中华全国律师协会律师办理企业法律风险管理业务操作指引

（中华全国律师协会发布 2013年6月汇编）

　　总则

　　第一章　合同签订

　　第二章　收集法律风险环境信息

　　第一节　收集外部法律风险环境信息

　　第二节　收集内部法律风险环境信息

　　第三节　了解企业法律风险准则

　　第三章　法律风险评估

　　第一节　法律风险识别

　　第二节　法律风险分析

　　第三节　法律风险评价

　　第四章　法律风险应对

　　附则

　　第1条　宗旨

　　为指导律师办理企业法律风险管理业务，规范律师执业行为，保障律师依法履行职责，充分发挥律师在企业法律风险管理中的作用，依据《中华人民共和国公司法》（以下简称《公司法》）、《企业法律风险管理指南》（GB/T 279142011）（以下简称《指南》）、《风险管理 风险评估技术》（GB/T 279212011）（以下简称《评估技术》）、《企业内部控制基本规范》、《中央企业全面风险管理指引》及其他相关法律、法规、规章和国家关于企业开展法律风险管理的规定，制定本指引。

　　第2条　定义及业务范围

　　2.1本指引所称律师办理企业法律风险管理业务，是指律师事务所接受企业的委托，指派律师为委托人提供与企业法律风险管理相关的法律服务，为企业开展法律风险管理活动提供支持与协助。

　　2.2律师办理企业法律风险管理业务的工作范围包括但不限于：

　　2.2.1收集企业法律风险内、外部环境信息；

　　2.2.2了解企业法律风险准则；

　　2.2.3对法律风险进行识别并出具《企业法律风险清单》；

　　2.2.4对法律风险进行分析评价；

　　2.2.5制订法律风险应对方案；

　　2.2.6出具《企业法律风险应对计划》；

　　2.2.7出具《企业法律风险管理总体报告》。

　　2.3律师在办理企业法律风险管理业务过程中，应当根据以下因素调整工作范围：

　　2.3.1委托人的委托范围；

　　2.3.2企业法律风险管理项目目标及期望达到的效果；

　　2.3.3委托人对企业法律风险管理项目的预期；

　　2.3.4企业法律风险管理项目预算。

　　第3条　特别事项

　　3.1本指引旨在向律师提供办理企业法律风险管理业务方面的经验，而非强制性规定，仅供律师在实践中参考。

　　3.2本指引仅供律师在办理法律风险管理业务中操作性层面的参考，其中涉及的专有名词、理论体系、计量方法等均不对其进行阐述，请律师自行了解。

　　3.3律师从事企业法律风险管理业务，依据法律、法规、规章和规范性政策文件，在委托人授权范围内独立进行工作。

　　3.4律师从事与企业法律风险管理业务有关的法律服务时，可参照本指引执行。

　　第4条　建立委托代理关系

　　4.1律师应以律师事务所的名义与委托人订立书面的《法律服务合同》，建立委托代理关系。

　　4.2律师应与委托人就本企业法律风险管理业务的目标、工作内容、工作成果进行充分沟通。在项目目标确定的前提下，依据委托人开展本项目期望达到的结果，确定详细的工作范围。

　　第5条　《法律服务合同》应当包括但不限于以下内容：

　　5.1本企业法律风险管理项目开展的目标；

　　5.2律师的工作范围及工作内容；

　　5.3律师与委托人的权利义务分配，其中需明确企业有配合的义务，在项目进行中需提供必要的人员、资料、场地等配合；

　　5.4项目的持续时间；

　　5.5项目的法律服务费用；

　　5.6承办该项目的人员；

　　5.7项目的工作成果。

　　第6条　本指引所称收集法律风险环境信息，是指应用适当的方法，对企业内外部环境中与法律风险相关的信息进行收集、分析、整理、归纳的一系列过程。

　　第7条　收集法律风险环境信息是一个动态过程，律师在取得委托人授权的情况下，可协助企业保持法律风险环境信息的持续更新。

　　第8条　律师收集法律风险环境信息应遵循以下原则：

　　8.1全面性原则。律师应当全面收集与企业法律风险相关的内、外部环境信息，并多角度了解企业法律风险准则。

　　8.2专业性原则。在收集法律风险环境信息过程中，律师应从专业角度对信息素材进行筛选判断。

　　8.3保密性原则。律师对在收集内部法律风险环境信息时所获得的企业商业秘密，应当履行保密义务，不得将相关信息透露给无关第三方。

　　第9条　律师收集法律风险环境信息，可以使用以下方法：

　　9.1对企业所处的行业进行调查分析，采集行业动态、发展趋势等信息。

　　9.2对企业实地考察及对内部人员进行调查，可采用实地走访、问卷调查、单独访谈、集体研讨、电话交流等方式。律师需根据项目目标，选择适宜的调查对象，通常可选择高级管理人员、部门负责人、业务骨干等开展此类工作。

　　9.3对企业涉及的第三方主体进行调查，可采用电话交流、实地拜访等方式。律师可选择处于企业上游及下游产业链的相关主体、企业竞争对手、利益相关方等进行调查。

　　9.4对企业监管部门进行调查，可采用电话交流、查询资料、实地拜访等方式，收集监管体制、机构、政策以及执行情况的信息。

　　9.5对企业所在行业法律、法规、政策性文件、重点案例等进行检索，通过全面调查充分了解企业所处的法律环境。

　　第10条　本指引所称外部法律风险环境信息，是指企业外部与企业法律风险管理相关的政治、经济、文化、社会、技术、法律等各种相关信息。

　　第11条　外部法律风险环境信息包括但不限于：

　　11.1宏观环境，包括但不限于：

　　11.1.1该企业所在行业在国民经济中的地位及所占比重；

　　11.1.2该企业所在行业的宏观经济环境分析，例如经济发展趋势、宏观经济政策、货币政策、进出口发展趋势、CPI及PPI等；

　　11.1.3该企业所在行业的社会环境分析及技术环境分析；

　　11.1.4该企业所在区域的发展状况、政府支持、资金情况等。

　　11.2企业所在行业的自有特征，包括但不限于：

　　11.2.1该企业所在行业的业务模式及特点；

　　11.2.2该企业所在行业与其他相关行业的关系；

　　11.2.3该企业所在行业的总体供需状况分析；

　　11.2.4该企业所在行业的市场状况分析。

　　11.3法律环境信息，包括但不限于：

　　11.3.1该企业所在行业的法律及政策情况、变化及热点事件等；

　　11.3.2国内外与该企业相关的立法、司法、执法和守法情况及其变化；

　　11.3.3与该企业相关的监管体制、机构、政策以及执行等情况；

　　11.3.4该企业主要的利益相关者及其对法律、合同、道德操守等的遵从情况。

　　11.4企业的自有特征，包括但不限于：

　　11.4.1与该企业相关的市场竞争情况；

　　11.4.2该企业在产业价值链中的定位；

　　11.4.3该企业产业链上下游相关产业的发展情况。

　　第12条　当企业为跨区域经营时，律师在进行外部法律风险环境信息收集时，需关注不同区域中企业外部法律风险环境信息之间的差异。

　　第13条　本指引所称内部法律风险环境信息，是指企业内部与企业法律风险及其管理相关的各种信息。

　　第14条　律师收集企业内部法律风险环境信息，需企业提供相关资料的，应要求企业在合理或约定时间内向律师提供真实、完整的资料原件或与原件审核一致的复印件。

　　第15条　内部法律风险环境信息包括但不限于：

　　15.1企业的基本信息，包括但不限于：

　　15.1.1企业的战略目标；

　　15.1.2企业的治理结构；

　　15.1.3企业盈利模式和业务模式；

　　15.1.4企业的主要经营管理流程、制度、活动、部门职能分工等相关信息；

　　15.1.5本企业签订的重大合同及其管理情况；

　　15.1.6企业相关抵押、质押、留置权等担保权益及与担保权益有关的情况；

　　15.1.7企业关于土地使用权情况；

　　15.1.8企业重大债权债务情况：

　　15.1.9企业知识产权管理情况；

　　15.1.10企业人力资源管理情况。

　　15.2企业与法律相关的信息，包括但不限于：

　　15.2.1企业法律事务工作现状及工作机构设置；

　　15.2.2与企业有关的重大合同；

　　15.2.3企业曾发生的重大法律纠纷案件、未了结的诉讼、仲裁、行政处罚或可能发生该类事件的情况；

　　15.2.4利益相关者的法律遵从情况和激励约束方式。

　　15.3企业法律风险相关信息，包括但不限于：

　　15.3.1企业在法律风险管理方面的使命、愿景、价值理念；

　　15.3.2企业法律风险管理工作的目标、职责、相关制度和资源配置情况；

　　15.3.3企业法律风险管理现状；

　　15.3.4企业曾发生的法律风险事件的情况；

　　15.3.5企业相关的法律规范库和法律风险库；

　　15.3.6企业法律风险管理的信息化水平；

　　15.3.7企业的主要出资人法律风险工作开展状况。

　　第16条　法律风险准则是衡量法律风险重要程度所依据的标准，律师通过对该准则的了解，进而了解企业对法律风险管理的目标、价值观、资源、偏好和承受度等信息，并将其在法律风险识别、分析、评价及应对等后续工作中进行应用。

　　第17条　律师应当在后续工作中，持续深入并改进对企业法律风险准则的了解。

　　第18条　律师可通过考虑以下因素了解企业法律风险准则：

　　18.1企业现行法律风险管理制度、风险管理所涉部门、人员等；

　　18.2企业现行内控制度；

　　18.3企业现行法律风险管理实施程度；

　　18.4企业管理层对法律风险管理的态度；

　　18.5企业法律部门及风险控制部门在企业中的战略定位；

　　18.6企业现行法律风险管理制度中对法律风险的识别、分析、评价及应对的工作流程；

　　18.7企业现行重大法律风险的确定原则。

　　第19条　本指引所称法律风险识别，是指发现、列举和描述风险要素的过程。具体是指律师对企业各业务单元、各项重要经营活动、重要业务流程中的法律风险进行查找，并对其描述、分类，分析归纳其原因、影响范围与潜在后果的活动。

　　第20条　法律风险识别最终以企业的法律风险清单的方式表现。

　　第21条　律师进行法律风险识别的内容包括但不限于：

　　21.1企业内外部法律环境信息中可能引起风险的具体事件及其背景信息；

　　21.2与该风险事件相对应的法律、法规的变化信息；

　　21.3企业对引起风险事件的控制力，包括控制事件的制度、人员、流程等；

　　21.4可能引发该风险事件发生的原因；

　　21.5该风险事件可能引发的后果与涉及范围；

　　21.6与该风险事件相关的各方主体。

　　第22条　律师应根据委托人的要求及双方约定的工作范围，选择合适的角度构建法律风险识别框架，包括但不限于：根据企业主要的经营管理活动识别；根据企业组织机构的设置识别；根据利益相关者识别；根据引发法律风险的原因识别；根据法律风险事件发生后承担的责任梳理；根据法律领域识别；根据法律、法规识别；根据以往发生的案例识别等。

　　第23条　律师在选择法律风险识别框架角度时，应当考虑如下方面：

　　23.1委托人的委托范围；

　　23.2法律风险管理项目的目标；

　　23.3选择不同构建角度所覆盖的范围；

　　23.4选择不同构建角度所侧重的重点；

　　23.5选择不同构建角度的实际操作的难易程度；

　　23.6选择不同构建角度的支撑材料的数量及质量。

　　第24条　律师在构建法律风险识别框架时，应当实现以下三个目标：

　　24.1风险识别的完整性，即要尽可能没有遗漏地识别企业可能涉及的全部法律风险及风险行为；

　　24.2风险识别的系统性，即应保证识别出来的法律风险及风险行为在逻辑上是相互独立、完全穷尽的，而不应该存在交叉或遗漏的现象；

　　24.3风险识别的有效性，即对法律风险及风险行为的描述应尽可能准确地反映该风险的内涵、外延，并且通俗易懂。

　　第25条　编制《企业法律风险清单》

　　《企业法律风险清单》一般包括下列内容：

　　25.1基础信息区。对法律风险事件及相应风险进行描述。

　　25.2法律信息区。对法律风险涉及的法律法规、引发的责任和后果、相关代表性案例及法律处理意见进行描述。

　　25.3管理信息区。对法律风险涉及的企业部门、人员、业务流程、其他主体等进行描述。

　　第26条　编制《企业法律风险清单》的流程：

　　26.1收集整理查找出的法律风险事件，并对其按照选定的法律风险识别框架的角度进行分类整理；

　　26.2明确描述每一法律风险事件所对应的法律风险；

　　26.3对每个法律风险设置相应的类别、编号及名称，并填入《企业法律风险清单》的基础信息区模块；

　　26.4梳理每一风险点对应的法律、法规，明确法律后果；

　　26.5将收集到的企业内部环境信息中的案例信息分类对应至不同风险点；

　　26.6将法律法规、相关案例、法律后果等内容填入《企业法律风险清单》的法律信息区模块；

　　26.7将风险点会影响的企业部门、人员、业务流程等内容填入《企业法律风险清单》的管理信息区模块。

　　第27条　律师将编制完成的《企业法律风险清单》向企业各部门下发，设计部门法律风险调查问卷及访谈提纲，征求各部门对本部门相关法律风险清单的意见，并根据意见对法律风险清单进行调整，可采用座谈会、一对一访谈、电话拜访等多种方式征求意见。

　　第28条　本指引所称法律风险分析，是指对识别出的法律风险进行定性、定量的分析，包括对法律风险发生可能性及法律风险影响程度的分析，为法律风险的评价和应对提供支持。

　　第29条　律师需考虑以下因素后，选择定性、定量、半定性半定量的分析方法开展法律风险分析工作：

　　29.1企业开展法律风险管理的目标；

　　29.2法律风险发生的影响范围；

　　29.3影响范围中的所有因素的可度量程度，包括现有数据资料的完整性、评价模型的合理程度等；

　　29.4企业现有风险控制水平；

　　29.5不同分析方法的工作开展难易程度及开展成本；

　　29.6选择不同分析方法得出结果的可操作性与可参考性。

　　第30条　律师开展法律风险分析工作，应当考虑的内容包括但不限于：

　　30.1引起风险事件的原因及该原因事件发生的频率：

　　30.1.1律师可从外部监管、外部利益主体、内部流程及部门、人员配合等角度考察；

　　30.1.2律师应独立考虑不同角度原因对风险事件的影响；

　　30.1.3律师应考虑不同角度之间的相互关系及对风险事件的影响。

　　30.2风险事件发生的可能性：

　　30.2.1律师应参考历史中该风险事件发生的频率及相关案例；

　　30.2.2律师应参考该风险事件的外部主体监管及内部控制监管程度；

　　30.2.3律师应参考该风险事件的相关主体的法律素质、法律风险的偏好程度。

　　30.3风险事件发生的后果、后果的影响程度、影响范围：

　　30.3.1律师可从民事责任、刑事责任和行政责任的角度衡量；

　　30.3.2律师应考虑三种法律责任本身的影响程度及影响范围；

　　30.3.3律师应考虑三种法律责任在企业内部、利益主体及社会中的影响程度及影响力；

　　30.3.4律师应考虑三种法律责任可能带来的财产损失金额。

　　第31条　律师开展法律风险分析工作，应当注意：

　　31.1根据委托人的要求及项目的目标开展工作；

　　31.2定期与委托人沟通，及时调整法律风险分析方法；

　　31.3需考虑所选择的分析方法的自身局限性；

　　31.4需优先选择企业熟悉或现行使用的风险分析方法。

　　第32条　本指引所称法律风险评价，是指将法律风险分析的结果与企业的法律风险准则相比较，或在各种风险的分析结果之间进行比较，确立法律风险等级，以帮助企业作出法律风险应对决策。

　　第33条　律师开展法律风险评价工作的流程：

　　33.1调整并完善企业法律风险准则；

　　33.2将法律风险按照法律风险分析的结果排序；

　　33.3将每一法律风险分析结果与企业法律风险准则比较，依据结果（高于、相同、低于）进行分级；

　　33.4律师根据上述分级结果，结合委托人的要求，确定重大法律风险原则，并明确重大法律风险。

　　第34条　重大法律风险的确定原则：

　　34.1风险分析结果高于企业法律风险准则。

　　34.2风险造成的后果严重或损失度很高。如果某项法律风险的风险水平较低，但其属于损失度很高、发生可能性较小的风险，仍应认定为重点法律风险。

　　34.3法律风险中所含某一项或某几项风险行为的风险水平很高。如果某项法律风险的风险水平较低，风险损失度也并非很高，但其所包含的风险行为中有一项或几项风险水平很高，该风险也应认定为重大法律风险。

　　第35条　律师在确定重大法律风险时应当注意：

　　35.1依据上述原则确定重大法律风险时，具体的筛选标准不是绝对确定的，应当依据企业的实际管理需要进行调整；

　　35.2对重大法律风险的数量限定应当作为考核是否属于重大法律风险的条件之一；

　　35.3重大法律风险的确定应当从企业总体层面角度考虑，对于涉及某项重大法律风险的部门来说，该风险在其部门内部的重要程度不一定高于其他非重大法律风险。

　　第36条　本指引所称法律风险应对，是指企业针对法律风险或法律风险事件采取相应措施，将法律风险控制在企业可承受范围内。

　　第37条　律师在开展法律风险应对工作时，应当与委托人共同进行，由双方共同协商选择法律风险应对策略、评估法律风险应对现状，以及制订和实施法律风险应对计划。

　　第38条　律师制订和实施法律风险应对计划的目标主要有：

　　38.1有效性，即应对计划确实能够满足风险应对的需求、发挥风险应对的作用；

　　38.2操作性，即在企业现有资源条件下，应对计划确实是可操作、可执行的；

　　38.3统筹性，即从全局角度对各项应对措施进行统筹、整合，实现企业整体利益最大化；

　　38.4规划性，即从长期规划的角度设置应对措施实施的先后主次，循序渐进地实现风险控制。

　　第39条　律师制订法律风险应对计划的原则为：根据风险应对现状评估结果确定应该采用的控制措施类型。

　　39.1资源配置类措施。对于评估结果为机构、人员或经费配置不足的风险，设立或调整与法律风险应对相关的机构、人员、补充经费或风险准备金等。

　　39.2制度、流程类措施。对评估结果为应进行管控的风险，制定或完善与法律风险应对相关的流程、制度。

　　39.3标准、规范类措施。对评估结果为特定法律风险，编写标准、规范类文件，供相关人员使用。

　　39.4技术手段类或活动类措施。对于评估结果为有明确要求但未得到严格执行的风险，应采用技术手段类或活动类措施。

　　39.5培训类措施。对某些关键岗位人员进行法律风险培训，提高其法律风险意识和管理技能。

　　第40条　律师制订法律风险应对计划，可以参考如下步骤进行操作：

　　40.1律师在法律风险应对现状评估表基础上，根据风险应对计划制订方法制作法律风险应对计划表，并拆分至各相关部门。

　　40.2各相关部门填写法律风险应对计划表，提出本部门负责的法律风险应对措施，并明确各项措施的完成标志、完成时间等内容。

　　40.3项目组汇总整理各部门填写完成的法律风险应对计划表，并对相关内容进行调整、完善，调整重点为风险应对措施。

　　40.4项目组将调整后的法律风险应对计划表再次发给各相关部门确认后，形成最终法律风险应对计划。

　　第41条　编制《企业法律风险应对计划》

　　《企业法律风险应对计划》一般包括如下内容：

　　41.1明确企业开展法律风险管理的目标及工作开展范围。

　　41.2在《企业法律风险清单》基础上，增加应对信息区模块，其中包括：

　　41.2.1风险点对应的法律风险应对策略。律师与委托人在确定每项法律风险的应对态度时，首先应根据该风险发生的可能性及损失度，分析判断其在不同应对态度下的风险控制成本和风险控制收益，然后将两者进行衡量比较，并选择其中收益成本比最大的一种态度，有规避、降低、转移、接受或其他策略。

　　41.2.2风险点对应的法律风险应对现状。评估应对现状时，可通过制作法律风险应对现状评估表格，发放至企业各部门及相关人员填写，作为收集信息的主要方式。

　　41.2.3风险点对应的法律风险应对计划。

　　第42条　本指引中有关风险评估技术的运用方法，参见《风险管理 风险评估技术》（GB/T 27921-2011）第六章的内容。

　　第43条　法律风险识别框架示例。

　　第44条　法律风险清单示例。