺陷拟采取的整改措施”的披露,二是详细披露了业务层面的内部控制,三是对评价依据的选取较为全面和规范。
同时,兴业银行的相关披露也存在以下不足,一是在2012年没有对2011年披露缺陷改善的结果做说明。兴业银行2011年提到的五个方面的内部控制缺陷中,在2012年中,只有IT风险有关的内部控制缺陷被再次提到,其他四项全部没有再提到,这样的处理不能让报告使用者知晓没提到的缺陷是否在2012年度里改善完毕;二是兴业银行对内部控制缺陷具体描述的措辞都非常模糊,不能清晰明确地让报告使用者了解其内部控制缺陷的情况;三是兴业银行与IT相关的缺陷和与贷款业务相关的缺陷在2011年和2012年都被提到,说明兴业银行在这两个方面存在问题较多,需要持续关注;四是兴业银行在内部控制自我评价报告中并未提及是否注意到非财务报告内部控制的重大缺陷,而其他大部分银行则提及否注意到非财务报告内部控制的重大缺陷;五是对内部控制缺陷的认定标准缺乏更为详细的披露,因为兴业银行在对此部分内容披露时,只是将《内部控制缺陷评价指引》中的三类缺陷重复定义一遍。
三、对策建议
通过对兴业银行的案例分析,笔者在对兴业银行提出对策建议的同时,也试图给整个银行业提出对策建议。
(一)对兴业银行的建议
1.披露上年内控缺陷改善情况。首先,兴业银行作为上市银行中在内部控制自我评价报告披露中表现不错的银行,应当进一步增强自身信息披露的意识,转变观念,披露上年度内控缺陷改善情况的相关信息。同时,政府应当要求商业银行对上一年度所披露的内部控制缺陷的改善情况在当年的内部控制自我评价报告进行披露。这样一方面可以防止商业银行不落实对所披露内部控制缺陷的整改,另一方面也可以让报告使用者了解商业银行改善内部控制缺陷的结果。
2.清晰明确的描述内部控制缺陷。目前来看,兴业银行对披露内部控制缺陷的描述比较模糊,原因可能是认为内部控制缺陷的清晰披露会影响投资人的预期,会降低其市场价值。但是从长远来看,对内部控制缺陷清晰地描述不仅能够使银行更加了解自身的缺陷,同时由于对内部控制缺陷的清晰描述是对外公开披露的,还能够督促银行积极的改善自身缺陷。
3.将IT和贷款业务相关工作纳入重点监控范围。在2012年内控评价报告中,针对IT 变更管理存在薄弱环节,兴业银行提出立了由总行行长任组长的“数据治理领导小组”,实施包含数据定义、采集、传导、存储、运用及销毁等环节在内的全生命周期的科学管理,是非常可取的。同时,针对贷款相关业务,兴业银行在2012年内控评价报告中提出的要求贷前调查人员对面签现场、经营处所、抵押物现场等进行拍照等措施也是可行的。除此之外,兴业银行还应加强对以上工作的事后监督和检查工作,并在组织的相关资源,比如人力资源、财务资源等,更多的向这两个方面倾斜。
4.关注非财务报告内部控制的重大缺陷。对兴业银行而言,只关注与财务报告内部控制相关的重大缺陷是不够的,因为其所面临的经营环境瞬息万变,非财务报告内部控制重大缺陷也有可能对其造成很大的不利影响,这些不利影响很可能给投资者造成巨大损失。因此,在内部控制自我评价报告中,兴业银行银行应当提及是否注意到非财务报告内部控制的重大缺陷。
5.详细披露内部控制缺陷的认定标准。兴业在披露内部控制缺陷认定标准时,只是简单的对《内部控制缺陷评价指引》中的三类缺陷重复定义一遍,这是不太合适的。当然这一方面是因为政府没有出台更详细的规定,另一方面也是兴业银行为了维护自身利益而降低披露信息的质量的结果。所以,一方面政府要出台更详细的规定,使商业银行在披露详细的认定标准时有执行的依据,同时也要引导商业银对内部控制缺陷的认定标准进行披露。另一方面,兴业银行作为上市银行,也应当积极主动履行披露相关信息的责任。
(二)对整个银行业的的建议
1.针对不同行业制定内部控制缺陷评价体系。《企业内部控制评价指引》已经对缺陷的种类和认定程序作出具体规定,《审计指引》还对重大缺陷的迹象作出了系统的概括,但是指引中并没有对三类缺陷的具体认定标准进行详细量化,而是由企业根据上述要求自行确定。这也是导致上市公司和会计师事务所无法较好识别和评价内部控制重大缺陷的重要原因。因此,应当尽快结合不同行业上市公司内部控制的特性,制定内部控制缺陷认定标准体系,明确内部控制各类缺陷尤其是重大缺陷的认定标准和方法,提高配套指引的可操作性。
2加强虚假内部控制报告的惩戒措施。《企业内部控制基本规范》和配套指引只有得到切实执行才能发挥作用,不能只注重上市公司是否披露了内部控制报告,还应进一步关注内部控制报告的质量,因此需要提高虚假报告的责任追究与严惩机制。一方面,证监会及各行业监管部门应定期对上市公司的内部控制自我评价报告和审计报告进行严格监督和检查,既要检查上市公司是否披露了内部控制报告,更要关注内部控制报告的质量问题;另一方面,还应完善法律法规,根据内部控制报告虚假严重程度要求相关责任人承担行政责任、民事责任甚至刑事责任。
3.增强上市公司内部控制信息披露意识。首先必须扭转银行高管的理念;其次,定期对上市银行培训,帮助其建立和完善内控重大缺陷披露制度;最后,正确引导投资者对内部控制缺陷的认识,减少投机行为。
(作者单位:集美大学工商管理学院)
