朱炎炳 杨鹏飞

摘 要：企业欲想在激烈的市场竞争中留存长久，对法律风险的管理是一项重要的命题。烟草商业企业具有较为独特的身份，依法经营、防控法律风险更为关键。而目前，法律风险管理体系运行推进难、法律风险融入业务落地难、经营中重复性法律解决难等问题依然困扰着地市级烟草商业企业，这也说明传统的解决方案存在一定的局限性和滞后性，要求深入经营实践的同时，用全局性、系统性的视角，重新审视烟草商业企业法律风险管理体系的运行问题，用标准化的方法提高法律风险控制水平，增强企业核心竞争力，为烟草商业企业的可持续发展保驾护航。

关键词：烟草商业企业;法律风险管理;标准化管理协同。

一、引言

习近平总书记在时任浙江省委书记时就提到“市场经济必然是法治经济”i，企业在市场中只有避免陷入法律风险，才能够树立良好的社会形象，为企业的生存与发展创造良好的社区及社会环境，以求长存。ii在当前市场经济迅猛发展的前提下，现代企业在法律方面的问题也越来越多，因而对法律风险的把控始终贯穿于整个现代企业运行的始终。国家标准化委员会在2009年发布《企业法律风险管理指南》，此后各行各业结合各自实际着手搭建法律风险防控体系。具体烟草行业而言，由国家烟草专卖局在全行业统一部署，提出探索烟草行业法律风险防控体系的要求，专门出台了《国家烟草专卖局关于全面深入推进法治烟草建设的意见》和《烟草行业法律风险防控建设工作要点》，提出了构建法律风险防控体系的目标，推进烟草行业法律风险防控体系建设。

目前烟草公司法律风险防范研究较少，且可深度挖掘的空间较大。已有的研究集中在专卖问题中的风险控制，例如左胜超（2013）在《重庆市烟草专卖立法及行政执法风险规避对策》中分析了重庆市烟草专卖立法问题，提出规避风险的目的是提升行业形象。iii肖凌（2016）在《烟草专卖行政执法风险防控工作研究》分析了建立烟草专卖行政执法法律风险防控体系的必要性，并指出了风险防控中存在的问题和解决举措。iv多数学者均从宏观层面着手进行分析，指出通常企业在运营过程中可能出现的法律风险，纯理论性的研究容易陷入闭门造车的困境，与实践相脱离，缺乏实践中非常需要的法律风险防控体系的落地路径，法律风险防控的方法与日常业务工作的深度融合度不足。另外，现在的研究大多是一种“问题——对策”的线性风险防范措施，这种“头痛医头、脚痛医脚”固然也有相应的作用和价值，但是却无法满足当今法律风险的种类和样式越来越多，法律风险管理难度越来越大的问题，因而对系统性防范法律风险的研究十分具有意义。

二、烟草商业企业法律风险管理体系管理的实践模式与问题

2014年国家烟草专卖局出台了《国家烟草专卖局关于全面深入推进法治烟草建设的意见》，提出烟草行业法律风险防控体系建设的要求，各省烟草专卖局下也发布了各地方的烟草行业法律风险管理要求，例如湖南省发布了《湖南省烟草专卖局关于印发湖南省烟草商业系统法律风险防控管理办法的通知》。在此背景下，地方烟草探索了法律风险防控的方法和路径，取得了一定成果，尤其在增强法律意识、防范化解重大风险、降低纠纷案件发生、保障生产经营和重大决策等方面起到积极的作用。

（一）地市级烟草商业企业法律风险管理体系的实践模式

实践中，各地市烟草商业企业法律风险对管理各有特色，但基本离不开五个步骤。首先，对法律风险进行识别，将尚未发生的、潜在的各种法律风险进行系统、连续地认识和归类，并分析产生法律风险事件的原因。v各地通常使用经验总结法、头脑风暴法、法规梳理法、案例分析法、流程分析法、专家意见法等方法对行政执法、劳动用工、内部管理、卷烟营销、财务管理和招投标等领域的风险进行识别。其次，对识别后的法律风险进行评价和排序分级，明确各法律风险对企业的影响程度。vi再次，根据识别和评价结果制定法律风险清单，将法律风险点、风险类型、风险表现形式、相应管理部口等信息通过列表的形式进行罗列和说明。vii前两步是第三步的基础，法律风险的识别与评价是否客观、全面和准确决定了风险清单的质量。第四步为法律风险预警与监控，通过观察实现设置好的预警指标及变化情况，一方面可以达到检测法律风险识别和评估是否适当，该风险是否可控，另一方面可以在风险形成实质损失之前提醒企业及时进行风险防控，以避免或尽可能地减轻可能发生的风险损失。最后一步为法律风险事件处置，法律风险的管理和预警并不能完全杜绝法律风险事件，对不按岗位职责要求、不按法律风险目录和风险管理手册操作，或者其他已经法律风险行为要进行分析和问责，总结工作的纰漏之处，如是法律风险清单还不完善所导致的问题，则需要及时修订风险清单和风险管理手册。

（二）企业法律风险管理中的问题检视

烟草商业企业经过多年的法律风险管理实践，法律风险管理能力取得了明显的成效，提高了烟草商业系统依法决策、依法行政、依法管理、依法生产经营水平。各地市（州）企业大多构建较为完整的法律风险管理体系，相应配套制度得到加强，干部职工法治意识得到提升，法律风险清单得到有效落实。但不可否认，法律风险管理体系在运行中依然面临着一些值得注意的问题。

1.法律风险管理体系运行推进难

法律风险管理体系作为一个独立的专业风险管理体系，对法律风险管理组织职责，以及法律风险的识别、评估、应对、监督、评价等有着相应的工作运行机制，尽管一些地市级烟草商业企业已通过制度文件做了具体规定，但在实际运行中存在法律风险防控、日常监督检查、评价考核等工作不易实施，法律风险的动态更新和防控未能实现PDCA循環viii运行，难以适应外部法规和监管变化、市场经营环境变化，以及内部业务动态管理的实际要求。

2.法律风险管理融入业务落地难

通过法律风险清单，可以明确法律风险行为、责任后果、法律依据、风险防控措施等，但如果相关规定与业务活动关联性和紧密度不够，对业务实际的复杂性、多变性缺乏针对性措施，导致法律风险防控相关规定常常被束之高阁，未能实际落实到业务过程操作，业务人员按业务流程或习惯性工作，对业务中的法律风险防控无意识，导致法律风险管理与业务实际脱节的问题较为突出。

3.经营中重复性法律问题解决难

日常经营中常常一些重复性的法律问题，亟待以更加科学的方法进行改善。如烟草零销店陈设不规范涉嫌烟草广告违规、因供货不足或内部调节可能涉及的断供限供违规、因营销人员言辞或行为不当可能涉嫌价格垄断违规、烟草零售的行政许可办理违规、执法人员现场检查或案件取证行为违规等。

（三）企业法律风险管理中的问题成因分析

1.法律风险管理缺乏系统性的全局性构建

按照系统论ix的观点，企业法律风险管理要从企业系统和要素之间、要素与要素之间，以及系统与外界环境之间的相互联系、相互作用中，考察和研究企业法律管理对象，把企业的内部对象与外界环境结合起来，运用定性研究与定量分析等各种手段，进行企业法律的最佳处理。而目前烟草商业企业的法律风险管理体系的系统性科学性有待进一步提升，要素和要素之间相对比较独立，例如法律风险管理的五个步骤比较分割，联系性不够紧密，相互之间也没有给到及时的反馈，导致法律风险总是出现遗漏或者交叉重復的现象。其次，所采用的应对方法比较单一，普遍采取事后防控的应对方法，对如何监控和预警难以把握。第三，企业风险管理的配套工作不足，例如对于法律风险管理的监督制度缺乏，对相关工作人员的培训与考核工作也缺乏相应的制度安排等等。

2.法律风险管理并未转化为标准化的文件

标准化是指在企业的生产、经营、管理范围内获得最佳秩序，对实际或潜在的问题制定共同的和重复使用规则的活动。x目前，法律风险管理主要是凭借相关人员的主观意识进行，法律风险识别与评价如此，在风险清单列成之后的具体实施也如此。法律风险管理缺乏标准化，那么风险清单就的作用就局限于对工作人员的提示，缺乏对工作人员的规制作用，法律风险管理效果比较有限。

3.法律风险管理与具体业务办理之间存在距离

现在的法律风险管理体系更多只是将法律风险进行识别并形成法律风险清单，没有将与业务流程操作结合起来，法律风险管理要求与业务过程之间存在障碍。业务人员即使有法律风险清单，但是也不知该如何避免法律风险。

三、地市级烟草商业法律风险管理体系系统性完善的顶层设计

法律风险管理在烟草行业内不是新课题，已形成固有的体系架构，但仍存在体系运行推进难、业务管理融入难、重复问题解决难等较多现实问题，通过“头痛医头、脚痛医脚”只能“治标而不治本”，甚至“治标”的效果也非常有限。因而必须积极探索法律风险管理更加科学的思维和方法，致力于为企业生产经营提供更好的法治保障。

（一）地市级烟草商业企业法律风险管理的机制设计

解决法律风险管理体系运行推进难的关键就是要创新管理思维和方法，突破法律风险管理与业务标准化管理两个独立体系的边界，抓住管理的共性、体系运行的关联性，在不改变管理实质的基础上，使法律风险管理与业务标准化管理实现协同，通过重构的方法构建形成法律风险管理与标准化管理体系协同及业务融合落地框架，主要包括“三个协同”和“五个融合”。

1.法律风险管理与标准化管理体系相协同

（1）组织职责协同。在组织职责上将法律风险管理的职能与标准化管理的职能进行关联，包括标准化办公室将标准化管理工作与风险管理相关工作相协同，法规部门将法律风险管理与标准化办公室和业务部门的标准文件制订和修编相协同，审计监督部门将标准化管理与法律风险管理有效性评价相关职责相协同等。

（2）运作机制协同。运作机制协同是在优化法律风险管理体系运行机制的基础上，重构法律风险管理运行流程，将法律风险的识别与评估、法律风险应对（事件、日常、事后）、宣贯培训、监督检查、评价改进等工作与标准化管理运行工作协同运行实施，实现属性类同、高度关联的工作事项一次完成，最大限度地避免工作重复、交叉，相关工作开展按照“同时计划、同时实施、同时检查、同时考核”，实现两者协同运作和信息共享。

（3）规范文件协同。规范文件协同要求，法律风险管理规范也作为标准文件与其他标准规定同步实施。一方面编制法律风险管理指南，对法律风险管理的具体工作标准进行规范，并提出法律风险管理融入业务的标准方法。另一方面修订标准化管理规范，将法律风险管理组织职责协同、运行机制协同的工作在标准化管理规范中具体反映。

2.法律风险管理与业务相融合

解决法律风险管理与业务实现深度融合的问题，需要以业务流程操作为基础，以业务人员需求为导向，突破法律风险管理要求与业务过程之间的障碍，使两者建立实质关联，其中的重点是“明确业务管理过程及法律风险防控过程”，即在现行业务管理的基础将法律风险管理要求融入其中，使两者融为一体。同时，通过业务管理过程的基本载体，如制度文件、流程规范、岗位职责、工作表单等反映法律风险防控的具体要求。

（1）融入业务标准。业务标准是业务人员开展相关业务工作的基本依据和规范要求，将法律风险管理融入业务标准即可明确并规范业务过程中相关法律风险的防控责任和具体要求，以期待在制度层面实现业务融合，以及业务过程落实法律风险防控的保障。

（2）融入流程操作。法律风险管理融入业务流程操作主要包括两种方式：其一，在流程关键环节详细说明日常业务流程操作中法律风险防控的具体措施，作为日常业务操作的规范性要求;其二，对于法律风险防控不充分的情形下，在业务流程环节说明中补充法律风险防控措施，以强化流程操作的法律风险防控。

（3）融入业务表单。业务表单是业务流程工作信息的记录，通常记录和反映法律风险防控措施的执行情况，同时，一旦发生法律纠纷，业务表单也是重要的证据材料。可以根据业务流程法律风险防控的实际需求，在流程重要节点处使用或补充完善对应的业务表单，记录法律风险防控措施在实际业务中信息，以达到风险防控的效果。

（4）融入岗位职责。岗位是法律风险管理融入业务的重点，需要明确岗位在业务中法律风险防控的具体措施和责任要求，并落实到岗位责任书或岗位工作标准中，以此规范岗位在日常业务中活动。在此基础上，对于法律风险相对集中、业务重要性高的关键岗位，还要加强培训教育、上岗考核、岗位监督和责任追究等管理工作，强化岗位对法律风险防控责任的落实。

（5）融入信息系统。将法律风险管理要求嵌入到信息系统中可以固化业务流程环节的法律风险防控措施、业务表单、岗位责任等，降低人为因素干扰，提高法律风险管理效果。同时，立法信息系统可以将法律风险管理运行工作在系统上实现，提高信息使用效率和价值，如系统上建立或集成风险信息库，以方便业务人员和管理人员在起草、审批或者监督中实时查看法律风险信息。

四、多举措完善地市级烟草商业企业法律风险管理体系

（一）修编业务规范文件中强调法律风险防控要求

各业务部门和法律风险管理人员在梳理外部法律信息时，重点关注相关法律法规对企业工作的规范性要求和禁止性规定，将相应的规范要求以及企业制定法律风险防控措施融入业务管理规范文件中。以营销法律风险防控融入业务管理规范为例，营销部门针对评估的法律风险，将法律法规对企业工作的规范性要求、禁止性规定及企业制定的关键和重大法律风险防控措施融入业务管理规范中，再由企业法规部对业务规范文件进行审查，确保文件符合法律法规规定以及控制措施在落实过程中有制度可依。

（二）制定流程风险防控指引等规范业务流程操作

针对流程中重要的业务场景或易发生法律风险的情形，制定法律风险防控专项指引，作为业务管理规范的补充性支撑，制定流程环节上法律风险防控的具体措施，指导流程操作。如针对专卖许可流程中的“实地勘验、综合审查”两个业务场景，识别出许可证受理审查违规风险，制定具体的风险防控措施，并规范化业务表单。

（三）规范关键岗位法律风险防控责任

针对法律风险集中、重要性高的关键岗位，制定《岗位法律风险防控操作规范》，涵盖该岗位主责的全部法律风险以及相应的法律风险防控要求。对岗位工作法律风险突出的场景，明确关键岗位在业务过程的法律风险防控要求、标准话术。

（四）通过业务和管理信息系统固化法律风险防控要求

在营销、专卖系统的操作环节中按业务流程法律风险防控指引和相关表单的要求，改进更新相应的信息系统功能等，将法律风险防控措施通过各业务系统进行固化，增强业务系统风险防控能力。同时，研究开发专门的法律风险管理信息平台，包含常规系统功能、法制宣传管理、法律咨询管理、纠纷案件管理、法律风险信息管理、风险控制计划管理、统计分析管理等功能模块，实现风险清单、控制措施、典型案例及相关业务数据、风险控制数据统一管理，以及法律风险防控管理运行工作信息化手段落实。

（五）加强法律风险管理监督检查

监督检查能够给一线工作人员加以“外约束力”，使法律风险管理发挥更好的作用。法律风险管理监督检查可与标准化管理监督检查同步实施，检查过程中依据要求重点监督检查文件符合性、记录符合性、工作符合性，并如实填写《标准监督检查表》，详细描述检查情况和依据标准条款给出检查结论，对检查发现的问题通过《标准监督检查反馈表》及时跟踪整改情况，督促各部门及时落实整改工作。

（六）加强业务流程和岗位操作的培训与考核

培训与考核是一项有效提高工作人员的工作能力的方法，在法律风险管理的培训和考核主要可以从以下四点展开。首先，将法律风险管理宣贯培训纳入年度标准化宣贯培训计划，各部门落实法律风险管理宣贯培训的主体责任，将法律风管理宣贯培训与标准宣贯培训、业务培训相结合，纳入部门年度培训计划。其次，丰富多种培训形式，包括现场教学、线上多媒体教学、图鉴和动图小程序推广等。第三，对岗位人员开展统一的法律素养必修培训和对关键岗位有针对性的岗位法律风险防控培训，建立关键岗位培训合格再上岗机制，提升岗位人员的法律风险意识和风险管理水平。最后，建立培训效果评估指标和标准体系，对培训是否达到了预期的目标，培训计划是否有效实施等方面进行全面的检查、分析和评价。

参考文献：

i《市场经济必然是法治经济》，载习近平：《之江新语》，浙江出版联合集团、浙江人民出版社2007年版，第203页。

ii孟晓俊，肖作平，曲佳莉.企业社会责任信息披露与资本成本的互动关系——基于信息不对称视角的一个分析框架[J].会计研究，2010（09）：25-29+96.

iii左胜超.重庆市烟草专卖立法及行政执法风险规避对策[J].重庆与世界（学术版），2015，32（12）：98-99+117.

iv肖凌.烟草专卖行政执法风险防控工作研究[J].现代国企研究，2016（22）：171.

v王晓燕. 现代企业法律风险管理体系研究[D].中国政法大学，2007.

vi裴中同. 企业法律风险基础理论与实践研究[D].中国社会科学院研究生院，2011.

vii马彦强. 国药中生兰州公司法律风险管理体系构建研究[D].兰州大学，2015.

viiiPDCA循环具体是指，对于任何一个质量目标都要提出一个计划，这个计划不仅包括目标，还应包括实现目标应采取的具体措施。引自：李帅，高宇.过程方法與PDCA循环在质量管理体系中的应用[J].长江大学学报（社会科学版），2007（S1）：37-38.

ix 系统论是一种关联性的视角，从整体出发来研究系统整体和组成系统整体各要素的相互关系，将相互关联、相互制约、相互作用的一些要素构成具有一定功能的整体。参见朱晓峰.生命周期方法论[J].科学学研究，2004（06）：566-571.

x 2017版本的《企业标准体系要求》并无直接直接对标准化定义，参考GB/T15496-2003《企业标准体系要求》（2003）的定义。