内部控制是指“商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制”。^[28]公司治理制度解决了所有人和管理人的委托代理问题，而内部控制则是针对管理人、经营者、利益相关人在日常经营活动中的规范要求。有效的内部控制是金融控股公司管控风险，实现稳健经营的核心，是内部风险管理法律体系建设的关键。

国际层面上，巴塞尔委员会发布了关于金融集团内部控制制度的框架文件，主要分为六个方面十三条原则，涉及风险监测与纠正内控缺陷；信息与沟通；风险的控制与职责分离；对风险的识别与评估；监管当局对内控系统的评估；管理层的重视与企业内部环境。^[29]不难看出，内部控制的核心围绕着风险的防范和控制问题，金融机构建立内控法律制度的目的也正是为了防范和管理风险。

国内层面上，我国金融监管部门也高度重视对金融机构内部控制制度的建设，相继制定了一些专门的金融机构内部控制法规和规章：1997年，中国人民银行发布了《进一步加强银行会计内部控制和管理的若干规定》；2002年，银监会颁布了《商业银行内部控制指引》；2003年，中国证监会颁布了最新的《证券公司内部控制指引》；2010年，保监会颁布了最新的《保险公司内部控制基本准则》；2010年，财政部、证监会、保监会、银监会、审计署更是联合颁布了一系列《企业内部控制应用指引》。这些规范对于各类金融公司的内部控制目标和原则、内部控制的基本要求、内部控制的要素及内容、内部控制的监督与管理都作了具体规定，能够指导我国金融控股公司建立、健全相应的内部控制法律制度。

但是，由于特殊的组织结构，金融控股公司的内部控制比一般金融机构的更复杂，一方面，各个子公司需要建立自身的内部控制，控制自身业务运营所遇到的风险；另一方面，母公司负责金融控股公司的整体安全，对整个集团的内部控制负有责任。因此，金融控股公司完善内部控制，主要关注以下四个方面：

1.实行岗位责任制。金融控股公司应建立严格的岗位职责分工。首先，应明确集团高级管理层在内控上负有领导职责，负责监督内控政策和程序在子公司及集团内部的贯彻实施；其次，应配备专门的风险管理人员对全集团及各子公司进行有效的风险控制和管理，逐步实现“垂直一体”的风险管理体系；再次，应隔离风险控制人员与一线业务人员，将授信与审批相隔离，保证风险及时得到监控；最后，金融控股公司内部各个单位的职能应当界定清晰，授权和责任明确，功能上的缺位和重叠能够得到及时反馈和协调。

2.完善内部稽核体系。金融控股公司可以通过内部稽核制度来监督集团内各个单位。内部稽核体系的建设主要包含两个层级的内容：第一层级是在集团层面上设立独立的内部审计部门，直接对控股公司董事会负责，进行全系统的审查监督；第二层级是在各子公司建立独立的审计稽核组织，其中的人员由控股公司直接聘用、管理和考核，并直接对控股公司的独立审计部门负责。^[30]独立的审计稽核系统保证了金融控股公司内部控制的有效实施，协助高级管理层和每一名员工实际履行各自的职责。(www.daowen.com)

3.建立风险管理与预警系统。完备的信息技术运用，不仅可能极大降低金融行业的操作风险，而且可以通过建立统一的风险管理信息系统，进一步完善集团风险管理体系。首先，该系统作为集团内统一的风险信息平台，搜集整理各类风险数据，不仅保证风险管理人员及时识别风险、度量风险、掌握风险，而且为决策者提供了相关财务、经营状况的关键数据和市场信息；其次，该系统搭建了一个有效的沟通平台，建立起控股公司与子公司的紧密联系，各级风险管理部门都可以通过系统及时报告集团或子公司的风险管理动态；最后，通过分析搜集的风险数据，设置科学的风险指标，能够实现对关键风险事件的预警，提高风险管理的前瞻性。^[31]

4.设立防火墙。“防火墙”作为金融控股公司内部控制的一种特殊安排，通过明确的规则和程序设计，将异业风险限制在各自业务领域内，防止风险的扩散和蔓延，减弱金融控股公司内部的风险传递和危机传染。2001年我国证监会颁布《证券公司内部控制指引》，第一次提出“证券公司完善内部控制机制必须遵循防火墙原则，即公司投资银行、自营、经纪、资产管理、研究咨询等相关部门，应当在物理上和制度上适当隔离，对因业务需要知悉内部消息的人员，应制定严格的批准程序和监督处罚措施”，而后在2003年修订的《证券公司内部控制指引》以及最新《企业内部控制应用指引》中都更详尽地介绍了防火墙制度。

防火墙制度按照运行机制分类，一般可以分为法人防火墙与一般防火墙。法人防火墙是金融控股公司利用公司有限责任之规定，设立独立法人实体从事不同金融业务的经营，以隔离不同行业间的风险传递。一般防火墙是金融控股公司及各子公司设置内部限制制度，隔绝集团内部的风险传递^[32]，主要包括：①信息防火墙。金融控股公司集中了大量的金融信息，各子公司常交换、披露彼此客户的信息，虽然为业务提供便利，但是这不仅侵犯了客户隐私权，还将导致不当交易行为。因此金融控股公司应当限制客户信息在集团内部的流通，未经客户同意，不得公开、交换客户信息，防止个别成员牺牲集团客户的利益而获得私利。②人事防火墙。由于金融控股公司协同经营的需要，董事、高级管理人员及某些雇员可能在不同的关联机构之间连锁兼职，很可能引发利益冲突和道德风险。因此，金融控股公司应在人事制度的安排上禁止此类人员的兼职行为。如规定，金融控股公司内部银行的常务董事不得兼任同一集团证券公司的常务董事。^[33]③业务防火墙。在业务的限制方面，美国和日本已经发展的比较成熟，可加以借鉴。^[34]针对我国目前分业经营的现状，我国在发展以银行为主体的金融控股公司时，对各个子公司仍应实行分业监管，限制子公司在银行、证券、保险行业间的任意渗透。严格限制集团内商业银行向其他子公司进行贷款，严格控制商业银行从这些子公司购买证券或者其他资产，严格区别经营场所和人员，明确集团成员开展代销代售业务时，向集团客户充分披露所提供的产品和服务内容、风险和背景。④资金防火墙。金融控股公司应当禁止或限制关联成员之间进行非市场化、非常规的交易或资金往来。例如，商业银行不得向关系人发放信用贷款；向关系人发放担保贷款的条件不得优于其他借款人同类贷款的条件。其中的关系人包括了金融控股公司的子公司成员。^[35]

防火墙是为了隔离风险在集团内部的不当传递，但若完全隔断集团各子公司的联系，金融控股公司也就无法获得集团成员协同经营的优势。过于严苛的防火墙设置，甚至会增加金融控股公司的营运成本、降低营运效率和服务品质，降低整体竞争力。因此，对于防火墙的建立及其标准的确定，应与可能的风险相匹配，并及时根据营运情况的变化进行调整修正。

金融控股公司风险管理法律体系的建立主要依赖上述两大支柱。首先，完善公司治理结构，明确董事会、高级管理层的权责分配，并在此基础上选择适合的风险管理组织结构，明确母子公司风险管理的层面和路径；其次，完善内部控制制度，采用先进的风险管理手段，如防火墙设置、风险预警系统、独立的稽核审查机制等，建立起全面的风险管理法律制度体系。