合規(guī)、法律風險管理：不是一碼事

葉曉華

2019年被稱為合規(guī)管理的元年，然而引發(fā)合規(guī)管理熱潮的中興事件，怎么看都像法律風險，只是違反的是美國法而已。2004 年爆發(fā)的中航油事件，直接催生了法律風險管理在中國的興起，如今怎么看都像是合規(guī)風險，而不是法律風險。這些年，合規(guī)的案例往往被專家們直接用于詮釋法律風險的管理，法律風險管理的案例也常常被用于證明合規(guī)風險管理的必要性。這種混用導致了兩者之間界線更加模糊，加之很多專業(yè)人士也說不清楚，這種現(xiàn)狀對于合規(guī)管理工作的推進和開展非常不利。

如果不能廓清兩者之間的分野，搞清兩者之間區(qū)別和聯(lián)系，企業(yè)管理層就會對企業(yè)合規(guī)管理工作心存疑慮，畢竟這種大規(guī)模的管理活動涉及的企業(yè)管理資源眾多;如果合規(guī)管理只是在法律風險管理的基礎上疊床架屋，就會造成大量的資源浪費，這顯然是企業(yè)不愿意接受的，即便迫于外在壓力接受了，也是做做樣子，無法起到應有的作用。因此，對兩者之間主要的差異做一個梳理就很有必要。

價值導向VS利益驅動

就本人的理解而言，合規(guī)管理與法律風險管理的區(qū)別，其實還是蠻大的。合規(guī)管理和法律風險管理相同的地方都是防控和管理風險，保障企業(yè)的可持續(xù)發(fā)展。但是前者主要通過確認并遵循企業(yè)的價值觀來實現(xiàn)，后者主要通過利益考量對企業(yè)法律風險進行管理的方式來實現(xiàn)。換句話，合規(guī)管理是價值導向，法律風險管理則是利益驅動。這是兩者之間最大的區(qū)別。這一區(qū)別體現(xiàn)在方方面面，是區(qū)分合規(guī)管理與法律風險管理的關鍵。

從管理的目標上看，合規(guī)管理的直接目的是確保企業(yè)及其員工履行合規(guī)義務，實現(xiàn)合規(guī)目標。企業(yè)價值觀共性的一面主要表現(xiàn)為對法律法規(guī)政策、交易習慣、行業(yè)規(guī)則以及國際條約等的遵守，對這些明確的外部規(guī)則認同，是企業(yè)參與市場游戲的基礎。企業(yè)價值觀個性的一面，表現(xiàn)在要求遵守企業(yè)自己制定的內部的規(guī)章制度，員工行為規(guī)范等。不論是共性還是個性的一面，都具體表現(xiàn)為對各項合規(guī)義務組成的合規(guī)目標體系的遵守。企業(yè)將哪些內外部“明示的、通常隱含的或有履行義務的需求或期望”的要求納入合規(guī)義務的范圍，建立合規(guī)目標體系，其背后的標準是，是否符合企業(yè)的價值觀。盡管，企業(yè)對具體的合規(guī)風險進行評估時，需要權衡利益，但是進行這種利益考量的前提是根據(jù)企業(yè)價值觀確定了合規(guī)義務，然后才有對不履行合規(guī)義務所帶來的風險的評估問題。換言之，這種利益權衡只是管理的手段，而不是合規(guī)管理的目的。然而法律風險管理則沒有這種預設的前提，而是直接由利益驅動，企業(yè)對具體法律風險是否防范，采取哪種方式方法防范，都取決于利益考量的結果。

舉個例子，比如上市公司的信披義務是法律直接規(guī)定的義務，因為不履行或不正確履行信披義務而導致的風險，即是一種法律風險，也是一種合規(guī)風險。如果上市公司將這一風險視為法律風險來處理，就需要考慮違規(guī)信披的收益是多少，代價有多大，倘若收益大于代價，則違規(guī)信披就是一個選擇。如果上市公司將信披義務視為合規(guī)義務，則上述違規(guī)信披永遠不會成為企業(yè)的選項。這是履行合規(guī)義務就是踐行企業(yè)的價值觀，而價值觀是不能用利益得失來衡量的。中國上市公司違規(guī)信披事件層出不窮，很大程度上就是因為上市公司將違規(guī)信披的風險當成了法律風險而不是合規(guī)義務來管理，由于中國股市的違規(guī)信披的成本不高，但收益巨大，因此從利益驅動的法律風險管理的角度出發(fā)，違規(guī)信披就成為了很多上市公司的選擇。

值得注意的是，合規(guī)管理在對具體的合規(guī)風險進行評估時，和法律風險管理中對法律風險的評估一樣，也要分析風險的可能性和損失度，計算風險期望值的大小。從表面上看，這都是一種利益驅動的分析，但是前者是針對不合規(guī)行為對合規(guī)目標影響的分析，后者是針對法律風險行為對企業(yè)目標（主要是盈利目標）影響的分析。合規(guī)管理做這種分析主要是為了區(qū)分合規(guī)風險的輕重緩急，從而將企業(yè)有限的合規(guī)管理的資源用在刀刃上。這種利益考量并不改變合規(guī)管理價值導向的本質。

合規(guī)管理的價值導向并不排斥利益考量，只是合規(guī)管理關注的是企業(yè)的整體利益和長遠利益，而不是每一個具體的合規(guī)義務的利益得失。實施有效的合規(guī)管理，踐行企業(yè)的價值觀，可以在整體上提高企業(yè)的管理水平，提升并維護企業(yè)良好的聲譽，增加客戶和合作者對企業(yè)行為合法合規(guī)的預期，從而為企業(yè)贏得更多的商業(yè)機會，獲得更豐厚的利潤。為什么企業(yè)更愿意與世界500強企業(yè)合作？原因不僅僅是因為合作方實力強勁，還因為這些企業(yè)都有合規(guī)管理，對誠信守約有堅決的承諾，當市場發(fā)生不利于500強企業(yè)的變化時，500強企業(yè)不會處于短期利益的考慮選擇違約，而會處于合規(guī)管理追求的企業(yè)整體利益和長遠利益的考量，選擇守約。合規(guī)管理的價值導向，甚至能夠幫助企業(yè)在犯錯時，得到諒解。國家標準委發(fā)布的GB/T 35770-2017《合規(guī)管理體系指南》的引言中有一段很耐人尋味的話，“在很多國家和地區(qū)，當發(fā)生不合規(guī)時，組織和組織的管理者以組織已經(jīng)建立并實施了有效的合規(guī)管理體系作為減輕、甚至豁免行政、刑事和民事責任的抗辯，這種抗辯有可能被行政執(zhí)法機關和司法機關所接受”。這種抗辯被承認的背后邏輯，不是因為企業(yè)不合規(guī)行為本身是可以被諒解的，而是因為實施有效的合規(guī)管理，企業(yè)踐行了符合社會預期的價值觀，這是行政執(zhí)法機關和司法機關愿意提倡并樂觀其成的，承認這種抗辯，有助于減少不合規(guī)行為，有助于減少企業(yè)運營中的糾紛。試想，如果一個企業(yè)爆發(fā)了法律風險，企業(yè)可以自己已實施有效的法律風險管理體系作為抗辯理由嗎？恐怕不行。這種區(qū)別的背后，正是因為合規(guī)管理是價值導向，而法律風險管理是利益驅動。

正確把握兩者區(qū)別與聯(lián)系?

除了上述最大的區(qū)別，合規(guī)管理和法律風險管理的差異還體現(xiàn)在以下一些方面。

從風險行為的性質，引發(fā)風險后果的類型和風險相對方上看，兩者的區(qū)別也很明顯。合規(guī)管理中，引發(fā)重大合規(guī)風險的行為主要是違法違規(guī)行為，引發(fā)重大合規(guī)風險的后果主要是行政法律風險和刑事法律風險，以及基于上述行政和刑事法律風險而帶來的重大民事法律風險，風險相對方往往是政府、司法機關或是監(jiān)管機構或組織，中興事件就是典型一例。而在法律風險管理中，與通常理解不同，常見的引發(fā)重大法律風險的行為并不是直接的違法違規(guī)行為，而是違約行為，引發(fā)的后果主要是民事法律風險，風險相對方主要是客戶和合作伙伴，例如長虹當年因為賒賬，導致應收賬款損失26個億，其風險相對方是長虹在美國的進口商APEX公司。這個區(qū)別非常值得注意，重大合規(guī)風險的風險相對方往往是有權有勢有資源，處于強勢地位，如果風險相對方?jīng)Q意要追究責任，企業(yè)硬碰硬或是偷奸?；旧系貌粌斒?，所以遵循相關法律法規(guī)幾乎是企業(yè)唯一的選擇。

在對風險的處理上，合規(guī)管理與法律風險管理相去甚遠。一種義務一旦被認為是合規(guī)義務，企業(yè)唯一的選擇只能是遵守，對不合規(guī)行為引發(fā)的合規(guī)風險，不論大小，企業(yè)唯一的態(tài)度就是杜絕，而沒有通常的所謂風險態(tài)度的選擇，盡管在實踐中，由于人財物等資源的限制，企業(yè)會首先保證重點領域、重點環(huán)節(jié)和關鍵人員的合規(guī)，但這并不意味著其他不合規(guī)行為就是可以接受的。與之想成鮮明對比的是，在法律風險管理中，企業(yè)對識別出來的法律風險的處理要靈活得多，可以采取避免、降低、接受、杜絕、轉移等多種多樣方式來應對。

從風險行為的來源上看，不合規(guī)的風險行為基本上來自企業(yè)及其員工的自身行為，法律風險行為的來源則更加廣泛，既可能來自企業(yè)的內部，也可能來自企業(yè)的外部，但主要來自企業(yè)的外部。管理自身的行為遠比管理他人的行為要容易，因此，應對合規(guī)風險的手段比應對法律風險的手段要簡單有效得多。

從風險管理的過程上看，合規(guī)管理的難點重點在執(zhí)行，法律風險管理的難點重點在識別。合規(guī)風險是企業(yè)及其員工不履行合規(guī)義務所帶來的風險，來自外部的合規(guī)義務主要來自法律法規(guī)政策、交易習慣、行業(yè)慣例、國際條約等，都比較明確，來自內部的合規(guī)義務是企業(yè)自己選擇和制定的，同樣比較明確，因此，合規(guī)風險的識別和評估相對簡單，其難點和重點是如何確保合規(guī)義務能夠得到有效的履行。法律風險則完全不同，企業(yè)最主要最常見的法律風險是來自違反合同約定的義務，而合同的約定是合同各方的合意，具體內容千變萬化，因此法律風險的識別相對來說比較困難，容易遺漏重大法律風險。

從風險性質上看，合規(guī)風險是純粹風險，只能帶來損失，合規(guī)風險危及的是企業(yè)存在的基礎，企業(yè)價值觀，沒有協(xié)商的余地，而法律風險既可能是純粹風險，也可能是機會風險，或是兼而有之，只是在實踐中，企業(yè)很少意識到，法律風險還是一種機會風險，還可以為企業(yè)創(chuàng)造巨大的價值。事實上，法律風險管理是企業(yè)創(chuàng)新的重要來源之一，當一個阻礙商業(yè)機會的法律風險被合理合法的解決，一個新的商業(yè)模式也許就會因此誕生，例如，支付寶的出現(xiàn)其實就是在處理違約法律風險過程中找到的機會風險。

建立和實施風險管理體系過程中，合規(guī)管理和法律風險管理之間的具體區(qū)別就更多，對比一下《企業(yè)法律風險管理指南》和《合規(guī)管理體系指南》以及《中央企業(yè)合規(guī)管理指引》，我們就可以得到清晰的答案。

總而言之，合規(guī)管理和法律風險管理一個是價值導向，一個是利益驅動，在風險性質，風險行為的性質，風險的來源，風險的處理，風險管理的重點難點等方面都有著巨大不同，兩者不能相互代替。

當然，合規(guī)管理和法律風險管理之間的共同點和聯(lián)系也是可以看得到的，都屬于風險管理的范疇，使用的風險識別、評估和管理工具是相似的，動用的人力物力等企業(yè)資源也有很大的重合，這種共同點和聯(lián)系也為兩種管理的整合提供了條件，特別是當企業(yè)已經(jīng)建立其中一種管理體系時，搞清楚其中的異同，有助于企業(yè)風險管理的整合，節(jié)省資源，提高效率。

作者系龍龜管理咨詢（北京）有限公司總裁