1、我国上市银行内控控制缺陷披露探析以浦发银行为例3.1 浦发银行基本情况3.1.1 公司简介本文以浦发银行作为分析案例,原因如下。第一,浦发银行是挂牌交易时间较早,披露的信息也容易找到。2000 年,有关规范内控信息披露情况的法规出台,文件含有对商业银行和证券公司所作出的相关规定,本文以 2000 年为起点,在这一年浦发银行是三家上市银行中最具有代表性的。加之,在 2011 年证监会发布了关于做好上市公司内部控制规范试点有关工作的通知 ,浦发银行自愿申请了试点公司,浦发银行的这个行为可为研究内部信息自愿披露的动机提供参考价值。再者,近几年监管部门对银行业监督检查的力度明显加大,而浦发是在合规方面
2、表现较好,具有主动披露信息等行为。(1)基本情况经中国人民银行总行批准,1992 年 8 月 28 日浦发银行成立,公司性质为股份制商业银行,并将上海市设为公司总部。并于 1999 年在上海交易所挂牌上市,公司现注册资本 186.53 亿元。作为全国性股份制商业银行,其在运营过程中采取了一系列控制风险的措施,通过不断的试错和改进形成了适合公司发展的内部风险控制和运作经营体系,公司能更快、更好的解决自身所面临的风险,会进一步做好防范工作。上海国际集团有限公司以其公司第一大股东的身份,与其他控股子公司合并持股达 24.32%。(2)公司上市以来,主营业务情况公司目前主营业务:个人金融、公司金融、同
3、业金融、金融市场和信用卡业务。截至 2015 底,浦发银行总资产规模超过 5 万亿元,贷款余额近 2.3 万亿元,并于 2015 年实现,母公司股东的净利润突破 505.98 亿元。目前为止,浦发已在全国设立了 40 家一级分行和 1300 多家的营业机构,员工达 4 万多名。浦发银行再近年一直探索综合经营和跨国经营,并在努力形成自己的理念,在开设香港、伦敦分部的同时,创设一系列其他机构如村镇银行、金融租赁等。3.1.2 内部控制体系架构2013 年浦发调整了内部组织机构后,现行的内部控制体系分别由分行、总行和董事会三个级别来进行三级。首先是各分行下设风险管理部。然后是总行下设的风险管理总部、
4、合规部以及新资本协议实施小组。最后一层为董事会及其下设的审计部门。这三个层级,按照上海浦东发展银行内部控制管理办法,重视内部控制管理工作,以“内控优先”为工作原则,时刻加强内部控制制度的建设,构建了授权授信、存汇结算、财务管理、会计核算、审计监督等内部管理运作模式。浦发银行内部控制建设已经逐步完善起来,自 2013 年以来,其对内部控制的监督以及评价的工作采取日常、专项和独立监督评价相结合的机制。一是作为首要前线的总行和分行的各个部门要负责日常的检查监督以及评价的工作。对于总行业务和管理部门而言,它们要对各分支机构的内控制度执行情况检查,这个检查不同于上面的,它是有针对性的,要对定期结果进行反
5、馈和评估。二是风控部门要发挥其作用,坚守住自己中流砥柱的作用,用专门的检查方法检查业务部门的内部控制情况。最后一道防线是审计部门,其监督和检查工作是董事会要求的,会独立开展。这三道防线,三级监督是相互关联、共生共赢的。3.2 浦发银行信息披露整体现状3.2.1 内部控制信息披露的连续性杨有红,汪薇(2008)将上市公司划分为“详细说明” 、 “一般陈述” 、 “简单披露”三类,这三大类的划分标准为上市公司内部控制信息披露的详细程度,学者对每一类公司的内部控制信息披露情况都有所研究。笔者现采取五级量表,如表 3-1 所示。分析数据来自浦发银行 2000-2014 年报,来源于上交所以及官网等。由
6、于本文研究所需要的信息遍布在银行年度财务报告的各个部分,不能采取某种方式统一获得,所以笔者都是通过手工整理的本案例所需数据:对浦发银行自上市以来 15份年度报告中的分类明细部分披露的内控信息。统计结果如表 3-2 所示:从表中可以发现浦发银行内控信息的披露缺乏明显的连续性。其信息披露也是随着法规要求而相应调整,具有明显的被动性。1999 年,证监会发布了公开发行证券的公司信息披露内容与格式准则第 2 号 ,准则要求上市公司要“本着审慎经营、有效防范化解资产损失风险的原则建立内控制度” ,监事会要对内控制度发表独立意见。随后,证监会又于 2000 年 12 月 21 日发布了第 7 号规则,规则
7、较上面的准则做出了一定的调整,规则第六条明确要求:“商业银行需在公司年度报表中说明内控制度的三个性质简称三性 ,即完整、合理和有效。商业银行委托的会计师事务所要评价内控制度,并提供报告。在评价报告中明确指出三性存在严重缺陷的,董事会要给予说明,监事会根据说明提出明确意见” 。浦发银行上市之初,公司的年度报表就主动披露内控“三性”相关内容。2001年,证监会发布了最新内控信息披露要求,浦发根据要求披露了相关的信息。上交所于 2006 年 6 月颁布了上市公司内控指引 。但是浦发银行在当年年报中并未披露这两项。伴随着一系列法律法规的出台,对企业内部控制要求也就越来越严,浦发银行从 2008 年开始
8、在年报中又开始披露相关的信息。从浦发银行的情况可以看出,企业内控制度的持续执行离不开内部自评与外部监管。关于公司的内控审核报告,杨有红、汪薇(2008)认为应采用强制性和鼓励性披露相结合的做法。3.2.2 内部控制信息披露的内容和载体浦发银行在 2000 年至 2014 年期间都有涉及对内控制度建设情况的披露,区别在于详细程度不同。前七年,公司内部控制及制度建设情况会在“银行业务数据摘要”部分进行说明。2007 年至 2011 年期间公司在公司财务报告的“公司治理” 、和“监事会报告”这两个部分进行相应的说明,表述为“公司制定了较为三性内控制度” 。2012 年至 2014 年期间则是统一放在
9、了年度报告专设的内部控制章节和自我评价报告中。表 3-3 中内控三性说明书,指的是上海浦东发展银行股份有限公司关于内控制度完整性、合理性、有效性的说明 。2000-2001 两年都对已产生的缺陷做出了整改措施的说明。此后,这部分不再出现在年报中。三性评价一部分为监事会报告,一部分为董事会报告对此的具体说明。2002-2011 年,监事会报告都会从总体上评价内控三性,并且评价大都是“公司制定了较为完整、合理、有效的内控制度” 。在 2007-2012 年, “银行业务数据摘要”这一部分也对内控三性做出了具体的说明,但 2012 年除外,这一年监事会报告中未做出对内控三性的评价。由于 06 年上交
10、所指引的发布,浦发加大了对内控的关注,这在年报中表现的较为突出,原有的数据信息披露被分为会计与银行业务信息两部分,银行业务信息部分中增加了企业自身风险管控的相关介绍。2010 年出台的企业内部控制应用指引第 1 号组织架构等 18 项应用指引,以及企业内部控制评价指引和企业内部控制审计指引 ,指引是由财政部制定出台。根据指引的相关规定,浦发 2012 年的年报内容加全面。公司年度报告自 2012 年起设立了独立的内控章节,但三性说明并未放在其中,在第一部分董事会的重要声明中,董事会会对内控缺陷说明,一般为“董事会认为,公司在内控自我评价的这一过程中并未发现与非财务报告相关的内控重大缺陷” 。在
11、 2013 和2014 年度报表的内控章节,董事会关于内控责任的界定中,内部控制的责任主体首次升级为三个,董事会、监事会、和经理层。在 2000 年和 2001 年公司披露了与公司后期的自我评价报告不同的内控评价报告,此报告是由外部审计机构评价的,它的不同之处在于评价报告出具主体的不同。它的评价主体是外部审计机构,导致这个内部控制自我评价报告并不是真正意义上的内控自我评价报告,它应是内控审计报告。这份报告的评价内容有公司非财务报告以及财务报告相关的内部控制内容,其侧重于考察该制度是否健全有效。自 2007 年开始,浦发银行内控评价主体由原来的外部审计机构转化为董事会,并决定每年度都披露内控自评
12、报告。公司于 2007 年、2008 年和 2009 年披露的含有非财报和财报相关内部控制内容的内控自我评价报告的披露形式不一致。2007 年浦发银行的内控自我评价报告分类清晰明确。2008 年和 2009 年这两个年度浦发银行都是从内部控制五要素方面对公司内控信息进行自我评价,当然其披露的内控信息内容略有不同。在 2010 年和 2012 年,这两个年度的内控自评不同于以往,其减少了对非财务报告的有关内容,只关注重大缺陷部分,与财报相关内容未有删减。这三个年度内控自评报告披露形式较为相同,首先说明董事会在内控工作中所处的地位,其次陈述目标和其局限性,然后对财报有关的内容进行内控评价,最后注明
13、非财报相关内容是否存在重大缺陷,若有要进一步说明。这三个年度内控自评报告也有不同,2010 年度仅提出了内控改进措施,而另外两个年度公司从内部控制的设计与执行两方面披露了改进措施。2013-2014 这两个年度的内控自我评价报告较之前更加完善,报告包含董事会关于内控责任的声明及其制度建设情况说明、对内控审计报告的相关情况说明以及年度报告重大差错责任追究制度及相关执行情况说明。2011、2012 年,公司披露内审报告格式和内容也逐步趋同与其他上市银行的。这两年的内控审计报告更加规范化,表现在其格式和内容很少受审计的会计师事务所的影响,有了其该有的内容,政府监管体现更加明显。这时的披露增了两个可比
14、性:一是浦发各年度报表之间内控信息的可比性;二是浦发银行内控信息与其他公司的之间的可比性。这有利于信息需求者对不同公司内控质量作出比较;这也存在一个劣势即实质性内容的缺少,对信息使用者来说有价值内容不多。3.3 浦发银行内部控制缺陷披露状况内控缺陷是影响银行风险的重要因素,我们根据表 4 确定缺陷分类。通过表 5识别内控缺陷。3.3.1 内部控制缺陷披露的数量和连续性根据表 2 可知,浦发银行信息披露不连续。为保证银行的利益,要持续实行此披露制度。缺陷信息隶属于内控信息,其披露情况的连续性要和内控信息的保持一致。由表 5 我们发现浦发银行在 2000 年与 2001 年的年报附录的内部控制三性
15、说明书中通过对改进措施的说明。 “内控漏洞”一词首次出现是在 2007 年的年度报告中。公司在 2008 年、2009 年分别披露了 7 项、4 项的缺陷信息。浦发银行于 2008年第一次披露了关于具体业务的内控缺陷,这一年也是浦发唯一一次披露信息和沟通这两个层面的内控缺陷的年度。这一年的年度财务报告中披露的公司内控的几个方面是:反洗钱方面、外汇管理方面、税务管理方面、帐户管理个人征信系统管理及使用方面。2009 年首次出现了期末报告与会计政策这个类型的内控缺陷,基金托管业务未纳入审计和风控范围,自 1998 年起中农工建交这五家国有商业银行获基金托管资格,在 2003 年底浦发继光大银行(2
16、001 年)获准办理证券投资基金托管业务,直到 2008-2009 年该业务品种不断扩充,托管数量和规模迅速攀升,作为新兴业务的托管业务,其井喷式发展为浦发银行带来了可观的业务收入。因而,此时在政策和公司内部内控需求的双重压力大,浦发才披露了该项缺陷,自 2004 年至 2009年间,浦发银行一直未对托管业务进行审计和风控。2010 和 2011 两年的披露数量则减少,且主要集中在业务层面。这两个年度浦发公司的财务报告中关于自身内控缺陷方面的描述选择了一种比较委婉和间接的方式,比如说采用“有待提高” 、 “仍需进一步强化”等语言。浦发银行 2010 年度财务报告中的内控披露主要是对授信业务和柜
17、台业务。其中授信业务方面的描述是“公司先存在以下两个问题,一方面是三个办法、一个指引执行力度需强化;另一方面是持续防范地方债务风险。 ”对柜台业务方面的内控披露的描述是“要继续加强对账户的管理以及对重要物品管理;要提高中间业务内控措施。 ”浦发银行 2011 年度公司财务报告中披露的是内部控制设计层面上的缺陷问题,即要不断优化个人信贷授信程序,强化相关资金发放情况和监管措施。再对流程管理到位的同时,还要注重合规性和科学性。2012 年浦发披露了两项内控信息缺陷,也都是与贷款相关的,一项是银行在贷款分类工作不完善,造成了风险隐患;另外一项是新规在个别分行执行力度不足,尤其体现在部分贷款业务方面,
18、如没有按照资金监管的要求执行“实贷实付” ,导致其业务贷款留存账户超时。总体上,浦发银行并没有连续完整的对内部控制缺陷信息进行披露,缺陷披露的数量呈现波动的态势,是根据法规政策的要求而变动的,并且存在一定的滞后性。 基本规范规定公司要建立内控缺陷的评估体系,若发现缺陷及不足要及时披露和改善,并分析缺陷发生的原因、性质和影响程度,最终要提出具体的解决方案。但近年来的现状是,虽然银行因内部控制失效导致案件数量多,金额大,影响恶劣,但这并未引起银行对其内部控制的缺陷不足的反省,也没有接下来要对内控缺陷进行有效披露的想法。3.3.2 内部控制缺陷披露的载体浦发银行缺陷的载体主要有内控“三性”说明书、内
19、控自评报告。其中,内控“三性”说明书披露了 8 项缺陷,内控自评报告披露了 19 项。缺陷披露在整个信息披露报告中占比很小,这说明企业在自揭其短时仍然缺乏一定的动机。这可以看出,内控缺陷披露并没有为企业所重视。而内控审核报告更多的是沿用固定格式进行常规披露,没有更加深入的披露内部控制缺陷。公司的内控说明书及自评报告对内控体系建设提出了详尽的方案。2011 年相关部委对内部控制文件出台后,董事会按照要求进行了一定程度的整改,但外部审计起到的监督改进效果较小。在该年发布的2012 年内控规范实施工作办法中,浦发银行对相关的内控工作做出了详尽的工作计划。公司年度报告自 2012 年起设立了独立的内控
20、章节,但三性说明并未放在其中,在第一部分董事会的重要声明中,董事会继续对内控缺陷进行说明。2013 年和 2014年,在内控章节的董事会关于内部控制责任的声明中,内部控制的责任主体首次升级为三个,董事会、监事会和经理层。总体上看,2007 年以后,内部控制缺陷的披露情况开始有所转变,披露开始更加真实、全面,并且披露大都在内控自评报告之中。笔者认为浦发的董事会要遵循内控信息披露法规,努力改善内控状况,要有认真考量公司的内控制度的态度,要有积极地披露相关信息的想法,这说明信息披露主体公开的意愿明显上升。3.3.3 内部控制缺陷披露的类型从表 5 中浦发银行披露的内控缺陷信息可以发现披露出的缺陷信息
21、占比较高,在表中可看出最常见的缺陷就是职责划分和授权这两个方面,这种现象与金融行业市场化现状有关,并且这在银行业中也是普遍存在的。银行间的竞争导致不同银行过分关注业绩情况而忽略了风险控制管理。对于经常发现的缺陷有技术原因、培训、子公司特定式及高管层。这体现在年报统计中则是,内控建设越来越成为高管层所注重,披露内容也越来越全面、准确,并且出现的这些常见缺陷也变少。技术产生的问题仅在 3 年报告出现过,但由此可看出内控机制建设是一项长期的任务,需要不断进行关注和制度建设。培训方面出现问题的原因有很多,归根结底可以分为两类:一种是银行招聘过程中培训体系不健全、不系统;另一类是内控制度的执行需要各个业
22、务线人员的配合,该体系的设计就需要专业人员参与,此外内控理念建设在企业内部也是需要深入推广的。子公司特定实则是说明了银行分部对信用风险管理能力不足。根据统计结果,年报中该缺陷仅在 2009 年出现过。在缺陷披露的同时,浦发银行提出了与此相关的详细整改方案,这意味着企业建立了较好的内控反应机制。3.3.4 内部控制缺陷的整改情况2008 年颁布了企业内部控制基本规范 ,尽管如此,浦发银行也只是作出了针对披露缺陷的相关整改措施,并未在第二年的内部控制报告中揭示整改的结果。这样一来,企业整改的成效就难以判定,而且容易使企业的重大缺陷仅停留在披露阶段,并没有起到真正促进内部控制建设的效果。因此,内控缺
23、陷的整改包括两个部分:措施和执行情况。只有切实对此项内容进行整改并实时披露执行情况,才能够真正的解决问题。浦发银行在 2000 年和 2001 年的内控“三性”说明书,以及 2008 年、2010-2014年的内控自评报告中,均出现关于已经发现的内部控制缺陷的整改措施的相关事项。 (1)落实内控管理责任制。 (2)加大对高级管理人员管理权力的有效约束。(3)从源头和体制机制上遏制低质量资产的发生。 (4)加快电子化管理控制系统和风险预警系统建设。2001 年还增加了风险警示。在 2006-2007、2010-2011 年,浦发银行在这四个年度的公司年度财务报告的董事会报告这一部分都有提出下一年
24、度的内部控制的计划。建立内控管理的长效机制则是 2006 年的内部控制计划,而其余的三年的新年度内部控制计划则是将内控与风险管理相结合。公司 2012 年至 2014 年在年度财务报告中专设了内部控制章节,这此章节进行内控披露,2012 年计划强调建立相应 IT 管理系统,并强调将其融入银行日常管理工作。2011 年国家相关规范出台,董事会对内控缺陷和整改内容进行了详细披露。公司制定了 2012 年的浦发银行发布了内控规范实施工作办法,针对上年的内控缺陷,提出了整改落实与监督阶段的具体措施。4 浦发银行内部控制缺陷披露存在的问题以及原因分析4.1 浦发银行内部控制缺陷披露存在的问题4.1.1
25、内部控制缺陷披露内容缺乏实质性在对浦发银行案例的梳理可以归结出一个粗浅的认识:上市银行在内控缺陷信息披露上具有一定的自主性,但这种自主权放给企业之后造成的一个直接后果是他们会对发布的信息进行筛选,往往不会涉及到实质性的内容。尽管相关规范要求严格,但对企业而言动机不强,对外公布的信息当然就缺少实质。浦发银行上市以来按照要求进行信息披露,披露的都是标准报告,且外部审计机构出具的意见也都是无保留的审计意见。特别注意的是,公司 2011 年至 2014年编制的内部控制审计报告是严格按照监管部门提供的模板进行的,披露的内控审计报告逐步与其他上市银行在内容和形式上保持一致。浦发银行审计报告在格式上更加的规
26、范,不受外来因素的影响;在内容上则更多的显示了政府监管的特点。这时的披露增加了两个可比性:一是浦发银行披露的相关内控信息各年度纵向容易进行比较分析;二是浦发银行内控信息与其他银行之间的横向可比性。这有利于信息需求者对不同公司内控质量作出比较;也存在一个劣势即实质性内容的缺少,对使用者来说较少有参考价值。浦发银行以往的内控自我评价报告没有采用固定的模板,形式上不固定,在内容上也不一致。相比较而言,内控审计报告公布的内容比较多,在 2007 年等 4个年度内控审计报告均有披露了内控不足之处,尽管这样,报告仍缺乏实质性的内容。因为浦发银行的内部控制自我评价报告是参考内控 5 要素的规范或者内控制度的
27、要求来编制的,报告内容大都是进行的简单描述,并没有进行深入的分析,披露信息总体来说较为浅显,有些甚至是无实质性内容。本文认为公司应转变内控理念,主动披露内控缺陷。要使公司对内控制度的与企业长期发展战略相挂钩,改变原有的思路,不仅仅关注内控披露的表面。但这一转变的前提条件是公司必须深刻认识到企业内控的重要性。随着诗经竞争的加剧,上市银行应当树立忧患意识,认识到只有通过披露内控缺陷才有可能生存下去并不断进步。随着企业不断改善内控方面的管理制度,以及其在企业经营中显现出来制度优势,上市银行将更加有动机开展更加深入透明的内控缺陷信息披露。4.1.2 内控缺陷披露不够连续浦发银行的内控缺陷披露缺乏连续性
28、,如在上市前两年披露了内部控制“三性”报告书后,又出现了 5 个年度的披露空白,直到 2007 年又公布这部分相关的信息,所以其内控自我评价报告缺乏并未连贯披露。公司为什么会存在 5 个年度的披露空白?笔者分析了可能的原因有如下几个:首先,2000 年 12 月,中国证监会发布了与信息披露有关的第七号文件商业银行年度报告内容与格式特别规定 ,该规定要求“金融保险类公司在披露的年度财务报告中要说明内控三性的有效性,财务报告审计的会计师事务所评价被审计公司的内控制度,并出具评价报告” 。以此,浦发银行在 2000 年和 2001 年披露了内控缺陷;其次是经过两年发展,浦发银行发现其他银行没有公布此
29、类信息。正是这种市场监管的不严使得浦发银行 2002 年不再进行单独披露。最后又开始重新披露的原因是 2006 年 6 月上市公司内部控制指引的颁布,上海证券交易所明确要求要求企业建立内控自评报告公布制度,此制度具有强制性。因此,浦发从 2007 年恢复了披露。浦发银行对内控缺陷信息的披露存在着一定的间断性、滞后性,并且受监管政策影响较深。浦发银行内部控制缺陷的披露情况会随着相关法律法规的变化而变化,带有明显的政治色彩。披露情况虽然会随着相关法律法规而变化,但与其变化并不完全一致。4.1.3 缺乏外部审计机构的实质审计意见经统计可以发现,浦发银行内控审核报告仅仅按照要求的形式对相关内容发表了意
30、见,但并未指出任何公司内控缺陷。从披露主体看,董事会承担维护完善责任,但监事会和第三方审计没有在其职责范围内尽可能的做到监督。尽管董事会在这一过程中也体现出一定的积极性,为完善内控制度不断改进,但外部审计意见缺乏实质。在 2012 年的内控规范实施工作计划中,浦发银行对内控审计工作的描述是这样的:“该阶段重点工作包括:拟定内部控制审计工作计划,选定专业审计机构,安排审计前期准备事宜,配合专业审计机构组织实施内部控制审计,形成内部控制审计报告,按照监管格式和要求对外披露内部控制审计报告 。 ”事实上,内审报告的内容和格式几乎多年并未有所变动,第三方独立审计机构也并未出具实质性的审计意见,内审报告
31、流于形式,仅为监管部门的要求而存在。4.1.4 缺乏对缺陷整改的后续说明2008 年颁布了企业内部控制基本规范 ,该规范中明确写出“企业应制定内控缺陷的认定标准,并根据这一标准确定内控缺陷,若发现内控缺陷,应及时分缺陷的性质以及原因,并提出相应的整改方案,还要及时向董事会、监事会或管理层做出报告” 。因此整改方案以及后续工作,也是内控缺陷披露的最后环节,并且是尤为重要的一个环节。根据表格 5,我们可以观察到 2008 年出现的外汇结汇的缺陷在 2010 年再次出现,2010 年票据与印章管理方面的缺陷,在 2011 年依然存在。虽然在内控自评报告中提到的是个别分行,难以推断出现问题的是否为同一
32、家分行或者支行,但是我们可以推知的是,2008 年受处罚后的整改并非是针对此问题,在全行范围内进行整改,否则相同的问题不可能再次出现。浦发虽然对受罚的内控缺陷作出说明,然而,浦发只是针对披露的缺陷作出相关整改措施,随后也并没有相关整改结果的说明。公司整改成效如何很难得知,这使得重大缺陷的披露并没有发挥其促进内控建设的作用,而仅仅停留在了披露这一表面。事实上 2011-2014 年,统计 A 股上市银行在缺陷整改措施、后续的执行情况以及整改的效果这三个方面的披露情况都不尽人意。内控缺陷缺乏实质性分析,尤其是对重大内部控制缺陷的分析和改进意见的缺乏,是这些银行中信息披露报告中较为常见的问题。而浦发
33、银行仅在 2011 年年报中对相应的内控设计层面相应问题有过详尽披露。从 2013 年起各上市银行的内控缺陷披露的载体统一为内控评价报告,具有对照研究的价值,因此笔者统计了在 2013-2014 年多家上市银行的内控自评报告。其中中国工商银行、民生银行、兴业银行、中国银行和浦发银行的内控自评报告的格式和内容都较为规范。然而在这几家上市银行的在规范格式的自评报告的第三部分“内部控制缺陷认定及整改情况”中,并未提出具有实质性的整改内容。在几家银行也对内控缺陷的识别及分类的标准作出说明,说明中都未财报和非财报的一般缺陷进行说明。民生银行曾在 2013 年年度报告中做出了对一般缺陷的说明,但实质性内容
34、并未体现。我国对于内控缺陷披露制度要求不够标准,这就造成上市银行进行缺陷信息披露时仅仅是描述性的语言概括,披露内容不全面,对缺陷的认定标准也不一致。披露仅仅是对缺陷的介绍,其产生的原因以及相应的整改措施未作出相应的说明。然而往年缺陷是否整改,内控是否完善,我们从何而知呢?在浦发银行 2014年的内控自我评价报告中,笔者根据其中提到的关于问题整改的相关事宜,发现事实上很多缺陷的整改并非在短期就能实现,而是需要从合规和案件防控的角度,杜绝缺陷,严防缺陷。报告中提到的高风险领域,事实上在 2008-2012 年的内控缺陷披露中,已经进行了相关的披露并且受到了处罚。比如贷款授信业务、外汇结汇以及印鉴章
35、管理等方面,浦发始终未对这些缺陷的整改后续情况作出说明,包括整改措施的执行力度和后续反馈等,但是从浦发银行一再的对这些方面的案件防控作出强调这个方面,可推断,真正的做到杜绝漏洞,还需要继续对内控进行完善。4.2 浦发银行内部控制缺陷披露存在的问题的原因4.2.1 上市银行对缺陷披露不够重视且动力不足通过统计发现,上市公司对公布自身内部控制的缺陷信息很少有主动性,除非是监管的强制性要求,否则不会主动披露这部分信息。这是因为上市公司认为披露其内部控制设计以及运行等方面的缺陷,会使股民对公司失去信心,造成股价下跌的影响。还有一部分本身自身企业就存在很多缺陷的,比如说财务状况差,内部控制薄弱等,这类公
36、司会避谈内部控制缺陷,或者是对内部控制情况轻描淡写,使得无处得知其内部控制设置具体情况。我们会被目前的公司披露内部控制情况所迷惑,以为的“康乾盛世”并不存在。所以内控缺陷披露十分必要,应让管理者、决策者明白此必要性,这是未来内部控制发展中很重要的一个话题。(1) “重经营成果,轻内控”是现阶段上市公司普遍存在的现象,内部控制现状亟待改进和解决。我国商业银行经历了众多改革,体制内的大型国有银行都实现了资本化改造放开了股权流动的限制,改革使得公司治理机制进一步强化,企业管理机制进一步提升,风险管理水平更加先进。尽管如此,我国上市银行的公司治理水平与国外发达国家相比还差很多,尚未达到现代银行业的标准
37、。我国商业银行现阶段采用的管理模式普遍为统一法人下授权管理模式。实行总分行制这样的分级管理形式,这易滋生多层次代理现象,致使银行内部职责不明,权力界限不清。不论是管理层还是治理层都更看重银行的经营成果,不重视内控体系的建设以及内控缺陷的披露,缺乏这方面的意识,对内部控制和风险管理这两个方面没有形成的整体认识,阻滞了内部控制文化的形成。没有内部控制文化,也就很难使内控缺陷的披露有实质性内容。此外,在国有上市银行股权结构中,国家股和国有法人股的占比过高,行长直接通过行政命令委派,在这种特殊的委托代理中,指定代理人的竞争压力不大,而业绩与其职业表现直接挂钩,因此对“自曝家丑”式的信息公布缺乏积极性。
38、(2)对于上市银行而言,内控缺陷披露的投入产出比较低。企业为披露真实、全面、有效的内控缺陷信息则需要投入较大的成本;而相应的当企业披露的信息越多时,会因为这些加大其受到质疑的几率,这就意味着企业披露越多,面临的风险就越高。这种信息的反馈机制,实质上对企业而言是负向的,因此他们没有充足的积极性去进行相应的信息披露。再加上我国对内控信息披露的规定一般是以法律条文的形式作出的强制性要求,尽管在企业出现相应违法行为时有法可依,但对他们的监管不到位或惩处力度较低等原因,造成企业的违法成本普遍不高。因此这些原因都会降低上市商行披露内控缺陷信息的意愿。(3)由于内控缺陷信息往往与企业的商业机密相联系,因此在
39、进行相关的信息披露时,企业往往有所顾虑。随着对内控要求的法律制度的出台,监管层面要求企业必须执行该项信息公开制度,因此如何来权衡遵守法律与保护敏感商业信息之间的界限是重要的议题。从企业的角度上看,他们其实处于较为矛盾的地位:若披露合规的信息必然会牵扯到敏感的信息,而这些信息对企业自身来说却具有较大的价值,一旦公开将使企业面临一定的风险,甚至有可能失去先前确立的优势的竞争地位;若选择不披露这部分信息或以其他方式掩盖这些内容,会造成实质性的违规,这些会时刻面临监管部门的检查,造成一定的经营隐患。因此,企业因考虑其中利益关系,可能选择仅披露部分可以从其他渠道获得已知内容,而不是全部必须披露的内容。这
40、种对敏感信息的顾虑也会造成企业利用这一借口隐瞒企业的负面信息,提高了使用者的使用成本。4.2.2 相关法规制度不够完善,披露缺乏统一规范(1)各家上市银行对于内控评价标准不一致尽管不同的上市银行都出台实行了自己的内控制度,但事实上查阅不同银行间的规定可以发现,他们对内控缺陷的判断标准并不相同。若这种对内控缺陷分类的标准不同,银行在进行相应的内部控制制度运行及完善工作时,必然会影响公布的缺陷信息的质量。并且由此得出的相关结论也不利于银行的横向信息比较。下表统计了 2014 年 16 家上市银行在自我评价报告中中关于内控评价和缺陷认定的依据。以上数据,均收集自各家上市商行的年报。不仅制度采用上详略
41、不一,实行情况难以评估。根据上表,尽管上述 16 家银行都声称参照相关标准对本行内部控制进行了自评,但事实上这些文件属于指导性文件,并未对实际的内控自评提出详尽而具有可操作性的办法。作为与企业实际工作相关的配套指引尽管也是对内控缺陷披露提出了相关的规定,但其对内控缺陷三个等级的划分并不明确,这也在一定程度上导致了上市银行并未严格按照其规定执行。这些在客观上降低了当事企业的执行力度。此外,从主观上看,不同银行之间对内控评价标准及缺陷认定的依据不一致,这也导致了当前银行业对内部控制的评价标准尚未达成公认的意见。(2)各家上市银行缺陷认定标准不一致作为年报内控自评中较为重要的一个环节,对内控缺陷的识
42、别和确认工作会对后续的披露工作产生影响。在现实工作中,这一工作并未较好执行,究其原因主要在于我国内控缺陷并未有公认且一致的规定。以细节条文较为明确具体的基本规范为例。该文件仅仅是确定了相关的原则性要求,对如何确定这些缺陷的并没有提出明确的说明。其他问题,如若存在内控缺陷企业将如何进行有效的识别和改进、自评报告如何记录和描述识别出的缺陷以及有没有强制性公开的缺陷类型等,该规范并未作出详尽而具体的规定。监管层面的空白容易影响信息披露制度的运行质量,进而对银行业的健康发展、经济体系的平稳运行造成一定的阻碍。下表是 2014 年浦发银行和民生银行披露的内控自我评价报告中关于内部控制缺陷的识别和认定情况
43、,这两家上市银行都是根据内控基本规范及其配套指引的规定,并结合自己的内控制度,进行内控评价活动,对内控缺陷进行的说明。在下表的统计中可看出,上市银行内部控制自我评价中对缺陷的认定尚未有明确的一致标准。这使得企业相关部门在进行内控相关检查评定时可以进行一定程度的变通。而在具体的内控缺陷的评价步骤、方法等方面也没有作出完善而又明确的说明。这些因素都导致形成的最终缺陷披露信息不够精确且有效。由于内控评价标准尚未统一,具体分类标准是银行自己制定的。在这种情况下,很多银行就会有一定动机逃避监管,降低经营风险。而将重大缺陷归类到次要缺陷中,通过相关的操作和细节设计,就可以得出“安全”的报告结论,从而维持了
44、表面上的稳定。但事实上,正是这些看似对企业有利的制度漏洞影响了企业的稳定发展,企业的“投机取巧”的行为也会造成自己内部相关控制建设失效,没有发挥它应有的效用。4.2.3 缺陷披露缺乏外部监管上市银行由于受到人行、证监会、银监会等多个国家部委和机构的监管,各个部门由于行政职权不同,对同一方面的内容难以达成统一的标准,再加上这些机构对上市银行缺陷披露的认识和监管要求也不尽相同,这些都会引起上市银行在进行缺陷信息披露时存在着依据不同标准分别报送的现象。这既提高了企业内控制度的管理成本,也降低了监管部门的工作效率。综合考察各个监管机构做出的涉及信息披露的规定,证监会对企业缺陷信息披露的要求最高。但是核
45、心问题在于证监会由于其监管范围较广,银行业仅仅是众多行业其中之一,对银行内控制度的监管细则上存在着一定的盲区,纲领性的规定较多,缺乏针对银行实际情况制定的相关操作指南。这种情况事实上会造成上市银行只需要与其他行业在内控信息披露上表现一致即可,无需考虑其他特殊的问题。证监会对上市银行在内控缺陷信息披露过程中出现的各种违规问题无法及时进行足够的惩戒,银行违法成本低也客观上造成了违规案件日益增多的现状。上交所和深交所与上市银行之间存在着较为直接的管辖关系,可以对上市银行的相关违规行为进行及时纠正,但其仍受到证监会领导。这种情况下,交易所的监管指令仍然需要证监会的确认,这种行政层级的增加造成了监管成本
46、的上升,一定程度上影响了监管效率。而财政部等其他部门,只是针对整个上市公司进行内控的规范和要求,但对上市银行的内控缺陷披露不具备针对性的要求。上市银行进行内控缺陷披露的主动性较低,再加上该部分工作是多个监管部门的职权监督的范围,而不同机构之间缺乏统一领导,这容易造成监管力度不够,导致上市银行在进行缺陷披露时制度不一致、内容差别大,导致信息查阅者对比困难,增加了投资风险。4.2.4 未设置独立的内部控制评价部门2014 年度,我国主板上市的 16 家商业银行,其中的 11 家公司披露了相互并不统一的对内部控制缺陷的认定、判定的标准。有 5 家银行未能公布内控缺陷判定依据,那些公布了认定标准的银行
47、大部分也发布了完整的年报及内控缺陷的认定准则。这 16 家银行的年报中均公布了符合监管规范的内审报告。对这些银行的内控报告进行处理,若通过统计的方法来研究我国上市银行内控缺陷公布制度,可以选择几个具有代表性意义的特征量:缺陷判断标准、披露数量和审计报告类型。如果采取用同时满足这 3 个特征的方法来筛选内控缺陷披露制度较好的上市银行,那么符合条件的只有一家。这说明事实上,国内上市银行内控制度在制定、实施、运行等方面还存在着许多不足,内控自我评价报告并没有如实反映出上市公司内控建设的真实情况,银行聘请的外部会计师签署的相关会计报告也流于形式,这些因素都降低了银行与内部控制有关的自评报告的质量。根据
48、相关规定,商业银行应在风控委员会的基础上,设立独立的审计委员会,编制并落实中长期、年度审计方案,负责银行日常审计,对于工作过程中发现的缺陷及疏漏问题做到如实记录,督促相关部门限期整改并进行定期检查,该审计部门对相关审计的项目质量负有直接责任。对于建立一个组织健全系统的的内控组织结构,我们上市商行没有较为成熟的方案,相应的决策也不够系统具体,并且牵头相应工作的并不是专门建立的部门而是审计与法律部门来做。4.2.5 外部信息使用者对缺陷披露需求不足对上市商业银行而言,其对外披露的信息主要供利益相关者如资本市场上的有关机构或个人使用。由于商业银行在经济发展中的特殊的地位及独有的产权结构,债权人分散且
49、无充足动力对银行的相关内控活动进行监督,因此他们实际上对这类信息的需求并不是很高。对上市银行的潜在买家如个人投资者、机构投资者而言,他们对银行内部控制信息的关注少之又少:个人投资者由于其受到投资规模的限制,更多关注银行的股价表现、业绩情况,再辅以个人投资经验及相关银行新闻做出投资决策;机构投资者则是多依赖专业的研究所出具的调研报告等信息,该类信息具有较高的专业度,对于银行的各方面信息都有所涉及,只有内控制度暴露出的问题足以影响投资决策时,这部分信息才会在研究报告中加以强调,否则一般不会引起机构投资者注意。而对银行的监管机构来说,使用这些披露信息的主要目的是判断银行是否面临相关的经营风险以及这些信息反映出的问题是否会影响整个金融业的发展等。根据对外部信息使用者的分析,上市银行的内控信息主要由政府监管机构及机构投资者查阅使用。由于银行内控信息的外部需求效应不明显,以及为保护企业自身的敏感经营信息,上市银行普遍缺乏主动披露内控信息的积极性,而强制性披露的要求也仅是流于形式,内容也不具有实质性的价值。5 上市银行内部控制缺陷披露的建议5.1 进一步明确内部控制缺陷披露相关主体的职责5.1.1 调动上市银行内部控制缺陷披露的主动性和自觉性相关部委在积极推行基本规范和配套指引的同时应该积极鼓励
