合规管理和法律风险管理之间的区别【最新版】

合规管理和法律风险管理之间的区别

2018年颁布的《中央企业合规管理指引(试行)》(以下简称“《合规指引》”)，标志着国务院国资委从强调全面风险管理转变为强调合规管理。工作重心集中在央企对法律法规和规章制度的遵从性方面，以提高可操作性的方式促进管理措施的真正落实。此前，2006年颁布的《中央企业全面风险管理指引》(以下简称“《风险管理指引》”)一直是国务院国资委强调的重点。合规管理(compliance management)这一理念源自美国。在上世纪后半期，为了保护投资人利益，司法分支从量刑角度对企业管理行为提出了更高的要求。而在源于美国的金融风暴于2008年起席卷全球后，美国的政府部门对于企业的管理行为提出了更高的监管要求。那么，合规管理有哪些特征、与风险管理到底有何区别?01合规和法律风险的工作内容不同合规遵守的“规”基本可以分为4类:法律法规、监管政策与行业惯例、企业内部规章制度、企业普遍遵守的商业伦理，国有企业还有党法党规。法律风险按照国家标准的分类:法律环境变化风险、违规风险、违约风险、侵权风险、怠于行使权利的风险、行为不当的风险。合规和法律风险有交集的是法律法规，广泛意义上，监管的政策也可以纳入法律范畴。其他内容则没有关系，比如违反企业规章制度不是法律风险，而怠于行使权利、一般性的违约、行为不当等法律风险也不是合规风险，以行为不当的法律风险为例，如企业出现纠纷争议，如果在诉讼和仲裁两种方式中选择了不当选择了诉讼，结果因为

诉讼法律程序以公开审理为基础的原则，导致案件被公开，给企业声誉造成不利影响，这是法律风险，但与合规没有关系。在金融等行业，合规更是有特定工作内容，与法律工作界限明显，在欧美跨国公司，即使都对总法律顾问负责，但法律和合规仍然都是独立的工作线条。

02合规和法律风险的工作定位不同

合规管理的基本目标是遵循、符合企业内外的强制性规定和自愿性承诺，合规要求严格，对违规事件是零容忍，没有协商余地。正如合规国际标准中对合规风险的评价的说明，对合规风险进行程度等级的划分，并不意味着企业可以接受这些合规风险。而法律风险管理的主要目标是通过对各种法律风险的有效管控帮助企业实现战略和经营目标，法律风险的管理策略有避免、降低、转移和接受多种方式，企业采取何种管理策略需要在收益和风险之间权衡，最终服从于企业的战略目标。合规和法律风险的定位差异，表现在合规工作更多是管理的刚性要求，企业必须执行，对于合规义务本身是否合理，合规后果是否符合企业发展需要，并不是合规关注的重点，而法律风险则更多是业务支持性的功能，是否能给企业带来利益，是衡量法律风险管控效果的重要依据。从某种程度来说，法律风险管理是合规管理的高级阶段。

03事件和法律风险事件的责任后果不同

典型的合规工作，与外部监管机构密切相连，外部监管机构对合

规工作的内容、评价有直接的影响，从实际情况看，重大的合规事件基本来自具有严格外部监管的领域，比如金融、反垄断、环保、质量、出口管制、数据安全等等，违反这些法律和监管政策的后果非常明确具体，而且后果非常严重，除了经济责任以外，大量涉及行政和刑事责任，比如吊销营业执照、许可证、对高管个人责任的追究等，而法律风险管理侧重在商事活动，主要是依据普适性的法律规定，如民法总则、合同法等等，与合规相比，外部监管关联性比较弱，其后果主要是民商事责任，可以用钱来解决。从总体来看，法律风险范畴中的合规责任，比一般意义上的法律风险后果严重。

一内涵外延的区别

依据《合规指引》第二条规定，“本指引所称合规风险，是指中央企业及其员工因不合规行为，引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。”

而《风险管理指引》第三条“所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。”

因此，就合规风险与法律风险二者的法定概念而言，法律风险仅

是企业风险的一部分，可能包含纯粹风险和机会风险，而合规风险是从事件后果的角度做出的定义。二者在定义的基础逻辑上有所不同，故难以在现行法律基础上得出确定的比较结论。

由于《风险管理指引》并未对法律风险、法律风险管理作出更细化的概念界定，我们仅能从其识别范围、基本流程的规定上，作出进一步探析，以明确其区别。

二识别范围的区别

《合规指引》要求“中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。”即在合规风险识别上，应将企业及其员工的经营管理行为作为识别对象，法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求为识别依据。

《风险管理指引》将法律风险的识别分为“收集风险管理初始信息”和“风险评估”两个部分，并在信息搜集方面给出了部分指引:“在法律风险方面，企业应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例，并至少收集与本企业相关的以下信息:(一)国内外与本企业相关的政治、法律环境;(二)影响企业的新法律法规和政策;(三)员工道德操守的遵从性;(四)本企业签订的重大协议和有关贸易合同;(五)本企业发生重大法律纠纷案件的情

况;(六)企业和竞争对手的知识产权情况。”因此，初始信息搜集的范围即为法律风险的识别范围。

由以上的图示对比可以得知，在识别依据方面，合规管理的目标是使企业的经营管理行为符合内外规则的要求，而《风险管理指引》并未将企业内部规则，即章程与规章制度纳入法律风险管理的信息搜集范畴。

而在识别对象方面，《风险管理指引》要求的“员工道德操守的遵从性”和“竞争对手的知识产权情况”并不完全属于企业及其员工的经营管理行为。

综上所述，企业合规管理除要求企业经营管理行为符合外部规则外，还要求其符合外部行业准则，以及企业章程、规章制度等内部规则，因而在风险识别依据方面，较法律风险管理更为全面、完整。

三操作流程的区别

从《合规指引》第二条的定义来看，合规管理是一个分阶段实施且内容交织、循环往复的复杂过程，按通常的逻辑顺序依次为风险识别、风险应对、制度制定、合规培训、合规审查、责任追究、考核评价七个部分。