律師辦理民營企業法律風險識別與控制基礎指引

1範圍

1.1本指引提供了律師事務所以及律師實施民營企業法律風險識別與控制的通用指南。

1.2本指引適用於開展民營企業法律風險識別與控制活動的各個環節。

1.3本指引不作為行業性專用標準使用，律師事務所以及律師應根據民營企業行業特點，結合被服務企業具體情況和實際需要應用本指引。

1.4律師事務所可以根據自身管理基礎、資源以及管理需求，對本指引提供的民營企業法律風險識別與控制過程和相關的配套保障措施進行改進或者簡化，以律師事務所執行民營企業法律風險識別與控制的資源投入適度，但是不應改變法律風險識別與控制的目標。

2 規範性文件引用

2.1下列文件中的條款通過本指引的引用而成為本指引的條款。凡是注日期的引用文件，其隨後所有的修改單（不包括勘誤的內容）或修訂版均不適用於本指引，然而鼓勵根據本指引達成協議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用於本指引。GB/T 23694-2009風險管理 術語（ISO/IEC Guide73：2002，IDT） 。

2.2本指引的附錄A、附錄B、附錄C、附錄D為《企業法律風險管理指南》GB/T　27914-2011的附錄A、附錄B、附錄C、附錄D等資料性附錄。

3 術語和定義

3.1律師企業法律風險識別與控制是指律師事務所接受委託或者指派，對特定企業基準日企業內部控制設計合法性與運行的合規性進行的調查、評估並作出整體評價的過程。

3.2企業法律風險，是指基於法律規定、監管要求或合同約定，由於企業外部環境及其變化，或企業及其利益相關者的作為或不作為，對企業目標產生的影響。

3.3 內部控制的合法性是指被服務企業建立的內部控制制度與法律法規的符合性程度以及實現控制目標可以獲得法律提供合理保障的程度，包括內部控制設計的合法性和內部控制運行的合法性。

3.4內部控制的設計合法性是指所設計的內部控制單獨或者連同其他內部控制能夠合理保證不違反法律法規的禁止性規定，同時保證內部控制各項制度在企業內能夠實現。

3.5內部控制運行合規性是指內部控制能夠在各個不同的時點按照既定設計得以一貫執行，從而合理保證實現內部控制的合法性目標。控制制度運行合規性的外在判斷標準主要體現為內部控制設計的合理性和適當性。

4 民營企業法律風險識別與控制原則

為了幫助民營企業有效管理法律風險，支持企業的決策和經營管理活動，律師進行民營企業法律風險識別與控制時可遵循以下原則：

（1）促進企業戰略目標實現的原則。民營企業法律風險識別與控制目的在於促進企業戰略目標的實現。律師在民營企業法律風險識別與控制活動中應充分考慮法律風險與企業戰略目標之間的相互關係、影響等因素。

（2）審慎調查的原則。由於法律風險的特殊性，對於民營企業經營管理的調查，應堅持審慎調查的原則。要在尊重法律、保持誠信前提下，開展民營企業法律風險識別與控制活動。法律風險識別與控制的略和方法不應違反法律的強制性和義務性規定。

（3）與企業整體管理水平相適應的原則。民營企業法律風險識別與控制是對特定企業依法管理水平的評價，與企業戰略管理、流程管理、績效管理、信息管理等密切相關。法律風險識別與控制策略、方法和程序與被服務企業的發展階段相適應，才能取得準確的結果。

（4）關注企業經營管理過程的原則。法律風險發生於企業的經營管理活動，法律風險識別與控制不能脫離企業經營管理過程，民營企業法律風險識別與控制必須關注企業經營管理過程。

（5）關注決策過程的原則。企業所有決策都應綜合考慮風險，以便將風險控制在企業可接受的範圍內。法律風險作為企業的重要風險範疇，應納入企業決策過程，作為企業決策應考慮的重要因素。法律風險識別與控制應當關注企業的決策過程是否貫徹法治原則。

（6）關注風險體系管理的原則。民營企業法律風險識別與控制是對企業風險管理體系的評估，應與其他風險的管理綜合檢查，以提高法律風險識別與控制的效果。

（7）全面觀察的原則。法律風險產生於企業經營管理的各個環節，因此民營企業法律風險識別與控制需要關注企業所有員工。其中特別關注包括企業專職的法律管理部門、安全生產管理部門、智慧財產權管理部門、勞動人事管理部門以及相關工作人員。

5 民營企業法律風險識別與控制過程

5.1 概述

民營企業法律風險識別與控制過程由5.2 到 5.5所描述的活動組成，即法治狀況調查、法治風險評估、法治狀況評價、法律風險識別與控制報告、體檢數據運用。

法律風險識別與控制包括法治狀況調查、法律風險評估和法治狀況評價等三個步驟。

法律風險識別與控制過程中，溝通和記錄非常重要，應貫穿於民營企業法律風險識別與控制過程的各項活動中，5.6將對其進行詳細說明。

5.2 企業法治狀況調查

5.2.1概述

法治狀況調查是應用適當的方法，對企業依法管理經營的相關信息進行收集、分析、整理、歸納的一系列過程。

明確法律風險環境信息是民營企業法律風險識別與控制活動得以順利實施的必要基礎。

5.2.2外部法律風險環境信息

外部法律風險環境信息是指與特定行業、企業相關的經濟、文化、法律等各種相關信息。民營企業法律風險識別與控制前，律師應根據行業和企業業務、經營、管理的特點，確認外部法律環境信息，收集企業法治信息，為法律風險評估提供充分的法律根據和信息保障。

外部法律風險環境信息包括但不限於：

行業的業務模式及特點；

國內外與擬被服務企業相關的政治、經濟、文化、技術以及自然環境等；

國內外與擬被服務企業相關的立法、司法、執法和守法情況及其變化；

與擬被服務企業相關的監管體制、機構、政策以及執行等情況；

與擬被服務企業相關的市場競爭情況；

擬被服務企業在產業價值鏈中的定位及與其他主體之間的關係；

企業主要的外部利益相關者及其對法律、合同、道德操守等的遵從情況；

與企業法律風險及管理相關的其他信息。地區間的環境差異是普遍存在的。對於跨區域經營的企業，在進行外部法律風險環境調查時，應特別關注不同地區間可能存在的環境差異。

5.2.3企業法治狀況信息

企業法治狀況信息是企業法律風險及其管理相關的各種信息，包括但不限於：

企業的戰略目標；

企業的使命、願景、價值理念；

企業盈利模式和業務模式；

企業的主要經營管理流程/活動、部門職能分工等相關信息；

企業的目標、職責、相關制度和資源配置情況；

企業法律事務工作現狀，可從方針、組織職能和資源配置、制度和流程內控、溝通和報告、法治文化和技術手段等要素分析；

內部利益相關者的法律遵從情況和激勵約束方式；

擬被服務企業籤訂的重大合同及其管理情況；

擬被服務企業發生的重大法律糾紛案件或法律風險事件的情況，擬被服務企業相關的法律規範庫和法律風險庫；

擬被服務企業智慧財產權管理情況；

與法律風險及其管理相關的其他信息。

以上法治狀況信息的收集範圍和內容，應結合企業的發展狀況、法律風險狀況及企業的管理目標需要進行補充調整。

5.2.4 企業法律風險準則

企業法律風險準則是衡量法律風險重要程度所依據的標準，應體現企業對法律風險的目標、價值觀、資源、偏好和承受度。

律師在民營企業法律風險識別與控制工作開始時，應當首先了解企業法律風險準則。

5.2.5法律風險描述、分類

通過系統分析，對特定行業和擬檢查企業進行法律風險描述，進而對其原因、影響範圍、潛在的後果等進行分析歸納，以生成企業的法律風險清單。

擬被服務民營企業的行業特徵以及法律風險的分類；

法律風險發生可能性、影響程度以及法律風險的度量方法；

法律風險等級的劃分標準；

利益相關者可接受的法律風險或可容許的法律風險等級；

重大法律風險的確定原則。

5.3.2.4形成法律風險清單

在法律風險事件及法律風險名稱確定後，應將這些事件統一列表，並在列表中補充每一風險事件適用的法律法規、風險動因、可能產生的法律後果、相關的案例、法律分析意見及其涉及的部門、經營管理流程等信息，最終形成企業的法律風險清單。

法律風險清單的示例見附錄B。

5.3.2.5法治狀況調查可以採取問卷調查、訪談、座談、現場檢查等方式進行。文件調查調查可以採用紙質調查問卷或者網絡調查問卷實現。

5.3.2.6問卷調查和現場檢查在被調查人和相關內容要有所側重。問卷調查側重法治法律風險類別的檢查，解決企業法律制度落實的有無問題；而現場檢查則側重於企業內部控制制度以及相關制度的執行狀況調查。

5.3 法律風險評估

5.3.1法律風險評估概述

法律風險評估包括風險識別、風險分析和風險評價三個環節。

5.3.2 法律風險識別

5.3.2.1 概述

法律風險的識別，首先是通過調查取得的企業法治狀況信息，結合法律風險清單分析查找企業各業務單元、各項重要經營活動、重要業務流程中存在的法律風險。

法律風險識別的目的是全面、系統和準確地描述企業法律風險的狀況，為下一步的法律風險分析明確對象和範圍。

進行法律風險識別時要掌握相關的和最新的信息，包括適用的背景信息，特別是法律法規的變化信息。除了識別可能發生的法律風險事件外，還要考慮其可能的原因和可能導致的後果，包括所有重要的原因和後果。不論法律風險事件的風險源是否在企業的控制之下，或其原因是否已知，都應對其進行識別。

識別法律風險需要律師和企業所有相關人員的參與。

律師事務所採用的風險識別工具和技術應當適合於其目標、能力及其所處環境。

5.3.2.2構建法律風險識別框架

為保證法律風險識別的全面性、準確性和系統性，律師應構建適合行業和企業特定需求的法律風險識別框架，該框架提供一些方便識別法律風險的角度，這些角度包括但不限於以下方面：

根據企業主要的經營管理活動識別，即通過對企業主要的經營管理活動（如生產活動、市場營銷、物資採購、對外投資、人事管理、財務管理等）的梳理，發現每一項經營管理活動可能存在的法律風險。

根據企業組織機構設置識別，即根據企業各業務管理職能部門/崗位的業務管理範圍和工作職責的梳理，發現各機構內可能存在的法律風險。

根據利益相關者識別，即通過對企業的利益相關者（如股東、客戶、供應商、員工、政府等）的梳理，發現與每一利益相關者相關的法律風險。

根據法律風險源識別，即通過對法律環境、違規、違約、侵權、怠於行使權利、行為不當等梳理，發現企業存在的法律風險。

根據法律風險發生後承擔的責任梳理，即通過對刑事法律風險、行政法律風險、民事法律風險的梳理，發現不同責任下企業存在的法律風險。

根據不同法律領域的識別，即通過對不同的法律領域（如合同、智慧財產權、招投標、勞動用工、稅務、訴訟仲裁等）的梳理，發現不同領域內存在的法律風險。

根據法律法規識別，即通過對與企業相關的法律法規的梳理，發現不同法律法規中存在的法律風險。

根據以往發生的案例識別，即通過對擬被服務企業或本行業發生的案例的梳理，發現企業存在的法律風險。

律師可以根據不同需要，選擇以上不同的角度或組合，構建法律風險識別框架。

附錄A中給出了從引發法律風險原因的分類和企業經營管理活動過程兩個角度構建風險識別框架的示例。

5.3.2.3進行法律風險識別

根據構建的法律風險識別框架，可採用問卷調查、訪談調研、頭腦風暴、德爾菲法、檢查表法等方法進行法律風險識別，並確定分類和命名規則，對每個法律風險設置相應的編號或名稱。

以從引發法律風險源分類和企業經營管理活動過程兩個角度構建的法律風險識別框架為例，此時需要逐一判斷每一經營管理活動中是否可能存在某種法律風險源或法律風險事件，並儘可能地列舉這些事件。同一經營管理活動中同一種類的法律風險事件可歸屬於同一法律風險類別，並據此確定該法律風險的名稱，如XX違法風險、XX侵權風險等（XX為某一經營管理活動的名稱）。

5.3.3 法律風險分析

5.3.3.1 概述

法律風險分析是指對識別出的法律風險進行定性、定量的分析，考慮法律風險源或導致法律風險事件的具體原因、法律風險事件的發生的可能性及其後果，影響後果和可能性的因素，為法律風險的評價提供支持。

根據法律風險分析的目的、可獲得的信息數據和資源，法律風險分析可以有不同的詳細程度，可以是定性的、半定量的、定量的分析，也可以是這些分析的組合。在實踐中經常首先採用定性分析以一般了解法律風險等級和揭示主要法律風險。在可能和適當的時候，應當進一步進行更具體和定量的法律風險分析。

對於法律風險事件發生的可能性和影響程度的分析應綜合採用建模和專家意見以及經驗推導來確定，要注意與企業內外部相關利益者的溝通，同時要考慮模型和專家意見本身的局限性。

5.3.3.2 法律風險可能性分析

對法律風險發生可能性進行分析時，可以考慮但不限於以下因素：

外部監管執行力度，包括企業外部相關政策、法律法規的完善程度，以及相關監管部門的執行力度等；

內控制度的完善與執行，包括企業內部用以控制相關法律風險的規章、制度的完善程度及執行力度等；

相關人員法律素質，包括企業內部相關人員對相關政策、法律法規、企業規章制度以及法律風險控制技巧的了解、掌握程度等；

利益相關者的綜合狀況，包括利益相關者的綜合資質、履約能力、過往記錄、法律風險偏好的表達等；

所涉及工作的頻次，指與法律風險相關的工作在一定周期內發生的次數。對於不同類型的法律風險來說，影響其發生可能性的因素會有所不同。各種因素對可能性影響程度的權重也是不同的，並且各因素之間的權重比會因法律風險類型的不同而有所差異。

附錄C中給出了法律風險可能性分析的示例。

5.3.3.2 法律風險影響程度分析

對法律風險影響程度進行分析時，可以考慮但不限於以下因素：

後果的類型，包括財產類的損失和非財產類的損失等；

後果的嚴重程度，包括財產損失金額的大小、非財產損失的影響範圍、利益相關者的反應等。

附錄D中給出了法律風險影響程度分析的示例。

法律風險與其他風險在一定條件下具有伴生性和相互轉化性。法律風險識別與控制時，律師要對法律風法律風險與其它風險之間的關聯性進行分析，明確各風險事件之間的影響路徑和傳遞關係，明確法律風險與其它風險之間的組合效應，從而在制定風險控制策略時，對法律風險和其他相關風險進行統一考量和集中管理。

5.3.3.3法律風險分析可以採用集體討論、座談會等方式進行。集體討論、座談會應當邀請被服務企業相關者參加。

5.3.4法律風險評價

法律風險評價是指將法律風險分析的結果與全面依法治企目標相比較，或在各種風險的分析結果之間進行比較，確定法律風險等級，以準確判斷企業的法律風險。

在法律風險分析的基礎上，綜合考慮民營企業法律風險識別與控制的目標，對法律風險進行不同維度的排序，包括法律風險事件發生可能性的高低、影響程度的大小以及風險水平的高低。

在法律風險水平排序的基礎上，對照法律風險清單，可以對法律風險進行分級，具體等級劃分的層次可以根據行業的管理需要設定。

5.3.5法律風險評價也能夠當邀請被服務企業管理人員以及關鍵崗位的技術人員參加，必要時邀請具備法定資格的專業管理人員和技術人員參加。

5.4 民營企業「法律風險識別與控制 」報告

5.4.1 概述

民營企業法律風險識別與控制報告是律師實施企業法治狀況調查、法律風險識別和法律風險評估後，將企業法律風險識別與控制的過程以及最終評價向被服務企業反饋的過程和結果。

民營企業法律風險識別與控制報告也包括將法律風險識別與控制按照體檢機構、區域、行業等不同範圍進行加工整理並分享的過程及成果。

民營企業法律風險識別與控制報告實質內容應當包括現狀分析和應對兩個方面。

5.4.2民營企業法制現狀分析

5.4.2.1調查過程

5.4.2.2評估過程

5.4.2.3調查結果和評估結論描述

5.4.2.4法制體檢結論

5.4.3民營企業法治風險應對

5.4.3.1法治風險應對是指針對民營企業法律風險或多發的法律風險事件採取相應措施。

5.4.3.2法治風險應對包括選擇法治風險應對策略、評估法治風險應對現狀、制定和實施法治風險應對計劃三個部分。

5.4.3.3 選擇法治風險應對策略

法治風險應對策略包括規避風險、控制風險、預防風險和其他策略等。

選擇法治風險應對策略應該至少考慮以下幾方面的因素：

戰略目標、核心價值觀和社會責任等；

法治風險應對策略的實施成本與預期收益；

選擇幾種應對策略，將其單獨或組合使用；

利益相關者的訴求和價值觀、對法律風險的認知和承受度以及對某些法治風險應對策略的偏好。

5.4.3 .4評估法律風險應對

如果某行業、企業對某些法律風險選取了必要的應對策略，則應該對這些法律風險的應對現狀予以進一步的分析、評估，以了解目前的法治風險應對存在哪些不足和缺陷，為制定法治風險應對計劃提供支撐。

評估法治風險應對現狀至少應考慮以下幾方面的因素：

資源配置，即企業內部的相關機構設置能否滿足法治風險應對需要、用於法治風險應對的人員配備是否充足以及用於法律風險控制的經費是否充足等；

職責權限，即是否明確與風險應對相關的職責和權限；

過程監控，即是否要求對持續性業務/管理活動進行定期或不定期的監督和控制/證據資料保留/信息溝通、告警；

獎懲機制，即對相關工作、管理人員在法治風險應對工作中的表現、成績是否設立了獎懲機制等；

執行者能力要求，即企業對與法治風險應對相關的內部執行者（公司內部領導、員工）是否有明確的資質、能力要求（業務資質、業務技能、法律素質等）；

部門內法律審查，即是否要求業務部門內部對一般性的法律問題進行審查（一般性法律問題指從事某項業務必須掌握的基礎性、常識性的法律問題，各部門人員可以通過培訓掌握相關內容）；

專業法律審查，即是否要求法律部門或專業律師對專業性法律問題進行審查或提供相關法律意見；

風險意識，即工作、管理人員對風險的存在、風險將會造成的後果，以及如何開展風險應對等方面是否有必要的認識和理解；

外部法律風險環境，即有關法律環境是否完善、穩定，社會守法狀況，執法力度和司法方式等。

5.4.4 提出法治風險應當措施建議

應對措施通常包括以下幾種類型：

資源配置類，指設立或調整與法治風險應對相關的機構、人員，補充經費或風險準備金等；

制度、流程類，指制定或完善與法治風險應對相關的制度、流程；

標準、指引類，指針對特定法律風險，編撰指引、標準類文件，供業務人員使用；

技術手段類，指利用技術手段規避、控制或轉移某些法律風險；

信息類，指針對某些法律風險事件發布告警或預警信息；

活動類，指開展某些專項活動，規避、控制或轉移某些法律風險；

培訓類，指對某些關鍵崗位人員進行法律風險培訓，提高其法律風險意識和民營企業法律風險控制技能。

5.4.5應對措施的實施建議

實施建議中至少應該包括以下信息：

實施法治風險應對措施的機構、人員安排，責任和獎懲；

資源需求和配置方案；

應對措施涉及的具體業務及管理活動；

實施法治風險應對措施的優先次序和條件；

實施時間表；

報告和監督、檢查的要求。

5.5 民營企業法律風險識別與控制督導

律師事務所及時監督和檢查民營企業法律風險識別與控制流程的運行狀況，以確保法律風險識別與控制計劃的有效執行，並根據發現的問題指導律師對法律風險識別與控制工作進行持續改進。

監督和檢查環節使法律風險識別與控制流程形成可持續運轉的閉環，是民營企業法律風險識別與控制工作能夠有效完成的不可缺少的組成部分。

民營企業法律風險識別與控制監督和檢查的內容應包括但不限於以下內容：

被服務企業內外部法律環境的確認，如法律法規、相關政策的確認，被服務企業自身戰略確認等；

監測調查、分析、評估的過程，及時總結經驗教訓；

對照法律風險識別與控制工作計劃，檢查工作進度與計劃的偏差，保證有效執行；

實施民營企業法律風險識別與控制績效評估。

另外，相關機構可根據自身資源狀況，選擇建立行業重大法律風險預警制度，即根據法律風險識別與控制信息，及時發布法律風險預警，並制定相應的應急預案。應急預案要明確應急處理的相關組織機構、處理流程、溝通機制、應急措施和資源的配置保障，確保對突發法律風險事件的快速反應，有效控制突發法律風險事件對企業造成的影響。

5.6 溝通和記錄

5.6.1 溝通

律師在民營企業法律風險識別與控制過程的每個階段都應當與企業內部利益相關者有效溝通，以保證相關人員和利益相關者能夠充分了解企業面臨的法律風險及其給企業帶來的影響。

由於企業各層級人員及相關利益相關者的價值觀、訴求、假設、認知和關注點不同，造成其法律風險偏好對民營企業法律風險識別與控制有重要影響。因此，民營企業法律風險識別與控制執行中，應當與內外部利益相關者進行充分溝通，並保存相關記錄。

為保障這種溝通能夠順利進行，律師應當與企業相關人員充分溝通，獲取履行職責所需的相關記錄或檔案材料。

為執行民營企業法律風險識別與控制，律師應當與司法局、律師協會、相關的企業監管機構建立順暢的溝通渠道。

5.6.2記錄

在民營企業法律風險識別與控制過程中，記錄是實施和改進法律風險識別與控制過程的必要工作。建立記錄應當考慮以下方面：

出於重複使用信息的需要；

進一步分析法律風險的需要；

民營企業法律風險識別與控制活動的可追溯要求；

溝通的需要；

法律法規和執業規範上對記錄的需要；

律師本身持續學習的需要；

建立和維護記錄所需的成本和工作量；

獲取信息的方法、讀取信息的容易程度和儲存媒介；

記錄保留期限管理。

5.6.3 工作底稿

律師應當編制民營企業法律風險識別與控制工作底稿。

5.6.4法律風險識別與控制的數據處理與運用

5.6.4.1數據處理包括統計與分析兩個方面工作。

5.6.4.2法治風險統計和分析的目標是總結法治風險特點和原因，提出針對性的法治風險預防措施。為了實現這一目標，做好法治風險統計和分析工作應遵循以下原則：

（1）建立健全責任明確、運轉有序的工作機制。確定法治風險統計工作人員，並保持統計人員的相對穩定，保持統計工作的連續性，確保統計信息的可靠性。

（2）明確統計工作要求。及時填報法治風險報表，確保統計工作及時準確。對各類安全法治風險的月報、年報、快報、分析報告等規定上報時間、格式、填報要求、上報方式等具體要求。

（3）做好相關資料的搜集。資料搜集是指對大量的原始材料進行技術分組，是整個法治風險統計工作的前提和基礎。法治風險統計是一項經常性的統計工作。統計調查一般採用報告法，具體按照國家或者指定的報告制度，採用報表等方式逐級上報。

（4）加強統計資料的整理。資料整理又稱統計匯報，是將搜集的法治風險資料進行審核、匯總，並根據法治風險統計的要求計算有關數值。匯總就是按一定的統計標準，將分組研究的對象劃分為性質相同的組。

（5）逐步建立健全法治風險資料庫。建立法治風險資料庫有利於在相互孤立的統計信息之間建立起有機的聯繫，實現法治風險信息的有效集成和信息共享，也便於法治風險檢索、查詢及分析應用，提高效率。

（6）強化分析，切實發揮法治風險統計工作的導向作用。將匯總整理的資料及有關數值，填入統計表或繪製統計圖，應用相對指標和覺得指標使大量的零星資料系統化、條理化、科學化，是統計工作的結果。

5.6.4.3法治風險統計結果可以用統計指標、統計表、統計圖等形式表達。但不能僅僅停留在報表裡、數據上，要能透過數據，發現問題。

5.6.4.4要建立分析制度，定期召開分析會，把法治風險情況和企業安全管理情況結合起來，多方位、多角度、多領域地深入分析本企業工作的特點、規律和存在的問題，找出依法治企的難點和薄弱環節，提出針對性的措施，充分發揮法律風險識別與控制工作的基礎導向作用。

6 民營企業法律風險識別與控制的實施

6.1 概述

民營企業法律風險識別與控制流程的組織實施需要一個體系，包括風險管理的方針、組織職能、資源配置、信息溝通傳遞機制等相關基礎配套設施。

主要包括：

民營企業法律風險識別與控制方針；

與民營企業法律風險識別與控制目標匹配的組織職能和資源保障；

相關的制度和內部流程控制；

與被服務企業內外部利益相關者的溝通機制；

民營企業法律風險識別與控制的技術手段、方法、工具等。

6.2 民營企業法律風險識別與控制方針

民營企業法律風險識別與控制方針應明確下列事項：

民營企業法律風險識別與控制理念；

對民營企業法律風險識別與控制的承諾；

司法部確定的民營企業法律風險識別與控制的目標；

民營企業法律風險識別與控制目標與企業的目標及其它風險管理目標的關係；

民營企業法律風險識別與控制目標的層次分解和細化。

6.3 民營企業法律風險識別與控制的組織職能

律師事務所可以根據現有的組織結構和風險管理職能設置原則，明確民營企業法律風險識別與控制的組織架構、職責和內容。

需明確：

執行民營企業法律風險識別與控制的人員組成；

民營企業法律風險識別與控制資源，以及分工和合作方式；

明確執行民營企業法律風險識別與控制體系和報告的相關人員的職責；

建立批准、授權制度；

建立考核方法、獎懲制度。

6.4 民營企業法律風險識別與控制的制度流程

律師事務所應當根據民營企業法律風險識別與控制的目標，建立完善適當的配套制度和行為規範，建立民營企業法律風險識別與控制的工作程序，同時結合律師事務所內部控制管理工作，將風險控制納入到流程控制中。

確保民營企業法律風險識別與控制統一理解和執行，具體要考慮：

民營企業法律風險識別與控制工作的範圍和內容；

民營企業法律風險識別與控制規範的制定要考慮業務管理體系和風險管理的一致性，提高效率；

6.5 民營企業法律風險識別與控制的資源配置

律師事務所需根據民營企業法律風險識別與控制計劃，制定可行的方法，為民營企業法律風險識別與控制分配適當的資源。具體要考慮下列各項：

民營企業法律風險識別與控制相關人員的經驗和能力要求；

民營企業法律風險識別與控制過程每一階段所需要的人力、資金及其他資源；

民營企業法律風險識別與控制目標、成本和收益。

根據律師事務所內部條件和管理需求，可引入信息和知識管理系統，提高信息溝通和管理的效率。

6.6 民營企業法律風險識別與控制的溝通和報告機制

要建立內部溝通和報告機制，以保證：

民營企業法律風險識別與控制能夠實現適當的溝通；

在律所內部充分報告法律風險識別與控制實施的效果和效率；

在適當的層次和時間提供民營企業法律風險識別與控制的相關信息；

建立與被服務企業相關者協商的程序。

律師需建立與被服務企業相關者溝通的機制，這種機制應當保證：

律師事務所的對外報告符合司法部以及相關機構的要求；

律師事務所與被服務企業相關者保持有效的信息溝通；

與被服務企業利益相關者建立相互信任；

在發生突發事件、危機和緊急狀況時與律師事務所管理機構和人員溝通；

為企業和相關機關提供法律風險識別與控制報告和反饋。

民營企業法律風險識別與控制信息的溝通和報告機制要考慮與其他風險信息報送的銜接關係，以保證相關部門信息的互動溝通，有助於對體檢信息的組合分析，提高活動的效果和效率。

6.7 民營企業法律風險識別與控制定位

6.7.1律師事務所應當注重社會責任的培養，從而促進民營企業法律風險識別與控制的實施，保障民營企業法律風險識別與控制目標的實現。

6.7.2具體應考慮：

樹立民營企業法律風險識別與控制是律師界的共同責任的理念，需在不同層次上履行促進依法治企的職責；

律師事務所應當制定系統化的民營企業法律風險識別與控制培訓計劃，包括宣傳和專項的業務知識、技能培訓，從而提高律師認識和能力；

加強民營企業法律風險識別與控制律師的法律實務水平和風險管理水平，加強提升律師對業務管理的深入理解和支撐服務能力，主動積極地為企業的經營決策和管理活動提供法律支持；

重視律所領導層對民營企業法律風險識別與控制工作的態度和管理理念以及管理承諾。