關鍵詞:內部控制法律風險體檢
文本:
壹、問題的推導
我們之前是怎麽成為法律顧問的?我們坐在辦公室裏等客戶的電話。客戶不找我們,我們也很少主動去拜訪客戶。除了日常的法律咨詢和合同審核,我們基本上沒別的事可做。妳可能偶爾會被邀請參加客戶談判,但那也是被動的。然後我們就在辦公室等了壹天,等客戶來個法律糾紛,我們的案子就來了。時間長了,當事人也開始慢慢明白了。原來律師只知道打官司,甚至盼著我們公司出事。他有壹個好案子要做。因此,我們的客戶已經去招聘他們自己的法律人員。因此,主要負責訴訟的律師的作用得到了加強。好像事情就應該是這樣的。然而,事情真的應該這樣嗎?
我不這麽認為。對於客戶來說,打官司就像救火壹樣。雖然有火,他們需要去救,但他們更需要的是“不著火”!用這個比喻,律所就像消防隊,哪裏有火,我們律師總是樂意去滅火。消防業務壹開始還不錯,因為火災多,消防隊少。但是後來消防隊越來越多,火勢卻沒有增長那麽快。這時候很多律師開始覺得生意難做,競爭刺激了他們.....故事講到這裏,大家大概都意識到了問題的起因。因為我們只是在賣我們想賣的東西,而不考慮客戶想買的東西。就像我開頭說的,客戶需要的從來都是“不火”。這也是越來越多的企業有自己的法務人員和法務部門的原因。
那麽,對於客戶的需求,我們能做些什麽呢?這也是本文想要關註的:我們需要幫助客戶防範法律風險!有人可能會說,妳們把企業的法律風險扼殺在搖籃裏,我們就沒有官司可打了?這不是自掘墳墓嗎?我說沒有,為什麽?
首先,沒有人規定律師的主要工作是訴訟。近年來非訴業務的蓬勃發展就是壹個明顯的證明。
其次,即使通過我們的服務提高了企業自身的法律風險管理水平,仍然有可能面臨以下風險:1,被他人侵權;2.另壹方違約;3.企業自身管理不善導致的風險;4.企業根據生產經營需要自願承擔的法律風險。
因此,我們完全沒有必要擔心這個問題。原因很簡單。比如,世界上有那麽多的藥品、營養品、保健方法,但是每天還是有很多人生病去醫院,醫院的生意還是很火爆。
看來這項業務是可行的。那麽,這個生意怎麽做呢?這就引出了本文的主題,即為企業做壹次法律風險體檢。就像去醫院體檢壹樣。想知道是什麽問題,得先檢查身體,知道問題所在,才能對癥下藥。那麽這個企業法律風險體檢是什麽呢?
二、什麽是企業法律風險體檢?
這個體檢其實有點像盡職調查,但又很不壹樣。盡職調查報告壹般是針對公司以外的人,比如股權交易的交易對手。因此,盡職調查報告更關註企業存在的法律風險狀況。但對企業法律風險管理的機制、流程和管理水平關註較少。這恰恰是法律風險體檢的重點。風險的現狀並不是它的主要關註點。說白了,盡職調查報告重在“結果”,風險體檢重在“原因”。只有抓住了“原因”,才能避免不好的“後果”,防患於未然,這就是風險管理的意義。
在介紹如何做風險體檢之前,先講壹個小故事。這是我當實習律師時的壹次經歷。當時我和我院的壹個律師去了壹個企業,目的就是想看看這個企業有沒有法律風險。其實我去做了壹個法律風險體檢。但律師帶我參觀了辦公室,並去了生產車間,觀看工人們制作他們的產品“蒜片”。我不明白看這個有什麽用。雖然我們來之前也做了調查清單,但總覺得這些問題沒有切中要害,找不出什麽問題。結果可想而知,這次操作是失敗的,我們沒有提出任何有價值的風險防範意見。
幾年後,當我對企業的法律風險管理有了很好的了解,為我服務的企業做過很多次風險體檢的時候,我突然回過頭來,明白了當年的那次嘗試錯在哪裏。在我看來,錯誤在於沒有抓住企業管理過程的主線,而是停留在壹些表面問題上,導致了失敗。給企業做風險體檢,壹定要和企業的管理流程緊密結合,否則就是漫無目的,找不到問題,抓不到關鍵。
我剛才說了,體檢重點是風險的原因,而不是結果。所以,我們的註意力不應該停留在發生了什麽問題上,而應該著眼於找出這些問題的原因。怎麽找原因?有必要在管理中找到它。可以說,所有的內部問題都是管理層造成的。這就涉及到壹個叫做“內部控制”的概念。
“內部控制”的概念來自美國,是企業風險管理領域的壹個核心概念。是指企業的董事會、監事會、經理層和全體員工為實現控制目標而實施的過程。內部控制的目標是合理保證企業經營管理的合法合規、資產安全、財務報告及相關信息的真實完整,提高經營效率和效益,促進企業發展戰略的實現。
之所以要在這些領域引入內部控制的概念,是因為內部控制貫穿於企業管理的全過程。其核心思想是控制過程中的風險。通過有效控制過程中的每壹個風險點,企業可以在風險最開始的時候有效介入相關風險,從而將企業的風險降到最低。因此,要做好法律風險審查,必須從內部控制這壹貫穿企業管理全過程的風險管理手段入手。
從內部控制的角度來看,企業的經營管理實際上是由壹系列過程組成的。按照《企業內部控制基本規範》的分類,這些流程可以概括為18個模塊:1,組織架構;2.發展戰略;3.人力資源;4.社會責任;5.企業文化;6.資本活動;7.采購業務;8.資產管理;9.銷售業務;10,研發;11,項目;12,擔保業務;13,業務外包;14,財報;15,綜合預算;16,合同管理;17,內部信息傳遞;18,信息系統。
通過以上分類,我們可以清楚地看到哪些活動容易產生法律風險。例如:組織架構、人力資源、資本活動、采購業務、資產管理、銷售業務、研發、工程項目、擔保業務、業務外包、合同管理等。這些活動可能涉及以下法律風險:公司治理結構風險、勞動人事風險、投融資風險、知識產權風險、合同風險、擔保責任風險、工程糾紛風險等等。
我覺得內控法對我們理解企業法律風險最大的貢獻就是讓我們有了流程的概念,從流程的角度去看待企業的法律風險,而不是眉毛胡子壹把抓。企業的法律風險產生於其管理過程,因此如果這些活動中的某些環節沒有做好,就可能給企業帶來相應的法律風險。我們以人力資源管理為例,從流程的角度來說明如何梳理企業的法律風險:
企業的人力資源管理壹般包括四種活動:壹是人力資源的引進;第二,人力資源的開發;第三,人力資源的使用;第四,人力資源的退出。其中,介紹部分包括人力資源規劃、招聘活動、勞動合同的建立、試用期管理等。人力資源的開發包括培訓、內部晉升、工作輪換和其他管理活動。人力資源的使用包括績效管理、薪酬管理、獎懲、員工職業健康安全、社會保險繳納等。人力資源退出包括解除勞動合同和辭退員工。
通過這樣的梳理,我們對人力資源管理的流程有了更清晰的認識。同時也可以把相應的法律風險放到合適的地方。比如人力資源引進階段可能面臨的法律風險包括:未及時與勞動者訂立勞動合同或者勞動合同內容違法;企業未及時為勞動者繳納社保的;未與核心和關鍵崗位員工簽訂保密協議或競業限制協議。人力資源開發階段的法律風險可能包括:晉升或轉崗後未及時變更勞動合同、未與員工簽訂帶薪培訓的培訓協議或服務期協議等。人力資源使用中可能存在的法律風險:績效考核制度不完善導致調整員工薪酬時無法提供充分的制度依據和證據,從而引發勞動爭議;未及時支付工資的;工業事故;勞動者與其他企業同時訂立勞動合同。退出的法律風險可能包括:勞動合同解除不當引發勞動爭議;未及時行使終止權,導致企業多支付勞動者工資的;離職員工未遵守保密協議,導致企業商業和技術秘密泄露的;企業或員工未遵守競業限制協議等。(以上僅列出相關鏈接的法律風險,並未窮盡。)
這樣梳不是清晰很多嗎?我們可以用這種方法把企業可能涉及的法律風險都囊括進來,這樣就不會有遺漏,脈絡也更清晰。
三、如何做好企業法律風險體檢
那麽,有了這個流程的想法之後,我們具體怎麽操作呢?
首先要梳理出法律風險較多的業務模塊,如人力資源、采購、銷售、研發、工程項目、擔保業務、外包、合同管理等。然後根據內部控制基本準則和指引的內容,結合企業的具體情況,梳理出這些模塊的所有流程。然後列出並分析每個流程中可能存在的法律風險,盡量窮盡所有可能的法律風險。然後描述上述法律風險的理想控制狀態。最後,根據這種理想的控制狀態和企業的實際情況,找出差距,這是存在的問題,需要我們想辦法解決。最後根據我們對這個差距的分析,提出了我們的對策和建議,整個體檢就完成了。
上述過程可以概括為三個組成部分,即:1 .風險識別;第二,風險分析;第三,風險控制措施的設計。以下是具體介紹:
風險識別
1,風險識別的含義
法律風險識別是指對企業特定業務流程中可能存在的法律風險進行識別和列舉,目的是形成完整的法律風險點圖譜。這個環節是所有後續工作的起點和基礎。這個環節做不好,會影響整個風險體檢的質量和效果。這個環節最需要把握的是風險點識別的全面性和完整性,即盡可能全面、無遺漏地找出業務流程中所有可能的法律風險點。
2.風險識別的方法
那麽,我們用什麽方法來識別企業的法律風險點呢?壹般采用以下方法:
①工藝梳理法
該方法以內部控制指引為基礎,對企業的業務流程進行分析,並根據相關業務流程,列出流程中可能存在的法律風險。
②法律檢索方法
該方法是指對與企業業務相關的法律法規進行綜合檢索和分析,找出企業可能面臨的風險。這種方法的優點是更全面,避免了其他方法的缺點。
③個別訪談法
這種方法是指通過與企業的業務人員和管理層面對面的個別交流,了解相關風險點的方法。這種方法的好處是可以快速找到壹些管理和業務人員關註的風險點,這些風險點往往是企業的實際風險。缺點是不容易完全掌握業務過程中的所有風險。
④案例分析法
這種方法是指對企業中已經發生的實際案例進行分析,找出企業管理中可能存在的問題。這種方法的優勢在於針對性強,往往能找出企業的壹些關鍵痛點,信息更具體,可以用來對相關風險進行深入研究。
⑤集體討論法
也稱頭腦風暴法,這種方法是指所有參與項目的律師和企業關鍵崗位的管理人員,由辦案律師組織起來自由討論,自由發表意見,而不必過多考慮提出的意見是否正確。最後,律師會對所有意見進行整理分析,保留有價值的意見。這種方法的好處是可以創造性地提出壹些重要的問題,也可以通過無拘無束的交流啟發參與者。
在實際操作過程中,壹般通過流程梳理法和法律檢索法最大限度地列出風險清單,然後將風險清單做成風險問卷,再將問卷交給企業的業務人員填寫並反饋給律師。然後,律師進入企業,根據企業反饋的問卷(訪談法)與企業人員溝通,分析企業過往案例(案例分析法),與企業管理層討論重大風險(集體討論法),最終形成完整的風險問卷,從而為後續的分析工作奠定基礎。
(2)風險分析
有了上面的風險問卷,就可以逐壹分析企業的法律風險點。分析的主要目的是找出差距。當我們制作風險問卷時,我們已經在表格中反映了這個想法。
風險的大小=風險發生的概率×風險可能造成的損失。
如果可能,我們可以給上述三個變量賦值,從而準確判斷風險的重要性。當然,這壹點很難操作,這裏僅作為分析思路介紹。在實踐中,律師可以使用語言做出相對模糊的風險評估。
(3)風險控制措施和策略
知道了風險的原因和重要性,就可以提出如何控制風險的解決方案。《內部控制指引》將企業內部控制存在問題的原因分為兩類,即設計缺陷和執行缺陷。根據風險產生的不同原因,控制措施可分為兩類:壹是針對設計缺陷的措施;第二,針對執行缺陷的措施。
首先,我們來看看什麽是設計缺陷和執行缺陷。根據內部控制理論,企業的所有風險都是由兩種原因引起的:制度設計上的問題或執行上的問題。所謂設計缺陷,是指在業務流程設計、組織架構構建、職責權限劃分、內部資源配置等方面存在不科學、不合理或不合法的情況。執行缺陷是指企業內部人員不能嚴格有效地執行既定的業務流程和工作指令,導致企業面臨的相關風險。因此,只要針對這兩種缺陷的成因進行有效的幹預和控制,就可以最大程度地降低企業的風險。
針對這兩種缺陷,相關的控制措施也有所不同。對於設計缺陷,可以根據不同的原因采取不同的控制措施,如:改革內部流程;修訂規章制度;制定合同範本;調整組織結構和崗位設置;職責和權限的重新劃分等。執行缺陷壹般是由以下原因造成的,如:對規章制度不了解、不稱職、工作態度不正確、內部溝通不暢、預算不足等。因此,相應的控制措施可能包括:專項培訓、強化考核、崗位交流、預算調整、通過組織內部活動加強部門間的溝通。
訪談主要是關於控制措施的具體形式。但是,在制定這些措施時,壹個不可忽視的問題是,企業應該采取不同的策略來應對不同的風險,而不是對所有風險壹視同仁。這主要是由於以下原因:壹是風險的重要性不同,因此控制活動產生的效益也不同;二是企業對相關風險所能施加的影響也不同;三、企業能夠掌握的用於風險控制的資源是有限的,也就是說,風險控制本身是有成本的。四、與經營活動的風險相比,它所能產生的收益可能更大。
因此,律師在為企業制定相關風險應對措施時,應從企業實際出發,綜合考慮企業的發展戰略、商業利益、風險大小、成本控制等因素,采取不同的風險應對策略。這些策略包括但不限於:風險規避、風險轉移、風險降低、風險承擔等。當然,對於重大風控措施的設計,律師壹定要與企業高層進行充分的溝通和協商,使設計的風控措施符合企業的實際情況,被企業所接受。
(4)風險體檢結果輸出
經過風險識別、風險分析和控制措施設計,完成了法律風險體檢的整個基礎。但最終律師還是要盡量把體檢過程中產生的結果以書面形式展示給企業,作為我們服務的最終總結和交付,體現律師的勞動價值。這壹成果可以以“法律風險體檢報告”的形式體現,並附上為企業修改的所有制度、合同文本、流程文件、表格等。
當然,壹個體檢項目的完成不應該是我們工作的結束。完成這個體檢服務後,律師可以隨時跟蹤企業的整改情況,對企業負責到底。在這個過程中,企業也可能有後續的法律服務需求,我們律師的服務自然可以延伸。