第一篇:上市商业银行内部控制信息披露状况分析
上市商业银行内部控制信息披露状况分析
摘 要:上市商业银行内部控制信息披露是验证其内部控制体系构建与运行有效性的常见方法。本文应用5级表衡量法,对2007―2013年中信银行的年度报告中各部分内部控制信息披露的进行分析,指出了中信银行内部控制信息披露存在披露内容、格式不规范和内部控制缺陷披露较少涉及的问题,并针对这些问题提出了相应的改进措施。
关键词:上市商业银行;中信银行;内部控制;信息披露
上市银行在维护国家金融安全与稳定、促进经济发展方面肩负重任,使得金融机构的风险管理成为广大投资者乃至社会大众关注的焦点,其内部控制更是人们关注的重点。上市商业银行作为高风险上市公司,其内部控制体系的完善程度以及执行情况与其发展状况紧密相关。因此,对上市商业银行内部控制信息披露的状况进行研究,具有重要的理论及现实意义。本文以中信银行为例,研究其内部控制信息披露的现状。
一、中信银行公司情况简介
中信银行(证券代码:601998)隶属于中国国际信托投资公司(中信公司),创立于1987年,是中国改革开放中最早成立的新兴商业银行之一。2007年4月19日,中信银行在上海、香港同步上市。
中信银行为中国大陆第七大银行,是香港中资金融股的六行三保之一。目前在国内设有近900家分支机构,在香港、澳门、美国、新加坡设有30多家分支机构。从成立至今,中信银行在中国金融、银行领域创造了多个第一,在2012年英国《银行家》世界银行排名中,一级资本排名48位,总资产排名53位,经营效益及资产质量均有良好表现。2009年,中信银行通过收购中信国金,初步建立国内中型银行中独特的“三位一体”国际化经营平台。2011年,中信银行圆满完成A+H股配股再融资,为进一步发展奠定了坚实的基础。
二、中信银行内部控制信息披露状况分析
本文对中信银行上市以来的2007年―2013年年度报告进行了分析。由于年报中的内部控制信息的披露分布比较零散,因此本文对中信银行年报的内部控制信息披露采取了手工统计的方式。
中信银行的年报分为以下几个部分:公司基本情况简介、财务概要、董事长致辞、行长致辞、荣誉榜、管理层讨论与分析(含经济金融和监管环境、财务报表分析、业务综述、风险管理、前景展望、社会责任管理)、股份变动和主要股东持股情况、董事、监事、高级管理人员和员工情况、公司治理报告、董事会报告、监事会报告、重要事项、审计报告及财务报告、财务报表补充资料、备查文件、股东参考资料、组织架构图、境内外分支机构名录、释义。本文主要对内部环境、公司治理报告、董事会报告、监事会报告、内部控制自评、内部控制审核、审计意见等部分披露内部控制信息的情况进行了分析。
1.内部控制信息披露的详略程度释义
杨有红和汪薇(2008)按上市公司内部控制信息披露的详细程度分为:详细说明、一般陈述、简单披露三个层次,对披露的内部控制信息进行研究。本文对以上8个部分的内部控制信息披露状况,按照5级量表进行衡量。具体含义见表1。
表1 5级量表释义表
2.中信银行内部控制信息披露状况分析
经过对中信银行2007年―2011年的年度报告各个相关部分的分析,根据5级量表衡量,中信银行自上市以来的内部控制信息披露状况如表2所示。
表2 中信银行内部控制信息披露状况
注:针对此公司报表,在此“内部环境”仅包含人力资源和社会责任。
“审计意见”:“1”表示标准无保留意见,“0”表示其他类型审计意见。
由表2可见:自中信银行上市起,公司年报中内部控制信息的披露主要集中在“内部环境”、“风险管理”、“公司治理结构”、“内部控制自评”、“内部控制审核”等部分。披露的情况呈由简单到详细的趋势。
(1)从2007年的年报可以看出,本年度的年报的主要内容仍然是财务报表的披露,而在内部控制的内部环境方面仅对社会责任以捐款数额的方式进行了体现。对人力资源信息并未体现。而自2008年起,至2011年止,公司对内部控制信息的披露给予了充分的重视,体现在年报的编排上发生了重大变化,将内部环境中的人力资源、社会责任等部分单独列示开来。
(2)“风险管理”:2007年公司刚刚上市,仅对信用风险、市场风险、和流动性风险的管理措施进行了披露,对公司的内部控制体系从体系结构方面进行了简单的介绍。自2008年起,年报中以组织结构图的形式对风险管理架构作出了立体的描述,同时详细介绍了本公司的风险管理体系和风险管理技术,特别介绍了本行的零售评级系统和巴塞尔新资本协议高级内部评级法。新增了公司贷款风险管理、小企业贷款风险管理、零售信贷风险管理、信用卡风险管理、资金业务风险管理、贷款监测及贷后管理等内容并详细的披露了相应风险管理的措施。
(3)“公司治理结构”:格式相对固定,主要介绍了股东大会、董事会和监事会的主要职责和各专门委员会的构成及本年工作情况。特别地,在本部分中,中信银行详细披露了在报告期内该行针对内部控制采取的主要措施――完善内部控制环境、完善风险识别及监控手段、强化内部控制措施、健全信息交流与沟通机制、夯实内部控制和合规管理基础等。根据统计,历年的主要措施虽有部分雷同,但仍根据当年内部控制体系的实际情况有所不同。
(4)“股东大会简介”:自上市以来没有披露过相关的内部控制信息。
(5)“董事会报告”:2010年之前,年报中“董事会报告”内容以利润及股息分配为主,辅以股本及公众持股量、优先认股权等股东相关权益内容。对内部控制信息并无列示。2010年起,“董事会报告”中新增了董事会对内部控制的声明和内幕信息管理两项内容,尤其对内幕信息的风险控制从管理制度和管理流程方面进行了详细说明。自2012年起,年报中取消了“董事会报告”板块,相关内控信息在新增的“内部控制”板块中略有体现。
第二篇:上市商业银行内部控制信息披露分析
摘 要:内部控制信息披露报告主要是对内部控制有效性和执行情况的检测,同时也是利益相关者获得信息的载体。以沪深两市上市的16家商业银行近三年的内部控制自我评价报告为样本进行分析,可以发现上市商业银行内部控制信息披露存在的问题,并找到相应的解决措施。
关键词:上市商业银行;内部控制;信息披露;问题及对策
中图分类号:f83 文献标志码:a 文章编号:1673-291x(2016)08-0177-02
一、内部控制信息披露概述
(一)内部控制信息披露的内涵
美国coso将内部控制定义为由企业董事会、经理以及员工实施的,为保证经营的效率效果、财务报告的可靠性、遵守法律法规等目标的实现而提供合理保证的过程。内部控制5要素包括:(1)控制环境;(2)控制活动;(3)风险评估;(4)信息与沟通;(5)监督。内部控制信息披露报告主要是对内部控制有效性和执行情况的检测,同时也是利益相关者获得信息的载体。
(二)内部控制信息披露的制度安排
近年来,我国上市商业银行内部控制信息披露相关制度法规的建设工作取得了较大进展。2010年证监会发布的《企业内部控制基础规范》强制要求上市公司每年必须进行内部控制信息披露,同时对上市企业披露内部控制报告的具体内容进行了详细规定。2011年,为了进一步完善内部控制信息披露制度法规,财政部、证监会、审计署、银监会以及保监会等五部委联合颁布了《企业内部控制配套指引》。它融合了国际先进的经验以及近些年国内研究的成果,为构建完善的企业内控信息披露体系奠定了基础。这些准则的颁布类似于美国的萨班斯法案,为国内发展内部控制体系保驾护航。
二、上市商业银行内部控制信息披露分析
(一)上市商业银行内部控制信息披露的总体状况
截至2015年12月31日,沪深两市有上市公司2000多家,而其中上市商业银行仅有16家。深圳发展银行是国内上市最早的商业银行,21世纪初各大银行也陆续上市。由此可以看出,我国上市商业银行都很年轻,一套行之有效的内部控制信息披露制度法规就显得尤为重要。自五部委2010年颁发《企业内部控制配套指引》强制性规定上市企业必须披露内部控制自我评价信息以来,内部控制自我评价报告成为上市商业银行每年必须披露的报告之一。
经统计分析发现,16家上市商业银行在近三年都能够正式独立发布内部控制自我评价报告和专业机构审核意见。虽然,中国银行在2012年没有披露内控自我评价报告,但也披露了等同内控自我评价的内控报告,并披露了专业机构的审计意见。
(二)上市商业内部控制自我评价报告具体内容分析
本文以沪深两市16家上市商业银行为样本,选取其2012―2014年三年期间披露的内控自我评价报告合计48份进行分析。本文对样本公司披露的报告内容进行比较,披露的具体内容(如表1)。
1.责任主体、评价范围、评价依据、评价真实性声明等4个方面的披露。国内所有上市商业银行在近三年的披露中都确切表明内控自我评价报告的责任主体是董事会,董事会对报告真实性负连带责任。由于上市银行业务比较固定,其评价范围和评价依据方面在每年的披露内容中变化不大。
2.五要素也是上市商业银行的内部控制报告重要披露的内容。从统计分析结果可知,在2013、2014年所有银行都进行了五要素的披露。从报告中可发现,各大银行也在不断地完善五要素内容,从而使内控报告更加符合内控基本规范的要求。
3.内控评价程序和方法的披露。2012、2014年大部分的银行均披露具体的内控制评价程序和方法,但是在2013年披露的银行数剧减,仅仅只有6家,未披露的比例高达62.5%。由此可见,2010年4月内部控制评价指引的颁布促使各大银行开始尝试披露评价程序和方法,但是效果是非常短暂的。当然,也有一些具体内容披露的频率得到很大的提升,比如缺陷认证披露数,2012年只有14家银行详细披露,2013年以后所有银行都进行了披露。
4.整改措施的披露。披露数量由2012年的6家发展至到2014年的12家,虽然也得到了很大发展,但还有一部分银行未曾披露此方面信息。
总体来看,随着各大银行对内部控制越来越重视,各上市商业银行关于内部控制报告的披露内容也越来越详细。大多数上市商业银行内部控制报告内容基本上包括责任主体、评价依据、评价范围、评价程序和方法、缺陷认定、董事会声明、整改措施等内容。通过对比近三年的内控报告发现,虽然有些披露项目还需进一步的优化,但整体而言,大部分银行披露的内部控制报告正趋于完善。
三、上市商业银行内部控制信息披露存在的问题
(一)信息披露不完整,缺乏可比性
报告内容的完整性是内部控制信息披露体系有效性的前提,而2010年《内部控制评价指引》颁布的主要目的也是使内部控制信息披露报告格式统一、内容完整,具有可比性。根据统计分析而知,2013年有31.25%的银行未披露整改措施,而对于评价程序和方法在2013年披露的银行数仅仅占所有上市商业银行的37.5%。此外,各大银行虽然都披露内部控制五要素,但其内容的详细程度参差不齐,无可比性。
(二)自我评价报告缺乏实质性内容
目前,上市商业银行的内部控制自我评价报告主要披露银行内部控制现状以及执行效果。因此真实、有效的内部控制信息披露报告不仅可以加强银行的管理,而且更利于维护相关者的利益。从表2可知,2013年15家银行披露的内部控制评价报告中都得出了内部控制有效的结论,不存在重大和重要缺陷的结论,只有1家银行披露了内部控制缺陷。当然,也可能因为每个银行缺陷认证的标准不同,得到的结论不同。但无法否认的是,上市商业银行在披露报告的时候,会尽可能避免披露不利于企业的信息,很多内部控制报告流于形式,无实质性内容。
(三)缺陷认证和整改措施缺乏规范性
缺陷认证在内控信息披露报告中占有重要地位,虽然缺陷认证的标准直接决定了内部控制信息披露报告的结论,但目前我国没有明确的法律法规对此部分进行规定,银行可以自行认定,从根本上使得内部控制信息披露报告结论缺乏可比性。比如,2013年浦发银行和宁波银行把缺陷认证分为财务类和非财务类,在财务类认证中依据利润收入为基准判断;2013年建设银行以合并报表税前利润总和为依据认证财务类风险。
四、优化上市商业银行内部控制信息披露的对策
(一)监管部门加强监督检查力度
我国是一个以为数不多的机构监督庞大的金融市场的国家。一方面,监管部门需要完善相关制度法规,统一内部控制评价标准,建立一套符合我国资本市场实际情况的上市商业银行内部控制信息披露体系;另一方面,监管部门应该完善内部控制信息系统,建立有效的内控考核机制。
(二)借鉴国外先进的银行管理理念
由于我国资本市场的体制不够完善,我国金融行业在内部控制信息披露方面基础比较薄弱,因此,上市商业银行可借鉴国外先进的银行管理理念加强自身的管理和内控信息披露。在借鉴国外内部控制经验的同时,也加强了企业内部管理战略。在借鉴国外先进管理理念方面,我国银行业协会可以成立国际咨询委员会,为国内外银行业往来提供良好的交流环境和便利政策。
(三)规范缺陷认证及改进措施的披露
目前,在我国由上市商业银行自行制定内部控制缺陷认证的标准。对该部分的认证直接决定了内控报告结论以及所采取的整改措施。因此,统一缺陷认证标准,在一定程度上能提高银行业内部控制信息披露报告的可比性,提高经营者和管理者建设内部控制的积极性以及披露内部控制信息的自愿性,提升内部控制报告的严谨性与有效性。所以,规范缺陷认证是解决披露内部控制信息问题有效途径。我们可以从以下两方面规范缺陷认证。一方面,政府及有关部门应该根据市场调研细化缺陷认证,把缺陷认证分为财务类和非财务类,对于财务类项目进行量化处理,对于非财务类项目采取业务化质变分析。另一方面,提高外界对内部控制报告结果的关注。应该详细披露内部控制存在的缺陷以及整改措施所取得效果,还要详细披露内部控制固有的风险。只有不断规范缺陷认证以及改进措施的披露,上市商业银行内部控制信息披露才能逐步走向完善。
第三篇:内部控制信息披露专题
一、我国内部控制信息披露发展历程
在近来的研究中,有关内部控制的法规文件一般追溯至2000年。2000年12月中国证监会发布了《公开发行证券公司信息披露编报规则第7号—商业银行报告内容与格式特别规定》和《公开发行证券公司信息披露编报规则第8号—证券公司报告内容与格式特别规定》,要求商业银行、证券公司在报告中应对其内部控制制度的完整性、合理性和有效性做出说明,同时还应委托所聘请的会计师事务所对其内部控制制度,尤其是风险管理系统的完整性、合理性和有效性进行评价,提出改进建议,并出具评价报告。评价报告应随报告一并报送中国证监会和证券交易所。
2001年12月,中国证券监督管理委员会发布了《公开发行证券的公司信息披露内容与格式准则第2号<报告的内容与格式>》(2001 年修订稿),其中第四十二条规定,在报告正文中,监事会应对“公司决策程序是否合法,是否建立完善的内部控制制度,公司董事、经理执行公司职务时有无违反法律、法规、公司章程或损害公司利益的行为”发表独立意见。该规则强制要求上市公司对其内部控制信息进行披露,但披露内容较为简单,仅是一笔带过。
2003年3月证监会又针对上市银行内部控制信息披露做出了规定,明确了董事会对于内部控制的责任。2005 年中国证监会要求上市公司定期对内部控制的完整性、合理性及实施的有效性进行检查和评估,并开始要求上市公司通过外部审计对公司的内部控制制度以及公司的自我评估报告进行核实评价,该内银监会还发布了商业银行部控制评价办法。可以说,我国在2006年以前以及美国在2002年以前并未对内部控制信息披露做出强制性规定,内控信息披露系上市公司自选择的行为。
2002 年美国国会通过的《萨班斯法案》关于内部控制信息强制性披露的要求对我国产生了较深的影响。2006年,上交所与深交所分别于6月5日和9月28日发布了《上市公司内部控制指引》(以下简称《指引》),前者自2006 年7月1日起生效,后者自2007年7月1日实施,两者皆要求上市公司披露董事会编制的内部控制自我评估报告以及会计师事务所对内部控制报告的核实评价意见。考虑到实施的仓促性以及我国上市公司内部控制建设的现状,上交所于2006年12月在《关于做好上市公司2006 年报告的通知》中对《指引》做了补充,只要求上市公司在年报的“重要事项”部分披露内部控制信息,鼓励有条件的上市公司遵守《指引》的规定。由于《内控指引》强制要求上市公司披露内部控制自我评估报告和注册会计师审核意见,因此两个指引的发布标志着我国内部控制信息进入强制性披露阶段,也称《内控指引》为内部控制信息强制性披露规则。
2007年证监会对《公开发行证券的公司信息披露内容与格式准则第2号<报告的内容与格式>》进行修订,其中公司治理结构部分第三十条规定,公司应该说明生产经营控制、财务管理控制、信息披露控制等内部控制制度的建立和健全情况,包括内部控制制度建立健全的工作计划及其实施情况、内部控制检查监督部门的设置情况、董事会对内部控制有关工作的安排、与财务核算相关的内部控制制度的完善情况。同时鼓励央企控股的、金融类及其它有条件的上市公司披露董事会出具的、经审计机构核实评价的公司内部控制自我评估报告。这部分与2001年修订稿相比较,有了很大的进步。
由于内部控制相关规定比较分散,权威性不足,为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,维护社会主义市场经济秩序和社会公众利益,2008年6月28日财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》,自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。执行该规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。
2010年4月26日,财政部、证监会、审计署、银监会、保监会等五部委刚刚联合并发布了《企业内部控制配套指引》。国际著名会计师事务所德勤表示,指引将有助于提升中国企业的财务报告质量,减少商业欺诈风险。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,连同此前发布的《企业内部控制基本规范》,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。
为确保企业内控规范体系平稳顺利实施,财政部等五部门制定了实施时间表:自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。
这一套控制规范被称为中国的“萨班斯法案”,自正式实施之日起,执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露自我评价报告,同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。注册会计师发现在内部控制审计过程中注意到的企业非财务报告内部控制重大缺陷,应当提示投资者、债权人和其他利益相关者关注。
2014年1月3日证监会与财政部联合发布《公开发行证券的公司信息披露编报规则指引第21号—内部控制评价报告的一般规定》。该规定明确了内部控制评价报告构成要素,并针对核心构成要素,如重要声明、内部控制评价结论、内部控制评价工作情况等,逐一说明了需要披露的主要内容及相关要求。对于内部控制评价结论规定要求披露财务报告内部控制是否有效的结论,并披露是否发现非财务报告内部控制重大缺陷。对于内控评价工作情况,规定要求区分财务报告内部控制与非财务报告内部控制,分别披露重大、重要缺陷认定标准、缺陷认定和整改情况等。
二、案例
中国南方航空股份有限公司及其子公司主要从事提供国内、港澳台地区及国际航空客运、货运及邮运服务。该公司于1995年3月25日注册成立,1997年7月分别在香港联合交易所有限公司和美国纽约证券交易所上市,2003年 7月在上海证券交易所上市。南方航空内控信息披露内容的变化反映了内部控制信息披露在我国的发展历程。
我国在2006年以前并未对内部控制信息披露做出强制性规定,内控信息披露系上市公司自选择的行为。南方航空在2006年以前并未披露有关公司内部控制的信息。
2006年上交所发布《上市公司内部控制指引》,自2006 年7月1日起生效,要求上市公司披露董事会编制的内部控制自我评估报告以及会计师事务所对内部控制报告的核实评价意见。考虑到实施的仓促性以及我国上市公司内部控制建设的现状,上交所于2006年12月对《指引》做了补充,只要求上市公司在年报的“重要事项”部分披露内部控制信息,鼓励有条件的上市公司遵守《指引》的规定。南方航空在2006年年报的重要事项部分披露了公司内部控制制度的建设情况。(下面为截取的年报披露正文)
“根据《上海证券交易所上市公司内部控制指引》,以及上市地的相关规定,本公司逐步建立健全和有效实施内部控制制度,以提高上市公司系统风险管理,保护投资者的合法权益。
1、本公司已逐步建立健全了公司法人治理结构,股东大会、董事会、监事会、公司管理层能有效地对公司的经营管理实施控制。各级生产经营决策权限划分清晰,各项采购、对外协议、现金支付均可根据各级授权及管理权限,按照明确的规定履行必要的法定程序。公司管理层明确了具体的部门负责内控和风险管理工作,明确权责,以建立系统性风险管理体系。
2、建立了完善的金融衍生工具等风险管理机制,对申报程序、审批权限和奖惩有明确的规定。
3、本公司拥有健全的会计核算、财务管理系统,并借助 ORACLE 财务信息系统,对公司的会计核算和重大财务决策实行统一管理。
4、为满足本公司上市地有关法规监管的要求,本公司成立萨班斯法案内部控制项目小组和公司内部监控项目小组,完成了对销售、航材、飞机和发动机、其他固定资产、成本费用、资金和投资、人力资源、运行控制、财务报告和一般信息技术控制等业务主流程和相应业务子流程的记录、测试和缺陷整改工作,评估涵盖了与财务报告有关的所有重要业务流程。对于内部监控评估中发现的内控缺陷 和改善机会,公司管理层给予了充分的重视,并进行了积极地整改、重新记录和测试。公司管理层认为,2006 本公司实行的内部控制制度已充分体现其效能。”
2007年证监会对《公开发行证券的公司信息披露内容与格式准则第2号<报告的内容与格式>》进行修订,其中公司治理结构部分第三十条规定,公司应该说明生产经营控制、财务管理控制、信息披露控制等内部控制制度的建立和健全情况。同时鼓励央企控股的、金融类及其它有条件的上市公司披露董事会出具的、经审计机构核实评价的公司内部控制自我评估报告。2008年6月28日财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》。执行该规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。在2007-2009年的年报中南方航空在监事会报告及公司治理部分披露了公司内部控制制度的建立健全情况,并发布了经审计机构核实评价的内部控制自我评价报告。此阶段的内部控制信息披露内容主要根据《企业内部控制基本规范》、《上海证券交易所上市公司内部控制制度指引》编制。会计师事务所对内部控制评价报告的评价是在审计财务报表的过程中按照审计准许中了解被审计单位内部控制的有关要求,了解与审计单位财务报表相关的内部控制。上述了解内部控制和控制测试并不是对内部控制的专门审核,也不是专为发现内部控制缺陷、欺诈及舞弊而进行的。
(以下为截取的监事会报告正文)
“在过去的一年中,公司决策程序合法,建立了较为完善的内部控制制度,运作规范,公司董事、总经理及其他高级管理人员尽职尽责,认真执行股东大会和董事会的决议,完成了公司生产经营目标。未发现上述人员在执行公司职务时有违反法律、法规和《公司章程》或损害公司利益和股东权益的行为。”
2001年12月,中国证券监督管理委员会发布了《公开发行证券的公司信息披露内容与格式准则第2号<报告的内容与格式>》(2001 年修订稿),其中第四十二条规定,在报告正文中,监事会应对“公司决策程序是否合法,是否建立完善的内部控制制度,公司董事、经理执行公司职务时有无违反法律、法规、公司章程或损害公司利益的行为”发表独立意见。南方航空2007-2009年年报中的监事会报告披露的内容显然是为了符合该准则的要求。
2010年年报中南方航空不仅在公司治理部分披露了公司内部控制制度的建立健全情况并发布经审计机构核实评价的内部控制自我评价报告,还首次披露了董事会对于内部控制责任的声明,以及监事会对内部控制自我评价报告的审阅情况。
2010年4月26日,财政部、证监会、审计署、银监会、保监会等五部委联合发布了《企业内部控制配套指引》。执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露自我评价报告,同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。自2011年起南方航空开始公布独立的内部控制评价报告和内部控制审计报告。
2014年1月3日证监会与财政部联合发布《公开发行证券的公司信息披露编报规则指引第21号—内部控制评价报告的一般规定》。该规定明确了内部控制评价报告构成要素,并针对核心构成要素逐一说明了需要披露的主要内容及相关要求。南方航空按照《内部控制评价报告的一般规定》中内部控制评价报告披露参考格式披露了2013年、2014年的内部控制评价报告。但实际披露内容并未完全符合《一般规定》的要求。《一般规定》要求公司应当区分财务报告内部控制和非财务报告内部控制,按照重大缺陷、重要缺陷和一般缺陷分别描述公司内部控制缺陷认定的定量和定性标准。但南航在2013年内部控制评价报告缺陷认定的定性标准中仅含糊的写道:“定性标准指涉及业务性质的严重程度,根据其直接或潜在影响的性质、影响的范围,控制偏差的频率是否较高,产生该缺陷的成因(是否主要是人为,是否涉及管理层舞弊)等因素确定”,并没有说明具体的定性标准。2014年年末南航爆出腐败窝案,多名公司高管涉嫌职务犯罪被立案调查,其中更是包括已任职14年的公司财务总监。在2014年内部控制自我评价中,南航更改了定性标准的表述,删除“涉及管理层舞弊”这一影响因素,并再次做出了内部控制无重大缺陷、重要缺陷的认定。可见在目前的内部控制信息披露环境下,企业存在避重就轻,逃避披露自身内部控制缺陷的问题。
第四篇:商业银行操作风险信息披露状况分析及改进
商业银行操作风险信息披露状况分析及改进
摘要:银行操作风险目前已经得到我国商业银行的普遍关注,对于银行操作风险管理的研究也正在进行,但是有关操作风险事件和数据的积累却十分贫乏,给操作风险的管理研究带来很大的困难。本文揭示了当前产生这种缺乏的原因在于我国商业银行的产权和信息披露机制的不健全,并且分析了目前我国商业银行信息披露的现状,提出了改进措施,对于改善我国商业银行操作风险管理状况具有一定的现实意义。
关键词:商业银行;操作风险;信息披露;作用机制;改进对策
银行业是一个经营风险的行业,能否有效地对各种风险进行科学的管理和防范直接关系到银行的发展。通常认为,金融机构所面临的风险可以分为市场风险(Market Risk)和信用风险(Credit Risk)。在巴塞尔委员会2004年6月推出的新资本协议中,确立了风险管理体系的三大支柱,即资本充足要求、监管审查和信息披露,又将银行操作风险(Operational Risk)纳入到风险管理框架。而对于我国来讲,目前操作风险是我国商业银行的主要风险来源之一,引发的损失事件数量较大,但是有关操作风险事件和数据的积累却十分贫乏,给操作风险的管理研究带来很大的困难。造成这种贫乏有一个重要的因素,就是我国商业银行的产权和信息披露制度的原因――银行不但没有压力披露操作风险事件,相反却有主动隐藏风险事件的动机。也就说,在我国商业银行操作风险管理中,鉴于我国目前商业银行操作风险比重大、损失事件多而数据积累匮乏、内部管理和监管水平比较落后的情况下,对于巴塞尔委员会风险管理的第三大支柱――信息披露机制来讲,完善操作风险信息披露机制,改善我国商业银行操作风险管理状况的研究在我国有着重要的现实意义。
一、商业银行操作风险信息披露的含义及内容
商业银行的操作风险信息披露就是指商业银行将其有关操作风险的信息按照法律的规定向金融监管机构、投资者、债权人或社会公众进行报告或公示。它一般主要包含两个部分:操作风险的定性披露和定量披露。定性披露的信息主要包含操作风险管理的目标、战略、政策、措施等;定量主要包含操作风险的资本要求(ORCC)、操作风险的损失金额等信息。同时对信息的披露要做到及时、全面、可靠、具有可比性和重要性等等。信息披露的方式可分为定期报告、临时公告、实时报告等。良好的商业银行的信息披露有利于商业银行操作风险管理水平的提高,提高银行的透明度,强化市场约束,进而反过来促使商业银行完善内部控制。
二、操作风险信息披露的作用机制
从某种程度上讲,市场经济就是一个信息经济。信息经济学理论认为,在经济运行的任何一项交易中,如果交易双方所拥有的与该项交易有关的信息不对称,就会诱发逆向选择和道德风险,从而增加交易成本、降低市场运行效率。信息披露有助于解决信息不对称的问题,降低交易成本,提高资源的配置效率,并有利于形成契约上的事后解决机制。因此信息披露是市场经济存在、发展和有效运行的基石。在市场经济中,信息披露不仅有利于提高市场的运行效率,还能够促使信息披露主体强化其内部控制。如果市场主体真实、全面的披露了自身的经营管理信息,那么市场中的理性利益相关者(包括监管部门、投资者、客户等)就能够据此作出合理的决策,而这些决策必然会使市场主体的管理层感受到市场力量的激励和约束,从而按照市场力量的意志实施相应的管理活动――内部控制。因此,信息披露有助于披露主体的内部控制水平。
三、我国商业银行操作风险信息披露的现况
就我国目前商业银行操作风险信息披露的情况而言,整体水平低,存在以下几个问题:
1.披露的信息不充分。国际知名咨询公司普华永道(Price Waterhouse&Coopers)几年前从腐败、法律、财经政策、会计准则与实务、政府管制等五个方面对35个国家(地区)进行了不透明指数的评分和排序。中国的不透明指数为87,最低,从这一点说明我国的信息透明度水平很低。在这个大环境下,我国商业银行的信息披露状况也很严重,主要体现在几个方面。
(1)定量信息的披露几乎是一片空白。无论是操作风险的资本需要量,还是日常经营中操作风险导致的损失金额,由于商业银行的护短心理和担忧心理,几乎都未得到充分的披露。
(2)定性信息的披露仍不充分。虽然多数商业银行都披露了操作风险定性信息,但大多只是泛泛的介绍操作风险的管理政策和监控程序,而没有披露自身操作风险的来源情况以及针对这些来源所采取的具体措施。
2.披露的信息不具有可比性。主要体现在:定量信息的作用,在很大程度上依赖其可比性,但我国商业银行几乎没有披露过操作风险的定量信息;而定性信息而言,上市银行和非上市银行所披露的信息从内容到格式上都不相同,缺乏可比性。还有同一银行内部的各分支行所披露的信息也各不相同,缺乏可比性。
3.信息披露的不及时。一是定期披露不及时。一般商业银行主要通过年报来定期披露操作风险信息,而年报的延误必然会损害操作风险信息定期披露的及时性。二是临时披露不及时。长期以来我国商业银行几乎没有主动地进行操作风险信息的临时披露。一方面对临时公告披露操作风险信息的重要性还没有很深的认识,另一方面害怕家丑外扬,故逃避披露职责、掩盖真实的操作风险状况。
四、操作风险信息披露改进对策
前面对操作风险的信息披露的现状进行了阐述,也对其现状进行了分析。下面在此基础上提出了我国商业银行操作风险信息披露改进的对策,为商业银行操作风险信息披露的完善改革做建设性的准备。
1.关于操作风险的信息披露,应当建立一个全面的,一致的披露指引。对应披露的信息内容作个比较明确的说明,无论是上市公司还是国有商业银行其所应披露的操作风险的信息应该基本相同,使其具有可比性;定性的和定量的内容都要进行比较细的规定,使其具有可操作性;对信息披露的时间也要作出规定。以及没有及时披露相应的信息,应当采取一定的处罚措施。
2.协调各监管部门对操作风险信息披露的监管要求,成立协调小组,避免重复监管和监管盲点的出现。银监会、证监会、财政部、人民银行等等,这些政府部门基于各自的出发点对商业操作风险信息披露进行不同的监管,导致同样是对操作风险的信息披露,商业银行要做出规格各异、内容可能差别较大的式样,造成不必要的浪费。
3.信息主体的作用要充分发挥。信息披露的目的,是通过一定的信息披露让利益相关者知道商业银行操作风险情况,进而发挥市场约束机制,来提高商业银行操作风险的管理水平。而目前我国利益相关者,市场的股东、客户对信息披露的关心不够,这个方面要加强教育改变。
4.加强银行内部教育,包括管理层和一般员工的教育,提高他们对信息披露的认识和重视。正如前面提到的一样,管理层对信息披露不重视,认识不够,肯定会带来信息披露的不及时,也不能提高信息披露的水平。
5.信息披露要和银行内部控制及监管结合起来,共同构建操作风险的安全网。
总而言之,商业银行信息披露对有效银行监管的作用是显而易见的,它既是有效银行监管的重要辅助手段,也是市场公开原则的集中体现,一国商业银行信息披露的内容和程度应与该国的市场化程度相适应。目前,我国正处在向市场经济转轨的阶段,在此过程中,商业银行应分阶段推进信息披露,逐步达到信息准确、全面、及时。只有银行定期发布资本水平和风险状况方面的准确信息,才能使我国银行业的发展更加适应市场化的要求,才能进一步提高银行抵御操作风险的能力。
参考文献:
[1] 巴曙松:《巴塞尔新资本协议框架下的操作风险衡量与资本金约束》,《经济理论与经济管理》2003年第2期.[2] 钟伟:《论跨国银行操作风险管理模型的新近进展》,《学术月刊》2004年第10期.[3] 谷秀娟:《金融风险管理―理论、技术与应用》,立信会计出版社
[4] 张吉光:《商业银行操作风险识别与管理》,中国人民大学出版社,2006.[5] 张晓伟 金 涛:《信息安全策略与机制》,机械工业出版社,2004.
第五篇:商业银行内部控制
第一章:
一、内部控制的产生与发展
1、内部牵制阶段,在20世纪40年代前,用如结绳计数等方法为标志。到15世纪末,以
意大利出现的复式记账方法为标志。
2、内部控制制度阶段,它产生与20世纪40年代至70年代初,3、内部控制结构阶段,产生于20世纪80年代,标志是美国注册会计协会于1988年5
月发布的《审计准则公告第55号》
4、内部控制整体框架阶段,产生于20世纪90年代后,标志是COSO报告。
定义:COSO报告是有企业的管理人员设计的,为实现营业的效果和效率、财务报告的可靠及合法合规目标提供合理保证,通过董事会、管理人员和其他职业实施的一种过程。认为内部控制由5个要素组成:
控制环境:是指职员履行其控制责任、开展业务活动所处的氛围,包括志愿的品性和
经营环境
风险评估: 它是指对应项作业目标达成的相关风险的辨认和分析,其前提是目标的确
定。
控制活动:它是指企业制定并予以执行的政策和程序,以帮助确保其用于处理影响目
标达成的风险之管理人员指令得到有效落实。
信息与沟通:它是指以一定形式和在一定的时间段内辨认、获得的,为员工在执行、管理和控制作业过程中所需的信息,以及信息的交换和传递。
监控:它是指评估内部控制运作质量的过程,包括持续性监控活动和个别评估。
二、内部控制设计和实施中存在的缺陷
对内部控制制度的认识不到位,违规经营时有发生
法人治理结构不完善,缺乏监督制约机制
内控制度不健全,不适应业务发展的需要
稽核机制不健全,影响内部控制的有效落实
风险控制系统不健全,对内部控制的评价与监督不够
三、内部控制的局限性
COSO报告强调了内部控制的局限性,为实现企业目标提供合理的而非绝对的保证,这
也是为什么说内部控制为发现和防止错误或舞弊只是提供“合理的”而非“绝对的”保 证的原因。主要表现在一下几方面
1、成本限制。一般来说,控制程序的成本不能超过风险或错误可能造成的损失和浪费,否则再好的控制措和方法也将失去其降低成本的意义
2、串通舞弊。不相容责任的恰当分离可以避免单独的一人从事和隐瞒不合规行为提供
合理的保证,但两个或更多人合伙作弊即可逃避这类控制,内控失效。
3、人为错误。内控系统发挥作用关键是取决于执行人员的实际运作,不能期望人们在执行控制职责时始中正确无误,人为错误会造成控制失效
4、管理越权。任何程序也不能发现和防止那些负责监督控制的管理人员滥用职权,管
理当局的干预一直是导致许多重大舞弊发生和会计报表是真的重要原因
5、修订跟不上环境的变化。被审单位为便于生存和保持竞争能力,势必要经常调整经
营策略,这就可能导致控制程序对新增业务内容失去了控制作用。
第二章
一、商业银行内部控制定义:内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。
二、商业银行内部控制系统的基本要素及相互关系
商业银行内部控制应当包括以下要素:内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。要素的相互连结、相互作用就形成了内部控制系统
相互关系:内部控制环境是整个系统的基础,是影响商业银行内部控制作用发挥的各种内部因素;风险识别与评估旨在发现和计量商业银行实现其目标的过程中存在的不确定性,为控制活动指明了方向;内部控制措施是商业银行内部控制系统的核心,是具体实施内部控制的过程;信息交流与反馈为各个要素的沟通,引导内部控制系统有效运行,确保控制目标的实现提供个信息支持。监督评价与纠正是高管对内部控制的管理监督和内部稽核部门对内部控制的在监督、再评价与纠正偏差活动的总称,处于内部控制系统的最高顶层。
三、商业银行风险定义
是指商业银行在经营过程中,由于不确定因素的影响而导致银行蒙受经济损失或获取而外收益的机会和可能性。
四、内部控制措施(案例)
主要包括:岗位设置控制、授权批准控制、程序控制或标准化控制、会计系统控制、预
算控制、事物控制(限制直接接触、定期盘点、记录保护、财产保险)、内
部审计控制、风险防范控制
第三章
一、控制测试与了解内部控制的不同
控制测试指的是测试控制运行的有效性,这一概念需要与了解内部控制进行区分,了解
内部控制包括两层含义:
1、评价控制的设计
2、确定控制是否得到执行,测试控制运 行的有效性与去顶控制是否得到执行所需获取的审计证据是不同的二、对商业银行内部控制所做的研究和评价
1、了解商业银行的内部控制情况,并作出相应的记录
2、实施符合性测试程序,证实有关内部控制的设计和执行的效果
3、评价内部控制的强弱,即评价控制风险,发现风险点
三、内部控制的描述
内部控制描述是指测评人员对于调查了解的内部控制情况和所做的控制风险初步评价进行适当的记录。内部控制调查记录的方法通常有:调查表、文字表述、流程图等。
四、内部控制的测试
定义:控制测试又称符合性测试,是在对内部控制初步了解和评价的基础上,对内部 控制制度的状况以及是否得到贯彻执行而进行的测试,其目的是确定商业银行的业务 处理是否符合内部控制制度的规定,判断内部控制制度的遵循程度,进而确定风险点 和关键控制点符合性测试的对象包括:控制设计、控制执行
五、控制风险的评价标准
控制风险的评价标准分为高、较高、中、低四个层次。风险低的标志是:内部控制健全、合理,且在测试检查有关业务活动时,未发现任何差错或仅发现极少的差错。风险中的标志是;内部控制比较健全、合理,还存在一定缺陷,且在测试检查有关业务活动时,发现有一定程度的差错。风险较高的标志是:内部控制设计不够完善或虽然设计了良好的内部控制,但实际运行中差错发生效率高。风险高的标志是:内部控制设计不完善或虽然设计了良好的内部控制,但实际运行中差错发生效率很高。
点击咨询 