中国移动法律风险管理体系建设的启示
作为一家年轻的国有大型企业,近年来中国移动获得了长足的发展,目前已经成为世界上网络规模、用户规模和市值最大的电信公司。在企业快速成长的过程中,公司领导始终把法律工作作为公司内部管理控制的一个重要环节,强调“依法决策、依法经营、依法维权”的必要性,要求企业法律工作为企业发展保驾护航。在这一思想的指导下,中国移动的法律工作以世界一流企业为标杆,坚持“创新”精神和“专业”精神,不断培育中国移动法律管理的核心竞争力,做了大量的探索和实践。其中,成效最为显著的是我们开展的法律风险管理体系建设项目。该项目是迄今为止中国移动在企业法律工作上投入最大的一个项目,是由中国移动的法务管理人员自主研发,同时集中企业内部法律顾问、外部律师、专家学者、专业风险服务机构等各方力量完成的一项重大的法律管理工程。
一、中国移动法律风险管理体系建设的背景和目的
首先,随着我国社会主义市场经济的不断发展和法制体系的逐步完善,市场竞争日趋激烈和复杂,作为市场经济主体的企业面临的各种风险也迅速增加。作为企业风险管理的主要组成部分,法律风险管理和控制对于企业的经营安全和可持续发展具有不可替代的作用。国务院国资委已经明确把法律风险列为企业面临的五大风险之一,要求中央企业适应国有资产监督管理体制改革和企业改革发展的迫切需要,加强企业法律风险防范机制建设,把建立法律风险管理体系作为当前企业法制建设和依法治企的一项十分重要、十分紧迫的工作任务来抓。
其次,2004年中国移动确定了“做世界一流企业,实现从优秀到卓越的新跨越”企业发展战略。实现新跨越战略目标,要求企业具备卓越的管理、决策和经营水平。能否合理、有效地控制企业在决策、经营过程中可能面临的法律风险,做到既依法决策、经营又能保证企业持续、快速发展,是衡量企业决策、经营水平的重要标准之一。建立中国移动法律风险管理体系,全面、系统、科学地识别、分析、控制法律风险,是中国移动提升决策、经营水平,实现新跨越战略的重要保证。
再次,中国移动作为一家大型国有控股电信企业,面临的法律环境十分复杂。一方面,企业受到国资委、行业主管机构、资本市场监管机构,以及近二十类公共行政监管机构的多重监管。另一方面,企业与各类价值链主体间存在着大量的民事法律关系。如与设备供应商、内容提供商、技术服务商、终端供应商等之间都存在着不同的合作关系。尤为重要的是,企业还与数以亿计的用户之间存在着电信服务合同关系。此外,新业务的快速发展和海外电信市场的拓展也给企业带来了诸多新的法律问题。面对如此错综复杂的法律环境,如果没有一套科学、有效的方法来对企业面临的法律风险进行系统的梳理和客观的评估,我们很难从宏观上准确把握企业的法律风险整体状况,也很难判断哪些风险对企业的影响更为重要,进而无法合理分配风险控制资源,有效防范风险发生。因此,建立法律风险管理体系,增强企业法律风险管理能力,是中国移动适应外部法律环境,保证企业经营安全的客观需要。
最后,中国移动的企业法律管理工作近年来虽然取得了一定的成绩和进展,但由于受限于传统的工作模式,整体工作水平仍有较大的提升空间。中国移动很早就提出了实现法律工作模式“四个转变”的目标,即由救济型向预防型转变、由参与型向参谋把关型转变、由封闭型向开放型转变、由事务型向管理型转变。但由于企业法律管理工作在机构、职责、
人员等方面,很难在短时间内有大幅度改变,如果仅依靠对传统法律工作内容和手段进行有限的调整,“四个转变”实现的难度非常大。在这种情况下,我们提出了建立法律风险管理体系的想法,希望能够找到一个新的突破口,推动中国移动法律管理工作模式的革新,提升法律管理工作的整体水平。
二、中国移动法律风险管理体系建设的内容和特点
(一)主要内容
法律风险管理体系是指企业在实现战略目标的过程中,为了合理、有效地控制企业面临的法律风险而建立的,由一系列制度、流程、活动构成的有机整体。法律风险管理体系建设的整体思路是:运用科学的工具和方法,全面客观地识别和分析企业所面临的法律风险,统筹制定风险控制措施,并根据措施要求建立或完善相关制度、流程。在控制措施落实完成后,对风险控制的实施情况进行总体评估,并根据评估结果对体系进行滚动更新。
在管理体系的设计上,中国移动的法律风险管理体系主要由三个模块构成,我们称之为ACE法律风险动态管理体系,即法律风险的分析(Analyze)、法律风险的控制(Control)和法律风险的控制实施评估(Evaluate)。其中,分析模块的功能是通过科学的方法对法律风险进行识别和测评,全面、系统地认识企业面临的法律风险;控制模块的功能是依据法律风险分析的结果,制定、实施合理的法律风险控制措施,实现对法律风险的有效控制;实施评估模块的功能是通过对控制实施的状况进行评估,实现对法律风险控制的改进和体系的更新。三个模块相互作用,循环往复,形成一个动态、闭环的管理体系。
(二)主要特点
1、风险识别的系统性。中国移动法律风险管理体系对企业法律风险的识别是结构化的识别、全方位的识别。通过对法律风险的准确分类,按照企业的内部管理职能和运作流程,全面梳理企业实际经营管理中可能面临的法律风险,改变了传统法律风险识别基本依靠企业法律顾问个人的能力和经验的状况,使法律风险的识别成为一项规范性工作。
2、风险分析的定量性。中国移动法律风险管理体系的一个突出亮点,是改变法律风险不可量化的观念,对所有识别出来的风险进行了量化测评,将具有不同法律性质、分散在不同领域和不同部门的法律风险,统一用可能性、损失度和风险期望值来衡量,从而使各种风险之间具有可比性,能够从管理角度区分出轻重缓急,使企业法律工作找到了从事后救济到事前防范的切入点。
3、风险控制的整体性。法律风险产生于企业具体的生产经营管理活动,对于法律风险的控制也必须落实到企业生产经营管理的第一线。中国移动法律风险管理体系把法律风险管理看成企业全体部门和员工工作的应有职责,风险管理不再完全依赖于企业法律部门,而是分散到所有的业务和管理部门。通过体系的实施,我们把过去似乎不可能实现的各个岗位、各个环节的法律风险管理控制责任明确起来,在纵向上将风险的防范和控制延伸到企业经营管理由始至终的各个环节,在横向上将风险防范和控制的职责落实到公司的各部门、各岗位,从而使法律风险的管理真正成为全面管理、全体管理、全过程管理。
4、体系运行的持续性。法律风险伴随着企业成立、发展、终结的整个周期,法律风险的管理和控制是一项长期性的工作,不可能一蹴而就。中国移动的法律风险管理体系是一个闭环的、动态的运行结构,它会根据内外部环境的变化和运行的周期,进行不断的调整和优化,保证风险体系始终适应企业发展的需要。
三、中国移动法律风险管理体系建设的方式和原则
(一)整体进程
中国移动法律风险管理体系建设大体可以分为三个阶段:1、准备阶段(2004年)。在该阶段,我们对中国移动面临的主要的法律问题进行了较为全面的梳理,并且深入研究了世界一流企业法律工作的最佳实践,为中国移动法律风险管理体系的构建奠定了良好的基础。2、理论体系的构建(2005年)。2005年中国移动正式启动了法律风险管理体系建设项目,集中企业内部法律顾问、外部律师、专家学者、专业风险服务机构等各方力量,历时6个月在深入研究企业全面风险管理理论的基础上,从法律风险定义入手,构建了由风险分析、风险控制、评估更新三大模块组成的法律风险管理体系。这是目前为止国内外企业界第一次系统地从企业管理角度来研究企业面临的法律问题,开创了企业法律风险管理的新篇章。3、实施和完善阶段(2005年至今)。在构建了企业法律风险管理体系的基础上,中国移动在集团总部率先进行法律风险管理体系的建设,将理论运用于实际,并在实践中不断发现问题和解决问题,2005年年底总部项目完成,获得了公司领导和公司内部业务部门的好评。2006年集团公司又选择了三个省做试点,探索在省级公司如何构建企业法律风险管理体系,在各方的共同努力下,试点取得圆满成功。2007年中国移动开始在全国有计划、分步骤地推广法律风险管理体系,共有9个省公司完成了法律风险体系的建设。
(二)具体做法
从具体操作来讲,我们将每个公司法律风险管理体系的建设分为三个阶段。第一阶段的主要工作是对法律风险进行识别、测评和分析并制定重大法律风险控制计划,第二阶段的主要工作是落实重大法律风险控制计划,第三阶段的主要工作是对风险控制计划的落实情况进行评估,并对体系进行滚动更新。其中,第一阶段的工作主要由法律部门通过项目运作的方式来开展,即由企业内部法律人员或由内部法律人员及外聘中介机构共同组成一个项目组,集中3到4个月的时间来完成相关工作。具体工作包括:首先采用调查问卷及访谈的方式收集风险基础信息,同时对企业以往发生的法律纠纷案例以及企业涉及的主要法律法规进行全面的梳理;然后利用法律风险识别方法对风险信息进行整理,形成法律风险清单;接下来利用法律风险测评方法,对法律风险清单中的风险进行量化测评,并进行排序、分级,确定重大法律风险;之后,根据企业实际需要从多维度对企业的法律风险状况进行分析;最后,是针对重大法律风险进行风险控制现状评估,并根据评估结果制定风险控制计划。法律风险管理体系建设第二阶段的工作主要由各业务部门来分别完成。即业务部门将重大风险控制计划中分配给本部门的控制措施列入本部门的年度工作计划,然后按计划完成相关工作,如制定或完善某项管理制度,改进某项业务流程等等。该阶段的工作周期较长,通常为一年左右。法律风险管理体系建设第三阶段的工作由法律部门完成,主要工作内容是收集各业务部门风险控制措施的完成情况,并进行评估,然后根据评估结果提出风险控制措施改进建议,并对风险清单内容及风险测评结果进行滚动调整,进入体系建设的下一周期运作。
(三)主要原则
中国移动在法律风险管理体系建设过程中坚持了全员性、实用性和长期性三个原则。首先,法律风险管理体系建设的一个重要目的是让各个部门和岗位能够对自身面临的法律风险有更清晰的认识,同时能够将风险管理的职责分解到各个部门和岗位。因此,我们在体系建设过程中,充分利用调研、访谈、培训、交流等手段,让所有和法律风险相关的领导和员工都能够参与到体系建设中来,实现风险管理的全员参与。其次,建立法律风险管理体系的根本目的在于提升法律管理工作水平和有效降低企业法律风险。因此,我们在体系建设过程中始终密切结合企业的生产经营活动,从实际需要出发,注重项目成果的操作性和实用性,而不过分追求理论性和完整性,以保证体系建设的实效。最后,法律风险是随着企业内外部环境不断变化的,需要长时期的跟踪和关注,风险的控制也不是一蹴而就的,需要循序渐进,逐步实现。因此,我们不是把体系建设当成一个一次性的项目,搞一阵风式的运动,而是作为一项长期性的工作来开展,定期对体系进行滚动更新,按计划逐步实现对风险的有效控制,真正实现风险防范的长效机制。
四、中国移动法律风险管理体系建设的成果和实效
(一)摸清了企业法律风险的总体情况
法律风险管理体系中风险分析模块的实施,使中国移动形成了较为完善的法律风险数据库。其中包含了风险名称、风险行为、测评结果、风险源、相关法规、案例、法律意见等数万项信息。通过对这些信息的统计分析,我们摸清了企业法律风险的总体情况。从风险的数量来看,中国移动涉及的法律风险远多于一般企业,平均每个公司涉及200余个法律风险、1000余个引发风险的行为。从风险的类型来看,中国移动面临的法律风险按照法律性质可以分为五类,分别是:违规风险、违约风险、侵权风险、怠于行使权利风险和行为不当风险。其中,违规类风险所占比例最高,其余依次为不当类、违约类、怠于行使权利类和侵权类。从风险的分布来看,中国移动的法律风险涉及领域常广,几乎涵盖了企业所有的业务/管理领域,但不同领域涉及的风险数量差异较大。其中,市场经营、网络建设/维护、增值业务经营、综合管理等领域涉及风险数量最多,约占风险总量的60%。从风险等级来看,中国移动的法律风险等级呈金字塔状分布,即高等级风险较少,低等级风险较多。从风险的损失度来看,中国移动的法律风险可能造成的财产损失较小,但给企业带来的负面影响较大。
此外,在体系建设过程中,我们还通过量化测评确定了中国移动的重大法律风险。根据测评结果,约70%的重大法律风险集中在市场经营、增值业务、网络建设和劳动用工管理四个领域。其中,市场经营领域内的法律风险主要集中在两个方面:一是由电信服务活动引发的违规、违约及侵权风险,二是由市场营销活动包括广告宣传、营销方案制定/实施以及资费套餐等引发的违规、侵权风险。增值业务领域内的法律风险主要集中在三个方面:一是经营资质违规风险,包括电信行业内和电信行业外的经营资质;二是由于业务内容引发的违规风险和知识产权侵权风险;三是由于SP的不规范操作带来的连带责任风险。网络建设领域内的法律风险主要集中在两个方面:一是在设备/服务采购过程中发生的招投标违规、合同文本不当、合同对方违约等风险,二是在基站建设过程中发生的违规风险、侵权风险等。劳动用工领域内的法律风险主要来自于新《劳动合同法》的颁布,集中在三个方面:
一是劳动派遣用工管理引发的违规风险和连带责任风险;二是由于劳动规章制度的制定程序、内容不符合法律规定引发的相应风险;三是劳动合同管理涉及的风险。
(二)完善了法律风险的控制制度/流程
通过实施法律风险管理体系中的风险控制模块,我们对重大法律风险的控制现状进行了一次科学系统的评估,全面细致地梳理了与法律风险相关的一批关键制度流程,如广告管理、营销方案管理、新业务管理、人力资源管理、工程建设管理等,发现了其中存在的主要问题和缺陷。根据这些评估结果,全国各省公司制定了600余项风险控制的具体措施。措施种类主要包括:(1)制定或完善相关管理制度,规范相关业务管理活动;(2)优化现有流程,增加部门内部或专业法律审查环节;(3)组织相关法律知识培训,提高员工法律风险意识及风险防范技巧;(4)明确相关岗位能力要求、完善相关技术手段、开展专项治理活动、调整相关岗位职能等。其中制度、流程类的风险控制措施比例最高,约占全部措施总量的近70%。通过这些控制措施的分配和实施,我们将法律风险控制的职责分解到风险发生的各个源头部门,并将风险的控制活动融入到企业具体的经营管理活动之中,真正实现了风险的事前防范。
此外,我们在体系建设过程中还密切结合企业的实际,针对较为重要的法律风险全国各省公司共提出了1000余项法律意见,编制了100余部法律风险防范手册,为业务部门提供了有效的支撑,进一步增强了企业的法律风险防范能力。
(三)形成了法律风险防范的长效机制
通过实施法律风险管理体系中的控制实施评估模块,真正实现了对企业法律风险的闭环管
理。首先,在风险控制措施实施过程中,法律部门会对业务部门的措施落实情况定期进行跟踪、指导和监督,提高措施落实的效率和质量;其次在控制措施落实周期结束后,法律部门会集中组织对措施落实情况的评估,全面掌握各项措施是否按时完成以及完成效果如何;再次,在评估工作结束后,法律部门会根据评估结果启动新一轮的风险识别、测评、分析等工作,对法律风险管理体系进行滚动更新。控制实施评估模块的实施使法律风险管理体系成为了一个可以循环运作的体系,并通过这种循环运作将各项法律风险管理活动组合固化成企业的一个基础管理流程,将法律风险管理工作从一次性的项目工作彻底转变为长期性的常规工作,进而真正形成了法律风险防范的长效机制。
(四)增强了全员的法律风险意识
一方面,法律风险管理体系的设计本身就考虑到了提升全员法律风险意识的功能。首先,我们将每个法律风险都细化到了若干个风险行为,即可能发引发法律风险的具体经营管理行为,并在描述上尽量不过多采用法律术语,争取让业务人员能够一看就懂;其次,我们在法律风险数据库中援引了大量的辅助法律信息,包括近300部法律的千余个法条和数百个实际发生的案例,进一步加深了业务人员对法律风险的理解;再次,我们将法律风险数据库中的每个风险和风险行为都根据企业的实际情况分解到了具体的业务部门甚至是岗位,让业务人员能够对号入座,更清楚的了解自己的工作中可能涉及的法律风险。
另一方面,我们在法律风险管理体系的实施过程中充分考虑了全员性的原则,让业务部门
在项目过程中参与了较多的工作,包括填写调查问卷、接受访谈、确认风险清单、参与风险测评以及提出风险控制措施等等。通过参与这些工作,业务部门人员对法律风险的内涵、成因以及后果等有了更为深入的理解,进一步提升了法律风险的防范意识。
(五)提高了企业的依法决策水平
首先,通过法律风险管理体系建设,企业第一次对自己面临的法律风险有了比较全面、系统的认识,也第一次通过量化指标衡量了不同法律风险对公司的影响程度,从而使企业在决策过程中可以更清楚知道可能会遇到什么样的法律风险以及可能会产生什么样的后果,避免了因为“不知道”而导致的决策错误。其次,通过法律风险管理体系建设,企业第一次全面掌握了法律风险的分布情况,明确了风险发生的环节和原因,使企业在决策过程中可以更准确的把握关注重点,提高决策的有效性。再次,通过法律风险管理体系建设,企业第一次明确了法律风险的控制策略,区别了创新型业务和成熟型业务的风险应对方式,使企业在决策过程中可以更合理的平衡风险控制与业务发展之间的关系,提高决策的科学性。
(六)提升了企业的法律管理工作水平
首先,法律风险管理体系建设全面展示了法律工作在企业经营管理中的作用,将以往大量隐性层面的法律工作提升到了显性层面,使公司领导和业务部门更加清楚的认识到了法律工作的价值,提升了法律工作的影响力。其次,法律风险管理体系建设推动了传统法律工作模式的转型。大量的风险识别、测评、分析工作以及制度化、流程化、长效化的风险控制措施,为法律工作由封闭型向开放型转变、参与型向参谋把关型转变、事后救济型向事前防范型转变以及事务型向管理型转变,奠定了坚实的基础,提供了有效的途径。再次,法律风险管理体系的建设,本身也是对常规法律工作的梳理和整合,对于合同管理、诉讼管理、重大项目支持、普法宣传发挥了强有力的支撑作用。最后,法律风险管理体系建设锻炼了法律专业队伍。法律风险体系建设项目的具体工作量非常大,对专业知识要求高,而且整个工作的沟通协调难度也比较大。法律人员通过深度参与项目既锻炼了专业能力,也锻炼了管理能力。
[VIP专享]中国 移动法律风险的启示
