GRC法律风险管理(简化版).doc

1、 GRC理论下的法律风险管理系统 第一部分：GRC的理论概论和实务应用 尽管GRC（Governance, Risk and Compliance Management）的概念在国内才刚刚兴起，但其在国外已经发展相当长时间。GRC以美国安然、法国兴业银行等一系列反面教材为触发点，以《萨班斯法案》（Sarbanes-Oxley Act ，简称SOX法案）为源泉，并贯穿到企业治理、风险管理和合规经营等各方面。随着企业的发展，以整体管控、战 略执行为目标，实现企业管控、风险规避、战略绩效、业务流程管理及包括质量、安全、环境等在内各种遵从管理 ，服务于管理层和决策层的GRC管控系统被认为

2、是企业在日益复杂的竞争环境下赖以生存和发展的必然和有效选择 。     中国经济快速增长带动中国企业不断做大、做强，并迈出国门，但在扩张并走向世界的过程中，中国企业逐渐暴露出“低效率低绩效、管控能力薄弱、不合规不透明”等诸多管控问题，不少企业也因此遭受了重大损失；GRC正是很好解决这些问题的管理方法与工具。 一、GRC是一个管理方法与系统工具的集合     GRC全称就是Governance（公司治理或管控）， Risk Management（风险管理） and Compliance Management（ 法规遵从）；是以企业管控、风险和法规遵从为对象，为决策层和管理层提供综合信息

3、和流程控制的支持。 1. GRC管理理念是GRC市场发展的罗盘     GRC理论在国外已发展较长时间，但国外各相关产业经营者对GRC还没有形成一个统一的标准定义，国内同样如此，目前较为完整的定义如下。 (1) GRC完整定义     GRC是在企业的各经营业务之上，以战略为中心，以流程管理为基础，通过绩效管理和风险内控管理措施，对各项经营管理过程进行管理和控制，保障战略和经营目标达成的管理方法和工具的总称；GRC涉及以下三个组成部分：      Governance （治理/管控）：建立完整的制度安排和治理框架，公平对待各利益相干者，制定公司战略目标和 政策，监督绩效，遵从法律及制

4、度规定，透明和披露经营状况，对各项经营管理过程本身进一步进行管理和监督。      Risk Management （风险管理）：对所有业务和法规风险进行结构化的识别、评估、缓解、监视和控制。      Compliance Management （遵从管理）：通过内部控制管理机制和体系，确保各项制度和法规得以遵从、政策 得以贯彻、各项经营和管理目标得以有效达成。 (2) GRC治理模型     GRC管控的主要目的是保障基于企业管控和治理的战略执行，因此企业治理是一个结果 ，也更是一个手段。而对齐战略目标，以业务运营为基础，注重业务执行与监控，关注防范风险与合规，并引入绩效考核的企业

5、管控闭环（如图1）保证了企业管控的有效性，也保证了企业治理的持续性。   图1  企业管控闭环模型     针对快速崛起与发展的中国企业来说，GRC是用于改善企业做强、做大过程中所面 对突出管理问题（如经营绩效，集团管控，合规透明）的管理方法体系和工具集合。 图2  GRC的集合视图 (3) GRC的企业实践     GRC管理理念是从企业发展的需求出发，以企业发展中遇到的问题为向导，保证企业管 控的有效性、及时性、持续性，是针对企业管控问题的管理方法和工具的集合；只有将GRC理念落实到企业，才能 让GRC指导和支撑企业管控，有效服务于战略执行；才能实践才能体现它的价值，检

6、验它的有效性，保持它的先进性。GRC在企业的实践应包含管理体系建立与工具搭建两个方面。 二、GRC理念与工具市场规模不断扩展     随着GRC理论的日趋成熟和企业管理方法的不断提高，越来越多的企业管理 者开始意识到GRC在企业管控过程中的重要作用；也有越来越多的企业将GRC管理理念和工具引入企业的管理工作中 。 1、GRC市场现状     自2006年以来，国内外关于GRC管理理念的研究在不断深化、完善。GRC理念从最初单 一的SOX法案遵从，扩展到目前的涉及风险管理、法规遵从、审计管理、制度管理等；而国内GRC厂商更是根据国内 企业发展特点将企业管控、绩效管理、流程管理、全面预

7、算管理等整合入GRC集成解决方案中。GRC解决方案的扩展 与完善，使其在企业管控中的涉及面更加广泛，也使得其对于企业管控的作用更加突出，企业对其的依赖性更大。 （1）国际GRC市场受金融危机影响震荡扩展     随着国外迪拜危机、雷曼兄弟、通用破产保护，国内三鹿、黄光裕等事件的出现，企 业对于GRC应用越来越广泛；但经济危机令国外企业在过去两年纷纷消减IT投入，因此过去两年国外GRC市场并没像 AMR Research 2008年预测的那样持续增长。据据2009年底AMR Research对151个美国企业进行的调查显示，2007年 到2009年美国GRC市场投入下降约5%，但调查同样显示

8、美国GRC市场在2010年将有大幅增长预计将要达到298亿美元 ，如图3所示。    单位：亿美元 数据来源：AMR Research   图3  AMR Reseach 对美国GRC市场的调查结果 风险管理与企业管控引领GRC市场     无论从国内外经济形势分析，还是从中国企业发展的需求出发，中国企业对GRC管控软件的需求是急切的，企业发展过程中所面临的关键问题也只有通过GRC理念和工具在企业中的实施才能得以解决，这也促使GRC市场在接下来几年将出现快速的扩展，GRC市场拥有更为广阔的前景。 数据来源：AMR Research    图4  AMR Reseac

9、h 对美国GRC市场需求的调研     图4是AMR Reseach今年对美国151家大型企业的调研结果，从中可以看出美国企业对于GRC的需求中，风险管理 依然是企业渴求GRC的最大动机；据此推断，国内企业与此类似，但考虑到中国企业发展现存问题及对问题解决的 紧急程度，风险管理与集团管控将是中国企业对于GRC市场最迫切的需求，二者将共同引领GRC市场不断扩展。 三、政府、厂商与企业共同推进GRC的不断扩展与深化     为应对国内GRC市场面临的众多挑战，满足中国企业在做大、做强过程中对GRC管控软件的需求，使GRC管控服务真正有效地支撑企业管控、风险管理和合规遵从，企业、GRC厂商及政

10、府应共同努力，集体推进国内GRC理论与工具的不断扩展与深化。     企业在发展过程中应该改变原有“小作坊式”的管理思想，认识到企业管控、风险管理及合规遵从的重要性， 加大企业在GRC方面的支持和投入，从而保障企业的业务增长、风险防范和决策支持。GRC厂商应继续深化GRC理论 的研究，丰富GRC解决方案，在产品研发及实施服务上加大投入；同时各GRC厂商需要增加联系、互通有无，争取更早地统一标准，从而更好、更快地为中国企业实施GRC服务产品，为中国企业的快速发展提供动力、保驾护航。政府主 管部门也应关注国内GRC市场的发展，推进GRC标准化企业联盟的形成，并给予GRC管控软件发展中所必需的支持

11、     GRC厂商应在理念研究、产品研发与项目实施相结合的原则下，与政府、行业和企业协同努力，共同推进国内 GRC理念和工具的深化，促使符合中国管理特色的GRC解决方案与产品为中国企业做强、做大提供更大的支持与保障 ，真正实现“中国风险管理律师推动中国企业走向世界”。 第二部分：CRC中的法律风险管控理论概况 在经济全球化的背景下，企业经营的法律环境日益复杂，法律风险管理与业务活动融合的趋势愈加明显。实施有效的法律事务管理，建立法律事务管理体系，全面、系统、科学地识别、分析、控制法律风险，成为当前企业经营发展中重要、紧迫的工作。     与此同时，《关于落实中央企业法制工作

12、第三个三年目标有关事项的通知》《企业法律风险管理指南》等政策法规紧锣密鼓的出台，也标志着中国大、中型企业全面进入到了法律事务管理体系建设阶段。     在此背景下，企业对既能满足自身法务管理需求，又能响应监管机构持续强化管控要求的法律事务管理服务的需求越来越强烈。 法务管理的流程化改革和信息化创新     从人工到系统，法务管理事务由原生态的手工方式，碎片方式逐步跨入流程化制度化时代。     截至目前，以中移动、中石化、中海油等大型央企为代表大中型企业早已在法务管理流程制度化改革方面提前布局。然而，绝大多数中小企业在法务管理流程化制度化过程中，步调仍显缓慢，换言之，中国法务管理服务市

13、场仍在酝酿巨大商机。    新型法律事务管理流程制度，是在成熟的法务工作人员为核心的公司全体，运用GRC理论结合一定信息化手段，打通企业内部相对分立的合同立项、相对方、预算信息、标准文本、合同审核、授权管理、用印管理、合同执行、纠纷管理等相关管理工作，将法务相关的招投标采购类管理、证照管理、商标管理、法律知识库等进行整合，建立企业统一的法律事务管理平台中心。   可以说，法务管理是GRC控制领域一个非常重要的举措。GRC是法律事务管理平台里面非常重要的灵魂。企业在风险防范规划中，应首先为自己提供一个稳定超前的执法环境，如果不存在这种环境，企业就可能会心存侥幸或者无所适从。从最初的合同审批制

14、度到合同全生命周期管理到集团公司法务管理平台，对于企业的法律事务管理来说，流程化体系化的优势不言自喻。而且随着GRC技术化、信息化的不断发展，法务管理工具的不断完善的速度也在加快，在不远的将来，必将为企业法务管理、风险管控方面带来更大裨益。    实际上现在很多大型企业都在搞风险控制，但企业的风险防范要根据自身的特点，并非拿来一个风险防范的系统你就能够适用，而是要根据自己的需求来做真正适合自己的产品。     有一些企业尤其是大型企业，相对方比较多、合同数量巨大，审批流程复杂，合同履行周期长、变数大。此类系统合同风险管控流程制度在搭建时就要重点关注对整个合同流程的管理，要将合同的起草到合

15、同的归档整个过程都涵盖在系统之内，这样才有利于对相对方的管理，才能够对批流程的控制等风险要素等进行有效的管理。    法务管理GRC时代     法务管理流程化体系化之所以受到追捧，源于其能给企业带来的价值。     法务管理的流程化体系化价值主要体现在：首先实现了关键流程的规范化，辅助实现外部监管要求的规范和内部控制要求；二是能够降低劳动强度，提高工作效率，使法务人员从琐碎的非主要法律事务中解放出来，有更多时间和精力进行法务管理性思考；三是主动模式下的科学决策，各个管理人员可以随时主动方便的了解法务信息、准确可靠，极大方便市场业务开展中的风险识别及预估；四是能够形成标准化、规范化

16、网络化的工作平台。将法务管理业务链上的不同角色联系起来，帮助企业实现“法务管理流程化体系化”。     “GRC”管控体系，是近年来企业法务管理领域越来越被重视的一个名词。但GRC并不是一个简单的词，也不是一个简单的思想，而是思想、行动、实践的结合体。应将其看做是一个管理理念和企业解决方案、产品、技术的整体框架结合体。     近年来，一些中国企业对GRC已经有了一定认识，国资委、财政部等监管机构也一直在推动风险管理和内部控制，这都是在GRC管控体系内的一些方向。     对很多中国企业来说，如何在企业内部设立GRC体系的框架，并在这个框架基础上，实现风险管控、合规遵从，使得企业的业务

17、流程和企业的一些具体业务、具体经验结合起来，真正让GRC系统在实操的过程中发挥更重要的作用，是接下来该做的事情。 截至目前，以中移动、中石化、中海油等大型央企为代表大中型企业早已在法务管理流程制度化改革方面提前布局。然而，绝大多数中小企业在法务管理流程化制度化过程中，步调仍显缓慢，换言之，中国法务管理服务市场仍在酝酿巨大商机。    新型法律事务管理流程制度，是在成熟的法务工作人员为核心的公司全体，运用GRC理论结合一定信息化手段，打通企业内部相对分立的合同立项、相对方、预算信息、标准文本、合同审核、授权管理、用印管理、合同执行、纠纷管理等相关管理工作，将法务相关的招投标采购类管理、证照管

18、理、商标管理、法律知识库等进行整合，建立企业统一的法律事务管理平台中心。   可以说，法务管理是GRC控制领域一个非常重要的举措。GRC是法律事务管理平台里面非常重要的灵魂。企业在风险防范规划中，应首先为自己提供一个稳定超前的执法环境，如果不存在这种环境，企业就可能会心存侥幸或者无所适从。从最初的合同审批制度到合同全生命周期管理到集团公司法务管理平台，对于企业的法律事务管理来说，流程化体系化的优势不言自喻。而且随着GRC技术化、信息化的不断发展，法务管理工具的不断完善的速度也在加快，在不远的将来，必将为企业法务管理、风险管控方面带来更大裨益。    实际上现在很多大型企业都在搞风险控制，

19、但企业的风险防范要根据自身的特点，并非拿来一个风险防范的系统你就能够适用，而是要根据自己的需求来做真正适合自己的产品。     有一些企业尤其是大型企业，相对方比较多、合同数量巨大，审批流程复杂，合同履行周期长、变数大。此类系统合同风险管控流程制度在搭建时就要重点关注对整个合同流程的管理，要将合同的起草到合同的归档整个过程都涵盖在系统之内，这样才有利于对相对方的管理，才能够对批流程的控制等风险要素等进行有效的管理。   高效合规，风险导向，管控落地： 　　内部控制体系建设的需要是企业不同发展阶段的内生性要求，财政部等五部委2008和2010年先后出台的《企业内部控制基本规范》和《企业内

20、部控制配套指引》，从外部合规角度进一步加强了企业建立健全内部控制体系的要求。面对两项要求，如何结合企业现有基础，在保障合规的前期下有效地建设和优化内部控制体系，使内控建设成果有效落地和解决一些关键问题，成为众多企业管理部门凾待解决的问题。 解决方案： 　　元炳律师作为内控和风险管理体系领域的技术领先者，率先提出有效内控合规的理念，坚持风险导向，注重落地运行。从内控体系建设的设计阶段，使用"内控有效性模型"明确内控项目的阶段目标和工作重点。建设阶段则基于"内控合规实施路径"，细化工作任务和里程碑，并通过培训和工具强化知识转移和能力建设。运行阶段则强调实施保障，通过顶层设计与运行、内控团队

21、培养、信息化手段、持续优化与更新加强四个方面落实运行工作计划。整个方案的核心是如何保证内控体系建设的价值实现，主要表现： 从观念扫清内控和风险管理盲区，业务部门从被动做到积极要求做 通过风险梳理改进重点，科学有效应用内控和风险管理的系统性方法实质解决当前管理中存在的问题 通过制度规范化降低风险水平，通过自评价机制推动滚动更新 通过信息系统提高工作效率，通过观念改变带动管理提升 内控有效性模型 　　 内控有效性模型是协助企业开展内控合规和管理提升的总体框架和实施标准。通过该模型，可以快速帮助企业梳理和定义不同阶段的工作目标、工作内容、工作方法、工作成果，并能够在整个内控和管

22、理提升周期内合理控制或调整建设节奏。该模型由三个部分组成： 从内控合规和内控体系建设目标角度出发，从基础合规、管理提升和风险导向"三个阶段"选取符合企业所处行业背景和现有管理基础的阶段工作重点 内控体系建设工作方法论，设计、建设、实施各阶段工作有所侧重 内控体系建设落地运行的保障 内控合规实施路径 实施效果 　　 真正实现了内控导向： 　　 通过风险型内控体系建设工作，为企业搭建以风险管理为导向的内控体系及内控评价和更新体系，不仅满足财政部等监管机构的内控合规要求，而且能够实现企业运营风险的有效管控，并且与企业现有管控体系、标准化体系有效衔接；此外，内控评价机制

23、更新机制，确保了内控整改实现有效落地，也实现了企业风险管理和内控体系的有机结合与滚动更新。 　　 体现了内控实操性： 　　 控制措施设计综合考虑政策限制、行业产业现状、企业的承受能力、操作效果等因素，倾向从实操性的角度先实现一定程度的控制，循序渐进，逐步实现全过程的控制效果，避免出现传统内部控制中某些控制措施设计的很完美却无法执行的情况。与相关业务的实际运营特点相结合，坚持风险控制分步骤、分阶段的理念，综合考虑企业的文化、经营风格等因素，强调内部控制的时效性，突出内部控制更新的时效性和必要性。 相关案例： · 某房地产建筑集团内控体系建设及评价案例 国资委《中央企业全面风险管理指

24、引》、财政部《企业内部控制基本规范》、国家标准委《企业法律风险管理指南》等政策法规近年来陆续出台。     首先改变的是大型央企。     一般来说，中央企业结构庞大、分支众多，业务层级复杂，对于法务管理信息系统的要求较高。在包括合同管理、授权管理、证照管理、法律知识库等法务管理流程化制度化方面，央企的需求也最为迫切。     一位央企法务部门负责人表示，该集团在业务经营的过程中，涉及大量的合同起草、审批、签订、归档、借阅等管理环节，去年全集团仅各种合同就多达5万多份。     此前，企业的合同管理、法律纠纷案件管理、商标管理、授权管理、证照印章管理以及统计汇总等工作基本上都是手工完成

25、并普遍存在碎片化问题，没有形成确保法律审核把关率达到百分之百的工作流程技术手段，影响了全集团法律管理工作的效率和质量。     在2012年建立法律事务管理系统之后，不仅使该集团法律相关工作效率得到了提升，控制了风险，促进有效进行科学决策，而且使法律管理更加规范化、透明化和一体化。     “法律系统是一个法务信息控制平台，为集团领导及相关部门提供可及时了解、掌握、灵活分析和动态的处理法律事务信息。”该法务负责人表示。    要从结果假设的角度倒推理解法律风险控制客观要求的理想模型，这个模型的实现是要分阶段的，认识到了模型之后，就由它来匹配企业的管理战略。企业的业务是什么样的，外部管理

26、模型是什么样的，有哪些要求，执行的步骤如何规划等，都是战略制定的核心内容。     一旦顶层设计完毕之后，就可以在企业内部各层级进行落实，包括监管、决策、合规的管控、风险、安全、流程审批、执行节点把控等，各个层面都可以很好地去落实，从而形成对法律风险管控要求的匹配。     对于企业来说，必须遵循现有法律体系的游戏规则，否则对于企业来说，在法律系统中就可能处于被动挨打的局面。如一些企业没有自己的格式合同，往往在谈判中就处于一种不利的地位；还有一些到对外投资的企业花了比别人高的价格，却买到并不满意的东西；一些企业在签约时签了很不利的条款，如对外投资时的价格补偿条款缺失等问题。很多企业因此付出

27、了高昂的学费。企业法律风险是什么？法律风险管理与企业法律事务管理的关系和定位是什么？在市场经济环境下，企业面临着日益复杂的内外部环境，法律法规和监管的日益完善和严格，市场环境和业务模式的日新月异，企业的法律风险管理贯穿于企业成立、存续和退出的全生命周期，企业在管理法律风险的价值追求是什么？法律风险管理、法律事务管理和企业业务管理如何有效的结合？成为企业主管部门不得不思考的问题。 法律风险管理的挑战和机会 挑战   ♦ 法律风险具有分布的广泛性和产生路径的多样性，贯穿于企业存续的始终 ♦ 法律风险在一定条件下与其他风险具有伴生性和转化性 ♦ 法律风险管理需要全员的参与，这与目前

28、企业职能化的条块管理如何有效协调 机会   ♦ 传统法律事务管理引入风险管理的理念可以帮助重新思考法律风险管理的价值和功能定位 ♦ 从法律风险产生的机制入手，建立全员参与、分层、分级、区分功能和定位的防控体系有助于提升法律风险管理的实效 ♦ 将极大地改变传统法律事务管理在企业的价值定位，将由事后处理为主的被动转变为广泛参与企业经营决策和管理的主动 关键成功要素   ♦ 企业对法律风险管理功能和价值的准确定位 ♦ 高管层的重视和承诺 ♦ 建立清晰的目标和体系框架结构 ♦ 开发可实施运转的规范和程序 ♦ 纳入企业考核，建立有效的奖惩 法律风险管理解决方案 结合国

29、家标准委《企业法律风险管理指南》等标准的研究，结合目前企业的管理需求和实际进行系统性的研究分析，从理论研究到具体项目实施，不断探索、积累和创新法律风险管理方法论，并开发了法律风险管理流程及体系系统，提高法律风险管理的效率和效果。 法律风险管理体系设计   1、法律风险辨识框架和分类设计 2、法律风险管理职能体系设计 3、法律风险管理流程设计 4、法律风险管理报告体系设计 5、法律风险管理考核体系设计 6、法律风险管理体系建设规划 7、法律风险管理实施工具模板设计 体系实施类型   1、法律风险辨识 2、法律风险分析 3、法律风险评价 4、法律风险控制措施

30、和计划制定 5、法律风险管理报告编撰 6、法律风险实施后评估 专项法律风险具体解决方案   1、投资法律风险 2、合同风险 法律风险管理信息系统   1、法律风险管理管理全流程信息系统 · 法律风险环境信息收集 · 法律风险在线辨识、评价 · 法律风险管控措施计划制定和过程监控 · 法律风险监控预警 · 法律风险多维报告生成 · 案例共享和信息交流 · 在线数据维护和查询 2、合同管理信息系统 · 合同登记及归档管理 · 基础信息管理 · 统计报表 · 数据统计 · 系统管理 实施效果 · 帮助企业进行客户化的法

31、律风险管理体系框架设计，确保体系的适用性和操作性 · 针对法律风险的具体管理领域，制定细化解决方案，满足不同需求 · IT信息化平台的客户化建设，提升了法律风险管理工作的落地实效 · 将风险管理理念和方法工具创造性地融入企业的日常经营管理，理顺法律事务管理和风险管理的工作机制，有效整合管理资源，提升管理效益，为企业法律管理增值。    通过风险识别、评价、应对、监控、报告、改进的的循环流程来全面管理企业风险，实现持续的监控与改进；通过及时、准确、真实传递和共享各种风险信息，展现、落实集团全面风险管理模式和相关制度；   固化风险评估体系、方法和流程，自动形成多维度的风险分布图谱

32、通过与业务系统的集成，建立风险指标体系与风险模型，实现对风险的实时监控与预警；通过指标预警联动风险应对措施，快速应对风险；通过风险事件管理，形成自下而上的汇报机制，实现对风险的动态跟踪；    提供多种风险报表、报告与视图，全面展现风险管理工作状况及风险变化趋势；通过跟踪、监督、评价各项风险管理工作过程和成果，并对组织和人员进行考核，增强集团公司的风险管理能力和水平。 图6【总体业务视图】 · 全面风险管理具有系统性、复杂性、长期性、艰巨性等特点，元炳律师风险管理流程化体系化设计充分考虑到集团管理的复杂程度，能灵活适应集团的风险管理策略，在建立健全集团风险管理体系的基础上，通过风

33、险信息收集、风险识别、风险分析及评价、风险应对、风险监控、风险报告等六个核心功能模块，实现了企业风险的闭环管理，帮助集团企业提高风险识别与应对能力，提升风险管理的技术水平。 【系统功能框架】 (一) 多样化的风险识别方法 提供问卷调查、流程建模等风险识别方法，帮助企业识别风险的风险源、影响范围、相关事件、风险原因及潜在后果等信息，并建立企业的全面风险清单，从而保障风险识别的全面性。 (二) 定量、半定量的风险评估方法 通过风险矩阵法、Borda序数法等风险评估方法，实现定量、半定量的风险评估，确定风险影响程度及可能性，根据风险影响程度及可能性，提供多种计算方式确定风险等级，根据风

34、险等级，得出定量、半定量的风险图谱，从而帮助企业全面了解当前风险状况及分布。 (三) 持续的风险监控与预警 风险管理系统提供多种方式与业务系统进行集成，自动采集数据，在系统中通过多种形式进行展示和预警，持续的监控关键风险指标变化情况。并且与风险的应对措施、岗位职责紧密配合，通过指标预警联动风险应对措施的响应，快速应对风险。 (四) 重大风险的整体应对 系统提供多种风险应对方式及应急预案，帮助企业明确重大风险的责任主体和应对措施，并合理配置资源，确保重大风险管理措施落到实处，做到重大风险有预警、有预案、有措施、有方案、有动态改进机制。 (五)生成外部报告 基于流程体系的工作，法务人员

35、可以建立自下而上的风险管理报告体系，有效率的汇总整理风险管控信息，形成风险管理的整体视角，生成的各类风险数据，真实的反映集团公司阶段风险管理工作的实际情况，形成向监管部门的风险管理报告。 (六) 积累与持续改进 基于流程制度体系，建立风险管理知识库，存储风险管理经验，为总结提升更优化的风险管理方法、风险应对措施、风险报告模式、风险评估技术提供参考，帮助企业建立自我更新、持续优化的风险管理机制。 法律风险管控的第一步从合同管理开始 引言     合同管理是落实企业风险管理和内部控制的一项核心的管理业务，合同是企业对外交易的门户，合同管理的好坏直接影响企业的经营成败；

36、另外外部法规对合同管理做出的要求和指引，都使各大企业意识到合同管理的重要性，并逐渐形成对合同管理专业化、网络化和规范化管理的需求。元炳过长期的对各大中型集团企业的合同管理的业务进行深入分析，从企业风险管理和内控要求的角度探求合同管理的管控点，管控要求以及管控手段，形成独特的、专业的、全过程的合同管理解决方案和产品，它可以帮助企业规范管理，提高审批效率，加强合同履行的跟踪，通过各种预警和风险事件处置控制风险，实现快速查询和统计分析来支持决策。 背景     企业面临快速的发展和日益激烈的市场竞争，使合同管理面临的挑战和监管要求越来越多，特别是国家法规对企业内控和风险管理提出的特殊要求

37、如国家财政部等五部出台的《企业内控应用指引—16号》中明确了企业在内部控制方面对合同管理业务的明确要求，其中特别提出了充分利用流程化制度化手段实现合同的全过程封闭的管理。     以合同管理的流程分析为基础，从企业内控和风险管理的视角进行合同管理的分析，形成合同管理的内控矩阵，并最终落实在合同管理各个环节的管控中。 简介 合同管理解决方案从合同的签订前、签订中、履行中和履行后四个阶段进行了详细的业务分析和功能设计，充分考虑了企业对于风险管理和内部控制的要求，探索并发现风险管控点，设置合理的管控方法，有效控制风险，实现合同全过程的封闭管理。     签订前：实现供应

38、商信息的收集、查询，与此供应商关联的合同的查看以及履行情况的评价和统计分析，通过把好源头关控制企业风险；合同预算关联合同使合同订立时符合公司的资金计划，降低财务风险；标准的合同文本和规章制度规范了合同起草和审批的过程，降低企业法律风险。 签订中：通过合同的归口管理，规范合同审批流程，严格合同授权，提升合同审批效率，防止合同签订过程中的法律风险。   履行中：加强合同履行的监督和控制，进行合同项下付款的预警提示，敏捷的提示超期风险事件，形成风险事件信息集成，严格合同变更、解除和续签的审批过程，有效控制各企业监管相对薄弱的履行环节，规避合同履行的风险。     履行后：对合同履行情

39、况建立评价体系，已通过不断的反馈实现合同管理的持续改进和提高，快速、方便的查询、统计分析和报告支持企业领导决策。 价值     ●落实企业风险管理和内部控制要求，实现合同全生命周期的流程化、制度化、专业化管理；     ●规范流程和合同文本，固化管理制度，控制合同订立风险；提高审批效率，降低管理成本；     ●加强履行的监督、监控和到期预警，控制履行风险；     ●快速查询、灵活方便的统计分析和报告，支持决策。提供的服务 在合同管理流程体系化实践的过程中，众多企业认为，只要审批流程化，合同审核的效率、管理的效率就必然会提高，事实果真如此吗？     从元炳律师

40、为众多企业实施合同管理系统的实践经验来看，事实未必如此。企业若想借助流程化系统来提升合同管理的效率、控制法律风险，必须解决好以下三个问题。     一是管理提升的问题。首先，运用专业法律技术提升企业合同管理效能，系统实施的甲乙双方必须就合同管理业务中的问题，哪些是法律技术可以解决的，哪些需靠管理改善解决的达成共识。从管理的成熟度和法律专业化的依赖程度两个维度，对合同管理业务系统做出明确的定位，才能理清信息化的思路。（注意，将信息化依赖度变成法律专业依赖度）     元炳律师在实施合同管理系统时，将与企业合同业务部门一起深入细致地对企业合同管理相关业务进行研究分析，对现有的制度和流程进行

41、梳理，找出缺陷，提出改善性建议，为流程化体系化奠定基础。     二是信息系统功能的问题。其次，在设计合同管理流程体系系统功能时，多少企业仅仅关注流程化后的审批传递效率，而忽略合同审核自身效率和使用体验。 元炳律师合同管理系统不仅可以提升合同的流转速度，提供合同审核过程的留痕、流程节点的追踪、流程统计等能力；更关键是，通过系统功能带来合同审核效率的提升。 如：从合同范本起草开始，起草人对范本的修改痕迹，都会记录下来，合同审核人审核时就可以只关注修改的地方，不需要逐字逐句来审核了。另外，会对待办任务、设定的关键时间节点进行提醒，使得客户能够及时办理相关的任务，在提高效率的同时，也能很好

42、的控制风险。   三是管理要求与法律专业系统的结合问题。再次，合同管理系统的流程化不是简单的把合同审核表单、审核流程的制度化，而必须将管理要求与合同审查所需的法律专业成熟系统的真正的结合起来，通过管理手段进行专业流程化，制度固化，才能控制风险，体现合同管理系统的管理价值。 系统平台的价值集中体现在： 协助企业满足监管机构的考核要求，全面符合与风险管理相关的法律法规； 全面、丰富的风控统计，帮助企业高管层站在统一的管控平台上综合考虑公司治理、风险、合规等问题； 提供一个高效、协同的法务平台，通过信息的共享及专业的传递实现风控业务的有效融合，通过制度化的手段实现业务流程的总体监控，加强重

43、大风险的全过程管理； 提升风险意识，统一风控要求，明确工作职责，通过流程管理、内控体系化等手段促进企业风险管理、内控管理与日常经营管理的有机融合。 企业风险管理工作应围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，从而防范重大风险的发生，确保企业战略目标的达成。 企业内控管理工作的开展应以业务流程为出发点，以规章制度为基础，识别流程步骤和控制活动，细化关键控制环节和流程中存在的风险点，构建内控知识体系；通过内控评价及整改跟踪不断优化业务流程，提高企业经营管理水平和风险防范能力。 内控管理是风险管理有效的应对手段，良好的内部控制，可保证业务流程的有效、规范运行，降低了执行层面风险发生的可能性，其控制对象主要是企业内部、可控的、非决策性的风险范畴。对于内部控制无法涉及到的企业外部的、决策层面的风险，需要借助风险管理方法和工具实现风险的有效管控。 可见，风险管理是内部控制的自然延伸，内涵更宽，企业应当统筹协调，构建风控一体化统一管理平台，元炳实施的法律内控及风险管理流程体系平台实现了风险、内控、制度的关联，提升了风险管理的效率，增强了集团管控能力。 31