国家标准化委员会《企业法律风险管理指南》(GB/T27914-2011)目次前言1范围2规范性引用文件3术语和定义4企业法律风险管理原则5企业法律风险管理过程6企业法律风险管理的实施附录A法律风险识别框架示例附录B法律风险清单示例附录C法律风险可能性分析示例附录D法律风险影响程度分析示例前言本标准在GB/T24353-2009《风险管理原则与实施指南》的指导下,结合我国企业法律风险管理的实践经验编制而成。本标准的附录A、附录B、附录C、附录D为资料性附录。本标准由全国风险管理标准化技术委员会(SAC/TC310)提出并归口。本标准起草单位:中国标准化研究院、中国移动通信集团公司、第一会达风险管理科技有限公司、中华全国工商业联合会、北京市展达律师事务所、中国电子信息产业集团公司、中国建筑工程总公司。本标准主要起草人:高晓红、叶小忠、吕多加、薄勇、王志华、白莲湘、崔艳武、刘瑛、孔雪屏、秦玉秀企业法律风险管理指南1范围本标准提供了企业实施法律风险管理的通用指南。本标准适用于各种类型和规模的企业,可指导企业在其整个生命周期和所有经营环节中开展法律风险管理活动。本标准是通用指南,不作为行业性专用标准使用,企业应根据行业特点,结合自身情况和实际需要应用本标准实施法律风险管理。中小企业可以根据自身管理基础、资源以及管理需求,对本标准提供的法律风险管理过程和相关的配套保障措施进行简化或采取递进式建设,逐步达到本标准要求,从而确保本企业的法律风险管理资源投入与企业的目标相契合,达到管理本企业法律风险的目标。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T23694-2009风险管理术语(ISO/IECGuide73:2002,IDT)3术语和定义GB/T23694-2009中界定的术语和定义适用于本标准。3.1企业法律风险企业法律风险是指基于法律规定、监管要求或合同约定,由于企业外部环境及其变化,或企业及其利益相关者的作为或不作为,对企业目标产生的影响。4企业法律风险管理原则为了有效管理法律风险,支持企业的决策和经营管理活动,企业进行法律风险管理时可遵循以下原则:(1)以企业战略目标为导向的原则企业法律风险管理目的在于促进企业战略目标的实现。在法律风险评估和应对等企业法律风险管理活动中应充分考虑法律风险与企业战略目标之间的相互关系、影响等因素。(2)审慎管理的原则由于法律风险的特殊性,对于法律风险应坚持审慎管理的原则。要在尊重法律、保持诚信前提下,开展法律风险管理活动,风险管理的策略和方法不应违反法律的强制性和义务性规定。(3)与企业整体管理水平相适应的原则法律风险管理是企业管理的有机组成部分,和企业战略管理、流程管理、绩效管理、信息管理等密切相关。法律风险的识别、分析、评价和控制等活动只有与企业整体管理水平相适应,才能取得良好的效果。(4)融入企业经营管理过程的原则法律风险发生于企业的经营管理活动,其识别、分析、评价和应对都不可能脱离企业经营管理过程,法律风险管理必须融入企业经营管理过程,成为其有机组成部分。(5)纳入决策过程的原则企业所有决策都应综合考虑风险,以便将风险控制在企业可接受的范围内。法律风险作为企业的重要风险范畴,应纳入企业决策过程,作为企业决策应考虑的重要因素。(6)纳入企业全面风险管理体系的原则法律风险管理是企业风险管理体系的组成部分,应与其他风险的管理整合,以提高风险管理的整体效率和效果。(7)全员参与、全过程开展的原则法律风险产生于企业经营管理的各个环节,因此法律风险管理需要企业所有员工的参与并承担相关责任,其中特别包括企业专职的法律管理部门(或人员)。各方人员分工负责,以形成法律风险管理的长效机制。(8)持续改进的原则法律风险管理是适应企业内外部法律环境变化的动态过程,其各步骤之间形成一个循环往复的闭环。随着内外部法律环境的变化,企业面临的法律风险也在不断发生变化。企业应该持续不断地对各种变化保持敏感并做出恰当反应。5企业法律风险管理过程5.1概述法律风险管理是企业全面风险管理的组成部分,贯穿于企业决策和经营管理的各个环节。法律风险管理过程由5.2到5.5所描述的活动组成,即明确法律风险环境信息、法律风险评估、法律风险应对、监督和检查。其中,法律风险评估包括法律风险识别、法律风险分析和法律风险评价等三个步骤。沟通和记录非常重要,应贯穿于企业法律风险管理过程的各项活动中,5.6将对其进行详细说明。5.2明确法律风险环境信息5.2.1概述明确法律风险环境信息是应用适当的方法,对企业内外部环境中与法律风险相关的信息进行收集、分析、整理、归纳的一系列过程。明确法律风险环境信息是后续法律风险管理活动得以顺利实施的必要基础。明确法律风险环境信息是一个动态的过程,应保持法律风险环境信息的持续更新。5.2.2外部法律风险环境信息外部法律风险环境信息是指与企业法律风险管理相关的政治、经济、文化、法律等各种相关信息。企业应根据本行业和企业业务经营管理的特点,具体分析明确外部法律风险环境信息的收集范围和分析方式,为法律风险评估和应对提供充分的信息保障。外部法律风险环境信息包括但不限于:——本行业的业务模式及特点;——国内外与本企业相关的政治、经济、文化、技术以及自然环境等;——国内外与本企业相关的立法、司法、执法和守法情况及其变化;——与本企业相关的监管体制、机构、政策以及执行等情况;——与本企业相关的市场竞争情况;——本企业在产业价值链中的定位及与其他主体之间的关系;——企业主要的外部利益相关者及其对法律、合同、道德操守等的遵从情况;——与企业法律风险及管理相关的其他信息。地区间的环境差异是普遍存在的。对于跨区域经营的企业,在进行外部法律风险环境调查时,应特别关注不同地区间可能存在的环境差异。5.2.3内部法律风险环境信息内部法律环境信息是与企业法律风险及其管理相关的各种信息,包括法律风险和法律风险管理的历史及现状。内部法律风险环境信息包括但不限于:——企业的战略目标;——企业盈利模式和业务模式;——企业的主要经营管理流程/活动、部门职能分工等相关信息;——企业在法律风险管理方面的使命、愿景、价值理念;——企业法律风险管理工作的目标、职责、相关制度和资源配置情况;——企业法律事务工作及法律风险管理现状,其中对法律风险管理现状可从方针、组织职能和资源配置、制度和流程内控、沟通和报告、法律风险管理文化和技术手段等要素分析;——内部利益相关者的法律遵从情况和激励约束方式;——本企业签订的重大合同及其管理情况;——本企业发生的重大法律纠纷案件或法律风险事件的情况,本企业相关的法律规范库和法律风险库;——本企业知识产权管理情况;——与法律风险及其管理相关的其他信息。以上法律风险环境信息的收集范围和内容,应根据企业的法律风险状况变化及企业的管理需要进行补充调整。5.2.4企业法律风险准则企业法律风险准则是衡量法律风险重要程度所依据的标准,应体现企业对法律风险管理的目标、价值观、资源、偏好和承受度。企业法律风险准则应在法律风险管理工作开始实施前制定,并根据实际情况进行相应调整。确定法律风险准则时要考虑但不限于以下因素:——本企业法律风险管理的范围、对象,以及法律风险的分类;——法律风险发生可能性、影响程度以及法律风险的度量方法;——法律风险等级的划分标准;——利益相关者可接受的法律风险或可容许的法律风险等级;——重大法律风险的确定原则。5.3法律风险评估5.3.1概述法律风险评估包括风险识别、风险分析和风险评价三个环节。5.3.2法律风险识别5.3.2.1概述法律风险的识别,首先是查找企业各业务单元、各项重要经营活动、重要业务流程中存在的法律风险,然后对查找出的法律风险进行描述、分类,对其原因、影响范围、潜在的后果等进行分析归纳,最终生成企业的法律风险清单。法律风险识别的目的是全面、系统和准确地描述企业法律风险的状况,为下一步的法律风险分析明确对象和范围。进行法律风险识别时要掌握相关的和最新的信息,必要时,需包括适用的背景信息,特别是法律法规的变化信息。除了识别可能发生的法律风险事件外,还要考虑其可能的原因和可能导致的后果,包括所有重要的原因和后果。不论法律风险事件的风险源是否在企业的控制之下,或其原因是否已知,都应对其进行识别。识别法律风险需要所有相关人员的参与。企业所采用的风险识别工具和技术应当适合于其目标、能力及其所处环境。5.3.2.2构建法律风险识别框架为保证法律风险识别的全面性、准确性和系统性,企业应构建符合自身经营管理需求的法律风险识别框架,该框架提供一些方便识别法律风险的角度,这些角度包括但不限于以下方面:——根据企业主要的经营管理活动识别,即通过对企业主要的经营管理活动(如生产活动、市场营销、物资采购、对外投资、人事管理、财务管理等)的梳理,发现每一项经营管理活动可能存在的法律风险。——根据企业组织机构设置识别,即根据企业各业务管理职能部门/岗位的业务管理范围和工作职责的梳理,发现各机构内可能存在的法律风险。——根据利益相关者识别,即通过对企业的利益相关者(如股东、客户、供应商、员工、政府等)的梳理,发现与每一利益相关者相关的法律风险。——根据法律风险源识别,即通过对法律环境、违规、违约、侵权、怠于行使权利、行为不当等梳理,发现企业存在的法律风险。——根据法律风险发生后承担的责任梳理,即通过对刑事法律风险、行政法律风险、民事法律风险的梳理,发现不同责任下企业存在的法律风险。——根据不同法律领域的识别,即通过对不同的法律领域(如合同、知识产权、招投标、劳动用工、税务、诉讼仲裁等)的梳理,发现不同领域内存在的法律风险。——根据法律法规识别,即通过对与企业相关的法律法规的梳理,发现不同法律法规中存在的法律风险。——根据以往发生的案例识别,即通过对本企业或本行业发生的案例的梳理,发现企业存在的法律风险。企业可以根据自身的不同需要,选择以上不同的角度或组合,构建法律风险识别框架。附录A中给出了从引发法律风险原因的分类和企业经营管理活动过程两个角度构建风险识别框架的示例。5.3.2.3进行法律风险识别根据构建的法律风险识别框架,可采用问卷调查、访谈调研、头脑风暴、德尔菲法、检查表法等方法进行法律风险识别,并确定分类和命名规则,对每个法律风险设置相应的编号或名称。以从引发法律风险源分类和企业经营管理活动过程两个角度构建的法律风险识别框架为例,此时需要逐一判断每一经营管理活动中是否可能存在某种法律风源或法律风险事件,并尽可能地列举这些事件。同一经营管理活动中同一种类的法律风险事件可归属于同一法律风险类别,并据此确定该法律风险的名称,如XX违规风险、XX侵权风险等(XX为某一经营管理活动的名称)。5.3.2.4形成法律风险清单在法律风险事件及法律风险名称确定后,应将这些事件统一列表,并在列表中补充每一风险事件适用的法律法规、风险动因、可能产生的法律后果、相关的案例、法律分析意见及其涉及的部门、经营管理流程等信息,最终形成企业的法律风险清单。法律风险清单的示例见附录B。5.3.3法律风险分析5.3.3.1概述法律风险分析是指对识别出的法律风险进行定性、定量的分析,考虑法律风险源或导致法律风险事件的具体原因、法律风险事件的发生的可能性及其后果,影响后果和可能性的因素,为法律风险的评价和应对提供支持。根据法律风险分析的目的、可获得的信息数据和资源,法律风险分析可以有不同的详细程度,可以是定性的、半定量的、定量的分析,也可以是这些分析的组合。在实践中经常首先采用定性分析以一般了解法律风险等级和揭示主要法律风险。在可能和适当的时候,应当进一步进行更具体和定量的法律风险分析。对于法律风险事件发生的可能性和影响程度的分析应综合采用建模和专家意见以及经验推导来确定,要注意与企业内外部相关利益者的沟通,同时要考虑模型和专家意见本