其次，除了最高管理者的法律风险管理意识外，具体的执行和实施部门人员的法律风险管理意识也很关键。作为专业的风险管理者，法务部及其工作人员，上至法务总监，下至法务专员以及法务部聘请的外部律师，都应对本企业的法律风险有着清楚的认识和理解。法务部的法律风险管理意识尤应清晰、敏锐。在必要时，法务人员还须对其他业务部门人员进行专门的法律风险意识的培训，以期更好地执行和实施法律风险管理工作。

最后，企业法律风险可能来自于企业经营管理的任何环节，因此，全面的企业法律风险管理工作还应得到企业所有员工的参与和支持，他们的法律风险意识对完善的企业法律风险管理工作也必不可少。

那么，如何形成企业法律风险管理意识呢？在不同企业，路径大不相同。以下步骤可表示其形成的一般路径。

第一步，法务人员就本企业法律风险管理的现状提出问题，挖掘具体需求，然后管理层对此进行正式的认同，并承诺上升为本企业全面风险管理的一部分。

第二步，全体员工逐步认识到法律风险管理在本企业实施的必要性和重要性，并积极参与进来。

第三步，法务部或其聘请的外部咨询机构制定具体的法律风险管理实施计划。最后，通过持续地实施法律风险管理计划，最终可望形成企业的法律风险管理意识。

要说明的是，管理层的风险管理承诺意识、法务部的风险管理实施意识、全体员工的风险管理责任承担意识，都离不开企业整体的法律风险意识文化的培养和塑造。当企业各层在法律风险管理意识上达成共识，且能主动的履行防范法律风险的职责时，可以说，该企业才算形成企业法律风险管理文化。法律风险管理文化，其实质是统一的、深层次的法律风险管理意识。树立稳定且有效的法律风险管理文化，可谓法律风险管理的最高目标。

法律风险管理制度

在企业具备法律风险管理意识的同时，应制定相应的企业内部制度来落实。法律风险管理制度是法律风险管理意识转化为法律风险管理行为的桥梁。

企业法律风险管理制度是企业规章制度的一部分，是对企业法律风险管理进行书面化和常规化。完善的法律风险管理制度的建立，是企业法律风险管理的关键要素之一。

一方面，法律风险管理制度必须体现企业法律风险管理的意识和理念，并且能与企业经营管理制度融合在一起，激励和约束企业的经营管理行为。

另一方面律风险管理制度又必须自成体系，至少要包含以下三个层面：

第一，法律风险管理制度应满足企业规章制度的一般特点，即可执行、可操作；

第二，法律风险管理制度应在现行法律框架下，集中考虑法律风险处理的特殊要求，重点规定基于法律的管理行为。如在制定法律风险识别相关制度时，就要考虑是基于法律环境的变化，是我方或对方违规，还是对方违约或侵权，抑或对方不当行为或我方怠于行使权利等各种法律上的情况；

第三，需要强调的是，法律风险管理制度本身应有单独的奖惩规定。这种奖惩不仅是制度中涉及的奖惩行为，而且还应对是否积极或消极地实施法律风险管理的行为进行奖惩。

企业法律风险管理制度要体现出企业各部门、各人员的风险管理职责，并配备相应的考核规则和奖罚制度。

法律风险管理人员

企业风险管理永远是通过组织中的人、通过他们的言行来完成的。人制定了主体的使命、战略和目标，并使企业风险管理机制得以落实。企业法律风险管理意识的塑造和制度的贯彻实施，与企业员工的素质密不可分。法律风险方面的人力资源工作对于企业进行法律风险管理来说，同样重要。

鉴于企业法律风险管理意识的发起和企业法律风险管理制度的制定实施是以法务部人员为主，那么，在配置企业法律风险管理资源时，本企业是否存在从事法律风险管理的专门人员，以及这些人员是否具备相应素质和能力，对该企业法律风险管理能否达预期目标至关重要。

在配置本企业法律风险管理人员组成时，尤其要注意两种人。一是本企业法律事务的负责人，即法务总监。他（她）们作为企业法律风险管理事务的负责人，其法律风险管理水平和理念，对于一个企业来说，起着领航的作用。法务总监的配置是企业法律风险管理人力资源工作的核心。必须要求法务总监不仅懂法律，而且要具备管理经验；不仅能与业务部门、职能部门打交道，更重要会与企业决策层打交道。法务总监在企业老总的法律风险意识不强时，必须能说服和引导领导主动支持在企业中实施法律风险管理。

二是企业聘请的外部专业咨询者，如执业律师、风险评估咨询师、学者专家等。这些人员的配置也是必须的，他们应与企业内部法律事务部门人员有个合理的分工。当然，在采纳外部专家意见时，也要考虑其本身的局限性。需要说明的是，在配置企业法律风险管理人力资源时，不管是内部法律事务部人员，还是外部法律专家，都必须明确该人员在企业法律风险管理体系中的职责。

现代企业的法律风险管理是个系统工作，仅靠法务总监或外部专家咨询者是无法单独完成的，还必须有其他各人员的配合。把这些人员集合起来，就组成了专门处理法律风险的部门，可称为法律风险管理部或法律风险合规部。

在多数企业当中，这个部门的职责一般包含在法务部或合规部当中。专门成立一个法律风险管理部的较少。在人员安排上，除有一个具有管理经验和风险管理理念的负责人，即法务总监以外，最好能配上两个法务经理。一个懂法律，也稍懂财务；另一个懂法律，也稍懂本企业技术。

法律风险管理流程

各企业根据自身管理基础和资源投入等情况，所采取的法律风险管理措施肯定不尽相同。为规范企业风险管理行为，推行企业风险管理最佳实践，国际和国内的相关机构都各自推出了多种风险管理标准或实施指南。

知名的有风险管理标准有：

COSO《企业风险管理——整合框架》

澳大利亚-新西兰风险管理标准AS/NZS4360

国际标准化组织ISO31000《风险管理原则与指南》

ISO/IEC31010：2009《风险管理技术》

中国国家标准化管理委员会GB/T24353-2009《风险管理原则与实施指南》

中国国家标准化管理委员会GB/T27914-2011《企业法律风险管理指南》等。

通过归纳、借鉴以上所述的国内外企业风险管理标准，可总结企业法律风险管理的一般流程。

1、确定本企业法律风险准则。风险准则是衡量法律风险重要程度的尺子，体现了企业对法律风险管理的价值观、偏好与承受度。在有的风险管理标准中，风险准则和另一个概念“风险容量”基本相同。风险容量是一个企业在追求价值的过程中所愿意承担的广泛意义上的风险的数量。

2、收集本企业法律风险环境信息。风险环境信息是后续法律风险管理活动得以顺利实施的基础，包括外部和内部风险环境信息。环境信息收集目的在于明确法律风险管理目标，并设定法律风险管理的范围和有关风险准则。信息的收集应根据企业法律风险状况变化及企业的管理需要进行调整和补充。

3、进行企业法律风险评估。风险评估包括风险识别、风险分析和风险评价三个环节。在识别环节，形成本企业法律风险清单；在分析环节，采用定性与定量方法，建立模型，参照专家意见，对企业法律风险事件发生的可能性与影响程度等方面进行具体分析；在评价环节，将风险分析的结果与法律风险准则相比较，进行法律风险的排序和分级，划分出需要重点关注和优先应对的法律风险。事实上，法律风险评估的合理定量化有望成为下一步企业法律风险管理理论和实践的焦点问题。

4、制定企业法律风险应对措施。风险应对包括检查风险应对现状、选择风险应对策略和制定风险应对计划三个环节。在盘点应对现状时，考虑现有的人员组织、奖惩机制、能力素质，经费供给等是否能满足法律风险应对需要，为选择应对策略和制定计划提供支撑；在选择应对策略时，应综合运用多种策略，如规避风险、控制风险、转移风险、接受风险等；在制定风险应对计划时，要考虑应对计划应有的机构和人员安排，相应责任要求，措施的优先次序和计划实施时间表。

5、实施企业法律风险管理措施。按既定的风险管理计划方案，保证资源配置到位，信息沟通顺畅，把法律风险管理实施工作切实融入到企业的日常管理工作当中去。风险管理措施的实施，不是靠法务部门或者法务总监单个主体去完成。因为风险管理计划，必然涉及不同层面和职位的企业人员。对于法律风险管理计划方案的执行，法务人员（律师）的最主要作用就是宣贯、培训。

6、对法律风险实施情况进行监督和反馈。企业应及时监督和反馈法律风险管理流程的运行状况，并根据发现的问题对法律风险管理工作进行持续改进，以形成一个完整的法律风险管理流程闭环。

法律风险管理模式

企业法律风险管理模式是指企业法律风险管理的入手点和整体框架。模式在各企业中也表现不一，它与企业的管理实践密切相关。有三种常见的模式。

1、根据企业的主要经营管理活动来建立企业法律风险管理模式。即从企业的投资活动、生产活动、营销活动、采购活动、研发、人力资源管理活动，财务管理活动等一系列活动入手，发现每一项经营管理活动中可能存在的法律风险，然后运用本企业法律风险管理流程对其进行梳理、评估、应对。有些企业的经营管理活动可能偏于投资，有些企业又可能偏于研发，还有些企业会偏于营销等等，根据企业重点的经营管理活动，投入主要的法律风险管理资源，以最大化地达到法律风险管理效果。

2、根据不同的法律领域来建立企业法律风险管理模式。即从合同法、知识产权法、劳动法、招投标法、投资法、税法、竞争法，诉讼法等部门法的角度入手，发现每一个部门法所对应的企业经营活动中存在的法律风险，结合本企业法律风险管理流程，实施法律风险管理行为。这种法律风险管理模式优点是法律性强，框架清晰，但缺点是企业的某项经营管理行为可能会包含多个部门法，会导致内容交叉或遗漏的情况。

3、根据企业发展阶段来建立企业法律风险管理模式。即从企业设立、运营、扩张、消灭等四阶段来分析每一阶段的重点法律风险。如企业设立阶段，要从企业的法律形态、治理结构来考虑法律风险。不同的法律形态，如有限责任公司制与有限合伙制，对于投资者来说，即意味着不同的法律风险结构。不仅企业控制权不同，而且股东税负也不相同，当然也就带来不同的风险处理方案。在企业扩张阶段，要考虑大量投资并购、融资可能带来的风险，并能制定方案适应这些风险的识别、评估和应对。

当然，还存在其他的法律风险管理模式，如从法律风险源，企业职能部门、企业部门服务内部定价等角度进行梳理、评估企业面临的法律风险，由企业根据自身实际情况而定。

法律风险管理沟通

由于企业各层级人员的要求与关注点不同，虽有统一的风险管理意识，但各自内部的法律风险偏好和态度仍不尽相同，这些差异会对法律风险管理的实施产生重要影响。解决办法就是在法律风险管理过程中保持充分沟通。

沟通可在企业决策层与法务部，法务部与业务部门，企业与外聘律师等多层次展开。企业应为之建立通畅的沟通渠道和信息传递机制。沟通其实质是信息的多向交叉流动过程。从企业法律风险环境信息的收集、法律风险源的识别，到法律风险等级的评价、法律风险管理计划的执行等，都需要企业的风险管理部门与相关部门及时交流信息，反馈信息。如果一旦信息交流受阻或失真，则制定得再好的法律风险管理实施策略都难以奏效。

法律风险来自于企业经营的各个环节，有效的沟通与信息共享减少了不确定性，其本身就是一种对风险的预防。为提高企业法律风险管理过程中的信息沟通效率，在企业内部条件和管理需求许可的情况，企业可考虑引入法律事务信息管理系统，即对法律风险管理体系进行IT化。

借助专门针对本企业开发的法律风险管理软件，企业可非常地好利用互联网和计算机知识管理技术带来的流程控制与数据统计等便利，把企业法律风险管理工作推上新台阶。

法律风险管理绩效

企业法律风险管理目的在于促进企业战略目标的实现。对企业法律风险管理是否给企业的业绩提升乃至战略实现带来积极影响以及影响的程度进行评价是关系到该管理行为是否最终有效的依据。法律风险管理要形成长效机制，必须有自身的绩效制度。

绩效分整体绩效与个体绩效。整体绩效指本企业或法律风险管理系统的投入与产出的关系。企业要根据自身情况设计一套实施法律风险管理绩效评估的体系，明确企业和企业某个部门在法律风险管理的投入与收益情况，以更好地控制成本，提高收益。

法律风险管理成本可作为衡量企业在获得同样利润时的健康度和持久度。如某个企业花费了更大的法律风险管理成本，才达到其他企业同等利润水平，那么这个企业的发展可以认为是存在法律风险的，是不可持续的，除非其能改变现状。

就法律风险管理的个体绩效而言，首先是指对执行企业法律风险系统中的某一项行为后果进行考核，并与其个人利益挂钩。然后，进行个体绩效评价。更重要的是可以将个人在法律风险管理执行中的考核责任转化为个人工作动力。

适当的法律风险管理绩效考核能将企业各层级人员在制定和实施法律风险管理措施的过程前后联结起来，促使法律风险管理真正走向定量化管理。

（来源：储正智库）

小编微信：Crocso 如欲就法务与合规管理进行交流、培训、咨询等，可与我联系，将为您推荐大咖老师、资深专家和律师。