商業(yè)銀行內部控制自我評價報告案例研究
肖 筆
在我國��,上市銀行在經濟運行中起著重要的作用���,其經營的好壞將對經濟產生直接影響。因此越來越多的研究開始關注上市銀行經營過程中時面臨的風險����,尤其是金融危機后,由于內部控制能降低上市銀行面臨的風險�����,更多的研究開始轉移到上市銀行的內部控制上����。由于上市銀行內部控制信息披露是人們了解其內部控制情況的一個渠道,內部控制自我評估報告又是內部控制信息披露的載體��,所以研究上市銀行的內部控制自我評價報告不僅可以更好地了解上市銀行內部控制信息披露的現狀�,也可以對上市銀行在內部控制信息披露方面起到監(jiān)督作用。目前國內較少針對上市銀行內部控制自我評估報告進行研究���。本文以興業(yè)銀行為例���,對其公開披露的內部控制自我評價報告進行專門研究���,以期對后續(xù)的研究有所貢獻。
一���、文獻述評
(一)國外文獻綜述
2002年SOX法案出臺之前��, 內部控制的研究文獻主要集中于財務報表審計中內部控制評價和財務報告內部控制審核的研究�����, 只有少數研究關注管理層自愿披露的內部控制自我評價報告���。2002 年SOX法案的實施��,標志著公司管理層的內部控制自我評價報告由以前自愿性披露改為強制性披露�����,審計師對內部控制的評價和審核已經轉變?yōu)楠毩⒌膬炔靠刂茖徲嫎I(yè)務�,因此,更多的研究開始關注管理層內部控制自我評價和審計����。Bronson(2006)研究發(fā)現���,公司規(guī)模越大、凈利潤增長越快��、銷售增長越慢���、審計委員越勤勉�����、機構持股比例越高�����,管理層越有可能自愿披露內部控制自我評價報告�。Ashbaugh-Skaife等(2007)研究認為����,內部控制缺陷的披露帶有自愿性質,必須同時滿足三個條件某項內部控制缺陷才會得以披露:一是內部控制缺陷存在��,二是內部控制缺陷被管理層或獨立審計師發(fā)現��,三是管理層斷定缺陷應當公開披露。Mitch Deacon(2008)研究認為��,SOX法案將會使小企業(yè)受到各項規(guī)定的沖擊��, 并建議SEC 應針對小企業(yè)另設內部控制準則�����。 SongTao Mo(2009)研究發(fā)現�����,“只經過財務報表審計”的上市公司與“只經過內部控制審計”的上市公司相比較���,市場和投資者的反應存在差異���。
(二)國內文獻綜述
2006 年以后���,隨著上交所和深交所《上市公司內部控制指引》的頒布�,尤其是2008年《基本規(guī)范》及2010年配套指引的頒布��,這意味著內部控制自我評價報告和審計報告與財務報表及其審計報告一樣����,將作為一種常態(tài)出現在上市公司的定期公告中��, 因此出現了大量的研究開始關注管理層內部控制自我評價和審計��。黃秋敏(2008)分析上市銀行2001年至 2006年的內部控制信息發(fā)現���,上市銀行對內部控制信息披露的形式、披露的內容及自我評價和審計方面都存在很多的問題���。楊有紅和汪薇 (2008)以及楊有紅和陳凌云 (2009)分別對2006年和 2007 年滬市公司內部控制信息披露進行了研究�����,結果發(fā)現�,上市公司存在內部控制信息自愿性披露動機不足����、內部控制評價成本過高以及評價標準不統(tǒng)一等問題。王玲(2009)對2008年中小板上市公司研究發(fā)現����,中小板公司內部控制信息披露存在選擇性信息披露以及自愿性信息披露意愿不足等問題。林斌和饒靜(2009)以2007年主板上市公司為研究對象���,基于信號傳遞理論對上市公司為什么自愿披露內部控制鑒證報告進行了研究��,結果發(fā)現�����,為了向市場傳遞真實價值的信號��,內部控制質量好的公司更愿意披露內部控制鑒證報告����。劉逢春、池國華�、占軍華(2010)根據COSO報告中關于內部控制五要素的分類,將內部控制重大缺陷分為五類�,并收集了工商銀行2007年至2009年年報中的相關信息,認為工商銀行在這方面披露較完善�,但是仍然存在改進的空間,提出要完善法律法規(guī)����、加強監(jiān)管力度和增強披露意識的政策建議。崔志娟(2011)認為管理層有向外部利益相關者披露內部控制信息的動機����,但是動機的類型決定了披露內部控制信息質量的好壞,為了實現內部控制目標�����,需要強化大股東權力制約��、制定內控缺陷衡量標準����、增強管理層披露內控缺陷的動機和建立內控缺陷未披露處罰機制。
(三)文獻評述
從以上文獻綜述可以看出����,國外文獻主要研究了影響內部控制信息披露的因素,比如公司規(guī)模越大��、凈利潤增長越快等因素對管理層自愿披露內部控制自我評價報告有正面影響等����。國內主要研究內部控制信息披露存在的問題,比如自愿性披露動機不足�、披露的形式和披露的內容存在問題等,并針對問題提出相應的解決方法���,比如強化大股東權力制約���、制定內控缺陷衡量標準�����、增強管理層披露內控缺陷的動機和建立內控缺陷未披露處罰機制等措施�����。但是��,針對具體一家做案例分析的文章較少�����。本文在借鑒其他學者研究的基礎上����,對興業(yè)銀行內部控制自我評估報告進行案例研究�����。
二���、案例分析
興業(yè)銀行從2007起�,開始披露內部控制自我評價報告和內部控制的審計報告��。2007年至2012年每年都有披露上述兩份報告���。其他部分銀行��,有的初次披露時間稍晚���,有的在后續(xù)年度里偶爾沒有披露內部控制審計報告?�?梢钥闯?,在信息披露方面,興業(yè)銀行在所有上市銀行中的表現值得肯定���。但是����,值得肯定并不代表完善�����,本文將從縱向和橫向兩個方面對興業(yè)銀行的內部控制自我評價情況進行分析。
(一)縱向分析
1. 內部控制自我評價報告具體內容
《企業(yè)內部控制評價指引》于2010年4月頒布����,但其并沒有對內部控制自我評價報告的具體內容作出詳細規(guī)定,但是要求報告至少應當披露下列內容:(1)董事會對內部控制報告真實性的聲明�;(2)內部控制評價工作的總體情況;(3)內部控制評價的依據�����;(4)內部控制評價的范圍��;(5)內部控制評價的程序和方法���;(6)內部控制缺陷及其認定情況���;(7)內部控制缺陷的整改情況及重大缺陷擬采取的整改措施;(8)內部控制有效性的結論���。
表1是針對興業(yè)銀行2007年-2012年的內部控制自我評價報告具體內容所做的統(tǒng)計分析
表1 2007年-2012年興業(yè)銀行內部控制自我評價報告具體內容
披露內容
年份
|
(1)
|
(2)
|
(3)
|
(4)
|
(5)
|
(6)
|
(7)
|
(8)
|
2012
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
2011
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
2010
|
√
|
√
|
√
|
|
|
|
|
√
|
2009
|
√
|
√
|
√
|
|
|
|
|
√
|
2008
|
√
|
√
|
√
|
|
|
|
|
√
|
2007
|
√
|
√
|
√
|
|
|
|
|
√
|
從表1可以看出��,2007年-2010年間���,興業(yè)銀行的內部控制自我評價報告中并沒有包含內部控制評價的范圍��、內部控制評價的程序和方法����、內部控制缺陷及其認定情況和內部控制缺陷的整改情況及重大缺陷擬采取的整改措施這四個項目�����。從2011年開始��,興業(yè)銀行的內部控制自我評價報告變得更加規(guī)范����,有了內部控制評價的范圍�、內部控制評價的程序和方法、內部控制缺陷及其認定情況和內部控制缺陷的整改情況及重大缺陷擬采取的整改措施這四個項目���。
興業(yè)銀行2011年與2012年內部控制主要缺陷和具體描述見表2
表2 2011年-2012年興業(yè)銀行內部控制主要缺陷和具體描述
披露內容
年份
|
內部控制缺陷
|
具體描述
|
2012
|
制度管理體系有待進一步完善和更新
|
1.部分崗位說明書及工作程序手冊還未及時更新��、描述與實際不完全相符
|
崗位輪換和強制休假制度執(zhí)行不夠到位
|
1.管理崗位的強制休假覆蓋面和執(zhí)行力度存在不足
|
零售信貸貸前調查需進一步規(guī)范
|
1.貸前調查雙人面簽��、訪談落實等環(huán)節(jié)執(zhí)行不夠到位
2.征信報告填寫較為簡單����,材料完整性、真實性審查存在一定欠缺
|
IT 變更管理存在薄弱環(huán)節(jié)
|
1.操作與復核人員未同時簽字確認�����、變更內容記錄不夠完善
2.緊急變更完成后未按管理流程要求及時補齊審批手續(xù)的問題
|
數據管理的規(guī)范性尚需進一步提高
|
1.個別業(yè)務品種存在部分信息通過手工臺賬輔助記載����、或信息補錄到 IT 系統(tǒng)不及時的現象
|
2011
|
授信盡職工作有待進一步強化
|
1.貸前調查不夠細致,對異常信息關注不夠到位
2.部分授信放款不夠審慎
3.貸后檢查資料收集不到位��、貸后檢查報告較為簡單
|
應更加注重會計基礎工作
|
1.個別機構在會計科目使用�����、賬戶開戶審核��、錯賬處理和授權操作��、印章與重要空白憑證管理����、對賬管理等方面存在不規(guī)范
|
需持續(xù)提高新興業(yè)務風險管理水平
|
1.個別新興業(yè)務存在制度修訂不及時、 對應的基礎資產貸后管理不夠規(guī)范
|
應進一步加強 IT風險管理
|
1.個別系統(tǒng)存在未建立定期的用戶及權限復核機制���、 用戶及權限不定期
2.抽查的頻率過低�、部分系統(tǒng)備份介質未定期開展可恢復性測試
|
進一步完善內控缺陷的量化管理
|
1.內部控制管理,發(fā)現內部控制缺陷�����,評價內控有效性方的工作流程不夠完善
|
對表2進行分析�,我們發(fā)現:
第一,興業(yè)銀行沒有對上一年的缺陷整改情況作具體說明和評價���,上一年度整改執(zhí)行情況和整改結果并不知道���。2011年提到的五個方面的內部控制缺陷中�����,在2012年中��,只有IT風險有關的內部控制缺陷被再次提到�,其他四項全部沒有再提到。第二�����,2011年和2012年興業(yè)銀行對內部控制缺陷具體描述的方式沒有變化��,措辭都非常模糊,不能清晰明確地讓報告使用者了解其內部控制缺陷的情況�����。第三�,在具體描述中,與IT相關的缺陷和與貸款業(yè)務相關的缺陷在2011年和2012年都被提到���,說明興業(yè)銀行在這兩個方面存在問題較多����,需要持續(xù)關注���。
(二)橫向比較
為了更好的了解興業(yè)銀行內部控制自我評價在行業(yè)內的狀況�,本文以2012年上市銀行自我評價報告的信息為橫截面數據進行了分析���。表3中的“(1)”-“(8)”序號表示的含義與表1中相同�。
表3 2012上市銀行內部控制自我評價報告具體內容
序號
|
銀行名稱
|
內部控制自我評價報告具體內容
|
(1)
|
(2)
|
(3)
|
(4)
|
(5)
|
(6)
|
(7)
|
(8)
|
1
|
興業(yè)銀行
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
2
|
北京銀行
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
3
|
南京銀行
|
√
|
√
|
√
|
√
|
√
|
√
|
|
√
|
4
|
光大銀行
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
5
|
寧波銀行
|
√
|
√
|
√
|
√
|
√
|
|
|
√
|
6
|
浦發(fā)銀行
|
√
|
√
|
√
|
|
|
|
|
|
7
|
華夏銀行
|
√
|
√
|
√
|
√
|
√
|
√
|
|
√
|
8
|
交通銀行
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
9
|
招商銀行
|
√
|
√
|
√
|
√
|
√
|
√
|
|
√
|
10
|
建設銀行
|
√
|
√
|
√
|
√
|
√
|
|
|
√
|
11
|
平安銀行
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
12
|
中信銀行
|
√
|
√
|
√
|
√
|
√
|
√
|
|
√
|
13
|
工商銀行
|
√
|
√
|
√
|
√
|
√
|
|
|
√
|
14
|
農業(yè)銀行
|
√
|
√
|
√
|
√
|
√
|
√
|
|
√
|
15
|
中國銀行
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
√
|
16
|
民生銀行
|
√
|
√
|
√
|
√
|
√
|
√
|
|
√
|
針對表3進行分析,可以得出以下結論:
1.從“內部控制評價工作的總體情況”看,雖然所有銀行的評價報告都涵蓋總體情況描述的內容�,但是具體表述卻存在差異���。2012年����,興業(yè)銀行在內部控制自我評價報告中評價對象是 “本行內部控制”�,這與中國銀行的表述一致,而其他大部分銀行的評價對象則是“財務報告內部控制”��。同時���,興業(yè)銀行并未提及是否注意到非財務報告內部控制的重大缺陷�����,其他大部分銀行則提及否注意到非財務報告內部控制的重大缺陷����。
2.從“內部控制評價的依據”看�,2012年上市銀行內部控制自我評價的依據則主要是 《企業(yè)內部控制基本規(guī)范》 �、《商業(yè)銀行內部控制指引》 、《企業(yè)內部控制評價指引》��,少數銀行也同時選擇了《上海證券交易所上市公司內部控制指引》或者《企業(yè)內部控制應用指引》作為評價依據�����。興業(yè)銀行的評價依據則是《企業(yè)內部控制基本規(guī)范》、《商業(yè)銀行內部控制指引》���、《企業(yè)內部控制應用指引》和《上海證券交易所上市公司內部控制指引》���。
3.從“內部控制評價的范圍”看,2012年��,除了浦發(fā)銀行以外��,其他銀行都披露了評價范圍�,評價范圍大多數是從五個要素(內部環(huán)境、風險評估��、控制活動���、信息與溝通����、內部監(jiān)督)和三個層面(公司層面���、業(yè)務流程�、信息系統(tǒng))展開,興業(yè)銀行等個別銀行詳細披露了業(yè)務層面的內部控制�。
4.從“內部控制評價的程序和方法”看,2012年興業(yè)銀行同其他所有銀行一樣�����,都披露了“內部控制評價的程序和方法”����。
5.在“內部控制自我評價報告”所有的披露內容中,“內部控制缺陷及其認定情況”和“內部控制缺陷的整改情況及重大缺陷擬采取的整改措施”的信息披露是最為欠缺的�。但是興業(yè)銀行披露了以上信息,這體現了興業(yè)銀行對投資者負責的意識�����。在對內部控制缺陷的認定方面�,興業(yè)銀行則是對將《內部控制缺陷評價指引》中的三類缺陷重復定義一遍,除此之外����,披露的信息非常有限����。當然這也是整個上市銀行普遍存在的問題。
(三)分析結論
從以上分析可知���,在內部控制自我評價和信息披露方面�����,興業(yè)銀行在所有上市銀行中已經走在前列����,并且披露的信息相對較為全面。具體表現在���,一是對“內部控制缺陷及其認定情況”和“內部控制缺陷的整改情況及重大缺陷擬采取的整改措施”的披露���,二是詳細披露了業(yè)務層面的內部控制,三是對評價依據的選取較為全面和規(guī)范��。
同時�,興業(yè)銀行的相關披露也存在以下不足,一是在2012年沒有對2011年披露缺陷改善的結果做說明�。興業(yè)銀行2011年提到的五個方面的內部控制缺陷中,在2012年中�,只有IT風險有關的內部控制缺陷被再次提到,其他四項全部沒有再提到��,這樣的處理不能讓報告使用者知曉沒提到的缺陷是否在2012年度里改善完畢;二是興業(yè)銀行對內部控制缺陷具體描述的措辭都非常模糊�,不能清晰明確地讓報告使用者了解其內部控制缺陷的情況;三是興業(yè)銀行與IT相關的缺陷和與貸款業(yè)務相關的缺陷在2011年和2012年都被提到����,說明興業(yè)銀行在這兩個方面存在問題較多,需要持續(xù)關注��;四是興業(yè)銀行在內部控制自我評價報告中并未提及是否注意到非財務報告內部控制的重大缺陷��,而其他大部分銀行則提及否注意到非財務報告內部控制的重大缺陷����;五是對內部控制缺陷的認定標準缺乏更為詳細的披露,因為興業(yè)銀行在對此部分內容披露時�����,只是將《內部控制缺陷評價指引》中的三類缺陷重復定義一遍�����。
三�����、對策建議
通過對興業(yè)銀行的案例分析���,筆者在對興業(yè)銀行提出對策建議的同時���,也試圖給整個銀行業(yè)提出對策建議。
(一)對興業(yè)銀行的建議
1.披露上年內控缺陷改善情況���。首先����,興業(yè)銀行作為上市銀行中在內部控制自我評價報告披露中表現不錯的銀行�,應當進一步增強自身信息披露的意識,轉變觀念����,披露上年度內控缺陷改善情況的相關信息。同時����,政府應當要求商業(yè)銀行對上一年度所披露的內部控制缺陷的改善情況在當年的內部控制自我評價報告進行披露。這樣一方面可以防止商業(yè)銀行不落實對所披露內部控制缺陷的整改����,另一方面也可以讓報告使用者了解商業(yè)銀行改善內部控制缺陷的結果�。
2.清晰明確的描述內部控制缺陷�。目前來看,興業(yè)銀行對披露內部控制缺陷的描述比較模糊����,原因可能是認為內部控制缺陷的清晰披露會影響投資人的預期,會降低其市場價值���。但是從長遠來看��,對內部控制缺陷清晰地描述不僅能夠使銀行更加了解自身的缺陷�����,同時由于對內部控制缺陷的清晰描述是對外公開披露的�,還能夠督促銀行積極的改善自身缺陷��。
3.將IT和貸款業(yè)務相關工作納入重點監(jiān)控范圍��。在2012年內控評價報告中�����,針對IT 變更管理存在薄弱環(huán)節(jié)���,興業(yè)銀行提出立了由總行行長任組長的“數據治理領導小組”���,實施包含數據定義、采集����、傳導、存儲�����、運用及銷毀等環(huán)節(jié)在內的全生命周期的科學管理�,是非常可取的�。同時,針對貸款相關業(yè)務��,興業(yè)銀行在2012年內控評價報告中提出的要求貸前調查人員對面簽現場��、經營處所����、抵押物現場等進行拍照等措施也是可行的。除此之外�����,興業(yè)銀行還應加強對以上工作的事后監(jiān)督和檢查工作,并在組織的相關資源����,比如人力資源、財務資源等���,更多的向這兩個方面傾斜�。
4.關注非財務報告內部控制的重大缺陷�。對興業(yè)銀行而言,只關注與財務報告內部控制相關的重大缺陷是不夠的�����,因為其所面臨的經營環(huán)境瞬息萬變�����,非財務報告內部控制重大缺陷也有可能對其造成很大的不利影響����,這些不利影響很可能給投資者造成巨大損失。因此���,在內部控制自我評價報告中���,興業(yè)銀行銀行應當提及是否注意到非財務報告內部控制的重大缺陷����。
5.詳細披露內部控制缺陷的認定標準�。興業(yè)在披露內部控制缺陷認定標準時���,只是簡單的對《內部控制缺陷評價指引》中的三類缺陷重復定義一遍��,這是不太合適的����。當然這一方面是因為政府沒有出臺更詳細的規(guī)定����,另一方面也是興業(yè)銀行為了維護自身利益而降低披露信息的質量的結果。所以�,一方面政府要出臺更詳細的規(guī)定,使商業(yè)銀行在披露詳細的認定標準時有執(zhí)行的依據���,同時也要引導商業(yè)銀對內部控制缺陷的認定標準進行披露���。另一方面��,興業(yè)銀行作為上市銀行���,也應當積極主動履行披露相關信息的責任。
(二)對整個銀行業(yè)的的建議
1.針對不同行業(yè)制定內部控制缺陷評價體系�����?!镀髽I(yè)內部控制評價指引》已經對缺陷的種類和認定程序作出具體規(guī)定,《審計指引》還對重大缺陷的跡象作出了系統(tǒng)的概括���,但是指引中并沒有對三類缺陷的具體認定標準進行詳細量化�����,而是由企業(yè)根據上述要求自行確定����。這也是導致上市公司和會計師事務所無法較好識別和評價內部控制重大缺陷的重要原因���。因此����,應當盡快結合不同行業(yè)上市公司內部控制的特性,制定內部控制缺陷認定標準體系�����,明確內部控制各類缺陷尤其是重大缺陷的認定標準和方法�����,提高配套指引的可操作性����。
2加強虛假內部控制報告的懲戒措施��?���!镀髽I(yè)內部控制基本規(guī)范》和配套指引只有得到切實執(zhí)行才能發(fā)揮作用,不能只注重上市公司是否披露了內部控制報告���,還應進一步關注內部控制報告的質量�,因此需要提高虛假報告的責任追究與嚴懲機制。一方面���,證監(jiān)會及各行業(yè)監(jiān)管部門應定期對上市公司的內部控制自我評價報告和審計報告進行嚴格監(jiān)督和檢查���,既要檢查上市公司是否披露了內部控制報告,更要關注內部控制報告的質量問題�����;另一方面�����,還應完善法律法規(guī)����,根據內部控制報告虛假嚴重程度要求相關責任人承擔行政責任、民事責任甚至刑事責任����。
3.增強上市公司內部控制信息披露意識。首先必須扭轉銀行高管的理念�;其次,定期對上市銀行培訓�����,幫助其建立和完善內控重大缺陷披露制度;最后��,正確引導投資者對內部控制缺陷的認識���,減少投機行為����。
(作者單位:集美大學工商管理學院)
