企业内部控制缺陷及其改进与风险承担

2022.09.18

蒋秋菊贾莹丹蒋大双

【摘要】内部控制在企业经营管理过程中有着不可替代的作用，近年来，上市公司内部控制漏洞频出，给社会公众造成了严重损失，企业内部控制质量及其缺陷的经济后果受到广泛关注。文章基于“控制能力”和“资源分配”两种视角，以2010—2018年沪深A股非金融类上市公司为样本，运用Stata 14.0进行实证分析，检验内部控制缺陷及其改进对企业风险承担水平的影响，并检验内部控制缺陷及其改进影响企业风险承担水平在不同产权性质企业中的差异。研究发现：内部控制缺陷及其严重程度与企业风险承担水平显著正相关;内部控制缺陷改进后，企业风险承担水平有所下降;相对于国有企业，内部控制缺陷对企业风险承担水平的影响在非国有企业中更为明显。最后有针对性地提出政策建议。

【关键词】内部控制缺陷; 产权性质; 风险承担水平

【中图分类号】 F276.6? 【文献标识码】 A? 【文章编号】 1004-5937（2020）04-0134-06

一、引言

风险承担是指企业对高风险高收益项目决策的承担程度，即公司为获得较好的市场机会或收益而愿意承担高风险的程度[1]。风险承担水平反映企业投资决策的风险偏好，企业具有较高的风险承担水平通常与管理层选择风险性的投资项目有关[2-3]。

内部控制作为现代公司治理的重要机制之一，不仅是防范公司财务报表重大错报的第一道“防线”[4]，也是企业风险管理的重要组成部分。然而，管理者不仅是公司内部控制制度设计与执行的关键，也是内部控制缺陷的修复者，企业是否存在内部控制缺陷以及内部控制缺陷是否严重事关公司能否持续、健康发展。因此，从某种意义上而言，内部控制缺陷也会影响企业的风险承担水平。

本文以2010—2018年我国A股非金融类上市公司为样本，研究内部控制缺陷披露及其改进对企业风险承担水平的影响，以及二者关系在不同产权性质企业之间存在的差异。

二、理论分析与研究假设

（一）内部控制缺陷与企业风险承担

如果企业内部控制设计或运行过程中存在缺陷，一方面，这意味着股东和管理层之间的信息不对称程度较高，股东对管理层从事风险性投资行为的控制能力不足，导致内部控制无法合理保证控制目标的实现[5]，管理层也有动机选择风险性较高的投资项目，进而提高企业的风险承担水平;另一方面，如果对内部控制缺陷进行修复会转移管理层在核心业务（包括风险性投资领域）上的注意力和资源[6]，这会导致管理层不愿意投入足够的时间和资源对内部控制缺陷进行修复，使得企业的风险承担维持在一定的水平。

笔者认为，内部控制缺陷会通过“控制能力”和“资源分配”两种方式影响管理层的风险性投资行为，进而影响企业的风险承担水平。

1.控制能力。内部控制缺陷的存在意味着公司具有较低的会计信息质量[7]，这会提高股东与管理层之间的信息不对称，降低股东对管理层风险性投资行为的控制能力，使得管理层有意愿和动机承担风险，导致企业风险承担水平的提高。

2.资源分配。企业内部控制建设离不开各种资源的投入，而可分配的资源数量与企业的风险决策行为密切相关。Doyle et al.[8]的研究表明，披露了内部控制重大缺陷的企业通常具有复杂的经营业务或经历过组织结构调整，使其投入到内部控制建设中的资源不足。因此，企业存在内部控制缺陷可能是由于企业在内部控制方面的资源投入不足所致[7]，这为管理层分配更多的资源到风险性投资等领域提供了机会，导致企业风险承担水平的提高。

自2011年我国上市公司陆续开始在内控自我评价报告中披露内控缺陷定量标准以来，大量文献研究了不同严重程度的内部控制缺陷对上市公司审计收费、融资成本和投资者风险认知水平等方面的影响。池国华等[9]的研究表明，相对于披露重要缺陷的公司，个人投资者对披露重大缺陷的公司具有更高的风险认知水平。因此，与一般和重要的内部控制缺陷相比，重大的内部控制缺陷的经济后果更为严重，也可以合理预期，重大内部控制缺陷对企业风险承担水平的促进作用更大。基于以上分析，提出研究假设1。

H1a：在其他条件不变的情况下，与不存在内部控制缺陷的公司相比，存在内部控制缺陷的公司具有较高的风险承担水平。

H1b：在其他条件不变的情况下，内部控制缺陷越严重，公司的风险承担水平越高。

（二）内部控制缺陷改进与企业风险承担

内部控制缺陷意味着内部控制要素缺失或要素未能发挥应有的作用，导致内部控制的执行效力較低，内部控制的预期目标未能实现。企业内部控制缺陷暴露后，公司相关治理主体可能会采取相应措施对内部控制缺陷加以改进，以降低内部控制缺陷披露后的不良后果。研究发现，内部控制缺陷改进通常与企业董事会规模、独立性、大股东持股比例和管理层的持股比例相关[10]，而内部控制缺陷改进后，企业的应计项目盈余管理和真实活动盈余管理程度会下降[11]，且审计师面临的审计风险也会降低，进而降低审计收费[4]。因此，可以合理预计，企业改进内部控制缺陷有利于促使管理层减少对企业的风险性投资，从而降低企业风险承担水平。基于以上分析，提出研究假设2。

H2：内部控制缺陷改进后，企业风险承担水平会下降。

（三）考虑产权性质的影响

相关研究表明，国有企业与非国有企业对内部控制缺陷的态度上可能存在较大差异，具体体现为国有企业具有更为完善的治理结构和内部控制制度，出现内部控制缺陷的可能性较低，内部控制缺陷的严重程度也较低。一方面，与非国有企业相比，国有企业的性质决定了党组织在企业中更能发挥其思想核心作用，使得国有企业能够形成良好的企业文化，起到监督管理层、降低内部控制缺陷产生可能性的作用[12];另一方面，国有企业的管理层多为国有资产管理机构直接任命，不仅是管理层的权力更易受到制衡，管理层为了自身的政治前途考虑也会更加注重内部控制建设，会积极致力于防范内部控制缺陷给企业和自身带来的不良后果，发生内部控制缺陷后，也更会积极改进。相反，我国非国有企业大多为家族企业，比较容易存在领导者独裁和强调领导者的个人作风，管理层与企业员工更易具有或形成密切的私人关系，企业内部控制制度建设不完善，内部控制也更可能存在缺陷，发生内部控制缺陷后，非国有企业对内部控制缺陷的应对较为缓慢。

同时，国有企业与非国有企业在风险承担方面也可能存在显著的差异。一方面，国有企业由于资源和政策等方面的优势，面临的生存压力较小，寻求高风险高收益项目的动力不足，使得国有企业的风险承担水平较低;另一方面，国有企业的管理者并非来自于完全竞争的经理人市场，而主要来自于行政任命，更倾向于在任期内实现平稳经营以便获得政治晋升，由于风险承担不利于国有企业的高管实现政治目标[13]，因此，国有企业管理层会更倾向于选择低风险的投资项目，即偏好于采用稳健的投资决策，这也会使得国有企业的风险承担水平有限[14]。相反，非国有企业的管理层则来源于经理人市场，面临更多的市场竞争和解聘压力，从而对待风险更加积极，更有意愿寻求高风险高收益项目，使得非国有企业的风险承担水平较高。

综上所述，国有企业可能存在较少或并不严重的内部控制缺陷，同时具有相对较低的风险承担水平，使得内部控制缺陷及其改进与企业风险承担水平之间的关系在国有企业相对较弱，在非国有企业相对较强。基于以上分析，提出研究假设3。

H3：与国有企业相比，内部控制缺陷及其改进与企业风险承担之间的关系在非国有企业更明显。

三、研究设计

（一）样本选择

本文选取我国2010—2018年沪深两市上市公司为研究样本，并进行如下筛选：剔除金融类、被ST、*ST以及数据缺失的样本。公司财务数据和公司治理数据来自于国泰安（CSMAR）数据库。经过上述筛选后，最终得到18 253个观测值，包括5 193个存在内部控制缺陷的样本，占总样本的28.5%，说明我国沪深两市上市公司的内部控制水平较低。为避免数据极端值对回归结果的影响，对主要连续变量进行了1%和99%分位上的Winsorize处理。数据处理主要运用Stata 14.0软件。

（二）变量定义

1.被解释变量：企业风险承担水平。参考以往的研究，本文主要采用企业盈利的波动性——企业资产收益率的波动情况来衡量企业的风险承担水平。具体的计算方法如下：

首先，基于模型1计算经行业和年度均值调整的资产收益率（PAi，j，t）。

其中，EBIT为息税前利润，A为资产总额，下标i、j、t分别代表企业、行业和时段，nj，t表示在第t年度j行業中的公司总数。

其次，在2010—2018年的样本区间内，以五年为一个观测区间，滚动计算得出标准差，该标准差即为企业风险承担水平（Risk1i，t）。

此外，也计算观测区间内（T=5）经行业和年度均值调整后的资产收益率（PAi，j，t）最大值与最小值的差额，以此反映企业的风险承担水平（Risk2i，t），具体计算如模型2所示。

Risk2i，t=max（PAi，j，t，PAi，j，t+1，…，PAi，j，t+T）-min（PAi，j，t，PAi，j，t+1，…，PAi，j，t+T）? ?（3）

Risk1和Risk2值越大，表明企业的风险承担水平越高。

2.解释变量：内部控制缺陷相关变量。（1）内部控制缺陷（ICW）。上市公司当年披露了内部控制缺陷为1，否则为0。（2）内部控制缺陷严重程度（Score）。按照现有文献的分类方法，内部控制缺陷按严重程度可划分为重大缺陷、重要缺陷和一般缺陷。本文借鉴现有文献[7]，使用内部控制缺陷分数（Score）定义内部控制缺陷严重程度。Score为企业披露的所有内部控制缺陷分值加总，其中一般缺陷、重要缺陷及重大缺陷的分值分别为1分、2分和3分，Score的取值范围为1—6，Score值越高，表示内部控制缺陷越严重。（3）内部控制缺陷改进（Revise）。如果上市公司在某一年披露的内部控制缺陷种类比上一年少或该年不存在相同类型的内部控制缺陷，则Revise取值为1，表示内部控制缺陷得到改进，否则为0。

3.控制变量。借鉴已有研究，本文选择如下的控制变量：国有企业（SOE，最终控制人为中央或地方政府，取值为1，否则为0）、股权集中度（Top1，第一大股东持股比例）、公司规模（Size，公司总资产的自然对数）、盈利能力（ROA，净利润/资产平均总额）、资产负债率（Lev，负债/总资产）、成长性（Growth，销售收入增长率）、上市年龄（Age，1+上市年限之和的自然对数），并分别采用年度（Year）和行业（Ind）虚拟变量表示的年度和行业固定效应。主要变量定义见表1。

（三）理论模型的构建

参考余明桂等[13]，本文采用如下OLS回归模型进行假设检验：

Riski，t=β0+β1ICWi，t+∑βjControlj，i，t-1+∑Year+∑Ind+

Riski，t=β0+β1ICWi，t-1+β2Revisei，t+∑βjControlj，i，t-1+∑Year+∑Ind+εi，t? ? ?（5）

模型4用于检验内部控制缺陷（ICW）及其严重程度（Score）对企业风险承担水平的影响，根据H1a和H1b，预计ICW和Revise的回归系数（β1）显著大于0。

模型5用于检验内部控制缺陷从披露到改进这一动态过程对企业风险承担水平的影响，模型5在模型4中控制t-1年度的内部控制缺陷（ICW）的基础上引入了内部控制缺陷改进（Revise）变量。根据H2，预计Revise的回归系数（β2）显著小于0。

四、实证检验与结果分析

（一）描述性统计

表2报告了主要变量的描述性统计结果。从表2可知，Risk1的平均值为0.034，最小值为0.002，最大值为0.182，标准差为0.035;Risk2的平均值为0.083，最小值为0.009，最大值为0.463，标准差为0.085，表明不同公司的风险承担水平存在较大的差异。ICW的平均值为0.285，表明有28.5%的样本存在内部控制缺陷。Score的最小值和中位数都为1.000，表明至少有一半的样本公司存在内部控制一般缺陷，最大值为6.000，表明样本包含当年内部控制同时存在一般缺陷、重要缺陷和重大缺陷的企业。Revise的平均值为0.388，表明平均而言，公司披露内部控制缺陷后，有38.8%的公司在第二年对内部控制缺陷进行了改进。

（二）回归分析

1.内部控制缺陷对企业风险承担影响的实证结果

为验证H1a，本文采用异方差稳健标准误的OLS回归对模型4进行检验。表3报告了模型4的回归结果。列（1）和列（2）报告了是否存在内部控制缺陷对企业风险承担水平的影响，列（3）和列（4）报告了内部控制缺陷程度（Score）对企业风险承担水平的影响。列（1）和列（2）的结果显示：ICW的回归系数均在1%的水平上显著为正，表明与不存在内部控制缺陷的企业相比，存在内部控制缺陷的企业具有相对较高的风险承担水平。研究还发现，第一大股东持股比例、资产负债率、成长性、上市年龄与风险承担水平显著正相关，公司规模、盈利能力与风险承担水平显著负相关。同时，列（3）和列（4）的结果显示：Score的回归系数在1%的水平上显著为正，表明在存在内部控制缺陷的企业中，内部控制缺陷越严重，企业的风险承担水平越高。控制变量、回归系数和符号与现有研究发现基本一致。因此，表3的回归结果证实了H1a和H1b。

2.内部控制缺陷改进对企业风险承担影响的实证结果

表4报告了模型5的回归结果，据此分析内部控制缺陷改进对企业风险承担水平的影响。列（1）和列（2）的被解释变量分别为企业风险承担水平Risk1和Risk2，解释变量为内部控制缺陷改进（Revise），模型4还控制了上一年度的内部控制缺陷（ICWi，t-1）。回归结果显示，内部控制缺陷改进（Revise）的回归系数分别在10%和1%的水平上显著为负，说明内部控制缺陷改进有助于降低企业的风险承担水平，从而支持了H2。控制变量的回归系数和显著性与表3类似，在此不再分析。

3.产权性质影响的检验

表5报告了在模型4的基础上对样本按不同产权性质进行分样本回归结果。列（1）和列（3）Risk1下的回归结果方面，列（1）中ICW的回归系数不显著，但第3列中ICW的回归系数在1%的水平上显著为正，说明内部控制缺陷对于企业风险承担的影响效应在非国有企业更为明显。在列（2）和列（4）Risk2下的回归结果中也有类似的发现。导致这一结果的主要原因在于，当存在内部控制缺陷时，国有企业管理层会承受更大的来自政府的外部压力和自身的“政治晋升”需要，从而会对企业风险性投资的决策进行积极的干预，最终弱化内部控制缺陷与企业风险承担之间的关系。因此，表5的回归结果支持了H3。

五、主要研究结论与政策建议

本文以2010—2018年沪深A股非金融类上市公司作为研究样本，考察了内部控制缺陷及其改进对企业风险承担水平的影响，以及二者关系在不同产权性质企业中的差异。研究结论表明，公司存在内部控制缺陷会提高风险承担水平，内部控制缺陷越严重，风险承担水平越高，而内部控制缺陷的改进有助于降低企业风险承担水平。与国有企业相比，非国有企业的内部控制缺陷及其改进与企业风险承担水平之间的关系更为明显。

基于上述研究，本文提出如下两点建议：第一，企业承担一定的风险，有利于提升企业价值和资本配置效率，因此，企业风险承担水平不是越低越好。尽管内部控制缺陷会对企业成长带来不利的影响，内部控制缺陷的存在也会提高企业的风险承担水平，但只要内部控制缺陷不严重，企业风险承担水平仍可以保持在适度的范围内。第二，企业应该努力加强风险承担方面的内部控制建设，从事一些风险活动时更应该围绕风险控制和风险承担建立一套严密的内部控制机制，避免产生较为严重的内部控制缺陷及其可能带来的负效应，最大程度地发挥内部控制对于企业风险承担水平的作用。

【参考文献】

[1] MILLER D，FRIESEN P H.Archetypes of strategy formulation[J].Management Science，1978，24（9）：921-933.

[2] ACHARYA V V，AMIHUD Y，LITOV L.Creditor rights and corporate risktaking[J]. Journal of Financial Economics，2011，102（1）：150-66.

[3] 張敏，童丽静，徐浩然.社会网络与企业风险承担——基于我国上市公司的经验证据[J].管理世界，2015（11）：161-175.

[4] 盖地，盛常艳.内部控制缺陷及其修正对审计收费的影响——来自中国A股上市公司的数据[J].审计与经济研究，2013，28（3）：21-27.

[5] 王惠芳.上市公司内部控制缺陷认定：困境破解及框架构建[J].审计研究，2011（2）：71-76.

[6] GOH B H.Audit committees，Boards of directors，and remediation of material weakness in internal control [J].Contemporary Accounting Research，2009，26（2）：549-579.

[7] ASHBAUGH-SKAIFE H，COLLINS D，KINNEY W.The effect of sox internal control deficiencies and their remediation on accrual quality [J].The Accounting Review，2008，83（1）：217-250.

[8] DOYLE J T，GE W，MCVAY S.Determinants of weaknesses in internal control over financial reporting[J].Journal of Accounting and Economics，2007，44（1）：193-223.

[9] 池国华，王钰.内部控制缺陷披露与投资不足：抑制还是加剧？[J].中南财经政法大学学报，2017（6）：3-10.

[10] 朱彩婕，刘长翠.公司治理与内部控制缺陷修复的相关性研究——来自于国有上市公司2010—2014年的经验数据[J].审计研究，2017（4）：97-105.

[11] 方红星，金玉娜.高质量内部控制能抑制盈余管理吗？[J].会计研究，2011（8）：53-60.

[12] 林钟高，陈俊杰.终极控制人性质、内部控制缺陷与企业风险[J].财经理论与实践，2016（37）：84-92.

[13] 余明桂，李文贵，潘红波.民营化、产权保护与企业风险承担[J].经济研究，2013（9）：112-124.

[14] 高磊.产权性质还是市场竞争有利于企业绩效？——基于风险承担视角的检验[J].经济与管理研究，2018，39（1）：136-144.