风险与风险管理概述(收集3篇)
风险与风险管理概述范文篇1
关键词:法律风险基础理论法律风险源法律风险法律风险防控体系
Abstract:Thelegalrisktheorysystemisthelegalriskguardsagainstcontrolsthesystemconstructiontherationale,thelegalriskguardsagainstcontrolsthesystemconstructionisthistheorysystemapplication,isthetheorysystemsystemsengineering.Thearticlefocusesinthelegalrisktheorythebasicconceptformation,theconceptconnotationandthereciprocity,searchedinthelegalprincipletheoryoflawandtheenterpriseservicetwostratificationplaneshasanalyzedthelegalriskessence,fromthisandformedasetaboutthelegalriskbasicconceptandthelegalriskresearchmethodology.Inthisfoundation,inquiredintothelegalriskguardsagainstcontrolsthesystemconstructionthementality,thesystemconstruction,repliedexplicitlyhowthesystemdoesconstructwiththeserviceunion,theriskshouldtomeasureattribute,type,formulationprincipleaswellassystemquestionsandsoondevelopmentform,finallyhasformedasetofcoverenterpriseprimaryservicedomain,thesameenterprisevariousdepartmentsserviceclosecorrelation,theeasyservicertounderstand,theoperation,theexecutionstandardization,theinstitutionlegalriskguardsagainstcontrolsthesystem.
Keywords:ThelegalriskbasictheoryLawrisksourceLawriskLawriskguardsagainstcontrolsthesystem
2005年的中航油事件仿佛一记春雷震撼了国人敏感的神经,南方网用略带感慨的文字写到:中国企业就像一个既没有受过正式训练又没有足够装备的新兵,试图击退一大群入侵的法律风险敌军一样。在这种情况下,与准备充分的外国竞争者相比,中国企业会遇到更多的法律风险问题。[1]其后,国资委专门组织召开了“国有重点企业法律风险防范论坛”,就法律风险的本质以及防控的方法进行了讨论,并达成共识:要完善企业内部管理制度,高度重视风险的防范和管理,增强依法经营的能力和水平。2006年6月,国资委了《中央企业全面风险管理指引》,系统介绍了风险管理的涵义、基本流程以及风险管理组织体系、信息系统和风险管理文化等,[2]是早期关于风险管理的具有指导性意义的重要文献。2006年11月,中国石油天然气集团公司了《法律风险防控机制建设实施纲要》,成为集团公司关于法律风险防控工作的纲领性文件。法律风险一时成为热议之题,乃至甚嚣尘上。
然而,由于认识深度、观察向度以及历史条件等多种因素,关于法律风险的概念、防控的方式以及如何与企业实际结合,却始终无统一之认识。2007年9月,中国石油集团公司法律部、内部控制部组织多家地区企业法律人员及内控人员,并聘请多家中介结构,[3]在吸收以往工作经验、借鉴国内外研究成果的基础上,经过反复的讨论、多次调研与修正,终于编写完成了《中国石油天然气集团公司法律风险防控体系手册》,并于2008年四月正式。笔者有幸参与其中。本文基本概念的表述沿用的是集体讨论的成果,但本文是笔者以自己的思考对法律风险基础理论的阐释,大致是注释法学的进路,仅为个人观点,文责自由笔者承担,特此说明。
1.第一部分,法律风险概念体系及方法论
1.1法律风险概念的形成。
1.1.1早期法律风险的有关理论及其简要评述。在早期有关法律风险的理论中,关于法律风险的概念大致形成了三种观点:责任说、责任损害说和不利后果说。
责任说认为:法律风险是指由于企业外部法律环境发生变化,或由于企业自身及有关各方未按照法律规定或合同约定有效行使权利、履行义务,而对企业造成实际损失的可能性,法律风险以企业承担法律责任为特征。[4]将法律风险限定为以承担法律责任为特征,概括了企业作为行为主体实施侵权、违约或违反公法上义务所承担的不同类型的法律责任,在一定程度上揭示了法律风险的实质;但此种观点有其局限,它无法解决因行为不当导致自身权利丧失、应取得权利而未取得权利以及遭受不特定主体侵权的问题。
责任损害说认为:法律风险是基于企业权利义务失控或受外部环境影响招致法律责任、产生实际损失的现实可能性。[5]责任损害说将法律风险界定为法律责任以及产生的实际损失,固然在一定程度上弥补了责任说的局限,但对于企业权利义务失控的类型以及实际损失的法律本质未予明确。
不利后果说认为:法律风险是在法律的实施过程中,即法律权利和义务落实于主体生活的过程中,由于行为人作出的具体法律行为不规范导致的,与其所期望达到的目标相违背的法律不利后果发生的现实可能性。[6]不利后果说用相对抽象的修辞——法律不利后果对法律风险进行了概括,克服了责任说的局限,但仍然未就“不规范具体法律行为”的类型以及“法律不利后果”的本质予以揭示。
其后在《中国石油天然气集团公司法律风险防控机制建设实施纲要》中(以下称《纲要》),将法律风险描述为:基于法律环境产生的与企业权利义务有关的商业风险。[7]基于法律环境以及与权利义务相关揭示了法律风险产生的深层本质,商业风险则是以利益视角观察得出的结论,表明了法律风险与企业的利益关系,它是在通观早期法律风险各类观点基础上得出的在当时条件下相对科学的结论。
中国石油天然气集团公司及股份公司下属的部分地区企业依据前述理论,按照按照风险识别、风险分析、风险防范、风险处理的逻辑结构,形成了早期有关法律风险防控的框架体系,发挥了相当积极的作用。
1.1.2早期概念的特征及未解决的问题。通过以上的叙述,可以发现早期法律风险概念的特征为:其一,逻辑结构为前后的因果关系:其二,原因部分与权利、义务紧密相关,结果部分总是与“法律责任”、“法律上的不利后果”、“实际损失”——这些法律消极后果同一。那么究竟作为原因部分即那些与权利义务相关的行为的实质是什么,其产生的消极后果又是什么,相互关系如何,从法律层面看其本质又是什么,就法律风险的实质而言是不利后果的可能还是可能的不利后果?这是一组亟需解决的重大基础理论问题。另外,由于没有严密统一的概念体系,在前期的法律风险防控体系建设中,始终存在工作范畴不明确、对风险识别及叙述标准不统一以及过分依赖经验的问题。所以,建立一套概念缜密、逻辑严整、表述清晰、界定科学的有关法律风险的概念体系实为必要。
1.2法律风险的概念体系。
1.2.1法律风险的实质及构成。法的一般理论认为,法是调整人的行为的社会规范。[8]基于法的规定,主体的特定行为必然引起自身权利义务状态的变化。正是基于这样的思路,在企业的经营管理活动中,也一定存在那些能够引起企业权利、义务状态发生变化的行为;这些抽象法理层面权利义务状态的变化又必然表现为企业利益的变化,而利益的变化恰恰是企业经营管理活动关注的焦点所在。所以,企业法律风险产生的原因也一定是那些引起权利义务状态发生变化的行为。从另外一个角度观察,引起权利义务状态变化也既产生、变更和消灭法律关系;[9]而引起法律关系变动就是法律事实——即法律规范所规定的、能够引起法律关系产生、变更和消灭的客观情况或现象。[10]对于企业而言,此类属于法律事实的行为应当为法律行为,即依照主体意志变动法律关系的客观事实。
需要说明的是,法律行为是德国民法上的基本概念,乃是指“私人的旨在引起某种法律效果的意思表示;此种效果之所以得依法产生,皆因行为人希冀其发生。法律行为之本质,在于旨在引起法律效果之意思的实现,在于法律制度以承认该意思的方式而于法律世界中实现行为人欲然的法律判断”,简言之法律行为即是旨在引起法律后果的行为。[11]不过,德国民法上法律行为的概念仅限于私法范畴,而企业法律风险所关注的涉及方方面面,依照此种分析问题的进路,将此扩及到各个法律领域,借助国内研究成果,我们将法律行为界定为:人们所实施的、能够发生法律上效力、产生一定法律效果的行为。[12]
之所以这样考虑,是出于一个基本假设:企业只能控制自身的行为,并因此承受相应的法律后果,故而一切有关权利义务的行为的着眼点也只能是自己。这样会产生一个问题,对于来自外部的侵权行为,行为的发生取决于不特定的主体的意志,从形式上看存在逻辑解释瑕疵。其实未必:对于他方的侵权行为,企业则因此产生相应的请求权,只有依法行使请求权才可能保护自身权利,而依法行使请求权恰恰取决于主体自身意志。
研究发现,引起企业权利义务状态发生变化的法律行为包括:不履行义务或履行义务不当,未依法取得、行使、保护权利以及缺乏法律技巧的行为等。这些行为产生相应的法律后果:承担法律责任、权益被侵害或丧失、增加义务或负担等。无论前述哪种法律后果从企业利益的角度来看,均表现为损失,既可以是直接的财产性损失,也可能表现为信赖利益的损失,还可能表现为无形性损失——如企业声誉受损等。将原因部分定义法律风险源,后果部分定义法律风险,于是产生了两个基本概念:
法律风险源是指不履行或不适当履行义务,未依法取得、行使、保护权利以及缺乏法律技巧的行为等法律事实。[13]法律风险是指企业可能承担法律责任、权益被侵害或丧失、增加义务或负担等法律上的不利后果。
在两个基本概念的基础上,又产生了两个下位概念:法律风险源具体表现是指法律风险源在企业经营管理活动中的具体表现形式。法律风险源诱发因素是指企业经营管理中存在的导致法律风险源具体表现的原因。
之所以创设这个两个下位概念,是出于法律风险防控工作实践的需要:其一,由于法律风险源的界定是一种抽象的法理描述,而法律风险防控的实践牵涉企业各个业务部门,结果必然造成理解上障碍,从而失去基础理论应有的指导功能。故而以具体行为表现的形式直观描述,更有利于理解;另外一个原因在于,法律风险源高度抽象的描述抹杀了实际工作中本质上属于一类法律行为,但形式却各有不同诸多行为之间的差异性,并且与这些具有差异的具体行为相对应的各类措施也有所不同;[14]其二,法律风险源固然从本质上揭示了此类行为的法律特征,但这些行为已经是一种事实状态,从企业管理的角度更需关注的是造成此类行为发生或产生的原因。[15]而探究这些原因并通过各种方式有效的防止、遏制、消除这些原因发生的可能性,才毋宁是管理上最本质的需要,也是法律风险防控实践的关键所在。
运用上述四个相互关联的一组概念分析企业经营管理活动存在的法律风险,称之为法律风险源分析,它包括法律风险源、法律风险源具体表现、法律风险源诱发因素、法律风险四项内容。
以企业作为主体之权利义务状态的变化为分析问题的着眼点,以法律行为作为联系法律权利义务与企业管理行为以及由此产生相应后果的介质,运用实证分析与逻辑推理结合的方式,在借鉴早期成果的基础上形成了法律风险源、法律风险两个核心概念以及由法律风险源衍生的法律风险源具体表现、法律风险诱发因素两个重要概念,藉此回答了有关法律风险防控实践的范畴、标准、基础理论等关键问题,四者相互联系紧密结合形成了一套概念清晰、逻辑缜密的法律风险概念体系,并由此产生了一套分析问题的基本模式——这便是我们有关法律风险的方法论。
1.2.2概念的涵义及相互关系。法律风险源描述的是一组法律事实,[16]分为三类,第一类是就主体义务的履行而言,第二类是就主体权利运行而言,第三类是就法律技巧而言:
所谓不履行义务是指主体对其义务不予履行,不适当履行义务是指主体履行义务不符合法律规定或约定,此以合同领域表现最为显著。合同上的适当履行是指当事人按照合同规定的标的及其质量、数量,有适当的主体在适当的履行期限,履行地点,以适当的履行方式,全面完成合同义务,其要求履行主体适当、履行标的适当、履行期限适当、履行方式适当等,[17]违反其则构成合同履行的不适当。
所谓未依法是指没有按照法律的规定,因为权利本身就是法律规定的产物。
所谓取得、行使、保护权利是指权利取得的缘由方式、行使方式及边界和权利保护的方式,而一切缘由、方式、边界的基础判断标准均为法律规定。须说明的是,在权利保护中,基于侵权行为而生之请求权的行使,在一定意义上也属于权利的行使,在修辞上与权利行使发生竞合,但实质上请求权之行使乃基础权利遭致侵害为回复其原初状态从而保护基础权利而生[18]的衍生性权利,亦称第二性权利,故而与基础权利相区分将之纳入权利保护的范畴实值必要;所谓充分,是指除了依照法律规定取得、行使保护权利外,取得、行使以及保护权利的方式(成本)及由此带来的后果(利益)为法律规定之极限并符合企业利益最大化原则,显然这里有明显的主体价值判断的立场。
所谓缺乏法律技巧并无精确的概念,但其实质是行为的实施并非法律的强制性规定,但依据法律知识实施该行为后,在应然层面必然更有利于维护企业利益然而却未予实施的事实。比如合同中可以约定担保而未约定,在诉讼种可以采取诉讼保全而未采取等。
法律风险描述的是可能承担的三类法律上的不利后果:所谓法律责任是指由特定法律事实引起的对损害予以补偿、强制履行或接受惩罚的特殊义务,亦即因违反第一性义务而引起的第二性义务。其类型大致有民事法律责任、行政法律责任、刑事法律责任。
需要说明的是,在一般的责任理论中,除了此三类外,还有违宪责任,[19]就法律风险语境而言,企业几无可能成为违宪责任的承担主体。法律责任与不履行或不适当类型义务对应;权益被侵害或丧失是指遭致他方侵权或主体自身权利灭失,与未依法充分行使、保护权利对应;增加义务或负担是指法定义务的增加或非义务性负担增加,前者与未依法充分取得权利对应,后者与缺乏法律技巧对应。
另须说明的是概念中可能的具体涵义,就承担法律不利后果而言,此可能性有两个层面涵义:其一是作为法律风险源具体表现的那些企业经营管理活动中的具体行为发生的可能性,此为一般风险管理理论中发生概率的问题;其二,由于法律风险源与法律风险之间是一种法理应然层面的逻辑因果关系,违反义务必然导致责任,但就实然而言并非如此,比如企业违约在合同相对人不追究的情形下并不会承担违约责任。
关于将法律风险界定为“可能承担的不利后果”而非“不利后果的可能”需要说明:一般的风险理论将风险定义为未来不确定性对目标的影响。[20]藉此有人认为风险就是一种可能性。笔者认为法律风险关注的根本点在于企业权利义务状态变化给企业利益带来的变化,本质上关注的是不利后果带来的利益减损,而非不利后果发生可能性。当然,可能性是关注的因素之一,但不是根本点,从本质上说可能性是风险的属性之一,但不能说风险就是可能性,否则会产生风险理论自身的逻辑矛盾,也不符合认识规律。原因在于:在风险评价理论中,用风险发生概率和影响度来判断风险大小,[21]这个两分法本身隐含着风险是可能性后果的逻辑——风险发生概率本身则表明了风险发生的可能性,风险影响表征了发生后果的影响度,两者运算的结果就是风险的大小,而最终关注的恰恰是风险的大小,可能性只是判断大小的一个因素。
法律风险源具体表现即是指那些在企业经营管理活动中由各个业务人员实施的代表企业的具体工作行为,这些行为在本质上是能发生法律效果——抽象意义上的法律行为。法律风险源与法律风险源具体表现是抽象与具体的关系,是同一法律本质不同层面观察的结果。如未按约定履行合同或未适当履行合同即是抽象层面,而未按约定的时间、金额支付价款以及逾期交付、提取标的物等则是此抽象法律风险源的具体表现,它就是企业经营管理活动中存在的实际行为。查找法律风险源具体表现,以法律规定为依据,以业务活动为观察对象,结合已发案件成因分析,梳理各类业务种可能存在的法律风险源具体表现。法律风险源诱发因素是指企业管理中存在的导致法律风险源的具体原因,逻辑上可从主客观两个方面查找,但关注的重点首先应在现有工作模式、制度及各业务部门配合度等客观因素诸方面,只有在特定情形主观才是主要因素。
注:其中A与B是经验意义上的因果关系,A是B的必要条件;B与B1、B2等是抽象与具体的关系,B包含B1、B2等;B与C在应然层面是逻辑上的因果关系,B是C的充分条件。
1.3风险评价及其标准。
1.3.1一般风险理论的评价方法。对风险的分析和评分主要从两个方面进行:一是风险发生的可能性;一是风险发生的影响。
分析的步骤为:根据资料分析和沟通的结果分别对风险发生的可能性和风险发生的影响开展定性或定量分析;按照风险评估标准的使用方法选择风险评估标准;根据风险评估标准和定性/定量分析的结论,对该风险源发生的可能性和影响进行评分;所有风险的可能性分值和影响分值的乘积,就是该风险的得分。必要时需要界定不同风险源占该风险的权重,最后得出该风险的分值。
对数值大小的运算有两种基本的方法:定性与定量。一般来说定性用于风险不适于量化、定量分析需要的数据无法充分、可靠获取、数据分析不符合成本效益原则的情形,一般有专家访谈小组讨论等;定量则用于所需数据能够准确、充分的获取,通过精确的数学计算完成。[22]
1.3.2关于法律风险评价标准的修正及补充。法律风险中所谓的风险等级,实际上是风险源具体表现的等级。借鉴deloitte的方法,可从两个角度考虑:其一,发生的概率(可以已案件为依据,即以已发生的案件是由什么法律风险源造成的,对其进行数理统计)。对于无法对应的情况,即某些法律风险源并没有与之对应的实际案例,此种情形只能依靠定性分析得出数值;其二,影响度,可以考虑两个维度:A、造成的经济损失B、社会影响(对公司声誉的影响)。
在已有的理论中,关于可能性分值(即通过发生概率换算而来的分值)的计算,笔者以为可做修正以提高分值区分度(区分度愈明显风险分值的差异大,风险分值差异愈大,则愈易区分风险大小利于更有效配置管理资源)。修正运算过程如下:
设纠纷总数T,因某一风险源引起的纠纷数Ts;则其发生率R=Ts/T,理论上R值区间为(0,1)。具体统计数据出来,比如最低为0.02,最高为0.65.,依照风险评价一般理论则以此数据为此闭区间的两个端点,分为5个等级,分值依次为1~5间的整数,然后对应打分。
为精确起见,可进行修正,还以上述数据为例,R值区间[002,0.65]则修正系数为1/0.65,为表述方便,设此值为p,则修正区间[0.02p,0.65p]每一个风险源具体表现的发生概率的最终分值为5*Rp。这样便得出每一概率数值对应的准确概率分值。
2.第二部分,法律风险防控体系
2.1法律风险防控体系的架构及功能。
2.1.1法律风险防控工作的必要性及体系建设的思路。《纲要》中从四个层面论述法律风险防控工作的必要性:一是法律环境成为企业发展的重要环境因素,构建法律法律风险防控机制事关企业长治久安;二是集团公司是法律风险相对较高的企业,法律风险防控能力已成为企业竞争力的重要体现;三是依法治企是贯彻国家意志,塑造现代企业文明的重要标志之一,法律风险防控是履行企业经济责任、政治责任和社会责任的基本保障;四是已经进行的法律风险防控建设成效显著有待深化、完善。[23]
法律风险基础理论解决了认识论的问题,但抽象的理论并不能直接防控企业经营管理活动所牵涉的法律风险。如何根据这套理论建设一套全面、统一并同企业各部门业务紧密相关,易于业务人员理解、操作、执行的标准化、制度化工作模式,从而最优的配置管理资源,有效防控法律风险,则是一个亟待解决的实践问题。这就是要建设的法律风险防控体系,它是基础理论的实际应用并系统工程化,从而成为企业的免疫系统。建设法律风险防控体系面临着两个基础问题:体系建设的思路及架构,而这两个基本问题又会细化若干具体问题:其一法律风险防控体系建设如何与企业其他业务相结合,其二风险应对措施(从实际工作层面看也是最重要的)的类型、属性、制定的原则、与企业现有制度的关系以及引发个部门权责状态可能产生的矛盾;其三体系的展示形式。
在早期的实践中,法律工作人员凭借经验与智慧形成了事前防范、事中控制、事后补救的法律风险防控的工作模式,根据这种模式,建立起了风险识别、风险评析、风险防范、风险处理的工作体系,部分中国石油天气集团公司、股份公司下属的地区企业按此建立了法律风险防控体系,并形成了手册及流程,在实践中发挥了不可替代的积极作用。正是在早期法律风险防控体系建设的基础上,形成了现有的工作思路:依照部门业务的大致类型,参考《纲要》若干具体分类,将整个体系涉及的内容划分为资源权属、安全环保、交易管理、企业设立及运作、劳动关系、知识产权、财税管理以及内部基础管理八个领域。在每个领域内依照前述基础概念,查找梳理法律风险源并判断其法律风险,探究风险源诱发因素,寻找管理漏洞,制定应对措施;应对措施要纳入现有的业务流程中,从而实现风险防控与业务流程的有机结合;流程则以现有内控流程为基础,进行必要的修改或增加;展现形式则借鉴以往工作成果,借鉴内控体系,表现为法律风险防控文档和将风险源及应对措施标注于其中的流程图。
需要说明的是,领域的划分是体系建设中的难点之一。作为法律专业人员,研究者始终面临着两难境地:一方面过分的考虑法律抽象本质,则于实际业务关注不足,而法律风险防控体系的基本功能是指导、改进加强现有业务的管理;另一方面,一味的强调与实际工作的联系,则必然于法律本质层面考虑不足,打乱体系应有的内在联系,也无法体现体系的特点,甚至可能在法律风险源查找梳理方面存在漏洞。正是在这样的两难境地中,研究者最终选择了相对折中的方案——领域的划分首先考虑实际业务的内容,其次则考虑法律关系的性质,最后兼顾业务部门职责划分现状,实际上此为准实用主义价值立场。
2.1.2措施属性的涵义及防控文档的模板设计。在早期的法律风险防控实践中,一般通过调查研究,经过分析、归纳,按照“事前预防、事中控制、事后补救”的基本思路采取措施,对每个风险点,按照风险识别、风险评析、风险防范以及风险处理四个环节进行应对。早期模式的有关概念其涵义大致为:风险识别是指对行为的描述及性质的判断;风险评析是依据法律规定对行为引发的法律后果进行简要分析,一般都会援引相关法条;风险防范与风险处理均对措施而言,防范即是就“事前预防”而言,处理是就“事中控制”与“事后补救”而言。借鉴这套分析问题的模式,形成了文章第一部分依据统一概念分析法律风险的“法律风险源分析”;风险防范与风险处理以及事前防范、事中控制、事后补救的模式又提供了风险应对措施大致类型的参考标准。
惟须注意的是,依靠经验形成的“事前防范、事中控制、事后补救”的三分法在概念上缺乏一致性:简单的说所谓事前乃就行为发生之前而言,事中是就行为已经发生尚未结束而言,而事后则是针对行为后果的而言,[24]即事前与事中之“事”乃就行为而言,事后之“事”则是针对后果而言。这里的问题在于,虽然从修辞及经验层面上将应对措施进行了防范、控制以及补救的区分(甚至事实上早期成果的表述中,措施并没有分为这三类,这三类的分法是观念层面的),然就其属性、本质及涵义并没有清晰的表述;不过此三分法的思路有借鉴意义。
法律风险源是法律行为,法律风险是可能承担的法律不利后果,将这两个逻辑上因果关系的概念放入某一事件的过程观察,则产生两个点,即行为的发生点以及不利后果的产生点,这两点将整个过程分为三段。从逻辑层面考虑,某一法律风险源具体表现(即企业实际存在的某一具体业务行为)发生,从而引发相应的不利法律后果,而我们的目标是防范或者消除不利后果的发生,则首先考虑的是不让此后果产生的原因发生,也即避免某一法律风险具体表现这种行为的发生,它具有预防的性质;其次当此行为发生,但相应不利后果尚未发生,则考虑采取某种应对措施避免不利后果的发生,它具有控制的性质;最后,当不利后果发生则考虑是否可以采取手段减轻不利后果的实际损害,它具有补救的性质。这种三分法的逻辑思路,只少从逻辑上完整的考虑了防控法律风险可能采取地一切属性的措施,形成了措施配置的梯次分布状态,从而形成有效的防御阵地。正是基于这样的思路,产生了关于措施的一组概念:
防范措施是指法律风险源发生或产生之前,采取的避免法律风险源发生或产生的措施;控制措施是指法律风险源已经发生或产生,但尚未产生不利后果时,采取的控制不利后果发生的措施;补救措施是指实际不利后果发生之后,采取的消除或减轻实际不利后果的措施。
这种措施属性的分类及其概念,[25]事实上也隐含着措施本身的分布规律:对于一般情形即风险源具体表现尚未发生,发生后其行为呈持续状态且实际法律不利后果以持续一定时间为必要的情形,三种属性的措施均存在;对于风险源具体表现尚未发生,行为为非持续状态即行为的发生与不利后果的发生系于同时,则只有防范和补救措施;对于基于历史原因(此类以土地遗留问题之表现最为显著)风险源具体表现已经发生,且发生后其行为呈持续状态的,则只有控制和补救种措施。当然,这种措施属性的区分在逻辑上是极清晰的,但在实际中有时界限未必十分明显,甚至可能一个实际的应对行为兼有两种属性,这并不矛盾。之所以如此区分,是逻辑完整的需要,也即至少在考虑措施的制定时,要从这三个层面依次进行,惟此方可能完善,至于实际的应对行为其根本目的在于防控风险,其究为何种属性非为关键。以上论述,通过对措施功能的观察,可以得出这样的结论:关键在防、重点在控、必要在补。措施解决的是行为问题,与之紧密相联的则是主体问题。因此,在措施中设定了责任部门。
有了前述有关核心问题的基本认识,借鉴内控RCD文档,最终形成了法律风险防范控制文档:文档以EXECL表格的为展现形式,嵌入一系列相互依存的概念,概念之间依照彼此间逻辑关系排列。
责任部门是指组织落实各项措施的主要负责部门,通常为该项业务主管部门。一般情况下,一项措施只有一个责任部门,其他相关部门作为协作部门在措施内容中列明;[26]措施内容是指防控措施的规范要求及流程;实施证据是指记载或证明防控措施已经落实的各类表单、文件等资料,是判断和测试法律风险防控体系实施情况的主要依据之一;法律依据是分析法律风险源、制定防控措施所依据的法律法规,体系文件针对法律风险源具体表现及其防控措施,列明相关法律法规的主要条文。
2.1.3法律风险防控体系的目标及功能。依照《纲要》,结合企业实际,法律风险防控体系建设的目标是:在公司各经营管理领域实现法律风险防控流程化、体系化,形成对法律环境变化应对迅速、应对机制健全,避免损害效果显著的法律风险防控机制。
就实质而言,体系中关于业务行为的要求及规范为企业管理制度,甚至可以说这些要求及规范就是一系列单项制度的有机结合。因此法律风险防控体系有指引、预测以及评价三项基本功能。所谓指引是指它在某种程度上成为业务上的指南从而指引具体业务人员;所谓预测是指业务人员可在一定程度上来预测自己行为可能产生的后果;所谓评价是指可以用体系中关于业务行为的要求及规范来评判业务人员履行职责的标准之一。
2.2法律风险防控体系手册(文档分册)的内容。
体系手册涉及八个业务领域,简述如下:
资源权属管理领域,包括土地使用权、探矿权和采矿权、水资源利用三部分内容。土地使用权,按照土地使用权取得、利用、处分的逻辑顺序,归纳了5个法律风险源。其中,1.5.3“部分土地权属不清……”属历史遗留问题,在风险源表述和防控措施,有别于其他风险源。探矿权、采矿权和水资源利用,按照权利取得、利用、保护的逻辑顺序,分别归纳了3个和5个法律风险源。其中,“探矿权和采矿权”的内容,主要涉及油气田企业。
安全环保领域,包括安全和环保两部分内容。安全管理,按照机构及人员配置、人员素质、安全设施、安全合同、安全事故处理的逻辑顺序,归纳了7个风险源。其中,2.6关于单位主要负责人的职责问题,需要给予重视。环保管理,按照环评、环保设施、非法排污、污染事故的逻辑顺序,归纳了5个风险源。其中,2.12“环境主管机关未依法行政”这一风险源,着眼点是企业未对这些行为采取有效应对手段,手册中的表述是为了通俗易懂。
交易管理领域,包括招投标管理、合同管理和资产处置三部分内容。招投标管理,3.1-3.3是就我方为招标人而言,按照招标项目范围、招标文件、招标程序的顺序归纳的3个风险源。3.4是就我方为投标人而言,列举了2个具体表现。合同管理,按照合同签订、合同履行、合同变更及解除、违约救济的逻辑顺序,归纳了7个风险源。资产处置,列举了“处置权利瑕疵的资产”和“未依法处置废旧物资”两个风险源。资产处置实际也属于合同行为,单列出来是因为这里涉及到物权、诉讼及行政监管等其他法律关系。
企业设立及运作领域,内容较为复杂,需要引起大家足够重视。这部分包括行政许可及工商登记、合资合作、企业改制、资本市场四部分内容。行政许可和工商登记,是针对所属单位和法人分支机构而言,归纳了3个风险源。合资合作,是就参控股企业而言,包括出资、股权取得、股权行使三部分内容,归纳了5个风险源。企业改制,包括国有资产评估转让及企业合并分立注销程序二部分内容,归纳了4个风险源。资本市场,重点归纳了“未依法进行信息披漏”这一风险源。
劳动关系管理领域,以《劳动合同法》为主线,主要包括员工招聘、劳动合同签订、劳动合同履行、劳动合同变更、劳动合同解除五部分内容,共归纳了8个风险源。其中,5.1关于企业规章制度、5.4关于劳务派遣、5.7关于工伤事故认定的协助义务等内容,内容较为新颖,值得注意。
知识产权领域包括商标、专利、著作权和商业秘密四部分内容。商标管理,包括商标注册及续展、商标使用、商标侵权3部分内容,商标侵权中,6.3.1~6.3.3是结合他人侵犯我公司商标三种常见行为归纳的。专利管理,包括专利申请权约定、专利申请、专利引进、专利使用和专利侵权5部分内容。其中,专利引进与交易管理有交叉之处,单列出来是为了内容完整。著作权管理涉及内容不多,需要注意的是6.11.2关于软件和6113关于域名的内容。商业秘密包括对商业秘密未采取有效措施和他人侵犯我方商业秘密两个风险源。
财税管理领域,包括税收、应收帐款、发票、票据、单证五部分内容,共归纳了8个风险源。税收部分,包括财税凭证和税控装置、纳税纳税、纳税筹划3个风险源。应收帐款部分,归纳了清欠方面的1个风险源,同交易管理和内部基础管理有交叉。发票部分,归纳了在发票开具、索取、报帐方面的4个风险源具体表现。票据部分,包括票据遗失后的处理及接受伪造、变造或背书不连续票据3个风险源具体表现。单证部分,归纳了违规转让仓单、提单这1个风险源具体表现。
内部基础管理领域,包括印鉴管理、文书档案、法律文书处理三部分内容。印鉴管理,重点归纳了擅自对外用印的5种情形和未有效应对盗用公司印章两方面的内容。文书档案管理,主要是从重视证据的角度,包括信息形成及保管、对外出证方面的2个风险源。法律文书处理,归纳了未及时、正确处理法律文书这一风险源。
参考文献
[1]南方网:《中航油事件再击中国企业法律风险防范软肋》,下载链接:southcn.com/news/china/zgkx/200506140147.htm
[2]《指引》将风险大致分为战略风险、财务风险、市场风险、运营风险、法律风险等,此类划分虽然有一定的合理性,但细究则会发现,此种划分本身缺乏统一的标准。下载链接:sasac.gov.cn/gzjg/qygg/200606200105.htm
[3]项目总决策人为中国石油天然气集团公司总法律顾问郭进平,负责人为集团公司法律部副主任杨大新,执行负责人为法律部企业法律工作处副处长柳峰,日常负责人为华东销售公司企管处副处长阎紫峰,项目组成员有:大庆油田时世进、黄珍涛、长庆油田安小毅、刘欣、吉林石化尚宏武、兰州石化张旌、冀东油田薛青、大庆炼化孙晓龙,另有中介机构Deloitte、IDS、港大三家公司各两人
[4]吉林石化公司:《法律风险防控手册》,吉林,企业内部刊印资料,2006年,第1页
[5]长庆油田公司:《法律风险防范与控制体系》,西安,企业内部刊印资料,2005年,第1页
[6]长庆石油勘探局:《法律风险防范与控制体系》,西安,企业内部刊印资料,2006年,第8页
[7]下载链接:petrochina/sites/lad/xxgx-new/DocLib3/中国石油法律工作文件汇编(三)/中国石油法律工作文件汇编(三).doc
[8]关于法的本质,不同法学流派因观察向度的差异而有不同的界定,但“法是调整人的行为的社会规范”则是被普遍认同的
[9]所谓法律关系是指法所构建或调整的、以权利与义务为内容的社会关系
[10]张文显.《法理学》,北京,高等教育出版社,2007年版,第165页
[11][德]迪特尔·梅迪库斯.《德国民法总论》,邵建东译,北京,法律出版社,2001年版,第142~143页
[12]张文显.《法理学》,第150页
[13]本质上,法律风险源定义中所描述的这些取决于主体意志的行为乃法律行为
[14]如“未按合同约定的时间、金额支付价款”、“逾期交付、提取标的物”都属于未按约定履行合同的行为,在法律本质上是同一的,但在实际业务中的表现却是迥然相异的,若只用抽象的“未按约定履行合同”来描述,显然抹杀了两类具体行为间的差异性,更重要的是针对不同行为的不同应对措施的差异也将被抹杀
[15]还以“未按合同约定的时间、金额支付价款”为例,它本身描述的是一种事实状态,就法律实务工作来说,更需要关注的是造成此种状态的原因
[16]在中国石油天然气集团公司正式下发的体系手册中,将法律风险源中的三类情形界定为法律事实,其实这些取决与主体意志的行为更精确的表述应当是法律行为
[17]崔建远.《合同法》,北京,法律出版社,2003年版,第91页
[18]王泽鉴.《民法总论》,北京,中国政法大学出版社,2001年版,第92~94页
[19]关于法律责任的本质有多种理论,有影响的有三种:道义责任论、社会责任论、规范责任论。本研究采综合说,有关概念及分类的详细论述见张文显:《法理学》,第169~172
[20]《中央企业全面风险管理指引》第三条
[21]此为一般风险评价方法论,本研究引自德勤华永(deloitte)会计师事务所有限公司内部资料
[22]引自自德勤华永(deloitte)会计师事务所有限公司内部资料
[23]详细的论述见《中国石油天然气集团公司法律风险防控机制建设实施纲要》
[24]有人认为亦可理解为事后是对行为发生后言,形式看似乎可通,但此种说法存在逻辑矛盾,补救本身说明,是对消极后果的补救而非对发生后的行为的补救,因为发生的行为已属过去状态,实无补救可能,惟有后果尚存补救之余地——减轻乃或消除;还有将“事“理解为发生纠纷或者一项工作,总之至少在同一场景下就一个行为而言,这三个“事”的涵义也不尽相同
风险与风险管理概述范文篇2
论文摘要:现代风险导向审计以被审计单位的战略经营风险分析为导向进行审计。因此又被称为经营风险审计,或被称为风险基础战略系统审计。现代审计风险模型是应用现代风险导向审计理论指导审计实务的工具。本文在分析传统模型缺陷的基础上,论述了现代审计风险模型的发展与应用情况。
0引言
现代风险导向审计按照战略管理论和系统论,将由于企业的整体经营风险所带来的重大错报风险作为审计风险的一个重要构成要素进行评估,是评估审计风险观念、范围的扩大与延伸,是传统风险导向审计的继承和发展。在该理论的指导下,国际审计和鉴证准则委员会(IAASB)了一系列新的审计风险准则,对审计风险模型重新描述为:审计风险=重大错报风险×检查风险(IAASB,2003)。由此,我们可以将目前审计执业界普遍使用的审计风险模型称之为传统审计风险模型,而将新模型称之为现代审计风险模型。
1传统审计风险模型的缺陷
目前审计职业界普遍使用的审计风险模型是由美国注册会计师协会1983年提出的。该模型认为审计风险由固有风险、控制风险和检查风险三要素组成,对审计风险的计量为:
审计风险=固有风险×控制风险×检查风险
根据上式,在既定的审计风险下,检查风险可计算如下:
检查风险=审计风险/(固有风险×控制风险)
根据上述模型,审计主体在确定可接受的审计风险时,首先要评估固有风险、控制风险,在此基础上推算可接受的检查风险。该审计风险模型存在如下缺陷:
1.1只定性分析审计风险该审计风险模型只是定性地分析了客观存在的风险。该模型考虑的风险只考虑了有关审计风险控制的环节,并用公式来描述审计风险的概率,无法直观地进行定量分析,即计量审计风险给审计主体带来的损失金额的可能性。
1.2审计风险因素不全面该模型考虑的风险只与审计过程和审计顺序有关,即只从审计主体的审计检查方法和审计对象的经营、内部控制方面考虑审计风险因素,未充分考虑审计风险产生的其他主要原因,如报表使用者的诉讼请求因素、社会宏观法律环境因素等。
1.3无法描述道德风险审计案件中存在的一些问题并非完全是由于技术上或程序上的失误造成的,审计主体的日常行为和工作态度有时也会成为问题的症结所在。因此,人们除了关注审计技术和程序的发展外,亦开始关注审计主体的自身行为,由此产生了审计主体的道德问题。但是,传统的审计模型无法描述由于不道德行为所产生的风险,包括:企业与审计主体串通舞弊,出具不恰当的审计报告;审计主体接受贿赂;审计主体为了经济利益压低价格有损同业等。
1.4对审计风险的表述不完整随着审计风险含义的扩大,审计风险控制就不能只局限于审计过程和所审计的对象,必须把审计风险的控制放在一个系统中全面把握,还应考虑审计环境影响、人员因素及后果等。审计风险范围也应扩大为审计主体风险、会计师事务所风险和会计行业风险,还包括审计结论利用中产生的法律风险以及赔偿风险。
2现代审计风险模型的发展
现代审计风险模型在传统审计风险模型的基础上进行了改进,形式上有所简化,但审计风险的内涵和外延却扩大了。
2.1认定层次风险认定层次风险指交易类别、账户余额、披露和其他相关具体认定层次的风险,包括传统的固有风险和控制风险。认定层次的错报主要指经济交易的事项本身的性质和复杂程度发生的错报,企业管理当局由于本身的认识和技术水平造成的错报,以及企业管理当局局部和个别人员舞弊和造假造成的错报。
2.2会计报表整体层次风险会计报表整体层次风险主要指战略经营风险(简称战略风险)。把战略风险融入现代审计模型,可建立一个更全面的审计风险分析框架。
2.2.1从战略风险的定义来看:战略风险是审计风险的一个高层次构成要素,是会计报表整体不能反映企业经营实际情况的风险。这种风险源自于企业客观的经营风险或企业高层通同舞弊、虚构交易。传统审计风险模型解决的是企业的交易和事项在本身真实的基础上,怎样发现会计报表存在的错报,将审计重点放在各类交易和账户余额层次,而不从宏观层面考虑会计报表可能存在的重大错报风险,这很可能只发现企业小的错误,却忽略大的问题;现代审计风险模型解决的是企业经营过程中管理层通同舞弊、虚构交易或事项而导致会计报表存在错报怎样进行审计的问题。
2.2.2从审计战略来看:现代审计风险模型是在系统论和战略管理理论基础上的重大创新。从战略角度入手,通过经营环境—经营产品—经营模式—剩余风险分析的基本思路,可将会计报表错报风险从战略上与企业的经营环境、经营模式紧密联系起来,从而在源头上和宏观上分析和发现会计报表错报,把握审计风险。而将环境变量引入模型的同时,也将审计引入并创立了战略审计观。
2.2.3从审计的方法程序来看:现代审计风险模型注重运用分析性程序,既包括财务数据分析,也包括非财务数据的分析;且分析工具多样化,如战略分析、绩效分析等。例如毕马威国际(KPMG)为应用现代审计风险模型的理念与方法,研究制定了经营计量程序(BusinessMeasurementProcess,BMP),专门分析企业在复杂的市场环境和产业环境下的经营情况,以确定关键经营风险如何影响财务结果。BMP提供了一个审查影响财务信息和非财务信息流的分析框架。
2.2.4从审计的目标来看:现代审计是为了消除会计报表的重大错报,增强会计报表的可信性。为达到此目标,注册会计师应当假定会计报表整体是不可信的,从而引进全方位的职业怀疑态度,在审计过程中把质疑一一排除。而该模型充分体现了这种观念。
3现代审计风险模型的分析应用框架
3.1确定总体审计风险概率审计风险可按其发生的可能性大小分为基本确定、很可能、可能和极小可能。可能性一般按概率来进行表述,如极小可能的概率为大于0但小于或等于5%。
社会公众对注册会计师的期望值很高,独立审计存在的价值就在于消除会计报表的错误和不确定性;缩小或消除社会公众合理的期望差距。独立性原则的要旨是使注册会计师免于利益冲突,从而奠定正直与客观的执业基础,但独立性最终体现在注册会计师独立承担审计风险责任方面,因而降低审计风险是注册会计师的“灵魂”。审计风险就是审计失败的可能性,它只能控制在极小可能程度以下,用数学概率表示应不超过5%。
风险与风险管理概述范文篇3
关键词:风险管理;失败模式与影响分析;原料药合成;应用
中图分类号:R951文献标识码:A
2003年以来.美国食品药品监督管理局等药政管理部门相继提出了以风险管理为基础的药品质量管理概念。ICHQ9(风险管理)的正式确定了风险管理的概念,为药品企业进行风险管理提供了依据及指导。在药品的整个产品生产周期内,质量风险管理可以运用于药物质量的所有方面,包括研发、生产、储存和检查及递交评审过程。作为国内药品生产企业,要适应法规的新变化,对生产过程中的药品质量风险进行管理。文中通过对风险概念的理解、风险管理的常用工具以及如何应用等几个方面的问题进行探讨,并在原料药合成以期为药品生产企业的生产过程质量风险管理提供参考[1]。
1风险评估概述
即测定药品风险发生的概率及其损失程度。对风险识别所获取的风险因素、风险程度、风险性质等数据、运用概率论及数理统计等方法对风险进行描述、估计,为风险管理提供决策依据。
药品风险管理基本情况:药品风险管理是指在药品整个生命周期内,尽量减少药品使用风险,强化收益和风险之间的平衡。风险管理主要包括:风险评估,即判断和衡量风险;风险分类,即确定可接受的风险层级;风险抵御,即采取措施降低风险;风险沟通,即同各方面交流风险信息;风险管理评价,即对所采取的措施的有效性进行分析,以便将来改进[2]。
2风险管理的工具
风险管理的工具共有以下几种:失败模式与影响分析模式(FMEA);失败模式、影响和关键点分析(FMECA);过失树分析法(FMECA);危害源分析与关键控制点(HACCP);危险可操作性分析(HAZOP);事先危害分析(PHA);风险评级和过滤;支持性统计学分析工具。其中FMEA是最普通实用形式的风险分析方法[3]。
3失败模式影响分析模式(FMEA,FailureModeEffectsAnalysis)
FMEA工作中,最具挑战性的工作就是数据的收集,其包括产品及生产线上的技术数据、操作参数及有关生产线或设备失效发生的数据记录。
风险评估分为定量风险评估、定性风险评估及半定量/半定性风险评估,用0~100%之间数值描述风险发生概率或严重程度的方法称之为定量风险评估;采用高、中、低等来描述风险发生概率或严重程度的方法称之为定性风险评估:两者兼有的称之为半定量/半定性风险评估。
主要内容有:通过分析生产过程的各种潜在缺陷模式以判断其对产品可能的后果;降低风险的方法针对各种缺陷模式;FMEA依赖对生产过程的深入了解;FMEA通过解析生产过程,将复杂问题简单化;FMEA将缺陷、缺陷的原因和缺陷的后果联系起来。
4风险分析流程
4.1风险识别对药品生产的各环节中的关键点进行数据收集和分析,找出质量风险点,然后进行失败模式风险分析。
4.2风险分析应用FMEA分析,识别潜在的失败模式,对风险危害严重程度(S)、发生的概率(P)和发现的可能性(D)评分,将其相乘,计算便得到每个关键工序的风险优先数(即风险等级)RPN=P×S×D,即FMEA中每一条风险优先数(RPN),其数值愈大潜在问题愈严重,用来衡量可能的工艺缺陷,以便采取可能的预防措施减少关键的工艺变化,使工艺更加可靠。根据计算所得到的RPN分值大小排序,便得到了风险控制中的关键控制点。见表1。
4.3风险控制风险控制是指在风险损失出现时或出现后,采取相应措施减少风险损失发生的范围或风险损失程度的风险应对技术。风险控制不能降低风险事件发生的概率,只能降低风险损失的程度。
4.险降低确定所采取的整个行动,基于整改完成后情况再重新评估后计算RPN。
在采取了相应的改进措施后,再次对SPD进行重新评估后,整改后的RPN值降低了。即通过全面的过程失败模式影响分析后,针对关键风险控制点进行了相应的控制,从而降低了整个过程的质量风险。采取了最佳的质量风险策略,质量风险已经降低至可接受水平。
5风险评估实例
某原料药合成过程中有下列步骤作为关键步骤,需要对其作评估如下。
其主要工艺参数有:甲基磺酰氯投料量(a);三乙胺投料量(b);反应时间(c);反应温度(d);后处理纯化(e)。见表2。
根据上述风险评估,我们可以确定此工艺参数优先顺序为e>a>b,c,d,因此在采取措施后,主要对工艺参数e和a进行摸索。
经过实验并采取相应的的措施后,风险等级整体下降,已经到了可接受的范围,可以确定关键工艺参数为a与e,有针对性的采取措施重点关注。
6结语
药品风险管理是一项非常复杂的社会系统工程,从药品自身角度考虑,风险管理贯穿于药品的整个生命周期;从药品的外部环境考虑,涉及广泛使用人群,需要众多学科和相关使用单位的支持和配合以及生产经营企业的主动参与,涉及诸多监管环节,需要有效的监管和充足的资源支持[4]。
制药企业作为药品的供应者,要做到的不只是关心产品的销售和利润,还要关注企业与社会的协调发展,关注本企业研发生产的产品的安全性,在药品风险发生之前及时预防风险,在药品风险发生之后主动控制风险,降低损失覆盖面,切实有效地保护消费者的生命安全。
参考文献:
[1]杨完丽,郭从友.风险管理在药品生产中的应用[J].中国医药导报,2008,5(35):89-90.
[2]王明珠,李野.亚太地区药品风险管理概述[J].中国药事,2008,22(3):262-263.
