小概率事件的內部控制策略研究

李連華

【摘要】現行內部控制理論與方法皆建立于大概率事件及其風險控制基礎之上，側重控制制度與方法的通用性、普適性。但是，其對于小概率事件及其風險控制卻是收效甚微甚至是完全失效。文章以小概率事件的風險控制為主題，理論分析與現實總結小概率事件的風險特征及現行內部控制的功能缺陷，形成基于小概率事件風險控制的政策建議。這些建議不僅對現有內部控制理論與方法體系的完善具有拾遺補缺的作用，而且于企業的內部控制管理實踐亦多有借鑒與指導意義。

【關鍵詞】小概率事件；風險特征；內部控制

【中圖分類號】F275；F272.5

★ 本文系國家社科基金重點項目“基于內部控制視角的腐敗防控機制及實施路徑研究”（項目編號：15AJY002）的資助研究成果。

本文作者為廣州工商學院二級教授，管理學博士，曾擔任中國財政部內部控制咨詢委員會咨詢專家；主持國家社科基金重點、一般課題和教育部人文社科規劃課題十余項，出版著作8部，在《會計研究》等期刊發表論文近百篇。多項成果獲得省級優秀教學成果獎。

一、引言

突發于2019年末的新冠疫情給世界經濟發展和人們的日常生活帶來巨大沖擊。不少企業陷入困境，舉步維艱。不僅旅游、餐飲、影視等服務業受損嚴重，而且即便是制造業也因為物流和供應鏈受阻而遭受重創。據不完全統計，僅2020年第一季度，我國就有2900家影視企業破產，3000家旅游企業倒閉。理論上，內部控制是企業的一道風險防火墻，其理應可以預測和防范企業經營管理中遇到的各種風險，然而為什么在面對新冠疫情沖擊時很多企業雖有內部控制系統卻束手無策，難以應對呢？這說明現行的內部控制系統在風險防控的理論邏輯和方法措施上一定存在著某些缺口。而正是由于這些缺口的存在使得內部控制系統無法感知和預防類似于新冠疫情這般非常規事件所導致的風險，從而給企業的穩定與可持續發展造成巨大損失。亡羊補牢猶未為晚。以此次新冠疫情事件為契機，反思內部控制系統的缺陷，修補內部控制系統存在的缺口，則無疑于內部控制本身的發展完善和企業的風險防范都具有理論必要性和現實積極意義。

二、小概率事件及其風險特征

小概率事件是指發生可能性較低的隨機事件。這是概率論與數理統計對于隨機事件的一種界分，也是現代風險評估與控制的方法基礎。小概率事件，類似于我們日常所說的“黑天鵝事件”，其并非不可能發生，只是因為發生可能性較小而容易被人們所忽視，常常成為企業內部控制與風險管理的盲點。小概率事件及其風險相比較于大概率事件及其風險具有如下方面的典型特征。

（一）外部性

企業風險有些來自于組織內部，有些來自于組織外部。前者如信息披露風險、資產被盜風險、投資失敗風險等皆屬于內部風險；而后者如國家產業政策調整對企業的沖擊、非洲豬瘟對養殖企業帶來的損失、中美貿易摩擦而衍生的美國對華為公司、中興公司的制裁等，都屬于外部風險。小概率事件就此而言具有明顯的外部性特征，也就是事件本身大多源自于企業組織邊界之外，但是其影響卻會波及到企業，使得企業無法置身度外。

（二）低感知性

企業經營管理中蘊含的風險，有些是可以感知和觀察到的，比如員工懈怠和遲到所導致的產品質量事故和工作效率低下、資產負債率過高所導致的償債風險、財務人員業務不熟所帶來的信息披露風險等，都可以依據歷史或者現實的某種標尺來感覺和判斷風險的存在及輕重，但是，小概率事件所導致的風險通常沒有明顯的征兆、痕跡與歷史依據，因此企業管理者一般難以觀察和感覺到風險的存在，經常是身處危境而不覺。

（三）突發性

突發性是指小概率事件所引發的風險通常是在事前無任何先兆的情況下暴發的，因此，外在于企業的風險管理計劃，顯得非常突然。在企業管理實踐中，一般是按照風險發生概率和損失大小制定相應的預案，企業也設有相應的風險管理部或應急管理部來負責相關工作。所以，一般風險對于企業沖擊較小，企業應對起來可以從容不迫。但是，小概率事件所導致的風險卻經常是出乎企業預料之外，因此一旦發生，往往對于企業經營沖擊較大，使企業慌亂無措，甚至會導致整個企業經營秩序紊亂或倒閉。

（四）低重復性

低重復性是小概率事件的本質特征。正是因為重復發生的可能性比較低，所以才呈現出小概率事件的內在特征。受慣性、環境、文化等因素的影響，企業的很多行為具有穩定的優勢或劣勢上的趨勢與演變，這是企業競爭時優勢或劣勢的根本組成因素。但是，小概率事件由于重復性低，可感知性弱，因此通常在企業競爭力的評估框架之外。比如，我們在評估華為公司的競爭力時，一般不會把國家之間貿易爭端對它的沖擊影響考慮在內，而事實上這種國家之間的貿易爭端對它的海外市場影響很大。

（五）非流程性

非流程性是指小概率事件通常不在企業的流程管理之內，屬于非常規性事件。在企業管理實踐中，流程優化和設計通常是針對常規事項進行的。整個管理規程是根據企業的業務和目標設計相應的工作流程及工作崗位，然后按照流程、節點和崗位來安排人員、分配任務、落實目標和進行考核。但是，小概率事件由于其發生可能性小而且重復性低，因此通常不在企業的流程設計之內，企業也沒有相應崗位和人員來負責相關工作，由此也就成為企業流程管理與設計中的盲點。

（六）戰略性

小概率事件的戰略特性在于其引發的沖擊、震蕩和損失對于企業來說都比較大，周期較長，企業在消除影響的過程中經常處于被動地位，而且常規性管控措施很難奏效。正因如此，小概率事件雖然發生概率小，但其影響往往很大，可謂是“小概率大影響”。很多時候，它可能會直接或間接改變企業在行業中的發展態勢及在市場中的競爭地位。

三、現行內部控制的指導思想及功能缺陷

被實務界寄予厚望和被理論界高度贊揚的美國COSO委員會頒布的《企業風險管理——整合框架》（2004年）在應對金融危機等突發事件面前表現的并非盡如人意。這說明，建立在大概率事件基礎上的現行內部控制的風險管理理論與方法存在著諸多缺陷。

（一）對小概率事件的風險缺乏預見性

現行內部控制理論與方法是以大概率事件為基礎的，重視歷史數據和管理經驗，這些對于規律性、經常出現的風險是有效的。比如，營運風險、合規風險、報告風險等，都可以依靠現行內部控制系統來加以防范。但是，其對于新興的、難以預料的、非連續性的小概率事件所帶來的風險，比如顛覆性的技術創新、國家間貿易爭端、重大公共衛生突發事件等，卻是力所不逮，控制效果往往很差。

（二）對非量化風險難以做出應對

現行內部控制的控制方法是以量化的風險評估結果為前提。根據風險評估結果將風險分為重大風險、重要風險和一般風險，然后采用相應的控制對策。所以，其控制方法主要適用于規律性、平穩性和可量化預測的風險控制。根據美國CEB公司對1萬家會員公司高管的調查，公司各種風險導致的損失占比是：戰略風險86%、運營風險9%、合規風險3%、財務報告風險2%。其中，運營風險、合規風險、財務報告風險都屬于可以量化的風險，合計只占14%；而非量化的戰略風險占比卻是86%。但與此相應，公司在風險管理上所消耗的資源占比正好相反，分別是戰略風險6%、運營風險42%、合規風險13%、財務報告風險39%。很顯然，現行內部控制體系對于風險損失與風險管理資源的配置比例是失調的。也就是說，現在的風險控制重點在于可以量化的風險上，而實際上非量化的風險損失卻是最大的。資源配置重心與風險損失大小之間顯著錯位。

（三）以流程為基礎的控制方法難以應對小概率事件的風險

目前，內部控制應對風險的基本策略是按照量化后的風險等級制訂對策，然后通過規章制度和流程來進行控制。這種策略雖然可以控制住企業經營中的常規風險，但是，因為過于程式化，無法應對具有突變性、無序性和不可預測的小概率事件風險。小概率事件由于發生頻次少，甚至之前從未發生過，缺乏歷史資料可以借鑒，因此，在流程設計、制度規范和崗位責任分工時通常沒有納入正軌的風險控制通道。所以，小概率事件一旦發生，企業內部往往是找不到對應的責任部門，無法做出及時的反應和對策。

（四）收益與風險平衡的理念不適用于小概率事件的風險控制

現行內部控制對待風險的一個重要理念是收益與風險的相互均衡。這種風險控制策略以量化的收益大小為指針和原則。只要收益足夠大，企業就可以承擔與這種足夠大的收益相匹配的大風險。反之，同理。如此以來，風險控制的力度就與收益的大小掛鉤，風險控制強度隨收益的大小而變化。但是，對于小概率事件來說，其影響結果一般是負面性的，構不成企業的收益，而且即便是收益性質的，通常其也難以預測和量化。比如，非洲豬瘟導致豬肉價格大漲，一些大型養殖企業的收益顯著增加，但是，問題是所有養殖企業都不可能預計到這種收益增加的影響結果，并事先大規模的冒著風險去增加養豬的數量。

四、基于小概率事件的內部控制策略

（一）企業的小概率事件有哪些

企業現行的風險管理系統中遺漏或者對小概率事件重視不夠，是導致一些企業內部控制系統雖然看起來健全，但是卻不能有效控制風險的重要原因。因此，在企業風險管理中需要補上這個短板，使企業的風險控制系統更加完備。但是，具體到企業實務層面上，哪些是大概率事件、哪些是小概率事件，有時候并不是很容易能夠加以辨認和確定的。對此，可以循著兩種思路來解決：第一是理論推演；第二是實務歸納。原理上，前者是按照小概率事件的基本特征來理論預測和列示企業經營管理中可能出現的對企業產生不利影響、但發生概率卻比較小的事件；后者則是通過對企業實務管理人員的問詢和調查來總結影響企業發生、但是發生概率較小的事件。從效果預計，后一種基于實踐歸納程序總結出來的企業小概率事件無疑更加具有針對性和現實意義。本文按照這一程序，通過對在職研究生班學員、財務經理和總會計師的調查來總結我國企業經營管理中潛在的小概率事件。見表1所示。

（二）如何制訂應對小概率事件的內部控制策略

1.保持風險管理韌性

風險管理韌性是指面對風險沖擊時組織的自我修復能力及其適應性。簡言之，就是組織的應變能力。它既是企業組織的性質，也是一種能力，根植于構成組織的要素、結構、運行機制與外部環境之間的相互作用過程之中。按照這種風險控制理念，企業在構建風險控制系統時，要注重兩種能力的建設：一個是穩定能力；另一個是應變能力。前者主要是保住發展底線，即在遇到小概率事件引發的風險時，不至于沖垮企業的整個運行系統；后者則是拓展發展空間，也可以理解為是一種發展能力。

2.保持內部風險與外部風險治理的聯動性

內部風險與外部風險的聯動性，反映的是風險控制的全域理念。也就是通常所講的全面風險控制。由于內部風險內生于企業的經營過程，主要與企業內部環境相關聯，具有大概率事件的可觀測性和可量化的特性，因此，一般是通過程式化的規程來加以控制。控制的重點是不讓事件發生，即借助于消滅事件來控制其帶來的風險。但是，小概率事件通常是外部因素導致的，企業無法左右其發生與否，企業所能做的只能是事件發生之后如何進行有效的應對。為此，企業在進行風險控制系統構建時，要把小概率事件引起的風險沖擊按照因果鏈和相關性原則納入到現有的崗位之中，實現內部風險與外部風險的統一歸口管理。比如，采購人員舞弊所導致的原材料質次價高要和社會大規模動蕩所帶來的原材料質量下降和價格上升統一歸并到企業的采購部門。

3.以多學科為基礎綜合預判小概率事件導致的風險

小概率事件對企業的影響通常不是單項的，事件本身經常具有多學科性、宏觀性的特點，因此，這些事件對于微觀企業來說采用傳統方法一般比較難以監控。其中的原因是企業管理者的視野和知識局限性。比如，國際間貿易爭端將影響到企業的國際市場和投資項目，但是我們不可能要求企業家同時又是外交家，能夠預判到對企業的影響方向與影響程度；再比如，國家的貨幣政策會影響到企業的融資成本和融資便利性，同樣，我們也不可能要求企業管理者又是金融家，能夠預測國家的貨幣政策及其走向。可以說，小概率事件的發散性和多學科性，對于任何企業來說要進行準確的預測都是一項重大挑戰。在這種情況下，比較有效的辦法是進行多學科的風險研討與分析，比如，企業可以邀請經濟學家來研討國家經濟政策的走勢及調整的方向，用以判斷國家稅收政策、產業政策和貨幣政策可能對企業帶來的影響；邀請外交學者來討論國家的外交政策及國際局勢對于企業涉外投資的潛在影響，以便事先制訂相應的海外投資風險應對策略等。這種多領域、跨學科的風險研討會可以極大彌補企業管理層的知識和視野缺陷，提高企業研判小概率事件發生可能性的預測能力。

主要參考文獻：

[1]裴凱欣等.新冠疫情對我國經濟影響的研究[J].產業與科技論壇.2021（03）.

[2]程安林，張俊俊.內部控制制度構建的邏輯起點與路徑研究[J].國際商務財會，2019（06）：26-29.

[3]馬小霞.有關小概率原理的分析和應用[J].淮南師范學院學報.2006（05）.

[4]宋慶龍.小概率事件原理在商場管理中的應用[J].商場現代化[J].2006（12）.

[5]宋衛衛.小概率事件在日常生活中的應用[J].數學學習與研究.2018（04）.

[6]陳關亭.基于企業風險管理框架的內部控制評價模型及應用[J].審計研究，2013（06）.

[7]宋建波.中國特色內部控制規范體系建設的思考[J].會計研究，2018（09）.

[8]樊行健.關于企業內部控制本質與概念的理論反思[J].會計研究，2014（02）.