摘要:为应对企业风险控制各项职能分散管理,各自为政,难以有效形成风险控制合力的现实问题,基于风险控制理论研究现状,结合我国企业实践,分析风险控制内部职能定位,构建具有中国特色的企业风险控制框架。研究发现,第一,风险控制内部各项职能的定位为:内部控制是对企业内部固化风险的控制;风险管理是对企业外部活化风险的防范;法律、合规管理是内部控制的细分职能。第二,企业风险控制框架的构建思路为:风险控制包括面向企业内部固化风险控制的内部控制与面向企业外部活化风险防范的风险管理;内部控制通过业务部门、财务等职能部门与审计部门的3道防线重点控制企业面临的内部“灰犀牛”风险;风险管理通过风险信息收集、风险评估与风险应对的基本流程,重点防范企业面临的外部“黑天鹅”风险。

　　关键词:风险控制;风险管理;内部控制;法律管理;合规管理

　　0引言

　　党的二*大报告指出,要防范化解重大风险,保持社会大局稳定。企业是国民经济的细胞,做好风险控制工作对防范化解我国重大风险具有重要意义。随着企业规模的扩大,特别是在大型企业集团,风险控制相关的制度繁杂、部门众多,亟须将与风险控制相关的风险管理、内部控制,以及法律、合规管理等职能协同管理,以减少重复工作,提高风险控制效率与效果。在财政部、国资委等政策制定部门的推动下,我国企业风险控制各项职能正向着协同的方向快速发展。然而,在风险控制各项职能协同的过程中,由于缺少较为清晰、合理的风险控制框架,同时风险控制各项职能之间边界不清晰,定位不准,存在交叉和重叠的地方较多,导致难以有效指导企业风险控制实践。

　　如何建立有效的内部控制、风险管理、法律管理、合规管理等各项风险控制职能协同运作的机制是我国企业面临的重要现实问题。虽然风险控制各项职能的协同存在强烈的实务需求与有力的政策推动,但仍面临如何协同的关键困境。实践中,大型企业集团的风险管理部门、内部控制部门、法律合规部门往往各成体系,缺少直接整合的基础。同时,风险管理与内部控制之间的关系争议多年,难以有效指导实践[1]。究其根本原因,是风险控制各项职能定位不够清晰,并且缺少统一、自洽的风险控制框架,相应的风险控制理论不完善,不系统,难以指导风险控制相关政策制定与企业风险控制工作。

　　本文基于风险控制相关的制度背景与研究进展,分析内部控制、风险管理、法律管理、合规管理4个主要风险控制内部职能的定位,及其之间的关系,提出构建具有中国特色的风险控制框架思路,从而抛砖引玉,探索科学合理且契合我国企业实际情况的风险控制体制机制,共同推动建立具有中国特色的风险控制理论体系。

　　1制度背景与文献梳理

　　1.1制度背景

　　美国COSO委员会是国外具有代表性的风险控制规则制定者。该组织分别于1992年发布《内部控制—整合框架》、2004年发布《企业风险管理—整合框架》、2013年更新发布《内部控制—整合框架》、2017年发布《企业风险管理—战略和绩效的整合》,形成目前企业实务中内部控制与风险管理框架独立运行、互相补充的格局[2-3]。虽然该组织制定了内部控制与风险管理的框架,但由于内部控制框架中包含风险评估方法,而风险管理框架中又包含内部控制要素,导致风险管理与内部控制之间的关系长期存在争议。

　　借鉴美国COSO委员会发布的内部控制与风险管理框架,我国逐步建立了以内部控制与风险管理为核心的企业风险控制制度。2006年,国*院国资委发布《中央企业全面风险管理指引》(国资发改革〔2006〕108号),是我国较早颁布且成体系的内部控制与风险管理制度文件。2008年,财政部会同证监会、审计署、银监会、保监会发布了《企业内部控制基本规范》(财会〔2008〕7号),2010年又出台《企业内部控制应用指引》《企业内部控制评价指引》和《企业内部控制审计指引》(财会〔2010〕11号),进而形成一套统一的内部控制规范体系。2015年以来,国*院国资委发布一系列风险控制相关制度规定,着力推动风险控制各项职能的有效协同,见表1。

　　从表1可以看出,国*院国资委发布的风险控制政策文件中,不仅强化传统的内部控制和风险管理职能,还愈发关注法律、合规管理,并将二者与内部控制、风险管理作为同一层面的管理职能提出。这说明,以国资委为代表的政策层对法律、合规问题愈发的重视,也造成原来合并在内部控制与风险管理职能中的法律、合规管理不断“提级”,成为与内部控制和风险管理相平行的管理职能。2022年2月28日,国资委召开中央企业强化合规管理专题推进会,要求深入开展一次全级次、全领域、全方位合规风险排查,坚持查改并举,对违规行为立行立改,同时要求抓紧制定一组合规管理清单,推动合规要求深度融入企业经营管理。2022年8月23日,国资委公布《中央企业合规管理办法》(国*院国有资产监督管理委员会令第42号),其中第十三条规定,中央企业业务及职能部门承担合规管理主体责任,履行建立健全合规管理制度、流程、编制风险清单、梳理合规风险等职责。2023年3月2日,国资委召开中央企业深化法治建设加强合规管理工作会议,强调中央企业要以首席合规官制度为核心,加强对重大经营事项的审核把关,对违规行为“一票否决”。在国资委聚焦法律、合规管理的文件与会议推动下,我国企业特别是中央企业对法律、合规管理的重视达到了前所未有的新高度。

　　1.2文献梳理

　　内部控制和风险管理是风险控制的主要职能,同时,随着法律、合规管理愈发受到重视,二者也成为风险控制的重要职能。内部控制较早受到各界重视。相比之下,风险管理则是较为年轻的概念,但近年来也愈发受到重视,并且其范围有涵盖内部控制的趋势。法律、合规管理则是从内部控制与风险管理中细分出来的领域,聚焦企业法律与合规风险的控制与防范。

　　内部控制是从域外引入的新概念。早期的内部控制概念实际上源于财务会计保证资产安全和会计信息真实的控制措施[4]。随着现代企业制度的建立,学术界与实务界对内部控制的重要性愈发认同。内部控制是组织自身为了降低内部各层级之间代理问题而建立的一套风险控制机制[5]。学术界普遍认为,内部控制的本质,来自于不相容职务分离的制衡效应[6-7]。内部控制往往表现为企业内部所建立的流程与机制,其控制的对象并非业务活动与流程本身,而是这些业务活动与流程背后隐藏的风险[8-9]。也有学者提出,内部控制并非万能和绝对的,也存在固有局限,只能起到合理保证的作用[10]。在我国,由于内部控制无所不包的特点,其范围和边界逐渐扩大,以至于成为“管理”的代名词[11]。内部控制范围的扩张,导致其与企业的其他管理职能交叉重叠,也弱化了内部控制本身的核心功能。内部控制存在的另一个问题,是重视局部流程风险,忽视整体系统风险。企业在开展内部控制过程中,往往按照具体业务流程进行内控设计,例如采购管理、销售管理、资金管理等。虽然每项业务都有相应的流程控制过程风险,但对流程运行的整体风险缺少把握[12]。在我国企业特别是国有企业中,内部控制往往与上级机关的“外部控制”密不可分,并且存在外部董事等独有特点[12-15]。

　　风险管理是通过对风险的识别、衡量和控制从而以最小的成本使风险所致损失达到最低程度的管理方法[16]。由于内部控制的对象是风险,而控制风险就是风险管理,所以有学者主张内部控制和风险管理是控制风险的两种不同语义表达形式[17]。从学术界主流观点和企业实务操作来看,风险管理和内部控制仍然存在本质区别。有学者从风险的范围对二者进行区分,认为内部控制主要侧重于内部风险的控制,而风险管理不仅包括内部风险控制,还包括外部风险控制[5]。也有学者从风险的性质对二者进行区分,认为内部控制是对企业固化风险的控制,而风险管理则是对企业动态风险的管理[18];类似的观点还包括:内部控制的侧重点是针对管理的确定性进行控制,而风险管理是针对管理的不确定性进行管理,帮助企业把握不确定性,才能把握住管理的实质,才能更好地帮助企业创造和保护价值[19]。还有学者认为,风险管理包含内部控制,内部控制只是风险管理的组成部分[1]。在我国企业实践中,风险管理与内部控制存在同样的职责扩张且边界不清的问题。这一方面源于理论层面风险管理与内部控制概念的重叠;另一方面源于现代企业对风险的愈发重视。除此之外,西方的风险管理理论在我国尚未完全本土化,特别是忽视了国有企业对控制政治风险的强烈需求。在国有企业中,贯彻落实党*央的会议精神与政策规定高于一切,同时,对安全生产风险等涉及政治稳定的风险,是国有企业风险管理的头等大事。因此,在我国企业风险管理过程中,应当更加重视政治风险控制,建立符合中国特色的风险控制体系[15]。

　　虽然内部控制和风险管理是风险控制的主要职能,但由于近年来法律、合规风险事件频发,导致原来合并在内部控制与风险管理中的法律风险、合规风险管控日益受到重视,甚至在很多企业管理过程中时常进行“提级”,与风险管理和内部控制平行管理,甚至重要程度高于后两者。这一现象并非心血来潮,而是有其深刻的现实原因。2016年,美国商务部对中兴通讯的制裁事件,虽然本质上是美国利用法律武器维护其全球地位而行使“长臂管辖权”,但也暴露出我国企业在经济全球化的竞争中合规风险防范意识较弱[20-21]。该事件给我国企业敲响了合规风险的警钟,此后合规管理成为风险管理的重点,甚至从风险管理中独立出来进行“提级”管理,例如实践中广泛存在的合规管理委员会、首席合规官、合规部等现象。

　　2风险控制中各项职能的定位分析

　　2.1内部控制是对企业内部固化风险的控制

　　内部控制是从财务会计分离出来的领域,因为财务会计系统天然要承担资产安全、会计信息真实、财务报告风险控制的职能,通过会计与出纳等职能的分离以牵制和制衡会计人员,从而确保会计数字的可靠性[4-5]。随着内部控制理论的快速发展,学界基本认同内部控制的本质是制衡与监督,流程只是内部控制的外在表现形式,其根本目的是控制业务流程中的风险,即内部控制的对象是风险[6-9]。在COSO发布的《内部控制—整合框架》(2013)中,内部控制的五大要素分别为:控制环境、风险评估、控制活动、信息与沟通、监控活动,基本与1992年的框架保持一致[19]。我国企业内部控制的“大纲”—《企业内部控制基本规范》(财会〔2008〕7号),也采用了这5个要素作为内部控制的基本要素。在内部控制的5个要素中,第二个要素就是风险评估,由于风险评估同样是风险管理的核心要素,也就直接导致内部控制与风险管理的关系难以廓清。如果按照风险评估是内部控制的要素之一,那么内部控制似乎包含了风险管理,但理论和实践的发展趋势均表明,内部控制难以涵盖风险管理的全部内容,也有学者主张内部控制是风险管理的一部分[1]。

　　从企业实践来看,内部控制工作往往表现为各项业务工作流程的建立,特别是表现为内控手册的编制与使用。内部业务流程的设计与细化,其目的是防范业务执行过程中可能发生的风险。这里的风险是日常活动中经常存在的风险,例如会计与出纳两个岗位未分离导致的资金风险等,因而是内源性、固化的风险。企业通过业务流程的设计与有效执行,能够有效控制这些风险,保证经营活动的正常进行。除了业务流程的设计与执行,财务部门、人力部门、法律部门与审计部门实际上也是内部控制的执行部门。因为财务核算工作天然具有保证资产安全和会计信息真实的职责,反映与监督本身也是会计的基本职能。同时,人力资源管理、党建部门、法律部门都在各自领域承担风险控制职能。从这个意义上来看,财务与人力、法律等职能部门是控制内源性、固化风险的第二道防线,相应第一道防线在业务部门,第三道防线则在审计部门。因此,内部控制是对企业内部固化风险的控制,主要通过业务部门的流程设计、财务部门的核算监督、审计部门的审计监督这3道防线来实现。

　　虽然流程导向的内部控制能够有效控制内部固化风险,但往往由于缺少风险导向的重点思维导致效果不佳。近年来,内控手册的编制成为大型企业的“常规操作”,但其实用性往往较低,时常在编制完成后就“束之高阁”,直到数年后修订时再拿出来“审议”,难以真正指导企业实践,发挥应有作用。究其主要原因,在于企业实践中,内控工作往往坚持“全面思维”,贪多求全,未能兼顾风险导向下的“重点思维”,而理论层面内部控制的五要素实际上也难以真正落地,因此企业往往试图不分重点全面建立各项业务的规范化操作过程,形成“完美”的内控手册,反而陷入繁杂冗余而可用性较低的境地。因此,内部控制与风险管理的协同,在内部控制角度关键要坚持以风险为导向,兼顾风险管理的重点思维,明确内部控制的重点是控风险,而不是建流程。在风险导向的内部控制下,提炼可能导致重大风险的关键节点,对这些关键风险节点重点设计规范化的操作流程并严格执行。同时,梳理并剔除无关痛痒、风险发生概率较小、影响程度较小的内部控制节点,提高内部控制的效率和效果。

　　2.2风险管理是对企业外部活化风险的防范

　　风险管理是企业对实现特定目标可能发生的有利与不利事项进行的管理活动。风险管理是从内部控制中分离出来的领域,学界对二者的关系一直存在较大争议[17]。随着理论与实践的不断发展与演化,逐渐形成了风险管理与内部控制分立发展,但存在密切关系的格局。理论层面,内部控制是风险管理的途径与手段,注重“固化”风险的控制,针对的是管理的确定性,而风险管理是内部控制的方向,注重动态风险的控制,针对的是管理的不确定性,二者各有侧重,互为补充,但不可相互替代[3,18-19]。实践层面,企业内部控制与风险管理往往设立在同一部门进行协同管理,例如审计与风险管理部等,但二者的工作内容与模式并不相同。风险管理侧重从风险识别、风险评估到风险应对的管理过程,而内部控制则关注完善各项业务的设计缺陷与执行缺陷。虽然COSO在2017年发布的《企业风险管理框架》对风险管理要素进行了较大幅度的修改,纳入了治理、文化、战略等要素,但风险管理本身的工作流程并未发生实质性变化。在《企业风险管理框架》(COSO,2017)中,风险管理的核心工作体现在“运行”部分,包括识别风险、评估风险的严重程度、风险评估、执行风险应对、建立风险的组合观,显然并未改变也无法改变风险管理的工作过程[19]。

　　虽然风险管理从范围上来看似乎包含内部控制,因为内部控制只是对企业内部固化风险的控制,而风险管理从名称上来看就包含了企业所有风险的管理,但从这两个概念与框架的发展脉络来看,二者还是存在本质区别。风险管理的流程是信息收集、风险评估,进而做出应对措施,面向的是未知领域,更加关注外部环境,这与内部控制刚好相反。因此,如果在企业内部固化风险的控制过程中,也同时采用风险管理的工作流程重复控制风险,虽然在一定程度上能够强化内部风险控制,但也会造成重复管理与管理资源的浪费。风险管理的重点,应当放在企业外部,聚焦企业发展过程中可能遇到的重大战略风险,通过专业的风险评估与应对手段,有效防范化解。例如,全球经济、金融形势的变化,可能会对企业未来若干年的发展带来风险,而这些源于外部的重大风险,企业采取内部控制的流程改进是无法化解的,因此需要专业的风险管理手段去评估和应对。因此,风险管理的重点,是防范企业外部的活化风险,相应的风险管理方法、手段也更加灵活和复杂。

　　虽然风险管理的侧重点与内部控制不同,但在实际操作中,也应当借鉴内部控制较为全面的流程设计,完善风险管理流程,提高风险管理的能力与效果。内部控制的核心是流程设计,而风险管理由于风险评估方法的复杂性,以及风险本身的不可预见性,导致风险管理工作本身的流程难以确立。从现实情况来看,我国企业虽然越来越重视风险管理和内部控制,但风险管理工作本身的内部控制流程往往处于“真空”状态,亟须建立规范的风险管理操作流程。因此,要强化风险管理工作本身的内部控制,即建立风险识别、风险评估、风险应对的规范化操作流程。

　　风险管理内部控制流程的建立,重点是根据企业实际情况,确定适合企业的风险评估方法,将其通俗化和规范化,由于较为复杂的风险评估方法难以落地,因此要选取操作性强、可行性高的方法。例如,《中央企业全面风险管理指引》(国资发改革〔2006〕108号)提供了4种风险管理常用技术方法:风险坐标图、蒙特卡罗方法、关键风险指标管理、压力测试。企业可以从上述4种技术方法中,选出一到两种技术方法,规范具体操作流程。在此基础上,制定细化的风险分类清单,详细列示各种风险的初始信息收集要素,明确风险评估的若干种方法及其对应的程序、表单,条件成熟的可以将风险管理操作过程形成实用的工作手册,规范风险管理的内部控制全流程,从而使得风险管理及其监督评价工作有据可依。通过细化和完善风险管理的操作流程,把内部控制作为风险管理的手段,最大程度消除风险管理工作本身的设计缺陷与执行缺陷。

　　2.3法律、合规管理是内部控制的细分职能

　　法律、合规管理的目的是控制企业内部固化的法律风险,因而是内部控制的细分职能。企业合规是围绕着合规风险而展开的,因此一定要深入合规风险的层面加以理解。合规管理的目的是防范合规风险,使公司免予承担行政责任和刑事责任。合规风险是法律风险的一种,特指那些企业因违反法律法规所遭遇损失的可能性,不含商业合作伙伴违规所造成的可能损失,以及国家法律制度变化所可能带来的不可抗力损失[20]。根据《中央企业全面风险管理指引》(国资发改革〔2006〕108号),法律风险是与战略风险、财务风险、运营风险、市场风险相并列的五大风险之一。合规风险则包含在法律风险之中。实务中,法律、合规管理与风险管理平行管理,容易导致工作内容重复,工作目的不清,难以区分法律、合规管理与风险管理中的法律风险、合规风险防范之间的关系,反而阻碍了企业风险管理的体系化建设。因此,不宜直接将法律、合规管理从法律风险控制中独立出来,形成“一分为三”割裂管理的局面,应当理顺法律、合规管理与传统风险控制职能的关系,出台相应的规范性制度,指引企业建立逻辑层级清晰、权责关系明确的风险控制体系。

　　法律、合规管理作为风险控制的重要内容,具有不同于战略风险等其他风险管理的独特性。法律、合规管理具有普遍性和强制性的特点。企业所有的业务活动,都必须遵守内规和外规的要求,一旦违反则会触发相应的惩罚机制,可能给企业带来实际损失,形成风险事件。因此,法律、合规管理本质上是风险控制中的红线管理。企业进行法律、合规管理,关键要根据内规与外规,梳理出“负面清单”和“义务清单”,明确哪些事情不能做,哪些事情必须做。法律、合规管理的禁止事项和义务事项是相对确定的,也就是相对固化的风险,企业只要在规则范围之内开展经营活动,就能够控制这部分风险。因此,法律、合规管理,本质上是对企业内部固化的法律风险、合规风险的控制。从这个意义上来看,法律、合规管理实际上是内部控制职能在法律、合规领域的细化。虽然法律、合规管理是风险控制的重要组成部分,即便二者越来越重要,但在企业风险控制层面并非与风险管理、内部控制相平行的概念。因此,应当明确法律、合规管理是内部控制的细分职能,而不是与之平行的管理职能。

　　3风险控制框架的重构与应用

　　3.1风险控制框架的重构

　　基于上述讨论,内部控制与风险管理是风险控制的主要职能。内部控制是企业控制内部固化风险的手段,应对的是企业经营过程中固有的、内源的、需要时刻防范的固化风险。内部控制通过不相容职务的分离、集体决策等制衡手段,实现在业务与职能层面对风险的控制。内部控制的表现形式是流程控制,通过业务流程设计、财务核算控制与审计稽查控制的手段,嵌入制衡的手段,融入合规的节点,最终目的是控制企业内部固化风险。风险管理重点关注企业外部的影响战略实现的重大风险防范。通过制定风险计划,开展风险评估等工作,揭示企业面临的重要外部风险,集中精力进行管控,防止发生重大风险事件。风险管理工作不针对内部业务流程层面零星的小风险。因为,内部的固化风险已经通过内部控制流程中的业务、职能与审计3道防线解决了,这些零星的小风险对企业战略实现与生存发展影响不大,不需要单独采用复杂的风险管理程序。风险管理针对的是不经常发生的“黑天鹅”风险。虽然“黑天鹅”风险事件不经常发生,但一旦发生就会对企业造成难以估量的毁灭性打击,因此需要在战略层面采用风险管理的专门手段加以应对。

　　综合上述分析,风险控制包含风险管理和内部控制,目的是所有的风险都必须实现可控。内部控制聚焦于企业内部经营管理的固化风险控制。风险管理聚焦于企业外部经营环境的活化风险应对。法律、合规管理聚焦于法律、合规方面具有固化性质风险的控制,属于内部控制的细分职能。因此,企业风险控制的整体框架构建思路为:风险控制包括面向企业内部固化风险控制的内部控制与面向企业外部活化风险防范的风险管理;内部控制通过业务部门、财务等职能部门与审计部门的3道防线重点控制企业面临的内部“灰犀牛”风险,例如政治、法律、运营与财务等风险;风险管理通过风险信息收集、风险评估与风险应对的基本流程,重点防范企业面临的外部“黑天鹅”风险,例如战略、市场等风险。企业风险控制框架见图1。

　　3.2风险控制框架的应用

　　为进一步推进该框架在企业风险控制实践中的落地应用,需要重点关注以下3个要点:一是整合与优化法律、合规管理与内部控制的组织架构,将法律与合规管理纳入内部控制的组织机构。在内部控制组织机构内,再重点关注和管理法律与合规风险,可单独下设法律、合规管理部门或配置专门人员,从而建立逻辑层级清晰、权责关系明确的内部控制组织架构。二是细化风险管理操作流程。好的风险管理是不发生重大风险事件,即便发生重大风险事件也能有效处置,即风险管理是重点思维,关注重要领域已经发生或可能发生的重大风险,但往往容易忽视风险管理工作本身流程的健全性与规范性。因此,开展风险管理工作,要借鉴内部控制的全面思维,健全信息收集、风险评估、风险监测、监督评价等风险管理工作本身的内部控制流程,编制风险管理操作指南或工作手册,规范风险管理过程,防止风险管理中内部控制的“灯下黑”。三是提炼内部控制关键节点。内部控制往往追求所有业务、管理活动均有科学、完整的流程,并能够得到有效执行,遵循的是全面思维,因而要借鉴风险管理的重点思维,关注可能发生重大风险的关键节点控制,去除无效控制节点,从而提高内部控制的效率与效果。

　　4结语

　　如何处理风险控制内部各项职能,即内部控制、风险管理、法律管理、合规管理之间的关系,实现这些风险控制职能在企业管理过程中的协同,不仅是风险控制理论需要回答的重要问题,更是现阶段我国企业风险控制工作面临的现实难题。本文从风险控制研究的现状出发,结合我国企业风险控制工作的现实情况,明确风险控制内部各项职能的定位与相互关系,尝试构建具有中国特色的企业风险控制框架。第一,重构各要素的职能定位:内部控制主攻内部固化风险(即相对稳定、可预测的内部流程风险);风险管理主攻外部活化风险(即动态多变、不确定的外部环境风险);法律、合规管理是内部控制的精细化分支,确保企业行为在既定的法律和规则框架内。第二,建立一个“二元结构”的风控体系,明确区分对内和对外的风险战场:对内重点依靠流程化的内部控制,依托经典的“三道防线”模型,重点防御内部可预见的“灰犀牛”风险(如运营、财务、合规等风险);对外重点依靠动态化的风险管理,遵循“信息收集→评估→应对”的基本步骤,重点防范外部不可预测的“黑天鹅”风险(如战略、市场等风险)。

　　本文针对我国企业在风控实践中面临的整合难题,尝试提出一个具有中国特色的、结构化的思考起点,推动企业风控体系从“职能拼盘”走向“有机生命体”,从“成本中心”走向“价值伙伴”,最终打造出一个能够同时应对“灰犀牛”与“黑天鹅”的、敏捷而富有韧性的现代企业风控治理体系。这不仅是理论的呼唤,更是企业在复杂多变的“乌卡时代”生存与发展的必然要求。

参考文献

　　[1]沈烈,何璐伶.内部控制对企业风险管理的影响:述评与展望[J].财会通讯,2022(8):17-23.

　　[2]董月超.从COSO框架报告看内部控制与风险管理的异同[J].审计研究,2009(4):94-96,80.

　　[3]许新霞,何开刚.内部控制要素的缺失与完善:基于内部控制和风险管理整合的视角[J].会计研究,2021(11):149-159.

　　[4]阎达五,杨有红.内部控制框架的构建[J].会计研究,2001(2):9-14.

　　[5]丁友刚,胡兴国.内部控制、风险控制与风险管理:基于组织目标的概念解说与思想演进[J].会计研究,2007(12):51-54.

　　[6]谢志华.内部控制:本质与结构[J].会计研究,2009(12):70-75.

　　[7]杨有红,胡燕.试论公司治理与内部控制的对接[J].会计研究,2004(10):14-18.

　　[8]冯秀果.内部控制本质:理论框架和例证分析[J].会计之友,2018(9):116-122.

　　[9]李维安,戴文涛.公司治理、内部控制、风险管理的关系框架:基于战略管理视角[J].审计与经济研究,2013,28(4):3-12.

　　[10]董必荣,树成琳.不负时代重托放眼世界研发中国内部控制理论:中国会计学会内部控制专业委员会2016年学术年会综述[J].会计研究,2017(1):89-91.

　　[11]李心合.内部控制研究的困惑与思考[J].会计研究,2013(6):54-61.

　　[12]李心合.企业内部控制研究的中国化系列之三内控流程的设计与再造[J].财务与会计,2022(6):16-24.

　　[13]李心合.企业内部控制研究的中国化系列之四内部制衡机制及其构造[J].财务与会计,2022(11):4-12.

　　[14]李心合.企业内部控制研究的中国化系列之一企业内部控制的新解读[J].财务与会计,2022(1):16-24.

　　[15]李心合.企业内部控制研究的中国化系列之五超越内控:从内部控制到全面控制[J].财务与会计,2023(4):4-10.

　　[16]王稳,王东.企业风险管理理论的演进与展望[J].审计研究,2010(4):96-100.

　　[17]谢志华.内部控制、公司治理、风险管理:关系与整合[J].会计研究,2007(10):37-45.

　　[18]刘霄仑.风险控制理论的再思考:基于对COSO内部控制理念的分析[J].会计研究,2010(3):36-43.

　　[19]孙友文.COSO与ISO最新风险管理框架全面解读[M].北京:经济科学出版社,2023.

　　[20]陈瑞华.企业合规的基本问题[J].中国法律评论,2020(1):178-196.

　　[21]肖永平.“长臂管辖权”的法理分析与对策研究[J].中国法学,2019(6):39-65.