金融风险管理：董事会与高级管理层的职责

一般来说，管理法律风险的组织涉及企业的董事会、高级管理层和法律风险管理部门以及其他有关部门。具体而言主要在于确定谁在负责管理法律风险，其组织结构是怎样的，这是法律风险控制的第一要务。只有在一个良好的组织环境中，法律风险管理体系才能够有效地运作。因此，管理法律风险的组织结构应当明确、合理地划分董事会、高级管理层、法律风险管理部门等有关部门的权责关系，并通过在各部门之间建立报告或者协调机制来确保管理法律风险的措施能够被所有相关部门理解和有效实施。

（一）董事会和高级管理层

金融机构的董事会和高级管理层负有对法律风险管理体系实施有效监控的职责。董事会和高级管理层的首要任务就是营造一种适宜的法律风险管理环境。董事会和高级管理层通过各种行动和言语，创建一种注重法律风险管理和保持稳健的操作控制的企业文化。

首先，董事会应当对法律风险管理体系的建立和实施承担最终责任。董事会应当了解本行业的主要法律风险，并将其作为一种必须加以管理的主要风险类别，核准并定期审核本行的法律风险管理体系。具体地讲，董事会应履行下列两项职责：①审批法律风险管理的战略、政策和程序，包括定义法律风险，确定可承受的法律风险水平、明确管理法律风险的方法并建立有效的执行法律风险管理体系的组织结构；②督促高级管理层采取必要的措施管理法律风险，定期获得法律风险管理报告，监控和评估法律风险管理的全面性、有效性以及高级管理层在管理法律风险方面履行职责的情况。

其次，高级管理层负责执行经董事会核准的法律风险管理体系。具体地讲，高级管理层应承担下列两项职责：①制定、定期审核并监督执行法律风险管理的政策和程序，及时了解法律风险管理水平及其管理状况；②确保银行具备足够的人力、物力，建立合理的组织结构和管理信息系统来有效地管理法律风险。

（二）法律风险管理部门

法律风险管理程序的各个环节都需要由法律人员做出专业判断。因此，金融机构应当指定专门的部门负责管理法律风险。从商业银行实践和银行监管机构的要求而言，我国的商业银行总行、分行一般都设有合规部，总、分行业务线应设立兼职合规管理岗。但合规部门和法律风险管理部门并不相同。合规风险管理主要针对银行因未能遵守法律、监管规定、规则、自律性组织制定的有关准则，以及适用于银行自身业务活动的行为准则而可能受到法律制裁或者监管处罚、重大财务损失或者声誉损失的风险。合规部门所涉及的法律、规则和准则包括那些具有法律约束力的文件，还包括更广泛意义上的诚实守信和道德行为准则。显然，合规风险广泛涵盖了一般性操作风险、操作性法律风险和声誉风险，但不包括环境法律风险和其他的外部事件风险。因此合规部门的作为主要在于机构内控体系建设方面，主要是汇集各类风险并进行风险评估；对外公告、函件、合同、协议以及授权文书的合法合规性审核；对外法律事务和法律业务培训；反洗钱管理；授信权限监管；实施信用风险管理；合规性检查和管理等内容。其目的在于确保银行遵循有效的合规政策和程序，并采取适当的措施纠正违规行为。但是，法律部门的风险管理针对的不仅是合规部门所关注的具体的操作性的法律风险，还负责金融机构所面临的环境法律风险，在经营战略上，对金融机构的各类法律风险进行监控，能系统而全面地就法律、规则和准则的适用向管理层提出建议，并为员工进行指引。

金融机构的法律风险管理体系应当成为操作风险管理体系的一部分，并与合规风险管理体系相互衔接。金融机构可以根据业务性质、规模和复杂程度，组建不同的部门分别管理操作风险、合规风险和法律风险；或者只设置合规风险管理部门和法律风险管理部门，由前者一并负责管理操作风险和合规风险，而后者专门负责管理法律风险；也可以合并设置法律与合规部门，统一管理操作风险、合规风险和法律风险，并在其内部分设相应的风险管理单元。(www.xing528.com)

无论法律风险管理部门的地位如何，它都应当与承担法律风险的业务经营部门保持相对独立，这是法律风险管理部门有效地履行职责的根本保证。为此，在管理法律风险的组织结构中，法律风险管理部门应当拥有独立的报告路线和调查权力，高级管理层应当对其进行独立于经营业绩的绩效考核，并且避免法律风险管理职责与其他职责之间可能存在的利益冲突。

在法律风险管理体系中，法律风险管理部门应承担下列职责：①拟定法律风险管理政策和程序，提交高级管理层和董事会审查批准；②识别、评估和监测法律风险；③参与操作风险管理程序，并及时向董事会和高级管理层提供独立的风险报告。

为了提高法律风险管理效率，法律风险管理部门可以将部分风险管理工作委托聘请律师进行，但应当对律师地位的独立性及其专业判断的客观性和准确性进行适当的监督。但无论如何，董事会和高级管理层以及法律风险管理部门在法律风险管理体系中的职责都不会发生变化。

（三）内部审计部门

法律风险管理体系应当受到内部审计部门全面、有效的监督。为了确保法律风险管理程序的可靠性、充分性和有效性，内部审计部门应当定期对法律风险管理体系的各个组成部分和环节进行独立的审查和评估。内部审计既针对法律风险管理部门，也针对业务经营部门进行，一般内部审计报告应当直接提交董事会。董事会应当督促高级管理层对内部审计报告揭示的问题提出改进方案并采取改进措施。随后，内部审计部门还应当跟踪检查并向董事会报告改进方案和措施的实施情况。特别是在推出可能涉及重大法律风险的新产品和新业务、在境外设立分支机构或者跨境直接提供金融服务、法律风险管理体系发生重大变化或者存在严重缺陷等情况下，内部审计部门应当扩大法律风险内部审计的范围或者增加审计频率。当然，为了提高审计结果的权威性和可接受性，董事会也可以聘请外部审计师进行部分或者全部法律风险审计工作。

（四）总法律顾问

金融机构的法律风险管理组织传统上主要是上文提及的这三个部门。但2007年金融危机以来，一些国际银行开始重整合规部门和法律风险控制部门的职责范围，设置了总法律顾问的职位。作为银行法律专家和高管人员，总法律顾问负责领导和管理银行的法律风险防控工作，确保银行依法合规经营。有专家指出，法律风险对银行风险总量的影响越来越大，决策程序中法律意见的缺失已成为目前银行业面临的重大风险。有学者提出，在我国应建立健全形神兼备的总法律顾问制度、强化总法律顾问在银行战略决策中的关键角色、充分发挥总法律顾问在银行风险管理中的主导作用，这已成为国际大银行的共同选择。还有研究人员提出，构建总法律顾问制度是银行依法经营安全获取利润的制度支持。经历了金融危机的巨大冲击后，为了强化法律风险的防控和管理，在国际银行的公司治理结构中，总法律顾问被提到越来越重要的地位。作为银行的高级管理人员，总法律顾问直接对银行总裁负责，有些同时是董事或高级副总裁。