首都经济贸易大学 栾甫贵 田丽媛

一、引言

从2008年全球金融危机的爆发到现如今一直持续中的欧债危机，金融机构的风险管理再次成为了人们关注的焦点。实质性漏洞的概念源于美国安然公司破产案，之后美国政府决定对资本市场进行严格监管，从而促成了美国公众公司会计监督委员会（PCAOB）的设立。此后PCAOB通过发布审计准则2号（AS2），对实质性漏洞（material weakness）这一概念进行了具体定义，认为“假如存在某一个或若干个缺陷，而这些缺陷有可能致使公司的年度或中期财务报告出现重大错报，从而不能被有效的预防或及时的察觉到，那么该缺陷就构成所谓的实质性漏洞”。与传统重大缺陷的不同之处在于，实质性漏洞强调了其对内控整个体系的影响程度，它所造成的危害比重大缺陷更为严重，它的存在极大的扭曲了财务报告信息，对投资者的决策行为造成了误导。本文选取国有商业银行的典型代表——中国工商银行，并对其2007-2013年内控实质性漏洞的披露情况进行了跟踪研究，从中发现问题解决问题，以期为我国国有商业银行内控信息披露制度的健全与完善提供一些参考。

二、工商银行内部控制实质性漏洞披露现状分析

（一）样本选取 工商银行（股票代码601398），成立于1984年，于2006年10月27日在上海证券交易所上市交易，是我国五大国有商业银行之首，世界五百强企业之一，同时拥有中国最大的客户群，也是中国最大的商业银行。工商银行连续三年（2011-2013）在“迪博·中国上市公司内部控制指数排名”中位列百强，稳居我国上市商业银行的榜首，可谓是我国银行界内控最优的代表，这也是本文选取工商银行作为研究对象的重要原因。

（二）工商银行内部控制信息披露现状分析 2008年，学者杨有红和汪薇按照各个企业的内控信息披露的详略程度的不同，对其进行了具体的分类，分为“详细说明”、“一般陈述”、“简单披露”三个档次。为了便于比较和研究，本文根据披露内容的详细程度进行量化分类，将其细分为5个层次，分别用数字0、1、2、3、4来表示。“0”代表没有对内控信息做任何披露，“1”代表仅用一句话概括性的语句对内控信息进行披露，“2”代表对内控信息做出了一些简单的说明，“3”代表对内控工作计划、机构设置与安排、实际运行情况等至少一条进行了较为具体的说明，“4”代表对公司的内部控制的设置和实施情况做出了全面详尽的解释和说明。另外，审计意见一栏表示注册会计师对企业内部控制披露情况的审计意见，如果注册会计师出具了标准无保留意见，则用数字“1”表示；如果注册会计师出具的是其他的审计意见，则用数字“0”表示。通过上海证券交易所网站、企业官方网站等途径收集了工商银行2007-2013年这七年的企业年度报告、内部控制自我评价报告等定期报告进行分析，并按照上述5级量化标准进行测量，经研究得出工商银行从上市初期到现在内部控制信息披露情况如表1所示。

表1 工商银行近7年来的内部控制信息披露情况

（1）内控信息披露概况。从表1中可以看到,自工商银行上市以来，其内控信息披露的分布主要体现在“公司治理”、“董事会报告”、“监事会报告”、“报表附注”、“内控自评报告”、“内控审核报告”这些方面。总的来说，“公司治理”、“董事会报告”和“报表附注”中的有关内部控制信息的内容披露的相对较为详细，并且包含的信息量也很一致很稳定；而“监事会报告”以及“内控自评报告”中的内控信息含量在不同的年份中所披露的内容的详细程度有着很大的区别。就其信息披露的连续性来说，依据表1所反映的情况来看，总的来说，工商银行在2007-2013年对其内部控制信息的披露较为完整和连续。在这连续的七年中，工商银行每年的年度报告中的各个部分对本公司的内部控制体系的设置与执行情况都做了一定程度的说明，在披露内容上也可以算得上是存在着较为良好的连续性。

（2）法规政策对披露的影响。通过对表1的继续深入研究还发现：不同年份工商银行披露的内控信息的详略程度有所差异。通过对工商银行2007年和2008年的内部控制自我评价报告的分析，不难发现，其披露内容十分详尽，分别从控制环境、风险识别与评估、内部控制活动、信息与沟通、内部监督等内部控制五要素和内部控制缺陷及整改工作计划这些方面对其内控制度进行了十分详尽地披露。而2009-2013年这五年对其内控的评价，只是以一句话概括“未发现存在内部控制设计或执行方面的重大缺陷；一般缺陷所能导致的风险均在可控范围之内，并且已经和正在认真落实整改，对本行经营活动的质量和财务报告目标的实现不构成实质性影响。”其中，虽然工商银行在2012、2013年的年报中增设了“内部控制”模块（位置安排在“公司治理报告”与“董事会报告”之间），分别从内部环境、风险评估、控制活动，信息与沟通以及内部监督这五个方面进行阐述，但披露内容极其有限，显得流于形式，并不能提供足够的实质性信息。

（3）内控信息披露简析。同样是内部控制自我评价报告，为什么不同年份发布的报告在披露形式和披露内容方面有如此大的差别呢？工商银行对其内控制度的落实情况以及实施效果究竟会是怎么样的？根据分析，并结合相关法规政策的颁布与实施的实际情况，我们有理由做出以下推论：（1）工商银行在2006年10月成为上市，2007年是其第一个完整的报告年度，而证券交易所在2006年颁布《上市公司内部控制指引》，这在一定程度上对其造成了约束，所以工行2007年披露的内控信息不论是形式还是内容都十分完整详尽，其目的很可能是为了给利益相关者留下一个较为良好的公司形象，避免在上市初期就被监管者批评处罚。但过一段时间，2009年之后，由于考虑到减少内控信息的披露有利于隐藏自身不利消息，并且能够节约披露成本，所以内控信息的披露内容明显趋于简单和形式化；（2）从外部监管来看，我国的内控披露制度规定不论是从形式上还是内容上来说都还不是很规范，由于相关法律并没有严格地执行，导致违法成本相对较低，这项政策上的漏洞致使工商银行也放松了对其内控披露的重视程度，造成了内控信息披露存在一定的形式主义。我国现有的法律法规在制度设计上的不完善，加之法律的强制执行力度不够，导致工商银行也报了侥幸心理，在披露内控信息时存在较大的主观性和随意性。

（三）工商银行内部控制实质性漏洞披露现状分析 关于实质性漏洞的定义与特点，国外学者Ge和Mcvay早在2005年就将其划分为会计类、培训类、期末报告和会计政策类、收入确认类、职务分离类、账户核对类、子公司类、高管类和技术类这九大类。我国学者瞿旭、李明、杨丹、叶建明（2009）提出了符合我国上市商业银行特点的内部控制实质性漏洞的分类标准。结合我国的实际情况，尤其是国有上市银行的特点，基于前人的研究成果，通过对Ge（葛）和Mcvay（麦克威）以及瞿旭的借鉴，本文按照会计核算工作的一般流程及特点，将实质性漏洞做了如下分类：人员培训、权责划分、会计政策、收入确认、会计处理、对账结账、子公司、高管层以及技术漏洞。下面将对上述提到的每种实质性漏洞的含义进行简单的解释和介绍。人员培训：由于会计人员的专业素质达不到既定要求而导致对某些会计事项的处理不恰当，没有达到披露要求，或未能实施必要及时的检查等。权责划分：与职责划分有关的薄弱内控和程序，或因授权不当所引起的内控缺陷等。会计政策：对会计政策的选择或执行过程中存在缺陷，对新准则的运用不当而产生的内控缺陷等。收入确认：与收入确认政策的设计及检查相关的内控缺陷、与合约实务相关的内控缺陷等。会计处理：对某些具体项目（如应计项目、权益投资、资产减值测试等）的会计处理不当而导致的内部控制不充分，相关项目的风险预警、风险管理和风险控制存在明显漏洞。对账结账：有关某些对账、结账及检查程序的内控问题。子公司：有关子公司的一些内控缺陷，例如子公司雇员违规操作、发现子公司所签订的重大合同相关的缺陷、分支机构与公司总部对政策运用的不一致等。高管层：无效的控制环境、内部控制被高级管理层凌驾、CFO的风险控制能力不足等。技术漏洞：会计信息系统本身有漏洞、会计档案资料的管理有漏洞、会计电算化岗位人员权限设置缺乏正式文件等。上述分类方法也同样适用于对工商银行的内控信息披露问题的研究，因此本文也选用这种实质性漏洞的分类标准对工商银行2007-2013年内部控制自我评价报告进行评价分析，得出结果如表2所示。

表2 工商银行内部控制实质性漏洞披露情况

（1）内控实质性漏洞披露的数量及类型。由表2可以看出，工商银行在2007年总共针对5项内部控制实质性漏洞进行了详细的披露，2008年公布了6项实质性漏洞。根据他们的类型看，2007年公布了4种实质性漏洞，2008年则是对5种不同的实质性漏洞进行了说明。工商银行的内部控制问题似乎显得越来越严重，但实际情况很可能并非如此，因为很有可能是这些漏洞一开始就一直存在，只是由于制度的不健全所以一直没有进行披露从而不能被人们及时的发现。但在2009年以后，工商银行的《公司内部控制自我评估报告》都只是出具了一份内容很简单的报告，并未按照《企业内部控制基本规范》的内控五要素分类进行详细分类和说明，也没有对内控缺陷进行描述，只是做了如下的披露：“本行董事会已按照《企业内部控制基本规范》等法律法规的要求对内部控制进行了评价，未发现存在内部控制设计或执行方面的重大缺陷和重要缺陷。一般缺陷可能导致的风险均在可控范围之内，并已经和正在认真落实整改，对本行经营活动的质量和财务报告目标的实现不构成实质性影响。”然而这种空洞的描述也是当前上市银行业内控信息披露存在的普遍现象，这对监管者和投资者是极其不利的，严重侵害了他们对其内部控制缺陷的知情权。

（2）对前期披露的实质性漏洞的修正情况。将工商银行2008年对2007年所披露的内控信息实质性漏洞的修正与改进情况进行简要的说明：第一，信用风险预警方面。2007年工行信贷管理系统风险预警模块中虽然有风险预警功能，但需进一步加以整合并逐步完善，以保证其充分发挥作用。工行在2008年针对评级、授信业务进行整合，建立起关于法人客户、债项二维内部评级体系，从定量和定性不同角度对客户信用风险进行综合评估；通过对债项评级系统的整体实施，基本实现了对170多个信贷产品和100多万笔债项违约损失率的计量，同时构建了组合风险计量体系，并对组合评级管理系统进行了试运行；对于零售内部评级法，对个人客户信用评分体系进行了初步构建，还全面启动了针对个人客户内部评级系统的建设工作；对《中长期项目评估管理办法》进行了修订并试运行，在一定程度上优化了项目贷款风险量化与区分管理工作，制定《中长期项目贷款偿债能力评价细则》，提升了项目风险评估工作标准化水平。第二，交易账户衍生产品的市值评估方面。关于交易账户衍生产品的市值评估频率，工行在2007年尚未达到逐日评估的要求。工行在2008年制定了《市场风险计量方法》与《金融市场业务市值评估方法》，同时配套建立起了统一的市场风险计量方法；通过市场风险核心系统（KGR一期）的实施，已经实现了在市场风险识别、计量和监测报告集中化规范化管理；通过完善以风险价值(VaR)为核心的市场风险评估方法，从而使交易账户本外币债券基本实现了每日市值评估，并第一次对外进行披露。第三，财务报表编制方面。2007年工行在对财务报表附注的相关基本信息的搜集方面，传统的手工统计方式已不再适用，尤其是与T+1的财报自动生成系统产生了严重的矛盾与冲突。这种编报形式会延迟完成财务报告的时间，还可能产生一些的错误，致使数据的准确性也不能得到良好的保证。工行在2008年关于会计系统方面，依据会计核算和管理办法的要求专门设置会计机构，配套建立岗位责任制度。制定了《运行管理基本制度》，规范相关业务核算行为，提高业务运行的管理质量和效率，并以会计信息质量为核心，完善会计核算与财务信息披露体系，开发年报管理系统，从而实现报表附注数据源的方便提取与核对功能，这样可以在一定程度上提高财务报告编制的效率和质量，从而有效实现合并会计报表披露准确性和时效性的目标。第四，合规性检查方面。2007年工商银行尚未建立起合乎规范的检查工作的规则，影响了合规性检查工作的质量。2008年工行进一步强化制度流程的合规性审核工作，重点做好对新产品、新业务规章制度的合规性审核，加强境外机构的合规风险管理；积极开展合规检查，关注重点业务和重点领域，不断扩大检查的覆盖面；进一步强化合规问责，健全不良贷款责任认定机制，统一员工违规行为处理规定；通过实施扎实有效的监督检查与合规管理工作，以达到提高全体员工的内部控制意识，从而营造出良好的氛围，只有这样才能真正保障各项业务依法合规稳健经营，从各个方面健全合规检查工作机制与流程，使得合规检查更加标准化，管理更加规范化。第五，员工行为守则方面。2007年还没有更新《员工行为守则》，在一定程度上可能会影响到内部控制环境的完整性。工行在股份制改造和上市之后并未重新制定或者更新原来的《员工行为守则》，所以在内容上并未包括禁止内幕交易、处理利益冲突以及相关不良行为的惩罚措施。依照2008年国务院新出台的《劳动合同法实施条例》，工行已对《员工行为守则》进行了修订和完善，使之更符合企业的实际情况，为企业和企业员工搭建好沟通和交流的平台，同时也促进了企业内部控制的健康发展。综合上述内容，依据工行2008年发布的《公司内部控制自我评估报告》，可以得出下列结论：工行认真整改落实了2007年度内部控制自我评估报告所披露的内控实质性漏洞，同时对资产管理系统中的信用风险预警功能实施了优化；并通过制定《金融市场业务市值评估办法》，从而对评估系统彻底进行了改进；通过财务会计报告管理系统的开发，使得财务报告附注大部分报表内容能够自动生成；加强了合规检查工作的规范化建设；依据国务院新颁布的《劳动合同法实施条例》，对《员工行为守则》进行了修订和完善。由于2009-2013年工行的《公司内部控制自我评估报告》对内控信息的披露只进行了简单的描述，根据这些简单描述，难以得知2008年《公司内部控制自我评估报告》所列示的内控信息实质性漏洞是否已得到了解决。并且2009-2013年工行是否存在内控实质性漏洞以及漏洞的形式和数量也不能被信息使用者及时了解到。

（3）法律法规对内控实质性漏洞披露的影响。中国证监会于2000年12月发布《公开发行证券公司信息披露编报规则第7号——商业银行年度报告内容与格式特别规定》；紧接着证监会又在2003年3月发布《公开发行证券公司信息披露编报规则第18号——商业银行信息披露特别规定》；中国银监会于2004年12月颁布《商业银行内部控制评价试行办法》；上海证券交易所和深圳证券交易所分别在2006年6月和9月发布了《上市公司内部控制指引》；银监会于2007年7月颁布《商业银行内部控制指引》，同期银监会又颁布《商业银行信息披露办法》；2008年6月28日，财政部、证监会、审计署、银监会、保监会五部委联合发布了《企业内部控制基本规范》。其中《上市公司内部控制指引》和《企业内部控制基本规范》是对上市商业银行内部控制信息披露最为重要的两部法律法规。通过研究不难发现，21世纪初期是企业内部控制的萌芽和塑形期，而2006-2008年是我国内部控制最蓬勃发展的时期。在政策出台初期，监管方面也会相对更加的严格，结合工商银行的案例分析，工行在2007年和2008年的内控信息披露在内容上也是最为详尽和完整的。而2009年以后，由于没有新的法律法规出台颁布，之前颁布的法律法规热度也相对降低，加之法律法规的执行力度不严格，相关执法监督部门的惩罚机制不完善，从而导致部分上市公司不注重其内控信息披露的详细程度，工商银行也不例外，披露内容大幅度减少，也省去了对内控信息漏洞的具体评估。

三、结论与建议

本文通过对工商银行内部控制信息披露的详细分析，发现问题主要集中在以下几个方面：（1）年报中不同项目所披露的内控信息量存在较大差异。内控信息的披露主要集中在“内控自评报告”中，而董事会和监事会在报告中并未对企业的内控情况做出具体的评价与说明，披露载体过于单一；（2）披露形式主义现象严重。“监事会报告”、“内部审计报告”、“审核意见”等项目对内控信息的披露不充分，并存在某些不同的年份披露的内容类似甚至是完全相同。例如“监事会报告”一般表述为“本公司内部控制制度完整、合理、有效”,这在一定程度上表明公司监事会没有发挥应有的监督检查等作用，存在一定的形式主义。“内控审核报告”以及“审核意见”大都也流于形式，并未真正指出内控的不足及改进方法；（3）披露情况受法规政策影响较为明显，违法成本较低。2007年和2008年的内部控制自我评价报告的披露内容十分详细，但2009-2013年对其内控的评价只是以一句话概括“未发现存在内部控制设计或执行方面的重大缺陷；一般缺陷所能导致的风险均在可控范围之内，并且已经和正在认真落实整改，对本行经营活动的质量和财务报告目标的实现不构成实质性影响。”因此可总结为在法规严格的时候披露内容较为详细，其他情况下披露存在偷工减料的行为。

依据上述结论，可以从内部和外部这两个方面来对相关问题进行具体的改进。第一，外部监管方面：进一步建立健全实质性漏洞披露机制。建议政府立法部门应出台相关法律，同时制定相关的准则与操作性较强的具体规章制度，规范和统一内部控制各类缺陷尤其是实质性漏洞的认定标准和披露方式，明确年报中各项目对内控信息的披露要求。同时也使得注册会计师对内部控制自我评价报告的审核可以有章可循；增加对前期内控漏洞缺陷的改进说明。要以法律法规的强力要求企业重视对前期所披露的内部控制实质性漏洞的改进工作，并在下一个报告期内进行详细的说明，使得监管者和投资者等信息使用者更加清楚详细的了解企业内部控制的实施与改进情况，披露要以实际进行工作为基础，避免披露的形式主义；健全相关的处罚机制。应严格认真的按照法律的要求去执行，对于违反信息披露规定的企业，要加大惩罚力度，同时追究相关责任人的责任，提高企业的违法成本。外部监督机构如中国人民银行、证监会、银监会等应定期对上市公司的内部控制自我评估报告以及中介机构的鉴定意见进行严格的检查，从本质上提高内控监管力度。第二，企业内部方面：明确上市银行内部控制中实质性漏洞信息披露相关主体的职责。公司高管层应该明确各自对财务报告中的内部控制信息披露所承担的责任,保证所披露信息的真实性、准确性、完整性。上市银行要在按要求披露内部控制自我评价报告以及内部控制审核报告；增强企业管理层的经营理念，提高披露意识。企业的高管层应该转变观念，应正确看待披露内部控制实质性漏洞这个问题，自觉严格按照我国法律法规的要求对内控实质性漏洞进行详细的披露，这不仅有助于改善企业自身的内控坏境，还可以提升企业的社会形象，对企业尤其是国有商业银行来讲，是一个多赢的选择。

［1］瞿旭、李明、杨丹、叶建明：《上市银行内部控制实质性漏洞披露现状研究——基于民生银行的案例分析》，《会计研究》2009年第4期。

［2］齐保垒、田高良：《财务报告内部控制缺陷披露影响因素研究》，《财务与会计》2010年第4期。

［3］唐红娟：《上市银行内部控制信息披露的缺陷与改进》，《财会月刊》2010年第4期。

［4］王慧芳：《内部控制缺陷认定：现状、困境及基本框架重构》，《会计研究》2011年第8期。

［5］Andrew J.Leone.Factors Related to Internal Control Disclosure:A Discussion of Ashbaugh,Collins,and Kinney（2007）and Doyle,Ge and McVay（2007）.Journal of Accounting and Economics,2007.

［6］W.Ge and S.McVay.The Disclosure of Material Weakness in Internal Control after the Sarbanes-Oxley Act.Accounting Horizons,2005.