2018企业法律风险纲论：理论、范式及应用

1392555

　　摘要：法律风险理论体系是法律风险防控体系建设的理论基础，法律风险防控体系建设是这一理论体系的应用，是理论体系的系统工程化。文章着眼于法律风险理论中基本概念的形成、概念的内涵及相互关系，在法理与企业业务两个层面探析了法律风险的本质，并由此形成一套关于法律风险的基本概念及法律风险研究方法论。在此基础上，探究了法律风险防控体系建设的思路、体系的架构，明确回答了体系建设如何与业务结合、风险应对措施的属性、类型、制定原则以及体系的展现形式等问题，最终形成了一套覆盖企业主要业务领域、同企业各部门业务紧密相关，易于业务人员理解、操作、执行的标准化、制度化的法律风险防控体系。
关键词：法律风险基础理论法律风险源法律风险法律风险防控体系
Abstract:The legal risk theory system is the legal risk guards against controls the system construction the rationale,the legal risk guards against controls the system construction is this theory system application,is the theory system systems engineering.The article focuses in the legal risk theory the basic concept formation,the concept connotation and the reciprocity,searched in the legal principle theory of law and the enterprise service two stratification planes has analyzed the legal risk essence,from this and formed a set about the legal risk basic concept and the legal risk research methodology.In this foundation,inquired into the legal risk guards against controls the system construction the mentality,the system construction,replied explicitly how the system does construct with the service union,the risk should to measure attribute,type,formulation principle as well as system questions and so on development form,finally has formed a set of cover enterprise primary service domain,the same enterprise various departments service close correlation,the easy servicer to understand,the operation,the execution standardization,the institution legal risk guards against controls the system.
Keywords:The legal risk basic theory Law risk source Law risk Law risk guards against controls the system
2005年的中航油事件仿佛一记春雷震撼了国人敏感的神经，南方网用略带感慨的文字写到：中国企业就像一个既没有受过正式训练又没有足够装备的新兵，试图击退一大群入侵的法律风险敌军一样。在这种情况下，与准备充分的外国竞争者相比，中国企业会遇到更多的法律风险问题。［1］其后，国资委专门组织召开了“国有重点企业法律风险防范论坛”，就法律风险的本质以及防控的方法进行了讨论，并达成共识：要完善企业内部管理制度，高度重视风险的防范和管理，增强依法经营的能力和水平。2006年6月，国资委发布了《中央企业全面风险管理指引》，系统介绍了风险管理的涵义、基本流程以及风险管理组织体系、信息系统和风险管理文化等，［2］是早期关于风险管理的具有指导性意义的重要文献。2006年11月，中国石油天然气集团公司发布了《法律风险防控机制建设实施纲要》，成为集团公司关于法律风险防控工作的纲领性文件。法律风险一时成为热议之题，乃至甚嚣尘上。
然而，由于认识深度、观察向度以及历史条件等多种因素，关于法律风险的概念、防控的方式以及如何与企业实际结合，却始终无统一之认识。2007年9月，中国石油集团公司法律部、内部控制部组织多家地区企业法律人员及内控人员，并聘请多家中介结构，［3］在吸收以往工作经验、借鉴国内外研究成果的基础上，经过反复的讨论、多次调研与修正，终于编写完成了《中国石油天然气集团公司法律风险防控体系手册》，并于2008年四月正式发布。笔者有幸参与其中。本文基本概念的表述沿用的是集体讨论的成果，但本文是笔者以自己的思考对法律风险基础理论的阐释，大致是注释法学的进路，仅为个人观点，文责自由笔者承担，特此说明。
1.第一部分，法律风险概念体系及方法论
1．1法律风险概念的形成。
1.1.1早期法律风险的有关理论及其简要评述。在早期有关法律风险的理论中，关于法律风险的概念大致形成了三种观点：责任说、责任损害说和不利后果说。
责任说认为：法律风险是指由于企业外部法律环境发生变化,或由于企业自身及有关各方未按照法律规定或合同约定有效行使权利、履行义务，而对企业造成实际损失的可能性，法律风险以企业承担法律责任为特征。［4］将法律风险限定为以承担法律责任为特征，概括了企业作为行为主体实施侵权、违约或违反公法上义务所承担的不同类型的法律责任，在一定程度上揭示了法律风险的实质；但此种观点有其局限，它无法解决因行为不当导致自身权利丧失、应取得权利而未取得权利以及遭受不特定主体侵权的问题。
责任损害说认为：法律风险是基于企业权利义务失控或受外部环境影响招致法律责任、产生实际损失的现实可能性。［5］责任损害说将法律风险界定为法律责任以及产生的实际损失，固然在一定程度上弥补了责任说的局限，但对于企业权利义务失控的类型以及实际损失的法律本质未予明确。
不利后果说认为：法律风险是在法律的实施过程中，即法律权利和义务落实于主体生活的过程中，由于行为人作出的具体法律行为不规范导致的，与其所期望达到的目标相违背的法律不利后果发生的现实可能性。［6］不利后果说用相对抽象的修辞——法律不利后果对法律风险进行了概括，克服了责任说的局限，但仍然未就“不规范具体法律行为”的类型以及“法律不利后果”的本质予以揭示。
其后在《中国石油天然气集团公司法律风险防控机制建设实施纲要》中（以下称《纲要》），将法律风险描述为：基于法律环境产生的与企业权利义务有关的商业风险。［7］基于法律环境以及与权利义务相关揭示了法律风险产生的深层本质，商业风险则是以利益视角观察得出的结论，表明了法律风险与企业的利益关系，它是在通观早期法律风险各类观点基础上得出的在当时条件下相对科学的结论。
中国石油天然气集团公司及股份公司下属的部分地区企业依据前述理论，按照按照风险识别、风险分析、风险防范、风险处理的逻辑结构，形成了早期有关法律风险防控的框架体系，发挥了相当积极的作用。
1.1.2早期概念的特征及未解决的问题。通过以上的叙述，可以发现早期法律风险概念的特征为：其一，逻辑结构为前后的因果关系：其二，原因部分与权利、义务紧密相关，结果部分总是与“法律责任”、“法律上的不利后果”、“实际损失”——这些法律消极后果同一。那么究竟作为原因部分即那些与权利义务相关的行为的实质是什么，其产生的消极后果又是什么，相互关系如何，从法律层面看其本质又是什么，就法律风险的实质而言是不利后果的可能还是可能的不利后果？这是一组亟需解决的重大基础理论问题。另外，由于没有严密统一的概念体系，在前期的法律风险防控体系建设中，始终存在工作范畴不明确、对风险识别及叙述标准不统一以及过分依赖经验的问题。所以，建立一套概念缜密、逻辑严整、表述清晰、界定科学的有关法律风险的概念体系实为必要。
1.2法律风险的概念体系。
1.2.1法律风险的实质及构成。法的一般理论认为，法是调整人的行为的社会规范。［8］基于法的规定，主体的特定行为必然引起自身权利义务状态的变化。正是基于这样的思路，在企业的经营管理活动中，也一定存在那些能够引起企业权利、义务状态发生变化的行为；这些抽象法理层面权利义务状态的变化又必然表现为企业利益的变化，而利益的变化恰恰是企业经营管理活动关注的焦点所在。所以，企业法律风险产生的原因也一定是那些引起权利义务状态发生变化的行为。从另外一个角度观察，引起权利义务状态变化也既产生、变更和消灭法律关系；［9］而引起法律关系变动就是法律事实——即法律规范所规定的、能够引起法律关系产生、变更和消灭的客观情况或现象。［10］对于企业而言，此类属于法律事实的行为应当为法律行为，即依照主体意志变动法律关系的客观事实。
需要说明的是，法律行为是德国民法上的基本概念，乃是指“私人的旨在引起某种法律效果的意思表示；此种效果之所以得依法产生，皆因行为人希冀其发生。法律行为之本质，在于旨在引起法律效果之意思的实现，在于法律制度以承认该意思的方式而于法律世界中实现行为人欲然的法律判断”，简言之法律行为即是旨在引起法律后果的行为。［11］不过，德国民法上法律行为的概念仅限于私法范畴，而企业法律风险所关注的涉及方方面面，依照此种分析问题的进路，将此扩及到各个法律领域，借助国内研究成果，我们将法律行为界定为：人们所实施的、能够发生法律上效力、产生一定法律效果的行为。［12］
之所以这样考虑，是出于一个基本假设：企业只能控制自身的行为，并因此承受相应的法律后果，故而一切有关权利义务的行为的着眼点也只能是自己。这样会产生一个问题，对于来自外部的侵权行为，行为的发生取决于不特定的主体的意志，从形式上看存在逻辑解释瑕疵。其实未必：对于他方的侵权行为，企业则因此产生相应的请求权，只有依法行使请求权才可能保护自身权利，而依法行使请求权恰恰取决于主体自身意志。
研究发现，引起企业权利义务状态发生变化的法律行为包括：不履行义务或履行义务不当，未依法取得、行使、保护权利以及缺乏法律技巧的行为等。这些行为产生相应的法律后果：承担法律责任、权益被侵害或丧失、增加义务或负担等。无论前述哪种法律后果从企业利益的角度来看，均表现为损失，既可以是直接的财产性损失，也可能表现为信赖利益的损失，还可能表现为无形性损失——如企业声誉受损等。将原因部分定义法律风险源，后果部分定义法律风险，于是产生了两个基本概念：
法律风险源是指不履行或不适当履行义务，未依法取得、行使、保护权利以及缺乏法律技巧的行为等法律事实。［13］法律风险是指企业可能承担法律责任、权益被侵害或丧失、增加义务或负担等法律上的不利后果。
在两个基本概念的基础上，又产生了两个下位概念：法律风险源具体表现是指法律风险源在企业经营管理活动中的具体表现形式。法律风险源诱发因素是指企业经营管理中存在的导致法律风险源具体表现的原因。
之所以创设这个两个下位概念，是出于法律风险防控工作实践的需要：其一，由于法律风险源的界定是一种抽象的法理描述，而法律风险防控的实践牵涉企业各个业务部门，结果必然造成理解上障碍，从而失去基础理论应有的指导功能。故而以具体行为表现的形式直观描述，更有利于理解；另外一个原因在于，法律风险源高度抽象的描述抹杀了实际工作中本质上属于一类法律行为，但形式却各有不同诸多行为之间的差异性，并且与这些具有差异的具体行为相对应的各类措施也有所不同；［14］其二，法律风险源固然从本质上揭示了此类行为的法律特征，但这些行为已经是一种事实状态，从企业管理的角度更需关注的是造成此类行为发生或产生的原因。［15］而探究这些原因并通过各种方式有效的防止、遏制、消除这些原因发生的可能性，才毋宁是管理上最本质的需要，也是法律风险防控实践的关键所在。
运用上述四个相互关联的一组概念分析企业经营管理活动存在的法律风险，称之为法律风险源分析，它包括法律风险源、法律风险源具体表现、法律风险源诱发因素、法律风险四项内容。
以企业作为主体之权利义务状态的变化为分析问题的着眼点，以法律行为作为联系法律权利义务与企业管理行为以及由此产生相应后果的介质，运用实证分析与逻辑推理结合的方式，在借鉴早期成果的基础上形成了法律风险源、法律风险两个核心概念以及由法律风险源衍生的法律风险源具体表现、法律风险诱发因素两个重要概念，藉此回答了有关法律风险防控实践的范畴、标准、基础理论等关键问题，四者相互联系紧密结合形成了一套概念清晰、逻辑缜密的法律风险概念体系，并由此产生了一套分析问题的基本模式——这便是我们有关法律风险的方法论。
1.2.2概念的涵义及相互关系。法律风险源描述的是一组法律事实，［16］分为三类，第一类是就主体义务的履行而言，第二类是就主体权利运行而言，第三类是就法律技巧而言：
所谓不履行义务是指主体对其义务不予履行，不适当履行义务是指主体履行义务不符合法律规定或约定，此以合同领域表现最为显著。合同上的适当履行是指当事人按照合同规定的标的及其质量、数量，有适当的主体在适当的履行期限，履行地点，以适当的履行方式，全面完成合同义务，其要求履行主体适当、履行标的适当、履行期限适当、履行方式适当等，［17］违反其则构成合同履行的不适当。
所谓未依法是指没有按照法律的规定，因为权利本身就是法律规定的产物。
所谓取得、行使、保护权利是指权利取得的缘由方式、行使方式及边界和权利保护的方式，而一切缘由、方式、边界的基础判断标准均为法律规定。须说明的是，在权利保护中，基于侵权行为而生之请求权的行使，在一定意义上也属于权利的行使，在修辞上与权利行使发生竞合，但实质上请求权之行使乃基础权利遭致侵害为回复其原初状态从而保护基础权利而生［18］的衍生性权利，亦称第二性权利，故而与基础权利相区分将之纳入权利保护的范畴实值必要；所谓充分，是指除了依照法律规定取得、行使保护权利外，取得、行使以及保护权利的方式（成本）及由此带来的后果（利益）为法律规定之极限并符合企业利益最大化原则，显然这里有明显的主体价值判断的立场。
所谓缺乏法律技巧并无精确的概念，但其实质是行为的实施并非法律的强制性规定，但依据法律知识实施该行为后，在应然层面必然更有利于维护企业利益然而却未予实施的事实。比如合同中可以约定担保而未约定，在诉讼种可以采取诉讼保全而未采取等。
法律风险描述的是可能承担的三类法律上的不利后果：所谓法律责任是指由特定法律事实引起的对损害予以补偿、强制履行或接受惩罚的特殊义务，亦即因违反第一性义务而引起的第二性义务。其类型大致有民事法律责任、行政法律责任、刑事法律责任。
需要说明的是，在一般的责任理论中，除了此三类外，还有违宪责任，［19］就法律风险语境而言，企业几无可能成为违宪责任的承担主体。法律责任与不履行或不适当类型义务对应；权益被侵害或丧失是指遭致他方侵权或主体自身权利灭失，与未依法充分行使、保护权利对应；增加义务或负担是指法定义务的增加或非义务性负担增加，前者与未依法充分取得权利对应，后者与缺乏法律技巧对应。
另须说明的是概念中可能的具体涵义，就承担法律不利后果而言，此可能性有两个层面涵义：其一是作为法律风险源具体表现的那些企业经营管理活动中的具体行为发生的可能性，此为一般风险管理理论中发生概率的问题；其二，由于法律风险源与法律风险之间是一种法理应然层面的逻辑因果关系，违反义务必然导致责任，但就实然而言并非如此，比如企业违约在合同相对人不追究的情形下并不会承担违约责任。
关于将法律风险界定为“可能承担的不利后果”而非“不利后果的可能”需要说明：一般的风险理论将风险定义为未来不确定性对目标的影响。［20］藉此有人认为风险就是一种可能性。笔者认为法律风险关注的根本点在于企业权利义务状态变化给企业利益带来的变化，本质上关注的是不利后果带来的利益减损，而非不利后果发生可能性。当然，可能性是关注的因素之一，但不是根本点，从本质上说可能性是风险的属性之一，但不能说风险就是可能性，否则会产生风险理论自身的逻辑矛盾，也不符合认识规律。原因在于：在风险评价理论中，用风险发生概率和影响度来判断风险大小，［21］这个两分法本身隐含着风险是可能性后果的逻辑——风险发生概率本身则表明了风险发生的可能性，风险影响表征了发生后果的影响度，两者运算的结果就是风险的大小，而最终关注的恰恰是风险的大小，可能性只是判断大小的一个因素。
法律风险源具体表现即是指那些在企业经营管理活动中由各个业务人员实施的代表企业的具体工作行为，这些行为在本质上是能发生法律效果——抽象意义上的法律行为。法律风险源与法律风险源具体表现是抽象与具体的关系，是同一法律本质不同层面观察的结果。如未按约定履行合同或未适当履行合同即是抽象层面，而未按约定的时间、金额支付价款以及逾期交付、提取标的物等则是此抽象法律风险源的具体表现，它就是企业经营管理活动中存在的实际行为。查找法律风险源具体表现，以法律规定为依据，以业务活动为观察对象，结合已发案件成因分析，梳理各类业务种可能存在的法律风险源具体表现。法律风险源诱发因素是指企业管理中存在的导致法律风险源的具体原因，逻辑上可从主客观两个方面查找，但关注的重点首先应在现有工作模式、制度及各业务部门配合度等客观因素诸方面，只有在特定情形主观才是主要因素。
注：其中A与B是经验意义上的因果关系，A是B的必要条件；B与B1、B2等是抽象与具体的关系，B包含B1、B2等；B与C在应然层面是逻辑上的因果关系，B是C的充分条件。
1．3风险评价及其标准。
1.3.1一般风险理论的评价方法。对风险的分析和评分主要从两个方面进行：一是风险发生的可能性；一是风险发生的影响。
分析的步骤为：根据资料分析和沟通的结果分别对风险发生的可能性和风险发生的影响开展定性或定量分析；按照风险评估标准的使用方法选择风险评估标准；根据风险评估标准和定性/定量分析的结论，对该风险源发生的可能性和影响进行评分；所有风险的可能性分值和影响分值的乘积，就是该风险的得分。必要时需要界定不同风险源占该风险的权重，最后得出该风险的分值。
对数值大小的运算有两种基本的方法：定性与定量。一般来说定性用于风险不适于量化、定量分析需要的数据无法充分、可靠获取、数据分析不符合成本效益原则的情形，一般有专家访谈小组讨论等；定量则用于所需数据能够准确、充分的获取，通过精确的数学计算完成。［22］
1.3.2关于法律风险评价标准的修正及补充。法律风险中所谓的风险等级，实际上是风险源具体表现的等级。借鉴deloitte的方法，可从两个角度考虑：其一，发生的概率（可以已案件为依据，即以已发生的案件是由什么法律风险源造成的，对其进行数理统计）。对于无法对应的情况，即某些法律风险源并没有与之对应的实际案例，此种情形 只能依靠定性分析得出数值；其二，影响度，可以考虑两个维度：A、造成的经济损失B、社会影响（对公司声誉的影响）。
在已有的理论中，关于可能性分值（即通过发生概率换算而来的分值）的计算，笔者以为可做修正以提高分值区分度（区分度愈明显风险分值的差异大，风险分值差异愈大，则愈易区分风险大小利于更有效配置管理资源）。修正运算过程如下：
设纠纷总数T，因某一风险源引起的纠纷数Ts；则其发生率 R=Ts/T，理论上R值区间为（0，1）。具体统计数据出来，比如最低为0.02，最高为0.65.，依照风险评价一般理论则以此数据为此闭区间的两个端点，分为5个等级，分值依次为1~5间的整数，然后对应打分。
为精确起见，可进行修正，还以上述数据为例，R值区间［0?02，0.65］ 则修正系数为 1/0.65,为表述方便，设此值为p，则修正区间［0.02p，0.65p］每一个风险源具体表现的发生概率的最终分值为5*Rp。这样便得出每一概率数值对应的准确概率分值。
2.第二部分，法律风险防控体系
2.1法律风险防控体系的架构及功能。
2.1.1法律风险防控工作的必要性及体系建设的思路。《纲要》中从四个层面论述法律风险防控工作的必要性：一是法律环境成为企业发展的重要环境因素，构建法律法律风险防控机制事关企业长治久安；二是集团公司是法律风险相对较高的企业，法律风险防控能力已成为企业竞争力的重要体现；三是依法治企是贯彻国家意志，塑造现代企业文明的重要标志之一，法律风险防控是履行企业经济责任、政治责任和社会责任的基本保障；四是已经进行的法律风险防控建设成效显著有待深化、完善。［23］
法律风险基础理论解决了认识论的问题，但抽象的理论并不能直接防控企业经营管理活动所牵涉的法律风险。如何根据这套理论建设一套全面、统一并同企业各部门业务紧密相关，易于业务人员理解、操作、执行的标准化、制度化工作模式，从而最优的配置管理资源，有效防控法律风险，则是一个亟待解决的实践问题。这就是要建设的法律风险防控体系，它是基础理论的实际应用并系统工程化，从而成为企业的免疫系统。建设法律风险防控体系面临着两个基础问题：体系建设的思路及架构，而这两个基本问题又会细化若干具体问题：其一法律风险防控体系建设如何与企业其他业务相结合，其二风险应对措施（从实际工作层面看也是最重要的）的类型、属性、制定的原则、与企业现有制度的关系以及引发个部门权责状态可能产生的矛盾；其三体系的展示形式。
在早期的实践中，法律工作人员凭借经验与智慧形成了事前防范、事中控制、事后补救的法律风险防控的工作模式，根据这种模式，建立起了风险识别、风险评析、风险防范、风险处理的工作体系，部分中国石油天气集团公司、股份公司下属的地区企业按此建立了法律风险防控体系，并形成了手册及流程，在实践中发挥了不可替代的积极作用。正是在早期法律风险防控体系建设的基础上，形成了现有的工作思路：依照部门业务的大致类型，参考《纲要》若干具体分类，将整个体系涉及的内容划分为资源权属、安全环保、交易管理、企业设立及运作、劳动关系、知识产权、财税管理以及内部基础管理八个领域。在每个领域内依照前述基础概念，查找梳理法律风险源并判断其法律风险，探究风险源诱发因素，寻找管理漏洞，制定应对措施；应对措施要纳入现有的业务流程中，从而实现风险防控与业务流程的有机结合；流程则以现有内控流程为基础，进行必要的修改或增加；展现形式则借鉴以往工作成果，借鉴内控体系，表现为法律风险防控文档和将风险源及应对措施标注于其中的流程图。
需要说明的是，领域的划分是体系建设中的难点之一。作为法律专业人员，研究者始终面临着两难境地：一方面过分的考虑法律抽象本质，则于实际业务关注不足，而法律风险防控体系的基本功能是指导、改进加强现有业务的管理；另一方面，一味的强调与实际工作的联系，则必然于法律本质层面考虑不足，打乱体系应有的内在联系，也无法体现体系的特点，甚至可能在法律风险源查找梳理方面存在漏洞。正是在这样的两难境地中，研究者最终选择了相对折中的方案——领域的划分首先考虑实际业务的内容，其次则考虑法律关系的性质，最后兼顾业务部门职责划分现状，实际上此为准实用主义价值立场。