我国上市商业银行内控信息披露质量研究

周明钰

摘要：商业银行作为国家金融市场的核心主体，其健康运行有助于规范经济秩序，促进经济发展。因此，商业银行应重视内控制度的建设，提高内控信息披露的质量。本文通过对国内商业银行内控信息披露质量的分析与评价，揭露其现存问题并给予合理的建议，为内控缺陷的信息披露质量评价提供参考依据，提高商业银行内控披露的信息含量、规范内控信息质量评价标准。

关键词：上市商业银行;内部控制;信息披露

一、引 论

近些年来，我国接连发生了如银广夏、中航油、乐视等重大内部控制失效案件。这些案件的发生都有一个共同的原因：内部控制制度建设存在缺陷。在这样的大环境下，内部控制信息的有效披露成为了防范舞弊事件的重要手段。众所周知，上市商业银行的经营状况与国家金融秩序有着密切的联系，因此，我国监管部门对于商业银行的内控信息披露的要求更加严格，但即便如此，国内商业银行还是频频爆出违规舞弊事件，例如2017年民生银行发布假的理财产品，导致数亿资金无法兑现;中国农业银行、邮政储蓄银行也曾因为票据违规行为被银监会处罚上千万元。从这些案件我们可以看出，我国上市商业银行对于操作风险、信用风险的管控等方面存在缺口，因此，银行业的内控信息披露质量的提升至关重要。

基于上述背景，本文将通过对国内商业银行内控信息披露质量的研究与分析，找出其中潜在的质量问题。为商业银行的内控信息披露建设贡献绵薄之力。

二、国内外内部控制发展历程

（一）国外发展历程

随着经济社会的发展和金融体系的完善，内部控制理论也会不断发展，总体而言，国外企业内部控制理论分为4个发展阶段。

内部控制的萌芽阶段：1929年，美国注册会计师协会和美联储修订并发布了《会计报表验证》，首次提到内部控制。1936年，美国注册会计师协会发布了《独立会计师对会计报表的审查》，初步界定了内部控制的概念。随后，美国注册会计师协会审计程序委员会将初始内部控制分为内部会计控制和内部管理控制，即所谓的“二分法”。

内控信息强制披露争论阶段：20世纪70—80年代，内部控制报告的重要性日益显著，许多学者呼吁各上市企业提交的年度报告中应该包含内部控制报告。1978年，美国审计师责任委员会建议公司管理层不仅要对外公布财务报表，还需要公布披露公司内控状况的报告。截至1989年，约有25%的上市公司在年度报告中纳入了分析和讨论内部控制某些方面的管理层报告。绝大多数管理层报告涉及的是针对编制公开财务报表的内部控制，而非财务报表方面的内控信息很少受到应有的关注。

内部控制成熟阶段：以1992年发起组织委员会（COSO委员会）发布的《内部控制——整合框架》报告，即众所周知的COSO报告为标志，内部控制制度逐步走向成熟。COSO报告提出的整合框架，得到公司管理当局、投资者、债权人、专家学者等的普遍认可。COSO委员会又于2004年发表了《企业风险管理—整合框架》报告，该报告具有很强的综合性，它对内部控制进行了迄今为止最全面的概述。内部控制制度在此基础上得到了进一步的发展与完善。

内控信息强制披露的实施阶段：2002年，美国国会颁布的《萨班斯—奥克斯利法案》首次倡导对财务报告内部控制有效性进行审计。2007年，美国公众公司监督委员会出台《审计准则第 5 号》文件，使强制披露的内控信息质量得到了有效保障。

西方国家包括银行业在内的各个行业在内部控制体系建设，不论是制度建设，还是内控流程运行，都形成了一套较为完善的内部控制体系，借鉴其成功经验，可为我国上市商业银行内控信息披露质量的提升和内部控制体系建设提供完善思路。

（二）国内发展历程

1997年以后，我国金融机构内部控制体系实现了进一步的发展，根据相关文件的出台时间，其发展历程大致可划分为三个阶段：

第一阶段， 1997年5月16日中国人民银行出台的《加强金融机构内部控制的指导原则》（简称《指导原则》），《指导原则》指出：鉴于我国金融机构的重要性，金融机构内控建设及内控信息披露应提上日程。《指导原则》内容涵盖广泛，是当时国内金融机构内部控制最完整的文件，对完善国内金融机构特别是上市银行的内部控制制度起到了指导作用。

第二阶段，2004年11月，中国银监会发布的《商业银行内部控制评价试行办法》进一步规范了商业银行内部控制评价内容，它将内部控制评价分为两大类：过程评价和结果评价。前者主要对内控流程的有效性和适宜性进行评价，后者主要对内控目标的实现情况做出评价。

第三阶段，2009年9月23日，中国人民银行颁发《商业银行内部控制指引》，《内控指引》的颁布标志着我国金融机构，尤其是商业银行内部控制制度建设进入了一个更为完善的发展时期。以《内控指引》和《指导原则》为基础，补充了商业银行内控主要业务的要求和原则。并指出内部控制是一种事前防范、事中控制、事后监督的贯穿式控制机制。

從以上分析可以看出，相关文件和后续措施的出台也使得金融机构内控程序更加规范，实现了稳健发展。大多数金融机构都制定了相关的管理制度、业务操作流程和内部控制规则，设立了独立的审计机构，这不仅符合市场发展规律，也符合国内经济发展方式转变的大趋势。

三、国内商业银行内部控制信息披露质量分析

（一）国内商业银行内部控制信息披露现状

本文选取了国内10家上市商业银行作为研究对象，其中包括5家大型商业银行（分别是：建设银行、工商银行、交通银行、农业银行、中国银行）和5家中小型商业银行（分别是：光大银行、华夏银行、民生银行、平安银行、中信银行）。

首先对这10家上市商业银行2015年—2018年的内控信息披露载体分布情况进行归纳总结。本文所指的内控信息披露载体包括董事会报告、监事会报告、内部控制评价报告、内部控制审计报告、年报中的公司治理部分、管理层讨论与分析报告。通过各银行公告及年报所提供的信息，统计得出：不同的银行对于内控信息披露的位置选择有所不同，并且同一银行在不同的年份内控信息披露的载体也在不断发生变化，说明目前为止信息披露的载体依然存在一定程度的不一致，这给投资者及其他利益相关者了解银行内控信息增加了一定的难度。这10家商业银行也存在共同点：在调查的4年间均出具了独立的内控自评报告和内控审计报告;董事会报告中均未披露内控信息。

2010年，我国颁布的《企业内部控制鉴证指引》要求上市公司须披露内控审计报告和自我评价报告，并要求在沪深主板上市的企业于2012年起严格贯彻实行。2015年至2018年的调查数据显示，上市银行的内控信息披露工作的确遵循了《指引》的相关规定，其操作流程和内容相对规范了许多。同时，各大银行选择在董事会报告和监事会报告中披露内控信息的比例呈下降趋势，尤其是董事会报告，在近几年中已很少成为内控信息披露的载体。这体现出商业银行管理层对内控信息披露规范和质量的重视有所加强。

（二）国内商业银行内部控制信息披露质量

1.内部控制信息披露的内容

立足于以上披露载体，对商业银行内控信息披露现状进行初步分析，但若想对上市商业银行内控信息披露质量情况有进一步了解，还需从内控信息披露具体内容入手。根据《企业内部控制基本规范》和《上市公司内部控制指引》要求，上市公司内控报告必须包含对COSO内部控制框架五要素（控制活动、控制环境、风险识别、监控、信息与沟通）的披露。因此，本文将从内控五要素是否得到披露以及披露是否完整，来对商业银行内控信息披露的质量做出评价。

经查阅该10家上市商业银行2015年—2018年内控信息评价报告，发现内控五要素披露情况变化不大，内控信息披露不涉及五要素的占比为0。除2015年五要素全部披露占比为38%以外，其他年份全部披露占比均为50%，说明各商业银行管理层内控信息披露的内容较为规范，基本遵循了《上市公司内部控制指引》的要求。内控信息披露的完整性是决定信息披露质量的高低程度的重要因素之一，商业银行相对于其他行业上市公司来说，在五要素规范性方面做的较好，但仍有进步空间，部分披露目前占了较大比重，内控信息披露内容的完整性有待进一步加强。

2.内部控制缺陷披露情况

内部控制缺陷是指公司内部控制的设计或运行存在漏洞而无法合理保证内部控制目标的实现。内控缺陷按影响程度分为重大缺陷、重要缺陷和一般缺陷。内部控制信息是否得到有效披露的另一重要评价标准就是披露单位是否对其内部控制缺陷进行披露。

通过搜集从以上10所商业银行的内部控制自评报告资料，笔者发现大部分银行都是进行划对勾的调查问卷形式对内控缺陷进行评价，而评价结果基本上都是“未发现重大、重要财务报告内控缺陷”及“未发现重大、重要非财务报告内控缺陷”，而对于内部控制一般缺陷的描述，大多数银行也都是一致的：“公司个别内部控制环节存在一些需要关注的方面，公司已制定了整改措施，其对公司财务报告的可靠性不构成影响。” 只有以下两家银行：①民生银行2018年度： 财务报告内控一般缺陷說明了缺陷所在位置;披露了非财务报告内控重要缺陷（民生银行厦门支付清算中心违规事件），并给出了详细整改措施。民生银行2017年度：披露了非财务报告内控重要缺陷（北京分行航天桥支行理财销售业务发生重大风险事件），并给出了详细整改措施。②平安银行2018年度：非财务报告内部控制一般缺陷披露了个数：102个;但未披露财务报告内部控制一般缺陷。平安银行2017年度：非财务报告内部控制一般缺陷披露了个数：106个，披露了缺陷位置及整改措施。由此可以看出，虽然所调查的10家银行均在每年披露了内控一般缺陷，但缺陷内容和数量基本上没有涉及。这说明内控自评报告对内控缺陷的披露过于形式化，千篇一律的披露结果不利于投资者及其他利益相关者获取需要的信息、掌握企业的真实状况。

通过对所选取的国内商业银行内部控制信息披露现状、披露的载体以及内容等做出的定量分析，我们可以发现就目前而言国内银行业的整体内控信息披露基本符合法律法规的要求，但在披露质量方面仍存在许多欠缺之处。

（三）我国上市商业银行内部控制信息披露的问题

结合上文对我国商业银行内控信息披露状况的定性与定量分析，下文将对当前国内商业银行内控信息披露存在的问题进行归纳总结，主要存在4个方面的问题。

1.内控信息披露载体不统一

上市企业内部控制法律规范对于包括上市商业银行在内的信息披露载体没有特别的限制。主要载体有：内部控制评价报告、内部控制审计报告、董事会报告、监事会报告、公司治理报告、管理层分析与讨论报告。选择那几个作为披露载体主要取决于银行管理层的决策。相关法律法规虽已强制要求上市企业出具内部控制评价报告和内部控制审计报告，但在内控信息披露载体的选择方面并未做出强制性的要求，所以才会导致同一报告期间不同银行的信息披露载体有所差异，甚至同一银行在不同的报告期间披露载体也会发生变化。

2.内部控制披露内容不全面

在国家监管方面，上市商业银行面临着最为严格的要求，但商业银行披露的内控信息内容依然较为欠缺。从上述五要素的披露情况来看，仍存在一定比例的银行没有对五要素做出完整的披露，在五要素以外的高风险业务的信息也是简单提及没有做详尽的披露。尤其在定量披露方面，很少有银行涉足。就高风险经营特征的银行来说，在上述情况下，外部信息使用者的需求根本得不到满足。

3.内控信息披露形式化严重

我国上市银行在披露内控信息的时候有较为严重的形式化倾向，披露内容很少涉及实质性问题。就监事会报告来说，其作为内控信息披露的主要载体之一，多数银行并未能在其中对银行内控方面的情况进行积极式的描述，而是仅仅以模板化的定性描述方式对内控信息进行披露，内容过于简单。在年报中，大多数银行虽然有对自己的内控缺陷信息进行表述，表示会对自己的内部控制进行完善，但是并未说明相应的具体解决措施。

4.相关规章制度不健全

我国在上市企业信息披露的相关规章和制度尚不完善，目前为止，只有新修订的《企业内部控制基本规范》较为完整地规定了相应要求，因而从内部控制披露成文法依据的角度讲，我国的相关规章制度还不够完善。而当前各银行的业务发展逐渐扩大，各银行发生风险事故的几率也可能随之增大，而目前尚没有强制规定披露内容的规章制度。不健全的规则制度以及不完善的内部控制流程设计，导致内控信息披露不规范、不完整等问题产生。

四、提升我国商业银行内控信息披露质量的建议

（一）对监管部门的建议

由于商业银行在金融体系中的特殊地位，监管部门应针对我国上市银行的特殊性，并且结合行业特性来制定相关法律法规。首先，制定规范过程中，要对我国上市商业银行内控信息披露内容和格式进行明确要求，注重规范的实操性和指导性。其次，严谨的法律规范必须通过严格的执法手段才能发挥其作用，因此，有关监管部门在发挥监督权力的过程中就要履行好其相应的责任。最后，建立内控信息披露奖惩机制，定期评价上市银行内控信息披露质量，提高内控执行过程中的违规成本，以提高上市银行内控信息披露的积极性。

（二）对上市商业银行的建议

上市商业银行应积极加强内部控制信息披露机制建设。首先，要充分了解银行自身所处的内外部环境，找出不合时宜的方面并加以改正，根据自身特点设立合理的内控流程与规范。其次，高质量的内部控制文化是企业整体文化的重要组成部分，银行管理层应加强对员工内部控制信息披露意识的培养，让员工明确自己在内控信息披露体系中应承担的责任，建立起高素质的内控文化。最后，提高各级信息沟通的效率和质量，通过对整个期间的内控过程进行审视，总结和披露银行可能存在的内部控制缺陷，重视后期整改后工作，提高内部控制信息披露的有效性。证券交易所应当着眼于完善披露细则以健全披露格式。

参考文献

[1]丁文星.我国上市银行内部控制实质性漏洞披露现状研究——基于华夏银行的案例分析[J].经济论坛，2017（04）：79-81.

[2]付晓，张媛. 浅谈银行内部控制的缺陷及建议[J]. 科技创新导报， 2018，（05） .

[3]刘旭迟.上市银行内部控制信息披露缺陷分析评价——以2016年～2018年度报告为研究对象[J].全国流通经济，2019（20）：152-153.

湖北经济学院 430205