李连华

【摘要】现行内部控制理论与方法皆建立于大概率事件及其风险控制基础之上，侧重控制制度与方法的通用性、普适性。但是，其对于小概率事件及其风险控制却是收效甚微甚至是完全失效。文章以小概率事件的风险控制为主题，理论分析与现实总结小概率事件的风险特征及现行内部控制的功能缺陷，形成基于小概率事件风险控制的政策建议。这些建议不仅对现有内部控制理论与方法体系的完善具有拾遗补缺的作用，而且于企业的内部控制管理实践亦多有借鉴与指导意义。

【关键词】小概率事件；风险特征；内部控制

【中图分类号】F275；F272.5

★ 本文系国家社科基金重点项目“基于内部控制视角的腐败防控机制及实施路径研究”（项目编号：15AJY002）的资助研究成果。

本文作者为广州工商学院二级教授，管理学博士，曾担任中国财政部内部控制咨询委员会咨询专家；主持国家社科基金重点、一般课题和教育部人文社科规划课题十余项，出版著作8部，在《会计研究》等期刊发表論文近百篇。多项成果获得省级优秀教学成果奖。

一、引言

突发于2019年末的新冠疫情给世界经济发展和人们的日常生活带来巨大冲击。不少企业陷入困境，举步维艰。不仅旅游、餐饮、影视等服务业受损严重，而且即便是制造业也因为物流和供应链受阻而遭受重创。据不完全统计，仅2020年第一季度，我国就有2900家影视企业破产，3000家旅游企业倒闭。理论上，内部控制是企业的一道风险防火墙，其理应可以预测和防范企业经营管理中遇到的各种风险，然而为什么在面对新冠疫情冲击时很多企业虽有内部控制系统却束手无策，难以应对呢？这说明现行的内部控制系统在风险防控的理论逻辑和方法措施上一定存在着某些缺口。而正是由于这些缺口的存在使得内部控制系统无法感知和预防类似于新冠疫情这般非常规事件所导致的风险，从而给企业的稳定与可持续发展造成巨大损失。亡羊补牢犹未为晚。以此次新冠疫情事件为契机，反思内部控制系统的缺陷，修补内部控制系统存在的缺口，则无疑于内部控制本身的发展完善和企业的风险防范都具有理论必要性和现实积极意义。

二、小概率事件及其风险特征

小概率事件是指发生可能性较低的随机事件。这是概率论与数理统计对于随机事件的一种界分，也是现代风险评估与控制的方法基础。小概率事件，类似于我们日常所说的“黑天鹅事件”，其并非不可能发生，只是因为发生可能性较小而容易被人们所忽视，常常成为企业内部控制与风险管理的盲点。小概率事件及其风险相比较于大概率事件及其风险具有如下方面的典型特征。

（一）外部性

企业风险有些来自于组织内部，有些来自于组织外部。前者如信息披露风险、资产被盗风险、投资失败风险等皆属于内部风险；而后者如国家产业政策调整对企业的冲击、非洲猪瘟对养殖企业带来的损失、中美贸易摩擦而衍生的美国对华为公司、中兴公司的制裁等，都属于外部风险。小概率事件就此而言具有明显的外部性特征，也就是事件本身大多源自于企业组织边界之外，但是其影响却会波及到企业，使得企业无法置身度外。

（二）低感知性

企业经营管理中蕴含的风险，有些是可以感知和观察到的，比如员工懈怠和迟到所导致的产品质量事故和工作效率低下、资产负债率过高所导致的偿债风险、财务人员业务不熟所带来的信息披露风险等，都可以依据历史或者现实的某种标尺来感觉和判断风险的存在及轻重，但是，小概率事件所导致的风险通常没有明显的征兆、痕迹与历史依据，因此企业管理者一般难以观察和感觉到风险的存在，经常是身处危境而不觉。

（三）突发性

突发性是指小概率事件所引发的风险通常是在事前无任何先兆的情况下暴发的，因此，外在于企业的风险管理计划，显得非常突然。在企业管理实践中，一般是按照风险发生概率和损失大小制定相应的预案，企业也设有相应的风险管理部或应急管理部来负责相关工作。所以，一般风险对于企业冲击较小，企业应对起来可以从容不迫。但是，小概率事件所导致的风险却经常是出乎企业预料之外，因此一旦发生，往往对于企业经营冲击较大，使企业慌乱无措，甚至会导致整个企业经营秩序紊乱或倒闭。

（四）低重复性

低重复性是小概率事件的本质特征。正是因为重复发生的可能性比较低，所以才呈现出小概率事件的内在特征。受惯性、环境、文化等因素的影响，企业的很多行为具有稳定的优势或劣势上的趋势与演变，这是企业竞争时优势或劣势的根本组成因素。但是，小概率事件由于重复性低，可感知性弱，因此通常在企业竞争力的评估框架之外。比如，我们在评估华为公司的竞争力时，一般不会把国家之间贸易争端对它的冲击影响考虑在内，而事实上这种国家之间的贸易争端对它的海外市场影响很大。

（五）非流程性

非流程性是指小概率事件通常不在企业的流程管理之内，属于非常规性事件。在企业管理实践中，流程优化和设计通常是针对常规事项进行的。整个管理规程是根据企业的业务和目标设计相应的工作流程及工作岗位，然后按照流程、节点和岗位来安排人员、分配任务、落实目标和进行考核。但是，小概率事件由于其发生可能性小而且重复性低，因此通常不在企业的流程设计之内，企业也没有相应岗位和人员来负责相关工作，由此也就成为企业流程管理与设计中的盲点。

（六）战略性

小概率事件的战略特性在于其引发的冲击、震荡和损失对于企业来说都比较大，周期较长，企业在消除影响的过程中经常处于被动地位，而且常规性管控措施很难奏效。正因如此，小概率事件虽然发生概率小，但其影响往往很大，可谓是“小概率大影响”。很多时候，它可能会直接或间接改变企业在行业中的发展态势及在市场中的竞争地位。

三、现行内部控制的指导思想及功能缺陷

被实务界寄予厚望和被理论界高度赞扬的美国COSO委员会颁布的《企业风险管理——整合框架》（2004年）在应对金融危机等突发事件面前表现的并非尽如人意。这说明，建立在大概率事件基础上的现行内部控制的风险管理理论与方法存在着诸多缺陷。

（一）对小概率事件的风险缺乏预见性

现行内部控制理论与方法是以大概率事件为基础的，重视历史数据和管理经验，这些对于规律性、经常出现的风险是有效的。比如，营运风险、合规风险、报告风险等，都可以依靠现行内部控制系统来加以防范。但是，其对于新兴的、难以预料的、非连续性的小概率事件所带来的风险，比如颠覆性的技术创新、国家间贸易争端、重大公共卫生突发事件等，却是力所不逮，控制效果往往很差。

（二）对非量化风险难以做出应对

现行内部控制的控制方法是以量化的风险评估结果为前提。根据风险评估结果将风险分为重大风险、重要风险和一般风险，然后采用相应的控制对策。所以，其控制方法主要适用于规律性、平稳性和可量化预测的风险控制。根据美国CEB公司对1万家会员公司高管的调查，公司各种风险导致的损失占比是：战略风险86%、运营风险9%、合规风险3%、财务报告风险2%。其中，运营风险、合规风险、财务报告风险都属于可以量化的风险，合计只占14%；而非量化的战略风险占比却是86%。但与此相应，公司在风险管理上所消耗的资源占比正好相反，分别是战略风险6%、运营风险42%、合规风险13%、财务报告风险39%。很显然，现行内部控制体系对于风险损失与风险管理资源的配置比例是失调的。也就是说，现在的风险控制重點在于可以量化的风险上，而实际上非量化的风险损失却是最大的。资源配置重心与风险损失大小之间显著错位。

（三）以流程为基础的控制方法难以应对小概率事件的风险

目前，内部控制应对风险的基本策略是按照量化后的风险等级制订对策，然后通过规章制度和流程来进行控制。这种策略虽然可以控制住企业经营中的常规风险，但是，因为过于程式化，无法应对具有突变性、无序性和不可预测的小概率事件风险。小概率事件由于发生频次少，甚至之前从未发生过，缺乏历史资料可以借鉴，因此，在流程设计、制度规范和岗位责任分工时通常没有纳入正轨的风险控制通道。所以，小概率事件一旦发生，企业内部往往是找不到对应的责任部门，无法做出及时的反应和对策。

（四）收益与风险平衡的理念不适用于小概率事件的风险控制

现行内部控制对待风险的一个重要理念是收益与风险的相互均衡。这种风险控制策略以量化的收益大小为指针和原则。只要收益足够大，企业就可以承担与这种足够大的收益相匹配的大风险。反之，同理。如此以来，风险控制的力度就与收益的大小挂钩，风险控制强度随收益的大小而变化。但是，对于小概率事件来说，其影响结果一般是负面性的，构不成企业的收益，而且即便是收益性质的，通常其也难以预测和量化。比如，非洲猪瘟导致猪肉价格大涨，一些大型养殖企业的收益显著增加，但是，问题是所有养殖企业都不可能预计到这种收益增加的影响结果，并事先大规模的冒着风险去增加养猪的数量。

四、基于小概率事件的内部控制策略

（一）企业的小概率事件有哪些

企业现行的风险管理系统中遗漏或者对小概率事件重视不够，是导致一些企业内部控制系统虽然看起来健全，但是却不能有效控制风险的重要原因。因此，在企业风险管理中需要补上这个短板，使企业的风险控制系统更加完备。但是，具体到企业实务层面上，哪些是大概率事件、哪些是小概率事件，有时候并不是很容易能够加以辨认和确定的。对此，可以循着两种思路来解决：第一是理论推演；第二是实务归纳。原理上，前者是按照小概率事件的基本特征来理论预测和列示企业经营管理中可能出现的对企业产生不利影响、但发生概率却比较小的事件；后者则是通过对企业实务管理人员的问询和调查来总结影响企业发生、但是发生概率较小的事件。从效果预计，后一种基于实践归纳程序总结出来的企业小概率事件无疑更加具有针对性和现实意义。本文按照这一程序，通过对在职研究生班学员、财务经理和总会计师的调查来总结我国企业经营管理中潜在的小概率事件。见表1所示。

（二）如何制订应对小概率事件的内部控制策略

1.保持风险管理韧性

风险管理韧性是指面对风险冲击时组织的自我修复能力及其适应性。简言之，就是组织的应变能力。它既是企业组织的性质，也是一种能力，根植于构成组织的要素、结构、运行机制与外部环境之间的相互作用过程之中。按照这种风险控制理念，企业在构建风险控制系统时，要注重两种能力的建设：一个是稳定能力；另一个是应变能力。前者主要是保住发展底线，即在遇到小概率事件引发的风险时，不至于冲垮企业的整个运行系统；后者则是拓展发展空间，也可以理解为是一种发展能力。

2.保持内部风险与外部风险治理的联动性

内部风险与外部风险的联动性，反映的是风险控制的全域理念。也就是通常所讲的全面风险控制。由于内部风险内生于企业的经营过程，主要与企业内部环境相关联，具有大概率事件的可观测性和可量化的特性，因此，一般是通过程式化的规程来加以控制。控制的重点是不让事件发生，即借助于消灭事件来控制其带来的风险。但是，小概率事件通常是外部因素导致的，企业无法左右其发生与否，企业所能做的只能是事件发生之后如何进行有效的应对。为此，企业在进行风险控制系统构建时，要把小概率事件引起的风险冲击按照因果链和相关性原则纳入到现有的岗位之中，实现内部风险与外部风险的统一归口管理。比如，采购人员舞弊所导致的原材料质次价高要和社会大规模动荡所带来的原材料质量下降和价格上升统一归并到企业的采购部门。

3.以多学科为基础综合预判小概率事件导致的风险

小概率事件对企业的影响通常不是单项的，事件本身经常具有多学科性、宏观性的特点，因此，这些事件对于微观企业来说采用传统方法一般比较难以监控。其中的原因是企业管理者的视野和知识局限性。比如，国际间贸易争端将影响到企业的国际市场和投资项目，但是我们不可能要求企业家同时又是外交家，能够预判到对企业的影响方向与影响程度；再比如，国家的货币政策会影响到企业的融资成本和融资便利性，同样，我们也不可能要求企业管理者又是金融家，能够预测国家的货币政策及其走向。可以说，小概率事件的发散性和多学科性，对于任何企业来说要进行准确的预测都是一项重大挑战。在这种情况下，比较有效的办法是进行多学科的风险研讨与分析，比如，企业可以邀请经济学家来研讨国家经济政策的走势及调整的方向，用以判断国家税收政策、产业政策和货币政策可能对企业带来的影响；邀请外交学者来讨论国家的外交政策及国际局势对于企业涉外投资的潜在影响，以便事先制订相应的海外投资风险应对策略等。这种多领域、跨学科的风险研讨会可以极大弥补企业管理层的知识和视野缺陷，提高企业研判小概率事件发生可能性的预测能力。

主要参考文献：

[1]裴凯欣等.新冠疫情对我国经济影响的研究[J].产业与科技论坛.2021（03）.

[2]程安林，张俊俊.内部控制制度构建的逻辑起点与路径研究[J].国际商务财会，2019（06）：26-29.

[3]马小霞.有关小概率原理的分析和应用[J].淮南师范学院学报.2006（05）.

[4]宋庆龙.小概率事件原理在商场管理中的应用[J].商场现代化[J].2006（12）.

[5]宋卫卫.小概率事件在日常生活中的应用[J].数学学习与研究.2018（04）.

[6]陈关亭.基于企业风险管理框架的内部控制评价模型及应用[J].审计研究，2013（06）.

[7]宋建波.中国特色内部控制规范体系建设的思考[J].会计研究，2018（09）.

[8]樊行健.关于企业内部控制本质与概念的理论反思[J].会计研究，2014（02）.