企業法律風險防控管理的研究和應用

沈益　陳征宇　沈敏　徐玉燕

摘 要 浙江中煙工業有限責任公司為推進企業法律風險有效防控，充分利用自身資源，探索運用全面風險管理方法進行法律風險防控體系建設的研究和應用，較好地切合了企業的實際，滿足了企業防范法律風險的需求。

關鍵詞 法律風險 管理 防控體系

作者簡介：沈益，浙江中煙工業有限責任公司法律與改革部，研究方向：法律風險防控體系建設與運行；陳征宇、沈敏、徐玉燕，浙江中煙工業有限責任公司法律與改革部。

中圖分類號：C931 文獻標識碼：A DOI：10.19387/j.cnki.1009-0592.2018.10.206

法律風險管理的概念，最早來自市場經濟較為發達的歐美各國，上世紀中葉，市場交易行為越來越復雜，伴隨的法律風險也越來越突出，企業法律風險管理的概念由此誕生。我國在這方面的起步稍晚些，上世紀末，中移動等一些規模較大的國有企業開始探索法律風險防范的問題。《企業法律風險管理指南》國家標準于2011年底發布，這是法律風險管理走上規范化標準化的標志。2014年中國煙草行業開始啟動建設法律風險防控體系（以下簡稱法律風控體系）。行業內各企業有些請咨詢公司建設，有些用企業資源自行建設。本公司項目組人員學習理論知識，調研先進單位，利用自身資源進行體系建設。經過數年的努力，初步建立起法律風控體系，企業的各類法律風險得到有效防控。同時，獲得了利用全面風險管理方法建設法律風控體系的一些經驗和體會。

全面風險管理框架最早由美國斯坦福大學研究院提出。《中央企業全面風險管理指引》是2006年6月由國有資產監督管理委員會發布的，其中闡述了“全面風險管理”的方法，為我們開展法律風控提供了一些思路和方法，由此設計公司法律風控體系的主體構成有四個方面：一是法律風控對企業經營業務的覆蓋比率；二是法律風控工作流程；三是法律風控文化建設；四是法律風控信息系統。

一、法律風控對企業經營業務的覆蓋比率

法律風控對企業經營業務的覆蓋比率，指的是排查出來的法律風險點對公司業務的覆蓋比例，其意義在于衡量和控制法律風控工作是否做到無盲點無死角。我們設置兩個指標，一是模塊的覆蓋比率（大類），即已排查的法律風控模塊對公司業務的覆蓋比例，已排查的模塊包括：重大決策、規章制度、合同管理、知識產權、采購管理、煙草控制、人力資源、行政管理、法律處理、安全生產、建設工程、產品質量、財務審計、投資管理、國際業務、信息安全、工會管理等17個。二是法律法規規章的覆蓋比率（小類），即已排查的法律法規規章對公司業務的覆蓋比例。實踐中，從公司年度經營目標、“十三五”規劃措施以及部門職能說明書等反映公司業務的資料入手，對照每條內容，列出對應的業務模塊及涉及的法律法規規章，得出大類覆蓋率從79.29%-86.13%不等，小類覆蓋率從62.5%-75.78%不等，從數值上量化了法律風險排查的全面性。可見未覆蓋到的業務模塊和法律法規規章就是下一步法律風險點排查的重要方向和內容。

二、法律風控工作流程

法律風控工作的基本流程（見圖1：法律風控總體框架），其中最重要的是三個環節：法律風險排查識別、法律風險分析評估及法律風險控制（指風控措施的制訂及落實）。同時，流程末端是輸出應用，流程運行的制度及參數是運行依據和開關，再包括形成回路的監督與檢查。

（一）風險排查識別環節

排查識別環節就是利用多種方式方法，把企業經營業務中的法律風險點排查識別出來。目前，主流的方法有：通過法律法規的條款來排查風險、通過工作流程中的關鍵節點來排查風險，通過以往案例來查找風險等。在實踐中，需要多種方法綜合運用。表1為《法律風險清單》是貫穿整個法律風控流程最重要的表格，這一表格反映的是風控流程所取得的最終成果。

（二）風險分析評估環節

分析評估環節就是用特定的方法區分法律風險的大小和強弱，可以從兩個方面來考慮，風險發生的可能性和風險發生后的損失大小。只有可能性大損失大的，才是大風險，否則只有其中一方面大的都不一定是大風險。通過特定方法計算得到D（風險等級的數值），由L（可能性）與C（損失大小）乘積獲得，即D=L證。見表2法律風險評估表。

得到風險等級數值后，按照數值大小排序來劃分一至五級的風險范圍。至于數值達到多少劃為某一等級，由實際決定，一般的原則是金字塔型，五級最少，一級最多。在此基礎上再劃分法律風險的重大風險及一般風險。劃分重大法律風險的原則是：一是大于四級的風險；二是雖然等級小于四級，但風險損失很大的風險；三是數量上的考慮，重大風險的多少直接同防控成本有關，所以數量上要有一定比例；四是層面的考慮，企業總體層面和部門個體考慮的風險層面是不同的。

1.風險發生可能性的打分

在標準中可能性的打分有五個維度，實踐中重點考慮兩個方面：內控制度的完善與執行、工作發生頻次。這兩個方面相對容易理解和衡量，打分更有參照價值，否則不容易把握的維度容易造成打分不準確，反而影響了原有的精度。L（風險發生可能性）由L1（內控制度完善與執行情況）和L2 （工作發生頻次）相加獲得，并設置一定占比，L=L1？0%+L2？0%。見表3風險發生可能性的打分。

2.風險發生損失大小的打分：

風險發生損失大小的打分有三個方面：財產損失、非財產損失、影響范圍，這幾個方面都比較容易理解和衡量，所以三個維度都選用。C（風險損失大小）由C1（財產損失）、C2（非財產損失）和C3（影響范圍）相加獲得，并設置一定占比，C=C1？0%+C2？0%+C3？0%。見表4風險損失大小的打分。

如何確保可能性和損失大小打分的客觀和準確性是非常關鍵的問題。這里考慮幾方面的因素：一是要選擇合適的人員，要有一定的代表性，實踐中，選擇了公司法務人員、外聘律師及部門業務人員；二是要有合理的統計方法，不能簡單地將多人的打分數值平均計算，而應該有不同的權重，相對而言打分客觀性和準確率較高的應占有較大的權重；三是可以借用一些方法和模型，如以行業的標桿為參照標準來比較本企業的情況，用情景想象的方法來分析實際情況等。

（三）控制環節

控制環節即對風險點制定具體措施并落實，排查識別、分析評估的出發點和落腳點就是對風險開展控制，從而達到防控的目標。控制是否到位也是衡量法律風控流程是否有效的一個重要標準。

控制提供兩種方式：一是對每個風險點都給出規避、降低、轉移、保留四種相對簡易的法律建議；二是針對重大法律風險點要求牽頭部門制定具體詳細的防控措施，一一對應，同時跟蹤落實執行情況。

（四）風控制度

法律防控流程運行的規則和依據由風控制度提供，完善的制度是順暢運行的保障。其基本內容至少要包含：用于領導和執行風控體系運行的組織架構，用于法律風險清單更新維護的操作流程，用于處理法律風險預警及應急的工作流程，以及輔助性的風控工作檢查評估績效考核及責任追究、風控報告制訂、風控文化建設流程等。

（五）風控流程參數

通過風控流程運行參數的設置，來規范法律風控體系的運作。

1.被動更新頻率：一季度（A參數）

意義：導致法律風險清單變動的因素一般是六個方面：一是法律法規的變動；二是行業監管環境的變化；三是企業業務范圍的變化；四是各類糾紛案件的發生；五是上級的各類檢查結果；六是公司內審及檢查結果。法律風險清單每季度由事件觸發被動更新一次。

2.工作報告更新頻率：一季度（B參數）

意義：法律風控工作報告一季度一次。內容包括：法律風險清單變動情況；風險措施執行情況；風險預警及應急防控情況；企業內外或行業內外發生的糾紛案件情況及分析。

3.全面審核頻率：一年（C參數）

意義：對法律風控體系一年開展一次全面審核。內容包括：所有清單條目進行審核更新；按需求制訂下一年度排查計劃；檢查評價公司各個部門法律風控工作。

（六）輸出應用

1.對法律風險清單的應用，是法律風控體系最重要的輸出應用，用以防控公司法律風險，同時可以作為公司業務人員的工作資料，以及普法宣傳培訓之用。

2.企業法律風險涉及的法律法規規章清單，可以用作普法重點。

三、法律風控文化建設

建設法律風控體系的一個重要內容是推進法律風控文化的構建。

（一）法律風控文化建設目標

把法律風險防范作為普法工作的一個重要內容，可以創造良好的法律風控氛圍，使公司人員的法律防范素質和意識不斷得到提升，也為企業建設法律風控體系培育必要的理論知識和思想準備。