企业法律风险管理指南(二)
来源:时间:2012-11-28热度:0次
接:企业法律风险管理指南(一)
图1 法律风险管理过程
5.2 明确法律风险环境信息5.2.1概述 明确法律风险环境信息是应用适当的方法,对企业内外部环境中与法律风险相关的信息进行收集、分析、整理、归纳的一系列过程。明确法律风险环境信息是后续法律风险管理活动得以顺利实施的必要基础。明确法律风险环境信息是一个动态的过程,应保持法律风险环境信息的持续更新。5.2.2外部法律风险环境信息外部法律风险环境信息是指与企业法律风险管理相关的政治、经济、文化、法律等各种相关信息。企业应根据本行业和企业业务经营管理的特点,具体分析明确外部法律风险环境信息的收集范围和分析方式,为法律风险评估和应对提供充分的信息保障。外部法律风险环境信息包括但不限于:——本行业的业务模式及特点;——国内外与本企业相关的政治、经济、文化、技术以及自然环境等;——国内外与本企业相关的立法、司法、执法和守法情况及其变化;——与本企业相关的监管体制、机构、政策以及执行等情况;——与本企业相关的市场竞争情况;——本企业在产业价值链中的定位及与其他主体之间的关系;——企业主要的外部利益相关者及其对法律、合同、道德操守等的遵从情况; ——与企业法律风险及管理相关的其他信息。地区间的环境差异是普遍存在的。对于跨区域经营的企业,在进行外部法律风险环境调查时,应特别关注不同地区间可能存在的环境差异。 5.2.3内部法律风险环境信息内部法律环境信息是与企业法律风险及其管理相关的各种信息,包括法律风险和法律风险管理的历史及现状。内部法律风险环境信息包括但不限于:——企业的战略目标;——企业盈利模式和业务模式;——企业的主要经营管理流程/活动、部门职能分工等相关信息;——企业在法律风险管理方面的使命、愿景、价值理念;——企业法律风险管理工作的目标、职责、相关制度和资源配置情况;——企业法律事务工作及法律风险管理现状,其中对法律风险管理现状可从方针、组织职能和资源配置、制度和流程内控、沟通和报告、法律风险管理文化和技术手段等要素分析;——内部利益相关者的法律遵从情况和激励约束方式;——本企业签订的重大合同及其管理情况;——本企业发生的重大法律纠纷案件或法律风险事件的情况,本企业相关的法律规范库和法律风险库;——本企业知识产权管理情况;——与法律风险及其管理相关的其他信息。以上法律风险环境信息的收集范围和内容,应根据企业的法律风险状况变化及企业的管理需要进行补充调整。5.2.4 企业法律风险准则企业法律风险准则是衡量法律风险重要程度所依据的标准,应体现企业对法律风险管理的目标、价值观、资源、偏好和承受度。企业法律风险准则应在法律风险管理工作开始实施前制定,并根据实际情况进行相应调整。确定法律风险准则时要考虑但不限于以下因素:——本企业法律风险管理的范围、对象,以及法律风险的分类;——法律风险发生可能性、影响程度以及法律风险的度量方法;——法律风险等级的划分标准;——利益相关者可接受的法律风险或可容许的法律风险等级;——重大法律风险的确定原则。5.3 法律风险评估5.3.1概述法律风险评估包括风险识别、风险分析和风险评价三个环节。5.3.2 法律风险识别 5.3.2.1 概述法律风险的识别,首先是查找企业各业务单元、各项重要经营活动、重要业务流程中存在的法律风险,然后对查找出的法律风险进行描述、分类,对其原因、影响范围、潜在的后果等进行分析归纳,最终生成企业的法律风险清单。法律风险识别的目的是全面、系统和准确地描述企业法律风险的状况,为下一步的法律风险分析明确对象和范围。进行法律风险识别时要掌握相关的和最新的信息,必要时,需包括适用的背景信息,特别是法律法规的变化信息。除了识别可能发生的法律风险事件外,还要考虑其可能的原因和可能导致的后果,包括所有重要的原因和后果。不论法律风险事件的风险源是否在企业的控制之下,或其原因是否已知,都应对其进行识别。识别法律风险需要所有相关人员的参与。企业所采用的风险识别工具和技术应当适合于其目标、能力及其所处环境。5.3.2.2构建法律风险识别框架为保证法律风险识别的全面性、准确性和系统性,企业应构建符合自身经营管理需求的法律风险识别框架,该框架提供一些方便识别法律风险的角度,这些角度包括但不限于以下方面:——根据企业主要的经营管理活动识别,即通过对企业主要的经营管理活动(如生产活动、市场营销、物资采购、对外投资、人事管理、财务管理等)的梳理,发现每一项经营管理活动可能存在的法律风险。——根据企业组织机构设置识别,即根据企业各业务管理职能部门/岗位的业务管理范围和工作职责的梳理,发现各机构内可能存在的法律风险。——根据利益相关者识别,即通过对企业的利益相关者(如股东、客户、供应商、员工、政府等)的梳理,发现与每一利益相关者相关的法律风险。——根据法律风险源识别,即通过对法律环境、违规、违约、侵权、怠于行使权利、行为不当等梳理,发现企业存在的法律风险。——根据法律风险发生后承担的责任梳理,即通过对刑事法律风险、行政法律风险、民事法律风险的梳理,发现不同责任下企业存在的法律风险。——根据不同法律领域的识别,即通过对不同的法律领域(如合同、知识产权、招投标、劳动用工、税务、诉讼仲裁等)的梳理,发现不同领域内存在的法律风险。——根据法律法规识别,即通过对与企业相关的法律法规的梳理,发现不同法律法规中存在的法律风险。——根据以往发生的案例识别,即通过对本企业或本行业发生的案例的梳理,发现企业存在的法律风险。企业可以根据自身的不同需要,选择以上不同的角度或组合,构建法律风险识别框架。附录A中给出了从引发法律风险原因的分类和企业经营管理活动过程两个角度构建风险识别框架的示例。5.3.2.3进行法律风险识别根据构建的法律风险识别框架,可采用问卷调查、访谈调研、头脑风暴、德尔菲法、检查表法等方法进行法律风险识别,并确定分类和命名规则,对每个法律风险设置相应的编号或名称。以从引发法律风险源分类和企业经营管理活动过程两个角度构建的法律风险识别框架为例,此时需要逐一判断每一经营管理活动中是否可能存在某种法律风源或法律风险事件,并尽可能地列举这些事件。同一经营管理活动中同一种类的法律风险事件可归属于同一法律风险类别,并据此确定该法律风险的名称,如XX违规风险、XX侵权风险等(XX为某一经营管理活动的名称)。5.3.2.4形成法律风险清单在法律风险事件及法律风险名称确定后,应将这些事件统一列表,并在列表中补充每一风险事件适用的法律法规、风险动因、可能产生的法律后果、相关的案例、法律分析意见及其涉及的部门、经营管理流程等信息,最终形成企业的法律风险清单。法律风险清单的示例见附录B。 5.3.3 法律风险分析 5.3.3.1 概述法律风险分析是指对识别出的法律风险进行定性、定量的分析,考虑法律风险源或导致法律风险事件的具体原因、法律风险事件的发生的可能性及其后果,影响后果和可能性的因素,为法律风险的评价和应对提供支持。根据法律风险分析的目的、可获得的信息数据和资源,法律风险分析可以有不同的详细程度,可以是定性的、半定量的、定量的分析,也可以是这些分析的组合。在实践中经常首先采用定性分析以一般了解法律风险等级和揭示主要法律风险。在可能和适当的时候,应当进一步进行更具体和定量的法律风险分析。对于法律风险事件发生的可能性和影响程度的分析应综合采用建模和专家意见以及经验推导来确定,要注意与企业内外部相关利益者的沟通,同时要考虑模型和专家意见本身的局限性。5.3.3.2 法律风险可能性分析对法律风险发生可能性进行分析时,可以考虑但不限于以下因素:——外部监管执行力度,包括企业外部相关政策、法律法规的完善程度,以及相关监管部门的执行力度等;——内控制度的完善与执行,包括企业内部用以控制相关法律风险的规章、制度的完善程度及执行力度等;——相关人员法律素质,包括企业内部相关人员对相关政策、法律法规、企业规章制度以及法律风险控制技巧的了解、掌握程度等;——利益相关者的综合状况,包括利益相关者的综合资质、履约能力、过往记录、法律风险偏好的表达等;——所涉及工作的频次,指与法律风险相关的工作在一定周期内发生的次数。对于不同类型的法律风险来说,影响其发生可能性的因素会有所不同。各种因素对可能性影响程度的权重也是不同的,并且各因素之间的权重比会因法律风险类型的不同而有所差异。附录C中给出了法律风险可能性分析的示例。5.3.3.2 法律风险影响程度分析对法律风险影响程度进行分析时,可以考虑但不限于以下因素:——后果的类型,包括财产类的损失和非财产类的损失等;——后果的严重程度,包括财产损失金额的大小、非财产损失的影响范围、利益相关者的反应等。附录D中给出了法律风险影响程度分析的示例。此外,法律风险与其他风险在一定条件下具有伴生性和相互转化性,企业要对法律风法律风险与其它风险之间的关联性进行分析,明确各风险事件之间的影响路径和传递关系,明确法律风险与其它风险之间的组合效应,从而在风险策略上对法律风险和其他相关风险进行统一集中的管理。5.3.4法律风险评价法律风险评价是指将法律风险分析的结果与企业的法律风险准则相比较,或在各种风险的分析结果之间进行比较,确定法律风险等级,以帮助企业做出法律风险应对的决策。在法律风险分析的基础上,综合考虑法律风险管理的目标、成本和收益、资源的投入安排等因素,对法律风险进行不同维度的排序,包括法律风险事件发生可能性的高低、影响程度的大小以及风险水平的高低。在法律风险水平排序的基础上,对照企业法律风险准则,可以对法律风险进行分级,具体等级划分的层次可以根据企业的管理需要设定。在法律风险排序和分级的基础上,企业可以根据其管理需要,进一步确定需要重点关注和优先应对的法律风险。 5.4 法律风险应对 5.4.1 概述法律风险应对是指企业针对法律风险或法律风险事件采取相应措施,将法律风险控制在企业可承受的范围。法律风险应对包括选择法律风险应对策略、评估法律风险应对现状、制定和实施法律风险应对计划三个环节。 5.4.2 选择法律风险应对策略法律风险应对策略包括规避风险、控制风险、转移风险、接受风险和其他策略等。选择法律风险应对策略应该至少考虑以下几方面的因素:——企业的战略目标、核心价值观和社会责任等;——企业对法律风险管理的目标、价值观、资源、偏好和承受度等;——法律风险应对策略的实施成本与预期收益;——选择几种应对策略,将其单独或组合使用;——利益相关者的诉求和价值观、对法律风险的认知和承受度以及对某些法律风险应对策略的偏好。5.4.3 评估法律风险应对现状如果企业对某些法律风险选取了规避、控制或转移的应对策略,则应该对这些法律风险的应对现状予以进一步的评估,以了解目前的法律风险应对存在哪些不足和缺陷,为制定法律风险应对计划提供支撑。评估法律风险应对现状至少应考虑以下几方面的因素:——资源配置,即企业内部的相关机构设置能否满足法律风险应对需要、用于法律风险应对的人员配备是否充足以及用于法律风险控制的经费是否充足等;——职责权限,即是否明确与风险应对相关的职责和权限;——过程监控,即是否要求对持续性业务/管理活动进行定期或不定期的监督和控制/证据资料保留/信息沟通、告警;——奖惩机制,即对相关工作、管理人员在法律风险应对工作中的表现、成绩是否设立了奖惩机制等;——执行者能力要求,即企业对与法律风险应对相关的内部执行者(公司内部领导、员工)是否有明确的资质、能力要求(业务资质、业务技能、法律素质等);——部门内法律审查,即是否要求业务部门内部对一般性的法律问题进行审查(一般性法律问题指从事某项业务必须掌握的基础性、常识性的法律问题,各部门人员可以通过培训掌握相关内容);——专业法律审查,即是否要求法律部门或专业律师对专业性法律问题进行审查或提供相关法律意见;——风险意识,即工作、管理人员对风险的存在、风险将会造成的后果,以及如何开展风险应对等方面是否有必要的认识和理解;——外部法律风险环境,即有关法律环境是否完善、稳定,社会守法状况,执法力度和司法方式等。5.4.4 制定和实施法律风险应对计划应对措施通常包括以下几种类型: ——资源配置类,指设立或调整与法律风险应对相关的机构、人员,补充经费或风险准备金等;——制度、流程类,指制定或完善与法律风险应对相关的制度、流程;——标准、指引类,指针对特定法律风险,编撰指引、标准类文件,供业务人员使用;——技术手段类,指利用技术手段规避、控制或转移某些法律风险;——信息类,指针对某些法律风险事件发布告警或预警信息;——活动类,指开展某些专项活动,规避、控制或转移某些法律风险;——培训类,指对某些关键岗位人员进行法律风险培训,提高其法律风险意识和法律风险管理技能。在法律风险应对措施确定之后,应该制定应对措施的实施计划。实施计划中至少应该包括以下信息:——实施法律风险应对措施的机构、人员安排,明确责任和奖惩;——应对措施涉及的具体业务及管理活动;——报告和监督、检查的要求;——资源需求和配置方案;——实施法律风险应对措施的优先次序和条件;——实施时间表。法律风险应对是一个递进的动态过程,需要根据内外部法律风险环境变化对制定的措施进行评估调整,以确保措施的实时有效性。企业在制定法律风险应对措施后应评估其剩余风险(剩余风险是指预期采取法律风险应对措施后的法律风险)是否可以承受。如果不可承受,应调整或制定新的法律风险应对措施,并评估新的措施的效果,直到剩余风险可以承受。执行法律风险应对措施会引起组织风险情况的改变,需要跟踪、监督有关风险应对的效果和组织的环境信息,并对变化的风险进行评估,必要时重新制订法律风险应对措施。5.5 监督和检查企业应实时跟踪内外部法律风险环境的变化,及时监督和检查法律风险管理流程的运行状况,以确保法律风险应对计划的有效执行,并根据发现的问题对法律风险管理工作进行持续改进。法律风险管理的监督和检查环节使得法律风险管理流程形成可持续运转的闭环,是法律风险管理能够持续改进的不可缺少的组成部分。企业法律风险管理监督和检查的内容应包括但不限于以下内容:——内外部法律风险环境的发展变化,如法律法规、相关政策的出台和变化、司法、执法及社会守法环境的变化、企业自身战略的调整改变等;——监测法律风险事件,分析趋势及其变化并从中吸取教训;——对照法律风险应对计划检查工作进度与计划的偏差,保证风险应对措施的设计和执行有效;——报告关于法律风险变化、风险应对计划的进度和风险管理方针的遵循情况;——实施法律风险管理绩效评估。另外,企业可根据自身的需求和资源状况,选择建立重大法律风险预警制度,即根据对内外部法律风险环境变化的监控结果,及时发布法律风险预警信息,并制定相应的应急预案。应急预案要明确应急处理的相关组织机构、处理流程、沟通机制、应急措施和资源的配置保障,确保企业对突发法律风险事件的快速反应,有效控制突发法律风险事件对企业造成的影响。 5.6 沟通和记录 5.6.1 沟通企业在法律风险管理过程的每个阶段都应当与内外部利益相关者有效沟通,以保证实施法律风险管理的相关人员和利益相关者能够充分了解企业面临的法律风险及其给企业带来的影响,正确理解企业法律风险管理决策的依据,并根据相关信息做出恰当决定,有效执行管理活动。由于企业各层级人员及相关利益相关者的价值观、诉求、假设、认知和关注点不同,造成其法律风险偏好和对法律风险管理的期望不同,这些对法律风险管理的决策和执行有重要影响。因此,企业在法律风险决策过程和法律风险管理执行中应当与内外部利益相关者进行充分沟通,并保存相关记录。为保障这种沟通能够顺利进行,企业应保证法律风险管理的责任部门能够与企业相关人员充分沟通,能够获取履行职责所需的相关记录或档案材料,并且与监管机构、立法及司法机关等外部利益相关者建立顺畅的沟通渠道。5.6.2记录在法律风险管理过程中,记录是实施和改进整个法律风险管理过程的必要工作。建立记录应当考虑以下方面:——出于管理的目的而重复使用信息的需要;——进一步分析法律风险和调整风险应对措施的需要;——法律风险管理活动的可追溯要求;——沟通的需要;——法律法规和操作上对记录的需要;——企业本身持续学习的需要;——建立和维护记录所需的成本和工作量;——获取信息的方法、读取信息的容易程度和储存媒介;——记录保留期限管理。(未完待续)
