李惠英

【摘 要】 2008年全球性金融危机揭示了世界各国对商业银行等金融机构信息披露和监管的严重缺陷，商业银行内部控制信息披露也受到了社会各界的加倍关注。文章选取在沪深两市上市的16家商业银行2010年和2011年内部控制自我评价报告为研究对象，基于商业银行内部控制信息披露的理论基础，分析了商业银行内部控制信息存在的问题并提出了相应的对策。

【关键词】 内部控制； 信息披露； 商业银行

安然、世通事件等一系列重大财务舞弊丑闻的爆发严重打击了投资者的信心，造成美国股市危机，为了重树投资者的信心，规范资本市场的运行，2002年7月26日，美国国会以绝对多数通过了关于会计和公司治理一揽子改革的《萨班斯——奥克斯利公司治理法案》（简称《萨班斯法案》）。中国也十分重视内部控制的建设，对内部控制的关注早在1997年中国人民银行印发《加强金融机构内部控制的指导原则》就开始了，但我国商业银行发展起步较晚，管理控制机制尚不成熟，在内部控制信息披露上存在很大不足。因此，做好上市商业银行内部控制披露工作尤为重要。近年来，我国出台了一些上市商业银行内部控制信息披露方面的法律规范，研究上市商业银行信息披露有利于进一步了解我国上市商业银行信息披露现状，从而有效改善我国上市商业银行内部控制信息披露存在的问题，为做好我国上市商业银行内部控制信息披露的实际工作提供建设性建议。以此为背景，笔者通过对我国上市商业银行2010年和2011年内部控制自我评价报告中内部控制信息披露情况进行分析，剖析上市公司商业银行内部控制信息披露的现状及问题，并提出完善内部控制披露制度，提高内部控制披露质量的一些建议措施。

一、商业银行披露内部控制的动机分析

研究商业银行内部控制信息披露的动机有助于更好地了解制约商业银行真实、完整地披露内部控制信息的因素，以及如何更好地规范内部控制信息披露。本文拟采用规范研究法对有关信息披露的基本理论进行分析，内部控制信息披露研究的基础是信息经济学（Information Economics）。本文将从信息经济学理论——信息不对称理论、委托代理理论和信号传递理论出发，分析内部控制信息披露的作用和效应。

（一）信息不对称理论

该理论认为：在市场经济活动中，各类人员对相关信息的了解是有差异的，在资本市场上，商业银行的管理层对公司了解更多，掌握公司内部控制的详细情况，而外部投资者由于不直接参与企业的经营管理，对企业内部控制了解不多，倘若企业内部控制信息不进行披露，导致投资者无法辨别内部控制差的企业和内部控制好的企业，无法作出正确的选择。因此，基于信息不对称理论，证券交易所应该要求商业银行披露内部控制信息，使信息公开以便于投资者共享，并且，基于内部控制的重要性，笔者认为，内部控制信息的强制披露比自愿性披露更符合当前的经济形势。

（二）委托代理理论

在市场经济下，股东作为出资者，享有公司的所有权，并将上市公司的管理权交予管理层，从而形成了委托代理关系。在委托代理关系下，委托人为了确保企业相关财务信息的可靠和资产的安全，要求管理层对其经营管理过程及结果进行详细地披露，内部控制作为影响企业经营管理至关重要的部分，委托人有必要对其进行全面详尽的了解，这也是强制性内部控制信息披露的原因之一。

（三）信号传递理论

“信号”代表着信号输出者基于一定的意志与意愿，向其他主体传递一些信息，并对其产生一定影响。按照信号传递理论，公司披露内部控制良好，是一个利好消息，将会使公司股票价格上升，而公司披露内部控制存在缺陷时，是一个不好的消息，将会使公司股票价格下跌。因此，内部控制良好的商业银行更有动机去披露内部控制信息，而内部控制有缺陷的商业银行也会选择隐藏其内部控制缺陷，内部控制信息披露的“报喜不报忧”现象是大多数管理层的选择。

二、商业银行内部控制信息披露的现状分析

本文选取在沪深两市上市的16家商业银行2010年和2011年披露的内部控制自我评价报告为研究样本，对其披露的内部控制信息进行整理分析，剖析商业银行内部控制信息披露存在的问题。

（一）内部控制报告标题：缺乏统一性

32份上市商业银行的内部控制自我评价报告均有对外披露，但报告的格式却没有做到统一规范。对于内部控制自我评价报告的标题，大多数公司是以“内部控制自我评价报告”命名，但仍有部分公司以“内部控制评价报告”、“内部控制评估报告”等形式命名，纵观有关法律规定，也并未对内部控制报告的标题作出明确统一的规定，如2010年财政部等五部发布的《企业内部控制评价指引》规定：“企业应当根据年度内部控制评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等资料，按照规定的程序和要求，及时编制内部控制评价报告”，而深交所和上交所《关于做好上市公司2011 年年度报告披露工作的通知》中却要求企业披露“内部控制自我评价报告”。标题的不统一反映出不同法规对内部控制的规定还不够统一，需要进一步完善。

（二）内部控制信息内容：缺乏可比性

在本文所研究的样本中，32个样本均在证监会规定的时间内披露了内部控制自我评价报告，但内部控制自我评价报告所披露的内容却大相径庭，披露形式的不统一，体现了上市银行内部控制信息披露随意性较大，内部控制信息缺乏可比性。如宁波银行2010年的内部控制自我评价报告中披露了公司治理结构和组织架构、内部控制五要素以及内部控制完善措施；浦发银行2010年内部控制自我评价报告从内部控制的设计与执行两方面，披露了内部控制设计层面发现的问题和改进措施及内部控制执行层面发现的问题和改进措施两部分内容；深圳发展银行2010年内部控制自我评价报告中披露了内部控制关键控制点；华夏银行2010年的内部控制自评报告则只用一页的篇幅列示了内部控制评价结论而无其他具体内容。不仅不同银行所披露的内部控制信息差异很大，就是同一家银行连续两年所披露的内部控制信息内容也无法统一，如深圳发展银行2010年内部控制自我评价报告中披露的内容是内部控制的关联交易、对外担保、重大投资等11个关键控制活动，而其2011年内部控制评价报告披露的内容却是内部控制五要素的建设情况。上市商业银行内部控制信息披露的不统一，不仅在不同银行之间横向缺乏可比性，在同一银行不同时段的纵向也缺乏可比性。

（三）内部控制信息质量：量足质缺

从2010年和2011年上市商业银行“内部控制自我评估报告”中可以看出，上市商业银行大部分能够按照“内部控制整体框架”的五要素进行描述，但内部控制信息质量并不高，基本上仅限于对内部控制制度的描述，而对内部控制实施情况却并未给出有实用价值的结论。如招商银行2011年内部控制自我评估结论是：“报告期内，本公司内部控制体系健全，内部控制有效，但本公司的个别业务流程或者管理模式发生变化后，存在未及时修订、完善相关制度或操作流程现象；部分业务操作存在不规范现象。此外，个别系统的业务功能还有待进一步完善。”所谓“个别”未及时修订的业务并没有详细说明，“部分”业务操作不规范会对企业造成何种程度的影响也不得而知。这样的内部控制结论并没有太多的有用信息，无助于投资者对企业的内部控制情况进行辨别。

此外，内部控制信息披露不具有连续性，如农业银行2010年内部控制自我评估中披露了在内部控制自我评价过程中关注到的与非财务报告相关的内部控制缺陷情况包括：“个别机构的具体职责需根据业务发展情况进一步优化调整；少数业务管理制度条款需根据市场环境、形势变化及时修订和改进；管理信息平台需要进一步整合和完善”等3项缺陷，但在农业银行2011年内部控制自评报告中却并没有找到有关2010年内部控制缺陷整改情况的说明，2010年的内部控制缺陷是否解决也不得而知，2011年内部控制自评报告结论则以“未发现本行在内部控制设计或执行方面存在重大缺陷，其他缺陷可能导致的风险均在可控范围之内”等空洞的形式说明，其真实性值得怀疑。

（四）内部控制结论：鲜有内控缺陷

基于信号传递理论，当上市公司披露内部控制不良信息时，会引起资本市场的负面反应，从而影响到上市公司价值，因此，上市商业银行在内部控制自我评价报告中基本上是报喜不报忧，极少有披露内部控制缺陷的，即便是承认内控有缺陷，也并未进行详细披露，只是笼统地说明内控缺陷不重要，如农业银行2011年内控报告指出：内部控制缺陷可能导致的风险均在可控范围之内，不会对本行经营管理活动质量和财务目标的实现造成重大影响，并已经和正在认真落实整改。纵观16家上市商业银行2010年和2011年内部控制缺陷的披露情况，在32个样本中仅有3家公司认为内部控制有缺陷并披露了内控缺陷的具体内容，有9家公司认为内部控制不存在重大缺陷和重要缺陷，还存在一般缺陷需要改进和完善，但并未披露缺陷的实质内容，其余20家公司均认为内部控制有效，不存在重大缺陷和重要缺陷（如表1）。

三、结论与建议

（一）内部控制信息披露内容和格式需要进行详细规定

根据目前我国上市商业银行信息披露格式不一致、内容不统一且无实质性内涵等，造成商业银行信息披露散乱、不系统、缺乏可比性和实用性等问题，银监会应当对商业银行内部控制信息披露的具体内容和格式作出详细具体的规定，统一上市公司内部控制信息披露的格式和内容。笔者认为，内部控制报告内容应包括：董事会有关内部控制真实完整的声明、董事会和管理当局对内部控制的责任、公司治理结构和组织架构、内部控制五要素的实施情况、内部控制设计和执行情况、内部控制缺陷的认定标准及具体的内控缺陷、内部控制缺陷的解决办法及整改情况、内部控制有效性的结论等。只有各个银行所披露的内部控制信息规范统一，才能使不同银行之间内部控制信息具有可比性，才能增强内部控制信息的有用性。

（二）建立和健全内控信息虚假披露的责任追究制度

内部控制的核心在于向投资者揭示所面临的风险，遗憾的是，从目前上市商业银行内部控制披露情况看，能做到揭示内控风险的寥寥无几，大多数都是以“零风险、零缺陷”示人。因此，提高内部控制信息的真实性十分迫切，必须建立和健全内部控制信息虚假披露的责任追究制度，对发布虚假内控信息的主体进行严惩，增加发布虚假信息的成本，从而使内控报告的披露符合信息披露真实、准确、完整的基本要求。例如，当商业银行内部控制自我评价报告中指出内部控制有效，不存在重大缺陷和重要缺陷，若之后又受到证监会处罚或曝出内部控制问题，则说明之前披露的“完美”的内部控制信息是不真实的，那么其发布不负责任的内控信息的行为就应付出代价。

（三）加快资本市场发展，提高内部控制信息披露的动力

内部控制的发展和完善和资本市场的发展和完善是协同的，内控信息的披露，既有赖于上市公司本身的内控建设和诚信披露，又有赖于整个资本市场环境的改善，包括法律环境、投资者素质和市场监管的成熟度等，内部控制不可能超越资本市场而独立发展。因此，要加快资本市场的发展，向成熟的资本市场靠拢，为内部控制发展营造良好的法律环境、市场环境，给予真实准确披露内部控制信息的公司更多的“溢价”，使内部控制信息的披露从“要我披露”转变为“我要披露”，才能提高内部控制信息披露的积极性，才能更好地发挥内部控制的作用。●

【参考文献】

[1] 王教育.内部控制信息披露质量问题研究——基于上市银行年报的实证分析[J].财会通讯（综合版）2011（30）：135-137.

[2] 许莉，朱睿，王芳.上市银行内部控制信息披露浅析[J].金融会计，2010（9）：57-61.

[3] 唐红娟.上市银行内部控制信息披露的缺陷与改进[J].财会月刊，2010（4）：11-13.

[4] 瞿旭，李明，杨丹，叶建明.上市银行内部控制实质性漏洞披露现状研究——基于民生银行的案例分析[J].会计研究，2009（4）：38-46.

[5] 任辉.关于完善中国商业银行信息披露制度的思考[J].云南财经大学学报，2007（4）：58-60.