法律风险的识别主要是定性分析，工作量比较大，但只需要对相应领域的法律法规比较熟悉，进行合规分析便可，简单来讲，就是“纸上谈兵”，罗列法条。

　　（二）法律风险的评估

　　流程的第二部分就是法律风险的评估。法律风险评估是构建企业法律风险管理机制的核心环节，也是最考验律师专业水平的环节。

　　刚刚我讲过了，企业构建法律风险管理机制是分阶段的。比如说，我现在竞标的这个企业，第一阶段的法律风险识别工作已经完成了。目前他们正在对第二个阶段的工作，也就是法律风险评估项目进行招标。他们当时把一家管理咨询公司第一阶段完成的工作拿给我们看，那都是一些法条的罗列，因此这家企业对他们的工作相当有意见。于是第二阶段这个企业就重新招标了。

　　刚刚讲过，法律风险的识别是一种定性分析，但是，法律风险评估是一种定量分析。在法律风险的评估当中，经验往往发挥着不可忽视的作用。经历了大量的诉讼仲裁，对于相关问题便会自然而然的产生直觉，有了这种直觉，再付诸于一定的数理模型，对于风险评估的量化程度，才能恰到好处。

　　这里面有两个问题需要强调。第一个问题，经验的形成并不仅仅局限于自己亲办的案例。在对应每个类别的法律风险时，往往要对相应的案例一网打尽，形成案例库，再进行综合分析。综合分析后，第二个问题就是进行定量分析。为什么要强调定量分析呢？

　　举一个例子：比如说贩毒，大家都知道是犯罪行为。关于行为的定性大家都清楚，但是，定量分析是什么呢？就是毒品买卖能不能做？这就需要律师的经验发挥作用，进行判断。判断什么呢？判断出事概率，也就是说，贩毒的人99.9%会出事，那么，你还敢不敢做？

　　企业关注的是定量分析，而不是前面的定性分析。定量分析如果表明出事概率很高的话，那就不做；如果出事概率很低的话，就可以暂时不管。当然，没有必要也不可能做到完全数字化精确，因此，大多数情况下是划分一个风险等级。风险等级的评定一般需要一个数理模型进行分析。创建数理模型一般不是律师事务所能做的，需要假手管理咨询公司。

　　一般来说，法律风险评估的内容有：

　　1.对已经识别的法律风险进行描述，明确企业对法律风险的偏好以及承受能力，分析法律风险发生可能性的高低，以及法律风险发生的条件，评估法律风险发生对企业实现相关目的的影响程度。

　　2.根据企业对法律风险的偏好与承受能力，确定法律风险的预警线。

　　3.根据法律风险发生可能性，以及对实现相关目标影响程度的大小，对过线行为的法律风险进行比较，初步明确风险管理的策略。

　　关于法律风险评估，我也为大家准备了一份加工过的基础性表格。

　　这张图表是法律风险事件库，对主要法律风险进行了列举，评估了事件的风险等级，并列出相应的法律法规、内部的规章制度和相应的法律后果。第一栏叫业务类别，比如说合同管理，第二栏是一级法律风险，比如合同管理法律风险，分级别。事件的分类到底是违规还是不当。然后是风险的事件，风险事件是什么呢？比如说这个栏目制定的标准、合同文本违反合同法禁止性和强制性规定，也就是说从前面识别里面得出了一个结论，企业的文件或行为违背了什么样的法律规定，其实也就是定性的分析，风险事件。

　　再下来就是风险等级，这个就很复杂了，这张图表其实没有反映风险等级的评估过程，只是反映结果。风险等级其实就是定量分析，定量分析依据大量的材料进行评估。里面分几个等级，红色就代表重大风险，橙色代表中等风险，黄色代表一般风险。关于风险等级的分类，每一个企业的要求都不同，有些用百分比来体现出来，这方面也需要管理咨询公司配合才能做好。

　　再下来就是相关的法律法规、内部规章，也就是相应风险有可能触犯的规范，最后就是触犯这些规范有可能引发的法律后果。

　　这个图表有值得参考的地方，但是也有很笼统的地方。里面有一部分是不能展示的，就是有关于风险等级的评估过程，这是核心部分的内容。其他方面无非就是“依样画葫芦”，大家都可以理解。

　　（三）法律风险的防控

　　第二个阶段法律风险的评估，接下来就是法律风险的防控。

　　面对大大小小的法律风险，如何分清轻重缓急，采取不同的措施，是法律风险应对所应考虑的首要的问题，其实法律风险的防控就是整个法律风险管理里面的归宿，所有的工作是围绕这个工作来服务的。法律风险应对应分为防和控两个方面，企业法律风险防控措施主要有以下六种：

　　1.建立风险决策授权制度，明确风险决策的主体、条件、范围和额度等。

　　2.建立风险决策报告制度，明确风险决策报告的时间、内容、负责处理报告的部分和人员等。

　　3.建立风险决策批准制度，对于风险决策相关的重要事项，明确批准的主体、情绪、条件、范围、额度。

　　4.建立风险决策责任制度，明确规定各有关部门和人员决策失误时应有的责任。

　　5.建立日常的检查监督制度，明确有关部门和人员相关工作的流程，对每个环节有关人员实施辈数制度，对各项工作的合规状况，定时进行检查监督。

　　6.建立考核评价制度，把有关部门和人员风险管理的执行情况与绩效、薪酬挂钩。

　　防控应该系统且突出重点，但是最终的防控方案能否执行，还是要看企业自身对法律风险管理的重视程度。如果法律风险的防控方案只是放到企业发展部（风控合规部）执行，那么由于决策层面较低，一般难以完全贯彻。如果领导重视，那么推行起来就比较顺利，而且也有一定效果。为什么呢？这牵涉到部门间的博弈。一个企业最重要的部门往往是财务、技术部门，而法律往往属于二级部门。由于法律风险防控方案一般是由法律部门去推行的，所以，方案能否真正实施，不在于投入多少资金，而在于负责推行方案部门的素质及权力有多大。因此，法律风险防控措施的执行性主要是通过上升到制度的层面来实现的，没有制度的保障，一切法律风险防控都是空谈。

　　实现法律风险防控的另一个手段就是流程化。什么是流程化？流程化就是为了实现企业法律风险的系统性防控，针对每一个工作环节，每一个风险点，提出标准化的、具备可操作性和执行性的防范措施。一个良好的流程设计，可以提高每一个环节的防控效率，企业的每一个人都可以“照单执行”。有关于法律风险的流程化防控，我同样出示一份图表。这分图表应该来说是法律风险管理里面一个归属。第一，业务类别还是合同管理；第二，风险等级是一般等级；第三，事件的分类是违规还是不当；第四，就是管控的建议。这里的管控建议只是初步的建议，比较笼统。比如第一点制定标准合同文本、违反合同法禁止性以及强制性规定，管控建议就两点：第一，制定标准的标准文本，是不得违反合同法的禁止性和强制性规定。在确保合同前提下，保证公司权益最大化；第二，定期对已有的合同标准文本进行整理，根据环境的变化做出调整。

　　这个管理建议只是初步建议，对后面形成具体防控方案有所帮助。但是，没有实操性的建议，对于风险的防控没有多大的意义。因此，流程化的方案还需要丰富实战经验的律师团队来完善。