【正文】 業(yè)法律風險的概念、《指南》出臺背景、主要內(nèi)容及價值與意義等方面為大家進行解讀。該定義中，企業(yè)法律風險是基于法律規(guī)定、政策要求或合同約定，由于企業(yè)內(nèi)外部環(huán)境及其變化與企業(yè)及其利益相關(guān)人的作為與不作為相互作用而產(chǎn)生的對企業(yè)目標的影響。其風險來源是企業(yè)內(nèi)外部環(huán)境及其變化、企業(yè)及其利益相關(guān)者的作為和不作為。二、《指南》出臺背景與過程《指南》是2009年國家標準委計劃立項，于2010年底完成報批，2011年12月30日正式公布，2012年2月1日開始實施的。2009年4月，成立了《指南》國家標準起草工作組，2009年6月，按照標準制定原則，在進行文獻調(diào)研的基礎(chǔ)上，征集了相關(guān)行業(yè)專家的意見，提出國家標準草案。2011年12月30日，國家質(zhì)量監(jiān)督檢驗檢疫總局、國家標準化管理委員會批準該標準，并通過2011年第23號國家標準公告予以公布，至此，《指南》國家標準正式出臺。（一）前言前言部分主要是介紹該標準的起草規(guī)則，提出該標準的單位，起草單位和主要起草人。在該《指南》引言部分明確指出法律風險問題日益嚴重，企業(yè)法律風險管理在企業(yè)管理中的作用是越來越大，所以就制定企業(yè)法律風險管理標準，通過這個標準幫助和提高企業(yè)抗風險能力?！吨改稀吩诿鞔_指出，本標準提供了企業(yè)實施法律風險管理的通用指南。這里需要說明的是，通用指南在進行具體操作的時候，需要根據(jù)企業(yè)不同特點和不同環(huán)節(jié)的應用展開和細化。要注意的是，第一個文件沒有注日期，也就是說將來如果標準修訂了，修訂后的版本也適用于本標準。（五）術(shù)語和定義如前所述，企業(yè)法律風險（terprise legal risk）引用了GB／T23694《風險管理術(shù)語》中關(guān)于企業(yè)法律風險的定義。（六）企業(yè)法律風險管理的原則《指南》給出了企業(yè)進行法律風險管理應遵循的八項原則，即：審慎管理、以企業(yè)戰(zhàn)略目標為導向、與企業(yè)整體管理水平相適應、融入企業(yè)經(jīng)營管理全過程、納入決策過程、納入企業(yè)全面風險管理體系、全員參與、持續(xù)改進。策略和方法不應違反法律的義務性規(guī)范和禁止性規(guī)范。因此進行風險管理活動要充分考慮法律風險與企業(yè)戰(zhàn)略目標之間的相互關(guān)系。融入企業(yè)經(jīng)營管理全過程，由于法律風險發(fā)生在企業(yè)的經(jīng)營管理活動中，法律風險管理活動也都不可能脫離企業(yè)經(jīng)營管理過程，因此企業(yè)法律風險管理要融入企業(yè)經(jīng)營管理的全過程，貫穿到經(jīng)營管理的各個環(huán)節(jié)。法律風險也是企業(yè)風險范疇，因此要納入企業(yè)決策過程，作為企業(yè)決策應考慮的一個重要因素。在風險管理過程中要與其他風險管理相整合，以提高風險管理的整體效率和效果。持續(xù)改進，由于企業(yè)內(nèi)外部環(huán)境會不斷變化，企業(yè)面臨的法律風險也會不斷發(fā)生變化。（七）企業(yè)法律風險管理過程企業(yè)法律風險管理是企業(yè)全面風險管理的有機組成部分，貫穿于企業(yè)決策和經(jīng)營管理的各個環(huán)節(jié)。明確法律風險環(huán)境信息明確法律風險環(huán)境信息通過對企業(yè)內(nèi)、外部環(huán)境中與法律風險相關(guān)的信息進行收集、分析、整理、歸納的一系列過程。（1）外部法律風險環(huán)境信息外部法律風險環(huán)境信息是指企業(yè)外部與企業(yè)法律風險管理相關(guān)的政治、經(jīng)濟、文化、社會、技術(shù)、法律等各種相關(guān)信息。《指南》還特別提到，對于跨區(qū)域經(jīng)營的企業(yè)，調(diào)查時還要特別關(guān)注不同地區(qū)問可能存在的環(huán)境差異。主要包括：企業(yè)的戰(zhàn)略目標；治理結(jié)構(gòu)；盈利模式和業(yè)務模式；主要經(jīng)營管理流程、部門職能分工等相關(guān)信息；在法律風險管理方面的使命、愿景、價值理念；企業(yè)法律風險管理工作的目標、職責、相關(guān)制度和資源配置情況；企業(yè)法律事務工作及法律風險管理現(xiàn)狀；利益相關(guān)者的法律遵從情況和激勵約束方式；簽訂的重大合同及其管理情況；已發(fā)生的重大法律糾紛案件或法律風險事件的情況及相關(guān)的法律規(guī)范庫和法律風險庫；知識產(chǎn)權(quán)管理情況；企業(yè)法律風險管理的信息化水平以及與法律風險及其管理相關(guān)的其他信息。（3）確定企業(yè)法律風險準則企業(yè)法律風險準則是衡量法律風險重要程度所依據(jù)的標準，需要在企業(yè)法律風險管理工作開始實施前制定，并且要體現(xiàn)企業(yè)對法律風險管理的目標、價值觀、資源、偏好和承受度，在管理過程中可以根據(jù)實際情況進行相應調(diào)整。法律風險評估法律風險評估包括法律風險識別、分析、評價。法律風險識別的作用：通過法律風險識別，可全面、系統(tǒng)和準確地描述企業(yè)法律風險的狀況，為下一步的法律風險分析明確對象和范圍法律風險識別的要點：要掌握相關(guān)的和最新的信息，必要時，需包括適用的背景信息，特別是法律法規(guī)的變化信息。不論法律風險事件的風險源是否在企業(yè)的控制之下，或其原因是否已知，都要對其進行識別。法律風險識別中的工作：風險在哪里；風險的表現(xiàn)是什么；風險的動因和影響。目的是為了保證法律風險識別的全面性、準確性和系統(tǒng)性。②查找法律風險事件。具體方法在《指南》里明確引用了GB／T279212011即《風險管理風險評估技術(shù)》中的方法。通過對查找出來的法律風險事件進行歸類，確定法律風險，根據(jù)法律風險事件以及法律風險統(tǒng)一列表，列示出所適用的法律法規(guī)，可能產(chǎn)生的后果，相關(guān)的案例、法律分析意見以及涉及業(yè)務單元和部門、經(jīng)營管理流程等信息，最終形成法律風險清單。（2）法律風險分析法律風險分析是指對識別出的法律風險的可能性和影響程度進行定性、定量的分析，為法律風險的評價和應對提供支持。法律風險的影響程度主要考慮以下因素：后果的類型；后果的嚴重程度。（3）法律風險評價法律風險評價是將法律風險分析的結(jié)果與企業(yè)的法律風險準則相比較，或在各種風險的分析結(jié)果之間進行比較，確定法律風險等級，并根據(jù)風險等級確定風險管理的先后順序,以幫助企業(yè)做出應對的決策。②在法律風險水平排序的基礎(chǔ)上，對照企業(yè)法律風險準則，可以對法律風險進行分級。法律風險應對法律風險應對是指企業(yè)針對法律風險或法律風險事件采取相應措施，將法律風險控制在企業(yè)可承受的范圍。(1)應對策略選擇法律風險應對策略至少要考慮以下幾方面的因素：企業(yè)的戰(zhàn)略目標、核心價值觀和社會責任等；企業(yè)對法律風險管理的目標、價值觀、資源、偏好和承受度等；法律風險應對策略的實施成本與預期收益；利益相關(guān)者的訴求和價值觀、對法律風險的認知和承受度以及對某些法律風險應對策略的偏好。（3）制定和實施法律風險應對計劃應對措施的實施計劃中應包括以下信息：實施法律風險應對措施的機構(gòu)、人員安排，明確責任分配和獎懲機制；應對措施涉及的具體業(yè)務及管理活動；報告和監(jiān)督、檢查的要求；資源需求和配置方案；實施法律風險應對措施的優(yōu)先次序和條件；實施時間表。并且還要評估新的措施的效果，直到剩余風險可以接受，這是對于剩余風險的考慮。必要時要重新制定法律風險應對措施。監(jiān)督檢查應對之后，要進行監(jiān)督檢查，這也是貫穿始終的活動。監(jiān)督檢查作為促進法律風險管理流程執(zhí)行和改進的環(huán)節(jié)，具有重要意義。②具體法律風險事件的變化分析，針對企業(yè)辨識出的風險和風險預警指標進行跟蹤分析，實行對風險的動態(tài)化監(jiān)控管理。④根據(jù)具體計劃的執(zhí)行情況，進行績效考核，同時結(jié)合內(nèi)外部環(huán)境的變化和管理需求，提出管理改進建議，完成風險管理流程的閉環(huán)管理。有效的溝通能夠使企業(yè)的法律風險管理目標和價值得到廣泛的認同和支持，促進法律風險管理工作的有效實施；記錄是實施和改進整個法律風險管理過程的基礎(chǔ)，作為整個管理過程的載體和溝通工具，有效保障相關(guān)數(shù)據(jù)的存儲和利用。同時企業(yè)也要保證法律風險管理的責任部門能夠與企業(yè)其他相關(guān)人員能充分溝通，從而獲取履行職責所需的相關(guān)記錄和檔案材料，在外部，還需要與監(jiān)管機構(gòu)、立法及司法機關(guān)之間建立順暢的溝通渠道。建立記錄要充分考慮以下幾個方面：①出于管理目的而重復使用信息的需要；②進一步分析法律風險和調(diào)整風險應對措施的需要；③可追溯要求；④溝通的需要；⑤法律法規(guī)和操作上對記錄的需要；⑥企業(yè)本身持續(xù)學習的需要；⑦建立和維護記錄所需的成本和工作量；⑧獲取信息的方法、讀取信息的容易程度和儲存媒介；⑨記錄保留期限管理。企業(yè)法律風險管理實施同樣也是一個法律風險管理體系，包括企業(yè)法律風險管理的方針、組織職能、制度流程、資源配置、信息溝通和報告機制以及企業(yè)法律風險管理文化等。組織職能企業(yè)應設立專門的法律風險管理機構(gòu)或者崗位，職責包括：明確本企業(yè)法律風險管理機構(gòu)或崗位的人員組成，根據(jù)企業(yè)內(nèi)部條件和管理需求，必要時可設置企業(yè)總法律顧問，從總體上負責企業(yè)的法律風險管理工作；明確內(nèi)外部法律風險管理資源的分工和合作方式；明確法律風險管理體系的制定、實施和維護人員的職責；明確執(zhí)行法律風險應對措施、維護法律風險管理體系和報告相關(guān)風險信息人員的職責；明確企業(yè)管理人員及其他員工在其本職工作中有關(guān)法律風險管理方面的職責；建立批準、授權(quán)制度；建立考核方法、獎懲制度。制度流程需要結(jié)合企業(yè)內(nèi)部控制管理工作，將法律風險納入到流程控制中，確保法律風險管理工作切實融入到企業(yè)的日常管理工作中，確保法律風險管理在企業(yè)內(nèi)部的統(tǒng)一理解和執(zhí)行。資源配置企業(yè)需要根據(jù)法律風險管理計劃，為法律風險管理分配適當?shù)馁Y源。信息溝通和報告機制為保證相關(guān)