作者:董铁英 钟珊 金杜律师事务所公司

一、 风险管理及内部控制制度建立的背景

企业风险管理及内部控制制度的建立不是一蹴而就形成的,是经过了一个漫长的企业发展历程并在付出了沉重的政治、经济和社会诸多方面的代价而逐步建立的。众所周知的安然财务造假案、雷曼投资失败案、三鹿毒奶粉案以及紫金矿业污染案等等都是导致企业风险管理日益受到各国政府及企业自身重视的始作俑者。

我在英国石油2006~2008年从事集团内控审计师的工作过程中了解到,美、英、法、德、日等国家从20世纪70年代起,就已经逐步系统地认识到各种不同类型的企业和组织机构所面临的风险的多样性、复杂性以及由此会对企业和组织机构本身乃至国家经济的负面影响,随即组建了相应的机构着手研究企业和各类组织机构的风险管理。逐步出台了1992年美国反虚假财务报告委员会下属发起人委员会COSO发布的《企业内部控制——整合框架》(“COSO内控框架”)和2004年,COSO发布的《企业风险管理—— 整合框架》(“COSO风险管理框架”),成为各国立法机构制定政策法规及各类企业和组织机构制定风险防控目标以及采取相应措施的重要指引。

随着我国市场经济程度加深,近些年来,我国企业尤其是大型国有企业、上市公司频频被各类危机所困扰,促使中国政府从政策及法律层面上要求企业建立风险管理制度。

在参考和借鉴了国外丰富的立法成果及实践经验的基础上,2006年6月,国资委发布了《中央企业全面风险管理指引》(“《风险管理指引》”),要求中央企业贯彻执行该指引;2008年5月,财政部、证监会、审计署、银监会、保监会联合下发了财会[2008]7号《企业内部控制基本规范》(“《内部控制规范》”),要求自2009年7月1日起,在上市公司范围内施行,鼓励非上市的大中型企业执行;2010年,进一步出台了《内部控制规范》相应的企业内部控制18项应用指引、企业内部控制评价指引以及企业内部控制审计指引。

二、风险管理和内部控制的基本涵义

根据COSO风险管理框架,企业风险管理是一个在企业董事会、管理层和其他员工的合力作用下,应用于企业的战略制定并贯穿于企业生产经营过程始终的一个管理体系和流程,其作用在于识别可能会影响该企业的潜在风险事项,并将所识别的风险控制在企业的风险偏好内,为实现企业战略以及经营目标提供合理保证。

企业的风险一般分为战略风险、市场风险、运营风险、法律风险、财务风
险,本文将以法律风险的管理与防范为例介绍企业的风险管理与内部控制。

1. 建立企业内部法律风险管理环境

首先,建立企业的基本法律风险管理环境,包括董事会、监事会、高管职位的设置和权限划分;企业的合规文化营造;管理层和员工的道德和行为准则指引。

2. 设定企业法律风险管理目标

不仅要在企业整体层面设定遵守法律的具体目标,即企业在从事经营和其他特定活动时必须遵守适用的法律;在企业每一具体业务板块(横向)以及每一层级(纵向),都要有遵守法律的具体目标,如市场、定价、安全生产、环境、知识产权、劳工、国际贸易等,涉及到不同的部门或业务单元,其需要遵守适用的法律可能只是其中具体的某些类别;再到每一员工个人,根据其具体工作职责,其行为所要遵循的法律将会更为直接和细化,甚至只是某些特定的法律条款。

3. 识别法律风险

从企业整体层面,要确保识别工作要覆盖所有适用的法律领域,尽管大多数企业可能都将涉及公司治理、投资融资、产品(服务)质量安全、劳动用工、税务、反不正当竞争、反腐败等法律领域,但不同类型的企业所涉及的法律领域有所差别。如:IT企业很重要的一块是知识产权;生产型企业则可能在环境保护方面有较多遵守义务;上市公司在公司治理方面适用的法律法规则会明显超出一般有限责任公司;外资企业适用的法律法规在很多方面和中资企业不同。

具体到企业的各个部门,对法律风险的识别要更加细化。以劳动用工风险为例,可能涉及到以人力资源部为主但还将涉及其他部门其他岗位将企业从战略高度识别到的劳动用工法律风险作进一步识别,列出更为具体的风险点。如:与员工签署的劳动合同有无违反劳动法及劳动合同法规定的情形;员工行为是否会导致其违反竞业限制或商业秘密保护;员工社会保险及住房公积金的缴纳是否合乎规定;罢工风险是否存在;劳资争议风险是否存在;人事招聘及解除劳动合同流程中有无风险;高管任职(尤其是特定行业、上市公司)是否违反规定等。

4. 评估法律风险产生的可能性和影响

在法律风险评估环节,应当从定性和定量的角度对识别出的法律风险评估其发生的可能性和影响,区分固有风险和剩余风险。例如,员工违反竞业限制或商业秘密保护可能属于固有风险、社保及住房公积金缴纳风险可能属于剩余风险,要结合企业的事实现状对识别的风险进一步评估其属于高度风险、中度风险还是低度风险,确认企业对风险的容忍度。一般而言,在部门中的高度风险不一定在企业层面是高度风险,但在企业层面是高度风险则通常在部门中也是高度风险。

5. 企业对法律风险做出反应

得到法律风险评估结果后,对风险反应需依次经过以下三个步骤:第一,确认对法律风险的反应,包括避免风险、减少风险、共同承担风险、接受风险,并确认应对策略;第二,从以下方面对所做的选择进行评价,包括企业的风险偏好、应对潜在风险的成本收益比、以及一项反应对影响和/或风险发生可能性的减少程度;第三,根据对风险组合和反应组合的评估选择并实行反应。

例如,发现企业缴纳员工社保时适用了错误的基数,导致未足额为员工缴纳社保:在确认风险应对时,合规经营的企业可能会考虑避免风险,因为该行为可能引发政府部门的追缴甚至罚款、员工诉讼、甚至企业声誉;企业通过评价风险可能发现补缴社保金额可以解决风险,并且解决该风险的成本在企业可承担范围内;最终,企业选择补缴税社保。

6. 实施控制法律风险的活动

控制活动是确保法律风险应对及其它公司指令得以实施的政策和程序,其发生贯穿于企业的各个层面和各种运行中。

例如,企业未足额为员工缴纳社保,究其原因,发现员工工资上调但社保缴纳基数未相应改变,控制活动将可能包括:修改社保计算系统中的参数,与职工工资作联动调控;在企业规章制度中定明,在特定时间期间,财务部人员负责数据的初次进入系统、人力资源部人员负责数据相应社保部分的核实;以及,向员工提供月工资发放清单时一并提供社保缴费明细数据。

7. 确保有关法律风险信息沟通顺畅

法律风险信息的沟通,要在该法律风险涉及的相关群体中全面进行,确保信息的真实性、全面性、准确性能够被有效传递;要注意一项法律风险,涉及的群体有可能不仅仅是法律部门,还将涉及财务部门、业务部门等,涉及的层级不仅仅是企业自身层面,可能还将涉及分公司、办事机构层面等。选择恰当的沟通形式确保信息传递的真实、准确、完整,如口头、邮件、电话会、圆桌会、文件签阅等。

再次以企业未足额为员工缴纳社保为例,相关信息的沟通应当在人力资源部、财务部门间进行有效沟通;从层级而言,根据企业中各岗位的职责权限划分,汇报到经理层甚至是董事会等。

8. 对法律风险管理的监控

风险管理系统随着时间的变化而变化,实施风险管理的方式也可能不断变化,监控则保证了风险管理系统的持续有效。

例如,企业为员工缴纳社保事宜,可能遇有法规政策改变导致社保基数改变,可能遇有工资与社保数据电子联动系统其它参数设置改变导致变化,因此应有相应的监控措施来确保社保缴纳持续不断地合规合法。

结语

企业风险和内部控制是一个非常庞大的话题,而与我们法律服务机构日常工作密切相关的是企业的法律风险管理和控制。根据我2009年回国后对市场和客户的观察和了解,未来市场上客户对专业法律服务机构的服务需求将会逐步从为客户解决具体法律问题的服务,逐步提升到为客户提供系统的法律风险防控体系的建设和提供系统的解决问题的思路和建议,并逐步做到为客户提供周期性的法律风险的识别体检和提供风险防范的措施和建议。

但鉴于前文所述,法律风险防控体系的建设是一个庞大的系统工程,其将涉及到企业经营活动的各个方面,需要律师事务所各个相关专业部门的通力合作方可有可能实施。