法律事务与企业风险控制

北京祥龙资产经营有限责任公司 副总经理 总法律顾问 邢怡

风险管理理念缘于上世纪50年代的美国并逐步形成了独立的理论体系，传入中国不足30年。随着市场竞争不断加剧，国际经济环境日趋复杂，如何提升企业风险防范意识，加强风险管理能力，成为中国企业面临的一个紧迫任务。本文就如何认识风险控制和充分发挥企业法律事务在全面风险管理中的作用做如下初步探讨。

一、如何认识企业经营中的风险

风险古来有之，“存而不忘亡，安而不忘危，治而不忘乱，思所以危则安矣，思所以乱则治矣，思所以亡则存矣” 是中国古代危机管理预防思想的经典概括。2004年中航油(新加坡)上市公司因石油衍生产品交易，总计亏损5.5亿美元，“中航油事件”引发了所有国有企业对全面风险管理的高度重视。

借鉴发达国家风险管理标准，我们在风险管理实践中逐渐认识到，企业不能仅仅从某项业务、某个部门的角度考虑风险，必须根据风险组合的观点，从贯穿整个企业的角度认识风险，即必须针对现实存在的生产风险、环境风险、技术风险、人员风险、财务风险、经营风险，以及因外部环境不断变化和自身管理调整所导致的各种衍生风险，实行全面风险管理。笔者认为，在认识企业经营中的风险时，应注意把握以下几点：

首先，对风险应可知。企业经营者要有意识地对企业面临的各种具体风险，从其内涵、外延、发生损失的可能性，以及可能产生的影响等多个方面和角度进行深入研究和预判，力争做到对风险“心中有数”，能够知道风险有多大、多重，以为下一步制定应对风险的具体措施提供基础材料和事实依据。

其次，对风险应可控。企业能否控制和规避风险对企业的经营成败至关重要，企业经营者应注重动员各方面的资源和渠道，对研究预判的风险进行调整、防范，并以求最终能够化解风险。在此过程中，企业应正确认识评估自身的风险控制能力，不应当去尝试看似高回报率而缺失实际控制能力的风险投资，更不需过多的精力投入或有意识地去“明知不可为而为之”。在正确判断、识别风险客观存在的前提下，应当根据自身的实力和风险控制能力对现实存在的各种具体风险进行评估和把控，做到“居安思危，思则有备”。

再次，对风险可承受。风险的特点在于不确定性，尽管企业经营者会不遗余力地追求规避风险的最佳结果，但是由于各种不可把控的内外部因素的影响，风险最终发生的可能性仍然存在。企业管理者在认识风险时，应确保风险一旦发生其造成的损失在企业可承受的范围之内，不会伤及企业的元气；而且从企业长远发展角度看，即便承受风险造成的损失，对企业亦具有重要的战略意义，企业能够从中汲取有益的经验，为日后进一步探索奠定基础。

二、风险管理与内部控制

企业风险管理的思想与方法产生于企业的安全管理。在企业经营管理过程中，自觉与不自觉地面对着各种风险与不确定性，企业存在的目的是持续发展并获取利润，它从根本上需要稳定与安全，需要减少损失增加利润。内部控制整体框架由控制环境、风险评估、控制活动、信息与沟通、监控等五个要素组成。内部控制与风险管理是紧密联系的，早在周朝记载“一毫财赋之出入，数人之耳目通焉”，反映了内部控制的基本原理，即以账目间的相互核对为主要内容并实施岗位分离。2006年，国务院国资委颁布实施的《中央企业全面风险管理指引》中第三条“所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等”，这是首次在国有企业范围内提出全面风险管理定义，并提出围绕风险管理策略目标建立内部控制系统。事实上，几乎所有的公司都有一套完整的管理制度，这些制度大到包括对外投资，小到包括差旅费报销等，应有尽有，这些制度的贯彻与执行就是内部控制的所有内容。而风险管理是内部控制概念的自然延伸，是当今企业内部控制管理的最主要内容，风险导向决定着内部控制的发展方向。不可否认，企业内部控制本身会形成各个职能部门的相互制约，尤其是上升到风险控制的高度时，会对各自完成目标任务形成难度和制约。解决这一难题的关键在于对控制的认识，控制的核心是制约，但制约的本质不是限制权力、而是增加认识风险的角度和层次，通过相互补充和完善全面审视风险，以实现对风险管理的科学性和客观性。对企业内部各个部门而言，风险可能落在该部门的风险容忍度范围内，但从企业总体来看，总风险则有可能超出企业总体的风险承受范围。因此，要求管理者以风险组合的观点看待风险，从贯穿整个企业的角度看风险，正确运用合理的控制程序完成工作任务，用科学手段和最佳的协作精神对相关的风险进行识别并采取措施使企业所承担的风险保持在可承受的范围内。现代企业制度的核心是建立健全公司法人治理结构，保障企业风险管理目标的实现。企业设置组织结构，应按照相互牵制、相互协调的原则，结合企业规模、业务特点等具体情况设置职能部门并进行业务分工，使每一项业务的全部处理过程或过程中的重要环节，不是由一个部门单独办理，而是在两个或两个以上的部门相互协调、相互制约的基础上完成。对各部门既要避免权力重叠，也要防止出现权力真空，使每项业务处理的各个环节都有相应的机构负责。企业有效的制约手段是建立合理的风险的分担机制和有效的激励监督机制，保证企业运行的高效和顺畅。

三、法律事务与风险控制的关系

《中央企业全面风险管理指引》明确提出了建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设，形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。在企业全面建立风险控制体系中，各有关职能部门和业务单位为第一道防线；风险管理职能部门和董事会下设的风险管理委员会为第二道防线；内部审计部门和董事会下设的审计委员会为第三道防线。法律事务部门是风险控制系统中重要的子系统，其职能的核心是提供有利于企业发展的法律、法规和政策支持，有效规避、预防法律法规风险，及时对已经形成的风险采取应对措施。法律事务部门的职能决定了它不具有控制风险的决策能力，更重要的职责是参谋和建议，发挥承上启下的作用。因此，找到自身的职能定位，在企业风险防控管理体系中有效发挥本部门的管理作用至为重要。

通过总结多年的实践经验，笔者认为，在企业风险控制过程中，法律事务工作应遵循以下原则：

第一，要把事情搞清楚。如前所述，能否成功有效地防范和化解各种风险，前提在于能否全面准确地认识客观事物和风险本身。在认识事物过程中，企业法务人员要努力突破所谓的“专业界限”，不断完善自身知识结构，锻造各项业务技能，力争无限制地接近客观事实，以尽可能地发现隐藏在各类表象之下的真实风险。

第二，要注意从法律角度提出问题。所谓“有其理必有其事，有其事必有其理”。在搞清楚事情的基础上，企业法务人员要立足于本职工作，依据法律法规和产业政策对各种风险因素进行甄别、分析和判断，以发现本质性风险点，从而提出具有实质性、关键性和建设性的法律意见。为此，企业法务人员应具备过硬的专业知识和能力，做到从实际出发，真正面对问题，有效解决问题。

第三，要与人为善。企业法务部门虽然发挥的是法律审核把关的职能，但并非凌驾于业务部门之上，实际上法务部门是通过提供法律专业的支撑，为企业管理者决策提供另一种角度，法务部门和业务部门之间应该是一种相互补充与合作的关系，终极目标是保证公司实现最大利益。为实现这一终极目标，企业法务人员在形成法律意见以及沟通交流法律意见的过程中，要注意做到善意理解、善意沟通，尽可能营造和谐的工作氛围，以减少不恰当人为因素对风险识别及管控的干扰。

全面风险管理是战略性、前瞻性和整体系统控制。国有企业应当着力打造、建立以控制环境为基础、风险评估为依据、控制活动为手段、信息与沟通为载体，监督与控制为保证的内部控制整体框架体系，牢固树立风险防范意识，提升风险管理素质，确保风险管理目标的实现。