1、1上市商业银行内部控制信息披露分析摘 要:内部控制信息披露报告主要是对内部控制有效性和执行情况的检测,同时也是利益相关者获得信息的载体。以沪深两市上市的 16家商业银行近三年的内部控制自我评价报告为样本进行分析,可以发现上市商业银行内部控制信息披露存在的问题,并找到相应的解决措施。 关键词:上市商业银行;内部控制;信息披露;问题及对策 中图分类号:F83 文献标志码:A 文章编号:1673-291X(2016)08-0177-02 一、内部控制信息披露概述 (一)内部控制信息披露的内涵 美国 COSO 将内部控制定义为由企业董事会、经理以及员工实施的,为保证经营的效率效果、财务报告的可靠性、遵
2、守法律法规等目标的实现而提供合理保证的过程。内部控制 5 要素包括:(1)控制环境;(2)控制活动;(3)风险评估;(4)信息与沟通;(5)监督。内部控制信息披露报告主要是对内部控制有效性和执行情况的检测,同时也是利益相关者获得信息的载体。 (二)内部控制信息披露的制度安排 近年来,我国上市商业银行内部控制信息披露相关制度法规的建设工作取得了较大进展。2010 年证监会发布的企业内部控制基础规范强制要求上市公司每年必须进行内部控制信息披露,同时对上市企业披2露内部控制报告的具体内容进行了详细规定。2011 年,为了进一步完善内部控制信息披露制度法规,财政部、证监会、审计署、银监会以及保监会等五
3、部委联合颁布了企业内部控制配套指引 。它融合了国际先进的经验以及近些年国内研究的成果,为构建完善的企业内控信息披露体系奠定了基础。这些准则的颁布类似于美国的萨班斯法案,为国内发展内部控制体系保驾护航。 二、上市商业银行内部控制信息披露分析 (一)上市商业银行内部控制信息披露的总体状况 截至 2015 年 12 月 31 日,沪深两市有上市公司 2000 多家,而其中上市商业银行仅有 16 家。深圳发展银行是国内上市最早的商业银行,21世纪初各大银行也陆续上市。由此可以看出,我国上市商业银行都很年轻,一套行之有效的内部控制信息披露制度法规就显得尤为重要。自五部委 2010 年颁发企业内部控制配套
4、指引强制性规定上市企业必须披露内部控制自我评价信息以来,内部控制自我评价报告成为上市商业银行每年必须披露的报告之一。 经统计分析发现,16 家上市商业银行在近三年都能够正式独立发布内部控制自我评价报告和专业机构审核意见。虽然,中国银行在 2012 年没有披露内控自我评价报告,但也披露了等同内控自我评价的内控报告,并披露了专业机构的审计意见。 (二)上市商业内部控制自我评价报告具体内容分析 本文以沪深两市 16 家上市商业银行为样本,选取其 20122014 年三年期间披露的内控自我评价报告合计 48 份进行分析。本文对样本公司3披露的报告内容进行比较,披露的具体内容(如表 1) 。 1.责任主
5、体、评价范围、评价依据、评价真实性声明等 4 个方面的披露。国内所有上市商业银行在近三年的披露中都确切表明内控自我评价报告的责任主体是董事会,董事会对报告真实性负连带责任。由于上市银行业务比较固定,其评价范围和评价依据方面在每年的披露内容中变化不大。 2.五要素也是上市商业银行的内部控制报告重要披露的内容。从统计分析结果可知,在 2013、2014 年所有银行都进行了五要素的披露。从报告中可发现,各大银行也在不断地完善五要素内容,从而使内控报告更加符合内控基本规范的要求。 3.内控评价程序和方法的披露。2012、2014 年大部分的银行均披露具体的内控制评价程序和方法,但是在 2013 年披露
6、的银行数剧减,仅仅只有 6 家,未披露的比例高达 62.5%。由此可见,2010 年 4 月内部控制评价指引的颁布促使各大银行开始尝试披露评价程序和方法,但是效果是非常短暂的。当然,也有一些具体内容披露的频率得到很大的提升,比如缺陷认证披露数,2012 年只有 14 家银行详细披露,2013 年以后所有银行都进行了披露。 4.整改措施的披露。披露数量由 2012 年的 6 家发展至到 2014 年的12 家,虽然也得到了很大发展,但还有一部分银行未曾披露此方面信息。总体来看,随着各大银行对内部控制越来越重视,各上市商业银行关于内部控制报告的披露内容也越来越详细。大多数上市商业银行内部4控制报告
7、内容基本上包括责任主体、评价依据、评价范围、评价程序和方法、缺陷认定、董事会声明、整改措施等内容。通过对比近三年的内控报告发现,虽然有些披露项目还需进一步的优化,但整体而言,大部分银行披露的内部控制报告正趋于完善。 三、上市商业银行内部控制信息披露存在的问题 (一)信息披露不完整,缺乏可比性 报告内容的完整性是内部控制信息披露体系有效性的前提,而 2010年内部控制评价指引颁布的主要目的也是使内部控制信息披露报告格式统一、内容完整,具有可比性。根据统计分析而知,2013 年有31.25%的银行未披露整改措施,而对于评价程序和方法在 2013 年披露的银行数仅仅占所有上市商业银行的 37.5%。
8、此外,各大银行虽然都披露内部控制五要素,但其内容的详细程度参差不齐,无可比性。 (二)自我评价报告缺乏实质性内容 目前,上市商业银行的内部控制自我评价报告主要披露银行内部控制现状以及执行效果。因此真实、有效的内部控制信息披露报告不仅可以加强银行的管理,而且更利于维护相关者的利益。从表 2 可知,2013年 15 家银行披露的内部控制评价报告中都得出了内部控制有效的结论,不存在重大和重要缺陷的结论,只有 1 家银行披露了内部控制缺陷。当然,也可能因为每个银行缺陷认证的标准不同,得到的结论不同。但无法否认的是,上市商业银行在披露报告的时候,会尽可能避免披露不利于企业的信息,很多内部控制报告流于形式
9、,无实质性内容。 (三)缺陷认证和整改措施缺乏规范性 5缺陷认证在内控信息披露报告中占有重要地位,虽然缺陷认证的标准直接决定了内部控制信息披露报告的结论,但目前我国没有明确的法律法规对此部分进行规定,银行可以自行认定,从根本上使得内部控制信息披露报告结论缺乏可比性。比如,2013 年浦发银行和宁波银行把缺陷认证分为财务类和非财务类,在财务类认证中依据利润收入为基准判断;2013 年建设银行以合并报表税前利润总和为依据认证财务类风险。 四、优化上市商业银行内部控制信息披露的对策 (一)监管部门加强监督检查力度 我国是一个以为数不多的机构监督庞大的金融市场的国家。一方面,监管部门需要完善相关制度法
10、规,统一内部控制评价标准,建立一套符合我国资本市场实际情况的上市商业银行内部控制信息披露体系;另一方面,监管部门应该完善内部控制信息系统,建立有效的内控考核机制。(二)借鉴国外先进的银行管理理念 由于我国资本市场的体制不够完善,我国金融行业在内部控制信息披露方面基础比较薄弱,因此,上市商业银行可借鉴国外先进的银行管理理念加强自身的管理和内控信息披露。在借鉴国外内部控制经验的同时,也加强了企业内部管理战略。在借鉴国外先进管理理念方面,我国银行业协会可以成立国际咨询委员会,为国内外银行业往来提供良好的交流环境和便利政策。 (三)规范缺陷认证及改进措施的披露 目前,在我国由上市商业银行自行制定内部控
11、制缺陷认证的标准。6对该部分的认证直接决定了内控报告结论以及所采取的整改措施。因此,统一缺陷认证标准,在一定程度上能提高银行业内部控制信息披露报告的可比性,提高经营者和管理者建设内部控制的积极性以及披露内部控制信息的自愿性,提升内部控制报告的严谨性与有效性。所以,规范缺陷认证是解决披露内部控制信息问题有效途径。我们可以从以下两方面规范缺陷认证。一方面,政府及有关部门应该根据市场调研细化缺陷认证,把缺陷认证分为财务类和非财务类,对于财务类项目进行量化处理,对于非财务类项目采取业务化质变分析。另一方面,提高外界对内部控制报告结果的关注。应该详细披露内部控制存在的缺陷以及整改措施所取得效果,还要详细披露内部控制固有的风险。只有不断规范缺陷认证以及改进措施的披露,上市商业银行内部控制信息披露才能逐步走向完善。
