上市银行内部控制自我评价报告和审计报告

分析

——基于20xx年-20xx年的时间序列数据（下）

何芹

2013-1-11 11:07:35 来源：《证券市场导报》20xx年第12期

2.内部控制自我评价报告的内容

《评价指引》并没有对内部控制自我评价报告的具体内容作出详细规定，但是要求报告至少应当披露下列内容：（1）董事会对内部控制报告真实性的声明；

（2）内部控制评价工作的总体情况；（3）内部控制评价的依据；（4）内部控制评价的范围；（5）内部控制评价的程序和方法；（6）内部控制缺陷及其认定情况；（7）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；（8）内部控制有效性的结论。《评价指引》于20xx年4月颁布，因此，考虑不同年份报告的可比性，本文主要针对16家上市银行20xx年和20xx年上市银行内部控制自我评价报告的内容进行比较，如表3所示。

比较20xx年和20xx年上市银行内部控制自我评价报告的具体内容，我们发现，所有银行的自我评价报告都有“内部控制有效性的结论”，同时，除20xx年深发展、宁波银行和南京银行以外，其他银行的自我评价报告都涵盖了“董事会对内部控制报告真实性的声明”的内容。

但是“内部控制评价工作的总体情况”、“内部控制评价的依据”、“内部控制评价的范围”、“内部控制评价的程序和方法”、“内部控制缺陷及其认定情况”、“内部控制缺陷的整改情况及重大缺陷拟采取的整改措施”等内容，20xx年的披露较20xx年变化较大，20xx年自我评价报告的内容规范性更强。

（1）从“内部控制评价工作的总体情况”看，虽然所有银行的评价报告都

涵盖总体情况描述的内容，但是具体表述却存在差异。20xx年，工商银行、交通银行、深发展、招商银行、中信银行、兴业银行、宁波银行、南京银行对内部控制的评价是针对所有内部控制进行的；民生银行、北京银行对财务报告相关内部控制进行了评价，但未提及是否注意到非财务报告内部控制的重大缺陷；只有光大银行、华夏银行、中国银行、建设银行、浦发银行、农业银行对财务报告相关内部控制进行评价，且提及是否注意到非财务报告内部控制的重大缺陷。

20xx年，除兴业银行、交通银行、中国银行自我评价是针对所有内部控制以外，其他13家银行评价的对象都是财务报告内部控制，在这13家银行中，除南京银行外，其他12家银行均在自我评价报告中提及是否注意到非财务报告内部控制的重大缺陷。

（2）从“内部控制评价的依据”看，20xx年，上市银行内部控制自我评价的依据除了包括《企业内部控制基本规范》、《商业银行内部控制指引》、《商业银行内部控制评价试行办法》、《上海证券交易所上市公司内部控制指引》、《深圳证券交易所上市公司内部控制指引》等内部控制相关指引外，还有些银行也将《中华人民共和国商业银行法》、《中华人民共和国公司法》、《中华人民共和国证券法》作为评价的依据。

20xx年，上市银行内部控制自我评价的依据则主要是《企业内部控制规范》、《企业内部控制评价指引》、《商业银行内部控制指引》、《上海证券交易所上市公司内部控制指引》。

（3）从“内部控制评价的范围”看，20xx年只有民生银行、招商银行、兴业银行、中信银行、南京银行、北京银行、深发展、宁波银行等8家银行披露了

评价的具体范围，且主要是从内部控制五要素进行的披露。

20xx年，除了浦发银行和华夏银行以外，其他银行都披露了评价范围，评价范围大多数是从五个要素（内部环境、风险评估、控制活动、信息与沟通、内部监督）和三个层面（公司层面、业务流程、信息系统）展开，个别银行详细披露了业务层面的内部控制，如交通银行、深发展、兴业银行、招商银行。

（4）从“内部控制评价的程序和方法”看，20xx年除了北京银行在评价报告中提到包括询问、观察、调查问卷等多种方法外，其他银行未涉及相关披露。20xx年，除了浦发银行和南京银行以外，其他银行都披露了“内部控制评价的程序和方法”。

（5）在“内部控制自我评价报告”所有的披露内容中，“内部控制缺陷及其认定情况”和“内部控制缺陷的整改情况及重大缺陷拟采取的整改措施”的信息披露是最为欠缺的。根据《评价指引》的规定，企业内部控制缺陷按其影响程度可以分为重大缺陷、重要缺陷和一般缺陷。其中，重大缺陷是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标；重要缺陷是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标；一般缺陷是指除重大缺陷、重要缺陷之外的其他缺陷。并且还提出，重大缺陷、重要缺陷和一般缺陷的具体认定标准，由企业根据上述要求自行确定。

20xx年，除了浦发银行对这两部分内容进行了比较详细的描述以外，其他银行评价报告中的表述都较含糊。虽然有些银行也提到内部控制存在一般缺陷，如工商银行、光大银行、建设银行、农业银行、深发展、招商银行，但都仅局限于“一般缺陷可能导致的风险均在可控范围之内，并已经和正在认真落实整改，

对本行经营活动的质量和财务报告目标的实现不构成实质性影响”之类的表述。

虽然20xx年这两部分的信息披露相比较20xx年来说较为改善，但整体来说仍然不够充分，很多银行都仅在自我评价报告中将《评价指引》关于三类缺陷的定义重复一遍，除此之外的披露信息都非常有限。具体情况是：华夏银行和南京银行都没有关于缺陷及其认定和整改情况的相关披露。宁波银行虽然提到内部控制缺陷认定和整改，但具体情况都未披露。工商银行、建设银行、深发展、光大银行对这两部分内容的披露仅仅局限于“一般缺陷可能导致的风险在可控范围之内，并已经或正在认真落实整改，对本行经营活动的质量和财务报告目标的实现不构成实质性影响”之类的表述。民生银行、招商银行和中国银行披露了内部控制缺陷认定的定量标准和定性标准，但未披露内部控制存在的缺陷和整改情况。交通银行从具体业务层面披露了内部控制的缺陷；兴业银行详细披露了内部控制存在的缺陷和整改情况；浦发银行从内部控制设计和内部控制执行两个层面披露了发现的问题和改进措施；但交通银行、兴业银行和浦发银行都没有关于内部控制缺陷认定的具体标准。相比较来说，北京银行的披露较为完整，既披露了内部控制缺陷认定的定量标准和定性标准，也提出了整改措施，但是内部控制缺陷的具体内容却未披露。

3.内部控制审计报告的内容

《企业内部控制审计指引》规定，标准内部控制审计报告应该包括的要素有“（一）标题；（二）收件人；（三）引言段；（四）企业对内部控制的责任段；

（五）注册会计师的责任段；（六）内部控制固有局限性的说明段；（七）财务报告内部控制审计意见段；（八）非财务报告内部控制重大缺陷描述段；（九）注册会计师的签名和盖章；（十）会计师事务所的名称、地址及盖章；（十一）

报告日期”。袁敏（2007）研究发现，内部控制审计实务中存在意见名称不一致、依据不同、意见表述方式有差异、审计意见的类型不同、发表意见对象不统一、用途限制与否有别等诸多问题。按照《审计指引》的要求，内部控制审计意见包括无保留意见、加强调事项段的无保留意见、否定意见和无法表示意见。同时，《审计指引》还要求，如果注册会计师认为非财务报告内部控制存在重大缺陷，应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。从20xx年和20xx年内部控制审计报告来看，所有银行的内部控制审计意见均为无保留意见，并且均无非财务报告内部控制重大缺陷描述段落。

因此，结合指引的规定以及上市银行内部控制审计的实际情况，本文主要从审计报告标题、审计依据、审计业务类型、保证程度和用途限制与否等五个方面总结分析上市银行内部控制审计报告中的问题。内部控制审计报告相关内容及符号的解释说明如表4所示，按照《审计指引》的要求，规范的审计报告应符合A1、B1、C1、D1、E1等要求。根据我们的数据收集，上市银行20xx年和20xx年内部控制审计报告的披露情况如表5所示。

可以看出，虽然20xx年《审计指引》已经实施，但是事务所出具的审计报告整体规范性较差，整体来说与《内部控制审计指引》的要求不相符。从报告名称上看，没有一家银行是内部控制审计报告，并且个别银行的报告名称和业务类型不匹配，例如，华夏银行的报告名称是《内部控制自我评估报告的核实评价意见报告》，而从其报告内容看，其业务类型却是针对内部控制发表的审计的意见；交通银行的报告名称是《内部控制评价报告》，而从其报告内容看，其业务类型却是针对公司的内部控制自我评价报告发表意见。从审计依据上看，也没有一家银行提到《审计指引》。从保证程度上看，除华夏银行、浦发银行、深发展以外，其他银行内部控制审计报告都只提供有限保证。且所有银行都对审计报告的用途进行了限制，主要是供银行编制20xx年年度报告的目的使用。

20xx年，除光大银行以外，15家银行都出具了内部控制审计报告，审计报

告的规范性明显得以改善。除了华夏银行、南京银行和北京银行的内部控制审计报告与20xx年存在同样的问题以外，其他银行的内部控制审计报告完全按照《审计指引》和中国注册会计师执业准则的要求出具的。

研究结论与对策建议

一、研究结论

总结全文，从20xx年至20xx年共6年时间来看，披露内部控制自我评价报告和审计报告的上市银行数量在不断增加，上市银行内部控制自我评价报告和审计报告的规范性得以加强。

1.从20xx年的1家银行发展到20xx年分别有16家银行和15家银行披露自我评价报告和审计报告，披露的比例从不到15%增加到90%以上。

2.从内部控制自我评价报告看，20xx年上市银行内部控制自我评价报告的基本内容不仅形式上不规范，例如很多银行的内部控制评价报告都未涵盖“内部控制评价的程序和方法”、“内部控制评价的范围”、“内部控制缺陷及其认定情况”和“内部控制缺陷的整改情况及重大缺陷拟采取的整改措施”等内容；同时，不同银行内部控制自我评价报告中包含的内容如“内部控制评价工作的总体情况”和“内部控制评价的依据”，差异也较大。与20xx年相比较，除个别银行以外，20xx年上市银行内部控制自我评价报告的基本内容都符合《评价指引》的要求。

3.从内部控制审计报告来看，20xx年上市银行的内部控制审计报告无论“报

告标题”或者“审计依据”，还是“审计业务类型”或者“保证程度”，都存在较多不规范的地方，而且所有报告都限制了审计报告的使用用途。20xx年绝大多数内部控制审计报告与《审计指引》的要求完全一致。

同时，通过分析可以看出，上市银行内部控制自我评价报告和审计报告中还存在一些共性的问题，有待进一步解决完善。例如，根据《评价指引》的规定，评价报告中应当包括“内部控制缺陷及其认定情况”和“内部控制缺陷的整改情况及重大缺陷拟采取的整改措施”，若存在一项或多项内部控制重大缺陷的，应当作出内部控制无效的结论；根据《审计指引》的规定，若存在一项或多项重大缺陷的，应当发表否定意见。从我国上市银行20xx年和20xx年的评价报告看，除了少数银行对“内部控制缺陷及其认定情况”和“内部控制缺陷的整改情况及重大缺陷拟采取的整改措施”有详细披露外，其他银行评价报告中的表述都较含糊，并且所有银行的评价报告结论都认为内部控制是有效的，所有银行的内部控制审计意见均为无保留意见。然而，根据瞿旭等（2011）[17]于20xx年5月对向上市银行高管及核心员工发放问卷调查研究发现，上市银行内部控制的“管理监督与控制文化、风险识别与评估、控制活动与职责分工、信息与交流、监督评审与纠正”等方面都存在重大缺陷的可能，而其中控制活动与职责划分是最重要的内部控制组成部分，是重大缺陷影响最严重的区域。虽然该研究针对的是上市银行20xx年5月以前的内部控制情况，然而，即使20xx年内部控制确实得以整改，那也应该在自我评价报告中予以说明。这足以说明我国上市银行内部控制并非报告中披露的那样合理有效。

二、对策建议

可以看出，随着时间的推移，上市银行内部控制自我评价报告和审计报告在

得以完善的同时还存在较多的问题和不足，这些问题是大多数上市银行共同存在的，因此需要采取针对性的措施。这些措施不仅能够完善上市银行内部控制自我评价和审计，也可以为其它上市公司建立健全内部控制提供参考。

1.针对不同行业进一步细化内部控制的标准。按照证监会对上市公司的行业分类，我国上市公司的行业类型共有13个，分别是制造业、交通运输和仓储业、金融和保险业、采掘业、房地产业、电力和煤气及水的生产和供应业、批发和零售贸易、建筑业、信息技术业、社会服务业、综合类、农林牧渔业、传播和文化产业。不同行业的业务类型差异很大，内部控制也存在较多差异。《基本规范》和配套指引虽然为上市公司建立健全内部控制及内部控制自我评价和审计提供了标准，但未涉及具体行业的明细规定。由于不同行业内部控制的侧重点不同，还应针对不同行业尤其是需要结合特殊行业（如本文所研究的上市银行）的特殊性制定出更适合本行业的内部控制标准。

2.针对不同行业制定内部控制缺陷评价体系。《评价指引》已经对缺陷的种类和认定程序作出具体规定，《审计指引》还对重大缺陷的迹象作出了系统的概括，但是指引中并没有对三类缺陷的具体认定标准进行详细量化，而是由企业根据上述要求自行确定。这也是导致上市公司和会计师事务所无法较好识别和评价内部控制重大缺陷的重要原因。因此，应当尽快结合不同行业上市公司内部控制的特性，制定内部控制缺陷认定标准体系，明确内部控制各类缺陷尤其是重大缺陷的认定标准和方法，提高配套指引的可操作性。

3.增强上市公司内部控制信息披露意识。很多上市公司对披露内部控制缺陷存在认识上的误区，认为内部控制缺陷的披露会影响投资人的预期，会降低其市场价值，因此缺乏内部控制自愿自我评价和审计的动机。即使面临内部控制的强

制性要求，大多数内部控制自我评价报告和审计报告仍然只流于形式。为了改善这种状况，一方面要使上市公司认识内部控制制度的重要性，另一方面还要使其切实体会到，从长远来看，重大缺陷的披露有助于企业更好地完善内部控制。

4.加强虚假内部控制报告的惩戒措施。《基本规范》和配套指引只有得到切实执行才能发挥作用，不能只注重上市公司是否披露了内部控制报告，还应进一步关注内部控制报告的质量，因此需要提高虚假报告的责任追究与严惩机制。一方面，证监会及各行业监管部门应定期对上市公司的内部控制自我评价报告和审计报告进行严格监督和检查，既要检查上市公司是否披露了内部控制报告，更要关注内部控制报告的质量问题；另一方面，还应完善法律法规，根据内部控制报告虚假严重程度要求相关责任人承担行政责任、民事责任甚至刑事责任。

最后，本文的局限性主要在于仅对上市银行内部控制自我评价和审计进行实证检验，未就其它行业上市公司内部控制自我评价和审计作全面深入地分析，由于不同行业管制要求差异较大，这在一定程度上影响了本文研究结论的推广。因此，在后续研究中，我们可以拓展研究对象范围，扩大研究对象样本量。一方面可以全面研究境内外同时上市公司及上交所、深交所主板上市公司的强制内部控制自我评价和审计的执行情况，并将其与自愿阶段自我评价和审计情况进行比较；另一方面关注中小板和创业板上市公司自愿内部控制自我评价和审计的具体情况和存在的问题。

（作者单位：上海立信会计学院会计与财务学院）

第二篇：上市银行内部控制自我评价报告和审计报告分析

上市银行内部控制自我评价报告和审计报告分析 ——基于20xx年-20xx年的时间序列数据

何 芹

(上海立信会计学院会计与财务学院，上海 201620)

摘要：随着《企业内部控制基本规范》及企业内部控制配套指引的实施，上市公司内部控制自我评价和审计已从自愿性行为转变为强制性要求，上市公司和审计师是否为此做好准备了呢？银行作为具有特殊监管要求的行业，内部控制自我评价和审计的要求也更为严格。本文以上市银行为例，运用20xx年至20xx年内部控制自我评价报告和审计报告的时间序列数据，对上市银行内部控制自我评价和审计进行实证分析。研究结果发现，随着时间的推移，披露自我评价报告和审计报告的上市银行越来越多，报告的内容也越来越规范，但是，报告还存在较多的不足。因此，需要采取相应的措施完善上市公司内部控制自我评价和审计，具体包括：细化内部控制的标准；制定内部控制缺陷评价体系；增强上市公司内部控制信息披露意识；加强虚假内部控制报告的惩戒措施。

关键词：上市银行；内部控制自我评价报告；内部控制审计报告

Abstract: Along with the performance of the Basic Standard for Enterprise Internal Control and Implementation Guidelines for Enterprise Internal Control, listed companies’ internal control self-assessment and audit has been changed to statutory request from voluntary behavior. Are listed companies and auditors ready for it? As an industry of special supervision, banks have more rigorous requests of internal control self-assessment and audit. Taking listed banks as an example, this paper analyzes their internal control self-assessment reports and audit reports using the time-series data from 2006 to 2011. We find that, along with time, more and more listed banks have disclosed internal control self-assessment reports and audit reports. The contents of these reports are more and more normative. But there are many shortages in these reports. Therefore, this paper gives some advice to perfect listed companies’ internal control self-assessment and audit, including refining specific internal control standards, establishing internal control deficiency evaluation systems, enhancing listed companies’ consciousness of internal control information disclosure, and strengthening punishment of false internal control report.

Keywords: Listed Banks; Internal Control Self-assessment Reports; Internal Control Audit Reports

作者简介：何芹，女，19xx年5月生，安徽枞阳人，副教授，上海立信会计学院会计与财务学院，管理学博士，研究方向：内部控制评价与审计研究，XBRL报告研究，持续审计研究。

中图分类号：F830.1 文献标识号：A

1

引言

根据财政部的要求，《企业内部控制基本规范》（下文简称《基本规范》）和《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》（下文简称《评价指引》）、《企业内部控制审计指引》（下文简称《审计指引》）这一系列配套指引自20xx年1月1日起在境内外同时上市的公司施行，20xx年1月1日起在上海证券交易所和深圳证券交易所主板上市公司施行，在此基础上，择机在中小板和创业板上市公司实施，同时鼓励非上市大中型企业提前执行。施行《基本规范》和配套指引的上市公司，应当对内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请具有证券、期货业务资格的会计师事务所对财务报告内部控制有效性进行审计并出具审计报告。作为内部控制信息披露的一种重要形式，内部控制自我评价报告和审计报告能够提供关于内部控制较为全面完整的信息，既能够使利益相关者了解上市公司内部治理和管理的规范化程度以及风险管理能力，满足投资决策的需要；还能够使上市公司管理层进一步重视内部控制的建立健全，满足企业战略管理的需要。

之前，在20xx年，上交所和深交所分别发布《上市公司内部控制指引》，要求上市公司建立健全内部控制，并要求上市公司在披露20xx年年报的同时披露董事会对内部控制的自我评价报告和注册会计师对自我评价报告的核实评价意见，但是这些都是自愿披露阶段。因此，在强制要求上市公司实施内部控制自我评价和审计之际，我们有必要对上市公司内部控制自我评价报告和审计报告的披露情况进行总结回顾，对《基本规范》和配套指引的发布实施是否改善自我评价报告和审计报告的披露进行比较分析1，从而为上市公司内部控制自我评价和审计的全面有效推广提供借鉴。

银行属于管制要求高、风险高的行业，在金融体系中居于核心地位，其谨慎稳健经营对于维护市场经济具有重要作用。内部控制是银行的“免疫系统”，如果银行内部控制存在重大缺陷，公司治理与外部监管的有效性将难以保证，不仅影响着银行会计信息的可靠性，同时还会影响银行的稳健经营和金融风险防范能力，进而影响到市场经济的正常运行。因此，相对其它行业来说，建立健全内部控制对于上市银行则更为重要。截止到20xx年12月31日，我国共有16家上市银行，上市银行内部控制现状如何？随着时间的推移，上市银行内部控制自我评价和审计是否得以完善和发展？这些问题都有待进一步研究。因此，本文拟以16家上市银行为例，总结其20xx年至20xx年度内部控制自我评价报告和审计报告的变化2，分析其中存在的问题并提出相应的对策建议，为完善上市公司内部控制自我评价和审计提供参考和借鉴。本文具体结构安排如下：第一部分，国内外相关文献回顾；第二部分，在文献回顾的基础上，提出本文的研究假设；第三部分，数据来源和研究结果，收集20xx年至20xx年共6年间上市银行内部控

2

制自我评价报告和审计报告的相关数据，对研究假设进行验证；第四部分，研究结论与对策，对全文内容进行总结，提出改进上市公司内部控制自我评价报告和审计报告的对策建议。

国内外相关文献回顾

一、国外文献回顾

20xx年SOX法案出台之前，内部控制的研究文献主要集中于财务报表审计中内部控制评价和财务报告内部控制审核的研究，只有少数研究关注管理层自愿披露内部控制自我评价报告。如Raghunandan和Rama（1994）[1]研究发现，财富100强公司19xx年度报告中有80家提供了某种形式的内部控制报告，但是大部分报告只涉及内部控制系统的存在与否，而没有对其有效性进行评价。Hermanson （2000）[2]采用问卷调查的方式对自愿性内部控制报告是否有价值含量、是否影响决策等问题进行研究，调查发现，被调查者认为内部控制报告能够改善企业的内部控制，但却未必能够提供与决策有用的信息。

20xx年SOX法案的实施，标志着公司管理层的内部控制自我评价报告由以前自愿性披露改为强制性披露，审计师对内部控制的评价和审核已经转变为独立的内部控制审计业务，因此，更多的研究开始关注管理层内部控制自我评价和审计。Bronson（2006）[3]研究发现，公司规模越大、净利润增长越快、销售增长越慢、审计委员越勤勉、机构持股比例越高，管理层越有可能自愿披露内部控制自我评价报告。Ashbaugh-Skaife等（2006）[4]研究认为，内部控制缺陷的披露带有自愿性质，必须同时满足三个条件某项内部控制缺陷才会得以披露：一是内部控制缺陷存在，二是内部控制缺陷被管理层或独立审计师发现，三是管理层断定缺陷应当公开披露。Mitch Deacon（2008）[5]研究认为，SOX法案将会使小企业受到各项规定的冲击，并建议SEC应针对小企业另设内部控制准则。SongTao Mo（2009）[6]研究发现，“只经过财务报表审计”的上市公司与“只经过内部控制审计”的上市公司相比较，市场和投资者的反应存在差异。

二、国内文献回顾

20xx年以前，我国监管部门对内部控制自我评价和审计尚无强制性规定，大量研究集中于内部控制信息披露，而研究内部控制自我评价和审计的文献较少，但是，很多文献都提出上市公司内部控制自我评价及审计或审核的必要性。例如，陈关亭和张少华（2003）[7]针对上市公司内部控制的信息披露及其审核问题，经问卷调查和分析论证，认为我国应当强制要求所有上市公司在年报中披露内部控制报告，并要求注册会计师对该报告发表审核意见。李明辉等（2003）[8]通过对我国20xx年上市公司年报中内部控制信息披露状况进行分析发现，上市公司内部控制信息披露很大程度上流于形式，无实质性内容，自愿性内部控制信息披露的动机也不够强。

20xx年以后，随着上交所和深交所《上市公司内部控制指引》的颁布，尤 3

其是20xx年《基本规范》及20xx年配套指引的颁布，这意味着内部控制自我评价报告和审计报告与财务报表及其审计报告一样，将作为一种常态出现在上市公司的定期公告中，因此出现了大量的研究开始关注管理层内部控制自我评价和审计。黄秋敏（2008）[9]分析上市银行20xx年至20xx年的内部控制信息发现，上市银行对内部控制信息披露的形式、披露的内容及自我评价和审计方面都存在很

[10][11]多的问题。杨有红和汪薇（2008） 以及杨有红和陈凌云（2009）分别对2006

年和20xx年沪市公司内部控制信息披露进行了研究，结果发现，上市公司存在内部控制信息自愿性披露动机不足、内部控制评价成本过高以及评价标准不统一等问题。袁敏（2008）[12]对20xx年上市公司自愿披露的内部控制审计意见进行了研究，结果发现，内部控制审计存在意见名称不一致、意见表述方式有差别、审核依据不统一等问题。王玲（2009）[13]对20xx年中小板上市公司研究发现，中小板公司内部控制信息披露存在选择性信息披露以及自愿性信息披露意愿不足等问题。林斌和饶静（2009）[14]以20xx年主板上市公司为研究对象，基于信号传递理论对上市公司为什么自愿披露内部控制鉴证报告进行了研究，结果发现，为了向市场传递真实价值的信号，内部控制质量好的公司更愿意披露内部控制鉴证报告。

研究假设的提出

从上文国内外相关文献回顾我们可以看出，随着内部控制自我评价和审计从自愿阶段转变为强制阶段，大量文献开始关注内部控制自我评价和审计。但是，作为一种新生事物，内部控制自我评价和审计在具体实施过程中还面临一系列的挑战和问题，存在很多不规范的地方。这从我国内部控制自我评价和审计强制实施的一再推迟也可略窥一斑。3

由于人们对新生事物的接受都需要一个较长的、渐进的过程，首先可能由一部分人发起，当新生事物得到证明确实能够为人们带来更多的利益时，才能被大多数人接受。因此我们需要将内部控制自我评价和审计置于一个较长的时间段中进行考察分析。然而，目前大多数文献都是集中于某一具体年度的截面分析，利用时间序列数据进行的研究相对较少。虽然黄秋敏（2008）[9]的研究以2001至20xx年度报告为研究对象分析上市银行内部控制信息披露，但是20xx年之前上市银行的数量、内部控制评价和审计的相关要求与现在相比较存在较大的差异。因此，需要结合《基本规范》和配套指引的实施进一步研究，本文基于20xx年至20xx年的时间序列数据，对上市银行内部控制自我评价和审计进行实证分析。

《评价指引》和《审计指引》颁布之前，实务界和理论界对内部控制的自我评价和审计还处于探讨摸索阶段，很多银行的内部控制自我评价和审计不是以完整报告形式进行的披露，即使披露了自我评价报告和审计报告的银行，其报告也存在很多不规范的地方4。但是，随着《评价指引》和《审计指引》的颁布实施，

4

以及上市公司和会计师事务所对内部控制自我评价、审计价值认识和熟练程度的提高，我们认为，随着时间的推移，上市银行内部控制自我评价和审计规范性程度越来越高。因此，我们提出如下假设：

随着时间的推移，披露内部控制自我评价报告和审计报告的上市银行越来越多，内部控制自我评价报告和审计报告将越来越规范。

数据来源和研究结果

一、研究对象和数据的获取

本文的研究对象是上交所和深交所的上市银行，至20xx年年末，共有16家上市银行，16家上市银行的基本情况如表1所示。其中有8家银行属于境内外同时上市公司，20xx年已强制要求实施内部控制自我评价和审计；有1家是中小板上市公司，目前还未有内部控制自我评价和审计强制实施的时间表。但是我们通过收集资料发现，8家境内外同时上市银行和1家中小板上市银行披露的信息与另外7家上市银行并无太大差异。因此，本文对这三类银行不作严格区分。

本文选取上市银行20xx年至20xx年共6个年度内部控制自我评价报告和审计报告的相关数据，全部数据来源于巨潮资讯网上公布的上市公司内部控制自我评价报告和审计报告，所有数据都是通过作者手工收集，数据收集的截止日期为20xx年4月30日。

表1 上市银行基本情况 序

号

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16 上市银行简称 深发展 浦发银行 民生银行 招商银行 华夏银行 中国银行 工商银行 兴业银行 中信银行 交通银行 南京银行 宁波银行 北京银行 建设银行 农业银行 光大银行 上市时间 19xx年4月 19xx年11月 20xx年12月 20xx年4月 20xx年9月 20xx年7月 20xx年10月 20xx年2月 20xx年4月 20xx年5月 20xx年7月 20xx年7月 20xx年9月 20xx年9月 20xx年7月 20xx年8月 上市板块 深交所主板 上交所主板 内部控制自我评价和审计的法定实施时间 20xx年1月1日 20xx年1月1日 上交所主板、港交所 20xx年1月1日 上交所主板、港交所 20xx年1月1日 上交所主板 20xx年1月1日 上交所主板、港交所 20xx年1月1日 上交所主板、港交所 20xx年1月1日 上交所主板 20xx年1月1日 上交所主板、港交所 20xx年1月1日 上交所主板、港交所 20xx年1月1日 上交所主板 20xx年1月1日 深交所中小板 上交所主板 择机实施（未有时间表） 20xx年1月1日 上交所主板、港交所 20xx年1月1日 上交所主板、港交所 20xx年1月1日 上交所主板 20xx年1月1日

二、研究结果

1.披露内部控制自我评价报告和审计报告的上市银行数量

表2 20xx年至20xx年上市银行内部控制自我评价报告和审计报告的披露5 5

序号 上市银行

1 深发展

2 浦发银行

3 民生银行

4 招商银行

5 华夏银行

6 中国银行

7 工商银行

8 兴业银行

9 中信银行

10 交通银行

11 南京银行

12 宁波银行

13 北京银行

14 建设银行

15 农业银行

16 光大银行

上市银行数合计

披露报告数合计 2006 2007 2008 2009 2010 2011 SR AR SR AR SR AR SR AR SR AR SR AR √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ 7 14 14 14 16 16 1 1 9 9 13 9 13 12 16 15 16 15

从表2可以看出，20xx年至20xx年披露内部控制自我评价报告和审计报告的上市银行数量逐年不断增加，从20xx年的1家银行披露内部控制自我评价报告和审计报告发展到20xx年16家银行披露内部控制自我评价报告和15家银行披露内部控制审计报告。具体情况如下：

（1）20xx年和20xx年内部控制自我评价报告和审计报告披露的总体情况较差。20xx年7家上市银行只有民生银行1家披露了自我评价报告和审计报告，20xx年14家上市银行有9家披露了自我评价报告和审计报告。

（2）20xx年和20xx年内部控制自我评价报告和审计报告披露的总体情况有了较大改观，但披露审计报告的上市公司数量要比披露自我评价报告的公司少。其中，20xx年分别有13家和9家上市银行披露了自我评价报告和审计报告，其招商银行、工商银行、宁波银行、北京银行在披露自我评价报告时没有披露审计报告（招商银行、工商银行、北京银行在报告中也说明内部控制已接受审计）；20xx年分别有13家和12家上市银行披露了自我评价报告和审计报告，招商银行虽然在报告中说明内部控制已接受审计，但未披露审计报告。

（3）在20xx年和20xx年，除了20xx年民生银行和20xx年光大银行没有披露审计报告以外（民生银行和光大银行在报告中也说明内部控制已接受审计），其他银行都披露了自我评价报告和审计报告。

2.内部控制自我评价报告的内容

《评价指引》并没有对内部控制自我评价报告的具体内容作出详细规定，但是要求报告至少应当披露下列内容：（1）董事会对内部控制报告真实性的声明；

（2）内部控制评价工作的总体情况；（3）内部控制评价的依据；（4）内部控制 6

评价的范围；（5）内部控制评价的程序和方法；（6）内部控制缺陷及其认定情况；（7）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；（8）内部控制有效性的结论。《评价指引》于20xx年4月颁布，因此，考虑不同年份报告的可比性，本文主要针对16家上市银行20xx年和20xx年上市银行内部控制自我评价报告的内容进行比较，如表3所示。

表3 20xx年与2011上市银行内部控制自我评价报告具体内容6

序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

上市银行 深发展 浦发银行 民生银行 招商银行 华夏银行 中国银行 工商银行 兴业银行 中信银行 交通银行 南京银行 宁波银行 北京银行 建设银行 农业银行 光大银行

（1） 10 11 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √

（2） 10 11 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √

（3） 10 11 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √

（4） 10 11 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √

（5）

10 11 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √

（6） （7） （8）

10 11 10 11 10 11 √ √ √ √ √ √ √ √

√ √ √

√ √ √ √ √ √ √ √ √ √ √ √ √ √

√ √ √

√ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √

比较20xx年和20xx年上市银行内部控制自我评价报告的具体内容，我们发现，所有银行的自我评价报告都有“内部控制有效性的结论”，同时，除20xx年深发展、宁波银行和南京银行以外，其他银行的自我评价报告都涵盖了“董事会对内部控制报告真实性的声明”的内容。

但是“内部控制评价工作的总体情况”、“内部控制评价的依据”、“内部控制评价的范围”、“内部控制评价的程序和方法”、“内部控制缺陷及其认定情况”、“内部控制缺陷的整改情况及重大缺陷拟采取的整改措施”等内容，20xx年的披露较20xx年变化较大，20xx年自我评价报告的内容规范性更强。

（1）从“内部控制评价工作的总体情况”看，虽然所有银行的评价报告都涵盖总体情况描述的内容，但是具体表述却存在差异。20xx年，工商银行、交通银行、深发展、招商银行、中信银行、兴业银行、宁波银行、南京银行对内部控制的评价是针对所有内部控制进行的；民生银行、北京银行对财务报告相关内部控制进行了评价，但未提及是否注意到非财务报告内部控制的重大缺陷；只有光大银行、华夏银行、中国银行、建设银行、浦发银行、农业银行对财务报告相关内部控制进行评价，且提及是否注意到非财务报告内部控制的重大缺陷。

7

20xx年，除兴业银行、交通银行、中国银行自我评价是针对所有内部控制以外，其他13家银行评价的对象都是财务报告内部控制，在这13家银行中，除南京银行外，其他12家银行均在自我评价报告中提及是否注意到非财务报告内部控制的重大缺陷。

（2）从“内部控制评价的依据”看，20xx年，上市银行内部控制自我评价的依据除了包括《企业内部控制基本规范》、《商业银行内部控制指引》、《商业银行内部控制评价试行办法》、《上海证券交易所上市公司内部控制指引》、《深圳证券交易所上市公司内部控制指引》等内部控制相关指引外，还有些银行也将《中华人民共和国商业银行法》、《中华人民共和国公司法》、《中华人民共和国证券法》作为评价的依据。

20xx年，上市银行内部控制自我评价的依据则主要是《企业内部控制规范》、《企业内部控制评价指引》、《商业银行内部控制指引》、《上海证券交易所上市公司内部控制指引》。

（3）从“内部控制评价的范围”看，20xx年只有民生银行、招商银行、兴业银行、中信银行、南京银行、北京银行、深发展、宁波银行等8家银行披露了评价的具体范围，且主要是从内部控制五要素进行的披露。

20xx年，除了浦发银行和华夏银行以外，其他银行都披露了评价范围，评价范围大多数是从五个要素（内部环境、风险评估、控制活动、信息与沟通、内部监督）和三个层面（公司层面、业务流程、信息系统）展开，个别银行详细披露了业务层面的内部控制，如交通银行、深发展、兴业银行、招商银行。

（4）从“内部控制评价的程序和方法”看，20xx年除了北京银行在评价报告中提到包括询问、观察、调查问卷等多种方法外，其他银行未涉及相关披露。20xx年，除了浦发银行和南京银行以外，其他银行都披露了“内部控制评价的程序和方法”。

（5）在“内部控制自我评价报告”所有的披露内容中，“内部控制缺陷及其认定情况”和“内部控制缺陷的整改情况及重大缺陷拟采取的整改措施”的信息披露是最为欠缺的。根据《评价指引》的规定，企业内部控制缺陷按其影响程度可以分为重大缺陷、重要缺陷和一般缺陷。其中，重大缺陷是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标；重要缺陷是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标；一般缺陷是指除重大缺陷、重要缺陷之外的其他缺陷。并且还提出，重大缺陷、重要缺陷和一般缺陷的具体认定标准，由企业根据上述要求自行确定。

20xx年，除了浦发银行对这两部分内容进行了比较详细的描述以外，其他银行评价报告中的表述都较含糊。虽然有些银行也提到内部控制存在一般缺陷，如工商银行、光大银行、建设银行、农业银行、深发展、招商银行，但都仅局限

8

于“一般缺陷可能导致的风险均在可控范围之内，并已经和正在认真落实整改，对本行经营活动的质量和财务报告目标的实现不构成实质性影响”之类的表述。

虽然20xx年这两部分的信息披露相比较20xx年来说较为改善，但整体来说仍然不够充分，很多银行都仅在自我评价报告中将《评价指引》关于三类缺陷的定义重复一遍，除此之外的披露信息都非常有限。具体情况是：华夏银行和南京银行都没有关于缺陷及其认定和整改情况的相关披露。宁波银行虽然提到内部控制缺陷认定和整改，但具体情况都未披露。工商银行、建设银行、深发展、光大银行对这两部分内容的披露仅仅局限于“一般缺陷可能导致的风险在可控范围之内，并已经或正在认真落实整改，对本行经营活动的质量和财务报告目标的实现不构成实质性影响”之类的表述。民生银行、招商银行和中国银行披露了内部控制缺陷认定的定量标准和定性标准，但未披露内部控制存在的缺陷和整改情况。交通银行从具体业务层面披露了内部控制的缺陷；兴业银行详细披露了内部控制存在的缺陷和整改情况；浦发银行从内部控制设计和内部控制执行两个层面披露了发现的问题和改进措施；但交通银行、兴业银行和浦发银行都没有关于内部控制缺陷认定的具体标准。相比较来说，北京银行的披露较为完整，既披露了内部控制缺陷认定的定量标准和定性标准，也提出了整改措施，但是内部控制缺陷的具体内容却未披露。

3.内部控制审计报告的内容

《企业内部控制审计指引》规定，标准内部控制审计报告应该包括的要素有“（一）标题；（二）收件人；（三）引言段；（四）企业对内部控制的责任段；（五）注册会计师的责任段；（六）内部控制固有局限性的说明段；（七）财务报告内部控制审计意见段；（八）非财务报告内部控制重大缺陷描述段；（九）注册会计师的签名和盖章；（十）会计师事务所的名称、地址及盖章；（十一）报告日期”。袁敏（2007）[13]研究发现，内部控制审计实务中存在意见名称不一致、依据不同、意见表述方式有差异、审计意见的类型不同、发表意见对象不统一、用途限制与否有别等诸多问题。按照《审计指引》的要求，内部控制审计意见包括无保留意见、加强调事项段的无保留意见、否定意见和无法表示意见。同时，《审计指引》还要求，如果注册会计师认为非财务报告内部控制存在重大缺陷，应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。从20xx年和20xx年内部控制审计报告来看，所有银行的内部控制审计意见均为无保留意见，并且均无非财务报告内部控制重大缺陷描述段落。

因此，结合指引的规定以及上市银行内部控制审计的实际情况，本文主要从审计报告标题、审计依据、审计业务类型、保证程度和用途限制与否等五个方面总结分析上市银行内部控制审计报告中的问题。内部控制审计报告相关内容及符

9

号的解释说明如表4所示，按照《审计指引》的要求，规范的审计报告应符合A1、B1、C1、D1、E1等要求。根据我们的数据收集，上市银行20xx年和20xx年内部控制审计报告的披露情况如表5所示。

表4 内部控制审计报告相关内容及符号的解释说明

内容

审计报告标题A

符号 解释

A1 内部控制审计报告 ； A2 内部控制自我评估报告的说明； A3 内部控制自我评估报告的核实评价意见报告； A4 内部控制评价报告； A5 内部控制自我评估报告的评价意见报告； A6 内部控制审核报告； A7 内部控制鉴证报告。 B1 《企业内部控制审计指引》及《中国注册会计师执业准则》； B2 《中国注册会计师审计准则第1211号——了解被审计单位及其环

境并评估重大错报风险》和《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》；

B3 《中国注册会计师其他鉴证业务准则第3101号—历史财务信息审

计或审阅以外的鉴证业务》；

B4 《内部控制审核指导意见》。 C1 直接报告业务，即对财务报告内部控制发表意见。 C2 基于责任方认定的业务，即对内部控制自我评价报告发表意见。 D1 合理保证； D2 有限保证。 E1 无限制； E2 有限制。

审计依据

B

审计业务类型C 保证程度D

用途限制E

表5 20xx年与20xx年上市银行内部控制审计报告的披露情况

序号 上市银行 报告名称

2010 2011 A6 A1 1 深发展

A1 2 浦发银行 A6

A1 3 民生银行

A1 4 招商银行 A2

A3 5 华夏银行 A3

A1 6 中国银行 A2

7 工商银行 A3 A1

A1 8 兴业银行 A3

A1 9 中信银行 A2

10 交通银行 A4 A1

A5 11 南京银行 A5

A1 12 宁波银行 A7

A2 13 北京银行 A2

A1 14 建设银行 A2

A1 15 农业银行 A2 16 光大银行 A2

审计依据

2010 2011 B4 B1 B4 B1 B1 B2 B1 B3 B3 B2 B1 B2 B1 B2 B1 B2 B1 B2 B1 B2 B2 B4 B1 B2 B2 B2 B1 B2 B1 B2

业务类型

2010 2011 C1 C1 C1 C1 C1 C2 C1 C1 C1 C2 C1 C2 C1 C2 C1 C2 C1 C2 C1 C2 C2 C1 C1 C2 C2 C2 C1 C2 C1 C2

保证程度

2010 2011 D1 D1 D1 D1 D1 D2 D1 D1 D1 D2 D1 D2 D1 D2 D1 D2 D1 D2 D1 D2 D2 D1 D1 D2 D2 D2 D1 D2 D1 D2

用途限制与否 2010 2011 E2 E1 E2 E1

E1 E2 E1 E2 E2 E2 E1 E2 E1 E2 E1 E2 E1 E2 E1 E2 E2 E2 E1 E2 E2 E2 E1 E2 E1 E2

可以看出，虽然20xx年《审计指引》已经实施，但是事务所出具的审计报

10

告整体规范性较差，整体来说与《内部控制审计指引》的要求不相符。从报告名称上看，没有一家银行是内部控制审计报告，并且个别银行的报告名称和业务类型不匹配，例如，华夏银行的报告名称是《内部控制自我评估报告的核实评价意见报告》，而从其报告内容看，其业务类型却是针对内部控制发表的审计的意见；交通银行的报告名称是《内部控制评价报告》，而从其报告内容看，其业务类型却是针对公司的内部控制自我评价报告发表意见。从审计依据上看，也没有一家银行提到《审计指引》。从保证程度上看，除华夏银行、浦发银行、深发展以外，其他银行内部控制审计报告都只提供有限保证。且所有银行都对审计报告的用途进行了限制，主要是供银行编制20xx年年度报告的目的使用。

20xx年，除光大银行以外，15家银行都出具了内部控制审计报告，审计报告的规范性明显得以改善。除了华夏银行、南京银行和北京银行的内部控制审计报告与20xx年存在同样的问题以外，其他银行的内部控制审计报告完全按照《审计指引》和中国注册会计师执业准则的要求出具的。

研究结论与对策建议

一、研究结论

总结全文，从20xx年至20xx年共6年时间来看，披露内部控制自我评价报告和审计报告的上市银行数量在不断增加，上市银行内部控制自我评价报告和审计报告的规范性得以加强。

1.从20xx年的1家银行发展到20xx年分别有16家银行和15家银行披露自我评价报告和审计报告，披露的比例从不到15%增加到90%以上。

2.从内部控制自我评价报告看，20xx年上市银行内部控制自我评价报告的基本内容不仅形式上不规范，例如很多银行的内部控制评价报告都未涵盖“内部控制评价的程序和方法”、“内部控制评价的范围”、“内部控制缺陷及其认定情况”和“内部控制缺陷的整改情况及重大缺陷拟采取的整改措施”等内容；同时，不同银行内部控制自我评价报告中包含的内容如“内部控制评价工作的总体情况”和“内部控制评价的依据”，差异也较大。与20xx年相比较，除个别银行以外，20xx年上市银行内部控制自我评价报告的基本内容都符合《评价指引》的要求。

3.从内部控制审计报告来看，20xx年上市银行的内部控制审计报告无论“报告标题”或者“审计依据”，还是“审计业务类型”或者“保证程度”，都存在较多不规范的地方，而且所有报告都限制了审计报告的使用用途。20xx年绝大多数内部控制审计报告与《审计指引》的要求完全一致。

同时，通过分析可以看出，上市银行内部控制自我评价报告和审计报告中还存在一些共性的问题，有待进一步解决完善。例如，根据《评价指引》的规定，评价报告中应当包括 “内部控制缺陷及其认定情况”和“内部控制缺陷的整改情况及重大缺陷拟采取的整改措施”，若存在一项或多项内部控制重大缺陷的，应

11

当作出内部控制无效的结论；根据《审计指引》的规定，若存在一项或多项重大缺陷的，应当发表否定意见。从我国上市银行20xx年和20xx年的评价报告看，除了少数银行对“内部控制缺陷及其认定情况”和“内部控制缺陷的整改情况及重大缺陷拟采取的整改措施”有详细披露外，其他银行评价报告中的表述都较含糊，并且所有银行的评价报告结论都认为内部控制是有效的，所有银行的内部控制审计意见均为无保留意见。然而，根据瞿旭等（2011）[17]于20xx年5月对向上市银行高管及核心员工发放问卷调查研究发现，上市银行内部控制的“管理监督与控制文化、风险识别与评估、控制活动与职责分工、信息与交流、监督评审与纠正”等方面都存在重大缺陷的可能，而其中控制活动与职责划分是最重要的内部控制组成部分，是重大缺陷影响最严重的区域。虽然该研究针对的是上市银行20xx年5月以前的内部控制情况，然而，即使20xx年内部控制确实得以整改，那也应该在自我评价报告中予以说明。这足以说明我国上市银行内部控制并非报告中披露的那样合理有效。

二、对策建议

可以看出，随着时间的推移，上市银行内部控制自我评价报告和审计报告在得以完善的同时还存在较多的问题和不足，这些问题是大多数上市银行共同存在的，因此需要采取针对性的措施。这些措施不仅能够完善上市银行内部控制自我评价和审计，也可以为其它上市公司建立健全内部控制提供参考。

1.针对不同行业进一步细化内部控制的标准。按照证监会对上市公司的行业分类，我国上市公司的行业类型共有13个，分别是制造业、交通运输和仓储业、金融和保险业、采掘业、房地产业、电力和煤气及水的生产和供应业、批发和零售贸易、建筑业、信息技术业、社会服务业、综合类、农林牧渔业、传播和文化产业。不同行业的业务类型差异很大，内部控制也存在较多差异。《基本规范》和配套指引虽然为上市公司建立健全内部控制及内部控制自我评价和审计提供了标准，但未涉及具体行业的明细规定。由于不同行业内部控制的侧重点不同，还应针对不同行业尤其是需要结合特殊行业（如本文所研究的上市银行）的特殊性制定出更适合本行业的内部控制标准。

2.针对不同行业制定内部控制缺陷评价体系。《评价指引》已经对缺陷的种类和认定程序作出具体规定，《审计指引》还对重大缺陷的迹象作出了系统的概括，但是指引中并没有对三类缺陷的具体认定标准进行详细量化，而是由企业根据上述要求自行确定。这也是导致上市公司和会计师事务所无法较好识别和评价内部控制重大缺陷的重要原因。因此，应当尽快结合不同行业上市公司内部控制的特性，制定内部控制缺陷认定标准体系，明确内部控制各类缺陷尤其是重大缺陷的认定标准和方法，提高配套指引的可操作性。

3.增强上市公司内部控制信息披露意识。很多上市公司对披露内部控制缺陷 12

存在认识上的误区，认为内部控制缺陷的披露会影响投资人的预期，会降低其市场价值，因此缺乏内部控制自愿自我评价和审计的动机。即使面临内部控制的强制性要求，大多数内部控制自我评价报告和审计报告仍然只流于形式。为了改善这种状况，一方面要使上市公司认识内部控制制度的重要性，另一方面还要使其切实体会到，从长远来看，重大缺陷的披露有助于企业更好地完善内部控制。

4.加强虚假内部控制报告的惩戒措施。《基本规范》和配套指引只有得到切实执行才能发挥作用，不能只注重上市公司是否披露了内部控制报告，还应进一步关注内部控制报告的质量，因此需要提高虚假报告的责任追究与严惩机制。一方面，证监会及各行业监管部门应定期对上市公司的内部控制自我评价报告和审计报告进行严格监督和检查，既要检查上市公司是否披露了内部控制报告，更要关注内部控制报告的质量问题；另一方面，还应完善法律法规，根据内部控制报告虚假严重程度要求相关责任人承担行政责任、民事责任甚至刑事责任。

最后，本文的局限性主要在于仅对上市银行内部控制自我评价和审计进行实证检验，未就其它行业上市公司内部控制自我评价和审计作全面深入地分析，由于不同行业管制要求差异较大，这在一定程度上影响了本文研究结论的推广。因此，在后续研究中，我们可以拓展研究对象范围，扩大研究对象样本量。一方面可以全面研究境内外同时上市公司及上交所、深交所主板上市公司的强制内部控制自我评价和审计的执行情况，并将其与自愿阶段自我评价和审计情况进行比较；另一方面关注中小板和创业板上市公司自愿内部控制自我评价和审计的具体情况和存在的问题。

[基金项目：上海市教育委员会重点学科建设项目（J51701）；国家自然科学基金青年项目（71102013）；教育部青年项目（10YJC790242）；上海市教育委员会科研创新项目（09YS432）；上海立信会计学院产学研课题项目（OB11131311GD03）；上海市会计学会课题项目（09HX29）]

注释 1 会计师事务所对上市公司内部控制的评价意见名称各异，具体内容也存在诸多不同之处，为了论述的方便，本文将会计师事务所的评价意见全部统称为审计报告。评价意见的具体差别将在本文“内部控制审计报告的内容”中进行论述。 2 虽然16家银行中有8家银行属于境内外同时上市公司，20xx年已是强制内部控制自我评价和强制审计阶段；其中有1家是中小板上市公司，目前还未有强制评价和审计的时间表。但是我们通过收集资料发现，8家境内外同时上市银行和1家中小板上市银行披露的信息与另外7家上市银行并没有太大差异。因此，本文对20xx年内部控制自我评价报告和审计报告披露信息的分析对这三类银行不 13

作严格区分。

3 20xx年，财政部计划于20xx年7月1日在上市公司实施《基本规范》；后来因为内部控制规定的实施需要大量的准备工作要做，《基本规范》延期到20xx年1月1日开始实施；又由于《基本规范》的配套指引尚未完成，最终确定的《基本规范》和配套指引的实施时间是20xx年1月1日，并且是在不同上市公司中分阶段实施。

4 根据黄秋敏（2008）的研究，20xx年至20xx年，只有浦发银行（20xx年）、民生银行（20xx年和20xx年）、招商银行（20xx年）以单独报告形式披露内部控制信息。其他各家银行内部控制信息的披露形式可能是董事会报告或者是监事会报告，尤其是20xx年以后，内部控制信息披露形式固定为董事会报告和监事会报告，且均不再单独披露事务所对上市银行内部控制的评价报告。

5

6 表2中的SR代表“内部控制自我评价报告”；AR代表“内部控制审计报告”。 表3中的（1）（2）（3）（4）（5）（6）（7）（8）分别代表“董事会对内部控制报告真实性的声明”、“内部控制评价工作的总体情况”、“内部控制评价的依据”、“内部控制评价的范围”、“内部控制评价的程序和方法”、“内部控制缺陷及其认定情况”、“内部控制缺陷的整改情况及重大缺陷拟采取的整改措施”、“内部控制有效性的结论”。由于篇幅所限，表3中10指20xx年，11指20xx年。

参考文献：

[1] Raghunandan, K, Rama, DV. Management Reports after COSO[J]. The Internal Auditor, 1994 (8): 54-59.

[2] Hermanson, Heather M.. An Analysis of the Demand for Reporting on Internal Control[J]. Accounting Horizons, 2000, 14(3): 325-341.

[3] Bronson, Scott N., Joseph V. Carcello, and Kannan Raghunandan. Frim Characteristics and Voluntary Management Reports on Internal Control[J]. Auditing:

A Journal of Practical & Theory, 2006, 25(2): 25-39.

[4] Ashbaugh-Skaife, Hollis, Daniel W. Collins, and William R. Kinney Jr.. The Discovery and Reporting of Internal Control Deficiencies Prior to SOX-mandated Audits[J]. Journal of Accounting and Economics, 2007(44): 166-192.

[5] Mitch Deacon. SEC Study on Sarbanes-Oxley Expected Soon, Small Business Affected, Orange County Business Journal, 2008(7): 36.

[6] Mo SongTao. The Information Content of Audit Opinions in the Post-SOX Era[D]. Department of Accountancy of Case Western Reserve University, August, 2009.

[7] 陈关亭，张少华. 论上市公司内部控制的披露及其审核[J]. 审计研究，2003（6）：34-38.

[8] 李明辉，何海，马夕奎. 我国上市公司内部控制信息披露状况的分析[J]. 14

审计研究，2003（1）：38-43.

[9] 黄秋敏. 上市银行内部控制信息披露状况分析——以2001-20xx年度报告为研究对象[J].审计研究，2008（1）：82-89.

[10] 杨有红，汪薇. 20xx年沪市公司内部控制信息披露研究[J]. 会计研究，2008（3）：35-42.

[11] 杨有红，陈凌云. 20xx年沪市公司内部控制自我评价研究[J]. 会计研究，2009（6）：58-64.

[12] 袁敏. 上市公司内部控制审计：问题与改进[J]. 审计研究，2008（5）：90-96.

[13] 王玲. 20xx年中小板公司内部控制情况分析[J]. 证券市场导报，2009

（7）：13-18.

[14] 林斌，饶静. 上市公司为什么自愿披露内部控制鉴证报告? ——基于信号传递理论的实证研究[J]. 会计研究，2009（2）：45-52.

15