我的书签
添加书签
移除书签第二章 法律风险管理基础理论
本章提示
在前一章中,我们将法律风险分解为主体、环境、行为三个基本要素,并将不利后果分为刑事处罚、行政处罚、民事责任和单方权益丧失四类。通过这样的分解,某些问题已经可以迎刃而解。但法律风险管理的目标并非解除若干法律风险的威胁,而在于如何面对所有的风险分清轻重缓急加以应对,并通过综合手段实现法律风险的最小化和企业利益的最大化。
法律风险管理是应对法律风险的方法及过程的总称。如同对待法律风险一样,透彻地理解法律风险管理才可以在知其然且知其所以然的基础之上,结合现有资源和实际情况,熟练地综合运用各种已经通过实践检验的理论方法,抑制法律风险不利后果的产生,或将其控制在可以承受的范围之内。但本章侧重于宏观的法律风险管理,具体的各种应对措施将在本书第五章中加以探讨。
传统意义上的法律事务处理也可列为广义的法律风险管理,但真正的法律风险管理建立在良好的信息沟通以及严谨的工作方法之上。其中最主要的区别,是强调事前管理和法律事务管理与企业管理的有机结合,以恰到好处的方法和成本防患于未然,这就会涉及企业内部的诸多利益关系。
从发展趋势来看,法律风险管理必将在大中型企业中替代传统的法律顾问服务,成为企业未来法律事务处理的主要方式,并将法律事务管理与企业常规管理融为一体。
完美的防范可能是不存在的,但又是必须追求的。只有通过这种不懈的追求,才能使企业的法律风险管理产生质的飞跃。
第一节 法律风险管理的概念与发展
通过对法律风险的多角度透视,法律风险已经不再是个飘忽不定、难以琢磨的怪物。而对于身处法律风险中的各类主体而言,这还仅仅是第一步,人们更需要理解如何通过不同程度的干预手段,将法律风险的危害降到最低点,从而实现利益的最大化。
一、法律风险管理的由来及归纳
目前,法律风险一词的出现频率远远高于历史上的任何一个时期。一方面是由于这一词汇的产生较晚,以至于绝大部分词典中并无这一词条,因而只是最近才开始“流行”。而另一方面,由于其内涵、外延尚未形成标准概念,媒体宣传或商业化包装便大量使用这一概念以吸引注意力,因而法律风险及法律风险管理的概念在被随意化、“多样化”的大量使用中开始流行。
(一)法律风险管理一词的由来
如果说法律风险管理一词相对比较陌生和令人不得其解的话,“法律风险控制”、“法律风险防范”应该并不陌生,相对而言这些提法更加通俗易懂。但从国外对相关概念的标准称谓来看,出现频率最多的用法是legal risk management,也就是法律风险管理。虽然management也同时具有控制的含义,但将其译为“管理”似乎更为贴切。
风险管理其实早已有之,只不过系统性的风险管理及专门的风险管理理论出现得比较晚。伴随着工业革命的进程,更高的效率和更高的风险需要更精细的理论指导工业时代的生产经营,部分管理专家的专著中开始出现风险管理的提法和基本理念。自20世纪50年代起,风险管理越来越受到发达国家的重视,并逐渐形成了一个独立的学科。目前,风险管理已经成为一个成熟的学科,而且已经深入到企业管理领域之中,甚至成为高端企业管理中不可或缺的内容。
即使是从字面上理解,“法律风险控制”一词的内涵并不深,可以理解为一种对于可能发生的法律风险不利后果的应对行为,强调的是一种应对法律风险的方法论,并不深究产生法律风险的根源。而“法律风险防范”则完全侧重于事先的为避免不利后果的出现而采用的措施,至少从字面上排除了事中防范和事后防范,其内涵虽然是一种事先干预但强调的只是干预。因此,只有“法律风险管理”更为贴切而且范围也广,这一表述不仅已经将法律风险视为一种常态,也将应对法律风险作为一种经常性事务贯穿于法律风险的全过程,并着重从管理层面入手,从而在更高层面上、更深的程度上主动避免不利后果。
由于研究手段的局限性,对于legal risk management风险何时、何地在西方的法律规范中出现目前还无法考证,但可以肯定的是这一专用词出现的时间并不长,大致应该在20世纪末。而在我国的法律规范体系中,最早出现“法律风险防范”的规章是国务院国有资产监督管理委员会于2004年5月11日颁布并于2004年6月1日生效的《国有企业法律顾问管理办法》,其次是由国务院国有资产监督管理委员会于2004年5月14日颁布并于当日实施的《关于在国有重点企业加快推进企业总法律顾问制度建设的通知》。但在《办法》及《通知》中,以及其后出现“法律风险防范”一词的法律规范中,都只是在某些具体条款中提及这一措词,并未进行深入解释,因此仍旧属于一种常规意义上的使用。
直接整体使用“法律风险管理”一词的国内法律规范尚未发现,但从国务院国资委所下发的《中央企业全面风险管理指引》来看,该《指引》将法律风险列为全面风险之一,并将法律风险纳入了管理对象之列。因此,可以认为该《指引》中的提法便是“法律风险管理”。这也是我们认为“法律风险管理”这一提法相对更为标准和贴切的原因之一。
风险管理对于整个经济、社会的积极作用是毋庸置疑的。风险管理的理念有助于人们在经济活动中通过主动的预防,回避各种不确定因素所带来的各种损失或不利后果,并避免风险后果所带来的震荡,维持经济与社会秩序的稳定。从这个意义上说,风险管理有利于企业及社会经济的稳步发展、有利于社会资源利用效能的最大化,也有利于维护社会生活的稳定。而对于具体的企业,风险管理可以使得企业最大限度地降低风险损失、最大限度地实现企业利益,从而实现企业的利益最大化。
(二)法律风险管理的特征
对于法律风险管理的理解虽然中外学者众说纷纭,但归纳起来有广义与狭义两类。广义的法律风险管理,其实就是我们传统法律事务处理的“现代化”表述,甚至某些“法律风险管理”或“法律风险防范”、“法律风险控制”,其实只不过是对于传统法律事务的重新包装,因为除了诉讼事务外的其他非诉讼法律事务也都强调对于法律风险的回避或控制。
而狭义的法律风险管理则截然不同。由于它最初来源于金融业的风险管理,因而它非常强调理论性和系统性、强调对各类法律风险的管理,也更为侧重于从各种技术层面对此类风险进行管理。毕竟,离开了企业的经营管理,一切的法律风险管理都只能是空谈。
而本书所讨论的法律风险管理,都是指狭义上的法律风险管理。在西方发达国家,法律界对于法律风险的研究比较早,但以部门法层面的法律风险管理研究居多,尤其是集中在银行、保险等金融行业。在这一点上国内、国外基本没有区别,国内研究也多是针对部门法层面的法律风险。从目前关于法律风险管理的论述中,可以概括出以下特征:
(1)强调事先加以防范
法律风险管理与以往的法律事务处理虽然在工作内容上存在较大差距,但最大的差距在于工作理念上的截然不同。以往的法律事务处理主要是法律风险的事中控制或事后控制,因此多是“消防员”角色。而法律风险管理则强调事先预见法律风险并事先采取应对措施,也就是在实施前的计划阶段就必须考虑好实施中可能出现的问题以及最为合适的应对方法,以实现法律风险的最小化和企业利益的最大化。
因此,同是一名法律专业人士,如果是从事法律风险管理工作,其工作的角色就是企业的高级参谋和军师;如果只是从事法律事务处理,则其角色只不过是个有专业知识和专业技能的“救火队员”。在传统的律师业务中,法律顾问虽然也是一种事前防范的法律服务方式,但其工作深度、宽度还无法达到法律风险管理的层面,只是比较靠前而已。
(2)强调围绕企业目标
前瞻性地预见法律风险并设计出多种应对方案过程中,必须首先考虑从哪一个角度去识别法律风险,以及从哪一个角度去对各类方案加以取舍。而考虑这个问题的出发点,必然是以企业的战略目标及战术目标,以及企业的现状和利益为基本方向和工作目标。在对具体经营行为进行法律风险管理的过程中,对于法律知识及应用技能的要求较高,而且必须充分结合企业发展目标和具体经营目标,否则将难以充分预见,也就难以恰如其分地主动采取最佳措施。
实施法律风险管理的目标,毫无疑问是通过法律风险的最小化去实现企业利益的最大化。法律风险管理需要以一种前瞻性的眼光去分析未来可能发生的问题,从而摒弃那种仅仅根据既往的经验对于已经出现的问题或可能出现的问题“头痛医头、脚痛医脚”的工作方法。因此,法律风险管理需要更加深入地了解企业的现状及企业的发展目标、具体经营行为所要达到的目的,并以此为依据寻求最为合适的解决方案,实现风险利益与风险收益的平衡。当然,某些企业的具体经营行为所要达到的目标是清晰的,但企业的战略目标却未必清晰,因而有时需要识别这类目标才有可能与企业的需求合拍。
(3)强调采用综合方法
法律风险管理脱胎于风险管理,并在不断发展和完善中由于存在自身的规律和特征而逐渐成为一门单独的学科。正是由于存在这一特殊的过程,因而在风险管理中的一些管理方法和理念也被带入法律风险管理之中,从而使法律风险管理成为一种立足于法律范畴但又并不单纯地属于法律范畴的学科。可以说,它是一种跻身于应用法学与管理学之间的一个交叉学科,有其特有的工作方法。
例如,在风险管理中综合了大量的运筹学、管理学、统计学、会计学等学科的工作方法,强调通过数理分析得出相应的结论,强调形成标准的规范。而在法律风险管理中,虽然许多问题无法通过定量分析得出真正令人信服的结论,但其运筹学、管理学、逻辑学等方面的知识却得到大量的运用。这些学科知识的运用,必须借助一定的科学的工作方法,才能在预见法律风险时能够系统地识别并得出全面的结论,并采取企业能够实现的方式去具体操作。
(4)强调融入企业管理
从前面章节的分析可知,法律风险方面存在主体、环境、行为三大要素,这三大要素决定了具体的主体在特定的环境下的具体行为,究竟会存在哪些法律风险。但这还只是总体上的,每个具体的企业会由于其个性化的特殊情况而同时存在着不同的法律风险,或是某些法律风险对他们来说并不十分重要或并不十分严重,这都是随企业的状况不同而各不相同的情况。
基于目前的主流观点,都是强调针对企业的实际情况将具体事务中的法律风险进行专门管理,并与企业管理有机结合。处理法律风险的方式虽然会有不同的方法,但如果企业采取的方法并不适合具体的情况,很有可能会丧失其利益并付出更大的代价。而企业管理中的“执行力”等问题对于法律风险管理而言同样存在,如何将法律风险管理贯彻始终,必须从管理学角度而不是从应用法学角度去寻求答案。而事实情况也充分证明,只有将法律风险管理与企业管理有机结合,才能给企业的法律风险管理带来根本性的变化。
二、法律风险管理的概念与原则
目前,我国法律规范中尚无法律风险管理方面的权威定义,只是在《中央企业全面风险管理指引》中出现过全面风险管理的定义。而该《指引》本身就是企业管理的指引,而非法律风险管理指引。因此,法律风险的概念需要自己归纳解决。
(一)法律风险管理的概念
在《中央企业全面风险管理指引》第4条中,将“全面风险管理”解释为:“本指引所称全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。”
从这一解释可以看出,全面风险管理围绕经营目标、执行管理流程、培养风险管理文化、建立风险管理体系几项内容,与前面归纳的强调事先加以防范、强调围绕企业目标、强调采用综合方法、强调融入企业管理四个特征在整体上不仅没有矛盾而且相互重叠,说明法律风险管理与全面风险管理存在共同之处。
因此,我们可以这样理解法律风险管理的概念,即:法律风险管理,是在对法律风险主体的自身目标、状况及其所处环境进行充分了解的基础之上,围绕企业的总目标、结合企业及所处行业的特点、企业外部因素等,采取综合、系统的手段充分利用法律所赋予的权利,以事前控制为主避免或降低企业法律风险不利后果的法律事务处理全过程。
这种意义上的法律风险管理,是将法律事务管理融入企业日常经营管理,根据实际情况采取最为适当的方式,以实现企业利益的最大化和法律风险的最小化。其努力的方向,是通过全方位的信息收集、分析、决策而事先预防法律风险,或将法律风险不利后果控制在可以承受的范围之内。而这些法律风险的类型不仅仅是违法、违约、侵权,还包括单方的权益丧失。
究其本质,法律风险管理是将法律风险作为企业的主要风险控制目标之一,也将法律风险控制作为企业日常管理的工作内容之一,并以法律风险的思维模式和操作模式,依据现代管理的手段,主动地事先发现法律风险并实施主动干预以防止产生不利后果。并借助这一智力劳动,以事先和事中控制的方式实现企业利益的最大化、风险的最小化。
(二)法律风险管理的原则
基于以上理念,法律风险管理与传统的法律事务处理在出发点上有着很大的不同。进一步加以概括,法律风险管理的主要原则有:
(1)谨慎原则
所谓的谨慎原则,是尽可能对法律风险进行全面、细致的预见,并在设计应对手段时考虑各种可能性,尽最大可能避免由于未能预见而遭受的不利后果。之所以提出这一原则,是因为法律风险主体的具体行为、法律环境中都存在着许多不确定性,而这些不确定性都会对企业所要实现的目标产生干扰,甚至阻碍企业目标的实现。而正是由于存在多种综合的不确定性,因此只能以谨慎的态度面对各种产生不利后果的可能性,尽可能加以防范或控制。
例如,当对一种行为的法律后果究竟如何存在不同的意见时,谨慎原则需要考虑到每种不利后果的可能性并加以防范。除非另外一种是根本不可能的,否则就同样是需要防范的。毕竟,法律风险管理的任务不是去争论对于法律的理解与适用问题,而是要避免法律风险的不利后果。
(2)主动原则
所谓的主动原则,是指对于企业的各类行为,应当积极、主动地从法律风险角度去收集信息、考虑问题、选择应对方案,而不是仅仅为了完成一项工作而采取简单的方法加以处理、法律风险等问题出现再应对。不同的环境、不同的行为会有不同的法律风险,即使是同一交易伙伴间的交易,由于环境的变化也会出现不同的法律风险。在常规的法律事务管理中,对于法律风险的预见只是一种附带的工作,而在法律风险管理中,对于法律风险的预见则是一种常态的、目的性明确的法律事务主要工作。
主动原则所要面对的最为主要的工作,就是那些极有可能造成损失的法律风险。以合同为例,常规的合同审查活动中,主要考虑合同的明确性和较为粗放的违约等不利后果。如果合同正常地按约顺利履行则没有问题,出了问题能够协商简单地加以解决也没有问题。但如果在数量、质量、交货期等某一方面出现问题将会产生何种不利后果,以及这类后果该如何处理,这才是法律风险管理要考虑的问题。越是重大的行为,越是要充分考虑这类问题。
(3)前置原则
所谓的前置原则,就是将防范或控制法律风险不利后果的过程前置,从传统的事前一般性控制甚至不控制转变为以预先控制为主,即在行为开始前已经预见各种可能的法律风险后果,并在实施方案中预埋防范或控制的手段。也就是说,法律风险管理所强调的,是企业管理中经常提到的事前控制。这一点同“零缺陷”的工作理念是完全一致的,它强调在行为发生前尽可能“滴水不漏”地一次性将事情做好、做得正确,而不是寄希望于事后补救。即使是已经发生了法律风险事件,也积极争取在下一阶段的不利情况出现前加以干预,以期降低出现更为严重后果的可能性或降低其不利后果的程度。
以某一电信服务产品营销活动为例,常规的法律事务处理对此几乎是“摸着石头过河”,也就是走到哪一步算哪一步,等出了问题再做处理。而妥善的法律风险管理,则在服务产品推出前进行法律风险论证,并通过运营模式、服务表单、投诉解答方案等一系列手段,事先将法律风险规避掉或限定在可以承受的范围内,在业务推出前已经完成了法律风险控制手段的“预埋”,从而可以方寸不乱地应对可能出现的法律风险事件。
(4)择优原则
当法律风险被识别出来以后,是否采取措施、如何采取措施有时并不是个可以简单回答的问题,因为任何决策都要受到信息量、客观环境等因素的制约,人们只能在风险与收益、理想与现实之间进行抉择。企业的大部分行为都与营利有关,一般只有存在获利的可能时才会去考虑风险,没有收益而只有法律风险的行为在正常情况下不会有企业愿意尝试。而且风险与营利有时会存在某种正比关系,也就是虽然有较大的风险,但一旦冒险成功则会获得较大的收益。许多企业的成功史上,往往都有着铤而走险的经营举措,而冒险的成功也使他们取得了超常的发展。
同一个法律风险的应对方式往往有多种,具体采用哪一种需要根据企业的目标、条件的限制、成本、效率等多方因素加以综合考虑,而且某些法律风险本身也需要同时采用多种手段去加以应对,既有时间上的安排也有空间上的安排,既有法律方面的安排也有非法律方面的安排。总而言之是一种充分利用现有资源去应对法律风险的过程,不同的法律风险采取不同的应对方式。
三、法律风险管理的立足点
提到法律风险管理,许多人会不假思索地询问到底如何操作,即使是对法律风险管理的基本理论已经全部吃透的人士也是如此。如果直接进行具体细节的描述,可能会令人只见树木、不见森林,因而还是需要对某些总体性的问题进行一定程度的讨论。
一个有争议的问题是,某些执业律师会认为法律风险管理与常规的法律顾问服务并无不同,因为许多法律风险管理中的工作与他们在日常法律顾问服务中的工作基本相同,事实上也确实如此。法律风险管理与常规的法律顾问服务虽然在工作内容上有着相同的部分,但两者在出发点、过程、最终目标上还是有着很大的差异,了解了这些差异就掌握了法律风险管理操作的立足点、确定了基本的工作方向和操作模式。相比之下,法律风险管理的理念、立足点有显著的特点。
(一)主动收集信息
常规法律顾问在为企业提供法律服务时,其信息来源完全信赖于企业的提供,除具体法律事务需要外,一般并不主动索取相关的信息。而法律风险管理则建立在大量的信息收集、信息分析基础之上,因此,要有目的地得到自己需要的信息,只能通过主动的收集以及企业对于自身信息的“敞开供应”。
虽然某些同企业合作比较紧密的律师有时也会跨过界限主动向企业索取,或经过允许后主动收集相关信息,但这对于企业法律顾问工作而言并非一种常态行为,只是个案。但对于法律风险管理而言,这一过程则是必需的过程,因而主动、系统、全面地收集企业相关信息对于法律风险管理反而是一种常态行为。
从内容上看,常规法律顾问服务所收集的信息,一般只是法律相关的信息,以及企业的主观愿望,一般只是就事论事,并不涉及更多的内容。而法律风险管理则以大量的信息作为依托,不仅要收集各类企业行为所可能涉及的法律环境方面的信息,还要收集企业更为深入的发展战略、管理能力、工作目标、市场环境、竞争对手情况等方面的信息,并在此基础之上为企业量身定做具体的解决方案。因此,法律风险管理需要主动收集大量信息,甚至包括非法律方面的信息,才能满足需求。
(二)站在企业视角
传统的法律顾问服务,其出发点和视角都是来自于法律。因为法律服务所提供的价值来源于法律知识和相关的法律事务处理经验,或者说律师行业的生存之道是来自法律信息方面的优势,更根本的是在于法律相关信息对于委托人、对于律师的不对称性。
但企业的各类行为中,有法律方面的行为也有经济方面的行为。法律在整个企业经营中极少直接产生价值,在大多数情况下只是处于企业经济行为的一种辅助性的从属地位。或许极个别的企业会以法律事务作为最主要的营利模式,但一般来说法律事务管理都是围绕如何实现经济目标而展开,在企业内部的“通用语言”是企业管理而非法律事务管理。而且,实践经验也表明法律事务管理只有在与企业管理有机结合的情况下,才能实现企业的根本性转变,法律事务管理也才会拥有更为广阔的空间。
正因如此,法律风险管理的视角是从经济的角度观察企业,关注企业在实施其经济行为过程中,通过在哪些方面和阶段将法律风险应对措施注入经济行为之中,从而在实现企业经济目标的同时,充分利用法律规范体系环境,实现法律风险的最小化、企业经济利益的最大化。
(三)系统解决问题
要想了解传统的法律顾问服务能够给企业提供何种帮助,仅仅从常用的法律顾问合同中即可了解其中的大概。因为几乎所有的项目都是被动加入的,基本没有主动实施、要求当事人配合的项目,同时所提供的服务也并未涉及企业经营所涉及的所有领域。这既是特定历史条件下的理念使然,同时也是传统意义的法律服务模式的局限性之所在。
这种情况的出现,还是与传统的介入模式有关。因为常规的法律顾问既不可能深入了解企业的各类情况,也不会从企业经济行为的角度去考虑应该如何设计法律风险应对措施。甚至某些法律服务由于观念的原因,是从法律视角去考虑问题,而不是从经济角度考虑问题。因而设计出的某些应对措施显得生硬、不切实际,与企业的实际需求存在一定的脱节。
而法律风险管理则不同,它将企业看成一个系统,同时将企业所面临的法律风险也作为一个完整的、涉及多个部门、需要采取综合手段加以应对的系统,因而更有利于问题的根本解决以及企业管理水平的提升。
(四)应对措施前置
常规的法律顾问服务过程中,法律服务既有事后介入也有事前介入,但即使是事前介入,其介入的深度与广度往往仍旧停留在局外的、法律的视角,很少从企业角度设身处地加以考虑。在传统的法律服务中,对于某些边缘性问题,从法律角度得出的结论往往是不得越雷池半步,而企业则往往倾向于通过打“擦边球”的方式既抓住了机遇又回避了风险,从而造成法律服务在某些领域与企业的需求相互分离,两者的结合度无法达到理想的境界。
在这一方面,法律风险管理的不同,是在于强调依据科学方法的事先详细论证,并在决策中包含了对于某一企业行为可能触及的法律风险的预见,而且在具体的实施过程中分别以合同条款预埋、流程控制等方式,事先准备好相关的应对措施,以便将风险控制在可以承受的范围之内。其突出的特点是“未雨绸缪”,也就是在行为开始实施以前,已经经过法律风险方面的论证,同时根据现有的条件设计,选择最为合适的应对措施,并在行为开始实施之前其应对措施就已经分别到位。
在其他章节中已经分析过,事前采取控制措施,其自由度是最大的,而有效性也是最大的,同时也是成本相对确定和低廉的。但事前管理需要有较高的预见能力和决策能力,需要法律事务管理与企业管理的有机结合。
总而言之,法律风险管理和传统的法律顾问服务虽然在工作内容上有重叠之处,但两者事实上存在巨大的差异。甚至可以将传统的法律顾问服务理解为法律风险管理的初级阶段或雏形,而法律风险管理则是传统法律顾问服务的升级换代产品,二者有着质的区别。
四、法律风险管理与其他风险管理的区别
目前,大部分对于风险管理方面的著述都是围绕着金融保险行业的财务控制,而对于法律风险管理方面则未见其基础性的理论。《中央企业全面风险管理指引》中虽然也将法律风险管理纳入其中,但不仅法律风险与其他风险有着显著的不同,法律风险管理也与其他管理有着显著的不同。
(一)关注法定不利后果
与企业管理不同,经营行为关注交易能否实现交易目的、成本与营利是否平衡、合同履行的代价与经济责任等,而法律风险管理则要考虑企业的各个方面在法律上是否安全、如果出现问题法定的不利后果如何。可见,在企业的一系列行为中,企业经营的成本与收益不是法律风险管理的目标,它所关注的只是各种行为的法定后果,以及构成这些法定后果的法律关系及原因、应对措施等事项。或者说,法律风险管理所关注的不是营利,而是减少法律风险带来的损失。
从企业的具体作为与不作为的法律后果角度考虑问题,可以充分发现企业作为与不作为而可能引起的违法或违约、未充分行使权利等情况下导致的利益损失。虽然法定的不利后果与实际处理后的不利后果有时并不相同,但从法定后果角度考虑问题是解决问题最为基本的尺度。针对具体法律风险点并结合个案事件进行法定后果分析,才可以从源头上找出造成法律风险损失的关键性因素,在下一步的工作中就可以通过进一步的要素重组而避免同一风险的重复出现。
(二)依法设计解决方案
与其他应对风险解决方案的设计不同,法律风险应对方案的设计大多缺乏自由度。由于任何应对方案都是在一定程度上以新的法律风险替代旧的法律风险,法律风险应对方案同样需要进行法律风险识别。即使是在没有法律规范的领域内,也要考虑不能违反现行的法律规范规定,尽可能避免涉入灰色地带。受制于法律规范体系,围绕法律风险的任何方案都必须从法律角度考虑问题,以更低的风险替代更高的风险,而不是简单地以新的风险替代旧的风险。
从这个角度来说,法律风险管理是将法律规范视为一种具有巨大价值的资源,法律风险主体要想顺利发展就必需充分运用这种资源。而传统的法律事务处理,则仅仅是将法律当成一种规则,并试图依据这些规则趋利避害。对待法律规范的两种不同态度,以及运用法律规范的积极主动程度决定了两种处理法律事务模式间的根本区别。
在许多大型跨国企业中,合规化管理与法律风险管理内容存在着重叠,但并不等同。因为“规”的产生有的是出于法律规范,有的则是出于公司的内部管理规定,而法律风险管理的深度也往往会超出合规化管理的要求,因此二者之间属于交叉关系。毕竟,法律风险管理的目的是实现企业利益最大化,并不是简单地依法行事。
第二节 企业管理与法律风险管理
法律与企业的管理制度在目标与运行模式方面有着许多的共同之处。法律本身就是规则,其目的是建立整个社会的秩序,而企业管理也要依赖于各种规则,其目的是建立一个企业内部的秩序。而法律风险管理则可以理解成一个交叉的学科,是企业管理与法律事务管理的重叠之处。它既可以理解为从企业管理的角度处理法律问题,也可以理解为从法律角度去实施企业管理。
事实上,企业管理中的许多事务本身就既可以理解为法律事务也可以理解为企业经营事务。例如,即使是纯粹的技术规范也往往要涉及是否符合强制性的技术标准问题,纯粹的业务规范也存在是否符合法律对于公平竞争等方面规定的问题,而企业中的考核指标等问题有时也会涉及《劳动法》的问题,等等。在企业管理与法律风险管理的对视中,更容易理解二者之间的关系,也更加容易理解如何实施有效的法律风险管理。
一、企业管理视角下的法律风险管理
从企业管理的视角去看法律风险管理,专业性是其一大特色,因为法律风险管理中任何活动的基本尺度都是依据法律规范。但通常企业管理所无法做到的,是法律风险管理会从法律角度对企业问题进行尝试的分析,并在综合考虑后提出解决之道。因此,虽然大的方向足以确定在法律范畴,但具体的操作则由于过强的专业性而使专业以外的人士难以逾越。
总的来说,企业管理视角下的法律风险管理,有如下的特色:
(一)风险范围的有限性
顾名思义,法律风险的起因均与法律规范的具体规定有关,因而由于法律风险所带来的不利后果或损失,均必须是以法律为依据,至少是有法律依据。这种法律依据有的是直接的法律规范中的具体规定,也可以是法律明确已经授权当事人自行约定的内容。因而,从表面上看,法律风险的大致范围就此可以确定下来,法律风险管理也可以围绕这一目标范围进行。
但在实际操作中,对于法律风险范围的识别也带有一定的主观性,并不是理论上那样轻而易举。由于法律规范体系本身就分为不同的层级,而且目前的许多部门立法都在试图扩大自己一方的权利,因而造成某些法律规定之间存在冲突,令企业在判断法律风险时无所适从。
(二)工作内容的波动性
由于我国的法律体系在不断完善的过程中,而且总体的执法特点是不同时期会有不同的宽严幅度和执法重点,因而企业所面临的法律风险工作内容总是处于波动状态。既有风险重点的波动,也有宽严程度上的波动。而且,这一状况在相当长的一段时期内会继续存在,甚至成为法律风险管理的一种特色。
最为明显的是无论是新法律规范的出台或者是某一法律规定的修订,往往都会给企业原有的经营行为带来一定的冲击,要缓解或避免这类冲击,就必须在其生效前加以全面的理解和消化,以预防的方式避免法律环境变化所带来的冲击。某些情况下,突发的个别事件有时也会造成行政部门阶段性地从事某些方面的执法,这类执法往往也会给法律环境带来一定的不稳定性,造成法律风险工作重点的波动。
(三)不利后果的不确定性
法律风险管理往往需要依据法律确定法律风险的后果,以便实施管理行为。但在通常情况下,要精确地确定法律风险的后果是不可能的。为了执行上的方便,法律不可能精确到对每一件具体的法律事物有个量化的结果,这便使得法律风险后果具有一定的不确定性。
无论是刑事法律规范还是行政法律规范,都对刑事处罚或行政处罚规定了一定的幅度,由于这些幅度的存在,往往只能确定法律风险后果的幅度范围,而无法确定精确的法律风险后果。而在民事方面也是一样,无论是违约还是侵权,法律往往只有原则性的、至多是某些项目上的相对具体的规定,许多问题的结果仍旧取决于审判机关的自由裁量权。
此外,由于目前的体制中并不承认判例法,加上有时个别的司法机关会有明显的有法不依的情形,因而在许多场合下难以仅依据法律规定进行精确的判断,只能确定大致的幅度,因此法律风险后果具有一定的不确定性。
(四)管理质量的人为性
法律风险管理既属于法律的范畴,也属于管理的范畴,由于管理人员思路和眼界的不同,法律风险管理的风格与质量会有极大的差异,这也就是法律风险管理在质量上的人为性。
从事法律风险管理的不一定是法律专业的人员,而法律风险管理的质量也并不仅仅是单一的法律专业水平或者是管理的专业水平,而是二者的结合。在某些场合里,法律上的需要与经营上的需要是相互排斥的,而法律风险管理的核心就是如何保证二者间的平衡。要做好这一点的前提,一是要准确地识别出法律风险及其危害性,二是要根据企业的实际目标找出最为合适的解决方法。因而在法律风险管理方面,无论是因噎废食还是削足适履都是不足取的,而如何在具体的操作中把握好尺度,并非一朝一夕就能掌握。
(五)解决之道的系统性
虽然企业所面临的风险可以分为市场风险、财务风险、决策风险等类型,但这些风险许多都与法律风险紧密相关,或者最终以法律风险的形式体现出来。
企业是个运营和管理的系统,法律体系也是一个规范企业行为的系统,在两种系统体系的交织下,法律风险也同样具有系统性。如果无法从系统的角度去理解企业、充分了解企业,则对于企业法律风险的发现与防控就不可能完善。无论是从企业经营的角度看法律规范体系,还是从法律规范体系的角度看企业,企业的法律风险也都存在系统性,需要通过举一反三的方式加以识别和防范。
例如,交付延迟只是违约行为中的一项,如果不从系统性的角度去观察问题,就会遗漏其他种类的违约风险。而在管理法律风险时,交付的延迟往往涉及生产经营的各个环节,往往需要跨层级、跨部门采取系统的解决方案,否则就无法从根本上解决问题。
对于法律风险进行控制的工作目标,是通过对于法律风险的控制,减少出现法律方面不利后果的可能性,并借此避免法律风险事件出现而对企业利益及正常秩序的不利影响。但在实际工作中,必须认清法律风险管理的复杂性和专业性,根据法律风险管理的特点去考虑问题、制定解决方案。
二、法律风险管理视角下的企业管理
理论上,法律风险的存在会对企业的发展带来诸多的不确定性,并影响着企业的正常生产经营,因而企业似乎有足够的动力去主动了解法律风险并采取防范措施。而且,如果从理性角度出发,似乎人们应当采取充分的手段加以防范。但许多企业直到法律风险后果出现后才体会到问题的严重性,但一切为时已晚。而另外一些企业长期以来一直在防范风险方面持续投入,但长期以来的“风平浪静”却令他们怀疑自己的投入是否具有实际意义。
企业是否知悉了所面临的法律风险,以及在知悉后是否采取了足够的措施加以防范,都会影响法律风险的后果。由于种种原因的存在,企业既难以知悉或全面知悉所面临的法律风险,又往往难以在知悉了法律风险后采取足够的措施加以防范,何况某些法律风险根本无法规避。对于已经浮出水面的法律风险,由于多种因素的制约,有的企业视而不见、无动于衷,有的企业则有心无力或力不从心,从而造成了听任法律风险长期存在的状况。
如果从实际发生不利法律后果的案例中去观察和分析,法律风险转化为不利后果的情况大致分为以下几类:
(1)由于法律知识缺失而面临不利后果
对于一个遵纪守法的自然人而言,如果他存在法律风险,那么法律风险的来源基本是由于对于相关法律的陌生。而企业是一种组织,其结构及运行的复杂程度远非自然人可比。加之其经营行为更加要涉及大量的法律法规,因而企业根本没有可能去全面知悉相关的法律法规。可以肯定地说,目前在国内尚未发现哪个企业熟悉所面临的所有法律风险,也就更谈不上哪家企业对所有的法律风险都有了足够的防范措施。因此,所有企业对于自己所面临的全部法律风险,都处于不清楚或是不完全清楚的状态,甚至对于关系到企业生死存亡的法律风险竟然浑然不觉。
出现这种情况的原因很多。一方面,对于中小型企业来说,要下决心支付相对较高的服务费用来请人系统清查自己企业的法律风险并不容易;另一方面,某些法律服务机构或中介机构的工作方式的系统性也并不强,得出的结论的系统性、分析过程的周延性、解决方案的实用性也存在问题,难以满足这类需求。
而从法律体系本身来说,由于法律体系的复杂性,以及新设、更新十分频繁,即使是专门从事法律服务的律师也需要通过专业分工才能一一化解,对于企业要从事这项工作则更是没有可能。正因如此,如果哪一天发现企业人员其实并不熟悉自己所处行业的行政法规体系,这种情况根本不足为奇,甚至可以说是普遍现象。其实这也非常容易理解,因为这些人员所关心的是如何经营和提供产品或服务,而所处行业的法律问题则只有专业的法律人员才能研究清楚。
但即使是专业的法律人员,是否有机会或动力去研究清楚某一行业的整体法律体系情况,也存在着诸多的不确定因素。
第一,基础性的法律教育并未不涉及某一具体的法律条款,更不会涉及各类具体的行政法规,法律从业人员并不当然知悉各个行业的具体相关法律规定,必须在从业后通过工作中接触到相关法律规范并潜心加以研究方能成为相关领域的法律专家。
第二,任何一个行业的法律法规体系均应进行透彻的研究,但律师提供的法律服务属于经营性质,是否对某一行业的法律规范体系进行细致研究往往取决于这类研究成果的市场前景。因而,某些提供法律服务的经济价值比较低的行业,其法律规范研究乏人问津,而那些金融、证券、房地产等营利前景较大的行业,则集中了大量的法律从事人员竞争相关业务。
第三,传统的法律顾问服务形式,是企业在发现问题时才找律师提供解决之道,甚至签订法律顾问合同的目的只是垄断将来顾问单位可能发生的诉讼案件。在这种模式下,即使律师是某一领域内的法律专家,也未必有机会全面了解相关的法律风险,也更加难以分析及提供全面的风险管理方案。
(2)由于侥幸心理而遭遇风险
无可否认的是,由于长期以来法律体系建设过程中存在着技术方法落后、主观随意性强等现象,从而造成法律规范整体上存在着规范内容比较粗放、系统配合性差、表述不够严谨等现象,甚至某些法律条款中存在着语法问题、概念不清问题。某些立法过程中,参与立法的人员长期从事理论研究的多、长期从事基层执法实践的少,从而导致法律规范与我国国情及实际情况的对接存在问题。某些法律规范在颁布后的操作性差,起不到规范相关领域秩序的作用。而某些法律在立法阶段已经在依赖后续的实施细则或司法解释来解决实际问题,其立法的质量及实用性可想而知。
由于立法中存在漏洞或缺陷,同时由于法律规范内部的相互协调有时会存在问题,加之企业经营过程中最需要经常面对的行政执法的执法力度存在一定问题,因而无法可依、有法不依、违法不究的情况在某些领域比较普遍,甚至已经成为存续多年的公开的秘密。在这样的法律环境下,企业的某些违规或违法行为并未得到应有的处罚,这进一步助长了某些企业的侥幸心理,使企业视法律规范具体规定为摆设。也正由于法律规范的具体规定在贯彻执行上存在不尽如人意的地方,因而许多企业即使明知法律规范有相关的强制性规定,也根本没有采取措施加以回避或补救,甚至根本不愿在法律风险防范方面进行任何的投入。
但法律风险毕竟存在不可控制性,因而许多包括曾经盛极一时的知名企业在内的大型企业,由于新闻媒体的曝光、上级行政执法部门的督办等原因成为公众的焦点,并在公共舆论及司法部门的严格执法下,付出了最为昂贵的法律风险代价。
而且,随着执法监督力度的加强、管理上的完善,地方性执法部门的执法行为已经越来越规范,这种知法违法的行为将会随着执法环境的改善而付出越来越沉重的代价。
(3)由于管理不当而遭遇风险
对于大部分企业,随着其经营期限的增长,通过不断的学习、交流以及积累经验教训,对于所处行业的法律规范体系均有一定的了解。但由于专业面的限制,他们不可能成为相关法律规范方面的专家。因此,即使他们已经具备了相应的法律风险防范方面的意识,也根本不可能完全通过其自身的努力完成全面的法律风险管理。
就一般的企业法律管理事务人员而言,他们往往只是企业一个部门的人员,不仅仅要完成法律方面事务的处理,还要完成大量与法律无关的其他事务。加上这类人员根本不可能像专业的法律服务机构一样接触到大量的法律事务实践,因此他们在判断力、理解力和视野上根本不可能赶上专业律师的水平,至少不可能像专业律师那样知识面均衡。
除了专业面方面的原因,企业的管理机制也制约着法律风险管理的有效性。一个常见的情况是,企业设立了专门的法律事务管理机构,但企业所面临的诉讼、争议等事务并不见得减少。这里既有法律事务管理职能上的问题,也有法律事务管理的权限、水平问题。出现这类法律风险的企业,问题根源往往不在于法律事务管理机构,而是出在整个企业的法律事务管理的机制和机构设置等综合性问题,以至于企业的法律风险管理部门有的根本不想管,有的则是即使想管也无法管好。
另一方面,目前的企业管理水平虽然与若干年前相比有了质的飞跃,但其管理水平、劳动者素质与发达国家相比仍旧存在较大的差距,企业对于制度的执行力普遍不强。而一旦对于管理制度执行力存在问题,再好的管理制度或管理流程也无法避免法律风险后果的产生。甚至某些企业设立法律事务管理部门的初衷就是处理纠纷,而不是从源头上去控制法律风险、避免纠纷出现,因而其法律风险管理的有效性极低。
(4)由于成本原因而遭遇风险
除了处于浑然不知状态的法律风险外,还有一些法律风险企业可谓心知肚明,但企业却出于成本的考虑而未就此采取防范措施,至少是在观望。这种消极处理既有风险成本的考虑,也有主动权的考虑。而主动权也可以理解为另外一种成本,当主动处理的成本较高时,还不如消极处理。
法律风险成本是企业为了预防法律风险后果的出现而进行的投入,包括通过投入的方式消除某一方面的法律风险,或通过投入而合理、合法地规避法律风险。法律风险成本具有两面性。一方面,预防法律风险必须在经济上有所投入,这种投入与收益的比较情况如何是企业所必然考虑的问题;另一方面,由于立法及执法上存在并不理想的情况,违法的成本可能远远低于为回避法律风险而进行的投入,这也导致了许多企业宁可承担违法成本而并不愿意承担守法成本。这也是企业所面临的是否守法、如何守法的问题。
在充分竞争的行业,由于企业间的技术水平、经营手段方面的差别不大,因而也有着相差不大的经营成本以及同样的利润率,各企业在竞争中彼此处于一种相对平衡的状态。如果某一方面加大非生产性的投入或提高某一方面的成本,则必然造成其某些经营优势的丧失。例如,环境污染和劳动用工是许多民营企业中存在的共性问题。但即使是某些非常具有实力的大型企业,也并未投入资金解决这些问题。究其原因,这一系列的举措无疑会增加其生产成本,如果所有同行业的企业都必须采取措施,则成本同时上升,竞争格局仍旧处于平衡状态。而如果只有部分企业采取措施解决污染及员工待遇问题,其增加的成本可能会令其在成本竞争中处于劣势,而这才是企业不愿轻易提高投入的真正原因。
除此以外,由于法律规范体系上存在的问题或行政执法方面存在的问题,造成许多企业的某些行政违法行为未能受到有效的处罚,或其处罚的力度非常有限,如果增加成本去回避风险则其投入远远大于违法成本,因而某些企业宁可一直处于违法及受罚的状态而不愿意守法。虽然立法水平在不断提高,执法环境也在不断改善,但这种情况确实是一种客观的存在。
由于上述几种制约因素的大量存在,企业的法律风险管理根本达不到应有的高度和深度,只能停留在相对粗浅的层面。因此,目前极少有企业敢于声称自己进行了全面的法律风险管理。
三、合规管理与法律风险管理
目前,在中国的上市企业中无论是内资还是外资,只要是在美国上市的企业,往往都会提及内控及合规性管理的问题,许多企业还专门设立了独立于法律事务部之外的合规部。但在管理方面出现这些变化的时间都并不长,而且目前基本上仅限于在美国上市的企业,因为它们受到相关美国法律的管辖。
在安然等公司的欺诈事件发生后,为了保护投资者的利益,美国颁布了由美国参议院银行委员会主席萨班斯和众议院金融服务委员会主席奥克斯利联合提出的《2002年公众公司会计改革和投资者保护法案》,即《2002年萨班斯—奥克斯利法案》(Sarbanes-Oxley Act,通常简称为sox法案)。该法案要求企业完善其内部控制并加强向公众披露信息时的质量和透明度,同时还对公司管理层的责任提出了明确的要求。所有在美国上市的公司,无论是在美国注册并上市的公司还是在美国以外注册而在美国上市的公司,均需遵守该法案的规定,保证其内部控制系统的有效性并对其有效性提供报告以供监督。
由于SOX法案对在美国上市的公司的管理层提出了内控方面的强制性关注要求,在改善了这些公司投资者的投资环境的同时,也促使这些公司的管理和内部控制发生了质的变化,甚至改变了这些公司的商业习惯。但同时,也加大了这些公司管理层在内控系统方面的工作量,增加了管理的难度。
在所有的行业中,金融行业对于风险管理最为关注。国内金融业也在美国建立合规管理制度后不久,开始建立自己的合规管理制度,其中最具代表性的规章是银监会颁布的《商业银行合规风险管理指引》、保监会制定的《保险公司合规管理指引》等,但在我国尚无任何一部法律在合规性管理方面达到SOX法案那样的强制企业必须达到的层面。而且,中外在合规性管理的内涵及外延方面也不尽一致。
国外企业的内控合规性管理,目前已经上升到了如COSO《企业风险管理——整体框架》那样的层面。而我国的合规管理,目前还停留在不同的部门各自为战的层面。按目前的通常概念,合规管理的“规”既有法律规范也有行业自律性规范,还有企业内部的规章制度等内容。因此,目前的合规管理与法律风险管理之间既有共同之处也有很大的不同点。
(一)管理目标基本相同
合规管理与法律风险管理的目的基本相同,都是为了通过加强管理行为,来防范可能产生的各类法律风险、减少不必要的各类风险损失。但二者之间的工作重心却略有不同,合规管理侧重于对内部事务的管理,防止因内部的不合规行为给企业带来风险,而法律风险管理则侧重于对外关系的管理,防止对外经济交往中的各种行为所造成的法律风险。
美国企业将合规管理的重心放在内控上是十分容易理解的,因为他们的对外法律事务管理方面本身已经处于实力雄厚的状态,一般只需加强内控即可。而国内企业的对外法律事务管理目前远未达到尽善尽美的地步,如果同样将重心放在内控方面,难免出现对外事务管理方面的资源分配不均。
(二)适用规则略有不同
对于法律风险管理而言,它所要考虑的主要内容是各个不同层级的法律规范规定,而企业所属行业自律性组织的规则、公司内部的规定等由于缺乏法律效力,一般不在其考虑适用的范围之内,至多是附带需要考虑的范围。而合规管理则涉及大量的非法律规范类的准则、行为规范、公司内部规定等需要遵守。这类非法律规范类的内容,对外会由于它既非法定义务也非约定义务而毫无约束力。自律性的规定虽可树立良好企业形象,但有时也有可能因此而失去法律所赋予的个别权利。
而且,由于合规中的许多“规”是由企业人为产生的,这些“规”本身是否合法有时也会存在问题,而法律风险管理一般只会涉及法律的冲突而很少会存在法律是否合法的问题。
(三)实际操作重心不同
合规管理与法律风险管理之间,前者主要是解决员工行为与相关“规”的符合性问题,既包括对内行为也包括对外行为。而法律风险管理主要解决如何对外实现法律范畴内的利益最大化、风险最小化问题。当这里的“外”是指委托人以外或企业以外,即使在劳动合同关系中,相对于企业,员工也属于“外”。因此,两者在制度建设方面是相同的。
合规管理与法律风险管理在操作内容上则有着较大的差异。合规管理更倾向于先制定一个基本的规则,然后认真遵守和执行这规则,因而在制度化完成后的合规管理基本上是程序化的按规则操作的管理。而法律风险管理则既有与此相同的部分,也有与此不同的部分。相同之处是也要制定规则、执行规则,不同之处是其设计上要考虑到各种平衡问题,而不仅仅是建立符合规范的合规制度问题。
(四)实施方式侧重不同
对于合规管理而言,从其出发点就可以看出,更加侧重于通过合规管理去保护投资人的权益,形成稳定、安全的投资环境,所担心的主要是违规造成的非直接经济利益损失。而法律风险管理则主要是考虑企业对外由于法律风险管理失当而导致的所有损失,既包括了行政机关的处罚、刑事责任,也包括了经济损失、形象损失等各类损失,同时还包括了由于未能充分行使权利而受到的单方权益丧失等损失。
除此之外,合规管理似乎并未强调“合规化”的重要性。而法律风险管理则存在当法律存在冲突,或法律规范存在不确定性时,如何通过“合法化”的方式主动设计方案规避法律风险的问题。
总之,合规管理与法律风险管理存在着很大的相同之处,也由于侧重不同存在着较大差异,只有二者相互结合才能相得益彰。
四、企业法律顾问与法律风险管理
企业法律顾问是我国法律从业人员中的一个特殊行业。虽然在传统的律师业务中有一项业务被称为常年法律顾问,但与企业法律顾问却有着巨大的差异。可以说,二者之间在产生与存在方面完全是出自两个不同的体系。
我国在20世纪80年代便开始有了规定本系统内企业法律顾问工作的部门规章,因而该制度产生于恢复律师制度后不久。按照这类规定,在当时的全民所有制企业,也就是现在所说的国有企业中,企业法律顾问是由企业设置,由法定代表人直接领导的职能管理机构。甚至明确规定企业法律顾问是企业厂长(经理)的法律参谋和助手,对企业的生产经营管理提供法律依据,维护企业的合法权益。由于设立企业法律顾问是那些大中型国有企业的义务,而且企业法律顾问本身也是这些国有企业的员工,因此在部门规章中还对他们的职权、资格、职称、机构设置等进行了规定。
进入20世纪90年代,人事部、司法部等共同对企业法律顾问的资格考试等问题作了规定。从此,企业法律顾问资格与律师资格成为并行的两个系列的专业资格。而当企业法律顾问工作由国家体改委移交到国家经济贸易委员会后,在该委员会的大力推动下,企业法律顾问体系进一步得到扩大和正规化。其中,1997年颁布的《企业法律顾问管理办法》是建立这一体系的权威之作。之后,该委员会颁布的《企业法律顾问注册管理办法》更是将企业法律顾问确定为一个独立的职业。
进入21世纪后,律师业突飞猛进的发展和服务分工专业化,使得企业法律顾问在法律事务处理能力方面的差距越来越明显,但企业法律顾问的体系和地位却仍旧处于上升阶段。不仅通过多个部门联合发文的形式确定了国家重点企业设立企业总法律顾问的制度,而且随着国务院国有资产监督管理委员会于2004年颁布的《国有企业法律顾问管理办法》,企业法律顾问在国有企业中的地位得到了前所未有的提高。该《办法》的颁布是为了确保《企业国有资产监督管理暂行条例》的执行,因而明确规定了企业法律顾问、企业总法律顾问的职责,以及机构设置等内容。其后,随着对国有企业监管的加强,企业法律顾问的作用也不断被强化。
从适用范围来看,企业法律顾问制度仅是针对国有企业,其动机是通过强化企业法律顾问工作而提高国有资产的安全性。而对于大量涌现并快速成长的民营企业来说,并无设立企业法律顾问的硬性义务,他们设置企业法律顾问或法务人员,纯粹是出于对自身法律风险防范的需要。
如果在企业法律顾问与律师之间进行比较,就会发现双方各有所长。律师的优势在于其专业化,不仅律师本身就是一个非常专业化的职业,而且律师队伍内部还在不断地细分成不同的专业。这种专业化的结果,不仅使一般的企业法律顾问无法与专业化的律师相匹敌,就连其他专业的律师或没有特别专业的律师也无法在专业领域与之匹敌,因而在法律知识及技能方面律师在整体上更为专业。
而企业法律顾问的优势则在于更加熟悉企业。大多数律师的视角仅仅是法律,而不太顾及企业生存及发展的需求。而企业法律顾问往往能够更深地感受到企业为了生存和发展,有时只能选择承担一定的法律风险,因而解决问题的视角往往是以满足企业的需求为主,法律只是一个满足需求的同时尽可能降低法律风险的手段。但由于企业法律顾问本身也是企业员工,因而他们既面临着法律工作服务于企业经营的压力,同时也由于专业身份上的影响而使得他们面临在企业中的薪酬、升迁等方面的局限性。加之除了法律事务外还必须兼管其他事务,因而他们的专业能力提高方面没有律师行业那样便利,也影响了从业的积极性。
总的来说,在企业法律风险管理方面,律师的优势是专业化,劣势是对企业的了解程度一般不够;而企业法律顾问则相反,他们虽然了解企业但专业方面一般要弱于律师。因此,除非某一方身兼两种优势,否则一般需要两者有机结合才能使企业的法律风险管理达到应有的水准。
第三节 法律风险管理的总体性问题
法律风险管理如何操作?在诸多的建立在部门法基础之上的著述中已经给出了不少的答案。这些答案虽然有效但大多是个案,而且许多方案只是建立在从法律角度考虑的理想状态下,对企业的实际处境考虑不足。那么法律风险管理是否还存在更高的、普遍适用的基本原理?不能上升到这一层面,法律风险管理领域的研究不能算是完成,因为尚未揭示其内在规律。在这一节中,我们将探讨的正是这一问题,以便为所有的法律风险管理实践指引方向。
一、法律风险管理的基本要素
所谓的要素,其实就是构成事物的必要因素。在这一点上,法律风险管理的要素其实就是对法律风险的识别、评估,以及对法律风险解决方案的设计、执行、改进。这五个要素是实施法律风险管理的五个必备环节,而且是个循环往复的过程,同时它也是实施法律风险管理时循序渐进的五项主要工作。
法律风险的识别、评估以及解决方案的设计、执行等在后续四章中将有专门的讨论,这里仅进行理解性的介绍。
(一)法律风险识别
法律风险的识别根据对象的不同其方式、方法也不相同。对于简单的法律风险问题,例如某些合同商务条款中的履行地问题,这些问题并不涉及复杂的法律责任只是涉及万一发生诉讼时的管辖法院,由于只涉及常见的法律规范因此可以轻易地加以识别。即使是合同中故意没有约定管辖法院,只要审查合同的交付地点及方式并结合《民事诉讼法》、《合同法》以及相关司法解释,争议的管辖法院就会浮出水面。
又如,对于产品说明方面的法律风险律师一般很少涉及,需要经过一定的查询才能识别。此类法律风险涉及《产品质量法》、《消费者权益保护法》,以及标准化法和某些国家标准,因而需要针对具体产品类别去仔细研究相关的规定,才能确保产品说明方面能够既符合法律规定又能充分回避不必要的产品责任。
总的来说,对于法律风险的识别贵在调研,也就是针对涉及的法律问题进行全方位的检索和调研,以发现现行法律环境下的所有法律风险。任何人的精力和阅历都是有限的,不可能对所有领域的法律风险了如指掌,必须通过全面的法律调研才能全面发现根据经验和判断已知和未知的法律风险。即使是对某一领域非常擅长的律师,也仍有许多具体规定从未接触,至少没有哪位律师会无缘无故制作面面俱到的某一领域的法律风险清单。
在对企业进行全面法律风险识别时更是如此,如果不通过调研,没有任何人能够知道企业所潜在的所有法律风险。而且,这些调研的前置程序是详细、深入的尽职调查,有了这些基础性的资料还要有科学的工作计划才能使法律风险识别得以顺利进行。
(二)法律风险评估
之所以需要对识别出来的法律风险进行评估,其实是因为企业不是万能的、企业手中的资源是有限的,不可能对所有的法律风险都照单全收加以应对,那样做既不经济也无必要。某些法律风险看似致命,但其发生的概率也几乎为零;而另外一些法律风险虽然频繁发生,但只是触及企业利益的皮毛而不会造成重大影响。甚至某些法律风险虽然企业早已认识,但由于法律环境、社会环境、文化环境等原因而不可避免、只能承受。
正因如此,在完成法律风险的识别以后,特别是针对企业进行全方位的法律风险识别以后,必须针对法律风险点设定不同的维度并赋值,再通过权重的设置及计算使对企业威胁较大的法律风险点显现出来,以便于分门别类地处理。
当然,某些法律风险点一经识别就可以直接采取措施而无需评估。这些法律风险点大多问题简单而且与其他法律风险无牵连,且可以由当事人单方完成,而且应对此类法律风险不需要增加企业成本。
(三)解决方案设计
法律风险管理中的解决方案设计,其实就是根据法律风险评估的结果,在满足或平衡各种客观限制条件的基础上,设计全新的企业管理制度、流程、文本或对原有的制度、流程、文本进行变更,以便在兼顾企业的运营效率和法律安全的前提下克服法律风险的不利影响,充分利用企业资源和法律赋予的权利去实现企业利益的最大化。
解决方案的设计需要考虑企业的实际情况、企业所处的客观环境,以及解决方案的可操作性、对于效率及成本的影响等,属于一种根据企业情况量身定做的过程。如果是不切实际地将解决方案塞给企业,往往会由于方案缺少可行性而影响到执行的效果。在方案设计中,还要特别强调如何将法律风险管理措施融入企业的日常管理之中,从而使企业管理与法律风险管理都能发挥出最大的功效。
(四)解决方案实施
在通常情况下,法律风险解决方案并不需要律师亲自出马实施,因为方案的设计、执行、监管在管理上分属不同的层面和职位,而且法律风险管理的参与人各有各的本职工作,任何的越俎代庖都有可能造成管理秩序的混乱。因此对于解决方案的执行,律师最主要的工作是宣贯、培训,也就是将解决方案是什么、解决方案如何操作等告诉企业并让企业明确其体系、主导思想以及操作模式,使企业能够理解、掌握和自行操作。
在这一阶段,某些解决方案中的小缺陷可能会浮现出来。例如在试运行时发现了更好的方案,某些管理内容在制度或流程、文本的配合上有所欠缺等。对这些内容的补正也都是方案实施阶段所要完成的工作。另外,还有一些企业可能需要律师提供一定的辅助期,以便于解决方案的顺利贯彻执行。
事实证明,这一阶段的律师工作极有必要,没有对解决方案的宣贯和执行阶段的辅佐,许多方案都会因无法执行、无人执行而成为一纸空文。
(五)解决方案改进
在执行一段时间后对法律风险解决方案进行改进,其实是适应企业的内部环境和外部环境的变化,同时也是为了以循环改进的方法找到更好的解决方案,属于企业管理的需要。
随着时间的推移,企业自身的人员、理念、运作模式等都会不断发生变化,而企业所处的法律环境等外部环境也在不断的变化之中,为了适者生存,必须根据企业内部、外部环境的变化调整解决方案。而从管理学的角度来说,循环改进也是不断完善、提高管理水平的必由之路。
如同利用商业机会、企业优势等资源需要一定的能力一样,对于法律资源的利用方式多种多样,利用的程度和带来的收益取决于对这种资源的认识程度和把握程度,只有不断地循环改进才能最大化地利用法律资源。
二、从法律风险中发现管理策略
前面所讨论的法律风险,是从法律风险后果的角度加以分类,目的是使人们对于法律风险有比较直观的印象。而在法律风险管理活动中,则要从更多角度观察、分析法律风险,从不同的特质中找出问题的关键及解决方案。不同的法律风险具有不同的性质,因此法律风险管理的方式也不是唯一的,而从不同角度分析法律风险,就会找到不同的解决方法。
(一)从可预见性角度分析
在科学技术日益发达、信息问题呈几何级增长的时代,人们的认知范围已经达到了前所未有的程度。在这样的背景之下,如果单纯从个人经验角度去判断某一风险的可预见性,已经不是什么困难的问题,甚至只是个检索途径的问题。在这样的条件下,何为可预见、何为不可预见的界限已经变得模糊。例如,许多人都知道大洋深处铺有连接亚洲与美洲的越洋通信光缆,人们也知道一旦这些光缆受到意外人为损害就会影响通信,但却无法预见这种非常罕见的事件是否会在合同履行期间发生,并由于通信中断而直接影响到合同履行期间的通知义务。因此,不可抗力要件中的“不可预见”,往往只能理解为无法预见其是否发生,至于是否应该预见到某一事物的出现,则完全属于主观标准是否合理的问题。
从法律风险预见的角度来说,需要预见的主要有两大类:一是对后果有决定影响的法律风险事件是否出现;二是法律风险后果究竟如何。对于事件是否出现的预见并非法律专业所长,甚至也没有什么科学的方法提高预见的准确性。但定性分析及法律后果分析则是法律专业人员的特长,法律专业人员所要解决的也主要是不同事件出现后的法律后果,而非预见某一事件是否会发生。如同律师需要预见违约的法律后果,但一般并不需要去预见对方是否会违约。
对于各类法律风险后果的预见与工作经验的关系极大,有些法律风险后果仅仅通过对法律条文的推敲即可预见,如责任不明造成的难以追究违约责任等问题;有的则需要根据一定的研究并结合工作经验,如那些法律关系复杂的案件可能会由于诉讼角度分析不足而引发法律风险不利后果。许多法律风险事实上难以准确地预见其不利后果,特别是当某一法律风险交织了多种法律关系时,预见其具体后果殊为不易,甚至只有通过反复诉讼才能得出确切的结论。但诉讼解决并非法律风险管理的理想后果,因此要在法律风险管理中强调谨慎原则,尽可能避开诸多的不确定性。
(二)从处理方式角度分析
从法律风险的处理方式看,法律风险可以分为常规法律风险、非常规法律风险两个大类,而对法律风险的应对措施也可以分为常规处理与非常规处理两个大类。两种不同维度划分出的法律风险通过排列组合,就形成了如下所示的矩阵。划分是否常规法律风险、是否需要常规处理,与企业的主营业务、管理能力有关,没有完全相同的划分标准。从这个角度观察法律风险,其目的是在制定法律风险管理措施时,将不同类型的法律风险分给不同职位的人员去管理,从而既提高管理的质量又提高管理的效率。
表2-1 法律风险分类及处理方式表
对于一个具体的企业来说,其常规法律风险是指经常发生的、不利后果确定的法律风险,多存在于企业经常性的原料采购、产品销售等主要经营活动中。而非常规的法律风险则是那些非经常性发生的、难以确定其不利后果的法律风险,多发生在企业没有应对经验、非主要经营活动中。例如,对于一个生产型企业来说,其产品质量、交货期等发生纠纷是一种非常平常、不可避免的法律事务,因而属于常规法律风险;而其由于广告语侵权等则是非经常性发生的情况,因而属于非常规的法律风险。
对于某一法律风险是否采用常规方式加以处理,主要取决于企业管理能力、管理职能划分,因而也无法形成统一标准。所谓常规处理,主要是指仍旧按通常的处理方式加以处理,通过正常的流程、由规定的人员去处理;而非常规处理,则是指通过非正常的程序或由相关部门的负责人亲自出面处理,或是由更多的其他职位的人共同进行处理。
以上维度下的法律风险及法律风险管理理念对于大中型企业尤其重要。由于企业规模扩大以后会大大增加企业管理的难度,就不得不将某些事务加以集中控制,而这种控制既要考虑企业安全又要考虑办事效率。而通过这种方式划分企业的法律风险及处理方式,可以基本实现企业在安全与效率之间的平衡。当然,如何划分常规与非常规的法律风险、如何确定常规与非常规处理,还需要根据企业的情况和法律事务管理人员的情况来确定。
(三)从成本核算角度分析
法律风险的可控程度与是否主动干预法律风险有着直接的关系。从企业角度来看,要预防或控制法律风险就要付出成本,这种成本有可能是直接的资本投入,也有可能是各种复杂的人际关系等社会资源。由于企业经营行为的目的是营利,因而有时必须要衡量法律风险的不利后果与应对措施之间的成本关系。如果一项法律风险管理措施可以做到万无一失,但却无法为企业创造价值,任何一个企业都不会对此产生兴趣。而同样是为了营利,即使某些行为具有一定的法律风险企业也会冒险进行选择,就是因为风险背后还潜藏着某种企业所需要的利益。
无论是事前、事中、事后处理法律风险事务都需要考虑成本与收益的平衡。正常情况下,事前应对的成本要低于其他方式。在某项经营行为发生前,通过认真的筹划可以在某种程度上实现合理避税,这里所要支出的成本只是设计合理避税方案的费用。而一旦涉税方案付诸实施,从性质上说已经很难再采取更优的避税措施,为此而多支出的税负将会远远高于设计避税方案的费用。如果由于纳税方面存在的问题已经形成法律风险事件,则此时所要承担的成本,不仅要包括应纳的税务而且还要包括税务部门的处罚,以及处理法律风险事件的费用。
采取应对措施的成本情况决定了某些应对措施能否得以及时采用。某些成本低、效果明显的法律风险应对措施总是能够得到及时的采纳和实施,而另外一些成本高、费效比低的措施则迟迟不被采用。甚至于某些应对法律风险的措施,已经不是为了针对未来的法律风险,而是需要花更大的成本去补救以往未采取措施而遗留下来的隐患。
(四)从发生概率角度分析
通过概率来分析问题似乎是较为“科学”的工作方法,但这一工作方法需要大量的统计数据作为基础。如果没有大量的、根植于国内的统计数据作为基础,所谓概率分析也就无从谈起,甚至许多计算公式都会由于没有确切的通过统计得出的具体系数而无法采用。以此类系数或概率分析来指导实践,其现象分析与结论之间、手段与结果之间都没有太大的必然联系,其后果简直难以想象。
由于大多数的企业对于工作记录并不重视,即使有所记录也会由于内容所涉及的项目不够详尽而丧失进行统计分析的价值,所以要得到真实的第一手统计数据并不容易。所以在法律风险管理中,有时需要对数据进行甄别,防止被那些统计方法不科学的数据所蒙蔽。
而以数据统计的方式为法律风险排序的作法,在某些情况下也需要谨慎对待,因为里面涉及诸多的问题。法律风险排序只要是涉及统计,就必然与发生的概率有关,或与经过客观统计的发生频率有关。而事实上法律风险许多是定性问题而非定量问题,并不适合全面以数字化的方式加以表示。而法律风险管理的许多措施,也是综合企业本身及其法律环境等多种因素,并非简单的几项内容就可以涵盖。尤其是以数学统计的方式所得出的结论,在工作过程中有时会对形成的数据进行合理化的调整或优化,这一过程又是偏离原统计结果的行为。因此,以这类统计的方式所得出的结论是否科学、真实都值得怀疑,只能供做工作中的参考,不能作为依据使用。
但以数学的方式进行排序也并非不可能,其中运用运筹学方面的知识,由客户通过自己的判断去识别具体的法律风险的性质并通过打分的方式得出的结论更为符合实际,也更能帮助企业确定法律风险的具体内容及解决战略。但这一排序方式往往只是在单一标准下的简单排列,并非一种万能的管理工具。对于法律风险管理来说,甚至概率也并非决定性的,即使统计方式非常科学,最终结论也只能用于参考,因为具体实施会有更多的因素需要考虑。
(五)从可控程度角度分析
预见与控制是法律风险管理中的永恒主题,前面已经讨论过法律风险预见在法律风险管理中的基础性作用,而即使有所预见也会由于成本因素的制约而未必会采取充分有效的措施。而从另外一个方面,即使法律风险主体没有成本方面的考虑,也会由于许多资源是法律风险主体所无法掌握的、超越了其控制范围的,也同样无法主动扭转不利局势,只能等待问题出现后才实施事中控制。
如果将法律风险事件按可预见程度与主动控制程度两个角度进行分析,可以得出如下的矩阵。从这一矩阵分析可知,在既可以预见又对法律风险控制有主动权的情况下,企业可以充分运用自己的资源和能力,去控制法律风险不利后果的程度和发展趋势,以取得对自己最为有利的或损害最小的结果。无论如何,只要法律风险主体对于法律风险事件的处理拥有主动权,就有可能通过自己的资源或努力去降低不利影响,属于积极的事中控制。如果对于发生的事件没有资源或能力去控制局势的发展,则在整个法律风险事件处理中处于被动的局面,基本上是受制于人,属于消极的事中控制。从理论上说,积极的事中控制多存在于民事关系中,而消极的事中控制则在面对公权力机关的处罚时比较多。
表2-2 法律风险预见性及可控程度表
事实上,在许多场合下可否预见对于企业并没有实际意义。即使在现代科学技术空前发达的今天,人们也无法准确预报是否下雨,更何况充斥着诸多不确定性、往往取决于主观因素的法律风险。因此,在许多场合下与其预见不如预防,也就是针对可能发生的不利情况准备好行动的预案,完成物质等资源方面的准备,一旦有法律风险事件出现,就能及时采取措施控制情势的发展方向,降低可能带来的不利影响后果,或将不利后果控制在可以承受的范围之内。
三、法律风险管理的工作内容
对于法律风险管理的工作内容,大量的著作都是从部门法的角度加以讨论。由于其过于行业化,反而令人感到无所适从。事实上,法律风险管理应该有普遍适用的、共性化的工作内容,尽管其具体的工作内容可能有所不同,但其工作的性质应该是相同的或近似的。
在法律风险管理的通用内容方面,coso的《企业风险管理——整体框架》以及《中央企业全面风险管理指引》中,均提到了风险管理基本流程中的主要工作。在coso的《框架》中,全面风险管理的主要工作为八项,分别为:
①内外环境;②目标设定;③事项识别;④风险评估;⑤风险应对;⑥控制活动;⑦信息与沟通;⑧监控。
而根据《指引》,全面风险管理工作主要包括以下方面:
①收集风险管理初始信息;②进行风险评估;③制定风险管理策略;④提出和实施风险管理解决方案;⑤解决方案的宣贯与辅导;⑥风险管理的监督与改进。
值得注意的是,这是一个针对“全面风险”的基本流程,而不是法律风险管理的基本流程,但其中有些内容还是对法律风险管理的流程有一定的指导意义。根据法律风险管理的实践以及法律风险管理的特殊性,我们认为法律风险管理的基本工作内容及其流程应当包括以下几个方面:
(1)收集法律风险信息
法律风险方面的信息主要存在于法律环境、主体性质、具体行为三个方面。其中,法律环境方面包括法律环境变化的情况、未知领域的法律风险环境,具体行为方面则是企业的各类行为方面的信息,而前两种信息又都必须结合企业的主体身份去分析、选择,这样就能得出具有实际意义的法律风险信息。
(2)法律风险识别
对于某些法律风险,只要收集到相关信息就能够判断其法律风险。但对于另外一些法律风险则必须通过认真地分析、识别,才能确定所涉及的法律风险到底是什么,这一过程也就是法律风险识别的过程。许多法律事务都有其外表和内核,如果仅仅根据其外表现象去采取措施,往往只能是隔靴搔痒,并不解决根本上的实质问题,甚至还会产生新的法律风险。
(3)法律风险评估
在法律风险已经被充分识别出来以后,下一步的工作是评估法律风险的发生频率、最为严重的不利后果、应对该法律风险所需要投入的成本、采取应对措施的时机等。通过这一阶段的分析,基本上可以确定哪些风险必须采取措施加以应对、哪些风险需要投入较高成本才可以应对等,为下一步工作确定具体目标及解决顺序。
(4)确定法律风险管理目标
企业目标既有战略层面也有战术层面,这是根据具体的行为而设计法律风险管理基本方向和工作目标的基准,而且即使有着固定的方向和目标,在对具体行为所采取的措施中也会存在不同的法律风险应对方法。确定目标是理清思路、确定方向的步骤,在交易层面的行为只要注意根据企业的能力、需求来实现利益最大化即可,而在战略层面的行为则需要考虑更多的问题。
(5)制定应对方案
法律风险管理目标确定以后,只是确定了大致的工作方向,这些大致的工作方向要通过一系列的具体手段才能实现法律风险管理。具体的应对措施随法律风险层面的不同而不尽相同,有的可以通过精心设计而规避某类法律风险,有的则只能选择将法律风险控制在可承受的范围之内,无法根除。而在大多数情况下,应对措施不是单项的而是多种方式的组合,甚至跨出法律范畴,采用多种手段防范或控制法律风险。
(6)实施法律风险管理措施
实施法律风险管理方案的方式也会因具体行为、企业管理能力的不同而有所不同。对于管理能力强的企业,某些法律风险管理措施只要体现在合同条款上即可,其他部门会认真加以配合并妥善地加以实施。但对于某些法律风险则需要从事法务工作的人员从头到尾地自行实施,并根据实施的情况及反馈及时地调整法律风险管理方案,以实现利益最大化。
(7)循环改进管理措施
由于法律环境永远处于不断的变化之中、企业也永远处于不断的变化之中,因而法律风险管理除了其基本原则之外,具体的措施及措施的实施方式都会随着时间的推移而加以改进、调整。而这些改进、调整的依据就是各类环境发生的变化,以及具体法律风险管理措施的实施情况。作为一项管理方式,法律风险管理将会成为企业管理中的一个常规内容,因而也需要采用循环改进的方式,不断地提高管理的质量和效率,这一点与纯粹的企业管理是完全相通的。
四、法律风险管理与法律风险管理项目
法律风险管理是针对企业所面临的各类法律风险,以全方位的手段实施应对措施的管理活动。它可以理解为管理学的一个分支,也可以理解为应用法学的一个分支,因为它横跨管理和法律两个专业并在两个专业之外形成了自有的理论体系,因此它必将成为一个单独的交叉学科。它以法律手段解决某些管理难题,并通过管理手段实现法律风险的控制。因此,法律风险管理中原始资料的收集、法律风险的识别、法律风险评估、解决方案的设计等都是从法律视角去完成,而最终的解决方案则是以管理制度、管理流程、标准文本等方式体现,却又完全属于管理学的范畴。
在大多数情况下,法律风险管理是针对企业所存在的全方位法律风险而展开的,不仅涉及大量的不同门类的法律风险需要识别并找出对策,而且还涉及应对措施与企业的管理制度体系的有机结合,因而是个综合性、长期性的系统工程。法律风险的主体、环境、行为三个要素处于不断的演变之中,而法律风险管理体系也必须随之不断演变,因而法律风险管理已经成为一个无休无止的循环改进过程,只要企业存在它就持续存在。
许多企业的法律风险管理只限于具体的单项法律事务,例如合同管理、劳动合同管理等具体单项法律服务。这种管理模式与前者的区别只不过是工作成果涉及的范围较窄、只处理单项具体领域内的法律风险,其他并无本质区别。目前,企业的法律事务管理在许多内容上与法律风险管理相互重叠,但绝大部分企业的法律事务管理无法等同于法律风险管理,因为其工作的理念、广度及深度还远远达不到应有的水平,只是传统管理模式的延伸或简单放大,因而不属于狭义的法律风险管理,也无法实现全面的法律风险管理。
如果将法律风险管理视为更高层面上的对于法律事务的常规化管理,而法律风险管理项目则完全是为了推动法律风险管理的全面实施而开展的一系列阶段性的活动。在这种活动中,法律风险管理借助于企业外部的智力资源,将所需要的法律风险识别、评估、应对方案设计等一系列活动在一段时间内集中展开,并在全面完成相应工作后将完整的工作成果移交给企业相关部门执行。这种项目工作也可以仅针对具体的领域,如前面所提及的合同管理或劳动合同管理等,其工作模式也是在完成特定工作领域内的法律风险识别、评估、应对方案设计后,将最终工作成果移交给企业,由企业完成后续的法律风险管理工作。但这种不针对全面问题开展的法律风险管理活动,其工作难度和工作量都相对较小。
由此可以看出,法律风险管理源于企业法律事务管理但又远远高于企业一般法律事务管理,属于企业在上升到一定阶段后必不可少的长期工作。而法律风险管理项目则是为了推动企业法律风险管理水平的迅速提升而集中精力实施的阶段性工作。
由企业自行实施的长期化的法律风险管理,可以通过“润物细无声”的方式在潜移默化中改变企业的法律风险管理水平。但由于企业视野的局限性,往往无法将管理水平提高到较高的层面。同时,由于是以内部力量推动管理模式的变革,因而其推动的阻力比较大、权威性不足。法律风险管理项目则不同,由于借助于外部的智力力量,其专业水准和权威性都毋庸置疑,可以在最短的时间内拿出企业所需要的全方位的法律风险评估结果和解决方案,而且完全不会存在企业内部人员对某种法律风险熟视无睹的弊端。但以法律风险管理项目的方式提交的法律风险解决方案,往往会对企业的现行体制产生一定的冲击。
从总的情况来看,法律风险管理作为一种新生事物,在目前的情况下仅凭企业自身的力量还不足以高质量地完成,往往只能通过法律风险管理项目的方式加以推动和完成。虽然这会使企业产生更多的支出,但法律风险管理项目所带来的安全性收益将远远大于项目管理的支出。只不过在某些企业中,法律风险管理所减少的损失或得到的收益,不如采购或销售活动甚至诉讼活动中的成绩那样具有“可视性”,以至于许多企业由于无法直观地看到其优势而对其视而不见。
第四节 法律风险管理的操作性问题
法律风险管理应该如何具体操作,在动手之前必须明确这种新的理念之下应该干些什么以及简单地知道应该怎么干。同时,还要知道工作的范围和主要的法律风险应对措施。由于法律风险可以理解为全面风险的一部分,而且在其他领域也有较大发展,因此许多方面可以借鉴相关的理论,并结合实践形成法律风险管理的基本操作理念。
一、全面风险管理的维度
提起法律风险管理要素,就不得不提一下COSO的《企业风险管理——整体框架》,以及国务院国资委的《中央企业全面风险管理指引》。这两个文件所讲的都是企业全面风险管理的内容,但同法律风险管理距离相对较近、思路相通。因此有必要加以介绍,而且也可以将其设定到单纯的法律风险管理的后续跟进目标中。
(一)《企业风险管理——整体框架》中的风险管理维度
COSO是美国反欺诈财务报告全国委员会(The Committee of Sponsoring Organization of the Tread-way Commission)倡议及赞助下所建立的一个专门研究内部控制问题的委员会,具有私人性质。Tread-way委员会旨在研究舞弊性财务报告产生的原因及其相关领域,涉及内部控制不健全的问题。因此,由美国会计师学会、内部审计师协会、金融管理学会等专业团体成员组合而成的COSO,便顺理成章地发挥了这一方面的职能。COSO于1992年提出了《内部控制整体框架》报告,并在1994年进行了增补。这一报告标志着内部控制理论与实践都进入了更富操作性的实用阶段,并被广泛采用。而伴随着COSO于2004年9月所提出的《企业风险管理——整体框架》,无论是在内涵界定、目标体系还是在构成要素等方面,新的框架都超越了原有的框架,使得内部控制更加迈进了一步。
根据《企业风险管理——整体框架》的相关内容,全面风险管理主要包括相互关联、相互作用的三个维度的内容,可谓是种“立体”的风险管理理念。该《框架》所提供的实施全面风险管理的三个维度,分别为企业目标、风险管理要素、企业管理层级,各维度的细节关系如下:
·企业目标——①战略目标;②经营目标;③报告目标;④合规目标。
·风险管理要素——①内部环境;②目标设定;③事项识别;④风险评估;⑤风险应对;⑥控制活动;⑦信息与沟通;⑧监控。
·企业管理层级——①管理决策层;②职能部门;③业务单位;④分支机构。
图2-1 法律风险维度立方图
当将三个维度通过图2-1(摘自中央财经大学美国萨班斯法案内控体系高级研修班资料)加以展示后,三个维度之间的关系非常直观,也非常便于理解。总的来说,全面风险管理包括了从企业战略到各项操作的合规、从决策部门到分支机构、从内部环境管理到监控管理的多种控制风险维度的组合。或者说,它包括了从制定目标到实现目标的各个管理环节。特别需要强调的是,coso的八个要素在企业的四个不同层面为企业实现四个目标服务,而每个层面又都必须作为风险管理的主体,从八个要素角度着手进行风险管理,以实现四个风险管理方面的目标。
其中,虽然行业特点各不相同,但仍基本上具备企业风险管理的八个要素。而且,这八个要素对于掌握所有风险管理的要点极有帮助。
(1)内部环境
企业的内部环境可以理解为企业人员对于风险管理的总体价值观念,这些价值观念作为一个企业实施风险管理的基本实际情况,决定了其他风险管理措施的设计及实施方式。在某些情况下,企业必须首先完成相应内部环境的营造,才有可能成功地实行风险管理。
(2)目标设定
所有的风险管理都是为了实现一定的目标,通过目标设定和工作内容的层层分解及落实,便可以在落实和执行时发现这些妨碍目标实现的风险,并根据实现目标的需要而加以解决。当然,制定目标应当具有相对科学的程序,确保所设定的目标能够通过发挥自己的优势而获得,并且有能力承受相对应的风险。
(3)事项识别
由于风险是一种产生不利后果的可能性,其是否发生并不确定。因此,为了实现企业目标,必须在实施各个经营举措时,充分地识别影响目标实现的内部及外部因素,充分地把握机会并尽可能地控制风险可能带来的负面效应。
(4)风险评估
风险评估是在识别出了相应风险以后,根据其发生的概率、可能的损失程度、应对的成本等对风险进行评估,以便确定是否采取及如何采取应对措施。
(5)风险应对
风险应对是指针对风险采取的规避、承受以及降低风险程度、分担风险等措施。其目的是将风险控制在可以承受的范围之内。
(6)控制活动
控制活动可以理解为应对方案的具体实施,既包括了具体的应对行为也包括了应对的程序。对于某些风险,控制活动会同时在企业的不同层级、不同部门间展开。
(7)信息与沟通
为了确保风险管理目标的实现和企业内部不同岗位顺利履行职责,必须对来源于企业内部和外部的相关信息及时、有效地加以识别、取得和传递,包括相关信息的上下沟通和平行沟通。
(8)监控
监控是确保风险管理的有效实施而对具体举措及实施程序的执行情况的监督和控制,其目的是为了根据执行情况而及时修正具体举措和实施程序,以便实现总体目标。
总的来说,coso所建立的这一理论体系几乎无懈可击,即使是从逻辑分析的角度来说也是如此。但这一体系对于执行者的管理人员素质的要求较高,大多数企业既难以理解,也难以实施。
(二)《中央企业全面风险管理指引》中的风险管理维度
国务院国有资产监督管理委员会于2006年6月6日所发布的《中央企业全面风险管理指引》,无论从其内容上还是形式上看,均为一种指导性而非强制执行的文件。在其第1条中,也明确了颁布这一《指引》的目的是“指导”,而在其发文的通知中,也说明是为了“指导企业开展全面风险管理工作”,并“请结合本企业实际执行”。在该指引项下的全面风险管理,是指“企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。”
虽然这一《指引》的适用对象是以国务院国有资产监督管理委员会履行出资人职责的企业,但由于其内容上具有一定的通用性,因此可以将其视为所有企业从事风险管理工作时的参考。而且,该《指引》中虽然没有单独列出风险管理的要素,但《指引》中所规定的风险管理基本流程、总体目标、三条防线等内容与coso所确定的三个维度的内容非常相似,甚至存在某种基本对应的关系,实际上也可将其视为风险管理的要素。
1.全面风险管理的基本流程
该《指引》将风险管理的主要工作列入了风险管理基本流程,内容主要包括五点。这五点其实就是该指引项下的风险管理主要工作内容,与《框架》中的要素基本对应,而且第二章至第六章就是在分述这五个基本方面。该五点分别为:
(1)收集风险管理初始信息;
(2)进行风险评估;
(3)制定风险管理策略;
(4)提出和实施风险管理解决方案;
(5)风险管理的监督与改进。
2.全面风险管理的总体目标
该《指引》还列出了企业开展全面风险管理所要实现的总体目标,这些目标与《框架》中的企业目标非常相似,只不过由于中央企业承载着更多的使命,因而其风险管理目标更为复杂。该总体目标也同样列为五项:
(1)确保将风险控制在与总体目标相适应并可承受的范围内;
(2)确保内外部,尤其是企业与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告;
(3)确保遵守有关法律法规;
(4)确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率,降低实现经营目标的不确定性;
(5)确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。
3.全面风险管理的三道防线
除了上述两个方面与《框架》相似之外,《指引》第10条规定:“企业开展全面风险管理工作应与其他管理工作紧密结合,把风险管理的各项要求融入企业管理和业务流程中。具备条件的企业可建立风险管理三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。”由此可见,可以将《指引》中的风险管理职责分为三个方面,即:
(1)内部审计部门和董事会下设的审计委员会;
(2)风险管理职能部门和董事会下设的风险管理委员会;
(3)有关职能部门和业务单位。
图2-2 风险管理职责立方图
根据以上理解并参照coso的立方图进行描绘,得到如上的立方图。其中,顶部所对应的五条方格,分别是《指引》中描述的五个总体目标,而右侧三个竖的方格则分别为《指引》中所描述的三道防线。以这种方式观察或理解,就会发现《指引》与《框架》之间存在许多相似之处。
而根据《指引》与《框架》的对比,以及两个立方图的对比,可以看出由于侧重面有所不同,《框架》相对而言更为严谨,而《指引》则更侧重于简捷地抓住重点。两者之间的主要部分,如针对内部环境以及风险的识别、评估、应对等,虽然表述不同但在实际功能上却是异曲同工。
二、法律风险管理的维度
虽然两个立方图非常相似,但前面所介绍的其实都是全面风险的管理要素而非法律风险管理的要素。在法律风险与全面风险之间,并非只有范围上的差距。由于法律风险只是全面风险的一部分,有着共同的属性和特定的适用范围,因此其主题更为集中,法律风险管理的所有活动只要围绕法律风险及法律风险管理的属性展开即可。而通过其他章节中对于法律风险管理的研究,已经完全能够归纳出法律风险管理的三个维度,特别是法律风险管理的要素,并可以同样用立方图的方式表述其中的关系。
1.法律风险管理目标
实施法律风险管理行为,是为了促进企业目标的实现,以及在实现过程中的合法权益的最大化、风险损失的最小化,同时建立起稳定的法律事务管理秩序。概括起来,法律风险管理的目标就是:
①促进企业目标实现;②合法权益最大化;③法律风险损失最小化;④建立法律事务管理秩序。
2.法律风险管理要素
法律风险管理要素与全面风险管理要素有所不同,由于衡量是否存在法律风险的依据是法律规范体系,因此企业的内外环境等只是在考虑法律风险应对措施时才有意义。因此,对于法律风险管理而言,其要素比全面风险管理要少。而且,对于法律风险的应对大多并非一蹴而就,而是必须持续关注并根据情况变化及时调整应对方案或应对行为的过程。此外,由于法律风险环境一直处于不断的变化之中,必须及时通过信息收集、信息反馈的结果而及时调整。因此,法律风险管理的要素为:
①法律风险识别;②法律风险评价;③法律风险应对;④随时循环改进。
3.法律风险管理层级
与其他风险管理有所不同,法律风险管理往往仅仅依靠企业自身的能力无法胜任,即使是本身设有法务部门甚至本身拥有公司律师的企业也做不到这一点。因而,在法律风险管理过程中,外部律师几乎是无法缺席的一个重要力量。但外部律师并不当然享有法律事务管理活动中的最终决策权,其职责往往是只能进行法律风险分析并提供建议,最后还是需要由企业的决策层根据企业的目标和需要而决定采取何种措施,因而决策层和律师都是必不可少的。
但仅有这两层还远远不够。与其他风险管理相同的是,如果企业人员没有参加到法律风险管理中,则法律风险管理将是个不可能完成的任务,而如果没有企业自身法务的参与,仅仅依靠外部律师也根本无法满足企业的需求。因此,法律风险管理的层级应当分为如下四级:
①管理决策层;②外部律师;③法务部门;④企业部门。
通过从以上三个维度进行分析,法律风险管理的立方图如下:
图2-3 法律风险管理立方图
在图2-3中,顶部所对应的四条方格,分别是前面所归纳的法律风险管理的四个目标。而右侧四个竖的方格,则分别为前面所归纳的法律风险管理的四个层级。这个立方体经过从三个维度、每个维度四个方面的“分割”,可以视为不同问题相互交错而形成的4×4×4=64个立方体,或者说可以简单地理解为各维度不同问题所形成的一个个“立方体”,其实也就是需要考虑的各个问题。
三、实施法律风险管理的边界
法律风险主体既有可能由于违法或违约行为而损害其他方的合法权益,也有可能由于其他方的违法、违约行为而受到损害。因此,法律风险既可能是出于自己的作为或不作为,也可能是出于其他方的作为或不作为。只要这种作为或不作为的后果干扰了法律风险主体去实现自己的既定目标,无论是否带来不利后果,都是法律风险管理的研究范围。
但法律风险主体大多只能把握自己的作为或不作为,行为相对方的作为或不作为不仅无法确切把握,甚至是无法预测。因此,在具体操作中对于自己一方的作为或不作为控制到何种地步、对相对方作为或不作为的不利影响控制到何种地步,便成为法律风险管理控制范围研究的基准点。
(一)自身原因造成的法律风险
从直接结果上看,法律风险分为刑事处罚风险、民事责任风险、行政处罚风险、单方权益丧失风险四种。如果从具体的作为或不作为的角度进行归纳,这些风险可以分为两个大类:一类是自己一方的原因直接造成的;另一类则是由于违法、违约、侵权等而被追究。
由于自身的作为或不作为的原因,法律风险主体可能面临违法(含违反刑事法律规范、民事法律规范、行政法律规范三类)、违约、侵权、单方权益丧失四类法律风险。而由于其他方原因而导致自己一方受到损害的起因,则只有上述四类中的三类,即违法、违约、侵权三类,虽然这三类行为足以给相对方带去任何一种法律风险。无论是对内还是对外造成不利后果,自身行为引起的法律风险在理论上可以通过自己的努力而避免其发生或控制其不利后果的程度,因为自己一方拥有作为或不作为的主动权。
例如,当一个企业明知所生产的商品不合格却仍旧时,其行为可以同时带来不同类型的法律风险。首先,在行政法律规范方面,这一行为违反了与产品质量相关的行政法规的规定,行政部门一经发现即可对其进行行政处罚。其次,在刑事法律规范方面,如果其生产、销售行为符合刑法中所规定的“在产品中掺杂、掺假,以假充真,以次充好或者以不合格产品冒充合格产品”,而且其销售金额达到一定限度,则企业将面临刑事处罚的法律风险。再次,如果这些产品只是销售给批发商,则这一企业存在被经销商追究产品质量违约责任的法律风险。最后,如果该产品通过批发、零售环节在最终用户使用时造成消费者人身伤害,则还面临侵权的法律风险。
事实上,在这一案例中,不仅生产企业面临着四种类型的法律风险,甚至销售企业也会同样面临这四类法律风险。因为在产品质量责任的法律规范方面,生产者与销售者的责任基本相同,只不过销售者在某些民事责任方面可以在向下家赔偿后,向生产者追偿并将损失转嫁给生产者。
(二)他方原因造成的法律风险
除了自身原因造成的法律风险,某些法律风险是其他法律风险主体强加的。即使某一主体完全没有过错,其他主体的违约或侵权仍旧可以使这一没有过错的主体面临不利后果。虽然自己一方无法决定这类法律风险是否发生,但如果听之任之也同样会使自己一方受到更大的损失。因此,这类来自其他方因作为或不作为而违法、违约或侵权而造成的法律风险,也同样是法律风险管理所必须包括的内容。
这类由其他方带来的法律风险,最集中的表现形式是相对方的违约与侵权行为,而且这类法律风险不依风险主体主观意志而改变,因而既无法预见也无法避免,是否出现这类风险只能取决于相对方。当然,人们在合同方面虽然无法限制对方使其不违约,但可以通过限制性条款或惩罚性条款的方式,使相对方的违约成本大大高于履约成本,从而使对方全面履行合同。如果对方还是执意违约,则可以通过合同约定的违约责任条款向违约方转嫁损失甚至向违约方主张可得利益损失。这种法律风险防范是一种被动的防范,但也是不得不进行的防范。这类防范的根本点在于合同条款的设计上,其根本目的,一是以严厉的违约责任威慑对方,令其在经济利益、违约责任的双重压力下选择依约履行、放弃违约的念头;二是通过合同条款的设置,一旦对方出现违约情况,则可以将可得利益等方面可能受到的损失由对方承担,从而保证自己一方的经济利益不受损害。
不过能否达到这一目的仍受诸多因素的制约,如果一方在交易中本身就处于比较弱势的地位,则这两个目的很有可能根本无法达到或者只能部分达到,最后只能通过司法救济去维护自身的权益。只有在交易中处于完全的强势地位,才能在合同条款中充分实现对法律风险的全面控制。
而在受到侵权方面,由于哪一方可能侵权、是否侵权、如何侵权等往往都不是可以事先预见的内容,受到侵权的一方几乎没有机会去防范。对于这类情况,由于无法通过行使法律授予的约定权来解决问题,只能通过补强自身的法定权以及事中控制的努力来尽可能避免损失的扩大。
无论法律风险来自其他方的违约还是侵权,虽然无法通过主观意愿加以回避,但可以采用一些其他综合方法来控制可能发生的不利后果。例如,商业秘密是否会泄露、是否会有其他方通过不正当竞争手段得到自己企业的商业秘密、是否会有其他方在这一领域侵权,这些都是无法预见的,也无从与侵权方约定侵权责任范围。但拥有商业秘密的企业,可以通过制定企业内部的保密措施等方式,使自己的商业秘密成为《反不正当竞争法》意义上的商业秘密,因为没有采取保密措施的商业秘密并非该法意义上的商业秘密,不能依据该法主张保护。除此之外如果再辅以各类保存证据的措施,使得自己的企业一方在遭遇到其他方的侵权时,不仅有法律上的依据,还有事实上的证据,可以在最大的限度内保护自己在商业秘密方面的合法权益。简言之,就是不能给其他方既能侵权又能逃避责任的任何机会,否则自己的合法权益更加难以保障。
在某些特定情况下,公权力机构对于相对方实施的刑事或行政处罚有时也会给法律风险主体带来不利后果。既可能导致相对方无法全面履行合同,也有可能由于某些事务的牵连而造成法律风险主体由此而受到处罚。例如,某些企业由于在发票、执照管理等方面存在不规范的行为,当其业务伙伴企业由于相关问题被查处时,有可能受到牵连而也被查处;某些企业由于经销的产品涉及知识产权问题,如果供应方提供的是侵权产品,经销方很有可能同样构成侵权。这些情况虽然比较特殊,但仍然属于其他方原因造成的法律风险,也同样是法律风险管理中需要考虑的问题。法律风险管理在许多场合下必须避免直线的思维方式,才能提高工作质量。
四、应对法律风险的基本方法
法律风险形成损害的概率和程度各不相同,企业的承受能力和控制能力也各不相同,但应对法律风险的基本方法却万变不离其宗地只有几种。在法律风险的识别阶段只需要发现法律风险的存在,评估阶段也只需要评估法律风险对于企业的影响程度。但在解决方案的设计阶段,则要考虑以何种应对方法降低法律风险不利后果的出现概率甚至杜绝某些法律风险出现的机会,或者当法律风险无可避免时该如何抑制法律风险不利后果的损害程度,并尽可能将其控制在可以承受或可以控制的范围之内。
总的来说,应对法律风险的要旨,是对构成法律风险的因素进行分解,通过在法律层面上的时间和空间的安排,使之无法构成某种法律风险或无法构成某种重大的法律风险,以及通过某种方式将法律风险不利后果转移出去,从而达到不承担、少承担法律风险不利后果的目的。
因本书第五章将对应对方法展开更多讨论,这里仅提供理解性的介绍。
(一)法律风险的事前控制
在事前控制法律风险是尽可能在行为之前作出决策或采取措施,以避免法律风险的形成或避免成为法律风险的承担者。根据第一章所讨论的法律风险阶段性特征,在风险行为实施之前只是存在法律风险要素但法律风险尚未形成。这时可以分析构成法律风险的要素,并避免某些要素成就或阻止某些要素与其他要素共同组合成为法律风险。通过事前控制来应对法律风险主要有以下几种方式:
1.以承受主体不变的方式
以主体不变的方式事前控制法律风险,是利用事前控制的优势,以退避、回避、替代、合法化等方式应对法律风险。
法律风险的退避,是指积极或消极地放弃某种带有法律风险的机会,以避免遭受法律风险的不利后果。采用这种方法的原因可以是法治观念较强,也可以是无法控制事态,这不失为一种明智的方法,只是同时也会令企业丧失某种商业机会。
法律风险的回避,是指通过对法律风险构成要素的分析,以阻止法律风险构成要素全部成就的方式,使企业不仅抓住机会而且避开法律风险。这种方式较为积极,但也有铤而走险的意味,把握得好则可以既抓住机会又避开法律风险。
而合法化则是另外一种回避法律风险的有效方式。这种方式是分析行为合法化所必须具备的要件,并以取得相应的合法资格、完全遵守相关规范等方式,实现行为的完全合法。这是一种最为稳妥的方式,但往往要看相应的商业机会是否值得付出相应的合法化成本。
2.以承受主体变更的方式
通过法律风险不利后果承受主体的变更也同样可以控制法律风险,只是这种方式受到的客观条件制约更多,主要有直接转嫁和间接转嫁等方式。
法律风险的转嫁往往是通过单个合同或一系列合同的约定,将某份合同履行中可能出现的法律风险不利后果传递给其他方最终承担,从而使主体本身避开法律风险不利后果的影响。
其中,直接通过合同的约定将交易中可能出现的法律风险不利后果或某种法律责任转嫁给交易的相对方属于一种直接转嫁,而通过合同由某方提供担保则是一种间接转嫁。所有转嫁的共同点,是对尚未发生而又可能发生的不利后果,通过合同约定由其他方最终承担,即使自己一方依法必须承担也将有权追偿。
3.两者均可采用的方式
还有一些法律风险的事前控制方法无论承担主体是否变更均可采用,其原理是通过对法律风险形成范围或形成时间上的控制,达到应对法律风险的效果。这类方式主要有分散、转换等,在事前控制中可以发挥极大的作用。
法律风险的分散,是指通过增加风险承担主体或将总风险分割到不同阶段、不同限度的方法,将所要承担的总法律风险分散给其他的主体或加以分散,从而在法律风险不利后果出现时,只承担其中的一部分法律风险。
法律风险的转换,则是指以另外一种相对风险更小或更容易承受的法律风险替代某种法律风险,从而达到削弱法律风险影响的目的。这是一种标准的“两害相权取其轻”的操作方法,适合那些通过简单判断就能衡量不同法律风险的威胁程度,并且可以简单转换的交易。
(二)法律风险的事中控制
法律风险的事中控制,是指当法律风险已经形成之后,包括已经爆发为法律风险事件之后,各种应对法律风险、减少不利后果影响的手段。在这一阶段,企业已经失去了单方控制法律风险发展趋势的可能性,只能通过与相关方的互动来削弱法律风险的不利影响。这类应对手段主要有以下几种:
1.预防事件出现
在大多数情况下,法律风险事件是否出现、法律风险是否带来不利后果均非企业能够掌控,但企业一般能够预见是否存在相应法律风险、相应法律风险在何种状况下可能会爆发为法律风险事件,以及事件的大致不利后果。
因此,预防法律风险事件出现也就是在法律风险确定后、事件出现前,通过控制法律风险爆发为风险事件的要素,以尽可能避免风险事件爆发的方式,达到降低法律风险的目的。预防通常是操作层面应对法律风险措施中成本最低的方法,其成效与具体操作人员的预见能力、控制能力有关。
2.抑制事件后果
在法律风险事件出现后,所需要抑制的已不再是法律风险,而是法律风险不利后果的幅度及范围,以实现不利后果的最小化。这类事中应对措施虽然形形色色,但归根结底不外是从证据依据和法律依据两个方面,为自己寻找不应承担后果或应当少承担后果的理由。
这种法律风险管理手段不算先进,已经接近于“头痛医头、脚痛医脚”的方法,不仅属于被动防御而且工作效果也不确定。由于大多数企业缺乏法律风险管理中的证据管理意识,而且许多工作缺乏细致的安排,其事中控制一般比较艰难。
(三)法律风险的事后控制
法律风险的事后控制听起来有些滑稽,但在管理学上关于事后控制的说法却完全可以成立。事后控制是在法律风险后果已经确定后所要完成的工作,其主要工作内容是对整个法律风险不利后果的形成及处理过程进行分析总结,并通过惩处责任人、完善管理制度及管理流程、加强培训等方式,避免相关或类似法律风险的重复出现。
事后控制是榨取法律风险不利后果“剩余价值”的工作模式,可以为更长远的经营活动提供基础。而企业管理原则中所提倡的循环改进,其实也包括了管理行为中的事后控制。
总的来说,由于法律风险的性质及严重程度不同,有些法律风险只用单一的方式已经足够应对,而更多的法律风险则需要使用各种综合措施加以应对。甚至企业所面对的诸多法律风险中,有些风险必须采用非法律的手段或者辅以非法律的手段才能彻底解决。因此,法律风险管理不是仅凭法律手段就能解决所有问题,更不是仅凭几个条文就能解决问题,必须与企业的发展目标、企业文化等诸多客观因素相结合,通过全面整合企业资源才能实现。
第五节 法律风险管理涉及的内部关系
着手实施法律风险管理需要同整个企业打交道,而企业往往并不是看上去那样铁板一块,而是存在着多种多样的复杂关系。这些关系的相互作用,往往会对企业的发展方向产生重大影响。虽然并非法律风险管理的工作目标,但了解这些关系的存在会在法律风险管理项目的实施中,以及管理活动中,减少不必要的阻力并提高工作效率。
一、法律风险管理的参与各方
企业实施法律风险管理时,其最为基本的参与方是决策层、外部律师、企业法务和除法务以外的企业人员。这种配置既是工作的需要,也是满足法律风险管理职能的需要。在工作中缺少了哪一方的配合,都会影响到实施的效果或效率,并最终影响到法律风险的控制能力和应用水平。
(一)企业决策层
企业的决策层分为不同层面,其中最高的层面当属股东会或股东大会,但这类决策层一般不会直接左右法律风险管理活动。中间层面是董事会,负责执行股东会或股东大会的决策,并对某些经营事项等依据法律及章程规定进行决策。较低层面则是总经理一级,负责对董事会决议的具体执行。但法律风险管理活动中的决策层有时仅指对法律风险管理活动中所涉及的方案、事项有权决策的企业代表人,包括法定代表人或高管、授权负责人,甚至包括实际控制人。法定代表人可以按照企业章程或营业执照确认,而某些实际控制人在企业中却没有任何职务,给对决策层的认知以及决策的执行带来不便。
一般来说,企业实施法律风险管理是决策层统一意见后的结果。或者说法定代表人与总经理在具体工作中,一般不会发生意见相左的情况。但在某些个别的情况下,公司的决策层可能会存在意见上的分歧甚至对立。在此情况下,如果从法律角度来看,能够代表企业行使职权的是其法定代表人,决策层意见不统一时应以法定代表人的意见为准。
如果在实施法律风险管理项目中,公司的实际控制人与公司的法定代表人意见不统一,则会使法律风险管理的参与人员陷入两难的境地。如果实际控制人与决策层的意见无法统一,在法律上仍旧只能以法定代表人的意见为准,但很少会出现如此严重的情况。
公司决策层在法律风险管理中的职责是,确定工作方向及重点、确认评价结论,以及在可供选择的实施方案中进行决策、带头遵守相应的管理制度或流程,并不参与具体的实施工作。
(二)外部律师
之所以称为外部律师,是因为按照目前的律师法律体系,某些企业具备一定条件后可以建立自己的公司律师队伍。这些公司内部的律师属于公司人员,按照目前的律师体系,被称为公司律师或内部律师。而通常的律师则并不隶属于任何一家企业,而是就职于律师事务所,相对于公职律师和公司律师而被称为社会律师,也就是俗称的外部律师。
外部律师的长处,是由于其专业从事法律事务的处理,因而有更多的工作经验,也对法律有着更为深入的理解和融会贯通。即使仅仅查询相关法律规范、分析相应的法律关系,律师也会比企业法律事务管理人员有着更为便利的渠道。但并非所有的律师都适合从事企业法律风险管理,因为在专业化趋势越来越明显的前提下,只有非诉讼律师更容易胜任相应工作。而那些诉讼律师则由于大多对企业和管理缺乏理解,在从事法律风险管理服务时会明显地缺乏优势。例如,某些擅长刑事辩护业务的律师,如果要从事法律风险管理业务,他们最为擅长的当然是应对企业及企业人员的刑事犯罪风险,而对更为大量的行政法律关系和经济法律关系并不擅长,难免会导致法律风险管理的重心发生偏移,除非这些律师与其他非诉讼律师组成专业完整的团队。
综合来看,如果希望法律风险管理工作具有足够的深度和实际效果,外部律师必须具备广泛的民事、行政法律知识和工作经验,因为这项工作是法律知识和法律工作经验密集型的工作,而对刑事法律知识和工作经验的需求量并不多。除这些专业知识方面外,还需要具有以下的基础条件:
1.企业管理知识
法律风险管理是介于企业管理与法律事务管理之间的一种管理行为,必须拥有一定的企业管理知识才能胜任相应工作。即使是从事非诉讼业务的专业律师,如果没有企业管理方面的专业知识或工作经验,由于管理与法律毕竟是两个不同的专业,在从事法律风险管理业务时也会出现对于企业及企业管理缺乏理解的情况,甚至其解决方案不切实际,不是量身定做而是让企业削足适履。这种生搬硬套式的法律风险管理,无法达到利益最大化、风险最小化的境地。
而且,熟悉企业管理更有利于与企业管理层进行沟通,因为相对来说企业更为熟悉的是管理语言,而不是法律语言。
2.企业行业知识
行业知识也是外部律师在参与企业法律管理中经常要接触到的内容,如果根本不了解企业所属行业的情况,就无从了解该行业的交易习惯、经营环节及交易特点,以及该行业的常见法律问题,不仅在调查时有可能不着边际,在设计解决方案时也会缺乏可行性。
这一问题与前一问题有几分相似。如果具备了企业管理方面的知识和工作经验,就会很快地了解一个新的行业,掌握其特点并顺利地开展工作。因为行业虽然千差万别,但其基本规律却是一样的,在掌握了企业的共性之后,只需了解其个性就会很快地熟悉一个新的行业。
3.语言沟通能力
除前述知识和经验外,从事相应业务的律师还应当具备一定的同企业人员打交道的能力。因为企业的许多情况仅凭资料或问卷调查是根本无法得到的,必须深入了解才可能得到。而不善于同企业人员打交道,就难以得到第一手资料,在制定解决方案时也难以得到企业人员的配合。
在这一方面,如果律师具有一定的社会阅历则会对工作有很大的帮助,因为这种阅历本身就会令人产生信任感。如果再能辅以一定的语言技巧,就会提高沟通的效率,更多地得到有用的信息。
4.专业合作团队
企业的法律风险涉及方方面面,任何一个律师都不可能是所有方面法律事务的专家。如果存在这样的专家,也必然是只熟悉单纯的法律知识而没有具体工作经验的专家,从每个人有限的工作时间和具体的工作时间分配方面,也足以决定任何人不可能成为这类专家,甚至倾其毕生的精力也毫无可能。
因此,必须拥有一支由不同法律领域的专家共同组成的专业团队,才能胜任一个企业方方面面法律风险的识别、评价、应对工作。否则,即使提供了全面的解决方案,该方案也可能是该法律领域中最为平常、通用的解决方案,而非对于该企业最佳的解决方案。
(三)法务人员
这里所说的企业法务人员是个泛指,只要是在企业从事法律事务处理工作即被视为公司法务,而不论其专业资格。除了某些国有企业按照法律顾问制度设立的法务机构或人员外,许多企业聘请了具有一定法律专业知识的人员担任公司法务的工作,这就是平时常说的公司法务。因此,在企业从事法律事务处理的人员分为公司律师、具有企业法律顾问资格的法律顾问、不具备前述两种资格的法务人员三种。虽然资格考试更为严格,公司律师的法律专业功底更为扎实,但他们在整个企业法律风险管理过程中仍旧替代不了外部律师。
无论是这里所说的哪一种法务,由于本身属于公司的员工,因此他们除了法律事务处理工作外还要身兼许多其他的企业管理事务。虽然他们因此而更为熟悉企业管理和企业意图,但也导致他们在法律专业知识的深度和广度方面的欠缺,而仅仅是时间分配方面存在的问题,也决定了他们在整体专业知识方面极难达到外部律师的专业水平。此外,法务人员由于缺乏专业的查询手段,并缺乏广泛进行法律从业经验交流的机会,因此专业水准的提升受到了限制。
因此,企业法务在法律风险管理中的职能,是提供企业中与法律风险管理相关的情况、弥补外部律师对于企业及企业管理方面知识的不足。同时,他们也是法律风险管理方案质量的判断者和未来的执行者,缺乏他们的广泛参与将无法提高法律风险管理工作的质量。
(四)企业人员
除了法务以外的其他企业人员是法律风险管理中最为基础的参与者,一般都是企业中负有一定职责的基层、中层管理人员,或者关键岗位的业务人员。
企业人员一般只负责外围的、辅助性的工作,但他们所提供的信息的质量决定了法律风险管理工作的质量。没有他们的积极参与,前期的调查将难以得到有效的信息,而得出的结论也会无的放矢,而解决方案更会失之毫厘而谬以千里。总的来说,他们在法律风险管理活动中的参与主要有三个职能:
1.安排、联络工作
法律风险管理项目是企业与外部律师之间的互动,有时甚至还会有企业咨询行业的外部人员参与其中,因此如何安排日程、沟通信息显得非常重要。一般来说,企业必须指定专门的、具有一定的层级的管理人员负责具体的日程安排、住处沟通和联络等事务,包括与访谈对象确定具体的访谈时间、按何种进度进行现场调研、由某一具体部门按时提供相应信息等,否则工作效率难以保障。
2.提供基础信息
在尽职调查阶段,企业需要向律师提供足够的信息,才能使律师有机会充分了解企业的实际情况和需求,并据此设定解决方案。如果没有这一过程,而是直接向企业提供某种解决方案,其针对性和实用性将难以保证。
企业信息的提供大致包括企业档案中所能反映出的历史资料以及实际操作中存在的文本、流程等,除了这些静态的书面资料,还有大量的情况要通过对数据和材料的分析才能得出,甚至某些实际信息只有通过面对面的访谈才能得到。
3.确认结论或方案
通过调查而得出的结论,特别是通过面对面访谈而得出的结论,一般而言比较接近于企业的实际情况。但即便如此,所得出的结论仍旧可能与实际情况存在偏差,因此在结论做出前最好的方法是经过企业人员的确认。法律风险解决方案也是如此,因为在未来首先执行这些方案的便是企业人员,必须通过他们来确认这些方案是否能够解决实际问题、是否便于操作。
因此,在方案设计阶段应当有更多的企业相关人员参与其中,否则闭门造车所形成的方案很有可能不切实际,甚至根本无法操作。
二、企业内部利益关系与法律风险管理
当人们亲身接触某个企业,特别是某个知名企业时,许多人会有一个想当然的观念,认为企业的各级员工当然会上下一心,而企业员工也会当然地用心维护企业的利益。其实,这种想法可能只适用于理想中的企业,在现实中,即使是在各方面都非常优秀的企业,内在的情况也未必如此。相对于整个社会,企业是个有自己利益的利益体,而从利益关系的其他角度深入透视一个企业,就会发现企业本身也是个利益关系的结合体。在这个结合体中,存在着交织在一起的各种利益关系。而且,秩序良好、人员稳定的企业只不过是各种利益关系相对平衡的企业,并不是没有利益冲突的企业。
即使从最为基本的管理理论出发,企业对外存在着与社会、政府、供应商、客户之间的利益关系,对内则存在着拥有者、管理者、员工三种主体,而每种主体都有着自己的利益,因而企业内部也交织着这三种主体之间的利益关系。由于不同利益关系的存在,各种利益关系相互作用的结果,使得企业内的人员事实上难以成为铁板一块。
利益相关者的概念于1963年由斯坦福大学首次提出,此后经不同的学者不断加以论证和解释,其内涵外延已经有些莫衷一是。但总的来说,其中最为宽泛也最能令人接受的定义,是将利益相关者定义为凡是能够影响企业活动或被企业活动所影响的人或组织,在企业与外界之间通常包括市场、政府、顾客、债权人、供应者、竞争者、公众等,对内则主要包括拥有者、管理者、员工等。由于存在利害关系,企业的前景无时无刻不受利益相关者的影响。
建立利益相关者理论的本意,是强调以利益相关者为中心而不是像以往那样强调以股东为中心。但我们并不在此讨论企业使命问题,而是揭示利益相关者之间的利益平衡与冲突,以便更深入地理解企业、理解企业中的人,从而在尽可能达成各方关系平衡的情况下,促进法律风险管理的实施。
图2-4 企业内部利益关系图
(一)企业拥有者
企业拥有者既包括了企业的显名股东也包括了隐名股东,或者说,企业拥有者既包括了股东也包括了实际控制人,两种表述的含义相同。由于在法律层面只承认登记过的股东,因此登记过的股东才是法律意义上的拥有者。法律风险管理的任务,是降低企业的法律风险,促进企业拥有者利益的实现。
从法律角度理解,企业拥有者是企业的投资者,他们承担了投资的风险,并因此而享有投资的收益。在公司法的范畴里,通过治理结构的设定来维护股东权益,同时还授予了股东极大的自主决定权。但如果以股东利益为中心,公司治理的主要目标,是在充分授权管理者实施企业经营管理行为、获取盈利的同时,监督和制衡管理者的职权以防止其损害股东利益。无论是授权还是制约,都是从开源和节流两个方面实现股东利益的最大化。
由于个人素质参差不齐,社会上存在着某些企业拥有者在公司运营过程中,对外滥用有限责任制度、虚假出资、欺诈等行为。即使在对内方面,也存在着股东侵犯员工利益甚至管理者利益的行为,甚至某些企业拥有者视员工工资和资金、福利等为“支出”,竭力进行“压缩”,造成管理者和员工的利益冲突。而且,企业拥有者都是企业制度的制定者,从这个角度看,企业拥有者与其他方很有可能存在利益冲突。而如果企业员工不能同企业拥有者同心同德,说明这个企业的人力资源管理政策上存在着问题甚至是危机。当然,其责任在于企业拥有者或者企业管理者。
(二)企业管理者
从权力阶梯来看,企业管理者是企业中承上启下的重要角色。对于企业拥有者,除了那些既是企业拥有者又是企业管理者的情况外,企业管理者属于雇佣人员。而对于下属员工,这些管理者又代表着企业拥有者的意志。同时,由于职务要求的不同,他们一般被要求成企业拥有者的管理能力的延伸,承担着比企业拥有者更多的具体管理责任。在这一层面,法律风险管理措施必须提高他们的效率和法律方面的安全性。
对于这一层面的管理者,他们所面临的工作内容是企业拥有者的要求和愿望,如何通过他们对于包括员工在内的企业资源的调配去实现。因而他们必须比企业拥有者面临和解决更多的矛盾,以实现企业的营利目标。但由于他们并非企业的拥有者,因此企业营利与他们之间的关系成为一个非常重要的问题,而这也是企业拥有者必须考虑的如何激励企业管理者的问题。
国有企业的难题,其实主要就是企业拥有者与企业管理者在利益分配方面如何定位的问题。总的来说,企业的营利与企业管理者的关系越是密切,企业管理者与企业拥有者的利益共同点就越多,企业也就越容易因拥有者与管理者在利益上的一致而得到更大的发展空间。但这种利益的调配并非易事,因为不同的企业、不同的管理者、不同的激励手段就会产生不同的结果,并无一定之规。而且,企业管理者也同样需要与企业员工达成利益的平衡,否则仍旧难以实现企业目标。
(三)企业员工
企业员工可以理解为除企业拥有者及高级管理人员以外的所有企业人员。除极为个别者外,他们所面临的问题既有如何更多地获取劳动报酬从而更好地生存,又有如何得到升迁和发展的机会从而改善境遇。
由于他们与企业拥有者的利益更为间接,如何调整利益关系,使他们的利益与企业拥有者的利益、企业管理者的利益达成一致或平衡是个非常重要的问题。而且,法律风险管理措施的具体执行者最主要是集中在这一层面,如果法律风险管理措施只是一味地增加他们的劳动强度,则受到抵触的机会就会大大增加。即使是就业压力足以使他们中的大部分稳定地留在企业,但这并不等于他们能够最大限度地发挥作用。
三、企业中的正式组织与非正式组织
按照正式组织与非正式组织的角度去观察企业,同样会让我们看清企业所存在的各类相互作用的关系。关于什么是组织,不同的学者有着不同的定义,但人们仍旧会从自己的判断中得出组织的应有概念。按一般的理解,组织是指人们基于某种共同愿望而相互协调各自行为所结合而成的群体。因此,某一组织内的人们一般会有共同的特点或共同的目标,或是利益关系上的平衡。从这一定义来看,组织的数量及类型可谓多如牛毛。
正式组织是根据一定的目标或宗旨而设立的、有意识地协调人们的活动与力量以达成某种目的的群体。因此,正式组织是由管理者通过正式的筹划而设定的,具有正式的组织结构,一般同时具有成立组织的目的性、机构及成员设置的正规性、长期存在的稳定性三个基本特征。形成正式组织的目的,是为了提高某一方面的效率以及形成合力去实现某类目标,企事业单位、机关等都是正式组织,有明确的目标、机构,并具有一定的稳定性。
但无论是在哪一个正式组织中,都会存在非正式组织。这些非正式组织,是人们出于价值观念上的共同点或利益关系,未经正式筹划和设立而在人们的交往中自发形成的群体。在这些非正式组织中,成员之间的关系并非出于正式组织的安排,而是由于爱好、情感、观念、情趣等相同或相近而自然产生,无论是形成还是散去都非常容易。因此,非正式组织具有自发性、内聚性和不稳定性。
将正式组织与非正式组织相比较,可以发现非正式组织更侧重于人际关系,而正式组织则更侧重于权威安排。而且,正式组织的结构、层级和职责范围等比较清晰,而非正式组织的这些方面则并不清晰。非正式组织与正式组织之间虽然名称相对,但在现实中并非处于完全的排斥关系。在某些情况下,正式组织无法实现的目标通过非正式组织却可以轻易实现,而某些正式组织的管理规定却也会由于非正式组织的存在而难以执行。因此,现代管理学也越来越重视非正式组织在正式组织中的积极作用,甚至有意通过一定的人为干预而充分利用非正式组织的有利方面去实现某种企业目标。
由此可见,非正式组织作为一种客观存在,具有两面性。一方面,它比正式组织更能让成员间形成特殊而又稳定、融洽的人际关系,更能满足人们情感上的需要、促进正式组织的稳定,甚至可以用作改善正式组织信息沟通状况的手段。另一方面,非正式组织也有可能最终导致正式组织内部产生各非正式组织之间的冲突,不仅影响组织成员间的团结和协作,也会最终影响组织目标的实现。因此,正式组织的管理者应充分认识到非正式组织的存在和作用,通过有效的引导,充分发挥非正式组织的积极作用、克服其消极作用,以促进企业目标的实现。
在法律风险管理活动中,有时需要认真识别非正式组织与法律风险之间的关系,防止因非正式组织的存在而妨碍法律风险管理的实施。而且,在某些企业中,即使是正式组织中的分支机构,如部门、下属企业等,也会由于利益等方面的原因,对于法律风险管理存在一定的抵触现象。一旦出现这些现象,就需要认真考虑究竟是法律风险管理措施存在问题还是非正式组织的消极影响在起作用。从而及时克服决非正式组织的消极影响,实现法律风险管理目标。
四、企业价值链所涉及的内部关系
价值链理论与法律风险管理并无直接关系,但该理论揭示了企业内部的各种关系,而这种关系的提示有利于理解企业,并有利于分析企业内部的法律风险,同时也便于在设计法律风险解决方案时考虑其可执行性。因此,价值链理论是从事法律管理活动所必须掌握的理论。当然,我们只是借用这一理论从而为法律风险管理活动提供有效的工作方法,并非深入研究该理论解决战略问题。
提出价值链理论的是美国哈佛商学院著名战略管理学家波特。根据该理论,企业每项生产经营活动都是其创造价值的经济活动的一部分,所有互不相同但又相互联系的生产经营活动共同构成了创造价值的一个动态过程,这一过程就是价值链。价值链反映了生产经营活动的特点、重点等重要信息,当企业价值链所创造的价值超过成本,则企业处于盈利状态;如果盈利水平超过竞争对手,则企业就会由于拥有更多竞争优势而处于领先地位。
价值链理论将生产经营活动分成基本活动和辅助活动两大类。其中,基本活动是指直接从事商品实体加工的生产经营活动,一般可以分为内部后勤、生产加工、外部后勤、市场营销和售后服务五种,是企业的基本增值活动。而辅助活动则是指为基本活动提供辅助且各活动之间相互辅助的活动,一般包括企业的采购管理、技术开发、人力资源管理和财务管理四个内容。
从价值链理论所包涵的内容来看,它更像是物流管理的理论,因为它所反映的是增值环节中的资源流动关系。但也正因如此,这一理论对于理解企业的基本活动规律有很高的价值。虽然企业所处的行业、经营方式千差万别,但其价值链却是基本相同的,只不过各有侧重或省略了某些过程。而一旦理解了一个企业的价值链,企业功能的划分、法律风险环节的确定以及法律风险管理的设置等问题就会迎刃而解。
(一)基本活动
基本活动的五项内容其实是一般生产型企业物流的基本特征,反映了生产活动中从原料到产品、到售后的过程。这五项内容并非一成不变,由于企业所处的行业或企业营利模式不同,价值链中的每一种活动又可细分出更多的具体活动。
1.内部后勤:主要指与产品相关的投入品的接收、仓储和分配有关的活动,如原材料的卸货、入库、盘存、分配以及退货等。
2.生产加工:主要指将各种投入品转化为最终产品的各种关联活动,包括将投入品转换成最终产品的加工、装配、检测、包装,以及设备维修等。
3.外部后勤:主要指将成品集中、仓储、分送至买方的相关活动,如最终产品的入库、接受订单、送货等。
4.市场营销:主要指提供可供购买的方式并引导客户购买产品的各类关联活动,如广告宣传、定价策划、销售渠道建设等。
5.服务:主要指向购买产品的客户所提供的,能够使产品保持或提高价值的各种有关活动,如培训、安装、调试、维修、零部件供应等。
以上五个内容中,每个内容以前一个内容为出发点,存在一定的时间顺序关系。这也是生产型企业的基本价值活动过程,具有普遍的规律性。不同行业的价值链虽然侧重面会有所不同,如商业企业可能会侧重于内外部后勤及市场营销,而设备生产企业则必须重视售后服务等,但这些活动仍旧符合价值链的基本规律。
(二)辅助活动
价值链中的辅助活动,顾名思义是那些在传统意义上并不直接产生价值,但为产生价值服务的一系列活动。但无论是在哪个行业,只要不是个人独自完成所有工作,则任何经营活动中都会或多或少地存在辅助活动。甚至在一些全新的产业模式中,某些企业以研发为代表的辅助活动不但直接产生价值,而且成为企业最主要的盈利手段,而生产加工活动甚至完全被取消。
1.采购管理:主要指企业购买生产经营所需投入品的活动,但并不包括被采购的投入品本身。采购活动的范围很广,只要是通过支付款项而获得产品或服务的行为均为采购,包括原材料、辅料、广告策划、办公设备、各类咨询等。
2.技术开发:主要指企业为了改善产品和工艺而在技术方面进行的各种努力,包括生产性或非生产性技术,以及各类技术诀窍、程序等。技术在企业中无处不在,开发及应用的程度也各不相同,但技术无论如何都是企业实力的体现。
3.人力资源管理:主要指将员工作为资源而进行的一系列的招聘、培训、考核,以及相关的提供工资、福利待遇的各种活动。这类活动贯穿着企业的每项活动,支撑着整个价值链。而且,其中的激励功能对企业竞争力水平至关重要。
4.基础结构:主要指企业的组织结构、管理体制以及企业文化等大量基础性活动。包括计划、管理、财务、法律、质量等管理行为,一般是对整个价值链起辅助作用。
(三)价值活动的类型
前述的基础活动和辅助活动,如果从其特点来分,又可以划分为直接活动、间接活动、质量保证活动三类。这三类活动有着各自不同的使命。
1.直接活动:专指直接创造价值或提升价值的活动,如加工原料、设计产品、发布广告、装配成品等活动。
2.间接活动:是指对直接活动产生影响的外围活动,如生产运作管理、销售管理、研究开发管理等活动。
3.质量保证活动:是指确保其他活动达到预期质量的活动,如监督、指导、测试、检验、考核、调试等活动。
这三类活动在企业内部同时存在,直至影响着其他活动的成本或效能,只是不同的企业各有不同的侧重面。结合这三类活动以及前面已经讨论过的基本活动与辅助活动理论,如果以立方图表示,价值链在三个方面的逻辑关系如图2-5:
图2-5 企业价值链所涉内部关系立方图
通过以这样一个立方体的方式加以描述,价值链的基本活动、辅助活动及活动类型三者之间的交错关系被直观地体现出来。其中顶部的四个方面,分别为采购管理、技术开发、人力资源管理、基础结构。而立方体侧面的三个方面,分别是直接活动、间接活动、质量保障活动。
虽然价值链本身并非法律风险管理的研究对象,但它揭示了企业运营的内在规律和内部关系,有利于“看透”企业并为法律风险的识别、评价、设计应对方案、找出解决之道。而最终得出的立方图,则非常直观地显示了基本活动、辅助活动、活动类型三个维度下的价值链各要素之间的关系。
第六节 我国的法律风险管理实践
虽然我国的经济、法律发达程度与发达国家存在较大的差距,而且发达国家的法律风险管理早已起步,但我国的企业界并不缺乏高屋建瓴之人。随着我国经济的不断发展和人们认识水平的不断提高,在工作重心转移到发展经济方面的二十年后,许多企业认识到了常规法律顾问服务的不足,以及服务方式与企业需求之间的脱轨,开始寻求企业法律风险的全面解决之道。而这些探索便是在法律风险管理方面的具体实践,虽然收获不同但毕竟是各有所得。
一、我国法律风险管理的发展
虽然国外提出风险管理的概念大致是在20世纪中叶,但国外提出法律风险的概念并没有比国内早出多少时间。虽然国内外何时出现法律风险的概念无从考证,但从各图书馆以及立法中出现“legal risk”或“法律风险”的情况来看,我国在法律规范中首次出现“法律风险”一词是在20世纪90年代初,而且似乎是在无意中提到。而法律规范中大规模出现“法律风险”一词则是在20世纪90年代末,在工具书中出现这一词条则大多是在21世纪初。国外的情况也与此差不多,根据对国外图书网站及图书馆的检索结果来看,国外出现这一措词也只是略早一些而已。
在20世纪80年代初,党和政府既将工作重心转移到了发展经济方面,又适时地恢复了政法院校和律师制度,这两个举措都对“法律风险”一词的形成和现在的法律风险管理理念的形成有着重大的意义。在随后的岁月中,我国的律师业与企业界同步发展,并随着眼界的开阔和认识水平的提高而具备了长远的眼光。两者共同想到了如何以某种法律服务产品弥补传统法律服务模式的不足、如何将律师担当的法律顾问从“事后诸葛亮”转化为运筹帷幄的高参。而当人们的视线从法律纠纷发生后的诉讼处理转移到如何去避免这类纠纷的出现,以及如何在经营过程中通过事先设计去防范可能发生的不利法律后果时,法律风险一词也就应运而生了。
同国外的情况比较类似,金融行业永远是对风险敏感的行业,甚至其中的保险业本身的交易内容就是风险。因此,法律风险一词首先集中出现在金融、证券、保险类法律规范之中。随着21世纪对金融风险防范意识的加强,以及国有企业法律顾问制度的加强,“法律风险”一词在法律规范中日益普及。但并无法律风险管理一词,而是采用“法律风险控制”、“法律风险防范”等措词,从其措词上也可以看出这一新生事物尚处萌芽阶段。
早期法律风险管理实践是由企业与律师共同完成的。这一方面的设想其实在20世纪末90年代即已经开始,不过当时还只是零星的尝试,并未上升到足够的理论高度,工作的系统性和深度也不强。进入21世纪初,对于法律风险防范的尝试开始进入应用阶段。由于信息统计资料不详,当时究竟哪些企业从事过相关的尝试已经无法考证。浙江省某通信企业于2002年开展了企业法律风险评估的管理创新活动,从而引起整个中国移动集团的重视,并在其后引起了中央各大型国企的重视。从技术层面来说,该公司的尝试只是开启了一个时代的大门,总工作量并不大,但为后续实践的系统化、深入化提供了思路。
与此同时,在浙江经济中最为活跃的上市公司、民营企业跨进了这一领域。出于提高管理水平、提高工作效率的需要,部分企业分别完成了对管理制度体系的整合、对企业常用标准合同文本体系的整合,这些尝试最终都成为法律风险管理项目的工作成果组成部分。2003年,某化纤行业的巨型集团企业开展了法律风险评估工作,成为最早开展法律风险评估的大型民营企业。对于该集团的法律风险评估前后持续了半年之久,平均以每周两人两天的工作频率进行尽职调查,最后形成的调查报告长达数万字,成为当时之最。
其后,浙江某大型珠宝企业也于2005年开展了对于自身法律风险的全面评估并根据评估结果进行了整改,同时,还在反复调研的基础上建立了适合自己实际情况的合同标准文本体系。通过这些实践,法律风险管理从最初简单地对企业进行全面“体检”,到最后基本形成了有理论基础、有工作原则的独立活动。由于未能发现其他企业在这一方面的实践情况,这些活动极有可能就是内地企业最早的法律风险管理实践。此后,许多律师加入到这一业务领域,为中小企业提供法律风险评估服务,但工作量与深度、角度均与前述项目不同。
在内地企业开始法律风险防范实践的同时,某外国律师事务所也在我国开展了一系列的培训及宣传活动,大力推动法律风险理念的普及,并结合国外企业的实践经验,将法律风险防范的理念引入我国。该所的强项是可以立足于遍布全球的分支机构,以国际化的视角观察问题、分析问题,并提供国际上常见的解决方案。在整个法律风险领域的发展过程中,该所的推动作用功不可没。正是他们的推动,才使法律风险这一概念广为流传。但由于文化传统和法律体系方面存在一定差异,往往国外的法律风险管理理念及习惯做法,必须经过本土化后才能更好地发挥作用。
近年来,由于国务院国资委一再强调中央企业的法律风险管理、强调国有企业防范法律风险,因此部分国有企业纷纷开展了法律风险管理的实践。除了律师参与外,某些咨询公司也涉身其中。但总的来说,咨询公司的优势在于战略、财务、市场、运营风险的分析,而对于法律风险的识别与应对则仍以律师的工作质量为更高,因为法律方面毕竟需要专业知识和实践经验。
总的来说,所有在法律风险管理方面的实践对于法律风险防范理念的推动、管理模式的创新起到了举足轻重的作用,都在尝试化被动的法律顾问服务为主动的服务,并通过事前控制的方式系统地发现问题、解决问题。通过这种努力,必将使我国企业的法律风险管理达到世界领先的地位。但总的来说,这块业务还处于不断的探索阶段,不仅工作质量参差不齐,还在某种程度上存在鱼目混珠的情况,有待于通过摸索形成基本一致的工作原则和规范。
二、企业尝试法律风险管理的动机
法律风险管理可以分为两种类型:一种是日常的法律风险的事务性管理;另一种是经过系统化的法律风险评估后进行的系统化的管理。两者的区别在于系统性和管理的深度,以及对于企业的深远影响。前一种形式的法律风险管理,是广义的,企业早已实施,但较为初级、粗放。这种方法只是无意中实施了部分法律风险管理措施,并非真正意义上的有意识的法律风险管理,但即使这一点还有大量企业没有实现。而后一种形式的法律风险管理,是建立在系统的识别、评估基础之上,在有明确的目标及可行的方案以后,系统地对企业的法律风险加以控制、对可以利用的资源加以有效利用,从而实现企业利益最大化和风险的最小化。相比之下,后一种法律风险管理才能给企业带来实质性的变化,才能使企业的法律风险管理能力得到质的提升。
从目前的法律风险管理实践情况来看,主动实施这类管理的往往都是大型企业,而中小型企业则只是对其中的部分项目感兴趣。大型企业之所以对法律风险管理非常重视,主要出于以下几个方面考虑:
(一)为了实现主动的自我完善
当一个企业位于行业内的行业领袖地位,或处于“第一梯队”地位时,其额外的利益是显而易见的,因为这意味着企业可以有更多的发言权、更多的主动权,甚至可以为行业制定标准、可以引导产品的发展方向,而各类合作商也愿意长期为之提供价格更为优惠的产品或服务,这也在无形中造就了这些行业领袖企业或第一梯队企业的成本优势、商誉优势。为了继续拥有这类优势、继续与其他企业保持距离,这些企业往往希望通过管理方面的提升及创新来增强自己的实力,并借此继续维持其优势地位。
之所以选择在管理上进行创新,一方面是由于这类创新的投入较少,比增加固定资产投资的投入要少得多;另一方面,管理制度及执行力问题与企业生产的产品或提供的服务不同,由于企业间的文化差异较大,因而管理制度有其不可模仿性,即使强行模仿也会由于企业文化的不同而达不到应有的效果;此外,在同一行业质量平均化、产品同质化倾向越来越严重的情况下,唯有管理方面的创新才能使企业占据更为主动的地位。
(二)为了解决长期以来的困扰
企业所面临的法律风险是企业的多年之痒,绝大多数企业根本没有能力自行从根本上解决这一方面的问题,因而企业的法律风险管理都是事后管理,新的问题层出不穷,既劳民伤财又无从解决。由于没有系统、全面地进行法律风险评估,企业只能疲于应付已经发生的法律问题,头痛医头、脚痛医脚,而对于企业面临的法律风险状况并无整体意识和系统观念,完全处于被动的局面。
不断出现的诉讼会给企业增加诸多的诉讼费、代理费、差旅费等成本,而且这些成本的累积开支大多远远大于法律风险控制的成本,并对企业的正常经营活动造成干扰。这类企业大多是法律风险控制方面的投入不足,或是法律风险控制的机制不合理,从而导致了法律风险事件的不断出现。因此,某些企业痛定思痛,下定决心对企业的法律风险状况进行一次“普查”,为系统性地解决问题提供依据。
需要强调的是,法律风险评估不是法律意见书的汇编,因而汇总在一起的法律意见书并不等于法律风险评估报告。如果仅仅从已经发生的案件的角度,或仅仅是从法律意见的角度去为企业提供法律风险管理方向,无疑会将企业的法律风险管理引入歧途。
(三)为了避免遭受潜在的重大损失
许多企业在发展的特定时期内存在一定的合规性问题,甚至某些行为可以定性为严重违反行政法规。企业一直处于持续发展的过程中,这些问题由于种种原因一直未能彻底解决,从而一直留有隐患。随着企业总资产的不断增加、企业的负债率或负债总额的不断上升,一旦出现严重的法律风险事件,事件所引起的连锁反应有时足可以令整个企业前功尽弃。为了避免这种后果的出现,许多企业往往向律师敞开资料,寻求解决方案,杜绝重大隐患。特别是对于那些不断扩张的企业,他们的经营规模不断在扩大,企业的负债率也在不断地攀升,他们必须集中所有的宝贵资源用于保障企业的正常经营,同时也要尽一切可能避免风险损失的不利影响。因此,这些企业迫切需要彻底了解自己的家底,以便切合实际找出解决之道,通过法律风险管理来实现他们为企业制定的战略目标。
(四)为了推动管理机制的重大变革
任何一个企业,无论是属于国有企业还是民营企业,甚至是外资企业也不例外,只要经营期限较长而且较为稳定,便会形成一种安于现状的企业文化。其基本特征是效率降低、人浮于事,高管的“忠诚度”有余而企业的活力不足,而信息的通畅性、整体的协调性越来越差。这种情况也被称为“大企业病”,究其实质,是为满足功能而设置的管理机构逐步有其名而无其实,机构虽然仍旧存在但却偏离了设置目的,机构越来越接近于为了本身的存在而存在。
在这类企业中,仍然有许多人会有非常清醒的认识,包括最高层以及中层。但对于长期以来形成的体制如果进行过于剧烈的变革,巨大的震荡有可能会伤及企业的根本。因此,某些企业采取比较温和的方式,通过中介机构进行全面的评估,并由企业根据评估的结论进行针对性的变革。某些企业通过这种方式,既避免了管理层的剧烈震荡,又顺利实现了变更的目标。
总的来说,无论企业所从属的行业,也无论其企业性质,如果从价值链分析的角度入手,就会发现企业有共同的规律,这就为对不同行业提供法律风险控制服务打下了良好的基础。从目前一些企业对于法律规则的实际运用能力及水平来看,这一领域存在着极大的发展空间,甚至一些外资企业也同样如此。
三、法律风险管理带给企业的变化
毋庸讳言的是,我国企业的法律风险管理水平普遍偏低,以至于在律师行业已经习以为常的应对法律风险的简单做法,大部分企业在防范法律风险时也未采用。这一方面是由于专业知识及工作经验的原因,另一方面也是传统的思维方式在影响着企业决策者的思路。即使在律师大量走入非诉讼领域的今天,仍旧有许多人认为没有发生诉讼就没有必要找律师。因而在其经营活动中,只注意到了经营层面的问题,而忽视了法律层面的问题。
其实,如果仔细回顾一下企业所经历的一起起诉讼,除了那些权利义务明确的情况者外,许多决定企业胜负的关键点,往往不过几行字甚至是几个字。如果企业败诉的危机与其他危机相叠加,其后果将十分不利。因此,合同中“无足轻重”的几个字甚至决定着企业的生死存亡,而合同法律风险仅是企业法律风险的一部分。
由于服务机制上存在的问题,常规的律师法律顾问服务难以从根本上给企业带来实质性的变化,因为此类法律服务与企业的紧密程度存在问题。而法律风险管理由于是根据企业的需求提供零距离的调查及方案设计,虽然参与此类实践的企业可能分属不同的行业,但经过系统的法律风险评估,以及贯彻执行为企业量身定做的应对方案,对于企业的积极作用都会十分明显。
(一)认清了自身的法律风险状况
由于对企业的经营模式等状况早已司空见惯,再加上法律知识方面的欠缺,企业往往难以通过自查发现足够多的法律风险。而法律风险管理项目中的法律风险评估则是以一个第三方独立视角,从法律风险角度观察一个企业方方面面的问题,因而更容易发现和报告企业所面临的法律风险。
通过将企业分成若干个子系统并对具体的子系统进行深入的尽职调查,律师可以发现企业中存在的大量的法律风险。而且由于没有利害冲突,许多调查结果可以直接向企业最高决策者或股东进行汇报,使他们得以了解企业的真实状况、全面了解法律风险的全貌。实践表明,大部分企业均能通过调查报告发现许多从未意识到的风险以及从未加以运用的资源。
例如,某企业经过全面评估后,才发现以前的财务处理方式、出资方式、治理结构均存在重大问题,而这些问题已经存在了近十年。也有的企业通过调查发现业务流程、合同文本等方面存在不少低级错误。
(二)降低了法律风险的影响程度
法律风险既然是风险,就存在产生不利后果以及永远风平浪静两种可能。但问题是,如果某个法律风险由于事件的触发而形成不利后果,这种后果会带来多少损失,或者为了排除损失需要投入多少精力甚至财力。如果从这一角度考虑,当采取措施加以回避的成本远低于风险损失成本时,就应该采取相应措施加以避免。
律师根据企业情况提供的建议,有的涉及成本,有的不涉及成本。特别是对于那些防范成本极低的法律风险,例如合同文本中的某些条款,企业往往仅通过条款的完善就能充分避免某些漏洞,以降低甚至排除法律风险的不利后果。而对于一时无法解决的法律风险,在许多情况下企业也可以采取一定的控制措施,以便将其不利后果控制在可以承受的范围之内。这些措施都会大大降低法律风险的不利影响程度,为企业提供安全保障。个别企业甚至在非常短的时间内,连续完成了对投资结构、法理结构的大幅度调整。
(三)提升了风险的整体管理水平
从实践中得出的经验是,即使每年反复就法律风险对企业进行培训,也无法指望企业人员在经过培训后成为法律风险防范的专家。这些对于专业人员非常简单的法律问题,对于非专业人员而言只能掌握其中的一些简单操作,而且大多是知其然而不知其所以然。因此,通过对于企业现行制度、流程、合同文本等方面的梳理,形成固定的模式和相对固定的文本后,可以将律师在法律风险管理方面的经验转换成标准的工作模式,并通过这些标准化的工作及标准化的文本抵御法律风险,从而达到提升法律风险防范能力的目的。
专业律师为企业整理制度、流程、文本的过程,是建立在法律风险识别以及结合企业情况基础上进行方案设计的过程,既需要熟悉法律又需要熟悉企业,否则难以提供切实可行的解决方案。只有经过这样的“标准化”转换,企业在管理制度、管理流程、法律文书方面才会出现质的飞跃。虽然某些制度、流程、文本中也包括了大量的法律风险应对方案,但由于大多属于标准化操作,通过简单的培训和标准化后企业已经能够熟练掌握,从而大大提高企业的法律风险防范能力。
(四)得到附加效应的回报
实施法律风险管理项目无疑需要资金投入,但这些投入的回报除了前述方面外,有时还会取得其他方面的回报甚至所获颇丰。例如,某些企业通过项目的实施,发现了多个可以享受政策扶持或优惠之处,通过申报得到了相关的扶持资金或优惠,无形中减少了支出或增加了收益。
除此之外,许多实施法律风险管理项目的企业充分利用项目实现更多的目标,从而通过项目的附加效应得到最大化的回报。例如,某些准备通过ISO认证体系的企业,通过将法律风险管理项目形成的文件转换为ISO第三层文件的方式,既提高了法律风险管理能力又使这些管理文件与ISO质量管理体系平稳接轨。而另外一些企业则借助法律风险管理项目展开对外宣传,在社会上树立了注重管理并注重社会责任等良好企业形象。不仅在行业中保持领先地位,甚至通过创新而推动了整个集团法律风险管理水平的提高。
四、法律风险管理意识
法律风险管理理念在我国形成较晚,虽然已经开始日益深入人心,但仍旧处于发展阶段,它的发展、成熟将会受到法律环境及社会各界对这一新生事物的认识的影响。
由于我国的法律规范体系在不断地变化、完善之中,立法体制、执法体制本身也都需要完善。例如,立法的机制是先观察、再立法,而且在立法后有时还要由相关部门制定实施细则或司法解释,因而在这一缓慢的过程中,法律规范体系的明确性、稳定性方面存在一定的问题。法律风险的不确定性影响了法律风险管理结果的可预见性,增加了法律风险管理的难度。即使立法方面没有问题,执法体制及社会法治观念方面所长期存在的问题也导致了法律风险后果的不确定性。
在实施法律风险管理的整个过程中,虽然只是局部问题,但法律规范体系在稳定性、明确性方面存在的问题有时又会在某些具体场合产生消极影响,加剧法律后果的不确定性、影响人们的法律风险管理意识,同时也在局部问题上影响了法律风险管理的效用。当然,这些立法或执法上存在的问题无法动摇法律风险管理在总体上的作用,因为它有着更多的内涵。
(一)企业界的法律风险管理意识
对于企业来说,由于经济实力和发展阶段的不同,不同的企业之间对于法律风险管理的需求程度和承受能力有着巨大的差距。法律风险管理需要有高素质的管理人员,同时需要企业拥有一定的管理基础。但只有当企业的规模和实力发展到一定程度,企业的风险随交易金额、企业规模而不断扩大时,企业对法律风险管理的需求才会更为强烈,同时也会有实力在法律风险管理人才、法律风险管理的软硬件设施方面有所投入。因此,能够具备足够的条件、具有强烈的法律风险管理需求的企业,一般是中型以上的企业。而那些小型企业无论是从风险的破坏程度还是企业的经济及管理承受能力方面,对于法律风险管理的需求并不强烈,除非只是实施其中的某些项目。
即使是那些完全具备了实施法律风险管理条件的企业,对法律风险管理的认知程度还存在不少问题。一方面,法律风险管理需要在法律事务领域和企业管理领域均有一定工作经验和知识面的人士才能实施,而企业的法务部门一般不可能具备这类人员,因而企业看不出法律风险管理可能给企业带来的全新面貌。另一方面,由于法律风险管理这一新生事物一经萌芽就被某些机构或个人作为开拓业务的万金油概念进行炒作,损害了法律风险管理给人们的印象,也妨碍了这一行业的健康发展。
而事实上,随着企业规模和社会经济的发展,企业所面临的法律风险和风险损失已经达到了前所未有的程度,而许多企业却由于并未意识到或虽然已有认识却无能力实施法律风险管理,或者对法律风险存在侥幸心理,因而往往只能坐等法律风险事件的出现而无法主动事先采取措施。因此,绝大多数企业的法律风险管理或是处于空白状态,或是处于萌芽状态。正是由于企业界的法律风险管理处于非常初级的阶段,而且由于缺乏系统地发现和应对法律风险的能力,许多极为简单的法律风险管理措施在某些企业也属空白,一旦法律风险事件爆发往往就意味着巨大的损失。
(二)政府部门的法律风险管理意识
在我国,政府部门其实是企业法律风险管理的最大推动者。企业法律顾问制度的推行本身,就是为了在大中型国有企业中推广法律风险防范措施。虽然各级政府及其部门所关注的重点是国有资产和国有企业的法律风险,但各级政府部门在法律风险管理方面的推动作用远远大于民营企业及一般的上市公司。虽然民营企业与上市公司对于法律风险更有切肤之痛,但他们缺乏这种行政推动力。从这一点来看,这些大型国有企业的主管部门有着很强的法律风险管理意识,并在试图让国有企业去理解与执行。
由于高层的政府部门拥有制定行政法规、部门规章、地方政府规章等立法法层面的权力,因此大多数的与法律风险管理有关的立法多出自这些不同层级的政府部门之手。但此类立法存在着部门立法间的冲突、新旧立法的冲突以及不同法律规范间的冲突。在庞杂的行政法规、规章库中,许多立法的水平参差不齐,系统性和整体性差,在规范了某些行为的同时,也产生了新的法律风险的不确定性。而立法的质量决定了法律风险识别及应对措施的质量,由于立法观念和技术上的局限性,任何立法中往往都会或多或少地存在一定的问题。
同时,政府部门既是法律风险管理的倡导者,也是法律风险管理的实践者,有时也会面临特定的法律风险。例如对于某些媒体关注问题的解答以及某些行政行为,会在某种程度上出现缺乏法律意识、超越职责范围等情况,因而会给自己带来法律风险。在另一方面,从总体上说,政府部门无论是在立法还是执法中的法律风险意识均要强于一般企业,但往往更侧重于强调国有企业必须加强法律风险管理工作,而一旦各级政府部门出现执法的随意性,则会给企业带来新的法律风险,增加了企业法律风险管理的难度。
(三)法律行业与法律风险管理意识
律师行业是法律风险管理的实践者,在推动这一全新的尝试的同时,律师行业自身在这一领域也在不断进步,因为这项工作需要掌握比以前单纯的法律领域多得多的内容。目前,法律风险理念已经越来越引起人们的广泛关注,并有大量的相关著作面市。
但从总体上看,对于法律风险的研究基本上处于部门法的层面,因而许多研究缺乏体系性和理论性,只是基于部门法项下的禁止性而展开。当然,国内外的相关著作对于法律风险管理基础理论的研究也大多为一带而过,因而出现了有法律风险及法律风险管理的名词,却无法律风险及法律风险管理基础理论的非正常状况。更为不妥的是,某些机构将不同主题的法律培训内容堆在一起后冠以法律风险之名,而具体内容中却根本没有任何法律风险及法律风险管理理念,完全是对传统业务的一种新的包装。
即使是在提供法律风险管理的服务项目中,也存在着以某种通用的内容套用于不同企业的情况,其工作方式仍旧是未将法律事务管理与企业管理有效融合,对于企业难以起到根本性的作用。因为每个企业的情况都是不同的,必须通过大量、系统的尽职调查之后才能提供具有针对性和可操作性的解决方案。让企业去适用某种通用文本而不是为企业量身定做文本,属于现代版的削足适履。
此外,法律界所面临的另外一个困惑是,法律风险管理究竟属于管理咨询还是法律服务,甚至有些律师认为这类项目中许多工作并非律师本职。其实如果从企业的角度考虑,这个问题根本不是问题。因为有效的法律风险管理必须与企业管理有机结合,这是企业的需求,也是法律界解决实际问题的发展方向。
(四)社会整体的法律风险管理意识
随着政府部门大力提倡加强法律风险管理、提高法律风险意识,法律风险的概念及理念已经逐步开始从国有企业渗入到其他企业。从另外一个方面,由于法律风险的概念被越来越多的媒体提及,这一概念已经被广泛传播并日益成为人们耳熟能详的流行语。而且其使用范围也远远超过了企业层面,渗透到了法律的各个层面和领域。
由于基础理论的缺乏,法律风险一词的确切内涵、外延并不明确,经常出现法律风险与法律风险后果两个概念之间的混用。而法律风险管理一词也远没有法律风险预防、法律风险防范两种表述方式来得通俗易懂。这类的理解方式固然并不全面,但毕竟也已经接触到了部分关键问题。虽然法律风险主题在当前往往被视为对传统业务的换位思考,只是将已经发生过的教训用于事前预防,理解上略有偏差,但人们已经广泛接受了法律风险管理属于事前管理的理念。
总而言之,通过多方多年的努力,法律风险及法律风险管理理念的传播已经对整个社会产生影响,随着相关理论研究的深入展开、实践经验的不断丰富,法律风险管理将形成一个健康有序发展的领域并形成相应的产业。
