一、引言 2001年,安然事件、世通事件等影响巨大的财务舞弊案,直接催生了2002年美国《萨班斯一奥克斯利法案》(以下简称SOX法案)的出台;而2008年全球金融危机的爆发,则直接拷问着企业的风险管理和公司治理,其间暴露的不足又一次证明内部审计在企业内部控制、风险管理和公司治理中的重要意义。至此,强化对内部控制的监管已经逐渐成为全球关注的焦点与热点。迄今为止,我国的企业内部控制也走过了漫漫长路。自20世纪90年代起,我国企业逐步加强了内部控制建设,这既出于企业自身发展需求,也离不开监管部门的监督推动。而银行业作为高风险行业的特征和内控漏洞频发的现实①使得其内部控制在后金融危机时代面临着前所未有的挑战。中国银监会副主席王兆星指出:“中国银行业在‘十二五’时期……要进一步提升公司治理能力、风险管理能力,提升国际核心竞争力(曹文萱,2010)。”因此,研究如何更好地进行风险管理和内部控制是银行业面临的共同课题。而事实上,我国监管部门一直在寻找加强银行业内部控制的监管措施②。直至2008年,财政部等五部委联合发布《企业内部控制基本规范》(以下简称《基本规范》),更被称为中国版的《萨奥法案》(简称CSOX);2010年4月财政部等五部委又联合发布《企业内部控制配套指引》,自此,我国企业内部控制规范体系基本建成。 内部控制审计,是指银行内部审计部门对银行内部控制有效性所进行的独立、客观的确认和咨询活动,旨在满足监管要求、改善内部控制和增加公司价值。内部控制审计是确保受托责任履行的一种控制机制,是对内部控制系统的再监督,是内部控制的关键环节。《基本规范》要求:“自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行”,而迄今为止,尚未有研究对中国上市银行的内部控制审计现状进行全面分析。本文以国内A股市场上市的商业银行为研究对象,着重了解其内部控制审计现状,以期梳理、分析中国银行业内部控制审计的亮点和不足,为监管部门制定行业内部控制审计操作指南提供依据。 二、调研设计 区别于现有文献基于上市银行年报等公开信息的内部控制研究,本文的数据资料依托于中国工商银行内部审计局对中国所有A股上市银行的问卷或访谈调研结果;而针对未收回问卷的3家银行③则以公开披露的信息为资料来源,以期描绘中国上市银行内部控制审计的全景图。 (一)调查问卷的设计 结合内部控制审计的应用框架和审计流程(中国工商银行内部审计局,2010),本调查问卷的设计包括以下12个方面的内容,即历史沿革、组织体系、审计主体、审计目标、审计内容、审计标准、审计方法、审计流程、质量控制、审计报告与沟通、审计团队和发展展望(见表1)。
(二)问卷的发放与回收 此次调研包括两个阶段;第一阶段为问卷调研阶段,以A股上市银行为对象发放调查问卷,共发放了16份;第二阶段为访谈调研阶段,针对收回的调查问卷进行分析,对回答模糊、没有回答以及没能收回问卷的银行进行实地或电话访谈调研。此次调研共收回13份答复,其中,1家银行采用实地访谈调研的方式,3家银行针对收回的问卷进行了进一步的电话访谈,问卷回复率达到81.25%④回答问卷的人员63%为从事内部控制审计的人员.37%为内审部门负责人。 三、调研问卷分析 调查结果显示.随着2005年银监会出台《商业银行内部控制评价试行办法》,各银行都相继成立了内部控制的监督部门,行使对内部控制体系的评价职能;而随着2011年境内外上市企业以及2012年主板上市企业即将执行《基本规范》及其配套指引,各家上市银行都加快了规范内部控制建设、梳理、实施与评价的步伐。以下分别从内部控制审计的组织体系、应用框架各要素、审计报告与沟通、审计团队、发展展望等几方面展示中国上市银行内控审计现状。 (一)内部控制审计地位凸显,但仍存差异 内部控制审计作为公司治理的“四大基石”之一,在完善公司治理和加强风险管理中发挥了重要作用。 1.内部控制审计在公司治理中的作用。在监管的推动下,我国上市银行都建立了“三会一层”的公司治理机制,内部审计通过确认内部控制信息、揭示内部控制缺陷、证明内部控制缺陷原因和提出减少内控缺陷的咨询建议,为董事会及其审计委员会提供公司治理的根据。调查问卷显示(见表2),经过银行上市期间对内部控制和内部审计体制的改革,大部分银行的内审部门已经从“稽核部”改制为“内审部”,侧重在对内部控制的确认和咨询功能上,但仍有7家银行的内审部门名称中冠以“稽核”、“合规”的字眼,这说明内审部门主要承担的是监督确认职能,而在咨询职能上略有欠缺,在公司治理中的作用尚有发挥空间。