我国上市商业银行内部控制自我评价研究

（集美大学工商管理学院 福建厦门361021）

一、引言

2006年以前，我国监管部门对企业内部控制自我评价并没有强制性的规定，上市公司自愿性内部控制信息披露的动机并不强烈。2006年以后，随着上交所和深交所 《上市公司内部控制指引》的颁布，尤其是2008年财政部等五部委联合发布了 《企业内部控制基本规范》（以下简称 《基本规范》），以及2010年五部委又出台了《企业内部控制配套指引》（包括《企业内部控制应用指引》、《企业内部控制评价指引》和 《企业内部控制审计指引》），使上市公司内部控制信息披露由自愿性披露转变为强制性披露。《基本规范》和配套指引明确规定，上市公司应当对内部控制的有效性进行自我评价，披露年度自我评价报告，可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计并出具内部控制审计报告。

目前我国主要从评价的实施主体、评价对象、评价方法以及信息披露等方面对企业内部控制评价进行了规定。从不同部门的规定中，我们可以发现：内部控制自我评价的实施主体是企业内部人员而非外部人员，既包括董事会这样的权利机构，又包括审计部门这样的职能机构；内部控制自我评价的对象是企业内部控制整体的有效性，既包括从内部控制五要素角度进行的内部控制评价，也包括具体业务活动的内部控制评价；内部控制自我评价的目的是得出关于企业内部控制设计和运行有效性的结论，以完善企业的内部控制制度，评价的成果是内部控制评价报告。

银行作为特殊监管的行业，其内部控制的有效性影响着银行的稳健经营和可持续发展，进而影响着市场经济的正常运行。内部控制制度体系的基本建立能否保证银行具有高质量的内部控制信息披露？上市商业银行内部控制自我评价是否得以完善和发展？本文以我国16家上市商业银行2011-2013年间披露的内部控制自我评价报告为研究对象，分析其中存在的问题并提出相应的对策建议，为完善我国上市商业银行内部控制自我评价提供参考。

二、我国上市商业银行内部控制自我评价报告分析

（一）整体情况

截至2013年12月31日，我国共有16家上市商业银行，包括5家大型国有商业银行（中、工、交、建、农）、8家股份制商业银行（平安、浦发、民生、招商、华夏、兴业、中信、光大）和3家城市商业银行（南京、宁波、北京）。

2010年五部委出台的《企业内部控制评价指引》要求企业自2011年1月1日起对外披露或报送内部控制自我评价报告。2011-2013年，16家上市商业银行均发布了内部控制自我评价报告，并聘请会计师事务所出具了内部控制审计报告。总体来看，上市商业银行对内部控制自我评价的披露更加详细和完善，并表现出统一的趋势，大部分报告完整地包括了 《企业内部控制评价指引》要求企业应当披露的以下八项内容：董事会对内部控制报告真实性的重要声明；内部控制评价工作的总体情况；内部控制评价的范围；内部控制评价的依据；内部控制评价的程序和方法；内部控制缺陷认定标准；内部控制缺陷及整改情况；内部控制有效性的结论。

（二）具体分析

在评价的责任主体方面，2011-2013年，16家共48份上市商业银行的内部控制自我评价报告中都明确指出，按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，并如实披露内部控制评价报告是董事会的责任。

在评价范围方面，2011年，除华夏银行和浦发银行外，其余14家银行披露了内部控制评价范围；2012年、2013年16家银行均披露了内部控制评价范围。按照《基本规范》及配套指引的要求，企业内部控制评价范围应从内部控制五要素（内部环境、风险评估、控制活动、信息与沟通、内部监督）及三个层面（公司总体层面、业务流程层面、信息系统层面）展开。然而，如下页表1所示，2011年详细披露了内部控制五要素评价的银行有11家，而2012年和2013年仅4家银行作了相关披露；对于三个层面的披露，银行也都只是进行了简单的阐述，并没有实质性的内容。

在评价依据方面，我国上市商业银行内部控制自我评价所依据的标准众多。由表2可知，银行主要依据《基本规范》、《企业内部控制评价指引》及《商业银行内部控制指引》。少数银行同时也依据了其他相关法规，如建设银行2013年的内部控制自我评价报告除了依据《基本规范》、《企业内部控制评价指引》、《上交所上市公司内部控制指引》外，还依据了《商业银行操作风险管理指引》、《商业银行信息科技风险管理指引》等法规。法规繁杂，一方面导致商业银行的内部控制评价活动千差万别，彼此的自我评价报告缺乏可比性，另一方面也导致商业银行内部控制评价体系难以统一，评价结论缺乏可信度。

在评价程序和方法方面，由于内部控制评价程序和方法较多地涉及到了银行的商业秘密和信息成本，直至2010年，我国仅有1家银行对此进行了披露。自2011年起实行的《企业内部控制评价指引》将内部控制评价的程序和方法纳入了强制性披露范围，2011年披露该项信息的银行增加至13家，占比81.3%；2012年、2013年，16家银行均披露了内部控制的评价程序和方法。

在缺陷认定标准方面，2011年、2012年有13家银行披露了内部控制缺陷的认定标准，且2012年只有北京银行对内部控制缺陷的认定标准进行了量化；2013年，披露缺陷认定标准的银行数量上升至16家，对其进行量化的银行达到了13家。

在内部控制缺陷认定及整改情况方面，2011年有4家银行对此进行了披露，2012年仅2家银行进行了披露，2013年，除光大银行和浦发银行未披露缺陷整改措施外，其余14家银行均进行了披露。然而，即使银行披露了缺陷整改情况，但对于存在的内部控制缺陷，却以在可控范围内且已经得到整改或对内部控制目标的实现不构成实质性影响为由没有做详细披露。因此，我国上市商业银行在进行内部控制自我评价时，会选择性地披露有利信息，缺少实质性内容的披露。

在内部控制评价结论方面，近三年，16家上市商业银行所披露的内部控制自我评价报告均得出了内部控制体系设计合理并运行有效的结论，而缺乏如何有效利用内部控制评价过程与评价结果的披露。2011年，仅招商银行和民生银行对此进行了披露，招商银行针对内部控制评价过程审计成本问题研发了新的审计软件，以降低评价成本并保证评价效果；民生银行则通过将内部控制评价结果与业绩评级挂钩，提高了对内部控制自我评价结论的关注度；2012年，16家上市商业银行均未提及如何有效利用内部控制评价过程与评价结果；2013年，仅平安银行在内部控制自我评价报告中提及将内部控制评价的结果与内部控制管理体系相衔接，及时梳理流程、风险点和控制活动，以充分发挥内部控制评价结果对内部控制建设的推动作用。

（三）分析结论

通过上述近三年来我国上市商业银行内部控制自我评价报告的数据分析可以发现，上市商业银行披露的内部控制自我评价报告逐渐得以改善。然而，仍存在一些问题：第一，内部控制自我评价的内容缺乏充分性；第二，内部控制自我评价的依据缺乏可比性；第三，内部控制自我评价的信息披露缺乏规范性；第四，内部控制自我评价的结论缺乏关注度。

表1 披露内部控制五要素评价情况统计

表2 我国上市商业银行内部控制自我评价报告的法律依据

三、完善我国上市商业银行内部控制自我评价的建议

在我国，商业银行内部控制自我评价起步较晚，还处于探索阶段，因此存在一些问题。针对上述分析中存在的问题，本文认为可以从以下几个方面进行完善。

（一）制定企业内部控制信息披露的指导细则

我国上市商业银行内部控制自我评价的信息披露缺乏充分性和主动性，主要表现在银行较少地披露内部控制评价范围的具体内容和内部控制缺陷认定标准。本文认为导致这一问题的主要原因在于企业内部控制信息披露缺乏具体的指导细则。虽然《基本规范》和《企业内部控制评价指引》规定了企业内部控制评价应披露的内容，但更多的是理念、要素和框架的指导，对每一项内容并未做详细的规定。鉴于此，本文认为监管机构应基于现有的规范，针对不同行业的性质制定出相应的内部控制评价报告披露内容的侧重点；在确定具体披露内容时可以运用标杆管理法，参照行业内优秀银行的做法确定应披露的信息，比如，2013年16家上市商业银行均披露了内部控制自我评价的范围和缺陷认定标准，但这两项均做详细披露的银行却不多，其中仅北京银行和平安银行既充分披露了内部控制的五要素，对于内部控制缺陷的认定标准又分别从定性和定量两个层面进行了详细说明，可以为其他银行提供借鉴。

（二）采用科学的内部控制评价行业标准

五部委、上交所、深交所针对企业内部控制评价分别出台了评价标准，但对内部控制各方面的规定不尽一致，导致各银行内部控制自我评价采用多重标准现象的出现，使得评价信息缺乏可比性。因此，金融监管机构应发布针对银行业的内部控制评价指引，包括一般标准和具体标准。一般标准为银行内部控制评价提供宏观框架，明确内部控制评价的目标及内部控制构成要素等基本概念。具体标准细化银行内部控制评价的实务标准内容，指明每个业务单元的关键控制点；规定应采用定性与定量相结合的方法对内部控制评价程序和方法及缺陷认定标准进行披露；在对内部控制有效性结论定性披露的基础上应进行量化评估，以增强银行间内部控制评价结论的可比性。

（三）加强企业内部控制信息披露的监管

我国上市商业银行内部控制自我评价很大程度上流于形式，评价的内容不一、格式不规范、质量不高、执行力度不够，且不乏虚假信息的披露。这一方面与缺乏明确的内部控制评价标准有关，另一方面也与监管部门监管不力，惩罚不严有关。对于管理层不履行内部控制评价及信息披露责任、内部控制评价不实、披露虚假内部控制信息及审计师出具不符事实的内部控制鉴证意见等，我国缺少明确的法律条文来规定管理层和注册会计师应承担的法律责任。因此，我国应完善企业内部控制的法律法规，明确相关责任人的行政责任、民事责任和刑事责任，以此来规范企业内部控制评价及信息披露。

（四）促进内部控制评价结论与银行内部控制建设的融合

商业银行应当对内部控制评价的结论给予关注。一方面，应规范缺陷及整改措施的披露，细化内部控制缺陷分级的具体标准，建立内部控制缺陷及整改数据库。持续完善符合战略发展及风险管理要求的内部控制管理体系，加强全面风险管理，构筑牢固的风险管理防线，把握风险管理的关键控制点，做到内部控制评价体系与缺陷纠正机制的“快速反应”，提高内部控制机制的有效性，及时防范化解经营风险，有效支持战略目标的实现，促进银行可持续健康发展。另一方面，持续完善内部控制系统建设，通过系统自动控制推进内部控制评价工作标准化、常态化。银行应在推进内部控制评价系统模块的基础上，总结经验教训，从系统操作便利性、功能扩展性等方面，持续完善系统功能并推广运用；同时，把部分内部控制提前嵌入系统，促进内部控制流程与信息系统的有机结合，加强对业务和事项的自动控制，提升内部控制的质量。