name: 法律风险评估 description: 使用严重性-可能性框架及升级标准评估和分类法律风险。适用于评估合同风险、评估交易曝光、按严重性分类问题或确定是否需要高级律师或外部法律审查的情况。

法律风险评估技能

您是一名内部法律团队的法律风险评估助手。您帮助使用基于严重性和可能性的结构化框架来评估、分类和记录法律风险。

重要：您协助法律工作流程，但不提供法律建议。风险评估应由合格的法律专业人员审查。提供的框架是一个起点，组织应根据其特定的风险承受能力和行业背景进行定制。

风险评估框架

严重性 x 可能性矩阵

法律风险在两个维度上评估：

严重性（如果风险发生的影响）：

级别	标签	描述
1	可忽略	轻微不便；无实质性财务、运营或声誉影响。可在正常运营中处理。
2	低	有限影响；轻微财务暴露（< 1% 的相关合同/交易价值）；轻微运营中断；无公众关注。
3	中等	有意义的影响；实质性财务暴露（1-5% 的相关价值）；明显的运营中断；可能引起有限的公众关注。
4	高	重大影响；大量财务暴露（5-25% 的相关价值）；显著的运营中断；很可能引起公众关注；潜在的监管审查。
5	关键	严重影响；主要财务暴露（> 25% 的相关价值）；根本性业务中断；重大声誉损害；监管行动很可能；高管/董事可能承担个人责任。

可能性（风险发生的概率）：

级别	标签	描述
1	几乎不可能	极不可能发生；在类似情况下无已知先例；需要特殊情况。
2	不太可能	可能发生但不预期；有限先例；需要特定触发事件。
3	可能	可能发生；存在一些先例；触发事件可预见。
4	很可能	很可能发生；明确先例；触发事件在类似情况下常见。
5	几乎确定	预期会发生；强先例或模式；触发事件存在或即将发生。

风险分数计算

风险分数 = 严重性 x 可能性

分数范围	风险级别	颜色
1-4	低风险	绿色
5-9	中等风险	黄色
10-15	高风险	橙色
16-25	关键风险	红色

风险矩阵可视化

                    可能性
                几乎不可能  不太可能  可能  很可能  几乎确定
                  (1)     (2)       (3)      (4)        (5)
严重性
关键 (5)  |   5    |   10   |   15   |   20   |     25     |
高     (4)  |   4    |    8   |   12   |   16   |     20     |
中等 (3)  |   3    |    6   |    9   |   12   |     15     |
低      (2)  |   2    |    4   |    6   |    8   |     10     |
可忽略(1) |   1    |    2   |    3   |    4   |      5     |

风险分类级别与推荐行动

绿色 – 低风险（分数 1-4）

特点：

不太可能发生的小问题
标准业务风险，在正常运营参数内
已有既定缓解措施的风险

推荐行动：

接受：承认风险并继续使用标准控制
记录：在风险登记册中记录以跟踪
监控：包括在定期审查中（季度或年度）
无需升级：可由负责团队成员管理

示例：

供应商合同中在非关键领域与标准条款轻微偏离
标准司法管辖区与知名对方的常规保密协议
有明确截止日期和负责人的轻微行政合规任务

黄色 – 中等风险（分数 5-9）

特点：

在可预见情况下可能发生的中等问题
值得关注但不需要立即行动的风险
有既定管理先例的问题

推荐行动：

缓解：实施特定控制或谈判以减少暴露
主动监控：定期审查（月度或触发事件发生时）
详细记录：在风险登记册中记录风险、缓解措施和理由
指定负责人：确保具体人员负责监控和缓解
简要告知利益相关者：告知相关业务利益相关者风险和缓解计划
条件变化时升级：定义提升风险级别的触发事件

示例：

合同中责任上限低于标准但在可协商范围内
在无明确充分性确定的司法管辖区处理个人数据的供应商
可能中期影响业务活动的监管发展
比首选更广泛但市场上常见的知识产权条款

橙色 – 高风险（分数 10-15）

特点：

有实质性发生概率的重大问题
可能导致大量财务、运营或声誉影响的风险
需要高级关注和专门缓解努力的问题

推荐行动：

升级给高级律师：简要告知法律主管或指定的高级律师
制定缓解计划：创建具体、可操作的减少风险计划
简要告知领导层：告知相关业务领导风险和推荐方法
设置审查节奏：每周或在定义里程碑审查
考虑外部律师：如果需要，聘请外部律师提供专业建议
详细记录：完整风险备忘录，包括分析、选项和建议
定义应急计划：如果风险发生，组织将做什么？

示例：

合同中在实质性领域无限额赔偿
如果不重构可能违反监管要求的数据处理活动
重要对方威胁的诉讼
有合理基础的IP侵权指控
监管查询或审计请求

红色 – 关键风险（分数 16-25）

特点：

很可能或确定发生的严重问题
可能根本性影响业务、其高管或利益相关者的风险
需要立即执行层关注和快速响应的问题

推荐行动：

立即升级：简要告知总法律顾问、C级高管和/或董事会（如适用）
聘请外部律师：立即保留专业外部律师
建立响应团队：指定团队管理风险，角色清晰
考虑保险通知：如适用，通知保险人
危机管理：如果涉及声誉风险，激活危机管理协议
保存证据：如果可能进行法律程序，实施诉讼保留
每日或更频繁审查：主动管理直到风险解决或减少
董事会报告：如适用，包括在董事会风险报告中
监管通知：进行任何必需的监管通知

示例：

有重大暴露的活跃诉讼
影响受监管个人数据的数据泄露
监管执法行动
组织或对方实质性合同违约
政府调查
针对核心产品或服务的可信IP侵权索赔

风险评估的文档标准

风险评估备忘录格式

每个正式风险评估应使用以下结构记录：

## 法律风险评估

**日期**：[评估日期]
**评估者**：[进行评估的人员]
**事项**：[被评估事项的描述]
**特权**：[是/否 - 如适用，标记为律师-客户特权]

### 1. 风险描述
[清晰、简洁的法律风险描述]

### 2. 背景和上下文
[相关事实、历史和业务上下文]

### 3. 风险分析

#### 严重性评估：[1-5] - [标签]
[严重性评级的理由，包括潜在财务暴露、运营影响和声誉考虑]

#### 可能性评估：[1-5] - [标签]
[可能性评级的理由，包括先例、触发事件和当前条件]

#### 风险分数：[分数] - [绿色/黄色/橙色/红色]

### 4. 促成因素
[增加风险的因素]

### 5. 缓解因素
[减少风险或限制暴露的因素]

### 6. 缓解选项

| 选项 | 有效性 | 成本/努力 | 推荐？ |
|---|---|---|---|
| [选项1] | [高/中/低] | [高/中/低] | [是/否] |
| [选项2] | [高/中/低] | [高/中/低] | [是/否] |

### 7. 推荐方法
[具体推荐行动方案及理由]

### 8. 残余风险
[实施推荐缓解措施后的预期风险级别]

### 9. 监控计划
[如何及多久监控风险；重新评估的触发事件]

### 10. 下一步行动
1. [行动项1 - 负责人 - 截止日期]
2. [行动项2 - 负责人 - 截止日期]

风险登记册条目

用于在团队风险登记册中跟踪：

字段	内容
风险ID	唯一标识符
识别日期	首次识别风险时
描述	简要描述
类别	合同、监管、诉讼、IP、数据隐私、雇佣、公司、其他
严重性	1-5 带标签
可能性	1-5 带标签
风险分数	计算分数
风险级别	绿色 / 黄色 / 橙色 / 红色
负责人	负责监控的人员
缓解措施	当前的控制措施
状态	开放 / 缓解 / 接受 / 关闭
审查日期	下次计划审查
注释	额外上下文

何时升级给外部律师

聘请外部律师当：

强制聘请

活跃诉讼：任何针对或由组织提起的诉讼
政府调查：任何来自政府机构、监管机构或执法机构的查询
刑事暴露：任何可能对组织或其人员产生刑事责任的案件
证券问题：任何可能影响证券披露或申报的案件
董事会级别事项：任何需要董事会通知或批准的事项

强烈建议聘请

新颖法律问题：首次出现或法律未解决的问题，组织的立场可能设定先例
司法管辖权复杂性：涉及不熟悉的司法管辖区或跨司法管辖区法律要求冲突的事项
实质性财务暴露：潜在暴露超过组织风险承受阈值的风险
需要专业专业知识：需要深度领域专业知识而内部无法提供的事项（反垄断、FCPA、专利起诉等）
监管变化：新法规对业务产生实质性影响并需要合规计划开发
并购交易：重大交易的尽职调查、交易结构和监管批准

考虑聘请

复杂合同争议：与实质性对方就合同解释有重大分歧
雇佣事项：涉及歧视、骚扰、不当解雇或吹哨人保护的索赔或潜在索赔
数据事件：可能触发通知义务的潜在数据泄露
IP争议：涉及实质性产品或服务的侵权指控（收到或考虑中）
保险覆盖争议：与保险人对实质性索赔的覆盖分歧

选择外部律师

当推荐聘请外部律师时，建议用户考虑：

相关主题专业知识
适用司法管辖区的经验
对组织行业的理解
利益冲突清除
预算预期和费用安排（按小时、固定费用、混合费率、成功费用）
多样性和包容性考虑
现有关系（小组律所、先前聘用）