偿二代”体系下内控、合规与风险管理

    编者按：
 
    2015年2月，中国保监会发布了中国风险导向的偿付能力体系（以下简称“偿二代”），保险业进入了“偿二代”过渡期。经过一年的试运行，保监会决定自 2016年1月1日起施行《保险公司偿付能力监管规则（第1号－第17号）》。特选此文，就“偿二代”体系下，如何将内控、合规、全面风险管理工作有效融入到新的监管体系进行研讨，以资借鉴。
 
    □张道明 朱童飞
 
    2016年1月25日，中国保监会印发了《关于正式实施中国风险导向的偿付能力体系有关事项的通知》（保监发〔2016〕10号）（以下简称《通知》），标志着在经历了近一年的过渡期后，“偿二代”进入正式实施阶段。
 
    在“偿二代”监管模式下，保监会以风险为导向，对保险公司偿付能力提出“三支柱”的监管要求。其中，第一支柱是定量资本要求，主要防范能够量化的风险，通过科学地识别和量化各类风险，要求保险公司具备与其风险相适应的资本,主要包括第一支柱量化资本要求、实际资本评估标准、资本分级、动态偿付能力测试和第一支柱监管措施五部分内容。第二支柱是定性监管要求，是在第一支柱的基础上，进一步防范难以量化的风险,主要包括风险综合评级、保险公司风险管理要求与评估、监管检查和分析、第二支柱监管措施四部分内容。第三支柱是市场约束机制，是引导、促进和发挥市场相关利益人的力量，通过对外信息披露等手段，借助市场的约束力，加强对保险公司偿付能力的监管。
 
    按照《通知》精神，“三支柱”的相关要求将同时落地，这虽然有些超出市场预期，但在客观上却符合行业实际。各家保险公司在“偿二代”试运行的基础上，都面临如何适应正式实施后监管要求的问题，也同样面临如何借正式实施之际提升内部风险管理水平的课题：一方面要提升风险选择能力，优化业务结构，降低固有风险水平；另一方面要完善内部风控流程机制，强化责任传导，提高风险控制能力。其中，如何将内控合规工作的框架有效融入到“偿二代”体系中成为一个难题。笔者认为在“偿二代”体系下，内控、合规与风险管理工作需要进一步的厘清和整合。
 
    一、内控、合规、风险管理概念上的演进
 
    （一）内部控制的概念演进
 
    自1949年美国会计师协会（AIA）给出内部控制的第一个正式定义以来，相关机构陆续给出了不同表述的内部控制定义。AIA（1949）对内部控制给出的定义是：“内部控制包括一个企业内部为保护资产，检查会计数据的准确性和可靠性，提高经营效率，坚持既定管理方针而采用的组织计划，以及各种与之相协调的方法和措施”。随着实践发展，比较权威和经典的表述陆续更新这一定义。
 
    COSO（美国反虚假财务报告委员会下属的发起人委员会的简称，全称为The Committee of Sponsoring Organizations of the Treadway Commission）在1992年发布的报告中，对内部控制的定义是“一个由企业董事会、管理层和其他员工实施的，为经营的效率效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现提供合理保证的过程”。从《内部控制-整合框架》的定义来看，内部控制包括三类目标：一是运营目标，即组织运营的效果和效率，包括运营和财务业绩目标、保护资产以避免损失；二是报告目标，即内外部的财务和非财务报告的可靠性、及时性、透明度，以及监管者、标准制定机构和组织政策所要求的其他方面；三是合规目标，即遵守组织所适用的法律法规及规章。
 
    就国内而言，我国五部委印发的《企业内部控制基本准则》（2008年由财政部、证监会、审计署、银监会、保监会联合发布）认为，内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。2010年，保监会单独发布《保险公司内部控制基本准则》，在吸收借鉴《企业内部控制基本准则》相关定义的基础上，结合《保险法》内容，对内部控制定义为“保险公司各层级的机构和人员，依据各自的职责，采取适当措施，合理防范和有效控制经营管理中的各种风险，防止公司经营偏离发展战略和经营目标的机制和过程”。
 
    （二）合规的概念演进
 
    国际金融领域的所谓合规，是指金融企业及其员工遵守法律、监管规定、行业自律准则，以及企业自己制定的内部规范的总称。这一定义来源于巴塞尔银行监管委员会关于合规风险的定义。2005年，巴塞尔银行监管委员会发布了《合规与商业银行内部合规职能》高级文件，按照新巴塞尔协议的定义，合规风险是指银行因未能遵循法律法规、监管要求、规则、自律性组织制定的有关规则，以及适用于银行自身业务活动的行为准则，而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。
 
    中国保监会发布的《保险公司合规管理指引》中对合规给出的定义是，保险公司及其员工和营销员的保险经营管理行为应当符合法律法规、监管机构规定、行业自律规则、公司内部管理制度以及诚实守信的道德准则。合规风险是指违反法律、规则和准则而招致的风险。
 
    按照保监会《保险公司合规管理指引》中的描述，合规管理是保险公司通过设置合规管理部门或者合规岗位，制定和执行合规政策，开展合规监测和合规培训等措施，预防、识别、评估、报告和应对合规风险的行为。合规管理是保险公司全面风险管理的一项核心内容，也是实施有效内部控制的一项基础性工作。
 
    （三）风险管理的概念演进
 
    2004年COSO《企业风险管理-整合框架》认为，全面风险管理是一个过程，它与董事会、经理层和其他员工紧密相关，在战略制定中得到应用，贯穿于整个企业，用来识别影响企业目标实现的潜在事件，在企业风险偏好的指导下管理风险，为企业目标的实现提供合理的保证。国资委在2006年发布《中央企业全面风险管理指引》，其中认为全面风险管理是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。保监会于2007年发布的《全面风险管理指引》中将风险管理定义为保险公司围绕经营目标，对保险经营中的风险进行识别、评估和控制的基本流程以及相关的组织架构、制度和措施。
 
    “偿二代”体系下，保监会共发布了17项监管规则。其中，关于控制风险的定性评估囊括了七大类风险管理的全过程，且在不可量化指标中，包含内控合规的若干项目和内容。由此，内控合规工作作为保险公司全面风险管理的组成部分，通过定性评估指标与公司的偿付能力充足率和风险综合评价结果直接挂钩，成为保险公司风险管理能力的重要影响因素。
 
    二、内控、合规、风险管理在实践中的问题与困境
 
    由上分析可见，内部控制、合规与全面风险管理在概念上相互交叉、重合又各有区别。有效的内部控制可以确保国家法律法规和公司内部规章制度的贯彻执行，确保风险管理体系的有效实施，确保财务信息等管理信息的真实、准确和完整性。合规管理主要是管理合规风险，可看作是内部控制的有效组成部分，同时又是构建有效内控机制的基础。在“偿二代”体系下，内部控制与合规管理共同为保障全面风险管理工作的基本目标、促进公司稳健经营发挥重要作用，从而内化为全面风险管理体系的重要部分。
 
    然而由于认识问题，实务中内控、合规与风险管理工作均存在功能受限的问题。
 
    （一）合规管理工作被狭义化
 
    众所周知，合规工作既具有源于法律法规与监管要求的外部压力，也不缺乏内部管理的驱动力，可谓是保险公司不得不重视的一项工作。但正是由于外部监管部门在事实认定和事后处罚方面的绝对权威性和强制性，导致保险公司的内部合规管理被狭义化，即以外部监管规则的遵从为主，谁管得紧就重视谁。合规功能的狭义化，直接导致两个方面的弱化。一是弱化了内部规章的合规约束，即便保险公司具备管理手段并可通过内部控制校验执行情况，但其监督的严肃性和严密性大打折扣。二是弱化了一般法律的合规约束，一些同样具有行政强制功能的法律，因执法权限不属于行业监管部门，执法频率较低，通常被保险公司忽视或遗漏。
 
    （二）内部控制工作被工具化
 
    与合规工作类似，内部控制同样属于既有外部要求又有内部需求的一项工作。但由于缺少法律层面的界定依据，处罚规则较为模糊，以及惩罚措施的缺位，保险公司的内部控制更多地被工具化。内部控制的工具化，导致两个方面的僵化。一方面，专门的内控部门所从事的内控测评工作，单纯沦为操作风险管理的一个工具。虽然理论上讲，内控测评工作从制度完备性和执行有效性两个维度对公司各项领域工作进行测评，但受制于内控部门对各业务环节的参与度不高，实务中内控测评只能对现有制度的操作层面执行情况进行抽样测试。鉴于内控涉及领域广泛且复杂，即使运用了流程梳理、穿行测试等相对科学的手段，也难以发现有价值的系统性问题。另一方面，专门的内控部门所出具的内控报告仅依托一次年度测评作出，缺少更具深度、广度的研究；使得内控报告机制单纯沦为公司治理的一个工具，即仅通过治理结构完成内控报告的提交和审阅而已。目前，保险公司的体制性改革和模式创新，通常都是战略导向或者问题导向，在战略导向下内控部门没有话语权，在问题导向下内控部门往往是事后参与，因此常常出现为了做内控报告而做内控的情形，内部控制不再是一个完整的持续的内控过程，而只是一个部门化了的报告机制。
 
    （三）风险管理工作被形式化
 
    在“偿二代”体系实施之前，由于外部监管约束不强，风险管理的成果应用和价值体现并不突出，保险公司风险管理更多地被形式化。风险管理的形式化导致其内容的虚化。一些保险公司的风险管理职能没有有效分离，风险管控形同虚设或者流于形式。一是风险管理不成体系，前台的风险管理与后台的风险监控完全脱节，缺乏信息交流，没有统一的风险语言体系和指标体系，分散凌乱、各自为政。二是风险管理的约束机制缺乏，风险管理的目标不清晰，风险与资本和偿付能力之间没有传导机制，风险管理仅是一般的提示或参考因素。风险管理工作沦为“高大上”的花瓶摆件，相关工作成果没有实现落地应用。
 
    三、“偿二代”体系下内控、合规、风险管理的重新定位与整合
 
    在“偿二代”体系下，全面风险管理从过去的一般内部要求，上升为同时具备严格监管规则的外部要求。“偿二代”中的风险管理，突出体现了风险管理的全面性和整体性。在此背景下，内控、合规与风险管理工作应当突破各自的功能局限，在功能上彼此嵌入，在信息上实现整合，在机制上促成共享，构成严密有效的全面风险管理体系。
 
    （一）内控、合规与风险管理工作应在功能上相互强化
 
    首先，在合规领域被弱化的两个方面，应通过加强内控措施予以弥补。在外部法律法规的落实方面，对于重要的法律法规应实行导入制度，及时向内部员工解读、推送新的规范要求，并对已有法律法规的执行情况进行定期排查测试，特别是要理清保险行业以外政府监管部门出台的法规，落实对接责任部门，避免广而告之的法律反而在执行中出现疏漏。对于内部的规章制度，应定期开展清理，并及时梳理出新制度新政策中的风险点，适时开展专项测评，这样既能避免年度测试的时间滞后性，同时也有效保证了内部控制活动的持续性、动态性。
 
    其次，在内控领域被僵化的两个方面，应通过加强风险管理的措施予以激活。一是按照内控测试的流程开展控制风险的定性评估，即由内控部门按照内控测试的标准流程开展评估工作，所采用的评估标准按照制度健全性和执行有效性两个维度，通过底稿制作和样本抽样工作形成客观、可视化的评估档案。二是通过持续的风险评估，强化内控管理的实效性，即推动内控管理工作参与到风险管理的实务中，例如在风险指标体系的预警监测过程中，嵌入内控测试环节，来实现对运营目标的有效保证，激活与调动内控管理的能动性。
 
    最后，在风险领域被虚化的两个方面，应通过建设风险导向的偿付能力管理体系加以做实。一是构建适应新体系要求的风险管理制度体系。风险管理制度体系应当至少包括三个层面，即公司层面的偿付能力管理规定、全面风险管理规定和资本管理规定；七大风险类别的专项风险管理办法和用于落实三支柱具体工作的计量、评估、编报细则。通过层次清晰、相互衔接的制度体系，解决散乱脱节等问题。二是构建适应新体系要求的风险管理传导机制，机制应当至少包括三个层面内容：公司层面的风险文化和风险偏好；七大类风险的容忍度和限额体系；从资本角度导出的日常监测预警使用的工具、模型和指标体系。通过建立目标清晰、具备约束机制的传导机制，解决风险管理工作成果落地应用的问题。
 
    （二）内控、合规与风险管理工作应实现信息交互
 
    由于监管要求不同，内控、合规与风险管理需要分别按照不同的格式、内容和程序进行报告及披露。其中内控报告是按照《企业内部控制基本规范》配套指引之《企业内部控制评价指引》等监管要求完成内控评价工作后完成的，主要内容为在介绍本公司内控体系的工作情况、内控评价工作的情况和内控框架、政策的基础上，报告自评工作中发现的重大内控缺陷和重大风险，并根据监管部门的评价标准，对公司内部控制健全性、合理性、有效性的评价结果进行自评。而合规报告是按照保监会《保险公司合规管理指引》的要求，对年度公司合规管理工作的情况，包括合规管理状况概述、合规政策的制定、评估和修订、合规负责人和合规管理部门的情况、公司内部管理制度和业务流程情况、重要业务活动的合规情况、合规评估和监测机制的运行、面临的重大合规风险及应对措施、重大违规事件及其处理、合规培训情况、合规管理存在的问题和改进措施等方面进行报告。风险管理报告是根据《保险公司风险管理指引（试行）》和《保险公司偿付能力监管规则第11号：偿付能力风险管理要求与评估》的要求，对保险风险、信用风险等七大类风险的评估管理状况上报管理层和董事会。
 
    内容范畴以及使用目的的不同，导致三者在报告层面的信息整合很难开展。但在“偿二代”体系下，三者间数据信息的交互整合变得尤为必要，这主要体现在以下三个方面。首先，制度层面的基础信息需要交互，例如内部规章制度和外部监管法规的对应整合。其次，问题数据层面的信息需要交互，例如各种内外部检查的信息、内外部审计的信息、各类风险排查发现的问题线索等。最后，流程模式方面的信息需要交互，例如业务流程的变化与更新、内部控制措施的修订与更新、运营模式的调整与更新等。
 
    （三）内控、合规与风险管理应共享内部运作的流程与机制
 
    内部管理中，内控、合规与风险管理应当共享以下三项通用机制。一是共享权责清晰的责任确定机制，内控、合规与风险管理工作都应坚持统分结合，明确各项责任的归属部门，按照牵头统筹与属主负责的原则进行责任分工；二是共享三道防线的分工协作机制，在三道防线体系下，第一道防线侧重操作，第二道防线侧重管理，第三道防线侧重监督，三者间互相配合、互相制约，共同为内控、合规与风险管理工作的开展提供有效机制；三是共享闭环整改的流程管控机制，内控、合规与风险管理工作都应坚持闭环整改的工作机制，落实发现、识别、解决、检验四个环节，形成问题解决的完整闭环。
 
    在“偿二代”全面实施的大背景下，突出风险导向与提高监督有效性，是公司内控、合规、全面风险管理应该坚持的两条主线。“偿二代”的实施，难在落地执行的系统性。只有实现功能上的相互强化、信息上的整合一体、机制上的协同共享，才能使内控、合规、全面风险管理工作真正适应未来“偿二代”要求的大趋势，化繁为简，互相融合，彰显内控合规风险管理工作的作用和价值。