论《巴塞尔新资本协议》中的法律风险——兼谈我国商业银行法律风险监管制度的构建

论《巴塞尔新资本协议》中的法律风险——兼谈我国商业银行法律风险监管制度的构建*

Legal Risk in the Context of the Basel ew Capital Accord

刘 轶

【学科分类】国际经济法

【摘要】《巴塞尔新资本协议》首次将法律风险纳入国际银行资本充足监管框架，为商业银行的风险管理和各国的银行资本监管提出了新的更高的要求。本文通过解读该协议的有关规定，对于法律风险的概念和特征、管理法律风险的组织结构、法律风险的管理程序等问题进行了系统阐述，并就我国如何构建商业银行法律风险监管制度提出了若干建议。本文指出：法律风险是指银行因经营活动不符合法律规定或者外部法律事件导致风险敞口的可能性，可分为操作性法律风险和环境法律风险两种类型；法律风险是一种特殊类型的操作风险，它普遍地存在于商业银行业务活动和管理控制的各个方面；由董事会和高级管理层、法律风险管理部门以及内部审计部门共同组成的组织结构是法律风险管理体系有效运作的基础；法律风险的管理程序一般包括识别、评估、监测以及控制和缓释等四个循环往复的过程；我国应当积极借鉴《巴塞尔新资本协议》体现的先进的监管理念和成熟的风险管理经验，通过制定监管指南的方式，从明确法律风险的表现形式、引导商业银行完善管理法律风险的组织结构以及推动商业银行开发管理法律风险的技术和方法等三个方面入手，初步建立起法律风险监管制度。

Legal risk is initially included in the capital adequacy regulatory framework of international banks by the ew Basel Capital Accord, which poses a higher standard for risk management and capital regulations of the banking industry. By explaining the related provisions of the ew Basel Capital Accord, this article systematically examines the concept and nature of legal risk and the institutional framework and process for legal risk management, and produces some advice on the establishment of China’s regulatory framework for legal risks. As for the ew Basel Capital Accord, legal risk means the possibility of increased exposure cause by unlawful transactions or unfavorable external legal event, including two categories, i.e., operational legal risk and environmental legal risk. Legal risk is a particular form of operational risk, widespread in banks’ all business lines, and banks should allocate enough capital for it. An effective management framework of legal risks shall be based on a sound governance structure composed of the board/senior management, legal function and internal audit committee. Banks shall implement processes and procedures to identify, assess, monitor and control/mitigate legal risks. Chin

a’s regulatory authority shall borrow the advanced concept and best practices embodied in the ew Basel Capital Accord, and enact guidelines, in which legal risk is precisely defined, to help Chinese banks improve governance structure and develop skills and techniques for legal risk management.

【关键词】新资本协议；法律风险；风险监管；风险管理

【写作年份】2005年

【正文】

李仁真* 刘 轶**

近十多年来，金融全球化进程极大地改变了整个国际金融市场的面貌。在新的市场环境中，国际活跃银行（internationally active banks）大规模地跨境和跨行业拓展业务，积极地利用外包（outsourcing）和互联网等方式提供金融服务，广泛地运用各种风险缓释技术（risk mitigation techniques）。于是，国际银行业的风险状况日益复杂，除了传统的信用风险（credit risk）和市场风险（market risk）外，法律风险（legal risk）在商业银行风险组合中的地位不断上升，对其风险总量的影响也越来越大。巴塞尔银行监管委员会（Basel Committee on Banking Supervision，以下简称巴塞尔委员会）在2004年6月公布的《统一资本计量和资本标准的国际协议：修订框架》（International Convergence of Capital Measurement and Capital Standards: A Revised Framework，以下简称《新资本协议》） 中，首次将法律风险纳入了国际银行资本充足率监管框架，要求国际活跃银行采用规定的方法计量法律风险，并以此为基础确定其资本标准。该协议对商业银行全面风险管理体系的建立以及各国银行资本监管制度的完善都提出了更高的要求，并将于2006年底开始在十国集团国家实施。因此，解读《新资本协议》和其他有关巴塞尔文件的规定 ，阐明“什么是法律风险”、“由谁来管理法律风险”和“如何管理法律风险”等问题，将有助于推动我国银行监管制度与国际银行监管惯例接轨，优化银行公司治理结构，提高银行业的风险管理水平和综合经营能力。

一、法律风险的概念及类型

众所周知，法律风险是银行业务中的固有风险。然而，对“什么是法律风险”，各国监管当局的理解并不一致。例如，英国金融服务局（FSA）侧重于从制度层面上来理解法律风险，认为这种风险是因“法律的效力未能认识到”、“对法律效力的认识存在偏差”或者“在法律效力不确定的情况下开展经营活动”而使“金融机构的利益或者目标与法律规定不一致而产生的风险”。 而美国联邦储备委员会（FRB）则侧重于从交易层面上来认识法律风险，认为诉讼、客户基于规避法律或者避税的目的而与银行进行的交易，以及客户实施的其他违法或者不当行为都可能给银行带来

法律风险。 芝加哥储备银行（Federal Reserve Bank of Chicago）也认为：“法律风险是不可执行的合同、诉讼或者不利判决等使银行的营业中断或者对银行的业务活动或者经营条件产生不利影响的可能性。”

就“什么是法律风险”形成共识，无疑是建立统一的商业银行法律风险监管制度和管理体系的基础。为此，巴塞尔委员会在《有效银行监管核心原则》（以下简称《核心原则》）中首次以列举的方式对法律风险下了一个定义。《核心原则》指出，法律风险主要表现为因下列情形而引发的风险：（1）不完善或者不正确的法律意见或者业务文件；（2）现有法律可能无法解决与银行有关的法律问题；（3）法院针对特定银行作出的判决；（4）影响银行和其他商业机构的法律可能发生变化；（5）开拓新业务且交易对手的法律权利不明确。 为使各商业银行在建立和实施法律风险管理体系方面保有一定的主动性和灵活性，《新资本协议》在前述定义的基础上又作了概括性的说明，即“法律风险包括但不限于因监管措施和解决民商事争议而支付的、罚金或者惩罚性赔偿所导致的风险敞口（risk exposure）”， 并明确要求国际活跃银行采用规定的方法计量法律风险并为之配置相应的资本。

近年来，虽然许多国际活跃银行在法律风险的管理方面已开展了卓有成效的工作，但从整个国际银行业来看，法律风险的管理方法和技术仍然处于初期的开发阶段，“近期内还不可能达到像量化信用风险和市场风险那样的精确程度” 。为了推动有关法律风险管理和监管惯例的尽早形成，国际律师联合会（IBA）专门成立了一个“法律风险工作组”（Working Party on Legal Risk），负责对上述问题展开深入的研究。经过一段时期的努力，该工作组将“法律风险”界定为：法律风险是指银行因经营活动不符合法律规定或者外部法律事件导致风险敞口的可能性。这一定义，比较清楚地说明了法律风险这一特定现象的质的规定性，立即得到学界的广泛认同。

分析起来，法律风险又分为操作性法律风险（operational legal risk）和环境法律风险（environmental legal risk）两种类型。

所谓操作性法律风险，是指因银行自身的操作风险控制体系不充分或者无效，未能对法律问题作出反应而产生的风险。这种类型的法律风险与特定的银行相联系，并主要表现为以下三种情形：其一，有瑕疵的交易，包括：（1）进行一项交易，未能按照本来的意图分配权利义务和相关的风险；（2）进行一项交易，该交易整体上或者其主要部分是无效的或者不可执行的，或者可能被认定为无效或者不可强制执行（无

论基于何种原因）；（3）进行一项交易，该交易赖以存在的陈述或者调查具有误导性或者是错误的，或者未能披露重要事实或者交易条件；（4）对一项或者多项交易的后果存在误解（例如，认为抵销权存在，但事实上并不存在；或者认为自己对破产的对方当事人享有某些权利，但事实上并不享有这些权利）；（5）缔结一项合同，该合同没有或者可能没有一种有效的或者公平的争议解决程序（或者执行判决/仲裁裁决的程序）可以适用；（6）轻率地缔结一项合同；（7）担保安排存在或者可能存在瑕疵（无论基于何种原因）。其二，导致该金融机构承担责任或者其他损失（例如合同终止的后果）的诉讼请求，包括对该诉讼请求的反驳或者反诉。其三，未能采取适当的措施保护该金融机构拥有的资产，例如知识产权。

所谓环境法律风险，是指法律本身导致意外的、不利的后果的风险。 其主要表现为可能对所有商业银行的风险敞口产生不利影响的外部法律事件，即法律的变化。与前述操作性法律风险相比，环境法律风险不仅有着不同的风险来源和风险事件类型，而且还属于不可控风险，单个银行无法采取有效的措施阻止特定风险事件的发生。尽管如此，银行仍然可以运用风险缓释技术把环境法律风险的不利影响降低到可以接受的水平。因此，环境法律风险管理也是商业银行法律风险管理体系不可或缺的组成部分。

二、法律风险的特征

银行业务的本质决定了它将面临各种类型的风险，比如信用风险、市场风险、操作风险、法律风险、战略风险、声誉风险等。银行监管者和管理者需要了解这些风险，并确保银行能够有效地管理这些风险。因此，准确把握法律风险的特征，厘清法律风险与其他风险类型的关系，是构建高效的风险监管框架和风险管理体系的前提，对于商业银行内部各风险管理部门职责的合理划分以及监管方法和风险管理技术的正确选用也具有重要意义。

首先，法律风险是一种特殊类型的操作风险。根据《新资本协议》的规定，操作风险（operational risk）是指“由不完善或者失效的内部程序、人员和系统或者外部事件造成损失的风险。本定义包含法律风险，但不包含战略风险（strategic risk）和声誉风险（reputaional risk）” 。从上述定义来分析，操作风险不仅包括一般性操作风险（general operational risk），也涵盖了操作性法律风险。归纳起来，操作风险事件主要有以下七种类型：（1）内部欺诈；（2）外部欺诈；（3）雇佣政策和工作场所安全；（4）客户、产品和业务操作；（5）实物资产的毁损；（6）业务中断和系统失灵；（7）

执行、传递和业务流程管理。 通常，前两种风险事件（内部欺诈和外部欺诈）不可能属于法律风险事件，尽管银行在这些风险事件中可能遭受损失，但这些损失与法律责任无关；后五种操作风险事件则都有可能引发法律风险。 由此可见，法律风险并不是操作风险的一种独立风险来源和风险事件类型，而是一种因内部程序、人员和系统或者外部事件造成的，具有一定法律特征并需要由法律人员（内部律师或者外聘律师）运用专业判断才能够有效地管理的操作风险。

其次，法律风险区别于信用风险和市场风险的一个重要特征，在于它与“法律”的紧密联系，且普遍地存在于商业银行业务活动和管理控制的各个方面。研究表明，信用风险是指“银行的借款人或者交易对手不能按照事先达成的协议履行义务的可能性” ，它与特定的某个或者多个交易对手相联系；市场风险是指“因市场价格变动而导致银行表内外头寸遭受损失的风险” ，它与特定的产品、资产组合或者资产类别相联系；而法律风险则是指银行因经营活动不符合法律规定或者外部法律事件导致风险敞口的可能性，它与特定的内部程序、人员、系统或者外部法律事件相联系，其信息来源异常分散。正是因为如此，对信用风险和市场风险的管理强调统一和集中，风险管理活动主要由相应的风险管理部门来进行，而对法律风险的管理则强调分散化。除了法律风险管理部门，所有的业务部门以及与管理和控制有关的部门（如操作风险管理部门）都在法律风险管理程序中承担相应的责任。因此，法律风险管理体系应当独立于信用风险和市场风险管理体系，其管理程序和主要方法也不同于管理信用风险和市场风险的程序和方法。 当然，法律风险与信用风险、市场风险也有一定的联系。商业银行常常使用各种风险缓释技术 来优化信用风险和市场风险，这很可能引发一些操作性法律风险。例如，用来降低信用风险的合同安排可能不符合法律的规定。值得注意的是，信用风险和市场风险事件也可能涉及某些法律问题，例如商业银行以违约的借款人为被告提起民事诉讼等，但是这些法律问题并不涉及法律风险，因为银行并未因此而承担法律责任。正如有的法律风险管理专家指出的那样，“《新资本协议》在有关操作风险的规定中提及法律风险，但不应误认为所有的法律问题都必须作为操作风险对待。与操作风险有关的法律问题属于操作风险，与其他类型风险有关的法律问题也应属于其他类型风险的范畴。”

再次，法律风险也不同于合规风险，因为商业银行需要为之配置充足的资本。所谓合

规风险（compliance risk），是指“银行因未能遵守法律、监管规定、规则、自律性组织制定的有关准则，以及适用于银行自身业务活动的行为准则而可能受到法律制裁或者监管处罚、重大财务损失或者声誉损失的风险。……合规所涉及的法律、规则和准则不仅包括那些具有法律约束力的文件，还包括更广泛意义上的诚实守信和道德行为准则” 。显然，合规风险广泛涵盖了一般性操作风险、操作性法律风险和声誉风险，但不包括环境法律风险和其他的外部事件风险。虽然巴塞尔委员会一直强调商业银行应当有效地管理各种风险，但是《新资本协议》只对信用风险、市场风险和操作风险提出了资本要求。合规风险管理主要是针对内部控制体系的建立和实施情况，其目的在于确保银行遵循有效的合规政策和程序，并采取适当的措施纠正违规行为，计量风险并不是合规风险管理程序的重点。因此，对于属于合规风险但不属于操作风险和法律风险的声誉风险，商业银行只须审慎地管理而不必为之配置资本。但是，对于法律风险，商业银行不仅要采取措施予以控制，而且还应当为抵御这类风险而维持充足的资本。这是法律风险区别于合规风险的重要特征。

三、管理法律风险的组织结构

管理法律风险的组织结构是指商业银行的董事会、高级管理层、法律风险管理部门和其他有关部门在法律风险管理体系中的权责关系。只有在一个良好的组织环境中，法律风险管理体系才能够有效地运作。因此，管理法律风险的组织结构应当明确、合理地划分有关部门的管理职责，并通过在各部门之间建立报告或者协调机制来确保管理法律风险的措施能够被所有相关部门理解和有效实施。

（一）董事会和高级管理层

商业银行的董事会和高级管理层负有对法律风险管理体系实施有效监控的职责。正反两个方面的实践经验表明，当一家银行的文化以高标准的道德操守来严格要求其高级管理者时，法律风险管理体系才会发挥最大的作用。如果管理层不率先垂范，确保银行从良好的风险管理实践中获益，那么这家金融机构就难逃经营失败的厄运。董事会和高级管理层负责对银行的法律风险管理体系实施有效的监控，其首要任务就是营造一种适宜的法律风险管理环境。董事会和高级管理层应当通过各种行动和言语，努力创建这样一种企业文化，将有效的法律风险管理和保持稳健的操作控制作为重中之重。

首先，董事会应当对法律风险管理体系的建立和实施承担最终责任。董事会应当了解本行的主要法律风险，并将其作为一种必须加以管理的主要风险类别，核准并定期审

核本行的法律风险管理体系。 具体地讲，董事会应履行下列两项职责：（1）审批法律风险管理的战略、政策和程序，包括定义法律风险，确定可承受的法律风险水平、明确管理法律风险的方法并建立有效的执行法律风险管理体系的组织结构。（2）督促高级管理层采取必要的措施管理法律风险，定期获得法律风险管理报告，监控和评价法律风险管理的全面性、有效性以及高级管理层在管理法律风险方面履行职责的情况。

其次，高级管理层负责执行经董事会核准的法律风险管理体系。具体地讲，高级管理层应承担下列两项职责：（1）制定、定期审核并监督执行法律风险管理的政策和程序，及时了解法律风险管理水平及其管理状况；（2）是确保银行具备足够的人力、物力，建立合理的组织结构和管理信息系统来有效地管理法律风险。

（二）法律风险管理部门

法律风险管理程序的各个环节都需要由法律人员作出专业判断。因此，商业银行应当指定专门的部门负责管理法律风险。如前所述，法律风险是操作风险的一种特殊表现形式，而其中的操作性法律风险又属于合规风险的范畴。因此，商业银行的法律风险管理体系应当成为操作风险管理体系的一部分，并与合规风险管理体系相互衔接。商业银行可以根据业务性质、规模和复杂程度，组建不同的部门分别管理操作风险、合规风险和法律风险；或者只设置合规风险管理部门和法律风险管理部门，由前者一并负责管理操作风险和合规风险，而后者专门负责管理法律风险；也可以合并设置法律与合规部门，统一管理操作风险、合规风险和法律风险，并在其内部分设相应的风险管理单元（unit）。

无论法律风险管理部门的地位如何，它都应当与承担法律风险的业务经营部门保持相对独立，这是法律风险管理部门有效地履行职责的根本保证。为此，在管理法律风险的组织结构中，法律风险管理部门应当拥有独立的报告路线和调查权力，高级管理层应当对其进行独立于经营业绩的绩效考核，并且避免法律风险管理职责与其他职责之间可能存在的利益冲突。

在法律风险管理体系中，法律风险管理部门应承担下列职责：（1）拟定法律风险管理政策和程序，提交高级管理层和董事会审查批准；（2）识别、评估和监测法律风险；（3）参与操作风险管理程序，并及时向董事会和高级管理层提供独立的风险报告。

为了提高法律风险管理效率，法律风险管理部门可以将部分风险管理工作委托聘请律师进行，但应当对律师地位的独立性及其专业判断的客观性和准确性进行适当的监督。但无论如何，董事会和

高级管理层以及法律风险管理部门在法律风险管理体系中的职责都不会发生变化。

（三）内部审计部门

法律风险管理体系应当受到内部审计部门全面、有效的监督。 为了确保法律风险管理程序的可靠性、充分性和有效性，内部审计部门应当定期对法律风险管理体系的各个组成部分和环节进行独立的审查和评价。内部审计既针对法律风险管理部门，也针对业务经营部门进行，但内部审计报告应当直接提交董事会。董事会应当督促高级管理层对内部审计报告揭示的问题提出改进方案并采取改进措施。随后，内部审计部门还应当跟踪检查并向董事会报告改进方案和措施的实施情况。特别是，在推出可能涉及重大法律风险的新产品和新业务、在设立分支机构或者跨境直接提供金融服务、法律风险管理体系发生重大变化或者存在严重缺陷等情况下，内部审计部门应当扩大法律风险内部审计的范围或者增加审计频率。当然，为了提高审计结果的权威性和可接受性，董事会也可以聘请外部审计师进行部分或者全部法律风险审计工作。

四、法律风险的管理程序

（一）法律风险的识别

法律风险的识别（identification）是运用法律风险的定义对各种风险事件的法律性质进行分析判断的过程。商业银行应当能够识别所有重要的产品、活动、程序和系统中固有的法律风险，这是整个法律风险管理程序的基础性工作。为此，法律风险管理部门应当根据银行在提供有关金融产品和服务方面积累的经验等主观标准以及法律法规的有关规定等客观标准，对业务活动中使用的各种文件的合法性、导致风险敞口的潜在法律责任的性质以及立法、司法和行政执法实践对风险敞口的影响等因素进行全面的分析判断。这种分析判断应针对具体的金融产品和服务及其风险状况来进行，在已经或者准备跨境提供产品和服务的情况下，还应建立在国别的基础之上。

（二）法律风险的评估

法律风险的评估（assessment）是对已经识别出的法律风险进行量化的过程。根据量化结果，银行能够确定可接受的和不可接受的法律风险敞口，并对后者采取适当的风险缓释措施。按照《新资本协议》的有关规定，商业银行可以根据业务性质、规模和复杂程度以及法律风险管理水平选取基本指标法（Basic Indicator Approach）、标准法（Standardised Approach）或者高级计量法（Advanced Measurement Approach）来计提法律风险资本。 其中，高级计量法要求商业银行依据风险敞口指标（exposure indicator）、风险事件发生的概率（probability）和风险事件损失（loss given event）等三个方面的数据来计算各业务线（business lin

e） 的预计损失量（expected loss amount），并以此为基础汇总确定其法律风险资本标准。为此，商业银行必须建立并实施独立的法律风险评估程序。 基本指标法和标准法则对法律风险没有敏感性，不考虑不同商业银行在法律风险管理水平方面的差异，只要求商业银行根据年度业务总收入或者各业务线年度业务收入的一定比例来计提法律风险资本。 在这种情况下，独立的法律风险评估程序并不是法律风险管理的必经阶段。尽管如此，对法律风险进行有效的评估也会使商业银行更准确地掌握自身的风险状况。

巴塞尔委员会指出，对内部损失事件数据的跟踪记录是开发使用可靠的法律风险评估体系的前提。 因此，损失数据的获取是法律风险评估程序的重点和难点。按照《新资本协议》的有关规定，在采用高级计量法计提法律风险资本时，应当以至少五年的损失数据为基础计算确定法律风险事件发生的概率和法律风险事件损失。 为此，法律风险管理部门应当注意收集本行的法律风险损失数据，并按业务线、法律风险事件类型和法律责任的性质分类进行统计；如果内部损失数据不充分，或者商业银行的法律风险管理水平较高，没有发生“足够”的损失事件，就必须考虑利用相关的外部数据，即同业数据。这些数据可以是公开的数据，也可以是行业集合数据。

（三）法律风险的监测

法律风险的监测（monitoring）是及时地对已经识别出的法律风险进行重要性（significance）方面的判断和评价，并向董事会和高级管理层报告重要的法律风险信息的过程。巴塞尔委员会指出，商业银行应当建立一系列程序来定期监测法律风险状况和重大的法律风险事件。 有效的法律风险监测程序对充分管理法律风险而言至关重要。定期监测行为有助于迅速发现并纠正法律风险管理政策、程序中的缺陷，从而大大降低法律风险事件发生的频率和重要性水平。

法律风险监测的对象是可能造成损失的法律风险事件。但是，这并不意味着法律风险管理部门的监测活动仅仅局限于那些已经发生的风险事件。除了监测法律风险事件，商业银行还应当明确适当的法律风险指标（legal risk indicators）及其临界值（threshold）并持续地对之进行监测，以便为法律风险事件的发生提供早期预警。这样的指标应该具有前瞻性，并能够反映法律风险的来源。 根据法律风险工作组的建议，比较常见的法律风险指标包括：（1）法律的立、改、废；（2）市场惯例和标准合同文本等的重大变化；（3）关键人员的变化；（4）推出新的金融产品或者进入新的市场；（5）跨行业提供产品或者服务；（6）主

管当局针对其他银行的监管行为或者其他法律制裁；（7）在重大问题上，外聘律师意见的重大变化；（8）聘任不熟悉的法律顾问；（9）正式法律意见中特别的条件或者假设等。 需要说明的是，法律风险在不同的商业银行、同一商业银行的不同业务线中的表现形式不可能完全相同。因此，穷尽地列举适用于所有银行的法律风险指标是不可能的。商业银行应当根据业务性质、规模和复杂程度建立自身的法律风险指标体系。随着法律风险管理水平的提高，法律风险指标体系也将不断地发展和完善。

（四）法律风险的控制和缓释

法律风险的控制和缓释（control and mitigation）是通过有效的授权审批和监督机制来防范法律风险并采取适当的措施降低重大法律风险的过程。如前所述，操作性法律风险属于既可以控制也可以缓释的风险，而环境法律风险则属于不能控制但可以缓释的风险。巴塞尔委员会强调，商业银行应当制定控制或者缓释重大法律风险的政策、程序和步骤。为了控制操作性法律风险，法律风险管理部门应当对业务活动中使用的文件进行全面的审查，并根据法律和交易惯例的发展和变化，定期更新标准合同文本等法律文件；法律风险管理部门还应当配备足够的应诉或者参与行政程序的法律专业人员，并对法律风险事件可能造成的财务影响进行分析。

对于上述可以控制的操作性法律风险，商业银行可以通过加强法律风险培训、改进产品设计、完善信息披露、明确划分客户体和投保商业性责任保险等方式进行缓释。对于无法控制的环境法律风险，商业银行可以根据风险评估结果决定是否接受。如果特定环境法律风险的重要性水平难以接受，法律风险管理部门应当建议董事会或者高级管理层及时调整经营战略，包括缩减业务范围、停止某些业务活动或者裁撤某些海外分支机构。

五、构建我国商业银行法律风险监管制度的几点建议

《新资本协议》科学总结国际银行业风险管理和监管的成功经验，将法律风险纳入银行资本监管的制度框架，这是巴塞尔委员会在统一国际银行资本监管规则方面取得的又一重大突破。《新资本协议》已经成为各国银行资本监管制度变革的依据和重要动力，对国际银行体系的安全和稳健以及国际金融市场的竞争格局都将产生深远的影响。然而，我国现行的商业银行风险监管制度仍然是以《1988年资本协议》为基础的，尚未有要求商业银行建立并实施法律风险管理体系的系统性规定，更没有要求商业银行计量法律风险并为之配置资本。尽管从银行业的风险管理水平和银行监管制度的完善程度来看，我国在短期

内还不具备全面实施《新资本协议》的条件，但出于推动我国银行监管制度国际化提高我国银行业竞争力和风险管理水平的考虑，积极借鉴《新资本协议》体现的先进的风险监管理念和成熟的风险管理经验，构建我国商业银行法律风险监管制度却是非常必要的。为此，可行的做法是通过制定监管指南的方式，推动我国商业银行根据自身经营特点和风险环境初步建立起法律风险管理体系，并不断积累经验，提高其风险敏感度，从而为全面实施《新资本协议》、将法律风险纳入资本监管框架奠定良好的实践基础。

（一）明确法律风险的表现形式

目前，在我国商业银行的业务实践中，有相当多的风险管理专家和银行法律工作者对法律风险的表现形式还没有形成正确的认识。有的将法律风险等同于合规风险，认为法律风险是“金融机构的经营管理活动不符合所在地的法律和监管要求所导致的风险” ；有的认为“只要风险的发生是由于法律变化引起的，就可以归为法律风险” ，即法律风险仅仅表现为环境法律风险；更多的人则简单地认为法律风险就是涉及法律问题的风险，即诉讼风险。

有什么样的风险认识，就会有什么样的风险管理水平。明确法律风险的表现形式是提高我国商业银行法律风险管理水平、构建有效的法律风险监管体系的前提。根据《新资本协议》和其他有关巴塞尔文件以及我国有关法律、法规的规定，我国商业银行可能承担的操作性法律风险主要表现为：1.合同可能依法撤销或者确认无效；2.合同可能被依法变更，且变更的结果不利于银行；3.因违约、侵权或者其他事由被提起诉讼或者申请仲裁，依法可能承担赔偿责任；4.知识产权受到侵犯；5.业务活动违反法律、法规等的规定，依法可能承担行政责任或者刑事责任。我国商业银行可能承担的环境法律风险主要表现为下列可能对银行的业务活动产生不利影响的外部法律事件：1.有关法律、法规等的制定、修改或者废止；2.有关国家机关依法作出的法律解释；3.作出的判决； 4.海外分支机构所在的国家或者地区法律制度不完善。

（二）引导商业银行完善管理法律风险的组织结构

如前所述，由董事会和高级管理层、法律风险管理部门以及向董事会负责的内部审计部门共同组成的组织结构是法律风险管理体系有效运作的基础，这种组织环境能够保证商业银行有关的管理部门和业务部门正确理解并有效执行法律风险管理战略、政策和程序。与上述要求相比，我国商业银行的组织结构是有其“形”而无其“实”。目前，我国四大国有商业银行普遍设立了独立于合规风险

管理部门的法律事务部门，其他全国性的股份制商业银行也大都在法律与合规部内设立了负责法律事务的处（室），其主要职责是出具法律咨询意见、参与法律文件起草和谈判签约以及管理法律诉讼等。虽然这些职责都与法律风险管理有关，但并未全面覆盖法律风险管理程序的各个方面，法律事务部门系统地开展识别、评估、监测以及控制和缓释等法律风险管理工作还缺乏应有的组织保障。此外，内部审计部门的独立性不强也是制约法律风险管理体系建立和有效实施的重要因素。目前，我国商业银行的内部审计部门与操作风险管理部门和合规风险管理部门还没有分开，既负责管理操作风险和合规风险，又负责监督内部控制体系和各种风险管理程序的实施，既是“运动员”也是“裁判员”。并且，内部审计部门也不是直接向董事会负责，其地位与一般的管理部门并无二致，事实上也无法对其他风险管理部门实施有效的监督。因此，引导商业银行重新定位法律事务部门的职责、提高内部审计部门的独立性应当成为法律风险监管制度的重要内容。

（三）推动商业银行开发管理法律风险的技术和方法

法律风险管理的根本目标是将法律风险控制在可以接受的合理范围内，从而实现商业银行整体风险收益率和价值的最大化。因此，法律风险管理程序的实施将主要依赖准确的风险信息和能够有效地量化风险的方法和技术。法律风险管理人员不仅应具备法律专业知识，充分了解本行与法律风险有关的业务及其所承担的法律风险，而且还应掌握识别、评估、监测以及控制和缓释法律风险的方法和技术，而后者正是我国商业银行法律工作者普遍欠缺的技能。

可以说，《新资本协议》既对银行法律工作者提高综合业务水平提出了挑战，也为其参与风险管理程序开辟了广阔的天地。为此，法律风险监管制度应当推动商业银行加强法律风险管理部门的组织建设，提高法律风险管理人员的业务水平，拓展其视野和知识面，促使法律风险管理部门成为一个具备多方面专业知识的综合性风险管理团队。其次，银行业监管机构还应引导商业银行积极借鉴发达国家商业银行管理法律风险的先进技术和方法，从积累法律风险损失数据入手，尽早建立全面的、敏感性强的法律风险指标体系，并为逐步采用更加复杂的方法管理法律风险做充分的准备。









（转载请注明出自北大法律信息网）