法律风险的识别主要是定性分析,工作量比较大,但只需要对相应领域的法律法规比较熟悉,进行合规分析便可,简单来讲,就是“纸上谈兵”,罗列法条。
(二)法律风险的评估
流程的第二部分就是法律风险的评估。法律风险评估是构建企业法律风险管理机制的核心环节,也是最考验律师专业水平的环节。
刚刚我讲过了,企业构建法律风险管理机制是分阶段的。比如说,我现在竞标的这个企业,第一阶段的法律风险识别工作已经完成了。目前他们正在对第二个阶段的工作,也就是法律风险评估项目进行招标。他们当时把一家管理咨询公司第一阶段完成的工作拿给我们看,那都是一些法条的罗列,因此这家企业对他们的工作相当有意见。于是第二阶段这个企业就重新招标了。
刚刚讲过,法律风险的识别是一种定性分析,但是,法律风险评估是一种定量分析。在法律风险的评估当中,经验往往发挥着不可忽视的作用。经历了大量的诉讼仲裁,对于相关问题便会自然而然的产生直觉,有了这种直觉,再付诸于一定的数理模型,对于风险评估的量化程度,才能恰到好处。
这里面有两个问题需要强调。第一个问题,经验的形成并不仅仅局限于自己亲办的案例。在对应每个类别的法律风险时,往往要对相应的案例一网打尽,形成案例库,再进行综合分析。综合分析后,第二个问题就是进行定量分析。为什么要强调定量分析呢?
举一个例子:比如说贩毒,大家都知道是犯罪行为。关于行为的定性大家都清楚,但是,定量分析是什么呢?就是毒品买卖能不能做?这就需要律师的经验发挥作用,进行判断。判断什么呢?判断出事概率,也就是说,贩毒的人99.9%会出事,那么,你还敢不敢做?
企业关注的是定量分析,而不是前面的定性分析。定量分析如果表明出事概率很高的话,那就不做;如果出事概率很低的话,就可以暂时不管。当然,没有必要也不可能做到完全数字化精确,因此,大多数情况下是划分一个风险等级。风险等级的评定一般需要一个数理模型进行分析。创建数理模型一般不是律师事务所能做的,需要假手管理咨询公司。
一般来说,法律风险评估的内容有:
1.对已经识别的法律风险进行描述,明确企业对法律风险的偏好以及承受能力,分析法律风险发生可能性的高低,以及法律风险发生的条件,评估法律风险发生对企业实现相关目的的影响程度。
2.根据企业对法律风险的偏好与承受能力,确定法律风险的预警线。
3.根据法律风险发生可能性,以及对实现相关目标影响程度的大小,对过线行为的法律风险进行比较,初步明确风险管理的策略。
关于法律风险评估,我也为大家准备了一份加工过的基础性表格。
这张图表是法律风险事件库,对主要法律风险进行了列举,评估了事件的风险等级,并列出相应的法律法规、内部的规章制度和相应的法律后果。第一栏叫业务类别,比如说合同管理,第二栏是一级法律风险,比如合同管理法律风险,分级别。事件的分类到底是违规还是不当。然后是风险的事件,风险事件是什么呢?比如说这个栏目制定的标准、合同文本违反
合同法禁止性和强制性规定,也就是说从前面识别里面得出了一个结论,企业的文件或行为违背了什么样的法律规定,其实也就是定性的分析,风险事件。
再下来就是风险等级,这个就很复杂了,这张图表其实没有反映风险等级的评估过程,只是反映结果。风险等级其实就是定量分析,定量分析依据大量的材料进行评估。里面分几个等级,红色就代表重大风险,橙色代表中等风险,黄色代表一般风险。关于风险等级的分类,每一个企业的要求都不同,有些用百分比来体现出来,这方面也需要管理咨询公司配合才能做好。
再下来就是相关的法律法规、内部规章,也就是相应风险有可能触犯的规范,最后就是触犯这些规范有可能引发的法律后果。
这个图表有值得参考的地方,但是也有很笼统的地方。里面有一部分是不能展示的,就是有关于风险等级的评估过程,这是核心部分的内容。其他方面无非就是“依样画葫芦”,大家都可以理解。
(三)法律风险的防控
第二个阶段法律风险的评估,接下来就是法律风险的防控。
面对大大小小的法律风险,如何分清轻重缓急,采取不同的措施,是法律风险应对所应考虑的首要的问题,其实法律风险的防控就是整个法律风险管理里面的归宿,所有的工作是围绕这个工作来服务的。法律风险应对应分为防和控两个方面,企业法律风险防控措施主要有以下六种:
1.建立风险决策授权制度,明确风险决策的主体、条件、范围和额度等。
2.建立风险决策报告制度,明确风险决策报告的时间、内容、负责处理报告的部分和人员等。
3.建立风险决策批准制度,对于风险决策相关的重要事项,明确批准的主体、情绪、条件、范围、额度。
4.建立风险决策责任制度,明确规定各有关部门和人员决策失误时应有的责任。
5.建立日常的检查监督制度,明确有关部门和人员相关工作的流程,对每个环节有关人员实施辈数制度,对各项工作的合规状况,定时进行检查监督。
6.建立考核评价制度,把有关部门和人员风险管理的执行情况与绩效、薪酬挂钩。
防控应该系统且突出重点,但是最终的防控方案能否执行,还是要看企业自身对法律风险管理的重视程度。如果法律风险的防控方案只是放到企业发展部(风控合规部)执行,那么由于决策层面较低,一般难以完全贯彻。如果领导重视,那么推行起来就比较顺利,而且也有一定效果。为什么呢?这牵涉到部门间的博弈。一个企业最重要的部门往往是财务、技术部门,而法律往往属于二级部门。由于法律风险防控方案一般是由法律部门去推行的,所以,方案能否真正实施,不在于投入多少资金,而在于负责推行方案部门的素质及权力有多大。因此,法律风险防控措施的执行性主要是通过上升到制度的层面来实现的,没有制度的保障,一切法律风险防控都是空谈。
实现法律风险防控的另一个手段就是流程化。什么是流程化?流程化就是为了实现企业法律风险的系统性防控,针对每一个工作环节,每一个风险点,提出标准化的、具备可操作性和执行性的防范措施。一个良好的流程设计,可以提高每一个环节的防控效率,企业的每一个人都可以“照单执行”。有关于法律风险的流程化防控,我同样出示一份图表。这分图表应该来说是法律风险管理里面一个归属。第一,业务类别还是合同管理;第二,风险等级是一般等级;第三,事件的分类是违规还是不当;第四,就是管控的建议。这里的管控建议只是初步的建议,比较笼统。比如第一点制定标准合同文本、违反
合同法禁止性以及强制性规定,管控建议就两点:第一,制定标准的标准文本,是不得违反
合同法的禁止性和强制性规定。在确保合同前提下,保证公司权益最大化;第二,定期对已有的合同标准文本进行整理,根据环境的变化做出调整。
这个管理建议只是初步建议,对后面形成具体防控方案有所帮助。但是,没有实操性的建议,对于风险的防控没有多大的意义。因此,流程化的方案还需要丰富实战经验的律师团队来完善。