外资准入条件下中国商业银行内部风险控制法律制度的建构

【出处】《法学家》2007年第6期
【摘要】本文在分析我国商业银行风险控制制度现状和问题基础上，提出全面风险管理、流程银行风险控制、市场导向风险管理的理念创新，并在制度层面提出了建构我国相关制度的构想：建立流程银行全面风险管理体系；建立和完善相对独立又相互协调的风险控制机制；建立职权分离、相互制约的风险控制制度；建立有效的内部控制评价监督机制以及完善有关风险控制法规。
【关键词】商业银行；内部风险控制；制度建构
【写作年份】2007年


【正文】

　　按照中国加入WTO的承诺，自2006年底我国银行业已向外资全面开放，中资银行面临外资银行激烈竞争和金融业务综合化经营的挑战。如何保障银行的健康发展和应对开放条件下日益激烈的银行业竞争局面已成为理论研究必须面对的重要议题。与规范化的股份公司特别是国际先进银行相比，我国的银行公司治理改革还处于起步阶段，多数银行内部管理和风险内控制度改革还没有到位，[1]银行公司治理改革的理念和作为其重要组成部分的内控制度还存在很多问题。[2]对此，许多学者曾从宏观、微观角度进行了有益的探究，取得了一定成果。但总的说来，这些研究主要是从经济学的角度进行的，而从法学的角度展开研究则明显不足。为此，本文将从法学视角展开研究，同时以避免利益冲突作为逻辑基础，通过分析我国商业银行的现实语境和营运状况，并在总结国内外先进经验的基础上提出关于我国商业银行在外资准入条件下完善内控法律制度的设计构想。

　　一、我国商业银行内部风险控制体系的现状及不足之处

　　（一）我国商业银行内部风险控制体系的现状

　　1．中国建设银行。中国建设银行的内控体系是由董事会及董事会审计委员会、相对垂直的风险管理体系等构成。实行专人负责由总行覆盖全辖的风险官制度。其特点有：第一，建立垂直化风险管理体系。根据年报披露，在总行聘任首席风险官，设立风险监控部，强化风险管理的专业性，截止2006年末，在一级分行设立风险总监，二级分行风险主管到位，在部分县级支行实行专职或兼职风险经理，风险管理人员负责所辖全面风险管理工作。[3]第二，强化独立性和相互制约的风险管理机制。如推行授信过程中客户经理和风险经理的平行作业机制，风险经理参与自贷前检查至贷后管理全部环节的风险管理，贷前环节风险经理与客户经理共同参与客户评价和项目评估工作，出具风险评估意见。信贷审批环节，须经过有权审批人的双签审批、会签审批或信贷审批会议等进行审批。第三，全过程的风险控制。如风险经理介入贷前环节；贷款发放前，风险经理负责审核贷款条件的落实；贷款发放后，风险经理负责风险识别和预警，并进行风险提示。

　　2．中国工商银行。中国工商银行在进行股份制改造以后，初步建立了其内部风险控制体系：主要是由董事会以及风险管理委员会、审计委员会以及下属审计局，以风险管理部门、内控合规部等组成的机构。董事会下设审计委员会、风险管理委员会，设有垂直管理的内部审计局和内部审计分局，向董事会负责并报告工作。董事会审计委员会直属于董事会，由5名独立董事组成，审计委员会负责对内部控制、财务信息等进行监督、检查和评价，并评估外部审计机构的独立性和工作。同时建立总行垂直管理的内部审计局，下设直属分行和9家区域审计分局，分辖全国分支机构。董事会风险管理委员会9名董事组成，并由独立非执行董事担任主席，负责全行风险管理政策和工作。总行及各级分行设立内控合规部，负责全行内控机制的组织、推动和协调工作，承担风险管理、合规管理和常规审计职能。一级（直属）分行的授信审批部和信贷管理部统一履行一级（直属）分行以下机构的客户评级、授信、评估、审批以及信贷监督职能。[4]2006年，深入推进信贷业务的集约化经营管理，提高授信审批决策层次，构建独立集中的信贷业务风险控制体系。

　　3．中国银行。中国银行在股份制改造以后全面推进集团风险管理体系建设，其目标是全球的风险管理体系、全面的风险管理范围、全员的风险管理文化、全程的风险管理过程、全新的风险管理方法和全额的风险计量。中国银行的风险管理体系主要是由董事会及下属风险政策委员会，管理层下设的内部控制委员会、反洗钱工作委员会、资产负债管理委员会和资产处置委员会，风险管理部、授信执行部、资产负债管理部、法律合规部等构成风险管理的组织架构。2006年完善授信集中审批制度，试点机构授信专业审批工作。一级分行信贷风险总监到位，第一批专业审批人全部聘任到位，并由总行实施对专业审批人的授权。2006年为实现内控关口前移，全面加强风险管理，实施了内控流程整合，构建了业务机构和业务部门、法律合规体系和内部稽核体系的三道内控体系防线。中行上市后其稽核体系的独立性、专业性和权威性得到增强，完成对全行稽核工作的整体评估，成立独立的稽核部门，确立了垂直的稽核管理模式。[5]

　　4．深圳发展银行。2005年初深圳发展银行改革其风险管理架构。[6]主要内容是：（1）实行授信审批权集中制度，原各分支机构拥有的风险业务审批权限都被收到了总行。（2）建立相对独立的垂直管理授信架构，由总行信贷风险执行总监向分行或业务线派驻高级信贷主管，实现授信风险的垂直管理。高级信贷主管负责领导所派驻分行或业务线的信贷审批和监察工作，享有授权范围内的最高信贷审批权和信贷审批授权。同时负责所派驻分行或业务线的信贷风险管理组织架构的建立、健全工作，组建风险管理部门，提名任命和管理风险管理部总经理和其他风险管理人员。（3）总行对委派的高级信贷主管实行定期岗位轮换制度（4）建立风险管理人员的激励约束机制，定期考核和奖惩。至2006年底，基本建立了风险管理体系和组织架构，建立了信贷业务垂直管理体制，完成对所属分行及同业和资产保全业务线信贷执行官的派驻工作；建立了全行信贷放款集中管理模式；在内部监督体系上，建立了独立内审垂直管理体系，对各项业务实施多个层面的监督、检查和稽核，进行覆盖各类风险的全面内控检查和评估。[7]

　　5．中国民生银行。中国民生银行在业内率先建立独立评审制度，也是在业内较早探索建立流程银行风险管理体系的商业银行。[8]中国民生银行的风险管理体系主要是由董事会，风险管理委员会下设的授信评审垂直管理体系、法律合规体系和放款审批和贷后监控体系，以及独立的内审垂直管理体系。[9]其中垂直授信管理体系，建立了由按经济区域集中的区域评审体系和按行业线集中的行业评审体系。其特点是：（1）全面风险管理与专业风险管理相结合。致力于流程银行建设，目标是将风险管理和合规控制贯彻到各个业务环节及业务线。在完善垂直和相对集中的风险管理体系基础上，推行了以市场为导向的分行业的专业化授信风险模式。（2）垂直授信管理体系保持相对独立性和适应市场的灵活性。民生银行在业内率先建立了相对独立的垂直授信审批机制，[10]放款审批权也集中到了各级分行的放款中心，实现了与业务经营职能的相对分离和风险控制的独立性。同时也保持了适应市场变化的一定的灵活性，如建立了在集中和垂直体制下的区域评审体系和行业评审体系、以及贸易融资、中小企业专业评审体系的多层次的授信评审模式。（3）权力制约的授信风险管理架构。主要是将授信风险控制的申贷职能、授信审批职能及放款审批职能分设到业务部门、授信评审部门及放款中心，使得这三种授信权力保持相对的独立，并起到相互监督和制约作用，既避免了业务部门与授信审批部门的利益冲突，也减少了审批部门自审自放导致利益冲突的可能性。

　　（二）我国商业银行内部风险控制体系存在的问题

　　第一，风险控制的理念亟待创新。

　　风险管理理念是建立有效的风险管理体系的逻辑前提和制度基础，在开放金融条件下，随着金融改革和市场的不断变化，风险管理理念也要与时俱进，不断创新，才能适应市场变化，相关的风险控制和管理体系才能起到有效管理和控制风险的作用。相对于传统市场，开放条件下的金融市场特点是，金融业务的综合化和混业化经营、金融市场的迅速变化、金融业务品种和工具的不断创新。这就要求有效的风险管理体系必须有迅速反应能力、综合化地管理风险、全流程风险控制的能力。但在现有商业银行风险管理理念仍有待创新，主要表现在：许多商业银行的风险管理仍停留在条块管理的“部门银行”模式中，对市场、客户和风险相对滞后；对开放条件下的金融市场的市场变化和金融创新的新特点反应不足；风险管理职能依托于传统的风险管理部门；不能有效处理市场和风险关系，过于强制风险控制，在建立了相对集中和垂直的风险管理架构以后，又远离了市场、风险管理的弹性和效率不足等。监管部门在风险控制体系的立法理念上，也不能适应金融全球和外资准入条件下银行竞争的需要。从《商业银行市场风险管理指引》和《银行内部控制评价试行办法》来看，其制度的规定和具体的细则，缺乏操作性和针对性，也未体现金融全球化和外资准入条件下，全面风险管理、维护金融安全价值、提高核心竞争力的立法理念。一些关于内部控制的规范性文件，也存在一定的机械性，灵活性不足。

　　第二，风险控制职能部门功能分割，流程银行风险管理体系尚未建立。

　　从我国主要上市商业银行来看，虽然都开始建立和完善风险组织架构，如董事会、风险管理部、法律合规部，甚至审计委员会，但是大多仍停留在传统的“部门银行”模式上，各个风险管理职能部门条块分割，部门职能交叉重叠，管理趋于官僚化；风险管理信息沟通不畅，风险管理环节协调不够，完整的风险管理流程脱节和粘滞，其结果是没有实现效率最优化，对市场和风险反应不足。因此，既有的金融机构内控机制和监督制约机制作用受到限制，中后台的风险管理、法律合规和内部审计因此不能同步嵌入到业务流程中去，而往往是外部或事后的管理，有的甚至存在与业务脱节的“两张皮”现象，对实现全面的风险管理也形成制度瓶颈。例如，在现有风险管理框架下，商业银行要满足监管部门在《商业银行合规风险管理指引》的要求，实现全面的合规管理，就面临较大的挑战。有些垂直风险管理体系，虽然保持了相对独立性，但与业务部门和其他风险管理流程的协议不能实现无缝对接。当然，目前中国民生银行等一些银行已经开始了重建流程银行风险管理体系的尝试。

　　第三，风险控制体系的独立性和协调性存在问题。

　　首先，许多银行风险控制体系仍存在独立性问题。虽然少数上市商业银行已建立了相对独立的垂直管理的授信风险管理体系和垂直的内审体系，但也有许多商业银行仍沿用风险管理体系隶属于各级分支机构的传统的授信风险管理模式，各级经营机构的负责人拥有对信贷业务的审批权。目前各级行长集信贷发展、风险管理、经营利润、内部审计等数项责任于一身，既不利于权力制衡和监督，也不利于集中精力搞风险管理。[11]其次，风险控制体系内部仍需完善相互制约的机制。从目前国内主要上市商业银行风险管理的组织架构看，虽然都建立或开始建立垂直和相对集中的风险管理体系，但是在风险控制体系内部，一些商业银行的授信审批职能、申贷职能（初审权）、授信执行职能（放款审查权）、贷后管理职能并未作相对独立的分离或由专门的机构行使。这会造成潜在的利益冲突，也会造成落实授信条件的操作风险和道德风险，也使得风险控制权的制约作用弱化。最后，有些银行已建立运行的独立内部控制体系，也由于整个银行组织缺乏流程化管理，因此，虽然能够实现相对独立的内部控制功能，如授信审批，内部稽核或合规管理，但相互之间缺乏有效衔接、串连和协调，也与市场在一定程度上滞后和脱节，不利于整体风险控制能力的提升。

　　第四，风险控制体系的内部约束监督机制存在不足。

　　首先，合规体系作用有待加强。按照全面风险管理的要求，合规体系要贯彻和渗透到全银行体系。而目前我国商业银行虽然按照监管部门要求都建立了内部合规体系，但大多停留在合规制度建设的初级阶段，没有最大程度地发挥合规对商业银行内部风险控制和约束的作用。其次，董事会审计委员会和内审体系的约束和监督作用需要加强。在美国等发达国家，内部审计体系是一个有效的风险控制约束和监督机制。目前我国只有少数商业银行建立了专门的审计委员会和垂直管理的内审体系，许多商业银行的内审体系仍依附于管理机构；有的商业银行虽然也建立了垂直管理的内审体系，但由于不能直接对董事会负责，也削弱了内部审计监督的作用。

　　第五，风险控制机制的外部评价监督机制尚待完善。

　　1．风险控制的评价体系尚未建立。有效的银行内部风险控制机制并不能自动实现。如果银行内部风险控制机制本身存在缺陷，则不能起到有效的风险控制作用，因此需要建立对内部控制机制的评价机制。监管部门对商业银行的监管重点也从监管具体业务向监管商业银行内部控制机制转变。外部风险控制评价主要是指银行监管部门按照其评价标准对商业银行内部风险控制评价机制及结果进行的评价。虽然，银监会制定了《股份制商业银行风险评级体系（暂行》及《商业银行内部控制评价试行办法》，但尚属起步阶段，相应的规范也较为粗疏，通过对银行风险控制机制的评价来提高监管水平、达到促进商业银行提升内部风险控制的实际作用尚未体现。

　　2．风险控制的评价标准不完善。我国商业银行尚未建立完善的内部的风险评价制度，内部评价的标准和规则欠缺。而在国外，相应的银行监管法或公司法都要求公司自行制定评价其风险控制体系（内控体系）的制度和流程，作为银行的一项法定义务。《商业银行内部控制评价试行办法》虽然要求商业银行应建立并保持书面程序，对内部控制体系实施评价，确保内部控制体系的充分性、合规性、有效性和适宜性。但目前我国商业银行风险控制自我评价机制尚处于起步阶段。

　　3．风险控制责任机制不足。《商业银行内部控制评价试行办法》虽然规定了商业银行建立风险控制机制的义务，但并未规定商业银行对风险控制机制进行自我评价的法定义务，对于违规的银行所规定的罚则，也是仅限于一些原则性规定，缺乏具体的可操作性，在适用上缺乏确定性。另外，也缺乏对银行董事及高管人员的个人法律责任。[12]

　　第六，风险控制法规尚待完善。

　　有关银行内部风险控制的法律规范不够完善。现有的一些法律规范性文件都属于银监会部门规章，法律层次较低，对银行业内部风险控制缺乏强有力的约束制约作用。《商业银行法》、《商业银行市场风险管理指引》和《银行内部控制评价试行办法》等对内部风险控制制度规定的条款过少、而且多属于原则性规定。银行内部风险控制的规章制度相对杂乱，分散于各类规章和文件中，相互间也存在矛盾和冲突，缺少系统性和整合性。同时，相关的制度设计或内控机制评价的标准不合理，制度设计之间缺乏有机的联系，未能很好体现内部控制机制的制度设计中心原则——内部控制机制的相互制约性、职能分离和避免利益冲突。

　　二、外资准入条件下我国商业银行内部风险控制法律制度的建构

　　（一）风险控制理念的创新

　　在外资准入的开放金融条件下，风险控制理念的创新应当是：全面风险管理、流程银行风险管理、市场导向的风险控制前移的风险管理理念。

　　1．全面风险控制理念。巴塞尔委员会新资本协议，确立了全面的风险管理的理念。全面风险控制就是应对综合业务经营和混业经营的需要，风险管理和控制要覆盖和渗透到全业务领域。全面风险管理一方面是指要全面管理市场风险，信用风险和操作风险。在市场风险和信用风险方面要建立有效的独立的风险控制体系，建立有效的内部审计监督体系和合规体系，并突出加强操作风险。全面风险管理的另一方面是指全程的风险管理过程，就是要将风险管理和控制贯彻到各个业务领域、业务环节及业务线。全面风险管理方面的制度创新是在统一和垂直的风险管理体系下，向各业务领域、业务部门和业务线派驻直属的风险官。全面风险管理还包括建立全面的风险管理体系等。

　　2．流程银行的风险控制理念。由于业务是以流程的形式发生的，因此，传统的分块管理的模式人为割断了业务流程，从而也使风险的控制和识别能力发生传导衰减，同时也降低了业务的效率。近年来行之有效的独立评审体系、集中放款体系、垂直内审体系等制度创新，虽然保证了相关职能的独立性，避免了利益冲突，虽然有效控制了风险，但是也存在条块分割的局限，风险控制流程线不能有效融入（嵌入）业务流程线，风险信息的交流受限，风险控制效用不能有效叠加，也制约了全系统的风险控制能力的强化，同时也制约了流程银行的效率。因此在业务部门、独立评审体系、集中放款体系、贷后管理体系和垂直内审体系等职能部门间须要建立贯穿其中的流程化的风险管理体系，使风险管理和控制能够通过流程银行进行有效传导和强化，同时提高流程效率。

　　3．市场为导向的风险控制前移的理念。传统的风险控制体系，无论是评审体系，还是事后的监督体系，都是被动的或滞后的风险管理模式，对市场变化反应不足，或完全被动或滞后于市场变化。相对集中的风险管理模式，虽然加强了独立性和客观性，减少了利益冲突，但是也存在对市场风险反应不足，或效率低下的缺点。因此在开放金融条件下，以市场为导向的风险控制前移的理念是建立有效的风险控制体系的重要基础。因此，在完善原有垂直风险管理体系基础上，通过向业务线派驻风险官、基础风险管理人员与市场营销人员共同参与授信尽职调查，将风险控制以市场为导向、将风险控制的职能前移，提前介入到业务营销环节，都是风险控制前移的有效尝试。通过风险控制前移，不仅有效控制风险，也提高了风险控制机制的灵活性和反应能力，提高了市场业务发展效率，实现风险控制和市场发展的动态平衡。

　　（二）我国商业银行内部风险控制的制度设计

　　1．国外商业银行有效风险控制的制度借鉴。西方发达国家商业银行风险控制的一个典型的风险控制组织体系是从首席信贷总主管到各级信贷主管组成的相对独立的风险控制架构嵌入业务流程线的模式：①首席信贷总主管（Chief Credit Officer），由董事会直接任命，专责组织、领导全行信贷风险管理工作。首席信贷总主管享有全行最高的“基本风险”和“特别风险”的信贷审批权和信贷审批权的授予权，负责任命高级信贷主管和业务组别或分区信贷主管，并直接向行长（总裁）和首席业务主管负责。②高级信贷主管（Senior Credit Executive），由首席信贷总主管任命和指派到主要业务线（如公司信贷业务、消费信贷业务等），主管所管辖业务线的信贷审批和监察工作；负责分管业务线的信贷风险管理组织架构的建立、健全工作，并就有关事宜制定实施方案，报请首席信贷总主管批准执行。③业务组别或分区信贷主管（Group Credit Execu—tive），由首席信贷总主管任命并指派到银行业务产品或业务区域中去，负责所分管的产品领域或业务区域的信贷审批及监察工作，负责分管的业务产品或区域的信贷管理人员信贷审批权的授权工作。④信贷主管（Credit Executive），在业务组别或分区信贷主管之下，设有信贷主管，被任命和指派到某一特定业务类别或区域中去，分管有关信贷管理和审批工作。

　　2．我国商业银行风险控制制度框架的构想。借鉴国内外我国商业银行风险控制成功经验，我国商业银行风险控制的制度框架的规范或指引，可以包含以下内容：

　　首先，建立流程银行全面风险管理体系，实行风险控制流程之间、风险控制与业务流程之间的无缝对接。在一个商业银行全行流程再造中，按照事业部和业务线的流程，建立和完善以客户为中心、风险管理控制为导向的流程银行风险管理体系，主要内容是：①流程风险控制体系的构成：风险管理委员会及其所属的授信评审、资产监控和合规管理的风险控制流程线；审计委员会及其所属的垂直内部审计流程线，与总行营销委员会所属的以客户和行业为目标的业务流程线的有机结合。②风险控制体系内部实行总行直属的垂直管理体系，以授信评审为例，建立以区域、行业和业务品种为分类的评审流程体系，管理流程环节上压缩层级，实现扁平化、短链管理体系。③建立首席风险官领导下的垂直派驻风险官制度。风险控制体系与业务流程体系的衔接，采取由总行向各业务线派驻风险官制度。这些风险总监和风险主管，直接负责所在业务线或机构的风险控制，由总行首席风险官统一领导，垂直管理，以减少道德风险。首席风险官设立开始于2002年美国货币监理署（OCC）对中国银行纽约分行的整改指令中要求设立首席风险官（CRO）的规定。[13]目前我国民生银行、深圳发展银行等银行都设立了首席信贷官制度。中国建设银行、中国银行等也已开始设立垂直管理的风险总监。④全面流程风险管理制度。通过直接派驻风险官的形式，对所有机构、所有业务线的风险控制实行全覆盖；全面风险管理还体现在风险控制的环节前移，由传统的中后台风险控制环节，转变为现在提前介入到业务营销环节，如基层风险管理人员与市场营销人员的并行调查和风险评估，风险管理人员要负责从业务拓展、业务签约到事后管理的全流程风险控制。

　　第二，建立和完善相对独立又相互协调的风险控制机制。（1）保持风险控制机制的相对的独立性：1）垂直的相对独立的风险控制体系。在相对集中的授信风险控制权的基础上，建立起以总行信贷官、高级信贷官、行业信贷主管、信贷主管为体系的制度框架，这一体系是与业务经营管理机构相对独立的体系，是由首席信贷官领导，直接对董事会负责的体系，并不从属于各级银行机构。避免风险控制受到业务部门的不当干涉；2）风险控制部门与银行行政管理部门的相对独立。在制度设计上，整个风险控制体系由首席信贷官领导，首席信贷官及各级信贷官并不同时兼任银行的行政职务，避免行政管理权力对风险控制的不当干涉。（2）作为风险内部控制体系组成部分的独立评审、内部审计和合规体系，应在统一的风险管理委员会领导下，在计算机风险系统支持平台上，实现流程衔接、职能协调和信息共享；内部控制体系的各个流程线应贯穿于业务流程的各个环节，贴近市场和风险。

　　第三，建立职权分离、相互制约的风险控制制度框架。上面的独立性的制度组织架构，实际上也同时体现了职权分离、相互制约的风险控制理念。只有体现出职权分离、相互制约，才能有效地避免利益冲突，实现相互约束监督。在职权分离、相互制约的框架下，主要是实现：①首先是业务经营权和风险控制权的分离，在制度上主要是设立如上所述的相对独立的垂直的风险控制体系。②风险控制权与银行行政管理权的分离，也是通过相对独立的风险控制体系来实现。在实际执行中避免风险控制岗位与业务经营岗位、行政领导岗位的分离，风险控制人员不能兼任银行业务经营及行政领导岗位。每级行政管理人员负责本机构的内部风险控制运作，但不参与总行垂直的风险控制体系。③风险控制权内部权力的分离和相互制约。其一，在授信业务中，贷款（申贷、初评）权、审批权与放款权、贷后监控权的相互分离，由不同的部门和不同岗位来行使，以便对不同环节的风险控制进行相互制约和监督，减少利益冲突的可能。借鉴民生银行和国外银行经验，在分行层面设立评审中心、放款中心、贷后检查中心分别行使评审、放款和贷后监控权力。其二，在总行终审的评审权方面，也根据授信业务的风险种类，由不同的相对独立部门分别从信用风险、市场风险、合规性风险三方面行使独立的评审权，分别出具独立的评审意见。

　　第四，建立有效的内部控制评价监督机制。首先，设立相对独立的内部审计稽核部门对风险控制过程和结果进行评价，这是内部控制的重要约束机制。内部审计机构不再局限于银行经营业务等本身的审计监督，还要对内部风险控制机制、运行全流程及内部控制结果进行监督，并独立对董事会负责。内部审计稽核部门的另一重要职责是制定银行内部控制评价规则。其次，银行监管部门负责对风险控制机制进行外部评价。内部控制评价主要包括两部分内容：一是要求商业银行建立一个符合要求的、系统的、透明的、文件化的内部控制体系，这是商业银行的责任；二是由监管当局从过程评价和结果评价两方面对商业银行的内部控制体系开展评价，这是监管当局应承担的职能。其三，设定银行、董事、高级管理层以及信贷风险控制人员的法律责任。同时，应加强商业银行在风险控制方面的法律责任，并增强个人对于风险控制的责任。目前，我国公司和金融监管法对董事、高管及信贷风险控制人员的个人责任规定欠缺，可借鉴美国公司改革法案等国外最新法律的原则，对董事、高管及风险控制人员的风险控制责任实现严格责任规则。

　　第五，进一步完善风险控制法规，促进风险控制制度创新。采取强制性规范与任意性规范相结合，鼓励风险控制自律创新的风险控制制度立法原则。有关风险控制的法律法规和规范性文件，应当适应金融开放条件下的金融市场变化和监管部门职能变化要求，减少强制性机械的规定，不必强制规定统一的风险管理模式，而是更多赋予商业银行在风险管理体制上进行有效的创新，鼓励商业银行根据开放金融条件下的市场特点积极创新，相关监管法规和监管部门更多地侧重于对风险控制的机制的有效性进行评价和监督。实际上诸如独立垂直评审制度等有效的风险控制制度设计，最初都是由一些商业银行自行创新并由其他银行逐步采用的。因此，除少数的监管法规的强制性规定、法定的风险控制制度设计（如要求设立董事会、内审机构）以及对风险控制机制的评价机制等规定外，内部控制规则的制定、内部组织形式设计、内部控制机制的运行等应主要由商业银行按照监管部门的指引自行组织实施，并赋予更多的任意性条款，鼓励探索有效的风险控制机制的创新。




【作者简介】
高晋康，西南财经大学教授。唐清利，单位为西南财经大学。黄贤福，单位为西南财经大学。


【注释】
[1]中国银监会“公司治理改革”课题组：《完善公司治理是国有商业银行改革的核心》，www.cbrc.gov.cn.
[2]亚洲金融危机的教训也显示，银行内部治理缺陷是造成金融危机的重要原因之一。
[3]中国建设银行2006年报，hup://www.ocb.com.
[4]中国工商银行2006年报，//www.icbc.com.cn.
[5]中国银行2006年报，//www.boc.cn.
[6]参见田宇：《深发展取消副行长职位复制花旗垂直授信管理》，载《第一财经日报》2005年1月13日。
[7]深圳发展银行2006年报，//www.sdb.com.cn.
[8]章晓玲：《流程化管理与商业银行的实践》，载《银行家》2006年08期。
[9]中国民生银行2006年报，//www.cmbc.com.cn.
[10]参见曹盛洁：《新设首席信贷官民生银行“中央集权”》，载《经济观察报》2002年3月17日。
[11]文琦鸿：《加快风险管理长效机制的建设》，载《西南金融》2004年第11期。
[12]虽然《银行内部控制评价试行办法》第七章规定，对个人责任人“取消有关人员一定期限或终身银行业从业资格”，但规定过于模糊，且处分过分轻微，不至于约束董事、高管层。
[13]高晋康、黄贤福、杜军等：《试论公司治理与法人犯罪的关系》，载《中国经济改革与发展研究报告》，西南财经大学出版社2004年版，第102页。