上市商业银行内部控制信息披露问题及研究

摘  要：银行因不可替代性、特殊风险性等原因，需要重视内部控制信息的披露。尽管我国对于内部信息披露作出了强制性规定，上市商业银行在这一方面仍存在很多改进空间。本次调查以14家上市银行作为研究对象，通过分析年报和内控评价报告，结果表明内部控制信息披露仍存在大量问题，大多数银行披露信息的有效性有提高。

关键字：上市银行;内部控制;信息披露

引言：

自20世纪以来全球经济不断发展，但与此同时相应监管控制体系却未完善，这导致财务丑闻频出，造成了巨大的经济损失。银行业内更是财务丑闻的重灾区，譬如造成75亿美元巨额亏损的摩根大通“伦敦鲸事件”;瑞士信贷帮助避税支付逾25亿美元罚款……中国也不乏这样的案例，农业银行员工内外勾结，私刻公章诈骗一案涉案金额高达14亿、邮储银行某支行行长非法套现79亿元，各种商业银行大案屡屡见报。

纵览各种案件，我们不难发现违规操作、高层犯罪、财务造假以及不良贷款等内部原因造成了众多金融大厦轰然倒塌，种种迹象都表明内部控制若存在缺陷，极易导致风险警报不断拉响。

1.样本选取

我国目前有A股上市的36家银行，分为中央银行、国有大型股份制商业银行、全国性股份制商业银行、城市商业银行以及农村银行。本次调查选取各类别中较有代表性的14家，通过比较年报与内控评价报告披露的相关信息，来判断我国上市银行信息披露现状。

2 我国上市银行内部控制信息披露现状

2.1 上市银行内部控制信息披露相关制度和依据

我国内部控制制度起步较晚，发展到现在可以归纳为三个阶段，即自愿阶段、半强制阶段、更具强制性的半强制阶段。最开始的自愿阶段可以说是一个从无到有的过程，在这一阶段中没有一份单独的内部控制制度法律法规，相关规定包含在其他的准则中。这些规定没有强制性要求、没有统一的规定，鼓励企业进行自愿披露，也不需要提供内部控制评价报告，在性质上偏向于指导性条例。到2006年，《上市公司内部控制指引》的发布代表着我国的内部控制制度进入了一个快速发展阶段。在此期间，内部控制信息的披露具有强制性，但是对于信息披露的规定不统一、缺乏可操作性。财政部、证监会对于企业建设内部控制及其执行情况有了更严格的要求。至2010年，我国内部控制制度基本成型。所有上市企业必须披露内控评价报告和内控审计报告，信息披露的强制性得以进一步加强。

每一家商业银行内部控制信息披露依据也各不相同。从调查结果可以得知每一家银行的披露都依据了《企业内部控制基本规范》、《企业内部控制配套指引》。但在年报和内部控制评价报告中披露的依据中，并不是每一家银行都参照《中华人民共和国商业银行法》、《商业银行内部控制指引》和《上市公司内部控制指引》。由此看来，我国上市商业银行并没有统一的披露依据，也可以推断出不同银行内部控制制度存在差异，整体框架也不尽相同。

2.2  上市银行内部控制信息披露形式和载体

上市银行内部控制信息披露的载体，就是商业银行通过哪一种管道向信息使用者传递有关内控信息。现有披露载体较为分散，随着相关规定的不断完善，内控评价报告和内控审计报告逐渐成为信息披露最为重要的主体。而年报中，公司治理报告、董事会报告、监事会报告、重要事项都有披露相关信息，大型银行披露信息的载体更为多样化。年报中有披露具体的内控制度规定、内控组织架构和制度变化情况，但是形式各异、内容杂乱，同样的内容在不同银行的年报所处位置也不尽相同。有的银行的披露较为详细且可以从目录中快速查询，有的却是语句简略不包含实质性内容。总体来看，各家银行都在逐渐将内控信息的披露重点向内控评价报告转移，内控披露的载体逐渐规范统一。

内控信息披露的载体虽然逐步相似但是仍有差异，主体框架不同在所难免，这就导致信息使用者在获取信息时不能直指目标。

2.3内部控制信息披露内容和质量情况

2016年起，每一家银行都于第一季度正式发布上一年的内部控制评价报告，当前，上市银行的评价报告格式内容具有相似性，具有以下特征：

1.名称与格式

上市银行内部控制评价报告有两种命名方式，一类是“xx股份有限银行20xx 年度内部控制自我评价报告”，有的银行则使用另一类方式——“xx股份有限银行20xx年度内部控制评价报告”。在格式上，则统一划分为四个部分，分别为重要声明、评价结论、工作情况以及相关重大事情说明。可见上市家银行在披露形式上都遵循了相关法律法规。

内部控制披露详情

首先，從披露缺陷来看，只有P银行于2017年认定了重大缺陷，剩余的银行只存在一些一般缺陷。大部分内控评价报告对于存在的一般缺陷一带而过，使用的描述性语句具有高度重复性，大都形如“报告期存储器在一些有待改进的一般性缺陷”或是一般缺陷在可控范围内，存在形式化的嫌疑。只有N银行在2017年的评价报告中指出“在贷款、票据、理财及代销、柜面等业务操作部分存在一般缺陷”;A银行较为详细的支出各设计性缺陷、运行性缺陷的具体个数涉及方面及占内控缺陷的比例;N银行在2017年、2018年甚至没有提及是否存在一般缺陷。或者本该定量阐述的地方使用定性的描述，企图蒙混过关。由此看来披露信息的实质性也有待考。

其次，上市银行的内控评价报告内容多数年度并没有较大改变，有报喜不报忧的倾向。譬如三年下来只有P银行在2017年披露存在重要缺陷。这种现象的出现，有可能是因为上市银行为了应付监管，披露的这些缺陷都不足影响投资者对银行的投资企划。真正影响投资的重大缺陷，银行可能选择隐瞒。

最后，在对评价报告上一年度整改情况和下一年度改进方向进行横向对比时，发现有此内容的银行除了A银行、G银行都只是进行泛述，甚至描述极其相似，对于风险管理仅仅作出正面的评价。在纵向对比时，各家银行下一年改进方向相似度极高，只是在部分地方替换措辞，其中B银行甚至三年下来都没有变化;上年度整改情况用词雷同，足见披露缺乏主动性。

3上市银行内控及信息披露缺陷

3.1认定内控缺陷范围不同

按照相关法律法规的规定，企业在披露内部控制信息时应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督开展，明确评价范围，并以此作为进行内控缺陷识别的基础。根据14家上市银行三年来内控评价评价报告，所有的上市银行都披露了相应的认定范围，纳入评价的主要单位均包括银行总行、支行和各个附属机构。但是各家银行在具体业务范围和事项认定范围各不相同，大致可以分为两类：

第一类从公司、业务流程和信息系统这三个层次，从而对内控设计和运行进行全方位的分析。公司层次主要业务和事项以内部控制五要素为主，例如公司治理、发展战略、组织架构等;业务流程以较为具体的业务来认定内控缺陷;信息系统层面包括各种信息安全、信息系统等方面内容。14家银行中有7家银行采用此种方法。

第二类则是根据自身经营状况来划分具体业务。14家上市银行的内部控制评价报告中A银行最为详细，以2018年为例，运用RCSA、CSOX、DCFC等方法和基础上确定了25个主流程、213个子流程，并列出了针对不同风险点的控制活动，观感上就会使人更相信该份报告的真实性。详细数据更让外部使用者相信内部控制运行的有效性。

但是每一家银行详细出示的内容详尽程度各不相同，有详尽且具有说服力的平安银行，也有只说明“包括内控五要素五个方面的内容”一句话简单说明的银行，没有对每个要素分别进行详细的评价，更显得报告缺乏强有力的说服。

3.2  认定内控缺陷标准不同

根据内部控制评价报告可以看出不同的银行的缺陷认定标准各有不同。以此次研究的14家上市银行财务报告内部控制重大缺陷披露标准为例，我们可以看出认定标准各异，14家银行就有12种认定标准。认定差异主要表现在四个方面：首先是定量缺陷的标准，有的银行采用错报金额，也有的银行采用潜在错报金额，且不止局限在这两种标准。其次是缺陷对比对象，有利润总额、税前利润……再者，有的银行选择单一指标，有的银行选取部分财务指标进行组合。最后，财务指标比例设置也有高有低。这仅仅是财务报告内部控制缺陷重大缺陷。认定标准的不一致表明上市银行对于内控缺陷认定的随意性，这也导致构成缺陷的指标不具备可比性。

3.3上市银行内部控制信息披露失真

查阅相关资料后，笔者搜集到一部分上市银行三年间因违规被处罚的情况。但是在查看具体的内部控制报告时，却发现处罚情况在审计报告上均无具体体现，即使是没有重大、重要和一般缺陷的N银行也存在处罚记录，可见上市银行内部控制信息一定程度上存在披露失真的嫌疑。

4.上市银行内部控制缺陷信息披露问题原因分析

4.1内控缺陷认定标准难以统一

相关档中明确规定，内部控制缺陷的认定标准可根据按银行实际处境划分。考虑到银行规模大小、业务多寡，这一规定是合理的，但与此同时给了银行很大的自由空间。银行会尽量向市场传递银行运营良好的信息，若是内部控制中披露银行存在过多的缺陷，会使投资者丧失信心。因此银行为了自身的利益会尽力隐瞒自己的内控缺陷，报喜不报忧，尽可能将重大缺陷、重要缺陷隐匿不报。因此会选择对自己最为有利的认定标准。

其次，非财务报告的缺陷通常要考虑多种因素，这些因素有的时候难以量化，不同的银行有自己不同的战略目标，实际经营发生的情况也不可能一模一样。综合考虑之下就会出现内控缺陷认定标准难以统一的情况。

4.2法律法规以及监管不到位

2006年我国的内部控制制度进入半强制化阶段，多部档的颁布使得内部控制信息的披露逐渐规范化、统一化。然而大量问题却应运而生。

目前发布的法律法规多数是大方面的、停留在原则政策的，没有明确各责任主体的职责、违背法律法规所必须承担的责任或处罚。《基本规范》和《配套指引》仅仅从主要核心控制点进行了规范，但是却没有说明披露到底要详细到哪一种程度上。信息披露的依据是什么、形式又如何，都没有进行过详细说明。而且，以上两种档都没有详细规定虚假报告、隐瞒不报会有何种惩罚。注册会计师违背相关规定和职业道德应受到什么处罚也没有明文规定。种种规定的缺失都导致上市银行披露内控信息十分随意。

另一方面我国对于内部控制监管的力度也不够大。监管部门从业人员少，专业人士不够。

除了国家机构和企业内部的监管之外，注册会计师对于内部控制有效性的判断是一种有效的监管手段，内控审计报告也是一种信息披露的重要途径。但事务所出具审计意见时均采用简单的叙述，尽可能地降低事务所自身的风险，并没有实质性的意见。比如，“不存在重大缺陷”等模糊用词频繁出现，14家银行的报告中所有的评价意见都是“在重大方面保持了有效的内部控制”，而对结果产生的过程少有提及，信息使用者很难得到一些实质性信息。

4.3内控信息披露成本高

相关研究表明，审计费用对于信息披露质量有显著影响。但是内控信息披露的成本不仅包括审计费用，还有以下的一些成本存在：

首先是事务所注册会计师对内部控制实施审计的费用。相较于财务报表的审计费用，虽然内控审计的费用较低，但不可否认的是这就是一种增量支出。其次还有内部控制评价报告的披露成本、建立内部控制制度和维护内部控制制度所产生的管理维护成本。

上市银行内部控制审计费用很高，14家样本银行中，除了J银行、N银行和Y银行以外都在一百万以上，甚至有的银行已达上千万。随着近些年審计机构承担的风险加大，审计成本很有可能逐步增高，进一步加大审计成本。

除了显性审计成本外，还存在隐性的审计成本。比如非标准无保留意见的审计意见对公司声誉的不良影响，内控缺陷的暴露也会影响银行的商誉与社会地位。与此同时，过多提供内部控制信息可能产生竞争劣势。随着披露范围进一步拓宽，披露的信息可能会涉及一些商业秘密，公布出去以后一定程度上会损害银行的竞争优势。比如客户资源等方面的信息。以上原因都会导致上市银行丧失对内控信息披露的动力。

总体来说，上市银行详尽披露其内控信息收不抵支，为了避免过高的成本支出和规避风险，披露信息不全面不真实的问题也难免存在。

结论：不难发现虽然内部控制信息披露正逐年规范，但仍存在不少问题，譬如形式化严重、内部控制信息披露载体不一致外部使用者难以查询、相关规范性档不到位没有统一的格式……要解决这些问题我们仍有很长的路要走。

参考文献：

[1]杨有红;汪薇.2006沪市公司内部控制信息披露研究[J].会计研究，2008（3）：35-42.

[2]刘薇.上市银行内部控制信息披露问题研究[J].财会学习，2019，（17）：229-230.

[3]Yang.Y.E.The Relationship between Internal Control Information Disclosure and Agency Cost[J].Auditing Research，2010：82-88.

作者简介：姚晨晖，性别：女;出生年月：1998.1.9;籍贯：浙江省兰溪市;民族：汉;最高学历：硕士;目前职称：;研究方向：