對于企業合規,不能僅僅依據字面意思將其解釋為“企業依法、依規經營”,而是應當將其視為一種基于合規風險防控而確立的公司治理體系。在日常經營活動中,企業法律風險防控往往都是封閉性、內化性及單一性,但實際上企業法律風險防控應當是具有開放性、系統性及關聯性的特點。在實踐中,一部分企業已經設立了“風控部門”部門專門從事風險防控工作。在推進合規體系建設過程中,一些企業甚至已經將企業合規等同于風險防控。那么,企業合規與風險防控的關系究竟如何呢?
實際上,企業合規本質上是對合規風險的防控體系。研究企業合規的性質,就需要明確合規風險的性質,也需要清晰界定合規風險與其他公司風險的關系。通常來說,公司治理結構的基本目標主要是如何把股東、董事、監事、高級管理人員、普通員工、監管機構以及社會公眾等利益相關方的訴求有效地轉化為公司的決定和行動,并在這一過程中實現各方利益的平衡。
那么,在公司治理層面上,企業究竟要防范什么樣的風險呢?國資委發布的《中央企業全面風險管理指引》對企業風險的定義是:“未來的不確定性對企業實現其經營目標的影響。”那么在企業所面臨的諸多風險之中,合規風險究竟處于什么樣的地位呢?事實上,很多企業領導者由于沒有正確認識公司治理風險的概念和種類,從而也就很難意識到合規風險的重要性。有人把公司治理風險分為投資風險、并購風險、融資風險、銷售風險、市場風險、公關風險、授權風險、產品質量風險、技術風險、知識產權風險、用工風險等數十種。但也有人將合規風險視為上述諸多風險的一種。這種觀點顯然沒有抓住重點,也沒有認識到合規風險的本質。一般而言,企業會面臨三個方面的風險:
一是經營風險;
二是財務風險;
三是合規風險[1]。
接下來,本所律師簡要分析一下這三種風險的關系。
第一種風險是經營風險。實際上每個企業都是在風險中經營的。有人認為中小企業面臨的經營風險小過大企業,畢竟“船小好調頭”,但由于中小企業自身“本小根基淺”,因此只能“順水”而不能“逆水”,不能左右風險的發生。因此中小企業更需要了解經營中可能遇到的風險,以求未雨綢繆從而防患于未然。任正非在《華為的冬天》一書中就提到“企業生存的秘訣不但在于冒險,更在于避險。企業發展的秘訣就是要在冬天談春天的溫暖,春天談冬天的寒冷”。因此經營風險需要依靠公司治理結構中的業務治理來進行有效的防控、識別和應對。企業要規避經營風險,就需要通過研究投資經營的全過程,按照市場和經濟規律,尋找解決問題的對策。
第二種風險是財務風險。財務風險存在于企業財務管理的全過程,并體現在多種財務關系上。資金籌集、資金運用、資金積累、分配等財務活動,均會產生財務風險,從而導致企業遭受經濟損失,無法實現營利售的甚至瀕臨破產的風險。傳統的財務風險管理模式中,對經營、投資活動各環節的風險評估是獨立和彼此割裂的,從而導致了風險管理過程中人為干擾大、風險評估結果客觀性不高。一個良好的現代財務管理制度除了配置首席財務官以及專門的財務管理門以外,還要設立審計機構對企業財務管理進行必要的監督。有些企業甚至在董事會之下設立相對獨立的審計委員會,以提升審計部門的權威性和獨立性。
第三種風險是合規風險。合規風險既不同于經營風險,也不同于財務風險,主要是指企業因為在經營中存在違法違規乃至犯罪行為,而可能遭受行政監管部門處罰和司法機關刑事追究的風險。合規風險一旦得不到控制,企業除了會被追究法律責任以外,還有可能被剝奪特許經營資格,甚至還會被被吊銷營業執照、喪失上市資格、交易資格被剝奪,從而使企業遭受經濟損失乃至聲譽損失。
由此可見,企業建立合規機制,并不是防控一般意義上的“風險”,更不是籠統的等于“風險防控”,而主要是防控因違法違規行為而受到監管處罰和刑事處罰的風險。這種合規風險不僅不同于企業的經營風險,也與企業的財務管理風險具有實質性的區別。由此我們可知,企業合規并不是一般意義上的“風險防控”,而是專門針對行政監管處罰風險、刑事法律風險等所建立的自我監管、自我報告、自我預防和自我整改的公司治理體系。只有將企業合規與風險防控融合起來,既能從微觀審視公司現有體系漏洞,又從宏觀掌握體制和機制弱點,才能針對性的將企業合規與風險防控做到位。
注釋:
[1] 陳瑞華,《企業合規的基本問題》,載《中國法律評論》[J],2020年第1期。
