法律风险管理(Legal Risk Management)
目录 |
法律风险管理是指“在对法律风险主体的自身目标、状况及其所处环境进行充分了解的基础上,围绕企业的总目标、结合企业及所处行业的特点、企业外部因素等,采取综合、系统的手段充分利用法律所赋予的权利,以事前控制为主避免或降低企业法律风险不利后果的法律事务处理全过程。”
法律风险管理体系是指企业在实现战略目标的过程中,为了合理、有效地控制企业面临的法律风险而建立的,由一系列制度、流程、活动构成的有机整体。
法律风险管理体系建设的整体思路是:运用科学的工具和方法,全面客观地识别和分析企业所面临的法律风险,统筹制定风险控制措施,并根据措施要求建立或完善相关制度、流程。在控制措施落实完成后,对风险控制的实施情况进行总体评估,并根据评估结果对体系进行滚动更新。
在管理体系的设计上,中国移动的法律风险管理体系主要由三个模块构成,我们称之为ACE法律风险动态管理体系,即法律风险的分析(Analyze)、法律风险的控制(Control)和法律风险的控制实施评估(Evaluate)。
其中,分析模块的功能是通过科学的方法对法律风险进行识别和测评,全面、系统地认识企业面临的法律风险;控制模块的功能是依据法律风险分析的结果,制定、实施合理的法律风险控制措施,实现对法律风险的有效控制;实施评估模块的功能是通过对控制实施的状况进行评估,实现对法律风险控制的改进和体系的更新。
三个模块相互作用,循环往复,形成一个动态、闭环的管理体系。
1、风险识别的系统性。中国移动法律风险管理体系对企业法律风险的识别是结构化的识别、全方位的识别。通过对法律风险的准确分类,按照企业的内部管理职能和运作流程,全面梳理企业实际经营管理中可能面临的法律风险,改变了传统法律风险识别基本依靠企业法律顾问个人的能力和经验的状况,使法律风险的识别成为一项规范性工作。
2、风险分析的定量性。中国移动法律风险管理体系的一个突出亮点,是改变法律风险不可量化的观念,对所有识别出来的风险进行了量化测评,将具有不同法律性质、分散在不同领域和不同部门的法律风险,统一用可能性、损失度和风险期望值来衡量,从而使各种风险之间具有可比性,能够从管理角度区分出轻重缓急,使企业法律工作找到了从事后救济到事前防范的切入点。
3、风险控制的整体性。法律风险产生于企业具体的生产经营管理活动,对于法律风险的控制也必须落实到企业生产经营管理的第一线。中国移动法律风险管理体系把法律风险管理看成企业全体部门和员工工作的应有职责,风险管理不再完全依赖于企业法律部门,而是分散到所有的业务和管理部门。通过体系的实施,我们把过去似乎不可能实现的各个岗位、各个环节的法律风险管理控制责任明确起来,在纵向上将风险的防范和控制延伸到企业经营管理由始至终的各个环节,在横向上将风险防范和控制的职责落实到公司的各部门、各岗位,从而使法律风险的管理真正成为全面管理、全体管理、全过程管理。
4、体系运行的持续性。法律风险伴随着企业成立、发展、终结的整个周期,法律风险的管理和控制是一项长期性的工作,不可能一蹴而就。中国移动的法律风险管理体系是一个闭环的、动态的运行结构,它会根据内外部环境的变化和运行的周期,进行不断的调整和优化,保证风险体系始终适应企业发展的需要。
中国移动在法律风险管理体系建设过程中坚持了全员性、实用性和长期性三个原则。
首先,法律风险管理体系建设的一个重要目的是让各个部门和岗位能够对自身面临的法律风险有更清晰的认识,同时能够将风险管理的职责分解到各个部门和岗位。因此,我们在体系建设过程中,充分利用调研、访谈、培训、交流等手段,让所有和法律风险相关的领导和员工都能够参与到体系建设中来,实现风险管理的全员参与。
其次,建立法律风险管理体系的根本目的在于提升法律管理工作水平和有效降低企业法律风险。因此,我们在体系建设过程中始终密切结合企业的生产经营活动,从实际需要出发,注重项目成果的操作性和实用性,而不过分追求理论性和完整性,以保证体系建设的实效。
最后,法律风险是随着企业内外部环境不断变化的,需要长时期的跟踪和关注,风险的控制也不是一蹴而就的,需要循序渐进,逐步实现。因此,我们不是把体系建设当成一个一次性的项目,搞一阵风式的运动,而是作为一项长期性的工作来开展,定期对体系进行滚动更新,按计划逐步实现对风险的有效控制,真正实现风险防范的长效机制。
从具体操作来讲,我们将每个公司法律风险管理体系的建设分为三个阶段。
第一阶段的工作主要由法律部门通过项目运作的方式来开展,即由企业内部法律人员或由内部法律人员及外聘中介机构共同组成一个项目组,集中3到4个月的时间来完成相关工作,具体工作包括:
1、采用调查问卷及访谈的方式收集风险基础信息,同时对企业以往发生的法律纠纷案例以及企业涉及的主要法律法规进行全面的梳理;然后利用法律风险识别方法对风险信息进行整理,形成法律风险清单;接下来利用法律风险测评方法,对法律风险清单中的风险进行量化测评,并进行排序、分级,确定重大法律风险;
2、根据企业实际需要从多维度对企业的法律风险状况进行分析;
3、是针对重大法律风险进行风险控制现状评估,并根据评估结果制定风险控制计划。
法律风险管理体系建设第二阶段的工作主要由各业务部门来分别完成。即业务部门将重大风险控制计划中分配给本部门的控制措施列入本部门的年度工作计划,然后按计划完成相关工作,如制定或完善某项管理制度,改进某项业务流程等等。该阶段的工作周期较长,通常为一年左右。
法律风险管理体系建设第三阶段的工作由法律部门完成,主要工作内容是收集各业务部门风险控制措施的完成情况,并进行评估,然后根据评估结果提出风险控制措施改进建议,并对风险清单内容及风险测评结果进行滚动调整,进入体系建设的下一周期运作。
中国现还处在市场经济的初期,很多法律制度还不健全,大多民营企业在刚刚起步时,为获得较多的商业机会,往往会寻求一些法律的边缘机会,就像哲人说的那样,在面对一无所有的时候,人人都是冒险家,不太注重法律风险的控制。在法律风险管理方面主要存在以下问题:
1、缺乏正确的风险理念。风险理念是指对风险的态度和认识。正确的风险理念既不是对风险的刻意回避,也不是片面为高回报而刻意追求;既不是对风险视而不见,也不是对风险过分强调。风险理念应该与企业所处的内外部环境、企业的资源状况以及企业战略相适应,应该有助于企业战略目标的达成。
2、有待从战略高度认识风险管理的必要性。中国企业对风险管理的认识大都停留在职能管理的层次上,无论是事前风险应对,还是事后危机处理,都仅仅是从流程、技术层面去把控,风险管理缺乏必要的高度,也没有得到企业高层的必要关注。实际上,风险分析应该是战略管理的必要内容,也是企业高层的一项重要工作。
3、缺乏系统性风险管理手段。一方面,中国企业的风险管理相当程度上是一种“感性”管理,缺乏风险分析和度量手段,缺少专门化的风险管理工具;另一方面,风险管理往往按职能被切分到财务、运营、市场等多个层面,缺乏全局性的整合框架和主线。
4、还未渗透到组织和流程的各个层面。组织的风险理念往往缺乏清晰的表达和内部贯彻,并没有为大多数员工理解和认同,也无法落实到具体的日常工作中。
5、重法律诉讼而轻法律预防。甚至会在遇到诉讼后不惜一切代价争取胜诉。其实,对企业来说法律诉讼是解决危机与风险的最后选择,也是一种善后处理方式而且不经济。从法律角度看,胜诉需要坚实的证据基础和先在的许多严密管理制度以及法律程序的保障,而事实上企业的核心能力并非取决于其诉讼能力,而是通过一系列管理能力提升和避免由于工作中的疏忽而引起的争议和诉讼,从而以较小的成本支出达到化解不特定法律风险的目的。企业应侧重事前与过程的有效控制,而不是事后补救。这些,就需要企业加强对法律风险的管理。