上市商業銀行內部控制信息披露問題及研究

摘? 要：銀行因不可替代性、特殊風險性等原因，需要重視內部控制信息的披露。盡管我國對于內部信息披露作出了強制性規定，上市商業銀行在這一方面仍存在很多改進空間。本次調查以14家上市銀行作為研究對象，通過分析年報和內控評價報告，結果表明內部控制信息披露仍存在大量問題，大多數銀行披露信息的有效性有提高。

關鍵字：上市銀行;內部控制;信息披露

引言：

自20世紀以來全球經濟不斷發展，但與此同時相應監管控制體系卻未完善，這導致財務丑聞頻出，造成了巨大的經濟損失。銀行業內更是財務丑聞的重災區，譬如造成75億美元巨額虧損的摩根大通“倫敦鯨事件”;瑞士信貸幫助避稅支付逾25億美元罰款……中國也不乏這樣的案例，農業銀行員工內外勾結，私刻公章詐騙一案涉案金額高達14億、郵儲銀行某支行行長非法套現79億元，各種商業銀行大案屢屢見報。

縱覽各種案件，我們不難發現違規操作、高層犯罪、財務造假以及不良貸款等內部原因造成了眾多金融大廈轟然倒塌，種種跡象都表明內部控制若存在缺陷，極易導致風險警報不斷拉響。

1.樣本選取

我國目前有A股上市的36家銀行，分為中央銀行、國有大型股份制商業銀行、全國性股份制商業銀行、城市商業銀行以及農村銀行。本次調查選取各類別中較有代表性的14家，通過比較年報與內控評價報告披露的相關信息，來判斷我國上市銀行信息披露現狀。

2 我國上市銀行內部控制信息披露現狀

2.1 上市銀行內部控制信息披露相關制度和依據

我國內部控制制度起步較晚，發展到現在可以歸納為三個階段，即自愿階段、半強制階段、更具強制性的半強制階段。最開始的自愿階段可以說是一個從無到有的過程，在這一階段中沒有一份單獨的內部控制制度法律法規，相關規定包含在其他的準則中。這些規定沒有強制性要求、沒有統一的規定，鼓勵企業進行自愿披露，也不需要提供內部控制評價報告，在性質上偏向于指導性條例。到2006年，《上市公司內部控制指引》的發布代表著我國的內部控制制度進入了一個快速發展階段。在此期間，內部控制信息的披露具有強制性，但是對于信息披露的規定不統一、缺乏可操作性。財政部、證監會對于企業建設內部控制及其執行情況有了更嚴格的要求。至2010年，我國內部控制制度基本成型。所有上市企業必須披露內控評價報告和內控審計報告，信息披露的強制性得以進一步加強。

每一家商業銀行內部控制信息披露依據也各不相同。從調查結果可以得知每一家銀行的披露都依據了《企業內部控制基本規范》、《企業內部控制配套指引》。但在年報和內部控制評價報告中披露的依據中，并不是每一家銀行都參照《中華人民共和國商業銀行法》、《商業銀行內部控制指引》和《上市公司內部控制指引》。由此看來，我國上市商業銀行并沒有統一的披露依據，也可以推斷出不同銀行內部控制制度存在差異，整體框架也不盡相同。

2.2? 上市銀行內部控制信息披露形式和載體

上市銀行內部控制信息披露的載體，就是商業銀行通過哪一種管道向信息使用者傳遞有關內控信息。現有披露載體較為分散，隨著相關規定的不斷完善，內控評價報告和內控審計報告逐漸成為信息披露最為重要的主體。而年報中，公司治理報告、董事會報告、監事會報告、重要事項都有披露相關信息，大型銀行披露信息的載體更為多樣化。年報中有披露具體的內控制度規定、內控組織架構和制度變化情況，但是形式各異、內容雜亂，同樣的內容在不同銀行的年報所處位置也不盡相同。有的銀行的披露較為詳細且可以從目錄中快速查詢，有的卻是語句簡略不包含實質性內容。總體來看，各家銀行都在逐漸將內控信息的披露重點向內控評價報告轉移，內控披露的載體逐漸規范統一。

內控信息披露的載體雖然逐步相似但是仍有差異，主體框架不同在所難免，這就導致信息使用者在獲取信息時不能直指目標。

2.3內部控制信息披露內容和質量情況

2016年起，每一家銀行都于第一季度正式發布上一年的內部控制評價報告，當前，上市銀行的評價報告格式內容具有相似性，具有以下特征：

1.名稱與格式

上市銀行內部控制評價報告有兩種命名方式，一類是“xx股份有限銀行20xx 年度內部控制自我評價報告”，有的銀行則使用另一類方式——“xx股份有限銀行20xx年度內部控制評價報告”。在格式上，則統一劃分為四個部分，分別為重要聲明、評價結論、工作情況以及相關重大事情說明。可見上市家銀行在披露形式上都遵循了相關法律法規。

內部控制披露詳情

首先，從披露缺陷來看，只有P銀行于2017年認定了重大缺陷，剩余的銀行只存在一些一般缺陷。大部分內控評價報告對于存在的一般缺陷一帶而過，使用的描述性語句具有高度重復性，大都形如“報告期存儲器在一些有待改進的一般性缺陷”或是一般缺陷在可控范圍內，存在形式化的嫌疑。只有N銀行在2017年的評價報告中指出“在貸款、票據、理財及代銷、柜面等業務操作部分存在一般缺陷”;A銀行較為詳細的支出各設計性缺陷、運行性缺陷的具體個數涉及方面及占內控缺陷的比例;N銀行在2017年、2018年甚至沒有提及是否存在一般缺陷。或者本該定量闡述的地方使用定性的描述，企圖蒙混過關。由此看來披露信息的實質性也有待考。

其次，上市銀行的內控評價報告內容多數年度并沒有較大改變，有報喜不報憂的傾向。譬如三年下來只有P銀行在2017年披露存在重要缺陷。這種現象的出現，有可能是因為上市銀行為了應付監管，披露的這些缺陷都不足影響投資者對銀行的投資企劃。真正影響投資的重大缺陷，銀行可能選擇隱瞞。

最后，在對評價報告上一年度整改情況和下一年度改進方向進行橫向對比時，發現有此內容的銀行除了A銀行、G銀行都只是進行泛述，甚至描述極其相似，對于風險管理僅僅作出正面的評價。在縱向對比時，各家銀行下一年改進方向相似度極高，只是在部分地方替換措辭，其中B銀行甚至三年下來都沒有變化;上年度整改情況用詞雷同，足見披露缺乏主動性。

3上市銀行內控及信息披露缺陷

3.1認定內控缺陷范圍不同

按照相關法律法規的規定，企業在披露內部控制信息時應圍繞內部環境、風險評估、控制活動、信息與溝通、內部監督開展，明確評價范圍，并以此作為進行內控缺陷識別的基礎。根據14家上市銀行三年來內控評價評價報告，所有的上市銀行都披露了相應的認定范圍，納入評價的主要單位均包括銀行總行、支行和各個附屬機構。但是各家銀行在具體業務范圍和事項認定范圍各不相同，大致可以分為兩類：

第一類從公司、業務流程和信息系統這三個層次，從而對內控設計和運行進行全方位的分析。公司層次主要業務和事項以內部控制五要素為主，例如公司治理、發展戰略、組織架構等;業務流程以較為具體的業務來認定內控缺陷;信息系統層面包括各種信息安全、信息系統等方面內容。14家銀行中有7家銀行采用此種方法。

第二類則是根據自身經營狀況來劃分具體業務。14家上市銀行的內部控制評價報告中A銀行最為詳細，以2018年為例，運用RCSA、CSOX、DCFC等方法和基礎上確定了25個主流程、213個子流程，并列出了針對不同風險點的控制活動，觀感上就會使人更相信該份報告的真實性。詳細數據更讓外部使用者相信內部控制運行的有效性。

但是每一家銀行詳細出示的內容詳盡程度各不相同，有詳盡且具有說服力的平安銀行，也有只說明“包括內控五要素五個方面的內容”一句話簡單說明的銀行，沒有對每個要素分別進行詳細的評價，更顯得報告缺乏強有力的說服。

3.2? 認定內控缺陷標準不同

根據內部控制評價報告可以看出不同的銀行的缺陷認定標準各有不同。以此次研究的14家上市銀行財務報告內部控制重大缺陷披露標準為例，我們可以看出認定標準各異，14家銀行就有12種認定標準。認定差異主要表現在四個方面：首先是定量缺陷的標準，有的銀行采用錯報金額，也有的銀行采用潛在錯報金額，且不止局限在這兩種標準。其次是缺陷對比對象，有利潤總額、稅前利潤……再者，有的銀行選擇單一指標，有的銀行選取部分財務指標進行組合。最后，財務指標比例設置也有高有低。這僅僅是財務報告內部控制缺陷重大缺陷。認定標準的不一致表明上市銀行對于內控缺陷認定的隨意性，這也導致構成缺陷的指標不具備可比性。

3.3上市銀行內部控制信息披露失真

查閱相關資料后，筆者搜集到一部分上市銀行三年間因違規被處罰的情況。但是在查看具體的內部控制報告時，卻發現處罰情況在審計報告上均無具體體現，即使是沒有重大、重要和一般缺陷的N銀行也存在處罰記錄，可見上市銀行內部控制信息一定程度上存在披露失真的嫌疑。

4.上市銀行內部控制缺陷信息披露問題原因分析

4.1內控缺陷認定標準難以統一

相關檔中明確規定，內部控制缺陷的認定標準可根據按銀行實際處境劃分。考慮到銀行規模大小、業務多寡，這一規定是合理的，但與此同時給了銀行很大的自由空間。銀行會盡量向市場傳遞銀行運營良好的信息，若是內部控制中披露銀行存在過多的缺陷，會使投資者喪失信心。因此銀行為了自身的利益會盡力隱瞞自己的內控缺陷，報喜不報憂，盡可能將重大缺陷、重要缺陷隱匿不報。因此會選擇對自己最為有利的認定標準。

其次，非財務報告的缺陷通常要考慮多種因素，這些因素有的時候難以量化，不同的銀行有自己不同的戰略目標，實際經營發生的情況也不可能一模一樣。綜合考慮之下就會出現內控缺陷認定標準難以統一的情況。

4.2法律法規以及監管不到位

2006年我國的內部控制制度進入半強制化階段，多部檔的頒布使得內部控制信息的披露逐漸規范化、統一化。然而大量問題卻應運而生。

目前發布的法律法規多數是大方面的、停留在原則政策的，沒有明確各責任主體的職責、違背法律法規所必須承擔的責任或處罰。《基本規范》和《配套指引》僅僅從主要核心控制點進行了規范，但是卻沒有說明披露到底要詳細到哪一種程度上。信息披露的依據是什么、形式又如何，都沒有進行過詳細說明。而且，以上兩種檔都沒有詳細規定虛假報告、隱瞞不報會有何種懲罰。注冊會計師違背相關規定和職業道德應受到什么處罰也沒有明文規定。種種規定的缺失都導致上市銀行披露內控信息十分隨意。

另一方面我國對于內部控制監管的力度也不夠大。監管部門從業人員少，專業人士不夠。

除了國家機構和企業內部的監管之外，注冊會計師對于內部控制有效性的判斷是一種有效的監管手段，內控審計報告也是一種信息披露的重要途徑。但事務所出具審計意見時均采用簡單的敘述，盡可能地降低事務所自身的風險，并沒有實質性的意見。比如，“不存在重大缺陷”等模糊用詞頻繁出現，14家銀行的報告中所有的評價意見都是“在重大方面保持了有效的內部控制”，而對結果產生的過程少有提及，信息使用者很難得到一些實質性信息。

4.3內控信息披露成本高

相關研究表明，審計費用對于信息披露質量有顯著影響。但是內控信息披露的成本不僅包括審計費用，還有以下的一些成本存在：

首先是事務所注冊會計師對內部控制實施審計的費用。相較于財務報表的審計費用，雖然內控審計的費用較低，但不可否認的是這就是一種增量支出。其次還有內部控制評價報告的披露成本、建立內部控制制度和維護內部控制制度所產生的管理維護成本。

上市銀行內部控制審計費用很高，14家樣本銀行中，除了J銀行、N銀行和Y銀行以外都在一百萬以上，甚至有的銀行已達上千萬。隨著近些年審計機構承擔的風險加大，審計成本很有可能逐步增高，進一步加大審計成本。

除了顯性審計成本外，還存在隱性的審計成本。比如非標準無保留意見的審計意見對公司聲譽的不良影響，內控缺陷的暴露也會影響銀行的商譽與社會地位。與此同時，過多提供內部控制信息可能產生競爭劣勢。隨著披露范圍進一步拓寬，披露的信息可能會涉及一些商業秘密，公布出去以后一定程度上會損害銀行的競爭優勢。比如客戶資源等方面的信息。以上原因都會導致上市銀行喪失對內控信息披露的動力。

總體來說，上市銀行詳盡披露其內控信息收不抵支，為了避免過高的成本支出和規避風險，披露信息不全面不真實的問題也難免存在。

結論：不難發現雖然內部控制信息披露正逐年規范，但仍存在不少問題，譬如形式化嚴重、內部控制信息披露載體不一致外部使用者難以查詢、相關規范性檔不到位沒有統一的格式……要解決這些問題我們仍有很長的路要走。

參考文獻：

[1]楊有紅;汪薇.2006滬市公司內部控制信息披露研究[J].會計研究，2008（3）：35-42.

[2]劉薇.上市銀行內部控制信息披露問題研究[J].財會學習，2019，（17）：229-230.

[3]Yang.Y.E.The Relationship between Internal Control Information Disclosure and Agency Cost[J].Auditing Research，2010：82-88.

作者簡介：姚晨暉，性別：女;出生年月：1998.1.9;籍貫：浙江省蘭溪市;民族：漢;最高學歷：碩士;目前職稱：;研究方向：