法律風險和合規風險同屬於風險領域,都是基於人為設置的規則而產生風險的範疇。前者是基於強制性的社會行為規則,後者是基於對各種規則的認知和遵從。
兩類風險的***同點:
首先,都是基於社會規則要求而產生。依據規則識別風險;依據規則處理問題,對於沒有強制力或違約責任或以鼓勵遵守為主的規則、準則、操守和僅有禁止性規定而無處罰措施的規定,可不視為風險,但在合規角度則屬於仍需處理的風險。
其次,發生具有隨機性。無論是產品責任事故還是業務人員的違規,法律風險和合規風險事件的發生均有隨機性。現實交易中違約情形並不少,但嚴格追究違約責任的占比並不多;企業經營中和各類違法行為如不依法支付加班費、虛假宣傳等等,但由於沒有投訴舉報等風險事件發生而不被產生風險,所以,違法行為是否追究也存在隨機性。另外,風險因素的多樣性;外部因素的不可控性;意外事件的不確定性,這些都難以預見,也就難以采取有效應對措施。
再次,風險後果難以確定。由於各種處罰有浮動區間,難以確定具體額度。
兩類風險的不同點:
首先,判斷依據不同。判定法律風險和合規風險都依據不同層級的法律對於主體、行為、責任方面的規定。但合規風險還需要依據規範性文件、行業規範和自律規則、公司內部規章制度以及行業普遍遵守的職業道德和行為準則。(部門規章類如:會計準則;行業規範類如:律師職業道德準則;內部規定類如:法官職業道德準則;倡導自律類如:各類倡議、自律公約等)。
其次,風險後果不同。違反法律法規以外的其他規則的合規風險後果,大多是被監管或紀律處分、通報批評、譴責或信譽聲譽損失。(政府規範性文件,違反會得不到許可、批準;行業內部規範等)。
再次,事件起因不同。法律風險事件的起因,是客觀發生的作為或不作為直接面臨現實的不利後果的某種不可控情形。其源於“外部執法”,包括公權力或利益相關方提出主張等。而合規風險事件,除上述情形之外,還有對各種外部和內部規則的違反。多屬於“自我執法”。
最後,主動程度不同。在法律風險以外的合規風險事件處理中,由於執行的力度不如法律,風險主體往往可以對最終後果有更多的主動權和影響力。
兩類風險的預見性不同:
風險的不確定性和應對成本決定了風險損害的無法根除,只是在某些領域接近可預見、可管理的範疇。風險事件的起因中自然原因、社會原因、關聯方原因這三種外部原因是難以控制的,只有自身的即決策、不當行為、疏忽等原因所導致的風險事件的發生屬於合規管理的重點。
預見風險難,即使預見到了還要考慮控制成本的平衡。在商務行為中,如果風險控制成本大於風險損失,壹般的選擇是放棄。只有提高預見的準確性,才能提高控制措施的有效性。
在眾多的企業敗訴案例中,出現概率最高的是並不復雜的低級錯誤,甚至有時只是由於合同欠缺幾個關鍵詞,或者不經意的行為導致敗訴。違法犯罪經營屬於鋌而走險,不屬於正常的法律風險應對措施。
總之,引起合規風險和法律風險的因素多種多樣,預見其概率、損害結果面臨諸多困難。綜合看,合規管理、法律風險管理均以風險主體的自身經常性行為為主要控制對象,使控制成本發揮出最大的效用。