合规、法律风险管理:不是一码事
2019-09-20叶晓华
叶晓华
2019年被称为合规管理的元年,然而引发合规管理热潮的中兴事件,怎么看都像法律风险,只是违反的是美国法而已。2004 年爆发的中航油事件,直接催生了法律风险管理在中国的兴起,如今怎么看都像是合规风险,而不是法律风险。这些年,合规的案例往往被专家们直接用于诠释法律风险的管理,法律风险管理的案例也常常被用于证明合规风险管理的必要性。这种混用导致了两者之间界线更加模糊,加之很多专业人士也说不清楚,这种现状对于合规管理工作的推进和开展非常不利。
如果不能廓清两者之间的分野,搞清两者之间区别和联系,企业管理层就会对企业合规管理工作心存疑虑,毕竟这种大规模的管理活动涉及的企业管理资源众多;如果合规管理只是在法律风险管理的基础上叠床架屋,就会造成大量的资源浪费,这显然是企业不愿意接受的,即便迫于外在压力接受了,也是做做样子,无法起到应有的作用。因此,对两者之间主要的差异做一个梳理就很有必要。
价值导向VS利益驱动
就本人的理解而言,合规管理与法律风险管理的区别,其实还是蛮大的。合规管理和法律风险管理相同的地方都是防控和管理风险,保障企业的可持续发展。但是前者主要通过确认并遵循企业的价值观来实现,后者主要通过利益考量对企业法律风险进行管理的方式来实现。换句话,合规管理是价值导向,法律风险管理则是利益驱动。这是两者之间最大的区别。这一区别体现在方方面面,是区分合规管理与法律风险管理的关键。
从管理的目标上看,合规管理的直接目的是确保企业及其员工履行合规义务,实现合规目标。企业价值观共性的一面主要表现为对法律法规政策、交易习惯、行业规则以及国际条约等的遵守,对这些明确的外部规则认同,是企业参与市场游戏的基础。企业价值观个性的一面,表现在要求遵守企业自己制定的内部的规章制度,员工行为规范等。不论是共性还是个性的一面,都具体表现为对各项合规义务组成的合规目标体系的遵守。企业将哪些内外部“明示的、通常隐含的或有履行义务的需求或期望”的要求纳入合规义务的范围,建立合规目标体系,其背后的标准是,是否符合企业的价值观。尽管,企业对具体的合规风险进行评估时,需要权衡利益,但是进行这种利益考量的前提是根据企业价值观确定了合规义务,然后才有对不履行合规义务所带来的风险的评估问题。换言之,这种利益权衡只是管理的手段,而不是合规管理的目的。然而法律风险管理则没有这种预设的前提,而是直接由利益驱动,企业对具体法律风险是否防范,采取哪种方式方法防范,都取决于利益考量的结果。
举个例子,比如上市公司的信披义务是法律直接规定的义务,因为不履行或不正确履行信披义务而导致的风险,即是一种法律风险,也是一种合规风险。如果上市公司将这一风险视为法律风险来处理,就需要考虑违规信披的收益是多少,代价有多大,倘若收益大于代价,则违规信披就是一个选择。如果上市公司将信披义务视为合规义务,则上述违规信披永远不会成为企业的选项。这是履行合规义务就是践行企业的价值观,而价值观是不能用利益得失来衡量的。中国上市公司违规信披事件层出不穷,很大程度上就是因为上市公司将违规信披的风险当成了法律风险而不是合规义务来管理,由于中国股市的违规信披的成本不高,但收益巨大,因此从利益驱动的法律风险管理的角度出发,违规信披就成为了很多上市公司的选择。
值得注意的是,合规管理在对具体的合规风险进行评估时,和法律风险管理中对法律风险的评估一样,也要分析风险的可能性和损失度,计算风险期望值的大小。从表面上看,这都是一种利益驱动的分析,但是前者是针对不合规行为对合规目标影响的分析,后者是针对法律风险行为对企业目标(主要是盈利目标)影响的分析。合规管理做这种分析主要是为了区分合规风险的轻重缓急,从而将企业有限的合规管理的资源用在刀刃上。这种利益考量并不改变合规管理价值导向的本质。
合规管理的价值导向并不排斥利益考量,只是合规管理关注的是企业的整体利益和长远利益,而不是每一个具体的合规义务的利益得失。实施有效的合规管理,践行企业的价值观,可以在整体上提高企业的管理水平,提升并维护企业良好的声誉,增加客户和合作者对企业行为合法合规的预期,从而为企业赢得更多的商业机会,获得更丰厚的利润。为什么企业更愿意与世界500强企业合作?原因不仅仅是因为合作方实力强劲,还因为这些企业都有合规管理,对诚信守约有坚决的承诺,当市场发生不利于500强企业的变化时,500强企业不会处于短期利益的考虑选择违约,而会处于合规管理追求的企业整體利益和长远利益的考量,选择守约。合规管理的价值导向,甚至能够帮助企业在犯错时,得到谅解。国家标准委发布的GB/T 35770-2017《合规管理体系指南》的引言中有一段很耐人寻味的话,“在很多国家和地区,当发生不合规时,组织和组织的管理者以组织已经建立并实施了有效的合规管理体系作为减轻、甚至豁免行政、刑事和民事责任的抗辩,这种抗辩有可能被行政执法机关和司法机关所接受”。这种抗辩被承认的背后逻辑,不是因为企业不合规行为本身是可以被谅解的,而是因为实施有效的合规管理,企业践行了符合社会预期的价值观,这是行政执法机关和司法机关愿意提倡并乐观其成的,承认这种抗辩,有助于减少不合规行为,有助于减少企业运营中的纠纷。试想,如果一个企业爆发了法律风险,企业可以自己已实施有效的法律风险管理体系作为抗辩理由吗?恐怕不行。这种区别的背后,正是因为合规管理是价值导向,而法律风险管理是利益驱动。
正确把握两者区别与联系
除了上述最大的区别,合规管理和法律风险管理的差异还体现在以下一些方面。
从风险行为的性质,引发风险后果的类型和风险相对方上看,两者的区别也很明显。合规管理中,引发重大合规风险的行为主要是违法违规行为,引发重大合规风险的后果主要是行政法律风险和刑事法律风险,以及基于上述行政和刑事法律风险而带来的重大民事法律风险,风险相对方往往是政府、司法机关或是监管机构或组织,中兴事件就是典型一例。而在法律风险管理中,与通常理解不同,常见的引发重大法律风险的行为并不是直接的违法违规行为,而是违约行为,引发的后果主要是民事法律风险,风险相对方主要是客户和合作伙伴,例如长虹当年因为赊账,导致应收账款损失26个亿,其风险相对方是长虹在美国的进口商APEX公司。这个区别非常值得注意,重大合规风险的风险相对方往往是有权有势有资源,处于强势地位,如果风险相对方决意要追究责任,企业硬碰硬或是偷奸耍滑基本上得不偿失,所以遵循相关法律法规几乎是企业唯一的选择。
在对风险的处理上,合规管理与法律风险管理相去甚远。一种义务一旦被认为是合规义务,企业唯一的选择只能是遵守,对不合规行为引发的合规风险,不论大小,企业唯一的态度就是杜绝,而没有通常的所谓风险态度的选择,尽管在实践中,由于人财物等资源的限制,企业会首先保证重点领域、重点环节和关键人员的合规,但这并不意味着其他不合规行为就是可以接受的。与之想成鲜明对比的是,在法律风险管理中,企业对识别出来的法律风险的处理要灵活得多,可以采取避免、降低、接受、杜绝、转移等多种多样方式来应对。
从风险行为的来源上看,不合规的风险行为基本上来自企业及其员工的自身行为,法律风险行为的来源则更加广泛,既可能来自企业的内部,也可能来自企业的外部,但主要来自企业的外部。管理自身的行为远比管理他人的行为要容易,因此,应对合规风险的手段比应对法律风险的手段要简单有效得多。
从风险管理的过程上看,合规管理的难点重点在执行,法律风险管理的难点重点在识别。合规风险是企业及其员工不履行合规义务所带来的风险,来自外部的合规义务主要来自法律法规政策、交易习惯、行业惯例、国际条约等,都比较明确,来自内部的合规义务是企业自己选择和制定的,同样比较明确,因此,合规风险的识别和评估相对简单,其难点和重点是如何确保合规义务能够得到有效的履行。法律风险则完全不同,企业最主要最常见的法律风险是来自违反合同约定的义务,而合同的约定是合同各方的合意,具体内容千变万化,因此法律风险的识别相对来说比较困难,容易遗漏重大法律风险。
从风险性质上看,合规风险是纯粹风险,只能带来损失,合规风险危及的是企业存在的基础,企业价值观,没有协商的余地,而法律风险既可能是纯粹风险,也可能是机会风险,或是兼而有之,只是在实践中,企业很少意识到,法律风险还是一种机会风险,还可以为企业创造巨大的价值。事实上,法律风险管理是企业创新的重要来源之一,当一个阻碍商业机会的法律风险被合理合法的解决,一个新的商业模式也许就会因此诞生,例如,支付宝的出现其实就是在处理违约法律风险过程中找到的机会风险。
建立和实施风险管理体系过程中,合规管理和法律风险管理之间的具体区别就更多,对比一下《企业法律风险管理指南》和《合規管理体系指南》以及《中央企业合规管理指引》,我们就可以得到清晰的答案。
总而言之,合规管理和法律风险管理一个是价值导向,一个是利益驱动,在风险性质,风险行为的性质,风险的来源,风险的处理,风险管理的重点难点等方面都有着巨大不同,两者不能相互代替。
当然,合规管理和法律风险管理之间的共同点和联系也是可以看得到的,都属于风险管理的范畴,使用的风险识别、评估和管理工具是相似的,动用的人力物力等企业资源也有很大的重合,这种共同点和联系也为两种管理的整合提供了条件,特别是当企业已经建立其中一种管理体系时,搞清楚其中的异同,有助于企业风险管理的整合,节省资源,提高效率。
作者系龙龟管理咨询(北京)有限公司总裁