上市銀行內(nèi)部控制實質性漏洞披露機制探討——基于興業(yè)銀行的案例

天津財經(jīng)大學 孔令瑜

一、實質性漏洞概述

美國公眾公司會計監(jiān)管委員會（PCAOB）的審計準則將“實質性漏洞”定義為“如果一項或若干項缺陷有能致使年度或中期財務報表存在重大錯報而不能有效預防或及時察覺的合理可能時，該缺陷就構成實質性漏洞（material weakness）”。內(nèi)部控制體系的運行需要有效的設計和有力的執(zhí)行。根據(jù)內(nèi)控缺陷的影響程度和重要性將缺陷劃分為：一般缺陷、重要缺陷和實質性漏洞。鑒于實質性漏洞是更為嚴重的重要缺陷，識別實質性漏洞并進行分析至關重要。Ge和Mcvay（2005）)將內(nèi)部控制實質性漏洞劃分為九大類型：賬戶特定式、培訓、期末報告與會計政策、收入確認、職責劃分與授權、對賬、子公司特定式、高級管理層及技術問題，對興業(yè)銀行的后續(xù)研究，將以此9種類型作為標準。本文以興業(yè)銀行為例，通過對披露的審計報告進行手工整理，研究公開披露的實質性漏洞的現(xiàn)狀，并對改進相關問題提出對策。

二、興業(yè)銀行內(nèi)部控制實質性漏洞披露現(xiàn)狀分析

（一）內(nèi)部控制信息披露狀況分析 具體如下：

（1）內(nèi)部控制信息披露分布狀況。興業(yè)銀行（股票代碼：601166）成立于1988年8月20日，2007年2月5日正式在上海證券交易所掛牌上市。由于內(nèi)部控制的信息比較分散，本文對興業(yè)銀行自上市以來的5份報告進行整理，并對年報的“公司治理結構”，“董事會報告”，“監(jiān)事會報告”，“重要事項”，“報表附注”，以及“附件”部分進行統(tǒng)計和分析。

本文采取5級量表對年報中披露的內(nèi)部控制信息進行衡量，其中：“0”表示沒有披露與內(nèi)部控制有關的信息，“1”表示公司只用一句話概括說明內(nèi)部控制情況，“2”表示公司對有關內(nèi)部控制信息僅僅做出簡單的說明，“3”表示公司對內(nèi)部控制建立健全的工作計劃、董事會對內(nèi)部控制有關工作的安排、內(nèi)部控制檢查監(jiān)督部門的設置及運行情況等至少一項做出較為詳細說明的情況，“4”表示公司對內(nèi)部控制的建立健全情況做出詳細的說明。包括內(nèi)部控制制度體系的構成、對關鍵領域采取的內(nèi)部控制措施、公司對內(nèi)部控制的完善計劃及擬采取措施等。

表1是興業(yè)銀行自上市以來披露的內(nèi)部控制信息分布情況。從表1可以看出，興業(yè)銀行披露的年報中“公司治理結構”部分，對內(nèi)控信息的描述比較簡單。這部分對內(nèi)控的描述從簡單到復雜，說明公司結合不斷變化的內(nèi)部和外部環(huán)境，有針對性地進行調(diào)整，探索適合公司發(fā)展和完善的內(nèi)控機制。

“董事會報告”部分詳細披露了公司的內(nèi)部控制情況。2007年的董事會報告中，單獨列示了對內(nèi)部控制的完整性合理性以及有效性的說明，自我評價報告，審計機構的核實評價意見。從2008年開始，審計報告增加了與公允價值計量相關的內(nèi)部控制制度情況，可能是由于2007年新增加了“交易性金融資產(chǎn)”這一科目，為了適應現(xiàn)在的股票、債券、基金等出現(xiàn)的市場交易，董事會根據(jù)宏觀政策和經(jīng)營環(huán)境的變化，調(diào)整了應對風險的管理機制和對策?！氨O(jiān)事會報告”簡單披露了公司的內(nèi)部控制信息，這在某種程度上反映了監(jiān)事會對公司內(nèi)控不予重視。公司在境內(nèi)審計報告和境外審計報告的“報表附注”部分籠統(tǒng)地披露了內(nèi)部控制的一些情況，包括各類風險的管理措施，金融工具的使用和管理情況，資本管理情況。自上市以來，“股東大會情況簡介”及“重要事項”部分一直沒有披露公司的內(nèi)部控制情況。公司的內(nèi)部控制“三性”說明書和內(nèi)部控制自我評估報告，詳細地說明了內(nèi)控制度的現(xiàn)狀，以及公司為完善內(nèi)控所采取的措施。從2008年開始，公司的內(nèi)控自評報告更趨規(guī)范，評價范圍從內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督五個要素和公司層面、業(yè)務流程、信息系統(tǒng)三個層面展開。公司聘請的事務所出具的“內(nèi)部控制的審計報告”只是簡單地對財務報表審計的內(nèi)部控制情況做了說明,主要針對內(nèi)部控制自我評價報告發(fā)表意見。

表1 興業(yè)銀行內(nèi)部控制信息分布情況

（2）內(nèi)部控制信息披露連續(xù)性。興業(yè)銀行自2006年上市以來，不間斷地披露公司的內(nèi)部控制自我評估報告和內(nèi)部控制審計報告。2010年，財政部制定的《企業(yè)內(nèi)部控制應用指引第1號——組織架構》等18項應用指引、《企業(yè)內(nèi)部控制評價指引》和《企業(yè)內(nèi)部控制審計指引》出臺，要求自2012年1月1日起在上海和深圳證券交易所主板上市的公司對內(nèi)部控制的有效性進行自我評價，同時披露年度自我評價報告，聘請具有證券、期貨業(yè)務資格的會計師事務所對財務報告內(nèi)部控制有效性進行審計并出具審計報告。根據(jù)此規(guī)定的要求，興業(yè)銀行2011年出具的審計報告內(nèi)容更為全面和完善?？梢钥闯觯鲜泻蟮呐d業(yè)銀行按照國家的政策法規(guī)及相關部門的要求，積極對內(nèi)部控制信息進行披露，良好的行業(yè)形象得以樹立。

（二）實質性漏洞披露情況分析 銀行作為高風險的行業(yè)，對實質性漏洞應給予格外關注。根據(jù)實質性漏洞概念和類型的劃分，筆者發(fā)現(xiàn)興業(yè)銀行披露的內(nèi)部控制缺陷集中在內(nèi)控“三性”說明書，內(nèi)部控制自我評價報告和內(nèi)部控制審計報告中，之后通過對這些缺陷進行鑒別，識別出屬于內(nèi)部控制的實質性漏洞。

（1）實質性漏洞披露的數(shù)量。表2是興業(yè)銀行披露的實質性漏洞情況。通過表2可以看出，董事會在2007年沒有披露任何內(nèi)部控制缺陷，2008年到2010年對實質性漏洞的披露及表述都比較模糊，在2011年披露了4種不同類型。由此可見，興業(yè)銀行披露的實質性漏洞的數(shù)量越來越多，這似乎說明興業(yè)銀行面對的內(nèi)部控制問題也越來越突出。2007年年報是興業(yè)銀行上市后的第一份報告，其內(nèi)部控制自我評估報告中只是對內(nèi)部控制制度的建立和健全機制做了陳述，并未提到相關的內(nèi)部控制不足。這可能是上市第一年，興業(yè)銀行要給監(jiān)管機構和投資者留下較好的印象。隨著經(jīng)營環(huán)境的不斷變化，企業(yè)業(yè)務的不斷拓展，2008年到2010年的內(nèi)控自我評估報告中，公司的內(nèi)控體系不斷完善，但對具體的內(nèi)控缺陷并未做出明確說明。然而，這并不能說明公司的內(nèi)控是完美的。2011年，財政部出臺的關于企業(yè)內(nèi)部控制的相關規(guī)定，興業(yè)銀行才開始披露了一系列的實質性漏洞，通過對這些漏洞分析，可以發(fā)現(xiàn)興業(yè)銀行的內(nèi)控問題由來已久，但是可能由于相關法規(guī)的要求不夠嚴格、違規(guī)成本比較低由此造成了其對此類問題不夠重視也就未進行披露。隨著嚴厲的監(jiān)管制度的實行,上市銀行從違規(guī)成本角度和投資者對內(nèi)控信息的重視角度考慮，開始披露更多的內(nèi)部控制信息并報告所發(fā)現(xiàn)的問題。

（2）實質性漏洞披露載體。興業(yè)銀行實質性漏洞的披露完全集中在“內(nèi)部控制自我評估報告”，共披露了13項實質性漏洞，并且2007年到2010年對實質性漏洞的描述比較模糊，可見，從某種角度上說，董事會有避重就輕之嫌。在2011年國家內(nèi)控規(guī)范出臺后，董事會詳細披露了內(nèi)部控制存在的缺陷和整改情況，更加積極地對公司的內(nèi)部控制信息進行披露。而事務所披露的內(nèi)部控制審計報告，僅僅流于形式，既沒有對內(nèi)控的情況做過多說明，也沒有對內(nèi)控的實質性漏洞進行披露，只是對財務報告內(nèi)部控制有效性做了說明。

（3）實質性漏洞披露類型。關于實質性漏洞的9種分類，興業(yè)銀行披露了其中的5種類型：職責劃分與授權，子公司特定式，高級管理層，技術問題和培訓。職責劃分與授權類缺陷達4項，2008年和2010年各披露了1項，20111年披露了2項。職責劃分與授權是有效內(nèi)部控制的一個關鍵組成部分，從披露的實質性漏洞中可以發(fā)現(xiàn)，由于近幾年金融行業(yè)的快速發(fā)展，銀行業(yè)之間的競爭日趨激烈，為了搶占某些客戶，獲得高利潤，銀行職員對某些放款檢查不夠審慎，除了職責劃分的缺失和不恰當?shù)氖跈嘤嘘P外，也可能是由于員工的數(shù)量和素質的缺乏，不足以關注到業(yè)務的方方面面。加之各種新興業(yè)務的不斷涌現(xiàn)，興業(yè)銀行內(nèi)控的修訂和執(zhí)行速度趕不上新業(yè)務的變化，導致公司新的內(nèi)控問題不斷顯現(xiàn)。但董事會根據(jù)經(jīng)營環(huán)境及宏觀政策法規(guī)變化，不斷完善公司的內(nèi)部控制體系。

子公司特定式這一實質性漏洞缺陷的披露出現(xiàn)在2009年和2011年，說明總行制定的內(nèi)控制度以及業(yè)務規(guī)范落實程度差，從而導致了信用風險。這里要特別說明的是，國家相關政策規(guī)定，銀行業(yè)金融機構從2011年7月1日起取消人民幣個人賬戶密碼掛失費，但興業(yè)銀行呼和浩特分行個別柜面人員在具體業(yè)務辦理過程中仍繼續(xù)收取密碼掛失手續(xù)費，給客戶造成了不便和額外的密碼掛失費支出。2011年8月2日國家發(fā)改委通報興業(yè)銀行呼和浩特分行，并對興業(yè)銀行總行做出罰款200萬元的行政處罰。董事會的內(nèi)控自評報告中，只是簡單地說個別機構授權操作存在不規(guī)范環(huán)節(jié)，也并沒有對這一行政處罰進行披露，事務所的內(nèi)部審計報告更是絲毫未提及?？梢?，興業(yè)銀行分支行控制信用風險力度不夠，事務所對內(nèi)部控制審計報告的重要性認識不到位，流于形式。

表2 興業(yè)銀行實質性漏洞情況

高級管理層問題出現(xiàn)在2008年，2010年和2011年。董事會對內(nèi)控的建設高度重視，努力識別可能存在的問題和漏洞不斷的完善，顯示了其在內(nèi)部控制中的主體和決定作用。技術問題分別出現(xiàn)在2010年和2011年，反映了科技的高速發(fā)展，銀行信息系統(tǒng)已經(jīng)不能有效滿足業(yè)務和管理的要求，銀行需要進行不斷的后期運行維護。2009年出現(xiàn)的培訓實質性漏洞，說明隨著銀行業(yè)務的發(fā)展和網(wǎng)點擴張速度的加劇，需要大量的新職員加入，這同時就面臨培訓力度不夠和執(zhí)行力出現(xiàn)偏差的問題?？梢娙魏喂镜膬?nèi)部控制體系都不是無懈可擊的，董事會應根據(jù)實質性漏洞的情況，加強內(nèi)部控制管理，及時采取補救措施，才能保證企業(yè)的各項經(jīng)營活動持續(xù)有效地進行。

三、結論與建議

通過上文的論述，興業(yè)銀行對內(nèi)部控制的描述主要集中在內(nèi)控“三性”說明書，內(nèi)控自評報告和內(nèi)控審計報告，而內(nèi)控自評報告是實質性漏洞披露的載體。興業(yè)銀行的內(nèi)部控制實質性漏洞集中在職責授權與劃分，子公司特定式，高級管理層，技術問題，培訓五大類型上。從2007到2011年的年報來看，董事會積極披露公司的內(nèi)部控制自我評價報告，沒有中斷，并針對經(jīng)營中的缺陷不斷完善企業(yè)內(nèi)部控制體系。而監(jiān)事會對內(nèi)控的評價和事務所出具的內(nèi)部控制審計報告形式主義嚴重。鑒于此，對完善內(nèi)控實質性漏洞信息披露做出如下幾點建議：

第一，企業(yè)自身應構建完善的內(nèi)部控制實質性漏洞披露機制。上市銀行通過風險獲取收益，實質性漏洞作為公司最為重要的內(nèi)部控制缺陷，直接影響到公司的經(jīng)營狀況。2011年財政部頒布的《企業(yè)內(nèi)部控制基本規(guī)范》和《企業(yè)內(nèi)部控制配套指引》，對上市公司內(nèi)控的披露要求更為嚴格，但是我國對實質性漏洞披露機制并沒有做出相應的規(guī)范，所以認定和評估實質性漏洞，建立財務報告內(nèi)部控制審核的統(tǒng)一標準就顯得格外重要。外部宏觀經(jīng)濟、法律和監(jiān)管環(huán)境不斷變化，對公司業(yè)務和內(nèi)部管理提出了更高的要求，董事會應根據(jù)不斷變化的情況，及時修訂和完善內(nèi)控制度，采取相應的內(nèi)控措施。好的內(nèi)部控制制度離不開公司員工的配合和參與，要加大對員工的培訓力度，增強員工對實質性漏洞的重視。監(jiān)事會對董事會建立與實施內(nèi)部控制進行監(jiān)督，不應僅僅流于形式。監(jiān)事會應對企業(yè)經(jīng)營過程中發(fā)現(xiàn)的實質性漏洞進行更為嚴格的處罰，促使全行采取更有力的整改措施。

第二，轉變內(nèi)部控制報告對實質性漏洞披露方式，明確注冊會計師在內(nèi)控控制審計報告中的責任。上市公司的內(nèi)部控制審計是審計工作中的重要一環(huán)。雖然審計師不是萬能的，不能保證查出企業(yè)內(nèi)部控制中存在的任何漏洞，但審計質量的高低直接影響到投資者對該公司財務狀況的判斷。所以，注冊會計師有責任也有義務對內(nèi)控中的漏洞進行披露。然而事務所出具的內(nèi)部控制審計報告表明，注冊會計師執(zhí)行的了解內(nèi)部控制和控制測試程序是以財務報表審計為目的進行的，而不是對內(nèi)部控制的專門審核，其披露的報告既沒有對內(nèi)控的情況做過多說明，也沒有對內(nèi)控的實質性漏洞進行披露，僅僅對財務報告內(nèi)部控制有效性做了說明。企業(yè)內(nèi)部控制的有效性與財務報表的真實性和可靠性不是獨立的，實質性漏洞的存在會對財務報表產(chǎn)生重大影響。所以，應明確對注冊會計師內(nèi)部審計報告責任的確定，強制其對內(nèi)部控制的實質性漏洞進行披露。

第三，科學合理的內(nèi)部控制實質性漏洞信息披露離不開強有力的外部監(jiān)管。首先，企業(yè)內(nèi)部控制披露的過程，離不開政府及有關部門的大力推動，同樣，企業(yè)內(nèi)部控制信息披露的質量，也需要政府發(fā)揮其權威性和監(jiān)督作用。政府應加強對內(nèi)部控制實質性漏洞信息披露的監(jiān)管，建立健全相關的處罰機制，從而有效防范管理層的道德風險，更好地保護投資者的利益。其次，由于我國缺乏統(tǒng)一的內(nèi)部控制的規(guī)范，導致各載體所披露的內(nèi)部控制信息各異，披露內(nèi)容散亂且缺乏系統(tǒng)性，所以，相關部門應盡快對內(nèi)控實質性漏洞披露的內(nèi)容做出規(guī)范，強制上市銀行公開披露內(nèi)控中的實質性漏洞。

［1］ 瞿旭、李明、楊丹、葉建明：《上市銀行內(nèi)部控制實質性漏洞披露現(xiàn)狀研究——基于民生銀行的案例分析》,《會計研究》2009年第4期。

［2］ 黃秋敏：《上市銀行內(nèi)控信息披露狀況分析》,《審計研究》2008年第1期。

［3］ 何芹：《上市銀行內(nèi)部控制自我評價報告和審計報告分析——基于2006-2011年的時間序列數(shù)據(jù)》，《證券市場導報》2012年第12期。