误区一：法律风险就是诉讼风险　

　　从字面上来看，法律风险必然与法律问题有关。据此，很多人认为法律风险就是诉讼风险，法律风险管理工作也应当由商业银行的法律事务部门独立承担。目前，管理诉讼案件的确是我国商业银行法律事务部门的主要职责。将法律风险理解为诉讼风险符合我国商业银行组织结构的实际情况，但却与《巴塞尔新资本协议》的要求还有不小的差距。　

　　实际上，法律风险的范围和表现形式是相当复杂的。从《巴塞尔新资本协议》的有关规定来看，法律风险是指银行因经营活动不符合法律规定或者外部法律事件而导致风险敞口的可能性。如果商业银行自身的操作风险控制体系不充分或者无效，未能对法律问题作出反应，这种情况就会引发法律风险。换言之，法律风险主要是银行因其经营活动违反法律的规定而承担法律责任的可能性，我们把这种法律风险称为运营法律风险（operational  legal  risk）。商业银行因运营法律风险而承担的责任主要是民事责任，也可能是行政或者刑事责任。其中，民事责任可能是由人民法院的判决确定的，也可能是仲裁机构的仲裁裁决确定的；行政责任只能由行政执法部门的行政决定确定；刑事责任只能由人民法院的判决确定。无论如何，法律风险一定与商业银行可能承担的赔偿责任有关，商业银行追究对方当事人法律责任的诉讼或者仲裁活动，例如对违反贷款合同的借款人提起诉讼或者申请仲裁等不会引发法律风险。也就是说，运营法律风险不仅与司法程序有关，还可能与仲裁程序和行政程序有关。即使是与诉讼活动有关的运营法律风险，也一定是商业银行“当被告”的风险，而不是“当原告”的风险。　

　　此外，法律风险不仅与诉讼、仲裁或者行政程序有关，而且还与外部法律环境的变化有关。如果法律的变化，即法律的立、改、废，给商业银行带来了不利的法律后果，这种情形就属于环境法律风险（environmental  legal  risk）。目前，我国商业银行在管理法律事务的过程中，都认识到法律的变化可能对其经营活动造成不利影响，但专门针对环境法律风险的管理程序则还是空白。总之，诉讼风险并不一定就是法律风险，法律风险也不限于与诉讼活动有关的风险。　

　　值得注意的是，商业银行的各个业务线、各种金融产品和服务都要涉及法律问题。因此，法律风险普遍地存在于商业银行业务活动和管理控制的各个方面，与特定的内部程序、人员、系统或者外部法律事件相联系，其信息来源异常分散。与强调统一和集中的信用风险和市场风险管理体制不同的是，法律风险的管理体制则强调分散化，所有的业务部门都应当在法律风险管理程序中承担相应的责任。可以说，识别、计量、监测以及控制和缓释等法律风险管理程序中的各项基础性工作都是由各个业务部门完成的，而法律事务部门主要负责法律风险管理程序的设计、组织实施和数据汇总等工作。可见，认为法律风险管理工作与各个业务部门无关的看法也是有失偏颇的。　

　　误区二：法律风险是一种独立的操作风险事件类型　

　　《巴塞尔新资本协议》并没有专门规定法律风险管理问题，只是在有关操作风险的章节中概括了操作风险与法律风险之间的关系：操作风险是指由不完善或者失效的内部程序、人员和系统或者外部事件造成损失的风险，这种风险包含法律风险，但不包含战略风险和声誉风险。   ^[1]据此，很多人认为法律风险是一种独立的操作风险事件类型。相应地，法律事务部门负责管理法律风险，操作风险管理部门负责管理其他类型的操作风险，法律风险管理程序与其他操作风险管理程序也应当相互独立。　

　　实际上，操作风险和法律风险的分布都非常广泛，它们之间的关系错综复杂。根据巴塞尔委员会的有关规定，操作风险事件主要有以下七种类型：　

　　1.内部欺诈；　

　　2.外部欺诈；　

　　3.雇佣政策和工作场所安全；　

　　4.客户、产品和业务操作；　

　　5.实物资产的毁损；　

　　6.业务中断和系统失灵；　

　　7.执行、传递和业务流程管理。 ^[2]　

　　通常，前两种风险事件（内部欺诈和外部欺诈）不可能引发法律风险，尽管银行在这些风险事件中可能遭受损失，但这些损失与法律责任无关；后五种操作风险事件则都有可能引发法律风险。另外，除了上述七种操作风险事件类型，外部法律事件也是法律风险的重要来源。由此可见，法律风险并不是操作风险的一种独立风险来源和风险事件类型，而是一种因内部程序、人员和系统或者外部事件造成的，具有一定法律特征并需要由法律人员（内部律师或者外聘律师）运用专业判断才能够有效地管理的操作风险。因此，有效地管理法律风险是法律事务部门和操作风险管理部门的共同职责，它们应当密切配合，前者负责对法律风险进行识别，运用量化技术对法律风险进行评估和监测，并采取控制和缓释措施，后者负责接收法律事务部门传递来的法律风险管理数据，并将其纳入整个操作风险管理框架，与其他操作风险管理数据汇总，从而形成完整的操作风险管理报告。　

　　误区三：法律风险就是合规风险　

　　有的风险管理者认为，法律风险是银行的经营管理活动不符合法律和监管要求所导致的风险，即合规风险。据此，法律风险管理活动不过是对商业银行各种业务活动的合法性进行审查而已。这种看法不仅片面地理解了法律风险的范围，而且也把法律风险管理工作简单化了。　

　　根据巴塞尔委员会的规定，合规风险是指银行因未能遵守法律、监管规定、规则、自律性组织制定的有关准则，以及适用于银行自身业务活动的行为准则而可能受到法律制裁或者监管处罚、重大财务损失或者声誉损失的风险，上述法律、规则和准则不仅包括那些具有法律约束力的文件，还包括更广泛意义上的诚实守信和道德行为准则。   ^[3]显然，合规风险广泛涵盖了内部操作风险和声誉风险，但不包括外部风险，即环境法律风险和其他的外部事件风险。　

　　更重要的是，合规风险和法律风险管理工作有着不同的宗旨和侧重点。虽然巴塞尔委员会一直强调商业银行应当有效地管理各种风险，但是《新资本协议》只对信用风险、市场风险和操作风险提出了资本要求。合规风险管理主要是针对内部控制体系的建立和实施情况，其目的在于确保银行遵循有效的合规政策和程序，并采取适当的措施纠正违规行为，计量风险并不是合规风险管理程序的重点。因此，对于属于合规风险但不属于操作风险和法律风险的声誉风险，商业银行只须审慎地管理而不必为之配置资本。但是，对于属于法律风险的合规风险，商业银行不仅要采取措施予以控制，而且还应当运用量化技术进行评估，并为抵御这类风险而维持充足的资本。　

　　有什么样的风险认识，就会有什么样的风险管理水平。澄清对法律风险的一些模糊认识、明确其表现形式，是提高我国商业银行法律风险管理水平、构建有效的法律风险监管体系的前提。根据《新资本协议》和其他有关巴塞尔文件以及我国有关法律、法规的规定，我国商业银行可能承担的操作性法律风险主要表现为：　

　　1.合同可能依法撤销或者确认无效；　

　　2.合同可能被依法变更，且变更的结果不利于银行；　

　　3.因违约、侵权或者其他事由被提起诉讼或者申请仲裁，依法可能承担赔偿责任；　

　　4.知识产权受到侵犯；　

　　5.业务活动违反法律、法规等的规定，依法可能承担行政责任或者刑事责任。　

　　我国商业银行可能承担的环境法律风险主要表现为下列可能对银行的业务活动产生不利影响的外部法律事件：　

　　1.有关法律、法规等的制定、修改或者废止；　

　　2.有关国家机关依法作出的法律解释；　

　　3.最高人民法院作出的判决； ^[4]