第四节　法律风险与合规风险

法律风险与合规风险同属风险领域，既有风险的共同特点又因范畴不同而各具特色。前者是基于强制性的社会行为规则，后者是基于对各种规则的认知和遵从。

一、两类风险的共同点

法律风险与合规风险都属于风险领域，且又都是基于人为设置的规则而产生，因而存在许多共同点。

（一）基于人为规则产生

如果将风险划分为自然风险和社会风险，则法律风险与合规风险毫无疑问都属于社会风险，而且都是基于社会规则产生，因此也可合称为“规则风险”。

1.依据规则识别风险

法律风险和合规风险均基于规则要求而产生，因而依据规则判断风险是关键。其中，法律是内容最为广泛、最具强制力的规范。虽然各个部门规章对于合规风险的解释各有不同，但是合规风险的识别却都包括但不限于法律规则。也正因如此，法律以外其他规则的范围、适用性有时不甚清晰。

法律风险的识别，主要基于法律的强制性规定，尤其是需要承担行政责任、民事责任、刑事责任的法律规定。这些规定从上到下分为全国人民代表大会及其常委会法律、国务院行政法规、国务院部门规章、地方性法规、地方政府规章几个层级，同时又按其管辖的领域分为各行业的通用规则以及不同行业的特有规则等。

合规风险的识别依据包括但不限于法律风险的识别依据。即某些行为并不违反法律、无法律责任也只是没有法律风险，但有可能因违反其他规则而存在合规风险。这些法律以外的其他规则的范围虽有不同的规定或解释，但2006年银监发〔2006〕76号文件发布的《商业银行合规风险管理指引》第三条第一至三款最具代表性：

本指引所称法律、规则和准则，是指适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。

本指引所称合规，是指使商业银行的经营活动与法律、规则和准则相一致。

本指引所称合规风险，是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。

2.依据规则处理问题

对于法律风险或合规风险事件的处理，需要依据法律规则或其他规则进行，否则本身就构成新的法律风险或合规风险。至于某些法律规则存在的弹性过大、规定不明确等情形，则是技术问题而非原则问题。

在实际问题的处理方面，由于法律以外的其他规则很难有明确且得到法律支持的处罚规定，因而相对于法律规定而言，企业依据这些并无强制性的“经营规则、自律性组织的行业准则、行为守则和职业操守”等处理合规风险时，往往有更多的主动权和灵活性，甚至是随意性，只要其权利的行使和义务的承担不超出法律的框架。

有一个比较现实的问题，那些本身并没有强制力或违约责任只是以鼓励主动遵守为主的“经营规则、自律性组织的行业准则、行为守则和职业操守”，或者是那些法律上仅有禁止性规定而并无处罚措施的规定，从法律风险角度而言可以不视为重要风险，甚至不认为是法律风险，但在合规角度则属于仍需处理的风险，对于如何执行需要有一个探索过程。

（二）发生具有随机性

无论是产品责任事故还是业务人员的违规，法律风险事件与合规风险事件的发生均有随机性。在广义、宏观的层面上属于可预见的范围，但是否发生以及发生的具体时间、地点、事由，则完全与其他风险一样根本无法预见。所有风险管理的难点均在于此。

目前，人们已有许多方法可以预见风险，但仍旧存在预见的精确度问题。而且，还有防止风险损害发生的资源是否足够、防范措施的成本与收益如何平衡等问题。

在某些自然科学领域中，预见能力已明显提高。例如，人们对于天气变化的预测技术已经非常成熟，甚至可以比较精确地预报不同时间、不同城市在温度、风力、降水等方面的变化；利用成熟技术控制温度、压力、浓度等参数，可以有效阻止燃烧或爆炸的发生等。

但在社会科学领域中，由于许多事件的发生、发展取决于人的主观意志，影响的因素更多、更随机，往往比自然因素更加难以预测。

例如，现实交易中的违约情形并不少，但严格追究违约责任的占比不多。企业以谅解、协商甚至忽略的方式处理的情形远多于通过诉讼或仲裁解决，追究违约责任的成本固然是其中一个因素，但企业家的价值观也是很重要的因素。

违法行为的法律风险同样如此。企业经营中的各类违法行为，如未依法支付加班工资、带有虚假宣传的产品广告、未严格执行强制标准等情形时有发生，但由于没有投诉、举报、立案调查等风险事件发生，违法行为是否受到追究也存在着随机性。

1.风险因素的多样性

法律风险的要素只有主体、行为、环境三个，但每个要素可以细分出诸多要素，而且它们之间的相互作用并非简单的一一对应而是交叉影响，因此进行法律风险分析并不轻松。合规风险则完全可以用同样的思路分析。

以食品安全法律风险为例，根据《中华人民共和国食品安全法》（2018年，以下简称《食品安全法》）第三十三条的规定：

食品生产经营应当符合食品安全标准，并符合下列要求：

（一）具有与生产经营的食品品种、数量相适应的食品原料处理和食品加工、包装、贮存等场所，保持该场所环境整洁，并与有毒、有害场所以及其他污染源保持规定的距离；

（二）具有与生产经营的食品品种、数量相适应的生产经营设备或者设施，有相应的消毒、更衣、盥洗、采光、照明、通风、防腐、防尘、防蝇、防鼠、防虫、洗涤以及处理废水、存放垃圾和废弃物的设备或者设施；

（三）有专职或者兼职的食品安全专业技术人员、食品安全管理人员和保证食品安全的规章制度；

（四）具有合理的设备布局和工艺流程，防止待加工食品与直接入口食品、原料与成品交叉污染，避免食品接触有毒物、不洁物；

（五）餐具、饮具和盛放直接入口食品的容器，使用前应当洗净、消毒，炊具、用具用后应当洗净，保持清洁；

（六）贮存、运输和装卸食品的容器、工具和设备应当安全、无害，保持清洁，防止食品污染，并符合保证食品安全所需的温度、湿度等特殊要求，不得将食品与有毒、有害物品一同贮存、运输；

（七）直接入口的食品应当使用无毒、清洁的包装材料、餐具、饮具和容器；

（八）食品生产经营人员应当保持个人卫生，生产经营食品时，应当将手洗净，穿戴清洁的工作衣、帽等；销售无包装的直接入口食品时，应当使用无毒、清洁的容器、售货工具和设备；

（九）用水应当符合国家规定的生活饮用水卫生标准；

（十）使用的洗涤剂、消毒剂应当对人体安全、无害；

（十一）法律、法规规定的其他要求。

非食品生产经营者从事食品贮存、运输和装卸的，应当符合前款第六项的规定。

仅从以上条文上也可以了解到，食品生产各个环节有着复杂的法律上的安全性要求，而且每一要求还可细化出更多的要求，识别不易，控制不易，排除风险也并不容易。其中最后一项为“法律、法规规定的其他要求”，也更是容易让人不知所以。这些属于人们认知能力上受到的限制，无法准确识别或落实解决方案，也就难以应对。

2.外部因素的不可控性

风险可分为可控性、可管理风险和不可控性风险、不可管理风险，前者在一定程度上可以控制和管理，后者则不然。

有些风险确实可以控制甚至完全避免。例如买卖合同由卖家直接向第三人履行则排除了买方验收的法律风险、约定了明确的通知地址可避免无法通知的法律风险等，只是这类方法大多会带来新的法律风险。

还有一些风险因素，如外部法律风险因素，则是风险主体鞭长莫及、不可控制的因素。对于这类法律风险，至多可以采取有效应对措施以最大限度地减少风险损害，却无法或很难抑制风险事件的出现。

以知识产权侵权为例，一方只能尽力发现和及时制止其他方的侵权行为并排除其不良影响。但侵权行为是否会发生、侵权的程度及危害程度如何，并非单方努力可以实现，因而这种风险始终存在。

3.意外事件的不确定性

许多情况下，触发法律风险使之通过风险事件的形式造成损害的不仅仅是直接的违约或侵权问题，还有可能完全是意外事件。相对于外部因素引起的法律风险后果，意外事件引起的风险事件更加无法预测和控制，甚至无法事先采取应对措施以减少损失。

例如，油轮在海上的意外事故可能导致其无法按时、按量交付原油，而事故引起的油价波动又导致某些合同根本无法正常履行，并为签约方带来巨大的合同风险。在许多情况下，某些意外事件本身并没有导致十分严重的直接后果，但其连锁反应或人们的过度反应则会造成更大的损害，这同样是意外事件不确定性的一种形式。

因此，这两类风险均与随机性的主观决策密切相关，因而较难预见。而正是因为难以预见是否发生，也就难以采取有效措施。

（三）风险后果难以确定

在法律风险与合规风险之间，判定法律风险的后果相对容易。风险事件发生后，最大可能的法律风险后果是受到行政处罚或被追究民事责任。但在具体风险层面，因为涉及立法和司法上的具体问题，具体事件的法律后果有时同样难以直接确定。

由于立法对行政处罚、刑事处罚往往规定有浮动区间，因此往往难以确定具体额度。例如，《食品安全法》（2018年）第一百三十九条第一款前半段规定：“违反本法规定，认证机构出具虚假认证结论，由认证认可监督管理部门没收所收取的认证费用，并处认证费用五倍以上十倍以下罚款，认证费用不足一万元的，并处五万元以上十万元以下罚款。”即可以确定这些法定的倍数区间，但无法确定处罚的具体倍数。

而《民法典》（2021年）关于违约金调整的规定也带来了责任的不确定性，如：

第五百八十五条第一、二款当事人可以约定一方违约时应当根据违约情况向对方支付一定数额的违约金，也可以约定因违约产生的损失赔偿额的计算方法。

约定的违约金低于造成的损失的，人民法院或者仲裁机构可以根据当事人的请求予以增加；约定的违约金过分高于造成的损失的，人民法院或者仲裁机构可以根据当事人的请求予以适当减少。

但某些有明确的固定金额或固定比例的赔偿或处罚，则可以有明确的损失界限。例如《食品安全法》（2018年）第一百四十八条第二款第一句规定：“生产不符合食品安全标准的食品或者经营明知是不符合食品安全标准的食品，消费者除要求赔偿损失外，还可以向生产者或者经营者要求支付价款十倍或者损失三倍的赔偿金；增加赔偿的金额不足一千元的，为一千元。”

除此之外，如果民事行为同时涉及两种甚至两种以上的法律关系竞合时，诉讼可以从不同的角度、不同的法律依据展开并得到不同的判决结果。而某些民事诉讼中的损失金额，需要专业机构进行评估才能确定实际损失。所有这些实际情况，都加大了法律风险后果的不确定性，使之难以直接自行确定。

二、两类风险的不同点

虽然合规风险的主要部分是法律风险，但是合规管理与法律风险管理有着不同的视角和目标，因而对于同一事物也有可能作出不同的判断。

（一）判断依据不同

判定法律风险依据不同层级的法律对于主体、行为、责任方面的规定，判断合规风险的方法与此相仿，但涉及面广且情况更为复杂。

例如，中国证券监督管理委员会2020年3月20日修正的《证券公司和证券投资基金管理公司合规管理办法》（2020年）第二条第二、四款规定：

本办法所称合规，是指证券基金经营机构及其工作人员的经营管理和执业行为符合法律、法规、规章及规范性文件、行业规范和自律规则、公司内部规章制度，以及行业普遍遵守的职业道德和行为准则（以下统称法律法规和准则）。

……

本办法所称合规风险，是指因证券基金经营机构或其工作人员的经营管理或执业行为违反法律法规和准则而使证券基金经营机构被依法追究法律责任、采取监管措施、给予纪律处分、出现财产损失或商业信誉损失的风险。

因此，判断合规风险还需要依据“规范性文件、行业规范和自律规则、公司内部规章制度，以及行业普遍遵守的职业道德和行为准则”。这些规则的总量比法律规范要少，但其类型比较多样。

1.部门规章类

这类“准则”实为部门规章，其处罚措施或不利后果体现在其他法规中，甚至直接规定“按照相关规定追究”。

例如，2017年实施的由财政部颁布的《政府会计准则——基本准则》属于部门规章，其本身并未规定处罚措施。

而2011年起实施的由审计署颁布的《中华人民共和国国家审计准则》同样如此，但其第一百八十七条规定：“审计机关对审计人员违反法律法规和本准则的行为，应当按照相关规定追究其责任。”

2.行业规范类

这类规范不属于法律体系，而是各行业的自律性规范。但其内容涉及法律的可以依法追究责任，涉及行业内部规则的由行业协会处理。

例如，中华全国律师协会于2014年印发的《律师职业道德基本准则》，既涉及“保守在执业活动中知悉的国家机密、商业秘密和个人隐私”类如有违反则可能追究法律责任的部分，也包括“热爱律师职业，珍惜律师荣誉，树立正确的执业理念，不断提高专业素质和执业水平”等无处罚措施的倡导性内容。

3.内部规定类

这类准则其实是某个企业体系或行政体系的内部纪律，即使没有明确的处罚措施，也会按照企业管理规则处理。

例如，最高人民法院于2010年印发的《中华人民共和国法官职业道德基本准则》（2010年），仅在全国的法院系统内实施，按各类外部及内部规定处理。

4.倡导自律类

除此之外还有一些《倡议》《自律公约》之类的文件，大多属于倡议或自律性质，即无执行部门也无处罚措施，由响应或参与者自觉遵守。

（二）风险后果不同

法律风险，包括合规风险中的法律风险，判断其后果的依据是法律中的强制性规定，尤其是有明确民事责任、行政责任和刑事责任法律后果的相关规定，因而判断后果相对容易。而违背法律以外的其他规则的合规风险后果，大多是被监管或给予纪律处分、通报批评、谴责，或承担名誉、信誉、企业形象等方面的损失。需要根据不同情况判断。

1.政府规范性文件

这类文件不属于法律，甚至只是某地方政府主官部门的管理性文件，虽然效力层级低，但是与风险主体和行政主管部门的关系却最为直接。违反这些规定可能会导致无法顺利得到许可、批准，甚至受到相关法律处罚。

2.行业内部规范

这些行业内部规范，是指行业协会之类性质的社会团体所制定、对加入的成员有效的自律性规定。这些规范本身一般没有直接的惩罚性措施，但某些主张源自法律，违反这些规章可能会招致法律风险。

3.企业管理制度

这类规则分为上级公司的规章制度要求和本公司的规章制度要求。违反上级公司的管理要求会由上级公司予以处理，违反本公司的管理制度要求会由本公司处理。由于这些情形属于企业内部事务，不利后果并不限于制度中的明文规定，还可能有其他措施。

4.加入性自律规则

这类规则由加入方自行遵守，没有惩罚手段和强制性要求，只有道义上的责任，如果违反只有道义、形象上的损失。如《全国外汇市场自律机制自律公约》《“爱粮节粮从我做起”倡议书》等。

5.职业道德规范

职业道德、行为准则多是针对特定职业的从业人员，某些行业也有行为准则。这些职业道德、行为准则之类的规则中，有些与法律规定相关联，若有违反，则会产生不利的法律后果；还有一些则近乎倡议性质。

（三）事件起因不同

法律风险事件的起因，是客观发生的使作为或不作为直接面临现实的不利后果的某种不可控情形。其源于“外部执法”，包括公权力机关的查处及利益相关方提出权利主张等。

而合规风险事件，除上述情形之外，还有对各种外部规则及内部规则的违反。其可能源于内部合规部门的追查、政府部门的督促、社会组织的要求等，而且内部规则的执行多属于“自我执法”的范畴。

（四）主动程度不同

在法律风险事件面前，由于法律规定的客观存在，风险后果要由执法部门或审判部门决定，风险主体处于被动状态，除了运用证据、程序等规则外，对于不利法律后果的主动影响程度较弱。

而在法律风险以外的其他合规风险事件处理中，由于执行的力度不如法律，风险主体往往可以对最终后果有更多的主动权和影响力。甚至在执行自己制定的规章制度时，可以选择性地决定最终结果，或者自行修改规则。

三、两类风险的预见性问题

准确地预见风险事件是否会发生以及损害的程度，一直是风险防范领域孜孜以求的奋斗目标。但风险的不确定性和应对成本决定了风险损害的无法根除，只是在某些领域已经接近可预见、可管理的范畴。

（一）风险事件的可预见度

尽管现代科技对于自然灾害的风险预见已经有了长足的进展，但在法律风险预见方面的进展却并不明显。合规风险与此类似。因此有必要引入现代的信息化方法并加大跨学科的研究力度。

1.风险事件的类型

传统的风险事件划分方式，将风险事件起因大致分为自然现象、社会原因和意外事故三类，但从逻辑角度考虑可分为自然原因、社会原因、关联方原因、自身原因四类。

（1）自然原因

自然现象类的风险事件，是指因大自然现象引发的不可控制并直接引起各种风险损失的情形。例如，洪水冲垮桥梁导致运输合同无法按时履行等。

（2）社会原因

社会行为类的风险事件，是指各类非针对主体的社会行为所导致的风险。例如，政府法律的变更使得某些合同已经无法继续履行等。

（3）关联方原因

关联方原因，包括存在关联关系的个人或组织导致的与风险主体利益相关的风险事件的发生。例如，广告公司在设计广告时使用了侵权图片，导致广告主被追究责任。

（4）自身原因

主要是指由于自身的决策、不当行为、疏忽等原因所导致的风险事件的发生。例如，规章制度违法、交易违约等，属于合规管理的重点。

这四类原因中，前三种可视为外部原因。进一步细分，其中的自然、社会原因是无直接关联的外部原因，包括各类巧合等偶发的意外事件原因，如高速行驶的车辆上的坠落物引发意外事故等。关联方原因是与风险主体直接关联的行为，甚至是直接针对风险主体的行为，如关联方因追求更高利润而违约或恶意挑讼、故意侵权等。

2.预见风险事件的难点

对风险的预见，如果只是对行为后果分析，即基于对风险主体、行为和相关法律等规则规定，大致分析出行为的可能风险后果并不困难。例如，用思维导图、鱼骨图等，以逻辑推理等方法而非简单列举的方法，可以分析出可能存在的法律风险点甚至进一步分析出可能出现的风险事件。尤其是对高频率发生或已有发生的情形，几乎可以凭经验“想到”。

但这种“想到”式的预见的实际作用只是聊胜于无，而且无法应对诸多的“想不到”。例如，某房地产公司在出售商品房时，由于商品房的平面图与实际不符导致客户索赔。究其原因，居然是电脑软件版本存在问题，未能将电子文档图中的一条分隔线如实打印出来。

因此，问题不在于能否“想到”，而在于能够准确预见其发生，至少能够预见其发生的概率。而概率的得出，又有赖于信息的收集和大数据实证分析。由于基础数据的缺乏，准确预见极为困难。

（二）风险后果的可预见度

合规风险后果和法律风险后果的可预见度，其实是对具体风险事件处理结果的预见程度。以法律风险为例，法律包括法律关系、责任性质、责任范围、责任幅度等。在民事、行政、刑事三大法律风险中，均有法定的承担责任的方式、种类和幅度。[14]但事实上，只有少部分简单的诉讼事务能够准确预见到具体的法律后果。

1.责任性质的可预见度

相对而言，具体法律问题的法律关系、责任性质等相对容易判断，因为法律体系对法律责任的划分相对清晰，如违约责任、侵权责任等。如果风险事件涉及的法律问题情节简单、证据充分、规定明确，则不难预见其最终的责任，包括法律的适用、责任性质的确定和责任的认定等。

例如，典型合同中最为常见的是买卖合同，相关法律规定详细、明确。因此不难判定内容、过程简单的买卖合同诉讼的违约责任种类、幅度等。而那些情节复杂、涉及多重法律关系，或涉及法律界限不清、冲突的买卖合同，由于其责任定性甚至法律关系都存在着不确定性，哪怕是经验丰富的专业人士也难以预见。

例如，《民法典》（2021年）第五百九十五条规定：“买卖合同是出卖人转移标的物的所有权于买受人，买受人支付价款的合同。”同时，第七百七十条第一款又规定：“承揽合同是承揽人按照定作人的要求完成工作，交付工作成果，定作人支付报酬的合同。”

二者看似不易混淆，但实际操作中许多买卖合同带有承揽的性质，许多承揽合同更像是买卖合同。例如，在成衣制造行业，买方往往在对服装厂的样品提出具体的面料、款型等要求后下单，此时的合同既有买卖性质又有承揽性质，在实际处理中这两种不同的定性方式也是单独存在的。

2.责任幅度的可预见度

责任幅度的可预见度取决于证据事实与法律规定。某些法律规定有着明确的刚性界限，其责任后果甚至可以预见到具体的金额。而某些法律规范只是有了明确的下限和上限，责任后果无法精确到具体金额而只能是个幅度。还有一种法律规定只有定性而无定量要求，责任幅度难以精确预见。总体上，中国法律体系中，在赔偿金额上，仍旧大致存在着某种范围，不会像有限的惩罚性赔偿那样无法预测。

例如，《民法典》（2021年）第五百八十七条规定：“债务人履行债务的，定金应当抵作价款或者收回。给付定金的一方不履行债务或者履行债务不符合约定，致使不能实现合同目的的，无权请求返还定金；收受定金的一方不履行债务或者履行债务不符合约定，致使不能实现合同目的的，应当双倍返还定金。”即属于刚性、清晰的法律界限。

而《民法典》（2021年）第五百八十四条规定：“当事人一方不履行合同义务或者履行合同义务不符合约定，造成对方损失的，损失赔偿额应当相当于因违约所造成的损失，包括合同履行后可以获得的利益；但是，不得超过违约一方订立合同时预见到或者应当预见到的因违约可能造成的损失。”这只是一个大致的范围，其最终结果取决于证据及认定。

同时，由于目前既未明确实行判例法又难以及时通过各类司法解释弥补立法上的缺陷，以致对同样的或同类情节的案件会有不同的理解、不同甚至相反的处理结果，增加了判断确切法律风险的难度。这些使得法律风险责任性质、责任幅度很难预见，甚至使得预测本身也存在一定风险。

此外，法律执行方面的不确定性使得法律风险后果变得更加难以预见。甚至在某些案件中是否执法、如何执法，以及生效判决执行到何种程度均不确定，更加难以判定某一行为的法律风险实际后果。

（三）可预见性与控制成本的平衡

风险领域的成本与收益，是指为降低风险而支付的成本与因此而取得的收益之间的关系。如何在风险控制成本与收益之间平衡，是法律风险管理、合规管理中的另一难题，也是可预见性的真正问题所在。

1.风险预见与控制成本投入

所有的应对措施都需要投入资源，也就是付出控制成本。而资源永远是有限的，不可能无限投入。商务行为中，如果风险控制成本大于风险损失，一般的选择是放弃。只有提高预见的准确性，才能提高控制措施的有效性。

例如，货物运输途中的损失风险不难预见，并可以通过公路货物运输保险来应对。但这会增加运输成本，通常只对高价值货物采用。而通常的保险条款，均不赔偿因战争、敌对行为、军事行动、扣押、罢工、暴动、哄抢等情形引起的货物损失，因为这些行为连保险公司也难以预见。

此外，对车辆、人员被陨石击中的情形也有记录，但迄今为止未见人们采取措施，因为技术上暂难实现，成本上无法承受。可见，“万无一失”在实际操作中几乎是绝无可能。

2.高法律风险不等于高回报

投资领域有“高风险等于高收益”之说，但在法律领域并非如此。冒着巨大的商业风险投资在新领域，一旦成功确实可以有丰厚的利润，但前提是必须取得成功。而在法律风险领域，高法律风险往往意味着违法或处于法律的“灰色地带”。这类“高风险”，更容易因违法而非市场导致投资失败。

而且，违法、违约导致的刑事处罚、行政处罚、民事责任等都是在诉讼时效内可被追溯的法律风险。企业不仅有被追溯的风险，还有被处以违法所得一定倍数的罚款的可能，对于企业的可持续性发展尤其不利。

在众多企业败诉案例中，出现概率最高的是并不复杂的低级错误，甚至有时只是由于合同欠缺几个关键词，或者是合同履行、争议处理期间的不经意行为导致败诉。而有效的合规管理尤其是法律风险管理，可以帮助行为主体以合法有效的方式实现目标，降低风险损失并控制成本。违法经营属于铤而走险，不属于正常的法律风险应对措施。

总体上，引起合规风险和法律风险的因素多种多样，预见其发生概率、损害结果面临诸多困难。因此合规管理、法律风险管理均以风险主体的自身经常性行为为主要控制对象，使控制成本发挥出最大的效用。