美国次贷危机的蔓延及对中国经济和人民生活的冲击刷新了我们对全球经济一体化的认识，也拉近了我们与风险管理的距离。

国务院国资委发布的《国有企业法律顾问管理办法》、《中央企业全面风险管理(风险管理专题指引》以及新近颁布的《中华人民共和国企业国有资产法》使得法律风险、全面风险管理成为我们耳熟能详的名词[1]。

但法律风险是什么，以及企业如何对法律风险进行有效的管理等问题仍然是困扰企业的难题。

我国企业包括中央企业对法律风险的管理大多仍然游离于全面风险管理的殿堂之外。

《中央企业全面风险管理指引》作为我国全面风险管理的第一份法律文件，其所提出的企业风险管理理念及ERM框架值得企业在进行法律风险管理时学习借鉴。

本文将结合《中央全面风险管理指引》中的全面风险管理框架（以下称“ERM框架”）对此进行论述，并从法律风险的管理实务角度出发提出全面风险管理背景下企业法律风险管理理念、框架和中国企业法律风险管理的推进路径。

一、厘定法律风险定义,奠定企业法律风险管理的基础目前我国尚未有正式法律文件对法律风险的定义作正面描述，律师、会计师、管理咨询顾问等实务界对法律风险的界定也是众说纷纭，莫衷一是[2]。

国务院国资委《国有企业法律顾问管理办法》仅仅提到了法律风险，但并没有该术语加以定义。

《中央企业全面风险管理指引》给出了企业风险的定义及分类，但却没有对法律风险进行界定，而是给出了法律风险信息收集方面的要求[3]。

《中央企业全面风险管理指引》认为企业风险指未来的不确定性对企业实现其经营目标的影响。

该定义涵盖了企业的纯粹风险和机会风险，并强调企业风险与企业经营目标的相关性。

该指引将法律风险与企业所面临的其他风险相并列，把企业风险分为战略风险、财务风险、市场风险、运营风险、法律风险等。

从该指引对法律风险信息收集的要求来看，法律风险信息收集的不仅包括法律文件的有效性和可执行能力不足或缺陷给企业造成损失的信息，还包括合规风险信息、监管风险信息等。

更加值得一提的是该指引要求企业收集竞争对手的知识产权情况，这打破了将法律风险管理归结为责任风险的狭隘立场，关注企业的权利减损或扩张，有利于通过对企业权利如知识产权的管理建立企业战略/竞争优势，有利于企业法律风险管理价值的提升。

结合上述内容本文认为，一个清晰的法律风险定义应当符合如下四个要求：（1）影响企业目标的实现。

法律风险是由严重影响企业目标实现的事项或一系列事项引起的。

这排除了过分强调法律风险且认为法律风险无处不在的情形。

（2）与企业自身经营环境、内部业务流程及基础管理等因素相关，便于企业法律风险管理的开展。

（3）与企业其他风险相区别。

尽管法律风险与企业其他风险存在着千丝万缕的联系，但并不能据此认为企业风险都是法律风险。

这有利于全面风险管理中部门之间的分工协作。

（4）适应战略/竞争优势管理的需要，超越责任风险的概念。

基于此，本文给法律风险从风险源角度下一个比较宽泛的定义，即法律风险指企业合同、诉讼、知识产权、合规等法律事务安排的未来不确定性对企业实现其自身目标的影响。

它包括但不限于企业支付的罚款、罚金、赔偿金所导致的风险敞口[4]和企业法律权益的损益。

这些风险敞口及权益损益主要由各种企业法律因素如不完善或有问题的法律事务内控程序、人员[5]及系统、外部事件等操作性因素所导致。

二、界定企业法律风险管理概念，树立现代企业法律风险管理理念（一）什么是企业法律风险管理法律风险是企业风险的一种，现代企业法律风险管理是企业全面风险管理的有机组成部分。

在了解什么是企业法律风险管理之前，我们先来了解一下什么是全面风险管理。

全面风险管理对企业来说不是个新概念，然而目前对其尚没有统一的认识。

《中央企业全面风险管理指引》的出台无疑有利于澄清人们对全面风险管理的认识。

该指引认为全面风险管理指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

该定义存在以下要素：（1）与企业实现其经营目标相关；（2）一套包括策略、措施、组织职能、系统、内部控制在内的管理体系；（3）一套旨在处理风险的流程；（4）良好的风险管理文化；（5）贯穿于企业各个环节和经营过程。

值得注意的是，《中央企业全面风险管理指引》与世界上其他国家全面风险管理的相关法律文件一样，并没有特别规定单种风险管理的要素。

结合指引关于企业可选择单项风险进行管理试点的规定[6]，上述要素应当也适用于法律风险管理。

因此，借用以上要素，本文认为企业法律风险管理是在企业内部建立一种管理法律风险的基础能力（包括流程、技术、组织、文化等），以识别、衡量、评估、处理、监控、沟通各环节和经营过程中的法律风险，使该风险与企业目标和风险偏好协调一致。

（二）企业法律风险管理的理念将风险管理引入企业法律事务管理，为我们带来了全新的企业法律风险管理理念。

与之相比运营管理背景下传统的法律顾问模式中企业对法律风险的管理存在明显的缺陷：（1）局限于职能部门式的管理模式，缺乏沟通。

这不仅体现在缺乏与企业决策层、底层员工的纵向沟通上，而且还体现在法务部门与其他部门之间的横向沟通上。

（2）对法律风险的管理受制于经理层或仅处于决策的参谋地位，企业战略与法律风险管理脱节。

（3）企业对法律法规有规不循或有循不规。

前者体现在企业决策层及经理层凌驾于企业法律事务内部控制机制之上，后者体现在对法律法规的重视限于口头文章，而无执行细则。

（4）对法律风险的管理缺乏流程观和风险意识，法律危机发生后对法律顾问的事后责难司空见惯。

（5）对法律风险的管理文档空白，对法律风险的分析缺乏数据和先例支持。

（6）注重企业现时法律问题的集中解决，缺乏对法律风险的预警和日常管理。

正是由于上述原因，企业总法律顾问制度“试水”，中央企业开始将法律顾问引入决策层，设立总法律顾问制度[7]。

但实践中这些尝试仍然缺乏现代企业法律风险管理的理念指导，而处于无序状态。

在本质上，现代企业法律风险管理是：（1）识别和管理企业法律风险的所有方面，树立企业法律风险管理整体组合观；（2）打造企业法律风险管理的基础能力，树立企业法律风险管理流程观；（3）注重法律风险与企业目标、风险偏好及容忍度的联系，树立企业法律风险管理风险价值观；（4）注重企业决策层倡导、全员参与，树立企业法律风险管理责任观；（5）关注法律风险之间以及法律风险与其他风险间的关联性，合理配置资本，树立企业法律风险管理资本配置观；（6）建立健全企业法律风险管理文档和信息系统，树立企业法律风险管理的数字逻辑观。

三、解析和借鉴ERM框架，打造企业法律风险管理框架解析ERM框架的目的在于认识ERM框架的实质，以此为基础，结合企业实际情况予以借鉴，以便建立企业全面风险管理背景下的现代企业法律风险管理框架。

一个有效的法律风险管理框架旨在帮助企业在运用有限的资源对法律风险执行有效的管理，并帮助企业监督执行结果。

（一）ERM框架解析ERM框架是国务院国资委借鉴了美国COSO内控框架及风险管理框架、澳新标准、英国风险管理标准，考虑了我国实际情况，而引进的。

归纳起来，ERM框架包括四个部分：风险术语、风险管理流程、风险管理体系和风险管理文化。

ERM框架对风险术语进行了定义并对风险进行了分类，确定了全面风险管理的语言沟通基础；风险管理流程包括：风险管理初始信息、风险评估、风险管理策略、风险管理解决方案、风险管理的监督与改进；风险管理体系包括风险管理组织体系、风险管理信息系统；风险管理文化包括风险管理文化建设的目标和任务、风险管理文化的内涵、风险管理文化传播和培育的方法。

简单的讲，ERM框架解答了风险管理的三个基本问题：管什么、怎样管以及谁去管，即管理对象、管理过程和技术、管理组织。

ERM框架对风险术语的定义及分类回答了管理对象问题；风险管理流程、风险管理信息系统、风险管理文化回答了管理过程和技术问题；风险管理组织体系回答了管理组织问题。

（二）企业法律风险管理框架必备要素与ERM框架一样，企业法律风险管理框架也应当要解决管理对象、管理流程和技术、管理组织问题。

法律风险作为企业面临风险的一种，法律风险管理遵循风险管理的一般规律。

作为法律风险管理框架应当包含上述ERM框架的基本要素，并应体现法律风险本身的特质，具体解析如下：1、法律风险术语法律风险术语可以明确法律风险、法律风险管理的定义以及法律风险的分类，为企业法律风险管理工作建立一种通用的语言，这是现代企业法律风险管理的基础要素。

关于什么是法律风险，我们已经在前文作了解答（企业也可以根据需要设定符合自身业务流程和经营哲学的法律风险定义，但应当符合前文所述法律风险定义的四项要求）。

在此我们还要解决法律风险的分类和风险源问题。

（1）法律风险的分类我们可以根据导致风险敞口的风险源的不同将法律风险细分为法律环境风险、法律事务流程实施风险、法律事务决策信息风险等，也可以根据法律事项的不同将法律风险细分为合同法律风险、人力资源法律风险、投融资法律风险等。

企业与企业之间不可能有完全一致的法律风险分类，企业可以按照规模、业务、流程、信息化程度的不同根据需要对其法律风险进行分类，只要符合分类的基本原则即可。

（2）法律风险的风险源法律风险管理就是要对导致风险敞口的风险源进行有效的管理。

本文界定法律风险的定义时已对风险源有所涉及。

这些风险源主要包括不完善或有问题的法律事务内控程序、人员及系统、外部事件、监管、民商事争议等，既有企业内部因素，也包括企业外部因素。

企业只有对这些风险源有了清晰透彻的了解才能有效的管理法律风险。

2、法律风险管理流程法律风险管理流程帮助企业识别、分析、评估所面临的风险，并协助企业找到解决方案，之后在不断的沟通交流中监督改进。

美国《企业内部控制——整合框架》及《企业风险管理——整合框架》、澳新标准、英国风险管理标准、我国国务院国资委《中央企业全面风险管理指引》等对风险管理流程的描述大同小异。

结合上述文件对风险管理流程的描述和我国企业对法律风险的管理缺乏流程观和数字逻辑的实际，本文认为法律风险管理基本流程应当包括业务法律分析、法律风险识别、法律风险评估、法律风险应对、监督与改进等，法律风险管理流程中涉及的分析技术至少应当包括SWOT问卷分析、PEST问卷分析、集体会晤、情景分析、行业标杆比较及其他数理统计分析技术等。

[8]3．法律风险管理体系法律风险管理体系包括法律风险管理组织体系和法律风险管理信息系统。

（1）法律风险管理组织体系法律风险管理组织体系是法律风险管理体系有效运行的基础。

企业法律风险管理需要解决法律风险管理组织职能问题，确定授权范围，并决定谁将对法律风险管理有效性负责问题，使法律风险管理责任在企业中各个层级实施和落实。