1、PAGE PAGE 35中華人民共和國國家標準企業法律風險管理指南（征求意見稿）編 制 說 明一、 任務來源根據國家標準化管理委員會2009年國家標準制、修訂計劃，由中國標準化研究院負責組織起草國家標準企業法律風險管理指南，項目編號為20091252-T-469，計劃于2010年完成報批。本項任務由全國風險管理標準化技術委員會（SAC/TC310）提出并歸口。二、 目的及意義在經濟全球化的背景下，世界范圍內的競爭日趨激烈，企業經營的法律環境日益復雜。在世界各國，企業的法律監管環境日趨嚴酷，特別是上市公司面臨的監管環境日益嚴格。這些情況使得企業法律風險管理在企業管理中越來越顯示出其重要作用。在這

2、種情況下，充分發揮標準化手段的規范、權威、迅速、有效等特點，聯合國內相關部委、企業，共同制定我國法律風險管理指南標準，對于幫助我國企業在國際競爭中贏得競爭優勢意義重大，從而達到全面提高我國企業的抗風險能力和國際競爭力，保持我國經濟平穩快速發展、促進社會和諧進步的目的。同時，在時機成熟時可向國際標準化組織提出法律風險管理國際標準提案，使我國的標準化工作在企業法律風險管理領域走在國際前列。三、 標準制訂原則本標準的制定遵循以下3個原則：原則之一：標準的編寫遵守國家標準GB/T 1.12000標準化工作導則 第1部分：標準的結構和編寫規則；GB/T 2000.12002標準化工作指南 第1部分：標準

3、化和相關活動的通用詞匯；GB/T 2000.22002標準化工作指南 第2部分：采用國際標準的規則和GB/T 20012001標準編寫規則。原則之二：在GB/T 243532009風險管理原則與實施指南的框架下，結合國內成功企業的法律風險管理實踐編制本標準；原則之三：本標準在編制過程中，注意加強與風險管理標準體系中其他標準的兼容與一致。標準既要與已頒布實施的相關風險管理標準相協調，還參考了最新的法律風險管理研究成果，以保證其具有較高的先進性和科學性。四、 標準的起草過程1前期準備2008年，中國標準化研究院就開展了對本標準的前期研究工作，重點調研了中國移動等國內較早開展法律風險管理的企業，這些

4、都為本標準的起草打下了很好的基礎。2成立國家標準起草工作組2009年4月，在召開全國風險管理標準化技術委員會（SAC/TC310）年會之際，成立了企業法律風險管理指南國家標準起草工作組，并對下一步工作進行了分工和安排部署。3確定修訂原則起草組充分研究了國內外相關標準以及法律風險管理的技術要求及發展趨勢，在比較準確和充分地掌握了有關信息后，確定了本標準的修訂原則。4提出國家標準草案2009年6月，按照標準制定原則，在進行文獻調研的基礎上，征集了相關行業專家的意見，中國標準化研究院提出國家標準草案（工作組討論稿）。 5工作組召開討論會2009年6月2010年3月，工作組先后召開多次討論會，起草工作

5、組對中國標準化研究院提供的標準草案逐條、逐字進行了討論，幾經修改，充分交換了意見。5形成國家標準征求意見稿2010年4月，工作組在反復討論、交換意見的基礎上，形成國家標準征求意見稿，并向社會公開征求意見。五、 主要內容及說明本標準在GB/T 24353-2009風險管理 原則與實施指南的框架下，結合國內外的有關研究，制定出了一套企業法律風險管理的規范性指南，包括企業法律風險管理的步驟，以及識別、分析、評價和應對法律風險的方法和工具，用于指導企業在其整個生命周期和所有經營環節中開展法律風險管理活動。本指南的主要內容包括：1適用范圍為幫助不同類型和規模的企業更好地使用本標準，對本標準的適用范圍進行

6、了界定。2術語和定義在對國內外相關標準、文獻研究的基礎上，考慮到企業法律風險的內涵和外延，結合國際標準中“風險”的最新定義，本標準給出了“企業法律風險”的定義，為企業法律風險管理提供了統一的術語。3企業法律風險管理原則本指南結合企業法律風險管理的特點，給出了企業進行法律風險管理應遵循的八項原則，即：以企業戰略目標為導向的原則、審慎管理的原則、與企業整體管理水平相適應的原則、融入企業經營管理過程的原則、納入決策過程的原則、納入企業全面風險管理體系的原則、全員參與、全過程開展的原則、持續改進的原則。4企業法律風險管理過程本標準以GB/T 24353-2009風險管理 原則與實施指南規定的風險管理過

7、程為框架，結合企業法律風險管理的特點和需求，給出了企業法律風險管理的過程，由明確法律風險環境信息、法律風險評估、法律風險應對、監督和檢查這四個步驟組成，在整個過程中，溝通和記錄貫穿于各項活動之中。5企業法律風險管理的實施為保證企業法律風險管理過程的有效實施，需要一個法律風險管理體系，包括風險管理的方針、組織職能、資源配置、信息溝通傳遞機制等相關基礎配套設施，并形成相應的法律風險管理文化。為了便于理解，提高標準的可操作性，本指南的資料性附錄給出了法律風險識別框架的示例、法律風險清單示例、法律風險可能性分析示例、法律風險影響程度分析示例等。請各位專家提出寶貴的修改意見和建議。標準起草組二一年四月十

8、二日 HYPERLINK /blogger/post_read.asp?BlogID=3163518&PostID=27783192 企業法律風險管理指南（征求意見稿）目 次前 言言 21 范圍 32 規規范性引引用文件件 33 術語和和定義 34 企企業法律律風險管管理原則則 35 企業法法律風險險管理過過程 5566 企業業法律風風險管理理的實施施 144附附錄A 法律風風險識別別框架示示例 118附錄BB 法律律風險清清單示例例 199附附錄C法法律風險險可能性性分析示示例 220附錄DD法律風風險影響響程度分分析示例例 211前 言言本本標準在在GB/T 2243553-220099風

9、險險管理 原則與與實施指指南的的指導下下，結合合我國企企業法律律風險管管理的實實踐經驗驗編制而而成。本標標準的附附錄A、附附錄B、附附錄C、附附錄D為為資料性性附錄。本標準由全國風險管理標準化技術委員會（SAC/TC 310）提出并歸口。本標準起草單位：本標準主要起草人：企業法律風險管理指南1 范圍本標準提供了企業實施法律風險管理的通用指南。本標準適用于各種類型和規模的企業，可指導企業在其整個生命周期和所有經營環節中開展法律風險管理活動。本標準是通用指南，不作為行業性專用標準使用，企業應根據行業特點，結合自身情況和實際需要應用本標準實施法律風險管理。中小企業可以根據自身管理基礎、資源以及管理需

10、求，對本標準提供的法律風險管理過程和相關的配套保障措施進行簡化或采取遞進式建設，逐步達到本標準要求，從而確保本企業的法律風險管理資源投入與企業的目標相契合，達到管理本企業法律風險的目標。2 規范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而鼓勵根據本標準達成協議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB/T 23694-2009風險管理 術語（ISO/IEC Guide73：2002，IDT）3 術語和定義GB/T 23694-2009 中

11、界定的術語和定義適用于本標準。3.1企業法律風險企業法律風險是指基于法律規定、監管要求或合同約定，由于企業外部環境及其變化，或企業及其利益相關者的作為或不作為，對企業目標產生的影響。4 企業法律風險管理原則 為了有效管理法律風險，支持企業的決策和經營管理活動，企業進行法律風險管理時可遵循以下原則：（1）以企業戰略目標為導向的原則企業法律風險管理目的在于促進企業戰略目標的實現。在法律風險評估和應對等企業法律風險管理活動中應充分考慮法律風險與企業戰略目標之間的相互關系、影響等因素。（2）審慎管理的原則由于法律風險的特殊性，對于法律風險應堅持審慎管理的原則。要在尊重法律、保持誠信前提下，開展法律風險

12、管理活動，風險管理的策略和方法不應違反法律的強制性和義務性規定。（3）與企業整體管理水平相適應的原則法律風險管理是企業管理的有機組成部分，和企業戰略管理、流程管理、績效管理、信息管理等密切相關。法律風險的識別、分析、評價和控制等活動只有與企業整體管理水平相適應，才能取得良好的效果。（4）融入企業經營管理過程的原則法律風險發生于企業的經營管理活動，其識別、分析、評價和應對都不可能脫離企業經營管理過程，法律風險管理必須融入企業經營管理過程，成為其有機組成部分。（5）納入決策過程的原則企業所有決策都應綜合考慮風險，以便將風險控制在企業可接受的范圍內。法律風險作為企業的重要風險范疇，應納入企業決策過程

13、，作為企業決策應考慮的重要因素。（6）納入企業全面風險管理體系的原則法律風險管理是企業風險管理體系的組成部分，應與其他風險的管理整合，以提高風險管理的整體效率和效果。（7）全員參與、全過程開展的原則法律風險產生于企業經營管理的各個環節，因此法律風險管理需要企業所有員工的參與并承擔相關責任，其中特別包括企業專職的法律管理部門（或人員）。各方人員分工負責，以形成法律風險管理的長效機制。（8）持續改進的原則法律風險管理是適應企業內外部法律環境變化的動態過程，其各步驟之間形成一個循環往復的閉環。隨著內外部法律環境的變化，企業面臨的法律風險也在不斷發生變化。企業應該持續不斷地對各種變化保持敏感并做出恰當

14、反應。5 企業法律風險管理過程5.1 概述法律風險管理是企業全面風險管理的組成部分，貫穿于企業決策和經營管理的各個環節。法律風險管理過程由5.2 到 5.5所描述的活動組成，即明確法律風險環境信息、法律風險評估、法律風險應對、監督和檢查，如圖1所示。其中，法律風險評估包括法律風險識別、法律風險分析和法律風險評價等三個步驟。溝通和記錄非常重要，應貫穿于企業法律風險管理過程的各項活動中，5.6將對其進行詳細說明。圖1 法律風險管理過程5.2 明確法律風險環境信息5.2.1 概述明確法律風險環境信息是應用適當的方法，對企業內外部環境中與法律風險相關的信息進行收集、分析、整理、歸納的一系列過程。明確法

15、律風險環境信息是后續法律風險管理活動得以順利實施的必要基礎。明確法律風險環境信息是一個動態的過程，應保持法律風險環境信息的持續更新。5.2.2 外部法律風險環境信息外部法律風險環境信息是指與企業法律風險管理相關的政治、經濟、文化、法律等各種相關信息。企業應根據本行業和企業業務經營管理的特點，具體分析明確外部法律風險環境信息的收集范圍和分析方式，為法律風險評估和應對提供充分的信息保障。外部法律風險環境信息包括但不限于：本行業的業務模式及特點；國內外與本企業相關的政治、經濟、文化、技術以及自然環境等；國內外與本企業相關的立法、司法、執法和守法情況及其變化；與本企業相關的監管體制、機構、政策以及執行

16、等情況；與本企業相關的市場競爭情況；本企業在產業價值鏈中的定位及與其他主體之間的關系；企業主要的外部利益相關者及其對法律、合同、道德操守等的遵從情況；與企業法律風險及管理相關的其他信息。地區間的環境差異是普遍存在的。對于跨區域經營的企業，在進行外部法律風險環境調查時，應特別關注不同地區間可能存在的環境差異。5.2.3 內部法律風險環境信息內部法律環境信息是與企業法律風險及其管理相關的各種信息，包括法律風險和法律風險管理的歷史及現狀。內部法律風險環境信息包括但不限于：企業的戰略目標；企業盈利模式和業務模式；企業的主要經營管理流程/活動、部門職能分工等相關信息；企業在法律風險管理方面的使命、愿景、

17、價值理念；企業法律風險管理工作的目標、職責、相關制度和資源配置情況；企業法律事務工作及法律風險管理現狀，其中對法律風險管理現狀可從方針、組織職能和資源配置、制度和流程內控、溝通和報告、法律風險管理文化和技術手段等要素分析；內部利益相關者的法律遵從情況和激勵約束方式；本企業簽訂的重大合同及其管理情況；本企業發生的重大法律糾紛案件或法律風險事件的情況，本企業相關的法律規范庫和法律風險庫；本企業知識產權管理情況；與法律風險及其管理相關的其他信息。以上法律風險環境信息的收集范圍和內容，應根據企業的法律風險狀況變化及企業的管理需要進行補充調整。5.2.4 企業法律風險準則企業法律風險準則是衡量法律風險重

18、要程度所依據的標準，應體現企業對法律風險管理的目標、價值觀、資源、偏好和承受度。企業法律風險準則應在法律風險管理工作開始實施前制定，并根據實際情況進行相應調整。確定法律風險準則時要考慮但不限于以下因素：本企業法律風險管理的范圍、對象，以及法律風險的分類；法律風險發生可能性、影響程度以及法律風險的度量方法；法律風險等級的劃分標準；利益相關者可接受的法律風險或可容許的法律風險等級；重大法律風險的確定原則。5.3 法律風險評估5.3.1概述法律風險評估包括風險識別、風險分析和風險評價三個環節。5.3.2 法律風險識別 概述法律風險的識別，首先是查找企業各業務單元、各項重要經營活動、重要業務流程中存在

19、的法律風險，然后對查找出的法律風險進行描述、分類，對其原因、影響范圍、潛在的后果等進行分析歸納，最終生成企業的法律風險清單。法律風險識別的目的是全面、系統和準確地描述企業法律風險的狀況，為下一步的法律風險分析明確對象和范圍。進行法律風險識別時要掌握相關的和最新的信息，必要時，需包括適用的背景信息，特別是法律法規的變化信息。除了識別可能發生的法律風險事件外，還要考慮其可能的原因和可能導致的后果，包括所有重要的原因和后果。不論法律風險事件的風險源是否在企業的控制之下，或其原因是否已知，都應對其進行識別。識別法律風險需要所有相關人員的參與。企業所采用的風險識別工具和技術應當適合于其目標、能力及其所處

20、環境。構建法律風險識別框架為保證法律風險識別的全面性、準確性和系統性，企業應構建符合自身經營管理需求的法律風險識別框架，該框架提供一些方便識別法律風險的角度，這些角度包括但不限于以下方面：根據企業主要的經營管理活動識別，即通過對企業主要的經營管理活動（如生產活動、市場營銷、物資采購、對外投資、人事管理、財務管理等）的梳理，發現每一項經營管理活動可能存在的法律風險。根據企業組織機構設置識別，即根據企業各業務管理職能部門/崗位的業務管理范圍和工作職責的梳理，發現各機構內可能存在的法律風險。根據利益相關者識別，即通過對企業的利益相關者（如股東、客戶、供應商、員工、政府等）的梳理，發現與每一利益相關者

21、相關的法律風險。根據法律風險源識別，即通過對法律環境、違規、違約、侵權、怠于行使權利、行為不當等梳理，發現企業存在的法律風險。根據法律風險發生后承擔的責任梳理，即通過對刑事法律風險、行政法律風險、民事法律風險的梳理，發現不同責任下企業存在的法律風險。根據不同法律領域的識別，即通過對不同的法律領域（如合同、知識產權、招投標、勞動用工、稅務、訴訟仲裁等）的梳理，發現不同領域內存在的法律風險。根據法律法規識別，即通過對與企業相關的法律法規的梳理，發現不同法律法規中存在的法律風險。根據以往發生的案例識別，即通過對本企業或本行業發生的案例的梳理，發現企業存在的法律風險。企業可以根據自身的不同需要，選擇以

22、上不同的角度或組合，構建法律風險識別框架。附錄A中給出了從引發法律風險原因的分類和企業經營管理活動過程兩個角度構建風險識別框架的示例。進行法律風險識別根據構建的法律風險識別框架，可采用問卷調查、訪談調研、頭腦風暴、德爾菲法、檢查表法等方法進行法律風險識別，并確定分類和命名規則，對每個法律風險設置相應的編號或名稱。以從引發法律風險源分類和企業經營管理活動過程兩個角度構建的法律風險識別框架為例，此時需要逐一判斷每一經營管理活動中是否可能存在某種法律風源或法律風險事件，并盡可能地列舉這些事件。同一經營管理活動中同一種類的法律風險事件可歸屬于同一法律風險類別，并據此確定該法律風險的名稱，如XX違規風險

23、、XX侵權風險等（XX為某一經營管理活動的名稱）。形成法律風險清單在法律風險事件及法律風險名稱確定后，應將這些事件統一列表，并在列表中補充每一風險事件適用的法律法規、風險動因、可能產生的法律后果、相關的案例、法律分析意見及其涉及的部門、經營管理流程等信息，最終形成企業的法律風險清單。法律風險清單的示例見附錄B。5.3.3 法律風險分析 概述法律風險分析是指對識別出的法律風險進行定性、定量的分析，考慮法律風險源或導致法律風險事件的具體原因、法律風險事件的發生的可能性及其后果，影響后果和可能性的因素，為法律風險的評價和應對提供支持。根據法律風險分析的目的、可獲得的信息數據和資源，法律風險分析可以有

24、不同的詳細程度，可以是定性的、半定量的、定量的分析，也可以是這些分析的組合。在實踐中經常首先采用定性分析以一般了解法律風險等級和揭示主要法律風險。在可能和適當的時候，應當進一步進行更具體和定量的法律風險分析。對于法律風險事件發生的可能性和影響程度的分析應綜合采用建模和專家意見以及經驗推導來確定，要注意與企業內外部相關利益者的溝通，同時要考慮模型和專家意見本身的局限性。 法律風險可能性分析對法律風險發生可能性進行分析時，可以考慮但不限于以下因素：外部監管執行力度，包括企業外部相關政策、法律法規的完善程度，以及相關監管部門的執行力度等；內控制度的完善與執行，包括企業內部用以控制相關法律風險的規章、

25、制度的完善程度及執行力度等；相關人員法律素質，包括企業內部相關人員對相關政策、法律法規、企業規章制度以及法律風險控制技巧的了解、掌握程度等；利益相關者的綜合狀況，包括利益相關者的綜合資質、履約能力、過往記錄、法律風險偏好的表達等；所涉及工作的頻次，指與法律風險相關的工作在一定周期內發生的次數。對于不同類型的法律風險來說，影響其發生可能性的因素會有所不同。各種因素對可能性影響程度的權重也是不同的，并且各因素之間的權重比會因法律風險類型的不同而有所差異。附錄C中給出了法律風險可能性分析的示例。 法律風險影響程度分析對法律風險影響程度進行分析時，可以考慮但不限于以下因素：后果的類型，包括財產類的損失

26、和非財產類的損失等；后果的嚴重程度，包括財產損失金額的大小、非財產損失的影響范圍、利益相關者的反應等。附錄D中給出了法律風險影響程度分析的示例。此外，法律風險與其他風險在一定條件下具有伴生性和相互轉化性，企業要對法律風法律風險與其它風險之間的關聯性進行分析，明確各風險事件之間的影響路徑和傳遞關系，明確法律風險與其它風險之間的組合效應，從而在風險策略上對法律風險和其他相關風險進行統一集中的管理。5.3.4法律風險評價法律風險評價是指將法律風險分析的結果與企業的法律風險準則相比較，或在各種風險的分析結果之間進行比較，確定法律風險等級，以幫助企業做出法律風險應對的決策。在法律風險分析的基礎上，綜合考

27、慮法律風險管理的目標、成本和收益、資源的投入安排等因素，對法律風險進行不同維度的排序，包括法律風險事件發生可能性的高低、影響程度的大小以及風險水平的高低。在法律風險水平排序的基礎上，對照企業法律風險準則，可以對法律風險進行分級，具體等級劃分的層次可以根據企業的管理需要設定。在法律風險排序和分級的基礎上，企業可以根據其管理需要，進一步確定需要重點關注和優先應對的法律風險。5.4 法律風險應對5.4.1 概述法律風險應對是指企業針對法律風險或法律風險事件采取相應措施，將法律風險控制在企業可承受的范圍。法律風險應對包括選擇法律風險應對策略、評估法律風險應對現狀、制定和實施法律風險應對計劃三個環節。5

28、.4.2 選擇法律風險應對策略法律風險應對策略包括規避風險、控制風險、轉移風險、接受風險和其他策略等。選擇法律風險應對策略應該至少考慮以下幾方面的因素：企業的戰略目標、核心價值觀和社會責任等；企業對法律風險管理的目標、價值觀、資源、偏好和承受度等；法律風險應對策略的實施成本與預期收益；選擇幾種應對策略，將其單獨或組合使用；利益相關者的訴求和價值觀、對法律風險的認知和承受度以及對某些法律風險應對策略的偏好。5.4.3 評估法律風險應對現狀如果企業對某些法律風險選取了規避、控制或轉移的應對策略，則應該對這些法律風險的應對現狀予以進一步的評估，以了解目前的法律風險應對存在哪些不足和缺陷，為制定法律風

29、險應對計劃提供支撐。評估法律風險應對現狀至少應考慮以下幾方面的因素：資源配置，即企業內部的相關機構設置能否滿足法律風險應對需要、用于法律風險應對的人員配備是否充足以及用于法律風險控制的經費是否充足等；職責權限，即是否明確與風險應對相關的職責和權限；過程監控，即是否要求對持續性業務/管理活動進行定期或不定期的監督和控制/證據資料保留/信息溝通、告警；獎懲機制，即對相關工作、管理人員在法律風險應對工作中的表現、成績是否設立了獎懲機制等；執行者能力要求，即企業對與法律風險應對相關的內部執行者（公司內部領導、員工）是否有明確的資質、能力要求（業務資質、業務技能、法律素質等）；部門內法律審查，即是否要求

30、業務部門內部對一般性的法律問題進行審查（一般性法律問題指從事某項業務必須掌握的基礎性、常識性的法律問題，各部門人員可以通過培訓掌握相關內容）；專業法律審查，即是否要求法律部門或專業律師對專業性法律問題進行審查或提供相關法律意見；風險意識，即工作、管理人員對風險的存在、風險將會造成的后果，以及如何開展風險應對等方面是否有必要的認識和理解；外部法律風險環境，即有關法律環境是否完善、穩定，社會守法狀況，執法力度和司法方式等。5.4.4 制定和實施法律風險應對計劃應對措施通常包括以下幾種類型：資源配置類，指設立或調整與法律風險應對相關的機構、人員，補充經費或風險準備金等；制度、流程類，指制定或完善與法

31、律風險應對相關的制度、流程；標準、指引類，指針對特定法律風險，編撰指引、標準類文件，供業務人員使用；技術手段類，指利用技術手段規避、控制或轉移某些法律風險；信息類，指針對某些法律風險事件發布告警或預警信息；活動類，指開展某些專項活動，規避、控制或轉移某些法律風險；培訓類，指對某些關鍵崗位人員進行法律風險培訓，提高其法律風險意識和法律風險管理技能。在法律風險應對措施確定之后，應該制定應對措施的實施計劃。實施計劃中至少應該包括以下信息： 實施法律風險應對措施的機構、人員安排，明確責任和獎懲；應對措施涉及的具體業務及管理活動；報告和監督、檢查的要求；資源需求和配置方案；實施法律風險應對措施的優先次序

32、和條件；實施時間表。法律風險應對是一個遞進的動態過程，需要根據內外部法律風險環境變化對制定的措施進行評估調整，以確保措施的實時有效性。企業在制定法律風險應對措施后應評估其剩余風險（剩余風險是指預期采取法律風險應對措施后的法律風險）是否可以承受。如果不可承受，應調整或制定新的法律風險應對措施，并評估新的措施的效果，直到剩余風險可以承受。執行法律風險應對措施會引起組織風險情況的改變，需要跟蹤、監督有關風險應對的效果和組織的環境信息，并對變化的風險進行評估，必要時重新制訂法律風險應對措施。5.5 監督和檢查企業應實時跟蹤內外部法律風險環境的變化，及時監督和檢查法律風險管理流程的運行狀況，以確保法律風

33、險應對計劃的有效執行，并根據發現的問題對法律風險管理工作進行持續改進。法律風險管理的監督和檢查環節使得法律風險管理流程形成可持續運轉的閉環，是法律風險管理能夠持續改進的不可缺少的組成部分。企業法律風險管理監督和檢查的內容應包括但不限于以下內容：內外部法律風險環境的發展變化，如法律法規、相關政策的出臺和變化、司法、執法及社會守法環境的變化、企業自身戰略的調整改變等；監測法律風險事件，分析趨勢及其變化并從中吸取教訓；對照法律風險應對計劃檢查工作進度與計劃的偏差，保證風險應對措施的設計和執行有效；報告關于法律風險變化、風險應對計劃的進度和風險管理方針的遵循情況；實施法律風險管理績效評估。另外，企業可

34、根據自身的需求和資源狀況，選擇建立重大法律風險預警制度，即根據對內外部法律風險環境變化的監控結果，及時發布法律風險預警信息，并制定相應的應急預案。 應急預案要明確應急處理的相關組織機構、處理流程、溝通機制、應急措施和資源的配置保障，確保企業對突發法律風險事件的快速反應，有效控制突發法律風險事件對企業造成的影響。5.6 溝通和記錄5.6.1 溝通企業在法律風險管理過程的每個階段都應當與內外部利益相關者有效溝通，以保證實施法律風險管理的相關人員和利益相關者能夠充分了解企業面臨的法律風險及其給企業帶來的影響，正確理解企業法律風險管理決策的依據，并根據相關信息做出恰當決定，有效執行管理活動。由于企業各

35、層級人員及相關利益相關者的價值觀、訴求、假設、認知和關注點不同，造成其法律風險偏好和對法律風險管理的期望不同，這些對法律風險管理的決策和執行有重要影響。因此，企業在法律風險決策過程和法律風險管理執行中應當與內外部利益相關者進行充分溝通，并保存相關記錄。為保障這種溝通能夠順利進行，企業應保證法律風險管理的責任部門能夠與企業相關人員充分溝通，能夠獲取履行職責所需的相關記錄或檔案材料，并且與監管機構、立法及司法機關等外部利益相關者建立順暢的溝通渠道。5.6.2記錄在法律風險管理過程中，記錄是實施和改進整個法律風險管理過程的必要工作。建立記錄應當考慮以下方面：出于管理的目的而重復使用信息的需要；進一步

36、分析法律風險和調整風險應對措施的需要；法律風險管理活動的可追溯要求；溝通的需要；法律法規和操作上對記錄的需要；企業本身持續學習的需要；建立和維護記錄所需的成本和工作量；獲取信息的方法、讀取信息的容易程度和儲存媒介；記錄保留期限管理。6 企業法律風險管理的實施6.1 概述法律風險管理流程的組織實施需要一個法律風險管理體系，包括風險管理的方針、組織職能、資源配置、信息溝通傳遞機制等相關基礎配套設施。主要包括：法律風險管理方針；與法律風險管理目標匹配的組織職能和資源保障；相關的制度和內部流程控制，使法律風險管理嵌入到組織的所有活動和過程中；與內外部利益相關者關于法律風險管理的溝通機制；法律風險管理文

37、化；法律風險管理的技術手段、方法、工具等。6.2 法律風險管理方針法律風險管理方針應明確下列事項：法律風險管理理念；最高管理者對法律風險管理的承諾；法律風險管理的目標；企業的法律風險偏好；法律風險管理目標與企業的目標及其它風險管理目標的關系；法律風險管理目標的層次分解和細化；持續改進的承諾。6.3 法律風險管理的組織職能企業可以根據現有的組織結構和風險管理職能設置原則，明確法律風險管理的組織架構、職責和內容。需明確：本企業法律風險管理的組織結構和人員組成，如外部法律顧問、企業內部法律顧問/法律部門/法律崗位等的構成關系；內外部法律風險管理資源的分工和合作方式；明確法律風險管理體系的制定、實施和

38、維護人員的職責；明確執行法律風險應對措施、維護法律風險管理體系和報告相關風險信息人員的職責；明確全體員工在其本職工作中有關法律風險管理方面的職責；建立批準、授權制度；建立考核方法、獎懲制度。6.4 法律風險管理的制度流程企業應當根據法律風險管理的目標，建立完善適當的配套制度和行為規范，建立法律風險管理的工作程序，同時結合企業內部控制管理工作，將法律風險納入到流程控制中，確保法律風險管理工作切實融入到企業的日常管理工作中，確保法律風險管理在企業內部的統一理解和執行。具體要考慮：本企業法律風險管理工作的范圍和內容；法律風險管理制度、規范的制定要考慮企業現有的制度管理體系和風險管理的制度，確保一致性

39、，提高效率；形成對制度規范的定期更新和修訂，確保其時效性；應當具體分析可納入流程管理的法律風險，其相關管理措施與其他風險控制點的嵌套關系。6.5 法律風險管理的資源配置企業需根據法律風險管理計劃，制定可行的方法，為法律風險管理分配適當的資源。具體要考慮下列各項：法律風險管理相關人員的技術、經驗和能力要求；法律風險管理過程每一階段所需要的人力、資金及其他資源；法律風險管理目標、成本和收益的關系，提高法律風險管理的收益水平。根據企業內部條件和管理需求，可引入信息和知識管理系統，提高信息溝通和管理的效率。6.6 法律風險管理的溝通和報告機制企業要建立內部溝通和報告機制，以保證：法律風險管理體系的關鍵

40、組成部分及其調整得到適當的溝通；在企業內部充分報告法律風險應對計劃實施的效果和效率；在適當的層次和時間提供法律風險管理的相關信息；建立與內部利益相關者協商的程序。企業需建立與外部利益相關者溝通的機制。這種機制應當保證：企業的對外報告符合法律法規和公司治理要求；企業與外部利益相關者保持有效的信息溝通；在外部利益相關者中建立對組織的信心；在發生突發事件、危機和緊急狀況時與利益相關者溝通；為企業提供外部利益相關者的報告和反饋。企業法律風險管理信息的溝通和報告機制要考慮與其他風險信息報送的銜接關系，以保證相關部門信息的互動溝通，有助于對風險信息的組合分析，提高管理效率。6.7 法律風險管理文化企業應當

41、注重法律風險意識和風險管理文化的培養，從而促進法律風險管理的貫徹實施，保障法律風險管理目標的實現。具體應考慮：樹立法律風險管理是企業全體員工共同責任的理念，需在不同層次上履行防范法律風險的職責；法律風險管理專業機構應當制定系統化的法律風險管理培訓計劃，包括一般的普法宣傳和專項的法律知識培訓，從而提高全體員工知法、守法和用法水平；加強法律風險管理機構專業人員的法律實務水平和風險管理水平，加強提升對企業業務管理的深入理解和支撐服務能力，主動積極地為企業的經營決策和管理活動提供法律支持；采用多種途徑加強對企業法律風險管理理念、知識、方法和流程的培訓，以便于企業各層形成共識；企業應當加強對內部違法違規

42、行為的懲處力度，形成良好的法律風險管理文化；重視企業領導層對法律風險管理工作的態度和管理理念以及管理承諾。附錄A 法律風險識別框架示例法律風險的識別框架可以從兩個角度來構建。一個角度是引發企業法律風險的原因，可分為法律環境、違規行為、違約行為、侵權行為、不當行為和怠于行使權利六種；另一個角度是企業所從事的各類經營/管理活動。具體如表A.1所示：表A.1法律風險識別框架示例 引發原因經營活動 法律環境 違規行為 違約行為 侵權行為 不當行為 怠于行使權利經營管理活動1 經營管理活動2 經營管理活動3 附錄B 法律風險清單示例法律風險清單可以劃分為三個信息區。第一部分為基礎信息區，主要內容為法律風

43、險及引發風險的具體行為，為便于今后的使用和管理，這里還可以為每個法律風險及風險行為設置不同的編碼；第二部分為法律信息區，包括風險涉及到的法規、法條、案例、法律責任和后果、法律建議等；第三部分為管理信息區，包括風險涉及到的企業內部部門、外部主體、經營管理活動或流程等。具體如表B.1示：表B.1 法律風險清單示例基礎信息區 法律信息區 管理信息區風險代碼 風險名稱 行為代碼 引發法律風險的行為 涉及到的法律法規 涉及到的法條 引發的法律責任和后果 案例 法律建議 涉及的部門 涉及的法律主體 涉及的業務/管理活動XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX XXX

44、XXX XXX XXX XXX XXX 附附錄C法法律風險險可能性性分析示示例風險事事件的發發生可能能性是指指在公司司目前的的管理水水平下，風風險事件件發生概概率的大大小或者者發生的的頻繁程程度。對對法律風風險發生生可能性性的量化化分析，可可以從以以下五個個維度進進行，每每個維度度可以進進一步細細化為若若干評分分標準，以以下示例例影響程程度分為為5個等等級，分分別賦予予1分至至5分，表表示發生生可能性性依次加加強，得得分越高高意味風風險發生生的可能能性越大大。對照照該評分分標準，同同時根據據不同維維度對風風險發生生可能性性影響程程度的不不同，為為各維度度設定權權重系數數，并確確定計算算公式，最

45、最終即可可計算出出該風險險發生可可能性的的得分。表C.1 法律風險可能性分析示例 得分維度 5 4 3 2 1內控制度的完善與執行 內部控制規章制度/業務流程很不完善，內部控制規章制度/業務流程很難得到執行 內部控制規章制度/業務流程較完善，內部控制規章制度/業務流程較難得到執行 內部控制規章制度/業務流程較完善，內部控制規章制度/業務流程執行程度一般 內部控制規章制度/業務流程很完善，內部控制規章制度/業務流程執行比較準確 內部控制規章制度/業務流程很完善，內部控制規章制度/業務流程執行非常準確我方人員相關法律素質 不了解 相關法律及企業內部制度 對相關法律及企業內部制度有一定了解 ，但不能

46、有效執行 了解相關法律及企業內部制度 ，且基本能夠執行 理解相關法律及企業內部制度，并能夠較好執行 我方人員非常熟悉相關法律及企業內部制度并能夠完全有效執行風險對方綜合狀況 履約能力很弱或侵權可能性很大，信譽很差 履約能力較弱或侵權可能性較大 履約能力一般或侵權可能性 一般，信譽一般 履約能力較強或侵權可能性較小，信譽較好 履約能力很強或侵權可能性很小，信譽很好外部監管執行力度 有法律規定，有監管部門，違法行為總是能得到及時查處，且處罰嚴厲 有法律規定，有監管部門，違法行為一般都能得到及時查處 有法律規定，有監管部門，但違法行為并未都得到及時查處 有法律規定，有監管部門，但監管部門經常不履行職

47、責 無法律規定，有監管部門，但監管部門經常不履行職責工作頻次 風險行為所涉及的工作每天至少發生一次 風險行為所涉及的工作每周至少發生一次 風險行為所涉及的工作每月至少發生一次 風險行為所涉及的工作每季度至少發生一次 風險行為所涉及的工作每年至少發生一次附錄D法律風險影響程度分析示例風險事件的影響程度是指該風險事件會對公司的經營管理和業務發展所產生影響的大小。對法律風險影響程度的量化分析，可以從以下三個維度進行，每個維度可以進一步細化為若干評分標準，以下示例影響程度分為5個等級，分別賦予1分至5分，表示影響程度依次加強，得分越高意味風險影響程度越大。對照該評分標準，同時根據不同維度與風險影響程度

48、相關性的不同，為各維度設定權重系數，并確定計算公式，最終即可計算出該風險影響程度的得分。表D.1 法律風險影響程度分析示例分析維度 0 1 2 3 4 5財產損失大小 無 10萬元以下 10100萬元 100500萬元 5005000萬元 5000萬元以上非財產損失大小 無 商譽、企業形象、知識產權等損失很小 商譽、企業形象、知識產權等損失較小 商譽、企業形象、知識產權等損失一般 商譽、企業形象、知識產權等損失較大 商譽、企業形象、知識產權等損失很大影響范圍 無 很小范圍的區域，如企業內部 較小范圍的區域，如若干企業間 中等范圍的區域，如全市范圍內 較大范圍的區域，如全省范圍內 很大范圍的區域，如全國范圍