企业法律风险防控管理的研究和应用

沈益　陈征宇　沈敏　徐玉燕

摘 要 浙江中烟工业有限责任公司为推进企业法律风险有效防控，充分利用自身资源，探索运用全面风险管理方法进行法律风险防控体系建设的研究和应用，较好地切合了企业的实际，满足了企业防范法律风险的需求。

关键词 法律风险 管理 防控体系

作者简介：沈益，浙江中烟工业有限责任公司法律与改革部，研究方向：法律风险防控体系建设与运行；陈征宇、沈敏、徐玉燕，浙江中烟工业有限责任公司法律与改革部。

中图分类号：C931 文献标识码：A DOI：10.19387/j.cnki.1009-0592.2018.10.206

法律风险管理的概念，最早来自市场经济较为发达的欧美各国，上世纪中叶，市场交易行为越来越复杂，伴随的法律风险也越来越突出，企业法律风险管理的概念由此诞生。我国在这方面的起步稍晚些，上世纪末，中移动等一些规模较大的国有企业开始探索法律风险防范的问题。《企业法律风险管理指南》国家标准于2011年底发布，这是法律风险管理走上规范化标准化的标志。2014年中国烟草行业开始启动建设法律风险防控体系（以下简称法律风控体系）。行业内各企业有些请咨询公司建设，有些用企业资源自行建设。本公司项目组人员学习理论知识，调研先进单位，利用自身资源进行体系建设。经过数年的努力，初步建立起法律风控体系，企业的各类法律风险得到有效防控。同时，获得了利用全面风险管理方法建设法律风控体系的一些经验和体会。

全面风险管理框架最早由美国斯坦福大学研究院提出。《中央企业全面风险管理指引》是2006年6月由国有资产监督管理委员会发布的，其中阐述了“全面风险管理”的方法，为我们开展法律风控提供了一些思路和方法，由此设计公司法律风控体系的主体构成有四个方面：一是法律风控对企业经营业务的覆盖比率；二是法律风控工作流程；三是法律风控文化建设；四是法律风控信息系统。

一、法律风控对企业经营业务的覆盖比率

法律风控对企业经营业务的覆盖比率，指的是排查出来的法律风险点对公司业务的覆盖比例，其意义在于衡量和控制法律风控工作是否做到无盲点无死角。我们设置两个指标，一是模块的覆盖比率（大类），即已排查的法律风控模块对公司业务的覆盖比例，已排查的模块包括：重大决策、规章制度、合同管理、知識产权、采购管理、烟草控制、人力资源、行政管理、法律处理、安全生产、建设工程、产品质量、财务审计、投资管理、国际业务、信息安全、工会管理等17个。二是法律法规规章的覆盖比率（小类），即已排查的法律法规规章对公司业务的覆盖比例。实践中，从公司年度经营目标、“十三五”规划措施以及部门职能说明书等反映公司业务的资料入手，对照每条内容，列出对应的业务模块及涉及的法律法规规章，得出大类覆盖率从79.29%-86.13%不等，小类覆盖率从62.5%-75.78%不等，从数值上量化了法律风险排查的全面性。可见未覆盖到的业务模块和法律法规规章就是下一步法律风险点排查的重要方向和内容。

二、法律风控工作流程

法律风控工作的基本流程（见图1：法律风控总体框架），其中最重要的是三个环节：法律风险排查识别、法律风险分析评估及法律风险控制（指风控措施的制订及落实）。同时，流程末端是输出应用，流程运行的制度及参数是运行依据和开关，再包括形成回路的监督与检查。

（一）风险排查识别环节

排查识别环节就是利用多种方式方法，把企业经营业务中的法律风险点排查识别出来。目前，主流的方法有：通过法律法规的条款来排查风险、通过工作流程中的关键节点来排查风险，通过以往案例来查找风险等。在实践中，需要多种方法综合运用。表1为《法律风险清单》是贯穿整个法律风控流程最重要的表格，这一表格反映的是风控流程所取得的最终成果。

（二）风险分析评估环节

分析评估环节就是用特定的方法区分法律风险的大小和强弱，可以从两个方面来考虑，风险发生的可能性和风险发生后的损失大小。只有可能性大损失大的，才是大风险，否则只有其中一方面大的都不一定是大风险。通过特定方法计算得到D（风险等级的数值），由L（可能性）与C（损失大小）乘积获得，即D=L證。见表2法律风险评估表。

得到风险等级数值后，按照数值大小排序来划分一至五级的风险范围。至于数值达到多少划为某一等级，由实际决定，一般的原则是金字塔型，五级最少，一级最多。在此基础上再划分法律风险的重大风险及一般风险。划分重大法律风险的原则是：一是大于四级的风险；二是虽然等级小于四级，但风险损失很大的风险；三是数量上的考虑，重大风险的多少直接同防控成本有关，所以数量上要有一定比例；四是层面的考虑，企业总体层面和部门个体考虑的风险层面是不同的。

1.风险发生可能性的打分

在标准中可能性的打分有五个维度，实践中重点考虑两个方面：内控制度的完善与执行、工作发生频次。这两个方面相对容易理解和衡量，打分更有参照价值，否则不容易把握的维度容易造成打分不准确，反而影响了原有的精度。L（风险发生可能性）由L1（内控制度完善与执行情况）和L2 （工作发生频次）相加获得，并设置一定占比，L=L1？0%+L2？0%。见表3风险发生可能性的打分。

2.风险发生损失大小的打分：

风险发生损失大小的打分有三个方面：财产损失、非财产损失、影响范围，这几个方面都比较容易理解和衡量，所以三个维度都选用。C（风险损失大小）由C1（财产损失）、C2（非财产损失）和C3（影响范围）相加获得，并设置一定占比，C=C1？0%+C2？0%+C3？0%。见表4风险损失大小的打分。

如何确保可能性和损失大小打分的客观和准确性是非常关键的问题。这里考虑几方面的因素：一是要选择合适的人员，要有一定的代表性，实践中，选择了公司法务人员、外聘律师及部门业务人员；二是要有合理的统计方法，不能简单地将多人的打分数值平均计算，而应该有不同的权重，相对而言打分客观性和准确率较高的应占有较大的权重；三是可以借用一些方法和模型，如以行业的标杆为参照标准来比较本企业的情况，用情景想象的方法来分析实际情况等。

（三）控制环节

控制环节即对风险点制定具体措施并落实，排查识别、分析评估的出发点和落脚点就是对风险开展控制，从而达到防控的目标。控制是否到位也是衡量法律风控流程是否有效的一个重要标准。

控制提供两种方式：一是对每个风险点都给出规避、降低、转移、保留四种相对简易的法律建议；二是针对重大法律风险点要求牵头部门制定具体详细的防控措施，一一对应，同时跟踪落实执行情况。

（四）风控制度

法律防控流程运行的规则和依据由风控制度提供，完善的制度是顺畅运行的保障。其基本内容至少要包含：用于领导和执行风控体系运行的组织架构，用于法律风险清单更新维护的操作流程，用于处理法律风险预警及应急的工作流程，以及辅助性的风控工作检查评估绩效考核及责任追究、风控报告制订、风控文化建设流程等。

（五）风控流程参数

通过风控流程运行参数的设置，来规范法律风控体系的运作。

1.被动更新频率：一季度（A参数）

意义：导致法律风险清单变动的因素一般是六个方面：一是法律法规的变动；二是行业监管环境的变化；三是企业业务范围的变化；四是各类纠纷案件的发生；五是上级的各类检查结果；六是公司内审及检查结果。法律风险清单每季度由事件触发被动更新一次。

2.工作报告更新频率：一季度（B参数）

意义：法律风控工作报告一季度一次。内容包括：法律风险清单变动情况；风险措施执行情况；风险预警及应急防控情况；企业内外或行业内外发生的纠纷案件情况及分析。

3.全面审核频率：一年（C参数）

意义：对法律风控体系一年开展一次全面审核。内容包括：所有清单条目进行审核更新；按需求制订下一年度排查计划；检查评价公司各个部门法律风控工作。

（六）輸出应用

1.对法律风险清单的应用，是法律风控体系最重要的输出应用，用以防控公司法律风险，同时可以作为公司业务人员的工作资料，以及普法宣传培训之用。

2.企业法律风险涉及的法律法规规章清单，可以用作普法重点。

三、法律风控文化建设

建设法律风控体系的一个重要内容是推进法律风控文化的构建。

（一）法律风控文化建设目标

把法律风险防范作为普法工作的一个重要内容，可以创造良好的法律风控氛围，使公司人员的法律防范素质和意识不断得到提升，也为企业建设法律风控体系培育必要的理论知识和思想准备。