國家標準化會《企業法律風險管理指南》

企

業

法

律

風

險

管

理

指

南

國家標準化委員會《企業法律風險管理指南》

(GB/T27914-2011)

目次

前言

1范圍

2規范性引用文件

3術語和定義

4企業法律風險管理原則

5企業法律風險管理過程

6企業法律風險管理的實施

附錄A法律風險識別框架示例

附錄B法律風險清單示例

2

附錄C法律風險可能性分析示例

附錄D法律風險影響程度分析示例

前言

本標準在GB/T24353-2009《風險管理原則與實施指南》的指導下，結合

我國企業法律風險管理的實踐經驗編制而成。

本標準的附錄A、附錄B、附錄C、附錄D為資料性附錄。

本標準由全國風險管理標準化技術委員會（SAC/TC310）提出并歸口。

本標準起草單位:中國標準化研究院、中國移動通信集團公司、第一會達風

險管理科技有限公司、中華全國工商業聯合會、北京市展達律師事務所、中國電

子信息產業集團公司、中國建筑工程總公司。

本標準主要起草人:高曉紅、葉小忠、呂多加、薄勇、王志華、白蓮湘、崔艷武、

劉瑛、孔雪屏、秦玉秀

企業法律風險管理指南

1范圍

本標準提供了企業實施法律風險管理的通用指南。本標準適用于

各種類型和規模的企業，可指導企業在其整個生命周期和所有經營環

節中開展法律風險管理活動。本標準是通用指南，不作為行業性專用

標準使用，企業應根據行業特點，結合自身情況和實際需要應用本標

準實施法律風險管理。中小企業可以根據自身管理基礎、資源以及管

理需求，對本標準提供的法律風險管理過程和相關的配套保障措施進

行簡化或采取遞進式建設，逐步達到本標準要求，從而確保本企業的

3

法律風險管理資源投入與企業的目標相契合，達到管理本企業法律風

險的目標。

2規范性引用文件

下列文件中的條款通過本標準的引用而成為本標準的條款。凡是

注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修

訂版均不適用于本標準，然而鼓勵根據本標準達成協議的各方研究是

否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版

本適用于本標準。GB/T23694-2009風險管理術語（ISO/IEC

Guide73：2002，IDT）

3術語和定義

GB/T23694-2009中界定的術語和定義適用于本標準。3.1企

業法律風險企業法律風險是指基于法律規定、監管要求或合同約定，

由于企業外部環境及其變化，或企業及其利益相關者的作為或不作

為，對企業目標產生的影響。

4企業法律風險管理原則

為了有效管理法律風險，支持企業的決策和經營管理活動，企業

進行法律風險管理時可遵循以下原則：

（1）以企業戰略目標為導向的原則企業法律風險管理目的在于

促進企業戰略目標的實現。在法律風險評估和應對等企業法律風險管

理活動中應充分考慮法律風險與企業戰略目標之間的相互關系、影響

等因素。

（2）審慎管理的原則由于法律風險的特殊性，對于法律風險應

4

堅持審慎管理的原則。要在尊重法律、保持誠信前提下，開展法律風

險管理活動，風險管理的策略和方法不應違反法律的強制性和義務性

規定。

（3）與企業整體管理水平相適應的原則法律風險管理是企業管

理的有機組成部分，和企業戰略管理、流程管理、績效管理、信息管

理等密切相關。法律風險的識別、分析、評價和控制等活動只有與企

業整體管理水平相適應，才能取得良好的效果。

（4）融入企業經營管理過程的原則法律風險發生于企業的經營

管理活動，其識別、分析、評價和應對都不可能脫離企業經營管理過

程，法律風險管理必須融入企業經營管理過程，成為其有機組成部分。

（5）納入決策過程的原則企業所有決策都應綜合考慮風險，以

便將風險控制在企業可接受的范圍內。法律風險作為企業的重要風險

范疇，應納入企業決策過程，作為企業決策應考慮的重要因素。

（6）納入企業全面風險管理體系的原則法律風險管理是企業風

險管理體系的組成部分，應與其他風險的管理整合，以提高風險管理

的整體效率和效果。

（7）全員參與、全過程開展的原則法律風險產生于企業經營管

理的各個環節，因此法律風險管理需要企業所有員工的參與并承擔相

關責任，其中特別包括企業專職的法律管理部門（或人員）。各方人

員分工負責，以形成法律風險管理的長效機制。

（8）持續改進的原則法律風險管理是適應企業內外部法律環境

變化的動態過程，其各步驟之間形成一個循環往復的閉環。隨著內外

5

部法律環境的變化，企業面臨的法律風險也在不斷發生變化。企業應

該持續不斷地對各種變化保持敏感并做出恰當反應。

5企業法律風險管理過程

5.1概述

法律風險管理是企業全面風險管理的組成部分，貫穿于企業決策

和經營管理的各個環節。法律風險管理過程由5.2到5.5所描述的活

動組成，即明確法律風險環境信息、法律風險評估、法律風險應對、

監督和檢查，如圖1所示。

其中，法律風險評估包括法律風險識別、法律風險分析和法律風

險評價等三個步驟。溝通和記錄非常重要，應貫穿于企業法律風險管

理過程的各項活動中，5.6將對其進行詳細說明。

5.2明確法律風險環境信息

5.3法律風險評估

5.3.2法律風險識別

5.3.3法律風險分析

5.5

監督

與檢

查

5.3.4法律風險評價

5.4法律風險應對

6

圖1法律風險管理過程

5.2明確法律風險環境信息

5.2.1概述

明確法律風險環境信息是應用適當的方法，對企業內外部環境中

與法律風險相關的信息進行收集、分析、整理、歸納的一系列過程。

明確法律風險環境信息是后續法律風險管理活動得以順利實施的必

要基礎。明確法律風險環境信息是一個動態的過程，應保持法律風險

環境信息的持續更新。

5.2.2外部法律風險環境信息

外部法律風險環境信息是指與企業法律風險管理相關的政治、經

濟、文化、法律等各種相關信息。企業應根據本行業和企業業務經營

管理的特點，具體分析明確外部法律風險環境信息的收集范圍和分析

方式，為法律風險評估和應對提供充分的信息保障。外部法律風險環

境信息包括但不限于：

——本行業的業務模式及特點；

——國內外與本企業相關的政治、經濟、文化、技術以及自然環

境等；

——國內外與本企業相關的立法、司法、執法和守法情況及其變

化；

——與本企業相關的監管體制、機構、政策以及執行等情況；

——與本企業相關的市場競爭情況；

——本企業在產業價值鏈中的定位及與其他主體之間的關系；

7

——企業主要的外部利益相關者及其對法律、合同、道德操守等

的遵從情況；

——與企業法律風險及管理相關的其他信息。地區間的環境差異

是普遍存在的。對于跨區域經營的企業，在進行外部法律風險環境調

查時，應特別關注不同地區間可能存在的環境差異。

5.2.3內部法律風險環境信息

內部法律環境信息是與企業法律風險及其管理相關的各種信息，

包括法律風險和法律風險管理的歷史及現狀。內部法律風險環境信息

包括但不限于：

——企業的戰略目標；

——企業盈利模式和業務模式；

——企業的主要經營管理流程/活動、部門職能分工等相關信息；

——企業在法律風險管理方面的使命、愿景、價值理念；

——企業法律風險管理工作的目標、職責、相關制度和資源配置

情況；

——企業法律事務工作及法律風險管理現狀，其中對法律風險管

理現狀可從方針、組織職能和資源配置、制度和流程內控、溝通和報

告、法律風險管理文化和技術手段等要素分析；

——內部利益相關者的法律遵從情況和激勵約束方式；

——本企業簽訂的重大合同及其管理情況；

——本企業發生的重大法律糾紛案件或法律風險事件的情況，本

企業相關的法律規范庫和法律風險庫；

8

——本企業知識產權管理情況；

——與法律風險及其管理相關的其他信息。

以上法律風險環境信息的收集范圍和內容，應根據企業的法律風

險狀況變化及企業的管理需要進行補充調整。

5.2.4企業法律風險準則

企業法律風險準則是衡量法律風險重要程度所依據的標準，應體

現企業對法律風險管理的目標、價值觀、資源、偏好和承受度。企業

法律風險準則應在法律風險管理工作開始實施前制定，并根據實際情

況進行相應調整。確定法律風險準則時要考慮但不限于以下因素：

——本企業法律風險管理的范圍、對象，以及法律風險的分類；

——法律風險發生可能性、影響程度以及法律風險的度量方法；

——法律風險等級的劃分標準；

——利益相關者可接受的法律風險或可容許的法律風險等級；

——重大法律風險的確定原則。

5.3法律風險評估

5.3.1概述法律風險評估

包括風險識別、風險分析和風險評價三個環節。

5.3.2法律風險識別

5.3.2.1概述

法律風險的識別，首先是查企業各業務單元、各項重要經營活

動、重要業務流程中存在的法律風險，然后對查出的法律風險進行

描述、分類，對其原因、影響范圍、潛在的后果等進行分析歸納，最

9

終生成企業的法律風險清單。

法律風險識別的目的是全面、系統和準確地描述企業法律風險的

狀況，為下一步的法律風險分析明確對象和范圍。進行法律風險識別

時要掌握相關的和最新的信息，必要時，需包括適用的背景信息，特

別是法律法規的變化信息。除了識別可能發生的法律風險事件外，還

要考慮其可能的原因和可能導致的后果，包括所有重要的原因和后

果。不論法律風險事件的風險源是否在企業的控制之下，或其原因是

否已知，都應對其進行識別。

識別法律風險需要所有相關人員的參與。企業所采用的風險識別

工具和技術應當適合于其目標、能力及其所處環境。

5.3.2.2構建法律風險識別框架

為保證法律風險識別的全面性、準確性和系統性，企業應構建符

合自身經營管理需求的法律風險識別框架，該框架提供一些方便識別

法律風險的角度，這些角度包括但不限于以下方面：

——根據企業主要的經營管理活動識別，即通過對企業主要的經

營管理活動（如生產活動、市場營銷、物資采購、對外投資、人事管

理、財務管理等）的梳理，發現每一項經營管理活動可能存在的法律

風險。

——根據企業組織機構設置識別，即根據企業各業務管理職能部

門/崗位的業務管理范圍和工作職責的梳理，發現各機構內可能存在

的法律風險。

——根據利益相關者識別，即通過對企業的利益相關者（如股東、

10

客戶、供應商、員工、政府等）的梳理，發現與每一利益相關者相關

的法律風險。

——根據法律風險源識別，即通過對法律環境、違規、違約、侵

權、怠于行使權利、行為不當等梳理，發現企業存在的法律風險。

——根據法律風險發生后承擔的責任梳理，即通過對刑事法律風

險、行政法律風險、民事法律風險的梳理，發現不同責任下企業存在

的法律風險。

——根據不同法律領域的識別，即通過對不同的法律領域（如合

同、知識產權、招投標、勞動用工、稅務、訴訟仲裁等）的梳理，發

現不同領域內存在的法律風險。

——根據法律法規識別，即通過對與企業相關的法律法規的梳

理，發現不同法律法規中存在的法律風險。

——根據以往發生的案例識別，即通過對本企業或本行業發生的

案例的梳理，發現企業存在的法律風險。

企業可以根據自身的不同需要，選擇以上不同的角度或組合，構

建法律風險識別框架。

附錄A中給出了從引發法律風險原因的分類和企業經營管理活

動過程兩個角度構建風險識別框架的示例。

5.3.2.3進行法律風險識別

根據構建的法律風險識別框架，可采用問卷調查、訪談調研、頭

腦風暴、德爾菲法、檢查表法等方法進行法律風險識別，并確定分類

和命名規則，對每個法律風險設置相應的編號或名稱。

11

以從引發法律風險源分類和企業經營管理活動過程兩個角度構

建的法律風險識別框架為例，此時需要逐一判斷每一經營管理活動中

是否可能存在某種法律風源或法律風險事件，并盡可能地列舉這些事

件。同一經營管理活動中同一種類的法律風險事件可歸屬于同一法律

風險類別，并據此確定該法律風險的名稱，如XX違規風險、XX侵

權風險等（XX為某一經營管理活動的名稱）。

5.3.2.4形成法律風險清單

在法律風險事件及法律風險名稱確定后，應將這些事件統一列

表，并在列表中補充每一風險事件適用的法律法規、風險動因、可能

產生的法律后果、相關的案例、法律分析意見及其涉及的部門、經營

管理流程等信息，最終形成企業的法律風險清單。法律風險清單的示

例見附錄B。

5.3.3法律風險分析

5.3.3.1概述

法律風險分析是指對識別出的法律風險進行定性、定量的分析，

考慮法律風險源或導致法律風險事件的具體原因、法律風險事件的發

生的可能性及其后果，影響后果和可能性的因素，為法律風險的評價

和應對提供支持。

根據法律風險分析的目的、可獲得的信息數據和資源，法律風險

分析可以有不同的詳細程度，可以是定性的、半定量的、定量的分析，

也可以是這些分析的組合。在實踐中經常首先采用定性分析以一般了

解法律風險等級和揭示主要法律風險。在可能和適當的時候，應當進

12

一步進行更具體和定量的法律風險分析。

對于法律風險事件發生的可能性和影響程度的分析應綜合采用

建模和專家意見以及經驗推導來確定，要注意與企業內外部相關利益

者的溝通，同時要考慮模型和專家意見本身的局限性。

5.3.3.2法律風險可能性分析

對法律風險發生可能性進行分析時，可以考慮但不限于以下因

素：

——外部監管執行力度，包括企業外部相關政策、法律法規的完

善程度，以及相關監管部門的執行力度等；

——內控制度的完善與執行，包括企業內部用以控制相關法律風

險的規章、制度的完善程度及執行力度等；

——相關人員法律素質，包括企業內部相關人員對相關政策、法

律法規、企業規章制度以及法律風險控制技巧的了解、掌握程度等；

——利益相關者的綜合狀況，包括利益相關者的綜合資質、履約

能力、過往記錄、法律風險偏好的表達等；

——所涉及工作的頻次，指與法律風險相關的工作在一定周期內

發生的次數。對于不同類型的法律風險來說，影響其發生可能性的因

素會有所不同。各種因素對可能性影響程度的權重也是不同的，并且

各因素之間的權重比會因法律風險類型的不同而有所差異。附錄C

中給出了法律風險可能性分析的示例。

5.3.3.2法律風險影響程度分析

對法律風險影響程度進行分析時，可以考慮但不限于以下因素：

13

——后果的類型，包括財產類的損失和非財產類的損失等；

——后果的嚴重程度，包括財產損失金額的大小、非財產損失的

影響范圍、利益相關者的反應等。

附錄D中給出了法律風險影響程度分析的示例。

此外，法律風險與其他風險在一定條件下具有伴生性和相互轉化

性，企業要對法律風法律風險與其它風險之間的關聯性進行分析，明

確各風險事件之間的影響路徑和傳遞關系，明確法律風險與其它風險

之間的組合效應，從而在風險策略上對法律風險和其他相關風險進行

統一集中的管理。

5.3.4法律風險評價

法律風險評價是指將法律風險分析的結果與企業的法律風險準

則相比較，或在各種風險的分析結果之間進行比較，確定法律風險等

級，以幫助企業做出法律風險應對的決策。

在法律風險分析的基礎上，綜合考慮法律風險管理的目標、成本

和收益、資源的投入安排等因素，對法律風險進行不同維度的排序，

包括法律風險事件發生可能性的高低、影響程度的大小以及風險水平

的高低。

在法律風險水平排序的基礎上，對照企業法律風險準則，可以對

法律風險進行分級，具體等級劃分的層次可以根據企業的管理需要設

定。

在法律風險排序和分級的基礎上，企業可以根據其管理需要，進

一步確定需要重點關注和優先應對的法律風險。

14

5.4法律風險應對

5.4.1概述

法律風險應對是指企業針對法律風險或法律風險事件采取相應

措施，將法律風險控制在企業可承受的范圍。法律風險應對包括選擇

法律風險應對策略、評估法律風險應對現狀、制定和實施法律風險應

對計劃三個環節。

5.4.2選擇法律風險應對策略

法律風險應對策略包括規避風險、控制風險、轉移風險、接受風

險和其他策略等。選擇法律風險應對策略應該至少考慮以下幾方面的

因素：

——企業的戰略目標、核心價值觀和社會責任等；

——企業對法律風險管理的目標、價值觀、資源、偏好和承受度

等；

——法律風險應對策略的實施成本與預期收益；

——選擇幾種應對策略，將其單獨或組合使用；

——利益相關者的訴求和價值觀、對法律風險的認知和承受度以

及對某些法律風險應對策略的偏好。

5.4.3評估法律風險應

對現狀如果企業對某些法律風險選取了規避、控制或轉移的應對

策略，則應該對這些法律風險的應對現狀予以進一步的評估，以了解

目前的法律風險應對存在哪些不足和缺陷，為制定法律風險應對計劃

提供支撐。

15

評估法律風險應對現狀至少應考慮以下幾方面的因素：

——資源配置，即企業內部的相關機構設置能否滿足法律風險應

對需要、用于法律風險應對的人員配備是否充足以及用于法律風險控

制的經費是否充足等；

——職責權限，即是否明確與風險應對相關的職責和權限；

——過程監控，即是否要求對持續性業務/管理活動進行定期或

不定期的監督和控制/證據資料保留/信息溝通、告警；

——獎懲機制，即對相關工作、管理人員在法律風險應對工作中

的表現、成績是否設立了獎懲機制等；

——執行者能力要求，即企業對與法律風險應對相關的內部執行

者（公司內部領導、員工）是否有明確的資質、能力要求（業務資質、

業務技能、法律素質等）；

——部門內法律審查，即是否要求業務部門內部對一般性的法律

問題進行審查（一般性法律問題指從事某項業務必須掌握的基礎性、

常識性的法律問題，各部門人員可以通過培訓掌握相關內容）；

——專業法律審查，即是否要求法律部門或專業律師對專業性法

律問題進行審查或提供相關法律意見；

——風險意識，即工作、管理人員對風險的存在、風險將會造成

的后果，以及如何開展風險應對等方面是否有必要的認識和理解；

——外部法律風險環境，即有關法律環境是否完善、穩定，社會

守法狀況，執法力度和司法方式等。

5.4.4制定和實施法律風險應對計劃

16

應對措施通常包括以下幾種類型：

——資源配置類，指設立或調整與法律風險應對相關的機構、

人員，補充經費或風險準備金等；

——制度、流程類，指制定或完善與法律風險應對相關的制度、

流程；

——標準、指引類，指針對特定法律風險，編撰指引、標準類文

件，供業務人員使用；

——技術手段類，指利用技術手段規避、控制或轉移某些法律風

險；

——信息類，指針對某些法律風險事件發布告警或預警信息；

——活動類，指開展某些專項活動，規避、控制或轉移某些法律

風險；

——培訓類，指對某些關鍵崗位人員進行法律風險培訓，提高其

法律風險意識和法律風險管理技能。

在法律風險應對措施確定之后，應該制定應對措施的實施計劃。

實施計劃中至少應該包括以下信息：

——實施法律風險應對措施的機構、人員安排，明確責任和獎懲；

——應對措施涉及的具體業務及管理活動；

——報告和監督、檢查的要求；

——資源需求和配置方案；

——實施法律風險應對措施的優先次序和條件；

——實施時間表。

17

法律風險應對是一個遞進的動態過程，需要根據內外部法律風險

環境變化對制定的措施進行評估調整，以確保措施的實時有效性。企

業在制定法律風險應對措施后應評估其剩余風險（剩余風險是指預期

采取法律風險應對措施后的法律風險）是否可以承受。如果不可承受，

應調整或制定新的法律風險應對措施，并評估新的措施的效果，直到

剩余風險可以承受。執行法律風險應對措施會引起組織風險情況的改

變，需要跟蹤、監督有關風險應對的效果和組織的環境信息，并對變

化的風險進行評估，必要時重新制訂法律風險應對措施。

5.5監督和檢查

企業應實時跟蹤內外部法律風險環境的變化，及時監督和檢查法

律風險管理流程的運行狀況，以確保法律風險應對計劃的有效執行，

并根據發現的問題對法律風險管理工作進行持續改進。法律風險管理

的監督和檢查環節使得法律風險管理流程形成可持續運轉的閉環，是

法律風險管理能夠持續改進的不可缺少的組成部分。

企業法律風險管理監督和檢查的內容應包括但不限于以下內容：

——內外部法律風險環境的發展變化，如法律法規、相關政策的

出臺和變化、司法、執法及社會守法環境的變化、企業自身戰略的調

整改變等；

——監測法律風險事件，分析趨勢及其變化并從中吸取教訓；

——對照法律風險應對計劃檢查工作進度與計劃的偏差，保證風

險應對措施的設計和執行有效；

——報告關于法律風險變化、風險應對計劃的進度和風險管理方

18

針的遵循情況；

——實施法律風險管理績效評估。

另外，企業可根據自身的需求和資源狀況，選擇建立重大法律風

險預警制度，即根據對內外部法律風險環境變化的監控結果，及時發

布法律風險預警信息，并制定相應的應急預案。應急預案要明確應急

處理的相關組織機構、處理流程、溝通機制、應急措施和資源的配置

保障，確保企業對突發法律風險事件的快速反應，有效控制突發法律

風險事件對企業造成的影響。

5.6溝通和記錄

5.6.1溝通

企業在法律風險管理過程的每個階段都應當與內外部利益相關

者有效溝通，以保證實施法律風險管理的相關人員和利益相關者能夠

充分了解企業面臨的法律風險及其給企業帶來的影響，正確理解企業

法律風險管理決策的依據，并根據相關信息做出恰當決定，有效執行

管理活動。

由于企業各層級人員及相關利益相關者的價值觀、訴求、假設、

認知和關注點不同，造成其法律風險偏好和對法律風險管理的期望不

同，這些對法律風險管理的決策和執行有重要影響。因此，企業在法

律風險決策過程和法律風險管理執行中應當與內外部利益相關者進

行充分溝通，并保存相關記錄。為保障這種溝通能夠順利進行，企業

應保證法律風險管理的責任部門能夠與企業相關人員充分溝通，能夠

獲取履行職責所需的相關記錄或檔案材料，并且與監管機構、立法及

19

司法機關等外部利益相關者建立順暢的溝通渠道。

5.6.2記錄

在法律風險管理過程中，記錄是實施和改進整個法律風險管理過

程的必要工作。建立記錄應當考慮以下方面：

——出于管理的目的而重復使用信息的需要；

——進一步分析法律風險和調整風險應對措施的需要；

——法律風險管理活動的可追溯要求；

——溝通的需要；

——法律法規和操作上對記錄的需要；

——企業本身持續學習的需要；

——建立和維護記錄所需的成本和工作量；

——獲取信息的方法、讀取信息的容易程度和儲存媒介；

——記錄保留期限管理。

6企業法律風險管理的實施

6.1概述

法律風險管理流程的組織實施需要一個法律風險管理體系，包括

風險管理的方針、組織職能、資源配置、信息溝通傳遞機制等相關基

礎配套設施。

主要包括：

——法律風險管理方針；

——與法律風險管理目標匹配的組織職能和資源保障；

——相關的制度和內部流程控制，使法律風險管理嵌入到組織的

20

所有活動和過程中；

——與內外部利益相關者關于法律風險管理的溝通機制；

——法律風險管理文化；——法律風險管理的技術手段、方法、

工具等。

6.2法律風險管理方針

法律風險管理方針應明確下列事項：

——法律風險管理理念；

——最高管理者對法律風險管理的承諾；

——法律風險管理的目標；

——企業的法律風險偏好；

——法律風險管理目標與企業的目標及其它風險管理目標的關

系；

——法律風險管理目標的層次分解和細化；

——持續改進的承諾。

6.3法律風險管理的組織職能

企業可以根據現有的組織結構和風險管理職能設置原則，明確法

律風險管理的組織架構、職責和內容。需明確：

——本企業法律風險管理的組織結構和人員組成，如外部法律顧

問、企業內部法律顧問/法律部門/法律崗位等的構成關系；

——內外部法律風險管理資源的分工和合作方式；

——明確法律風險管理體系的制定、實施和維護人員的職責；

——明確執行法律風險應對措施、維護法律風險管理體系和報告

21

相關風險信息人員的職責；

——明確全體員工在其本職工作中有關法律風險管理方面的職

責；

——建立批準、授權制度；

——建立考核方法、獎懲制度。

6.4法律風險管理的制度流程

企業應當根據法律風險管理的目標，建立完善適當的配套制度和

行為規范，建立法律風險管理的工作程序，同時結合企業內部控制管

理工作，將法律風險納入到流程控制中，確保法律風險管理工作切實

融入到企業的日常管理工作中，確保法律風險管理在企業內部的統一

理解和執行。具體要考慮：

——本企業法律風險管理工作的范圍和內容；

——法律風險管理制度、規范的制定要考慮企業現有的制度管理

體系和風險管理的制度，確保一致性，提高效率；

——形成對制度規范的定期更新和修訂，確保其時效性；

——應當具體分析可納入流程管理的法律風險，其相關管理措施

與其他風險控制點的嵌套關系。

6.5法律風險管理的資源配置

企業需根據法律風險管理計劃，制定可行的方法，為法律風險管

理分配適當的資源。具體要考慮下列各項：

——法律風險管理相關人員的技術、經驗和能力要求；

——法律風險管理過程每一階段所需要的人力、資金及其他資

22

源；

——法律風險管理目標、成本和收益的關系，提高法律風險管理

的收益水平。

——根據企業內部條件和管理需求，可引入信息和知識管理系

統，提高信息溝通和管理的效率。

6.6法律風險管理的溝通和報告機制

企業要建立內部溝通和報告機制，以保證：

——法律風險管理體系的關鍵組成部分及其調整得到適當的溝

通；

——在企業內部充分報告法律風險應對計劃實施的效果和效率；

——在適當的層次和時間提供法律風險管理的相關信息；

——建立與內部利益相關者協商的程序。企業需建立與外部利益

相關者溝通的機制。這種機制應當保證：

——企業的對外報告符合法律法規和公司治理要求；

——企業與外部利益相關者保持有效的信息溝通；

——在外部利益相關者中建立對組織的信心；

——在發生突發事件、危機和緊急狀況時與利益相關者溝通；

——為企業提供外部利益相關者的報告和反饋。

企業法律風險管理信息的溝通和報告機制要考慮與其他風險信

息報送的銜接關系，以保證相關部門信息的互動溝通，有助于對風險

信息的組合分析，提高管理效率。

6.7法律風險管理文化

23

企業應當注重法律風險意識和風險管理文化的培養，從而促進法

律風險管理的貫徹實施，保障法律風險管理目標的實現。

具體應考慮：

——樹立法律風險管理是企業全體員工共同責任的理念，需在不

同層次上履行防范法律風險的職責；

——法律風險管理專業機構應當制定系統化的法律風險管理培

訓計劃，包括一般的普法宣傳和專項的法律知識培訓，從而提高全體

員工知法、守法和用法水平；

——加強法律風險管理機構專業人員的法律實務水平和風險管

理水平，加強提升對企業業務管理的深入理解和支撐服務能力，主動

積極地為企業的經營決策和管理活動提供法律支持；

——采用多種途徑加強對企業法律風險管理理念、知識、方法和

流程的培訓，以便于企業各層形成共識；

——企業應當加強對內部違法違規行為的懲處力度，形成良好的

法律風險管理文化；

——重視企業領導層對法律風險管理工作的態度和管理理念

以及管理承諾。

附錄A法律風險識別框架示例

法律風險的識別框架可以從兩個角度來構建。一個角度是引發企

業法律風險的原因，可分為法律環境、違規行為、違約行為、侵權行

為、不當行為和怠于行使權利六種；另一個角度是企業所從事的各類

24

經營/管理活動。具體如表A.1所示：

引發原因

經營活動

經營管理活動1

經營管理活動2

經營管理活動3

法律

環境

違規

行為

違約

行為

侵權

行為

不當

行為

怠于行

使權利

……

表A.1法律風險識別框架示例

附錄B法律風險清單示例

法律風險清單可以劃分為三個信息區。第一部分為基礎信息區，

主要內容為法律風險及引發風險的具體行為，為便于今后的使用和管

理，這里還可以為每個法律風險及風險行為設置不同的編碼；第二部

分為法律信息區，包括風險涉及到的法規、法條、案例、法律責任和

后果、法律建議等；第三部分為管理信息區，包括風險涉及到的企業

內部部門、外部主體、經營管理活動或流等。具體如表B.1示：

基礎信息區法律信息區

引發

風險風險行為

引發法

律風險

的行為

涉及到

的法律

法規

涉及到

的法條

的法

律責

任和

后果

XXX

XXXXXXXXX

XXX

XXX

XXXXXXXXX

XXX

XXXXXXXXX

XXX

XXX

XXX

XXX

XXX

XXX

XXXXXXXXX

25

XXXXXXXXXXXXXXXXXX

XXXXXXXXXXXXXXXXXXXXXXXX

XXXXXXXXXXXXXXXXXXXXXXXX

案例

法律

建議

涉及

的

部門

管理信息區

涉及

的法

律主

體

涉及的

業務/

管理活

動

代碼名稱代碼

XXX

XXX

XXX

XXX

………………………………………………………………

表B.1法律風險清單示例

附錄C法律風險可能性分析示例

風險事件的發生可能性是指在公司目前的管理水平下，風險事件

發生概率的大小或者發生的頻繁程度。對法律風險發生可能性的量化

分析，可以從以下五個維度進行，每個維度可以進一步細化為若干評

分標準，以下示例影響程度分為5個等級，分別賦予1分至5分，表示

發生可能性依次加強，得分越高意味風險發生的可能性越大。對照該

評分標準，同時根據不同維度對風險發生可能性影響程度的不同，為

各維度設定權重系數，并確定計算公式，最終即可計算出該風險發生

可能性的得分。

得分

維度

內部控制規章

制度/業務流程

內控制度的

完善與執行

很不完善，內部

控制規章制度/

業務流程很難

得到執行

不了解相關法

律及企業內部

制度

內部控制規章制

度/業務流程較

完善，內部控制

規章制度/業務

流程較難得到執

行

對相關法律及企

業內部制度有一

定了解，但不能

有效執行

內部控制規章

制度/業務流

程較完善，內

部控制規章制

度/業務流程

內部控制規章

制度/業務流

程很完善，內

部控制規章制

度/業務流程

內部控制規章

制度/業務流

程很完善，內

部控制規章制

度/業務流程

我方人員非常

熟悉相關法律

及企業內部制

度并能夠完全

有效執行

54321

執行程度一般執行比較準確執行非常準確

了解相關法律

及企業內部制

度，且基本能

夠執行

理解相關法律

及企業內部制

度，并能夠較

好執行

我方人員相

關法律素質

26

風險對方綜

合狀況

履約能力很弱

或侵權可能性

很大，信譽很差

有法律規定，有

履約能力一般

履約能力較弱或

侵權可能性較大一般，信譽一

般

有法律規定，有

監管部門，違法

行為一般都能得

到及時查處

有法律規定，

有監管部門，

但違法行為并

未都得到及時

查處

風險行為所涉

及的工作每月

至少發生一次

履約能力較強

較小，信譽較

好

有法律規定，

有監管部門，

但監管部門經

履約能力很強

或侵權可能性

很小，信譽很

好

無法律規定，

有監管部門，

但監管部門經

或侵權可能性或侵權可能性

外部監管執

行力度

監管部門，違法

行為總是能得

到及時查處，且

處罰嚴厲

風險行為所涉

常不履行職責常不履行職責

風險行為所涉

及的工作每季

度至少發生一

次

風險行為所涉及

的工作每周至少

發生一次

風險行為所涉

及的工作每年

至少發生一次

工作頻次及的工作每天

至少發生一次

表C.1法律風險可能性分析示例

附錄D法律風險影響程度分析示例

風險事件的影響程度是指該風險事件會對公司的經營管理和業

務發展所產生影響的大小。對法律風險影響程度的量化分析，可以從

以下三個維度進行，每個維度可以進一步細化為若干評分標準，以下

示例影響程度分為5個等級，分別賦予1分至5分，表示影響程度依次

加強，得分越高意味風險影響程度越大。對照該評分標準，同時根據

不同維度與風險影響程度相關性的不同，為各維度設定權重系數，并

確定計算公式，最終即可計算出該風險影響程度的得分。

分析維度

01

10萬元以

下

商譽、企業

非財產損失大

小

無

形象、知識

產權等損

失很小

2

10－100萬

元

商譽、企業

形象、知識

產權等損失

較小

3

100－500萬

元

商譽、企業形

象、知識產權

等損失一般

4

500－

商譽、企

業形象、

知識產權

等損失較

大

商譽、企業形

象、知識產權

等損失很大

5

5000萬元以

財產損失大小無

5000萬元上

27

很小范圍

影響范圍無的區域，如

企業內部

較小范圍的

區域，如若

干企業間

中等范圍的區

域，如全市范

圍內

較大范圍

的區域，

如全省范

圍內

很大范圍的

區域，如全國

范圍內

注：財產損失大小的區間界定，根據企業自身情況確定。

表D.1法律風險影響程度分析示例

28