企业法律风险管理体系的构建

企业法律风险管理体系的构建

□刘益民

【摘要】《中央企业全面风险管理指引》作为我国全面风险管理的第一份指导性法律文件，所提出的企业风险管理理念及全面风险管理框架，值得所有企业在进行法律风险管理时学习和借鉴。本文从实务角度出发，提出全面风险管理背景下，企业法律风险管理的理念、框架和中国企业法律风险管理的推进路径。

【关键词】法律风险；管理框架；操作方法

【作者单位】刘益民，华电内蒙古开鲁风电有限公司

一、企业法律风险定义及种类

（一）企业法律风险的定义。《中央企业全面风险管理指引》界定，企业风险指未来的不确定性对企业实现其经营目标的影响。该定义涵盖了企业的纯粹风险和机会风险，并强调企业风险与企业经营目标的相关性。该指引将法律风险与企业所面临的其他风险相并列，把企业风险分为战略风险、财务风险、运营风险、法律风险等。

（二）法律风险的种类。一是根据风险源的不同将法律风险分为操作性法律风险、环境法律风险。前者指因企业自身的内部程序、人员、系统等控制体系不充分或者无效，未能对法律问题作出反应而产生的风险；后者指法律本身导致意外的、不利的后果的风险，主要表现为可能对所有企业的风险敞口产生不利影响的外部法律事件。二是根据部门法的不同将法律风险分为合同法律风险、公司治理法律风险、劳动法律风险、纳税法律风险、知识产权法律风险等。这些法律风险都分别属于不同的法律门类，与公司特定法律事务相关，有不同的处理技巧。

二、企业法律风险管理定义、框架及与传统法律顾问模式的差异

（一）企业法律风险管理的定义。企业全面风险管理指

替代的积极的作用。不仅如此，在现代企业经营管理中，随着外部环境变化、各种风险增多、公司治理加强及内部组织重整，内部审计工作还应在改进风险管理和完善治理结构等方面发挥审查、评价及促进作用，由此也赋予了内部审计人员更重、更多的职责和使命。

（三）合理设置内部审计组织机构。目前，我国上市公司都设有内部审计机构，但基本上都处于与其他职能部门平行的地位，其独立性、客观性及权威性难以得到应有的保证。随着公司制度的不断创新和治理结构的逐步完善，我们主张在股东大会、董事会及经理层之下分别设立监事会、审计委员会及内部审计部门，三者之间由上而下应存在业务指导关系，内部审计机构的设置应高于其他各职能部门，其在业务上向审计委员会负责并报告业绩，在行政上向经理层负责并报告工作。因此，我国上市公司的内部审计机构应从平行于各职能部门向更高层级升格。

（四）扩大内部审计的职能及作用。内部审计人员的定位应从以监督为主的“警察”、“裁判”等角色向以评价与监督并重的“参谋”、“助手”等角色转变，突出内部审计“内向性服务”的特点，开拓内部审计更加广阔的生存与发展的空间。

（五）改进内部审计的方法和方式。要提高内部审计工作水平，必须坚持做到“三个结合”：一是事前审计与事中、事后审计相结合，即将审计监督的关口前移，把问题解决在萌芽状态或初始阶段；二是微观审计与在宏观方面发挥作用相结合，既从宏观调控和宏观管理的要求出发安排审计项目，又在审计若干具体项目后，综合加以分析，找出共同性或倾向性的问题及其产生的原因，有针对性地提出解决的意见和建议，为领导决策提供依据；三是对审计发现的问题坚持治标与治本相结合，对审计发现的问题既要恰当进行处理，又要深入分析产生的原因，从帮助建立健全各项规章制度和内部控制制度、加强管理工作等方面从根本上加以解决，使之不再有重复发生的可能。

（六）提高内部审计人员的素质。企业经营环境的日益复杂和竞争的更加激烈，对内部审计人员的素质提出了更高的要求。内部审计人员不仅需要精通财务会计，还需要适当了解其他业务领域，掌握相关知识与技能，以便更好地实施审计并为企业管理服务。随着内部审计工作由财务领域向经营管理领域的渗透与扩展，内部审计人员的构成也应该趋向多元化，不仅要有懂财务及审计的专业人才，还应配备精通各项相关业务的专门人才，聘请有丰富经验和较高业务水平的人员充实内部审计部门，以适应审计领域日益拓展的需要，使内部审计机构在现代企业制度下发挥更大的作用。

【参考文献】

1．张欣．我国企业内部审计主要问题探析［D］．江西财经大学，2006

·

04

·

企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全风险管理体系（包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统），从而为实现风险管理的总体目标提供合理保证的

过程和方法。企业应当在内部建立起一整套的识别、衡量、评估、处理、监控法律风险的管理规范，形成统一的处理法律

风险的业务流程，对法律风险进行全方位、全过程、全员参与式的管理，以此构筑符合法制监管要求和企业改革发展需要的法律风险管理体系。

（二）企业法律风险管理框架。《中央企业全面风险管理指引》是国务院国资委借鉴了美国COSO 内控框架及风险管理框架、

澳新标准、英国风险管理标准而引进的，这对我们建立企业法律风险管理框架有重要的指导意义。归纳起来，该框架包括四个部分：风险术语、风险管理流程、风险管理体系等。

1.法律风险术语。为企业法律风险管理工作建立一种通用的语言，是现代企业法律风险管理的基础要素。企业推进法律风险管理首先要在企业内部建立通用的法律风险术语。法律风险术语可以明确什么是企业法律风险、什么是企业法律风险管理以及法律风险的分类等，并对企业法律风险源进行划分，便于企业按照风险源对法律风险进行追根溯源式的有效管理。

2.法律风险管理流程。法律风险管理流程能够帮助企业识别、分析、评估所面临的风险，协助企业找到解决方案。法律风险管理基本流程应当包括业务法律分析、法律风险识别、法律风险评估、法律风险应对、监督与改进等，法律风险管理流程中涉及的分析技术，至少应当包括问卷分析、情形分析、

行业标杆比较及其他数理统计分析技术等。3.法律风险管理体系。法律风险管理体系包括法律风险管理组织体系和法律风险管理信息系统。法律风险管理组织体系是法律风险管理体系有效运行的基础。企业法律顾问应当在企业法律风险管理组织中发挥重要作用，主动地发挥法律专业能力，驱动企业法律风险管理体系有效运转，并成为现代企业法律风险管理理念和文化的积极倡导者。法律风险管理信息系统为法律风险流程的执行提供了信息

技术保障，

并提供了一个沟通交流的平台。对普通法律事务的管理都缺乏统一的文档管理和信息技术支持，导致我国企

业的法务管理缺乏数据和先例支持，影响了企业法务管理水平。

三、企业法律风险管理体系建设实务操作方法

企业可分三个阶段实施法律风险管理体系：启动阶段、准备阶段、推进阶段。

（一）启动阶段。企业法律风险管理与以往对法律风险的管理高度不同，

其更加关注企业战略，因此，董事会的表率作用至关重要。企业董事会（或者执行董事会职能的其他机构）应当支持并负责启动企业法律风险管理体系建设，

并给予实施人员充分的授权，以获得各部门对法律风险管理体系建设工作的配合与支持。

（二）准备阶段。一是建立企业法律风险管理体系推进

项目小组。决定实施法律风险管理体系后，应当首先成立企

业法律风险管理体系推进项目小组（以下简称

“项目小组”），具体规划和执行企业法律风险管理体系推进措施和方案。

二是划定法律风险管理体系推进的初始范围。企业法律风险管理体系的推进关系到企业目标及战略能否实现的问题，项目小组应当划定推进的初始范围。项目小组可以选择以完善法律顾问制度为起点，有顺序地开展法律事务内部控制、合规管理、知识产权管理、合同管理等整体范围内的法律风险管理。三是建立统一的语言和流程。应当确定一套企业法律风险管理体系的通用法律风险语言和法律风险管理流程，这有利于企业各业务单元及各层级职工更加有效地确认并评估他们的风险源，并激发出他们更有效的风险管理能力。四是搭建组织架构。建立法律风险管理体系的组织架构，理顺法律部门及其它各业务单元负责人的管理职能。这对将法律风险管理流程付诸运营至关重要。考虑到中国目前法务管理实际，企业法律风险管理体系的组织架构可从法律顾问制度及法务部门建设开始逐步展开。五是建立法律风险管理信息系统。企业各业务单元、各层级共享的文档和信息系统可为法律风险管理体系有效运转提供数据和信息技术支持，同时也是一个有效的沟通、监督的平台。可建立一个法律风险登记手册，记载企业面临的各类法律风险、风险源、评估信息等；信息系统企业可引进风险管理软件，加强企业信息系统基础设施建设。

（三）推进阶段。一是对业务的法律分析。首先对企业业务开展背景、具体经营活动和流程重新审视来获取法律风险信息。信息获取方式可以通过会晤各业务单元、各层级管理人员及业务骨干进行。同时，企业战略规划和目标、业务价值链、工作纪要、内部管理制度、财务报告、业务报告、合同管理档案、

法律顾问工作档案、知识产权管理档案等都是获取公司业务信息的重要来源。二是法律风险识别。结合未决问题和事项分析，基准假设指企业对于未来经营可获得成果预期的基础。分析非确定性事件指某些肯定会发生但发生时损失程度和概率不确定的事件。三是法律风险评估。以法律风险登记手册为基础，对识别出的法律风险利用评级、指标分析、价值测量等工具对其影响的严重程度和概率进行分析，并对法律风险评估的限制条件进行全面衡量，建立法律风险评估模型。上述内容均应在法律风险登记手册中进行记载。四是制定法律风险管理制度，整合法律事务内部控制等制度。根据企业业务流程和组织架构，制定严格而

详尽的法律风险管理制度（包括业务流程、

关键控制点、考核指标、法律风险所有人、流程负责人、报告制度、技术支持

等），并将法律事务内部控制等制度整合到企业法律风险管理体系中来，

使之以对法律风险的管理为基础进行运转。四、结语

企业法律风险管理是一个动态持续的过程，具有实践性，本文提出的企业法律风险管理框架和企业法律风险管理体系，

及其实施步骤仍然需要实践的检验。通过搭建企业法律风险管理框架，建立契合自身特点的法律风险管理体系。但这仍然需要企业在其发展过程中不断修正改进，发挥法律风险管理体系的作用，提升企业法律风险管理价值的功能。

·

14·