企業內部控制與法律風險管理融合要素分析

黃勝忠 龔婷婷

企業內部控制與法律風險管理融合要素分析

黃勝忠 龔婷婷

企業如何在激烈的市場競爭中建立并維持自身優勢，一直是理論界高度關注的話題。為適應動態變化的市場環境，將內部控制與法律風險管理進行融合具有重要意義。本文在分析二者內涵基礎上，論證了二者融合的必要性以實現管理協同。由此，提出內部控制活動與法律風險管理融合的五要素，即控制環境、風險評估、控制活動、信息與溝通、內部監督，既豐富了二者融合的理論研究，也為企業內部實現整體法律風險管理提供參考。

內部控制 法律風險管理 融合要素分析

從國內三鹿奶粉三聚氰胺事件的發生，致使有著五十多年歷史的大型企業訇然倒閉；到上海福禧投資公司通過一系列違法運作創造了財富增值傳奇，但又頃刻間在商業市場銷聲匿跡；再到新華集團輕信GE承諾被并購，以致退出了相關市場的發電業務。這些不斷涌現的法律風險管理失敗案件表明，組織必須從內部實施一系列控制程序，以確保生產經營活動不違背市場定價、財政稅收、生態環境以及國際貿易等方面的法律規制，避免由此給利益相關者帶來不必要的價值損失。我國上市公司法律風險頻發的現狀，是當前實施內部控制工作和法律風險管理存在分離運行、分離管理、分離監督、分離評價等問題帶來的結果，缺少對于二者關系的正確認識是導致目前法律風險成本較高的重要原因。如何使二者的決策機制具有全局意識，將法律風險應對拓展到事前防范、事中控制以及事后監督三個維度。這為企業正確認識法律風險、分析診斷自身內部控制問題，并尋求積極改善、增強企業核心競爭力提供新的思路和探索。

一、融合必要性

內部控制作為一個持續發揮作用的過程，通過公司章程以及各個代理層級對內部員工形成管理約束，能夠提高實現經營目標的效率。而法律風險管理涉及相關的法律法規領域，其作用的有效發揮是企業賴以生存的前提。二者的職能特點以及在企業管理實踐中所發揮的作用，允許二者融合運行以創建良好的內部環境。

(一)內部控制理論

內部控制是內部管理活動應有的題中之義。其良好的組織規劃和貫徹落實有利于企業合法經營、運作有序（劉宵侖，2010），保證企業遵循了適用的法律法規（楊道廣、陳漢文，2015），從而抑制特定風險的發生（方紅星、陳作華，2015）。內部控制的運行機理主要是風險的產生和演變，且相關風險程度越高，內部控制就顯得尤其重要（戴文濤、納鵬杰、馬超，2014）。這就使得企業所采取的一系列風險控制活動，不但要合理保證作為控制結果的財務報告的真實公允，還要確保形成財務報告結果的過程真實可靠（雷英、吳建友、孫紅，2013）。COSO于2004年對《內部控制——統一框架》進行完善，提出了《企業風險管理——整合框架》。其內容更為詳實，將內部控制體系從原來的五要素擴充為八要素，著力于通過要素點的控制活動降低企業整體風險，但其核心內容并沒有改變。相應地，我國財政部等五部委于2008年、2010年相繼發布了《企業內部控制基本規范》和《企業內部控制配套指引》。從內部控制發展歷程來看，雖然其經歷了從內部牽制到企業風險管理整合的理念升級，但通過一系列識別、評估、應對等管理活動來降低企業風險這一使命一以貫之。而法律風險的管理作為企業存續的基本前提，內部控制的發展本身就與遵守合規性目標相輔相成。

（二）法律風險管理內涵

企業法律風險包括違反法律規定或宏觀經濟政策，與其他經濟組織和社會團體交往過程中侵犯他方合法權益，以及在內部管理活動中的違法違規行為，其結果是承擔相應的民事、行政、刑事責任（黃正，2007）。企業內部的法律風險往往是其他各類風險的集中表現，表明其時公司治理水平、管理活動、財務狀況等存在缺陷，增加了企業最終經營失敗的可能（秦秉蔚，2014）。其中，法律訴訟手段也經常是解決其他各類風險的最終途徑（盧玥，2017）。例如，企業流動資金短缺按理來說屬于財務風險，但如果由此導致在市場交易活動中相應的貨款不能及時給付而造成合同違約，則上升到法律風險。為了減少法律風險帶來的巨大損失，企業在風險管理活動中會傾向加強自身內部控制。這時的內部控制就脫離不了法學的內涵，需要與擁有法學專業背景的人員通力合作。隨著2014年底中央企業法制工作第三個三年目標的順利推進，我國企業的法律風險防范水平也進入到一個全新的發展階段。其間，內部控制作為企業管理的重要職能活動起到了關鍵性作用。其有效性的發揮能夠克服固有風險，從而及時預防、發現、更正企業違法違規行為，總體降低法律風險水平。

（三）二者融合必要性

內部控制與風險管理的實質都是為了及時評估、控制、防范企業風險，以合理保證經營目標的實現。同時，二者在發展趨勢上也正逐步融合。李維安、戴文濤（2013）認為，企業內外部存在的風險使內部控制和風險管理活動應運而生，二者只是不同語義的替代表達，實則沒有本質的區別，共同作用于促進企業的正常運營。劉宵侖（2010）提出的以“風險控制”概念取代原有的“內部控制”也有著相同的理論內涵。同時，毛新述等（2013）以2008—2010年的滬市上市公司樣本進行實證研究，發現內部控制越有效，公司被卷入訴訟案件的次數和在面臨賠償時的金額越低，總體而言降低了企業的法律風險水平。因此，在筆者看來，內部控制與風險管理別無二致。法律風險管理作為風險管理活動的重要命題，它從屬于風險管理，所以也相應地從屬于內部控制。而從實質上看，內部控制有著控制環境、風險評估、控制活動、信息與溝通、內部監督五方面的內涵。由此將內部控制要素分解滲透到企業法律風險的管理實踐中就有了堅實的理論基礎。再者，內部控制作為日常管理機制，可以貫穿于整個法律風險管理的過程之中。二者通過構成要素間多維度的交叉，憑借統一管理思路能有效降低企業控制成本，形成對內部經營管理行為的循環監督，提升組織管理價值。

二、融合五要素

基于上述分析，內部控制與法律風險管理的融合應以優化內部控制環境為主線，并將內部控制要素貫穿法律風險管理的全過程。法律風險管理從內部控制體系五要素出發，借鑒其管理理念和控制思路可以使二者在內部活動中達到真正的融合。因此，本文的內部控制與法律風險管理融合要素有以下五方面的內涵。

（一）維護控制環境，提升合同管理效能

控制環境包括治理職能、管理職能以及治理層和管理層對組織內部控制及其重要性水平的認知、態度和措施，強調治理層和管理層的誠信與經營理念。中國500強企業的控制環境，公司治理與合同管理是最主要的法律風險點，也形成了二者融合需努力的方向。

1.改善公司治理水平

良好的公司治理環境需要從企業戰略出發，加強企業文化建設，增強員工對企業愿景、使命的價值認同并在管理過程中提高人員素質，形成良好的內部控制氛圍。從制度設計、程序實施及監控方面來優化治理結構，通過有效的權責分配體系達到權力制衡的目的。

首先，應基于委托代理理論設計出更加合理的激勵機制和最優契約。形成良好的權限及職責分配，以防范管理層可能出現的道德風險和逆向選擇行為，減少董事會成員、高層管理者權利失衡及權力濫用的法律風險。

再者，自愿性披露可以作為防范企業法律風險的有效機制，達到防止管理層人員基于內部信息優勢攫取股東利益的目的，從而可以將企業內部管理優勢通過信號傳遞，作用于投資者的決策過程。

最后，董事會、監事會應與高層管理人員及時溝通。保證企業的機構設置和各項活動的責任授權符合預期并遵循了現有法律法規，合理規避負面清單。

2.提升合同管理效能

其中的關鍵點是改革應收賬款管理制度安排，合力形成一套完整的信用風險管理體系。（1）這需要財務、風控、法務等信用管理職能部門持續評估并掌握客戶即時資信狀況，對雙方進行交易決策的合理性和風險程度形成科學、定量化的審核，同時對應收賬款各個環節實施嚴密的監控并實現有效催收。（2）從合同訂立到雙方履行義務的這一動態管理過程中，不僅包括了人員的事前談判、合同主體簽約、以及合同履行過程中的擔保，還包括相應的授權審批、履行和結算方式。每一個環節都應遵循相關規章制度，并將定期考核和隨時抽查相結合，做到及早發現違約行為、及時糾偏。（3）此外，還應不斷加強企業管理部門間的信息共享和協調合作，完成對內部財務部門、業務部門、以及合同管理部門等子部門控制活動的查缺補漏，同時關注經營管理人員的權責匹配。

（二）利用法律風險評估，加強內部活動管理

1.注重法律風險評估程序

風險評估是在企業發展過程中對其所面臨的威脅、存在的控制薄弱環節、會帶來的損失，或三者綜合作用之上發生風險及其可能性的評估。一般而言，如果一個項目具有較高的重要性水平，那么強化事前的風險評估流程就越有必要。法律風險評估是其中最基礎、最不容忽視的重要環節。過程中可以運用多種方法，如詢問直接參與生成、處理或記錄數據或復雜交易的員工和管理層，通過實施穿行測試追蹤交易的處理過程，來收集、分析和更新信息。對于重要性水平較高的風險項目，還應事先評估各個關鍵程序和風險點，判斷其法律風險水平，做到對重要崗位、重要人員的管控具有針對性。此項評估活動的缺失，會增加對后續工作環節出現的交易舞弊、職務侵占等行為進行查處的內部交易費用。

2.減少內部員工法律風險

企業最大的法律風險往往來自于企業內部。員工、管理層如果沒有完備的法律知識或缺乏相應的法律意識，為了業績指標弄虛作假、不按章辦事，都會給企業帶來人員管理方面的法律風險。企業特定的交易類型、交易金額以及重要性水平，在一定時期內具有穩定性和連續性特點。當相關事項存在異常變動，往往可以根據交易的性質、支付方式、發生時間以及金額大小來評估交易的合理性，判斷特定交易存在的法律風險水平。職務設置上，職責分離和內部牽制是必要前提，以防范同一員工由于履行多項職責而出現的舞弊、操作錯誤以及權力濫用行為。交易與活動的授權控制能夠保證交易不偏離管理者的預期軌道，從而達到防范法律風險的目的。過程中的信息處理和實物控制也同樣至關重要，它直接影響到信息處理環境下交易活動的授權、完整性和準確性。最后，在交易事項基礎之上的業績評價則有助于財務數據和經營數據的分析，從而為管理者提供相關的法律風險決策信息。

（三）完善控制活動，注重企業文化

1.識別和控制內部活動

企業之間、企業與個人之間以及企業內部，都應有適當的內部政策來進行規范和調整。所進行的交易，應以交易中市場參與者能接受的公平合理的對價為基礎確定。相應的內部控制活動可以通過改善投、融資決策的質量控制來降低法律風險水平，防止管理層不正當的關聯交易以及基于內部信息優勢侵害股東利益。因此，關鍵部門、關鍵崗位人員手中所掌握的稀缺資源，應有明確的職責并存在恰當的監督。避免管理層凌駕于控制之上采取不當的盈余管理行為，從而減少各層級的違規活動，提高資源整合效率。在內部控制活動中，管理人員和組織管理部門可以運用多種管理手段和方法來形成有效的控制，并推動法律風險管理活動的切實執行以及動態調整。同時，應知曉并利用好相關的合同權利，如有確鑿證據支撐，可行使相應的不安抗辯權、先履行抗辯權以及同時履行抗辯權，并在一定的訴訟時效或除斥期間內有效行使追訴權、訴訟權等。這對他方的信用缺失可以起到很好的威懾作用，也能更好地維護自身合法利益。

2.形成獨特的企業文化

企業的控制活動再嚴密，只靠剛性的系統和監督程序無法從根本上杜絕所有員工的違規行為，還需通過企業軟文化的滲透提高法律意識。在企業內部加大組織重視法律風險管理的宣傳力度、定時進行員工培訓和考核，將這種意識內隱于員工的心理，形成對企業文化和組織管理風格的高度認同，才能從根本上防范與之相關的法律風險。高層管理人員應努力強化這種價值認同，并在過程中疏導與員工的關系，提升其整體薪酬與福利，吸引、留住有能力和有成長潛質的人才，形成和維護強有力的企業文化。總的來說，以經驗管理為主的人治和以制度管理為主的法治，必然要走向以文化管理為主的無為而治。

（四）保持信息暢通，利用層級差異

1.提高內外部信息的利用能力

企業內外部游離著大量的信息，包括各種財務和非財務信息，其對管理人員的經營決策有著重要的影響。這些信息存在于各個管理層級，并貫穿于日常管理人員的溝通活動中。與股東、客戶、供應商和監管者的適當接觸，能夠把握企業當前所面臨的挑戰及允許其加以利用的機遇等關鍵信息。同時，對企業在市場中的競爭地位保持清晰的認知，也有助于企業規避生產、運營方面的法律風險。將這些內外部積存的大量信息加以利用，能夠為各個管理層級服務。相應的信息系統更新也可以幫助企業掌握法律風險的現狀，并在一定程度上預測其未來的動態演變趨勢，進而在控制活動中優化企業資源配置。同時給企業內部審計部門、風控部門以及法務部門提供企業成長路徑并依據資源稟賦進行結構調整的借鑒，形成良好的信息上下自循環。有時，相關的法律風險是來自內部還是外部并不容易區分。因此，高管在日常管理活動中，應獲悉下級經營管理人員對于內部控制活動持續發揮功能的各種信息，才能在業務報告、財務報告與原有的合理預期存在較大差異時，保有適當的職業判斷并進行跟蹤調查。

2.存在管理層級要素差異

在實際執行中，內部控制活動是作為一個管理體系在運行的，其有效性的發揮依附于所有層級要素運行的效率和效果。這種高低層級之間的信息流動具有雙向互動的關系。高層級控制信息能夠通過職權和組織權威的運用作用于低層級控制，低層級控制信息也能夠通過自下而上的溝通反饋反作用于高層級控制。同時，相應的內控層級中充斥著不同程度的法律風險，按照其在公司戰略位置中的重要程度，用內部控制活動去改進企業的運作執行與實施監督環節，能夠提高內部控制活動的針對性并改善控制質量。隨著企業自身經營范圍的調整以及外部政策環境的變化，企業法律風險的特點、性質、表現形式和影響力也在不斷變化，這就決定了法律風險管理活動也必須及時更新、動態調整。

（五）形成過程監督，拓展二者職能

企業法律風險的產生絕大部分源于不當的尋租。這就需要企業在日常活動中嚴格執行現有規定，同時加強對可能存在的違規行為的監督。通過一系列持續的監督活動、系統單獨的評價活動以及二者的結合，能夠實現對內部各層級人員的監控。內部控制的有效實施離不開嚴密的內部監督環節，其為組織的良好運行提供合理保障，一定程度上能夠防范和化解由固有的內部控制缺陷所引起的法律訴訟。這種過程監督表現在以下幾個方面：

1.建立完善的內部控制報告制度

企業應設置專門的法律風險管理部門對企業內外部法律風險進行風險識別、評估和應對及完成報告，從而建立健全風險識別和預警機制。不同的法律風險具有不同的特點，還應強調優化相應內控層級的風險管理制度、流程和方法等一系列控制活動。

2.保證內控層級的獨立和權威

確保內審部門負責人直接向董事會或其下設委員會報告和履行職責。此外，還應充分利用外部注冊會計師的職能特點，積極調動各個代理層級的監督職能，擴大審計涵蓋面，開展法律風險管理審計。

3.形成法律風險管理的三道內部監督防線

從各職能單元、業務部門到董事會下設的風險管理委員會和各風險管理部門，再到直接隸屬于董事會的審計委員會和內部審計部門。這三道防線在組織各項管理計劃、執行和監控活動中隨處可見，并最終內化于企業的法律風險管理職能。只有全員參與到企業法律風險的監督活動中，才能更好地發揮過程中的理性自覺，規避法律風險。

三、結語

企業從設立伊始便與風險相伴，隨著組織規模擴大，為了更好地實現其戰略目標，往往需要采取適當的手段對各類風險加以控制并合理疏導，而對法律風險的管理是最基本、也是不可缺失的必要環節。企業的出現就是為了降低交易費用，而較高的法律風險無疑會增加企業采取措施降低風險水平的內部交易費用。法律風險管理通過對企業整體風險排查以及對風險進行量化，來確定需要規避或減少的損失類型，從而提高內部控制效率。本文提出的內部控制與法律風險管理融合五要素，是法律風險導向的內部控制價值增值活動。強調內部控制對法律風險管理的基礎性作用，并依靠五要素來保持管理的及時性和連續性，提升企業整體抗風險能力。

作者單位：西南政法大學管理學院

1.劉霄侖. 風險控制理論的再思考：基于對COSO內部控制理念的分析.會計研究.2010（3）

2.楊道廣,陳漢文. 內部控制、法治環境與守法企業公民.審計研究.2015（5）

3.方紅星，陳作華. 高質量內部控制能有效應對特質風險和系統風險嗎？.會計研究.2015（4）

4.戴文濤,納鵬杰,馬超. 內部控制能預防和降低企業風險嗎?.財務與會計.2014（2）

5.雷英，吳建友，孫紅. 內部控制審計對會計盈余質量的影響——基于滬市 A 股上市公司的實證分析.會計研究.2013（11）

6.黃正. 基于價值鏈理論的企業法律風險管理體系研究.南京理工大學.2007

7.秦秉蔚. 企業法律風險管理體系中風險識別方法優化的研究[.華東政法大學.2014

8.盧玥. 淺析企業法律風險管理與防范.中國商論.2017（1）

9.李維安，戴文濤. 公司治理、內部控制、風險管理的關系框架——基于戰略管理視角.審計與經濟研究.2013（4）

10.毛新述，孟杰. 內部控制與訴訟風險.管理世界.2013（11）