上市银行内部控制自我评价报告和审计报告分析.doc

上市银行内部控制自我评价报告和审计报告分析 基于2006年-2011年的时间序列数据（下）2.内部控制自我评价报告的内容评价指引并没有对内部控制自我评价报告的具体内容作出详细规定，但是要求报告至少应当披露下列内容：（1）董事会对内部控制报告真实性的声明；（2）内部控制评价工作的总体情况；（3）内部控制评价的依据；（4）内部控制评价的范围；（5）内部控制评价的程序和方法；（6）内部控制缺陷及其认定情况；（7）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；（8）内部控制有效性的结论。评价指引于2010年4月颁布，因此，考虑不同年份报告的可比性，本文主要针对16家上市银行2010年和2011年上市银行内部控制自我评价报告的内容进行比较，如表3所示。比较2010年和2011年上市银行内部控制自我评价报告的具体内容，我们发现，所有银行的自我评价报告都有“内部控制有效性的结论”，同时，除2010年深发展、宁波银行和南京银行以外，其他银行的自我评价报告都涵盖了“董事会对内部控制报告真实性的声明”的内容。但是“内部控制评价工作的总体情况”、“内部控制评价的依据”、“内部控制评价的范围”、“内部控制评价的程序和方法”、“内部控制缺陷及其认定情况”、“内部控制缺陷的整改情况及重大缺陷拟采取的整改措施”等内容，2011年的披露较2010年变化较大，2011年自我评价报告的内容规范性更强。（1）从“内部控制评价工作的总体情况”看，虽然所有银行的评价报告都涵盖总体情况描述的内容，但是具体表述却存在差异。2010年，工商银行、交通银行、深发展、招商银行、中信银行、兴业银行、宁波银行、南京银行对内部控制的评价是针对所有内部控制进行的；民生银行、北京银行对财务报告相关内部控制进行了评价，但未提及是否注意到非财务报告内部控制的重大缺陷；只有光大银行、华夏银行、中国银行、建设银行、浦发银行、农业银行对财务报告相关内部控制进行评价，且提及是否注意到非财务报告内部控制的重大缺陷。2011年，除兴业银行、交通银行、中国银行自我评价是针对所有内部控制以外，其他13家银行评价的对象都是财务报告内部控制，在这13家银行中，除南京银行外，其他12家银行均在自我评价报告中提及是否注意到非财务报告内部控制的重大缺陷。（2）从“内部控制评价的依据”看，2010年，上市银行内部控制自我评价的依据除了包括企业内部控制基本规范、商业银行内部控制指引、商业银行内部控制评价试行办法、上海证券交易所上市公司内部控制指引、深圳证券交易所上市公司内部控制指引等内部控制相关指引外，还有些银行也将中华人民共和国商业银行法、中华人民共和国公司法、中华人民共和国证券法作为评价的依据。2011年，上市银行内部控制自我评价的依据则主要是企业内部控制规范、企业内部控制评价指引、商业银行内部控制指引、上海证券交易所上市公司内部控制指引。（3）从“内部控制评价的范围”看，2010年只有民生银行、招商银行、兴业银行、中信银行、南京银行、北京银行、深发展、宁波银行等8家银行披露了评价的具体范围，且主要是从内部控制五要素进行的披露。2011年，除了浦发银行和华夏银行以外，其他银行都披露了评价范围，评价范围大多数是从五个要素（内部环境、风险评估、控制活动、信息与沟通、内部监督）和三个层面（公司层面、业务流程、信息系统）展开，个别银行详细披露了业务层面的内部控制，如交通银行、深发展、兴业银行、招商银行。（4）从“内部控制评价的程序和方法”看，2010年除了北京银行在评价报告中提到包括询问、观察、调查问卷等多种方法外，其他银行未涉及相关披露。2011年，除了浦发银行和南京银行以外，其他银行都披露了“内部控制评价的程序和方法”。（5）在“内部控制自我评价报告”所有的披露内容中，“内部控制缺陷及其认定情况”和“内部控制缺陷的整改情况及重大缺陷拟采取的整改措施”的信息披露是最为欠缺的。根据评价指引的规定，企业内部控制缺陷按其影响程度可以分为重大缺陷、重要缺陷和一般缺陷。其中，重大缺陷是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标；重要缺陷是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标；一般缺陷是指除重大缺陷、重要缺陷之外的其他缺陷。并且还提出，重大缺陷、重要缺陷和一般缺陷的具体认定标准，由企业根据上述要求自行确定。2010年，除了浦发银行对这两部分内容进行了比较详细的描述以外，其他银行评价报告中的表述都较含糊。虽然有些银行也提到内部控制存在一般缺陷，如工商银行、光大银行、建设银行、农业银行、深发展、招商银行，但都仅局限于“一般缺陷可能导致的风险均在可控范围之内，并已经和正在认真落实整改，对本行经营活动的质量和财务报告目标的实现不构成实质性影响”之类的表述。虽然2011年这两部分的信息披露相比较2010年来说较为改善，但整体来说仍然不够充分，很多银行都仅在自我评价报告中将评价指引关于三类缺陷的定义重复一遍，除此之外的披露信息都非常有限。具体情况是：华夏银行和南京银行都没有关于缺陷及其认定和整改情况的相关披露。宁波银行虽然提到内部控制缺陷认定和整改，但具体情况都未披露。工商银行、建设银行、深发展、光大银行对这两部分内容的披露仅仅局限于“一般缺陷可能导致的风险在可控范围之内，并已经或正在认真落实整改，对本行经营活动的质量和财务报告目标的实现不构成实质性影响”之类的表述。民生银行、招商银行和中国银行披露了内部控制缺陷认定的定量标准和定性标准，但未披露内部控制存在的缺陷和整改情况。交通银行从具体业务层面披露了内部控制的缺陷；兴业银行详细披露了内部控制存在的缺陷和整改情况；浦发银行从内部控制设计和内部控制执行两个层面披露了发现的问题和改进措施；但交通银行、兴业银行和浦发银行都没有关于内部控制缺陷认定的具体标准。相比较来说，北京银行的披露较为完整，既披露了内部控制缺陷认定的定量标准和定性标准，也提出了整改措施，但是内部控制缺陷的具体内容却未披露。3.内部控制审计报告的内容企业内部控制审计指引规定，标准内部控制审计报告应该包括的要素有“（一）标题；（二）收件人；（三）引言段；（四）企业对内部控制的责任段；（五）注册会计师的责任段；（六）内部控制固有局限性的说明段；（七）财务报告内部控制审计意见段；（八）非财务报告内部控制重大缺陷描述段；（九）注册会计师的签名和盖章；（十）会计师事务所的名称、地址及盖章；（十一）报告日期”。袁敏（2007）研究发现，内部控制审计实务中存在意见名称不一致、依据不同、意见表述方式有差异、审计意见的类型不同、发表意见对象不统一、用途限制与否有别等诸多问题。按照审计指引的要求，内部控制审计意见包括无保留意见、加强调事项段的无保留意见、否定意见和无法表示意见。同时，审计指引还要求，如果注册会计师认为非财务报告内部控制存在重大缺陷，应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。从2010年和2011年内部控制审计报告来看，所有银行的内部控制审计意见均为无保留意见，并且均无非财务报告内部控制重大缺陷描述段落。因此，结合指引的规定以及上市银行内部控制审计的实际情况，本文主要从审计报告标题、审计依据、审计业务类型、保证程度和用途限制与否等五个方面总结分析上市银行内部控制审计报告中的问题。内部控制审计报告相关内容及符号的解释说明如表4所示，按照审计指引的要求，规范的审计报告应符合A1、B1、C1、D1、E1等要求。根据我们的数据收集，上市银行2010年和2011年内部控制审计报告的披露情况如表5所示。可以看出，虽然2010年审计指引已经实施，但是事务所出具的审计报告整体规范性较差，整体来说与内部控制审计指引的要求不相符。从报告名称上看，没有一家银行是内部控制审计报告，并且个别银行的报告名称和业务类型不匹配，例如，华夏银行的报告名称是内部控制自我评估报告的核实评价意见报告，而从其报告内容看，其业务类型却是针对内部控制发表的审计的意见；交通银行的报告名称是内部控制评价报告，而从其报告内容看，其业务类型却是针对公司的内部控制自我评价报告发表意见。从审计依据上看，也没有一家银行提到审计指引。从保证程度上看，除华夏银行、浦发银行、深发展以外，其他银行内部控制审计报告都只提供有限保证。且所有银行都对审计报告的用途进行了限制，主要是供银行编制2010年年度报告的目的使用。2011年，除光大银行以外，15家银行都出具了内部控制审计报告，审计报告的规范性明显得以改善。除了华夏银行、南京银行和北京银行的内部控制审计报告与2010年存在同样的问题以外，其他银行的内部控制审计报告完全按照审计指引和中国注册会计师执业准则的要求出具的。研究结论与对策建议一、研究结论总结全文，从2006年至2011年共6年时间来看，披露内部控制自我评价报告和审计报告的上市银行数量在不断增加，上市银行内部控制自我评价报告和审计报告的规范性得以加强。1.从2006年的1家银行发展到2011年分别有16家银行和15家银行披露自我评价报告和审计报告，披露的比例从不到15%增加到90%以上。2.从内部控制自我评价报告看，2010年上市银行内部控制自我评价报告的基本内容不仅形式上不规范，例如很多银行的内部控制评价报告都未涵盖“内部控制评价的程序和方法”、“内部控制评价的范围”、“内部控制缺陷及其认定情况”和“内部控制缺陷的整改情况及重大缺陷拟采取的整改措施”等内容；同时，不同银行内部控制自我评价报告中包含的内容如“内部控制评价工作的总体情况”和“内部控制评价的依据”，差异也较大。与2010年相比较，除个别银行以外，2011年上市银行内部控制自我评价报告的基本内容都符合评价指引的要求。3.从内部控制审计报告来看，2010年上市银行的内部控制审计报告无论“报告标题”或者“审计依据”，还是“审计业务类型”或者“保证程度”，都存在较多不规范的地方，而且所有报告都限制了审计报告的使用用途。2011年绝大多数内部控制审计报告与审计指引的要求完全一致。同时，通过分析可以看出，上市银行内部控制自我评价报告和审计报告中还存在一些共性的问题，有待进一步解决完善。例如，根据评价指引的规定，评价报告中应当包括“内部控制缺陷及其认定情况”和“内部控制缺陷的整改情况及重大缺陷拟采取的整改措施”，若存在一项或多项内部控制重大缺陷的，应当作出内部控制无效的结论；根据审计指引的规定，若存在一项或多项重大缺陷的，应当发表否定意见。从我国上市银行2010年和2011年的评价报告看，除了少数银行对“内部控制缺陷及其认定情况”和“内部控制缺陷的整改情况及重大缺陷拟采取的整改措施”有详细披露外，其他银行评价报告中的表述都较含糊，并且所有银行的评价报告结论都认为内部控制是有效的，所有银行的内部控制审计意见均为无保留意见。然而，根据瞿旭等（2011）17于2010年5月对向上市银行高管及核心员工发放问卷调查研究发现，上市银行内部控制的“管理监督与控制文化、风险识别与评估、控制活动与职责分工、信息与交流、监督评审与纠正”等方面都存在重大缺陷的可能，而其中控制活动与职责划分是最重要的内部控制组成部分，是重大缺陷影响最严重的区域。虽然该研究针对的是上市银行2010年5月以前的内部控制情况，然而，即使2011年内部控制确实得以整改，那也应该在自我评价报告中予以说明。这足以说明我国上市银行内部控制并非报告中披露的那样合理有效。二、对策建议可以看出，随着时间的推移，上市银行内部控制自我评价报告和审计报告在得以完善的同时还存在较多的问题和不足，这些问题是大多数上市银行共同存在的，因此需要采取针对性的措施。这些措施不仅能够完善上市银行内部控制自我评价和审计，也可以为其它上市公司建立健全内部控制提供参考。1.针对不同行业进一步细化内部控制的标准。按照证监会对上市公司的行业分类，我国上市公司的行业类型共有13个，分别是制造业、交通运输和仓储业、金融和保险业、采掘业、房地产业、电力和煤气及水的生产和供应业、批发和零售贸易、建筑业、信息技术业、社会服务业、综合类、农林牧渔业、传播和文化产业。不同行业的业务类型差异很大，内部控制也存在较多差异。基本规范和配套指引虽然为上市公司建立健全内部控制及内部控制自我评价和审计提供了标准，但未涉及具体行业的明细规定。由于不同行业内部控制的侧重点不同，还应针对不同行业尤其是需要结合特殊行业（如本文所研究的上市银行）的特殊性制定出更适合本行业的内部控制标准。2.针对不同行业制定内部控制缺陷评价体系。评价指引已经对缺陷的种类和认定程序作出具体规定，审计指引还对重大缺陷的迹象作出了系统的概括，但是指引中并没有对三类缺陷的具体认定标准进行详细量化，而是由企业根据上述要求自行确定。这也是导致上市公司和会计师事务所无法较好识别和评价内部控制重大缺陷的重要原因。因此，应当尽快结合不同行业上市公司内部控制的特性，制定内部控制缺陷认定标准体系，明确内部控制各类缺陷尤其是重大缺陷的认定标准和方法，提高配套指引的可操作性。3.增强上市公司内部控制信息披露意识。很多上市公司对披露内部控制缺陷存在认识上的误区，认为内部控制缺陷的披露会影响投资人的预期，会降低其市场价值，因此缺乏内部控制自愿自我评价和审计的动机。即使面临内部控制的强制性要求，大多数内部控制自我评价报告和审计报告仍然只流于形式。为了改善这种状况，一方面要使上市公司认识内部控制制度的重要性，另一方面还要使其切实体会到，从长远来看，重大缺陷的披露有助于企业更好地完善内部控制。4.加强虚假内部控制报告的惩戒措施。基本规范和配套指引只有得到切实执行才能发挥作用，不能只注重上市公司是否披露了内部控制报告，还应进一步关注内部控制报告的质量，因此需要提高虚假报告的责任追究与严惩机制。一方面，证监会及各行业监管部门应定期对上市公司的内部控制自我评价报告和审计报告进行严格监督和检查，既要检查上市公司是否披露了内部控制报告，更要关注内部控制报告的质量问题；另一方面，还应完善法律法规，根据内部控制报告虚假严重程度要求相关责任人承担行政责任、民事责任甚至刑事责任。最后，本文的局限性主要在于仅对上市银行内部控制自我评价和审计进行实证检验，未就其它行业上市公司内部控制自我评价和审计作全面深入地分析，由于不同行业管制要求差异较大，这在一定程度上影响了本文研究结论的推广。因此，在后续研究中，我们可以拓展研究对象范围，扩大研究对象样本量。一方面可以全面研究境内外同时上市公司及上交所、深交所主板上市公司的强制内部控制自我评价和审计的执行情况，并将其与自愿阶段自我评价和审计情况进行比较；另一方面关注中小板和创业板上市公司自愿内部控制自我评价和审计的具体情况和存在的问题。（作者单位：上海立信会计学院会计与财务学院）