公司法律风险
一、风险识别
风险识别是风险管理的前提。如果不能提前识别法律风险,就谈不上进行有效的管理,因此准确识别本公司所面临的法律风险具有关键意义。公司在经营活动时经常面临许多法律风险,但每个公司所面临的法律风险各不相同,即使是同一项风险,每个公司的风险定位(例如是否属于严重风险)和风险敞口也由于所处的行业、国家和其他环境因素不同而有区别。
那么如何准确识别出本公司所面临的法律风险呢?在实践中可以采用以下步骤:
第一步,列出所有与本公司发生法律关系的主体,即所有有可能对本公司享有权利或本公司有可能对其享有权利的对象,例如客户、供应商、政府机构、金融机构、本公司员工等。本公司与这些对象之间的法律关系是产生法律风险的根本与源泉。
第二步,针对本公司每个业务部门的利益相关者,找出潜在的风险因素。这需要与每个业务部门的关键员工进行交流,交流方式可以是由法律部门进行指导的内部研讨会,但需要提前解除业务部门的员工的顾虑,让他们能够畅所欲言。法律部门也应与公司的其他部门交流,例如内部审计、风险管理和合规,必要时可以聘请外部的风险评估专家参与。此外,总法律顾问还应当征询董事会的意见,特别是对公司所面临的战略性风险的意见。
第三步,法律部门应进行桌面研究,以及调查每个业务部门以往发生重大法律风险的历史,包括向客户和供应商进行查询,以及研究本行业其他公司的经验与教训。这些都有助于确定本公司每个业务部门所面临的主要法律风险。
上述过程如图一所示。在这一过程中,公司法律团队应发挥核心引领作用,不仅是公司总部的法律顾问,分布在每个子公司和每个业务部门的法律顾问都要参与本公司或本部门的法律风险的识别过程。
二、风险评估
对通过上述过程识别出的法律风险,应逐个评估其发生的可能性大小和对本公司的影响程度,包括但不限于在经济方面的影响,例如对外赔偿责任、被监管部门处以罚款等,以及对本公司声誉和公众形象的影响,例如诉讼与监管风险所引起的媒体曝光对公司销售、品牌价值与股价的影响。
法律风险的评估有以下作用:(1)可以从公司与财务目标的角度衡量一项法律风险,(2)为履行监管方面的披露提供支持,(3)为风险管理的决定奠定基础,(4)使衡量风险管理的效果成为可能。
当然,法律风险的评估并非一门严谨的科学。由于特定情形下一个法律问题可能涉及众多因素或曰变量,很难准确地量化一项法律风险可能造成的影响尤其是经济影响。例如,当一个法律风险导致一项交易失败时,给公司造成的经济损失和声誉损失可能无法用金钱估量。目前比较系统地对法律风险进行评估的是银行业的领先企业,他们所采用的评估方法倾向于“看过去发生的问题、事故发生率、损失比例和法律意见”,但即使在这一行业,“普遍趋势仍是放弃对法律风险进行经济上量化的努力,转而采纳 ‘评估’这样一个软性概念”。
为了尽量全面和准确地评估法律风险,公司法律团队应与业务团队密切配合,收集有关法律风险的准确数据资料,充分听取业务团队对风险发生概率和损失估算的意见。此外,法律团队还应与公司风险管理部门和内部审计部门合作,将法律风险评估融入公司的整个风险管理和内部审计过程中。
根据上述评估工作的结果,可以按照法律风险的发生概率和影响程度进行适当的分类,例如分为高、中、低三个等级,以便于对不同等级的风险分别采取管控措施。基于评估和分类工作的结果,应当制作一个“法律风险图”,其样本如图二所示。该图应提交董事会,作为公司进行风险管理的基础。
需要说明,由于一个公司的不同业务部门所面临的法律风险及其影响可能是不同的,例如公司占有市场份额较高的业务部门所面临的反垄断风险可能也较高,法律风险的评估应当以业务部门为单位进行,每个业务部门都需要有一张法律风险图。该图还应当经常更新,一旦发现一项新的法律风险,或者某项现有法律风险已经消失或其风险等级或概率发生了变化,应当在法律风险图上进行相应的调整。
三、风险处置
风险处置是在识别和评估法律风险的基础上,对一项具体法律风险做出如何处置的决定,包括:
• 降低风险,即通过执行规定的政策与程序减少风险发生的概率;
• 转移风险,即将风险的财务和非财务成本转嫁给另一方的策略;
·避免风险,即在对一项商业决定的潜在法律风险进行分析后,决定采取完全不承担该风险的行动;
·承担风险,即经过分析如果认为一项法律风险发生的概率很低,或者有关商业项目很重要,决定公司承担该风险及其法律后果。该决定必须是经过仔细分析后做出的,不能是工作疏忽的结果。
可见,法律风险的管理并非简单地拒绝承担一切风险,而是在对风险进行系统全面的分析和评估之后,根据不同风险的情况采取区别对待的灵活处理方式。如果对所有风险都不接受,则很有可能失去大量商业机会,这对公司而言可能是更为重大的、也是无法承受的风险。
因此,对于一项具体法律风险,一般在成本可控的前提下应首先采取措施力图降低风险,如果风险无法有效降低,则对于中低等级和/或发生概率不高的法律风险,可以考虑自行承担或与交易对方分担,如果是等级和发生概率都较高的风险,一般应拒绝承担,即使牺牲交易机会。
例如,某跨国公司在中国的子公司进行某种设备的生产与销售,所采用的销售合同通常是总部制订的统一模板,其中的条款包括:
(1)卖方支付的关于违反产品性能保证的违约金不超过合同总价的30% ;
(2)卖方违反合同所承担的最高赔偿责任不超过合同总价的100% ;
(3)如买方将设备转售给作为第三方的最终用户,必须要求最终用户签署一份保密协议(格式见销售合同附件),对卖方提供的操作手册和其他文件资料中所包含的商业秘密承担保密义务;
(4)合同的适用法律为美国纽约州法律。
在销售合同的谈判中,中国买方常常拒绝接受全部上述条款,而中国子公司的销售团队为尽快完成销售希望接受买方的要求,并向公司法律部施加压力。而公司法律部在处理这些问题时采取以下对策:
• 在第(1)项条款中规定的违约金数额可以作出一定让步,即适当提高违约金的比例(例如提高到50%)。
• 坚决不接受删除第(2)项条款规定的责任限制,因为这涉及公司的重大风险管理原则,并且与公司所购买的有关保险保障相联系。
• 对第(3)项条款,经咨询有关技术部门,确认设备操作手册并不包含公司的任何商业秘密,但在设备的售后维修过程中公司技术人员在现场与买方或最终用户的技术人员进行交流时可能涉及某些技术秘密。基于此,法律部门批准放弃该条款,但促使公司通过了一项特别管理规定,即未经技术部门和法律部门领导的联合批准并采取充分的保护措施,不得向最终用户提供任何可能包含公司商业与秘密的资料,从事售后维修的技术人员也不得与最终用户的人员讨论涉及公司技术秘密的内容。
接受删除第(4)项条款,因为销售合同是在两个中国公司之间签订,根据中国法律不应选择适用外国法律,而且适用中国法律并非一定对卖方不利,换言之这个问题不是一个真正的法律风险。从其他跨国公司的经验来看,对日常业务合同中的法律风险也基本采取比较务实的处理方式。例如,有些公司对下属业务部门或子公司制订了一些合同审查原则,允许在不突破这些原则(如上述关于责任限制的条款)的前提下允许在其他合同条款的谈判上进行灵活退让。有些公司采用二八原则,在20% 的合同条款上坚持采用本公司的格式条款,而在80% 的条款上允许与对方进行自由协商,甚至接受对方的格式条款。
四、风险监督与报告
对公司所面临的法律风险进行持续监督是风险管理制度的不可或缺的一部分。由于公司所处的外部环境和面临的法律风险时刻处于发展变化中,一项等级较低的风险可能由于某一事件发展为等级较高的风险,例如核心部门员工的突然离职所带来的商业秘密泄露和与公司进行业务竞争的风险;而一项原来评估为发生概率较低的风险可能由于环境的变化而发生概率大为增加,例如立法机关选举的结果可能使一项对本公司不利的立法出台的可能性增加。因此,公司必须建立有效的法律风险监督与报告制度,使管理层和董事会对公司所面临的重大法律风险保持最新的认知,以便采取及时的应对措施。
跨国公司法律部通常会定期(如以月或季度为单位)向上级法律部门和本地管理层报告重大法律事项和风险处理结果等,内容往往涉及比较重大的投资和并购项目、重大的交易、重大的诉讼和调查,以及对公司有重大影响的事件(如涉及公司或高管人员声誉的媒体报道等)。
法律风险监督与报告制度必须融入到公司的整体经营管理过程。公司高级管理层必须确保风险监督与报告机制的正常运转,报告的渠道、层级和反馈要求必须非常清晰。例如,按照某跨国银行的风险管理制度,在一个国家发现的风险应向该国运营风险委员会报告,如果风险达到一定标准,则向地区法律或业务主管报告,并进一步通告商业风险委员会;如果属于重大风险,则上报集团公司层面,由集团法律团队每个季度向有关董事会委员会以及其他集团风险委员会报告;在集团层面还设有集团法律风险委员会,由集团公司资历最高的法律顾问组成,每月开会一次,负责制订风险管理的原则与程序,并负责监督、评估和控制重大法律风险。
风险监督与报告程序要允许足够的灵活性,特别是对向董事会报告重大风险的程序必须考虑到两个问题:一是发生重大风险必须报告,即使不需要针对该风险采取立即行动;二是有些风险的严重程度可能随时改变,从而需要紧急应对和/或采取更多措施。因此,必须建立向董事会报告重大或特殊风险的特别制度安排。更为重要的是,风险监督与报告制度不能仅限于信息的传递,而必须包括公司基于变化的业务情况、外界环境和风险因素重新评估公司所面临的法律风险,并保证公司能够及时调整其风险控制措施或采取新的措施。这就要求将风险监督与报告程序同公司风险管理流程的其他环节有机联系起来。例如,如果公司的业绩报告、客户满意度调查或员工的态度变化显示出新的法律风险因素,必须立即启动风险识别、风险评估与风险控制程序,有效跟踪、判断和处理新的法律风险。
五、风险防范与控制
法律风险的防范与控制是指企业采取主动措施,或消除潜在法律风险,或防止法律风险的爆发,或控制其爆发后产生的不利影响,从而减少或避免法律风险给企业造成的损失。有效的风险防范与控制是企业法律风险管理制度的最终目的和成功标志。
为了做到有效的法律风险防控,跨国公司一般采取以下措施:
1、建立严密的内部审批制度与流程。包括项目风险审批权限制度与流程、法律文件制作与审核制度与流程、公司授权签字制度与流程等。例如,大多数的跨国公司都具有比较系统严格的法律文件的制作和审核制度。为了减少交易法律风险,都提前制定合同范本,要求在各个交易中统一使用。如果交易文件与范本有所偏差,则需要法律部的另行审核批准后方可签署。另外,跨国公司对法律文件的保管和使用一般都有严格的规范,并配有比较完整的使用记录等。这些管理制度与流程使跨国公司在充分授权各业务部门与子公司在全球进行分散经营的同时,保持对重大事项的集中管控和对日常经营行为的监管,从而防范与控制企业所面临的各种重大风险包括法律风险。
2、将法律风险的防控融入整个公司管理制度,而非局限于法律部门的责任,尤其强调业务部门在第一线承担某些风险的防控责任,例如对于业务合同中常见的风险,负责合同谈判的业务经理应了解哪些风险可以接受,哪些不可接受,哪些需要报法律团队处理;对于环保、税收等需要专业知识判断的风险,有关业务部门更是主要负责者;而反垄断、合规和法律变化等属于法律部门主要负责的风险。
3、每项具体法律风险都应当指定专人负责,即确定责任人。如上所述,法律风险的责任都不应只由法律部门的人员负责,而应分解到相关业务部门,直到相关业务部门的负责人或业务经理,他们应理解自身的决定在风险管理方面的意义,并负责监督和报告所负责工作范围内的法律风险。
4、加强公司法律团队与业务团队的配合与相互理解、相互支持。在法律风险管理上,法律团队与业务团队的矛盾是普遍存在的,为了协调好二者之间的关系,充分的沟通是必不可少的。成功的做法包括:(1)两个团队举行定期和不定期的会议,就法律风险问题和应对办法进行详细讨论;(2)法律团队经常为业务团队进行内部培训,同时法律团队成员也经常参加业务团队的培训,以更好地了解公司的业务情况和法律风险的实际背景;(3)法律团队制订符合业务实际的风险管理指引,允许业务团队根据风险等级在谈判中灵活处理一般法律风险,但重大法律风险报法律团队处理。
5、重视员工的法律风险管理培训。通过精心设计和积极实施的培训项目,宣传公司的风险管理政策、制度、流程与意义,使员工充分了解法律风险管理是公司整体业务流程的一个组成部分,并具有一定程度的法律风险识别和评估能力。近年来,跨国公司更加重视通过网络手段进行高效的员工培训,同时节省了大量成本,包括建立法律风险管理的专门内部网页、召开网络视频会议、通过网络进行调查、发送电子通讯、进行网上测试等。
6、积极培养企业风险管理和合规文化。这不但包括制订包含风险管理与合规内容的员工行为守则,进行相关的教育培训,将遵守风险管理制度纳入公司的行为和道德准则,更重要的是在公司人力资源制度上进行必要的调整,把风险管理意识和责任纳入员工的职位要求,并与员工的业绩表现和报酬挂钩,起到硬约束的作用。
