解读《企业法律风险管理指南》

解读《企业法律风险管理指南》

——陈法仲

随着法律法规体系的不断完善，世界各国对企业的法律监管要求都日趋严格，特别是上市公司面临的法律监管环境更为严苛。同时，经济全球化背景下，企业的市场竞争范围不断由国内市场走向国际市场，复杂的经营环境必然给企业带来更为严重的法律风险暴露。由于法律风险伴随着企业经营管理的全过程，尤其是重大法律风险对企业的经营发展影响巨大，使得企业必须加强法律风险管理。为了指导企业在其整个生命周期和所有经营环节中开展法律风险管理活动，以满足国内企业提高法律风险防范能力的迫切需求，2011年12月30日，国家质量监督检验检疫总局、中国国家标准化管理委员会联合发布了GB/T27914—2011国家标准，即《企业法律风险管理指南》（以下称《指南》）国家标准，该标准于2012年2月1日正式实施。

律师作为从事企业法律风险管理的主要人员，不但要了解该《指南》，而且要通过运用《指南》所提供的法律风险管理过程和相关的配套保障措施，有效管理客户企业法律风险，为客户企业提供更优质、更专业、更高端的法律服务，让大家更加了解《指南》，并能熟练运用《指南》。笔者从本期开始将通过一系列文章向大家介绍《指南》的主要内容及如何运用《指南》为客户提供服务。本文将通过对企业法律风险的概念、《指南》出台背景、主要内容及价值与意义等方面为大家进行解读。

一、企业法律风险概念

根据《指南》中的术语和定义，企业法律风险（terprise legal risk）引用了GB／T23694《风险管理术语》中关于企业法律风险的定义。该定义中，企业法律风险是基于法律规定、政策要求或合同约定，由于企业内外部环境及其变化与企业及其利益相关人的作为与不作为相互作用而产生的对企业目标的影响。

从该定义中，我们可以看出，企业法律风险是基于法律规定或合同约定而产生的，也就是说，法律规定或合同约定是企业法律风险的前提。其风险来源是企业内外部环境及其变化、企业及其利益相关者的作为和不作为。其后果是对企业目标实现产生影响。

二、《指南》出台背景与过程

《指南》是2009年国家标准委计划立项，于2010年底完成报批，2011年12月30日正式公布，2012年2月1日开始实施的。

早在2008年，中国标准化研究院就开展了对该标准的前期研究工作，调研了国内较早开展法律风险管理的企业。2009年4月，成立了《指南》国家标准起草工作组，2009年6月，按照标准制定原则，在进行文献调研的基础上，征集了相关行业专家的意见，提出国家标准草案。2010年4月，工作组在反复讨论、交换意见的基础上，形成国家标准征求意见稿，并向社会公开征求意见，2010年7月，工作组对反馈后的意见进行了处理，形成标准送审稿，送审稿经专家讨论和处理后形成报批稿。2011年12月30日，国家质量监督检验检疫总局、国家标准化管理委员会批准该标准，并通过2011年第23号国家标准公告予以公布，至此，《指南》国家标准正式出台。

三、《指南》的主要内容

《指南》由前言、引言、范围、规范性引用文件、术语和定义、企业法律风险管理原则、企业法律风险管理过程、企业法律风险管理的实施及附录等部分组成，其中前言、引言属于序言部分，范围、规范性引用文件、术语和定义、企业法律风险管理原则、企业法律风险管理过程、企业法律风险管理的实施属于正文部分。

（一）前言

前言部分主要是介绍该标准的起草规则，提出该标准的单位，起草单位和主要起草人。

（二）引言

引言是说明编制该标准的原因。在该《指南》引言部分明确指出法律风险问题日益严重，企业法律风险管理在企业管理中的作用是越来越大，所以就制定企业法律风险管理标准，通过这个标准帮助和提高企业抗风险能力。

（三）范围

任何一个标准都不可能在任何专业领域都能用，因此就需要把界定标准的适用范围。《指南》在明确指出，本标准提供了企业实施法律风险管理的通用指南。适用于各种类型和规模的企业，为企业在其整个生命周期和所有经营环节中开展法律风险管理活动提供指导，企业以外的其他类似经营性主体开展法律风险管理活动可参照本标准。这里需要说明的是，通用指南在进行具体操作的时候，需要根据企业不同特点和不同环节的应用展开和细化。

（四）规范性引用文件

该标准里有两个规范性引用文件，第一个是GB／T23694风险管理术语，第二个是GB／T27921--2011风险管理风险评估技术。要注意的是，第一个文件没有注日期，也就是说将来如果标准修订了，修订后的版本也适用于本标准。而第二个文件注明了日期，就是说仅仅是该版本适用于本标准，如果修订，则修订后的版本不适用于本标准。

（五）术语和定义

如前所述，企业法律风险（terprise legal risk）引用了GB／T23694《风险管理术语》中关于企业法律风险的定义。《指南》中明确，GB／T23694界定的“企业法律风险”定义适用于本文件。

（六）企业法律风险管理的原则

《指南》给出了企业进行法律风险管理应遵循的八项原则，即：审慎管理、以企业战略目标为导向、与企业整体管理水平相适应、融入企业经营管理全过程、纳入决策过程、纳入企业全面风险管理体系、全员参与、持续改进。

1、审慎管理，在进行法律风险管理过程中，要尊重法律，要在诚信的前提下进行。策略和方法不应违反法律的义务性规范和禁止性规范。

2、以企业战略目标为导向，由于企业法律风险管理的目的在于促进企业战略目标的实现。因此进行风险管理活动要充分考虑法律风险与企业战略目标之间的相互关系。

3、与企业整体管理水平相适应，为保证企业法律风险管理取得

良好的效果，法律风险管理活动要充分考虑企业当前整体管理水平。

4、融入企业经营管理全过程，由于法律风险发生在企业的经营管理活动中，法律风险管理活动也都不可能脱离企业经营管理过程，因此企业法律风险管理要融入企业经营管理的全过程，贯穿到经营管理的各个环节。

5、纳入决策过程，企业所有决策都要综合考虑风险，以便将风险控制在企业可接受的范围内。法律风险也是企业风险范畴，因此要纳入企业决策过程，作为企业决策应考虑的一个重要因素。

6、纳入企业全面风险管理体系，企业法律风险管理是企业风险管理体系的一部分。在风险管理过程中要与其他风险管理相整合，以提高风险管理的整体效率和效果。

7、全员参与，法律风险在企业经营管理的各个环节都可以发生，因此需要企业所有员工的参与并承担相关责任，各方人员要分工负责，并且要形成法律风险管理的长效机制。

8、持续改进，由于企业内外部环境会不断变化，企业面临的法律风险也会不断发生变化。因此企业要持续不断地对各种变化保持敏感并及时做出恰当的反应。

（七）企业法律风险管理过程

企业法律风险管理是企业全面风险管理的有机组成部分，贯穿于企业决策和经营管理的各个环节。企业法律风险管理过程由明确法律风险环境信息、法律风险评估、法律风险应对、监督和检查等四部分组成，而法律风险评估又包括法律风险识别、法律风险分析和法律风

的机构、人员安排，明确责任分配和奖惩机制；应对措施涉及的具体业务及管理活动；报告和监督、检查的要求；资源需求和配置方案；实施法律风险应对措施的优先次序和条件；实施时间表。

企业在制定法律风险应对措施之后，还是要评估一下剩余风险是否可以接受，如果不可接受，就需要重新调整，或者制定新的应对措施。并且还要评估新的措施的效果，直到剩余风险可以接受，这是对于剩余风险的考虑。

在制定和实施法律风险应对计划时，还要考虑执行法律风险应对措施，会引起企业风险情况的改变，这个改变是不容忽视的，因此需要进行跟踪、监督有关风险应对效果和企业环境信息，并且对这些变化进行评估。必要时要重新制定法律风险应对措施。也可以说，法律风险应对是递进动态的过程，需要根据内外部整个法律风险的变化，对制定的措施进行评估调整，从而保证措施的有效性。

4、监督检查

应对之后，要进行监督检查，这也是贯穿始终的活动。监督检查包括风险管理测试计划的实施，还有环境和风险变化的监控，都是在监督与检查环节中做的工作，通过监督和检查，把信息反馈到法律风险信息当中，进行下一个循环。监督检查作为促进法律风险管理流程执行和改进的环节，具有重要意义。

监督检查内容的设置需要可以分为以下几方面：①企业相关的内外部环境的变化。②具体法律风险事件的变化分析，针对企业辨识出的风险和风险预警指标进行跟踪分析，实行对风险的动态化监控管

理。③对企业制定的年度法律风险管理计划的执行进行监督检查，进行过程分析，必要时调整，提高执行的有效性。④根据具体计划的执行情况，进行绩效考核，同时结合内外部环境的变化和管理需求，提出管理改进建议，完成风险管理流程的闭环管理。

5、沟通和记录

沟通和记录贯穿于企业法律风险管理的全过程，是很重要的环节。有效的沟通能够使企业的法律风险管理目标和价值得到广泛的认同和支持，促进法律风险管理工作的有效实施；记录是实施和改进整个法律风险管理过程的基础，作为整个管理过程的载体和沟通工具，有效保障相关数据的存储和利用。

由于企业各层级人员及利益相关者的关点不同，其法律风险偏好和对法律风险管理的期望也不同，因此，企业在法律风险决策过程和法律风险管理执行中应当与利益相关者进行充分沟通，并保存相关记录。同时企业也要保证法律风险管理的责任部门能够与企业其他相关人员能充分沟通，从而获取履行职责所需的相关记录和档案材料，在外部，还需要与监管机构、立法及司法机关之间建立顺畅的沟通渠道。

在企业法律风险管理过程中，记录是实施和改进整个法律风险管理过程的基础。建立记录要充分考虑以下几个方面：①出于管理目的而重复使用信息的需要；②进一步分析法律风险和调整风险应对措施的需要；③可追溯要求；④沟通的需要；⑤法律法规和操作上对记录的需要；⑥企业本身持续学习的需要；⑦建立和维护记录所需的成本和工作量；⑧获取信息的方法、读取信息的容易程度和储存媒介；⑨

记录保留期限管理。

（八）企业法律风险管理的实施

有了企业法律风险管理过程，还需要具体实施。企业法律风险管理实施同样也是一个法律风险管理体系，包括企业法律风险管理的方针、组织职能、制度流程、资源配置、信息沟通和报告机制以及企业法律风险管理文化等。

1、企业法律风险管理方针

企业法律风险管理方针需明确下列事项：企业法律风险管理理念；管理层对法律风险管理的承诺；企业法律风险管理目标；企业的法律风险偏好；企业法律风险管理目标与企业的目标及其他风险管理目标的关系；企业法律风险管理目标的层次分解和细化；持续改进的承诺。

2、组织职能

企业应设立专门的法律风险管理机构或者岗位，职责包括：明确本企业法律风险管理机构或岗位的人员组成，根据企业内部条件和管理需求，必要时可设置企业总法律顾问，从总体上负责企业的法律风险管理工作；明确内外部法律风险管理资源的分工和合作方式；明确法律风险管理体系的制定、实施和维护人员的职责；明确执行法律风险应对措施、维护法律风险管理体系和报告相关风险信息人员的职责；明确企业管理人员及其他员工在其本职工作中有关法律风险管理方面的职责；建立批准、授权制度；建立考核方法、奖惩制度。

3、制度流程

企业应根据其法律风险管理的目标，建立完善适当的配套制度和行为规范。制度流程需要结合企业内部控制管理工作，将法律风险纳入到流程控制中，确保法律风险管理工作切实融入到企业的日常管理工作中，确保法律风险管理在企业内部的统一理解和执行。建立完善要考虑的因素：本企业法律风险管理工作的范围和内容；法律风险管理制度、规范的制定要考虑企业的制度体系，特别是风险管理制度，确保一致性；形成对制度规范的定期更新，确保时效性。

4、资源配置

企业需要根据法律风险管理计划，为法律风险管理分配适当的资源。

在资源配置时要考虑的因素：法律风险管理相关人员的技术、经验和能力要求；法律风险管理过程每一阶段所需要的资金及其他资源；法律风险管理目标、成本和收益的关系。

5、信息沟通和报告机制

为保证相关部门信息的互动沟通，企业需要建立法律风险管理信息的沟通和报告机制。既要建立内部沟通和报告机制，同是还要建立与外部利益相关者沟通机制。

建立内部沟通和报告机制的目的：保证企业法律风险管理体系的关键组成部分及其调整得到适当的沟通；保证在企业内部充分报告法律风险应对计划实施的效果和效率；保证在适当的层次和时间提供法律风险管理的相关信息；建立与利益相关者协商的程序。

需建立与外部利益相关者沟通机制的目的：对外报告符合法律法

规和公司治理要求；与利益相关者保持有效的信息沟通；树立外部利益相关者对组织的信心；在发生突发事件、危机和紧急状况时与利益相关者沟通；为企业提供外部利益相关者的报告和反馈。

6、管理文化

《指南》中明确，企业应当注重法律风险意识和风险管理文化的培养，从而促进法律风险管理的贯彻实施，保障法律风险管理目标的实现。

在风险管理文化培养过程中，可以从以下几个方面着手：在全体员工中树立法律风险管理是大家共同责任的理念，在不同岗位、不同层次上履行防范法律风险的职责；企业领导层对法律风险管理工作的态度、管理理念以及管理承诺要特别重视；提高重要流程及核心岗位员工法律风险管理的意识和能力；制定系统化的法律风险管理培训计划，加强对企业法律风险管理的培训，提高全体员工知法、守法和用法水平；加强法律风险管理机构专业人员的法律实务水平和风险管理水平；加强对内部违法违规行为的惩治力度，形成良好的法律风险管理文化。

（九）附录

附录部分收录了四份资料性附录。

附录A是法律风险识别框架示例。主要从“企业主要经营管理活动”和“引发法律风险的原因”两个角度来构建。引发企业法律风险的原因，可分为法律环境、违规行为、违约行为、侵权行为、不当行为和怠于行使权利六种。

附录B是法律风险清单示例。清单分三个信息区，包括基础信息区、法律信息区、管理信息区。基础信息区主要为编码、风险名称、行为代码及引发风险的具体行为；法律信息区，包括风险涉及到的法规、法条、案例、法律责任和后果、法律建议等；管理信息区，包括风险涉及到的企业内部部门、外部主体、经营管理活动或流程等。

附录C是法律风险可能性分析示例。法律风险可能性分析主要通过对法律风险发生可能性进行量化分析，分析的范围包括：内控制度的完善与执行、我方人员相关法律素质、风险对方综合状况、外部监管执行力度、工作频次等五个维度。每个维度可以进一步细化为若干评分标准，示例中影响程度分为5个等级，每个等级分别赋予不同分值，从1分到5分，表示发生可能性依次加强，得分越高意味风险发生的可能性越大。对照该评分标准，可计算出该风险发生可能性的得分。

附录D是法律风险影响程度分析示例。

风险事件影响程度是指该风险事件会对公司的经营管理和业务发展所产生影响的大小。对法律风险影响程度的量化分析，可以从财产损失大小、非财产损失大小、影响范围三个维度进行，每个维度可以进一步细化为若干评分标准，示例中影响程度分为5个等级，每个等级分别赋予不同分值，从1分到5分，表示影响程度依次加强，得分越高意味风险影响程度越大。对照该评分标准，可计算出该风险影响程度的得分。

四、《指南》的价值与意义

《指南》是目前世界范围内第一个国家出台的关于企业法律风险管理的专项标准。从风险管理的视角对法律风险的概念定义进行系统的分析和研究，提出了企业法律风险的内涵界定。

《指南》的基本框架体系遵循了国家标准GB/T24353－2009《风险管理原则与实施指南》的基本框架体系，与国际风险管理标准ISO31000相一致，具有一定的通用性和前瞻性。

《指南》作为具体风险的管理标准，突出了法律风险的特点，并且进行了细化研究，给出了具体的实施建议，具有普遍实用性。同时在保证普适性和前瞻性的基础上赋予了处于不同阶段和层级企业使用该标准的灵活性，增强了自身可操作性。

本文来源：https://www.bwwdw.com/article/vh73.html