上市商業銀行內部控制信息披露分析

詹亮

摘 要：內部控制信息披露報告主要是對內部控制有效性和執行情況的檢測，同時也是利益相關者獲得信息的載體。以滬深兩市上市的16家商業銀行近三年的內部控制自我評價報告為樣本進行分析，可以發現上市商業銀行內部控制信息披露存在的問題，并找到相應的解決措施。

關鍵詞：上市商業銀行；內部控制；信息披露；問題及對策

中圖分類號：F83 文獻標志碼：A 文章編號：1673-291X（2016）08-0177-02

一、內部控制信息披露概述

（一）內部控制信息披露的內涵

美國COSO將內部控制定義為由企業董事會、經理以及員工實施的，為保證經營的效率效果、財務報告的可靠性、遵守法律法規等目標的實現而提供合理保證的過程。內部控制5要素包括：（1）控制環境；（2）控制活動；（3）風險評估；（4）信息與溝通；（5）監督。內部控制信息披露報告主要是對內部控制有效性和執行情況的檢測，同時也是利益相關者獲得信息的載體。

（二）內部控制信息披露的制度安排

近年來，我國上市商業銀行內部控制信息披露相關制度法規的建設工作取得了較大進展。2010年證監會發布的《企業內部控制基礎規范》強制要求上市公司每年必須進行內部控制信息披露，同時對上市企業披露內部控制報告的具體內容進行了詳細規定。2011年，為了進一步完善內部控制信息披露制度法規，財政部、證監會、審計署、銀監會以及保監會等五部委聯合頒布了《企業內部控制配套指引》。它融合了國際先進的經驗以及近些年國內研究的成果，為構建完善的企業內控信息披露體系奠定了基礎。這些準則的頒布類似于美國的薩班斯法案，為國內發展內部控制體系保駕護航。

二、上市商業銀行內部控制信息披露分析

（一）上市商業銀行內部控制信息披露的總體狀況

截至2015年12月31日，滬深兩市有上市公司2000多家，而其中上市商業銀行僅有16家。深圳發展銀行是國內上市最早的商業銀行，21世紀初各大銀行也陸續上市。由此可以看出，我國上市商業銀行都很年輕，一套行之有效的內部控制信息披露制度法規就顯得尤為重要。自五部委2010年頒發《企業內部控制配套指引》強制性規定上市企業必須披露內部控制自我評價信息以來，內部控制自我評價報告成為上市商業銀行每年必須披露的報告之一。

經統計分析發現，16家上市商業銀行在近三年都能夠正式獨立發布內部控制自我評價報告和專業機構審核意見。雖然，中國銀行在2012年沒有披露內控自我評價報告，但也披露了等同內控自我評價的內控報告，并披露了專業機構的審計意見。

（二）上市商業內部控制自我評價報告具體內容分析

本文以滬深兩市16家上市商業銀行為樣本，選取其2012—2014年三年期間披露的內控自我評價報告合計48份進行分析。本文對樣本公司披露的報告內容進行比較，披露的具體內容（如表1）。

1.責任主體、評價范圍、評價依據、評價真實性聲明等4個方面的披露。國內所有上市商業銀行在近三年的披露中都確切表明內控自我評價報告的責任主體是董事會，董事會對報告真實性負連帶責任。由于上市銀行業務比較固定，其評價范圍和評價依據方面在每年的披露內容中變化不大。

2.五要素也是上市商業銀行的內部控制報告重要披露的內容。從統計分析結果可知，在2013、2014年所有銀行都進行了五要素的披露。從報告中可發現，各大銀行也在不斷地完善五要素內容，從而使內控報告更加符合內控基本規范的要求。

3.內控評價程序和方法的披露。2012、2014年大部分的銀行均披露具體的內控制評價程序和方法，但是在2013年披露的銀行數劇減，僅僅只有6家，未披露的比例高達62.5%。由此可見，2010年4月內部控制評價指引的頒布促使各大銀行開始嘗試披露評價程序和方法，但是效果是非常短暫的。當然，也有一些具體內容披露的頻率得到很大的提升，比如缺陷認證披露數，2012年只有14家銀行詳細披露，2013年以后所有銀行都進行了披露。

4.整改措施的披露。披露數量由2012年的6家發展至到2014年的12家，雖然也得到了很大發展，但還有一部分銀行未曾披露此方面信息。

總體來看，隨著各大銀行對內部控制越來越重視，各上市商業銀行關于內部控制報告的披露內容也越來越詳細。大多數上市商業銀行內部控制報告內容基本上包括責任主體、評價依據、評價范圍、評價程序和方法、缺陷認定、董事會聲明、整改措施等內容。通過對比近三年的內控報告發現，雖然有些披露項目還需進一步的優化，但整體而言，大部分銀行披露的內部控制報告正趨于完善。

三、上市商業銀行內部控制信息披露存在的問題

（一）信息披露不完整，缺乏可比性

報告內容的完整性是內部控制信息披露體系有效性的前提，而2010年《內部控制評價指引》頒布的主要目的也是使內部控制信息披露報告格式統一、內容完整，具有可比性。根據統計分析而知，2013年有31.25%的銀行未披露整改措施，而對于評價程序和方法在2013年披露的銀行數僅僅占所有上市商業銀行的37.5%。此外，各大銀行雖然都披露內部控制五要素，但其內容的詳細程度參差不齊，無可比性。

（二）自我評價報告缺乏實質性內容

目前，上市商業銀行的內部控制自我評價報告主要披露銀行內部控制現狀以及執行效果。因此真實、有效的內部控制信息披露報告不僅可以加強銀行的管理，而且更利于維護相關者的利益。從表2可知，2013年15家銀行披露的內部控制評價報告中都得出了內部控制有效的結論，不存在重大和重要缺陷的結論，只有1家銀行披露了內部控制缺陷。當然，也可能因為每個銀行缺陷認證的標準不同，得到的結論不同。但無法否認的是，上市商業銀行在披露報告的時候，會盡可能避免披露不利于企業的信息，很多內部控制報告流于形式，無實質性內容。

（三）缺陷認證和整改措施缺乏規范性

缺陷認證在內控信息披露報告中占有重要地位，雖然缺陷認證的標準直接決定了內部控制信息披露報告的結論，但目前我國沒有明確的法律法規對此部分進行規定，銀行可以自行認定，從根本上使得內部控制信息披露報告結論缺乏可比性。比如，2013年浦發銀行和寧波銀行把缺陷認證分為財務類和非財務類，在財務類認證中依據利潤收入為基準判斷；2013年建設銀行以合并報表稅前利潤總和為依據認證財務類風險。

四、優化上市商業銀行內部控制信息披露的對策

（一）監管部門加強監督檢查力度

我國是一個以為數不多的機構監督龐大的金融市場的國家。一方面，監管部門需要完善相關制度法規，統一內部控制評價標準，建立一套符合我國資本市場實際情況的上市商業銀行內部控制信息披露體系；另一方面，監管部門應該完善內部控制信息系統，建立有效的內控考核機制。

（二）借鑒國外先進的銀行管理理念

由于我國資本市場的體制不夠完善，我國金融行業在內部控制信息披露方面基礎比較薄弱，因此，上市商業銀行可借鑒國外先進的銀行管理理念加強自身的管理和內控信息披露。在借鑒國外內部控制經驗的同時，也加強了企業內部管理戰略。在借鑒國外先進管理理念方面，我國銀行業協會可以成立國際咨詢委員會，為國內外銀行業往來提供良好的交流環境和便利政策。

（三）規范缺陷認證及改進措施的披露

目前，在我國由上市商業銀行自行制定內部控制缺陷認證的標準。對該部分的認證直接決定了內控報告結論以及所采取的整改措施。因此，統一缺陷認證標準，在一定程度上能提高銀行業內部控制信息披露報告的可比性，提高經營者和管理者建設內部控制的積極性以及披露內部控制信息的自愿性，提升內部控制報告的嚴謹性與有效性。所以，規范缺陷認證是解決披露內部控制信息問題有效途徑。我們可以從以下兩方面規范缺陷認證。一方面，政府及有關部門應該根據市場調研細化缺陷認證，把缺陷認證分為財務類和非財務類，對于財務類項目進行量化處理，對于非財務類項目采取業務化質變分析。另一方面，提高外界對內部控制報告結果的關注。應該詳細披露內部控制存在的缺陷以及整改措施所取得效果，還要詳細披露內部控制固有的風險。只有不斷規范缺陷認證以及改進措施的披露，上市商業銀行內部控制信息披露才能逐步走向完善。