上市银行内部控制实质性漏洞问卷调查与分析,本文主要内容关键词为:实质性论文,问卷调查论文,内部控制论文,漏洞论文,银行论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、研究背景
实质性漏洞概念源于美国安然公司破产案,政府决定对资本市场严格监管,成立PCAOB(美国公众公司会计监督委员会)。随后PCAOB发布审计准则第2号(AS2),提出实质性漏洞(material weakness)概念,将其定义为“有一定可能导致年度或中期报告中的重大错报未被防止或发现的一个重大缺陷或多个重大缺陷的组合”,它比传统内部控制重大缺陷更严重(瞿旭等,2009; Ge and McVay,2005)。因为实质性漏洞将极大地扭曲财务报告信息(Beneish、Billing and Hodder,2008; Ashbaugh-Skaife et al.,2009),误导投资者错误决策(Doyle、Ge、McVay,2007)。PCAOB要求所有美国上市公司必须评价内部控制状况,如果存在实质性漏洞,应在财务报告中予以披露。
但我国已颁布的诸多上市银行内部控制相关法律法规从一定层面上包含了对实质性漏洞的规定。对实质性漏洞的概念需要追溯到内部控制理论,理论是制定标准和框架的基础(毛新述、杨有红,2008)。潘琰、郑仙萍(2008)提出了内部控制“实体假设”,认为内部控制活动的范围取决于企业的边界。本文以上市银行“实体”为研究对象,通过问卷调查的方法考察了上市银行的内部控制。
由于上市银行在中国金融体系占据核心地位,对市场经济发展起着关键作用,其非正常经营会产生“蝴蝶效应”,存在负外部性;同时杠杆化经营、金融中介功能、借入资产与贷出资产期限与结构不匹配决定了银行存在内生脆弱性(Diamond and Rajan,2002),银行经营存在高风险,而内部控制是银行风险管理的最重要的环节之一。监管层注意到了内部控制对于上市银行稳健经营的重要性,接连出台法规要求其披露内部控制情况(黄秋敏,2008)。
一般意义上,内部控制作为银行的“免疫系统”,如果银行内控体系存在“实质性漏洞”,会妨碍上市银行抵御内外部风险,对上市银行的稳健经营进行有效控制产生重大障碍,其公司治理与外部监管的有效性将难以保证。随着对银行内部控制研究的深入,实质性漏洞日益受到理论界和实务界的关注。目前在国内外内部控制的研究方面,以上市银行为研究对象的并不多见。本文通过问卷调查和访谈,研究分析我国上市银行内部控制与风险管理中的实质性漏洞情况。本文的贡献在于:(1)理论上,进一步为理解上市银行的内部控制理论作出了贡献,促进了内部控制理论的微观发展,突破了会计学的界限(杨雄胜,2005),运用了管理学中问卷调查的研究方法。(2)为完善上市银行内部控制机制提供了基本的应用框架,对于构建规范的银行公司治理与提高经营绩效具有一定意义。(3)有益于监管机构加强对上市银行运营监管。
二、问卷设计
本次问卷调查设计基于巴塞尔银行监管委员会1998年发布的《银行机构内部控制框架》,通过对大量银行经营失败案例的研究,委员会将成员国有问题银行内部缺陷分为五类:(1)管理监督与控制文化;(2)风险识别与评估;(3)控制活动与职责分工;(4)信息与交流;(5)监督评审活动与纠正措施。杨军、陈朝豹(2003)比较了美国COSO(全国虚假财务报告委员会下属的发起人委员会)报告确立的内控五要素与巴塞尔委员会的经验总结,发现它们的认识是基本一致的:普遍认为五大要素部分构造了银行内部控制系统的整体框架。
表1对两个权威机构的比较研究表明,五要素法是目前最优的评价内部控制的方法,本文运用五要素法设计问卷,探寻识别上市银行内部控制与风险管理中的实质性漏洞,并加以具体分析。
1.管理监督与控制文化
管理监督与控制文化是所有要素的基础,良好的管理监督与控制文化对于银行内部控制机制中实质性漏洞格外敏感,有利于内部控制系统的动态运行和各个要素之间相互联系、补充。由于管理监督和控制文化的基础性作用,其存在实质性漏洞会给银行造成严重的影响。主要包括:管理者责任与理念、岗位责任制、人力资源政策、内部控制文化、公司治理结构、组织结构。
2.风险识别与评估
风险识别与评估是银行计量信用风险、市场风险、法律风险的过程,是风险应对的基础。如果计量过程中的内部控制存在实质性漏洞,风险信息被错误传递,管理层的决策基础偏离,对于任何银行的打击可能是毁灭性的。其主要包括:风险管理组织架构、信用风险评估、市场风险评估、操作风险与合规评估。
3.控制活动与职责分工
控制活动的有效实施在一定程度上能降低银行经营不确定性,强化银行抵御风险的能力。恰当职责分工可能是最有效的控制活动,确保工作职责之间不产生冲突。基于整个银行控制活动系统观,每一个控制活动中的实质性漏洞不仅影响其所对应风险,更会影响控制系统。主要包括:授权管理岗位分离、岗位分离风险控制、经营风险管理、财务会计风险控制、运行管理风险控制。
4.信息与交流
信息与交流在内部控制系统中作用如同联系控制系统机能各部分的网络,银行内部各级管理层之间缺乏充分的信息交流,内部控制有效性无法得到保证。因为董事会和管理层可能不明白银行目前承担经营风险和运营状况,因此应防止在信息交流与沟通方面出现实质性漏洞。它主要包括:管理层与治理层沟通、信息上报处理机制、部门之间交流沟通、外部信息交流。
5.监督评审活动与纠正措施
监督评审活动与纠正措施通过持续的监控活动、个别评价或是两者结合的方式完成,是整个系统运行的反馈环节,构成系统循环,监督评审活动与纠正措施的有效性直接关系到能否进行实质性漏洞的识别与应对。它主要包括:经营管理部门、内外部检查、信贷作业监督、前台业务。
根据以上关于银行内部控制各个要素分析,我们设计了银行内部控制实质性漏洞问卷调查,问卷由5个主层次和22个次层及其细化指标构成(见图1)。
图1 银行内部控制实质性漏洞问卷调查项目图
三、调查方法与过程
本次调查以向上市银行高管及核心员工发放问卷进行,共100份问卷。截至2010年5月13日总共回收问卷67份,有效回收率达到67%。调查对象均任职于银行业重要岗位,包括上市的国有控股三大银行、全国性区域性银行以及上市的地方银行,来自于银行各个不同部门,包括财务部、风险管理部、零售银行部、企业银行部、资金部以及发展规划部等。回收问卷后,通过对比分析问卷调查结果,未发现系统性偏差,信度和效度得以保证。
四、实质性漏洞调查结果分析
本问卷采用李克特量表法(Likert scales),对每一个指标分别从两个方面进行调查:(1)发生频率调查;(2)严重程度调查。每一个指标有五个选项(很不严重、不严重、一般、比较严重、非常严重)。上面两个方面调查的每一个选项根据被调查者评分被赋予了相应的选项漏洞等级(1、2、3、4、5),每个指标都根据受访者的分数进行汇总统计,以此对上市银行各方面实质性漏洞进行分析。本次问卷总体统计情况见表2。
(一)总体性分析
为了对上市银行实质性漏洞现状有一个整体的把握,我们设计了银行内部控制实质性漏洞评价指数。该指数是根据问卷中对管理监督与控制文化、风险识别与评估、控制活动与职责划分、监督评审与纠正措施、信息与交流沟通五个方面的重要性和频率程度得分汇总并乘以相应权重所得。
细化指标漏洞权重=选项分数/∑选项分数
二级项目漏洞指数=∑(细化指标选择人数×细化指标漏洞权重)
一级项目漏洞指数=∑二级项目漏洞指数÷二级项目个数
根据等级分数设置,选项漏洞程度最高的权重为33.33%;选项漏洞程度非常高的权重为26.27%;选项漏洞程度高的权重为20%;选项漏洞程度中等的权重为13.33%;选项漏洞程度较轻的权重为6.67%。同时我们将实质性漏洞水平划分为A(最高)、B(非常高)、C(高)、D(中等)、E(较轻)五个层次,其分数依次对应50以上~48,48~46,46~44,44~42,42~40以下,通过漏洞指数对上市银行实质性漏洞进行总括性分析与分项分析。
通过对回收的67份问卷调查统计,得到管理监督与控制文化漏洞指数为44.03,风险识别与评估漏洞指数为44.30,控制活动与职责划分漏洞指数为48.11,监督评审与纠正措施漏洞指数为42.88,信息与交流沟通漏洞指数为38.15。调查结果显示,控制活动与职责划分是最重要的内部控制组成部分,是A类实质性漏洞影响最严重的区域。其次是风险评估、管理监督与控制文化与监督评审与纠正措施,相比较,信息与交流沟通要素的实质性漏洞影响较轻。
(二)分项分析
1.管理监督与控制文化
调查结果表明,在内部控制环境中,管理者责任与公司治理结构对上市银行内控环境影响(46.11)最大,我们从中选取了最容易出现实质性漏洞的2个项目进行分析。
(1)管理者责任(最高层基调)。管理者责任中项目百分比分析见表3。
问卷调查与访谈结果显示,银行管理者在内部控制制度建设、方案执行与监督方面起到不可替代的作用,有64.87%的人认为管理者对内控工作的缺失造成的实质性漏洞非常严重。管理者的基调,如自身的诚信与道德价值观念,经营理念与风格等严重影响到银行整体对于内部控制的重视程度。调查者表示,高级管理者对于内部控制的重视并不仅体现在制定内部控制制度的政策与程序,合理架构内控组织机构,同时还需将内部控制与风险管理机制嵌入银行日常经营过程中,持续向职员强调内部与风险管理对于银行实现目标的重要性。
(2)公司治理结构。公司治理中项目百分比分析见表4。
调查结果表明,在内部控制环境中,公司治理结构重要性仅次于管理者责任。尽管我国上市银行改革以及金融开放以来,银监会成立、注资重组、引入战略投资者、各部委颁布的规范上市银行公司治理的法规极大程度上改善了银行公司治理结构,但是上市银行公司治理结构仍然存在问题。58.07%的人认为股东大会、董事会、监事会以及下设的议事和决策机构设置不合理,议事规则和决策程序有明显实质性漏洞,且非常严重。42.86%的人认为董事会和董事、监事会和高级管理层及管理人员在内部控制中权责分配不明确的实质性漏洞非常严重。还有52.45%的人认为独立董事与监事制度存在的缺陷比较严重。
2.风险识别与评估
上市银行由于其经营的特殊性,更为偏向以风险为基础的内部控制。根据2004年修正的《新巴塞尔资本协议》,银行面临的主要风险包括:信用风险、市场风险、操作风险与法律风险。有效利用内部控制应对和防范这些风险时,首要步骤是风险识别与评估。调查结果显示,风险识别与评估环节得分为44.30,综合影响程度超过管理监督与控制文化,其四类风险具体的实质性漏洞情况如表5。
从调查结果摘取的列表中可以看出,信用风险依然是最重要的风险,漏洞等级最高,有三项是A类评定。其中存在越权审批信用等级或授信情况的实质性漏洞最为严重,达到51.20;违规提高信用等级或提高综合授信、未能按规定方法和要求对各类信贷资产风险进行识别的实质性漏洞情况也比较严重,分别为48和48.80。这与上市银行通过不同手段非客观性地调整风险评级,致使信用风险不断积聚有关。
市场风险控制缺陷有增加的趋势,主要体现在两方面:市场风险委员会或确认的市场风险牵头管理部门未按规定履行职责,其漏洞指数为46.4;未按规定方法和要求对利率、汇率风险识别与计量,其漏洞指数高达48。操作风险中的实质性漏洞主要是操作风险因素发生变化时未制定相应的风险防范措施,其漏洞指数为48.80。分析问卷调查结果,市场风险、操作风险漏洞产生于职员道德风险与专业胜任能力不足,这反映出人力资源政策、职业道德守则等存在问题。
3.控制活动与职责划分
根据规定,银行董事会负有监督管理层设计实施有效控制政策、维护银行正常运营的职责。管理层应该在董事会监督下建立有效的控制结构,保持控制活动能够及时、准确地做出风险反应。从调查问卷总体性分析中可知,控制活动是内部控制系统五要素中影响最为重大的实质性漏洞,得分46.50。控制活动中,最重要的实质性漏洞又为职责划分(岗位分离制)以及不恰当的授权管理,漏洞等级评定均为A类,得分为51.66,48.35,48.27,其次是各类具体业务漏洞。然而各项具体业务存在的最大问题仍然体现在岗位分离制缺失,因此我们将分析重点放在岗位分离制缺失(见表6)。
通过问卷调查,上市银行岗位责任制出现的实质性漏洞主要包括两方面:部门、机构职责不符合横向与纵向相互监督的要求;岗位设置不符合职责分离和内控要求。现实中,岗位责任制分离不当是发生最频繁和破坏程度较高的实质性漏洞。从表6看各细化项目的漏洞得分都在50以上,说明上市银行在岗位分离上的实质性漏洞很严重。其中运行岗位设置上,汇票业务印、押、证未分离最为严重,漏洞指数为56.79;业务公章、本票专用章同其他配套空白凭证未岗位分离和管库员与库守员、调款员、记账柜员未分离漏洞现象也很明显,其漏洞指数分别为56.79和55.99,表明上市银行在运营过程中职责权限划分存在漏洞,没有严格按照规定实施岗位分离制度。
4.信息交流与沟通
问卷调查结果显示,信息交流与沟通得分为37.85,在所有五项要素中是最低的。我们认为信息交流与沟通方面的实质性漏洞被低估了。巴塞尔委员会研究失败银行的案例,发现大多数是由于银行内部缺乏充分的信息交流,尤其在问题上报方面所致。所以高层管理者应确保信息传递过程中不存在实质性漏洞以充分掌握财务、经营状况以及影响决策的事件条件的内外部信息。上市银行信息交流与沟通重要实质性漏洞见表7。
表7显示,信息交流与沟通尽管被低估,仍然表明存在实质性漏洞,其中管理层与治理层之间的沟通活动的实质性漏洞影响最为严重,其漏洞指数为40.02,其次是外部信息交流、跟踪反馈与举报机制以及信息上报处理机制,分别为39.39、38.02、36.17。
5.监督评审活动与纠正措施
监督评审与纠正活动为银行提供了独立评估银行内部控制与风险控制的机会,有利于发现、纠正内部控制中的实质性漏洞、重大缺陷,以提出、实施应对措施,维护内部控制系统正常运行。巴塞尔委员会认为,日常的独立评估活动成为操作环境一部分并具有定期审查报告时,监督是最有效的。我国上市银行监督与评审活动中重要的实质性漏洞项目见表8。
表8显示,监督与评审活动中实质性漏洞影响大的是上市银行未建立严格的检查监督制度,其得分是47.2,漏洞等级为比较严重;其次是管理层对检查监督发现问题的整改工作不重视,内外部检查监督发现的问题未落实整改,其漏洞指数为44.79;监督中心设置监督机构和业务岗位不符合规定,与前台核算业务在空间、人员上未实行分离漏洞影响也比较严重,其漏洞指数为44.12。深入分析,监督与评审活动存在的实质性漏洞与前面所讨论的管理层责任、岗位分离等联系密切,说明上市银行的实质性漏洞关联性很强,其他基础性的内部控制出现问题,会导致其他相关的控制措施产生缺陷。
五、总结与建议
综合上述问卷调查结果与分析,我们认为实质性漏洞是上市银行内部控制失效的主因,是妨碍其抵御内外部风险和对企业经营进行有效控制的重大障碍,为此本文提出以下建议:
1.内部控制和风险管理的意识与文化应被视为“最高层基调”不断得以在银行内部加以强调,配合恰当的人力资源政策(包括薪酬、晋升制度与绩效考核),将制度与流程融入银行经营管理过程中,内控与风险管理不再是额外负担,而是银行在是市场竞争中形成的表征性意识与文化基因。
2.以《新巴塞尔资本协议》为技术支撑,转变计划体制下的行为惯性与思维定势,追求硬性规模扩张与风险漠视的理念,控制信用风险的同时,重视市场风险、操作风险与法律风险等非传统风险的评估与识别,积极改革有利于风险管控的组织结构与公司治理。
3.平衡控制活动与成本管理,恰当职责分工和授权管理可能是最有效的控制活动。只有当控制活动成为银行日常活动的必要组成部分,而不是“附加物”时,控制活动才能以高效低耗地最大限度发挥作用。
4.覆盖面广、多样性、多向性的信息沟通网络有利于管理者以各种方式使所有相关执行人员理解银行政策、政策执行力度,有效的信息上报机制是管理者处理新问题的决策基础。充分利用外部监督,比如外部审计、资本市场的力量来完善、改造银行的内控组织系统。
标签:内部控制论文; 银行论文; 问卷调查论文; 银行风险论文; 控制活动论文; 管理控制论文; 管理风险论文; 沟通管理论文; 项目风险论文; 项目分析论文; 经营风险论文; 项目评估论文;