的机构、人员安排,明确责任分配和奖惩机制;应对措施涉及的具体业务及管理活动;报告和监督、检查的要求;资源需求和配置方案;实施法律风险应对措施的优先次序和条件;实施时间表。
企业在制定法律风险应对措施之后,还是要评估一下剩余风险是否可以接受,如果不可接受,就需要重新调整,或者制定新的应对措施。并且还要评估新的措施的效果,直到剩余风险可以接受,这是对于剩余风险的考虑。
在制定和实施法律风险应对计划时,还要考虑执行法律风险应对措施,会引起企业风险情况的改变,这个改变是不容忽视的,因此需要进行跟踪、监督有关风险应对效果和企业环境信息,并且对这些变化进行评估。必要时要重新制定法律风险应对措施。也可以说,法律风险应对是递进动态的过程,需要根据内外部整个法律风险的变化,对制定的措施进行评估调整,从而保证措施的有效性。
4、监督检查
应对之后,要进行监督检查,这也是贯穿始终的活动。监督检查包括风险管理测试计划的实施,还有环境和风险变化的监控,都是在监督与检查环节中做的工作,通过监督和检查,把信息反馈到法律风险信息当中,进行下一个循环。监督检查作为促进法律风险管理流程执行和改进的环节,具有重要意义。
监督检查内容的设置需要可以分为以下几方面:①企业相关的内外部环境的变化。②具体法律风险事件的变化分析,针对企业辨识出的风险和风险预警指标进行跟踪分析,实行对风险的动态化监控管
理。③对企业制定的年度法律风险管理计划的执行进行监督检查,进行过程分析,必要时调整,提高执行的有效性。④根据具体计划的执行情况,进行绩效考核,同时结合内外部环境的变化和管理需求,提出管理改进建议,完成风险管理流程的闭环管理。
5、沟通和记录
沟通和记录贯穿于企业法律风险管理的全过程,是很重要的环节。有效的沟通能够使企业的法律风险管理目标和价值得到广泛的认同和支持,促进法律风险管理工作的有效实施;记录是实施和改进整个法律风险管理过程的基础,作为整个管理过程的载体和沟通工具,有效保障相关数据的存储和利用。
由于企业各层级人员及利益相关者的关点不同,其法律风险偏好和对法律风险管理的期望也不同,因此,企业在法律风险决策过程和法律风险管理执行中应当与利益相关者进行充分沟通,并保存相关记录。同时企业也要保证法律风险管理的责任部门能够与企业其他相关人员能充分沟通,从而获取履行职责所需的相关记录和档案材料,在外部,还需要与监管机构、立法及司法机关之间建立顺畅的沟通渠道。
在企业法律风险管理过程中,记录是实施和改进整个法律风险管理过程的基础。建立记录要充分考虑以下几个方面:①出于管理目的而重复使用信息的需要;②进一步分析法律风险和调整风险应对措施的需要;③可追溯要求;④沟通的需要;⑤法律法规和操作上对记录的需要;⑥企业本身持续学习的需要;⑦建立和维护记录所需的成本和工作量;⑧获取信息的方法、读取信息的容易程度和储存媒介;⑨
记录保留期限管理。
(八)企业法律风险管理的实施
有了企业法律风险管理过程,还需要具体实施。企业法律风险管理实施同样也是一个法律风险管理体系,包括企业法律风险管理的方针、组织职能、制度流程、资源配置、信息沟通和报告机制以及企业法律风险管理文化等。
1、企业法律风险管理方针
企业法律风险管理方针需明确下列事项:企业法律风险管理理念;管理层对法律风险管理的承诺;企业法律风险管理目标;企业的法律风险偏好;企业法律风险管理目标与企业的目标及其他风险管理目标的关系;企业法律风险管理目标的层次分解和细化;持续改进的承诺。
2、组织职能
企业应设立专门的法律风险管理机构或者岗位,职责包括:明确本企业法律风险管理机构或岗位的人员组成,根据企业内部条件和管理需求,必要时可设置企业总法律顾问,从总体上负责企业的法律风险管理工作;明确内外部法律风险管理资源的分工和合作方式;明确法律风险管理体系的制定、实施和维护人员的职责;明确执行法律风险应对措施、维护法律风险管理体系和报告相关风险信息人员的职责;明确企业管理人员及其他员工在其本职工作中有关法律风险管理方面的职责;建立批准、授权制度;建立考核方法、奖惩制度。
3、制度流程
企业应根据其法律风险管理的目标,建立完善适当的配套制度和行为规范。制度流程需要结合企业内部控制管理工作,将法律风险纳入到流程控制中,确保法律风险管理工作切实融入到企业的日常管理工作中,确保法律风险管理在企业内部的统一理解和执行。建立完善要考虑的因素:本企业法律风险管理工作的范围和内容;法律风险管理制度、规范的制定要考虑企业的制度体系,特别是风险管理制度,确保一致性;形成对制度规范的定期更新,确保时效性。
4、资源配置
企业需要根据法律风险管理计划,为法律风险管理分配适当的资源。
在资源配置时要考虑的因素:法律风险管理相关人员的技术、经验和能力要求;法律风险管理过程每一阶段所需要的资金及其他资源;法律风险管理目标、成本和收益的关系。
5、信息沟通和报告机制
为保证相关部门信息的互动沟通,企业需要建立法律风险管理信息的沟通和报告机制。既要建立内部沟通和报告机制,同是还要建立与外部利益相关者沟通机制。
建立内部沟通和报告机制的目的:保证企业法律风险管理体系的关键组成部分及其调整得到适当的沟通;保证在企业内部充分报告法律风险应对计划实施的效果和效率;保证在适当的层次和时间提供法律风险管理的相关信息;建立与利益相关者协商的程序。
需建立与外部利益相关者沟通机制的目的:对外报告符合法律法
规和公司治理要求;与利益相关者保持有效的信息沟通;树立外部利益相关者对组织的信心;在发生突发事件、危机和紧急状况时与利益相关者沟通;为企业提供外部利益相关者的报告和反馈。
6、管理文化
《指南》中明确,企业应当注重法律风险意识和风险管理文化的培养,从而促进法律风险管理的贯彻实施,保障法律风险管理目标的实现。
在风险管理文化培养过程中,可以从以下几个方面着手:在全体员工中树立法律风险管理是大家共同责任的理念,在不同岗位、不同层次上履行防范法律风险的职责;企业领导层对法律风险管理工作的态度、管理理念以及管理承诺要特别重视;提高重要流程及核心岗位员工法律风险管理的意识和能力;制定系统化的法律风险管理培训计划,加强对企业法律风险管理的培训,提高全体员工知法、守法和用法水平;加强法律风险管理机构专业人员的法律实务水平和风险管理水平;加强对内部违法违规行为的惩治力度,形成良好的法律风险管理文化。
(九)附录
附录部分收录了四份资料性附录。
附录A是法律风险识别框架示例。主要从“企业主要经营管理活动”和“引发法律风险的原因”两个角度来构建。引发企业法律风险的原因,可分为法律环境、违规行为、违约行为、侵权行为、不当行为和怠于行使权利六种。