解读《企业法律风险管理指南》.doc

1、解读企业法律风险管理指南 陈法仲随着法律法规体系的不断完善，世界各国对企业的法律监管要求都日趋严格，特别是上市公司面临的法律监管环境更为严苛。同时，经济全球化背景下，企业的市场竞争范围不断由国内市场走向国际市场，复杂的经营环境必然给企业带来更为严重的法律风险暴露。由于法律风险伴随着企业经营管理的全过程，尤其是重大法律风险对企业的经营发展影响巨大，使得企业必须加强法律风险管理。为了指导企业在其整个生命周期和所有经营环节中开展法律风险管理活动，以满足国内企业提高法律风险防范能力的迫切需求，2011年12月30日，国家质量监督检验检疫总局、中国国家标准化管理委员会联合发布了GB/T279142011

2、国家标准，即企业法律风险管理指南（以下称指南）国家标准，该标准于2012年2月1日正式实施。律师作为从事企业法律风险管理的主要人员，不但要了解该指南，而且要通过运用指南所提供的法律风险管理过程和相关的配套保障措施，有效管理客户企业法律风险，为客户企业提供更优质、更专业、更高端的法律服务，让大家更加了解指南，并能熟练运用指南。笔者从本期开始将通过一系列文章向大家介绍指南的主要内容及如何运用指南为客户提供服务。本文将通过对企业法律风险的概念、指南出台背景、主要内容及价值与意义等方面为大家进行解读。一、企业法律风险概念根据指南中的术语和定义，企业法律风险（terprise legal risk）引用

3、了GBT23694风险管理术语中关于企业法律风险的定义。该定义中，企业法律风险是基于法律规定、政策要求或合同约定，由于企业内外部环境及其变化与企业及其利益相关人的作为与不作为相互作用而产生的对企业目标的影响。从该定义中，我们可以看出，企业法律风险是基于法律规定或合同约定而产生的，也就是说，法律规定或合同约定是企业法律风险的前提。其风险来源是企业内外部环境及其变化、企业及其利益相关者的作为和不作为。其后果是对企业目标实现产生影响。二、指南出台背景与过程指南是2009年国家标准委计划立项，于2010年底完成报批，2011年12月30日正式公布，2012年2月1日开始实施的。早在2008年，中国标准

4、化研究院就开展了对该标准的前期研究工作，调研了国内较早开展法律风险管理的企业。2009年4月，成立了指南国家标准起草工作组，2009年6月，按照标准制定原则，在进行文献调研的基础上，征集了相关行业专家的意见，提出国家标准草案。2010年4月，工作组在反复讨论、交换意见的基础上，形成国家标准征求意见稿，并向社会公开征求意见，2010年7月，工作组对反馈后的意见进行了处理，形成标准送审稿，送审稿经专家讨论和处理后形成报批稿。2011年12月30日，国家质量监督检验检疫总局、国家标准化管理委员会批准该标准，并通过2011年第23号国家标准公告予以公布，至此，指南国家标准正式出台。三、指南的主要内容指

5、南由前言、引言、范围、规范性引用文件、术语和定义、企业法律风险管理原则、企业法律风险管理过程、企业法律风险管理的实施及附录等部分组成，其中前言、引言属于序言部分，范围、规范性引用文件、术语和定义、企业法律风险管理原则、企业法律风险管理过程、企业法律风险管理的实施属于正文部分。（一）前言前言部分主要是介绍该标准的起草规则，提出该标准的单位，起草单位和主要起草人。（二）引言引言是说明编制该标准的原因。在该指南引言部分明确指出法律风险问题日益严重，企业法律风险管理在企业管理中的作用是越来越大，所以就制定企业法律风险管理标准，通过这个标准帮助和提高企业抗风险能力。（三）范围任何一个标准都不可能在任何专

6、业领域都能用，因此就需要把界定标准的适用范围。指南在明确指出，本标准提供了企业实施法律风险管理的通用指南。适用于各种类型和规模的企业，为企业在其整个生命周期和所有经营环节中开展法律风险管理活动提供指导，企业以外的其他类似经营性主体开展法律风险管理活动可参照本标准。这里需要说明的是，通用指南在进行具体操作的时候，需要根据企业不同特点和不同环节的应用展开和细化。（四）规范性引用文件该标准里有两个规范性引用文件，第一个是GBT23694风险管理术语，第二个是GBT27921-2011风险管理风险评估技术。要注意的是，第一个文件没有注日期，也就是说将来如果标准修订了，修订后的版本也适用于本标准。而第二

7、个文件注明了日期，就是说仅仅是该版本适用于本标准，如果修订，则修订后的版本不适用于本标准。（五）术语和定义如前所述，企业法律风险（terprise legal risk）引用了GBT23694风险管理术语中关于企业法律风险的定义。指南中明确，GBT23694界定的“企业法律风险”定义适用于本文件。（六）企业法律风险管理的原则指南给出了企业进行法律风险管理应遵循的八项原则，即：审慎管理、以企业战略目标为导向、与企业整体管理水平相适应、融入企业经营管理全过程、纳入决策过程、纳入企业全面风险管理体系、全员参与、持续改进。1、审慎管理，在进行法律风险管理过程中，要尊重法律，要在诚信的前提下进行。策略和

8、方法不应违反法律的义务性规范和禁止性规范。2、以企业战略目标为导向，由于企业法律风险管理的目的在于促进企业战略目标的实现。因此进行风险管理活动要充分考虑法律风险与企业战略目标之间的相互关系。3、与企业整体管理水平相适应，为保证企业法律风险管理取得良好的效果，法律风险管理活动要充分考虑企业当前整体管理水平。4、融入企业经营管理全过程，由于法律风险发生在企业的经营管理活动中，法律风险管理活动也都不可能脱离企业经营管理过程，因此企业法律风险管理要融入企业经营管理的全过程，贯穿到经营管理的各个环节。5、纳入决策过程，企业所有决策都要综合考虑风险，以便将风险控制在企业可接受的范围内。法律风险也是企业风险

9、范畴，因此要纳入企业决策过程，作为企业决策应考虑的一个重要因素。6、纳入企业全面风险管理体系，企业法律风险管理是企业风险管理体系的一部分。在风险管理过程中要与其他风险管理相整合，以提高风险管理的整体效率和效果。7、全员参与，法律风险在企业经营管理的各个环节都可以发生，因此需要企业所有员工的参与并承担相关责任，各方人员要分工负责，并且要形成法律风险管理的长效机制。8、持续改进，由于企业内外部环境会不断变化，企业面临的法律风险也会不断发生变化。因此企业要持续不断地对各种变化保持敏感并及时做出恰当的反应。（七）企业法律风险管理过程企业法律风险管理是企业全面风险管理的有机组成部分，贯穿于企业决策和经营

10、管理的各个环节。企业法律风险管理过程由明确法律风险环境信息、法律风险评估、法律风险应对、监督和检查等四部分组成，而法律风险评估又包括法律风险识别、法律风险分析和法律风险评价等三个步骤。1、明确法律风险环境信息明确法律风险环境信息通过对企业内、外部环境中与法律风险相关的信息进行收集、分析、整理、归纳的一系列过程。通过明确法律风险环境信息，可以明确法律风险管理目标、明确与组织相关的内部和外部参数，并可以设定法律风险管理的范围和有关风险准则。（1）外部法律风险环境信息外部法律风险环境信息是指企业外部与企业法律风险管理相关的政治、经济、文化、社会、技术、法律等各种相关信息。主要包括：本行业的业务模式及

11、特点；国内外与本企业相关的政治、经济、文化、社会、技术以及自然环境等；国内外与本企业相关的立法、司法、执法和守法情况及其变化；与本企业相关的监管体制、机构、政策以及执行等情况；与本企业相关的市场竞争情况；本企业在产业价值链中的定位；企业主要的利益相关者及其对法律、合同、道德操守等的遵从情况；与企业法律风险及管理相关的其他信息。指南还特别提到，对于跨区域经营的企业，调查时还要特别关注不同地区问可能存在的环境差异。（2）内部法律风险环境信息内部法律风险环境信息是指企业内部与企业法律风险及其管理相关的各种信息。主要包括：企业的战略目标；治理结构；盈利模式和业务模式；主要经营管理流程、部门职能分工等相

12、关信息；在法律风险管理方面的使命、愿景、价值理念；企业法律风险管理工作的目标、职责、相关制度和资源配置情况；企业法律事务工作及法律风险管理现状；利益相关者的法律遵从情况和激励约束方式；签订的重大合同及其管理情况；已发生的重大法律纠纷案件或法律风险事件的情况及相关的法律规范库和法律风险库；知识产权管理情况；企业法律风险管理的信息化水平以及与法律风险及其管理相关的其他信息。由于企业所在行业和经营管理方式不同，各企业可以根据需要对内、外部信息收集范围、内容以及分析方式进行补充和调整，以便为法律风险评估和应对提供充分的信息保障。（3）确定企业法律风险准则企业法律风险准则是衡量法律风险重要程度所依据的标

13、准，需要在企业法律风险管理工作开始实施前制定，并且要体现企业对法律风险管理的目标、价值观、资源、偏好和承受度，在管理过程中可以根据实际情况进行相应调整。确定法律风险准则的因素包括：法律风险管理的范围、对象及分类；法律风险事件发生的可能性、影响程度以及法律风险的度量方法；法律风险等级的划分标准；利益相关者可接受的法律风险或可容许的法律风险等级；重大法律风险的确定原则。2、法律风险评估法律风险评估包括法律风险识别、分析、评价。（1）法律风险识别法律风险识别是在法律风险收集的基础上，通过查找企业各业务单元、各项重要经营活动、重要业务流程中存在的法律风险；进行描述、分类、分析归纳，最终形成企业的法律风

14、险清单的过程。法律风险识别的作用：通过法律风险识别，可全面、系统和准确地描述企业法律风险的状况，为下一步的法律风险分析明确对象和范围法律风险识别的要点：要掌握相关的和最新的信息，必要时，需包括适用的背景信息，特别是法律法规的变化信息。除了识别可能发生的法律风险事件外，还要考虑其可能的原因和可能导致的后果，包括所有重要的原因和后果。不论法律风险事件的风险源是否在企业的控制之下，或其原因是否已知，都要对其进行识别。法律风险识别的工具：企业应当选择适合于其目标、能力及其所处环境的法律风险识别工具和技术。法律风险识别中的工作：风险在哪里；风险的表现是什么；风险的动因和影响。法律风险识别步骤：构建法律风

15、险识别框架。目的是为了保证法律风险识别的全面性、准确性和系统性。构建法律风险识别框架要符合自身经营管理需求，要考虑以下几个方面：企业主要的经营管理；企业组织机构；利益相关者；引发法律风险的原因；法律风险事件发生后承担的责任；法律领域、法律法规及以往发生的案例。查找法律风险事件。可采用问卷调查、访谈调研、头脑风暴法、德尔菲法、检查表法等方法查找法律风险事件，查找法律风险事件要在前面构建的法律风险框架内进行。具体方法在指南里明确引用了GBT27921-2011即风险管理风险评估技术中的方法。形成法律风险清单。通过对查找出来的法律风险事件进行归类，确定法律风险，根据法律风险事件以及法律风险统一列表，

16、列示出所适用的法律法规，可能产生的后果，相关的案例、法律分析意见以及涉及业务单元和部门、经营管理流程等信息，最终形成法律风险清单。指南中提供了法律风险识别的一般框架和思路，不同企业可根据其行业、业务和管理需求选择适合自己的风险识别开展范围和方式，包括问卷设计、访谈等信息采集方式等。（2）法律风险分析法律风险分析是指对识别出的法律风险的可能性和影响程度进行定性、定量的分析，为法律风险的评价和应对提供支持。法律风险的可能性主要考虑以下因素：外部监管的完善程度和执行力度；现有法律风险管理体系的完善与执行力度；相关人员法律素质；利益相关者的综合状况；所涉及工作的频次。法律风险的影响程度主要考虑以下因素

17、：后果的类型；后果的严重程度。由于法律风险与其他风险在一定条件下可以相互转化，所以企业还要对法律风险与其它风险之间的关联性进行分析，明确各风险事件之间的关系，综合分析风险组合对企业的影响。（3）法律风险评价法律风险评价是将法律风险分析的结果与企业的法律风险准则相比较，或在各种风险的分析结果之间进行比较，确定法律风险等级，并根据风险等级确定风险管理的先后顺序,以帮助企业做出应对的决策。法律风险评价步骤：在法律风险分析的基础上，对法律风险进行不同维度的排序。在法律风险水平排序的基础上，对照企业法律风险准则，可以对法律风险进行分级。在法律风险排序和分级的基础上，企业可以根据其管理的需要，进一步确定需

18、要重点关注和优先应对的法律风险。3、法律风险应对法律风险应对是指企业针对法律风险或法律风险事件采取相应措施，将法律风险控制在企业可承受的范围。法律风险应对包括应对策略、对现状进行评估、制定和实施法律风险应对计划三个环节。(1)应对策略选择法律风险应对策略至少要考虑以下几方面的因素：企业的战略目标、核心价值观和社会责任等；企业对法律风险管理的目标、价值观、资源、偏好和承受度等；法律风险应对策略的实施成本与预期收益；利益相关者的诉求和价值观、对法律风险的认知和承受度以及对某些法律风险应对策略的偏好。(2)对现状进行评估评估法律风险应对现状至少要考虑以下几方面的因素：资源配置；职责权限；过程监控；奖

19、惩机制；执行者能力要求；部门内法律审查；专业法律审查；法律风险意识。（3）制定和实施法律风险应对计划应对措施的实施计划中应包括以下信息：实施法律风险应对措施的机构、人员安排，明确责任分配和奖惩机制；应对措施涉及的具体业务及管理活动；报告和监督、检查的要求；资源需求和配置方案；实施法律风险应对措施的优先次序和条件；实施时间表。企业在制定法律风险应对措施之后，还是要评估一下剩余风险是否可以接受，如果不可接受，就需要重新调整，或者制定新的应对措施。并且还要评估新的措施的效果，直到剩余风险可以接受，这是对于剩余风险的考虑。在制定和实施法律风险应对计划时，还要考虑执行法律风险应对措施，会引起企业风险情况

20、的改变，这个改变是不容忽视的，因此需要进行跟踪、监督有关风险应对效果和企业环境信息，并且对这些变化进行评估。必要时要重新制定法律风险应对措施。也可以说，法律风险应对是递进动态的过程，需要根据内外部整个法律风险的变化，对制定的措施进行评估调整，从而保证措施的有效性。4、监督检查应对之后，要进行监督检查，这也是贯穿始终的活动。监督检查包括风险管理测试计划的实施，还有环境和风险变化的监控，都是在监督与检查环节中做的工作，通过监督和检查，把信息反馈到法律风险信息当中，进行下一个循环。监督检查作为促进法律风险管理流程执行和改进的环节，具有重要意义。监督检查内容的设置需要可以分为以下几方面：企业相关的内外

21、部环境的变化。具体法律风险事件的变化分析，针对企业辨识出的风险和风险预警指标进行跟踪分析，实行对风险的动态化监控管理。对企业制定的年度法律风险管理计划的执行进行监督检查，进行过程分析，必要时调整，提高执行的有效性。根据具体计划的执行情况，进行绩效考核，同时结合内外部环境的变化和管理需求，提出管理改进建议，完成风险管理流程的闭环管理。5、沟通和记录沟通和记录贯穿于企业法律风险管理的全过程，是很重要的环节。有效的沟通能够使企业的法律风险管理目标和价值得到广泛的认同和支持，促进法律风险管理工作的有效实施；记录是实施和改进整个法律风险管理过程的基础，作为整个管理过程的载体和沟通工具，有效保障相关数据的

22、存储和利用。由于企业各层级人员及利益相关者的关点不同，其法律风险偏好和对法律风险管理的期望也不同，因此，企业在法律风险决策过程和法律风险管理执行中应当与利益相关者进行充分沟通，并保存相关记录。同时企业也要保证法律风险管理的责任部门能够与企业其他相关人员能充分沟通，从而获取履行职责所需的相关记录和档案材料，在外部，还需要与监管机构、立法及司法机关之间建立顺畅的沟通渠道。在企业法律风险管理过程中，记录是实施和改进整个法律风险管理过程的基础。建立记录要充分考虑以下几个方面：出于管理目的而重复使用信息的需要；进一步分析法律风险和调整风险应对措施的需要；可追溯要求；沟通的需要；法律法规和操作上对记录的需

23、要；企业本身持续学习的需要；建立和维护记录所需的成本和工作量；获取信息的方法、读取信息的容易程度和储存媒介；记录保留期限管理。（八）企业法律风险管理的实施有了企业法律风险管理过程，还需要具体实施。企业法律风险管理实施同样也是一个法律风险管理体系，包括企业法律风险管理的方针、组织职能、制度流程、资源配置、信息沟通和报告机制以及企业法律风险管理文化等。1、企业法律风险管理方针企业法律风险管理方针需明确下列事项：企业法律风险管理理念；管理层对法律风险管理的承诺；企业法律风险管理目标；企业的法律风险偏好；企业法律风险管理目标与企业的目标及其他风险管理目标的关系；企业法律风险管理目标的层次分解和细化；持

24、续改进的承诺。2、组织职能企业应设立专门的法律风险管理机构或者岗位，职责包括：明确本企业法律风险管理机构或岗位的人员组成，根据企业内部条件和管理需求，必要时可设置企业总法律顾问，从总体上负责企业的法律风险管理工作；明确内外部法律风险管理资源的分工和合作方式；明确法律风险管理体系的制定、实施和维护人员的职责；明确执行法律风险应对措施、维护法律风险管理体系和报告相关风险信息人员的职责；明确企业管理人员及其他员工在其本职工作中有关法律风险管理方面的职责；建立批准、授权制度；建立考核方法、奖惩制度。3、制度流程企业应根据其法律风险管理的目标，建立完善适当的配套制度和行为规范。制度流程需要结合企业内部控

25、制管理工作，将法律风险纳入到流程控制中，确保法律风险管理工作切实融入到企业的日常管理工作中，确保法律风险管理在企业内部的统一理解和执行。建立完善要考虑的因素：本企业法律风险管理工作的范围和内容；法律风险管理制度、规范的制定要考虑企业的制度体系，特别是风险管理制度，确保一致性；形成对制度规范的定期更新，确保时效性。4、资源配置企业需要根据法律风险管理计划，为法律风险管理分配适当的资源。在资源配置时要考虑的因素：法律风险管理相关人员的技术、经验和能力要求；法律风险管理过程每一阶段所需要的资金及其他资源；法律风险管理目标、成本和收益的关系。5、信息沟通和报告机制为保证相关部门信息的互动沟通，企业需要

26、建立法律风险管理信息的沟通和报告机制。既要建立内部沟通和报告机制，同是还要建立与外部利益相关者沟通机制。建立内部沟通和报告机制的目的：保证企业法律风险管理体系的关键组成部分及其调整得到适当的沟通；保证在企业内部充分报告法律风险应对计划实施的效果和效率；保证在适当的层次和时间提供法律风险管理的相关信息；建立与利益相关者协商的程序。需建立与外部利益相关者沟通机制的目的：对外报告符合法律法规和公司治理要求；与利益相关者保持有效的信息沟通；树立外部利益相关者对组织的信心；在发生突发事件、危机和紧急状况时与利益相关者沟通；为企业提供外部利益相关者的报告和反馈。6、管理文化指南中明确，企业应当注重法律风险

27、意识和风险管理文化的培养，从而促进法律风险管理的贯彻实施，保障法律风险管理目标的实现。在风险管理文化培养过程中，可以从以下几个方面着手：在全体员工中树立法律风险管理是大家共同责任的理念，在不同岗位、不同层次上履行防范法律风险的职责；企业领导层对法律风险管理工作的态度、管理理念以及管理承诺要特别重视；提高重要流程及核心岗位员工法律风险管理的意识和能力；制定系统化的法律风险管理培训计划，加强对企业法律风险管理的培训，提高全体员工知法、守法和用法水平；加强法律风险管理机构专业人员的法律实务水平和风险管理水平；加强对内部违法违规行为的惩治力度，形成良好的法律风险管理文化。（九）附录附录部分收录了四份资

28、料性附录。附录A是法律风险识别框架示例。主要从“企业主要经营管理活动”和“引发法律风险的原因”两个角度来构建。引发企业法律风险的原因，可分为法律环境、违规行为、违约行为、侵权行为、不当行为和怠于行使权利六种。附录B是法律风险清单示例。清单分三个信息区，包括基础信息区、法律信息区、管理信息区。基础信息区主要为编码、风险名称、行为代码及引发风险的具体行为；法律信息区，包括风险涉及到的法规、法条、案例、法律责任和后果、法律建议等；管理信息区，包括风险涉及到的企业内部部门、外部主体、经营管理活动或流程等。附录C是法律风险可能性分析示例。法律风险可能性分析主要通过对法律风险发生可能性进行量化分析，分析的

29、范围包括：内控制度的完善与执行、我方人员相关法律素质、风险对方综合状况、外部监管执行力度、工作频次等五个维度。每个维度可以进一步细化为若干评分标准，示例中影响程度分为5个等级，每个等级分别赋予不同分值，从1分到5分，表示发生可能性依次加强，得分越高意味风险发生的可能性越大。对照该评分标准，可计算出该风险发生可能性的得分。附录D是法律风险影响程度分析示例。风险事件影响程度是指该风险事件会对公司的经营管理和业务发展所产生影响的大小。对法律风险影响程度的量化分析，可以从财产损失大小、非财产损失大小、影响范围三个维度进行，每个维度可以进一步细化为若干评分标准，示例中影响程度分为5个等级，每个等级分别赋

30、予不同分值，从1分到5分，表示影响程度依次加强，得分越高意味风险影响程度越大。对照该评分标准，可计算出该风险影响程度的得分。四、指南的价值与意义指南是目前世界范围内第一个国家出台的关于企业法律风险管理的专项标准。从风险管理的视角对法律风险的概念定义进行系统的分析和研究，提出了企业法律风险的内涵界定。指南的基本框架体系遵循了国家标准GB/T243532009风险管理原则与实施指南的基本框架体系，与国际风险管理标准ISO31000相一致，具有一定的通用性和前瞻性。指南作为具体风险的管理标准，突出了法律风险的特点，并且进行了细化研究，给出了具体的实施建议，具有普遍实用性。同时在保证普适性和前瞻性的基础上赋予了处于不同阶段和层级企业使用该标准的灵活性，增强了自身可操作性。