GBT27914-2011企业法律风险管理指南.pdf 19页

'ICS03．100．01A02a目中华人民共和国国家标准GB／T27914—20112011—12-30发布企业法律风险管理指南Guidelinesonenterpriselegalriskmanagement2012-02-01实施宰瞀鳃紫瓣警糌瞥星发布中国国家标准化管理委员会仪19 GB／T27914—2011目次前言⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯I引言⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯···⋯⋯⋯⋯·⋯········⋯·⋯⋯·⋯⋯⋯⋯·Ⅱ1范围-·····⋯⋯⋯⋯⋯···-----------·······⋯⋯·⋯⋯⋯⋯⋯⋯⋯．⋯．⋯⋯．．．．⋯．．⋯⋯⋯．．⋯．⋯⋯．⋯．．12规范性引用文件⋯⋯⋯·⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．13术语和定义⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．．．．．⋯⋯⋯⋯．．．．⋯⋯⋯．⋯⋯．．．．⋯⋯⋯⋯14企业法律风险管理原则⋯⋯·⋯⋯⋯⋯⋯⋯．．⋯⋯⋯．⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一15企业法律风险管理过程⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．⋯．⋯⋯⋯⋯．⋯⋯⋯⋯⋯26企业法律风险管理的实施⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．．⋯⋯⋯⋯⋯⋯⋯8附录A(资料性附录)法律风险识别框架示例⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．⋯．．．．．．．．⋯⋯⋯⋯⋯⋯⋯⋯11附录B(资料性附录)法律风险清单示例⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．⋯．．12附录c(资料性附录)法律风险可能性分析示例⋯⋯·····⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．13附录D(资料性附录)法律风险影响程度分析示例·⋯⋯⋯⋯⋯⋯⋯⋯．⋯．．．．．．．⋯⋯⋯．⋯⋯⋯⋯．．14参考文献⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯15 刖罱GB／T27914--2011本标准按照GB／T1．1—2009给出的规则起草。本标准在GB／T24353--2009《风险管理原则与实施指南》的指导下，结合我国企业法律风险管理的实践编制而成。本标准由全国风险管理标准化技术委员会(SAC／TC310)提出并归El。本标准起草单位：中国标准化研究院、中国移动通信集团公司、第一会达风险管理科技有限公司、中华全国工商业联合会、北京市展达律师事务所、中国电子信息产业集团公司、中国建筑工程总公司。本标准主要起草人：高晓红、叶小忠、吕多加、薄勇、王志华、白莲湘、崔艳武、刘瑛、孔雪屏、秦玉秀。 CB／T27914—2011引言当前，企业正面临着日益严重的法律风险问题。一方面，随着法律法规体系的不断完善，世界各国对企业的法律监管要求都日趋严格，特别是上市公司面临的法律监管环境更为严苛；另一方面，经济全球化背景下，企业的市场竞争范围不断由国内市场走向国际市场，复杂的经营环境必然给企业带来更为严重的法律风险暴露。由于法律风险伴随着企业经营管理的全过程，尤其是重大法律风险对企业的经营发展影响巨大，使得企业必须加强法律风险管理。本标准用于指导企业在其整个生命周期和所有经营环节中开展法律风险管理活动，以满足国内企业提高法律风险防范能力的迫切需求。企业可结合自身情况和实际需要应用本标准实施法律风险管理。中小企业可根据自身管理基础、资源以及管理需求，对本标准提供的法律风险管理过程和相关的配套保障措施进行简化或者采取递进式建设，从而确保本企业的法律风险管理资源投入与企业的目标相契合，达到有效管理本企业法律风险的目标。Ⅱ 1范围企业法律风险管理指南GB／T27914—2011本标准提供了企业实施法律风险管理的通用指南。本标准适用于各种类型和规模的企业，为企业在其整个生命周期和所有经营环节中开展法律风险管理活动提供指导。企业以外的其他类似经营性主体开展法律风险管理活动可参照本标准。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB／T23694风险管理术语GB／T27921--2011风险管理风险评估技术3术语和定义GB／T23694界定的以及下列术语和定义适用于本文件。3．1企业法律风险enterpriselegalrisk基于法律规定或者合同约定，由于企业外部环境及其变化，或者企业及其利益相关者的作为或者不作为导致的不确定性，对企业实现目标的影响。4企业法律风险管理原则为了有效管理法律风险，支持企业的决策和经营管理活动，企业进行法律风险管理时可遵循以下原则：a)审慎管理由于法律风险的特殊性，法律风险管理宜坚持审慎管理的原则。要在尊重法律、保持诚信的前提下，开展法律风险管理活动，风险管理的策略和方法不应违反法律的义务性规范和禁止性规范。b)以企业战略目标为导向企业法律风险管理目的在于促进企业战略目标的实现。企业法律风险管理活动要充分考虑法律风险与企业战略目标之间的相互关系等因素。c)与企业整体管理水平相适应企业法律风险管理是企业管理的有机组成部分，和企业战略管理、流程管理、绩效管理、信息管理等密切相关。为保证企业法律风险管理取得良好的效果，法律风险的识别、分析、评价和应对等活动要充分考虑企业当前整体管理水平。d)融人企业经营管理全过程法律风险发生于企业的经营管理活动，其识别、分析、评价和应对都不可能脱离企业经营管理过程，因此企业法律风险管理要融入企业经营管理的全过程，贯穿决策、执行、监督、反馈等各个环节。1 GB／T27914—2011e)纳入决策过程企业所有决策都要综合考虑风险，以便将风险控制在企业可接受的范围内。法律风险作为企业的重要风险范畴，要纳入企业决策过程，作为企业决策应考虑的重要因素。f)纳入企业全面风险管理体系企业法律风险管理是企业风险管理体系的组成部分，要与其他风险的管理活动整合，以提高风险管理的整体效率和效果。g)全员参与法律风险产生于企业经营管理的各个环节，因此法律风险管理需要企业所有员工的参与并承担相关责任，其中特别包括企业专职的法德管理部门(或人员)。各方人员宜分工负责，以形成法律风险管理的长效机制。h)持续改进企业法律风险管理是适应企业内外部环境变化的动态过程，其各步骤之间形成一个循环往复的闭环。随着内外部环境的变化，企业面临的法律风险也在不断发生变化。企业要持续不断地对各种变化保持敏感并做出恰当反应。5企业法律风险管理过程5．I概述企业法律风险管理是企业全面风险管理的有机组成部分，贯穿于企业决策和经营管理的各个环节。企业法律风险管理过程由5．2～5．5所描述的活动组成，即明确法律风险环境信息、法律风险评估、法律风险应对、监督和检查，如图1所示。其中，法律风险评估包括法律风险识别、法律风险分析和法律风险评价等三个步骤。2图1企业法僖风险管理过程 GB／T27914—2011沟通和记录贯穿于企业法律风险管理过程的各项活动中，5．6将对其进行详细说明。5．2明确法律风险环境信息5．2．1概述明确法律风险环境信息是应用适当的方法，对企业内外部环境中与法律风险相关的信息进行收集、分析、整理、归纳的一系列过程。通过明确法律风险环境信息，组织可明确其法律风险管理目标，确定与组织相美的内部和外部参数，并设定法律风险管理的范围和有关风险准则。明确法律风险环境信息是一个动态的过程，企业要保持法律风险环境信息的持续更新。企业可根据本行业和企业业务经营管理的特点，具体分析明确内、外部法律风险环境信息的收集范围和分析方式，为法律风险评估和应对提供充分的信息保障。5．2．2外部法律风险环境信息外部法律风险环境信息是指企业外部与企业法律风险管理相关的政治、经济、文化、社会、技术、法律等各种相关信息，包括但不限于：——本行业的业务模式及特点；——国内外与本企业相关的政治、经济、文化、社会、技术以及自然环境等；——国内外与本企业相关的立法、司法、执法和守法情况及其变化；——与本企业相关的监管体制、机构、政策以及执行等情况；——与本企业相关的市场竞争情况；——本企业在产业价值链中的定位；——企业主要的利益相关者及其对法律、合同、道德操守等的遵从情况；——与企业法律风险及管理相关的其他信息。对于跨区域经营的企业，在进行外部法律风险环境调查时，要特别关注不同地区问可能存在的环境差异。5．2．3内部法律风险环境信息内部法律风险环境信息是指企业内部与企业法律风险及其管理相关的各种信息，包括但不限于：——企业的战略目标{——企业的治理结构；——企业盈利模式和业务模式}——企业的主要经营管理流程／活动、部门职能分工等相关信息；——企业在法律风险管理方面的使命、愿景、价值理念；——企业法律风险管理工作的目标、职责、相关制度和资源配置情况；——企业法律事务工作及法律风险管理现状；——利益相关者的法律遵从情况和激励约束方式；——本企业签订的重大合同及其管理情况；——本企业发生的重大法律纠纷案件或法律风险事件的情况，本企业相关的法律规范库和法律风险库；——本企业知识产权管理情况；——企业法律风险管理的信息化水平；——与法律风险及其管理相关的其他信息。以上法律风险环境信息的收集范围和内容，要根据企业的法律风险状况变化及企业的管理需要进3 GB／T27914—2011行补充调整。5．2．4确定企业法律风险准则企业法律风险准则是衡量法律风险重要程度所依据的标准，要体现企业对法律风险管理的目标、价值观、资源、偏好和承受度。企业法律风险准则宜在企业法律风险管理工作开始实施前制定，并根据实际情况进行相应调整。确定法律风险准则时要考虑但不限于以下因素：——本企业法律风险管理的范围、对象，以及法律风险的分类；——法律风险事件发生的可能性、影响程度以及法律风险的度量方法；——法律风险等级的划分标准；——利益相关者可接受的法律风险或可容许的法律风险等级；——重大法律风险的确定原则。5．3法律风险评估5．3．1概述法律风险评估包括法律风险识别、法律风险分析和法律风险评价三个环节。5．3．2法律风险识别5．3．2．1概述法律风险的识别，首先是查找企业各业务单元、各项重要经营活动、重要业务流程中存在的法律风险，然后对查找出的法律风险进行描述、分类，对其原因、影响范围、潜在的后果等进行分析归纳，最终生成企业的法律风险清单。通过法律风险识别，可全面、系统和准确地描述企业法律风险的状况，为下一步的法律风险分析明确对象和范围。进行法律风险识别时要掌握相关的和最新的信息，必要时，需包括适用的背景信息，特别是法律法规的变化信息。除了识别可能发生的法律风险事件外，还要考虑其可能的原因和可能导致的后果，包括所有重要的原因和后果。不论法律风险事件的风险源是否在企业的控制之下，或其原因是否已知，都要对其进行识别。企业应当选择适合于其目标、能力及其所处环境的法律风险识别工具和技术。5．3．2．2构建法律风险识别框架为保证法律风险识别的全面性、准确性和系统性，企业要构建符合自身经营管理需求的法律风险识别框架，该框架提供若干识别法律风险的角度，包括但不限于以下方面：——根据企业主要的经营管理活动识别，即通过对企业主要的经营管理活动(如生产活动、市场营销、物资采购、对外投资、人力资源管理、财务管理等)的梳理，发现每一项经营管理活动可能存在的法律风险。——根据企业组织机构设置识别，即通过对企业各业务管理职能部门／岗位的业务管理范围和工作职责的梳理，发现各机构内可能存在的法律风险。——根据利益相关者识别，即通过对企业的利益相关者(如股东、董事、监事、高级管理人员、一般员工、顾客、供应商、债权人、社区、政府等)的梳理，发现与每一利益相关者相关的法律风险。——根据引发法律风险的原因识别，即通过对法律环境、违规、违约、侵权、怠于行使权利、行为不当等引发法律风险原因的识别，发现企业存在的法律风险。——根据法律风险事件发生后承担的责任梳理，即通过对刑事、行政、民事等法律责任的梳理，发现4 GB／T27914～2011不同责任下企业存在的法律风险。——根据法律领域识别，即通过对不同的法律领域(如合同、知识产权、招投标、劳动用工、税务、诉讼仲裁等)的梳理，发现不同领域内存在的法律风险。——根据法律法规识别，即通过对与企业相关的法律法规的梳理，发现不同法律法规中存在的法律风险。——根据以往发生的案例识别，即通过对本企业或本行业发生的案例的梳理，发现企业存在的法律风险。企业可以根据自身的不同需要，选择以上不同的角度或不同角度的组合，构建法律风险识别框架。附录A给出了从“引发法律风险的原因”和“企业主要经营管理活动”两个角度构建风险识别框架的示例。5．3．2．3查找法律风险事件根据构建的法律风险识别框架，可采用问卷调查、访谈调研、头脑风暴法、德尔菲法、检查表法等方法查找法律风险事件。(见GB／T27921--2011)以从“引发法律风险的原因”和“企业主要经营管理活动”两个角度构建的法律风险识别框架为例，逐一判断每一经营管理活动中是否存在法律风险事件，并尽可能地列举这些事件。5．3．2．4形成法律风险清单对查找出的法律风险事件进行归类，确定法律风险，并对每个法律风险设置相应的编号和名称。然后，将这些法律风险事件及法律风险统一列表，并列示每一法律风险事件及法律风险适用的法律法规、可能产生的法律后果、相关的案例、法律分析意见及其涉及的业务单元和部门、经营管理流程等信息，形成企业的法律风险清单。法律风险清单的示例参见附录B。5．3．3法律风险分析5．3．3．1概述法律风险分析是指对识别出的法律风险进行定性、定量的分析，为法律风险的评价和应对提供支持。法律风险分析要考虑导致法律风险事件的原因、法律风险事件发生的可能性及其后果、影响后果和可能性的因素等。根据法律风险分析的目的、可获得的信息数据和资源，法律风险分析可以有不同的详细程度，可以是定性的、定量的分析，也可以是这些分析的组合。一般情况下，首先采用定性分析，以初步评定法律风险等级，揭示主要法律风险。在可能和适当的时候，要进一步进行更具体和定量的法律风险分析。对于法律风险事件发生的可能性和影响程度的分析可综合采用建模和专家意见以及经验推导来确定，要注意与企业利益相关者的沟通，同时也要考虑模型和专家意见本身的局限性。5．3．3．2法律风险可能性分析对法律风险发生可能性进行分析时，可以考虑但不限于以下因素：——外部监管的完善程度和执行力度，包括相关法律法规的完善程度，以及相关监管部门的执行力度等；——现有法律风险管理体系的完善与执行力度，包括企业内部用以控制相关法律风险的策略、规章、制度的完善程度及执行力度等；——相关人员法律素质，包括企业内部相关人员对相关政策、法律法规、企业规章制度以及法律风险控制技巧的了解、掌握程度等；5 GB／T27914—2011——利益相关者的综合状况，包括利益相关者的综合资质、履约能力、过往记录、法律风险偏好等；——所涉及工作的频次，即与法律风险相关的工作在一定周期内发生的次数。对于不同类型的法律风险来说，影响其发生可能性的因素会有所不同。各种因素对可能性影响程度的权重也是不同的，并且各因素之间的权重比会因法律风险类型的不同而有所差异。附录C给出了法律风险可能性分析的示例。5．3．3．3法律风险影响程度分析对法律风险影响程度进行分析时，可以考虑但不限于以下因素：——后果的类型，包括财产类的损失和非财产类的损失等；——后果的严重程度，包括财产损失金额的大小、非财产损失的影响范围、利益相关者的反应等。附录D给出了法律风险影响程度分析的示例。此外，法律风险与其他风险在一定条件下具有伴生性和相互转化性，企业要对法律风险与其他风险之间的关联性进行分析，明确各风险事件之间的影响路径和传递关系，明确法律风险与其他风险之间的组合效应，从而在风险策略上对法律风险和其他相关风险进行统一集中的管理。5．3．4法律风险评价法律风险评价是指将法律风险分析的结果与企业的法律风险准则相比较，或在各种风险的分析结果之间进行比较，确定法律风险等级，以帮助企业做出法律风险应对的决策。在可能和适当的情况下，可采取以下步骤进行法律风险评价：——在法律风险分析的基础上，对法律风险进行不同维度的排序，包括法律风险事件发生可能性的高低、影响程度的大小以及风险水平的高低，以明确各法律风险对企业的影响程度。——在法律风险水平排序的基础上，对照企业法律风险准则，可以对法律风险进行分级，具体等级划分的层次可以根据企业管理的需要设定。——在法律风险排序和分级的基础上，企业可以根据其管理的需要，进一步确定需要重点关注和优先应对的法律风险。5．4法律风险应对5．4．1概述法律风险应对是指企业针对法律风险或法律风险事件采取相应措施，将法律风险控制在企业可承受的范围。法律风险应对包括选择法律风险应对策略、评估法律风险应对现状、制定和实施法律风险应对计划三个环节。5．4．2选择法律风险应对策略法律风险应对策略包括规避风险、降低风险、转移风险、接受风险和其他策略等，可将其单独或组合使用。选择法律风险应对策略至少要考虑以下几方面的因素：——企业的战略目标、核心价值观和社会责任等；——企业对法律风险管理的目标、价值观、资源、偏好和承受度等；——法律风险应对策略的实施成本与预期收益；——利益相关者的诉求和价值观、对法律风险的认知和承受度以及对某些法律风险应对策略的偏好。 5．4．3评估法律风险应对现状GB／T27914—2011如果企业对某些法律风险选取了规避、降低或转移等应对策略，则要对这些法律风险的应对现状予以进一步的评估，以了解目前的法律风险应对存在哪些不足和缺陷，为制定法律风险应对计划提供支撑。评估法律风险应对现状至少要考虑以下几方面的因素：——资源配置，即企业内部的相关机构设置、人员、设备和经费配备能否满足法律风险应对需要；——职责权限，即是否明确与风险应对相关的职责和权限；——过程监控，即是否要求对持续性业务管理活动进行定期或不定期的监督和控制、证据资料保留、信息沟通和预警；——奖惩机制，即对企业相关人员在法律风险应对工作中的绩效是否设立了奖惩机制；——执行者能力要求，即企业对与法律风险应对相关的内部执行者是否有明确的资质、能力要求；——部门内法律审查，即是否要求业务部门内部对一般性的法律问题进行审查；——专业法律审查，即是否要求法律部门或专业律师对专业性法律问题进行审查或提供相关法律意见；——法律风险意识，即企业相关人员对法律风险的存在、可能造成的后果，以及如何开展法律风险应对等方面是否有必要的认识和理解。5．4．4制定和实施法律风险应对计划企业法律风险应对措施通常包括以下几种类型：——资源配置类，即设立或调整与法律风险应对相关的机构、人员，补充经费或风险准备金等；——制度、流程类，即制定或完善与法律风险应对相关的制度、流程；——标准、规范类，即针对特定法律风险，编写标准、规范等文件，供相关人员使用；——技术手段类，即利用技术手段规避、降低或转移某些法律风险；——信息类，即针对某些法律风险事件发布预警信息；——活动类，即开展某些专项活动，规避、降低或转移某些法律风险；——培训类，即对某些关键岗位人员进行法律风险培训，提高其法律风险意识和法律风险管理技能。在法律风险应对措施确定之后，需要制定应对措施的实施计划。实施计划中至少包括以下信息：——实施法律风险应对措施的机构、人员安排，明确责任分配和奖惩机制；——应对措施涉及的具体业务及管理活动；——报告和监督、检查的要求；——资源需求和配置方案；——实施法律风险应对措施的优先次序和条件；——实施时间表。企业在制定法律风险应对措施后应评估其剩余风险是否可以承受。如果不可承受，应调整或制定新的法律风险应对措施，并评估新的措施的效果，直到剩余风险可以承受。执行法律风险应对措施会引起企业风险情况的改变，需要跟踪、监督有关风险应对的效果和企业的环境信息，并对变化的风险进行评估，必要时重新制定法律风险应对措施。法律风险应对是一个递进的动态过程，需要根据内外部法律风险环境变化对制定的措施进行评估调整，以确保措施的有效性。5．5监督和检查企业应实时跟踪内外部法律风险环境的变化，及时监督和检查法律风险管理流程的运行状况，以确7 GB／T27914—2011保法律风险应对计划的有效执行，并根据发现的问题对法律风险管理工作进行持续改进。企业法律风险管理监督和检查的内容包括但不限于以下内容：——内外部法律风险环境的变化，如法律法规、相关政策的出台和变化，司法、执法及社会守法环境的变化，企业自身战略的调整改变等；——监测法律风险事件，分析趋势及其变化并从中吸取教训；——对照法律风险应对计划检查工作进度与计划的偏差，保证风险应对措施的设计和执行有效；——报告关于法律风险变化、风险应对计划的执行进度和风险管理方针的遵循情况；——实施法律风险管理绩效评估。另外，企业可根据自身的需求和资源状况，选择建立重大法律风险预警制度，即根据对内外部法律风险环境变化的监控结果，及时发布法律风险预警信息，并制定相应的应急预案。应急预案要明确应急处理的相关组织机构、处理流程、沟通机制、应急措施和资源的配置保障，确保企业对突发法律风险事件的及时反应，有效控制突发法律风险事件对企业造成的影响。应定期评审法律风险应对计划和应急预案，确保其持续的适宜性、充分性和有效性。5．6沟通和记录5．6．1沟通企业在法律风险管理过程的每个阶段都应当与利益相关者有效沟通，以保证实施法律风险管理的相关人员和利益相关者能够充分了解企业面临的法律风险及其给企业带来的影响，正确理解企业法律风险管理决策的依据，并根据相关信息做出恰当决策，有效执行企业法律风险管理活动。由于企业各层级人员及利益相关者的价值观、诉求、假设、认知和关注点不同，其法律风险偏好和对法律风险管理的期望也不同，这些对法律风险管理的决策和执行有重要影响。因此，企业在法律风险决策过程和法律风险管理执行中应当与利益相关者进行充分沟通，并保存相关记录。为保障这种沟通能够顺利进行，企业要保证法律风险管理的责任部门能够与企业相关人员充分沟通，能够获取履行职责所需的相关记录或档案材料，并且与监管机构、立法及司法机关等外部利益相关者建立顺畅的沟通渠道。5．6．2记录在企业法律风险管理过程中，记录是实施和改进整个法律风险管理过程的基础。建立记录可考虑但不限于以下方面：——出于管理目的而重复使用信息的需要；——进一步分析法律风险和调整风险应对措施的需要；——法律风险管理活动的可追溯要求；——沟通的需要；——法律法规和操作上对记录的需要；——企业本身持续学习的需要；——建立和维护记录所需的成本和工作量；——获取信息的方法、读取信息的容易程度和储存媒介；——记录保留期限管理。6企业法律风险管理的实施6．1概述法律风险管理流程的组织实施需要一个法律风险管理体系，包括企业法律风险管理的方针、组织职8 能、资源配置、信息沟通机制等基础设施。6．2企业法律风险管理方针企业法律风险管理方针需明确下列事项：一一企业法律风险管理理念；一最高管理者对法律风险管理的承诺；——企业法律风险管理的目标；——企业的法律风险偏好；——企业法律风险管理目标与企业的目标及其他风险管理目标的关系一企业法律风险管理目标的层次分解和细化；一持续改进的承诺。GB／I"27914—20116．3企业法律风险管理的组织机构厦职能企业应设立专门的法律风险管理机构或者岗位，并明确其职责和内容，具体包括但不限于：——明确本企业法律风险管理机构或岗位的人员组成，根据企业内部条件和管理需求，必要时可设置企业总法律顾问，从总体上负责企业的法律风险管理工作；——明确内外部法律风险管理资源的分工和合作方式；——明确法律风险管理体系的制定、实施和维护人员的职责；——明确执行法律风险应对措施、维护法律风险管理体系和报告相关风险信息人员的职责；——明确企业管理人员及其他员工在其本职工作中有关法律风险管理方面的职责；——建立批准、授权制度；——建立考核方法、奖惩制度。6．4企业法律风险管理的制度流程企业应根据其法律风险管理的目标，建立完善适当的配套制度和行为规范，确定法律风险管理的工作程序，同时结合企业内部控制管理工作，将法律风险纳入到流程控制中，确保法律风险管理工作切实融人到企业的日常管理工作中，确保法律风险管理在企业内部的统一理解和执行。具体要考虑：——本企业法律风险管理工作的范围和内容；——法律风险管理制度、规范的制定要考虑企业的制度体系，特别是风险管理制度，确保一致性；——形成对制度规范的定期更新，确保时效性。6．5企业法律风险管理的资源配置企业需根据法律风险管理计划，制定可行的方法，为法律风险管理分配适当的资源。具体要考虑：——法律风险管理相关人员的技术、经验和能力要求；——法律风险管理过程每一阶段所需要的资金及其他资源；——法律风险管理目标、成本和收益的关系。此外，企业可以根据内部条件和管理需求，通过建立企业法律风险管理信息系统，完成企业法律风险环境信息的收集、法律风险识别、分析、评价、应对、监督与检查、沟通和记录等各项工作，实现法律风险信息的在线查询、检索和维护，支持企业法律风险管理体系的动态管理。6．6企业法律风险管理的沟通和报告机制企业需建立内部沟通和报告机制，以保证：——企业法律风险管理体系的关键组成部分及其调整得到适当的沟通}9 GB／T27914—2011——在企业内部充分报告法律风险应对计划实施的效果和效率；——在适当的层次和时间提供法律风险管理的相关信息；——建立与利益相关者协商的程序。企业需建立与外部利益相关者沟通的机制。这种机制要保证：——企业的对外报告符合法律法规和公司治理要求；——企业与利益相关者保持有效的信息沟通；——在外部利益相关者中建立对组织的信心；——在发生突发事件、危机和紧急状况时与利益相关者沟通；——为企业提供外部利益相关者的报告和反馈。企业法律风险管理信息的沟通和报告机制要考虑与其他风险信息传递的衔接关系，以保证相关部门信息的互动沟通。6．7企业法律风险管理文化企业应当注重法律风险意识和风险管理文化的培养，从而促进法律风险管理的贯彻实施，保障法律风险管理目标的实现。具体应考虑：——树立法律风险管理是企业全体员工共同责任的理念，需在不同层次上履行防范法律风险的职责；——重视企业领导层对法律风险管理工作的态度、管理理念以及管理承诺；——提高重要流程及核心岗位员工法律风险管理的意识和能力；——法律风险管理专业机构可制定系统化的法律风险管理培训计划，采用多种途径加强对企业法律风险管理理念、知识、方法和流程的培训，从而提高全体员工知法、守法和用法水平；——加强法律风险管理机构专业人员的法律实务水平和风险管理水平，加强提升对企业业务管理的深入理解和支撑服务能力，主动积极地为企业的经营决策和管理活动提供法律支持；——企业应当加强对内部违法违规行为的惩治力度，形成良好的法律风险管理文化。 附录A(资料性附录)法律风险识别框架示例GB／T27914—20”法律风险的识别框架可以从“引发法律风险的原因”和“企业主要经营管理活动”两个角度来构建。引发企业法律风险的原因，可分为法律环境、违规行为、违约行为、侵权行为、不当行为和怠于行使权利六种。具体如表A．1所示：表A．1法律风险识别框架示例引发原因经营管理活动法律违规违约侵权不当怠于行使环境行为权利经营管理活动1经营管理活动2经营管理活动3 GB／T27914—2011附录B(资料性附录)法律风险清单示例法律风险清单可以划分为三个信息区。第一部分为基础信息区，主要内容为法律风险及引发风险的具体行为，为便于今后的使用和管理，这里还可以为每个法律风险及风险行为设置不同的编码；第二部分为法律信息区，包括风险涉及到的法规、法条、案例、法律责任和后果、法律建议等；第三部分为管理信息区，包括风险涉及到的企业内部部门、外部主体、经营管理活动或流程等。具体如表B．1所示：表B．1法律风险清单示例基础信息区法律信息区管理信息区风险行为引发法律涉及到引发的法法律涉及的风险的的法律律责任和案例法律业务／管代码名称代码的法条建议部门行为法规后果主体理活动××××X×××××X×××××X××××××X×××××X×X××××X×××××××X×××××x×××X××××× 附录C(资料性附录)法律风险可能性分析示例GB／T27914—2011风险事件的发生可能性是指在公司目前的管理水平下，风险事件发生概率的大小或者发生的频繁程度。对法律风险发生可能性的量化分析，可以从以下5个维度进行，每个维度可以进一步细化为若干评分标准，以下示例影响程度分为5个等级，分别赋予1分～5分，表示发生可能性依次加强，得分越高意味风险发生的可能性越大。对照该评分标准，同时根据不同维度对风险发生可能性影响程度的不同，为各维度设定权重系数，并确定计算公式，最终即可计算出该风险发生可能性的得分。具体如表c．1所示；表c．1法律风险可能性分析示例得分分析维度54321内部控制规章制内控制度的度／业务流程很不度／业务流程较完度／业务流程很完完善，内部控制规善，内部控制规章完善与执行章制度／业务流程制度／业务流程较制度／业务流程执很难得到执行难得到执行行程度一般行比较准确行非常准确对相关法律及企了解相关法律及理解相关法律及我方人员非常熟我方人员相不了解相关法律业内部制度有一定悉相关法律及企业关法律素质及企业内部制度了解，但不能有效企业内部制度，且企业内部制度，并内部制度并能够完基本能够执行能够较好执行执行全有效执行风险对方履约能力很弱或履约能力较弱或履约能力一般或履约能力较强或履约能力很强或侵权可能性很大，侵权可能性一般，侵权可能性较小，侵权可能性很小，综合状况侵权可能性较大信誉很差信誉一般信誉较好信誉很好无法律规定，有有法律规定，有外部监管监管部门，但监管监管部门，但违法监管部门，违法行执行力度部门经常不履行行为并未都得到及为一般都能得到及为总是能得到及时职责时查处查处，且处罚严厉风险行为所涉及工作频次的工作每天至少发的工作每周至少发的工作每月至少发的工作每季度至少的工作每年至少发生一次发生一次生一次 GB／T27914—2011附录D(资料性附录)法律风险影响程度分析示例风险事件影响程度是指该风险事件会对公司的经营管理和业务发展所产生影响的大小。对法律风险影响程度的量化分析，可以从以下三个维度进行，每个维度可以进一步细化为若干评分标准，以下示例影响程度分为5个等级，分别赋予1分～5分，表示影响程度依次加强，得分越高意味风险影响程度越大。对照该评分标准，同时根据不同维度与风险影响程度相关性的不同，为各维度设定权重系数，并确定计算公式，最终即可计算出该风险影响程度的得分。具体如表D．1所示：表D．1法律风险影响程度分析示例得分分析维度O1234510万元～100万元～500万元～5ooo万元财产损失大小无10万元以下100万元500万元5ooo万元以上非财产损商誉、企业形失大小无象、知识产权等损失很小损失较小损失一般损失较大损失很大很小范围的区较小范围的区中等范围的区较大范围的区很大范围的区影响范围无域，如若干企域，如全市范域，如全省范域，如全国范域．如企业内部业问围内注：财产损失大小的区间界定，根据企业自身情况确定。 [1]E2]E3][4]参GB／T1．1—2009标准化工作导则考文献第1部分：标准的结构和编写GB／T24353风险管理原则与实施指南GB／T23694--2009风险管理术语GB／T27914—2011GB／T20000．4—2003标准化工作指南第4部分：标准中涉及安全的内容'