风险贯穿企业经营和管理的始终。根据2011年《企业法律风险管理指南》(GB/T 27914-2011),企业法律风险,是指基于法律规定、监管要求或合同约定,由于企业外部环境及其变化,或企业及其利益相关者的作为或不作为,对企业目标产生的影响。
对企业来说,法律风险受多种因素的影响。这些影响大致可以分为两大类:一类是外部环境变化带来的影响。比如,国际、国内、区域或地方的文化、社会、政治、法律法规、技术、经济、自然以及竞争环境的变化,以及企业与外部利益相关者的关系,抑或他们的感知和价值观的变化。另一类是企业内部环境变化带来的影响。比如,企业的目标、方针、战略,以及为实现它们所形成的治理模式、组织机构;企业作为团体聚集的资源和知识(包括资本、人力、技术),在运用这些资源和知识的过程中形成的“决策—执行—反馈—执行—……”决策流,在这个过程中形成的组织文化,内部利益相关者的范围,以及它们的感知和价值观。内外环境是处在不断变化、发展和相互影响过程里。
法律风险必然对企业产生影响,但是这些影响对企业来说有利有弊。比如,2018年5月31日国家发改委、财政部、国家能源局联合发布《关于2018年光伏发电有关事项的通知》(发改能源〔2018〕823号),对光伏产业降规模降补贴,对2018年光伏企业的发展产生了重创。2019年3月20日,财政部、税务总局、海关总署联合发布《关于深化增值税改革有关政策的公告》,推进增值税实质性减税,将降低企业的税务成本,又对企业来说是极大利好。但是,无论外部环境将会带来何种影响,对企业来说全面认识和把握在当前环境中面临的法律风险都极为必要。法律风险识别是法律风险评估的重要环节,只有全面细致地识别企业面临的风险,才能进一步对风险进行分析和评价,为商业决策、实现企业目标和平衡相关者利益提供帮助。
法律风险识别是发现、确认和描述风险的过程,包括对风险源、事件起因和潜在后果的挖掘和发现。法律风险的识别,需要查找企业各业务单元、各项重要经营活动、重要业务流程中存在的法律风险;在此基础上,对查找出的法律风险进行描述、分类,对其原因、影响范围、潜在的后果等进行分析归纳,最终生成企业的法律风险清单。
法律风险受内外部环境等多种因素影响。一方面,对法律风险的判断依据,源自外部的经济形势、产业政策、融资环境、资源供给、社会的安全稳定、文化传统及社会信用等因素。这些因素反映于各项成文的和不成文的规则、规范,如法律、行政法规、地方性法规、规章、条例、有权机关的解释、案例、国家标准、行业标准、行业惯例及企业内部的规章制度中。这些规则或规范对企业具有不同程度的影响。比如,法律中包含强制性规范和任意性规范,企业违反强制性规范,将会导致行为或决策在法律上无效,从而引发一系列的法律风险和责任,而任意性规范往往给了企业一定的自主决策空间。又如,企业违反刑事法律和违反民事法律、行政法规给企业带来的结果也截然不同。另一方面,对企业法律风险的判断,除要依据各项成文的和不成文的规则,还要综合考量企业自身的经营管理需求。企业所处的行业类型、经营目标、机构设置、经营方式、业务流程、财务状况、信息技术运用及利益相关者的认知,都会影响对企业法律风险的识别和评估。
基于此,根据对不同因素的侧重点,可以初步完成对企业法律风险进行“分类”识别。根据对“风险源、事件及其原因和潜在后果”的识别,可以从两个角度考虑企业法律风险问题:一是风险源、事件出现的原因,风险源、事件的出现可能是外部规则的要求、变化,也可能是内部运行存在问题,还可能是两者共同作用的结果;二是风险源、事件的发展将会引发的后果,包括这种后果的性质、影响、可控性以及企业的风险承受度。当然这两者通常相互影响,无法截然分开。
从这两个角度出发,可以建立多种法律风险识别的框架。①从外部规则的角度出发,可以根据法律风险源,即通过对法律环境、违规、违约、侵权、怠于行使权利、行为不当等梳理,发现企业存在的法律风险;也可以根据不同法律领域,涉及对合同、知识产权、招投标、劳动用工、税务、诉讼仲裁等的梳理,发现不同领域内存在的法律风险;还可以根据法律法规,通过对与企业相关的法律法规的梳理,发现不同法律法规中存在的法律风险。如果从企业内部运行出发,可以根据企业主要的经营管理活动,包括对生产活动、市场营销、物资采购、对外投资、人事管理、财务管理等的梳理,发现每一项经营管理活动可能存在的法律风险;也可以根据企业组织机构设置,即企业各业务管理职能部门/岗位的业务管理范围和工作职责的梳理,发现各机构内可能存在的法律风险;还可以通过对本企业或本行业发生的案例梳理,发现企业存在的法律风险。②从风险源、事件发展将会引发的后果出发,可以根据法律风险发生后承担的责任梳理,即通过对刑事法律风险、行政法律风险、民事法律风险的梳理,发现不同责任下企业存在的法律风险。对于企业来说,法律风险的识别还与企业自身对风险的承受度紧密相关。风险承受度,是指企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。如果某一法律风险出现概率高,且潜在后果严重,那么,企业应投入较多的成本防控这一风险;如果某一法律风险出现的概率低,潜在后果在企业可接受的范围内,那么,企业可以选择投入较少成本,甚至不投入成本来防控该风险。
综上,企业法律风险识别的类型有两种划分方式:一种是以风险源、事件出现的原因为标准,将企业法律风险粗略地划分为内控治理风险、外部政策等环境风险;另一种是以风险源、事件发展将会引发的后果,以及企业的风险承受度为标准,将企业法律风险划分为底线法律风险和软法治理风险。
本研究将以按照第一种划分标准,股东和管理层作为企业所有者和经营者处在企业较为核心的位置;企业员工通过劳动合同与企业发生法律关系,处在稍外层的位置;企业的供应商、客户/消费者通过买卖合同与企业发生法律关系,企业债权人通过购买公司债券与企业发生法律关系,处在更外层的位置;同时,企业还受到公权力部门的强制性规定的约束,这些规则具有兜底性质。之所以不采用第二种划分标准,是因为对不同类型、不同行业、处在不同发展阶段的企业,同一风险源或事件对企业的影响是不同的,很难一概而论。第一种标准则不同,从企业的特性出发,企业构造存在共性,都通过各种类型的合同和内外主体发生法律关系,抓住这些法律关系的共性对于把握风险很有帮助。