前沿文献第105期推送
题目:供应链信任衰退:网络安全风险与企业贸易信贷
01
研究概述
网络安全是企业平稳健康发展的基础,是国家安全的重要一环。在此背景下,准确理解企业网络安全风险的经济后果、深入探索企业网络安全风险的有效治理策略,不仅能够为网络安全相关政策的制定提供理论支持,还能够为应对未来数字技术变革提供新思路,因而具有重要的实践和战略意义。鉴于此,本文利用基于机器学习的文本分析技术,构建了一个较为全面反映中国上市公司网络安全风险的指标,从供应链信任角度考察了企业网络安全风险对上下游企业贸易信贷决策和长期商业关系的影响。研究发现:网络安全风险显著降低了企业净贸易信贷。相较于供应商,客户对企业的网络安全风险更为敏感,企业净贸易信贷的减少主要由客户的避险动机驱动。而且,网络安全风险造成的声誉损失在数字化程度更高、商业秘密更多、非国有企业等事前网络安全风险敞口更大,以及市场势力更小、融资约束更大、管理层能力更低等事后损失可控能力更弱的企业中更为明显。进一步研究发现,网络安全风险还导致客户与企业间业务关系的动态调整,使客户将业务更多地配置到其他企业,引发供应链信任的长期衰退。加强数字治理、风险管理与企业交流,能够有效缓解网络安全风险造成的信任衰退。
本文可能的贡献在于:(1)从供应链信任视角扩展了网络安全风险声誉损失的相关研究。本文基于供应链信任视角,考察企业网络安全风险对上下游企业贸易信贷决策的影响及其引发的长期商业关系调整,对揭示网络安全风险在供应链中的传播机制提供了新视角。(2)从网络安全风险视角补充了企业贸易信贷影响因素的研究。本文通过分析网络安全风险对企业贸易信贷的影响,为理解数字经济背景下企业间的信任构建和商业动态提供了新思路。(3)在方法层面,创新性地利用基于机器学习的文本分析方法,以上市公司年报的MD&A文本为基础,构建能够较为全面反映中国企业网络安全风险的指标,为后续评估企业网络安全风险及其经济影响提供了有益借鉴。
02
研究假说
复杂网络理论认为,经济社会中普遍存在的网络形态是一切系统的基础,经济社会问题可以抽象为具有复杂拓扑特征和动力学行为的网络结构(范如国,2014)。近年来,复杂网络理论被广泛用于经济社会系统中的风险传播研究(Lenzu and Tedeschi,2012;张金林和李健,2020)。在供应链中,企业之间因商业交易、信用担保等关系构成了复杂网络系统。其中,中游企业作为连接上下游企业的重要节点起着关键作用。贸易信贷通过链接和协调上下游关系,增强了网络结构的紧密程度和聚集系数。然而,从风险的角度看,贸易信贷是企业间的一种隐性契约。在提供贸易信贷时,供应商既不收取利息,也不要求客户提供抵押品,交易双方面临着较大的信用风险(Wu et al.,2014; Kong et al.,2020)。在这样的网络中,任何一个节点的风险事件都可能通过网络结构迅速传播,影响其他节点的稳定性。特别是中游企业的风险事件,可能会直接对供应商和客户的产品需求与要素供给产生冲击,进而波及上下游企业的生产运营。在风险溢价理论框架下,当感知到中游企业的网络安全风险后,出于对供应链网络稳定性的担忧,上下游企业可能会对与其交易相关的风险进行重新评估,并要求更高的风险溢价以补偿潜在损失(Kamiya et al.,2021)。此时,上下游企业可能会寻求更好的交易条件以应对潜在风险。基于以上分析,本文提出:
假说1:企业网络安全风险导致企业净贸易信贷降低。
对上游供应商的资金使用以及对下游客户的资金供给共同构成了企业的贸易信贷活动(Fisman and Love,2003)。企业净贸易信贷的减少既有可能是供应商减少对企业的贸易信贷供给,也有可能是客户要求更多的贸易信贷使用,分别表现为企业应付账款比例降低和应收账款比例增加(Liu et al.,2016)。从纵向关系看,中游企业暴露的网络安全风险敞口会引发经营风险与违约风险,同时这一负面影响还会通过供应链在更大范围内传导,进而影响上下游企业调整对中游企业的贸易信贷决策。本文认为,中游企业网络安全风险导致的系统性风险主要通过供应链向下游传导。
从理论层面看,由网络安全风险所引发的网络攻击往往为供给侧冲击(Crosignani et al.,2023)。Acemoglu et al.(2016)研究表明,对供给侧的生产率冲击向下游的传播比上游更强烈。当生产函数和消费者偏好符合Cobb-Douglas形式时,对上游企业的任何影响都将被数量效应和价格效应的平衡所抵消。相反,中游企业遭受的负面生产率冲击将导致该企业的产出价格上涨进而引发客户产 出波动,这证实了供给侧冲击具有沿供应链向下游客户逐级放大传导的特征。就实践层面而言,网络安全风险一般更容易出现在软件和信息技术服务业等更依赖信息技术的高科技行业。在高科技行业中,中游企业通常是关键技术和服务的提供者,尽管其网络安全对供应商和客户都至关重要,但是供应商和客户对网络安全风险的敏感性可能存在差异。相较于供应商而言,中游企业暴露出的网络安全风险敞口,会使下游客户遭受更大的风险。此时,出于预防性动机,客户可能会要求中游企业提供更多的贸易信贷,从而增加中游企业的应收账款占比。基于此,本文提出:
假说2:较于供应商,客户对企业的网络安全风险更为敏感;企业净贸易信贷的减少主要由客户的避险动机驱动。
从事前网络安全风险敞口看,本文认为,在数字化程度更高、商业秘密更多以及非国有企业中,网络安全风险对企业净贸易信贷的负面影响更强。(1)从理论层面看,数字化水平的提高对企业网络安全风险的影响具有双重性。一方面,数字化水平的提高可能增加企业网络安全风险。这是因为随着企业越来越依赖数字技术,其暴露面和潜在的攻击向量随之增加。另一方面,数字化水平的提高也可能降低企业网络安全风险。先进的数字技术可以提供更高效的安全防护措施,体现出数字技术对网络安全风险的保障和预防功能。然而,在实践层面,企业在推进数字化转型过程中往往忽视了网络安全建设与管理。普华永道(PwC)通过对全球3249名企业高管调查发现,企业在数字化转型过程中通常更关注提升运营效率,而将网络安全视为次要问题。这种倾向使得网络安全预算和资源配置不足,难以应对日益复杂的网络威胁。(2)越来越多的研究表明,数字化转型给企业注入了新的创新活力,显著增加了企业的知识成果产出(刘海兵等,2023)。企业的知识成果主要表现为商业秘密与专利,商业秘密是企业最重要的知识成果之一(Klasa et al.,2018)。由于专利为企业的知识成果施加了法律保护,相比之下,商业秘密更容易受到网络攻击(Ettredge et al.,2018)。(3)在中国的制度背景下,国有企业承担了更多的国家战略任务,主要分布于国民经济中的基础性、关键性领域,除了具备经济属性和社会属性外还具备鲜明的政治属性(金碚,2001)。因此,相较于私营企业而言,国有企业的使命担当会使其更加重视网络安全保护,从而具有更低的网络安全风险敞口。
03
(一)样本选择与数据来源
本文以中国沪深 A 股上市公司为研究对象,考虑到中国数字技术的高速发展与应用以及随之而来的网络安全风险主要体现在2010年之后,选择2010—2022年作为研究窗口期。企业层面的财务数据与治理数据来源于国泰安(CSMAR)和万得(Wind)数据库,企业年报数据来源于深圳证券交易所与上海证券交易所官方网站。为提高实证结果可靠性,本文对以上原始数据进行了如下处理:(1)剔除金融类行业样本;(2)剔除样本期内ST的样本;(3)剔除关键变量缺失的样本;(4)为减少异常值的影响,本文对所有连续变量在上下1%的水平上进行缩尾处理。经过上述处理,最终得到35141个上市公司—年度观测值。
(二)关键变量定义
1.企业净贸易信贷。作为一种非正式融资渠道,贸易信贷在中国企业的生产经营中发挥了极为重要的作用(Liu et al.,2016;卞泽阳等,2021)。现有研究通常使用应付账款与应收账款来捕捉企业的贸易信贷使用与供给(Fisman and Love,2003;Liu et al.,2016;Kong et al.,2020)。借鉴上述研究,本文采用企业贸易信贷使用(应付账款)与贸易信贷供给(应收账款)之差与主营业务收入的比值度量企业的净贸易信贷(Netcredit),该值越大,表明企业获得的净贸易信贷越多,融资约束越小。
2.企业网络安全风险。网络安全风险是企业最关注的风险之一,也是企业面临的最紧迫的问题之一(Crosignani et al.,2023)。由于缺乏较为详细的网络安全风险与网络攻击数据,当前国内学术界对企业面临的网络安全威胁问题关注不足。现有关于网络安全经济影响的文献大多是基于美国Privacy Rights Clearinghouse网站自2005年以来披露的针对美国上市公司的网络攻击事件展开研究(Garg,2020;Kamiya et al.,2021),但是这些基于事后事件的研究可能缺乏外部有效性(Lattanzio and Ma,2023),网络攻击往往发生在那些网络安全风险较大的企业,因而在企业被网络攻击之前,关注企业网络安全风险的利益相关者的行为可能已经发生了调整。因此,关注事前网络安全风险对企业而言可能更具有实践与指导意义。然而,准确度量企业层面的网络安全风险具有挑战性,2011年美国证券交易委员会(SEC)要求企业提高对重大网络安全相关问题的透明度,这一规定为分析美国上市公司的网络安全风险提供了机会,对此少量研究基于机器学习方法,通过对美国上市公司披露的10-K文件进行文本分析,构建了美国企业的网络安全风险指标(Lattanzio and Ma,2023;Florackis et al.,2023)。原中国证券监督管理委员会要求中国上市公司在年报的管理层分析与讨论(MD&A)中对企业未来发展所面临的机遇、挑战和各种风险进行说明,因此,对于那些网络安全风险较高的企业,管理层为了降低未来可能面临的诉讼风险,有动机在年报中向股东传达他们关于网络安全风险的担忧(Gordon et al.,2010;Florackis et al.,2023)。这为本文利用基于机器学习的文本分析方法,构建一个能够刻画中国上市企业的网络安全风险指标提供了可能。
具体地,本文变量涉及技术过程如下:首先,构建一个相对完备的网络安全风险词典。本文参考Lattanzio and Ma(2023)、Florackis et al.(2023)的研究,并结合网络安全管理局的政策文件,归纳整理出有关网络安全风险的关键词词典。考虑到数字技术相关词汇(如云计算、人工智能等)可能会捕捉到企业的数字化转型过程而非网络安全问题,本文将与数字技术相关的关键词排除。最终,本文构建了包含访问控制、数据泄露等 60 个企业网络安全风险关键词的词典。其次,对企业年报中的 MD&A 部分进行文本分析。基于Python工具,对上市公司年报中管理层分析与讨论文本进行关键词搜索、匹配与词频统计,计算得到60个与企业网络安全风险相关的词汇在年报中的出现频率。最后,构建网络安全风险指标。本文构建了3个刻画企业网络安全风险的指标:(1)直接采用企业网络安全风险险相关词汇频数总和的自然对数来刻画企业的网络安全风险(lncybersecurity);(2)为排除企业年报 MD&A 部分文本长度差异的影响,使用上述词频总和与年报MD&A语段长度之比衡量企业网络安全风险(Rcybersecurity);(3)为缓解文本分析中高频词的影响以及修正特定词的共性,参考Loughran and Mcdonald(2011)的研究,采用式(1)对网络安全风险词典的每个关键词做加权处理进而构建企业网络安全风险指标(Scorecybersecurity)。在后文中,本文主要使用lncybersecurity展开实证分析,使用Rcybersecurity和Scorecybersecurity两个指标做稳健性检验。
其中,
(三)实证模型构建
为了考察企业网络安全风险对净贸易信贷的影响,本文构建如下计量模型对假说做实证检验:
其中,下标i表示企业,下标t表示年份。被解释变量
04
实证结果分析
(一)网络安全风险与企业贸易信贷
表1的Panel A展示了网络安全风险对企业净贸易信贷的回归结果。其中,第(1)列为单变量 分析结果,第(2)—(4)列依次控制固定效应、企业财务及治理层面的控制变量。结果显示,网络安全风险lncybersecurity的系数均在1%的水平上显著为负,表明企业网络安全风险的增加导致企业净贸易信贷显著降低。网络安全风险对企业净贸易信贷的负面影响不仅具有统计显著性,还具有经济显著性。如前文理论分析指出的那样,企业网络安全风险所引发的经营风险与违约风险增强了上下游企业预防性动机,使得上下游企业收紧对企业的贸易信贷供给,最终体现为企业净贸易信贷降低,这支持了本文提出的假说1。
表1的Panel B进一步细分了导致企业净贸易信贷减少的方向。本文分别使用企业应付账款与应收账款占主营业务收入之比来捕捉供应商和客户对企业的贸易信贷供给(Apay)与使用(Arece),结果分别见Panel B的第(1)、(2)列以及第(3)、(4)列。结果显示,企业网络安全风险对供应商贸易信贷供给的系数并不显著,对客户贸易信贷使用的系数在1%的水平上显著为正。这意味着,企业净贸易信贷的减少主要由客户的避险动机驱动。因此,与供应商相比,客户对企业暴露出的网络安全风险更为敏感,这一结果支持了假说2。
(二)稳健性检验
1.内生性问题处理。在基准回归中,本文使用企业网络安全风险的滞后项来缓解潜在的内生性问题,但是仍然可能遭遇反向因果问题。因此,本文采用工具变量法进行检验。
本文初步选择自 2014 年在全国各地逐步设立的知识产权法院(庭)作为企业网络安全风险的工具变量。此外,鉴于知识产权法院(庭)的设立对研发支出较高的企业具有更大的影响(张晶和陈志龙,2023),本文根据样本期初企业研发支出的中位数将企业分为两组,当企业期初研发支出高于中位数时,Initial R&D取值为1,否则为0;并且将期初变量Initial R&D与是否设立知识产权法院(庭)变量IPC的交乘项作为当期企业网络安全风险的工具变量。估计结果表明本文结论具有稳健性。
2.其他稳健性检验。为验证基准回归结果的稳健性,本文做了如下处理:(1)进行倾向得分匹配估计;(2)更换变量度量方式;(3)控制遗漏变量的影响;(4)排除企业策略性披露行为、企业年报负面语调、外部网络安全风险以及企业业绩波动性等替代性解释。以上估计结果进一步支持了基准回归结果的稳健性。
(三)异质性分析
2.事后损失可控能力异质性。首先,本文检验了企业市场势力对网络安全风险与净贸易信贷关系的影响。本文使用企业的行业集中度衡量企业市场势力,按照同年的赫芬达尔指数(HHI)中位数将样本分为市场势力高低两组,进行分组检验,结果如表4第(1)、(2)列所示。可以看到,在市场势力较大的组别中,网络安全风险对企业净贸易信贷的影响并不显著,但在市场势力较小的组别中,上述影响在1%的水平上显著为负。如假设4,市场势力更小的企业可能缺乏足够资源和能力来有效应对和缓解网络攻击的负面影响,因而在面临网络安全风险时显得更为脆弱。
其次,本文检验了企业融资约束对网络安全风险与净贸易信贷关系的影响。按照企业现金流比率的中位数,本文将样本划分为低融资约束组和高融资约束组并进行分组回归。表4第(3)、(4)列的结果显示,在低融资约束组中,网络安全风险对企业净贸易信贷的影响不显著,但在高融资约束组中,网络安全风险的系数在1%的水平上显著为负。鉴于良好的现金流意味着企业在应对网络安全事件时有更多的财务灵活性和应急资金,上述结果符合理论预期。
最后,本文检验了企业管理层能力对网络安全风险与净贸易信贷关系的影响。参考Demerjian et al.(2012)的研究,采用DEA-Tobit两阶段方法,通过测度管理层将资源投入转换为营业收入的效率来度量企业管理层能力,并按照该指标的中位数将样本分为能力强弱两组,进行分组检验。表第(5)、(6)列结果显示,在管理层能力较弱的组别中,网络安全风险对企业净贸易信贷的负面影响更为明显,而在管理层能力较强的组别中,上述影响不显著。
总之,上述结果表明,网络安全风险对企业净贸易信贷的负面影响在市场势力更小、融资约束更大以及管理层能力更弱的企业中表现得更为明显,从而支持了假说4。
05
进一步分析
(一)网络安全风险与客户业务动态调整
(二)网络安全风险治理
2.加强风险管理。在公司治理实践中,为了防范风险,部分公司通过董事会下设风险管理委员会来进行风险管理。为了检验这一风险管理行动能否降低企业的网络安全风险敞口,本文构建了董事会是否下设风险管理委员会(riskmana,虚拟变量,是取1,否则取0)、风险管理委员会重要性(riskexo,虚拟变量,当风险管理委员会召集人为公司高管时取值为1,否则取0)、风险管理委员会独立性(riskindratio,风险管理委员会中的独立董事占比)、风险管理委员会规模(riskmanasize,风险管理委员会总人数的自然对数) 等指标分别进行检验。表7结果显示,拥有风险管理委员会、提高风险管理委员会的独立性和规模均不能降低网络安全风险对企业净贸易信贷的负面影响,而只有提高风险管理委员会的重要性才能有效降低企业面临的网络安全风险敞口。因此,提高风险管理委员会的重要性更能有效增强企业网络安全风险治理。
3.加强企业交流。供应链企业间的贸易信贷活动面临着不确定性与机会主义(Kong et al.,2020)。对此,本文根据企业披露的前五大客户名称识别了企业客户的地理位置信息,并计算了前五大客户与企业的平均地理距离。为了控制各行业供应链地理分布差异的影响,本文使用企业客户地理距离与企业所在行业客户平均地理距离之比的相反数衡量企业与其客户间的地理邻近性(distance),该指标越大,表明企业与其客户间的地理距离越近。同时,考虑到制造业、服务业和其他行业(包括采掘业、农业等)在网络安全风险暴露程度、运作模式和供应链结构上存在显著差异,本文分行业估计。表8报告了回归结果,可以看到,在服务业和其他行业(包括采掘业、农业等行业)中,地理邻近产生的交流便利无法降低网络安全风险对企业净贸易信贷的负面影响,而在制造业中,加强企业交流更能有效降低企业暴露出的网络安全风险敞口。这可能是因为,服务业客户量大、流动性高且较为分散,从而地理邻近性对其交流便利性的影响相对有限。相比之下,制造业的客户一般较为集中,因此,与客户的近距离更有助于制造业企业建立更稳定的供应链关系进而降低网络安全风险的负面影响。至于采掘业、农业等其他行业,上述影响不显著可能是因为这些行业本身面临的网络安全风险水平较低。
06
结论与启示
本文从供应链信任视角,借助基于机器学习的文本分析方法,构建了刻画中国上市公司的网络安全风险指标,研究了网络安全风险对其上下游企业贸易信贷决策的影响。研究发现,网络安全风险显著减少了企业的净贸易信贷。相较于供应商,客户对企业的网络安全风险更为敏感,企业净贸易信贷的减少主要由客户的避险动机驱动。异质性分析发现,在数字化程度更高、商业秘密更多、非国有企业等事前网络安全风险敞口更大,以及市场势力更小、融资约束更大、管理层能力更低等事后损失可控能力更弱的企业中,网络安全风险对企业净贸易信贷的负面影响更为明显。进一步地,网络安全风险还导致了客户与企业间业务关系的动态调整,使客户将业务更多地配置到其他企业,引发了供应链信任的长期衰退。加强数字治理、风险管理与企业交流能够降低网络安全风险给企业造成的声誉损失。本研究具有丰富的政策启示意义。
学习与思考
本文仅作学术交流,版权归原作者及原发刊所有,如需转载本文,请联系授权
往期回顾
--END--
全球价值链研习社
全球价值链研习社由对外经济贸易大学吕越教授研究团队创办,我们长期跟踪全球价值链(GVC)研究,致力于打造专注价值链、产业链、供应链的公益性学术分享平台。公众号将每周为大家推送国内外前沿文献、团队最新成果以及学术资讯,欢迎更多学术同仁关注和加入我们。
