企業法律風險管理內控

Ⅰ 企業┃如何為企業做法律風險體檢

內容摘要：企業的法律風險管理可以分為三個階段，即事前防範、事中控制及事後的救濟。傳統的律師業務主要集中在事中控制和事後救濟這兩部分，具體表現為向企業提供的法律顧問服務及訴訟代理業務，尤其是以訴訟業務為主，但對於事前的防範介入較少。然而，事前防範的意義往往比其它兩部分更重要。這部分法律服務的短缺也為律師未來的業務拓展提供了廣闊的空間。本文將重點介紹事前風險防範的意義及如何為企業提供事前風險預防的法律服務。
關鍵詞：法律風險 體檢 內部控制
正文：
一、問題的引出
以前我們是怎麼做法律顧問的?我們坐在辦公室等客戶的電話,客戶不找我們,我們也很少去主動拜訪客戶。除了日常的法律咨詢及合同審查外，我們基本沒什麼其它的事情要做了。也許偶爾會應邀參加客戶的談判，但那也是被動的。然後我們就整天在辦公室里等著客戶出個什麼法律糾紛，這樣我們的案子就來了。時間久了，慢慢的客戶們也開始明白了，原來律師只知道打官司，甚至盼著我們公司出事，他好有案子做。於是，我們的客戶們紛紛去招聘自己的法務人員了。於是律師主要負責打官司的角色就更加被強化了。好像事情本來就應該是這個樣子的。但是，事情真的應該是這樣的嗎？
我以為不然，對於客戶而言，打官司好比救火，著火了固然需要去救，但是他們更需要的是「不著火」！在這個比喻中，律師事務所好比是消防隊，哪有火災去哪救火，我們律師也樂此不疲。救火的生意在一開始還是不錯的，因為火災挺多，消防隊挺少。但是到了後來，消防隊開始越來越多了，但是火災增長的速度卻沒有那麼快。這時候，很多律師開始感覺生意難做了，競爭激勵了......故事講到這里，大概大家都已經意識到問題的原因了。因為我們只是在賣我們想賣的東西，卻沒有考慮顧客想買什麼。正如我在一開始說的，客戶所需要的其實一直都是「不著火」。這也是越來越多的企業開始有了自己的法務人員和法務部門的原因。
那麼，對於客戶的需求，我們到底能夠做點什麼呢？這就是本文想要重點闡述的問題：我們需要幫助客戶做好法律風險預防！有人可能會說，你把企業的法律風險都扼殺在搖籃里了，那我們不就沒有官司可打了嗎？這不是自掘墳墓嗎？我說不是,為什麼呢？
首先，沒有人規定律師的主要工作就是打官司。這些年非訴業務的蓬勃發展就是一個明證。
其次，即使通過我們的服務，企業自身的法律風險管理水平提高了，也還是有可能面臨以下風險：1、被他人侵權；2、合同相對方違約；3、企業自身管理不到位導致的風險；4、企業根據其生產經營的需要自願承擔的法律風險。
因此，我們完全沒必要擔心這個問題。道理很簡單，打個比方，就像世界上有那麼多的葯品、營養品、養生保健的方法，可是每天還是有很多人會生病要去醫院，醫院的生意照樣很火。
看來這個業務是可以做的。那麼，應該怎樣來做這項業務呢？這就引出了本文的主題，就是要給企業做個法律風險體查。這就好比去醫院檢查身體一樣，想知道有什麼病，得先查查身體，知道了問題所在，才好對症下葯。那麼給企業做的這個法律風險體檢又是個啥東西呢？
二、什麼是企業法律風險體檢
這個體檢說起來其實有點像盡職調查，但又有很大的區別。盡職調查報告一般是給公司以外的人看的，如股權交易的相對方等。因此，盡職調查報告比較關注的是企業現有的法律風險狀態。但它不太關注企業的法律風險管理的機制、流程和管理水平。而這恰恰是法律風險體檢所關注的重點。風險的現狀反倒不是它重點關注的問題。說白了，盡職調查報告關注的是「果」，而風險體檢關注的是「因」。只有抓信了「因」，才能避免不好「果」，才能防患於未然，這才是風險管理的意義所在。
在介紹怎麼做風險體檢之前，還是先講個小故事吧。這是我在做實習律師時的一段經歷。當時，我跟著我們所一位律師一起到一家企業去，目的就是為了看看這家企業有什麼法律風險沒有，其實就是去做法律風險體檢去了。但是這位律師領著我在辦公場所到處參觀，還去了生產車間，參觀工人製作他們的產品「大蒜片」的過程。我也不明白看這個有什麼用？雖然我們來之前也是做了一份調查清單，但是總覺得這些問題沒有切中要害，問的不痛不癢，找不出問題來。結果可想而知，這次的行動是失敗的，我們沒有提出什麼有價值的風險防範意見。
若干年之後，當我對企業的法律風險管理已經頗有心得並且已經為所服務的企業做了多次風險體檢之後，驀然回首，我突然明白了當年那次嘗試到底錯在哪裡了。我覺得，錯就錯在我們沒有抓住企業的經營管理流程這條主線，而是停留在表面的一些問題上，所以才導致了失敗。為企業做風險體檢，一定要緊緊地結合企業的管理流程來做，否則就會無的放矢，找不出問題，抓不住要害。
剛才也說了，體檢關注的是風險的因，而不是果。因此，我們的注意力就不能停留在已經發生了哪些問題，而重點要找出導致這些問題的原因。怎麼找原因呢，這就要到管理上去找。可以說，內部的一切問題都是由管理造成的。這里就涉及到一個概念，叫做「內部控制」。
「內部控制」這個概念來自於美國，是企業風險管理領域里一個核心概念。是指由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。
之所以要在這些引入內部控制這個概念,是因為內部控制貫穿了企業經營管理的全部流程。它的核心思想就是在流程上進行風險控制，通過對流程上的每一個風險點進行有效的控制，使企業能夠在風險最開始產生的環節就對相關的風險進行有效的干預，從而把企業的風險降到最低。因此，要想做好法律風險體檢就必須從內部控制這個貫穿企業經營管理全部流程的風險管理手段入手。
從內部控制角度來看企業，企業的經營管理其實是由一系列的流程構成的，按照《企業內部控制基本規范》的分類，這些流程可以概括為十八個模塊：1、組織架構；2、發展戰略；3、人力資源；4、社會責任；5、企業文化；6、資金活動；7，采購業務；8、資產管理；9、銷售業務；10、研究與開發；11、工程項目；12、擔保業務；13、業務外包；14、財務報告；15、全面預算；16、合同管理；17、內部信息傳遞；18、信息系統。
通過上述的分類，我們已經可以很明顯的看出哪些活動是有可能產生法律風險的了。比如：組織架構、人力資源、資金活動、采購業務、資產管理、銷售業務、研究與開發、工程項目、擔保業務、業務外包、合同管理等。這些活動可能會涉及以下法律風險：公司治理結構風險、勞動人事風險、投融資風險、知識產權風險、合同風險、擔保責任風險、工程糾紛風險等。
我覺得內部控制的方法對於我們理解企業的法律風險最大的一個貢獻就是讓我們有了流程的概念，並用流程的眼光來看待企業的法律風險，而不再是眉毛鬍子一把抓了。企業的法律風險是產生在它的經營管理流程上的，因此如果這些活動中的某些環節沒有做好，就有可能給企業帶來相應的法律風險。下面我們以人力資源管理為例說明一下如何以流程的眼光來梳理企業的法律風險：
一個企業的人力資源管理一般包括四大類活動：一、人力資源的引進；二、人力資源的開發；三、人力資源的使用；四、人力資源的退出。其中引進部分又包括了人力資源規劃、招聘活動、勞動合同的定立、試用期管理等；人力資源的開發則包括培訓、內部晉升、輪崗等管理活動。人力資源的使用包括績效管理、薪酬管理、獎勵與處罰、員工的職業健康與安全、社會保險的繳納等內容。而人力資源的退出則包括勞動合同解除、員工的辭退等內容。
通過這樣一種梳理，我們對於人力資源管理的流程就比較清楚了。同時也可以把相應的法律風險對號入座了。比如，在人力資源的引進階段可能面臨的法律風險有：未及時與勞動者訂立勞動合同或勞動合同的內容違法；企業未及時給勞動者繳納社保；未與核心、關鍵崗位的員工簽定保密協議或競業禁止協議等。在人力資源的開發階段的法律風險可能有：晉升或轉崗之後未及時變更勞動合同、有償培訓未與員工簽訂培訓協議或服務期協議等。人力資源使用過程中可能存在的法律風險：績效考核體系不完善導致調整員工薪酬時無法提供充分的制度依據及證據，從而引發勞動爭議；未及時發放工資；工傷事故；勞動者與其它企業同時訂立勞動合同等。退出環節的法律風險則可能有：解除勞動合同不當導致勞動者提起勞動爭議；未及時行使解除權，導致企業為勞動者多付工資；已離職員工未能遵守保密協議導致企業商業、技術秘密泄露；企業或員工未能遵守競業禁止協議等。（以上對於相關環節的法律風險只是列舉，並未窮盡。）
這種對號入座式的梳理方法，是不是就清楚多了？我們可以用這種方法把企業可能涉及到的法律風險全部囊括進來，這樣就不會有遺漏，而且脈絡也更加清晰了。
三、怎麼做企業法律風險體檢
那麼，在有了這種流程的思想之後，我們具體怎麼操作呢？
首先，要梳理出法律風險點較多的業務模塊，如上面提到的人力資源、采購業務、銷售業務、研究與開發、工程項目、擔保業務、業務外包、合同管理等。然後根據《內部控制基本規范與指引》的內容及企業的具體情況把這些模塊的全部流程梳理出來。接著針對每一個流程上可能存在的法律風險點進行列舉和分析，盡量做到窮盡一切可能存在的法律風險。然後對上述法律風險的理想控制狀態進行描述。最後根據這個理想的控制狀態與企業的實際情況進行對比，從中找出差距，這個差距就是存在的問題，需要我們想辦法予以解決。最後,根據我們對這種差距的分析,提出我們的解決對策和建議，整個體檢就做完了。
上述過程可以概括為三個前後相隨的組成部分，即：一、風險的識別；二、風險的分析；三、風險控制措施的設計。下面分別具體介紹一下：
（一）風險的識別
1、風險識別的含義
法律風險識別，是指將企業某一具體業務流程中可能存在的法律風險識別出來，並加以列舉，目的是形成一個完整的法律風險點圖譜。這個環節是後續所有工作的起點與基礎，這個環節做不好，會影響整個風險體檢的質量和效果。這個環節最需要把握的就是對於風險點識別的全面性和完整性，即要盡可能全面、無遺漏地將業務流程中可能存在的法律風險點全部找出來。
2、風險識別的方法
那麼，我們究竟用什麼方法來識別企業的法律風險點呢？一般採用以下幾種方法：
①流程梳理法
這種方法是以內控指引為線索對企業的業務流程進行分析，根據相關的業務流程羅列出流程上可能存在的法律風險。
②法規檢索法
這種方法是指對與企業業務相關的法律法規進行全面的檢索和分析，從中找出企業可能面臨的風險。這種方法的好處是較為全面，避免了其它方法掛一漏萬的缺點。
③個別訪談法
這種方法是指通過與企業相關的業務人員、管理層進行當面的個別交流來了解相關風險點的方法。這種方法的優點在於可以迅速的發現一些管理層及業務人員所關注的風險點，這些風險點往往對企業來講是比較有現實意義的風險。缺點在於不容易全面的掌握業務流程上的所有風險。
④案例分析法
這種方法是指對企業已經發生的實際案例進行分析，從中找出企業管理上可能存在的問題。這種方法的優勢在於具有針對性，往往能夠找出企業一些關鍵的痛點，而且資料較為具體，可以對相關風險進行深入的研究。
⑤集體討論法
也叫頭腦風暴法，這種方法是指由辦案律師組織所有參與項目的律師和企業的關鍵崗位的管理人員進行討論，暢所欲言的發表自己的意見，不必過多的考慮所提的意見是否正確。最後再由律師對全部的意見進行整理、分析，保留有價值的意見。這種方法的好處在於可以創造性地提出一些重要的問題來，也可以使與會人員通過無拘無束的交流互相受到啟發。
在實際操作過程中，一般是先通過流程梳理法和法規檢索法最大化的列舉出風險清單，再將風險清單製作成風險調查表，然後把調查表交給企業業務人員填寫並反饋給律師。接著律師進駐企業，根據企業反饋的調查表有針對性的與企業人員進行交流（訪談法），並對企業已往的案例進行分析（案例分析法），與企業管理層一起討論其中較為重大的風險（集體討論法），最終形成一個完整的風險調查表，從而為後續的分析工作打下基礎。
（二）風險的分析
有了上述的風險調查表，我們就可以對企業的法律風險點進行逐一的分析了。分析的主要目的就是要找出差距。在我們製作風險調查表時，就已經把這種思路體現在表裡面了。
風險的大小=風險發生的概率×風險可能造成的損失
如果有可能的話，我們可以對上述三個變數進行賦值，從而精確地判斷出風險的重要程度來。當然這一點比較難操作，這里僅僅作為一種分析思路予以介紹。在實際操作中，律師可以用語言來進行相對模糊的風險評估。
（三）風險控制措施及策略
了解了風險發生的原因，也知道了風險的重要程度，我們就可以對如何控制風險提出解決措施了。內控指引把導致企業在內部控制方面存在的問題的原因分為兩大類，即：設計缺陷和執行缺陷。根據風險發生的原因不同，可以把控制措施分為兩大類：一、針對設計缺陷的措施；二、針對執行缺陷的措施。
首先來看看什麼是設計缺陷和執行缺陷。內部控制理論認為，企業內部的所有風險無外乎是由於兩類原因導致的：制度設計的問題或執行的問題。所謂設計缺陷即是指企業在業務流程的設計、組織架構的搭建、職責許可權的劃分、內部資源的分配等方面存在不科學、不合理或不合法的情況。而執行缺陷是指因企業內部人員對於已經制定好的業務流程、工作指令不能嚴格、有效的執行，導致企業面臨相關的風險。因此，只要針對導致這兩類缺陷的原因進行有效的干預、控制，就可以最大程度地降低企業的風險。
針對這兩類缺陷，相關的控制措施也是不同的。對於設計類缺陷，根據產生問題的原因的不同，可以採取不同的控制措施，如：改造內部流程；修訂規章制度；制定合同範本；調整組織機構、崗位設置；重新劃分職責許可權等。而執行類缺陷一般主要是由下面幾類原因導致的，如：對規章制度不了解、工作能力不勝任、工作態度不端正、內部溝通不暢、預算不足等。因此，其相應的控制措施可能包括：專項培訓、強化考核、崗位調換、預算調整、通過組織內部活動來加強各部門的溝通等。
上面談的主要是控制措施的具體形態。但在制定這些措施的時候，一個不可忽視的問題是，對於不同的風險，企業應該採取不同的策略進行應對，而不是一視同仁地對待所有的風險。這主要是由於以下幾方面原因導致的：一、風險本身的重要程度不同，因此控制活動所能產生的效益是不同的；二、企業對於相關風險能夠施加的影響力也不同；三、企業所能掌握的用於風險控制的資源是限的，即風險控制本身是有成本的。四、與經營活動的風險相比，其所能產生的收益可能更大。
因此，律師在為企業制定相關的風險應對措施時，應從企業的實際出發，綜合考慮企業的發展戰略、商業利益、風險大小以及控製成本等多方面因素，採用不同的風險應對策略。這些策略包括但不限於：風險規避、風險轉嫁、風險降低、風險承擔等。當然，對於重大的風險控制措施的設計，律師一定要和企業的高層管理者進行充分的溝通和協商，這樣才能使設計出來的風控措施符合企業的實際情況並為企業所接受。
（四）風險體檢結果的輸出
經過了風險識別、風險分析、控制措施的設計，整個法律風險體檢工作基礎就完成了。但最後，律師應盡量將體檢過程中產生的成果以書面的形式向企業展示出來，作為我們這個服務的最終總結和交付物，以體現律師勞動的價值。這個成果可以用《法律風險體檢報告》的形式予以體現,同時附上為企業修訂的所有制度、合同文本、流程文件及表格。
當然一項體檢項目的完成，不應成為我們工作的終點。在完成這項體檢服務之後，律師可以持續跟蹤企業的整改情況，為企業負責到底。在這個過程中企業也可能還會產生後續的法律服務需求，我們律師的服務也就可以得到自然的延伸了。