银行内控自我评价的报告
摘要:随着《企业内部控制基本规范》及企业内部控制配套指引的实施,上市公司内部控制自我评价和审计已从自愿性行为转变为强制性要求,上市公司和审计师是否为此做好准备了呢?银行作为具有特殊监管要求的行业,内部控制自我评价和审计的要求也更为严格。本文以上市银行为例,运用2006年至2011年内部控制自我评价报告和审计报告的时间序列数据,对上市银行内部控制自我评价和审计进行实证分析。研究结果发现,随着时间的推移,披露自我评价报告和审计报告的上市银行越来越多,报告的内容也越来越规范,但是,报告还存在较多的不足。因此,需要采取相应的措施完善上市公司内部控制自我评价和审计,具体包括:细化内部控制的标准;制定内部控制缺陷评价体系;增强上市公司内部控制信息披露意识;加强虚假内部控制报告的惩戒措施。
关键词:上市银行,内部控制自我评价报告,内部控制审计报告引言
根据财政部的要求,《企业内部控制基本规范》(下文简称《基本规范》)和《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》(下文简称《评价指引》)、《企业内部控制审计指引》(下文简称《审计指引》)这一系列配套指引自2011年1月1日起在境内外同时上市的公司施行,2012年1月1日起在上海证券交易所和深圳证券交易所主板上市公司施行,在此基础上,择机在中小板和创业板上市公司实施,同时鼓励非上市大中型企业提前执行。施行《基本规范》和配套指引的上市公司,应当对内部
控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请具有证券、期货业务资格的会计师事务所对财务报告内部控制有效性进行审计并出具审计报告。作为内部控制信息披露的一种重要形式,内部控制自我评价报告和审计报告能够提供关于内部控制较为全面完整的信息,既能够使利益相关者了解上市公司内部治理和管理的规范化程度以及风险管理能力,满足投资决策的需要;还能够使上市公司管理层进一步重视内部控制的建立健全,满足企业战略管理的需要。
之前,在2006年,上交所和深交所分别发布《上市公司内部控制指引》,要求上市公司建立健全内部控制,并要求上市公司在披露2007年年报的同时披露董事会对内部控制的自我评价报告和注册会计师对自我评价报告的核实评价意见,但是这些都是自愿披露阶段。因此,在强制要求上市公司实施内部控制自我评价和审计之际,我们有必要对上市公司内部控制自我评价报告和审计报告的披露情况进行总结回顾,对《基本规范》和配套指引的发布实施是否改善自我评价报告和审计报告的'披露进行比较分析,从而为上市公司内部控制自我评价和审计的全面有效推广提供借鉴。
银行属于管制要求高、风险高的行业,在金融体系中居于核心地位,其谨慎稳健经营对于维护市场经济具有重要作用。内部控制是银行的“免疫系统”,如果银行内部控制存在重大缺陷,公司治理与外部监管的有效性将难以保证,不仅影响着银行会计信息的可靠性,同时还会影响银行的稳健经营和金融风险防范能力,进而影响到市场经济的正常运行。因此,相对其它行业来说,建立健全内部控制对于上市银行则更为重要。截止到2012年12月31日,我国共有16家上市银行,上市银行内部控制现状如何?随着时间的推移,上市银行内部控制自我评价和审计是否得以完善和发展?这些问题都有待进一步研究。因此,本文拟以
16家上市银行为例,总结其2006年至2011年度内部控制自我评价报告和审计报告的变化,分析其中存在的问题并提出相应的对策建议,为完善上市公司内部控制自我评价和审计提供参考和借鉴。本文具体结构安排如下:第一部分,国内外相关文献回顾;第二部分,在文献回顾的基础上,提出本文的研究假设;第三部分,数据来源和研究结果,收集2006年至2011年共6年间上市银行内部控制自我评价报告和审计报告的相关数据,对研究假设进行验证;第四部分,研究结论与对策,对全文内容进行总结,提出改进上市公司内部控制自我评价报告和审计报告的对策建议。
国内外相关文献回顾:
(一)国外文献回顾。
2002年SOX法案出台之前,内部控制的研究文献主要集中于财务报表审计中内部控制评价和财务报告内部控制审核的研究,只有少数研究关注管理层自愿披露内部控制自我评价报告。如Raghunandan和Rama(1994)研究发现,财富100强公司1993年度报告中有80家提供了某种形式的内部控制报告,但是大部分报告只涉及内部控制系统的存在与否,而没有对其有效性进行评价。Hermanson(2000)采用问卷调查的方式对自愿性内部控制报告是否有价值含量、是否影响决策等问题进行研究,调查发现,被调查者认为内部控制报告能够改善企业的内部控制,但却未必能够提供与决策有用的信息。
2002年SOX法案的实施,标志着公司管理层的内部控制自我评价报告由以前自愿性披露改为强制性披露,审计师对内部控制的评价和审核已经转变为独立的内部控制审计业务,因此,更多的研究开始关注管理层内部控制自我评价和审计。Bronson(2006)研究发现,公司规模越大、净利润增长越快、销售增长越慢、审计委员越勤勉、机构持股比例越高,管理层越有可能自愿披露内部控制自我评价报告。Ashbaugh—Skaife等(2006)研究认为,内部控制缺陷的披露带有自愿性质,必须同时满足三个条件某项内部控制缺陷才会得以披露:一是内部控制缺陷存在,二是内部控制缺陷被管理层或独立审计师发现,三是管理层断定缺陷应当公开披露。Mitch Deacon(2008)研究认为,SOX法案将会使小企业受到各项规定的冲击,并建议SEC应针对小企业另设内部控制准则。Song Tao Mo(2009)研究发现,“只经过财务报表审计”的上市公司与“只经过内部控制审计”的上市公司相比较,市场和投资者的反应存在差异。
(二)国内文献回顾。
2006年以前,我国监管部门对内部控制自我评价和审计尚无强制性规定,大量研究集中于内部控制信息披露,而研究内部控制自我评价和审计的文献较少,但是,很多文献都提出上市公司内部控制自我评价及审计或审核的必要性。例如,陈关亭和张少华(2003)针对上市公司内部控制的信息披露及其审核问题,经问卷调查和分析论证,认为我国应当强制要求所有上市公司在年报中披露内部控制报告,并要求注册会计师对该报告发表审核意见。李明辉等(2003)通过对我国2001年上市公司年报中内部控制信息披露状况进行分析发现,上市公司内部控制信息披露很大程度上流于形式,无实质性内容,自愿性内部控制信息披露的动机也不够强。
2006年以后,随着上交所和深交所《上市公司内部控制指引》的颁布,尤其是2008年《基本规范》及2010年配套指引的颁布,这意味着内部控制自我评价报告和审计报告与财务报表及其审计报告一样,将作为一种常态出现在上市公
司的定期公告中,因此出现了大量的研究开始关注管理层内部控制自我评价和审计。黄秋敏(2008)分析上市银行2001年至2006年的内部控制信息发现,上市银行对内部控制信息披露的形式、披露的内容及自我评价和审计方面都存在很多的问题。杨有红和汪薇(2008)以及杨有红和陈凌云(2009)分别对2006年和2007年沪市公司内部控制信息披露进行了研究,结果发现,上市公司存在内部控制信息自愿性披露动机不足、内部控制评价成本过高以及评价标准不统一等问题。袁敏(2008)对2007年上市公司自愿披露的内部控制审计意见进行了研究,结果发现,内部控制审计存在意见名称不一致、意见表述方式有差别、审核依据不统一等问题。王玲(2009)对2008年中小板上市公司研究发现,中小板公司内部控制信息披露存在选择性信息披露以及自愿性信息披露意愿不足等问题。林斌和饶静(2009)以2007年主板上市公司为研究对象,基于信号传递理论对上市公司为什么自愿披露内部控制鉴证报告进行了研究,结果发现,为了向市场传递真实价值的信号,内部控制质量好的公司更愿意披露内部控制鉴证报告。
研究假设的提出:
从上文国内外相关文献回顾我们可以看出,随着内部控制自我评价和审计从自愿阶段转变为强制阶段,大量文献开始关注内部控制自我评价和审计。但是,作为一种新生事物,内部控制自我评价和审计在具体实施过程中还面临一系列的挑战和问题,存在很多不规范的地方。这从我国内部控制自我评价和审计强制实施的一再推迟也可略窥一斑。
由于人们对新生事物的接受都需要一个较长的、渐进的过程,首先可能由一部分人发起,当新生事物得到证明确实能够为人们带来更多的利益时,才能被大多数人接受。因此我们需要将内部控制自我评价和审计置于一个较长的时间段中
一、内部控制评价的总体情况。
我联社审计部负责内部控制评价的具体组织实施工作,对纳入评价范围的各项办法和高风险领域进行评价。董事会负责内部控制决策监督,及对外披露内部控制自我评价报告,下设审计部门,负责审查全社内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计等;高管层负责内部控制组织实施,下设风险管理部,负责全行内部控制事务;内部审计机构负责牵头推动内部控制规范实施工作和自我评价;联社各部室负责本科室职责范围内的内部控制建设达标工作,并进行自我评估。
我联社内控风险评价包含与实现整体控制目标相关的内控制度建设、法人治理状况、内部控制状况、资产状况、员工教育及排查情况、制度保障、大案要件等内部控制要素,以及反映内控效果的主要指标,涉及个人业务、对公业务、财务管理、风险管理、计算机管理及制度考核办法等主要控制流程,覆盖管理、业务流程和信息系统等三大层面,对内控设计与执行的有效性进行全面、系统、有针对性的自我评价。联社内部控制的目标是保证企业经营管理合法合规、资产安全、提高经营效率和效果,促进企业实现发展战略和经营目标。
二、内控风险评价的程序和方法。
我联社内控风险评价工作遵循《商业银行内部控制指引》《商业银行内部控制评价试行办法》、及本联社内部控制评价办法规定的程序执行。评价过程中,联社各部室按照《淄博市农村信用社内控风险评价方案》完成各自业务流程的内部控制自我评估,撰写自我评估报告;审计部汇总编制内部控制评价工作底稿;内部控制评价工作组通过评估部门内控矩阵、自我评估报告和内部控制缺陷跟踪表等,识别内控缺陷和各类问题,作出内部控制缺陷评价,提交部门进行缺陷确认和整改;内部审计机构根据内部控制自我评价工作编制内控自我评价报告,经高管层审核后报董事会批准。
三、内部控制存在问题及其认定。
2012年,我联社内控制度整体健全,执行总体有效,未发生大要案件。根据全年内部审计、交叉审计和外部检查,内部控制个别方面还有待进一步完善和提高。
四、内部控制风险自我评价。
我联社已经根据内控控制评价试行办法、内控风险评价方案及其他相关法律法规的要求, 对本社截至2012年11 月20 日的内部控制制度与运行的有效性进行了自我评价。 本社对纳入评价范围的业务与事项均已建立了内部控制制度,并得以有效执行,达到了信用社内部控制的目标,不存在重大问题,其他 问题可能导致的风险均在可控制范围之内,不会对本社经营管理活动质量和经营目标的实现造成重大影响,并已经或正在认真落实整改。本社内部控制与经营规模、业务范围、和风险水平等相适应,并随着情况的变化及时加以调整。
五、强化风险管理,提升经营管理水平。
一是抓好风险防范控制。我联社明确各部门、各单位的负责人,是风险控制的第一责任人,把各网点风险控制与联社风险控制有机结合,形成全社的风险控制力。在风险管理评价指标考核中,信用风险指标占比较大,而信用风险指标考核主要以信贷资产质量为主,强化信用
风险管理理念,确保信贷资产质量;加强网点日常营业过程控制,密切防范网点操作风险。 二是建立全面风险管理体系。我社按照风险管理要求,建立完善的风险管理体系,不断加强内控,强化制度防范风险的长效机制,从道德教育、制度执行、审计检查三方面构筑全方位的内部控制体系。加强高风险网点、柜员以及重点领域和关键环节的检查,不断提升检查效能。加强反洗钱管理,认真做好可疑交易、大额交易的识别和报送工作。加强贷款“三查”
制度,有效遏制潜在风险贷款和降低不良贷款损失。加强不良资产管理,提高法律风险防范能力。加强信息科技运行管理,确保科技运行安全。
三是加强操作风险管理,切实防范操作风险。全社要重点加强对账户开立、结算业务、电子银行、不良资产处置、票据业务等重点风险环节的管理,切实防范外部欺诈、系统故障、流程缺陷、人员差错等各类操作风险,突出做好反洗钱工作,有效处置各类风险事件,避免操作风险损失。加强包括合规风险、案件风险、声誉风险、法律风险、科技运行风险等在内的全口径操作风险管控,全面提升操作风险管控水平。
四是善内控管理体系。通过健全各项规章制度,加强制度执行力建设,健全内控管理责任机制,实行“双线问责”制度,促使各网点、各部门认真履行内控职责,改进内控管理,严格遵守规章制度的具体规定,使内部控制真正在操作中得到落实。
版权声明:此文自动收集于网络,若有来源错误或者侵犯您的合法权益,您可通过邮箱与我们取得联系,我们将及时进行处理。
本文地址:https://www.gunzhua.com/jiuye/ziwopingjia/607833.html