内部控制重大缺陷是市值损失的导火索吗
——基于民生银行的研究

吴先聪（副教授），管 巍

一、引言

规范的内部控制是企业持续经营的关键。2008年6月28日，财政部同证监会、审计署等部门制定了《企业内部控制基本规范》（简称《基本规范》），该《基本规范》借鉴了COSO委员会制定的国际内部控制框架，并结合我国国情，要求企业建立与实施的内部控制应当包括下列五个要素：内部控制环境、风险评估、控制活动、信息与沟通和内部监督。内部控制体系中的任何一个要素如果存在设计缺陷或运行缺陷，都可能给企业造成损失，根据内部控制缺陷带来损失的严重程度可以将其分为一般缺陷、重要缺陷和重大缺陷。

商业银行主要是以存贷款业务、多种金融负债筹集资金、多种金融资产为经营对象，以营利为主要目的的金融服务机构。但近年来我国不断出现商业银行违规操作事件，不仅导致了公众的钱财损失，还引发了银行市值的大量蒸发，其本质是商业银行没有完善内部控制体系导致经营过程中出现纰漏。

近年来，我国商业银行营业网点的扩张速度较快（例如，2012～2016年间，民生银行网点数量由702个扩张至1119个），金融业务的复杂性和下属分行所在区域的差异性，导致总行不能全面有效地对各下属部门的日常运营进行监管，快速增长的网点数量给商业银行内部控制的有效执行带来了巨大的挑战。商业银行对下属部门监管不善导致其违规的事件屡屡发生，仅2017年6月各地区银监局累计公布的行政处罚就高达149项，平均每日约开出了5张罚单。

针对我国所处的经济时期，以及金融环境、银行业务结构和风险特征出现的新变化，银监会于2017年颁布了《关于切实弥补监管短板提升监管效能的通知》（银监发［2017］7号）。该文件分别从监管制度假设、风险源头遏制、信息披露监管、现场和非现场监管、监管处罚、责任追究六方面强调了加强银行内部监管的重要性。对于上市银行而言，由内部控制缺陷引发的经营问题披露后，股东会对银行未来的经营发展失去信心，怀疑银行股价所含财务信息的质量，为了规避风险甚至会抛售持有的股票，从而引发股价大幅下跌，进而导致银行市值发生严重损失，同时会使银行的信誉在业界受损，最终会影响银行未来的发展。

近年来民生银行的业务也发展迅速，在其2015年以及2016年年报中披露的非利息净收入均呈上升趋势，且毕马威会计师事务所均出具了标准无保留意见的审计报告。但2017年4月13日民生银行被报道出的“80后女行长30亿假理财”事件使得民生银行被推上了风口浪尖，银行内部一系列的内部控制问题引起了监管部门的关注。因此，本文选取民生银行作为研究样本，通过对民生银行2015年1月至2017年5月被报道的违规事件进行分析，考察商业银行因内部控制重大缺陷引发的违规事件对其市值的影响，这可以从一定程度上反映出新经济背景下我国商业银行发展所面临的内部监管难题，为我国商业银行发展提供参考，在理论与实践方面均具有研究意义。

本文的贡献在于：一是选取风险隐患较大的商业银行作为研究对象。以民生银行近年来的违规事件为研究案例，深入挖掘内部控制缺陷与市值损失的关系。以往的研究大多是从宏观的角度研究企业内部控制，例如，内部控制缺陷披露的经济后果分析[1]。二是选取能够代表内部控制质量的内部控制重大缺陷（Internal Control Material Weaknesses，简称“ICMWs”）作为切入点。以往研究大多集中于内部控制缺陷的认定[2]，把内部控制重大缺陷独立出来研究的较少。三是从银行市值的角度分析内部控制重大缺陷引发的后果。以往的研究主要研究了内部控制缺陷对投资效率的影响[3]、内部控制缺陷对审计收费的影响[4]等。因此，本文丰富了对于内部控制缺陷的研究内容，同时为考察内部控制重大缺陷对于银行的影响提供了新思路。

二、国内外文献综述

（一）内部控制重大缺陷

组织内部及外部相关部门根据内部控制五要素评价组织内部控制体系的有效性，如果发现内部控制设计或运行存在差异，则应判断其是否属于内部控制缺陷并评价其严重程度。但国内外还没有统一的标准用来评判内部控制缺陷的严重程度。王惠芳[5]认为应从会计业务层面和公司层面对内部控制缺陷进行划分，对于一般、重要以及重大缺陷采用定性与定量结合的方式进行评判。通过对在美国上市的公司的财务报告进行研究，陈武朝[6]发现许多重大缺陷是根据内部控制审计准则指出的可能存在重大缺陷的迹象来判定的，其他重大缺陷的认定则依据定义，并且披露的重大缺陷几乎涉及内部控制五要素的所有内容。经营规范的公司为了避免风险也会在我国内部控制基本规范的基础上自行设立内部控制缺陷标准。2012年财政部发布《关于印发企业内部控制规范体系实施中相关问题解释第1号的通知》（财会［2012］3号），要求企业从定性与定量的角度综合考虑，确立适合本企业的内部控制重大缺陷、重要缺陷及一般缺陷的认定标准。董事会作为监督管理层日常经营行为的组织机构，董事会监督职能越强，企业制定的财务报告内部控制缺陷定量标准越严格[7]。

有关重大缺陷的披露情况，Yazawa[8]以2009～2012年日本上市公司为样本，研究发现公司管理层任期越长、外部董事越少、管理层持股比例越高的上市公司越可能隐瞒内部控制重大缺陷。由此可知，管理层考虑到自身利益有动机对存在的内部控制重大缺陷进行隐瞒。同时，企业的外部投资者通常会在对公司进行综合评价后做出投资决策，但与存在账户层面的内部控制重大缺陷相比，投资者对存在公司层面重大缺陷情况的市盈率估计和投资吸引力评价更低[9]，说明公司层面重大缺陷存在的潜在风险更大，不可控性更强。因此，考虑到披露重大缺陷对企业内外部的影响，企业通常缺乏披露重大缺陷的动机。

此外，Kim et al.[10]研究发现，在SOX法案实施后，披露内部控制重大缺陷的企业贷款利差高于未披露内部控制重大缺陷的企业约28个基点，同时银行也会对存在内部控制重大缺陷的企业实施更严格的非价格条款。虽然公司倾向于隐瞒内部控制重大缺陷，但是缺陷最终会影响企业的经营业绩，因此企业应更关注重大缺陷的修复。审计委员会作为履行企业内部监督职能的部门，在完善企业内部控制体系中具有至关重要的作用。Goh[11]研究发现，企业具有较大规模、独立性较高的审计委员会且成员具有较丰富的财务专业知识背景时，更有能力在规定的时间内修复缺陷。He、Thornton[12]则发现重大缺陷披露后并不会降低投资者盈余感知质量，但当投资者收到缺陷修复后的审计报告时投资者盈余感知质量会提高。

（二）商业银行内部控制重大缺陷

商业银行资金流动性强、业务繁杂，虽然银行内部都依据相关法规建立了内部控制体系以监督日常运营情况，但是其可靠性不能得到保证。由2004～2013年间西班牙上市银行暴露出的严重违约事件可以看出，内部控制缺陷的隐藏是内部控制体系无效的主要因素[13]。内部控制体系无效主要体现在对操作人员的控制上。近年来报道的商业银行诈骗案大多与内部操作人员有关，这是因为内部员工熟悉银行的操作流程，进而可以避开监管体制谋取私利[14]，因此内部人员的无效监管是银行存在的一项重大缺陷。

针对缺陷的不同成因，国内外学者给出了相应的建议。针对内部控制体系的无效性，Panova[15]指出，应根据内部控制服务的功能要求分配专家以达到风险监控要求，同时董事会下属的审计委员会应在银行内部控制体系中有效地履行职能。因内部人员违规操作多与银行内部信息系统功能不完善有关，银行内部应设置具有金融背景的审计专家和IT人才，定期审查和调试系统，保证内部人员的操作权限合理规范[16]。

（三）内部控制重大缺陷对市值的影响

市值是指一家上市公司在证券市场上发行的总股数乘以股票价格的总量，因此一个公司的市值与其股票价格和总股数密切相关。Koester et al.[17]研究发现，在企业披露出与税收相关的内部控制重大缺陷后，股权和未确认税收收益的市场价值之间的正相关关系会减弱。缺陷披露后也会引发股票价格的下降[18]。普华永道2008年披露的数据显示，在内部控制审计中被出具否定意见的公司总体股价下跌了5%左右，说明内部控制缺陷会影响投资者的投资决策。Rezee et al.[19]研究发现，SOX法案在2002年实施后，延迟递交内部控制报告的公司与其股票收益率呈负相关关系，在具有较低的资产收益率、较高的销售增长率并且没有披露内部控制缺陷的公司，其股票价格下降得更加明显。因此，根据信号传递理论可知，公司存在内部控制重大缺陷会减弱投资者对企业业绩增长的信心，使得投资者抛售股票进而降低上市公司的市值。

（四）文献述评

综上所述，本文认为重大缺陷是指一个或多个控制缺陷的组合，可能严重影响整体内部控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。

目前已有研究讨论了内部控制重大缺陷的界定，分析了内部控制重大缺陷产生的原因、重大缺陷的披露情况以及披露后对公司的影响。但是已有文献均是从宏观层面探讨一般企业内部控制重大缺陷的影响，并没有对行业进行具体细分研究，尤其是金融行业与一般企业在业务和财务处理方面差异较大，内部控制重大缺陷产生的原因就会不同，产生的后果的影响程度也会存在很大差异。因此，本文用案例研究方法，深入银行内部控制要素的设计和运行，探讨银行内部控制重大缺陷以及重大缺陷是否会给银行带来市值损失。

三、商业银行内部控制重大缺陷的成因及后果

Defond et al.[20]研究发现，企业拥有的分公司越多，说明其业务越复杂，内部存在重大缺陷的可能性越大。商业银行作为经营资金的金融机构，必须在各地成立分行和支行以提高资金的融通和交易的便利性，网点的增加提高了商业银行内部控制体系的设立与执行的难度，导致商业银行没有形成有效的内部控制监督机制，进而形成重大缺陷。例如，针对2017年银监会披露的行政处罚，本文列出部分银行的违规记录，具体情况如表1所示。

表1 商业银行的违规记录

由表1中的信息可知，目前商业银行发生的违规事件主要源于内部控制环境较差、风险评估低效和控制力薄弱，这是因为：一方面，没有建立有效的职责分工和制衡机制，导致内部控制活动执行的基础薄弱；另一方面，针对大量贷款业务以及票据承兑、贴现业务的违规操作，银行没有设计好管理者的权限，导致内部人员有机会利用特权谋取利益。此外，由于银行的行业特殊性，业务的开展以及内部信息处理均通过信息系统操作，但对信息系统的依赖也加大了银行的信息系统风险。例如：巴林银行内部操作员利用系统漏洞违规操作，导致银行市值过度蒸发最终破产；法国兴业银行内部交易员“冲破”内部风险监控系统进而违规操作，导致银行市值损失49亿欧元。因此，本文主要从内部控制五要素中的内部控制环境、风险评估、控制活动以及信息系统安全问题角度出发进行分析，讨论商业银行内部控制重大缺陷的成因。

（一）商业银行内部控制缺陷的成因

商业银行集团下属分行分布范围广、组织结构层级较多，加之金融业务纷繁冗杂，导致银行设置的内部治理结构不能有效满足治理需求。同时，为了激励各下属银行积极发展业务，股东往往赋予管理人员较高的权力，导致管理层凌驾于内部控制之上，降低了内部控制效率。

1.内部控制环境较差。

（1）组织结构设置不合理。目前，各大商业银行都已根据银监会公布的《内部控制指引》规定的要求建立了相应的内部控制体系，但在实际经营过程中内部控制执行效率却较低。首先，各商业银行总行均在董事会下设立审计委员会，监督内部控制的有效实施和自我评价情况，但审计委员会成员主要由非执行董事组成，而非执行董事是否能够有效发挥职能，学者们的观点并不一致。此外，非执行董事在权力和关系都比较集中的商业银行中话语权较弱，对于银行实际的运营情况了解不全面。因此，审计委员会虽然提高了审计工作的独立性，但在一定程度上可能降低了审计效率。其次，基层内部审计机构独立性较差、话语权较弱。商业银行各分行主要通过风险管理部执行内部控制职能，然而风险管理部一般是隶属于行长等高管层的下属部门，由权力象征监督能力的原则可知，风险管理部对于基层高管的监督效力较差，银行基层还没有形成纵横交错的监督机制。最后，银行下属部门之间的职责界限不清晰，部门内部岗位的职责不规范，各支行常常出现前后台业务分离以及部门内管理人员和操作人员兼职的情况，削弱了内部控制监督职能。

（2）部分员工的职业道德素质较低。由于银行对于市场经济影响较大，而我国商业银行的国有股权相对集中，其目的是稳定市场经济的可持续发展，因此商业银行的高管多数是由政府直接任命，且部分高管具有较强的政治关系。从2001年中国银行行长王雪冰涉嫌洗黑钱和违规贷款，到2012年多家银行高管相继被调查，银行高管的违规操作开始引起人们的关注。银行高管作为股东的代理人，在自身利益没有得到满足时有动机通过侵害中小股东利益谋取私利。由于中小股东对于银行高管的监督成本较高，因此其缺乏监督动力和能力。此外，由于银行大多以存贷款业务数额进行业绩考核，因此基层员工为了获得奖励有动机违背职业道德，骗取公众钱财以及发放不良贷款，并利用职权之便隐瞒违规操作记录。Levine et al.[21]指出，银行可将其资产的风险成分迅速转移至非金融行业，并且轻易地隐藏问题，因而金融机构过度的风险承担不仅会影响债权人，而且会影响存款人、纳税人乃至整个金融体系。因此，缺乏对银行内部人员的有效监督是商业银行存在的内部控制重大缺陷之一。

2.商业银行信息系统安全问题。信息系统本身固有的风险在加大，同时银行作为信息化技术与产业相对密集的行业对于系统风险的防范要求更高[22]。目前，各大银行都已经实现了数据的集中管理以及账务与业务的同步记录，但同时也加大了银行对于网络系统的依赖。首先，各银行内部实现了网络化统一，实现了所有客户账户信息的共享，包括个人身份、资金往来、资金存储量等私人信息；其次，银行日常业务（包括资金的筹集与发放）均通过后台系统同步记录；最后，对于商业银行的运营风险，通过系统统计的各项数据进行评估与监控。因此，相对于其他行业，银行对于信息系统的依赖度更高，系统安全问题给银行带来损失的可能性更大。

但是由于信息系统软件工具的特殊性，系统设计完成后需要不断完善来满足用户的需求，已经设计好的系统也可能存在漏洞，因此作为了解系统操作流程的内部人员有机会利用系统的漏洞进行违规操作进而产生操作风险。而且信息系统管理作为银行内部管理的一部分，同样需要内部审计人员进行系统合规性审计，但目前同时具备审计专长和计算机专长的人才较少，审计师可能无法完全识别系统存在的缺陷。普华永道的数据显示，信息安全平均成本和数据保护的漏洞事件在2015年增加了两倍，对孟加拉中央银行、泰国国有政府银行ATM的攻击都显示出罪犯的专业性和有组织性。此外，近日报道的勒索病毒也对各大机构的信息系统造成了严重损失，所以信息系统漏洞是银行内部控制中存在的重大缺陷。

3.风险评估与控制活动问题。近年来由于商业银行之间的竞争加剧，各大银行积极拓展新业务以吸引更多的资金投入，导致商业银行对于隐藏风险后果的评估与控制的难度加大。《新巴塞尔资本协议》认为操作风险逐渐上升是商业银行面临的主要风险。由于商业银行对风险认识不够、重视不够，导致银行出现重大损失。例如，2018年1月19日，浦发银行成都分行因向1493个空壳企业授信775亿元遭受4.62亿元罚款，这说明浦发银行在授权、查证、核对等过程中缺乏对隐藏风险的控制，在授信过程中没有采取必要的措施进行复核以管理风险。如果在风险评估过程中没有准确识别风险或者评估风险发生的可能性和影响程度，会导致银行不采取控制措施或者采取不当的控制活动，最终导致商业银行的市值损失。

（二）商业银行内部控制重大缺陷的后果

根据社会心理学理论可知，人类个体在做出选择时会对事件本身以及周围人对事件的态度进行综合考虑。同时，人们对于风险的感知往往较为敏感，人的大脑会潜意识地放大风险带来的损失。商业银行的治理难以观察，但其股价的波动性与内部治理的成效显著关联，内部治理的成效越好，股价的非系统性波动越大[23]，所以当银行因内部控制问题引发损失时，外部投资者会怀疑银行内部控制体系的有效性以及银行披露的信息质量，从而对银行未来业绩的增长持消极态度。为了规避风险，投资者会减持银行的股票或者清仓，进而引发证券市场股价的下跌。由于上市公司的市值是由其每股股票的市场价格乘以发行的总股数计算得出，加之证券市场投资者并非均是理性投资者，非理性投资者常常会使证券市场出现羊群效应，在商业银行违规操作造成损失的信息披露后，股民的从众行为会加剧股价的下跌。因此，银行的内部控制重大缺陷会引发市值的重大损失，内部控制重大缺陷是新时期商业银行面临的巨大挑战之一。

四、典型案例分析——以民生银行内部控制重大缺陷引发违规事件为例

（一）违规事件简介——禁而不止

民生银行作为国内第一家民间资本筹集设立的商业银行，目前已发展为资产总额超过5.2万亿元、分支机构近3000家、员工近6万人的大型商业银行。银行业务主要涉及公司业务、投资业务、交易业务、消费信贷、小微金融以及资产管理等方面。为提高运营质量，民生银行根据证监会以及银监会的要求，在监事会下设有区域审计中心、审计部，在董事会下设有审计委员会、风险管理委员会，对银行整体实施内部监管，在行长层级下也设有风险管理、资产监控等内部控制部门。虽然业绩呈现上升趋势，但近年来民生银行违规事件的报道也逐渐增多。考虑到处罚机关的权威性和影响力以及公众对于事件的关注度，外部投资者主要根据证券交易所、证监会以及银监会披露的处罚信息进行投资决策，所以本文主要列举由上述三类机构披露，并且在百度搜索引擎中事件搜索在当年违规事件中排名靠前的记录，具体情况如表2所示。

表2 民生银行违规记录

2015年8月6日，针对民生加银基金管理有限公司（简称“加银基金”）在相关基金募集过程中，没有在招募说明书中向投资者如实披露拟更换基金经理的重要信息，违反了《公开募集证券投资基金运作管理办法》以及《证券投资基金信息披露管理办法》的相关规定。2015年12月12日，民生银行非执行董事郭广昌存在违规行为，公安机关对其进行立案调查。

2016年4月18日，中国信息安全测评中心披露的报告显示，加银基金内部信息系统未设置授权访问，导致内部人员信息与APP安全存在高危漏洞，违反了《证券期货业信息安全保障管理办法》。2016年7月19日，因民生银行信息披露不完善，上海证券交易所下发《关于中国民生银行股份有限公司股东增持事项的监管工作函》，要求股东披露增持公司股份的有关事项。

2017年2月22日，针对民生银行修改公司章程的事件，上海证券交易所对其下发监管工作函，对其明确规定了监管要求。2017年4月13日，民生银行北京分行航天桥支行行长张颖利用职务之便，通过控制他人账户作为资金归集账户，编造虚假理财产品，非法募集客户资金用于个人支配，涉案金额约16.5亿元，违反了《私募投资基金监督管理暂行办法》。2017年5月22日上海证券交易所指出民生银行独立董事数量未达到上市公司要求，其中两位董事任职年限已超过最长期限六年，同时还未及时披露关联交易协议生效的先决条件，说明其交易披露不完整，风险提示不充分，违反了《关于在上市公司建立独立董事制度的指导意见》《上海证券交易所股票上市规则》的规定。

（二）违规原因透析——内部控制缺陷

上述违规事件之所以发生主要是因为以下两点：一方面是违规事件主体追逐利益的想法构成了违规操作的动机；另一方面是民生银行内部控制重大缺陷给相关人员提供了违规操作的机会。本文主要从内部控制视角分析银行的违规机会。目前，民生银行建立了内部控制体系，设立了监事会、审计委员会、风险管理委员会来监控银行整体业务的发展，但民生银行的内部控制仍存在一些缺陷。例如：由于控制环境存在问题，一些分行行长的权力凌驾于内部控制之上以谋取私利；管理层风险意识和风险应对能力不强；信息系统的安全防范没有满足业务快速扩张的需要。

1.内部控制环境问题。民生银行的内部控制环境问题主要源于董事会及分行行长等高级管理人员的价值取向、治理机构之间缺乏相互制约以及治理层和管理层缺乏对内部控制的重视三方面。

其一，民生银行持有加银基金60%的股份，是控股方，公司设立之初，民生银行在上交所公告承诺按照《商业银行信息披露暂行办法》做好相关事项的披露工作，但事实并非如此。其2015～2016年加银基金出现的违规事件主要与信息披露不充分、违规获取利益有关，说明加银基金董事会与审计委员会对于活动决策的监督不独立，导致管理层没有如实披露决策信息。其二，在北京航天桥支行销售假理财产品事件中，行长张颖利用控制权将资金在账户间进行违规转移，而根据民生银行建立的内部控制体系，发现民生银行往往将基层银行行长视为内部控制的实施者，忽略了基层银行行长也是被控制的对象，导致其凌驾于内部控制之上，从而滋生道德风险。其三，未及时披露股东增持的信息、未按规定聘请独立董事以及运作不规范的问题，说明治理层没有对内部控制持有正确的态度，未给予足够的重视。民生银行董事会没有依法建立健全内部控制体系并有效实施，监事会对董事会的建立与内部控制的实施没有进行有效监督。审计委员会主席一般由独立董事担任，而民生银行未按规定聘请独立董事，降低了内部审计的效率。

由于业务的交融性，上述控制缺陷的组合严重影响了民生银行内部控制的有效性，偏离了整体内部控制的目标，使得企业无法及时防范风险，从而让违规操作有机可乘，最终导致违规事件的发生。

2.信息系统安全问题。目前多数银行已完成财务系统的整合，形成业务与财务的统一。加银基金通过民生银行吸纳的资金进行股票、债券等金融工具的投资，两者之间资金的流动均需通过信息系统后台交易。但中国信息安全测评中心评估报告显示加银基金存在信息系统漏洞，考虑到业务连接性，说明民生银行内部也存在潜在的系统安全问题。对于航天桥支行假理财事件，通过销售假理财产品吸纳的巨额资金并没有在民生银行的财务系统中显示，说明行长张颖将资金转移到了其他账户，用于投资房地产、文物以及珠宝等。但银行相关业务的办理按规定必须通过银行柜台的信息系统操作，说明银行的系统对于资金的流向监管存在漏洞。张颖通过银行内部系统控制他人账户作为资金归集账户不断吸纳资金，说明民生银行内部的信息系统缺乏对内部员工操作权限的有效设计或者监控，使得内部人员能够接触到客户的个人信息及账户信息，在一定程度上也增加了内部人员寻利的动机。

3.风险评估与控制活动的低效。通过上述事件可知，民生银行面临的主要风险是业务操作风险。北京航天桥支行行长张颖利用控制权谋取私利的行为并非首例，根据近几年各地银监局的处罚公告可知，民生银行各地分行因为员工违规操作导致银行承担了巨额罚款。这是因为：一方面，管理层对于操作风险不够重视，没有准确评估操作风险的后果和可能性；另一方面，对于基层银行业务操作的控制力度较低。例如，在北京航天桥支行假理财事件发生后，银行相关发言人承认银行内部操作管理存在重大缺陷，但民生银行只是积极调查该事件的缘由，并没有针对此类事件的相关风险进行细致的调查与评估，采取必要的措施防范潜在风险的发生，导致该事件发生后民生银行各地分行仍存在违规行为。由于商业银行业务复杂程度偏高，导致部分人员对于资金流向的操纵权力较大，但民生银行并没有建立因释放权力带来的潜在风险相关的管理机制，使得业务审查与资金流向监管中对于操作风险的控制力度较弱，进而导致民生银行近几年频繁收到监管部门的罚单。

（三）违规后果分析——市值蒸发

根据上述理论分析可知，商业银行内部控制重大缺陷为员工违规操作提供了机会。当监管部门披露员工的违规事件并对其进行处罚后，投资者一方面会怀疑银行财务信息质量的真实性以及股价信息的真实性，另一方面面对监管部门的处罚对股价走势持消极态度。综合上述两方面的原因，股东在内部控制缺陷导致违规事件发生之后，从规避风险的角度出发会大量抛售持有的股票，导致股价大幅下跌进而引发市值损失，因此本文采取事件研究法进行验证。

1.研究方法。对于上述由内部控制缺陷引发的违规事件，本文根据上海证券交易所、国泰安（CSMAR）数据库披露的数据选取［-3，3］作为事件窗口期（在窗口期内出现停止交易时如在披露日前则向前延伸，如在披露日后则向后顺延），利用事件研究法考察违规事件导致民生银行股价和市值发生的变化。本文参照Dodd、Warner[24]的做法，采用以下市场模型法计算超额收益：

公式（1）利用估计窗口［-60，-3］的数据，通过OLS回归方法估算系数αi和βi，并假设在整个事件发生前后参数αi和βi保持不变，将其作为估计预期收益率的参数。其中：Rit是i公司（即民生银行，后面用Rt代替）第t个交易日的实际收益率；Rmt是市场收益率。本文采用国泰安（CSMAR）数据库流动市值加权平均市场日回报率作为Rmt，εit是回归的残差项。公式（2）用来估计事件期［-3，3］民生银行第t个交易日的预期收益率E（Rt）。

公式（3）计算事件期［-3，3］民生银行第t个交易日的超额收益率ARt；公式（4）计算事件期［t1，t2］的累积超额收益率CAR［t1，t2］。

2.研究结果与分析。本文通过SPSS软件对相关数据进行统计分析，发现民生银行因违规事件的披露导致股价发生波动，具体情况如表3所示；因市场反应产生的累积超额收益率如表4所示，CAR具体波动情况如图所示。

表3 违规事件前后股价变化情况 单位：元

表4 违规事件前后累积超额收益率

事件窗口期CAR变化图

由表3和图可知，在-3～-1日股价开始出现小幅下降，这可能源于违规事件披露前监管部门会对银行进行调查，这一举动向具有外部信息资源优势的庄家传递了信号，在具体消息报道前庄家为了规避风险会小幅度减仓。在0～3日期间股价整体呈现下降趋势，并且0～1日股价在整个事件窗口期下降幅度最大，这是因为违规事件披露后证实了银行内部控制存在缺陷，出于对银行内部控制是否有效以及未来股价浮动的考量，银行外部投资者会大幅减仓，此时股票价格开始下跌，进而会导致市值发生重大损失。

由上述结果可知，一方面，商业银行内部控制重大缺陷增加了员工采取机会主义行为的机会，为员工违规操作提供了便利；另一方面，银行没有有效控制员工的操作风险，使得违规事件大量发生，而商业银行违规事件的披露会导致银行市值在短期内严重蒸发。因此，商业银行内部控制重大缺陷会导致市值大量受损。

五、结论与建议

（一）结论

对于商业银行而言，其业务涉及范围广、资金数额往来巨大、投资交易不确定，常常导致银行遭受巨额损失。鉴于此，本文以民生银行为研究案例分析了内部控制重大缺陷的主要成因，发现内部控制环境较差、风险评估和控制活动的低效以及信息系统风险是主要成因。此外，内部控制重大缺陷给违规操作提供了“便利”进而导致了违规事件的发生，而违规事件除了本身存在损失，还会使得银行的市值大量蒸发。因此，商业银行内部控制重大缺陷会导致市值发生重大损失。

（二）建议

近年来民生银行等多家商业银行多次接到监管部门的罚单，使得各方严重怀疑金融机构内部运作的规范性。虽然违规事件发生后银行均及时承诺会对其进行修正，但由于商业银行业务极其复杂且对内部进行全面有效监管的难度较大，因此整改措施在执行方面存在很大的难度。而且由于基层部门业务、资金相互交错，导致内部控制重大缺陷的修复措施存在延迟生效的可能，进而促使在违规事件发生后的整改期间又出现新的违规情况。同时，金融机构对于外部经营环境较为敏感，新的市场经济环境不断对银行内部监管提出新的要求，如果银行不能根据环境变化及时调整内部控制体系以加强风险防控，内部控制就可能出现新的漏洞进而导致违规事件的发生。因此，根据上面的案例分析结果，针对整改商业银行内部控制重大缺陷以降低市值损失，本文给出以下建议：

1.加强对资金流动的监控。针对内部而言，商业银行可以成立专门的资金监控中心进行试点运营，配备专业的具有较好职业操守的工作人员，对各支行的资金流动与业务开展进行严密的把控，使总行与支行形成信息集成与共享，实时监控银行的资金流动，完善内部控制环境。针对外部而言，银监会应该成立专门的机构定期审查各大银行的资金往来，对于资金与业务的匹配进行核实，同时也应该加强执法人员职业道德的培养，提高执法效率，从而形成有效的外部监督机制。

2.加强对基层银行负责人的管理。首先，银行应该明确内部管理者的职责权限，加强对基层负责人的监管，避免基层负责人权力过于集中形成只手遮天的局面；其次，银行应建立完善的绩效考核与评价机制，考虑实施“胡萝卜与大棒”并行的奖励与惩罚制度，提高职工的工作效率与工作质量。同时，应加强员工职业道德素养的培训，对员工加强法制教育宣传工作，使员工明确自己的职责并严守规章制度；最后，银行应建立完善的内部审计制度，可以建立与支行负责人同层级的审计部门并直接向总行汇报，提高审计部门的独立性与权威性。

3.完善信息系统的开发与维护。为了避免系统漏洞可能带来的潜在损失，银行应考虑成立专门的部门自行开发信息系统，合理规划管理者操作权限。使计算机系统后台服务器运行状态向开发人员自动进行时段性汇报，避免风险进一步扩大。同时，内部审计部门也应培养兼具审计知识背景与信息化技术的复合型人才，定期测试经营业务与系统功能的拟合度，完善信息系统的功能，降低系统的风险。同时，有效利用信息系统来加强内外部风险防控工作，降低因环境变化引发的风险。

4.加强市值的经营与管理。市值管理是对内在价值与市场价值的综合管理，因此商业银行必须首先从内在价值创造的驱动因素出发，注重内部财务管理、客户与投资者关系管理以及完善内部治理结构。在应对客户与投资者的关系管理方面，银行应及时、准确地披露相关经营信息，加强与客户以及投资者的沟通，同时建立高效的客户与投资者关系管理团队，提高双方的合作信任度。其次，违规事件发生后，银行应及时有效地披露解决办法，并同步跟踪事件解决进度，提高投资者对银行未来运营绩效增长的信心，从而降低市值损失。最后，商业银行应充分利用资本运作提高银行盈利能力，从投资者利益角度出发，合理运用资本手段将市值溢价转换为股东财富，提升市值管理水平。同时，良好的资本运作也会向外界传递经营利好的信号，吸引潜在的投资者投资以提升企业未来的市值水平。

［1］谢凡，曹健，陈莹，李颖.内部控制缺陷披露的经济后果分析——基于上市公司内部控制强制实施的视角［J］.会计研究，2016（9）.

［2］丁友刚，王永超.上市公司内部控制缺陷认定标准研究［J］.会计研究，2013（12）.

［3］张超，刘星.内部控制缺陷信息披露与企业投资效率——基于中国上市公司的经验研究［J］.南开管理评论，2015（5）.

［4］盖地，盛常艳.内部控制缺陷及其修正对审计收费的影响——来自中国A股上市公司的数据［J］.审计与经济研究，2013（3）.

［5］王惠芳.上市公司内部控制缺陷认定：困境破解及框架构建［J］.审计研究，2011（2）.

［6］陈武朝.在美上市公司内部控制重大缺陷认定、披露及对我国企业的借鉴［J］.审计研究，2012（1）.

［7］谭燕，施赟，吴静.董事会可以随意确定内部控制缺陷定量认定标准吗？——来自A股上市公司的经验证据［J］.会计研究，2016（10）.

［8］Yazawa K..The Incentive Factors for the（Non-）Disclosure ofMaterialWeaknessin Internal Controlover FinancialReporting：Evidence from J-SOX Mandated Audits［ J］.International Journal of Auditing，2015（2）.

［9］张继勋，刘文欢.投资倾向、内部控制重大缺陷与投资者的投资判断——基于个体投资者的实验研究［J］.管理评论，2014（3）.

［10］Kim J.B.，Byron Y.Song，Liandong Zhang.InternalControlWeaknessand Bank Loan Contracting：Evidence from SOX Section 404 Disclosures［J］. Social Science Electronic Publishing，2011（4）.

［11］Goh B.W..Audit Committees，Boards of Directors，and Remediation of Material Weaknesses in Internal Control［J］.Contemporary Accounting Research，2010（2）.

［12］HeL.，ThorntonD.B..TheImpactof DisclosuresofInternalControlWeaknesses and Remediations on Investors'Perceptions of Earnings Quality［J］.Accounting Perspectives，2014（2）.

［13］Akwaasekyi E.K.，Gené J.M..Effect of Internal Controls on Credit Risk Among Listed Spanish Banks［J］.Intangible Capital，2016（1）.

［14］Negurita O.，Ionescu I.E..Risk Factors for Bank Fraud Arising as a Consequence of Misstatements Resulting from Misappropriation of Assets［J］.Economics Management&Financial Markets，2016（1）.

［15］Panova Y.I..To a Question of the Purposes，Tasks of Implementation of Internal Control in the Credit Organizations and in the Bank of Russia［J］.Modernization Innovation Research，2015（2）.

［16］王永海，文华宜.关于风险导向型商业银行审计的思考［J］.审计研究，2005（3）.

［17］Koester A.，Lim S.C.，Vigeland R.L..The Effect of Tax-Related Material Weakness in Internal Controls on the Market Valuation of Unrecognized Tax Benefits［J］.Journal of the American Taxation Association，2014（1）.

［18］Hamersley J.S.，Myers L.A.，Shakespeare C..Market Reactions to the Disclosure of Internal Control Weaknesses and to the Characteristics of Those Weaknesses Under Section 302 of the Sarbanes Oxley Act of 2002［J］.Review of Accounting Studies，2008（1）.

［19］Rezee Z.，Espahbodi R.，Espahbodi P.et al..Firm Characteristics and Stock Price：Reaction to SOX 404 Compliance ［J］.Social Science Electronic Publishing，2012（48）.

［20］Defond M.L.，Raghunandan K.，Subramanyam K.R..Do Non-Audit Service Fees Impair Auditor Independences Evidence from Going Concern AuditOpinions［J］.Journalof Accounting Research，2002（4）.

［21］LevineR.，LoayzaN.，BeckT..Financial Intermediation and Growth：Causality and Causes［J］.Journal of Monetary Economics，2000（1）.

［22］杨烺，西米莎，王如龙.商业银行信息系统风险评估模型的研究与实现［J］.计算技术与自动化，2007（1）.

［23］张湄，孔爱国.商业银行治理与股价波动关系的实证研究［J］.复旦学报（社会科学版），2010（5）.

［24］Dodd P.，WarnerJ.B..On Corporate Governance：A Study of Proxy Coutests［J］.Journal of Financial Economics，1983（1）.