刘俊萍　陈丹

【摘 要】文章通过对内部控制自我评价报告、内部控制审计报告及中国银行保险监督管理委员会处罚公告的分析，揭示我国上市商业银行的内部控制缺陷的信息披露情况，并进一步提出完善商业银行内部控制的对策。

【关键词】上市商业银行;内部控制;缺陷

【中图分类号】F830.42 【文献标识码】A 【文章编号】1674-0688（2020）07-0233-02

近年来，我国银行业大案要案频发，背后暴露的是商业银行的风险管理和内部控制存在问题。本文选取截至2018年末上市时间5年以上的16家商业银行作为样本，对其内部控制自评报告、内部控制审计报告和监管机构的行政处罚决定进行分析，旨在探究我国商业银行内部控制缺陷的信息披露质量，并提出完善商业银行内部控制和信息披露的建议。

1 我国上市商业银行内部控制缺陷信息披露

我国上市商业银行的内部控制缺陷信息披露主要有3个渠道：一是银行披露的内部控制自我评价报告;二是会计师事务所出具的内部控制审计报告;三是银行监督管理部门公开的行政处罚决定书。

1.1 内控自评报告披露缺陷分析

据统计，2014—2018年，16家上市商业银行总计80份内控自评报告均未披露内部控制重大缺陷;仅有5家银行在6份自评报告中披露存在重要缺陷，占报告总数的7.5%;每份自评报告均承认存在一般缺陷，但没有进行具体描述。

样本银行的重要缺陷主要集中在票据业务、信贷业务及未取得法律授权而开展金融业务。内控失效的原因既有人为的疏忽，也有管理层故意逾越内部控制。前者如农业银行北京分行在票据买入返售业务的监督环节，对票据的安全性没有尽职尽责把控，没能及时发现票据被调包和虚假入库问题，涉及金额高达39.15亿元。后者如浦发银行成都分行通过编造虚假用途、分拆授信、越权审批等手法违规办理信贷，以掩盖巨额不良贷款。

1.2 内部控制审计报告意见分析

2014—2018年，注册会计师对16家上市商业银行的内部控制自评报告都出具了标准无保留意见的审计报告，也就是说注册会计师认可被审计银行不存在内部控制重大缺陷的表述。

1.3 中国银行保险监督管理委员会处罚公告分析

中国银行保险监督管理委员会（简称银保监会）对银行业金融机构進行监管，它针对查处的银行经营管理中的违法违规行为下达行政处罚决定书，处罚公告真实反映了银行的内部控制缺陷。由于银保监会官网仅公布了2017—2018年的行政处罚公告，所以下面的分析仅限于这两年的数据。

2017和2018年度，银保监会针对样本银行共下达了21份行政处罚决定书，其中有4份明确指出被处罚银行“内控管理严重违反审慎经营规则”;而处罚事由均表明商业银行在具体的业务领域存在内部控制缺陷，共计114项。从2017—2018年，虽然下达的行政处罚决定书份数和涉事银行数量有所减少，但是违法违规行为数量、罚款金额都大大增加（见表2）。

经统计，样本银行行政处罚事由涉及的具体业务类型，排名前三的是信贷业务、理财业务和票据业务。信贷业务的违法违规主要表现为违规发放贷款、违规转让贷款、挪用信贷资金、贷款资金管控不到位等问题。紧跟其后的是虚增存款，在会计处理上弄虚作假。除此之外，违规提供或接受信用担保、违规向客户特别是小微企业收取服务费、高管未经资格审批即履职等行为也有曝光。

2 上市商业银行内部控制缺陷信息反映的问题

2.1 上市商业银行内控自评报告中披露的内控缺陷信息不完整

将银行的内控自评报告与银保监会出具的行政处罚公告进行对比可以发现，监管机构发现的银行内控缺陷要远多于银行自查发现的内控缺陷。而且，银保监会开出上千万元的罚单也足以证明银行的内控缺陷至少达到了重要缺陷的级别，这说明银行内控自评报告中没有对内控缺陷给予充分的披露，披露的内控缺陷级别划分不准确，存在避重就轻的嫌疑。

2.2 内控审计报告的决策有用性较低

按照《企业内部控制审计指引》的规定，注册会计师仅对财务报告内部控制发表意见，针对非财务报告内部控制，只对注意到的重大缺陷，才要在内部控制审计报告中增加段落予以披露。事实上，财务报告内部控制缺陷和非财务报告内部控制缺陷缺乏明确的区分标准，如果注册会计师仅对财务报告内部控制发表意见，出于降低风险的动机，有很多内部控制缺陷都会被注册会计师划分为非财务报告内部控制缺陷，从而不会在内部控制审计报告中披露，导致信息使用者无法从审计报告中获取对决策有用的信息。

2.3 银保监会行政处罚公告信息含金量较高

银保监会的行政处罚公告，针对行政执法过程中具体查实的违法违规行为，而且列出了明确的处罚依据，真实性和客观性很强，使得信息使用者能比较清晰地了解到银行内部控制的缺陷。通过行政处罚公告，我们可以看到银行内部控制缺陷集中表现如下。

（1）内部控制环境不佳。在银保监会的行政处罚公告中，我们看到有3家银行的个别董事、高管在未取得任职资格之前即开始履行职务，公司高层在重要岗位的授权上公然违反程序，可见高层对内控的藐视;而如果企业高层忽视内控，则这种观念会轻易的从上至下传递到整个企业组织，导致整个企业内控形同虚设，从而产生严重的后果。

（2）商业银行风险管理薄弱。在银保监会的行政处罚公告中，有6家上市银行被直接点名批评“内控管理严重违反审慎经营规则”。从监管部门严厉的措辞可以窥见这些银行的风险管理工作不足不是个别问题，而是具有全局性普遍性的问题。从前述的统计分析也可以看到，银行的几个核心业务都存在大量的风险管理薄弱环节。以信贷业务为例，在贷前的尽职调查、贷中的审批、贷后的跟踪管理全过程都暴露出风险管理不到位、内部控制缺失的现象。

（3）内部控制活动执行不到位。各家商业银行都已经建立了一套系统成熟的内部控制制度，但是制度的执行卻不到位，一些基本的控制活动，如关键岗位轮换制度、授权审批制度、会计记录控制等都没有得到严格落实。例如，2017年发生的民生银行北京航天桥支行假理财案，涉案的行长、经理和柜员任职期限均超过规定轮岗期限;中信银行项目投资审核严重缺位;浦发银行、光大银行、交通银行通过各种手段虚增存款，进行不实的会计记录。

3 完善上市商业银行内控建设，加强内部控制缺陷披露的建议

3.1 建立对内控自评报告的监督制度，提高内控信息的质量

要提高内控自评报告的信息质量，需要建立一套惩戒机制来加以保障。比如，银行的内控自评报告没有披露重大或者重要缺陷，但是事后监管机构在监管活动中有发现，或者新闻媒体有公开曝光，则监管部门应启动对银行内部控制自评报告的调查程序，并对银行对披露虚假内部控制信息的行为予以严格处罚，提高银行违规的成本。

3.2 修定内部控制审计的评价标准，提高内部控制审计报告信息含量

注册会计师对内部控制的评价对象应从财务报告内部控制扩展到非财务报告内部控制，非财务报告内部控制缺陷也应影响内部控制审计报告的意见类型，这样有助于企业对于非财务报告内部控制的关注，促使企业全面加强内部控制建设。

3.3 加强风险管理，将内部控制与业绩考核挂钩

商业银行的考核，经营业绩类指标所占权重通常较高，业绩导向的评价标准促使银行为实现业绩指标而罔顾内控优先原则，频频突破可接受风险底线。我们知道，若干小的风险累积起来会转化成重大风险，若干一般缺陷累积起来可能会形成重大缺陷，最后给银行带来难以估量的损失。只有将管理层的业绩考核与内部控制实施效果直接挂钩，实施重大内控缺陷一票否决制，才能有效促使管理层重视内部控制和风险管理工作，才能将风险管理落到实处。

参 考 文 献

[1]郑石桥.内部控制缺陷识别标准：理论框架和案例分析[J].会计之友，2017（19）：122-127.

[2]张晋，许达.商业银行内部控制与风险管理能力——基于我国上市商业银行的实证分析[J].武汉金融，2019（6）：66-70.

[3]李济广，王泽锐.我国上市商业银行内部控制信息披露研究[J].湖南财政经济学院学报，2011（6）：54-58.