GB/T 27914-2011 企业法律风险管理指南

ICS03.100.01

A02

中华人民共和国国彖标准

GB/T27914—2011

企业法律风险管理指南

Guidelinesonenterpriselegalriskmanagement

2011-12-30发布2012-02-01实施

GB/T27914—2011

目次

,、/d•、T

刖有I

引言n

1范围1

2规范性引用文件1

3术语和定义1

4企业法律风险管理原则1

5企业法律风险管理过程2

6企业法律风险管理的实施8

附录A（资料性附录）法律风险识别框架示例11

附录B（资料性附录）法律风险清单示例12

附录C（资料性附录）法律风险可能性分析示例13

附录D（资料性附录）法律风险影响程度分析示例14

参考文献15

GB/T27914—2011

■ir■■i

刖吕

本标准按照GB/T1.1-2009给出的规则起草。

本标准在GB/T24353—2009《风险管理原则与实施指南》的指导下，结合我国企业法律风险管

理的实践编制而成。

本标准由全国风险管理标准化技术委员会(SAC/TC310)提出并归口。

本标准起草单位：中国标准化研究院、中国移动通信集团公司、第一会达风险管理科技有限公司、中

华全国工商业联合会、北京市展达律师事务所、中国电子信息产业集团公司、中国建筑丁程总公司。

本标准主要起草人：高晓红、叶小忠、吕多加、薄勇、王志华、白莲湘、崔艳武、刘瑛、孔雪屏、秦玉秀.

T

GB/T27914—2011

引言

当前,企业正面临着日益严重的法律风险问题。一方面，随着法律法规体系的不断完善，世界各国

对企业的法律监管要求都日趋严格，特别是上市公司面临的法律监管环境更为严苛；另一方面，经济全

球化背景下，企业的市场竞争范围不断由国内市场走向国际市场，复杂的经营环境必然给企业带来更为

严重的法律风险暴露。由于法律风险伴随着企业经营管理的全过程，尤其是重大法律风险对企业的经

营发展影响巨大,使得企业必须加强法律风险管理。

本标准用于指导企业在其整个生命周期和所有经营环节中开展法律风险管理活动，以满足国内企

业提高法律风睑防范能力的迫切需求。企业可结合自身情况和实际需要应用本标准实施法律风睑管

理。中小企业可根据自身管理基础、资源以及管理需求，对本标准提供的法律风险管理过程和相关的配

套保障措施进行简化或者采取递进式建设，从而确保本企业的法律风险管理资源投入与企业的目标相

契合，达到有效管理本企业法律风险的目标。

n

GB/T27914—2011

企业法律风险管理指南

1范围

本标准提供了企业实施法律风险管理的通用指南。

本标准适用于各种类型和规模的企业，为企业在其整个生命周期和所有经营环节中开展法律风险

管理活动提供指导。企业以外的其他类似经营性主体开展法律风险管理活动可参照本标准。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T23694风险管理术语

GB/T27921—2011风险管理风险评估技术

3术语和定义

GB/T23694界定的以及下列术语和定义适用于本文件。

3.1

企业法律风险enterpriselegalrisk

基于法律规定或者合同约定，由于企业外部环境及其变化，或者企业及其利益相关者的作为或者不

作为导致的不确定性，对企业实现目标的影响。

4企业法律风险管理原则

为了有效管理法律风险，支持企业的决策和经营管理活动，企业进行法律风险管理时可遵循以下

原则：

a）审慎管理

由于法律风险的特殊性，法律风险管理宜坚持审慎管理的原则。要在尊重法律、保持诚信的前提

下，开展法律风险管理活动，风险管理的策略和方法不应违反法律的义务性规范和禁止性规范。

b）以企业战略目标为导向

企业法律风险管理目的在于促进企业战略目标的实现。企业法律风险管理活动要充分考虑法律风

险与企业战略目标之间的相互关系等因素。

c）与企业整体管理水平相适应

企业法律风险管理是企业管理的有机组成部分，和企业战略管理、流程管理、绩效管理、信息管理等

密切相关。为保证企业法律风险管理取得良好的效果，法律风险的识别、分析、评价和应对等活动要充

分考虑企业当前整体管理水平。

d）融入企业经营管理全过程

法律风险发生于企业的经营管理活动，其识別、分析、评价和应对都不可能脱离企业经营管理过程，

因此企业法律风险管理要融入企业经营管理的全过程，贯穿决策、执行、监督、反馈等各个环节。

1

GB/T27914—2011

e）纳入决策过程

企业所有决策都要综合考虑风险，以便将风险控制在企业可接受的范围内。法律风险作为企业的

重要风险范畴，要纳入企业决策过程,作为企业决策应考虑的重要因素。

f）纳入企业全面风险管理体系

企业法律风险管理是企业风险管理体系的组成部分，要与其他风险的管理活动整合，以提高风险管

理的整体效率和效果。

g）全员参与

法律风险产生于企业经营管理的各个环节，因此法律风险管理需要企业所有员T的参与并承担相

关责任，其中特别包括企业专职的法律管理部门（或人员）。各方人员宜分T负责，以形成法律风险管理

的长效机制。

h）持续改进

企业法律风险管理是适应企业内外部坏境变化的动态过程，其各步骤之间形成一个循环往复的闭

环。随着内外部环境的变化,企业面临的法律风险也在不断发生变化。企业要持续不断地对各种变化

保持敏感并做出恰当反应。

5企业法律风险管理过程

5.1概述

企业法律风险管理是企业全面风险管理的有机组成部分，贯穿于企业决策和经营管理的各个环节。

企业法律风险管理过程由5.2-5.5所描述的活动组成，即明确法律风险环境信息、法律风险评估、法律

风险应对、监督和检查，如图1所示。其中，法律风险评估包括法律风险识别、法律风险分析和法律风险

评价等三个步骤。

图1企业法律风险管理过程

2

GB/T27914—2011

沟通和记录贯穿于企业法律风险管理过程的各项活动中，5.6将对其进行详细说明。

5.2明确法律风险环境信息

5.2.1概述

明确法律风险环境信息是应用适当的方法，对企业内外部环境中与法律风险相关的信息进行收集、

分析、整理、归纳的一系列过程。通过明确法律风险环境信息，组织可明确其法律风险管理目标，确定与

组织相关的内部和外部参数，并设定法律风险管理的范围和有关风险准则。

明确法律风险环境信息是一个动态的过程，企业要保持法律风险环境信息的持续更新。企业可根

据本行业和企业业务经营管理的特点，具体分析明确内、外部法律风险环境信息的收集范围和分析方

式，为法律风险评估和应对提供充分的信息保障。

5.2.2外部法律风险环境信息

外部法律风险环境信息是指企业外部与企业法律风险管理相关的政治、经济、文化、社会、技术、法

律等各种相关信息，包括但不限于：

——本行业的业务模式及特点；

——国内外与本企业相关的政治、经济、文化、社会、技术以及自然环境等；

——国内外与本企业相关的立法、司法、执法和守法情况及其变化；

——与本企业相关的监管体制、机构、政策以及执行等情况；

——与本企业相关的市场竞争情况；

——本企业在产业价值链中的定位；

——企业主要的利益相关者及其对法律、合同、道德操守等的遵从情况；

——与企业法律风险及管理相关的其他信息。

对于跨区域经营的企业，在进行外部法律风险环境调查时，要特別关注不同地区间可能存在的坏境

差异。

5.2.3内部法律风险环境信息

内部法律风险环境信息是指企业内部与企业法律风险及其管理相关的各种信息，包括但不限于：

——企业的战略目标；

企业的治理结构；

企业盈利模式和业务模式；

——企业的主要经营管理流程/活动、部门职能分工等相关信息；

——企业在法律风险管理方面的使命、愿景、价值理念；

——企业法律风险管理丁作的目标、职责、相关制度和资源配置情况；

——企业法律事务工作及法律风险管理现状；

——利益相关者的法律遵从情况和激励约束方式；

——本企业签订的重大合同及其管理情况；

——本企业发生的重大法律纠纷案件或法律风险事件的情况，本企业相关的法律规范库和法律风

险库；

——本企业知识产权管理情况；

——企业法律风险管理的信息化水平；

——与法律风险及其管理相关的其他信息。

以上法律风险环境信息的收集范围和内容，要根据企业的法律风险状况变化及企业的管理需要进

3

GB/T27914—2011

行补充调整。

5.2.4确定企业法律风险准则

企业法律风险准则是衡量法律风险重要程度所依据的标准，要体现企业对法律风险管理的目标、价

值观、资源、偏好和承受度。企业法律风险准则宜在企业法律风险管理工作开始实施前制定，并根据实

际情况进行相应调整。

确定法律风险准则时要考虑但不限于以下因素：

——本企业法律风险管理的范围、对象，以及法律风险的分类；

——法律风险事件发生的可能性、影响程度以及法律风险的度量方法；

——法律风险等级的划分标准；

——利益相关者可接受的法律风险或可容许的法律风险等级；

重大法律风险的确定原则。

5.3法律风险评估

5.3.1概述

法律风险评估包括法律风险识別、法律风险分析和法律风险评价三个环节。

5.3.2法律风险识别

5.3.2.1概述

法律风险的识别，首先是查找企业各业务单元、各项重要经营活动、重要业务流程中存在的法律风

险,然后对查找出的法律风险进行描述、分类，对其原因、影响范围、潜在的后果等进行分析归纳，最终生

成企业的法律风睑清单.

通过法律风险识别，可全面、系统和准确地描述企业法律风险的状况，为下一步的法律风险分析明

确对象和范围。进行法律风险识别时要掌握相关的和最新的信息，必要时，需包括适用的背景信息，特

别是法律法规的变化信息。除了识别可能发生的法律风险事件外，还要考虑其可能的原因和可能导致

的后果，包括所有重要的原因和后果。不论法律风险事件的风险源是否在企业的控制之下，或其原因是

否已知，都要对其进行识别。企业应当选择适合于其目标、能力及其所处坏境的法律风险识别工具和

技术。

5.3.2.2构建法律风险识别框架

为保证法律风险识别的全面性、准确性和系统性,企业要构建符合自身经营管理需求的法律风险识

别框架，该框架提供若干识别法律风险的角度，包括但不限于以下方面：

-根据企业主要的经营管理活动识别，即通过对企业主要的经营管理活动（如生产活动、市场营

销、物资采购、对外投资、人力资源管理、财务管理等）的梳理，发现每一项经营管理活动可能存

在的法律风险。

-根据企业组织机构设置识別，即通过对企业各业务管理职能部门/岗位的业务管理范围和工作

职责的梳理，发现各机构内可能存在的法律风险。

-根据利益相关者识别，即通过对企业的利益相关者（如股东、董事、监事、高级管理人员、一般员

工、顾客、供应商、