风险管理法律风险管理指南.docx

《风险管理法律风险管理指南.docx》由会员分享，可在线阅读，更多相关《风险管理法律风险管理指南.docx（26页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、GB/T 279142023GB/T 279142023代替 GB/T 279142011风险管理法律风险管理指南Risk managementGuidelines for the management of legal risk(ISO 31022:2020,MOD)2023-08-06 发布2023-08-06 实施目 次前言I引言n1范围12规范性引用文件 13术语和定义14原则15法律风险管理过程 36法律风险管理的实施11附录A （资料性）法律风险识别方法示例13附录B （资料性）法律风险清单示例 14附录C （资料性）法律风险发生可能性分析示例15附录D （资料性）法律风险影响程度

2、分析示例16附录E （资料性）审查合同需关注的关键条款17参考文献22GB/T 279142023引 言组织在包含各种法律风险的复杂环境中运行。随着法律、法规体系的不断完善,世界各国对组织的 法律监管要求都日趋严格，而且不同国家的法律和监管要求各不相同。不仅如此，面对法律和监管环境 的变化,组织需同步适应。尤其在开展新的活动和业务时，组织更要充分考虑各方面的需求。组织在做 出可能产生重大法律后果的决定和行动时，面临相当大的不确定性，尤其是重大法律风险对组织的发展 影响巨大，使得组织需加强法律风险管理。法律风险管理有助于保护和增加组织的价值。本文件为协助组织有效地评估和应对法律风险提供指导，旨在

3、帮助组织及其最高管理层：-实现组织的战略成果和目标；一鼓励采取更为系统和一致的方法进行法律风险管理，并全面识别和分析问题，以使法律风险得 到积极、适当的应对,并获得最高管理层的支持；更好地了解和评估法律问题、法律风险的范围及影响程度，并进行适当的尽职调查；一识别、分析和评价法律风险，为科学决策提供系统方法； 一鼓励寻求持续改进的机会。需注意,本文件内法律风险的定义是广泛的，在中国的实践中，法律风险一般可分为：法律环境变化 风险、违规风险、违约风险、侵权风险、怠于行使权利的风险、行为不当的风险。本文件：一为法律风险管理提供指导,使其与合规活动相匹配,并为组织满足其义务和目标提供保障；可适用于所有

4、类型和规模的组织，通过提供更结构化和一致的方法来管理法律风险，使组织及 其利益相关者在整个过程中受益；-为法律风险的识别、分析和评价提供综合管理方法；一支持和补充现有的方法，通过针对组织可能面临的潜在问题提供更好的信息和更深刻的理 解，来增强现有方法的效用；-支持组织可能实施的任何管理流程，例如合规或其他管理系统。使用本文件的组织将受益于改进商业和运营成果，如提高声誉、改善员工忠诚度、改善利益相关者 关系、增强资源与能力之间的协调作用等。GB 279142023风险管理法律风险管理指南1范围本文件作为GB/T 24353的补充，为组织管理其面临的法律风险提供指南。本文件提供了管理法律风险的通用

5、方法，不针对某特定行业或领域。组织可根据其具体环境，有针 对性地应用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。GB/T 243532022 风险管理指南3术语和定义下列术语和定义适用于本文件。3.1风险 risk不确定性对目标的影响。注L影响是指偏离预期，偏离可以是正面的和/或负面的，可能带来机会和威胁。注2：目标可有不同维度和类型，可应用在不同层级。来源：GB/T 243532022,3.1,有修改3.2法律风险Iegal ris

6、k由法律、法规以及合同事项导致的风险（3.1）。3.3组织 OrganiZatiOn为实现目标，由职责、权限和相互关系构成自身功能的一个人或一组人。注：组织的概念包括个体经营者、公司、集团、商行、企事业单位、权力机构、合伙企业、慈善组织或研究机构，或上述 组织的部分或组合，无论是否为法人组织，公有的或私有的。来源：GB/T 357702022,3.1,有修改4原则法律风险的有效管理需遵循GB/T 24353所述的价值观和原则，如图1所示：图1原则以上风险管理的八项原则在法律风险管理环境下体现为a）h）所列示的内容。此外，进行法律凤 险管理,还需考虑公平原则，见i）.a）整合：法律风险管理是组织

7、全面治理和管理的有机组成部分。法律风险管理活动需融入组织 的战略规划、业务决策和管理流程中。为将法律风险管理融入组织程序和活动，需在组织内确 立适当的角色及其职责。法律风险管理需与合规、安全、质量和内部控制等其他管理体系相融 合。在评估法律风险和选择应对方案时,宜同时咨询法律问题专，家及其他专业人士。b）结构化和全面性：在遵循一般风险管理程序的同时，宜使用全面且连贯的方法来管理法律 风险。c）定制化：组织需根据其内、外部环境的不同，有针对性地开展法律风险管理。其中，外部环境包 括法律环境、监管环境和行业特点，内部环境包括法律实体的性质、组织目标和价值观。组织需详细了解法律的适用性和不遵守法律的

8、影响及后果.确保充分认知和理解新制定或修订的 法律，并评估其影响。组织需尽量降低法律程序在组织内部实施的复杂性和成本，并尽量控制法律风险的负面影响。组 织可积极寻求机会.通过在不利事件发生前或可能发生前采取应对法律风险的行动，从而避免纠纷或诉 讼，或尝试以平衡成本、商业目标、商誉和组织投入的时间的方式达成和解。d）包容性：通过让所有利益相关者参与法律风险的管理，组织可以减少不利事件，包括监管执法 措施。各方人员宜分工负责，以形成法律风险管理的长效机制。e）动态性：组织需监测并适应法律、公共政策以及运营环境的变化，并建立适当的预警指标。D 最佳可用信息：为有效管理法律风险，除内部法律顾问的经验外

9、.在有条件的情况下还可使用 商业情报、商业分析、法律数据库和系统（包括案例管理）、电子文件管理工具和服务等。必要 时，可以使用外部律师事务所、服务提供者或顾问提供的专业意见。g）人和文化因素：考虑到利益相关者可能对法律风险有不同的理解、预期和观点，并且这些观点 的建立和认知可能受情感、社会、文化和政治因素的影响，组织可建立正式和非正式的机制以 确保人和文化因索不会导致负面的法律凤险。组织还需设法鼓励对这类风险进行管理并获得利益和机会。组织中的每个成员都宜知晓其作为或不作为是如何影响法律凤险的。h)持续改进：组织需综合考虑经验教训I、过往交易评审意见、最佳实践、来自内部和外部顾问的专 业建议、内

10、部审计以及适用法律的变更等.并在此基础上采取行动。i)公平：对决策者而言，确立公平原则.可指导法律风险的管理.兼容利益冲突的管理，并在决策 中提供公正、独立的意见。5法律风险管理过程概述法律风险的管理是循环提升的.宜嵌入组织的所有活动和业务。5.25.5介绍了法律风险管理过 程，如图2所示。明确环境和准则(5. 2)IZX个分析选择策略评估现状法律风险评估 (S.3)法律风险应对(5.4)*1定和实Ife法律 风除应对计划以上所有活动 贯穿整个过程3I图2法律风险管理过程详细介绍请见5.5o监督和检直、报告、沟通和协商宜贯穿组织内法律风险管理的全过程。5.2明确环境和准则5.2.1 概述明确法

11、律风险环境信息是应用适当的方法,对组织内外部环境中与法律风险相关的信息进行收集、 分析、整理、归纳的一系列过程。通过明确法律风险环境信息，组织可明确其法律风险管理目标，确定与 组织相关的内部和外部参数,并设定法律风险管理的范围和有关风险准则。5.2.2 法律风险外部环境信息法律风险的外部环境信息是指处于组织外部但与法律风险管理相关的因素，主要包括：一相关的本地和国际法律及其变化；一支持法律风险管理的外部服务提供者和顾问，如律师事务所、外部审计师、管理咨询机构以及 信息管理和分析服务的提供者；一外部利益相关者，如相关的企业、社会组织、监管机构、地方政府、公众、利益团体、新闻媒体等;一第三方的任何

12、作为或不作为，例如第三方的欺诈和欺骗行为；适用的国际协议和谅解备忘录；一与组织相关的市场条件；-第三方诉讼或索赔；-涉及产品/服务的提供、运输、交付所在国的法律。审查和了解在多个司法管辖区运营的组织的法律风险外部环境时，可考虑不同司法管辖区之间的 环境和文化差异。国家法律的域外适用，即特定情况下适用哪个司法管辖区的法律（即冲突法和法律的 相互承认），以及相关管辖权的识别可能也需要加以考虑。5.2.3 法律风险内部环境信息法律风险的内部环境信息是指组织内部与法律风险及其管理相关的各种信息，主要包括：-组织的战略目标和治理结构；-组织的业务模式；一组织的主要业务及管理流程/活动、部门职能分工等相关

13、信息；组织在法律风险管理方面的使命、愿景、价值理念；组织法律风险管理工作的目标、职责、相关制度和资源配置情况；-组织法律事务工作及法律风险管理现状；一利益相关者的法律遵从情况和激励约束方式；组织签订的重大合同及其管理情况；一组织发生的重大法律纠纷案件或法律风险事件的情况，以及相关的法律规范库和法律风险库；组织的财务管理情况；-组织知识产权管理情况；-组织法律风险管理的信息化水平；-与法律风险及其管理相关的其他信息。5.2.4 确定法律风险准则法律风险准则是衡量法律风险重要程度所依据的标准，需体现组织对法律风险管理的目标、价值 观、资源、偏好和承受度。法律风险准则宜在法律风险管理工作开始实施前制

14、定，并根据实际情况进行 相应调整。GB/T 279142023法律风险的准则：-是组织风险准则的一个子项；一是识别、界定和评估某项或某一组法律风险的重要性和可接受水平的措施；一反映与法律风险有关的全面风险管理的目标、价值、资源、偏好和容忍程度；-定期并在任何重大项目开始时进行审查，以更新法律风险管理的准则和程序；-可源自或产生于法律适用、合同义务或责任；一是动态的，且一旦界定，属于法律风险管理的职能；-与组织管理法律风险和/或政策的整体方法相匹配,组织宜根据实际情况制定和调整法律风险 准则。在确定法律风险的准则时,组织需考虑的因素包括：-组织的目标和优先事项；一组织治理,包括组织内法律风险管理

15、的权力层级以及责任、角色和职责的分配；-法律风险管理的政策、议定书、框架、程序和方法的现状；一为确定法律风险水平等级而适用的原则；-本组织法律风险管理的范围、目标、对象以及法律风险的分类；-法律风险事件发生的可能性、影响程度以及法律风险等级的度量方法；-法律风险等级的划分标准；一利益相关者对法律风险的接受程度或风险水平的容忍度。下列情况可能需要适用法律风险的准则：一法律要求组织承担、遵循或批准的事项；一法律要求组织采纳的与政策或合同有关的事项，或需要组织依法作出决定；一与机构责任和合规相关的实质问题,也括政府调查、违法行为的指控、可能牵连组织的犯罪行 为、重大不合规行为、引发数据保护和隐私问题

16、的数据丢失、吹哨人投诉、导致声誉损失和其他 诉讼的事项；一关于信息披露、意外事件、违法和任何其他情况；一“非正常业务”的诉讼与和解，如其所涉金额或呈现的问题涉及上述一项或多项其他因素。法律风险准则的定义是过程驱动的，要求对法律风险进行分类和量度，以便对其进行量化，并确保 使用适当的风险应对方案。要获得适当的反馈,需要管理层和整个组织内部对法律风险的准则达成一致。过于狭窄的法律风 险准则可能会引发意料之外的后果，即将法律风险的持有人与更广泛的经营风险环境分离。这可能产 生筒仓效应，即将法律风险管理与风险管理的其他元素隔离。与组织所采用的全面风险准则不能完全结合的过于限制性的法律风险准则，可能会产

17、生非预期的 后果.即对法律风险问题提供的处理方法过于狭隘，负责法律职能的人员只有在危机升级时才会介入而 不是在早期阶段介入，而早期介入可能会降低法律风险，且更有能力为法律风险提供应对方案。5.3法律风险评估5.3.1 概述法律风险评估是法律风险识别、法律风险分析和法律风险评价的整体过程。5.3.2 法律风险识别5.3.2.1 概述识别法律风险的目的是发现和描述能够帮助或阻止组织实现其目标的法律风险。为全面了解法律风险,组织宜确定法律风险的来源、影响范围、事件（包括环境变化）、原因及其潜在后果。通过法律风险识别，全面、系统、准确地描述组织各种法律风险的特征，以便明确下一步法律风险分 析的目标和范

18、围。在识别法律风险时，需要了解最新的相关信息，如相关背景信息和事实（例如适用法 律或市场惯例的变化底除了识别可能发生的法律风险事件外，还要考虑其可能的原因和可能导致的后 果，包括所有重要的原因和后果。不论法律风险事件的风险源是否在组织的控制之下，或其原因是否已 知，都要对其进行识别。组织可选择适合于其目标、能力及其所处环境的法律风险识别工具和技术,参见GB/T 27921-2023 第4章。5.3.2.2对法律风险识别有用的信息来源为保证法律风险识别的全面性、准确性和系统性，组织要根据其规模、复杂性、结构和运营的方式等 情况来确定法律风险识别的维度，这些维度包括但不限于以下方面：根据组织的目标

19、、工作重点及管理层关注的事项进行识别，通过对上述相关事项的梳理，发现 组织重大决策、重大事项、重点工作中可能存在的法律风险；一根据组织治理、管理、经营、生产等活动识别，即通过对公司治理、集团管控、研发、生产、采购、 营销、投资、人力、财务、知识产权、数据、信息系统等活动的梳理,发现每一项治理、生产、经营、 管理工作可能存在的法律风险；-根据组织机构设置识别，即通过对各业务管理职能部门/岗位的业务管理范围和工作职责的梳 理，发现各机构内可能存在的法律风险；一根据利益相关者识别，即通过股东、董事、监事、高级管理人员、一般员工、顾客、供应商、债权 人、社区、政府等利益相关者的梳理，发现与每一利益相关

20、者相关的法律风险；根据引发法律风险的原因识别，即通过对法律环境、违规、违约、侵权、怠于行使权利、行为不当 等引发法律风险原因的识别，发现组织存在的法律风险；根据法律风险事件发生后承担的责任梳理，即通过对刑事、行政、民事等法律责任的梳理，发现 不同责任下组织存在的法律风险；-根据法律领域识别，即通过对不同的法律领域（如合同、知识产权、招投标、劳动用工、税务、诉 讼仲裁等）的梳理,发现不同领域内存在的法律风险；根据法律、法规识别，即通过对与组织相关的法律、法规的梳理，发现不同法律、法规中存在的 法律风险；根据以往发生的案例识别，即通过对本组织或本行业发生的案例的梳理，发现组织存在的法律 风险。组织

21、可以根据自身的不同需要，选择以上不同的维度或不同维度的组合，进行法律风险识别。附录A给出了从“引发法律风险的原因”和“组织主要经营管理活动两个角度进行法律风险识别 的示例。附录B给出了法律风险清单的示例。5.3.3 法律风险分析5.3.3.1 概述法律风险分析是指对识别出的法律风险进行定性或定量分析。分析的结果为法律风险评估和应对 提供输入信息。法律风险分析要考虑导致法律风险事件的原因、法律风险事件发生的可能性及其后果、 影响后果和可能性的因素等。分析法律风险事件发生的可能性和影响程度，可以单独使用或组合使用历史数据模拟、商业分析、 人工智能和建模以及专家意见，请参阅GB/T 27921-20

22、23 了解更多关于风险分析技术的信息。也要考虑模型和专家意见本身的局限性。法律风险与其他风险在一定条件下具有伴生性和相互转化性,组织要对法律风险与其他风险之间 的关联性进行分析，明确各风险事件之间的影响路径和传递关系，明确法律风险与其他风险之间的组合 效应，从而在风险应对策略上对法律风险和其他相关风险进行统一集中的管理。5.3.3.2 法律风险可能性分析对法律风险发生可能性进行分析时，可考虑但不限于以下因素：-法律、法规的完善程度及有关机构的执法、司法措施及惯例的状况；-改进和遵守现有的法律风险管理框架，包括战略、管理、内部规则和政策；-利益相关者对法律、组织的规则和政策的实际遵守情况；一在一

23、定期间内发生的与法律风险有关的活动的频率和数量；一对以往法律风险事件进行记录、分析和吸取教训；-所涉及工作的频次，即与法律风险相关的工作在一定周期内发生的次数。附录C给出了供参考的法律风险发生可能性分析的示例。5.3.3.3 法律风险影响程度分析对法律风险影响程度进行分析时，可考虑但不限于以下因素：-后果的类型，包括财产类的损失和非财产类的损失等；一后果的严重程度，包括财产损失金额的大小、非财产损失的影响范围、利益相关者的反应等。附录D给出了供参考的法律风险影响程度分析的示例。附录E给出了供参考的在审查合同时需 要关注的关键条款和意见。5.3.4 法律风险评价法律风险评价是指将法律风险分析的结

24、果与组织的法律风险准则相比较，或在各种风险的分析结 果之间进行比较，确定法律风险等级，以帮助组织做出法律风险应对的决策。组织的决策需考虑：-更广泛的组织环境,包括内部和外部利益相关者的观点；-组织的目标、优先事项和风险管理政策；一组织和利益相关者的价值观、道德和伦理；-组织的风险态度和风险容忍度；一组织的风险概况（包括组织在法律风险管理方面的成熟度及其在商业活动中的地位）。在可能和适当的情况下，可采取以下步骤进行法律风险评价：一在法律风险分析的基础上,对法律风险进行不同维度的排序,包括法律风险事件发生可能性的 高低、影响程度的大小以及风险水平的高低，以明确各法律风险对组织的影响程度；一在法律风

25、险水平排序的基础上，对照组织法律风险准则，可以对法律风险进行分级，具体等级 划分的层次可以根据组织管理的需要设定；一在法律风险排序和分级的基础上，组织可以根据其管理需要，进一步确定需要重点关注和优先 应对的法律风险。5.4 法律风险应对5.4.1 概述法律风险应对是指组织针对法律风险或法律风险事件所采取的相应措施，将法律风险控制在企业 可承受范围内。风险评估是制定风险应对计划的先决条件，并使组织能够就法律风险应对方案作出明智的决定。组织评估其法律风险时，要证明该等风险得到恰当管理，否则组织可能会面临不利的诉讼和 损失。法律风险应对包括选择法律风险应对策略、评估法律风险应对现状、制定和实施法律风

26、险应对计划 三个环节。风险应对策略宜考虑一系列应对方案，其中可能包括法律补救措施，也包括财务、运营和声 誉补救措施。5.4.2 选择法律风险应对策略法律风险应对策略包括规避风险、降低风险、转移风险、接受风险和其他策略等，可将其单独或组合 使用。在选择适当的法律风险应对方案时,宜考虑以下因素：-组织的战略目标、核心价值观和社会责任等；一组织对法律风险管理的目标、价值观、资源、偏好和承受度等；一法律风险应对策略的实施成本与预期收益；一利益相关者的诉求和价值观、对法律风险的认知和承受度以及对某些法律风险应对策略的 偏好；-管理风险所需资源的可获得性和分配情况；法律允许的法律风险可转让、转移或投保的范

27、围；-组织内风险意识和成熟度水平。关键风险指标（KRl）为特定风险应对方案能否有效管理法律风险提供一定指导。为选择有效的 KRIS,组织可识别由其操作过程生成的潜在数据。KRI可按单个指标（例如合同价值）的形式进行报 告,但它们与相关数据结合时,通常可以提供更优的信息。以下是部分KRl组合的示例：一合同责任与合同价值：可按合同类型、合同相对方、第三方等维度分类，可分析合同责任与价 值，以评估组织为赢得特定业务领域所承担的风险；一未签合同事实履行情况：通过分析书面合同签署量与实际交易量情况，可分析组织是否在未签 署有约束力的书面合同的情况下开展交易；一法律合规培训：如通过查看分析销售人员的产品销

28、售与合规培训登记情况，可分析组织针对客 户注意义务可能发生的行为风险。如果组织的销售团队没有完成他们的合规培训I，或者经常 很迟才完成，他们可能没有认识到法律监管合规方面的最新问题,并因此导致其所在组织暴露 在不断增加的法律风险中。5.4.3 评估法律风险应对现状组织选择法律风险的应对方案时，要对组织的法律风险应对现状予以评估，以了解目前的法律风险 应对存在哪些不足和缺陷，为制定法律风险应对计划提供支撑。评估法律风险应对现状至少要考虑以下几方面的因素：一资源配置，即组织内部的相关机构设置、人员、设备和经费配备能否满足法律风险应对需要；-职责权限，即是否明确与风险应对相关的职责和权限；一过程监控

29、，即是否要求对持续性业务管理活动进行定期或不定期的监督和控制、证据资料保 留、信息沟通和预警；一奖惩机制，即对相关人员在法律风险应对工作中的绩效是否设立了奖惩机制；一执行者能力要求，即对与法律风险应对相关的内部执行者是否有明确的资质、能力要求；-部门内法律审查，即是否要求业务部门内部对一般性的法律问题进行审查；一专业法律审查，即是否要求法律部门或专业律师对专业性法律问题进行审查或提供相关法律 意见:一法律风险意识，即相关人员对法律风险的存在、可能造成的后果，以及如何开展法律风险应对等方面是否有必要的认识和理解。5.4.4 制定和实施法律风险应对计划在选择和实施适当的法律风险应对方案后，组织需评

30、估其是否能够接受剩余风险（可能不一定是法 律风险，而是其他风险）。如果剩余风险是不可接受的，组织宜调整或制定新的风险应对方案，并在考虑 这种调整及其影响后重新评估风险，直到剩余风险处于可接受的水平。在实施法律风险应对计划时，组织需考虑GB/T 24353-2022的6.5.3和以下内容。一政策和程序：制定或改进与法律风险应对有关的政策和程序。例如，当法律纠纷发生或可能发 生时，明确要求内部利益相关者通知内部或外部律师。一标准操作规范（SOPs）：为内部利益相关者制定标准操作规范。例如，制定内部利益相关者需 向第三方披露业务信息时所适用的标准操作规范，辅以经批准的不披露或保密协议，以避免保 密信

31、息的意外披露。一技术和科技：使用技术应对部分法律风险。例如，使用合同评审模板来确保合同的关键法律风 险在合同签署之前得到识别和处理,或者开发或提升信息安全以避免未经授权访问组织的信 息系统而产生的法律风险。一信息：提升法律风险管理所需信息的可获得性。例如，通知合同缔约方，除非在指定的时间范 围内通知对方,合同将自动续期，或者发布关于法律风险引发的某些事件的风险预警信息。一活动：开展法律风险应对活动。例如，由法律专家进行合同审查和重新起草，或选择合适的争 议解决方法（诉讼、仲裁或调解）、争议解决专家和适当的争议解决策略。一培训和示例讲解：为主要的内部利益相关者提供法律风险管理方面的培训，以提高他

32、们的技能 和法律风险意识。例如，培训课程概括了相关法律、此类法律对个人在工作中角色的影响，以 及违规对个人的后果。法律风险管理是一个动态、循环往复的过程,所使用的技术需要根据内部和外部法律风险环境的变 化进行评估和调整，以确保其有效性。组织需跟踪和监控法律风险应对的效果和外部环境，评估不断变化的风险，并在必要时重新制定法 律风险应对方案。法律风险应对措施通常包括以下几种类型：一资源配置类，指设立或调整与法律风险应对相关的机构、人员，补充经费或风险准备金等；一制度、流程类，指制定或完善与法律风险应对相关的制度、流程；一标准、规范类,指针对特定法律风险，编写标准、规范等文件,供相关人员使用；-技术

33、手段类,指利用技术手段规避、降低或转移某些法律风险；一一信息类,指针对某些法律风险事件发布预警信息；-活动类，指开展某些专项活动，规避、降低或转移某些法律风险；一培训类，指对某些关键岗位人员进行法律风险培训，提高其法律风险意识和法律风险管理 技能。在法律风险应对措施确定之后，可制定应对措施的实施计划。实施计划中至少包括以下信息：实施法律风险应对措施的机构、人员安排，明确责任分配和奖惩机制；-应对措施涉及的具体业务及管理活动；一报告和监督、检查的要求；资源需求和配置方案；一实施法律风险应对措施的优先次序和条件；实施时间表。在制定法律风险应对措施后需评估其剩余风险是否可以承受。如果不可承受，宜调整

34、或制定新的 法律风险应对措施,并评估新的措施的效果，直到剩余风险可以承受。实施法律风险应对措施会引起组织风险情况的改变,需要跟踪、监督有关风险应对的效果和组织的 环境信息，并对变化的风险进行评估，必要时重新制定法律风险应对措施。法律风险应对是一个递进的 动态过程，需要根据内外部法律风险环境变化对制定的措施进行评估调整，以确保措施的有效性。5.5 法律风险管理的沟通（内部和外部）、咨询和报告机制5.5.1 概述组织需建立：-GB/T 24353-2022的6.2所述的内部沟通和报告机制，以确保在适当的时间和层级对其法律 风险管理系统的关键内容进行适当的沟通；-将沟通机制和途径与其他风险信息来源关

35、联，以确保组织内部以及与外部利益相关者之间顺 畅沟通。外部沟通和报告需确保维持保密、法律职业特权和关于律师和客户的保密特权（或相关司法管辖区 的同等形式保护措施）的要求。5.5.2 沟通、咨询和学习组织需在法律风险管理过程的各阶段与有关利益相关者进行及时沟通和咨询，以确保这些利益相 关者（包括实施法律风险管理的内部人员）充分理解法律风险及其对组织的影响。有关利益相关者还可 了解其在法律风险管理决策过程中的作用,并能够根据相关信息做出适当决策。由于组织的各级人员以及外部利益相关者具有不同的价值观、观点和关注点，他们对法律风险管理 的偏好和期望也可能不同。这对法律风险管理的决策和实施具有重要的影响

36、。因此,在决策过程和风 险应对方案实施过程中，与有关利益相关者的沟通和协商可包括建立健全监测和审查流程,并保存风险 管理实践的记录（详见5.5.3）o为促进有效的沟通和协商，组织宜致力于向每个负有管理法律风险的责 任、职责和权力的人员提供必要的信息。管理职能机构还需与有关利益相关者沟通，包括监管机构、立 法和司法机构以及其他外部利益相关者。为在整个组织内建立风险管理文化,学习活动可：在法律风险管理的所有阶段进行；提高对法律风险的认识和理解；一用于更清晰地理解关于治理和领导、授权、目的和目标、利益相关者的参与、角色和职责，以及 政策、过程和程序的一致性。5.5.3 监督和检查对法律风险管理的监督

37、和检查包括以下内容：-随时了解环境的变化，例如引入新的法律和执行这些法律，以便调整组织的相应战略；监督法律风险引发的事件,分析其频率和模式，并从中得出结论（包括与其他风险的潜在相关 性和对其他风险的放大效应）；一考虑与主要利益相关者建立预警系统，以识别可能出现的重大法律风险的预警信号；监督和检查的具体内容包括： 风险应对的结果， 环境的变化， 制定综合风险应对计划， 指定责任和义务方；-与风险应对计划进展进行比较,定期及适时地审查及更新风险应对计划，以确保其在法律风险管理方面的充分性、适宜性及有效性。5.5.4记录和报告组织宜考虑与记录、保存和报告有关的下列事项：一法律职业特权,关于律师和客户

38、的保密特权和工作成果（或相关国家法律下的同等概念和 术语）；根据数据保护法制定的销毁、保留和隐私政策；-利益相关者为改进决策和内部或外部审计目的而获得和获取文件；一是否需要妥善保存相关文件，并通过一系列证明性程序来证明相关文件、资料或证据并无 更改；一与机密性文件有关的保密和安全措施，例如对此类文件设置有限和需授权的访问程序。组织需报告在实施法律风险管理和遵守措施方面的变化情况。6法律风险管理的实施6.1 概述法律风险管理需嵌入组织的活动和运营中，确保其结果是组织决策过程的一部分。法律风险管理 的实施宜与组织的战略、组织内部的风险管理框架、目标和管理制度相结合,包括法律风险管理的方针、 组织职

39、能、资源配置、信息沟通机制等。6.2 法律风险管理方针法律风险管理方针需明确下列事项：-组织法律风险管理理念；-最高管理者对法律风险管理的承诺；-组织法律风险管理的目标；一一组织的法律风险偏好；一组织法律风险管理目标与组织的目标及其他风险管理目标的关系；-组织法律风险管理目标的层次分解和细化；-持续改进的承诺。6.3 法律风险管理的组织机构及职能组织可设立专门的法律风险管理机构或者岗位,并明确其职责和内容，具体包括但不限于：一明确本组织法律风险管理机构或岗位的人员组成，根据组织内部条件和管理需求，必要时可设 置总法律顾问，从总体上负责组织的法律风险管理工作；一明确内外部法律风险管理资源的分工和

40、合作方式；-明确法律风险管理体系的制定、实施和维护人员的职责；一明确执行法律风险应对措施、维护法律风险管理体系和报告相关风险信息人员的职责；-明确管理人员及其他员工在其本职工作中有关法律风险管理方面的职责；-建立批准、授权制度；-建立考核方法、奖惩制度。6.4 法律风险管理的制度流程组织可根据其法律风险管理的目标，建立完善适当的配套制度和行为规范，确定法律风险管理的工作程序，同时结合组织内部控制管理工作,将法律风险纳入到流程控制中，确保法律风险管理工作切实 融入组织的日常管理工作中，确保法律风险管理在组织内部的统一理解和执行。具体要考虑：-本组织法律风险管理工作的范围和内容；一法律风险管理制度

41、、规范的制定要考虑组织的制度体系，特别是风险管理制度，确保一致性；-形成对制度规范的定期更新，确保时效性。6.5 法律风险管理的资源配置组织需根据法律风险管理计划，制定可行的方法，为法律风险管理分配适当的资源。具体要考虑：-法律风险管理相关人员的技术、经验和能力要求；一法律风险管理过程每一阶段所需要的资金及其他资源；一法律风险管理目标、成本和收益的关系。此外,组织可根据内部条件和管理需求，通过建立法律风险管理信息系统，完成法律风险环境信息 的收集，法律风险识别、分析、评价，应对,监督与检查，沟通和记录等各项工作，实现法律风险信息的在 线查询、检索和维护，支持法律风险管理的动态管理。6.6 法律

42、风险管理意识组织宜考虑下列因素，促进法律风险管理意识的提高：-最高管理层对法律风险管理的态度、管理理念和承诺；提高重要流程及核心岗位员工法律风险管理的意识和能力；一系统的法律风险管理培训方案，包括相关专业的专家提供的研习会、课程和培训；一为本组织成员以及多学科工作组的意见建立沟通渠道，以改善法律风险管理；-加强对内部违法违规行为的惩治力度，形成良好的法律风险管理文化.21附录 A（资料性）法律风险识别方法示例法律风险管理需要一种结构化的方法来评估组织面临的法律风险。通过采用适当的风险管理技 术，组织可主动识别法律风险，以减少、消除风险，或重新配置其流程以最大程度降低法律风险敞口。法律风险识别矩

43、阵（LRlM）是按照业务领域/单位/活动将识别和梳理的法律风险归入不同类别的 一种方法。通过考虑各种相关的业务领域/单位/活动，LRIM将各种类型的法律风险与组织运营联系 起来。在一个LRlM中，所有已识别的法律风险事件都被归入不同的类型中。这些不同类型的法律风 险可能发生在不同的业务领域，有不同的原因和特点。LRlM有助于系统地理解组织的所有法律风险。 表A.1提供了一个从引发法律风险的原因”和“组织主要经营管理活动”两个角度进行法律风险识别 的示例,该示例将法律风险分为六种不同类型，并对各类型进行了简要说明。为使法律风险的分类有用，重要的是要认识到每个类别可能不是相互排斥的，单项商业活动可

44、能产 生属于一个或多个类别的法律风险。表A.1法律风险识别方法示例参数类型1类型2类型3类型4类型5类型6法律风险类型法律环境违规行为违约行为侵权行为怠于行使权利不当行为活动1活动2活动3关键提示类型1：如组织在其运营的环境、市场或区域中面临重大法律变更，或者组织决定进入新的环境、市场或区域且组 织对该环境、市场或区域的法律不熟悉或者当地法律在某些方面可能存在缺失，则可能会导致法律风险环境的不可 预测性。类型2：违规行为是指组织违反适用法律。例如，组织在履行其对监管者的财务报告义务时，未做出适当的披露.类型3：违约行为是指组织或合同相对方不履行或不当履行合同义务并引发法律后果，如损害赔偿请求权

45、或守约 方因违约而终止合同的权利。例如，组织未能根据其合同义务按时交付货物.类型4：组织侵犯、违反或触犯第三方的合法权利或预期，则可能构成侵权行为。例如，未经许可使用第三方的商 标会侵犯第三方的知识产权。侵权行为可能产生于合同一方的合同义务，也可能在没有合同义务的情况下发生.类型5：如行为未达到法律规定的保护他人不受不合理损害的行为标准，则可能发生怠于行使权利的情况。组织 可能会疏忽行事，也可能成为他人疏忽的受害者。此外，组织在行使自身的权利、义务和责任时可能会因疏忽大 意，造成对组织的损害。例如，如果组织没有及时通知它的保险公司它所遭受的损失，这种行使权利的疏忽可能导致 损失无法被组织与保险

46、公司的合同覆盖。类型6：当组织就一个法律风险问题有若干可采取的行动时，就可能出现不当选择。所有这些行动都可能是合法 的，但每一项行动都有不同的成本、影响和后果，即一个或多个替代选项在决定做出时被放弃。例如，公司可以选择 尝试通过诉讼或仲裁解决与贸易伙伴的争议。任何一种方式诉讼或仲裁，都可以解决争议，但每种方式在维护 当事人之间的商业关系、在行业和社区中的声誉、投人的时间和产生的成本方面都有不同的影响。附录B（资料性）法律风险清单示例法律风险清单是对可能发生的法律风险事件的汇总,包括相应的法律、可能的结果和影响程度。它 帮助使用者识别与相关法律有关的法律风险。具体示例见表B.1。表B.1法律风险清单示例经营法律风识别的法律风险事件相关适法律既往内部法律外部法律建议的方案/活动险类型（日期、发生情况）用法律后果案例团队的意见顾问的意见行动计划组织编制法律风险清单宜在其内部法律部门和/或外部法律顾问的指导和监督下开展，以确保法律 风险清单在其司法管辖区仍受到相关法律职业特权的保护。表B.2给出了具体示例。表B.2获取的法律意