良好的公司治理是金融控股公司建立内部风险管理法律制度的基础。所谓公司治理，一般是指股东对经营者的一种监督与制衡机制，通过一种制度安排来合理的配置所有者与经营者之间的权利与责任关系。^[25]

我国现有的关于公司治理的法律制度，主要以《公司法》的基本规范为主，结合银监会、证监会、保监会发布的《商业银行公司治理指引》、《证券公司治理准则》、《信托公司治理指引》、《融资性担保公司公司治理指引》、《期货经纪公司治理准则》以及证券交易所发布的《上市公司治理指引》等，对一般金融机构的公司治理做出了原则性和框架性的规定。但是，各个治理指引仅针对单一金融主体，并未针对跨行业的金融主体作出细致的规定，由于金融控股公司涉及多个行业、股权结构复杂、组织机构繁多，现有的法律法规存在一定的不适用性。同时，以银行为主体的金融控股公司内部治理问题尤为特殊，虽然我国商业银行业已完成股份制改造，初步建立独立法人治理结构，但是依然保留了浓厚的行政色彩，内部制度的设计时常受到行政的干预和影响，甚至突破了法律规范。

因此，我国金融控股公司应当以公司法律法规为基准，重视发挥公司章程和内部规章制度的作用，来建构有效的内部组织结构和权力分配体系，明确股东、董事会、监事会、高级管理层、业务职能部门以及相关利益者的权利、责任和利益，并以此为基础，选择合适的内部风险管理模式。

1.完善公司股东会、董事会、高级管理层与监事会相互制衡的法律制度。首先，我国公司法明确规定了股东大会制度，但在实际情况中，我国相当一部分金融控股公司的股权属于国有，如财政部、地方政府等。这些部门同时又是监管者，与出资人的角色冲突，因此金融控股公司时常面临“所有者缺失”的尴尬。为了解决这一问题，金融控股公司可以适当吸引民营资本、外资资本的加入，在政策允许的范围内，努力实现股权结构的多元化。

其次，我国金融控股公司董事会产生机制不合理，独立董事的独立性不足。在我国，金融控股公司的董事长、董事一般由国家组织部门委派或任免，不符合公司治理中“董事由股东大会选举”的准则，难以保证董事会受到股东大会的充分约束。同时，独立董事的数量少、话语权小、监督职能有限，也是对现有公司治理原则的阳奉阴违。为了确保董事会制度的高效独立运作，我国金融控股公司应当制定严格的公司章程，规定董事会需经股东大会选任，不得由行政机关委派；适当扩大董事会的人数规模，避免权力的过度集中；并根据《公司法》第122条及证监会《关于在上市公司建立独立董事制度的指导意见》的规定，设立独立董事，并委派独立董事进驻风险管理委员会、审计委员会，充分发挥防范风险的作用。

同样，我国金融控股公司监事会的产生机制不合理、监督职能不足，应制定严格的公司章程和内部治理制度，明确监事会由股东大会选任并直接向其负责，并落实《公司法》第54条赋予监事会的职权，利用其独立性充分发挥监督管理的作用，如创设独立监事制度。

2.协调母子公司之间的治理结构。金融控股公司要完善公司治理结构，还要求协调好母子公司之间的治理结构。一方面，保证子公司的独立法人治理结构，母公司不过分干预其日常经营；另一方面，母公司能够有效控制子公司，贯彻集团整体风险管理法律制度。^[26]有效的控制与协调主要通过股权控制、人事控制、财务控制等手段实现。

股权控制。金融控股公司对子公司的股权控制就是要借助对子公司的投资获得股东资格，通过股东权利，对金融子公司进行战略规划、人事和财务方面的控制。例如，在子公司安排股权代表，参与子公司股东大会的决策和管理，贯彻控股公司的整体政策，维护集团的整体利益。

人事控制。金融控股公司可向子公司推荐主要经营管理人员，如董事长、总经理等，或者通过行使股东权利，选任母公司指定的董事、监事和高级管理人员，如总经理、副总经理、首席财务执行官或首席运营官。(www.daowen.com)

财务控制。资本是连接母子公司的纽带，金融控股公司可以通过对子公司的资本投资来控制子公司的业务规模；同时母公司通过行使股东权利，设计合理的收益分配方案，让子公司在限定的资本范围内经营业务，保证金融控股公司整体资产的安全性、流动性和收益性。

3.风险管理法律体系的选择。合适的风险管理结构不仅是保障金融控股公司全面管理风险的前提，还是稳定的公司治理结构的重要组成部分。我国金融机构的风险管理还处于起步阶段，国家金融监管水平还不成熟，因此金融控股公司需要分阶段选用相应的风险管理模式。现阶段，以我国商业银行为主体的金融控股公司仍然受到监管部门“分业经营”的要求，不允许商业银行采取绝对控股的形式控制证券公司或保险公司。^[27]因此，以我国商业银行为主体的金融控股公司目前主要采取相对持股的间接管理模式，即母公司以股权关系为纽带，通过子公司董事会和管理层，指导子公司自主进行风险管理。此种风险管理体系符合现有的公司治理规范，严格以股权联系为依靠，充分保持了子公司的独立性，但是对于子公司风险管理的控制力明显不足，受制于间接、单线条的控制路线，亟待公司治理法律的更新，以实现直接管理的目的。

表2　间接控制型风险管理体系图例

而针对全资子公司或有绝对控制权的子公司，金融控股公司则大多采用双重管理模式，利用股权控制和行政控制相结合的手段来进行风险管理。母公司在取得子公司董事会授权的情况下，由母公司风险管理部门和子公司管理层共同进行风险管理，子公司风险管理部门在向其管理层报告的同时须报告母公司风险管理部门。此种风险管理体系突破了现有的公司治理原则，使用了行政干预的强制力手段，虽然能够保证风险管理的有效性，但牺牲了子公司的独立法人人格，可能引发相应的道德风险和母公司加重责任。

表3　双重控制型风险管理体系图例

随着我国金融法律法规的不断完善、监管政策对银行综合化经营的逐步放开，以及金融控股公司组织结构和内部体制的健全，金融控股公司的风险管理可向发达国家金融控股公司看齐，逐渐转变为垂直一体化管理模式，即控股母公司对子公司的风险管理实施垂直管理，在控股母公司的统一制度下，子公司对经营管理中的风险进行识别、分析、反映、控制与处理。此种风险管理体系依赖于更先进的公司治理法律制度和内部控制制度，如公司责任加重制度、防火墙制度等，既能够通过垂直一体化的设计实现全面的风险管理，还能够保证母子公司各自独立的法人人格和治理结构。

表4　垂直一体型风险管理体系图例