內部控制重大缺陷是市值損失的導火索嗎
——基于民生銀行的研究

吳先聰（副教授），管 巍

一、引言

規范的內部控制是企業持續經營的關鍵。2008年6月28日，財政部同證監會、審計署等部門制定了《企業內部控制基本規范》（簡稱《基本規范》），該《基本規范》借鑒了COSO委員會制定的國際內部控制框架，并結合我國國情，要求企業建立與實施的內部控制應當包括下列五個要素：內部控制環境、風險評估、控制活動、信息與溝通和內部監督。內部控制體系中的任何一個要素如果存在設計缺陷或運行缺陷，都可能給企業造成損失，根據內部控制缺陷帶來損失的嚴重程度可以將其分為一般缺陷、重要缺陷和重大缺陷。

商業銀行主要是以存貸款業務、多種金融負債籌集資金、多種金融資產為經營對象，以營利為主要目的的金融服務機構。但近年來我國不斷出現商業銀行違規操作事件，不僅導致了公眾的錢財損失，還引發了銀行市值的大量蒸發，其本質是商業銀行沒有完善內部控制體系導致經營過程中出現紕漏。

近年來，我國商業銀行營業網點的擴張速度較快（例如，2012～2016年間，民生銀行網點數量由702個擴張至1119個），金融業務的復雜性和下屬分行所在區域的差異性，導致總行不能全面有效地對各下屬部門的日常運營進行監管，快速增長的網點數量給商業銀行內部控制的有效執行帶來了巨大的挑戰。商業銀行對下屬部門監管不善導致其違規的事件屢屢發生，僅2017年6月各地區銀監局累計公布的行政處罰就高達149項，平均每日約開出了5張罰單。

針對我國所處的經濟時期，以及金融環境、銀行業務結構和風險特征出現的新變化，銀監會于2017年頒布了《關于切實彌補監管短板提升監管效能的通知》（銀監發［2017］7號）。該文件分別從監管制度假設、風險源頭遏制、信息披露監管、現場和非現場監管、監管處罰、責任追究六方面強調了加強銀行內部監管的重要性。對于上市銀行而言，由內部控制缺陷引發的經營問題披露后，股東會對銀行未來的經營發展失去信心，懷疑銀行股價所含財務信息的質量，為了規避風險甚至會拋售持有的股票，從而引發股價大幅下跌，進而導致銀行市值發生嚴重損失，同時會使銀行的信譽在業界受損，最終會影響銀行未來的發展。

近年來民生銀行的業務也發展迅速，在其2015年以及2016年年報中披露的非利息凈收入均呈上升趨勢，且畢馬威會計師事務所均出具了標準無保留意見的審計報告。但2017年4月13日民生銀行被報道出的“80后女行長30億假理財”事件使得民生銀行被推上了風口浪尖，銀行內部一系列的內部控制問題引起了監管部門的關注。因此，本文選取民生銀行作為研究樣本，通過對民生銀行2015年1月至2017年5月被報道的違規事件進行分析，考察商業銀行因內部控制重大缺陷引發的違規事件對其市值的影響，這可以從一定程度上反映出新經濟背景下我國商業銀行發展所面臨的內部監管難題，為我國商業銀行發展提供參考，在理論與實踐方面均具有研究意義。

本文的貢獻在于：一是選取風險隱患較大的商業銀行作為研究對象。以民生銀行近年來的違規事件為研究案例，深入挖掘內部控制缺陷與市值損失的關系。以往的研究大多是從宏觀的角度研究企業內部控制，例如，內部控制缺陷披露的經濟后果分析[1]。二是選取能夠代表內部控制質量的內部控制重大缺陷（Internal Control Material Weaknesses，簡稱“ICMWs”）作為切入點。以往研究大多集中于內部控制缺陷的認定[2]，把內部控制重大缺陷獨立出來研究的較少。三是從銀行市值的角度分析內部控制重大缺陷引發的后果。以往的研究主要研究了內部控制缺陷對投資效率的影響[3]、內部控制缺陷對審計收費的影響[4]等。因此，本文豐富了對于內部控制缺陷的研究內容，同時為考察內部控制重大缺陷對于銀行的影響提供了新思路。

二、國內外文獻綜述

（一）內部控制重大缺陷

組織內部及外部相關部門根據內部控制五要素評價組織內部控制體系的有效性，如果發現內部控制設計或運行存在差異，則應判斷其是否屬于內部控制缺陷并評價其嚴重程度。但國內外還沒有統一的標準用來評判內部控制缺陷的嚴重程度。王惠芳[5]認為應從會計業務層面和公司層面對內部控制缺陷進行劃分，對于一般、重要以及重大缺陷采用定性與定量結合的方式進行評判。通過對在美國上市的公司的財務報告進行研究，陳武朝[6]發現許多重大缺陷是根據內部控制審計準則指出的可能存在重大缺陷的跡象來判定的，其他重大缺陷的認定則依據定義，并且披露的重大缺陷幾乎涉及內部控制五要素的所有內容。經營規范的公司為了避免風險也會在我國內部控制基本規范的基礎上自行設立內部控制缺陷標準。2012年財政部發布《關于印發企業內部控制規范體系實施中相關問題解釋第1號的通知》（財會［2012］3號），要求企業從定性與定量的角度綜合考慮，確立適合本企業的內部控制重大缺陷、重要缺陷及一般缺陷的認定標準。董事會作為監督管理層日常經營行為的組織機構，董事會監督職能越強，企業制定的財務報告內部控制缺陷定量標準越嚴格[7]。

有關重大缺陷的披露情況，Yazawa[8]以2009～2012年日本上市公司為樣本，研究發現公司管理層任期越長、外部董事越少、管理層持股比例越高的上市公司越可能隱瞞內部控制重大缺陷。由此可知，管理層考慮到自身利益有動機對存在的內部控制重大缺陷進行隱瞞。同時，企業的外部投資者通常會在對公司進行綜合評價后做出投資決策，但與存在賬戶層面的內部控制重大缺陷相比，投資者對存在公司層面重大缺陷情況的市盈率估計和投資吸引力評價更低[9]，說明公司層面重大缺陷存在的潛在風險更大，不可控性更強。因此，考慮到披露重大缺陷對企業內外部的影響，企業通常缺乏披露重大缺陷的動機。

此外，Kim et al.[10]研究發現，在SOX法案實施后，披露內部控制重大缺陷的企業貸款利差高于未披露內部控制重大缺陷的企業約28個基點，同時銀行也會對存在內部控制重大缺陷的企業實施更嚴格的非價格條款。雖然公司傾向于隱瞞內部控制重大缺陷，但是缺陷最終會影響企業的經營業績，因此企業應更關注重大缺陷的修復。審計委員會作為履行企業內部監督職能的部門，在完善企業內部控制體系中具有至關重要的作用。Goh[11]研究發現，企業具有較大規模、獨立性較高的審計委員會且成員具有較豐富的財務專業知識背景時，更有能力在規定的時間內修復缺陷。He、Thornton[12]則發現重大缺陷披露后并不會降低投資者盈余感知質量，但當投資者收到缺陷修復后的審計報告時投資者盈余感知質量會提高。

（二）商業銀行內部控制重大缺陷

商業銀行資金流動性強、業務繁雜，雖然銀行內部都依據相關法規建立了內部控制體系以監督日常運營情況，但是其可靠性不能得到保證。由2004～2013年間西班牙上市銀行暴露出的嚴重違約事件可以看出，內部控制缺陷的隱藏是內部控制體系無效的主要因素[13]。內部控制體系無效主要體現在對操作人員的控制上。近年來報道的商業銀行詐騙案大多與內部操作人員有關，這是因為內部員工熟悉銀行的操作流程，進而可以避開監管體制謀取私利[14]，因此內部人員的無效監管是銀行存在的一項重大缺陷。

針對缺陷的不同成因，國內外學者給出了相應的建議。針對內部控制體系的無效性，Panova[15]指出，應根據內部控制服務的功能要求分配專家以達到風險監控要求，同時董事會下屬的審計委員會應在銀行內部控制體系中有效地履行職能。因內部人員違規操作多與銀行內部信息系統功能不完善有關，銀行內部應設置具有金融背景的審計專家和IT人才，定期審查和調試系統，保證內部人員的操作權限合理規范[16]。

（三）內部控制重大缺陷對市值的影響

市值是指一家上市公司在證券市場上發行的總股數乘以股票價格的總量，因此一個公司的市值與其股票價格和總股數密切相關。Koester et al.[17]研究發現，在企業披露出與稅收相關的內部控制重大缺陷后，股權和未確認稅收收益的市場價值之間的正相關關系會減弱。缺陷披露后也會引發股票價格的下降[18]。普華永道2008年披露的數據顯示，在內部控制審計中被出具否定意見的公司總體股價下跌了5%左右，說明內部控制缺陷會影響投資者的投資決策。Rezee et al.[19]研究發現，SOX法案在2002年實施后，延遲遞交內部控制報告的公司與其股票收益率呈負相關關系，在具有較低的資產收益率、較高的銷售增長率并且沒有披露內部控制缺陷的公司，其股票價格下降得更加明顯。因此，根據信號傳遞理論可知，公司存在內部控制重大缺陷會減弱投資者對企業業績增長的信心，使得投資者拋售股票進而降低上市公司的市值。

（四）文獻述評

綜上所述，本文認為重大缺陷是指一個或多個控制缺陷的組合，可能嚴重影響整體內部控制的有效性，進而導致企業無法及時防范或發現嚴重偏離整體控制目標的情形。

目前已有研究討論了內部控制重大缺陷的界定，分析了內部控制重大缺陷產生的原因、重大缺陷的披露情況以及披露后對公司的影響。但是已有文獻均是從宏觀層面探討一般企業內部控制重大缺陷的影響，并沒有對行業進行具體細分研究，尤其是金融行業與一般企業在業務和財務處理方面差異較大，內部控制重大缺陷產生的原因就會不同，產生的后果的影響程度也會存在很大差異。因此，本文用案例研究方法，深入銀行內部控制要素的設計和運行，探討銀行內部控制重大缺陷以及重大缺陷是否會給銀行帶來市值損失。

三、商業銀行內部控制重大缺陷的成因及后果

Defond et al.[20]研究發現，企業擁有的分公司越多，說明其業務越復雜，內部存在重大缺陷的可能性越大。商業銀行作為經營資金的金融機構，必須在各地成立分行和支行以提高資金的融通和交易的便利性，網點的增加提高了商業銀行內部控制體系的設立與執行的難度，導致商業銀行沒有形成有效的內部控制監督機制，進而形成重大缺陷。例如，針對2017年銀監會披露的行政處罰，本文列出部分銀行的違規記錄，具體情況如表1所示。

表1 商業銀行的違規記錄

由表1中的信息可知，目前商業銀行發生的違規事件主要源于內部控制環境較差、風險評估低效和控制力薄弱，這是因為：一方面，沒有建立有效的職責分工和制衡機制，導致內部控制活動執行的基礎薄弱；另一方面，針對大量貸款業務以及票據承兌、貼現業務的違規操作，銀行沒有設計好管理者的權限，導致內部人員有機會利用特權謀取利益。此外，由于銀行的行業特殊性，業務的開展以及內部信息處理均通過信息系統操作，但對信息系統的依賴也加大了銀行的信息系統風險。例如：巴林銀行內部操作員利用系統漏洞違規操作，導致銀行市值過度蒸發最終破產；法國興業銀行內部交易員“沖破”內部風險監控系統進而違規操作，導致銀行市值損失49億歐元。因此，本文主要從內部控制五要素中的內部控制環境、風險評估、控制活動以及信息系統安全問題角度出發進行分析，討論商業銀行內部控制重大缺陷的成因。

（一）商業銀行內部控制缺陷的成因

商業銀行集團下屬分行分布范圍廣、組織結構層級較多，加之金融業務紛繁冗雜，導致銀行設置的內部治理結構不能有效滿足治理需求。同時，為了激勵各下屬銀行積極發展業務，股東往往賦予管理人員較高的權力，導致管理層凌駕于內部控制之上，降低了內部控制效率。

1.內部控制環境較差。

（1）組織結構設置不合理。目前，各大商業銀行都已根據銀監會公布的《內部控制指引》規定的要求建立了相應的內部控制體系，但在實際經營過程中內部控制執行效率卻較低。首先，各商業銀行總行均在董事會下設立審計委員會，監督內部控制的有效實施和自我評價情況，但審計委員會成員主要由非執行董事組成，而非執行董事是否能夠有效發揮職能，學者們的觀點并不一致。此外，非執行董事在權力和關系都比較集中的商業銀行中話語權較弱，對于銀行實際的運營情況了解不全面。因此，審計委員會雖然提高了審計工作的獨立性，但在一定程度上可能降低了審計效率。其次，基層內部審計機構獨立性較差、話語權較弱。商業銀行各分行主要通過風險管理部執行內部控制職能，然而風險管理部一般是隸屬于行長等高管層的下屬部門，由權力象征監督能力的原則可知，風險管理部對于基層高管的監督效力較差，銀行基層還沒有形成縱橫交錯的監督機制。最后，銀行下屬部門之間的職責界限不清晰，部門內部崗位的職責不規范，各支行常常出現前后臺業務分離以及部門內管理人員和操作人員兼職的情況，削弱了內部控制監督職能。

（2）部分員工的職業道德素質較低。由于銀行對于市場經濟影響較大，而我國商業銀行的國有股權相對集中，其目的是穩定市場經濟的可持續發展，因此商業銀行的高管多數是由政府直接任命，且部分高管具有較強的政治關系。從2001年中國銀行行長王雪冰涉嫌洗黑錢和違規貸款，到2012年多家銀行高管相繼被調查，銀行高管的違規操作開始引起人們的關注。銀行高管作為股東的代理人，在自身利益沒有得到滿足時有動機通過侵害中小股東利益謀取私利。由于中小股東對于銀行高管的監督成本較高，因此其缺乏監督動力和能力。此外，由于銀行大多以存貸款業務數額進行業績考核，因此基層員工為了獲得獎勵有動機違背職業道德，騙取公眾錢財以及發放不良貸款，并利用職權之便隱瞞違規操作記錄。Levine et al.[21]指出，銀行可將其資產的風險成分迅速轉移至非金融行業，并且輕易地隱藏問題，因而金融機構過度的風險承擔不僅會影響債權人，而且會影響存款人、納稅人乃至整個金融體系。因此，缺乏對銀行內部人員的有效監督是商業銀行存在的內部控制重大缺陷之一。

2.商業銀行信息系統安全問題。信息系統本身固有的風險在加大，同時銀行作為信息化技術與產業相對密集的行業對于系統風險的防范要求更高[22]。目前，各大銀行都已經實現了數據的集中管理以及賬務與業務的同步記錄，但同時也加大了銀行對于網絡系統的依賴。首先，各銀行內部實現了網絡化統一，實現了所有客戶賬戶信息的共享，包括個人身份、資金往來、資金存儲量等私人信息；其次，銀行日常業務（包括資金的籌集與發放）均通過后臺系統同步記錄；最后，對于商業銀行的運營風險，通過系統統計的各項數據進行評估與監控。因此，相對于其他行業，銀行對于信息系統的依賴度更高，系統安全問題給銀行帶來損失的可能性更大。

但是由于信息系統軟件工具的特殊性，系統設計完成后需要不斷完善來滿足用戶的需求，已經設計好的系統也可能存在漏洞，因此作為了解系統操作流程的內部人員有機會利用系統的漏洞進行違規操作進而產生操作風險。而且信息系統管理作為銀行內部管理的一部分，同樣需要內部審計人員進行系統合規性審計，但目前同時具備審計專長和計算機專長的人才較少，審計師可能無法完全識別系統存在的缺陷。普華永道的數據顯示，信息安全平均成本和數據保護的漏洞事件在2015年增加了兩倍，對孟加拉中央銀行、泰國國有政府銀行ATM的攻擊都顯示出罪犯的專業性和有組織性。此外，近日報道的勒索病毒也對各大機構的信息系統造成了嚴重損失，所以信息系統漏洞是銀行內部控制中存在的重大缺陷。

3.風險評估與控制活動問題。近年來由于商業銀行之間的競爭加劇，各大銀行積極拓展新業務以吸引更多的資金投入，導致商業銀行對于隱藏風險后果的評估與控制的難度加大。《新巴塞爾資本協議》認為操作風險逐漸上升是商業銀行面臨的主要風險。由于商業銀行對風險認識不夠、重視不夠，導致銀行出現重大損失。例如，2018年1月19日，浦發銀行成都分行因向1493個空殼企業授信775億元遭受4.62億元罰款，這說明浦發銀行在授權、查證、核對等過程中缺乏對隱藏風險的控制，在授信過程中沒有采取必要的措施進行復核以管理風險。如果在風險評估過程中沒有準確識別風險或者評估風險發生的可能性和影響程度，會導致銀行不采取控制措施或者采取不當的控制活動，最終導致商業銀行的市值損失。

（二）商業銀行內部控制重大缺陷的后果

根據社會心理學理論可知，人類個體在做出選擇時會對事件本身以及周圍人對事件的態度進行綜合考慮。同時，人們對于風險的感知往往較為敏感，人的大腦會潛意識地放大風險帶來的損失。商業銀行的治理難以觀察，但其股價的波動性與內部治理的成效顯著關聯，內部治理的成效越好，股價的非系統性波動越大[23]，所以當銀行因內部控制問題引發損失時，外部投資者會懷疑銀行內部控制體系的有效性以及銀行披露的信息質量，從而對銀行未來業績的增長持消極態度。為了規避風險，投資者會減持銀行的股票或者清倉，進而引發證券市場股價的下跌。由于上市公司的市值是由其每股股票的市場價格乘以發行的總股數計算得出，加之證券市場投資者并非均是理性投資者，非理性投資者常常會使證券市場出現羊群效應，在商業銀行違規操作造成損失的信息披露后，股民的從眾行為會加劇股價的下跌。因此，銀行的內部控制重大缺陷會引發市值的重大損失，內部控制重大缺陷是新時期商業銀行面臨的巨大挑戰之一。

四、典型案例分析——以民生銀行內部控制重大缺陷引發違規事件為例

（一）違規事件簡介——禁而不止

民生銀行作為國內第一家民間資本籌集設立的商業銀行，目前已發展為資產總額超過5.2萬億元、分支機構近3000家、員工近6萬人的大型商業銀行。銀行業務主要涉及公司業務、投資業務、交易業務、消費信貸、小微金融以及資產管理等方面。為提高運營質量，民生銀行根據證監會以及銀監會的要求，在監事會下設有區域審計中心、審計部，在董事會下設有審計委員會、風險管理委員會，對銀行整體實施內部監管，在行長層級下也設有風險管理、資產監控等內部控制部門。雖然業績呈現上升趨勢，但近年來民生銀行違規事件的報道也逐漸增多。考慮到處罰機關的權威性和影響力以及公眾對于事件的關注度，外部投資者主要根據證券交易所、證監會以及銀監會披露的處罰信息進行投資決策，所以本文主要列舉由上述三類機構披露，并且在百度搜索引擎中事件搜索在當年違規事件中排名靠前的記錄，具體情況如表2所示。

表2 民生銀行違規記錄

2015年8月6日，針對民生加銀基金管理有限公司（簡稱“加銀基金”）在相關基金募集過程中，沒有在招募說明書中向投資者如實披露擬更換基金經理的重要信息，違反了《公開募集證券投資基金運作管理辦法》以及《證券投資基金信息披露管理辦法》的相關規定。2015年12月12日，民生銀行非執行董事郭廣昌存在違規行為，公安機關對其進行立案調查。

2016年4月18日，中國信息安全測評中心披露的報告顯示，加銀基金內部信息系統未設置授權訪問，導致內部人員信息與APP安全存在高危漏洞，違反了《證券期貨業信息安全保障管理辦法》。2016年7月19日，因民生銀行信息披露不完善，上海證券交易所下發《關于中國民生銀行股份有限公司股東增持事項的監管工作函》，要求股東披露增持公司股份的有關事項。

2017年2月22日，針對民生銀行修改公司章程的事件，上海證券交易所對其下發監管工作函，對其明確規定了監管要求。2017年4月13日，民生銀行北京分行航天橋支行行長張穎利用職務之便，通過控制他人賬戶作為資金歸集賬戶，編造虛假理財產品，非法募集客戶資金用于個人支配，涉案金額約16.5億元，違反了《私募投資基金監督管理暫行辦法》。2017年5月22日上海證券交易所指出民生銀行獨立董事數量未達到上市公司要求，其中兩位董事任職年限已超過最長期限六年，同時還未及時披露關聯交易協議生效的先決條件，說明其交易披露不完整，風險提示不充分，違反了《關于在上市公司建立獨立董事制度的指導意見》《上海證券交易所股票上市規則》的規定。

（二）違規原因透析——內部控制缺陷

上述違規事件之所以發生主要是因為以下兩點：一方面是違規事件主體追逐利益的想法構成了違規操作的動機；另一方面是民生銀行內部控制重大缺陷給相關人員提供了違規操作的機會。本文主要從內部控制視角分析銀行的違規機會。目前，民生銀行建立了內部控制體系，設立了監事會、審計委員會、風險管理委員會來監控銀行整體業務的發展，但民生銀行的內部控制仍存在一些缺陷。例如：由于控制環境存在問題，一些分行行長的權力凌駕于內部控制之上以謀取私利；管理層風險意識和風險應對能力不強；信息系統的安全防范沒有滿足業務快速擴張的需要。

1.內部控制環境問題。民生銀行的內部控制環境問題主要源于董事會及分行行長等高級管理人員的價值取向、治理機構之間缺乏相互制約以及治理層和管理層缺乏對內部控制的重視三方面。

其一，民生銀行持有加銀基金60%的股份，是控股方，公司設立之初，民生銀行在上交所公告承諾按照《商業銀行信息披露暫行辦法》做好相關事項的披露工作，但事實并非如此。其2015～2016年加銀基金出現的違規事件主要與信息披露不充分、違規獲取利益有關，說明加銀基金董事會與審計委員會對于活動決策的監督不獨立，導致管理層沒有如實披露決策信息。其二，在北京航天橋支行銷售假理財產品事件中，行長張穎利用控制權將資金在賬戶間進行違規轉移，而根據民生銀行建立的內部控制體系，發現民生銀行往往將基層銀行行長視為內部控制的實施者，忽略了基層銀行行長也是被控制的對象，導致其凌駕于內部控制之上，從而滋生道德風險。其三，未及時披露股東增持的信息、未按規定聘請獨立董事以及運作不規范的問題，說明治理層沒有對內部控制持有正確的態度，未給予足夠的重視。民生銀行董事會沒有依法建立健全內部控制體系并有效實施，監事會對董事會的建立與內部控制的實施沒有進行有效監督。審計委員會主席一般由獨立董事擔任，而民生銀行未按規定聘請獨立董事，降低了內部審計的效率。

由于業務的交融性，上述控制缺陷的組合嚴重影響了民生銀行內部控制的有效性，偏離了整體內部控制的目標，使得企業無法及時防范風險，從而讓違規操作有機可乘，最終導致違規事件的發生。

2.信息系統安全問題。目前多數銀行已完成財務系統的整合，形成業務與財務的統一。加銀基金通過民生銀行吸納的資金進行股票、債券等金融工具的投資，兩者之間資金的流動均需通過信息系統后臺交易。但中國信息安全測評中心評估報告顯示加銀基金存在信息系統漏洞，考慮到業務連接性，說明民生銀行內部也存在潛在的系統安全問題。對于航天橋支行假理財事件，通過銷售假理財產品吸納的巨額資金并沒有在民生銀行的財務系統中顯示，說明行長張穎將資金轉移到了其他賬戶，用于投資房地產、文物以及珠寶等。但銀行相關業務的辦理按規定必須通過銀行柜臺的信息系統操作，說明銀行的系統對于資金的流向監管存在漏洞。張穎通過銀行內部系統控制他人賬戶作為資金歸集賬戶不斷吸納資金，說明民生銀行內部的信息系統缺乏對內部員工操作權限的有效設計或者監控，使得內部人員能夠接觸到客戶的個人信息及賬戶信息，在一定程度上也增加了內部人員尋利的動機。

3.風險評估與控制活動的低效。通過上述事件可知，民生銀行面臨的主要風險是業務操作風險。北京航天橋支行行長張穎利用控制權謀取私利的行為并非首例，根據近幾年各地銀監局的處罰公告可知，民生銀行各地分行因為員工違規操作導致銀行承擔了巨額罰款。這是因為：一方面，管理層對于操作風險不夠重視，沒有準確評估操作風險的后果和可能性；另一方面，對于基層銀行業務操作的控制力度較低。例如，在北京航天橋支行假理財事件發生后，銀行相關發言人承認銀行內部操作管理存在重大缺陷，但民生銀行只是積極調查該事件的緣由，并沒有針對此類事件的相關風險進行細致的調查與評估，采取必要的措施防范潛在風險的發生，導致該事件發生后民生銀行各地分行仍存在違規行為。由于商業銀行業務復雜程度偏高，導致部分人員對于資金流向的操縱權力較大，但民生銀行并沒有建立因釋放權力帶來的潛在風險相關的管理機制，使得業務審查與資金流向監管中對于操作風險的控制力度較弱，進而導致民生銀行近幾年頻繁收到監管部門的罰單。

（三）違規后果分析——市值蒸發

根據上述理論分析可知，商業銀行內部控制重大缺陷為員工違規操作提供了機會。當監管部門披露員工的違規事件并對其進行處罰后，投資者一方面會懷疑銀行財務信息質量的真實性以及股價信息的真實性，另一方面面對監管部門的處罰對股價走勢持消極態度。綜合上述兩方面的原因，股東在內部控制缺陷導致違規事件發生之后，從規避風險的角度出發會大量拋售持有的股票，導致股價大幅下跌進而引發市值損失，因此本文采取事件研究法進行驗證。

1.研究方法。對于上述由內部控制缺陷引發的違規事件，本文根據上海證券交易所、國泰安（CSMAR）數據庫披露的數據選取［-3，3］作為事件窗口期（在窗口期內出現停止交易時如在披露日前則向前延伸，如在披露日后則向后順延），利用事件研究法考察違規事件導致民生銀行股價和市值發生的變化。本文參照Dodd、Warner[24]的做法，采用以下市場模型法計算超額收益：

公式（1）利用估計窗口［-60，-3］的數據，通過OLS回歸方法估算系數αi和βi，并假設在整個事件發生前后參數αi和βi保持不變，將其作為估計預期收益率的參數。其中：Rit是i公司（即民生銀行，后面用Rt代替）第t個交易日的實際收益率；Rmt是市場收益率。本文采用國泰安（CSMAR）數據庫流動市值加權平均市場日回報率作為Rmt，εit是回歸的殘差項。公式（2）用來估計事件期［-3，3］民生銀行第t個交易日的預期收益率E（Rt）。

公式（3）計算事件期［-3，3］民生銀行第t個交易日的超額收益率ARt；公式（4）計算事件期［t1，t2］的累積超額收益率CAR［t1，t2］。

2.研究結果與分析。本文通過SPSS軟件對相關數據進行統計分析，發現民生銀行因違規事件的披露導致股價發生波動，具體情況如表3所示；因市場反應產生的累積超額收益率如表4所示，CAR具體波動情況如圖所示。

表3 違規事件前后股價變化情況 單位：元

表4 違規事件前后累積超額收益率

事件窗口期CAR變化圖

由表3和圖可知，在-3～-1日股價開始出現小幅下降，這可能源于違規事件披露前監管部門會對銀行進行調查，這一舉動向具有外部信息資源優勢的莊家傳遞了信號，在具體消息報道前莊家為了規避風險會小幅度減倉。在0～3日期間股價整體呈現下降趨勢，并且0～1日股價在整個事件窗口期下降幅度最大，這是因為違規事件披露后證實了銀行內部控制存在缺陷，出于對銀行內部控制是否有效以及未來股價浮動的考量，銀行外部投資者會大幅減倉，此時股票價格開始下跌，進而會導致市值發生重大損失。

由上述結果可知，一方面，商業銀行內部控制重大缺陷增加了員工采取機會主義行為的機會，為員工違規操作提供了便利；另一方面，銀行沒有有效控制員工的操作風險，使得違規事件大量發生，而商業銀行違規事件的披露會導致銀行市值在短期內嚴重蒸發。因此，商業銀行內部控制重大缺陷會導致市值大量受損。

五、結論與建議

（一）結論

對于商業銀行而言，其業務涉及范圍廣、資金數額往來巨大、投資交易不確定，常常導致銀行遭受巨額損失。鑒于此，本文以民生銀行為研究案例分析了內部控制重大缺陷的主要成因，發現內部控制環境較差、風險評估和控制活動的低效以及信息系統風險是主要成因。此外，內部控制重大缺陷給違規操作提供了“便利”進而導致了違規事件的發生，而違規事件除了本身存在損失，還會使得銀行的市值大量蒸發。因此，商業銀行內部控制重大缺陷會導致市值發生重大損失。

（二）建議

近年來民生銀行等多家商業銀行多次接到監管部門的罰單，使得各方嚴重懷疑金融機構內部運作的規范性。雖然違規事件發生后銀行均及時承諾會對其進行修正，但由于商業銀行業務極其復雜且對內部進行全面有效監管的難度較大，因此整改措施在執行方面存在很大的難度。而且由于基層部門業務、資金相互交錯，導致內部控制重大缺陷的修復措施存在延遲生效的可能，進而促使在違規事件發生后的整改期間又出現新的違規情況。同時，金融機構對于外部經營環境較為敏感，新的市場經濟環境不斷對銀行內部監管提出新的要求，如果銀行不能根據環境變化及時調整內部控制體系以加強風險防控，內部控制就可能出現新的漏洞進而導致違規事件的發生。因此，根據上面的案例分析結果，針對整改商業銀行內部控制重大缺陷以降低市值損失，本文給出以下建議：

1.加強對資金流動的監控。針對內部而言，商業銀行可以成立專門的資金監控中心進行試點運營，配備專業的具有較好職業操守的工作人員，對各支行的資金流動與業務開展進行嚴密的把控，使總行與支行形成信息集成與共享，實時監控銀行的資金流動，完善內部控制環境。針對外部而言，銀監會應該成立專門的機構定期審查各大銀行的資金往來，對于資金與業務的匹配進行核實，同時也應該加強執法人員職業道德的培養，提高執法效率，從而形成有效的外部監督機制。

2.加強對基層銀行負責人的管理。首先，銀行應該明確內部管理者的職責權限，加強對基層負責人的監管，避免基層負責人權力過于集中形成只手遮天的局面；其次，銀行應建立完善的績效考核與評價機制，考慮實施“胡蘿卜與大棒”并行的獎勵與懲罰制度，提高職工的工作效率與工作質量。同時，應加強員工職業道德素養的培訓，對員工加強法制教育宣傳工作，使員工明確自己的職責并嚴守規章制度；最后，銀行應建立完善的內部審計制度，可以建立與支行負責人同層級的審計部門并直接向總行匯報，提高審計部門的獨立性與權威性。

3.完善信息系統的開發與維護。為了避免系統漏洞可能帶來的潛在損失，銀行應考慮成立專門的部門自行開發信息系統，合理規劃管理者操作權限。使計算機系統后臺服務器運行狀態向開發人員自動進行時段性匯報，避免風險進一步擴大。同時，內部審計部門也應培養兼具審計知識背景與信息化技術的復合型人才，定期測試經營業務與系統功能的擬合度，完善信息系統的功能，降低系統的風險。同時，有效利用信息系統來加強內外部風險防控工作，降低因環境變化引發的風險。

4.加強市值的經營與管理。市值管理是對內在價值與市場價值的綜合管理，因此商業銀行必須首先從內在價值創造的驅動因素出發，注重內部財務管理、客戶與投資者關系管理以及完善內部治理結構。在應對客戶與投資者的關系管理方面，銀行應及時、準確地披露相關經營信息，加強與客戶以及投資者的溝通，同時建立高效的客戶與投資者關系管理團隊，提高雙方的合作信任度。其次，違規事件發生后，銀行應及時有效地披露解決辦法，并同步跟蹤事件解決進度，提高投資者對銀行未來運營績效增長的信心，從而降低市值損失。最后，商業銀行應充分利用資本運作提高銀行盈利能力，從投資者利益角度出發，合理運用資本手段將市值溢價轉換為股東財富，提升市值管理水平。同時，良好的資本運作也會向外界傳遞經營利好的信號，吸引潛在的投資者投資以提升企業未來的市值水平。

［1］謝凡，曹健，陳瑩，李穎.內部控制缺陷披露的經濟后果分析——基于上市公司內部控制強制實施的視角［J］.會計研究，2016（9）.

［2］丁友剛，王永超.上市公司內部控制缺陷認定標準研究［J］.會計研究，2013（12）.

［3］張超，劉星.內部控制缺陷信息披露與企業投資效率——基于中國上市公司的經驗研究［J］.南開管理評論，2015（5）.

［4］蓋地，盛常艷.內部控制缺陷及其修正對審計收費的影響——來自中國A股上市公司的數據［J］.審計與經濟研究，2013（3）.

［5］王惠芳.上市公司內部控制缺陷認定：困境破解及框架構建［J］.審計研究，2011（2）.

［6］陳武朝.在美上市公司內部控制重大缺陷認定、披露及對我國企業的借鑒［J］.審計研究，2012（1）.

［7］譚燕，施赟，吳靜.董事會可以隨意確定內部控制缺陷定量認定標準嗎？——來自A股上市公司的經驗證據［J］.會計研究，2016（10）.

［8］Yazawa K..The Incentive Factors for the（Non-）Disclosure ofMaterialWeaknessin Internal Controlover FinancialReporting：Evidence from J-SOX Mandated Audits［ J］.International Journal of Auditing，2015（2）.

［9］張繼勛，劉文歡.投資傾向、內部控制重大缺陷與投資者的投資判斷——基于個體投資者的實驗研究［J］.管理評論，2014（3）.

［10］Kim J.B.，Byron Y.Song，Liandong Zhang.InternalControlWeaknessand Bank Loan Contracting：Evidence from SOX Section 404 Disclosures［J］. Social Science Electronic Publishing，2011（4）.

［11］Goh B.W..Audit Committees，Boards of Directors，and Remediation of Material Weaknesses in Internal Control［J］.Contemporary Accounting Research，2010（2）.

［12］HeL.，ThorntonD.B..TheImpactof DisclosuresofInternalControlWeaknesses and Remediations on Investors'Perceptions of Earnings Quality［J］.Accounting Perspectives，2014（2）.

［13］Akwaasekyi E.K.，Gené J.M..Effect of Internal Controls on Credit Risk Among Listed Spanish Banks［J］.Intangible Capital，2016（1）.

［14］Negurita O.，Ionescu I.E..Risk Factors for Bank Fraud Arising as a Consequence of Misstatements Resulting from Misappropriation of Assets［J］.Economics Management&Financial Markets，2016（1）.

［15］Panova Y.I..To a Question of the Purposes，Tasks of Implementation of Internal Control in the Credit Organizations and in the Bank of Russia［J］.Modernization Innovation Research，2015（2）.

［16］王永海，文華宜.關于風險導向型商業銀行審計的思考［J］.審計研究，2005（3）.

［17］Koester A.，Lim S.C.，Vigeland R.L..The Effect of Tax-Related Material Weakness in Internal Controls on the Market Valuation of Unrecognized Tax Benefits［J］.Journal of the American Taxation Association，2014（1）.

［18］Hamersley J.S.，Myers L.A.，Shakespeare C..Market Reactions to the Disclosure of Internal Control Weaknesses and to the Characteristics of Those Weaknesses Under Section 302 of the Sarbanes Oxley Act of 2002［J］.Review of Accounting Studies，2008（1）.

［19］Rezee Z.，Espahbodi R.，Espahbodi P.et al..Firm Characteristics and Stock Price：Reaction to SOX 404 Compliance ［J］.Social Science Electronic Publishing，2012（48）.

［20］Defond M.L.，Raghunandan K.，Subramanyam K.R..Do Non-Audit Service Fees Impair Auditor Independences Evidence from Going Concern AuditOpinions［J］.Journalof Accounting Research，2002（4）.

［21］LevineR.，LoayzaN.，BeckT..Financial Intermediation and Growth：Causality and Causes［J］.Journal of Monetary Economics，2000（1）.

［22］楊烺，西米莎，王如龍.商業銀行信息系統風險評估模型的研究與實現［J］.計算技術與自動化，2007（1）.

［23］張湄，孔愛國.商業銀行治理與股價波動關系的實證研究［J］.復旦學報（社會科學版），2010（5）.

［24］Dodd P.，WarnerJ.B..On Corporate Governance：A Study of Proxy Coutests［J］.Journal of Financial Economics，1983（1）.