本站原创摘 要:法律风险是指银行因经营活动不符合法律规定或者外部法律事件导致风险敞口的可能性,普遍存在于商业银行业务活动和管理控制的各个方面.我国应当积极借鉴《巴塞尔新资本协议》体现的先进监管理念和成熟的风险管理经验,适时修订《商业银行操作风险管理指引》,从明确法律风险的表现形式、引导商业银行完善管理法律风险的组织结构以及推动商业银行开发管理法律风险的技术和方法等三个方面入手,初步建立起法律风险监管制度.
关 键 词 :巴塞尔新资本协议,法律风险,风险监管
中图分类号:F832.0文献标识码:A 文章编号:1007-4392(2008)05-0007-04
巴塞尔银行监管委员会(Basel Committee on Banking Supervision,以下简称巴塞尔委员会)在2004年6月公布的《统一资本计量和资本标准的国际协议:修订框架》(InternationalConvergence of Capital Measurement and Capital Standards:ARevised Framework,以下简称《新资本协议》)①中,首次将法律风险纳入了国际银行资本充足率监管框架,要求国际活跃银行采用规定的方法计量法律风险,并以此为基础确定其资本标准.该协议对商业银行全面风险管理体系的建立以及各国银行资本监管制度的完善都提出了更高的要求,并将于2006年底开始在十国集团国家实施.因此,解读《新资本协议》和其他有关巴塞尔文件的规定②,阐明“什么是法律风险”、“由谁来管理法律风险”和“如何管理法律风险”等问题,将有助于推动我国银行监管制度与国际银行监管惯例接轨,优化银行公司治理结构,提高银行业的风险管理水平和综合经营能力.
一、法律风险的概念及类型
法律风险是银行业务中的固有风险.然而,对“什么是法律风险”,各国监管当局的理解并不一致.例如,英国金融怎么写作局(FSA)侧重于从制度层面上来理解法律风险,认为这种风险是因“法律的效力未能认识到”、“对法律效力的认识存在偏差”或者“在法律效力不确定的情况下开展经营活动”而使“金融机构的利益或者目标与法律规定不一致而产生的风险”.美国联邦储备委员会(FRB)则侧重于从交易层面上来认识法律风险,认为诉讼、客户基于规避法律或者避税的目的而与银行进行的交易,以及客户实施的其他违法或者不当行为都可能给银行带来法律风险.芝加哥储备银行(Federal Reserve Bank of Chicago)也认为:“法律风险是不可执行的合同、诉讼或者不利判决等使银行的营业中断或者对银行的业务活动或者经营条件产生不利影响的可能性.”
就“什么是法律风险”形成共识,无疑是建立统一的商业银行法律风险监管制度和管理体系的基础.为此,在1997年公布的《有效银行监管核心原则》(以下简称《核心原则(1997)》)中,巴塞尔委员会首次以列举的方式对法律风险做了定义.《核心原则(1997)》指出,法律风险主要表现为因下列情形而引发的风险:(1)不完善或者不正确的法律意见或者业务文件;(2)现有法律可能无法解决与银行有关的法律问题;(3)法院针对特定银行作出的判决;(4)影响银行利其他商业机构的法律可能发生变化;(5)开拓新业务且交易对手的法律权利不明确.为使各商业银行在建立和实施法律风险管理体系方面保有一定的主动性利灵活性,《新资本协议》在前述定义的基础上又作了概括性的说明,即“法律风险包括但不限于因监管措施和解决民商事争议而支付的罚款、罚金或者惩罚性赔偿所导致的风险敞口(risk exposure)”,并明确要求国际活跃银行采用规定的方法计量法律风险并为之配置相应的资本.
进一步分析,法律风险又分为运营法律风险(operationallegalrisk)和环境法律风险(enviro-nmental legalrisk)两种类型.所谓运营法律风险,是指因银行自身的操作风险控制体系不充分或者无效,未能对法律问题作出反应而产生的风险.这种类型的法律风险与特定的银行相联.
所谓环境法律风险,是指法律本身导致意外的、不利的后果的风险.其主要表现为可能对所有商业银行的风险敞口产生不利影响的外部法律事件,即法律的变化.与前述运营法律风险相比,环境法律风险不仅有着不同的风险来源和风险事件类型,而且还属于不可控风险,单个银行无法采取有效的措施阻止特定风险事件的发生.尽管如此,银行仍然可以运用风险缓释技术把环境法律风险的不利影响降低到可以接受的水平.因此,环境法律风险管理也是商业银行法律风险管理体系不可或缺的组成部分.
二、法律风险的特征
首先,法律风险是一种特殊类型的操作风险.根据《新资本协议》的规定,操作风险(operational risk)是指“由不完善或者失效的内部程序、人员和系统或者外部事件造成损失的风险.本定义包含法律风险,但不包含战略风险(strategic risk)和声誉风险(reputational risk)”.从上述定义来分析,操作风险不仅包括一般性操作风险(general operational risk),也涵盖了运营法律风险.归纳起来,操作风险事件主要有以下七种类型:(1)内部欺诈;(2)外部欺诈;(3)雇佣政策和工作场所安全;(4)客户、产品和业务操作;(5)实物资产的毁损;(6)业务中断和系统失灵;(7)执行、传递和业务流程管理.通常,前两种风险事件(内部欺诈和外部欺诈)不可能属于法律风险事件,尽管银行在这些风险事件中可能遭受损失,但这些损失与法律责任无关;后五种操作风险事件则都有可能引发法律风险.由此可见,法律风险并不是操作风险的一种独立风险来源和风险事件类型,而是一种因内部程序、人员和系统或者外部事件造成的,具有一定法律特征并需要由法律人员(内部律师或者外聘律师)运用专业判断才能够有效地管理的操作风险.
其次,法律风险区别于信用风险和市场风险的一个重要特征,在于它与“法律”的紧密联系,且普遍地存在于商业银行业务活动和管理控制的各个方面.研究表明,信用风险是指“银行的借款人或者交易对手不能按照事先达成的协议履行义务的可能性”,它与特定的某个或者多个交易对手相联系;市场风险是指“因市场变动而导致银行表内外头寸遭受损失的风险”,它与特定的产品、资产组合或者资产类别相联系;而法律风险则是指银行因经营活动不符合法律规定或者外部法律事件导致风险敞口的可能性,它与特定的内部程序、人员、系统或者外部法律事件相联系,其信息来源异常分散.正是因为如此,对信用风险和市场风险的管理强调统一和集中,风险管理活动主要由相应的风险管理部门来进行,而对法律风险的管理则强调分散化.除了法律风险管理部门,所有的业务部门以及与管理和控制有关的部门(如操作风险管理部门)都在法律风险管理程序中承担相应的责任.因此,法律风险管理体系应当独立于信用风险和市场风险管理体系,其管理程序和主要方法也不同于管理信用风险和市场风险的程序和方法.
再次,法律风险也不同于合规风险,因为商业银行需要为之配置充足的资本.所谓合规风险(pliance risk),是指“银行因未能遵守法律、监管规定、规则、自律性组织制定的有关准则,以及适用于银行自身业务活动的行为准则而可能受到法律制裁或者监管处罚、重大财务损失或者声誉损失的风险.等合规所涉及的法律、规则和准则不仅包括那些具有法律约束力的文件,还包括更广泛意义上的诚实守信和道德行为准则”.显然,合规风险广泛涵盖了一般性操作风险、运营法律风险和声誉风险,但不包括环境法律风险和其他的外部事件风险.虽然巴塞尔委员会一直强调商业银行应当有效地管理各种风险,但是《新资本协议》只对信用风险、市场风险和操作风险提出了资本要求.合规风险管理主要是针对内部控制体系的建立和实施情况,其目的在于确保银行遵循有效的合规政策和程序,并采取适当的措施纠正违规行为,计量风险并不是合规风险管理程序的重点.因此,对于属于合规风险但不属于操作风险和法律风险的声誉风险,商业银行只须审慎地管理而不必为之配置资本.但是,对于法律风险,商业银行不仅要采取措施予以控制,而且还应当为抵御这类风险而维持充足的资本.这是法律风险区别于合规风险的重要特征.
三、法律风险的管理程序
(一)法律风险的识别
法律风险的识别(identification)是运用法律风险的定义对各种风险事件的法律性质进行分析判断的过程.商业银行应当能够识别所有重要的产品、活动、程序和系统中固有的法律风险,这是整个法律风险管理程序的基础性工作.为此,法律风险管理部门应当根据银行在提供有关金融产品和怎么写作方面积累的经验等主观标准以及法律法规的有关规定等客观标准,对业务活动中使用的各种文件的合法性、导致风险敞口的潜在法律责任的性质以及立法、司法和行政执法实践对风险敞口的影响等因索进行全面的分析判断.这种分析判断应针对具体的金融产品和怎么写作及其风险状况来进行,在已经或者准备跨境提供产品和怎么写作的情况下,还应建立在国别的基础之上.
(二)法律风险的评估
法律风险的评估 (assesent)是对已经识别出的法律风险进行量化的过程.根据量化结果,银行能够确定可接受的和不可接受的法律风险敞口,并对后者采取适当的风险缓释措施.按照《新资本协议》的有关规定,商业银行可以根据业务性质、规模和复杂程度以及法律风险管理水平选取基本指标法 (Basic Indicator Approach)、标准法 (Standardised Approach)或者高级计量法 (Advanced Measurment Approach)来计提法律风险资本.其中,高级计量法要求商业银行依据风险敞口指标 (exposureindicator)、风险事件发生的概率(probability)和风险事件损失(loss given event)等三个方面的数据来计算各业务线(business line)的预计损失量(expected loss amount),并以此为基础汇总确定其法律风险资本标准.为此,商业银行必须建立并实施独立的法律风险评估程序.基本指标法和标准法则对法律风险没有敏感性,不考虑不同商业银行在法律风险管理水平方面的差异,只要求商业银行根据年度业务总收入或者各业务线年度业务收入的一定比例来计提法律风险资本.在这种情况下,独立的法律风险评估程序并不是法律风险管理的必经阶段.尽管如此,对法律风险进行有效的评估也会使商业银行更准确地掌握自身的风险状况.
巴塞尔委员会指出,对内部损失事件数据的跟踪记录是开发使用可靠的法律风险评估体系的前提.因此,损失数据的获取是法律风险评估程序的重点和难点.按照《新资本协议》的有关规定,在采用高级计量法计提法律风险资本时,应当以至少五年的损失数据为基础计算确定法律风险事件发生的概率及法律风险事件损失.为此,法律风险管理部门应当注意收集本行的法律风险损失数据,并按业务线、法律风险事件类型和法律责任的性质分类进行统计;如果内部损失数据不充分,或者商业银行的法律风险管理水平较高,没有发生“足够”的损失事件,就必须考虑利用相关的外部数据,即同业数据.这些数据可以是公开的数据,也可以是行业集合数据.
(三)法律风险的监测
法律风险的监测(monitoring)是及时地对已经识别出的法律风险进行重要性(significance)方面的判断和评价,并向董事会和高级管理层报告重要的法律风险信息的过程.巴塞尔委员会指出,商业银行应当建立一系列程序来定期监测法律风险状况和重大的法律风险事件.有效的法律风险监测程序对充分管理法律风险而言至关重要.定期监测行为有助于迅速发现并纠正法律风险管理政策、程序中的缺陷,从而大大降低法律风险事件发生的频率和重要性水平.
法律风险监测的对象是可能造成损失的法律风险事件.但是,这并不意味着法律风险管理部门的监测活动仅仅局限于那些已经发生的风险事件.除了监测法律风险事件,商业银行还应当明确适当的法律风险指标(legal risk indicators)及其临界值(threshold)并持续地对之进行监测,以便为法律风险事件的发生提供早期预警.这样的指标应该具有前瞻性,并能够反映法律风险的来源.根据法律风险工作组的建议,比较常见的法律风险指标包括:(1)法律的立、改、废;(2)市场惯例和标准合同文本等的重大变化;(3)关键人员的变化:(4)推出新的金融产品或者进入新的市场;(5)跨行业提供产品或者怎么写作:(6)主管当局针对其他银行的监管行为或者其他法律制裁;(7)在重大问题上,外聘律师意见的重大变化:(8)聘任不熟悉的法律顾问;(9)正式法律意见中特别的条件或者检测设等.需要说明的是,法律风险在不同的商业银行、同一商业银行的不同业务线中的表现形式不可能完全相同.因此,穷尽地列举适用于所有银行的法律风险指标是不可能的.商业银行应当根据业务性质、规模和复杂程度建立自身的法律风险指标体系.随着法律风险管理水平的提高,法律风险指标体系也将不断地发展和完善.
(四)法律风险的控制和缓释
法律风险的控制和缓释(control and mitiga-tion)是通过有效的授权审批和监督机制来防范法律风险并采取适当的措施降低重大法律风险的过程.如前所述,运营法律风险属于既可以控制也可以缓释的风险,而环境法律风险则属于不能控制但可以缓释的风险.巴塞尔委员会强调,商业银行应当制定控制或者缓释重大法律风险的政策、程序和步骤.为了控制运营法律风险,法律风险管理部门应当对业务活动中使用的文件进行全面的审查,井根据法律和交易惯例的发展和变化,定期更新标准合同文本等法律文件;法律风险管理部门还应当配备足够的应诉或者参与行政程序的法律专业人员,并对法律风险事件可能造成的财务影响进行分析.
对于上述可以控制的运营法律风险,商业银行可以通过加强法律风险培训、改进产品设计、完善信息披露、明确划分客户群体和投保商业性责任保险等方式进行缓释.对于无法控制的环境法律风险,商业银行可以根据风险评估结果决定是否接受.如果特定环境法律风险的重要性水平难以接受,法律风险管理部门应当建议董事会或者高级管理层及时调整经营战略,包括缩减业务范围、停止某些业务活动或者裁撤某些海外分支机构.
四、完善我国商业银行法律风险监管制度的几点建议
(一)进一步细化法律风险的表现形式
明确法律风险的表现形式是提高我国商业银行法律风险管理水平、构建有效的法律风险监管体系的前提.根据《新资本协议》和其他有关巴塞尔文件以及我国有关法律、法规的规定,我国商业银行可能承担的运营法律风险主要表现为:1 合同可能依法撤销或者确认无效;2 合同可能被依法变更,且变更的结果不利于银行;3 因违约、侵权或者其他事由被提起诉讼或者申请仲裁,依法可能承担赔偿责任;4 知识产权受到侵犯;5 业务活动违反法律、法规等的规定,依法可能承担行政责任或者刑事责任.我国商业银行可能承担的环境法律风险主要表现为下列可能对银行的业务活动产生不利影响的外部法律事件:1 有关法律、法规等的制定、修改或者废止,2 有关国家机关依法作出的法律解释;3 最高人民法院作出的判决;③4 海外分支机构所在的国家或者地区法律制度不完善.
(二)引导商业银行完善管理法律风险的组织结构
由董事会和高级管理层、法律风险管理部门以及向董事会负责的内部审计部门共同组成的组织结构是法律风险管理体系有效运作的基础,这种组织环境能够保证商业银行有关的管理部门和业务部正确理解并有效执行法律风险管理战略、政策和程序.与上述要求相比,我国商业银行管理法律风险的组织结构是有其“形”而无其“实”.目前,我国四大股份制商业银行普遍设立了独立于合规风险管理部门的法律事务部门,其他全国性的股份制商业银行也大都在法律与合规部内设立了负责法律事务的处(室),其主要职责是出具法律咨询意见、参与法律文件起草和谈判签约以及管理法律诉讼等.虽然这些职责都与法律风险管理有关,但并未全面覆盖法律风险管理程序的各个方面,法律事务部门系统地开展识别、评估、监测以及控制和缓释等法律风险管理工作还缺乏应有的组织保障.此外,内部审计部门的独立性不强也是制约法律风险管理体系建立和有效实施的重要因素.目前,我国商业银行的内部审计部门与操作风险管理部门和合规风险管理部门还没有完全分开,既负责管理操作风险和合规风险,又负责监督内部控制体系和各种风险管理程序的实施,既是“运动员”也是“裁判员”.并且,虽然《商业银行操作风险管理指引》要求内部审计部门独立评估并向董事会报告操作风险管理体系的运行效果,但在更多的情况下,内部审计部门并不是直接向董事会负责,其地位与一般的管理部门并无二致,事实上也无法对其他风险管理部门实施有效的监督.因此,引导商业银行重新定位法律事务部门的职责、提高内部审计部门的独立性应当成为法律风险监管制度的重要内容.
(三)推动商业银行开发管理法律风险的技术和方法
法律风险管理的根本目标是将法律风险控制在可以接受的合理范围内,从而实现商业银行整体风险收益率和价值的最大化.因此,法律风险管理程序的实施将主要依赖准确的风险信息和能够有效地量化风险的方法和技术.法律风险管理人员不仅应具备法律专业知识,充分了解本行与法律风险有关的业务及其所承担的法律风险,而且还应掌握识别、评估、监测以及控制和缓释法律风险的方法和技术,而后者正是我国商业银行法律工作者普遍欠缺的技能.
(责任编辑 刘伯酉)