企业如何做好法律风险体检
关键词:内部控制法律风险体检
文本:
一、问题的推导
我们之前是怎么成为法律顾问的?我们坐在办公室里等客户的电话。客户不找我们,我们也很少主动去拜访客户。除了日常的法律咨询和合同审核,我们基本上没别的事可做。你可能偶尔会被邀请参加客户谈判,但那也是被动的。然后我们就在办公室等了一天,等客户来个法律纠纷,我们的案子就来了。时间长了,当事人也开始慢慢明白了。原来律师只知道打官司,甚至盼着我们公司出事。他有一个好案子要做。因此,我们的客户已经去招聘他们自己的法律人员。因此,主要负责诉讼的律师的作用得到了加强。好像事情就应该是这样的。然而,事情真的应该这样吗?
我不这么认为。对于客户来说,打官司就像救火一样。虽然有火,他们需要去救,但他们更需要的是“不着火”!用这个比喻,律所就像消防队,哪里有火,我们律师总是乐意去灭火。消防业务一开始还不错,因为火灾多,消防队少。但是后来消防队越来越多,火势却没有增长那么快。这时候很多律师开始觉得生意难做,竞争刺激了他们.....故事讲到这里,大家大概都意识到了问题的起因。因为我们只是在卖我们想卖的东西,而不考虑客户想买的东西。就像我开头说的,客户需要的从来都是“不火”。这也是越来越多的企业有自己的法务人员和法务部门的原因。
那么,对于客户的需求,我们能做些什么呢?这也是本文想要关注的:我们需要帮助客户防范法律风险!有人可能会说,你们把企业的法律风险扼杀在摇篮里,我们就没有官司可打了?这不是自掘坟墓吗?我说没有,为什么?
首先,没有人规定律师的主要工作是诉讼。近年来非诉业务的蓬勃发展就是一个明显的证明。
其次,即使通过我们的服务提高了企业自身的法律风险管理水平,仍然有可能面临以下风险:1,被他人侵权;2.另一方违约;3.企业自身管理不善导致的风险;4.企业根据生产经营需要自愿承担的法律风险。
因此,我们完全没有必要担心这个问题。原因很简单。比如,世界上有那么多的药品、营养品、保健方法,但是每天还是有很多人生病去医院,医院的生意还是很火爆。
看来这项业务是可行的。那么,这个生意怎么做呢?这就引出了本文的主题,即为企业做一次法律风险体检。就像去医院体检一样。想知道是什么问题,得先检查身体,知道问题所在,才能对症下药。那么这个企业法律风险体检是什么呢?
二、什么是企业法律风险体检?
这个体检其实有点像尽职调查,但又很不一样。尽职调查报告一般是针对公司以外的人,比如股权交易的交易对手。因此,尽职调查报告更关注企业存在的法律风险状况。但对企业法律风险管理的机制、流程和管理水平关注较少。这恰恰是法律风险体检的重点。风险的现状并不是它的主要关注点。说白了,尽职调查报告重在“结果”,风险体检重在“原因”。只有抓住了“原因”,才能避免不好的“后果”,防患于未然,这就是风险管理的意义。
在介绍如何做风险体检之前,先讲一个小故事。这是我当实习律师时的一次经历。当时我和我院的一个律师去了一个企业,目的就是想看看这个企业有没有法律风险。其实我去做了一个法律风险体检。但律师带我参观了办公室,并去了生产车间,观看工人们制作他们的产品“蒜片”。我不明白看这个有什么用。虽然我们来之前也做了调查清单,但总觉得这些问题没有切中要害,找不出什么问题。结果可想而知,这次操作是失败的,我们没有提出任何有价值的风险防范意见。
几年后,当我对企业的法律风险管理有了很好的了解,为我服务的企业做过很多次风险体检的时候,我突然回过头来,明白了当年的那次尝试错在哪里。在我看来,错误在于没有抓住企业管理过程的主线,而是停留在一些表面问题上,导致了失败。给企业做风险体检,一定要和企业的管理流程紧密结合,否则就是漫无目的,找不到问题,抓不到关键。
我刚才说了,体检重点是风险的原因,而不是结果。所以,我们的注意力不应该停留在发生了什么问题上,而应该着眼于找出这些问题的原因。怎么找原因?有必要在管理中找到它。可以说,所有的内部问题都是管理层造成的。这就涉及到一个叫做“内部控制”的概念。
“内部控制”的概念来自美国,是企业风险管理领域的一个核心概念。是指企业的董事会、监事会、经理层和全体员工为实现控制目标而实施的过程。内部控制的目标是合理保证企业经营管理的合法合规、资产安全、财务报告及相关信息的真实完整,提高经营效率和效益,促进企业发展战略的实现。
之所以要在这些领域引入内部控制的概念,是因为内部控制贯穿于企业管理的全过程。其核心思想是控制过程中的风险。通过有效控制过程中的每一个风险点,企业可以在风险最开始的时候有效介入相关风险,从而将企业的风险降到最低。因此,要做好法律风险审查,必须从内部控制这一贯穿企业管理全过程的风险管理手段入手。
从内部控制的角度来看,企业的经营管理实际上是由一系列过程组成的。按照《企业内部控制基本规范》的分类,这些流程可以概括为18个模块:1,组织架构;2.发展战略;3.人力资源;4.社会责任;5.企业文化;6.资本活动;7.采购业务;8.资产管理;9.销售业务;10,研发;11,项目;12,担保业务;13,业务外包;14,财报;15,综合预算;16,合同管理;17,内部信息传递;18,信息系统。
通过以上分类,我们可以清楚地看到哪些活动容易产生法律风险。例如:组织架构、人力资源、资本活动、采购业务、资产管理、销售业务、研发、工程项目、担保业务、业务外包、合同管理等。这些活动可能涉及以下法律风险:公司治理结构风险、劳动人事风险、投融资风险、知识产权风险、合同风险、担保责任风险、工程纠纷风险等等。
我觉得内控法对我们理解企业法律风险最大的贡献就是让我们有了流程的概念,从流程的角度去看待企业的法律风险,而不是眉毛胡子一把抓。企业的法律风险产生于其管理过程,因此如果这些活动中的某些环节没有做好,就可能给企业带来相应的法律风险。我们以人力资源管理为例,从流程的角度来说明如何梳理企业的法律风险:
企业的人力资源管理一般包括四种活动:一是人力资源的引进;第二,人力资源的开发;第三,人力资源的使用;第四,人力资源的退出。其中,介绍部分包括人力资源规划、招聘活动、劳动合同的建立、试用期管理等。人力资源的开发包括培训、内部晋升、工作轮换和其他管理活动。人力资源的使用包括绩效管理、薪酬管理、奖惩、员工职业健康安全、社会保险缴纳等。人力资源退出包括解除劳动合同和辞退员工。
通过这样的梳理,我们对人力资源管理的流程有了更清晰的认识。同时也可以把相应的法律风险放到合适的地方。比如人力资源引进阶段可能面临的法律风险包括:未及时与劳动者订立劳动合同或者劳动合同内容违法;企业未及时为劳动者缴纳社保的;未与核心和关键岗位员工签订保密协议或竞业限制协议。人力资源开发阶段的法律风险可能包括:晋升或转岗后未及时变更劳动合同、未与员工签订带薪培训的培训协议或服务期协议等。人力资源使用中可能存在的法律风险:绩效考核制度不完善导致调整员工薪酬时无法提供充分的制度依据和证据,从而引发劳动争议;未及时支付工资的;工业事故;劳动者与其他企业同时订立劳动合同。退出的法律风险可能包括:劳动合同解除不当引发劳动争议;未及时行使终止权,导致企业多支付劳动者工资的;离职员工未遵守保密协议,导致企业商业和技术秘密泄露的;企业或员工未遵守竞业限制协议等。(以上仅列出相关链接的法律风险,并未穷尽。)
这样梳不是清晰很多吗?我们可以用这种方法把企业可能涉及的法律风险都囊括进来,这样就不会有遗漏,脉络也更清晰。
三、如何做好企业法律风险体检
那么,有了这个流程的想法之后,我们具体怎么操作呢?
首先要梳理出法律风险较多的业务模块,如人力资源、采购、销售、研发、工程项目、担保业务、外包、合同管理等。然后根据内部控制基本准则和指引的内容,结合企业的具体情况,梳理出这些模块的所有流程。然后列出并分析每个流程中可能存在的法律风险,尽量穷尽所有可能的法律风险。然后描述上述法律风险的理想控制状态。最后,根据这种理想的控制状态和企业的实际情况,找出差距,这是存在的问题,需要我们想办法解决。最后根据我们对这个差距的分析,提出了我们的对策和建议,整个体检就完成了。
上述过程可以概括为三个组成部分,即:1 .风险识别;第二,风险分析;第三,风险控制措施的设计。以下是具体介绍:
风险识别
1,风险识别的含义
法律风险识别是指对企业特定业务流程中可能存在的法律风险进行识别和列举,目的是形成完整的法律风险点图谱。这个环节是所有后续工作的起点和基础。这个环节做不好,会影响整个风险体检的质量和效果。这个环节最需要把握的是风险点识别的全面性和完整性,即尽可能全面、无遗漏地找出业务流程中所有可能的法律风险点。
2.风险识别的方法
那么,我们用什么方法来识别企业的法律风险点呢?一般采用以下方法:
①工艺梳理法
该方法以内部控制指引为基础,对企业的业务流程进行分析,并根据相关业务流程,列出流程中可能存在的法律风险。
②法律检索方法
该方法是指对与企业业务相关的法律法规进行综合检索和分析,找出企业可能面临的风险。这种方法的优点是更全面,避免了其他方法的缺点。
③个别访谈法
这种方法是指通过与企业的业务人员和管理层面对面的个别交流,了解相关风险点的方法。这种方法的好处是可以快速找到一些管理和业务人员关注的风险点,这些风险点往往是企业的实际风险。缺点是不容易完全掌握业务过程中的所有风险。
④案例分析法
这种方法是指对企业中已经发生的实际案例进行分析,找出企业管理中可能存在的问题。这种方法的优势在于针对性强,往往能找出企业的一些关键痛点,信息更具体,可以用来对相关风险进行深入研究。
⑤集体讨论法
也称头脑风暴法,这种方法是指所有参与项目的律师和企业关键岗位的管理人员,由办案律师组织起来自由讨论,自由发表意见,而不必过多考虑提出的意见是否正确。最后,律师会对所有意见进行整理分析,保留有价值的意见。这种方法的好处是可以创造性地提出一些重要的问题,也可以通过无拘无束的交流启发参与者。
在实际操作过程中,一般通过流程梳理法和法律检索法最大限度地列出风险清单,然后将风险清单做成风险问卷,再将问卷交给企业的业务人员填写并反馈给律师。然后,律师进入企业,根据企业反馈的问卷(访谈法)与企业人员沟通,分析企业过往案例(案例分析法),与企业管理层讨论重大风险(集体讨论法),最终形成完整的风险问卷,从而为后续的分析工作奠定基础。
(2)风险分析
有了上面的风险问卷,就可以逐一分析企业的法律风险点。分析的主要目的是找出差距。当我们制作风险问卷时,我们已经在表格中反映了这个想法。
风险的大小=风险发生的概率×风险可能造成的损失。
如果可能,我们可以给上述三个变量赋值,从而准确判断风险的重要性。当然,这一点很难操作,这里仅作为分析思路介绍。在实践中,律师可以使用语言做出相对模糊的风险评估。
(3)风险控制措施和策略
知道了风险的原因和重要性,就可以提出如何控制风险的解决方案。《内部控制指引》将企业内部控制存在问题的原因分为两类,即设计缺陷和执行缺陷。根据风险产生的不同原因,控制措施可分为两类:一是针对设计缺陷的措施;第二,针对执行缺陷的措施。
首先,我们来看看什么是设计缺陷和执行缺陷。根据内部控制理论,企业的所有风险都是由两种原因引起的:制度设计上的问题或执行上的问题。所谓设计缺陷,是指在业务流程设计、组织架构构建、职责权限划分、内部资源配置等方面存在不科学、不合理或不合法的情况。执行缺陷是指企业内部人员不能严格有效地执行既定的业务流程和工作指令,导致企业面临的相关风险。因此,只要针对这两种缺陷的成因进行有效的干预和控制,就可以最大程度地降低企业的风险。
针对这两种缺陷,相关的控制措施也有所不同。对于设计缺陷,可以根据不同的原因采取不同的控制措施,如:改革内部流程;修订规章制度;制定合同范本;调整组织结构和岗位设置;职责和权限的重新划分等。执行缺陷一般是由以下原因造成的,如:对规章制度不了解、不称职、工作态度不正确、内部沟通不畅、预算不足等。因此,相应的控制措施可能包括:专项培训、强化考核、岗位交流、预算调整、通过组织内部活动加强部门间的沟通。
访谈主要是关于控制措施的具体形式。但是,在制定这些措施时,一个不可忽视的问题是,企业应该采取不同的策略来应对不同的风险,而不是对所有风险一视同仁。这主要是由于以下原因:一是风险的重要性不同,因此控制活动产生的效益也不同;二是企业对相关风险所能施加的影响也不同;三、企业能够掌握的用于风险控制的资源是有限的,也就是说,风险控制本身是有成本的。四、与经营活动的风险相比,它所能产生的收益可能更大。
因此,律师在为企业制定相关风险应对措施时,应从企业实际出发,综合考虑企业的发展战略、商业利益、风险大小、成本控制等因素,采取不同的风险应对策略。这些策略包括但不限于:风险规避、风险转移、风险降低、风险承担等。当然,对于重大风控措施的设计,律师一定要与企业高层进行充分的沟通和协商,使设计的风控措施符合企业的实际情况,被企业所接受。
(4)风险体检结果输出
经过风险识别、风险分析和控制措施设计,完成了法律风险体检的整个基础。但最终律师还是要尽量把体检过程中产生的结果以书面形式展示给企业,作为我们服务的最终总结和交付,体现律师的劳动价值。这一成果可以以“法律风险体检报告”的形式体现,并附上为企业修改的所有制度、合同文本、流程文件、表格等。
当然,一个体检项目的完成不应该是我们工作的结束。完成这个体检服务后,律师可以随时跟踪企业的整改情况,对企业负责到底。在这个过程中,企业也可能有后续的法律服务需求,我们律师的服务自然可以延伸。