企业┃如何为企业做法律风险体检

内容摘要:企业的法律风险管理可以分为三个阶段,即事前防范、事中控制及事后的救济。传统的律师业务主要集中在事中控制和事后救济这两部分,具体表现为向企业提供的法律顾问服务及诉讼代理业务,尤其是以诉讼业务为主,但对于事前的防范介入较少。然而,事前防范的意义往往比其它两部分更重要。这部分法律服务的短缺也为律师未来的业务拓展提供了广阔的空间。本文将重点介绍事前风险防范的意义及如何为企业提供事前风险预防的法律服务。

关键词:法律风险 体检 内部控制

正文:

一、问题的引出

以前我们是怎么做法律顾问的?我们坐在办公室等客户的电话,客户不找我们,我们也很少去主动拜访客户。除了日常的法律咨询及合同审查外,我们基本没什么其它的事情要做了。也许偶尔会应邀参加客户的谈判,但那也是被动的。然后我们就整天在办公室里等着客户出个什么法律纠纷,这样我们的案子就来了。时间久了,慢慢的客户们也开始明白了,原来律师只知道打官司,甚至盼着我们公司出事,他好有案子做。于是,我们的客户们纷纷去招聘自己的法务人员了。于是律师主要负责打官司的角色就更加被强化了。好像事情本来就应该是这个样子的。但是,事情真的应该是这样的吗?

我以为不然,对于客户而言,打官司好比救火,着火了固然需要去救,但是他们更需要的是“不着火”!在这个比喻中,律师事务所好比是消防队,哪有火灾去哪救火,我们律师也乐此不疲。救火的生意在一开始还是不错的,因为火灾挺多,消防队挺少。但是到了后来,消防队开始越来越多了,但是火灾增长的速度却没有那么快。这时候,很多律师开始感觉生意难做了,竞争激励了......故事讲到这里,大概大家都已经意识到问题的原因了。因为我们只是在卖我们想卖的东西,却没有考虑顾客想买什么。正如我在一开始说的,客户所需要的其实一直都是“不着火”。这也是越来越多的企业开始有了自己的法务人员和法务部门的原因。

那么,对于客户的需求,我们到底能够做点什么呢?这就是本文想要重点阐述的问题:我们需要帮助客户做好法律风险预防!有人可能会说,你把企业的法律风险都扼杀在摇篮里了,那我们不就没有官司可打了吗?这不是自掘坟墓吗?我说不是,为什么呢?

首先,没有人规定律师的主要工作就是打官司。这些年非诉业务的蓬勃发展就是一个明证。

其次,即使通过我们的服务,企业自身的法律风险管理水平提高了,也还是有可能面临以下风险:1、被他人侵权;2、合同相对方违约;3、企业自身管理不到位导致的风险;4、企业根据其生产经营的需要自愿承担的法律风险。

因此,我们完全没必要担心这个问题。道理很简单,打个比方,就像世界上有那么多的药品、营养品、养生保健的方法,可是每天还是有很多人会生病要去医院,医院的生意照样很火。

看来这个业务是可以做的。那么,应该怎样来做这项业务呢?这就引出了本文的主题,就是要给企业做个法律风险体查。这就好比去医院检查身体一样,想知道有什么病,得先查查身体,知道了问题所在,才好对症下药。那么给企业做的这个法律风险体检又是个啥东西呢?

二、什么是企业法律风险体检

这个体检说起来其实有点像尽职调查,但又有很大的区别。尽职调查报告一般是给公司以外的人看的,如股权交易的相对方等。因此,尽职调查报告比较关注的是企业现有的法律风险状态。但它不太关注企业的法律风险管理的机制、流程和管理水平。而这恰恰是法律风险体检所关注的重点。风险的现状反倒不是它重点关注的问题。说白了,尽职调查报告关注的是“果”,而风险体检关注的是“因”。只有抓信了“因”,才能避免不好“果”,才能防患于未然,这才是风险管理的意义所在。

在介绍怎么做风险体检之前,还是先讲个小故事吧。这是我在做实习律师时的一段经历。当时,我跟着我们所一位律师一起到一家企业去,目的就是为了看看这家企业有什么法律风险没有,其实就是去做法律风险体检去了。但是这位律师领着我在办公场所到处参观,还去了生产车间,参观工人制作他们的产品“大蒜片”的过程。我也不明白看这个有什么用?虽然我们来之前也是做了一份调查清单,但是总觉得这些问题没有切中要害,问的不痛不痒,找不出问题来。结果可想而知,这次的行动是失败的,我们没有提出什么有价值的风险防范意见。

若干年之后,当我对企业的法律风险管理已经颇有心得并且已经为所服务的企业做了多次风险体检之后,蓦然回首,我突然明白了当年那次尝试到底错在哪里了。我觉得,错就错在我们没有抓住企业的经营管理流程这条主线,而是停留在表面的一些问题上,所以才导致了失败。为企业做风险体检,一定要紧紧地结合企业的管理流程来做,否则就会无的放矢,找不出问题,抓不住要害。

刚才也说了,体检关注的是风险的因,而不是果。因此,我们的注意力就不能停留在已经发生了哪些问题,而重点要找出导致这些问题的原因。怎么找原因呢,这就要到管理上去找。可以说,内部的一切问题都是由管理造成的。这里就涉及到一个概念,叫做“内部控制”。

“内部控制”这个概念来自于美国,是企业风险管理领域里一个核心概念。是指由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。

之所以要在这些引入内部控制这个概念,是因为内部控制贯穿了企业经营管理的全部流程。它的核心思想就是在流程上进行风险控制,通过对流程上的每一个风险点进行有效的控制,使企业能够在风险最开始产生的环节就对相关的风险进行有效的干预,从而把企业的风险降到最低。因此,要想做好法律风险体检就必须从内部控制这个贯穿企业经营管理全部流程的风险管理手段入手。

从内部控制角度来看企业,企业的经营管理其实是由一系列的流程构成的,按照《企业内部控制基本规范》的分类,这些流程可以概括为十八个模块:1、组织架构;2、发展战略;3、人力资源;4、社会责任;5、企业文化;6、资金活动;7,采购业务;8、资产管理;9、销售业务;10、研究与开发;11、工程项目;12、担保业务;13、业务外包;14、财务报告;15、全面预算;16、合同管理;17、内部信息传递;18、信息系统。

通过上述的分类,我们已经可以很明显的看出哪些活动是有可能产生法律风险的了。比如:组织架构、人力资源、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、合同管理等。这些活动可能会涉及以下法律风险:公司治理结构风险、劳动人事风险、投融资风险、知识产权风险、合同风险、担保责任风险、工程纠纷风险等。

我觉得内部控制的方法对于我们理解企业的法律风险最大的一个贡献就是让我们有了流程的概念,并用流程的眼光来看待企业的法律风险,而不再是眉毛胡子一把抓了。企业的法律风险是产生在它的经营管理流程上的,因此如果这些活动中的某些环节没有做好,就有可能给企业带来相应的法律风险。下面我们以人力资源管理为例说明一下如何以流程的眼光来梳理企业的法律风险:

一个企业的人力资源管理一般包括四大类活动:一、人力资源的引进;二、人力资源的开发;三、人力资源的使用;四、人力资源的退出。其中引进部分又包括了人力资源规划、招聘活动、劳动合同的定立、试用期管理等;人力资源的开发则包括培训、内部晋升、轮岗等管理活动。人力资源的使用包括绩效管理、薪酬管理、奖励与处罚、员工的职业健康与安全、社会保险的缴纳等内容。而人力资源的退出则包括劳动合同解除、员工的辞退等内容。

通过这样一种梳理,我们对于人力资源管理的流程就比较清楚了。同时也可以把相应的法律风险对号入座了。比如,在人力资源的引进阶段可能面临的法律风险有:未及时与劳动者订立劳动合同或劳动合同的内容违法;企业未及时给劳动者缴纳社保;未与核心、关键岗位的员工签定保密协议或竞业禁止协议等。在人力资源的开发阶段的法律风险可能有:晋升或转岗之后未及时变更劳动合同、有偿培训未与员工签订培训协议或服务期协议等。人力资源使用过程中可能存在的法律风险:绩效考核体系不完善导致调整员工薪酬时无法提供充分的制度依据及证据,从而引发劳动争议;未及时发放工资;工伤事故;劳动者与其它企业同时订立劳动合同等。退出环节的法律风险则可能有:解除劳动合同不当导致劳动者提起劳动争议;未及时行使解除权,导致企业为劳动者多付工资;已离职员工未能遵守保密协议导致企业商业、技术秘密泄露;企业或员工未能遵守竞业禁止协议等。(以上对于相关环节的法律风险只是列举,并未穷尽。)

这种对号入座式的梳理方法,是不是就清楚多了?我们可以用这种方法把企业可能涉及到的法律风险全部囊括进来,这样就不会有遗漏,而且脉络也更加清晰了。

三、怎么做企业法律风险体检

那么,在有了这种流程的思想之后,我们具体怎么操作呢?

首先,要梳理出法律风险点较多的业务模块,如上面提到的人力资源、采购业务、销售业务、研究与开发、工程项目、担保业务、业务外包、合同管理等。然后根据《内部控制基本规范与指引》的内容及企业的具体情况把这些模块的全部流程梳理出来。接着针对每一个流程上可能存在的法律风险点进行列举和分析,尽量做到穷尽一切可能存在的法律风险。然后对上述法律风险的理想控制状态进行描述。最后根据这个理想的控制状态与企业的实际情况进行对比,从中找出差距,这个差距就是存在的问题,需要我们想办法予以解决。最后,根据我们对这种差距的分析,提出我们的解决对策和建议,整个体检就做完了。

上述过程可以概括为三个前后相随的组成部分,即:一、风险的识别;二、风险的分析;三、风险控制措施的设计。下面分别具体介绍一下:

(一)风险的识别

1、风险识别的含义

法律风险识别,是指将企业某一具体业务流程中可能存在的法律风险识别出来,并加以列举,目的是形成一个完整的法律风险点图谱。这个环节是后续所有工作的起点与基础,这个环节做不好,会影响整个风险体检的质量和效果。这个环节最需要把握的就是对于风险点识别的全面性和完整性,即要尽可能全面、无遗漏地将业务流程中可能存在的法律风险点全部找出来。

2、风险识别的方法

那么,我们究竟用什么方法来识别企业的法律风险点呢?一般采用以下几种方法:

①流程梳理法

这种方法是以内控指引为线索对企业的业务流程进行分析,根据相关的业务流程罗列出流程上可能存在的法律风险。

②法规检索法

这种方法是指对与企业业务相关的法律法规进行全面的检索和分析,从中找出企业可能面临的风险。这种方法的好处是较为全面,避免了其它方法挂一漏万的缺点。

③个别访谈法

这种方法是指通过与企业相关的业务人员、管理层进行当面的个别交流来了解相关风险点的方法。这种方法的优点在于可以迅速的发现一些管理层及业务人员所关注的风险点,这些风险点往往对企业来讲是比较有现实意义的风险。缺点在于不容易全面的掌握业务流程上的所有风险。

④案例分析法

这种方法是指对企业已经发生的实际案例进行分析,从中找出企业管理上可能存在的问题。这种方法的优势在于具有针对性,往往能够找出企业一些关键的痛点,而且资料较为具体,可以对相关风险进行深入的研究。

⑤集体讨论法

也叫头脑风暴法,这种方法是指由办案律师组织所有参与项目的律师和企业的关键岗位的管理人员进行讨论,畅所欲言的发表自己的意见,不必过多的考虑所提的意见是否正确。最后再由律师对全部的意见进行整理、分析,保留有价值的意见。这种方法的好处在于可以创造性地提出一些重要的问题来,也可以使与会人员通过无拘无束的交流互相受到启发。

在实际操作过程中,一般是先通过流程梳理法和法规检索法最大化的列举出风险清单,再将风险清单制作成风险调查表,然后把调查表交给企业业务人员填写并反馈给律师。接着律师进驻企业,根据企业反馈的调查表有针对性的与企业人员进行交流(访谈法),并对企业已往的案例进行分析(案例分析法),与企业管理层一起讨论其中较为重大的风险(集体讨论法),最终形成一个完整的风险调查表,从而为后续的分析工作打下基础。

(二)风险的分析

有了上述的风险调查表,我们就可以对企业的法律风险点进行逐一的分析了。分析的主要目的就是要找出差距。在我们制作风险调查表时,就已经把这种思路体现在表里面了。

风险的大小=风险发生的概率×风险可能造成的损失

如果有可能的话,我们可以对上述三个变量进行赋值,从而精确地判断出风险的重要程度来。当然这一点比较难操作,这里仅仅作为一种分析思路予以介绍。在实际操作中,律师可以用语言来进行相对模糊的风险评估。

(三)风险控制措施及策略

了解了风险发生的原因,也知道了风险的重要程度,我们就可以对如何控制风险提出解决措施了。内控指引把导致企业在内部控制方面存在的问题的原因分为两大类,即:设计缺陷和执行缺陷。根据风险发生的原因不同,可以把控制措施分为两大类:一、针对设计缺陷的措施;二、针对执行缺陷的措施。

首先来看看什么是设计缺陷和执行缺陷。内部控制理论认为,企业内部的所有风险无外乎是由于两类原因导致的:制度设计的问题或执行的问题。所谓设计缺陷即是指企业在业务流程的设计、组织架构的搭建、职责权限的划分、内部资源的分配等方面存在不科学、不合理或不合法的情况。而执行缺陷是指因企业内部人员对于已经制定好的业务流程、工作指令不能严格、有效的执行,导致企业面临相关的风险。因此,只要针对导致这两类缺陷的原因进行有效的干预、控制,就可以最大程度地降低企业的风险。

针对这两类缺陷,相关的控制措施也是不同的。对于设计类缺陷,根据产生问题的原因的不同,可以采取不同的控制措施,如:改造内部流程;修订规章制度;制定合同范本;调整组织机构、岗位设置;重新划分职责权限等。而执行类缺陷一般主要是由下面几类原因导致的,如:对规章制度不了解、工作能力不胜任、工作态度不端正、内部沟通不畅、预算不足等。因此,其相应的控制措施可能包括:专项培训、强化考核、岗位调换、预算调整、通过组织内部活动来加强各部门的沟通等。

上面谈的主要是控制措施的具体形态。但在制定这些措施的时候,一个不可忽视的问题是,对于不同的风险,企业应该采取不同的策略进行应对,而不是一视同仁地对待所有的风险。这主要是由于以下几方面原因导致的:一、风险本身的重要程度不同,因此控制活动所能产生的效益是不同的;二、企业对于相关风险能够施加的影响力也不同;三、企业所能掌握的用于风险控制的资源是限的,即风险控制本身是有成本的。四、与经营活动的风险相比,其所能产生的收益可能更大。

因此,律师在为企业制定相关的风险应对措施时,应从企业的实际出发,综合考虑企业的发展战略、商业利益、风险大小以及控制成本等多方面因素,采用不同的风险应对策略。这些策略包括但不限于:风险规避、风险转嫁、风险降低、风险承担等。当然,对于重大的风险控制措施的设计,律师一定要和企业的高层管理者进行充分的沟通和协商,这样才能使设计出来的风控措施符合企业的实际情况并为企业所接受。

(四)风险体检结果的输出

经过了风险识别、风险分析、控制措施的设计,整个法律风险体检工作基础就完成了。但最后,律师应尽量将体检过程中产生的成果以书面的形式向企业展示出来,作为我们这个服务的最终总结和交付物,以体现律师劳动的价值。这个成果可以用《法律风险体检报告》的形式予以体现,同时附上为企业修订的所有制度、合同文本、流程文件及表格。

当然一项体检项目的完成,不应成为我们工作的终点。在完成这项体检服务之后,律师可以持续跟踪企业的整改情况,为企业负责到底。在这个过程中企业也可能还会产生后续的法律服务需求,我们律师的服务也就可以得到自然的延伸了。