【作者简介】

周彤，徽商银行总行合规部总经理；洪伟，徽商银行总行合规部副总经理

【公司简介】

徽商银行于2005年12月28日正式成立，总部设在合肥，由安徽省内6家城市商业银行和7家城市信用社联合重组设立。徽商银行是以资产、贷款、存款规模计算的中国中部地区最大的城市商业银行。

徽商银行扎根地方经济，服务中小企业，本行得益于对安徽市场长期的深耕细作，拥有广泛的中小企业客户基础和与区域经济有机契合的业务网络。目前拥有199个机构，覆盖安徽全部16个省辖市以及邻近的江苏南京市。

徽商银行不断拓展新的发展空间，在2009年，本行成功跨出安徽，在江苏南京设立了首家省外分行，跨区域发展取得重要突破，业务发展空间得到不断拓展。

徽商银行已经成为安徽乃至中国享有盛名的金融服务商，成长性、盈利性及资产质量等各项经营指标均位居同业前列。先后获得英国《银行家》杂志评选出的2012年全球千家大银行排名第305位等殊荣。

徽商银行深入贯彻落实中央、省委、省政府关于加快推进PPP工作的各项要求,推动地方政府改革公共服务提供方式，全面提升基础设施建设和公益服务效率，引入社会资本，减轻地方政府初期建设资金压力。

1法律风险管理框架设计前的视角转换

接下来，我们需要考虑法律风险管理体系总体框架的设计思路。我们可以使用何种管理理论搭建法律风险管理体系？如何搭建？当我们不再将法律风险管理作为管理普通业务和管理活动合法性的高级管理工具，而是作为其他更高层次的管理活动的对象去看待的时候，我们很容易转化为这样一个问题：即谁来对法律风险管理这一企业活动进行管控？这一活动应当遵循什么样的管理框架？显然，只有内部控制框架才能满足这一要求。

2法律风险管理框架按照内控五要素要求进行设计

内部控制由控制环境、风险评估、控制活动、信息沟通以及检查监督五各方面的要素共同构成，这一框架适用于企业基本所有的管理及经营活动。法律风险管理整体框架的设计也无法超脱于五要素的体系：

（1）识别法律风险管理的基础环境

法律风险管理基础环境指各种能够从整体上对银行法律风险及管理方法形成较大影响的环境信息，可分为外部法律风险环境（如行业特点、监管体制、产业链位置等）和内部法律风险环境（如治理结构、业务模式等）。准确认识法律风险管理的基础环境，才能有针对性的确定重点管理领域、选择恰当管理方法，并为法律风险偏好的设定提供依据。

（2）设计法律风险管理的风险评估流程

法律风险管理是对风险的管理，但自身管理行为亦可能产生新的管理风险。作为一种高位阶的管理活动，其管理的方法、流程、要求是否能够达到管理意图，是否存在管理上的漏洞和风险，都需要进行持续的风险识别和评估。因此，在不同于具体法律风险的层面上，有必要借助内控风险评估的要求，有效的识别管理活动自身的风险。

（3）设计法律风险管理的职责分工和管控流程

在内控框架中，控制活动是核心和精髓，它主要规范一项经营或管理活动的具体管理流程和管理要求。对于法律风险管理而言，其控制活动不仅包括一般意义上的管理实施流程，更囊括了对于具体法律风险的识别、评估和分析流程。如此，我们在制定从法律风险的评估、识别到分析、评价乃至应对、改进的全流程管控规范时，均要遵从内部控制的相关要求进行设计。

（4）完善法律风险管理的信息传递与沟通、报告机制

进一步，我们还要考虑两个维度的信息沟通与传递：一是对于具体法律风险及控制措施的沟通与共享；二是法律风险管理数据和结论的传递和报告。在此基础上，我们需要在法律风险管理各阶段，针对不同的传递对象建立沟通与报告机制，使相关人员即时、充分了解法律风险及其影响，听取其意见和诉求，以确保管理信息得以有效的传递，保障相关决策的合理性，促进统一管理目标的实现。

（5）设计法律风险管理的监督与检查机制

在设计法律风险管理的监督检查机制时，同样需考虑两个层面的问题：一是对具体法律风险控制措施设计与落实情况的监督与检查；二是对于法律风险管理活动是否按要求开展的监督检查。其中，第一类须落实在具体的管理流程中，第二类则需要由法律风险管理的牵头部门对各单位履行管理职责的情况进行持续的监控，确保法律风险管理流程得以有效执行。

需要说明的是，法律风险管理体系在吸纳内部控制框架时，无须按照五要素维度逐一进行制度设计，而是在具体法律风险和整体法律风险管理两个层面上，全面遵循五要素的相关要求进行制度和流程的设计，灵活的将各要素嵌入法律风险管理体系。

3法律风险管理的实施可充分使用内控建设方法和成果

目前多数商业银行均已搭建了较为全面的内控体系，虽然各行在具体建设方法上存在差异，但基本的内部控制建设思路差别不大。徽商银行是按照控制梳理与缺陷识别--缺陷整改与优化提升--内控评价的路径进行内控体系的建设。其中内控梳理是最基础的一项工作，指以法律法规和外部监管要求为标准，对全行各项业务和管理活动进行梳理，识别和发现内控缺陷的过程。在内控梳理过程中，由于其属于基础性建设工程，因此梳理内容涉及全行经营管理的方方面面，由此产生大量的流程梳理和数据，可以为法律事务管理提供支撑和服务：

（1）在风险识别和评估中运用内控流程梳理的方法和成果

内控梳理包括法规分析、制作标的、梳理控制措施、标的比对、识别缺陷等主要环节，其中标的比对和缺陷识别即是风险识别的另一种表现。而其对于具体流程的分析又可以细化到具体业务或产品环节、步骤上的控制要求以及固有风险。据此，法律风险管理的流程设计可以在以下几个方面运用内控方法和成果：一是内控对于外部法规、监管规定的归纳可用以法律风险管理中的法规索引；二是法律风险可以参照内控确定的流程环节及其中的已识别风险，逐一在各操作环节中进一步识别法律风险；三是内控对于全行业务和管理结构的划分，形成完整的流程框架和业务目录树，能够指导法律风险管理的对象体系，保证法律风险识别的全面性。

（2）具体法律风险的控制优化需要内控手段的支撑

对于识别出的法律风险，部分可以通过优化业务流程等方式规避、降低或转移，而流程优化是内部控制最核心的功能，也是内部控制最基本的手段。因此法律风险管理需要借助内部控制的手段实现风险的化解和转移。

4法律风险管理的效果需要运用内控评价方法来验证

对于法律风险管理的效果，主要从以下几个层面进行判断：一是具体法律风险识别和评估的准确性、全面性；二是相关改进措施设计的有效性、合理性和落实度；三是就法律风险管理自身而言，其管理流程设计的有效性和合理性。其中后两种判断，在法律风险管理自身的运行框架内，并无专门的评估手段能够实施，因此必然要使用内控评价的流程和方法，从业务流程的角度，进行设计有效性和落实度的评价。