企业内部控制与法律风险管理融合要素分析

黄胜忠 龚婷婷

企业内部控制与法律风险管理融合要素分析

黄胜忠 龚婷婷

企业如何在激烈的市场竞争中建立并维持自身优势，一直是理论界高度关注的话题。为适应动态变化的市场环境，将内部控制与法律风险管理进行融合具有重要意义。本文在分析二者内涵基础上，论证了二者融合的必要性以实现管理协同。由此，提出内部控制活动与法律风险管理融合的五要素，即控制环境、风险评估、控制活动、信息与沟通、内部监督，既丰富了二者融合的理论研究，也为企业内部实现整体法律风险管理提供参考。

内部控制 法律风险管理 融合要素分析

从国内三鹿奶粉三聚氰胺事件的发生，致使有着五十多年历史的大型企业訇然倒闭；到上海福禧投资公司通过一系列违法运作创造了财富增值传奇，但又顷刻间在商业市场销声匿迹；再到新华集团轻信GE承诺被并购，以致退出了相关市场的发电业务。这些不断涌现的法律风险管理失败案件表明，组织必须从内部实施一系列控制程序，以确保生产经营活动不违背市场定价、财政税收、生态环境以及国际贸易等方面的法律规制，避免由此给利益相关者带来不必要的价值损失。我国上市公司法律风险频发的现状，是当前实施内部控制工作和法律风险管理存在分离运行、分离管理、分离监督、分离评价等问题带来的结果，缺少对于二者关系的正确认识是导致目前法律风险成本较高的重要原因。如何使二者的决策机制具有全局意识，将法律风险应对拓展到事前防范、事中控制以及事后监督三个维度。这为企业正确认识法律风险、分析诊断自身内部控制问题，并寻求积极改善、增强企业核心竞争力提供新的思路和探索。

一、融合必要性

内部控制作为一个持续发挥作用的过程，通过公司章程以及各个代理层级对内部员工形成管理约束，能够提高实现经营目标的效率。而法律风险管理涉及相关的法律法规领域，其作用的有效发挥是企业赖以生存的前提。二者的职能特点以及在企业管理实践中所发挥的作用，允许二者融合运行以创建良好的内部环境。

(一)内部控制理论

内部控制是内部管理活动应有的题中之义。其良好的组织规划和贯彻落实有利于企业合法经营、运作有序（刘宵仑，2010），保证企业遵循了适用的法律法规（杨道广、陈汉文，2015），从而抑制特定风险的发生（方红星、陈作华，2015）。内部控制的运行机理主要是风险的产生和演变，且相关风险程度越高，内部控制就显得尤其重要（戴文涛、纳鹏杰、马超，2014）。这就使得企业所采取的一系列风险控制活动，不但要合理保证作为控制结果的财务报告的真实公允，还要确保形成财务报告结果的过程真实可靠（雷英、吴建友、孙红，2013）。COSO于2004年对《内部控制——统一框架》进行完善，提出了《企业风险管理——整合框架》。其内容更为详实，将内部控制体系从原来的五要素扩充为八要素，着力于通过要素点的控制活动降低企业整体风险，但其核心内容并没有改变。相应地，我国财政部等五部委于2008年、2010年相继发布了《企业内部控制基本规范》和《企业内部控制配套指引》。从内部控制发展历程来看，虽然其经历了从内部牵制到企业风险管理整合的理念升级，但通过一系列识别、评估、应对等管理活动来降低企业风险这一使命一以贯之。而法律风险的管理作为企业存续的基本前提，内部控制的发展本身就与遵守合规性目标相辅相成。

（二）法律风险管理内涵

企业法律风险包括违反法律规定或宏观经济政策，与其他经济组织和社会团体交往过程中侵犯他方合法权益，以及在内部管理活动中的违法违规行为，其结果是承担相应的民事、行政、刑事责任（黄正，2007）。企业内部的法律风险往往是其他各类风险的集中表现，表明其时公司治理水平、管理活动、财务状况等存在缺陷，增加了企业最终经营失败的可能（秦秉蔚，2014）。其中，法律诉讼手段也经常是解决其他各类风险的最终途径（卢玥，2017）。例如，企业流动资金短缺按理来说属于财务风险，但如果由此导致在市场交易活动中相应的货款不能及时给付而造成合同违约，则上升到法律风险。为了减少法律风险带来的巨大损失，企业在风险管理活动中会倾向加强自身内部控制。这时的内部控制就脱离不了法学的内涵，需要与拥有法学专业背景的人员通力合作。随着2014年底中央企业法制工作第三个三年目标的顺利推进，我国企业的法律风险防范水平也进入到一个全新的发展阶段。其间，内部控制作为企业管理的重要职能活动起到了关键性作用。其有效性的发挥能够克服固有风险，从而及时预防、发现、更正企业违法违规行为，总体降低法律风险水平。

（三）二者融合必要性

内部控制与风险管理的实质都是为了及时评估、控制、防范企业风险，以合理保证经营目标的实现。同时，二者在发展趋势上也正逐步融合。李维安、戴文涛（2013）认为，企业内外部存在的风险使内部控制和风险管理活动应运而生，二者只是不同语义的替代表达，实则没有本质的区别，共同作用于促进企业的正常运营。刘宵仑（2010）提出的以“风险控制”概念取代原有的“内部控制”也有着相同的理论内涵。同时，毛新述等（2013）以2008—2010年的沪市上市公司样本进行实证研究，发现内部控制越有效，公司被卷入诉讼案件的次数和在面临赔偿时的金额越低，总体而言降低了企业的法律风险水平。因此，在笔者看来，内部控制与风险管理别无二致。法律风险管理作为风险管理活动的重要命题，它从属于风险管理，所以也相应地从属于内部控制。而从实质上看，内部控制有着控制环境、风险评估、控制活动、信息与沟通、内部监督五方面的内涵。由此将内部控制要素分解渗透到企业法律风险的管理实践中就有了坚实的理论基础。再者，内部控制作为日常管理机制，可以贯穿于整个法律风险管理的过程之中。二者通过构成要素间多维度的交叉，凭借统一管理思路能有效降低企业控制成本，形成对内部经营管理行为的循环监督，提升组织管理价值。

二、融合五要素

基于上述分析，内部控制与法律风险管理的融合应以优化内部控制环境为主线，并将内部控制要素贯穿法律风险管理的全过程。法律风险管理从内部控制体系五要素出发，借鉴其管理理念和控制思路可以使二者在内部活动中达到真正的融合。因此，本文的内部控制与法律风险管理融合要素有以下五方面的内涵。

（一）维护控制环境，提升合同管理效能

控制环境包括治理职能、管理职能以及治理层和管理层对组织内部控制及其重要性水平的认知、态度和措施，强调治理层和管理层的诚信与经营理念。中国500强企业的控制环境，公司治理与合同管理是最主要的法律风险点，也形成了二者融合需努力的方向。

1.改善公司治理水平

良好的公司治理环境需要从企业战略出发，加强企业文化建设，增强员工对企业愿景、使命的价值认同并在管理过程中提高人员素质，形成良好的内部控制氛围。从制度设计、程序实施及监控方面来优化治理结构，通过有效的权责分配体系达到权力制衡的目的。

首先，应基于委托代理理论设计出更加合理的激励机制和最优契约。形成良好的权限及职责分配，以防范管理层可能出现的道德风险和逆向选择行为，减少董事会成员、高层管理者权利失衡及权力滥用的法律风险。

再者，自愿性披露可以作为防范企业法律风险的有效机制，达到防止管理层人员基于内部信息优势攫取股东利益的目的，从而可以将企业内部管理优势通过信号传递，作用于投资者的决策过程。

最后，董事会、监事会应与高层管理人员及时沟通。保证企业的机构设置和各项活动的责任授权符合预期并遵循了现有法律法规，合理规避负面清单。

2.提升合同管理效能

其中的关键点是改革应收账款管理制度安排，合力形成一套完整的信用风险管理体系。（1）这需要财务、风控、法务等信用管理职能部门持续评估并掌握客户即时资信状况，对双方进行交易决策的合理性和风险程度形成科学、定量化的审核，同时对应收账款各个环节实施严密的监控并实现有效催收。（2）从合同订立到双方履行义务的这一动态管理过程中，不仅包括了人员的事前谈判、合同主体签约、以及合同履行过程中的担保，还包括相应的授权审批、履行和结算方式。每一个环节都应遵循相关规章制度，并将定期考核和随时抽查相结合，做到及早发现违约行为、及时纠偏。（3）此外，还应不断加强企业管理部门间的信息共享和协调合作，完成对内部财务部门、业务部门、以及合同管理部门等子部门控制活动的查缺补漏，同时关注经营管理人员的权责匹配。

（二）利用法律风险评估，加强内部活动管理

1.注重法律风险评估程序

风险评估是在企业发展过程中对其所面临的威胁、存在的控制薄弱环节、会带来的损失，或三者综合作用之上发生风险及其可能性的评估。一般而言，如果一个项目具有较高的重要性水平，那么强化事前的风险评估流程就越有必要。法律风险评估是其中最基础、最不容忽视的重要环节。过程中可以运用多种方法，如询问直接参与生成、处理或记录数据或复杂交易的员工和管理层，通过实施穿行测试追踪交易的处理过程，来收集、分析和更新信息。对于重要性水平较高的风险项目，还应事先评估各个关键程序和风险点，判断其法律风险水平，做到对重要岗位、重要人员的管控具有针对性。此项评估活动的缺失，会增加对后续工作环节出现的交易舞弊、职务侵占等行为进行查处的内部交易费用。

2.减少内部员工法律风险

企业最大的法律风险往往来自于企业内部。员工、管理层如果没有完备的法律知识或缺乏相应的法律意识，为了业绩指标弄虚作假、不按章办事，都会给企业带来人员管理方面的法律风险。企业特定的交易类型、交易金额以及重要性水平，在一定时期内具有稳定性和连续性特点。当相关事项存在异常变动，往往可以根据交易的性质、支付方式、发生时间以及金额大小来评估交易的合理性，判断特定交易存在的法律风险水平。职务设置上，职责分离和内部牵制是必要前提，以防范同一员工由于履行多项职责而出现的舞弊、操作错误以及权力滥用行为。交易与活动的授权控制能够保证交易不偏离管理者的预期轨道，从而达到防范法律风险的目的。过程中的信息处理和实物控制也同样至关重要，它直接影响到信息处理环境下交易活动的授权、完整性和准确性。最后，在交易事项基础之上的业绩评价则有助于财务数据和经营数据的分析，从而为管理者提供相关的法律风险决策信息。

（三）完善控制活动，注重企业文化

1.识别和控制内部活动

企业之间、企业与个人之间以及企业内部，都应有适当的内部政策来进行规范和调整。所进行的交易，应以交易中市场参与者能接受的公平合理的对价为基础确定。相应的内部控制活动可以通过改善投、融资决策的质量控制来降低法律风险水平，防止管理层不正当的关联交易以及基于内部信息优势侵害股东利益。因此，关键部门、关键岗位人员手中所掌握的稀缺资源，应有明确的职责并存在恰当的监督。避免管理层凌驾于控制之上采取不当的盈余管理行为，从而减少各层级的违规活动，提高资源整合效率。在内部控制活动中，管理人员和组织管理部门可以运用多种管理手段和方法来形成有效的控制，并推动法律风险管理活动的切实执行以及动态调整。同时，应知晓并利用好相关的合同权利，如有确凿证据支撑，可行使相应的不安抗辩权、先履行抗辩权以及同时履行抗辩权，并在一定的诉讼时效或除斥期间内有效行使追诉权、诉讼权等。这对他方的信用缺失可以起到很好的威慑作用，也能更好地维护自身合法利益。

2.形成独特的企业文化

企业的控制活动再严密，只靠刚性的系统和监督程序无法从根本上杜绝所有员工的违规行为，还需通过企业软文化的渗透提高法律意识。在企业内部加大组织重视法律风险管理的宣传力度、定时进行员工培训和考核，将这种意识内隐于员工的心理，形成对企业文化和组织管理风格的高度认同，才能从根本上防范与之相关的法律风险。高层管理人员应努力强化这种价值认同，并在过程中疏导与员工的关系，提升其整体薪酬与福利，吸引、留住有能力和有成长潜质的人才，形成和维护强有力的企业文化。总的来说，以经验管理为主的人治和以制度管理为主的法治，必然要走向以文化管理为主的无为而治。

（四）保持信息畅通，利用层级差异

1.提高内外部信息的利用能力

企业内外部游离着大量的信息，包括各种财务和非财务信息，其对管理人员的经营决策有着重要的影响。这些信息存在于各个管理层级，并贯穿于日常管理人员的沟通活动中。与股东、客户、供应商和监管者的适当接触，能够把握企业当前所面临的挑战及允许其加以利用的机遇等关键信息。同时，对企业在市场中的竞争地位保持清晰的认知，也有助于企业规避生产、运营方面的法律风险。将这些内外部积存的大量信息加以利用，能够为各个管理层级服务。相应的信息系统更新也可以帮助企业掌握法律风险的现状，并在一定程度上预测其未来的动态演变趋势，进而在控制活动中优化企业资源配置。同时给企业内部审计部门、风控部门以及法务部门提供企业成长路径并依据资源禀赋进行结构调整的借鉴，形成良好的信息上下自循环。有时，相关的法律风险是来自内部还是外部并不容易区分。因此，高管在日常管理活动中，应获悉下级经营管理人员对于内部控制活动持续发挥功能的各种信息，才能在业务报告、财务报告与原有的合理预期存在较大差异时，保有适当的职业判断并进行跟踪调查。

2.存在管理层级要素差异

在实际执行中，内部控制活动是作为一个管理体系在运行的，其有效性的发挥依附于所有层级要素运行的效率和效果。这种高低层级之间的信息流动具有双向互动的关系。高层级控制信息能够通过职权和组织权威的运用作用于低层级控制，低层级控制信息也能够通过自下而上的沟通反馈反作用于高层级控制。同时，相应的内控层级中充斥着不同程度的法律风险，按照其在公司战略位置中的重要程度，用内部控制活动去改进企业的运作执行与实施监督环节，能够提高内部控制活动的针对性并改善控制质量。随着企业自身经营范围的调整以及外部政策环境的变化，企业法律风险的特点、性质、表现形式和影响力也在不断变化，这就决定了法律风险管理活动也必须及时更新、动态调整。

（五）形成过程监督，拓展二者职能

企业法律风险的产生绝大部分源于不当的寻租。这就需要企业在日常活动中严格执行现有规定，同时加强对可能存在的违规行为的监督。通过一系列持续的监督活动、系统单独的评价活动以及二者的结合，能够实现对内部各层级人员的监控。内部控制的有效实施离不开严密的内部监督环节，其为组织的良好运行提供合理保障，一定程度上能够防范和化解由固有的内部控制缺陷所引起的法律诉讼。这种过程监督表现在以下几个方面：

1.建立完善的内部控制报告制度

企业应设置专门的法律风险管理部门对企业内外部法律风险进行风险识别、评估和应对及完成报告，从而建立健全风险识别和预警机制。不同的法律风险具有不同的特点，还应强调优化相应内控层级的风险管理制度、流程和方法等一系列控制活动。

2.保证内控层级的独立和权威

确保内审部门负责人直接向董事会或其下设委员会报告和履行职责。此外，还应充分利用外部注册会计师的职能特点，积极调动各个代理层级的监督职能，扩大审计涵盖面，开展法律风险管理审计。

3.形成法律风险管理的三道内部监督防线

从各职能单元、业务部门到董事会下设的风险管理委员会和各风险管理部门，再到直接隶属于董事会的审计委员会和内部审计部门。这三道防线在组织各项管理计划、执行和监控活动中随处可见，并最终内化于企业的法律风险管理职能。只有全员参与到企业法律风险的监督活动中，才能更好地发挥过程中的理性自觉，规避法律风险。

三、结语

企业从设立伊始便与风险相伴，随着组织规模扩大，为了更好地实现其战略目标，往往需要采取适当的手段对各类风险加以控制并合理疏导，而对法律风险的管理是最基本、也是不可缺失的必要环节。企业的出现就是为了降低交易费用，而较高的法律风险无疑会增加企业采取措施降低风险水平的内部交易费用。法律风险管理通过对企业整体风险排查以及对风险进行量化，来确定需要规避或减少的损失类型，从而提高内部控制效率。本文提出的内部控制与法律风险管理融合五要素，是法律风险导向的内部控制价值增值活动。强调内部控制对法律风险管理的基础性作用，并依靠五要素来保持管理的及时性和连续性，提升企业整体抗风险能力。

作者单位：西南政法大学管理学院

1.刘霄仑. 风险控制理论的再思考：基于对COSO内部控制理念的分析.会计研究.2010（3）

2.杨道广,陈汉文. 内部控制、法治环境与守法企业公民.审计研究.2015（5）

3.方红星，陈作华. 高质量内部控制能有效应对特质风险和系统风险吗？.会计研究.2015（4）

4.戴文涛,纳鹏杰,马超. 内部控制能预防和降低企业风险吗?.财务与会计.2014（2）

5.雷英，吴建友，孙红. 内部控制审计对会计盈余质量的影响——基于沪市 A 股上市公司的实证分析.会计研究.2013（11）

6.黄正. 基于价值链理论的企业法律风险管理体系研究.南京理工大学.2007

7.秦秉蔚. 企业法律风险管理体系中风险识别方法优化的研究[.华东政法大学.2014

8.卢玥. 浅析企业法律风险管理与防范.中国商论.2017（1）

9.李维安，戴文涛. 公司治理、内部控制、风险管理的关系框架——基于战略管理视角.审计与经济研究.2013（4）

10.毛新述，孟杰. 内部控制与诉讼风险.管理世界.2013（11）