GRC法律风险管理(简化版)

GRC理论下的法律风险管理系统

第一部分：GRC的理论概论和实务应用

尽管GRC（Governance,RiskandComplianceManagement）的

概念在国内才刚刚兴起，但其在国外已经发展相当长时间。GRC以美

国安然、法国兴业银行等一系列反面教材为触发点，以《萨班斯法案》

（Sarbanes-OxleyAct，简称SOX法案）为源泉，并贯穿到企业治

理、风险管理和合规经营等各方面。随着企业的发展，以整体管控、

战略执行为目标，实现企业管控、风险规避、战略绩效、业务流程

管理及包括质量、安全、环境等在内各种遵从管理，服务于管理层

和决策层的GRC管控系统被认为是企业在日益复杂的竞争环境下赖

以生存和发展的必然和有效选择。

中国经济快速增长带动中国企业不断做大、做强，并迈出国门，

但在扩张并走向世界的过程中，中国企业逐渐暴露出“低效率低绩效、

管控能力薄弱、不合规不透明”等诸多管控问题，不少企业也因此遭

受了重大损失；GRC正是很好解决这些问题的管理方法与工具。

一、GRC是一个管理方法与系统工具的集合

GRC全称就是Governance（公司治理或管控），RiskManagement

（风险管理）andComplianceManagement（法规遵从）；是以企

业管控、风险和法规遵从为对象，为决策层和管理层提供综合信息和

流程控制的支持。

1

管理理念是GRC市场发展的罗盘

GRC理论在国外已发展较长时间，但国外各相关产业经营者对GRC

还没有形成一个统一的标准定义，国内同样如此，目前较为完整的定

义如下。

(1)GRC完整定义

GRC是在企业的各经营业务之上，以战略为中心，以流程管理为基

础，通过绩效管理和风险内控管理措施，对各项经营管理过程进行管

理和控制，保障战略和经营目标达成的管理方法和工具的总称；GRC

涉及以下三个组成部分：

Governance（治理/管控）：建立完整的制度安排和治理框架，

公平对待各利益相干者，制定公司战略目标和政策，监督绩效，遵

从法律及制度规定，透明和披露经营状况，对各项经营管理过程本身

进一步进行管理和监督。

RiskManagement（风险管理）：对所有业务和法规风险进行结

构化的识别、评估、缓解、监视和控制。

ComplianceManagement（遵从管理）：通过内部控制管理机制

和体系，确保各项制度和法规得以遵从、政策得以贯彻、各项经营

和管理目标得以有效达成。

(2)GRC治理模型

GRC管控的主要目的是保障基于企业管控和治理的战略执行，因此

企业治理是一个结果，也更是一个手段。而对齐战略目标，以业务

运营为基础，注重业务执行与监控，关注防范风险与合规，并引入绩

2

效考核的企业管控闭环（如图1）保证了企业管控的有效性，也保证

了企业治理的持续性。

图1企业管控闭环模型

针对快速崛起与发展的中国企业来说，GRC是用于改善企业做强、

做大过程中所面对突出管理问题（如经营绩效，集团管控，合规透

明）的管理方法体系和工具集合。

图2GRC的集合视图

3

(3)GRC的企业实践

GRC管理理念是从企业发展的需求出发，以企业发展中遇到的问题

为向导，保证企业管控的有效性、及时性、持续性，是针对企业管

控问题的管理方法和工具的集合；只有将GRC理念落实到企业，才能

让GRC指导和支撑企业管控，有效服务于战略执行；才能实践才能体

现它的价值，检验它的有效性，保持它的先进性。GRC在企业的实践

应包含管理体系建立与工具搭建两个方面。

二、GRC理念与工具市场规模不断扩展

随着GRC理论的日趋成熟和企业管理方法的不断提高，越来越多

的企业管理者开始意识到GRC在企业管控过程中的重要作用；也有

越来越多的企业将GRC管理理念和工具引入企业的管理工作中。

1、GRC市场现状

自2006年以来，国内外关于GRC管理理念的研究在不断深化、完

善。GRC理念从最初单一的SOX法案遵从，扩展到目前的涉及风险

管理、法规遵从、审计管理、制度管理等；而国内GRC厂商更是根据

国内企业发展特点将企业管控、绩效管理、流程管理、全面预算管

理等整合入GRC集成解决方案中。GRC解决方案的扩展与完善，使

其在企业管控中的涉及面更加广泛，也使得其对于企业管控的作用更

加突出，企业对其的依赖性更大。

（1）国际GRC市场受金融危机影响震荡扩展

随着国外迪拜危机、雷曼兄弟、通用破产保护，国内三鹿、黄光

4

裕等事件的出现，企业对于GRC应用越来越广泛；但经济危机令国

外企业在过去两年纷纷消减IT投入，因此过去两年国外GRC市场并

没像AMRResearch2008年预测的那样持续增长。据据2009年底AMR

Research对151个美国企业进行的调查显示，2007年到2009年美

国GRC市场投入下降约5%，但调查同样显示美国GRC市场在2010年

将有大幅增长预计将要达到298亿美元，如图3所示。

单位：亿美元

数据来源：AMRResearch

图3AMRReseach对美国GRC市场的调查结果

风险管理与企业管控引领GRC市场

无论从国内外经济形势分析，还是从中国企业发展的需求出发，

中国企业对GRC管控软件的需求是急切的，企业发展过程中所面临的

关键问题也只有通过GRC理念和工具在企业中的实施才能得以解决，

这也促使GRC市场在接下来几年将出现快速的扩展，GRC市场拥有更

为广阔的前景。

5

数据来源：AMRResearch

图4AMRReseach对美国GRC市场需求的调研

图4是AMRReseach今年对美国151家大型企业的调研结果，从

中可以看出美国企业对于GRC的需求中，风险管理依然是企业渴求

GRC的最大动机；据此推断，国内企业与此类似，但考虑到中国企业

发展现存问题及对问题解决的紧急程度，风险管理与集团管控将是

中国企业对于GRC市场最迫切的需求，二者将共同引领GRC市场不断

扩展。

三、政府、厂商与企业共同推进GRC的不断扩展与深化

为应对国内GRC市场面临的众多挑战，满足中国企业在做大、做

强过程中对GRC管控软件的需求，使GRC管控服务真正有效地支撑企

业管控、风险管理和合规遵从，企业、GRC厂商及政府应共同努力，

集体推进国内GRC理论与工具的不断扩展与深化。

企业在发展过程中应该改变原有“小作坊式”的管理思想，认识

到企业管控、风险管理及合规遵从的重要性，加大企业在GRC方面

6

的支持和投入，从而保障企业的业务增长、风险防范和决策支持。GRC

厂商应继续深化GRC理论的研究，丰富GRC解决方案，在产品研发

及实施服务上加大投入；同时各GRC厂商需要增加联系、互通有无，

争取更早地统一标准，从而更好、更快地为中国企业实施GRC服务产

品，为中国企业的快速发展提供动力、保驾护航。政府主管部门也

应关注国内GRC市场的发展，推进GRC标准化企业联盟的形成，并给

予GRC管控软件发展中所必需的支持。

GRC厂商应在理念研究、产品研发与项目实施相结合的原则下，与

政府、行业和企业协同努力，共同推进国内GRC理念和工具的深化，

促使符合中国管理特的GRC解决方案与产品为中国企业做强、做大

提供更大的支持与保障，真正实现“中国风险管理律师推动中国企

业走向世界”。

第二部分：CRC中的法律风险管控理论概况

在经济全球化的背景下，企业经营的法律环境日益复杂，法律风

险管理与业务活动融合的趋势愈加明显。实施有效的法律事务管理，

建立法律事务管理体系，全面、系统、科学地识别、分析、控制法律

风险，成为当前企业经营发展中重要、紧迫的工作。

与此同时，《关于落实中央企业法制工作第三个三年目标有

关事项的通知》《企业法律风险管理指南》等政策法规紧锣密鼓的出

台，也标志着中国大、中型企业全面进入到了法律事务管理体系建设

阶段。

在此背景下，企业对既能满足自身法务管理需求，又能响应

7

监管机构持续强化管控要求的法律事务管理服务的需求越来越强烈。

法务管理的流程化改革和信息化创新

从人工到系统，法务管理事务由原生态的手工方式，碎片方

式逐步跨入流程化制度化时代。

截至目前，以中移动、中石化、中海油等大型央企为代表大

中型企业早已在法务管理流程制度化改革方面提前布局。然而，绝大

多数中小企业在法务管理流程化制度化过程中，步调仍显缓慢，换言

之，中国法务管理服务市场仍在酝酿巨大商机。

新型法律事务管理流程制度，是在成熟的法务工作人员为核心

的公司全体，运用GRC理论结合一定信息化手段，打通企业内部相对

分立的合同立项、相对方、预算信息、标准文本、合同审核、授权管

理、用印管理、合同执行、纠纷管理等相关管理工作，将法务相关的

招投标采购类管理、证照管理、商标管理、法律知识库等进行整合，

建立企业统一的法律事务管理平台中心。

可以说，法务管理是GRC控制领域一个非常重要的举措。GRC是

法律事务管理平台里面非常重要的灵魂。企业在风险防范规划中，应

首先为自己提供一个稳定超前的执法环境，如果不存在这种环境，企

业就可能会心存侥幸或者无所适从。从最初的合同审批制度到合同全

生命周期管理到集团公司法务管理平台，对于企业的法律事务管理来

说，流程化体系化的优势不言自喻。而且随着GRC技术化、信息化的

不断发展，法务管理工具的不断完善的速度也在加快，在不远的将来，

必将为企业法务管理、风险管控方面带来更大裨益。

8

实际上现在很多大型企业都在搞风险控制，但企业的风险防范要根据

自身的特点，并非拿来一个风险防范的系统你就能够适用，而是要根

据自己的需求来做真正适合自己的产品。

有一些企业尤其是大型企业，相对方比较多、合同数量巨大，审

批流程复杂，合同履行周期长、变数大。此类系统合同风险管控流程

制度在搭建时就要重点关注对整个合同流程的管理，要将合同的起草

到合同的归档整个过程都涵盖在系统之内，这样才有利于对相对方的

管理，才能够对批流程的控制等风险要素等进行有效的管理。

法务管理GRC时代

法务管理流程化体系化之所以受到追捧，源于其能给企业带来的

价值。

法务管理的流程化体系化价值主要体现在：首先实现了关键流程

的规范化，辅助实现外部监管要求的规范和内部控制要求；二是能够

降低劳动强度，提高工作效率，使法务人员从琐碎的非主要法律事务

中解放出来，有更多时间和精力进行法务管理性思考；三是主动模式

下的科学决策，各个管理人员可以随时主动方便的了解法务信息、准

确可靠，极大方便市场业务开展中的风险识别及预估；四是能够形成

标准化、规范化、网络化的工作平台。将法务管理业务链上的不同角

联系起来，帮助企业实现“法务管理流程化体系化”。

“GRC”管控体系，是近年来企业法务管理领域越来越被重视的

9

一个名词。但GRC并不是一个简单的词，也不是一个简单的思想，

而是思想、行动、实践的结合体。应将其看做是一个管理理念和企业

解决方案、产品、技术的整体框架结合体。

近年来，一些中国企业对GRC已经有了一定认识，国资委、财政

部等监管机构也一直在推动风险管理和内部控制，这都是在GRC管

控体系内的一些方向。

对很多中国企业来说，如何在企业内部设立GRC体系的框架，并

在这个框架基础上，实现风险管控、合规遵从，使得企业的业务流程

和企业的一些具体业务、具体经验结合起来，真正让GRC系统在实

操的过程中发挥更重要的作用，是接下来该做的事情。

截至目前，以中移动、中石化、中海油等大型央企为代表大中型

企业早已在法务管理流程制度化改革方面提前布局。然而，绝大多数

中小企业在法务管理流程化制度化过程中，步调仍显缓慢，换言之，

中国法务管理服务市场仍在酝酿巨大商机。

新型法律事务管理流程制度，是在成熟的法务工作人员为核心

的公司全体，运用GRC理论结合一定信息化手段，打通企业内部相对

分立的合同立项、相对方、预算信息、标准文本、合同审核、授权管

理、用印管理、合同执行、纠纷管理等相关管理工作，将法务相关的

招投标采购类管理、证照管理、商标管理、法律知识库等进行整合，

建立企业统一的法律事务管理平台中心。

可以说，法务管理是GRC控制领域一个非常重要的举措。GRC是

法律事务管理平台里面非常重要的灵魂。企业在风险防范规划中，应

10

首先为自己提供一个稳定超前的执法环境，如果不存在这种环境，企

业就可能会心存侥幸或者无所适从。从最初的合同审批制度到合同全

生命周期管理到集团公司法务管理平台，对于企业的法律事务管理来

说，流程化体系化的优势不言自喻。而且随着GRC技术化、信息化的

不断发展，法务管理工具的不断完善的速度也在加快，在不远的将来，

必将为企业法务管理、风险管控方面带来更大裨益。

实际上现在很多大型企业都在搞风险控制，但企业的风险防范要根据

自身的特点，并非拿来一个风险防范的系统你就能够适用，而是要根

据自己的需求来做真正适合自己的产品。

有一些企业尤其是大型企业，相对方比较多、合同数量巨大，审

批流程复杂，合同履行周期长、变数大。此类系统合同风险管控流程

制度在搭建时就要重点关注对整个合同流程的管理，要将合同的起草

到合同的归档整个过程都涵盖在系统之内，这样才有利于对相对方的

管理，才能够对批流程的控制等风险要素等进行有效的管理。

高效合规，风险导向，管控落地：

内部控制体系建设的需要是企业不同发展阶段的内生性要求，财

政部等五部委2008和2010年先后出台的《企业内部控制基本规范》

和《企业内部控制配套指引》，从外部合规角度进一步加强了企业建

立健全内部控制体系的要求。面对两项要求，如何结合企业现有基础，

在保障合规的前期下有效地建设和优化内部控制体系，使内控建设成

果有效落地和解决一些关键问题，成为众多企业管理部门凾待解决的

问题。

11

解决方案：

元炳律师作为内控和风险管理体系领域的技术领先者，率先提出

有效内控合规的理念，坚持风险导向，注重落地运行。从内控体系建

设的设计阶段，使用"内控有效性模型"明确内控项目的阶段目标和工

作重点。建设阶段则基于"内控合规实施路径"，细化工作任务和里程

碑，并通过培训和工具强化知识转移和能力建设。运行阶段则强调实

施保障，通过顶层设计与运行、内控团队培养、信息化手段、持续优

化与更新加强四个方面落实运行工作计划。整个方案的核心是如何保

证内控体系建设的价值实现，主要表现：

从观念扫清内控和风险管理盲区，业务部门从被动做到积极要求做

通过风险梳理改进重点，科学有效应用内控和风险管理的系统性方法实

质解决当前管理中存在的问题

通过制度规范化降低风险水平，通过自评价机制推动滚动更新

通过信息系统提高工作效率，通过观念改变带动管理提升

12

内控有效性模型

内控有效性模型是协助企业开展内控合规和管理提升的总体框

架和实施标准。通过该模型，可以快速帮助企业梳理和定义不同阶段

的工作目标、工作内容、工作方法、工作成果，并能够在整个内控和

管理提升周期内合理控制或调整建设节奏。该模型由三个部分组成：

从内控合规和内控体系建设目标角度出发，从基础合规、管理提升和风

险导向"三个阶段"选取符合企业所处行业背景和现有管理基础的阶段

工作重点

内控体系建设工作方法论，设计、建设、实施各阶段工作有所侧重

内控体系建设落地运行的保障

13

内控合规实施路径

实施效果

真正实现了内控导向：

通过风险型内控体系建设工作，为企业搭建以风险管理为导向

的内控体系及内控评价和更新体系，不仅满足财政部等监管机构的内

控合规要求，而且能够实现企业运营风险的有效管控，并且与企业现

有管控体系、标准化体系有效衔接；此外，内控评价机制更新机制，

确保了内控整改实现有效落地，也实现了企业风险管理和内控体系的

有机结合与滚动更新。

体现了内控实操性：

控制措施设计综合考虑政策限制、行业产业现状、企业的承受

能力、操作效果等因素，倾向从实操性的角度先实现一定程度的控制，

循序渐进，逐步实现全过程的控制效果，避免出现传统内部控制中某

些控制措施设计的很完美却无法执行的情况。与相关业务的实际运营

特点相结合，坚持风险控制分步骤、分阶段的理念，综合考虑企业的

14

文化、经营风格等因素，强调内部控制的时效性，突出内部控制更新

的时效性和必要性。

相关案例：

某房地产建筑集团内控体系建设及评价案例

国资委《中央企业全面风险管理指引》、财政部《企业内部控制基本规范》、

国家标准委《企业法律风险管理指南》等政策法规近年来陆续出台。

首先改变的是大型央企。

一般来说，中央企业结构庞大、分支众多，业务层级复杂，对于法务管理

信息系统的要求较高。在包括合同管理、授权管理、证照管理、法律知识库

等法务管理流程化制度化方面，央企的需求也最为迫切。

一位央企法务部门负责人表示，该集团在业务经营的过程中，涉及大量的

合同起草、审批、签订、归档、借阅等管理环节，去年全集团仅各种合同就

多达5万多份。

此前，企业的合同管理、法律纠纷案件管理、商标管理、授权管理、证照

印章管理以及统计汇总等工作基本上都是手工完成，并普遍存在碎片化问

题，没有形成确保法律审核把关率达到百分之百的工作流程技术手段，影响

了全集团法律管理工作的效率和质量。

在2012年建立法律事务管理系统之后，不仅使该集团法律相关工作效率

得到了提升，控制了风险，促进有效进行科学决策，而且使法律管理更加规

范化、透明化和一体化。

“法律系统是一个法务信息控制平台，为集团领导及相关部门提供可及时

15

了解、掌握、灵活分析和动态的处理法律事务信息。”该法务负责人表示。

要从结果假设的角度倒推理解法律风险控制客观要求的理想模型，这个模

型的实现是要分阶段的，认识到了模型之后，就由它来匹配企业的管理战略。

企业的业务是什么样的，外部管理模型是什么样的，有哪些要求，执行的步

骤如何规划等，都是战略制定的核心内容。

一旦顶层设计完毕之后，就可以在企业内部各层级进行落实，包括监管、

决策、合规的管控、风险、安全、流程审批、执行节点把控等，各个层面都

可以很好地去落实，从而形成对法律风险管控要求的匹配。

对于企业来说，必须遵循现有法律体系的游戏规则，否则对于企业来说，

在法律系统中就可能处于被动挨打的局面。如一些企业没有自己的格式合

同，往往在谈判中就处于一种不利的地位；还有一些到对外投资的企业花了

比别人高的价格，却买到并不满意的东西；一些企业在签约时签了很不利的

条款，如对外投资时的价格补偿条款缺失等问题。很多企业因此付出了高昂

的学费。企业法律风险是什么？法律风险管理与企业法律事务管理的关系和

定位是什么？在市场经济环境下，企业面临着日益复杂的内外部环境，法律

法规和监管的日益完善和严格，市场环境和业务模式的日新月异，企业的法

律风险管理贯穿于企业成立、存续和退出的全生命周期，企业在管理法律风

险的价值追求是什么？法律风险管理、法律事务管理和企业业务管理如何有

效的结合？成为企业主管部门不得不思考的问题。

法律风险管理的挑战和机会

挑战

16

♦法律风险具有分布的广泛性和产生路径的多样性，贯穿于企业存续的

始终

♦法律风险在一定条件下与其他风险具有伴生性和转化性

♦法律风险管理需要全员的参与，这与目前企业职能化的条块管理如何

有效协调

机会

♦传统法律事务管理引入风险管理的理念可以帮助重新思考法律风险管

理的价值和功能定位

♦从法律风险产生的机制入手，建立全员参与、分层、分级、区分功能

和定位的防控体系有助于提升法律风险管理的实效

♦将极大地改变传统法律事务管理在企业的价值定位，将由事后处理为

主的被动转变为广泛参与企业经营决策和管理的主动

关键成功要素

♦企业对法律风险管理功能和价值的准确定位

♦高管层的重视和承诺

♦建立清晰的目标和体系框架结构

♦开发可实施运转的规范和程序

♦纳入企业考核，建立有效的奖惩

法律风险管理解决方案

结合国家标准委《企业法律风险管理指南》等标准的研究，结合目前

企业的管理需求和实际进行系统性的研究分析，从理论研究到具体项

17

目实施，不断探索、积累和创新法律风险管理方法论，并开发了法律

风险管理流程及体系系统，提高法律风险管理的效率和效果。

法律风险管理体系设计

1、法律风险辨识框架和分类设计

2、法律风险管理职能体系设计

3、法律风险管理流程设计

4、法律风险管理报告体系设计

5、法律风险管理考核体系设计

6、法律风险管理体系建设规划

7、法律风险管理实施工具模板设计

体系实施类型

1、法律风险辨识

2、法律风险分析

3、法律风险评价

4、法律风险控制措施和计划制定

5、法律风险管理报告编撰

6、法律风险实施后评估

专项法律风险具体解决方案

1、投资法律风险

2、合同风险

18

法律风险管理信息系统

1、法律风险管理管理全流程信息系统

法律风险环境信息收集

法律风险在线辨识、评价

法律风险管控措施计划制定和过程监控

法律风险监控预警

法律风险多维报告生成

案例共享和信息交流

在线数据维护和查询

2、合同管理信息系统

合同登记及归档管理

基础信息管理

统计报表

数据统计

系统管理

实施效果

帮助企业进行客户化的法律风险管理体系框架设计，确保体系

的适用性和操作性

19

针对法律风险的具体管理领域，制定细化解决方案，满足不同

需求

IT信息化平台的客户化建设，提升了法律风险管理工作的落地

实效

将风险管理理念和方法工具创造性地融入企业的日常经营管

理，理顺法律事务管理和风险管理的工作机制，有效整合管理资源，

提升管理效益，为企业法律管理增值。

通过风险识别、评价、应对、监控、报告、改进的的循环流程来

全面管理企业风险，实现持续的监控与改进；通过及时、准确、真实

传递和共享各种风险信息，展现、落实集团全面风险管理模式和相关

制度；

固化风险评估体系、方法和流程，自动形成多维度的风险分布图

谱；通过与业务系统的集成，建立风险指标体系与风险模型，实现对

风险的实时监控与预警；通过指标预警联动风险应对措施，快速应对

风险；通过风险事件管理，形成自下而上的汇报机制，实现对风险的

动态跟踪；

提供多种风险报表、报告与视图，全面展现风险管理工作状况及

风险变化趋势；通过跟踪、监督、评价各项风险管理工作过程和成果，

并对组织和人员进行考核，增强集团公司的风险管理能力和水平。

20

图6【总体业务视图】

全面风险管理具有系统性、复杂性、长期性、艰巨性等特点，元炳律师风险管理流程化体系

化设计充分考虑到集团管理的复杂程度，能灵活适应集团的风险管理策略，在建立健全集团

风险管理体系的基础上，通过风险信息收集、风险识别、风险分析及评价、风险应对、风险

监控、风险报告等六个核心功能模块，实现了企业风险的闭环管理，帮助集团企业提高风险

识别与应对能力，提升风险管理的技术水平。



21

【系统功能框架】

(一)多样化的风险识别方法

提供问卷调查、流程建模等风险识别方法，帮助企业识别风险的

风险源、影响范围、相关事件、风险原因及潜在后果等信息，并建立

企业的全面风险清单，从而保障风险识别的全面性。

(二)定量、半定量的风险评估方法

通过风险矩阵法、Borda序数法等风险评估方法，实现定量、半

定量的风险评估，确定风险影响程度及可能性，根据风险影响程度及

可能性，提供多种计算方式确定风险等级，根据风险等级，得出定量、

半定量的风险图谱，从而帮助企业全面了解当前风险状况及分布。

(三)持续的风险监控与预警

风险管理系统提供多种方式与业务系统进行集成，自动采集数

据，在系统中通过多种形式进行展示和预警，持续的监控关键风险指

22

标变化情况。并且与风险的应对措施、岗位职责紧密配合，通过指标

预警联动风险应对措施的响应，快速应对风险。

(四)重大风险的整体应对

系统提供多种风险应对方式及应急预案，帮助企业明确重大风险

的责任主体和应对措施，并合理配置资源，确保重大风险管理措施落

到实处，做到重大风险有预警、有预案、有措施、有方案、有动态改

进机制。

(五)生成外部报告

基于流程体系的工作，法务人员可以建立自下而上的风险管理报

告体系，有效率的汇总整理风险管控信息，形成风险管理的整体视角，

生成的各类风险数据，真实的反映集团公司阶段风险管理工作的实际

情况，形成向监管部门的风险管理报告。

(六)积累与持续改进

基于流程制度体系，建立风险管理知识库，存储风险管理经验，

为总结提升更优化的风险管理方法、风险应对措施、风险报告模式、

风险评估技术提供参考，帮助企业建立自我更新、持续优化的风险管

理机制。

法律风险管控的第一步从合同管理开始

23

引言

合同管理是落实企业风险管理和内部控制的一项核心的管理业

务，合同是企业对外交易的门户，合同管理的好坏直接影响企业的经

营成败；另外外部法规对合同管理做出的要求和指引，都使各大企业

意识到合同管理的重要性，并逐渐形成对合同管理专业化、网络化和

规范化管理的需求。元炳过长期的对各大中型集团企业的合同管理的

业务进行深入分析，从企业风险管理和内控要求的角度探求合同管理

的管控点，管控要求以及管控手段，形成独特的、专业的、全过程的

合同管理解决方案和产品，它可以帮助企业规范管理，提高审批效率，

加强合同履行的跟踪，通过各种预警和风险事件处置控制风险，实现

快速查询和统计分析来支持决策。

背景

企业面临快速的发展和日益激烈的市场竞争，使合同管理面临的

挑战和监管要求越来越多，特别是国家法规对企业内控和风险管理提

出的特殊要求，如国家财政部等五部出台的《企业内控应用指引—16

号》中明确了企业在内部控制方面对合同管理业务的明确要求，其中

特别提出了充分利用流程化制度化手段实现合同的全过程封闭的管

理。

24

以合同管理的流程分析为基础，从企业内控和风险管理的视角进

行合同管理的分析，形成合同管理的内控矩阵，并最终落实在合同管

理各个环节的管控中。

简介

25

合同管理解决方案从合同的签订前、签订中、履行中和履行后四个

阶段进行了详细的业务分析和功能设计，充分考虑了企业对于风险管

理和内部控制的要求，探索并发现风险管控点，设置合理的管控方法，

有效控制风险，实现合同全过程的封闭管理。

签订前：实现供应商信息的收集、查询，与此供应商关联的合同

的查看以及履行情况的评价和统计分析，通过把好源头关控制企业风

险；合同预算关联合同使合同订立时符合公司的资金计划，降低财务

风险；标准的合同文本和规章制度规范了合同起草和审批的过程，降

低企业法律风险。

签订中：通过合同的归口管理，规范合同审批流程，严格合同授权，

提升合同审批效率，防止合同签订过程中的法律风险。

26

履行中：加强合同履行的监督和控制，进行合同项下付款的预警提

示，敏捷的提示超期风险事件，形成风险事件信息集成，严格合同变

更、解除和续签的审批过程，有效控制各企业监管相对薄弱的履行环

节，规避合同履行的风险。

履行后：对合同履行情况建立评价体系，已通过不断的反馈实现

合同管理的持续改进和提高，快速、方便的查询、统计分析和报告支

持企业领导决策。

价值

●落实企业风险管理和内部控制要求，实现合同全生命周期的流程

化、制度化、专业化管理；

●规范流程和合同文本，固化管理制度，控制合同订立风险；提高

审批效率，降低管理成本；

●加强履行的监督、监控和到期预警，控制履行风险；

●快速查询、灵活方便的统计分析和报告，支持决策。提供的服务

在合同管理流程体系化实践的过程中，众多企业认为，只要审批

流程化，合同审核的效率、管理的效率就必然会提高，事实果真如此

吗？

从元炳律师为众多企业实施合同管理系统的实践经验来看，事实未

27

必如此。企业若想借助流程化系统来提升合同管理的效率、控制法律

风险，必须解决好以下三个问题。

一是管理提升的问题。首先，运用专业法律技术提升企业合同管理

效能，系统实施的甲乙双方必须就合同管理业务中的问题，哪些是法

律技术可以解决的，哪些需靠管理改善解决的达成共识。从管理的成

熟度和法律专业化的依赖程度两个维度，对合同管理业务系统做出明

确的定位，才能理清信息化的思路。（注意，将信息化依赖度变成法

律专业依赖度）

元炳律师在实施合同管理系统时，将与企业合同业务部门一起深入

细致地对企业合同管理相关业务进行研究分析，对现有的制度和流程

进行梳理，出缺陷，提出改善性建议，为流程化体系化奠定基础。

二是信息系统功能的问题。其次，在设计合同管理流程体系系

统功能时，多少企业仅仅关注流程化后的审批传递效率，而忽略合同

审核自身效率和使用体验。

28

元炳律师合同管理系统不仅可以提升合同的流转速度，提供合同

审核过程的留痕、流程节点的追踪、流程统计等能力；更关键是，通

过系统功能带来合同审核效率的提升。

如：从合同范本起草开始，起草人对范本的修改痕迹，都会记录下来，

合同审核人审核时就可以只关注修改的地方，不需要逐字逐句来审核

了。另外，会对待办任务、设定的关键时间节点进行提醒，使得客户

能够及时办理相关的任务，在提高效率的同时，也能很好的控制风险。

三是管理要求与法律专业系统的结合问题。再次，合同管理系

统的流程化不是简单的把合同审核表单、审核流程的制度化，而必须

将管理要求与合同审查所需的法律专业成熟系统的真正的结合起来，

通过管理手段进行专业流程化，制度固化，才能控制风险，体现合同

管理系统的管理价值。

系统平台的价值集中体现在：

协助企业满足监管机构的考核要求，全面符合与风险管理相关的

法律法规；

全面、丰富的风控统计，帮助企业高管层站在统一的管控平台上

综合考虑公司治理、风险、合规等问题；

提供一个高效、协同的法务平台，通过信息的共享及专业的传递

实现风控业务的有效融合，通过制度化的手段实现业务流程的总体监

控，加强重大风险的全过程管理；

29

提升风险意识，统一风控要求，明确工作职责，通过流程管理、

内控体系化等手段促进企业风险管理、内控管理与日常经营管理的有

机融合。

企业风险管理工作应围绕总体经营目标，通过在企业管理的各个

环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文

化，建立健全全面风险管理体系，从而防范重大风险的发生，确保企

业战略目标的达成。

企业内控管理工作的开展应以业务流程为出发点，以规章制度为

基础，识别流程步骤和控制活动，细化关键控制环节和流程中存在的

30

风险点，构建内控知识体系；通过内控评价及整改跟踪不断优化业务

流程，提高企业经营管理水平和风险防范能力。

内控管理是风险管理有效的应对手段，良好的内部控制，可保证

业务流程的有效、规范运行，降低了执行层面风险发生的可能性，其

控制对象主要是企业内部、可控的、非决策性的风险范畴。对于内部

控制无法涉及到的企业外部的、决策层面的风险，需要借助风险管理

方法和工具实现风险的有效管控。

可见，风险管理是内部控制的自然延伸，内涵更宽，企业应当统筹协

调，构建风控一体化统一管理平台，元炳实施的法律内控及风险管理

流程体系平台实现了风险、内控、制度的关联，提升了风险管理的效

率，增强了集团管控能力。

31