COSO框架在我国保险公司分支机构风险管理中的应用
2013-08-15夏克清
夏克清
(中国保险监督管理委员会青岛监管局,山东 青岛 266071)
近几年,我国保险行业保持了较快的发展速度,保费规模不断扩大,行业整体实力逐步提升。但是,目前保险公司在管理上还较为粗放,精细化程度不高,风险管理能力总体偏弱,特别是保险公司分支机构(本文所称的分支机构是指保险公司省级分公司及以下机构)“重业务、轻管理”的问题较为突出,致使公司在经营管理上面临较大的风险隐患。美国反欺诈财务报告全国委员会的发起组织委员会(COSO)提出的企业风险管理框架(以下简称“COSO框架”)对我国企业加强风险管理提供了理论指导,对保险公司分支机构实施全面风险管理具有较强的借鉴意义。
一、COSO框架的主要内容
COSO是美国反欺诈财务报告全国委员会(The National Commission on Fraudulent Financial Reporting)的发起组织委员会(The Committee of Sponsoring Organizations)的英文缩写。在总结《内部控制整体框架》(Internal Control-Integrated Framework)的实施基础上,结合《萨班尼斯—奥克斯利法》(The Sarbanes-Oxley Act)的相关要求,广泛听取各方的意见和建议之后,COSO于2004年颁布了全新的COSO报告:《企业风险管理-整合框架》(Enterprise Risk Management-Integrated Framework)。该框架顺应了安然、世通等财务舞弊案之后,国际社会要求改善公司治理的呼声,拓展了内部控制的内涵,提出了企业风险管理的全新概念,在更高层次、更宽范围上推动和发展了内部控制,进入全面风险管理时代。
COSO框架对企业风险管理进行了详细和全新的描述,指出“企业风险管理是一个过程,它是由一个主体的董事会、管理层和其他人员实施、应用于战略制订并贯穿企业之中,旨在识别可能影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证”,将企业风险管理分为八个构成要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。这八个要素是相互作用、相互影响的,企业要综合运用、系统平衡这八个要素,制定最优的风险管理组合。
二、加强保险公司分支机构全面风险管理的必要性和重要性
加强保险公司分支机构的风险管理水平,构建全面风险管理体系是由公司内外部因素共同决定的,对行业发展来说也是十分必要的。
(一)由公司自身业务性质决定的
保险公司的经营对象是风险,经营过程面临的风险不同于一般企业;而且保险商品是一种特殊的无形商品,是对保险消费者的承诺,产品本身就具有较高的风险性,这在客观上需要保险公司加强风险管理水平。分支机构作为保险公司的基层组织,是公司业务拓展的前沿和客户服务的终端,面临的风险主要有承保风险、理赔风险、财务风险以及人力资源风险等。保险公司的很多风险是从分支机构发源的,而且各地分支机构的风险逐步积累到总公司,其影响是很大的,因此,必须加强风险管理,保证分支机构在经营上合法规范。
(二)由外部经济社会环境决定的
现在国际国内经济形势趋于复杂,经济社会的运行风险加大,企业开工不足、出口减缓、效益下滑,给保险公司的承保带来较大影响,分支机构面临的市场竞争压力加大;随着自然灾害发生频率增加,人身伤害赔偿标准的不断提高,保险公司的赔付支出不断攀升;同时新《劳动法》的实施,加大了保险公司的劳动用工风险和人工成本。投资收益的不稳定、银行利率的波动,都给保险公司的经营带来诸多不确定性,外部环境的变化对保险公司的风险管理水平提出了更高要求。
(三)由保险监管部门要求决定的
近几年,中国保监会对保险公司的风险管理建设越来越重视,先后发布了《保险公司风险管理指引(试行)》、《保险公司内部审计指引(试行)》、《保险公司合规管理指引》、《保险公司偿付能力管理规定》、《保险公司内部控制基本准则》等制度,对保险公司风险管理的制度建设、组织机构、执行实施以及监督管理都提出了明确要求,是监管部门的强制性规定,保险公司分支机构必须在总公司的统一安排下贯彻落实。
三、COSO框架在保险公司分支机构全面风险管理中的应用
全面风险管理是一个全新的管理方式,改变了过去的思维方式和管理观念,构筑起风险管理的新框架;全面风险管理又是一项系统工程,涉及到企业经营管理的各个环节。就保险公司分支机构的全面风险管理来说,要以八个构成要素为基础,结合公司的实际情况,逐步构建科学、合理、适应的风险管理框架。
(一)内部环境
内部环境包含组织的基调,是企业风险管理所有其他构成要素的基础,为其他要素提供约束和结构,主要包括主体的风险管理理念、风险容量、董事会的监督、人员的诚信、道德价值观和胜任能力、管理层分配权力和职责以及组织和开发员工的方式等。
保险公司分支机构在内部环境建设中,首先要树立风险管理意识,从管理层到普通员工必须树立起风险意识,把风险管理贯穿于企业流程的每个环节、渗透到员工的日常行为中,形成一种风险管理文化。其次是要组建和谐团结、精干负责的领导班子,领导层的重视是风险管理的关键;要设置精练高效、权责适当、与风险管理目标相匹配的组织构架,为全面风险管理的实施奠定良好的组织基础。再次是要坚持以人为本,注重人力资源的培养和利用,建立学习型组织,加强培训力度,不断提高员工队伍素质;同时风险管理要坚持人人参与的原则,将风险管理目标层层分解,做到全员参与、人人有责,构建全员的风险管理模式。
(二)目标设定
目标设定是事项识别、风险评估和风险应对的前提,在企业管理层识别和评估实现目标的风险并采取行动来管理风险之前必须有目标,而且目标必须与企业的风险容量相协调,目标大致可以分为三类:经营目标、报告目标和合规目标。经营目标关系到企业经营的有效性和效率;报告目标旨在为管理层提供准确而完整的信息,同时需要满足外部监管的要求;合规目标要求企业从事的活动必须符合有关的法律法规以及行业自律的规定。
保险公司分支机构在设定风险管理目标时要重点考虑以下三个方面的因素:一是总公司战略选择,分支机构的目标应该符合总公司的战略要求,总公司的压力会通过目标的形式传导给分支机构;二是当地的市场环境,包括经济社会发展状况、市场保费容量、市场主体的经营现状、监管和行业自律环境等;三是自身所处发展阶段,这是一个分支机构的历史阶段问题,同时也是面临的现实问题,只有正确分析和面对发展阶段,才能设定合理、有效的风险管理目标。
(三)事项识别
事项是源于内部或外部的影响企业目标实现的事故或事件,可能带来正面或负面影响,或者两者兼而有之。企业管理层要对事项进行识别,以确定它们代表机会,还是代表风险,风险对企业实施战略和实现目标具有负面作用。事项是受内外部因素影响的,识别这些影响因素与识别事项是关联的,确定起主要作用的因素之后,管理层就可以考虑他们的重要性,进而集中关注影响目标实现的事项。保险公司分支机构的外部影响因素主要包括经济因素、政府行为、自然环境以及保险市场环境等,政治因素、社会因素和技术因素的影响较小,或者说影响作用发挥的很慢;内部影响因素主要包括基础结构、人员、流程以及技术等。通过分析发现,分支机构的事项主要包括承保、理赔、财务与人力资源等。
(四)风险评估
企业在对事项进行识别之后,需要对事项进行风险分析,从可能性和影响两个角度对事项进行评估,考虑事项对目标实现的影响程度。在风险评估中一般采用定性与定量相结合的方法,由于保险公司实行数据大集中,总公司设立精算部门对全国的数据进行测算分析,所以,分支机构在风险评估时可以更多地采用定性分析法,对风险发生的可能性和影响进行分级,并依据重要程度进行分档,为下一步的风险应对和控制措施提供依据。
(五)风险应对
风险应对是企业在评估风险之后采取的应对策略,主要包括回避、降低、分担和承受,使总体剩余风险处于期望的风险容限和风险容量之内。保险公司分支机构的风险中,公司无力承担的承保风险、超过风险容限的、总公司资本金无法支撑的业务,就要采取回避方式应对;理赔风险是无法回避的,可以采取合理的分保方式进行分担,更多的可以采取降低方式,通过加强理赔管理挤压水分,堵塞漏洞;财务风险在风险容限以内的可以承受,违反外部监管规定的一定要回避,大多数时候可以采取降低方式,加强财务管理,避免出现财务上的危机;人力资源风险中,一般的人员流动可以去承受,但是关键岗位的离职以及带动核心业务流失的离职,一定要采取灵活的人力资源政策去降低、减少人员流动对公司造成的损失。
(六)控制活动
控制活动是帮助确保企业管理层的风险应对得以实施的政策和程序,风险应对选定之后就要实施确保风险应对执行的控制活动,一般包括两个要素:确定应该做什么的政策以及实现政策的程序。根据COSO框架的设计,保险公司分支机构控制活动的政策和程序主要是制度层面和执行层面。制度是全面风险管理理念和流程的固化过程,分支机构需要按照风险管理的要求从目标到构成要素重新梳理和修订现有的制度,形成符合本公司实际情况、切实可行的风险管理规章制度。在风险管理内部环境培养和制度推行的基础上,要通过内部考核和监督的方式为分支机构的风险管理构筑“硬性”边界,考核应该科学、合理,监督必须持续、深入,推动执行层面的建设逐步完善,切实解决执行力层层递减这一分支机构管理中的突出问题。
(七)信息与沟通
现代社会是信息社会,企业要识别和获取来自内部和外部的包括财务和非财务的大量信息,以便识别、评估和应对风险,进而实现企业的经营目标。COSO框架指出,企业可以通过建立信息系统的方式解决信息获取和利用效率的问题。保险公司分支机构的信息一般包括数据信息和非数据信息,数据信息存储在业务财务系统中,获取方便,使用上都有相关的分析模型,关键在于管控基础数据输入上的风险,防止“垃圾进、垃圾出”。非数据信息的识别和获取就显得更为重要,公司管理制度和外部监管政策的传递是内部信息沟通的关键,同时与投保人、中介机构、同业公司、政府机关以及其他利益相关人等外部机构也要保持良好有效的沟通。
(八)监控
监控是对企业风险管理构成要素的存在和运行进行监督评价,可以通过持续的监控活动、专门评价或者两者相结合来完成。持续的监控活动发生在企业正常的、反复的经营活动中,起到监控企业风险管理有效性的作用,主要包括管理人员经营报告、市场分析、内外部审计报告、监管部门报告以及员工意见反馈等。对保险公司分支机构来说,在监控活动中要重点做好内部稽核工作,内部稽核应该是广义的,包括内部审计以及其他基于财务业务数据真实性的内部检查等。在经营管理工作中,要不断完善稽核审计规章制度建设,加大稽核工作力度,提高稽核审计频率,明确重点风险领域和关键环节,更新稽核审计工作方法,提高稽核审计工作的效果。必要时,可以引入外部审计力量,对内部稽核进行有益补充。
[1]方红星,王宏,译.(美)COSO制定发布.企业风险管理—整合框架[M]. 大连:东北财经大学出版社,2005.
[2]丁德臣.基于ERM理论的财产保险公司风险预警与控制研究[M].北京:中国金融出版社,2010.
[3]张贵全.对财产保险公司风险防范的思考[J].经济师,2010(02).
[4]叶慧霖.关于加强财产保险公司分支机构内控监管的思考[J].中国保险,2010(01).
[5]仇颖. COSO对我国小企业内部控制框架的启示[J].生产力研究,2008(12).