本文在中华全国律师协会、中国国际经济贸易仲裁委员会和中国商业法研究会共同举办的法律风险管理论坛上，荣获中国法律风险管理征文“优秀论文奖”

搞好企业内部控制　提升法律风险管理

杭正亚

2010年4月26日，财政部等部门发布《企业内部控制配套指引》，连同近年来接踵而至的《上交所内部控制指引》（2006年）、《深交所内部控制指引》（2007年）以及《企业内部控制基本规范》（2008年）等等，必将在我国企业中刮起一股“内控旋风”。

不知是出于“门户之见”，还是其他什么原因，有人认为这股“内控旋风”可能“刮走”法律风险管理。这种观念是十分错误的。本文拟从内部控制与法律风险管理的关系，如何借助内部控制搞好法律风险管理，谈点粗浅的看法。

　一、全面风险管理的涵盖内部控制，内部控制不能取代全面风险管理

法律风险管理是全面风险管理的重要组成部分，要研究内部控制与法律风险管理的关系，首先要研究内部控制与风险管理的关系。目前已有的代表性观点有3种：一是风险管理包含内部控制、二是内部控制包含风险管理、三是内部控制就是风险管理。笔者认为，风险管理涵盖了内部控制，内部控制为风险管理的一方面。理由是：

 1、风险管理的目标涵盖了内部控制的目标

内部控制的目标有3类，即经营的效果和效率、真实可靠的财务报告、合规性经营。风险管理的目标有4类，即战略目标、经营目标、报告目标和合规目标，其中后三类与内部控制相重合，报告目标还有所扩展，不仅包括财务报告的准确性，还要求所有对内对外发布的非财务类报告准确可靠。另外，风险管理增加了战略目标，即与企业的远景或使命相关的高层次目标。

2、风险管理的组成要素涵盖了内部控制的组成要素

内部控制的要素有5个，即控制环境、风险评估、控制活动、信息与交流和监督评审。风险管理要素有8个，即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。两者之间组成要素的五个方面是重合的，即内部环境、风险评估、控制活动、信息和交流、监控。风险管理增加了目标设定、事件识别以及风险对策三个要素，并且在重合的要素中，风险管理的内涵也都有所扩展。

3、风险管理的功能涵盖了内部控制的功能

风险管理的功能是，发现风险、预测风险以及防止风险可能造成的不良影响，并设法把这种不良影响控制在最低的程度上。内部控制就是企业内部采取的风险管理，仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标；而全面风险管理则贯穿于管理过程的各个方面，控制的手段不仅体现在事中和事后的控制，更重要的是在事前制订目标时就充分考虑了风险的存在，而且在两者的功能上，风险管理的功能多于内部控制的功能。

4、风险管理的对策涵盖了内部控制的对策

全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法。因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些对策，都是内部控制框架中没有的，也是其所不能做到的。

5、风险管理的系统涵盖了内部控制的系统

我国《中央企业全面风险管理指引》有七处提及内部控制，且都将内部控制系统纳入风险管理的体系。

既然风险管理的涵盖了内部控制，那么可以得到这样的结论，即内部控制不能取代风险管理。

二、内部控制尤其不能取代企业法律风险管理

1、内部控制与法律风险管理的侧重点不同

内部控制的客体由内部控制的目标决定，包括资源和交易两方面。〔1〕 内部控制侧重资源层面，通过规章制度控制资源，规避风险；法律风险管理侧重交易层面，通过风险管理规范交易，规避风险。对于法律风险管理所侧重的、企业承担法律责任的问题，如民事责任，违约金、赔偿损失、赔礼道歉、消除妨害等等；行政责任，罚款、没收违法所得、吊销营业执照等等；刑事责任，单位承担罚金、主管领导承担刑事责任等等，都不是内部控制的侧重点。

2、内部控制与法律风险管理的渗透面不同。

保证资金安全和会计信息的真实是内部控制发展的主线，会计控制是企业内部控制的核心〔2〕，内部控制有效的渗透面一般仅限于财务及相关部门。尽管内部控制的目标呈多元化趋势，但会计控制在内部控制系统中的核心地位始终没有动摇。而法律风险管理的渗透面是企业管理整个过程和整个经营系统，会计控制只是法律风险管理的一项职能。内部控制对传统的内部控制之外的风险关注不足，目前我国企业对于传统的内部控制十分重视，对各部门和员工都十分严格的规定，但对于如董事长、总经理等高层人员就缺乏有效的规定，致使高层人员无人管理，如果高层人员出现决策错误，甚至命令下属作假、舞弊，下属听从的可能性非常大。这对于由高层人员原因引发的法律风险，是难以控制的。

3、内部控制与法律风险管理的作用力不同

法律风险管理是内部控制中有关法律事务事项的自然延伸，内部控制中的该部分事务是法律风险管理的基础。企业有了内部控制，但不能避免被追究民事、行政、刑事责任的风险，不能避免倒闭、破产或不能正常经营的风险，主要原因是内部控制固有的局限性。COSO报告阐述的内部控制四大局限中的两大局限，即一是不能解决管理阶层人员素质问题，二是不能左右政府政策或经营环境，内部控制的作用力对其无所作为。而法律风险管理，尽管也不能完全解决这两大局限，但强调对其有效防范，能够起到内部控制所不能起到的作用。

4、内部控制与法律风险管理关注的风险不同

无论是中国还是外国，制定内部控制规范的，一般都是会计行业的主管部门或者行业组织，并没有法律主管部门参与。而且内部控制所关注的风险，主要是财务风险。根据《中央企业全面风险管理指引》中的分类，企业面临的风险有战略风险、财务风险、市场风险、运营风险、法律风险，在这五种风险中法律风险是最大的风险。世界排名第六的英国路伟律师事务所带着类似的问题对我国上市公司经营中的各类风险进行过一个统计分析，结果是2008年法律风险导致企业亏损在各类风险中的比例达到49.63%。〔3〕 由于内部控制对法律风险关注度不够，难以防范对企业危害最大的法律风险。

三、内部控制可以提升应对法律风险的能力

1、内部控制过程的全员性，可以提升应对法律风险广泛性的能力

企业行为都是一定意义上的法律行为，法律风险可能发生在经营管理的所有领域和各个环节，具有广泛性的特点。而其他几种风险只分布在特定的领域和环节。伴随着企业运营的全过程，法律风险管理不可能离开企业生产经营管理人员，而由法务人员单独完成。法律风险管理要想取得真正实效，可以借助于内部控制全员性的特点，使得所有部门和全体人员共同参与，将风险管理嵌入具体生产经营管理流程，将风险管理变成业务活动中一个不可分离的组成部分。从长远来看，法律风险管理一定会像内控控制一样，是一项包含企业决策层、管理层和基层员工在内的全员性的工作，，确保风险管理工作切实融入到企业的日常管理工作中，确保风险管理在企业内部的统一理解和执行。

2、内部控制的综合性，可以提升应对法律风险转化性的能力

法律风险产生于企业生产经营管理活动，法律风险和其他风险相伴。在一定条件下，其他风险可能引发法律风险，法律风险发生的后果也可能导致其他风险。企业要有效防范法律风险，就要对法律风险与其他风险两者之间进行正确的分析，明确两者之间的关联性和因果关系，明确两者之间的影响路径和传递关系，明确两者之间的组合效应和破坏任用。这样，才能应对各种风险的转化，对法律风险在内的所有风险进行统一集中的管理。内部控制的综合性，可以帮助企业建立完善综合的配套制度和行为规范，进而建立起防范各类风险管理的工作程序，将各类风险纳入到流程控制中，从根本上提升企业应对法律风险与其他各类风险之间相互转让的能力。

3、内部控制的动态性，可以提升应对法律风险变异性的能力

企业面临的法律风险，是随着企业内部法律环境与企业外部法律环境的变化，而不断变化的。随着时间的推移，法律风险的影响范围和发生可能性，也在产生变化。内部控制本身就是一个动态的过程，可以及时应对法律风险变化的情况，适时调整法律风险管理体系的相关内容，保证法律风险管理的是企业现在存在的风险，而不是过时的不可能发生的风险。内部控制的定期评估、调整更新等机制，对于提升应对法律风险变异性的能力是有益的。

4、内部控制的量化分析方法，可以弥补传统法律工作的弱点

法律工作有着独特的思维模式和分析方法，强调严谨、逻辑的定性分析是传统法律工作典型的方法。但是仅有定性分析还不够，必须对识别出来的法律风险进行量化分析，才能用统一的指标来刻画风险，才能对具有不同法律性质、分属不同业务领域的各类法律风险进行比较，才能全面地认识和把握企业面临的各类法律风险的总体情况和分布特征。如果没有量化分析，就不可能准确地划分风险等级，区别各类法律风险对企业的影响程度，在有限资源的条件下进行风险控制。

5、内部控制的活动，完成了法律风险管理的大部分过程

在COSO委员会的《内部控制管理框架》中，把内部控制活动分成五大组成部分，即：控制环境、风险评估、控制活动、信息与交流和监督评审。而法律风险管理过程由明确法律风险环境信息、法律风险评估、法律风险应对、监督和检查。其中，法律风险评估包括法律风险识别、法律风险分析和法律风险评价等三个步骤。可见，成功的内部控制活动已经完成了法律风险管理的大部分过程。　　　　

四、借助内部控制，提升法律风险管理水平

    比起法律风险管理，内部控制更具有着悠久的历史，随着我国企业内部控制体系逐步完善，必将提升法律风险管理的水平。

　　1、完善法律风险管理的组织体系

一从管理层次上看，法律风险管理的一些重大问题，需要公司管理层甚至董事会、股东会批准，企业高层人员必须增强内部控制和法律风险管理的意识，并在这方面为企业员工带好头，作表率。二从管理幅度上看，法律风险管理需要与业务部门沟通、协调，从法律风险环境信息、法律风险评估、法律风险应对、监督和检查，都需要业务部门的深度参与。三从人才队伍上看，目前存在两个问题，一是法务人员配备不足，英国路伟事务所的一项调查表明，每千名雇员对应的公司法律顾问人数，美国、欧盟及亚洲除中国外都为1.4人，而中国只有0.37人〔4〕；二是留不住高级法务人才，法务部门和法务人员地位偏低，缺乏权威性，除少数大型企业外，一般企业的法务人员不少都缺乏法律工作的实战经验，甚至还有不少外行滥竽充数。笔者认为，应当建立与企业工程师、会计师队伍相类似的法务专门人才队伍。大中型企业设立与总工程师、总会计师地位相同的总法务师，法务人员可以评职称，设立高级法务师、法务师、助理法务师、法务员等职称等级，这样可以留住人才，吸引人才。

2、前移法律风险管理的防范前沿

一是加强国家立法对企业影响的前瞻研究，及时跟踪国家立法动态，对企业赖以生存的经济环境，对企业投资、经营提供法律政策方面的参考。二是加强对重大项目的法律论证，特别是在重大投资决策、资产处置、改制重组等项目中，必须先行法律论证。三是超前研究事关企业全局的重大法律问题，对事关企业改革与发展全局的重大问题进行前瞻性研究，为企业依法经营决策提供强有力的理论支撑。

3、夯实法律风险管理的制度基础

要在符合内部控制要求的前提下，全面梳理现有规章制度，进一步完善各项业务管理制度，完善法律事务管理制度、法人授权制度、合同管理制度、知识产权制度等管理制度，通过制定法律文件示范文本和法律事务标准流程，进一步整合业务操作流程，规范企业法务工作，构筑起覆盖所有业务品种和涉及业务全过程的内部控制管理体系，从而夯实法律风险管理的制度基础。

4、突出抓好企业法律风险管理的重点环节

一是开展主要业务法律风险点防范的分析，以企业主要业务和法律工作的结合点为突破口，在事实分析和法律分析的基础上，提出规范措施以防范相关法律风险；二是建立重点业务法律风险的全过程控制机制，企业通过加强内部控制，制定业务部门的管理工作标准，对外签订合同经法务人员审核。三是妥善处理法律纠纷，对于潜在的法律纠纷，企业应当评估其显性化的可能以及将会对企业的影响，并作好方案准备，提前化解法律风险；对于已经产生的法律纠纷，企业应当评估其法律风险并决定采用非讼方法解决还是诉讼方法解决，是不让步解决还是让步解决。如采取诉讼方法解决，则应根据事实与法律，对诉讼风险进行识别，预测诉讼结果。要在深入调查研究的基础上，对整个案件的基本情况要有细致而全面的了解，分析对方可能实施的措施，分析可能出现的不利因素，分析案件发展的最终结果等，如是否能够胜诉、胜诉的程度如何、实体权益能否实现等等，进而合理确定应对措施。

(作者为江苏天豪律师事务所合伙人、职称国家一级律师)

〔1〕参见张喆：《内部控制原理及其应用研究》，化学工业出版社2009年9月版，第5页。

〔2〕同上注第5页、第7页。

〔3〕转引至李江涛：《浅谈企业现代法律风险管理》，泰达企业在线网http://www.tedaonline.com/nbc/articlepage.asp?id=287，2010年6月12 日。

〔4〕转引至王正志、王怀：《公司法律风险防范与管理》，法律出版社2007年版，第5页。