本文件作为GB/T 24353的补充，为组织管理其面临的法律风险提供指南。 本文件提供了管理法律风险的通用方法，不针对某特定行业或领域。组织可根据其具体环境，有针对性地应用。

ICS03.100.01
CCSA02
中华人民共和国国家标准　
GB/T27914—2023
代替GB/T27914—2011
风险管理
法律风险管理指南
RiskmanagementGuidelinesforthemanagementoflegalrisk(ISO31022:2020,MOD）
2023-08-06发布
国家市场监督管理总局
国家标准化管理委员会
2023-08-06实施
GB/T27914—2023
1范围
2规范性引用文件
3术语和定义
4原则
5法律风险管理过程
6法律风险管理的实施
附录A(资料性)
附录B(资料性)
附录 C(资料性)
附录D(资料性）
附录E(资料性)
参考文献
法律风险识别方法示例
法律风险清单示例
法律风险发生可能性分析示例
法律风险影响程度分析示例
审查合同需关注的关键条款
GB/T27914—2023
本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。
本文件代替GB/T27914一2011《企业法律风险管理指南》。与GB/T27914一2011相比，除结构调整和编辑性改动外，主要技术变化如下：a）增加了“风险”“法律风险”“组织”3个术语(见3.1、3.2、3.3)，删除了术语“企业法律风险”(见2011年版的3.1）；
更改了“原则”的数量和内容，增加了“原则”的示意图（见第4章，2011年版的第4章）；b)
更改了第5章的结构和内容，5.5和5.6合并为一条（见5.5,2011年版的5.5、：5.6)；c
d）删除了6.6(见2011年版的6.6），更改了第6章内容（见6.6,2011年版的6.7)。本文件修改采用ISO31022:2020《风险管理法律风险管理指南》。本文件与ISO31022:2020的技术差异及其原因如下：更改了术语“法律风险“的定义（见3.2），删除了术语“法律”，符合我国国情；a
更改了第4章“原则”的内容[见第4章的d和i)]，符合我国国情；更改了第5章的内容（见5.2.1、5.2.4、5.3、5.4），更加清晰阐述了法律风险管理的过程，符合我c)
国实践；
d）更改了第6章的内容（见第6章），有助于法律风险管理的实施，符合我国实践。本文件做了下列编辑性改动：
a）更改了附录C的内容（见附录C）；b）更改了附录D的内容(见附录D)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国风险管理标准化技术委员会（SAC/TC310）提出并归口。本文件起草单位：中国标准化研究院、蒙娜丽莎集团股份有限公司、江苏核电有限公司、中国核能电力股份有限公司、北京大成律师事务所、北京赛尼尔风险管理科技有限公司、第一会达(北京)数据技术有限公司、首约科技（北京）有限公司、北京大成（上海）律师事务所、中共中央党校（国家行政学院）、北京大学、中国矿业大学(北京）、法天使(北京)科技有限公司、广东卓建（中山)律师事务所、云南禾胤律师事务所。
本文件主要起草人高晓红、陆小伟、张毅、张鹏、徐永前、叶小忠、闫丽萍、王志华、陈立彤、施颖、吕多加、崔艳武、吴倩、华春翔、徐涵、王雷、孙保均、张旗康、游志斌、刘新立、常金光、何力、浦壹婷、郑文杰。
本文件及其所代替文件的历次版本发布情况为：一2011年首次发布为GB/T27914一2011一本次为第一次修订。
GB/T27914—2023
组织在包含各种法律风险的复杂环境中运行。随着法律、法规体系的不断完善，世界各国对组织的法律监管要求都日趋严格，而且不同国家的法律和监管要求各不相同。不仅如此，面对法律和监管环境的变化，组织需同步适应。尤其在开展新的活动和业务时，组织更要充分考虑各方面的需求。组织在做出可能产生重大法律后果的决定和行动时，面临相当大的不确定性，尤其是重大法律风险对组织的发展影响巨大，使得组织需加强法律风险管理。法律风险管理有助手保护和增加组织的价值。本文件为协助组织有效地评估和应对法律风险提供指导，旨在帮助组织及其最高管理层：一实现组织的战略成果和目标；一鼓励采取更为系统和一致的方法进行法律风险管理，并全面识别和分析问题，以使法律风险得到积极、适当的应对，并获得最高管理层的支持；一更好地了解和评估法律问题法律风险的范围及影响程度，并进行适当的尽职调查，一识别、分析和评价法律风险，为科学决策提供系统方法；一鼓励寻求持续改进的机会。
需注意，本文件内法律风险的定义是广泛的，在中国的实践中，法律风险一般可分为：法律环境变化风险、违规风险、违约风险、侵权风险、怠于行使权利的风险、行为不当的风险。本文件：
一为法律风险管理提供指导，使其与合规活动相匹配，并为组织满足其义务和目标提供保障；一可适用于所有类型和规模的组织，通过提供更结构化和一致的方法来管理法律风险，使组织及其利益相关者在整个过程中受益；一为法律风险的识别、分析和评价提供综合管理方法；一支持和补充现有的方法，通过针对组织可能面临的潜在问题提供更好的信息和更深刻的理解，来增强现有方法的效用；
一支持组织可能实施的任何管理流程，例如合规或其他管理系统。使用本文件的组织将受益于改进商业和运营成果，如提高声誉、改善员工忠诚度、改善利益相关者关系、增强资源与能力之间的协调作用等。1范围
风险管理
法律风险管理指南
本文件作为GB/T24353的补充，为组织管理其面临的法律风险提供指南。GB/T27914—2023
本文件提供了管理法律风险的通用方法，不针对某特定行业或领域。组织可根据其具体环境，有针对性地应用。
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
2风险管理指南
GB/T24353—2022
3术语和定义
下列术语和定义适用于本文件。3.1
风险risk
不确定性对目标的影响。
注1：影响是指偏离预期，偏离可以是正面的和/或负面的，可能带来机会和威胁。注2：目标可有不同维度和类型，可应用在不同层级。[来源：GB/T24353—2022.3.1,有修改】3.2
法律风险
legalrisk
由法律、法规以及合同事项导致的风险(3.1）。3.3
organization
为实现自标，由职责、权限和相互关系构成自身功能的一个人或一组人。注：组织的概念包括个体经营者、公司、集团、商行、企事业单位、权力机构、合伙企业、慈善组织或研究机构，或上述组织的部分或组合，无论是否为法人组织，公有的或私有的。[来源：GB/T35770—2022.3.1,有修改]4原则
法律风险的有效管理需遵循GB/T24353所述的价值观和原则，如图1所示：1
GB/T27914—2023
文化因素
最佳可用
持续改进
创选和保护价值
动态性
包容性
图1原则
和全面性
定制化
以上风险管理的八项原则在法律风险管理环境下体现为a）~h)所列示的内容。此外，进行法律风险管理，还需考虑“公平”原则，见i)。a）整合：法律风险管理是组织全面治理和管理的有机组成部分。法律风险管理活动需融入组织的战略规划、业务决策和管理流程中。为将法律风险管理融入组织程序和活动，需在组织内确立适当的角色及其职责。法律风险管理需与合规、安全、质量和内部控制等其他管理体系相融合。在评估法律风险和选择应对方案时，宜同时咨询法律问题专家及其他专业人士，b
结构化和全面性：在遵循一般风险管理程序的同时，宜使用全面连贯的方法来管理法律风险。
定制化：组织需根据其内、外部环境的不同有针对性地开展法律风险管理。其中外部环境包c
括法律环境、监管环境和行业特点，内部环境包括法律实体的性质、组织目标和价值观。组织需详细了解法律的适用性和不遵守法律的影响及后果确保充分认知和理解新制定或修订的法律，并评估其影响。
组织需尽量降低法律程序在组织内部实施的复杂性和成本并尽量控制法律风险的负面影响。组织可积极寻求机会，通过在不利事件发生前或可能发生前采取应对法律风险的行动，从而避免纠纷或诉讼，或尝试以平衡成本、商业目标、商誉和组织投入的时间的方式达成和解。包容性：通过让所有利益相关者参与法律风险的管理，组织可以减少不利事件，包括监管执法d)
措施。各方人员宣分工负责，以形成法律风险管理的长效机制。动态性：组织需监测并适应法律、公共政策以及运营环境的变化，并建立适当的预警指标。e)
最佳可用信息：为有效管理法律风险，除内部法律顾问的经验外，在有条件的情况下还可使用商业情报、商业分析、法律数据库和系统（包括案例管理）、电子文件管理工具和服务等。必要时，可以使用外部律师事务所、服务提供者或顾问提供的专业意见。9）人和文化因素：考虑到利益相关者可能对法律风险有不同的理解、预期和观点，并且这些观点的建立和认知可能受情感、社会、文化和政治因素的影响，组织可建立正式和非正式的机制以确保人和文化因素不会导致负面的法律风险。组织还需设法鼓励对这类风险进行管理并获得2
GB/T27914—2023
利益和机会。组织中的每个成员都宜知晓其作为或不作为是如何影响法律风险的。持续改进：组织需综合考虑经验教训、过往交易评审意见、最佳实践、来自内部和外部顾问的专h)
业建议、内部审计以及适用法律的变更等，并在此基础上采取行动。i)
公平：对决策者而言，确立公平原则，可指导法律风险的管理，兼容利益冲突的管理，并在决策中提供公正、独立的意见。
法律风险管理过程
5.1概述
法律风险的管理是循环提升的，宜嵌入组织的所有活动和业务。5.2~5.5介绍了法律风险管理过程，如图2所示。
明确环境和准购
法律风险许估
法伴风购应测
选择策略
评估现状
制定和卖滤法律
风险应对计划
图2法律风险管理过程
沟通、查询和
监督和检查
记录和报告
以上所有活动
贯穿整个过程
监督和检查、报告、沟通和协商宜贯穿组织内法律风险管理的全过程。详细介绍请见5.5。3
GB/T27914—2023
5.2明确环境和准则
5.2.1概述
明确法律风险环境信息是应用适当的方法，对组织内外部环境中与法律风险相关的信息进行收集分析、整理、归纳的一系列过程。通过明确法律风险环境信息，组织可明确其法律风险管理自标，确定与组织相关的内部和外部参数并设定法律风险管理的范围和有关风险准则。5.2.2法律风险外部环境信息
法律风险的外部环境信息是指处于组织外部但与法律风险管理相关的因素，主要包括一相关的本地和国际法律及其变化；一支持法律风险管理的外部服务提供者和顾问，如律师事务所、外部审计师，管理咨询机构以及信息管理和分析服务的提供者；一外部利益相关者，如相关的企业、社会组织、监管机构、地方政府、公众、利益团体、新闻媒体等；一第三方的任何作为或不作为，例如第三方的欺诈和欺骗行为；一适用的国际协议和谅解备忘录；一与组织相关的市场条件；
一第三方诉讼或索赔；
一涉及产品/服务的提供、运输、交付所在国的法律。审查和了解在多个司法管辖区运营的组织的法律风险外部环境时，可考虑不同司法管辖区之间的环境和文化差异。国家法律的域外适用，即特定情况下适用哪个司法管辖区的法律（即冲突法和法律的相互承认），以及相关管辖权的识别可能也需要加以考虑。3法律风险内部环境信息
法律风险的内部环境信息是指组织内部与法律风险及其管理相关的各种信息，主要包括：一组织的战略目标和治理结构；一组织的业务模式；
一组织的主要业务及管理流程/活动、部门职能分工等相关信息；一组织在法律风险管理方面的使命、愿景、价值理念一组织法律风险管理工作的目标、职责、相关制度和资源配置情况；一组织法律事务工作及法律风险管理现状：一利益相关者的法律遵从情况和激励约束方式；一组织签订的重大合同及其管理情况；一组织发生的重大法律纠纷案件或法律风险事件的情况，以及相关的法律规范库和法律风险库；一组织的财务管理情况；
一组织知识产权管理情况：
一组织法律风险管理的信息化水平；一与法律风险及其管理相关的其他信息。5.2.4确定法律风险准则
法律风险准则是衡量法律风险重要程度所依据的标准，需体现组织对法律风险管理的目标、价值观、资源、偏好和承受度。法律风险准则宜在法律风险管理工作开始实施前制定，并根据实际情况进行相应调整。
法律风险的准则：
一是组织风险准则的一个子项；GB/T27914—2023
一是识别、界定和评估某项或某一组法律风险的重要性和可接受水平的措施；一反映与法律风险有关的全面风险管理的自标、价值、资源、偏好和容忍程度；一定期并在任何重大项目开始时进行审查，以更新法律风险管理的准则和程序；一可源自或产生于法律适用、合同义务或责任；一是动态的，直一旦界定，属于法律风险管理的职能；一与组织管理法律风险和/或政策的整体方法相匹配，组织宜根据实际情况制定和调整法律风险准则。
在确定法律风险的准则时，组织需考虑的因素包括：一组织的目标和优先事项；
一组织治理，包括组织内法律风险管理的权力层级以及责任、角色和职责的分配；一法律风险管理的政策、议定书、框架、程序和方法的现状；一为确定法律风险水平等级而适用的原则；一本组织法律风险管理的范围、目标、对象以及法律风险的分类；一法律风险事件发生的可能性、影响程度以及法律风险等级的度量方法；一法律风险等级的划分标准；
一利益相关者对法律风险的接受程度或风险水平的容忍度。下列情况可能需要适用法律风险的准则：一法律要求组织承担、遵循或批准的事项；一法律要求组织采纳的与政策或合同有关的事项，或需要组织依法作出决定；一与机构责任和合规相关的实质问题，包括政府调查、违法行为的指控、可能牵连组织的犯罪行为、重大不合规行为、引发数据保护和隐私问题的数据丢失、吹哨人投诉、导致声誉损失和其他诉讼的事项；
一关于信息披露、意外事件、违法和任何其他情况；一非正常业务”的诉讼与和解，如其所涉金额或呈现的问题涉及上述一项或多项其他因素。法律风险准则的定义是过程驱动的，要求对法律风险进行分类和量度，以便对其进行量化，并确保使用适当的风险应对方案。
要获得适当的反馈，需要管理层和整个组织内部对法律风险的准则达成一致。过于狭窄的法律风险准则可能会引发意料之外的后果，即将法律风险的持有人与更广泛的经营风险环境分离。这可能产生筒仓效应，即将法律风险管理与风险管理的其他元素隔离。与组织所采用的全面风险准则不能完全结合的过于限制性的法律风险准则，可能会产生非预期的后果，即对法律风险问题提供的处理方法过于狭，负责法律职能的人员只有在危机升级时才会介入而不是在早期阶段介入而早期介入可能会降低法律风险，且更有能力为法律风险提供应对方案。5.3法律风险评估
5.3.1概述
法律风险评估是法律风险识别，、法律风险分析和法律风险评价的整体过程。5.3.2法律风险识别
5.3.2.1.概述
识别法律风险的目的是发现和描述能够帮助或阻止组织实现其目标的法律风险。为全面了解法律5
GB/T27914—2023
风险，组织宜确定法律风险的来源、影响范围、事件（包括环境变化）、原因及其潜在后果。通过法律风险识别，全面、系统、准确地描述组织各种法律风险的特征，以便明确下一步法律风险分析的自标和范围。在识别法律风险时，需要了解最新的相关信息，如相关背景信息和事实（例如适用法律或市场惯例的变化）。除了识别可能发生的法律风险事件外，还要考虑其可能的原因和可能导致的后果，包括所有重要的原因和后果。不论法律风险事件的风险源是否在组织的控制之下，或其原因是否已知，都要对其进行识别。
组织可选择适合于其目标、能力及其所处环境的法律风险识别工具和技术，参见GB/T27921一2023第4章。
5.3.2.2对法律风险识别有用的信息来源为保证法律风险识别的全面性、准确性和系统性，组织要根据其规模、复杂性、结构和运营的方式等情况来确定法律风险识别的维度，这些维度包括但不限于以下方面：一根据组织的目标、工作重点及管理层关注的事项进行识别，通过对上述相关事项的梳理，发现组织重大决策、重大事项、重点工作中可能存在的法律风险；一根据组织治理、管理、经营、生产等活动识别，即通过对公司治理、集团管控、研发、生产、采购、营销、投资、人力、财务、知识产权、数据、信息系统等活动的梳理，发现每一项治理、生产、经营、管理工作可能存在的法律风险；一根据组织机构设置识别，即通过对各业务管理职能部门/岗位的业务管理范围和工作职责的梳理，发现各机构内可能存在的法律风险；一根据利益相关者识别，即通过股东、董事、监事、高级管理人员、一般员工、顾客、供应商、债权人、社区、政府等利益相关者的梳理，发现与每一利益相关者相关的法律风险；一根据引发法律风险的原因识别，即通过对法律环境、违规、违约、侵权、急于行使权利、行为不当等引发法律风险原因的识别，发现组织存在的法律风险；一根据法律风险事件发生后承担的责任梳理，即通过对刑事、行政、民事等法律责任的梳理，发现不同责任下组织存在的法律风险；一根据法律领域识别，即通过对不同的法律领域（如合同、知识产权、招投标、劳动用工、税务、诉讼仲裁等的梳理，发现不同领域内存在的法律风险；一根据法律、法规识别，即通过对与组织相关的法律、法规的梳理，发现不同法律、法规中存在的法律风险；
一根据以往发生的案例识别，即通过对本组织或本行业发生的案例的梳理，发现组织存在的法律风险。
组织可以根据自身的不同需要，选择以上不同的维度或不同维度的组合，进行法律风险识别。附录A给出了从、“引发法律风险的原因”和“组织主要经营管理活动”两个角度进行法律风险识别的示例。附录B给出了法律风险清单的示例。5.3.3法律风险分析
5.3.3.1概述
法律风险分析是指对识别出的法律风险进行定性或定量分析。分析的结果为法律风险评估和应对提供输入信息。法律风险分析要考虑导致法律风险事件的原因、法律风险事件发生的可能性及其后果、影响后果和可能性的因素等。
分析法律风险事件发生的可能性和影响程度，可以单独使用或组合使用历史数据模拟、商业分析，人工智能和建模以及专家意见，请参阅GB/T27921一2023了解更多关于风险分析技术的信息。也要6
考虑模型和专家意见本身的局限性。GB/T27914—2023
法律风险与其他风险在一定条件下具有伴生性和相互转化性，组织要对法律风险与其他风险之间的关联性进行分析，明确各风险事件之间的影响路径和传递关系，明确法律风险与其他风险之间的组合效应从而在风险应对策略上对法律风险和其他相关风险进行统一集中的管理5.3.3.2法律风险可能性分析
对法律风险发生可能性进行分析时，可考虑但不限于以下因素：一法律、法规的完善程度及有关机构的执法、司法措施及惯例的状况；一改进和遵守现有的法律风险管理框架，包括战略、管理、内部规则和政策；一利益相关者对法律、组织的规则和政策的实际遵守情况；一在一定期间内发生的与法律风险有关的活动的频率和数量；一对以往法律风险事件进行记录、分析和吸取教训；一所涉及工作的频次，即与法律风险相关的工作在一定周期内发生的次数。附录C给出了供参考的法律风险发生可能性分析的示例。5.3.3.3法律风险影响程度分析
对法律风险影响程度进行分析时，可考虑但不限于以下因素：一后果的类型，包括财产类的损失和非财产类的损失等；一后果的严重程度，包括财产损失金额的大小、非财产损失的影响范围、利益相关者的反应等。附录D给出了供参考的法律风险影响程度分析的示例。附录E给出了供参考的在审查合同时需要关注的关键条款和意见。
5.3.4法律风险评价
法律风险评价是指将法律风险分析的结果与组织的法律风险准则相比较，或在各种风险的分析结果之间进行比较，确定法律风险等级，以帮助组织做出法律风险应对的决策。组织的决策需考虑：一更广泛的组织环境，包括内部和外部利益相关者的观点；一组织的目标、优先事项和风险管理政策；一组织和利益相关者的价值观、道德和伦理；一组织的风险态度和风险容忍度；一组织的风险概况（包括组织在法律风险管理方面的成熟度及其在商业活动中的地位）。在可能和适当的情况下，可采取以下步骤进行法律风险评价：一在法律风险分析的基础上，对法律风险进行不同维度的排序，包括法律风险事件发生可能性的高低、影响程度的大小以及风险水平的高低，以明确各法律风险对组织的影响程度；一在法律风险水平排序的基础上，对照组织法律风险准则，可以对法律风险进行分级，具体等级划分的层次可以根据组织管理的需要设定；一在法律风险排序和分级的基础上，组织可以根据其管理需要，进一步确定需要重点关注和优先应对的法律风险。
5.4法律风险应对
5.4.1概述
法律风险应对是指组织针对法律风险或法律风险事件所采取的相应措施，将法律风险控制在企业可承受范围内。风险评估是制定风险应对计划的先决条件，并使组织能够就法律风险应对方案作出明7bzxZ.net
GB/T27914—2023
智的决定。组织评估其法律风险时，要证明该等风险得到恰当管理，否则组织可能会面临不利的诉讼和损失。
法律风险应对包括选择法律风险应对策略、评估法律风险应对现状，制定和实施法律风险应对计划三个环节。风险应对策略宜考虑一系列应对方案，其中可能包括法律补救措施，也包括财务、运营和声誉补救措施。
5.4.2选择法律风险应对策略
法律风险应对策略包括规避风险、降低风险、转移风险、接受风险和其他策略等，可将其单独或组合使用。在选择适当的法律风险应对方案时，宜考虑以下因素：一组织的战略自标、核心价值观和社会责任等一组织对法律风险管理的目标、价值观、资源、偏好和承受度等；一法律风险应对策略的实施成本与预期收益；一利益相关者的诉求和价值观、对法律风险的认知和承受度以及对某些法律风险应对策略的偏好；
一管理风险所需资源的可获得性和分配情况；一法律允许的法律风险可转让、转移或投保的范围；一组织内风险意识和成熟度水平。关键风险指标（KRI)为特定风险应对方案能否有效管理法律风险提供一定指导。为选择有效的KRIs,组织可识别由其操作过程生成的潜在数据。KRI可按单个指标（例如“合同价值”）的形式进行报告，但它们与相关数据结合时，通常可以提供更优的信息。以下是部分KR组合的示例：一合同责任与合同价值：可按合同类型、合同相对方、第三方等维度分类，可分析合同责任与价值，以评估组织为赢得特定业务领域所承担的风险；一未签合同事实履行情况：通过分析书面合同签署量与实际交易量情况，可分析组织是否在未签署有约束力的书面合同的情况下开展交易；一法律合规培训：如通过查着分析销售人员的产品销售与合规培训登记情况，可分析组织针对客户注意义务可能发生的行为风险。如果组织的销售团队没有完成他们的合规培训，或者经常很迟才完成，他们可能没有认识到法律监管合规方面的最新问题，并因此导致其所在组织暴露在不断增加的法律风险中。
5.4.3评估法律风险应对现状
组织选择法律风险的应对方案时，要对组织的法律风险应对现状予以评估，以了解自前的法律风险应对存在哪些不足和缺陷，为制定法律风险应对计划提供支撑。评估法律风险应对现状至少要考虑以下几方面的因素：一资源配置，即组织内部的相关机构设置、人员设备和经费配备能否满足法律风险应对需要；一职责权限，即是否明确与风险应对相关的职责和权限；一过程监控，即是否要求对持续性业务管理活动进行定期或不定期的监督和控制、证据资料保留、信息沟通和预警；
一奖惩机制，即对相关人员在法律风险应对工作中的绩效是否设立了奖惩机制；一执行者能力要求，即对与法律风险应对相关的内部执行者是否有明确的资质、能力要求；一部门内法律审查，即是否要求业务部门内部对一般性的法律问题进行审查：一专业法律审查，即是否要求法律部门或专业律师对专业性法律问题进行审查或提供相关法律意见；
一法律风险意识，即相关人员对法律风险的存在、可能造成的后果，以及如何开展法律风险应对9
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。