企業(yè)法律風險管理指南.doc

1、企業(yè)法律風險管理指南中華人民共和國國家質量監(jiān)督檢驗檢疫總局中國國家標準化治理委員會公布- - 實施- - 公布企業(yè)法律風險治理指南Guidelines on Enerprise Legal Risk Management（征求意見稿）GB/T XXXXX XXXX中華人民共和國國家標準ICS 03.100.01A02目次前 言本標準在GB/T 24353-2009 風險治理原則與實施指南的指導下， 結合我國企業(yè)法律風險治理的實踐體會編制而成。本標準的附錄A 、附錄 B、附錄 C、附錄 D 為資料性附錄。本標準由全國風險治理標準化技術委員會（SAC/TC 310 ）提出并歸口。本標準起草單位：企

2、業(yè)法律風險治理指南1范疇本標準提供了企業(yè)實施法律風險治理的通用指南。本標準適用于各種類型和規(guī)模的企業(yè)，可指導企業(yè)在其整個生命周期和所有經營環(huán)節(jié)中開展法律風險治理活動。本標準是通用指南，不作為行業(yè)性專用標準使用，企業(yè)應按照行業(yè)特點，結合自身情形和實際需要應用本標準實施法律風險治理。中小企業(yè)能夠按照自身治理基礎、資源以及治理需求，對本標準提供的法律風險治理過程和有關的配套保證措施進行簡化或采取遞進式建設，逐步達到本標準要求，從而確保本企業(yè)的法律風險治理資源投入與企業(yè)的目標相契合，達到治理本企業(yè)法律風險的目標。2規(guī)范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，

3、其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而鼓舞按照本標準達成協議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB/T 23694-2009 風險治理術語（ ISO/IEC Guide73 ： 2002，IDT ）3術語和定義GB/T 23694-2009中界定的術語和定義適用于本標準。3.1企業(yè)法律風險企業(yè)法律風險是指基于法律規(guī)定、監(jiān)管要求或合同約定，由于企業(yè)外部環(huán)境及其變化，或企業(yè)及其利益有關者的作為或不作為，對企業(yè)目標產生的阻礙。4企業(yè)法律風險治理原則為了有效治理法律風險，支持企業(yè)的決策和經營治理活動，企業(yè)進行法律風險治

4、理時可遵循以下原則：（ 1）以企業(yè)戰(zhàn)略目標為導向的原則企業(yè)法律風險治理目的在于促進企業(yè)戰(zhàn)略目標的實現。在法律風險評估和應對等企業(yè)法律風險治理活動中應充分考慮法律風險與企業(yè)戰(zhàn)略目標之間的相互關系、阻礙等因素。（ 2）審慎治理的原則由于法律風險的專門性，關于法律風險應堅持審慎治理的原則。要在尊重法律、保持誠信前提下，開展法律風險治理活動， 風險治理的策略和方法不應違反法律的強制性和義務性規(guī)定。（ 3）與企業(yè)整體治理水平相適應的原則法律風險治理是企業(yè)治理的有機組成部分，和企業(yè)戰(zhàn)略治理、流程治理、績效治理、信息治理等緊密有關。法律風險的識不、 分析、評判和操縱等活動只有與企業(yè)整體治理水平相適應，才能取

5、得良好的成效。（ 4）融入企業(yè)經營治理過程的原則法律風險發(fā)生于企業(yè)的經營治理活動，其識不、分析、評判和應對都不可能脫離企業(yè)經營治理過程，法律風險治理必須融入企業(yè)經營治理過程，成為其有機組成部分。（ 5）納入決策過程的原則企業(yè)所有決策都應綜合考慮風險，以便將風險操縱在企業(yè)可同意的范疇內。法律風險作為企業(yè)的重要風險范疇，應納入企業(yè)決策過程，作為企業(yè)決策應考慮的重要因素。（ 6）納入企業(yè)全面風險治理體系的原則法律風險治理是企業(yè)風險治理體系的組成部分，應與其他風險的治理整合，以提升風險治理的整體效率和成效。（ 7）全員參與、全過程開展的原則法律風險產生于企業(yè)經營治理的各個環(huán)節(jié)，因此法律風險治理需要企業(yè)

6、所有職員的參與并承擔有關責任，其中專門包括企業(yè)專職的法律治理部門（或人員） 。各方人員分工負責，以形成法律風險治理的長效機制。（ 8）連續(xù)改進的原則法律風險治理是適應企業(yè)內外部法律環(huán)境變化的動態(tài)過程，其各步驟之間形成一個循環(huán)往復的閉環(huán)。隨著內外部法律環(huán)境的變化，企業(yè)面臨的法律風險也在持續(xù)發(fā)生變化。企業(yè)應該連續(xù)持續(xù)地對各種變化保持敏銳并做出恰當反應。5企業(yè)法律風險治理過程5.1概述法律風險治理是企業(yè)全面風險治理的組成部分，貫穿于企業(yè)決策和經營治理的各個環(huán)節(jié)。法律風險治理過程由 5.2 到 5.5所描述的活動組成，即明確法律風險環(huán)境信息、法律風險評估、法律風險應對、監(jiān)督和檢查，如圖 1所示。其中，

7、法律風險評估包括法律風險識不、法律風險分析和法律風險評判等三個步驟。溝通和記錄專門重要，應貫穿于企業(yè)法律風險治理過程的各項活動中， 5.6將對其進行詳細講明。5.3 法律風險評估5.3.4法律風險評判5.3.3法律風險分析5.3.2法律風險識不5.4法律風險應對5.5監(jiān)督與檢查5.2明確法律風險環(huán)境信息圖 1 法律風險治理過程5.2明確法律風險環(huán)境信息5.2.1 概述明確法律風險環(huán)境信息是應用適當的方法，對企業(yè)內外部環(huán)境中與法律風險有關的信息進行收集、分析、整理、歸納的一系列過程。明確法律風險環(huán)境信息是后續(xù)法律風險治理活動得以順利實施的必要基礎。明確法律風險環(huán)境信息是一個動態(tài)的過程，應保持法律

8、風險環(huán)境信息的連續(xù)更新。5.2.2 外部法律風險環(huán)境信息外部法律風險環(huán)境信息是指與企業(yè)法律風險治理有關的政治、經濟、文化、法律等各種有關信息。企業(yè)應按照本行業(yè)和企業(yè)業(yè)務經營治理的特點，具體分析明確外部法律風險環(huán)境信息的收集范疇和分析方式，為法律風險評估和應對提供充分的信息保證。外部法律風險環(huán)境信息包括但不限于： 本行業(yè)的業(yè)務模式及特點； 國內外與本企業(yè)有關的政治、經濟、文化、技術以及自然環(huán)境等； 國內外與本企業(yè)有關的立法、司法、執(zhí)法和守法情形及其變化； 與本企業(yè)有關的監(jiān)管體制、機構、政策以及執(zhí)行等情形； 與本企業(yè)有關的市場競爭情形； 本企業(yè)在產業(yè)價值鏈中的定位及與其他主體之間的關系； 企業(yè)要緊

9、的外部利益有關者及其對法律、合同、道德操守等的遵從情形； 與企業(yè)法律風險及治理有關的其他信息。地區(qū)間的環(huán)境差異是普遍存在的。 關于跨區(qū)域經營的企業(yè)， 在進行外部法律風險環(huán)境調查時，應專門關注不同地區(qū)間可能存在的環(huán)境差異。5.2.3 內部法律風險環(huán)境信息內部法律環(huán)境信息是與企業(yè)法律風險及其治理有關的各種信息，包括法律風險和法律風險治理的歷史及現狀。內部法律風險環(huán)境信息包括但不限于： 企業(yè)的戰(zhàn)略目標； 企業(yè)盈利模式和業(yè)務模式； 企業(yè)的要緊經營治理流程/活動、部門職能分工等有關信息； 企業(yè)在法律風險治理方面的使命、愿景、價值理念； 企業(yè)法律風險治理工作的目標、職責、有關制度和資源配置情形； 企業(yè)法律

10、事務工作及法律風險治理現狀，其中對法律風險治理現狀可從方針、組織職能和資源配置、制度和流程內控、溝通和報告、法律風險治理文化和技術手段等要素分析； 內部利益有關者的法律遵從情形和鼓舞約束方式； 本企業(yè)簽訂的重大合同及其治理情形； 本企業(yè)發(fā)生的重大法律糾紛案件或法律風險事件的情形，本企業(yè)有關的法律規(guī)范庫和法律風險庫； 本企業(yè)知識產權治理情形； 與法律風險及其治理有關的其他信息。以上法律風險環(huán)境信息的收集范疇和內容，應按照企業(yè)的法律風險狀況變化及企業(yè)的治理需要進行補充調整。5.2.4 企業(yè)法律風險準則企業(yè)法律風險準則是衡量法律風險重要程度所依據的標準，應體現企業(yè)對法律風險治理的目標、價值觀、資源、

11、偏好和承擔度。企業(yè)法律風險準則應在法律風險治理工作開始實施前制定，并按照實際情形進行相應調整。確定法律風險準則時要考慮但不限于以下因素： 本企業(yè)法律風險治理的范疇、對象，以及法律風險的分類； 法律風險發(fā)生可能性、阻礙程度以及法律風險的度量方法； 法律風險等級的劃分標準； 利益有關者可同意的法律風險或可容許的法律風險等級； 重大法律風險的確定原則。5.3法律風險評估5.3.1 概述法律風險評估包括風險識不、風險分析和風險評判三個環(huán)節(jié)。5.3.2 法律風險識不5.3.2.1 概述法律風險的識不，第一是查找企業(yè)各業(yè)務單元、各項重要經營活動、重要業(yè)務流程中存在的法律風險，然后對查找出的法律風險進行描述

12、、分類，對其緣故、阻礙范疇、潛在的后果等進行分析歸納，最終生成企業(yè)的法律風險清單。法律風險識不的目的是全面、系統(tǒng)和準確地描述企業(yè)法律風險的狀況，為下一步的法律風險分析明確對象和范疇。進行法律風險識不時要把握有關的和最新的信息，必要時，需包括適用的背景信息，專門是法律法規(guī)的變化信息。除了識不可能發(fā)生的法律風險事件外，還要考慮其可能的緣故和可能導致的后果，包括所有重要的緣故和后果。不論法律風險事件的風險源是否在企業(yè)的操縱之下，或其緣故是否已知，都應對其進行識不。識不法律風險需要所有有關人員的參與。企業(yè)所采納的風險識不工具和技術應當適合于其目標、能力及其所處環(huán)境。5.3.2.2構建法律風險識不框架為

13、保證法律風險識不的全面性、準確性和系統(tǒng)性，企業(yè)應構建符合自身經營治理需求的法律風險識不框架， 該框架提供一些方便識不法律風險的角度，這些角度包括但不限于以下方面： 按照企業(yè)要緊的經營治理活動識不，即通過對企業(yè)要緊的經營治理活動（如生產活動、市場營銷、物資采購、對外投資、人事治理、財務治理等）的梳理，發(fā)覺每一項經營治理活動可能存在的法律風險。 按照企業(yè)組織機構設置識不， 即按照企業(yè)各業(yè)務治理職能部門 /崗位的業(yè)務治理范疇和工作職責的梳理，發(fā)覺各機構內可能存在的法律風險。 按照利益有關者識不，即通過對企業(yè)的利益有關者（如股東、客戶、供應商、職員、政府等）的梳理，發(fā)覺與每一利益有關者有關的法律風險。

14、 按照法律風險源識不，即通過對法律環(huán)境、違規(guī)、違約、侵權、怠于行使權益、行為不當等梳理，發(fā)覺企業(yè)存在的法律風險。 按照法律風險發(fā)生后承擔的責任梳理，即通過對刑事法律風險、行政法律風險、民事法律風險的梳理，發(fā)覺不同責任下企業(yè)存在的法律風險。 按照不同法律領域的識不，即通過對不同的法律領域（如合同、知識產權、招投標、勞動用工、稅務、訴訟仲裁等）的梳理，發(fā)覺不同領域內存在的法律風險。 按照法律法規(guī)識不，即通過對與企業(yè)有關的法律法規(guī)的梳理，發(fā)覺不同法律法規(guī)中存在的法律風險。 按照以往發(fā)生的案例識不，即通過對本企業(yè)或本行業(yè)發(fā)生的案例的梳理，發(fā)覺企業(yè)存在的法律風險。企業(yè)能夠按照自身的不同需要，選擇以上不同

15、的角度或組合，構建法律風險識不框架。附錄 A 中給出了從引發(fā)法律風險緣故的分類和企業(yè)經營治理活動過程兩個角度構建風險識不框架的示例。5.3.2.3進行法律風險識不按照構建的法律風險識不框架，可采納咨詢卷調查、訪談調研、頭腦風暴、德爾菲法、檢查表法等方法進行法律風險識不，并確定分類和命名規(guī)則，對每個法律風險設置相應的編號或名稱。以從引發(fā)法律風險源分類和企業(yè)經營治理活動過程兩個角度構建的法律風險識不框架為例，現在需要逐一判定每一經營治理活動中是否可能存在某種法律風源或法律風險事件，并盡可能地列舉這些事件。同一經營治理活動中同一種類的法律風險事件可歸屬于同一法律風險類不，并據此確定該法律風險的名稱，

16、如 XX 違規(guī)風險、 XX 侵權風險等（ XX 為某一經營治理活動的名稱） 。5.3.2.4形成法律風險清單在法律風險事件及法律風險名稱確定后，應將這些事件統(tǒng)一列表，并在列表中補充每一風險事件適用的法律法規(guī)、風險動因、可能產生的法律后果、有關的案例、法律分析意見及其涉及的部門、經營治理流程等信息，最終形成企業(yè)的法律風險清單。法律風險清單的示例見附錄 B。5.3.3 法律風險分析5.3.3.1 概述法律風險分析是指對識不出的法律風險進行定性、定量的分析，考慮法律風險源或導致法律風險事件的具體緣故、法律風險事件的發(fā)生的可能性及其后果，阻礙后果和可能性的因素，為法律風險的評判和應對提供支持。按照法律

17、風險分析的目的、 可獲得的信息數據和資源， 法律風險分析能夠有不同的詳細程度，能夠是定性的、半定量的、定量的分析，也能夠是這些分析的組合。在實踐中經常第一采納定性分析以一樣了解法律風險等級和揭示要緊法律風險。在可能和適當的時候，應當進一步進行更具體和定量的法律風險分析。關于法律風險事件發(fā)生的可能性和阻礙程度的分析應綜合采納建模和專家意見以及體會推導來確定， 要注意與企業(yè)內外部有關利益者的溝通，同時要考慮模型和專家意見本身的局限性。5.3.3.2 法律風險可能性分析對法律風險發(fā)生可能性進行分析時，能夠考慮但不限于以下因素： 外部監(jiān)管執(zhí)行力度，包括企業(yè)外部有關政策、法律法規(guī)的完善程度，以及有關監(jiān)管

18、部門的執(zhí)行力度等； 內操縱度的完善與執(zhí)行，包括企業(yè)內部用以操縱有關法律風險的規(guī)章、制度的完善程度及執(zhí)行力度等； 有關人員法律素養(yǎng)，包括企業(yè)內部有關人員對有關政策、法律法規(guī)、企業(yè)規(guī)章制度以及法律風險操縱技巧的了解、把握程度等； 利益有關者的綜合狀況，包括利益有關者的綜合資質、履約能力、過往記錄、法律風險偏好的表達等； 所涉及工作的頻次，指與法律風險有關的工作在一定周期內發(fā)生的次數。關于不同類型的法律風險來講，阻礙其發(fā)生可能性的因素會有所不同。各種因素對可能性阻礙程度的權重也是不同的，同時各因素之間的權重比會因法律風險類型的不同而有所差異。附錄 C 中給出了法律風險可能性分析的示例。5.3.3.2

19、 法律風險阻礙程度分析對法律風險阻礙程度進行分析時，能夠考慮但不限于以下因素： 后果的類型，包括財產類的缺失和非財產類的缺失等； 后果的嚴峻程度，包括財產缺失金額的大小、非財產缺失的阻礙范疇、利益有關者的反應等。附錄 D 中給出了法律風險阻礙程度分析的示例。此外，法律風險與其他風險在一定條件下具有伴生性和相互轉化性，企業(yè)要對法律風法律風險與其它風險之間的關聯性進行分析，明確各風險事件之間的阻礙路徑和傳遞關系，明確法律風險與其它風險之間的組合效應，從而在風險策略上對法律風險和其他有關風險進行統(tǒng)一集中的治理。5.3.4 法律風險評判法律風險評判是指將法律風險分析的結果與企業(yè)的法律風險準則相比較，或

20、在各種風險的分析結果之間進行比較，確定法律風險等級，以關心企業(yè)做出法律風險應對的決策。在法律風險分析的基礎上，綜合考慮法律風險治理的目標、成本和收益、資源的投入安排等因素，對法律風險進行不同維度的排序，包括法律風險事件發(fā)生可能性的高低、阻礙程度的大小以及風險水平的高低。在法律風險水平排序的基礎上，對比企業(yè)法律風險準則，能夠對法律風險進行分級，具體等級劃分的層次能夠按照企業(yè)的治理需要設定。在法律風險排序和分級的基礎上，企業(yè)能夠按照其治理需要，進一步確定需要重點關注和優(yōu)先應對的法律風險。5.4法律風險應對5.4.1 概述法律風險應對是指企業(yè)針對法律風險或法律風險事件采取相應措施，將法律風險操縱在企

21、業(yè)可承擔的范疇。法律風險應對包括選擇法律風險應計策略、評估法律風險應對現狀、制定和實施法律風險應對打算三個環(huán)節(jié)。5.4.2 選擇法律風險應計策略法律風險應計策略包括規(guī)避風險、操縱風險、轉移風險、同意風險和其他策略等。選擇法律風險應計策略應該至少考慮以下幾方面的因素： 企業(yè)的戰(zhàn)略目標、核心價值觀和社會責任等； 企業(yè)對法律風險治理的目標、價值觀、資源、偏好和承擔度等； 法律風險應計策略的實施成本與預期收益； 選擇幾種應計策略，將其單獨或組合使用； 利益有關者的訴求和價值觀、對法律風險的認知和承擔度以及對某些法律風險應計策略的偏好。5.4.3評估法律風險應對現狀如果企業(yè)對某些法律風險選取了規(guī)避、操縱

22、或轉移的應計策略，則應該對這些法律風險的應對現狀予以進一步的評估，以了解目前的法律風險應對存在哪些不足和缺陷，為制定法律風險應對打算提供支撐。評估法律風險應對現狀至少應考慮以下幾方面的因素： 資源配置，即企業(yè)內部的有關機構設置能否滿足法律風險應對需要、用于法律風險應對的人員配備是否充足以及用于法律風險操縱的經費是否充足等； 職責權限，即是否明確與風險應對有關的職責和權限； 過程監(jiān)控，即是否要求對連續(xù)性業(yè)務/ 治理活動進行定期或不定期的監(jiān)督和操縱保留 /信息溝通、告警； 獎懲機制，即對有關工作、治理人員在法律風險應對工作中的表現、成績是否設置了獎懲機制等； 執(zhí)行者能力要求，即企業(yè)對與法律風險應對

23、有關的內部執(zhí)行者（公司內部領導、職員）是否有明確的資質、能力要求（業(yè)務資質、業(yè)務技能、法律素養(yǎng)等）；/ 證據資料 部門內法律審查，即是否要求業(yè)務部門內部對一樣性的法律咨詢題進行審查（一樣性法律咨詢題指從事某項業(yè)務必須把握的基礎性、常識性的法律咨詢題，各部門人員能夠通過培訓把握有關內容） ； 專業(yè)法律審查，即是否要求法律部門或專業(yè)律師對專業(yè)性法律咨詢題進行審查或提供有關法律意見； 風險意識，即工作、治理人員對風險的存在、風險將會造成的后果，以及如何開展風險應對等方面是否有必要的認識和明白得； 外部法律風險環(huán)境，即有關法律環(huán)境是否完善、穩(wěn)固，社會守法狀況，執(zhí)法力度和司法方式等。5.4.4 制定和實

24、施法律風險應對打算應對措施通常包括以下幾種類型： 資源配置類，指設置或調整與法律風險應對有關的機構、人員，補充經費或風險預備金等； 制度、流程類，指制定或完善與法律風險應對有關的制度、流程； 標準、指引類，指針對特定法律風險，編撰指引、標準類文件，供業(yè)務人員使用； 技術手段類，指利用技術手段規(guī)避、操縱或轉移某些法律風險； 信息類，指針對某些法律風險事件公布告警或預警信息； 活動類，指開展某些專項活動，規(guī)避、操縱或轉移某些法律風險； 培訓類，指對某些關鍵崗位人員進行法律風險培訓，提升其法律風險意識和法律風險治理技能。在法律風險應對措施確定之后，應該制定應對措施的實施打算。實施打算中至少應該包括以

25、下信息： 實施法律風險應對措施的機構、人員安排，明確責任和獎懲； 應對措施涉及的具體業(yè)務及治理活動； 報告和監(jiān)督、檢查的要求； 資源需求和配置方案； 實施法律風險應對措施的優(yōu)先次序和條件； 實施時刻表。法律風險應對是一個遞進的動態(tài)過程，需要按照內外部法律風險環(huán)境變化對制定的措施進行評估調整， 以確保措施的實時有效性。 企業(yè)在制定法律風險應對措施后應評估其剩余風險 （剩余風險是指預期采取法律風險應對措施后的法律風險）是否能夠承擔。如果不可承擔，應調整或制定新的法律風險應對措施，并評估新的措施的成效，直到剩余風險能夠承擔。執(zhí)行法律風險應對措施會引起組織風險情形的改變，需要跟蹤、監(jiān)督有關風險應對的成

26、效和組織的環(huán)境信息，并對變化的風險進行評估，必要時重新制訂法律風險應對措施。5.5監(jiān)督和檢查企業(yè)應實時跟蹤內外部法律風險環(huán)境的變化， 及時監(jiān)督和檢查法律風險治理流程的運行狀況，以確保法律風險應對打算的有效執(zhí)行，并按照發(fā)覺的咨詢題對法律風險治理工作進行連續(xù)改進。法律風險治理的監(jiān)督和檢查環(huán)節(jié)使得法律風險治理流程形成可連續(xù)運轉的閉環(huán)，是法律風險治理能夠連續(xù)改進的不可缺少的組成部分。企業(yè)法律風險治理監(jiān)督和檢查的內容應包括但不限于以下內容： 內外部法律風險環(huán)境的進展變化，如法律法規(guī)、有關政策的出臺和變化、司法、執(zhí)法及社會守法環(huán)境的變化、企業(yè)自身戰(zhàn)略的調整改變等； 監(jiān)測法律風險事件，分析趨勢及其變化并從中

27、吸取教訓； 對比法律風險應對打算檢查工作進度與打算的偏差，保證風險應對措施的設計和執(zhí)行有效； 報告關于法律風險變化、風險應對打算的進度和風險治理方針的遵循情形； 實施法律風險治理績效評估。另外，企業(yè)可按照自身的需求和資源狀況，選擇建立重大法律風險預警制度，即按照對內外部法律風險環(huán)境變化的監(jiān)控結果，及時公布法律風險預警信息，并制定相應的應急預案。應急預案要明確應急處理的有關組織機構、處理流程、溝通機制、應急措施和資源的配置保證，確保企業(yè)對突發(fā)法律風險事件的快速反應，有效操縱突發(fā)法律風險事件對企業(yè)造成的阻礙。5.6 溝通和記錄5.6.1 溝通企業(yè)在法律風險治理過程的每個時期都應當與內外部利益有關者

28、有效溝通，以保證實施法律風險治理的有關人員和利益有關者能夠充分了解企業(yè)面臨的法律風險及其給企業(yè)帶來的阻礙，正確明白得企業(yè)法律風險治理決策的依據，并按照有關信息做出恰當決定，有效執(zhí)行治理活動。由于企業(yè)各層級人員及有關利益有關者的價值觀、訴求、假設、認知和關注點不同，造成其法律風險偏好和對法律風險治理的期望不同，這些對法律風險治理的決策和執(zhí)行有重要阻礙。因此，企業(yè)在法律風險決策過程和法律風險治理執(zhí)行中應當與內外部利益有關者進行充分溝通，并儲存有關記錄。為保證這種溝通能夠順利進行，企業(yè)應保證法律風險治理的責任部門能夠與企業(yè)有關人員充分溝通，能夠獵取履行職責所需的有關記錄或檔案材料，同時與監(jiān)管機構、立

29、法及司法機關等外部利益有關者建立順暢的溝通渠道。5.6.2 記錄在法律風險治理過程中，記錄是實施和改進整個法律風險治理過程的必要工作。建立記錄應當考慮以下方面： 出于治理的目的而重復使用信息的需要； 進一步分析法律風險和調整風險應對措施的需要； 法律風險治理活動的可追溯要求； 溝通的需要； 法律法規(guī)和操作上對記錄的需要； 企業(yè)本身連續(xù)學習的需要； 建立和愛護記錄所需的成本和工作量； 獵取信息的方法、讀取信息的容易程度和儲存媒介； 記錄保留期限治理。6企業(yè)法律風險治理的實施6.1概述法律風險治理流程的組織實施需要一個法律風險治理體系，包括風險治理的方針、組織職能、資源配置、信息溝通傳遞機制等有關

30、基礎配套設施。要緊包括： 法律風險治理方針； 與法律風險治理目標匹配的組織職能和資源保證； 有關的制度和內部流程操縱，使法律風險治理嵌入到組織的所有活動和過程中； 與內外部利益有關者關于法律風險治理的溝通機制； 法律風險治理文化； 法律風險治理的技術手段、方法、工具等。6.2法律風險治理方針法律風險治理方針應明確下列事項： 法律風險治理理念； 最高治理者對法律風險治理的承諾； 法律風險治理的目標； 企業(yè)的法律風險偏好； 法律風險治理目標與企業(yè)的目標及其它風險治理目標的關系； 法律風險治理目標的層次分解和細化； 連續(xù)改進的承諾。6.3 法律風險治理的組織職能企業(yè)能夠按照現有的組織結構和風險治理職

31、能設置原則，明確法律風險治理的組織架構、職責和內容。需明確： 本企業(yè)法律風險治理的組織結構和人員組成，如外部法律顧咨詢、企業(yè)內部法律顧咨詢 / 法律部門 /法律崗位等的構成關系； 內外部法律風險治理資源的分工和合作方式； 明確法律風險治理體系的制定、實施和愛護人員的職責； 明確執(zhí)行法律風險應對措施、愛護法律風險治理體系和報告有關風險信息人員的職責； 明確全體職員在其本職工作中有關法律風險治理方面的職責； 建立批準、授權制度； 建立考核方法、獎懲制度。6.4 法律風險治理的制度流程企業(yè)應當按照法律風險治理的目標，建立完善適當的配套制度和行為規(guī)范，建立法律風險治理的工作程序，同時結合企業(yè)內部操縱治

32、理工作，將法律風險納入到流程操縱中，確保法律風險治理工作切實融入到企業(yè)的日常治理工作中，確保法律風險治理在企業(yè)內部的統(tǒng)一明白得和執(zhí)行。具體要考慮： 本企業(yè)法律風險治理工作的范疇和內容； 法律風險治理制度、規(guī)范的制定要考慮企業(yè)現有的制度治理體系和風險治理的制度，確保一致性，提升效率； 形成對制度規(guī)范的定期更新和修訂，確保其時效性； 應當具體分析可納入流程治理的法律風險，其有關治理措施與其他風險操縱點的嵌套關系。6.5法律風險治理的資源配置企業(yè)需按照法律風險治理打算，制定可行的方法，為法律風險治理分配適當的資源。具體要考慮下列各項： 法律風險治理有關人員的技術、體會和能力要求； 法律風險治理過程每

33、一時期所需要的人力、資金及其他資源； 法律風險治理目標、成本和收益的關系，提升法律風險治理的收益水平。 按照企業(yè)內部條件和治理需求，可引入信息和知識治理系統(tǒng)，提升信息溝通和治理的效率。6.6法律風險治理的溝通和報告機制企業(yè)要建立內部溝通和報告機制，以保證： 法律風險治理體系的關鍵組成部分及其調整得到適當的溝通； 在企業(yè)內部充分報告法律風險應對打算實施的成效和效率； 在適當的層次和時刻提供法律風險治理的有關信息； 建立與內部利益有關者協商的程序。企業(yè)需建立與外部利益有關者溝通的機制。這種機制應當保證： 企業(yè)的對外報告符合法律法規(guī)和公司治理要求； 企業(yè)與外部利益有關者保持有效的信息溝通； 在外部利

34、益有關者中建立對組織的信心； 在發(fā)生突發(fā)事件、危機和緊急狀況時與利益有關者溝通； 為企業(yè)提供外部利益有關者的報告和反饋。企業(yè)法律風險治理信息的溝通和報告機制要考慮與其他風險信息報送的銜接關系，以保證有關部門信息的互動溝通，有助于對風險信息的組合分析，提升治理效率。6.7 法律風險治理文化企業(yè)應當注重法律風險意識和風險治理文化的培養(yǎng)，從而促進法律風險治理的貫徹實施，保證法律風險治理目標的實現。具體應考慮： 樹立法律風險治理是企業(yè)全體職員共同責任的理念，需在不同層次上履行防范法律風險的職責； 法律風險治理專業(yè)機構應當制定系統(tǒng)化的法律風險治理培訓打算，包括一樣的普法宣傳和專項的法律知識培訓，從而提升

35、全體職員知法、守法和用法水平； 加大法律風險治理機構專業(yè)人員的法律實務水平和風險治理水平，加大提升對企業(yè)業(yè)務治理的深入明白得和支撐服務能力，主動主動地為企業(yè)的經營決策和治理活動提供法律支持； 采納多種途徑加大對企業(yè)法律風險治理理念、知識、方法和流程的培訓，以便于企業(yè)各層形成共識； 企業(yè)應當加大對內部違法違規(guī)行為的懲戒力度，形成良好的法律風險治理文化； 重視企業(yè)領導層對法律風險治理工作的態(tài)度和治理理念以及治理承諾。附錄 A 法律風險識不框架示例法律風險的識不框架能夠從兩個角度來構建。一個角度是引發(fā)企業(yè)法律風險的緣故，可分為法律環(huán)境、違規(guī)行為、違約行為、侵權行為、不當行為和怠于行使權益六種；另一個

36、角度是企業(yè)所從事的各類經營/ 治理活動。具體如表A.1 所示：引發(fā)緣故經營活動經營治理活動 1 經營治理活動 2 經營治理活動 3表 A.1 法律風險識不框架示例法律違規(guī)違約侵權不當環(huán)境行為行為行為怠于行使權益行為附錄 B 法律風險清單示例法律風險清單能夠劃分為三個信息區(qū)。第一部分為基礎信息區(qū)，要緊內容為法律風險及引發(fā)風險的具體行為，為便于今后的使用和治理，那個地點還能夠為每個法律風險及風險行為設置不同的編碼；第二部分為法律信息區(qū)，包括風險涉及到的法規(guī)、法條、案例、法律責任和后果、法律建議等；第三部分為治理信息區(qū)，包括風險涉及到的企業(yè)內部部門、外部主體、經營治理活動或流程等。具體如表B.1示：

37、表 B.1法律風險清單示例基礎信息區(qū)法律信息區(qū)治理信息區(qū)引發(fā)引發(fā)法涉及法律涉及到涉及的法涉及涉及風險風險律的業(yè)行為的法律到的案的的法代碼名稱風險律責建務 /代碼法規(guī)法條例部門律主的行任和議治理為后果體活動XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX附錄 C 法律風險可能性分析示例風險事件的發(fā)生可能性是指在公司目前的治理水平下，風險事件發(fā)生概率的大小或者發(fā)生的頻繁程度。對法律風險發(fā)生可能性的量化分析，能夠從以下五個維度進行，每個維度能夠進一步細化為若干評分標準，以下示例阻礙程度分為 5個等級， 分不給予 1分至 5分，表示發(fā)生可能性依次加大，得分越高意味風險發(fā)生的可能性越大。對比該評分標準，同時按照不同