第三个原则是全员参与原则。

　　企业法律风险管理必须通过全体人员的参与，才能构建一道全方位的法律风险防火墙，尤其是企业的高管，如果没有防范于未然的意识，那么法律风险管理机制只能是形同虚设。

　　全面参与有两个问题要强调，一是高层要重视，二是方案完成后的执行问题，法律风险管理贯穿于企业的内部与外部行为始终。现在我国的中央企业现在已经全面推广法律风险管理，省属国有企业也很快要推行。但是，国企属于官办企业，领导的看法非常重要。如果领导重视，那么肯定可以事半功倍；如果领导不重视，那么很容易成为形象工程。

　　第四个原则就是人员配备中的“双合”原则。

　　什么是双合原则呢？企业法律风险管理这项工作的开展往往需要内外结合，即由企业内部的法律人员以及外部的律师联合开展。而且，从事这项工作的专业人员还需要法学、管理学、统计学、运筹学、会计学和心理学等复合背景知识。单纯依赖外部的律师事务所或者内部的法务人员都无法完成这项工作。

　　第五个原则是规范化运作原则。

　　法律风险管理就是要明确企业每个部门、关键岗位的工作规则，建立合规制度，将此纳入企业的规章，形成系统的制度体系。法律风险管理，只有依靠固定的、完善的规章制度，才能保障防控的有效性和持续性，才能够避免领导的看法和部门的博弈影响防控的运动。

　　第六个原则就是静态与动态风险管理相结合的原则。

　　无论是外部环境的变化，或者是内部结构的改变，均会导致法律风险的异化。与此相对应，法律风险管理并不是一成不变的，企业法律风险管理机制并非是静态的流程，而是动态的循环。企业的法律风险管理机制在形成方案时是静态的，但随着维护工作的开展，一系列问题的反馈与完善，法律风险管理就呈现出动态的特点。因此，一个完善的法律风险管理机制，一定是一个可以自我完善和自我扩容的循环系统。

　　最后一个原则是持续性原则。

　　刚刚说过了，企业法律风险管理机制不仅仅包括构建，还包括维护。因为企业法律风险管理不是一蹴而就的，除非企业破产、解散，否则的话要要持续维护、完善下去的。法律风险管理机制是一个循环运行的系统，需要从调查、识别、评估到防控的持续，需要从构建到运行的持续，从运行到维护的持续。

　　这是第二方面，有关于法律风险管理机制构建的原则。

　　接下来讲管理的流程。讲管理流程之前，我觉得还是有必要明确一下法律风险管理与传统法律顾问的区别。因为很多人都问我这个问题。我为企业提供法律风险工作的过程中，其实我们的工作与法律顾问服务是分开的。法律顾问注重于处理日常法律事务，而法律风险管理则是全方位组织专业规模团队来进行精细化工作。法律风险管理跟传统的法律顾问是互补的关系。

　　首先，从法律服务的内容上来看，中国传统法律顾问服务偏重于经济法律风险，疏于防范刑事风险，但众多的企业、企业高管们恰恰倒在了刑事风险上。法律风险管理不但包括企业的法律风险，还包括个人的法律风险。

　　第二，传统法律顾问服务注重日常法律事务的处理，缺乏系统性，难以真正做到未雨绸缪；法律风险管理是对主体法律风险的系统识别、评估以及防控，需要运用科学的管理方法。

　　第三，传统法律顾问服务在企业中仅仅是起辅助作用，无法影响决策；法律风险管理往往需要成系统建议，呈递企业管理层进行讨论，最终形成决议贯彻到企业的日常经营中去。

　　最后，中国传统的法律顾问往往是单兵作战，最多分人力资源、合同、公司治理等几个板块进行，而法律风险管理则以专业的法律团队介入，提供各领域最精专的法律服务。

　　基于上述特点，法律风险管理的具体内容是十分复杂的，但仍有章可循。法律风险管理的流程可以分为几个阶段，对于阶段的划分，同样是众说纷纭。根据我从事这方面工作的经验，我把法律风险管理分为下面几个阶段：

　　1.法律风险的识别；

　　2.法律风险的评估；

　　3.法律风险的防控；

　　4.法律风险管理机制的维护和扩容。

　　（一）法律风险的识别

　　法律风险识别是法律风险管理的首个阶段。在这个阶段里，必须通过调查手段全面了解企业运营过程中可能出现问题的环节，在此基础上运用科学的方法进行梳理并利用经验进行判断，从而确定企业可能面临或现实面临的法律风险。

　　一般而言，调查一般通过四种方式完成：

　　1.对企业基础资料的收集。这一点，大家都很清楚，跟传统法律顾问是相同的。这些资料不外乎就是企业的管理制度、员工手册、合同范本等，只是大企业更多资料而已。

　　2.设计相应的调查问卷。设计相应的调查问卷往往需要跟管理咨询公司进行配合，这里面应用了很多管理学的知识。

　　3.进行面对面的访谈。为什么要进行面对面的访谈呢？特别是在国有企业，采用调查问卷的方式或者纸面上的资料，往往了解不到实际情况，必须用系统性的方法来了解事情的真相，多种手段并用。

　　4.对企业基础资料的核实。这个阶段对全面了解企业真实的法律风险特别重要，这里面涉及很多管理的手段以及对人心理的分析。信息收集应该首先全面铺开，之后再去伪存真，这样不容易遗漏。

　　需要调查的事项主要有六方面：

　　1.国内外政治法律环境；

　　2.生产、知识产权等管理中曾经发生或者容易出现问题的环节；

　　3.员工对规章制度操作流程的尊崇度；

　　4.致使企业遭受损失的人为因素。

　　5.企业签订的重大协议与合同；

　　6.企业发展重大法律纠纷案件的情况。

　　在通过调查收集完相关信息以后，便需要进行全面的梳理，在此基础上将企业行为与相应的法律法规进行比对，形成原始的判断。

　　法律风险有显性与隐形之分在全面调查与系统梳理企业的相关信息后，对于显性法律风险的发现主要看“发现”者的法律法规理解程度即可，隐性法律风险的发现则还得看“发现”者的实务操作经验，特别是仲裁诉讼经验。

　　关于法律风险的识别，这里我向大家展示一份经过加工的基础图表。大家可以看到，法律风险的识别需要先对法律风险进行分类。使用这个图表的企业根据他们自身的特点，将法律风险分为行业监管、资本市场监管、公司治理、知识产权、市场经营、综合管控网络与支撑、合同管理、纠纷管理、职务违规。资本市场监管后面又分为：资本运营、对外投资、关联交易、信息披露。市场经营部分包括：不正当竞争、价格管理、服务质量、消费者权益等；综合管控网络支撑包括：财税、劳动用工、资产管理、环境保护、安全生产、招投标、土地房屋、工商事务、综合事务、工程建设。

　　大家可以发现，这里关于法律风险的分类，与我们将法律分为刑法、民法、经济法、行政法等传统观点是不同的。

　　对企业法律风险的识别首先还是要搞清楚企业的内部架构以及职能划分。如果律师提供法律风险管理服务的框架与企业内部的设置不符，就会张冠李戴，造成混乱。我前面提到，法律风险管理就是要把法律当作一种管理资源。企业内部进行部门设置就是管理需要，那么进行法律风险管理时就应该以部门划分为基础，同时兼顾法律的分科。