企业法律风险管理的基本步骤及要点

摘要：企业法律风险管理应该建立科学的方法。结合相关理论及实际工作中的实践提出了企业法律顾问参与企业法律风险管理服务中的基本步骤及要点。

关键词：法律 风险管理 过程

一、何谓企业法律风险管理

企业法律风险管理是指通过对企业经营管理活动中潜在的风险进行排查、评估、监控，并有针对性的制定相关应对方案，从而管理风险的活动总称。

总体来讲，风险管理历经了两大阶段：

   一是传统的风险管理阶段。20世纪90年代以前，风险管理的侧重点主要在于关注纯粹风险，其目标着重于损失的最小化，这个阶段被称之为传统风险管理阶段。

   第二个阶段是现代风险管理阶段。进入21世纪发展起来的，人们通过实践发现，过分强调风险将丧失若干的机会，特别是自然科学的发展也促进了人们更加清晰的认识了风险，即除了可能造成损失的纯粹风险以外，风险还存在着另一种概率分布的形态，即机会风险。也就是说，有些风险只有一种可能的结果，那就是造成损失；还有一类风险其损失和收益的可能性是并存的，对待这一类的风险如果一味的强调规避、防范的话，将使企业丧失发展的基础。随着人们对机会风险认识的不断深入和发展，绩效最大化管理、收益平衡管理等现代风险管理理念逐步树立并不断发展。

随着对法律作用的不断认识和市场经济的不断发展，法律的指引、评价、预测作用更加突出。这些作用在法律风险的管理方面也得到了快速发展。法律风险的管理工作也进入了一个全新的时期，由过去只管理纯粹法律风险上升到纯粹与机会风险共同管理阶段。

二、企业法律风险管理的基本步骤及要点

在纯粹法律风险管理阶段，对法律风险的管理主要依赖于经验法或教训法，即依靠管理人员的个人经验或者自身/其他企业的教训进行管理。这种风险管理方法的最大弊端在于：其管理效果完全受制于管理人员的自身经验和道德水平。在这种法律风险管理中最突出的表现在于：

1．对法律风险的认识受专业、经验的制约；

2．导致法律风险管理与其他风险管理脱节；

3．发现法律风险存在的时候或许已经距离损失不远；

4．滞后的管理效果导致法律风险的管理功能日益淡化；

5．后果通常体现为法律强制作用的实施。

事实上，企业的法律风险主要来源于以下两大方面：

1．法律自身。包括不恰当的法律、法律间的冲突、司法腐败等，也就是立法或者执法层面的法律风险。这一方面的法律风险无一例外的均属于系统性风险，也就是单一企业无法通过自身力量改变的风险。

2．经营管理活动自身。这一方面的风险主要体现为合规风险，即遵守法律的风险。遵守法律应该从两个方面理解：一是违法行为的禁止；二是合法行为的实施。不管禁止还是实施，都围绕着行为进行。因此对待此类风险的管理主要立足点是行为本身，即企业经营管理活动的各种行为。要把握住企业经营管理活动的风险，就需要深入理解并分析、评价各种行为，需要将法律风险的管理融入到这些行为之中，对其中涉及违法的行为应采取禁止措施；对其中涉及合法的行为应引导、鼓励实施。

基于上述对法律风险的认识，对其进行管理过程中主要实施如下步骤：

（一）法律风险的识别

风险本身不可怕，可怕的是不知道风险在哪里，以及面对风险如何应对。风险识别是所有风险管理的最基础性工作，法律风险管理当然也不例外。通过法律风险的识别发现风险是法律风险管理的出发点，也是制定风险管理措施以及监控风险的核心点。

在以经验或教训为出发点的法律风险管理模式下，无论是企业内部法务人员，还是外部的律师机构，当面对资产庞大、业务复杂、员工众多的企业时，想要排查出潜在的法律风险无异于老虎吃天无从下口。

如何有效的识别风险呢？就是沿着企业的经营管理流程走下去，一步一步，一个环节一个环节的去发现风险。简单来说，对待法律自身的风险，需要企业法律顾问不断的充实法律专业知识以及律师服务机构不同专业的密切配合，通过个人专业+团队专业共同去发现；对待企业经营管理活动自身的风险，需要企业法律顾问广泛了解国家产业政策、企业行业状况的基础上深入企业全面熟悉经营管理流程和环节，在此基础上细致的进行排查，从而发现潜在的法律风险。

法律风险识别的工作方法通常包括：

1．问卷调查；2．访谈或座谈；3．集体讨论；4．专家咨询；5．情景分析；6．行业标杆比较；7．其他方法。

（二）法律风险的评估

法律风险评估是对个别或总体法律风险的发生概率及其影响程度从定性和定量两个方面给出评价的活动。目前，在财务风险管理方面，定性评估与定量评估做的比较好，评估工具也比较成熟。但在法律风险评估方面，通常只关注于定性评估，很少使用定量评估，由此大大降低了法律风险评估对企业决策的参考价值。事实上，企业除了关注法律风险的定性评估结果之外，同样希望获得定量评估方面的参考信息。

法律风险的定性评估是评价某一行为的法律性质及其合法性与非法性。法律风险的定量评估是评价某一行为发生的概率以及该行为可能给企业带来的影响。同样强调的是，这种影响不应该理解为负面的，还应包括正面的。例如，企业申报高新技术企业认定的行为具有合法性，申报一旦获批对企业的影响表现为：1．税收上的减免。  2．财政上的支持。 3．融资上的支持。

法律风险定量评估的方法可以采用统计推论法、影响分析法、事件树分析法等。

进行法律风险评估应事先设定统一的度量标准。度量标准可以使用数据标示，也可以使用描述性的词语，如严重、一般、较轻等。通过度量标准可以将经评估的风险进行归类，从而除了直观、快速的查询风险之外，也可以为风险管理策略及措施的制定提供帮助。

法律风险评估的成果体现为评估报告。

（三）法律风险管理方案的制定

通过法律风险排查发现法律风险之后，运用相关工具对各个风险点进行评估，接下来就进入法律风险管理方案的制定。

在传统法律风险管理阶段，管理方案主要侧重于防范和控制的角度。这一出发点对于纯粹法律风险的管理是有效的，也是对路的。但是对于机会风险而言，则并不恰当。对机会风险一味采取防范和控制措施将导致企业丧失交易机会，进而无法获得收益。造成损失是企业不愿看到的，同样，丧失收益也违背了企业的根本目的。

法律风险管理方案的制定应特别注意如下几个问题：

1．管理方案应当紧密围绕企业总体经营目标。在法律与经济的关系上，应当清晰的认识到：是法律服务于经济，而不是简单的经济服从于法律。

2．管理方案应当对不同性质的风险区别对待。对待纯粹风险，应该强化防范与控制，以降低、减少损失影响为目标；但对机会风险则不应该简单的说不，而更应该在说不的同时提出可行、能够帮助企业实现预期目标的方案。

3．管理方案应当依据企业的风险偏好制定。不同企业企业有不同的风险偏好，即使同一个企业在不同的发展时间也可能会有不同的风险偏好。不顾及企业风险偏好而制定的风险管理方案不能说不是最好的，但至少不是符合企业实际需要的。

4．管理方案不应当理解为简单的建章立制，而更应该倾向于机制的建设。再好的制度，如果没有好的机制保障，也难以实施，无法满足制度的规定。

（四）法律风险的监控与管理改进

如前所述，企业的法律风险主要来源于法律自身和经营管理活动自身两大方面，这两大方面都并非一成不变，而是动态发展的。此外，法律风险管理方案执行情况及效果等都需要进行相关的监控。通常情况下，监控工作需要由一个组织来完成，而不是单一的法务部，其原因很简单，众多的风险潜藏在经营管理活动的环节之中。

为了提高法律风险监控的及时性和有效性，可以通过计算机信息系统和网络系统辅助实现。

法律风险管理需要动态改进。一方面，法律本身是在动态变化的，立法机关会根据社会管理的不同需要而不断的出台新的法律、法规或者进行修改；另一方面，企业经营管理活动的复杂性和内外部环境的多变性也需要不断的对风险管理措施进行改进。

以上是法律风险管理的基本步骤和要点。由于不同行业或者同行业中的不同企业均会有其自身的特点，因而在具体步骤上会略有变化，但总体方面大同小异。

第二篇：企业法律风险管理指南

企 业 法 律 风 险 管 理 指 南

国家标准化委员会《企业法律风险管理指南》

(GB/T 27914-2011)

目 次

前 言

1 范围

2 规范性引用文件

3 术语和定义

4 企业法律风险管理原则

5 企业法律风险管理过程

6 企业法律风险管理的实施

附录A 法律风险识别框架示例

附录B 法律风险清单示例

附录C法律风险可能性分析示例

附录D法律风险影响程度分析示例

前 言

本标准在GB/T24353-2009《风险管理原则与实施指南》的指导下，结合我国企业法律风险管理的实践经验编制而成。

本标准的附录A、附录B、附录C、附录D为资料性附录。

本标准由全国风险管理标准化技术委员会（SAC/TC 310）提出并归口。 本标准起草单位:中国标准化研究院、中国移动通信集团公司、第一会达风险管理科技有限公司、中华全国工商业联合会、北京市展达律师事务所、中国电子信息产业集团公司、中国建筑工程总公司。

本标准主要起草人:高晓红、叶小忠、吕多加、薄勇、王志华、白莲湘、崔艳武、

刘瑛、孔雪屏、秦玉秀

2

企业法律风险管理指南

1范围

本标准提供了企业实施法律风险管理的通用指南。本标准适用于各种类型和规模的企业，可指导企业在其整个生命周期和所有经营环节中开展法律风险管理活动。本标准是通用指南，不作为行业性专用标准使用，企业应根据行业特点，结合自身情况和实际需要应用本标准实施法律风险管理。中小企业可以根据自身管理基础、资源以及管理需求，对本标准提供的法律风险管理过程和相关的配套保障措施进行简化或采取递进式建设，逐步达到本标准要求，从而确保本企业的法律风险管理资源投入与企业的目标相契合，达到管理本企业法律风险的目标。

2 规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T 23694-2009风险管理 术语（ISO/IEC Guide73：2002，IDT）

3 术语和定义

GB/T 23694-2009 中界定的术语和定义适用于本标准。3.1企业法律风险企业法律风险是指基于法律规定、监管要求或合同约定，由于企业外部环境及其变化，或企业及其利益相关者的作为或不作为， 3

对企业目标产生的影响。

4 企业法律风险管理原则

为了有效管理法律风险，支持企业的决策和经营管理活动，企业进行法律风险管理时可遵循以下原则：

（1）以企业战略目标为导向的原则企业法律风险管理目的在于促进企业战略目标的实现。在法律风险评估和应对等企业法律风险管理活动中应充分考虑法律风险与企业战略目标之间的相互关系、影响等因素。

（2）审慎管理的原则由于法律风险的特殊性，对于法律风险应坚持审慎管理的原则。要在尊重法律、保持诚信前提下，开展法律风险管理活动，风险管理的策略和方法不应违反法律的强制性和义务性规定。

（3）与企业整体管理水平相适应的原则法律风险管理是企业管理的有机组成部分，和企业战略管理、流程管理、绩效管理、信息管理等密切相关。法律风险的识别、分析、评价和控制等活动只有与企业整体管理水平相适应，才能取得良好的效果。

（4）融入企业经营管理过程的原则法律风险发生于企业的经营管理活动，其识别、分析、评价和应对都不可能脱离企业经营管理过程，法律风险管理必须融入企业经营管理过程，成为其有机组成部分。

（5）纳入决策过程的原则企业所有决策都应综合考虑风险，以便将风险控制在企业可接受的范围内。法律风险作为企业的重要风险范畴，应纳入企业决策过程，作为企业决策应考虑的重要因素。 4

（6）纳入企业全面风险管理体系的原则法律风险管理是企业风险管理体系的组成部分，应与其他风险的管理整合，以提高风险管理的整体效率和效果。

（7）全员参与、全过程开展的原则法律风险产生于企业经营管理的各个环节，因此法律风险管理需要企业所有员工的参与并承担相关责任，其中特别包括企业专职的法律管理部门（或人员）。各方人员分工负责，以形成法律风险管理的长效机制。

（8）持续改进的原则法律风险管理是适应企业内外部法律环境变化的动态过程，其各步骤之间形成一个循环往复的闭环。随着内外部法律环境的变化，企业面临的法律风险也在不断发生变化。企业应该持续不断地对各种变化保持敏感并做出恰当反应。

5 企业法律风险管理过程

5.1 概述

法律风险管理是企业全面风险管理的组成部分，贯穿于企业决策和经营管理的各个环节。法律风险管理过程由5.2 到 5.5所描述的活动组成，即明确法律风险环境信息、法律风险评估、法律风险应对、监督和检查，如图1所示。

其中，法律风险评估包括法律风险识别、法律风险分析和法律风险评价等三个步骤。沟通和记录非常重要，应贯穿于企业法律风险管理过程的各项活动中，5.6将对其进行详细说明。

5

图1 法律风险管理过程

5.2 明确法律风险环境信息

5.2.1概述

明确法律风险环境信息是应用适当的方法，对企业内外部环境中与法律风险相关的信息进行收集、分析、整理、归纳的一系列过程。明确法律风险环境信息是后续法律风险管理活动得以顺利实施的必要基础。明确法律风险环境信息是一个动态的过程，应保持法律风险环境信息的持续更新。

5.2.2外部法律风险环境信息

外部法律风险环境信息是指与企业法律风险管理相关的政治、经济、文化、法律等各种相关信息。企业应根据本行业和企业业务经营管理的特点，具体分析明确外部法律风险环境信息的收集范围和分析方式，为法律风险评估和应对提供充分的信息保障。外部法律风险环 6

境信息包括但不限于：

——本行业的业务模式及特点；

——国内外与本企业相关的政治、经济、文化、技术以及自然环境等；

——国内外与本企业相关的立法、司法、执法和守法情况及其变化；

——与本企业相关的监管体制、机构、政策以及执行等情况； ——与本企业相关的市场竞争情况；

——本企业在产业价值链中的定位及与其他主体之间的关系； ——企业主要的外部利益相关者及其对法律、合同、道德操守等的遵从情况；

——与企业法律风险及管理相关的其他信息。地区间的环境差异是普遍存在的。对于跨区域经营的企业，在进行外部法律风险环境调查时，应特别关注不同地区间可能存在的环境差异。

5.2.3内部法律风险环境信息

内部法律环境信息是与企业法律风险及其管理相关的各种信息，包括法律风险和法律风险管理的历史及现状。内部法律风险环境信息包括但不限于：

——企业的战略目标；

——企业盈利模式和业务模式；

——企业的主要经营管理流程/活动、部门职能分工等相关信息； ——企业在法律风险管理方面的使命、愿景、价值理念；

7

——企业法律风险管理工作的目标、职责、相关制度和资源配臵情况；

——企业法律事务工作及法律风险管理现状，其中对法律风险管理现状可从方针、组织职能和资源配臵、制度和流程内控、沟通和报告、法律风险管理文化和技术手段等要素分析；

——内部利益相关者的法律遵从情况和激励约束方式；

——本企业签订的重大合同及其管理情况；

——本企业发生的重大法律纠纷案件或法律风险事件的情况，本企业相关的法律规范库和法律风险库；

——本企业知识产权管理情况；

——与法律风险及其管理相关的其他信息。

以上法律风险环境信息的收集范围和内容，应根据企业的法律风险状况变化及企业的管理需要进行补充调整。

5.2.4 企业法律风险准则

企业法律风险准则是衡量法律风险重要程度所依据的标准，应体现企业对法律风险管理的目标、价值观、资源、偏好和承受度。企业法律风险准则应在法律风险管理工作开始实施前制定，并根据实际情况进行相应调整。确定法律风险准则时要考虑但不限于以下因素：

——本企业法律风险管理的范围、对象，以及法律风险的分类； ——法律风险发生可能性、影响程度以及法律风险的度量方法； ——法律风险等级的划分标准；

——利益相关者可接受的法律风险或可容许的法律风险等级； 8

——重大法律风险的确定原则。

5.3 法律风险评估

5.3.1概述法律风险评估

包括风险识别、风险分析和风险评价三个环节。

5.3.2 法律风险识别

5.3.2.1 概述

法律风险的识别，首先是查找企业各业务单元、各项重要经营活动、重要业务流程中存在的法律风险，然后对查找出的法律风险进行描述、分类，对其原因、影响范围、潜在的后果等进行分析归纳，最终生成企业的法律风险清单。

法律风险识别的目的是全面、系统和准确地描述企业法律风险的状况，为下一步的法律风险分析明确对象和范围。进行法律风险识别时要掌握相关的和最新的信息，必要时，需包括适用的背景信息，特别是法律法规的变化信息。除了识别可能发生的法律风险事件外，还要考虑其可能的原因和可能导致的后果，包括所有重要的原因和后果。不论法律风险事件的风险源是否在企业的控制之下，或其原因是否已知，都应对其进行识别。

识别法律风险需要所有相关人员的参与。企业所采用的风险识别工具和技术应当适合于其目标、能力及其所处环境。

5.3.2.2构建法律风险识别框架

为保证法律风险识别的全面性、准确性和系统性，企业应构建符合自身经营管理需求的法律风险识别框架，该框架提供一些方便识别 9

法律风险的角度，这些角度包括但不限于以下方面：

——根据企业主要的经营管理活动识别，即通过对企业主要的经营管理活动（如生产活动、市场营销、物资采购、对外投资、人事管理、财务管理等）的梳理，发现每一项经营管理活动可能存在的法律风险。

——根据企业组织机构设臵识别，即根据企业各业务管理职能部门/岗位的业务管理范围和工作职责的梳理，发现各机构内可能存在的法律风险。

——根据利益相关者识别，即通过对企业的利益相关者（如股东、客户、供应商、员工、政府等）的梳理，发现与每一利益相关者相关的法律风险。

——根据法律风险源识别，即通过对法律环境、违规、违约、侵权、怠于行使权利、行为不当等梳理，发现企业存在的法律风险。

——根据法律风险发生后承担的责任梳理，即通过对刑事法律风险、行政法律风险、民事法律风险的梳理，发现不同责任下企业存在的法律风险。

——根据不同法律领域的识别，即通过对不同的法律领域（如合同、知识产权、招投标、劳动用工、税务、诉讼仲裁等）的梳理，发现不同领域内存在的法律风险。

——根据法律法规识别，即通过对与企业相关的法律法规的梳理，发现不同法律法规中存在的法律风险。

——根据以往发生的案例识别，即通过对本企业或本行业发生的 10

案例的梳理，发现企业存在的法律风险。

企业可以根据自身的不同需要，选择以上不同的角度或组合，构建法律风险识别框架。

附录A中给出了从引发法律风险原因的分类和企业经营管理活动过程两个角度构建风险识别框架的示例。

5.3.2.3进行法律风险识别

根据构建的法律风险识别框架，可采用问卷调查、访谈调研、头脑风暴、德尔菲法、检查表法等方法进行法律风险识别，并确定分类和命名规则，对每个法律风险设臵相应的编号或名称。

以从引发法律风险源分类和企业经营管理活动过程两个角度构建的法律风险识别框架为例，此时需要逐一判断每一经营管理活动中是否可能存在某种法律风源或法律风险事件，并尽可能地列举这些事件。同一经营管理活动中同一种类的法律风险事件可归属于同一法律风险类别，并据此确定该法律风险的名称，如XX违规风险、XX侵权风险等（XX为某一经营管理活动的名称）。

5.3.2.4形成法律风险清单

在法律风险事件及法律风险名称确定后，应将这些事件统一列表，并在列表中补充每一风险事件适用的法律法规、风险动因、可能产生的法律后果、相关的案例、法律分析意见及其涉及的部门、经营管理流程等信息，最终形成企业的法律风险清单。法律风险清单的示例见附录B。

5.3.3 法律风险分析

11

5.3.3.1 概述

法律风险分析是指对识别出的法律风险进行定性、定量的分析，考虑法律风险源或导致法律风险事件的具体原因、法律风险事件的发生的可能性及其后果，影响后果和可能性的因素，为法律风险的评价和应对提供支持。

根据法律风险分析的目的、可获得的信息数据和资源，法律风险分析可以有不同的详细程度，可以是定性的、半定量的、定量的分析，也可以是这些分析的组合。在实践中经常首先采用定性分析以一般了解法律风险等级和揭示主要法律风险。在可能和适当的时候，应当进一步进行更具体和定量的法律风险分析。

对于法律风险事件发生的可能性和影响程度的分析应综合采用建模和专家意见以及经验推导来确定，要注意与企业内外部相关利益者的沟通，同时要考虑模型和专家意见本身的局限性。

5.3.3.2 法律风险可能性分析

对法律风险发生可能性进行分析时，可以考虑但不限于以下因素：

——外部监管执行力度，包括企业外部相关政策、法律法规的完善程度，以及相关监管部门的执行力度等；

——内控制度的完善与执行，包括企业内部用以控制相关法律风险的规章、制度的完善程度及执行力度等；

——相关人员法律素质，包括企业内部相关人员对相关政策、法律法规、企业规章制度以及法律风险控制技巧的了解、掌握程度等； 12

——利益相关者的综合状况，包括利益相关者的综合资质、履约能力、过往记录、法律风险偏好的表达等；

——所涉及工作的频次，指与法律风险相关的工作在一定周期内发生的次数。对于不同类型的法律风险来说，影响其发生可能性的因素会有所不同。各种因素对可能性影响程度的权重也是不同的，并且各因素之间的权重比会因法律风险类型的不同而有所差异。附录C中给出了法律风险可能性分析的示例。

5.3.3.2 法律风险影响程度分析

对法律风险影响程度进行分析时，可以考虑但不限于以下因素： ——后果的类型，包括财产类的损失和非财产类的损失等；

——后果的严重程度，包括财产损失金额的大小、非财产损失的影响范围、利益相关者的反应等。

附录D中给出了法律风险影响程度分析的示例。

此外，法律风险与其他风险在一定条件下具有伴生性和相互转化性，企业要对法律风法律风险与其它风险之间的关联性进行分析，明确各风险事件之间的影响路径和传递关系，明确法律风险与其它风险之间的组合效应，从而在风险策略上对法律风险和其他相关风险进行统一集中的管理。

5.3.4法律风险评价

法律风险评价是指将法律风险分析的结果与企业的法律风险准则相比较，或在各种风险的分析结果之间进行比较，确定法律风险等级，以帮助企业做出法律风险应对的决策。

13

在法律风险分析的基础上，综合考虑法律风险管理的目标、成本和收益、资源的投入安排等因素，对法律风险进行不同维度的排序，包括法律风险事件发生可能性的高低、影响程度的大小以及风险水平的高低。

在法律风险水平排序的基础上，对照企业法律风险准则，可以对法律风险进行分级，具体等级划分的层次可以根据企业的管理需要设定。

在法律风险排序和分级的基础上，企业可以根据其管理需要，进一步确定需要重点关注和优先应对的法律风险。

5.4 法律风险应对

5.4.1 概述

法律风险应对是指企业针对法律风险或法律风险事件采取相应措施，将法律风险控制在企业可承受的范围。法律风险应对包括选择法律风险应对策略、评估法律风险应对现状、制定和实施法律风险应对计划三个环节。

5.4.2 选择法律风险应对策略

法律风险应对策略包括规避风险、控制风险、转移风险、接受风险和其他策略等。选择法律风险应对策略应该至少考虑以下几方面的因素：

——企业的战略目标、核心价值观和社会责任等；

——企业对法律风险管理的目标、价值观、资源、偏好和承受度等；

14

——法律风险应对策略的实施成本与预期收益；

——选择几种应对策略，将其单独或组合使用；

——利益相关者的诉求和价值观、对法律风险的认知和承受度以及对某些法律风险应对策略的偏好。

5.4.3 评估法律风险应

对现状如果企业对某些法律风险选取了规避、控制或转移的应对策略，则应该对这些法律风险的应对现状予以进一步的评估，以了解目前的法律风险应对存在哪些不足和缺陷，为制定法律风险应对计划提供支撑。

评估法律风险应对现状至少应考虑以下几方面的因素：

——资源配臵，即企业内部的相关机构设臵能否满足法律风险应对需要、用于法律风险应对的人员配备是否充足以及用于法律风险控制的经费是否充足等；

——职责权限，即是否明确与风险应对相关的职责和权限；

——过程监控，即是否要求对持续性业务/管理活动进行定期或不定期的监督和控制/证据资料保留/信息沟通、告警；

——奖惩机制，即对相关工作、管理人员在法律风险应对工作中的表现、成绩是否设立了奖惩机制等；

——执行者能力要求，即企业对与法律风险应对相关的内部执行者（公司内部领导、员工）是否有明确的资质、能力要求（业务资质、业务技能、法律素质等）；

——部门内法律审查，即是否要求业务部门内部对一般性的法律 15

问题进行审查（一般性法律问题指从事某项业务必须掌握的基础性、常识性的法律问题，各部门人员可以通过培训掌握相关内容）；

——专业法律审查，即是否要求法律部门或专业律师对专业性法律问题进行审查或提供相关法律意见；

——风险意识，即工作、管理人员对风险的存在、风险将会造成的后果，以及如何开展风险应对等方面是否有必要的认识和理解；

——外部法律风险环境，即有关法律环境是否完善、稳定，社会守法状况，执法力度和司法方式等。

5.4.4 制定和实施法律风险应对计划

应对措施通常包括以下几种类型：

——资源配臵类，指设立或调整与法律风险应对相关的机构、人员，补充经费或风险准备金等；

——制度、流程类，指制定或完善与法律风险应对相关的制度、流程；

——标准、指引类，指针对特定法律风险，编撰指引、标准类文件，供业务人员使用；

——技术手段类，指利用技术手段规避、控制或转移某些法律风险；

——信息类，指针对某些法律风险事件发布告警或预警信息； ——活动类，指开展某些专项活动，规避、控制或转移某些法律风险；

——培训类，指对某些关键岗位人员进行法律风险培训，提高其 16

法律风险意识和法律风险管理技能。

在法律风险应对措施确定之后，应该制定应对措施的实施计划。实施计划中至少应该包括以下信息：

——实施法律风险应对措施的机构、人员安排，明确责任和奖惩； ——应对措施涉及的具体业务及管理活动；

——报告和监督、检查的要求；

——资源需求和配臵方案；

——实施法律风险应对措施的优先次序和条件；

——实施时间表。

法律风险应对是一个递进的动态过程，需要根据内外部法律风险环境变化对制定的措施进行评估调整，以确保措施的实时有效性。企业在制定法律风险应对措施后应评估其剩余风险（剩余风险是指预期采取法律风险应对措施后的法律风险）是否可以承受。如果不可承受，应调整或制定新的法律风险应对措施，并评估新的措施的效果，直到剩余风险可以承受。执行法律风险应对措施会引起组织风险情况的改变，需要跟踪、监督有关风险应对的效果和组织的环境信息，并对变化的风险进行评估，必要时重新制订法律风险应对措施。

5.5 监督和检查

企业应实时跟踪内外部法律风险环境的变化，及时监督和检查法律风险管理流程的运行状况，以确保法律风险应对计划的有效执行，并根据发现的问题对法律风险管理工作进行持续改进。法律风险管理的监督和检查环节使得法律风险管理流程形成可持续运转的闭环，是 17

法律风险管理能够持续改进的不可缺少的组成部分。

企业法律风险管理监督和检查的内容应包括但不限于以下内容： ——内外部法律风险环境的发展变化，如法律法规、相关政策的出台和变化、司法、执法及社会守法环境的变化、企业自身战略的调整改变等；

——监测法律风险事件，分析趋势及其变化并从中吸取教训； ——对照法律风险应对计划检查工作进度与计划的偏差，保证风险应对措施的设计和执行有效；

——报告关于法律风险变化、风险应对计划的进度和风险管理方针的遵循情况；

——实施法律风险管理绩效评估。

另外，企业可根据自身的需求和资源状况，选择建立重大法律风险预警制度，即根据对内外部法律风险环境变化的监控结果，及时发布法律风险预警信息，并制定相应的应急预案。应急预案要明确应急处理的相关组织机构、处理流程、沟通机制、应急措施和资源的配臵保障，确保企业对突发法律风险事件的快速反应，有效控制突发法律风险事件对企业造成的影响。

5.6 沟通和记录

5.6.1 沟通

企业在法律风险管理过程的每个阶段都应当与内外部利益相关者有效沟通，以保证实施法律风险管理的相关人员和利益相关者能够充分了解企业面临的法律风险及其给企业带来的影响，正确理解企业 18

法律风险管理决策的依据，并根据相关信息做出恰当决定，有效执行管理活动。

由于企业各层级人员及相关利益相关者的价值观、诉求、假设、认知和关注点不同，造成其法律风险偏好和对法律风险管理的期望不同，这些对法律风险管理的决策和执行有重要影响。因此，企业在法律风险决策过程和法律风险管理执行中应当与内外部利益相关者进行充分沟通，并保存相关记录。为保障这种沟通能够顺利进行，企业应保证法律风险管理的责任部门能够与企业相关人员充分沟通，能够获取履行职责所需的相关记录或档案材料，并且与监管机构、立法及司法机关等外部利益相关者建立顺畅的沟通渠道。

5.6.2记录

在法律风险管理过程中，记录是实施和改进整个法律风险管理过程的必要工作。建立记录应当考虑以下方面：

——出于管理的目的而重复使用信息的需要；

——进一步分析法律风险和调整风险应对措施的需要；

——法律风险管理活动的可追溯要求；

——沟通的需要；

——法律法规和操作上对记录的需要；

——企业本身持续学习的需要；

——建立和维护记录所需的成本和工作量；

——获取信息的方法、读取信息的容易程度和储存媒介；

——记录保留期限管理。

19

6 企业法律风险管理的实施

6.1 概述

法律风险管理流程的组织实施需要一个法律风险管理体系，包括风险管理的方针、组织职能、资源配臵、信息沟通传递机制等相关基础配套设施。

主要包括：

——法律风险管理方针；

——与法律风险管理目标匹配的组织职能和资源保障；

——相关的制度和内部流程控制，使法律风险管理嵌入到组织的所有活动和过程中；

——与内外部利益相关者关于法律风险管理的沟通机制；

——法律风险管理文化；——法律风险管理的技术手段、方法、工具等。

6.2 法律风险管理方针

法律风险管理方针应明确下列事项：

——法律风险管理理念；

——最高管理者对法律风险管理的承诺；

——法律风险管理的目标；

——企业的法律风险偏好；

——法律风险管理目标与企业的目标及其它风险管理目标的关系；

——法律风险管理目标的层次分解和细化；

20

——持续改进的承诺。

6.3 法律风险管理的组织职能

企业可以根据现有的组织结构和风险管理职能设臵原则，明确法律风险管理的组织架构、职责和内容。需明确：

——本企业法律风险管理的组织结构和人员组成，如外部法律顾问、企业内部法律顾问/法律部门/法律岗位等的构成关系；

——内外部法律风险管理资源的分工和合作方式；

——明确法律风险管理体系的制定、实施和维护人员的职责； ——明确执行法律风险应对措施、维护法律风险管理体系和报告相关风险信息人员的职责；

——明确全体员工在其本职工作中有关法律风险管理方面的职责；

——建立批准、授权制度；

——建立考核方法、奖惩制度。

6.4 法律风险管理的制度流程

企业应当根据法律风险管理的目标，建立完善适当的配套制度和行为规范，建立法律风险管理的工作程序，同时结合企业内部控制管理工作，将法律风险纳入到流程控制中，确保法律风险管理工作切实融入到企业的日常管理工作中，确保法律风险管理在企业内部的统一理解和执行。具体要考虑：

——本企业法律风险管理工作的范围和内容；

——法律风险管理制度、规范的制定要考虑企业现有的制度管理 21

体系和风险管理的制度，确保一致性，提高效率；

——形成对制度规范的定期更新和修订，确保其时效性；

——应当具体分析可纳入流程管理的法律风险，其相关管理措施与其他风险控制点的嵌套关系。

6.5 法律风险管理的资源配臵

企业需根据法律风险管理计划，制定可行的方法，为法律风险管理分配适当的资源。具体要考虑下列各项：

——法律风险管理相关人员的技术、经验和能力要求；

——法律风险管理过程每一阶段所需要的人力、资金及其他资源；

——法律风险管理目标、成本和收益的关系，提高法律风险管理的收益水平。

——根据企业内部条件和管理需求，可引入信息和知识管理系统，提高信息沟通和管理的效率。

6.6 法律风险管理的沟通和报告机制

企业要建立内部沟通和报告机制，以保证：

——法律风险管理体系的关键组成部分及其调整得到适当的沟通；

——在企业内部充分报告法律风险应对计划实施的效果和效率； ——在适当的层次和时间提供法律风险管理的相关信息；

——建立与内部利益相关者协商的程序。企业需建立与外部利益相关者沟通的机制。这种机制应当保证：

22

——企业的对外报告符合法律法规和公司治理要求；

——企业与外部利益相关者保持有效的信息沟通；

——在外部利益相关者中建立对组织的信心；

——在发生突发事件、危机和紧急状况时与利益相关者沟通； ——为企业提供外部利益相关者的报告和反馈。

企业法律风险管理信息的沟通和报告机制要考虑与其他风险信息报送的衔接关系，以保证相关部门信息的互动沟通，有助于对风险信息的组合分析，提高管理效率。

6.7 法律风险管理文化

企业应当注重法律风险意识和风险管理文化的培养，从而促进法律风险管理的贯彻实施，保障法律风险管理目标的实现。

具体应考虑：

——树立法律风险管理是企业全体员工共同责任的理念，需在不同层次上履行防范法律风险的职责；

——法律风险管理专业机构应当制定系统化的法律风险管理培训计划，包括一般的普法宣传和专项的法律知识培训，从而提高全体员工知法、守法和用法水平；

——加强法律风险管理机构专业人员的法律实务水平和风险管理水平，加强提升对企业业务管理的深入理解和支撑服务能力，主动积极地为企业的经营决策和管理活动提供法律支持；

——采用多种途径加强对企业法律风险管理理念、知识、方法和流程的培训，以便于企业各层形成共识；

23

——企业应当加强对内部违法违规行为的惩处力度，形成良好的法律风险管理文化；

——重视企业领导层对法律风险管理工作的态度和管理理念以及管理承诺。

附录A 法律风险识别框架示例

法律风险的识别框架可以从两个角度来构建。一个角度是引发企业法律风险的原因，可分为法律环境、违规行为、违约行为、侵权行为、不当行为和怠于行使权利六种；另一个角度是企业所从事的各类经营/管理活动。具体如表A.1所示：

表A.1法律风险识别框架示例

附录B 法律风险清单示例

法律风险清单可以划分为三个信息区。第一部分为基础信息区，主要内容为法律风险及引发风险的具体行为，为便于今后的使用和管理，这里还可以为每个法律风险及风险行为设臵不同的编码；第二部分为法律信息区，包括风险涉及到的法规、法条、案例、法律责任和后果、法律建议等；第三部分为管理信息区，包括风险涉及到的企业内部部门、外部主体、经营管理活动或流等。具体如表B.1示：

24

表B.1 法律风险清单示例

附录C法律风险可能性分析示例

风险事件的发生可能性是指在公司目前的管理水平下，风险事件发生概率的大小或者发生的频繁程度。对法律风险发生可能性的量化分析，可以从以下五个维度进行，每个维度可以进一步细化为若干评分标准，以下示例影响程度分为5个等级，分别赋予1分至5分，表示发生可能性依次加强，得分越高意味风险发生的可能性越大。对照该评分标准，同时根据不同维度对风险发生可能性影响程度的不同，为各维度设定权重系数，并确定计算公式，最终即可计算出该风险发生可能性的得分。

25

表C.1 法律风险可能性分析示例

附录D法律风险影响程度分析示例

风险事件的影响程度是指该风险事件会对公司的经营管理和业务发展所产生影响的大小。对法律风险影响程度的量化分析，可以从以下三个维度进行，每个维度可以进一步细化为若干评分标准，以下示例影响程度分为5个等级，分别赋予1分至5分，表示影响程度依次加强，得分越高意味风险影响程度越大。对照该评分标准，同时根据

26

不同维度与风险影响程度相关性的不同，为各维度设定权重系数，并确定计算公式，最终即可计算出该风险影响程度的得分。

注：财产损失大小的区间界定，根据企业自身情况确定。 表D.1 法律风险影响程度分析示例

27