无论法律风险管理部门的地位如何,它都应当与承担法律风险的业务经营部门保持相对独立,这是法律风险管理部门有效地履行职责的根本保证。为此,在管理法律风险的组织结构中,法律风险管理部门应当拥有独立的报告路线和调查权力,高级管理层应当对其进行独立于经营业绩的绩效考核,并且避免法律风险管理职责与其他职责之间可能存在的利益冲突。
在法律风险管理体系中,法律风险管理部门应承担下列职责:(1)拟定法律风险管理政策和程序,提交高级管理层和董事会审查批准;(2)识别、评估和监测法律风险;(3)参与操作风险管理程序,并及时向董事会和高级管理层提供独立的风险报告。
为了提高法律风险管理效率,法律风险管理部门可以将部分风险管理工作委托聘请律师进行,但应当对律师地位的独立性及其专业判断的客观性和准确性进行适当的监督。但无论如何,董事会和高级管理层以及法律风险管理部门在法律风险管理体系中的职责都不会发生变化。
(三)内部审计部门
法律风险管理体系应当受到内部审计部门全面、有效的监督。 为了确保法律风险管理程序的可靠性、充分性和有效性,内部审计部门应当定期对法律风险管理体系的各个组成部分和环节进行独立的审查和评价。内部审计既针对法律风险管理部门,也针对业务经营部门进行,但内部审计报告应当直接提交董事会。董事会应当督促高级管理层对内部审计报告揭示的问题提出改进方案并采取改进措施。随后,内部审计部门还应当跟踪检查并向董事会报告改进方案和措施的实施情况。特别是,在推出可能涉及重大法律风险的新产品和新业务、在境外设立分支机构或者跨境直接提供金融服务、法律风险管理体系发生重大变化或者存在严重缺陷等情况下,内部审计部门应当扩大法律风险内部审计的范围或者增加审计频率。当然,为了提高审计结果的权威性和可接受性,董事会也可以聘请外部审计师进行部分或者全部法律风险审计工作。
四、法律风险的管理程序
(一)法律风险的识别
法律风险的识别(identification)是运用法律风险的定义对各种风险事件的法律性质进行分析判断的过程。商业银行应当能够识别所有重要的产品、活动、程序和系统中固有的法律风险,这是整个法律风险管理程序的基础性工作。为此,法律风险管理部门应当根据银行在提供有关金融产品和服务方面积累的经验等主观标准以及法律法规的有关规定等客观标准,对业务活动中使用的各种文件的合法性、导致风险敞口的潜在法律责任的性质以及立法、司法和行政执法实践对风险敞口的影响等因素进行全面的分析判断。这种分析判断应针对具体的金融产品和服务及其风险状况来进行,在已经或者准备跨境提供产品和服务的情况下,还应建立在国别的基础之上。
(二)法律风险的评估
法律风险的评估(assessment)是对已经识别出的法律风险进行量化的过程。根据量化结果,银行能够确定可接受的和不可接受的法律风险敞口,并对后者采取适当的风险缓释措施。按照《新资本协议》的有关规定,商业银行可以根据业务性质、规模和复杂程度以及法律风险管理水平选取基本指标法(Basic Indicator Approach)、标准法(Standardised Approach)或者高级
计量法(Advanced Measurement Approach)来计提法律风险资本。 其中,高级
计量法要求商业银行依据风险敞口指标(exposure indicator)、风险事件发生的概率(probability)和风险事件损失(loss given event)等三个方面的数据来计算各业务线(business line) 的预计损失量(expected loss amount),并以此为基础汇总确定其法律风险资本标准。为此,商业银行必须建立并实施独立的法律风险评估程序。 基本指标法和标准法则对法律风险没有敏感性,不考虑不同商业银行在法律风险管理水平方面的差异,只要求商业银行根据年度业务总收入或者各业务线年度业务收入的一定比例来计提法律风险资本。 在这种情况下,独立的法律风险评估程序并不是法律风险管理的必经阶段。尽管如此,对法律风险进行有效的评估也会使商业银行更准确地掌握自身的风险状况。
