企业法律风险纲论：理论、范式及应用

企业法律风险纲论：理论、范式及应用

安小毅

安小毅中国石油长庆油田公司法律事务处西安710021

摘要：法律风险理论体系是法律风险防控体系建设的理论基础，法律风险防控体系建设是这一理论体系的应用，是理论体系的系统工程化。文章着眼于法律风险理论中基本概念的形成、概念的内涵及相互关系，在法理与企业业务两个层面探析了法律风险的本质，并由此形成一套关于法律风险的基本概念及法律风险研究方法论。在此基础上，探究了法律风险防控体系建设的思路、体系的架构，明确回答了体系建设如何与业务结合、风险应对措施的属性、类型、制定原则以及体系的展现形式等问题，最终形成了一套覆盖企业主要业务领域、同企业各部门业务紧密相关，易于业务人员理解、操作、执行的标准化、制度化的法律风险防控体系。

关键词：法律风险基础理论法律风险源法律风险法律风险防控体系Enterpriselawriskoutlinetheory:Theory,modelandapplication——TakeChinesepetroleumnaturalgasgroup(stock)companyasobjectresearch

AnXiaoyi

Abstract:Thelegalrisktheorysystemisthelegalriskguardsagainstcontrolsthesystemconstructiontherationale,thelegalriskguardsagainstcontrolsthesystemconstructionisthistheorysystemapplication,isthetheorysystemsystemsengineering.Thearticlefocusesinthelegalrisktheorythebasicconceptformation,theconceptconnotationandthereciprocity,searchedinthelegalprincipletheoryoflawandtheenterpriseservicetwostratificationplaneshasanalyzedthelegalriskessence,fromthisandformedasetaboutthelegalriskbasicconceptandthelegalriskresearchmethodology.Inthisfoundation,inquiredintothelegalriskguardsagainstcontrolsthesystemconstructionthementality,thesystemconstruction,repliedexplicitlyhowthesystemdoesconstructwiththeserviceunion,theriskshouldtomeasureattribute,type,formulationprincipleaswellassystemquestionsandsoondevelopmentform,finallyhasformedasetofcoverenterpriseprimaryservicedomain,thesameenterprisevariousdepartmentsserviceclosecorrelation,theeasyservicertounderstand,theoperation,theexecutionstandardization,theinstitutionlegalriskguardsagainstcontrolsthesystem.

Keywords:ThelegalriskbasictheoryLawrisksourceLawriskLawriskguardsagainstcontrolsthesystem

【中图分类号】F019【文献标识码】B【文章编号】1009-9646(2009)04-0091-05

2005年的中航油事件仿佛一记春雷震撼了国人敏感的神经，南方网用略带感慨的文字写到：中国企业就像一个既没有受过正式训练又没有足够装备的新兵，试图击退一大群入侵的法律风险敌军一样。在这种情况下，与准备充分的外国竞争者相比，中国企业会遇到更多的法律风险问题。［1］其后，国资委专门组织召开了“国有重点企业法律风险防范论坛”，就法律风险的本质以及防控的方法进行了讨论，并达成共识：要完善企业内部管理制度，高度重视风险的防范和管理，增强依法经营的能力和水平。2006年6月，国资委发布了《中央企业全面风险管理指引》，系统介绍了风险管理的涵义、基本流程以及风险管理组织体系、信息系统和风险管理文化等，［2］是早期关于风险管理的具有指导性意义的重要文献。2006年11月，中国石油天然气集团公司发布了《法律风险防控机制建设实施纲要》，成为集团公司关于法律风险防控工作的纲领性文件。法律风险一时成为热议之题，乃至甚嚣尘上。

然而，由于认识深度、观察向度以及历史条件等多种因素，关于法律风险的概念、防控的方式以及如何与企业实际结合，却始终无统一之认识。2007年9月，中国石油集团公司法律部、内部控制部组织多家地区企业法律人员及内控人员，并聘请多家中介结构，［3］在吸收以往工作经验、借鉴国内外研究成果的基础上，经过反复的讨论、多次调研与修正，终于编写完成了《中国石油天然气集团公司法律风险防控体系手册》，并于2008年四月正式发布。笔者有幸参与其中。本文基本概念的表述沿用的是集体讨论的成果，但本文是笔者以自己的思考对法律风险基础理论的阐释，大致是注释法学的进路，仅为个人观点，文责自由笔者承担，特此说明。

1.第一部分，法律风险概念体系及方法论

1．1法律风险概念的形成。

1.1.1早期法律风险的有关理论及其简要评述。在早期有关法律风险的理论中，关于法律风险的概念大致形成了三种观点：责任说、责任损害说和不利后果说。

责任说认为：法律风险是指由于企业外部法律环境发生变化,或由于企业自身及有关各方未按照法律规定或合同约定有效行使权利、履行义务，而对企业造成实际损失的可能性，法律风险以企业承担法律责任为特征。［4］将法律风险限定为以承担法律责任为特征，概括了企业作为行为主体实施侵权、违约或违反公法上义务所承担的不同类型的法律责任，在一定程度上揭示了法律风险的实质；但此种观点有其局限，它无法解决因行为不当导致自身权利丧失、应取得权利而未取得权利以及遭受不特定主体侵权的问题。

责任损害说认为：法律风险是基于企业权利义务失控或受外部环境影响招致法律责任、产生实际损失的现实可能性。［5］责任损害说将法律风险界定为法律责任以及产生的实际损失，固然在一定程度上弥补了责任说的局限，但对于企业权利义务失控的类型以及实际损失的法律本质未予明确。

不利后果说认为：法律风险是在法律的实施过程中，即法律权利和义务落实于主体生活的过程中，由于行为人作出的具体法律行为不规范导致的，与其所期望达到的目标相违背的法律不利后果发生的现实可能性。［6］不利后果说用相对抽象的修辞——法律不利后果对法律风险进行了概括，克服了责任说的局限，但仍然未就“不规范具体法律行为”的类型以及“法律不利后果”的本质予以揭示。

其后在《中国石油天然气集团公司法律风险防控机制建设实施纲要》中（以下称《纲要》），将法律风险描述为：基于法律环境产生的与企业权利义务有关的商业风险。［7］基于法律环境以及与权利义务相关揭示了法律风险产生的深层本质，商业风险则是以利益视角观察得出的结论，表明了法律风险与企业的利益关系，它是在通观早期法律风险各类观点基础上得出的在当时条件下相对科学的结论。

中国石油天然气集团公司及股份公司下属的部分地区企业依据前述理论，按照按照风险识别、风险分析、风险防范、风险处理的逻辑结构，形成了早期有关法律风险防控的框架体系，发挥了相当积极的作用。

1.1.2早期概念的特征及未解决的问题。通过以上的叙述，可以发现早期法律风险概念的特征为：其一，逻辑结构为前后的因果关系：其二，原因部分与权利、义务紧密相关，结果部分总是与“法律责任”、“法律上的不利后果”、“实际损失”——这些法律消极后果同一。那么究竟作为原因部分即那些与权利义务相关的行为的实质是什么，其产生的消极后果又是什么，相互关系如何，从法律层面看其本质又是什么，就法律风险的实质而言是不利后果的可能还是可能的不利后果？这是一组亟需解决的重大基础理论问题。另外，由于没有严密统一的概念体系，在前期的法律风险防控体系建设中，始终存在工作范畴不明确、对风险识别及叙述标准不统一以及过分依赖经验的问题。所以，建立一套概念缜密、逻辑严整、表述清晰、界定科学的有关法律风险的概念体系实为必要。

1.2法律风险的概念体系。

1.2.1法律风险的实质及构成。法的一般理论认为，法是调整人的行为的社会规范。［8］基于法的规定，主体的特定行为必然引起自身权利义务状态的变化。正是基于这样的思路，在企业的经营管理活动中，也一定存在那些能够引起企业权利、义务状态发生变化的行为；这些抽象法理层面权利义务状态的变化又必然表现为企业利益的变化，而利益的变化恰恰是企业经营管理活动关注的焦点所在。所以，企业法律风险产生的原因也一定是那些引起权利义务状态发生变化的行为。从另外一个角度观察，引起权利义务状态变化也既产生、变更和消灭法律关系；［9］而引起法律关系变动就是法律事实——即法律规范所规定的、能够引起法律关系产生、变更和消灭的客观情况或现象。［10］对于企业而言，此类属于法律事实的行为应当为法律行为，即依照主体意志变动法律关系的客观事实。

需要说明的是，法律行为是德国民法上的基本概念，乃是指“私人的旨在引起某种法律效果的意思表示；此种效果之所以得依法产生，皆因行为人希冀其发生。法律行为之本质，在于旨在引起法律效果之意思的实现，在于法律制度以承认该意思的方式而于法律世界中实现行为人欲然的法律判断”，简言之法律行为即是旨在引起法律后果的行为。［11］不过，德国民法上法律行为的概念仅限于私法范畴，而企业法律风险所关注的涉及方方面面，依照此种分析问题的进路，将此扩及到各个法律领域，借助国内研究成果，我们将法律行为界定为：人们所实施的、能够发生法律上效力、产生一定法律效果的行为。［12］

之所以这样考虑，是出于一个基本假设：企业只能控制自身的行为，并因此承受相应的法律后果，故而一切有关权利义务的行为的着眼点也只能是自己。这样会产生一个问题，对于来自外部的侵权行为，行为的发生取决于不特定的主体的意志，从形式上看存在逻辑解释瑕疵。其实未必：对于他方的侵权行为，企业则因此产生相应的请求权，只有依法行使请求权才可能保护自身权利，而依法行使请求权恰恰取决于主体自身意志。

研究发现，引起企业权利义务状态发生变化的法律行为包括：不履行义务或履行义务不当，未依法取得、行使、保护权利以及缺乏法律技巧的行为等。这些行为产生相应的法律后果：承担法律责任、权益被侵害或丧失、增加义务或负担等。无论前述哪种法律后果从企业利益的角度来看，均表现为损失，既可以是直接的财产性损失，也可能表现为信赖利益的损失，还可能表现为无形性损失——如企业声誉受损等。将原因部分定义法律风险源，后果部分定义法律风险，于是产生了两个基本概念：

法律风险源是指不履行或不适当履行义务，未依法取得、行使、保护权利以及缺乏法律技巧的行为等法律事实。［13］法律风险是指企业可能承担法律责任、权益被侵害或丧失、增加义务或负担等法律上的不利后果。

在两个基本概念的基础上，又产生了两个下位概念：法律风险源具体表现是指法律风险源在企业经营管理活动中的具体表现形式。法律风险源诱发因素是指企业经营管理中存在的导致法律风险源具体表现的原因。

之所以创设这个两个下位概念，是出于法律风险防控工作实践的需要：其一，由于法律风险源的界定是一种抽象的法理描述，而法律风险防控的实践牵涉企业各个业务部门，结果必然造成理解上障碍，从而失去基础理论应有的指导功能。故而以具体行为表现的形式直观描述，更有利于理解；另外一个原因在于，法律风险源高度抽象的描述抹杀了实际工作中本质上属于一类法律行为，但形式却各有不同诸多行为之间的差异性，并且与这些具有差异的具体行为相对应的各类措施也有所不同；［14］其二，法律风险源固然从本质上揭示了此类行为的法律特征，但这些行为已经是一种事实状态，从企业管理的角度更需关注的是造成此类行为发生或产生的原因。［15］而探究这些原因并通过各种方式有效的防止、遏制、消除这些原因发生的可能性，才毋宁是管理上最本质的需要，也是法律风险防控实践的关键所在。

运用上述四个相互关联的一组概念分析企业经营管理活动存在的法律风险，称之为法律风险源分析，它包括法律风险源、法律风险源具体表现、法律风险源诱发因素、法律风险四项内容。

以企业作为主体之权利义务状态的变化为分析问题的着眼点，以法律行为作为联系法律权利义务与企业管理行为以及由此产生相应后果的介质，运用实证分析与逻辑推理结合的方式，在借鉴早期成果的基础上形成了法律风险源、法律风险两个核心概念以及由法律风险源衍生的法律风险源具体表现、法律风险诱发因素两个重要概念，藉此回答了有关法律风险防控实践的范畴、标准、基础理论等关键问题，四者相互联系紧密结合形成了一套概念清晰、逻辑缜密的法律风险概念体系，并由此产生了一套分析问题的基本模式——这便是我们有关法律风险的方法论。

1.2.2概念的涵义及相互关系。法律风险源描述的是一组法律事实，［16］分为三类，第一类是就主体义务的履行而言，第二类是就主体权利运行而言，第三类是就法律技巧而言：

所谓不履行义务是指主体对其义务不予履行，不适当履行义务是指主体履行义务不符合法律规定或约定，此以合同领域表现最为显著。合同上的适当履行是指当事人按照合同规定的标的及其质量、数量，有适当的主体在适当的履行期限，履行地点，以适当的履行方式，全面完成合同义务，其要求履行主体适当、履行标的适当、履行期限适当、履行方式适当等，［17］违反其则构成合同履行的不适当。

所谓未依法是指没有按照法律的规定，因为权利本身就是法律规定的产物。

所谓取得、行使、保护权利是指权利取得的缘由方式、行使方式及边界和权利保护的方式，而一切缘由、方式、边界的基础判断标准均为法律规定。须说明的是，在权利保护中，基于侵权行为而生之请求权的行使，在一定意义上也属于权利的行使，在修辞上与权利行使发生竞合，但实质上请求权之行使乃基础权利遭致侵害为回复其原初状态从而保护基础权利而生［18］的衍生性权利，亦称第二性权利，故而与基础权利相区分将之纳入权利保护的范畴实值必要；所谓充分，是指除了依照法律规定取得、行使保护权利外，取得、行使以及保护权利的方式（成本）及由此带来的后果（利益）为法律规定之极限并符合企业利益最大化原则，显然这里有明显的主体价值判断的立场。

所谓缺乏法律技巧并无精确的概念，但其实质是行为的实施并非法律的强制性规定，但依据法律知识实施该行为后，在应然层面必然更有利于维护企业利益然而却未予实施的事实。比如合同中可以约定担保而未约定，在诉讼种可以采取诉讼保全而未采取等。

法律风险描述的是可能承担的三类法律上的不利后果：所谓法律责任是指由特定法律事实引起的对损害予以补偿、强制履行或接受惩罚的特殊义务，亦即因违反第一性义务而引起的第二性义务。其类型大致有民事法律责任、行政法律责任、刑事法律责任。

需要说明的是，在一般的责任理论中，除了此三类外，还有违宪责任，［19］就法律风险语境而言，企业几无可能成为违宪责任的承担主体。法律责任与不履行或不适当类型义务对应；权益被侵害或丧失是指遭致他方侵权或主体自身权利灭失，与未依法充分行使、保护权利对应；增加义务或负担是指法定义务的增加或非义务性负担增加，前者与未依法充分取得权利对应，后者与缺乏法律技巧对应。

另须说明的是概念中可能的具体涵义，就承担法律不利后果而言，此可能性有两个层面涵义：其一是作为法律风险源具体表现的那些企业经营管理活动中的具体行为发生的可能性，此为一般风险管理理论中发生概率的问题；其二，由于法律风险源与法律风险之间是一种法理应然层面的逻辑因果关系，违反义务必然导致责任，但就实然而言并非如此，比如企业违约在合同相对人不追究的情形下并不会承担违约责任。

关于将法律风险界定为“可能承担的不利后果”而非“不利后果的可能”需要说明：一般的风险理论将风险定义为未来不确定性对目标的影响。［20］藉此有人认为风险就是一种可能性。笔者认为法律风险关注的根本点在于企业权利义务状态变化给企业利益带来的变化，本质上关注的是不利后果带来的利益减损，而非不利后果发生可能性。当然，可能性是关注的因素之一，但不是根本点，从本质上说可能性是风险的属性之一，但不能说风险就是可能性，否则会产生风险理论自身的逻辑矛盾，也不符合认识规律。原因在于：在风险评价理论中，用风险发生概率和影响度来判断风险大小，［21］这个两分法本身隐含着风险是可能性后果的逻辑——风险发生概率本身则表明了风险发生的可能性，风险影响表征了发生后果的影响度，两者运算的结果就是风险的大小，而最终关注的恰恰是风险的大小，可能性只是判断大小的一个因素。

法律风险源具体表现即是指那些在企业经营管理活动中由各个业务人员实施的代表企业的具体工作行为，这些行为在本质上是能发生法律效果——抽象意义上的法律行为。法律风险源与法律风险源具体表现是抽象与具体的关系，是同一法律本质不同层面观察的结果。如未按约定履行合同或未适当履行合同即是抽象层面，而未按约定的时间、金额支付价款以及逾期交付、提取标的物等则是此抽象法律风险源的具体表现，它就是企业经营管理活动中存在的实际行为。查找法律风险源具体表现，以法律规定为依据，以业务活动为观察对象，结合已发案件成因分析，梳理各类业务种可能存在的法律风险源具体表现。法律风险源诱发因素是指企业管理中存在的导致法律风险源的具体原因，逻辑上可从主客观两个方面查找，但关注的重点首先应在现有工作模式、制度及各业务部门配合度等客观因素诸方面，只有在特定情形主观才是主要因素。

注：其中A与B是经验意义上的因果关系，A是B的必要条件；B与B1、B2等是抽象与具体的关系，B包含B1、B2等；B与C在应然层面是逻辑上的因果关系，B是C的充分条件。

1．3风险评价及其标准。

1.3.1一般风险理论的评价方法。对风险的分析和评分主要从两个方面进行：一是风险发生的可能性；一是风险发生的影响。

分析的步骤为：根据资料分析和沟通的结果分别对风险发生的可能性和风险发生的影响开展定性或定量分析；按照风险评估标准的使用方法选择风险评估标准；根据风险评估标准和定性/定量分析的结论，对该风险源发生的可能性和影响进行评分；所有风险的可能性分值和影响分值的乘积，就是该风险的得分。必要时需要界定不同风险源占该风险的权重，最后得出该风险的分值。

对数值大小的运算有两种基本的方法：定性与定量。一般来说定性用于风险不适于量化、定量分析需要的数据无法充分、可靠获取、数据分析不符合成本效益原则的情形，一般有专家访谈小组讨论等；定量则用于所需数据能够准确、充分的获取，通过精确的数学计算完成。［22］

1.3.2关于法律风险评价标准的修正及补充。法律风险中所谓的风险等级，实际上是风险源具体表现的等级。借鉴deloitte的方法，可从两个角度考虑：其一，发生的概率（可以已案件为依据，即以已发生的案件是由什么法律风险源造成的，对其进行数理统计）。对于无法对应的情况，即某些法律风险源并没有与之对应的实际案例，此种情形只能依靠定性分析得出数值；其二，影响度，可以考虑两个维度：A、造成的经济损失B、社会影响（对公司声誉的影响）。

在已有的理论中，关于可能性分值（即通过发生概率换算而来的分值）的计算，笔者以为可做修正以提高分值区分度（区分度愈明显风险分值的差异大，风险分值差异愈大，则愈易区分风险大小利于更有效配置管理资源）。修正运算过程如下：

设纠纷总数T，因某一风险源引起的纠纷数Ts；则其发生率R=Ts/T，理论上R值区间为（0，1）。具体统计数据出来，比如最低为0.02，最高为0.65.，依照风险评价一般理论则以此数据为此闭区间的两个端点，分为5个等级，分值依次为1~5间的整数，然后对应打分。

为精确起见，可进行修正，还以上述数据为例，R值区间［002，0.65］则修正系数为1/0.65,为表述方便，设此值为p，则修正区间［0.02p，0.65p］每一个风险源具体表现的发生概率的最终分值为5*Rp。这样便得出每一概率数值对应的准确概率分值。

2.第二部分，法律风险防控体系

2.1法律风险防控体系的架构及功能。

2.1.1法律风险防控工作的必要性及体系建设的思路。《纲要》中从四个层面论述法律风险防控工作的必要性：一是法律环境成为企业发展的重要环境因素，构建法律法律风险防控机制事关企业长治久安；二是集团公司是法律风险相对较高的企业，法律风险防控能力已成为企业竞争力的重要体现；三是依法治企是贯彻国家意志，塑造现代企业文明的重要标志之一，法律风险防控是履行企业经济责任、政治责任和社会责任的基本保障；四是已经进行的法律风险防控建设成效显著有待深化、完善。［23］

法律风险基础理论解决了认识论的问题，但抽象的理论并不能直接防控企业经营管理活动所牵涉的法律风险。如何根据这套理论建设一套全面、统一并同企业各部门业务紧密相关，易于业务人员理解、操作、执行的标准化、制度化工作模式，从而最优的配置管理资源，有效防控法律风险，则是一个亟待解决的实践问题。这就是要建设的法律风险防控体系，它是基础理论的实际应用并系统工程化，从而成为企业的免疫系统。建设法律风险防控体系面临着两个基础问题：体系建设的思路及架构，而这两个基本问题又会细化若干具体问题：其一法律风险防控体系建设如何与企业其他业务相结合，其二风险应对措施（从实际工作层面看也是最重要的）的类型、属性、制定的原则、与企业现有制度的关系以及引发个部门权责状态可能产生的矛盾；其三体系的展示形式。

在早期的实践中，法律工作人员凭借经验与智慧形成了事前防范、事中控制、事后补救的法律风险防控的工作模式，根据这种模式，建立起了风险识别、风险评析、风险防范、风险处理的工作体系，部分中国石油天气集团公司、股份公司下属的地区企业按此建立了法律风险防控体系，并形成了手册及流程，在实践中发挥了不可替代的积极作用。正是在早期法律风险防控体系建设的基础上，形成了现有的工作思路：依照部门业务的大致类型，参考《纲要》若干具体分类，将整个体系涉及的内容划分为资源权属、安全环保、交易管理、企业设立及运作、劳动关系、知识产权、财税管理以及内部基础管理八个领域。在每个领域内依照前述基础概念，查找梳理法律风险源并判断其法律风险，探究风险源诱发因素，寻找管理漏洞，制定应对措施；应对措施要纳入现有的业务流程中，从而实现风险防控与业务流程的有机结合；流程则以现有内控流程为基础，进行必要的修改或增加；展现形式则借鉴以往工作成果，借鉴内控体系，表现为法律风险防控文档和将风险源及应对措施标注于其中的流程图。

需要说明的是，领域的划分是体系建设中的难点之一。作为法律专业人员，研究者始终面临着两难境地：一方面过分的考虑法律抽象本质，则于实际业务关注不足，而法律风险防控体系的基本功能是指导、改进加强现有业务的管理；另一方面，一味的强调与实际工作的联系，则必然于法律本质层面考虑不足，打乱体系应有的内在联系，也无法体现体系的特点，甚至可能在法律风险源查找梳理方面存在漏洞。正是在这样的两难境地中，研究者最终选择了相对折中的方案——领域的划分首先考虑实际业务的内容，其次则考虑法律关系的性质，最后兼顾业务部门职责划分现状，实际上此为准实用主义价值立场。

2.1.2措施属性的涵义及防控文档的模板设计。在早期的法律风险防控实践中，一般通过调查研究，经过分析、归纳，按照“事前预防、事中控制、事后补救”的基本思路采取措施，对每个风险点，按照风险识别、风险评析、风险防范以及风险处理四个环节进行应对。早期模式的有关概念其涵义大致为：风险识别是指对行为的描述及性质的判断；风险评析是依据法律规定对行为引发的法律后果进行简要分析，一般都会援引相关法条；风险防范与风险处理均对措施而言，防范即是就“事前预防”而言，处理是就“事中控制”与“事后补救”而言。借鉴这套分析问题的模式，形成了文章第一部分依据统一概念分析法律风险的“法律风险源分析”；风险防范与风险处理以及事前防范、事中控制、事后补救的模式又提供了风险应对措施大致类型的参考标准。

惟须注意的是，依靠经验形成的“事前防范、事中控制、事后补救”的三分法在概念上缺乏一致性：简单的说所谓事前乃就行为发生之前而言，事中是就行为已经发生尚未结束而言，而事后则是针对行为后果的而言，［24］即事前与事中之“事”乃就行为而言，事后之“事”则是针对后果而言。这里的问题在于，虽然从修辞及经验层面上将应对措施进行了防范、控制以及补救的区分（甚至事实上早期成果的表述中，措施并没有分为这三类，这三类的分法是观念层面的），然就其属性、本质及涵义并没有清晰的表述；不过此三分法的思路有借鉴意义。

法律风险源是法律行为，法律风险是可能承担的法律不利后果，将这两个逻辑上因果关系的概念放入某一事件的过程观察，则产生两个点，即行为的发生点以及不利后果的产生点，这两点将整个过程分为三段。从逻辑层面考虑，某一法律风险源具体表现（即企业实际存在的某一具体业务行为）发生，从而引发相应的不利法律后果，而我们的目标是防范或者消除不利后果的发生，则首先考虑的是不让此后果产生的原因发生，也即避免某一法律风险具体表现这种行为的发生，它具有预防的性质；其次当此行为发生，但相应不利后果尚未发生，则考虑采取某种应对措施避免不利后果的发生，它具有控制的性质；最后，当不利后果发生则考虑是否可以采取手段减轻不利后果的实际损害，它具有补救的性质。这种三分法的逻辑思路，只少从逻辑上完整的考虑了防控法律风险可能采取地一切属性的措施，形成了措施配置的梯次分布状态，从而形成有效的防御阵地。正是基于这样的思路，产生了关于措施的一组概念：

防范措施是指法律风险源发生或产生之前，采取的避免法律风险源发生或产生的措施；控制措施是指法律风险源已经发生或产生，但尚未产生不利后果时，采取的控制不利后果发生的措施；补救措施是指实际不利后果发生之后，采取的消除或减轻实际不利后果的措施。

这种措施属性的分类及其概念，［25］事实上也隐含着措施本身的分布规律：对于一般情形即风险源具体表现尚未发生，发生后其行为呈持续状态且实际法律不利后果以持续一定时间为必要的情形，三种属性的措施均存在；对于风险源具体表现尚未发生，行为为非持续状态即行为的发生与不利后果的发生系于同时，则只有防范和补救措施；对于基于历史原因（此类以土地遗留问题之表现最为显著）风险源具体表现已经发生，且发生后其行为呈持续状态的，则只有控制和补救种措施。当然，这种措施属性的区分在逻辑上是极清晰的，但在实际中有时界限未必十分明显，甚至可能一个实际的应对行为兼有两种属性，这并不矛盾。之所以如此区分，是逻辑完整的需要，也即至少在考虑措施的制定时，要从这三个层面依次进行，惟此方可能完善，至于实际的应对行为其根本目的在于防控风险，其究为何种属性非为关键。以上论述，通过对措施功能的观察，可以得出这样的结论：关键在防、重点在控、必要在补。措施解决的是行为问题，与之紧密相联的则是主体问题。因此，在措施中设定了责任部门。

有了前述有关核心问题的基本认识，借鉴内控RCD文档，最终形成了法律风险防范控制文档：文档以EXECL表格的为展现形式，嵌入一系列相互依存的概念，概念之间依照彼此间逻辑关系排列。

责任部门是指组织落实各项措施的主要负责部门，通常为该项业务主管部门。一般情况下，一项措施只有一个责任部门，其他相关部门作为协作部门在措施内容中列明；［26］措施内容是指防控措施的规范要求及流程；实施证据是指记载或证明防控措施已经落实的各类表单、文件等资料，是判断和测试法律风险防控体系实施情况的主要依据之一；法律依据是分析法律风险源、制定防控措施所依据的法律法规，体系文件针对法律风险源具体表现及其防控措施，列明相关法律法规的主要条文。

2.1.3法律风险防控体系的目标及功能。依照《纲要》，结合企业实际，法律风险防控体系建设的目标是：在公司各经营管理领域实现法律风险防控流程化、体系化，形成对法律环境变化应对迅速、应对机制健全，避免损害效果显著的法律风险防控机制。

就实质而言，体系中关于业务行为的要求及规范为企业管理制度，甚至可以说这些要求及规范就是一系列单项制度的有机结合。因此法律风险防控体系有指引、预测以及评价三项基本功能。所谓指引是指它在某种程度上成为业务上的指南从而指引具体业务人员；所谓预测是指业务人员可在一定程度上来预测自己行为可能产生的后果；所谓评价是指可以用体系中关于业务行为的要求及规范来评判业务人员履行职责的标准之一。

2．2法律风险防控体系手册（文档分册）的内容。

体系手册涉及八个业务领域，简述如下：

资源权属管理领域，包括土地使用权、探矿权和采矿权、水资源利用三部分内容。土地使用权，按照土地使用权取得、利用、处分的逻辑顺序，归纳了5个法律风险源。其中，1.5.3“部分土地权属不清……”属历史遗留问题，在风险源表述和防控措施，有别于其他风险源。探矿权、采矿权和水资源利用，按照权利取得、利用、保护的逻辑顺序，分别归纳了3个和5个法律风险源。其中，“探矿权和采矿权”的内容，主要涉及油气田企业。

安全环保领域，包括安全和环保两部分内容。安全管理，按照机构及人员配置、人员素质、安全设施、安全合同、安全事故处理的逻辑顺序，归纳了7个风险源。其中，2.6关于单位主要负责人的职责问题，需要给予重视。环保管理，按照环评、环保设施、非法排污、污染事故的逻辑顺序，归纳了5个风险源。其中,2.12“环境主管机关未依法行政”这一风险源，着眼点是企业未对这些行为采取有效应对手段，手册中的表述是为了通俗易懂。

交易管理领域，包括招投标管理、合同管理和资产处置三部分内容。招投标管理，3.1-3.3是就我方为招标人而言，按照招标项目范围、招标文件、招标程序的顺序归纳的3个风险源。3.4是就我方为投标人而言，列举了2个具体表现。合同管理，按照合同签订、合同履行、合同变更及解除、违约救济的逻辑顺序，归纳了7个风险源。资产处置，列举了“处置权利瑕疵的资产”和“未依法处置废旧物资”两个风险源。资产处置实际也属于合同行为，单列出来是因为这里涉及到物权、诉讼及行政监管等其他法律关系。

企业设立及运作领域，内容较为复杂，需要引起大家足够重视。这部分包括行政许可及工商登记、合资合作、企业改制、资本市场四部分内容。行政许可和工商登记，是针对所属单位和法人分支机构而言，归纳了3个风险源。合资合作，是就参控股企业而言，包括出资、股权取得、股权行使三部分内容，归纳了5个风险源。企业改制，包括国有资产评估转让及企业合并分立注销程序二部分内容，归纳了4个风险源。资本市场，重点归纳了“未依法进行信息披漏”这一风险源。

劳动关系管理领域，以《劳动合同法》为主线，主要包括员工招聘、劳动合同签订、劳动合同履行、劳动合同变更、劳动合同解除五部分内容，共归纳了8个风险源。其中，5.1关于企业规章制度、5.4关于劳务派遣、5.7关于工伤事故认定的协助义务等内容，内容较为新颖，值得注意。

知识产权领域包括商标、专利、著作权和商业秘密四部分内容。商标管理，包括商标注册及续展、商标使用、商标侵权3部分内容，商标侵权中，6.3.1~6.3.3是结合他人侵犯我公司商标三种常见行为归纳的。专利管理，包括专利申请权约定、专利申请、专利引进、专利使用和专利侵权5部分内容。其中，专利引进与交易管理有交叉之处，单列出来是为了内容完整。著作权管理涉及内容不多，需要注意的是6.11.2关于软件和6113关于域名的内容。商业秘密包括对商业秘密未采取有效措施和他人侵犯我方商业秘密两个风险源。

财税管理领域，包括税收、应收帐款、发票、票据、单证五部分内容，共归纳了8个风险源。税收部分，包括财税凭证和税控装置、纳税纳税、纳税筹划3个风险源。应收帐款部分，归纳了清欠方面的1个风险源，同交易管理和内部基础管理有交叉。发票部分，归纳了在发票开具、索取、报帐方面的4个风险源具体表现。票据部分，包括票据遗失后的处理及接受伪造、变造或背书不连续票据3个风险源具体表现。单证部分，归纳了违规转让仓单、提单这1个风险源具体表现。

内部基础管理领域，包括印鉴管理、文书档案、法律文书处理三部分内容。印鉴管理，重点归纳了擅自对外用印的5种情形和未有效应对盗用公司印章两方面的内容。文书档案管理，主要是从重视证据的角度，包括信息形成及保管、对外出证方面的2个风险源。法律文书处理，归纳了未及时、正确处理法律文书这一风险源。

参考文献

［1］南方网：《中航油事件再击中国企业法律风险防范软肋》，下载链接：http://www.southcn.com/news/china/zgkx/200506140147.htm

［2］《指引》将风险大致分为战略风险、财务风险、市场风险、运营风险、法律风险等，此类划分虽然有一定的合理性，但细究则会发现，此种划分本身缺乏统一的标准。下载链接：http://www.sasac.gov.cn/gzjg/qygg/200606200105.htm

［3］项目总决策人为中国石油天然气集团公司总法律顾问郭进平，负责人为集团公司法律部副主任杨大新，执行负责人为法律部企业法律工作处副处长柳峰，日常负责人为华东销售公司企管处副处长阎紫峰，项目组成员有：大庆油田时世进、黄珍涛、长庆油田安小毅、刘欣、吉林石化尚宏武、兰州石化张旌、冀东油田薛青、大庆炼化孙晓龙，另有中介机构Deloitte、IDS、港大三家公司各两人

［4］吉林石化公司：《法律风险防控手册》，吉林，企业内部刊印资料，2006年，第1页

［5］长庆油田公司：《法律风险防范与控制体系》，西安，企业内部刊印资料，2005年，第1页

［6］长庆石油勘探局：《法律风险防范与控制体系》，西安，企业内部刊印资料，2006年，第8页

［7］下载链接：http://www.petrochina/sites/lad/xxgx-new/DocLib3/中国石油法律工作文件汇编(三)/中国石油法律工作文件汇编（三）.doc

［8］关于法的本质，不同法学流派因观察向度的差异而有不同的界定，但“法是调整人的行为的社会规范”则是被普遍认同的

［9］所谓法律关系是指法所构建或调整的、以权利与义务为内容的社会关系

［10］张文显.《法理学》，北京，高等教育出版社，2007年版，第165页

［11］［德］迪特尔·梅迪库斯.《德国民法总论》，邵建东译，北京，法律出版社，2001年版，第142~143页

［12］张文显.《法理学》，第150页

［13］本质上，法律风险源定义中所描述的这些取决于主体意志的行为乃法律行为

［14］如“未按合同约定的时间、金额支付价款”、“逾期交付、提取标的物”都属于未按约定履行合同的行为，在法律本质上是同一的，但在实际业务中的表现却是迥然相异的，若只用抽象的“未按约定履行合同”来描述，显然抹杀了两类具体行为间的差异性，更重要的是针对不同行为的不同应对措施的差异也将被抹杀

［15］还以“未按合同约定的时间、金额支付价款”为例，它本身描述的是一种事实状态，就法律实务工作来说，更需要关注的是造成此种状态的原因

［16］在中国石油天然气集团公司正式下发的体系手册中，将法律风险源中的三类情形界定为法律事实，其实这些取决与主体意志的行为更精确的表述应当是法律行为

［17］崔建远.《合同法》，北京，法律出版社，2003年版，第91页

［18］王泽鉴.《民法总论》，北京，中国政法大学出版社，2001年版，第92~94页

［19］关于法律责任的本质有多种理论，有影响的有三种：道义责任论、社会责任论、规范责任论。本研究采综合说，有关概念及分类的详细论述见张文显：《法理学》，第169~172

［20］《中央企业全面风险管理指引》第三条

［21］此为一般风险评价方法论，本研究引自德勤华永（deloitte）会计师事务所有限公司内部资料

［22］引自自德勤华永（deloitte）会计师事务所有限公司内部资料

［23］详细的论述见《中国石油天然气集团公司法律风险防控机制建设实施纲要》

［24］有人认为亦可理解为事后是对行为发生后言，形式看似乎可通，但此种说法存在逻辑矛盾，补救本身说明，是对消极后果的补救而非对发生后的行为的补救，因为发生的行为已属过去状态，实无补救可能，惟有后果尚存补救之余地——减轻乃或消除；还有将“事“理解为发生纠纷或者一项工作，总之至少在同一场景下就一个行为而言，这三个“事”的涵义也不尽相同

［25］所谓属性是就措施的性质而言，所谓类型是就措施行为本身的类别而言

［26］之所以如此设计，在于责任必须明确，即使多个部门的情况下，也必须列明一个部门作为责任部门，其他只是协作部门，这样更有利于措施能够得到有效执行。