发布时间 : 星期一 文章企业法律风险管理指南(征求意见稿)更新完毕开始阅读a60cf87d5acfa1c7aa00cc40
图1 法律风险管理过程
5.2明确法律风险环境信息
5.2.1 概述
明确法律风险环境信息是应用适当的方法,对企业内外部环境中与法律风险相关的信息进行收集、分析、整理、归纳的一系列过程。
明确法律风险环境信息是后续法律风险管理活动得以顺利实施的必要基础。明确法律风险环境信息是一个动态的过程,应保持法律风险环境信息的持续更新。 5.2.2 外部法律风险环境信息
外部法律风险环境信息是指与企业法律风险管理相关的政治、经济、文化、法律等各种相关信息。
企业应根据本行业和企业业务经营管理的特点,具体分析明确外部法律风险环境信息的收集范围和分析方式,为法律风险评估和应对提供充分的信息保障。 外部法律风险环境信息包括但不限于: ——本行业的业务模式及特点;
——国内外与本企业相关的政治、经济、文化、技术以及自然环境等; ——国内外与本企业相关的立法、司法、执法和守法情况及其变化; ——与本企业相关的监管体制、机构、政策以及执行等情况; ——与本企业相关的市场竞争情况;
——本企业在产业价值链中的定位及与其他主体之间的关系;
——企业主要的外部利益相关者及其对法律、合同、道德操守等的遵从情况; ——与企业法律风险及管理相关的其他信息。
地区间的环境差异是普遍存在的。对于跨区域经营的企业,在进行外部法律风险环境调查时,应特别关注不同地区间可能存在的环境差异。 5.2.3 内部法律风险环境信息
内部法律环境信息是与企业法律风险及其管理相关的各种信息,包括法律风险和法律风险管理的历史及现状。
内部法律风险环境信息包括但不限于: ——企业的战略目标;
——企业盈利模式和业务模式;
——企业的主要经营管理流程/活动、部门职能分工等相关信息; ——企业在法律风险管理方面的使命、愿景、价值理念;
——企业法律风险管理工作的目标、职责、相关制度和资源配置情况;
——企业法律事务工作及法律风险管理现状,其中对法律风险管理现状可从方针、组织职能和资源配置、制度和流程内控、沟通和报告、法律风险管理文化和技术手段等要素分析; ——内部利益相关者的法律遵从情况和激励约束方式; ——本企业签订的重大合同及其管理情况;
——本企业发生的重大法律纠纷案件或法律风险事件的情况,本企业相关的法律规范库和法律风险库;
——本企业知识产权管理情况;
——与法律风险及其管理相关的其他信息。
以上法律风险环境信息的收集范围和内容,应根据企业的法律风险状况变化及企业的管理需
要进行补充调整。
5.2.4 企业法律风险准则
企业法律风险准则是衡量法律风险重要程度所依据的标准,应体现企业对法律风险管理的目标、价值观、资源、偏好和承受度。企业法律风险准则应在法律风险管理工作开始实施前制定,并根据实际情况进行相应调整。
确定法律风险准则时要考虑但不限于以下因素:
——本企业法律风险管理的范围、对象,以及法律风险的分类; ——法律风险发生可能性、影响程度以及法律风险的度量方法; ——法律风险等级的划分标准;
——利益相关者可接受的法律风险或可容许的法律风险等级; ——重大法律风险的确定原则。
5.3法律风险评估
5.3.1概述
法律风险评估包括风险识别、风险分析和风险评价三个环节。 5.3.2 法律风险识别 5.3.2.1 概述
法律风险的识别,首先是查找企业各业务单元、各项重要经营活动、重要业务流程中存在的法律风险,然后对查找出的法律风险进行描述、分类,对其原因、影响范围、潜在的后果等进行分析归纳,最终生成企业的法律风险清单。
法律风险识别的目的是全面、系统和准确地描述企业法律风险的状况,为下一步的法律风险分析明确对象和范围。进行法律风险识别时要掌握相关的和最新的信息,必要时,需包括适用的背景信息,特别是法律法规的变化信息。除了识别可能发生的法律风险事件外,还要考虑其可能的原因和可能导致的后果,包括所有重要的原因和后果。不论法律风险事件的风险源是否在企业的控制之下,或其原因是否已知,都应对其进行识别。
识别法律风险需要所有相关人员的参与。企业所采用的风险识别工具和技术应当适合于其目标、能力及其所处环境。 5.3.2.2构建法律风险识别框架
为保证法律风险识别的全面性、准确性和系统性,企业应构建符合自身经营管理需求的法律风险识别框架,该框架提供一些方便识别法律风险的角度,这些角度包括但不限于以下方面: ——根据企业主要的经营管理活动识别,即通过对企业主要的经营管理活动(如生产活动、市场营销、物资采购、对外投资、人事管理、财务管理等)的梳理,发现每一项经营管理活动可能存在的法律风险。
——根据企业组织机构设置识别,即根据企业各业务管理职能部门/岗位的业务管理范围和工作职责的梳理,发现各机构内可能存在的法律风险。
——根据利益相关者识别,即通过对企业的利益相关者(如股东、客户、供应商、员工、政府等)的梳理,发现与每一利益相关者相关的法律风险。
——根据法律风险源识别,即通过对法律环境、违规、违约、侵权、怠于行使权利、行为不当等梳理,发现企业存在的法律风险。
——根据法律风险发生后承担的责任梳理,即通过对刑事法律风险、行政法律风险、民事法律风险的梳理,发现不同责任下企业存在的法律风险。
——根据不同法律领域的识别,即通过对不同的法律领域(如合同、知识产权、招投标、劳动用工、税务、诉讼仲裁等)的梳理,发现不同领域内存在的法律风险。
——根据法律法规识别,即通过对与企业相关的法律法规的梳理,发现不同法律法规中存在
的法律风险。
——根据以往发生的案例识别,即通过对本企业或本行业发生的案例的梳理,发现企业存在的法律风险。
企业可以根据自身的不同需要,选择以上不同的角度或组合,构建法律风险识别框架。 附录A中给出了从引发法律风险原因的分类和企业经营管理活动过程两个角度构建风险识别框架的示例。
5.3.2.3进行法律风险识别
根据构建的法律风险识别框架,可采用问卷调查、访谈调研、头脑风暴、德尔菲法、检查表法等方法进行法律风险识别,并确定分类和命名规则,对每个法律风险设置相应的编号或名称。
以从引发法律风险源分类和企业经营管理活动过程两个角度构建的法律风险识别框架为例,此时需要逐一判断每一经营管理活动中是否可能存在某种法律风源或法律风险事件,并尽可能地列举这些事件。同一经营管理活动中同一种类的法律风险事件可归属于同一法律风险类别,并据此确定该法律风险的名称,如XX违规风险、XX侵权风险等(XX为某一经营管理活动的名称)。
5.3.2.4形成法律风险清单
在法律风险事件及法律风险名称确定后,应将这些事件统一列表,并在列表中补充每一风险事件适用的法律法规、风险动因、可能产生的法律后果、相关的案例、法律分析意见及其涉及的部门、经营管理流程等信息,最终形成企业的法律风险清单。法律风险清单的示例见附录B。
5.3.3 法律风险分析 5.3.3.1 概述
法律风险分析是指对识别出的法律风险进行定性、定量的分析,考虑法律风险源或导致法律风险事件的具体原因、法律风险事件的发生的可能性及其后果,影响后果和可能性的因素,为法律风险的评价和应对提供支持。
根据法律风险分析的目的、可获得的信息数据和资源,法律风险分析可以有不同的详细程度,可以是定性的、半定量的、定量的分析,也可以是这些分析的组合。在实践中经常首先采用定性分析以一般了解法律风险等级和揭示主要法律风险。在可能和适当的时候,应当进一步进行更具体和定量的法律风险分析。
对于法律风险事件发生的可能性和影响程度的分析应综合采用建模和专家意见以及经验推导来确定,要注意与企业内外部相关利益者的沟通,同时要考虑模型和专家意见本身的局限性。 5.3.3.2 法律风险可能性分析
对法律风险发生可能性进行分析时,可以考虑但不限于以下因素:
——外部监管执行力度,包括企业外部相关政策、法律法规的完善程度,以及相关监管部门的执行力度等;
——内控制度的完善与执行,包括企业内部用以控制相关法律风险的规章、制度的完善程度及执行力度等;
——相关人员法律素质,包括企业内部相关人员对相关政策、法律法规、企业规章制度以及法律风险控制技巧的了解、掌握程度等;
——利益相关者的综合状况,包括利益相关者的综合资质、履约能力、过往记录、法律风险偏好的表达等;
——所涉及工作的频次,指与法律风险相关的工作在一定周期内发生的次数。
对于不同类型的法律风险来说,影响其发生可能性的因素会有所不同。各种因素对可能性影响程度的权重也是不同的,并且各因素之间的权重比会因法律风险类型的不同而有所差异。
附录C中给出了法律风险可能性分析的示例。 5.3.3.2 法律风险影响程度分析
对法律风险影响程度进行分析时,可以考虑但不限于以下因素: ——后果的类型,包括财产类的损失和非财产类的损失等;
——后果的严重程度,包括财产损失金额的大小、非财产损失的影响范围、利益相关者的反应等。
附录D中给出了法律风险影响程度分析的示例。
此外,法律风险与其他风险在一定条件下具有伴生性和相互转化性,企业要对法律风法律风险与其它风险之间的关联性进行分析,明确各风险事件之间的影响路径和传递关系,明确法律风险与其它风险之间的组合效应,从而在风险策略上对法律风险和其他相关风险进行统一集中的管理。 5.3.4法律风险评价
法律风险评价是指将法律风险分析的结果与企业的法律风险准则相比较,或在各种风险的分析结果之间进行比较,确定法律风险等级,以帮助企业做出法律风险应对的决策。
在法律风险分析的基础上,综合考虑法律风险管理的目标、成本和收益、资源的投入安排等因素,对法律风险进行不同维度的排序,包括法律风险事件发生可能性的高低、影响程度的大小以及风险水平的高低。
在法律风险水平排序的基础上,对照企业法律风险准则,可以对法律风险进行分级,具体等级划分的层次可以根据企业的管理需要设定。
在法律风险排序和分级的基础上,企业可以根据其管理需要,进一步确定需要重点关注和优先应对的法律风险。
5.4法律风险应对
5.4.1 概述
法律风险应对是指企业针对法律风险或法律风险事件采取相应措施,将法律风险控制在企业可承受的范围。法律风险应对包括选择法律风险应对策略、评估法律风险应对现状、制定和实施法律风险应对计划三个环节。 5.4.2 选择法律风险应对策略
法律风险应对策略包括规避风险、控制风险、转移风险、接受风险和其他策略等。 选择法律风险应对策略应该至少考虑以下几方面的因素: ——企业的战略目标、核心价值观和社会责任等;
——企业对法律风险管理的目标、价值观、资源、偏好和承受度等; ——法律风险应对策略的实施成本与预期收益; ——选择几种应对策略,将其单独或组合使用;
——利益相关者的诉求和价值观、对法律风险的认知和承受度以及对某些法律风险应对策略的偏好。
5.4.3 评估法律风险应对现状
如果企业对某些法律风险选取了规避、控制或转移的应对策略,则应该对这些法律风险的应对现状予以进一步的评估,以了解目前的法律风险应对存在哪些不足和缺陷,为制定法律风险应对计划提供支撑。
评估法律风险应对现状至少应考虑以下几方面的因素:
——资源配置,即企业内部的相关机构设置能否满足法律风险应对需要、用于法律风险应对的人员配备是否充足以及用于法律风险控制的经费是否充足等; ——职责权限,即是否明确与风险应对相关的职责和权限;