從SMS構建談公司法律風險防范

劉成慧，耿寶金

(1.山東航空股份有限公司，山東 濟南 250014;2.濟南市檢察院，山東 濟南 250002)

作為市場經濟重要主體的公司，在經營過程中會遇到很多風險，法律風險是形形色色的風險之一。我國正處于社會轉型時期，也是矛盾高發階段，市場法治環境和投資環境都有待提高，法律風險可以說是暗潮洶涌。若防范不善被風險擊中，將對公司的權益造成重大影響，嚴重了甚至讓公司資不抵債，導致破產。強調法律風險防范對保障公司運營的安全是必須的，探討降低法律風險，提高安全水平的有效思路是每個公司必須面對的課題，視安全為最高目標的航空公司的SMS建設，對法律風險防范有極大啟發意義。

一、SMS的含義

SMS即“安全管理體系”，源自國際航空運輸界，是通過對危險進行有效管理來保證運營安全的主動措施。SMS的含義為:“正式的、自上而下的、有條理的管理安全風險的做法，包括安全管理的系統的程序、措施和政策(如風險管理、安全政策、安全保證和安全促進)”，并以風險管理為核心。現代SMS管理理念起源于美國，經北美、歐洲和亞洲部分發達國家吸收和實踐，形成了一種完善的安全管理模式，是目前公認的最科學、最系統的安全管理思想。2008年4月29日，我國民航局飛標司下發咨詢通告《關于航空運營人安全管理體系的要求》，在全行業范圍推進SMS建設。

SMS注重風險管理，著力開展安全機制建設，確保持續的、可靠的運行安全。SMS認為安全是這樣一種狀態(the state):通過持續的風險識別(hazard identification)和風險管理(risk management)的過程，將對公司人員傷害或財產損失的風險降至并保持在可接受的水平或以下。雖然迄今SMS尚處于探索過程，世界上還沒有SMS的標準模板，但重視防范、保障安全的SMS的基本理念和思想不僅對航空運輸界有重要意義，對可能存在風險的各個領域的風險管理都有直接的借鑒和啟發作用。

在公司法律風險防范過程中，有必要探索建立規范、自律、主動、協作的安全管理體系，本文試圖對防范法律風險的SMS構建進行探討。下文所述的SMS界定為:運用系統的方法管理法律風險，通過科學地制定政策、目標，清楚地界定防范法律風險責任，鼓勵全員參與，實施風險管理，開展法律風險信息收集分析和風險防范教育，有效地配置資源，在滿足規章的基礎上，不斷提高防范法律風險水平的安全管理體系，其核心是風險管理，包括風險識別、風險分析和風險控制。

二、法律風險防范的必要性

法律風險(Legal risk)指由于作為或不作為與法律的規定存在差異，從而導致行為主體因此而承擔不利后果的可能性。公司只要運行，時時刻刻存在法律風險。風險的反義是“安全”，《辭海》將安全定義為:沒有風險;不受威脅;不出事故。但實際情況往往是:風險與利益同在，無風險則無利益，甚至風險愈大利益愈大，因此只能著眼于法律風險的防范。法律風險防范的必要性體現為且不限于如下幾方面:

(一)現實需要的緊迫性

據中國人民大學朱景文教授的《2011中國法律發展報告》顯示:“我國1978年到2010年民事一審案件收案數量由30萬件增長到609萬件;民事案件訴訟率由10萬人口31.5件增長到435.6件;合同案件由3232件增長到322.2萬件，所占比例由1%增長到53%;1978年家事案件所占比例最大，合同案件最小，2010年合同案件最大;合同案件增長996.1倍，權屬侵權案件增長31.6倍。”這表明我國公司合同以及侵權糾紛案件急速增加。究其原因，首先，社會經濟的快速發展，市場經濟的建立，民事活動急劇增多，合同的數目相應增多。第二，許多合同的質量有待提高，其模糊、不嚴謹的約定，往往給爭端埋下了禍根。第三，隨著普法教育的普及和深入，人們法律意識普遍提高，維權意識大大增加，在社會誠信水平不高的情況下，當事人很容易想到把爭端訴諸法律，導致“訴訟爆炸”。

不僅如此，未來我國的民商事活動有望繼續增長，如果不重視公司的法律風險防范制度建設，把防范關口前移，將來訴訟案件可能會繼續增加。在這種背景下，有必要采取新的防范法律風險、達到更高安全境界的辦法或模式，SMS在這種背景下應運而生。

(二)風險存在的必然性

風險是一種可能性，是不可能被完全杜絕的。無訴訟案件不等于安全，訴訟案件少不等于安全，風險是必然存在的，沒有絕對的安全。墨菲定律(Murphy＇s law)早就說過:“If anything can go wrong，itwill”.即有可能出錯，必定出錯。它在風險管理上的詮釋就是:只要發生風險的可能性存在，不管此種可能性多么小，多么的微不足道，它肯定會發生最壞的結果，而且發生在最不大可能發生的時刻、地點和人物之上。所以風險無處不在，無時不在，并且一旦風險造成了實際的危害，其法律后果可能是致命的。

因此，防為上，救次之，戒為下。防微杜漸，預防在先。隱患大于明火，防范勝于救災。事后控制不如事中控制，事中控制不如事前控制。“圣人不治已病治未病，不治已亂治未亂，此之謂也”，公司應在預防風險上下功夫，否則到了“病入膏肓”的地步時，已難以挽救。

(三)風險防范的效益性

風險防范是一本萬利的事情，防范是為了最終的安全。防范法律風險不僅能夠提高安全水平，而且能夠直接或間接增加公司效益，“安全出效益”是眾所周知的規律。一個成熟的公司，必然是在風險防范上下了大的力氣。盡量減少或降低風險程度，盡量避免打官司，才能有更多的精力做好公司的主業建設，為發展保好駕、護好航。

現實當中，由于風險防范無法量化，難以考核，不容易看到這方面的“政績”和“效益”，導致有的公司和責任人員不愿意下大力氣去防范，這是應當加以注意并設法避免的。

三、法律風險防范的幾種狀態與比較

不同的公司對法律風險防范的重視程度不同，采用的風險防范的技術也有區別，其防范風險的效果區別亦是明顯的。公司對待法律風險防范一般有如下幾種狀態:

(一)放任風險

也有學者稱這是風險防范的命運階段，在這種狀態下，可能有以下幾種情況:

1.公司沒有設立法務部門，員工對法律一無所知，沒有或不愿意、不重視采取任何風險防范措施，存有僥幸心理，不進行安全管理，自然是很可能導致發生風險，造成損失。許多小公司或者公司初創時期，常常存在這種情況。

2.公司設有法務部門，部分員工對法律略知一二或者一知半解，但是實際經驗不足，安全風險只憑自己的主觀想象得以確定和評估，并沒有重視遵循規章和工作程序。往往想當然地認為:原先一直就是這么做的，也從來沒有發生過什么問題。

3.風險雖然被確定和評估，但是沒有采取應對措施，亦未采取適當的糾正措施。比如，一些整改措施確實已經有文字記載，但只是為了應付檢查，后來并沒有真正的落實。

公司以上做法，放任了潛在的風險，“聽天由命，任憑命運擺布”，最終可能因對風險防范不力，導致這樣或者那樣的問題出現，甚至導致嚴重損失發生。

(二)關注主觀性風險

按照風險的產生與人的意識行為的關系，法律風險可分為客觀性風險和主觀性風險。客觀性風險，指風險責任是由法律法規、國際慣例規定的，通過人的主觀努力往往無法控制，比如在買賣合同中，法律規定貨物風險基于貨物的交付行為而轉移。而主觀性風險則是指因人為因素引起，同時能通過人為因素避免或控制的法律風險。

“To err is human”。人是會犯錯的，但是我們不能因此放任員工犯錯，否則將帶來更嚴重的后果。在這個階段，人們開始有意識地收集風險的種類、風險大小和級別，更多的注意力去關注人的因素。如果由于人為因素出現了差錯，那么風險可能隨之而來。

公司的決策層、管理層、執行層和操作層，每一個層級、部門，每一個員工都要對自己和別人犯過的錯誤、容易犯的錯誤心中有數。公司應專門盡可能地收集各種自己犯下的差錯、失誤，當然也應收集行業內別的公司犯下的差錯，從經驗中接受教訓，區別出哪些是陷阱和餡餅，并做到一定程度的信息共享。

一般來講，人為因素可能會出現以下一些情況:責任心不強，有意注意不夠;粗心大意，導致錯忘漏;業務不熟，規章不熟，法律法規掌握不精通;人員配合不夠，生理疲勞導致出錯。等等。對于差錯的歷史收集與分析，成了法律風險防范的重要事項。藉此可以教育員工增強法規意識、增強防“錯”意識，減少隨意性，提出“加強責任心、提升職業道德”，“跟著規章走、差錯不會有”等等安全口號和標語，許許多多的差錯就可以通過提高人的素質來避免。

本階段中形成了一些防護機制，如:技術、培訓和規章—包含各種程序。員工的技術水平有了大的提高;意識到培訓的好處，自覺地去增加員工的培訓;大量的規章制度被制定出來，結合經驗，知錯—知道差錯、查錯—查找出差錯，然后“糾錯”，防止因差錯導致風險再次發生。但本階段結束時，前瞻性體系還沒有建立和實施，因此該階段仍被視為是被動性的。

(三)主動防范風險

公司以系統、主動、明確的方式防范風險，長期把確保安全作為組織日常事務不可分割的一部分，公司的風險防范著眼于收益最大的領域，SMS即是主動防范風險的理念和狀態。舉例說明:一個貴重的杯子放在桌子旁邊，可能有人會不小心把它碰到地面摔碎。用傳統管理方法，就會提醒人們在靠近時要小心杯子摔碎的危險，或者懲罰將杯子碰碎的行為。而用SMS管理方法，則采用將杯子放在桌子中間，在桌子邊緣安裝防護網，將杯子進行固定牢靠等等防范方法，一切的目的是將可能導致失誤的因素減少，使結果可以接受。再如在合同簽訂中，為了防范對方違約，設計一些條款如:加重對方違約成本，選擇有利于我方的法院，設置對方較大數額的違約金以及質保金等，防止對方隨意違約。

下表對傳統和現代安全管理做了簡單對比，主動防范風險的優勢一目了然:

傳統安全管理(檢查、總結發現) 現代安全管理(事前預防)事故(事件)管理 風險(事態)管理事后管理事前管理被動主動管理者制定相關政策與程序、規章 員工意見能影響相關政策程序的制定直接監督一線員工 全面系統性監督由管理者檢查發現既有風險 全體員工共同挖掘既有與潛在風險以獎懲保障安全 導入風險管理機制處罰文化:做錯－懲罰－不再發生 公正文化:識別可能差錯－設防－不發生

四、SMS建設要求及其內容

就SMS建設的具體內容，結合在公司法律實務操作過程中的經驗和教訓，筆者認為，SMS建設可從以下幾方面進行積極探索與嘗試。該方案遠遠不是公司法律風險防范的標準模板，只是期望能為保障公司運營法制安全的SMS構建提供思路。

(一)安全政策和目標(safety policy and safety goals)

1.安全政策。

公司應當明確其法律風險防范政策，由主要負責人簽署并進行定期評審。風險防范政策應當體現本公司對風險防范的承諾，包括為風險防范提供必要的資源、建立安全信息報告程序、明確定義可接受和不可接受的行為準則、獎懲政策等內容，并與全體員工進行溝通。

2.安全目標。

公司應當建立風險防范的規章制度，確定風險防范目標，制定、實施配套的行動計劃，提供必要的資源支持，并定期(比如一年)對風險防范體系、行動計劃的實施落實情況進行檢查評審。

3.組織機構及職責。

根據本公司的實際情況，公司應建立風險防范組織機構。SMS是系統工程，風險防范不僅僅是法務部門的事情，包括公司領導、總法律顧問、財務部門、法務部門、其他部門的SMS管理員以及一般員工都有責任防范風險。發達國家中法律風險防范經驗是設立風險管理委員會統一管理法律風險防范事務，總法律顧問在法律風險防范體系中發揮核心作用。

應建立起清晰的安全責任體系、責任追究制度，各負其責，各行其是，同時又是一個有機的整體，在各自相應的職責范圍內共同防范已知和未知的風險。

(二)風險識別(Hazard identification)

1.風險識別方法與技術。

風險(危險)識別和風險管理是涉及法律風險防范的核心過程。風險識別和報告是每個人的責任，但同時各個部門應有專人負責風險識別和風險分析。“誰是我們的敵人，誰是我們的朋友，這個問題是革命的首要問題”。“敵人”就是公司的風險。預防風險，要明明白白哪些是我們的“敵人”，否則連“敵人”都不清楚是誰，談何防范呢?

風險識別可以有三種方法:被動方法—公司運營中出現了法律問題、主動方法—主動發現存在的問題和預測方法—預測可能發生的問題。風險評估應考慮到所有可能性——包括最小的可能性情況、最大的可能性情況以及最壞的情況。

保證這種系統化方法的適用技術可能包括:

檢查單(Checklist)或工單，類似法律行為的經驗和從中得到的數據，據此制定一份風險檢查單;小組討論、問卷調查、人員訪談、流程梳理、實際案例分析、法律法規查詢等方法，均可以從某一側面來識別風險;公司內部或外部的歷史數據分析(收集到的以前的差錯、事故、事件)、安全調查、安全審計、事故報告等;調查突發事件，了解突發事件發生的原因，去除系統性缺陷;連續監控:全流程的監控，例如:從合同談判、訂立、履行一直到終止，必須始終處于有人監控狀態。相關部門收集、分析日常有關法律方面的運行數據，掌握日常安全運行情況、發現危險源。應當定期對上述信息進行整理和分析，以確定本部門的履行情況、安全狀況、各項風險控制措施是否落實到位且達到了預期的效果。

根據各個公司的實際，可以定期或不定期開展風險識別工作，做好記錄，有條件的可以建立并存入相應的公司法律風險數據庫或風險數據庫。數據庫用于記錄、查詢和分析各類安全信息，并融合到風險管理信息系統中。

2.員工報告系統。

自愿報告系統:發現的風險源可能只是冰山一角，大量的不安全事件沒有及時被發現，許多錯誤行為被藏匿和隱瞞，其他人吸取不到教訓，類似的差錯可能重復發生，安全水平難以提升。如果將不安全行為、差錯和違規行為及時地公開，加以分析，使其本人和他人真正地吸取教訓，就可以避免同類錯誤重復發生，減少不安全事件。自愿報告系統應當具有保密性、自愿性和非處罰性三個原則，應當鼓勵員工積極報告運行中發現的安全問題，以及相關的意見和建議;對于主動報告自身安全問題的員工，視具體情況減輕對其的處罰;對隱瞞不報者，將視具體情況加重對其的處罰;對于主動提出安全意見和建議的員工，將視具體情況給予獎勵;保證最大限度地收集安全信息，營造出良好的安全文化氛圍。

強制報告系統:嚴重影響公司效益的不安全事件，必須按照公司的相關規定及時的報告。這需要制定誰應報告和報告什么的詳細規章制度。

秘密報告系統:秘密報告可以保護報告人的身份，更便于揭露導致法律風險的事件，而不必擔心受到懲罰或難堪，能夠更廣泛地獲得關于危險的信息，更有利于報告人的暢所欲言，但同時應注意報告的真實性，防止其帶有感情色彩。

公司積累的法律風險可能會“厚積薄發”，對風險源應進行共享，通過員工的報告制度，盡量采集到更多的風險源。

(三)風險分析(Hazard analysis)

根據風險的特點和情況，評估和測量風險發生的概率、嚴重程度，劃分風險的等級。

風險概率界定為法律風險事件或情況發生的可能性。根據風險出現的頻繁程度，可以分為頻繁、偶發、少有、不可能、極不可能五種情形。

風險的嚴重性:以最壞的可預見情況為參考，區分發生風險后的可能后果。根據風險的嚴重性，可以把風險分為災難性的、有危險的、重大、較小、可忽略不計等五種程度。

把風險嚴重性作為橫坐標，風險概率作為縱坐標，可以形成一個法律風險評定矩陣(五行五列，僅僅作為一個樣例，可以根據實際情況進行擴展)，見表一。

表一 法律風險評定矩陣

從上表可以看出，有的風險是可以接受的，如“可忽略不計”和“極不可能”相交的區域“1E”，而有的風險如“災難性的”和“頻繁”相交的區域“5A”，是絕對不能容忍發生的。經過斟酌和判斷，我們可以認為5A，5B，5C，4A，4B，3A這幾種情形，風險處于不可容忍范圍，在當前情況下是不可接受的;而處于5D，5E，4C，4D，4E，3B，3C，3D，2A，2B，2C區域的風險是在可容忍范圍，通過適當的風險控制、緩解措施可以接受;處于3E，2D，2E，1A，1B，1C，1D，1E區域的風險是在可接受范圍，因風險的嚴重性較低、發生頻率較低，所以是可接受的風險。如表二所示:

表二 風險可容忍度矩陣

風險是否可以被容忍或接受，還應適當考慮其成本和效益，必須將風險控制某種最低安全程度之上，低于最低安全程度時，則不能被接受。

可以看出，安全是一個相對而非絕對的概念，對于可接受的安全水平，關鍵是控制、緩解，是相對控制而非絕對控制。只要法律風險被控制在適度的空間內，風險是可以被容忍或者接受的。應用此法來進行風險分析，一般能獲得比較中肯的結論。

(四)風險控制和風險緩解(Risk control/mitigation)

1.SMS管理的要點之一是控制住最大的風險，對風險控制也要講究二八原則。經過發現風險，分析風險，到達控制、緩解風險的階段。風險緩解措施必須權衡考慮到時間、成本和采取措施降低或消除風險的困難。

2.對于不能容忍范圍內的法律風險必須進一步采取干預行動，防范策略主要有以下四種:

(1)風險規避，當無有效措施、成本投入較大或可行性差等原因而沒有適當的風險管理措施來降低風險時，可采取限制運行或采取其他應對策略，防止風險的產生;

(2)風險轉移，通過合同、協議等形式，將風險轉移給有能力進行風險管理的其他主體;

(3)風險承擔，當風險水平較低，成本低于收益時，經過綜合考量，可以接受其可能帶來的不利后果，公司就可以暫時不采取風險控制措施;

(4)風險降低，如果不能規避和轉移風險，可以對風險進行管理，盡量將其降低到可接受的范圍內。

3.持續改進。安全管理體系需要日復一日地不間斷地識別、收集和分析風險，進行安全風險評估，以便控制或緩解風險。就像一個圓，沒有起點，也沒有終點。安全管理體系不能終止或停滯，它是一項長效機制，永不停歇，對達到的安全水平進行持續的監督和定期的評估，旨在保持并在可能的情況下改進與公司的戰略目標相一致的法律風險防范水平并支持核心業務職能。公司資源的有限性，不可能一次性完成對全部風險的管理控制。因此，SMS與事故調查的傳統概念大不一樣，傳統方法是吸取教訓，以防止類似的風險事故發生。SMS是積極地尋找法律風險，不斷地評估安全風險，以便在“出事前”制止風險，持續改進整體安全水平。

對于可能發生的較嚴重的突發法律事件，應有應急預案加以應對，防止臨時抱佛腳，造成工作的被動。

改進是一個遞進的動態過程，會隨著內外部風險環境變化而變化，同時執行風險應對措施會引起公司風險情況的改變。在應對策略實施的同時，確定應對措施實施監督與改進計劃，及時監督和檢查風險管理流程的運行狀況，并根據發現的問題對風險管理工作進行持續改進。

(五)安全促進(Safety advocate)

進行風險防范教育和培訓、培養安全文化是安全促進的幾個措施。公司應教育員工不僅僅遵守規章制度，安全零差錯、工作零失誤，還應參與SMS的各項運行，如使用各種報告系統，按照標準操作程序做事，培養一種先進的安全文化，員工應參加初始培訓、復訓(建議周期為一年)，提倡“學習文化”或“總結文化”，保持好其良好的技能。安全文化應當讓身處其中的人覺得自己應該為安全負責，在做每項業務時都考慮到風險防范問題，“在我們這里，就是這樣干的，就是這樣要求的。”這種想法應深深印在腦海中，落實到行動上。考試也歸屬于培訓后的檢驗，考試對檢驗培訓效果非常有效，建立法律風險防范的考試題庫，并且定期或者不定期地進行考試，成績與工資相掛鉤，克服人的惰性，強化培訓的效果。這些專業知識的增強對風險防范的幫助是不言而喻的。

建立起良好的溝通機制也能夠促進風險的防范，員工與員工、員工與管理者的溝通渠道越暢通，各種信息傳達就越快速，為法律風險的防范贏得時間和主動。

引入或建立合適的風險管理信息系統，為風險防范提供信息化的翅膀，適合公司自己的系統才是最好的系統。通過電腦收集、統計分析、風險報告、風險控制跟蹤，大大方便了使用者。當然也不能簡單套用所謂國外的先進模式，過于追求風險的“量化”建設，迷信風險管理能夠完全依賴“技術”手段來實現，而忽略了中國的風險管理環境，結果只能是削足適履，得不償失。

個人的SMS系統應與公司SMS系統進行耦合(互動)。再好的制度規章、機制，如果沒有員工的執行，只能是鏡中花、水中月。風險管理是全員參與，公司的每一個分子(含最高管理者)都應根據自己的職責，建立個人的SMS“小系統”，以便和公司的SMS“大系統”相對接，相聯動。每個人都是公司SMS有機體的不可或缺的一部分，是一個有機的小循環，只有小循環運轉流暢，才能保證大機體的健康與安全。所以每個員工應自覺地接受公司的安全文化，根據自己的情況，對自己歷史上的“差錯”心中有數，并注意防范因自身性格特征而可能導致的隱患，主動報告各種法律風險及其隱患，接受培訓，遵守規章，及時溝通，個體與整體形成大的“合力”，以共同防范風險。

管理學大師德魯克說:“管理好的企業，總是單調無味，沒有任何激動人心的事件。那是因為凡是可能發生的危機早已被預見，并已將它們轉化為例行作業了。”通過建立、實施SMS系統，構筑防范法律風險的防火墻，就可以降低甚至避免法律風險的危害，公司損失、訴訟數量得以顯著降低，無訴的境界并非遙不可及，一個超級安全的法律風險防范體系有望打造。

［1］中國民用航空總局飛行標準司.關于航空運營人安全管理體系的要求［R］.編號:AC－121/135－2008－26.

［2］胡杰，張世坤.淺談信息管理在現代安全管理體系(SMS)中的重要作用［J］.教育教學論壇，2011，(27): 89.

［3］吳江水.完美的防范［M］.北京:北京大學出版社，2010.

［4］朱景文.2011中國法律發展報告［M］.北京:中國人民大學出版社，2011.

［5］韋伯斯特.韋氏大字典［Z］.1956.

［6］閆愛勤.工程合同管理的風險防范探析［J］.中國商界，2009，(8):106－107.

［7］毛澤東.中國社會各階級的分析［A］.毛澤東選集(第一卷)［M］.北京:人民出版社，1951.

［8］德魯克.卓有成效的管理者［M］.北京:機械工業出版社，2009.