GRC法律风险管理(简化版)

1GRC理论下的法律风险管理系统第一部分：GRC的理论概论和实务应用尽管GRC（Governance,RiskandComplianceManagement）的概念在国内才刚刚兴起，但其在国外已经发展相当长时间。GRC以美国安然、法国兴业银行等一系列反面教材为触发点，以《萨班斯法案》（Sarbanes-OxleyAct，简称SOX法案）为源泉，并贯穿到企业治理、风险管理和合规经营等各方面。随着企业的发展，以整体管控、战略执行为目标，实现企业管控、风险规避、战略绩效、业务流程管理及包括质量、安全、环境等在内各种遵从管理，服务于管理层和决策层的GRC管控系统被认为是企业在日益复杂的竞争环境下赖以生存和发展的必然和有效选择。中国经济快速增长带动中国企业不断做大、做强，并迈出国门，但在扩张并走向世界的过程中，中国企业逐渐暴露出“低效率低绩效、管控能力薄弱、不合规不透明”等诸多管控问题，不少企业也因此遭受了重大损失；GRC正是很好解决这些问题的管理方法与工具。一、GRC是一个管理方法与系统工具的集合GRC全称就是Governance（公司治理或管控），RiskManagement（风险管理）andComplianceManagement（法规遵从）；是以企业管控、风险和法规遵从为对象，为决策层和管理层提供综合信息和流程控制的支持。21.GRC管理理念是GRC市场发展的罗盘GRC理论在国外已发展较长时间，但国外各相关产业经营者对GRC还没有形成一个统一的标准定义，国内同样如此，目前较为完整的定义如下。(1)GRC完整定义GRC是在企业的各经营业务之上，以战略为中心，以流程管理为基础，通过绩效管理和风险内控管理措施，对各项经营管理过程进行管理和控制，保障战略和经营目标达成的管理方法和工具的总称；GRC涉及以下三个组成部分：Governance（治理/管控）：建立完整的制度安排和治理框架，公平对待各利益相干者，制定公司战略目标和政策，监督绩效，遵从法律及制度规定，透明和披露经营状况，对各项经营管理过程本身进一步进行管理和监督。RiskManagement（风险管理）：对所有业务和法规风险进行结构化的识别、评估、缓解、监视和控制。ComplianceManagement（遵从管理）：通过内部控制管理机制和体系，确保各项制度和法规得以遵从、政策得以贯彻、各项经营和管理目标得以有效达成。(2)GRC治理模型GRC管控的主要目的是保障基于企业管控和治理的战略执行，因此企业治理是一个结果，也更是一个手段。而对齐战略目标，以业务运营为基础，注重业务执行与监控，关注防范风险与合规，并引入绩3效考核的企业管控闭环（如图1）保证了企业管控的有效性，也保证了企业治理的持续性。图1企业管控闭环模型针对快速崛起与发展的中国企业来说，GRC是用于改善企业做强、做大过程中所面对突出管理问题（如经营绩效，集团管控，合规透明）的管理方法体系和工具集合。图2GRC的集合视图4(3)GRC的企业实践GRC管理理念是从企业发展的需求出发，以企业发展中遇到的问题为向导，保证企业管控的有效性、及时性、持续性，是针对企业管控问题的管理方法和工具的集合；只有将GRC理念落实到企业，才能让GRC指导和支撑企业管控，有效服务于战略执行；才能实践才能体现它的价值，检验它的有效性，保持它的先进性。GRC在企业的实践应包含管理体系建立与工具搭建两个方面。二、GRC理念与工具市场规模不断扩展随着GRC理论的日趋成熟和企业管理方法的不断提高，越来越多的企业管理者开始意识到GRC在企业管控过程中的重要作用；也有越来越多的企业将GRC管理理念和工具引入企业的管理工作中。1、GRC市场现状自2006年以来，国内外关于GRC管理理念的研究在不断深化、完善。GRC理念从最初单一的SOX法案遵从，扩展到目前的涉及风险管理、法规遵从、审计管理、制度管理等；而国内GRC厂商更是根据国内企业发展特点将企业管控、绩效管理、流程管理、全面预算管理等整合入GRC集成解决方案中。GRC解决方案的扩展与完善，使其在企业管控中的涉及面更加广泛，也使得其对于企业管控的作用更加突出，企业对其的依赖性更大。（1）国际GRC市场受金融危机影响震荡扩展随着国外迪拜危机、雷曼兄弟、通用破产保护，国内三鹿、黄光5裕等事件的出现，企业对于GRC应用越来越广泛；但经济危机令国外企业在过去两年纷纷消减IT投入，因此过去两年国外GRC市场并没像AMRResearch2008年预测的那样持续增长。据据2009年底AMRResearch对151个美国企业进行的调查显示，2007年到2009年美国GRC市场投入下降约5%，但调查同样显示美国GRC市场在2010年将有大幅增长预计将要达到298亿美元，如图3所示。单位：亿美元数据来源：AMRResearch图3AMRReseach对美国GRC市场的调查结果风险管理与企业管控引领GRC市场无论从国内外经济形势分析，还是从中国企业发展的需求出发，中国企业对GRC管控软件的需求是急切的，企业发展过程中所面临的关键问题也只有通过GRC理念和工具在企业中的实施才能得以解决，这也促使GRC市场在接下来几年将出现快速的扩展，GRC市场拥有更为广阔的前景。6数据来源：AMRResearch图4AMRReseach对美国GRC市场需求的调研图4是AMRReseach今年对美国151家大型企业的调研结果，从中可以看出美国企业对于GRC的需求中，风险管理依然是企业渴求GRC的最大动机；据此推断，国内企业与此类似，但考虑到中国企业发展现存问题及对问题解决的紧急程度，风险管理与集团管控将是中国企业对于GRC市场最迫切的需求，二者将共同引领GRC市场不断扩展。三、政府、厂商与企业共同推进GRC的不断扩展与深化为应对国内GRC市场面临的众多挑战，满足中国企业在做大、做强过程中对GRC管控软件的需求，使GRC管控服务真正有效地支撑企业管控、风险管理和合规遵从，企业、GRC厂商及政府应共同努力，集体推进国内GRC理论与工具的不断扩展与深化。企业在发展过程中应该改变原有“小作坊式”的管理思想，认识到企业管控、风险管理及合规遵从的重要性，加大企业在GRC方面7的支持和投入，从而保障企业的业务增长、风险防范和决策支持。GRC厂商应继续深化GRC理论的研究，丰富GRC解决方案，在产品研发及实施服务上加大投入；同时各GRC厂商需要增加联系、互通有无，争取更早地统一标准，从而更好、更快地为中国企业实施GRC服务产品，为中国企业的快速发展提供动力、保驾护航。政府主管部门也应关注国内GRC市场的发展，推进GRC标准化企业联盟的形成，并给予GRC管控软件发展中所必需的支持。GRC厂商应在理念研究、产品研发与项目实施相结合的原则下，与政府、行业和企业协同努力，共同推进国内GRC理念和工具的深化，促使符合中国管理特色的GRC解决方案与产品为中国企业做强、做大提供更大的支持与保障，真正实现“中国风险管理律师推动中国企业走向世界”。第二部分：CRC中的法律风险管控理论概况在经济全球化的背景下，企业经营的法律环境日益复杂，法律风险管理与业务活动融合的趋势愈加明显。实施有效的法律事务管理，建立法律事务管理体系，全面、系统、科学地识别、分析、控制法律风险，成为当前企业经营发展中重要、紧迫的工作。与此同时，《关于落实中央企业法制工作第三个三年目标有关事项的通知》《企业法律风险管理指南》等政策法规紧锣密鼓的出台，也标志着中国大、中型企业全面进入到了法律事务管理体系建设阶段。在此背景下，企业对既能满足自身法务管理需求，又能响应8监管机构持续强化管控要求的法律事务管理服务的需求越来越强烈。法务管理的流程化改革和信息化创新从人工到系统，法务管理事务由原生态的手工方式，碎片方式逐步跨入流程化制度化时代。截至目前，以中移动、中石化、中海油等大型央企为代表大中型企业早已在法务管理流程制度化改革方面提前布局。然而，绝大多数中小企业在法务管理流程化制度化过程中，步调仍显缓慢，换言之，中国法务管理服务市场仍在酝酿巨大商机。新型法律事务管理流程制度，是在成熟的法务工作人员为核心的公司全体，运用GRC理论结合一定信息化手段，打通企业内部相对分立的合同立项、相对方、预算信息、标准文本、合同审核、授权管理、用印管理、合同执行、纠纷管理等相关管理工作，将法务相关的招投标采购类管理、证照管理、商标管理、法律知识库等进行整合，建立企业统一的法律事务管理平台中心。可以说，法务管理是GRC控制领域一个非常重要的举措。GRC是法律事务管理平台里面非常重要的灵魂。企业在风险防范规划中，应首先为自己提供一个稳定超前的执法环境，如果不存在这种环境，企业就可能会心存侥幸或者无所适从。从最初的合同审批制度到合同全生命周期管理到集团公司法务管理平台，对于企业的法律事务管理来说，流程化体系化的优势不言自喻。而且随着GRC技术化、信息化的不断发展，法务管理工具的不断完善的速度也在加快，在不远的将来，必将为企业法务管理、风险管控方面带来更大裨益。9实际上现在很多大型企业都在搞风险控制，但企业的风险防范要根据自身的特点，并非拿来一个风险防范的系统你就能够适用，而是要根据自己的需求来做真正适合自己的产品。有一些企业尤其是大型企业，相对方比较多、合同数量巨大，审批流程复杂，合同履行周期长、变数大。此类系统合同风险管控流程制度在搭建时就要重点关注对整个合同流程的管理，要将合同的起草到合同的归档整个过程都涵盖在系统之内，这样才有利于对相对方的管理，才能够对批流程的控制等风险要素等进行有效的管理。法务管理GRC时代法务管理流程化体系化之所以受到追捧，源于其能给企业带来的价值。法务管理的流程化体系化价值主要体现在：首先实现了关键流程的规范化，辅助实现外部监管要求的规范和内部控制要求；二是能够降低劳动强度，提高工作效率，使法务人员从琐碎的非主要法律事务中解放出来，有更多时间和精力进行法务管理性思考；三是主动模式下的科学决策，各个管理人员可以随时主动方便的了解法务信息、准确可靠，极大方便市场业务开展中的风险识别及预估；四是能够形成标准化、规范化、网络化的工作平台。将法务管理业务链上的不同角色联系起来，帮助企业实现“法务管理流程化体系化”。“GRC”管控体系，是近年来企业法务管理领域越来越被重视的10一个名词。但GRC并不是一个简单的词，也不是一个简单的思想，而是思想、行动、实践的结合体。应将其看做是一个管理理念和企业解决方案、产品、技术的整体框架结合体。近年来，一些中国企业对GRC已经有了一定认识，国资委、财政部等监管机构也一直在推动风险管理和内部控制，这都是在GRC管控体系内的一些方向。对很多中国企业来说，如何在企业内部设立GRC体系的框架，并在这个框架基础上，实现风险管控、合规遵从，使得企业的业务流程和企业的一些具体业务、具体经验结合起来，真正让GRC系统在实操的过程中发挥更重要的作用，是接下来该做的事情。截至目前，以中移动、中石化、中海油等大型央企为代表大中型企业早已在法务管理流程制度化改革方面提前布局。然而，绝大多数中小企业在法务管理流程化制度化过程中，步调仍显缓慢，换言之，中国法务管理服务市场仍在酝酿巨大商机。新型法律事务管理流程制度，是在成熟的法务工作人员为核心的公司全体，运用GRC理论结合一定信息化手段，打通企业内部相对分立的合同立项、相对方、预算信息、标准文本、合同审核、授权管理、用印管理、合同执行、纠纷管理等相关管理工作，将法务相关的招投标采购类管理、证照管理、商标管理、法律知识库等进行整合，建立企业统一的法律事务管理平台中心。可以说，法务管理是GRC控制领域一个非常重要的举措。GRC是法律事务管理平台里面非常重要的灵魂。企业在风险防范规划中，应11首先为自己提供一个稳定超前的执法环境，如果不存在这种环境，企业就可能会心存侥幸或者无所适从。从最初的合同审批制度到合同全生命周期管理到集团公司法务管理平台，对于企业的法律事务管理来说，流程化体系化的优势不言自喻。而且随着GRC技术化、信息化的不断发展，法务管理工具的不断完