我国上市商业银行内部控制信息披露制度依据与现状梳理分析

【摘要】2008年美国爆发了以次贷危机为诱因的金融危机，导致了数十家商业银行相继破产、倒闭或者被收购，其中就包括拥有百年历史的雷曼兄弟（Lehman Brothers Holdings Inc）。有着雄厚实力的摩根大通（J P Morgan Chase Co.）、花旗银行(Citibank，N.A)同样遭受了巨大损失。使美国经济遭遇了上世纪大萧条以来的巨大打击，且波及世界经济。与商业银行运营的的安全性、稳健性密切相关的内部控制制度的设计与内部控制信息的披露就显得尤为重要。
【关键词】商业银行；内部控制；信息披露

一、问题的提出

尽管近年来我国银行内控机制和风险防范制度在不断完善，但金融机构信贷资金违规案件仍层出不穷，无一不暴露出银行内控机制、风险防范和监管制度的薄弱。监管部门、专家学者和商业银行自身也都首先将目光集中到完善银行内部控制及信息披露上。就我国上市商业银行内部控制相关实施依据来看，其内部控制信息披露内容大多过于模块化与形式化，不利于商业银行的稳健经营和

源于：毕业设计论文网www.udooo.com

长远发展，同时对于投资者来说，由于信息的不对称也存在着较高的投资风险。

二、我国上市商业银行内部控制信息披露的制度安排

目前，我国对上市商业银行内部控制信息披露的规范性文件主要有证监会、证券交易所、人民银行和银监会等政府管理部门和相关机构颁布。其中对上市银行内部控制信息披露较为具体有：2000年证监会颁布《公开发行证券公司信息披露编报规则第７号——商业银行年度报告内容与格式特别规定》，要求上市银行对内部控制制度的完整性、合理性、有效性（简称“三性”）做出说明；会计师事务所对“三性”进行评价，并出具评价报告，该报告随年报一并报送证监会和证券交易所；事务所指出“三性”存在严重缺陷的，董事会应予以说明，监事会就董事会所作说明明确表示意见，并分别予以披露。2003年证监会颁布《公开发行证券的公司信息披露编报规则第18号——商业银行信息披露特别规定》，保留了第7号规则中有关上市银行内部控制信息披露的有关规定，将具体披露责任归于董事会。2008年证监会颁布《公开发行证券的公司信息披露编报规则第26号—商业银行信息披露特别规定》。第26号规则特别在一些商业银行的信息披露项目上进行了细化。例如：对持有的金融债券的类别和金额，重大金融债券的面值、年利率及到期日，计提减值准备情况；委托理财、资产证券化、各项写作技巧、托管等业务的开展和损益情况等予以披露。《上海证券交易所上市公司内部控制指引》规定公司董事会对公司内控制度的建立健全、有效实施及其检查监督负责，董事会及其全体成员应保证内部控制相关信息披露内容的真实、准确、完整。《深圳证券交易所上市公司内部控制指引》不仅要公司董事会发表内部控制自我评价报告，还需要监事会和独立董事对此报告发表意见。《中小企业板上市公司内部审计工作指引》总则中对内部控制及信息披露的规定与《上海证券交易所上市公司内部控制指引》总则中的规定类似。

三、上市商业银行内部控制信息披露现状分析

本文从上市商业银行内部控制信息披露的角度出发，以我国16家上市商业银行内部控制信息披露的内容为研究对象，运用描述性统计的方法，从披露载体、披露内容和披露依据三方面对上市商业银行2010年年报进行了如下分析研究（见表1）。

(一)披露载体方面

表1显示，在2010年除交通银行以外，其余15家上市商业银行均以董事会报告的形式进行了相关的内部控制信息披露。其中，6家银行发表了“董事会关于内部控制的责任声明”，4家银行发表了“董事会对公司内部控制的自我评价报告”（其中深圳发展银行发表了“董事会关于内部控制责任的声明及内部控制的自我评价综述”），其余几家上市商业银行以内部控制工作指导或计划实施方案为主要形式，发表了相关的内部控制信息披露信息。同时，16家上市商业银行均以监事会报告为载体，披露了公司内部控制的情况，其表述内容基本上都是“公司制定了较为完整、合理、有效的内部控制制度”。在会计师事务所出具的审计报告中，也均对内部控制信息披露发表了审计意见，其中个别公司在年报中发表了“内部控制评价报告”，如：农业银行，建设银行等。此外，16家上市商业银行在年报正文中都披露了部分内部控制情况，但披露的内容和量上不尽统一。

(二)披露内容方面

1.董事会报告

大部分上市商业银行董事会均进行了对于内部控制责任的声明，如中信银行“本行内部控制的目标是保证本行经营管理合法合规、资产安全、财务报告及相关信息真实、准确、完整。本行按照相关法律法规的要求规范运作，建立了有效的内部控制制度。董事会根据相关法律法规的要求对财务报告相关内部控制进行了评价，并出具了《中信银行股份有限公司董事会关于公司内部控制的自我评估报告（2010年度）》，认为本行2010年相关内部控制制度基本建立健全、执行有效。”类似的还有中国银行、招商银行、深圳发展银行、农业银行、民生银行、华夏银行、北京银行、工商银行。
兴业银行和建设银行董事会在年报后附了内部控制自我评估报告，从内部控制现状综述、内部控制自我评价结论两方面介绍并总结了银行内部控制情况。宁波银行和光大银行董事会在年报中简略进行了对公司内控制度的自我评价。南京银行在董事会报告中对内部控制制度的完整性、合理性与有效性和内部控制制度的执行情况进行了说明。工商银行和浦发银行在董事会报告中对建立健全内部控制体系的工作计划和实施方案进行了说明。

2.监事会报告

中国银行、招商银行、兴业银行、浦发银行、交通银行、建设银行、华夏银行、光大银行、北京银行、中信银行10家银行的监事会都对内部控制自我评价报告的审阅情况进行了简要说明。宁波银行、南京银行、交通银行、兴业银行监事会对内部控制制度情况进行了简要说明。农业银行、工商银行、深圳发展银行监事会对公司内部控制情况进行了简要说明。而民生银行监事会在报告中就2010年2月3日公司科技系统因故导致部分时段停止怎么写作和8月31日公司贵金属延期交易系统出现挂单异常不能交易等事件进行了简要分析。

3.会计师事务所审核报告

在16家上市商业银行的年报中，注册会计师事务所均对公司的内部控制在审计报告中发表了审计意见，肯定了管理层在设计、实施和维护与财务报表编制相关的内部控制。其中：事务所在年度报告中还对建设银行、农业银行以及兴业银行的内部控制做了评价报告。

4.年报正文

上市商业银行在年报正文中对内部控制信息的披露没有完全统一的格式。其中招商银行、民生银行和浦发银行均在年报正文中对公司内部控制的完整性、合理性和有效性进行了说明。兴业银行、南京银行、北京银行、华夏银行、工商银行、光大银行、宁波银行均在年报正文中披露了公司内部控制建立健全情况。交通银行、中信银行、农业银行、建设银行、北京银行、工商银行均在年报正文中提到建立健全内部控制体系的工作计划和实施方案。中信银行、深圳发展银行、北京银行在年报正文中对公司内部控制自我评估情况进行了说明。兴业银行、农业银行、南京银行、民生银行、建设银行、北京银行、华夏银行、兴业银行在年报正文中均对与公允价值计量相关的内部控制制度进行了说明。中国银行和建设银行在年报正文中对反洗钱工作进行了说明。中国银行在年报正文中对提升内部控制三道防线进行了说明。农业银行、建设银行在年报正文中对内部控制活动进行了说明。

(三)披露依据方面

目前，我国上市商业银行内部控制信息披露依据不尽相同，如表2所示，《企业内部控制基本规范》在十六家上市商业银行内部控制评价中均有所提及。同时，其他有关内部控制规范的依据也被不同程度的使用：有10家上市商业银行同时以《商业银行内部控制指引》为内部控制信息披露依据之一，分别是南京银行、兴业银行、民生银行、中信银行、深圳银行、交通银行、工商银行、中国银行、招商银行、华夏银行；有5家上市商业银行以《上海证券交易所上市公司内部控制指引》为披露依据之一，分别是南京银行、兴业银行、民生银行、中信银行、工商银行；以《深圳证券交易所上市公司内部控制指引》为披露依据之一的有深圳银行、宁波银行；以《中华人民共和国商业银行法》为披露依据之一的银行有招商银行、深圳银行、民生银行；以《商业银行内部控制评价试行办法》为披露依据之一的银行有南京银行；以《中小企业板上市公司内部审计工作指引》为披露依据之一的银行有宁波银行。上述情况虽反应了我国上市商业银行信息披露制度化的要求，但也从另一层面体现信息披露的制度依据的多重性。

四、COSO报告、巴塞尔新资本协议对我国商业银行内部控制的启示

1992年COSO公布的《内部控制—综合框架》（也称“COSO内部控制框架”），针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括，发布《内部控制一整体框架》报告，即通称的COSO报告。2004年再次修订的COSO报告突出强化董事会在企业风险方面的重要作用，在1992年原内部控制整体框架基础上提出了风险偏好、风险容忍度等概念，即：《企业风向管理（ERM）——总体框架》，扩展了内部控制的内涵、目标和要素，对内部审计人员的职责也有所拓展。近年来，巴塞尔银行监督委员会就商业银行信息披露问题发布了一些列文件其所确定的原则、标准和建议为市场国家的主要商业银行所共同遵循。2002年7月通过的《新资本协议》特别强调信息披露是强化市场约束的前提条件。同时在使用范围、资本结构、风向披露与评估和资本充足率四个方面对银行的信息披露提出了定量和定性的要求及建议。
在我国虽多部法规对内部控制的含义、目标有所定义，从表述上看不统一，从内容上看过于原则，强制性不强，缺乏实质性对银行内部控制设计及其运用的概括性描述和评价。导致上市公司内部控制信息披露的内容流于形式。这无论是对资本市场的发展还是商业银行稳健经营均存在巨大的风险，同时，对于我国的投资者来说也有着很大的信息不对称性和较高的投资风险。COSO报告对于企业内部控制的规定和标准，对于并不详细的我国有关内部控制法律法规是一个良好的补充。巴塞尔新资本协议对商业银行信息披露所提出的定量和定性的要求及建议尤其对于我国商业银行内部控制信息披露是一个好的借鉴。对照COSO报告以及巴塞尔委员会的要求，目前我国商业银行内部控制及信息披露的差距明显，故上市商业银行相关监管机构应正视存在问题及不足，积极推动并规范商业银行内部控制信息披露。

(一)建立以市场为主导，以风险管理为核心的企业内部控制体系

COSO风险管理框架中提到“所有企业都是在有风险的环境下经营，而不是企业风险管理使企业面临这样的环境”。企业风险管理是使管理者能够在充满风险的环境中更加有效地经营。当前，中国银行业快速有效安全发展的长远战略目标应该是构造一个市场主导型的内部控制体系，以最大限度地分散风险，保证上市银行有足够的流动性，实现经济增长的财富效应和存量资源的优化配置。中国20多年的金融改革所出的对商业银行机构的多元化和金融活动的市场化这两大基本特征，实际上正在为市场主导型金融体系的形成创造必要的条件。COSO框架最突出的特点是提高了对企业风险的关注程度，使企业内部控制逐渐呈现与风险管理一体化的趋势，即以风险管理为主导，建立适应企业风险管理战略的新的内部控制体系，使企业内部控制开始走向范围更宽泛的风险管理。银行作为一个特种行业，其信息披露关系到整个金融体系的安全和稳定，进而关系到整个国家的金融安全。

(二)规范并强制内部控制信息的披露

从本文对已上市16家商业银行2010年披露的内部控制相关信息来看，无论从制度依据、还是披露内容、披露的形式以及披露的标准均较为无序，显示出强制性信息披露规范的不完善。即便从其自愿性披露的内部控制信息来看也过于简单和形式化。显然不能满足社会公众对相关信息的需求。美国萨班斯法案明确规定了将COSO报告作为内部控制评价的主要标准，而我国缺乏统一的评价标准。巴塞尔新资本协议代表了先进的银行监管理念和发达国家商业银行逐步完善的风向管理的最佳实践，我国目前虽没有执行新资本协议，但也明确表示支持。故应逐步强化对风险管理的定量信息披露，以巴塞尔新资本协议的要求为导向要求银行揭示信用风险、市场风险及流动性风险和定性及定量信息，对操作性风险和法律风险等不

摘自：学报论文格式www.udooo.com

易量化的风险，则要求披露定性信息。从本文所选定的16家上市商业银行的年报看，各行对有关风险的信息披露多为定性分析，其主要原因是强制性制度制约较差。

(三)规范上市商业银行强制性信息披露依据提高信息披露可比性

对于上市商业银行信息披露的依据，从本文的表2可以看出，其年报中提及的披露的制度依据差异较大，导致其所披露的信息不具有可比性，对信息使用人的投资决策产生不必要的困扰和障碍。上市商业银行内部控制信息的披露不但应具备及时性、真实性、完整性，还应具备可比性。信息披露制度依据的差异，使得银行间信息可比性下降，对信息使用人、监管部门均存在不便，此方面可借鉴巴塞尔新资本协议的要求。信息的披露对风险的防范不是万能的，但它能减少银行问题所造成的损失，只有银行对其有问题的领域充分披露时，资本市场才能做出及时的反映，以避免对投资人乃至国民经济造成巨大损失。因此，统一规范上市商业银行信息披露制度依据势在必行。
参考文献
瞿旭,李明,杨丹,叶建明.上市银行内部控制实质性漏洞披露现状研究——基于民生银行的案例分析[J].会计研究,2009(4).
路倩.上市银行内控信息披露质量的比较与借鉴[J].现代金融,2011(1).
[3]刘宇.我国上市银行信息披露现状及监管创新[J].中国金融,2010(6).
[4]宋京津.经济后果观下的内部控制信息披露问题—基于三大上市银行2001年—2008年年报的思考[J].审计与经济研究,2011(3).
[5]吴永清.我国上市银行内部控制信息披露分析[J].商业文化,2011(10).
项目基金：本文为天津商业大学SRT项目（项目编号：2011066）“中国商业银行内部控制信息披露的研究”阶段性成果。