企业法律风险管理流程
来源: | 作者:姜晓亮 | 发布时间: 2024-06-06 | 99 次浏览 | 分享到:

姜晓亮 国际法学硕士

counsel@attorney.net.cn


企业的生产经营活动将会涉及许多法律风险。企业通过识别、分析和评价法律风险,决定是否运用法律风险应对方案来预防,减少,减轻风险。通过风险管理流程,与利益相关者进行交流与咨询,监控和评审法律风险,修正法律风险的控制措施。


企业应当根据本企业的实际状况与发展规划,实施和持续改进本企业的法律风险管理流程,将法律风险管理整合到企业的所有管理活动中,成为企业管理经营活动的一部分,包括战略和规划、公司治理、知识产权、人力资源、合规管理、产品质量、健康与安全、数据安全、业务连续性、危机管理、抗风险能力等等。


企业法律风险管理需要企业的决策层,管理层,执行层,及法律顾问等诸多相关方的合作:
a)决策层:负责制定企业法律风险管理方针;
b)管理层:负责确保在本企业内进行整体和项目的有效法律风险管理;
c)执行层:评估并具体实施企业法律风险管理;
d)法律顾问:企业法律顾问根据企业决策层与管理层的授权,协助企业进行法律风险管理工作。



1 沟通和咨询


针对与法律风险本身、法律风险成因、法律风险后果以及处理法律风险措施相关的问题,制定沟通和咨询计划。为了确保实施法律风险管理过程的职责明确,以及利益相关者理解决策的基础和特定措施需求的原因,需要采取有效的外部和内部沟通和咨询:

1) 明确企业状况;
2) 确保利益相关者的利益被理解和考虑;
3) 帮助确保法律风险充分地被识别;
4) 将不同领域的专业知识一并用于分析法律风险;
5) 在界定和评价法律风险时,不同的观点被充分地考虑;
6) 确保认同和支持风险应对方案;
7) 在法律风险管理过程中的不断地改善企业管理;
8) 制定一个恰当的内部和外部沟通和协商计划。


企业应当确保法律风险管理流程融入企业所采取的措施中,包括针对企业重点人员培训以及对商业伙伴的考核。企业向重点人员提供实务建议与案例研究以解决现实中遇到的相关问题,并在需要时根据具体情况提供职业道德建议的指引。企业根据风险管理 中的具体问题提供较短期、更有针对性的培训课程,以便重点人员及时地发现并向合规建设、或其他风险管理部门提出问题。


企业通过规章制度与流程的建立与修订,使得企业职工知悉公司对不当行为所采取的措施;并规定当职工因未遵守公司规章制度时而被解除劳动合同或受到其它处理时的沟通措施

2 明确环境


通过明确环境,企业需界定管理法律风险要考虑的外部和内部状况,确定法律风险管理过程的范围和法律风险准则。在明确法律风险管理过程的状况时,这些信息需要细致地,特别是与特定法律风险管理过程联系起来考虑。


2.1 外部法律风险环境
外部法律风险环境是指企业外部与企业法律风险管理相关的法治、经济、文化、社会、技术等各种相关状况。外部环境可以包括:
1) 社会、文化、政治、法治、金融、技术、经济、自然和竞争环境,无论国际、国内、区域,还是本地的;
2) 影响企业目标的主要动力和趋势;
3) 与外部利益相关者的关系,外部利益相关者的观点和价值观。

2.2 内部法律风险环境
内部法律风险环境是指企业内部与企业法律风险及其管理相关的各种状况。法律风险管理过程需与企业的文化、规章制度、结构和战略相一致。内部状况 环境是企业内能够影响管理法律风险方法的方面:
1)企业的基本状况,如企业的战略目标,企业的治理结构,企业盈利模式和业务模式等;
2)与内部利益相关者的关系,内部利益相关者的观点和价值观;
3)企业的文化,企业人力资源管理;
4)企业的信息系统、信息流和决策过程;
5)企业所采用的标准、制度和模式;
6)企业知识产权管理情况;
7)企业合同的合同管理,如。重大合同及其管理情况,企业相关抵押、质押、留置权等担保权益及与担保权益有关的情况;企业重大债权债务情况等。

2.3 明确法律风险管理过程状况
确立企业活动的目标、策略、范围和参数,或法律风险管理过程应用到的企业的那些部分。法律风险管理宜充分考虑满足开展法律风险管理的资源需求。所需的资源、职责、权限和要保存的记录也宜予以规定。
法律风险管理过程的状况根据企业需求而变化。可以包括:
1)确定法律风险管理活动的目标;
2)确定法律风险管理过程的职责;
3)确定所要开展的法律风险管理活动的范围以及深度、广度,包括具体的内涵和外延;
4)以时间和地点,界定活动、过程、职能、项目、产品、服务或资产;
5)界定企业特定项目、过程或活动与其他项目、过程或活动之间的关系;
6)确定法律风险评价的方法;
7)确定评价法律风险管理的绩效和有效性的方法;
8)确定所需的范围或框架性研究,它们的程度和目标,以及此种研究所需资源。
对上述和其他相关因素的关注,有助于确保所采用的法律风险管理方法适合于环境、企业、以及影响目标实现的法律风险。

2.4 确定法律风险准则
法律风险准则是衡量法律风险重要程度所依据的标准,通过确定风险准则,进而确定本企业对法律风险管理的目标、价值观、资源、取向和承受度等,并将该准则运用于法律风险识别、分析、应对等后续工作中。准则需要遵守或引用法律法规要求或企业制度的要求。法律风险准则需与企业法律风险管理方针一致,在法律风险管理过程开始时予以确定,并予以持续评估。
当确定法律风险准则时,要考虑的因素可以包括:
1) 出现的致因和后果的性质和类别,以及如何予以测量;
2) 可能性如何确定;
3) 可能性和后果的时间范围;
4) 法律风险程度如何确定;
5) 利益相关者的立场与观点;
6)法律风险可接受或可容许的程度。

3. 法律风险评估


法律风险评估是法律风险识别、分析与评价的过程。


3.1 法律风险识别
企业应当识别法律风险源、影响区域、各类事件以及致因和潜在后果。法律风险识别方法通常有:调查问卷法;访谈调研法;案例分析法;流程梳理法;因素分析法;法规梳理法。
企业既可以通过合规管理、审核、检查,违规查处、考核和评价等流程识别法律风险,也可通过聘请专业律师为常年法律顾问,通过法律顾问随时了解掌握法律环境的变化,及时采取应对措施;借鉴同行业企业的经验和教训,收集其他企业经营的案例,剖析其成功或失败的内外原因;深入研究现行法律法规、国际条约等,对法律风险管理现状进行梳理,确认存在的风险。
法律风险识别以企业法律风险清单的方式归纳与汇总,可以包括下列内容:
1) 基础信息:对法律风险事件及相应风险。
2) 法律信息: 对法律风险涉及的法律法规、引发的责任和后果、相关代表性案例及法律责任。
3) 管理信息:对法律风险涉及的企业部门、人员、业务流程、其他主体等。

3.2 法律风险分析
法律风险分析,是指对识别出的法律风险进行定性、定量的分析,包括对法律风险发生可能性及法律风险影响程度的分析,为法律风险的评价和应对提供支持。
开展法律风险分析工作,考虑的因素可以包括:
1) 引起风险事件的原因及该原因事件发生的频率:
2) 风险事件发生的概率,可以参考以前类似事件发生的频率及相关案例;
3) 风险事件发生的后果、后果的影响程度、影响范围;
4) 风险事件可能带来的企业信用损失与财产损失。

3.3 法律风险评价
法律风险评价的目的是,基于法律风险分析的结果,帮助做出有关法律风险需要处理和处理实施优先的决策。
具体风险评价工作为:调整并完善企业法律风险准则;将法律风险按照法律风险分析的结果排序;将每一法律风险分析结果与企业法律风险准则比较,依据结果进行分级;根据分级结果,结合企业风险管理的要求,明确重大法律风险。

4. 法律风险应对


法律风险应对包括选择一种或几种修正法律风险的方案,以及实施方案。法律风险应对是一个循环过程:评价法律风险方案;确定残留法律风险程度是否可容许;如果不可容许,产生新的法律风险方案;评价该处理措施的有效性。

制订法律风险应对计划:应对计划能够满足风险应对的需求、发挥风险应对的作用;在企业现有资源条件下,应对计划确实是可操作、可执行的;从全局角度对各项应对措施进行统筹、整合,实现企业整体利益最大化;从长期规划的角度设置应对措施实施的先后主次,循序渐进地实现风险控制。

4.1 法律风险应对方案
法律风险应对方案可以包括:
1)风险规避:放弃或者停止与该风险相关的业务活动,如撤销项目、抛售股票、放弃失信客户和禁止高风险活动。
2)风险降低:采取适当的控制措施降低风险或者减轻损失,如风险分散管理和隔离控制等。
3)风险分担:借助依靠他人力量控制风险,如购买保险;通过签订担保合同转移风险等。
4)风险承受:不采取控制措施降低风险或者减轻损失,对于风险承受度之内的,或为了实现战略目标而不可摆脱的固有的、稳定的风险,可选择做好准备,调集资金和其他资源正面应对。

4.2 选择法律风险应对方案
当选择法律风险应对方案时,首先要考虑相关法律的规定,企业应当执行法定的风险应对方案;其次企业宜考虑利益相关者的价值观和观点,以及与他们沟通最适合的方法。如果法律风险应对方案可以影响企业别处的法律风险或与利益相关者关联的法律风险,这宜包含在决策中。尽管同样有效,有些法律风险应对可以比其他一些更让一些利益相关者接受。

4.3 实施法律风险应对方案
1) 在法律风险评价基础上,根据风险应对计划制订法律风险应对方案,并拆分至各相关部门。
2) 各部门填写法律风险应对方案,提出本部门负责的法律风险应对措施,并明确各项措施的完成标志、完成时间等内容。
3) 企业汇总整理各部门填写完成的法律风险应对措施,并对相关内容进行调整、完善,调整重点为风险应对措施。
4) 将调整后的法律风险应对方案再次发给各相关部门确认后,形成最终法律风险应对方案。

5 监控和评审


监控和评审都是法律风险管理过程的已实施的部分,包含常规检查或监督。企业决策层与管理层的监控和评审过程宜包含法律风险管理过程的所有方面,目的是:

1)确保控制措施在设计和运行上有效和有效率;
2)获得进一步改进法律风险评价的信息;
3)从案件的变化、趋势、成功和失败中分析和吸取教训;
4)探测内外部状况的变化,包括法律风险准则的变化和会需要修正法律风险应对和优先的法律风险自身;
5)识别新出现的法律风险。


法律风险的评审:
1)企业是否建立了法律风险管理体系?
2)企业的法律风险管理是否获得足够的资源与授权?
3)企业的法律风险管理是否发挥作用?


6. 记录与报告


企业法律风险管理必须可追溯。在风险管理过程中,法律风险的记录需要考虑的因素有:

1)企业持续学习的需求;
2)对法律法规的遵守及企业正常的营运;
3) 执法机构对企业的检查及调查;
4)检索的难易和储存媒介;
5)保存期限(必须3年以上);
6)是否涉及企业的知识产权及商业秘密的保护。
企业应将法律风险管理基本流程和内部控制系统各环节的风险管理的措施整合进企业管理信息系统,包括信息的采集、存储、分析、测试、传递、报告、披露等。


公司执行层每年向公司管理层和决策层提交专项法律风险评估报告。风险评估报告主要包括以下内容:
1)风险管理组织架构和基本流程;
2)风险管理策略及其执行情况;
3)各类风险的评估方法及结果;
4)重大风险事件情况及未来风险状况的预测;
5)对风险管理的改进建议。