上市商业银行内部控制自我评价报告分析

上市商业银行内部控制自我评价报告分析

作者：刘中华

来源：《会计之友》2013年第24期

【摘 要】 商业银行由于其特殊的行业性特点，具有较高的风险性，这就决定了必须要有完善而健全的内部控制与之相对应。完善内部控制评价体系对于商业银行加强银行体系风险管理、提高管理效率、完善内部审计程序等有着积极的作用。考虑到银行业的监管特殊性和信息披露可获得性，文章选取我国上市商业银行为研究对象，通过对2009—2011年间内部控制自我评价报告进行统计分析，找出内部控制评价进程中存在的问题及缺陷，并据此提出相应的建议。

【关键词】 上市银行； 内部控制； 自我评价； 信息披露 一、引言

内部控制自我评价是目前我国上市公司的法定责任，按规定实施内部控制自我评价是上市公司审计监管的必然要求，同时也是有效防范风险，提高经营管理效率的重要方法。 中国人民银行早在2002年4月就颁布了《商业银行内部控制指引》，2008年6月，财政部同证监会、审计署、银监会和保监会五部门联合发布了《企业内部控制基本规范》，2010年4月，五部委又联合发布了《企业内部控制配套指引》。该配套指引包括《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，至此，我国基本建立了内部控制制度体系，而内部控制信息披露也由自愿性披露变为了强制性披露。这一规范明确要求上市公司应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。

良好的内部控制信息披露不仅提升财务报告决策的有用性，而且还影响利益相关者的利益。商业银行内部控制制度的基本建立是否意味着上市商业银行具有高质量的内部控制信息披露呢？本文选取了16家上市银行2009—2011年内部控制信息披露情况进行分析，通过比较《内部控制评价指引》出台前后上市商业银行实施内部控制自我评价的总体状况、具体内容、评价依据等方面的变化，来检验相关法律法规的实施效果和力度，找出上市商业银行内部控制信息披露存在的问题，并提出相应的改进建议。 二、我国上市商业银行内部控制自我评价现状分析 （一）报告披露的总体状况

截至目前，我国共有16家上市商业银行，涵盖了银行的主要类别，包括5家国有商业银行（工、农、建、中、交）、3家城市商业银行（北京、南京、宁波）和8家股份制银行（民

龙源期刊网 http://www.qikan.com.cn

生、浦发、平安（深发）、招商、兴业、华夏、中信、光大）。近三年上市商业银行内部控制自我评价的总体披露情况如表1。

2009年我国上市商业银行共有14家，均披露了相关内部控制自我评价信息，但其中只有2家（深发和宁波）正式发布了内部控制自我评价报告；出具外部审核意见和内部审核意见的银行数量也仅为2家和1家，其他12家仅在年报中简要说明了内部控制自我评价信息。2010年和2011年，16家上市商业银行均正式发布了内部控制自我评价报告，大多请专业机构进行了审核并出具评价意见报告。但出具监事会或独立董事会意见的银行仍然较少。由此看出，在《内部控制评价指引出台》之前，我国上市商业银行自愿披露内部控制评价报告的积极性普遍不高。从2010年开始，正式发布内部控制自我评价报告已成为一种必然趋势。披露状态得到极大改善，但仍然缺乏要求监事会或独立董事出具相关意见的意识。 （二）报告内容的具体分析

2009年有14家上市商业银行，2010年、2011年分别有16家上市商业银行，正式公布了内部控制自我评价报告共34份，具体内容如表2。

在责任主体方面，2009年正式发布内部控制自我评价报告的银行仅为深圳发展银行和宁波银行。宁波银行表述是将董事会作为决策层，并没有明确说明内部控制自我评价的责任主体，深发展的报告中也没有相关责任主体的表述内容。而2010年有13家银行明确说明了以董事会作为内部控制评价的责任主体，直至2011年，16家上市银行均明确表明了以董事会为责任主体。

在评价范围和评价依据方面，2009年明确披露内部控制评价范围和依据的银行分别有10家和13家，2010年增加到14家披露了内部控制评价范围、16家全部披露了内部控制评价依据，到2011年15家披露了内部控制评价范围、16家全部披露内部控制评价依据。 在评价程序和方法方面，2009年各大银行均未披露具体的内部控制自我评价程序和方法，2010年也仅有1家银行对此进行了披露，至2011年，披露的银行增加到13家，占比为81.3%，说明在2010年内部控制评价指引颁布之后，各大银行开始尝试采用具体的评价程序和方法，并对此进行了披露，但仍有部分银行缺乏对此的披露。

《企业内部控制基本规范》及配套指引明确指出各企业的内部控制应当包括五大要素：（1）内部环境；（2）风险评估；（3）控制活动；（4）信息与沟通；（5）内部监督。上市商业银行的内部控制自我评价也理应按这五个基本要素进行评价。2011年具体披露了五要素的银行数由2010年的8家增加到了11家，各大银行虽然在内部控制自我评价具体内容上越来越趋向于统一按照基本规范的要求，但仍有部分银行没有对内部控制五要素进行披露。 在董事会对内部控制真实性声明方面，2009年仅有10家银行披露了相关信息，2010年有14家银行对董事会声明作了相应表述，2011年所有上市银行均发表董事会声明。

龙源期刊网 http://www.qikan.com.cn

在缺陷认定方面，2009年各银行均未详细披露各项缺陷及认定情况，2010年仅有2家披露了缺陷认定情况，2011年上升到13家，仍有部分银行未对其具体缺陷认定情况进行说明。 首先，从总体上来看，自2010年内部控制评价指引出台之后，各上市银行对内部控制自我评价报告的披露内容更加完善、详细和具体，并表现出越来越统一的趋势。从近三年的自我评价报告对比可以发现，2009年和2010年各银行发布的内部控制自我评价报告内容不尽相同，有的对五要素进行了详尽的披露，而有的根本没有提及。至2011年，各大银行出具的报告内容表现出逐渐统一的趋势，大部分报告中完整地包括了责任主体、评价范围、评价依据、评价程序及方法、董事会声明、缺陷认定等。

其次，各银行内部控制自我评价报告的格式越来越规范。在2010年披露的16家报告中，仅有4家报告的格式具有可比性；在2011年披露的16家报告中，仅有8家报告是严格按照《内部控制评价指引》的要求来披露相关评价信息，即分别按照董事会声明、评价工作的总体情况、评价范围、程序和方法、内部控制措施、缺陷及认定、整改情况、有效性认定这8个部分进行说明，并附有相关签章及日期。

此外，16家银行披露的内部控制评价报告中无一例外都得出了内部控制设计和运行有效的结论，虽然有少数银行提到存在一些缺陷，但由于认为构成实质影响而没有详细披露。可以看出，上市商业银行在自愿披露内部控制评价信息时，都会尽可能选择对其有利的信息进行披露，且大多内部控制评价报告流于形式，缺乏实质性内容。 （三）内部控制评价依据的比较

如何去判断一个企业的内部控制是否有效，在关键控制点是否存在重大风险或者控制缺陷，是内部控制自我评价依据应该考虑的事情。如何合理、准确、全面地去判断一个企业的内部控制是否健全有效，需要一个恰当的依据。目前我国上市商业银行进行内部控制自我评价依据的标准众多。如图1所示。

其中：A表示《内部控制基本规范》；B表示《商业银行内部控制评价指引》；C表示《内部控制评价指引》；D表示《上交所、深交所内部控制指引》；E表示其他相关法规。 从图1看出，各银行的内部控制自评依据众多，导致内部控制的自我评价工作以及出具的报告更是千差万别，缺乏统一的标准。这样，一方面会使得上市银行出具的内部控制自我评价报告缺乏横向可比性；另一方面，不同评价依据对企业内部控制的关键控制点认定会有所区别，由此可能导致同一个企业的内部控制运用不同的评价依据会产生不同的评价结论。在统计中甚至还发现个别银行没有说明其具体的评价依据，这也影响了其内控自评报告的可信赖性。 三、存在问题的成因分析

通过对近三年我国上市商业银行发布的内部控制自我评价报告的比较分析可以发现，2010年作为一个分水岭，在此之前，大部分银行并没有独立公布内部控制自我评价报告，而是作为

龙源期刊网 http://www.qikan.com.cn

年度财务报告的一部分进行披露，且大部分内部控制自评报告名称不一致，缺乏较为统一的格式和规范，评价内容较为单一，各银行均未披露自评工作的程序和方法，也没有对相应的缺陷认定进行描述。此外，评价工作依据的法律法规众多，缺乏较为统一的标准。 （一）上市商业银行自愿如实披露评价信息的动力不足

一方面，根据《评价指引》的规定，上市商业银行应该积极主动出具符合规定的内部控制评价报告，并如实描述存在的相关内部控制缺陷，同时提出切实可行的整改措施，但是从上面的近三年各银行出具的内部控制自我评价报告来看，当前各银行都尽可能选择对其有利的信息进行披露，普遍得出了其内部控制设计和运行有效的结论，报告明显缺乏实质性价值。同时，其提出的整改措施大多数情况下只是为了满足证监会和证券交易所的要求，流于形式，缺乏实际执行效用。另一方面，在评价内容上，很多银行都只是将前一年的报告进行简单更新，明显表现出比披露财务信息更加缺乏自愿性和主动性。

（二）各上市商业银行间内部控制自我评价信息缺乏可比性 1.评价依据不统一

内部控制评价依据是判断内部控制是否存在不足和缺陷的标准，评价依据的选择对自我评价报告的结论的形成具有直接影响。从近三年各上市银行的自评报告情况来看，其对评价的法律依据的选择仍然存在很大差异。 2.评价内容不统一

颁布《内部控制评价指引》的目的之一就是要建立一个统一的标准，便于各企业统一实施内部控制自我评价工作，为各利益相关者作出决策提供准确及时的内部控制信息。但通过上面分析内容来看，虽然《内部控制评价指引》出台已有三年，但各银行的评价内容仍然表现出明显的差异。2011年未披露评价程序和方法的银行占比为18.8%，未按照五要素标准进行披露的银行占比为31.25%，未披露相应整改措施的银行比例更是高达75%。这种披露状况明显与《评价指引》的规定相去甚远，导致当前银行间的内部控制自我评价信息缺乏可比性，利益相关者很难据此判断其内部控制的真实状况。 3.报告格式不规范

目前我国上市商业银行内部控制自我评价报告的随意性比较大，报告名称不统一，披露形式不一致，有的详细按照各点分类说明，有的简略地以几段话进行概括说明，既有参照《评价指引》的要求进行全面披露，也有按照自己特有的评价体系进行说明。各银行内部控制自我评价报告格式的混乱必然加剧了内部信息可比性的缺乏。 （三）内部控制自我评价的有效性缺乏实质性关注

龙源期刊网 http://www.qikan.com.cn

《评价指引》要求各企业及时准确地对内部控制情况进行评价的最终目的一方面是为了根据已发现的不足和缺陷持续改进，提高企业经营管理效率；另一方面为外部利益相关者投资决策等提供及时可靠的依据。通过以上的比较分析可以发现，上市银行内部控制自我评价的有效性即评价结果的利用效率缺乏内外部的持续关注。

从内部来看，各银行普遍选择迎合监管部门形式上的披露形式为主，极少或不披露其缺陷，且纵观各银行的整改措施基本上都缺乏实践意义的建议，导致内部控制自我评价与整改措施脱节，缺乏整改与完善的长效机制，大大降低了内部控制自我评价的有效性。2011年仅有3家银行在其内部控制评价报告中披露如何有效利用内部控制评价过程与评价结果，因而其内部管理层首先对内部控制自我评价的效果缺乏实质上的关注。从外部市场来看，包括机构投资者、个人投资者、债权人等在内的各方利益相关者由于受其自身知识结构与周围大环境的影响，对内部控制评价信息是否真实有效的需求远远小于对财务指标业绩的需求。 （四）对上市商业银行内部控制的内外部监管不够充分

从银行内部来说，监事会及其下设机构是对内部控制及其信息披露负有监督责任的职能部门，而在当前情况下，监事会实际上往往只是简单地评价了内部控制的三性，2011年只有1家银行单独出具了监事会和独立董事会对内部控制评价的意见，监事会和独立董事的内部监督职能未能充分发挥；从外部市场监管来说，强有力的外部监管力度可以在很大程度上保证公司所披露信息的真实性，促使公司提高所披露的内部控制信息质量，但在我国当前状况下，各银行的内部控制自我评价工作流于形式的背后充分反映了市场监管中存在的问题。到目前为止，关于违反内部控制信息规定行为的处理各监管部门也没有给予明确的规定。 四、相应的对策及建议

内部控制自我评价在我国还处于起步阶段，企业对其运用还处于探索时期，加之内部控制自我评价存在固有缺陷，企业在运用过程中暴露出很多问题。根据前文第三部分对现存问题的分析，以及第四部分实证检验中对内部控制自我评价报告有效性水平影响因素的回归分析，本文提出以下建议：

（一）完善相关制度规定，统一内部控制评价标准

涉及上市商业银行内部控制评价的规定很多，诸如《商业银行内部控制指引》、《内部控制基本规范》、《内部控制评价指引》、《上交所内部控制指引》和《深交所内部控制指引》等等，但对内部控制各个方面的规定都不尽一致。这种不一致一方面会造成上市公司选择上的困扰；另一方面上市公司可能会根据其自身的情况，选择对自己有利的规定来评价披露内部控制实施情况，而规避一些不利的披露规定，不利于投资者对企业内部控制状况真实全面地了解，而且，这种多选择的情况必然导致企业出具的内部控制自我评价报告形式与内容也各不相同，缺乏可比性。利益相关者尤其是其中的投资者将无法判定企业内部控制质量的真实性，从

龙源期刊网 http://www.qikan.com.cn

而不利于投资的有效决策。因此，应该进一步完善各项法规制度规定，统一评价标准，建立一套适合我国资本市场的内部控制信息披露指标评价体系。 （二）完善内部控制信息系统，建立有效的内控考核机制

为了内部控制信息披露各项工作的顺利开展，各上市银行应尽快完善内部控制信息系统。内部控制是一系列的过程，贯穿了银行业务的整个过程，随着业务的日益复杂化，加上信息技术的飞速发展，内部控制的目标和范围都发生了巨大的变化，上市银行要充分利用现代化的信息处理程序，加强信息的收集、加工和处理过程，使银行的各项业务都能得到信息系统的充分支持。同时，银行还要建立一套合理有效的激励考核机制，严格考核，奖惩分明，为内控能有效地实施建立一个良好的环境。

（三）明确和加强董事会、监事会对内部控制自我评价报告实质上的责任

从公司治理结构来看，董事会是决策和评价机构，经理层是执行机构，监事会是监督机构，核心是董事会、经理层和监事会的定位、分工和职权划分问题。尽管在《上市公司内部控制评价指引》中规定公司监事会和独立董事对内部控制自我评价报告发表意见，且董事会及其全体成员是企业内部控制的责任主体，对内部控制制度的建立、实施、监督完善负责，应保证内部控制自我评价报告披露信息的真实完整。长期以来，上市商业银行在实施内部控制自我评价的过程中，对内部控制责任主体的概念实际上比较模糊，呈现出各种不同的责任主体。此外，董事会、监事会的勤勉程度也没有像预期理论那样与内部控制自我评价质量呈正相关，这些都表明当前我国上市商业银行的董事会、监事会或类似机构对内部控制自我评价质量并没有负担起应有的实质上的责任。

（四）规范缺陷及改进措施的披露，加强信息与沟通机制建设

信息与沟通是准确、及时、完整地收集与企业相关的经营管理信息，在企业各级层次之间进行有效传递的过程，是良好内部控制的重要条件。信息与沟通主要包括信息的收集机制以及在企业内部与企业外部有关方面的沟通机制等。一个良好的信息系统可以帮助实现准确流畅的信息与沟通，提高内部控制的效率和效果。企业不仅要建立向下的沟通渠道，还应该有向上的、横向的以及对外界的信息沟通渠道。

内部控制缺陷信息，往往是上市公司独自掌握而投资者不了解的信息，并且这部分信息投资者很难从其他途径获得，主要依赖于上市公司的公开披露，对于我国上市商业银行来说，披露真实完整的内部控制缺陷及整改信息，有助于投资者和其他利益相关者作出正确决策，稳定和提升投资者的信心，应当受到高度重视。

具体来说，一方面，银行内部应该提高对内部控制自我评价结果实质上的关注，除了披露内部控制缺陷及相应整改意见外，还应提及其固有缺陷，提升报告的严谨性与有效性；另一方面，进一步完善相关法律法规，继续细化内部控制缺陷分级的具体标准，同时应尽量进行定量

龙源期刊网 http://www.qikan.com.cn

衡量。只有将强制性的外部监管与自身的重视双向结合，建立稳固的内部控制整改与完善的长效机制，才能真正达到内部控制自我评价的实施目的。 【参考文献】

[1] COSO.Internal Control-Integrated Framework[S].1992. [2] COSO.Enterprise Risk Management-Integrated Frame -work[S].2004.

[3] Jeffrey Doyle，Weili Ge，Sarah McVay.Determinant of weakness on internal control over financial reporting[J].Working Paper，SSRN，2006.

[4] Jayanthi Krishnan，Audit Committee Quality financial expertise and Internal ontrol：An mpirical Analysis[J]. The Accounting Review，2008：649-675.

[5] 朱荣恩，应唯，袁敏.美国财务报告内部控制评价的发展对我国的启示[J].会计研究，2003（8）：48-53.

[6] 林朝华，唐予华.CSA：内部控制评价的新观念和新方法[J].上海会计，2003（l）. [7] 陈自力，李尊卫.离差最大化在商业银行内部控制评价中的应用[J].重庆大学学报，2005（10）.

[8] 王立勇.内部控制系统评价的定量分析模型[J].财经研究，2004（9）.

[9] 李军训，陈静.上市公司内部控制评价指标体系的构建及应用[J].西安财经学院学报，2010（2）：55-56.

[10] 财政部，证监会，审计署，银监会，保监会.企业内部控制基本规范[S].2008. [11] 陈汉文，张宜霞.企业内部控制的有效性及其评价方法[J].审计研究，2008（3）. [12] 杨有红，陈凌云.2007年沪市公司内部控制的自我评价研究——数据分析与政策建议[J].会计研究，2009（6）.

[13] 刘逢春.我国上市银行内部控制信息披露研究——以2007—2009年上市公司年报为研究对象[D].东北财经大学，2010.

龙源期刊网 http://www.qikan.com.cn

龙源期刊网 http://www.qikan.com.cn