一、引言

近年来，我国商业银行客户巨额存款资金“失踪”的案件屡见报端，银行及其客户的损失动辄上亿元。为此，银监会于2015年6月发布了《关于加强银行业金融机构内控管理有效防范柜面业务操作风险的通知》，要求商业银行严守业务管理、风险合规及审计监督“三道防线”，并做到“看好自己的门”、“管好自己的人”以及加强营业场所和员工行为的管理等。而此前的2014年9月，银监会已经发布了新修订的《商业银行内部控制指引》（下文简称《指引》），这是自中国人民银行于2002年4月颁布《商业银行内部控制指引》以来我国商业银行监管当局出台的第三个版本“内控指引”^①。

①2014年修订后《商业银行内部控制指引》删除了针对具体业务的章节和条款，只对商业银行风险管理、信息系统控制、员工管理、新机构设立和业务创新等提出原则性要求；针对商业银行的各项业务或者业务流程，银监会已经先后制定了《商业银行授信工作尽职指引》、《商业银行实施统一授信制度指引》、《中国银行业中间业务自律管理办法》、《商业银行信息科技风险管理指引》等具体监管规则。

在我国，商业银行的内部控制法律机制的建设是伴随着银行体系的市场化转型而逐步发展的，因此带有较为鲜明的“摸着石头过河”的色彩，且在这个过程中不乏“吃一堑，长一智”的经历。然而在这个过程中，对于如何有效建立起我国商业银行内部控制的法律制度体系这一重要问题，学理上的分析严重落后于现实的需要，至今未能给出一个具有宏观意义的制度建设方案，以至于在这一领域始终存在着“头痛医头、脚痛医脚”的现象。随着相关法律制度文本的渐趋完备，我们有必要在学术理论层面上进行全局性的分析和总结，以明确我国商业银行内控法律机制构建的宏观“坐标”定位，从而给日后的法律制度建设指明方向和路径。

和以往的研究着重于如何通过强化行政性监管来提升我国商业银行内部控制水平有较大区别的是，本文超越了固有的“加强监管”这一单向思维，而是希望以商业银行的“行政性监管”和“市场约束”这两根互相“垂直”的坐标轴为背景，来探讨在金融市场转型背景下，在我国建立起一套有效的商业银行内控法律机制而必须面对并且需要回答的路径选择问题。

1995年2月，由于交易员尼克·李森的违规期货交易行为，导致具有233年历史的英国巴林银行蒙受了高达9.16亿英镑的亏损，并被迫宣布破产^①。1995年9月，日本大和银行纽约分行交易部主任井口俊英在账外买卖美国联邦债券，并造成11亿美元巨额亏损的丑闻被曝光，而更骇人听闻的是，为了掩盖巨额亏损，井口俊英在此前长达12年的时间内共计伪造了3万多笔交易记录而从未被发觉^②。2008年1月，法国第二大银行兴业银行披露，由于旗下一名交易员杰罗姆·凯维埃尔利用该银行信息系统的漏洞越权购买了大量欧洲股指期货，造成49亿欧元的巨额亏空，这一金额创下了世界银行业历史上因交易员违规操作而导致银行单笔损失的最高记录^③。

①See Kong Yoke Mun,Collapse of Barings,http://eresources.nlb.gov.sg/infopedia/articles/SIP_1531_2009-06-11.html,last visited at July 7^th,2015.

②See Chris Jones,Toshihide Iguchi - The Trader Who Blew $1.1bn,http://hereisthecity.com/en-gb/2005/03/19/toshihide_iguchi_the/,last visited at July 7^th,2015.

③Nicola Clark & David Jolly,“French Bank Says Rogue Trader Lost $7 Billion”,New York Times,25 January 2008.

回溯上述这些案例，我们可以发现其中所反映出来的共同特征就是银行内部控制系统出现了“失灵”，其运营活动背离了一些基本的内控制度要求，例如：管理层对内控系统的健全性掉以轻心；违背关键岗位分离的基本要求；信息系统的监控出现巨大的漏洞等。

探讨内部控制问题，必然会提及的一份权威文件就是由美国注册会计师协会、美国会计师协会、财务经理人协会、内部审计师协会以及管理会计师协会联合创建的全国反虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organisations of the Treadway Commission,COSO）在1992年9月发布的《内部控制整合框架》（Internal Control-Integrated Framework）报告（以下简称“COSO报告”）^④。COSO报告对内部控制给出的定义是“受该组织董事会、管理层和其他人员影响，为了有效经营（operation）、真实报告财务信息（reporting）以及合规（compliance）等目标的实现而提供合理保证的一种过程（process）”；在具体构成内容方面，COSO报告将内部控制系统分为控制环境(control environment)、风险评估(risk assessment)、内控活动(control activities)、信息与沟通(information and communication)以及监控(monitoring)这五大相互联系的要素。COSO内控报告在发布之后被美国的各家大型银行广泛接受^⑤，并且美国的银行监管当局——货币监理署（Office of Comptroller of Currency,OCC）在对银行的监管活动中也采用了COCO报告所界定的五项内控要素^⑥。

④See http://www.coso.org/documents/990025P_Executive_Summary_final_may20_e.pdf,last visited at July 7^th,2015.

⑤See U.S. Federal Reserve Release,September 22,1998,available at http://www.federalreserve.gov/boarddocs/press/general/1998/19980922/default.htm,last visited at July 7^th,2015.

⑥See Internal Control: Comptroller’s Handbook,January 2001,available at http://www.occ.gov/publications/publications-by-type/comptrollers-handbook/intcntrl.pdf,last visited at July 7^th,2015.

1998年9月，巴塞尔银行监督委员会在吸收包括美国COSO报告在内的各国经营的基础上，发布了《银行组织内部控制系统框架》（Framework for Internal Control Systems in Banking Organisations），系统地提出了评价商业银行内部控制体系的指导原则。巴塞尔委员会希望世界各国的监管机构以此为基础来建立本国银行内控制度的框架，从而塑造一个稳健、规范、有效的国内和国际银行体系^①。与美国COSO内控框架报告类似，巴塞尔委员会在其官方文件中也确认了内部控制的五项要素，即管理层监察与控制文化（Management Oversight and the Control Culture）、风险识别与评估（Risk Recognition and Assessment）、控制活动与岗位分离（Control Activities and Segregation of Duties）、信息与沟通（Information and communication）、监控活动与偏差纠正（Monitoring Activities and Correcting Deficiencies），并在此基础上列出了十三项原则。

①See Basle Committee on Banking Supervision: Framework for Internal Control Systems in Banking Organisations,September 1998,available at http://www.bis.org/publ/bcbs40.pdf,last visited at July 7th,2015.

在我国，近年来因为商业银行内控机制的缺漏而所引发的重大案件包括：中国民生银行上海分行信贷员黄谨利用职务之便，私自挪用上海印钞厂的存款放贷，并通过私刻公章等手段，以上海印钞厂的名义，前后累计挪用资金3.5亿元，在两年半时间里先后作案21次^②；中国银行纽约分行被美国监管当局指控实施了某些“不安全和不可靠的行为”，包括“给单个客户风险暴露过高、协助一桩信用证诈骗案和一桩贷款诈骗案、未经许可提前放弃抵押品并隐瞒不报，以及其他可疑活动和潜在的诈骗行为”^③；中国银行黑龙江分行河松街支行行长高山伙同李东哲等人采用偷换存款企业预留印鉴卡、伪造存款企业转账支票等非法手段转移26家存款单位存款276笔，共计人民币28亿余元，造成6家存款单位实际损失人民币8亿余元^④；犯罪行为人刘济源以齐鲁银行等商业银行的名义高息揽储，然后通过虚假质押办理贷款，用私刻印章、伪造金融凭证和票据等手段骗取资金，诈骗银行资金近100亿元^⑤等。

②参见《上亿资金被骗贷 小儿科手段为何骗倒民生银行》，载《21世纪经济报道》，2002年2月25日。

③参见《中国银行纽约分行发生了什么？》，载《财经》，2002年2月10日；《中行纽约分行事件续篇：骗贷者周强》，载《财经》，2002年8月7日。

④参见《哈尔滨卷款数亿外逃8年行长受审》，载《法制日报》2013年9月30日。

⑤参见《齐鲁银行案收场》，载《新世纪》，2013年7月2日。

在这些重大案件的背后，我们都可以发现银行内控机制“失灵”而导致的操作风险（operational risk）^⑥暴露，具体原因则包括：未能通过有效的职责划分与授权来防范员工舞弊行为；高层管理人员的职权没有受到制约，致使内控机制流于形式；稽核部门缺乏独立性；银行规模快速扩张过程中没有健全风险识别与评估系统；行政化管理导致的内控文化严重缺失等。

⑥巴塞尔银行监管委员会给出的关于操作风险的确切定义是：因为不完善或有问题的内部操作过程、人员、系统或外部事件（包括法律风险）而导致损失发生的风险，强调的是这种风险的不可预见性，参见Basel Committee on Banking Supervision: Operational Risk-Supervisory Guidelines for the Advanced Measurement Approaches,June 2011,available at http://www.bis.org/publ/bcbs196.pdf，最后访问日期：2015年7月7日。

有鉴于此，商业银行内部控制问题逐渐成为监管当局推进监管工作的一个基本关注点。目前，中国银行业监管当局已经明确表述其监管理念，即“管法人、管风险、管内控、提高透明度”，其中“管内控”的含义就是“促进金融机构风险内控机制形成和内控效果的不断提高”^⑦。

⑦参见吴晓灵：《中国金融体制改革30年回顾与展望》，人民出版社2008年版，第143页。

法律规则层面上，2003年12月修订之后的《商业银行法》在其第五十九条中就规定了“商业银行应当按照有关规定，制定本行的业务规则，建立、健全本行的风险管理和内部控制制度”；而2004年2月起实施的《银行业监督管理法》第二十一条明确了银行业金融机构的审慎经营规则包含了内部控制的内容，而对商业银行实施审慎监管则正是银监会的核心工作。

在2003年之前承担商业银行监管职能的中国人民银行先后于1997年和2002年分别颁布了《加强金融机构内部控制的指导原则》和《商业银行内部控制指引》，由此确立了中国商业银行内控监管的基本法律框架。而在中国银行业监督管理委员会的主导下，《商业银行内部控制指引》于2007年和2014年各经历了一次修订。

在商业银行内部控制的有效建立和实施这一问题上，理论上存在两种推进的模式：一种是强化监管者的监管权力，通过监管机构的“行政约束”来督促作为被监管者的商业银行遵循既有的关于内控制度的监管法律规则；另一种则是通过实施有效的内部控制信息披露机制来强化“市场约束”，激励商业银行的管理者提升内控水平和效率。在既往中国的商业银行内控机制发展过程中，我们可以观察到上述两种模式的同时存在，而本文的目的就在于展示、分析、评价并比较这两种模式的实际运行状况，并揭示各自发挥作用的先决条件。

可以这么说，内控机制对于所有企业来说几乎都是必要的，但各个国家的法律鲜有对一般性企业的内控机制设计、运行与评价进行直接规制的做法，而是通过有效的公司法律制度保障来促成良好治理机制之下的企业治理参与者的自觉行动。

但是，对于高财务杠杆比率的商业银行来说，这就不同了。各国银行监管机构以及国际组织都将监督商业银行内控机制的建设与完善作为监管当局的分内职责，而这是由商业银行区别于一般性企业的特殊属性所决定的。商业银行的特殊性使得单个银行若发生内控机制严重“失灵”而造成风险集中爆发的话，则它导致的后果并不像普通企业那般，由企业的股东、管理人员和债权人承担，而是由整个社会“埋单”。正是基于这样的逻辑，行政性监管部门对于商业银行内控机制的介入似乎就有了正当的依据了。

例如，对于美国货币监理署而言，评价银行的内部控制被视为其总体监管程序中的基础性环节，并且在每个监管周期内，货币监理署的检查人员会对一家银行的内部控制的适当性进行具体评价，并给出“强健”（strong）、“满意”(satisfactory)或者“薄弱”（weak）的结论^①。

①See Internal Control: Comptroller’s Handbook,January 2001,available at http://www.occ.gov/publications/publications-by-type/comptrollers-handbook/intcntrl.pdf,last visited at July 7^th,2015.

1998年巴塞尔委员会《银行组织内部控制系统框架》除了直接列明商业银行所需要遵循的内控原则和具体要求之外，还特别针对各国的监管者，列出了第十三项原则——“监管当局对内部控制制度的评价”^②。此外，巴塞尔委员会在2012年9月修订后的《有效银行监管核心原则》中的“原则26：内部控制与审计”直接阐明了各国行政监管当局对于商业银行内部控制的责任^③。

②See Basle Committee on Banking Supervision: Framework for Internal Control Systems in Banking Organisations,September 1998,Principle 13,available at http://www.bis.org/publ/bcbs40.pdf,last visited at July 7^th,2015.

③See Basel Committee on Banking Supervision: Core Principles for Effective Banking Supervision,September 2012,available at http://www.bis.org/publ/bcbs230.pdf,last visited at July 7^th,2015.

在中国，银行业监管机构主导了关于商业银行内部控制监管法律规则的演变。最初的一份法律文件是中国人民银行于1997年5月颁布的《加强金融机构内部控制的指导原则》（下文简称《指导原则》）。值得注意的是，该《指导原则》将包括商业银行在内的金融机构内部控制视为一种“自律行为”。不过，此后取代了该《指导原则》的银监会于2002年和2007年先后颁布的两个版本的《商业银行内部控制指引》不再保留这一提法，而是将商业银行内部控制定义为“商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制”。2014年9月，银监会发布了第二次修订之后的《商业银行内部控制指引》，将商业银行内部控制的定义更新为“商业银行董事会、监事会、高级管理层和全体员工参与的，通过制定和实施系统化的制度、流程和方法，实现控制目标的动态过程和机制”，这一表述强调了“全员参与”的内控政策，与被国际社会广泛接受的COSO内控报告所给出的定义高度相似。

上述关于商业银行内部控制监管的法律文件中无一例外地都包括了对银行业监督管理部门的授权，赋予其一定的执法权限，以监督商业银行内控机制的监督和运行。

1997年由中国人民银行颁布的《加强金融机构内部控制的指导原则》，赋予中央银行的监管权限为：“在对金融机构实施业务稽核的同时，要对金融机构内部控制状况做出评价”；“可以委托外部审计部门对金融机构的内部控制状况做出评价”；“对内部控制存在问题的金融机构，中央银行可以提出整改建议，情节严重的给予处罚”以及“对因内部控制制度长期不健全或执行监督不力造成重大资产损失，或导致发生重大金融犯罪案件的负有个人责任或直接领导责任的金融机构高级管理人员，中央银行可以依据有关规定，根据情节轻重及后果，取消一定期限内甚至终身的任职资格”。但严格地说，中国人民银行的这份《指导原则》并非法律渊源意义上的部门规章，依照《行政处罚法》，它是无权设定行政处罚的。

中国人民银行于2002年颁布的《商业银行内部控制指引》规定了“中国人民银行依据本指引对商业银行作出的内部控制评价结果是商业银行风险评估的重要内容，也是中国人民银行进行市场准入管理的重要依据”，且2007年经过银监会修订之后的《指引》仍然保留了上述条款。表面上看，这样的一种表述并非强有力的监管措施或者行政处罚，但是在处于转型期的中国银行业市场上，由于大量市场管制的存在，因此监管当局在市场准入环节的权力行使对被监管者的经营自由及其相应的经营利益的获取起到了至关重要的作用，其重要性丝毫不亚于甚至要超过对商业银行的审慎经营监管。

2003年出台的《银行业监督管理法》第四十五条将“严重违反审慎经营规则”设定为银监会行使行政处罚权的情形之一。基于这一法律授权，银监会在对商业银行内部控制实施监管的过程中，其可采取的处罚措施包括“责令改正，并处二十万元以上五十万元以下罚款”，对于情节特别严重或者逾期不改正的，银监会“可以责令停业整顿或者吊销其经营许可证”。

在2014年9月，银监会发布了最新修订的《商业银行内部控制指引》。较之前版本《指引》的规定，新《指引》的一项明显变化就是“增加监管处罚措施，强化监管约束^①”，具体包括授权银监会通过非现场监管和现场检查等方式实施对商业银行内部控制的持续监管，要求“银监会及其派出机构对内部控制存在缺陷的商业银行，应当通过下发监管意见函等形式，责成商业银行限期整改”，而对于商业银行违反《指引》有关规定的情形，银监会及其派出机构“可根据《中华人民共和国银行业监督管理法》采取监管措施或行政处罚”。

①参见《中国银监会就〈商业银行内部控制指引（修订征求意见稿）〉公开征求意见》，http://www.cbrc.gov.cn/chinese/home/docView/CFC7059A6D784DF3A5A5DF15A7BCE55A.html，最后访问日期2015年10月2日。

由此可见，中国银行业监管者对于商业银行内部控制监管工作的重视程度呈现不断强化的趋势，而具体表现为其自身监管措施实施权力和行政处罚权力的不断扩张和法律基础的不断强化。可以说，在今天，内部控制已经绝对不是中国人民银行在1997年所界定的那种“自律行为”了，而是受到监管当局“有形之手”严格约束的商业银行核心运作机制。

既然商业银行的内部控制机制很重要，那么人们的一个直觉性判断就是，应当赋予行政性监管机构更多的监管权限，并依赖其监管行为来实现“社会公共利益”。然而，这样的逻辑未免失之简单。事实上，在经济学家看来，这样一种指望依靠行政监管当局的监管活动就可以确保商业银行内控机制有效运行的思路其实是预设了以下三个理论前提：其一，存在着市场失灵；其二，监管部门的官员有能力通过直接监督、规制和约束银行来缓解市场失灵；其三，监管部门的官员有内在的激励去修正市场失灵^①。然而，上述理论假设在现实中往往是不成立的，至少是不完全成立的。较之商业银行的内部管理人、股东和其他利益相关者，外部监管者掌握的信息未必更加全面；监管机构的官员在行使监管权力时无法做到“大公无私”，其行为的内在激励也不会超过商业银行的股东和债权人。

①George Stigler,The Theory of Economic Regulation,Bell Journal of Economics and Management Science,No.2,1971.

由此，一个初步的判断是，行政性监管权力的强化并不能百分之百地保证商业银行内部控制法律机制的有效改进，另外一种选择就是通过有效的市场约束机制来促使商业银行的利益相关者（现实或者潜在的投资者、债权人）对商业银行的实际控制者和内部管理人员施加持续的外部压力，促使后者在日常经营过程中确保商业银行内控机制的有效运行。而要打通这样一条“健全市场”的路径，法律制度上的一项基础性要求就是商业银行应当披露相关重要内控信息。

事实上，巴塞尔委员会历来重视银行信息披露和透明度要求在监管工作中的重要性^②，而其在2004年6月正式发布的“新资本协议”（即“巴塞尔协议Ⅱ”）将市场约束（market discipline）与最低资本金要求（minimum capital requirements）和监管当局的监督检查（supervisory review process）并列为银行监管的三大支柱，并且强调，通过强化信息披露可以达到强化市场约束的目的^③。

②See Basel Committee on Banking Supervision,Enhancing Bank Transparency: public disclosure and supervisory information that promote safety and soundness in banking systems,September 1998,available at http://www.bis.org/publ/bcbs41.pdf,last visited at July 7^th,2015.

③Basel Committee on Banking Supervision: International Convergence of Capital Measurement and Capital Standards: A Revised Framework,June 2004,available at http://www.bis.org/publ/bcbs107.pdf,last visited at July 7^th,2015.

而2012年最新版本的巴塞尔委员会《有效银行监管原则》的“原则28”列出了商业银行的信息披露和透明度方面的要求，其中就包括了披露内控信息的内容^④。

④See Basel Committee on Banking Supervision: Core Principles for Effective Banking Supervision,September 2012,available at http://www.bis.org/publ/bcbs230.pdf,last visited at July 7^th,2015.

此外，国外近年来关于上市公司（不限于上市银行）的内控信息披露法律制度的诸多实践可以给我们提供在先的经验。而学者所进行的相关实证研究也表明，企业内部控制信息的披露可以改进企业的内控机制^⑤。

⑤Heather Hermanson,An Analysis of the Demand for Reporting on Internal Control,Accounting Horizons,September 2000,pp. 325-341.

在安然、世通等公司系列丑闻曝光之后，美国2002年7月通过的萨班斯—奥克斯利法案在其第404条“内部控制的管理层评估”^⑥中规定了，所有在美国上市的公司都应当在其年度报告中披露对内部控制机制有效性进行评估的内容，且公司管理层要进行签字确认，并承担民事和刑事责任，法案同时要求外部审计师对此发表意见。

⑥15 USC 7262.

而在日本，经历了嘉娜宝、活力门、村上基金等丑闻事件之后，国会于2006年通过的《金融商品交易法》也仿照美国SOX法案，规定所有的上市公司以及部门规章要求的公司应当披露管理层对内部控制的评估情况以及外部审计师的报告^⑦（因此被称为J-SOX）。为细化《金融商品交易法》的规定，日本金融厅商业会计理事会下属的内部控制委员会于2007年2月颁布了《财务报告内部控制管理层评估与审计的准则实施指引》。

⑦See Article 24-4-4 (System for Ensuring Appropriateness of Statements on Finance and Accounting and Other Information).

我国的银行业监管基本上以监管当局的外部行政性监管为主，市场约束机制尚未全面建立。正如之前所述，加强市场约束机制的核心和前提在于有效的信息公开披露制度。对于商业银行来说，只有准确披露其关于内部控制的重要信息，投资人、债权人等市场参与者才能对银行的内控状况作出评估和判断，从而给银行经营者造成有效的外部约束。

目前，我国已有关于各类上市公司内控信息披露的制度安排。2006年6月和9月，上海证券交易所和深圳证券交易所分别发布了《上市公司内部控制指引》，要求董事会对上市公司内部控制的建立和实施状况进行评价，并披露内部控制自我评估报告以及注册会计师对内部控制自我评估报告的核实评价意见^①。此后，在2008年6月28日，财政部、证监会、审计署、银监会、保监会联合颁布了被称为“中国萨班斯法案（C-SOX）”的《企业内部控制基本规范》，《基本规范》要求上市公司应当对公司内部控制的有效性进行自我评价并披露年度自我评价报告，该《基本规范》原定于2009年7月1日起施行，后推迟至2010年1月1日^②。

①参见《上海证券交易所上市公司内部控制指引》，http://www.sse.com.cn/lawandrules/sserules/listing/stock/c/c_20120918_49646.shtml；《深圳证券交易所上市公司内部控制指引》，http://www.szse.cn/main/disclosure/bsgg/200609289323.shtml，最后访问日期：2015年10月5日。

②参见《〈内控规范〉再次推迟实施》，载《中国企业报》，2009年7月14日。

具体就我国商业银行的内控信息披露法律制度而言，我国目前主要存在两套并行规则：一套规则适用于所有商业银行的信息披露要求，但其中关于内控信息的披露规则过于抽象^③；另外一套规则专门适用于上市商业银行，证监会对此给出了相对明确和详细的要求，包括《公开发行证券公司信息披露编报规则第7号——商业银行年度报告内容与格式特别规定》（2000年12月）、《公开发行证券的公司信息披露编报规则第18号——商业银行信息披露特别规定》（2003年3月）以及《公开发行证券的公司信息披露编报规则第26号——商业银行信息披露特别规定》（2014年1月）。

③参见中国人民银行令〔2002〕第6号《商业银行信息披露暂行办法》以及中国银行业监督管理委员会令2007年第7号修订之后的《商业银行信息披露暂行办法》。

目前，我国共有16家上市商业银行^④。根据上述证监会的信息披露要求，这些上市商业银行比普通的上市公司负担了更多的披露义务，其中就包括了内部控制信息的公开披露。基于上海证券交易所和深圳证券交易所发布的上市公司年度报告，本文对这16家上市银行2013年年报所披露的内部控制信息进行了分析。

④这16家上市商业银行分别是浦东发展银行、中国农业银行、中国银行、中国工商银行、中信银行、民生银行、交通银行、光大银行、中国建设银行、招商银行、兴业银行、华夏银行、北京银行、南京银行、平安银行以及宁波银行。

在16家上市商业银行中，大多数银行的公司年报中单列了“内部控制”专门章节，仅有中国银行、交通银行和中国建设银行未辟专门章节对其内控信息进行披露，而是将相关信息分散于“公司治理”、“风险管理”、“董事会报告”、“监事会报告”等相关章节进行披露。

16家商业银行都专门披露了《内部控制评价报告》。根据该份报告，有6家银行（浦东发展银行、中国银行、中信银行、光大银行、中国建设银行、华夏银行）在其披露的文件中没有援引银监会颁布的《商业银行内部控制指引》，而只是和其他非银行类上市公司一样，仅仅依据财政部的《企业内部控制基本规范》来对自身的内控状况进行了评价。

具体来看这些银行《内部控制评价报告》的内容，可以发现仅有7家银行（民生银行、兴业银行、北京银行、南京银行、兴业银行、华夏银行、宁波银行）的《报告》对内部控制的五项基本构成要素分别进行了或详或略的分析，多数银行只是给出了一个总体性的结论。

所有上市银行都披露其在报告期内不存在内部控制的重大缺陷和重要缺陷。至于一般性缺陷，除了平安银行之外，其余15家银行无一披露任何关于其内部控制的具体薄弱点。平安银行在其《内部控制自我评价报告》中说明了其发现的33项一般性内控缺陷的具体构成以及产生的原因；而其他15家银行只是用抽象的言语表达了对于一般性内控缺陷已经采取了改进措施。

只有2家上市银行（平安银行、宁波银行）披露了具体的内部控制改进措施，例如宁波银行在其年报中披露了“建立健全内部控制体系的工作计划”，而平安银行《内部控制自我评价报告》的最后一部分即是“对内控缺陷及主要风险拟采取的整改措施和风险应对方案”。除此以外，绝大多数银行只是原则性披露了其在内控方面已经采取的相关措施。

所有16家商业银行披露的内控审计报告均是基于适用于一般性上市公司的《企业内部控制审计指引》而作出的，没有一份审计报告援引了《商业银行内部控制指引》，内控审计报告的格式与核心内容也与非银行类上市公司几无区别。

总体上，目前我国商业银行关于内部控制信息的披露还是相当粗略的，大多泛泛而谈，各家银行在披露内控信息时采用的语言表述高度雷同，形式多于实质，且“表功”的内容占了不小的篇幅，具有明显的“报喜不报忧”的倾向，严重缺乏细致的专业化分析。这样的一种信息披露对于投资者等商业银行的利益相关人来说其实参考价值并不大，对于有效的外部市场约束机制形成的助力有限。

尤其是，从目前我国商业银行关于内控信息披露的实践来看，上市银行及独立审计机构所遵循的法律规则大体上简单地等同于普通上市公司，而忽略了商业银行在内控问题上的特殊之处。较之于一般企业，商业银行内部控制中的潜在实质性漏洞会更多，这是因为：银行针对不同服务对象所提供的金融产品，会有不同的合约设计；现代银行组织日趋庞大，总分支机构之间的委托代理链条过长；银行对人力资本的专用性要求很高；技术进步和网络经济的发展使得银行高度依赖于信息技术。上述这些因素导致在商业银行内部可能形成更多的内控漏洞^①。但是，很遗憾的是，我们看到目前16家上市商业银行在披露其内控信息时，多数并未基于《商业银行内部控制指引》作出自我评估；仅有1家商业银行披露了具体的内控薄弱点；仅有2家商业银行披露了其未来改进内控机制的方案；而所有的外部审计机构在进行内控审计时都只遵循了一般性企业的内控审计要求。

①参见翟旭：《中国上市银行内部控制实质性漏洞信息披露机制研究：基于公司治理及银行监管视角》，西南财经大学出版社2013年版，第72页。

但不可否认的是，我国商业银行内控信息披露的法律规则还是一直处于不断完善和改进的状态之中的。最典型的例子就是，2004年银监会颁布的《商业银行内部控制评价试行办法》（现已废止）虽然一方面授权监管机构对商业银行的内控状况进行评价，但同时明令“未经批准或许可，任何单位和个人不得对外公布对被评价机构的内部控制体系等级评定结果。凡擅自公布等级评定结果，应追究有关人员的责任”（第六十六条），换句话说，这是一种禁止披露信息的监管规则（也许是当时出于“遮丑”的考量）；与之相比，现在的内控信息披露法律规则虽仍有诸多不完善之处，但至少已经走在了正确的道路上。

实际上，随着外部市场环境的变化，银行业监管者势必会逐步淡化“管理者”的身份，而强化“监督者”的角色。在这样一种背景下，通过健全外部市场约束机制，监管者职能行使的效果也会同时得到提升。例如，2002年中国银行纽约分行贷款诈骗案件中，中美两国的银行监管者采取了联合行动，除了美国货币监理署对中国银行纽约分行的“不当行为”（misconduct）施以1 000万美元的处罚并公之于众外，中国当时的银行监管机构即中国人民银行，也紧接着对中国银行总行课以同等金额的处罚，并且同样对外界公开了该项处罚^①。这也是屈指可数的中国银行业监管当局对商业银行的内部控制问题以公开的方式进行处罚的案例^②。至少目前来看，以公开的方式对当初闹得沸沸扬扬的中行纽约分行“丑闻”案件进行处理并没有影响到之后中国银行全球业务的拓展^③。

①See OCC and People’s Bank of China Assess Money Penalties Against Bank of China,available at http://www.pbc.gov.cn/publish/english/955/1962/19623/19623_.html,last visited at July 7^th,2015.

②有意思的是，在中国人民银行的官方网站上，此项处罚措施是一则英文信息公告披露的，而未见任何中文的载体。

③中国银行已经连续四年被金融稳定理事会（Financial Stability Board）列为全球系统重要性的金融机构（global systemically important financial institution），see 2014 Update of List of Global Systemically Important Banks (G-SIBs),available at http://www.financialstabilityboard.org/2014/11/2014-update-of-list-of-global-systemically-important-banks/,last visited at July 7^th,2015.

本文所讨论的关于完善我国商业银行内控法律制度的路径选择恰好暗合了银行监管的两种理论取向，即“公共利益”理论和“私人利益”理论。商业银行监管的“公共利益”理论强调的是市场失灵（即信息成本以及合约执行成本的存在）会削弱私人部门有效监督银行的外部激励和自身能力。既然存在着严重的市场失灵情形，那么由一个拥有广泛权力的监管机构来直接监督和约束银行就可以提升银行的经营效率。

而商业银行监管的“私人利益”理论则会质疑，为什么监管部门的官员就会有内在的动力和能力去修正市场失灵，实现银行经营的稳健性和有效性？尽管市场失灵的存在会阻碍私人监督的实现，但是政府失灵也可能十分严重。按照这一理论，最有实效的银行监管模式依赖于通过政府的规章制度来授权私人部门对银行进行监督，特别是建立起有效的信息披露规则和健全的合同执行制度，从而使得私人投资者可以通过适当的公司治理机制来保证银行的经营效率和信贷投放的稳健性。这并不是一种自由放任的路径，它强调的是通过强有力的法律和监督来降低信息成本以及合约执行成本^①。

①James Barth,Gerard Caprio & Ross Levine,The Microeconomic Effects of Different Approaches to Bank Supervision,in Stephen Haber,Douglass North & Barry Weingast (ed.),Political Institutions and Financial Development,Stanford University Press,2008.

基于上述分析，如果只是“一条腿走路”，片面强调“加强监管”，那么我国商业银行内控法律机制的改进很有可能事倍功半；而若能充分调动外部市场力量，通过建构有效的内控信息披露法律规则，借用市场约束机制来监督银行内控的改善，则有望达致事半功倍之效。具体来说，现有的关于商业银行内控信息披露的规则要求应当进一步细化：披露内容的覆盖面和充分性要大大加强；外部审计应当考虑商业银行的业务特性；并且，披露义务可不再局限于上市银行，而是令其适用于所有在中国境内注册的商业银行。简而言之，监管者所强调的“管内控”不应当只是被狭义地理解为“加强监管”，同时也应当增加“健全市场”的含义。

当然，要走通“健全市场”这一条路径，光有纸面上的法律文本还是不够的。说到底，内控信息的公开披露只是形成市场约束机制的一个基础，但不是全部。对于我国的商业银行来说，公司治理机制的进一步完善仍是未来内控机制健全的根本保证，因为你无法指望一个对银行长期盈利状况漠不关心的高管人员会对内控文化有任何的兴趣。同时，市场竞争环境的优化也是单个银行健全内控机制的外部动力所在，因为你无法指望一家没有多大外部竞争压力，“朝南坐”的银行会有主动改进内控机制的愿望。

事实上，今年来我国银行业的市场竞争环境已经得到了不小的提升。中国银行业体制改革的一大特征就是通过体制外多元化银行金融中介机构的建立来推进的增量为主的渐进性改革，股份制商业银行以及城市商业银行通过与国有银行的竞争来为后者提供示范作用，并促使后者改进治理机制^①。不过，银行业准入门槛的降低仍然与公众的期待有较大差距，商业银行牌照的稀缺性仍然毋庸置疑。可以这么说，银行牌照越贵，改进银行内控机制的监管成本会越高。

①参见李志辉：《中国银行业的发展与变迁》，格致出版社、上海人民出版社2008年版，第79-84页。

此外，银行业市场竞争环境的优化还有赖于市场管制者褪去“隐性担保人”的身份。在我国，由于缺乏法律制度的有效支持，至今没有完整地建立起一套与市场化金融运作体系所契合的、建立在规则基础之上的显性风险补偿和保障机制，并且在现实中行政权力的深度介入引发了大量的道德风险问题^②。不过，一个乐观的趋势是，我国商业银行存款保险法律制度已经出台，这意味着以往来自监管者和政府部门的隐性担保将趋于消失，商业银行之间的竞争将日益激烈，这毫无疑问是激励银行主动改进内控、主动披露内控信息的积极因素。

②参见黄韬、陈儒丹：《金融市场风险补偿和保障机制建设的法律思考》，载《当代法学》2014年第4期。